中学校园网络建设方案【模板范本】.doc

数字化校园网络建设方案目录1普教数字化校园建设与应用概述31.1数字化校园概述31。2数字化校园的应用现状31.3数字化校园的发展阶段及趋势42xxx中学网络需求分析52。1XXXXX中学网络现状52.3。1需求不间断的基础网络平台52.3。2需求易管理的网络运维52.3。3需求安全报障62。3。4需求统一身份认证62。3。5需求单点登录、统一信息门户63XXXXX中学数字校园建设设计63。1数字校园整体架构63。2XXXXX中学改造网络拓扑74XXXXX中学数字校园网络解决方案84。1核心网络设计84.1.1核心网建设84.2接入设计124.3学校网络出口设计134。3.1出口智能流控审计134.4无线网设计144.4。1无线规划144.4。2无线信息统计174。5安全设计184。5。1数字化校园的安全设计思想181 普教数字化校园建设与应用概述1.1 数字化校园概述目前，什么是数字化校园尚没有一个明确的定义，但相对使用较多的一个定义是：以网络为基础,利用先进的信息手段和工具，将学校的各个方面，从环境（包括网络、设备、教室等)、资源（如图书、讲义、课件等)、到活动（包括教、学、管理、服务、办公等）数字化,逐步形成一个数字空间,从而使校园在时间和空间上获得延伸，在现实校园基础上形成一个虚拟校园。数字化校园旨在用层次化、整体性的观点来实施校园信息化建设，利用校园网把教学资源和管理信息更好地组织分类，为教学工作提供基于网络环境的信息化教学平台，为管理、科研工作提供基于网络环境的信息化管理平台.1.2 数字化校园的应用现状XXXX在全国做了近2万个中小学项目，同时,进行大量的现场调研工作，根据目前学校业务应用的使用情况，大体上把业务系统分为三类,教学管理、行政管理及特色应用等。行政管理中的业务系统的服务端大部分在信息中心，学校作为客户端使用,主要是为了提高行政管理的效率，包括OA办公、一卡通、人事管理、财务管理等；教学管理中的大部分业务系统各个学校都会独立建设,主要是为了提高教学管理的质量，包括数字广播、备课系统、多媒体录播系统等，实际上,目前行政管理和教学管理的业务系统基本上各地都已经建设了，差别在于，特色应用中的业务系统各个学校根据自己的情况建设的侧重点不一样，如各地目前关注度比较高的特色业务系统包括网上阅卷系统、多媒体录播系统、同步课堂等.1.3 数字化校园的发展阶段及趋势校园数字化建设不可能一蹴而就，它的实现是一个长期努力的过程，从全国数字化校园的现状和发展趋势分析，数字化校园建设经历了四个阶段，包括网络集成、系统集成、应用集成、数据集成共四个阶段。第一阶段网络集成，主要以基础网络建设为主，大部分普通中小学处于网络集成这一阶段，考虑的是基础网络如何建设，如怎么建设有线校园网、无线校园网、校园网安全加固等。第二阶段系统集成，以业务系统建设为主，大部分重点中小学处于这一阶段，考虑业务系统如何建设，如一卡通系统，是作为刷卡消费，还是门禁控制、电梯控制，课程管理、多媒体录播系统怎么建设，如何监控这些业务系统的运行,业务系统的数据安全保证等。第三阶段应用集成,主要是做统一身份认证平台、单点登陆系统等，信息化做的比较好的重点中小学在规划应用集成，如何把有线、无线、远程VPN等各种不同接入方式统一纳入一个平台进行管理,多媒体录播、OA系统、视频监控等一系列业务系统，如何实现单点登陆，方便师生的使用。第四阶段：数据集成，主要实现数据开发标准、数据结构的统一，实现各个业务系统间的数据实时共享，由于数据集成涉及到应用系统的大量开发工作,周期长，投入大，目前，普教学校涉及应用集成方面的比较少。