三通兩平臺整體方案規劃二O一二年十一月目錄第1章.現狀及需求分析41.1.工程建立背景41.2.應用開展規劃41.2.1.專遞課堂41.2.2.名師課堂51.2.3.網絡協作教研51.2.4.資源類應用61.2.5.互動教學61.2.6.教育管理平臺61.3.建立容61.3.1.三通兩平臺一中心6第2章.城域網及資源中心方案整體設計102.1.設計原則與思路102.2.整體解決方案12第3章.功能分區詳細設計143.1.云數據中心——資源中心設計143.1.1.云平臺數據中心建立目標143.1.2.數據中心云平臺設計原則163.1.3.數據中心云平臺總體設計173.1.4.云平臺根底承載設計203.1.5.云平臺計算資源池設計253.1.6.存儲設計283.1.7.虛擬化平臺設計303.1.8.云平臺系統設計363.2.云通道建立——城域網/校校通方案443.2.1.需求分析443.2.2.鏈路選擇443.2.3.方案設計453.3.云接入建立——班班通方案523.3.1.需求分析523.3.2.網絡方案設計533.3.3.身份認證方案設計553.4.云管理規劃——整網運維方案583.4.1.系統平安管理583.4.2.資源管理593.4.3.拓撲管理613.4.4.故障〔告警/事件〕管理643.4.5.告警深度關聯分析與統計653.4.6.性能管理703.4.7.設備管理組件73第4章.方案報價75第5章.案例參考755.1.教育云75現狀及需求分析工程建立背景上世紀九十年代以來，通過一系列重大工程和政策措施，我區的教育信息化開展奠定了一定的根底。隨著教育模式的改革和新技術的不斷涌現，信息化教學的應用不斷拓展和深入，教學資源不斷豐富，教育信息化在促進教育公平、提高教育質量、創新教育模式領域的支撐和帶動作用初步顯現。"教育規劃綱要"明確提出了信息化目標，即建成人人可享有優質教育資源的信息化學習環境，根本形成學習型社會的信息化支撐效勞體系，根本實現所有地區和各級各類學校寬帶網絡的全面覆蓋，教育管理信息化水平顯著提高，信息技術與教育融合開展的水平顯著提升。應用開展規劃應用開展是十二五期間信息化建立的關鍵容，建立與教學融合的應用體系是應用規劃的目標。結合目前國外的先進經歷，我區擬規劃以下應用容。專遞課堂同步課堂：同步課堂基于**區資源中心提供的機構空間、學校空間、教師空間進展。1個播出教室和1-5個接收教室構成一個虛擬課堂。教育局在其空間，利用同步課堂組織管理工具，統一組織播出學校和接收學校，統一安排虛擬課堂課表，并組織教學。播出學校和接收學校也可自行配對，在其空間向教育局提出申請。推送資源：區資源中心根據教師需求情況將支持課堂教學的優質資源包推送到教師空間，幫助教師備課、上課、進展教學評價。教師在教學活動中生成的資源可以提供到國家數字教育資源公共效勞平臺上進展共享。探究性學習：區資源中心通過推送探究性學習工具和資源，提供智能導航幫助教師開展探究式、討論式、參與式教學，幫助學生增強運用信息技術分析解決問題的能力，學會學習。幫助教師運用探究學習模式開展日常學科教學。學生也可利用相應工具自行組織探究性學習。名師課堂名師講堂：名師講堂模式主要用于名師講解學科重點難點，幫助學生更好地達成學習目標。講授容以各學科和專業課程章節重難點和期末總結為主。名師導學：名師導學模式通過將教師課堂講授與智能學習系統〔“名師〞〕的診斷與導學相結合，實現差異化教學和個性化指導，提高學生學習能力。網絡協作教研跨校網絡協作教研跨區域網絡協作教研模式是利用國家數字教育資源公共效勞平臺提供的虛擬教研社區功能，組織不同區域教師開展協作教研活動，實現交流學習、優勢互補、共同提高。名師工作室名師工作室模式用于有組織地開放以特級教師和學科骨干教師本人命名的教師空間，為廣闊教師有針對性的選擇與自己教育教學相關的專家或專家團隊進展持續的教學科研提供效勞。資源類應用在區資源中心以自建、學校提供、企業提供等多種方式將傳統知識點和學習容電子化，以趣味、生動的方式呈現，提高學生學習興趣和理解能力。互動教學在教學過程中融入互動的體驗，遠程學習〔名師講堂類〕時學生與教師遠程互動，教學過程中與家長互動等。教育管理平臺將傳統的OA辦公、學籍管理、考勤系統、考核系統、行政辦公系統、等管理類系統統一為教育門戶，提供一體化的教育管理工作平臺。建立容三通兩平臺一中心兩個平臺，一個中心所有的應用規劃從對象角度來區分可以分為兩大平臺，一個是教學資源公共效勞平臺，一個是教育管理公共效勞平臺。兩平臺均以應用軟件方式呈現，需要一個統一的硬件數據中心來承載，所以建立的首要容就是“兩個平臺，一個中心〞。資源到校——校校通兩大平臺的容統稱為“資源〞，資源區學校共享的財富，實現共享的手段就是將資源送到學校，也就是通過網絡實現學校與教育局資源中心的連接，也即傳統校校通的建立局部。資源到班級——班班通讓學生在教室就能使用優質的教學資源，實現與遠程名師的在線互動，就是資源到班級的建立容。包括多媒體教室，無線網絡覆蓋班級實現班班通。資源到個人——人人通學生放學后依然能使用教學資源，教師在家、出差時期也能便捷使用備課系統，家長輔導學生等應用場景的實現，就是建立人人通空間，學生、家長、教師都能隨時隨地訪問的容。城域網及資源中心方案整體設計設計原則與思路城域網及資源中心的建立原則是能夠高效、平安、綠色的支撐應用系統的使用，相比傳統城域網建立，表達在幾個層面的變化：數據中心的形成相比傳統效勞器部署而言，資源中心的建立要求有統一的數據中心來承載兩大平臺的運行虛擬化的使用為了整合資源中心的硬件資源，會大量使用虛擬化技術來建立彈性的資源池；應用類型對網絡帶寬的消耗應用的規劃以動畫、視頻、互動等大流量應用為主，相比傳統網絡帶寬要求提升10~20倍；用戶規模的劇增資源的使用者增加了學生，相比傳統只有教師使用的環境，用戶規模增加了10~20倍；流量模型的變化用戶的訪問模型以學校訪問資源中心的流量為主，根本上為縱向流量；允許斷網時間的變化教學系統上網意味著對網絡可靠性的要求提高，允許斷網時間應該控制在分鐘級別；所以在城域網和資源中心的設計上需要遵循以下原則：高性能——骨干網絡性能是整個網絡良好運行的根底，設計中必須保障網絡及設備的高吞吐能力，保證各種信息〔視頻、動畫〕的高質量傳輸，才能使網絡不成為業務開展的瓶頸。高可靠性——網絡系統的穩定可靠是應用系統正常運行的關鍵保證，在網絡設計中選用高可靠性網絡產品，設備充分考慮冗余、容錯能力；合理設計網絡架構，制訂可靠的網絡備份策略，保證網絡具有故障自愈的能力，最大限度地支持系統的正常運行。網絡設備在出現故障時應便于診斷和排除，充分表達計算機網絡的高可靠性。平安性——制訂統一的網絡平安策略，整體考慮網絡平臺的平安性，保證師生能夠平安、綠色的使用資源。獨立性——學校與教育局之間采用公網連接會導致一些應用系統的不可用〔比方名師講堂、雙向教學等〕，而且公網連接也使得網絡不平安、不可控等隱患，所以教育局與學校之間應該采用裸光纖或者VPN方式連接；技術先進性和實用性——在保證滿足校園業務、應用系統業務的同時，要表達出網絡系統的先進性。在網絡設計中要把先進的技術與現有的成熟技術和標準結合起來，充分考慮網絡應用的現狀和未來開展趨勢。標準開放性——支持國際上通用的網絡協議、路由協議等開放的協議標準，有利于保證與其它網絡(如中國教育網、公共數據網、學校之間等其它網絡)之間的平滑連接互通，以及將來網絡的擴展。靈活性及可擴展性——根據未來業務的增長和變化，網絡可以平滑地擴大和升級，最大程度的減少對網絡架構和現有設備的調整。可管理性——對網絡實行集中監測、分權管理，并統一分配帶寬資源。選用先進的網絡管理平臺，具有對設備、端口等的管理、流量統計分析，及可提供故障自動報警。強QOS、強組播特性——城域網因為對視頻、音頻等多媒體業務的需求較大，所以整個網絡具有較完善的QOS特性對教育網而言就顯得尤為重要。能不能對關鍵業務進展帶寬優先保證尤其是那些對時延敏感的業務進展保證是教育網必須考慮的一個重點，為實現區別效勞，整網端到端的QOS特性機制是優質網絡業務的保證。