智慧校园建设技术建议书.doc

上传人:豆**** 文档编号:34731825 上传时间:2022-08-18 格式:DOC 页数:40 大小:298KB
返回 下载 相关 举报
智慧校园建设技术建议书.doc_第1页
第1页 / 共40页
智慧校园建设技术建议书.doc_第2页
第2页 / 共40页
点击查看更多>>
资源描述

《智慧校园建设技术建议书.doc》由会员分享,可在线阅读,更多相关《智慧校园建设技术建议书.doc(40页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、如有侵权,请联系网站删除,仅供学习与交流智慧校园建设技术建议书智慧校园建设技术建议书2015/12/13目 录一、 项目背景智慧校园是以网络为基础,利用先进的信息化手段和工具,实现从环境(包括实验室、教室、设备等)、资源(如公文、图书、讲义、课件等)、到活动(包括教、学、科研、管理、服务、办公等) 的全部数字化、智能化,在传统校园的基础上构建一个数字空间,以拓展现实校园的时间和空间维度,从而提升传统校园的效率,扩展传统校园的功能,最终实现教育过程的全面信息化,达到提高教育管理水平和效率的目的。 二、 总体建设目标鉴于学校目前信息化现状、客观存在的问题以及实际需求,结合国内学校信息化的发展趋势,

2、建议本次智慧校园建设总体目标设定为:夯实数字化的应用管理环境、智慧化的教学环境、有特色的校本课程建设环境和具有云计算能力的网络平台,最终建成一个开放、多元、人文、智慧、高效、安全、和谐的智慧校园,为学校实现战略发展目标提供强有力的支持,实现学校教研、教学、管理、服务等整体信息化,达到提升教学质量、提高人才培养水平、优化管理流程的目的。使得信息化整体水平与学校的业务发展定位一致,整体提供学校核心竞争力,并实现学校优质高效的可持续发展。 细化目标如下:1、提出并确定智慧校园网络的体系结构;2、制定智慧校园的信息标准与应用标准,以及各系统之间的接口标准; 3、建设一个为全校提供服务的数据中心,包括虚

3、拟主机、应用服务、数据存储服务、数据备份服务、数据安全服务等; 4、建立全校的网络安全体系,保证校园网络的安全、保证关键数据、关键应用的安全以及关键 业务部门的安全,实现校园网络及其应用系统的安全高效运行;5、建立一整套校园信息管理系统,为实现“网上办公、网上管理、网上教学、网上服务”提供全面的系统支持。 三、 整体建设方案3.1整网组网拓扑图3.2网络建设方案3.2.1校园网概述校园网是指在学校范围内铺设的信息网络,为学校师生提供快捷高效的教学、科研和综合信息服务。校园网既需要承载科研信息共享、多媒体教学、电子阅览、教学资料存储等教学相关的网络业务,也要承载行政和总务管理、教师办公、高校论坛

4、等其他网络业务,因此对网络的性能、服务质量等要求极高。随着高校信息化的发展,网络中所承载内容的变化,以及接入终端的多样化,校园网的建设也面临着越来越多的新挑战。1、网络带宽问题传统校园网的接入层为百兆带宽,已经不能满足现有网络应用的高速传输需求。2、网络运营问题l 接入场景复杂校园网有大量的固定资产(例如打印机、摄像头、IP电话等)需要接入网络,这些终端设备都需要稳定运行;学生宿舍、教师公寓等地点又会有大量PC接入网络;校园中访客众多,公共场所总会有访客频繁接入网络;由于学生和教师乐于尝试新技术,校园又是无线终端非常密集的场所。l 网络效率不高校园网中有大量的P2P及其他下载流量占用带宽,导致

5、重要网络应用质量不高;有多个网络出口时,经常会出现一个出口已经非常拥塞,另一出口占用率却很低的现象;无论从技术上还是管理上,运维都显得非常复杂。l 网络行为管理本着对学生负责的理念,校园网需要提供网络行为管理的工具,对学生进行实名认证,对学生的上网行为进行约束,并对上网的行为能够监控记录,必要时进行回溯。l IP地址分配校园网目前使用传统的DHCP方式分配IP地址,对接入用户缺乏有效的探测机制,地址回收效率也不高。校园网中终端接入频繁,用户移动频率过快,使用DHCP方式会浪费大量IP地址资源。3、网络安全问题校园网的用户具有极强的网络技术以及好奇心,会不断尝试攻击校园网络;同时校园网应用繁多,

