IPv6+教育专网建设指南

建设指南商标声明注意版本1.0版本1.0编写说明曾德华(中国教育技术协会副会长)、李俊风、卢永平杨加园杨帆华为技术有限公司山东大学中南大学山东省教育厅电化教育馆山西省教育协会参编单位中国石油大学山西大学四川师范大学太原科技大学 2.1政策环境 2.2业务挑战 3.1设计目标 3.2.1省级教育城域网 3.2.2市级教育城域网 3.2.4校园网 16 204.2体验保障 214.2.1—网多面，资源隔离多业务承载 214.3智能运维 24 24 4.4绿色安全 264.4.1互联网出口，多级安全防护 264.4.2安全云化服务，灵活部署快速响应 5.1甘肃省教育专网 295.2江西省九江市教育专网 5.3上海市浦东区教育专网 5.4四川省达州市达州区教育专网 IPv6+教育专网建设指南习近平总书记说过，“建设教育强国，是全面建成社会主义现代化强国的战略先导，...教育数字化是我国开辟教育发展新赛道和塑造教育发展新优势的重要突破口”。随着教育数字化的快速发展，对网络性能要求也越来越高。目前，全国中小学(含教学点)互联网接入率达到100%,99.9%的学校出口带宽达到100兆以上，超过四分之三的学校实现无线网络覆盖，99.5%的学校拥有多媒体教室，建成了国家智慧教育平台，网络教学空间融合的泛在化学习形态已基本形成[1]。同时我们也看到，由于地理条件、经济发展、教育资源配置等原因，城乡之间的教育发展不均衡问题还比较突出。各区域的教育专网建设理念，建设方案不统一，建设过程中还面临如何快速部署线上业务、统一地址分配、统一用户认证、线上教学保障和网络统一运维等问题。近年来，ICT技术的高速发展，新的信息化、数字化和智能化技术不断涌现；利用ICT技术，进行区域基础教育信息化，为教育均衡发展提供了通道，为公平教育夯实了基础。实际上，教育专网建设中遇到的问题，在电信运营商城域网和政务外网等建设中也曾出现过。经过几年来的实践，产业界和政策面已形成了共识，即利用基于“IPv6+”的新型网络技术体系破解网络建设中的难题。并在23年4月23日，由工业和信息化部、中央网信办、国家发展改革委、教育部、交通运输部、人民银行、国务院国资委、国家能源局等八部门联合发布《关于推进IPv6技术演进和应用创新发展的实施意见》,明确提出基于分段路由(SRv6)、网络切片、随流检测、应用感知等新技术，提供快速上云、路径可编程、业务可感知、网络内生安全等网络能力，深化“IPv6+”行业融合应用、提升安全保障能力等五个方面部署15项重点任务。本文从教育专网的发展趋势和挑战入手，基于“IPv6+”网络技术体系，构建了一个新型教育专网架构；详细阐述了教育专网的云化管理、业务保障、智能运维和绿色安全等领域的方案；并结合甘肃、四川达州、上海浦东等区域的最新的“IPv6+”实践，系统整理了“IPv6+”方案价值和师生收益。IPv6+教育专网建设指南02教育专网发展趋势和挑战·加速教育信息化建设，助力实现教育现代化习近平总书记在致国际教育信息化大会的贺信中强调，因应信息技术的发展，推动教育变革和创新，构建网络化、数字化、个性化、终身化的教育体系，建设“人人皆学、处处能学、时时可学”的学习型社会，坚持不懈推进教育信息化，推动信息技术与教育融合创新发展，通过教育信息化，逐步缩小区域、城乡数字差距，大力促进教育公平[2]。没有信息化，就没有现代化；没有教育信息化，就没有教育现代化。积极、有效地推进教育信息化已是国近些年，国家陆续发布了相关政策，为教育信息化发展提供了良好的政策环境。·教育信息化1.0(2012-2018):2012年《全国教育信息化工作电视电话会议》中首次提出，要以建设好“三通两平台”为抓手，即“宽带网络校校通、优质资源班班通、网络学习空间人人通”,建设教育资源公共服务平台和教育管理公共服务平台。这是教育信息化1.0建设时期的核心目标与标志工程，通过完善学校教育信息化基础设施，加强内容建设与共享，促进教学方式与学习方式的变革，建设好两大平台，为教育信息化建设提供坚实支撑[4]。·教育信息化2.0(2018-2022):2018年教育部印发的《教育信息化2.0行动计划》标志教育信息化1.0向2.0时代迈进。