XX區(qū)教育信息化建設(shè)方案0609

XX區(qū)教育信息化建設(shè)方案XX區(qū)教育信息化建設(shè)方案方案概況建設(shè)背景信息技術(shù)的飛速發(fā)展，為知識(shí)經(jīng)濟(jì)的發(fā)展奠定了堅(jiān)實(shí)的技術(shù)基礎(chǔ)。當(dāng)前我國教育正面臨著一系列的挑戰(zhàn)，主要來自于科學(xué)技術(shù)的迅猛發(fā)展、因人口增長而引起的教育要求、國際競(jìng)爭(zhēng)和各種社會(huì)問題等方面。因此，充分利用信息技術(shù)的優(yōu)勢(shì)，來解決制約我國當(dāng)前教育發(fā)展的瓶頸，是當(dāng)前教育工作的重點(diǎn)。2012年9月5日，劉延?xùn)|同志在全國教育信息化工作電視電話會(huì)議上發(fā)表講話“把握機(jī)遇，加快推進(jìn)，開創(chuàng)教育信息化工作新局面”指出：“十二五”期間，要以建設(shè)好“三通兩平臺(tái)”為抓手，也就是“寬帶網(wǎng)絡(luò)校校通、優(yōu)質(zhì)資源班班通、網(wǎng)絡(luò)學(xué)習(xí)空間人人通”，建設(shè)教育資源公共服務(wù)平臺(tái)和教育管理公共服務(wù)平臺(tái)。圖SEQ圖\*ARABIC1教育信息化“三通兩平臺(tái)”架構(gòu)《國家中長期教育改革和發(fā)展規(guī)劃綱要（2010-2020年）》明確提出要加快教育信息基礎(chǔ)設(shè)施建設(shè)，強(qiáng)調(diào)“加快終端設(shè)施普及，推進(jìn)數(shù)字化校園建設(shè)，實(shí)現(xiàn)多種方式接入互聯(lián)網(wǎng)”。2016年9月，XX省教育廳下發(fā)了《XX省教育信息化“十三五”發(fā)展規(guī)劃》，該規(guī)劃對(duì)“十三五”期間XX省教育信息化的發(fā)展方向、總體目標(biāo)、主要任務(wù)等進(jìn)行了詳細(xì)的規(guī)劃和部署，對(duì)各區(qū)市從整體上把握教育改革和發(fā)展提供了很好的指導(dǎo)和借鑒。而XX區(qū)信息化建設(shè)一直走在XX省的前列，雖然在教育信息化方面取得了一定的成果，但仍存在盲點(diǎn)和不足之處，如基礎(chǔ)硬件設(shè)施還不完善、課堂教學(xué)模式仍需改進(jìn)、優(yōu)質(zhì)教學(xué)資源還沒有實(shí)現(xiàn)人人通、教學(xué)管理和辦公應(yīng)用不夠人性化、智慧校園建設(shè)缺乏整體規(guī)劃等等，這些都是本方案著重解決的地方。本方案遵循國家和XX省教育信息化指導(dǎo)意見，并充分考慮XX區(qū)教育信息化的現(xiàn)狀和特點(diǎn)進(jìn)行制定，方案具有明顯的前瞻性、可行性特點(diǎn)，能夠充分滿足XX區(qū)當(dāng)前教育信息化的發(fā)展需求，有效解決當(dāng)前面臨的一系列問題。建設(shè)思路通過建設(shè)統(tǒng)一標(biāo)準(zhǔn)的公共服務(wù)平臺(tái)，將貫穿在教育日常工作中的學(xué)生、教師、資產(chǎn)和管理等基礎(chǔ)數(shù)據(jù)，按規(guī)范格式統(tǒng)一保存在數(shù)據(jù)中心，在基礎(chǔ)支撐服務(wù)平臺(tái)基礎(chǔ)上，統(tǒng)一建設(shè)各類教育信息化應(yīng)用，實(shí)現(xiàn)標(biāo)準(zhǔn)化、規(guī)范化的統(tǒng)一數(shù)據(jù)管理，便于各級(jí)教育主管部門進(jìn)行數(shù)據(jù)管理和統(tǒng)計(jì)分析。本期項(xiàng)目將融合云計(jì)算理念進(jìn)行架構(gòu)設(shè)計(jì)，主要分為基礎(chǔ)設(shè)施建設(shè)層、平臺(tái)服務(wù)層、軟件服務(wù)層、客戶端服務(wù)層：建設(shè)原則教育信息化是信息技術(shù)與教育教學(xué)的深度融合，關(guān)鍵在于融合。在具體建設(shè)過程中，我們將遵循以下原則：系統(tǒng)整體規(guī)劃從項(xiàng)目總體需求與發(fā)展目標(biāo)出發(fā)，構(gòu)建“三通兩平臺(tái)”整體解決方案，確保架構(gòu)的合理性與先進(jìn)性，徹底解決信息孤島問題。為確保系統(tǒng)兼容性，方案中的主產(chǎn)品如網(wǎng)絡(luò)設(shè)備、無線設(shè)備、服務(wù)器、存儲(chǔ)、虛擬化軟件、教育軟件平臺(tái)等采用同廠家設(shè)備，以便為用戶提供端到端的服務(wù)。聚焦應(yīng)用驅(qū)動(dòng)“三通兩平臺(tái)”建設(shè)重點(diǎn)不在于硬件設(shè)施，而是以“班班通”和“人人通”的系列應(yīng)用為中心，以應(yīng)用來驅(qū)動(dòng)教育信息化的發(fā)展，實(shí)現(xiàn)在教育教學(xué)過程中常態(tài)化使用的目標(biāo)。實(shí)現(xiàn)資源共享建設(shè)教育資源公共服務(wù)平臺(tái)，實(shí)現(xiàn)優(yōu)質(zhì)教學(xué)資源的統(tǒng)一管理與共享，重點(diǎn)解決偏遠(yuǎn)地區(qū)或農(nóng)村教學(xué)點(diǎn)資源匱乏問題，促進(jìn)教育均衡發(fā)展；通過部署教育云平臺(tái)，統(tǒng)一提供計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源，實(shí)現(xiàn)資源動(dòng)態(tài)分配，提高利用率。支持教學(xué)創(chuàng)新將信息技術(shù)應(yīng)用到師生的教學(xué)與日?；顒?dòng)中，通過融合實(shí)現(xiàn)創(chuàng)新；支持學(xué)生的學(xué)習(xí)方式主動(dòng)向自主式、互助式轉(zhuǎn)變，實(shí)現(xiàn)學(xué)習(xí)方式的變革；支持教師突破時(shí)空限制，通過MOOC、微課、翻轉(zhuǎn)課堂等新模式革新教學(xué)手段，提高教學(xué)質(zhì)量。完善基礎(chǔ)設(shè)施設(shè)完善的教育信息化基礎(chǔ)設(shè)施，包括教育城域網(wǎng)、校園網(wǎng)、桌面云教室等，消除教育信息化大規(guī)模應(yīng)用與快速發(fā)展的瓶頸。系統(tǒng)可擴(kuò)展性和開放性可擴(kuò)展性平臺(tái)的應(yīng)用推廣會(huì)分步進(jìn)行，首期重點(diǎn)考慮本地區(qū)教育信息化應(yīng)用較好的學(xué)校，未來還會(huì)拓展到其他學(xué)校，會(huì)出現(xiàn)使用學(xué)校增多、應(yīng)用程度深化以及訪問量不斷增加的情況，在很多方面需要有擴(kuò)展性的強(qiáng)烈需求，在建設(shè)規(guī)劃過程中需要充分考慮平臺(tái)各個(gè)方面的可拓展性。開放性本平臺(tái)是一項(xiàng)需要整合各方力量才能建成的系統(tǒng)工程，因此基礎(chǔ)平臺(tái)除了要穩(wěn)定、可靠、健壯意外，也充分考慮了系統(tǒng)的開放性和可集成性，這樣在每一個(gè)優(yōu)秀的教育應(yīng)用提供商，都可以將其符合標(biāo)準(zhǔn)的管理、教學(xué)、資源應(yīng)用接入到平臺(tái)上來，為全區(qū)所有教師、學(xué)生、家長提供服務(wù)。重點(diǎn)須考慮以下方面內(nèi)容：應(yīng)用接入的開放性、數(shù)據(jù)服務(wù)的開放性、身份認(rèn)證服務(wù)的開放性。系統(tǒng)可靠性和安全性本項(xiàng)目規(guī)劃的各類應(yīng)用將面向本地區(qū)所有教師、學(xué)生提供服務(wù)，而且中小學(xué)上課時(shí)間集中，教學(xué)過程中數(shù)據(jù)交互頻繁，所以，本系統(tǒng)在設(shè)計(jì)上需要充分考慮系統(tǒng)的可靠性。本平臺(tái)將采用SNS技術(shù)，信息傳播將涉及輿情安全，資源涉及版權(quán)控制，系統(tǒng)需要從技術(shù)上和管理方式上設(shè)計(jì)全局的安全性。發(fā)展目標(biāo)通過義烏市“三通兩平臺(tái)”的建設(shè)，將助力本地區(qū)教育信息化達(dá)到如下發(fā)展目標(biāo)。形成完善的教育信息化基礎(chǔ)設(shè)施通過高性能的教育城域網(wǎng)，極大提升網(wǎng)絡(luò)帶寬，消除制約“班班通”、“人人通”應(yīng)用推廣的網(wǎng)絡(luò)瓶頸；建設(shè)區(qū)域教育云數(shù)據(jù)中心，支撐教育資源公共服務(wù)平臺(tái)和教育管理平臺(tái)的部署；通過“電子圖書館”、“虛擬實(shí)驗(yàn)室”等應(yīng)用方案，實(shí)現(xiàn)軟件基礎(chǔ)設(shè)施的提升。實(shí)現(xiàn)信息技術(shù)支撐教育教學(xué)變革通過教育信息化的推進(jìn)，有效改變傳統(tǒng)教學(xué)過程中單向灌輸、死記硬背、機(jī)械訓(xùn)練的現(xiàn)狀，倡導(dǎo)學(xué)生主動(dòng)參與、樂于探究的能力，提升分析解決問題的能力及交流協(xié)作的能力。建設(shè)本地特色的教育資源共享平臺(tái)依托平臺(tái)為所有學(xué)校和師生提供資源共享服務(wù)，有力支撐班班通和人人通應(yīng)用的開展；整合國內(nèi)、省內(nèi)、本地化資源，同時(shí)發(fā)揮企業(yè)在資源聚合方面的優(yōu)勢(shì)，形成“基礎(chǔ)性資源靠政策、個(gè)性化資源靠市場(chǎng)”的良性機(jī)制。形成智慧、均衡的教學(xué)環(huán)境通過“互動(dòng)課堂”、“同步課堂”、“教師協(xié)同教研平臺(tái)”、“云教室”的建設(shè)，實(shí)現(xiàn)智慧教學(xué)環(huán)境，提高教學(xué)質(zhì)量，并使地處偏遠(yuǎn)地區(qū)的孩子能享受同等質(zhì)量的教育，實(shí)現(xiàn)教育均衡發(fā)展。教師教學(xué)方式的轉(zhuǎn)變從傳統(tǒng)“以教為主”向“以學(xué)為主”轉(zhuǎn)變，老師在日常教學(xué)中引導(dǎo)學(xué)生利用優(yōu)質(zhì)資源進(jìn)行自主學(xué)習(xí)和主動(dòng)探究，逐步實(shí)現(xiàn)素質(zhì)教育的目標(biāo)。學(xué)生學(xué)習(xí)模式的轉(zhuǎn)變學(xué)生的行為將由被動(dòng)學(xué)習(xí)向主動(dòng)學(xué)習(xí)轉(zhuǎn)變，學(xué)習(xí)過程由記憶為主的知識(shí)掌握向以發(fā)現(xiàn)為主的知識(shí)建構(gòu)轉(zhuǎn)變，學(xué)習(xí)過程由個(gè)人學(xué)習(xí)向協(xié)作學(xué)習(xí)、深度互動(dòng)轉(zhuǎn)變。硬件基礎(chǔ)設(shè)施建設(shè)內(nèi)容教育城域網(wǎng)絡(luò)建設(shè)教育城域網(wǎng)是區(qū)域教育信息化運(yùn)作的基礎(chǔ)和前提，城域網(wǎng)的建設(shè)要合理設(shè)計(jì)、多方調(diào)研，要保證教育網(wǎng)絡(luò)的順暢、安全，同時(shí)網(wǎng)絡(luò)還要具備易維護(hù)、易管理的特點(diǎn)，方面學(xué)校管理人員使用，教育城域網(wǎng)的建設(shè)包括骨干網(wǎng)、有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)建設(shè)。教育城域網(wǎng)總體方案設(shè)計(jì)組網(wǎng)方案設(shè)計(jì)教育城域網(wǎng)網(wǎng)絡(luò)拓?fù)溥壿媹D如上圖所示,整個(gè)教育城域網(wǎng)分為5大功能區(qū)：互聯(lián)網(wǎng)出口區(qū)，核心交換區(qū)，網(wǎng)絡(luò)管理區(qū)，服務(wù)器區(qū)，學(xué)校接入?yún)^(qū)。統(tǒng)一互聯(lián)網(wǎng)出口設(shè)計(jì)教育城域網(wǎng)的互聯(lián)網(wǎng)出口采用集中大出口設(shè)計(jì)，所有接入學(xué)校和教育單位均需要從教育局城域網(wǎng)中心機(jī)房出口接入互聯(lián)網(wǎng)，集中出口區(qū)域的高速NAT、路由、流量上網(wǎng)行為管理和內(nèi)容審計(jì)、邊界安全防護(hù)、精細(xì)化流量控制五大應(yīng)用需求必須重點(diǎn)考慮。因此，方案設(shè)計(jì)在城域網(wǎng)中心機(jī)房集中網(wǎng)絡(luò)出口位置部署高性能出口網(wǎng)關(guān)。教育城域網(wǎng)的互聯(lián)網(wǎng)出口主要保證數(shù)據(jù)中心區(qū)互聯(lián)網(wǎng)訪問、各教育單位、中小學(xué)校的互聯(lián)網(wǎng)統(tǒng)一出口。為了保證互聯(lián)網(wǎng)應(yīng)用的流暢運(yùn)行以及用戶的上網(wǎng)體驗(yàn)，需要對(duì)一些關(guān)鍵應(yīng)用的帶寬有足夠的保障，出口區(qū)域的設(shè)備對(duì)關(guān)鍵需求有足夠的支撐，能夠支撐包括門戶網(wǎng)站區(qū)域在內(nèi)的所有外網(wǎng)應(yīng)用都穩(wěn)定可靠，不允許在包括出口在內(nèi)的骨干區(qū)域出現(xiàn)故障隱患，所有設(shè)備檔次要適度超前，避免因?yàn)樾枨蟮牟粩喟l(fā)展出現(xiàn)性能瓶頸；另外出口作為外部攻擊的主要通道安全的重要性是毋庸置疑的，需要綜合考慮到整個(gè)網(wǎng)絡(luò)對(duì)于出口區(qū)域的安全防范問題。