《智慧校园网络建设设计规划.doc》由会员分享,可在线阅读,更多相关《智慧校园网络建设设计规划.doc(41页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、#+浙江道小学校园网升级改造方案2013年9月目 录第1章.现状及需求分析31.1.项目建设背景31.2.原有校园网分析3第2章.校园网升级改造方案整体设计42.1.设计原则与思路42.2.整体解决方案6第3章.校园网功能分区详细设计93.1.接入层设计93.1.1.接入层有线设备设计93.1.2.接入层无线设备设计123.2.核心层设计133.2.1.核心层网络设计133.2.2.核心层安全设计143.3.中心机房设计183.4.云数据中心设计193.4.1.项目方案规划193.4.2.逻辑结构图213.4.3.方案设计说明223.4.4.核心功能设计283.4.5.平台特性323.4.6.
2、部署虚拟化的优势35第4章.分布实施计划39第5章.售后服务及培训405.1.售后服务405.2.培训40第1章. 现状及需求分析1.1. 项目建设背景浙江路小学是天津市实施素质教育“三A”学校,一直是塘沽区重点示范小学,其有两个校区,一是上海道校区、二是福州道校区。这两个校区都有着浓厚的教学历史,教学水平一直处于塘沽区前列。随着电子信息化的发展,浙江道小学也随之建设了不少高新科技的信息化电教设施。两个学校的录播教室的建设一直在塘沽区也是首屈一指的。随着信息化的不断深入,教育资源云平台、云书包也被学校提到建设日程里,但是这些项目都要有一个强大的校园网作为支撑,由于浙江路小学的校园网是2000年
3、建设使用的,已经不能够承载现有云计算平台的高速数据传输功能了。则要在教育资源云平台、云书包这些平台建设成立之前,必须把校园网进行升级改造,能够使这些平台发挥应有的作用。1.2. 原有校园网分析浙江路小学现状:目前使用核心路由器为锐捷NBR3000.核心交换机为锐捷5750楼层交换机为一般性能100M交换机,学校网站服务器、办公服务器等网络和服务器设备已老化。现有网络拓扑情况为福州道和上海道两个校区各有一条互联网接入,之间有一条数据专线,校区内为树形拓扑。具体设备情况:上海道小学:核心路由器NBR3000,核心交换机5750,其他三个楼宇(二号楼1台,三号楼1台,一号楼6台)合计约8台楼层100
4、M交换机。福州道校区:核心路由器NBR3000,核心交换机5750,一栋楼宇(四层)内(分前后楼)合计约8台楼层100M交换机。原有校园网络拓扑如下:第2章. 校园网升级改造方案整体设计2.1. 设计原则与思路浙江路小学的校园网的建设原则是能够高效、安全、绿色的支撑应用系统的使用,相比传统校园网建设,体现在几个层面的变化:1、 数据中心的形成全面提升主要校区的网络平台,包括中心机房设施提升、核心网络设备的升级、应用系统服务器的安装购置,安全设备的安装购置。2、 上联链路的升级为了提高云计算平台的适应性,以及云书包等应用的规划以动画、视频、互动等大流量应用为主,相比传统网络带宽要求提升1020倍
5、,应该提升主要校区的登陆Internet上联链路的带宽。3、 全面提升网络设备原有校园网的网络设备老旧,并且不能适应新应用系统的数据传输要求,则要配备具有更高数据传输能力的网络设备。所以在全新校园网的设计上需要遵循以下原则:高性能骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(视频、动画)的高质量传输,才能使网络不成为业务开展的瓶颈。高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,设备充分考虑冗余、容错能力;合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。网络
6、设备在出现故障时应便于诊断和排除,充分体现计算机网络的高可靠性。安全性制订统一的网络安全策略,整体考虑网络平台的安全性,保证师生能够安全、绿色的使用资源。独立性学校与教育局之间采用公网连接会导致一些应用系统的不可用(比如名师讲堂、双向教学等),而且公网连接也使得网络不安全、不可控等隐患,所以教育局与学校之间应该采用裸光纤或者VPN方式连接;技术先进性和实用性在保证满足校园业务、应用系统业务的同时,要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑网络应用的现状和未来发展趋势。标准开放性支持国际上通用的网络协议、路由协议等开放的协议标准,有利于保证与其它
