IPv6+教育專網建設指南版本1.0編寫說明編寫委員會曾德華(中國教育技術協(xié)會副會長)、李俊風、盧永平楊加園程劍、孫鵬飛、趙祎鑫張杰、郭曉東、魏錫源、梁翔、宋海波、宋繼冉、黎胤、梁展鴻、楊生華、李浩、童暉、郝志杰、宋毅軍、白尚旺、俞奇峰、郭金亮、文慧智、韋乃文、吳哲文徐峰、李鑫、張力、張曉敏、陳明、陳元波、曹平、柳林、姜立國、李可可、朱倩雯、楊帆華為技術有限公司山東大學中南大學福建省教育廳信息中心江蘇省教育廳電化教育館甘肅省電化教育中心廣東省教育廳事務中心山東省教育廳電化教育館湖南省教育廳信息中心廣西壯族自治區(qū)教育廳教育技術和信息化中心山西省教育協(xié)會九江市教育技術和裝備發(fā)展中心寧波市教育服務與電化教育中心中國石油大學山西大學四川師范大學太原科技大學太原市杏花嶺區(qū)教育局幾 2.1政策環(huán)境 2.2業(yè)務挑戰(zhàn) 3.1設計目標 3.2方案架構 3.2.1省級教育城域網 3.2.2市級教育城域網 3.2.3區(qū)縣級教育城域網 3.2.4校園網 4.1云化管理 4.1.1三個統(tǒng)一：助力網絡管理效能提升 4.1.2業(yè)務隨行，教職工跨校區(qū)授誤體驗隨身 4.2體驗保障 4.2.1一網多面，資源隔離多業(yè)務承載 4.2.2三個課掌，在線教學視頻質量保障 4.3智能運維 4.3.1隨流檢測，輔助故障快速定位 4.3.2數字地圖，全網態(tài)勢一圖可視 4.4綠色安全 4.4.1互聯網出口，多級安全防護 4.4.2安全云化服務，靈活部署快返響應 5.1甘肅省教育專網 5.3上海市浦東區(qū)教育專網 5.4四川省達州市達州區(qū)教育專網 38 01前言習近平總書記說過，“建設教育強國，是全面建成社會主義現代化強國的戰(zhàn)略先導，…教育數字化是我國開辟教育發(fā)展新賽道和塑造教育發(fā)展新優(yōu)勢的重要突破口”。隨著教育數字化的快速發(fā)展，對網絡性能要求也越來越高。目前，全國中小學(含教學點)互聯網接入率達到100%,99.9%的學校出口帶寬達到100兆以上，超過四分之三的學校實現無線網絡覆蓋，99.5%的學校擁有多媒體教室，建成了國家智慧教育平臺，網絡教學空間融合的泛在化學習形態(tài)已基本形成[1]。同時我們也看到，由于地理條件、經濟發(fā)展、教育資源配置等原因，城鄉(xiāng)之間的教育發(fā)展不均衡問題還比較突出。各區(qū)域的教育專網建設理念，建設方案不統(tǒng)一，建設過程中還面臨如何快速部署線上業(yè)務、統(tǒng)一地址分配、統(tǒng)一用戶認證、線上教學保障和網絡統(tǒng)一運維等問題。近年來，ICT技術的高速發(fā)展，新的信息化、數字化和智能化技術不斷涌現；利用ICT技術，進行區(qū)域基礎教育信息化，為教育均衡發(fā)展提供了通道，為公平教育夯實了基礎。實際上，教育專網建設中遇到的問題，在電信運營商城域網和政務外網等建設中也曾出現過。經過幾年來的實踐，產業(yè)界和政策面已形成了共識，即利用基于“IPv6+”的新型網絡技術體系破解網絡建設中的難題。并在23年4月23日，由工業(yè)和信息化部、中央網信辦、國家發(fā)展改革委、教育部、交通運輸部、人民銀行、國務院國資委、國家能源局等八部門聯合發(fā)布《關于推進IPv6技術演進和應用創(chuàng)新發(fā)展的實施意見》,明確提出基于分段路由(SRv6)、網絡切片、隨流檢測、應用感知等新技術，提供快速上云、路徑可編程、業(yè)務可感知、網絡內生安全等網絡能力，深化“IPv6+”行業(yè)融合應用、提升安全保障能力等五個方面部署15項重點任務。本文從教育專網的發(fā)展趨勢和挑戰(zhàn)入手，基于“IPv6+”網絡技術體系，構建了一個新型教育專網架構；詳細闡述了教育專網的云化管理、業(yè)務保障、智能運維和綠色安全等領域的方案；并結合甘肅、四川達州、上海浦東等區(qū)域的最新的“IPv6+”實踐，系統(tǒng)整理了“IPv6+”方案IPv6+教育專網建設指南02教育專網發(fā)展趨勢和挑戰(zhàn)》2.1政策環(huán)境·加速教育信息化建設，助力實現教育現代化習近平總書記在致國際教育信息化大會的賀信中強調，因應信息技術的發(fā)展，推動教育變革和創(chuàng)新，構建網絡化、數字化、個性化、終身化的教育體系，建設“人人皆學、處處能學、時時可學”的學習型社會，堅持不懈推進教育信息化，推動信息技術與教育融合創(chuàng)新發(fā)展，通過教育信息化，逐步縮小區(qū)域、城鄉(xiāng)數字差距，大力促進教育公平[2]。沒有信息化，就沒有現代化；沒有教育信息化，就沒有教育現代化。積極、有效地推進教育信息化已是國家戰(zhàn)略、社會共識[3]。近些年，國家陸續(xù)發(fā)布了相關政策，為教育信息化發(fā)展提供了良好的政策環(huán)境。·教育信息化1.0(2012-2018):2012年《全國教育信息化工作電視電話會議》中首次提出，要以建設好“三通兩平臺”為抓手，即“寬帶網絡校校通、優(yōu)質資源班班通、網絡學習空間人人通”,建設教育資源公共服務平臺和教育管理公共服務平臺。這是教育信息化1.0建設時期的核心目標與標志工程，通過完善學校教育信息化基礎設施，加強內容建設與共享，促進教學方式與學習方式的變革，建設好兩大平臺，為教育信息化建設提供堅實支撐[4]?！そ逃畔⒒?.0(2018-2022):2018年教育部印發(fā)的《教育信息化2.0行動計劃》標志教育信息化1.0向2.0時代邁進。該2.0行動計劃提出，到2022年基本實現“三全兩高一大”的發(fā)展目標，“三全”指教學應用覆蓋全體教師、學習應用覆蓋全體適齡學生、數字校園建設覆蓋全體學校；“兩高”指信息化應用水平和師生信息素養(yǎng)普遍提高；“一大”指建成“互聯網+教育”大平臺建成，推動從教育專用資源向教育大資源轉變、從提升師生信息技術應用能力向全面提升其信息素養(yǎng)轉變、從融合應用向創(chuàng)新發(fā)展轉變，努力構建“互聯網+”條件下的人才培養(yǎng)新模式、發(fā)展基于互聯網的教育服務新模式、探索信息時代教育治理新模式[5]。