申忠會

（晉城市電化教育館，山西 晉城 048000）

1 引言

互聯網的普及為教育帶來前所未有的變革，打破了傳統(tǒng)教育中時間及地域等限制，實現面向社會每一個人，并為其提供終生受教育的夢想。建設一個高質量、高帶寬、多服務、范圍廣的整體教育綜合信息網絡勢在必行。

2 教育城域網建設現狀及需求

晉城市教育城域網是教育教學專用計算機信息網絡，建成后將覆蓋全市85%以上的中小學生。教育信息中心將整合全國各地優(yōu)質的教育教學資源輸送給學校，實現優(yōu)質教學資源共享，從而整體提高中小學教學質量，縮小教育的地區(qū)差異；同時為學校提供網絡下的教學環(huán)境和個性化的網絡學習環(huán)境，實現教師教學方式、學生學習方式和學校管理模式的根本轉變；并以此擴大教育規(guī)模，拓展教學、教研和學習空間，形成多層次、多功能開放型的現代教育模式，實現基礎教育跨越式發(fā)展。

晉城市教育局2007年投資近500萬元建設了城域網的教育信息中心，市縣區(qū)7個教育局已有會聚層網絡設備和自己的局域網，部分學校已建校園網。市教育局直管學校、全市所有高中、城鎮(zhèn)初中小學“新三機一幕”(投影機、計算機、視頻展示臺、大銀幕)普遍進入教室，配備了計算機網絡教室、多功能電教室和教室綜合備課室；農村中小學在國家實施的“遠程教育工程”項目中硬件條件初具規(guī)模：計算機網絡教室、“新三機一幕”的教室、多功能電教室和教師綜合備課室等可以滿足教學需要。

實現全市范圍內的1個市教育信息中心、1個市教育局、352所學校（鄉(xiāng)鎮(zhèn)中心小學以上）、6個縣市區(qū)教育局、1個開發(fā)區(qū)共有441個單位聯網。

小學校園網以100 M鏈路接入教育城域網絡。統(tǒng)一以69個信息點進行預算設計。設有計算機多媒體網絡課室1個、多媒體綜合電教室1個，班班有“新三機一幕”，要求有完整的校園網絡。

中學校園網以100 M鏈路接入教育城域網絡。統(tǒng)一以92個信息點進行預算設計。設有計算機多媒體網絡課室1~5個、多媒體綜合電教室2個，班班有“新三機一幕”，要求有完整的校園網絡。

各教育局以100 M鏈路接入教育城域網絡，統(tǒng)一以80個信息點進行預算設計，要求有完整的局域網絡。

網絡管理要求統(tǒng)一的管理平臺，可集中管理。

因特網的連接方式為：所有城域網用戶統(tǒng)一通過市信息中心上網。

3 教育城域網建設焦點和原則

市教育城域網主要是要將晉城市所轄的六縣市區(qū)里的所有學校、教育單位互聯起來，使教育資源整合、開放、共享，達到整體信息化的集成運用的寬帶網絡。同時，教育城域網上還要支撐教育辦公自動化系統(tǒng)（OA平臺）、教育管理基礎數據系統(tǒng)（MIS平臺）、網絡教學支撐平臺等典型應用，同時也承載著電視會議系統(tǒng)及VoIP系統(tǒng)、視音頻點播系統(tǒng)、網絡監(jiān)控等多媒體系統(tǒng)應用。交換大量不同性質的業(yè)務，這就要求教育網必須是一個安全、可靠、全業(yè)務的網絡。

首先是安全。教育城域網面臨著網絡病毒泛濫、DoS攻擊、廣播包等大量的安全問題。如何在互聯網出口、數據中心和終端接入等各個層面統(tǒng)一部署安全策略，就成為教育城域網建設中首先需要考慮的問題。

其次是可靠。教育城域網業(yè)務要求越來越高，網絡系統(tǒng)的穩(wěn)定可靠也必須越來越高。在網絡建設中選用高可靠性網絡產品，設備要考慮冗余、容錯能力；合理設計網絡架構，制訂可靠的網絡備份策略，保證網絡具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運行。

第三是全業(yè)務。教育城域網建設的目的不僅僅是建成寬帶、先進、專業(yè)的高度信息共享的網絡互聯系統(tǒng)，實現普教系統(tǒng)高效率的教育政務網，同時也要實現教育教學多媒體資源的高度共享，實現信息化課程開發(fā)和多媒體網絡遠程教學。這就要求教育城域網不僅要實現三網合一的數據傳送和多媒體通訊，而且要建設統(tǒng)一的數據中心，也要建設城域網視頻聯網監(jiān)控。

因此，晉城市教育城域網的建設必須遵循以下原則：

技術先進、穩(wěn)定可靠：把先進的技術與現有的成熟技術和標準結合起來，合理設計網絡架構，保證系統(tǒng)的正常運行。

深度安全，全面防護：統(tǒng)一的網絡安全策略，保證關鍵數據不被非法竊取、篡改或泄漏。

網絡融合，多網合一：建設一個統(tǒng)一的信息平臺，包括基礎網絡平臺、多媒體應用、IP視頻監(jiān)控等。

智能管理，簡便易用：充分考慮教育城域網用戶的特點和運行的業(yè)務，通過統(tǒng)一的智能管理平臺，建設可運營、可管理的網絡，實現對城域網統(tǒng)一、有效、方便的管理。

