區(qū)教育信息化建設方案-云平臺

**區(qū)教育信息化建設方案**區(qū)教育信息化管理中心2016年12月前言截止2016年，全市義務教育階段學校共建數(shù)字化教室877間,“班班通”多媒體設備建設的學校完成率達到93%、教室完成率達到100%，在努力實踐“辦好每一所學校，培養(yǎng)好每一名教師，發(fā)展好每一名學生”的共同愿景中，促進公平、提高質(zhì)量一直是**教育的戰(zhàn)略重點和永恒主題。我們致力于推行區(qū)域性課程改革，著力打造“高品位現(xiàn)代城市教育”。2014年全區(qū)課程改革立足實際，聚焦課堂，關注學生，全面鋪開。經(jīng)省教育廳評審，我區(qū)《高品位現(xiàn)代城市教育的理論與實踐研究》被確定為“湖北省十三五教育科學規(guī)劃立項重點課題”，全區(qū)小學三年級起所有基礎教育階段學校，全面啟動這輪課堂教學改革。我們追求“高品位現(xiàn)代城市教育”最基礎的訴求是實現(xiàn)教育的現(xiàn)代化。一方面是為了創(chuàng)新學習方式、學習途徑、學習資源，向?qū)W校教育提供這樣一種環(huán)境、條件和保障，另一方面更是為了尋求**區(qū)域性發(fā)現(xiàn)式學習、問題解決學習，從而實現(xiàn)終身學習的教育個性。我們將建設教育信息化定位于支撐“高品位現(xiàn)代城市教育”的實現(xiàn)。即在統(tǒng)一目標和主題引領下，讓各級各類教育和學校在改革實踐之中呈現(xiàn)多樣化的教育個性和風格，最終凝聚為區(qū)域特色。由此，我們認為教育信息化是信息技術與教育教學的深度融合，最關鍵在“融合”上。在發(fā)展方向上，從“建設主導”轉變?yōu)椤皯弥鲗А?。其核心理念就是把信息技術與教育教學實踐緊密融合，這才是教育信息化本質(zhì)。在推進**教育信息化的工作中，應用是教育信息化的切入點，更是著力點，要用應用評價來推動應用導向。應用強調(diào)落地，在應用的方向上，我們定位于提高學生學習興趣和自主性、減輕教師和學生的勞動及學習負擔。在應用的內(nèi)容上，我們定位于解決學校日常學習、業(yè)務與信息技術的對接，讓教育管理與教育實踐享受信息技術的便利。目錄一、建設背景（一）政策支持（二）現(xiàn)狀（三）需求二、建設思路、目標及意義（一）建設思路（二）建設目標及意義三、整體建設規(guī)劃（一）總體建設內(nèi)容（二）總體規(guī)劃設計原則四、整體建設方案1、硬件基礎設施建設2、區(qū)教育云平臺建設五、保障措施一、建設背景（一）政策支持2015年11月20日劉延東副總理在第二次全國教育信息化工作會議上,再次要求大力推進信息技術與教育教學的融合發(fā)展，推進教育公平，提高教育質(zhì)量，為培養(yǎng)現(xiàn)代化的高素質(zhì)人才提供支撐。進一步為我們指明了“三通兩平臺”建設的意義及緊迫性。即以“三通兩平臺”建設為抓手，至2020年基本建成“人人皆學、處處能學、時時可學”的與國家教育現(xiàn)代化發(fā)展目標相適應的教育信息化體系。由此，省政府下發(fā)《湖北省教育信息化（2014-2020）發(fā)展規(guī)劃》明確要求在“十三五”時期建成以“三通兩平臺”為基礎的教育信息化環(huán)境，即實現(xiàn)“寬帶網(wǎng)絡校校通”、“優(yōu)質(zhì)資源班班通”、“學習空間人人通”及“教育資源和教育管理兩平臺”的教育信息化環(huán)境。（二）現(xiàn)狀目前，對照教育部發(fā)布的《教育信息化“十三五”規(guī)劃》我區(qū)在“三通兩平臺”的建設上嚴重滯后。在“寬帶網(wǎng)絡校校通”建設上，全區(qū)48所學校共享100M帶寬出口，《規(guī)劃》明確要求城鎮(zhèn)學校班均帶寬不低于10M，應實現(xiàn)無線網(wǎng)絡全覆蓋；在“優(yōu)質(zhì)資源班班通”建設上，2011年至今，全區(qū)僅建設了777套“班班通”終端設備，缺口100套?！兑?guī)劃》要求的班際資源共享、網(wǎng)絡備課及網(wǎng)絡教學環(huán)境等建設尚未啟動；在“網(wǎng)絡學習空間人人通”建設上，尚未啟動；在“教育資源和教育管理兩平臺”建設上，尚未啟動。（三）需求教育部《教育信息化“十三五”規(guī)劃》指出，未來5年要做這樣的8件事：1、完成“三通工程”建設，使我們具備教育信息化基礎支撐能力；2、啟動并實現(xiàn)公共服務平臺的協(xié)同發(fā)展，使得利用云計算、大數(shù)據(jù)等新技術大幅提升教育教學與管理能力成為可能；3、不斷擴大優(yōu)質(zhì)教育資源覆蓋面，在優(yōu)先促進教育公平的前提下不斷提高教育質(zhì)量；4、探索數(shù)字資源教育資源服務供給模式，提升資源服務水平；5、創(chuàng)新“網(wǎng)絡學習空間人人通”建設與應用模式，從服務課堂拓展為網(wǎng)絡化的泛在學習；6、深化信息技術與教育教學融合，從服務教育教學拓展為服務于育人的全過程；7、深入推進管理信息化從服務教育管理拓展為全面提升教育治理能力；8、緊密結合國家戰(zhàn)略需求，從服務自身拓展為服務國家經(jīng)濟和社會發(fā)展。按照《規(guī)劃》要求，**區(qū)要全面推動“三通兩平臺”建設，展開教育信息化建設，利用教育信息化推動**區(qū)課堂改革的發(fā)展，是實現(xiàn)**“均衡、優(yōu)質(zhì)”的“高品位現(xiàn)代城市教育”主題發(fā)展目標的迫切需求。二、建設思路、目標及意義（一）建設思路硬件是基礎——硬件建設滿足基本需要；軟件是核心——軟件建設體現(xiàn)個性化發(fā)展；實踐是抓手——強化應用實踐建設強調(diào)自力更生。以促進優(yōu)質(zhì)教育資源普及共享，推進信息技術與教育教學深度融合為出發(fā)點，以推進學校信息化基礎設施環(huán)境建設和教學應用為抓手，堅持應用驅(qū)動和機制創(chuàng)新，堅持育人為本，質(zhì)量為先，以教育信息化帶動**區(qū)教育現(xiàn)代化。（二）建設目標及意義通過教育信息化，實現(xiàn)教學、管理、服務的數(shù)字化，深化教育改革，提高辦學質(zhì)量、辦學效益和科研水平。教育信息化帶來的變化：1、基礎設施與教育服務、管理平臺建設達到湖北省中小學校信息化建設標準，為提升教學與管理水平，創(chuàng)新教學模式打好堅實的基礎。2、讓教師有更多時間研究教學。通過信息化使教師在備課、授課、考試、閱卷等方面大幅度提高效率，減少了簡單重復性工作，讓教師把重心放在研究教學、提升教學能力上。3、讓教學不再受時空限制。通過教學平臺，學生可以自主學習課程、做練習，教師可以隨時隨地進行備課、批改作業(yè)等工作，使得教學工作不再局限于課堂、學校。4、平衡教學資源。通過班班通、直播錄播系統(tǒng)以及教學平臺，全區(qū)可以共享優(yōu)質(zhì)教育資源，彌補因教學資源差距帶來的學校間教育“鴻溝”。5、教育科學化。信息化使得學生的學習行為與結果可記錄，通過研究學習行為與學習結果的分析，可以有針對性的進行教學，提升教學效率。三、整體建設規(guī)劃（一）總體建設內(nèi)容1、信息化基礎設施環(huán)境建設改善中小學信息化基礎條件，加快全區(qū)教育寬帶網(wǎng)絡建設，實現(xiàn)全區(qū)所有學校、教育單位接入互聯(lián)網(wǎng)，無線網(wǎng)絡全覆蓋，完善“班班通”基礎設施建設，構建網(wǎng)絡化校園安全監(jiān)控系統(tǒng)。建成集數(shù)據(jù)中心、指揮管理中心、互聯(lián)互通的校園網(wǎng)絡、若干數(shù)字校園配套功能室四位一體的**教育信息化基礎設施環(huán)境。2、推動優(yōu)質(zhì)教育資源普及共享和應用加強教育資源公共服務平臺建設，完善教育資源服務系統(tǒng)，實現(xiàn)與上級教育資源服務平臺的無縫對接。建設具有我區(qū)特色的教育資源服務，創(chuàng)新資源服務模式，探索數(shù)字化教育資源需求和應用激勵機制，形成數(shù)字化教育資源共建共享可持續(xù)發(fā)展的良好局面。利用錄播教室、微課室，有效進行校本資源的制作、管理和使用，學生可以實現(xiàn)移動化、個性化、自主化學習。3、提升教育管理信息化整體水平按照統(tǒng)一數(shù)據(jù)標準，建立全區(qū)教育綜合信息管理平臺，形成全區(qū)統(tǒng)一的教育信息管理系統(tǒng)。建立統(tǒng)一的教育辦公信息化服務平臺，實現(xiàn)辦公系統(tǒng)交流網(wǎng)絡化、數(shù)字化。滿足教育系統(tǒng)上下、平行之間雙向互動。（二）總體規(guī)劃設計原則根據(jù)**區(qū)的教育現(xiàn)狀及實際需求，通過分析，**區(qū)教育信息化系統(tǒng)總體設計原則是：遵循標準、立足需求、以建設信息化的教育產(chǎn)業(yè)為目的、總體規(guī)劃、分布實施。具體來說按照以下幾點類來設計：1、標準性原則系統(tǒng)設計應符合我國教育相關行業(yè)標準，隨著技術不斷進步，系統(tǒng)要保證符合相應的國際國內(nèi)標準和對相關技術的兼容應用。2、安全性原則系統(tǒng)應建成專業(yè)級系統(tǒng)，在系統(tǒng)設計中考慮完善的應急方案，并對各種應急預案有切實可行的操作模式。3、先進性原則采用符合國際國內(nèi)標準的、成熟的技術，兼顧信息化技術、物聯(lián)網(wǎng)技術、數(shù)字化技術、網(wǎng)絡技術、存儲技術、數(shù)據(jù)庫技術、檢索技術的發(fā)展方向，保證系統(tǒng)能夠在業(yè)界具有領先地位，不會落后主流技術；所選設備在其領域內(nèi)須具備先進性。4、可用性原則規(guī)劃設計是基于**區(qū)教育現(xiàn)狀調(diào)研的實際情況而設計，是面向整個**教育的，應保障后期項目建設滿足**教育的可用性要求。