县域三通两平台解决方案—校校通.doc

县域三通两平台解决方案校校通2014年12月目录目录1、 第一章 方案简介32、 第二章 校校通中心机房建设52.1、 核心交换区建设52.2、 学校接入建设62.3、 数据中心建设72.3.1、 数据中心建设82.4、 出口建设102.4.1、 内容加速102.4.2、 上网行为管理112.4.3、 出口安全152.5、 无线城域网建设192.5.1、 无线城域网建设方案192.6、 实名认证体系规划222.6.1、 实名制认证体系设计232.7、 三通两平台综合运维规划252.7.1、 设备管理问题262.7.2、 性能监控问题302.7.3、 告警管理问题332.7.4、 报表统计问题342.7.5、 综合监控建设方案353、 校校通学校接入建设353.1、 第一梯队校园网解决方案353.2、 第二梯队校园网解决方案381、 第一章 方案简介根据县级教育城域网应承载的主要功能，建议对教育城域网进行分区块设计。这样的划分既保证了网络的完整性，又有利于对不同功能区进行单独安全保障和稳定性设计，对整网安全、稳定以及数据高效传输都起到促进作用。我们可以把县级教育城域网教育城域网分为教育城域网核心骨干区、专线外联区、出口区、数据中心区和运维管理区几大区域，县教育城域网整体设计的拓朴图如下所示。本方案采用模块化设计思路，即将整体网络分解成多个功能模块，这样用户在实际方案中可以根据实际情况对各功能模块进行合理的替换和修改，而不会对整体方案产生影响，具体如下：统筹规划、统一设计：结合县电教中心的网络规划，将各分校架构进行标准化改造，各分校出口统一部署RG-EG1000系列易网关产品；RG-EG1000系列产品通过运营商专线出口链路与县电教中心组建成专网，实现安全、高效的互联并统一互联网出口，各学校统一从县电教中心互联网出口。县电教中心部署一台高性能网络出口引擎设备，作为各学校与县电教中心的出口网关，实现学校与县电教中心统一上互联网。核心部署两台RG-S86系列核心交换机，实现高效快速的数据转发，结合锐捷网络VSU虚拟化技术，可以将两台核心交换机虚拟化成一台，更加方便管理及系统整体的稳定性、可靠性等。 统一身份认证、统一运维：在县电教中心部署统一身份认证管理系统RG-SMP，实现用户身份的统一认证管理、有线无线统一管理RG-SNC，实现对有线、无线网络的统一运维管理，基于关键业务系统运行监控，实现对教育城域网关键业务的深入健康健康等，在实现精细化网络运维管理的同时极大的提高运维管理的效率及降低运维管理的难度。 0配置快速部署上线：锐捷网络RG-EG支持零配置部署上线功能，通过锐思远程管理平台，将配置写入U盘，再将U盘插在RG-EG设备上，当RG-EG加电后自动读取U盘配置信息，极大的降低设备部署配置量，加快项目的整体实施部署速度。 根据以上思想，本方案将分解为以下假设内容：1、 县电教中心网络建设分解项目建设内容县电教中心网络建设网络核心建设网络出口建设网络运维建设小型数据中心建设2、 县内学校校园网建设与改造分解项目建设内容第一梯队校园网建设（县直学校等）将校园网改造成在县电教中心可统一管理的校园网。并通过专线与县电教中心实现互联。第二梯队校园网建设（乡镇中小、村小等）将学教建设改造成县电教中心可统一管理的校园网。并通过专线与县电教中心实现互联。2、 第二章 校校通中心机房建设2.1、 核心交换区建设万兆VSU虚拟化核心交换区是负责整网高速数据交换/转发的中枢，必须具备高性能、高可靠性和高扩展能力，因此该区域设计采用2台高端模块化交换机组成冗余的双核心。针对”三通两平台”建设需求，本方案设计采用“虚拟交换单元”（VSU）的核心组网模型。“虚拟交换单元”（VSU）简单点说，就是将物理上的2台核心交换机虚拟化成1台核心交换机。由2台合并而来的1台核心交换机，配置管理界面统一，协议计算、设备转发表项等各方面完全一致，部署在网络中与一台真实的物理交换机完全一样。