民办学校组网

1、精品文档你我共享宝安区民办中小学教育信息化服务平台网络组网建议书中国电信股份有限公司深圳宝安区分公司二 O 一二年四月知识改变命运精品文档你我共享目录1、 项目背景22 、宝安区中小学学校信息网网络现状23、项目需求分析34 、宝安区教育信息网组网设计 方案44.1 方案设计要点44. 2 项目解决方案网络拓扑图54.3 各类民办学校 VPN组网部署55 、组网部署方案介绍65.1 、VPN组网部署65.2 、网络安全部署76 、项目预算10知识改变命运精品文档你我共享1、项目背景根据广东省教育局 关于开展“以信息化促进义务教育均衡发展试验区”建设工作的通知的文件要求，经过 3-5 年的建设，

2、基本实现“校校通” ，宝安区教育局高度重视教育信息网的建设工作，早在 2007 年便已开始搭建第一期宝安区教育信息网平台，平台网络采取基于 RPR的可管理的透明二层 VPN组网方式，并已经承载 100 所公办学校和部分民办学校，形成一定规模。2011 年，“宝安教育云平台” 正式开通运行，统一为区教育局、区教育督导室、区教育科学研究培训中心、 10 个街道教育办（街道教研中心） 、450 多所公办、民办等各级各类学校（含幼儿园）的 50 余万师生以及学生家长和广大市民提供综合的、主动的、 聚合式的云服务。 平台的创建既打破了孤立数字校园的建设模式，也建立了“宝安区教育城域网教育云服务数据中心”

3、。目前，公办中小学校已在2007 年由区教育局牵头统一部署搭建了公办学校专用 VPN网络，实现专用网络， 统一标准，统一管理，有效聚合资源和共享资源。而民办学校信息网络建设标准参差不齐，尚未纳入区教育信息专网。 为了能够打破民办学校信息孤岛，更好的发挥“宝安教育云平台”的资源聚合与共享作用，提高民办学校教育水平和信息化教育标准。我们建议在宝安区搭建民办学校教育信息化服务平台专用VPN网络组网，并建议对民办中小学校VPN网络进行统一Internet网络出口，对民办学校教职员工、学生等上网行为进行统一管理，从而加强学校网络安全和文明管理。、宝安区中小学学校信息网网络现状2.1 、宝安区公办学校信息

4、网网络现状：知识改变命运精品文档你我共享宝安区教育信息网第一期平台网络采取基于RPR 的可管理的透明二层VPN组网方式，并已经承载100 所公办学校；公办学校采用10M VPN电路连接至汇聚点，通过汇聚点统一上网出口连接 INTERNET。2.2 、宝安区民办学校信息网网络现状：目前，宝安区民办学校未接入宝安区教育信息网，民办学校网络都属于自筹自建形式，规模不一，但大多数民办学校网络搭建结构简易。目前，民办学校上网方式都是采取自行申请 1 条或多条宽带来满足学校内部上网需求，普遍上网速率较低，且学校独立申请上网宽带或上网电路费用较高。民办学校网络安全措施较为薄弱，普遍未能搭建网络安全防火墙，易

5、受到病毒攻击、有害信息的传播等；民办学校对师生的上网行为基本没有进行监督和管理，容易发生发布偏激等不良信息，从而造成对社会、学校的不良影响。再者，无法对上网带宽和对个人上网行为进行管理，如电影、 QQ、炒股、 P2P下载等。、项目需求分析：根据上述宝安区公办和民办学校信息网现状情况，本次项目主要建议对民办学校信息网进行升级和组网， 纳入宝安区教育信息网， 统一网络平台和上网出口，知识改变命运精品文档你我共享实现“校校通”和“宝安教育云平台”的资源聚合与共享，并对提高民办学校网络安全水平，提升民办学校上网行为管理手段。本项目主要需求为两个方面：3.1 、新增民办学校网络组网。新增约90 个民办学

6、校教育信息网组网，在每个学校开通 10M或 100M VPN电路，直接连接宝安区教育云平台，并在宝安区教育信息网平台增设一条1000MVPN主端口电路， 让每个民办学校与区教育局信息网平台主端链接，组成宝安区民办学校专用VPN城域网网络，纳入统一平台管理。3.2互联网统一出口。为了加强对学校师生的上网行为规范的管理，各民办学校通过区教育局互联网出口上网，实现统一上网出口管理， 提升上网行为管理水平。3.3 、网络安全策略。为了提高民办学校城域网网络安全和信息保密，统一网络安全标准和行为管理，拟在每个接入学校搭建防火墙，提高整个平台网络质量、网络安全和上网管理。、宝安区教育信息网组网设计方案4.

