陕西省中职校园网建设技术交流会 -数字化校园网3+N+1解决方案 锐捷 薛红卫
目 录 Contents 中职数字化校园网应用现状 中职数字化校园网架构 中职数字化校园网3+N+1解决方案 中职校园网成功案例
数字化校园的应用现状 教学管理 特色应用 行政管理 数字广播 多媒体教学 备课系统 教学资源库 远程教育 学籍管理 多媒体录播系统 VOD …… 特色应用 电子巡考 网上阅卷 平安校园 数字图书馆 家校互联平台 教育博客 网上辩论赛 同步课堂 网络教育电视台 行政管理 OA办公 电子政务平台 门户网站 一卡通 资产管理 财务管理 人事管理 视频会议 学生综合素质平台 学校信息化应用 锐捷网络在全国做了近2万个的中小学项目,同时,进行大量的现场调研工作,根据目前学校业务应用的使用情况,大体上把业务系统分为3类,教学管理、行政管理及特色应用等。我们先看最右边的行政管理,包括OA办公、一卡通、人事管理、财务管理等,行政管理中的业务系统有什么特点呢?行政管理中的业务系统的服务端大部分在信息中心,学校作为客户端使用,主要是为了提高行政管理的效率;最左边的为教学管理的业务系统,包括数字广播、备课系统、多媒体录播系统等,教学管理中的大部分业务系统各个学校都会独立建设,主要是为了提高教学管理的质量 ;实际上,我们发现,行政管理和教学管理的业务系统基本上各地都已经建设了,差别在于,特色应用中的业务系统各个学校根据自己的情况建设的侧重点不一样。我相信,大家可能听过,内地与香港成立了VCHINA项目,比如北京101中学、南海中学与香港中学开展的vchina合作项目,比如在学校之间,老师会定期进行学术交流,学校每个季度都有网上的实时辩论赛,包括中文和英文的网上辩论赛。还有深圳宝安中学与内地很多学校进行的同步课堂,深圳的老师在教室上课,鄂尔多斯的学生能实时看到,鄂尔多斯的学生举手,深圳的老师能很好的进行互动。 实际上,很多重点学校都建立了这些业务系统,学校的信息化水平发展很快,那么,在2010年,全国各地的数字化校园都有哪些热点呢,他们是怎么考虑的呢? 8 3
2011年数字化校园建设的热点 无线校园网 多业务网融合 统一信息门户 实名制的校园网 2011年数字化 校园建设热点 无线校园网建设 IP数字校园网承载网络 2011年数字化 校园建设热点 统一信息门户 实名制的校园网 实名制的校园网 单点登陆、SSO www.themegallery.com
热点一:无线校园网 为什么要建无线校园网? 在哪些区域建设无线校园网? 无线网络的性能和稳定性逐渐提高,成本逐渐下降 对于很多老的教学楼有线部署困难,采用无线接入 笔记本用户越来越多 无线视频监控的应用、三网融合 无线校园网方便整个学校师生的使用 在哪些区域建设无线校园网? 重点学校可能实现整个学校的无线覆盖 普通学校可能覆盖会议室、图书馆、阶梯教室、备课室等人员流动大 的公共场所 同一个无线账号在不同的区域上网具备不同的权限 首先,看一下,热点一,无线校园网,在与客户沟通中,我总会问到,您为什么要建无线校园网,您是怎么考虑的?客户告诉我,一般新建校区都会建立无线校园网,这是个趋势,不再考虑,要不要建无线校园网,而是考虑无线校园网应该怎么建设? 那么,为什么要建无线校园网呢?大家有这几个方面的考虑,首先,无线网络的性能和稳定性逐渐提高,成本逐渐下降;其次,对于很多老的教学楼有线部署困难,采用无线接入更方便;另外,笔记本用户越来越多;考虑到未来的无线视频监控的应用、三网融合等等,一个目的,无线校园网主要是方便师生的使用。 在哪些区域建设无线校园网呢?重点学校可能实现整个学校的无线覆盖,普通学校可能覆盖会议室、图书馆、阶梯教室、备课室等人员流动大的公共场所 同一个无线账号可在不同的校区上网,在不同的区域具备不同的权限,比如,方便参观人员,可能具有很少的权限。 移动计算、手持终端、笔记本无处不在 数字化校园,不需要信息盲区 新技术、新设备、新体验多种多样 以无线代表的新技术,如3G、校园GPS、wifi、PDA等移动终端层出不穷
IP数字校园网 热点二:多业务网融合 多业务网融合趋势和建设: 1)数据网 2)语音通信网 3)监控网 4)一卡通网 5)门禁监控网 6)广播网 IP数字校园网 热点二,多业务网融合。 什么叫多业务网融合?多业务网融合是指,将数据网、语音通讯、视频监控、一卡通、门禁、广播等网络全部运行在IP网络上,实现各种业务的融合。 实际上,现在学校的校园电视台、广播站、校园视频监控系统都分别使用单独的网络,从09年下半年开始,越来越多的学校开始选择把一卡通、视频监控网、广播网等都开始运行在IP校园网中。 在与客户沟通的过程中,我问到,三网融合提了很多年,为什么在2010年要搞多业务融合? 重庆沙坪坝的客户告诉我,前段时间学校出现砍杀学生的暴力事情后,除了增加安保人员外,还需要建立校园网视频监控,他们准备把全区的校园视频监控系统,建立在IP网络上。考虑多业务融合,主要有3个方面的原因: 1、这样做降低了校园网信息化建设的成本 2、降低了管理的难度,只需要管理一张网络 3、国家宏观政策的要求和趋势,国家在10年明确提出了三网融合,多业务融合是趋势 会议电视 协同办公 视频电话 多媒体培训 IPTV 6
