《标准化校园网建设标准(共26页).doc》由会员分享,可在线阅读,更多相关《标准化校园网建设标准(共26页).doc(26页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上标准化校园网的建设标准一、建立标准化的校园网1.物理拓扑图及逻辑拓扑图2.有线无线一体化泛载接入网:可以完善的支持基于百兆、千兆、万兆速率的有线接入和基于802.11a/b/gn的无线接入。以人本主义为出发点、以客户需求为导向,充分考虑了方案和产品的一体化融合理念,分别从五个维度进行了一体化设计。(1)接入一体化:通过将有线网和无线网无缝融合实现有线、无线客户端一体化全覆盖接入;(2)交换转发一体化:通过AC控制器和有线交换机的一体化设计实现有线、无线流量交换转发可共用一张网进行高性能转发;(3)管理认证一体化:通过统一网管平台和统一认证计费系统的一体化设计实现有线无
2、线管理一体化、认证计费一体化;(4)IPv4/IPv6一体化:有线和无线全线产品均支持全功能的IPv4/IPv6 特性以及IPv4/IPv6一体化认证管理;(5)安全认证一体化:有线无线均支持Web Portal/802.1X一体化、外网/内网一体化、准入/准出一体化。3. 高速骨干双栈网:骨干网设计包括汇聚和核心交换设备,以“云服务”理念为核心,强调硬件全功能支持IPv4/IPv6双栈协议以及老设备IPv4向IPv6平滑过渡手段;骨干设备通过部署成熟的OSFP动态路由协议实现互联互通,结合ECMP协议形成基于多归多活的虚拟化交换资源池,可根据业务功能、流量等进行自动选路、负载均衡、路由和流量
3、飘移并可以和融合一体出口网进行三层策略联动从而实现“核心出口”单点故障避免、故障自愈等特性。4. 融合一体出口网:通过在校园网络出口部署DCFW系列多核安全网关、DCFS系列流量整形网关,解决了出口的网络安全问题及流量控制问题,配合DCBI-NETLOG上网行为审计系统,可以提供详细的上网行为日志记录,同时,通过DCSM认证管理平台与以上设备联动策略机制,可以实现更加强大的流量控制与上网行为管理功能,比如基于用户的流量控制、基于实名的行为审计、校园网舆情监控等功能。5. 数据中心数据中心设备总体要求:综合考虑服务器、存储、网络、管理、性能、业务连续性等因素设计完整的云计算数据中心解决方案,对服
4、务器、存储系统、网络资源、安全设备进行整合,形成安全可靠的虚拟主机群集,实现虚拟机热迁移,并规划设计数据容灾。采用统一的管理界面集中管理本项目的计算池、网络池、存储池、安全及优化池。提供SAN存储网络架构,为虚拟化系统的部署提供统一存储空间,提供详细的存储网络架构方案,将新采购的服务器和存储设备进行整合形成为一体化的数据存储网络。方案架构设计应具有弹性的扩展能力,充分考虑用户未来的发展需求,直至实现本地与容灾端的双活云计算数据中心,最大程度保护投资。数据中心设备配置清单序号系统名称内容数量单位1云数据中心计算单元刀片服务器机箱,详细参数见后续表格1套两路刀片服务器,详细参数见后续表格4台虚拟化
5、操作系统,详细参数见后续表格1套2云数据中心存储单元高性能存储节点系统,详细参数见后续表格1套3云数据中心网络池统一网络交换设备,详细参数见后续表格1套4云数据中心安全池虚拟化防病毒软件,详细参数见后续表格1套5集成服务要求详细参数见后续表格1项(1)“云”数据中心计算池:数据中心计算单元作为核心业务的支撑系统,承担整个业务系统数据的存储和处理,具有业务量大、存储量大的特点,所以关键的数计算单元选择尤为重要。高可靠性和可用性是首要的需求,其次才是数据处理能力和安全性,然后是可扩展性和可管理性。建议配置4台两路刀片服务器构成虚拟化服务器集群,提供整个数据中心各种应用系统的运行支撑,确保所有应用系
