1、面向业务的新一代安全可控校园网穆棱一中数字化校园规划方案杭州华三通信技术有限公司哈尔滨办事处目 录第一章 需求分析 51.1 建设背景 .51.2 项目总体需求 .51.3 建设目标 .7第二章 网络平台总体设计 .82.1 厂商介绍 .82.2 网络平台整体设计思路 .92.3 规划原则 .92.4 架构概要规划 .102.5 网络方案总体设计 .112.5.1 数字化校园应用系统分析 .112.5.2 整体方案设计思想 .112.6 核心层网络结构设计 .222.6.1 规划设计 .222.7 园区网络规划 .232.7.1 高可用园区规划 .23第三章 抵御对多业务运营的威胁 243.1
2、 全局安全防御体系规划 .243.2 校园外网出口防御 .253.3 数据中心的安全防御 .27第四章 数据中心规划 .284.1 核心层设计 .284.2 接入层设计 .304.3 模块化多业务部署 .30第五章 网络出口部署解决方案 335.1 网络出口部署方案 .335.2 校园网应用控制网关方案 .355.3 核心/ 出口用户行为管控 .365.4 基于时间段的用户带宽分配方案 .37第六章 无线校园解决方案 .386.1 技术需求 .386.2 不同场景覆盖方案 .396.2.1. 宿舍区部署 AP 方案 406.2.2. 小型办公室面板 AP 入室安装部署 .416.2.3. 礼堂
3、等高密接入区 AP 部署方案 42第七章 云校园建设方案 .437.1 穆棱县一中云计算数据中心建设需求 .437.2 虚拟化平台设计方案 .447.2.1. 平台总体设计 .447.2.2. 资源池分类设计 .457.2.3. 主机池设计 .477.2.4. HA 集群设计 487.2.5. 主机设计 517.2.6. 虚拟机生命周期管理 .517.2.7. DRS 动态资源调度 557.2.8. 虚拟机资源限额 .577.3 计算资源基础架构方案 .597.3.1. 计算资源建设需求 .597.3.2. 基于统一基础架构的计算方案设计思路 .627.3.3. 基于统一基础架构的刀片计算方案
4、 .637.3.4. 服务器整合 .647.3.5. 网络资源整合 .667.3.6. 融合虚拟化管理平台 .707.4 智慧云平台实现效果 .707.5 云学堂解决方案 .737.5.1. 产品背景 737.5.2. 建设目标 737.5.3. 设计思路 747.5.4. 方案优势 747.5.5. 管理端介绍 .757.5.6. 教师端介绍 .767.5.7. 学生端介绍 .777.5.8. 多媒体教学软件介绍 .787.5.9. 方案详述 787.5.10. 云主机设计 797.5.11. 网络拓扑设计 797.5.12. 桌面传输协议设计 807.5.13. 安全设计 807.5.14
5、. 云终端设计 817.5.15. 模板管理设计 817.5.16. 云学堂方案特点和优势 81第八章 H3C 售后保障体系 828.1 两小时厂家上门服务 .828.2 服务组织结构 .838.3 服务及时性保障 .848.4 服务有效性保障 .85第九章 H3C 案例集 .86第 5 页, 共 88 页第一章 需求分析1.1 建设背景穆棱市第一中学是一所全日制公办独立普通高中。学校位于穆棱市八面通镇北部靠河委。始建于1949 年,原名松江省立第十初级中学。1956 年更名为穆棱县中学,1984 年由完全中学发展为市级重点独立高中。1995 年设立县级市后定名为: 穆棱市第一中学。学校占地面
6、积 3.7 万平方米,校园建筑 1.96万平方米,包括南北教学楼、综合实验楼、学生公寓、体育馆、食堂等建筑。学校在职职工 150 人,其中特级教师 1 名、高级教师 35 名、中级教师 44 人。在校学生 2000 人,36 个教学班级。作为穆棱县重点中学,学校新校区的建设要紧跟“十三五”教育信息化建设的脚步,随着智慧校园、MOOC 及电子书包的普及数字化校园基础承载网的建设要从稳定性、可靠性及前瞻性考虑。校园网作为基础网络,在学校信息化中起到关键的承载作用。当前,以数字化校园为特征的教育信息化发展更为迅速,各种信息化应用正改变着老师和学生们的工作、学习、生活以及思维方式,引发了教育行业一场新
