晋城市教育城域网的建设
2011-08-15申忠会
申忠会
(晋城市电化教育馆,山西 晋城 048000)
1 引言
互联网的普及为教育带来前所未有的变革,打破了传统教育中时间及地域等限制,实现面向社会每一个人,并为其提供终生受教育的梦想。建设一个高质量、高带宽、多服务、范围广的整体教育综合信息网络势在必行。
2 教育城域网建设现状及需求
晋城市教育城域网是教育教学专用计算机信息网络,建成后将覆盖全市85%以上的中小学生。教育信息中心将整合全国各地优质的教育教学资源输送给学校,实现优质教学资源共享,从而整体提高中小学教学质量,缩小教育的地区差异;同时为学校提供网络下的教学环境和个性化的网络学习环境,实现教师教学方式、学生学习方式和学校管理模式的根本转变;并以此扩大教育规模,拓展教学、教研和学习空间,形成多层次、多功能开放型的现代教育模式,实现基础教育跨越式发展。
晋城市教育局2007年投资近500万元建设了城域网的教育信息中心,市县区7个教育局已有会聚层网络设备和自己的局域网,部分学校已建校园网。市教育局直管学校、全市所有高中、城镇初中小学“新三机一幕”(投影机、计算机、视频展示台、大银幕)普遍进入教室,配备了计算机网络教室、多功能电教室和教室综合备课室;农村中小学在国家实施的“远程教育工程”项目中硬件条件初具规模:计算机网络教室、“新三机一幕”的教室、多功能电教室和教师综合备课室等可以满足教学需要。
实现全市范围内的1个市教育信息中心、1个市教育局、352所学校(乡镇中心小学以上)、6个县市区教育局、1个开发区共有441个单位联网。
小学校园网以100 M链路接入教育城域网络。统一以69个信息点进行预算设计。设有计算机多媒体网络课室1个、多媒体综合电教室1个,班班有“新三机一幕”,要求有完整的校园网络。
中学校园网以100 M链路接入教育城域网络。统一以92个信息点进行预算设计。设有计算机多媒体网络课室1~5个、多媒体综合电教室2个,班班有“新三机一幕”,要求有完整的校园网络。
各教育局以100 M链路接入教育城域网络,统一以80个信息点进行预算设计,要求有完整的局域网络。
网络管理要求统一的管理平台,可集中管理。
因特网的连接方式为:所有城域网用户统一通过市信息中心上网。
3 教育城域网建设焦点和原则
市教育城域网主要是要将晋城市所辖的六县市区里的所有学校、教育单位互联起来,使教育资源整合、开放、共享,达到整体信息化的集成运用的宽带网络。同时,教育城域网上还要支撑教育办公自动化系统(OA平台)、教育管理基础数据系统(MIS平台)、网络教学支撑平台等典型应用,同时也承载着电视会议系统及VoIP系统、视音频点播系统、网络监控等多媒体系统应用。交换大量不同性质的业务,这就要求教育网必须是一个安全、可靠、全业务的网络。
首先是安全。教育城域网面临着网络病毒泛滥、DoS攻击、广播包等大量的安全问题。如何在互联网出口、数据中心和终端接入等各个层面统一部署安全策略,就成为教育城域网建设中首先需要考虑的问题。
其次是可靠。教育城域网业务要求越来越高,网络系统的稳定可靠也必须越来越高。在网络建设中选用高可靠性网络产品,设备要考虑冗余、容错能力;合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。
第三是全业务。教育城域网建设的目的不仅仅是建成宽带、先进、专业的高度信息共享的网络互联系统,实现普教系统高效率的教育政务网,同时也要实现教育教学多媒体资源的高度共享,实现信息化课程开发和多媒体网络远程教学。这就要求教育城域网不仅要实现三网合一的数据传送和多媒体通讯,而且要建设统一的数据中心,也要建设城域网视频联网监控。
因此,晋城市教育城域网的建设必须遵循以下原则:
技术先进、稳定可靠:把先进的技术与现有的成熟技术和标准结合起来,合理设计网络架构,保证系统的正常运行。
深度安全,全面防护:统一的网络安全策略,保证关键数据不被非法窃取、篡改或泄漏。
网络融合,多网合一:建设一个统一的信息平台,包括基础网络平台、多媒体应用、IP视频监控等。
智能管理,简便易用:充分考虑教育城域网用户的特点和运行的业务,通过统一的智能管理平台,建设可运营、可管理的网络,实现对城域网统一、有效、方便的管理。
