1、 教 育 城 域 網(wǎng)整體規(guī)劃建議方案 2014年1月目錄1教育城域網(wǎng)概述51.1教育信息化概述51.1.1全球基礎(chǔ)教育信息化發(fā)展歷程51.1.2我國基礎(chǔ)教育信息化建設(shè)路線圖51.1.3我國基礎(chǔ)教育網(wǎng)絡(luò)的建設(shè)現(xiàn)狀61.2教育城域網(wǎng)的建設(shè)歷程71.3教育城域網(wǎng)的業(yè)務(wù)應(yīng)用101.4教育城域網(wǎng)整體規(guī)劃思路102懷柔區(qū)區(qū)教育城域網(wǎng)的需求分析122.1懷柔區(qū) 區(qū)教育城域網(wǎng)網(wǎng)絡(luò)現(xiàn)狀122.2懷柔區(qū) 區(qū)教育城域網(wǎng)需求分析133懷柔區(qū)區(qū)教育城域網(wǎng)整體解決方案153.1懷柔區(qū)教育城域網(wǎng)建設(shè)整體設(shè)計概述153.2教育城域網(wǎng)建設(shè)有三個主要步驟，173.3基礎(chǔ)網(wǎng)絡(luò)的完善183.3.1教育城域網(wǎng)核心升級優(yōu)化183.3.2

2、教育城域網(wǎng)的出口安全193.3.3教育城域網(wǎng)數(shù)據(jù)中心193.3.4無線教育城域網(wǎng)193.4教育城域網(wǎng)的運維管理193.5教育城域網(wǎng)實名制管理203.6應(yīng)用的整合優(yōu)化204懷柔區(qū)教育城域網(wǎng)詳細(xì)設(shè)計方案214.1核心骨干網(wǎng)高性能冗余設(shè)計214.1.1虛擬化核心骨干網(wǎng)214.1.2虛擬核心VSU224.1.3設(shè)備高可用設(shè)計234.1.4設(shè)備99.999%的可靠性保障234.1.5設(shè)備部件無單點故障244.1.6引擎切換無中斷244.1.7教育城域網(wǎng)核心骨干交換機硬件自保護254.1.8智動安全防御264.2核心骨干網(wǎng)IPFIX流量管理274.2.1IPFIX技術(shù)簡介274.2.2IPFIX技術(shù)組網(wǎng)2

3、84.2.3IPFIX技術(shù)實現(xiàn)294.3教育城域網(wǎng)安全294.3.1出口安全294.3.2端點安全功能374.4教育城域網(wǎng)數(shù)據(jù)中心設(shè)計方案394.4.1教育城域網(wǎng)數(shù)據(jù)中心架構(gòu)404.4.2方案特點：424.5無線教育城域網(wǎng)424.5.1無線教育城域網(wǎng)架構(gòu)圖434.5.2高性能的組網(wǎng)架構(gòu)434.5.3業(yè)界領(lǐng)先的技術(shù)標(biāo)準(zhǔn)444.5.4高穩(wěn)定性454.5.5集中式統(tǒng)一管理464.5.6高安全性484.5.7面向未來的無線增值應(yīng)用514.6教育城域網(wǎng)運維管理534.6.1銳捷網(wǎng)絡(luò)ITIL運維管理服務(wù)544.6.2IT監(jiān)控管理系統(tǒng)554.6.3銳捷IT運維服務(wù)634.6.4教育城域網(wǎng)運維管理解決方案的特

4、點：664.7教育城域網(wǎng)實名認(rèn)證與流控684.7.1系統(tǒng)框架設(shè)計684.7.2教育城域網(wǎng)實名制認(rèn)證設(shè)計694.7.3教育城域網(wǎng)實名制訪問權(quán)限控制704.7.4教育城域網(wǎng)實名制流控724.7.5教育城域網(wǎng)實名制日志審計724.8教育城域網(wǎng)網(wǎng)絡(luò)層及應(yīng)用層單點登陸設(shè)計744.8.1教育信息化業(yè)務(wù)系統(tǒng)使用的挑戰(zhàn)744.8.2單點登陸解決方案754.8.3網(wǎng)絡(luò)層及應(yīng)用層單點登陸實現(xiàn)的效果：774.8.4銳捷單點登陸設(shè)計的特點774.9學(xué)校接入網(wǎng)絡(luò)設(shè)計784.9.1數(shù)字化校園的安全設(shè)計思想794.9.2智能安全防御804.9.3出口關(guān)鍵技術(shù)分析815產(chǎn)品介紹845.1項目產(chǎn)品845.2產(chǎn)品簡介846銳捷I

5、T運維服務(wù)857銳捷網(wǎng)絡(luò)在教育行業(yè)的關(guān)注897.1銳捷網(wǎng)絡(luò)簡介897.2連續(xù)三年教育行業(yè)占有率排名第一907.3銳捷網(wǎng)絡(luò)優(yōu)勢概述911 教育城域網(wǎng)概述1.1 教育信息化概述1.1.1 全球基礎(chǔ)教育信息化發(fā)展歷程自20世紀(jì)90年代以來，世界各國都在加快教育現(xiàn)代化的步伐，教育信息化程度的高低已成為當(dāng)今世界衡量一個國家綜合國力的重要標(biāo)志之一。1.1.2 我國基礎(chǔ)教育信息化建設(shè)路線圖伴隨著信息技術(shù)的不斷發(fā)展，信息化教學(xué)應(yīng)用及業(yè)務(wù)的不斷豐富，以及教師信息技術(shù)能力的不斷提高，我國基礎(chǔ)教育信息化建設(shè)也迎來了一個又一個高峰。1.1.3 我國基礎(chǔ)教育網(wǎng)絡(luò)的建設(shè)現(xiàn)狀縱觀我國各區(qū)域的教育信息化建設(shè)現(xiàn)狀，基礎(chǔ)教育的網(wǎng)

6、絡(luò)建設(shè)，主要包括以下三個大的方面：教育城域網(wǎng)：主要是構(gòu)建一個市教育局、區(qū)縣教委、學(xué)校的三級教育信息網(wǎng)絡(luò)平臺，形成具有教育信息資源共享及教育電子政務(wù)等功能的高帶寬傳輸?shù)膮^(qū)域教育網(wǎng)絡(luò)核心骨干平臺。校校通工程：主要內(nèi)容是全市各區(qū)縣所有教育事業(yè)單位的校園內(nèi)網(wǎng)絡(luò)建設(shè)。這部分網(wǎng)絡(luò)接入教育城域網(wǎng)，并接受教育城域網(wǎng)的統(tǒng)一規(guī)劃和管理。重點中小學(xué)校園網(wǎng)：這部分學(xué)校的教育信息化建設(shè)較為成熟，相關(guān)的教務(wù)考務(wù)的業(yè)務(wù)應(yīng)用也較為豐富，其學(xué)校自身的信息化水平較高，有能力規(guī)劃、管理和完善學(xué)校的校園網(wǎng)絡(luò)。1.2 教育城域網(wǎng)的建設(shè)歷程隨著教育信息化建設(shè)的不斷發(fā)展，按照教育城域網(wǎng)的建設(shè)的特點可分為四代：（1）第一代：松散模式（拓?fù)鋱D

7、如下）網(wǎng)絡(luò)情況：各學(xué)校通過ADSL等撥號方式接入電信等ISP，線路帶寬在512K-2M之間，學(xué)校通過教育信息中心主頁訪問內(nèi)部簡單資源。業(yè)務(wù)應(yīng)用：滿足學(xué)?；镜纳暇W(wǎng)功能，主要是網(wǎng)頁、文本、即時通訊等基礎(chǔ)應(yīng)用。管理情況：區(qū)縣教育信息中心對各學(xué)校網(wǎng)絡(luò)建設(shè)基本不干預(yù)。網(wǎng)絡(luò)建設(shè)：各個學(xué)校獨立建設(shè)校園網(wǎng)，教育局沒有統(tǒng)一的城域網(wǎng)規(guī)劃和建設(shè)。（2）第二代：混合模式（拓?fù)鋱D如下）網(wǎng)絡(luò)情況：各學(xué)校通過ADSL、MSTP等方式接入電信等ISP，線路帶寬在2M-10M之間，所有接入學(xué)校與區(qū)縣教育信息中心之間通過VPN方式進行互聯(lián)，大多數(shù)學(xué)校都要通過區(qū)縣教育信息中心統(tǒng)一出口。業(yè)務(wù)應(yīng)用：除了滿足學(xué)校基本的上網(wǎng)需求外，還開