2020年，教育部《關于加強“三個課堂”應用的指導意見》中提出進一步加強“專遞課堂”“名師課堂”和“名校網絡課堂”(以下簡稱“三個課程”)建設，到2022年，全面實現“三個課堂”在廣大中小學校的常態(tài)化按需應用，建立健全利用信息化手段擴大優(yōu)質教育資源覆蓋面的有效機制，開不齊開不足開不好課的問題得到根本改變，課堂教學質量顯著提高，教師教學能力和信息素養(yǎng)持續(xù)優(yōu)化，學校辦學水平普遍提升，區(qū)域、城鄉(xiāng)、校際差距有效彌合，推動實現教育優(yōu)質均衡發(fā)展[6]。教育信息化2.0行動計劃是加快實現教育現代化的有效途徑?！そ逃F代化2035(2019-2035):2019年中共中央、國務院印發(fā)了《中國教育現代化2035》,提出推進教育現代化的總體目標是：到2020年，全面實現“十三五”發(fā)展目標，教育總體實力和國際影響力顯著增強，教育現代化取得重要進展。到2035年，總體實現教育現代化，邁入教育強國行列，推動我國成為學習大國、人力資源強國和人才強國[7]?！と斯ぶ悄苜x能教育行動(2024):2024年3月，教育部啟動人工智能賦能教育行動，圍繞人工智能通識教育、國家智慧教育平臺智能升級、教育專用大模型應用示范和數字教育出海實施“四大行動”,旨在用人工智能推動教與學融合應用，提高全民數字教育素養(yǎng)與技能，開發(fā)教育專用人工智能大模型，同時規(guī)范人工智能使用科學倫理，為教育發(fā)展注入新動能。教育信息化建設從1.0的“三通兩平臺”到2.0的“三高兩全一大”,再到人工智能精準教學，更加注重教育資源的深化應用和管理，更加強調智慧教育的全面覆蓋及“互聯網+教育”大平臺建設。基于教育信息化2.0提出的八大專項行動，其中包括業(yè)務層面的“三個課堂”,校園建設方面的智慧教育示范區(qū)、智慧校園，公共管理層面的“互聯網+網上辦事大廳”等專項已經在逐步落地推進，最終實現教育現代化2035目標。2021年，教育部等六部門印發(fā)《關于推進教育新型基礎設施建設構建高質量教育支撐體系的指導意見》,提出到2025年，基本形成結構優(yōu)化、集約高效、安全可靠的教育新型基礎設施體系，并通過迭代升級、更新完善和持續(xù)建設，實現長期、全面的發(fā)展。建設連接全國各級各類學校和教育機構間的教育專網(即充分利用國家公共通信資源，由國家主干網、省市教育網和學校校園網組成，實現網絡地址、域名和用戶的統(tǒng)一管理的教育專用網絡。),提升學校網絡質量，提供高速、便捷、綠色、安全的網絡服務；推動各級各類教育平臺融合發(fā)展，構建互聯互通、應用齊備、協(xié)同服務的“互聯網+教育”大平臺，為教育高質量發(fā)展提供數字底座；匯聚生成優(yōu)質資源，推動供給側結構性改革；建設物理空間和網絡空間相融合的新校園，拓展教育新空間；依托“互聯網+教育”大平臺，創(chuàng)新教學、評價、研訓和管理等應用，促進信息技術與教育教學深度融合；有效感知網絡安全威脅，過濾網絡不良信息，提升全方位、全天候的安全防護能力，保障廣大師生切身利益[8]?！吨笇б庖姟啡矫?、多維度對教育新型基礎設施建設提出了要求：·信息網絡新型基礎設施：建設分級教育專網，實現網絡統(tǒng)一管理，教育資源高速互聯，·平臺體系新型基礎設施：構建新型數據中心，促進教育數據應用，推動平臺開放協(xié)同，升級網絡學習空間。·數字資源新型基礎設施：開發(fā)新型資源工具，優(yōu)化資源供給服務，提高資源監(jiān)管效率。·智慧校園新型基礎設施：完善智慧教學設施，建設智慧科研設施，部署智慧公共設施。·創(chuàng)新應用新型基礎設施：普及教學應用，創(chuàng)新評價應用，拓展研訓應用，深化管理應用?！た尚虐踩滦突A設施：增強感知能力，保障綠色上網，推動可信應用，健全應用監(jiān)管。2023年，工業(yè)和信息化部等八部門共同印發(fā)的《推進IPv6技術演進和應用創(chuàng)新發(fā)展的實施意見》中提出，到2025年底，IPv6技術演進和應用創(chuàng)新取得顯著成效，網絡技術創(chuàng)新能力明顯增強，“IPv6+”等創(chuàng)新技術應用范圍進一步擴大，初步形成以IPv6演進技術為核心的產業(yè)生態(tài)體系，分段路由(SRv6)、網絡切片、隨流檢測、應用感知網絡(APN)和網絡智能化等成熟的“IPv6+”技術實現產品化落地，重點行業(yè)“IPv6+”融合應用水平大幅提升。其中，在智慧教育領域，應推動教育業(yè)務云上部署，支持開展云上教學、行政管理和公共服務，基于分段路由、隨流檢測等技術建設高質量傳輸的教育專網[9]?！ぁ癐Pv6+”是面向5G和云時代的智能IP網絡技術體系，具備智能超寬、智能聯接、智能運維三大特征?！癐Pv6+”網絡技術體系基于IPv6技術演進，包括了以SRv6、網絡切片、IFIT等協(xié)議創(chuàng)新，和以網絡分析、自動調優(yōu)等網絡智能化為代表的技術創(chuàng)新。·SRv6作為“IPv6+”的核心技術之一，SRv6的網絡可編程屬性，與集中管控相結合，提供基于帶寬、時延、Metric等多因子算路和故障快速重優(yōu)化及SLA劣化重優(yōu)化的能力，面向·網絡切片為業(yè)務提供資源隔離、確定性、差異化質量保障；·IFIT是一種隨流檢測技術，與傳統(tǒng)的探測技術不同，其逐包、隨流的檢測方式，極大提升了業(yè)務SLA檢測精度。IFIT與智能分析相結合，在端到端SLA檢測的同時，支持業(yè)務劣化自動逐跳檢測，精準定位質量劣化鏈路，使業(yè)務精細化運營成為可能。·APN6技術利用IPv6報文自帶的可編程空間，將應用信息(標識和或網絡性能需求)攜帶進入網絡，使能網絡感知應用及其需求，進而為其提供精細的網絡服務和精準的網絡運維。“IPv6+”技術的出現，為網絡的可服務化提供了更佳的技術選擇；“IPv6+”幫助網絡將網絡的數據和能力開放出來，真正實現自動化部署和智能化運維。》2.2業(yè)務挑戰(zhàn)教育專網是構建教育新基建目標的根基，現有的教育專網普遍滿足基本聯通性需求，但隨著教育現代化的穩(wěn)步推進，大數據、移動計算和人工智能的深度應用，傳統(tǒng)的教育網絡或因為網絡帶寬有限、或因為維護和管理不到位，難以滿足遠程互動、AR/VR在線教學、人工智能輔助等新型教育教學模式的網絡需求，面臨著諸多挑戰(zhàn)?！