2 xxx中学网络需求分析2.1 XXXXX中学网络现状网络部分采用二层架构，学校网络机房交换机全部采用旁挂的傻瓜接入交换机，目前网络无可视化网络管理能力。核心机房交换机和办公机房交换机通过光猫收发设备连接。现场勘察了解到，核心设备由于接口受限制，无法进行扩容。学校的无线为电信建设，采用室分部署模式，信号覆盖强，但并发用户多的时候体验差.且不能进行实名认证，不能满足学校现今网络需求。由于带宽出口有限，网络出口设备没有进行流量控制和审计，校园内老师网络体验差。2.3.1 需求不间断的基础网络平台稳固的硬件平台是整个学校信息化建设的基础，犹其大数建设的地基,决定了学校未来信息化建设的档次。XXXXX中学属于xx市重点师范小学，必须具备5-10年的前瞻先进性硬件支撑平台需要实现7x24x365持续不间断运行。2.3.2 需求易管理的网络运维许多中小学数字化校园网络的现状是，学校的设备多，系统多,问题多，人员少；设备多，包括交换机，防火墙，路由器等；系统多，包括OA系统、邮件、课程管理系统、多媒体录播系统等。一般只有12个信息技术老师进行相关的管理维护工作,如何保障学校信息化的应用稳定运行呢？实际上,业务支撑平台的运维和管理需要解决三个方面的问题.Ø 当领导或兄弟单位进行参观时，能可视化的展示学校信息化的成果。Ø 实时了解信息化建设的现状，为学校升级改造提供支撑Ø 帮忙快速定位故障，解决日常管理维护问题。IT信息系统发挥的价值很大程度上取决到日常运维.但IT系统是涉及硬件、业务系统、数据库、中间件、机房等众多因素，众多品牌的信息系统，极为复杂。同时实验学校管理老师人员较少，配套采取服务外包模式，然而外包人员的服务水平参差不齐，服务质量难以保障，面向未来，学校在信息化运维方面将面临较大压力。因此，学校需要建设良好的网络系统综合管理平台，实现IT运维信息化，使IT系统稳定、可靠、安全的运行,运维工作步入一个有序的、规范的层次，使IT系统更好的为业务系统提供服务，从而提高整体运行效率，提升运行服务水平和档次。2.3.3 需求安全报障如何满足公安、上级部门的安全检查要求？学校的门户网站、资源系统被挂马或被篡改？接入不可控,安全隐患怎么解决?安全不是孤立的，如何形成整体安全体系？业务支撑平台的安全部分主要是打造“全方位的立体安全保障体系”,为学校信息化保驾护航！2.3.4 需求统一身份认证有线、无线、VPN等网络设备的接入用户分散,公共认证平台主要提供统一的身份认证平台。2.3.5 需求单点登录、统一信息门户随着学校信息化建设不断完善，学校将会拥有各种各样的应用系统，各类业务还会不断建设和规划。用户必须记住多个用户的用户名和密码，以及不同业务系统的 URL 链接，造成了诸多不便.因此,建议学校建立统一门户平台，同时提供了一站式单点登录功能，即通过用户的一次性鉴别登录,可获得需访问系统和应用软件的授权，实现“一次登录、随处访问/全网漫游”；从而提高用户的工作效率，提升用户满意度.3 XXXXX中学数字校园建设设计3.1 数字校园整体架构结合XXXX校园网建设经验和教育信息化的专家分析，通过大量的调研，提出数字化校园3+N+1整体架构，3表示3个平台,基础设施平台、应用支撑平台、公共认证平台，1指的是通过单点登录实现1个统一门户，N指的是重点中小学的N个业务系统。如下图：数字化校园建设的核心是教育信息化业务系统的建设，业务系统向下由三个平台进行支撑保障，向上形成单点登录、统一门户，为学生、教师、领导、家长、公众等提供服务。基础设施平台，包括软件、硬件、PC、服务器、有线、无线等基础设施平台的建设。应用支撑平台包括数字化校园的整体安全考虑、整个信息化业务的运维管理等。公共平台主要包括统一的身份认证平台、权限管理系统等平台的建设。