教育城域网建设方案(共8篇)
教育城域网的建设是推进素质教育、迎接知识经济时代的需要。目前世界各国都在加快教育现代化的步伐,其信息化程度的高低也已成为当今世界衡量一个国家综合国力的重要标志。锐捷网络做为国内领先的网络设备供应商和解决方案提供商,积极投身于教育网络的建设工作中,利用自身完备的网络技术及建设经验为广大的教育用户提供了卓越的网络产品,同时,锐捷网络提出的“区块化”+“分离式”教育城域网建设思路
提供了完善的教育城域网网络解决方案。
教育城域网建设原则
教育城域网的建设,主要目的是将同一地区、同一个城市里的所有学校、研究机构、本地的教育机构互联起来。为实现教育网络高质、高效互联的目标要求,在网络设计构建中,应始终坚持以下建网原则:
高稳定可靠性
由于城域网内数据流量巨大,且关键流量众多,整个网络系统的可靠性和稳定性非常重要,因此对整个网络必须遵循运营级的设计理念,即,从网络接入、汇聚到核心等各个层次加以保证,不但要考虑各层设备本身的冗余、容错能力,还要从网络架构的合理设计上,保障网络的稳定可靠运行。
高性能
高质高效的网络性能是整个网络良好运行的基础,因此,在设计中就必须保障网络及设备的高吞吐能力,保证各种数据(语音、视频、数据)的高质量传输,确保各种应用的顺利开展,不要让网络成为应用开展的瓶颈。
高安全
制定统一的安全策略,整体考虑网络平台的安全性,构建全局安全网络。保证关键数据不被非法窃取、篡
改或泄漏,使数据具有极高的可信性。
易管理
对网络实行集中监测、分权管理,并统一分配带宽资源,选用先进的网络管理平台,实现对整网设备、端口的管理、流量统计分析,以及提供故障的自动报警。
良好可扩展性
根据未来应用和业务的增长和变化,网络可以平滑升级和扩充,最大限度的减少对网络架构和现有设备的调整,保护现有投资。
锐捷网络教育城域网解决方案
锐捷网络教育城域网的解决方案充分结合我国城市市区教育行业用户的网络现状。本解决方案以地/市教委、电教馆网络为中心,采用“区块化”+“分离式”设计思路设计。
方案设计
骨干层分离式设计
城域网骨干层采用2-5台RG-8610构建城域网的高速交换中心。骨干层之间根据当地线路条件,高速连接。建议采用租用裸光纤方式,以千兆或万兆以太网方式进行连接。
本方案中骨干层设计与传统城域网设计的最大不同之处在于骨干与汇聚之间的上下分离的设计思想。传统的城域网骨干层设备包含汇聚节点,也就是或下面的很多接入层用户直接接入城域网骨干层,没有进行严格区分。这样带来的优势是节省资金,但也存在很大的性能、安全上的风险:
1)传统设计中骨干层核心设备直接暴露在终端用户面前,很容易遭受黑客或病毒攻击,从而引起核心设备宕机或高负载运行,最终直接导致整个城域网瘫痪。
2)骨干层提供汇聚功能,需要在核心交换机上部署大量的安全控制规则、QoS策略和路由策略,会影响核
心数据的转发。
而采用骨干、汇聚分离的设计思想,严格将汇聚与骨干之间区分开,骨干层只作高速数据交换,原则上不在核心上启用复杂功能、不部署复杂策略,不会影响核心性能。骨干层也没有暴露在直接用户面前,不会受到恶意攻击。单个汇聚节点故障不影响整个城域网的正常运行。
汇聚层设计
每个汇聚层节点可以设在各行政区教育局或电教馆,采用1台S6810E或者1台S6806E作为汇聚节点核心交换机。汇聚交换机与骨干核心交换机通过高速链路相连,如有条件建议租用裸光纤方式,以千兆或万
兆以太网方式进行连接。
汇聚层交换机配置丰富的接口模块,专职为接入层提供接入服务。汇聚层交换机上根据需要进行安全规则、路由策略的部署,来对接入层进行数据交换和安全防护。
接入层分离式设计
采用三层交换机+路由器的方式接入城域骨干网,让接入学校的三层交换机负责内部的数据交换,让出口的路由器负责城域网骨干接入,二台设备各司其职,形成上下分离的设计。采取这种方式有以下一些优势:
管理维护方便,城域网中心只需要管理到出口路由器,如果路由器正常,中心就可以认为是接入学校自己的问题,学校的管理人员应该自己解决,这样,提高了网络管理的效率,提高了城域网的高度可用性。
稳定可靠,由于三层交换机采用三层的形式跟路由器互联,这样,接入学校内部的网络环境变化不会影响到接入路由器,接入网的可靠性能够得到加强。
依据学校规模的不同,对于10M及其以下接入的学校,采用RG-R2632路由器;对于100M接入的学校
采用RG-R3642路由器。
出口区块设计
教育城域网一般都会连接到ChinaNet和Cernet两个网络,而且,考虑到用户量大和丰富的应用,这要网络出口带宽至少千兆以上,对于出口防火墙能够支持千兆接口、具备较高的吞吐量和良好的安全性能,同时还要能阻断来自外部的黑客攻击和网络病毒,保证城域网的安全性。能支持多出口负载均衡和NAT功
能,将多出口分流实现在防火墙上;
对此我们建议在网络出口处使用锐捷网络RG-WALL1600防火墙的双机负载均衡(HA高可用性)功能,实现了2台防火墙的负载均衡和双机热备,确保出口的高度稳定可用性。
2台防火墙组成HA(高可用性) 正常时,2台防火墙是负载均衡
当其中一条链路或设备出现故障时,会话迅速转移到另外一台防火墙。
最终实现了2台防火墙的负载均衡和双机热备,确保出口的高度稳定可用性。
特点:不同的工作由不同的设备来完成,网络的性能很高,二台防火墙启用HA功能,实现流量的负载分担和冗余备份,在双出口的环境中,确保了网络的稳定可靠性。
方案特点
“区块化”设计
“区块化”设计实际上是把整个教育系统分为资源中心,网络区块,网络安全管理区块,网络出口区块这样几个部分构成的。区块之间的数据交换,和网络数据一起就形成了一个高速的以太网,资源中心区块所有的都要分析,我们可以针对这些区块进行非常详细的划分。首先不同的区块有不同的业务,网络按功能进行区块划分,不同区块负责各自的独立业务,互不干扰。按区块进行安全规则,路由策略统一部署,实现数据交换和安全防护。网络核心不起用复杂功能,策略,具备高吞吐量和数据交换能力,网络结构设计安全、可靠,局部区块故障不影响全局网络运行。组成一个高速的数字交换中心,负责各个区块之间的高效的转换,这是分区的好处,可以保证性能。如果所有的功能都集中在核心层上面,如果一旦出现问题,就会影响运行。通过区块化的设计思想,可以保证高性能,高可靠,而且是易管理规划的。
“分离式”设计
“分离式”设计是针对管理的特点,接入的特点。第一是骨干分离,核心与接入剥离,增加汇聚层,核心层不直接对用户提供接入服务,这是第一点;第二点,网络按功能进行区块划分,不同区块负责各自的独立业务,互不干扰,区块故障不影响城域网运行;第三,核心节点和汇聚节点是完全分离的,核心节点只负责资源中心,汇聚区块,网络出口区块之间的连接和数据交换,负责整个用户的接入。
高稳定可靠性
