区教育信息化建设方案-云平台

**区教育信息化建设方案**区教育信息化管理中心2016年12月前言截止2016年，全市义务教育阶段学校共建数字化教室877间,“班班通”多媒体设备建设的学校完成率达到93%、教室完成率达到100%，在努力实践“办好每一所学校，培养好每一名教师，发展好每一名学生”的共同愿景中，促进公平、提高质量一直是**教育的战略重点和永恒主题。我们致力于推行区域性课程改革，着力打造“高品位现代城市教育”。2014年全区课程改革立足实际，聚焦课堂，关注学生，全面铺开。经省教育厅评审，我区《高品位现代城市教育的理论与实践研究》被确定为“湖北省十三五教育科学规划立项重点课题”，全区小学三年级起所有基础教育阶段学校，全面启动这轮课堂教学改革。我们追求“高品位现代城市教育”最基础的诉求是实现教育的现代化。一方面是为了创新学习方式、学习途径、学习资源，向学校教育提供这样一种环境、条件和保障，另一方面更是为了寻求**区域性发现式学习、问题解决学习，从而实现终身学习的教育个性。我们将建设教育信息化定位于支撑“高品位现代城市教育”的实现。即在统一目标和主题引领下，让各级各类教育和学校在改革实践之中呈现多样化的教育个性和风格，最终凝聚为区域特色。由此，我们认为教育信息化是信息技术与教育教学的深度融合，最关键在“融合”上。在发展方向上，从“建设主导”转变为“应用主导”。其核心理念就是把信息技术与教育教学实践紧密融合，这才是教育信息化本质。在推进**教育信息化的工作中，应用是教育信息化的切入点，更是着力点，要用应用评价来推动应用导向。应用强调落地，在应用的方向上，我们定位于提高学生学习兴趣和自主性、减轻教师和学生的劳动及学习负担。在应用的内容上，我们定位于解决学校日常学习、业务与信息技术的对接，让教育管理与教育实践享受信息技术的便利。目录一、建设背景（一）政策支持（二）现状（三）需求二、建设思路、目标及意义（一）建设思路（二）建设目标及意义三、整体建设规划（一）总体建设内容（二）总体规划设计原则四、整体建设方案1、硬件基础设施建设2、区教育云平台建设五、保障措施一、建设背景（一）政策支持2015年11月20日刘延东副总理在第二次全国教育信息化工作会议上,再次要求大力推进信息技术与教育教学的融合发展，推进教育公平，提高教育质量，为培养现代化的高素质人才提供支撑。进一步为我们指明了“三通两平台”建设的意义及紧迫性。即以“三通两平台”建设为抓手，至2020年基本建成“人人皆学、处处能学、时时可学”的与国家教育现代化发展目标相适应的教育信息化体系。由此，省政府下发《湖北省教育信息化（2014-2020）发展规划》明确要求在“十三五”时期建成以“三通两平台”为基础的教育信息化环境，即实现“宽带网络校校通”、“优质资源班班通”、“学习空间人人通”及“教育资源和教育管理两平台”的教育信息化环境。（二）现状目前，对照教育部发布的《教育信息化“十三五”规划》我区在“三通两平台”的建设上严重滞后。在“宽带网络校校通”建设上，全区48所学校共享100M带宽出口，《规划》明确要求城镇学校班均带宽不低于10M，应实现无线网络全覆盖；在“优质资源班班通”建设上，2011年至今，全区仅建设了777套“班班通”终端设备，缺口100套。《规划》要求的班际资源共享、网络备课及网络教学环境等建设尚未启动；在“网络学习空间人人通”建设上，尚未启动；在“教育资源和教育管理两平台”建设上，尚未启动。（三）需求教育部《教育信息化“十三五”规划》指出，未来5年要做这样的8件事：1、完成“三通工程”建设，使我们具备教育信息化基础支撑能力；2、启动并实现公共服务平台的协同发展，使得利用云计算、大数据等新技术大幅提升教育教学与管理能力成为可能；3、不断扩大优质教育资源覆盖面，在优先促进教育公平的前提下不断提高教育质量；4、探索数字资源教育资源服务供给模式，提升资源服务水平；5、创新“网络学习空间人人通”建设与应用模式，从服务课堂拓展为网络化的泛在学习；6、深化信息技术与教育教学融合，从服务教育教学拓展为服务于育人的全过程；7、深入推进管理信息化从服务教育管理拓展为全面提升教育治理能力；8、紧密结合国家战略需求，从服务自身拓展为服务国家经济和社会发展。按照《规划》要求，**区要全面推动“三通两平台”建设，展开教育信息化建设，利用教育信息化推动**区课堂改革的发展，是实现**“均衡、优质”的“高品位现代城市教育”主题发展目标的迫切需求。二、建设思路、目标及意义（一）建设思路硬件是基础——硬件建设满足基本需要；软件是核心——软件建设体现个性化发展；实践是抓手——强化应用实践建设强调自力更生。以促进优质教育资源普及共享，推进信息技术与教育教学深度融合为出发点，以推进学校信息化基础设施环境建设和教学应用为抓手，坚持应用驱动和机制创新，坚持育人为本，质量为先，以教育信息化带动**区教育现代化。（二）建设目标及意义通过教育信息化，实现教学、管理、服务的数字化，深化教育改革，提高办学质量、办学效益和科研水平。教育信息化带来的变化：1、基础设施与教育服务、管理平台建设达到湖北省中小学校信息化建设标准，为提升教学与管理水平，创新教学模式打好坚实的基础。2、让教师有更多时间研究教学。通过信息化使教师在备课、授课、考试、阅卷等方面大幅度提高效率，减少了简单重复性工作，让教师把重心放在研究教学、提升教学能力上。3、让教学不再受时空限制。通过教学平台，学生可以自主学习课程、做练习，教师可以随时随地进行备课、批改作业等工作，使得教学工作不再局限于课堂、学校。4、平衡教学资源。通过班班通、直播录播系统以及教学平台，全区可以共享优质教育资源，弥补因教学资源差距带来的学校间教育“鸿沟”。5、教育科学化。信息化使得学生的学习行为与结果可记录，通过研究学习行为与学习结果的分析，可以有针对性的进行教学，提升教学效率。三、整体建设规划（一）总体建设内容1、信息化基础设施环境建设改善中小学信息化基础条件，加快全区教育宽带网络建设，实现全区所有学校、教育单位接入互联网，无线网络全覆盖，完善“班班通”基础设施建设，构建网络化校园安全监控系统。建成集数据中心、指挥管理中心、互联互通的校园网络、若干数字校园配套功能室四位一体的**教育信息化基础设施环境。2、推动优质教育资源普及共享和应用加强教育资源公共服务平台建设，完善教育资源服务系统，实现与上级教育资源服务平台的无缝对接。建设具有我区特色的教育资源服务，创新资源服务模式，探索数字化教育资源需求和应用激励机制，形成数字化教育资源共建共享可持续发展的良好局面。利用录播教室、微课室，有效进行校本资源的制作、管理和使用，学生可以实现移动化、个性化、自主化学习。3、提升教育管理信息化整体水平按照统一数据标准，建立全区教育综合信息管理平台，形成全区统一的教育信息管理系统。建立统一的教育办公信息化服务平台，实现办公系统交流网络化、数字化。满足教育系统上下、平行之间双向互动。（二）总体规划设计原则根据**区的教育现状及实际需求，通过分析，**区教育信息化系统总体设计原则是：遵循标准、立足需求、以建设信息化的教育产业为目的、总体规划、分布实施。具体来说按照以下几点类来设计：1、标准性原则系统设计应符合我国教育相关行业标准，随着技术不断进步，系统要保证符合相应的国际国内标准和对相关技术的兼容应用。2、安全性原则系统应建成专业级系统，在系统设计中考虑完善的应急方案，并对各种应急预案有切实可行的操作模式。3、先进性原则采用符合国际国内标准的、成熟的技术，兼顾信息化技术、物联网技术、数字化技术、网络技术、存储技术、数据库技术、检索技术的发展方向，保证系统能够在业界具有领先地位，不会落后主流技术；所选设备在其领域内须具备先进性。