7、的革命。学校基本的教学教务管理、科研管理、后勤管理、数字图书馆、视频服务系统、办公自动化系统和校园社区服务等应用系统的建设有了初步的规模, “一卡通” 、 “平安校园” “校园数据中心”等业务在很多学校也开始应用。在校师生的认识水平和技术水平上了一个台阶,对于信息化工具的使用已变成为一种自觉和自愿的行为,为数字化校园的进一步发展打下坚实的基础。穆棱县一中校园网不仅仅是建设一个信息交互平台的,而且建成后要成为承载教学、科研、管理、娱乐等全方位应用的综合性安全网络平台。数字化校园的价值在于服务教学与科研,穆棱县一中信息化发展的现状和趋势,明显趋于在网络平台上承载、集成多种业务。而且业界信息化技术的
8、不断发展,这就要求穆棱县一中数字化校园平台应具备弹性、适应性,以动态适应多业务的不断发展,能将这些业务有机的整合起来,并且充分保障各种业务的服务质量。同时这种多业务的整合应该至少面向未来五年内业务发展的适应能力。1.2 项目总体需求一、校园网整网安全、可靠、高性能稳定运行需求1)安全性:应重点考虑传输数据的安全性、同时保证内部网络安全,阻断各种网络攻击、保护内网服务资源及终端用户安全。2)可靠性:网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支杭州华三通信技术有限公司 第 6
9、页, 共 88 页持各业务系统的正常运行。3)高性能:骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图象)的高质量传输,才能使网络不成为业务开展的瓶颈。同时提供先进的 QOS 机制保证各项业务的传输带宽。4)多业务:随着校园网的信息化的发展,越来越多的教学方式依托于网络给学生提供多种的特色教学模式。因此未来的校园网络要承载多业务的平台,及要满足日常访问校园网络的多媒体资源同时也要实现访问多业务的互联网络,所以新建网络要具有多业务处理的能力。多媒体教学为了更好的为学生提供全方面的教学资料,越来越的多学校在自己的内部局域网上面为学生提供多种教
10、学资料,如:多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。VOD 点播业务实现,通过建立 VOD 视频服务器平台,利用交换机提供的组播功能,为用户提供优质的视频效果,同时节省用户带宽。二、无线校园网随着科技的发展,智能终端的大量普及,越来越多的学生以及老师已经拥有大量的智能终端设备如:IPAD 、智能手机、笔记本电脑等等,而目前高速发展的电子书包及移动 APP 也大大改变了我们的生活,所以无线网络建设也随之成为了每一个学校关注的热点,为了满足校园网内办公上网终端的多样性,同时也为了顺应学校信息网络的发展需要。建设覆盖全面、信号优良,高速率的无线网络是目前穆棱县一中网络建设的目标。三
11、、数据中心需求1)100G 平台:遵循摩尔定律的增长,使得数据中心的业务处理能力持续增强。2)数据中心流量突发:大缓存,不丢包。3)统一交换架构:一个交换平台上有效支撑业务的前端访问、服务器高速互联、存储访问。四、网络安全需求1)故障排除:要求做到一旦网络出现异常,如无法访问网络,网络访问异常等,要能提供及时、有效的服务,在短的时间内恢复网络应用。2)即时查杀病毒、蠕虫:要求做到网络中出现病毒、蠕虫,通过及时有效的技术支持,在最短的时间内查处感染病毒的主机并即时查杀病毒,恢复网络应用。3)应用程序限制及其带宽管理:可以对各种 P2P 应用(迅雷、 BitTorrent、电骡、电驴) 、即时通信
12、软件(QQ、MSN) 、网络游戏、炒股、网络视频根据权限、时间、区域进行各种策略设定和管理。五、云校园建设传统数据中心 IT 资源部署方式目前仍然是按照每个应用进行物理的划分,这种部署方式目前存在以下问题:杭州华三通信技术有限公司 第 7 页, 共 88 页 资源利用率低由于应用与资源绑定,每个应用都需要按照其峰值业务量进行资源的配置,这导致在大部分时间许多资源都处于闲置状态,不仅造成服务器的资源利用率较低,而且对资源的共享、数据的共享造成了天然的障碍。 运维成本高目前学校的很多应用是按照传统的“一机一应用”的模式部署的,随着学校新应用系统的增加,服务器、网络和存储的设备数量也会出现迅速的膨
