某三通兩平臺(tái)材料某三通兩平臺(tái)整體方

三通兩平臺(tái)整體方案規(guī)劃二O一二年十一月目錄第1章.現(xiàn)狀及需求分析41.1.工程建立背景41.2.應(yīng)用開(kāi)展規(guī)劃41.2.1.專遞課堂41.2.2.名師課堂51.2.3.網(wǎng)絡(luò)協(xié)作教研51.2.4.資源類應(yīng)用61.2.5.互動(dòng)教學(xué)61.2.6.教育管理平臺(tái)61.3.建立容61.3.1.三通兩平臺(tái)一中心6第2章.城域網(wǎng)及資源中心方案整體設(shè)計(jì)102.1.設(shè)計(jì)原則與思路102.2.整體解決方案12第3章.功能分區(qū)詳細(xì)設(shè)計(jì)143.1.云數(shù)據(jù)中心——資源中心設(shè)計(jì)143.1.1.云平臺(tái)數(shù)據(jù)中心建立目標(biāo)143.1.2.數(shù)據(jù)中心云平臺(tái)設(shè)計(jì)原則163.1.3.數(shù)據(jù)中心云平臺(tái)總體設(shè)計(jì)173.1.4.云平臺(tái)根底承載設(shè)計(jì)203.1.5.云平臺(tái)計(jì)算資源池設(shè)計(jì)253.1.6.存儲(chǔ)設(shè)計(jì)283.1.7.虛擬化平臺(tái)設(shè)計(jì)303.1.8.云平臺(tái)系統(tǒng)設(shè)計(jì)363.2.云通道建立——城域網(wǎng)/校校通方案443.2.1.需求分析443.2.2.鏈路選擇443.2.3.方案設(shè)計(jì)453.3.云接入建立——班班通方案523.3.1.需求分析523.3.2.網(wǎng)絡(luò)方案設(shè)計(jì)533.3.3.身份認(rèn)證方案設(shè)計(jì)553.4.云管理規(guī)劃——整網(wǎng)運(yùn)維方案583.4.1.系統(tǒng)平安管理583.4.2.資源管理593.4.3.拓?fù)涔芾?13.4.4.故障〔告警/事件〕管理643.4.5.告警深度關(guān)聯(lián)分析與統(tǒng)計(jì)653.4.6.性能管理703.4.7.設(shè)備管理組件73第4章.方案報(bào)價(jià)75第5章.案例參考755.1.教育云75現(xiàn)狀及需求分析工程建立背景上世紀(jì)九十年代以來(lái)，通過(guò)一系列重大工程和政策措施，我區(qū)的教育信息化開(kāi)展奠定了一定的根底。隨著教育模式的改革和新技術(shù)的不斷涌現(xiàn)，信息化教學(xué)的應(yīng)用不斷拓展和深入，教學(xué)資源不斷豐富，教育信息化在促進(jìn)教育公平、提高教育質(zhì)量、創(chuàng)新教育模式領(lǐng)域的支撐和帶動(dòng)作用初步顯現(xiàn)。"教育規(guī)劃綱要"明確提出了信息化目標(biāo)，即建成人人可享有優(yōu)質(zhì)教育資源的信息化學(xué)習(xí)環(huán)境，根本形成學(xué)習(xí)型社會(huì)的信息化支撐效勞體系，根本實(shí)現(xiàn)所有地區(qū)和各級(jí)各類學(xué)校寬帶網(wǎng)絡(luò)的全面覆蓋，教育管理信息化水平顯著提高，信息技術(shù)與教育融合開(kāi)展的水平顯著提升。應(yīng)用開(kāi)展規(guī)劃應(yīng)用開(kāi)展是十二五期間信息化建立的關(guān)鍵容，建立與教學(xué)融合的應(yīng)用體系是應(yīng)用規(guī)劃的目標(biāo)。結(jié)合目前國(guó)外的先進(jìn)經(jīng)歷，我區(qū)擬規(guī)劃以下應(yīng)用容。專遞課堂同步課堂：同步課堂基于**區(qū)資源中心提供的機(jī)構(gòu)空間、學(xué)?？臻g、教師空間進(jìn)展。1個(gè)播出教室和1-5個(gè)接收教室構(gòu)成一個(gè)虛擬課堂。教育局在其空間，利用同步課堂組織管理工具，統(tǒng)一組織播出學(xué)校和接收學(xué)校，統(tǒng)一安排虛擬課堂課表，并組織教學(xué)。播出學(xué)校和接收學(xué)校也可自行配對(duì)，在其空間向教育局提出申請(qǐng)。推送資源：區(qū)資源中心根據(jù)教師需求情況將支持課堂教學(xué)的優(yōu)質(zhì)資源包推送到教師空間，幫助教師備課、上課、進(jìn)展教學(xué)評(píng)價(jià)。教師在教學(xué)活動(dòng)中生成的資源可以提供到國(guó)家數(shù)字教育資源公共效勞平臺(tái)上進(jìn)展共享。探究性學(xué)習(xí)：區(qū)資源中心通過(guò)推送探究性學(xué)習(xí)工具和資源，提供智能導(dǎo)航幫助教師開(kāi)展探究式、討論式、參與式教學(xué)，幫助學(xué)生增強(qiáng)運(yùn)用信息技術(shù)分析解決問(wèn)題的能力，學(xué)會(huì)學(xué)習(xí)。幫助教師運(yùn)用探究學(xué)習(xí)模式開(kāi)展日常學(xué)科教學(xué)。學(xué)生也可利用相應(yīng)工具自行組織探究性學(xué)習(xí)。名師課堂名師講堂：名師講堂模式主要用于名師講解學(xué)科重點(diǎn)難點(diǎn)，幫助學(xué)生更好地達(dá)成學(xué)習(xí)目標(biāo)。講授容以各學(xué)科和專業(yè)課程章節(jié)重難點(diǎn)和期末總結(jié)為主。名師導(dǎo)學(xué)：名師導(dǎo)學(xué)模式通過(guò)將教師課堂講授與智能學(xué)習(xí)系統(tǒng)〔“名師〞〕的診斷與導(dǎo)學(xué)相結(jié)合，實(shí)現(xiàn)差異化教學(xué)和個(gè)性化指導(dǎo)，提高學(xué)生學(xué)習(xí)能力。網(wǎng)絡(luò)協(xié)作教研跨校網(wǎng)絡(luò)協(xié)作教研跨區(qū)域網(wǎng)絡(luò)協(xié)作教研模式是利用國(guó)家數(shù)字教育資源公共效勞平臺(tái)提供的虛擬教研社區(qū)功能，組織不同區(qū)域教師開(kāi)展協(xié)作教研活動(dòng)，實(shí)現(xiàn)交流學(xué)習(xí)、優(yōu)勢(shì)互補(bǔ)、共同提高。名師工作室名師工作室模式用于有組織地開(kāi)放以特級(jí)教師和學(xué)科骨干教師本人命名的教師空間，為廣闊教師有針對(duì)性的選擇與自己教育教學(xué)相關(guān)的專家或?qū)＜覉F(tuán)隊(duì)進(jìn)展持續(xù)的教學(xué)科研提供效勞。資源類應(yīng)用在區(qū)資源中心以自建、學(xué)校提供、企業(yè)提供等多種方式將傳統(tǒng)知識(shí)點(diǎn)和學(xué)習(xí)容電子化，以趣味、生動(dòng)的方式呈現(xiàn)，提高學(xué)生學(xué)習(xí)興趣和理解能力?