綜合上面對(duì)互聯(lián)網(wǎng)出口區(qū)情況的分析，本次方案總結(jié)出口區(qū)域的設(shè)計(jì)思路為：提供高性能NAT地址轉(zhuǎn)換，滿足15000用戶的并發(fā)寬帶接入需求；提供可靠穩(wěn)定的互聯(lián)網(wǎng)接入，出口支持2000M以上的吞吐能力，無性能瓶頸；提供多鏈路的負(fù)載均衡，智能選路功能，可以依靠線路的負(fù)載、應(yīng)用類型、運(yùn)營商的不同和訪問速度來智能判斷最快的訪問線路或指定特定的應(yīng)用走特定的線路；提供完善網(wǎng)絡(luò)安全防護(hù)功能；提供網(wǎng)絡(luò)訪問行為審計(jì)功能；提供出口精準(zhǔn)流量控制功能；提供對(duì)關(guān)鍵應(yīng)用服務(wù)器和門戶網(wǎng)站的重點(diǎn)保護(hù)；提供針對(duì)教育行業(yè)用戶的內(nèi)外網(wǎng)教學(xué)資源優(yōu)化配置調(diào)用的功能。綜上所述，本次統(tǒng)一出口設(shè)計(jì)包含出口網(wǎng)關(guān)、防火墻、WEB防護(hù)、流量控制等產(chǎn)品，組成統(tǒng)一互聯(lián)網(wǎng)出口解決方案。統(tǒng)一互聯(lián)網(wǎng)出口解決方案隨著互聯(lián)網(wǎng)應(yīng)用的日益豐富，有限的帶寬已經(jīng)無法滿足校內(nèi)用戶的應(yīng)用需求，在不降低用戶體驗(yàn)的情況下，如何控制流量，保障關(guān)鍵應(yīng)用的運(yùn)行是校園網(wǎng)面臨的重大問題。互聯(lián)網(wǎng)出口流量中大部分是重復(fù)流量和重復(fù)的文件，如果能夠在網(wǎng)絡(luò)中部署一個(gè)內(nèi)容緩存設(shè)備，將大大提高校內(nèi)用戶的使用體驗(yàn)。用戶在互聯(lián)網(wǎng)讀取數(shù)據(jù)時(shí)，會(huì)首先在緩存設(shè)備上進(jìn)行高速查找，如果存在同樣的數(shù)據(jù)那么直接進(jìn)行本地轉(zhuǎn)發(fā)，一次外網(wǎng)訪問，多次內(nèi)網(wǎng)服務(wù)，提高互聯(lián)網(wǎng)帶寬承載能力，用戶訪問速度提升加倍。大大提升校內(nèi)訪問速度，極大的提升用戶體驗(yàn)。出口多鏈路負(fù)載均衡部署出口多應(yīng)用安全網(wǎng)關(guān)，實(shí)現(xiàn)鏈路負(fù)載均衡，包括：基于鏈路狀態(tài)和目標(biāo)位置的出流量負(fù)載均衡，以及基于訪問源位置的入流量負(fù)載均衡。同時(shí)可實(shí)現(xiàn)NAT功能?；ヂ?lián)網(wǎng)出口防火墻部署防火墻，以對(duì)進(jìn)出中心機(jī)房的數(shù)據(jù)做訪問控制，同時(shí)也支持NAT功能，可作為出口安全網(wǎng)關(guān)的備份設(shè)備使用；上網(wǎng)行為管理多應(yīng)用安全網(wǎng)關(guān)，還可以實(shí)現(xiàn)對(duì)用戶上網(wǎng)行為管控，一方面規(guī)范城域網(wǎng)網(wǎng)絡(luò)使用行為，另一方面控制互聯(lián)網(wǎng)出口帶寬優(yōu)先保障關(guān)鍵應(yīng)用，不被其他應(yīng)用無關(guān)數(shù)據(jù)濫用。流量控制部署流控設(shè)備，對(duì)進(jìn)入中心機(jī)房的數(shù)據(jù)做流量分配。原則上針對(duì)每IP地址或網(wǎng)段限流，不同類終端的流量分配視校園網(wǎng)具體情況定義。安全防護(hù)設(shè)計(jì)教育城域網(wǎng)的網(wǎng)絡(luò)安全設(shè)計(jì)面比較廣泛，主要包括基礎(chǔ)網(wǎng)絡(luò)設(shè)備的安全防護(hù)、PC終端的主機(jī)安全防范、服務(wù)器專區(qū)的服務(wù)防范（特別是WEB防護(hù)）與實(shí)名制上網(wǎng)的安全記錄需求設(shè)計(jì)這四個(gè)方面，需要根據(jù)不同的需求按照不同層次、不同方法分別加以設(shè)計(jì)，通過融合多種安全機(jī)制實(shí)現(xiàn)城域網(wǎng)整網(wǎng)的安全架構(gòu)設(shè)計(jì)。城域網(wǎng)層次化安全設(shè)計(jì)主要是包括四個(gè)部分：基礎(chǔ)網(wǎng)絡(luò)分布式安全防御體系、端點(diǎn)主動(dòng)安全防御系統(tǒng)、服務(wù)器區(qū)安全防御與實(shí)名制上網(wǎng)功能?；A(chǔ)網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)基于教育城域網(wǎng)的特點(diǎn)，城域網(wǎng)和校園網(wǎng)是一個(gè)開放的應(yīng)用環(huán)境。在這種環(huán)境下尤其容易感染網(wǎng)絡(luò)病毒和發(fā)生網(wǎng)絡(luò)攻擊，這給網(wǎng)絡(luò)主干帶寬帶來嚴(yán)重沖擊，甚至可能造成整網(wǎng)癱瘓。因此，為了保證整個(gè)網(wǎng)絡(luò)的帶寬可用性，防止網(wǎng)絡(luò)病毒傳播擴(kuò)散，防止網(wǎng)絡(luò)攻擊的發(fā)生，在本方案中，出口設(shè)備保證內(nèi)外網(wǎng)安全控制；核心、接入層網(wǎng)絡(luò)設(shè)備均支持嵌入式防DDoS攻擊、CPU策略保護(hù)、基礎(chǔ)網(wǎng)絡(luò)保護(hù)策略和最長匹配三層交換LPM技術(shù)，由單點(diǎn)安全變?yōu)閰^(qū)域安全，防止網(wǎng)絡(luò)掃描、和攻擊。移動(dòng)用戶接入安全設(shè)計(jì)考慮到移動(dòng)用戶接入安全和便攜性，推薦采用SSLVPN接入方式。在城域網(wǎng)中心機(jī)房部署1臺(tái)SSLVPN網(wǎng)關(guān)，移動(dòng)用戶通過WEB界面或者SSLVPN客戶端即可實(shí)現(xiàn)安全的VPN接入，靈活訪問城域網(wǎng)資源。網(wǎng)絡(luò)行為審計(jì)行為審計(jì)系統(tǒng)要能夠全面詳實(shí)地記錄網(wǎng)絡(luò)內(nèi)流經(jīng)監(jiān)聽出口的各種網(wǎng)絡(luò)行為，以便進(jìn)行事后的審計(jì)和分析，日志以加密的方式存放。網(wǎng)絡(luò)行為日志全面要記錄包括使用者、分組、訪問時(shí)間、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、訪問類型、訪問地址/標(biāo)識(shí)等關(guān)鍵數(shù)據(jù)項(xiàng)。支持在三層交換網(wǎng)絡(luò)環(huán)境下獲取用戶計(jì)算機(jī)真實(shí)MAC地址功能；多應(yīng)用環(huán)境下的網(wǎng)絡(luò)數(shù)據(jù)審計(jì)還原。網(wǎng)絡(luò)流量分析需要在全面記錄網(wǎng)絡(luò)出口流量數(shù)據(jù)的基礎(chǔ)之上，以簡(jiǎn)單、直觀、易理解的形式為用戶提供實(shí)時(shí)和歷史流量監(jiān)測(cè)和統(tǒng)計(jì)功能。主要包括以下幾個(gè)指標(biāo)：實(shí)時(shí)流量、當(dāng)日流量和歷史流量。能根據(jù)歷史上網(wǎng)日志數(shù)據(jù)統(tǒng)計(jì)產(chǎn)生豐富詳細(xì)的報(bào)表，包括分組上網(wǎng)排名、人員上網(wǎng)排名、網(wǎng)絡(luò)應(yīng)用統(tǒng)計(jì)、訪問資源統(tǒng)計(jì)、趨勢(shì)分析等?？砂茨甓?、月度或者指定時(shí)間范圍生成周期性報(bào)表。報(bào)表種類包括柱狀圖，餅圖，曲線圖，折線圖等。報(bào)表可以以EXCEL、PDF、WORD、HTML等形式導(dǎo)出保存。并支持自定義的周期性報(bào)表自動(dòng)生成和訂閱。核心交換區(qū)設(shè)計(jì)核心認(rèn)證交換中心核心交換區(qū)是整個(gè)城域網(wǎng)絡(luò)的核心，城域網(wǎng)中的所有軟硬件數(shù)據(jù)都將在這里集中交換。一個(gè)完善的城域網(wǎng)核心認(rèn)證交換設(shè)備應(yīng)發(fā)揮的作用包括：支持實(shí)名制快速高效集中認(rèn)證，為所有用戶提供簡(jiǎn)化高效的認(rèn)證方式；保障整個(gè)城域網(wǎng)的互聯(lián)網(wǎng)出口安全，支持對(duì)病毒、漏洞、木馬等安全危險(xiǎn)的控制；對(duì)上網(wǎng)行為、流量帶寬進(jìn)行控制管理，并提供審計(jì)數(shù)據(jù)支持檢索；對(duì)中心機(jī)房和城域網(wǎng)所有網(wǎng)絡(luò)設(shè)備登陸、調(diào)試、配置信息進(jìn)行審計(jì)記錄集中監(jiān)控管理、自動(dòng)定時(shí)巡檢，通過顯示屏能夠直觀顯示城域網(wǎng)運(yùn)行狀態(tài)；互聯(lián)網(wǎng)常用資源（音視頻資源等）能夠提前緩存到本地，提供本地化訪問，提高訪問體驗(yàn)。網(wǎng)絡(luò)核心設(shè)計(jì)在網(wǎng)絡(luò)的可靠性和穩(wěn)定性保障方面，網(wǎng)絡(luò)核心設(shè)計(jì)采用2臺(tái)萬兆核心交換機(jī)互為容錯(cuò)備份，并在核心交換機(jī)中采用關(guān)鍵模塊冗余設(shè)計(jì)（如引擎、網(wǎng)板、電源冗余等），啟用虛擬化技術(shù)將多臺(tái)物理設(shè)備虛擬化為一臺(tái)邏輯設(shè)備，統(tǒng)一運(yùn)行管理，大幅減少網(wǎng)絡(luò)節(jié)點(diǎn)，降低網(wǎng)絡(luò)運(yùn)維管理人員工作量、增加網(wǎng)絡(luò)可靠性，實(shí)現(xiàn)50~200ms鏈路故障快速切換，保障關(guān)鍵應(yīng)用不中斷傳輸。支持跨設(shè)備鏈路聚合，方便接入服務(wù)器/交換機(jī)實(shí)現(xiàn)雙活鏈路上聯(lián)，提高網(wǎng)絡(luò)有效連接帶寬。雙核心網(wǎng)絡(luò)設(shè)計(jì)架構(gòu)，為城域網(wǎng)絡(luò)提供了高穩(wěn)定性和可靠性的數(shù)據(jù)傳輸平臺(tái)，同時(shí)，提供了一種能夠“自愈”網(wǎng)絡(luò)鏈路或設(shè)備的單點(diǎn)故障的網(wǎng)絡(luò)架構(gòu)，保證了城域網(wǎng)絡(luò)能夠提供7*24小時(shí)高速穩(wěn)定的數(shù)據(jù)傳輸。為教育系統(tǒng)提供健壯的數(shù)據(jù)傳輸神經(jīng)中樞。雙核心虛擬交換技術(shù)，將兩臺(tái)物理核心交換機(jī)虛擬為一臺(tái)邏輯上統(tǒng)一的設(shè)備，使其能夠?qū)崿F(xiàn)統(tǒng)一的運(yùn)行，從而達(dá)到減小網(wǎng)絡(luò)規(guī)模，同時(shí)極大提高網(wǎng)絡(luò)穩(wěn)定健壯性，控制故障恢復(fù)時(shí)間。虛擬交換示意圖使用虛擬化后，兩臺(tái)核心設(shè)備邏輯上變成一臺(tái)。從而簡(jiǎn)化了網(wǎng)絡(luò)拓?fù)?。網(wǎng)絡(luò)中不再需要生成樹、VRRP等復(fù)雜的協(xié)議，大大降低配置維護(hù)工作量。此時(shí)匯聚到核心雙鏈路上聯(lián)，等同于雙鏈路連接到一臺(tái)核心上，實(shí)現(xiàn)跨設(shè)備鏈路聚合。即使一臺(tái)核心或上聯(lián)鏈路中斷，也可實(shí)現(xiàn)快速切換。切換時(shí)間控制在50ms以內(nèi)，相當(dāng)于普通數(shù)據(jù)包轉(zhuǎn)發(fā)的時(shí)延，不會(huì)對(duì)應(yīng)用流暢運(yùn)行產(chǎn)生任何影響。核心交換機(jī)組網(wǎng)方式核心交換機(jī)之間互聯(lián)：采用萬兆接口，通過專用的萬兆虛擬化線纜互聯(lián)，搭建虛擬化核心層。核心交換機(jī)與各學(xué)校互聯(lián)：采用運(yùn)營商專線。48所學(xué)校通過運(yùn)營商專線，直接連接至核心交換機(jī)千兆接口板上。核心交換機(jī)與出口互聯(lián)：通過萬電纜互聯(lián)，搭建冗余架構(gòu)。核心交換機(jī)與數(shù)據(jù)中心互聯(lián)：通過萬兆電纜互聯(lián)，搭建冗余架構(gòu)。認(rèn)證中心設(shè)計(jì)本次城域網(wǎng)需要實(shí)現(xiàn)實(shí)名制身份認(rèn)證，根據(jù)通用的實(shí)名制認(rèn)證架構(gòu)，需包含兩大部分：身份認(rèn)證系統(tǒng)和認(rèn)證網(wǎng)關(guān)設(shè)備。身份認(rèn)證系統(tǒng)用于存儲(chǔ)認(rèn)證賬戶和認(rèn)證策略等，認(rèn)證網(wǎng)關(guān)用于將認(rèn)證報(bào)文發(fā)送給身份認(rèn)證系統(tǒng)，完成認(rèn)證流程。認(rèn)證網(wǎng)關(guān)有兩種部署模式：分布式認(rèn)證和集中式認(rèn)證。分布式認(rèn)證：每臺(tái)接入交換機(jī)需支持802.1X和web認(rèn)證功能。集中式認(rèn)證：1臺(tái)集中式認(rèn)證網(wǎng)關(guān)設(shè)備支持802.1X和web認(rèn)證功能。根據(jù)實(shí)際情況分析，采用集中式認(rèn)證方式。a.使用城域網(wǎng)核心交換機(jī)作為集中認(rèn)證網(wǎng)關(guān)部署，每個(gè)學(xué)校可以使用網(wǎng)關(guān)或交換機(jī)直接互聯(lián)教育城域網(wǎng)數(shù)據(jù)中心機(jī)房。b.