6、统高可用,高性能;针对以上所有服务器系统,提供1套刀片服务器机箱,并配置相关网络、光纤接口,通过管理软件统一管理所有刀片服务器、刀箱、及附属网络设备。A、刀片服务器机箱技术指标技术要求数量1套品牌CISCO UCS 5108单套刀片服务器机箱配置要求机箱高度5U扩展能力整机箱支持不少于8个两路刀片服务器或4个四路刀片服务器。内部全冗余结构,支持冗余路径。连接端口数量与速率支持两个对外冗余连接模块;配置一个对外连接模块;对外(连接以太网与SAN网络)的连接总端口数不少于8个万兆的光纤以太网技术(FCoE)接口;或8个万兆以太网+8个8Gb FC接口模块;供电模块配置冗余热插拔电源模块,支持N+N
7、冗余,每电源最大输出功率2500W;配置冗余热插拔机箱散热风扇模块。远程管理支持基于IP远程KVM,实现远程管理及维护的功能。I/O带宽每服务器插槽提供不少于10 Gbps的I/O带宽,两个插槽共享不少于20 Gbps的I/O带宽安装与支持提供现场安装服务。提供技术维护服务及现场技术支持。B、刀片服务器技术指标技术要求数量4台品牌Cisco B200 M3单台刀片服务器配置要求处理器配置2个不低于2.00 GHz E5-2640八核处理器;内存配置不少于128 GB DDR3内存,单根内存不低于8GB,最大可扩容至768GB 配置不少于20个DIMM内存插槽;硬盘类型支持支持不少于2个热插拔S
8、SD硬盘RAID卡支持RAID 0,1操作系统支持支持Windows, Linux,ESXi等主流操作系统虚拟适配器卡至少配置一块双端口虚拟适配器,每端口速率为20GB,支持 FCoE,可至少虚拟出8块网卡和2块HBA卡。可根据需要扩展至2块虚拟适配器。如果需要扩展卡才能满足要求,请在报价清单“其他”项目注明设备规格型号与价格。连接端口数量与速率配置总端口数不少于2个10Gb FCoE硬件接口通道或不少于2个10Gb以太网接口+2个8Gb FC接口;网卡需硬件支持二层虚拟交换。性能要求要求服务器硬件配置信息(如MAC、WWN等)和刀片服务器剥离,通过SAN BOOT方式实现虚拟系统部署;更换服
9、务器时无需做配置变更,降低维护复杂度。动态扩展要求在不改变网络架构下,服务器可以动态扩展。支持不少于40个机箱和320把刀。管理功能提供远程方式下对刀片服务器机箱中的硬件设备进行访问、资产管理、配置、诊断、监控、故障检测、审核及统计数据收集工作提供全功能的XML API,允许通过外部管理工具对系统进行全面控制; 在系统扩容后不应增加管理系统的复杂性和添加任何额外的管理软硬件。可以采用内置芯片或单独服务器的方式。安装与支持提供现场安装服务。提供技术维护服务及现场技术支持。C、虚拟化操作系统本次配置一套虚拟化软件作为云计算操作系统软件:技术指标技术要求数量8个或以上物理CPU许可包,含1套管理中心
10、软件许可。品牌知名品牌,原厂商非OEM产品,提供研发原厂800电话支持。推荐VMware基本要求采用裸金属架构,无需绑定操作系统即可搭建虚拟化平台。每个虚拟机可以支持虚拟多路CPU(vSMP)技术,以满足高负载应用环境的要求,最高可支持超过8路虚拟CPU。具备高可用功能,当一台物理机发生故障时,之上的虚拟机可以实现在集群之内的其它物理机上自动重启,提高业务连续性;可以实现在线的虚拟机迁移功能,可以在不停机的状态下,实现虚拟机在集群之内的不同物理机之间迁移,保障业务连续性。提供整合备份功能,能够利用重复删除技术对VM进行快速备份(全备份或增量备份)和恢复;同时提供备份接口,能够与第三方备份软件无
11、缝兼容。兼容性要求兼容现有市场上X86服务器上能够运行的主流操作系统,尤其包括以下操作系统:Windows NT、WinXP、windows Vista、Win2000、Win2003、windows 2008、Reahat Linux、Suselinux、Solaris x86、Novell、Trubolinux、FreeBSD、Ubuntu、Debian、Mac OS等等。支持主流应用软件的运行,包括但不局限于数据库、中间件、ERP等等。功能性要求具有合理的内存调度机制,能够实现内存的过量使用(如共享页面技术等),保障内存资源的充分利用。每台VM(虚拟机)的内存大小可以达到1TB。虚拟化平
