教育城域网解决方案

韶关市教育局教育城域网解决方案汇报目录教育资源云对城域网带来的变革融合网络互联城域网解决方案典型案例基础教育信息化任务国家中长期教育改革和发展规划（2010-2020）教育信息化十年发展规划（2010-2020）三通两平台“加快教育信息化进程”作为独立一章；10个重大项目之一校校通/班班通/人人通教育资源公共服务平台教育管理公共服务平台加快教育信息基础设施建设加强优质教育资源开发应用构架国家教育管理信息系统三通工程的建设宽带网络校校通第一步，基本解决各级各类学校的宽带接入条件，基本完成各级各类学校网络条件下的基本教学环境建设；宽带到校、多媒体教室、计算机教室优质资源班班通网络学习空间人人通第二步，形成丰富的各级各类优质数字教育资源，并送到每一个班级；三个课堂：专递课堂、名师课堂、名校网络课堂；校本资源、区本资源、市级资源第三步，教学和学习模式创新；使每个教师、学生拥有网络学习空间，把教学与技术的融合（自主学习、互助学习等）落实到师生的日常教学与学习中；三通与两平台的关系班班通人人通统一身份认证、基础数据资源管理校校通校校通是实现教育信息化的基础和前提，其本质是网络连接到学校班级，承载业务的运行。教育云业务变化传统资源建设教育云资源资源建设是核心，教育云资源将呈现资源数量剧增、质量提升，并且将大量用于日常教学、家校互动环节，允许师生随时随地使用，并且被大量服务于社会。教育局信息中心教学资源库Internet资源传统校校通模式教育资源云平台Internet资源新校校通模式新问题：内部更有针对性的教学资源爆炸式增长，带来城域网带宽的压力、资源访问效率的问题新转变：资源云化，能否实现向学校“资源推送”，降低带宽压力，提升访问效率？对网络的变革1—资源访问发生“由外向内”的转变对网络的变革2——资源共享从离线到在线同步课堂公开课网络备课视频点播非实时业务实时业务单向业务 互动业务新问题：实时、互动类业务要求在跨城域的环境下保证良好的体验效果，网络该如何保障？新转变：能否实现“业务就近部署”，尽量使用局域网环境，规避城域环境的短板。新问题：互联网的访问增加带来资源云平台的服务压力和风险，应该如何平衡安全与性能瓶颈？新转变：能否在实现安全防御的同时“弹性安全”，在保障网络安全的同时，线性增加安全性能。对网络的变革3——来自互联网的频繁访问教育局信息中心教学资源库传统校校通模式教育资源云平台新校校通模式老师在家学生、家长终端企业传统校校通模式新校校通模式对网络的变革4——访问互联网资源的不断攀升新问题：互联网资源不断丰富，互联网化应用不断涌现，丰富了教学。出口链路资源有限，因经费问题，带宽不能和资源访问量成正比增长。各个中小学自建出口利用率不均衡。新转变：能否实现全区Internet出口资源的虚拟资源池，形成外网“云出口”，师生教学不关心资源访问从哪里出，只关心出的体验够不够好。目录教育资源云对城域网带来的变革融合网络互联城域网解决方案案例与总结基于教育云资源业务变化的新城域网：教育云让资源的分享和部署变得十分灵活，对应的网络侧又需要做什么配合创新？云出口虚拟化平台标准服务器NFVAPP虚拟化平台标准服务器NFVAPP虚拟化平台标准服务器NFVAPP虚拟化平台标准服务器NFVAPP弹性边界资源推送资源密集节点业务就近部署新城域网逻辑架构市教育云公共服务平台：资源平台、管理平台DMZ区：对外服务器等运营商专线：V城域网管理平台中心全市认证系统安全分析、日志系统校园业务资源网关A类型-大型学校万兆千兆图示：韶关市教育局教育城域网方案拓扑校园核心交换机有线用户接入交换机无线用户办公室、礼堂、图书馆、电子