；?dòng)教學(xué)在教學(xué)過(guò)程中融入互動(dòng)的體驗(yàn)，遠(yuǎn)程學(xué)習(xí)〔名師講堂類〕時(shí)學(xué)生與教師遠(yuǎn)程互動(dòng)，教學(xué)過(guò)程中與家長(zhǎng)互動(dòng)等。教育管理平臺(tái)將傳統(tǒng)的OA辦公、學(xué)籍管理、考勤系統(tǒng)、考核系統(tǒng)、行政辦公系統(tǒng)、等管理類系統(tǒng)統(tǒng)一為教育門(mén)戶，提供一體化的教育管理工作平臺(tái)。建立容三通兩平臺(tái)一中心兩個(gè)平臺(tái)，一個(gè)中心所有的應(yīng)用規(guī)劃從對(duì)象角度來(lái)區(qū)分可以分為兩大平臺(tái)，一個(gè)是教學(xué)資源公共效勞平臺(tái)，一個(gè)是教育管理公共效勞平臺(tái)。兩平臺(tái)均以應(yīng)用軟件方式呈現(xiàn)，需要一個(gè)統(tǒng)一的硬件數(shù)據(jù)中心來(lái)承載，所以建立的首要容就是“兩個(gè)平臺(tái)，一個(gè)中心〞。資源到?！ＰＭ▋纱笃脚_(tái)的容統(tǒng)稱為“資源〞，資源區(qū)學(xué)校共享的財(cái)富，實(shí)現(xiàn)共享的手段就是將資源送到學(xué)校，也就是通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)學(xué)校與教育局資源中心的連接，也即傳統(tǒng)校校通的建立局部。資源到班級(jí)——班班通讓學(xué)生在教室就能使用優(yōu)質(zhì)的教學(xué)資源，實(shí)現(xiàn)與遠(yuǎn)程名師的在線互動(dòng)，就是資源到班級(jí)的建立容。包括多媒體教室，無(wú)線網(wǎng)絡(luò)覆蓋班級(jí)實(shí)現(xiàn)班班通。資源到個(gè)人——人人通學(xué)生放學(xué)后依然能使用教學(xué)資源，教師在家、出差時(shí)期也能便捷使用備課系統(tǒng)，家長(zhǎng)輔導(dǎo)學(xué)生等應(yīng)用場(chǎng)景的實(shí)現(xiàn)，就是建立人人通空間，學(xué)生、家長(zhǎng)、教師都能隨時(shí)隨地訪問(wèn)的容。城域網(wǎng)及資源中心方案整體設(shè)計(jì)設(shè)計(jì)原則與思路城域網(wǎng)及資源中心的建立原則是能夠高效、平安、綠色的支撐應(yīng)用系統(tǒng)的使用，相比傳統(tǒng)城域網(wǎng)建立，表達(dá)在幾個(gè)層面的變化：數(shù)據(jù)中心的形成相比傳統(tǒng)效勞器部署而言，資源中心的建立要求有統(tǒng)一的數(shù)據(jù)中心來(lái)承載兩大平臺(tái)的運(yùn)行虛擬化的使用為了整合資源中心的硬件資源，會(huì)大量使用虛擬化技術(shù)來(lái)建立彈性的資源池；應(yīng)用類型對(duì)網(wǎng)絡(luò)帶寬的消耗應(yīng)用的規(guī)劃以動(dòng)畫(huà)、視頻、互動(dòng)等大流量應(yīng)用為主，相比傳統(tǒng)網(wǎng)絡(luò)帶寬要求提升10~20倍；用戶規(guī)模的劇增資源的使用者增加了學(xué)生，相比傳統(tǒng)只有教師使用的環(huán)境，用戶規(guī)模增加了10~20倍；流量模型的變化用戶的訪問(wèn)模型以學(xué)校訪問(wèn)資源中心的流量為主，根本上為縱向流量；允許斷網(wǎng)時(shí)間的變化教學(xué)系統(tǒng)上網(wǎng)意味著對(duì)網(wǎng)絡(luò)可靠性的要求提高，允許斷網(wǎng)時(shí)間應(yīng)該控制在分鐘級(jí)別；所以在城域網(wǎng)和資源中心的設(shè)計(jì)上需要遵循以下原則：高性能——骨干網(wǎng)絡(luò)性能是整個(gè)網(wǎng)絡(luò)良好運(yùn)行的根底，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息〔視頻、動(dòng)畫(huà)〕的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開(kāi)展的瓶頸。高可靠性——網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，設(shè)備充分考慮冗余、容錯(cuò)能力；合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運(yùn)行。網(wǎng)絡(luò)設(shè)備在出現(xiàn)故障時(shí)應(yīng)便于診斷和排除，充分表達(dá)計(jì)算機(jī)網(wǎng)絡(luò)的高可靠性。平安性——制訂統(tǒng)一的網(wǎng)絡(luò)平安策略，整體考慮網(wǎng)絡(luò)平臺(tái)的平安性，保證師生能夠平安、綠色的使用資源。獨(dú)立性——學(xué)校與教育局之間采用公網(wǎng)連接會(huì)導(dǎo)致一些應(yīng)用系統(tǒng)的不可用〔比方名師講堂、雙向教學(xué)等〕，而且公網(wǎng)連接也使得網(wǎng)絡(luò)不平安、不可控等隱患，所以教育局與學(xué)校之間應(yīng)該采用裸光纖或者VPN方式連接；技術(shù)先進(jìn)性和實(shí)用性——在保證滿足校園業(yè)務(wù)、應(yīng)用系統(tǒng)業(yè)務(wù)的同時(shí)，要表達(dá)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來(lái)，充分考慮網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來(lái)開(kāi)展趨勢(shì)。標(biāo)準(zhǔn)開(kāi)放性——支持國(guó)際上通用的網(wǎng)絡(luò)協(xié)議、路由協(xié)議等開(kāi)放的協(xié)議標(biāo)準(zhǔn)，有利于保證與其它網(wǎng)絡(luò)(如中國(guó)教育網(wǎng)、公共數(shù)據(jù)網(wǎng)、學(xué)校之間等其它網(wǎng)絡(luò))之間的平滑連接互通，以及將來(lái)網(wǎng)絡(luò)的擴(kuò)展。靈活性及可擴(kuò)展性——根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)大和升級(jí)，最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。可管理性——對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。強(qiáng)QOS、強(qiáng)組播特性——城域網(wǎng)因?yàn)閷?duì)視頻、音頻等多媒體業(yè)務(wù)的需求較大，所以整個(gè)網(wǎng)絡(luò)具有較完善的QOS特性對(duì)教育網(wǎng)而言就顯得尤為重要。