营口高级中学数字化校园
解决方案建议书
2012年06月09日
目录
1. 需求分析 ............................................................................................................................. 4
1.1. 1.2.
建设背景 .................................................................................................................. 4 建设需求 .................................................................................................................. 6 1.2.1. 校园情况介绍 ................................................................................................. 6 1.2.2. 网络建设需求 ................................................................................................. 7 1.3.
总体设计概述 .......................................................................................................... 8 1.3.1. 网络设计原则 ................................................................................................. 8 1.3.2. 数字化校园网络平台 ..................................................................................... 11 1.3.3. 校园数据中心 ................................................................................................ 11 1.3.4. 校园智能管理中心 ........................................................................................ 12
2. IP 校园网络平台 .............................................................................................................. 12
2.1. 2.2. 2.3. 2.4.
层次化设计 ............................................................................................................ 12 高可靠性 ................................................................................................................ 13 IP地址 ................................................................................................................... 13 组播与QoS ........................................................................................................... 14 2.4.1. 组播业务 ....................................................................................................... 14 2.4.2. QoS优化 ...................................................................................................... 15
3. 校园安全渗透网络设计 ..................................................................................................... 17
3.1. 3.2.
核心交换机强大内置安全特性 ............................................................................... 17 基层网络安全 ........................................................................................................ 18 3.2.1. 端口+IP+MAC地址的绑定: .................................................................... 18 3.2.2. 接入层防Proxy的功能 ................................................................................. 18 3.2.3. MAC地址盗用的防止 ................................................................................... 18 3.2.4. 防止对DHCP服务器的攻击 ........................................................................ 19 3.2.5. 防止ARP的攻击 .......................................................................................... 20 3.3.
网络层安全解决方案.............................................................................................. 21 3.3.1. 全面网络基础设施可靠性保证措施 ............................................................... 21 3.3.2. 组合丰富的VLAN功能进行业务隔离........................................................... 22 3.3.3. 配置防火墙和IPS进行网络区域的隔离 ....................................................... 22 3.3.4. 内网机密信息安全访问解决方案 .................................................................. 25 3.4.
用户层解决方案 ..................................................................................................... 26 3.4.1. 配置全面的网络防病毒系统 ......................................................................... 26
2
3.4.2. 采取用户接入防御解决方案 ......................................................................... 27 3.5.
业务层解决方案 ..................................................................................................... 31 3.5.1. 设备冗余及网络存储配置建议 ...................................................................... 31 3.5.2. 漏洞扫描及安全评估系统的配置 .................................................................. 31 3.5.3. 应用系统开发中加强安全机制 ...................................................................... 31
4. 校园管理中心设计 ............................................................................................................ 32
4.1. 4.2.
