教育城域网解决方案(模板)V3.0

教育城域网整体规划方案第4页教育城域网解决方案第1页提升应用体验，创新IT价值XXX教育城域网建设方案建议书XX教育局2017年X月目录TOC\o”1—3"\h\z\uHYPERLINK\l”_Toc480404727"1 项目建设背景 11。3 项目建设必要性 3HYPERLINK\l”_Toc480404731”1.3.1 政策法规要求 3_Toc480404734”1。3.4 政务职能需求 6HYPERLINK\l”_Toc480404735”1。3.5 业务管理要求 7HYPERLINK\l”_Toc480404736”1。3.6 技术发展的要求 7HYPERLINK\l”_Toc480404737”2 用户建设现状及需求分析 8HYPERLINK\l”_Toc480404738”2。1 用户信息化建设现状 8HYPERLINK\l”_Toc480404739"2.1。1 教育局信息化建设情况 82。1.2 下属学校信息化建设情况 8HYPERLINK\l”_Toc480404741"2。2 项目建设需求分析 82.2。1 系统业务需求分析 9HYPERLINK\l”_Toc480404743”2.2。2 项目建设需求分析 11HYPERLINK\l”_Toc480404744”3 项目建设目标 17_Toc480404746”3。2 本期项目建设目标 204。1.2 教育城域网运行中的管理问题 22_Toc480404753"4。1.5 教育城域网统一出口管理问题 254.2 锐捷教育城域网整体方案架构 26_Toc480404757”5 基础网络平台建设方案 305.1 教育城域网核心层组网设计 305.3 教育城域网统一出口方案设计 32HYPERLINK\l”_Toc480404761"5.3。1 统一出口流量管理方案 325。3。2 统一出口安全组网方案 36_Toc480404765”5。4。2 锐捷SDN智能城域网方案价值 42HYPERLINK\l”_Toc480404766”6 无线城域网方案设计 48HYPERLINK\l”_Toc480404767”6.1 无线教育城域网概述 48HYPERLINK\l”_Toc480404768”6。2 普教无线城域网需求分析 486.2。1 无线网络应用需求分析—电子书包: 486。2.2 无线网络应用需求分析—教师办公: 49HYPERLINK\l”_Toc480404771"6.2.3 身份认证需求 496。2。4 管理需求 50_Toc480404774”6.3.1 整体方案架构 506。3。3 锐捷普教AP部署特点 53HYPERLINK\l”_Toc480404777"6.3。4 场景化无线设计 536.3.6 账号校际间漫游 587.2 防火墙划分安全域及边界安全 59HYPERLINK\l”_Toc480404783"7。3 关键路径入侵防御 61HYPERLINK\l”_Toc480404784"7。4 网站/web全方位安全设计 627。5 网络与数据库安全审计 64_Toc480404787”7.7 解决方案等保合规设计 67HYPERLINK\l”_Toc480404788”8 场景化实名制管控方案 73_Toc480404790”8.2 用户建设需求分析 74HYPERLINK\l”_Toc480404791”8。3 传统地址绑定方案问题分析 758.4 场景化实名管控解决方案 75_Toc480404794”8.4。2 实名制用户访问控制 79_Toc480404798"9。1 IT运维监控系统需求分析 81_Toc480404801"9.2.2 综合资源管理 92_Toc480404803”9。2。4 用户体验感知 106HYPERLINK\l”_Toc480404804"9.2.5 机房监控管理 111HYPERLINK\l”_Toc480404805”9.2。6 自动化运维管理 118_Toc480404807"10。1 各学校校园网出口带宽计算 121HYPERLINK\l”_Toc480404808”10.2 教育城域网的带宽需求计算 123项目建设背景国家相关政策进入新世纪以来，信息技术已渗透到经济发展和社会生活的各个方面,人们的生产方式、生活方式以及学习方式正在发生深刻的变化,全民教育、优质教育、个性化学习和终身学习已成为信息时代教育发展的重要特征。面对日趋激烈的国力竞争，世界各国普遍关注教育信息化在提高国民素质和增强国家创新能力方面的重要作用。《国家中长期教育改革和发展规划纲要(2010—2020年)》（以下简称《教育规划纲要》）明确指出：“信息技术对教育发展具有革命性影响，必须予以高度重视".我国教育改革和发展正面临着前所未有的机遇和挑战。以教育信息化带动教育现代化，破解制约我国教育发展的难题，促进教育的创新与变革，是加快从教育大国向教育强国迈进的重大战略抉择。教育信息化充分发挥现代信息技术优势，注重信息技术与教育的全面深度融合,在促进教育公平和实现优质教育资源广泛共享、提高教育质量和建设学习型社会、推动教育理念变革和培养具有国际竞争力的创新人才等方面具有独特的重要作用,是实现我国教育现代化宏伟目标不可或缺的动力与支撑。基于上述认识，国务院、教育部及XX省教育厅先后颁发如下指导性政策文件，以促进和指引区域教育信息化的发展：国务院—-《国家中长期教育改革发展规划纲要(2010—2020年》-—2010年7月——明确了教育信息化的重大战略意义，提出了教育信息化政策要求和建设目标。教育部-—《教育部信息化十年发展规划》-—2012年3月——明确了教育信息化的思路、方向，建设目标。教育部-—《关于成立教育信息化推进工作部际协调小组的通知》—-2012年5月—-协调八大部委共同推进教育信息化工作.教育部——杜占元：关于教育信息化试点工作的讲话—-2012年6月—-首次概括提出了“三大任务和两个平台”，首次概括提出了“三大任务和两个平台”，并将其作为“十二五”期间教育信息化的核心目标。国务院—-刘延东：全国教育信息化工作电视电话会议—-2012年9月——明确了“十二五”期间，“三通两平台”是当前教育信息化建设的核心目标与标志工程。本省/市相关政策/任务请补充相关政策及规划项目建设必要性政策法规要求《教育部十三五发展规划》的要求加快推进教育信息化。推进“三通两平台”建设与应用，力争基本实现学校互联网全覆盖。加快教育管理公共服务平台建设、国家教育决策服务系统建设和教育统计基础数据库建设。完善国家教育资源云服务体系.继续加大优质数字教育资源开发和应用力度，探索在线开放课程应用带动机制。实施全国中小学教师信息技术应用能力提升工程。深入开展“一师一优课、一课一名师”活动，深化教学应用。《国家中长期教育改革和发展规划纲要(2010-2020年）》要求（1）加快教育信息化进程的要求加快教育信息基础设施建设。信息技术对教育发展具有革命性影响，必须予以高度重视.把教育信息化纳入国家信息化发展整体战略，超前部署教育信息网络.到2020年,基本建成覆盖城乡各级各类学校的数字化教育服务体系，促进教育内容、教学手段和方法现代化。充分利用优质资源和先进技术，创新运行机制和管理模式,整合现有资源，构建先进、高效、实用的数字化教育基础设施。加快终端设施普及，推进数字化校园建设,实现多种方式接入互联网。重点加强农村学校信息基础建设,缩小城乡数字化差距。加快中国教育和科研计算机网、中国教育卫星宽带传输网升级换代.制定教育信息化基本标准，促进信息系统互联互通。（2）加强优质教育资源开发与应用的要求加强网络教学资源库建设.引进国际优质数字化教学资源.开发网络学习课程。建立数字图书馆和虚拟实验室。建立开放灵活的教育资源公共服务平台，促进优质教育资源普及共享。创新网络教学模式，开展高质量高水平远程学历教育。继续推进农村中小学远程教育，使农村和边远地区师生能够享受优质教育资源.强化信息技术应用。提高教师应用信息技术水平，更新教学观念，改进教学方法，提高教学效果。鼓励学生利用信息手段主动学习、自主学习，增强运用信息技术分析解决问题能力。