另外組播特性對于有效的保證多媒體流傳輸性能和節省帶寬也有非常重要的意義，基于組播的控制特性也會進一步保證組播流的控制、管理和平安，從而為實現教育城域網的多業務支持提供保障。兼容性和經濟性——兼容性，能夠最大限度地保證學校現有各種計算機軟、硬件資源的可用性和連續性，為不同的現存網絡提供互聯和升級的手段〔如現有的雙向教學系統〕，保證各種在用計算機系統〔包括工作站、效勞器和微機等設備〕的互連入網，充分利用現有網絡資源，發揮主干網的優勢。經濟性，就是在充分利用現有資源的情況下，最大限度地降低網絡系統的總體投資，有方案、有步驟地實施，在保證網絡整體性能的前提下，充分利用現有設備或做必要的升級。整體解決方案**區教育城域網的整體網絡拓撲如下列圖所示：整個網絡分為接入層〔學校〕、核心層、管理中心、電教館辦公網、城域網資源中心以及網絡出口等6個模塊。接入層在接入層，每個學校的出口采用一臺統一威脅管理設備U200作為出口網關，通過運營商分配的專用線路連接到區教育局的網絡核心。核心層在核心層采用兩臺H3CS10508核心交換機，通過IRF2技術虛擬成一臺，以保證網絡核心的可靠性，同時成倍提升網絡性能。核心交換機上除了提供連接各功能區所必須的以太網接口外，還部署防火墻、IPS、流量分析等多種業務插卡，為整個教育城域網提供平安保障。管理中心管理中心作為整個教育城域網的總指揮部，部署網絡管理系統、平安管理系統、虛擬化管理平臺等管理系統，以便于管理人員對整個城域網進展統一規劃和管理。電教館辦公網電教館辦公網作為城域網的一個單位接入城域網核心。同樣考慮到平安性和可管理性，建議在辦公網出口處部署一臺U200。資源效勞區在資源效勞區，通過虛擬化技術建立計算資源池和存儲資源池，為教育資源平臺動態分配硬件資源，從而提高硬件資源的可靠性和可擴展性。資源效勞區通過假設干臺〔依據具體效勞器數量而定〕數據中心級接入交換機與城域網核心相連，構成教育資源平臺和各個教育單位數據互通的通道。出口區整個教育城域網將擁有兩個網絡出口，一個連接到教育城域網中心，一個連接到互聯網，作為整個教育城域網公網出口。功能分區詳細設計云數據中心——資源中心設計云平臺數據中心建立目標**區城域網數據中心是數據大集中而形成的集成IT應用環境，它是各種IT業務和應用效勞的提供中心，是數據運算/交換/存儲的中心，實現對用戶的數據、應用程序、物理構架的全面或局部進展整合和集中管理。數據中心的建立中，存儲系統的建立和完善貫穿始終，這和當前應用系統建立的重點是相一致的。不管是各種數字資源，還是需要備份保存的業務數據，其中心容都是對于信息〔數據〕的管理和使用。本方案將云數據中心“IT根底設施〞的“按需使用〞以及〞自動化管理和調度〞作為云計算的實踐，形成可落地實施的、可持續開展的云計算平臺，即IaaS云計算平臺，為**區旗下中小學提供效勞集中以及按需使用效勞，簡化各個學校的IT管理，實現**區教育資源的統一整合與管理。作為教育云計算實踐，云計算數據中心的建立建議到達以下目標：通過標準化、虛擬化的資源池部署，提高整體IT根底設施資源利用率；實現IT根底設施資源的自助化效勞，按需申請，按需供應，實現面向最終用戶的云效勞模式；實現IT根底設施資源的自動化部署及流程化管理，并可利用云計算管理平臺對資源進展可視、全面的監、管、控，簡化日常運維的管理流程、降低維護本錢；在實現可落地的云實踐的根底上，保存未來向更高層次的云計算實踐開展的可能，如SaaS和PaaS相關應用等；數據中心云平臺設計原則兼容與互通當前階段云計算整個產業化還不夠成熟，相關標準還不完善。為保證多廠商的良好兼容性，防止廠商技術鎖定，方案的設計充分保證與第三方廠商設備保持良好的對接。此外，為保證方案的前瞻性，設備的選型應充分考慮對已有的云計算相關標準〔如EVB/802.1Qbg等〕的擴展支持能力，保證良好的先進性，以適應未來的技術開展。業務高可用云計算平臺作為承載未來教育城域網以及各個校園應用的重要IT根底設施，伴隨著數據與業務的集中，云計算平臺的建立及運維給信息部門帶來了巨大的壓力，因此平臺的建立從根底資源池〔計算、存儲、網絡〕、虛擬化平臺、云平臺等多個層面充分考慮業務的高可用，根底單元出現故障后業務應用能夠迅速進展切換與遷移，用戶無感知，保證業務的連續性。統一管理與自動化云計算的最終目標是要實現系統的按需運營，多種效勞的開通，而這依賴于對計算、存儲、網絡資源的調度和分配，同時提供用戶管理、組織管理、工作流管理、自助Protal界面等。從用戶資源的申請、審批到分配部署的智能化。管理系統不僅要實現對傳統的物理資源和新的虛擬資源進展管理，還要從全局而非割裂地管理資源，因此統一管理與自動化將成為必然趨勢。開放接口傳統的管理系統與上層系統對接，注重故障的上報和信息的查詢。而云計算的管理系統更關注如何實現自動化的部署，在接口方面更關注資源調度和分配，這就需要管理系統在業務調度方面實現開放。為保證效勞器、存儲、網絡等資源能夠被云計算運營平臺良好的調度與管理，要求系統提供開放的API接口，云計算運營管理平臺能夠通過API接口、命令行腳本實現對設備的配置與策略下發聯動。同時云平臺也提供開放的API接口，未來可以基于這些接口進展二次定制開放，將云管理平臺與教育城域網應用相融合，實現面向云計算的教育應用管理平臺。數據中心云平臺總體設計硬件構造根據本期工程的需求和建立目標云計算平臺總體邏輯拓撲構造如上圖所示。整個平臺由網絡資源池、計算資源池、存儲資源池、管理中心四局部組成。網絡資源池：采用業界主流的“核心+接入〞扁平化組網，核心交換機采用2臺H3CS10508設備，部署IRF2虛擬化技術，并在機框部署網流分析〔NetStream〕和防火墻〔FW〕插卡，實現業務的流量監控和平安隔離防護，外聯至現網出口路由器，實現外網互通；接入交換機采用2臺H3CS5820V2設備，部署IRF2虛擬化技術，并啟用VEPA功能，實現虛擬化網絡感知。計算資源池：采用20臺H3CFle*ServerR390機架效勞器，通過H3CCloudVirtualizationKernel虛擬化平臺進展整合構建資源池，在虛擬機上部署業務系統和虛擬桌面應用。存儲資源池：采用2臺HPLeftHandP4500iSCSI存儲陣列，存放虛擬機鏡像文件、配置文件以及業務系統數據。管理中心：采用2臺H3CFle*ServerR390機架效勞器，部署H3CiMCDCM數據中心管理套件、H3Cloud軟件套件，實現對云計算資源池的統一管理及調度。軟件構造此次工程云計算軟件平臺的總體構造如上圖所示，包括虛擬化層、自動化效勞層、管理層、業務編排層、API層：虛擬化層：利用CloudVirtualizationKernel提供的底層虛擬化能力和上層CloudVirtualizationCenter提供的管理能力，屏蔽底層物理硬件根底設施的異構性和復雜度，對外以虛擬資源池的形式呈現。自動化效勞層：強調業務運行的高可用性和可擴展性，并對業務提供自動的容災備份與資源調度能力。管理層：對虛擬化資源及云運營要素進展管理，如虛擬機生命周期的管理、虛擬機鏡像文件和配置文件的管理、多租戶的平安隔離、網絡策略配置的管理等。業務編排層：對云計算資源進展可運營性管理，包括對虛擬資源池的編排、最終用戶的自助效勞門戶、業務的申請、審批與開通、用戶帳務的管理與報表輸出等。API層：為第三方云運營管理平臺提供RESTful的API接口。上述各層的功能實現分別對應H3Cloud軟件套件中的CloudIntelligenceCenter、CloudVirtualizationManager和CloudVirtualizationKernel三個組件完成：CloudVirtualizationKernel：虛擬化核與管理代理運行在根底設施層和上層操作系統之間的“元〞操作系統，用于協調上層操作系統對底層硬件資源的訪問，減輕軟件對硬件設備以及驅動的依賴性，同時對虛擬化運行環境中的硬件兼容性、高可靠性、高可用性、可擴展性、性能優化等問題進展加固處理。