中学校园网络建设方案详细.docx

中学校园网络建设方案详细.docx

《中学校园网络建设方案详细.docx》由会员分享，可在线阅读，更多相关《中学校园网络建设方案详细.docx（29页珍藏版）》请在冰点文库上搜索。

中学校园网络建设方案详细

数字化校园网络建设方案

第 1 页

1普教数字化校园建设与应用概述..........................................................................................3

1.1数字化校园概述 .........................................................................................................3

1.2数字化校园的应用现状..............................................................................................3

1.3数字化校园的发展阶段及趋势..................................................................................4

2xxx 中学网络需求分析 ..........................................................................................................5

2.1XXXXX 中学网络现状...................................................................................................5

2.3.1需求不间断的基础网络平台..........................................................................5

2.3.2需求易管理的网络运维..................................................................................5

2.3.3需求安全报障..................................................................................................6

2.3.4需求统一身份认证..........................................................................................6

2.3.5需求单点登录、统一信息门户......................................................................6

3XXXXX 中学数字校园建设设计...............................................................................................6

3.1数字校园整体架构 .....................................................................................................6

3.2XXXXX 中学改造网络拓扑...........................................................................................7

4XXXXX 中学数字校园网络解决方案.......................................................................................8

4.1核心网络设计 .............................................................................................................8

4.1.1核心网建设 .....................................................................................................8

4.2接入设计 ...................................................................................................................12

4.3学校网络出口设计 ...................................................................................................13

4.3.1出口智能流控审计........................................................................................13

4.4无线网设计 ...............................................................................................................14

4.4.1无线规划 .......................................................................................................14

4.4.2无线信息统计................................................................................................17

4.5安全设计 ...................................................................................................................18

4.5.1数字化校园的安全设计思想........................................................................18