12、台内建虚拟交换机(vSwitch),实现VM之间或与物理机之间的网络调度,支持同一物理机上VM之间的网络隔离(支持VLAN)。内建虚拟交换机vSwitch的数量至少达到127个,每个VSwitch的端口数量至少达到1016个。具有共享数据文件系统,支持逻辑卷的动态调整,可以聚合多个异构逻辑卷(LUN),并实现在线进行存储容量的增长。每台VM(虚拟机)可以支持到64TB的存储容量。支持热添加CPU 和内存功能,在不对用户造成中断的情况下,根据需要为虚拟机部署更多 CPU 和内存。提供专用的P2V工具,实现物理机至虚拟机的平滑过渡。管理中心软件提供统一的图形界面管理软件,可以在一个地点完成所有虚拟
13、机的日常管理工作,包括控制管理、CPU内存管理、用户管理、存储管理、网络管理、日志收集、性能分析、故障诊断、权限管理、在线维护等工作。同时支持Web client和命令行管理功能。(2)云数据中心存储池存储节点设备配置指标项指标要求品牌*EMC VNX 5100系统架构全冗余模块化光纤SAN存储设备;存储控制器配置两个存储控制器实现冗余,存储控制器采用Intel双核处理器,主频1.6GHz;配置8GB高速缓存;写缓存镜像保护,要求缓存采用掉电保护技术,意外断电时能够将将缓存中的数据写入硬盘,保证长时间停电情况下缓存数据永不丢失配置4个8Gb光纤通道主机端口,最大可支持8个8Gb FC端口; 操
14、作系统支持Windows、Linux、AIX、Solaris、HP-UX、Vmware ESX等磁盘接口配置4个6Gb四通道SAS磁盘接口磁盘扩展能力最大可支持140TB容量磁盘类型支持必须支持以下硬盘类型:15000转SAS硬盘: 300G、600G;10000转SAS硬盘:300G、600G;7200转SAS硬盘:2TB;企业级闪存硬盘:100GB、200GBRAID类型支持支持RAID 0,1,1/0,3,5,6等多种raid类型热备盘支持主动性热备盘技术,支持硬盘预拷贝技术,提前发现故障盘,主动迁移故障盘数据,规避系统降级的风险;支持全局热备盘,不限定热备盘的位置,可提供跨框的热备服务
15、本次配置硬盘采用15K rpm SAS磁盘,8颗,单颗硬盘600G;采用7.2K rpm SATA磁盘,7颗,单颗硬盘2T。支持LUN数量配置512个 LUN许可支持主机数量配置512个存储分区,或相应数量主机同时接入磁盘存储系统,提供足够的分区以便有效地支持大规模的整合或虚拟化环境,从而帮助降低硬件和存储管理成本管理软件配置基于WEB的阵列管理软件许可,在单一WEB管理界面实现存储管理和监控;无需在主机端安装管理软件虚拟资源调配功能配置虚拟资源调配功能,可以为应用程序提供比在存储阵列中分配给它的物理容量更多的容量,提高存储空间利用率; 虚拟化软件集成可自动发现在虚拟化软件管理的所有虚拟机,提
16、供端到端的虚拟到物理的映射信息数据远程迁移功能配置2台存储之间存储级的远程数据复制迁移功能,数据复制支持推和拉两种方式,要求支持不同品牌阵列之间的数据复制多路径软件支持主机多路径管理软件许可,提供主机到存储阵列间多路径的故障切换和负载均衡功能,支持基于数据块/IO数量等高级负载均衡功能;数据备份功能配置以下功能:提供数据备份功能软件一套,要求支持Windows、Linux、UNIX等操作系统,支持Oracle、SQL server、DB2等主流数据库系统,提供源端重复数据消除功能,满足超过1000个客户端及应用程序许可。远程数据保护功能支持以下功能:远程数据镜像复制软件,保证存储间数据一致性,
17、要求复制软件基于阵列;两个存储之间的连续数据复制功能,并能记录多组写操作,便于以后恢复到多个重要时间点二级缓存扩展支持存储二级缓存扩展功能,最大扩展空间可达100GB以上系统升级能力具有不停机的系统软硬件升级和扩充能力,包括软件升级、系统微码升级、系统处理能力的扩充、存储容量的扩充及I/O能力的扩充保修和服务提供3 年7*24 原厂保修服务(3)云数据中心网络池统一交换设备:配置高性能的统一交换机壹套,构成高可用的网络池交换单元,作为计算池、存储池、网络池的纽带。技术指标技术要求数量1套品牌思科 UCS 6248单台接入交换机配置要求性能要求全万兆交换机;具备线速的万兆以太网和以太网光纤通道(