6、结构复杂,是网络攻击、网络病毒滋生扩散的温床。4、IPv6的过渡问题校园网往往走在网络技术的最前线,作为网络技术发展的必然趋势,校园网更需要提前考虑IPV6的良好过渡。3.2.2校园网建设目标本期项目的目标是建立如下系统:1.构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示校园的计算机网络。选用技术先进、具有容错能力的网络产品,在投资和条件允许的情况下也可采用结构容错的方法完全符合开放性规范,将业界优秀的产品集成于该综合网络平台之中;2.配备网络交换设备,整体网络实现万兆主干,千兆接入,保证未来各应用系统的实施以及满足学校各种计算机应用系统的大信息量的传输,为今后的网络扩容作好准备;

7、3设备选型在技术上具有先进性,通用性,且必须便于管理,维护。应具备未来良好的可扩展性,可升级性,保护学校的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品,同时也提供很好的售后服务;4.网管设计,提供可以对整个网络系统进行管理的中文图形界面工具,使系统维护人员可以集中控制网络的所有设备,方便管理和维护。3.2.3校园网建设分析整个校园内网采用扁平化设计理念,分成校园核心层、大楼汇聚层、楼层接入层和网络管理四个部分,实现采用万兆骨干,千兆到桌面,万兆主干具备40G扩展能力。3.2.3.1校园核心层建设方案1、校园核心交换机校园核心交换机主

8、要承载全校办公和教学等业务系统数据转发、楼宇之间互联等功能,因此建议采用大交换容量、稳定性高、可靠性强的电信级核心交换机。因此校园核心交换机应具备以下特点:支持强大的业务处理能力,提升网络架构扩展性l 多业务路由交换平台,满足学校接入、汇聚、核心业务承载要求,支持无线、语音、视频和数据应用,为学校提供高可用、低时延、全业务的一体化网络解决方案。l 支持分布式L2/L3 MPLS VPN功能,支持MPLS、VPLS、分层VPLS、VLL,满足学校VPN等接入需求。l 完善的二、三层组播协议,支持PIM SM、PIM DM、PIM SSM、MLD、IGMP Snooping,满足多终端高清视频监控

9、和视频会议接入需求。支持运营级高可靠性设计,可视化故障诊断l 具备超越5个9的高可靠性,主控、电源、风扇等关键部件采用冗余设计,所有模块均支持热插拔。l 专用的故障检测定位子卡,提供300pps/3.3ms高精度硬件级以太OAM功能,802.3ah、802.1ag和ITU-Y.1731标准协议,网络故障发生时能够在第一时间检测所有终端Session联通性,图形化网管故障诊断界面,设备节点、链路自动遍历,实现网络快速故障检测与定位。l 冗余控制引擎间主备无缝切换,设备优雅重启实现NSF无中断转发。支持ISSU业务运行中软件升级,设备软件升级过程中确保关键业务和服务不中断。支持完善的QOS机制,提

10、升语音、视频用户体验l 提供高品质的QOS(Quality of Service)能力,支持从链路层到应用层流分类技术,具备完善的队列调度算法、拥塞控制算法,能够对数据流实现多级的精确调度,从而满足学校不同用户终端、不同业务种类的服务质量要求。l 提供硬件组播QOS低延时队列,全面满足学校视频业务优先级保障需求,为视频会议、监控等关键业务提供高质量承载保障。l 创新的优先级调度算法,对传统QOS队列调度进行了专门针对学校语音与视频的优化,大幅降低IP语音时延、消除视频马赛克,提高用户体验。支持高性能IPv6业务能力,IPv4到IPv6平滑升级l 要求软硬件平台均支持IPv6,取得工信部IPv6

11、入网认证和IPv6 Ready第二阶段金色认证。l 支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv6静态路由、RIPng、OSPFv3、BGP+、IS-ISv6、IPv6组播,满足IPv6独立组网和IPv4/IPv6混合组网要求。支持智能流量负载均衡,提升校园IT利用效率l 要求负载均衡器支持加权轮询、基于连接数、加权IP地址Hash和基于HTTP URL的Hash等多种均衡调度算法,全面满足客户负载均衡要求。l 要求负载均衡器支持TCP和HTTP重用,减轻服务器拆除/建立TCP连接的负载,提高服务器访问效率。l 要求负载均衡器支持动态“锁流”技术,满足校园网站在线视频负载均衡需

12、求。强大的网络流量分析能力,随时网络健康诊断l 要求支持随板分布式网络Netstream业务分析功能,满足用户对网络流量实时采集、分析需要。l 支持Netstream V5/V8/V9多种报文格式,支持聚合流量模板,减轻网络采集器系统压力,支持实时流量采集、动态报表生成、属性分析、流量异常告警等功能。l 帮助客户对网络流量进行实时监控、现网设备吞吐分析,为优化网络结构、科学合理扩容提供决策依据。无线AC模块,全面满足移动办公需求l 要求无线AC板卡支持丰富的RF(射频)管理。支持AP上线时自动选择信道和功率,在AP重叠区域,信号冲突时自动调整功率或信道,RSSI(接收信号强度指示)/SNR(信