ば滦徒虒W業(yè)務質量保障難，業(yè)務水平難提升教育現代化正逐步從融合應用向創(chuàng)新發(fā)展演進，傳統(tǒng)線下教學模式逐漸轉向線下+線上教學直播授課并重，VR/AR、云桌面等新技術在教學中快速應用，無線教學終端接入、互動教學/VR新型業(yè)務對網絡有大帶寬低時延的訴求。如何滿足教學、教研和辦公等不同業(yè)務對網絡SLA的訴求，保障關鍵業(yè)務質量，是教育專網面臨的關鍵挑戰(zhàn)。以下是一些典型新型業(yè)務網絡需求：考務室等，考場出口總帶寬為監(jiān)控點位數*單個監(jiān)控點位碼流，比如，某考場共70個監(jiān)控點位，每個監(jiān)控點為1080p@30幀、H.264編碼(4Mbps),則總帶寬為280Mbps。因此，電子巡考場景對網絡質量的要求極高，時延抖動≤50ms,丟包率≤1*10-3、包誤差率≤1*10-·理化生實驗考試：《教育部關于加強和改進中小學實驗教學的意見》教基[2019]16號考后評”的信息化考場轉型。因此，大量理化生實驗考試視頻數據需要當天快速傳輸到市教育云，比如，某市考生約14萬，考場250場，在5月份考試期間，推算預計每天增加42TB的考試數據傳輸，需要當天傳輸完畢，加上考場內攝像頭、智慧大屏、電子班牌等公共設施，這些對網絡大帶寬強依賴。同時，Al視頻輔助閱卷準確性，必須保證視頻無卡頓、花屏等現象，對網絡傳輸質量要求很高，丟包率應小于0.1%。而現有校園網以傳輸辦公業(yè)務為主，無法滿足理化考場業(yè)務傳輸要求?！と齻€課堂：教師和學生通過互聯網/教育專網實現跨區(qū)域的遠程互動教學，比如遠程點名問答、無線投屏、全網直播、同屏板書等，助力解決各地區(qū)教學資源不均衡問題，這些功能要求上課網絡提供大帶寬和低時延的能力，否則就會影響教學效果，比如，“專遞課堂”業(yè)務，要求網絡時延抖動≤50ms(超過50ms容易出現卡頓/馬賽克),帶寬≥教學終端所需碼流之和；4K視頻帶寬要求達到8Mbit/s;遠程互動教學場景下要求帶寬達到250Mbit/s(1080P)·AR/xR實訓：Al/xR后端服務器在教育云，在學校實訓實驗室部署各種Al/xR終端，支持通過視頻遠程互動教學、Al課程資料包遠程上傳/下載、遠程操控Al終端、xR終端遠程模擬實驗/虛擬仿真實驗等方式，來實現Al/xR遠程實訓教學。其中，遠程操控Al終端、xR終端遠程模擬實驗/虛擬仿真實驗等端到端時延要求越短越好，通常要求≤20ms(入門階段云VRIPv6+教育專網建設指南時延要求≤20ms;理想體驗階段時延要求≤8ms),否則會產生操控卡頓導致實驗失敗、頭暈惡心/眩暈感等體驗較差的問題?！叭纸ㄔO，七分運維”,教育專網運維管理工作是切實保障網絡穩(wěn)定、安全運行，維護師生合法權益的關鍵。隨著網絡規(guī)模擴大、數據中心擴容，網絡設備、應用程序和用戶數量的增加，網絡數據量及其多樣化不斷增加，運維人員人均維護設備數激增。據賽爾網絡調研，目前教育網絡運維人員人均設備維護數已經達到1900臺。以某市教育專網為例，其教育專網覆蓋全市2500+教育單位和中小學校，近38萬臺終端設備，為近180萬師生提供服務[11],運維效率和運維質量面臨巨大挑戰(zhàn)。除此之外，理化生實驗考試、大型公開課、開學第一課等重要節(jié)點關鍵業(yè)務開展時，業(yè)務保障及其困難、師生體驗難以提升，往往要提前數天甚至數周進行保障準備，現場效果還不盡人如意。以某市為例，23年下半年20周內，云端課堂共發(fā)生80多起卡頓故障，其中近一半是網絡問題，每次定界定位都需要至少2-3天，運維人員希望能主動運維、快速定界。面對這些挑戰(zhàn)，當前大部分地區(qū)一方面依然采用以故障驅動為主的被動運維形式，依靠人工響應，無法預警潛在的隱患，無法風險預防，突發(fā)事故時極易導致業(yè)務中斷，信息系統(tǒng)技術服務一直處于“救火式”狀態(tài)，運維人員疲于奔命；另一方面，運維工具上依然以傳統(tǒng)網管為主，采用基于SNMP的協(xié)議進行網絡部署和告警接收，僅支持5分鐘粒度的數據采集，只能簡單感知端口級流量狀態(tài)，針對由網絡突發(fā)、無線空口干擾導致的丟包、在線課堂卡頓等問題缺乏有效定位手段，網絡及接入狀態(tài)不可視，定界定位及其困難，網絡也容易成為“背鍋俠”。近年來，國家高度重視網絡信息安全工作，沒有網絡安全就沒有國家安全。教育網絡安全關系廣大師生家長的切身利益，甚至關系社會穩(wěn)定和國家安全[12]。隨著國家“互聯網+教育”戰(zhàn)略的實施，各級教育信息化的建設和應用水平得到進一步提升，但信息技術與教育應用深度融合后教育行業(yè)所面臨的網絡安全形勢也更加復雜。目前，校園網面臨的安全事件主要涉及數據泄漏、數據篡改、網站癱瘓、頁面篡改等方面，校園TOP安全攻擊事件如表2-1所示。表2-1校園TOP安全攻擊事件影響范圍IPv6+教育專網建設指南校園及教育局辦公終端網站掛馬三通兩平臺相關業(yè)務系統(tǒng)三通兩平臺相關業(yè)務系統(tǒng)校園、教育局門戶網站及線上業(yè)務系統(tǒng)所有辦公終端及業(yè)務系統(tǒng)我國秉承開放式辦學教育理念，為了方便師生，各學校普遍提供了校內、校外兩種接入校園網的方式。同時，為了方便訪客，提供了部分校外人員的網絡接入服務，這也同時大大增加了校園網的風險暴露面。學校教育教育網絡與信息系統(tǒng)多，門戶網站多，通常都暴露在互聯網上，外部威脅廣泛存在。并且校園訪問互聯網的技術規(guī)范也不統(tǒng)一，邊界防護能力弱，安全防護等級低，終端身份缺乏認證，因此，網絡防彈窗、防私接也成為網絡建設剛需。并且，相對金融和政府等行業(yè)，學校安全防護投入少、安全專業(yè)人員少，容易受到挖礦、DDoS攻擊和掛馬攻擊等，一旦被攻陷后出現上傳后門、暗鏈或發(fā)布敏感信息，可能造成惡劣社會影響。因此，如何完善教育系統(tǒng)網絡安全通報機制，落實網絡安全等級保護2.0的相關要求，滿足網絡綠色安全要求，快速發(fā)現并消除安全風險，對于教育專網建設而言非常關鍵。