汉阳区校园网及试点建设设计方案35Word格式.docx
- 文档编号:6403227
- 上传时间:2023-05-06
- 格式:DOCX
- 页数:49
- 大小:949.06KB
汉阳区校园网及试点建设设计方案35Word格式.docx
《汉阳区校园网及试点建设设计方案35Word格式.docx》由会员分享,可在线阅读,更多相关《汉阳区校园网及试点建设设计方案35Word格式.docx(49页珍藏版)》请在冰点文库上搜索。
现为加快汉阳区教育信息化基础设施建设,区教育局按照市人民政府办公厅《关于转发武汉市教育云示范工程实施方案的通知》(武政办[2012]148号文)、《汉阳区中小学校园网基础工程建设规范及标准(试行)》的通知(阳教[2014]31号)等相关文件精神,决定按照A类校园网建设标准,统一建设全区中小学校“校园网”工程,并通过基础教育专网将基础教育用户互联起来,实现全区学校和教育资源高速互连互通与高效管理,为汉阳教育信息化提供重要支撑。
本项目就是在这样的背景下提出的。
第二章、需求分析
2.1教育传输网络建设需求
骨干传输网的建设是教育城域网最重要的一部分,它直接关系到整个城域网的运行情况,满足大容量的网络应用是前提。
本次建设是对汉阳区33个学校(38个校区)进行整体组网,带宽应满足应用的需求,实现教育局网络信息管理中心与学校、教育系统各单位之间实施千兆光纤的互连互通,按教育主管部门要求,需涵盖目前已开办的学校、单位及部门,经统计共计33个学校(38个校区)家。
网络架构应符合随时扩容的要求。
汉阳教育城域网采用万兆主干,接入网采用千兆支干接入。
要求城域网组网需考虑链路备份和冗余的要求,确保7X24小时无故障。
教育网数据中心的互联网出口需采用双链路接入方式,采取两家不同互联网链路,确保访问Internet资源能根据网络资源所在服务商进行优先线路选择。
2.2校园网接入建设需求
通过对汉阳区现有教育局主管学校的调查,共计学校校区49处。
其中武汉三中网络建设由区政府专项资金投入,现正在建设;
三职教由市级专项资金投入正在规划建设网络;
另有完成建设学校及民办学校暂不纳入建设计划,洲头小学、十里铺小学、郭茨口小学、晴川阁小学均因校舍问题未解决不适宜进行校园网建设。
本项目所列出汉阳区内33所学校(38个校区,其中汉阳区钟家村小学与武汉拦江堤中学共一个校区)需实施校园网建设,以达到《汉阳区中小学校园网基础工程建设规范及标准》的A类标准。
其中玫瑰园小学校区、钟家村小学校区、田家台小学校区等23个校区均处于需要完善改造网络阶段。
西大街小学校区、七里小学校区、车站小学校区、二十三初中校区等15所学校校区从本项目起规划建设校园网接入。
2.3集中认证管理需求
建成后的网络应满足一下需求:
1、全区学校的有线无线上网一体化统一管理。
2、实现全区的无线上网无缝漫游。
3、教师和学生接入网络应实现两级防护,第一级防护采用有线和无线方式实现准入认证,第二级采用互联网访问实名认证。
4、能够对学生访问互联网的控制便捷,设置方便,具备简单易用的操作界面,能够具备批量操作的能力,设置的策略应丰富多样,至少具备时间段的控制、地址段绑定控制、访问站点控制。
5、支持学校管理员动态分配临时账户的权利,可以配置时间、地点、访问资源的能力,从而实现对来宾使用无线网的有效管理。
6、集中认证必须可以实现不少于10万账号的管理能力,可以根据组织架构分配学生账号,学生账号具备自动导入功能,学生的账号和学生账号每学年更新方便,账号密码寻回方便。
7、实现对全区教师和学生的分级管理,区教育局可以管理全区教师和学生的账号,可以实现对每个学校的管理员进行分配账号,每个学校的管理员可以管理所属学校的学生和教师账号,可以有效建立以学校为组织架构的方式管理账号。
2.4运维管理需求
为完善校园网系统管理工作,确保校园网信息系统和各类软硬件设施安全运行,提高信息化管理工作的现代化水平。
需要在校园网建设完成后进行日常的运行维护工作,采用统一的网络管理平台,实现有线、无线的一体化管理监控。
建设全面的监控管理平台将目前各个业务系统中的各种设备、软件、业务应用均能够纳入到监控平台中来。
消除管理对象之间的差别,消除数据采集手段的差别,消除管理软件的差别,对各种不同数据来源数据统一处理、统一展现、统一用户登录、统一权限控制。