8、展了電子政務(wù)系統(tǒng)、學(xué)籍管理系統(tǒng)等業(yè)務(wù)應(yīng)用系統(tǒng)管理情況：由教育信息中心統(tǒng)一規(guī)劃和部署，對于學(xué)校校園網(wǎng)的管理，僅管理到出口設(shè)備。網(wǎng)絡(luò)建設(shè)：由教育局主導(dǎo)進行基礎(chǔ)網(wǎng)絡(luò)的建設(shè)，包括教育城域網(wǎng)的網(wǎng)絡(luò)骨干、網(wǎng)絡(luò)出口、數(shù)據(jù)中心等。（3）第三代：統(tǒng)一模式（拓?fù)鋱D如下）網(wǎng)絡(luò)情況：整個城域網(wǎng)的建設(shè)通過自建、租用裸光纖或運營商提供專網(wǎng)等形式來完成，各學(xué)校接入城域網(wǎng)的帶寬在10M-100M之間，所有接入學(xué)校通過區(qū)縣教育信息中心統(tǒng)一出口。業(yè)務(wù)應(yīng)用：除了滿足學(xué)?；镜纳暇W(wǎng)需求及常規(guī)教學(xué)業(yè)務(wù)應(yīng)用外，還開展了如視頻會議、視頻教學(xué)、電子巡考等高帶寬需求的業(yè)務(wù)。管理情況：由區(qū)縣教育信息中心對整網(wǎng)進行統(tǒng)一規(guī)劃和部署，包括校園網(wǎng)的安全

9、與故障，有線、無線、VPN等多種接入方式的統(tǒng)一管理。網(wǎng)絡(luò)建設(shè)：教育局除了進行教育城域網(wǎng)的網(wǎng)絡(luò)骨干、網(wǎng)絡(luò)出口、數(shù)據(jù)中心等基礎(chǔ)網(wǎng)絡(luò)建設(shè)外，還會涉及無線校園網(wǎng)建設(shè)、無線城域網(wǎng)建設(shè)等，會更關(guān)注業(yè)務(wù)支撐平臺的優(yōu)化，包括教育城域網(wǎng)的運維管理、網(wǎng)絡(luò)實名認(rèn)證體系等。（4）第四代：融合模式（拓?fù)鋱D如下）網(wǎng)絡(luò)情況：整個城域網(wǎng)的建設(shè)通過自建或租用裸光纖等形式來完成，所有接入學(xué)校通過區(qū)縣教育信息中心統(tǒng)一出口，支持有線、無線、VPN等多種方式的統(tǒng)一接入。業(yè)務(wù)情況：基礎(chǔ)教育信息化業(yè)務(wù)系統(tǒng)建設(shè)不斷完善，業(yè)務(wù)系統(tǒng)的應(yīng)用不斷擴大，更關(guān)注多個業(yè)務(wù)的有效整合，實現(xiàn)業(yè)務(wù)層的統(tǒng)一單點登錄。管理情況：區(qū)縣教育信息中心除了對整網(wǎng)進行統(tǒng)一規(guī)

10、劃和部署外,更關(guān)注教育城域網(wǎng)的接入是否可控、日志審計是否能定位到人、是否能區(qū)分師生的訪問服務(wù)，及是否能保障用戶良好體驗等與實名身份認(rèn)證管理相關(guān)的問題。網(wǎng)絡(luò)建設(shè)：教育局除了基礎(chǔ)網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)支撐平臺優(yōu)化外，更關(guān)注網(wǎng)絡(luò)后臺建設(shè)及應(yīng)用的整合，包括統(tǒng)一實名身份認(rèn)證平臺的建設(shè)，實現(xiàn)網(wǎng)絡(luò)及應(yīng)用層的單點登錄等綜上所述，教育城域網(wǎng)建設(shè)的發(fā)展具有明顯的階段性。從松散走向混合、從混合走向統(tǒng)一、從統(tǒng)一走向融合，是教育城域網(wǎng)的發(fā)展歷程與趨勢，而教育城域網(wǎng)的建設(shè)模式?jīng)Q定了教育業(yè)務(wù)應(yīng)用的情況、城域網(wǎng)管理的需求及基礎(chǔ)網(wǎng)絡(luò)建設(shè)的重點等，隨著教育城域網(wǎng)的不斷升級和完善，教育城域網(wǎng)上的業(yè)務(wù)應(yīng)用也將越來越豐富。1.3 教育城域網(wǎng)的

11、業(yè)務(wù)應(yīng)用根據(jù)業(yè)務(wù)應(yīng)用類型的不同，可以將教育城域網(wǎng)現(xiàn)有系統(tǒng)分為以下三大類：隨著業(yè)務(wù)應(yīng)用系統(tǒng)的不斷豐富和資源建設(shè)的不斷升級，原有的教育城域網(wǎng)建設(shè)將迎來新一輪的挑戰(zhàn)。面對這些新的挑戰(zhàn)，教育城域網(wǎng)的建設(shè)與升級已經(jīng)不是簡單的網(wǎng)絡(luò)設(shè)備的搭建，如何構(gòu)建一個能夠更好服務(wù)于教育業(yè)務(wù)應(yīng)用系統(tǒng)的教育城域網(wǎng)已經(jīng)成為了各教育信息化主管部門的關(guān)注熱點。1.4 教育城域網(wǎng)整體規(guī)劃思路教育城域網(wǎng)建設(shè)有三個主要步驟，包括基礎(chǔ)網(wǎng)絡(luò)完善、業(yè)務(wù)支撐優(yōu)化、應(yīng)用整合優(yōu)化。松散模式下，各學(xué)校獨立建設(shè)基礎(chǔ)網(wǎng)絡(luò)，各自為政;混合模式下，客戶更關(guān)注基礎(chǔ)網(wǎng)絡(luò)的完善，包括四個方面，有線網(wǎng)絡(luò)改造或完善、網(wǎng)絡(luò)出口優(yōu)化、數(shù)據(jù)中心建設(shè)及智能無線網(wǎng)絡(luò)建設(shè)；統(tǒng)一

12、模式下，客戶更關(guān)注業(yè)務(wù)支撐平臺的優(yōu)化，他們將更多考慮業(yè)務(wù)運維管理、基于實名身份的認(rèn)證管理體系建設(shè)；融合模式下，客戶關(guān)注各種應(yīng)用的整合優(yōu)化，實現(xiàn)網(wǎng)絡(luò)層和應(yīng)用層的單點登陸。 通過分析教育城域網(wǎng)的四種模式、三個步驟及七個方面的關(guān)系，融合模式是教育城域網(wǎng)的發(fā)展趨勢，具有技術(shù)領(lǐng)先性及保障用戶良好體驗的特點。那么，如何建設(shè)融合模式的教育城域網(wǎng)呢？如何整體規(guī)劃教育城域網(wǎng)的建設(shè)呢？ 2 教育城域網(wǎng)的需求分析2.1 教育城域網(wǎng)網(wǎng)絡(luò)現(xiàn)狀 懷柔區(qū)教育城域網(wǎng)現(xiàn)狀如下圖所示，區(qū)教育城域網(wǎng)包括區(qū)教育信息中心核心網(wǎng)絡(luò)和區(qū)市中重點中學(xué)網(wǎng)絡(luò)，同時向下連接到70個中小學(xué)網(wǎng)，每個中學(xué)、小學(xué)用戶約有300使用人員，區(qū)教育重點市中學(xué)有

13、500使用人員。 區(qū)域教育城域網(wǎng)骨干網(wǎng)絡(luò)懷柔區(qū)教育城域網(wǎng)絡(luò)建設(shè)集中在2002。骨干網(wǎng)采用星形結(jié)構(gòu)，70個區(qū)縣中重點中學(xué)網(wǎng)絡(luò)通過光纖、專線連接到區(qū)域核心交換機上，區(qū)域縣中其他中小學(xué)、偏遠(yuǎn)學(xué)校通過專線連接到教育城域網(wǎng)核心網(wǎng)絡(luò)，區(qū)重點中學(xué)直接通過100兆光纖連接到區(qū)核心網(wǎng)絡(luò)。核心設(shè)備采用較早的H3C和CISCO網(wǎng)絡(luò)設(shè)備，部分區(qū)縣學(xué)校核心設(shè)備采用北電三層網(wǎng)絡(luò)設(shè)備與二層設(shè)備，部分區(qū)縣學(xué)校核心設(shè)備采用銳捷路由器和二層交換機。區(qū)各縣中小學(xué)校園網(wǎng)絡(luò)區(qū)縣學(xué)校網(wǎng)絡(luò)是與區(qū)教育信息中心于2002年同時建設(shè)的，設(shè)備也是通過區(qū)教育信息中心同意采購，所采購設(shè)備是路由器與二層交換機。各個區(qū)縣學(xué)校網(wǎng)絡(luò)為二層設(shè)計，核心層直接與區(qū)