7、网络(如中国教育网、公共数据网、区教育网等其它网络)之间的平滑连接互通,以及将来网络的扩展。灵活性及可扩展性根据未来业务的增长和变化,网络可以平滑地扩充和升级,最大程度的减少对网络架构和现有设备的调整。可管理性对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。强QOS、强组播特性新应用系统下的校园网因为对视频、音频等多媒体业务的需求较大,所以整个网络具有较完善的QOS特性对教育网而言就显得尤为重要。能不能对关键业务进行带宽优先保证尤其是那些对时延敏感的业务进行保证是教育网必须考虑的一个重点,为实现区别服务,整
8、网端到端的QOS特性机制是优质网络业务的保证。另外组播特性对于有效的保证多媒体流传输性能和节省带宽也有非常重要的意义,基于组播的控制特性也会进一步保证组播流的控制、管理和安全,从而为实现教育城域网的多业务支持提供保障。兼容性和经济性兼容性,能够最大限度地保证学校现有各种计算机软、硬件资源的可用性和连续性,为不同的现存网络提供互联和升级的手段(如现有的双向教学系统),保证各种在用计算机系统(包括工作站、服务器和微机等设备)的互连入网,充分利用现有网络资源,发挥主干网的优势。经济性,就是在充分利用现有资源的情况下,最大限度地降低网络系统的总体投资,有计划、有步骤地实施,在保证网络整体性能的前提下,
9、充分利用现有设备或做必要的升级。2.2. 整体解决方案浙江路小学校园网的整体网络拓扑如下图所示:整个网络分为接入层、核心层、本地教育资源中心、远程教育资源平台和出口区共计5个模块。接入层在两个校区楼宇内部署全千兆交换机,通过万兆光纤连接该校区机房的核心交换设备。并在电教室安装WLAN设备,满足对教室多用户的高密覆盖,并对整个教学区做到wifi信号的全覆盖。为云书包系统提供无线终端接入。核心层在核心层采用华为 S7706核心交换机,并安装双引擎、双电源等稳定系统,以保证网络核心的可靠性,同时成倍提升网络性能。核心交换机上提供连接各功能区万兆以太网接口,出口部署网络安全设备,为整个校园网提供安全保
10、障。并在两个校区之间用一条100M的MSTP链路互联,保证福州道校区可以毫无阻碍的登陆总校的教育资源中心。教育资源中心在浙江路小学总校中心机房部署教育资源中心,把视频录播系统、云计算平台系统、以及教学管理系统部署在教育资源中心。作为整个校园网的总指挥部,部署网络管理系统、安全管理系统、虚拟化管理平台等管理系统,以便于管理人员对整个校园网进行统一规划和管理。远程教育资源区利用当地运营商-天津移动的IDC机房内部署远程教育资源区,在云计算虚拟化区,通过虚拟化技术建立计算资源池和存储资源池,为教育资源平台动态分配硬件资源,从而提高硬件资源的可靠性和可扩展性。资源服务区通过互联网与学校本地教育资源区进
11、行互联,可以把一些数据系统进行全面镜像,保证了远程教育资源区与本地信息的高度一致。同时,学生、教师、家长可以通过互联网登陆到远程教育资源区,实时进行资料查询、批改作业、师生互动等活动。天津移动IDC的优势及相对学校自建IDC的成本节约点:中国移动IDC业务优势国际顶尖的机房标准: 1.专门为IDC而建设的机房楼(8级抗震标准)。 2.高强度的承重,满足电池,存储等设备的安装。 3.良好的布局,增强了客户体验。 完善的动力配套系统: 1. Tier4认证的电力设备,保障服务器运行安全可靠。 2.精密智能SDC空调,保障室内温湿度恒定。 3.国内最新的封闭冷通道技术,科学的降低运营成本为客户提供更
12、优的资费。 数据中心级的网络资源配置:1.快速的收敛时间(路由器收敛时间50ms)。 2.汇聚层支持虚拟化技术,收敛速度远高于普通路由收敛。万兆端口/12个千兆端口,缓存256兆。 3.良好的安全保证措施,对外防御手段齐全,对内纳入安全管控体系,保障服务器的绝对安全。 使用IDC托管业务的优势随着校园对数据处理依赖程度的递增,对数据的安全要求也进一步提高。数据中心的灾备恢复服务能力是校园应当关注的一个重点.要在自己室内存放服务器,就必须建立空调环境、标准设施(例如24小时运作的机房空调系统、不间断电源系统等等)以及管理服务器和网络业务作出庞大而长远的投资。服务器管理服务尤其适用于下列况:不愿购