采用VSU的核心组网模型，能极大提升网络可靠性、简化网络拓扑、减轻后期网络管理维护压力、成倍提升网络整体性能的。VSU即是将物理上的2台核心交换机虚拟化成1台设备的技术。引入虚拟化设计方式之后，在不改变传统设计的网络物理拓扑、保证现有布线方式的前提下，以VSU的技术实现网络各层的横向整合，即将交换网络每一层的两台、多台物理设备使用虚拟化技术形成一个统一的交换架构，减少了逻辑的设备数量。2.2、 学校接入建设RAC系统集中部署在网络的总部，EG网关需要部署在各个网络分支节点作为网关部署。EG网关在提供网关、流控、行为管理、状态防火墙、身份认证、VPN等6大功能之外，更是作为网络的探针部署在全网，由EG网关将每一个网络分支的网络信息参数上传到总部的RAC系统中。2.3、 数据中心建设数据中心建设要以区域教育信息化整体发展规划为指导，为各个接入单位提供综合的数字化环境与服务平台，构建规范的业务应用服务体系，最终实现区域内教学、科研、管理和服务过程的全面信息化。通过县数据中心的建设，将下属学校的相关数据进行统一整合，完成区域内数据大集中，形成区域教育信息化基础数据库和教学资源库。毋庸置疑，统一基础数据库对区域教育信息化的重要性不言而喻，然而，这一点也是区域教育信息化推进过程中最困难的一点。如何完成业务系统的快速部署及深入应用，从而，形成统一基础数据库，是信息化主管部门共同的挑战。要完成这些内容，数据中心建设是其中最关键的内容之一！2.3.1、 数据中心建设本次“三通两平台”采取海量管理+集中存储方式，服务器通过交换机和存储盘柜相连，通过支持IP SAN和NAS架构，不同于FC SAN架构（需要购买光纤交换机，FC HBA卡，价格昂贵），IP SAN无论从链路成本和设备成本考虑，都要比FC SAN成本低得多。该方案的设计要点如下：方案中多台服务器通过IP SAN架构连接存储系统，每台服务器分别带有以太网卡，通过以太网线与交换机相连，采用全千兆以太网。方案中为避免单点故障，采用两台IP SAN以太网交换机，当一台IP SAN交换机故障后，可不影响数据的访问和其他操作。方案中对于重要的数据库应用系统，可以引入一台新的服务器，与原来的服务器之间建立双机冗余。由于引入双机的功能，数据库应用系统不会因为应用服务器的硬件故障或者系统维护而停机。应用系统可以保证724小时的业务不间断性。该方案基于开放协议TCP/IP，扩展了距离，同时降低了管理的门槛，部署也变得简单的多。服务器连接存储设备不需要license的限制，极大的保护了用户的投资，其架构上面的优势，为今后做容灾和备份提供了条件。IP SAN 技术有其独特的优点：节约大量成本、加快实施速度、优化可靠性以及增强扩展能力等。采用 iSCSI 技术组成的 IP SAN 可以提供和传统 FC SAN 相媲美的存储解决方案，而且普通服务器或只需要具备网卡，即可共享和使用大容量的存储空间。与传统的分散式直连存储方式不同，它采用集中的存储方式，极大地提高了存储空间的利用率，方便了用户的维护管理。2.4、 出口建设2.4.1、 内容加速部署缓存设备对互联网的热点资源进行缓存，一方面保障用户的高体验，另一方面缓解互联网出口压力，节约更多的带宽资源。另外，要求缓存设备能够获取已缓存资源的基本信息，并根据最近24小时的热度排名，自动生成热点视频门户，以供内网用户访问（可以免费也可以有偿）；图 缓存设备部署图 自动生成视频门户，所有视频都已经过内网加速2.4.2、 上网行为管理部署上网行为管理对数据进行2-7层的全面检查和分析，深度识别、管控和审计数百种IM聊天软件、P2P下载软件、炒股软件、网络游戏应用、流媒体在线视频应用等常见应用，并利用智能流控、智能阻断、智能路由、智能DNS策略等技术提供强大的带宽管理特性，配合创新的社交网络行为精细化管理功能、清晰易管理日志等功能，提供业界最全面、完善的上网行为管理解决方案。2.4.3、 出口安全WEB防火墙实现门户网站专业保护信息部门对单位门户网站等WEB应用的安全防护大多都不太重视，一般认为在网络中部署防火墙、入侵检测、防御，防病毒等设备便可确保安全无忧，而重视程度稍高一些的用户则会考虑通过部署网页防篡改系统来加强安全保护，代价昂贵，效果却不尽人意。