热点三:实名认证的校园网 为什么要实名认证及日志审计? 实名认证&日志审计的情形 不良言论 宏观政策 法律意识 校外的用户访问学校的资源 校内有线的用户访问 internet的实名日志信息记录 无线用户访问internet的实名日志信息记录 热点三:实名认证的校园网 互联网发展非常迅猛,现在,网上舆论的影响力越来越大,甚至很多地方出现网络问政等,国家相关部门对网络实名认证越来越重视,比如,近期商务部刚刚提出的网上开店需要实名。 为什么学校也要搞实名认证上网呢?重庆一中的老师告诉我,他要这样做,主要有3个方面的考虑 1、若用户在网上发表不良言论,比如发帖攻击政府或学校领导或教育局领导等等,影响学校的形象,需要做到记录他们访问internet的日志信息; 2、需要符合国家政策的要求,公安部的82号令,教育部基教一司对中小学校园网的安全要求。 3、让学生不能访问不良网站,同时,让学生树立法律意思,在网上不是说能发帖就能发帖的,这是要负责任的。 哪些情况需要做实名认证和日志审计呢? 访问学校的内部资源,希望能记录到访问的信息;不管通过有线或无线上互联网,都希望能进行相关信息的记录。
热点四:统一信息门户 为什么要统一门户? 怎么样实现统一门户? 门户网站的单点登陆 多个业务的数据共享统一平台的建设 N个业务系统 管理麻烦,难以共享 热点四:统一信息门户、单点登陆 在重点中小学,特别是非常好的重点中小学,比较关注统一信息门户、单点登陆。 为什么要统一门户、单点登陆呢?各个学校的业务系统非常多,老师需要记录多个账号密码、非常繁琐,影响了业务系统的使用,也影响了新业务系统的推广,师生使用业务系统的体验不好。上面有部分截图,宝安中学已经实现了统一门户、单点登陆,深圳中学正准备做统一门户、单点登陆系统。 怎么样实现统一门户? 门户网站的单点登陆 多个业务的数据共享统一平台的建设
数字化校园建设标准不统一,不知道如何建设? 数字化校园如何建设? 无线校园网 多业务网融合 IP数字校园网承载网络 数字化校园建设标准不统一,不知道如何建设? 统一信息门户 单点登陆、SSO 实名制的校园网 为什么各地的数字化校园建设的热点和考虑不一样呢?实际上,数字化校园建设没有一个统一的标准,数字化校园到底应该怎么建,大家是各有各的理解,八仙过海,各显神通。下面有2张图,实际上,各地每年都会有数字化校园建设的研讨会,那么,数字化校园到底应该如何建设呢?
数字化校园的建设阶段 建设原则:总体规划、分布实施、全面发展、持续优化 有线网络、无线网络、数据中心、网络出口 数据结构标准、开发标准、工作流管理、统一数据库 第四阶段:数据集成 趋势:从服务于师生到服务于公众 统一身份认证、应用门户、学籍管理、财务管理、 电子政务的应用集成 第三阶段:应用集成 趋势:从应用层认证,到网络及应用的统一认证 电子邮件、OA办公、一卡通系统、数字图书馆 多媒体录播系统、网络和信息安全、运维管理 第二阶段: 系统集成 首先看看数字化校园建设的四个阶段,网络集成、系统集成、应用集成、数据集成共四个阶段。 第一阶段网络集成,已基础网络建设为主,普通中小学,更多的是在网络集成这一阶段,考虑的是基础网络如何建设,有线怎么建,无线怎么建等等; 第二阶段系统建设,以服务于系统建设为主,大部分重点中小学在这一阶段,考虑的是业务系统如何建设,比如一卡通刷卡,是要控制门禁、消费,还是电梯控制,多媒体录播系统怎么建设,怎么样监控这些业务系统的运行,业务系统的数据安全怎么保证等等。 第三阶段应用集成,主要是做统一身份认证平台、单点登陆系统等,信息化做的比较好的重点中小学在考虑做应用集成,如何把有线、无线、远程VPN接入等各种接入方式统一纳入一个平台进行管理;多媒体录播、OA、视频监控等业务系统实现单点登陆。 第四阶段:数据集成,主要是实现数据开发标准、数据结构的统一,实现各个业务系统间的数据实时共享,由于数据集成涉及到应用系统的大量开发工作,周期长,投入大,目前,应用集成这块做的很少。 根据数字化校园建设的四个阶段,可看到,每个阶段的侧重点不同,建基础网络、业务运维管理平台、安全控制、身份认证平台、单点登陆等等,那么,数字化校园建设到底应该怎么做,有没有一个很好的架构支撑呢? 趋势:从行政管理到教学管理,从单一系统到多个系统 有线网络、无线网络、数据中心、网络出口 第一阶段:网络集成 时 间 轴 趋势:有线网络---无线网络---安全控制—多业务融合
目 录 Contents 中职数字化校园网应用现状 中职数字化校园网架构 中职数字化校园网3+N+1解决方案 中职校园网成功案例
3+N+1数字化校园的总体架构 数字化校园建设标准体系 数字化校园运行管理保障体系 学生 教师 领导 家长 公众 统一信息门户 1个门户网站 应用系统聚焦 单点登陆漫游 个人桌面定制等 数字化校园建设标准体系 数字化校园运行管理保障体系 业 务 系 统 教学教务 特色应用 行政管理 多媒体录播系统 网上阅卷 OA办公 N个业务系统 教学资源库 家校互联平台 人事、财务管理 数字图书馆 网络教育电视台 一卡通系统 备课系统… 网上辩论赛… 视频会议… 公共认证平台 应用管理 用户认证管理 权限管理 数据交换 应用支撑平台 3个基础平台 目录服务 域名服务 信息安全 运维管理 故障关联分析 基础设施平台 数据库 网络 存储 中间件 安全设备 客户端 服务器
