一、马鞍山市教育网建设背景.doc

马鞍山市教育局教育信息化三年行动计划 2013年项目网络建设方案 一、马鞍山市教育网建设背景 随着教育信息化在全国逐渐普及，学校相继建立了自己的校园网络，形成了层次分明功能完善的纵向网络体系，但是在学校之间的网络建设则相对滞后，在教育系统内部出现了众多的信息孤岛。这样的局面，我们如何避免？在校园网络解决方案日益趋同的背景下，我们如何来获得更多更新的内容，如何来引入更有价值的应用？ 为了解决上述问题，教育城域网应运而生。马鞍山市教育城域网是将本地区的教育机构、研究机构全部通过网络互联，使教育资源整合、开放、共享，达到整体信息化的集成运用的宽带网络，最终形成的一个区域性的互联、互动、信息交换、资源共享和远程教育的基础架构。通常，教育城域网以当地教委信息中心作为网络中心和资源中心，各学校和科研机构作为分中心和资源提供节点，覆盖全地区各级教育行政机构，同时网内共享管理平台，实现接入学校办公管理、教学管理和通讯管理的自动化，从而提高办学效率和质量。 二、马鞍山市教育网设计思路 与普通校园网不同，教育城域网发挥骨干网的作用，承载信息与整合资源，将全市各地区分散的局域网从物理上联系起来。因此，建设教育城域网设计思路如下： 以应用为导向，服务于教育事业。 所有网络建设都是为了更好服务于用户的实际应用，实现区域性的互联、信息交换、资源共享和远程教育的基础构架； 2.实用性、先进性、扩展性和标准化的结合。 实面向应用，注重实效，确保网络建设能够切合实际； 网络体系结构具有开放性，协议遵循国际标准； 具有良好的可扩展性，即满足当前使用要求又适应未来3-5的发展； 3.系统结构合理、安全可靠 关键设备冗余设计，避免单点故障。突出重点，重点区域重点保护； 优化马鞍山市教育城域网网络IP地址划分配方案、优化VLAN划分，实现有效隔离广播风暴和病毒的传播； 按照网络分层模型构建清晰的马鞍山市教育城域网网络系统组织结构； 三、马鞍山市教育网建设方案 马鞍山市教育城域网信息平台的建设根据不同位置及信息点的数量和未来覆盖面扩充等多方面原因，将网络划分若干个区域。划分区域主要考虑以下几个方面：可以减轻中央核心交换机的负担、管理上方便、便于未来的连接扩充。 马鞍山市教育城域网信息化网络建设包括为四个层次：安全出口层、核心层、汇聚层、接入层；核心层到汇聚层建议采用万兆链路链路，汇聚层到接入层采用百兆MSTP与GPON链路。 安全出口层、核心层部署在市教育局中心机房与政府机房，通过运营商专线分别连接到雨山区、花山区、金家山区和当涂县等运营商机房的汇聚交换机上，每个区县所属的学校按区域位置接入对应的汇聚交换机，实现马鞍山市教育网统一出口、统一部署策略、统一管理和资源共享等。 安全出口层 高效的NAT机制和完善的NAT溯源。 具备高效的NAT转换功能，在处理的过程中采用优化的算法，保证了地址转换特性的优异性能。在启用NAT的时候，性能下降的非常少，这样就保证了在通过统一安全网关提供NAT业务的时候不会成为网络的瓶颈。 边界网络区域隔离和包过滤。 审核所连各网络区域之间的访问请求，通过与访问控制规则的比较，确保合法的访问的通过，从而为外网与内部网络建立了一道防御屏障，有效地对内外网数据进行有效地安全过滤。 应用层安全防护。 网络安全的风险已经越来越多的从网络层到应用层蔓延，入侵防御部署在网络安全出口，和防火墙一起形成立体的安全防护，入侵防御专注于应用层攻击防护，主动地对最新攻击进行防护，提供虚拟补丁功能。并且具备专业的DDoS防护能力，高效地清洗外部僵尸网络的攻击。 整网安全检测。 在城域网的网络内部，学校与学校之间，学校与internet之间都会通过核心交换机进行通信，核心交换机担负着网络的核心作用，将核心交换机的流量镜像给IDS设备，通过IDS的专业的入侵检测功能，感知整网存在的安全风险，并形成日志，发送给统一的安全管理平台，为管理者评估网络安全状况提供直观的依据，并且满足相关的合规性法规要求。 核心层 核心设备担负着连接汇聚层，工作，同时通过核心设备的互联，形成一套完整的网络。由于核心层设备担负着整个网络的流量。在网络核心层的流量是非常巨大的，所有的服务器均在网络的核心层提供相关的服务。对网络核心层的压力非常巨大。同时网络对安全性、稳定性的要求极高，由于网络也基本是一个金字塔的形状，那么最需要稳定的就是金字塔的顶端，即网络的核心层。 网络核心层同时需要对网络的接入层提供不同的网络层的路由规划和信息转发的功能，同时还需要保证不同级别的网络QoS，对于服务器的关键业务通过链路级和网络级的协议实现严格的控制和优先级的保证。对于网络级的保护通常时间是非常长的，那么对一些关键业务，通过结合二层快速收敛的协议一起来完成对网络安全性的提升和网络的自愈能力。设备须支持对不同