集中認(rèn)證網(wǎng)關(guān)實(shí)現(xiàn)雙機(jī)集群，具備高性能、高可靠性,組網(wǎng)靈活，支持三層認(rèn)證模式，城域網(wǎng)改造整網(wǎng)結(jié)構(gòu)不需要變化。集中認(rèn)證方案采用集中認(rèn)證的方案后，可以將原來分布在接入網(wǎng)的各項(xiàng)功能和策略上收至核心交換機(jī)，上收之后各項(xiàng)功能、策略的執(zhí)行點(diǎn)全部在教育城域網(wǎng)中心機(jī)房的集中認(rèn)證網(wǎng)關(guān)上，各個(gè)學(xué)校的接入、匯聚交換機(jī)只負(fù)責(zé)進(jìn)行各種數(shù)據(jù)的轉(zhuǎn)發(fā)，無需支持認(rèn)證功能。集中認(rèn)證方式極大的增強(qiáng)了城域網(wǎng)核心交換機(jī)的資源利用率，弱化了整個(gè)網(wǎng)絡(luò)服務(wù)對(duì)接入、匯聚設(shè)備的依賴。集中認(rèn)證網(wǎng)關(guān)(核心交換機(jī))的性能要求所有功能、策略都部署在數(shù)據(jù)中心機(jī)房的核心層上，對(duì)整個(gè)城域網(wǎng)的核心交換機(jī)提出了巨大的挑戰(zhàn)。核心層要承擔(dān)各業(yè)務(wù)應(yīng)用服務(wù)器的數(shù)據(jù)交換功能，要具備分布式業(yè)務(wù)處理體系結(jié)構(gòu)，實(shí)現(xiàn)業(yè)務(wù)的全分布式處理，并能提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服務(wù)，以及電信級(jí)、自適應(yīng)的可靠性設(shè)計(jì)。它作為網(wǎng)絡(luò)的骨干連接和路由交換平臺(tái)，實(shí)現(xiàn)所有匯集接入，不同子網(wǎng)之間的路由。它是全網(wǎng)業(yè)務(wù)匯接、轉(zhuǎn)接和業(yè)務(wù)疏通的核心。因此核心層要選用新一代多級(jí)交換架構(gòu)核心交換機(jī)搭建核心網(wǎng)絡(luò)。核心交換機(jī)采用目前業(yè)界領(lǐng)先的多級(jí)矩陣交換架構(gòu)，可配置高性能冗余引擎、冗余電源及冗余交換網(wǎng)板最大程度上滿足設(shè)備級(jí)可靠性的要求。同時(shí)配置豐富的千兆、萬兆接口，滿足當(dāng)前及未來網(wǎng)絡(luò)發(fā)展的需求。數(shù)據(jù)中心區(qū)設(shè)計(jì)數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)設(shè)計(jì)1、硬件平臺(tái)設(shè)計(jì)說明核心層要承擔(dān)各業(yè)務(wù)應(yīng)用服務(wù)器的數(shù)據(jù)交換功能，要具備分布式業(yè)務(wù)處理體系結(jié)構(gòu)，實(shí)現(xiàn)業(yè)務(wù)的全分布式處理，并能提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服務(wù)，以及電信級(jí)、自適應(yīng)的可靠性設(shè)計(jì)。它作為網(wǎng)絡(luò)的骨干連接和路由交換平臺(tái)，實(shí)現(xiàn)所有匯集接入，不同子網(wǎng)之間的路由。它是全網(wǎng)業(yè)務(wù)匯接、轉(zhuǎn)接和業(yè)務(wù)疏通的核心。因此核心層選用新一代多級(jí)交換架構(gòu)數(shù)據(jù)中心交換機(jī)搭建核心網(wǎng)絡(luò)。核心交換機(jī)采用目前業(yè)界領(lǐng)先的多級(jí)矩陣交換架構(gòu)，可配置高性能冗余引擎、冗余電源及冗余交換網(wǎng)板最大程度上滿足設(shè)備級(jí)可靠性的要求。同時(shí)配置豐富的千兆、萬兆接口，滿足當(dāng)前及未來網(wǎng)絡(luò)發(fā)展的需求。2、核心交換系統(tǒng)核心層由2臺(tái)正交CLOS架構(gòu)交換機(jī)構(gòu)建，負(fù)責(zé)整個(gè)教育平臺(tái)上應(yīng)用業(yè)務(wù)數(shù)據(jù)的高速交換。2臺(tái)核心交換機(jī)交換機(jī)采用先進(jìn)的CLOS+多級(jí)多平面正交交換架構(gòu)，提供業(yè)界最高的交換性能和最豐富的教育特性。單機(jī)可以提供2304個(gè)線速萬兆端口或者768個(gè)線速40G/100G端口，提供超高密度萬兆和高密40G、100G能力；為了滿足教育數(shù)據(jù)中心虛擬化的要求，此次選擇的核心交換機(jī)通過部署N:1虛擬化技術(shù)，真正實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備資源池化，給用戶提供最靈活的選擇。3、服務(wù)器接入交換機(jī)隨著數(shù)據(jù)中心未來虛擬化部署的快速增長、萬兆服務(wù)器的商業(yè)部署及高帶寬應(yīng)用均加速了對(duì)40GE、萬兆網(wǎng)絡(luò)的需求。此次選擇的服務(wù)器接入交換機(jī)整機(jī)支持2個(gè)業(yè)務(wù)插槽，可以實(shí)現(xiàn)高密萬兆光口、高密萬兆電口、40GE接口的靈活混配置，最高可以支持48個(gè)萬兆口及6個(gè)40GE口，或者18個(gè)40GE高速接口。通過選擇FC接口板，整機(jī)最高可以支持48個(gè)FC/FCoE/Ethernet的融合端口。計(jì)算資源池設(shè)計(jì)本次義烏市云計(jì)算數(shù)據(jù)中心總體邏輯拓?fù)浣Y(jié)構(gòu)如上圖所示。整個(gè)平臺(tái)由新建計(jì)算資源池、利舊資源計(jì)算池（如果原有服務(wù)器需要利舊）、存儲(chǔ)資源池、管理中心四部分組成。新建計(jì)算資源池服務(wù)器采用刀箱方式，在刀箱中部署兩路和四路的刀片服務(wù)器。利舊設(shè)備計(jì)算資源池則采用原來已有的機(jī)架式服務(wù)器，通過部署統(tǒng)一配置管理系統(tǒng)可以實(shí)現(xiàn)對(duì)下聯(lián)的服務(wù)器、網(wǎng)絡(luò)、存儲(chǔ)、虛擬化軟件等組件的統(tǒng)一管理。本次采用刀箱全融合架構(gòu)，采用刀箱融合基礎(chǔ)架構(gòu)對(duì)于云計(jì)算數(shù)據(jù)中心作用有以下兩個(gè)方面：1）簡(jiǎn)化機(jī)房硬件架構(gòu)層次融合基礎(chǔ)架構(gòu)設(shè)備通過在一個(gè)刀箱中集成了服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、虛擬化軟件等設(shè)備，大大提高了服務(wù)器的利用率，減少了空間、電力、能耗等方面的消費(fèi)。經(jīng)測(cè)試統(tǒng)計(jì)得出，采用融合基礎(chǔ)架構(gòu)設(shè)備，可以提升至少3倍的服務(wù)器利用率，降低至少75%的空間占用，減少至少27%的電力消耗，降低初始購買和后期運(yùn)維成本。2）實(shí)現(xiàn)網(wǎng)絡(luò)與計(jì)算之間的感知聯(lián)動(dòng)服務(wù)器虛擬化技術(shù)的出現(xiàn)使得計(jì)算服務(wù)提供不再以主機(jī)為基礎(chǔ)，而是以虛擬機(jī)為單位來提供，同時(shí)為了滿足同一物理服務(wù)器內(nèi)虛擬機(jī)之間的數(shù)據(jù)交換需求，服務(wù)器內(nèi)部引入了網(wǎng)絡(luò)功能部件虛擬交換機(jī)vSwitch（VirtualSwitch），如下圖所示，虛擬交換機(jī)提供了虛擬機(jī)之間、虛擬機(jī)與外部網(wǎng)絡(luò)之間的通訊能力。IEEE的802.1標(biāo)準(zhǔn)中，正式將“虛擬交換機(jī)”命名為“VirtualEthernetBridge”，簡(jiǎn)稱VEB，或稱vSwitch。vSwitch的引入，給云計(jì)算數(shù)據(jù)中心的運(yùn)行帶來了以下兩大問題：網(wǎng)絡(luò)界面的模糊主機(jī)內(nèi)分布著大量的網(wǎng)絡(luò)功能部件vSwitch，這些vSwitch的運(yùn)行、部署為主機(jī)操作與維護(hù)人員增加了巨大的額外工作量，在云計(jì)算數(shù)據(jù)中心通常由主機(jī)操作人員執(zhí)行，這形成了專業(yè)技能支撐的不足，而網(wǎng)絡(luò)操作人員一般只能管理物理網(wǎng)絡(luò)設(shè)備、無法操作主機(jī)內(nèi)vSwitch，這就使得大量vSwicth具備的網(wǎng)絡(luò)功能并不能發(fā)揮作用。此外，對(duì)于服務(wù)器內(nèi)部虛擬機(jī)之間的數(shù)據(jù)交換，在vSwitch內(nèi)有限執(zhí)行，外部網(wǎng)絡(luò)不可見，不論在流量監(jiān)管、策略控制還是安全等級(jí)都無法依賴完備的外部硬件功能實(shí)現(xiàn)，這就使得數(shù)據(jù)交換界面進(jìn)入主機(jī)后因?yàn)関Switch的功能、性能、管理弱化而造成了高級(jí)網(wǎng)絡(luò)特性與服務(wù)的缺失。虛擬機(jī)的不可感知性物理服務(wù)器與網(wǎng)絡(luò)的連接是通過鏈路狀態(tài)來體現(xiàn)的，但是當(dāng)服務(wù)器被虛擬化后，一個(gè)主機(jī)內(nèi)同時(shí)運(yùn)行大量的虛擬機(jī)，而此前的網(wǎng)絡(luò)面對(duì)這些虛擬機(jī)的創(chuàng)建與遷移、故障與恢復(fù)等運(yùn)行狀態(tài)完全不感知，同時(shí)對(duì)虛擬機(jī)也無法進(jìn)行實(shí)時(shí)網(wǎng)絡(luò)定位，當(dāng)虛擬機(jī)遷移時(shí)網(wǎng)絡(luò)配置也無法進(jìn)行實(shí)時(shí)地跟隨，雖然有些數(shù)據(jù)鏡像、分析偵測(cè)技術(shù)可以局部感知虛擬機(jī)的變化，但總體而言目前的虛擬機(jī)交換網(wǎng)絡(luò)架構(gòu)無法滿足虛擬化技術(shù)對(duì)網(wǎng)絡(luò)服務(wù)提出的要求。為了解決上述問題，本次項(xiàng)目的解決思路是將虛擬機(jī)的所有流量都引至外部接入交換機(jī)，此時(shí)因?yàn)樗械牧髁烤?jīng)過物理交換機(jī)，因此與虛擬機(jī)相關(guān)的流量監(jiān)控、訪問控制策略和網(wǎng)絡(luò)配置遷移問題均可以得到很好的解決，此方案最典型的代表是EVB標(biāo)準(zhǔn)。EVB標(biāo)準(zhǔn)具有如下的技術(shù)特點(diǎn)：借助發(fā)卡彎轉(zhuǎn)發(fā)機(jī)制將外網(wǎng)交換機(jī)上的眾多網(wǎng)絡(luò)控制策略和流量監(jiān)管特性引入到虛擬機(jī)網(wǎng)絡(luò)接入層，不但簡(jiǎn)化了網(wǎng)卡的設(shè)計(jì)，而且充分利用了外部交換機(jī)專用ASIC芯片的處理能力、減少了虛擬網(wǎng)絡(luò)轉(zhuǎn)發(fā)對(duì)CPU的開銷；充分利用外部交換機(jī)既有的控制策略特性（ACL、QOS、端口安全等）實(shí)現(xiàn)整網(wǎng)端到端的策略統(tǒng)一部署；充分利用外部交換機(jī)的既有特性增強(qiáng)了虛擬機(jī)流量監(jiān)管能力，如各種端口流量統(tǒng)計(jì)，Netstream、端口鏡像等。EVB標(biāo)準(zhǔn)中定義了虛擬機(jī)與網(wǎng)絡(luò)之間的關(guān)聯(lián)標(biāo)準(zhǔn)協(xié)議，使得虛擬機(jī)在變更與遷移時(shí)通告網(wǎng)絡(luò)及網(wǎng)管系統(tǒng)，從而可以借助此標(biāo)準(zhǔn)實(shí)現(xiàn)數(shù)據(jù)中心全網(wǎng)范圍的網(wǎng)絡(luò)配置變更自動(dòng)化工作，使得大規(guī)模的虛擬機(jī)云計(jì)算服務(wù)運(yùn)營部署自動(dòng)化能夠?qū)崿F(xiàn)。存儲(chǔ)資源池設(shè)計(jì)云計(jì)算數(shù)據(jù)中心數(shù)據(jù)中心的核心業(yè)務(wù)系統(tǒng)對(duì)數(shù)據(jù)存儲(chǔ)的要求很高，為了保證項(xiàng)目的成功實(shí)施，在進(jìn)行存儲(chǔ)設(shè)備選型及方案設(shè)計(jì)時(shí)，應(yīng)遵循如下原則：1）系統(tǒng)可靠性原則。存儲(chǔ)系統(tǒng)的軟硬件必須穩(wěn)定可靠，不能存在單點(diǎn)故障。2）可擴(kuò)展性原則。存儲(chǔ)系統(tǒng)需采用先進(jìn)技術(shù)，以利于整個(gè)系統(tǒng)的平滑升級(jí)。同時(shí)，必須考慮到今后存儲(chǔ)環(huán)境的變化和災(zāi)難恢復(fù)系統(tǒng)建立的需要。3）可管理性與系統(tǒng)高效原則。提供完善的管理策略和性能監(jiān)控機(jī)制，確保存儲(chǔ)系統(tǒng)的可管理性，減少管理的復(fù)雜性。4）投資有效原則。系統(tǒng)方案應(yīng)具有高性能價(jià)格比，具有較高實(shí)用性。本次項(xiàng)目構(gòu)建的存儲(chǔ)平臺(tái)要滿足未來3~5年信息化發(fā)展的需要，為此，有必要在構(gòu)建信息系統(tǒng)之初，就打造一個(gè)穩(wěn)定性好、性能高、易擴(kuò)展的后端支撐平臺(tái)。具體說來，本次數(shù)據(jù)中心存儲(chǔ)平臺(tái)建設(shè)，要達(dá)到如下3個(gè)建設(shè)目標(biāo)：1)高可靠；2)高性能；3)易擴(kuò)展。