三通两平台网络解决方案孙菁玮教育信息化发展趋势锐捷三通两平台网络解决方案成功案例教育均衡趋势——三通两平台政策促进教育均衡2015年前基本完成2015年前普遍使用2017年前普及教育均衡趋势——教学应用发展重视薄弱校需求安徽省在线课堂安徽2014年在省内25个县(区)开展在线课堂常态化教学项目,即在中心校和县城优质资源学校建设“主讲教室”,在教学点建设“接收教室”,利用互联网实现实时双向教学互动。浙江、甘肃、四川、贵州(不完全统计)等其他省份也陆续开展校际直播教学业务。教育服务趋势——教育信息化向服务转型1、国家数字教育资源公共服务平台2、各级各类优质数字教育资源3、数字教育资源共建共享公共服务平台建设政策:到2015年,基本建成以网络资源为核心的教育资源与公共服务体系,为学习者可享有优质数字教育资源提供方便快捷服务。建设国家教育管理信息系统,为公众提供公共教育信息和教育管理公共服务平台。教育信息化十年发展规划(2011-2020年)教育资源公共服务平台1、5类20个业务系统2、两级中心五级应用教育管理公共服务平台教育服务趋势——区域教育云平台加速落地云服务趋势教育信息化发展趋势锐捷三通两平台网络解决方案成功案例三通两平台解决方案整体架构总体架构数据中心平面业务平面管理平面网络平面业务平面应用架构总体架构数据中心平面业务平面管理平面网络平面类型示例教育云门户门户网站教育资源公共服务平台教育教学资源库人人通空间数视频点播和直播系统网上备课系统同步互动教学系统名师优课系统教育管理公共服务平台中小学学籍系统网上报名系统电子校务管理系统教师管理系统教育决策支持系统业务应用分类类别示例网络需求WEB服务类门户网站、教育资源公共服务平台对网络带宽和网络延时的要求较高安全性要求高,省级门户网站要求等保三级数据库服务类校舍安全系统、中小学学生MIS、中小学资产管理数据量大,存储规模在TB级别。OLTP数据库,网络实时性要求较高安全性要求高,大部分系统要求等保三级应用服务类数字学校(视频点播和直播)、远程教学、各类资源系统(FTP)等服务器从磁盘读取片源内容,磁盘I/O要求高大量视频点播和直播,存储量大网络带宽和延时要求极高网络管理类网络管理、身份认证、运维管理、日志审计数据量小,对服务器要求一般部分业务可通过虚拟化减少物理机台数总体架构数据中心平面业务平面管理平面网络平面|网上报名/在线考试查询等定期上线业务,需要实现业务快速上线;试点教学应用服务类业务需要短期内快速上线,以验证效果;名校建设分校区,原校区业务迁移至新校区,业务部署尽量简化;网上报名系统电子书包试点教学支撑两个平台的资源需求:业务快速上线总体架构数据中心平面业务平面管理平面网络平面爆发式业务资源需求:充分发挥云特性•招生系统:每年4月幼儿园报名异常火爆,各学校名额常遭“秒杀”,招生报名系统能否顶住压力?•查分系统:中高考成绩公开时,查分系统如何应对家长、学生的大量访问?•教师评优:大量教师上线,教委统一评比,系统能否保证整个过程的顺利进行?管理类•公开课:某区举办一堂视频公开课,系统如何支撑区内大量师生共同学习•微视频:区内学校开展视频优质课大赛,鼓励大家上传和分享微视频,系统如何支撑大量视频上传和点播?资源类总体架构数据中心平面业务平面管理平面网络平面捷云融合系统JCS,构造区域教育云控制器Controller工作节点:计算/存储/网络计算:虚拟主机存储:云硬盘虚拟网络:交换/路由安全规则用户管理资源分配监控镜像管理资源使用计量用户服务界面对外接口数据备份数据中心平面业务平面管理平面网络平面总体架构教育云平台JCS产品还处在测试阶段,交流时请考虑项目情况酌情删除此部分内容自助式资源服务,业务快速上线JCS提供给用户简单、易用的控制台,下属学校可以自助完成以下功能,缩短业务上线周期:•资源的申请及管理•实时资源指标监控•云主机资源扩容数据中心平面业务平面管理平面网络平