13、胀,造成占地空间、电力供应、散热制冷和维护成本的急剧上升。与此同时,机房内服务器的利用率普遍偏低,系统资源基本上处于 1020%的水平乃至更低,造成了极大的浪费。浪费严重、新业务无法上线是目前存在主要问题。 业务部署缓慢在学校将 IT 资源的采购和管理都集中规划到网络中心后, 涉及到大量新业务的开展和上线。学校各个部门如果要部署新的业务,那么在提交变更请求与进行运营变更之间存在较大延迟,每一次的业务部署都要经历硬件选型、采购、上架安装、操作系统和应用程序安装以及网络配置等操作,使得业务的部署极为缓慢。 管理策略分散当前的 IT 资源运维管理缺乏统计的集中化 IT 构建策略,无法对信息化校园网数
14、据中心的基础设施进行监控、管理、报告和远程访问,IT 管理策略分散。1.3 建设目标我们在进行系统设计中应遵循以下原则:1、可行性和适应性:系统要保证技术上的可行性和良好的性价比,并满足今后技术发展和学校发展的需要,如支持万兆、IPv6,提供无线接入等。2、实用性和经济性:系统建设应始终贯彻面向应用、注重实效的方针,坚持实用、经济的原则。3、先进性和成熟性:系统设计既要采用先进的设计和理念,又要注意结构、设备、工具的相对成熟。采用成熟的主流技术,不但能反映当今的先进水平,而且具有发展潜力,并能顺利地过度到下一代技术。4、开放性和标准性:为满足系统所选用的技术和设备的协同运行能力、系统投资的长期
15、效应及系统功能不断扩展的需求,要求系统具有开放性和标准性。5、可靠性和稳定性:在考虑技术先进和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性。杭州华三通信技术有限公司 第 8 页, 共 88 页6、安全性和保密性:在系统的设计中,既要考虑信息资源的充分共享,还要考虑信息的保护和隔离。第二章 网络平台总体设计厂商介绍杭州华三通信技术有限公司(简称 H3C) , 致力于 IP 技术与产品的研究、开发、生产、销售及服务。2009 年 H3C 销售收入净额 11 亿美金(US GAAP) ,并在国内 31 个省市和海外多个国
16、家或地区设有分支机构。目前公司有员工 4800 人,其中研发人员占 55。H3C 每年将销售额的 15以上用于研发投入,在中国的北京、杭州和深圳设有研发机构,在北京和杭州设有可靠性试验室以及产品鉴定测试中心。截止 2009 年底,H3C 已申请专利超过 3000 件,其中发明专利占 85,在中国通信企业中位居前三。 H3C 已参与中国通信标准化协会及 IETF, SMTA, SPC,PCI-SIG, Wi-Fi, USB, SNIA, VCCI 等国际标准组织。H3C 自 2006 年提出 IToIP 战略以来,始终聚焦 IP 领域持续创新进步,逐步形成覆盖 IP 网络、IP安全、IP 存储及
17、 IP 多媒体的全面的产品线以及丰富的解决方案。目前 H3C 在中国的交换机和企业级路由器(高中低端)市场份额排名第一,运营商 WLAN 设备市场份额排名第一,EAD 终端准入控制解决方案累计部署超过 100 万终端,规模最大的应用系统超过 12 万终端;IP 监控技术全球领先,成为中国平安城市第一品牌。2010 年,云计算/下一代数据中心、物联网、多媒体通信成为热点;H3C 凭借技术创新将 IToIP 推向了更深一步的融合阶段,形成了以下一代数据中心、泛联网和多媒体通信为核心的三大解决方案,并得到广泛应用,占领了 IT 发展潮流的制高点。根植中国,H3C 始终以“为客户创造价值”作为公司发展
18、的源动力,不断细分客户需求,面向行业、商业(中小企业) 、运营商三大客户类型分别提供量身定制的整体解决方案。服务于 70%以上的中央部委、全部“211”高校和“985”高校、四大银行、全球最繁忙的机场之一首都机场、自然环境最为恶劣的青藏铁路、全球最大的餐饮集团百胜餐饮、亚洲最大的网上交易平台淘宝网及电信、移动、联通、广电等运营商市场。在全球市场, H3C 的产品和解决方案覆盖近百个国家和地区,赢得包括瑞士电信、西班牙电信、英国沃达丰、巴西电信、法国国铁、法国标致雪铁龙集团、俄罗斯联邦储蓄银行、澳大利亚昆士兰政府、美国麻省理工学院、日本神户大学、韩国三星电子在内的众多国际客户。杭州华三通信技术有
