xx普教教育城域网解决方案建议书(编辑修改稿)

xx普教教育城域网解决方案建议书(编辑修改稿)内容摘要：

，大大影响了所有业务的使用。 由于网络 设备性能、链路、流量管理等问题，经常导致区电教管与各县学校的视频会议、电话会议等无法开展，甚至有时连学校的 OA、 mail、学籍管理、电子政务等关键业务也受到了影响。 目前城域网络一部能满足扩容需求，部分学校在 20xx年以后想直接接入到区域核心网络，但由于核心网络设备已无接入端口，而只能接入到就近的中学或小学，区教育城域网核心设备老化、性能低、已无扩展等对整体教育信息改革带了很大的阻碍。 区 教育城域网出口 需求 分析 随着信息技术的不断发展、信息数据的安全等，网络出口是一个教育城域网网络安全的关键关卡，分析当前该 区网络出口情况，网络出口有多条链路，安全设备只能做最基本的安全攻击防御和网络三层的安全防护，不能完全做到对内部业务应用、终端用户 PC使用的安全防护。 在网络中经常遇到黑客的攻击、门户网站被黑和挂马、网络出口带宽不足网络出口对数据的处理能力差，网络出现安全事件后不能及时定位，不能满足公安部的安全事件审核等。 众多安全问题使得我们教育城网的各级领导和管理人员感到很头疼。 区 教育城域网数据中心需求 自建网以来 去电教管数据中心没有通过统一的规划和部署各种业务系统，因此 电教管数 第四代教育 城域网整体规划建议方案 14 / 88 据中心的服务器、存储等都是随时采购，在每次部 署数的过程中比较麻烦，由于设备复杂和老化，而导致数据中心的数据存在随时崩溃状态，多年中数据中心的隐患也曾消除。 数据中心业务应用已增至 30种， 数据中心服务器性能差，也经常造成业务在各校 同 一时间内访问量过大的时出现业务系统反应较慢，偶尔还会出现死机。 区教育无线城域网需求 随着笔记本终端的普及，无线视频设备、语音设备等在学校逐渐的应用，现有有线网络 已不能满足业务和师生的需求，分析当前教育城域网的现状和未来的发展，建立无线教育城域网主要体现如下几个方面：  无线网络的性能和稳定性逐渐提高，成本逐渐下降；  在很多 老的教学楼有线部署困难，采用无线接入更方便；  笔记本逐渐普及，而且未来无线视频监控的应用、三网融合等因素，将为师生的无线网络应用带来更多便利和更好体验。 区教育城域网运维管理需求 越来越多关键业务应用系统的大规模使用，对教育城域网的运维和管理能力提出了更高的要求，网络应用越复杂，涉及到的层面越多，整个网络也就越脆弱。 如何保障关键应用的顺畅运行就成为突出的问题：  各学校网络维护能力有限；  教育信息中心缺乏有效的网络运维和管理的工具；  网络资源滥用现象难以管理；  恶意网络攻击难以及时定位解决；  出现紧急事件时， 网络性能难以保证应急响应的顺利运行；  无法保障关键业务的可用性；  缺少整体规范的主动网络安全管理手段； 区教育城域网实名制身份认证需求 目前区教育城网中 没有良好的认证管理体系，各校随意接入网络，针对各个学校的接入无法控制，无法区分师生身份，造成业务系统、网络应用等混乱使用，而造成一下几点问题： 第四代教育 城域网整体规划建议方案 15 / 88  公安部 82 号令、教育主管部门的网络安全要求，需要落实相关日志审计的安全措施，虽然目前已部署上网行为管理产品，然而，只能记录 IP地址，难以真正满足审计要求，出现安全事件，难以定位到人，有没有办法解决。  城域网的终端接 入不可控，一条网线便可接入各学校的终端，安全隐患大，甚至，很多学校把家属楼接入教育城域网，导致城域网出口带宽不足，有没有办法屏蔽这些用户。  用户在网上发表不良言论，出现安全事件后，日志审计难以真正定位到人，若发生公众事件会严重影响教育局的形象 ；针对难以定位到人的问题，若采取 IP/MAC 绑定，工作量大，老师移动办公不方便，如何解决。  IP地址滥用或内网病毒、 IP地址冲突，导致网络中断，影响业务的正常运行，该如何解决。 