能不能對(duì)關(guān)鍵業(yè)務(wù)進(jìn)展帶寬優(yōu)先保證尤其是那些對(duì)時(shí)延敏感的業(yè)務(wù)進(jìn)展保證是教育網(wǎng)必須考慮的一個(gè)重點(diǎn)，為實(shí)現(xiàn)區(qū)別效勞，整網(wǎng)端到端的QOS特性機(jī)制是優(yōu)質(zhì)網(wǎng)絡(luò)業(yè)務(wù)的保證。另外組播特性對(duì)于有效的保證多媒體流傳輸性能和節(jié)省帶寬也有非常重要的意義，基于組播的控制特性也會(huì)進(jìn)一步保證組播流的控制、管理和平安，從而為實(shí)現(xiàn)教育城域網(wǎng)的多業(yè)務(wù)支持提供保障。兼容性和經(jīng)濟(jì)性——兼容性，能夠最大限度地保證學(xué)校現(xiàn)有各種計(jì)算機(jī)軟、硬件資源的可用性和連續(xù)性，為不同的現(xiàn)存網(wǎng)絡(luò)提供互聯(lián)和升級(jí)的手段〔如現(xiàn)有的雙向教學(xué)系統(tǒng)〕，保證各種在用計(jì)算機(jī)系統(tǒng)〔包括工作站、效勞器和微機(jī)等設(shè)備〕的互連入網(wǎng)，充分利用現(xiàn)有網(wǎng)絡(luò)資源，發(fā)揮主干網(wǎng)的優(yōu)勢(shì)。經(jīng)濟(jì)性，就是在充分利用現(xiàn)有資源的情況下，最大限度地降低網(wǎng)絡(luò)系統(tǒng)的總體投資，有方案、有步驟地實(shí)施，在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有設(shè)備或做必要的升級(jí)。整體解決方案**區(qū)教育城域網(wǎng)的整體網(wǎng)絡(luò)拓?fù)淙缦铝袌D所示：整個(gè)網(wǎng)絡(luò)分為接入層〔學(xué)?！场⒑诵膶?、管理中心、電教館辦公網(wǎng)、城域網(wǎng)資源中心以及網(wǎng)絡(luò)出口等6個(gè)模塊。接入層在接入層，每個(gè)學(xué)校的出口采用一臺(tái)統(tǒng)一威脅管理設(shè)備U200作為出口網(wǎng)關(guān)，通過(guò)運(yùn)營(yíng)商分配的專用線路連接到區(qū)教育局的網(wǎng)絡(luò)核心。核心層在核心層采用兩臺(tái)H3CS10508核心交換機(jī)，通過(guò)IRF2技術(shù)虛擬成一臺(tái)，以保證網(wǎng)絡(luò)核心的可靠性，同時(shí)成倍提升網(wǎng)絡(luò)性能。核心交換機(jī)上除了提供連接各功能區(qū)所必須的以太網(wǎng)接口外，還部署防火墻、IPS、流量分析等多種業(yè)務(wù)插卡，為整個(gè)教育城域網(wǎng)提供平安保障。管理中心管理中心作為整個(gè)教育城域網(wǎng)的總指揮部，部署網(wǎng)絡(luò)管理系統(tǒng)、平安管理系統(tǒng)、虛擬化管理平臺(tái)等管理系統(tǒng)，以便于管理人員對(duì)整個(gè)城域網(wǎng)進(jìn)展統(tǒng)一規(guī)劃和管理。電教館辦公網(wǎng)電教館辦公網(wǎng)作為城域網(wǎng)的一個(gè)單位接入城域網(wǎng)核心。同樣考慮到平安性和可管理性，建議在辦公網(wǎng)出口處部署一臺(tái)U200。資源效勞區(qū)在資源效勞區(qū)，通過(guò)虛擬化技術(shù)建立計(jì)算資源池和存儲(chǔ)資源池，為教育資源平臺(tái)動(dòng)態(tài)分配硬件資源，從而提高硬件資源的可靠性和可擴(kuò)展性。資源效勞區(qū)通過(guò)假設(shè)干臺(tái)〔依據(jù)具體效勞器數(shù)量而定〕數(shù)據(jù)中心級(jí)接入交換機(jī)與城域網(wǎng)核心相連，構(gòu)成教育資源平臺(tái)和各個(gè)教育單位數(shù)據(jù)互通的通道。出口區(qū)整個(gè)教育城域網(wǎng)將擁有兩個(gè)網(wǎng)絡(luò)出口，一個(gè)連接到教育城域網(wǎng)中心，一個(gè)連接到互聯(lián)網(wǎng)，作為整個(gè)教育城域網(wǎng)公網(wǎng)出口。功能分區(qū)詳細(xì)設(shè)計(jì)云數(shù)據(jù)中心——資源中心設(shè)計(jì)云平臺(tái)數(shù)據(jù)中心建立目標(biāo)**區(qū)城域網(wǎng)數(shù)據(jù)中心是數(shù)據(jù)大集中而形成的集成IT應(yīng)用環(huán)境，它是各種IT業(yè)務(wù)和應(yīng)用效勞的提供中心，是數(shù)據(jù)運(yùn)算/交換/存儲(chǔ)的中心，實(shí)現(xiàn)對(duì)用戶的數(shù)據(jù)、應(yīng)用程序、物理構(gòu)架的全面或局部進(jìn)展整合和集中管理。數(shù)據(jù)中心的建立中，存儲(chǔ)系統(tǒng)的建立和完善貫穿始終，這和當(dāng)前應(yīng)用系統(tǒng)建立的重點(diǎn)是相一致的。不管是各種數(shù)字資源，還是需要備份保存的業(yè)務(wù)數(shù)據(jù)，其中心容都是對(duì)于信息〔數(shù)據(jù)〕的管理和使用。本方案將云數(shù)據(jù)中心“IT根底設(shè)施〞的“按需使用〞以及〞自動(dòng)化管理和調(diào)度〞作為云計(jì)算的實(shí)踐，形成可落地實(shí)施的、可持續(xù)開(kāi)展的云計(jì)算平臺(tái)，即IaaS云計(jì)算平臺(tái)，為**區(qū)旗下中小學(xué)提供效勞集中以及按需使用效勞，簡(jiǎn)化各個(gè)學(xué)校的IT管理，實(shí)現(xiàn)**區(qū)教育資源的統(tǒng)一整合與管理。作為教育云計(jì)算實(shí)踐，云計(jì)算數(shù)據(jù)中心的建立建議到達(dá)以下目標(biāo)：通過(guò)標(biāo)準(zhǔn)化、虛擬化的資源池部署，提高整體IT根底設(shè)施資源利用率；實(shí)現(xiàn)IT根底設(shè)施資源的自助化效勞，按需申請(qǐng)，按需供應(yīng)，實(shí)現(xiàn)面向最終用戶的云效勞模式；實(shí)現(xiàn)IT根底設(shè)施資源的自動(dòng)化部署及流程化管理，并可利用云計(jì)算管理平臺(tái)對(duì)資源進(jìn)展可視、全面的監(jiān)、管、控，簡(jiǎn)化日常運(yùn)維的管理流程、降低維護(hù)本錢(qián)；在實(shí)現(xiàn)可落地的云實(shí)踐的根底上，保存未來(lái)向更高層次的云計(jì)算實(shí)踐開(kāi)展的可能，如SaaS和PaaS相關(guān)應(yīng)用等；數(shù)據(jù)中心云平臺(tái)設(shè)計(jì)原則兼容與互通當(dāng)前階段云計(jì)算整個(gè)產(chǎn)業(yè)化還不夠成熟，相關(guān)標(biāo)準(zhǔn)還不完善。