加快全民信息技术普及和应用.（3）构建国家教育管理信息系统的要求制定学校基础信息管理要求，加快学校管理信息化进程，促进学校管理标准化、规范化。推进政府教育管理信息化,积累基础资料，掌握总体状况,加强动态监测,提高管理效率。整合各级各类教育管理资源，搭建国家教育管理公共服务平台,为宏观决策提供科学依据,为社会公众提供公共教育信息,不断提高教育管理现代化水平。体制改革需求人才培养体制改革需求（1）更新人才培养观念。深化教育体制改革，关键是更新教育观念，核心是改革人才培养体制，目的是提高人才培养水平.树立全面发展观念，努力造就德智体美全面发展的高素质人才。树立人人成才观念，面向全体学生，促进学生成长成才.树立多样化人才观念，尊重个人选择，鼓励个性发展，不拘一格培养人才。树立终身学习观念，为持续发展奠定基础.树立系统培养观念，推进大中小学有机衔接，教学、科研、实践紧密结合，学校、家庭、社会密切配合，加强学校之间、校企之间、学校与科研机构之间合作以及中外合作等多种联合培养方式,形成体系开放、机制灵活、渠道互通、选择多样的人才培养体制。（2）创新人才培养模式。遵循教育规律和人才成长规律，深化教育教学改革，创新教育教学方法，探索多种培养方式，形成各类人才辈出、拔尖创新人才不断涌现的局面。注重学思结合。倡导启发式、探究式、讨论式、参与式教学,帮助学生学会学习。激发学生的好奇心,培养学生的兴趣爱好，营造独立思考、自由探索的良好环境。适应经济社会发展和科技进步的要求，推进课程改革，加强教材建设，建立健全教材质量监管制度。深入研究、确定不同教育阶段学生必须掌握的核心内容，形成更新教学内容的机制.充分发挥现代信息技术作用,促进优质教学资源共享。注重知行统一。坚持教育教学与生产劳动、社会实践相结合。开发实践课程和活动课程，增强学生科学实验、生产实习和技能实训的成效。充分利用社会教育资源，开展各种课外、校外活动。加强中小学校外活动场所建设。加强学生社团组织指导，鼓励学生积极参与志愿服务和公益事业.注重因材施教。关注学生不同特点和个性差异,发展每一个学生的优势潜能。推进分层教学、走班制、学分制、导师制等教学管理制度改革。建立学习困难学生的帮助机制.改进优异学生培养方式，在跳级、转学、转换专业以及选修高一学段课程等方面给予支持和指导。健全公开、平等、竞争、择优的选拔方式，改进中学生升学推荐办法,创新研究生培养方法。探索高中、高等学校拔尖学生培养模式。(3）改革教育质量评价和人才评价制度。改进教育教学评价。根据培养目标和人才理念，建立科学、多样的评价标准.开展由政府、学校、社会各方面共同参与的教育质量评价活动.完善学生成长记录，做好综合素质评价.探索促进学生发展的多种评价方式，激励学生乐观向上、自主自立、努力成才。改进社会人才评价及选用制度，为人才培养创造良好环境。树立科学人才观，建立以业绩为重点,由品德、知识、能力等要素构成的各类人才评价指标体系.强化人才选拔使用中对实践能力的考查，克服社会用人单纯追求学历的倾向。社会环境发展要求（1）现阶段中国教育的最主要问题，也可以说是中国教育的最主要矛盾。就是中国教育的教育效率低下、教育效果薄弱。很难满足当前要求实现可持续发展、集约化发展、高科学技术发展的中国社会对相应高素质人才、创新人才、复合型人才、高生产力代表人才的要求。教育信息化是当前提高教育效率、提升教育效果的必要手段;（2）我国教育的方法和思想依然少许的继承和延续中国一千多年来的封建传统的教育方法.这也在一定程度上表明，我国教育的思想和方法比较缺乏现代科学化的教育基础认知理论的支持。教育信息化作为先进教育思想和方法的载体，能够引领教育现代化发展；（3）中国现阶段的这种教育模式是一种时间长、强度高、投入大、收效低的典型的粗放式的教育模式。要彻底改变这种现状,惟一的推动力量是互联网。教育信息化在教育改革中是一个有效的驱动力量。政务职能需求（1）教育管理者要为广大教师、学生提供畅通的访问互联网的基础条件;教育管理者；(2）教育管理者要为广大教师提供专业发展的信息化支撑系统；（3）教育管理者要通过信息化系统实施教育监管和服务的职能转变；（4)在管办分离的大背景下,为办学者提供学校无法也无力解决的教育大数据能力；(5）教育管理者需要利用信息化手段,促进教育资源的共享，推进教育公平；（6)教育管理者需要利用信息化手段贯彻教育方针.业务管理要求（1)学校网络环境的统一管理；（2）学校信息化基础设施的统一运维；(3)教科研、培训的网络化管理；(4）教育管理业务的市、区、校一体化需要；(6）学校教学资源的共享;技术发展的要求(1）智能课室课室信息化设施，信息技术与教育教学深度融合，多媒体设备、小组学习设备的应用，迫使教学由课堂向课外延伸,促进学校教育与社会教育的衔接。(2）移动学习个人智能移动终端的发展，使得学生的个人学习和课堂的集体学习呈现分工融合的趋势，移动学习已经成为教学不可忽视的环节；（3)云录播与大数据课堂实录视频,将使得远程的教学评价成为可能，国内外优秀教育工作者可以通过网络进行远程的教学交流，有利于缩小海南与内地教育发展的差距；（4）数据采集技术网络阅卷系统和移动APP的发展，使得教学与学习过程数据的采集成本大大降低，教育数据得有效性极大提高，使得教育大数据的应用具备了良好的基础条件。用户建设现状及需求分析用户信息化建设现状教育局信息化建设情况请按客户实际情况修改、补充下属学校信息化建设情况请按客户实际情况修改、补充项目建设需求分析请按客户实际情况修改、补充近年来,随着中小学信息技术教育的普及和“校校通”、“班班通”工程的实施，中小学校上网规模不断扩大，基层对教育网络资源和网络服务功能的需求猛增，教育信息网原来的网络结构、服务功能以及运行管理机制等明显不能适应新形势下的需要.于是，教育城域网的改制、改造和扩建迫在眉睫。XXX教育城域网，将采用内网（专网）外网(公网）并行的双网络结构,实现各类学校的网络接入，最终达到教育网络“班班通"、“室室通”，逐步实现老师学生“家家通”。XXX教育城域网,可以把优秀的名师名校资源以及其它优质教育教学资源，先进的教育思想和理念,教学方法和技术等及时地、高质量地输送到农村学校或比较偏远的山区学校，以促进农村教师能力的培训和教学质量的提高，促进广大师生信息素养和学生综合素质的提高,促进教育公平和义务教育的均衡协调发展,为深入贯彻党的“十八大”精神，全面推进教育事业的发展做贡献。系统业务需求分析专递课堂同步课堂:同步课堂基于洒泉市金塔县资源中心提供的机构空间、学校空间、教师空间进行。1个播出教室和1—5个接收教室构成一个虚拟课堂.教育局在其空间内，利用同步课堂组织管理工具,统一组织播出学校和接收学校，统一安排虚拟课堂课表，并组织教学。播出学校和接收学校也可自行配对，在其空间内向教育局提出申请.推送资源:区资源中心根据教师需求情况将支持课堂教学的优质资源包推送到教师空间，帮助教师备课、上课、进行教学评价。教师在教学活动中生成的资源可以提供到国家数字教育资源公共服务平台上进行共享。探究性学习：区资源中心通过推送探究性学习工具和资源,提供智能导航帮助教师开展探究式、讨论式、参与式教学，帮助学生增强运用信息技术分析解决问题的能力，学会学习。帮助教师运用探究学习模式开展日常学科教学。学生也可利用相应工具自行组织探究性学习。名师课堂名师讲堂:名师讲堂模式主要用于名师讲解学科重点难点，帮助学生更好地达成学习目标。讲授内容以各学科和专业课程章节重难点和期末总结为主。名师导学：名师导学模式通过将教师课堂讲授与智能学习系统(“名师"）的诊断与导学相结合，实现差异化教学和个性化指导，提高学生学习能力。网络协作教研跨校网络协作教研跨区域网络协作教研模式是利用国家数字教育资源公共服务平台提供的虚拟教研社区功能,组织不同区域教师开展协作教研活动，实现交流学习、优势互补、共同提高。名师工作室名师工作室模式用于有组织地开放以特级教师和学科骨干教师本人命名的教师空间,为广大教师有针对性的选择与自己教育教学相关的专家或专家团队进行持续的教学科研提供服务。