最大限度的提高发现速度和准确率,使网络模型构建工作轻松、简单。
可自动化发现IT资源包括:
网络设备监控:
路由器、交换机、安全设备、无线设备等网络相关设备;
主机及服务器设备监控:
Windows、IBMAIX、Linux、HP-UX、SCO-UNIX等各种操作系统主机;
数据库监控:
Oracle、Sysbase、SQLServer、Mysql、DB2等多种数据库;
中间件监控管理:
J2EE(WebSphere、Weblogic、TOMCAT)、JBOSS、Tuxedo、Apache、Resin等中间件;
应用系统监控:
提供WEB服务的ApacheServer、IIS、Tomcat的服务状态和应用系统的状态;
VmOperation服务器管理:
能够监控云平台虚拟服务器详细信息以及服务器寄生系统信息,如CPU、内存、磁盘信息等。
多厂商、多种类的IT资源监控:
通过标准的协议接口完成对路由器、交换机、安全设备、无线设备、服务器、数据库、中间件、虚拟化设备、存储设备、应用、日志等监控,并且提供开放的接口,用户可以自行编制监控脚本,完成相应资源的监控。
无线网络管理:
具有无线管理视图一览、无线网络拓扑管理、无线资源管理、安全管理、统计分析等功能,并通过信号衰减算法,可以在无线网络拓扑中为用户呈现真实的无线网络热点覆盖范围,帮助用户做无线网络热点规划。
2.5网络安全建设需求
2.5.1上网行为的管控
中小学生由于自我约束能力差,如果无线网络不受管控,学生随时可以连接,可能由此产生沉迷于网络游戏、上课不专心、信息科变成游戏课等问题,另外还有学生账号管理问题,学生上网时长的问题,因此老师在信息科对学生的管控至关重要。
在用户整个互联网访问或区域教育宽带网资源访问中,有权限的管理员,在系统后台,能自动的基于实名信息查询相关访问的记录,比如什么人在什么时间访问什么网站,发了什么帖子等。
因此需要对学校的用户实现上网行为的管理和控制。
在各个学校出口安全网关和教育局出口部署行为管理与审计系统,启用日志审计功能,确保针对全区教育网络所有用户IP、NAT、URL访问日志进行记录和留存,日志留存3个月以上。
2.5.2实名认证的需求
能够同时实现集中式和分布式认证:
教育局部署统一的身份策略管理中心,对下面各个学校身份认证管理系统下发管理策略,收集各个学校的帐户,实现对所有的城域网用户进行管理。
学校不在单独部署认证系统,都将采用区教育局统一部署的实名身份认证系统,通过分级权限的管理,指定每个学校的管理员能够管理所属学校的帐号,从而实现分级、分布式的身份认证系统。
同时考虑实名身份认证系统的可用性和可靠性,实名身份认证系统必须具有容错能力,至少考虑双机的方式进行部署,有条件的采用集群部署。
每个学校的无线网络和有线网络都需要通过标准的Radius协议和认证系统来进行用户名密码的验证。
认证方式至少具有web页面认证和客户端两种方式,自由选择认证;
采用客户端认证时,认证窗口可以最小化,不会因为意外操作下线,移动终端采用WEB认证时,采用一定的保活机制,意外关闭WEB页面,不会导致用户下线。
访客管理要求灵活、快速的设置、销户访客账号,同时要求访客和内部用户的网络进行隔离;
对于访客或临时帐号,可以设置过期时间,过期后自动删除帐号。
各学校用户应能在无线教育网内进行帐号网络漫游,支持从A学校到B学校采用相同的帐号可以正常访问网络资源。
可以根据不同的终端类型,推送合适尺寸的页面登陆,免去多次拖动、放大屏幕等操作。
2.6资源加速缓存的需求
随着教育资源应用系统的不断增多,在教育信息化建设进程中形成了多应用系统独立运行、资源分散和分别管理的状况。
所有应用系统都在建设各自的用户管理和认证方式,这些系统彼此独立、资源分散,形成了业务隔离、数据孤岛。
每个用户需要访问相关资源的时候需要到不同的资源服务器中访问,而教育宽带网资源是有限的,在大量用户同时访问教育资源时会造成网络拥堵,资源使用不够流畅,无法进行在线视频业务、体验差等现象,导致优质资源无法正常使用。
因此,继续构建一套能够满足提高资源访问效率的系统,将优质资源虚拟存储到本地资源池中,从而提交资源命中率,提高访问速度,减少出口带宽的占用。
第三章、设计说明
针对用户需求,进行了针对性设计,现将需求与设计思路予以说明:
3.1城域网高速可靠安全需求及设计说明
需求1:
城域网万兆主干,千兆支干。
设计说明:
城域网采用了万兆光纤主干,城域网由运行商环形网络组成,其环网架构可以确保网络在一个节点终端的情况下,可以自动愈合,通过其他的链路保证网络的正常数据交换;
每个学校都采用1G的光纤链路连接到城域网骨干中。
需求2:
城域网出口、汇聚点和主干保证7X24小时无故障。
城域网出口双接入,采取两家不同服务商,访问Internet资源能实现根据网络资源所在服务商进行优先线路选择。
城域网出口采用两台网关设备,网关设备采用互为备份的方式组成,可以在确保一台设备出现故障的情况下,自动切换到正常的设备上,保证网络的正常运行,需用的网关设备支持双路接入,在每台网关设备上配置不少于2个万兆端口,可以支持两家不同运营商的链路接入,在出现运营商链路故障时,能够保证正常的上网需求,网关支持上网资源进行判断,优先选择响应速度快的链路,从而实现上网的智能化判断。
需求3:
设计学校4G无线应急方案。
当前汉阳区所有的学校都在城区,4G的无线覆盖基本齐全,每个学校都可以通过4G方式连接互联网,但是此种方式流量费用较高,不建议采用,可以采用的方式有两种:
一、在每个学校的出口布设一条互联网备份链路,在学校的专线出现故障时,可以访问互联网,通过在学校的出口网关进行设置,自有互联网链路同时使用,只允许教师终端连接,确保网络带宽。
二、每个学校布设两条专线,互为备份,两条专线要求连接到运营商的不同局端,在统一租赁时,一并打包到项目中,从而减少投入费用。
3.2城域网和校园网便捷可控需求及设计说明
全区有线无线上网一体化统一管理。
在区教育局数据中心部署一套集中管理平台,实现有线、无线的统一管控,集中管理平台可以对全网中的有线设备、无线设备进行统一管理。
实现无线上网全区漫游。
在区教育局数据中心部署一套实名身份认证系统,为每个教师和学生分配一个账号和密码,设置相关上网策略,教师和学生通过账号可以在区内任何一个学校进行认证,实现全区的无缝漫游。
教师和学生上网两级防护,进入校园网和城域网要认证,访问互联问要认证。
在区教育局数据中心部署一套集中认证系统以及一套实名身份认证系统,在全网启用802.1X功能(802.1x协议是基于Client/Server的访问控制和认证协议。
它可以限制XX的用户/设备通过接入端口(accessport)访问LAN/WLAN),教师和学生连接到校园网时,通过集中认证系统确保是否能够正常连接到校园网,当需要连接互联网时,通过实名认证系统分配的账号,连接互联网,从而实现二次认证,为了管理便捷,可以将有权限的教师和学生的入网账号和上网账号合而为一,避免需要两次输入账号和密码。
需求4:
实现教师对学生访问互联网便捷的控制。
能便捷设置学生访问互联网的时间和地点。
在区教育局数据中心外网出口部署上网行为管理设备,通过该设备实现对每个上网账号的配置和管理,对上网的时间、地点、访问的资源进行管控,从而实现对每一个学生和教师的上网进行管理。
需求5:
实现对来宾使用无线网的有效管理。
在区教育局数据中心的实名身份认证系统中设置来宾访问功能,通过分级权限的管理,每个学校的管理员可以根据自身的需求设置来宾账号的管理,可以设置来宾账号的访问时间、地点、访问资源以及其他权限。
需求6:
学生账号每学年更新方便,账号密码寻回方便。
在区教育局数据中心的实名身份认证系统中启用批量账号更新功能,根据分级权限的配置,每个学校的管理员可以将新入学以及转学的学生账号批量导入实名认证系统中,也可以单个进行配置,分配访问时间、地点、资源等。
如账号密码遗失,可以通过预留的手机号、身份证号进行找回操作。
需求7:
全区教师和学生将近6万账号。
选用的认证系统应支持不少于6万个账号的管理能力,可以根据需要进行动态扩容,无需增加新的设备,只需要将实名认证软件增加授权即可。
需求8:
实现学生上网行为的有效控制,要屏蔽黄、赌、毒、暴力等信息及学生通过网络玩游戏等。
在区教育局数据中心出口配置的上网行为管理设备可以有效的进行上网行为的管理控制,可以有效屏蔽黄、赌、毒、暴力等信息及学生通过网络玩游戏。
需求9:
实现灵活的流量控制。
用户、用户组、ip地址、ip地址段上下行流量控制。