14、教育信息中心中心核心設(shè)備連接，接入層提供學(xué)校師生PC的接入。教育城域網(wǎng)出口情況區(qū)電教管沒有進行對網(wǎng)絡(luò)出口進行設(shè)計規(guī)劃，目前網(wǎng)絡(luò)出口采用400M鏈路連接到運營商網(wǎng)絡(luò)提供Internet上網(wǎng)服務(wù)，通過60M專線連接到教育網(wǎng)，網(wǎng)絡(luò)出口通過負(fù)載均衡作為出口設(shè)備。應(yīng)用業(yè)務(wù)系統(tǒng)情況隨著信息技術(shù)不斷發(fā)展，區(qū)域和各校的業(yè)務(wù)相應(yīng)上線使用，包括學(xué)校OA系統(tǒng)、學(xué)籍管理、視頻會議、電子政務(wù)、電子巡考等。應(yīng)用業(yè)務(wù)的不斷完善目前的教育城域網(wǎng)已無法滿足業(yè)務(wù)系統(tǒng)的需求。2.2 懷柔區(qū)教育城域網(wǎng)需求分析 區(qū)教育城域網(wǎng)骨干網(wǎng)需求目前核心設(shè)備屬于H3C和CISCO早期產(chǎn)品，由于網(wǎng)絡(luò)設(shè)備性能、鏈路、流量管理等問題，經(jīng)常導(dǎo)致區(qū)電教管與

15、各縣學(xué)校的視頻會議、電話會議等無法開展，甚至有時連學(xué)校的OA、mail、學(xué)籍管理、電子政務(wù)等關(guān)鍵業(yè)務(wù)也受到了影響。目前城域網(wǎng)絡(luò)能滿足擴容需求，部分學(xué)校在2002年直接接入到區(qū)域核心網(wǎng)絡(luò)，但由于區(qū)教育城域網(wǎng)核心設(shè)備老化、性能低、已無擴展等對整體教育信息改革帶了很大的阻礙。區(qū)教育城域網(wǎng)出口需求分析隨著信息技術(shù)的不斷發(fā)展、信息數(shù)據(jù)的安全等，網(wǎng)絡(luò)出口是一個教育城域網(wǎng)網(wǎng)絡(luò)安全的關(guān)鍵關(guān)卡，分析當(dāng)前該區(qū)網(wǎng)絡(luò)出口情況，網(wǎng)絡(luò)出口有多條鏈路，出口設(shè)備只能做最基本的應(yīng)用流控，不能完全做到對內(nèi)部業(yè)務(wù)應(yīng)用、終端用戶PC使用的安全防護。在網(wǎng)絡(luò)中經(jīng)常遇到黑客的攻擊、門戶網(wǎng)站被黑和掛馬、網(wǎng)絡(luò)出口帶寬不足網(wǎng)絡(luò)出口對數(shù)據(jù)的處理能

16、力差，網(wǎng)絡(luò)出現(xiàn)安全事件后不能及時定位，不能滿足公安部的安全事件審核等。眾多安全問題使得我們教育城網(wǎng)的各級領(lǐng)導(dǎo)和管理人員感到很頭疼。區(qū)教育城域網(wǎng)數(shù)據(jù)中心需求自建網(wǎng)以來去電教管數(shù)據(jù)中心沒有通過統(tǒng)一的規(guī)劃和部署各種業(yè)務(wù)系統(tǒng)，因此電教管數(shù)據(jù)中心的服務(wù)器、存儲等都是隨時采購，在每次部署數(shù)的過程中比較麻煩，由于設(shè)備復(fù)雜和老化，而導(dǎo)致數(shù)據(jù)中心的數(shù)據(jù)存在隨時崩潰狀態(tài)，多年中數(shù)據(jù)中心的隱患也曾消除。數(shù)據(jù)中心業(yè)務(wù)應(yīng)用已增至幾十種，數(shù)據(jù)中心服務(wù)器性能差，也經(jīng)常造成業(yè)務(wù)在各校同一時間內(nèi)訪問量過大的時出現(xiàn)業(yè)務(wù)系統(tǒng)反應(yīng)較慢，偶爾還會出現(xiàn)死機。區(qū)教育無線城域網(wǎng)需求隨著筆記本終端的普及，無線視頻設(shè)備、語音設(shè)備等在學(xué)校逐漸的應(yīng)

17、用，現(xiàn)有有線網(wǎng)絡(luò)已不能滿足業(yè)務(wù)和師生的需求，分析當(dāng)前教育城域網(wǎng)的現(xiàn)狀和未來的發(fā)展，建立無線教育城域網(wǎng)主要體現(xiàn)如下幾個方面： 無線網(wǎng)絡(luò)的性能和穩(wěn)定性逐漸提高，成本逐漸下降； 在很多老的教學(xué)樓有線部署困難，采用無線接入更方便； 筆記本逐漸普及，而且未來無線視頻監(jiān)控的應(yīng)用、三網(wǎng)融合等因素，將為師生的無線網(wǎng)絡(luò)應(yīng)用帶來更多便利和更好體驗。區(qū)教育城域網(wǎng)運維管理需求越來越多關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)的大規(guī)模使用，對教育城域網(wǎng)的運維和管理能力提出了更高的要求，網(wǎng)絡(luò)應(yīng)用越復(fù)雜，涉及到的層面越多，整個網(wǎng)絡(luò)也就越脆弱。如何保障關(guān)鍵應(yīng)用的順暢運行就成為突出的問題： 各學(xué)校網(wǎng)絡(luò)維護能力有限； 教育教育信息中心缺乏有效的網(wǎng)絡(luò)運維和

18、管理的工具； 網(wǎng)絡(luò)資源濫用現(xiàn)象難以管理； 惡意網(wǎng)絡(luò)攻擊難以及時定位解決； 出現(xiàn)緊急事件時，網(wǎng)絡(luò)性能難以保證應(yīng)急響應(yīng)的順利運行； 無法保障關(guān)鍵業(yè)務(wù)的可用性； 缺少整體規(guī)范的主動網(wǎng)絡(luò)安全管理手段；區(qū)教育城域網(wǎng)實名制身份認(rèn)證需求目前區(qū)教育城網(wǎng)中沒有良好的認(rèn)證管理體系，各校隨意接入網(wǎng)絡(luò)，針對各個學(xué)校的接入無法控制，無法區(qū)分師生身份，造成業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)應(yīng)用等混亂使用，而造成一下幾點問題： 公安部82號令、教育主管部門的網(wǎng)絡(luò)安全要求，需要落實相關(guān)日志審計的安全措施，雖然目前已部署上網(wǎng)行為管理產(chǎn)品，然而，只能記錄IP地址，難以真正滿足審計要求，出現(xiàn)安全事件，難以定位到人，有沒有辦法解決？ 城域網(wǎng)的終端接入不

19、可控，一條網(wǎng)線便可接入各學(xué)校的終端，安全隱患大？ 用戶在網(wǎng)上發(fā)表不良言論，出現(xiàn)安全事件后，日志審計難以真正定位到人，若發(fā)生公眾事件會嚴(yán)重影響教育局的形象 ；針對難以定位到人的問題，若采取IP/MAC綁定，工作量大，老師移動辦公不方便，如何解決？ IP地址濫用或內(nèi)網(wǎng)病毒、IP地址沖突，導(dǎo)致網(wǎng)絡(luò)中斷，影響業(yè)務(wù)的正常運行，該如何解決？區(qū)教育城域網(wǎng)多業(yè)務(wù)統(tǒng)一門戶單點登錄需求數(shù)據(jù)中心業(yè)務(wù)應(yīng)用有幾十種，其中有部分業(yè)務(wù)需要用戶賬號口令登陸使用，另一部分可直接使用，針對眾多業(yè)務(wù)使用是神需要維護自己每一個應(yīng)用的賬號信息，對于管理員也一樣要進行建立和刪除賬號也相對麻煩。 太多賬號密碼, 不容易記憶，老師有時候連業(yè)

20、務(wù)系統(tǒng)的登陸地址都記不?。?登錄頻繁，每個業(yè)務(wù)系統(tǒng)都要多次輸入密碼，操作繁瑣； IT管理人員賬號管理工作繁雜 賬號管理工作量大，賬號管理不能及時 用戶信息不一致，每個系統(tǒng)都有一套獨立的用戶數(shù)據(jù)庫，管理員要對每套系統(tǒng)中的用戶進行分別管理，工作量大3 懷柔區(qū)區(qū)教育城域網(wǎng)整體解決方案3.1 懷柔區(qū)教育城域網(wǎng)建設(shè)整體設(shè)計概述根據(jù)對教育城域網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)的分析，本方案提出了第4代城域網(wǎng)建設(shè)方案，總拓?fù)浣Y(jié)構(gòu)圖如上圖。解決方案構(gòu)架涉及多個應(yīng)用模塊，實現(xiàn)不同模式、不同優(yōu)化支撐功能。結(jié)合到懷柔區(qū)教育城域網(wǎng)現(xiàn)狀，以及滿足當(dāng)前的認(rèn)證、安全等應(yīng)用需求，方案建設(shè)可分布實施，初次部署模式如下：部署模式簡介：懷柔區(qū)區(qū)教育教