该2.0行动计划提出，到2022年基本实现“三全两高一大”的发展目标，“三全”指教学应用覆盖全体教师、学习应用覆盖全体适龄学生、数字校园建设覆盖全体学校；“两高”指信息化应用水平和师生信息素养普遍提高；“一大”指建成“互联网+教育”大平台建成，推动从教育专用资源向教育大资源转变、从提升师生信息技术应用能力向全面提升其信息素养转变、从融合应用向创新发展转变，努力构建“互联网+”条件下的人才培养新模式、发展基于互联网的教育服务新模式、探索信息时代教育治理新模式[5]。2020年，教育部《关于加强“三个课堂”应用的指导意见》中提出进一步加强“专递课堂”“名师课堂”和“名校网络课堂”(以下简称“三个课程”)建设，到2022年，全面实现“三个课堂”在广大中小学校的常态化按需应用，建立健全利用信息化手段扩大优质教育资源覆盖面的有效机制，开不齐开不足开不好课的问题得到根本改变，课堂教学质量显著提高，教师教学能力和信息素养持续优化，学校办学水平普遍提升，区域、城乡、校际差距有效弥合，推动实现教育优质均衡发展[6]。教育信息化2.0行动计划是加快实现教育现代化的有效途径。IPv6+教育专网建设指南·教育现代化2035(2019-2035):2019年中共中央、国务院印发了《中国教育现代化2035》,提出推进教育现代化的总体目标是：到2020年，全面实现“十三五”发展目标，教育总体实力和国际影响力显著增强，教育现代化取得重要进展。到2035年，总体实现教育现代化，迈入教育强国行列，推动我国成为学习大国、人力资源强国和人才强国[7]。·人工智能赋能教育行动(2024):2024年3月，教育部启动人工智能赋能教育行动，围绕人工智能通识教育、国家智慧教育平台智能升级、教育专用大模型应用示范和数字教育出海实施“四大行动”,旨在用人工智能推动教与学融合应用，提高全民数字教育素养与技能，开发教育专用人工智能大模型，同时规范人工智能使用科学伦理，为教育发展注入新动能。教育信息化建设从1.0的“三通两平台”到2.0的“三高两全一大”,再到人工智能精准教学，更加注重教育资源的深化应用和管理，更加强调智慧教育的全面覆盖及“互联网+教育”大平台建设。基于教育信息化2.0提出的八大专项行动，其中包括业务层面的“三个课堂”,校园建设方面的智慧教育示范区、智慧校园，公共管理层面的“互联网+网上办事大厅”等专项已经在逐步落地推进，最终实现教育现代化2035目标。·推进教育新基建，构建高质量教育支撑体系2021年，教育部等六部门印发《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》,提出到2025年，基本形成结构优化、集约高效、安全可靠的教育新型基础设施体系，并通过迭代升级、更新完善和持续建设，实现长期、全面的发展。建设连接全国各级各类学校和教育机构间的教育专网(即充分利用国家公共通信资源，由国家主干网、省市教育网和学校校园网组成，实现网络地址、域名和用户的统一管理的教育专用网络。),提升学校网络质量，提供高速、便捷、绿色、安全的网络服务；推动各级各类教育平台融合发展，构建互联互通、应用齐备、协同服务的“互联网+教育”大平台，为教育高质量发展提供数字底座；汇聚生成优质资源，推动供给侧结构性改革；建设物理空间和网络空间相融合的新校园，拓展教育新空间；依托“互联网+教育”大平台，创新教学、评价、研训和管理等应用，促进信息技术与教育教学深度融合；有效感知网络安全威胁，过滤网络不良信息，提升全方位、全天候的安全防护能力，保障广大师生切身利益[8]。《指导意见》全方面、多维度对教育新型基础设施建设提出了要求：·信息网络新型基础设施：建设分级教育专网，实现网络统一管理，教育资源高速互联，IPv6规模部署应用。·平台体系新型基础设施：构建新型数据中心，促进教育数据应用，推动平台开放协同，升级网络学习空间。·数字资源新型基础设施：开发新型资源工具，优化资源供给服务，提高资源监管效率。IPv6+教育专网建设指南·智慧校园新型基础设施：完善智慧教学设施，建设智慧科研设施，部署智慧公共设施。