资源类应用在区资源中心以自建、学校提供、企业提供等多种方式将传统知识点和学习内容电子化，以趣味、生动的方式呈现，提高学生学习兴趣和理解能力。互动教学在教学过程中融入互动的体验，远程学习（名师讲堂类）时学生与老师远程互动，教学过程中与家长互动等。教育管理平台将传统的OA办公、学籍管理、考勤系统、考核系统、行政办公系统、E—Mail等管理类系统统一为教育门户,提供一体化的教育管理工作平台。项目建设需求分析请按客户实际情况修改、补充1）城域网骨干网需求分析骨干网是教育城域网的运行中枢,为全网提供快速数据交换和网络管理支持，以IDC的形式对全网提供服务和出口管理，是各种数据、媒体流汇聚的地方。核心路由交换机需要具备高可靠性、高性能、高端口密度、高安全性、可管理性的要求，并且有网络可扩容升级能力和多钟业务支持能力。在完成高速交换的基础上，能够提供稳定可靠的网络基础服务功能并能够支持下层的基础功能、分布服务以及QoS保证,应具备数据中心特性。2）城域网出口需求分析随着信息技术的不断发展、信息数据的安全等，网络出口是教育城域网网络安全的关键关卡.城域网出口主要负责承担整个城域网对全区各学校访问互联网数据转发、流量控制、安全防护、安全审计、远程VPN接入等功能。同时包含DMZ区域，部署DNS、WEB、Email等对外应用服务器，为外网提供相关资源访问服务。因此,XXX教育城域网出口要保障整个全区各学校用户安全、稳定、快速的访问数据中心，对网络出口需要满足以下要求:A。城域网对外访问链路的智能选路为了让城域网数据中心对外开放的资源能够更快捷的让外部网络用户所访问，则需要合理引导外部网络用户所访问的路径。例如，通过智能DNS解析功能，在电信网用户访问校城域网数据中心时，自动解析成电信网IP，从而引导电信网络用户从城域网的电信网链路访问云平数据中心，当联通用户访问时,则解析成联通IP，引导联通用户从城域网联通链路进行访问；当移动用户访问时，则解析成联通IP，引导联通用户从城域网联通链路进行访问.由此为外部网络用户提供一个动态最优的访问路径,智能的为用户选择最快速最优的访问线路。B。城域网出口多链路带宽的均衡利用城域网连接外网会有多条链路,所有外网链路都是通过租用方式获得.因此,在出口拥有多条链路的情况下,需要保证每条链路带宽均衡有效使用，充分保证每条链路的带宽用完、用好，才能真正体现租用链路所花费成本的价值，同时保障用户上网的满意度.C。城域网出口应用流量质量的精细化管理城域网出口带宽有限，在当前PtoP应用泛滥的互联网时代，需要保障出口的带宽不被非关键业务的PtoP应用占满，同时保障每个用户的带宽和每个应用的带宽，来保障各学校到城域网业务的访问.D.出口流量的可视化管理XXX教育城域网用户数量众多，时有网络安全事件通过城域网出口发生。我们可能遇到如下情况：网络中L2到L7层流量信息不透明，无法掌握用户、应用占用网络资源的详细情况；用网高峰期,出口网络设备、出口链路出现性能不足的情况，却无法定位造成该类故障的具体原因;互联网出口网络扩容时缺乏相关报表依据作指导；互联网出口网络经常发生堵塞，却查不出瓶颈所在，很多网管人员,在遇到网络问题时手足无措，经常采用看流量、拔网线等基础手段，排查周期长，也很难真正找出问题；网络流量缺乏有效的历史报表统计，整个过程无据可查.网络最大的价值，在于信息化的应用，当网络运行状况不透明，出现故障不能及时解决,既使有再好的网络出口带宽，也只是一个摆设。因此在确保网络系统正常工作和关键业务的安全、高效运行的同时，如何从根本上解决可视化难题，并当发生网络问题时，能及时、准确地定位和处理，是XXX教育城域网网络管理和运维中亟待解决问题.E.城域网流量缓存系统实现自动按需缓存内容，在网络使用高峰期减少HTTP下载，视频下载,和P2P下载对互联网出口的流量压力，帮助城域网获得更高的网络带宽使用效率。系统还有效的改进对HTTP、流媒体视频，P2P和非P2P应用的网络响应速度，增强了用户体验.通过减轻HTTP下载流媒体视频下载，和P2P下载对互联网出口带宽的压力，系统改善了网络质量。3）城域网安全需求分析A。WEB服务器的安全风险分析当今互联网WEB安全事件频繁发生,WEB服务器安全威胁风险加大，以下是最严重的安全攻击手段如下：网页篡改日益严重被篡改网页数量快速增长，从2003年的1157起到2009年的44393起被篡改网页数量快速增长，从2003年的1157起到2009年的44393起重大事件、关键时刻，往往成为攻击多发期（如国庆60周年为峰值）WEB服务器攻击频发挂马事件经常发生挂马:利用公众对网站的信任，肆意传播木马被挂马网站成为银行盗号、文件窃取、隐私扩散的“毒源”教育城域网数据中心业务系统大部采用B/S架构的方式组建，会使用大量的WEB服务器。WEB服务器面对互联网发布,存在门户网站被挂马、网页被篡改的风险。因此，保障门WEB服务器的安全是一个非常迫切解决的事情。B.数据中心服务器、数据的安全风险分析在当今病毒、木马、攻击泛滥的互联网，通过互联网攻击城域网数据中心的事件很容易发生。因此，针对数据中心需要建设完善的安全措施，提升数据中心的入侵防御能力、病毒防护能力，有效防范DoS/DDoS攻击，蠕虫病毒、ARP攻击等，且针对日益增加的各种攻击手段，需要实时保证最新的攻击、病毒防护手段。C.重要业务数据得安全风险分析随着城域网的建设完成，相应业务系统不断增加,数据中心存放大量的包括涉及学生、财务等重要私密信息（如：财务系统、人力资源管理系统、学籍管理系统等),这些系统如果通过互联网平台发布出去，提供给各学校的财务人员、学籍管理人员、人力资源管理人员访问，将带来非常大的安全风险。如果此类系统公布在互联网,容易来自互联的恶意攻击，轻则会导致这些业务系统无法正常工作，重则导致私密信息被互联网黑客盗取。4)教育城域网实名制建设需求对于入网人员的身份信息进行鉴别，不符合身份要求的用户禁止入网。可根据不同的用户类型及接入地点供不同的接入手段,例如机房、办公区、无线接入区等，提供多种用户网络接入手段的验证：有线、无线、客户端、网页等各种接入手段均可进行控制。建立实名制日志管理系统，根据公安部82号令的要求，需要对教育城域网中各单位的互联网访问进行日志记录，并能够根据日志记录定位到人，在发生安全事件的时候可以迅速找到源头。5)教育城域网无线建设需求在当前的局域网网络建设大潮中,如何建设安全可靠、经济适用、可持续发展的网络已经成为所有用户关注的焦点。随着信息化的普及，XXX教委及各学校越来越要求尽可能方便、快速、移动式的使用网络。随着笔记本电脑和智能终端的普及,无线局域网客户端适配器产品的逐渐成为笔记本的标配，据调查显示,我国企业、学校等笔记本电脑平均拥有比例已经超过60%,并在以每年10％的速度递增。最近2年，XXX教委和各学校无线设备普及发展迅速，出现如下业务需求:办公：有事不在工位时，不能利用iPad、iPhone等移动设备，随时随地处理办公管理业务，如会客等；会议:会议室开会，不能方便接入网络及时处理相关业务或查询相关资料；运维：科技人员到机房维护需要搭线,限制位置和不方便，影响效率;协作：各部门需要临时配合，组件临时团队，需要布线，影响效率；扩容:原有布线没有留足接口,扩容网络需要新布线，破坏原有装修，增加成本；备份：有线网络没有后备，故障后相关办公业务处理停顿；来宾：来宾需要接入网络时,接入有线网络带来安全隐患；因此，XXX教委开始思考通过何种方式，能够使得在很多有线网络无法延伸到教育城域网的各个场合，以及如办公室、教室、会议室等场所,也同样能够访问网络，同时将无线网络作为现有有线网络的补充。6）教育城域网网络管理需求分析XXX教育城域网规模庞大，涉及全区X个教育教学机构，教育城域网中心的网络都需要进行有效管理，这样才能充分保障网络的稳定运行。但对于XXX教委来说，运维人员非常有限，如何能够减少管理上的压力,能够高效、快捷的、可视化的管理网络是一个需要考虑的问题。在教育城域网故障发生前,如何能够便捷的了解网络运行状况、运行质量是预防故障发生的重要手段，也是评估教育城域网是否该升级的重要依据。在教育城域网发生故障时，如何能够快速的定位故障,快速的定位是运营商提供的链路问题还是校园网、教育城域网中心机房自身网络问题将变得尤为重要.