21、育信息中心部署1套radius身份認(rèn)證系統(tǒng)，1套web portal認(rèn)證門戶系統(tǒng)。各校出口部署1臺EG融合易網(wǎng)關(guān)設(shè)備。各EG設(shè)備和教育信息中心radius、web portal系統(tǒng)對接，實現(xiàn)信息交戶，以及認(rèn)證策略、實名信息同步下發(fā)。學(xué)校用戶可分類2類。一類需要進行嚴(yán)格的安全控制，如補丁更新、軟件黑白名單控制、殺毒軟件聯(lián)動等端點準(zhǔn)入功能，如機房電腦、重視安全功能的學(xué)校。另一類客戶，要求網(wǎng)絡(luò)簡單使用，同時安全隱患小的客戶群，可考慮只使用web portal實名認(rèn)證，不進行強制的安全控制。方案可靈活實現(xiàn)兩類用戶，若需嚴(yán)格安全準(zhǔn)入用戶，只需安裝強客戶端SA，進行主機安全檢查控制即可，同時使用客戶端軟件

22、進行實名認(rèn)證。對網(wǎng)絡(luò)簡單使用要求高的客戶，可考慮不安裝客戶端，直接使用web portal認(rèn)證即可。3.2 教育城域網(wǎng)建設(shè)有三個主要步驟，l 基礎(chǔ)網(wǎng)絡(luò)完善l 業(yè)務(wù)支撐優(yōu)化l 應(yīng)用整合優(yōu)化網(wǎng)絡(luò)建設(shè)示意圖基礎(chǔ)網(wǎng)絡(luò)的完善包括四個方面：有線網(wǎng)絡(luò)改造或完善、網(wǎng)絡(luò)出口優(yōu)化、數(shù)據(jù)中心建設(shè)及智能無線網(wǎng)絡(luò)建設(shè)；業(yè)務(wù)支撐平臺的優(yōu)化包括：業(yè)務(wù)運維管理、基于實名身份的認(rèn)證管理體系建設(shè)；應(yīng)用的整合優(yōu)化，實現(xiàn)網(wǎng)絡(luò)層和應(yīng)用層的單點登陸。3.3 基礎(chǔ)網(wǎng)絡(luò)的完善3.3.1 教育城域網(wǎng)核心升級優(yōu)化結(jié)合教育系統(tǒng)的相關(guān)業(yè)務(wù)及應(yīng)用，采用以下兩種技術(shù)來構(gòu)建和完善教育城域網(wǎng)的骨干核心網(wǎng)。u 高性能冗余的萬兆核心核心設(shè)備采用當(dāng)今高端路由交換

23、產(chǎn)品，關(guān)鍵硬件達(dá)到冗余如：引擎、風(fēng)扇、電源；核心業(yè)務(wù)辦卡采用模塊配置，能夠很好的提供今后的擴展，核心骨干網(wǎng)絡(luò)設(shè)計為高容錯功能，核心骨干網(wǎng)絡(luò)故障時間1S。核心設(shè)備采用支持IPv4、IPv6的萬兆技術(shù)，核心引擎具有NFPP與CPP的防護功能，能夠隨時保護核心引擎。u 核心骨干網(wǎng)IPFIX流量管理 核心骨干交換機能夠?qū)崿F(xiàn)IPFIX流量管理，可以進行流量采樣、流量采集、數(shù)據(jù)分析處理，使網(wǎng)絡(luò)核心流量得管理和控制，保證業(yè)務(wù)的使用。3.3.2 教育城域網(wǎng)的出口安全根據(jù)教育城域網(wǎng)出口的流量進行分析，從用戶實際應(yīng)用與網(wǎng)絡(luò)的安全威脅的特點出發(fā)，在網(wǎng)絡(luò)出口安全設(shè)計中分為三個關(guān)鍵步驟的設(shè)計：第一步要實現(xiàn)提速，即建立高

24、性能、高穩(wěn)定的基礎(chǔ)平臺第二步要實現(xiàn)業(yè)務(wù)的高效運行，提升服務(wù)質(zhì)量第三步就是安全風(fēng)險控制，保障出口的高速、高效3.3.3 教育城域網(wǎng)數(shù)據(jù)中心l 全網(wǎng)采用IP SAN+FC SAN的統(tǒng)一存儲架構(gòu)，靈活擴展存儲容量和前端應(yīng)用服務(wù)器數(shù)量，遠(yuǎn)距離、跨校區(qū)存儲服務(wù)。l 提供跨盤陣的卷鏡像、快照、復(fù)制等功能確保數(shù)據(jù)安全，輕松實現(xiàn)跨盤陣的數(shù)據(jù)遷移、應(yīng)用服務(wù)遷移，整合原有存儲，License-free。l 通過城域網(wǎng)的可用鏈路提供遠(yuǎn)程災(zāi)難備份恢復(fù)功能，確保數(shù)據(jù)安全，可以在低帶寬環(huán)境下實現(xiàn)遠(yuǎn)程數(shù)據(jù)災(zāi)備。3.3.4 無線教育城域網(wǎng)依托現(xiàn)有的有線教育城域網(wǎng)，以現(xiàn)有的教育城域網(wǎng)為基礎(chǔ)，無線網(wǎng)絡(luò)設(shè)計如下：n 采用技術(shù)的標(biāo)準(zhǔn)

25、先進性和實用性，支持801.11n并兼容WIFI 802.11a/b/g,無線支持雙工模式，801.11n與WIFI 802.11a/b/g同時工作。n 學(xué)校端零配置部署，分布于各個學(xué)校的AP “零配置”，完全由部署于城域網(wǎng)中心機房的“無線控制器”進行統(tǒng)一管理、配置、監(jiān)控業(yè)務(wù)支撐平臺的優(yōu)化。n 根據(jù)區(qū)縣下屬學(xué)校的數(shù)量，每個學(xué)校部署的AP數(shù)量的差異，來考慮無線控制器的規(guī)模，使得系統(tǒng)的容量、性能、可靠性以及可管理性得到有效保障。n 遠(yuǎn)端智能感知：如無線控制器出現(xiàn)故障，學(xué)校的AP要能自動感知無線控制器的狀態(tài)，自動切換，保證業(yè)務(wù)運行不受影響。n 需要考慮與有線城網(wǎng)的融合，如AP的部署、VLAN支持、用

26、戶認(rèn)證、安全體系等等。3.4 教育城域網(wǎng)的運維管理提出了教育城域網(wǎng)運維管理系統(tǒng)，對關(guān)鍵應(yīng)用、用戶網(wǎng)絡(luò)設(shè)備、安全設(shè)備、網(wǎng)絡(luò)終端管理統(tǒng)一考慮，整體規(guī)劃。通過該系統(tǒng)，區(qū)域?qū)⒔ㄔO(shè)一個跨教育教育信息中心和各個校園網(wǎng)的整體安全防護體系和管理體系，以自動化、分布式、智能化的監(jiān)控和管理手段實現(xiàn)全面的安全防護與管理，達(dá)到標(biāo)本兼治的效果。3.5 教育城域網(wǎng)實名制管理 在教育城網(wǎng)中通過實名制管理系統(tǒng)，實現(xiàn)網(wǎng)絡(luò)、業(yè)務(wù)的實名認(rèn)證，實名認(rèn)證包括：n 實名認(rèn)證，有線、無線、VPN接入認(rèn)證。n 實名訪問權(quán)限控制。n 實名流控。n 實名日志審計。3.6 應(yīng)用的整合優(yōu)化通過RG-SMP與RG-SSO進行互動，使教育城域網(wǎng)的多個業(yè)

27、務(wù)統(tǒng)、有線、無線、VPN等統(tǒng)一單點登錄，它無需用戶記憶多個用戶名、密碼，也無需用戶進行多次登錄系統(tǒng)才能訪問應(yīng)用系統(tǒng)。管理員只要維護一個系統(tǒng)即可，對于用戶來說只要記住一個網(wǎng)絡(luò)認(rèn)證的密碼就可以實現(xiàn)網(wǎng)絡(luò)的接入。4 懷柔區(qū)教育城域網(wǎng)詳細(xì)設(shè)計方案4.1 核心骨干網(wǎng)高性能冗余設(shè)計在教育城域網(wǎng)中，網(wǎng)絡(luò)流量包括：學(xué)校與學(xué)校之間的流量、學(xué)校與區(qū)域中心之間的流量、學(xué)校訪問Internet流量。（如下圖所示-圖1）教育城域網(wǎng)的建設(shè)是整個區(qū)域教育信息化建設(shè)的核心，是保證所有業(yè)務(wù)應(yīng)用系統(tǒng)正常運行的關(guān)鍵。結(jié)合現(xiàn)有教育系統(tǒng)的相關(guān)業(yè)務(wù)及應(yīng)用，推薦以下兩種方案來構(gòu)建和完善教育城域網(wǎng)的骨干核心網(wǎng)。4.1.1 虛擬化核心骨干網(wǎng)區(qū)電