众所周知，防火墙工作在网络层和传输层，防火墙基于访问控制、状态检测和报文过滤实现基本的安全，不会深入去检查端口号合规，连接状态合规的某一类型数据，而客户要提供Web服务必须放行80端口，因此防火墙不能防御采用80端口封装的HTTP内部攻击。IDS/IPS：不能保护客户自己编写的网站代码；IDS/IPS基于特征码识别，所谓特征码即针对Windows操作系统、Oracle数据库、IIS等通用系统的定期补丁；而客户的网站代码是自己编写的，没有人为其发布补丁。网页防纂改采用定期比对网页内容是否被修改的工作机制，只适用于完全静态Web站点的防篡改,对动态的Web页面，仅仅是编码的备份恢复，对数据库内容不能判断出是否被篡改或插入恶意代码，无法避免再次被黑,也无法满足合规性检查需求，不能防御评审专家的攻击测试。专业的WEB防火墙确保网页应的全方位立体防护：RG-WG系列锐捷WebGuard应用保护系统（WEB防火墙），是锐捷网络专门解决上述Web应用安全问题设计的网络设备。锐捷WebGuard基于对HTTP/HTTPS流量内容的双向检测分析，识别检测各类Web编码、交互技术、URL参数以及表单输入等，为Web应用提供实时、动态的主动性防护。锐捷网络WEB防火墙设备具有以下特点和优势：事前防御和事后恢复一体锐捷WEB防火墙采用基于DDSE（深度解码扫描引擎）解析Web交互信息，在进行解码的基础上，对攻击的形式逻辑进行判断过滤，实现HTTP深度识别。利用站点隐身技术使攻击者无法获取服务器信息，避免攻击前的渗透扫描，避免Web服务器出错信息暴露出系统架构，从而无法执行下一步攻击。利用虚拟补丁技术保护操作系统、数据库、Apache、IIS等Web应用服务平台，避免Web应用服务平台被攻击导致系统隐患。利用危险文件下载检测技术，阻断下载数据库等危险文件，避免攻击者下载用户密码等敏感内部信息。通过以上这些技术措施，精确判定并阻止各种Web应用入侵行为，阻断对Web服务器的恶意访问与非法操作，适应Web2.0时代的主动事前防御要求，而不是被动的遭受攻击后的恢复。同时，锐捷WEB防火墙采用事前防御和事后恢复的双层策略。既能在事前防御防范与未然，又能在事后进行页面恢复。内置防病毒网关和关键字过滤锐捷WEB防火墙内置多种Malware检测规则，实时拦截ASP或PHP后门病毒：阻止进而获取Web管理权限的行为。防止网站被挂马，防止Web站点成为Malware发布源头：避免遭受名誉损失和客户商业损失。支持内容关键字过滤，避免网站被上传反动、暴力、色情等类型关键字内容，影响社会和谐。支持协议关键字过滤，允许用户自定义关键字内容，为个性化业务系统定制特色保护功能。防火墙实现网络边界安全防火墙作为网络中的一道基本安全屏障，就像房间的一扇门，即可供合法的人自由进出房间，又可在大多数时候限制不合法的人通行，其重要性不言而喻。防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。通过在网络的出入口、重要区域的连接边界部署防火墙设备，实现边界隔离保护，数据包检测、过滤，网络的攻击和入侵防御功能，防病毒功能，保障网络的基本安全。在国家相关的法律法规和政策遵从方面，信息安全等级保护和分级保护各级别要求均明确需要实施访问控制，防火墙在网络中的安全保护作为已成为一个标准要求，一个没有防火墙的网络是不可想象的。本次网络建设方案建议在互联网出口处部署锐捷RG-WALL下一代防火墙（NGFW），NGFW拥有传统防火墙所提供的所有功能，如基于连接状态的访问控制、NAT、VPN等等功能。同时拥有新一代防火墙所必须具备的特征，2.5、 无线城域网建设对于教育城域网无线网络的规划，应基于可面向未来的业务驱动为前提，以可适用于数字化校园各项具体业务需求为基础，并着眼于高效、稳定、安全、易管理、可扩展的总体设计原则，同时易于使用、方便部署，为师生提供一个灵活的移动教学和办公的平台，构建了一个稳定的、可拓展的无线网络环境。