项目建设目标总体建设目标按照《国家中长期教育改革和发展规划纲要（2010—2020年）》、国家统筹城乡改革试验区和XXXX的要求，为顺利完成XXX教育信息化建设目标任务，以“统筹规划、分步实施"为原则，稳步推进XX教育信息化建设教育城域网，建成后教育信息化水平必将得到显著提高,为今后长期的教育发展打下坚实的硬件基础。总体建设目标如下：提升教育信息化基础设施建设水平，推进教育均衡。《国家中长期教育改革和发展规划纲要》指出要加强信息化基础设施建设，超前部署教育信息网络。构建先进、高效、实用的数字化教育基础设施，推进数字化校园建设。通过教育城域网的建设，逐步完善教育信息化基础设施建设、建成安全、健康、绿色、可控可管行为的教育网络环境，高度实现整个教育网的“校校通”、“班班通”,使其服务教育教学的有效性达到领先水平。建立开放灵活的教育资源公共服务平台基础,促进优质教育资源普及共享。加强优质教育资源开发与应用,是促进教育优质、均衡发展的重要手段,《国家中长期教育改革和发展规划纲要》指出:“必须加强网络教学资源体系建设，引进国际优质数字化教学资源；建立开放灵活的教育资源公共服务平台，促进优质教育资源普及共享。"在本次教育信息化建设过程中,构建教育信息网及校园网综合应用系统，加强应用系统的协同、整合与融合，有效改善信息孤岛现象。搭建虚拟教学平台，加快优质、精品教育教学资源的开发、引进和整合，通过开展“一校一课”资源共享活动，以“远程帮扶"、“校际联盟”、网络课程互选和“跨学科、跨学校、跨区域"的远程协作学习等多种形式促进优质资源共享.建成规范、健全、可扩展、可共享的区域教育信息数据服务体系,为决策、管理、应用与服务提供准确的数据依据与支撑。使红河教育教、学、研、管、培的信息化应用水平，对家、校、生以及社会公众的服务水平达到领先。探索信息化教育教学新模式,培养适应21世纪的创新型人才。加强教育信息技术应用,就是要以满足学生学习需求及未来发展为中心，以前瞻性、适用性、经济性为原则，以系统规划，分步实施，创新应用为策略,以提升师生信息素养——推广信息化教学方式—-形成信息化学习方式为途径，形成以“知识”为核心、以“学生"为主体的虚拟仿真、互动教学、项目创作、探究实验等学习环境。实现提高行文教育质量和水平,培养适应21世纪的创新型人才，办人民满意的教育。建立教育综合信息平台,推进教育管理信息化，支撑教育管理改革,促进教育决策科学化、公共服务系统化、学校管理规范化。按教育部制订的教育管理信息标准，规范数据采集与管理流程,建立以各级各类学校和师生为对象的区州级教育管理基础数据库。(由教育管理公共服务平台实现)整合各类教育管理信息资源,建立事务处理、业务监管、动态监测、评估评价、决策分析等教育管理信息系统，大力推动教育数字校园,提高教育管理效率，优化教育管理与服务流程，支撑教育管理改革与创新。利用信息技术创新教育管理公共服务模式，建立XXX教育管理公共服务平台和配套服务机制，为社会公众提供及时丰富的公共教育信息和教育教学服务。建立覆盖全体学生的电子档案系统，做好学生成长记录与综合素质评价，并根据需要为社会管理和公共服务提供支持，利用物联网、云计算技术，使之成为XXX教委教育信息化发展的加速器,使教育资源充分共享成为可能,学生学习的便捷性、选择性、公平性、移动性大大提高，自主学习、因材施教的教育原则得以体现.建立电子校务平台，加强教学质量监控,推动学校管理规范化与校务公开，支持学校服务与管理流程优化与再造，提升管理效率与决策水平,提高办学效益，支撑现代学校制度建设.利用信息化手段提升学校服务师生的能力和水平.结合云计算、社交网络、移动互联网、商业智能等新技术的应用，以区域为中心，搭建基础教育云服务平台.本期项目建设目标请按客户实际情况修改、补充本项目建设主要包括网络基础设施建设、身份认证系统建设、运行维护管理体系建设共三项任务，简要介绍如下：（1）网络基础设施建设此项建设工作将为进一步完善包括服有线网络系统、无线网络系统、辅助支撑环境（机房)等主要建设内容。同时建设软、硬件使用规则、业务系统使用。（2）身份认证系统建设统一部署身份策略管理中心，对下面各个学校身份认证管理系统下发管理策略，收集各个学校的帐户，实现对所有的城域网用户进行管理.各个学校有权管理学校内的身份认证系统，管理所属学校的帐号,实现分级式的身份认证系统。（3）运行维护管理体系建设此项建设工作是要建设统一运维管理系统，建立起全面、完善、强有力、反应迅速的系统和网络监控体系；建立灵活、高效、可控制、可衡量的运维管理流程，提升教育局运维人员运行管理水平,为各个学校的各个业务系统提供有效的信息服务.通过一体化的系统和网络管理策略和分布式的技术手段管理、监控信息中心的网络、机房、存储、系统和应用,以实现：对故障进行主动性告警，提高故障响应能力；同时对所收集的性能数据进行分析，消除故障隐患；准确及时收集日常的系统运行数据，为系统的长远规划和运营提供决策支持。XXX教育信息化建设具体目标为：到2017年底，建成高位均衡的教育信息化基础环境：中小学及公办职业学校普通课室多媒体覆盖率100％、多媒体课室联网率100%；校际互联校均带宽为400M、每百人校际互联带宽为30M；每百人互联网带宽为1。5M；教师办公区Wifi覆盖率100%；到2017年底，建成XX教育云：依托“XX云"，建设教育资源公共服务平台和教育管理公共服务平台;建设XX市教育大数据平台。教学空间开通率100％,学习空间开通率50%；到2017年底，建设教育信息化示范学校20所；建设特色功能室300间，达到每校一间；30%的普通课室覆盖WiFe.到2018年底,建设未来教室600间；60%的普通课室覆盖WiFe;学习空间开通率100%.到2019年,100%的普通课室覆盖WiFe；2017年—2020年,基于教育大数据平台，逐步形成网络教科研体系,100%的学校加入基于云录播的教学环节优化系统.2017年10所信息化示范校普通课室全部配置云录播设备；2018年20所信息化示范校普通课室全部配置云录播设备；为50%的学校配置至少一间云录播教室并加入教学环节优化系统，约新建150间云录播教室；2019年配置云录播的学校达到100%；到2020年，每个学校每个年级均配有一套移动云录播设备，并接入教学环节优化系统；2017年—2020年，逐步建设教育质量监测与教学反馈系统。2017年建完善的基于大数据的教育质量监测体系，提供市级、区级、校级、班级教育质量监测报告;并形成有效的教学反馈机制。教育城域网方案总体规划教育城域网建设面临的问题挑战分析教育城域网运行中的安全问题教育城域网运行中的安全问题是我们在建网时就必须考虑的问题。涉及网络安全问题主要有以下几类：城域网用户众多，各种应用五花八门，P2P、蠕虫病毒等应用会消耗大量的城域网骨干和出口带宽，而对于这些行为又很难控制，无法责任到人。教育城域网由于物理范围大，各种病毒的侵袭、滋生和泛滥，会影响网络的正常运行,使其更难控制和管理。恶意攻击、非法入侵在已经建成的城域网中屡有发生。如果服务器被入侵，充当了黑客的傀儡机。不仅严重妨碍了用户的使用，而且造成极坏的影响.内部用户的误操作、被人当做肉鸡代理等情况也很严重。资源中心服务器经常被攻击、被当做垃圾邮件服务器、网络钓鱼者的代理等，同样会影响城域网的运行。教育城域网运行中的管理问题远程故障很难定位，往往电话并不能解决问题,需要现场排除故障，这样会增加较大的工作量。对于异种网络设备，多种服务器系统，以及应用系统,很难做到统一管理，会使用户觉得管理系统繁杂，加大工作量，影响使用效率.接入单位的IP地址冲突影响城域网运行，同样需要城域网管理人员去解决。教育城域网使用中的应用问题教育城域网建立完毕之后,基本都有教学资源、教育管理、交流沟通、教务教学、视频音频等五大类应用。其中：教学资源类主要包括教学资源库、学科网站等。