方案从设备本身、网络结构设计和安全防护三个方面确保了网络的高度稳定可靠运行。核心设备本身都提供了关键部件冗余,以及8600独特的“三平面分离”+“三平面保护”设计,很好的保障了核心设备的稳定性;在网络架构上也进行了全面的冗余设计,确保单点故障不影响网络的正常运转;全局安全网络设计,保证网络不受病毒和网络攻击影响,进一步提升了网络的稳定可靠性。
网络高性能
城域网核心设备采用锐捷网络最新推出的面向十万兆平台设计的下一代高密度多业务IPv6核心路由交换机RG-S8600系列。RG-S8600系列高密度多业务IPv6核心路由交换机提供3.2T/1.6T背板带宽,并支持将来更高带宽的扩展能力,高达1190Mpps/595Mpps的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换。另外所有设备都支持丰富的QoS功能,能确保重要业务量不受延迟或丢弃,同时又充
分利用现有的带宽来保证网络的高效运行。
高安全
全局安全网络设计,城域网出口防火墙采用RG-Wall千兆防火墙,提供强有力的状态检测以及防范入侵检测功能,很好的保障了城域网内网的安全。RG-S8600提供了业界第一个完善的设备级安全防护体系,全面整合各种安全技术,并且采用纯硬件方式实现,保证了在不影响整机性能的情况下提供全面的安全防护能力,以及独特的CPP技术,很好的保障了关键部件的安全稳定、设备管理安全和接入安全。
易管理
方案采用了锐捷网络StarView网络管理平台,可以实现对整网设备、端口的管理、流量统计分析,以及提
供故障的自动报警。
良好可扩展性
网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展能力,以及网络规模的扩展能力。网络设备强大的扩展能力可以有效地保护设备建设投资,方便未来扩充更多的应用模块和
功能模块。
未来的竞争是全业务的竞争, 基于IP技术承载多业务已经成为不争的事实, 随着NGN、3G等业务的出现, 多样化的业务对IP网络提出了更高的要求。电信技术的不断发展, 各种业务异彩纷呈, 同时业务融合也成为大势所趋。分组和宽带作为业务融合的技术基础和基本特征, 使得分组化的网络融合成为必由之路。目前, 为了适应业务的发展, 中国电信、中国网通等运营商均已经确立了IP骨干网采用双平面的策略, 即在骨干层面建设两张物理隔离的网络, 一张主要用于承载高质量要求的IP承载网, 包括NGN、3G、大客户互联等;一张用于承载普通业务需求的互联网, 包括数据上网, 同城互联等。那么有何让IP技术承载多业务是今后的重要研究方向, 所以, 优化IP城域网势在必行。
2 IP城域网优化思路及目标
2.1 IP城域网优化思路
IP城域网作为骨干网在本地的延续, 负责骨干网在城域范围内的业务接入。所以IP城域网的网络优化要从以下几个方面考虑:具备端到端的服务保障。具备QoS能力, 提供业务的QoS保障满足IPTV等视频业务对带宽、时延、抖动等参数的要求;完善的冗余备份保护机制。网络可靠性高, 能够实现快速收敛, 在50ms内实现对关键业务的保护倒换;有效承载语音、视频等业务。具有低时延、高效率的特征, 同时针对视频业务需要提供组播支持, 具备组播管理、组播安全控制、静态组播配置等可控组播的能力, 支持单播/组播分离的能力, 支持频道的快速切换;高效的管理和维护机制。在传统的网络管理功能基础上, 还需要增强对于业务的管理能力。在边缘层, 实现对业务的识别, 从而进行流分类、调度、整形, 实现不同的处理, 能够有效地对P2P等业务进行流量控制;充分保证用户和网络的安全。对于用户可以安全隔离和区分, 网络设备可以有效防止DOS/DDOS或网络病毒等的恶意攻击;保护已有投资、节省资源。与现存网络无缝兼容, 支持平滑升级, 从而可以保护已有投资。
2.2 IP城域网优化目标
IP城域网优化后应能实现语音、视频、数据等多种业务接入能力, 具备有不同服务等级提供能力, 支持MPLS VPN和组播的部署能力, 具备对业务可管理能力, 最终实现“多业务、强管理、低成本”的可控、可管, 可持续发展、可盈利的IP城域网。
3. I P城域网优化建设方案
3.1 基于SDH的多业务传送平台方案
以SDH为基础的多业务平台的出发点是充分利用大家所熟悉和信任的SDH技术, 特别是其保护恢复能力和确保的时延性能, 加以改造以适应多业务应用, 支持2层和/或3层的数据功能。基本思路是将多种不同业务通过VC级联等方式映射进不同的SDH时隙, 而SDH设备与2层和3层乃至4层分组设备在物理上集成为一个实体。结果是减少了机架数、机房占地、功耗、架间互连, 简化了电路指配, 加快了业务提供速度, 改进了网络扩展性, 节省了运营维护和培训成本, 还可以提供诸如虚拟专网 (VPN) 或视频广播等新的增值业务。特别是集成了IP选路、以太网、帧中继或ATM后, 可以通过统计复用和超额订购业务 (over-subscribe service) 来提高TDM通路的带宽利用率和减少局端设备的端口数使现有SDH基础设施最佳化。最后, SDH多业务节点还可以方便地完成协议终结和转换功能, 使运营商可以在网络边缘提供多种不同业务, 而同时将这些业务的协议转换成其特有的骨干网协议。
目前这类解决方案涉及多层帧的映射而导致带宽效率低下, 开销处理复杂。此外, 这种方案基于同步工作, 抖动要求严, 设备成本较高。再有, 这种结构带宽配置时间仍较长。随着TDM (时分复用) 业务逐步消退和IP业务快速增长, 基于SDH的MSTP (多业务传送平台) 的作用会越来越弱化。
未来MSTP技术可能会向两个方向发展:一是从城域传送网络的核心下放到边缘;二是演进为分组化的城域传送技术, 即走向PTN (分组化传送网) 。
3.2 基于波分复用技术的多业务平台方案
WDM (波分复用) 光城域网是从简单的WDM点对点传输应用演化过来的, 演化期间其结构变化经历了从灵活性受限到可以提供动态可重新配置应用的过程, 进化后的WDM光城域网系统提供的应用与SONET/SDH提供的控制和业务选项相似。
DWDM (密集波分复用) 技术在广域网应用获得巨大成功, 已成为主流, 但是不能简单地将广域网DWDM方案用于城域网。城域WDM与长途WDM有着不同的发展动因和特点, WDM应用于长途传输的最大价值就是节省昂贵的长途光纤资源, 但在城域网中, 由于传输距离短, 敷设光纤的造价比长途干线要低廉得多, 这样节点设备就成为城域传送网成本中占主导地位的因素, 虽然节省光纤对于某些城域网或某些区段来说也很有意义, 但业务的灵活性、可管理性和降低设备成本对于城域应用更为重要。