18、FCoE)功能;不丢包转发,低转发延迟;连接端口数量与速率配置万兆以太网接口数28,本次激活不小于10个端口;要求每个端口都支持1GE/10GE/8G FC,支持10G FCoE。本次每台配置不少于4个万兆模块连接服务器机箱,不少于2个万兆光模块连接核心交换机,不少于2个8G FC多模模块连接存储交换机二层转发率基于硬件的二层转发率900Gbps包转发率包转发率700M管理端口至少提供一个10/100/1000Mbps自适应管理端口可用性配置冗余电源和冗余风扇支持标准IEEE 802.1p、IEEE 802.1Q、IEEE 802.1s、IEEE 802.1w、IEEE 802.3、IEEE
19、802.3ad、IEEE 802.3ae: 10 Gigabit Ethernet管理功能1、可实现管理域内所有刀片机箱、刀片服务器、I/O接口模块、万兆汇聚交换机、存储接入模块等硬件组件的统一管理,且一个管理域可支持到不少于100片服务器;在系统扩容后不应增加管理系统的复杂性和添加任何额外的管理软硬件。如果采用单独管理服务器方式,请在投标报价清单“其他”项中列明服务器和软件,此次项目需满足未来至少6个机箱的管理。2、支持服务器物理信息(如MAC、WWN等)和服务器剥离,可使用配置文件来配置服务器及其I/O连接,配置文件可使工作负载在服务器之间进行转移,以变更指定给一项工作负载的硬件资源或者使
20、服务器离线进行维护或升级;3、支持虚拟光驱技术安装操作系统及应用软件。4、要求高可用设计。要求实现在服务器未安装操作系统前,批量更新BIOS版本,HBA版本,RAID控制器版本。实现在服务器未安装操作系统前批量设定服务器启动顺序,SAN启动,网卡与VLAN的关联,BIOS设定(如允许或禁止超线程)等功能。本次项目要求实现至少六个刀箱的管理,如果采用单独管理服务器加软件方式,请在报价清单“其他”项中注明服务器和软件报价(4)云数据中心安全池虚拟化防病毒软件技术指标技术要求数量1套品牌趋势配置要求1套,包含8个物理CPU许可基本要求针对本期的计算池虚拟化环境,虚拟机安全防护系统,直接安装在虚拟化操
21、作系统底层,无需其他操作系统,无需安装客户端,可提供实时病毒过滤功能;病毒防护模块,可进行实时/手动/计划病毒扫描,并提供相关病毒查杀日志。该病毒功能可整合云操作系统专用接口,实现免客户端安装的应用模式集成性要求必须和云操作系统的虚拟机在线迁移功能以及虚拟机高可用功能集成,能够自动感知和保护虚拟环境的变更和迁移。能与云操作系统管理软件集成。与云操作系统APIs的集成使得它能在计算池中服务器上作为一个虚拟应用快速部署,并立即开始透明化地保护虚拟机功能性要求可扩展DPI(深度内容检测)功能,可同时保护操作系统和应用服务(数据库,Web,DHCP等)基于专用API接口提高运行效率,必须具有集中控管的
22、功能,能够统一的管理和配置,并且日志能够统一的在集中控管平台上呈现6.基础网络设备序号设备名称技术规格要求推荐品牌单位数量一、校园网1核心交换机主机机箱式路由交换机主机1,整机可用插槽数20个,背板带宽32Tbps;2,主机含1个交流电源模块,不含管理引擎模块。锐捷、DCN、H3C台22电源模块220V交流电源模块锐捷、DCN、H3C块23管理引擎模块管理引擎模块,交换容量16Tbps,包转发速率11900Mpps锐捷、DCN、H3C块24业务模块增强系列业务模块,万兆SFP+接口24个锐捷、DCN、H3C块25业务模块增强系列业务模块,10/100/1000Base-T24个锐捷、DCN、H