·创新应用新型基础设施：普及教学应用，创新评价应用，拓展研训应用，深化管理应用。·可信安全新型基础设施：增强感知能力，保障绿色上网，推动可信应用，健全应用监管。2023年，工业和信息化部等八部门共同印发的《推进IPv6技术演进和应用创新发展的实施意见》中提出，到2025年底，IPv6技术演进和应用创新取得显著成效，网络技术创新能力明显增强，“IPv6+”等创新技术应用范围进一步扩大，初步形成以IPv6演进技术为核心的产业生态体系，分段路由(SRv6)、网络切片、随流检测、应用感知网络(APN)和网络智能化等成熟的“IPv6+”技术实现产品化落地，重点行业“IPv6+”融合应用水平大幅提升。其中，在智慧教育领域，应推动教育业务云上部署，支持开展云上教学、行政管理和公共服务，基于分段路由、随流检测等技术建设高质量传输的教育专网[9]。·“IPv6+”是面向5G和云时代的智能IP网络技术体系，具备智能超宽、智能联接、智能运维三大特征。“IPv6+”网络技术体系基于IPv6技术演进，包括了以SRv6、网络切片、IFIT等协议创新，和以网络分析、自动调优等网络智能化为代表的技术创新。·SRv6作为“IPv6+”的核心技术之一，SRv6的网络可编程属性，与集中管控相结合，提供基于带宽、时延、Metric等多因子算路和故障快速重优化及SLA劣化重优化的能力，面向不同业务提供差异化服务保障；·网络切片为业务提供资源隔离、确定性、差异化质量保障；·IFIT是一种随流检测技术，与传统的探测技术不同，其逐包、随流的检测方式，极大提升了业务SLA检测精度。IFIT与智能分析相结合，在端到端SLA检测的同时，支持业务劣化自动逐跳检测，精准定位质量劣化链路，使业务精细化运营成为可能。·APN6技术利用IPv6报文自带的可编程空间，将应用信息(标识和或网络性能需求)携带进入网络，使能网络感知应用及其需求，进而为其提供精细的网络服务和精准的网络运维。“IPv6+”技术的出现，为网络的可服务化提供了更佳的技术选择；“IPv6+”帮助网络将网络的数据和能力开放出来，真正实现自动化部署和智能化运维。教育专网是构建教育新基建目标的根基，现有的教育专网普遍满足基本联通性需求，但随着教育现代化的稳步推进，大数据、移动计算和人工智能的深度应用，传统的教育网络或因为网络IPv6+教育专网建设指南带宽有限、或因为维护和管理不到位，难以满足远程互动、AR/VR在线教学、人工智能辅助等新型教育教学模式的网络需求，面临着诸多挑战。·新型教学业务质量保障难，业务水平难提升教育现代化正逐步从融合应用向创新发展演进，传统线下教学模式逐渐转向线下+线上教学直播授课并重，VR/AR、云桌面等新技术在教学中快速应用，无线教学终端接入、互动教学1VR新型业务对网络有大带宽低时延的诉求。如何满足教学、教研和办公等不同业务对网络SLA的诉求，保障关键业务质量，是教育专网面临的关键挑战。以下是一些典型新型业务网络需求：考务室等，考场出口总带宽为监控点位数*单个监控点位码流，比如，某考场共70个监控点位，每个监控点为1080p@30帧、H.264编码(4Mbps),则总带宽为280Mbps。因此，电子巡考场景对网络质量的要求极高，时延抖动≤50ms,丢包率≤1*10-3、包误差率≤1*10-·理化生实验考试：《教育部关于加强和改进中小学实验教学的意见》教基[2019]16号考后评”的信息化考场转型。因此，大量理化生实验考试视频数据需要当天快速传输到市教育云，比如，某市考生约14万，考场250场，在5月份考试期间，推算预计每天增加42TB的考试数据传输，需要当天传输完毕，加上考场内摄像头、智慧大屏、电子班牌等公共设施，这些对网络大带宽强依赖。同时，AI视频辅助阅卷准确性，必须保证视频无卡顿、花屏等现象，对网络传输质量要求很高，丢包率应小于0.1%。而现有校园网以传输办公业务为主，无法满足理化考场业务传输要求。