第一篇:连云港教育城域网网络流量管理及应用分析优化技术方案
内部资料 注意保密
连云港教育城域网
网络流量管理及应用分析优化
解决方案
苏州迈科网络安全技术股份有限公司
2013
内部资料 注意保密
目录 2 3 4 前言................................................................................................................................................3 行业背景........................................................................................................................................4 需求分析........................................................................................................................................5 Maxnet解决方案........................................................................................................................6 4.1 4.2 4.3 方案概述...........................................................................................................................6 网络概述...........................................................................................................................6 部署方案说明...................................................................................................................6
内部资料 注意保密 前言
互联网时代,特别是移动互联网的兴起,每天都有大量的新应用出现,不断吞噬着网络带宽,单纯的扩容等手段并不能很好地解决问题,反而在一定程度上加剧了应用流量的失控。流控设备作为解决网络带宽管理问题的专用设备,已经被越来越多的用户所关注和使用。随着网络技术的发展,网络环境的变化,以及使用习惯的变化等,流控已经不仅只限于在网络出口做应用流量控制,而是加强保证关键业务、提升内网用户的上网体验等方面,流控产品有着越来越多的适用领域。
比如用来实现动态带宽管理,可智能感知网络流量,根据带宽使用情况,动态调整策略,特别是在网络空闲的时候,适当允许P2P/视频应用占用更多的带宽,这样除了可以减少人为干预,减轻网络管理人员工作量之外,还可以用更少的带宽达到更好的网络访问体验,在解决带宽利用率问题的同时降低成本。
比如用来实现基于应用的分流,将P2P下载、在线视频等非关键但又占据大量带宽资源的应用从质量高(通常带宽低且贵)的链路分流到质量低(通常带宽高且便宜)的链路上,把质量高的链路资源留给时延敏感、用户关注度高的关键性应用(语音、游戏等)使用,在提高关键应用可靠性的同时降低了带宽成本,提高用户的体验质量。
比如使用流控实现基于用户的管理,从以前最简单的基于IP地址的管理,到现在的对有不同需求的用户,可针对不同的应用,进行不同等级的带宽的保障,提供差异化的服务,提高用户的网络使用体验。
比如使用流控基于应用做流量镜像,将特定应用的流量路由或镜像到其他设
内部资料 注意保密
备上,在提高业务有效性的同时为下游设备减负。例如只将需要进行病毒过滤的流量路由/镜像到防毒墙,不但比基于端口的方式更精准,也减小了防毒墙在I/O方面的压力。
比如使用流控对WLAN接入的流量进行分析,实施有针对性的管理及优化策略,特别是随着BYOD模式的普及,流控对移动终端类型及移动互联网应用的支持日渐重要;亦可对用在全网流量进行应用识别,获取不同时间段的监控结果及分析报表,为管理决策提供数据支撑。
基于以上场景,传统流控设备已无法满足当前用户对网络的管理需求,针对这样的情况,迈科网络凭借着在协议分析、应用优化等领域多年的实践经验,推出了全新的应用管理系统—Application Manager。行业背景
随着教育行业信息化的不断深入和发展,IT技术在教育行业得到广泛的应用,并极大地推动了教学、科研的水平,使得教育城域网从原来的教育、科研性质的试验网转变成教育、科研和服务并重的带有运营性质的大型网络系统。
目前多媒体视频应用已大面积普及,加之P2P应用的不断增长,教育城域网的带宽性能面临着严峻的考验。由此带来了一系列的网络问题,诸如网络蠕虫病毒爆发、P2P软件下载、网络游戏、在线视频等等,导致骨干链路的拥塞、甚至中断;特别是为了更好的向各学校提供服务,如何提高用户体验质量等。这些均是教育城域网在网络运维管理过程中面临的、亟待解决的问题和挑战。