通过对这些应用分析，我们可以发现教学资源类应用中教学资源库应用包含大量的语音、视频、流媒体、flash等内容，这些应用的运行需要消耗较高的网络带宽，同时需要网络设备具备强大的交换处理能力，而且对于语音和视频应用中，直接影响话音/视频质量的三个最重要因素是传输的总时延、时延的抖动以及丢包率，为了保证视频、语音类应用的正常展开，我们必须实现端到端的QoS来保证这类应用的正常运行。教育管理类主要包括：OA，教育报表，老师评价,教师进修等系统。这些应用大部分是文本，对网络带宽、性能、QoS等没有明确的要求,最主要的就是系统的持续可用性、安全性和可靠性。交流沟通类主要包括：门户网站，BBS，EMail，Blog等。这些应用是向大众开发的,主要考虑服务的持续可用性,以及系统的安全性。教务教学类主要包括：在线考试，网上录取，网上备课等.这些应用最主要的是网络持续可运行和安全性。视频音频类主要包括：远程教育，视频会议，直播,点播，网上课堂等。这些应用对网络时延、抖动、丢包率非常敏感，要保障此类应用的流畅运行，我们需要保障网络有足够的带宽、网络设备有足够的处理能力、以及提供端到端的QoS服务质量。通过上面的分析，我们总结教育城域网应用对网络的要求如下：教育城域网实名管理问题随着“三通两平台”的建设，用户在机房部署了大量的服务器、存储和应用软件，如果毫无防护，出现安全攻击，可能会导致业务中断；数据中心部署各级教育管理信息系统，如中小学生学籍管理系统、校舍安全系统、教师管理信息系统等，如果因为安全问题导致信息被窃取，将造成严重后果。因此城域网接入没有身份控制,导致一方面日志审计无法准确快速定位某校某台造成不良影响的计算机及责任人；二是校园网内用户没有安全认证，无法对上网用户进行行为审计，三是校园网内带宽管理不到位，无法保证视频会议、考场监控等重要网络应用的带宽。附公安部82号令教育城域网统一出口管理问题信息技术的不断发展、信息数据的安全等,网络出口是一个教育城域网网络安全的关键关卡，未来为了保障外网的稳定性，可能采用不止一家运营商链路，即网络出口有多条链路,如何充分利用多条出口链路,提高用户服务质量是网络建设需要解决的一个问题。出口的高性能也是需要解决的一个问题。互联网应用的日益丰富，互联网出口流量中大部分是重复流量和重复的文件，出口区域部署内容缓存系统,以此来加速网络带宽的高效利用也迫在眉睫。此外出口区域是跟外网互联的唯一出口，在病毒、木马、网络蠕虫日益猖獗的互联网时代，出口安全也被越来越重视。教育城域网“数据中心"问题随着教育城域网建立完成后，后续有的业务系统会越来越多，相应的数据中心的物理服务器、存储系统数量快速增长，使得数据中心规模不断扩大。教育数据集中、业务整合的过程，表现为高密应用系统的集中.为了适应未来技术的发展和综合考虑到实际业务需求,数据中心必须保证整个城域网的高速、高可靠的数据安全转发.数据中心建设必须着重考虑以太交换网络、服务器互联网络、存储网络这三大网络业务的融合，形成完整的统一数据中心体系架构,并且融合安全系统，实现城域网最重要部分“统一数据中心"的安全可靠。锐捷教育城域网整体方案架构

图：XX教育城域网基础网络平台设计拓扑本次教育基础网络平台建设设计分为五大部分：核心交换区域、网络出口区域、安全管理区域、运维管理区和学校接入区。其建设主要分三个步骤进行设计。总体从三个步骤来进行城域网基础网络平台的建设，第一步基础网络建设，主要分为城域网核心骨干搭建、区级城域网统一大出口建设、无线城域网建设、城域网安全平台建设。第一步完成之后基本网络搭建起了,师生可以通过网络安全地访问内部的资源，也可以访问互联网获取想要的资源，接下来就要进行业务支撑优化，即第二步进行整个城域网的良好管理和运行维护。最后第三步为应用整合优化,通过应用层的单点登录来优化师生业务系统的良好使用。本次网络设计采取区块化设计的思想，将整个城域网分成六个区域,分别为核心骨干区、数据中心区、Internet大出口区、安全管理维护区、教育局内部网络区以及各学校接入区域。每个区域自成一体,不同的区块有不同的业务,网络按功能进行区块划分，不同区块负责各自的独立业务，互不干扰。按区块进行安全规则，路由策略统一部署，实现数据交换和安全防护。网络核心不启用复杂功能，策略,具备高吞吐量和数据交换能力，网络结构设计安全可靠,局部区块故障不影响全局网络运行。整个组成一个高速的数字交换中心，负责各个区块之间的高效的转换。如果所有的功能都集中在核心层上面，如果一旦出现问题，就会影响运行。所以通过区块化的设计,可以保证其运行的高性能，高可靠度，而且也便于规划和管理。锐捷解决方案客户价值方案优势1：业务感知，关键业务带宽保障通过SDN技术实现整网的统一管理、策略下发、业务识别和应用分析，准确识别细分业务（如网络教研、网络巡考、同步课堂、视频会议等），帮助用户实时掌握城域网链路中各细分业务的带宽占用情况、分析业务开展情况，实现业务流量统计分析和应用体验分析。方案优势2：场景化实名认证，贴近应用精细化管理以实名认证为基础，统一身份体系、分级分权管理、全网账号漫游，可根据用户身份、访问时间、接入位置、接入方式等多维度信息进行场景感知的接入控制和精确的权限管理，有效解决实名认证和安全管理应用中存在的突出问题.方案优势3：应用加速，飞速流畅的业务体验内容加速系统通过将互联网热点资源本地化，加快用户上网速度、提升上网体验，减轻出口压力、节省带宽资源投入；同时可以缓存内网服务器的热点资源，高峰期减轻系统压力30％—50%，确保资源访问快速顺畅。方案优势4：热点资源推送，促进教育资源共享针对教育资源利用率低的情况，为用户提供热点资源推送解决方案。教育局通过缓存设备将热点资源向下分发到各学校网关,学校网关将资源热点页面推送到用户端，优化资源传播途径，促进资源应用。方案优势5：可视化综合运维，保障业务稳定运行基于业务视角统一管理全网IT资源,通过“一张图”综合、直观呈现城域网运行状况，直观反映IT资源运行状况对应用系统、核心业务以及用户的影响，帮助管理者快速排障和定位问题、实现精细化运维管理，并直观展现信息化建设与应用成果.通过自动化巡检，帮助用户自动完成重复性运维工作，降低运维管理压力,提升管理效率和运维质量.方案优势6：大数据安全,将风险一网打尽解决方案在部署多种安全设备构建全方位安全防护的基础上，通过大数据分析安全，帮助用户构建主动安全防御体系、实现安全精细化管理，让安全风险评估和安全问题闭环变的简单高效。安全监测预警,全方位感知和跟踪安全态势，通过安全大数据关联分析进行安全合规自查和精准定位安全问题,基于安全知识库实现安全闭环管理，量化呈现安全业绩、安全建设辅助决策。等保合规，国家政策执行落地，网络安全保障到位。方案优势7：全方位web安全，全面防护+实时监控+及时阻断，提供安全防护+应急手段双重保障机制，方案可以在用户网站被恶意篡改后第一时间短信通知用户、用户通过手机即马上下发阻断命令，或者自动阻断被攻击web服务器的访问,避免出现问题的服务器还在被客户访问，造成更大的影响和损失。方案优势8：SDN安全服务链，高可靠、可伸缩的安全网络SDNServiceChain安全服务链方案重新定义了安全服务模式,安全资源池化、按需引流按需防护,高可靠易管理,功能完善、部署简单、扩展灵活、兼容利旧，帮助用户建立健壮、弹性、智能、易用的教育城域网出口安全防护体系。