13、置额外硬件(例如:路由器)以提升伺服器的连接速度;服务器受带宽所限无法提升网络连接速度。 服务器托管服务是最合乎成本效益的网上方案,无论在性能、安保、可靠性方面都达到最高水平,免除了校方在机房建设方面需投入的高昂成本。自建机房需考虑成本因素:1、土建与场地成本。 2、动力配电成本。 3、防雷接地、静电释放系统 。4、结构装饰成本。 5、UPS不间断电源。 6、气体消防灭火系统 7。 、PDS综合布线成本。 8、空调、新风系统。 9、安防门禁视频监控成本。 10、环境集中监控。 11、网络带宽接入成本。 12、安保及专业网络维护人员成本。 13、高额的电费等等出口区整个校园网将拥有两个网络出口,
14、出口部署华为USG2260出口安全网关。负责整个校区的安全防御。一个是总校高带宽的互联网出口、一个是分校原有互联网出口,这两个出口可以互为备份,并提供流量分流,负载均衡等工作。认证计费区整个校园部署华为esight网络管理软件,1.对网络设备进行有效管理,网络故障诊断,网络拓扑展示。对无线设备进行管理、通过esight的安全策略组件可以提供用户接入网络认证,对上网用户进行监管和控制。无线用户直接在本地认证,接入学校内网,不经过运营商线路,节省了很大一部分带宽费用。第3章. 校园网功能分区详细设计3.1. 接入层设计3.1.1. 接入层有线设备设计浙江路校园原有校园网接入层设备是普通的100M交
15、换机,不具有可管理性,并且无法实现千兆上联,特别是开通录播系统的实时转播工作时,没有组播协议的支撑,会造成整个校园网骨干数据传输缓慢甚至瘫痪。在电教室内要安装高容量的无线AP作为云书包的终端接入系统,此教室数据传输量可谓巨大,所有接入交换机必须具备上联、下联端口保证千兆带宽。则本方案建议使用华为的千兆交换机S5700-LI系列交换机作为校园网的接入设备。华为 S5700-LI系列交换机是华为公司自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。通过华为特有的CSS(智能弹性架构)功能,用户能够简化对网络的管理。S5700-LI系列千兆以
16、太网交换机定位为企业网千兆接入,同时还可以用于数据中心服务器群的连接。其系统特性如下:高扩展性保护投资随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条10GE链路将是我们的未来发展方向。S5700-LI系列交换机支持两个扩展槽位,每个槽位支持单端口或双端口的10GE扩展模块,在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力,尽力保护用户投资。S5700-LI系列支持IPv4和IPv6的三层路由功能,并可以实现基于硬件的IPv4和IPv6的全线速转发。同时支持IPv6的ACL、QoS、组播和网管,实现IPv4到IPv6的平滑升级。智能弹性架构华为 S5700-LI系
17、列交换机支持CSS(第二代智能弹性架构)技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进行管理和使用。CSS可以为用户带来以下好处: 简化管理 CSS架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。 简化业务 CSS形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以
18、省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。 弹性扩展 可以按照用户需求实现弹性扩展,保证用户投资。并且新增的设备加入或离开CSS架构时可以实现“热插拔”,不影响其他设备的正常运行。 高可靠 CSS的高可靠性体现在链路,设备和协议三个方面。成员设备之间物理端口支持聚合功能,CSS系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;CSS系统由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的1:N备份;CSS系统会有实时的协议热备份功能负责将协议的配置信