4、可用性原则规划设计是基于**区教育现状调研的实际情况而设计，是面向整个**教育的，应保障后期项目建设满足**教育的可用性要求。5、可扩展原则规划设计应具有极强的可扩展性，在保证初期运行的前提下，预留充分的扩展空间，保证后续可持续性发展。6、可升级原则能够实现可预见的平滑升级，确保在不作大的变更前提下，平滑升级到更高层次。7、开放性原则采用开放式设计，保证各大厂商设备、系统的良好集成性能，确保系统接口的宽泛及融合性。8、可管理性原则具备健全的管理功能，无论是网络、设备、硬软件系统都能全面的实时监测和控制。9、灵活性和兼容性原则具有很好的向上和向下兼容性，移植性强。整个教育信息化系统建设分为：硬件基础设施建设和教育平台建设。四、整体建设方案1、硬件基础设施建设硬件基础设施建设包括以下几部分：1）教育城域网络建设2）校园安全监控3）录播教室并校园电视台4）微课室5）班班通6）办公云桌面1.1教育城域网络建设教育城域网建设，主要就是建立一个万兆汇聚、千兆互联的**教育城域网络，以满足全区48所学校4万多名师生信息互联互通的需要。**教育城域网总体拓扑图整个城域网设计采取区块化设计思想，以硬件划分成为数据中心区、核心交换区、各级应用区。每个区域自成一体，不同的区块有不同的应用，网络按功能进行区块划分，不同区块负责各自的独立应用，互不干扰。按区块进行安全规则设计，路由策略设计，实现数据交换和安全防护。整个组成一个高速的数据交换中心，各个区块之间实现高效的数据传输。通过区块化的设计，保证教育城域网运行的高性能，高可靠度，同时便于规划和管理。城域网链路设计依托运营商专线承载建设**教育城域网。城域网包含**区48所学校和教育局。项目涉及到的信息化应用数据承载于运营商城域网专线。各学校、教育单位均租用运营商光纤接入城域网，各学校原则上不再保留互联网出口链路，统一由教育城域网接入互联网。此种组网方式特点：城域IP光纤网是一种高性能、低成本、极具发展前景的组网方式；学校和学校之间的访问速度、学校到中心机房的速度都可以比较容易达到百兆、甚至千兆，网内教育资源的共享将变得及其简单、高效；统一出口的设计，可以方便对整网的数据情况进行有效管理，对网内所有学校的网络行为有整体的审计和把控；资源调配、出口流量的管理和控制可以更加精细化。接入方式教育城域网中心机房部署万兆设备；运营商采用以太网专线方式将宽带线路部署到每校，连接学校局域网；学校通过千兆光纤线路汇聚到数据中心机房（运营商提供独享专用机房）；数据中心机房通过运营商internet链路接入互联网，条件允许的情况下使用多个运营链路，提高可靠性。带宽分配各学校、教育单位与中心机房万兆汇聚，千兆互联。整个城域网互联网出口专线带宽初期为1G，后期根据应用量升级到4G。1.1.1核心交换区核心认证交换中心核心交换区是整个城域网络的核心，城域网中的所有软硬件数据都将在这里集中交换。一个完善的城域网核心认证交换设备应发挥的作用包括：支持实名制快速高效集中认证，为所有用户提供简化高效的认证方式；保障整个城域网的互联网出口安全，支持对病毒、漏洞、木马等安全危险的控制；对上网行为、流量带宽进行控制管理，并提供审计数据支持检索；对中心机房和城域网所有网络设备登陆、调试、配置信息进行审计记录集中监控管理、自动定时巡检，通过显示屏能够直观显示城域网运行状态；互联网常用资源（音视频资源等）能够提前缓存到本地，提供本地化访问，提高访问体验。网络核心设计在网络的可靠性和稳定性保障方面，网络核心设计采用2台万兆核心交换机互为容错备份，并在核心交换机中采用关键模块冗余设计（如引擎、网板、电源冗余等），启用虚拟化技术将多台物理设备虚拟化为一台逻辑设备，统一运行管理，大幅减少网络节点，降低网络运维管理人员工作量、增加网络可靠性，实现50~200ms链路故障快速切换，保障关键应用不中断传输。支持跨设备链路聚合，方便接入服务器/交换机实现双活链路上联，提高网络有效连接带宽。双核心网络设计架构，为城域网络提供了高稳定性和可靠性的数据传输平台，同时，提供了一种能够“自愈”网络链路或设备的单点故障的网络架构，保证了城域网络能够提供7*24小时高速稳定的数据传输。为教育系统提供健壮的数据传输神经中枢。双核心虚拟交换技术，将两台物理核心交换机虚拟为一台逻辑上统一的设备，使其能够实现统一的运行，从而达到减小网络规模，同时极大提高网络稳定健壮性，控制故障恢复时间。虚拟交换示意图使用虚拟化后，两台核心设备逻辑上变成一台。从而简化了网络拓扑。网络中不再需要生成树、VRRP等复杂的协议，大大降低配置维护工作量。此时汇聚到核心双链路上联，等同于双链路连接到一台核心上，实现跨设备链路聚合。即使一台核心或上联链路中断，也可实现快速切换。切换时间控制在50ms以内，相当于普通数据包转发的时延，不会对应用流畅运行产生任何影响。核心交换机组网方式核心交换机之间互联：采用万兆接口，通过专用的万兆虚拟化线缆互联，搭建虚拟化核心层。核心交换机与各学校互联：采用运营商专线。48所学校通过运营商专线，直接连接至核心交换机千兆接口板上。核心交换机与出口互联：通过万电缆互联，搭建冗余架构。核心交换机与数据中心互联：通过万兆电缆互联，搭建冗余架构。认证中心设计本次城域网需要实现实名制身份认证，根据通用的实名制认证架构，需包含两大部分：身份认证系统和认证网关设备。身份认证系统用于存储认证账户和认证策略等，认证网关用于将认证报文发送给身份认证系统，完成认证流程。认证网关有两种部署模式：分布式认证和集中式认证。分布式认证：每台接入交换机需支持802.1X和web认证功能。集中式认证：1台集中式认证网关设备支持802.1X和web认证功能。 根据实际情况分析，采用集中式认证方式。1、使用城域网核心交换机作为集中认证网关部署，每个学校可以使用网关或交换机直接互联教育城域网数据中心机房。2、集中认证网关实现双机集群，具备高性能、高可靠性,组网灵活，支持三层认证模式，城域网改造整网结构不需要变化。集中认证方案采用集中认证的方案后，可以将原来分布在接入网的各项功能和策略上收至核心交换机，上收之后各项功能、策略的执行点全部在教育城域网中心机房的集中认证网关上，各个学校的接入、汇聚交换机只负责进行各种数据的转发，无需支持认证功能。集中认证方式极大的增强了城域网核心交换机的资源利用率，弱化了整个网络服务对接入、汇聚设备的依赖。集中认证网关(核心交换机)的性能要求所有功能、策略都部署在数据中心机房的核心层上，对整个城域网的核心交换机提出了巨大的挑战。核心层要承担各业务应用服务器的数据交换功能，要具备分布式业务处理体系结构，实现业务的全分布式处理，并能提供稳定、可靠、安全的高性能L2/L3层交换服务，以及电信级、自适应的可靠性设计。它作为网络的骨干连接和路由交换平台，实现所有汇集接入，不同子网之间的路由。它是全网业务汇接、转接和业务疏通的核心。因此核心层要选用新一代多级交换架构核心交换机搭建核心网络。核心交换机采用目前业界领先的多级矩阵交换架构，可配置高性能冗余引擎、冗余电源及冗余交换网板最大程度上满足设备级可靠性的要求。同时配置丰富的千兆、万兆接口，满足当前及未来网络发展的需求。1.1.2数据中心区城域网基本骨架搭建后，为教学服务，离不开丰富的资源及应用支持，城域网需要有存储资源及应用的高性能数据交换中心，这个中心需要能够随时为各个学校提供服务，因此需要建设一个健壮的网络平台，将各种网络资源通过这个平台传送到骨干网，传送到各个学校。数据交换中心网络平台定义为将城域网网络中心的各种资源服务器高速、稳定的互联在一起的网络系统，再通过安全的方式接入骨干网。