在区教育局数据中心出口配置的上网行为管理设备可以有效的进行上网行为的管理控制,可以有效实现灵活的流量管理设置,可以根据用户账号、用户组、ip地址、ip地址段上下行流量控制。
需求10:
城域网和校园网防治病毒和木马的传播,抑制arp风暴。
在每个学校的出口配置了出口网关设备,在该设备上启用反ARP功能,有效的将学校内部可能出行的ARP攻击行为以及ARP病毒攻击控制在学校区域,每个学校的出口网关设备同时也具有防病毒和木马的能力,可以有效控制全网病毒传播和木马的能力。
需求11:
整个网络具有逃生功能。
在区教育局数据中心配置了集中认证系统(具备AC功能),该集中认证系统采用的双机虚拟化模式,该设备同时离线的概率非常下,如发生所有的AC全部离线,为每个学校的配置的AP设备具有独立运行的能力,能够确保上网不会中断,从而具有网络逃生功能。
需要说明是:
如果集中认证系统采用的双机虚拟化全部离线,教育网也就全部中断了。
3.3网络日志留档,方便公安局查询需求及设计说明
城域网和校园网日志保存三个月。
每个用户、ip访问internet行为都有记录。
在区教育局数据中心配置出口上网行为管理设备以及每个学校出口也配置了上网行为管理设备,该设备具有上网行为记录、控制、痕迹保留等功能,可以实现对每个用户、ip访问internet行为的记录,因为无线网上网地址是动态分配的,IP地址与账号在不同的时间对应是不一样的,想查询某一个IP地址在某一时刻上网是对应的那个账号,可以通过SMP和EG、UAC联动来实现,SMP会把账号、账号组信息同步给出口网关和行为管理与审计。
3.4城域网与校园网全透明运维监视与控制需求与设计说明
实现五个重要部位状态的动态直观图示、参数显示、异常及时自动报警,能提前预警和精准定位故障性质和位置。
监控城域网中每个网络设备运行状况,上下行流量,是否正常运行状况。
监控每条网络链路运行状况,上下行流量,超载、断网报警等。
直观拓扑图显示。
监控每个网络设备端口状况。
上下行流量,是否正常运行状况。
监控每个ap运行状况,流量、负载、是否正常。
坏损报警。
监控每个区域无线负载状况。
在区教育局数据中心部署一套统一运维管理系统,可以全面实现上述的功能要求,可以实施监控设备、系统的运行状态,具备报警功能,出现故障,可以立刻报警并予以提醒,运维管理平台具有分级管理和显示能力,学校网管人员能够监控该学校的设备运行状态,为了保证能够实时的显示运行状态,建议在区教育局部署一套大屏显示系统,建立值班人员,对运维工作予以保障。
建立一套运维保障体系,建议建立二级运维保障体系,区教育局为一级,学校网关为二级,实现多级联动。
建立运维服务台以及配备运维保障维修人员,实现故障的及时维护。
3.5城域网可持续发展需求与设计说明
未来与区政府政务网、智慧城市网对接;
在区教育局数据中心部署的网关设备具备接口扩展功能,可以根据需要随时进行扩展,将区教育局与区政府政务网、智慧城市网对接。
未来专线接入武汉市教育云中心机房;
在区教育局数据中心部署的网关设备具备接口扩展功能,可以根据需要随时进行扩展,将区教育局与武汉市教育云中心机房对接。
接入中国教育网
在区教育局数据中心部署的网关设备具备接口扩展功能,可以根据需要随时进行扩展,将区教育局与中国教育网对接。
第四章、总体设计
4.1设计原则
安全、稳定、可靠原则
作为整个校园网络系统的硬件基础,无线网络设备必须是具备安全性、稳定性和可靠性的特点。
这是网络系统稳定运行的最基本条件。
最好是经过相当长时间,在世界范围内被广泛应用的网络产品。
为此,我们建议选择国际知名厂商的产品。
技术先进原则
无线网络设备仅仅具有安全、稳定和可靠的特点是不够的。
作为高科技的产品,还应该具有的特点就是技术的先进性。
我们所选择的无线网络设备应该采用当今较先进的技术,能够保持该设备在相当长的一段时间内不会因为技术落后而被淘汰。
同时,在网络规模进一步扩大,该设备不能承担繁重的负荷时,能够降级使用。
便于扩展原则
由于信息技术和人们对于新技术的需求发展都非常迅速,为了避免不必要的重复投资,我们必须选择具有一定扩展能力的设备,能够保证在网络规模逐渐扩大的时候,不需要增加新的设备,而只需要增加一定数量的模块就行。
最好能够做到在网络技术进一步发展,现有模块不支持新技术的情况下,只需要更换相应模块,而不需要更换整个设备。
管理和维护方便原则
