教育城域网解决方案 v09 公司白色模板.ppt

构建安全易管理的高速教育城域网 2008年3月 修订记录 全球基础教育信息化发展里程 基教信息化规划的框架 我国基础教育信息化发展历程 教育城域网建设“难点”分析 原有网络架构规划不合理，网络扩展不便，原网络带宽窄、设备性能较低，导致学校师生访问相关资源速度慢，影响整个城域网教学业务的普及与应用； 远程教学、智能录播等应用飞速增长，网络不堪重负，使用内部资源备课、授课时，大量时间花费在等待上，最终导致资源闲置； 教师pc经常中毒，病毒迅速传播，造成整个城域网瘫痪，导致教学无法顺利开展； 网络设备、服务器群经常受到外界攻击，影响其正常应用； 缺乏对教育城域网内所有设备统一管理的手段，导致日常工作量巨大； 网络系统故障不易定位，故障时间过长， 天天忙于“救火”，且对设备维护人员要求过高； 设备种类繁多，报表纷杂，缺少统一、直观的表报材料，无法科学直观的呈现工作情况。 。。。。。。 锐捷网络教育城域网整体解决方案 基础教育城域网解决方案 规划篇 之 骨干网络 现状分析 规划篇 之 骨干网络 技术选型 规划篇 之 骨干网络 设备选型 规划篇 之 骨干网络 设备推荐 NP+ASIC架构 分布式稳定架构 分布式业务融合平台 超高端口密度和性能 CSS安全体系 平面分离+平面保护 规划篇 之 骨干网络 骨干网架构 规划篇 之 出口网络 现状分析 业务：对上承担城域至Cernet的网关业务，对外承担和电信、网通等ISP互联业务，对内承担城域网内各学校的业务互联 技术：NAT、PBR等路由技术，ＶＰＮ技术，攻击检测保护、 URL过滤、关键字过滤等安全技术 线路：双绞线、光纤，速度百兆至千兆不等 设备：单独使用路由器、防火墙，或者二者共同组网 规划篇 之 出口网络 推荐方案 规划篇 之 出口网络 在南京理工大学出口的案例： 规划篇 之 出口网络 规划篇 之 出口网络 规划篇 之 资源中心 现状分析 业务需求 将现有的各个学校的存储资源整合，在城域网中心建立统一、海量存储的数据中心IDC；为城域网用户提供高速、丰富的教学资源； 进行数据本地备份和异地冗灾，确保关键数据安全； 为城域网所有用户提供远程的公共存储与备份服务； 集中统一管理，减少管理成本； 技术选择 DAS NAS SAN 设备选择 SCSI存储 FC存储 IP 存储 规划篇 之 资源中心 规划篇 之 资源中心 推荐方案 数据中心特色 规划篇 之 中小学网络 现状分析 不具备病毒和攻击的防范与控制能力 不支持组播协议，对视频业务支持不好 非网管交换机，不支持QoS，关键业务的 服务质量不能保证 发展趋势 规划篇 之 中小学网络 推荐方案 规划篇 之 中小学网络 方案特点 本地登陆NPE设备，通过web界面，即可轻松管理校园网设备；也远程登陆NPE，管理您的网络，让您的工作真正SOHO； NPE10/20基于IP地址的限速功能，保证网络重要业务应用； NPE10/20本身具备防ARP、抗DDOS攻击等安全特性，保证校园内部安全。 基础教育城域网解决方案 安全篇 之 核心区安全 现状分析 核心区域设备没有采用安全体系架构，无法保证设备在复杂应用情况下稳定运行。 在高病毒环境下，核心设备CPU负载过高，出现由于CPU过载造成设备重启等网络不稳定等现象。 安全篇 之 核心区安全 安全篇 之 出口区安全 现状分析 无法及时发现网络攻击，并阻断攻击，保证内网安全 不能过滤网站非法内容，保证用户访问资源的合法性 不能对于协议自动识别，如ＩＭ即时通信软件、P2P软件流量等，并对流量进行合理管理 安全篇 之 出口区安全 深度防御 硬件实现防DDOS攻击 基于正常端口伪装流量的深层次检测 智能协议识别: IM Yahoo Messager、Skype、MSN、Aol Messager、QQ P2P Bit Torrent, E-donkey, Thunder 安全篇 之 接入区安全 现状分析 接入设备不具备安全防护功能，不能抵抗ARP欺骗、DDOS攻击等网络攻击事件，导致某个学校出现网络安全事件，直接影响到整个城域网，导致攻击大规模泛滥！ 教学视频点播等业务，形成大量数据流，经常堵塞网络，造成网络资源不可用。 安全篇 之 接入区安全 安全篇 之 接入区安全 安全篇 之 全局安全 基础教育城域网解决方案 管理篇 之 设备管理 现状分析 缺乏对教育城域网内所有设备统一管理的手段，导致日常工作量巨大。 管理篇 之 设备管理 监视路由设备接口、WAN连接 监视交换设备 端口流量 丢包率 出错率 开启/