上海市中小学教育网

上海市中小学教育信息系统 附件五 上海市中小学教育 信息系统方案 1999年5月15日 方案说明 为了创建上海“一流基础教育”，根据上海市教委关于实施素质教育和加强应用现代教育技术的部署，在20世纪的最后一年，进一步做好本市中小学建网、建库、建队伍的工作，优质、高效、及时地为中小学提供教育信息服务，xx网络与信息工程中心受上海市教委信息中心中小学信息部的委托，根据上海市中小学教育信息应用系统的基本需求，与上海邮电及华教公司共同研究，设计了本实施方案。本方案根据上海市中小学建网、建库、建队伍的需求出发，对中小学教育信息网的总体设计思想和框架做了阐述，并根据这一思想，对中小学信息中心的网络和系统方案，以及外围用户的接入形式做了具体的设计。其主要组成部分如下； ​ 中小学教育信息网的总体设计思想 ​ 中小学教育信息网的大网络结构 ​ 中小学教育信息中心的局部网络设计 ​ 中小学教育信息中心的应用系统设计 ​ 网络管理和实施方案 ​ 上海市中小学校园的相关应用描述 ​ 对区县中心和中小学校园网建设的指导性 本方案还着重讨论了中小学教育信息系统建设中可能碰到的一些技术难点和重点，网络的安全性和管理模式，以及对网络建设的质量监控手段。 目录 TOC \o "1-4" 1 引言 6 2 需求分析 7 2.1 教育信息系统的主要信息类型 7 2.2 教育信息系统的主要应用类型 7 2.3 各子系统分布的特点 7 3 设计指导思想 8 3.1 原则方针 8 3.2 设计目标 8 3.2.1 网络功能目标 8 3.2.2 网络性能目标 9 3.2.3 网络管理目标 10 4 网络方案 12 4.1 本方案设计的总体思想 12 4.2 总体网络方案 12 4.2.1 现实条件 12 4.2.2 可选方案 13 4.2.2.1 利用上海邮电ATM网的帧中继服务 13 4.2.2.2 利用上海科技网的虚拟网络 14 4.2.2.3 利用上海热线的公共IP网络平台 15 4.2.3 总体网络拓扑结构 16 4.2.3.1 中心的外连接口 17 4.2.3.2 分节点接入 17 4.2.3.3 普通用户接入 17 4.2.3.4 网络设备选型 17 4.3 中小学教育信息中心网络 18 4.3.1 上海市中小学教育信息中心的网络设计 18 4.3.2 网络技术选择 18 4.3.2.1 网络设备的系统结构 18 4.3.2.2 虚拟网络 18 4.3.2.3 路由功能 19 4.3.2.4 容错功能 19 4.3.2.5 网络管理 19 4.3.3 网络拓扑结构 20 4.3.4 主要网络设备介绍 21 4.3.4.1 中央交换设备 21 4.3.4.2 边缘接入设备 21 4.3.4.3 远程拨号服务器 21 4.3.4.4 防火墙 22 4.3.4.5 网络监控及过滤设备 22 4.3.5 服务器及应用软件配置 23 4.3.5.1 数据库服务器 23 4.3.5.2 WEB服务器、DNS服务器 23 4.3.5.3 代理服务器、FTP服务器 24 4.3.5.4 Email服务器 24 4.3.5.5 认证服务器 24 4.3.5.6 网管服务器 25 4.3.5.7 系统管理服务器 25 4.3.5.8 开发及维护 25 4.4 中小学教育信息网的系统及网络管理方案 26 4.4.1 系统及网络管理的职能目标 26 4.4.2 网络管理模式的确定原则 26 4.4.2.1 分布式网络管理模式 27 4.4.2.2 服务级网管模式 27 4.4.3 系统管理方案 27 5 中小学教育信息应用系统概览 28 5.1 网络通讯系统 28 5.2 计算机、网络教学系统 28 5.3 学校日常管理系统 28 5.4 图书文献、情报、资料系统 29 5.5 基于IC 智能卡学生应用系统 29 5.6 网上学校教学与管理系统 29 5.6.1 运作原理 30 5.6.2 模块介绍 30 5.6.3 系统服务业务流程 33 5.6.4 系统结构图 34 5.6.5 数据库管理 34 6 技术重点和难点 36 6.1 网络互联 36 6.1.1 现状和需求 36 6.1.2 解决方案 36 6.1.3 补充建议 36 6.2 备份与容错 37 6.2.1 需求分析 37 6.2.2 解决方案 37 6.3 安全性 38 6.3.1 需求分析 38 6.3.2 解决方案 38 6.3.2.1 分节点 39 6.3.2.2 中心节点 39 6.3.2.3 补充建议 40 7 系统实施 41 7.1 实施计划、进度、节点目标 41 7.2 质量保证措施 41 7.3 技术支持、系统管理及维护、人员培训 42 7.3.1 技术支持 42 7.3.2 系统管理及维护 43 7.3.2.1 中心系统管理及维护 43 7.3.2.2 节点系统管理及维护 44 7.3.3 人员培训 45 7.3.3.1 中心人员培训 45 7.3.3.2 节点人员培训 46 8 节点建设建议标准 47 8.1 概述 47 8.2 机房环境要求 47 8.3 中心标准 48 8.3.1 路由及出口 48 8.3.2 网络标准 48 8.3.3 硬件标准 50 8.3.4 软件标准 50 8.3.5 管理规范与人员配备 50 8.4 站点标准 51 8.4.1 路由及出口 51 8.4.2 网络标准 51 8.4.3 软/硬件标准 53 8.4.4 管理规范与人员配备 53 9 效益预测和系统概算 55 9.1 效益预测 55 9.1.1 经济效益 55 9.1.2 社会效益 55 9.2 经费概算 57 9.2.1 投资估算方法说明 57 9.2.2 预算概要 57 9.2.3 投资预算清单 58 1​ 引言 目前，国际互连网络( Internet) 在全球迅猛发展，它从最初用于大学，政府， 研究机构之间共享资源和信息通讯发展至今天，已经成为一个拥有数千万用户和一个庞大信息资源库的网络，成为现代信息技术革命和信息产业的主要内容。 