4 教育信息中心
晋城市基础教育信息中心是实施“校校通”工程的基础设施,是晋城市基础教育城域网的重要组成部分。晋城基础教育信息中心既是全市教育信息网络的核心,也是市教育信息中心,它由网络管理、信息管理、教育教学资源、远程教学等支持服务系统组成。基础教育信息中心在因特网上建立教育系统的门户网站,用来展示晋城教育风采、树立教育形象、构建与外界沟通的桥梁。基础教育信息中心为全市教育系统提供免费的网站空间、域名、电子邮件、教育教学资源、教学论坛、远程教学、教育电视直播、远程办公等服务功能。
市教育信息中心采用华为3Com公司和IBM公司的一体化互联信息网络解决方案和计算机设备,配备了一台华为3Com的新一代核心路由交换机H3C S9512,通过H3C的NE20-8路由器以100 M链路接入互联网。在骨干路由交换机与路由器之间放置一台千兆的H3C Secpath 1000F防火墙和一台H3C Tipping-Point 200E IPS的入侵防御系统,保障内网即教育城域网的安全性。教育城域网各网站的发布,可通过市教育信息网络中心平台做地址转换。
4.1 网络管理系统
网络管理系统位于市教育信息中心的中心机房,它将各县(市、区)信息中心和市直学校通过光纤汇集于中心机房的核心路由交换机实现互通,并为全市教育系统提供各种信息服务和网络控制管理。
依据中心机房的网络管理和信息服务的功能,要完成核心路由交换机、内网交换机、服务器、防火墙、入侵防御系统、存储系统、INTERNET访问路由器等硬件设备和网络管理软件、服务器操作系统、数据库、邮件系统、视频点播、视频服务系统、网络防病毒等软件配置工作。16台服务器为:
1台作为Web服务器:设置教育城域网的网页,网页呈现市教育信息中心所有教育教学服务项目,是教育信息网络的服务平台。
1台作为Email服务器:提供免费电子邮箱的服务。电子邮件是相互交流的重要工具,配合Outlook和其他软件,可以实现网上办公。
1台作为BBS服务器:是师生互动、网上教研、教育论坛、网上调查等活动的空间。
中药健脾方对糖尿病大鼠肾组织骨桥蛋白及肾脏病理的影响………………… 邢艳阳 李中南 邢宇婷 等(2)225
1台作为FTP服务器:为各级各类学校提供大量资源下载的功能。FTP服务器与磁盘阵列存储设备相连接,为全市教师教学和学生学习同在网上获取所需各类资源服务。
2台作为资源服务器:要承担多媒体教学素材库、教学课件库、习题库、教研资料、电子图书馆及自制资源等教育教学资源服务。
1台作为VOD服务器:视频点播服务器与磁盘阵列存储设备连接,为用户提供大量教学视频资源。
1台作为视频服务器:使用组播技术,为学校提供视频教学实况和大型教育会议转播。
1台专网办公服务器:实现电教馆电子办公。
1台作为DNS服务器:为全网提供域名转发和解析服务,提供域名递归查询,同时为网内各单位的网站提供域名服务。
1台作为数据库服务器:运行SQL数据库系统,用于网络的后台数据库支持,提供资源数据库管理、Web数据库管理等业务。
2台作为域控制服务器:两台互为备份,提供全网的AD服务。
4.2 网络设备选型
核心交换机选用H3CS9512路由交换机具体配置包括:1.8 m总装机柜、路由交换机主机、2块路由交换处理板、2个交流电源模块-2000 W、24端口千兆以太网光接口业务板(CA)-(SFP,LC)、10个光模块 -SFP-GE-单模模块 -(1 310 nm,10 km,LC)、4个光模块-SFP-GE-单模模块 -(1 550 nm,100 km,LC)、24端口千兆以太网电接口业务板(CA)-(RJ45)、8端口千兆以太网光接口防火墙业务板(DB)-(SFP,LC)。
路由器选用H3C NE20-8具体配置:路由处理单元,256 M内存,自带2个FE/E接口/网络处理器单元/2端口百兆以太网高速接口模块(RJ45),2个交流电源。
防火墙选用H3C Secpath 1000F。
入侵防御系统选用H3C TippingPoint 200E IPS。
IPSAN存储选用H3C的IX1000配备16块400GB一体化企业级SATA硬盘。
5 教育城域网建设的设计