5、可擴展原則規(guī)劃設計應具有極強的可擴展性，在保證初期運行的前提下，預留充分的擴展空間，保證后續(xù)可持續(xù)性發(fā)展。6、可升級原則能夠?qū)崿F(xiàn)可預見的平滑升級，確保在不作大的變更前提下，平滑升級到更高層次。7、開放性原則采用開放式設計，保證各大廠商設備、系統(tǒng)的良好集成性能，確保系統(tǒng)接口的寬泛及融合性。8、可管理性原則具備健全的管理功能，無論是網(wǎng)絡、設備、硬軟件系統(tǒng)都能全面的實時監(jiān)測和控制。9、靈活性和兼容性原則具有很好的向上和向下兼容性，移植性強。整個教育信息化系統(tǒng)建設分為：硬件基礎設施建設和教育平臺建設。四、整體建設方案1、硬件基礎設施建設硬件基礎設施建設包括以下幾部分：1）教育城域網(wǎng)絡建設2）校園安全監(jiān)控3）錄播教室并校園電視臺4）微課室5）班班通6）辦公云桌面1.1教育城域網(wǎng)絡建設教育城域網(wǎng)建設，主要就是建立一個萬兆匯聚、千兆互聯(lián)的**教育城域網(wǎng)絡，以滿足全區(qū)48所學校4萬多名師生信息互聯(lián)互通的需要。**教育城域網(wǎng)總體拓撲圖整個城域網(wǎng)設計采取區(qū)塊化設計思想，以硬件劃分成為數(shù)據(jù)中心區(qū)、核心交換區(qū)、各級應用區(qū)。每個區(qū)域自成一體，不同的區(qū)塊有不同的應用，網(wǎng)絡按功能進行區(qū)塊劃分，不同區(qū)塊負責各自的獨立應用，互不干擾。按區(qū)塊進行安全規(guī)則設計，路由策略設計，實現(xiàn)數(shù)據(jù)交換和安全防護。整個組成一個高速的數(shù)據(jù)交換中心，各個區(qū)塊之間實現(xiàn)高效的數(shù)據(jù)傳輸。通過區(qū)塊化的設計，保證教育城域網(wǎng)運行的高性能，高可靠度，同時便于規(guī)劃和管理。城域網(wǎng)鏈路設計依托運營商專線承載建設**教育城域網(wǎng)。城域網(wǎng)包含**區(qū)48所學校和教育局。項目涉及到的信息化應用數(shù)據(jù)承載于運營商城域網(wǎng)專線。各學校、教育單位均租用運營商光纖接入城域網(wǎng)，各學校原則上不再保留互聯(lián)網(wǎng)出口鏈路，統(tǒng)一由教育城域網(wǎng)接入互聯(lián)網(wǎng)。此種組網(wǎng)方式特點：城域IP光纖網(wǎng)是一種高性能、低成本、極具發(fā)展前景的組網(wǎng)方式；學校和學校之間的訪問速度、學校到中心機房的速度都可以比較容易達到百兆、甚至千兆，網(wǎng)內(nèi)教育資源的共享將變得及其簡單、高效；統(tǒng)一出口的設計，可以方便對整網(wǎng)的數(shù)據(jù)情況進行有效管理，對網(wǎng)內(nèi)所有學校的網(wǎng)絡行為有整體的審計和把控；資源調(diào)配、出口流量的管理和控制可以更加精細化。接入方式教育城域網(wǎng)中心機房部署萬兆設備；運營商采用以太網(wǎng)專線方式將寬帶線路部署到每校，連接學校局域網(wǎng)；學校通過千兆光纖線路匯聚到數(shù)據(jù)中心機房（運營商提供獨享專用機房）；數(shù)據(jù)中心機房通過運營商internet鏈路接入互聯(lián)網(wǎng)，條件允許的情況下使用多個運營鏈路，提高可靠性。帶寬分配各學校、教育單位與中心機房萬兆匯聚，千兆互聯(lián)。整個城域網(wǎng)互聯(lián)網(wǎng)出口專線帶寬初期為1G，后期根據(jù)應用量升級到4G。1.1.1核心交換區(qū)核心認證交換中心核心交換區(qū)是整個城域網(wǎng)絡的核心，城域網(wǎng)中的所有軟硬件數(shù)據(jù)都將在這里集中交換。一個完善的城域網(wǎng)核心認證交換設備應發(fā)揮的作用包括：支持實名制快速高效集中認證，為所有用戶提供簡化高效的認證方式；保障整個城域網(wǎng)的互聯(lián)網(wǎng)出口安全，支持對病毒、漏洞、木馬等安全危險的控制；對上網(wǎng)行為、流量帶寬進行控制管理，并提供審計數(shù)據(jù)支持檢索；對中心機房和城域網(wǎng)所有網(wǎng)絡設備登陸、調(diào)試、配置信息進行審計記錄集中監(jiān)控管理、自動定時巡檢，通過顯示屏能夠直觀顯示城域網(wǎng)運行狀態(tài)；互聯(lián)網(wǎng)常用資源（音視頻資源等）能夠提前緩存到本地，提供本地化訪問，提高訪問體驗。網(wǎng)絡核心設計在網(wǎng)絡的可靠性和穩(wěn)定性保障方面，網(wǎng)絡核心設計采用2臺萬兆核心交換機互為容錯備份，并在核心交換機中采用關鍵模塊冗余設計（如引擎、網(wǎng)板、電源冗余等），啟用虛擬化技術將多臺物理設備虛擬化為一臺邏輯設備，統(tǒng)一運行管理，大幅減少網(wǎng)絡節(jié)點，降低網(wǎng)絡運維管理人員工作量、增加網(wǎng)絡可靠性，實現(xiàn)50~200ms鏈路故障快速切換，保障關鍵應用不中斷傳輸。支持跨設備鏈路聚合，方便接入服務器/交換機實現(xiàn)雙活鏈路上聯(lián)，提高網(wǎng)絡有效連接帶寬。雙核心網(wǎng)絡設計架構，為城域網(wǎng)絡提供了高穩(wěn)定性和可靠性的數(shù)據(jù)傳輸平臺，同時，提供了一種能夠“自愈”網(wǎng)絡鏈路或設備的單點故障的網(wǎng)絡架構，保證了城域網(wǎng)絡能夠提供7*24小時高速穩(wěn)定的數(shù)據(jù)傳輸。為教育系統(tǒng)提供健壯的數(shù)據(jù)傳輸神經(jīng)中樞。雙核心虛擬交換技術，將兩臺物理核心交換機虛擬為一臺邏輯上統(tǒng)一的設備，使其能夠?qū)崿F(xiàn)統(tǒng)一的運行，從而達到減小網(wǎng)絡規(guī)模，同時極大提高網(wǎng)絡穩(wěn)定健壯性，控制故障恢復時間。虛擬交換示意圖使用虛擬化后，兩臺核心設備邏輯上變成一臺。從而簡化了網(wǎng)絡拓撲。網(wǎng)絡中不再需要生成樹、VRRP等復雜的協(xié)議，大大降低配置維護工作量。此時匯聚到核心雙鏈路上聯(lián)，等同于雙鏈路連接到一臺核心上，實現(xiàn)跨設備鏈路聚合。即使一臺核心或上聯(lián)鏈路中斷，也可實現(xiàn)快速切換。切換時間控制在50ms以內(nèi)，相當于普通數(shù)據(jù)包轉發(fā)的時延，不會對應用流暢運行產(chǎn)生任何影響。核心交換機組網(wǎng)方式核心交換機之間互聯(lián)：采用萬兆接口，通過專用的萬兆虛擬化線纜互聯(lián)，搭建虛擬化核心層。核心交換機與各學?；ヂ?lián)：采用運營商專線。48所學校通過運營商專線，直接連接至核心交換機千兆接口板上。核心交換機與出口互聯(lián)：通過萬電纜互聯(lián)，搭建冗余架構。核心交換機與數(shù)據(jù)中心互聯(lián)：通過萬兆電纜互聯(lián)，搭建冗余架構。認證中心設計本次城域網(wǎng)需要實現(xiàn)實名制身份認證，根據(jù)通用的實名制認證架構，需包含兩大部分：身份認證系統(tǒng)和認證網(wǎng)關設備。身份認證系統(tǒng)用于存儲認證賬戶和認證策略等，認證網(wǎng)關用于將認證報文發(fā)送給身份認證系統(tǒng)，完成認證流程。認證網(wǎng)關有兩種部署模式：分布式認證和集中式認證。分布式認證：每臺接入交換機需支持802.1X和web認證功能。集中式認證：1臺集中式認證網(wǎng)關設備支持802.1X和web認證功能。 根據(jù)實際情況分析，采用集中式認證方式。1、使用城域網(wǎng)核心交換機作為集中認證網(wǎng)關部署，每個學?？梢允褂镁W(wǎng)關或交換機直接互聯(lián)教育城域網(wǎng)數(shù)據(jù)中心機房。2、集中認證網(wǎng)關實現(xiàn)雙機集群，具備高性能、高可靠性,組網(wǎng)靈活，支持三層認證模式，城域網(wǎng)改造整網(wǎng)結構不需要變化。集中認證方案采用集中認證的方案后，可以將原來分布在接入網(wǎng)的各項功能和策略上收至核心交換機，上收之后各項功能、策略的執(zhí)行點全部在教育城域網(wǎng)中心機房的集中認證網(wǎng)關上，各個學校的接入、匯聚交換機只負責進行各種數(shù)據(jù)的轉發(fā)，無需支持認證功能。集中認證方式極大的增強了城域網(wǎng)核心交換機的資源利用率，弱化了整個網(wǎng)絡服務對接入、匯聚設備的依賴。集中認證網(wǎng)關(核心交換機)的性能要求所有功能、策略都部署在數(shù)據(jù)中心機房的核心層上，對整個城域網(wǎng)的核心交換機提出了巨大的挑戰(zhàn)。核心層要承擔各業(yè)務應用服務器的數(shù)據(jù)交換功能，要具備分布式業(yè)務處理體系結構，實現(xiàn)業(yè)務的全分布式處理，并能提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服務，以及電信級、自適應的可靠性設計。它作為網(wǎng)絡的骨干連接和路由交換平臺，實現(xiàn)所有匯集接入，不同子網(wǎng)之間的路由。它是全網(wǎng)業(yè)務匯接、轉接和業(yè)務疏通的核心。因此核心層要選用新一代多級交換架構核心交換機搭建核心網(wǎng)絡。核心交換機采用目前業(yè)界領先的多級矩陣交換架構，可配置高性能冗余引擎、冗余電源及冗余交換網(wǎng)板最大程度上滿足設備級可靠性的要求。同時配置豐富的千兆、萬兆接口，滿足當前及未來網(wǎng)絡發(fā)展的需求。1.1.2數(shù)據(jù)中心區(qū)城域網(wǎng)基本骨架搭建后，為教學服務，離不開豐富的資源及應用支持，城域網(wǎng)需要有存儲資源及應用的高性能數(shù)據(jù)交換中心，這個中心需要能夠隨時為各個學校提供服務，因此需要建設一個健壯的網(wǎng)絡平臺，將各種網(wǎng)絡資源通過這個平臺傳送到骨干網(wǎng)，傳送到各個學校。