内部资料 注意保密 需求分析
3.1教育城域网网络系统是由路由器、防火墙和交换机来组建的,而交换机和路由器对网络上各类协议和应用在能见度上显得苍白无力。管理员无法知道的运行状况,包括网络中运行的协议和应用、网络带宽的使用情况、关键应用的运行性能和状况、是否存在恶性带宽占用情况等等。因此管理员无法采取有针对性的措施来解决关键应用访问速度慢、蠕虫病毒大规模爆发、有限的带宽资源被非法占用、带宽使用效率较低等等一系列问题,严重影响了网络和关键业务应用的可用性。
3.2教育城域网用户网络规模及身份较为复杂,对核心业务应用(OA、电子邮件、http)、时延敏感的应用(VOIP、视频会议)、即时通讯、P2P、网络游戏等应用同时一视同仁,网络的使用不是根据业务应用的优先级以及重要程度来结合身份信息支配的,最终导致网络带宽被抢占资源比较厉害的诸如网络游戏、P2P应用毫无节制的使用。
这不仅降低了用户体验质量,并且由于各种非关键应用毫无节制的吞噬着宝贵的带宽资源,带来网络拥塞等严重影响网络使用的棘手问题,将严重影响网络中关键应用的正常运行和使用,一方面会使得为网络建设投入的资金得不到合理的回报,最终也会造成直接的经济损失。
3.3教育城域网络会有多个链路出口,包括资源丰富的教育网、带宽质量较高但费用较贵的电信网(南方)、联通甚至其它二级运营商带宽质量一般但费用便宜的线路,如果把所有流量一视同仁,那必然会造成对线路带宽的浪费。
内部资料 注意保密 Maxnet解决方案
4.1 方案概述
针对以上的需求,Maxnet公司凭借着在协议分析、应用优化等领域多年的实践经验,采用最新推出的AM(Application Manager)系列应用管理设备提供了针对教育行业网络出口流量管理的解决方案。
同时采用XM系列应用性能分析设备,提供对服务器及各链路的应用和网络性能分析,为教育城域网提供应用分析优化的依据等。
4.2 网络概述
教育城域网为典型架构网络,城域网提供统一的互联网出口(可能有多个,如教育网、电信、联通等),各学校通过专线接入教育城域网络中,并通过该线路接入互联网,同时教育城域网提供各类服务,如办公系统、网站、博客、视频、教育资源等多种应用。
4.3 部署方案说明
为了满足教育城域网对网络流量的管理及对各应用优化分析,建议在出口设备与核心交换之间部署一台Maxnet AM系列产品,对经过出口的互联网流量进行统一的管理,同时在服务器集群区域及各学校专线部署多台Maxnet XM系列的探针XP,XP通过镜像采集服务器区及各专线所有流量数据,并反馈到XM中,XM能够把相对独立的数据以纵横关联的方式加以组织,最终得以实现以图
内部资料 注意保密
形化的方式进行面向问题的数据展现。
通过部署Maxnet AM 及XM设备,可以实现如下:
Maxnet AM高达20Gbps的吞吐,支持多链路捆绑/不对称路由的逻辑桥组配置,提供了对多出口,大流量复杂网络环境的完善支持。 Maxnet AM智能带宽保障,通过智能检测链路的带宽使用情况,对带宽进行智能分配,高峰期可让各种P2P、在线视频保持在一个较低的运行水平以确保关键应用的流畅运行,在低谷期则可让P2P、在线视频占用空闲的带宽进行下载,避免了带宽浪费。
Maxnet AM通过启用基于应用的分流策略,可以将需要大量网络资源且带宽占用大的P2P通过TOS标记的方式进行分流,实现了各种链路的均衡使用。避免带宽利用不均衡。
Maxnet AM灵活的策略配置,可根据时间、应用、IP、用户等多达十几种对象进行灵活的策略配置,策略支持多层嵌套以提供更复杂的策略实现,满足了各种复杂流量管理策略的需求。
Maxnet AM支持1500种以上的应用协议识别和管理,并提供对VLAN、IPv6、MPLS环境下应用协议的完全识别。
Maxnet XM可实现应用系统状态分析监控,对于内网VPN/OA/MAIL/WEB服务器区域,管理人员首先可以获知各服务器的服务响应时间、交易成功率等关键指标,其次系统还可获知各服务器的流量运行趋势,判断是否会因为带宽原因造成性能问题等功能。
Maxnet XM可提供全网流量的可视化报表,对各学校链路的使用情况、链路信息、链路质量提供统一的分析汇总。
内部资料 注意保密
Maxnet XM统一、多样的报表和日志系统,提供了对多条链路上2-7层的多达20多种报表和多种日志的统一展现和查询,并且都可提供历史数据,历史报表最高精度为1分钟。可以为故障追溯、趋势分析、数据挖掘提供强有力的支持。
第二篇:沭阳县教育城域网管理应用培训
沭阳县教育城域网管理应用培训
2011年至2013年,沭阳县完成了教育现代化创建的基础工作,县教育局中心机房已经完工使用,相关硬件和软件已配套实施,学校的主要任务是对系统的学习使用,要求每个教师熟悉系统平台的功能,将资源应用到日常的教学中,实现全县教育资源的优质共享。尤其是教育信息化服务平台,教师应多传优质教育资源,多下载利用教育资源,力争本校、本县在省评比中处于前列。
一、网络电子备课系统 ★★★★★
1.系统介绍
