XX區(qū)教育信息化建設(shè)方案0609

XX區(qū)教育信息化建設(shè)方案XX區(qū)教育信息化建設(shè)方案方案概況建設(shè)背景信息技術(shù)的飛速發(fā)展，為知識經(jīng)濟的發(fā)展奠定了堅實的技術(shù)基礎(chǔ)。當前我國教育正面臨著一系列的挑戰(zhàn)，主要來自于科學技術(shù)的迅猛發(fā)展、因人口增長而引起的教育要求、國際競爭和各種社會問題等方面。因此，充分利用信息技術(shù)的優(yōu)勢，來解決制約我國當前教育發(fā)展的瓶頸，是當前教育工作的重點。2012年9月5日，劉延東同志在全國教育信息化工作電視電話會議上發(fā)表講話“把握機遇，加快推進，開創(chuàng)教育信息化工作新局面”指出：“十二五”期間，要以建設(shè)好“三通兩平臺”為抓手，也就是“寬帶網(wǎng)絡(luò)校校通、優(yōu)質(zhì)資源班班通、網(wǎng)絡(luò)學習空間人人通”，建設(shè)教育資源公共服務(wù)平臺和教育管理公共服務(wù)平臺。圖SEQ圖\*ARABIC1教育信息化“三通兩平臺”架構(gòu)《國家中長期教育改革和發(fā)展規(guī)劃綱要（2010-2020年）》明確提出要加快教育信息基礎(chǔ)設(shè)施建設(shè)，強調(diào)“加快終端設(shè)施普及，推進數(shù)字化校園建設(shè)，實現(xiàn)多種方式接入互聯(lián)網(wǎng)”。2016年9月，XX省教育廳下發(fā)了《XX省教育信息化“十三五”發(fā)展規(guī)劃》，該規(guī)劃對“十三五”期間XX省教育信息化的發(fā)展方向、總體目標、主要任務(wù)等進行了詳細的規(guī)劃和部署，對各區(qū)市從整體上把握教育改革和發(fā)展提供了很好的指導和借鑒。而XX區(qū)信息化建設(shè)一直走在XX省的前列，雖然在教育信息化方面取得了一定的成果，但仍存在盲點和不足之處，如基礎(chǔ)硬件設(shè)施還不完善、課堂教學模式仍需改進、優(yōu)質(zhì)教學資源還沒有實現(xiàn)人人通、教學管理和辦公應(yīng)用不夠人性化、智慧校園建設(shè)缺乏整體規(guī)劃等等，這些都是本方案著重解決的地方。本方案遵循國家和XX省教育信息化指導意見，并充分考慮XX區(qū)教育信息化的現(xiàn)狀和特點進行制定，方案具有明顯的前瞻性、可行性特點，能夠充分滿足XX區(qū)當前教育信息化的發(fā)展需求，有效解決當前面臨的一系列問題。建設(shè)思路通過建設(shè)統(tǒng)一標準的公共服務(wù)平臺，將貫穿在教育日常工作中的學生、教師、資產(chǎn)和管理等基礎(chǔ)數(shù)據(jù)，按規(guī)范格式統(tǒng)一保存在數(shù)據(jù)中心，在基礎(chǔ)支撐服務(wù)平臺基礎(chǔ)上，統(tǒng)一建設(shè)各類教育信息化應(yīng)用，實現(xiàn)標準化、規(guī)范化的統(tǒng)一數(shù)據(jù)管理，便于各級教育主管部門進行數(shù)據(jù)管理和統(tǒng)計分析。本期項目將融合云計算理念進行架構(gòu)設(shè)計，主要分為基礎(chǔ)設(shè)施建設(shè)層、平臺服務(wù)層、軟件服務(wù)層、客戶端服務(wù)層：建設(shè)原則教育信息化是信息技術(shù)與教育教學的深度融合，關(guān)鍵在于融合。在具體建設(shè)過程中，我們將遵循以下原則：系統(tǒng)整體規(guī)劃從項目總體需求與發(fā)展目標出發(fā)，構(gòu)建“三通兩平臺”整體解決方案，確保架構(gòu)的合理性與先進性，徹底解決信息孤島問題。為確保系統(tǒng)兼容性，方案中的主產(chǎn)品如網(wǎng)絡(luò)設(shè)備、無線設(shè)備、服務(wù)器、存儲、虛擬化軟件、教育軟件平臺等采用同廠家設(shè)備，以便為用戶提供端到端的服務(wù)。聚焦應(yīng)用驅(qū)動“三通兩平臺”建設(shè)重點不在于硬件設(shè)施，而是以“班班通”和“人人通”的系列應(yīng)用為中心，以應(yīng)用來驅(qū)動教育信息化的發(fā)展，實現(xiàn)在教育教學過程中常態(tài)化使用的目標。實現(xiàn)資源共享建設(shè)教育資源公共服務(wù)平臺，實現(xiàn)優(yōu)質(zhì)教學資源的統(tǒng)一管理與共享，重點解決偏遠地區(qū)或農(nóng)村教學點資源匱乏問題，促進教育均衡發(fā)展；通過部署教育云平臺，統(tǒng)一提供計算資源、存儲資源、網(wǎng)絡(luò)資源，實現(xiàn)資源動態(tài)分配，提高利用率。支持教學創(chuàng)新將信息技術(shù)應(yīng)用到師生的教學與日?；顒又?，通過融合實現(xiàn)創(chuàng)新；支持學生的學習方式主動向自主式、互助式轉(zhuǎn)變，實現(xiàn)學習方式的變革；支持教師突破時空限制，通過MOOC、微課、翻轉(zhuǎn)課堂等新模式革新教學手段，提高教學質(zhì)量。完善基礎(chǔ)設(shè)施設(shè)完善的教育信息化基礎(chǔ)設(shè)施，包括教育城域網(wǎng)、校園網(wǎng)、桌面云教室等，消除教育信息化大規(guī)模應(yīng)用與快速發(fā)展的瓶頸。系統(tǒng)可擴展性和開放性可擴展性平臺的應(yīng)用推廣會分步進行，首期重點考慮本地區(qū)教育信息化應(yīng)用較好的學校，未來還會拓展到其他學校，會出現(xiàn)使用學校增多、應(yīng)用程度深化以及訪問量不斷增加的情況，在很多方面需要有擴展性的強烈需求，在建設(shè)規(guī)劃過程中需要充分考慮平臺各個方面的可拓展性。開放性本平臺是一項需要整合各方力量才能建成的系統(tǒng)工程，因此基礎(chǔ)平臺除了要穩(wěn)定、可靠、健壯意外，也充分考慮了系統(tǒng)的開放性和可集成性，這樣在每一個優(yōu)秀的教育應(yīng)用提供商，都可以將其符合標準的管理、教學、資源應(yīng)用接入到平臺上來，為全區(qū)所有教師、學生、家長提供服務(wù)。重點須考慮以下方面內(nèi)容：應(yīng)用接入的開放性、數(shù)據(jù)服務(wù)的開放性、身份認證服務(wù)的開放性。系統(tǒng)可靠性和安全性本項目規(guī)劃的各類應(yīng)用將面向本地區(qū)所有教師、學生提供服務(wù)，而且中小學上課時間集中，教學過程中數(shù)據(jù)交互頻繁，所以，本系統(tǒng)在設(shè)計上需要充分考慮系統(tǒng)的可靠性。本平臺將采用SNS技術(shù)，信息傳播將涉及輿情安全，資源涉及版權(quán)控制，系統(tǒng)需要從技術(shù)上和管理方式上設(shè)計全局的安全性。發(fā)展目標通過義烏市“三通兩平臺”的建設(shè)，將助力本地區(qū)教育信息化達到如下發(fā)展目標。形成完善的教育信息化基礎(chǔ)設(shè)施通過高性能的教育城域網(wǎng)，極大提升網(wǎng)絡(luò)帶寬，消除制約“班班通”、“人人通”應(yīng)用推廣的網(wǎng)絡(luò)瓶頸；建設(shè)區(qū)域教育云數(shù)據(jù)中心，支撐教育資源公共服務(wù)平臺和教育管理平臺的部署；通過“電子圖書館”、“虛擬實驗室”等應(yīng)用方案，實現(xiàn)軟件基礎(chǔ)設(shè)施的提升。實現(xiàn)信息技術(shù)支撐教育教學變革通過教育信息化的推進，有效改變傳統(tǒng)教學過程中單向灌輸、死記硬背、機械訓練的現(xiàn)狀，倡導學生主動參與、樂于探究的能力，提升分析解決問題的能力及交流協(xié)作的能力。建設(shè)本地特色的教育資源共享平臺依托平臺為所有學校和師生提供資源共享服務(wù)，有力支撐班班通和人人通應(yīng)用的開展；整合國內(nèi)、省內(nèi)、本地化資源，同時發(fā)揮企業(yè)在資源聚合方面的優(yōu)勢，形成“基礎(chǔ)性資源靠政策、個性化資源靠市場”的良性機制。形成智慧、均衡的教學環(huán)境通過“互動課堂”、“同步課堂”、“教師協(xié)同教研平臺”、“云教室”的建設(shè)，實現(xiàn)智慧教學環(huán)境，提高教學質(zhì)量，并使地處偏遠地區(qū)的孩子能享受同等質(zhì)量的教育，實現(xiàn)教育均衡發(fā)展。教師教學方式的轉(zhuǎn)變從傳統(tǒng)“以教為主”向“以學為主”轉(zhuǎn)變，老師在日常教學中引導學生利用優(yōu)質(zhì)資源進行自主學習和主動探究，逐步實現(xiàn)素質(zhì)教育的目標。學生學習模式的轉(zhuǎn)變學生的行為將由被動學習向主動學習轉(zhuǎn)變，學習過程由記憶為主的知識掌握向以發(fā)現(xiàn)為主的知識建構(gòu)轉(zhuǎn)變，學習過程由個人學習向協(xié)作學習、深度互動轉(zhuǎn)變。硬件基礎(chǔ)設(shè)施建設(shè)內(nèi)容教育城域網(wǎng)絡(luò)建設(shè)教育城域網(wǎng)是區(qū)域教育信息化運作的基礎(chǔ)和前提，城域網(wǎng)的建設(shè)要合理設(shè)計、多方調(diào)研，要保證教育網(wǎng)絡(luò)的順暢、安全，同時網(wǎng)絡(luò)還要具備易維護、易管理的特點，方面學校管理人員使用，教育城域網(wǎng)的建設(shè)包括骨干網(wǎng)、有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)建設(shè)。教育城域網(wǎng)總體方案設(shè)計組網(wǎng)方案設(shè)計教育城域網(wǎng)網(wǎng)絡(luò)拓撲邏輯圖如上圖所示,整個教育城域網(wǎng)分為5大功能區(qū)：互聯(lián)網(wǎng)出口區(qū)，核心交換區(qū)，網(wǎng)絡(luò)管理區(qū)，服務(wù)器區(qū)，學校接入?yún)^(qū)。統(tǒng)一互聯(lián)網(wǎng)出口設(shè)計教育城域網(wǎng)的互聯(lián)網(wǎng)出口采用集中大出口設(shè)計，所有接入學校和教育單位均需要從教育局城域網(wǎng)中心機房出口接入互聯(lián)網(wǎng)，集中出口區(qū)域的高速NAT、路由、流量上網(wǎng)行為管理和內(nèi)容審計、邊界安全防護、精細化流量控制五大應(yīng)用需求必須重點考慮。因此，方案設(shè)計在城域網(wǎng)中心機房集中網(wǎng)絡(luò)出口位置部署高性能出口網(wǎng)關(guān)。教育城域網(wǎng)的互聯(lián)網(wǎng)出口主要保證數(shù)據(jù)中心區(qū)互聯(lián)網(wǎng)訪問、各教育單位、中小學校的互聯(lián)網(wǎng)統(tǒng)一出口。為了保證互聯(lián)網(wǎng)應(yīng)用的流暢運行以及用戶的上網(wǎng)體驗，需要對一些關(guān)鍵應(yīng)用的帶寬有足夠的保障，出口區(qū)域的設(shè)備對關(guān)鍵需求有足夠的支撐，能夠支撐包括門戶網(wǎng)站區(qū)域在內(nèi)的所有外網(wǎng)應(yīng)用都穩(wěn)定可靠，不允許在包括出口在內(nèi)的骨干區(qū)域出現(xiàn)故障隱患，所有設(shè)備檔次要適度超前，避免因為需求的不斷發(fā)展出現(xiàn)性能瓶頸；另外出口作為外部攻擊的主要通道安全的重要性是毋庸置疑的，需要綜合考慮到整個網(wǎng)絡(luò)對于出口區(qū)域的安全防范問題。