第四代教育城域网解决方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
随着教育信息化建设的不断发展,各种业务系统不断增加,对教育城域网的要求明显提高,目前教育城域网主要有以下几个问题:
教育城域网核心骨干网的安全稳定性以及对网络中的流量管理。
教育城域网出口得不到有效控制,影响正常业务的使用,缺乏安全管理手段带来内网的安全隐患。
教育城域网数据中心的业务、存储等怎样保证数据安全不丢失,怎样保证业务的扩容以及如何为需要不同性能处理的业务数据提供差异性存储。
无线教育城域网如何部署。
教育城域网中设备多、业务复杂、管理人员少、运维困难。
有线、无线、VPN、各种应用业务的实名制认证。
教育城域网业务繁多,需要为每个业务建立账号,管理难、使用复杂。
针对用户现有情况分析,第四代教育城域网整体规划解决方案出现,解决用户当前所面临的难题。
二、方案设计
教育城域网建设有三个主要步骤:
第一步:完善基础网络
第二步:优化业务支撑
第三步:优化应用整合
基础网络的完善包括四个方面:有线网络改造或完善、网络出口优化、数据中心建设及智能无线网络建设;
业务支撑平台的优化包括:业务运维管理、基于实名身份的认证管理体系建设;
应用的整合优化,实现网络层和应用层的单点登陆。
教育城域网核心骨干升级完善
结合教育系统的相关业务及应用,采用以下两种技术来构建和完善教育城域网的骨干核心网。
RERP自愈环网
将区域核心设备与区域中心临近的重点学校核心设备形成RERP以太环网,RERP环网技术成熟,稳定,故障网络恢复收敛时间<50ms。网络便于管理,在部署中降低链路成本。
核心骨干网IPFIX流量管理
核心骨干交换机能够实现IPFIX流量管理,可以进行流量采样、流量采集、数据分析处理,使网络核心流量得到管理和控制,保证业务的使用。
教育城域网的出口设计
根据教育城域网出口的流量进行分析,从用户实际应用与网络受到安全威胁的特点出发,在网络出口设计中分为三个关键步骤:
第一步要实现提速,即建立高性能、高稳定的基础平台;
第二步要实现业务的高效运行,提升服务质量;
第三步就是安全风险控制,保障出口的高速、高效;
教育城域网数据中心设计
数据中心采用IP SAN+FC SAN的统一存储架构,灵活扩展存储容量和前端应用服务器数量,远距离、跨校区存储服务。
提供跨盘阵的卷镜像、快照、复制等功能确保数据安全,轻松实现跨盘阵的数据迁移、应用服务迁移,整合原有存储,License-free。
通过教育城域网的可用链路提供远程灾难备份恢复功能,确保数据安全,可以在低带宽环境下实现远程数据灾备。
无线教育城域网设计
依托现有的有线教育城域网,以现有的教育城域网为基础,建设部署无线。
采用技术的标准具有先进性和实用性,支持801.11n并兼容WIFI 802.11a/b/g,无线设备支持双工模式,801.11n与WIFI 802.11a/b/g同时工作。
学校端零配置部署,分布于各个学校的AP “零配置”,完全由部署于城域网中心机房的“无线控制器”进行统一管理、配置、监控业务支撑平台的优化。
根据区县下属学校的数量,每个学校部署的AP数量的差异,来考虑无线控制器的规模,使得系统的容量、性能、可靠性以及可管理性得到有效保障。
远端智能感知:如无线控制器出现故障,学校的AP要能自动感知无线控制器的状态,自动切换,保证业务运行不受影响。
需要考虑与有线网络的融合,如AP的部署、VLAN支持、用户认证、安全体系等等。
教育城域网的运维管理
教育城域网运维管理系统,对关键业务应用、网络设备、安全设备、网络终端的管理统一考虑、整体规划。通过该系统,区域将建设一个跨教育信息中心和各个校园网的整体安全防护体系和管理体系。
教育城域网实名制管理
在教育城网中通过实名制管理系统,实现网络、业务的实名认证,实名认证包括:
实名认证---无论是区县下属的任何学校,还是通过有线网络、无线网络或是在家通过VPN 访问等,都需要进行实名认证,避免各种网络设备各自为政,存在安全风险等问题发生;实名访问权限控制---根据师生真实身份进行业务访问权限限制,只能允许师生访问可以访问的相关业务。
实名流控---根据师生真实身份,实现精细的带宽分配,可以根据师生身份进行限制下载等占用带宽的业务。
实名日志审计---师生访问Internet的日志都能自动进行记录,并和师生的IP地址及实名信息等实现自动绑定,满足公安及上级部门的检查要求。
教育城域网的网络层及应用层单点登陆
通过RG-SAM与RG-SSO进行互动,使教育城域网的多个业务系统、有线、无线、VPN 等统一单点登录,它无需用户记忆多个用户名、密码,也无需用户进行多次登录系统才能访问应用系统。管理员只要维护一个系统即可,对于用户来说只要记住一个网络认证的密码就可以实现网络的接入。
三、方案的优势
教育城域网骨干具有高稳定性,可以对核心骨干流量进行管理。
教育城域网出采用层次化设计,提高了出口转发性能,实现了流量控制、安全防护和日志审计。
教育城域网数据中心具有可靠的安全和良好的扩展性,采用IP SAN与FC SAN的统一架构设计。
无线与有线的统一管理,无线可提供最新技术的支持和向下技术兼容的双工工作模式。
实现了有线、无线、VPN、各种应用业务的实名制认证。
采用多业务融合统一单点登录,解决了师生使用业务的繁琐难题。