网络电子备课系统将教学准备、教学实施、备课检查等常规的各个教学环节有机组织起来,形成定位到课堂的教案库、素材库、习题库,组建校本资源库,实现校内、校际间备课共享,备课相互评论。普通教师能够在线编辑教案,可以查看同学科同学段教师的教案;教研人员能随时检查教师教案、教学反思、教学进度,充分利用网络和教育教学现代化的设备提升区域内整体教育教学质量,促进区域教育均衡发展。
2.系统登录
(1)系统网址:内网http://10.10.110.4/xbk 外网http://218.93.239.247/xbk/(2)登录方法:输入用户名和密码,用户名由校系统管理员生成,初始密码为000000。输入用户名和密码,点击“登录”后,出现“欢迎您:***”,点击“进入系统”。
(3)第一次登录后,必须要完成密码修改和任课设置。
密码修改方法:点击“个人设置” →“密码修改” →“旧密码” →“新密码” →“保存密码”。
任课设置方法:点击“个人设置” →“任课管理” →“+设置” →“学段小学” →“学科年级” →点击学科前的加号,选择所教年级,可以多学科选择。
(4)身份类型:在创建账号时,校级管理员确定教师的身份类型,分别是“普通教师”“校级教研员”“校级管理员”,不同类型的教师登录系统的界面有所不同,功能也不同。
3.新建教案
(1)点击“我的备课” →“新建教案” →“教案位置” →“浏览” →选择“学科、年级、单元、章节” →选择“课时” →“教学目标”→“重点难点”→“教学准备”→“选择本地文件”,可以在线创建也可以本地上传→“课堂素材”,可以上传自己的课堂素材、示范课,也上传搜索他人的素材→“课堂练习” →“作业布置”→“教学反思” →“学案” →“保存教案”。
(2)点击“首页” →“新建个人教案”,步骤同(1)。4.集体备课
流程同“个人教案”,普通教师可以创建集体教案,本校同学科同选段的的教师可以共同修改完善。5.共享设置
新建教案时,可以勾选校级共享和县级共享,校级共享不需要校教研员和校管理员同意,县级共享需要同意才能实现共享,共享后的教案也可以取消共享,如果共享后的教案被删除,其他教师将无法查看。
点击“我的备课” →“新建教案” →“学校共享” →“县级共享”。点击“我的备课” →勾选教案 →“学校共享” →“县级共享”。6.县区共享、全市共享
可以搜索、查看、编辑、下载同学科同学段共享教案,可以对教案进行星级评分,也可以发帖讨论 7.在线教研
点击“在线教研” →“发帖” →“发表教研主题帖” →“附件” →“发表帖子”。
以下几点是校教研员的操作,具有普通教师权限的同时也具有其他特殊的权限。校教研员可以设置教师共享教案,可以发起备课活动,可以对教案进行检查。
8.备课活动
点击“集体备课”→“备课活动” →“新建备课活动” →“年级” →“学科” →“活动名称” →“主备教师” →“审核教师” →“参备教师” →“参评教师” →“保存信息”。
9.共享设置
点击“我的备课” →勾选教案 →“学校共享” →“县级共享”,校教研员只能操作本学科本学段老师的教案,不能操作其他学科的教案,如七年级数学教研员只能操作七年级数学教师的教案。
10.教案检查
点击“教案检查” →“新建检查” →“新建检查信息” →“设置检查人”→“保存信息”。11.在线教研
点击“在线教研” →“发帖” →“发表教研主题帖” →“附件” →“发表帖子”。12.教案评比
第三篇:赣榆县教育城域网组网技术方案
赣榆县教育城域网总体方案
1.赣榆县教育城域网络系统需求
赣榆县南起北纬4度41分30秒,北至北纬35度7分39秒,西起东经118度45分39秒,东至东经119度18分7秒,东西宽35千米,南北长40千米,面积1402.5平方米.赣榆县现有中小学370所,其中中心小学68所,68所学校中已有4所学校覆盖在中心网站中.赣榆县教育城域网在硬件结构上,是以城域网网络中心为核心,以光缆连接各学校校园网所组成的网络.教育城域网在应用功能上,要求实现资源共享、在线管理、视频会议、远程教育等。
赣榆县城域教育网的整体解决方案应包括:城域教育网中心网站网络系统方案、城域教育网应用系统平台建设解决方案、视频会议系统方案、学校基于城域教育网下校园网的网络系统方案。
赣榆县城域教育网中心网站信息点数为:进修学校10个,实验小学教学区20个,实验小学宿舍区24个,求真楼23-46个,前院楼13-22个(教育局每室1个);实验幼儿园、青口二中、教师新村在规划中,若要增加信息点数,需增加交换机,所以对教育网中心园区信息化建设要求起步比较高,需求如下:
·校区内采用综合布线连接整个园区,光纤主干千兆带宽,100M交换到桌面,·网络中心需要集中管理,对校园网划分多个虚拟网方式的网络平台,·在安全性方面保证内部各部门之间建立访问权限,不使不同部门的数据得到未经授权的访问,·采用硬件放火墙技术有效隔离、限制INTERNET上的不良信息访问,·VOD视频点播网络系统,·校园内IC卡消费系统联网,便于校方对学生的管理。
2.城域教育网的总体设想
根据赣榆县教育城域网的具体实际情况和21世纪校园网新的楷模标准,因此该校园网不只是涉及技术方面,而且要考虑到网络设施、应用平台、信息资源、专业应用、人员素质等成份的综合化以及信息化的教学环境。为此,在总体上如何筹划设计、规划组织建设和制定开发设计思想是校园网建设的最重要的问题。