由于城域网上每天都有大量的用户需要访问数据交换中心服务器上的资源，因此中心交换机上的性能、稳定可靠性、安全控制能力成为选择该设备的关键因素，具体的来说，需要具有以下特点：支持三层路由功能，支持强大的ACL处理性能，可以将服务器区的各种内网安全防护策略下发在汇聚设备上做线速转发，而不必耗费核心交换机的资源。强大的转发性能，必须支持大量千兆端口的线速转发，要支持万兆，让服务器群能够和城域网核心高速互联。具有很强的安全防护能力，比如对于常见病毒需要能进行控制，对于DoS攻击需要能够进行防范，对于网络扫描需要能够进行发现并屏蔽，对于不同管理人员能够访问管理的服务器需要能够进行控制，当部署这些安全措施的时候，需要保证网络的高性能。建成后的**区教育城域网数据交换中心将成为整个城域网的应用系统的数据中心。首先是教育管理服务平台搭建，其次是教育教学资源收集存储，搭建统一的课程分类资源网，整合辖区内的优秀教育资源。一方面数据交换中心为教师提供优秀的教育教学的相关资料，另一方面，教师可以把自己的教学成果上传，与其他教师分享，同时也为网站集群服务。数据的存储及应用必须依赖大量的服务器和高性能的存储设备，数据备份设备等，服务器需配置万兆光口与数据中心交换机互联，并支持FCOE功能，存储通过FC光纤存储网络和网络互联，存储系统考虑未来教育资源应用，建议容量在50T以上，支持FCSAN和IPSAN架构。在数据交换中心区域安全性设计上，采用在核心交换机配置专用服务器接入区域，服务器接入数据中心交换机支持IP/FC/FCOE三网融合技术，采用全万兆设计，通过万兆接口实现与应用服务器高速互联，在保障安全性的同时提供大数据流量的应用支持能力。存储也可通过FC接口直接接入数据中心交换机，实现数据中心三网融合的扁平化架构。综上所述，设计拓扑图如下：数据交换中心采用2台数据中心专用交换机，通过万兆接口实现虚拟化组网，提高可靠性。数据中心交换机与核心交换机采用万兆专用线缆交叉互联，提高链路可靠性。数据中心交换机具备24个万兆光口，万兆光口支持IP和FCOE协议，服务器通过万兆CNA网卡连接交换机；数据中心交换机还具备16个FC光口，存储可通过FC接口接入交换机；通过一体化的数据中心交换机，同时接入服务器和存储设备，实现扁平化三网融合，无需额外部署光纤交换机。1.1.3学校接入区校园网接入设计各学校采用以太网组网方式，出口通过安全网关采用树形结构连接核心交换机，核心交换机通过光纤和电路连接各楼宇的交换机，各交换机再连接信息插座。无线AP、办公电脑、学生电脑、班班通、一体机等通过信息点接入楼层接入交换机。学校接入部分拓扑：学校出口网关设计**区各个学校的规模不同，多数学校网络规模不大，对性能的要求可能不大，但对出口设备功能性的要求一点也不少，出口路由、网络安全、URL过滤、内容审计、日志记录和流量控制都需要，但学校网出口和城域网出口又不一样，无法像城域网那样配置专门的出口引擎、流控设备、防火墙、行为审计设备、日志记录等系统设备，所以就必须有一种设备即能满足学校出口功能性要求。出于统一建设的原则和综合成本角度考虑，方案设计对各教育单位和学校统一采用安全网关接入教育城域网，部署在各学校校园网和教育城域网的链路中间。安全网关的具体配置可以根据学校的规模、接入终端的具体数量选择不同档次。出口网关设备需要给学校提供以下出口保证：MIPS多核架构，保证多应用下高性能；多合一设备，部署灵活简便；不需要再去考虑用防火墙、路由器还是流控、VPN，多应用整合；管理维护简单；内置WEB人性化界面，配置向导等；多台设备分布式部署，可通过日志系统、网管系统等进行集中式管理、日志收集；应用控制，提升运作效率；专业流控，优化网络速度，提升用户网速体验；从实际出发的用户管理功能；支持用户组织架构导入；支持对用户进行黑白名单控制（应用控制、流量控制等）；支持对关键用户、关键应用的带宽保留服务；URL过滤，内置URL数据库，让用户远离黄赌毒等违法信息；支持NAT日志、URL日志、IM聊天日志、邮件日志等多种日志，支持本地化日志大容量存储和检索；智能选路，优选数据传输路径，合理利用多条带宽资源；当网络拥有多条出口线路时，选路规划的不合理会造成上网慢、带宽资源浪费等问题；内置硬盘，与城域网热点缓存系统联动，实现热点资源分发至学校，提高资源访问效率。校园网用户终端分类隔离校园网内部用户终端至少分类为学生机房电脑、教师工作电脑、无线终端等。基于如下原因需要将终端分类隔离到不同VLAN。大规模环境中广播域的隔离。不同类别用户终端的安全风险隔离，包括病毒、攻击（特别是校园网环境ARP类攻击，建议接入交换机具备防ARP攻击或端口隔离功能）不同类别用户有不同的访问控制需求。不同类别用户有不同的流控需求。不同类别的用户有不同的审计需求。隔离原则大规模校园网必须对每类用户终端做VLAN隔离。拥有宿舍楼的校园网必须做到宿舍楼与教学区隔离。小型校园网可以免隔离。通过其他技术手段保障风险控制、访问控制、流量控制。校园网出口实名认证出于以下原因，校园网出口必须实现实名认证功能。防止非法用户私接。便于针对用户或IP地址做流控。便于实名审计。如果在各校园网出口设备上实现用户认证，必须能够在中心机房进行统一用户管理。如果在中心机房入口设备上实现用户认证，必须能够配合流控机制对每用户或IP限流。从简化认证管理便捷的角度，本次采用在中心机房入口设备实现用户认证（即核心交换机扁平化集中认证），校园网本地安全网关可作为备用认证设备，实现学校本地化认证。校园网出口网关选型说明根据学校不同规模提供三个档次出口网关：高档：满足校园网1000以上用户规模使用，并发上网1500人；中档：满足校园网1000以下用户规模使用，并发上网500人；低档；满足校园网500以下用户规模使用，并发上网250人；各学校根据实际调研结果，选择使适用的出口网关。无线校园网设计结合WLAN的实际应用和发展要求，公众无线局域网(PWLAN)网络系统设计，主要遵循以下系统总体原则：实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。成熟和先进性原则：由于WLAN应用于运营网络仍然属于新新技术，需要及时将新技术引用进来，更好的开展应用，同时也要求保证网络与应用的可靠性。规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。根据目前学校的用户规模和城域网建设情况，拟采用无线控制器(AC)+瘦AP（FITAP）的组网方式，控制器部署在城域网中心将，对全区各个学校所有无线AP进行集中管理。瘦AP实现无线信号的处理，而用户管理、加密、漫游、AP管理等功能全部集中到AC进行，这样可以简化整个网络的管理，提高设备的工作效率。AP的供电采用以太网供电，通过以太网线来汇聚AP的流量，同时为AP提供电源，这样可以简化布线，同时减少故障点，提高网络的可靠性。无线网络总体架构本次无线覆盖架构如下图所示：如上图所示，无线网络采用AC+FITAP的组网方式：1、在城域网中心机房核心端部署2台无线控制器，实现对全区所有中小学的AP进行集中管理和维护。2、在各个学校根据不同的使用场景部署最佳类型的无线AP，实现信号的前端覆盖。3、所有无线AP支持802.11AC协议，保持先进性，避免刚建成即落后的尴尬；同时，兼容WIFI802.11a/b/g/n，具有良好的兼容性。4、学校端零配置部署，分布于各个学校的AP“零配置”，完全由部署于城域网中心机房的“无线控制器”进行统一管理、配置、监控。