19、限公司 第 9 页, 共 88 页2.2 网络平台整体设计思路基于 IP 的网络平台:在局域网建设中,采用基于 IP 协议的技术方案,保证了系统灵活性和未来系统的扩展性;多业务平台:网络平台除提供计费系统,数字传输能力之外,可以支持语音、视频等多媒体业务传输能力;QoS 服务保证:多业务网络平台对于网络的 QoS 保证有很高的要求,因此在网络设计上应采用先进的 QoS 策略和技术保证全网的 QoS 服务质量;安全策略:采用安全技术手段保证网络的安全可靠。数据中心承载:考虑今后学校业务发展,建立高效、安全、集中、容灾的数据中心网路平台,满足日后数据资源增加对网络平台性能的需求。统一的网络管理:
20、利用智能网络管理中心,融合网络、安全、无线、多媒体等业务的统一管理和运维,实现资源、业务、人的统一化、精简化管理,适应未来网络发展需求。2.3 规划原则穆棱县一中校园网规划要实现内部全方位的数据共享,提供高性能的、全面的 QoS 保障服务,使网络安全可靠,不但要实现教育管理、多媒体教学自动化,而且还要通过 Internet 实现远程教学,提供可增值可管理的业务,同时必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。穆棱县一中网络规划遵循以下基本原则:1、一网共用,资源共享,实现多业务统一部署穆棱县一中多业务平台为校园信息化的各类数字化应用提供统一的网络传输平台
21、。考虑到校内用户数量和业务种类发展的不确定性,要求核心交换机与汇聚交换机需具有强大的扩展功能,整个网络要完整统一、组网灵活,并成为易扩充的弹性网络平台,能够随着需求变化,充分留有扩容余地。2、统规划,分段实施穆棱县一中校内多业务平台园区内统一规划、统一网络体系结构、统一通信协议标准。对于保障多业务支撑的整个支撑平台,规划为多个功能模块,可根据需要分期分段实施。3、先进适用,方便扩展穆棱县一中业务平台规划采用符合网络技术发展方向和先进、成熟、适用的技术与设备,为多业务的发展留有足够的可扩展空间,以满足不断增加的新的应用需求。4、可增值、可运营杭州华三通信技术有限公司 第 10 页, 共 88
22、页穆棱县一中业务平台的规划、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在规划时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。5、开放与统一标准技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。6、建用结合,注重实效穆棱县一中业务平台的规划以建设促应用,通过计算机网络的建设推动各种网络应用工
23、作的开展,真正发挥平台的作用,用信息化推动穆棱县一中数字信息现代化。2.4 架构概要规划穆棱县一中多业务支撑平台逻辑上以业务处理为核心,规划为三个平面:业务流平面、安全防御层面和管控层面。业务流平面为多业务支撑的承载基础。业务接口为经过分类的不同类型应用,通过基础通讯平台,按照不同层次、不同技术的服务保障措施,实现用户与数据中心之间、用户与用户之间的应用交互。 对于基础平台,经过建设后,能够对业务的灵活性、可控性、可靠性等起到决定性的作用。包括通过万兆骨干平台为园区网的数据提供高速数据交换,不存在平台单点故障保障网络可用性,迁移 IPv6 技术实现业务的灵活性,部署 MPLS VPN 实现业务
24、可控性。通过在基础平台中实施WLAN 功能,提供更丰富的接入手段与移动业务;实施 IP 视讯技术拓展,提供视频会议及远程示教的服务。实施 IP 监控技术拓展,提供园区治安监控服务。IP 视频技术和 IP 监控技术的结合,可提供事件应急指挥服务。 业务通过基础平台,可实施两种端到端服务质量保障措施,其一为从园区内部接入通过 DSCP技术进行业务区分处理,将 COS Mapping 到园区骨干 MPLS 网的 EXP 值;其二为对关键业务在园区骨干上部署 MPLS TE 实现资源预留。 而数据中心作为多业务部署的心脏,通过分区、分层设计,规划其可靠性、可管理性与可扩展性,实现面向业务的集中存储、数