為保證多廠商的良好兼容性，防止廠商技術(shù)鎖定，方案的設(shè)計(jì)充分保證與第三方廠商設(shè)備保持良好的對(duì)接。此外，為保證方案的前瞻性，設(shè)備的選型應(yīng)充分考慮對(duì)已有的云計(jì)算相關(guān)標(biāo)準(zhǔn)〔如EVB/802.1Qbg等〕的擴(kuò)展支持能力，保證良好的先進(jìn)性，以適應(yīng)未來(lái)的技術(shù)開(kāi)展。業(yè)務(wù)高可用云計(jì)算平臺(tái)作為承載未來(lái)教育城域網(wǎng)以及各個(gè)校園應(yīng)用的重要IT根底設(shè)施，伴隨著數(shù)據(jù)與業(yè)務(wù)的集中，云計(jì)算平臺(tái)的建立及運(yùn)維給信息部門(mén)帶來(lái)了巨大的壓力，因此平臺(tái)的建立從根底資源池〔計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)〕、虛擬化平臺(tái)、云平臺(tái)等多個(gè)層面充分考慮業(yè)務(wù)的高可用，根底單元出現(xiàn)故障后業(yè)務(wù)應(yīng)用能夠迅速進(jìn)展切換與遷移，用戶無(wú)感知，保證業(yè)務(wù)的連續(xù)性。統(tǒng)一管理與自動(dòng)化云計(jì)算的最終目標(biāo)是要實(shí)現(xiàn)系統(tǒng)的按需運(yùn)營(yíng)，多種效勞的開(kāi)通，而這依賴于對(duì)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源的調(diào)度和分配，同時(shí)提供用戶管理、組織管理、工作流管理、自助Protal界面等。從用戶資源的申請(qǐng)、審批到分配部署的智能化。管理系統(tǒng)不僅要實(shí)現(xiàn)對(duì)傳統(tǒng)的物理資源和新的虛擬資源進(jìn)展管理，還要從全局而非割裂地管理資源，因此統(tǒng)一管理與自動(dòng)化將成為必然趨勢(shì)。開(kāi)放接口傳統(tǒng)的管理系統(tǒng)與上層系統(tǒng)對(duì)接，注重故障的上報(bào)和信息的查詢。而云計(jì)算的管理系統(tǒng)更關(guān)注如何實(shí)現(xiàn)自動(dòng)化的部署，在接口方面更關(guān)注資源調(diào)度和分配，這就需要管理系統(tǒng)在業(yè)務(wù)調(diào)度方面實(shí)現(xiàn)開(kāi)放。為保證效勞器、存儲(chǔ)、網(wǎng)絡(luò)等資源能夠被云計(jì)算運(yùn)營(yíng)平臺(tái)良好的調(diào)度與管理，要求系統(tǒng)提供開(kāi)放的API接口，云計(jì)算運(yùn)營(yíng)管理平臺(tái)能夠通過(guò)API接口、命令行腳本實(shí)現(xiàn)對(duì)設(shè)備的配置與策略下發(fā)聯(lián)動(dòng)。同時(shí)云平臺(tái)也提供開(kāi)放的API接口，未來(lái)可以基于這些接口進(jìn)展二次定制開(kāi)放，將云管理平臺(tái)與教育城域網(wǎng)應(yīng)用相融合，實(shí)現(xiàn)面向云計(jì)算的教育應(yīng)用管理平臺(tái)。數(shù)據(jù)中心云平臺(tái)總體設(shè)計(jì)硬件構(gòu)造根據(jù)本期工程的需求和建立目標(biāo)云計(jì)算平臺(tái)總體邏輯拓?fù)錁?gòu)造如上圖所示。整個(gè)平臺(tái)由網(wǎng)絡(luò)資源池、計(jì)算資源池、存儲(chǔ)資源池、管理中心四局部組成。網(wǎng)絡(luò)資源池：采用業(yè)界主流的“核心+接入〞扁平化組網(wǎng)，核心交換機(jī)采用2臺(tái)H3CS10508設(shè)備，部署IRF2虛擬化技術(shù)，并在機(jī)框部署網(wǎng)流分析〔NetStream〕和防火墻〔FW〕插卡，實(shí)現(xiàn)業(yè)務(wù)的流量監(jiān)控和平安隔離防護(hù)，外聯(lián)至現(xiàn)網(wǎng)出口路由器，實(shí)現(xiàn)外網(wǎng)互通；接入交換機(jī)采用2臺(tái)H3CS5820V2設(shè)備，部署IRF2虛擬化技術(shù)，并啟用VEPA功能，實(shí)現(xiàn)虛擬化網(wǎng)絡(luò)感知。計(jì)算資源池：采用20臺(tái)H3CFle*ServerR390機(jī)架效勞器，通過(guò)H3CCloudVirtualizationKernel虛擬化平臺(tái)進(jìn)展整合構(gòu)建資源池，在虛擬機(jī)上部署業(yè)務(wù)系統(tǒng)和虛擬桌面應(yīng)用。存儲(chǔ)資源池：采用2臺(tái)HPLeftHandP4500iSCSI存儲(chǔ)陣列，存放虛擬機(jī)鏡像文件、配置文件以及業(yè)務(wù)系統(tǒng)數(shù)據(jù)。管理中心：采用2臺(tái)H3CFle*ServerR390機(jī)架效勞器，部署H3CiMCDCM數(shù)據(jù)中心管理套件、H3Cloud軟件套件，實(shí)現(xiàn)對(duì)云計(jì)算資源池的統(tǒng)一管理及調(diào)度。軟件構(gòu)造此次工程云計(jì)算軟件平臺(tái)的總體構(gòu)造如上圖所示，包括虛擬化層、自動(dòng)化效勞層、管理層、業(yè)務(wù)編排層、API層：虛擬化層：利用CloudVirtualizationKernel提供的底層虛擬化能力和上層CloudVirtualizationCenter提供的管理能力，屏蔽底層物理硬件根底設(shè)施的異構(gòu)性和復(fù)雜度，對(duì)外以虛擬資源池的形式呈現(xiàn)。自動(dòng)化效勞層：強(qiáng)調(diào)業(yè)務(wù)運(yùn)行的高可用性和可擴(kuò)展性，并對(duì)業(yè)務(wù)提供自動(dòng)的容災(zāi)備份與資源調(diào)度能力。管理層：對(duì)虛擬化資源及云運(yùn)營(yíng)要素進(jìn)展管理，如虛擬機(jī)生命周期的管理、虛擬機(jī)鏡像文件和配置文件的管理、多租戶的平安隔離、網(wǎng)絡(luò)策略配置的管理等。業(yè)務(wù)編排層：對(duì)云計(jì)算資源進(jìn)展可運(yùn)營(yíng)性管理，包括對(duì)虛擬資源池的編排、最終用戶的自助效勞門(mén)戶、業(yè)務(wù)的申請(qǐng)、審批與開(kāi)通、用戶帳務(wù)的管理與報(bào)表輸出等。API層：為第三方云運(yùn)營(yíng)管理平臺(tái)提供RESTful的API接口。