19、息备份到其他所有成员设备,从而实现1:N的协议可靠性。 高性能 对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。而CSS系统的性能和端口密度是CSS内部所有设备性能和端口数量的总和。因此,CSS技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。完备的安全控制策略华为 S5700-LI系列交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变
20、分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。华为 S5700-LI系列交换机支持对试图接入网络的用户进行802.1x认证。可以在交换机上对802.1x客户端的版本和有效性进行验证,防止非法用户登录网络。支持集中式MAC地址认证,可以基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件,而且可以同时运行802.1x认证和基于MAC地址认证。提供Guest Vlan功能,使得为被授权的访问端只能接入访问特定的资源,并且会采取相应的策略,例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序等等。支持Secure She
21、ll V2(SSH V2)特性可以提供安全的信息保障和强大的认证功能,以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。丰富的QoS策略华为 S5700-LI系列交换机支持支持L2(Layer 2)L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法,可以同时基于端口和队列进行设置,支持SP、WRR、SP+WRR三种模式。支持CAR功能,粒度最小达64Kbps。支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进行网络检
22、测和故障排除。出色的管理性华为 S5700-LI系列交换机支持SNMPv1/v2/v3(Simple Network Management Protocol),可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行,Web网管,TELNET,HGMPv2集群管理,使设备管理更方便,并且支持SSH2.0等加密方式,使得管理更加安全。华为 S5700-LI系列交换机支持基于MAC地址划分VLAN,很好的解决了移动办公的智能灵活管理;结合特有的基于全局和VLAN下发ACL策略,在简化用户配置的同时,也大幅节约了硬件资源。增强的以太网供电功能(PoE+)华为 S5700-LI系
23、列交换机支持增强的以太网供电功能(PoE+),PoE供电款型可以提供每端口最大30W的输出功率,可以为802.11n的无线接入点,可视IP电话,以及更多的终端设备提供以太网供电能力。作为教育云计算实践,云计算数据中心的建设建议达到以下目标:u 通过标准化、虚拟化的资源池部署,提高整体IT基础设施资源利用率;u 实现IT基础设施资源的自助化服务,按需申请,按需供给,实现面向最终用户的云服务模式;u 实现IT基础设施资源的自动化部署及流程化管理,并可利用云计算管理平台对资源进行可视、全面的监、管、控,简化日常运维的管理流程、降低维护成本;u 在实现可落地的云实践的基础上,保留未来向更高层次的云计算
24、实践发展的可能,如SaaS和PaaS相关应用等;3.1.2. 接入层无线设备设计根据云书包系统需求,在电教室内部署无线网络,以便云书包终端可以自由接入网络。普通的AP接入终端数量不可以超高10个,特别是高带宽的接入设备更不能超过这个数量。但是也不能在一个小空间内部署多个AP来弥补接入数量不足问题。因为AP之间也会出现频道干扰。则这些电教室内要部署大容量接入的工业AP。根据云书包的特点。本方案选择华为大容量接入设备AP3010DN-AGN作为电教室无线AP。其能够实现接入终端的相互隔离,保证每个接入设备达到至少54M的上联带宽。AP3010DN-AGN支持整机最大用户数达到64个,16个SSID