CloudVirtualizationManager：虛擬化管理軟件包主要實現對數據中心的計算、網絡和存儲等硬件資源的軟件虛擬化，形成虛擬資源池，對上層應用提供自動化效勞。其業務圍包括：虛擬計算、虛擬網絡、虛擬存儲、高可靠性〔HA〕、動態資源調度〔DRS〕、虛擬機容災與備份、虛擬機模板管理、集群文件系統、虛擬交換機策略等。CloudIntelligenceCenter：云業務運營軟件包由一系列云根底業務模塊組成，通過將根底架構資源〔包括計算、存儲和網絡〕及其相關策略整合成虛擬數據中心資源池，并允許用戶按需消費這些資源，從而構建平安的多租戶混合云。其業務圍包括：組織〔虛擬數據中心〕、多租戶數據和業務平安、云業務工作流、自助式效勞門戶、兼容OpenStack的RESTAPI接口等。云平臺根底承載設計核心層設計數據中心核心交換機需要資源池部高速交換以及骨干互聯工作，建議采用H3C數據中心級核心交換機S10500，主要基于如下考慮：高性能：核心會聚層需要與其它外部網絡互聯，外連接口眾多，并且這些外部網絡所提供的接入帶寬和接入設備都是業界高端設備，所以為了使網絡在核心交換區不存在性能瓶頸，采用具備高密萬兆的核心交換設備.整網可靠性：因為城域網數據中心網絡業務系統具有高可靠性設計，業務層面最大限度的保障業務轉發不中斷、不丟包。因此建議在核心交換局部采用主控和交換網板別離的核心交換機，提高網絡可靠性，使整網可靠性方面不存在短板。綠色環保：為了降低機房空調能耗，要求核心交換機采用豎插槽，前下部進風、上后部抽風、強迫風散熱形式。要求通過RoHS、CE等國際環保認證。核心層部署IRF2.0協議將兩臺S10508虛擬化成邏輯的1臺交換機實現了跨S10508鏈路聚合，通過虛擬化后的邏輯設備與下行接入層交換機5830V2進展互聯，最終實現了核心S10508與接入5830之間邏輯點對點連接后消除環路的同時防止部署STP和VRRP協議。接入層設計接入層交換機采用全萬兆云平臺接入交換機H3C5830V2。未來每臺效勞器將會部署多臺虛擬資源對外響應業務，考慮到每個業務能夠保證訪問的帶寬要求，建議每臺計算資源效勞器與接入交換萬兆互聯，同時每臺接入層交換機采用2個10GE接口與核心交換機相連，保證數據中心互訪的高效。網絡平安設計為了應對云計算環境下的流量模型變化，平安防護體系的部署需要朝著高性能的方向調整。在本次工程的建立過程中，多條高速鏈路會聚成的大流量已經比擬普遍，在這種情況下，平安設備必然要具備對高密度的10GE甚至100G接口的處理能力；無論是獨立的機架式平安設備，還是配合數據中心高端交換機的各種平安業務引擎，都可以根據用戶的云規模和建立思路進展合理配置；同時，考慮到云計算環境的業務永續性，設備的部署必須要考慮到高可靠性的支持，諸如雙機熱備、配置同步、電源風扇的冗余、鏈路捆綁聚合、硬件BYPASS等特性，真正實現大流量會聚情況下的根底平安防護。目前，虛擬化已經成為云計算提供“按需效勞〞的關鍵技術手段，包括根底網絡架構、存儲資源、計算資源以及應用資源都已經在支持虛擬化方面向前邁進了一大步，只有基于這種虛擬化技術，才可能根據不同用戶的需求，提供個性化的存儲計算及應用資源的合理分配，并利用虛擬化實例間的邏輯隔離實現不同用戶之間的數據平安。平安無論是作為根底的網絡架構，還是基于平安即效勞的理念，都需要支持虛擬化，這樣才能實現端到端的虛擬化計算。典型的示意圖如下圖：本次工程防火墻插卡設備雖然部署在交換機框中，但仍然可以看作是一個獨立的設備。它通過交換機部的10GE接口與網絡設備相連，它可以部署為2層透明設備和三層路由設備。防火墻與交換機之間的三層部署方式與傳統盒式設備類似。如上圖FW三層部署所示，防火墻可以與宿主交換機直接建立三層連接，也可以與上游或下游設備建立三層連接，不同連接方式取決于用戶的訪問策略。可以通過靜態路由和缺省路由實現三層互通，也可以通過OSPF這樣的路由協議提供動態的路由機制。如果防火墻部署在效勞器區域，可以將防火墻設計為效勞器網關設備，這樣所有訪問效勞器的三層流量都將經過防火墻設備，這種部署方式可以提供區域部效勞器之間訪問的平安性。防火墻是網絡系統的核心根底防護措施，它可以對整個網絡進展網絡區域分割，提供基于IP地址和TCP/IP效勞端口等的訪問控制；對常見的網絡攻擊方式，如拒絕效勞攻擊〔pingofdeath,land,synflooding,pingflooding,teardrop〕、端口掃描〔portscanning〕、IP欺騙(ipspoofing)、IP盜用等進展有效防護；并提供NAT地址轉換、流量限制、用戶認證、IP與MAC綁定等平安增強措施。對于云計算數據中心虛擬機效勞網關的選擇上，建議根據不同租戶的平安需求進展區分對待，不建議將所有網關配置在FW上，以分散FW的壓力，滿足租戶的平安域隔離，具體設計如下：對于需要FW的業務的租戶，網關部署在vFW上；對于不需要FW的普通租戶，網關部署在核心交換機上。平安控制策略：防火墻設置為默認拒絕工作方式，保證所有的數據包，如果沒有明確的規則允許通過，全部拒絕以保證平安；建議在兩臺防火墻上設定嚴格的訪問控制規則，配置只有規則允許的IP地址或者用戶能夠訪問數據業務網中的指定的資源，嚴格限制網絡用戶對數據業務網效勞器的資源，以防止網絡用戶可能會對數據業務網的攻擊、非授權訪問以及病毒的傳播，保護數據業務網的核心數據信息資產；配置防火墻防DOS/DDOS功能，對Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒絕效勞攻擊進展防，可以實現對各種拒絕效勞攻擊的有效防，保證網絡帶寬；配置防火墻全面攻擊防能力，包括ARP欺騙攻擊的防，提供ARP主動反向查詢、TCP報文標志位不合法攻擊防、超大ICMP報文攻擊防、地址/端口掃描的防、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等，全面防各種網絡層的攻擊行為；根據需要，配置IP/MAC綁定功能，對能夠識別MAC地址的主機進展鏈路層控制，實現只有IP/MAC匹配的用戶才能訪問數據業務網中的效勞器；其他可選策略：可以啟動防火墻身份認證功能，通過置數據庫或者標準Radius屬性認證，實現對用戶身份認證后進展資源訪問的授權，進展更細粒度的用戶識別和控制；根據需要，在兩臺防火墻上設置流量控制規則，實現對效勞器訪問流量的有效管理，有效的防止網絡帶寬的浪費和濫用，保護關鍵效勞器的網絡帶寬；根據應用和管理的需要，設置有效工作時間段規則，實現基于時間的訪問控制，可以組合時間特性，實現更加靈活的訪問控制能力；在防火墻上進展設置告警策略，利用靈活多樣的告警響應手段〔、日志、SNMP陷阱等〕，實現攻擊行為的告警，有效監控網絡應用；啟動防火墻日志功能，利用防火墻的日志記錄能力，詳細完整的記錄日志和統計報表等資料，實現對網絡訪問行為的有效的記錄和統計分析；云平臺計算資源池設計效勞器是云計算平臺的核心，其承當著云計算平臺的“計算〞功能。對于云計算平臺上的效勞器，通常都是將一樣或者相似類型的效勞器組合在一起，作為資源分配的母體，即所謂的效勞器資源池。在這個效勞器資源池上，再通過安裝虛擬化軟件，使得其計算資源能以一種虛擬效勞器的方式被不同的應用使用。這里所提到的虛擬效勞器，是一種邏輯概念。對不同處理器架構的效勞器以及不同的虛擬化平臺軟件，其實現的具體方式不同。在*86系列的芯片上，其主要是以常規意義上的VMware虛擬機或者H3Cloud虛擬機的形式存在。在搭建效勞器資源池之前，首先應該確定資源池的數量和種類，并對效勞器進展歸類。歸類的標準通常是根據效勞器的處理器類型、型號、配置、物理位置來決定。對云計算平臺而言，屬于同一個資源池的效勞器，通常就會將其視為一組可互相替代的資源。