基础设施平台—提供高稳定、高性能的基础平台,保障业务顺利开展 基础硬件平台是信息系统基础,信息系统日益完善和复杂,对硬件平台性能、智能、安全、环保节能等提出了更高要求 办公区域、计算机教室、电子阅览室、多媒体录播教室需要什么样的设备支撑? 录播系统、视频会议、网上阅卷系统、行政办公、视频监控系统需要什么样的网络支撑? 有线网络、无线网络、远程安全访问在校园网中应该如何设计? 基础设施平台要解决什么问题呢?网络平台作为基础设施平台的核心组件,需要提供高性能、高稳定的基础网络平台。比如,学校访问教育城域网或internet的资源时,能自动选路,提高带宽的利用率,速度快,保障用户的良好体验;出现异常能自动隔离,出现问题时能快速故障定位等等。 智能防御 环保节能 性能带宽 数据安全 硬件构架 智能安全
业务支撑平台--可视化的IT运维监管体系,为学校信息化出谋划策 信息化业务系统建设的效果怎么样,如何可视化的展现信息化成果? 校园信息化建设资金如何投入,升级改造有没有依据? 中小学人员少,技术力量薄弱,如何快速定位故障,保障师生正常使用? 跨厂商多协议管理能力 交换 存储 计算 路由 身份 数据 安全 基于SOA架构的开放管理服务 IP环境统一 管理信息模型 IP环境资源安全和性能评价模型 IP 基础设施抽象层 IP基础设施 实时运行对象库 业务可用性管理 业务性能管理 业务资源管理 业务状态可视化 业务用户管理 业务风险管理 业务系统模型管理 校园网的运维管理要解决什么问题呢? 中小学的现状是 ,学校的设备多,系统多,问题多,人员少?如何解决?设备多包括交换机、防火墙、存储、服务器、PC、电话、电子白板等,系统多包括OA系统、邮件、课程管理系统、多媒体录播系统等,人员少,一般只有1-2个信息技术老师进行相关的管理维护工作,如何保障保障学校信息化的应用稳定运行呢?实际上,业务支撑平台的运维管理部分需要解决三个方面的问题。 1、当领导或兄弟单位进行参观时,能可视化的展示学校信息化的成果。 2、实时了解信息化建设的现状,为学校升级改造提供支撑 3、帮忙快速定位故障,解决日常管理维护问题。
业务支撑平台--全方位的立体安全保障体系,为学校信息化保驾护航 如何满足公安、上级部门的安全检查要求? 学校的门户网站、资源系统被挂马或被篡改? 拿根网线就能使用学校的校园网,接入不可控,安全隐患怎么解决? 老师需要使用更多的internet资源,学生尽量只能访问相关的教育资源,避免访问不良网站,怎么区分老师和学生的访问服务? 安全不是孤立的,如何形成整体安全体系? 业务支撑平台主要包括两大块内容,安全及运维管理。校园网的安全要考虑哪些方面呢? 如何满足公安、上级部门的安全检查要求? 学校的门户网站、资源系统被挂马或被篡改? 拿根网线就能使用学校的校园网,接入不可控,安全隐患怎么解决? 老师需要使用更多的internet资源,学生尽量只能访问相关的教育资源,避免访问不良网站,怎么区分老师和学生的访问服务? 安全不是孤立的,如何形成整体安全体系? 业务支撑平台的安全部分主要是打造“全方位的立体安全保障体系”,为学校信息化保驾护航 15
公共认证平台—提供统一的身份认证平台,保障身份信息 有线、无线、VPN等网络设备的接入用户分散,各自为政,存在单点风险,怎么规避? 老师可访问internet视频资源,学生只能访问教学资源视频,如何区分访问身份和权限? 公共认证平台要解决什么问题呢? 有线、无线、VPN等网络设备的接入用户分散,各自为政,存在单点风险,怎么规避? 老师可访问internet视频资源,学生只能访问教学资源视频,如何区分访问身份和权限? 教育部准备建立校舍、教室、老师、学生、经费、仪器等五大基础数据库,基础信息数据库的信息如何与学校网络、各种信息化应用相结合? 公共认证平台主要提供统一的身份认证平台。
统一门户、单点登陆---保障用户良好体验,提高用户的满意度 师生信息化水平相对较低,信息化业务对用户不友好? 统一门户:建立统一的个性化门户,为校园网上的所有用户提供单一的访问入口点,用户进入门户后,除了可以看到公共信息外,只能看到与其身份相称的各项服务,个性化网络门户体现以人为本的用户环境。 单点登陆:OA办公系统、人事管理、财务系统、学籍管理、课程管理、资源系统等多套业务系统、多套账号密码,使用繁琐,师生通过单点登陆实现零散的业务系统进行统一认证,保障师生的良好体验,提高师生对学校信息化的满意程度。 统一门户、单点登陆要解决什么问题呢? 多套业务,多套账号密码信息,记不住业务系统的地址、账号及密码,很繁琐,怎么办? 师生信息化水平相对较低,信息化业务对用户不友好? 统一门户:建立统一的个性化门户,为校园网上的所有用户提供单一的访问入口点,用户进入门户后,除了可以看到公共信息外,只能看到与其身份相称的各项服务,个性化网络门户体现以人为本的用户环境。 单点登陆:OA办公系统、人事管理、财务系统、学籍管理、课程管理、资源系统等多套业务系统、多套账号密码,使用繁琐,师生通过单点登陆实现零散的业务系统进行统一认证,保障师生的良好体验,提高师生对学校信息化的满意程度。 统一门户、单点登陆---保障用户良好体验,提高用户的满意度 多套业务,多套账号密码信息,记不住业务系统的地址、账号及密码,很繁琐,怎么办?
