VPN教育城域网-升级改造方案.doc

重庆市云阳县VPN教育城域网 升级改造方案 云阳县中小学电教教仪站 编制 2013年6月 目 录 一、背景……………………………………………… 3 二、我县教育城域网现状…………………………… 3 （一）建设现状……………………………………… 4 （二）存在的问题…………………………………… 4 三、升级改造建设总体需求………………………… 8 （一）VPN教育专网改造……………………………… 8 （二）建成科学、规范的数据中心………………… 8 （三）建成统一的门户应用系统…………………… 9 （四）构建网络与信息安全保障体系……………… 9 （五）建立运维服务长效机制……………………… 10 四、建设定位与基本原则…………………………… 11 （一）数据中心的建设定位………………………… 11 （二）我县教育城域网建设应遵循的原则………… 12 五、数据中心建设的技术体系和技术框架………… 15 （一）数据中心建设的体系架构…………………… 15 （二）业务系统的技术架构………………………… 17 六、建设项目详细设计方案………………………… 18 （一）教育VPN专网建设…………………………… 18 （二）数据中心机房环境建设……………………… 20 （三）硬件建设……………………………………… 22 （四）城域网应用支撑平台建设…………………… 30 （五）应用软件建设………………………………… 34 （六）技术保障与运维队伍建设…………………… 41 （七）信息安全体系建设…………………………… 42 七、数据中心配置项目及成本预算………………… 52 一、背景 为深入贯彻落实“全国教育信息化工作电视电话会议”精神，以及《教育部等九部门关于加快推进教育信息化当前几项重点工作的通知》教技〔2012〕13号要求，扎实推进实施国家《教育信息化十年发展规划（2011－2020）》，使我县在2015年完成“三通两平台”建设（三通：宽带网络校校通、优质资源班班通、网络学习空间人人通；两平台：教育管理公共服务平台、教育资源公共服务平台），使信息技术与学科教学深度融合，我县根据已建教育城域网的实际运行情况，遵照渝教基〔2013〕11号《重庆市教育委员会关于印发区县教育城域网建设标准和普通中小学“数字校园”建设标准的通知》以及渝教科〔2013〕11号《重庆市教育委员会关于加快推进教育信息化重点工作的通知》的要求，结合我县教育信息化建设现状，提出对原有教育城域网升级改造以及数字校园建设方案。 二、我县教育城域网现状 近年来，我县陆续实施了国家农村中小学现代远程教育工程、中西部地区农村义务教育阶段薄弱学校教学设备设施改造工程，以及本县实施的义务教育保障经费项目，全县学校各项教育信息化设备资金投入约2000万元，加上学校原有信息化设备2000余万元，总信息化投入约4000万元，全县新增中小学计算机网络教室59 间，配备学生机6000余台，教师笔记本6000余台，新建班班通教室1600余间。小学四年级以上学校开设了信息技术课程。云阳中学等4所高中学校建成较为完善的校园网，其他120所学校初步建成校园网，所有中心校以上学校均通过光纤或电话线拨号等方式接入了互联网和县教委政务网。学校信息化软硬件设施得到极大提升，为我县教育信息化发展奠定了坚实基础，信息技术及网络应用已经深入到教育教学工作的各个方面，已经成为教育教学不可域缺的高效工具，改造我县教育城域网、建设我县教育信息高速公路已经迫在眉睫，是我县教育信息化以及“数字校园”建设的必经之路。 （一）建设现状 我县位于三峡库区腹心地带，全县幅员面积3649平方公里，人口134万，辖38个乡镇、4个街道。全县共有建制学校125所，3197个教学班，学生21.7万人，教师9127人。其中高完中类学校8所，中职学校1所，初级中学28所，九年制学校11所，中心小学74所，村校教学点144个。 目前我县城域网仅搭载教育办公OA平台、视频会议系统，教委机关互联网宽带出口总带宽20Mbps。教委直属事业单位、各校分别接入互联网。其中采用ADSL接入的学校共33所，光纤专线接入的学校共95所，未接入网络的共141所，42所学校拥有固定互联网IP地址，学校出口总带宽1553Mbps。 （二）存在的问题 1．