区教育城域网多业务统一门户单点登录需求 数据中心业务应用有 30多种，其中有部分业务需要用户 账号口令登陆使用，另一部分可直接使用，针对众多业务使用是神需要维护自己每一个应用的账号信息，对于管理员也一样要进行建立和删除账号也相对麻烦。  太多账号密码 , 不容易记忆，老师有时候连业务系统的登陆地址都记不住；  登录频繁，每个业务系统都要多次输入密码，操作繁琐；  IT 管理人员账号管理工作繁杂  账号管理工作量大 ， 账号管理不 能 及时  用户信息不一致 ， 每个系统都有一套独立的用户数据库 ， 管理员要对每套系统中的用户进行分别管理 ，工作量大 3 XX 区教育城域网整体解决方案 XX教育 城域网建设 整体设计概述 第四代教育 城域网整体规划建议方案 16 / 88 根据对教育城域 网业务应用系统的分析， 本方案提出了第 4代城域网建设方案，总拓扑结 构图如上图。 解决方案构架涉及多个应用模块，实现不同模式、不同优化支撑功能。 结合到 XX教育城域网现状，以及满足当前的认证、安全等 应用需求，方案建设可分布实施，初次部署模式如下： 第四代教育 城域网整体规划建议方案 17 / 88 部署模式简介： XX 区 教育信息中心部署 1 套 radius 身份认证系统， 1 套 web portal认证门户系统。 各校出口 部署 1台 EG融合易网关设备。 各 EG设备和信息中心 radius、 web portal系统对接，实现信息交户，以及认证策略、实名信息同步下发。 学校用户可 分类 2类。 一类需要进行严格的安全控制，如补丁更新、软件黑白名单控制、杀毒软件联动等端点准入功能，如机房电脑、重视安全功能的学校。 另一类客户，要求网络简单使用，同时安全隐患小的客户群，可考虑只使用 web portal 实名认证，不进行强 制的安全控制。 方案可灵活实现两类用户，若需严格安全准入用户，只需安装强客户端 SA，进行主机安全检查控制即可， 同时使用客户端软件进行实名认证。 对网络简单使用要求高的客户，可考虑不安装客户端，直接使用 web portal认证即可。 教育城域网建设有三个主要步骤，  基础网络完善  业务 支撑优化  应用整合优化 网络建设示意图 第四代教育 城域网整体规划建议方案 18 / 88 基础网络的完善包括四个方面：有线网络改造或完善、网络出口优化、数据中心建设及智能无线网络建设； 业务支撑平台的优化包括：业务运维管理、基于实名身份的认证管理体系建设； 应用的整合优化，实现网络层和应用层的单点登陆。 基础网络的完善 教育城域网核心升级优化 结合教育系统的相关业务及应用，采用以下两种技术来构建和完善教育城域网的骨干核心网。  高性能冗余的 万兆 核心 核心设备采用当今高端路由交换产品，关键硬件达到冗余如：引擎、风扇、电源；核心业务办卡采用模块配置，能够很 好的提供今后的扩展，核心骨干网络设计为高容错功能，核心骨干网络故障时间 1S。 核心设备采用支持 IPv IPv6的 万兆技术，核心引擎具有 NFPP 与 CPP 的防护功能，能够随时保护核心引擎。  核心骨干网 IPFIX流量管理 核心骨干交换机能够实现 IPFIX 流量管理，可以进行流量采样、流量采集、数据分析处理，使网络核心流量得管理和控制，保证业务的使用。 教育城域网 的 出口安全 根据教育城域网出口的流量进行分析，从用户实际应用与网络的安全威胁的特点出发， 第四代教育 城域网整体规划建议方案 19 / 88 在网络出口安全设计中分为三个关键步骤的设计： 第一步要实 现提速，即建立高性能、高稳定的基础平台 第二步要实现业务的高效运行，提升服务质量 第三步就是安全风险控制，保障出口的高速、高效 教育城域网数据中心  全网采用 IP SAN+FC SAN 的统一存储架构，灵活扩展存储容量和前端应用服务器数量，远距离、跨校区存储服务。  提供跨盘阵的卷镜像、快照、复制等功能确保数据安全，轻松实现跨盘阵的数据迁移、应用服务迁移，整合原有存储， Licensefree。  