书包虚拟化平台路由器资源应用资源应用校园业务网关B类型-中型学校接入交换机有线用户无线用户办公室、礼堂、图书馆、电子

书包C类型-小型学校校园业务网关区、县汇聚路由器区、县汇聚路由器区、县汇聚路由器市核心路由器镇级汇聚交换机

镇级汇聚交换机

镇级汇聚交换机

服务器硬件资源应用资源应用虚拟化平台区、县教育云业务推动平台应用控制&流控设备热门资源

互联网B出口

教育网

互联网A出口缓存站点融合安全设备：

防火墙、入侵检测流量控制、行为控制移动办公教育城域网组网方式与技术虚拟化星形网星形组网：虚拟化技术电信级高可靠，50ms收敛简化网络，易于管理PEPE

PE

PE

PE教育城域网客户VPN路由表城域网公共路由表路由型

MPLSVPN组网

PE组网技术：MPLSVPN高速控制层处理业务隔离，策略可控市源NFV

APP虚拟化平台标准服务器NFV

APP虚拟化平台标准服务器NFV

APP虚拟化平台标准服务器虚拟化平台标准服务器NFVAPP学校业务就近部署教育云资平台教育局部署业务（公开课）-将业务系统分布式部署到指定学校学校云点本地运行-业务系统在本地云点上直接运行，完成分布式部署，可完成互动、直播类应用计算资源回收-课堂结束，录制为课件保存，自动回收计算资源，可供其他业务系统使用。育云资平台市教源NFV

APP虚拟化平台标准服务器NFV

APP虚拟化平台标准服务器虚拟化平台标准服务器PPNFV

A虚拟化平台标准服务器NFVAPP学校业务就近部署：网络策略自动部署管理中心应用与策略模板匹配-将公开课业务与网络策略（比如

QoS）进行匹配策略自动下发-业务分布式部署的同时，网络策略自动下发至对应设备，部署相应策略（比如QoS）部署成功，保障业务-策略成功部署到对应设备，业务系统回收时，网络策略自动回退设备虚拟化，性能与可靠性提高传统部署IRF2部署双转发平面，一工作，一备份：两台设备，一台性能双链路上行，一工作，一备份：两条链路，一条带宽双机双管理平面：两台设备，两套配置VRRP路由规划和管理复杂：两台设备，两套管理规划物理双转发平面到逻辑单转发平面：两台设备，两倍性能物理双链路到逻辑负载分担：两条链路，两倍带宽双机逻辑上单管理平面：两台设备，一套配置路由管理规划简单：两台设备，一套管理规划FWIPSACGLBR传

统

安

全

设

备

纵

向

叠互联网教育网安全部署：虚拟化安全融合网关N:1与1:N虚拟化虚拟化融合网关高性能防火墙入侵检测控制链路负载均衡、应用控制（行为、流控）防火墙模块防火墙模块防火墙模块防火墙模块①登录Master，配置策略②策略自动下发到所有业务模块③业务流自接口单元进入主控引擎1主控引擎2防火墙模块防火墙模块防火墙模块IPS模块LB模块接口模块⑥多业务智能调度交换网④智能分流，全业务负载分担智能业务分发⑤业务引擎动态加入/退出，流量自动分担弹性安全：灵活应对员工办公区领导办公区员工区无法上网用领导的电脑还是不能上网用iPad也不能上网iPad互联网领导可以上网不再依托IP和接入位置，真正基于用户的上网行为管理不同用户分配不同权限，即使位置和上网设备发生变化，访问权限依然随行支持本地Web认证、第三方Portal认证、扩展微信认证，满足多种业务环境需求可实现多种认证方式混合使用更简单方便的有线无线终端统一用户认证全网统一身份认证统一安全身份认证多角色、多终端灵活认证学校间账号漫游亮点基于用户实名的行为审计认证系统部署老师首次认证，后续免认证可同时访问资源中心和互联网学生WEB认证只能访问资源资源中心访客短信认证指定资源和互联网角色认证方式 权限多终端可同时登录用户访问权限可灵活定义可基于用户角色进行行为记录，避免访客账号出现无法审计教育城域网学校M学校N学校C账号：

teacher密码：

1234学校A账号：

teacher密码：

1234领导视察、老师跨校交流时，都可使用自己的账号使用网络和资源系统；认证信息用户名源IP(内网)URL记录源IP(内网)目的IPURL用户用户学籍系统用户OA系统加密传输用户名、密码，实现单点登录用户其他应用系统网络认证作为单点登录的入口学校门户直接访问应用系统门户页面，避免再次登录单点登录，提升体验EAD认证服务器网络认证避免用户重复登录多套系统，使用多套账号密码有线无线接入认证系统