數(shù)據(jù)交換中心網(wǎng)絡平臺定義為將城域網(wǎng)網(wǎng)絡中心的各種資源服務器高速、穩(wěn)定的互聯(lián)在一起的網(wǎng)絡系統(tǒng)，再通過安全的方式接入骨干網(wǎng)。由于城域網(wǎng)上每天都有大量的用戶需要訪問數(shù)據(jù)交換中心服務器上的資源，因此中心交換機上的性能、穩(wěn)定可靠性、安全控制能力成為選擇該設備的關鍵因素，具體的來說，需要具有以下特點：支持三層路由功能，支持強大的ACL處理性能，可以將服務器區(qū)的各種內(nèi)網(wǎng)安全防護策略下發(fā)在匯聚設備上做線速轉發(fā)，而不必耗費核心交換機的資源。強大的轉發(fā)性能，必須支持大量千兆端口的線速轉發(fā)，要支持萬兆，讓服務器群能夠和城域網(wǎng)核心高速互聯(lián)。具有很強的安全防護能力，比如對于常見病毒需要能進行控制，對于DoS攻擊需要能夠進行防范，對于網(wǎng)絡掃描需要能夠進行發(fā)現(xiàn)并屏蔽，對于不同管理人員能夠訪問管理的服務器需要能夠進行控制，當部署這些安全措施的時候，需要保證網(wǎng)絡的高性能。建成后的**區(qū)教育城域網(wǎng)數(shù)據(jù)交換中心將成為整個城域網(wǎng)的應用系統(tǒng)的數(shù)據(jù)中心。首先是教育管理服務平臺搭建，其次是教育教學資源收集存儲，搭建統(tǒng)一的課程分類資源網(wǎng)，整合轄區(qū)內(nèi)的優(yōu)秀教育資源。一方面數(shù)據(jù)交換中心為教師提供優(yōu)秀的教育教學的相關資料，另一方面，教師可以把自己的教學成果上傳，與其他教師分享，同時也為網(wǎng)站集群服務。數(shù)據(jù)的存儲及應用必須依賴大量的服務器和高性能的存儲設備，數(shù)據(jù)備份設備等，服務器需配置萬兆光口與數(shù)據(jù)中心交換機互聯(lián)，并支持FCOE功能，存儲通過FC光纖存儲網(wǎng)絡和網(wǎng)絡互聯(lián)，存儲系統(tǒng)考慮未來教育資源應用，建議容量在50T以上，支持FCSAN和IPSAN架構。在數(shù)據(jù)交換中心區(qū)域安全性設計上，采用在核心交換機配置專用服務器接入?yún)^(qū)域，服務器接入數(shù)據(jù)中心交換機支持IP/FC/FCOE三網(wǎng)融合技術，采用全萬兆設計，通過萬兆接口實現(xiàn)與應用服務器高速互聯(lián)，在保障安全性的同時提供大數(shù)據(jù)流量的應用支持能力。存儲也可通過FC接口直接接入數(shù)據(jù)中心交換機，實現(xiàn)數(shù)據(jù)中心三網(wǎng)融合的扁平化架構。綜上所述，設計拓撲圖如下：數(shù)據(jù)交換中心采用2臺數(shù)據(jù)中心專用交換機，通過萬兆接口實現(xiàn)虛擬化組網(wǎng)，提高可靠性。數(shù)據(jù)中心交換機與核心交換機采用萬兆專用線纜交叉互聯(lián)，提高鏈路可靠性。數(shù)據(jù)中心交換機具備24個萬兆光口，萬兆光口支持IP和FCOE協(xié)議，服務器通過萬兆CNA網(wǎng)卡連接交換機；數(shù)據(jù)中心交換機還具備16個FC光口，存儲可通過FC接口接入交換機；通過一體化的數(shù)據(jù)中心交換機，同時接入服務器和存儲設備，實現(xiàn)扁平化三網(wǎng)融合，無需額外部署光纖交換機。1.1.3學校接入?yún)^(qū)校園網(wǎng)接入設計各學校采用以太網(wǎng)組網(wǎng)方式，出口通過安全網(wǎng)關采用樹形結構連接核心交換機，核心交換機通過光纖和電路連接各樓宇的交換機，各交換機再連接信息插座。無線AP、辦公電腦、學生電腦、班班通、一體機等通過信息點接入樓層接入交換機。學校接入部分拓撲：學校出口網(wǎng)關設計**區(qū)各個學校的規(guī)模不同，多數(shù)學校網(wǎng)絡規(guī)模不大，對性能的要求可能不大，但對出口設備功能性的要求一點也不少，出口路由、網(wǎng)絡安全、URL過濾、內(nèi)容審計、日志記錄和流量控制都需要，但學校網(wǎng)出口和城域網(wǎng)出口又不一樣，無法像城域網(wǎng)那樣配置專門的出口引擎、流控設備、防火墻、行為審計設備、日志記錄等系統(tǒng)設備，所以就必須有一種設備即能滿足學校出口功能性要求。出于統(tǒng)一建設的原則和綜合成本角度考慮，方案設計對各教育單位和學校統(tǒng)一采用安全網(wǎng)關接入教育城域網(wǎng)，部署在各學校校園網(wǎng)和教育城域網(wǎng)的鏈路中間。安全網(wǎng)關的具體配置可以根據(jù)學校的規(guī)模、接入終端的具體數(shù)量選擇不同檔次。出口網(wǎng)關設備需要給學校提供以下出口保證：MIPS多核架構，保證多應用下高性能；多合一設備，部署靈活簡便；不需要再去考慮用防火墻、路由器還是流控、VPN，多應用整合；管理維護簡單；內(nèi)置WEB人性化界面，配置向?qū)У?；多臺設備分布式部署，可通過日志系統(tǒng)、網(wǎng)管系統(tǒng)等進行集中式管理、日志收集；應用控制，提升運作效率；專業(yè)流控，優(yōu)化網(wǎng)絡速度，提升用戶網(wǎng)速體驗；從實際出發(fā)的用戶管理功能；支持用戶組織架構導入；支持對用戶進行黑白名單控制（應用控制、流量控制等）；支持對關鍵用戶、關鍵應用的帶寬保留服務；URL過濾，內(nèi)置URL數(shù)據(jù)庫，讓用戶遠離黃賭毒等違法信息；支持NAT日志、URL日志、IM聊天日志、郵件日志等多種日志，支持本地化日志大容量存儲和檢索；智能選路，優(yōu)選數(shù)據(jù)傳輸路徑，合理利用多條帶寬資源；當網(wǎng)絡擁有多條出口線路時，選路規(guī)劃的不合理會造成上網(wǎng)慢、帶寬資源浪費等問題；內(nèi)置硬盤，與城域網(wǎng)熱點緩存系統(tǒng)聯(lián)動，實現(xiàn)熱點資源分發(fā)至學校，提高資源訪問效率。校園網(wǎng)用戶終端分類隔離校園網(wǎng)內(nèi)部用戶終端至少分類為學生機房電腦、教師工作電腦、無線終端等?；谌缦略蛐枰獙⒔K端分類隔離到不同VLAN。大規(guī)模環(huán)境中廣播域的隔離。不同類別用戶終端的安全風險隔離，包括病毒、攻擊（特別是校園網(wǎng)環(huán)境ARP類攻擊，建議接入交換機具備防ARP攻擊或端口隔離功能）不同類別用戶有不同的訪問控制需求。不同類別用戶有不同的流控需求。不同類別的用戶有不同的審計需求。隔離原則大規(guī)模校園網(wǎng)必須對每類用戶終端做VLAN隔離。擁有宿舍樓的校園網(wǎng)必須做到宿舍樓與教學區(qū)隔離。小型校園網(wǎng)可以免隔離。通過其他技術手段保障風險控制、訪問控制、流量控制。校園網(wǎng)出口實名認證出于以下原因，校園網(wǎng)出口必須實現(xiàn)實名認證功能。防止非法用戶私接。便于針對用戶或IP地址做流控。便于實名審計。如果在各校園網(wǎng)出口設備上實現(xiàn)用戶認證，必須能夠在中心機房進行統(tǒng)一用戶管理。如果在中心機房入口設備上實現(xiàn)用戶認證，必須能夠配合流控機制對每用戶或IP限流。從簡化認證管理便捷的角度，本次采用在中心機房入口設備實現(xiàn)用戶認證（即核心交換機扁平化集中認證），校園網(wǎng)本地安全網(wǎng)關可作為備用認證設備，實現(xiàn)學校本地化認證。校園網(wǎng)出口網(wǎng)關選型說明根據(jù)學校不同規(guī)模提供三個檔次出口網(wǎng)關：高檔：滿足校園網(wǎng)1000以上用戶規(guī)模使用，并發(fā)上網(wǎng)1500人；中檔：滿足校園網(wǎng)1000以下用戶規(guī)模使用，并發(fā)上網(wǎng)500人；低檔；滿足校園網(wǎng)500以下用戶規(guī)模使用，并發(fā)上網(wǎng)250人；各學校根據(jù)實際調(diào)研結果，選擇使適用的出口網(wǎng)關。無線校園網(wǎng)設計結合WLAN的實際應用和發(fā)展要求，公眾無線局域網(wǎng)(PWLAN)網(wǎng)絡系統(tǒng)設計，主要遵循以下系統(tǒng)總體原則：實用性原則：以現(xiàn)行需求為基礎，充分考慮發(fā)展的需要來確定系統(tǒng)規(guī)模?？煽啃栽瓌t：系統(tǒng)設計能有效的避免單點失敗，在設備的選擇和關鍵設備的互聯(lián)時，應提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網(wǎng)絡能在最短時間內(nèi)修復。成熟和先進性原則：由于WLAN應用于運營網(wǎng)絡仍然屬于新新技術，需要及時將新技術引用進來，更好的開展應用，同時也要求保證網(wǎng)絡與應用的可靠性。規(guī)范性原則：系統(tǒng)設計所采用的技術和設備應符合WLAN國際標準、國家標準和聯(lián)通WLAN企業(yè)標準，為系統(tǒng)的擴展升級、與其他系統(tǒng)的互聯(lián)提供良好的基礎。開放性和標準化原則：在設計時，要求提供開放性好、標準化程度高的技術方案；設備的各種接口滿足開放和標準化原則?？蓴U充和擴展化原則：所有系統(tǒng)設備不但滿足當前需要，并在擴充模塊后滿足可預見將來需求，如帶寬和設備的擴展，應用的擴展和辦公地點的擴展等。保證建設完成后的系統(tǒng)在向新的技術升級時，能保護現(xiàn)有的投資。可管理性原則：整個系統(tǒng)的設備應易于管理，易于維護，操作簡單，易學，易用，便于進行系統(tǒng)配置，在設備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制，并可以進行遠程管理和故障診斷。根據(jù)目前學校的用戶規(guī)模和城域網(wǎng)建設情況，擬采用無線控制器(AC)+瘦AP（FITAP）的組網(wǎng)方式，控制器部署在城域網(wǎng)中心將，對全區(qū)各個學校所有無線AP進行集中管理。