信息化体系相对紊乱 按重庆市教委信息化建设发展规划，全市最终要组建统一协调的、互联互通的、高效便捷的智能化网络系统，最大限度地挖掘全市教育城域网的优势和潜力，教育信息化主要指标达到国内一流、西部领先水平，使我市成为中西部地区教育信息枢纽、优质教育资源输出地。目前，全县学校及委属事业单位均是各自为阵，信息相对孤立，学校之间、教委与学校之间、各系统平台之间信息不能互通资源不能共享，效率低下，重复建设严重。 2．教育政务网功能还很不完善 ——网络结构不尽合理。我县于2003年先期搭建了城域网中心机房，目前功能单一、体系不全，仅限于公文的上传下达和视频会议系统，根本没有教育教学、科研、管理等应用软件。网络安全级别低、网络设备通信能力差、网络运行不稳定，无法实现绿色网络环境的监管以及网络资源的合理调控，学校端互联网访问带宽也远远低于教育部规定的宽带校校通100M（互联网出口）要求。目前，网络技术已有了重大的变革和发展，从以设备为中心转向以信息为中心的云计算、云服务，原有网络模式已经难以支撑。 ——服务器运行效率不高。近年来，重庆市已经为区县配发了部分管理软件平台和硬件设备（如：学籍管理系统、教学设备管理系统、数字图书馆系统），这种采用每台服务器独立承载一个应用子系统的部署方式严重落后，重复建设严重，投资巨大，效率低下，管理不规范，浪费了大量的硬件、软件资源，不堪经济重负，且用户访问高峰期计算速度太慢。这与教育部提出的“三通两平台”建设模式相冲突。并且由于服务器承载的应用子系统的使用频率不一样，例如学籍系统，每年仅使用一至二次，常年闲置；又如办公OA服务器，每天都处于高并发访问状态，设备又不堪重负，经常宕机，严重影响正常办公，下级学校单位怨声载道。 ——设施设备老化。城域网中心机房建设已近10年，虽有少量设备更新，但绝大多数设备已经趋于老化，网络运行不稳定，主要业务办公OA经常中断服务，通信能力在本来就不高的情况下正逐步降低。 ——不能实现上网行为安全管理。《互联网安全保护技术措施规定》（公安部令第82号）要求：各互联网接入点必须安装上网行为管理设备，保留每位用户上网日志60天以上，并具有记录、跟踪网络运行状态，监测、记录网络安全事件等安全审计功能。目前我县各校各自为阵，上网管理混乱，安全隐患特别严重，若在每所学校都安装上网行为管理设备，尚需另外投入近2500万元。 3．互联网使用费巨大 全县有125所学校、4个直属单位接入教育政务网和互联网，每年都要承担高额的网络使用费。 ——教育政务网接入 光纤接入为380元/月，ADSL电话拨号接入为200元/月，全县只有少数几所边远学校采用ADSL电话拨号接入，全县学校此项费用估算为50—54万元/年。 ——互联网接入 镇乡中心校及初中以上学校均为光纤接入互联网（以至少4M—10M光纤为例，一般收费3000-5000元/月，平均约4万元/年），这类学校及单位已有95个，需要380万元/年。其余近30个单位为电话拨号接入（200元/月左右不等，约0.3万元/年），估算为10万元/年。此项合计390万元/年。 ——网站空间及托管 我县约50所学校建有自己的校园网站，由于缺乏相应的硬件设备、安全措施、网络带宽及管理技术，学校的网站或网站服务器不得不托管在IDC（Internet Data Center互联网数据中心）机房，每年支付的托管费、存储空间租金（约1元/M/年）、域名使用费等至少20万元/年。以上三项，学校及事业单位每年至少要支付网络使用费460万元以上。 4．网络带宽严重不足 按照宽带校校通每校达10M以上互联网出口带宽要求，我县仅有81所学校基本达到要求，近44所中心校以上学校及全部村校均没有达到标准。县教育城域网和学校互联网出口带宽严重不足，无法达到教育部“宽带校校通100M”的网络要求，不适应教育管理信息化和优质教育资源班班通的应用共享需要。 5．应用系统缺乏整合基础 我县已建各应用系统缺乏统一的城域网应用支撑平台（即用户集中认证平台、数据交换与共享平台、应用支撑门户平台、基础信息数据库管理与服务系统），不能实现对第三方软件的异构整合，不能无缝接入上级云应用平台，区域内各应用系统不能实现单点登录，系统相互独立、信息孤岛现象普遍。 6．运行维护机制不健全 我县教育城域网建没有完善运行维护机制，没有专业的运维队伍，出现信息更新不及时、维护费用不到位、缺乏应用软件长效技术支撑等问题。 