綜合上面對互聯(lián)網(wǎng)出口區(qū)情況的分析，本次方案總結(jié)出口區(qū)域的設(shè)計思路為：提供高性能NAT地址轉(zhuǎn)換，滿足15000用戶的并發(fā)寬帶接入需求；提供可靠穩(wěn)定的互聯(lián)網(wǎng)接入，出口支持2000M以上的吞吐能力，無性能瓶頸；提供多鏈路的負載均衡，智能選路功能，可以依靠線路的負載、應(yīng)用類型、運營商的不同和訪問速度來智能判斷最快的訪問線路或指定特定的應(yīng)用走特定的線路；提供完善網(wǎng)絡(luò)安全防護功能；提供網(wǎng)絡(luò)訪問行為審計功能；提供出口精準流量控制功能；提供對關(guān)鍵應(yīng)用服務(wù)器和門戶網(wǎng)站的重點保護；提供針對教育行業(yè)用戶的內(nèi)外網(wǎng)教學資源優(yōu)化配置調(diào)用的功能。綜上所述，本次統(tǒng)一出口設(shè)計包含出口網(wǎng)關(guān)、防火墻、WEB防護、流量控制等產(chǎn)品，組成統(tǒng)一互聯(lián)網(wǎng)出口解決方案。統(tǒng)一互聯(lián)網(wǎng)出口解決方案隨著互聯(lián)網(wǎng)應(yīng)用的日益豐富，有限的帶寬已經(jīng)無法滿足校內(nèi)用戶的應(yīng)用需求，在不降低用戶體驗的情況下，如何控制流量，保障關(guān)鍵應(yīng)用的運行是校園網(wǎng)面臨的重大問題?；ヂ?lián)網(wǎng)出口流量中大部分是重復(fù)流量和重復(fù)的文件，如果能夠在網(wǎng)絡(luò)中部署一個內(nèi)容緩存設(shè)備，將大大提高校內(nèi)用戶的使用體驗。用戶在互聯(lián)網(wǎng)讀取數(shù)據(jù)時，會首先在緩存設(shè)備上進行高速查找，如果存在同樣的數(shù)據(jù)那么直接進行本地轉(zhuǎn)發(fā)，一次外網(wǎng)訪問，多次內(nèi)網(wǎng)服務(wù)，提高互聯(lián)網(wǎng)帶寬承載能力，用戶訪問速度提升加倍。大大提升校內(nèi)訪問速度，極大的提升用戶體驗。出口多鏈路負載均衡部署出口多應(yīng)用安全網(wǎng)關(guān)，實現(xiàn)鏈路負載均衡，包括：基于鏈路狀態(tài)和目標位置的出流量負載均衡，以及基于訪問源位置的入流量負載均衡。同時可實現(xiàn)NAT功能?；ヂ?lián)網(wǎng)出口防火墻部署防火墻，以對進出中心機房的數(shù)據(jù)做訪問控制，同時也支持NAT功能，可作為出口安全網(wǎng)關(guān)的備份設(shè)備使用；上網(wǎng)行為管理多應(yīng)用安全網(wǎng)關(guān)，還可以實現(xiàn)對用戶上網(wǎng)行為管控，一方面規(guī)范城域網(wǎng)網(wǎng)絡(luò)使用行為，另一方面控制互聯(lián)網(wǎng)出口帶寬優(yōu)先保障關(guān)鍵應(yīng)用，不被其他應(yīng)用無關(guān)數(shù)據(jù)濫用。流量控制部署流控設(shè)備，對進入中心機房的數(shù)據(jù)做流量分配。原則上針對每IP地址或網(wǎng)段限流，不同類終端的流量分配視校園網(wǎng)具體情況定義。安全防護設(shè)計教育城域網(wǎng)的網(wǎng)絡(luò)安全設(shè)計面比較廣泛，主要包括基礎(chǔ)網(wǎng)絡(luò)設(shè)備的安全防護、PC終端的主機安全防范、服務(wù)器專區(qū)的服務(wù)防范（特別是WEB防護）與實名制上網(wǎng)的安全記錄需求設(shè)計這四個方面，需要根據(jù)不同的需求按照不同層次、不同方法分別加以設(shè)計，通過融合多種安全機制實現(xiàn)城域網(wǎng)整網(wǎng)的安全架構(gòu)設(shè)計。城域網(wǎng)層次化安全設(shè)計主要是包括四個部分：基礎(chǔ)網(wǎng)絡(luò)分布式安全防御體系、端點主動安全防御系統(tǒng)、服務(wù)器區(qū)安全防御與實名制上網(wǎng)功能?；A(chǔ)網(wǎng)絡(luò)安全防護設(shè)計基于教育城域網(wǎng)的特點，城域網(wǎng)和校園網(wǎng)是一個開放的應(yīng)用環(huán)境。在這種環(huán)境下尤其容易感染網(wǎng)絡(luò)病毒和發(fā)生網(wǎng)絡(luò)攻擊，這給網(wǎng)絡(luò)主干帶寬帶來嚴重沖擊，甚至可能造成整網(wǎng)癱瘓。因此，為了保證整個網(wǎng)絡(luò)的帶寬可用性，防止網(wǎng)絡(luò)病毒傳播擴散，防止網(wǎng)絡(luò)攻擊的發(fā)生，在本方案中，出口設(shè)備保證內(nèi)外網(wǎng)安全控制；核心、接入層網(wǎng)絡(luò)設(shè)備均支持嵌入式防DDoS攻擊、CPU策略保護、基礎(chǔ)網(wǎng)絡(luò)保護策略和最長匹配三層交換LPM技術(shù)，由單點安全變?yōu)閰^(qū)域安全，防止網(wǎng)絡(luò)掃描、和攻擊。移動用戶接入安全設(shè)計考慮到移動用戶接入安全和便攜性，推薦采用SSLVPN接入方式。在城域網(wǎng)中心機房部署1臺SSLVPN網(wǎng)關(guān)，移動用戶通過WEB界面或者SSLVPN客戶端即可實現(xiàn)安全的VPN接入，靈活訪問城域網(wǎng)資源。網(wǎng)絡(luò)行為審計行為審計系統(tǒng)要能夠全面詳實地記錄網(wǎng)絡(luò)內(nèi)流經(jīng)監(jiān)聽出口的各種網(wǎng)絡(luò)行為，以便進行事后的審計和分析，日志以加密的方式存放。網(wǎng)絡(luò)行為日志全面要記錄包括使用者、分組、訪問時間、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、訪問類型、訪問地址/標識等關(guān)鍵數(shù)據(jù)項。支持在三層交換網(wǎng)絡(luò)環(huán)境下獲取用戶計算機真實MAC地址功能；多應(yīng)用環(huán)境下的網(wǎng)絡(luò)數(shù)據(jù)審計還原。網(wǎng)絡(luò)流量分析需要在全面記錄網(wǎng)絡(luò)出口流量數(shù)據(jù)的基礎(chǔ)之上，以簡單、直觀、易理解的形式為用戶提供實時和歷史流量監(jiān)測和統(tǒng)計功能。主要包括以下幾個指標：實時流量、當日流量和歷史流量。能根據(jù)歷史上網(wǎng)日志數(shù)據(jù)統(tǒng)計產(chǎn)生豐富詳細的報表，包括分組上網(wǎng)排名、人員上網(wǎng)排名、網(wǎng)絡(luò)應(yīng)用統(tǒng)計、訪問資源統(tǒng)計、趨勢分析等?？砂茨甓?、月度或者指定時間范圍生成周期性報表。報表種類包括柱狀圖，餅圖，曲線圖，折線圖等。報表可以以EXCEL、PDF、WORD、HTML等形式導出保存。并支持自定義的周期性報表自動生成和訂閱。核心交換區(qū)設(shè)計核心認證交換中心核心交換區(qū)是整個城域網(wǎng)絡(luò)的核心，城域網(wǎng)中的所有軟硬件數(shù)據(jù)都將在這里集中交換。一個完善的城域網(wǎng)核心認證交換設(shè)備應(yīng)發(fā)揮的作用包括：支持實名制快速高效集中認證，為所有用戶提供簡化高效的認證方式；保障整個城域網(wǎng)的互聯(lián)網(wǎng)出口安全，支持對病毒、漏洞、木馬等安全危險的控制；對上網(wǎng)行為、流量帶寬進行控制管理，并提供審計數(shù)據(jù)支持檢索；對中心機房和城域網(wǎng)所有網(wǎng)絡(luò)設(shè)備登陸、調(diào)試、配置信息進行審計記錄集中監(jiān)控管理、自動定時巡檢，通過顯示屏能夠直觀顯示城域網(wǎng)運行狀態(tài)；互聯(lián)網(wǎng)常用資源（音視頻資源等）能夠提前緩存到本地，提供本地化訪問，提高訪問體驗。網(wǎng)絡(luò)核心設(shè)計在網(wǎng)絡(luò)的可靠性和穩(wěn)定性保障方面，網(wǎng)絡(luò)核心設(shè)計采用2臺萬兆核心交換機互為容錯備份，并在核心交換機中采用關(guān)鍵模塊冗余設(shè)計（如引擎、網(wǎng)板、電源冗余等），啟用虛擬化技術(shù)將多臺物理設(shè)備虛擬化為一臺邏輯設(shè)備，統(tǒng)一運行管理，大幅減少網(wǎng)絡(luò)節(jié)點，降低網(wǎng)絡(luò)運維管理人員工作量、增加網(wǎng)絡(luò)可靠性，實現(xiàn)50~200ms鏈路故障快速切換，保障關(guān)鍵應(yīng)用不中斷傳輸。支持跨設(shè)備鏈路聚合，方便接入服務(wù)器/交換機實現(xiàn)雙活鏈路上聯(lián)，提高網(wǎng)絡(luò)有效連接帶寬。雙核心網(wǎng)絡(luò)設(shè)計架構(gòu)，為城域網(wǎng)絡(luò)提供了高穩(wěn)定性和可靠性的數(shù)據(jù)傳輸平臺，同時，提供了一種能夠“自愈”網(wǎng)絡(luò)鏈路或設(shè)備的單點故障的網(wǎng)絡(luò)架構(gòu)，保證了城域網(wǎng)絡(luò)能夠提供7*24小時高速穩(wěn)定的數(shù)據(jù)傳輸。為教育系統(tǒng)提供健壯的數(shù)據(jù)傳輸神經(jīng)中樞。雙核心虛擬交換技術(shù)，將兩臺物理核心交換機虛擬為一臺邏輯上統(tǒng)一的設(shè)備，使其能夠?qū)崿F(xiàn)統(tǒng)一的運行，從而達到減小網(wǎng)絡(luò)規(guī)模，同時極大提高網(wǎng)絡(luò)穩(wěn)定健壯性，控制故障恢復(fù)時間。虛擬交換示意圖使用虛擬化后，兩臺核心設(shè)備邏輯上變成一臺。從而簡化了網(wǎng)絡(luò)拓撲。網(wǎng)絡(luò)中不再需要生成樹、VRRP等復(fù)雜的協(xié)議，大大降低配置維護工作量。此時匯聚到核心雙鏈路上聯(lián)，等同于雙鏈路連接到一臺核心上，實現(xiàn)跨設(shè)備鏈路聚合。即使一臺核心或上聯(lián)鏈路中斷，也可實現(xiàn)快速切換。切換時間控制在50ms以內(nèi)，相當于普通數(shù)據(jù)包轉(zhuǎn)發(fā)的時延，不會對應(yīng)用流暢運行產(chǎn)生任何影響。核心交換機組網(wǎng)方式核心交換機之間互聯(lián)：采用萬兆接口，通過專用的萬兆虛擬化線纜互聯(lián)，搭建虛擬化核心層。核心交換機與各學校互聯(lián)：采用運營商專線。48所學校通過運營商專線，直接連接至核心交換機千兆接口板上。核心交換機與出口互聯(lián)：通過萬電纜互聯(lián)，搭建冗余架構(gòu)。核心交換機與數(shù)據(jù)中心互聯(lián)：通過萬兆電纜互聯(lián)，搭建冗余架構(gòu)。認證中心設(shè)計本次城域網(wǎng)需要實現(xiàn)實名制身份認證，根據(jù)通用的實名制認證架構(gòu)，需包含兩大部分：身份認證系統(tǒng)和認證網(wǎng)關(guān)設(shè)備。身份認證系統(tǒng)用于存儲認證賬戶和認證策略等，認證網(wǎng)關(guān)用于將認證報文發(fā)送給身份認證系統(tǒng)，完成認證流程。認證網(wǎng)關(guān)有兩種部署模式：分布式認證和集中式認證。分布式認證：每臺接入交換機需支持802.1X和web認證功能。