25、。一体化MIMO内置天线,实现全向无盲点覆盖。每射频速率高达300Mbps。高等级的网络安全性,支持多种认证和加密方式,以及非法AP检测,支持QOS。灵活的组网和环境适应能力,满足接入、桥接(WDS)等多种组网应用场景。简单的设备管理和维护,业务零配置,即插即用,自动上线,美观化设计,支持FIT-AP。每个电教室部署1台高容量AP就可以满足云书包终端的接入。上联接入一台千兆电口的交换机即可满足高带宽的需要。3.2. 核心层设计3.2.1. 核心层网络设计数据中心核心交换机需要资源池内部高速交换以及骨干互联工作,建议采用华为数据中心级核心交换机S7700,主要基于如下考虑: 高性能:核心汇聚层需
26、要与其它外部网络互联,外连接口众多,并且这些外部网络所提供的接入带宽和接入设备都是业界高端设备,所以为了使网络在核心交换区不存在性能瓶颈,采用具备高密万兆的核心交换设备. 整网可靠性:因为校园网数据中心网络业务系统具有高可靠性设计,业务层面最大限度的保障业务转发不中断、不丢包。因此建议在核心交换部分采用主控和交换网板分离的核心交换机,提高网络可靠性,使整网可靠性方面不存在短板。 绿色环保:为了降低机房空调能耗,要求核心交换机采用竖插槽,前下部进风、上后部抽风、强迫风散热形式。要求通过RoHS、CE等国际环保认证。在总校与分校之间部署100M MSTP链路,为分校区提供高速互联通道,当分校区电教
27、室开通云书包系统时,可以通过这条100M链路登陆至总校的教育资源平台上,实现多个无线终端开展视频教学活动。3.2.2. 核心层安全设计为了应对云计算环境下的流量模型变化,安全防护体系的部署需要朝着高性能的方向调整。在本次项目的建设过程中,多条高速链路汇聚成的大流量已经比较普遍,在这种情况下,安全设备必然要具备对高密度的GE甚至10G接口的处理能力;无论是独立的机架式安全设备,还是配合数据中心高端交换机的各种安全业务引擎,都可以根据用户的云规模和建设思路进行合理配置;同时,考虑到云计算环境的业务永续性,设备的部署必须要考虑到高可靠性的支持,诸如双机热备、配置同步、电源风扇的冗余、链路捆绑聚合、硬
28、件BYPASS等特性,真正实现大流量汇聚情况下的基础安全防护。在核心交换机与出口之间部署防火墙,在核心交换机与教育资源平台之间部署防火墙。以保证内部局域网安全及教育资源的数据安全。 如上图FW三层部署所示,防火墙可以与宿主交换机直接建立三层连接,也可以与上游或下游设备建立三层连接,不同连接方式取决于用户的访问策略。可以通过静态路由和缺省路由实现三层互通,也可以通过OSPF这样的路由协议提供动态的路由机制。如果防火墙部署在服务器区域,可以将防火墙设计为服务器网关设备,这样所有访问服务器的三层流量都将经过防火墙设备,这种部署方式可以提供区域内部服务器之间访问的安全性。防火墙是网络系统的核心基础防护
29、措施,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(ping of death, land, syn flooding, ping flooding, tear drop)、端口扫描(port scanning)、IP欺骗(ip spoofing)、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。安全控制策略:防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;建议在两台防火墙上设定严格的访问控制规则,配置只有规则允许的IP
30、地址或者用户能够访问数据业务网中的指定的资源,严格限制网络用户对数据业务网服务器的资源,以避免网络用户可能会对数据业务网的攻击、非授权访问以及病毒的传播,保护数据业务网的核心数据信息资产;配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范,可以实现对各种拒绝服务攻击的有效防范,保证网络带宽;配置防火墙全面攻击防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防