上述各層的功能實(shí)現(xiàn)分別對(duì)應(yīng)H3Cloud軟件套件中的CloudIntelligenceCenter、CloudVirtualizationManager和CloudVirtualizationKernel三個(gè)組件完成：CloudVirtualizationKernel：虛擬化核與管理代理運(yùn)行在根底設(shè)施層和上層操作系統(tǒng)之間的“元〞操作系統(tǒng)，用于協(xié)調(diào)上層操作系統(tǒng)對(duì)底層硬件資源的訪問(wèn)，減輕軟件對(duì)硬件設(shè)備以及驅(qū)動(dòng)的依賴性，同時(shí)對(duì)虛擬化運(yùn)行環(huán)境中的硬件兼容性、高可靠性、高可用性、可擴(kuò)展性、性能優(yōu)化等問(wèn)題進(jìn)展加固處理。CloudVirtualizationManager：虛擬化管理軟件包主要實(shí)現(xiàn)對(duì)數(shù)據(jù)中心的計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)等硬件資源的軟件虛擬化，形成虛擬資源池，對(duì)上層應(yīng)用提供自動(dòng)化效勞。其業(yè)務(wù)圍包括：虛擬計(jì)算、虛擬網(wǎng)絡(luò)、虛擬存儲(chǔ)、高可靠性〔HA〕、動(dòng)態(tài)資源調(diào)度〔DRS〕、虛擬機(jī)容災(zāi)與備份、虛擬機(jī)模板管理、集群文件系統(tǒng)、虛擬交換機(jī)策略等。CloudIntelligenceCenter：云業(yè)務(wù)運(yùn)營(yíng)軟件包由一系列云根底業(yè)務(wù)模塊組成，通過(guò)將根底架構(gòu)資源〔包括計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)〕及其相關(guān)策略整合成虛擬數(shù)據(jù)中心資源池，并允許用戶按需消費(fèi)這些資源，從而構(gòu)建平安的多租戶混合云。其業(yè)務(wù)圍包括：組織〔虛擬數(shù)據(jù)中心〕、多租戶數(shù)據(jù)和業(yè)務(wù)平安、云業(yè)務(wù)工作流、自助式效勞門(mén)戶、兼容OpenStack的RESTAPI接口等。云平臺(tái)根底承載設(shè)計(jì)核心層設(shè)計(jì)數(shù)據(jù)中心核心交換機(jī)需要資源池部高速交換以及骨干互聯(lián)工作，建議采用H3C數(shù)據(jù)中心級(jí)核心交換機(jī)S10500，主要基于如下考慮：高性能：核心會(huì)聚層需要與其它外部網(wǎng)絡(luò)互聯(lián)，外連接口眾多，并且這些外部網(wǎng)絡(luò)所提供的接入帶寬和接入設(shè)備都是業(yè)界高端設(shè)備，所以為了使網(wǎng)絡(luò)在核心交換區(qū)不存在性能瓶頸，采用具備高密萬(wàn)兆的核心交換設(shè)備.整網(wǎng)可靠性：因?yàn)槌怯蚓W(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)具有高可靠性設(shè)計(jì)，業(yè)務(wù)層面最大限度的保障業(yè)務(wù)轉(zhuǎn)發(fā)不中斷、不丟包。因此建議在核心交換局部采用主控和交換網(wǎng)板別離的核心交換機(jī)，提高網(wǎng)絡(luò)可靠性，使整網(wǎng)可靠性方面不存在短板。綠色環(huán)保：為了降低機(jī)房空調(diào)能耗，要求核心交換機(jī)采用豎插槽，前下部進(jìn)風(fēng)、上后部抽風(fēng)、強(qiáng)迫風(fēng)散熱形式。要求通過(guò)RoHS、CE等國(guó)際環(huán)保認(rèn)證。核心層部署IRF2.0協(xié)議將兩臺(tái)S10508虛擬化成邏輯的1臺(tái)交換機(jī)實(shí)現(xiàn)了跨S10508鏈路聚合，通過(guò)虛擬化后的邏輯設(shè)備與下行接入層交換機(jī)5830V2進(jìn)展互聯(lián)，最終實(shí)現(xiàn)了核心S10508與接入5830之間邏輯點(diǎn)對(duì)點(diǎn)連接后消除環(huán)路的同時(shí)防止部署STP和VRRP協(xié)議。接入層設(shè)計(jì)接入層交換機(jī)采用全萬(wàn)兆云平臺(tái)接入交換機(jī)H3C5830V2。未來(lái)每臺(tái)效勞器將會(huì)部署多臺(tái)虛擬資源對(duì)外響應(yīng)業(yè)務(wù)，考慮到每個(gè)業(yè)務(wù)能夠保證訪問(wèn)的帶寬要求，建議每臺(tái)計(jì)算資源效勞器與接入交換萬(wàn)兆互聯(lián)，同時(shí)每臺(tái)接入層交換機(jī)采用2個(gè)10GE接口與核心交換機(jī)相連，保證數(shù)據(jù)中心互訪的高效。網(wǎng)絡(luò)平安設(shè)計(jì)為了應(yīng)對(duì)云計(jì)算環(huán)境下的流量模型變化，平安防護(hù)體系的部署需要朝著高性能的方向調(diào)整。在本次工程的建立過(guò)程中，多條高速鏈路會(huì)聚成的大流量已經(jīng)比擬普遍，在這種情況下，平安設(shè)備必然要具備對(duì)高密度的10GE甚至100G接口的處理能力；無(wú)論是獨(dú)立的機(jī)架式平安設(shè)備，還是配合數(shù)據(jù)中心高端交換機(jī)的各種平安業(yè)務(wù)引擎，都可以根據(jù)用戶的云規(guī)模和建立思路進(jìn)展合理配置；同時(shí)，考慮到云計(jì)算環(huán)境的業(yè)務(wù)永續(xù)性，設(shè)備的部署必須要考慮到高可靠性的支持，諸如雙機(jī)熱備、配置同步、電源風(fēng)扇的冗余、鏈路捆綁聚合、硬件BYPASS等特性，真正實(shí)現(xiàn)大流量會(huì)聚情況下的根底平安防護(hù)。目前，虛擬化已經(jīng)成為云計(jì)算提供“按需效勞〞的關(guān)鍵技術(shù)手段，包括根底網(wǎng)絡(luò)架構(gòu)、存儲(chǔ)資源、計(jì)算資源以及應(yīng)用資源都已經(jīng)在支持虛擬化方面向前邁進(jìn)了一大步，只有基于這種虛擬化技術(shù)，才可能根據(jù)不同用戶的需求，提供個(gè)性化的存儲(chǔ)計(jì)算及應(yīng)用資源的合理分配，并利用虛擬化實(shí)例間的邏輯隔離實(shí)現(xiàn)不同用戶之間的數(shù)據(jù)平安。平安無(wú)論是作為根底的網(wǎng)絡(luò)架構(gòu)，還是基于平安即效勞的理念，都需要支持虛擬化，這樣才能實(shí)現(xiàn)端到端的虛擬化計(jì)算。典型的示意圖如下圖：本次工程防火墻插卡設(shè)備雖然部署在交換機(jī)框中，但仍然可以看作是一個(gè)獨(dú)立的設(shè)備。它通過(guò)交換機(jī)部的10GE接口與網(wǎng)絡(luò)設(shè)備相連，它可以部署為2層透明設(shè)備和三層路由設(shè)備。防火墻與交換機(jī)之間的三層部署方式與傳統(tǒng)盒式設(shè)備類似。如上圖FW三層部署所示，防火墻可以與宿主交換機(jī)直接建立三層連接，也可以與上游或下游設(shè)備建立三層連接，不同連接方式取決于用戶的訪問(wèn)策略。