三、升级改造建设总体需求 我县教育城域网升级改造，主要包括以下五个方面的建设： （一）VPN教育专网改造 通过与本地通讯营运商合作，改造我县开放式城域网结构，搭建覆盖我县教育主管部门、直属事业单位以及各类中小学校的VPN光纤专网，统一互联网出口管理，加强网络资源的监控和调控能力，提高网络通信能力，保障绿色上网环境。这种组网方式优点是：总体投入成本低，运行效率高。可以在其它网络硬件的同步配置下实现百兆/千兆到校园网、千兆/万兆到达数据中心机房；辖区内各单位的网络可由数据中心机房统一管理、统一监控，安全级别高；严格按照各类工程建设标准构筑的数据中心机房、网络、计算、存储等基础环境和设施，能稳定地为辖区所属各直属事业单位、各类学校提供信息系统和数据库存储与服务；运维队伍稳定，技术力量可靠，能满足持续发展。 （二）建成科学、规范的数据中心 结合教育部对“三通二平台”的建设要求，以及现代教育均衡发展对资源应用部署的需要，升级改造网络通讯硬件设备、服务运算及存储设备，完善机房安防、消防及其它环境检测保障设备建设。 受各种因素制约，以往的教育城域网建设被看成是一个网络及硬件建设工程、中心机房装修工程，而新一代教育城域网建设则被定义为一个系统工程，除了要具备足够的供电系统、制冷系统以及动态分配系统，对于数据中心建设，我们更要强调的是其必须具备灵活性、绿色节能、自动化、整合、稳定安全、虚拟化和云计算等特征，应能支撑本级系统的设备集中、数据集中、业务集中需要。 （三）建成统一的门户应用系统 为了防止信息堡垒、杜绝信息孤岛，必须建设城域网应用支撑平台（即用户集中认证平台、数据交换与共享平台、应用支撑门户平台、基础信息数据库管理与服务系统），以“信息整合、业务聚合、服务融合”方式，接入上级平台的各类公共应用、拓展下级各单位的个性化特色应用，实现各级各类学校与各级教育管理部门之间数据互通和系统互联，在满足地区特色化教学管理及应用的基础上，全面提升我县教育监管能力与服务水平，按时完成教育部对“三通二平台”的建设规划目标，促进城乡教育资源均衡发展和可持续发展。 本级平台建设各类应用软件时，必须严格按照“登录＋应用＋数据库”的架构原则分类集群部署，充分提升硬件资源的利用率和通信能力，提升系统运行的稳定性和访问速度。 （四）构建网络与信息安全保障体系 在数据中心建设过程中，我们要按照国家和教育部关于信息安全等级保护相关政策要求和技术标准规范，从管理和技术两个角度构建网络与信息安全保障体系；要对数据中心所承载的信息系统进行安全定级与备案，并依据所定安全级别要求进行安全规划和建设；要按照国家相关要求对信息系统进行定期安全等级测评，国家教育管理信息系统由教育信息安全等级保护测评中心统筹实施；要设置网络与信息安全职能部门和岗位；要加强人员安全意识培训和技能培训，技术人员要逐步落实持证上岗；要建立安全监控与预警体系，对本级信息系统安全运行状况进行监控、预警及管理的同时，实现与上级安全监控与预警体系对接；要建立网络与信息安全工作体系，建立联络员机制，建立安全管理工作信息化平台，按照信息安全等级保护要求实现信息系统全生命周期安全管理，并与县级安全管理工作信息化平台衔接实现数据上报；要建立定期安全检查机制并配合主管部门和当地公安部门做好监督检查工作。 数据中心建设应采用纵深防御的安全保障机制，确保核心数据资源的安全保护。要制定切实可行的信息安全策略，从基础设施、平台应用和服务交付等各层面综合保障数据中心的安全。 （五）建立运维服务长效机制 建立科学规范的运维服务长效机制，是推进数据中心由发展阶段进入成熟阶段的重要环节，更是促进数据中心得以持续有效应用的推进剂。要建立可行的运维保障体系，实现集中的教育信息化基础环境和基础设施的运行维护；制定配套的数据维护、交换、管理制度，建立管理信息系统运行的运维技术队伍；要创新运维服务长效机制，建立责权明晰的运维组织机构，建立标准的运维服务规章制度和工作流程规范。 与软件企业良性合作，共同构建数据中心运行维护与技术服务支撑平台，建立良好的技术服务体系，提供用户使用方法指导服务、数据采集更新服务、数据备份支撑服务、技术创新和系统升级售后服务。 四、建设定位与基本原则 （一）数据中心的建设定位 以“信息整合、业务聚合、服务融合”为建设理念，按照“三通二平台”的建设要求，深度融合政府、社会、学校、家长、教师、学生等多方面的应用需求，建成覆盖辖区教育主管部门、直属事业单位和各类中小学校的光纤专网体系，搭建科学、安全、高质量、高标准的区域公共教育云平台；实现与教育部及市级各核心应用系统之间的数据互通，努力实现教育资源的均衡发展。 （二）我县教育城域网建设应遵循的原则 遵循国家及教育部信息化标准与规范，严格参照《国家教育管理信息系统建设总体方案》和《重庆市中小学数字校园建设指导手册》的要求，本着经济、实用、够用及适度超前的原则，建成高质量、高标准的区域公共教育云平台，并于2015年前完成各中小学校“三通二平台”的建设目标，使信息技术与学科教学深度融合，实现主管部门与学校之间、学校与学校之间、教师与教师之间、教师与学生之间信息资源的高度共享以及教育管理模式的网络化，降低教育系统内部办公成本，提高办事效率，提升教育教学质量，加快教育现代化建设步伐。 先进性原则 采用当前国际先进成熟的主流技术，以适应海量数据传输以及多媒体等信息交换的要求，网络主干具有足够的带宽，能够无阻塞的处理多媒体流量，考虑到3-5年内的技术发展，使整个网络系统在五到十年内保持领先水平，并具有长足的发展能力。先进性内容主要包括：系统设计思想先进、软硬件设备先进合理、网络结构先进、开发工具先进。系统设计既兼顾技术上的成熟性，同时也保证系统的先进性。 可靠性原则 城域网建设的主要目的是为教学服务，它是各校园网资源的汇集和连接的桥梁，是教育系统网络信息处理的核心，大量的数据不断地在网络上传输，应用系统及网络传输必须保证其稳定可靠，能够提供365天、每周7x24小时不间断运行及服务能力。 标准性原则 硬件环境、网络环境、软件开发及运行使用环境都要遵循国家及教育部信息化标准与规范相互。 相关标准、规范及工作要求如下: （1）国家相关文件及规范 Ø 《国家电子政务工程建设项目管理办法》 Ø GB 50174-2008 电子信息系统机房设计规范 Ø GB 50462-2008 电子信息系统机房施工及验收规范 Ø GB 50311-2007 综合布线工程设计规范 Ø GB 50312-2007 综合布线系统工程验收规范 Ø GB 50395-2007 视频安防监控系统设计规范 Ø GB 50263-2007 气体灭火系统施工及验收规范 Ø GB 50394-2007 入侵报警系统工程设计规范 Ø GB/T 20269-2006 信息安全技术 信息系统安全管理要求 Ø GB/T 20984-2007 信息安全技术 信息安全风险评估规范 Ø GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 Ø GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 Ø GA/T 388-2002B 计算机信息系统安全等级保护管理要求 （2）教育部相关文件及规范 Ø 《国家中长期教育改革和发展规划纲要（2011-2020年）》 Ø 《教育信息化十年发展规划（2011-2020年）》 Ø 《2012年教育信息化重点工作》（教技厅[2012]1号） Ø 《教育部等九部门关于加快推进教育信息化当前几项重点工作的通知》（教技[2012]13号） Ø 《国家教育管理信息系统总体建设方案》 （3）国家教育管理信息系统技术标准与规范 Ø 《教育服务与监管体系信息化建设项目应用系统运行环境指南》 Ø 《教育服务与监管体系信息化建设项目统一用户认证规范》 Ø 《教育服务与监管体系信息化建设项目门户集成开发规范》 Ø 《教育服务与监管体系信息化建设项目统一用户管理规范》 Ø 《教育服务与监管体系信息化建设项目应用系统开发安全规范》 Ø 其他相关技术规范 （4）地方标准 Ø 《重庆市教育城域网建设标准》渝教基[2013]11号 Ø 《重庆市中小学数字校园建设标准》渝教基[2013]11号 扩充性原则 我县数据中心建设应考虑可扩展性和易维护性，适应系统变化要求，以最简便的方法、最低的投资，实现系统的扩展和维护，降低人力资源费用。 实用性原则 系统建设应坚持实用性和经济性，始终贯彻面向业务应用。在进行架构规划时，不盲目单纯追求设备的先进性。在充分考虑应用性能的基础上，应充分考虑原有IT设备的投资和保护，切实提高经济效益。 安全性原则 安全性主要包括网络安全性和应用系统的安全性。安全性的好坏最能体现系统的网络应用能力和信息化建设的程度。