25、据保护和多系统虚拟化,保障多业务系统与用户之间的交互。安全防御平面规划为层次化的渗透防御部署。面向外网出口层、园区核心层、园区汇聚层、数据中心、用户行为控制等五个层面安全规划设计。针对业务流的整个过程实现安全防护。杭州华三通信技术有限公司 第 11 页, 共 88 页管控平面针对业务流各个环节的相应环节,包括设备资源、用户资源、业务流量、业务隔离、安全信息等进行整合管理,有效调整业务流的可用性和平滑性。通过多个环节之间的关联管理,实现降低多业务支撑平台运维的整体拥有成本。2.5 网络方案总体设计2.5.1 数字化校园应用系统分析目前数字化学校在网络上的应用子系统有: 网络公共服务系统(WEB
26、、邮件、FTP) 教务处教务管理系统 学生学籍管理系统 校园网 OA 系统 多媒体教学系统 校园网普通视频点播系统 校园一卡通系统由于数字化校园的趋势所推,网络基础建设是不可疏忽的重大工程,为以后学校的业务增长提供保障。2.5.2 整体方案设计思想通过针对穆棱县一中详细的网络平台需求分析,结合我司多年承建校园网经验,建议学院根据自身实际情况,分阶段、分步骤、分层次的进行网络投入建设。穆棱县一中网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。组网图如下所示:杭州华三通信技术有限公司
27、 第 12 页, 共 88 页穆棱县一中网络规划拓扑穆棱县一中校园网改造采用 H3C 高性能高可靠平台搭建,核心交换机采用第五代架构技术CLOS 架构交换机,CLOS 架构即多级交换架构,采用主控板与交换网板相互独立设计,主控板负责表项控制,而交换网板负责数据转发,数据到达主控板会根据表项规则自动切片,动态分布到各个交换网板上,实现无阻塞转发;而未来随着信息点不断的增加,我们只需要对交换网板进行升级,即可对整个交换机的性能升级,不用更换设备整体,保障了用户投资。我们在整个校园网核心处部署两台 S10508-V 通过 IRF2 虚拟化技术将两台物理设备虚拟成一台逻辑设备,提高了整网的可靠性,相
28、比于传统的VRRP 的热备方式,虚拟化技术将两台核心交换机更好的利用。我们在校园网核心交换机上部署了 IPS业务模块,因为校园网所有流量必须经过校园网核心交换机,如果部署在出口网关,内网数据则需要引流到出口网关,极大的占用了出口网关的 CPU 使用率,部署在核心交换机上既可以对内网数据包进行检测,又可以对外网数据包进行检测。IPS 业务模块可以对校园内网和外网的所有数据包进行拆包解析,通过 IPS 业务板卡自带的特征库匹配,如果和特征库当中的病毒、木马等相似报文,IPS 业务板卡会提出告警,并提示是否阻断该数据包,保证了整网的安全性。汇聚交换机采用万兆双上联与核心交换机互联,实现万兆校园网,接
29、入全部采用全千兆交换机,实现校园网千兆到桌面。校园网出口是最重要的部分,在出口处部署一台多业务安全网关,通过部署高性能防火墙插卡作为整个校园出口的 NAT 网关,并能够为整个校园网提供 2-4 层安全防护,我们还部署了负载均衡业务模块,作为链路负载均衡,当校园网出口部署了多条链路,我们可以通过链路负载均衡实现对链路带宽使用的合理化分配。在校园网搭建云计算平台,解决学校服务器,存储等硬件设备资源利用率低的问题,通过 HA 或 DRS(动态业务杭州华三通信技术有限公司 第 13 页, 共 88 页迁移)等业务部署,提高整个校园网应用系统的健壮性及可靠性。一、 网络基础平台建设H3C 设计全新的基
30、于纯 IP 技术的网络平台来满足学院校园网的需求变化。面向网络资源的有效、高效利用,从网络架构方面提供优化方案,使得校园核心网、接入网具有更高的可靠性和可控性,同时使得网络结构与布局在结合实际业务分布的前提下更加合理。数字校园业务的发展必然离不开两个方向,其一是 IPv6,其二是移动性。这既是 IP 通信技术发展的方向,也是数字校园应用的发展方向。满足这个发展,首要前提就是让校园网络平台能够具备相关技术支撑能力,即构建 IPv6 校园网与无线校园网。不论是对校园网的优化还是对校园网业务的横向拓展,都是基于校园网是安全有序的。需要从纵向三个维度对所有影响校园安全的隐患、非法行为进行渗透防御与控制