可以通過(guò)靜態(tài)路由和缺省路由實(shí)現(xiàn)三層互通，也可以通過(guò)OSPF這樣的路由協(xié)議提供動(dòng)態(tài)的路由機(jī)制。如果防火墻部署在效勞器區(qū)域，可以將防火墻設(shè)計(jì)為效勞器網(wǎng)關(guān)設(shè)備，這樣所有訪問(wèn)效勞器的三層流量都將經(jīng)過(guò)防火墻設(shè)備，這種部署方式可以提供區(qū)域部效勞器之間訪問(wèn)的平安性。防火墻是網(wǎng)絡(luò)系統(tǒng)的核心根底防護(hù)措施，它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)展網(wǎng)絡(luò)區(qū)域分割，提供基于IP地址和TCP/IP效勞端口等的訪問(wèn)控制；對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊方式，如拒絕效勞攻擊〔pingofdeath,land,synflooding,pingflooding,teardrop〕、端口掃描〔portscanning〕、IP欺騙(ipspoofing)、IP盜用等進(jìn)展有效防護(hù)；并提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MAC綁定等平安增強(qiáng)措施。對(duì)于云計(jì)算數(shù)據(jù)中心虛擬機(jī)效勞網(wǎng)關(guān)的選擇上，建議根據(jù)不同租戶的平安需求進(jìn)展區(qū)分對(duì)待，不建議將所有網(wǎng)關(guān)配置在FW上，以分散FW的壓力，滿足租戶的平安域隔離，具體設(shè)計(jì)如下：對(duì)于需要FW的業(yè)務(wù)的租戶，網(wǎng)關(guān)部署在vFW上；對(duì)于不需要FW的普通租戶，網(wǎng)關(guān)部署在核心交換機(jī)上。平安控制策略：防火墻設(shè)置為默認(rèn)拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒(méi)有明確的規(guī)則允許通過(guò)，全部拒絕以保證平安；建議在兩臺(tái)防火墻上設(shè)定嚴(yán)格的訪問(wèn)控制規(guī)則，配置只有規(guī)則允許的IP地址或者用戶能夠訪問(wèn)數(shù)據(jù)業(yè)務(wù)網(wǎng)中的指定的資源，嚴(yán)格限制網(wǎng)絡(luò)用戶對(duì)數(shù)據(jù)業(yè)務(wù)網(wǎng)效勞器的資源，以防止網(wǎng)絡(luò)用戶可能會(huì)對(duì)數(shù)據(jù)業(yè)務(wù)網(wǎng)的攻擊、非授權(quán)訪問(wèn)以及病毒的傳播，保護(hù)數(shù)據(jù)業(yè)務(wù)網(wǎng)的核心數(shù)據(jù)信息資產(chǎn)；配置防火墻防DOS/DDOS功能，對(duì)Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒絕效勞攻擊進(jìn)展防，可以實(shí)現(xiàn)對(duì)各種拒絕效勞攻擊的有效防，保證網(wǎng)絡(luò)帶寬；配置防火墻全面攻擊防能力，包括ARP欺騙攻擊的防，提供ARP主動(dòng)反向查詢、TCP報(bào)文標(biāo)志位不合法攻擊防、超大ICMP報(bào)文攻擊防、地址/端口掃描的防、ICMP重定向或不可達(dá)報(bào)文控制功能、Tracert報(bào)文控制功能、帶路由記錄選項(xiàng)IP報(bào)文控制功能等，全面防各種網(wǎng)絡(luò)層的攻擊行為；根據(jù)需要，配置IP/MAC綁定功能，對(duì)能夠識(shí)別MAC地址的主機(jī)進(jìn)展鏈路層控制，實(shí)現(xiàn)只有IP/MAC匹配的用戶才能訪問(wèn)數(shù)據(jù)業(yè)務(wù)網(wǎng)中的效勞器；其他可選策略：可以啟動(dòng)防火墻身份認(rèn)證功能，通過(guò)置數(shù)據(jù)庫(kù)或者標(biāo)準(zhǔn)Radius屬性認(rèn)證，實(shí)現(xiàn)對(duì)用戶身份認(rèn)證后進(jìn)展資源訪問(wèn)的授權(quán)，進(jìn)展更細(xì)粒度的用戶識(shí)別和控制；根據(jù)需要，在兩臺(tái)防火墻上設(shè)置流量控制規(guī)則，實(shí)現(xiàn)對(duì)效勞器訪問(wèn)流量的有效管理，有效的防止網(wǎng)絡(luò)帶寬的浪費(fèi)和濫用，保護(hù)關(guān)鍵效勞器的網(wǎng)絡(luò)帶寬；根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時(shí)間段規(guī)則，實(shí)現(xiàn)基于時(shí)間的訪問(wèn)控制，可以組合時(shí)間特性，實(shí)現(xiàn)更加靈活的訪問(wèn)控制能力；在防火墻上進(jìn)展設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段〔、日志、SNMP陷阱等〕，實(shí)現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用；啟動(dòng)防火墻日志功能，利用防火墻的日志記錄能力，詳細(xì)完整的記錄日志和統(tǒng)計(jì)報(bào)表等資料，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問(wèn)行為的有效的記錄和統(tǒng)計(jì)分析；云平臺(tái)計(jì)算資源池設(shè)計(jì)效勞器是云計(jì)算平臺(tái)的核心，其承當(dāng)著云計(jì)算平臺(tái)的“計(jì)算〞功能。對(duì)于云計(jì)算平臺(tái)上的效勞器，通常都是將一樣或者相似類型的效勞器組合在一起，作為資源分配的母體，即所謂的效勞器資源池。在這個(gè)效勞器資源池上，再通過(guò)安裝虛擬化軟件，使得其計(jì)算資源能以一種虛擬效勞器的方式被不同的應(yīng)用使用。這里所提到的虛擬效勞器，是一種邏輯概念。對(duì)不同處理器架構(gòu)的效勞器以及不同的虛擬化平臺(tái)軟件，其實(shí)現(xiàn)的具體方式不同。在*86系列的芯片上，其主要是以常規(guī)意義上的VMware虛擬機(jī)或者H3Cloud虛擬機(jī)的形式存在。在搭建效勞器資源池之前，首先應(yīng)該確定資源池的數(shù)量和種類，并對(duì)效勞器進(jìn)展歸類。歸類的標(biāo)準(zhǔn)通常是根據(jù)效勞器的處理器類型、型號(hào)、配置、物理位置來(lái)決定。對(duì)云計(jì)算平臺(tái)而言，屬于同一個(gè)資源池的效勞器，通常就會(huì)將其視為一組可互相替代的資源。所以，一般都是將一樣處理器、相近型號(hào)系列并且配置與物理位置接近的效勞器——比方相近型號(hào)、物理距離不遠(yuǎn)的機(jī)架式效勞器或者刀片效勞器。