网络安全性要求建立网络安全机制，一是要配“防火墙”，以实现数据过滤功能，将不安全的数据流和路由信息拒之门外；二是采用网络隔离、访问控制等安全防范措施，保证了网络的安全运行，有效地防止未经授权的访问。应用系统的安全性要求架构科学先进，一是要求从数据库到应用，设计要科学，要能保障高并发时的运算能力，其中包括数据库的承载运算能力和应用系统的共享能力；二是要求编程代码简洁规范，进程回收及时；三是要求应用流程严谨，符合使用习惯；四是要求具有工作自动接转和冗灾备份应急措施。 独立性原则 教育网是基于各学校为网元构建起来的面向教育系统的大型网络。独立性在教育网中体现在两个方面：一是整个教育网网络对于外部网络而言是一个物理上的独立实体，单独并唯一的实现对整个教育网的统一网络管理；二是各学校作为教育网的基本网元在物理上也应该具有一定的独立性。 可管理性 对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。 强QOS（Quality of Service）、强组播特性 教育网因为对视频、音频等多媒体业务的需求较大，为实现区别服务，整网端到端的QOS特性机制是优质网络业务的保证。另外组播特性对于有效地保证多媒体流传输性能和节省带宽也有非常重要的意义，基于组播的控制特性也会进一步保证组播流的控制、管理和安全，从而为实现教育城域网的多业务支持提供保障。 兼容性和经济性 兼容性，能够最大限度地保证学校现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段（如现有的双向教学系统），保证各种在用计算机系统（包括工作站、服务器和微机等设备）的互连入网，充分利用现有网络资源，发挥主干网的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有设备或做必要的升级。 五、数据中心建设的技术体系和技术框架 （一）数据中心建设的体系架构 我县教育城域网建设必须遵守全市教育云建设整体设计：我市教育云的建设实行“两级建设三级应用”模式。二级建设是指市、县级数据中心的分别建设，三级应用包括市、县区和学校三级单位的共享应用。学校以远程应用为基础，为本级教育机构及上级机构提供基础数据。 建设项目及部署要求 序号 信息系统 作用、部署模式 备注 一、城域网公共服务软件平台 1 统一用户认证管理平台 实现所有应用子系统的一步登录、全网通行（即单点登录）；按省、市、县分级独立部署，上下级平台的用户数据自动交互共享；。 必建 2 数据交换与共享平台 实现上下级平台和平台内各系统之间相关数据的自动交互和共享；按省、市、县分级独立部署，上下级平台的各类数据自动交互共享。 必建 3 应用支撑门户平台 在统一的门户平台上集中部署本级所有应用软件和教育教学资源，并无缝接入上级平台的各类核心应用系统，实现登录门户管理；按省、市、县分级独立部署。下级平台根据《重庆市中小学数字校园建设指导手册》的要求，无缝接入上级平台相关应用子系统，实现单点登录和数据自动上报。 必建 4 基础信息数据库管理与服务系统 为集群到门户平台上的所有应用软件提供规范、标准的基础共享数据，避免重复工作，保障基础数据的标准化；按省、市、县分级独立部署，上下级平台数据自动交互共享。 必建 二、数字校园应用软件 5 教育管理公共服务平台 教育部 系统 接入教育部五大部分共20个核心应用系统项目 接入 市级系统 重庆市中小学教学设备管理系统 接入 区县级 系统 数字校园管理平台 必建 公文OA系统 必建 教育教研视频会议系统 必建 人事管理系统 选建 教育GIS信息系统 选建 自助建站系统 选建 6 教学资源公共服务平台 学脉网 接入 数字图书馆 接入 仿真实验室 选建 学习空间人人通 必建 城域网数据中心是信息交换体系的主体，既是教育资源交换体系的节点，又是教育资源信息系统的中枢。其主要作用是：一是为本级教育资源管理信息系统提供管理及运行平台；二是为远程信息系统按权限调用教育资源提供共享和交换机制；三是为本级信息服务系统的信息提取提供数据源支持。 通过我县数据中心的建设，实现与部、市两级教育数据和信息的共享，消除信息孤岛和应用孤岛，实现横向和纵向业务的整合，形成业务联动和一站式的信息服务与监管体系。 （二）业务系统的技术架构 1．