2.5.1、 无线城域网建设方案无线城域网建设的原则是依托现有的有线城域网，以现有的城域网为基础，进行以下五个方面的规划：1、技术标准的先进性和实用性建议必须支持WIFI 802.11n，保持先进性，避免刚建成即落后之尴尬；同时，兼容WIFI 802.11a/b/g，具有良好的兼容性。2、学校端零配置部署，分布于各个学校的AP “零配置”，完全由部署于城域网中心机房的“无线控制器”进行统一管理、配置、监控。具体来说，从包装盒内拆封出来AP，接入学校任意交换端口，即可自动完成自我配置并提供无线服务，整个系统架构对学校端的网络管理员完全透明。3、根据县下属学校的数量，每个学校部署的AP数量的差异，来考虑无线控制器的规模，使得系统的容量、性能、可靠性以及可管理性得到有效保障。4、远端智能感知：如无线控制器出现故障，学校的AP要能自动感知无线控制器的状态，自动切换，保证业务运行不受影响。5、需要考虑与有线城城网的融合，如AP的部署、VLAN支持、用户认证、安全体系等等。 全网802.11n密集型覆盖所有覆盖区域部署采用33MIMO技术的高性能802.11n 无线接入点，不仅能够提供6倍于802.11ag设备的连接速率，并且可以在AP发射功率相同的情况下提供比802.11ag设备高出30%-50%的覆盖范围。在33MIMO天线技术的支撑下，即便是采用802.11abg的无线客户端连入802.11n网络，也会获得更好的实际吞吐量和信号质量。为了保证在高用户数下的网络访问体验，无线控制器可以设定AP间对接入用户进行负载均衡，负载均衡的策略可以是基于AP接入的用户数量和AP的流量负载情况。当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP。通过负载均衡技术和高性能的AP平台，全网的802.11n将提供高速的网络访问体验。 核心链路中断下的REAP技术通常情况下，无线控制器与AP之间采用跨三层的连接方式，AP的数据要到达无线控制器需要经过接入交换机-楼层汇聚交换机-大汇聚交换机-核心交换机最终到达无线控制器，现有无线控制器的冗余备份技术和AP的双上联技术只能解决上述过程中两端节点的可靠性，而对于中间的2-3级交换机上联链路却无能为力。所以，一旦楼层汇聚、大汇聚交换机的上联链路出现问题，将直接导致一栋楼、一个校区的无线网络完全瘫痪，这对于一个运营级的无线网络来说是致命的。在无线网络的稳定性方面，除了通过N+1的控制器冗余技术来保障核心层无线控制器的高可用性外，锐捷智能转发架构还提供了一种在无线控制器下联链路失效（或者AP的汇聚上联链路失效）情况下，依然能保障无线网络正常运行的解决方案。 有线无线统一平台管理RG-SNC可对无线网络中的无线控制器和无线接入点等设备与有线网络设备进行一体化集中管理，网管人员对全网设备信息和状态可随时全盘掌握。通过整体拓扑监视、多视图唯独的监视和分组管理，可将客户的大规模部署无线网络设备进行集中化的控管。2.6、 实名认证体系规划下图为教育城域网实名制解决方案的框架图。教育城域网的各种用户，包括学生、老师等通过有线、无线、VPN等各种接入方式经过统一的实名认证，可实现基于实名访问权限控制、实名流控、实名日志审计等功能。解决了没有实名制管理遇到的城域网接入不可控、审计难以定位到人、无法区分老师和学校的访问服务等问题。2.6.1、 实名制认证体系设计以实名为核心的实名制管理，包括四个方面，实名认证、实名的访问权限控制、实名的流控及实名日志审计。实名认证无论是县下属的任何学校，还是通过有线网络、无线网络或是在家通过VPN访问等，都需要进行实名认证，避免各种网络设备各自为政，存在安全风险等问题发生；名认证是为了验证身份，包括接入网络中的用户标识（User ID）、主机标识（MAC）、 网络标识（IP），确保网络用户身份的合法、真实；同时，可以有效地防止账号盗用、防 IP 篡改、防 MAC 篡改，实现内网的安全、可控、易定位和强审计。