总体设计是校园网建设的工程蓝图,是搞好校园网建设的核心任务。进行校园网总体设计,首先是进行对象研究和需求调查,弄清学校的性质、任务和改革发展的特点,对学校的信息化环境进行准确的描述,明确系统建设的需求;其次,在应用需求分析的基础上,确定学校校园网的服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三是确定网络拓扑结构和功能,根据应用需求、建设目标和学校主要建筑分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五,规划安排校园网建设的实施步骤。
校园网总体设计方案是否科学,要看其能否满足以下基本要求:
1、规划安排。从学校建设的全局出发,考虑部门的地理分布和通信条件。整体规划网络建设方案,对网络系统的目标、总体结构、服务功能、经费预算、建设步骤等重大问题作出规定。
2、先进性、开放性和标准化相结合。尽量采用符合国际工业标准的、比较成熟的技术,兼顾网络技术的发展方向,选择结构化、可扩充、多用途的网络产品,保证网络在较长时间内不落后。
3、结构合理,在通信网络、资源配置、系统服务和网络管理上有良好的分层设计,使网络结构清晰,便于使用、管理和维护。
4、高效实用,着眼于教学、科研、管理的实际需要,用有限的资金优先解决工作急需的问题。设备易于使用和维护。为科学研究提供先进平台,例如可视化计算,计算机协同作业,虚拟网络,虚拟现实,计算机仿真,远程计算机操作与数据处理等。
5、支持宽带多媒体业务,例如远程教学,多媒体网络教室,数字、视频转换/糅合,视频会议,远程同步交互式教学等。
6、为学术交流提供良好的环境,与CERNET、CHINANET等进行高速互连,快速访问Internet,与国内同行交流信息、协同工作和展示学校的形象。3.市教育城域网总体拓扑现状
4.教育城域网主要技术问题
网络分层
目前一般是将教育城域网划分为核心层、汇接层和接入层,对于规模不大的教育城域网,核心层与汇接层可以合在一起,以简化网络体系。但是,教育城域网的建设是一个渐进过程,网络的不同层次可能由不同的投资者分别建设,同一个层次也可能由多个投资者分别建设,如果采用这种划分方法,我们认为过于简单,不能充分反映网络建设的具体情况。因此,建议将教育城域网划分为教育城域网城域核心部分和教育城域网城域接入部分。
教育城域网城域核心部分为运营商网络,由运营商统一规划与建设,又可分为城域核心层和城域汇接层,城域核心层主要完成城域网内部信息的高速传送与交换,实现与其它网络的互联互通,而城域汇接层主要完成信息的汇聚与分发。城域接入部分可能由运营商、ISP、企业、建筑商以及物业管理部门建设,不仅仅是传统意义上提供接入的部分,而且还可能需要向用户提供本地业务。城域接入部分又分为接入汇接层和用户接入层,接入汇接层完成信息的汇接与分发,实现用户管理,城域接入部分的业务提供、计费等功能,而用户接入层为用户提供具体的接入手段。可以看出,教育城域网建设最困难的地方在于教育城域接入部分。技术体制
根据网络的发展水平和网络业务的不同,目前建设教育城域网主要有三种方式,即路由器方式(IP网络),ATM交换机方式(ATM网络)和业务路由交换机方式(多业务网络)。
第一种方式面向目前网络上占80%以上而且还将不断剧增的数据流量,利用吉比特以太网技术、IP over SDH技术、IP over DWDM技术组建纯IP技术的城域网,为用户提供基于最好努力(Best effort)、不保证服务质量的服务。
第二种方式是面向数据通信主要收入来源的专线与话音业务,采用统一的网络支持DDN、FR、话音等传统业务以及IP业务,为用户提供按需分配网络带宽、保证服务质量的服务,其中,支持IP业务可以采用IPOA、LANE、MPOA或VLAN技术实现。
第三种方式采用路由器厂商与ATM交换机厂商都普遍看好的下一代因特网骨干网络主流技术--MPLS技术,在网络边缘实现第三层灵活路由,在网络核心实现第二层快速交换。目前实际应用中,主要是第二种方式的进一步演进,即将IP业务与ATM网络无缝地结合在一起,使ATM网络全网不再需要两套地址,既能很好地支持DDN、FR、话音等传统业务,也能够很好地支持IP业务,按用户需要的服务质量提供相应的各种服务。
我们认为,在实际网络建设中,目前可以考虑采用的主要是第一种方式与第三种方式,但采用哪一种应该根据网络建设的目的、网络上各种业务流量发展趋势、经济投资等因素来决定。总体来说,可以从两个方面来进行考虑,一个方面是,如果网络模型的业务流量就是以IP为核心的应用,则应该选择第一种方式,而如果希望建设一个通用的传送平台支持包括IP业务在内的各种业务,特别是数据业务主要收入来源的传统数据业务,则应该首先考虑采用第三种方式。另一个方面是,在有条件的、IP业务量比较大的地区应该同时采用第一种方式和第三种方式,分别建设IP网络和多业务网络,以适应不同业务特点和业务发展需求,而在数据业务类型多而总量不大的地方,应采用第三种方式以满足基本的业务需求,将来条件成熟后可以进一步考虑采用第一种方式将IP业务分离开来。另外,这两种方式并不是要求完全独立的,事实上,多业务网络能够为IP网络提供接入功能和汇接功能,为用户提供更加灵活的接入方式。