03設計目標和方案架構》3.1設計目標教育專網是充分利用國家公共通信資源，由國家主干網、省市教育網和學校校園網組成，實現網絡地址、域名和用戶的統(tǒng)一管理的教育專用網絡[13]。教育專網覆蓋教育行政部門、各級各類學校、教育事業(yè)單位，為各單位和學校提供高速、便捷、綠色、安全網絡服務。教育專網是教育信息化公共支撐環(huán)境的重要組成部分，為教育信息化發(fā)展起到數字底座的作用?！癐Pv6+”教育專網以教育業(yè)務場景為驅動，以IPv6技術為底座，以基礎設施為支撐，堅持持續(xù)創(chuàng)新，為教綠色安全在線巡課電子巡考陽光校園綠色安全在線巡課電子巡考陽光校園三個課堂業(yè)務保障IPv6+教育專網建設指南云化管理智能運維云化管理教育云網1.云化管理，教育專網集中化云化管理部署，滿足教育主管部門對地址分配、域名管理和用戶認證的集中管控需求·實現“三個統(tǒng)一”:統(tǒng)一IP地址、統(tǒng)一域名、統(tǒng)一用戶認證2.體驗保障，為電子巡考、AR/xR實訓等各種新型教學模式保駕護航，為師生提供優(yōu)質的課堂教學體驗·教育專網支持10G/40G/100G高速互聯，按需升級，使用網絡切片為三個課堂等線上教·專用音視頻保障業(yè)務單板，通過Al算法推理，實時進行在線課堂視頻卡頓感知，提前預測·基于隨流檢測技術，實時感知教學業(yè)務流路徑狀態(tài)，實現故障快速定位·通過網絡數字地圖，基于導航式體驗，網絡全息可視，提升網絡運維體驗·安全云服務，校園出口部署安全網關，或者區(qū)縣教育局核心旁掛高性能防火墻，云端專家?guī)旃糇R別庫實時更新，發(fā)現病毒立即聯動阻斷》3.2方案架構根據國家科學技術與信息化司對教育專網的定義，教育專網由國家骨干網、省市教育城域網和校園網兩部分組成，實現國家與省市內教育資源整合、開放、共享。本指南重點介紹省市教育城域網和校園網部分。3.2.1省級教育城域網省級教育專網主要覆蓋省-市教育骨干網，上聯國家教育骨干網，向下對接各市教育專網。省級教育專網分為核心層、匯聚層和接入層，每層網絡根據業(yè)務需求和用戶分布情況設置相應節(jié)點。核心層通常設置一對或多對核心節(jié)點，每對節(jié)點部署2臺核心路由器，核心路由器之間以裸光纖互聯形成雙平面或口字型結構，連接鏈路帶寬為50/100Gbps,并具備持續(xù)升級到更大帶寬的能力。匯聚層在每個地市設置一對匯聚節(jié)點共2臺匯聚路由器，匯聚路由器以雙鏈路上連到兩臺省核心路由器，可通過租用運營商鏈路承載，主備鏈路帶寬通常為2*10Gbps,可根據實際業(yè)務需求而按需擴展。各地市教育專網就近雙鏈路接入省教育專網骨干網的匯聚節(jié)點。省屬教育廳，各高教、高職院?？赏ㄟ^省直匯聚節(jié)點接入省教育專網獲取教育資源。省級教育專網的典IPv6+教育專網建設指南皆查匯聚省匯聚省匯聚密3.2.2市級教育城域網市級教育城域網分為市區(qū)分建和市區(qū)統(tǒng)建兩種建設模式。各地市可根據管理形式和財政情況，選擇合適的建設模式?！な袇^(qū)分建場景下，市級教育城域網為每個區(qū)縣落地一對市級匯聚節(jié)點，各區(qū)縣自行建設教育專網，通過區(qū)縣核心背靠背對接市級匯聚節(jié)點。市級匯聚和核心節(jié)點間采用雙上行口字型架構，推薦使用50/100G帶寬，實現大帶寬，高可靠。建議部署一對市直匯聚節(jié)點，兼做BRAS認證點，實現市級接入單位統(tǒng)一認證，市教育局、市直屬學校/單位就近接入市直匯聚點。IPv6+教育專網建設指南市政務外網市政務外網省教育專網IntemetCemet明市教育云市證明麗主教區(qū)市直屬學校/單位區(qū)縣教育專網市理接入市教育局市匯聚·市區(qū)統(tǒng)建場景下，各區(qū)縣一般不再建設獨立的教育云和互聯網出口，統(tǒng)一采用市教育云和互聯網出口資源。市教育局統(tǒng)一在區(qū)縣教育單位部署接入設備，各區(qū)縣教育局和下轄學校直接接入市匯聚。市匯聚點兼做該區(qū)縣用戶BRAS認證點，實現全市教育用戶的統(tǒng)一認證。市政務外網市政務外網市教育云雨分校區(qū)分校區(qū)市直屬學校/單位市直接入e省教育專網市嵌心市教育局市匯聚辦公國區(qū)混混IPv6+教育專網建設指南3.2.3區(qū)縣級教育城域網區(qū)縣級教育城域網相比市級城域網，接入場景和線路情況更為復雜，需要綜合考慮下轄學校數量和地理位置分布、經濟情況等評估網絡規(guī)模，選擇網絡架構。在區(qū)縣，通常建議采用二層的扁平化架構，降低成本，簡化網絡。此外，區(qū)縣教育城域網的關鍵復雜性在于，普教學校接入教育城域網的運營商專線類型眾多，例如通過運營商PON專線、裸光纖、以太專線或IPRAN專線等多種專線類型；運營商出于成本和節(jié)省光纖資源考慮，還會在線路中增加匯聚交換機等等。對于教育城域網主管單位來說，推薦采用SRv6技術，實現“穿網”效果，屏蔽運營商各種不同專線類型的差異，構建一張協(xié)議統(tǒng)一、體驗一致的教育城域網。區(qū)縣核心采用雙節(jié)點架構，區(qū)縣教育局和學校按需采用雙上行或單上行與區(qū)縣核心互聯。區(qū)縣核心節(jié)點兼做認證網關，實現全區(qū)縣所有普教學校中有線和無線終端的統(tǒng)一認證和統(tǒng)一IP地址分配。區(qū)縣核心 e區(qū)縣接入區(qū)縣教育局區(qū)縣學校/單位IPv6+教育專網建設指南教育校園網是教育專網的重要組成部分，基于以太全光和Wi-Fi7技術的校園網絡，為用戶提供融合的數據、語音、視頻及其他智能化數字化校園能力，整體架構如下所示：圖3-6校園網架構乾坤云平臺乾坤云平臺本地供電光纖模塊教育城域網天關防火墻d校園核心(隨板AC)設備網靜音交換機Q宿舍客o·以太全光有線網絡設計校園有線網可選擇以太全光交換機架構，以中心交換機+遠端模塊組合產品，實現萬兆入室，千兆到桌面?！ず诵膶右瞬渴饍膳_高性能框式交換機，連接校園所有的樓棟匯聚交換機，承載園區(qū)教學辦公、學生宿舍、家屬、教室等所有業(yè)務流量。核心層宜采用全連接樹型結構，應具有高帶寬、·接入層是最靠近終端的網絡區(qū)域，為終端提供各種接入方式，是終端接入網絡接入層包含接入交換機、AP、遠端模塊設備。