目 录 Contents 中职数字化校园网应用现状 中职数字化校园网架构 中职数字化校园网3+N+1解决方案 中职校园网成功案例
数字化校园3+N+1架构图 … … … 实名审计 实名的访问权限控制 统一信息门户 单点登录平台 网络及应用的单点登陆 公共认证平台 应用支撑平台 校园网出口 INTERNET e-portal 网络系统 ESS简单安全系统 RIIL 网络管理系统 E-log审计系统 SSO统一门户 RG-EG 1000E 实名流控 万兆线路 RG-8606 RG-WG 1000 千兆线路 服务器区 无线交换机 RG-WS5302 校园网核心区 百兆线路 这是重点中小学数字化校园3+N+1解决方案的整体拓扑图,锐捷网络对3+N+1的架构是如何理解及支撑的? 一、基础网络平台包括有线、无线、核心平台、网络出口; 二、公共认证平台:有2个核心组件,RG-ESS及RG-Eportal,通过有线、无线、VPN等各种方式的统一实名接入,实现网络层的实名认证 三、业务支撑平台:有2个核心组件,RILL及ELOG,通过接入交换机、无线设备、出口设备等相互联动实现,实现整体安全;通过RILL实现整体业务的运维管理. 四、统一门户、单点登陆:有个核心组件RG-SSO,通过SSO实现各种业务系统的单点登陆。 从这四个方面实现数字化校园的3+N+1的整体架构 基础设施平台 RG-S5750 RG-S5750 RG-S5750 … … … RG-S3250P-24 RG-S2300 RG-S2300 实名认证 实名认证 RG-AP220 实名认证 高速智能无线接入 有线接入 有线接入
数字化校园3+N+1架构—基础设施平台 基础网络平台 应用支撑平台 公共认证平台 统一信息门户 VSU 无线 立体安全 运维体系 下面先看“基础网络平台” 公共认证平台 统一信息门户 多种接入方式的统一认证 信息门户 应用层与网络层的单点登陆
基础网络平台 基础网络平台的考虑 智能可靠的核心平台 智能安全的网络出口 智能接入 智能网络管理 基础网络平台 锐捷网络对基础网络的平台是如何理解的呢? 因为所有的业务数据都要经过核心,首先要高可用,就是稳定。从点、线、面支撑高可用,设备本身的硬件架构设计如无缘背板、双风扇、双电源保障高可用;采用双链路、双核心的拓扑。其次是,智能,就是出现问题时能自动检测和恢复。 智能安全的网络出口是什么意思?首先要能智能转发,解决连通性问题;其次是智能带宽优化,保障关键应用;再其次,就是控制安全风险,智能安全解决URL过滤及防治服务器的网页被篡改或被挂马的问题。最后,才是统一管理出口设备,实时观察出口的健康情况,做到出口的可视化。 智能的接入是什么意思呢?智能接入包括有线接入、VPN接入、高速智能的无线接入;接入交换机的基本安全:避免DOS攻击、DHCP snooping、ARP欺骗等问题,同时,要方便可网管,中小学专职的信息人员较少,需要对接入交换机进行统一的网络管理;VPN接入解决学校老师或学生在校外访问校内资源的问题,同时,方便学校信息老师远程安全管理学校的服务器和业务系统;有随时随地的接入网络,还要有远程可以随时访问的教学资源库、数字读书馆等数字资源。 智能的网络管理:针对网络设备的统一管理,快速故障定位,方便日常维护管理。 基础网络平台除了要考虑这四个方面,还有两点要注意的地方,核心和无线的技术选择。 8 21
稳定:虚拟交换云单元VSU—拓朴简化、极速切换 核心层 接入层 简化网络层次,方便老师管理 避免数据流量大时,传统的STP协议无法正常工作的问题 出现故障时,毫秒级的切换,不影响实时的视频会议、视频点播系统 提高了设备和链路的利用率 目前重点中小学的核心平台一般采取3层网络架构;双核心+汇聚双链路是目前保证核心高可靠的常见模式,这种组网方式,通常通过VRRP+MSTP技术实现,有3个方面的问题: 1、避免数据流量大时,传统的STP协议无法正常工作,出现网络震荡的问题。 2、设备和链路利用率低 3、切换切换时间长,会影响视频会议、视频监控等实时性要求高的业务系统 网络的虚拟化技术解决这些问题,通过把2台设备虚拟化成1台设备,提高了网络的稳定性,简化网络层次,方便管理。
高速:无线网络的802.11n接入 3X3 MIMO 高性能 CPU CPP 技术 采用业界性能最高的3X3 MIMO芯片架构,覆盖范围较802.11g提高50%,较2X2、2X3芯片架构提高20-40%。 高性能CPU提供的小包数据的线速转发,适用于P2P、网络视频和网游的应用。 锐捷独有的CPP技术,在802.11n的大数据流情况下提供对CPU的保护,保证在线用户的CPU资源利用率。 3X3 MIMO:提高单个AP的信号覆盖范围和信号质量。 高性能CPU:解决802.11n环境下大容量、高带宽需求的业务涌现,如视频点播,多媒体互动教学,精品课程等应用 CPP技术:解决会议室、电子阅览室等上网人群密集区域,因CPU资源分配不均而导致的网络延时和用户掉线的问题。 无线网络建设用户首要考虑的是什么?无线的稳定性和性能,11N的技术能解决这些问题。 为什么要选择11N呢? 1、支持11N的无线产品,覆盖范围更强,比传统的11g产品提高了50%,性能更高,11g产品实际只能跑到20-30M,而11N的产品实测能能跑到200M左右,性能可满足无线视频应用。 2、无线网络的技术标准要考虑到先进性和实用性,建议必须支持WIFI 802.11n(保持先进性,避免刚建成即落后之尴尬)、必须兼容WIFI 802.11a/b/g(广泛适用与兼容性); 23