集中式認證：1臺集中式認證網(wǎng)關(guān)設(shè)備支持802.1X和web認證功能。根據(jù)實際情況分析，采用集中式認證方式。a.使用城域網(wǎng)核心交換機作為集中認證網(wǎng)關(guān)部署，每個學?？梢允褂镁W(wǎng)關(guān)或交換機直接互聯(lián)教育城域網(wǎng)數(shù)據(jù)中心機房。b.集中認證網(wǎng)關(guān)實現(xiàn)雙機集群，具備高性能、高可靠性,組網(wǎng)靈活，支持三層認證模式，城域網(wǎng)改造整網(wǎng)結(jié)構(gòu)不需要變化。集中認證方案采用集中認證的方案后，可以將原來分布在接入網(wǎng)的各項功能和策略上收至核心交換機，上收之后各項功能、策略的執(zhí)行點全部在教育城域網(wǎng)中心機房的集中認證網(wǎng)關(guān)上，各個學校的接入、匯聚交換機只負責進行各種數(shù)據(jù)的轉(zhuǎn)發(fā)，無需支持認證功能。集中認證方式極大的增強了城域網(wǎng)核心交換機的資源利用率，弱化了整個網(wǎng)絡(luò)服務(wù)對接入、匯聚設(shè)備的依賴。集中認證網(wǎng)關(guān)(核心交換機)的性能要求所有功能、策略都部署在數(shù)據(jù)中心機房的核心層上，對整個城域網(wǎng)的核心交換機提出了巨大的挑戰(zhàn)。核心層要承擔各業(yè)務(wù)應(yīng)用服務(wù)器的數(shù)據(jù)交換功能，要具備分布式業(yè)務(wù)處理體系結(jié)構(gòu)，實現(xiàn)業(yè)務(wù)的全分布式處理，并能提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服務(wù)，以及電信級、自適應(yīng)的可靠性設(shè)計。它作為網(wǎng)絡(luò)的骨干連接和路由交換平臺，實現(xiàn)所有匯集接入，不同子網(wǎng)之間的路由。它是全網(wǎng)業(yè)務(wù)匯接、轉(zhuǎn)接和業(yè)務(wù)疏通的核心。因此核心層要選用新一代多級交換架構(gòu)核心交換機搭建核心網(wǎng)絡(luò)。核心交換機采用目前業(yè)界領(lǐng)先的多級矩陣交換架構(gòu)，可配置高性能冗余引擎、冗余電源及冗余交換網(wǎng)板最大程度上滿足設(shè)備級可靠性的要求。同時配置豐富的千兆、萬兆接口，滿足當前及未來網(wǎng)絡(luò)發(fā)展的需求。數(shù)據(jù)中心區(qū)設(shè)計數(shù)據(jù)中心網(wǎng)絡(luò)平臺設(shè)計1、硬件平臺設(shè)計說明核心層要承擔各業(yè)務(wù)應(yīng)用服務(wù)器的數(shù)據(jù)交換功能，要具備分布式業(yè)務(wù)處理體系結(jié)構(gòu)，實現(xiàn)業(yè)務(wù)的全分布式處理，并能提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服務(wù)，以及電信級、自適應(yīng)的可靠性設(shè)計。它作為網(wǎng)絡(luò)的骨干連接和路由交換平臺，實現(xiàn)所有匯集接入，不同子網(wǎng)之間的路由。它是全網(wǎng)業(yè)務(wù)匯接、轉(zhuǎn)接和業(yè)務(wù)疏通的核心。因此核心層選用新一代多級交換架構(gòu)數(shù)據(jù)中心交換機搭建核心網(wǎng)絡(luò)。核心交換機采用目前業(yè)界領(lǐng)先的多級矩陣交換架構(gòu)，可配置高性能冗余引擎、冗余電源及冗余交換網(wǎng)板最大程度上滿足設(shè)備級可靠性的要求。同時配置豐富的千兆、萬兆接口，滿足當前及未來網(wǎng)絡(luò)發(fā)展的需求。2、核心交換系統(tǒng)核心層由2臺正交CLOS架構(gòu)交換機構(gòu)建，負責整個教育平臺上應(yīng)用業(yè)務(wù)數(shù)據(jù)的高速交換。2臺核心交換機交換機采用先進的CLOS+多級多平面正交交換架構(gòu)，提供業(yè)界最高的交換性能和最豐富的教育特性。單機可以提供2304個線速萬兆端口或者768個線速40G/100G端口，提供超高密度萬兆和高密40G、100G能力；為了滿足教育數(shù)據(jù)中心虛擬化的要求，此次選擇的核心交換機通過部署N:1虛擬化技術(shù)，真正實現(xiàn)網(wǎng)絡(luò)設(shè)備資源池化，給用戶提供最靈活的選擇。3、服務(wù)器接入交換機隨著數(shù)據(jù)中心未來虛擬化部署的快速增長、萬兆服務(wù)器的商業(yè)部署及高帶寬應(yīng)用均加速了對40GE、萬兆網(wǎng)絡(luò)的需求。此次選擇的服務(wù)器接入交換機整機支持2個業(yè)務(wù)插槽，可以實現(xiàn)高密萬兆光口、高密萬兆電口、40GE接口的靈活混配置，最高可以支持48個萬兆口及6個40GE口，或者18個40GE高速接口。通過選擇FC接口板，整機最高可以支持48個FC/FCoE/Ethernet的融合端口。計算資源池設(shè)計本次義烏市云計算數(shù)據(jù)中心總體邏輯拓撲結(jié)構(gòu)如上圖所示。整個平臺由新建計算資源池、利舊資源計算池（如果原有服務(wù)器需要利舊）、存儲資源池、管理中心四部分組成。新建計算資源池服務(wù)器采用刀箱方式，在刀箱中部署兩路和四路的刀片服務(wù)器。利舊設(shè)備計算資源池則采用原來已有的機架式服務(wù)器，通過部署統(tǒng)一配置管理系統(tǒng)可以實現(xiàn)對下聯(lián)的服務(wù)器、網(wǎng)絡(luò)、存儲、虛擬化軟件等組件的統(tǒng)一管理。本次采用刀箱全融合架構(gòu)，采用刀箱融合基礎(chǔ)架構(gòu)對于云計算數(shù)據(jù)中心作用有以下兩個方面：1）簡化機房硬件架構(gòu)層次融合基礎(chǔ)架構(gòu)設(shè)備通過在一個刀箱中集成了服務(wù)器、存儲、網(wǎng)絡(luò)、虛擬化軟件等設(shè)備，大大提高了服務(wù)器的利用率，減少了空間、電力、能耗等方面的消費。經(jīng)測試統(tǒng)計得出，采用融合基礎(chǔ)架構(gòu)設(shè)備，可以提升至少3倍的服務(wù)器利用率，降低至少75%的空間占用，減少至少27%的電力消耗，降低初始購買和后期運維成本。2）實現(xiàn)網(wǎng)絡(luò)與計算之間的感知聯(lián)動服務(wù)器虛擬化技術(shù)的出現(xiàn)使得計算服務(wù)提供不再以主機為基礎(chǔ)，而是以虛擬機為單位來提供，同時為了滿足同一物理服務(wù)器內(nèi)虛擬機之間的數(shù)據(jù)交換需求，服務(wù)器內(nèi)部引入了網(wǎng)絡(luò)功能部件虛擬交換機vSwitch（VirtualSwitch），如下圖所示，虛擬交換機提供了虛擬機之間、虛擬機與外部網(wǎng)絡(luò)之間的通訊能力。IEEE的802.1標準中，正式將“虛擬交換機”命名為“VirtualEthernetBridge”，簡稱VEB，或稱vSwitch。vSwitch的引入，給云計算數(shù)據(jù)中心的運行帶來了以下兩大問題：網(wǎng)絡(luò)界面的模糊主機內(nèi)分布著大量的網(wǎng)絡(luò)功能部件vSwitch，這些vSwitch的運行、部署為主機操作與維護人員增加了巨大的額外工作量，在云計算數(shù)據(jù)中心通常由主機操作人員執(zhí)行，這形成了專業(yè)技能支撐的不足，而網(wǎng)絡(luò)操作人員一般只能管理物理網(wǎng)絡(luò)設(shè)備、無法操作主機內(nèi)vSwitch，這就使得大量vSwicth具備的網(wǎng)絡(luò)功能并不能發(fā)揮作用。此外，對于服務(wù)器內(nèi)部虛擬機之間的數(shù)據(jù)交換，在vSwitch內(nèi)有限執(zhí)行，外部網(wǎng)絡(luò)不可見，不論在流量監(jiān)管、策略控制還是安全等級都無法依賴完備的外部硬件功能實現(xiàn)，這就使得數(shù)據(jù)交換界面進入主機后因為vSwitch的功能、性能、管理弱化而造成了高級網(wǎng)絡(luò)特性與服務(wù)的缺失。虛擬機的不可感知性物理服務(wù)器與網(wǎng)絡(luò)的連接是通過鏈路狀態(tài)來體現(xiàn)的，但是當服務(wù)器被虛擬化后，一個主機內(nèi)同時運行大量的虛擬機，而此前的網(wǎng)絡(luò)面對這些虛擬機的創(chuàng)建與遷移、故障與恢復(fù)等運行狀態(tài)完全不感知，同時對虛擬機也無法進行實時網(wǎng)絡(luò)定位，當虛擬機遷移時網(wǎng)絡(luò)配置也無法進行實時地跟隨，雖然有些數(shù)據(jù)鏡像、分析偵測技術(shù)可以局部感知虛擬機的變化，但總體而言目前的虛擬機交換網(wǎng)絡(luò)架構(gòu)無法滿足虛擬化技術(shù)對網(wǎng)絡(luò)服務(wù)提出的要求。為了解決上述問題，本次項目的解決思路是將虛擬機的所有流量都引至外部接入交換機，此時因為所有的流量均經(jīng)過物理交換機，因此與虛擬機相關(guān)的流量監(jiān)控、訪問控制策略和網(wǎng)絡(luò)配置遷移問題均可以得到很好的解決，此方案最典型的代表是EVB標準。EVB標準具有如下的技術(shù)特點：借助發(fā)卡彎轉(zhuǎn)發(fā)機制將外網(wǎng)交換機上的眾多網(wǎng)絡(luò)控制策略和流量監(jiān)管特性引入到虛擬機網(wǎng)絡(luò)接入層，不但簡化了網(wǎng)卡的設(shè)計，而且充分利用了外部交換機專用ASIC芯片的處理能力、減少了虛擬網(wǎng)絡(luò)轉(zhuǎn)發(fā)對CPU的開銷；充分利用外部交換機既有的控制策略特性（ACL、QOS、端口安全等）實現(xiàn)整網(wǎng)端到端的策略統(tǒng)一部署；充分利用外部交換機的既有特性增強了虛擬機流量監(jiān)管能力，如各種端口流量統(tǒng)計，Netstream、端口鏡像等。EVB標準中定義了虛擬機與網(wǎng)絡(luò)之間的關(guān)聯(lián)標準協(xié)議，使得虛擬機在變更與遷移時通告網(wǎng)絡(luò)及網(wǎng)管系統(tǒng)，從而可以借助此標準實現(xiàn)數(shù)據(jù)中心全網(wǎng)范圍的網(wǎng)絡(luò)配置變更自動化工作，使得大規(guī)模的虛擬機云計算服務(wù)運營部署自動化能夠?qū)崿F(xiàn)。存儲資源池設(shè)計云計算數(shù)據(jù)中心數(shù)據(jù)中心的核心業(yè)務(wù)系統(tǒng)對數(shù)據(jù)存儲的要求很高，為了保證項目的成功實施，在進行存儲設(shè)備選型及方案設(shè)計時，應(yīng)遵循如下原則：1）系統(tǒng)可靠性原則。存儲系統(tǒng)的軟硬件必須穩(wěn)定可靠，不能存在單點故障。2）可擴展性原則。存儲系統(tǒng)需采用先進技術(shù)，以利于整個系統(tǒng)的平滑升級。同時，必須考慮到今后存儲環(huán)境的變化和災(zāi)難恢復(fù)系統(tǒng)建立的需要。3）可管理性與系統(tǒng)高效原則。提供完善的管理策略和性能監(jiān)控機制，確保存儲系統(tǒng)的可管理性，減少管理的復(fù)雜性。4）投資有效原則。系統(tǒng)方案應(yīng)具有高性能價格比，具有較高實用性。