城域WDM网络的特点是必须能在同一平台上支持多业务, 对速率与协议要透明, 设备价格要低廉, 要有良好的扩展性以适应城域业务需求的多变性, 要有强大的波长管理能力以便能快速灵活地开放波长业务, 要有能与SDH媲美的网络自愈能力, 且能根据不同的业务需要提供不同级别的保护手段。在城域网中由于传送距离短, 容量要求不是很大, 因此可以使用较为低廉的器件来降低DWDM设备成本, 或采用信道间距很大的稀疏波分复用 (CWDM) 技术。点到点WDM技术显然难以满足城域网应用的要求, 随着ROADM (可重构光分插复用器) 的逐步成熟, 利用ROADM实现光层组网并逐步引入控制平面将能使WDM在城域网中发挥更大的作用。
发展城域WDM光网络不但能为城域IP网/以太网的发展提供强大的带宽支撑, 而且在灵活性、安全性和提高资源利用率等方面与单纯的光纤直连相比都有很大的优势, 此外利用WDM网还可以开展按需带宽 (BoD) 、波长批发、波长出租、OVPN、光组播等新业务。随着电层的SDH逐步被IP/以太网所取代, 城域传送网的未来将是光层的城域WDM网。
3.3 基于电信级以太网的多业务平台方案
基于电信级以太网 (carrie rethernet) 的方案, 是指将传统以太网应用到电信网的技术, 具备网络和业务可扩展性、运营级网管能力和Qo S保障能力, 从而解决IP/以太网/TDM等多业务的传送问题, 并向城域乃至广域延伸, 推动传统电信运营商向分组化网络转型。
从技术上看, 以太网是一种很简单的解决方案, 只需要少量的规划、设计和测试工作, 应用多年, 为用户熟悉, 业务指配时间可以减少到几个小时或几天。其次, 以太网是标准技术, 互换互操作性好, 具有广泛的软硬件支持, 成本低。最后, 以太网是与媒体无关的承载技术。可以透明地与铜线对、电缆和各种光纤等不同传输媒体接口。从结构上看, 以太网正以前所未有的端到端解决方案面目出现, 消去了其他解决方案所必不可少的网络边界处的格式变换, 减少了网络的复杂性。其次。以太网是具有很好扩展性的解决方案, 其速率可以从10Mbit/s、100Mbit/s、1Gbit/s一直扩展到10 Gbit/s。从管理上看, 由于同样的系统可以应用在网络的各个层面上, 因此网络管理可以大大简化。此外, 由于很多用户已经熟悉了以太网, 因此培训工作简化, 新业务可以拓展得更快。
以太网接口已经成为事实上的通用业务插座, 各类高速以太网接口因经济规模带来的成本优势会加速使用。随着电信级以太网多业务平台在扩展性、业务保护、Qo S保障、TDM支持和业务管理等电信级业务特征的持续改进和互操作性的完善, 以太网将成为电信网的基础元素。当前正逐步在宽带接入网汇聚层面引入广义的运营级以太网技术。提供高可用、高速率的业务汇聚能力和以太网互连业务。可以预计, 随着网络中IP/以太网业务量的日益增加以及基于以太网技术的新型解决方案的不断出现, 电信级以太网多业务平台在城域网中的应用将会越来越多, 电信级以太网多业务技术将成为面向未来的主流解决方案。
一、教育城域网安全堪忧
教育城域网是通过宽带骨干网连接教育局内部网和校园网的传输网络,它以网络技术为依托,以各种信息设施为支持,以教育软件和资源为基础,以实现现代化教育和管理为目的,为区域教育提供全方位信息化应用服务。
教育城域网的建设目的是要构建一个学校、县(市、区)教(体)育局、市教育局三级教育信息网络系统,形成辐射全市各县(市、区)和所有中小学、幼儿园、职业技术学校、各类成人教育培训机构,面向社会开放的、具有现代远程教学功能、教育信息资源共享功能以及教育教学管理信息交换功能、实现实时视频信息传输的高带宽的教育信息化网络系统。
为了实现这一目标,自2000年至2003年,全国各地的教育城域网首先完成了硬件基础设施与基础网络建设。以全国教育示范基地——北京市海淀区为例,随着教育信息化的飞速发展,区教委不断加大力度优先发展网络建设,全区教育教学网络环境不断完善。截至2000年底,海淀区教育信息网,已形成由200多所中小学组成的近四万台客户端的多级应用网络体系结构。在紧随其后的2003-2006年,基于城域网的软件应用让教育城域网开始真正体现出了价值:OA系统的建设提高了办公效率;MIS系统的建设方便了教委对各项教学情况的管理,进行数据的统计分析查询等;资源库、视音频点播等为教学提供了更加丰富的资源。教育城域网为教育信息化带来了很大的变化和明显的成效。
早期的教育单位普遍为小型的局域网,偏重于初级网络的建设,基本上没有太复杂的网络应用,管理相对简单。随着教育城域网的不断成熟和基于城域网的软件应用日趋复杂,各种信息安全的威胁也开始引起了人们的注意。
瑞星病毒立体防范体系
作为一个对上连接省、市有关单位和CERNET、Internet主干网,对下连接各区/县教育局、学校,沟通全市教育系统各事业单位和学校,对外面向全社会服务的大型综合性信息网络,教育城域网的信息安全不但关乎网内单位的工作效率,更涉及下属所有学校的教学质量和整个区域教育系统的对外形象。
相对企业网络来说,教育城域网建设起步较晚,网络结构和网络应用都很复杂,网络节点数量庞大,同时专职、专业IT技术人员较少,因此对包括病毒、木马和网络攻击在内的信息安全威胁的抵御能力更为堪忧。目前教育城域网所面临的安全问题主要有以下三个方面:
1.缺乏全网病毒代码统一更新
目前教育城域网中很多节点甚至没有病毒防护软件部署,或者部署了多种病毒防护产品,统一升级无法保证。
构建有效病毒防护的关键环节需要保证产品能做到定期升级,网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能,同时具备自动分发功能,能够在单点更新,然后在不需要人为干预的情况下,实现全网所有产品的病毒码更新。因此,一套完整的网络安全解决方案以及先进的防护理念才是改变当前教育城域网安全现状的重要手段。
2.缺乏完善的安全机制
教育城域网节点众多,且分布较散,没有一个良好的病毒管理控制系统来实现远程异地管理防病毒软件。不能实现病毒集中报警,准确定位病毒入侵节点,让管理员对病毒入侵节点做适当处理以防危险扩大。控制中心不能与其他网络安全系统实现联动,协同管理工作。
3.各自为政,自扫门前雪
目前教育系统各直属单位往往仅关注本单位的安全问题,基本均部署了防病毒系统。其他网络安全软硬件产品。这种防护模式虽然能基本保证本单位的安全问题,但当重大安全风险来临时,不能通过教育城域网规模的集中病毒安全事件整体防护来首先发现及预警,很可能在此种安全事件发生时措手不及,造成重大损失。
如果这些安全问题得不到有效解决,病毒就可以通过邮件服务器、文件服务器向各个节点传播,窃取信息、破坏文件、阻塞带宽,甚至造成严重的经济损失。教育城域网上运行着整个市/区/县教育系统的OA系统和MIS系统,同时还连接着庞大的信息资料库,不但存储着所有工作人员、教师、学生的档案资料,还包括各类教学资料、课件甚至政府相关文件、考试试卷等。这些文件一旦被破坏或窃取,会对整个市/区/县教育系统的工作造成不可估量的损失。