28、教兩臺核心采用銳捷核心虛擬技術(shù)，將兩臺核心設(shè)備虛擬為一臺邏輯核心交換機， VSU很容易地擴展端口數(shù)量、帶寬的同時取代了MSTP+VRRP雙核心拓?fù)洌群喕W(wǎng)絡(luò)拓?fù)洹?區(qū)教育信息中心核心交換區(qū)部署兩（四）臺基于十萬兆平臺設(shè)計的核心交換機，兩臺核心交換機通過L3層20G鏈路互聯(lián)，使用VSU虛擬化技術(shù)，將兩臺核心交換機虛擬為一臺，以簡化拓?fù)?，實現(xiàn)MS級的故障恢復(fù)。兩臺核心交換機直接光纖互聯(lián)高中部接入交換機，其它校區(qū)匯聚交換機通過layer3層千兆光纖鏈路互聯(lián)，形成高性能、高可靠核心交換機區(qū)。業(yè)務(wù)區(qū)域采用VSU設(shè)計實現(xiàn)高可靠，網(wǎng)絡(luò)核心之間雙鏈路跨板鏈路聚合實現(xiàn)鏈路可靠。網(wǎng)絡(luò)中心作為全網(wǎng)的心臟，向單位內(nèi)

29、部的終端系統(tǒng)源源不斷的提供安全的信息血液，保證整個教育業(yè)務(wù)系統(tǒng)的可靠運行。因此，作為整個網(wǎng)絡(luò)平臺的神經(jīng)中樞，網(wǎng)絡(luò)核心層是全網(wǎng)數(shù)據(jù)傳輸?shù)闹行?，不僅要保證7*24小時的穩(wěn)定運行，各種應(yīng)用服務(wù)器的數(shù)據(jù)能夠被穩(wěn)定可靠的傳輸?shù)浇K端系統(tǒng)，同時，還要協(xié)調(diào)全網(wǎng)的數(shù)據(jù)流量和訪問策略，在提供信息服務(wù)的同時，保證網(wǎng)絡(luò)中心自身的安全。4.1.2 虛擬核心VSU傳統(tǒng)雙核心網(wǎng)絡(luò)，使用MSTP+VRRP技術(shù)，雖能實現(xiàn)故障自動恢復(fù)，但故障恢復(fù)時間一般在15秒以上，完成不能達(dá)到NSF不間斷轉(zhuǎn)發(fā)的要求，也限制了高實時類業(yè)務(wù)系統(tǒng)在學(xué)校的良好建設(shè)使用。同時，冗余鏈路和設(shè)備，使網(wǎng)絡(luò)拓?fù)渥兊脧?fù)雜，增加了日常管理維護難度，而且核心設(shè)備一旦

30、不穩(wěn)定或鏈路中斷，則會導(dǎo)致VRRP或路由協(xié)議的震蕩，形成安全隱患，也容易受到相關(guān)利用協(xié)議漏洞的攻擊，這些都增加了網(wǎng)絡(luò)不可靠的風(fēng)險。實現(xiàn)NSF的前題是簡化網(wǎng)絡(luò)結(jié)構(gòu)，減低業(yè)務(wù)、管理維護的復(fù)雜度，最根本的方法，就是要減少邏輯設(shè)備的數(shù)量。因此本方案中，采用VSU虛擬云交換技術(shù)，將兩臺物理核心交換機虛擬為一臺邏輯上統(tǒng)一的設(shè)備，使其能夠?qū)崿F(xiàn)統(tǒng)一的運行，從而達(dá)到減小網(wǎng)絡(luò)規(guī)模，同時極大提高網(wǎng)絡(luò)穩(wěn)定健壯性，控制故障恢復(fù)時間。VSU虛擬云交換特性使用VSU后，兩臺核心設(shè)備邏輯上變成一臺。從而簡化了網(wǎng)絡(luò)拓?fù)?。網(wǎng)絡(luò)中不再需要生成樹、VRRP等復(fù)雜的協(xié)議，大大降低配置維護工作量。此時匯聚到核心雙鏈路上聯(lián)，等同于雙鏈路連

31、接到一臺核心上，實現(xiàn)跨設(shè)備鏈路聚合。即使一臺核心或上聯(lián)鏈路中斷，也可實現(xiàn)快速切換。切換時間控制在50ms以內(nèi)，相當(dāng)于普通數(shù)據(jù)包轉(zhuǎn)發(fā)的時延這，不會對業(yè)務(wù)流暢運行產(chǎn)生任何影響。4.1.3 設(shè)備高可用設(shè)計隨著學(xué)校在IP網(wǎng)絡(luò)上部署的應(yīng)用增多，學(xué)校的學(xué)習(xí)生活、教學(xué)等對于網(wǎng)絡(luò)依賴程度越來越高，網(wǎng)絡(luò)成為學(xué)校正常運轉(zhuǎn)的最基本因素之一。網(wǎng)絡(luò)一旦故障，就如同斷電缺水一般，其負(fù)面影響不可估量。同時隨著業(yè)務(wù)應(yīng)用發(fā)展，業(yè)務(wù)系統(tǒng)將顯得越發(fā)脆弱，僅僅幾秒的網(wǎng)絡(luò)中斷就會造成如多媒體錄播系統(tǒng)的中斷、OA文件傳輸重傳、視頻會議的中斷等，進而引發(fā)一系列的連鎖效應(yīng)。因此，網(wǎng)絡(luò)永續(xù)性對學(xué)校信息化建設(shè)的成功變得越來越重要。因此，NSF不

32、間斷轉(zhuǎn)發(fā)，成為衡量網(wǎng)絡(luò)可靠性的重要因素，也決定了未來信息化展的高度。本方案力在為學(xué)校打造NSF：不間斷轉(zhuǎn)發(fā)的網(wǎng)絡(luò)環(huán)境，實現(xiàn)網(wǎng)絡(luò)99.999%以上的穩(wěn)定電信級高可靠性，同時將故障恢復(fù)時間控制在100ms以內(nèi)。網(wǎng)絡(luò)的可靠性是一個從端到端的概念，單純提高某一層面的可靠性并不能對網(wǎng)絡(luò)整體的可靠性有很大改善。本方案網(wǎng)絡(luò)的可靠性從設(shè)備級、鏈路級、網(wǎng)絡(luò)級、業(yè)務(wù)級等各層次保證。4.1.4 設(shè)備99.999%的可靠性保障本方案中采用銳捷網(wǎng)絡(luò)的數(shù)據(jù)通信交換機，銳捷網(wǎng)絡(luò)交換機在2007年榮獲第一批“中國名牌”交換機，產(chǎn)品品質(zhì)得到了國家權(quán)威評測結(jié)構(gòu)的認(rèn)可，品質(zhì)過硬。同時在國內(nèi)眾多高校、普教重點中小學(xué)、國家電子政務(wù)外網(wǎng)

33、、廣州亞運會、深圳大運會等有著成熟的應(yīng)用。銳捷網(wǎng)絡(luò)交換機在網(wǎng)絡(luò)設(shè)備上進行了軟、硬件的架構(gòu)優(yōu)化，確保網(wǎng)絡(luò)交換機具備“99.999%”的電信級穩(wěn)定性。4.1.5 設(shè)備部件無單點故障銳捷網(wǎng)絡(luò)核心骨干交換機RG-S12000系列均在設(shè)備本身的重要部件上進行了無故障設(shè)計。4.1.6 引擎切換無中斷RG-S12000系列交換機支持UISS（UnInterrupted SupervisorEngine Switchover），即無中斷引擎切換技術(shù)，保證主從管理板的切換在1秒間實現(xiàn)，同時在切換過程中，各主機線卡可以繼續(xù)轉(zhuǎn)發(fā)原有的數(shù)據(jù)流，不影響網(wǎng)絡(luò)業(yè)務(wù)的正常透明運行，實現(xiàn)管理板的平滑切換，極大地保證了核心的可靠

34、性和網(wǎng)絡(luò)可用性。UISS熱備份功能支持由熱備份框架與備份集合構(gòu)成。熱備份框架系統(tǒng)由Checkpoint Facility、Redundancy Facility和Redundancy Protocol三個主要組件構(gòu)成。熱備份框架為整個系統(tǒng)熱備份提供基礎(chǔ)平臺，需要熱備份的模塊通過這個基礎(chǔ)平臺提供的通信、管理等功能完成熱備份所需的同步信息傳輸。l 具體切換過程及實現(xiàn)1、切換前狀態(tài)信息同步2、主引擎出現(xiàn)故障時，數(shù)據(jù)不間斷轉(zhuǎn)發(fā)3、備份引擎啟動，故障引擎重啟動，備份引擎下發(fā)FIB表更新，待故障引擎重啟完畢后，新的主引擎將狀態(tài)信息同步到重啟后的引擎，此時完成切換。銳捷UISS熱備份設(shè)計可以保證RG-S12