在Internet浪潮的带动下，各个地区、团体、行业相继建立起自己的Intranet，使得在自身的范围内实现资源共享、协同工作，同时通过相应的入口与Internet连接，以达到世界范围内的信息交流的目的。 在这一时代背景下，为顺应国际大都市信息化发展的趋势和响应上海地区高速发展的经济对信息化日益迫切的要求，上海市提出了建设“信息港”工程的目标。这一跨世纪工程是基于上海信息化发展的现实情况，将电信领域中区域综合性通信的“电信港”概念在现代信息社会环境中的引伸。上海“信息港”工程实际上是上海地区性“信息高速公路”，它由覆盖全市并与国内外信息网相连的天地一体化的高速、大容量信息传送网和社会化应用信息系统构成，是建设以上海为龙头、辐射长江三角洲及长江沿岸经济带发展的社会信息化城市基础设施。信息港能够为商业、金融、行政、教育及娱乐领域提供快速便捷的信息传输服务，比如信息发布、电子市场、远程教学、电子邮件、电子付款等等.。 与此同时，随着集成电路技术的发展，计算机的价格不断下降，计算机已经不仅仅局限于实验室，正越来越普遍地走入广大市民的家庭、走入中小学校的教室。中小学教育用计算机市场发展迅速，已成为中国计算机市场重要的增长点之一。但是，由于教育软件的相对落后，往往不能使计算机充分发挥辅助教学的作用，在很多情况下流于游戏机、打字机；另一方面，中小学校的网络建设还很不完善，即使是在校园内部也不能实现很大程度的资源共享，更不用说校际的信息交流了。 因此，为把两方面的有利因素相结合，有了建设“上海市中小学教育信息系统”的设想。这一工程的实施，将充分地利用信息港丰富的网络资源，极大地推动对传统教育手段的革新，是现代化的教学手段与先进网络技术的有机结合，对上海市的中小学教育将起到重大的促进作用。 2​ 需求分析 2.1​ 教育信息系统的主要信息类型 ​ 文本：教育信息网中最主要的信息类型是文本型的，其中包括大量的文字，数据和表格等，基本涵盖所有应用类型，涉及教学信息，管理信息等方方面面。 ​ 图象：主要是大量多媒体课件，网管中的图表显示和管理信息中的图片资料等。 ​ 视频：涉及电视会议系统，远程教学，和视像点播（VOD）等应用。 ​ 音频：内部网络电话，独立的声音资料和上面两项中所附带的声音信息。 需要说明的一点，作为管理信息上行的数据流量远远超过下行的数据流量；而对于大多数应用来说，情况刚好相反，下行的压力较大。而大量的多媒体信息恰恰是在后者出现。 2.2​ 教育信息系统的主要应用类型 基本Internet应用 教育信息库 管理信息库 多媒体课件 远程教育 网上学校 信息和应用主要涉及这样一些技术，万维网（WEB），数据库，多媒体制作，视像会议（VC），VOD；网络的设计思想就是要求网络本身可以满足这些技术对网络带宽，时延，时延变化和服务质量等方面的要求，当然这里面还包含着最关键的一点即安全策略。 2.3​ 各子系统分布的特点 中小学教育信息网的特点之一就是各子系统的分布比较分散，物理上，各区县中心和大量中小学校遍及市区和各个郊县，各种形式的数据库也分散在多个小型信息中心，这对管理和访问带来了诸多的不便，我们将在网络设计中考虑这些问题 3​ 设计指导思想 3.1​ 原则方针 *​ 实际原则。一切从实际出发，遵照实际情况确定方案的选择与实施。 *​ 先进原则。利用最先进的计算机技术来建设网络平台和应用系统，并不断跟踪国内外的最新技术动态，保持系统的先进性。 *​ 经济原则。在设备选型和软件开发平台的选择上，对具有相似功能的产品进行全面的比较，用有限的资金购买更多的、性能价格比更高的产品。 *​ 高效原则。动员多方力量，团结合作，相互配合，使系统的建设得以高效率地进行。 3.2​ 设计目标 上海市中小学教育信息系统网络平台必须依据教育和管理中的各种应用系统的需求设计，是信息系统之间的信息交换和共享的平台。中小学教育信息系统的主要模式还是客户机/服务器（Client/Server，C/S）结构，大量的信息以数据中心形式实行集中管理，并供主要信息系统共享。网络的设计必须有效支持C/S模式的应用，同时支持VC，VOD等实时多媒体的应用。 选择网络设计方案时，应该考虑整体网络的设计效果，必须有一定的相关的指标来衡量设计的方案；在选择网络设计方案时，更应该考虑网络本身对于应用的支持情况，这是十分重要的，也是最基本的要求。我们从应用角度出发来考核网络能力。 对于网络的考核在这里有一些目标，功能目标，性能目标，管理目标。 3.2.1​ 网络功能目标 ​ 中小学教育信息网是一个支持多种应用系统的统一网络平台 中小学教育信息系统是一个集教学，管理和信息发布为一体的综合服务体系，它应能适应各种应用的要求，完成各种形式的信息传递的功能，集成文本，数据，表格，图象，语音，视频的通信，突破传统的数据和音像分割的局面，做到一网多用，避免重复建设。 ​ 中小学教育信息网应是具有高可靠性、高安全性的运行网络 中小学教育信息系统是一个面向全市中小学，进行管理和提供教育信息的网络，其功能的重要性要求这个网络必须有足够的保障措施保障网络通讯平台的高可靠性，高安全性。网络及信息系统的安全必须得到高度的重视，确保关键的数据的安全传输，又要保证一般性服务数据的通畅访问。 ​ 中小学教育信息网应是具有良好的可扩展性和有一定冗余的网络平台 随着教育手段的不断发展，和管理机制的改变，加上不断有大量的信息进入该系统，中小学教育信息系统也将面临着网络结构重组，增加和信息数量和位置变化等问题，这就要求该系统有良好的扩展性和灵活的重构机制，同时也应为将来的信息流有一定的预留空间。 ​ 中小学教育信息网应是一个较为先进的网络平台 中小学教育信息网是一个面向21世纪的教育信息网络，该网不仅要支持现有的教育和管理模式，而且还应满足将来教育发展的需要，特别是对综合业务应用即数据，语音，视频等多媒体应用的支持。