先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。
所以,我们选择的设备必须能够支持现有的、常用的网络管理协议和多种网络管理软件,便于管理人员的维护。
统筹规划,继承发展原则
从汉阳区教育局工作发展的全局出发,统筹规划全区教育系统信息化建设,避免各自为政、盲目投资、重复建设和资源浪费。
在统筹规划下,充分利用已有的信息资源,继承发展,分步分期建设和实施信息化建设,促进区域内教育系统不同领域的信息化协调发展。
资源整合,综合发展原则
借助“校园网”工程建设项目,推进信息资源整合与共享,规范行业信息资源,形成全区一个网络体系、一套数据标准、一套更新维护机制。
推进信息资源整合、信息服务,实现全区学校之间的服务与资源共享,发挥全区教育信息化资源的综合效益,提高教育信息化整体效益和综合信息服务能力。
需求引导,强化服务原则
以教育系统发展对信息化的需求为导向,突出为政府、学校和社会公众服务的理念,加强和完善适用于政府运营和管理的各类应用系统的建设。
以服务作为突破口建设应用系统,在系统建设实施过程中,充分发挥市场机制,促进教育系统信息服务产业的形成。
安全可靠,务求实效原则
在教育信息化发展的过程中,正确处理安全与发展的关系,在项目建设中同步考虑安全问题,确保系统可靠和信息可信。
分阶段、有重点地进行建设,力求避免不切实际需求、贪大求全的作法,必须满足实际需要,确保教育信息化建设有序推进。
4.2建设目标
规范全区中小学教育信息化建设,推进校园网教育信息化发展,充分发挥区教育专网的功能和作用。
利用信息化手段,打通全区教育资源信息孤岛,构建全区教育系统网高速网络,改善学习环境,提高教学质量,实现教育公平,提升教育信息化水平,实现教育发展目标。
4.3技术路线
本项目建设是采用目前非常成熟的技术,如何才能使系统的建设即采用成熟稳定的技术又能保证技术的先进性,至少在5年的时间内技术仍旧具有一定的先进性,因此,在系统设计时应充分的考虑技术路线的选择,最大限度的保障投资。
网络互连技术的发展日新月异,如何能够在技术发展的过程中不会被过快的淘汰,目前互联网搭建技术已经非常成熟,如目前的千兆以太网技术,ATM技术,SDH技术等等,同时要确保选择的网络设备的向后兼容,能够在后续的建设中继续使用,性能达到要求。
因此,在校园网建设中,城域网设备应采用支持国际通用标准的设备,而且具备向后兼容性,支持目前最新的技术,在后续扩展时可以无缝集成,城域网设备应满足以下条件:
网路设备应采用高性能网络处理器技术,提供全线速转发功能,支持最新的IPV6技术,支持智能业务感知,高品质的QOS特性。
学校接入路由设备应采用NP架构、支持VPN功能、支持各种路由协议、关键器件的冗余、强大的路由转发能力。
网络设备采用模块式设计,根据需要可以自行增加相应接口,支持MPLSVPN技术,集成安全功能,良好的网络管理能力。
安全设备采用国产设备,具有自主研发的操作系统,与网络设备的无缝集成,超强的网络安全防御能力,对于未知行为有强大的探知能力,管理能力强大,便捷。
学校交换设备支持全线速交换,可维护性强,端口密度满足要求。
4.4建设内容
“校园网”建设工程项目建设内容主要包括:
汉阳区内33所学校(38个校区)进行校园网络线路架设、有线及无线信息点部署;
对教育局网络信息管理中心与学校、教育系统各单位之间实施千兆光纤的互连互通、并完成资源共享与安全管理系统建设等工程,构建区教育局数据中心管理平台,包括集中认证系统、缓存加速系统、实名认证系统、一体化运维管理平台等。
4.5总体架构
本次城域网在原有校园网的基础上,增加有线无线网络的升级及覆盖,使教职工可以更好地利用班班通的教学资源,网络建成后将实现教学资源共享、电子白板、示范课、教务管理、电子书包等应用,真正实现随时随地利用网络资源,深化教学应用。
网络的可靠性是一个从端到端的概念,单纯提高某一层面的可靠性并不能对网络整体的可靠性有很大改善。
本方案网络的可靠性从设备级、链路级、网络级、业务级等各层次保证。
总体架构如下图:
●骨干构架
基于城域网的业务模式
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 汉阳区 校园网 试点 建设 设计方案 35