数字化校园3+N+1架构—应用支撑平台 基础网络平台 应用支撑平台 公共认证平台 统一信息门户 VSU 无线 立体安全 运维体系 多种接入方式的统一认证 信息门户 应用层与网络层的单点登陆 www.themegallery.com
以业务为单位来管理IT基础设施 信息化业务系统建设评估 为升级改造提供依据 快速故障定位 校园网的运维管理,管理到什么程度?设备?流量?应用? 当上级领导来视察时,如何把教育信息化的成果直观的展现出来? 设备多,系统多,问题多,人员少?如何解决? 应用支撑平台的运维管理需要解决什么问题呢?校园网的运维管理,管理到什么程度?设备?流量?应用?当上级领导来视察时,如何把教育信息化的成果直观的展现出来,做成PPT汇报?还是带领导去机房参观?设备多,系统多,问题多,人员少?如何解决?基于这些问题,锐捷网络提出了以业务为单位来管理IT基础设施的思想。 首先,看这张关系图,中间位业务,上面为各用户,下面为相关的硬件基础设施,包括服务器、存储、数据库、中间件等,统一称为“资源”。三层结构之间的动态关联有利于故障快速定位,如果业务系统出现问题,就能知道受影响的用户,同时,也能知道可能是什么资源引起的问题。如果资源出现问题,就能知道影响什么业务,从而知道对什么用户会造成影响。 下面看一下系统具体界面? 信息化业务系统建设评估 为升级改造提供依据 快速故障定位
通过大屏幕,构建学校全业务系统网管中心,对外参观,演示 非常适合匹配高清大屏幕来构建数字校园运行监控中心 Touch-Flow风格的管理界面 8 26
锐捷IT监控管理系统服务 IT监控管理系统(RG-RILL)服务 网络资源发现 拓扑管理 网络设备管理 告警管理 故障关联分析 IP-MAC管理 应用系统管理 关键业务管理 日志管理 报表功能 通过IT监控管理系统(RG-RILL)服务可以帮学校实现: 将主机、网络、安全产品、数据库、中间件、web服务、集群系统、存储设备、机房环境的状态和性能进行实时监控, 帮助学校实现IT基础设施管理自动化、可视化、降低管理复杂度,提供主动监控能力。
数字化校园立体安全 数字化校园安全保障体系 业务应用安全 统一门户 业务数据安全 业务安全 用户终端安全 用户准入安全 公共认证平台 用户安全 用户访问安全 日志安全-实名审计、实名认证 为了业务系统的稳定的运行,数字化校园的业务支撑平台的安全需要解决四方面主要的安全,网络基础安全、以实名为核心的安全、以用户为核心的安全、以业务为核心的安全。下面,仔细看看四个方面的安全,基础安全包括设备安全及网络安全;以实名为核心的安全,包括行为安全,你能不能在网上做什么事,如学生不能访问不良网站,老师在学校可以上土豆网上看视频,学生不容许。以用户为核心的安全,包括用户能不能接入校园网,电脑有没有安装杀毒软件或系统补丁有没有更新等等。业务安全包括业务系统的安全,不能被挂马或攻击,数据不能被篡改等。 应用支撑平台 行为安全-实名流控、实名绑定 实名日志及行为安全 设备级安全 基础设施平台 网络级安全 基础安全
基础安全 NFPP模块联合CPP模块,在安全防护设备的同时隔绝了非法源头,防止不安全数据的扩散。 CPP模块 NFPP模块 设备安全及网络安全,包括设备本身的安全特性及ACL、端口安全等很多方面,在这里,我主要谈谈CPU安全保护技术。我们知道,在网络中发生攻击或病毒的时候,网络设备的CPU利用率急剧上升,引起设备和网络的不稳定,CPP和NFPP技术能做到当网络中出现异常流量进行安全攻击事件时,自动进行隔离,保障用户安全稳定的使用网络。 信息产业部对CPP技术进行了测试,结论是…………由此可以看出CPP可以提高交换机抗攻击能力和保护网络拓扑与路由协议的稳定性 NFPP模块联合CPP模块,在安全防护设备的同时隔绝了非法源头,防止不安全数据的扩散。 8 29