第 2 页

1普教数字化校园建设与应用概述

1.1数字化校园概述

目前，什么是数字化校园尚没有一个明确的定义，但相对使用较多的一个定义是：

以网络为

基础，利用先进的信息手段和工具，将学校的各个方面，从环境（包括网络、设备、教室等）、

资源（如图书、讲义、课件等）、到活动（包括教、学、管理、服务、办公等）数字化，逐步形

成一个数字空间，从而使校园在时间和空间上获得延伸，在现实校园基础上形成一个虚拟校园。

数字化校园旨在用层次化、整体性的观点来实施校园信息化建设，利用校园网把教学资源和管理

信息更好地组织分类，为教学工作提供基于网络环境的信息化教学平台，为管理、科研工作提供

基于网络环境的信息化管理平台。

1.2数字化校园的应用现状

XXXX 在全国做了近 2 万个中小学项目，同时，进行大量的现场调研工作，根据目前学校业

务应用的使用情况，大体上把业务系统分为三类，教学管理、行政管理及特色应用等。

行政管理中的业务系统的服务端大部分在信息中心，学校作为客户端使用，主要是为了提高

行政管理的效率，包括 OA 办公、一卡通、人事管理、财务管理等；教学管理中的大部分业务系

统各个学校都会独立建设，主要是为了提高教学管理的质量，包括数字广播、备课系统、多媒体

录播系统等，实际上，目前行政管理和教学管理的业务系统基本上各地都已经建设了，差别在于，

第 3 页

特色应用中的业务系统各个学校根据自己的情况建设的侧重点不一样，如各地目前关注度比较高

的特色业务系统包括网上阅卷系统、多媒体录播系统、同步课堂等。

1.3数字化校园的发展阶段及趋势

校园数字化建设不可能一蹴而就，它的实现是一个长期努力的过程，从全国数字化校园的现

状和发展趋势分析，数字化校园建设经历了四个阶段，包括网络集成、系统集成、应用集成、数

据集成共四个阶段。

第一阶段网络集成，主要以基础网络建设为主，大部分普通中小学处于网络集成这一阶段，

考虑的是基础网络如何建设，如怎么建设有线校园网、无线校园网、校园网安全加固等。

第二阶段系统集成，以业务系统建设为主，大部分重点中小学处于这一阶段，考虑业务系统

如何建设，如一卡通系统，是作为刷卡消费，还是门禁控制、电梯控制，课程管理、多媒体录播

系统怎么建设，如何监控这些业务系统的运行，业务系统的数据安全保证等。

第三阶段应用集成，主要是做统一身份认证平台、单点登陆系统等，信息化做的比较好的重

点中小学在规划应用集成，如何把有线、无线、远程 VPN 等各种不同接入方式统一纳入一个平台

进行管理，多媒体录播、OA 系统、视频监控等一系列业务系统，如何实现单点登陆，方便师生

的使用。

第四阶段：

数据集成，主要实现数据开发标准、数据结构的统一，实现各个业务系统间的数

据实时共享，由于数据集成涉及到应用系统的大量开发工作，周期长，投入大，目前，普教学校

涉及应用集成方面的比较少。

第 4 页

2xxx 中学网络需求分析

2.1XXXXX 中学网络现状

网络部分采用二层架构，学校网络机房交换机全部采用旁挂的傻瓜接入交换机，目前网络无

可视化网络管理能力。

核心机房交换机和办公机房交换机通过光猫收发设备连接。

现场勘察了解到，核心设备由于

接口受限制，无法进行扩容。

学校的无线为电信建设，采用室分部署模式，信号覆盖强，但并发用户多的时候体验差。

且

不能进行实名认证，不能满足学校现今网络需求。

由于带宽出口有限，网络出口设备没有进行流量控制和审计，校园内老师网络体验差。

2.3.1需求不间断的基础网络平台

稳固的硬件平台是整个学校信息化建设的基础，犹其大数建设的地基，决定了学校未来信息

化建设的档次。

XXXXX中学属于xx市重点师范小学，必须具备5-10年的前瞻先进性硬件支撑平台

需要实现7x24x365持续不间断运行。

2.3.2需求易管理的网络运维

许多中小学数字化校园网络的现状是，学校的设备多，系统多，问题多，人员少；设备多，

包括交换机，防火墙，路由器等；系统多，包括 OA 系统、邮件、课程管理系统、多媒体录播系

统等。

一般只有 1-2 个信息技术老师进行相关的管理维护工作，如何保障学校信息化的应用稳定

运行呢？

实际上，业务支撑平台的运维和管理需要解决三个方面的问题。

Ø当领导或兄弟单位进行参观时，能可视化的展示学校信息化的成果。

Ø实时了解信息化建设的现状，为学校升级改造提供支撑

Ø帮忙快速定位故障，解决日常管理维护问题。

IT 信息系统发挥的价值很大程度上取决到日常运维。

但 IT 系统是涉及硬件、业务系统、数

据库、中间件、机房等众多因素，众多品牌的信息系统，极为复杂。

同时实验学校管理老师人员

较少，配套采取服务外包模式，然而外包人员的服务水平参差不齐，服务质量难以保障，面向未

第 5 页

来，学校在信息化运维方面将面临较大压力。

因此，学校需要建设良好的网络系统综合管理平台，实现 IT 运维信息化，使 IT 系统稳定、

可靠、安全的运行，运维工作步入一个有序的、规范的层次，使 IT 系统更好的为业务系统提供

服务，从而提高整体运行效率，提升运行服务水平和档次。

2.3.3需求安全报障

如何满足公安、上级部门的安全检查要求？

学校的门户网站、资源系统被挂马或被篡改？

接入不可控，安全隐患怎么解决？

安全不是孤立的，如何形成整体安全体系？

业务支撑平台的安全部分主要是打造“全方位的立体安全保障体系”，为学校信息化保驾