35、000系列交換機主從管理板的切換在1秒間實現(xiàn)，同時在切換過程中，各主機線卡可以繼續(xù)轉(zhuǎn)發(fā)原有的數(shù)據(jù)流，不影響網(wǎng)絡(luò)業(yè)務(wù)的正常透明運行，實現(xiàn)管理板的平滑切換，極大地保證了銳捷網(wǎng)絡(luò)設(shè)備的可靠性和網(wǎng)絡(luò)可用性。4.1.7 教育城域網(wǎng)核心骨干交換機硬件自保護目前眾多的網(wǎng)絡(luò)病毒都是通過對網(wǎng)絡(luò)設(shè)備的CPU上進行特定協(xié)議的攻擊。例如，利用偽造的數(shù)據(jù)包瞄準(zhǔn)具體協(xié)議，向網(wǎng)絡(luò)設(shè)備發(fā)動攻擊。攻擊會大量消耗CPU上的資源(CPU循環(huán)和通信隊列)，從而達(dá)到攻擊目的。本方案全線交換機包括接入、匯聚、核心均通過硬件的方式對發(fā)往控制平面的數(shù)據(jù)進行分類，把不同的協(xié)議數(shù)據(jù)歸類到不同的隊列然后對不同的隊列進行限速，專門對路由引擎進行保護

36、，阻擋外界的 DOS 攻擊。而且并不影響轉(zhuǎn)發(fā)速度，所以CPP能夠在不影響性能的前提下，靈活且有力的防止攻擊，而且保證了即使有大規(guī)模攻擊數(shù)據(jù)發(fā)往CPU的時候依然可以在交換機內(nèi)部對數(shù)據(jù)進行區(qū)分對外。CPP提供三種保護方法，來保護CPU的利用率。第一，可以配置CPU接受數(shù)據(jù)流的總帶寬，從全局上保護CPU。第二，可以設(shè)備QOS隊列，為每種隊列設(shè)置帶寬。第三，為每種類型的報文設(shè)置最大速率。經(jīng)過信息產(chǎn)業(yè)部權(quán)威測試中心測試，得出結(jié)論：“銳捷網(wǎng)絡(luò)的CPP功能可進一步提高交換機抗攻擊的能力和保持網(wǎng)絡(luò)拓?fù)渑cCPU的穩(wěn)定性”4.1.8 智動安全防御本方案全線交換機包括接入、匯聚、核心均可自動檢測常見攻擊行為，并自動

37、下發(fā)相關(guān)策略，阻斷網(wǎng)絡(luò)攻擊，恢復(fù)網(wǎng)絡(luò)正常。第一可有效保護網(wǎng)絡(luò)穩(wěn)定性，阻絕各類攻擊，第二無需管理員手工參于，提高管理效率，將低管理動維難度。NFPP智能防御流程圖：基于設(shè)備自身安全的技術(shù)必須基于CPU和端口為主要出發(fā)點。目前業(yè)界已開發(fā)了一些用于防攻擊的功能模塊(比如：ACL、QOS、URPF、SysGuard 、CPP等等)，通過這些功能模塊自行建立攻擊檢測和保護的機制，并提供對外的管理接口。為了在這個日益重視安全性的環(huán)境中應(yīng)對日益復(fù)雜的攻擊，銳捷網(wǎng)絡(luò)開發(fā)出基礎(chǔ)網(wǎng)絡(luò)保護策略(Network Foundation Protection Policy)，簡稱NFPP。NFPP技術(shù)能夠?qū)υO(shè)備本身實施保

38、護，通過對報文流進行限制、隔離，以保證設(shè)備及網(wǎng)絡(luò)可靠、安全、有效地運行。NFPP通過接受報文的端口或者對送往CPU的報文進行攻擊檢測，采取相應(yīng)保護措施，從而達(dá)到對管理面、數(shù)據(jù)面和控制面的保護作用。NFPP整個框架可以分為軟件平臺和硬件平臺兩大部分，軟件平臺主要負(fù)責(zé)報文流的分類和策略的實施，硬件平臺主要對非法用戶進行硬件隔離，以達(dá)到保護CPU資源的目的。這也符合NFPP“早發(fā)現(xiàn)，早隔離”的原則。同時結(jié)合IPFIX（IP information Flow export）流量監(jiān)控技術(shù)基于端口進行流量監(jiān)測，幫助網(wǎng)絡(luò)管理人員快速鎖定異常不安全的數(shù)據(jù)源，在網(wǎng)絡(luò)管理平臺全網(wǎng)下發(fā)NFPP安全策略，及早的隔離非

39、法數(shù)據(jù)源。4.2 核心骨干網(wǎng)IPFIX流量管理雖然帶寬的提高可以降低網(wǎng)絡(luò)流量擁塞等現(xiàn)象發(fā)生，但是隨著業(yè)務(wù)種類的不斷增加，業(yè)務(wù)流量逐漸趨于復(fù)雜，可控的網(wǎng)絡(luò)流量才是保障用戶良好應(yīng)用體驗的最有效手段。否則，即使網(wǎng)絡(luò)帶寬再大，但當(dāng)大部分流量都聚集到某一條網(wǎng)絡(luò)鏈路時，又或者大量的P2P非業(yè)務(wù)流量把帶寬消耗盡殆盡時，關(guān)鍵業(yè)務(wù)應(yīng)用（尤其是對時延敏感的業(yè)務(wù)應(yīng)用）仍然難以保證其應(yīng)用質(zhì)量。要想網(wǎng)絡(luò)流量變得可控，首先需要做到將網(wǎng)絡(luò)流量分類并可視。銳捷網(wǎng)絡(luò)的核心骨干交換機能夠?qū)崿F(xiàn)IPFIX流量管理，可以進行流量采樣、流量采集、數(shù)據(jù)分析處理，使網(wǎng)絡(luò)核心流量得管理和控制，保證業(yè)務(wù)的使用。4.2.1 IPFIX技術(shù)簡介IP

40、FIX全稱為IP Flow Information Export，即IP數(shù)據(jù)流信息輸出，它是由IETF公布的用于網(wǎng)絡(luò)中的流信息測量的標(biāo)準(zhǔn)協(xié)議。該協(xié)議主要在于：l 統(tǒng)一IP數(shù)據(jù)流的統(tǒng)計、輸出標(biāo)準(zhǔn)，這使得網(wǎng)絡(luò)管理員很容易地提取和查看存儲在這些網(wǎng)絡(luò)設(shè)備中的重要流量統(tǒng)計信息。l 統(tǒng)一IP數(shù)據(jù)流的統(tǒng)計、輸出標(biāo)準(zhǔn)，這使得網(wǎng)絡(luò)管理員很容易地提取和查看存儲在這些網(wǎng)絡(luò)設(shè)備中的重要流量統(tǒng)計信息。IPFIX定義的格式以Cisco Netflow Version 9數(shù)據(jù)輸出格式作為基礎(chǔ)，可使IP流量信息從一個輸出器（Exporter）傳送到收集器（Collector）。因為IPFIX是一種針對數(shù)據(jù)流特征分析、基于模板

41、的格式輸出的協(xié)議，因此具有很強的可擴展性，對于不同的需求都可以定義不同的數(shù)據(jù)格式。為了較完整的輸出數(shù)據(jù)，IPFIX缺省使用網(wǎng)絡(luò)設(shè)備的七個關(guān)鍵域來表示每股網(wǎng)絡(luò)流量：l 源 IP 地址l 目的 IP 地址l TCP/UDP 源端口l TCP/UDP 目的端口l 三層協(xié)議類型l 服務(wù)類型（Type-of-service）字節(jié)l 輸入邏輯接口如果不同的 IP 報文中所有的七個關(guān)鍵域都匹配，那么這些 IP 報文都將被視為屬于同一股流量。通過記錄網(wǎng)絡(luò)中這些流量的特征，如流量持續(xù)時間、流量中報文平均長度等， 我們可以了解到當(dāng)前網(wǎng)絡(luò)的應(yīng)用情況，并根據(jù)這些信息對網(wǎng)絡(luò)進行優(yōu)化，安全檢測，流量計費。4.2.2 IP

42、FIX技術(shù)組網(wǎng)IPFIX是基于“流”的概念，一個流是指，來自相同的子接口，有相同的源和目的IP 地址，協(xié)議類型，相同的源和目的協(xié)議端口號，以及相同ToS的報文，通常為5 元組。IPFIX會記錄這個流的統(tǒng)計信息，包括：時間戳，報文數(shù)，總的字節(jié)數(shù)。IPFIX主要包括三個設(shè)備Export、Collector、 Analyzer，三個設(shè)備之間的關(guān)系如下圖所示。l Export對網(wǎng)絡(luò)流進行分析處理，提取符合條件的流統(tǒng)計信息，并將統(tǒng)計信息輸出給Collectorl lCollector負(fù)責(zé)解析Export的數(shù)據(jù)報文，把統(tǒng)計數(shù)據(jù)收集到數(shù)據(jù)庫中，可供Analyser進行解析。l Analyser從Collec