遠端模塊是中心匯聚交換機的一部分，功能上與傳統(tǒng)接入交換機類似，管理運維上可以實現即插即用，免配免維。接入交換機/遠端模塊宜采用·近距離取電，終端或接入設備可在100米范圍內通過網線POE獲取供電；超過100米的，可以通過最新的光電混合POE遠距離供電，滿足部分業(yè)務“斷電不斷網”需要?！餙光纖到房間樓棟弱電間光纖到樓層O核心機房光電混合纜接入層匯聚層核心層oWi-Fi7無線網絡架構設計校園網無線網絡推薦采用WAC+FitAP組網架構。WAC可選擇核心交換機隨板AC或獨立AC,在中小學校園網絡中，AP規(guī)模一般會小于1K,推薦核心交換機做隨板AC。部署隨板AC可節(jié)約客戶硬件部署成本，同時便于有線無線統(tǒng)一認證和便于部署業(yè)務隨行。根據WAC在園區(qū)網絡中的部署方式，可分為WAC旁掛式組網和WAC直連式組網。中小學校園網絡中推薦采用核心交換機做隨板AC,只能采用直連式組網。Wi-Fi7在技術上進行了全面升級，帶來更大的帶寬、更低的時延和更強的接入，為未來的演進提供無限可能。采用了更寬的320MHz帶寬、更高階的4096-QAM調制及Multi-Link,支持更高的吞吐業(yè)務，如云桌面、在線聽評課、巡課督導、電子巡考、VR教學等?！じ蜁r延：Wi-Fi7可工作在多個頻段使用MLO(Multi-LinkOperation)技術靈活調度不同頻段的資源，支持終端和AP空口多條鏈路建鏈，可靈活基于場景選擇鏈路，規(guī)避質量不好的信道。即使面對苛刻的大帶寬、低時延要求的AR教學需求，也能輕松應對。·更強接入：Wi-Fi7在高密場景下的終端接入數量更多。多AP協(xié)同空間復用技術能智能調整連續(xù)組網下鄰居AP的信道和功率，降低同頻干擾，確保AP在較多移動終端接入的多媒體教學場景下，擁有穩(wěn)定的并發(fā)性能。WAC與AP間的控制報文通過CAPWAP隧道轉發(fā)；對于無線用戶的業(yè)務報文，AP向有線側進行轉發(fā)的方式主要包括隧道轉發(fā)(又稱為“集中轉發(fā)”)方式、直接轉發(fā)(又稱為“本地轉發(fā)”)方式。隧道轉發(fā)是無線業(yè)務流量需由AP通過CAPWAP隧道上送到WAC集中轉發(fā)，AP與WAC業(yè)務轉發(fā)路徑配置較簡單，但是業(yè)務流量轉發(fā)效率低，WAC壓力大。直接轉發(fā)是無線業(yè)務流量不經過WAC繞行而直接上送網關進行轉發(fā)，AP和WAC無需建立CAPWAP數據通道，AP轉發(fā)效率較高，WAC轉發(fā)壓力小，但是AP和WAC轉發(fā)路徑配置復雜。中小學校園網絡中場景，通常是核心交換機作為隨板AC和網關，建議采用隧道轉發(fā)模式，04“IPv6+”教育專網解決方案全球IPv4公網地址由于已基本耗盡，教育專網不再統(tǒng)一分配IPv4公網地址，通常按照特定策略集中分配IPv4私網地址；同時要求對所有設備實現IPv6公網地址統(tǒng)一分配，各級教育專網會逐漸演進到采用IPv6單棧模式建設?！みB續(xù)性：為同一個網絡區(qū)域分配連續(xù)的網絡地址，便于采用路由收斂及無類別域間路由CIDR(ClasslessInter-DomainRouting)技術縮減路由表的表項，提高路由器的處理效率。·可擴充性：為一個網絡區(qū)域分配的網絡地址應該具有一定的容量，便于主機數量增加時仍然能夠保持IP地址的連續(xù)性。·靈活性：IP地址分配不應該基于某個網絡路由策略的優(yōu)化方案，應該便于多數路由策略在該地址分配方案上實現優(yōu)化?！た晒芾硇裕旱刂返姆峙鋺撚袑哟危硞€局部的變動不要影響上層和全局?！ぐ踩裕壕W絡內應按工作內容劃分成不同網段以便進行管理。·統(tǒng)一規(guī)劃管理。網城域網運行維護單位承擔全區(qū)IP地址的規(guī)劃、申請、資源分配及備案形成IP地址的閉環(huán)管理機制。·地址備案管理。應完整報備城域網IP地址，IP地址報備中的地址備案類型應與地址使用用途相一致、IP客戶信息應與地址報備相一致。按照教育部科信司要求，全國教育專網已整體申請1個/20位掩碼IPv6公網地址段；按照每個省份分配1個/32位、每個地級行政區(qū)分配1個/36位、每個縣級行政區(qū)分配1個/40位，每個普教學校分配/48位IPv6地址段；對于極少量包括地級/縣級行政區(qū)/普教學校較多的情況，可分配多個/36或/40位的連續(xù)IPv6地址段，實現IPv6公網地址分地域、分級統(tǒng)一分配。·各級網絡設備的接口IPv6地址：均采用靜態(tài)IPv6地址，對于網絡設備之間直接互聯的IPv6地址，掩碼盡量較短(如/127位),以節(jié)省IP地址；·各網絡設備的Loopback接口地址：建議為靜態(tài)IPv6地址且為/128位掩碼，用于路由教育專網IPv6地址具體規(guī)劃，可按如下表2實施表2IPv6地址規(guī)劃示意表學校內網區(qū)劃域-區(qū)劃域-長度(bit)488各類終端的IPv6地址：均采用DHCPv6有狀態(tài)地址配置模式。·省級DHCPv6服務器主要為省教育云、省教育廳及附屬單位、省直屬學校/單位的用戶終端和啞終端等分配IPv6地址；市級和區(qū)縣級DHCPv6服務器可采用類似模式；·對于普教學校由區(qū)縣DHCPv6服務器統(tǒng)一分配IP地址的情況，DHCP報文穿過Relay,把DHCP報文中繼給校園網絡中的終端。IPv6+教育專網建設指南圖4-1IP地址分配示意圖服務器區(qū)縣城域核心根據《互聯網信息服務管理辦法》《中國互聯網絡域名管理辦法》《中國教育和科研計算機網EDU.CN網絡域名注冊辦法》的要求，按行政區(qū)域編制各省教育專網的教育域名規(guī)劃。各市、縣(市、區(qū))教育行政部門申請注冊一級域名，所轄學校申請注冊一級域名下的二級域名。例如，北京市教育專網，教育行政部門申請注冊的一級域名按“bj”+“設區(qū)市標識”+“縣(市、區(qū))標識”+“”規(guī)則編制。學校申請注冊的二級域名，按“學校標識”+“.”+“上級教育行政部門一級域名”組成，學校標識由校名中文全稱或簡稱的每個漢字拼音首字母組成。