基础网络平台建设方案教育城域网核心层组网设计传统双核心网络,使用MSTP+VRRP技术,虽能实现故障自动恢复，但故障恢复时间一般在15秒以上，完成不能达到NSF(不间断转发)的要求.同时冗余链路和设备使网络拓扑变得复杂，增加了日常管理维护难度，核心设备一旦不稳定或链路中断则会导致VRRP或路由协议的震荡，影响网络稳定运行。部署两台高性能核心交换机，通过两条10G链路互联将两台核心交换机虚拟为一台，实现毫秒级的故障恢复，在提高网络性能、系统可靠性的同时，简化网络结构、降低维护难度.核心交换机采用CLOS多级多平面交换架构，数据流量负载分担到多块交换网板，实现转发与控制平面完全分离，确保各端口间全线速无阻塞，提供持续的带宽升级能力和业务支撑能力。核心交换机具备分布式入口大缓存，保障突发流量不丢包、保障业务流畅开展，支持FCoE接入和以太网接入服务,从而帮助用户轻松整合异构的存储网和数据网，减少网络中的设备数量,真正实现数据中心网络架构的融合。同时可以在核心交换机部署高性能防火墙插卡，实现安全域划分,实现内网数据和外网数据在通过核心交换时进行的安全检查，保证网络安全。教育城域网接入层方案设计方案采用典型的“核心—接入”扁平化二层架构，核心部署高性能、模块化的三层交换机（引擎、电源、风扇等冗余)，在资金充足的情况下建议核心交换机为双机虚拟化高可靠部署，接入交换机通过千兆链路上联核心交换机、向下提供高密度千兆接口，实现万兆骨干、千兆桌面.网络出口部署一台多合一安全网关，提供多功能、易管理、低成本的方案价值，一台设备打造一个出口解决方案。多合一安全网关集成防火墙/VPN、流量控制、行为管理、负载均衡、软件AC等功能，提供网络安全、应用识别、URL过滤、内容审计、智能选路等应用价值.学校出口方案规划至少需要实现如下基本功能：1）安全防护：实现学校内网与外联网络的安全隔离，防御外部网络的安全威胁、攻击渗透。2）实名认证：支持本地Web认证与多种第三方认证，实现实名制认证上网。3）流量管理:学校与教育局互联链路带宽资源有限，学校出口设备应具备应用流量控制功能，实现链路带宽资源的合理分配，保障关键业务顺畅开展。4）实名审计：具备用户行为审计功能,实现基于实名的用户上网行为日志记录，符合公安部82号令要求,有效规范上网行为.教育城域网统一出口方案设计为了实现对互联网带宽资源的统一调配和节省带宽成本、加强安全管理和规范互联网访问行为，建议教育局统一互联网出口。统一出口流量管理方案针对于互联网流量的爆炸式增长，方案设计以“疏-堵-控”为核心理念,有效提升链路带宽利用率,提高用户上网体验。1）统一出口流量管理方案——“疏”缓存加速随着互联网应用的日益丰富，有限的带宽已经无法满足教育城域网用户的应用需求，互联网带宽成本高、用户P2P下载和在线视频业务压力巨大、用户投诉网络速度和质量差等头疼问题，流量控制无法彻底解决问题,缓存加速是解决此类问题的有效手段。互联网应用中有大量的重复流量严重占用了网络带宽，通过部署内容缓存加速系统将热点资源缓存在本地，后续用户访问热点资源时直接从本地缓存读取，大大提高用户访问速度、提升了用户体验。由于大量的热点资源都从内网获取，内容缓存加速系统可以有效分担出口压力，减少30%—50%的带宽需求,节省了大量的带宽费用。针对教育资源利用率低的情况，为用户提供热点资源推送解决方案。教育局通过RG-PowerCache缓存设备将热点资源向下分发到各学校多合一安全网关，安全网关将资源热点页面推送到用户端,优化资源传播途径，促进资源应用。智能选路教育城域网用户在访问属于不同ISP提供的信息资源时，外网连接层需要智能的根据用户访问的信息资源，选择不同的ISP(不同的广域网链路）来进行访问，从而避免访问路径跨越了不同ISP网络，确保资源访问效率最大化。链路负载均衡教育城域网统一出口会分别连接至几条运营商链路实现链路冗余备份，通过多链路负载均衡与备份功能，在任意一条广域网链路发生故障时，能够自动将流量自动切换到其他广域网链路。智能DNS解析为了让教育局对外开放的资源能够更快捷的让外部网络用户所访问，则需要合理引导外部网络用户所访问的路径。通过智能DNS解析功能，在电信网用户访问园区门户网站域名时自动解析成电信网IP，从而引导电信网络用户从园区的电信网链路访问园区门户服务，当联通网用户访问时则解析成联通网IP，引导网通用户从学校联通链路进行访问，由此为外部网络用户提供一个动态最优的访问路径。2)统一出口流量管理方案-—“堵”但随着用户和应用的不断增多，特别是P2P、在线视频等应用的不断涌现，加大带宽这种方式已经不现实了，为了保障出口带宽的合理应用,为了保障关键业务的顺利实施，为了保障关键人的带宽使用,我们就要进行“堵”了,堵的目的在于通过流量策略的控制，合理规划带宽,保障关键性业务。通过部署流控设备对城域网中的各种应用进行识别，分时段控制不同用户不同应用的带宽和优先级，合理分配宝贵的带宽资源,保障关键业务。统一出口安全组网方案1）传统安全组网方案问题分析教育信息化业务发展带来愈加强烈的安全需求和更高的安全要求，网络中需要部署的安全设备不断增多、网络系统也日趋复杂，传统安全方案组网模式落后，存在诸多问题亟待解决。出口安全设备串行部署，主要存在以下几个方面的不足:2)SDN安全服务链解决方案锐捷ServiceChain安全服务链方案，能够提高出口的稳定性,能够提供图形化界面，简单的配置、轻松的运维,能够自由的定义业务,有冗余机制、保证业务稳定.基于SDN技术,将安全资源池化，打破物理拓扑的限制，实现按需定义安全服务和跨品牌负载，使网络更加灵活、弹性伸缩、随需而动。SDN安全服务链方案让网络安全的部署、管理、运维从复杂转向简单和智能，帮助用户构建高可靠、可伸缩的安全网络.网络出口组网架构使用改串为旁的部署模型,对上述问题可以很好的解决。通过串行模式部署改为旁挂模式部署，当任何流量需要经过任何安全设备，即按需引流方式可以提升安全设备的利用率。增加安全设备直接旁挂即可，在控制器进行手工添加一个新节点，无需考虑更改拓扑,人员配置等问题带来的风险问题，天然避免单点故障,可以解决原网络出口架构的功能伸缩性部署问题。健壮-功能完善、自动容错，业务稳定通过SDN控制器,进行预先策略配置和自动下发流表,轻松完成智能出口部署模型，利用SDN控制器预先制定的策略，当发生出口设备升级或者新增出口设备后，都可以自动的添加入整条服务链条中.当出口安全设备的某台或者某几台设备发生故障，可以通过自动剔除接口方式来保证外联出口的稳定。任意出口设备发生问题都不会出现单点故障,SDN控制器自动会将此节点移除,告知核心设备流量不能经过故障点保证出口稳定.易用—图形化界面，简单操作、灵活调度弹性-平滑扩容、兼容利旧，保护投资老设备性能不足、换掉又太浪费,解决方案可以充分利用老设备、提高设备利用率，可以广泛兼容各种品牌的安全设备，跨安全设备品牌实现负载均衡与备份.智能-资源池化、按需引流，定制服务基于业务资源分配和安全防护按需定义业务流：L2—L4层流量按需定义，图形化界面轻松完成；按需定义流路径：控制器自动发现安全节点,只需在图形化界面拖拽，即可轻松定义多种流路径；业务流和流路径松耦合:业务流和流路径一键编排，可负载、可主备，灵活匹配。SDN智能城域网方案及价值随着三通两平台建设与应用的不断深入，教育城域网建设重点逐步从互连互通转向业务应用，同步课堂、网络巡考、网络教研、视频会议等业务应用对网络带宽和质量要求高，要求城域网能够感知业务、有效保障应用体验.传统教育城域网方案的问题分析教育部《教育信息化工作要点》中明确提出“深入推进三个课堂应用”、“大力推进跨学校、跨区域的网络教研”，但用户在实际业务开展过程中面临“业务开展不顺畅,应用体验差”、“应用流量看不清,数据分析缺"、“链路质量不清楚，问题定位难”等问题障碍，导致业务无法顺畅开展。

传统教育城域网的面临以下几个方面的挑战：重点业务的保障需要人工实施，不论是保障的配置还是出问题时的排障，包括日常的运维都需要消耗大量人力重点业务使用体验如何，一片空白，只知道重点业务跑起来了,跑的是否顺畅无法得知，只有学校老师投诉了才知道出问题了。网络使用情况如何，一片空白,网络是否被用于教育，使用的分布不可知；购买的教学资源不同学校使用情况不可知；上线的教学业务系统不同学校使用情况不可知.总的来说,网络犹如一个黑盒，怎么使用的不清楚，使用的好坏不清楚,对教学是否有帮助不清楚。出了问题,也是一通排查，经常头痛医头脚痛医脚，浪费大量人力.锐捷SDN智能城域网方案价值解决方案通过SDN技术实现整网的统一管理、策略下发、业务识别和应用分析，帮助用户构建以应用体验为中心的下一代教育城域网。首先可以对用户的各个业务系统进行应用统计分析，帮助用户了解城域网链路中各业务应用的带宽占用情况,为关键业务应用进行访问体验打分，分析业务开展情况；其次，通过准确识别用户的细分业务，针对细分业务做带宽预留和应用保障，提升应用体验；同时通过链路质量监测，帮助用户实时掌握网络链路对业务应用的影响情况,帮助用户快速准确定位链路问题.