云管理平臺(tái)設(shè)計(jì)在本次云平臺(tái)建設(shè)項(xiàng)目中，底層虛擬化資源池需要實(shí)現(xiàn)基于云計(jì)算的平臺(tái)管理，云平臺(tái)管理系統(tǒng)主要提供了虛擬化管理、集群資源管理、鏡像管理、網(wǎng)絡(luò)管理、資源調(diào)度管理、系統(tǒng)資源管理、資源狀態(tài)監(jiān)控、告警管理、用戶管理等功能。在云平臺(tái)管理系統(tǒng)的設(shè)計(jì)上采用層次化、模塊化結(jié)構(gòu)，主要分為兩部分：云平臺(tái)虛擬資源調(diào)度系統(tǒng)和云平臺(tái)負(fù)載均衡調(diào)度系統(tǒng)。虛擬資源池和負(fù)載均衡集群都運(yùn)行在一個(gè)高可用集群上，每個(gè)物理分區(qū)中的物理主機(jī)組成一個(gè)共享的計(jì)算資源池，啟用高可用、自動(dòng)資源負(fù)載均衡功能、容錯(cuò)等功能，資源調(diào)度系統(tǒng)模型如下圖所示：本項(xiàng)目包含的主機(jī)類型有云平臺(tái)管理主機(jī)、虛擬化主機(jī)、負(fù)載均衡集群主機(jī)。云平臺(tái)管理系統(tǒng)將虛擬化主機(jī)和負(fù)載均衡集群進(jìn)行統(tǒng)一的管理。云平臺(tái)底層虛擬化架構(gòu)可支持Vmware等異構(gòu)虛擬化系統(tǒng)。此平臺(tái)在部署虛擬化的時(shí)候可以選擇其中一種底層虛擬化系統(tǒng)，便于后期的管理維護(hù)。在未來擴(kuò)容的時(shí)候可以根據(jù)需求，再選擇別的虛擬化系統(tǒng)進(jìn)行部署，使云平臺(tái)具備開放性、擴(kuò)展便捷性。云平臺(tái)負(fù)載均衡集群要求支持Apache、Tomcat、IIS、Websphere、Weblogic等WEB平臺(tái)軟件，考慮到服務(wù)請(qǐng)求的不同類型、服務(wù)器的不同處理能力以及隨機(jī)選擇造成的負(fù)載分配不均勻等問題，為了更加合理的把負(fù)載分配給內(nèi)部的多個(gè)服務(wù)器，就需要應(yīng)用相應(yīng)的能夠正確反映各個(gè)服務(wù)器處理能力及網(wǎng)絡(luò)狀態(tài)的負(fù)載均衡算法，選擇合適的負(fù)載均衡策略，使多個(gè)設(shè)備能協(xié)同完成任務(wù)，消除或避免現(xiàn)有網(wǎng)絡(luò)負(fù)載分布不均、數(shù)據(jù)流量擁擠反應(yīng)時(shí)間長的瓶頸。有線無線一體化設(shè)計(jì)本次在教育局核心機(jī)房部署1套運(yùn)維管理平臺(tái)，實(shí)現(xiàn)有線無線一體化高效管理功能。有線無線設(shè)備統(tǒng)一管理可對(duì)網(wǎng)絡(luò)中的有線設(shè)備和AC、FATAP、FITAP、移動(dòng)終端等無線設(shè)備進(jìn)行統(tǒng)一管理，全網(wǎng)設(shè)備信息和狀態(tài)一目了然。同時(shí)，支持策略和服務(wù)的批量部署，極大地減少管理員的維護(hù)工作量，提升工作效率，降低維護(hù)成本。多樣化的拓?fù)涔芾磉\(yùn)維管理平臺(tái)管理解決方案中的有線無線業(yè)務(wù)拓?fù)鋷椭芾韱T直觀了解網(wǎng)絡(luò)部署情況及設(shè)備/鏈路當(dāng)前狀態(tài)?？筛鶕?jù)不同的方式組織資源，有效進(jìn)行拓?fù)浞纸M、真實(shí)反映全網(wǎng)資源情況。支持物理位置視圖顯示，管理員可根據(jù)需要?jiǎng)?chuàng)建多緯度、多層次的物理位置結(jié)構(gòu)，并在指定建筑物底圖上根據(jù)真實(shí)情況擺放設(shè)備，逼近真實(shí)網(wǎng)絡(luò)環(huán)境。1、全面的基礎(chǔ)資源管理◆更多的管理設(shè)備類型：除了傳統(tǒng)的路由器、交換機(jī)外，更能對(duì)網(wǎng)絡(luò)中的無線、安全、語音、存儲(chǔ)、監(jiān)控、服務(wù)器、打印機(jī)、UPS等設(shè)備進(jìn)行管理，實(shí)現(xiàn)設(shè)備資源的集中化管理?！舳鄰S家設(shè)備的統(tǒng)一管理：除了對(duì)的網(wǎng)絡(luò)設(shè)備管理外，運(yùn)維管理平臺(tái)平臺(tái)還實(shí)現(xiàn)了對(duì)業(yè)界其他主流廠家網(wǎng)絡(luò)設(shè)備的管理。◆靈活快捷的自動(dòng)發(fā)現(xiàn)算法：基于專利的發(fā)現(xiàn)算法，運(yùn)維管理平臺(tái)平臺(tái)不僅提供了快速自動(dòng)發(fā)現(xiàn)方式，還提供了四種高級(jí)自動(dòng)發(fā)現(xiàn)方式，包括路由方式、ARP方式、IPSecVPN方式、網(wǎng)段方式等，能快速、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)資源?！糁庇^的設(shè)備面板管理：支持設(shè)備面板管理，所見即所得的顯示設(shè)備的資產(chǎn)組成和運(yùn)行狀態(tài)。◆清晰的網(wǎng)絡(luò)設(shè)備資產(chǎn)管理：在將運(yùn)維管理平臺(tái)平臺(tái)中管理的設(shè)備增加到網(wǎng)絡(luò)資產(chǎn)管理的同時(shí)，系統(tǒng)還會(huì)自動(dòng)發(fā)現(xiàn)該設(shè)備上可以管理的配件信息，并將這些配件加入到網(wǎng)絡(luò)資產(chǎn)中進(jìn)行管理，管理員可以對(duì)網(wǎng)絡(luò)資產(chǎn)信息進(jìn)行修改，還可以查看該資產(chǎn)的子模塊信息、接口信息以及變更審計(jì)歷史信息。2、智能的告警管理◆直觀的故障列表：智能管理中心能自動(dòng)匯總?cè)W(wǎng)中故障設(shè)備，形成故障設(shè)備列表，使管理員能快速、清晰的找到需要關(guān)注的故障設(shè)備?！糁悄艿母婢P(guān)聯(lián)：提供對(duì)重復(fù)告警、突發(fā)的大流量告警、未知告警的自動(dòng)過濾，用戶還可以自定義過濾規(guī)則，以有效壓縮海量網(wǎng)絡(luò)告警，使得管理員直接關(guān)注真正的網(wǎng)絡(luò)故障?！舾婢捶治龊陀绊懚确治觯禾峁┗谕?fù)涞膮^(qū)域告警根源分析，提供告警關(guān)聯(lián)分析，提供告警分組分析，有效屏蔽故障引起的海量表象告警，方便用戶快速定位、查找故障根源，確認(rèn)故障影響的范圍?！舾婢x和Mib導(dǎo)入：在支持標(biāo)準(zhǔn)Trap以及、華為、Cisco等主流廠商私有Trap基礎(chǔ)上，還提供新增及通過Mib導(dǎo)入Trap定義功能，方便快速地支持各廠商新Trap?！糌S富的告警轉(zhuǎn)發(fā)機(jī)制：除提供告警聲光提示、轉(zhuǎn)Email、轉(zhuǎn)短信等方式外，還可以針對(duì)不同的告警定義不同的提示內(nèi)容以及對(duì)應(yīng)維護(hù)參考，當(dāng)再次出現(xiàn)同類告警后能直接對(duì)應(yīng)到相應(yīng)的維護(hù)參考?！艚Y(jié)合拓?fù)渲庇^的設(shè)備故障狀態(tài)監(jiān)控：與傳統(tǒng)的網(wǎng)管告警和拓?fù)錉顟B(tài)互相分離做法不同，使用顯著的顏色把故障狀態(tài)直觀的反映在拓?fù)渲械脑O(shè)備和鏈路圖標(biāo)上，用戶僅需要查看拓?fù)?，即可知道網(wǎng)絡(luò)的整體運(yùn)行狀態(tài)?！鬝yslog接收與分析：運(yùn)維管理平臺(tái)平臺(tái)支持多廠商設(shè)備的Syslog原始報(bào)文接收，提供日志瀏覽、查詢、導(dǎo)出及自動(dòng)轉(zhuǎn)儲(chǔ)功能。并且可以根據(jù)預(yù)定義及用戶自定義規(guī)則對(duì)Syslog報(bào)文進(jìn)行分析，將關(guān)鍵事件升級(jí)為告警，有效地幫助用戶在海量Syslog報(bào)文中及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)關(guān)鍵事件?！舭踩录?lián)動(dòng)：運(yùn)維管理平臺(tái)平臺(tái)對(duì)多廠商設(shè)備的Syslog報(bào)文進(jìn)行分析，提取安全相關(guān)的關(guān)鍵信息（比如攻擊事件類型、攻擊源、攻擊目的），并根據(jù)安全控制策略，采取匹配的安全動(dòng)作，比如關(guān)閉攻擊源網(wǎng)絡(luò)端口等。3、高效的無線射頻覆蓋（RF覆蓋）管理無線運(yùn)營管理解決方案支持對(duì)現(xiàn)網(wǎng)中的無線設(shè)備RF覆蓋情況進(jìn)行展示，通過對(duì)現(xiàn)網(wǎng)中的無線RF狀況的了解，管理員可以依據(jù)需求增加或減少無線設(shè)備的分布，也可以對(duì)現(xiàn)網(wǎng)中部署不合理的設(shè)備位置進(jìn)行調(diào)整。4、統(tǒng)一的身份認(rèn)證設(shè)計(jì)統(tǒng)一門戶通過構(gòu)建一個(gè)教師、學(xué)生、家長、工作人員等共同使用的統(tǒng)一工作門戶平臺(tái)，整合現(xiàn)有業(yè)務(wù)系統(tǒng)的訪問控制，通過統(tǒng)一身份認(rèn)證實(shí)現(xiàn)對(duì)各業(yè)務(wù)工作平臺(tái)的集中訪問，登錄用戶通過統(tǒng)一的門戶可以在一個(gè)頁面上進(jìn)行各項(xiàng)業(yè)務(wù)辦理、處理和審批操作，減少系統(tǒng)使用復(fù)雜度。同時(shí)門戶還提供各種動(dòng)態(tài)信息、信息簡(jiǎn)報(bào)、通知通告等匯總統(tǒng)計(jì)顯示，以及各類業(yè)務(wù)信息的播報(bào)。統(tǒng)一門戶平臺(tái)的建設(shè)使得用戶獲取和使用信息更直接、更方便，實(shí)現(xiàn)信息共享、綜合利用，以促進(jìn)信息的應(yīng)用。對(duì)于學(xué)校內(nèi)部師生，管理者可以在運(yùn)維管理平臺(tái)上上配置內(nèi)部合法的“SSID-教師”和“SSID-學(xué)生”、并為每個(gè)用戶配置基于用戶名的帳號(hào)，同時(shí)將用戶名和用戶終端設(shè)備信息進(jìn)行綁定，完成用戶名+IP+MAC的三元組，不僅確認(rèn)了移動(dòng)終端的合法性和唯一性，還為日后的日志審計(jì)提供可靠依據(jù)。針對(duì)網(wǎng)絡(luò)中心經(jīng)常有外來人員的上網(wǎng)需求，考慮到安全性和方便性的需求，推薦使用手機(jī)短信來申請(qǐng)上網(wǎng)帳號(hào)的方法1.用戶搜索并連接到網(wǎng)絡(luò)中心無線網(wǎng)“SSID-來賓”。2.用戶打開任何頁面將彈出認(rèn)證頁面，并在“臨時(shí)用戶申請(qǐng)”中輸入自己的手機(jī)號(hào)碼。3.認(rèn)證系統(tǒng)通過短信貓將自動(dòng)生成的臨時(shí)密碼發(fā)至用戶的手機(jī)中。4.用戶輸入帳號(hào)（手機(jī)號(hào)碼）與收到的臨時(shí)密碼完成上網(wǎng)認(rèn)證。5.帳號(hào)在超過系統(tǒng)規(guī)定的時(shí)間后將自動(dòng)失效，若繼續(xù)使用需從新申請(qǐng)。(注：本次方案中不包含短信貓?jiān)O(shè)備，如需要該功能，需另外采購第三方設(shè)備。)學(xué)校接入?yún)^(qū)設(shè)計(jì)校園網(wǎng)接入設(shè)計(jì)各學(xué)校采用以太網(wǎng)組網(wǎng)方式，出口通過安全網(wǎng)關(guān)采用樹形結(jié)構(gòu)連接核心交換機(jī)，核心交換機(jī)通過光纖和電路連接各樓宇的交換機(jī)，各交換機(jī)再連接信息插座。無線AP、辦公電腦、學(xué)生電腦、班班通、一體機(jī)等通過信息點(diǎn)接入樓層接入交換機(jī)。學(xué)校接入部分拓?fù)洌簩W(xué)校出口網(wǎng)關(guān)設(shè)計(jì)義烏市各個(gè)學(xué)校的規(guī)模不同，多數(shù)學(xué)校網(wǎng)絡(luò)規(guī)模不大，對(duì)性能的要求可能不大，但對(duì)出口設(shè)備功能性的要求一點(diǎn)也不少，出口路由、網(wǎng)絡(luò)安全、URL過濾、內(nèi)容審計(jì)、日志記錄和流量控制都需要，但學(xué)校網(wǎng)出口和城域網(wǎng)出口又不一樣，無法像城域網(wǎng)那樣配置專門的出口引擎、流控設(shè)備、防火墻、行為審計(jì)設(shè)備、日志記錄等系統(tǒng)設(shè)備，所以就必須有一種設(shè)備即能滿足學(xué)校出口功能性要求。出于統(tǒng)一建設(shè)的原則和綜合成本角度考慮，方案設(shè)計(jì)對(duì)各教育單位和學(xué)校統(tǒng)一采用安全網(wǎng)關(guān)接入教育城域網(wǎng)，部署在各學(xué)校校園網(wǎng)和教育城域網(wǎng)的鏈路中間。安全網(wǎng)關(guān)的具體配置可以根據(jù)學(xué)校的規(guī)模、接入終端的具體數(shù)量選擇不同檔次。出口網(wǎng)關(guān)設(shè)備需要給學(xué)校提供以下出口保證：MIPS多核架構(gòu)，保證多應(yīng)用下高性能；多合一設(shè)備，部署靈活簡(jiǎn)便；不需要再去考慮用防火墻、路由器還是流控、VPN，多應(yīng)用整合；管理維護(hù)簡(jiǎn)單；內(nèi)置WEB人性化界面，配置向?qū)У?