接入技术
建设教育城域网的主要目的之一是为了能快速方便地为各个学校、教委提供宽带接入服务。因此,为了尽快地扩大网络覆盖面,方便用户的接入,每个运营商都根据自己的特点提出了自己的解决方案,如电信和联通提出了利用FTTx+xDSL,FTTx+LAN、无线接入等方式,广电提出了利用FTTx+HFC、FTTx+LAN等方式,其它新运营商提出了FTTx+LAN、无线接入等方式。其中,FTTx+LAN方式为每个电信运营商所看好,我们认为,这是因为,一方面,以太网技术是非常成熟的技术,应用非常普及和方便,价格也比较便宜;另一方面,伴随着高速网络建设浪潮,对信息化小区,商住大楼、学校以及大型企业单位、政府机构等高速网络的建设和接入需求会急速增加,而这些用户相对集中且接入端口很密集,可以通过LAN交换机为用户提供高密度的网络连接方案,从而能够以最少的投资,最低的资费为用户提供10 Mbit/100 Mbit/s甚至1000 Mbit/s的宽带接入,让用户享受到真正的宽带网络服务。这并不是说,这种方式就完美无缺了,要真的是这样的话,也不错,其它的方式也就不必发展了。事实上,可以想象,对于楼字和新建小区,布设五类线或超五类线是容易实现的,只要能够与楼字的拥有者或小区的投资商合作,就能够做到。而对于已建小区,是非常困难的,因为谁也不愿已装修好的房于再有所动作,此时,其它接入方式就可以各显神通了。
IP地址分配与网络地址转换
IP地址资源问题一直是Internet建设中的难题之一。随着教育城域网的建设,这个问题可能会变得更加严重,因为宽带网络的用户可能是永远在线的,特别是包月制情况下,所以在教育城域网中,除了建设初期用户IP地址可以采用公有IP地址之外,一般都采用私有IP地址,但即使如此,也应该考虑到IP地址资源是非常有限的,随着网络规模的不断扩大与用户数的急剧增长,很快会耗尽,因此,我们建议用户IP地址通过动态分配方式进行分配(IP地址既可以是私有1P地址也可以是公有IP地址)。用户访问网络资源时,从IP地址池中临时申请到一个IP地址,使用完后再归还到IP地址池中。而1P地址池,可以位于客户管理系统上,也可以集中放置在Radius服务器上。由于高速接入Internet是教育城域网的主要业务,而进行Internet访问时,用户必须使用全球唯一的IP地址,因此,在教育城域网建设中如果采用了私有IP地址,运营商应该保证其用户在使用私有IP地址时同样可以接入Internet,解决办法就是采用专门的IP地址转换设备或采用带NAT插卡的客户管理系统,将私有IP地址转换成运营商自己的公有IP地址,从而可以进行统一的Internet寻址,在网络转换设备中,私有IP地址转换为公有IP地址可以有三种实现方式,即静态方式,动态方式和复用动态方式,其中,静态方式是通过配置将一个私有用户地址与一个公有IP地址对应,用于接入外部网络的用户数比较少时;动态方式是用户接入外部网络时网络设备从公有IP地址池中选择一个空闲的IP地址与其私有IP地址对应;复用动态方式利用公有IP地址和TCP端口号来标识私有IP地址和TCP端口号,协议规定使用16位的端口号,除去一些保留的端口外,一个公有IP地址可以区分多达6万个采用私有IP地址的用户端口号,由于一般运营商申请到的公有IP地址比较少,而用户数却可能很多,因此一般都采用复用动态方式。
教育城域网是一个整体,在这个整体中,网络建设与IP地址分配应该统一规划,因此,除了在网络建设初期,由于覆盖范围比较小,用户数量比较少,可以采用分布式设置NAT之外,最好采用集中式放置NAT,以进一步减少公有IP地址的使用,节省投资,便于管理,特别是,集中放置的高端NAT设备保证了全网的网络性能几乎不受其影响。
用户信息安全
用户信息安全问题一直是IP网络中的讨论热点。在教育城域网建设中,也肯定会成为人们关注的焦点之一,事实上,在网络建设初期,用户对安全性可能要求不高,但是,随着用户数的不断上升和用户使用的业务种类不断增多,特别是电子商务的逐渐普及,用户将会越来越多地考虑到信息的安全性。
用户信息的不安全性主要是由用户处于以太网环境中引起的,因此要保证用户信息的安全性,就必须实现以太网环境下的用户隔离,目前主要采用的技术为VLAN技术,VLAN技术是由IEEE802.3q和IEEE802.1q定义的,基本思想是在传统的以太网的帧结构中加入VLAN标识,划分在一个VLAN中的用户才能互相通信,不同VLAN中的用户互相隔离,一个设备支持的最大VLAN数量为4095。在教育城域网中,在接入设备上基于设备的端口、用户MAC地址、用户IP地址或其它策略将一个用户划分成一个VLAN,客户管理系统终结所有VLAN比实现三层交换功能,并实现IP地址与用户MAC地址和VLAN ID的绑定,防止IP地址的盗用。
我们认为,采用VLAN实现用户之间的隔离,采用严格论证的方法对需要进行认证的用户进行认证和计费,应该是教育城域网建设的发展趋势。
网络管理