如图所示,SDN智能城域网方案的优势在于将基础网络与业务应用相结合,有效提升城域网业务应用体验，以业务视角进行应用数据呈现、让用户对应用开展情况一目了然，而非简单的实现集中配置管理。

教学业务体验可视化通过SDN控制器，将需要关注的教学业务URL下发到学校出口设备,学校端设备会对学校内进行教学业务的数据流实施监控，并将监测的数据发给SDN控制器。SDN控制器基于HTTP体验度量模型进行计算,给出体验分析，可以基于用户、学校、全局三个层面展示关键教学业务的访问情况.教学业务流量可视化通过EG采集各学校城域网链路中的网络应用流量，通过SDN控制器和ELOG对流量的分布和使用情况进行分析呈现，帮助用户了解城域网链路中各细分业务的带宽占用情况、分析业务开展情况。城域网整体使用情况可视化很多地区的城域网都是百兆、千兆、甚至个别地区是万兆到学校的。这些线路都是花费不少信息化建设费用的。学校出口会将每个学校的线路实际使用情况汇总到ELOG,ELOG会呈现每个学校的线路具体是哪些用户哪些应用在使用，比例是多少。从而方便判断线路使用是否合理。链路质量可视化通过学校出口设备，收集负载、丢包、时延、拥堵等信息,在SDN控制器上计算后生成链路质量及网络运行状态拓扑和报告，帮助用户实时了解网络链路状态和服务质量、掌握网络链路对业务应用的影响情况业务体验不佳根因分析针对打分较低的用户，SDN控制器会下发命令让对应的学校出口收集改用户的详细访问信息，从而给出该用户访问体验不佳的原因，指明后续的人工排查的方向，减轻工作量。SDN智能城域网从教学业务的使用角度重新定义了城域网。用户可以实时或汇总的的观察城域网的线路使用情况、教学业务的体验情况、教学业务的使用比例。针对教学业务访问的问题,自动给出可能的问题原因,减少大量的运维工作。无线城域网方案设计无线教育城域网概述无线教育城域网是在现有教育城域网基础上，依托有线网络架设无线设备，实现无线覆盖，以便承载新兴教育应用。无线城域网主要承载有两大应用：电子书包应用：随着无线终端的普及，无线技术的发展，普教电子书包这种新的教学模式越来越被重视.电子书包是“以网络环境为依托，由移动终端设备、电子教学服务平台、资源加工出版支撑体系以及教育教学数字内容共同构建，参与者通过使用终端设备来进行教学活动”。其中网络环境，移动终端设备是电子书包的两大基础要素。目前国内在校学生超过3亿人,作业和课本数量超过30亿册，纸张、能源等资源消耗巨大，成本高.电子书包的出现能够实现大部分学科的无纸化教学，为普教用户降成本、提效率。教师备课、办公移动化应用：目前中小学一般都给教师配置了教学用笔记本,同时随着移动终端数量的增加,有线信息点无法满足终端接入需求;在教师完成授课后,需要及时上传备课文件到后台服务器,并提交授课情况，而教室内连接网线非常不便,导致教师无法及时上传、下载备课资料。部署无线网络后，教师可以再校内任何地点随时接入到无线城域网进行相关工作.普教无线城域网需求分析无线网络应用需求分析-电子书包：电子书包主要应用地点在教室内,同时接入人数约为40-60人左右；电子书包内容以教学PPT、教学视频推送、随堂考试等为主；电子书包终端类型繁多，各个硬件厂家无统一生产标准；电子书包应用要求无线网络能够同时为数十个终端提供稳定,高速的无线服务质量.无线网络需要有良好的终端兼容性,能够同时兼容多厂家的终端。无线网络应用需求分析—教师办公：办公室内信号无死角，信号稳定安全、便捷的接入方式良好的漫游支持，保证教师机在办公室和教室之间移动不掉线身份认证需求要求能够实现分布式认证:教育局部署统一的身份策略管理中心,对下面各个学校身份认证管理系统下发管理策略，收集各个学校的帐户，实现对所有的城域网用户进行管理。各个学校部署简单易用的身份认证管理系统,管理所属学校的帐号，实现分布式的身份认证系统.为防止学校身份认证系统故障影响正常使用，在教育局设置一套身份认证管理系统，做为各个学校的热备系统。无线系统和有线系统都通过标准的Radius协议和认证系统来进行用户名密码的验证.本次无线城域网用户可以采用web页面和客户端两种方式,自由选择认证；采用客户端认证时,认证窗口可以最小化，不会因为意外操作下线，移动终端采用WEB认证时,采用一定的保活机制,意外关闭WEB页面，不会导致用户下线。访客管理要求灵活、快速的设置、销户访客账号，同时要求访客和内部用户的网络进行隔离；对于访客或临时帐号，可以设置过期时间，过期后自动删除帐号。各学校用户应能在无线教育网内进行帐号网络漫游，支持从A学校到B学校采用相同的帐号可以正常访问网络资源。可以根据不同的终端类型，推送合适尺寸的页面登陆，免去多次拖动、放大屏幕等操作。管理需求无线设备部署在各个中小学,而中小学网管人员编制不足，管理水平偏弱，一旦网络出现问题，很难及时定位问题,排除故障，会影响课堂电子书包授课，这事目前普教客户管理无线网络所面临的普遍难题。无线网管要求能够实现有线无线一体化；具备无线排障功能，能够帮助普教运维人员快速定位、解决故障能够实现无线热敏图功能,无线信号质量直观呈现能够对无线网络可能出现的隐患做提前预警，并通知给网管人员锐捷普教无线城域网方案整体方案架构无线城域网在原有有线教育城域网的基础上，增加无线网络的覆盖,使教职工可以更好地利用班班通的教学资源，网络建成后将实现教学资源共享、电子白板、示范课、教务管理、电子书包等应用，真正实现随时随地利用网络资源,深化教学应用。锐捷无线城域网方案架构图：大中型学校本地部署AC、小型学校共享教育局AC，分级分权管理,学校自主管理、降低教育局压力。教育局多台AC虚拟化，实现高可靠、易管理，教育局多台AC共享license，降低项目成本。教育局与学校无线AC多级容错,学校AC故障、教育局AC承接工作.锐捷无线城域网架构特点1、分布式的无线部署方式无线城域网涉涉及学校达一百多所，规模较大，采用集中式部署的方式容易造成性能瓶颈及管理权限集中，因此建议采用全分布式的部署模式。整个无线城域网采用FITAP的运行模式,教育局内部部署无线AP及相应的无线控制器AC,教育局无线控制器用来管理教育局内部无线网络同时做为各个学校无线控制器的备份.各个学校部署无线AP及相应的无线控制器AC，实现分布式的无线部署模式。2、分布式的身份认证系统采用集中式部署的方式容易造成性能瓶颈及管理权限集中，由于无线城域网的规模效应,很小的安全管理事件会因为数量的庞大会衍生出不可估量的安全问题，对于教育局来说应该采用统一的身份策略管理中心,但对于每个学校来说,都希望管理自己学校的帐户,所以应该细化,采用全分布式身份认证系统满足无线城域网对于身份认证系统的管理要求。教育局部署统一的身份策略管理中心,对下面各个学校身份认证管理系统下发管理策略，收集各个学校的帐户，实现对所有的城域网用户进行管理。各个学校部署简单易用的身份认证管理系统，管理所属学校的帐号.实现分布式的身份认证系统。3、分布式的实名日志管理系统基于对安全的管理考虑,公安部82号令要求保留上网日志，结合班班通现有情况和本次无线城域网需求，需要实现分布式的实名日志。在教育局有统一的互联网出口,形成大的统一出口日志记录，在各个学校结合现有出口设备及学校身份认证管理系统，形成分布式的实名日志系统,方便管理与查询。4、分级式的网络设备管理考虑到后期的管理及维护，教育局对所有的无线网络设备具有统一的管理权限，但对于每个学校来说,应该强化管理自己学校的网络设备,平时的管理维护都在学校内部消化解决，减轻教育局管理全市所有学校的压力.