瘦AP實現(xiàn)無線信號的處理，而用戶管理、加密、漫游、AP管理等功能全部集中到AC進行，這樣可以簡化整個網(wǎng)絡的管理，提高設備的工作效率。AP的供電采用以太網(wǎng)供電，通過以太網(wǎng)線來匯聚AP的流量，同時為AP提供電源，這樣可以簡化布線，同時減少故障點，提高網(wǎng)絡的可靠性。無線網(wǎng)絡總體架構本次無線覆蓋架構如下圖所示：如上圖所示，無線網(wǎng)絡采用AC+FITAP的組網(wǎng)方式：1、在城域網(wǎng)中心機房核心端部署2臺無線控制器，實現(xiàn)對全區(qū)所有中小學的AP進行集中管理和維護。2、在各個學校根據(jù)不同的使用場景部署最佳類型的無線AP，實現(xiàn)信號的前端覆蓋。3、所有無線AP支持802.11AC協(xié)議，保持先進性，避免剛建成即落后的尷尬；同時，兼容WIFI802.11a/b/g/n，具有良好的兼容性。4、學校端零配置部署，分布于各個學校的AP“零配置”，完全由部署于城域網(wǎng)中心機房的“無線控制器”進行統(tǒng)一管理、配置、監(jiān)控。具體來說，從包裝盒內(nèi)拆封出來AP，接入學校任意交換端口，即可自動完成自我配置并提供無線服務。5、在學校的配線間新增千兆POE交換機，實現(xiàn)對本樓所有無線AP的集中連接，同時為AP提供POE供電。6、所有樓層新增的接入交換機全部通過千兆線纜連接至校園網(wǎng)核心交換機。7、針對師生的安全和管理考慮，在中心機房部署1套安全準入認證系統(tǒng)，實現(xiàn)對所有接入用戶的安全認證，保證合法的用戶接入網(wǎng)絡，非法的用戶禁止接入網(wǎng)絡。同時針對無線用戶，可提供目前業(yè)界最便捷的無感知認證方式，實現(xiàn)最佳的用戶體驗和最好的安全保護。無線覆蓋指標要求無線覆蓋信號覆蓋區(qū)域信號強度不低于-75dBm，信噪比SNR≥20。應用使用較為集中區(qū)域的接入速率應不低于140Mbps。室內(nèi)分布系統(tǒng)天線的等效全向輻射功率≥7dBm。室外分布系統(tǒng)天線、獨立WLAN天線的等效全向輻射功率≥22dBm。室外覆蓋方式時，WLAN無線信號一般按穿透一堵墻設計。容量計算經(jīng)過多方查證和咨詢了解到：對于小辦公室：按照每個AP覆蓋5-8用戶進行設計（用戶只有老師）；對于會議室：按照每個AP覆蓋25-30用戶進行設計；對于高密度教室：按照每個AP覆蓋60—80用戶進行設計；因此，產(chǎn)品的選型尤為重要，必須能滿足帶機量的要求，以保證用戶的接入質(zhì)量和正常需求下的網(wǎng)絡吞吐量。同時，也需要考慮到無線AP覆蓋的環(huán)境，對于環(huán)境復雜，或者遮擋物較多等對AP型號有強烈干擾的區(qū)域，建議AP接入用戶數(shù)酌情減少。不同場景下的無線部署室內(nèi)直放覆蓋對于一些特殊地理位置，室內(nèi)區(qū)域通常面積都不大（小于60方米），每個場所放1個AP即可滿足覆蓋需求。對于大面積區(qū)域稍復雜的應用環(huán)境（單位面積人員數(shù)量多），例如教室或大型辦公室，考慮使用一個或者多個AP進行覆蓋，參考原則為每個AP的用戶容量25-30人，如果為教室，建議采用2個AP進行覆蓋。覆蓋方式如下：主AP支持二條空間流技術，2.4G提供最高300Mbps的接入速率，5G提供最高867Mbps的接入速率。主AP提供兩個千兆電口和一個USB接口，其中一個電口支持PoE供電模式，另一電口支持級聯(lián)擴展AP，預留USB接口，可靈活連接外擴配件。擴展射頻AP無需額外單獨供電，支持二條空間流技術，2.4G提供最高300Mbps的接入速率，5G提供最高867Mbps的接入速率，動態(tài)擴展主AP性能后，可實現(xiàn)超高密度接入、盲區(qū)補償、輔助定位、頻譜探針等高級功能。小開間稀疏應用場景——入墻式AP覆蓋AP示意圖（本圖僅供參考）：入墻式AP是專門為辦公室環(huán)境推出的新一代基于802.11ac協(xié)議的迷你型胖瘦一體化的無線接入點（AP）。尺寸可在86mm面板盒上安裝，而且還集成了以太網(wǎng)口和IP電話接口，整機設計簡潔美觀、部署便捷，可以在不破壞墻面裝修的情況下安裝在接線盒上，是小型辦公室等環(huán)境無線網(wǎng)絡建設的最佳選擇。墻面式AP采用雙路雙頻設計，可支持同時工作在802.11a/n/ac和802.11b/g/n模式，可同時提供300Mbps的802.11n及866Mbps的802.11ac接入速率。室外無線覆蓋室外區(qū)域分布有較高、密集的建筑群和植物群，這對于信號的阻擋將是較大的障礙。因此，應當選用專用的室外大功率無線AP產(chǎn)品，配置使用定向天線，可以保證無障礙下的300米半徑覆蓋以及近距離的多重障礙物的穿透能力，完全保證了室外區(qū)域的信號覆蓋品質(zhì)，同時設備本省具備抗雷擊、防雨、防潮、抗高低溫、阻燃等多項指標，無線室外覆蓋，建議部署在校內(nèi)的制高點上，同時采用全向或定向天線向進行無線覆蓋。室外型AP一般采用IP67防護等級的外殼設計，適合在極端的室外環(huán)境中使用，可有效避免室外惡劣天氣和環(huán)境影響，可高度適應寒冷天氣與潮濕天氣環(huán)境對設備的苛刻要求，大大降低了安裝和維護難度。同時，室外型AP需要內(nèi)置天線，并支持內(nèi)外置天線切換，可以滿足幾乎所有環(huán)境要求下的室外無線Wi-Fi網(wǎng)絡覆蓋可支持遠程以太網(wǎng)供電模式，便于安裝部署。無線控制器WEB認證隨著近年來iPhone、iPad、Android、WindowsPhone等各種智能能移動終端的日益普及，網(wǎng)絡中不再是清一色的筆記本電腦終端。一個智能的無線網(wǎng)絡，必須能夠考慮到不同的終端類型、屏幕尺寸對門戶認證頁面的不同要求，實時地對各種終端類型進行識別，并推送符合終端屏幕尺寸的WEB門戶頁面，使用戶能夠更為便捷的輸入用戶名及密碼，提升無線用戶體驗。無線控制器不僅要支持終端自動識別功能和WEB門戶頁面推送，而且推送的認證頁面還需要可以根據(jù)用戶自定義放置一些廣告、通知、應用鏈接等，提供更多個性化服務。若配合認證服務器還可實現(xiàn)基于終端類型的角色、訪問權限的劃分等，幫助網(wǎng)絡運維人員實現(xiàn)更為精細化的無線用戶管理。1.1.4統(tǒng)一互聯(lián)網(wǎng)出口設計**區(qū)教育城域網(wǎng)的互聯(lián)網(wǎng)出口采用集中大出口設計，所有接入學校和教育單位均需要從教育局城域網(wǎng)中心機房出口接入互聯(lián)網(wǎng)，集中出口區(qū)域的高速NAT、路由、流量上網(wǎng)行為管理和內(nèi)容審計、邊界安全防護、精細化流量控制五大應用需求必須重點考慮。因此，方案設計在城域網(wǎng)中心機房集中網(wǎng)絡出口位置部署高性能出口網(wǎng)關。教育城域網(wǎng)的互聯(lián)網(wǎng)出口主要保證數(shù)據(jù)中心區(qū)互聯(lián)網(wǎng)訪問、各教育單位、中小學校的互聯(lián)網(wǎng)統(tǒng)一出口。為了保證互聯(lián)網(wǎng)應用的流暢運行以及用戶的上網(wǎng)體驗，需要對一些關鍵應用的帶寬有足夠的保障，出口區(qū)域的設備對關鍵需求有足夠的支撐，能夠支撐包括門戶網(wǎng)站區(qū)域在內(nèi)的所有外網(wǎng)應用都穩(wěn)定可靠，不允許在包括出口在內(nèi)的骨干區(qū)域出現(xiàn)故障隱患，所有設備檔次要適度超前，避免因為需求的不斷發(fā)展出現(xiàn)性能瓶頸；另外出口作為外部攻擊的主要通道安全的重要性是毋庸置疑的，需要綜合考慮到整個網(wǎng)絡對于出口區(qū)域的安全防范問題。綜合上面對互聯(lián)網(wǎng)出口區(qū)情況的分析，本次方案總結出口區(qū)域的設計思路為：提供高性能NAT地址轉換，滿足15000用戶的并發(fā)寬帶接入需求；提供可靠穩(wěn)定的互聯(lián)網(wǎng)接入，出口支持2000M以上的吞吐能力，無性能瓶頸；提供多鏈路的負載均衡，智能選路功能，可以依靠線路的負載、應用類型、運營商的不同和訪問速度來智能判斷最快的訪問線路或指定特定的應用走特定的線路；提供完善網(wǎng)絡安全防護功能；提供網(wǎng)絡訪問行為審計功能；提供出口精準流量控制功能；提供對關鍵應用服務器和門戶網(wǎng)站的重點保護；提供針對教育行業(yè)用戶的內(nèi)外網(wǎng)教學資源優(yōu)化配置調(diào)用的功能。綜上所述，本次統(tǒng)一出口設計包含出口網(wǎng)關、防火墻、WEB防護、流量控制等產(chǎn)品，組成統(tǒng)一互聯(lián)網(wǎng)出口解決方案。統(tǒng)一互聯(lián)網(wǎng)出口解決方案隨著互聯(lián)網(wǎng)應用的日益豐富，有限的帶寬已經(jīng)無法滿足校內(nèi)用戶的應用需求，在不降低用戶體驗的情況下，如何控制流量，保障關鍵應用的運行是校園網(wǎng)面臨的重大問題。互聯(lián)網(wǎng)出口流量中大部分是重復流量和重復的文件，如果能夠在網(wǎng)絡中部署一個內(nèi)容緩存設備，將大大提高校內(nèi)用戶的使用體驗。用戶在互聯(lián)網(wǎng)讀取數(shù)據(jù)時，會首先在緩存設備上進行高速查找，如果存在同樣的數(shù)據(jù)那么直接進行本地轉發(fā)，一次外網(wǎng)訪問，多次內(nèi)網(wǎng)服務，提高互聯(lián)網(wǎng)帶寬承載能力，用戶訪問速度提升加倍。大大提升校內(nèi)訪問速度，極大的提升用戶體驗。內(nèi)容加速系統(tǒng)可以針對HTTP下載、流媒體、P2P等資源進行熱點緩存，加速用戶訪問速度數(shù)十倍，并且能夠節(jié)省出口帶寬。