本次項目構(gòu)建的存儲平臺要滿足未來3~5年信息化發(fā)展的需要，為此，有必要在構(gòu)建信息系統(tǒng)之初，就打造一個穩(wěn)定性好、性能高、易擴展的后端支撐平臺。具體說來，本次數(shù)據(jù)中心存儲平臺建設(shè)，要達到如下3個建設(shè)目標：1)高可靠；2)高性能；3)易擴展。云管理平臺設(shè)計在本次云平臺建設(shè)項目中，底層虛擬化資源池需要實現(xiàn)基于云計算的平臺管理，云平臺管理系統(tǒng)主要提供了虛擬化管理、集群資源管理、鏡像管理、網(wǎng)絡(luò)管理、資源調(diào)度管理、系統(tǒng)資源管理、資源狀態(tài)監(jiān)控、告警管理、用戶管理等功能。在云平臺管理系統(tǒng)的設(shè)計上采用層次化、模塊化結(jié)構(gòu)，主要分為兩部分：云平臺虛擬資源調(diào)度系統(tǒng)和云平臺負載均衡調(diào)度系統(tǒng)。虛擬資源池和負載均衡集群都運行在一個高可用集群上，每個物理分區(qū)中的物理主機組成一個共享的計算資源池，啟用高可用、自動資源負載均衡功能、容錯等功能，資源調(diào)度系統(tǒng)模型如下圖所示：本項目包含的主機類型有云平臺管理主機、虛擬化主機、負載均衡集群主機。云平臺管理系統(tǒng)將虛擬化主機和負載均衡集群進行統(tǒng)一的管理。云平臺底層虛擬化架構(gòu)可支持Vmware等異構(gòu)虛擬化系統(tǒng)。此平臺在部署虛擬化的時候可以選擇其中一種底層虛擬化系統(tǒng)，便于后期的管理維護。在未來擴容的時候可以根據(jù)需求，再選擇別的虛擬化系統(tǒng)進行部署，使云平臺具備開放性、擴展便捷性。云平臺負載均衡集群要求支持Apache、Tomcat、IIS、Websphere、Weblogic等WEB平臺軟件，考慮到服務(wù)請求的不同類型、服務(wù)器的不同處理能力以及隨機選擇造成的負載分配不均勻等問題，為了更加合理的把負載分配給內(nèi)部的多個服務(wù)器，就需要應(yīng)用相應(yīng)的能夠正確反映各個服務(wù)器處理能力及網(wǎng)絡(luò)狀態(tài)的負載均衡算法，選擇合適的負載均衡策略，使多個設(shè)備能協(xié)同完成任務(wù)，消除或避免現(xiàn)有網(wǎng)絡(luò)負載分布不均、數(shù)據(jù)流量擁擠反應(yīng)時間長的瓶頸。有線無線一體化設(shè)計本次在教育局核心機房部署1套運維管理平臺，實現(xiàn)有線無線一體化高效管理功能。有線無線設(shè)備統(tǒng)一管理可對網(wǎng)絡(luò)中的有線設(shè)備和AC、FATAP、FITAP、移動終端等無線設(shè)備進行統(tǒng)一管理，全網(wǎng)設(shè)備信息和狀態(tài)一目了然。同時，支持策略和服務(wù)的批量部署，極大地減少管理員的維護工作量，提升工作效率，降低維護成本。多樣化的拓撲管理運維管理平臺管理解決方案中的有線無線業(yè)務(wù)拓撲幫助管理員直觀了解網(wǎng)絡(luò)部署情況及設(shè)備/鏈路當前狀態(tài)?？筛鶕?jù)不同的方式組織資源，有效進行拓撲分組、真實反映全網(wǎng)資源情況。支持物理位置視圖顯示，管理員可根據(jù)需要創(chuàng)建多緯度、多層次的物理位置結(jié)構(gòu)，并在指定建筑物底圖上根據(jù)真實情況擺放設(shè)備，逼近真實網(wǎng)絡(luò)環(huán)境。1、全面的基礎(chǔ)資源管理◆更多的管理設(shè)備類型：除了傳統(tǒng)的路由器、交換機外，更能對網(wǎng)絡(luò)中的無線、安全、語音、存儲、監(jiān)控、服務(wù)器、打印機、UPS等設(shè)備進行管理，實現(xiàn)設(shè)備資源的集中化管理?！舳鄰S家設(shè)備的統(tǒng)一管理：除了對的網(wǎng)絡(luò)設(shè)備管理外，運維管理平臺平臺還實現(xiàn)了對業(yè)界其他主流廠家網(wǎng)絡(luò)設(shè)備的管理?！綮`活快捷的自動發(fā)現(xiàn)算法：基于專利的發(fā)現(xiàn)算法，運維管理平臺平臺不僅提供了快速自動發(fā)現(xiàn)方式，還提供了四種高級自動發(fā)現(xiàn)方式，包括路由方式、ARP方式、IPSecVPN方式、網(wǎng)段方式等，能快速、準確地發(fā)現(xiàn)網(wǎng)絡(luò)資源?！糁庇^的設(shè)備面板管理：支持設(shè)備面板管理，所見即所得的顯示設(shè)備的資產(chǎn)組成和運行狀態(tài)?！羟逦木W(wǎng)絡(luò)設(shè)備資產(chǎn)管理：在將運維管理平臺平臺中管理的設(shè)備增加到網(wǎng)絡(luò)資產(chǎn)管理的同時，系統(tǒng)還會自動發(fā)現(xiàn)該設(shè)備上可以管理的配件信息，并將這些配件加入到網(wǎng)絡(luò)資產(chǎn)中進行管理，管理員可以對網(wǎng)絡(luò)資產(chǎn)信息進行修改，還可以查看該資產(chǎn)的子模塊信息、接口信息以及變更審計歷史信息。2、智能的告警管理◆直觀的故障列表：智能管理中心能自動匯總?cè)W(wǎng)中故障設(shè)備，形成故障設(shè)備列表，使管理員能快速、清晰的找到需要關(guān)注的故障設(shè)備。◆智能的告警關(guān)聯(lián)：提供對重復(fù)告警、突發(fā)的大流量告警、未知告警的自動過濾，用戶還可以自定義過濾規(guī)則，以有效壓縮海量網(wǎng)絡(luò)告警，使得管理員直接關(guān)注真正的網(wǎng)絡(luò)故障。◆告警根源分析和影響度分析：提供基于拓撲的區(qū)域告警根源分析，提供告警關(guān)聯(lián)分析，提供告警分組分析，有效屏蔽故障引起的海量表象告警，方便用戶快速定位、查找故障根源，確認故障影響的范圍?！舾婢x和Mib導入：在支持標準Trap以及、華為、Cisco等主流廠商私有Trap基礎(chǔ)上，還提供新增及通過Mib導入Trap定義功能，方便快速地支持各廠商新Trap?！糌S富的告警轉(zhuǎn)發(fā)機制：除提供告警聲光提示、轉(zhuǎn)Email、轉(zhuǎn)短信等方式外，還可以針對不同的告警定義不同的提示內(nèi)容以及對應(yīng)維護參考，當再次出現(xiàn)同類告警后能直接對應(yīng)到相應(yīng)的維護參考?！艚Y(jié)合拓撲直觀的設(shè)備故障狀態(tài)監(jiān)控：與傳統(tǒng)的網(wǎng)管告警和拓撲狀態(tài)互相分離做法不同，使用顯著的顏色把故障狀態(tài)直觀的反映在拓撲中的設(shè)備和鏈路圖標上，用戶僅需要查看拓撲，即可知道網(wǎng)絡(luò)的整體運行狀態(tài)?！鬝yslog接收與分析：運維管理平臺平臺支持多廠商設(shè)備的Syslog原始報文接收，提供日志瀏覽、查詢、導出及自動轉(zhuǎn)儲功能。并且可以根據(jù)預(yù)定義及用戶自定義規(guī)則對Syslog報文進行分析，將關(guān)鍵事件升級為告警，有效地幫助用戶在海量Syslog報文中及時發(fā)現(xiàn)網(wǎng)絡(luò)關(guān)鍵事件?！舭踩录?lián)動：運維管理平臺平臺對多廠商設(shè)備的Syslog報文進行分析，提取安全相關(guān)的關(guān)鍵信息（比如攻擊事件類型、攻擊源、攻擊目的），并根據(jù)安全控制策略，采取匹配的安全動作，比如關(guān)閉攻擊源網(wǎng)絡(luò)端口等。3、高效的無線射頻覆蓋（RF覆蓋）管理無線運營管理解決方案支持對現(xiàn)網(wǎng)中的無線設(shè)備RF覆蓋情況進行展示，通過對現(xiàn)網(wǎng)中的無線RF狀況的了解，管理員可以依據(jù)需求增加或減少無線設(shè)備的分布，也可以對現(xiàn)網(wǎng)中部署不合理的設(shè)備位置進行調(diào)整。4、統(tǒng)一的身份認證設(shè)計統(tǒng)一門戶通過構(gòu)建一個教師、學生、家長、工作人員等共同使用的統(tǒng)一工作門戶平臺，整合現(xiàn)有業(yè)務(wù)系統(tǒng)的訪問控制，通過統(tǒng)一身份認證實現(xiàn)對各業(yè)務(wù)工作平臺的集中訪問，登錄用戶通過統(tǒng)一的門戶可以在一個頁面上進行各項業(yè)務(wù)辦理、處理和審批操作，減少系統(tǒng)使用復(fù)雜度。同時門戶還提供各種動態(tài)信息、信息簡報、通知通告等匯總統(tǒng)計顯示，以及各類業(yè)務(wù)信息的播報。統(tǒng)一門戶平臺的建設(shè)使得用戶獲取和使用信息更直接、更方便，實現(xiàn)信息共享、綜合利用，以促進信息的應(yīng)用。對于學校內(nèi)部師生，管理者可以在運維管理平臺上上配置內(nèi)部合法的“SSID-教師”和“SSID-學生”、并為每個用戶配置基于用戶名的帳號，同時將用戶名和用戶終端設(shè)備信息進行綁定，完成用戶名+IP+MAC的三元組，不僅確認了移動終端的合法性和唯一性，還為日后的日志審計提供可靠依據(jù)。針對網(wǎng)絡(luò)中心經(jīng)常有外來人員的上網(wǎng)需求，考慮到安全性和方便性的需求，推薦使用手機短信來申請上網(wǎng)帳號的方法1.用戶搜索并連接到網(wǎng)絡(luò)中心無線網(wǎng)“SSID-來賓”。2.用戶打開任何頁面將彈出認證頁面，并在“臨時用戶申請”中輸入自己的手機號碼。3.認證系統(tǒng)通過短信貓將自動生成的臨時密碼發(fā)至用戶的手機中。4.用戶輸入帳號（手機號碼）與收到的臨時密碼完成上網(wǎng)認證。5.帳號在超過系統(tǒng)規(guī)定的時間后將自動失效，若繼續(xù)使用需從新申請。(注：本次方案中不包含短信貓設(shè)備，如需要該功能，需另外采購第三方設(shè)備。)學校接入?yún)^(qū)設(shè)計校園網(wǎng)接入設(shè)計各學校采用以太網(wǎng)組網(wǎng)方式，出口通過安全網(wǎng)關(guān)采用樹形結(jié)構(gòu)連接核心交換機，核心交換機通過光纖和電路連接各樓宇的交換機，各交換機再連接信息插座。無線AP、辦公電腦、學生電腦、班班通、一體機等通過信息點接入樓層接入交換機。學校接入部分拓撲：學校出口網(wǎng)關(guān)設(shè)計義烏市各個學校的規(guī)模不同，多數(shù)學校網(wǎng)絡(luò)規(guī)模不大，對性能的要求可能不大，但對出口設(shè)備功能性的要求一點也不少，出口路由、網(wǎng)絡(luò)安全、URL過濾、內(nèi)容審計、日志記錄和流量控制都需要，但學校網(wǎng)出口和城域網(wǎng)出口又不一樣，無法像城域網(wǎng)那樣配置專門的出口引擎、流控設(shè)備、防火墻、行為審計設(shè)備、日志記錄等系統(tǒng)設(shè)備，所以就必須有一種設(shè)備即能滿足學校出口功能性要求。出于統(tǒng)一建設(shè)的原則和綜合成本角度考慮，方案設(shè)計對各教育單位和學校統(tǒng)一采用安全網(wǎng)關(guān)接入教育城域網(wǎng)，部署在各學校校園網(wǎng)和教育城域網(wǎng)的鏈路中間。安全網(wǎng)關(guān)的具體配置可以根據(jù)學校的規(guī)模、接入終端的具體數(shù)量選擇不同檔次。出口網(wǎng)關(guān)設(shè)備需要給學校提供以下出口保證：MIPS多核架構(gòu)，保證多應(yīng)用下高性能；多合一設(shè)備，部署靈活簡便；不需要再去考慮用防火墻、路由器還是流控、VPN，多應(yīng)用整合；管理維護簡單；內(nèi)置WEB人性化界面，配置向?qū)У?