所以，一般都是將一樣處理器、相近型號系列并且配置與物理位置接近的效勞器——比方相近型號、物理距離不遠的機架式效勞器或者刀片效勞器。在做資源池規劃的時候，也需要考慮其規模和功用。如果單個資源池的規模越大，可以給云計算平臺提供更大的靈活性和容錯性：更多的應用可以部署在上面，并且單個物理效勞器的宕機對整個資源池的影響會更小些。但是同時，太大的規模也會給出口網絡吞吐帶來更大的壓力，各個不同應用之間的干擾也會更大。如果有條件的話，通常推薦先審視一下自身的業務應用。可以考慮將應用分級，將*些級別高的應用盡可能地放在*些獨立而規模較小的資源池，輔以較高級別的存儲設備，并配備高級別的運維值守。而那些級別比擬低的應用，則可以被放在那些規模較大的公用資源池〔群〕中。初期的資源池規劃應該涵蓋所有可能被納管到云計算平臺的所有效勞器資源，包括那些為搭建云計算平臺新購置的效勞器、校園部那些目前閑置著的效勞器以及那些現有的并正在運行著業務應用的效勞器。在云計算平臺搭建的初期，那些目前正在為業務系統效勞的效勞器并不會直接被納入云計算平臺的管轄。但是隨著云計算平臺的上線和業務系統的逐漸遷移，這些效勞器也將逐漸地被并入云計算平臺的資源池中。對于*86系列的效勞器，除了用于生產系統的資源池以外，還需要專門搭建一個測試用資源池，以便云計算平臺工程實施過程以及平臺上線以后運維過程中使用。在云計算平臺搭建完畢以后，效勞器資源池可以如下列圖所示：在云計算平臺上線以后，原有非云計算平臺上的應用會逐步向云計算平臺遷移，空出的效勞器資源池也會逐漸并入云計算平臺的資源池中。其狀態可以用下列圖所示：存儲設計對云計算平臺存儲的規劃的出發點應該是應用本身。首先應該考察每個業務應用的優先級，以及其對存儲性能、可靠性與靈活性的要求。對那些需要高性能與高可靠性的云計算應用，原則上應該為其或者其所在的資源池配備性能、可靠性較好的高端的存儲。而對于那些對靈活性要求較高的業務應用，則應該考慮為其或其所在的資源池配備靈活性比擬好的存儲虛擬化方案。如果應用足夠重要，在設計存儲架構的時候還應該考慮存儲級別的備份，以對各個節點可能出現的故障做冗余。比方，可以采用雙存儲交換機互為熱備的形式，來防止存儲用光纖交換機所出現的故障可能。同樣，該資源池后面所拖的存儲，也可以采用雙存儲熱備的形式。為該資源池的主存儲購置一個型號一樣的備用存儲效勞器并通過磁盤對磁盤的備份方式，對兩個存儲效勞器上的數據進展同步。這樣，資源池、交換機和存儲效勞器的關系可以如下列圖所示：對于共享存儲資源池，根據具體資源池上所運行的業務類型的特性，也可以考慮為其配備各種類型的存儲。對于運行關鍵應用的生產系統，推薦配備SAN架構的存儲解決方案。而對非關鍵應用的生產系統，可以根據預算，靈活地配備SAN、iSCSI或者NAS的存儲解決方案。本地存儲設計效勞器本地存儲用于安裝虛擬化平臺〔如CloudVirtualizationManager和CloudVirtualizationKernel〕和保存資源池的元數據。本地存儲建議配置兩塊SAS硬盤，設置為RAID-1，通過鏡像〔Mirror〕方式防止本地磁盤出現單點故障，以提高H3Cloud本身的可用性。遠端共享存儲設計遠端共享存儲用于保存所有虛擬機的鏡像文件以支持動態遷移、HA和動態負載均衡等高級功能。共享存儲LUN容量規劃公式如下：LUN容量=〔Z×〔*+Y〕×1.2〕Z=每LUN上駐留的虛擬機個數*=虛擬磁盤文件容量Y=存大小假設每個LUN上駐留10個虛擬機，虛擬磁盤文件容量需求平均為40GB，存容量在4～8GB之間，考慮到未來業務的擴展性，存交換文件按8GB空間估算，整體冗余20%，則：LUN容量=〔10×〔8+40〕×1.2〕≈600GBISO庫為了虛擬機安裝配置的方便，建議配置ISO鏡像庫，可以將保存在Windows共享中的ISO格式安裝源文件通過WindowsCIFS方式掛接在H3CloudHyperCenter上，這樣，創立新虛擬機時不需要使用物理光驅和光盤，簡化使用和提高安裝速度。虛擬化平臺設計傳統的虛擬機生命周期是指虛擬機從創立到刪除所經歷的各個階段，最常見的劃分為“創立、運行、終結〞三個階段。在IaaS架構中，虛擬機作為最為重要的IT根底設施，它的生命周期貫穿于整個云業務效勞的流程之中，并直接關系著云計算平臺的資源利用狀況。因此，為了更好的將虛擬機的生命周期管理和云業務及資源平臺管理結合在一起，在H3Cloud云計算解決方案中，將虛擬機的生命周期外延為“規劃、創立、運行、調整、終結〞五個階段。在云解決方案中，虛擬機生命周期的管理除了關注虛擬機正常的生命階段以外，還需要關注虛擬機兩個外延屬性——業務和資源。規劃虛擬機的規劃是IT架構的關鍵設計疇。在這個階段需要將業務需求轉化為IT需求，并落實到業務和資源兩個方面的規劃設計中來。著重考慮兩個方面的容：業務梳理和評估通過對業務的梳理，評估各學校以及數據中心平臺各業務部門對虛擬機類型和規模的需求定義各部門組織以及給組織劃分其所屬的虛擬資源，包括計算資源，網絡資源，存儲資源以及虛擬機模板等。實際操作流程如下列圖所示：創立虛擬機的創立是虛擬機實體誕生并提供應用戶業務的開場。H3Cloud云方案提供了多種方式來創立虛擬機：從模板生成，自定義參數，克隆等。虛擬機創立時需要考慮硬件資源〔CPU數量〔核數〕&CPU調度優先級，IO資源：存儲資源&IO優先級。存大小，網絡資源等〕和系統和應用〔操作系統等〕〕兩方面的容。這些因素在H3C云管理平臺中虛擬機創立流程中都會有涉及，具體操作界面如下列圖所示：運行虛擬機的運行可以實現完整的傳統物理機運行狀態。而且依托虛擬化技術實現更加靈活的虛擬機使用模式：啟動、休眠、關閉、暫停、恢復、重啟。用戶可以依托H3C云管理平臺簡單的實現上述虛擬機的狀態的切換，具體如下列圖所示：調整虛擬機的調整是云業務管理員根據虛擬機所承載的業務的變化需求對現有虛擬機所占資源的主動行為。這種調整可以是由于業務擴展帶來的虛擬機硬件資源擴，也可能是業務收縮后對多余資源的釋放。虛擬機的調整是云計算業務資源彈性最直觀的表達，也是云計算技術給教育業務開展帶來敏捷性的根本所在。H3C云計算平臺可以在線的調整虛擬機所占用的系統資源，實際操作如下列圖所示：終結如下列圖所示，虛擬機在云計算管理平臺上被刪除，即意味著虛擬機生命周期的終結。在虛擬機生命周期終結時要關注虛擬機所占用系統資源的回收。H3C云管理平臺在虛擬刪除后，會自動回收CPU和存等資源，為了保證虛擬機數據平安其所占用的存儲資源不會自動回收。云平臺系統設計云業務工作流程在“IT即效勞〞的云計算平臺系統中，IT效勞的自助式提供和業務自動化部署是云計算業務的關鍵特點。而上述特點均依賴于云業務部署流程的合理管理和業務自動化部署的結合。通過云業務工作流程的管理，可以將云計算平臺中各功能模塊有機的結合起來。從而實現云計算平臺業務快速和自動化開展實施。云業務工作流作為一個公共根底系統貫穿了云平臺業務過程，最終實現IT效勞的對業務部門的自助式交付。H3C云計算解決方案基于Web頁面提供了完整的端到端云業務工作流程管理。其業務工作流程如下列圖所示:用戶訪問自助門戶完成身份認證和權鑒效勞目錄根據用戶身份〔所屬部門〕組織對應的效勞目錄，并推送到用戶自助門戶用戶在自己對應的效勞目錄中選擇申請所需的云效勞，從而啟開工作流管理員審批用戶的效勞自助申請。審批通過后，啟動業務開啟流程，將效勞申請下發到編排系統編排系統根據用戶所選的效勞獲取對應的資源屬性，自動調用云資源管理平臺接口開通所需的計算、網絡、存儲資源，創立出用戶所申請的虛擬機虛擬機創立成功后，編排系統通知用戶自助門戶更新狀態用戶正常使用虛擬機資源〔刪除虛擬機亦參照此流程〕虛擬桌面部署桌面虛擬化解決方案在不改變用戶使用習慣的前提下，將傳統學校用戶桌面系統以虛擬機的形式提供應終端用戶。這些虛擬機運行于云計算數據中心的虛擬計算資源池中，共享數據中心的計算、網絡、存儲資源，從而有效的實現了整個教育城域網IT資源的彈性部署。依托云計算管理平臺和云業務工作流程，系統可以自動化部署用戶自助申請的虛擬桌面資源，部署完成后用戶即可使用。