具体来说，从包装盒内拆封出来AP，接入学校任意交换端口，即可自动完成自我配置并提供无线服务。5、在学校的配线间新增千兆POE交换机，实现对本楼所有无线AP的集中连接，同时为AP提供POE供电。6、所有楼层新增的接入交换机全部通过千兆线缆连接至校园网核心交换机。7、针对师生的安全和管理考虑，在中心机房部署1套安全准入认证系统，实现对所有接入用户的安全认证，保证合法的用户接入网络，非法的用户禁止接入网络。同时针对无线用户，可提供目前业界最便捷的无感知认证方式，实现最佳的用户体验和最好的安全保护。无线覆盖指标要求无线覆盖信号覆盖区域信号强度不低于-75dBm，信噪比SNR≥20。应用使用较为集中区域的接入速率应不低于140Mbps。室内分布系统天线的等效全向辐射功率≥7dBm。室外分布系统天线、独立WLAN天线的等效全向辐射功率≥22dBm。室外覆盖方式时，WLAN无线信号一般按穿透一堵墙设计。容量计算经过多方查证和咨询了解到：对于小办公室：按照每个AP覆盖5-8用户进行设计（用户只有老师）；对于会议室：按照每个AP覆盖25-30用户进行设计；对于高密度教室：按照每个AP覆盖60—80用户进行设计；因此，产品的选型尤为重要，必须能满足带机量的要求，以保证用户的接入质量和正常需求下的网络吞吐量。同时，也需要考虑到无线AP覆盖的环境，对于环境复杂，或者遮挡物较多等对AP型号有强烈干扰的区域，建议AP接入用户数酌情减少。不同场景下的无线部署室内直放覆盖对于一些特殊地理位置，室内区域通常面积都不大（小于60方米），每个场所放1个AP即可满足覆盖需求。对于大面积区域稍复杂的应用环境（单位面积人员数量多），例如教室或大型办公室，考虑使用一个或者多个AP进行覆盖，参考原则为每个AP的用户容量25-30人，如果为教室，建议采用2个AP进行覆盖。覆盖方式如下：主AP支持二条空间流技术，2.4G提供最高300Mbps的接入速率，5G提供最高867Mbps的接入速率。主AP提供两个千兆电口和一个USB接口，其中一个电口支持PoE供电模式，另一电口支持级联扩展AP，预留USB接口，可灵活连接外扩配件。扩展射频AP无需额外单独供电，支持二条空间流技术，2.4G提供最高300Mbps的接入速率，5G提供最高867Mbps的接入速率，动态扩展主AP性能后，可实现超高密度接入、盲区补偿、辅助定位、频谱探针等高级功能。小开间稀疏应用场景——入墙式AP覆盖AP示意图（本图仅供参考）：入墙式AP是专门为办公室环境推出的新一代基于802.11ac协议的迷你型胖瘦一体化的无线接入点（AP）。尺寸可在86mm面板盒上安装，而且还集成了以太网口和IP电话接口，整机设计简洁美观、部署便捷，可以在不破坏墙面装修的情况下安装在接线盒上，是小型办公室等环境无线网络建设的最佳选择。墙面式AP采用双路双频设计，可支持同时工作在802.11a/n/ac和802.11b/g/n模式，可同时提供300Mbps的802.11n及866Mbps的802.11ac接入速率。室外无线覆盖室外区域分布有较高、密集的建筑群和植物群，这对于信号的阻挡将是较大的障碍。因此，应当选用专用的室外大功率无线AP产品，配置使用定向天线，可以保证无障碍下的300米半径覆盖以及近距离的多重障碍物的穿透能力，完全保证了室外区域的信号覆盖品质，同时设备本省具备抗雷击、防雨、防潮、抗高低温、阻燃等多项指标，无线室外覆盖，建议部署在校内的制高点上，同时采用全向或定向天线向进行无线覆盖。室外型AP一般采用IP67防护等级的外壳设计，适合在极端的室外环境中使用，可有效避免室外恶劣天气和环境影响，可高度适应寒冷天气与潮湿天气环境对设备的苛刻要求，大大降低了安装和维护难度。同时，室外型AP需要内置天线，并支持内外置天线切换，可以满足几乎所有环境要求下的室外无线Wi-Fi网络覆盖可支持远程以太网供电模式，便于安装部署。无线控制器WEB认证随着近年来iPhone、iPad、Android、WindowsPhone等各种智能能移动终端的日益普及，网络中不再是清一色的笔记本电脑终端。一个智能的无线网络，必须能够考虑到不同的终端类型、屏幕尺寸对门户认证页面的不同要求，实时地对各种终端类型进行识别，并推送符合终端屏幕尺寸的WEB门户页面，使用户能够更为便捷的输入用户名及密码，提升无线用户体验。无线控制器不仅要支持终端自动识别功能和WEB门户页面推送，而且推送的认证页面还需要可以根据用户自定义放置一些广告、通知、应用链接等，提供更多个性化服务。若配合认证服务器还可实现基于终端类型的角色、访问权限的划分等，帮助网络运维人员实现更为精细化的无线用户管理。1.1.4统一互联网出口设计**区教育城域网的互联网出口采用集中大出口设计，所有接入学校和教育单位均需要从教育局城域网中心机房出口接入互联网，集中出口区域的高速NAT、路由、流量上网行为管理和内容审计、边界安全防护、精细化流量控制五大应用需求必须重点考虑。因此，方案设计在城域网中心机房集中网络出口位置部署高性能出口网关。教育城域网的互联网出口主要保证数据中心区互联网访问、各教育单位、中小学校的互联网统一出口。为了保证互联网应用的流畅运行以及用户的上网体验，需要对一些关键应用的带宽有足够的保障，出口区域的设备对关键需求有足够的支撑，能够支撑包括门户网站区域在内的所有外网应用都稳定可靠，不允许在包括出口在内的骨干区域出现故障隐患，所有设备档次要适度超前，避免因为需求的不断发展出现性能瓶颈；另外出口作为外部攻击的主要通道安全的重要性是毋庸置疑的，需要综合考虑到整个网络对于出口区域的安全防范问题。综合上面对互联网出口区情况的分析，本次方案总结出口区域的设计思路为：提供高性能NAT地址转换，满足15000用户的并发宽带接入需求；提供可靠稳定的互联网接入，出口支持2000M以上的吞吐能力，无性能瓶颈；提供多链路的负载均衡，智能选路功能，可以依靠线路的负载、应用类型、运营商的不同和访问速度来智能判断最快的访问线路或指定特定的应用走特定的线路；提供完善网络安全防护功能；提供网络访问行为审计功能；提供出口精准流量控制功能；提供对关键应用服务器和门户网站的重点保护；提供针对教育行业用户的内外网教学资源优化配置调用的功能。综上所述，本次统一出口设计包含出口网关、防火墙、WEB防护、流量控制等产品，组成统一互联网出口解决方案。统一互联网出口解决方案随着互联网应用的日益丰富，有限的带宽已经无法满足校内用户的应用需求，在不降低用户体验的情况下，如何控制流量，保障关键应用的运行是校园网面临的重大问题。互联网出口流量中大部分是重复流量和重复的文件，如果能够在网络中部署一个内容缓存设备，将大大提高校内用户的使用体验。用户在互联网读取数据时，会首先在缓存设备上进行高速查找，如果存在同样的数据那么直接进行本地转发，一次外网访问，多次内网服务，提高互联网带宽承载能力，用户访问速度提升加倍。大大提升校内访问速度，极大的提升用户体验。内容加速系统可以针对HTTP下载、流媒体、P2P等资源进行热点缓存，加速用户访问速度数十倍，并且能够节省出口带宽。此外，热点缓存加速设备还可以内置杀毒引擎，支持IPv6，支持万兆扩展，支持云模式等。在部署方面，热点缓存加速设备应该做到：1）旁路部署，对网络无影响；2）一台硬件设备能够集成监控服务器、调度服务器、缓存服务器、管理服务器等多台设备；3）设备是透明的，除速度飞快之外，没有任何感觉。出口多链路负载均衡部署出口多应用安全网关，实现链路负载均衡，包括：基于链路状态和目标位置的出流量负载均衡，以及基于访问源位置的入流量负载均衡。同时可实现NAT功能。