31、。1. 网络分层设计通常网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。典型组网结构可以分成三层:接入层、汇聚层、核心层。1) 接入层:提供网络的第一级接入功能,完成简单的二、三层交换,安全、Qos 和 POE 功能都位于这一层。当前的局域网接入层可供选择的技术主要有 100M 和 1000M 以太网技术等。在局域网接入层,应能够最大限度满足 IP 业务的接入和承载,有利于节省网络投资和提高资源利用率。2) 汇聚层:汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一
32、跳网关;汇聚层设备任务就是作为局部区域的逻辑中心,连接接入层交换机和核心层。其重要功能是负责汇聚分散的接入点,进行数据交换,提供流量制和用户管理(用户识别、授权、认证、计费)功能。3) 核心层:网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。网络核心层高速运送流量,其设备的主要工作是交换数据包。核心层设备应该充分的支持并以峰值性能运行。核心层业务收敛程度高,核心设备节点相对较少,可通过设备实现大颗粒业务传送。根据穆棱县一中网络建设规模需求及校园分布情况,为了更好的整合网络资源平台,减少网络建设的投资成本,同时考虑到学院办公业务分布的现状,建议学院网
33、络平台采用高速、无阻塞交换三层扁平组网模型。办公楼三层简化扁平网络结构实现核心、汇聚、接入三层的网络架构,使得网络架构更加合理,更加具有健壮性和可扩充性,同时易于配置和管理。所有设备都为机架式,可用多种不同端口类型的单板组合,使用灵活、可扩充性强,节省网络投资。整网带宽较高、稳定可靠、可满足多种业务的无阻塞交换。核心和汇聚交换机采用高性能多业务三层路由交换机,接入层采用智能安全性较高交换机。杭州华三通信技术有限公司 第 14 页, 共 88 页2. 骨干链路及接入链路设计通过对网络架构的分层,可以充分发挥网络性能,满足业务需求。网络层次采用三层扁平化设计,建议核心交换机至汇聚层交换机采用万兆
34、光纤线路作为校园网骨干链路,接入交换机采用千兆线路作为局域网络传输的主干路。而对于接入层交换机至终端 PC,可根据选用的接入交换机类型来确定链路的选择。3. 可靠性和自愈能力设计 链路冗余:在主干连接上具备可靠的线路冗余方式。采用负载均衡的冗余方式,即通常情况下两条连接均提供数据传输,并互为备份。主线路可实时、自动的切换到备份线路,而不影响业务应用。这种高速的网络自愈特性应可以保证不会引起 IP 路由的重新计算,不会引起业务的瞬间质量恶化,更不会引起业务的中断。 模块冗余:主干设备的所有模块和环境部件具备 1+1 或 1:N 热备份的功能,切换时间小于500 毫秒。所有模块具备热插拔的功能。系
35、统具备 99.999%以上的可用性。 设备冗余:提供由两台或两台以上设备组成一个虚拟设备的能力。当其中一个设备因故障停止工作时,另一台设备自动接替其工作,并且不引起其他节点的路由表重新计算,从而提高网络的稳定性。以保证大部分 IP 应用不会出现超时错误。本方案两台核心交换机采用 H3C 独有 IRF2 智能堆叠技术,实现核心设备虚拟化,增强了核心交换机处理能力,方便设备管理,增强链路的利用率。 路由冗余:网络的结构设计应提供足够的路由冗余功能,在上述冗余特性仍不能解决问题时,数据流应能寻找其他路径到达目的地址。4. 拥塞控制与服务质量保障设计拥塞控制和服务质量保障(QoS)是政务信息网关注的重
36、要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样,网络的数据流量突发是不可避免的,因此,网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。 业务分类:网络设备应支持 68 种业务分类(COS)。当用户终端不提供业务分类信息时,网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类。 接入速率控制:接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。 队列机制:具有先进的队列机制进行拥塞控制,对不同等级的业务进行不同的处理,包括时延的不同和丢包率的不同。 先期拥塞控制:当网络出现真正的拥塞时,瞬间大量的丢包会引起大量 TCP 数据同