·三个课堂：教师和学生通过互联网/教育专网实现跨区域的远程互动教学，比如远程点名问答、无线投屏、全网直播、同屏板书等，助力解决各地区教学资源不均衡问题，这些功能要求上课网络提供大带宽和低时延的能力，否则就会影响教学效果，比如，“专递课堂”业务，要求网络时延抖动≤50ms(超过50ms容易出现卡顿/马赛克),带宽≥教学终端所需码流之和；4K视频带宽要求达到8Mbit/s;远程互动教学场景下要求带宽达到250Mbit/s(1080P)~2.5Gbit/s(VR/AR教室)。·AR/xR实训：Al/xR后端服务器在教育云，在学校实训实验室部署各种Al/xR终端，支持通过视频远程互动教学、AI课程资料包远程上传/下载、远程操控AI终端、xR终端远程模拟实验/虚拟仿真实验等方式，来实现Al/xR远程实训教学。其中，远程操控AI终端、xR终端远程模拟实验/虚拟仿真实验等端到端时延要求越短越好，通常要求≤20ms(入门阶段云VRIPv6+教育专网建设指南时延要求≤20ms;理想体验阶段时延要求≤8ms),否则会产生操控卡顿导致实验失败、头晕恶心/眩晕感等体验较差的问题。“三分建设，七分运维”,教育专网运维管理工作是切实保障网络稳定、安全运行，维护师生合法权益的关键。随着网络规模扩大、数据中心扩容，网络设备、应用程序和用户数量的增加，网络数据量及其多样化不断增加，运维人员人均维护设备数激增。据赛尔网络调研，目前教育网络运维人员人均设备维护数已经达到1900台。以某市教育专网为例，其教育专网覆盖全市2500+教育单位和中小学校，近38万台终端设备，为近180万师生提供服务[11],运维效率和运维质量面临巨大挑战。除此之外，理化生实验考试、大型公开课、开学第一课等重要节点关键业务开展时，业务保障及其困难、师生体验难以提升，往往要提前数天甚至数周进行保障准备，现场效果还不尽人如意。以某市为例，23年下半年20周内，云端课堂共发生80多起卡顿故障，其中近一半是网络问题，每次定界定位都需要至少2-3天，运维人员希望能主动运维、快速定界。面对这些挑战，当前大部分地区一方面依然采用以故障驱动为主的被动运维形式，依靠人工响应，无法预警潜在的隐患，无法风险预防，突发事故时极易导致业务中断，信息系统技术服务一直处于“救火式”状态，运维人员疲于奔命；另一方面，运维工具上依然以传统网管为主，采用基于SNMP的协议进行网络部署和告警接收，仅支持5分钟粒度的数据采集，只能简单感知端口级流量状态，针对由网络突发、无线空口干扰导致的丢包、在线课堂卡顿等问题缺乏有效定位手段，网络及接入状态不可视，定界定位及其困难，网络也容易成为“背锅侠”。近年来，国家高度重视网络信息安全工作，没有网络安全就没有国家安全。教育网络安全关系广大师生家长的切身利益，甚至关系社会稳定和国家安全[12]。随着国家“互联网+教育”战略的实施，各级教育信息化的建设和应用水平得到进一步提升，但信息技术与教育应用深度融合后教育行业所面临的网络安全形势也更加复杂。目前，校园网面临的安全事件主要涉及数据泄漏、数据篡改、网站瘫痪、页面篡改等方面，校园TOP安全攻击事件如表2-1所示。影响范围DDoS攻击Web攻击网站挂马因此，如何完善教育系统网络安全通报机制，落实网络安全等级保护2.0的相关要求，满足03设计目标和方案架构育专网以教育业务场景为驱动，以IPv6育数据赋能，优化教学体验，推进数字教育建设云化管理全网自动化|智能运维规规市教育云省教育云省教育云绿色安全业务保障绿色安全业务保障在线巡课在线巡课电子巡考阳光校园三个课堂Oo学体验3.2.1省级教育城域网图3-2省级教育城域网国家教育国家教育省直接入A市教育专网B市教育专网省政务外网省直汇聚3.2.2市级教育城域网图3-3分建模式市级教育城域网阳7这.金金需中市直属学校/单位肉图3-4统建模式市级教育城域网胆得金市教育局需市直属学校/单位3.2.3区县级教育城域网图3-5区县教育城域网区县接入IPv6+教育专网建设指南3.2.4校园网教育校园网是教育专网的重要组成部分，基于以太全光和Wi-Fi7技术的校园网络，为用户图3-6校园网架构高高光纤网线/PoE供电设备网模块宿舍校园核心(随板AC)校园有线网可选择以太全光交换机架构，以中心交换机+远端模块组合产品，实现万兆入室，千兆到桌面。·核心层宜部署两台高性能框式交换机，连接校园所有的楼栋汇聚交换机，承载园区教学高转发、高可靠等能力。