统一门户是整个数字校园的访问入口点,给用户提供个性化的使用界面，用户进入门户后，除了可以看到公共信息外，只能看到与其身份相关的各项服务，成为用户的个性化网络门户。N个业务应用系统，是指用于学校教学、科研、管理、服务的各种应用系统，用于解决各类用户对信息管理和信息服务的需求,是信息化建设的主要内容.数字化校园更好的支撑学校信息化的应用，还需要做好“数据信息标准”及“运行管理保障体系”两个方面，运行保障包括组织机构、人员培训、管理规范等，信息标准包括技术标准（应用开发)、数据结构标准、信息化评估体系等。3.2 XXXXX中学改造网络拓扑数字化校园整体架构中，XXXX涉及到基础网络平台、公共认证平台、运维支撑平台及单点登陆统一信息门户的建设，具体如下：一、基础网络平台包括有线、无线、核心平台、网络出口等基础网络建设。二、公共认证平台由两个核心组件支撑，SMP身份认证软件，无线控制器自带Portal认证页面。通过有线、无线等各种不同方式的统一实名接入，实现网络层的实名认证、实名访问权限控制、实名流控和审计等。考虑到实际应用和学校自身网络现状，此次数字话校园网络建设主要体现在主干网和计算机教室的建设.4 XXXXX中学数字校园网络解决方案4.1 核心网络设计4.1.1 核心网建设核心交换平区部署两台基于十万兆平台设计的核心交换机，考虑到预算问题，此次只部署一台核心,并配置有双引擎和双电源模块，放置单点故障。设备本身支持业界先进的虚拟化技术VSU虚拟化技术,之后网络规模扩大的时候可以实现双机虚拟化热备，提高网络高可用和高稳定性.并且设备本身支持扩展槽，支持校区扩建和网络扩容。虚拟化采用VSU虚拟云交换技术，将两台物理核心交换机虚拟为一台逻辑上统一的设备，使其能够实现统一的运行，从而达到减小网络规模，同时极大提高网络稳定健壮性，控制故障恢复时间。VSU虚拟云交换特性使用VSU后，两台核心设备逻辑上变成一台.从而简化了网络拓扑。网络中不再需要生成树、VRRP等复杂的协议，大大降低配置维护工作量。接入交换机上联等同于双链路连接到一台核心上,实现跨设备链路聚合。即使一台核心或上联链路中断，也可实现快速切换。切换时间控制在50ms以内,相当于普通数据包转发的时延这,不会对业务流畅运行产生任何影响。硬件无单点故障XXXX核心骨干交换机RGS8600系列均在设备本身的重要部件上进行了无故障设计。主要体现在：l 双管理引擎冗余热备l 双路电源,负载均衡供电l 6风扇冗余设计，互为备份l 零故障无源背板设计操作系统模块化通用操作系统 RGOS自2000年开发至今,已成为XXXX全线交换路由产品统一的系统平台。 RGOS模块化操作系统设计原理图n 这是一种模块化软件平台（对软件系统进行划分之后，将不同的系统任务分割成一些很少交互的可管理子集)n 系统内核通过POSIX连接各功能模块.各功能模块独立，故障隔离，提升新功能开发测试效率和系统稳定性。n RGOS系统内核通过POSIX接口连接硬件抽象层，扩展支持多种网络产品，如交换机、路由器、出口设备等。通过RGOS的开放性设计,可以整合多种产品资源,加速产品与技术发展。利用多种网络产品组网形成基于RGOS的智能、融合的IP网络.引擎切换无中断RG-S7800系列交换机支持UISS无中断引擎切换技术，保证主从管理板的切换在1秒间实现,同时在切换过程中,各主机线卡可以继续转发原有的数据流，不影响网络业务的正常透明运行，实现管理板的平滑切换，极大地保证了核心的可靠性和网络可用性。· 具体切换过程及实现1、切换前状态信息同步2、主引擎出现故障时，数据不间断转发3、备份引擎启动，故障引擎重启动,备份引擎下发FIB表更新，待故障引擎重启完毕后,新的主引擎将状态信息同步到重启后的引擎，此时完成切换。