；多臺(tái)設(shè)備分布式部署，可通過日志系統(tǒng)、網(wǎng)管系統(tǒng)等進(jìn)行集中式管理、日志收集；應(yīng)用控制，提升運(yùn)作效率；專業(yè)流控，優(yōu)化網(wǎng)絡(luò)速度，提升用戶網(wǎng)速體驗(yàn)；從實(shí)際出發(fā)的用戶管理功能；支持用戶組織架構(gòu)導(dǎo)入；支持對(duì)用戶進(jìn)行黑白名單控制（應(yīng)用控制、流量控制等）；支持對(duì)關(guān)鍵用戶、關(guān)鍵應(yīng)用的帶寬保留服務(wù)；URL過濾，內(nèi)置URL數(shù)據(jù)庫，讓用戶遠(yuǎn)離黃賭毒等違法信息；支持NAT日志、URL日志、IM聊天日志、郵件日志等多種日志，支持本地化日志大容量存儲(chǔ)和檢索；智能選路，優(yōu)選數(shù)據(jù)傳輸路徑，合理利用多條帶寬資源；當(dāng)網(wǎng)絡(luò)擁有多條出口線路時(shí)，選路規(guī)劃的不合理會(huì)造成上網(wǎng)慢、帶寬資源浪費(fèi)等問題；內(nèi)置硬盤，與城域網(wǎng)熱點(diǎn)緩存系統(tǒng)聯(lián)動(dòng)，實(shí)現(xiàn)熱點(diǎn)資源分發(fā)至學(xué)校，提高資源訪問效率。校園網(wǎng)用戶終端安全隔離校園網(wǎng)內(nèi)部用戶終端至少分類為學(xué)生機(jī)房電腦、教師工作電腦、無線終端等?；谌缦略蛐枰獙⒔K端分類隔離到不同VLAN。大規(guī)模環(huán)境中廣播域的隔離。不同類別用戶終端的安全風(fēng)險(xiǎn)隔離，包括病毒、攻擊（特別是校園網(wǎng)環(huán)境ARP類攻擊，建議接入交換機(jī)具備防ARP攻擊或端口隔離功能）不同類別用戶有不同的訪問控制需求。不同類別用戶有不同的流控需求。不同類別的用戶有不同的審計(jì)需求。隔離原則大規(guī)模校園網(wǎng)必須對(duì)每類用戶終端做VLAN隔離。擁有宿舍樓的校園網(wǎng)必須做到宿舍樓與教學(xué)區(qū)隔離。小型校園網(wǎng)可以免隔離。通過其他技術(shù)手段保障風(fēng)險(xiǎn)控制、訪問控制、流量控制。校園網(wǎng)出口實(shí)名認(rèn)證出于以下原因，校園網(wǎng)出口必須實(shí)現(xiàn)實(shí)名認(rèn)證功能。防止非法用戶私接。便于針對(duì)用戶或IP地址做流控。便于實(shí)名審計(jì)。如果在各校園網(wǎng)出口設(shè)備上實(shí)現(xiàn)用戶認(rèn)證，必須能夠在中心機(jī)房進(jìn)行統(tǒng)一用戶管理。如果在中心機(jī)房入口設(shè)備上實(shí)現(xiàn)用戶認(rèn)證，必須能夠配合流控機(jī)制對(duì)每用戶或IP限流。從簡(jiǎn)化認(rèn)證管理便捷的角度，本次采用在中心機(jī)房入口設(shè)備實(shí)現(xiàn)用戶認(rèn)證（即核心交換機(jī)扁平化集中認(rèn)證），校園網(wǎng)本地安全網(wǎng)關(guān)可作為備用認(rèn)證設(shè)備，實(shí)現(xiàn)學(xué)校本地化認(rèn)證。校園網(wǎng)出口網(wǎng)關(guān)選型說明：根據(jù)學(xué)校不同規(guī)模提供三個(gè)檔次出口網(wǎng)關(guān)：高檔：滿足校園網(wǎng)1000以上用戶規(guī)模使用，并發(fā)上網(wǎng)1500人；中檔：滿足校園網(wǎng)1000以下用戶規(guī)模使用，并發(fā)上網(wǎng)500人；低檔；滿足校園網(wǎng)500以下用戶規(guī)模使用，并發(fā)上網(wǎng)250人；各學(xué)校根據(jù)實(shí)際調(diào)研結(jié)果，選擇使適用的出口網(wǎng)關(guān)。無線校園網(wǎng)設(shè)計(jì)結(jié)合WLAN的實(shí)際應(yīng)用和發(fā)展要求，公眾無線局域網(wǎng)(PWLAN)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)，主要遵循以下系統(tǒng)總體原則：實(shí)用性原則：以現(xiàn)行需求為基礎(chǔ)，充分考慮發(fā)展的需要來確定系統(tǒng)規(guī)模?？煽啃栽瓌t：系統(tǒng)設(shè)計(jì)能有效的避免單點(diǎn)失敗，在設(shè)備的選擇和關(guān)鍵設(shè)備的互聯(lián)時(shí)，應(yīng)提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網(wǎng)絡(luò)能在最短時(shí)間內(nèi)修復(fù)。成熟和先進(jìn)性原則：由于WLAN應(yīng)用于運(yùn)營網(wǎng)絡(luò)仍然屬于新新技術(shù)，需要及時(shí)將新技術(shù)引用進(jìn)來，更好的開展應(yīng)用，同時(shí)也要求保證網(wǎng)絡(luò)與應(yīng)用的可靠性。規(guī)范性原則：系統(tǒng)設(shè)計(jì)所采用的技術(shù)和設(shè)備應(yīng)符合WLAN國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)和聯(lián)通WLAN企業(yè)標(biāo)準(zhǔn)，為系統(tǒng)的擴(kuò)展升級(jí)、與其他系統(tǒng)的互聯(lián)提供良好的基礎(chǔ)。開放性和標(biāo)準(zhǔn)化原則：在設(shè)計(jì)時(shí)，要求提供開放性好、標(biāo)準(zhǔn)化程度高的技術(shù)方案；設(shè)備的各種接口滿足開放和標(biāo)準(zhǔn)化原則?？蓴U(kuò)充和擴(kuò)展化原則：所有系統(tǒng)設(shè)備不但滿足當(dāng)前需要，并在擴(kuò)充模塊后滿足可預(yù)見將來需求，如帶寬和設(shè)備的擴(kuò)展，應(yīng)用的擴(kuò)展和辦公地點(diǎn)的擴(kuò)展等。保證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級(jí)時(shí)，能保護(hù)現(xiàn)有的投資。可管理性原則：整個(gè)系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護(hù)，操作簡(jiǎn)單，易學(xué)，易用，便于進(jìn)行系統(tǒng)配置，在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制，并可以進(jìn)行遠(yuǎn)程管理和故障診斷。根據(jù)目前學(xué)校的用戶規(guī)模和城域網(wǎng)建設(shè)情況，擬采用無線控制器(AC)+瘦AP（FITAP）的組網(wǎng)方式，控制器部署在城域網(wǎng)中心將，對(duì)全區(qū)各個(gè)學(xué)校所有無線AP進(jìn)行集中管理。瘦AP實(shí)現(xiàn)無線信號(hào)的處理，而用戶管理、加密、漫游、AP管理等功能全部集中到AC進(jìn)行，這樣可以簡(jiǎn)化整個(gè)網(wǎng)絡(luò)的管理，提高設(shè)備的工作效率。AP的供電采用以太網(wǎng)供電，通過以太網(wǎng)線來匯聚AP的流量，同時(shí)為AP提供電源，這樣可以簡(jiǎn)化布線，同時(shí)減少故障點(diǎn)，提高網(wǎng)絡(luò)的可靠性。無線網(wǎng)絡(luò)總體架構(gòu)本次無線覆蓋架構(gòu)如下圖所示：如上圖所示，無線網(wǎng)絡(luò)采用AC+FITAP的組網(wǎng)方式：1、在城域網(wǎng)中心機(jī)房核心端部署1臺(tái)云平臺(tái)，實(shí)現(xiàn)對(duì)全區(qū)所有中小學(xué)的AP進(jìn)行集中管理和維護(hù)。2、在各個(gè)學(xué)校根據(jù)不同的使用場(chǎng)景部署最佳類型的無線AP，實(shí)現(xiàn)信號(hào)的前端覆蓋。3、所有無線AP支持802.11AC協(xié)議，保持先進(jìn)性，避免剛建成即落后的尷尬；同時(shí)，兼容WIFI802.11a/b/g/n，具有良好的兼容性。4、學(xué)校端零配置部署，分布于各個(gè)學(xué)校的AP“零配置”，完全由部署于城域網(wǎng)中心機(jī)房的“無線控制器”進(jìn)行統(tǒng)一管理、配置、監(jiān)控。具體來說，從包裝盒內(nèi)拆封出來AP，接入學(xué)校任意交換端口，即可自動(dòng)完成自我配置并提供無線服務(wù)。5、在學(xué)校的配線間新增千兆POE交換機(jī)，實(shí)現(xiàn)對(duì)本樓所有無線AP的集中連接，同時(shí)為AP提供POE供電。6、所有樓層新增的接入交換機(jī)全部通過千兆線纜連接至校園網(wǎng)核心交換機(jī)。7、針對(duì)師生的安全和管理考慮，在中心機(jī)房部署1套安全準(zhǔn)入認(rèn)證系統(tǒng)，實(shí)現(xiàn)對(duì)所有接入用戶的安全認(rèn)證，保證合法的用戶接入網(wǎng)絡(luò)，非法的用戶禁止接入網(wǎng)絡(luò)。同時(shí)針對(duì)無線用戶，可提供目前業(yè)界最便捷的無感知認(rèn)證方式，實(shí)現(xiàn)最佳的用戶體驗(yàn)和最好的安全保護(hù)。無線覆蓋指標(biāo)要求無線覆蓋信號(hào)覆蓋區(qū)域信號(hào)強(qiáng)度不低于-75dBm，信噪比SNR≥20。應(yīng)用使用較為集中區(qū)域的接入速率應(yīng)不低于140Mbps。室內(nèi)分布系統(tǒng)天線的等效全向輻射功率≥7dBm。室外分布系統(tǒng)天線、獨(dú)立WLAN天線的等效全向輻射功率≥22dBm。室外覆蓋方式時(shí)，WLAN無線信號(hào)一般按穿透一堵墻設(shè)計(jì)。容量計(jì)算經(jīng)過多方查證和咨詢了解到：對(duì)于小辦公室：按照每個(gè)AP覆蓋5-8用戶進(jìn)行設(shè)計(jì)（用戶只有老師）；對(duì)于會(huì)議室：按照每個(gè)AP覆蓋25-30用戶進(jìn)行設(shè)計(jì)；對(duì)于高密度教室：按照每個(gè)AP覆蓋60—80用戶進(jìn)行設(shè)計(jì)；因此，產(chǎn)品的選型尤為重要，必須能滿足帶機(jī)量的要求，以保證用戶的接入質(zhì)量和正常需求下的網(wǎng)絡(luò)吞吐量。同時(shí)，也需要考慮到無線AP覆蓋的環(huán)境，對(duì)于環(huán)境復(fù)雜，或者遮擋物較多等對(duì)AP型號(hào)有強(qiáng)烈干擾的區(qū)域，建議AP接入用戶數(shù)酌情減少。不同場(chǎng)景下的無線部署室內(nèi)直放覆蓋對(duì)于一些特殊地理位置，室內(nèi)區(qū)域通常面積都不大（小于60方米），每個(gè)場(chǎng)所放1個(gè)AP即可滿足覆蓋需求。對(duì)于大面積區(qū)域稍復(fù)雜的應(yīng)用環(huán)境（單位面積人員數(shù)量多），例如教室或大型辦公室，考慮使用一個(gè)或者多個(gè)AP進(jìn)行覆蓋，參考原則為每個(gè)AP的用戶容量25-30人，如果為教室，建議采用2個(gè)AP進(jìn)行覆蓋。教育城域網(wǎng)詳細(xì)方案設(shè)計(jì)網(wǎng)絡(luò)安全互聯(lián)網(wǎng)出口安全本次在互聯(lián)網(wǎng)出口安全區(qū)部署1臺(tái)新一代高性能多業(yè)務(wù)安全網(wǎng)關(guān)，通過配置下一代防火墻插卡，IPS插卡，實(shí)現(xiàn)多業(yè)務(wù)安全功能。防火墻安全部署：在出口設(shè)備部署一塊獨(dú)立的基于硬件的下一代防火墻板卡，互聯(lián)網(wǎng)出口部署高性能網(wǎng)關(guān)，把住“病從口入”關(guān)，實(shí)時(shí)、全面的抵御來自互聯(lián)網(wǎng)的安全威脅，使網(wǎng)絡(luò)免遭“外界”的惡意侵犯。同時(shí)本次還需要對(duì)內(nèi)網(wǎng)的WEB服務(wù)器進(jìn)行安全防護(hù)，WEB服務(wù)器直接部署在防火墻側(cè)。防御來自互聯(lián)網(wǎng)的底層（2層鏈路層、3層物理層）攻擊，包括：ARP欺騙、地址掃描、端口掃描及各種洪泛（UDPFlood、SYNFlood、ICMPFlood）、DDOS攻擊。防火墻作為最主流也是最基礎(chǔ)的安全產(chǎn)品，對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行區(qū)域分割，提供基于IP地址和TCP/IP服務(wù)端口等的訪問控制；對(duì)常見的網(wǎng)絡(luò)攻擊，如拒絕服務(wù)攻擊、端口掃描、IP欺騙、IP盜用等進(jìn)行有效防護(hù)；并提供NAT網(wǎng)絡(luò)地址轉(zhuǎn)換、用戶認(rèn)證、IP與MAC綁定等安全增強(qiáng)措施。同時(shí)防火墻還具備另外一個(gè)重要功能，可以劃分多個(gè)安全域，比如說外網(wǎng)為非信任域，內(nèi)網(wǎng)為信任域，互聯(lián)網(wǎng)用戶不能直接訪問學(xué)校內(nèi)部用戶，除非通過一些安全策略來進(jìn)行安全訪問，而內(nèi)網(wǎng)用戶可以安全訪問互聯(lián)網(wǎng)資源；同時(shí)，WEB服務(wù)器部署在防火墻的非信任域和信任域之間，對(duì)WEB服務(wù)器起到了重要的安全防護(hù)功能。入侵防御：通過部署一塊獨(dú)立的基于硬件的下一代防火墻板卡通過軟件授權(quán)方式實(shí)現(xiàn)，集成入侵防御/檢測(cè)、病毒過濾和帶寬管理等功能，是業(yè)界綜合防護(hù)技術(shù)最領(lǐng)先的入侵防御/檢測(cè)系統(tǒng)。通過深達(dá)7層的分析與檢測(cè)，實(shí)時(shí)阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網(wǎng)頁篡改等攻擊和惡意行為，并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)應(yīng)用和性能的全面保護(hù)。