43、tor中提取統(tǒng)計數(shù)據(jù)，進行后續(xù)處理，為各種業(yè)務(wù)提供依據(jù),以圖形界面的形式顯示出來4.2.3 IPFIX技術(shù)實現(xiàn)銳捷網(wǎng)絡(luò)是在核心交換機上實現(xiàn)IPFIX功能，使用多業(yè)務(wù)卡來進行IP報文的分析處理。l 主引擎：主要負(fù)責(zé)與其他模塊復(fù)雜的交互。具體負(fù)責(zé)配置管理、傳輸層協(xié)議封裝、發(fā)包。l 多業(yè)務(wù)卡：高性能的NP板，高效率IP報文解析、統(tǒng)計，組裝成IPFIX報文的DATA部分發(fā)給主引擎進行傳輸層封裝。4.3 教育城域網(wǎng)安全4.3.1 出口安全教育城域網(wǎng)的安全問題已經(jīng)成為各級教育信息化主管部門關(guān)注的熱點，教育城域網(wǎng)所面臨的安全挑戰(zhàn)也越來越大： 學(xué)校的門戶網(wǎng)站被黑客攻擊 學(xué)生的考試成績被篡改 學(xué)籍等資料被非法泄

44、露，并被犯罪分子利用 上網(wǎng)用戶在網(wǎng)上發(fā)表一些不恰當(dāng)言論 中心服務(wù)器被黑客控制，并對其他目標(biāo)發(fā)動攻擊 不完善的日志記錄，導(dǎo)致出了安全事件后，無法定位到人或單位教育城域網(wǎng)的出口是整個教育城域網(wǎng)的“咽喉”，所以，城域網(wǎng)出口的安全設(shè)計對全網(wǎng)的安全至關(guān)重要。如何解決教育城域網(wǎng)出口的安全問題，是每一個城域網(wǎng)規(guī)劃者必須要考慮的問題。銳捷綜合多年的出口架構(gòu)經(jīng)驗和數(shù)千用戶的調(diào)查反饋，歸納出網(wǎng)絡(luò)出口的三大主要問題：1、基本轉(zhuǎn)發(fā)的性能問題：IPv4地址的缺乏，讓NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）成為出口設(shè)備的必備工作；而NAT對性能要求較高，久而久之就成了上網(wǎng)速度慢的一個重要原因。中國運營商的現(xiàn)狀，決定了眾多單位普遍擁有2條甚

45、至更多出口運營商鏈路，此時PBR（策略路由）便成為必需，而PBR開啟后出口設(shè)備死機、網(wǎng)絡(luò)變慢的情況時有發(fā)生；更有甚者，部分大規(guī)模網(wǎng)絡(luò)已經(jīng)開始嘗試萬兆出口，性能問題就更為突出了2、業(yè)務(wù)無法高效運行的問題：BT、迅雷等P2P應(yīng)用流量過大，擠占關(guān)鍵用戶或關(guān)鍵應(yīng)用帶寬，造成服務(wù)質(zhì)量差，用戶上網(wǎng)體驗下降。比如：視頻會議斷斷續(xù)續(xù)，OA辦公時，打開一個頁面延遲很大。與此形成鮮明對比的是，多條出口鏈路中部分鏈路的流量卻很小。如何保證帶寬被充分利用，關(guān)鍵業(yè)務(wù)運行能獲取必須帶寬？3、安全風(fēng)險難以控制的問題：出口安全問題更為復(fù)雜，總體來看可以分為三類。第一類是攻擊類安全問題。網(wǎng)絡(luò)攻擊可能影響網(wǎng)絡(luò)運行、造成資源浪費或

46、者引發(fā)一系列安全問題。如DDoS攻擊會耗盡系統(tǒng)資源。目前Web安全越來越受關(guān)注，比如防范網(wǎng)頁被篡改、防范網(wǎng)站被掛馬。第二類是日志審計問題。重大政治事件、安全事件頻發(fā)的大背景下，全國都在開展安全大檢查，公安部82號令所要求的日志審計如何滿足？如何避免公安網(wǎng)監(jiān)日志檢查帶來的麻煩？第三類是實名制問題。不光接入網(wǎng)絡(luò)要認(rèn)證，訪問Internet也要做準(zhǔn)出認(rèn)證（可以簡單理解為網(wǎng)關(guān)認(rèn)證），并在準(zhǔn)出認(rèn)證基礎(chǔ)上，針對不同用戶身份進行相應(yīng)策略部署。網(wǎng)絡(luò)出口安全結(jié)構(gòu)根據(jù)教育城域網(wǎng)出口流量的特點，銳捷網(wǎng)絡(luò)推出了針對性的解決方案：在教育城域網(wǎng)建設(shè)中，銳捷網(wǎng)絡(luò)根據(jù)教育城域網(wǎng)出口進行設(shè)計，在城域網(wǎng)出口建設(shè)中分銳捷出口之道：

47、出口三步曲l 第一步要實現(xiàn)提速，即建立高性能、高穩(wěn)定的基礎(chǔ)平臺。 首先，配備高性能的硬件。銳捷是國內(nèi)首家實現(xiàn)出口產(chǎn)品全線支持萬兆和IPv6的企業(yè)。其次，保證高穩(wěn)定性。銳捷所有出口產(chǎn)品均支持硬件BYPASS，在掉電、重啟、設(shè)備故障等突發(fā)情況下，出口始終能保持通暢。同時在整個產(chǎn)品的設(shè)計過程中始終貫徹落實1+1冗余電源的配備。最后，NPE基于REF（銳捷特快交換技術(shù)）所建立的高性能NAT、PBR（策略路由），徹底解決了基礎(chǔ)轉(zhuǎn)發(fā)性能問題。而且在ACE內(nèi)嵌高性能DPI引擎作用下，協(xié)議識別和策略執(zhí)行將不會影響到性能；全部采用多核平臺架構(gòu)的RG-WALL，將改寫傳統(tǒng)防火墻存在性能瓶頸的歷史。l 第二步要實現(xiàn)

48、業(yè)務(wù)的高效運行，提升服務(wù)質(zhì)量通過銳捷高性能DPI引擎，有效識別應(yīng)用，控制帶寬，比如控制P2P等帶寬濫用，保證關(guān)鍵用戶、關(guān)鍵應(yīng)用、關(guān)鍵時刻的帶寬需要。通過銳捷負(fù)載均衡技術(shù)，在出口有多條鏈路的情況下，保證從內(nèi)網(wǎng)到外網(wǎng)的業(yè)務(wù)、從外網(wǎng)到內(nèi)網(wǎng)的業(yè)務(wù)，都能選擇最快速的訪問路徑。具體來說，Inbound采用智能DNS技術(shù)，Outbound采用多鏈路智能選路技術(shù)。l 第三步，就是安全風(fēng)險控制，保障出口的高速、高效。第一個關(guān)鍵是Web安全，比如今年春晚，趙本山、劉謙節(jié)目大量的植入廣告引發(fā)網(wǎng)友不滿，導(dǎo)致央視網(wǎng)站被黑。今天的安全是由網(wǎng)絡(luò)安全、應(yīng)用安全到Web安全，全面構(gòu)建的立體安全防護體系。銳捷Web Guard基

49、于對HTTP/HTTPS流量內(nèi)容的雙向檢測分析，識別檢測各類Web編碼、交互技術(shù)、URL參數(shù)以及表單輸入等，為Web應(yīng)用提供實時、動態(tài)的主動性防護。最終實現(xiàn)防止網(wǎng)頁內(nèi)容被篡改，防止網(wǎng)站數(shù)據(jù)庫內(nèi)容泄露，防止口令被破解，防止系統(tǒng)管理員權(quán)限被竊取，防止網(wǎng)站被掛馬和植入病毒、惡意代碼、間諜軟件等多重功效。第二個關(guān)鍵就是 “實名制”，不管是用戶接入網(wǎng)絡(luò)、上網(wǎng)日志，還是策略管理；都能實現(xiàn)基于用戶身份，落實到人。銳捷全系列出口設(shè)備均支持實名日志，eLog在收集NPE、防火墻NAT日志，ACE產(chǎn)生URL日志的同時自動關(guān)聯(lián)身份認(rèn)證信息。在公安機關(guān)查詢時，既方便，又能精確定位到人。實名制安全，不僅僅體現(xiàn)在基于用戶