以实名为核心的安全 … … … 统一信息门户 单点登录平台 公共认证平台 应用支撑平台 实名日志审计 校园网出口 实名认证 实名流控 INTERNET e-portal 网络系统 ESS简单安全系统 RILL 网络管理系统 E-log审计系统 SSO统一门户 RG-EG 1000E 实名认证 实名流控 万兆线路 RG-7806 RG-WG 1000 千兆线路 服务器区 无线交换机 RG-WS5302 校园网核心区 百兆线路 实名认证 实名流控 实名访问权限控制 实名审计 以实名为核心的安全包括4个方面,实名认证、实名的访问权限控制、实名的流控及实名日志审计。实名认证,不管你是通过学校的办公室的有线网络、还是会议室的无线、在家通过VPN访问,都需要进行实名的认证,避免各种网络设备的各自为政,存在安全风险;实名访问权限控制,老师在学校里可以在网上看世界杯,学生不行;实名流控,给老师这个账号分配5M带宽,学生分配1M带宽;那么,无论老师在办公室、计算机教室还是电子阅览室,哪怕使用的是同一台机器同一个IP,老师的带宽就是5M,学生就是1M,保障有效合理的分配带宽。实名日志审计,师生访问internet的日志都能自动进行记录,自动和师生的实名信息、IP等自动绑定,满足公安及上级部门的检查要求。 基础设施平台 实名访问权限控制 RG-S5750 RG-S5750 RG-S5750 … … … RG-S3250P-24 RG-S2300 RG-S2300 实名认证 实名认证 RG-AP210 实名认证 高速智能无线接入 有线接入 有线接入
用户安全-全局安全网络 让正确的人 使用健康的主机 访问安全的网络 做规范的事 安全策略管理体系 网络通信防护体系 主机安全防护体系 用户网络访问你可追溯-访问安全 网络通信防护体系 网络访问权限控制-访问安全 主机安全防护体系 用户安全,包括用户身份的安全、主机安全、网络安全、安全策略管理等4个方面;用户身份的安全,是指用户以实名接入网络,只有经过实名认证的用户才能使用网络;主机的安全是指只有终端主机本身是健康的,比如安装了杀毒软件,打了最新补丁,才容许接入网络;网络的安全是指在网络中的数据要合法,不能有攻击或异常;用户访问的安全,是指你在网络中的访问可追溯,出现攻击可定位到人。以用户为核心的安全的设计理论是,保障“让正确的人,使用健康的主机,访问安全的网络,做规范的事情。” PC接入网络时本身是安全的-终端安全 用户身份管理体系 用户以实名制接入网络-准入安全 31
应用安全—WebGuard应用保护系统 解决学校的网页防篡改和防挂马,避免公众事件发生 DDSE深度解码扫描引擎 防御网页篡改 站点隐身无法获取 服务器信息 虚拟补丁保护操作系统、 数据库、Apache服务 平台 对在部署WebGuard 前已挂马站点监控诊断 对未挂马的Web站点 检测过滤嵌入式程序 保护WEB服务器 防止网站挂马 COOIKE保护 关键字过滤 访问报表 黑白名单 实时拦截ASP、PHP后门 扫描WEB交互代码 扫描WEB上传附件 内置防病毒网关 网站运维平台 应用的安全通过锐捷网络的web安全防护系统进行安全保护,解决学校的网页防篡改和防挂马,避免公众事件发生。 易部署 解决学校的网页防篡改和防挂马,避免公众事件发生
数字化校园3+N+1架构—公共认证平台 基础网络平台 应用支撑平台 公共认证平台 统一信息门户 VSU 无线 立体安全 运维体系 多种接入方式的统一认证 信息门户 应用层与网络层的单点登陆
校园网的有线和无线统一认证 每个用户有线网络和无线网络使用同一份身份信息 每个用户有线网络和无线网络使用同一套账号密码 有线无线统一拓扑管理 通过建立校园网公共认证平台,可实现有线、无线的统一认证,每个用户有线网络和无线网络使用同一份身份信息,每个用户有线网络和无线网络使用同一套账号密码。同时,可以实现有线无线的统一拓扑管理、批量配置及有线无线的健康健康及实时告警等功能。 有线用户、无线用户可以实现统一身份认证、同一身份库,那么,老师在校外远程访问的VPN用户呢? 有线无线统一拓扑管理 设备的批量配置与控制 无线网络健康度监控 价值标签:
认证计费管理:RG-SAM Portal服务:RG-ePortal 校园网的有线、无线、VPN统一接入认证 CERNET 校园网的网内和网外一体化 每用户网内网外同一份身份信息 每用户网内网外同一套账号密码 统一的认证管理平台 同时支持IPSec VPN的客户端认证和SSL VPN的Web认证 基于用户身份的网络资源访问权限管理 校外VPN 认证准出网关 RG-ACE 认证计费管理:RG-SAM Portal服务:RG-ePortal VPN网关 校园网 无线交换机 RG-WS系列 安全接入交换机 RG-S26、29系列 无线AP RG系列 先看看,哪些用户需要远程访问校园网的资源? 在外出差的各级领导,需要远程使用学校的业务系统;在外出差的师生,远程访问学校的图书馆、备课系统等;有合作关系的兄弟单位,通过VPN访问或下载共享的教学资源库等等 通过学校内的有线、无线、校外的VPN用户,使用统一的公共认证平台,每用个户网内网外同一份身份信息、同一套账号密码。同时支持IPSec VPN的客户端认证和SSL VPN的Web认证,基于用户身份的网络资源访问权限管理等。 校内有线 校内无线 价值标签:
多种方式统一接入认证——可定制的统一登陆界面 同时,可以自定义web登陆的访问页面,不管是通过无线、有线还是VPN用户,访问业务系统,都能使用统一的登陆界面,比如深圳XX中学欢迎您!下面是输入账号、密码的窗口等。 基于浏览器推送页面认证,用户不需要安装客户端 无线、有线统一认证界面、统一认证帐号
校园网基于网络与应用认证的统一认证 与数字校园统一门户、一卡通等对接 提供标准的第三方接口,包括第三方开发接口和第三方付费接口; 系统提供标准的第三方接口,可以通过对接实现基于数字校园门户的单点登陆,效果是一次认证实现了网络层面的认证和数字校园应用系统的同步认证 需求 与数字校园统一门户、一卡通等对接 提供标准的第三方接口,包括第三方开发接口和第三方付费接口; 方案 公共认证平台通过与锐捷的单点登陆系统对接,通过一次认证,就实现了网络层面的认证和数字校园应用系统的同步认证。什么意思呢? 就是说你需要访问internet的时候,需要输入账号密码,输入账号密码后,相关的业务系统的登录地址也就推送到您的访问界面;业务层面不再需要输入账号密码。 单一身份ID,实现网络层和应用层的单点登录,便于使用和管理 价值
数字化校园3+N+1架构—应用支撑平台 基础网络平台 应用支撑平台 公共认证平台 统一信息门户 VSU 无线 立体安全 运维体系 多种接入方式的统一认证 单点登陆 信息门户 应用层与网络层的单点登陆 www.themegallery.com
? 传统应用系统使用困境 太多帐号密码, 容易忘记 IT管理人员账号管理工作繁杂 登录频繁,操作繁琐 学校没有一个统一的身份认证和管理平台 密码安全性风险多 登录频繁,操作繁琐 IT管理人员账号管理工作繁杂 邮件系统 用户 SRM 设备管理系统 办公系统 人事系统 用户名 登录 密码 学校没有一个统一的身份认证和管理平台 用户 CRM 目前的业务系统有什么问题呢?太多帐号密码, 容易忘记密码,老师有时候连业务系统的登陆地址都记不住; 登录频繁,每个业务系统都要多次输入密码,操作繁琐;密码安全性风险多等等。
应用系统用户管理困境 每个系统都有一套独立的用户数据库。 管理员要对每套系统中的用户进行分别管理 账号管理工作量大 账号管理不及时 系统管理员 每个系统都有一套独立的用户数据库。 管理员要对每套系统中的用户进行分别管理 生产系统 用户 账号管理工作量大 账号管理不及时 用户信息不一致 不能及时发现某一系统的非法访问情况 新开发系统没有标准,未来管理混乱 财务系统 用户 办公系统 应用系统的用户管理的困境是,每个系统都有一套独立的用户数据库,管理员要对每套系统中的用户进行分别管理,给管理员造成很大的困难,也影响了信息化业务系统的推广。 用户 人事系统 用户 CRM 第 40页 / 共 4页
单点登录---不改造系统方式 锐捷网络单点登陆的解决方案 统一身份认证信息 网络层面进行强认证 各应用系统上已有的账号和密码 需各应用系统登录窗口信息 登录请求 用户 生产系统 登录请求 用户 使用统一身份 登录SSO系统 SSO服务器 财务系统 用户 登录请求 从列表访问后端系统 单点登陆系统非常好,为什么学校推广和使用很困难呢?原因在于,需要进行各个业务系统的二次开发实现身份和数据的对接,开发周期长,成本高,难以真正落地;锐捷网络的单点登陆系统有什么特点呢?对现有系统不需要做任何改动,师生的电脑上不需要装任何东西,业务服务器上也不需要装任何东西,就能实现登陆。具体来说, 1、实施部署改造成本低,不需要在服务器、客户端安装部署程序;无需协调多个部门、开发商,不需要集成代码进行二次开发 2、后续扩展方便,新业务系统推广更容易 3、实现消息的快速推送 4、应用层和网络层统一的单点登陆,用户体验更好,更安全。 办公系统 1、实施部署改造成本低,不需要在服务器、客户端安装部署程序;无需协调多个部门、开发商,不需要集成代码进行二次开发 2、后续扩展方便,新业务系统推广更容易 3、实现消息的快速推送 4、应用层和网络层统一的单点登陆,用户体验更好,更安全。 用户 登录请求 被替代 人事系统 用户 登录请求 第 41页 / 共 4页 CRM
锐捷网络的单点登录实现的交互过程 网络认证 ESS\SAM服务器 网络认证作为单点登录的唯一入口 消息通知 下发单点登录应用列表 SSO组件 应用系统密码初始化 初次应用的密码初始化 SSO认证通过 下面看看“锐捷网络的单点登陆实现的交互过程”,首先,网络认证作为单点登录的唯一入口,老师在访问搜狐网站时,需要输入账号密码,这个时候首先到RG-ESS进行网络认证,通过认证后,RG-ESS与RG-SSO进行互动,RG-SSO把各个业务的登录地址推送到用户的访问界面,师生直接点击不同的业务系统,就可以访问学校相关的业务系统。 用户 用户 用户 学校门户 用户 其他的认证计费系统 学籍系统 OA系统 呈现用户可以单点登录的应用系统列表 第 42页 / 共 4页