；多臺設(shè)備分布式部署，可通過日志系統(tǒng)、網(wǎng)管系統(tǒng)等進行集中式管理、日志收集；應(yīng)用控制，提升運作效率；專業(yè)流控，優(yōu)化網(wǎng)絡(luò)速度，提升用戶網(wǎng)速體驗；從實際出發(fā)的用戶管理功能；支持用戶組織架構(gòu)導入；支持對用戶進行黑白名單控制（應(yīng)用控制、流量控制等）；支持對關(guān)鍵用戶、關(guān)鍵應(yīng)用的帶寬保留服務(wù)；URL過濾，內(nèi)置URL數(shù)據(jù)庫，讓用戶遠離黃賭毒等違法信息；支持NAT日志、URL日志、IM聊天日志、郵件日志等多種日志，支持本地化日志大容量存儲和檢索；智能選路，優(yōu)選數(shù)據(jù)傳輸路徑，合理利用多條帶寬資源；當網(wǎng)絡(luò)擁有多條出口線路時，選路規(guī)劃的不合理會造成上網(wǎng)慢、帶寬資源浪費等問題；內(nèi)置硬盤，與城域網(wǎng)熱點緩存系統(tǒng)聯(lián)動，實現(xiàn)熱點資源分發(fā)至學校，提高資源訪問效率。校園網(wǎng)用戶終端安全隔離校園網(wǎng)內(nèi)部用戶終端至少分類為學生機房電腦、教師工作電腦、無線終端等?；谌缦略蛐枰獙⒔K端分類隔離到不同VLAN。大規(guī)模環(huán)境中廣播域的隔離。不同類別用戶終端的安全風險隔離，包括病毒、攻擊（特別是校園網(wǎng)環(huán)境ARP類攻擊，建議接入交換機具備防ARP攻擊或端口隔離功能）不同類別用戶有不同的訪問控制需求。不同類別用戶有不同的流控需求。不同類別的用戶有不同的審計需求。隔離原則大規(guī)模校園網(wǎng)必須對每類用戶終端做VLAN隔離。擁有宿舍樓的校園網(wǎng)必須做到宿舍樓與教學區(qū)隔離。小型校園網(wǎng)可以免隔離。通過其他技術(shù)手段保障風險控制、訪問控制、流量控制。校園網(wǎng)出口實名認證出于以下原因，校園網(wǎng)出口必須實現(xiàn)實名認證功能。防止非法用戶私接。便于針對用戶或IP地址做流控。便于實名審計。如果在各校園網(wǎng)出口設(shè)備上實現(xiàn)用戶認證，必須能夠在中心機房進行統(tǒng)一用戶管理。如果在中心機房入口設(shè)備上實現(xiàn)用戶認證，必須能夠配合流控機制對每用戶或IP限流。從簡化認證管理便捷的角度，本次采用在中心機房入口設(shè)備實現(xiàn)用戶認證（即核心交換機扁平化集中認證），校園網(wǎng)本地安全網(wǎng)關(guān)可作為備用認證設(shè)備，實現(xiàn)學校本地化認證。校園網(wǎng)出口網(wǎng)關(guān)選型說明：根據(jù)學校不同規(guī)模提供三個檔次出口網(wǎng)關(guān)：高檔：滿足校園網(wǎng)1000以上用戶規(guī)模使用，并發(fā)上網(wǎng)1500人；中檔：滿足校園網(wǎng)1000以下用戶規(guī)模使用，并發(fā)上網(wǎng)500人；低檔；滿足校園網(wǎng)500以下用戶規(guī)模使用，并發(fā)上網(wǎng)250人；各學校根據(jù)實際調(diào)研結(jié)果，選擇使適用的出口網(wǎng)關(guān)。無線校園網(wǎng)設(shè)計結(jié)合WLAN的實際應(yīng)用和發(fā)展要求，公眾無線局域網(wǎng)(PWLAN)網(wǎng)絡(luò)系統(tǒng)設(shè)計，主要遵循以下系統(tǒng)總體原則：實用性原則：以現(xiàn)行需求為基礎(chǔ)，充分考慮發(fā)展的需要來確定系統(tǒng)規(guī)模。可靠性原則：系統(tǒng)設(shè)計能有效的避免單點失敗，在設(shè)備的選擇和關(guān)鍵設(shè)備的互聯(lián)時，應(yīng)提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網(wǎng)絡(luò)能在最短時間內(nèi)修復(fù)。成熟和先進性原則：由于WLAN應(yīng)用于運營網(wǎng)絡(luò)仍然屬于新新技術(shù)，需要及時將新技術(shù)引用進來，更好的開展應(yīng)用，同時也要求保證網(wǎng)絡(luò)與應(yīng)用的可靠性。規(guī)范性原則：系統(tǒng)設(shè)計所采用的技術(shù)和設(shè)備應(yīng)符合WLAN國際標準、國家標準和聯(lián)通WLAN企業(yè)標準，為系統(tǒng)的擴展升級、與其他系統(tǒng)的互聯(lián)提供良好的基礎(chǔ)。開放性和標準化原則：在設(shè)計時，要求提供開放性好、標準化程度高的技術(shù)方案；設(shè)備的各種接口滿足開放和標準化原則?？蓴U充和擴展化原則：所有系統(tǒng)設(shè)備不但滿足當前需要，并在擴充模塊后滿足可預(yù)見將來需求，如帶寬和設(shè)備的擴展，應(yīng)用的擴展和辦公地點的擴展等。保證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級時，能保護現(xiàn)有的投資?？晒芾硇栽瓌t：整個系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護，操作簡單，易學，易用，便于進行系統(tǒng)配置，在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制，并可以進行遠程管理和故障診斷。根據(jù)目前學校的用戶規(guī)模和城域網(wǎng)建設(shè)情況，擬采用無線控制器(AC)+瘦AP（FITAP）的組網(wǎng)方式，控制器部署在城域網(wǎng)中心將，對全區(qū)各個學校所有無線AP進行集中管理。瘦AP實現(xiàn)無線信號的處理，而用戶管理、加密、漫游、AP管理等功能全部集中到AC進行，這樣可以簡化整個網(wǎng)絡(luò)的管理，提高設(shè)備的工作效率。AP的供電采用以太網(wǎng)供電，通過以太網(wǎng)線來匯聚AP的流量，同時為AP提供電源，這樣可以簡化布線，同時減少故障點，提高網(wǎng)絡(luò)的可靠性。無線網(wǎng)絡(luò)總體架構(gòu)本次無線覆蓋架構(gòu)如下圖所示：如上圖所示，無線網(wǎng)絡(luò)采用AC+FITAP的組網(wǎng)方式：1、在城域網(wǎng)中心機房核心端部署1臺云平臺，實現(xiàn)對全區(qū)所有中小學的AP進行集中管理和維護。2、在各個學校根據(jù)不同的使用場景部署最佳類型的無線AP，實現(xiàn)信號的前端覆蓋。3、所有無線AP支持802.11AC協(xié)議，保持先進性，避免剛建成即落后的尷尬；同時，兼容WIFI802.11a/b/g/n，具有良好的兼容性。4、學校端零配置部署，分布于各個學校的AP“零配置”，完全由部署于城域網(wǎng)中心機房的“無線控制器”進行統(tǒng)一管理、配置、監(jiān)控。具體來說，從包裝盒內(nèi)拆封出來AP，接入學校任意交換端口，即可自動完成自我配置并提供無線服務(wù)。5、在學校的配線間新增千兆POE交換機，實現(xiàn)對本樓所有無線AP的集中連接，同時為AP提供POE供電。6、所有樓層新增的接入交換機全部通過千兆線纜連接至校園網(wǎng)核心交換機。7、針對師生的安全和管理考慮，在中心機房部署1套安全準入認證系統(tǒng)，實現(xiàn)對所有接入用戶的安全認證，保證合法的用戶接入網(wǎng)絡(luò)，非法的用戶禁止接入網(wǎng)絡(luò)。同時針對無線用戶，可提供目前業(yè)界最便捷的無感知認證方式，實現(xiàn)最佳的用戶體驗和最好的安全保護。無線覆蓋指標要求無線覆蓋信號覆蓋區(qū)域信號強度不低于-75dBm，信噪比SNR≥20。應(yīng)用使用較為集中區(qū)域的接入速率應(yīng)不低于140Mbps。室內(nèi)分布系統(tǒng)天線的等效全向輻射功率≥7dBm。室外分布系統(tǒng)天線、獨立WLAN天線的等效全向輻射功率≥22dBm。室外覆蓋方式時，WLAN無線信號一般按穿透一堵墻設(shè)計。容量計算經(jīng)過多方查證和咨詢了解到：對于小辦公室：按照每個AP覆蓋5-8用戶進行設(shè)計（用戶只有老師）；對于會議室：按照每個AP覆蓋25-30用戶進行設(shè)計；對于高密度教室：按照每個AP覆蓋60—80用戶進行設(shè)計；因此，產(chǎn)品的選型尤為重要，必須能滿足帶機量的要求，以保證用戶的接入質(zhì)量和正常需求下的網(wǎng)絡(luò)吞吐量。同時，也需要考慮到無線AP覆蓋的環(huán)境，對于環(huán)境復(fù)雜，或者遮擋物較多等對AP型號有強烈干擾的區(qū)域，建議AP接入用戶數(shù)酌情減少。不同場景下的無線部署室內(nèi)直放覆蓋對于一些特殊地理位置，室內(nèi)區(qū)域通常面積都不大（小于60方米），每個場所放1個AP即可滿足覆蓋需求。對于大面積區(qū)域稍復(fù)雜的應(yīng)用環(huán)境（單位面積人員數(shù)量多），例如教室或大型辦公室，考慮使用一個或者多個AP進行覆蓋，參考原則為每個AP的用戶容量25-30人，如果為教室，建議采用2個AP進行覆蓋。教育城域網(wǎng)詳細方案設(shè)計網(wǎng)絡(luò)安全互聯(lián)網(wǎng)出口安全本次在互聯(lián)網(wǎng)出口安全區(qū)部署1臺新一代高性能多業(yè)務(wù)安全網(wǎng)關(guān)，通過配置下一代防火墻插卡，IPS插卡，實現(xiàn)多業(yè)務(wù)安全功能。防火墻安全部署：在出口設(shè)備部署一塊獨立的基于硬件的下一代防火墻板卡，互聯(lián)網(wǎng)出口部署高性能網(wǎng)關(guān)，把住“病從口入”關(guān)，實時、全面的抵御來自互聯(lián)網(wǎng)的安全威脅，使網(wǎng)絡(luò)免遭“外界”的惡意侵犯。同時本次還需要對內(nèi)網(wǎng)的WEB服務(wù)器進行安全防護，WEB服務(wù)器直接部署在防火墻側(cè)。防御來自互聯(lián)網(wǎng)的底層（2層鏈路層、3層物理層）攻擊，包括：ARP欺騙、地址掃描、端口掃描及各種洪泛（UDPFlood、SYNFlood、ICMPFlood）、DDOS攻擊。防火墻作為最主流也是最基礎(chǔ)的安全產(chǎn)品，對整個網(wǎng)絡(luò)進行區(qū)域分割，提供基于IP地址和TCP/IP服務(wù)端口等的訪問控制；對常見的網(wǎng)絡(luò)攻擊，如拒絕服務(wù)攻擊、端口掃描、IP欺騙、IP盜用等進行有效防護；并提供NAT網(wǎng)絡(luò)地址轉(zhuǎn)換、用戶認證、IP與MAC綁定等安全增強措施。同時防火墻還具備另外一個重要功能，可以劃分多個安全域，比如說外網(wǎng)為非信任域，內(nèi)網(wǎng)為信任域，互聯(lián)網(wǎng)用戶不能直接訪問學校內(nèi)部用戶，除非通過一些安全策略來進行安全訪問，而內(nèi)網(wǎng)用戶可以安全訪問互聯(lián)網(wǎng)資源；同時，WEB服務(wù)器部署在防火墻的非信任域和信任域之間，對WEB服務(wù)器起到了重要的安全防護功能。入侵防御：通過部署一塊獨立的基于硬件的下一代防火墻板卡通過軟件授權(quán)方式實現(xiàn)，集成入侵防御/檢測、病毒過濾和帶寬管理等功能，是業(yè)界綜合防護技術(shù)最領(lǐng)先的入侵防御/檢測系統(tǒng)。