37、时重发,杭州华三通信技术有限公司 第 15 页, 共 88 页加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术,在网路出现拥塞前就自动采取适当的措施,进行先期拥塞控制,避免瞬间大量的丢包现象。 资源预留:对非常重要的特殊应用,应可以采用保留带宽资源的方式保证其 QoS。5. 网络的扩展能力设计网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展,以及网络规模的扩展能力。 交换容量扩展:交换容量具备在现有基础上继续扩充 48 倍容量的能力,以适应 IP 类业务急速膨胀的现实。 端口密度扩展:设备的端口密度应能满足网络扩容时设备间互联的需要。主干带宽扩展、主
38、干带宽具备高带宽扩展能力,以适应 IP 类业务急速膨胀的现实。 网络规模扩展:网络体系、路由协议的规划和设备的 CPU/NP 路由处理能力,在网络节点数目上应能满足 35 年的扩展要求。6. 网络管理与安全体系设计 支持整个网络系统各种网络设备的统一网络管理。 支持故障管理、记帐管理、配置管理、性能管理和安全管理五大功能。 支持系统级的管理,包括系统分析、系统规划等;支持基于策略的管理,对策略的修改能够立即反应到所有相关设备中。 网络设备支持多级管理权限,支持 RADIUS 等认证机制。 支持安全监控和控制机制,当发现存在安全漏洞和遭到攻击时,应及时通知网络管理人员,并应自动采取适当的措施予以
39、保护。 支持安全防御设备、网络基础设备以及网管系统的安全联动功能,以便及时对网络威胁的实时处理。二、 数据中心网络平台建设随着高校信息化建设的深入,无论从信息化总体规划的角度、信息系统建设的角度,还是从信息系统运行维护的角度,越来越多的高校认知到数据集中、IT 基础设施集中、运行服务集中的必要性,数据中心是数字校园的核心的理念也得到大部分高校的认同,各高校普遍建立的校园级别的数据中心。随着校园数据中心建设的深化进行,校园应用系统数据集中密度越来越高,服务器存储数量不断增长,网络架构不断扩展,空间布局、系统布线、电力能耗压力不断增加。作为数据中心业务承载的大动脉,基础网络架构层面则直接面临着持续
40、的严格挑战。网络基础技术的快速发展为数据中心变革提供了强大支撑动力,基础网络演进加快。杭州华三通信技术有限公司 第 16 页, 共 88 页随着以太网技术的进一步发展,新的技术标准不断推动基础平台架构的变化与融合。万兆交换系统的时延已经降到微妙级别,而且当前已经有技术使得以太网芯片在 cut-through 方式下达到 200300 纳秒级别,逼近 Infiniband 的低时延水平。对于计算型应用而言,采用以太网互联的微妙级时延已经能够满足大量的计算需求。近几年高性能计算 TOP500 排名中超过 50%的计算网络互联采用了千兆以太网。随着万兆、40G/100G 技术的深入发展和终端万兆接
41、口技术成熟,以太网将成为服务器互联计算承载的主流平台。无丢包以太网技术标准族(802.3Qau、802.1Qbb 、802.1Qaz、Data Center Bridging Exchange Protocol)和相关技术即将发布,并在此基础上进一步支持 FCoE,使得以太交换网络能够承载 FC 存储数据流。高校数据中心网络发展趋势是融合的统一交换架构,在一个交换平台上有效支撑业务的前端访问、服务器高速互联、存储访问。对于 H3C 高校数据中心方案而言,统一架构的网络平台与业内技术发展是同步的,遵循图 6 所示的几个阶段。H3C 统一交换架构发展路线与其他解决方案提供商不同,H3C 基于 IP
42、-SAN 的万兆成熟解决方案的广泛应用,使得 H3C 高校数据中心统一交换架构早于 FCoE 实现存储的融合。数据中心是校园 IT 架构的核心领域,不论是服务器部署、网络架构设计,都做到精细入微。因此,传统上的数据中心网络架构由于多层结构、安全区域、安全等级、策略部署、路由控制、VLAN 划分、二层环路、冗余设计等诸多因素,导致网络结构比较复杂,使得数据中心基础网络的运维管理难度较高。杭州华三通信技术有限公司 第 17 页, 共 88 页使用智能弹性架构(intelligent resilient framework, IRF)虚拟化技术,用户可以将多台设备连接, “横向整合”起来组成一个“