此外，熱點緩存加速設備還可以內(nèi)置殺毒引擎，支持IPv6，支持萬兆擴展，支持云模式等。在部署方面，熱點緩存加速設備應該做到：1）旁路部署，對網(wǎng)絡無影響；2）一臺硬件設備能夠集成監(jiān)控服務器、調(diào)度服務器、緩存服務器、管理服務器等多臺設備；3）設備是透明的，除速度飛快之外，沒有任何感覺。出口多鏈路負載均衡部署出口多應用安全網(wǎng)關，實現(xiàn)鏈路負載均衡，包括：基于鏈路狀態(tài)和目標位置的出流量負載均衡，以及基于訪問源位置的入流量負載均衡。同時可實現(xiàn)NAT功能。互聯(lián)網(wǎng)出口防火墻部署防火墻，以對進出中心機房的數(shù)據(jù)做訪問控制，同時也支持NAT功能，可作為出口安全網(wǎng)關的備份設備使用；上網(wǎng)行為管理多應用安全網(wǎng)關，還可以實現(xiàn)對用戶上網(wǎng)行為管控，一方面規(guī)范城域網(wǎng)網(wǎng)絡使用行為，另一方面控制互聯(lián)網(wǎng)出口帶寬優(yōu)先保障關鍵應用，不被其他應用無關數(shù)據(jù)濫用。流量控制部署流控設備，對進入中心機房的數(shù)據(jù)做流量分配。原則上針對每IP地址或網(wǎng)段限流，不同類終端的流量分配視校園網(wǎng)具體情況定義。安全防護設計教育城域網(wǎng)的網(wǎng)絡安全設計面比較廣泛，主要包括基礎網(wǎng)絡設備的安全防護、PC終端的主機安全防范、服務器專區(qū)的服務防范（特別是WEB防護）與實名制上網(wǎng)的安全記錄需求設計這四個方面，需要根據(jù)不同的需求按照不同層次、不同方法分別加以設計，通過融合多種安全機制實現(xiàn)城域網(wǎng)整網(wǎng)的安全架構設計。城域網(wǎng)層次化安全設計主要是包括四個部分：基礎網(wǎng)絡分布式安全防御體系、端點主動安全防御系統(tǒng)、服務器區(qū)安全防御與實名制上網(wǎng)功能?；A網(wǎng)絡安全防護設計基于教育城域網(wǎng)的特點，城域網(wǎng)和校園網(wǎng)是一個開放的應用環(huán)境。在這種環(huán)境下尤其容易感染網(wǎng)絡病毒和發(fā)生網(wǎng)絡攻擊，這給網(wǎng)絡主干帶寬帶來嚴重沖擊，甚至可能造成整網(wǎng)癱瘓。因此，為了保證整個網(wǎng)絡的帶寬可用性，防止網(wǎng)絡病毒傳播擴散，防止網(wǎng)絡攻擊的發(fā)生，在本方案中，出口設備保證內(nèi)外網(wǎng)安全控制；核心、接入層網(wǎng)絡設備均支持嵌入式防DDoS攻擊、CPU策略保護、基礎網(wǎng)絡保護策略和最長匹配三層交換LPM技術，由單點安全變?yōu)閰^(qū)域安全，防止網(wǎng)絡掃描、和攻擊。移動用戶接入安全設計考慮到移動用戶接入安全和便攜性，推薦采用SSLVPN接入方式。在城域網(wǎng)中心機房部署1臺SSLVPN網(wǎng)關，移動用戶通過WEB界面或者SSLVPN客戶端即可實現(xiàn)安全的VPN接入，靈活訪問城域網(wǎng)資源。網(wǎng)絡行為審計行為審計系統(tǒng)要能夠全面詳實地記錄網(wǎng)絡內(nèi)流經(jīng)監(jiān)聽出口的各種網(wǎng)絡行為，以便進行事后的審計和分析，日志以加密的方式存放。網(wǎng)絡行為日志全面要記錄包括使用者、分組、訪問時間、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、訪問類型、訪問地址/標識等關鍵數(shù)據(jù)項。支持在三層交換網(wǎng)絡環(huán)境下獲取用戶計算機真實MAC地址功能；多應用環(huán)境下的網(wǎng)絡數(shù)據(jù)審計還原。網(wǎng)絡流量分析需要在全面記錄網(wǎng)絡出口流量數(shù)據(jù)的基礎之上，以簡單、直觀、易理解的形式為用戶提供實時和歷史流量監(jiān)測和統(tǒng)計功能。主要包括以下幾個指標：實時流量、當日流量和歷史流量。能根據(jù)歷史上網(wǎng)日志數(shù)據(jù)統(tǒng)計產(chǎn)生豐富詳細的報表，包括分組上網(wǎng)排名、人員上網(wǎng)排名、網(wǎng)絡應用統(tǒng)計、訪問資源統(tǒng)計、趨勢分析等。可按年度、月度或者指定時間范圍生成周期性報表。報表種類包括柱狀圖，餅圖，曲線圖，折線圖等。報表可以以EXCEL、PDF、WORD、HTML等形式導出保存。并支持自定義的周期性報表自動生成和訂閱。1.1.5教育局信息管理中心教育局信息管理中心的整個網(wǎng)絡架構和學校類似，所不同的是能夠直觀、全面的通過顯示大屏了解整個城域網(wǎng)絡設施設備，網(wǎng)絡信息接入點的運行狀況，對數(shù)據(jù)中心各項網(wǎng)絡設備數(shù)據(jù)服務進行遠程管理指揮。為實現(xiàn)遠程運維管理，城域網(wǎng)還要加入運維管理系統(tǒng)。運維管理設計由于信息系統(tǒng)是一個包括了眾多軟件，硬件技術，設計多廠家產(chǎn)品，從網(wǎng)絡，安全，存儲，計算到中間件和應用的復雜異構環(huán)境，而且隨著信息建設的深入和持續(xù)優(yōu)化和發(fā)展，這個復雜龐大的基礎設施，還會隨之不斷進行演進，在產(chǎn)品，技術和網(wǎng)絡結構，應用關系上不斷發(fā)生變化，因此，要求針對該環(huán)境進行管理的系統(tǒng)具有良好的可擴展性，能夠?qū)⑾聦泳W(wǎng)絡和的復雜度有效的通過抽象屏蔽起來，向上層應用和運維流程開放穩(wěn)定的接口?；谶@樣的需求背景，城域網(wǎng)運維管理系統(tǒng)主要實現(xiàn)的是基礎網(wǎng)絡管理、關鍵應用系統(tǒng)管理、IT運維流程管理這三大塊系統(tǒng)。通過開放式接口，實現(xiàn)IP資源的管理和性能評估、監(jiān)控，同時滿足對多廠商設備、各種基礎設施的統(tǒng)一運營管理。為了在問題發(fā)生的時候快速判斷其影響范圍和程度，需要通過圖形化手段快速制定最佳控制和問題解除方案。通過面向關鍵應用的基礎設施管理，讓IT投入的效益的到最大化的體現(xiàn)，并能夠在網(wǎng)絡和信息團隊運維資源有限的條件下，讓用戶按照其重要性體驗到服務品質(zhì)的提升。但同時又能向上提供穩(wěn)定的管理接口和管理服務的抽象層中間件，屏蔽硬件的異構性，降低管理復雜度，從而幫助用戶構建可持續(xù)發(fā)展，高回報的IP計算環(huán)境，大大降低IT服務管理的復雜度，以可視化，對象化的方式實現(xiàn)IT環(huán)境透明化。運維管理關鍵點從綜合IT監(jiān)控管理技術的發(fā)展來看，有以下幾個關鍵的選擇指標是在進行方案構建和產(chǎn)品選擇的時候需要重點考慮的：可視化能力建設IT運行監(jiān)控中心的一個關鍵用途是與大屏幕監(jiān)控中心配套，實現(xiàn)最佳的展示效果，體現(xiàn)信息化的建設水平和理念高度。因此可視化的效果如何，動態(tài)呈現(xiàn)的能力如何，就成為系統(tǒng)和方案選型中的一個核心考慮要素。應用建模能力作為每個組織的IT維護工作，都有自己的核心應用，這些核心應用具有不同的重要性，組成結構，服務于特定的部門和用戶，我們關注其不同的運行指標，這些個性化的管理需求，能否快速的，通過圖形化的建模方式加以實施，并迅速在管理視圖上得到反應，是非常重要的一個維度。尤其需要避免的，是為了跟隨組織的應用變化和IT系統(tǒng)演進，而大量的定制和重復開發(fā)，往往帶來難以接受的實施周期和后續(xù)成本。因此，系統(tǒng)可配置性如何，圖形化的應用系統(tǒng)架構和監(jiān)測體系建模功能如何，需要著重考慮。實施周期目前有大量的號稱基于ITIL的完整的IT運維流程管理產(chǎn)品，囊括了從綜合監(jiān)測到ITIL流程管理的所有方面，這些產(chǎn)品都集成了許多流程組件，工作臺組件，知識庫組件等，但是我們知道，流程是一個個性化非常強的東西，每個組織都有自己獨特的IT管理體系和應用流程，簡單的一次性照搬產(chǎn)品化流程系統(tǒng)，容易給我們帶來削足適履的麻煩，長期而言可能帶來很長的學習曲線和調(diào)整，并導致實施和維護成本的上升。而我們實施管理平臺的目的，無非是為了更好的提升核心應用的維護質(zhì)量，圍繞這個目標，能否有一個有效，清晰，簡潔的管理機制，并可以與逐步建設的工作流程通過SOA架構方便的集成，是從實際部署來看，成功率更高，更容易產(chǎn)生效果的建設思路。設備兼容性要簡化管理，首先要能夠全面的管理各種基于IP的IT基礎設施，這是一個基礎，因此，系統(tǒng)要能夠兼容國內(nèi)各種主流的軟硬件產(chǎn)品，包括網(wǎng)絡設備，服務器，應用，中間件和環(huán)境等，要具有比較良好的網(wǎng)絡層和鏈路層自動發(fā)現(xiàn)能力，具有自動發(fā)現(xiàn)主流應用和中間件的能力。從而最大化的降低管理人員對管理信息的維護工作量。運維管理系統(tǒng)設計系統(tǒng)架構教育城域網(wǎng)運維管理系統(tǒng)為了有效地形成一個整體的安全管理體系，采取數(shù)據(jù)中心和學校兩級部署模式：在數(shù)據(jù)中心機房建設集中安全運維管理平臺，形成對全網(wǎng)的統(tǒng)一監(jiān)控和安全管理。而在學校一級建設和完善校園網(wǎng)安全管理工具和基礎設施，形成每個學校的本地安全維護和管理能力。下面是整個系統(tǒng)的功能架構表：系統(tǒng)名稱模塊名稱功能簡介集中安全運維管理平臺網(wǎng)管系統(tǒng)網(wǎng)絡管理系統(tǒng)，實現(xiàn)整網(wǎng)設備的統(tǒng)一管理和告警管理，具備強大的大型網(wǎng)絡拓撲發(fā)現(xiàn)和展示功能，實現(xiàn)多廠商、多種類產(chǎn)品的統(tǒng)一管理城域網(wǎng)IT運維應用流程管理系統(tǒng)實現(xiàn)中心運維管理的流程化、規(guī)范化和自動化，實現(xiàn)運維工作的量化評估和持續(xù)改進，讓組織運維工作績效的提升得到直觀呈現(xiàn)和系統(tǒng)的管理?？