·接入层是最靠近终端的网络区域，为终端提供各种接入方式，是终端接入网络的第一层。接入层包含接入交换机、AP、远端模块设备。远端模块是中心汇聚交换机的一部分，功能上与传统接入交换机类似，管理运维上可以实现即插即用，免配免维。接入交换机/远端模块宜采用10GE双归互联汇聚交换机。可以通过最新的光电混合POE远距离供电，满足部分业务“断电不断网”需要。核心核心机房楼栋弱电间光纤到楼层光纤到核心层汇聚层远端模块接入层光纤接入交换机校园网无线网络推荐采用WAC+FitAP组网架构。WAC可选择核心交换机随板AC或独IPv6+教育专网建设指南AC可节约客户硬件部署成本，同时便于有线无线统一认证和便于部署业务随行。根据WAC在园区网络中的部署方式，可分为WAC旁挂式组网和WAC直连式组网。中小学校园网络中推荐采用核心交换机做随板AC,只能采用直连式组网。Wi-Fi7在技术上进行了全面升级，带来更大的带宽、更低的时延和更强的接入，为未来的演进提供无限可能。采用了更宽的320MHz带宽、更高阶的4096-QAM调制及Multi-Link,支持更高的吞吐业务，如云桌面、在线听评课、巡课督导、电子巡考、VR教学等。·更低时延：Wi-Fi7可工作在多个频段使用MLO(Multi-LinkOperation)技术灵活调度不同频段的资源，支持终端和AP空口多条链路建链，可灵活基于场景选择链路，规避质量不好的信道。即使面对苛刻的大带宽、低时延要求的AR教学需求，也能轻松应对。·更强接入：Wi-Fi7在高密场景下的终端接入数量更多。多AP协同空间复用技术能智能调整连续组网下邻居AP的信道和功率，降低同频干扰，确保AP在较多移动终端接入的多媒体教学场景下，拥有稳定的并发性能。3、无线数据转发模式设计WAC与AP间的控制报文通过CAPWAP隧道转发；对于无线用户的业务报文，AP向有线侧进行转发的方式主要包括隧道转发(又称为“集中转发”)方式、直接转发(又称为“本地转发”)方式。隧道转发是无线业务流量需由AP通过CAPWAP隧道上送到WAC集中转发，AP与WAC业务转发路径配置较简单，但是业务流量转发效率低，WAC压力大。直接转发是无线业务流量不经过WAC绕行而直接上送网关进行转发，AP和WAC无需建立CAPWAP数据通道，AP转发效率较高，WAC转发压力小，但是AP和WAC转发路径配置复杂。中小学校园网络中场景，通常是核心交换机作为随板AC和网关，建议采用隧道转发模式，部署和运维简单。IPv6+教育专网建设指南全球IPv4公网地址由于已基本耗尽，教育专网不再统一分配IPv4公网地址，通常按照特定策略集中分配IPv4私网地址；同时要求对所有设备实现IPv6公网地址统一分配，各级教育专网会逐渐演进到采用IPv6单栈模式建设。1.IP地址规划总体原则·简单性：IP地址的分配应该简单，避免在主干上采用复杂的掩码方式。·连续性：为同一个网络区域分配连续的网络地址，便于采用路由收敛及无类别域间路由CIDR(ClasslessInter-DomainRouting)技术缩减路由表的表项，提高路由器的处理效率。·可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持IP地址的连续性。·灵活性：IP地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化。·可管理性：地址的分配应该有层次，某个局部的变动不要影响上层和全局。·安全性：网络内应按工作内容划分成不同网段以便进行管理。·统一规划管理。网城域网运行维护单位承担全区IP地址的规划、申请、资源分配及备案等管理工作。·专人负责管理。设置专人或组织负责管理、维护IP地址资源，确保IP地址数据的完整性、形成IP地址的闭环管理机制。·地址备案管理。应完整报备城域网IP地址，IP地址报备中的地址备案类型应与地址使用用途相一致、IP客户信息应与地址报备相一致。按照教育部科信司要求，全国教育专网已整体申请1个/20位掩码IPv6公网地址段；按照每个省份分配1个132位、每个地级行政区分配1个/36位、每个县级行政区分配1个140位，可分配多个136或140位的连续IPv6地址段，实现IPv6公网地址分地域、分级统一分配。