13、噪比)的不断更新,让系统可以实时了解每一个无线用户所处电磁环境,提升网络可用性。l 要求无线AC板卡支持802.1x认证、MAC地址认证、Portal认证、WAPI认证等多种认证方式,满足客户不同终端、不同安全等级设备的接入需求。l 支持二、三层漫游,终端设备跨AP漫游快速切换,AC间1+1、N+1多机冷备和AC间负载分担提高网络可靠性。创新节能芯片,智能功耗控制l 创新节能芯片,实现按流量动态调整功率,支持端口休眠,无流量不耗电。l 智能POE供电,可以实现基于PD设备角色启动不同的能源管理方案,保持设备能源管理弹性。l 支持IEEE 802.3az能效以太网标准,线卡收发器具备低功率闲置模

14、式,支持正常工作与低功率状态快速转换,低流量低功耗。2、校园网出口防火墙由于内网出口防火墙负责与学校内网互连的任务,在防火墙上配置访问控制列表ACL,通过ACL将三层IP数据包进行首次过滤,过滤掉不符合条件的数据。同时负责出口安全防护功能。3、校园网出口路由器一般情况下,路由设备主要工作在OSI七层网络模型中的第三或四层,负责校内网数据路由交换功能,因此出口路由器要采用高转发性能、高安全、高可靠。3.2.3.2大楼汇聚层建设方案大楼汇聚层交换机主要负责对接入层提供大数据量的汇聚功能,同时要满足不同业务之间的隔离,因此汇聚交换机应采用具备大容量、高密度千兆端口,可提供万兆上行的万兆交换机。因此采

15、用大楼汇聚交换机应具备以下特点:强大的多业务支持能力l 要求支持IGMP Snooping/ IGMP v3 snooping/Filter/Fast Leave/Proxy等协议。要求支持线速的跨VLAN组播复制功能,支持捆绑端口的组播负载分担,支持可控组播,可以充分满足IPTV和其他组播业务的需求。l 要求支持MCE 功能,实现了不同VPN用户在同一台设备的隔离,有效解决用户数据安全问题,同时降低用户投资成本。完备的高可靠保护机制l 要求不仅支持传统的STP/RSTP/MSTP生成树协议,还支持SmartLink和RRPP等增强型以太网技术,可以实现毫秒级链路保护倒换,保证高可靠性的网络质

16、量。此外,针对Smartlink和 RRPP均提供多实例功能,可实现链路负载分担,进一步提高了链路带宽利用率。l 要求支持以太Trunk(E-Trunk)功能。在使用E-Trunk之后,CE设备可以通过E-Trunk双归接入到两台PE设备上。从而把链路可靠性从单板级提高到了设备级,大大增强了设备级的可靠性。从而实现了跨设备的链路聚合和链路负载分担功能。极大的提升了接入侧设备的可靠性。l 要求支持智能以太保护SEP(Smart Ethernet Protection),SEP是一种专用于以太网链路层的环网协议。适用于半环组网场景,部署时可独立于上层汇聚设备,并提供50ms的快速业务倒换性能。保证

17、业务的不中断。在华为设备上已经利用SEP协议实现了以太网链路管理。SEP协议简单可靠、倒换性能高、维护方便、拓扑灵活,可以大大方便用户进行网络的管理和规划。l 要求支持双电源冗余供电,也可以交、直流同时输入。用户可灵活选择单电源工作模式或者双电源工作模式,提高了设备可靠性。l 要求支持BFD链路快速检测功能,能为OSPF、ISIS、VRRP、PIM等协议提供毫秒级检测机制,提高了网络可靠性。要求遵循IEEE 802.3ah和802.1ag提供点到点以太网故障管理功能,可以用于检测用户侧最后一公里以太网直连链路上的故障。完备的QoS策略和安全机制l 要求系列交换机可以基于五元组、IP优先级、TO

18、S、DSCP、IP协议类型、ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息,实现复杂流分流功能,支持双向ACL。5700支持基于流的双速三色限速功能,每端口支持8个优先级队列,支持WRR、DRR、SP、WRRSP、DRR+SP多种队列调度算法,有效地保证了话音、视频和数据等网络业务质量。l 要求系列交换机提供多种安全保护功能。支持DoS(Denial of Service)类防攻击、网络的防攻击、用户的防攻击等功能。其中Dos类防攻击主要包括SYN Flood、Land、Smurf、ICMP Flood。网络的防攻击主要是指STP的bpdu/root攻击。用户的防攻击涉及