從而極大的提升了桌面應用的彈性和效率。另一方面，云平臺業務管理人員可以通過管理通道遠程集中式管理教育系統各用戶的虛擬桌面系統。防止了管理人員上門效勞，效率低下等傳統桌面系統的問題。綜上所述，桌面虛擬化系統具備有效保障關鍵數據的平安性，IT硬件資源的彈性部署，增強桌面系統的靈活性的同時，增強了桌面系統的可管理性并降低了總體擁有本錢和維護本錢。如上圖所示，為了實現虛擬桌面業務系統的搭建。云平臺業務管理員首先需要依照流程搭建好云計算業務平臺，包括計算資源池、根底網絡平臺、存儲資源池、云業務管理平臺幾個關鍵組件。值得注意的是，在設計實施云業務平臺之前，云業務管理員需要對各云平臺以及各個學校業務進展梳理和評估。通過細分各部門、各學校的業務需求，可以根據、需求事先定制其所需的虛擬桌面類型，從而簡化日常終端用戶的虛擬桌面申請和審批業務流程。同時，虛擬機的管理通道也需要在云業務平臺設計時充分考慮并實施。依托H3C專利技術，H3C云計算解決方案有效保障了虛擬機遷移時管理系統的正常運行。H3C桌面虛擬化解決方案可以實現虛擬桌面的自動化業務工作流。首先，終端用戶登錄基于WEB的自助效勞平臺，完成身份認證和權鑒后，可以根據云業務管理員為其事先定制的虛擬桌面類型來按需選擇申請所需的虛擬桌面。終端用戶的申請審批通過后，云業務管理平臺可以自動部署用戶所申請虛擬桌面，完成IT效勞的自動化部署。用戶申請的虛擬桌面虛擬機創立完成后，云管理平臺會將更新后的用戶虛擬桌面狀態信息推送到自助效勞平臺。用戶即通過自助效勞平臺基于WEB頁面實現對申請到的虛擬桌面系統的正常使用。H3C用戶自助效勞業務平臺，如下列圖所示：**區教育城域網落成以后，可以為每個學校的教職工配發瘦客戶機取代原有的PC。教職工通過虛擬桌面的形式將自己所辦公所需要的信息和資源存放在位于區電教館的數據中心。電教館的網絡管理員可以為用戶制定虛擬桌面的系統使用權限，對其在系統上安裝和刪除軟件等行為進展控制，大大增強了整個教育城域網的可管理性，有效防止了用戶亂裝軟件等行為導致的信息平安事件。HA功能部署傳統數據中心的效勞器高可靠性保障通常會選擇依賴于集群技術的部署。而云計算平臺將計算資源虛擬化以后，可以利用虛擬效勞器自身虛擬化的特點實現傳統物理效勞器上無法實現的高可靠性。為了提升云業務系統的可靠性，在云計算平臺的計算資源池建立時，可以將多個物理主機合并為一個具有共享資源池的集群。H3CloudVirtualizationManagerHA功能會監控該集群下所有的主機和物理主機運行的虛擬主機。當物理主機發生故障，出現宕機時，HA功能組件會立即響應并在集群另一臺主機上重啟該物理主機運行的虛擬機。當*一虛擬效勞器發生故障時，HA功能也會自動的將該虛擬機重新啟動來恢復中斷的業務。如下列圖所示：HA功能給教育云計算平臺帶來的價值如下：簡便的設置和啟動：使用“新建集群〞向導來進展初始設置，使用H3CloudCloudVirtualizationManager虛擬化管理平臺添加主機和新的虛擬機。降低硬件本錢和設置：在傳統集群解決方案中，必須有重復的軟硬件，而且各個組件必須正確連接和配置。使用H3CloudVirtualizationManager集群時，只要保證有足夠的資源容納要確保其故障切換的主機的數量，就可以便捷自動地完成主機故障切換。無論硬件和操作系統平臺如何，H3CCloudVirtualizationManagerHA都通過為應用程序提供可用的、經濟的高可靠性，而使其更“群眾化〞。動態資源調整H3CloudVirtualizationManager提供的動態資源調整功能可以持續不斷地監控計算資源池的各物理主機的利用率，并能夠根據用戶業務的實際需要，智能地在計算資源池各物理主機間給虛擬機分配所需的計算資源。通過自動的動態分配和平衡計算資源，動態資源調整特性能夠：整合效勞器，降低IT本錢，增強靈活性；減少停機時間，保持業務的持續性和穩定性；減少需要運行效勞器的數量，提高能源的利用率。隨著業務量的增長，虛擬機對計算資源需求會相應的迅速增加。此時其所在物理主機的可用資源可能就不能再滿足其上承載的虛擬機的計算需要。H3CloudVirtualizationManager動態資源調整功能組件可以自動并持續地平衡計算資源池中的容量，可以動態的將虛擬機遷移到有更多可用計算資源的主機上，以滿足虛擬機對計算資源的需求。即便大量運行SQLServer的虛擬機，只要開啟了動態資源調整功能，就不必再對CPU和存的瓶頸進展一一監測。全自動化的資源分配和負載平衡功能，也可以顯著地提升數據中心計算資源的利用效率，降低數據中心的本錢與運營費用。如上圖所示，動態資源調整功能通過心跳機制，定時監測集群主機的CPU利用率，并根據用戶自定義的規則來判斷是否需要為該主機在集群尋找有更多可用資源的主機，以將該主機上的虛擬機遷移到另外一臺具有更多適宜資源的效勞器上。虛擬機備份隨著云平臺對IT信息化系統的依賴加深，業務系統備份是必不可少的組件。相應的，在云計算平臺中，針對計算資源池中虛擬機備份也至關重要。H3CloudVirtualizationManager實現了透明的定時備份和即時備份功能，會在暫停虛擬機中的應用程序之后，為正在運行的虛擬機創立快照，從而對備份工作進展集中處理，以確保文件系統的一致性。如下列圖所示，H3CloudVirtualizationManager的備份特性是一種高效而低本錢的災難恢復特性，它將給用戶帶來如下價值：基于磁盤的備份功能，為虛擬機提供快速、簡單的數據保護無需額外代理的備份，簡化了部署復雜度支持全自動的定時備份和手工干預的即時備份，滿足不同的應用要求云通道建立——城域網/校校通方案需求分析**區教育局下屬14所中學、35所小學、6所幼兒園和6所直屬單位，目前各學校現有的網絡環境為各學校擁有自己的網絡出口，學校通過公網訪問教育局資源。隨著信息技術高速開展以及教育信息化進度不斷推進，未來各學校和教育機構之間將有越來越多的資源需要整合、開放、共享，最終形成一個互聯、互動、信息交換、資源共享和遠程教育的根底架構。未來各學校將會開展遠程教學、多媒體網絡教室、電子書包等多種業務應用。一旦這些業務上線，**區教育系統現有的網絡架構將會暴露出帶寬低、可靠性差、平安性低、管理困難等一些列問題。因此，**區教育系統需要對網絡架構進展升級，通過組建教育城域網的方式提高網絡的性能、可靠性和平安性。同時，將各學校和教育局通過專網互聯，并統一網絡出口，可以大大簡化網絡的管理難度。鏈路選擇目前，能夠為**區教育城域網提供鏈路資源的有四家運營商，每家運營商采用的技術和所需費用都不盡一樣。無論運營商采用什么技術，對學校而言，只要運營商能為每個學校提供一個到教育局的專用二層鏈路,保證帶寬即可。方案設計**區教育城域網的整體拓撲如下列圖所示，其中紅框局部為校校通平臺：接入層網絡設計**區教育城域網的校校通平臺為核心到接入的兩層架構。其中接入層局部即每個學校的網絡，這一局部保持學校現有的網絡構造不變，在此根底上在每個學校的出口增加一臺統一威脅網關U200作為學校的出口網關，負責每個學校部系統的平安防護、用戶的帶寬控制、頁面過濾、應用層過濾等。U200不僅能夠全面有效的保證用戶網絡的平安，還支持SNMP和TR-069網管方式，最大化減少設備運營本錢和維護復雜性。除了根本的防火墻功能外，管理員通過U200可以對每個學校的網絡實現以下管理：病毒防護：采用Kaspersky公司的流引擎查毒技術，從而迅速、準確查殺網絡流量中的病毒等惡意代碼。垃圾防護：可以攔截垃圾，凈化系統，解決垃圾對正常工作的干擾問題。URL過濾：實現基于用戶的URL訪問控制，防止因瀏覽惡意或未授權的(如網絡釣魚攻擊)而帶來的平安威脅。流量管理：能準確檢測BitTorrent、Thunder〔迅雷〕、QQ等P2P/IM應用，提供告警、限速、干擾或阻斷等多種方式，保障網絡核心業務正常應用。