二、瑞星运筹帷幄,决胜千里
作为国内最大的信息安全软件和服务提供商,瑞星在业界率先提出了“立体安全”的先进安全管理理念,在不断提高信息安全产品智能性的同时,注重桌面和网络边缘的安全防御,打造企业的立体防御体系。教育城域网的信息安全一直以来都是瑞星重点关注的领域之一,瑞星在深刻理解教育行业信息安全特点和个性需求的基础上为教育城域网量身定制了一套完善的信息安全解决方案。
据公安部公共信息网络安全监察局调查结果显示,目前病毒、蠕虫和木马仍旧是企业信息安全的首要威胁。面对这类威胁,瑞星教育城域网信息安全立体解决方案采取了软硬结合的方式来进行防御,一方面依靠网络边缘部署的高性能硬件防毒网关将绝大部分病毒拦截于“国门之外”,一方面借助网络版杀毒软件扫清零星进入网络的“漏网之鱼”,保证服务器和客户端的安全。这种充分模块化的安全组合、双重安全防护体系、软硬件间的相互联动以及集中统一的管理与监控,都将极大地提升企业局域网络的安全系数,并显著增强整个安全防护体系。
瑞星一直认为,管理“基础”将最终决定信息安全的“上层建筑”,这种安全管理思想也渗透到了解决方案的每个细节。解决方案能够让IT管理人员通过系统中心对全网病毒传播状况、安全漏洞状况、版本升级状况了如指掌,同时提供了远程的安全诊断、病毒查杀、补丁分发和灵活的分组、分级管理和升级管理,让IT管理人员真正做到“运筹帷幄之中,决胜千里之外”。
三、瑞星教育城域网立体安全解决方案
瑞星针对当前网络安全的发展态势,结合教育城域网在实际应用中遇到的切实问题,推出了瑞星教育城域网立体安全解决方案,通过在网络不同层面的产品部署,实现对教育城域网内部资源的全面病毒保护。同时,瑞星为用户提供7天×24小时不间断的专业防毒服务,更保证了教育城域网的安全稳定运行。在瑞星教育城域网立体安全解决方案产品系列中,可以按照对网络资源的保护侧重点不同而将其分为以下几类:全网病毒防护、网关病毒防护、服务器和终端桌面防毒以及网络安全预警系统。各产品系列各司其职,既可以独立部署,也可以相互集成配合,根据用户的实际应用环境需求,定制相应的解决方案。
1.瑞星病毒立体防范体系
瑞星杀毒软件网络版2008——教育专用版拥有强大的管理和监控能力,是与瑞星杀毒软件网络版2008——企业专用版同级的产品,可组建树状结构的多级系统中心,上级系统中心可直接控管相邻的下级系统中心及其下的客户端,每个系统中心可管理的客户端数量无具体限制。通过该系统,可实现企业反病毒的统一管理和分布管理。统一管理表现为由上级中心统一发送病毒命令、下达版本升级提示,并及时掌握整个网络的病毒分布情况等;分布管理表现为下级中心既可以对收到的上一级中心命令做出响应,也可以管理本级系统,并主动向上级中心发送请求和汇报信息。此外,瑞星杀毒软件网络版2008——教育专用版是专门针对教育行业网络结构的特点及对防范病毒、网络攻击的需求,量身定制的特定版本,支持多项功能的拆分,并以可选组件形式进行特殊定制。
2.瑞星防毒墙 RSW-9300
瑞星RSW-9300防毒墙支持高达1万用户的大型网络,该产品使用最新的瑞星2008杀毒引擎,目前可以有效地清除100万种病毒。日常维护无需管理员过多参与,独有的七层协议和木马行为识别引擎,帮助管理员更好地保证网络的安全性。该产品性能稳定,HTTP并发连接数20万,HTTP杀毒吞吐量可达600M。
该产品可以使用透明、路由以及混合模式接入网络,满足复杂网络环境中的应用, 支持HTTP / FTP / SMTP / POP3 / MSN和IMAP协议查杀病毒,在毁灭性病毒和蠕虫病毒进入网络前即在网络边缘进行全面扫描,避免病毒进入网络后消耗大量的人力和物力。
3.瑞星网络安全预警系统 SDS-1000系列
瑞星网络安全预警系统实时监测网络环境中的病毒疫情发展趋势,动态展现网络安全状况;有效监控病毒传播行为;准确定位病毒传播源;帮助网络管理员及时发现网络环境中病毒防范的薄弱环节;为网络安全管理提供系统支撑。
该产品能够在流行病毒开始爆发之前及时发出预警,协助网络管理员将流行病毒的危害降到最低;在病毒爆发时,SDS能够准确定位病毒感染源,帮助网络管理员锁定目标,有效缩短病毒治理时间,减少因病毒大规模爆发、网络瘫痪引起的损失;在采取病毒防治措施后,SDS能够精确监控治理是否彻底,防止病毒再次爆发。
4.瑞星专业安全服务 RSPS
鹿 建平
(2009年3月11日)
同志们、朋友们:
今天,我们通过视频会议的方式举行晋中教育城域网合作建设签约仪式,标志着我市教育信息化建设进入一个新的发展阶段。我首先代表市、县教育行政部门真诚欢迎联通公司与我们的合作!并对这次合作表示热烈的祝贺!
晋中教育城域网建设是一项十分重要的标志性和突破性工程。它不仅能够为我市教育实行数字化管理、开展网络教研、举行远程培训、加快公文流转、扩大对外开放搭建方便、快捷、高效、节能的平台,还能够为我们进一步拓展农村远程教育应用领域,实现优质教育资源共享,促进城乡教育均衡发展、一体化发展注入动力和活力,对于实现晋中教育现代化是一个极大推动。
六年前,我们与晋中民营企业合作创办晋中教育信息网的时候,原晋中网通,也就是现在的晋中联通,就给予过我们大力的支持。在这次晋中城域网筹建过程中,联通公司又从工程设计、成本核算、运行机制、后续发展等方面建言献策。我谨代表全市教育系统向联通公司表示衷心的感谢!联通公司把教育作为投资领域是有战略眼光的,教育系统把联通公司作为合作伙伴也是正确的选择。我们相信整个合
1作将会印证这一点。
最后,希望各县(区、市)教育局和学校配合做好以下六项工作:
1.抓紧完成网络中心扫尾工程。没有完工的县(区、市)要抓紧施工,保证四月底以前完工;榆社、开发区要尽快落实经费,列出时间表,加快建设进度,确保所属学校能够按时入网。
2.做好应用平台建设和软件配套工作。今年,各县(区、市)要完成两项指标:一要完成市里统一组织的网络应用任务;二要至少开展一个教育网应用自选项目。
3.搞好人员培训。要切实做好专业技术人员的业务培训和各应用岗位人员的实用技术培训,真正把晋中教育城域网管好、用好。
4.积极主动争取财政支持,把运行维护经费纳入财政预算。市教育局把这项内容作为年度考核的一项重要指标,并加大考核权重。
5.做好学校接入和网络收费工作。各县(区、市)教育局要确定一名副局长专门负责此项工作。各级电教馆要全力以赴做好学校接入和后期管理、收费工作。
6.市、县教育局要分别与本级联通公司建立长效的对话协调机制。每学期至少召开一次联席会议,及时研究、解决网络运行中存在的相关问题,确保晋中教育城域专网顺利健康运行。
同志们、朋友们,今天的签字仪式迈开了晋中教育系统和晋中联通公司友好合作的第一步,让我们携起手来,为打造一流的教育网而努力!