通過深達7層的分析與檢測，實時阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網(wǎng)頁篡改等攻擊和惡意行為，并實現(xiàn)對網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)應(yīng)用和性能的全面保護。除了IPS功能授權(quán)之外，該綜合安全網(wǎng)關(guān)還支持以下安全功能授權(quán)許可，可為在未來提供多業(yè)務(wù)功能擴展能力：負載均衡：通過部署一塊獨立的基于硬件的下一代防火墻板卡通過軟件授權(quán)方式實現(xiàn)，提供完善的負載均衡功能，具備服務(wù)器負載均衡、鏈路負載均衡等功能。部署在中小型數(shù)據(jù)中心，基于特定的負載均衡算法將客戶端對數(shù)據(jù)中心服務(wù)的訪問請求合理地分發(fā)到數(shù)據(jù)中心的各臺服務(wù)器上，以保證數(shù)據(jù)中心的響應(yīng)速度和業(yè)務(wù)連續(xù)性。部署在多ISP鏈路的出口（如電信、網(wǎng)通等），為了提高鏈路利用率，通過對鏈路狀態(tài)的檢測，采用對應(yīng)的調(diào)度算法將數(shù)據(jù)合理、動態(tài)的分發(fā)到不同鏈路上。上網(wǎng)行為管理部署：通過部署一塊獨立的基于硬件的下一代防火墻板卡通過軟件授權(quán)方式實現(xiàn)，對網(wǎng)絡(luò)中的P2P/IM/VoIP帶寬濫用、網(wǎng)絡(luò)游戲、炒股、多媒體應(yīng)用、非法網(wǎng)站訪問等行為進行精細化識別和控制；同時，根據(jù)對網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進行深入分析與全面的事后審計，并具有強大的URL過濾功能，進而全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢，大大提升網(wǎng)絡(luò)的業(yè)務(wù)控制能力，幫助用戶優(yōu)化其網(wǎng)絡(luò)資源，為用戶打造一個和諧、有序的網(wǎng)絡(luò)環(huán)境。SecBladeACG模塊與基礎(chǔ)網(wǎng)絡(luò)設(shè)備融合，具有即插即用、擴展性強的特點，降低了用戶管理難度，減少了維護成本。服務(wù)器安全在服務(wù)器區(qū)匯聚交換與核心交換機間部署2臺防火墻，實現(xiàn)對服務(wù)器區(qū)進行安全防護。校級局域網(wǎng)安全端口安全：端口安全功能通過定義報文的源MAC地址來限定報文是否可以進入交換機的端口，你可以靜態(tài)設(shè)置特定的MAC地址或者限定動態(tài)學習的MAC地址的個數(shù)來控制報文是否可以進入端口，使能端口安全功能的端口稱為安全端口。只有源MAC地址為端口安全地址表中配置或者學習到的MAC地址的報文才可以進入交換機通信，其他報文將被丟棄。您還可以設(shè)定端口安全地址綁定IP+MAC，或者僅綁定IP，用來限制必須符合綁定的以端口安全地址為源MAC地址的報文才能進入交換機通信。端口保護：端口保護是用來保護端口之間的通信，當端口設(shè)為保護口之后，保護口之間互相無法通訊，但保護口與非保護口之間可以正常通訊。保護口有兩種模式，一種是阻斷保護口之間的二層交換，但允許保護口之間進行路由，第二種是同時阻斷保護口之間的二層交換和阻斷路由；在兩種模式都支持的情況下，第一種模式將作為缺省配置模式。在VSU模式或VSD模式下，端口保護均有效。病毒ACL：當您的網(wǎng)絡(luò)出現(xiàn)比較明顯的病毒攻擊，影響你的局域網(wǎng)的大部分PC無法相互訪問，或者是無法上網(wǎng)的時候，或者是個別重要服務(wù)器經(jīng)常由于病毒攻擊而癱瘓的時候，就可以考慮在接入層交換機的各個端口，或者是連接服務(wù)器區(qū)的交換機端口上部署防病毒ACL，并且該功能也可以作為常規(guī)優(yōu)化手段，推薦項目實施的時候提前部署。防止ARP欺騙：ARP（AddressResolutionProtocol）是地址解析協(xié)議，是一種通過IP地址查找對應(yīng)物理地址的協(xié)議。某機器A要向主機B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應(yīng)的MAC地址后，就會進行數(shù)據(jù)傳輸。如果未找到，則A廣播一個ARP請求報文（攜帶主機A的IP地址Ia——物理地址Pa），請求IP地址為Ib的主機B回答他的物理地址Pb是多少。網(wǎng)絡(luò)上所有主機包括B都收到這份ARP請求，但只有主機B識別到是自己的IP地址，于是向A主機發(fā)回一個ARP響應(yīng)報文，其中就包含有B的MAC地址Pb。A接收到B的應(yīng)答后，就會更新本地的ARP緩存，接著使用這個MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡封裝這個MAC地址）。因此，本地高速緩存的這個ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個緩存是動態(tài)的，長時間沒有ARP信息報文后，緩存會自動刪除，通常網(wǎng)絡(luò)設(shè)備的ARP超時時間為3600s，windows主機的超時時間為120s。實名制上網(wǎng)及日志設(shè)計教育城域網(wǎng)實名身份認證體系下圖為教育城域網(wǎng)實名制解決方案的框架圖。教育城域網(wǎng)的各種用戶，包括學生、老師等通過有線、無線、VPN等各種接入方式經(jīng)過統(tǒng)一的實名認證，可實現(xiàn)基于實名訪問權(quán)限控制、實名流控、實名日志審計等功能。解決了沒有實名制管理遇到的城域網(wǎng)接入不可控、審計難以定位到人、無法區(qū)分老師和學校的訪問服務(wù)等問題。教育城域網(wǎng)實名制方案設(shè)計以實名為核心的實名制管理，包括四個方面，實名認證、實名的訪問權(quán)限控制、實名的流控及實名日志審計。實名認證無論是區(qū)縣下屬的任何學校，還是通過有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)或是在家通過VPN訪問等，都需要進行實名認證，避免各種網(wǎng)絡(luò)設(shè)備各自為政，存在安全風險等問題發(fā)生；名認證是為了驗證身份，包括接入網(wǎng)絡(luò)中的用戶標識（UserID）、主機標識（MAC）、網(wǎng)絡(luò)標識（IP），確保網(wǎng)絡(luò)用戶身份的合法、真實；同時，可以有效地防止賬號盜用、防IP篡改、防MAC篡改，實現(xiàn)內(nèi)網(wǎng)的安全、可控、易定位和強審計。實現(xiàn)有線、無線、遠程VPN等不同接入方式的統(tǒng)一認證如上圖所示：通過RG-ESS建立校園網(wǎng)公共認證平臺，可實現(xiàn)有線用戶、無線用戶、遠程訪問的VPN用戶的統(tǒng)一認證，每個用戶有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、VPN訪問使用同一份身份信息、同一套賬號密碼，同時，可以實現(xiàn)有線無線的統(tǒng)一拓撲管理、批量配置及實時告警等功能實名訪問權(quán)限控制通過實名訪問權(quán)限控制，可實現(xiàn)老師在學校里通過網(wǎng)絡(luò)在線看Internet視頻或下載P2P資源等，而學生則被限制使用；通過實名訪問權(quán)限控制還可阻止學生的賬號訪問任何成人網(wǎng)站和不良信息等。ESS采用了Webportal或基于802.1X協(xié)議的身份驗證體系，通過與網(wǎng)絡(luò)交換機的聯(lián)動，實現(xiàn)了對于用戶訪問網(wǎng)絡(luò)的身份的控制。通過ESS為用戶定制的訪問權(quán)限，在用戶經(jīng)過身份認證后，根據(jù)用戶身份所具有的訪問權(quán)限進行下發(fā)策略，經(jīng)過身份認證的用戶只能訪問該訪問的業(yè)務(wù)系統(tǒng)，如下圖：只能訪問自己權(quán)限之內(nèi)的服務(wù)器，網(wǎng)絡(luò)區(qū)域等。實名流控通過網(wǎng)絡(luò)出口流量控制引擎設(shè)備RG-ACE設(shè)備與實名制身份認證系統(tǒng)聯(lián)動，限制用戶訪問流量，例如：通過實名身份為老師的賬號組分配5M帶寬，學生的賬號組分配1M帶寬；而且，無論是在辦公室、計算機教室還是電子閱覽室，即使使用的不是同一臺機器、同一個IP地址，也能保障老師的出口帶寬為5M，學生的出口帶寬為1M，保障有效合理的分配帶寬，提高帶寬資源的利用率。實名日志審計師生訪問Internet的日志都能自動進行記錄，并和師生的IP地址及實名信息等實現(xiàn)自動綁定，滿足公安及上級部門的檢查要求。數(shù)字無線校園分級運營管理云平臺支持三級運營管理組織架構(gòu)：wifi運營商、代理商、項目。輕松實現(xiàn)靈活創(chuàng)建、權(quán)限控制、分工明確，使業(yè)務(wù)安全高效的運作。本項目中，教育局作為整個無線網(wǎng)絡(luò)的wifi運營商，擁有網(wǎng)內(nèi)所有無線AP管理最高權(quán)限，包括AP射頻配置、WLAN配置、批量升級等；教育局轄內(nèi)學校作為代理商，擁有本學校無線AP管理權(quán)限；每個擁有代理商賬號下可創(chuàng)建多個項目，可根據(jù)實際情況設(shè)置每所學校為一個項目。無線穩(wěn)定高速1、領(lǐng)先技術(shù)標準通過對XX無線教育城域網(wǎng)無線網(wǎng)一期覆蓋區(qū)域進行的詳細地勘和實地環(huán)境測試，我們將在所有覆蓋區(qū)域部署采用3×3MIMO技術(shù)的高性能802.11n無線接入點，不僅能夠提供6倍于802.11ag設(shè)備的連接速率，并且可以在AP發(fā)射功率相同的情況下提供比802.11ag設(shè)備高出30%-50%的覆蓋范圍。在3×3MIMO天線技術(shù)的支撐下，即便是采用802.11abg的無線客戶端連入802.11n網(wǎng)絡(luò)，也會獲得更好的實際吞吐量和信號質(zhì)量。為了保證在高用戶數(shù)下的網(wǎng)絡(luò)訪問體驗，無線控制器可以設(shè)定AP間對接入用戶進行負載均衡，負載均衡的策略可以是基于AP接入的用戶數(shù)量和AP的流量負載情況。當無線控制器發(fā)現(xiàn)AP的負載超過設(shè)定的門限值以后，對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負載較輕的AP可供用戶接入，如果有則AP會拒絕用戶的關(guān)聯(lián)請求，用戶會轉(zhuǎn)而接入其他負載較輕的AP。通過負載均衡技術(shù)和高性能的AP平臺，全網(wǎng)的802.11n將提供高速的網(wǎng)絡(luò)訪問體驗。2、單AP接入用戶數(shù)提升普通的家用路由最多只能接入10個終端，一般的企業(yè)級AP并發(fā)支持20~30個終端左右。而A全線無線AP使用美國高通芯片，通過提高設(shè)備性能、優(yōu)化網(wǎng)絡(luò)協(xié)議，單個AP雙頻支持并發(fā)80個終端同時接入使用。