IPv6地址，掩码尽量较短(如/127位),以节省IP地址；·各网络设备的Loopback接口地址：建议为静态IPv6地址且为/128位掩码，用于路由教育专网IPv6地址具体规划，可按如下表2实施表2IPv6地址规划示意表学校内网长度(bit)488·对于普教学校由区县DHCPv6服务器统一分配IP地址的情况，DHCP报文穿过图4-1IP地址分配示意图各市、县(市、区)教育行政部门申请注册一级域名，所辖学校申请注册一级域名下的二级教育域名123采用集中式认证方案，开启教育专网核心/汇聚点路由器的BRAS功能，并部署专用的认·各级教育厅局、各校区及单位访问云端资源或互联网时，会发起认证报文，经由校园网·核心/汇聚路由器开启内置BRAS功能，并由路由器作为认证点，向认证服务器发起统一认证·路由器作为整个网络的控制点，对访问教育网、互联网、数据中心或教育云的流量进行权限控制图4-2某区县教育专网统一认证点示意区/县教育局区/县教育局统一认证点高性能区县核心防火墙县/区直属单位学校X802.1X认证需要优点缺点管理复杂综合灵活部署和使用方式，推荐教职工有线4.1.2业务随行，教职工跨校区授课体验随身本部还是其他的任何一个分校区，无论是使用PC,平板电脑还是智能手机，或者是学校计算机采用集中部署带BRAS功能的路由器，可实现同一认证域内(市级或者区县级)教师流动图4-3业务随行示意图IPv6+教育专网建设指南统一认证点②③漫游1.用户首次从学校A的WLAN接入，通过与BRAS以及DHCP2.BRAS触发用户认证，并完成Portal认证；触发MAC优先认证实3.用户漫游到学校B的WLAN网络时，保持IP触发MAC优先认证实4.2.1—网多面，资源隔离多业务承载随着5G、Al等技术的发展，从线下转移到线上的混合式教学模式快速兴起，为教育行业带来全新的变革。XR等沉浸式教学方式的变革，使传统的教育专网逐步从办公/通信网络向生产网络发展，未来直播教学、XR沉浸式学习、视频教学、巡考监控等都会承载在这张网上，对于这些对网络质量要求高的业务，必须能保障其传输质量。教育专网通过网络切片技术，对重点业IPv6+教育专网建设指南务例如直播教学、在线课堂业务保障带宽和时延，实现网络资源硬隔离，提供零丢包，零卡顿的业务体验。图4-4网络切片架构网络控制器网络控制器直播教学切片N切片2切片1互联网教育云财务云互联网考试视频监控教育专网通过FlexE、信道化等网络切片技术实现细粒度带宽资源硬隔离。切片按需规划，公共的教育业务全部承载在默认切片上；然后对于有特殊业务需求的学校、科研院所，基于不同的网络SLA诉求单独创建网络切片。例如直播教学需要1G带宽保证的切片以保障视频教学业务性能稳定；财政业务涉及敏感数据，需要与其他业务进行安全隔离；而重保视频会议业务对网络带宽、丢包、时延要求高；视频监控调阅易带来瞬时大带宽突发。管理平面使用网络控制器对网络切片进行规划、部署、动态调整、监控的全生命周期管理。4.2.2三个课堂，在线教学视频质量保障三个课堂等关键业务基于SRv6、网络切片、随流检测IFIT等技术为教学提供网络端到端保障，同时结合路由器设备的音视频质差分析能力，对音视频质量进行量化，实时监控在线课堂质量和网络状态，记录全流程数据，提升教育教学保障效果。图4-5三个课堂业务保障方案架构行业首个创新应用场景：行业首个创新应用场景：IPv6+网络算力卡以规版画面卡师为例些原余议活数教育云业界首个网络数据预音视频应用卡领算法：准确性高：平均卡硬预测准硼率达98%以上泛化性广：已支持华为，可扩展支持其他会议类型.丢包，@推理结果：是否卡领二·在线教学视频质量监测。当在线课堂流量流经路由器时，路由器将课堂教学流量镜像到·在线教学质差定界。当出现卡顿时，通过位于边界的多功能增值业务卡判断故障出现在端和逐跳的质量，在确认网络质差节点后，可通过网络控制器，利用SRv6的路径可编程，绕发现在线课堂业务流丢包现象②实时上送检测指标在线课堂⑤路径调整、业务恢复IPv6+教育专网建设指南大数据时代，传统的基于指定规则的运维模式已经支撑不了用户对网络的运维需求，自动化运维的不足，日益凸显。