这就要求网络的规划设计必须在考虑技术的可行性和先进性同时，还要考虑到前瞻性。在网络设备、线路、带宽、传输选择，以及重要网络节点内部结构设计时，都需要权衡现有需求和未来发展需求之间、现有技术和未来技术发展方向之间的矛盾。 3.2.2​ 网络性能目标 ●​ 延时（delay）。网络的延时是一比特的数据从一台计算机传到另一台计算机所花费的时间。延时随参与通信的两台计算机的位置不同而有所不同。延时包含信号在介质中传输的传播延时（propagation delays）、网络设备引入延时（switching delays）、网络技术不同引入的访问延时（access delays）、分组在交换设备中的排队延时（queuing delays）等。实际应用系统中，人们更关心的是响应时间。报文从网络一端输入直到从另一端输出的第一个数据单元之间的时间叫做响应时间，它包括报文沿给定路径的传播时间，各有关节点的链路排队延时和处理时间。响应时间如果太长，操作员会不耐烦，会认为系统发生了故障，甚至乱敲键盘。根据统计，最大延时不应超过5s。在设计中常常用到各种报文在网络中传送的平均延时作为比较参数，或者规定报文传送的最大延时限度，作为优化设计的约束条件。 由于影响延时的因素较多，特别是应用系统规模较难确定的情况下，本方案提出以下延时指标作为上海市中小学教育信息网网络设计的初步目标： 在网络正常运行以及所涉及的计算机有足够处理能力的情况下，对于跨广域的客户机/服务器关键性应用系统的客户机与服务器之间的平均延时不超过30ms，最大延时不超过100ms；其它跨广域的应用系统的主机之间通信平均延时为50ms，最大延时不超过300ms。这些指标将以1500字节分组的ping的时间作测试，或网络分析仪器测量。 ●​ 吞吐量（throughout）。代表单位时间内网络实际上可能传送的报文量或数据单元数。某一报文路径的吞吐量取决于该路径中吞吐量最低的环节，合理地分配各路径中的报文流量，可以提高整个网络的报文吞吐量。网络拓扑结构与链路容量分配问题都与吞吐量有关。 上海市中小学教育信息网的吞吐量按网络的拓扑结构将分两部分，即构建于宽带多媒体网上的骨干层的吞吐量与各被接入局域网（楼宇网）的吞吐量。骨干层各节点的吞吐量在2Mbps～34Mbps，下接数据中心骨干节点的吞吐量设定为34Mbps。骨干层通信有效负载不应超过所设吞吐量的80%；如超越，应及时升级或规划企业所属层。 ●​ 可靠性。当一条链路或一个结点发生故障时，报文的交换会受到影响。为了减少这种影响，在树型网络中，应限制一个链路或结点所带的终端数（或流量数），或设备备用线路在分布式网络中每一结点至少与两个相邻结点连通，以便在一条链路出现故障时，报文可以通过另一条链路迂回传送。因此，可靠性在网络中常常表现为网络的连通性，成为网络优化设计的约束条件之一。 当网络建立后，我们会发现我们的业务应用越来越依赖网络。那么，网络的可靠性就显得比较重要。除上述的网络连通性外，可以从硬件和软件两个方面来考虑网络的可靠性： ⒈ 硬件的可靠性。我们首先要知道网络设备硬件能够无故障连续运行的时间，即MTBF值，因为网络平台常常是24小时连续不断的工作。一般来说，上海市中小学教育信息网的网络硬件设备起码能够连续工作60，000小时以上。当然，MTBF值是一个统计数字，所以我们还必须考虑在网络设备的关键部分有冗余的机制，如双交换引擎，双电源等。中高端设备都支持相应的冗余机制。 ⒉ 软件的可靠性。目前还没有对软件的可靠性作出评估的参数，但软件的设计是否稳定，是否有较多的bugs，可以作为衡量的参考标准。网络操作系统必须有一定的可靠性。 ●​ 网络系统的可恢复性 网络环境十分复杂，可能出现的问题也很多。为了确保网络的正常运行，具有有效的网络恢复手段是很有必要的。确保了无单点故障，并且网络的中断恢复时间一般在几秒到2分钟内。 ●​ 费用。包括所有链路、集线器和节点设备的费用。一般是在满足网络性能指标（延时、吞吐量、可靠性）要求下寻找费用最少的方案。有时也可以按给定的经济指标来优化其他的指标，或是找出费用和其他指标（如延时）的关系特性，进行折衷选择方案。 3.2.3​ 网络管理目标 上海市中小学教育信息网是为全市中小学教学、科研和管理服务的综合网络平台，对全网实施有效的管理是非常必要的。为了便于整个信息网的统一管理，各节点系统应统一采用SNMP网络管理协议。为实现对网络的有效管理，查询和传递网络管理信息需要一定的处理能力和网络通信量，在网络和网络管理设计和实施时，必须考虑。 上海市中小学教育信息网涉及交换机、路由器、集线器和主机，以及通信线路、数据库、各种类型操作系统和各种应用系统，网络管理应该不仅仅局限于网络本身，应从信息系统的角度考虑，实现网络、操作系统、数据库和应用系统为一体的系统管理。 为了确保与维护上海市中小学教育信息网的正常运行，建议成立上海市中小学教育信息网管理中心。信息网管理中心负责管理与维护这个信息网的日常运行和网络建设发展，统一分配网络资源。 上海市中小学教育信息的网络管理应力求达到以下目标： ●​ 提高网络可获得性、改善运行效率：减少系统和网络的故障时间，提高响应速度。对网络出现的问题尽快予以回应，在多数情况下，要求对问题立刻予以解决。 ●​ 降低网络运行成本：网络管理的主要目的就是费用的降低。技术发展很快，网管部门应能够有效地管理异质系统和多种协议。 ●​ 降低网络瓶颈：网络管理必须监控网络的活动，对网络的通信量予以分析，适时调整网络资源分配，消除网络瓶颈；并为决策部门网络的调整和扩容提供依据。 ●​ 增加运行和集成的灵活性：网络技术飞速发展以迎合不断变更的要求。当引入新的应用时，联网的协议也常常改变。必须能够以最低的代价融入新技术。增加新技术设备以及对网络管理软件的版本升级应该容易，网络管理软件的功能不能过分依赖硬件平台。 ●​ 确保网络安全。 ●​ 统一分配和管理网络资源：对网络的IP地址、域名、数据线路、带宽等等实行统一管理和分配。 ●​ 监督技术标准和规范的执行。 4​ 网络方案 4.1​ 本方案设计的总体思想 ​ 多中心模式：网点分布广泛，各区域单位节点较多，且各区县中心对下属学校有一定的管理功能。信息流向明显，可根据实际情况构建，市中心，区县中心和重点学校，和一般学校三级模式。 ​ 集中管理：鉴于中小学教育信息中心及各区县中心的功能和地位，对于网络管理系统，大量的共享信息和数据，一些集中控制的应用系统等都应进行集中管理，集中也可以是分层次的，采用多级管理模式 ​ 在技术可行的前提下，充分利用现有的公共网络通信平台，在公网构建“虚拟专用网”以期达到节省投资的目的 ​ 先进的网络管理和网络安全措施和策略，中小学教育信息网的网络管理及安全策略应从系统管理的角度出发，实现网络，应用系统，数据库与主机系统以及安全防护措施和策略的一体化管理，可采用现有的大型系统管理软件CA Unicenter TNG技术和适当的网络管理软件，选择适当的防火墙和数据加密技术。 ​ 统一的IP地址分配方案和域名管理办法。采用安区域划分IP地址的原则，域名管理实现按单位和应用系统管理的办法。对部分用户可采用动态分配原则，达到灵活性目的。 4.2​ 总体网络方案 4.2.1​ 现实条件 由于中小学地理分布，点多面广的特点，中小学教育信息网在物理信道上依托上海市现已存在的城域网，在公共网络(Public Network)中构建自己自己的虚拟专用网络，目前可供利用的公共网络有上海邮电ATM通信平台，上海教育科研网和上海科技网，这三个城域网络，覆盖面广，用户数目多，通信情况复杂，而且不同的网络又有各自不同的特点。 上海邮电ATM网络：是一个基础通信平台，提供多种不同的接入手段，带宽较高，主要接入手段都是采用广域网技术，形成端到端的通讯链路。这是在公网中建立自己专用网的一种传统方法，因为通讯线路是点到点的，协议是面向连接，所以基本可以保证两点间的通讯不会受到外界的影响。 上海教育科研网：由于自身的网络拓扑结构和通信信道带宽的限制，不能很好地满足中小学教育信息系统的需求，但是上海市中小学信息网是属于教育体系之内的网络应用系统，是上海教科网的重要组成部分，应该采用上海教科网作为其外连通道，实现全国范围教育系统间更大程度的资源共享。 上海科技网：以光纤为主干道，提供从10M到155M的带宽范围和从以太网到ATM的接入手段，覆盖全市的大型网络信息系统。科技网是一个以局域网技术为基础的交换型网络，所以在其中实现VPN模式要比以虚链路为基础的面向连接的网络复杂一些，在网络管理和维护上会产生一些问题。 4.2.2​ 可选方案 4.2.2.1​ 利用上海邮电ATM网的帧中继服务 上海邮电ATM提供多种接入手段，在本次网络结构设计中，采用帧中继（Frame Relay，FR）的接入形式构建总体网络是一种可供选择的方式。 FR是在DDN的TDM专用电路基础上引入FR模块(FRM)来实现的。FR使用统计复用技术（即按需分配带宽），向用户提供共享的网络资源，每一条线路和端口都可由多个终端的信息流共享，大大提高了网络资源的利用率。 FR采用虚电路技术，只有当用户准备好数据时才把所需的带宽分配给指定的虚电路，而且带宽是按照每一分组以动态方式进行分配的，因而适用于突发性业务的使用。目前大部分FR只提供永久虚电路（PVC），将来将提供交换虚电路（SVC）。 FR最主要的特点是高传输速率；低延时；在星形和网状网上的高可靠性和有效的带宽利用率。FR适用于不能预知的、大容量的、和突发性的数据业务。 利用上海邮电ATM宽带网连接示意图 FR目前提供的速率是2Mbps，但FR仍然是分组交换技术，对分组的随机时延缺乏有效的解决方法，从而对实时性的多媒体业务支持有限。 FR是一种广域网技术，只需在路由器端口上配置即可，数据包通过邮电的ATM网络时仅仅是利用其信道，对中心和各节点的网络没有影响，实现也较简单。 此种方案需要中小学教育信息系统的每个子节点都要通过租用Frame Relay的专线与中小学信息中心相连，除了要定期交付巨大的线路租费外，子节点间的信息交换都必须经过中心节点来进行，将会形成网络的严重瓶颈。 4.2.2.2​ 利用上海科技网的虚拟网络 上海科技网是一个以大型的ATM网络，利用局网仿真（LANE）技术将传统以太网和ATM技术相结合，利用ATM的高速、宽带的特点既能有效的支持传统应用又为今后的升级和扩展预留了较大的空间。科技网是一个集网络和信息于一身的综合体系。 利用上海科技网的信道可采用两种方式： 1）利用科技网的LANE主干，跨越ATM在中心经过路由器的局域网端口连接，其形式上类似一个地理范围较大的局域网，经过中央路由交换，而科技网将不可避免的成为这些外围子网的管理和控制中心，因为作为LANE核心的LES和BUS等关键功能都必须是科技网的服务器来完成，虚网的管理也只能在科技网网管上实现。这样接入的优点是，经济实惠，对两端的端接设备要求不高，而且可实现10M以上的带宽。缺点是主干的核心将在科技网上，管理不便，且只能提供以太网上的应用服务。 利用上海科技网连接示意图 2）只利用科技网的物理信道，在科技网的ATM主干上配置PVC，直接连接中心和外围节点，外围节点的ELAN由中心的LES和BUS来完成，CELL和FRAME的转换也将在中央ATM交换机上实现，而且ATM端口将直接分布到外围节点，这样的情况是外围节点与中心实质上是ATM连接。优点是可实现ATM应用，中心可直接管理下属节点的网络设备，交换的中心在交换机上而非路由器，缺点是代价较高，外围节点需配备ATM边缘设备，而且作为异种ATM设备的跨接还需要进一步测试。 不论采用哪种方式，中小学教育信息系统所有的子节点必须通过光纤就近接入科技网的节点，由于节点分布非常分散，势必增加投资的力度和建设的难度。 