23、3C块26数据中心交换机数据中心千兆路由交换机1,规格要求:配置千兆电口48个,万兆SFP+接口4个;2,性能要求:交换容量400Gbps,包转发速率286Mpps;3,配置交流电源模块2个,风扇模块3个。锐捷、DCN、H3C台17安全网关千兆安全网关 1,规格要求:最大可用千兆接口8个,10/100/1000M以太网电口6个,千兆SFP接口2个,双电源冗余设计;2,性能要求:吞吐量8Gbps,并发连接数150万,每秒新建会话数70,000,VPN隧道数2000,SSL 并发用户数(标配/最大)16/ 1,000;3,支持基于身份、深度应用安全的访问控制、IPSEC/SSL VPN、QoS、应
24、用管理、病毒过滤、入侵防御、反垃圾邮件、内置报表等安全服务。锐捷、DCN、H3C台18流量控制网关流量控制网关1,规格要求:2U机架式,双电源冗余设计,千兆电口6个,千兆SFP接口2个。2,性能要求:吞吐量双向2Gbps,并发连接数250万,每秒新建会话数70,000;3,功能要求:可实现对网络中各种流量进行管理、控制,支持ByPass功能。锐捷、DCN、H3C台1 9网络管理系统网络管理系统。1,功能要求:支持网络拓扑发现、资源管理、设备管理、终端管理、性能管理、故障分析、异常流量监测、服务器管理、WEB监控等;2,配置网络管理节点数100。锐捷、DCN、H3C套110无线控制器有线无线一体
25、化智能控制器1,规格要求:配置10/100/1000Base-T接口12个,千兆SFP(Combo)接口4个,万兆(XFP/SFP+)扩展插槽2个;2,性能要求:配置AP管理许可32台,最多可支持管理AP256台,交换容量360Gbps,包转发速率270Mpps。锐捷、DCN、H3C套1 11身份认证管理1、规格要求:千兆主机箱,SFP光口插槽4千兆,千兆RJ-45电口4个2、性能要求:支持IPV4 & IPV6,支持RADUIS/LDAP认证,支持16k以下用户并发,ORACLE数据库平台。3、配置要求:配置1K-2K的并发用户许可。锐捷、DCN、H3C台1 12汇聚交换机路由交换机1,规格
26、要求:每台机器配置千兆电口24个,千兆Combo口4个,扩展插槽2个;2,性能要求:交换容量250Gbps,包转发速率96Mpps;3,支持Static Routing、RIPv1/v2、VRRP、IGMP v1/v2/v3、ARP、ARP Proxy、ICMPv6、ND、RIPng等协议;4,每台机器配置2口万兆SFP+接口扩展模块1个。锐捷、DCN、H3C台若干1324口接入交换机 以太网交换机主机1,规格要求:10/100/1000Base-T端口24个,千兆COMBO口2个,千兆SFP光口2个;2,性能要求:交换容量208Gbps,包转发速率84Mpps;3,功能要求:支持IPv4/I
27、Pv6 静态路由,支持RIP/RIPng。锐捷、DCN、H3C台若干1448口接入交换机 以太网交换机主机1,规格要求:10/100/1000Base-T端口48个,千兆SFP光口4个;2,性能要求:交换容量250Gbps,包转发速率132Mpps;3,功能要求:支持IPv4/IPv6 静态路由,支持RIP/RIPng。锐捷、DCN、H3C台若干15无线AP802.11abgn无线 AP(2.4GHz & 5GHz 双路双频,并可同时工作,天线可拆卸,802.3at PoE)锐捷、DCN、H3C台若干16万兆模块万兆光模块-SFP-单模(1310nm,SMF,10km)-LC接口锐捷、DCN、
28、H3C块若干17千兆光模块千兆光模块-SFP-单模(1310nm,SMF,10km)-LC接口锐捷、DCN、H3C块若干二、设备网(监控、广播、一卡通)1核心交换机主机机箱式路由交换机主机1,整机可用插槽数4个,背板带宽3Tbps;2,主机不含交流电源模块,不含管理引擎模块;3,支持Static Routing、RIPv1/V2、OSPFv2、BGP4等协议。锐捷、DCN、H3C台1 2交流电源模块220V交流电源模块锐捷、DCN、H3C块1 3管理引擎管理引擎模块;交换容量1.6Tbps,包转发速率1100Mpps锐捷、DCN、H3C块1 4业务板模块标准业务模块(每个业务板配置万兆XFP接