教育城域网网络管理的要求与因特网网络管理的要求是一样的,如支持基于WEB、TELNET、GUI和CLI的网络管理方式,支持SNMP、RMON等网络管理协议,支持带内和带外网络管理信息通道,等等。但也有其特殊性,主要体现在教育城域网中集中了多个厂商的设备,并直接面向各种不同类型的用户,因此其网络管理系统也应该支持这种特殊性,即支持与其它网络管理系统的集成,以方便地实现多个厂商设备的统一管理;支持按时长、按流量、包月制等多种计费方式或者针对不同的策略进行计费的功能,以满足教育城域网不同用户的需求。
对于如何管理教育城域网,目前有四种方式,即采用带内网络管理,带外网络管理,两种方式同时使用或者两种方式混合使用(即城域汇接层及其以上层次的设备采用带外网络管理,城域汇接层以下设备采用带内网络管理)。我们认为,从网络层次划分来看,教育城域网城域核心部分应该采用统一的管理方式,而教育城域网城域接入部分,应该根据具体情况来实现,具体来说,就是如果为运营商自己建设的网络,则由于混合方式投资少,实现快,能够满足全部管理要求,因此建议采用,如果为其它投资者建设的网络,则应该采用带内网络管理比较符合实际情况。
5.系统规划
赣榆县教育城域网总体拓扑
路由规划
基于IP的交换主要是由交换机的包交换性能来保证,全网上的IP的路由除了取决于网络上的路由交换机的三层路由包交换能力外,在很大程度上还依赖于全网上的路由规划和IP流量的取向。
一般来说,网络路由有两种情况:静态路由和动态路由。
静态路由是人为编写路由表,要求网络管理员事先了解网络路由。一经设计完成,不可自动修改。静态路由协议适用于网络相对简单,网络流量可以预测的环境及拨号备份线路。
动态路由通过算法根据网络情况实时修改路由表。每个路由器分析收到的路由更新信息,若网络已发生变化,路由软件将重新计算新的路径并送出新的路由信息。
对一个大网络来说,选择一个合适的路由协议是非常重要的,不恰当的选择有时对网络是致命的,路由协议对网络的稳定高效运行、网络在拓朴变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展都有很重要的影响。
由于我们建设的是教育城域网,使用动态的路由协议将是相当方便和必要。我们推荐在骨干的路由交换机上使用业界成熟的动态路由协议:OSPF。
IP和VLAN规划
在IP地址的分配和使用上,对于各相邻节点的交换路由器之间,如DCRS-7500与接入路由交换机之间IP的地址分配,我们尽量采用Internet广域连接方式,设备之间采用相应的掩码,保证其完整性。
内部可以采用国际标准种指定的A类私有地址网段10.x.x.x,B类私有地址网段172.16.x.x,C类私有地址网段192.168.x.x等。根据不同的学校可以考虑等分配不同的IP地址段,便于管理和控制。
核心交换机产品都符合802.1q,可以实现基于端口的跨交换机的VLAN划分,同时每个VLAN可以相应于一个或多个IP网段。为便于管理,初步的VLAN划分可按照不同的机构划分为不同的VLAN,将网络的关键服务器等划分为一个VLAN,但同样也可实现划分出基于端口的根据某些特别要求的VLAN,如从不同的职能部门摘取出来项目小组单独组成一个VLAN。针对VLAN,我们可以实现相应的VLAN间的访问控制。网络安全规划
我们认为,安全是个很复杂的问题,安全性应该作为一个整体系统来考虑。在后面我们将由整个一章来介绍我们的网络安全解决方案,在此主要说说我们关于安全的一些思想和我们理解的网络安全模型。
一般来说,网络系统网络可能存在的安全威胁主要来自以下方面:(1)操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。
(2)防火墙的安全性。防火墙产品自身是否安全,是否设置错误,需要经过检验。
(3)来自内部网用户的安全威胁。
(4)缺乏有效的手段监视、评估网络系统的安全性。(5)采用的TCP/IP协议族软件,本身缺乏安全性。
(6)未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制。
(7)应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。
针对这么多的网络安全威胁,我们有什么办法?从软的方面来说,主要是从单位管理的角度,强化人们的安全意识,并制定相应的安全政策以保护单位的各种安全,包括设备物理安全、人员具有安全方面的行为规范等。在技术上我们采用出口防火墙和上网行为管理等安全设备来解决网络安全问题。
6.教育城域网的组成 县电教馆网络中心拓扑
·覆盖全县的高速宽带IP主干网;
·有一个内容丰富的教育资源中心(包括电子图书馆、多媒体信息服务中心、大量的教研资料、课件、素材、教案、政策法规等等);
·功能强大的统一的城域网管理平台;
·以教育资源中心为中心节点,设立若干主干节点,组成主干网;
·县内各学校通过千兆光纤连入主干网;
·边远农村学校通过PSTN等方式接入;
·建立若干重点示范校园网,将其建成课件制作中心和资源分中心。教育城域网的连接方式
城域网的建设目标是建立一个高速宽带教育主干网,所有学校接入主干网,主干接点之间的连接可以租用电信现有光纤,学校与主干网的连接在初期可采取多种形式:租用光纤、无线接入、ISDN、电话接入等,最终随着光纤资源的不断丰富,建议学校都应该以光纤方式接入,其他接入方式为过度措施。