互联网出口防火墙部署防火墙，以对进出中心机房的数据做访问控制，同时也支持NAT功能，可作为出口安全网关的备份设备使用；上网行为管理多应用安全网关，还可以实现对用户上网行为管控，一方面规范城域网网络使用行为，另一方面控制互联网出口带宽优先保障关键应用，不被其他应用无关数据滥用。流量控制部署流控设备，对进入中心机房的数据做流量分配。原则上针对每IP地址或网段限流，不同类终端的流量分配视校园网具体情况定义。安全防护设计教育城域网的网络安全设计面比较广泛，主要包括基础网络设备的安全防护、PC终端的主机安全防范、服务器专区的服务防范（特别是WEB防护）与实名制上网的安全记录需求设计这四个方面，需要根据不同的需求按照不同层次、不同方法分别加以设计，通过融合多种安全机制实现城域网整网的安全架构设计。城域网层次化安全设计主要是包括四个部分：基础网络分布式安全防御体系、端点主动安全防御系统、服务器区安全防御与实名制上网功能。基础网络安全防护设计基于教育城域网的特点，城域网和校园网是一个开放的应用环境。在这种环境下尤其容易感染网络病毒和发生网络攻击，这给网络主干带宽带来严重冲击，甚至可能造成整网瘫痪。因此，为了保证整个网络的带宽可用性，防止网络病毒传播扩散，防止网络攻击的发生，在本方案中，出口设备保证内外网安全控制；核心、接入层网络设备均支持嵌入式防DDoS攻击、CPU策略保护、基础网络保护策略和最长匹配三层交换LPM技术，由单点安全变为区域安全，防止网络扫描、和攻击。移动用户接入安全设计考虑到移动用户接入安全和便携性，推荐采用SSLVPN接入方式。在城域网中心机房部署1台SSLVPN网关，移动用户通过WEB界面或者SSLVPN客户端即可实现安全的VPN接入，灵活访问城域网资源。网络行为审计行为审计系统要能够全面详实地记录网络内流经监听出口的各种网络行为，以便进行事后的审计和分析，日志以加密的方式存放。网络行为日志全面要记录包括使用者、分组、访问时间、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、访问类型、访问地址/标识等关键数据项。支持在三层交换网络环境下获取用户计算机真实MAC地址功能；多应用环境下的网络数据审计还原。网络流量分析需要在全面记录网络出口流量数据的基础之上，以简单、直观、易理解的形式为用户提供实时和历史流量监测和统计功能。主要包括以下几个指标：实时流量、当日流量和历史流量。能根据历史上网日志数据统计产生丰富详细的报表，包括分组上网排名、人员上网排名、网络应用统计、访问资源统计、趋势分析等。可按年度、月度或者指定时间范围生成周期性报表。报表种类包括柱状图，饼图，曲线图，折线图等。报表可以以EXCEL、PDF、WORD、HTML等形式导出保存。并支持自定义的周期性报表自动生成和订阅。1.1.5教育局信息管理中心教育局信息管理中心的整个网络架构和学校类似，所不同的是能够直观、全面的通过显示大屏了解整个城域网络设施设备，网络信息接入点的运行状况，对数据中心各项网络设备数据服务进行远程管理指挥。为实现远程运维管理，城域网还要加入运维管理系统。运维管理设计由于信息系统是一个包括了众多软件，硬件技术，设计多厂家产品，从网络，安全，存储，计算到中间件和应用的复杂异构环境，而且随着信息建设的深入和持续优化和发展，这个复杂庞大的基础设施，还会随之不断进行演进，在产品，技术和网络结构，应用关系上不断发生变化，因此，要求针对该环境进行管理的系统具有良好的可扩展性，能够将下层网络和的复杂度有效的通过抽象屏蔽起来，向上层应用和运维流程开放稳定的接口。基于这样的需求背景，城域网运维管理系统主要实现的是基础网络管理、关键应用系统管理、IT运维流程管理这三大块系统。通过开放式接口，实现IP资源的管理和性能评估、监控，同时满足对多厂商设备、各种基础设施的统一运营管理。为了在问题发生的时候快速判断其影响范围和程度，需要通过图形化手段快速制定最佳控制和问题解除方案。通过面向关键应用的基础设施管理，让IT投入的效益的到最大化的体现，并能够在网络和信息团队运维资源有限的条件下，让用户按照其重要性体验到服务品质的提升。但同时又能向上提供稳定的管理接口和管理服务的抽象层中间件，屏蔽硬件的异构性，降低管理复杂度，从而帮助用户构建可持续发展，高回报的IP计算环境，大大降低IT服务管理的复杂度，以可视化，对象化的方式实现IT环境透明化。运维管理关键点从综合IT监控管理技术的发展来看，有以下几个关键的选择指标是在进行方案构建和产品选择的时候需要重点考虑的：可视化能力建设IT运行监控中心的一个关键用途是与大屏幕监控中心配套，实现最佳的展示效果，体现信息化的建设水平和理念高度。因此可视化的效果如何，动态呈现的能力如何，就成为系统和方案选型中的一个核心考虑要素。应用建模能力作为每个组织的IT维护工作，都有自己的核心应用，这些核心应用具有不同的重要性，组成结构，服务于特定的部门和用户，我们关注其不同的运行指标，这些个性化的管理需求，能否快速的，通过图形化的建模方式加以实施，并迅速在管理视图上得到反应，是非常重要的一个维度。尤其需要避免的，是为了跟随组织的应用变化和IT系统演进，而大量的定制和重复开发，往往带来难以接受的实施周期和后续成本。因此，系统可配置性如何，图形化的应用系统架构和监测体系建模功能如何，需要着重考虑。实施周期目前有大量的号称基于ITIL的完整的IT运维流程管理产品，囊括了从综合监测到ITIL流程管理的所有方面，这些产品都集成了许多流程组件，工作台组件，知识库组件等，但是我们知道，流程是一个个性化非常强的东西，每个组织都有自己独特的IT管理体系和应用流程，简单的一次性照搬产品化流程系统，容易给我们带来削足适履的麻烦，长期而言可能带来很长的学习曲线和调整，并导致实施和维护成本的上升。而我们实施管理平台的目的，无非是为了更好的提升核心应用的维护质量，围绕这个目标，能否有一个有效，清晰，简洁的管理机制，并可以与逐步建设的工作流程通过SOA架构方便的集成，是从实际部署来看，成功率更高，更容易产生效果的建设思路。设备兼容性要简化管理，首先要能够全面的管理各种基于IP的IT基础设施，这是一个基础，因此，系统要能够兼容国内各种主流的软硬件产品，包括网络设备，服务器，应用，中间件和环境等，要具有比较良好的网络层和链路层自动发现能力，具有自动发现主流应用和中间件的能力。从而最大化的降低管理人员对管理信息的维护工作量。运维管理系统设计系统架构教育城域网运维管理系统为了有效地形成一个整体的安全管理体系，采取数据中心和学校两级部署模式：在数据中心机房建设集中安全运维管理平台，形成对全网的统一监控和安全管理。而在学校一级建设和完善校园网安全管理工具和基础设施，形成每个学校的本地安全维护和管理能力。下面是整个系统的功能架构表：系统名称模块名称功能简介集中安全运维管理平台网管系统网络管理系统，实现整网设备的统一管理和告警管理，具备强大的大型网络拓扑发现和展示功能，实现多厂商、多种类产品的统一管理城域网IT运维应用流程管理系统实现中心运维管理的流程化、规范化和自动化，实现运维工作的量化评估和持续改进，让组织运维工作绩效的提升得到直观呈现和系统的管理。可视化设备管理组件为网络管理人员提供图形化、可视化的设备配置工具，通过图形菜单的方式对设备进行配置和管理，降低维护人员的管理强度和难度。流量和日志分析组件实现对本地上网行为的日志记录和分析。基础网络设施网流分析引擎实现应用流量分析和监测，直观、图形化的查看到网络流量究竟是由哪些应用引起的，还能够对流量进行精细化的控制和管理，能够结合全局安全网络系统实现基于用户身份的流量管理。