教育资源严重失衡，SD-WAN、等保成关键

NO.1

教育城域网面临的问题

关于教育城域网建设，已经不是一时之需。早在“十二五”期间，教育部就针对全国的教育事业发展，提出了“三通两平台”的战略方针。“三通两平台”方案在实际实施过程中面临种种困难，尤其在全国教育资源分布差异化严重的情况下，教育资源难共享以及统一管理难审计成为了大问题。

NO.2

“三通两平台”中心思想

1、宽带网络校校通

目标是解决各级各类学校宽带接入问题，本质是信息化的硬环境建设。

2、优质资源班班通

目标是形成丰富的各级各类优质教学资源，并且将这些资源送到每一个班级，在教学、学习过程中得到普遍使用。

3、网络学习空间人人通

网络空间就是学生和教师有一个基本的学习空间，可以自主学习，也可以互动学习。

4、教育资源公共服务平台

教育资源平台是一个集合了学生学习资源、教师教学资源的资源云服务平台，为了达到资源互通、优势互补的目的而建立。

5、教育管理公共服务平台

教育管理平台即目前学校中规模使用的信息化平台，一般包括：办公、门户、教务等业务的整合，也在一定程度上有资源共享的作用。建设重点是：两级建设五级应用，五级包括中央、省、地市、县和学校，建设重点是中央和省两级。

NO.3

资源共享SD-WAN互联解决方案

目前，教育资源分配不均衡也已经成为了需要解决的重点问题之一，在一、二线城市的学校可以享受优质的教学服务，而在低一级的城市或是偏远地区，教育资源十分匮乏。目前派网针对“校校通”的实际需求，提出了适合部署的优质解决方案。

该方案最重要的特点为：能够实现偏远地区学校没有专线只有ADSL的情况下，使该学校与省教育云进行对接。与此同时，所有学校都可以通过省教育云进行互通，这样对于偏远的学校而言，可以通过SD-WAN的方式访问具备优质教学资源的学校，实现教育资源的共享。

通过SD-WAN的方式互通

派网通过SD-WAN的方式，将所有学校与省教育云进行互联，在互联过程中，派网使用了自主研发的隧道协议iWAN。

相比较以前的VPN，iWAN优势明显：

1) 重连速度很快：比L2TP的要快一个数量级，L2TP要重连，需要有几十次交互，而iWAN只需要一次即可。

2) 客户端不受底层承载线路IP变化影响：当底层承载线路（比如PPPOE拨号线路）的IP地址发生变化时，不会影响iWAN隧道，iWAN隧道不会中断，保证通信正常进行；因为很多用户是通过PPPOE拨号线路出去的，PPPOE拨号线路重拨时一般会改变IP地址，如果用L2TP的话，那么这个L2TP会话就要重建；而用iWAN的话，现有的会话可以照常使用，不需要做任何改变；

3) 传输效率高：iWAN的包头很小，只有8个字节，而且在后续版本里，我们会压缩IP报文头，这样可以继续减少额外报文头的大小，所以能大幅度提升传输效率；

4) 抗干扰：不像L2TP，中间人可以直接发包TERMINATE，iWAN控制命令有完整性检查，可以避免中间人攻击。

不仅如此，Panabit还可以区分SD-WAN中每条业务的“客户侧时延”、“服务响应时延”和“应用时延”。

客户时延：指客户内网到Panabit的时延；如果此时延大，基本可以将问题定位在内网中毒或者内网网络设备故障等问题。

服务时延：指业务经过Panabit，从服务器上返回的时延；如果此时延过大，而服务时延很小，则说明是运营商网络侧出现问题。

应用时延：指业务在服务器上停留和响应的时延；如果此时延过大，则说明提供业务的服务器负载或者故障等问题。

对于大部分中小学来说，并没有专业的网络维护人员，通过NPM功能，能够快速的帮助用户判断故障范围，让问题定位更有针对性，更有效率。

NO.4

统一管理等保2.0审计解决方案

对于教育省网来说，最重要的一点就是实现对全省所有学校的统一管理。我们通过在教育云平台部署Panabit+Panalog，可实现对所辖区域范围内的所有学校的分析和管理。

🔹Panabit云平台优势

1、通过Panabit云平台，最高可管理2000台以上的校园的综合网关设备，且在同一界面中实现。市级监控平台可以直接登录至各学校出口网关Panabit上，进行针对性的行为管理，达到对每一个学校网络的控制；

全网学校的出口设备统一管理

2、通过Panabit云平台，可以对管理的综合网关设备进行统一的升级、策略分发等；

3、通过Panabit云平台，可以在地图上显示所有设备实时的网络健康状况图，并用颜色区分健康状态，对所有在网设备的状态一览无余；

4、Panabit云平台支撑基于角色的用户管理：可根据管理员角色设定平台系统的管理权限，如市级管理员、校级管理员等；

5、Panabit云平台支持基于设备的权限管理：主管理员可为其他管理员创建可管理的设备分组，每个管理员可管理所属域内的设备，避免权限扩散带来的安全隐患；

6、通过Panabit云平台，不仅可以看到整体的网络流量状态、构成情况，还可以精确定位至具体的每个用户的IP，以及该IP下所登录使用的账号的具体行为信息、身份信息。实现教育行业的全面智能监控、分析，为管理提供有效数据支撑。

🔹安全审计背景

《网络安全法》

第二十四条  网络运营者为用户网络接入提供服务时，要求用户提供真实身份信息。

第二十一条 采取监测、记录网络运行状态、网络安全事件的技术措施。

第二十一条 按照规定留存相关的网络日志不少于六个月。

《等级保护2.0》

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，鉴别信息具有复杂度，应强制用户首次登录时进行身份鉴别；

在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

应对分散在各个设备上的审计数据进行收集汇总和集中分析；

应采取技术措施对网络行为进行分析，实现对网络攻击，特别是未知的新型网络攻击的检测和分析。

三种部署方式说明  

1.各中小学部署一套Panabit网关

每个中小学部署一套Panabit网关，实现上网认证、路由、NAT、流控、防火墙、上网行为管理、日志审计等功能；

2. 在教委部署一套Panabit   RAAS

★ 每个中小学有独立管理员，可对自己的终端使用者进行账号配置与管理；

★ 可配置超级管理权限，对所有接入单位的终端使用者账号进行管理；

★  通过Panabit RAAS可以解决不同中小学内网IP地址一致问题。

3. 在教委部署一套/多套 Panalog

★ 进行集中的日志收集和存储，进行上网数据审计、形成网络访问大数据分析；

★  形成网络运营态势感知系统，实现对未知的新型网络攻击的检测和分析。

了解更多