关于计算机局域网及网站建设的实施方案
一、指导思想
通过建立计算机局域网,构建一套较为完善且可拓展的信息网络体系,在此平台上运行相关的软件,充分利用信息化的手段协助日常管理及运行,加快实现办公信息化,更好地体现“便民、高效、廉洁、规范”的服务宗旨,推进政务公开,建立权力阳光运行机制,提高部门窗口工作效率、工作质量及工作水平,同时为将来形成全市数字城管奠定良好的基础。
二、实施步骤
(一)前期准备工作
1、结合原有网络,完善光纤联网、网络布线等基础工程;
2、进行调查研究,确定各科室接入局域网的计算机配置标准及需求情况,制定印发有关文件及调查情况表到部门,拟订网络设备及软件功能需求方案;
3、邀请专家对局域网建设的网络系统集成、所需硬件配置和软件功能需求方案进行论证;
4、向局领导汇报网络建设有关情况,争取支持。
(二)完成网络硬件设备采购及安装工作
1、拟订采购方案确定采购方式,制作网络设备采购竞争性谈判文件,发布采购信息公告;采用竞争性谈判方式进行网络设备采购工作,确定中标供应商;
2、统计部门窗口计算机配置需 1
求,并进行审核,加强与部门的协调沟通予以确认,委托采购中心统一进行采购;
3、按照竞争性谈判文件规定与硬件设备成交供应商签定供货及服务合同。
4、按照采购合同,系统集成商提供网络设备,并按照设计方案,安装调试网络设备;组织验收,网络设备试运行。
(三)局域网试运行阶段
1、对各部门、各科室人员进行培训,达到能够运用局域网实现办公的信息化;
2、确定局域网的管理制度和管理人员;
3、三、工作措施
局域网建设是一项系统工程,涉及部门及科室的配合协调、资金筹措、采购、合同签订、集成系统及软件的安装、调试、验收、培训及服务等各个方面。因此,要强化配套措施,确保局域网建设如期完成并正常运行。
(一)切实加强组织协调工作。召开有关会议,认真研究制定实施方案,落实工作措施,精心组织实施。加强部门与供应商之间的密切协作、相互配合,使中心网络建设按期顺利完成。
(二)明确分工、落实责任,确保局域网建设顺利实施。各部门及科室负责及时提供网络运行所需的有关资料,包括职能、办理事项、操作流程、承诺时限、政策依据、收费项目及标准等政务公开等资料。配合数字中心研究制订办理事项的网上流程,根据中心的统一要求,负责窗口前台计算机等设备的配置。
数字中心负责局域网构建的规划设计、集成设备的选型配置、软硬件功能需求的分析、科室计算机网络需求情况调研。负责网络设备及软件的验收,协同供应商安装调试软硬件设备。联系协调电信部门,确保网络线路的畅通。协助供应商的培训工作。为各部门各科室提供技术支持等,严格把好网络建设中的技术关。
(一)企业网与工作效率
应用决定需求,需求决定规模,我们公司需要什么样的应用来支撑公司业务,这是决定网络如何规划的关键因素。现代企业有资金流、物流、人流、信息流等等这些流,这些流有些是可以通过网络来流动,有些则不行,还得过传统方式,但也会多少以信息流沾边,可以通过信息化来管理,因此企业信息化是现代企业的重要标志,现代企业要有一个高效的工作效率就必须规划建设一个高效的企业网。
企业网号称企业的“神经系统”,在这个神经系统上运行:企业OA(包括办公协作、人力管理、消息发布、即时通信、内部邮件、文件管理、资源调度)、ERP、CRM、财务管理系统、内部IP电话、视频会议、监控报警系统等等。这些应用包含了:办公自动化、管理自动化、财务自动化、以及诱人的语音视频通信。所有这些应用真的运行起来的话,将大大地提高我们工作效率。比如基于企业网IP网络的语音视频通信就是这样,有了语音视频通信,我们随时可以与跨部门同事沟通工作细节,我们随时可以在内部网络上召开项目小组工作的视频会议,如同面对面般与身处不同楼层工作的同事探讨项目,不再为了要召集或征用会议室而苦恼。从公司的文件服务器下载工作资料、多媒体培训、IP电话、视频会议、文件拷贝等等这些高带宽应用需要企业网有足够的带宽来做保证。为了适应现在和将来需要,企业局域网总的要求是组建“全千兆以太网”。以全千兆以太网为企业网建设目标,是企业现在和将来能高效营运的坚实基础。为了企业的高效率,我们需要对企业的网络基础作尽量完美的规划。
(二)企业网络基础规划
我们以一百人的公司100-200个点为例来考虑,笔者认为这是目前中小创业型公司最普遍的员工规模,而且人手一台电脑的机会也不多,这100个点还包括信息点和语音点,一般语音点也不是很多,算一个办公室一个就足够,我们的规划目标是:信息点和语音点通用,统一布线,随需而换,全千兆以太网。
网络基础包括布线系统和网络设备两大块,按照上面提到的企业全千兆以太网要求,这两大块的选材都应选择相应的千兆以太网产品。
一.布线系统规划
综合布线是一种模块化、灵活性的建筑物内或建筑群之间的信息传输通道,是智能建筑的“信息高速公路”,不仅能使语音、数据、图像设备和交换设备与
其它信息管理彼此相连,也能使这些设备与外部相连接。它还包括建筑物外部网络和通信线路的连接点。综合布线的部件包括:
(1)传输介质:超五类双绞线、三类大对数语音线缆、多模光缆、RJ45超五类数据跳线、1对鸭嘴转RJ45超五类语音跳线、RJ11语音跳线、各类光纤跳线、各类光纤尾纤。
(2)连接器件:RJ45超五类配线架、110语音配线架、光缆终端盒、超五类信息模块、水晶头,光纤适配器。
通过这些部件来构成布线系统中各种子系统,组成易于实施,也能随需求变化而进行互换或升级。
综合布线系统具有开放式结构的特点,能支持语音和数据的各种应用,根据具体功能不同划分为以下六个子系统:工作区子系统、水平子系统、垂直子系统、设备间子系统、管理子系统、建筑与建筑群子系统。
工作区子系统
工作区子系统是一个独立的需要放置终端的区域,即一个工作区、一个办公室等,工作区系统由水平布线系统的信息插座延伸到工作站终端设备处的连接电缆及适配器组成。在工作区中,我们要使我们的布线能同时支持语音和数据,语音与数据能交换使用。因此每个信息插座采用双口信息面板,安装两个超五类信息模块,并在面板上做语音或数据的标志,并写上各自的编号。从信息插座标志数据的模块到计算机采用超五类RJ45跳线连接,标志语音的模块到电话机采用RJ11跳线连接,一般的RJ11水晶头是可以牢固地插在RJ45信息模块中的。这个标志为语音的模块插口,在需要扩展为数据时,只需在机房中RJ45配线架上对应标志的语音口跳接到交换机就行。同理,要换数据为语音,也只需在机房中RJ45配线架上对应标志的数据口跳接到110语音配线架上的相应语音插座即可。
水平子系统
水平子系统由工作区用的信息插座、RJ45配线架、RJ45配线架至信息插座的超五类双绞线、110语音配线架、RJ45超五类数据跳线、1对鸭嘴转RJ45超五类语音跳线等组成。基于双备份原则,我们采用二条超五类双绞线从机房机柜的RJ45配线架拉至工作区的信息插座上的两个信息模块上,这两条双绞线按一样的线序标准(如T-586B)在RJ45配线架和信息模块打线。这样我们就有了两套完全一样的水平布线,既可以过数据,也可以过语音。当需要过数据时,只需用RJ45数据跳线将对应的数据配线架的用作数据的插口与交换机跳接就可以;当需要过语音时,只需用1对鸭嘴转RJ45超五类语音跳线将对应的数据配线架的用作语音的插口与110语音配线架上的语音插座跳接即可。