50、身份的實名制日志審計。還體現(xiàn)在ACE+SMP 通過Web認(rèn)證功能，實現(xiàn)實名制Web網(wǎng)絡(luò)準(zhǔn)出；通過SSL VPN+SMP實現(xiàn)實名制遠(yuǎn)程VPN網(wǎng)絡(luò)接入。出口解決方案可實現(xiàn)如下功能：l 海量會話，萬人在線網(wǎng)絡(luò)出口引擎NPE提供200萬條并發(fā)NAT會話，每秒新建30萬條NAT會話，保證出口網(wǎng)絡(luò)可容納萬人在線l 流量識別，精細(xì)管理應(yīng)用控制引擎RG-ACE可精確識別上千種應(yīng)用（例如，P2P應(yīng)用、即時通訊、流媒體、網(wǎng)絡(luò)游戲、炒股軟件、辦公應(yīng)用等）。通過對P2P應(yīng)用的壓縮控制，可有效降低P2P應(yīng)用對出口網(wǎng)絡(luò)帶寬的占用率，提高其余業(yè)務(wù)的帶寬使用率，有效提速。l 關(guān)鍵應(yīng)用，持續(xù)保障通過對關(guān)鍵用戶/關(guān)鍵應(yīng)用的識別，

51、將其置于獨立的VIP通道，有效保障關(guān)鍵用戶/關(guān)鍵應(yīng)用的帶寬不受其他應(yīng)用的影響。l 信息門戶，安全可控 集成防病毒網(wǎng)關(guān) - 全面覆蓋Wildlist病毒列表（國際上對防病毒網(wǎng)關(guān)的評測標(biāo)準(zhǔn)） - Web攻擊是個動態(tài)過程，防病毒和防木馬保護，就防止了絕大多數(shù)攻擊 網(wǎng)頁事后恢復(fù) - 集成“網(wǎng)頁防篡改軟件”功能，滿足中國客戶特色需求 - 對靜態(tài)頁面進行比對，如果發(fā)現(xiàn)網(wǎng)頁被黑則恢復(fù)為備份頁面 “零配置”運行 - 不同于國外廠商采用白名單配置方式，需要用戶對網(wǎng)站協(xié)議、漏洞非常熟悉，方能發(fā)揮效力，普通用戶沒法使用 - Web Guard支持“零配置”運行，設(shè)備無需配置即可防御絕大多數(shù)攻擊；待用戶熟悉后可以再對

52、配置進行優(yōu)化 關(guān)鍵字過濾 - 內(nèi)容關(guān)鍵字過濾 ,協(xié)議關(guān)鍵字，支持自定義Web防護規(guī)則等功能有效避免論壇被上傳非法、反動言論，影響社會和諧圖形監(jiān)控，運籌帷幄該方案提供一系列出口運行狀況的圖形化監(jiān)控，直觀掌握出口網(wǎng)絡(luò)的“天氣圖”，有助于網(wǎng)絡(luò)出口帶寬策略、帶寬利用率的優(yōu)化調(diào)整。 流量分析類網(wǎng)絡(luò)出口總體流量分析 應(yīng)用分析類l 訪問日志，有效記錄日志對于網(wǎng)絡(luò)安全的分析和安全設(shè)備的管理非常重要。NPE采用統(tǒng)一格式記錄各種網(wǎng)絡(luò)攻擊和安全威脅，支持本地查看的同時，還能夠通過統(tǒng)一的輸出接口將日志發(fā)送到日志服務(wù)器，為用戶事后分析、審計提供重要信息。 NAT日志查詢 URL日志查詢4.3.2 端點安全功能讓正確的人

53、、使用健康的主機、訪問安全的網(wǎng)絡(luò)、做規(guī)范的事情。數(shù)字化校園的安全設(shè)計需要考慮用戶身份安全、主機安全、網(wǎng)絡(luò)安全、安全策略管理等四個主要方面。用戶身份的安全，指用戶以實名接入網(wǎng)絡(luò)，只有經(jīng)過實名認(rèn)證的用戶才能使用網(wǎng)絡(luò)；主機的安全指只有終端主機本身是健康的，如安裝了殺毒軟件，安裝了最新補丁，才允許接入校園網(wǎng)絡(luò)；網(wǎng)絡(luò)的安全指在網(wǎng)絡(luò)中的數(shù)據(jù)要合法，不能有攻擊或異常，同時，師生在校園網(wǎng)中的網(wǎng)絡(luò)訪問行為要安全，如學(xué)生限制訪問成人網(wǎng)站或互聯(lián)網(wǎng)娛樂類視頻等；用戶訪問的安全，是指你在網(wǎng)絡(luò)中的訪問可追溯，出現(xiàn)攻擊可定位到人。總之，以用戶為核心的安全的設(shè)計理念是保障“讓正確的人，使用健康的主機，訪問安全的網(wǎng)絡(luò)，做規(guī)范的

54、事情?！变J捷網(wǎng)絡(luò)端點功能，致力于通過軟硬件聯(lián)動、計算機與網(wǎng)絡(luò)聯(lián)動的整體解決方案，通過傳統(tǒng)的網(wǎng)絡(luò)設(shè)備和安全設(shè)備等硬件，配合后臺系統(tǒng)、客戶端等軟件，聯(lián)動的實現(xiàn)了對于用戶身份、主機健康性以及網(wǎng)絡(luò)通信等多方面的保障，輕松實現(xiàn)“讓正確的人，使用健康的主機，訪問安全的網(wǎng)絡(luò)，做規(guī)范的事”的目標(biāo)。 對用戶進行身份驗證、主機健康檢查，并根據(jù)用戶的身份和健康檢查的結(jié)果，進行用戶網(wǎng)絡(luò)訪問權(quán)限的劃分，簡單的說，就是認(rèn)證和授權(quán)兩個方面。在這一類型的解決方案中，一般情況下會將認(rèn)證和授權(quán)功能都集中在設(shè)備層面，例如交換機，但這就對認(rèn)證設(shè)備提出了很高的要求，除了標(biāo)準(zhǔn)的802.1X協(xié)議以外，還需要支持諸如動態(tài)ACL下發(fā)、動態(tài)VL

55、AN跳轉(zhuǎn)等功能，而很多情況下，網(wǎng)絡(luò)設(shè)備恰恰是無法支持這些功能的，這就使得整個方案的功能無法實現(xiàn)。本方案使用RG-SA將認(rèn)證和授權(quán)節(jié)點分開，由支持標(biāo)準(zhǔn)802.1X協(xié)議的交換機進行認(rèn)證，而有強制客戶端即RG-SA來在主機層面進行網(wǎng)絡(luò)授權(quán)，這里提到的授權(quán)既包括根據(jù)用戶身份進行的網(wǎng)絡(luò)訪問授權(quán)，也包括在用戶主機健康性檢查不合格時的隔離，以及用戶進行惡意網(wǎng)絡(luò)訪問情況下的隔離功能。RG-SA產(chǎn)品使得端點準(zhǔn)入控制的適用范圍更加廣泛，簡單的說就是，只要有支持標(biāo)準(zhǔn)802.1X協(xié)議的交換機（無論哪個廠商）即可。身份認(rèn)證功能l 基于802.1X協(xié)議的身份認(rèn)證體系l 基于用戶身份的網(wǎng)絡(luò)訪問權(quán)限控制體系l 基于包括用戶名

56、、密碼、IP地址、MAC地址、認(rèn)證交換機IP、認(rèn)證交換機端口號、主機硬盤序列號等在內(nèi)的7元素靈活綁定，保障用戶身份正確性l 用戶短消息、修復(fù)程序自動下發(fā)功能主機端點防護功能l Windows補丁強制更新功能（需配合微軟WSUS服務(wù)器）l 殺毒軟件聯(lián)動功能（需配合對應(yīng)的殺毒軟件）l 用戶端軟件安裝黑白名單功能l 用戶端注冊表關(guān)鍵鍵值檢測及修復(fù)功能l 用戶端后臺服務(wù)檢測及修復(fù)功能l 用戶端進程檢測及強制開啟/關(guān)閉功能l 違規(guī)用戶自動隔離功能l MAC地址防篡改功能l 禁止主機發(fā)送ARP欺騙報文（需配合RG-SMP 2.X專業(yè)版）l 禁止主機發(fā)送DHCP欺騙報文（需配合RG-SMP 2.X專業(yè)版）安全域相關(guān)功能l 基于客戶端的安全域管理（需配合RG-SMP 2.X專業(yè)版）l CA認(rèn)證聯(lián)動功能，實現(xiàn)統(tǒng)一身份管理體系計算機管理輔助功能l 遠(yuǎn)程協(xié)助功能（需配合RG-SMP 2.X專業(yè)版）l 客戶機進程列表獲取功能l 用戶端軟硬件信息學(xué)習(xí)、統(tǒng)計功能4.4 教育城域網(wǎng)數(shù)據(jù)中心設(shè)計方案教育城域網(wǎng)的重要角色之一是區(qū)域教育的數(shù)據(jù)中心，其數(shù)據(jù)系統(tǒng)主要包括教