利用网络产生的大量数据进行智能运维，提升用户运维效率已经刻不容缓。但是当前网络质量不可视，无法及时感知业务SLA变化，且尽力而为转发的网络无法实现流量的差异化和自动化调度，难以满足教育业务的差异化保障诉求。华为网络数字地图解决方案具备交通地图导航式体验，实现网络全息可视、业务敏捷发放、流量自动优化、智能故障分析、隐患预测、全生命周期智能运维，让教育教学业务得到持续保障，提升业务体验。世界w口应用视图用户视图终端视图网络视图应用数字地图数字世界IPv6+教育专网建设指南·网络全息可视：建立动态高清的电子地图运维模式，即通过网络数字地图直观感知网络，大大提高网络运维效率。通过海量数据实时采集，把物理世界的网络在数字空间中重建，通过一张数字地图清晰呈现网络基础信息，实时感知用户体验、应用体验，实现全网一图可视。·导航式路径计算：基于业务意图匹配计算最优路径，智能云图算法可实现20+因子秒级算路，秒级感知业务质差、分钟级定位根因、分钟级自动优化、满足差异化的业务SLA保障需求。·流量调度：目前，大多数IP网络行为是尽力转发，在遇到突发流量时极易产生拥塞，人工流量均衡平均花费3小时以上，用户体验差。网络数字地图可以实时感知网络拥塞，对流量路径进行自动优化和调整，实现分钟级的SLA闭环保障。·多维视图：从终端、网络、用户、应用等多个维度，全方面衡量和评估网络性能，进行网络保障。将运维从单纯的网络部分，扩展到对整个业务流程的监测和保障；主动识别应用的体验问题，发现潜在故障并识别根因，最终给出修复建议甚至自动修复。各级教育专网部署统一互联网出口区，由边界防火墙+上网行为管理产品实现辖区所有流量进行统一防护，便于高效管理辖区所有网络流量。·总体策略：逐级过滤(URL过滤+应用白名单+终端EDR控制)+精细化内容识别过滤告警·EDR防弹窗：教学白板、终端防弹窗广告查杀弹窗文件/进程·精细化内容过滤：对文字内容、图片内容、语音内容、视频内容做内容合规检测教育专网出口具体组网如下：IPv6+教育专网建设指南心/教育云市出口区边界防火墙上网行为管理政务外网市核心安全资源池市直核心市汇聚防火墙防火墙重点学校普通学校4.4.2安全云化服务，灵活部署快速响应学校内网络往往由学校自行管理的，往往因学校缺乏专业的网络管理人员，缺少对网络安全云端和设备端能力分别如下：IPv6+教育专网建设指南云端能力：·安全能力中心：平台检测能力全，自动推送到末端设备；99%威胁自动处置，无需人工干预紧急事件以短信/邮件等方式实时通知管理员·云端AI算法持续更新演进：云端AI算法自动迭代更新，基于Al技术对安全日志和取证文件关联分析，准确、快速处置攻击事件·云端专家服务：具备攻防对抗经验的未然实验室安全专家，7*24小时在线服务设备端能力：·防火墙：采集并发送安全日志，通过加密通道发送至云上分析；接收云端下发的执行策略，图4-9安全云服务架构场景护…IPv6+教育专网建设指南05成功案例》5.1甘肃省教育专网为满足甘肃教育系统常态化在线教学场景下对于网络“高带宽、低时延”,以及网络安全等实际需求，由甘肃省教育厅牵头进行甘肃省教育专网骨干网建设，计划到2024年底，全面实现甘肃省教育专网骨干网同国家主干网及全省14个市州、兰州新区及省直属单位的高速互联，实现全网统一地址管理、统一域名管理、统一安全管理，形成“云、网、端”架构下开展各级各类教育教学活动的网络基础环境。本项目通过启用IPv6、SDN、SRv6、网络切片、随流检测等先进技术，解决了网络架构中的IPv4地址枯竭、网络可扩展性、网络安全、网络资源利用、网络监测和故障排除等网络架构中的诸多问题，不仅提升了网络的性能和可靠性，还满足了不同用户和应用的个性化需求，为网络发展提供了强有力的支持和保障。教育专网关键业务采用SRv6Policy承载，结合控制器进行路径编排与调优，业务快速开通，时延有保证。2、网络切片，业务硬隔离教育骨干网需具备为关键教学业务提供专用带宽的能力，支持端到端针对关键教学业务提供网络切片，实现业务带宽硬隔离，可提供端到端SLA保障，同时实现一网多用，多业务融合承载。