3、無線本地轉(zhuǎn)發(fā)(集中轉(zhuǎn)發(fā)流量圖)(本地轉(zhuǎn)發(fā)流量圖)傳統(tǒng)的無線數(shù)據(jù)轉(zhuǎn)發(fā)流程是：所有用戶數(shù)據(jù)由無線接入設(shè)備發(fā)送到無線控制器，再由無線控制器進行集中轉(zhuǎn)發(fā)。當無線網(wǎng)絡(luò)AP及用戶數(shù)量比較大時，無線控制器處理能力可能就形成瓶頸。敦崇科技全系列AP可將數(shù)據(jù)報文在無線接入設(shè)備上直接轉(zhuǎn)化為有線格式的報文，使得數(shù)據(jù)報文不經(jīng)過無線控制器，而是在本地進行轉(zhuǎn)發(fā)，大大節(jié)約了有線帶寬。4、帶寬控制針對學校流量復(fù)雜難以管控的情況，對于高耗流量的風行、迅雷、電驢等P2P下載等。敦崇無線控制器內(nèi)置流量控制功能，可以進行帶寬限制，防止部分用戶對帶寬的過分搶占，從而保障顧客正常的上網(wǎng)體驗。另外對于大部分需要辦公的商務(wù)客人，我們對于辦公應(yīng)用進行相應(yīng)的帶寬保障，從而對商務(wù)客人無線辦公進行優(yōu)先保障。5、快速漫游本方案以無線控制器為核心，對所有AP上接入的用戶采用統(tǒng)一會話管理，所有已認證終端均在中心無線控制器中保存相應(yīng)會話，AP僅僅只負載傳輸用戶數(shù)據(jù)，因此無論終端移動到哪個AP下，用戶信息和授權(quán)都在無線控制器所管轄的移動域內(nèi)快速的交互，可以有效保持會話完整性及可靠移動性的前提下實現(xiàn)無縫漫游。最終使得終端漫游切換時間控制在30ms-50ms之內(nèi)，漫游切換丟包率控制在0.5%以下。漫游切換過程當用戶在AP1的范圍內(nèi)，通過AP1與網(wǎng)絡(luò)進行連接；當用戶處于AP1與AP2交叉范圍內(nèi)時，用戶在與AP1連接的同時，與AP2做好連接的準備；當用戶到達AP2的范圍時，通過AP2與網(wǎng)絡(luò)進行連接,用戶感覺不到AP的切換造成的網(wǎng)絡(luò)中斷現(xiàn)象。無線高密接入1、智能射頻控制在較小的空間內(nèi)，無線AP產(chǎn)生的無線信號會相互干擾，通過自動或是手動調(diào)整AP的功率可以減少AP之間信號的相互干擾。學校部署多個AP，如果不合理設(shè)計會出現(xiàn)信道沖突問題。使用2.4GHz頻點為例，為保證信道之間不相互干擾，要求兩個信道之間間隔不低于25MHz。在一個覆蓋區(qū)內(nèi)，最多可以提供3個不重疊的頻點同時工作，通常采用1、6、11三個頻點。通過AP信道的自動調(diào)整保證相鄰AP信道不重疊，減少相互干擾。AP的信道根據(jù)蜂窩結(jié)構(gòu)的原則，采用不同信道避免同頻干擾，根據(jù)現(xiàn)場實際環(huán)境劃分；WLAN802.11b/g/n工作在2.4GHz頻段，頻率范圍為2.400～2.4835GHz，共83.5M帶寬，劃分為13個子信道，每個子信道帶寬為22MHz。在使用2.4GHz頻點時，為保證信道之間不相互干擾，要求兩個信道之間間隔不低于25MHz。在一個覆蓋區(qū)內(nèi)，最多可以提供3個不重疊的頻點同時工作，通常采用1、6、11三個頻點。WLAN頻率規(guī)劃需綜合考慮建筑結(jié)構(gòu)、穿透損耗以及布線系統(tǒng)等具體情況進行。三個樓層AP頻率規(guī)劃示意圖2、智能負載均衡802.11協(xié)議把無線漫游的決策交給了無線客戶端，無線客戶端一般會根據(jù)AP信號強度(RSSI)選擇AP，這很容易導致大量的客戶端僅僅因為某個AP信號較強而連接到同一個AP上。由于這些客戶端共享無線媒介，導致每個客戶端的網(wǎng)絡(luò)吞吐將大量減少。智能負載分擔方法可以實時地分析無線客戶端的位置，動態(tài)地確定在當前時刻和當前位置下哪些AP可以彼此分擔負載，通過控制無線客戶端接入的AP，來實現(xiàn)這些AP間的負載分擔。系統(tǒng)不僅支持按照用戶在線會話數(shù)的負載分擔，而且支持按照用戶流量負載的分擔。本方案的無線控制器支持實時根據(jù)用戶數(shù)或流量，將用戶智能調(diào)整到不同的無線接入點上提供接入服務(wù)，平衡接入負載壓力，確保每個用戶都能很好的使用無線網(wǎng)絡(luò)。3、頻譜導航廣大的吞吐性能?；陬l段的負載均衡，使支持雙頻的用戶終端優(yōu)先接入5GHz頻段，在不增加成本的前提下，能夠增加大約30-40%的帶寬利用率，保證了用戶的無線上網(wǎng)高速體驗。5GHz的頻譜資源比2.4GHz更豐富，但現(xiàn)在很多雙頻AP在使用時常常會看到2.4GHz滿載，5GHz卻空載的現(xiàn)象。敦崇科技BandSelect技術(shù)可以將客戶端優(yōu)先導向5GHz頻段來優(yōu)化射頻頻譜的利用；更好的利用高容量的5GHz頻段來實現(xiàn)802.11n的均衡高速接入；為只支持2.4GHz頻段的客戶端保留空間。4、高密環(huán)境的網(wǎng)絡(luò)優(yōu)化本方案對學校無線傳輸中拉低網(wǎng)絡(luò)速度的相關(guān)機制進行了相應(yīng)的優(yōu)化，使無線網(wǎng)絡(luò)傳輸速度得道進一步的提升。無線安全設(shè)計1、用戶身份鑒別為了保障網(wǎng)絡(luò)的安全性，首先需要對于接入的用戶進行身份認證。接入控制模塊主要是對用戶的身份進行認證，和進行一定力度的控制。XX無線教育城域網(wǎng)將對于無線認證采用web的認證方式進行認證，一個方面是減少客戶端部署的復(fù)雜性，第二個方面是降低用戶的使用難度。對于web方面，通過心跳機制確保對用戶在線情況的探測，防止用戶異常下線而造成的掛死情況發(fā)生，同時保障計費的準確性。而對于校內(nèi)大量存在的PDA、Iphone等wifi終端設(shè)備，由于操作系統(tǒng)的差異化，web認證將不再具有廣泛的兼容性。針對這種應(yīng)用，可以采用基于MAC地址的用戶身份認證，從而實現(xiàn)全網(wǎng)統(tǒng)一的用戶身份鑒別系統(tǒng)。2、基于用戶的訪問控制策略無線防火墻是我們無線控制器的獨特功能，它是根據(jù)無線用戶的接入特性而設(shè)計的。無線防火墻與用戶認證捆綁在一起，當無線用戶成功通過認證后，他將會獲得一個用戶屬性，不同的無線用戶有不同的策略，例如老師和工作人員可以使用更多的服務(wù)，而學生只可以瀏覽網(wǎng)頁、收發(fā)Email等，這樣可以極大方便了校園網(wǎng)用戶的安全管理。除了支持豐富的防火墻策略，無線控制器還提供基于用戶身份的服務(wù)，以使用戶在漫游時具有諸如虛擬專用組成員資格、訪問控制列表(ACL)、認證、漫游策略和歷史、位置跟蹤、帶寬使用以及其他授權(quán)等內(nèi)容。還可告知管理人員哪些用戶已連接、他們位于何處、他們曾經(jīng)位于何處、他們正在使用哪些服務(wù)以及他們曾經(jīng)使用過哪些服務(wù)。3、無線入侵檢測系統(tǒng)無線網(wǎng)絡(luò)由于使用空中的無線電射頻信道工作，因此基于無線網(wǎng)絡(luò)的入侵防護顯得尤為重要。這其中包括非法無線設(shè)備的防范與非法用戶攻擊的防范。非法設(shè)備可能侵占合法AP的正常信道工作，這樣不但會對合法的無線接入點產(chǎn)生干擾，由于非法設(shè)備往往不具備安全功能，還會將非法用戶間接帶進有線網(wǎng)絡(luò)中。智能無線解決方案可以控制每臺AP動態(tài)掃描其所處的環(huán)境，并將掃描到的設(shè)備信息送交無線控制器及網(wǎng)管平臺，這樣網(wǎng)絡(luò)管理人員即可實時發(fā)現(xiàn)是否有非法無線接入點存在，隨后可以開啟自動保護機制，阻止無線用戶通過非法無線接入點進入無線網(wǎng)絡(luò)。另一種重要威脅是非法無線用戶對合法AP的入侵。互聯(lián)網(wǎng)上可以輕易地下載到很多無線入侵和攻擊工具，而原先傳統(tǒng)的無線接入點設(shè)備均都沒有偵測無線入侵的功能，所以當受到像無線DOS攻擊時，就會誤以為是無線電波的信號受干擾或AP出現(xiàn)不穩(wěn)定情況。這些攻擊將會導致用戶的無線連接斷線，但網(wǎng)管人員卻無法在第一時間得到報警。利用我們內(nèi)置的WIDS/WIPS技術(shù)，可以實時檢測異常的無線數(shù)據(jù)包，當無線系統(tǒng)偵測出有入侵時，它會記錄和顯示入侵的格式，并對入侵做出自動保護響應(yīng)和報警，并提醒網(wǎng)管人員注意并提示相應(yīng)的解決措施。4、一體化病毒、攻擊防護系統(tǒng)我們無線解決方案與全局安全解決方案GSN之間能夠?qū)崿F(xiàn)一體化聯(lián)動。當無線終端試圖訪問網(wǎng)絡(luò)，在該用戶認證之前，需要下載一個GSN終端程序，可以對無線終端的操作系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，做一個檢查，如果不能通過檢查，可以設(shè)定策略禁止其訪問網(wǎng)絡(luò)，也可設(shè)置成將無線用戶重定向到一臺升級服務(wù)器，打系統(tǒng)補丁、安裝防病毒軟件和升級病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無線終端才可以進入認證環(huán)節(jié)進行用戶的認證。通過了準入檢查后，但是如何對無線終端發(fā)出數(shù)據(jù)進行有效的檢查和監(jiān)控是更加進一步的病毒防護手段。通過和第三方的防病毒廠家合作，我們的智能無線交換機產(chǎn)品MX系列產(chǎn)品可以允許設(shè)定策略，對于某些用戶以及某些可能沾染病毒的數(shù)據(jù)，將其重定向到防病毒設(shè)備上進行防病毒檢查，檢查完成后，才允許通過，否則會將數(shù)據(jù)丟棄。無線接入認證設(shè)計1、終端智能識別的WEB認證無線網(wǎng)絡(luò)在提供便捷網(wǎng)絡(luò)服務(wù)的同時，仍需確保只有合法的用戶才能使用無線網(wǎng)絡(luò)。WEB認證就是一種對用戶訪問網(wǎng)絡(luò)的權(quán)限進行控制的身份認證方法，這種認證方法不需要用戶安裝專用的客戶端認證軟件，使用普通的瀏覽器軟件就可以進行身份認證，是目前無線主流的認證方式之一。而且隨著近年來iPhone、iPad、Android、WindowsPhone等各種智能能移動終端的日益普及，網(wǎng)絡(luò)中不再是清一色的筆記本電腦終端。一個智能的無線網(wǎng)絡(luò)，必須能夠考慮到不同的終端類型、屏幕尺寸對Portal認證頁面的不同要求，實時地對各種終端類型進行識別，并推送符合終端屏幕尺寸的WEBPortal頁面，使用戶能夠更為便捷的輸入用戶名及密碼，提升無線用戶體驗。我們的無線控制器不僅支持終端自動識別功能和WEBPortal頁面推送，而且推送的認證頁面還可以根據(jù)用戶自定義放置一些廣告、通知、業(yè)務(wù)鏈接等，提供更多個性化服務(wù)。若配合SMP認證服務(wù)器還可實現(xiàn)基于終端類型的角色、訪問權(quán)限的劃分等，幫助網(wǎng)絡(luò)運維人員實現(xiàn)更為精細化的無線用戶管理。2、基于802.1X的無感知認證IEEE802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，主要目的是為了解決無線用戶的接入認證問題。