在教育局统一部署无线网络管理系统，对所有设备进行管理，为每个学校分配不同的帐户，管理自己学校所属的网络设备，方便管理与维护。锐捷普教AP部署特点场景化无线设计场景一：报告厅、会议室以报告厅、会议室为代表的场景，具有空间空旷、人员密集的特点，该场景下无线流量和用户并发较高，对AP性能要求较高。在这种场景下，我们选用:802.11AC标准、2条空间流、带智能天线的AP530—I进行部署。该AP的实测速率达到900Mbps,完全满足高流量高并发的的需求.场景二:精细化办公室精细化办公室具有：中小开间，人员少的特点，一般办公人员在4-8人左右.该场景下不允许因安装AP而破坏原有的装修在这种场景下，我们选用:802.11AC标准,2条空间流的面板AP130-W进行部署。面板AP体积小、安装方便、即插即用。面板AP推荐接入人数为8-16人，在这种场景下使用性价比最高。面板AP使用房间原有有线信息点的水晶头进行安装,不布线、不施工、不破坏原有网络结构，不影响运维。场景三：布局稀疏，人员较多的办公区、教学区办公区、教学区人流密度在不同区域稀疏不一，用户上网行为多样化,需重点考虑性能、负载均衡和安全控制问题。30-40人左右的区域使用802.11AC标准，2条空间流的AP720进行部署。该AP的2.4G提供最高300Mbps的接入速率，5G提供最高867Mbps的接入速率，整机提供1。167Gbps的接入速率，千兆极速无线让性能不再成为瓶颈。该AP集成无线网络安全、射频控制、移动访问、负载均衡、服务质量保证、无缝漫游等重要因素，配合无线控制器产品,完成无线用户数据转发、安全和访问控制.50—60左右的区域使用支持频谱复用的AP720—I进行部署，AP720-I具有智能天线，能根据能根据终端的位置和信号质量动态调整定向波束方向或增益(最大10dBi），真正做到让信号随你而动，让手机信号在有障碍物的情况下也具有满格信号。场景四：隔断式布局,用户稀少的办公室场景高中部教学楼和办公楼某些区域的办公室场景具有具有房间多，布局密集，房间人数稀少（4-8人）的特点。在这种场景下我们使用802。11AC标准，2条空间流的智分AP进行部署。智分AP主机通过网线入室连接微AP，每个房间部署一个智分微AP，一台智分AP主机最多连接24个微AP，每台微AP提供双频双流独享信号带宽.场景五:室外区域 室外区域分布着不同的建筑群和植物群，这对于信号的阻挡将是较大的障碍.因此，应当选用专用的室外大功率无线AP产品,可以保证无障碍下的200米半径覆盖以及近距离的多重障碍物的穿透能力,完全保证了室外区域的信号覆盖品质.室外场景需面临严寒、酷热、雷雨和风沙问题，要求AP设备本省具备抗雷击、防雨、防潮、抗高低温、阻燃等多项能力。选用802。11AC标准，3空间流的AP进行部署,提供千兆接入速率;内置防雷,防尘防水能力为IP67；抗温能力为—40—60°C；内置灵动天线，信号随你而动；天线和避雷器内置，简化部署难度。支持无线蓝牙管理功能，维护和故障排除简单快捷.基于用户身份的访问控制无线防火墙是锐捷网络无线控制器的独特功能，它是根据无线用户的接入特性而设计的.无线防火墙与用户认证捆绑在一起，当无线用户成功通过认证后，他将会获得一个用户属性，不同的无线用户有不同的策略,例如老师和工作人员可以使用更多的服务，而学生只可以浏览网页、收发Email等，这样可以极大方便了校园网用户的安全管理。除了支持丰富的防火墙策略，无线控制器还提供基于用户身份的服务,以使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表（ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容。还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务.账号校际间漫游普教城域网覆盖整个城市的中小学,对于用户账号，需要在不同学校间能够漫游，以满足上级视察，校际间互访时的接入需求.锐捷无线教育城域网方案采用ESS+SMP相结合的分布式认证方式:各个学校部署一套ESS认证系统，为本校内的客户做认证，同时教育局部署一套SMP，ESS把校内账号同步到SMP上,当发生账号校际间漫游时,ESS通过城域网到教育局的SMP查询账号是否合法，根据查询结果决定是否用户是否允许被接入.分布式部署的优点：本校内认证快速，便捷，认证数据流无需经过城域网，认证速度快；可实现校际间漫游。网络安全解决方案网络安全总体规划根据XXX教育城域网的业务安全需求，将城域网按照业务功能划分为：互联网出口区、DMZ区、学校接入区、办公区、运维管理区，根据不同区域存在的安全威胁特点进行定向安全防护,形成一个完整的教育城域网安全防护体系。互联网出口区：作为XX市教育城域网与外界互联的关键出口，将成为城域网受外界攻击的重灾区，因此在互联网出口区需要保证网络访问安全、链路安全、地址转换、以及病毒和入侵检测等功能。DMZ区：DMZ区承载着城域网对外提供服务，是城域网对外的门户,因此城域网内的服务器及网络安全需要得到保障，同时需要支撑移动办公场景对内部网络的访问安全.学校接入区:随着网络资源的越来越丰富,需要限制学校访问与教学无关的网站，并对其上网行为进行管理，并且需要隔离各个学校之间的访问,防止病毒扩散或入侵木马扩散.办公区:需要对办公区用户的访问范围进行控制，并且需要隔离与其他机构的网络，防止病毒扩散或入侵木马扩散。运维管理区：需要对全网安全事件进行统计和分析，对运维人员进行运维审计，并对运维区边界进行防护。防火墙划分安全域及边界安全在安全设计时,首先要将网络划分为不同的功能区域，用于部署不同的应用，使得整个集团网络的架构具备可伸缩性、灵活性、和高可用性。服务器将会根据服务器上的应用的用户访问特性和应用的核心功能分成不同组部署在不同的区域中,但是由于整个数据中心的很多服务是统一提供的,例如数据备份和系统管理，所以为保持架构的统一性，避免资源不必要的重复浪费,一些功能相似的服务将统一部署在特定的功能区域内，例如与管理相关的服务器将被部署在管理区。实际部署中，建议通过防火墙实现安全区域的边界隔离与访问控制，防火墙定义为高级的安全访问控制设备，通过位于不同网络或网络安全域之间信息的唯一连接处，根据组织的业务特点、行业背景、管理制度所制定的安全策略，运用包过滤、代理网关、NAT转换、IP/MAC地址绑定等技术，实现对出入网络的信息流进行全面的安区控制（允许通过、拒绝通过、过程监测）.通过防火墙功能实现以下控制策略:端口级访问控制：控制进出安全区域的数据包的方法，实时监控网络上数据包的状态，制定基于IP、端口、出入接口、数据流方向的控制策略，实现通过防火墙的数据流的允许、拒绝的明确控制。深度内容过滤策略：设置基于HTTP、SMTP、FTP、TELNET、SMTP、

POP3等协议的过滤,控制级别到命令级别，针对邮件进行主题、正文、收发件人、附件名等的过滤。会话连接控制:针对某一端口或设备进行连接数限制，以此控制网络流量，以及部分DOS、DDOS攻击，对于普通会话连接，会话超时时自动断掉连接,某些特殊服务需要长连接控制,因此对某些服务进行长连接控制,当会话处于非活跃状态下，在一定时长内保持会话的连接状态。IP/MAC绑定策略:进行IP与MAC地址绑定，防止地址欺骗身份认证策略：采用防火墙本地认证或者与第三方认证系统联动，进