安全接入安全认证交换机通过其具备的802.1x认证、端口数据包安全检测、可信任ARP和与安全认证管理系统配合实现自动执行安全策略的能力运维管理重点—关键应用管理中心融合开放的运维综合管理平台逻辑架构：应用了动态自适应技术的性能评估模型，通过可定义性能门限与自适应算法相结合，进行性能趋势分析和状态评估基于统一信息模型和性能评估模型生成集中IP基础设施资源库能够对多厂商的设备、中间件、服务器、数据库系统进行统一发现和管理面向ITIL流程自动化集成环境需求基于运维平台的关键应用运行管理系统体系架构：运维系统逻辑架构从软件体系结构角度看，系统可以分为以下四层：数据采集与代理：本层由各种协议适配器构成，向上层提供统一的接口访问管理协议栈，获取管理信息（包括事件信息、日志信息、性能信息和拓扑信息等）,并在初始发现时作为驱动模块构建信息模型。数据汇聚：对底层数据采集的数据进行统一的描述，组织为管理信息库。向上提供一个统一的管理语义和调用接口。使得各个应用模块面对统一的数据模型，使得对资源的管理方式一致并处于单一的可控路径下，方便对资源进行权限管理，互斥访问等操作，使得面向事务的并发管理成为可能。数据处理层：专注于管理应用的实现，不再关心底层协议的差异性。响应前台应用的请求，完成数据查询，处理等功能；数据展现层：前台界面，从数据处理层得到数据加以显示。是管理员与网络管理系统的接口。关键应用监控中心技术特点面向应用关键应用监控中心的一个核心设计思想是面向关键应用系统运行的管理。其主要通过关键应用管理视图来实现。应用管理视图可以将用户信息中心的各种资源管理按照其内部的特定应用划分开来，系统管理员只需管理影响每一应用处理的那些资源。这种管理角度和模式的转变大大减小了系统及网络管理的复杂性。例如，在系统中，我们可以选择某一种信息应用中的一个子系统作为一个应用管理视图，把相关的网络资源拖入这个视图中，这样对此应用子系统的管理就可以通过对其应用处理视图的监控来实现。通过关键应用监控中心的应用管理视图，可以将应用处理与应用管理有机地结合起来，从应用管理的角度来关注和管理网络资源。基于业界主流标准的融合管理信息模型基于统一信息模型泛化技术实现网络资源抽象和资源化前端交互技术从前端技术上讲，目前绝大多数综合IT管理系统是基于传统JSP/HTTP的B/S产品，而实时智能基础设施库的架构是基于标准的SOA架构，以WebService技术实现的产品，前端采用基于Flex3.0的RIA架构，前端技术上更先进，具有更好的展示效果和动态交互能力，因为采用了完全的SOA架构和WebService技术，能够更好的符合IT应用环境向SOA架构演进的趋势，能够帮助用户更好的进行应用流程整合，可以通过标准的SOA方式集成到第三方的流程管理产品中，有效降低用户进行多厂商集成的复杂性和成本。关键应用监控中心采用的RIA架构技术，支持种类广泛的界面控制元素，这些控制元素可以很好的与数据模型相结合。这种用户接口，它比用HTML能实现的接口更加健壮、反应更加灵敏和更具有令人感举的可视化特性。为用户提供了更加友好的交互服务和丰富的客户体验，同时减少了与服务器的响应，提高了响应速度。另外在设计中采用了MVC设计模式，通过模型、视图与控制器的分离良好地实现了应用逻辑和用户交互的独立，使系统的可维护性、可修复性、可扩展性、灵活性以及封装性大大提高。RIA技术是对目前B/S架构的反思和对C/S架构回归要求的背景下，产生的用户体验要求。它既有B/S架构的零部署好处，又有C/构中功能强大，表现力丰富的优点，更能满足网络应用发展的要求。分布式计算技术基于良好的体系结构的分布式部署能力和建模能力，因此具备更好的可扩展性，能够方便的支持新的设备，新的应用组件，适应不同规模的监控环境和网络环境，能够适应多种操作系统。通过提供基于J2EE的分布式架构，IPNetManager可用来建立适合大型IT环境的易于扩展和分布式的系统平台，使得各模块具有提供事务服务、安全认证信息、数据库访问和连接池、线程池、负载均衡和容错等高级特性。集中性关键应用监控中心基于Web的网络管理模式(Web-BasedManagement)提供给用户非常熟悉的Web浏览器的单一用户接口，用户能够在任何时间、从任何地点、按照规定的应用权限、通过浏览器使用网络管理功能，达到了集中监控和管理的目的。层次性关键应用监控中心既支持集中式管理，又支持层次式管理。当网络规模比较大的时候，可以采用层次化网络管理，引入域管理模式，利用节点服务器以减轻网管中心服务器的负担，减少网络传输、消除瓶颈，增加可靠性和扩展性，提高整个网络管理系统的性能。针对大型、分层的电信级IP网络，关键应用监控中心提供的网管体系可以达到四层(客户浏览器层、网管中心服务器层、节点域管理层、由网元组成的子网层)，对地市级、省级、全国的网络进行分层的管理。跨平台、跨厂商兼容性允许用户从使用单一的管理平台集中管理包含TCP／IP等多种协议的LAN、MAN和WAN，管理多厂商的设备和产品。同时，产品本身也应具有跨平台性，能够在不同的网络管理平台上运行，支持Solaris，Windows，Linux，HP-UX，IBM-AIX等。可伸缩性关键应用监控中心具有一定的伸缩性，适应不同的应用环境。对于简单的信息中心管理环境，只需提供基本的功能，系统的配置也可较低；对于大型信息中心管理环境，功能要求比较完善，系统可以采用多机处理的模式。因此，关键应用监控中心的伸缩性不仅表现在功能的灵活搭建，也表现在系统结构的动态伸缩。可扩展性关键应用监控中心具有良好的扩展性，能为新的应用和服务提供支撑平台，同时网管系统提供接口，在应用扩充与增加时，网管系统功能的添加简单方便。系统完全是建立在开放构架上的，其可扩展性体现在两点：可集成性：产品的设计完全是为便于集成的，针对不同的应用情况能够配置最佳平台。正因为它基于开放的标准，关键应用监控中心能够集成现有系统和第三方软件；支持SOAP集成：关键应用监控中心在今天是一套完整的支持WebService的产品；关键应用监控中心是基于开放和主流的标准和技术之上的。这些标准和技术包括：LDAP（轻量目录接入协议）；XML（可扩展标记语言）；SOAP（简单目标接入协议）；XMLP（XML协议）等。高性能系统具备较高的性能，其中各种算法和处理占用的系统资源应较少。比如，拓扑自动发现在较短的时间内找到某个网段内的所有设备；数据采集进行轮询时，采集的时间间隔和采集的数据量设置合理，以免增加网络的流量，降低网络性能。高效率的数据采集是非常重要的。拓扑发现只是在网络初始化时进行，而数据采集则是无时无刻都在进行的，比较频繁，因此如何高效率低带宽消耗地进行数据采集是很重要的。关键应用监控中心的数据采集权衡了效率和带宽消耗两个因素，动态地调节数据采集任务数，在网络使用高峰期间任务数相对减低，网络使用低峰时则加大任务数，充分利用网络带宽，提高采集效率。同时，系统管理的各种对象都存放在数据库中，表示逻辑与处理逻辑相互分离，保证了系统的处理能力。统一呼叫中心的设计考虑到建成后的城域网规模庞大，设备众多，需要投入专人进行维护管理。设备分布在各个学校，管理难度大。基于此，我们提出在城域网中心机房建立呼叫坐席系统，以大屏显示的方式直观了解，集中处理中心机房及各个学校的网络故障。呼叫坐席系统可与运维管理系统联动，实现检测网络运行健康状态，可通过主动发现、被动响应方式处理故障，从而提供服务等级，简化维护流程。1.2校园安全监控近年来，校园暴力事件屡有发生，为了有效保障学校教学、科研和生活的正常秩序，通过在学校重要场所布建视频监控设备来达到防止、阻止突发安全事故的校园安全监控建设已经获得了各类学校、各级教育主管机构以及公安部门的极大重视。