行為審計：可對各種P2P/IM、網絡游戲、和數據傳輸等行為提供細致的監控和記錄，實現細粒度的網絡行為審計管理。通過以上管理手段，管理員能夠保證學校部網絡的平安性，有效利用學校出口帶寬，同時對用戶上網行為進展管理和記錄，以便于網絡平安事件發生后的審計。核心層網絡設計城域網的核心層局部采用“兩網一核心〞的建立思路：城域網和數據中心共用一套網絡核心，即采用兩臺S10508核心交換機，通過IRF2技術虛擬成一臺設備，作為整個網絡的核心。H3CS10500系列交換機采用了先進的CLOS架構，每一臺交換機都有兩個核心的處理平面，即控制平面和業務處理平面。控制平面主要由主控板、接口板上的控制單元構成，完成協議處理、路由表維護、數據配置和設備管理等控制功能。業務處理平面主要由接口板上的高速業務處理單元〔ASIC芯片〕和集成在交換網板板上的交換網構成，具備業務處理、報文交換和報文轉發等功能。控制通道：接口板、網板通過專用通道分別連到主備控制板上的管理模塊。實現雙主控1＋1、多交換網N＋1的熱備份，提高系統的可靠性。業務通道：交換網芯片置于交換網板，接口板通過高速通道分別連到交換網板上的交換網。控制平面和業務處理平面相互獨立，互不影響，如下列圖所示。采用這樣主控板與交換網板別離的架構，大大提高了設備性能的可擴展性，如果未來需要提高核心交換機的性能，無需更換機箱和引擎，只需升級交換網板即可。同時提高了設備的可靠性，由于主控板和交換板別離，即使在主控板故障的情況下，現有的業務流量仍能通過交換網板繼續轉發。采用IRF2虛擬化技術后，網絡核心構造變得更簡單、更可靠、更高效。更簡單網絡簡化需要解決網絡構造的簡化，網絡業務的簡化，以及管理維護的簡化這三方面的問題。通過在從核心到接入的整網部署IRF2技術，多臺物理設備虛擬成一臺統一的邏輯設備，不但網絡構造簡單清晰，原先需要每臺設備逐一配置，現在只需配置一次即可，大大簡化了設備的管理維護。此外，相比傳統網絡生成樹+VRRP的部署方式，啟用IRF2以后，二層不再需要配置生成樹，也不再需要復雜的生成樹多實例的規劃，三層不再需要配置VRRP，不再需要復雜的路由規劃和大量的IP地址消耗，從而簡化了網絡業務。更可靠IRF的高可靠性表達在鏈路級、協議級和設備級三個方面。鏈路級：成員設備之間的物理端口支持聚合功能，IRF系統和上、下層設備之間的物理連接也支持聚合功能，這樣，通過多鏈路備份提高了鏈路的可靠性。協議級：IRF系統提供實時的協議熱備份功能，負責將協議的配置信息備份到其他所有的成員設備，從而實現1：N的協議可靠性。設備級：IRF系統由多臺成員設備組成，Master設備負責系統的運行、管理和維護，Slave設備在作為備份的同時也可以處理業務。一旦Master設備故障，系統會迅速自動選舉新的Master，以保證通過系統的業務不中斷，從而實現了設備級的1：N備份。相比傳統的二層生成樹技術和三層的VRRP技術，其收斂時間從N秒級縮短到毫秒級。更高效：對高端交換機而言，性能和端口密度的提升會受到其硬件構造的限制，而IRF系統的性能和端口密度是IRF部所有設備性能和端口數量的總和。因此，IRF技術能夠輕易的將設備的核心交換能力、用戶端口的密度擴大數倍，從而大幅度提高單臺設備的性能。此外傳統的生成樹等技術為了防止環路的發生，會采用阻斷一條鏈路的方式，而IRF2可以通過跨設備聚合等特性，讓原本“Active-standby〞的工作模式，轉變成為負載分擔的模式，從而提高整網的運行效率。城域網的核心層設計在保證了高性能和高可靠性的根底上，還充分考慮了網絡的平安性。本方案過在S10508交換機上部署防火墻插卡、IPS插卡和應用控制網卡插卡的方式，對整個城域網的用戶和數據中心進展統一平安防護。出口區域網絡設計**區教育城域網采用統一出口的方式組網，在區電教館申請兩條出口鏈路，一條連接到市教育城域網，一條連接到internet。每個學校或教育單位用戶訪問教育網或互聯網的流量最終都匯總到這兩條鏈路上。該處選用H3CSR6600路由器作為出口路由器。作為教育城域網的出口路由器，需要的不是復雜的路由協議和大規格的路由表項，而是強大的NAT能力。SR6602-*憑借其先進的多核高性能處理技術，提供專門的核處理NAT轉發。當并發200萬NAT連接時，256字節以及IMI*互聯網混合報文的NAT轉發性能超過10Gbps。可以充分滿足**區教育城域網對出口網關設備的性能要求。除了對NAT性能的高要求外，**區教育城域網出口面臨的另一個問題是出口鏈路帶寬的充分利用問題。教育城域網落成以后將不只擁有一個公網出口，如何充分利用這些出口帶寬，從而提高整個城域網用戶的上網體驗是本次建網必須考慮的問題。這里涉及到兩種情況：第一種情況是在幾條不同的運營商鏈路之間，傳統的出口設備工作方式是基于目的地址來進展選路。而由于中國運營商開展現狀的南北差異，中國電信在南方擁有的網絡資源較多，導致用戶訪問公網時大局部流量將從電信的鏈路流出，中國聯通的鏈路多數情況下處于空閑狀態。這樣就會使得一方面電信鏈路擁塞，用戶訪問網絡不暢，一方面聯通鏈路空閑，造成資源浪費。第二種情況是在同一運營商的鏈路之間，例如**區教育城域網申請了300M的電信帶寬，中國電信以1條200M和1條100M兩條出口鏈路的方式提供了300M帶寬。此時由于用戶訪問的目的地址都是電信地址，出口設備無法判斷數據是從鏈路1走還是從鏈路2走，此時路由器會在兩條鏈路之間進展負載均衡，而一旦出口流量過大，就會導致一條鏈路擁塞，進而影響用戶上網。這對以上兩種情況，本方案采用的出口網關設備SR6602-*路由器擁有鏈路負載均衡功能，利用加權負載均衡、動態鏈路檢測等多種算法，有效的將流量按需分配到多條鏈路上，充分利用所有鏈路的資源，從而提升用戶對網絡的使用體驗。城域網行為審計設計**區教育成語落成后，所屬圍的所有中小學用戶都將使用該網絡訪問教育網和公網的資源。根據"互聯網平安保護技術措施規定〔公安部令第82號〕"規定，互聯網效勞提供者和聯網使用單位應當對網絡的平安保護負責，其中包括網絡攻擊防、數據庫容災、網絡使用人員的信息記錄等。因此，對用戶的上網行為審計是本次建立城域網時必須考慮的因素。本方案對用戶上網行為提供了兩級審計功能，如下列圖所示：拓撲圖第一級的行為審計設立在每個學校的出口網關U200上。U200可對各種P2P/IM、網絡游戲、和數據傳輸等行為提供細致的監控和記錄，實現細粒度的網絡行為審計管理。每個學校的管理員可以通過免費發放給學校的UTMManager管理系統Mini版管理自己學校的出口設備，審計用戶的上網行為，一旦出現信息平安事件，可以根據有關部門提供的時間和IP地址以及違規的上網行為定位到責任人。電教館的網絡管理員可以通過部署在電教館的UTMManager管理系統對全區的UTM設備進展統一管理，統一規劃。第二級行為審計設立在城域網的核心，通過S10508上的應用網關插卡來實現對全網用戶的行為審計。S10508的應用網關ACG插卡具備實時的應用流量監控和用戶上網行為審計兩大功能。管理員可以通過ACG實現對整網業務流量的實時監控，可基于整網、區域、業務類型〔如P2P類、游戲類〕、用戶/用戶組等，實時分析網絡應用流量趨勢、流量組成、Top用戶流量、Top業務分布等，通過實時了解當前網絡應用流量的明細信息，利于管理員直觀的了解最新網絡流量狀況，監控突發異常流量，并做出快速排查，確保整網網絡業務的有序運行。除此之外，管理員還可以通過ACG對用戶Web應用、FTP傳輸、交互、IM聊天等各種上網應用提供全方面的行為監控和記錄；同時，通過綜合分析、檢測用戶網絡流量與流向趨勢，對歷史數據進展分析，為用戶提供細粒度的網絡應用審計管理系統，準確跟蹤、定位用戶的網絡行為。同時，ACG通過和本方案提供的身份認證系統EAD對接，可以實現基于用戶身份的流量分析、流量統計與審計的管理，有效解決動態IP分配難以定位到上網用戶的問題。管理員通過本方案管理區部署的iMCSecCenter組件，對所有的U200和ACG設備進展統一的設備管理和記錄分析，多點檢測、多點核實，最終實現平安事件定位到人。