干线(垂直)子系统
干线子系统应由设备间的配线设备至各楼层配线间的主干线缆连接组成,主要分布在大楼的弱电井。语音主干采用三类大对数线缆作为语音主干连接主机房与分机房110语音配线架,数据主干采用多模光纤连接主机房与分机房的光缆终端盒。
设备间子系统
设备间是设置设备和跳接网络以及管理人员值班的场所,也就是主机房,是所有进线和主干及一些直接水平子系统的集中点。其中,进线包括来自电信公司的光纤专线或ADSL等数据线和电话线,出线就是语音、数据主干、直接水平子系统。主机房的主要设备是主机柜,数据、语音配线架和光缆终端盒安装在主机柜上,还有光纤收发器(或ADSL MODEM)、路由器、中心交换机也安装在在主机柜上。RJ45配线架宜安装在机柜中间有利于与交换机和语音配线架的跳线,网络设备安装在机柜上部,中心交换机靠近RJ45配线架,而110语音配线架安装机柜下部。并且预留出空间,以便容纳未来扩充的交接硬件。直接水平子系统的双绞线打在RJ45配线上架上,配线架宜采用色标、数字区别种类用途的配线区。主机房位置及大小应根据设备的数量、规模,最佳网络中心等内容,综合考虑确定。综合布线系统全部语音和数据集中在中心机房的机柜中。大部分的小型企业可能仅有主机房(设备间子系统)而没有分机房(设备间子系统),也就只有一个机柜,因此所有的配线架、水平子系统、电信数据及语音进线、交换机、路由器等等都安装在这里,这也是为了集中管理、简化管理的需要。
管理子系统
管理子系统设置在每楼层的配线间内,也就是楼层的分机房。管理子系统由数据、语音配线架、光缆终端盒、接入层交换机等组成。主要负责本楼层的水平子系统接入和来自主机房光缆主干、大对数线缆配线的接入。架宜采用色标区别种类用途的配线区。并且预留出空间,以便容纳未来扩充的交接硬件。网络的改动更换在数据和语音配线架上进行。
建筑群子系统
建筑群子系统由两个及两个以上建筑物的语音/数据主干连接组成,包括连接各建筑物之间的光缆主干和大对数线缆及连接设备。建筑群子系统宜采用地下管道敷设方式,安装时至少应预留1-2个备用管孔,以供扩充之用。对于光缆主干我们需要千兆解决方案。
二.交换设备规划
1.网络核心需要三层交换机
在上百个交换节点的网络核心一定要用三层交换机,否则整个网络计算机都在一个子网中,不仅毫无安全可言,也会因为无法分割广播域而无法隔离广播风暴。网络上的计算机如果超过一定数量,就很可能会因为网络上大量的广播而导致网络传输效率低下。为了避免在企业网内进行广播所引起的广播风暴,可将其进一步划分为多个虚拟网(VLAN)。但是这样做将导致一个问题:VLAN之间的通信必须通过路由器来实现。但是传统路由器也难以胜任VLAN之间的通信任务,因为相对于局域网的网络流量来说,传统的普通路由器的路由能力太弱。三层交换机可以与普通路由器一样,具有访问列表的功能,可以实现不同VLAN间的单向或双向通讯。如果在访问列表中进行设置,可以限制用户访问特定的IP地址,这样企业就可以禁止非授权的人员访问受限的内部服务器。企业网经常需要传输多媒体信息,如:视频会议。三层交换机具有QoS(服务质量)的控制功能,可以给不同的应用程序分配不同的带宽。在网中传输视频流时,就可以专门为视频传输预留一定量的专用带宽,因此能够保证视频流传输的稳定性。
另外,视频点播(VOD)也是企业网中业务培训经常使用的应用。但是由于有些视频点播系统使用广播来传输,而广播包是不能实现跨网段的,这样VOD就不能实现跨网段进行;如果采用单播形式实现VOD,虽然可以实现跨网段,但是支持的同时连接数就非常少,一般几十个连接就占用了全部带宽。而三层交换机具有组播功能,VOD的数据包以组播的形式发向各个子网,既实现了跨网段传输,又保证了VOD的性能。
应该承认三层交换机目前价位也是较高,24千兆(10/100/1000M)三层交换机报价在2~3万元左右,但是对一个中型企业来说,基于上述对网络的重要性,这样的投资还是值得的。
2.接入层需要可网管千兆二层交换机
千兆二层交换机是指24口10/100/1000 BASE-T千兆自适应铜缆端口。提供了基础安全及QoS的功能,包括了802.1Q VLAN、GVRP、802.1p优先队列、802.1x接入存取及广播风暴的控制。支持802.3ad链路聚合标准,可允许将多个千兆端口结合在一起,形成更高的聚合带宽。
十百千兆交换机是目前比较热门的企业级二层接入交换机选型,因这样24口的交换机报价只有2000~3000元,而它跟超五类双绞线配合,为千兆到桌面提供了可能。
上述交换设备的搭配,我们能建设一个可管理、可扩展、线速三层交换、线速二层交换、全千兆、高可用的交换网络,为我们高效的信息化企业营运提供网络支撑。
小结:
信息时代的到来,使得教育信息化成为实现“科教兴国”战略的重要手段之一,精品课程建设、教学资源共享、VOD视频点播、多媒体资料、网络监控等现代教学管理手段只有在高带宽网络上才能发挥出巨大的作用,可以说教育城域网的建设和应用水平,反映了一个地区教育信息化的进程,为此搭建一个高速、高效、安全、稳定的教育城域网,构建网络环境下的教育教学基础平台是岚山区教育系统一个非常重要的基础工程。
1 城域网络总体规划
通常所说的城域网(MAN),一般分布在一个城区,使用广域网技术,可以看成是一个较小的广域网,教育城域网是城域网的一个类别,是教育行业的城域专网,它为教育组织拥有和使用,提供学校、教育单位等局域网的互连途径,是以网络技术为基础的区域教育整体信息化集成应用系统。它以网络互联运行为技术支持,以教育软件和教育资源为核心,以建构现代教育和管理模式为目的,为区域教育信息化提供全方位的服务。
以太网络的流行和快速发展,城域网逐步采用了基于IEEE802.3z标准的千兆光纤以太网技术,岚山区教育城域网建成纯千兆全交换式局域网,总体规划如下:
2 设计要求
建设一个以物理光纤连接的教育城域专网。建成从岚山区教育局信息中心上连到日照市教育局信息中心,下连到岚山区第一中学、日照市第三中学等2处区直高中学校,岚山头街道、安东卫街道等8处镇街道教育信息中心,到各镇街道教育信息中心再下连到本地其它初中学校、中心小学和学区完全小学,由岚山区教育局信息中心采用1000M带宽接入互联网,城域网内部所有接入学校均由教育局信息中心统一出口接入互联网的物理光纤专用教育城域网。
3 设计原则
3.1 可靠性原则
由于多媒体应用、远程教育应用、网络监控应用、视频会议应用、网络电话应用等各种网络应用范围越来越广,教育系统对网络的依存度越来越高,从一定程度上讲,网络可靠性的高低关系到教育资源的利用效率,因此岚山区教育城域网设计必须首先考虑主要传输介质的可靠性、所有教育资源应用的可用性、网络设备的高性能和容错,为此建设以物理光纤为主要传输介质的教育专用城域网,由光链路直接到达各接入点,中间不采用光电设备转换和其它设备,避免中间设备造成瓶颈。
3.2 扩充性原则
岚山区教育城域网在应用过程中,应具备很强的扩充性,可以随时允许新建学校或教学点接入到教育城域网中。为此,采用模块化设计,整个网络采取树形拓扑结构,满足日后扩充性需求。