传统的闭路监控系统（包括以DVR为主的区域监控系统）采用视频线缆或者光纤传输模拟视频信号的方式，对距离十分敏感，且跨地域长距离传输不够经济便利，一般以局部的区域进行集中监控，远距离的传输一般采用点对点的方式进行组网，整个系统的布线工程大，结构复杂，功耗高，费用高，需要多人值守；整个系统管理的开放型和智能化程度较低。与传统的视频监控相比，网络视频监控结合城域网络架构，更便于计算机进行视频信息的压缩、储存、分析、显示以及报警等自动化处理，从而实现无人值守；通过网络平台实现了远距离监控，即使是数千公里外也能达到亲临现场的效果；利用先进的软件系统不仅在几分钟内便可完成传统视频监控中大量的数据分析，提高了监控效率，再配以高清监控摄像头能获得更为逼真、清晰的数字化图像质量与更为便捷、实用的监控管理和维护。网络视频监控是一项集计算机、网络、通信以及视频编解码等多项高新技术的整合产品。通常模拟摄像机后面需要连很多的线，分别传输视频、音频信号。模拟信号在后端的处理和管理也存在诸多弊端。在数字化管理平台中，模拟信号需要首先被转化成数字信号存储、归档、查询，到调阅查询时，又往往需要被还原成模拟信号。面临实时查询、跨部门实时信息共享等复杂需求时，模拟视频监控数据处理的低效之弊更是暴露无遗。网络视频监控主要的优势：高效实现远程监控如果需要实现跨地域远程监控，就应该首选网络视频监控系统。当然，某些硬盘录像机也具有网络传输的功能，但硬盘录像机是着重于本地录像，远程传输的效率远不及网络摄像机、网络视频服务器，软件功能也不大完善。而网络摄像机、网络视频服务器，是专为实现远程监控而设计，网络传输效率非常高，而且其客户端软件也比录像机的软件要专业、好用得多。利用原有局域网，无需另布视频线传统监控系统的实施是要专门铺设视频线、音频线、控制线的。而大型企事业单位，通常占地面积很大，铺设这些线路费时、费力、费钱，而网络监控系统则无需专门布线，可以利用企业原有的局域网来传输视频、音频以及控制信号，安装方便多了。可多人同时监控，无需上监控中心传统监控系统需要专门设置一个监控中心，单位的管理者如果要查看监控画面或查看录像资料，必须跑去监控中心。如果安装了网络视频监控系统，则管理者可在自己的办公室，用自己的电脑监控实时画面或查看录像资料。而且多位管理者均可各自监控，互不影响。多路图像集中管理传统监控系统中，每台硬盘录像机最多只能管理32路图像。而网络视频监控则大大跨越了这个限制，一台电脑主机可以管理上千路图像，充分发挥出集中管理的优势。分布式架构，易安装、易扩展传统监控系统采用的是集中式架构，将所有视频线、音频线、控制线拉到监控中心，如要增加摄像机则需再布线。如果想搬迁监控中心，则工程浩大。而网络视频监控系统是采用分布式架构，各个网络摄像机、视频服务器分布在单位中的不同地方，而监控录像主机也可设在单位内的任何地方，接上网线即可。要增加摄像机、转移监控主机，可以随意进行，完全没有制约。集合了监听、广播、报警、远程控制等网络视频监控产品不仅只传输图像，还集合了多项功能，而这些信号全部通过网络传输，无须另外布线。具体功能如下：监听——监控中心可以监听多个前端设备的声音广播——监控中心可选择对多个前端设备进行喊话对讲——监控中心可与任何一个前端设备进行双向语音对讲报警——网络摄像机、视频服务器均有报警输入端口，在中心管理软件中可以对前端的设备进行布撤防管理，报警时可以联动相应的视频窗口弹出、录像、电子地图闪动，甚至还可以联动摄像机转到相应的角度远程控制——网络摄像机、网络视频服务器均有报警输出端口，监控中心可以控制输出端口输出信号，可用于控制电器的通断。1.3录播教室应用模式学校之间、教室之间的时空距离是阻碍班班通的又一制约因素。打破时空限制，加强校际联运，使得课堂实录性的资源作为一种优质的教学资源实时共享，或者作为教学研究和教师培训的重要资料，促进教师自我反思以及教学技能的提升，也不失为一种有效的班班通解决方案。目前来看，录播教室主要有以下三种模式：1）课堂互动直播“班班通”要实现的是每个班级都具备与外界进行信息沟通的能力，这个与外界信息沟通的过程同时也是优质的教育资源通入课堂的过程。这种优质的教育资源承载的是先进的教学理念、先进的教学方法和技能、创新的教学模式，因而能对教学改革产生积极而深远的影响。这些优质教育资源接入课堂的方式，一种是以已完成的形态传输到教室，如已刻录好的教学光盘、已制作完毕的课件和网络课件等；另一种则是在生成的状态中同步传输到其他教室或课堂内，形成一种生成性、互动性的“班班通”形态，使两个甚至多个课堂中的教师、学生、教学资源全面互通互动，打破班级与班级、学校与学校之间的地域限制，使传统的课堂转变为信息丰富的课堂、开放的课堂。2）生成课例资源及互动研讨通过录播教室的录播功能，可以录制并剪辑出优秀的课例资源，作为本区域或本学校的区本或校本资源积累下来，成为有地方特色的、本土化的教学资源的一部分，利于本区域的其他学校教师或本校其他教师进行学习和讨论。通过录播教室的互动直播功能，还可以方便地实现双向交流，建立起一个由教研人员与一线教师共同参与的、校际与学科相交的立体式教研网络。突破原来教研只能小范围、短时间互动的局限，增强教师参与教研的自主性，问题反馈的及时性和互动交流的广泛性，实现教学与教研同步，开创一种多主体、跨时空、低成本、高效率的教学研究新途径。3）课后反思评价课堂上这些宝贵的生成性资源不仅可以作为一种教学资源传递、传播给其他学校、其他班级的学生，还可以作为一种重要的资料保存下来。通过查看优秀的课例视频，教师可以吸收优秀教师的课堂教学经验，学习有效的教学方法和技能，获取优质的教学资源和资料，进而丰富和充实自己的课堂；通过观看自己教学的课堂实录，教师可以及时总结自己的经验和不足，反思教学，进而重新审视自己的教学理念和方法，提升教学技能。基本构成及功能

录播教室主要由录播工作站、教师/学生跟踪主机、摄像机、录播软件等构成。具体如表：环境构成

1、录播工作站2、教师/学生跟踪主机3、摄像机4、录播软件

基本功能

（1）可以进行课堂实录：智能化地进行画面调整与切换，符合视觉习惯。教师和学生无须佩带任何跟踪设备，也无须进行任何操作，实现完全常态化的课堂拍摄，丰富教学资源。

（2）可以进行互动录播：实现班级与班级之间的课堂互动，打破了空间局限，实现了跨空间的课堂互动和资源共享。

（3）支持教学教研：可以高质量、高清晰度地记录课堂情境，为网络化的课程评估、老师技能评价和培训提供技术平台。

（4）可方便地生成课例资源，充分展示和再现优秀教师的教学现场以及师生互动的活动细节，利于区本或校本优质教学资源的积累。

扩展功能

IP网络多媒体教学综合应用系统：统一、互联互通、可管理、可运营的区域级综合平台。能够实现中央、省、地方三级多种格式教育、教学资源接入，实现教育主管部门对每一个班级教学应用的在线、实时管理，能够支持计算机、机顶盒、3G手机等终端调用资源。环境点评