下面舉例說明XX省YY市各級教育行政部門的教育域名建議命名規(guī)則：表3XX省YY市各級教育行政部門教育域名信息示意表序號教育域名123采用集中式認證方案，開啟教育專網核心/匯聚點路由器的BRAS功能，并部署專用的認證服務器，實現統(tǒng)一控制管理?！じ骷壗逃龔d局、各校區(qū)及單位訪問云端資源或互聯網時，會發(fā)起認證報文，經由校園網核心交換機，上送到教育專網核心/匯聚路由器·核心/匯聚路由器開啟內置BRAS功能，并由路由器作為認證點，向認證服務器發(fā)起統(tǒng)一認證·路由器作為整個網絡的控制點，對訪問教育網、互聯網、數據中心或教育云的流量進行權限控制圖4-2某區(qū)縣教育專網統(tǒng)一認證點示意區(qū)/縣教育局區(qū)/縣教育局統(tǒng)一認證點高性能區(qū)縣核心防火墻縣/區(qū)直屬單位常用的認證技術包括802.1X,MAC和Portal認證，各種認證方式差異參見下表：對比項802.1X認證需要優(yōu)點缺點管理復雜綜合靈活部署和使用方式，推薦教職工有線/無線辦公終端采用MAC優(yōu)先的Portal認證，打印機、攝像頭等物聯終端采用MAC認證。并可結合終端識別技術，通過終端首次發(fā)起認證先識別終端錄入MAC并自動歸類，提升認證MAC指紋錄入準確度，提升認證效率。4.1.2業(yè)務隨行，教職工跨校區(qū)授課體驗隨身針對基礎教育階段促進教育公平、提升教育質量的現實需求，各地都有教師流動教學的強烈訴求，這就需要教職工賬號在任何單位接入，都能獲得相同的訪問權限。通過采用整體統(tǒng)一的賬號進行網絡的準入準出控制。無論是有線還是無線接入，無論是在校本部還是其他的任何一個分校區(qū)，無論是使用PC,平板電腦還是智能手機，或者是學校計算機權限屬性都將賬號得登錄的展現，在任何地方獲得一致的網絡使用體驗。采用集中部署帶BRAS功能的路由器，可實現同一認證域內(市級或者區(qū)縣級)教師流動圖4-3業(yè)務隨行示意圖統(tǒng)一認證點②③漫游1.用戶首次從學校A的WLAN接入，通過與BRAS以及DHCP2.BRAS觸發(fā)用戶認證，并完成Portal認證；3.用戶漫游到學校B的WLAN網絡時，保持IP不變，通過BRASServer交互，獲取前域觸發(fā)MAC優(yōu)先認證實》4.2體驗保障4.2.1一網多面，資源隔離多業(yè)務承載隨著5G、Al等技術的發(fā)展，從線下轉移到線上的混合式教學模式快速興起，為教育行業(yè)帶來全新的變革。XR等沉浸式教學方式的變革，使傳統(tǒng)的教育專網逐步從辦公/通信網絡向生產網絡發(fā)展，未來直播教學、XR沉浸式學習、視頻教學、巡考監(jiān)控等都會承載在這張網上，對于這些對網絡質量要求高的業(yè)務，必須能保障其傳輸質量。教育專網通過網絡切片技術，對重點業(yè)IPv6+教育專網建設指南業(yè)務體驗。圖4-4網絡切片架構直播教學考試財務云視頻監(jiān)控互聯網切片N切片2切片1教育云互聯網教育專網通過FlexE、信道化等網絡切片技術實現細粒度帶寬資源硬隔離。切片按需規(guī)劃，公共的教育業(yè)務全部承載在默認切片上；然后對于有特殊業(yè)務需求的學校、科研院所，基于不同的網絡SLA訴求單獨創(chuàng)建網絡切片。例如直播教學需要1G帶寬保證的切片以保障視頻教學業(yè)務性能穩(wěn)定；財政業(yè)務涉及敏感數據，需要與其他業(yè)務進行安全隔離；而重保視頻會議業(yè)務對網網絡切片進行規(guī)劃、部署、動態(tài)調整、監(jiān)控的全生命周期管理。4.2.2三個課堂，在線教學視頻質量保障保障，同時結合路由器設備的音視頻質差分析能力，對音視頻質量進行量化，實時監(jiān)控在線課堂質量和網絡狀態(tài)，記錄全流程數據，提升教育教學保障效果。圖4-5三個課堂業(yè)務保障方案架構業(yè)界首個網絡數據預到音視頻應用卡領算法：以規(guī)頻畫面卡頻為側行業(yè)首個創(chuàng)新應用場景：IPv6+網絡算力卡③卡頓特征提?、劭D特征提取商焊鍵理網絡質量網絡分析屏@推理結果：是否卡頓9卡領19.99視頻質量視頻質量會議大屏二隨流檢測互聯網公有云網絡管控系統(tǒng)：具備管、控、析能力。對路由器進行管理、控制，同時接收路由器實時采集的設備數據、網絡數據、業(yè)務數據進行分析呈現?；A設施層：包括課堂教學終端、課堂資源服務器、路由器等網絡設備。三個課堂業(yè)務保障方案通過在教育專網路由器上通過端到端網絡切片為在線教學業(yè)務提供獨享帶寬資源，并結合IFIT隨流檢測實現在線教學業(yè)務的路徑可視和質量監(jiān)控。通過具備音視頻感知能力的路由器，實現業(yè)務網絡質量感知，實時感知業(yè)務質差。在課堂教學期間，通過持續(xù)對網絡質量和應用質量進行監(jiān)測，并對異?？焖僮龀龆ń缍ㄎ弧！ぴ诰€教學視頻質量監(jiān)測。當在線課堂流量流經路由器時，路由器將課堂教學流量鏡像到多功能增值業(yè)務卡，通過Al算法推理，實時進行視頻終端卡頓感知?！ぴ诰€教學質差定界。當出現卡頓時，通過位于邊界的多功能增值業(yè)務卡判斷故障出現在城域骨干網，還是出現在數據中心或園區(qū)，進行故障定界?！ぞW絡質差定位。當故障出現在城域骨干網時，可進一步通過IFIT呈現業(yè)務在網絡上端到端和逐跳的質量，在確認網絡質差節(jié)點后，可通過網絡控制器，利用SRv6的路徑可編程，繞過質差節(jié)點，快速處置網絡問題，及時恢復業(yè)務。IPv6+教育專網建設指南》4.3智能運維4.3.1隨流檢測，輔助故障快速定位當前教育專網多以統(tǒng)一規(guī)劃，分級運維的方式建設和管理。出現故障時，需要多團隊協(xié)同，定界難度大、定位效率低，無法快速恢復業(yè)務。華為“IPv6+”教育專網提供隨流檢測功能，基于真實業(yè)務流報文進行性能測試，可以端到端或逐跳測試真實業(yè)務流的網絡時延、抖動、丟包，適用于針對關鍵業(yè)務流中的質差流7*24小時的周期性持續(xù)不間斷監(jiān)控，實現故障精準定位定界。具體隨流檢測步驟如下圖所示：圖4-6“IPv6+”教育專網隨流檢測步驟網絡控制器網絡控制器癰市教育中臺⑤路徑調整、業(yè)務恢復SLA檢測2).iFIT逐跳定界點質最感知學?；ヂ摼W1.