面总体架构JCS产品还处在测试阶段,交流时请考虑项目情况酌情删除此部分内容分布式存储系统,破除性能瓶颈•不必再采购价格高昂的传统商业存储,通过服务器自带的磁盘,就可以构建高性能的分布式存储系统•基于Ceph的分布式高性能存储方案,极大的提升云主机的IO性能,10秒内完成一台云主机的创建数据中心平面业务平面管理平面网络平面总体架构JCS产品还处在测试阶段,交流时请考虑项目情况酌情删除此部分内容用户挑战:安全部署落后业务发展需求•随着“三通两平台”的建设,用户在机房部署了大量的服务器、存储和应用软件,如果毫无防护,出现安全攻击,可能会导致业务中断•数据中心部署各级教育管理信息系统,如中小学生学籍管理系统、校舍安全系统、教师管理信息系统等,如果因为安全问题导致信息被窃取,将造成严重后果。业务发展带来愈加强烈的安全需求“等级保护”成为亟待解决问题•2009年11月教育部办公厅关于开展信息系统安全等级保护工作的通知2010年4月教育部教育管理信息中心成立教育信息安全等级保护测评中心•2014年10月教育部管理信息中心印发《教育管理信息化建设和应用指南》•2014年10月27日教育部办公厅印发《教育行业信息系统安全等级保护定级工作指南(试行)》数据中心平面业务平面管理平面网络平面总体架构安全域划分确保网络结构安全联通入侵防御系统入侵防御系统防火墙防火墙核心交换机教科网移动电信互联网边界区前置服务区(三级)应用服务区(二级)数据库服务区(三级)Web防火墙服务器接入交换机服务器接入交换机入侵防御系统存储光纤交换机网络管理区(二级)堡垒机、身份认证、运维管理、日志审计服务器接入交换机终端接入区核心交换区出口网关数据中心平面业务平面管理平面网络平面总体架构互联网边界区安全设计:•防火墙:外网攻击防护•入侵防御:关键流量4-7层安全防护•VPN网关:SSL移动办公、第三方应用接入服务区安全设计:•防火墙:分区间流量访问控制•Web防火墙:网站安全防护、网页防篡改•入侵防御:病毒、漏洞、木马等应用层攻击综合防护网管区安全设计:•堡垒机:保障运维安全VPN网关VSU18下一代高性能防火墙,让数据中心更可靠现状•某学校内网/服务器有主机中毒情况,频繁发起大量异常链接,引起外部对内网攻击,占用带宽,攻击泛滥;•原部署防火墙设备性能低,成为出口瓶颈,学生抱怨多;•按照要求,需要记录学生行为的Syslog日志,日志数量大。开启DDoS防护策略后,内网未出现非法链接攻击问题,不再影响学生正常需求;使用高性能NAT后,防火墙承载数千人数的上网需求;实现Syslog对接后,可将事件/安全日志(包括病毒、网页、入侵检测等日志)转存到服务器中,提升日志存储能力。X8500下一代防火墙部署后数据中心平面业务平面管理平面网络平面总体架构WG集成漏洞扫描保障网站安全无忧•网管来检查网站健康度•要做网站运行报表•找谁?•网站上新业务,网站变化•要先上线才可以让第三方来扫描•空窗期怎么管?•辖区内有很多学校•若学校网站自己维护,出问题了•谁的责任?不便捷不及时不可查便捷及时可查•三步监察,手动自动执行任务,领导再也不用担心网站的健康了。•报表详细,可导出可发送邮箱,随时随地便捷掌握网站健康状况。•一人一机,轻松一点,扫描及时,网站上线前就已经扫描完,空窗期神马的都是浮云。•扫描下属网站,扫描出漏洞,将网站迁移到数据中心集中进行管控,若不迁,之后出问题,也有据可查,责任明确。