数据库设计 在设计数据库系统的过程中，将通过考虑以下几个方面的问题来保证系统数据库支撑平台的要求： （1）系统硬件配置情况，在尽量降低硬件要求的前提下确保系统运行的稳定性。 （2）网络拓扑结构，将考虑涉及诸如防火墙、安全性、带宽和速度方面的因素。 （3）数据库大小、并发数、云化集群能力。必须采用Oracle或Mysql之类的大型数据库。 （4）故障修复，任何系统都有出错和死机的可能，因此，必须规划完备的数据备份、恢复、工作接转机制。备份方式包括完全备份、差异备份、冗余备份（逻辑备份、物理备份）等。 2．部署与维护 在采用.NET技术进行开发的同时，也继承了.NET技术的巨大优势——即XCOPY模式的部署与维护。即无论在系统安装部署过程中还是在升级与维护时，所有源文件和目标代码都仅仅需要拷贝到响应位置的目录中，而不必重启机器。 3．应用集群能力（云部署） 云计算是一种基于因特网的超级计算模式，几万甚至几千万台电脑与数据中心的若干服务器连接成一片，用户通过电脑、笔记本、手机等方式接入数据中心，按各自的需求进行存储和运算，从而实现节能减排、资源共享、高速计算的能力。 4．负载均衡 云部署必然涉及到负载均衡机制。负载均衡建立在现有网络结构之上，它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。 5．接口设计 引进常用的XML数据交换方式，要适用于异构系统之间交换事务信息，全面支持使用开放式的方式协助整合信息，使信息在不同的应用系统间流畅互通，使不同系统之间的数据得以动态共享，强化数据使用者与系统之间的聚合性。 六、建设项目详细设计方案 （一）教育VPN专网建设 我县将数据中心机房设置在县级（县教委八楼），运营商中心机房与数据中心用光纤互连。再通过租用运营商的光纤专网链路，将数据中心与县教育主管部门、直属事业单位，以及各类中小学校连接成一个庞大的专用局域网，并接入市级光纤骨干网。各单位通过局域网或无线网络远程访问数据中心资源，各单位在局域网内要访问互联网资源必须得到城域网中心机房的设置许可，同时，数据中心可以对各单位上网带宽、访问网站、搜索信息等进行设置许可及上网行为监控。 1．骨干层：是教育城域网的运行中枢，为全网提供快速数据交换和网络管理支持，以IDC的形式对全网提供服务和出口管理，是各种数据、媒体流汇聚的我县。核心路由交换机需要具备高可靠性、高性能、高端口密度、高安全性、可管理性的要求，并且有网络可扩容升级能力和多钟业务支持能力。在完成高速交换的基础上，能够提供稳定可靠的网络基础服务功能并能够支持下层的基础功能、分布服务以及QoS保证。根据全市教育云建设总体方案，以市级数据中心为主节点，按照市、县、校三级分级建设、互联互通。市级骨干网主节点到县区支节点10G，县区和学校子节点之间根据学生人数的多少采用不同的带宽接入。 根据《重庆市教育城域网建设标准》的规定，学校到教育城域网光纤接入带宽要求分别为：1.学校师生人数≥1200人，接入带宽1000M；2.学校师生人数在300人—1200人，接入带宽≥100M；3.学校师生人数≤300人，接入带宽≥10M。4.村小（教学点）≥2M（可选ADSL方式）。 2．汇聚层：是保证骨干层和接入层间的有效连接、提供分布服务、设置网络路由的重要层次。采用大容量多业务路由交换机作为各大楼汇聚点的上行汇聚。教育城域网的建设将分情况区别对待所在区域的汇聚交换机，流量汇聚后进入骨干层。 3．接入层：是接入教育城域网汇聚层的教育教学最终用户集合。老师和学生通过接入层进入教育城域网络，利用网络资源来学习和工作。 信息资源中心提供大量的服务器群组针对不同部门、机构提供相应的数据业务服务，认证管理、计费等功能。通过网管系统来实现对全网网络设备的管理和维护、故障报警等。同时服务器群将通过全千兆交换机来营造千兆高速访问的环境。 （二）数据中心机房环境建设 数据中心机房建设可根据我县的实际情况，采用租用营运商的光纤通讯线路方式，安全上要求满足国家信息安全等级保护相关技术要求。数据中心机房建设内容包括：机房布局设计、装修子系统、电气子系统、防雷接地子系统、不间断电源子系统、空调新风子系统、安防子系统、环境监控子系统、综合布线子系统、消防子系统、机房机柜设备、KVM子系统等。 （1）机房布局设计 按照功能布局分为：数据交换区、数据存储区、数据备份区、数据服务器区及监控区等。 （2）装修子系统 中心机房装修系统建设包括吊顶、地板、墙面、隔断、门窗等的建设。 机房墙面采用彩钢板或彩钢板饰面，采用轻钢龙骨做结构，防火石膏板外贴彩钢板，轻钢龙骨内填充加岩棉，起到隔音保温作用。彩钢板表层具有防尘、防潮、防静电功能。主机房吊顶采用微孔铝板吊顶，顶部做防尘、防水处理，铝板需做接地处理。主机房地面采用无边抗静电地板。隔断采用不锈钢包框12mm厚防火玻璃。 （3）电气子系统 中心机房设备用电和动力供电分开。电源采用双路供电，动力供电的设备包括空调、照明、维修插座等。机房内强电走线为下走线方式，桥架均作接地连接。 （4）防雷接地子系统 依据机房配电的实际情况，机房防雷按照IEC标准进行安全的二级配合保护，本工程按大楼的总配电室加装一级电源防雷装置考虑，故防雷工程只在与机房相关的配电柜安装浪涌保护器。机房内金属天花板、地板、管槽等都要做保护接地，并就近连接到配电箱PE排上。镀锌钢管、金属软管、金属接线盒、金属线槽外壳等均应进行可靠接地，避免因电源波动较大而干扰设备的正常工作。中心机房建设工程在大楼外挖沟埋桩、焊接地排，使接地电阻小于1Ω。 （5）不间断电源子系统 通过对机房设备用电量的估算，建议UPS选用1-2台（现有UPS系统可沿用），延时8小时以上。 （6）空调新风子系统 中心机房建设工程应采取主机房设置精密空调，部分区域设置商用空调的形式。机房内空调采用N台使用加1台备用机的方式。 机房内新风系统采用吊卧式新风机。 （7）安防子系统 安防子系统包括门禁系统和监控系统。门禁系统主要是在重要的区域设置门禁，对进出人员进行管理登记。监控系统是指在重要的区域安装摄像头，做到监控无死角，对机房进行实时监控录像。 （8）环境监控子系统 中心机房建设工程环境监控系统是对机房的温湿度、消防、UPS主机、精密空调、配电、漏水等子系统进行全面集中监控，并要做到准确定位。应具有本地声音报警、短信告警功能，支持实时显示、智能查询、报表、存储功能。支持远程访问，并要将门禁及监控系统统一平台界面。 （9）综合布线子系统 中心机房建设工程每台服务器机柜至网络机柜，连接12根超五类非屏蔽双绞线。双绞线连接到机柜后侧的配线架上。同时可以在地板下预留弱电线槽，或者采用机柜上走线方式。 （10）消防子系统 中心机房建设工程采用七氟丙烷气体灭火装置。消防工程所采用的器材和设备必须是经国家指定的检测中心确认合格的产品。消防系统的设计施工及验收必须经消防检测中心确认及验收。 （11）机房机柜设备 中心机房预期放置的网络机柜和服务器机柜统一采用42U标准机柜，规格为2000mm×600mm×1000mm。机柜内统一使用PDU为各类设备供电。 （12）KVM子系统 中心机房建设工程中所配备的KVM系统必须具备所有服务器的集中操作控制等功能。 （三）硬件建设 1．网络硬件建设 中心机房的硬件设备主要有：路由器、核心交换机、负载均衡设备、上网行为管理、防火墙、存储系统、数据备份、应用服务器、流量控制、备用电源等（交换机、路由器、防火墙需要硬件本身具有支撑虚拟化的能力，采用虚拟技术，实现一主一备的安全机制）。我县可以采取多运营商接入以及双机热备方式。 （1）路由器的选择 我县学校数量125所，学生人数21.6万人，教学班3197个，教师人数9127千。网络为三层结构，学校上联带宽100兆，汇聚交换机上联核心交换机带宽为1000兆，每一汇聚交换机下联10所学校。按照重庆市中小学校生机比例标准：小学生机比为12：1；初中生机比8：1；高中生机比4：1该我县学生电脑应达20000台左右，教师电脑数为10000台，“班班通”电脑3200台。电脑总数达到3.3万台。核心路由器并发连接数=10.5x33000=346500，应选择并发连接数大于350000，支持NAT、VPN等功能，具有光纤接口或以太网接口的企业级路由器。 （2）交换机的选择 核心交换机的选择 由于核心交换机需要千兆上联路由器和机房应用服务器交换机，千兆下联从汇聚层上来的10条光纤，因此核心交换机至少需要24个千兆端口，交换机百兆端口数量48个。核心交换机应选择背板带宽应大于57.6G，包转发率应大于42.9兆，具有网络管理功能，支持远程访问控制，支持VLAN划分和组播功能，具备安全管理功能的三层交换机。 汇聚交换机的选择 汇聚交换机需要千兆上联核心交换机，百兆下联10所学校的主干交换机，因此汇聚交换机至少需要1个千兆端口，10个以上百兆端口，此类交换机一般为2个千兆端口，24个百兆端口。