19、DHCP仿冒攻击、中间人攻击、IP/MAC Spoofing 攻击、DHCP request flood、改变 CHADDR 值的 DoS 攻击等等。l 要求支持通过建立和维护DHCP Snooping 绑定表,侦听接入用户的MAC/IP 地址、租用期、VLAN-ID、接口等信息,解决 DHCP 用户的IP 和端口跟踪定位问题。同时,对不符合绑定表项的非法报文(ARP欺骗报文、擅自修改IP地址等)直接丢弃,有效防止黑客或攻击者通过ARP报文实施园区网常见的“中间人”攻击。利用DHCP Snooping 的信任端口特性还可以保证DHCP Server 的合法性。l 要求支持ARP表项严格学习功能

20、,可以防止因ARP欺骗攻击将交换机ARP表项占满,导致正常用户无法上网。同时,支持IP Source Check 特性,防止包括MAC 欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒带来的DOS攻击。l 要求支持集中式MAC地址认证和802.1x 认证及NAC功能,支持用户账号、IP、MAC、VLAN、端口、客户端是否安装病毒防范等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN、QoS、ACL)的动态下发。l 要求支持基于端口的源MAC地址学习限制功能,有效防止用户源MAC欺骗冲击设备MAC表项,导致正常用户无法学到MAC表而泛洪的问题等。免维护易部署l 要求支持自动配置、即插即

21、用、USB开局、自动批量远程升级等功能,便于部署升级和业务发放,简化后续的管理和维护性能。从而大大降低了维护成本。要求支持SNMP V1/V2/V3, CLI命令行、Web网管、TELNET、HGMP集群管理等多样化的管理和维护方式,设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计,支持NQA网络质量分析,有利于进一步作好网络规划和改造。3.2.3.3楼层接入层建设方案接入层设备主要提供千兆桌面接入功能,建议采用静音低耗可堆叠的智能千兆桌面交换机即可。因此楼层接入交换机应具备以下特点:全新节能设计,引领低碳通信l 要求全系列设备采用无风扇静

22、音设计,降低整机功耗的同时,让您免除噪音的烦扰。要求整机遵循IEEE 802.3az(Energy Efficient Ethernet 能效以太网),提供端口低耗电闲置模式,大幅度降低功耗。要求可根据线缆长度进行相应输出功率调整,并且支持无连接时端口休眠优异的安全性能l 要求支持丰富的安全特性,如802.1x、RADIUS、NAC等安全认证方式。还支持MAC地址过滤和端口过滤功能,能有效防范黑客、病毒攻击,提供安全可靠的网络服务。强大的组网和带宽扩展能力l 要求提供LACP、STP/RSTP/MSTP等功能,可有效实现链路扩展及备份。 SNMP管理型交换机支持高达8个MSTP实例,让组网无忧

23、。3.2.3.4网络管理建设方案eSight是华为推出的新一代面向学校园区和分支网络管理系统,实现对学校资源、业务、用户的统一管理以及智能联动。eSight支持对IT&IP,以及非华为设备的统一管理,同时对网络流量、接入认证角色等进行智能分析,自动调整网络控制策略,全方位保证学校网络安全。同时,eSight提供灵活的开放平台,为学校量身打造自己的智能管理系统提供基础。对于网络运维人员而言,日常维护工作不仅繁杂,而且工作量大,涉及的工作内容包括监控拓扑对象、监控网元、配置网元、监控业务、诊断故障、监控性能、查看资源、报表生成等。华为公司推荐eSight网络管理系统,可以准确、快捷的提供运维人员所

24、需要的信息,大大减轻运维人员的工作量。通过eSight网络管理系统丰富的管理功能和灵活多样的维护手段,可以轻松实现网络日常维护。1、有线无线一体化网络管理通过eSight物理拓扑,可以统一监控交换机、路由器、安全设备、H3C设备、Cisco设备以及IT设备。对网络中的AC、POE交换机、FIT AP等无线设备与有线设备进行一体化集中管理,直观地看到设备之间的连接关系、设备的状态及告警,全网设备信息和状态一目了然。l 轻松实现业务部署,支持无线设备的批量配置,提升管理效率向导式的业务部署以及基于表单AP导入,可加速WLAN的业务部署。通过对华为AC设备的管理,实现对WLAN业务的配置。AP的信息

25、都配置在AC上,当AP上线建立隧道后从AC获取信息。l 多拓扑视图,方便用户从多角度了解无线网络的状态业务拓扑 :展现AC、AP、终端用户之间连接关系及详细信息查看,并示意非法 AP的存在;提供无线业务的故障诊断能力(比如Ping)。位置拓扑:可进行障碍物设置,使得用户可以了解不同障碍物对信号衰减的影响。可查看当前热点位置及射频信号覆盖范围并在视图上标识当前非法AP位置及冲突域。颜色表示不同的频段, 深浅表示信号的范围,红色显示冲突域。2、网络管理效率快速、稳定的网络访问速度可以提高办公和学习效率,但在日常中,常常会出现网速太慢,无法正常办公的窘况。需要了解网络中的流量是被如何消耗掉的。哪些应