录播教室的建设是“班班通”工程中实现校际互动的主要解决方案。利用录播教室既可以对课堂进行实时地互动直播，促进不同课堂中的教师与学生、资源与活动的全面融合，又可以结合课堂实录进行及时互动的教学研讨，实现跨时空、高时效的教研新模式，还可以作为教师课后反思评价、提升技能的重要工具。录播教室主要适用于进行校际互动，或以区域或学校为单位生成区本或校本的教学资源，进行区域性的教研互动活动等。录播系统与相对小巧、简单的录播软件相比，主要有以下几点不同：首先，录制展示的重点不同。由于受到软件功能的限制，录课软件生成的课堂实录文件以展示教学课件内容（屏幕录制信息）为主，同步展示摄像头视频录制内容（教师的授课肢体语言）、语音内容，以及课程信息和索引。大型录播系统配备了强大的教师/学生跟踪主机，系统可以自动控制摄像机云台，选取最佳取景范围自动跟踪教师和学生，使课堂得到极大程度地真实再现和还原，与录课软件相比，更加侧重对教学中教师和学生主体行为的展现。其次，基于两者在录制展示重点上的不同，其各自适用的范围也不同。录课软件比较适合于支持讲授的教学模式展示，而录播系统借助其强大的导播功能，不仅可以支持讲授型的教学模式，还可以很好地支持对以自主、合作、探究为特征的活动教学的展示。最后，应用方式不同。录课软件录制出的课堂实录文件，通常是在上传到校、区、市的教学资源网站上以后，供其他教师下载学习和观摩，教师之间的交流更多地采用异步的方式，时效性不高。而录播系统录制的课堂实录，更多地以直播的方式加以传播和共享，有利于教师与教师之间、学科教学专家与教师之间，甚至在两个班级的教师与学生之间展开实时地交流和互动，灵活性更强，时效性更高。1.4微课室微课作为一种新型的教学资源，能突破传统教育的时空限制，为学生提供精准、快速的知识要点。微课已经成为传统教育的辅助性工具，为师生提供一种全新教学模式。分析微课的录制实际上是不拘泥于环境设备的，可以高大上，也可以朴实亲民，所以录制场地就不那么固定了。简单用于学生的实用微课可以是录像机直接摄录课堂授课过程，然后通过后期剪辑出精华。但是这种看起来比较粗糙，连贯性可能会比较差。所谓高大上，其实就是在录播教室中采用一些现代化教学手段来进行微课录制。通常录播室最主要的优点是在于摄录中光线的稳定和录制声音的清晰。通常使用现代教育手段的微课形式有这么几种1、单纯ppt2、ppt+板书3、背投形式讲解4、扣绿（蓝）技术成像。一般情况下教师会采用1,2两种。3,4两种基于学校录制环境建设，背投和虚拟录播室在高校中占有量并不很大，还有也是因为扣绿（蓝）技术对视频制作的教师有着极高的要求。其实如果授课教师有一定计算机基础，录屏讲解也是比较实用的微课形式，所以说，授课教师自己也是可以录制微课的。设计根据上面分析，我们了解到使用PPT+录屏讲解是比较实用的微课制作形式，也是目前授课老师最容易学习的一种微课录制方式。对现有资源能够充分利用、有效整合，为了满足微课程资源创生的前期数据采集与后期数据编辑，每间工作室配备工作站级高清视频编辑处理设备，结合录播教室移动录播设备，照明和录音环境，构建微课程素材，作为建设起点，后期根据各校使用效益进行调整和完善。1.5班班通班班通是指学校每个班级里具备与外界进行不同层次的信息沟通、信息化资源获取与利用、终端信息显示的软硬件环境，实现信息技术与学科日常教学的有效整合，促进教师教学方式和学生学习方式的变革，最终促进学生的发展。“班班通”作为教育信息化应用落实到每个班级终端设备，是整个教育信息化建设不可缺少的部分。**区“班班通”设备已经覆盖所有教学班级，剩下部分功能室还待继续完善，为更好使“班班通”设备运用于教育教学，将对“班班通”设备进行增补和运维。1.6办公云桌面桌面办公系统现状分析随着计算机技术的普及，计算机在人们日常办公中已必不可少。但对于分散数据存储、独立计算的传统的IT架构，系统稳定性不足、维护成本高、信息安全漏洞多等问题，也越发的暴露出来。为解决这些问题，IT运维人员不得不增设各种IT维护、内网管控、端口管控、DLP等系统。原本简单的需求，变得更加复杂，系统建设和运维成本也随之大幅提高。传统桌面终端多为X86架构的计算机，具备性能优势，但在系统稳定性、可维护性、数据安全、功耗、体积等方面，存在问题。X86架构的标准计算机存在的不足有：稳定性弱计算机自身架构负责原因，经常出现宕机故障；机械硬盘、风扇等部件的存在，冲击和振动容易导致部件的不可修复性损坏。操作系统、应用软件需要定期维护，否则容易产生软件故障，导致死机。自身发热大，如散热不良，易发生蓝屏死机。系统维护成本高终端不支持远程配置，须逐一配置管理，耗时、耗力大。故障不能远程修复，必须现场维修，故障恢复时间长，耗费人力大。操作系统、应用软件、病毒查杀等系统维护工作，也必须逐一升级维护，工作量大，维护效果差。数据安全难以保证每个终端都是数据的驻留区，都是数据安全保护的薄弱环节。每个终端的端口，较难统一管理，因各种外设的使用，容易导致系统感染病毒。功耗高单机功耗不低于100W，需要消耗大量电能。体积大大块头的机箱，需要足够大的空间来摆放。噪声大单机噪声30db以上，打破了办公区的宁静氛围。怎样的桌面办公系统，在满足桌面办公需求的同时，同时兼备简单易用，更高的稳定性、安全性，系统维护管理简单方便，更低的功耗，更小的体积等特性？针对以上问题，本设计方案，采用虚拟桌面平台，搭配使用云终端。在满足计算性能的同时，又兼具系统安全、稳定、易维护、低功耗、零噪声等特点，可以完全解决桌面办公系统所存在的问题。该系统，不仅提高办公效率，又可大幅降低系统的总拥有成本，完成云计算基础架构的建设。目前，仅考虑在教育局机关进行办公云桌面试运行。1.7硬件设备参考参数数据中心机房建设序号产品名称设备功能描述设备主要参数1核心交换系统提供多插槽升级，多核心虚拟化技术，分布式多引擎设计，汇聚学校和教育局，搭建城域网骨干，集中数据交换。同时支持集中认证功能，与认证软件配合，完成实名制认证上网。简化认证方式，提供高性能认证能力。10槽位以上机箱，模块化设计；冗余电源模块，提供24端口千兆以太网光口+4端口万兆以太网光口,24端口万兆以太网光口+4端口40G以太网光口2防火墙多业务防火墙，作为整个城域网出口防护设备，支持七层安全防护，防攻击、防病毒等，保护互联网出口安全万兆防火墙，冗余电源，提供千兆管理口（可以作为业务口），console接口；千兆电口；内置120G以上的SSD硬盘；1个USB口；3出口网关部署在互联网出口区域，提供流量控制、上网行为管理审计功能。固化8个千兆电口，固化8个千兆光口，固化4个万兆光口，2个扩展插槽，内置500G硬盘，两个硬盘插槽，内置风扇，1+1冗余电源，独立管理口，支持RUL过滤、上网行为管理与审计功能，特征库免费升级4热点缓存加速机架式设备，支持下载、流媒体、P2P、智能终端加速；内置10TB存储空间，1+1冗余电源，提供免费升级热点资源缓存加速，部署在中心机房，互联网热门视频和下载资源提前缓存至本地，各个学校提供本地化访问，提高访问体验5入侵防御系统入侵防御系统，支持对病毒、漏洞、木马等安全危险的控制，符合安全等保三级设计要求。千兆入侵检测防御系统，固化千兆电口和扩展槽，冗余电源。6认证防代理网关实名制认证防代理，防止学校老师私接路由器、防止账号共享给他人使用。7运维审计对中心机房的所有设备的登陆、调试、配置信息进行审计记录，防止设备配置被篡改8无线控制器用于对学校和教育局的无线AP进行集中配置管理高性能无线控制业务模块；最大可支持2560个无线接入点的管理，支持墙面式或面板式AP，接入场景下整机最大控制4000个AP9准入认证系统实名制认证软件，部署在服务器上。通过账号对全区所有用户进行认证登陆。做到实名制。10日志管理系统日志审计软件，将所有设备的日志、上网行为审计日志收集起来存储在服务器上软件产品，提供日志审计、流量报表、ACE审计11运维管理系统运维管理软件，部署在服务器上。将城域网所有网络设备、无线AP、服务器、存储、系统、数据库、业务系统进行集中监控管理，自动定时巡检城域网运行状态。提供城域网所有设备的配置管理、设备告警通知等。并通过显示大屏在教育局信息管理中心进行展示。标准Windows平台

基于Wind