3+N+1解决方案给客户带来的价值 数字化校园3+N+1解决方案 满足公安部门、教育局等安全性检查的要求 学校信息化技术力量薄弱,人员少,解决用户接入不可控和审计难以真正定位到人的老难题,方便管理。 网络层的单点登陆,实现VPN、WLAN、LAN多种接入形式的单点登陆及统一界面,方便学校树立安全、良好的形象,网络层与应用层的单点登陆,方便师生访问业务系统,体现校园网建设的亮点。 数字化校园3+N+1解决方案 满足公安部门、教育局等安全性检查的要求 学校信息化技术力量薄弱,人员少,解决用户接入不可控和审计难以真正定位到人的老难题,方便管理。 网络层的单点登陆,实现VPN、WLAN、LAN多种接入形式的单点登陆及统一界面,方便学校树立安全、良好的形象,网络层与应用层的单点登陆,方便师生访问业务系统,体现校园网建设的亮点。 基于用户名的应用层流量控制,提高带宽资源的利用率,较少抱怨和投诉,保障师生访问网络的良好体验。 满足学校数字化校园信息规划的需求,建设有特色的3+N+1数字化校园,体现学校信息化的水平 基于用户名的应用层流量控制,提高带宽资源的利用率,较少抱怨和投诉,保障师生访问网络的良好体验。 满足学校数字化校园信息规划的需求,建设有特色的3+N+1数字化校园,体现学校信息化的水平 8 43
目 录 Contents 数字化校园网应用现状 中职数字化校园网架构 数字化校园网3+N+1解决方案 中职校园网成功案例
银川市第一职业中专学校 校园网实现有线无线一体化的无缝覆盖,同时部署了全方位的安全防御体系,并实现了从设备管理到用户管理的多层次化管理层面,真正成为北京市校园网应用的典范。 北京十九中,校园网实现有线无线一体化的无缝覆盖,同时部署了全方位的安全防御体系,并实现了从设备管理到用户管理的多层次化管理层面,真正成为北京市校园网应用的典范。
上海卫生学校 … … … … 图书馆 宿舍楼 教学楼一 教学楼二 internet cernet RG-WALL2000 实验楼 SAM身份服务器 GSN服务器 内外DNS/Email服务器 internet RG-IDS500 cernet 万兆线路 千兆线路 百兆线路 RG-WALL2000 实验楼 RG-S8610 RG-S8610 RG-S3250 艺术楼 RG-S3250 RG-S4909 中山纪念中学校园网采用了万兆全局安全校园网建设方案,该方案采用万兆双核心设计,并在全网部署了锐捷网络GSN全局安全网络系统,不仅加强了保证整个有线校园网的安全管理,还能统一管理升级后的无线校园网,为学校打造了安全、易管理的绿色校园网。 Cisco4006 RG-S5750 RG-S5750 … … … … RG-S3250 RG-S3250 RG-S3250 RG-S3250 RG-WG54P RG-WG54P RG-WG54P RG-WG54P 图书馆 宿舍楼 教学楼一 教学楼二 46 46
沈阳市计算机学校新校区校园网 沈阳化校 职教园信息中心 沈阳汽校 核心交换机 汇聚交换机 接入交换机 1000M UTP-5 万兆 单模光纤 沈阳汽校 流量探测设备 入侵检测设备(IDS) RG-NTD 1000 核心交换机 Web/Mail/Ftp/BBS/VOD/反病毒/ 反垃圾邮件/RG-SAM/GSN等服务器 RG-Wall 1600A NS 5501 (共16台) 行为控制设备 RG-S7610(双核心) S5750-48GT/4SFP 负载均衡器(F5) BIG-LTM-1500-RS 服务器千兆交换机 网络管理软件 核心交换机 Starview 2.X 汇聚交换机 沈阳计算机学校是中职学校,全网部署了锐捷的网络设备,通过GSN全局安全网络及统一身份认证平台,建立了学校的立体安全防护体系,实现了学校信息化的提升。 1#楼 3#楼 4#楼 5#楼 7#楼(宿舍) 8#楼(宿舍) S5750-24GT/12SFP S5750-24GT/12SFP S5750-24GT/12SFP S5750-24GT/12SFP 6#楼 S5750-24GT/12SFP S5750-24GT/12SFP S5750-48GT/4SFP 接入交换机 S2126G堆叠 S2126G堆叠 S2126G堆叠 S2126G堆叠 S2126G堆叠 S2126G堆叠 S2126G堆叠 S2126G堆叠 无线AP 无线AP 无线AP 无线AP 无线AP
星网锐捷网络有限公司 地址:北京海淀区复兴路29号中意鹏奥大厦东塔A座11层 邮编:100036 Office Tel: 010-51718888 Mobile Tel: 13888888888 Fax: 010-51718888 E-Mail: xxx@ruijie.com.cn