26、用占用了大量的带宽,这些带宽是如何造成的,是否应该调整网络的QoS策略,或是对网络进行扩容。Huawei eSight NTA网流分析组件,基于NetFlow、NetStream、sFlow 协议对网络流量进行深入分析,收集路由器、三层交换机输出的流信息,提供自定义报表功能,帮助网络管理员掌握流量及带宽使用情况,及时发现网络瓶颈,为网络规划及故障诊断等提供依据。多维度:接口流量排行、接口利用率流量排行、应用流量排行、协议流量排行、来源主机流量排行、目的主机流量排行、会话流量排行、DSCP流量排行。可定制:展现内容、展现形式、内容排版可定制。支持局部流量刷新,不引起整体界面变化。接口流量排行和接

27、口利用率排行,展示接口流量汇总信息,包括流入速率、流出速率、流入数据包、流出数据包等。点击一个具体的接口,可从应用、主机、会话、DSCP等多维度了解该接口基于时间的流量构成。通过Huawei eSight NTA网流分析组件可以精确分析出网络的使用效率情况,从而为网络运维提供助力。3.3安全建设方案3.3.1概述在出口边界区域中,防火墙透明接入网络,不对网络逻辑拓扑产生影响。使用防火墙将校园网划分成内网、外网、DMZ等不同区域,为不同区域划分不同的优先级,同时设置不同区域间的互访策略,以避免越权访问。使用防火墙来防御网络的大多数的攻击行为,以保证网络运行的稳定性,并且可以对网络内流量进行多维度

28、的监测。使用上网行为管理对校园内部用户的上网行为进行管理和监控,并可以对网络流量实现基于用户和应用的精细化话管理。本方案中在外网使用上网行为管理对用户上网行为进行分析,对网络中运行的具体应用流量进行管控,可以规范用户的上网行为。可实现如下功能:流量控制:传统网络中,设备仅仅能依靠MAC地址、VLAN等信息进行具体用户的流量识别,无法实施精细化的流量监控。上网行为管理基于产品内的应用协议分析能力,基于用户、应用/协议、时间、链路、带宽等多维度调控手段并支持其灵活组合,从而实现精细化的网络流量管控。网络违法溯源:eSight可以进行海量日志采集、存储、审计,对防火墙的日志进行智能分析,结合ASG的

29、行为管理功能,对于校园网络用户的一些违规网络行为,可以实现快速追踪溯源,使管理方可以准确寻找到违规行为的责任人,消除安全隐患。行为管理与审计:上网行为管理实现对管道内网络流量的深入检测,分析,并把对象和访问情况进行数据化的统计分析,形成直观报表。上网行为管理针对特殊定义的检测目标和执行策略,深入到访问内容,为满足法律法规提供技术支撑。流量管理和行为管理与认证体系融合为一体。并对网络内的各项安全、网络数据信息实现统一的分析,为教学业务提供有力支撑。3.3.2出口安全建设校园网络威胁主要来自两方面:一,来自外网的威胁,二,内网的威胁。边界出口安全建设是网络建设的重中之重:互联网出口部署高性能的防火

30、墙来保证网络层3-4层的网络安全,有效防止DDos攻击和非法入侵。同时部署IPS(入侵防御系统)来监控来自网络4-7层的蠕虫攻击、木马入侵、红色代码入侵等的威胁。由此构建网络2-7层的安全防护。保障整个网络的安全。3.3.2.1出口双机部署校园网出口处从上至下分别部署出口路由器、防火墙、上网行为管理,所有设备全部双机部署,两台上网行为管理物理接口通过万兆接口分别连接到两台核心交换机,提供全冗余的物理连接,万兆的接口速率确保内部接口不会产生性能瓶颈,和满足未来业务发展需求。校园网出口必须具有高性能、高可靠、高安全 、可扩展的基本性能。承担网络出口建设的所有网络设备必须具备高可靠性要求,以确保整个

31、校园网内部用户对互联网的正常访问。网络设备可靠性体现在双主控、冗余备份、热插拔等方面。整个互联网出口采用两条完全一致的通路互为备份。两条通路的设备之间通过心跳线连接。当两条通路中的任意一条发生故障时,可通过路由的重新计算,通过第二条通道进行数据传输。此外,所有安全防御设备透明部署,部署起来更加方便,增加了网络的安全性,又降低了用户管理的复杂程度。校园网通过NAT技术,与互联网进行安全可控连接。为保证互联网出口稳定性,考虑采用由两个互联网服务提供商实现双出口,通过光纤与其相连,出口速率为1000M。为避免线路资源浪费,合理使用网络资源,防火墙设备提供智能链路负载均衡功能,能够根据目标地址、用户、