29、口1个,千兆SFP接口12个,千兆Combo接口12个)锐捷、DCN、H3C块1 5汇聚交换机路由交换机1,规格要求:每台机器配置千兆电口16个,千兆Combo口6个,扩展插槽1个;2,性能要求:交换容量250Gbps,包转发速率96Mpps;3,支持Static Routing、RIPv1/v2、VRRP、IGMP v1/v2/v3、ARP、ARP Proxy、ICMPv6、ND、RIPng等协议。锐捷、DCN、H3C台若干624口接入交换机 以太网交换机主机1,规格要求:10/100Base-T端口24个,千兆COMBO口2个;2,性能要求:交换容量64Gbps,包转发速率9.6Mpps;
30、3,功能要求:支持IGMP Snooping&Query、支持802.1p,ToS,DSCP,端口优先级,支持WRR/SP等调度方式。锐捷、DCN、H3C台若干7光模块千兆光模块-SFP-单模(1310nm,SMF,10km)-LC接口锐捷、DCN、H3C块若干二、建立数字校园应用平台校园学校综合管理信息平台建设的总体目标是:利用先进成熟的计算机技术、网络技术与数据库技术,通过科学合理的管理规范与完备通用的技术规范,基于统一的信息标准整合、集成各种信息资源,构建安全、可靠、可扩展、易维护的综合管理信息平台,实现中等学校各项管理工作的信息化;为广大师生提供简便、快捷的网络化信息服务。具体如下:1
31、、构建统一信息门户平台:集中信息资源管理、应用服务管理与内容整合,为广大师生提供统一访问入口、个性化的综合信息服务。2、建设协同办公服务平台:基于校园网/互联网为教职工及管理人员提供先进实用、高效安全的无纸化办公平台。3、建设掌上校园服务平台:使用无线通信网络及移动计算技术,将各种信息资源和应用服务进行整合、挖掘和展现,为管理人员、教职工、学生、学生家长和公众提供便捷的移动信息服务。建设部门业务支撑系统:包括教职工管理系统、教务网络管理系统、数字迎新管理系统、学生工作管理系统、团委工作管理系统、就业指导管理系统、数字离校管理系统、资产设备管理系统和网络教学平台等,实现中等学校各项管理工作的信息
32、化。运行环境(标准配置)名称数量项目建议规格数据库服务器1硬件CPU数量2内存8GB硬盘数量1,单盘容量146GB网络适配器1000MB/S网络校园网连接畅通Internet禁止连接软件操作系统Microsoft Windows SERVER 2008数据库管理系统Microsoft SQL Server 2008(企业版)信 息门 户应 用服务器1硬件CPU数量2内存8GB硬盘数量1,单盘容量146GB网络适配器1000MB/S网络校园网连接畅通Internet连接畅通软件操作系统Solaris或Linux或Microsoft Windows Server 2008应用服务器Jboss或IB
33、M WebSphere或BEA Weblogic应 用系 统应 用服务器1硬件CPU数量2内存8GB硬盘数量1,单盘容量146GB网络适配器1000MB/S网络校园网连接畅通Internet连接畅通软件操作系统Microsoft Windows SERVER 2008应用服务器Microsoft IIS 6.0WEB客户端1网络校园网或Internet连接畅通软件操作系统Microsoft Windows 7浏览器Microsoft Internet Explorer 8.0三、网络管理与网络安全网络管理是通过相应的管理系统对网络及其用户进行管理,以保障网络及其信息服务系统的正常运行。网络安全
34、是指通过制定网络安全政策和利用网络安全技术(包括软件和硬件)设备对网络系统和计算机系统进行安全防护。1、网络管理一套好的网络管理系统能给学校老师带来很大的帮助,并减轻很多繁杂的日常事务。随着学校信息化建设的逐渐展开,网络的层次也逐渐复杂,而中职学校信息中心的老师一般人数不多,如何能高效、及时的管理好整个校园网络,防患于未然,堵漏于及时,是考核信息中心老师的关键指标。神州数码网络数字化校园的管理针对网络平台资源、用户资源、数据资源、媒体资源进行统一配置与控制。LinkManager NM是神州数码网络基于多年开发与服务经验,推出的一款基于Windows平台的新一代综合性网络管理软件。LinkMa