通过城域网的可用链路提供远程灾难备份恢复功能，确保数据安全，可以在低带宽环境下实现远程数据灾备。 无线教育城域网 依 托现有的有线教育城域网，以现有的教育城域网为基础， 无线网络 设计如下：  采用技术的标准先进性和实用性，支持 并兼容 WIFI ,无线支持双工模式， 与 WIFI。  学校端零配置部署，分布于各个学校的 AP “零配置”，完全由部署于城域网中心机房的“无线控制器”进行统一管理、配置、监控业务支撑平台的优化。  根据区县下属学校的数量，每个学校部署的 AP 数量的差异，来考虑无线控制器的规模，使得系统的容量、性能、可靠性以及可管理性得到有效保障。  远 端智能感知：如无线控制器出现故障，学校的 AP 要能自动感知无线控制器的状态，自动切换，保证业务运行不受影响。  需要考虑与有线城网的融合，如 AP 的部署、 VLAN 支持、用户认证、安全体系等等。 教育城域网的运维管理 锐捷网络提出了教育城 域网运维管理系统，对关键应用、用户网络设备、安全设备、网络终端 管理统一考虑，整体规划。 通过该系统，区域将建设一个跨教育信息中心和各个校园网的整体安全防护体系和管理体系，以自动化、分布式、智能化的监控和管理手段实现全面的安全防护与管理，达到标本兼治的效果。 第四代教育 城域网整体规划建议方案 20 / 88 教育城域网实名制管理 在教育城网中通过实名制管理系统，实现网络、业务的实名认证，实名认证包括：  实名认证，有线、无线、 VPN 接入认证。  实名访问权限控制。  实名流控。  实名日志审计。 应用的整合优化 通过 RGSMP 与 RGSSO 进行互动，使教育城域网的多个业务统、有线、无线、 VPN 等统一单点登录，它无需用户记忆多个用户名、密码，也无需用户进行多次登录系统才能访问应用系统。 管理员只要维护一个系统即可，对于用户来说只要记住一个网络认证的密码就可以实现网络的接入。 第四代教育 城域网整体规划建议方案 21 / 88 4 XX 教育城域 网详细 设计 方案 核心骨干网高性能冗余设计 在教育城 域网中，网络流量包括：学校与学校之间的流量、学校与区域中心之间的流量、学校访问 Inter 流量。 （如下图所示 图 1） 教育城域网的建设是整个区域教育信息化建设的核心，是保证所有业务应用系统正常运行的关键。 结合现有教育系统的相关业务及应用，推荐以下两种 方案 来构建和完善教育城域网的骨干核心网。 虚拟化核心骨干网 区电教两台核心采用锐捷核心虚拟技术，将两台核心设备虚拟为一台逻辑核心交换机 ， VSU 很容易地扩展端口数量、带宽的同时取代了 MSTP+VRRP 双核心拓扑，既简化网络拓扑。 区电教馆核心交换区部署 两（四）台基于十万兆平台设计的核心交换机，两台核心交换机通过 L3 层 20G链路互联，使用 VSU虚拟化技术，将两台核心交换机虚拟为一台，以简化拓扑，实现 MS级的故障恢复。 两台核心交换机直接光纤互联高中部接入交换机，其它校区汇聚交换机通过 layer3层千兆光纤链路互联，形成高性能、高可靠核心交换机区。 业务区域采用 VSU设计实现高可靠，网络核心之间双链路跨板链路聚合实现链路可靠。 网络中心作为全网的心脏，向单位内部的终端系统源源不断的提供安全的信息血液，保证整个教育业务系统的可靠运行。 因此，作为整个网络平台的神经 中枢，网络核心层是全网数据传输的中心，不仅要保证 7*24 小时的稳定运行，各种应用服务器的数据能够被稳定可 第四代教育 城域网整体规划建议方案 22 / 88 靠的传输到终端系统，同时，还要协调全网的数据流量和访问策略，在提供信息服务的同时，保证网络中心自身的安全。 R G W A L L 1 6 0 0R G A C E 3 0 0 0R G W A L L V 1 6 0 0R G S 8 6 1 0R G S 8 6 1 0R G W GR G。