4 教育信息中心

晉城市基礎教育信息中心是實施“校校通”工程的基礎設施，是晉城市基礎教育城域網的重要組成部分。晉城基礎教育信息中心既是全市教育信息網絡的核心，也是市教育信息中心，它由網絡管理、信息管理、教育教學資源、遠程教學等支持服務系統(tǒng)組成。基礎教育信息中心在因特網上建立教育系統(tǒng)的門戶網站，用來展示晉城教育風采、樹立教育形象、構建與外界溝通的橋梁?；A教育信息中心為全市教育系統(tǒng)提供免費的網站空間、域名、電子郵件、教育教學資源、教學論壇、遠程教學、教育電視直播、遠程辦公等服務功能。

市教育信息中心采用華為3Com公司和IBM公司的一體化互聯信息網絡解決方案和計算機設備，配備了一臺華為3Com的新一代核心路由交換機H3C S9512，通過H3C的NE20-8路由器以100 M鏈路接入互聯網。在骨干路由交換機與路由器之間放置一臺千兆的H3C Secpath 1000F防火墻和一臺H3C Tipping-Point 200E IPS的入侵防御系統(tǒng)，保障內網即教育城域網的安全性。教育城域網各網站的發(fā)布，可通過市教育信息網絡中心平臺做地址轉換。

4.1 網絡管理系統(tǒng)

網絡管理系統(tǒng)位于市教育信息中心的中心機房，它將各縣（市、區(qū)）信息中心和市直學校通過光纖匯集于中心機房的核心路由交換機實現互通，并為全市教育系統(tǒng)提供各種信息服務和網絡控制管理。

依據中心機房的網絡管理和信息服務的功能，要完成核心路由交換機、內網交換機、服務器、防火墻、入侵防御系統(tǒng)、存儲系統(tǒng)、INTERNET訪問路由器等硬件設備和網絡管理軟件、服務器操作系統(tǒng)、數據庫、郵件系統(tǒng)、視頻點播、視頻服務系統(tǒng)、網絡防病毒等軟件配置工作。16臺服務器為：

1臺作為Web服務器：設置教育城域網的網頁，網頁呈現市教育信息中心所有教育教學服務項目，是教育信息網絡的服務平臺。

1臺作為Email服務器：提供免費電子郵箱的服務。電子郵件是相互交流的重要工具，配合Outlook和其他軟件，可以實現網上辦公。

1臺作為BBS服務器：是師生互動、網上教研、教育論壇、網上調查等活動的空間。

中藥健脾方對糖尿病大鼠腎組織骨橋蛋白及腎臟病理的影響………………… 邢艷陽 李中南 邢宇婷 等（2）225

1臺作為FTP服務器：為各級各類學校提供大量資源下載的功能。FTP服務器與磁盤陣列存儲設備相連接，為全市教師教學和學生學習同在網上獲取所需各類資源服務。

2臺作為資源服務器：要承擔多媒體教學素材庫、教學課件庫、習題庫、教研資料、電子圖書館及自制資源等教育教學資源服務。

1臺作為VOD服務器：視頻點播服務器與磁盤陣列存儲設備連接，為用戶提供大量教學視頻資源。

1臺作為視頻服務器：使用組播技術，為學校提供視頻教學實況和大型教育會議轉播。

1臺專網辦公服務器：實現電教館電子辦公。

1臺作為DNS服務器：為全網提供域名轉發(fā)和解析服務，提供域名遞歸查詢，同時為網內各單位的網站提供域名服務。

1臺作為數據庫服務器：運行SQL數據庫系統(tǒng)，用于網絡的后臺數據庫支持，提供資源數據庫管理、Web數據庫管理等業(yè)務。

2臺作為域控制服務器：兩臺互為備份，提供全網的AD服務。

4.2 網絡設備選型

核心交換機選用H3CS9512路由交換機具體配置包括：1.8 m總裝機柜、路由交換機主機、2塊路由交換處理板、2個交流電源模塊-2000 W、24端口千兆以太網光接口業(yè)務板（CA）-（SFP，LC）、10個光模塊 -SFP-GE-單模模塊 -（1 310 nm，10 km，LC）、4個光模塊-SFP-GE-單模模塊 -（1 550 nm，100 km，LC）、24端口千兆以太網電接口業(yè)務板（CA）-（RJ45）、8端口千兆以太網光接口防火墻業(yè)務板（DB）-（SFP，LC）。

路由器選用H3C NE20-8具體配置：路由處理單元，256 M內存，自帶2個FE/E接口/網絡處理器單元/2端口百兆以太網高速接口模塊（RJ45），2個交流電源。