3.3 安全性原则
岚山区教育城域网是岚山教育专用网,其中有大量的教育教学管理数据存在,必须保证网络的安全性,不受外来入侵者的侵入,实现数据安全保密。
3.4 高效性原则
岚山区教育城域网主要应用于中小学教育教学,而教学中的大量信息是多媒体信息,对网络带宽的要求非常高,必须建设带宽充足的网络,以满足远程教育教学。
3.5 标准化原则
网络系统应能支持多协议,多厂商(包括国产设备),具有开放的平台性能,支持各种通讯协议,各种数据库和客户应用,为此采用标准化网络协议,满足上述要求。
4 网络结构设计
整个网络采用层次结构,从功能上划分为核心层、汇聚层、接入层,核心层处于城域网的中心,负责进行数据包的高速交换、转发,实现与CHINANET/CERNET的互联,是整个城域网的核心,具有较高的安全性和可扩展性。
岚山区教育城域网核心层包括由岚山区教育信息中心上连到市教育信息中心和到中国联通日照市分公司网络中心机房的出口链路共2条上行链路,下连到岚山区一中、日照三中等2处区直高中学校,岚山头街道、安东卫街道等8处乡镇街道教育信息中心等10条下行链路组成。核心层交换机采用Cisco 6509骨干交换机,其背板带宽和扩展性完全满足岚山区教育城域网未来10年的发展需要。岚山区教育局内部所辖所有学校均由教育局信息中心统一出口接入互联网。为保证网络带宽,做到高速、高效、安全、稳定,全部采用物理裸光纤连接,光电转换设备采用1000M SEF 1310nm单模光纤模块。
5 核心层光纤模块配备方案
核心层网络设备配备方案
汇聚层采用CISCO3560G交换机,实现丰富接口和接入层之间的互访控制,各乡镇街道教育信息中心设在各镇街道中心初中,是网络汇聚层的组成,由镇街道教育信息中心下连到其它初中学校、中心小学和学区完全小学的光纤,全部由镇街道教育信息中心接出,所有链路均采用物理光纤连接,即由光链路到达各接入点。为保证网络带宽,所有链路全部采用物理裸光纤连接,光电转换设备采用1000M SEF 1310nm单模光纤模块。
根据实际的传输距离,具体使用模块如下:
汇聚层网络设备配备
接入层采用CISCO 2960型交换机,实现用户接入。学校接入层是指各中小学校园网内的计算机接入岚山区教育城域网,即各中小学校园建设。各中小学校园网主要采用六类或超五类双绞线作为主要传输介质,建设骨干为1000M带宽,1000M(或100M)接入到桌面。
接入层网络设备配备
6 网络安全
6.1 物理安全
物理安全主要包括设备的防火、防盗和防雷措施,防止断电,主要技术措施包括按照相关标准建设中心机房和分中心机房,做好接地和避雷;突然断电是对网络和服务器的最大打击,极容易造成网络服务瘫痪,甚至设备损坏,因此必须配置一定数量的UPS。由于中心机房的设备非常重要,我们采用易事特在线式的并联UPS提供电源保护,并支持8小时以上的后备时间,分中心采用易事特后备式UPS电源。另外,机房要配备专兼职人员管理,做好出入登记。
6.2 信息安全
信息安全主要考虑网络访问控制、病毒防范、数据库资源的备份、容错和恢复等。防火墙是隔离内外网的屏障,网络访问控制的主要设备,作为出口设备的防火墙首先自己应当具有很高的安全性、可靠性。一旦防火墙安全性方面出现问题,整个网内的主机可能都要受到影响,出现上网很慢或无法上网的现象,再者,防火墙应当具有强大的抗拒绝服务攻击能力。在网络攻击中,拒绝服务攻击是使用频率最高的手段。岚山区教育城域网采用CISCO ASA5520防火墙,兼有防病毒网关功能,采用Trend Micro厂商病毒库过滤通过防火墙的内容,大大降低了通过互联网感染计算机病毒的风险。
服务器群承载各种数据资源,每项专用服务都采用双机热备份设计,通过心跳机制实时同步,保证它的稳定性和可靠性,如果一台服务器出现问题,自动切换至另一台,保证应用服务不中断。单台服务器采用RAID 1磁盘冗余阵列。
在内网病毒防范方面,全网客户端采用瑞星教育版网络防病毒软件,集中式杀毒,集中查找系统漏洞,并统一更新补丁,统一病毒库升级。
7 网络管理
网络管理不是单纯的技术工作,而是行政管理与技术管理共同组成,在目前网络管理技术快速发展的同时,行政管理明显出现了滞后的问题,导致网络运行故障的原因很大一部分并不是来自于网络管理技术上的漏洞,而是来自于行政管理上的疏忽或错误。
岚山区教育城域网管理架构由区教育局电教中心主管,各高中和乡镇街道信息中心分管的格局,各个接入学校配备专兼职信息管理员组成。
技术管理目前采用交换机和防火墙的CLI、Http和Cisco 专用网络助理软件实现,主要采用的技术有虚拟局域网(VLAN)、访问列表(Access-list)、远程用户拨号认证(Radius)、DHCP SNOOPING协议、地址映射(NAT)等。
8 项目总结
岚山区教育城域网第一期完工后,其覆盖的八十多所中小学充分享受到了先进网络技术所带来的优势。目前,教师可以在网上查询资料、备课、批改作业;学生可以在网上学习、接受老师的辅导;而且学校可以在网上进行教学管理、业务管理;家长可以上网了解学校的情况、学生在校情况;更为重要的是不同学校之间可以在网上实现资源共享。岚山区教育城域网的建成不仅丰富了教学手段,而且随着各种教学管理软件的运行,教学效果和质量也将得到大幅度的提高,较好的满足了岚山区教育事业的发展。
教育城域网是一个庞杂的系统工程,限于预算资金,没有采用双核心设计、负载均衡技术、入侵检测系统、防火墙二级部署等先进技术设备和备份线路设计。项目二期将在一期工程大的框架基础上,采取更加高效,先进的技术方案设计,相信在未来几年的岚山教育信息化建设高潮中,岚山区教育城域网一定能够快速、健康地发展,成为教育信息化的中流砥柱。
参考文献
[1]http://www.cisco.com/web/CN/index.html
[2]刘晓辉等.交换机、路由器、防火墙.电子工业出版社,2007-08
关键词:教育城域网;功能定位;网络构架
中图分类号:TP393.07文献标识码:A文章编号:1673-8454(2008)24-0079-03
近几年,随着教育改革和教育信息化的深入,区域教育城域网的建设热潮逐步开始由东部地区向西部地区扩展。西部地区在建设区域教育城域网的过程中,是照搬东部地区的建设方案呢,还是根据本地区的具体情况有自己的思考和创新,是我们必须高度重视的问题。本文以一个区域教育城域网的建设为例,对教育城域网的功能定位和网络构架进行研究,提出了一种新的网络构架方式。
一、区域教育城域网的含义
区域教育城域网是通过宽带骨干网连接教育局内部网和校园网的城市内数据传输网络,它以宽带数据通讯网络为依托,以教育软件和资源为基础,以实现现代化教育和管理为目的,为区域教育提供全方位应用服务的信息化环境,它是整体推进区域性教育现代化的最佳途径。
二、区域教育城域网功能定位
一般来讲区域教育城域网的建设主要着眼于:有利于提高教育管理水平;有利于实现区域性教育资源的共享,有利于建设区域性教育资源库;使远程教育的可行性大大增加,为师资提供丰富的网上培训,提供社区教育服务等几个方面。
1.促进教育管理水平的提高