UISS热备份设计可以保证RG-S7800系列交换机主从管理板的切换在1秒间实现，同时在切换过程中,各主机线卡可以继续转发原有的数据流，不影响网络业务的正常透明运行，实现管理板的平滑切换，极大地保证了XXXX设备的可靠性和网络可用性。硬件自动保护目前众多的网络病毒都是通过对网络设备的CPU上进行特定协议的攻击，利用伪造的数据包瞄准具体协议，向网络设备发动攻击。方案中的交换机通过硬件的方式对发往控制平面的数据进行分类，把不同的协议数据归类到不同的队列然后对不同的队列进行限速，专门对路由引擎进行保护，阻挡外界的 DOS 攻击。而且并不影响转发速度，所以CPP能够在不影响性能的前提下,灵活且有力的防止攻击，而且保证了即使有大规模攻击数据发往CPU的时候依然可以在交换机内部对数据进行区分对外。CPP提供三种保护方法，来保护CPU的利用率。第一，可以配置CPU接受数据流的总带宽，从全局上保护CPU.第二,可以设备QOS队列，为每种队列设置带宽。第三，为每种类型的报文设置最大速率。安全防御本方案全线交换机包括接入、汇聚、核心均可自动检测常见攻击行为，并自动下发相关策略，阻断网络攻击，恢复网络正常。第一可有效保护网络稳定性，阻绝各类攻击，第二无需管理员手工参于，提高管理效率,降低管理运维难度。基于设备自身安全的技术必须基于CPU和端口为主要出发点.目前业界已开发了一些用于防攻击的功能模块（比如：ACL、QOS、URPF、SysGuard 、CPP等等），通过这些功能模块自行建立攻击检测和保护的机制,并提供对外的管理接口。为了在这个日益重视安全性的环境中应对日益复杂的攻击，XXXX开发出基础网络保护策略（Network Foundation Protection Policy）,简称NFPP.NFPP技术能够对设备本身实施保护，通过对报文流进行限制、隔离，以保证设备及网络可靠、安全、有效地运行。NFPP通过接受报文的端口或者对送往CPU的报文进行攻击检测，采取相应保护措施，从而达到对管理面、数据面和控制面的保护作用。4.2 接入设计接入主要是负责本校区内的信息点互联起来，为各个信息点提供layer2层接入功能.特别是学校网络教学机房和教室的有线信息点。使用千兆接入的全网管交换机,实现千兆用户到桌面。接入主要完成以下功能：Ø 结合web portal认证系统，部署802.1.X协议，实现“入网身份认证,也可升级实现主机健康检查、网络安全事件监控与主动防御”。Ø 通过VLAN定义实现业务划分。Ø 实现QoS，对数据包进行分类和标记.Ø 接入网作为用户终端接入校园网的唯一接口，在为用户终端提供高速、方便的网络接入服务的同时，需要对用户终端进行入网认证、访问行为规范控制，从而拒绝非法用户使用网络，保证合法用户合理使用网络资源，并有效防止和控制病毒传播和网络攻击。Ø 当前的数据网安全正遭受严峻挑战，病毒、外部入侵(黑客)、拒绝服务攻击、内部的误用和滥用，以及各种灾难事故的发生，时刻威胁着网络的业务运转和信息安全。但与此同时，大多数正在使用的网络安全系统都缺乏真正的全局防护能力.当网络受到来自各方面的攻击时,整个网络系统的稳定性将无从谈起，可以看出，计算机网络的安全防护能力是影响网络系统稳定可靠性的重要因素之一，网络设备作为网络系统的基础平台，其安全防护能力显得尤为重要,尤其是接入层交换机。4.3 学校网络出口设计4.3.1 出口智能流控审计XXXXRG-EG2000系列网关产品是适用于多个行业的业务加速类网关产品。设备配以高性能的 MIPS 多核硬件体系架构，拥有业务加速通道、精准流控、上网行为管理、可视化 VPN 、智能选路、防火墙、高性能的NAT、Web 认证等多个功能。