4.2.2.3​ 利用上海热线的公共IP网络平台 为响应上海市政府在统一的宽带网络平台上构筑应用系统的号召，同时本着经济、有效的原则，充分发挥利用上海邮电在网络平台上的强大优势，与上海邮电联手合作，在上海热线这一成功的城域IP公共平台上建设中小学信息应用系统是目前的最佳方案。 上海邮电不仅拥有丰富的线路资源，而且上海热线（Shanghai Online）在这几年的建设中积累了大量的宝贵经验，其面向社会的拨号服务可以解决中小学教育信息系统广大用户的接入问题。 利用上海热线IP平台示意图 4.2.3​ 总体网络拓扑结构 基于上面的比较，采用上图作为中小学教育信息系统的总体网络拓扑结构。 主干：由于中小学地理分布，点多面广的特点，中小学教育信息网在物理信道上依托上海市现已存在的城域网，在上海热线提供的IP公共网络平台上构建自己的主干网络。 外连：借用上海科技网提供的物理信道，与上海教育科研网用10M或100M以太网互连。并以此作为中小学教育信息网的出口。 从逻辑上看，中小学信息网是以下结构： 上海市中小学教育信息网逻辑拓扑 4.2.3.1​ 中心的外连接口 ​ 接口一：两根34M的ATM线路与上海热线连接，可以满足当前56个分节点的接入请求；通过虚链路的配置可以实现物理线路的共享；为视频会议等实时多媒体应用提供良好的带宽保证；而且现有的插卡可以很方便地升级到155M速率，并预备有今后升级到622M的可能。 ​ 接口二：10/100M局域网口可以借用科技网的通道和上海教育科研网相连，也可以使用光纤直连上海教育科研网。 ​ 接口三：模拟电话线路和ISDN BRI，提供16根普通电话线和4根ISDN BRI为一部分远程拨号用户提供服务，这其中包括普通模拟电话用户和ISDN用户对中心以太网络的接入，还可为分节点的主要线路出现故障时提供备份。同时也应包含纯粹的ISDN服务，用来支持一部分有能力的用户与中心VC系统的接入。 4.2.3.2​ 分节点接入 56个分节点采用2M的Frame Relay的接入形式和上海热线相连，以此达到和中心互连的目的。 4.2.3.3​ 普通用户接入 中小学教育信息系统的用户是广大的中小学生，他们除了在学校可以通过校园网接入外，更多地是采用拨号上网的方式。要为这个庞大的用户群提供拨号接入，中小学信息中心需要提供数千根电话线，而且势必增加巨大的设备投入和技术维护。因此，本方案利用上海热线丰富的拨号资源作为中小学教育信息系统的普通接入。 4.2.3.4​ 网络设备选型 基于对目前网络设备市场的考查，并考虑与上海热线网络设备之间的互连，本方案采用CISCO公司的路由器产品。 中心：采用CISCO 7513作中央路由器。7500系列路由器是CISCO公司的高端路由产品，它包括新式的中央处理机与端口处理机，提供分布式包交换与多功能端口处理机服务，而且服务适配卡提供硬件压缩与加密功能，开创性的Tag Switching和Cisco Express Forwarding(CEF)技术以及良好的QoS功能使它具有业界领先的性能。 分节点：采用CISCO 2600系列路由器。2600系列路由器提供了能够适应网络技术变化的通用性，它支持不断发展的网络要求的高级服务质量（QoS）、安全性和网络集成等特性。 4.3​ 中小学教育信息中心网络 上海市中小学教育信息中心，是上海市中小学教育信息网的核心节点，同时肩负着该网络的管理和协调功能，此外它也将是一个较为集中的数据中心，和多种应用的中央控制的监测机构，所以中小学教育信息中心网络的建设是整个教育信息网络的关键。 上海市中小学教育信息中心的地位和功能 管理中心 控制中心 数据集中及备份中心 检查及检测中心 对外信息发布中心 4.3.1​ 上海市中小学教育信息中心的网络设计 根据应用系统的需求和接入网络方式的特征，上海市中小学信息中心网络采用快速以太网加VLAN的方式构建自己的网络通信平台，为主要服务器和相关桌面设备提供10/100M以太网甚至1千兆的接入。 4.3.2​ 网络技术选择 根据应用实际需求，和网络功能、性能、安全性等多方面的分析，对网络技术做出如下选择： 网络传输采用交换和共享混合技术 主干为100M以太网技术并保留向千兆以太网升级的可能，利用LOAD-Balance技术均衡负载 服务器以100base-T接入 普通网络用户PC采用10Base-T方式接入 4.3.2.1​ 网络设备的系统结构 选择完全分布的系统结构（处理能力分布和存储能力分布） 选择存储转发式交换技术（Store-forward）以支持低速网络接口和高速网络接口的交换及对错误帧的过滤 选择统计时分复用（TDM）数据交换总线结构的交换设备减少系统延时 选择支持多种网络接口的设备 4.3.2.2​ 虚拟网络 灵活多样的虚网划分手段，基于端口，基于地址和基于应用 虚网中的站点不应受接口类型的限制 支持网络站点的自由移动，虚网标志可被交换设备自动识别以保持原有虚网属性 虚网可延伸到整个信息中心网络 4.3.2.3​ 路由功能 由于核心内部子网数据交换的中心是快速以太网交换机，并采用虚网技术将不同子系统分隔，所以内部子网间的互通需要通过路由器。所以中小学教育信息系统的中央路由器将不只负责外部网络互连和其他接区域网络的接入功能，还将负责内部网络的互连。因此中央路由器在全网的作用是极其重要的，要有较多的冗余备份，否则一旦发生故障，后果是极其严重的。 4.3.2.4​ 容错功能 提供交换机内部重要模块的全双工配置（管理模块）和冗余接口 主要功能部件的热插拔功能 支持网络链路的冗余连接 4.3.2.5​ 网络管理 上海市中小学教育信息网是为全市中小学教学、科研和管理服务的综合网络平台，对全网实施有效的管理是非常必要的。为了便于整个信息网的统一管理，各节点系统应统一采用SNMP和RMON网络管理协议。为实现对网络的有效管理，查询和传递网络管理信息需要一定的处理能力和网络通信量，本方案采用CISCO公司的CiscoWorks网管软件配合SUN公司的SUN NetManager网管平台来实现对整个网络设备的监控和必要的管理、设置。 