31、范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等,全面防范各种网络层的攻击行为;根据需要,配置IP/MAC绑定功能,对能够识别MAC地址的主机进行链路层控制,实现只有IP/MAC匹配的用户才能访问数据业务网中的服务器;其他可选策略:可以启动防火墙身份认证功能,通过内置数据库或者标准Radius属性认证,实现对用户身份认证后进行资源访问的授权,进行更细粒度的用户识别和控制;根据需要,在两台防火墙上设置流量控制规则,实现对服务器访问流量的有效管理,有效的避免网络带宽的浪费和滥用,保护关键服务器的网络带宽;根据应用和管理的需要,设置有效工作时间段规
32、则,实现基于时间的访问控制,可以组合时间特性,实现更加灵活的访问控制能力;在防火墙上进行设置告警策略,利用灵活多样的告警响应手段(E-mail、日志、SNMP 陷阱等),实现攻击行为的告警,有效监控网络应用;启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析;部署ACG应用控制网关能对网络中的P2P/IM/VoIP带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制;同时,根据对网络流量、用户上网行为进行深入分析与全面的事后审计,并具有强大的URL过滤功能,进而全面了解网络应用模型和流量趋势,大大提
33、升网络的业务控制能力,帮助用户优化其网络资源,为用户打造一个和谐、有序的网络环境。能精确检测Thunder(迅雷)、BitTorrent、eMule(电骡)、eDonkey(电驴)、QQ、MSN、PPLive等近百种P2P/IM应用。同时,可基于时间、用户(组)、应用协议,对P2P/IM应用进行告警、限速或阻断。能精确识别各种常见的应用,如ERP应用、视频会议等,在识别业务的基础上,ACG可对关键业务进行带宽保证,对其他业务按优先级进行智能流量调度。可对各种P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输等各种上网行为提供全方面的行为监控和记录;同时,通过综合分析、检测用户网络
34、流量与流向趋势,事后对历史数据进行分析,为用户提供细粒度的网络行为审计管理系统。通过自定义IP地址、主机名、正则表达式等方式设置URL特征库,支持根据不同的URL策略设置不同的响应方式,支持根据时间表对不同的URL策略设置不同的响应动作,避免保密信息的外泄,免受非法信息干扰,确保网络的健康使用。提供业务流量趋势图、流量分布图、Top N用户列表、Top N应用协议列表等报表,并支持按照用户名/用户组、使用频度、使用时段、应用分类、应用协议、流量大小等进行多维度组合定制报表,使用户能全面掌握网络中的流量、应用和业务分布,为合理规划网络、制定流量控制策略提供依据。华为专业安全团队密切跟踪应用变化,
35、并对应用协议特征库及时更新;支持在线自动/手动升级方式,升级过程无需重启系统,不影响系统业务运行。通过在华为交换机/路由器中增加SecBlade ACG模块,即可扩展交换机/路由器的应用监控和审计功能。通过与交换机/路由器共用管理平台,降低了管理难度。并且交换机/路由器的任何端口都可以作为SecBlade ACG模块的端口使用,从而降低用户成本。SecBlade ACG业务模块作为业务插卡嵌入华为交换机/路由器中,降低了单点故障,保证了网络的高可靠性。部署负载均衡设备可提供完善的负载均衡功能,具备服务器负载均衡、链路负载均衡等功能。部署在数据中心,基于特定的负载均衡算法将客户端对数据中心服务的
36、访问请求合理地分发到数据中心的各台服务器上,以保证数据中心的响应速度和业务连续性。部署在多ISP链路的出口,为了提高链路利用率,通过对链路状态的检测,采用对应的调度算法将数据合理、动态的分发到不同链路上。3.3. 中心机房设计浙江路小学的原有网络机房功能比较单一,如果以后要承载教育资源平台及云书包平台,则原有网络机房的空间、电源功率、空调制冷量都达不到要求,则要对网络机房进行升级改造。针对原有网络机房要有以下升级措施:1、 扩大网络机房面积,扩容后对网络机房进行粉霜、门窗密闭、安装防盗门,铺设防静电地板等工作。2、 扩充原有机房供电功率,从学校总配电室铺设5*25mm平方的电缆至网络中心机房,