35、nager NM以易用、实用为开发原则,定位于对网络和业务应用实施深入而全面的监控,把网络拓扑发现、资源管理、设备管理、终端管理、性能管理、故障分析、异常流量监测、服务器管理、数据库管理、WEB监控等融为一体。LinkManager NM通过可视化、仪表化、智能化的网络导航管理模式,将复杂的网络管理工作简单化、人性化,让网管软件带动用户来熟悉与掌控自己的网络,大大降低了用户技术入门的门槛,助广大网管人员轻松驾驭网络。2、网络安全网络安全是数字校园建设的重点和要点,需要多维度、多层面考虑,神州数码结合充分的用户调研和实地验证,从接入安全防护、无线安全防护到边界安全防护、安全监控与日志全维度针对数
36、字校园推出了整体安全解决方案,有效解决了用户所面临网络安全问题。(1)设备自身安全A接入交换机随着网络的发展,网络安全问题特别是内网网络安全问题越来越严重,如:ARP欺骗、ARP攻击、MAC地址盗用、IP扫描、IP冲突、ICMP扫描攻击等问题越来越严重。因此接入交换机的安全特性越来越重要,能否有效的解决内网特别是接入层安全问题,已经是衡量网络的重要的因素。神州数码接入交换机具有极其强大的安全特性以及接入层安全解决方案,可有效的防止内网安全威胁,如:ARP欺骗以及扫描攻击、ClonePC盗用、MAC地址攻击、DHCP攻击等等。从接入层开始,打造高效、安全、稳定的网络,有效的保证了校园网的运营效果
37、。B汇聚交换机提供了完整的ACL策略,并使用不同的策略进行转发。通过ACL策略的实施,用户可以过滤掉“冲击波”、“震荡波”、“红色代码”等病毒包,防止扩散和冲击核心设备。支持IEEE802.1x基于端口的认证,为网络提供端口级的安全保证。配合RADIUS等认证机制,可有效防止非法用户侵入网络。C核心交换机“交换引擎CPU核心保护”:可有效防止各类非法协议攻击导致核心设备交换引擎瘫痪。D无线安全所有的安全策略全部集中在AC控制器上统一发布和控制,包括用户身份认证、入网行为控制、安全加密、无线入侵检测、无线电射频管理等,网管人员只要在AC控制器上配置安全策略,就可轻松地完成整网的安全策略的配置,除
38、此之外还可以结合AC和POE交换机的安全特性,轻松部署ARP立体防御、DHCP Snooping、IPv6 SAVI、ACL等安全策略有效实现无线网络的高安全防护能力。多SSID:可以根据需要,如用户的种类、应用的种类,在神州数码网络无线系统中设置多个SSID,不同的SSID采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式,该SSID不广播,用户无法看到,防止非法用户的连接企图。SSID还可以选择在某些AP上出现,某些AP上不出现,限制SSID出现的范围也是实现安全性的一种手段。加密:神州数码网络无线系统支持多种加密的方式,二层的加密支持静态WEP、
39、动态WEP、TKIP、WPA、802.11i多种加密方式,三层的加密支持IPSec VPN加密,这样使得加密的方式更加的灵活,可以根据实际需求进行选择。E“关键协议绿色通道” 功能可保障正常、合法、速度合理的关键控制报文(VRRP、STP、MSTP、RIP、OSPF、BGP、组播协议、双引擎板间心跳等)在大流量业务下不被淹没,快速处理不中断;F先进的LPM技术可抵抗“冲击波”病毒、“zero day”病毒、“SQL slammer warm”病毒等;G端口信任模式可检测非法BPDU、非法DHCP Server等,从而保障网络的安全。(2)边界防护安全在校园网出口,多核安全网关,采取先进的多核+