梢暬O備管理組件為網(wǎng)絡管理人員提供圖形化、可視化的設備配置工具，通過圖形菜單的方式對設備進行配置和管理，降低維護人員的管理強度和難度。流量和日志分析組件實現(xiàn)對本地上網(wǎng)行為的日志記錄和分析。基礎網(wǎng)絡設施網(wǎng)流分析引擎實現(xiàn)應用流量分析和監(jiān)測，直觀、圖形化的查看到網(wǎng)絡流量究竟是由哪些應用引起的，還能夠?qū)α髁窟M行精細化的控制和管理，能夠結合全局安全網(wǎng)絡系統(tǒng)實現(xiàn)基于用戶身份的流量管理。安全接入安全認證交換機通過其具備的802.1x認證、端口數(shù)據(jù)包安全檢測、可信任ARP和與安全認證管理系統(tǒng)配合實現(xiàn)自動執(zhí)行安全策略的能力運維管理重點—關鍵應用管理中心融合開放的運維綜合管理平臺邏輯架構：應用了動態(tài)自適應技術的性能評估模型，通過可定義性能門限與自適應算法相結合，進行性能趨勢分析和狀態(tài)評估基于統(tǒng)一信息模型和性能評估模型生成集中IP基礎設施資源庫能夠?qū)Χ鄰S商的設備、中間件、服務器、數(shù)據(jù)庫系統(tǒng)進行統(tǒng)一發(fā)現(xiàn)和管理面向ITIL流程自動化集成環(huán)境需求基于運維平臺的關鍵應用運行管理系統(tǒng)體系架構：運維系統(tǒng)邏輯架構從軟件體系結構角度看，系統(tǒng)可以分為以下四層：數(shù)據(jù)采集與代理：本層由各種協(xié)議適配器構成，向上層提供統(tǒng)一的接口訪問管理協(xié)議棧，獲取管理信息（包括事件信息、日志信息、性能信息和拓撲信息等）,并在初始發(fā)現(xiàn)時作為驅(qū)動模塊構建信息模型。數(shù)據(jù)匯聚：對底層數(shù)據(jù)采集的數(shù)據(jù)進行統(tǒng)一的描述，組織為管理信息庫。向上提供一個統(tǒng)一的管理語義和調(diào)用接口。使得各個應用模塊面對統(tǒng)一的數(shù)據(jù)模型，使得對資源的管理方式一致并處于單一的可控路徑下，方便對資源進行權限管理，互斥訪問等操作，使得面向事務的并發(fā)管理成為可能。數(shù)據(jù)處理層：專注于管理應用的實現(xiàn)，不再關心底層協(xié)議的差異性。響應前臺應用的請求，完成數(shù)據(jù)查詢，處理等功能；數(shù)據(jù)展現(xiàn)層：前臺界面，從數(shù)據(jù)處理層得到數(shù)據(jù)加以顯示。是管理員與網(wǎng)絡管理系統(tǒng)的接口。關鍵應用監(jiān)控中心技術特點面向應用關鍵應用監(jiān)控中心的一個核心設計思想是面向關鍵應用系統(tǒng)運行的管理。其主要通過關鍵應用管理視圖來實現(xiàn)。應用管理視圖可以將用戶信息中心的各種資源管理按照其內(nèi)部的特定應用劃分開來，系統(tǒng)管理員只需管理影響每一應用處理的那些資源。這種管理角度和模式的轉變大大減小了系統(tǒng)及網(wǎng)絡管理的復雜性。例如，在系統(tǒng)中，我們可以選擇某一種信息應用中的一個子系統(tǒng)作為一個應用管理視圖，把相關的網(wǎng)絡資源拖入這個視圖中，這樣對此應用子系統(tǒng)的管理就可以通過對其應用處理視圖的監(jiān)控來實現(xiàn)。通過關鍵應用監(jiān)控中心的應用管理視圖，可以將應用處理與應用管理有機地結合起來，從應用管理的角度來關注和管理網(wǎng)絡資源?；跇I(yè)界主流標準的融合管理信息模型基于統(tǒng)一信息模型泛化技術實現(xiàn)網(wǎng)絡資源抽象和資源化前端交互技術從前端技術上講，目前絕大多數(shù)綜合IT管理系統(tǒng)是基于傳統(tǒng)JSP/HTTP的B/S產(chǎn)品，而實時智能基礎設施庫的架構是基于標準的SOA架構，以WebService技術實現(xiàn)的產(chǎn)品，前端采用基于Flex3.0的RIA架構，前端技術上更先進，具有更好的展示效果和動態(tài)交互能力，因為采用了完全的SOA架構和WebService技術，能夠更好的符合IT應用環(huán)境向SOA架構演進的趨勢，能夠幫助用戶更好的進行應用流程整合，可以通過標準的SOA方式集成到第三方的流程管理產(chǎn)品中，有效降低用戶進行多廠商集成的復雜性和成本。關鍵應用監(jiān)控中心采用的RIA架構技術，支持種類廣泛的界面控制元素，這些控制元素可以很好的與數(shù)據(jù)模型相結合。這種用戶接口，它比用HTML能實現(xiàn)的接口更加健壯、反應更加靈敏和更具有令人感舉的可視化特性。為用戶提供了更加友好的交互服務和豐富的客戶體驗，同時減少了與服務器的響應，提高了響應速度。另外在設計中采用了MVC設計模式，通過模型、視圖與控制器的分離良好地實現(xiàn)了應用邏輯和用戶交互的獨立，使系統(tǒng)的可維護性、可修復性、可擴展性、靈活性以及封裝性大大提高。RIA技術是對目前B/S架構的反思和對C/S架構回歸要求的背景下，產(chǎn)生的用戶體驗要求。它既有B/S架構的零部署好處，又有C/構中功能強大，表現(xiàn)力豐富的優(yōu)點，更能滿足網(wǎng)絡應用發(fā)展的要求。分布式計算技術基于良好的體系結構的分布式部署能力和建模能力，因此具備更好的可擴展性，能夠方便的支持新的設備，新的應用組件，適應不同規(guī)模的監(jiān)控環(huán)境和網(wǎng)絡環(huán)境，能夠適應多種操作系統(tǒng)。通過提供基于J2EE的分布式架構，IPNetManager可用來建立適合大型IT環(huán)境的易于擴展和分布式的系統(tǒng)平臺，使得各模塊具有提供事務服務、安全認證信息、數(shù)據(jù)庫訪問和連接池、線程池、負載均衡和容錯等高級特性。集中性關鍵應用監(jiān)控中心基于Web的網(wǎng)絡管理模式(Web-BasedManagement)提供給用戶非常熟悉的Web瀏覽器的單一用戶接口，用戶能夠在任何時間、從任何地點、按照規(guī)定的應用權限、通過瀏覽器使用網(wǎng)絡管理功能，達到了集中監(jiān)控和管理的目的。層次性關鍵應用監(jiān)控中心既支持集中式管理，又支持層次式管理。當網(wǎng)絡規(guī)模比較大的時候，可以采用層次化網(wǎng)絡管理，引入域管理模式，利用節(jié)點服務器以減輕網(wǎng)管中心服務器的負擔，減少網(wǎng)絡傳輸、消除瓶頸，增加可靠性和擴展性，提高整個網(wǎng)絡管理系統(tǒng)的性能。針對大型、分層的電信級IP網(wǎng)絡，關鍵應用監(jiān)控中心提供的網(wǎng)管體系可以達到四層(客戶瀏覽器層、網(wǎng)管中心服務器層、節(jié)點域管理層、由網(wǎng)元組成的子網(wǎng)層)，對地市級、省級、全國的網(wǎng)絡進行分層的管理?？缙脚_、跨廠商兼容性允許用戶從使用單一的管理平臺集中管理包含TCP／IP等多種協(xié)議的LAN、MAN和WAN，管理多廠商的設備和產(chǎn)品。同時，產(chǎn)品本身也應具有跨平臺性，能夠在不同的網(wǎng)絡管理平臺上運行，支持Solaris，Windows，Linux，HP-UX，IBM-AIX等。可伸縮性關鍵應用監(jiān)控中心具有一定的伸縮性，適應不同的應用環(huán)境。對于簡單的信息中心管理環(huán)境，只需提供基本的功能，系統(tǒng)的配置也可較低；對于大型信息中心管理環(huán)境，功能要求比較完善，系統(tǒng)可以采用多機處理的模式。因此，關鍵應用監(jiān)控中心的伸縮性不僅表現(xiàn)在功能的靈活搭建，也表現(xiàn)在系統(tǒng)結構的動態(tài)伸縮?？蓴U展性關鍵應用監(jiān)控中心具有良好的擴展性，能為新的應用和服務提供支撐平臺，同時網(wǎng)管系統(tǒng)提供接口，在應用擴充與增加時，網(wǎng)管系統(tǒng)功能的添加簡單方便。系統(tǒng)完全是建立在開放構架上的，其可擴展性體現(xiàn)在兩點：可集成性：產(chǎn)品的設計完全是為便于集成的，針對不同的應用情況能夠配置最佳平臺。正因為它基于開放的標準，關鍵應用監(jiān)控中心能夠集成現(xiàn)有系統(tǒng)和第三方軟件；支持SOAP集成：關鍵應用監(jiān)控中心在今天是一套完整的支持WebService的產(chǎn)品；關鍵應用監(jiān)控中心是基于開放和主流的標準和技術之上的。這些標準和技術包括：LDAP（輕量目錄接入?yún)f(xié)議）；XML（可擴展標記語言）；SOAP（簡單目標接入?yún)f(xié)議）；XMLP（XML協(xié)議）等。高性能系統(tǒng)具備較高的性能，其中各種算法和處理占用的系統(tǒng)資源應較少。比如，拓撲自動發(fā)現(xiàn)在較短的時間內(nèi)找到某個網(wǎng)段內(nèi)的所有設備；數(shù)據(jù)采集進行輪詢時，采集的時間間隔和采集的數(shù)據(jù)量設置合理，以免增加網(wǎng)絡的流量，降低網(wǎng)絡性能。高效率的數(shù)據(jù)采集是非常重要的。拓撲發(fā)現(xiàn)只是在網(wǎng)絡初始化時進行，而數(shù)據(jù)采集則是無時無刻都在進行的，比較頻繁，因此如何高效率低帶寬消耗地進行數(shù)據(jù)采集是很重要的。關鍵應用監(jiān)控中心的數(shù)據(jù)采集權衡了效率和帶寬消耗兩個因素，動態(tài)地調(diào)節(jié)數(shù)據(jù)采集任務數(shù)，在網(wǎng)絡使用高峰期間任務數(shù)相對減低，網(wǎng)絡使用低峰時則加大任務數(shù)，充分利用網(wǎng)絡帶寬，提高采集效率。