从教育局层面来看,金牛教育专网建成后,全区所有单位(含涉农地区学校)都能宽带接入教育专网,教育局与学校间的信息传递将更加畅通,便于教育局办公自动化系统的推广使用;从学校层面看,各单位可以利用教育专网平台建设自己的教育管理系统,提高单位内部的管理水平。
2.节省网络设备和软件投入
(1)教育城域网建成后,各教育单位局域网可以从根本上改变以往校园网建设思路。以往各学校需要投入大量资金建设自己的校园网(一个校园网少则七八十万,多则两三百万),如今,小规模的学校可以不设服务器,统一使用信息中心提供的服务建设自己的网站和应用平台。这样可节省大量的网络建设投资,校园网的建设投资也将大大地降低。今年的校园网建设就是采用的这种思路(8所学校的校园网工程花费不到50万)。(2)各学校可以不再重复购置各种应用软件,一些通用性软件可以由全区统一购置,供所有学校使用。(3)节省信息费。金牛教育城域网络建成后,使教育系统具有了相对独立的体系结构,网内信息的流动经过电信提供的专用光纤通道传送,教育城域网进出Internet的信息由信息中心提供出口带宽,各单位可以不再支付上网费用,而由教育局向电信统一支付,减轻了学校的经济负担。
3.解决各学校Internet国际出口问题,净化互联网信息
通过对信息的过滤和净化,使中小学校在使用互联网时,避免浏览到不健康的内容。
4.为教育资源共享和资源的统一管理提供可能
教育城域网的建成,使学校需求的大数据量的音频、视频、图文等多媒体信息,在网内传输成为可能,因此,金牛教育城域网建成后,将按照共建、共享的原则在此平台上搭建金牛教育资源库,供全区教师使用,同时也为学生家庭、社会提供教育信息。
5.促进学生学习方式和教师培训方式的转变
利用教育城域网的带宽优势,可以在专网上搭载各种语音和视频服务,如提供视频点播、视频服务,为开展网络培训提供了可能。
6.有利于促进区域内教育均衡发展
区域教育城域网建成后,所有学校都能利用电信光纤线路高速接入互联网,学校师生将能利用城域网平台获取丰富的资源,进行网络教研,参加远程培训等活动,这将有力地促进学校管理水平的提高和师资队伍建设,整体提高学校办学水平,促进教育均衡发展。
三、创新金牛教育城域网网络构架
1.网络出口设计的新构思
为了做好金牛教育城域网的建设方案,我们学习了大量的区域教育城域网建设案例,听取了建设单位的建设意见,通过分析这些方案,我们发现常规的网络构建方式如图 1所示。
分析以上设计,不难发现,其突出的问题在于:区域内所有单位访问信息中心资源、公网资源的数据全部都从信息中心连接VPN的100M线路传输,这个地方极容易造成网络瓶颈,造成网络拥堵。
为了实现网络结构的最优化,我们对区域内教育城域网的数据流量进行了认真分析,发现整个区域教育城域网的数据流量主要由三部分组成,一是各单位访问公网资源的流量,二是各单位访问信息中心的流量,三是各单位之间、公网访问城域网内部各学校的流量。为了实现以上三种流量的科学分流,不至于造成网络瓶颈,确保系统内各单位内网、外网的访问带宽,我们先后与建设方多次研究,并征求了相关专家的意见,创新设计了金牛教育城域网的网络构建,其拓扑图如图2。
观察图2不难发现,与传统的网络设计方式比较,其出口设计采取了新方式,即:整个网络出口直接放在了电信端(电信机房)。这样设计的优点是:把区域内各学校访问信息中心资源的数据和各单位访问公网资源的数据进行了分流,使得访问公网的数据不再需要经过信息中心;同理,对公网访问信息中心及内网各学校的数据也进行了分流。这样就极大地减轻了信息中心接入VPN网络的100M线路的带宽压力。
2.金牛教育城域网网络管理新举措
区域教育城域网的建设和管理维护是一项专业性很强的系统工程,为确保网络的高效运行,需要一支专业维护队伍。从目前各区县教育部门来看,负责网络管理维护的是电教馆、信息中心、培训中心等,在教育城域网建成后,它们同时还要承担装备配备、网络管理维护和应用推广任务,普遍感到力不从心。然而,专业技术人才的缺乏,使得各学校得不到及时有效的指导,从而影响区域教育信息化建设和应用推进。
为此,我区将金牛教育城域网的建设和运营维护工作整体外包给网络服务商(成都电信),由服务商提供专业的维护方案,监控整个网络的运行,规定了网络故障的处理时限,从而确保城域网的高效运行。而电教部门则只负责网络信息的发布和管理,可以把更多的精力投放到信息化应用项目的推进上,使得学校的各项需求能够得到更好的满足。
3.遵循分级管理原则
金牛教育城域网采用分级管理原则,教育局在成立金牛教育信息中心后,统一负责金牛教育城域网的日常管理、技术指导工作;各单位校园网的管理由各单位具体负责,并安排一名专兼职信息技术管理员负责。金牛教育城域网内部采用混合的地址结构,私有地址通过时能提供NAT功能的网络设备,如路由器、代理服务器等,合法地址则直接进入Internet。(1)信息中心为每个单位分配2~3个连续的二类私网地址,校内服务器采用端口映射方式架设,外部公网地址由信息中心提供;(2)各单位内部一律采用私有地址(由各单位管理员分配),不得与信息中心分配的地址冲突,并由各单位出口路由器提供NAT转换后接入信息中心;(3)所有相关的IP分配方案要事先规划并记入文档,以便维护。
4.网络安全
网络安全问题是一个综合性问题,它包括网络设备和人为因素两个方面,金牛教育城域网不仅要提供全区单位的上网服务,还要存储大量的教育教学资源信息,信息的安全性至关重要,保证教育城域网核心业务不被窃取或不被遭到内部破坏,既要依靠提供高安全性的网络设备,同时还需要依靠切实可行的管理措施。
为确保网络安全,主要依靠如下措施:(1)制定信息安全管理制度——金牛教育城域网信息安全管理制度,使得信息中心和学校两个层面明确各自的信息安全的责任。(2)信息中心采用VLAN划分策略,把关键设备、特殊部门进行VLAN划分,保证其在逻辑结构上独立,在具有三层交换功能的交换机上进行路由访问控制。(3)信息中心采用高端防火墙,对进出网络的访问行为进行控制,提供对中心服务器群和内部网络的保护;逐步配置安全审计设备,记录用户访问行为,为网络安全提供支撑;同时要求各单位,如果另设互联网出口,必须配备相应的安全设备,确保整个网络的安全。
四、小结
区域教育城域网建设是一个大型综合性的教育信息化工程,其包括了网络硬件建设、教育资源建设、应用平台建设、制度建设、教师培训等内容,其中网络硬件建设起着基础保障的作用,构建一个优质、高效的区域教育城域网络,必将有力地支撑区域教育信息化应用的深入开展。
参考文献:
[1]余胜泉,马琳.区域性教育信息化的应用推进[J].中国电化教育,2005(11).
[2]余胜泉,林君芬.教育信息化(2002)应用回顾与展望[J].中国电化教育,2003(2).
[3]岑健林,余胜泉.佛山地区教育信息网络建设目标与内容[J].中国远程教育,2002(10).
【教育城域网建设方案】推荐阅读:
局域网共享常见问题06-11
党史教育基地建设方案07-02
“热爱伟大祖国建设美好家园”主题教育方案06-16
创新创业教育条件建设06-27
教育机构服务体系建设06-03
高等教育法律建设论文06-07
教育资源建设技术规范05-24