除了IPS功能授權(quán)之外，該綜合安全網(wǎng)關(guān)還支持以下安全功能授權(quán)許可，可為在未來提供多業(yè)務(wù)功能擴(kuò)展能力：負(fù)載均衡：通過部署一塊獨(dú)立的基于硬件的下一代防火墻板卡通過軟件授權(quán)方式實(shí)現(xiàn)，提供完善的負(fù)載均衡功能，具備服務(wù)器負(fù)載均衡、鏈路負(fù)載均衡等功能。部署在中小型數(shù)據(jù)中心，基于特定的負(fù)載均衡算法將客戶端對(duì)數(shù)據(jù)中心服務(wù)的訪問請(qǐng)求合理地分發(fā)到數(shù)據(jù)中心的各臺(tái)服務(wù)器上，以保證數(shù)據(jù)中心的響應(yīng)速度和業(yè)務(wù)連續(xù)性。部署在多ISP鏈路的出口（如電信、網(wǎng)通等），為了提高鏈路利用率，通過對(duì)鏈路狀態(tài)的檢測(cè)，采用對(duì)應(yīng)的調(diào)度算法將數(shù)據(jù)合理、動(dòng)態(tài)的分發(fā)到不同鏈路上。上網(wǎng)行為管理部署：通過部署一塊獨(dú)立的基于硬件的下一代防火墻板卡通過軟件授權(quán)方式實(shí)現(xiàn)，對(duì)網(wǎng)絡(luò)中的P2P/IM/VoIP帶寬濫用、網(wǎng)絡(luò)游戲、炒股、多媒體應(yīng)用、非法網(wǎng)站訪問等行為進(jìn)行精細(xì)化識(shí)別和控制；同時(shí)，根據(jù)對(duì)網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進(jìn)行深入分析與全面的事后審計(jì)，并具有強(qiáng)大的URL過濾功能，進(jìn)而全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢(shì)，大大提升網(wǎng)絡(luò)的業(yè)務(wù)控制能力，幫助用戶優(yōu)化其網(wǎng)絡(luò)資源，為用戶打造一個(gè)和諧、有序的網(wǎng)絡(luò)環(huán)境。SecBladeACG模塊與基礎(chǔ)網(wǎng)絡(luò)設(shè)備融合，具有即插即用、擴(kuò)展性強(qiáng)的特點(diǎn)，降低了用戶管理難度，減少了維護(hù)成本。服務(wù)器安全在服務(wù)器區(qū)匯聚交換與核心交換機(jī)間部署2臺(tái)防火墻，實(shí)現(xiàn)對(duì)服務(wù)器區(qū)進(jìn)行安全防護(hù)。校級(jí)局域網(wǎng)安全端口安全：端口安全功能通過定義報(bào)文的源MAC地址來限定報(bào)文是否可以進(jìn)入交換機(jī)的端口，你可以靜態(tài)設(shè)置特定的MAC地址或者限定動(dòng)態(tài)學(xué)習(xí)的MAC地址的個(gè)數(shù)來控制報(bào)文是否可以進(jìn)入端口，使能端口安全功能的端口稱為安全端口。只有源MAC地址為端口安全地址表中配置或者學(xué)習(xí)到的MAC地址的報(bào)文才可以進(jìn)入交換機(jī)通信，其他報(bào)文將被丟棄。您還可以設(shè)定端口安全地址綁定IP+MAC，或者僅綁定IP，用來限制必須符合綁定的以端口安全地址為源MAC地址的報(bào)文才能進(jìn)入交換機(jī)通信。端口保護(hù)：端口保護(hù)是用來保護(hù)端口之間的通信，當(dāng)端口設(shè)為保護(hù)口之后，保護(hù)口之間互相無法通訊，但保護(hù)口與非保護(hù)口之間可以正常通訊。保護(hù)口有兩種模式，一種是阻斷保護(hù)口之間的二層交換，但允許保護(hù)口之間進(jìn)行路由，第二種是同時(shí)阻斷保護(hù)口之間的二層交換和阻斷路由；在兩種模式都支持的情況下，第一種模式將作為缺省配置模式。在VSU模式或VSD模式下，端口保護(hù)均有效。病毒ACL：當(dāng)您的網(wǎng)絡(luò)出現(xiàn)比較明顯的病毒攻擊，影響你的局域網(wǎng)的大部分PC無法相互訪問，或者是無法上網(wǎng)的時(shí)候，或者是個(gè)別重要服務(wù)器經(jīng)常由于病毒攻擊而癱瘓的時(shí)候，就可以考慮在接入層交換機(jī)的各個(gè)端口，或者是連接服務(wù)器區(qū)的交換機(jī)端口上部署防病毒ACL，并且該功能也可以作為常規(guī)優(yōu)化手段，推薦項(xiàng)目實(shí)施的時(shí)候提前部署。防止ARP欺騙：ARP（AddressResolutionProtocol）是地址解析協(xié)議，是一種通過IP地址查找對(duì)應(yīng)物理地址的協(xié)議。某機(jī)器A要向主機(jī)B發(fā)送報(bào)文，會(huì)查詢本地的ARP緩存表，找到B的IP地址對(duì)應(yīng)的MAC地址后，就會(huì)進(jìn)行數(shù)據(jù)傳輸。如果未找到，則A廣播一個(gè)ARP請(qǐng)求報(bào)文（攜帶主機(jī)A的IP地址Ia——物理地址Pa），請(qǐng)求IP地址為Ib的主機(jī)B回答他的物理地址Pb是多少。網(wǎng)絡(luò)上所有主機(jī)包括B都收到這份ARP請(qǐng)求，但只有主機(jī)B識(shí)別到是自己的IP地址，于是向A主機(jī)發(fā)回一個(gè)ARP響應(yīng)報(bào)文，其中就包含有B的MAC地址Pb。A接收到B的應(yīng)答后，就會(huì)更新本地的ARP緩存，接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡封裝這個(gè)MAC地址）。因此，本地高速緩存的這個(gè)ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個(gè)緩存是動(dòng)態(tài)的，長時(shí)間沒有ARP信息報(bào)文后，緩存會(huì)自動(dòng)刪除，通常網(wǎng)絡(luò)設(shè)備的ARP超時(shí)時(shí)間為3600s，windows主機(jī)的超時(shí)時(shí)間為120s。實(shí)名制上網(wǎng)及日志設(shè)計(jì)教育城域網(wǎng)實(shí)名身份認(rèn)證體系下圖為教育城域網(wǎng)實(shí)名制解決方案的框架圖。教育城域網(wǎng)的各種用戶，包括學(xué)生、老師等通過有線、無線、VPN等各種接入方式經(jīng)過統(tǒng)一的實(shí)名認(rèn)證，可實(shí)現(xiàn)基于實(shí)名訪問權(quán)限控制、實(shí)名流控、實(shí)名日志審計(jì)等功能。解決了沒有實(shí)名制管理遇到的城域網(wǎng)接入不可控、審計(jì)難以定位到人、無法區(qū)分老師和學(xué)校的訪問服務(wù)等問題。教育城域網(wǎng)實(shí)名制方案設(shè)計(jì)以實(shí)名為核心的實(shí)名制管理，包括四個(gè)方面，實(shí)名認(rèn)證、實(shí)名的訪問權(quán)限控制、實(shí)名的流控及實(shí)名日志審計(jì)。實(shí)名認(rèn)證無論是區(qū)縣下屬的任何學(xué)校，還是通過有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)或是在家通過VPN訪問等，都需要進(jìn)行實(shí)名認(rèn)證，避免各種網(wǎng)絡(luò)設(shè)備各自為政，存在安全風(fēng)險(xiǎn)等問題發(fā)生；名認(rèn)證是為了驗(yàn)證身份，包括接入網(wǎng)絡(luò)中的用戶標(biāo)識(shí)（UserID）、主機(jī)標(biāo)識(shí)（MAC）、網(wǎng)絡(luò)標(biāo)識(shí)（IP），確保網(wǎng)絡(luò)用戶身份的合法、真實(shí)；同時(shí)，可以有效地防止賬號(hào)盜用、防IP篡改、防MAC篡改，實(shí)現(xiàn)內(nèi)網(wǎng)的安全、可控、易定位和強(qiáng)審計(jì)。實(shí)現(xiàn)有線、無線、遠(yuǎn)程VPN等不同接入方式的統(tǒng)一認(rèn)證如上圖所示：通過RG-ESS建立校園網(wǎng)公共認(rèn)證平臺(tái)，可實(shí)現(xiàn)有線用戶、無線用戶、遠(yuǎn)程訪問的VPN用戶的統(tǒng)一認(rèn)證，每個(gè)用戶有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、VPN訪問使用同一份身份信息、同一套賬號(hào)密碼，同時(shí)，可以實(shí)現(xiàn)有線無線的統(tǒng)一拓?fù)涔芾?、批量配置及?shí)時(shí)告警等功能實(shí)名訪問權(quán)限控制通過實(shí)名訪問權(quán)限控制，可實(shí)現(xiàn)老師在學(xué)校里通過網(wǎng)絡(luò)在線看Internet視頻或下載P2P資源等，而學(xué)生則被限制使用；通過實(shí)名訪問權(quán)限控制還可阻止學(xué)生的賬號(hào)訪問任何成人網(wǎng)站和不良信息等。ESS采用了Webportal或基于802.1X協(xié)議的身份驗(yàn)證體系，通過與網(wǎng)絡(luò)交換機(jī)的聯(lián)動(dòng)，實(shí)現(xiàn)了對(duì)于用戶訪問網(wǎng)絡(luò)的身份的控制。通過ESS為用戶定制的訪問權(quán)限，在用戶經(jīng)過身份認(rèn)證后，根據(jù)用戶身份所具有的訪問權(quán)限進(jìn)行下發(fā)策略，經(jīng)過身份認(rèn)證的用戶只能訪問該訪問的業(yè)務(wù)系統(tǒng)，如下圖：只能訪問自己權(quán)限之內(nèi)的服務(wù)器，網(wǎng)絡(luò)區(qū)域等。實(shí)名流控通過網(wǎng)絡(luò)出口流量控制引擎設(shè)備RG-ACE設(shè)備與實(shí)名制身份認(rèn)證系統(tǒng)聯(lián)動(dòng)，限制用戶訪問流量，例如：通過實(shí)名身份為老師的賬號(hào)組分配5M帶寬，學(xué)生的賬號(hào)組分配1M帶寬；而且，無論是在辦公室、計(jì)算機(jī)教室還是電子閱覽室，即使使用的不是同一臺(tái)機(jī)器、同一個(gè)IP地址，也能保障老師的出口帶寬為5M，學(xué)生的出口帶寬為1M，保障有效合理的分配帶寬，提高帶寬資源的利用率。實(shí)名日志審計(jì)師生訪問Internet的日志都能自動(dòng)進(jìn)行記錄，并和師生的IP地址及實(shí)名信息等實(shí)現(xiàn)自動(dòng)綁定，滿足公安及上級(jí)部門的檢查要求。數(shù)字無線校園分級(jí)運(yùn)營管理云平臺(tái)支持三級(jí)運(yùn)營管理組織架構(gòu)：wifi運(yùn)營商、代理商、項(xiàng)目。輕松實(shí)現(xiàn)靈活創(chuàng)建、權(quán)限控制、分工明確，使業(yè)務(wù)安全高效的運(yùn)作。本項(xiàng)目中，教育局作為整個(gè)無線網(wǎng)絡(luò)的wifi運(yùn)營商，擁有網(wǎng)內(nèi)所有無線AP管理最高權(quán)限，包括AP射頻配置、WLAN配置、批量升級(jí)等；教育局轄內(nèi)學(xué)校作為代理商，擁有本學(xué)校無線AP管理權(quán)限；每個(gè)擁有代理商賬號(hào)下可創(chuàng)建多個(gè)項(xiàng)目，可根據(jù)實(shí)際情況設(shè)置每所學(xué)校為一個(gè)項(xiàng)目。無線穩(wěn)定高速1、領(lǐng)先技術(shù)標(biāo)準(zhǔn)通過對(duì)XX無線教育城域網(wǎng)無線網(wǎng)一期覆蓋區(qū)域進(jìn)行的詳細(xì)地勘和實(shí)地環(huán)境測(cè)試，我們將在所有覆蓋區(qū)域部署采用3×3MIMO技術(shù)的高性能802.11n無線接入點(diǎn)，不僅能夠提供6倍于802.11ag設(shè)備的連接速率，并且可以在AP發(fā)射功率相同的情況下提供比802.11ag設(shè)備高出30%-50%的覆蓋范圍。在3×3MIMO天線技術(shù)的支撐下，即便是采用802.11abg的無線客戶端連入802.11n網(wǎng)絡(luò)，也會(huì)獲得更好的實(shí)際吞吐量和信號(hào)質(zhì)量。為了保證在高用戶數(shù)下的網(wǎng)絡(luò)訪問體驗(yàn)，無線控制器可以設(shè)定AP間對(duì)接入用戶進(jìn)行負(fù)載均衡，負(fù)載均衡的策略可以是基于AP接入的用戶數(shù)量和AP的流量負(fù)載情況。當(dāng)無線控制器發(fā)現(xiàn)AP的負(fù)載超過設(shè)定的門限值以后，對(duì)于新接入的用戶無線控制器會(huì)自動(dòng)計(jì)算此用戶周圍是否還有負(fù)載較輕的AP可供用戶接入，如果有則AP會(huì)拒絕用戶的關(guān)聯(lián)請(qǐng)求，用戶會(huì)轉(zhuǎn)而接入其他負(fù)載較輕的AP。通過負(fù)載均衡技術(shù)和高性能的AP平臺(tái)，全網(wǎng)的802.11n將提供高速的網(wǎng)絡(luò)訪問體驗(yàn)。2、單AP接入用戶數(shù)提升普通的家用路由最多只能接入10個(gè)終端，一般的企業(yè)級(jí)AP并發(fā)支持20~30個(gè)終端左右。而A全線無線AP使用美國高通芯片，通過提高設(shè)備性能、優(yōu)化網(wǎng)絡(luò)協(xié)議，單個(gè)AP雙頻支持并發(fā)80個(gè)終端同時(shí)接入使用。3、無線本地轉(zhuǎn)發(fā)(集中轉(zhuǎn)發(fā)流量圖)(本地轉(zhuǎn)發(fā)流量圖)傳統(tǒng)的無線數(shù)據(jù)轉(zhuǎn)發(fā)流程是：所有用戶數(shù)據(jù)由無線接入設(shè)備發(fā)送到無線控制器，再由無線控制器進(jìn)行集中轉(zhuǎn)發(fā)。