实现有线、无线、远程VPN等不同接入方式的统一认证实名访问权限控制通过实名访问权限控制，可实现老师在学校里通过网络在线看Internet视频或下载P2P资源等，而学生则被限制使用；通过实名访问权限控制还可阻止学生的账号访问任何成人网站和不良信息等。SMP采用了Web portal或基于802.1X协议的身份验证体系，通过与网络交换机的联动，实现了对于用户访问网络的身份的控制。通过SMP服务器为用户定制的访问权限，在用户经过身份认证后，根据用户身份所具有的访问权限进行下发策略，通过SMP与SS0统一门户组件进行联动，推送给用相称的访问业务的登录界面。经过身份认证的用户只能访问该访问的业务系统，如下图：只能访问自己权限之内的服务器，网络区域等。实名流控通过网络出口流量控制引擎设备RG-ACE设备与实名制身份认证系统联动，限制用户访问流量，例如：通过实名身份为老师的账号组分配5M带宽，学生的账号组分配1M带宽；而且，无论是在办公室、计算机教室还是电子阅览室，即使使用的不是同一台机器、同一个IP地址，也能保障老师的出口带宽为5M，学生的出口带宽为1M，保障有效合理的分配带宽，提高带宽资源的利用率。实名日志审计师生访问Internet的日志都能自动进行记录，并和师生的IP地址及实名信息等实现自动绑定，满足公安及上级部门的检查要求。2.7、 三通两平台综合运维规划此次三通两平台建设完成后，将承担着整个县域市约99所学校示范课、课件等资源，为全市的课堂教学、教师培训等三通两平台工作服务，为了使整个平台安全稳定额运行，需要有一套综合监控的系统整个三通两平台系统平台的运行状态进行监控与管理，具体覆盖的范围如下：1、基础网络平台：可以对70所学校的基础网络设备进行运行状态的监控，了解各个学校三通两平台网络的使用情况。2、三通两平台业务运行情况：能够对业务的使用情况进行性能监控，方便了解各学校业务的使用情况、访问体验城域网的专线外联区是整个城域网的“血管”，所以，城域网出口的专线外联区设计对全网的安全至关重要。如何解决城域网出口的安全问题，是每一个城域网规划者必须要考虑的问题。锐捷综合多年的出口架构经验和数千用户的调查反馈，归纳出网络出口的几大主要问题：2.7.1、 设备管理问题1、 设备上线目前用户的设备上线，大部分情况下，是依靠代理商或设备厂商到现场来进行部署的，或者是总部安排IT运维人员（管理员）到当地来协助进行部署。因此，没有规范的配置上线流程。我们参考电信运营商、金融客户运维的业务流程，结合用户特点和用户价值关键要素，开发了零配置上线功能。通过此功能，设备上线工作变得极为简单。只需将网关邮寄到上点单位，由非专业技术人员将设备装上架，并插上电源和网线后，将总部传来的初始化配置文件放入U盘，将U盘插入设备即可完成整个上线过程，不需要分支的人员做任何设备配置工作，极大的简化了运维流程，并且减少了现场人力投入；2、 软件版本升级对于支持业务运转的网络设备来说，软件版本只要满足业务需要，管理员是不会随意进行软件版本升级的。只有在当前设备的软件版本存在问题，或者是因为新业务而需要某个特定的软件版本，管理员才会因此开展设备软件版本升级操作。但是往往由于设备数量众多，并且版本管理比较混乱，所以经常在进行设备升级时不知该升级哪些设备，有事甚至还要去现场支持升级，大大增加了运维成本，通过系统的版本管理功能，我们可以清晰的统计出现网设备哪些设备具备哪些版本，进行升级时可以以设备维度或软件版本维度来进行定向升级，让设备版本和升级工作清晰、易操作。同时针对设备升级系统设计了安全回退机制，可以跟踪每次升级过程，一旦失败后可以自动回退，避免升级失败给网络带来灾难；3、 远程批量配置对于经常变更网络配置的客户来说，经常苦恼由于业务变更而带来的批量设备配置变更。常常重复这种没有技术含量的命令行工作，会大大增加管理人员的运维压力，而且不会带来任何收获。