凭借着丰富的功能，RGEG 系列能够极有效的优化用户网络，规范上网行为,全方位的加速关键业务开展,提高业务系统使用体验。 RGEG 系列设备的产品特性和价值：业务加速通道成倍提高关键业务访问速度，提升业务系统使用体验RG-EG2000系列网关支持业务加速通道功能，可以通过传输数据压缩、传输数据去重、低质线路优化、TCP协议栈优化、多线路捆绑等多个互联网加速技术,有效解决远程访问总部业务系统慢的问题，达到成倍提升业务系统访问速度的效果，使得业务系统可以真正的开展起来.精准流控-保障关键业务带宽，业务开展通顺流畅RG-EG2000系列网关,可以实现对网络带宽资源的全面管控，让带宽空闲时随意使用、带宽紧张时按需分配，保障关键业务的顺畅开展。RG-EG2000系列网关能精准识别P2P应用、流媒体、企业办公系统等30大类、1500多种应用特征，可实现更加精细合理的进行带宽管理。 上网行为管理规范上网行为,提高工作效率RGEG2000系列网关对内网用户的上网行为进行精细化管理.屏蔽各种与工作无关的网站，营造良好工作氛围,提高工作效率；可对聊天工具、邮件、论坛、微博、搜索引擎等提供安全审计功能，保护内网信息安全。可视化VPNVPN隧道内流量可视可控,业务保障无死角RG-EG2000系列网关将VPN 的配置简化到了极致，只需简单的鼠标操作即可完成配置，无需专业人员维护。还可以对VPN 隧道内的流量进行查看和控制，建立起可视化的VPN 网络，为通过 VPN 开展的关键业务提供保障。智能选路优选数据传输路径,合理利用多条带宽资源当网络拥有多条出口线路时，选路规划的不合理会造成上网慢、带宽资源浪费等问题。RGEG2000系列网关提供一整套完善的智能选路体系来解决这些难题。设备会自动分析多条线路的情况，选择最优线路，避免出现跨运营商访问、链路使用率低等问题,提高上网速度。4.4 无线网设计4.4.1 无线规划全校采用802。11n技术由于采用了多种无线技术，极大地提升了无线接入的带宽和覆盖范围。同环境下比802.11a、b/g模式的覆盖范围提高了20.智能无线技术规划：此次使用了业内最领先的第二代智能转发架构，使用智能流分类前置设计，该架构充分利用本地转发与集中式转发的优势，实现802。11n环境下的高速低延时、高安全转发:本地转发类流：时延敏感类数据，快速转发，延迟最低，更适合语音、视频直播等校园网应用;集中转发类流：安全敏感类数据，集中加解密处理,适合学校OA、选课、一卡通等校园网应用；网络不中断设计:无线网络中AC控制AP，一旦AC出现故障AP，或者链路出现问题，AP无法连接到AC就无法工作，AC成为了整个无线网络中的单点故障。“AP智能转换技术”彻底解决了这个忧虑，将无线网络的可用性提升到一个新的高度。“AP智能转换技术"的工作模式如下：Ø 当AC故障时，AP自动切换到“胖”AP的工作模式下，其配置信息为先前的AC下发的信息;Ø AP按照，先前的配置策略信息继续工作，对用户的业务不影响；Ø 工作在此状态下的AP，继续探测AC的状态，当AC恢复正常，AP和AC恢复建立正常连接；Ø AP恢复到原有的智能瘦AP的工作模式下。智能探测：AP定时、自动探测AC的可用状态,及时反馈网络情况;智能转换：AP自动根据AC的状态，进行“胖”、“瘦”AP工作模式的转换；有线无线统一管理无线校园网大规模部署，需要无线AP数量极大，众多无线AP分布在校园的各个角落,如何管理、监控这些无线设备，及时发现问题，定位故障。有效的无线管理方式,是建好无线校园必不可少条件。