32、应用、链路负载等多元素灵活组合来实现链路资源的智能路由。3.3.2.2路由安全一般情况下,接入路由设备主要工作在OSI七层网络模型中的第三或四层,在边界路由器上配置访问控制列表ACL,通过ACL将三层IP数据包进行首次过滤,过滤掉不符合条件的数据。为此在边界路由器上配置访问控制策略可以实现: (1)限制病毒和黑客在网络层对内部络的攻击,并进行第一层过滤,以减轻边界防火墙的压力。 (2)在边界防火墙现问题时,可临时顶替防火墙缓和Internet对内部网络的攻击。3.3.2.3防火墙出口防火墙作为访问控制设备,其主要作用是实现Internet 与校园网之问的隔离、重要区域保护、访问控制等,以达到保

33、护应用服务系统、控制对中心网络的访问、记录和统计网络利用数据以及非法使用数据和策略执行等功能,并且在网络接入时,全部通信都受到防火墙的监控,通过防火墙过滤网络中不必要传输的垃圾数据,以及做流量控制,调整链路的带宽利用,做到更强更好的控制,真正发挥防火墙最大功效。本次部署的两台万兆防火墙在本方案中部署方式为NAT模式,隔离校园网与互联网,对校园网进行24层防御,为保障只允许符合条件的设备才能访问互联资源,应当制定以下策略:允许访问策略:各种互联网服务器允许对校园网、互联网提供服务;允许互联网用户访问互联网服务区对外提供的服务;杀毒服务器允许访问互联网,进行病毒库升级。 禁止访问策略:除以上允许访

34、问策略外,各区域之间为禁止互访。 3.3.2.4入侵防御安全威胁更多地来自于应用层,比如说蠕虫、病毒、木马 、DoS DDoS、间谍软件 、网络钓鱼、P2PIM网游等带宽滥用,通过在网络关键路径上部署入侵防御设备, 可以对流经该关键路径上的网络数据流进行27层的深度分析识别,从而对业务应用、网络基础设施和网络性能实 现安 全保护。由于入侵防御的防护都是基于规则库,因此规则库的全面性是其价值所在,应该涵盖病毒、协议、攻击特征等所有方面。考虑到实际应用价值,规则库应该具备本地特点,可以实现对国内的主流威胁和应用识别,并定期实时自动更新。在功能方面,入侵防御设备要避免对正常业务流量的错误防御;当出现

35、掉电等故障时,可以实现自动短路功能,从而保证业务流量的正常运行。本方案中IPS的部署方式为交换模式,对校园网进行47层保护,防止病毒等应用层攻击。3.3.2.5用户行为管理为防止校园内部用户非法信息恶意传播,避免涉密信息的泄露;并可实时监控、管理网络资源使用情况,提高整体工作效率,快速定位可疑用户。我们在安全运维平台中增添上网行为管理设备,主要实现以下功能:上网人员管理:上网身份管理 上网终端管理 移动终端管理 上网地点管理上网浏览管理:搜索引擎管理 网址URL管理 网页正文管理 文件下载管理.上网外发管理:普通邮件管理 WEB邮件管理 网页发帖管理 即时通讯管理 其他外发管理.上网应用管理:

36、上网应用阻断 上网应用累计时长限额 上网应用累计流量限额.上网流量管理:上网带宽控制 上网带宽保障 上网带宽借用 上网带宽平均上网行为分析:上网行为实时监控 上网行为日志查询 上网行为统计分析由以上各安全体系构成了庐江县校园网覆盖OSI 2-7层的纵深防御体系。3.3.2.6防病毒网关对于学校网络,一个安全系统的首要任务就是阻止病毒通过电子邮件与附件入侵。当今的威胁已经不单单是一个病毒,经常伴有恶意程序、黑客攻击以及垃圾邮件等多种威胁。网关作为校园网络连接到另一个网络的关口,就象是一扇大门,一旦大门敞开,学校的整个网络信息就会暴露无遗。从安全角度来看,对网关的防护得当,就能起到“一夫当关,万夫

37、莫开”的作用,反之,病毒和恶意代码就会从网关进入校园内部网,为校园带来巨大损失。防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤(如色情、反动)、垃圾邮件阻止的功能,同时部分设备也具有一定防火墙(划分Vlan)的功能,有效的保护网络内进出数据的安全性,使网络中的数据更加安全。3.3.3运维管理建设运维区分三个方面对服务器虚拟化平台进行运维:l 建设全网管理平台,实现全网的分级分权管理。通过网管系统对全网的拓扑和设备进行管理,具有设备仿真面板所见即所得和对第三方主流设备管理的能力,可以管理管理大规模的无线管理网络,对设备配置变更、收集软件版本