上海市中小学教育信息网涉及交换机、路由器、集线器和主机，以及通信线路、数据库、各种类型操作系统和各种应用系统，网络管理应该不仅仅局限于网络本身，应从信息系统的角度考虑，实现网络、操作系统、数据库和应用系统为一体的系统管理。为此，拟采用CA的Unicenter TNG系统管理软件来对整个中心内部的系统进行管理。 Unicenter TNG是CA企业级系统及网络管理方案，它支持多种硬件平台（SUN， HP， IBM， Digital）和操作系统（Unix， Windows NT， VMS等），同时也支持多种工业标准的网络协议（如SNA， SNMP， TCP/IP， FTP），而且CA还提供允许用户自己编写代理(Agent)的工具。 端对端管理(End-End Management)不仅关注系统资源的特性，而且还关注资源之间的相互关系。CA定义了四种IT资源：系统、网络、数据库和应用系统。 CA-UnicenterTNG在跨平台的系统和网络管理中是行业的领先者，其完整的系统及网络管理功能有： ​ 事件管理(Event Management) ​ 工作流管理(Workload Management) ​ 性能管理(Performance Management) ​ 资源管理(Assets Management) ​ 输出管理(Output Management) ​ 软件分发(Software Delivery) ​ 求助台(Advanced Help Desk) ​ 防病毒(Anti-Virus) ​ 应用管理(Application Management) ​ 数据库管理(Database Management) ​ 数据传输(Data Transmission) ​ 问题管理(Problem Management) ​ 存储管理(Storage Management) ​ 变更管理(Configuration &Change) ​ 主控台管理(Console Management) ​ 自动发现(Auto-Discovery) ​ 网络管理(Network Management) ​ 安全管理(Security Management) 由于中小学教育信息网络广域网接入居多，所以在做系统管理时不可能要面面俱到，那样会侵占很多带宽，我们在利用CA-UnicenterTNG对外围节点做系统管理时，只做监视不做控制；只需要最基本的管理功能，对外围接的主机、数据库和应用进程的运行情况做必要的监视，这样可以避免大量系统管理信息流在广域网上面的流动，而保证应用信息的通畅。但在教育信息中心CA-UnicenterTNG则可发挥其强大的优势，完成许多功能，如：数据的集中备份，系统安全管理，性能管理等一系列行为。 4.3.3​ 网络拓扑结构 根据以上基于网络系统要求上海市中小学教育信息中心网络的拓扑结构如下图所示。 上海市中小学教育信息中心网络拓扑图 网络结构上总体分为内外两大部分，外部网络对外提供信息，内部网管理和开发，两网之间用防火墙分隔。外部网络的安全性主要依靠“虚拟专用网”的功能和路由器上的访问控制表来保障，而外部对内部网络的访问则需要通过地址映射，身份查询等一系列机制才能进行，访问策略的制定是灵活的可根据具体情况随机配置。内部网络再分子网，依据功能、性质划分，子网间的访问也是受控的。 在应用系统配置上面，尽可能涵盖目前Internet网上的多数应用，使信息交互，发布，共享做到通畅便捷。对于主要的数据库应用系统采用高档UNIX服务器平台，而对于小型应用系统则采用Windows NT平台，同时数据库采用分布式的原则，避免负载沉重和单点故障问题。 对于实时多媒体应用，远程教育（VC、VOD）本着中央控制的原则，对所有有条件的用户开放，但做为运作中心一定要有监视和控制的手段，避免网络的拥塞和信息流的非必要的重复性传输。 4.3.4​ 主要网络设备介绍 4.3.4.1​ 中央交换设备 中央网络交换机是中小学教育信息中心的核心交换设备。它应该具有如下能力： 强大的交换能力和吞吐能力 支持多种协议 提供从10M、100M以太网到1000M 以太网的端口 支持三层交换功能 有虚网划分和管理功能 关键模块应具有全双工配置，无单点故障 支持冗余，和负载均衡 模块的配置和槽口数量应有扩展余地 具有面向新技术的升级能力 目前我们推荐的设备厂商为Cisco System公司的Catalyst 5500交换机。 4.3.4.2​ 边缘接入设备 边缘接入设备是桌面计算机到中央交换机的连接设备，也是子网内信息交换的的主要场所，所以这些外围设备也应是全交换设备，并且支持虚网的划分和管理。作为普通以太网的设备也可直连在中央交换机的100M或10M端口上，但我们不认为其是边缘设备，只要符合一般以太网交换机的主要性能和技术指标即可。 边缘设备的选择应与中央交换设备一致，因为作为网络交换机的异构互连现今还存在着诸多问题。因此推荐使用同一品牌，采用Cisco System公司的catalyst 2900系列交换机，便于管理和维护。 4.3.4.3​ 远程拨号服务器 中小学教育信息网借助上海公共网络服务体系的拨号接入，满足大量普通用户的远程接入需求，但对于中心的特殊地位，和一些特殊用户的特殊需求，还应保留自己的拨号接入网络系统。 本方案推荐使用数字式的ISDN PRI形式对远程用户提供拨号接入服务。ISDN PRI是一种综合数字业务，每一条线路提供30B+D的通信带宽，既可满足普通模拟电话线路的接入要求，也能实现数字式ISDN的基带和宽带业务。而且扩展方便，每增加一条线路可相当与30条原始模拟线路的带宽容量。考虑到中小学信息中心现有的线路状况，可以采取在第一阶段ISDN BRI和模拟电话线并存的形式提供拨号服务，并为以后采用ISDN PRI预留资源。 