43、联合设备” ,并将这些设备看作单一设备进行管理和使用。多个盒式设备整合类似于一台机架式设备,多台框式设备的整合相当于增加了槽位,虚拟化整合后的设备组成了一个逻辑单元,在网络中表现为一个网元节点,管理简单化、配置简单化、可跨设备链路聚合,极大简化网络架构,同时进一步增强冗余可靠性。网络虚拟交换技术为数据中心建设提供了一个新标准,定义了新一代网络架构,使得各种数据中心的基础网络都能够使用这种灵活的架构,能够帮助高校在构建永续和高度可用的状态化网络的同时,优化网络资源的使用。网络虚拟化技术将在数据中心端到端总体设计中发挥重要作用。数据中心简捷统一架构虚拟化端到端虚拟化数据中心网络架构传统的 L2/L
44、3 网络设计相比,提供了多项显著优势: 1)运营管理简化。数据中心全局网络虚拟化能够提高运营效率,虚拟化的每一层交换机组被逻辑化为单管理点,包括配置文件和单一网关 IP 地址,无需 VRRP。2)整体无环设计。跨设备的链路聚合创建了简单的无环路拓扑结构,不再依靠生成树协议(STP) 。虚拟交换组内部经由多个万兆互联,在总体设计方面提供了灵活的部署能力。3)进一步提高可靠性。虚拟化能够优化不间断通信,在一个虚拟交换机成员发生故障时,不再需要进行 L2/L3 重收敛,能快速实现确定性虚拟交换机的恢复。杭州华三通信技术有限公司 第 18 页, 共 88 页端到端虚拟化架构优势本方案建议穆棱县一中建
45、立数据中心网络平台,以满足日后学院应用业务不断发展所带来的服务器资源增长及数据存储集中化的需求。高校数据中心系统架构的发展和密集的业务需求,要求校园数据中心交换网络成为高性能、融合业务统一交换的基础平台。H3C 数据中心级交换机作为 H3C 下一代数据中心核心平台,将不断熔炼新的技术与标准,提供持续的可兼容、可扩展能力,满足校园信息化 2.0 时代数据中心的发展要求。利用数据中心交换平台高性能、高扩展性、融合安全性(部署安全插卡) 、统一管理性,并通过与校园网建立万兆链路进行通信,从而可以保证学院今后数据访问业务的速率,同时也可为学院重要的应用数据资源提供 L2-7 层数数据安全防护。三、 网
46、络安全设计网络攻击来源主要来自网络边界和内部终端用户的网络攻击,具体威胁如下:1) 来自不同安全域的访问控制的风险:网络结构越来越复杂,接入网络的用户也越来越多,必须能够在不同的网络区域之间采取一定的控制措施,有效控制不同的网络区域之间的网络通信,以此来控制网络元素间的互访能力,避免网络滥用,同时实现安全风险的有效的隔离,把安全风险隔离在相对比较独立以及比较小的网络区域。2) 网络攻击行为的检测和防范的风险:基于网络协议的缺陷,尤其是 TCP/IP 协议的开放特性,带来了非常大的安全风险,常见的 IP 地址窃取、IP 地址假冒,网络端口扫描以及危害非常大的拒绝服务攻击(DOS、DDOS)等,必
47、须能够提供对这些攻击行为有效的检测和防范能力的措施。3) 网络数据传输的机密性和完整性的风险:网络数据在传输的过程中,很可能被通过各种方式窃取,因此保证数据在传输的过程中机密性(保证数据传递的信息不被第三方获得) ,完整性(保证数据在传递过程中不被人修改)是非常重要的,尤杭州华三通信技术有限公司 第 19 页, 共 88 页其是在传递的信息的价值不断提高情况下。4) 用户主机遭受网络病毒攻击的风险:网络给病毒的传播提供了很好的路径,网络病毒传播速度之快、危害之大是令人吃惊的,特别是最近开始流行的一些蠕虫病毒,更是防不胜防,环境下必须建设全面的网络防病毒系统,层层设防,逐层把关,堵住病毒传播的各种可能途径。5) 针对用户主机网络攻击的安全风险:目前 Internet 上有各种完善的网络攻击工具,在局域网的环境下,这种攻击会更加有效,针对的目标会更加明确,据统计,有 97的攻击是来自内部的攻击,而且内部攻击成功的概率要远远高于来自于 Internet 的攻击,造成的后果也严重的多。6) 用户网络访问行为有效控制的风险:首先需要对用户接入网络的能力进行控制,同时需要更细粒度的访问控制,尤其是对 Internet 资源的访问控制,比如应该能够控制内部用户访问 Internet 的什么网站。在此基础之上,必须能够进行缜密的行为