AAA终端匹配第一次接入：用户名+密码认证以后：无需输入，自动识别后台自动认证云免装各种APP端

网无感知认证每次上网认证，影响老师和领导的办公效率和网络使用体验；一次认证，无需再次认证即可完成登录；环境简化认证复杂度：无感知ACGACGACG学校网络 学校网络教育局网络一级流控二级流控城域网互联网全局流控保障体验—市、区县实现分级分层的全局流控两级流控设计两级流控设计——灵活的流量控制通道线路高中低基于用户、应用等元素的最小带宽策略保障不同优先级应用置于不同通道智能控制弹性限度控制，网络闲时可突破最大带宽限制，根据各通道带宽使用情况动态调整Web|邮件|网络会议即时通讯|文件传输|软件升级P2P|视频|游戏有效提升带宽利用率最大化客户投资收益精准的应用识别，可实现“只允许微信、QQ正常的通信行为，但限制刷朋友圈、

QQ空间等分散工作注意力的工作”，进而大大提高在网业务效率。两级流控设计——应用功能控制社区论坛日志审计IM日志审应计用识别移动QQ动作审计收消息应用识别微信动作审计发消息搜索日志审计动作审计登陆平台识别

iPad平台识别摩托罗拉平台识别三星移动终端用户自识别Addroid/IOS系统识别紧贴最新互联网业务应用，针对用户、应用、动作、系统、平台精细化审计用户行为管理——行为审计学校网络其他人再次下载资源A互联网应用资源A本地缓存大规模下载资源ACache市教育局网络节约网络出口带宽--结合访问请求智能分析和缓存加速技术，消除网络出口下载瓶颈A互联网热点资源缓存Internet数据中心教育局学校B学校A学生A学生B将数据中心及分支的出口带宽作为整体进行统一调度1、学生A通过学校A访问互联网2、SCC策略中心感知到学校A出口带宽已经全部占满，并且感知到学校A到教育局及学校B到教育局的链路空闲3、通过全局策略将学生A的访问流量通过城域网自动牵引到学校B（学校B比教育局剩余带宽更多），实现城域网内流量的动态调度策略数据流访问数据流iMCSCC策略中心1G1G云出口：充分利用互联网出口资源融合网络管理城域网出口、骨干网、中小学边界网络管理城域网故障发现、维护城域网安全策略管理融合业务管理中心管理员学校管理员中小学校园网络管理中小学无线网管理中小学网络故障、发现、维护等融合用户管理城域级用户认证数据库维护，与城域级MIS对接用户全区漫游城域网边界用户审计大型中小学维护本地用户认证数据库，与本校MIS对接校园网用户审计（本地认证+本地NAT场景）中心-校，校-校，业务与

IT资源匹配的自动化运维管理；面向应用的运维监控无分级分权管理——两级三维的运管体系管理工具移动化管理工具APP化分级分权管理——移动互联网式管理自动化运维管理系统3D机房BSMiMC+WSM通过自动化运维软件自动监测定位故障，主动提醒管理员，使得2人也能轻松维护。对多种类型设备实现统一管理、监控，一个平台解决所有管理对象；基于业务的故障分析，直接定位到故障源（多种类型），能快速处理；在家休息、出差期间接到故障处理，也可远程定位、调试，不用急忙赶回单位；对外呈现美观

PAD教室专用款型，在每用户1-2M速率时，支持100+基于802.11ac技术，三射频（双5G+单2.4G），性能高达2032M完美同时解决大容量用户接入和双

5G

AP不能同时接入2.4G终端问题无线教学无线办公无线面板AP，最简便的安装方式，标准86mm宽度支持IEEE802.11ac标准，双频速率可达866+300Mbps支持4个GE以及USB接口改造办公室，“分分钟”完成高密覆盖会场内或附近极有可能存在其他AP，存在很严重的同频干扰H3C通过双频蜂窝部署、频谱导航技术、速率最优技术、逐包功率控制等技术保证无线上网体验，支持大量用户高密接入，支持多种类型终端无线网络设计教育城域网教室A教室B组播源组播源组播转单播无线组播影响速度，无法保证电子书包视频播放需要！组播转单播AP在空口转发组播报文时，会以协商的最低速率发送，严重影响性能，并且无法确认终端是否收到数据。无线AP支持组播转单播特性，保证PAD教室教学的用户体验。无线教学优化设计目录教育资源云对城域网带来的变革融合网络校班互联解决方案典型案例广州市普教城域网-两种环网模式（RRPP&RPR）RRPP/1GRRPP/2GRRPP/1GSR88RPR2.5G/10GSR88SR88RRPP/2GS75