教育城域网网络结构
·主干网络技术采用千兆以太网;
·主干采用双环网络结构或环网状结构;
·主干节点选择路由交换机;
·各节点学校采用光纤的形式入网;
·广域网连接用一条1G带宽的光缆由主干交换机接入CERNET、INTERNET。
教育城域网资源中心
·交换机:采用功能强大的路由交换机;
·服务器:WEB服务器、E-MAIL服务器、数据库服务器、代理服务器、VOD服务器、磁盘阵列等;
·网络管理软件;
·操作系统;
·应用软件:WEB服务、E-MAIL服务、电子图书馆、远程教育、视频会议、教学教务管理、人事档案管理等等;
·资源库:存放大量的门类齐全的优秀讲稿、国家相关政策法规、获奖论文、素材、优秀课件等教育资源;同时存放大量经过筛选的优秀影片供广大用户点播、欣赏;
·VOD视频点播网络系统,·校园内IC卡消费系统联网,便于校方对学生的管理。学校网络中心拓扑
第四篇:教育城域网的应用现状与挑战
教育城域网应用现状与挑战
郝 云
大同市中小学信息技术教育中心 山西大同 037006
【摘要】教育城域网是推进 “校校通”“班班通”工程的助手,是架建农村远程教育工程的桥梁,是均衡地区教育差异的天平。如何更好的建设和优化现有的城域网网络架构?如何发挥教育城域网网络优势?如何更好地服务于中小学教务考务的业务应用?如何让优质教学资源走进课堂?我们从教育城域网的建设现状与面临新的挑战开始。
【关键字】教育城域网 网络应用 应对措施
一、我国教育城域网建设与发展的步伐
教育城域网的建设是推进素质教育、迎接知识经济时代的需求。目前世界各国都在加快教育现代化的步伐,其信息化程度的高低也已成为当今世界衡量一个国家综合国力的重要标志。
我国也积极投身于基础教育网络的建设工作中,2000年10月,教育部发布了教基[2000]34号文件,及《教育部关于在中小学实施“校校通”工程的通知》,该文件标志着“校校通”工程正式启动。2003年9月下发了《国务院关于进一步加强农村教育工作的决定》,决定实施“农村中小学远程教育工程”。2008年,教育部明确要求:积极发展农村中小学现代远程教育,努力推进“班班通、堂堂用”,让广大中小学生共享优质教育资源。目前,发达地区及大中城市都建有城域网,基本实现班班通,西部地区已完成农远工程,基本实现校校通。
二、教育城域网的应用现状
教育城域网建设的目的是要构建学校、区县教育局、市教育局三级教育信息网络系统,辐射全市各县区所有教育事业单位,具有现代远程教育教学、教育信息资源共享、教育教学管理信息交换等功能,实现高带宽传输的城市教育信息化,更好的服务于教学,能够利用先进的信息化手段促进基础教育教学的顺利开展。
目前,教育城域网常见的业务类型主要有 资源类:教学资源库、数字图书馆、学科网站等;
管理类:OA系统、财务系统、MIS(学籍管理、教师管理)等; 教学类:网上备课、在线学习、网上录取、在线考试等; 交流类:门户网站、BBS、Email、教育Blog、校友录等; 视频类:远程教育、视频会议、网上课堂、视频点播、直播等; 这些业务应用的普及推广,为基础教育的信息化教学提供了丰富的资源和有效手段,目前已在我国很多地区已经成熟的展开。
三、教育城域网面临的新的挑战与应对措施
随着中小学信息技术教育的普及和农村远教工程的实施,中小学校上网规模不断扩大,基层对教育网络资源和网络服务功能的需求猛增,教育城域网如雨后春笋一般的发展起来,承担着越来越重要的角色,通过对全国几个地区的教育信息化建设的调研与分析,我们发现部分地区教育城域网原有的应用服务、网络接入带宽、网络防病毒木马攻击能力以及网络结构等问题逐步显现。主要表现如下:
(1)各ISP用户访问教育城域网网速差异较大
随着地区教育城域网逐渐深入应用,越来越多的家庭用户开始关注教育网络的信息,享用教育网络的各种服务,由于同一地区的ISP(Internet Service Provider,互联网服务提供商)如电信、联通,网络传输线路隔离运营,其各有大量的用户,但运营商之间的连接带宽比较有限,就形成了部分用户访问教育城域网的瓶颈。
应对措施:教育城域网可以投资建设多条外网访问出口,采用多路路由,针对访问或来访不同网络的IP地址,智能选择最快或最短的线路。
(2)学校用于信息化建设资金投入不足
随着政府对学校信息化建设的重视,我国教育信息化的发展步伐也在不断加快,越来越多的学校把信息化建设作为促进本校实现跨越式发展的重要手段和战略选择。但与此同时,大部分学校信息技术经费短缺,信息技术教学设备不能满足教师的需求仍然是客观存在的问题。
应对措施:
1、政府加大对学校信息化建设的投资,保证专款专用。
2、通过组织校长到信息技术实验学校观摩学习,加深认识信息技术对教育教学的重要性,引起校长对信息技术的重视。
3、通过举办层次不同信息技术与课程整合的竞赛,引导教师利用信息技术手段,组织教学活动。
4、通过家长会等形式宣传,让家长认识到信息技术对孩子的学习成长的必要性,让更多的家庭参与学校举办的一些信息技术活动。
5、举办些信息技术专题,吸引公司资助建设校园网络。
(3)教育城域网缺乏统筹协调机制
部分地区采用教企合作共建教育城域网,既提升当地信息化教育水平,又解决城域网建设资金不足问题,但在技术指导、网络升级、应用扩展、售后服务等方面涉及部门多,缺少统一管理机构。