在做資源池規(guī)劃的時(shí)候，也需要考慮其規(guī)模和功用。如果單個(gè)資源池的規(guī)模越大，可以給云計(jì)算平臺(tái)提供更大的靈活性和容錯(cuò)性：更多的應(yīng)用可以部署在上面，并且單個(gè)物理效勞器的宕機(jī)對(duì)整個(gè)資源池的影響會(huì)更小些。但是同時(shí)，太大的規(guī)模也會(huì)給出口網(wǎng)絡(luò)吞吐帶來(lái)更大的壓力，各個(gè)不同應(yīng)用之間的干擾也會(huì)更大。如果有條件的話，通常推薦先審視一下自身的業(yè)務(wù)應(yīng)用?？梢钥紤]將應(yīng)用分級(jí)，將*些級(jí)別高的應(yīng)用盡可能地放在*些獨(dú)立而規(guī)模較小的資源池，輔以較高級(jí)別的存儲(chǔ)設(shè)備，并配備高級(jí)別的運(yùn)維值守。而那些級(jí)別比擬低的應(yīng)用，則可以被放在那些規(guī)模較大的公用資源池〔群〕中。初期的資源池規(guī)劃應(yīng)該涵蓋所有可能被納管到云計(jì)算平臺(tái)的所有效勞器資源，包括那些為搭建云計(jì)算平臺(tái)新購(gòu)置的效勞器、校園部那些目前閑置著的效勞器以及那些現(xiàn)有的并正在運(yùn)行著業(yè)務(wù)應(yīng)用的效勞器。在云計(jì)算平臺(tái)搭建的初期，那些目前正在為業(yè)務(wù)系統(tǒng)效勞的效勞器并不會(huì)直接被納入云計(jì)算平臺(tái)的管轄。但是隨著云計(jì)算平臺(tái)的上線和業(yè)務(wù)系統(tǒng)的逐漸遷移，這些效勞器也將逐漸地被并入云計(jì)算平臺(tái)的資源池中。對(duì)于*86系列的效勞器，除了用于生產(chǎn)系統(tǒng)的資源池以外，還需要專門(mén)搭建一個(gè)測(cè)試用資源池，以便云計(jì)算平臺(tái)工程實(shí)施過(guò)程以及平臺(tái)上線以后運(yùn)維過(guò)程中使用。在云計(jì)算平臺(tái)搭建完畢以后，效勞器資源池可以如下列圖所示：在云計(jì)算平臺(tái)上線以后，原有非云計(jì)算平臺(tái)上的應(yīng)用會(huì)逐步向云計(jì)算平臺(tái)遷移，空出的效勞器資源池也會(huì)逐漸并入云計(jì)算平臺(tái)的資源池中。其狀態(tài)可以用下列圖所示：存儲(chǔ)設(shè)計(jì)對(duì)云計(jì)算平臺(tái)存儲(chǔ)的規(guī)劃的出發(fā)點(diǎn)應(yīng)該是應(yīng)用本身。首先應(yīng)該考察每個(gè)業(yè)務(wù)應(yīng)用的優(yōu)先級(jí)，以及其對(duì)存儲(chǔ)性能、可靠性與靈活性的要求。對(duì)那些需要高性能與高可靠性的云計(jì)算應(yīng)用，原則上應(yīng)該為其或者其所在的資源池配備性能、可靠性較好的高端的存儲(chǔ)。而對(duì)于那些對(duì)靈活性要求較高的業(yè)務(wù)應(yīng)用，則應(yīng)該考慮為其或其所在的資源池配備靈活性比擬好的存儲(chǔ)虛擬化方案。如果應(yīng)用足夠重要，在設(shè)計(jì)存儲(chǔ)架構(gòu)的時(shí)候還應(yīng)該考慮存儲(chǔ)級(jí)別的備份，以對(duì)各個(gè)節(jié)點(diǎn)可能出現(xiàn)的故障做冗余。比方，可以采用雙存儲(chǔ)交換機(jī)互為熱備的形式，來(lái)防止存儲(chǔ)用光纖交換機(jī)所出現(xiàn)的故障可能。同樣，該資源池后面所拖的存儲(chǔ)，也可以采用雙存儲(chǔ)熱備的形式。為該資源池的主存儲(chǔ)購(gòu)置一個(gè)型號(hào)一樣的備用存儲(chǔ)效勞器并通過(guò)磁盤(pán)對(duì)磁盤(pán)的備份方式，對(duì)兩個(gè)存儲(chǔ)效勞器上的數(shù)據(jù)進(jìn)展同步。這樣，資源池、交換機(jī)和存儲(chǔ)效勞器的關(guān)系可以如下列圖所示：對(duì)于共享存儲(chǔ)資源池，根據(jù)具體資源池上所運(yùn)行的業(yè)務(wù)類型的特性，也可以考慮為其配備各種類型的存儲(chǔ)。對(duì)于運(yùn)行關(guān)鍵應(yīng)用的生產(chǎn)系統(tǒng)，推薦配備SAN架構(gòu)的存儲(chǔ)解決方案。而對(duì)非關(guān)鍵應(yīng)用的生產(chǎn)系統(tǒng)，可以根據(jù)預(yù)算，靈活地配備SAN、iSCSI或者NAS的存儲(chǔ)解決方案。本地存儲(chǔ)設(shè)計(jì)效勞器本地存儲(chǔ)用于安裝虛擬化平臺(tái)〔如CloudVirtualizationManager和CloudVirtualizationKernel〕和保存資源池的元數(shù)據(jù)。本地存儲(chǔ)建議配置兩塊SAS硬盤(pán)，設(shè)置為RAID-1，通過(guò)鏡像〔Mirror〕方式防止本地磁盤(pán)出現(xiàn)單點(diǎn)故障，以提高H3Cloud本身的可用性。遠(yuǎn)端共享存儲(chǔ)設(shè)計(jì)遠(yuǎn)端共享存儲(chǔ)用于保存所有虛擬機(jī)的鏡像文件以支持動(dòng)態(tài)遷移、HA和動(dòng)態(tài)負(fù)載均衡等高級(jí)功能。共享存儲(chǔ)LUN容量規(guī)劃公式如下：LUN容量=〔Z×〔*+Y〕×1.2〕Z=每LUN上駐留的虛擬機(jī)個(gè)數(shù)*=虛擬磁盤(pán)文件容量Y=存大小假設(shè)每個(gè)LUN上駐留10個(gè)虛擬機(jī)，虛擬磁盤(pán)文件容量需求平均為40GB，存容量在4～8GB之間，考慮到未來(lái)業(yè)務(wù)的擴(kuò)展性，存交換文件按8GB空間估算，整體冗余20%，則：LUN容量=〔10×〔8+40〕×1.2〕≈600GBISO庫(kù)為了虛擬機(jī)安裝配置的方便，建議配置ISO鏡像庫(kù)，可以將保存在Windows共享中的ISO格式安裝源文件通過(guò)WindowsCIFS方式掛接在H3CloudHyperCenter上，這樣，創(chuàng)立新虛擬機(jī)時(shí)不需要使用物理光驅(qū)和光盤(pán)，簡(jiǎn)化使用和提高安裝速度。虛擬化平臺(tái)設(shè)計(jì)傳統(tǒng)的虛擬機(jī)生命周期是指虛擬機(jī)從創(chuàng)立到刪除所經(jīng)歷的各個(gè)階段，最常見(jiàn)的劃分為“創(chuàng)立、運(yùn)行、終結(jié)〞三個(gè)階段。在IaaS架構(gòu)中，虛擬機(jī)作為最為重要的IT根底設(shè)施，它的生命周期貫穿于整個(gè)云業(yè)務(wù)效勞的流程之中，并直接關(guān)系著云計(jì)算平臺(tái)的資源利用狀況。