无线管理系统实现了: Ø 无线、有线连接拓扑统一； Ø 无线、有线设备状态统一; Ø 无线、有线报警信息统一； Ø 无线、有线审计信息统一；通过集中式的统一的有线、无线网管系统，可以实现网络中有线网络和无线网络的统一便捷配置，实现有线无线一体化高效管理.无线管理系统的统一拓扑展示了用户网络中的有线、无线的设备链接方式和设备的工作状态.有线、无线设备统一拓扑显示管理人员可以直观的查看到，用户接入无线的状态、无线信号覆盖的情况等。包括信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等，并能查看用户的漫游情况，可以随时了解最终接入用户的情况，并对其接入行为进行审计。有线无线一体化网管系统，可以极大地减轻无线管理的复杂程度，做到无线问题及时定位、及时处理。有线无线统一认证无线网络是有线网络的补充和延续，无线一定要和有线系统一样进行认证： Ø 统一账户管理：有线、无线采用RGESS 一套数据库 Ø 统一认证方式:有线、无线均可使用802.1x、WebØ 统一客户端：师生使用一套客户端系统,登录有线、无线两个网络有线、无线统一认证数据库，避免了用户有线一套账号,无线另一套账号,不能统一认证管理的问题。用户采用统一身份，灵活登录有线、无线两个网络。用户可以在上选择用无线网卡，灵活选择用802。1x方式、Web方式进行无线认证，认证方式的灵活选择，延续了用户的使用习惯,极大地减少了维护成本；有线、无线管理策略也要统一，例如：不能有线网络在晚上11点钟断网,而无线网络仍旧可以使用。无线扩展无线网络和有线网络一样是教育信息化建设的基础，为师生提供了更灵活、更便捷的接入方式，随着无线网络的建设和发展，无线正在融入到学校的信息化、多业务的各个方面，为师生提供精彩的无线校园生活体验.无线网络的建设需要满足未来学校多种信息化的应用,下一代无线校园网解决方案，深刻理解校园信息化的业务发展，其解决方案以其先进性、前瞻性为学校教育信息化建设的未来提供了坚实的发展平台。下一代无线校园网采用了802。11n高带宽技术，为学校的教学、科研、管理、服务等各项应用提供了基础无线平台：无线多媒体教室、无线科研数据传输、无线IPv6应用、无线一卡通、无线视频监控、无线访问视频课程、无线语音、无线网络运营商租赁。无线课堂最多应用的为电子书包：电子书包一般指利用信息化设备进行教学的便携式终端.人们通常把它定义为一个以学生为主体、个人电子移动终端和网络学习资源为载体的，贯穿于预习、上课、作业、辅导、评测等学习各个环节.此次的无线也给后续的电子书包建设提供思路。4.4.2 无线信息统计此次对学校的楼宇进行了实地勘探,主要分为三个区域进行无线部署，分别是教学楼（包含逸夫楼），办公楼和室外。办公楼主要AP布放点位为会议室和办公区域,逸夫楼的AP放置也集中在教室走廊，办公机房处。具体AP点位统计表如下:尚德楼17127374751时雨楼191293949星耀楼172273747星耀楼图书馆1112131实验楼1412434总计10864.5 安全设计4.5.1 数字化校园的安全设计思想数字化校园的安全设计需要考虑用户身份安全、主机安全、网络安全、安全策略管理等四个主要方面。用户身份的安全,指用户以实名接入网络,只有经过实名认证的用户才能使用网络;主机的安全指只有终端主机本身是健康的，如安装了杀毒软件，安装了最新补丁，才允许接入校园网络；网络的安全指在网络中的数据要合法,不能有攻击或异常，同时，师生在校园网中的网络访问行为要安全，如学生限制访问成人网站或互联网娱乐类视频等；用户访问的安全，是指你在网络中的访问可追溯，出现攻击可定位到人。总之，以用户为核心的安全的设计理念是保障“让正确的人,使用健康的主机，访问安全的网络，做规范的事情。”4.6第20页