云接入建立——班班通方案需求分析隨著信息技術的不斷開展，包括多媒體教室逐漸普及，教育網絡的建立已經開場不滿足于為教職工提供網絡效勞，而是開場轉向效勞課堂教學。多媒體教室利用資源公共效勞平臺的優質教學資源，基于電子書包、電子白板等終端的使用，在課堂上開展互動式教學、興趣教學的容。電子書包終端通常以平板電腦的方式呈現，人手一本，因此在班級建立無線網絡成為班班通的重要容，也使得中小學在教學模式和管理模式上更加多樣化；網絡方案設計無線方案拓撲如下列圖所示：本方案采用瘦AP架構，分布式AC的管理方式。具體而言是在每個學校都采用瘦AP架構：在辦公區、教學區的走廊或房間部署802.11N的AP，負責用戶的無線接入，在校園網的核心處部署分支無線控制器，負責對全校AP的統一管理。H3C無線技術特點：智能天線：H3C創新推出終端感性型智能天線,室AP置4個天線陣子,可形成16種波形,基于特征和協議的射頻優化，不同距離、不同場景的針對性智能覆蓋，覆蓋距離更遠，信號強度更強更穩定，吞吐量更高。頻譜分析防護：頻譜分析技術可實現對低層頻譜的檢測,可以分析報告出2.4G及5G頻譜圍的非WiFi設備干擾,可100%確定干擾源,包括2.4G跳頻攝像頭,無繩,藍牙,微波爐,2.4G跳頻基站或其他設備等；通過無線AP自帶的RF監測硬件，可實現全覆蓋區的射頻質量分析、避讓、存儲、追溯、回放等。針對國無線校園、無線醫院等場景優化的RRM算法，可以實現更精準的信道干擾感知與射頻調整能力。不同業務應用識別與Qos保障：多媒體、語音等業務在無局域網中的應用，使得原本緊的無線空口資源更加捉襟見肘。由于空口資源的特殊性，傳統有線網絡的QoS技術無法直接應用在無線局域網中。IEEE802.11e標準的引入，解決了此問題。作為802.11e標準的前身和子集的WMM標準，提供了根本的無線QoS解決方案，可以實現高速突發數據和流量分級。但是，802.11e只解決了無線空口的QoS，沒有解決如何在全網，包括AP－AC間的有線網絡實現端到端的QoS。H3C無線產品端到端的QoS解決方案不僅解決了無線接入點和無線用戶直接在無線介質上的QoS，而且還通過將無線用戶的優先級映射到AP－AC間的CAPWAP隧道上，保證了AP－AC間無線用戶的QoS。同時，作為增強，還實現了AP限速以限制通過CAPWAP隧道到達AP的數據流量。只要在報文進入AC的接口進展映射處理，之后設備會自動在轉化為802.11報文的時候將本地優先級轉化為WMM的優先級。具有QoS能力的STATION和無線接入點AP之間，通訊各方采用EDCA競爭無線信道；無線接入點AP和無線控制器AC之間建立有CAPWAP隧道，通過配置端口信任模式和映射關系，可以實現無線802.11e優先級與CAPWAP隧道外層的IP置DSCP和802.1p優先級的相互映射關系，從而保證AP和AC之間的QoS效果。此外，無線控制器AC及有線網絡中其他設備上還可以設置流分類、優先級標記、流量限速、隊列調度等靈活的QoS策略，從而實現全網QoS的定制。下一代無線網絡〔IPV6〕全面支持：IPV4地址已經目前是通過技術手段來人為延長v4壽命；純粹IPv6透傳不能滿足教學科研需求，將來也是信息孤島。支持IPv4/v6雙協議棧，全面支持IPv6已是必然。H3C所有無線產品支持IPv6Portal、IPv6SAVI、CAPWAPOverIPv6、ACL6、DNS6、TraceRT6、Telnet6等技術。智能無感知認證：能夠進展無感知認證準入，準入后可以對移動終端定制區別于“固定終端〞不同的策略.首次認證后下次無需再次認證即可入網.綠色環保：所有AP采用專業綠色低碳設計，支持動態MIMO省電模式(DMPS)與增強型自動省電傳送(E-APSD)，智能辨識終端實際性能需求，合理化調配終端休眠隊列，動態調整MIMO工作模式。支持GreenAP模式，實現單天線待機，節能更精準。通過創新性的逐包功率控制(PPC)技術，在確保報文能成功傳輸的前提下動態調節AP設備和客戶端直接的雙向功率，以到達減少設備能耗和延長移動終端待機時間的作用。身份認證方案設計通過以上云數據中心、運通道以及云平臺的建立，**區教育城域網將建成一個教職工以及學生可以隨時隨地獲取教育資源的網絡，極大的方便了教學工作展開的同時也帶來一些隱患：一、部網絡終端缺乏網絡用戶識別、準入機制A．任何外來人員或客戶只要將計算機插入網線，就可以進入部網絡各個區域，其中沒有任何身份的認證和平安措施，如知道相關應用系統的及密碼，就可以訪問相關的應用數據，對整個網絡和應用造成很大的平安威脅。網絡的終端全部都是基于工作組的模式，沒有進展網絡域的集中管理模式和相關的策略性的定義。對正常接入的PC沒有進展安康性的檢查和指導用戶進展修復，以及不能對達不到平安要求的PC采取隔離措施二、終端平安管理的平安防護控制措施缺乏，也沒有集中管控、審計和標準化等手段進展管理A、無法確保這些終端是否安裝了防病毒軟件、更新了系統補丁和病毒代碼，現時的終端的防病軟件部署率底，防病毒軟件也不統一，時常發生感染病毒、間諜軟件等的問題，存在很大的平安隱患；B、用戶是否安裝了必須使用的軟件，是否安裝了非工作使用的軟件，硬件配置，軟件配置，年終盤點的報表和信息的收集，都無法進展確認和收集；C、現時對網絡部出現的任何平安問題都無法及時發現、追蹤和審計。鑒于以上兩點，我們需要在完成城域網資源中心和根底網絡建立的同時，建立一套用戶身份和接入設備的區分機制，以保障城域網的信息平安。在這個背景下，本方案采用終端準入控制系統EAD，負責對全網用戶進展身份認證和終端的準入控制。該方案具有網絡準入控制、終端平安管理和桌面及資產管理三大功能。在有線接入的網絡環境中，將接入層設備作為平安準入控制點，對試圖接入網絡的用戶終端進展平安檢查，強制用戶終端進展防病毒、操作系統補丁等企業定義的平安策略檢查，防止非法用戶和不符合企業平安策略的終端接入網絡，降低病毒、蠕蟲等平安威脅在企業擴散的風險。由于接入層交換機對端口部署了802.1*認證，所有非法用戶將不能訪問企業部網絡。并且認證通過前，用戶終端之間無法實現互訪。合法用戶接入網絡后，其訪問權限受接入交換機中的ACL控制。特定的效勞器只能由被授權的用戶訪問。合法用戶接入網絡后，其互訪權限受接入交換機中的VLAN控制。不同角色的用戶分屬不同的VLAN，跨VLAN的用戶不能互訪〔受組網方式限制〕。用戶正常接入網絡前，必須通過平安客戶端的平安檢查，確保沒有感染病毒且病毒庫版本和補丁得到及時升級。降低了病毒和遠程攻擊對企業網帶來的平安風險。通過使用iNode客戶端，可對用戶的終端使用行為進展嚴格管理，比方制止設置代理效勞器、禁用雙網卡、制止撥號等。在無線網絡環境中，在無線控制器上進展Portal認證，在無線用戶通過身份認證之前，只能訪問無線控制上指定的資源。合法用戶接入網絡后，其訪問權限受在無線控制器上下發的基于用戶的ACL控制。特定的效勞器只能由被授權的用戶訪問。用戶正常接入網絡前，必須通過平安客戶端的平安檢查，確保沒有感染病毒且病毒庫版本和補丁得到及時升級。降低了病毒和遠程攻擊對企業網帶來的平安風險。如果在AP間漫游時用戶IP未發生變化，則無需再次進展用戶身份認證。管理員可以為每一個在網用戶分配一套用戶名密碼，也可以和現有的Windows域或LDAP系統進展對接，直接使用現有的用戶名密碼。從而做到每一個用戶的實名認證。針對來訪專家、家長等外來用戶，還可以由正式用戶為其申請臨時訪客賬號，或通過啟用匿名用戶認證，并為匿名用戶設置適宜的平安策略〔比方限制資源訪問權限〕的方式解決訪客用戶的臨時上網需求，可以幫助管理員在不影響網絡平安策略實施前提下，減輕對臨時的管理工作量。無論是在有線還是無線網絡中，只要用戶的終端上安裝了iNode客戶端，就可以實現防病毒管理、強制更新系統補丁、制定軟件黑白、注冊表平安檢查、桌面及資產管理等平安功能，使系統管理員對在網的每一臺設備進展強管理，保障網絡的平安。