37、并安装相关配电设施。以便提高网络机房总的配电功率至50KVA以上。3、 安装30KVA的UPS一套,并安装后备电池,当市电停止时,可以为网络机房信息系统提供30分钟-1个小时的供电时间。4、 安装5匹机房专用空调,为机房提供足够的制冷量,为了防止多台服务器堆叠后产生大量热量。5、 安装全新服务器机柜5台,为网络设备、服务器及其他设备提供安装空间,而且保证了全机房设备统一整齐,达到美观的效果。3.4. 云数据中心设计3.4.1. 项目方案规划教育云数据中心的建设将改变传统的建模式,采用云计算技术对数据中心硬件资源和基础软件的统一管理、统一分配、统一部署、统一监控和统一备份,打破原先信息系统建设中
38、普遍采用的应用系统“封闭运行,相对独立”的模式,实现各类计算资源和运用动态调整、自动故障切换和应用系统快速部署,简化管理、大大降低管理成本、减少基础设施资源浪费,节省系统建设和运行维护经费。一期建设的主要内容为初步搭建一个相对完整的虚拟化数据中心架构,提供可扩展的虚拟化运行环境,并将所有基于x86服务器的应用系统逐步迁移到虚拟化平台中。一期规划的架构拓扑如下:二期建设的主要内容为扩容和完善整体架构,新应用部署也将形成虚拟标准化。增加刀片服务器和存储容量,提供更大的虚拟化容量,并构建统一数据保护系统和其他虚拟化安全设备,达到更安全、稳定的系统级别。三期建设时,将根据实际需要,考虑搭建灾备数据中心
39、,对主数据中心进行全面的虚拟化,以及与灾备中心搭建成互相冗余备份的虚拟化双活数据中心。通过构建云计算数据中心将为整个企业各个应用提供了统一的运行平台,为所有下属单位和员工的服务提供了强有力的信息化基础平台。数据中心建设采用统一规划、分布实施的原则,一期可考虑较少数量的虚拟机的规模,主要完成新一代虚拟化数据中心硬件资源的整合平台搭建。3.4.2. 逻辑结构图方案中将云计算资源池分成三层结构:第一层;物理资源,包括物理服务器、存储设备、网络设备等;此层为真正的物理资源,为整个云计算平台提供物理环境。第二层:云计算中心逻辑资源池,包括资源池、数据存储和端口组;整体数据中心的计算资源进行逻辑划分,分为
40、资源池(CPU、MEM)、数据存储(存储容量、存储性能)和网络组(网络带宽),此层为全平台逻辑资源,为所需业务提供资源。第三层:虚拟数据中心;针对服务平台、各业务应用区域可以独立管理自己数据中心内的虚拟服务器和应用,而每个区域在逻辑上是相互隔离的,他们能都独立运行和管理。最后通过统一的用户与策略管理为信息平台和应用区域指定相应的资源目录和策略规范,实现整体平台的运维管理。在整体云平台中能够统一监控到所有资源的使用情况和所有系统运行情况。3.4.3. 方案设计说明针对客户云计算数据中心建设,我们结合用户当前和远期的业务系统需求,设计方案采用业界最好的云基础架构进行设计,以达到以下效果:1、在数据
41、中心采用高性价比的服务器,将这部分服务器做虚拟化部署。部署虚拟化后的物理服务器按照以往的经验,大约可实现10:115:1的整合比率,也就意味着以前需要二三十台物理服务器完成的工作,在部署虚拟化后仅23台就能满足要求。根据客户当前的需求情况来分析,我们本期设计高性能服务器专门用于部署虚拟化软件。2、配合虚拟化的实施,除了需要高性能的物理服务器之外,还需要高性能的网络、高I/O性能的专业存储系统。此存储不但可满足通过虚拟化软件虚拟出来的大量虚拟服务器数据的存放和I/O性能需求,而且还能方便的扩展。3、数据中心在部署虚拟化后,不但可大大的扩展服务器的数量,还可以实现服务器之间的故障转移(HA)、在线
42、热迁移(vMotion)、零秒容错(FT)等诸多功能,在后面的方案中我们将做详细的描述。 “计算+存储融合”产品将同时满足计算+存储对性能和扩展性这两方面的要求,而且不存在计算和存储层的单点故障。按照以上方案实施完毕后,将实现vDC基础资源的标准化,满足数据中心的所有基础架构要求,可为客户各应用平台提供有力支持。数据中心部署最新的高性能服务器,其上安装部署虚拟化操作系统。实施了虚拟化部署后的物理服务器将具备高可用故障切换等诸多高级容错功能,在一台物理服务器出现故障宕机后,不会影响到在上面运行的具体业务。解决方案拓扑示意图:计算和存储资源池:主要由1个Block内的3台(节点)2路CPU的刀片服