38、为多台设备统一批量配置和升级,大大节省管理员的工作量。l 部署应用负载均衡有效地解决数据流量过大、网络负荷过重的问题,并且不需花费昂贵开支购置性能卓越的服务器,充分利用现有设备,避免服务器单点故障造成数据流量的损失。其有灵活多样的均衡策略把数据流量合理地分配给服务器群内的服务器共同负担。即使是再给现有服务器扩充升级,也只是简单地增加一个新的服务器到服务群中,而不需改变现有网络结构、停止现有的服务。l 增加一台无线控制器,对网络中的无线AP进行统一管理,实现有线无线一体化,简化人员维护难度。3.4数据中心建设方案3.4.1服务器虚拟化建设方案3.4.1.1概述服务器区采用的是高性能刀片服务器,学

39、校共有1200个云桌面的需求,一个256内存的两路刀片能支持60个桌面,共需要20个刀片,为保证性能每个刀片配置固态盘,做二级缓存。另现有的业务要运行在虚拟化环境中,使用 6个刀片做虚拟化服务器的方式来解决计算资源的分配问题,由于数据库的低延时和高性能的要求,所以数据库服务器用单独的物理机来承载,在两块四路刀片上部署服务器。通过虚拟化整合物理服务器,将业务迁移到云平台上,可通过资源共享实现最大的利用率,节约硬件投资和维护成本。3.4.1.2服务器虚拟化传统物理服务器系统建设方式粗放、建设模式单一显然不能满足数据中心建设的需求。虚拟化技术很好地解决了传统服务器系统建设的问题,通过提高虚拟化服务器

40、利用率大幅度消减物理服务器购置需求、数量和运营成本;通过利用服务器虚拟化中CPU、内存、I0资源的动态调整能力实现对业务应用资源需求的动态响应,提升业务应用的服务质量;通过在线虚拟机迁移实现更高的可用性和可靠性以及各种基于资源优化或节能减排策略的跨物理服务器的调度等等。因此,服务器虚拟化技术是云计算中心应用和平台建设的核心解决方案。服务器虚拟化技术特点:l 分区:在一个物理系统中,可以支持多个应用程序和操作系统。可在扩展或扩张。体系结构中将服务器整合到虚拟机中。计算资源被视为以可控方式分配给虚拟机的统一池。l 隔离:虚拟机与主机和其他虚拟机完全隔离。如果一个虚拟机崩溃,所有其他虚拟机不会受到影

41、响。虚拟机之间不会泄露数据,而且应用程序只能通过配置的网络连接进行通信。l 封装:完整的虚拟机环境保存为文件,便于进行备份、移动和复制,为应用程序提供标准化的虚拟硬件,可保证兼容性。综上分析,建议本期计算资源池采用服务器虚拟化架构。3.4.1.3刀片服务器优势本次数据中心建设采用刀片存储架构,采用刀片服务器较传统机架服务器的优点如下:l 高密度计算:Web等分散式的应用系统更接近分布式计算同一时间内大量进程并行,而单一进程的计算处理要求又非常低,正符合刀片式服务器强调高密度分散计算的架构。对于刀片式服务器而言,增大的计算密度使数据中心能用更少的空间服务于更多的客户,也能让网站降低托管费用。l

42、低功耗:在设计上,刀片服务器就是通过集中共享机箱中的电源、网络以及散热等设备来实现的。如此,不仅减少了冗余部件的使用数量,也通过“池化”的电源供应等,享有更好的供电效率。l 总体成本低:在网络规模不断扩大,数据中心设备需要扩充的时候,刀片服务器的优越性就体现出来了。刀片服务器的扩容仅需购买若干刀片,插入刀片服务器机箱中,再与背板交换模块相连即可,扩展步骤较机架服务器简单易操作。同时,刀片服务器的扩充不需要买昂贵的服务器机柜,从长远看来交机架服务器更经济。l 机房布线和管理复杂度低:刀片服务器在机房布线只要统一布设网络线、线。刀片服务器之间不需要人为布线;而机架式服务器则要分别对每台服务器的网络