當(dāng)無線網(wǎng)絡(luò)AP及用戶數(shù)量比較大時(shí)，無線控制器處理能力可能就形成瓶頸。敦崇科技全系列AP可將數(shù)據(jù)報(bào)文在無線接入設(shè)備上直接轉(zhuǎn)化為有線格式的報(bào)文，使得數(shù)據(jù)報(bào)文不經(jīng)過無線控制器，而是在本地進(jìn)行轉(zhuǎn)發(fā)，大大節(jié)約了有線帶寬。4、帶寬控制針對(duì)學(xué)校流量復(fù)雜難以管控的情況，對(duì)于高耗流量的風(fēng)行、迅雷、電驢等P2P下載等。敦崇無線控制器內(nèi)置流量控制功能，可以進(jìn)行帶寬限制，防止部分用戶對(duì)帶寬的過分搶占，從而保障顧客正常的上網(wǎng)體驗(yàn)。另外對(duì)于大部分需要辦公的商務(wù)客人，我們對(duì)于辦公應(yīng)用進(jìn)行相應(yīng)的帶寬保障，從而對(duì)商務(wù)客人無線辦公進(jìn)行優(yōu)先保障。5、快速漫游本方案以無線控制器為核心，對(duì)所有AP上接入的用戶采用統(tǒng)一會(huì)話管理，所有已認(rèn)證終端均在中心無線控制器中保存相應(yīng)會(huì)話，AP僅僅只負(fù)載傳輸用戶數(shù)據(jù)，因此無論終端移動(dòng)到哪個(gè)AP下，用戶信息和授權(quán)都在無線控制器所管轄的移動(dòng)域內(nèi)快速的交互，可以有效保持會(huì)話完整性及可靠移動(dòng)性的前提下實(shí)現(xiàn)無縫漫游。最終使得終端漫游切換時(shí)間控制在30ms-50ms之內(nèi)，漫游切換丟包率控制在0.5%以下。漫游切換過程當(dāng)用戶在AP1的范圍內(nèi)，通過AP1與網(wǎng)絡(luò)進(jìn)行連接；當(dāng)用戶處于AP1與AP2交叉范圍內(nèi)時(shí)，用戶在與AP1連接的同時(shí)，與AP2做好連接的準(zhǔn)備；當(dāng)用戶到達(dá)AP2的范圍時(shí)，通過AP2與網(wǎng)絡(luò)進(jìn)行連接,用戶感覺不到AP的切換造成的網(wǎng)絡(luò)中斷現(xiàn)象。無線高密接入1、智能射頻控制在較小的空間內(nèi)，無線AP產(chǎn)生的無線信號(hào)會(huì)相互干擾，通過自動(dòng)或是手動(dòng)調(diào)整AP的功率可以減少AP之間信號(hào)的相互干擾。學(xué)校部署多個(gè)AP，如果不合理設(shè)計(jì)會(huì)出現(xiàn)信道沖突問題。使用2.4GHz頻點(diǎn)為例，為保證信道之間不相互干擾，要求兩個(gè)信道之間間隔不低于25MHz。在一個(gè)覆蓋區(qū)內(nèi)，最多可以提供3個(gè)不重疊的頻點(diǎn)同時(shí)工作，通常采用1、6、11三個(gè)頻點(diǎn)。通過AP信道的自動(dòng)調(diào)整保證相鄰AP信道不重疊，減少相互干擾。AP的信道根據(jù)蜂窩結(jié)構(gòu)的原則，采用不同信道避免同頻干擾，根據(jù)現(xiàn)場(chǎng)實(shí)際環(huán)境劃分；WLAN802.11b/g/n工作在2.4GHz頻段，頻率范圍為2.400～2.4835GHz，共83.5M帶寬，劃分為13個(gè)子信道，每個(gè)子信道帶寬為22MHz。在使用2.4GHz頻點(diǎn)時(shí)，為保證信道之間不相互干擾，要求兩個(gè)信道之間間隔不低于25MHz。在一個(gè)覆蓋區(qū)內(nèi)，最多可以提供3個(gè)不重疊的頻點(diǎn)同時(shí)工作，通常采用1、6、11三個(gè)頻點(diǎn)。WLAN頻率規(guī)劃需綜合考慮建筑結(jié)構(gòu)、穿透損耗以及布線系統(tǒng)等具體情況進(jìn)行。三個(gè)樓層AP頻率規(guī)劃示意圖2、智能負(fù)載均衡802.11協(xié)議把無線漫游的決策交給了無線客戶端，無線客戶端一般會(huì)根據(jù)AP信號(hào)強(qiáng)度(RSSI)選擇AP，這很容易導(dǎo)致大量的客戶端僅僅因?yàn)槟硞€(gè)AP信號(hào)較強(qiáng)而連接到同一個(gè)AP上。由于這些客戶端共享無線媒介，導(dǎo)致每個(gè)客戶端的網(wǎng)絡(luò)吞吐將大量減少。智能負(fù)載分擔(dān)方法可以實(shí)時(shí)地分析無線客戶端的位置，動(dòng)態(tài)地確定在當(dāng)前時(shí)刻和當(dāng)前位置下哪些AP可以彼此分擔(dān)負(fù)載，通過控制無線客戶端接入的AP，來實(shí)現(xiàn)這些AP間的負(fù)載分擔(dān)。系統(tǒng)不僅支持按照用戶在線會(huì)話數(shù)的負(fù)載分擔(dān)，而且支持按照用戶流量負(fù)載的分擔(dān)。本方案的無線控制器支持實(shí)時(shí)根據(jù)用戶數(shù)或流量，將用戶智能調(diào)整到不同的無線接入點(diǎn)上提供接入服務(wù)，平衡接入負(fù)載壓力，確保每個(gè)用戶都能很好的使用無線網(wǎng)絡(luò)。3、頻譜導(dǎo)航廣大的吞吐性能?；陬l段的負(fù)載均衡，使支持雙頻的用戶終端優(yōu)先接入5GHz頻段，在不增加成本的前提下，能夠增加大約30-40%的帶寬利用率，保證了用戶的無線上網(wǎng)高速體驗(yàn)。5GHz的頻譜資源比2.4GHz更豐富，但現(xiàn)在很多雙頻AP在使用時(shí)常常會(huì)看到2.4GHz滿載，5GHz卻空載的現(xiàn)象。敦崇科技BandSelect技術(shù)可以將客戶端優(yōu)先導(dǎo)向5GHz頻段來優(yōu)化射頻頻譜的利用；更好的利用高容量的5GHz頻段來實(shí)現(xiàn)802.11n的均衡高速接入；為只支持2.4GHz頻段的客戶端保留空間。4、高密環(huán)境的網(wǎng)絡(luò)優(yōu)化本方案對(duì)學(xué)校無線傳輸中拉低網(wǎng)絡(luò)速度的相關(guān)機(jī)制進(jìn)行了相應(yīng)的優(yōu)化，使無線網(wǎng)絡(luò)傳輸速度得道進(jìn)一步的提升。無線安全設(shè)計(jì)1、用戶身份鑒別為了保障網(wǎng)絡(luò)的安全性，首先需要對(duì)于接入的用戶進(jìn)行身份認(rèn)證。接入控制模塊主要是對(duì)用戶的身份進(jìn)行認(rèn)證，和進(jìn)行一定力度的控制。XX無線教育城域網(wǎng)將對(duì)于無線認(rèn)證采用web的認(rèn)證方式進(jìn)行認(rèn)證，一個(gè)方面是減少客戶端部署的復(fù)雜性，第二個(gè)方面是降低用戶的使用難度。對(duì)于web方面，通過心跳機(jī)制確保對(duì)用戶在線情況的探測(cè)，防止用戶異常下線而造成的掛死情況發(fā)生，同時(shí)保障計(jì)費(fèi)的準(zhǔn)確性。而對(duì)于校內(nèi)大量存在的PDA、Iphone等wifi終端設(shè)備，由于操作系統(tǒng)的差異化，web認(rèn)證將不再具有廣泛的兼容性。針對(duì)這種應(yīng)用，可以采用基于MAC地址的用戶身份認(rèn)證，從而實(shí)現(xiàn)全網(wǎng)統(tǒng)一的用戶身份鑒別系統(tǒng)。2、基于用戶的訪問控制策略無線防火墻是我們無線控制器的獨(dú)特功能，它是根據(jù)無線用戶的接入特性而設(shè)計(jì)的。無線防火墻與用戶認(rèn)證捆綁在一起，當(dāng)無線用戶成功通過認(rèn)證后，他將會(huì)獲得一個(gè)用戶屬性，不同的無線用戶有不同的策略，例如老師和工作人員可以使用更多的服務(wù)，而學(xué)生只可以瀏覽網(wǎng)頁、收發(fā)Email等，這樣可以極大方便了校園網(wǎng)用戶的安全管理。除了支持豐富的防火墻策略，無線控制器還提供基于用戶身份的服務(wù)，以使用戶在漫游時(shí)具有諸如虛擬專用組成員資格、訪問控制列表(ACL)、認(rèn)證、漫游策略和歷史、位置跟蹤、帶寬使用以及其他授權(quán)等內(nèi)容。還可告知管理人員哪些用戶已連接、他們位于何處、他們?cè)?jīng)位于何處、他們正在使用哪些服務(wù)以及他們?cè)?jīng)使用過哪些服務(wù)。3、無線入侵檢測(cè)系統(tǒng)無線網(wǎng)絡(luò)由于使用空中的無線電射頻信道工作，因此基于無線網(wǎng)絡(luò)的入侵防護(hù)顯得尤為重要。這其中包括非法無線設(shè)備的防范與非法用戶攻擊的防范。非法設(shè)備可能侵占合法AP的正常信道工作，這樣不但會(huì)對(duì)合法的無線接入點(diǎn)產(chǎn)生干擾，由于非法設(shè)備往往不具備安全功能，還會(huì)將非法用戶間接帶進(jìn)有線網(wǎng)絡(luò)中。智能無線解決方案可以控制每臺(tái)AP動(dòng)態(tài)掃描其所處的環(huán)境，并將掃描到的設(shè)備信息送交無線控制器及網(wǎng)管平臺(tái)，這樣網(wǎng)絡(luò)管理人員即可實(shí)時(shí)發(fā)現(xiàn)是否有非法無線接入點(diǎn)存在，隨后可以開啟自動(dòng)保護(hù)機(jī)制，阻止無線用戶通過非法無線接入點(diǎn)進(jìn)入無線網(wǎng)絡(luò)。另一種重要威脅是非法無線用戶對(duì)合法AP的入侵?；ヂ?lián)網(wǎng)上可以輕易地下載到很多無線入侵和攻擊工具，而原先傳統(tǒng)的無線接入點(diǎn)設(shè)備均都沒有偵測(cè)無線入侵的功能，所以當(dāng)受到像無線DOS攻擊時(shí)，就會(huì)誤以為是無線電波的信號(hào)受干擾或AP出現(xiàn)不穩(wěn)定情況。這些攻擊將會(huì)導(dǎo)致用戶的無線連接斷線，但網(wǎng)管人員卻無法在第一時(shí)間得到報(bào)警。利用我們內(nèi)置的WIDS/WIPS技術(shù)，可以實(shí)時(shí)檢測(cè)異常的無線數(shù)據(jù)包，當(dāng)無線系統(tǒng)偵測(cè)出有入侵時(shí)，它會(huì)記錄和顯示入侵的格式，并對(duì)入侵做出自動(dòng)保護(hù)響應(yīng)和報(bào)警，并提醒網(wǎng)管人員注意并提示相應(yīng)的解決措施。4、一體化病毒、攻擊防護(hù)系統(tǒng)我們無線解決方案與全局安全解決方案GSN之間能夠?qū)崿F(xiàn)一體化聯(lián)動(dòng)。當(dāng)無線終端試圖訪問網(wǎng)絡(luò)，在該用戶認(rèn)證之前，需要下載一個(gè)GSN終端程序，可以對(duì)無線終端的操作系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況，做一個(gè)檢查，如果不能通過檢查，可以設(shè)定策略禁止其訪問網(wǎng)絡(luò)，也可設(shè)置成將無線用戶重定向到一臺(tái)升級(jí)服務(wù)器，打系統(tǒng)補(bǔ)丁、安裝防病毒軟件和升級(jí)病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無線終端才可以進(jìn)入認(rèn)證環(huán)節(jié)進(jìn)行用戶的認(rèn)證。通過了準(zhǔn)入檢查后，但是如何對(duì)無線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控是更加進(jìn)一步的病毒防護(hù)手段。通過和第三方的防病毒廠家合作，我們的智能無線交換機(jī)產(chǎn)品MX系列產(chǎn)品可以允許設(shè)定策略，對(duì)于某些用戶以及某些可能沾染病毒的數(shù)據(jù)，將其重定向到防病毒設(shè)備上進(jìn)行防病毒檢查，檢查完成后，才允許通過，否則會(huì)將數(shù)據(jù)丟棄。無線接入認(rèn)證設(shè)計(jì)1、終端智能識(shí)別的WEB認(rèn)證無線網(wǎng)絡(luò)在提供便捷網(wǎng)絡(luò)服務(wù)的同時(shí)，仍需確保只有合法的用戶才能使用無線網(wǎng)絡(luò)。WEB認(rèn)證就是一種對(duì)用戶訪問網(wǎng)絡(luò)的權(quán)限進(jìn)行控制的身份認(rèn)證方法，這種認(rèn)證方法不需要用戶安裝專用的客戶端認(rèn)證軟件，使用普通的瀏覽器軟件就可以進(jìn)行身份認(rèn)證，是目前無線主流的認(rèn)證方式之一。而且隨著近年來iPhone、iPad、Android、WindowsPhone等各種智能能移動(dòng)終端的日益普及，網(wǎng)絡(luò)中不再是清一色的筆記本電腦終端。一個(gè)智能的無線網(wǎng)絡(luò)，必須能夠考慮到不同的終端類型、屏幕尺寸對(duì)Portal認(rèn)證頁面的不同要求，實(shí)時(shí)地對(duì)各種終端類型進(jìn)行識(shí)別，并推送符合終端屏幕尺寸的WEBPortal頁面，使用戶能夠更為便捷的輸入用戶名及密碼，提升無線用戶體驗(yàn)。我們的無線控制器不僅支持終端自動(dòng)識(shí)別功能和WEBPortal頁面推送，而且推送的認(rèn)證頁面還可以根據(jù)用戶自定義放置一些廣告、通知、業(yè)務(wù)鏈接等，提供更多個(gè)性化服務(wù)。若配合SMP認(rèn)證服務(wù)器還可實(shí)現(xiàn)基于終端類型的角色、訪問權(quán)限的劃分等，幫助網(wǎng)絡(luò)運(yùn)維人員實(shí)現(xiàn)更為精細(xì)化的無線用戶管理。2、基于802.1X的無感知認(rèn)證IEEE802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，主要目的是為了解決無線用戶的接入認(rèn)證問題。