網絡控制器針對在線課堂業(yè)務下發(fā)端到端IFIT檢測實例。2.“IPv6+”教育專網在兩端PE設備節(jié)點實時上送檢測結果。3.網絡控制器監(jiān)控指標，進行診斷，發(fā)現業(yè)務流存在丟包現象。4.網絡控制器啟動逐跳檢測，在每段鏈路之間下發(fā)IFIT檢測實例，進行逐跳檢測。5.網絡控制器根據逐跳反饋的結果確認異常鏈路，調整路徑，恢復業(yè)務。4.3.2數字地圖，全網態(tài)勢一圖可視大數據時代，傳統(tǒng)的基于指定規(guī)則的運維模式已經支撐不了用戶對網絡的運維需求，自動化運維的不足，日益凸顯。利用網絡產生的大量數據進行智能運維，提升用戶運維效率已經刻不容緩。但是當前網絡質量不可視，無法及時感知業(yè)務SLA變化，且盡力而為轉發(fā)的網絡無法實現流量的差異化和自動化調度，難以滿足教育業(yè)務的差異化保障訴求。華為網絡數字地圖解決方案具備交通地圖導航式體驗，實現網絡全息可視、業(yè)務敏捷發(fā)放、流量自動優(yōu)化、智能故障分析、隱患預測、全生命周期智能運維，讓教育教學業(yè)務得到持續(xù)保障，提升業(yè)務體驗。圖4-7IPv6+教育專網數字地圖架構數字圖書館數字圖書館開放用戶體驗、用戶網絡旅程數字世界終端防仿冒、防私接網絡健康度、網絡故障分析數字孿生Al智能實時感知實時交互物理網絡世界學用戶視圖終端視圖網絡視圖智慧校園應用數字地圖智能倉理智慧課堂校園畫像智慧后勒IPv6+教育專網建設指南·網絡全息可視：建立動態(tài)高清的電子地圖運維模式，即通過網絡數字地圖直觀感知網絡，大大提高網絡運維效率。通過海量數據實時采集，把物理世界的網絡在數字空間中重建，通過一張數字地圖清晰呈現網絡基礎信息，實時感知用戶體驗、應用體驗，實現全網一圖可視?！Ш绞铰窂接嬎悖夯跇I(yè)務意圖匹配計算最優(yōu)路徑，智能云圖算法可實現20+因子秒級算路，秒級感知業(yè)務質差、分鐘級定位根因、分鐘級自動優(yōu)化、滿足差異化的業(yè)務SLA保障需求。·流量調度：目前，大多數IP網絡行為是盡力轉發(fā)，在遇到突發(fā)流量時極易產生擁塞，人工流量均衡平均花費3小時以上，用戶體驗差。網絡數字地圖可以實時感知網絡擁塞，對流量路徑進行自動優(yōu)化和調整，實現分鐘級的SLA閉環(huán)保障。·多維視圖：從終端、網絡、用戶、應用等多個維度，全方面衡量和評估網絡性能，進行網絡保障。將運維從單純的網絡部分，擴展到對整個業(yè)務流程的監(jiān)測和保障；主動識別應用的體驗問題，發(fā)現潛在故障并識別根因，最終給出修復建議甚至自動修復?！ぞG色運營：網絡數字地圖構筑了“綠色節(jié)能”能力，可實現全網能耗可視、可管、可優(yōu)化。》4.4綠色安全教育主管單位要求各學校綠色上網，能對“黃賭毒”、“反動言論”等進行內容過濾，能對變形文本、干擾文本、涉黃涉暴圖片、音視頻進行過濾，包括中小學生使用教學PAD、多媒體教師教學辦公、中職學生宿舍上網等場景。4.4.1互聯網出口，多級安全防護各級教育專網部署統(tǒng)一互聯網出口區(qū)，由邊界防火墻+上網行為管理產品實現轄區(qū)所有流量進行統(tǒng)一防護，便于高效管理轄區(qū)所有網絡流量。·總體策略：逐級過濾(URL過濾+應用白名單+終端EDR控制)+精細化內容識別過濾告警·URL訪問控制：防火墻+上網行為管理，構建千萬級URL訪問控制·應用訪問控制：防火墻6000+應用識別，管控游戲、賭博等違規(guī)應用訪問·EDR防彈窗：教學白板、終端防彈窗廣告。CDE引擎對灰色軟件，廣告軟件進行分類，查殺彈窗文件/進程·精細化內容過濾：對文字內容、圖片內容、語音內容、視頻內容做內容合規(guī)檢測教育專網出口具體組網如下：圖4-8出口逐級防護架構市出口區(qū)邊界防火墻上網行為管理(市教育云/政務外網防火墻防火墻普通學校重點學校市匯聚士個4.4.2安全云化服務，靈活部署快速響應學校內網絡往往由學校自行管理的，往往因學校缺乏專業(yè)的網絡管理人員，缺少對網絡安全實際管理。因此，可采用網絡安全SaaS服務的形式，云端(網絡管理+安全服務平臺)和設備端(網絡設備+安全設備)相互協(xié)同，常見威脅自動阻斷，特殊問題由云端專家直接處理。緊急事件以短信/郵件等方式實時通知管理員圖4-9安全云服務架構云管理網絡云管理網絡安全云服務勒索防護安全重保二級等保日志審計威脅信息漏和掃描終端防護與響應數據上送加密互聯策略下發(fā)學校1智能分析教育局學校205成功案例》5.1甘肅省教育專網為滿足甘肅教育系統(tǒng)常態(tài)化在線教學場景下對于網絡“高帶寬、低時延”,以及網絡安全等實際需求，由甘肅省教育廳牽頭進行甘肅省教育專網骨干網建設，計劃到2024年底，全面實現甘肅省教育專網骨干網同國家主干網及全省14個市州、蘭州新區(qū)及省直屬單位的高速互聯，實現全網統(tǒng)一地址管理、統(tǒng)一域名管理、統(tǒng)一安全管理，形成“云、網、端”架構下開展各級各類教育教學活動的網絡基礎環(huán)境。本項目通過啟用IPv6、SDN、SRv6、網絡切片、隨流檢測等先進技術，解決了網絡架構中的IPv4地址枯竭、網絡可擴展性、網絡安全、網絡資源利用、網絡監(jiān)測和故障排除等網絡架構中的諸多問題，不僅提升了網絡的性能和可靠性，還滿足了不同用戶和應用的個性化需求，為網絡發(fā)展提供了強有力的支持和保障。教育專網關鍵業(yè)務采用SRv6Policy承載，結合控制器進行路徑編排與調優(yōu)，業(yè)務快速開通，時延有保證。教育骨干網需具備為關鍵教學業(yè)務提供專用帶寬的能力，支持端到端針對關鍵教學業(yè)務提供IFIT隨流檢測結合控制器，實現業(yè)務端到端質量可視，及業(yè)務故障的分鐘級定位，提升網絡運維效率。SRvGover切片IPv6+教育專網建設指南圖5-1甘肅省教育專網架構圖云省核心省匯聚市核心接入IPv4IPv6甘肅省教育專網IPv4IPv6省級+省直屬單位及學校省市級教育專網地市教育專網省直匯聚·IPv6改造提供了巨大地址空間，支撐新一代教育專網海量聯接需求，有效解決IPv4地址短缺和地址沖突問題，同時在地址分配方面具備更大的靈活性和拓展性，為網絡的長遠發(fā)展提·SRv6Policy、SRv6BE雙隧道模式承載，時延敏感業(yè)務(如視頻會議、在線課堂、應急)采用SRv6Policy承載，通過控制器對流量實時分析，發(fā)現擁塞自動調整，降低人力維護成本，提高網絡時效性，確保視頻會議、在線授課等關鍵業(yè)務0卡頓，提升教師、學生滿意度?！