护航！

2.3.4需求统一身份认证

有线、无线、VPN 等网络设备的接入用户分散，公共认证平台主要提供统一的身份认证平台。

2.3.5需求单点登录、统一信息门户

随着学校信息化建设不断完善，学校将会拥有各种各样的应用系统，各类业务还会不断建

设和规划。

用户必须记住多个用户的用户名和密码，以及不同业务系统的 URL 链接，造成了诸多

不便。

因此，建议学校建立统一门户平台，同时提供了一站式单点登录功能，即通过用户的一次

性鉴别登录，可获得需访问系统和应用软件的授权，实现“一次登录、随处访问/全网漫游”；

从而提高用户的工作效率，提升用户满意度。

第 6 页

3XXXXX 中学数字校园建设设计

3.1数字校园整体架构

结合 XXXX 校园网建设经验和教育信息化的专家分析，通过大量的调研，提出数字化校园

3+N+1 整体架构，3 表示 3 个平台，基础设施平台、应用支撑平台、公共认证平台，1 指的是通

过单点登录实现 1 个统一门户，N 指的是重点中小学的 N 个业务系统。

如下图：

数字化校园建设的核心是教育信息化业务系统的建设，业务系统向下由三个平台进行支撑

保障，向上形成单点登录、统一门户，为学生、教师、领导、家长、公众等提供服务。

基础设施平台，包括软件、硬件、PC、服务器、有线、无线等基础设施平台的建设。

应用支撑平台包括数字化校园的整体安全考虑、整个信息化业务的运维管理等。

公共平台主要包括统一的身份认证平台、权限管理系统等平台的建设。

统一门户是整个数字校园的访问入口点，给用户提供个性化的使用界面，用户进入门户后，

除了可以看到公共信息外，只能看到与其身份相关的各项服务，成为用户的个性化网络门户。

N 个业务应用系统，是指用于学校教学、科研、管理、服务的各种应用系统，用于解决各类

用户对信息管理和信息服务的需求，是信息化建设的主要内容。

数字化校园更好的支撑学校信息化的应用，还需要做好“数据信息标准”及“运行管理保

第 7 页

障体系”两个方面，运行保障包括组织机构、人员培训、管理规范等，信息标准包括技术标准

（应用开发）、数据结构标准、信息化评估体系等。

3.2XXXXX 中学改造网络拓扑

数字化校园整体架构中，XXXX 涉及到基础网络平台、公共认证平台、运维支撑平台及单点

登陆统一信息门户的建设，具体如下：

一、基础网络平台包括有线、无线、核心平台、网络出口等基础网络建设。

二、公共认证平台由两个核心组件支撑，SMP 身份认证软件，无线控制器自带 Portal 认证

页面。

通过有线、无线等各种不同方式的统一实名接入，实现网络层的实名认证、实名访问权限

控制、实名流控和审计等。

考虑到实际应用和学校自身网络现状，此次数字话校园网络建设主要体现在主干网和计算

机教室的建设。

4XXXXX 中学数字校园网络解决方案

4.1核心网络设计

第 8 页

4.1.1核心网建设

核心交换平区部署两台基于十万兆平台设计的核心交换机，考虑到预算问题，此次只部署

一台核心，并配置有双引擎和双电源模块，放置单点故障。

设备本身支持业界先进的虚拟化技术 VSU 虚拟化技术，之后网络规模扩大的时候可以实现

双机虚拟化热备，提高网络高可用和高稳定性。

并且设备本身支持扩展槽，支持校区扩建和网络

扩容。

虚拟化

采用 VSU 虚拟云交换技术，将两台物理核心交换机虚拟为一台逻辑上统一的设备，使其能

够实现统一的运行，从而达到减小网络规模，同时极大提高网络稳定健壮性，控制故障恢复时间。

VSU 虚拟云交换特性

使用 VSU 后，两台核心设备逻辑上变成一台。

从而简化了网络拓扑。

网络中不再需要生成

树、VRRP 等复杂的协议，大大降低配置维护工作量。

接入交换机上联等同于双链路连接到一台

核心上，实现跨设备链路聚合。

即使一台核心或上联链路中断，也可实现快速切换。

切换时间控

制在 50ms 以内，相当于普通数据包转发的时延这，不会对业务流畅运行产生任何影响。

硬件无单点故障

XXXX 核心骨干交换机 RG-S8600 系列均在设备本身的重要部件上进行了无故障设计。

第 9 页

主要体现在：

●双管理引擎冗余热备

●双路电源，负载均衡供电

●6 风扇冗余设计，互为备份

●零故障无源背板设计

操作系统模块化

通用操作系统 RGOS 自 2000 年开发至今，已成为 XXXX 全线交换路由产品统一的系统平台。

RGOS 模块化操作系统设计原理图

⏹这是一种模块化软件平台（对软件系统进行划分之后，将不同的系统任务分割成一些

很少交互的可管理子集）

⏹系统内核通过 POSIX 连接各功能模块。

各功能模块独立，故障隔离，提升新功能开发

测试效率和系统稳定性。

⏹RGOS 系统内核通过 POSIX 接口连接硬件抽象层，扩展支持多种网络产品，如交换机、

第 10 页

路由器、出口设备等。

通过 RGOS 的开放性设计，可以整合多种产品资源，加速产品与

技术发展。

利用多种网络产品组网形成基于 RGOS 的智能、融合的 IP 网络。

引擎切换无中断

RG-S7800 系列交换机支持 UISS 无中断引擎切换技术，保证主从管理板的切换在 1 秒间实现，

同时在切换过程中，各主机线卡可以继续转发原有的数据流，不影响网络业务的正常透明运行，

实现管理板的平滑切换，极大地保证了核心的可靠性和网络可用性。

∙具体切换过程及实现

1、切换前状态信息同步