對(duì)于基于802.11系列標(biāo)準(zhǔn)的無線局域網(wǎng)，通過對(duì)無線用戶的身份驗(yàn)證，無線網(wǎng)絡(luò)可以打開或關(guān)閉無線終端接入的接口，同時(shí)還可以根據(jù)其身份屬性，為其分配動(dòng)態(tài)角色和VLAN，確保用戶終端接入的安全性。在安全性上，WEBPortal認(rèn)證不提供密鑰的生成和交換機(jī)制，因此所有的用戶流量都是以明文方式傳輸?shù)?，容易被截獲和偵聽；802.1X（WPA2-AES）符合802.11i安全標(biāo)準(zhǔn)，在用戶認(rèn)證的基礎(chǔ)上，對(duì)每個(gè)報(bào)文采用不同的密鑰進(jìn)行逐包加密，具有更高的安全性。在便捷性上，WEBPortal認(rèn)證直接通過瀏覽器輸入用戶名及密碼，整個(gè)操作過程較為簡(jiǎn)單快捷；普通的802.1X認(rèn)證一般需要安裝認(rèn)證客戶端或?qū)Σ僮飨到y(tǒng)原生認(rèn)證客戶端進(jìn)行配置等，操作過程較為復(fù)雜，用戶體驗(yàn)相對(duì)較差。為了保證無線用戶接入同時(shí)具有較高安全性和便捷性，我們?cè)贐YOD（Bringyourowndevice）解決方案中提出了基于802.1X的無感知認(rèn)證技術(shù)，用戶只需要在第一次認(rèn)證中安裝一個(gè)快速1X配置助手，并完成首次用戶名及密碼的輸入，以后無線終端只要發(fā)現(xiàn)無線信號(hào)，就會(huì)自動(dòng)進(jìn)行802.1X的接入認(rèn)證并連接無線網(wǎng)絡(luò)，真正實(shí)現(xiàn)“一次登陸，三步操作，后續(xù)無憂”，帶給用戶最佳的使用體驗(yàn)。3、訪客二維碼認(rèn)證舉辦大型的學(xué)術(shù)交流會(huì)議，接待來訪的嘉賓，并需為其提供快捷的無線上網(wǎng)服務(wù)。而傳統(tǒng)的無線網(wǎng)絡(luò)一般會(huì)在會(huì)議室、禮堂、大廳等訪客接待區(qū)域啟用一個(gè)基于PSK認(rèn)證的WLAN，并在可視區(qū)域貼放這個(gè)WLAN對(duì)應(yīng)共享密碼，訪客的體驗(yàn)也是較為麻煩，不友好等，而且這個(gè)密碼極易擴(kuò)散，網(wǎng)絡(luò)安全得不到保證，網(wǎng)絡(luò)運(yùn)維人員需定期的更換這個(gè)WLAN的密碼和對(duì)應(yīng)的標(biāo)貼，極大的增加網(wǎng)絡(luò)運(yùn)維難度。統(tǒng)一集中管理1、集中式統(tǒng)一控制和管理對(duì)于XX教育城域網(wǎng)規(guī)模如此龐大的無線網(wǎng)絡(luò)來說，管理是非常重要的事情。從RF射頻覆蓋狀態(tài)的監(jiān)測(cè)、無線鏈路的帶寬的監(jiān)測(cè)、用戶認(rèn)證的異常報(bào)警、無線接入安全等都需要考慮。無線局域網(wǎng)是一個(gè)整體系統(tǒng)，無線接入點(diǎn)之間必須互協(xié)調(diào)工作，單獨(dú)改變一個(gè)無線接入點(diǎn)的參數(shù)和配置，可能會(huì)會(huì)引起無線接入點(diǎn)之間的無線電波干擾，用戶漫游重認(rèn)證和授權(quán)也可能會(huì)產(chǎn)生問題，因此集中控制和管理顯得非常必要。我們有線無線一體化網(wǎng)管系統(tǒng)為網(wǎng)絡(luò)管理提供了靈活的選擇，具備良好的擴(kuò)展性，能夠滿足客戶網(wǎng)絡(luò)管理不斷發(fā)展的需求。基于Web的管理系統(tǒng)，為網(wǎng)管人員提供了易用性極強(qiáng)的管理平臺(tái)。通過與SNC系統(tǒng)平臺(tái)的配合，還可實(shí)現(xiàn)無線設(shè)備的面板管理、故障管理、性能監(jiān)控、軟件版本管理、配置文件管理、接入用戶管理、用戶認(rèn)證管理等功能，并可對(duì)網(wǎng)絡(luò)中的其它設(shè)備進(jìn)行統(tǒng)一管理，真正實(shí)現(xiàn)有線無線一體化管理。2、有線無線統(tǒng)一平臺(tái)管理統(tǒng)一網(wǎng)管平臺(tái)可對(duì)無線網(wǎng)絡(luò)中的無線控制器和無線接入點(diǎn)等設(shè)備與有線網(wǎng)絡(luò)設(shè)備進(jìn)行一體化集中管理，網(wǎng)管人員對(duì)全網(wǎng)設(shè)備信息和狀態(tài)可隨時(shí)全盤掌握。通過整體拓?fù)浔O(jiān)視、多視圖唯獨(dú)的監(jiān)視和分組管理，可將客戶的大規(guī)模部署無線網(wǎng)絡(luò)設(shè)備進(jìn)行集中化的控管。網(wǎng)管平臺(tái)可自動(dòng)創(chuàng)建系列無線接入點(diǎn)配置文件，統(tǒng)一遠(yuǎn)程配置AP的射頻功率、無線信道分配等參數(shù)，并可實(shí)時(shí)與設(shè)備保持配置信息的同步與更新。通過網(wǎng)管系統(tǒng)中強(qiáng)大的四維監(jiān)視工具，可實(shí)時(shí)統(tǒng)計(jì)和監(jiān)視全網(wǎng)的設(shè)備工作狀態(tài)、資源利用、威脅告警、信道使用情況、實(shí)時(shí)流量等多維度狀態(tài)，全部以統(tǒng)計(jì)圖形直觀顯示給網(wǎng)管人員，特別便利于網(wǎng)管人員的日常管理工作。平安校園視頻監(jiān)控系統(tǒng)系統(tǒng)概述經(jīng)過近年來的努力，中小學(xué)、幼兒園視頻監(jiān)控建設(shè)取得了顯著的成績，如基本的視頻、錄像、報(bào)警等，滿足了監(jiān)控的基本需求，但同時(shí)我們也應(yīng)該清晰地認(rèn)識(shí)到前期建設(shè)還存在著一些不足，制約了建設(shè)系統(tǒng)新建擴(kuò)建、視頻資源的共享和應(yīng)用業(yè)務(wù)的整合，制約了整體普教防控體系技術(shù)水平的提高。中小學(xué)、幼兒園校園、幼兒園安防工作一般通過技防+人防的手段來實(shí)施。其中技防為安防工作提供第一手資料及能為事后取證提供資料，所以技防是整個(gè)安防系統(tǒng)中極為重要的一部分；視頻監(jiān)控是安防中技防的重要的手段，所以為了加強(qiáng)中小學(xué)、幼兒園學(xué)校、幼兒園的安防工作，必須加快視頻監(jiān)控系統(tǒng)系統(tǒng)的建設(shè)。中小學(xué)、幼兒園、幼兒園綜合安防工程建設(shè)應(yīng)滿足如下要求：1、基本要求：公共區(qū)域無死角：學(xué)校人員密集，要求校區(qū)重點(diǎn)區(qū)域無死角。因此需要在學(xué)校內(nèi)每棟宿舍和教學(xué)樓的走廊、通道等處都裝有攝像探頭。監(jiān)視范圍不包括宿舍內(nèi)部，避免侵犯學(xué)生的隱私。系統(tǒng)高靠性：校級(jí)視頻監(jiān)控應(yīng)可獨(dú)立完成視頻監(jiān)控及預(yù)警功能，不依賴整個(gè)聯(lián)網(wǎng)的網(wǎng)絡(luò)系統(tǒng)，即當(dāng)網(wǎng)絡(luò)出現(xiàn)故障或遭人為破壞時(shí)，學(xué)校應(yīng)能滿足以上基本監(jiān)控存儲(chǔ)及聯(lián)動(dòng)等基本要求。統(tǒng)一管理、分級(jí)授權(quán)：集成后的視頻監(jiān)控系統(tǒng)中心平臺(tái)能實(shí)現(xiàn)對(duì)系統(tǒng)資源的集中統(tǒng)一管理，分級(jí)授權(quán)使用。各級(jí)視頻監(jiān)控使用單位原則上只具有對(duì)轄區(qū)內(nèi)的監(jiān)控點(diǎn)具有操作權(quán)限。監(jiān)控中心出現(xiàn)任何故障時(shí)，不應(yīng)影響學(xué)校的正常使用。2、聯(lián)動(dòng)要求：對(duì)危險(xiǎn)提前預(yù)警：建設(shè)的系統(tǒng)不僅要滿足視頻錄像事后取證的功能，最為重要的是應(yīng)有一定的預(yù)警功能，根據(jù)預(yù)警信息采用適當(dāng)措施把事態(tài)控制在萌芽狀態(tài)，而不能影響到學(xué)生的安全。為應(yīng)急指揮服務(wù)：視頻監(jiān)控系統(tǒng)應(yīng)聯(lián)動(dòng)安全報(bào)警系統(tǒng)，出現(xiàn)事件能夠快速及時(shí)的通知學(xué)校及教育、公安等上級(jí)監(jiān)管部門，以滿足應(yīng)急指揮需要。3、擴(kuò)展性要求：對(duì)已有設(shè)備利舊：對(duì)現(xiàn)有的各地視頻監(jiān)控系統(tǒng)進(jìn)行有效集成，集成時(shí)充分考慮即有系統(tǒng)的現(xiàn)狀，最大限度地利用原系統(tǒng)資源，避免重復(fù)投資，從而減少項(xiàng)目集成成本的投入?？山尤肫渌到y(tǒng)：需要考慮接入其它安防系統(tǒng)，從而實(shí)現(xiàn)聯(lián)動(dòng)及統(tǒng)一管理。系統(tǒng)總體設(shè)計(jì)設(shè)計(jì)目標(biāo)本方案主要實(shí)現(xiàn)以下目標(biāo)：建成標(biāo)準(zhǔn)的“地市-區(qū)縣-學(xué)校”三級(jí)聯(lián)網(wǎng)模型：中小學(xué)、幼兒園、幼兒園安防聯(lián)網(wǎng)監(jiān)管系統(tǒng)經(jīng)過這些年的發(fā)展，已經(jīng)漸漸形成了一套完整、成熟、科學(xué)、標(biāo)準(zhǔn)的模型，主要為“地市-區(qū)縣-學(xué)?！比?jí)聯(lián)網(wǎng)模型，其中學(xué)校一級(jí)負(fù)責(zé)視頻監(jiān)控的前端采集和分布存儲(chǔ)，區(qū)縣一級(jí)負(fù)責(zé)區(qū)縣下屬學(xué)校的匯聚和統(tǒng)一管理，地市一級(jí)負(fù)責(zé)各區(qū)縣平臺(tái)的匯聚一級(jí)市級(jí)直屬學(xué)校的直接監(jiān)管，該模型定位清晰，職責(zé)明確，布局合理，也是目前主流的三級(jí)聯(lián)網(wǎng)模型。整體系統(tǒng)高清化與網(wǎng)絡(luò)化：本方案以建設(shè)全高清監(jiān)控系統(tǒng)為目標(biāo)，為用戶提供更清晰的圖像和細(xì)節(jié)，讓視頻監(jiān)控變得更有使用價(jià)值；同時(shí)以建設(shè)全I(xiàn)P監(jiān)控系統(tǒng)為目標(biāo)，讓用戶可通過網(wǎng)絡(luò)中的任何一臺(tái)電腦來觀看、錄制和管理實(shí)時(shí)的視頻信息，且系統(tǒng)組網(wǎng)便利，結(jié)構(gòu)簡(jiǎn)單，新增監(jiān)控點(diǎn)或客戶端都非常方便。系統(tǒng)具備以下特征：系統(tǒng)具備高可靠性、高開放性的特征：通過采用業(yè)內(nèi)成熟、主流的設(shè)備來提高系統(tǒng)可靠性，尤其是錄像存儲(chǔ)的穩(wěn)定性，另外系統(tǒng)可接入其他廠家的攝像機(jī)、編碼器、控制器等設(shè)備，能與其他廠家的平臺(tái)無縫對(duì)接；具備高智能化、低碼流的特征：運(yùn)用智能分析、帶有智能功能的攝像機(jī)等提高系統(tǒng)智能化水平，同時(shí)通過先進(jìn)的編碼技術(shù)降低視頻碼流，減少存儲(chǔ)成本和網(wǎng)絡(luò)成本，減弱對(duì)網(wǎng)絡(luò)的依賴性，提高視頻預(yù)覽的流暢度；具備快速部署、及時(shí)維護(hù)的特征：通過采用高集成化、模塊化設(shè)計(jì)的設(shè)備提高系統(tǒng)部署效率，減少系統(tǒng)調(diào)試周期，系統(tǒng)能及時(shí)發(fā)現(xiàn)前端監(jiān)控系統(tǒng)的故障并及時(shí)告警，快速相應(yīng)；具備高度整合、充分利舊的特征：新建系統(tǒng)能與原有系統(tǒng)高度整合、無縫對(duì)接，能充分利用原有監(jiān)控資源，避免前期投資的浪費(fèi)。設(shè)計(jì)思路本方案的總體設(shè)計(jì)思路如下：1、學(xué)校級(jí)學(xué)校級(jí)主要部署高清采集前端、分布式后端存儲(chǔ)等設(shè)備，實(shí)現(xiàn)視頻監(jiān)控資源的采集和存儲(chǔ)。前端高清采集設(shè)備部署在學(xué)校的周界、大門口、主干道、大型活動(dòng)場(chǎng)地以及學(xué)校重點(diǎn)部位，后端存儲(chǔ)設(shè)備部署與學(xué)校監(jiān)控機(jī)房中，實(shí)現(xiàn)監(jiān)控資源的分布式存儲(chǔ)。2、區(qū)縣級(jí)區(qū)縣級(jí)主要部署聯(lián)網(wǎng)監(jiān)管平臺(tái)以及監(jiān)控中心設(shè)備等內(nèi)容，部分重要監(jiān)控資源如學(xué)校出入口等監(jiān)控需要進(jìn)行二次存儲(chǔ)，即區(qū)縣級(jí)平臺(tái)需要對(duì)各學(xué)校出入口視頻資源進(jìn)行集中存儲(chǔ)。區(qū)縣級(jí)平臺(tái)作為連接學(xué)校級(jí)與地市級(jí)的核心系統(tǒng)，除了接入各學(xué)校監(jiān)控資源外還需要能夠與地市級(jí)平臺(tái)進(jìn)行資源的級(jí)聯(lián)，實(shí)現(xiàn)區(qū)縣與地市資源的共享。總體結(jié)構(gòu)設(shè)計(jì)中小學(xué)、幼兒園、幼兒園安防聯(lián)網(wǎng)監(jiān)管系統(tǒng)涉及學(xué)校、區(qū)縣和地市等多級(jí)部門，其架構(gòu)也比較復(fù)雜，具體可以分為三級(jí)聯(lián)網(wǎng)架構(gòu)和學(xué)校內(nèi)部架構(gòu)。邏輯架構(gòu)圖SEQ圖\*ARABIC2普教聯(lián)網(wǎng)監(jiān)管系統(tǒng)邏輯結(jié)構(gòu)圖上圖所示為