40、ASIC硬件架构设计,保证了在校园网出口高吞吐量,多业务流量的条件下,也能轻松应对。除了执行传统防火墙的安全隔离、防御功能以外,还能实现防Dos/DDos攻击,SSL/IPsec VPN等多种功能。多核安全网关采用16核64位嵌入式处理器和高速交换总线技术(如下图),实现了芯片级的硬件加解密、QoS流量管理,避免了传统ASIC和NP安全系统新建连接能力和流量控制能力弱的弊病。通过扩展license,终结者安全网关还可以支持高达1Gbps的防病毒过滤,高达8000万地址容量的URL过滤以及强大的IPS功能。多核安全网关采用多核处理器架构,在实际工作中,每个核心可以在相对节能的方式下运行,牺牲单个
41、核心的运算速度,但多颗核心协同处理任务,以达到性能倍增的目的。3、流量管理网络的开放性和网络技术的迅速发展使得网络出口带宽作为一个重要资源越来越得到信息技术管理部门和运营部门的重点关注,通过流量分析方法发现网络中各种应用的对带宽占用情况是实现带宽资源有效利用的第一步,在此基础之上通过基于应用的管理手段来实现对关键应用的保障、阻断或限制非关键性业务的应用。在运营或强化管理的网络中,内部用户对外部网络的访问权限管理、流量管理、应用管理、应用审计是IT管理或运营部门关注的另外一个重点。(1)带宽决策支持:统计、监控和分析校园网各种应用所占的带宽比例,为校园网的用途和下一步的规划提供科学依据。通过对网
42、络上的流量数据进行监控和分析,量化地了解当前网络中各种应用流量所占的比例、以及各应用的流量各是多少,从而得知用户的网络最主要的用途是什么。(2)带宽宏观管理:限制每个用户的上网带宽,自动采取平均分配带宽的优化算法,确保带宽资源分配的公平性和合理性;不同用户组分配不同带宽,即可轻松实现区分服务。(3)非法应用抑制:有效控制各种应用所占带宽,保证关键应用,抑制不希望的应用,如下图所示,为DCFS流量控制策略加载前后,迅雷流量所占用的带宽对比。(4)内网节点预警:监控内网每个节点的实时出流量、实时入流量的大小,可用来判断内网节点是否存在攻击行为、中病毒等问题。如下图所示,通过双击认为“有问题”的某台
43、主机的地址,可看该主机详细会话情况。(5)带宽二级管理:这是DCFS系列产品的独有的管道复用技术,不仅可以针对每个用户实现带宽的管理,而且同时也可对不同种网络应用协议进行带宽管理。(例如:在限制每用户的带宽不超过256K的同时,还可以同时限制针对总体上限制BT的总带宽不超过10M)(6)特色应用跟踪升级:网络应用的识别率高、针对中国本地特色应用能进行精确识别。国内本地化应用识别强,可识别600余种应用,对于新出现的应用,我们提供对新的网络应用识别的按需定制升级服务。(7)认证、流控联动:DCFS系列产品是业界首个将身份认证与流量整形完美结合产品,支持用户身份认证、带宽授权、灵活计费和用户审计功
44、能,与神州数码DCSM认证中心配合,实现了应用识别与用户身份的联动绑定,可将对网络应用的阻断、限制策略与用户名、用户组一一对应,实现个性化的上网服务。实际运营时,我们可以制定如下规则的用户策略:认证用户名应用控制策略计费策略曹操阻断所有P2P应用保障魔兽世界256Kbps带宽不限制其他带宽时长计费刘备限制迅雷为1Mbps带宽限制电驴为512Kbps带宽不限制其他带宽有限时长计费孙权保障不低于2Mbps的在线视频带宽保障skype不低于128Kbps带宽流量计费诸葛亮上班时间保障大智慧128Kbps带宽包月计费张飞不限制任何应用,总带宽不高于2MbpsCernet流量不计费非cernet流量包月
45、计费7)精兵简政,优化出口拓扑:由于DCFS产品结合了认证网关和流控网关的功能,网络出口就不需要再额外串接网关型计费设备,避免了过多的网络设备在出口串接,形成故障点和带宽瓶颈的问题。4、用户管理针对校园用户管理的需求,以及当前所面临的问题,统一认证管理平台通过五个统一、十个一体化解决客户所面临的安全管理与认证所遇到的所有问题,如下图所示:(1)WebPortal和802.1x一体化的价值通过认证计费管理平台实现WebPortal和802.1x一体化,可以方便的与接入交换机及出口网关设备相互通,对不同的区域可以根据学校需要采用不同的认证管理方式,例如对于学生宿舍区采用控制力比较强的802.1x认证方式,在接入端实现终端多元素绑定,对于教师办公区