2、主引擎出现故障时，数据不间断转发

3、备份引擎启动，故障引擎重启动，备份引擎下发 FIB 表更新，待故障引擎重启完毕后，

新的主引擎将状态信息同步到重启后的引擎，此时完成切换。

UISS 热备份设计可以保证 RG-S7800 系列交换机主从管理板的切换在 1 秒间实现，同时在切

换过程中，各主机线卡可以继续转发原有的数据流，不影响网络业务的正常透明运行，实现管理

第 11 页

板的平滑切换，极大地保证了 XXXX 设备的可靠性和网络可用性。

硬件自动保护

目前众多的网络病毒都是通过对网络设备的 CPU 上进行特定协议的攻击，利用伪造的数据包

瞄准具体协议，向网络设备发动攻击。

方案中的交换机通过硬件的方式对发往控制平面的数据进行分类，把不同的协议数据归类到

不同的队列然后对不同的队列进行限速，专门对路由引擎进行保护，阻挡外界的 DOS 攻击。

而且

并不影响转发速度，所以 CPP 能够在不影响性能的前提下，灵活且有力的防止攻击，而且保证了

即使有大规模攻击数据发往 CPU 的时候依然可以在交换机内部对数据进行区分对外。

CPP 提供三种保护方法，来保护 CPU 的利用率。

第一，可以配置 CPU 接受数据流的总带宽，从全局上保护 CPU。

第二，可以设备 QOS 队列，为每种队列设置带宽。

第三，为每种类型的报文设置最大速率。

安全防御

本方案全线交换机包括接入、汇聚、核心均可自动检测常见攻击行为，并自动下发相关策略，

阻断网络攻击，恢复网络正常。

第一可有效保护网络稳定性，阻绝各类攻击，第二无需管理员手

工参于，提高管理效率，降低管理运维难度。

基于设备自身安全的技术必须基于 CPU 和端口为主要出发点。

目前业界已开发了一些用于防

攻击的功能模块（比如：

ACL、QOS、URPF、SysGuard 、CPP 等等），通过这些功能模块自行建立攻

击检测和保护的机制，并提供对外的管理接口。

为了在这个日益重视安全性的环境中应对日益复

第 12 页

杂的攻击，XXXX 开发出基础网络保护策略（Network Foundation Protection Policy），简称 NFPP。

NFPP 技术能够对设备本身实施保护，通过对报文流进行限制、隔离，以保证设备及网络可靠、

安全、有效地运行。

NFPP 通过接受报文的端口或者对送往 CPU 的报文进行攻击检测，采取相应保护措施，从而

达到对管理面、数据面和控制面的保护作用。

4.2接入设计

接入主要是负责本校区内的信息点互联起来，为各个信息点提供 layer2 层接入功能。

特别

是学校网络教学机房和教室的有线信息点。

使用千兆接入的全网管交换机，实现千兆用户到桌面。

接入主要完成以下功能：

Ø结合 web portal 认证系统，部署 802.1.X 协议，实现“入网身份认证，也可升级

实现主机健康检查、网络安全事件监控与主动防御”。

Ø通过 VLAN 定义实现业务划分。

Ø实现 QoS，对数据包进行分类和标记。

Ø接入网作为用户终端接入校园网的唯一接口，在为用户终端提供高速、方便的网络

接入服务的同时，需要对用户终端进行入网认证、访问行为规范控制，从而拒绝非

法用户使用网络，保证合法用户合理使用网络资源，并有效防止和控制病毒传播和

网络攻击。

Ø当前的数据网安全正遭受严峻挑战，病毒、外部入侵（黑客）、拒绝服务攻击、内

部的误用和滥用，以及各种灾难事故的发生，时刻威胁着网络的业务运转和信息安

全。

但与此同时，大多数正在使用的网络安全系统都缺乏真正的全局防护能力。

当

网络受到来自各方面的攻击时，整个网络系统的稳定性将无从谈起，可以看出，计

算机网络的安全防护能力是影响网络系统稳定可靠性的重要因素之一，网络设备作

为网络系统的基础平台，其安全防护能力显得尤为重要，尤其是接入层交换机。

4.3学校网络出口设计

4.3.1出口智能流控审计

XXXXRG-EG2000 系列网关产品是适用于多个行业的业务加速类网关产品。

设备配以高性能的

第 13 页

MIPS 多核硬件体系架构，拥有业务加速通道、精准流控、上网行为管理、可视化 VPN 、智能选

路、防火墙、高性能的 NAT、Web 认证等多个功能。

凭借着丰富的功能，RG-EG 系列能够极有效

的优化用户网络，规范上网行为，全方位的加速关键业务开展，提高业务系统使用体验。

RG-EG 系列设备的产品特性和价值：

业务加速通道——成倍提高关键业务访问速度，提升业务系统使用体验

RG-EG2000 系列网关支持业务加速通道功能，可以通过传输数据压缩、传输数据去重、低质

线路优化、TCP 协议栈优化、多线路捆绑等多个互联网加速技术，有效解决远程访问总部业务系

统慢的问题，达到成倍提升业务系统访问速度的效果，使得业务系统可以真正的开展起来。

精准流控——保障关键业务带宽，业务开展通顺流畅

RG-EG2000 系列网关，可以实现对网络带宽资源的全面管控，让带宽空闲时随意使用、带宽

紧张时按需分配，保障关键业务的顺畅开展。

RG-EG2000 系列网关能精准识别 P2P 应用、流媒体、

企业办公系统等 30 大类、1500 多种应用特征，可实现更加精细合理的进行带宽管理。

上网行为管理——规范上网行为，提高工作效率

RG-EG2000 系列网关对内网用户的上网行为进行精细化管理。

屏蔽各种与工作无关的网站，

营造良好工作