晋城市教育城域网包括校园网、市县区信息中心、城域网出口、IP监控、智能管理中心等子系统。相应的由5个平台组成,包括基础网络平台、综合安全平台、智能网络管理平台、多媒体通讯和监控平台、信息中心存储平台。
城域网建设采用千兆以太网技术(支持IPV6),整个网络由核心层、汇聚层、接入层3层构成,并通过租用晋城网通宽带光纤,将市信息中心、与各县(市、区)教育信息中心、各类教育教学业务机构、乡镇所在地小学以上的各级各类中小学校园网连通,通过市教育信息中心统一接入因特网,形成市、县、校三级教育信息网络系统。网络核心结点1 000 M、所有的信息点100 M/10 M交换到桌面
5.1 基础网络平台
基础网络层分为骨干层、汇聚层、校园网3级,整个网具有可运营、可管理的开放式结构。骨干层可采用RPR组网方案。网络的核心层由骨干节点构成环网,确保网络的可靠性以及安全性。建议采用单向2.5 G、双向5 G的带宽。汇聚层、路由器或路由交换机作为各区域本地教学单位、机构流量的上行汇聚。教育城域网由多个校园网构成。校园网就近接入汇聚设备,再统一汇总至骨干节点。
晋城市教育城域网的核心传输网络可以自己租用线路构建专网或通过租用运营商的VPN服务构建虚拟教育专网。H3C S9512核心路由交换机可以构建万兆/千兆骨干教育城域网,可提供高密度的万兆/千兆以太网光口汇聚,支持强大的路由策略和安全策略,保证教育城域网高速有效地运行。
晋城市电化教育馆由于是整个教育城域网资源中心和应用中心,建议采用两层网络结构,核心交换设备采用通过H3C S7506E FE电路集中中心内各办公楼、各楼层的S5120-28C-EI二层交换机的上行流量,实现所有数据线速二三层交换,并通过核心交换机和二级交换机协同启用访问控制策略来控制不同用户之间及用户与服务器之间的相互访问,保证网络和信息的安全。
接入教育城域网的教育单位,根据规模大小,其核心设备可采用H3C S9505E或H3C S7506E、S5120-28C-EI等不同端口密度的3层交换机。对于没有条件直接接入的学校,可采用其他方式接入运营商公网,并由运营商通过VPN通道接入教育城域网。各校园网内则可配置华三的不同端口密度的二层交换机,如后h3c 3600-EI、h3c 2126-EI等。
5.2 业务逻辑层
在基础网络建设之上,要完整地规划教育城域网上的各种业务逻辑,完成各种业务及用户的管理。一般建议实现:
支持多出口:一般教育网都提供中国教育科研网(CERNET)和因特网等多个出口,根据用户需要访问的域名动态进行出口选择,使用者还可自由选择不同出口上网。
支持用户管理:支持WEB认证方式、PPPOE认证方式和802.1x等认证方式实现用户接入网络之前必须认证。
丰富的业务:为达到网络增值的目的,教育城域网提供电子图书馆、在线考试、网上教学、远程教育、学校门户业务、资源自助业务和互联网等多种业务。
先进的技术:教育城域网可采用先进的MPLS VPN技术,实现各学校间、不同业务间数据的安全隔离。
多接入方式的提供:考虑到边远学校实际线路情况和资金情况,除了选择以太网接入手段、光纤接入网、FTTX+LAN接入方式、无线网络接入方式(CDMA2000或TD-SCDMA),可以考虑利用一线通(ISDN)、ADSL、VDSL以降低投资。
5.3 综合安全管理平台
综合安全管理平台分为桌面安全、端到端传输安全、应用安全、数据安全四大部分。
安全防御系统集成SecBlade系列AFC(流量清洗中心)、防火墙、IPS(入侵防御系统),实现对数据中心的全方位安全防护。AFC对镜像的外部访问流量进行检测,当发现有DDoS攻击时,采用动态路由技术牵引攻击流量并加以清洗,在不影响正常业务的同时,彻底清除DDoS攻击流量;SecBlade万兆防火墙集成了包过滤和状态检测技术,防范入侵者越权访问获取敏感信息;IPS集成入侵检测与防御、病毒防护等功能,精确实时地识别并防御蠕虫、病毒、木马等网络攻击,防止攻击者对数据中心的破坏,保障敏感数据不被窃取以及业务的持续运行。
智能管理iMC(Intelligent Management Center)华三的统一网管软件h3c iMC后,使设备和网络的管理更容易,减轻网管人员的工作量。