7、1 方案设计要点本次民办学校专用 VPN组网设计应 采用承载于 RPR的可管理的三层 VPN组网方式，对宝安区教育信息网进行新增扩容，并考虑网络安全、网络行为管理等因素，做到统一网络平台、网络安全和行为多级监控、集中管理。我们充分考虑现有的实际状况，结合我们在其他案例上的经验， 总结出以下信息化改造解决方案。新增约 90 个民办学校教育信息网组网，采用三层 VPN组网方式，各学校VPN接入速率为 10M（个别大型民办学校采用 100MVPN接入，如清华实验学校等）。宝安区教育局汇聚点开通1000M VPN端口，实现与各个民办学校组网。宝安区学校信息网汇聚点统一上网出口，集中式上网行为管理。在每

8、个民办学校部署网络防火墙，并在区教育局汇聚点部署集中管理软件平台，形成多级监控和集中管理。知识改变命运精品文档你我共享2 项目解决方案网络拓扑图设计说明：教育局端部署：1）在教育局汇聚点开通1000M VPN，实现教育局总部与各个民办学校组网。2） 在教育局汇聚点部署网络安全集中管理平台。达到统一下发策略，监控和管理各学校的网络安全和上网行为。各学校端部署：1） 每个民办学校接入10M VPN电路，大型民办中小学开通100M VPN,链接至宝安区学校信息网汇聚点。2） 在各民办中小学学校的部署网络安全防火墙设备，保障学校网路安全，形成多级网络安全功能。4.3 各类民办学校 VPN组网部署学校类

9、型类型描述组网部署网络安全部署A 类终端数 25510M或 100M VPN硬件防火墙B 类120终端数 25510M VPN硬件防火墙C 类终端数 12010M VPN硬件防火墙汇聚点-1000M VPN中心管理平台知识改变命运精品文档你我共享、组网部署方案介绍：5.1 、 VPN组网部署虚拟专网（ Virtual Private Network）业务是依托于中国宽带互联网(CHINANET)，采用多协议标记交换 (MPLS)协议，结合服务等级、流量控制等技术，为用户在 CHINANET上构建企业自己虚拟专网的业务。它可以满足用户与分支机构间安全、快速的通信需求， 并能够支持数据、 语音、图

10、像等高质量多媒体业务。本项目建议采用承载于RPR的可管理的透明三层VPN组网方式 ，其特点是 ：组网灵活，扩展性强，带宽动态可调，性价比高。路 由1G汇聚点路 由10M分址 2城域网10M路分址 1扩展性好：在增加节点和客户数量方面有很强的扩展性。成本低：客户不需投资昂贵的网络设备即可组建宽带企业网。多种业务的融合：支持数据、语音、视频等多媒体业务。客户端设备要求低：采用通用路由器或具备基本路由能力的交换机即可，不需要额外特殊接口。安全性高：客户流量分别穿行在不同的“虚通道”中，实现了客户流量的隔离。可靠性高：客户节点间信息流量可以充分自动迂回，网络不存在单点故障，可靠性高。维护简单：逻辑拓扑

11、调整不需要客户侧新增任何线路或修改配置，完全在网络侧完成，对客户完全透明，减少了客户的维护工作量。知识改变命运精品文档你我共享5.2 、网络安全部署根据中共中央国务院关于进一步加强和改进未成年人思想道德建设的若干意见的通知，通知要求“各地中小学校要积极创造条件，充分发挥网络信息对未成年人的教育功能，要吧文明上网、网络安全知识列入学校教育的重要内容，提高未成年人抵御有害信息的能力。 加强学校管理和安全文明校园建设， 营造有利于未成年人健康成长的良好氛围。 ”为了达到教育部提出的营造绿色校园网络环境的要求，对本次宝安区民办学校信息网组网项目中的学校有必要采用一些可靠的网络安全技术手段和措施， 从而

12、加强我区各中小学校园网网络安全防护措施， 增强网络安全防护意识， 规范网络行为管理环境， 考虑到我区今后教育城域网的全面拓展， 为了不造成对今后学校接入设备的浪费， 本次民办学校组网项目是在基于加强网络安全和规范网络行为管理上进行统一规划，并结合我区的实际情况，本着搞性价比、 实用的建设原则，无论对资金的投入和产品的需求做了详细的规划。5.2,1 各类学校安全部署建议配置：学校规模推荐方案推荐配置吞吐量为 2GB，可支持扩展至 4GB，不少于 4方案 1个 SFP口和 8 个 GE接口，最大并发连接不少于 100 万、并支持扩展至 200 万，每秒新A 类学校，内网人数建连接不小于 30000