VSVSVS业界通用方式第三方软件工具我司独特方式设备集成式漏扫数据中心平面业务平面管理平面网络平面总体架构用户上网实名认证,保障终端接入安全用户连入网络需要输入用户名和密码进行实名制认证在SMP安全管理平台可查看用户上网信息,保障上网行为可审计数据中心平面业务平面管理平面网络平面总体架构统一开户、分权分级管理数据中心平面业务平面管理平面网络平面总体架构与第三方系统联动实现了与现有身份源的对接,免去手工开户分级分权管理,合理降低中心管理压力,更符合城域网管理架构灵活部署、兼顾成本和效率数据中心平面业务平面管理平面网络平面总体架构分布式集中式分布式集中式认证性能高(分布于各学校)中(视人数和服务器性能而定可靠性高(单学校故障不影响全局)中(服务器宕机可导致全网故障)建设成本中(虽分布到各学校,但无需新增服务器低(只需在教育局部署服务器)建议规模超过30所学校城域网用户的选择分布式部署模式,提升可靠性和性能。实名日志,安全合规免风险E-log日志系统城域网出口EG采集NAT日志实名上网行为审计结果RG-EG出口网关RG-ESS策略发放身份-IP对应表通过NAT日志查找至学校教育局学校A数据中心平面业务平面管理平面网络平面总体架构构建全方位、立体安全体系网络互联安全RG-WALL下一代防火墙安全防护、VPN接入数据中心安全RG-WGWeb应用防护系统RG-IDP入侵检测防御系统应用层攻击综合防护SSLVPN安全网关运维管理安全保障运维人员的操作安全RG-DBS数据库安全审计系统RG-OAS统一安全运维管理系统数据中心平面业务平面管理平面网络平面总体架构身份认证安全RG-SMP身份管理平台终端接入安全、主机防护RG-IPC身份策略中心RG-ELOG集中日志存储用户挑战:接入单位众多,网络规模大电教馆\信息中心重点中小学INTERNETCERNET重点中小学普通中小学光纤光纤普通中小学普通中小学区县级教育城域网接入学校规模往往在50所以上,中等市级城域网可达千所。…N…N数据中心平面业务平面管理平面网络平面总体架构教学“富媒体”对网络的诉求高大流量服务类应用录播教室视频点播•带宽:一个录播教室要能支持网络实时直播,至少保证4M上下行带宽。(按最新要求每个学校至少建设一个有网络环境的录播教室);720P视频点播,每路理论带宽2M,如果100人并发,至少200M上行带宽,大流量应用对网络核心和出口转发能力要求高。•稳定性:同步课堂、视频会议等对网络可靠性要求高,上课和开会过程中出现中断,影响教学。数据中心平面业务平面管理平面网络平面总体架构VSU虚拟化,网络核心稳定可靠简化管理管理员可以对多台交换机统一管理,而不需要连接到每台交换机分别进行配置和管理。简化网络拓扑VSU在网络中相当于一台交换机,通过聚合链路和外围设备连接,不存在二层环路,没必要配置MSTP协议,各种控制协议是作为一台交换机运行的。毫秒级故障恢复VSU和外围设备通过聚合链路连接,如果其中一条成员链路出现故障,切换到另一条成员链路的时间是50到200毫秒。链路保护高效利用VSU和外围设备通过聚合链路连接,既提供了冗余链路,又可以实现负载均衡,充分利用所有带宽。VSU虚拟化技术将两台核心RG-N18000设备虚拟化为一台逻辑设备数据中心平面业务平面管理平面网络平面总体架构|N18000正交背板特点:背板带宽最高>80T,设计性能满足未来10年升级需求。采用全球最高速正交连接器。N18000整机支持超高密度端口、超高跨板转发性能:单线卡支持24个40G端口,整机支持288个40G端口,且所有端口可跨卡线速转发。24口40G线卡满载吞吐率测试(RFC2544)Newton18000系列最高性能,支撑超大规模城域网网络核心高性能出口,开启常用功能情况下,性能可达10G吞吐支持多运营商的智能选路支持SMP与EG联动在大出口做集中认证,最高支9000人左右同时在线城域网统一出口,高性能、高并发城域网出口SNC-EG运营商B运营商AEG2000XESMP认证服务器城域骨干网教育局数据中心平面业务平面管理平面网络平面总体架构分布式城域网接入,多功能、易管理EG与SMP联动在各学校出口做分布式实名认证,可进行实名流控和实名审计各学校EG与教育局PowerCache联动,同步下载资源到本地,提高教学资源的访问速度学校A学校B学校CEG2000CEPowerCacheSMP认证服务器教