数字化校园管理综述.............................................................................................. 32 集成化管理平台 ..................................................................................................... 32 4.2.1. 系统安全管理 ............................................................................................... 33 4.2.2. 资源管理 ....................................................................................................... 34 4.2.3. 拓扑管理 ....................................................................................................... 35 4.2.4. 故障(告警/事件)管理 ................................................................................ 36 4.2.5. 告警深度关联分析与统计 ............................................................................. 36 4.2.6. 性能管理 ....................................................................................................... 38 4.2.7. 设备管理组件 ............................................................................................... 39 4.3.
网络状况与用户行为的审计管理 ........................................................................... 40 4.3.1. 营口高级中学用户行为审计系统 .................................................................. 41 4.3.2. 营口高级中学用户行为审计解决方案 ........................................................... 42 4.3.3. 行为审计数据流链路负载 ............................................................................. 45
5. 附录: ................................................................................................. 错误!未定义书签。 RRPP基本介绍 ............................................................................................. 错误!未定义书签。
RRPP基本概念...................................................................................... 错误!未定义书签。
RRPP域(RRPP Domain) .............................................................. 错误!未定义书签。 RRPP环(RRPP Ring) ................................................................. 错误!未定义书签。 RRPP控制VLAN ............................................................................. 错误!未定义书签。 主节点 .......................................................................................... 错误!未定义书签。 传输节点 ...................................................................................... 错误!未定义书签。 边缘节点和辅助边缘节点 ............................................................. 错误!未定义书签。 主端口和副端口 ........................................................................... 错误!未定义书签。 公共端口和边缘端口 .................................................................... 错误!未定义书签。
3
1. 需求分析
1.1. 建设背景
当前,以数字化校园为特征的教育信息化发展更为迅速,各种信息化应用正改变着老师和学生们的工作、学习、生活以及思维方式,引发了教育行业一场新的革命。学校基本的教学教务管理、科研管理、后勤管理、数字图书馆、视频服务系统、办公自动化系统和校园社区服务等应用系统的建设有了初步的规模,“一卡通”业务在很多学校也开始应用。在校师生的认识水平和技术水平上了一个台阶,对于信息化工具的使用已变成为一种自觉和自愿的行为,为“十一五”数字化校园的进一步发展打下坚实的基础。
数字校园是以IP通信平台为基础,实现环境(特别是重点、敏感区域的视频监控)、资源(网络资源、存储资源、计算资源)、到活动(网络的开放架构对定制业务的支持)的全部数字化,利用标准的ITOIP解决方案,以IP技术为标准技术,利用SOA开放架构实现对整体IT平台的统一集成支撑。
建设安全可靠的校园网络平台
? 具备网络结构优化能力——校园网的整体架构具备更有效的容灾能力,以应对故障节点、
故障链路、路由震荡所带来对业务的影响;而随着万兆校园核心网的普及,应用对带宽新的要求,校园网需要具备万兆到汇聚的升级能力、以及关键业务千兆到桌面的能力; ? 具备网络业务拓展能力——校园业务可平滑向下一代网络迁移,向IPv6迁移兼容现有校园
组网环境,IPv6完全由分布式硬件完成,保护投资;校园业务可以随时随地使用,校园业务可以基于移动漫游环境,移动漫游环境无需管理者手工干预
? 具备安全渗透防御能力——校园网出口具备攻击、非法业务的隔离、控制,具备在线主动
抵御的能力;校园核心网络自身集成安全防御能力,缩小攻击、病毒在校园影响范围;用户接入网络屏蔽用户非法操作,隔离网络攻击
建立数据服务中心优化整合现有数据信息资源
? 解决教学、科研、办公业务数据海量增长,数据无法整合管理的问题 ? 解决数据爆炸性增长,成本要求不断降低的问题 ? 解决各种灾难对信息系统影响的问题 ? 解决分校区跨广域的数据访问的问题 ? 解决跨系统数据迁移和灾难备份困难的问题
4
? 解决借助厂家提供专业的存储咨询和服务的问题
建立媒体服务中心实现视频、语音多媒体服务资源
? 利用现有校园网络资源,整合语音业务,降低校内语音通信成本;
? 利用现有校园网络资源,整合视讯业务,提供丰富的网络办公、教学IT服务; ? 利用现有校园网络资源,整合校园监控业务,实现平安校园的统一管理;
实现整个校园网络的集中统一智能化管理
数字化校园是建立在一系列IT资源的基础上,诸如校园网带宽资源、教学办公数据的资源、计算资源、网络多媒体通信资源等,针对这些资源需要关联化的管理,资源的整合,才能将利用IT系统服务校园信息化的价值最大化。
结合高等职业院校的信息化发展现状与其在“十一五”期间的趋势,IToIP数字化校园解决方案从整体来看致力于两个层面促进学校信息化的发展。
其一是硬件平台的建设,即基于IP技术的校园网络平台建设。方案针对现有校园网的网络架构提出优化方案,利用核心网优化与接入网优化的技术使其能够更好支撑数字化校园的上层业务;随着数字化校园横向业务不断发展,方案提出两个重点业务拓展方案,即IPv6校园网来适应数字化校园的这一转型;关于校园网的安全防护长期以来都是校园CIO高度关注的工作,而校园网络的安全问题也在变化,方案紧密围绕校园网络安全防御的三个重点环节(出口、核心、接入)与最新的安全问题,提出了安全渗透防御的架构,携手院校共同迎接安全防护的挑战。
其二是应用平台的建设,主要是三个中心的建设。校园数据中心:目前在校园网中,存储资源依附于应用和服务器,分散在校园网络不同的地方,由于各种原因,一些信息无法共享,导致了资源的浪费,同时也导致了依附于其上的数据无法共享,所以在校园中建设统一的数据中心,是校园网信息实现统一共享的重要手段。普教学校具有环境开放性和人员流动性的特点,需要对校园进行安全监控实现和谐校园的目标;如果存在多校区的建设往往导致领导、师生沟通不方便,可考虑通过IP语音、IP视讯技术的视频会议、远程教学、IP电话、招生热线等方案将有效解决这些问题,并促进整体数字化校园的发展。智能管理中心:狭义上的校园网络管理就是通过SNMP技术对校园网络的硬件单元进行有效控制,而校园智能管理则强调是全面性与联动性,协同处理网络设备、网络用户、网络应用、数据信息之间的关联问题,例如一个用户是否有权限使用哪些网络、这个用户使用的应用对整个数字化的影响有多大??,对于整体数字化校园的管理应当提供分析数据与报告,支撑校园CIO的决策并降低校园管理的整体拥有成本。
两个层次的建设并不是割裂的,联系的枢纽就是智能管理中心,它把硬件系统与应用系统紧密结合在一起,针对硬件资源、应用资源动态调配与控制,实现对数字化校园整体业务的有效支撑。
普通中等学校校园网需满足数字化的特点,满足在“十五”期间实现了高带宽、广覆盖、可运营、可管理的数字化校园平台;实现了学校基本的教学、科研、管理和服务系统的信息化。通过这
5