同時，系統(tǒng)管理的各種對象都存放在數(shù)據(jù)庫中，表示邏輯與處理邏輯相互分離，保證了系統(tǒng)的處理能力。統(tǒng)一呼叫中心的設計考慮到建成后的城域網(wǎng)規(guī)模龐大，設備眾多，需要投入專人進行維護管理。設備分布在各個學校，管理難度大。基于此，我們提出在城域網(wǎng)中心機房建立呼叫坐席系統(tǒng)，以大屏顯示的方式直觀了解，集中處理中心機房及各個學校的網(wǎng)絡故障。呼叫坐席系統(tǒng)可與運維管理系統(tǒng)聯(lián)動，實現(xiàn)檢測網(wǎng)絡運行健康狀態(tài)，可通過主動發(fā)現(xiàn)、被動響應方式處理故障，從而提供服務等級，簡化維護流程。1.2校園安全監(jiān)控近年來，校園暴力事件屢有發(fā)生，為了有效保障學校教學、科研和生活的正常秩序，通過在學校重要場所布建視頻監(jiān)控設備來達到防止、阻止突發(fā)安全事故的校園安全監(jiān)控建設已經(jīng)獲得了各類學校、各級教育主管機構以及公安部門的極大重視。傳統(tǒng)的閉路監(jiān)控系統(tǒng)（包括以DVR為主的區(qū)域監(jiān)控系統(tǒng)）采用視頻線纜或者光纖傳輸模擬視頻信號的方式，對距離十分敏感，且跨地域長距離傳輸不夠經(jīng)濟便利，一般以局部的區(qū)域進行集中監(jiān)控，遠距離的傳輸一般采用點對點的方式進行組網(wǎng)，整個系統(tǒng)的布線工程大，結構復雜，功耗高，費用高，需要多人值守；整個系統(tǒng)管理的開放型和智能化程度較低。與傳統(tǒng)的視頻監(jiān)控相比，網(wǎng)絡視頻監(jiān)控結合城域網(wǎng)絡架構，更便于計算機進行視頻信息的壓縮、儲存、分析、顯示以及報警等自動化處理，從而實現(xiàn)無人值守；通過網(wǎng)絡平臺實現(xiàn)了遠距離監(jiān)控，即使是數(shù)千公里外也能達到親臨現(xiàn)場的效果；利用先進的軟件系統(tǒng)不僅在幾分鐘內(nèi)便可完成傳統(tǒng)視頻監(jiān)控中大量的數(shù)據(jù)分析，提高了監(jiān)控效率，再配以高清監(jiān)控攝像頭能獲得更為逼真、清晰的數(shù)字化圖像質(zhì)量與更為便捷、實用的監(jiān)控管理和維護。網(wǎng)絡視頻監(jiān)控是一項集計算機、網(wǎng)絡、通信以及視頻編解碼等多項高新技術的整合產(chǎn)品。通常模擬攝像機后面需要連很多的線，分別傳輸視頻、音頻信號。模擬信號在后端的處理和管理也存在諸多弊端。在數(shù)字化管理平臺中，模擬信號需要首先被轉化成數(shù)字信號存儲、歸檔、查詢，到調(diào)閱查詢時，又往往需要被還原成模擬信號。面臨實時查詢、跨部門實時信息共享等復雜需求時，模擬視頻監(jiān)控數(shù)據(jù)處理的低效之弊更是暴露無遺。網(wǎng)絡視頻監(jiān)控主要的優(yōu)勢：高效實現(xiàn)遠程監(jiān)控如果需要實現(xiàn)跨地域遠程監(jiān)控，就應該首選網(wǎng)絡視頻監(jiān)控系統(tǒng)。當然，某些硬盤錄像機也具有網(wǎng)絡傳輸?shù)墓δ?，但硬盤錄像機是著重于本地錄像，遠程傳輸?shù)男蔬h不及網(wǎng)絡攝像機、網(wǎng)絡視頻服務器，軟件功能也不大完善。而網(wǎng)絡攝像機、網(wǎng)絡視頻服務器，是專為實現(xiàn)遠程監(jiān)控而設計，網(wǎng)絡傳輸效率非常高，而且其客戶端軟件也比錄像機的軟件要專業(yè)、好用得多。利用原有局域網(wǎng)，無需另布視頻線傳統(tǒng)監(jiān)控系統(tǒng)的實施是要專門鋪設視頻線、音頻線、控制線的。而大型企事業(yè)單位，通常占地面積很大，鋪設這些線路費時、費力、費錢，而網(wǎng)絡監(jiān)控系統(tǒng)則無需專門布線，可以利用企業(yè)原有的局域網(wǎng)來傳輸視頻、音頻以及控制信號，安裝方便多了?？啥嗳送瑫r監(jiān)控，無需上監(jiān)控中心傳統(tǒng)監(jiān)控系統(tǒng)需要專門設置一個監(jiān)控中心，單位的管理者如果要查看監(jiān)控畫面或查看錄像資料，必須跑去監(jiān)控中心。如果安裝了網(wǎng)絡視頻監(jiān)控系統(tǒng)，則管理者可在自己的辦公室，用自己的電腦監(jiān)控實時畫面或查看錄像資料。而且多位管理者均可各自監(jiān)控，互不影響。多路圖像集中管理傳統(tǒng)監(jiān)控系統(tǒng)中，每臺硬盤錄像機最多只能管理32路圖像。而網(wǎng)絡視頻監(jiān)控則大大跨越了這個限制，一臺電腦主機可以管理上千路圖像，充分發(fā)揮出集中管理的優(yōu)勢。分布式架構，易安裝、易擴展傳統(tǒng)監(jiān)控系統(tǒng)采用的是集中式架構，將所有視頻線、音頻線、控制線拉到監(jiān)控中心，如要增加攝像機則需再布線。如果想搬遷監(jiān)控中心，則工程浩大。而網(wǎng)絡視頻監(jiān)控系統(tǒng)是采用分布式架構，各個網(wǎng)絡攝像機、視頻服務器分布在單位中的不同地方，而監(jiān)控錄像主機也可設在單位內(nèi)的任何地方，接上網(wǎng)線即可。要增加攝像機、轉移監(jiān)控主機，可以隨意進行，完全沒有制約。集合了監(jiān)聽、廣播、報警、遠程控制等網(wǎng)絡視頻監(jiān)控產(chǎn)品不僅只傳輸圖像，還集合了多項功能，而這些信號全部通過網(wǎng)絡傳輸，無須另外布線。具體功能如下：監(jiān)聽——監(jiān)控中心可以監(jiān)聽多個前端設備的聲音廣播——監(jiān)控中心可選擇對多個前端設備進行喊話對講——監(jiān)控中心可與任何一個前端設備進行雙向語音對講報警——網(wǎng)絡攝像機、視頻服務器均有報警輸入端口，在中心管理軟件中可以對前端的設備進行布撤防管理，報警時可以聯(lián)動相應的視頻窗口彈出、錄像、電子地圖閃動，甚至還可以聯(lián)動攝像機轉到相應的角度遠程控制——網(wǎng)絡攝像機、網(wǎng)絡視頻服務器均有報警輸出端口，監(jiān)控中心可以控制輸出端口輸出信號，可用于控制電器的通斷。1.3錄播教室應用模式學校之間、教室之間的時空距離是阻礙班班通的又一制約因素。打破時空限制，加強校際聯(lián)運，使得課堂實錄性的資源作為一種優(yōu)質(zhì)的教學資源實時共享，或者作為教學研究和教師培訓的重要資料，促進教師自我反思以及教學技能的提升，也不失為一種有效的班班通解決方案。目前來看，錄播教室主要有以下三種模式：1）課堂互動直播“班班通”要實現(xiàn)的是每個班級都具備與外界進行信息溝通的能力，這個與外界信息溝通的過程同時也是優(yōu)質(zhì)的教育資源通入課堂的過程。這種優(yōu)質(zhì)的教育資源承載的是先進的教學理念、先進的教學方法和技能、創(chuàng)新的教學模式，因而能對教學改革產(chǎn)生積極而深遠的影響。這些優(yōu)質(zhì)教育資源接入課堂的方式，一種是以已完成的形態(tài)傳輸?shù)浇淌?，如已刻錄好的教學光盤、已制作完畢的課件和網(wǎng)絡課件等；另一種則是在生成的狀態(tài)中同步傳輸?shù)狡渌淌一蛘n堂內(nèi)，形成一種生成性、互動性的“班班通”形態(tài)，使兩個甚至多個課堂中的教師、學生、教學資源全面互通互動，打破班級與班級、學校與學校之間的地域限制，使傳統(tǒng)的課堂轉變?yōu)樾畔⒇S富的課堂、開放的課堂。2）生成課例資源及互動研討通過錄播教室的錄播功能，可以錄制并剪輯出優(yōu)秀的課例資源，作為本區(qū)域或本學校的區(qū)本或校本資源積累下來，成為有地方特色的、本土化的教學資源的一部分，利于本區(qū)域的其他學校教師或本校其他教師進行學習和討論。通過錄播教室的互動直播功能，還可以方便地實現(xiàn)雙向交流，建立起一個由教研人員與一線教師共同參與的、校際與學科相交的立體式教研網(wǎng)絡。突破原來教研只能小范圍、短時間互動的局限，增強教師參與教研的自主性，問題反饋的及時性和互動交流的廣泛性，實現(xiàn)教學與教研同步，開創(chuàng)一種多主體、跨時空、低成本、高效率的教學研究新途徑。3）課后反思評價課堂上這些寶貴的生成性資源不僅可以作為一種教學資源傳遞、傳播給其他學校、其他班級的學生，還可以作為一種重要的資料保存下來。通過查看優(yōu)秀的課例視頻，教師可以吸收優(yōu)秀教師的課堂教學經(jīng)驗，學習有效的教學方法和技能，獲取優(yōu)質(zhì)的教學資源和資料，進而豐富和充實自己的課堂；通過觀看自己教學的課堂實錄，教師可以及時總結自己的經(jīng)驗和不足，反思教學，進而重新審視自己的教學理念和方法，提升教學技能?；緲嫵杉肮δ?/p>

錄播教室主要由錄播工作站、教師/學生跟蹤主機、攝像機、錄播軟件等構成。具體如表：環(huán)境構成

1、錄播工作站2、教師/學生跟蹤主機3、攝像機4、錄播軟件

基本功能

（1）可以進行課堂實錄：智能化地進行畫面調(diào)整與切換，符合視覺習慣。教師和學生無須佩帶任何跟蹤設備，也無須進行任何操作，實現(xiàn)完全常態(tài)化的課堂拍攝，豐富教學資源。

（2）可以進行互動錄播：實現(xiàn)班級與班級之間的課堂互動，打破了空間局限，實現(xiàn)了跨空間的課堂互動和資源共享。

（3）支持教學教研：可以高質(zhì)量、高清晰度地記錄課堂情境，為網(wǎng)絡化的課程評估、老師技能評價和培訓提供技術平臺。

（4）可方便地生成課例資源，充分展示和再現(xiàn)優(yōu)秀教師的教學現(xiàn)場以及師生互動的活動細節(jié)，利于區(qū)本或校本優(yōu)質(zhì)教學資源的積累。

擴展功能

IP網(wǎng)絡多媒體教學綜合應用系統(tǒng)：統(tǒng)一、互聯(lián)互通、可管理、可運營的區(qū)域級綜合平臺。能夠?qū)崿F(xiàn)中央、省、地方三級多種格式教育、教學資源接入，實現(xiàn)教育主管部門對每一個班級教學應用的在線、實時管理，能夠支持計算機、機頂盒、3G手機等終端調(diào)用資源。環(huán)境點評