43、务器组成。设备仅占用2U的空间,其最大可支持4个节点(Node),称为1个Block。如需继续扩展,可添加新的Block和Node,可支持上千个Node的线性扩展。假设平均1台VM(虚拟机)需占用1个CPU内核和8G内存的计算资源,那么上述1台Node服务器保守估计可运行1215台VM,2台Node服务器即可运行2430个VM。3台Node服务器可形成N+1的HA(高可用)集群,保障稳定性。这些物理服务器上均部署虚拟化群集,提供所有服务器虚拟机的运行环境。服务器配置2*1000M和2*10Gb网卡与网络交换机互联,并通过服务器内预置的分布式存储系统,将所有SSD和SATA融为一个存储池,透明的
44、供应给上层使用。在搭建虚拟化的数据中心时,有3大优势:1)横向扩展架构,易扩展:由于内置的分布式存储技术,使计算池和存储池均能够横向线性扩展,解决了传统架构下存储性能难扩展的问题。2)全冗余架构,计算和存储节点均无单点故障:由于均是资源池化和分布式架构,所有数据均是冗余分布的,所以天生就没有存储的单点问题,整体架构高稳定。3)存储性能优异:由于其配置了大容量SSD固态硬盘和PCIe SSD加速卡,并内置了存储虚拟化分层、重复数据删除和压缩、数据高速同步等技术,其存储性能非常优秀,并且能随Node增加而线性提高性能,按需扩展。通过对服务器虚拟化技术的介绍,可以看出服务器虚拟化有以下几个特性:(1
45、)多实例通过服务器虚拟化,一台物理机上可以运行多个虚拟服务器,支持多个客户操作系统,并且物理系统的资源是以可控的方式分配给虚拟机。(2)隔离性服务器虚拟化可以将同一台物理服务器上的多个虚拟机完全隔离开来,多个虚拟机之间就像多个物理机器之间一样,每个虚拟机都有自己独立的内存空间,一个虚拟机的崩溃并不会影响到其它虚拟机。(3)封装性采用服务器虚拟化之后,一个完整的虚拟机环境对外表现为一个单一的实体,便于在不同的硬件设备之间备份、移动和复制。同时,服务器虚拟化将物理机器的硬件封装为标准化的虚拟硬件设备提供给虚拟机内的操作系统和应用程序,提高了系统的兼容性。基于以上这些特性,服务器虚拟化带来了如下的优
46、点:(1)实时迁移实时迁移是指在虚拟机运行时,将虚拟机的运行状态完整、快速的从一个宿主平台迁移到另一个宿主平台,整个迁移过程是平滑,且对用户透明的。由于服务器虚拟化的封装性,实时迁移可以支持原宿主机和目标宿主机硬件平台之间的异构性。当一台物理机器的硬件需要维护或更新时,实时迁移可以在不宕机的情况下将虚拟机迁移到另一台物理机器上,大大提高了系统的可用性。(2)快速部署在传统的数据中心中,部署一个应用需要安装操作系统、安装中间件、安装应用、配置、测试、运行等多个步骤,通常需要耗费十几个小时甚至几天的时间,并且部署过程中容易产生错误。而采用服务器虚拟化之后,部署一个应用其实就是部署一个封装好操作系统
47、和应用程序的虚拟机,部署过程只需要以下几个步骤:拷贝虚拟机、启动虚拟机和配置虚拟机,通常只需要十几分钟,且部署过程自动化,不易出错。(3)高兼容性服务器虚拟化提供的封装性和隔离性使应用的运行平台与物理底层分离,提高了系统的兼容性。(4)提高资源利用率在传统的数据中心中,处于对管理性、安全性和性能的考虑,大部分服务器上都只运行一个应用,导致服务器的CPU 使用率很低,平均只有5%20%。采用服务器虚拟化之后,可以将原来多台服务器上的应用整合到一台服务器之中,提高了服务器资源的利用率,并且通过服务器虚拟化固有的多实例、隔离性和封装性保证了应用原有的性能和安全性。(5)动态调度资源服务器虚拟化可以使
48、用户根据虚拟机内部资源的使用情况即时的灵活调整虚拟机的资源,如CPU、内存等,而不需要像物理服务器一样需要打开机箱变更硬件。3.4.4. 核心功能设计3.4.4.1. 服务器共享资源池管理动态数据中心核心管理用户自服务模块与平台管理模块,是将数据中心管理的主要功能:n 系统监控n 虚拟化管理n 数据备份n 配置管理n 身份管理n 系统监控模块 单个(或集群的)服务器的主要服务 跟踪事件和日志服务器上生成的状态监测 跟踪性能计数器以测量和优化系统的使用 生成基于预定义的规则的事件或计数器的通知n 服务器部署和配置模块 自动设置服务器 (虚拟和物理),管理虚拟服务器的配置设置 配置的网络交换机和创建的虚拟服务器的负载