針對**區教育城域網這種帶有分支機構的大型網絡，每個分支管理員都需要對自己的分支機構進展管理，比方自己的設備、用戶群組和平安策略等。為此，EAD推出了針對單套EAD系統的分權管理解決方案。分權管理包括用戶分權、設備分權和業務策略分權，只有總部管理員和分支機構的管理員能看到該分支的用戶信息、設備信息和平安策略信息，不同分支機構的管理員之間不能互相查看和修改其他分支的信息。云管理規劃——整網運維方案系統平安管理系統平安管理功能主要有包括：操作日志管理、操作員管理、分組分級與權限管理、操作員登錄管理等。所包含的主要功能有：操作員登錄管理管理員通過制定登錄平安策略約束操作員的登錄鑒權，實現操作員登錄的平安性，通過訪問控制模板約束操作員可以登錄的終端機器的IP地址圍，防止惡意嘗試另人密碼進展登錄的行為存在，通過密碼控制策略，約束操作員密碼組成要求，包括密碼長度、密碼復雜性要求、密碼有效期等，以約束操作員定期修改密碼，并對密碼復雜性按要求設置。操作員密碼管理管理員為操作員制定密碼控制策略，操作員僅能按照指定的策略定期修改密碼，以保證訪問iMC系統的平安性。分組分級權限管理管理員通過設備分組、用戶分組的設置，可以為操作員指定可以管理的指定設備分組和用戶分組，并指定其管理權限和角色，包括管理員、維護員和查看員，實現按角色、分權限、分資源〔設備和用戶〕的多層權限控制；同時通過設置下級網絡管理權限，可以通過限制登錄下級網絡管理系統的操作員和密碼，保證訪問下級網絡管理系統的平安性。操作日志管理對于操作員的所有操作，包括登錄、注銷的時間、登錄IP地址以及登錄期間進展的任何可能修改系統數據的操作，都會記錄詳細的日志。提供豐富的查詢條件，管理員可以審計任何操作員的歷史操作記錄，界定網絡操作錯誤的責任圍。操作員在線監控和管理系統管理員通過“在線操作員〞可以實時監控當前在線聯機登錄的操作員信息，包括登錄的主機IP地址、登錄時間等，同時，系統管理員可以將在線操作員強制注銷、禁用/取消禁用當前IP地址等控制操作。資源管理iMC資源管理與拓撲管理作為整體共同為用戶提供網絡資源的管理。本節講解iMC的資源管理，下節講解iMC的拓撲管理。通過資源管理可以：網絡自動發現可以通過設置種子的簡易方式、路由方式、ARP方式、IPSecVPN、網段方式等五種自動發現方式自學習網絡資源及網絡拓撲，自動識別包括：路由器、交換機、平安網關、存儲設備、監控設備、無線設備、語音設備、打印機、UPS、效勞器、PC在的多種類型網絡設備；多種自動發現方式自動識別多種設備類型網絡手工管理可以手工添加、刪除網絡設備，可以批量導入、導出網絡設備，批量配置Telnet、SNMP參數，以及批量校驗Telnet參數等輔助功能；網絡視圖管理支持IP視圖、設備視圖、自定義視圖、下級網絡管理視圖等多種管理視圖，用戶可以從不同角度實現整個網絡的管理；網絡設備的管理從任何一種網絡視圖入口，都可以實現對網絡設備的管理，包括：支持對設備的管理/去管理、接口的管理/去管理、設備的詳細信息顯示和接口詳細信息顯示、設備和接口實時告警狀態、設備和接口的實時性能狀態、實時檢測存在故障的設備等，用戶可以方便的實現所有設備的管理；設備及業務管理系統的集成管理支持對H3C、CISCO、等主要廠家設備的管理，支持手工添加設備廠商、設備系列及設備型號；支持設備面板管理的動態注冊機制，實現與各廠家設備管理系統的有效集成；支持拓撲定位、ACL、VLAN、QoS等業務管理系統的集成，實現設備資源的統一管理；設備分組權限管理支持設備分組功能，通過對設備資源進展分組管理，系統管理員方便的分配其他管理員的管理權限，便于職責別離；拓撲管理iMC拓撲管理從網絡拓撲的解決直觀的提供應用戶對整個網絡及網絡設備資源的管理。拓撲管理包括：拓撲自動發現H3CiMC可以自動發現網絡拓撲構造，支持全網設備的統一拓撲視圖，通過視圖導航樹提供視圖間的快速導航。通過自動發現可以發現網絡中的所有設備及網絡構造〔具體參見資源管理〕，并且可以將非SNMP設備發現出來，只要設備可以ping通即可。這樣就可以將所有網絡設備都列入其管理圍〔只要設備IP可達〕。同時支持自動的拓撲圖呈現和自定義拓撲。自動拓撲可以自動將網絡中的邏輯連接關系顯示出來，同時可以保存為自定義拓撲圖并可根據具體情況進展修改以便于網管員對整個網絡設備的監控。支持對全網設備和連接定時輪詢和狀態刷新，實時了解整個網絡的運行情況，并且刷新周期是可定制〔刷新周期：60～7200秒〕，同時也支持對多個設備的刷新周期進展批量配置的功能。支持自定義拓撲傳統的網絡管理軟件大多支持自動發現網絡拓撲的功能，但是自動發現后的網絡拓撲往往是很多設備圖標的簡單排放，不能突出重點設備和網絡層次，使網絡管理人員感覺無從下手。針對這種情況，H3CiMC的拓撲功能支持靈活的自定義功能，管理人員可以根據網絡的實際組網情況和設備重要性的不同靈活定制網絡拓撲，可對拓撲圖進展增、刪、改等編輯操作，使網絡拓撲能夠清晰地呈現網絡構造以及IT資源分布。H3CiMC支持靈活定制拓撲圖，使網絡拓撲更有重點和層次感。管理員可以按照關注設備不同，管理角度不同定義多種拓撲，并可以針對拓撲不同選擇不同的背景圖；管理員可以根據網絡設備的重要性不同，鏈路速率不同采用適宜的圖標顯示。自動識別各種網絡設備和主機的類型H3CiMC可以自動識別H3C、H3C、Cisco、等廠商的設備、Windows、Solaris的PC和工作站、其他SNMP設備和ping設備，并且以樹形方式組織，以不同的圖標顯示區分。在拓撲圖上更可進一步對設備的類型進展區分，如區分路由器、交換機、平安網關、存儲設備、監控設備、無線設備、語音設備、打印機、UPS、效勞器、PC等等。設備狀態、連接狀態、告警狀態等信息在拓撲圖上的直觀顯示H3CiMC的拓撲功能與故障管理和性能管理嚴密融合，使拓撲圖能夠清晰地看到***大學IT資源的狀態，包括運行是否正常、網絡帶寬、接口連通、配置變化都能一目了然。多種顏色區分不同級別故障，根據節點圖標顏色反映設備狀態。拓撲能提供設備管理便捷入口H3CiMC拓撲能夠提供對設備管理的便捷入口，管理員只需通過右鍵點擊拓撲圖中的設備圖標即可啟動設備管理各項功能，實現對設備的面板管理等各項功能配置。故障〔告警/事件〕管理故障管理，即告警/事件管理，是H3CiMC的核心模塊，是iMC智能管理平臺及其他業務組件統一的告警中心。如下列圖所示，以故障管理流程為引導，介紹H3CiMC強大的故障管理能力：告警發現和上報iMC告警中心可以按收各種告警源的告警事件，包括設備告警、本級網管站及下級網管站告警、網絡性能監視告警、網絡配置監視告警、網絡流量異常監視告警、終端平安異常告警等；同時通過支持對設備定時輪詢，實現通斷告警、響應時間告警等，以告警事件的方式上報給H3CiMC告警中心；設備告警包括電源電壓、設備溫度、風扇等告警事件，設備冷啟動、熱啟動、接口linkdown等重要告警事件，路由信息事件〔OSPF，BGP〕變化，熱備份路由〔HSRP〕狀態變化等告警事件，支持對H3C、CISCO、H3C、等多廠商設備告警的識別和解析；網管站告警指包括本級iMC系統集群效勞器的異常告警，包括CPU利用率、存使用率、iMC效勞程序運行狀態等以及下級iMC系統上報的告警事件；網絡性能監視包括CPU利用率，存使用率，以及RMON告警的故障管理。網絡配置監視告警包括設備軟件版本、配置信息變更等告警事件，并通過iMC智能配置中心組件〔iMCiCC〕實現配置文件定期檢查，實現配置變更告警事件。網絡流量異常監視告警通過iMC網絡流量分析組件〔iMCNTA〕實現網絡中異常流量告警，包括對設備及接口異常流量、主機IP地址異常流量和應用異常流量的告警，支持二級閾值告警定義；終端平安異常告警通過iMC端點準入防御組件〔iMCEAD〕實現對終端用戶平安異常的告警，包括ARP攻擊告警、終端異常流量告警及其他終端不平安告警；iMC定期輪詢告警指通過iMC的資源管理