3、IFIT随流检测IFIT随流检测结合控制器，实现业务端到端质量可视，及业务故障的分钟级定位，提升网络运维效率。图5-1甘肃省教育专网架构图IPv4/v6双栈云省核心接入IPv4IPv6甘肃省教育专网IPv4IPv6省市级教育专网地市教育专网·IPv6改造提供了巨大地址空间，支撑新一代教育专网海量联接需求，有效解决IPv4地址短缺和地址冲突问题，同时在地址分配方面具备更大的灵活性和拓展性，为网络的长远发展提供了可靠基础，一次建网，十年无忧。·SRv6Policy、SRv6采用SRv6Policy承载，通过控制器对流量实时分析，发现拥塞自动调提高网络时效性，确保视频会议、在线授课等关键业务0卡顿，提升教师、学生满意度。·省市分级启动IFIT随流检测可有效提升故障定位效率，在收到用户报障时可快速根据故障位置、疑似原因和修复建议处理故障，运维效率极大提升，降低了用户投诉率，减少了人工运维投入成本。SRvgover切片络安建设全是打造九江市”互联网+教育”大平台的重要举措之一。教育专网下属22个中小学没有专门的安全运维人员，需要总部集中管理；需要智能化的运态势感知+安全控制器+沙箱+防火墙联动处置，实现威胁主动发现，自动处置，威胁秒图5-2九江教育专网架构图云平台云平台市教育局市教育局终端管理/杀毒智慧校园智慧校园姿日姿日共用防火墙支持20000+威胁特征库，亿级病毒库，威胁检出率高达99%,威胁默认阻断率高达85%。态势感知内含智能检测算法30+,全面感知现网威胁现状，未知威胁检出率97%。IPv6+教育专网建设指南1、业务保障能力差：浦东新区作为教育强区，信息化发展迅速，随之电子巡考和理化实验的推广，电子巡考要求600M以上带宽，无抖动，理化实验要求实验期间独享500M以上带宽；现网采用MPLSVPN对业务进行逻辑隔离，无法保障这些关键教育应用独享带宽等差异化承载需求；2、运维困难多厂商交换机和路由器共组网，采用传统CLI等手工运维方式，导致运维复杂。同时浦东区域覆盖1000+平方公里，教育机构900+,手工运维，也导致运维人员严重不足。3、设备到期，带宽不足现网2012年部署，设备到期，带宽扩展能力不足，设备IPv6+演进能力弱，不满足八部委发文要求建设智慧教育IPv6+的诉求。为此，该项目的建设目标是构建100G主干，万兆到学校的教育网络，搭建满足“云、网、端”架构下开展教育教学的网络环境。建成覆盖全区各级各类学校，支持各级各类教育教学信息化，集数据、语音、视频服务于一体，高带宽低延时，支持IPv6部署和应用，具有自主管理，拥有统一管理公共IP地址的教育网络。1、利用网络切片技术，实现一网承载，集约共享汇聚-核心-数据中心汇聚路由器全局规划两个FlexE切片，分别为互联网切片：承载全局上网VPN与民办上网VPN,基础切片和2B基础切片，考试与财务业务切片，承载电子巡考/视频监控/理化试验考试/财务管理4个VPN业务，实现关键业务和互联网做切片隔离；接入路由器-汇聚路由器共享物理接口转发；2、一键运维，实现业务可靠承载SRv6+SDN实现自动化流量调优，满足业务差异化承载需求；IFIT+SDN实现业务端到端质量可视，实现业务故障的分钟级定位。IPv6+教育专网建设指南3、云端设备助力业务E2E发放云端“IPv6+”Ready设备，基于SRv6“一跳入云”,实现业务敏捷快开通。全网部署路由器IPv6+设备，实现全区教育网络有效的互联互通，支持教育资源高效快速流动，教学应用全区通畅可达。图5-3浦东教育专网架构路径智能规划路径智能规划学校学校Slice1:互联网·夯实教育信息化基石：带宽提升：核心节点10G->100G,接入1G->10G;网络切片提供确定SLA,满足高带宽、低延时教学应用；教育资源快速流动，应用全区可达。·保护客户投资：“IPv6+”主流技术和主流设备加持，未来5年不过时。IPv6+教育专网建设指南》5.4四川省达州市达州区教育专网达州教育专网是连接达州市教育系统各个部门和机构的专用网络。达州教育专网的建立，有助于提高达州市教育系统对信息技术的应用和管理水平，加强各类教育信息化设备的使用效率，提高学校教学管理的效率和教学质量，由此达