防火墻選用H3C Secpath 1000F。

入侵防御系統(tǒng)選用H3C TippingPoint 200E IPS。

IPSAN存儲選用H3C的IX1000配備16塊400GB一體化企業(yè)級SATA硬盤。

5 教育城域網建設的設計

晉城市教育城域網包括校園網、市縣區(qū)信息中心、城域網出口、IP監(jiān)控、智能管理中心等子系統(tǒng)。相應的由5個平臺組成，包括基礎網絡平臺、綜合安全平臺、智能網絡管理平臺、多媒體通訊和監(jiān)控平臺、信息中心存儲平臺。

城域網建設采用千兆以太網技術（支持IPV6），整個網絡由核心層、匯聚層、接入層3層構成，并通過租用晉城網通寬帶光纖，將市信息中心、與各縣（市、區(qū)）教育信息中心、各類教育教學業(yè)務機構、鄉(xiāng)鎮(zhèn)所在地小學以上的各級各類中小學校園網連通，通過市教育信息中心統(tǒng)一接入因特網，形成市、縣、校三級教育信息網絡系統(tǒng)。網絡核心結點1 000 M、所有的信息點100 M/10 M交換到桌面

5.1 基礎網絡平臺

基礎網絡層分為骨干層、匯聚層、校園網3級，整個網具有可運營、可管理的開放式結構。骨干層可采用RPR組網方案。網絡的核心層由骨干節(jié)點構成環(huán)網，確保網絡的可靠性以及安全性。建議采用單向2.5 G、雙向5 G的帶寬。匯聚層、路由器或路由交換機作為各區(qū)域本地教學單位、機構流量的上行匯聚。教育城域網由多個校園網構成。校園網就近接入匯聚設備，再統(tǒng)一匯總至骨干節(jié)點。

晉城市教育城域網的核心傳輸網絡可以自己租用線路構建專網或通過租用運營商的VPN服務構建虛擬教育專網。H3C S9512核心路由交換機可以構建萬兆/千兆骨干教育城域網，可提供高密度的萬兆/千兆以太網光口匯聚，支持強大的路由策略和安全策略，保證教育城域網高速有效地運行。

晉城市電化教育館由于是整個教育城域網資源中心和應用中心，建議采用兩層網絡結構，核心交換設備采用通過H3C S7506E FE電路集中中心內各辦公樓、各樓層的S5120-28C-EI二層交換機的上行流量，實現所有數據線速二三層交換，并通過核心交換機和二級交換機協(xié)同啟用訪問控制策略來控制不同用戶之間及用戶與服務器之間的相互訪問，保證網絡和信息的安全。

接入教育城域網的教育單位，根據規(guī)模大小，其核心設備可采用H3C S9505E或H3C S7506E、S5120-28C-EI等不同端口密度的3層交換機。對于沒有條件直接接入的學校，可采用其他方式接入運營商公網，并由運營商通過VPN通道接入教育城域網。各校園網內則可配置華三的不同端口密度的二層交換機，如后h3c 3600-EI、h3c 2126-EI等。

5.2 業(yè)務邏輯層

在基礎網絡建設之上，要完整地規(guī)劃教育城域網上的各種業(yè)務邏輯，完成各種業(yè)務及用戶的管理。一般建議實現：

支持多出口：一般教育網都提供中國教育科研網（CERNET）和因特網等多個出口，根據用戶需要訪問的域名動態(tài)進行出口選擇，使用者還可自由選擇不同出口上網。

支持用戶管理：支持WEB認證方式、PPPOE認證方式和802.1x等認證方式實現用戶接入網絡之前必須認證。

豐富的業(yè)務：為達到網絡增值的目的，教育城域網提供電子圖書館、在線考試、網上教學、遠程教育、學校門戶業(yè)務、資源自助業(yè)務和互聯網等多種業(yè)務。

先進的技術：教育城域網可采用先進的MPLS VPN技術，實現各學校間、不同業(yè)務間數據的安全隔離。

多接入方式的提供：考慮到邊遠學校實際線路情況和資金情況，除了選擇以太網接入手段、光纖接入網、FTTX+LAN接入方式、無線網絡接入方式（CDMA2000或TD-SCDMA），可以考慮利用一線通（ISDN）、ADSL、VDSL以降低投資。

5.3 綜合安全管理平臺

綜合安全管理平臺分為桌面安全、端到端傳輸安全、應用安全、數據安全四大部分。

安全防御系統(tǒng)集成SecBlade系列AFC（流量清洗中心）、防火墻、IPS（入侵防御系統(tǒng)），實現對數據中心的全方位安全防護。AFC對鏡像的外部訪問流量進行檢測，當發(fā)現有DDoS攻擊時，采用動態(tài)路由技術牽引攻擊流量并加以清洗，在不影響正常業(yè)務的同時，徹底清除DDoS攻擊流量；SecBlade萬兆防火墻集成了包過濾和狀態(tài)檢測技術，防范入侵者越權訪問獲取敏感信息；IPS集成入侵檢測與防御、病毒防護等功能，精確實時地識別并防御蠕蟲、病毒、木馬等網絡攻擊，防止攻擊者對數據中心的破壞，保障敏感數據不被竊取以及業(yè)務的持續(xù)運行。

智能管理iMC（Intelligent Management Center）華三的統(tǒng)一網管軟件h3c iMC后，使設備和網絡的管理更容易，減輕網管人員的工作量。