应对措施:各地区根据具体实际,进一步加强统筹协调,规范合同细则。
(4)网络维护管理工作复杂
教育城域网涉及范围广、用户数多,各个接入学校的网络结构均不相同,校园网管员水平层次不齐,必然会有很多机器缺乏有效的防范手段。病毒木马泛滥、不良网站信息频发、P2P应用等吞噬大量出口带宽,网络故障频繁发生,导致网络维护工作量大而复杂,相关技术人员成为日常的“救火队”,消耗大量的人力财力,而无法更加深入地考虑和规划信息化对教学业务的辅助。
应对措施:
1、建立网络准入认证,论坛贴吧建立实名登记;
2、增加对网络不良信息过滤设备,并对网络高带宽应用限定时间限定带宽;
3、安装网络监控管理软件,对网络故障能够及时准确定位;
4、设立网管员论坛,交流网络管理经验,定期培训校园网管员,逐步提升网管员管理技术水平。(5)部分网络服务还不能有效应用
在教育城域网中,OA系统不能广泛应用、视频会议系统成了摆设、资源库需进一步整合等网络应用服务需在人性化、智能化方面有待于进一步完善,功能需进一步增强扩展。
应对措施:教育城域网网络中心逐步培养一支城域网维护与开发技术团队,整合本地资源,带动当地信息技术应用水平提高。
综上所述,为优化教育城域网网络传输性能,充分发挥教育城域网网络优势,需要网络管理人员努力研发,社会各界的广泛支持,才能更好地服务于中小学业务应用,逐步让优质教学资源走进课堂。
第五篇:c域教育城域网多路由出口优化(修改版)
区域教育城域网多路由出口优化的探索
宝安区教育科学研究培训中心 张朝清
联系电话:***
【摘要】为有效解决多路由出口的区域教育城域网用户对互联网资源的高速访问,提高出口带宽的使用效率,本文着重探索对路由表和DNS的优化,起到一定的效果。
关键字: eBGP协议;路由表;DNS;
区域教育城域网承载着各级各类学校几万台计算机终端的互联网访问需求,为缓解网络出口的压力,区域教育城域网中心一般采用访问互联网多链路出口的方式提升网络访问速率。在访问互联网远端站点(服务器)时,从不同的出口链路到目的站点的路由跳数也不同,直接影响访问远端站点的速度。如何有效的优化各类路由,提高不同链路之间带宽的使用效率,我们在实际应用中提出以下的可行性操作策略,起到了一定的效果。
一、路由表优化
使用eBGP协议获得CERNET网内的具体路由。宝安教育城域网接入市教育城域网,同时有500M电信网络出口和1G的CERNET网络出口。
目前宝安教育城域网总出口设备的路由规则是: 默认路由指向电信出口
在总出口边界防火墙SG6000上添加CERNET地址范围的静态路由,指向市教育城域网的出口
CERNET地址范围的静态路由主要靠手工配置,在这种维护方式下,配置静态路由的工作量比较大,也容易出错。CERNET地址范围随时都有扩大更新,NS-500上的静态路由也要随之手工更新。
另外,还可以利用市教育城域网的出口访问CERNET有直接BGP互联的运营商,而不是将除CERNET地址范围的路由都指向电信出口,从而避免了CERNET带宽利用不足,而昂贵的电信带宽却造成拥塞。目前在深圳地区和CERNET有高速BGP互联的运营商有天威宽带、长城宽带等。
市教育城域网网络中心的核心出口6509维护了一份CERNET地址范围的路由表,另外还有和CERNET有直接BGP高带宽互联的运营商的路由表,通过SG6000与市教育城域网网络中心的6509建立eBGP对等关系,动态的从市教育城域网网络中心获得一份到CERNET网内以及与CERNET直连的运营商的路由表,免去了手工维护SG6000的静态路由的工作,也能比较及时的获得更优的路由,较大限度的利用市教育城域网提供的CERNET带宽。
二、DNS查询优化
建立内部提供查询服务的辅助DNS服务器。建立宝安教育城域网内部提供查询DNS服务器的原因主要是为了解决查询多域名解析网站时,得不到最优的服务器主机的问题。
当区教育VPN用户使用区教育网DNS服务器210.39.43.137时: 许多大型网站,也都有多台多运营商出口的服务器,当用户通过区教育网DNS服务器210.39.43.137去查询域名时,有些网站会返回网站服务器的网通、联通的地址(相比之下,教育网与网通、联通的互联互通要好过教育网与电信之间的互联互通),这样就导致接入学校使用电信的线路去访问网站的在网通线路上的服务器,造成访问非常慢的结果,经过测试,此种情形不在少数,例如腾讯(www.feisuxs的授权服务器仍为210.39.43.137,负责管理和解析baoan.net.cn域,在必要的时候,添加辅助域名服务器。
2.区教育VPN接入学校用户不再使用区教育网DNS服务器210.39.43.137或者电信DNS,如:202.96.134.133。
3.在宝安教育VPN内部添加一台只提供查询的内部辅助DNS服务器,该服务器同时有教育网的访问路由和电信的访问路由。
4.在该服务器上,把针对深圳教育城域网内的域名查询请求设置转发(forward),转发到相应的DNS服务器处理。
通过部署查询域名服务器,能较好的控制用户得到所访问网站的IP,确保区教育VPN内用户使用最优的线路访问外部网站。
鲁公网安备37028302000876号