由于上海中小学教育信息网存在多种类型的网点，其中有些网点是通过ISDN拨号接入上海中小学教育信息网网络；另外，某些特殊用户，需要通过PSTN拨号网络，实时管理、监控、维护网络。这时，网络安全性主要靠接入服务器的用户身份验证、授权机制来保证。对应用系统的安全性，需要在系统设计时，再进一步进行用户身份验证、访问权限控制以及加密技术实现。 目前，已经形成标准的用户身份验证、授权机制有RADIUS、TACACS等。其中RADIUS只能完成用户的身份验证功能，不能对用户授予不同的访问权限；TACACS则可以根据用户名、口令，分配给用户不同的访问权限，从而限制不同用户的访问范围，也为移动办公提供了便利。 基于上面的讨论，决定采用CISCO公司的3640路由器作为中心的拨号服务器。3600系列路由器是CISCO公司推出的性能价格比非常高的拨号服务产品，它的模块化设计及多种功能的接口卡为用户提供了巨大的灵活性。3600路由器还提供先进的第三层业务如安全保护、可管理性及多媒体和语音应用的支持。 4.3.4.4​ 防火墙 CISCO PIX防火墙的专门的软硬件设计突破性地解决了传统防火墙基于应用程序的效能瓶颈问题（最高维持25600个同步连接，每秒接纳6500个连接，最高过滤速率170Mbps），并且支持VPN互操作性并与IPSec安全标准兼容；此外，PIX具有可扩展的硬件平台和方便的图形界面的安装与管理。除了支持NAT和URL记账与过滤等传统防火墙功能外，还可以对Java Applet进行过滤。 PIX是建立和管理TCP/IP防火墙的网络安全系统，可使用户建立自己的安全机制，可根据自身的需要指定安全策略，灵活配置。 ​ 虚拟网络加密功能 PIX的加密模块可在对数据进行特殊加密，在端到端的数据传输过程中，数据是以密文形式存在，所以可在公网上建立一个自己的IP管道。 ​ 客户验证 客户验证只允许指定的用户访问内部网络资源，或指定的服务。客户验证工作的同时无须改动客户机或服务器端的应用程序。并且支持多种不同的用户验证手段。 ​ 集中式的用户管理 PIX对用户进行集中管理，客户可以被授权使用指定的服务器和应用程序。提供巨大的网络吞吐量，将由于安全验证的延时减为最小。它针对网络监测的设计减少了由于监测中数据复制和内容交换操作引起的延迟，并且可轻易地扩充到上千个用户而不使网络通讯受到影响。 ​ 支持地址翻译机制 支持地址翻译机制，可将内部网络地址与真正Internet地址进行映射，保证Intranet对外部的访问操作，畅通，这种地址映射也可以是双向的 ​ 提供SNMP网络管理 PIX是SNMP 2的代理，对所有支持标准网管协议的网络管理软件都可支持。 4.3.4.5​ 网络监控及过滤设备 由于中小学教育信息网络与Internet网络连接，为了防止互连网络上的不良信息的传如及对内部用户非法行为的监视，对网络上的信息传递采取一定的监视措施是必要的，INETtracer是一个较好的网络监视设备，它既可以对在线用户的行为进行监视和分析，也可以根据地址和用户信息进行跟踪而及时掌握一些非法操作和不安全信息的流动。同时它也可以对一些不良地址和信息进行过滤，使得中小学信息网络上的信息是受控的。所以我们建议在中小学教育信息网络的外联出口上加载此设备。 4.3.5​ 服务器及应用软件配置 根据中小学教育信息网应用系统的要求，对主机系统采用三种模式 SUN/Unix Intel/MS Windows NT Intel/Novell Netware 在应用系统和主机搭配的问题上，我们建议在条件允许的范围内，尽可能的将应用分散到不同的主机上，这样既有利于负载的均衡，同时也大大增强了系统的安全性提高了系统的抗入侵能力。 4.3.5.1​ 数据库服务器 SUN E450 + Oracle PC Server + MS SQL Server 教育系统内部主要包括教育信息库、学籍管理信息库两个数据库系统，其中教育信息库已经采用NT+SQL Server的建立在IBM的服务器上。但是考虑到中小学教育信息系统的发展和规模，建议升级服务器。原有的服务器可以用作其它用途，如代理服务器和Web和Email服务器等。 此外，网上学校是向社会公众服务的数据库系统，对服务器的要求很高，故选用Sun E450。 4.3.5.2​ WEB服务器、DNS服务器 SUN Ultra 60+Solaris Web服务器包含基本的Internet服务，对机器性能要求不高，但其健壮性和安全性要求较高，DNS服务器需要负责对整个中小学网络的域名的统一管理，虽然现在各种类型和体系结构的主机系统都可以完成上述功能，但我们建议使用专用的服务器，因为它设计的时候充分考虑到此种服务器的运行特点和运行环境，增加了很多管理功能和安全性考虑，要比普通的主机系统更为有效和稳定。 SUN Ultra 60工作站是原始多处理器性能和下一代高级技术的完美组合，是一种能力强大且灵活非凡的系统， 该系统采用2个强有力且可升级的300MHz UltraSPARc II 模块，其能力足以运行要求最严格的应用软件。而且，快速Ultra SCSI磁盘、66MHz PCI 技术和120MHz纵横交换UPA互连的组合，可提供极快的处理速度和吞吐量。最多有2个300MHz UltraSPARC-II模块和2MB高速缓存，应用性能特别优良。 可与整个产品系列百分之百二进制兼容，从而保护投资。模块化设计和120MHz UPA互连可方便地升级到下一代处理器、图形卡和外设。支持下一代主存、磁盘和图形卡，保护硬件投资。双总线66MHz PCI技术，10/100－BaseT Ethernet和UltraSCSI盘可提供业界最佳的I/O和联网能力 4.3.5.3​ 代理服务器、FTP服务器 PC Server + Windows NT PC Server + Novell Netware FTP服务对主机要求不高，安全性要求也不十分强烈，主要的的资源要求是存储容量，选用PC服务器可获得较大的扩展余地，且扩展价格便宜，可以利用原来的两台数据库服务器中的一台来担当，并且可以和其它服务如Email合用一台服务器。 