通过RAC的远程批量下发功能，用户可以设备常用模板，对需要变更的设备选择后实现批量配置下发，并且过程可跟踪可回滚，保障整个操作过程的安全性；4、 设备配置审核网络中常常出现一些人员私自对设备配置进行变更，从而影响网络运行的情况，通过RAC系统，以后任何私自的设备变更都会被记录下来，并且显示配置变更内容，如果未被RAC管理员审核通过，那么就可以将配置回滚到原先的配置，避免肆意变更配置带来的安全隐患；2.7.2、 性能监控问题总部网络管理员希望对下属各分支网关设备的总体运行情况有个大概的了解，比如可以了解下分支的带宽是否紧张？分支设备的性能是否足够？业务运行是否遇到瓶颈？专线状况如何？RAC管理系统可联动EG设备，对内网带宽、业务运行、资源分配、VPN运行情况等信息进行监控，发现问题后及时提供告警，让管理员坐在办公室就可以全方位掌控全网运行情况，帮助客户做出正确决策；1、 业务情况传统网络维护只是针对网络设备层面进行维护，是被动的、主观维护方式。网络用的好不好，关键业务系统用的到底快不快，只是凭使用者的感觉来评价。通过业务情况监控，可以准确的收集到每一个EG网关所在位置的网络中，用户的业务系统使用情况到底如何。比如，OA系统在各个分支办事处的使用情况，它的首页打开时间具体是几秒钟，这些数据会准确的反应在RAC系统上面。而每一个EG网关所在的网络，它的多个重要的业务系统使用情况，也同样可以监控起来。IT管理者可以根据这些客观的数据，主动做出IT系统进一步优化的决策和判断。2、 带宽状态通过带宽状态管理，可以清楚的了解到网络每个分支的带宽使用情况，上行、下行带宽使用率各是多少。实时了解网络的带宽使用状态。每一个分支网络的带宽利用情况也可以明确的展现出来，特别的，通过EG的DPI引擎，可以识别出各个分支网络带宽中应用的占比。比如在带宽利用率50%的情况下，网页流量占总带宽是多少，优酷、网易视频各占网络带宽是多少，360安全卫士的更新包占网络流量的带宽是多少。只有明确的应用的带宽监控，对IT管理者来说，才是有意义的。3、 设备状态可以通过设备状态监控了解到每一台EG网的硬件使用情况，比如CPU、内存、硬盘的使用率；可以总体统计到每个EG网关所在的网络中，上线人数各是多少。2.7.3、 告警管理问题可针对业务使用情况、VPN使用情况、设备使用状态、带宽利用率的实时信息，设置网络异常状态的告警机制。可以通过系统页面、邮件、短信等多种方式方式进行告警信息的发送。特别设计了告警归类功能，使同类告警收于一条，不会出现海量告警导致告警无效的事情发生。2.7.4、 报表统计问题可以通过EG网关收集各个网络分支访问的互联网网站的总体排名，并在RAC做汇总呈现，可以了解到各个分支对于互联网网站、业务系统的使用频率及喜好。2.7.5、 综合监控建设方案由于三通两平台信息系统是一个包括了众多软件，硬件技术，设计多厂家产品，从网络，安全，存储，计算到中间件和应用的复杂异构环境，而且随着教育信息建设的深入和持续优化和发展，这个复杂庞大的基础设施，还会随之不断进行演进，在产品，技术和网络结构，业务关系上不断发生变化，因此，要求针对该环境进行管理的系统具有良好的可扩展性，能够将下层网络和的复杂度有效的通过抽象屏蔽起来，向上层应用和运维流程开放稳定的接口。3、 校校通学校接入建设通过对全县共70所中小学进行实地调研，汇总结果如下：3.1、 第一梯队校园网解决方案第一梯队：共7所学校。包含县级职中、高中、城关地区学校等；要求基本做到校园有线、无线全覆盖，班班通。第一梯队学校校园网建设包含出口安全网关、核心交换机、接入交换机、无线AP组成，其中出口安全网关采用RG-EG1000S，通过安全网关实现校内用户通过专线与县中心连接。利用EG系列安全网关的“零配置、零维护方案”，在确保EG与互联网联通后，由县中心的统一配置维护管理平台统一下发接口IP、流控、认证等相关信息。简化在前期部署实施阶段和后期运营维护阶段的工作量。另外，EG系列安全网关的WEB准出认证功能，可以实现所有用户的实名认证计费，通过在县中心平台部署的认证管理系统可以实现全市所有接入学校的认证和实名制管理工作。所有无线AP均