13、大于 250 人吞吐量为 1GB、可支持扩展至 2GB，不少于 2方案 2个 SFP口和 8 个 GE接口，最大并发连接不少于 60 万、并支持扩展至100 万，每秒新建连接不小于 12000吞吐量为 1GB、可支持扩展至 2GB，不少于 2方案 1个 SFP口和 8 个 GE接口，最大并发连接不少于 60 万、并支持扩展至100 万，每秒新B 类学校，内网人数建连接不小于 12000为 50-250 人吞吐量为 1GB，不少于 8个 GE接口，最大方案 2并发连接不少于 40 万、并支持扩展至 100万，每秒新建连接不小于10000C 类学校，内网人数吞吐量为 1GB，不少于 8个 GE接口

14、，最大方案 1并发连接不少于 40 万、并支持扩展至 100小于 50人万，每秒新建连接不小于10000知识改变命运精品文档你我共享网络安全基本功能要求：1、应用识别全新一代基于应用行为和特征的应用识别多达几百种的应用特征库应用特征库可以通过网络实时更新2、防火墙全新一代基于应用的防火墙基于应用 / 角色的安全策略可防范 DNS Query Flood 、Syn Flood 、DoS/DDoS等攻击各种畸形报文攻击防护ARP 欺骗防护3、流量管理基于角色、应用、 IP 地址、时间等的流量管理策略支持基于服务等级 (CoS) 的流控，兼容 DiffServ标记弹性流控，可以动态分配带宽4、病毒过

15、滤基于流、低延时、高并发、高性能的病毒过滤支持大病毒文件的扫描实时病毒连接阻断，病毒事件记录支持常见病毒传输协议HTTP、FTP及各种邮件协议扫描超过 40 万的病毒特征库、病毒库可以做到实时更新5、 VPN支持各种标准 IPSec VPN协议及部署方式?创新的 PnP VPN ( 即插即用 VPN)支持 SSL VPN ( 可选 USB-key)支持 L2TP VPN6、上网行为管理超过 2 千万条域名的分类Web页面库，轻松控制不良网站访问基于应用 (P2P、即时通讯、游戏、办公软件等) 的细粒度网络访问控制知识改变命运精品文档你我共享内容审计，包括对论坛发帖、外发邮件、IM 聊天等内容的

16、审计敏感文件类型过滤， Java Applet/ActiveX阻断7、入侵防御基于状态、精准的高性能攻击检测和防御实时攻击源阻断、 IP 屏蔽、攻击事件记录支持针对 HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、 MSSQL、ORACLE、 NNTP、 DHCP、LDAP、 VOIP、 NETBIOS、 TFTP等多种协议和应用的攻击检测和防御支持超过 3,000 种的攻击检测和防御8、集中监管和细粒度分析审计设备集中管理性能、流量监控与分析上网行为审计9、其他设备有集中管理功能，要求B/S 结构管理模式。集中管理中心下发的安全控制

17、策略，具有不可修改权限；既使使用防火墙的超级管理员也不能修改策略，该策略被优先执行，即使防火墙上添加允许的策略也是无效的。日志的管理接收由管理中心统一配置，不需要在每台防火墙上去配置日志管理等内容。一旦 VPN隧道建立起来，防火墙的管理就通过内部接口去管理防火墙。同时防火墙传输数据到集中管理系统，也通过 VPN隧道来发送。日志内容的查看显示，点击日志统计查询，就出现不同类型的日志按钮（管理、访问控制、攻击、扫描），同时点看按钮可以看到实时数据内容，不能用查询方式去看日志。知识改变命运精品文档你我共享、项目预算6.1 、 MPLS-VPN组网：1 、VPN组网一次性安装费用：以下预算按07 年公

18、办学校 VPN组网价格参考序号项目数量（端）单价（元 / 端）1工程接入费16000 元/ 端2安装调试费11000 元/ 端合计学校 VPN电路一次性费用7000 元/ 端2、月租费：以下预算按宝安区教育局管辖学校VPN组网价格作为参考VPN接入点速率月租数量优惠单价民办学校 VPN10 M3900 元/ 端/ 月1 端1980 元/端/ 月6.2 、网络安全设备预算： （以下预算，不含宝安区教育局汇聚点防火墙集中管理平台费用预算）学校规模方案基础配置设备预算 ( 含一年服务）吞吐量为 2GB，可支持扩展至 4GB，不少于 4个 SFPA 类学校，内网方案 1口和 8 个 GE接口，最大并发连接不少于100 万、55172.00元/ 台并支持扩展至 200 万