錄播教室的建設是“班班通”工程中實現(xiàn)校際互動的主要解決方案。利用錄播教室既可以對課堂進行實時地互動直播，促進不同課堂中的教師與學生、資源與活動的全面融合，又可以結合課堂實錄進行及時互動的教學研討，實現(xiàn)跨時空、高時效的教研新模式，還可以作為教師課后反思評價、提升技能的重要工具。錄播教室主要適用于進行校際互動，或以區(qū)域或?qū)W校為單位生成區(qū)本或校本的教學資源，進行區(qū)域性的教研互動活動等。錄播系統(tǒng)與相對小巧、簡單的錄播軟件相比，主要有以下幾點不同：首先，錄制展示的重點不同。由于受到軟件功能的限制，錄課軟件生成的課堂實錄文件以展示教學課件內(nèi)容（屏幕錄制信息）為主，同步展示攝像頭視頻錄制內(nèi)容（教師的授課肢體語言）、語音內(nèi)容，以及課程信息和索引。大型錄播系統(tǒng)配備了強大的教師/學生跟蹤主機，系統(tǒng)可以自動控制攝像機云臺，選取最佳取景范圍自動跟蹤教師和學生，使課堂得到極大程度地真實再現(xiàn)和還原，與錄課軟件相比，更加側重對教學中教師和學生主體行為的展現(xiàn)。其次，基于兩者在錄制展示重點上的不同，其各自適用的范圍也不同。錄課軟件比較適合于支持講授的教學模式展示，而錄播系統(tǒng)借助其強大的導播功能，不僅可以支持講授型的教學模式，還可以很好地支持對以自主、合作、探究為特征的活動教學的展示。最后，應用方式不同。錄課軟件錄制出的課堂實錄文件，通常是在上傳到校、區(qū)、市的教學資源網(wǎng)站上以后，供其他教師下載學習和觀摩，教師之間的交流更多地采用異步的方式，時效性不高。而錄播系統(tǒng)錄制的課堂實錄，更多地以直播的方式加以傳播和共享，有利于教師與教師之間、學科教學專家與教師之間，甚至在兩個班級的教師與學生之間展開實時地交流和互動，靈活性更強，時效性更高。1.4微課室微課作為一種新型的教學資源，能突破傳統(tǒng)教育的時空限制，為學生提供精準、快速的知識要點。微課已經(jīng)成為傳統(tǒng)教育的輔助性工具，為師生提供一種全新教學模式。分析微課的錄制實際上是不拘泥于環(huán)境設備的，可以高大上，也可以樸實親民，所以錄制場地就不那么固定了。簡單用于學生的實用微課可以是錄像機直接攝錄課堂授課過程，然后通過后期剪輯出精華。但是這種看起來比較粗糙，連貫性可能會比較差。所謂高大上，其實就是在錄播教室中采用一些現(xiàn)代化教學手段來進行微課錄制。通常錄播室最主要的優(yōu)點是在于攝錄中光線的穩(wěn)定和錄制聲音的清晰。通常使用現(xiàn)代教育手段的微課形式有這么幾種1、單純ppt2、ppt+板書3、背投形式講解4、扣綠（藍）技術成像。一般情況下教師會采用1,2兩種。3,4兩種基于學校錄制環(huán)境建設，背投和虛擬錄播室在高校中占有量并不很大，還有也是因為扣綠（藍）技術對視頻制作的教師有著極高的要求。其實如果授課教師有一定計算機基礎，錄屏講解也是比較實用的微課形式，所以說，授課教師自己也是可以錄制微課的。設計根據(jù)上面分析，我們了解到使用PPT+錄屏講解是比較實用的微課制作形式，也是目前授課老師最容易學習的一種微課錄制方式。對現(xiàn)有資源能夠充分利用、有效整合，為了滿足微課程資源創(chuàng)生的前期數(shù)據(jù)采集與后期數(shù)據(jù)編輯，每間工作室配備工作站級高清視頻編輯處理設備，結合錄播教室移動錄播設備，照明和錄音環(huán)境，構建微課程素材，作為建設起點，后期根據(jù)各校使用效益進行調(diào)整和完善。1.5班班通班班通是指學校每個班級里具備與外界進行不同層次的信息溝通、信息化資源獲取與利用、終端信息顯示的軟硬件環(huán)境，實現(xiàn)信息技術與學科日常教學的有效整合，促進教師教學方式和學生學習方式的變革，最終促進學生的發(fā)展?！鞍喟嗤ā弊鳛榻逃畔⒒瘧寐鋵嵉矫總€班級終端設備，是整個教育信息化建設不可缺少的部分。**區(qū)“班班通”設備已經(jīng)覆蓋所有教學班級，剩下部分功能室還待繼續(xù)完善，為更好使“班班通”設備運用于教育教學，將對“班班通”設備進行增補和運維。1.6辦公云桌面桌面辦公系統(tǒng)現(xiàn)狀分析隨著計算機技術的普及，計算機在人們?nèi)粘＾k公中已必不可少。但對于分散數(shù)據(jù)存儲、獨立計算的傳統(tǒng)的IT架構，系統(tǒng)穩(wěn)定性不足、維護成本高、信息安全漏洞多等問題，也越發(fā)的暴露出來。為解決這些問題，IT運維人員不得不增設各種IT維護、內(nèi)網(wǎng)管控、端口管控、DLP等系統(tǒng)。原本簡單的需求，變得更加復雜，系統(tǒng)建設和運維成本也隨之大幅提高。傳統(tǒng)桌面終端多為X86架構的計算機，具備性能優(yōu)勢，但在系統(tǒng)穩(wěn)定性、可維護性、數(shù)據(jù)安全、功耗、體積等方面，存在問題。X86架構的標準計算機存在的不足有：穩(wěn)定性弱計算機自身架構負責原因，經(jīng)常出現(xiàn)宕機故障；機械硬盤、風扇等部件的存在，沖擊和振動容易導致部件的不可修復性損壞。操作系統(tǒng)、應用軟件需要定期維護，否則容易產(chǎn)生軟件故障，導致死機。自身發(fā)熱大，如散熱不良，易發(fā)生藍屏死機。系統(tǒng)維護成本高終端不支持遠程配置，須逐一配置管理，耗時、耗力大。故障不能遠程修復，必須現(xiàn)場維修，故障恢復時間長，耗費人力大。操作系統(tǒng)、應用軟件、病毒查殺等系統(tǒng)維護工作，也必須逐一升級維護，工作量大，維護效果差。數(shù)據(jù)安全難以保證每個終端都是數(shù)據(jù)的駐留區(qū)，都是數(shù)據(jù)安全保護的薄弱環(huán)節(jié)。每個終端的端口，較難統(tǒng)一管理，因各種外設的使用，容易導致系統(tǒng)感染病毒。功耗高單機功耗不低于100W，需要消耗大量電能。體積大大塊頭的機箱，需要足夠大的空間來擺放。噪聲大單機噪聲30db以上，打破了辦公區(qū)的寧靜氛圍。怎樣的桌面辦公系統(tǒng)，在滿足桌面辦公需求的同時，同時兼?zhèn)浜唵我子茫叩姆€(wěn)定性、安全性，系統(tǒng)維護管理簡單方便，更低的功耗，更小的體積等特性？針對以上問題，本設計方案，采用虛擬桌面平臺，搭配使用云終端。在滿足計算性能的同時，又兼具系統(tǒng)安全、穩(wěn)定、易維護、低功耗、零噪聲等特點，可以完全解決桌面辦公系統(tǒng)所存在的問題。該系統(tǒng)，不僅提高辦公效率，又可大幅降低系統(tǒng)的總擁有成本，完成云計算基礎架構的建設。目前，僅考慮在教育局機關進行辦公云桌面試運行。1.7硬件設備參考參數(shù)數(shù)據(jù)中心機房建設序號產(chǎn)品名稱設備功能描述設備主要參數(shù)1核心交換系統(tǒng)提供多插槽升級，多核心虛擬化技術，分布式多引擎設計，匯聚學校和教育局，搭建城域網(wǎng)骨干，集中數(shù)據(jù)交換。同時支持集中認證功能，與認證軟件配合，完成實名制認證上網(wǎng)。簡化認證方式，提供高性能認證能力。10槽位以上機箱，模塊化設計；冗余電源模塊，提供24端口千兆以太網(wǎng)光口+4端口萬兆以太網(wǎng)光口,24端口萬兆以太網(wǎng)光口+4端口40G以太網(wǎng)光口2防火墻多業(yè)務防火墻，作為整個城域網(wǎng)出口防護設備，支持七層安全防護，防攻擊、防病毒等，保護互聯(lián)網(wǎng)出口安全萬兆防火墻，冗余電源，提供千兆管理口（可以作為業(yè)務口），console接口；千兆電口；內(nèi)置120G以上的SSD硬盤；1個USB口；3出口網(wǎng)關部署在互聯(lián)網(wǎng)出口區(qū)域，提供流量控制、上網(wǎng)行為管理審計功能。固化8個千兆電口，固化8個千兆光口，固化4個萬兆光口，2個擴展插槽，內(nèi)置500G硬盤，兩個硬盤插槽，內(nèi)置風扇，1+1冗余電源，獨立管理口，支持RUL過濾、上網(wǎng)行為管理與審計功能，特征庫免費升級4熱點緩存加速機架式設備，支持下載、流媒體、P2P、智能終端加速；內(nèi)置10TB存儲空間，1+1冗余電源，提供免費升級熱點資源緩存加速，部署在中心機房，互聯(lián)網(wǎng)熱門視頻和下載資源提前緩存至本地，各個學校提供本地化訪問，提高訪問體驗5入侵防御系統(tǒng)入侵防御系統(tǒng)，支持對病毒、漏洞、木馬等安全危險的控制，符合安全等保三級設計要求。千兆入侵檢測防御系統(tǒng)，固化千兆電口和擴展槽，冗余電源。6認證防代理網(wǎng)關實名制認證防代理，防止學校老師私接路由器、防止賬號共享給他人使用。7運維審計對中心機房的所有設備的登陸、調(diào)試、配置信息進行審計記錄，防止設備配置被篡改8無線控制器用于對學校和教育局的無線AP進行集中配置管理高性能無線控制業(yè)務模塊；最大可支持2560個無線接入點的管理，支持墻面式或面板式AP，接入場景下整機最大控制4000個AP9準入認證系統(tǒng)實名制認證軟件，部署在服務器上。通過賬號對全區(qū)所有用戶進行認證登陸。做到實名制。10日志管理系統(tǒng)日志審計軟件，將所有設備的日志、上網(wǎng)行為審計日志收集起來存儲在服務器上軟件產(chǎn)品，提供日志審計、流量報表、ACE審計11運維管理系統(tǒng)運維管理軟件，部署在服務器上。將城域網(wǎng)所有網(wǎng)絡設備、無線AP、服務器、存儲、系統(tǒng)、數(shù)據(jù)庫、業(yè)務系統(tǒng)進行集中監(jiān)控管理，自動定時巡檢城域網(wǎng)運行狀態(tài)。提供城域網(wǎng)所有設備的配置管理、設備告警通知等。并通過顯示大屏在教育局信息管理中心進行展示。標準Windows平臺

基于Wind