43、线、电源线进行配线,如果一个42U的机柜上安装多台1U的服务器时,机柜后面的布线就非常多,看起来比较凌乱。3.4.2存储虚拟化建设3.4.2.1方案设计原则结合学校的业务需求,存储系统在建设过程中应当遵循如下原则进行:1、安全可靠性原则:l 系统器件选择要考虑能支持724小时连续长时间大压力下工作;l 系统具有充分的冗余能力、容错能力;l 系统具有专业的技术保障体系以及数据可靠性保证机制;l 对工作环境要求较低,环境适应能力强;l 确保系统具有高度的安全性,提供安全的登录和访问措施,防止系统被攻击;l 异常掉电后不丢失数据,供电恢复后自动重新启动并自动恢复正常连接;2、开放性原则:l 系统必须

44、支持国际上通用的标准网络存储协议、国际标准的应用开放协议;l 与主流服务器之间保持良好的兼容性;l 兼容各主流操作系统、卷管理软件及应用程序;l 可以与第三方管理平台集成,提供给客户定制化的管理维护手段;l 满足今后的发展,留有充分的扩充余地;4、易维护性原则:l 系统支持简体中文,通俗易懂,操作方便、简单;l 系统具有充分的权限管理,日志管理、故障管理,并能够实现故障自动报警;l 系统设备安装使用简单,无需专业人员维护;l 系统容量可按需要在线扩展,无需停止业务;l 系统功能扩充需要升级时,支持不中断业务升级;l 支持WEB管理方式或集中管理方式;5、扩展性原则:l 系统易于扩充;l 系统选

45、择标准化的部件,利于灵活替换和容量扩展;l 系统设计遵守各种标准规定、规范;6、经济性原则:综合考虑集中存储系统的性能和价格,最经济最有效地进行建设,性能价格比在同类系统和条件下达到最优。3.4.2.2存储的优势此次采用的存储设计配置如下:l 所有业务集中存储l 同时支持FC和IP组网l 支持NAS和SAN融合,不需另配文件引擎l SAS,SATA硬盘混插l 应用了先进的硬盘休眠技术l 支持存储虚拟化l 支持多节点集群l 支持基于存储网关的镜像、快照l 支持基于存储网关的数据复制随着学校业务系统的增长,从硬件的升级换代速度来看,传统的中低端存储不能满足学校云计算平台的需求了,因此本次方案采用高

46、端存储(至少每存储配置双控,至少96GB缓存,192G后端磁盘通道),实现硬件层面的存储虚拟化,彻底满足异构存储整合、存储空间统一管理、多级容灾系统构建等需求,实现资源整合、统一管理、数据迁移和多重数据保护,构建安全可靠、管理灵活、高性能、开放的存储系统。3.4.3数据中心安全建设3.4.3.1概述传统计算中心网络安全包含纵向安全策略和横向安全策略,无论是哪种策略,传统计算中心网络安全只关注业务流量的访问控制,将流量安全控制作为唯一的规划考虑因素。而虚拟化计算中心的网络安全模型则需要由二维平面转变为三维空间,即增加网络安全策略,网络安全策略能够满足虚拟机顺畅的加入、离开集群,或者是动态迁移到其

47、它物理服务器,并且实现海量用户、多业务的隔离。根据云平台的安全策略要求,本期在校园网云计算中心部署一台千兆防火墙做为计算中心的网关,虚拟出相应数量的防火墙以实现虚拟机隔离、虚拟机迁移策略随行。3.4.3.2虚拟机隔离设计通过对防火墙进行虚拟化,分割成多个防火墙实例提供网络安全服务,对每块防火墙划分三个逻辑实例,每一对虚拟防火墙工作在主-主模式,防火墙实例分布在两台上面,从而达到负载分担和冗余备份的能力。不同业务虚拟机的网关地址各不相同,同一个逻辑集群内的虚拟机只能在VLAN 内迁移,如社管服务、数字城管、协同办公三种业务分别对应在VLAN 2、VLAN3、VLAN4 内,每组业务使用独立的VL

48、AN、接口、路由表及转发表,将一台物理网络设备逻辑上分割成多台虚拟设备,增强对计算资源的安全访问隔离控制能力。防火墙做服务器网关,L2 分区之间互访必须经由防火墙对互访流量做状态检测,之间完全由防火墙实现访问控制,属于强隔离措施。若存在部分数据库相互调用可设置允许某一端口IP地址互通。3.4.3.3虚拟防火墙部署优势虚拟防火墙是将一台物理设备从逻辑上划分为多台独立的虚拟防火墙设备的功能。每台虚拟防火墙都可以拥有自己的管理员、路由表和安全策略。通过虚拟系统技术,就可以让部署在云平台和计算中心出口的防火墙具备云计算网关的能力,对用户流量进行隔离的同时提供强大的安全防护能力。为了实现每个虚拟系统的业务都能够做到正确转发、独立管理、相互隔离,防火墙主要实现了三个方面的虚拟化:l 路由虚拟化:每个虚拟防火墙

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育专区 > 高考资料

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