汇聚交换机应选择背板带宽应大于8.8G，包转发率应大于6.5兆，具有网络管理功能，支持远程访问控制，支持VLAN划分和组播功能，具备安全管理功能的交换机。 （3）负载均衡设备选择 负载均衡设备实现将外部访问均匀的分配到内部多个服务器上，县、县级平台可根据应用情况，灵活部署。 （4）上网行为管理设备选择 要求能支持黑（白）名单、网站内容、上网时间、用户带宽、协议管理和访问日志记录（保存90天以上）等功能。上网行为管理系统既可以采用纯软件系统，也可以采用硬件设备。纯软件上网行为管理系统是最近几年才出现的产品，其优点是管理和使用方便，建设成本低，其功能与硬件设备基本相同，建议采用纯软件上网行为管理系统。不论是纯软件还是硬件型产品，其主要技术指标都是并发连接数。 （5）防火墙的选择 防火墙实现内外网的隔离，防止内网设备免受外部攻击，保护内网安全，其主要技术指标是并发连接数，计算公式同路由器，支持VPN、NAT、Qos等功能的产品。 （6）流控管理的选择 能对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制，保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，进而帮助用户全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。 （7）备用电源的选择 备用电源UPS不得少于4个小时不间断供电，中心机房应该使用发电机+UPS模式。 2．服务器及管理员电脑 根据《市级教育数据中心建设指南》的规范要求，各应用系统以B/S 架构为主，统一门户和认证，业务系统服务器架构以三层架构为主，即由Web服务器、应用服务器、数据库服务器组成，同时配置辅助管理类服务器。 （1）服务器系统设计 服务器将主要服务于以下区域： DMZ（Demilitarized Zone）区 所有对外提供服务的Web服务器都放置在DMZ区。设计Web服务器采用虚拟服务器方式提供服务。所以在DMZ区将提供一定数量的虚拟化服务器。对于不同处理能力的业务系统，将分配不同数量的虚拟化Web服务器，以适应并发访问的请求。 应用服务区 应用服务器主要负责承载应用系统的业务逻辑层计算，采用虚拟化服务器方式可有效提高服务器资源利用率。对于不同业务处理能力的业务系统，将分配不同格式的虚拟化服务器，来满足计算量要求。 数据库服务区 数据库服务区中将放置数据库服务器，根据业务系统处理能力的不同，为不同业务系统分配不同资源，包括配置不同处理能力的物理服务器，建立不同级别的数据库服务器。 根据用途不同配置三类服务器，各类服务器配置要求如下表所示。 类别名称 建议配置的最低技术标准要求 部署位置 I类服务器 4路8核/10核，128G内存，配置512MB Cache独立8通道SAS RAID卡，RAID10+热备盘、RAID5，硬盘5块600G，配置4个千兆以太网口，HBA卡8GB2块，支持虚拟化技术 web、应用、中间件等 Ⅱ类服务器 4路或8路8核/10核，32G内存，配置512MB Cache独立8通道SAS RAID卡，RAID10+热备盘、RAID5，硬盘5块600G，配置4个千兆以太网口，HBA卡8GB2块，支持虚拟化技术 数据库服务器 Ⅲ类服务器 1路4核，4G内存，硬盘3块500G，RAID卡，配置4个千兆以太网口 认证、管理、备份等 （2）WEB服务器选择 Web 服务对主机的文件访问或session 数有较大要求，通常Web 服务对主机CPU的要求低，可通过“虚拟机＋负载均衡集群”的方式提高系统的运行效率和可靠度。为达到资源的完整利用和资源的动态调配，以物理主机虚拟出的虚拟主机提供Web服务。根据部署应用系统的不同可以选用Linux或Windows平台。建议选择双路机架服务器或四路机架服务器，同时配置云数据中心统一管理平台和虚拟化软件。 （3）应用、中间件服务器选择 应用、中间件服务器与web服务器一样，采用“虚拟机＋负载均衡集群”的方式提高系统的运行效率和可靠度。为达到资源的完整利用和资源的动态调配以物理主机虚拟出的虚拟主机提供应用和中间件服务。根据部署应用系统的不同可以选用Linux或Windows平台。建议选择八路机架服务器或四路机架服