Novell Netware 中Proxy功能强大，且对用户的管理非常科学、方便，是理想的Proxy服务器。 4.3.5.4​ Email服务器 E450+SUN Internet Mail Server PC Server + MS Exchange Server 中小学教育信息系统的电子邮件服务分为两个部分：针对中心用户的和针对网上学校用户的。 中心的用户比较少，因此选择MS Exchange Server就可以满足要求。 网上学校的用户比较多，且都将以中心为主要转发点和出口，所以中心的邮件服务器一定要有较高的安全性和管理能力。SUN Internet Mail Server可在Solaris 平台上建立一个可与Internet 相连的邮件服务器，可与其他Internet的邮件服务器进行邮件交换和通信。他支持与Internet Mail有关的标准协议包括IMAP4、POP3、MIME、SMTP，及强大的用户管理功能 ​ 管理功能 用户个人信息管理 用户通信情况统计 邮件存储转发的时间与空间限制 特殊地址和不良信息内容的过滤 ​ 用户功能 任一Email客户软件均可访问的MAIL用户地址 可直接查看和寻找所有消息的特征，而无须将消息的内容下载到本地 可有选择的下载消息内容和附加的文件 在脱线和低速连接的情况下仍能维持对信箱和文件夹的多个控制 4.3.5.5​ 认证服务器 PC Server + Windows NT CISCO 3600访问服务器需要一台认证服务器对拨号用户进行身份验证和管理。由于需要拨号的内部用户数量不会很多，但必须经过严格的身份验证，所以采用PC Server+Windows NT作为认证服务器。 4.3.5.6​ 网管服务器 SUN Ultra 60 + Sun NetManager + CiscoWorks 作为如此众多网络设备的管理服务器，对机器的性能有相当高的要求，Ultra 60足以当此重任。 4.3.5.7​ 系统管理服务器 PC Server + Windows NT + Unicenter TNG Unicenter TNG一开始就是基于Windows操作系统开发的，事实也证明在Windows NT运行Unicenter TNG作为系统管理是最好的选择。 4.3.5.8​ 开发及维护 开发环境也应是一个基于Client/Server结构的小型开发网络，服务器端建议采用PC SERVER和Unix平台双重模式，这样可根据需要灵活搭建各种各样的实验环境，适合教育信息中心做为开发中心的地位。而在开发端用机则选择一般性PC WorkStation即可。 由于中小学教育信息系统地域分布广、节点数目比较大，给网络系统的调试、维护、管理带来相当大的难度，所以便携机是必不可少的。 4.4​ 中小学教育信息网的系统及网络管理方案 4.4.1​ 系统及网络管理的职能目标 上海市中小学教育信息系统是一个集管理和教育信息为一体的综合网络服务体系，网络规模大，设备多，网上应用系统多且重要，涉及的网络技术也比较复杂，网络设备和主机设备也多种多样，有效的网络及系统管理将是保障网络安全，高效，合理运行的关键。上海市中小学教育信息网的节点太过分散，因此信息中心将担负起网络管理中心的主要责任。 上海市中小学教育信息网络涉及到交换机，路由器，集线器和主机设备等，以及通信线路，数据库和各种类型的操作系统和应用系统，因此网络管理不应仅仅局限于网络本身，应从信息系统的角度出发加以考虑；实现网络，数据库，应用系统的为一体的系统管理。信息中心应负责全网IP地址、域名的统一分配和管理，VLAN的划分，设备的监控，并根据网络管理系统收集到的有关网络性能参数(带宽利用率，流量特性，链路可靠性)，为网络升级、拓扑结构优化、新建信息系统的规划和设计提供科学依据；由于网络规模庞大，加上管理体制等多方面的考虑，可根据需要建立二级分中心，负责所辖区域的具体事宜，并向中心报告。 上海市中小学教育信息网的网络管理应力求达到以下目标 ​ 提高网络可用性、改善运行效率：减少系统和网络的故障时间，提高响应速度。对网络出现的问题能尽快予以回应，在多数情况下，要求对问题立刻予以解决。 ​ 降低网络运行成本：网络管理中的一个重要目标就是费用的降低。现今技术发展很快，多数网络都存在多种技术和协议混合的局面，网管部门应能够有效的管理异构系统和多种协议。 ​ 发现并降低网络瓶颈：网络管理必须监控网络的活动，对网络的通信情况予以分析，适时调整网络资源分配策略，消除网络瓶颈，并为决策部门对网络的调整和扩容提供理论依据。 ​ 增加运行和集成的灵活性：网络技术飞速发展以迎合不断变更的需求。当引入新的技术同时，协议的变更也随之而来。必须能够以最低的代价适应新的技术，增加新技术设备以及对网管软件的版本升级应该很容易，网络管理软件的功能不能过分依赖硬件平台。 ​ 统一分配和管理网络资源：对网络的地址、域名、数据链路、带宽等实行统一管理和分配，确保网络安全。 4.4.2​ 网络管理模式的确定原则 所谓网络管理就是对网络中各节点进行通讯监控和管理，使得网络管理人员可以及时发现网络中故障节点。另一方面通过监控网络流量可以进一步合理分配网络资源。网络管理是网络不间断工作的重要保障，也是合理配置网络资源的重要渠道。网络管理模式设计目标是：完成网络管理任务同时，能充分利用和保护有限的网络资源，使得网络资源（广域网带宽、网络设备CPU）可用性最高。 4.4.2.1​ 分布式网络管理模式 网管中心或分中心对网络各节点进行监控管理时，会定时向被监控和管理的节点发出Polling，以得到网络每个节点最新的状态资料。各节点的SNMP Agent将收集到的资料信息发回管理工作站。这样每个节点和网管中心会有定时不定量的通讯。如果采用完全集中式管理，势必造成各节点跨越广域网频