な∈蟹旨墕覫FIT隨流檢測可有效提升故障定位效率，在收到用戶報障時可快速根據故障位置、疑似原因和修復建議處理故障，運維效率極大提升，降低了用戶投訴率，減少了人工運維投入成本。IPv6+教育專網建設指南》5.2江西省九江市教育專網九江市教育專網規(guī)劃建設要求資源統(tǒng)籌，把區(qū)縣的中小學現代遠程教育資源共享，促進農村教師能力的培訓和教學質量的提高，促進廣大師生信息素養(yǎng)和學生綜合素質的提高，促進教育公平和義務教育的均衡協(xié)調發(fā)展，是提升九江市基礎教育整體水平的未來工程。九江教育專網的網絡安建設全是打造九江市”互聯網+教育”大平臺的重要舉措之一。建設前客戶痛點如下：《網絡安全法》的頒布，意味著不做等保就等于違法，由此需充分依托九江現有教育專網已有建設基礎，根據網絡安全等級保護2.0第三級的要求進行安全防護能力提升。教育專網中心數據安全保護能力薄弱，安全設備只有防火墻，城域網及數據安全面臨很大威脅，急需升級改造。教育專網下屬22個中小學沒有專門的安全運維人員，需要總部集中管理；需要智能化的運維平臺，保障應用體驗，簡化運維難度。1、網絡出口和終端安全建設：在教育局網絡出口部署抗DDoS、防火墻、沙箱防護來自互聯網發(fā)起的已知、未知攻擊；部署上網行為管理管控師生上網規(guī)范；部署終端殺毒軟件，保護終端安全。運維管理區(qū)部署態(tài)勢感知、安全控制器、日志審計、運維審計、數據庫審計、堡壘機、漏洞掃描，滿足等保三級要求。3、聯動處置，建設主動安全：態(tài)勢感知+安全控制器+沙箱+防火墻聯動處置，實現威脅主動發(fā)現，自動處置，威脅秒級閉環(huán)。IPv6+教育專網建設指南圖5-2九江教育專網架構圖教育專網鏈路負載均衡安全沙箱抗DDoS清洗上網行為管理內置誘捕流探針市教育局智慧校園云平臺互聯網/條高掃該方案在滿足等保三級的基礎上，可有效防御來自網路側的未知威脅的攻擊，如勒索病毒。防火墻支持20000+威脅特征庫，億級病毒庫，威脅檢出率高達99%,威脅默認阻斷率高達85%。態(tài)勢感知內含智能檢測算法30+,全面感知現網威脅現狀，未知威脅檢出率97%。防火墻結合態(tài)勢感知和沙箱，可實現發(fā)現威脅后自動處置閉環(huán)；安全控制器統(tǒng)一管理安全網元，實現配置一鍵下發(fā)，大大減輕老師安全運維工作量，降低學校運維成本。IPv6+教育專網建設指南》5.3上海市浦東區(qū)教育專網浦東教育專網是由上海市浦東教育局統(tǒng)一管理，2012年正式運行，承載整個浦東新區(qū)高中、初中、小學及幼兒園900+教育單位訪問教育專網及互聯網資源請求。建設前現網采用MPLSVPN業(yè)務隔離，千兆到校，建設前客戶痛點如下：浦東新區(qū)作為教育強區(qū)，信息化發(fā)展迅速，隨之電子巡考和理化實驗的推廣，電子巡考要求600M以上帶寬，無抖動，理化實驗要求實驗期間獨享500M以上帶寬；現網采用MPLSVPN對業(yè)務進行邏輯隔離，無法保障這些關鍵教育應用獨享帶寬等差異化承載需求；多廠商交換機和路由器共組網，采用傳統(tǒng)CLI等手工運維方式，導致運維復雜。同時浦東區(qū)域覆蓋1000+平方公里，教育機構900+,手工運維，也導致運維人員嚴重不足。3、設備到期，帶寬不足現網2012年部署，設備到期，帶寬擴展能力不足，設備IPv6+演進能力弱，不滿足八部委發(fā)文要求建設智慧教育IPv6+的訴求。為此，該項目的建設目標是構建100G主干，萬兆到學校的教育網絡，搭建滿足“云、網、端”架構下開展教育教學的網絡環(huán)境。建成覆蓋全區(qū)各級各類學校，支持各級各類教育教學信息化，集數據、語音、視頻服務于一體，高帶寬低延時，支持IPv6部署和應用，具有自主管理，擁有統(tǒng)一管理公共IP地址的教育網絡。1、利用網絡切片技術，實現一網承載，集約共享匯聚-核心-數據中心匯聚路由器全局規(guī)劃兩個FlexE切片，分別為互聯網切片：承載全局上網VPN與民辦上網VPN,基礎切片和2B基礎切片，考試與財務業(yè)務切片，承載電子巡考/視頻監(jiān)控/理化試驗考試/財務管理4個VPN業(yè)務，實現關鍵業(yè)務和互聯網做切片隔離；接入路由器-匯聚路由器共享物理接口轉發(fā)；2、一鍵運維，實現業(yè)務可靠承載SRv6+SDN實現自動化流量調優(yōu)，滿足業(yè)務差異化承載需求；IFIT+SDN實現業(yè)務端到端質量可視，實現業(yè)務故障的分鐘級定位。云端“IPv6+”Ready設備，基于SRv6“一跳入云”,實現業(yè)務敏捷快開通。全網部署路由器IPv6+設備，實現全區(qū)教育網絡有效的互聯互通，支持教育資源高效快速流動，教學應圖5-3浦東教育專網架構學校學校Slice1:互聯網食算·夯實教育信息化基石：帶寬提升：核心節(jié)點10G->100G,接入1G->10G;網絡切片提供確定SLA,滿足高帶寬、低延時教學應用；教育資源快速流動，應用全區(qū)可達。IPv6+教育專網建設指南達州教育專網是連接達州市教育系統(tǒng)各個部門和機構的專用網絡。達州教育專網的建立，有助于提高達州市教育系統(tǒng)對信息技術的應用和管理水平，加強各類教育信息化設備的使用效率，提高學校教學管理的效率和教學質量，由此達州教育專網的網絡安全建設是極其重要的。建設前客戶痛點如下：教育局需要對下級中小學進行統(tǒng)一監(jiān)管，但又無法部署大型態(tài)勢感知，無法全面監(jiān)管各中小學的安全態(tài)勢。2、缺少分支安全防護：各分支中小學出口缺乏安全防護隔離，無法管控師生綠色上網，且各分支接入教育專網后容易出現威脅擴散的現象，對整個教育專網產生網絡威脅。安全產品種類多，操作復雜，會大大增加學校的運維老師的運維壓力，學校當前缺少專業(yè)的安全運維人員進行運維。1、分支安全建設每個中小學分支出口部署防火墻+上網行為管理，防火墻開啟IPS、AV、URL功能防護來自內外的網絡攻擊，保障分支邊界安全；上網行為管理