對于基于802.11系列標準的無線局域網(wǎng)，通過對無線用戶的身份驗證，無線網(wǎng)絡(luò)可以打開或關(guān)閉無線終端接入的接口，同時還可以根據(jù)其身份屬性，為其分配動態(tài)角色和VLAN，確保用戶終端接入的安全性。在安全性上，WEBPortal認證不提供密鑰的生成和交換機制，因此所有的用戶流量都是以明文方式傳輸?shù)?，容易被截獲和偵聽；802.1X（WPA2-AES）符合802.11i安全標準，在用戶認證的基礎(chǔ)上，對每個報文采用不同的密鑰進行逐包加密，具有更高的安全性。在便捷性上，WEBPortal認證直接通過瀏覽器輸入用戶名及密碼，整個操作過程較為簡單快捷；普通的802.1X認證一般需要安裝認證客戶端或?qū)Σ僮飨到y(tǒng)原生認證客戶端進行配置等，操作過程較為復(fù)雜，用戶體驗相對較差。為了保證無線用戶接入同時具有較高安全性和便捷性，我們在BYOD（Bringyourowndevice）解決方案中提出了基于802.1X的無感知認證技術(shù)，用戶只需要在第一次認證中安裝一個快速1X配置助手，并完成首次用戶名及密碼的輸入，以后無線終端只要發(fā)現(xiàn)無線信號，就會自動進行802.1X的接入認證并連接無線網(wǎng)絡(luò)，真正實現(xiàn)“一次登陸，三步操作，后續(xù)無憂”，帶給用戶最佳的使用體驗。3、訪客二維碼認證舉辦大型的學術(shù)交流會議，接待來訪的嘉賓，并需為其提供快捷的無線上網(wǎng)服務(wù)。而傳統(tǒng)的無線網(wǎng)絡(luò)一般會在會議室、禮堂、大廳等訪客接待區(qū)域啟用一個基于PSK認證的WLAN，并在可視區(qū)域貼放這個WLAN對應(yīng)共享密碼，訪客的體驗也是較為麻煩，不友好等，而且這個密碼極易擴散，網(wǎng)絡(luò)安全得不到保證，網(wǎng)絡(luò)運維人員需定期的更換這個WLAN的密碼和對應(yīng)的標貼，極大的增加網(wǎng)絡(luò)運維難度。統(tǒng)一集中管理1、集中式統(tǒng)一控制和管理對于XX教育城域網(wǎng)規(guī)模如此龐大的無線網(wǎng)絡(luò)來說，管理是非常重要的事情。從RF射頻覆蓋狀態(tài)的監(jiān)測、無線鏈路的帶寬的監(jiān)測、用戶認證的異常報警、無線接入安全等都需要考慮。無線局域網(wǎng)是一個整體系統(tǒng)，無線接入點之間必須互協(xié)調(diào)工作，單獨改變一個無線接入點的參數(shù)和配置，可能會會引起無線接入點之間的無線電波干擾，用戶漫游重認證和授權(quán)也可能會產(chǎn)生問題，因此集中控制和管理顯得非常必要。我們有線無線一體化網(wǎng)管系統(tǒng)為網(wǎng)絡(luò)管理提供了靈活的選擇，具備良好的擴展性，能夠滿足客戶網(wǎng)絡(luò)管理不斷發(fā)展的需求?；赪eb的管理系統(tǒng)，為網(wǎng)管人員提供了易用性極強的管理平臺。通過與SNC系統(tǒng)平臺的配合，還可實現(xiàn)無線設(shè)備的面板管理、故障管理、性能監(jiān)控、軟件版本管理、配置文件管理、接入用戶管理、用戶認證管理等功能，并可對網(wǎng)絡(luò)中的其它設(shè)備進行統(tǒng)一管理，真正實現(xiàn)有線無線一體化管理。2、有線無線統(tǒng)一平臺管理統(tǒng)一網(wǎng)管平臺可對無線網(wǎng)絡(luò)中的無線控制器和無線接入點等設(shè)備與有線網(wǎng)絡(luò)設(shè)備進行一體化集中管理，網(wǎng)管人員對全網(wǎng)設(shè)備信息和狀態(tài)可隨時全盤掌握。通過整體拓撲監(jiān)視、多視圖唯獨的監(jiān)視和分組管理，可將客戶的大規(guī)模部署無線網(wǎng)絡(luò)設(shè)備進行集中化的控管。網(wǎng)管平臺可自動創(chuàng)建系列無線接入點配置文件，統(tǒng)一遠程配置AP的射頻功率、無線信道分配等參數(shù)，并可實時與設(shè)備保持配置信息的同步與更新。通過網(wǎng)管系統(tǒng)中強大的四維監(jiān)視工具，可實時統(tǒng)計和監(jiān)視全網(wǎng)的設(shè)備工作狀態(tài)、資源利用、威脅告警、信道使用情況、實時流量等多維度狀態(tài)，全部以統(tǒng)計圖形直觀顯示給網(wǎng)管人員，特別便利于網(wǎng)管人員的日常管理工作。平安校園視頻監(jiān)控系統(tǒng)系統(tǒng)概述經(jīng)過近年來的努力，中小學、幼兒園視頻監(jiān)控建設(shè)取得了顯著的成績，如基本的視頻、錄像、報警等，滿足了監(jiān)控的基本需求，但同時我們也應(yīng)該清晰地認識到前期建設(shè)還存在著一些不足，制約了建設(shè)系統(tǒng)新建擴建、視頻資源的共享和應(yīng)用業(yè)務(wù)的整合，制約了整體普教防控體系技術(shù)水平的提高。中小學、幼兒園校園、幼兒園安防工作一般通過技防+人防的手段來實施。其中技防為安防工作提供第一手資料及能為事后取證提供資料，所以技防是整個安防系統(tǒng)中極為重要的一部分；視頻監(jiān)控是安防中技防的重要的手段，所以為了加強中小學、幼兒園學校、幼兒園的安防工作，必須加快視頻監(jiān)控系統(tǒng)系統(tǒng)的建設(shè)。中小學、幼兒園、幼兒園綜合安防工程建設(shè)應(yīng)滿足如下要求：1、基本要求：公共區(qū)域無死角：學校人員密集，要求校區(qū)重點區(qū)域無死角。因此需要在學校內(nèi)每棟宿舍和教學樓的走廊、通道等處都裝有攝像探頭。監(jiān)視范圍不包括宿舍內(nèi)部，避免侵犯學生的隱私。系統(tǒng)高靠性：校級視頻監(jiān)控應(yīng)可獨立完成視頻監(jiān)控及預(yù)警功能，不依賴整個聯(lián)網(wǎng)的網(wǎng)絡(luò)系統(tǒng)，即當網(wǎng)絡(luò)出現(xiàn)故障或遭人為破壞時，學校應(yīng)能滿足以上基本監(jiān)控存儲及聯(lián)動等基本要求。統(tǒng)一管理、分級授權(quán)：集成后的視頻監(jiān)控系統(tǒng)中心平臺能實現(xiàn)對系統(tǒng)資源的集中統(tǒng)一管理，分級授權(quán)使用。各級視頻監(jiān)控使用單位原則上只具有對轄區(qū)內(nèi)的監(jiān)控點具有操作權(quán)限。監(jiān)控中心出現(xiàn)任何故障時，不應(yīng)影響學校的正常使用。2、聯(lián)動要求：對危險提前預(yù)警：建設(shè)的系統(tǒng)不僅要滿足視頻錄像事后取證的功能，最為重要的是應(yīng)有一定的預(yù)警功能，根據(jù)預(yù)警信息采用適當措施把事態(tài)控制在萌芽狀態(tài)，而不能影響到學生的安全。為應(yīng)急指揮服務(wù)：視頻監(jiān)控系統(tǒng)應(yīng)聯(lián)動安全報警系統(tǒng)，出現(xiàn)事件能夠快速及時的通知學校及教育、公安等上級監(jiān)管部門，以滿足應(yīng)急指揮需要。3、擴展性要求：對已有設(shè)備利舊：對現(xiàn)有的各地視頻監(jiān)控系統(tǒng)進行有效集成，集成時充分考慮即有系統(tǒng)的現(xiàn)狀，最大限度地利用原系統(tǒng)資源，避免重復(fù)投資，從而減少項目集成成本的投入?？山尤肫渌到y(tǒng)：需要考慮接入其它安防系統(tǒng)，從而實現(xiàn)聯(lián)動及統(tǒng)一管理。系統(tǒng)總體設(shè)計設(shè)計目標本方案主要實現(xiàn)以下目標：建成標準的“地市-區(qū)縣-學校”三級聯(lián)網(wǎng)模型：中小學、幼兒園、幼兒園安防聯(lián)網(wǎng)監(jiān)管系統(tǒng)經(jīng)過這些年的發(fā)展，已經(jīng)漸漸形成了一套完整、成熟、科學、標準的模型，主要為“地市-區(qū)縣-學?！比壜?lián)網(wǎng)模型，其中學校一級負責視頻監(jiān)控的前端采集和分布存儲，區(qū)縣一級負責區(qū)縣下屬學校的匯聚和統(tǒng)一管理，地市一級負責各區(qū)縣平臺的匯聚一級市級直屬學校的直接監(jiān)管，該模型定位清晰，職責明確，布局合理，也是目前主流的三級聯(lián)網(wǎng)模型。整體系統(tǒng)高清化與網(wǎng)絡(luò)化：本方案以建設(shè)全高清監(jiān)控系統(tǒng)為目標，為用戶提供更清晰的圖像和細節(jié)，讓視頻監(jiān)控變得更有使用價值；同時以建設(shè)全IP監(jiān)控系統(tǒng)為目標，讓用戶可通過網(wǎng)絡(luò)中的任何一臺電腦來觀看、錄制和管理實時的視頻信息，且系統(tǒng)組網(wǎng)便利，結(jié)構(gòu)簡單，新增監(jiān)控點或客戶端都非常方便。系統(tǒng)具備以下特征：系統(tǒng)具備高可靠性、高開放性的特征：通過采用業(yè)內(nèi)成熟、主流的設(shè)備來提高系統(tǒng)可靠性，尤其是錄像存儲的穩(wěn)定性，另外系統(tǒng)可接入其他廠家的攝像機、編碼器、控制器等設(shè)備，能與其他廠家的平臺無縫對接；具備高智能化、低碼流的特征：運用智能分析、帶有智能功能的攝像機等提高系統(tǒng)智能化水平，同時通過先進的編碼技術(shù)降低視頻碼流，減少存儲成本和網(wǎng)絡(luò)成本，減弱對網(wǎng)絡(luò)的依賴性，提高視頻預(yù)覽的流暢度；具備快速部署、及時維護的特征：通過采用高集成化、模塊化設(shè)計的設(shè)備提高系統(tǒng)部署效率，減少系統(tǒng)調(diào)試周期，系統(tǒng)能及時發(fā)現(xiàn)前端監(jiān)控系統(tǒng)的故障并及時告警，快速相應(yīng)；具備高度整合、充分利舊的特征：新建系統(tǒng)能與原有系統(tǒng)高度整合、無縫對接，能充分利用原有監(jiān)控資源，避免前期投資的浪費。設(shè)計思路本方案的總體設(shè)計思路如下：1、學校級學校級主要部署高清采集前端、分布式后端存儲等設(shè)備，實現(xiàn)視頻監(jiān)控資源的采集和存儲。前端高清采集設(shè)備部署在學校的周界、大門口、主干道、大型活動場地以及學校重點部位，后端存儲設(shè)備部署與學校監(jiān)控機房中，實現(xiàn)監(jiān)控資源的分布式存儲。2、區(qū)縣級區(qū)縣級主要部署聯(lián)網(wǎng)監(jiān)管平臺以及監(jiān)控中心設(shè)備等內(nèi)容，部分重要監(jiān)控資源如學校出入口等監(jiān)控需要進行二次存儲，即區(qū)縣級平臺需要對各學校出入口視頻資源進行集中存儲。區(qū)縣級平臺作為連接學校級與地市級的核心系統(tǒng)，除了接入各學校監(jiān)控資源外還需要能夠與地市級平臺進行資源的級聯(lián)，實現(xiàn)區(qū)縣與地市資源的共享?？傮w結(jié)構(gòu)設(shè)計中小學、幼兒園、幼兒園安防聯(lián)網(wǎng)監(jiān)管系統(tǒng)涉及學校、區(qū)縣和地市等多級部門，其架構(gòu)也比較復(fù)雜，具體可以分為三級聯(lián)網(wǎng)架構(gòu)和學校內(nèi)部架構(gòu)。邏輯架構(gòu)圖SEQ圖\*ARABIC2普教聯(lián)網(wǎng)監(jiān)管系統(tǒng)邏輯結(jié)構(gòu)圖上圖所示為