因此，為了更好的將虛擬機(jī)的生命周期管理和云業(yè)務(wù)及資源平臺(tái)管理結(jié)合在一起，在H3Cloud云計(jì)算解決方案中，將虛擬機(jī)的生命周期外延為“規(guī)劃、創(chuàng)立、運(yùn)行、調(diào)整、終結(jié)〞五個(gè)階段。在云解決方案中，虛擬機(jī)生命周期的管理除了關(guān)注虛擬機(jī)正常的生命階段以外，還需要關(guān)注虛擬機(jī)兩個(gè)外延屬性——業(yè)務(wù)和資源。規(guī)劃虛擬機(jī)的規(guī)劃是IT架構(gòu)的關(guān)鍵設(shè)計(jì)疇。在這個(gè)階段需要將業(yè)務(wù)需求轉(zhuǎn)化為IT需求，并落實(shí)到業(yè)務(wù)和資源兩個(gè)方面的規(guī)劃設(shè)計(jì)中來(lái)。著重考慮兩個(gè)方面的容：業(yè)務(wù)梳理和評(píng)估通過(guò)對(duì)業(yè)務(wù)的梳理，評(píng)估各學(xué)校以及數(shù)據(jù)中心平臺(tái)各業(yè)務(wù)部門(mén)對(duì)虛擬機(jī)類型和規(guī)模的需求定義各部門(mén)組織以及給組織劃分其所屬的虛擬資源，包括計(jì)算資源，網(wǎng)絡(luò)資源，存儲(chǔ)資源以及虛擬機(jī)模板等。實(shí)際操作流程如下列圖所示：創(chuàng)立虛擬機(jī)的創(chuàng)立是虛擬機(jī)實(shí)體誕生并提供應(yīng)用戶業(yè)務(wù)的開(kāi)場(chǎng)。H3Cloud云方案提供了多種方式來(lái)創(chuàng)立虛擬機(jī)：從模板生成，自定義參數(shù)，克隆等。虛擬機(jī)創(chuàng)立時(shí)需要考慮硬件資源〔CPU數(shù)量〔核數(shù)〕&CPU調(diào)度優(yōu)先級(jí)，IO資源：存儲(chǔ)資源&IO優(yōu)先級(jí)。存大小，網(wǎng)絡(luò)資源等〕和系統(tǒng)和應(yīng)用〔操作系統(tǒng)等〕〕兩方面的容。這些因素在H3C云管理平臺(tái)中虛擬機(jī)創(chuàng)立流程中都會(huì)有涉及，具體操作界面如下列圖所示：運(yùn)行虛擬機(jī)的運(yùn)行可以實(shí)現(xiàn)完整的傳統(tǒng)物理機(jī)運(yùn)行狀態(tài)。而且依托虛擬化技術(shù)實(shí)現(xiàn)更加靈活的虛擬機(jī)使用模式：?jiǎn)?dòng)、休眠、關(guān)閉、暫停、恢復(fù)、重啟。用戶可以依托H3C云管理平臺(tái)簡(jiǎn)單的實(shí)現(xiàn)上述虛擬機(jī)的狀態(tài)的切換，具體如下列圖所示：調(diào)整虛擬機(jī)的調(diào)整是云業(yè)務(wù)管理員根據(jù)虛擬機(jī)所承載的業(yè)務(wù)的變化需求對(duì)現(xiàn)有虛擬機(jī)所占資源的主動(dòng)行為。這種調(diào)整可以是由于業(yè)務(wù)擴(kuò)展帶來(lái)的虛擬機(jī)硬件資源擴(kuò)，也可能是業(yè)務(wù)收縮后對(duì)多余資源的釋放。虛擬機(jī)的調(diào)整是云計(jì)算業(yè)務(wù)資源彈性最直觀的表達(dá)，也是云計(jì)算技術(shù)給教育業(yè)務(wù)開(kāi)展帶來(lái)敏捷性的根本所在。H3C云計(jì)算平臺(tái)可以在線的調(diào)整虛擬機(jī)所占用的系統(tǒng)資源，實(shí)際操作如下列圖所示：終結(jié)如下列圖所示，虛擬機(jī)在云計(jì)算管理平臺(tái)上被刪除，即意味著虛擬機(jī)生命周期的終結(jié)。在虛擬機(jī)生命周期終結(jié)時(shí)要關(guān)注虛擬機(jī)所占用系統(tǒng)資源的回收。H3C云管理平臺(tái)在虛擬刪除后，會(huì)自動(dòng)回收CPU和存等資源，為了保證虛擬機(jī)數(shù)據(jù)平安其所占用的存儲(chǔ)資源不會(huì)自動(dòng)回收。云平臺(tái)系統(tǒng)設(shè)計(jì)云業(yè)務(wù)工作流程在“IT即效勞〞的云計(jì)算平臺(tái)系統(tǒng)中，IT效勞的自助式提供和業(yè)務(wù)自動(dòng)化部署是云計(jì)算業(yè)務(wù)的關(guān)鍵特點(diǎn)。而上述特點(diǎn)均依賴于云業(yè)務(wù)部署流程的合理管理和業(yè)務(wù)自動(dòng)化部署的結(jié)合。通過(guò)云業(yè)務(wù)工作流程的管理，可以將云計(jì)算平臺(tái)中各功能模塊有機(jī)的結(jié)合起來(lái)。從而實(shí)現(xiàn)云計(jì)算平臺(tái)業(yè)務(wù)快速和自動(dòng)化開(kāi)展實(shí)施。云業(yè)務(wù)工作流作為一個(gè)公共根底系統(tǒng)貫穿了云平臺(tái)業(yè)務(wù)過(guò)程，最終實(shí)現(xiàn)IT效勞的對(duì)業(yè)務(wù)部門(mén)的自助式交付。H3C云計(jì)算解決方案基于Web頁(yè)面提供了完整的端到端云業(yè)務(wù)工作流程管理。其業(yè)務(wù)工作流程如下列圖所示:用戶訪問(wèn)自助門(mén)戶完成身份認(rèn)證和權(quán)鑒效勞目錄根據(jù)用戶身份〔所屬部門(mén)〕組織對(duì)應(yīng)的效勞目錄，并推送到用戶自助門(mén)戶用戶在自己對(duì)應(yīng)的效勞目錄中選擇申請(qǐng)所需的云效勞，從而啟開(kāi)工作流管理員審批用戶的效勞自助申請(qǐng)。審批通過(guò)后，啟動(dòng)業(yè)務(wù)開(kāi)啟流程，將效勞申請(qǐng)下發(fā)到編排系統(tǒng)編排系統(tǒng)根據(jù)用戶所選的效勞獲取對(duì)應(yīng)的資源屬性，自動(dòng)調(diào)用云資源管理平臺(tái)接口開(kāi)通所需的計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)資源，創(chuàng)立出用戶所申請(qǐng)的虛擬機(jī)虛擬機(jī)創(chuàng)立成功后，編排系統(tǒng)通知用戶自助門(mén)戶更新?tīng)顟B(tài)用戶正常使用虛擬機(jī)資源〔刪除虛擬機(jī)亦參照此流程〕虛擬桌面部署桌面虛擬化解決方案在不改變用戶使用習(xí)慣的前提下，將傳統(tǒng)學(xué)校用戶桌面系統(tǒng)以虛擬機(jī)的形式提供應(yīng)終端用戶。這些虛擬機(jī)運(yùn)行于云計(jì)算數(shù)據(jù)中心的虛擬計(jì)算資源池中，共享數(shù)據(jù)中心的計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)資源，從而有效的實(shí)現(xiàn)了整個(gè)教育城域網(wǎng)IT資源的彈性部署。依托云計(jì)算管理平臺(tái)和云業(yè)務(wù)工作流程，系統(tǒng)可以自動(dòng)化部署用戶自助申請(qǐng)的虛擬桌面資源，部署完成后用戶即可使用。從而極大的提升了桌面應(yīng)用的彈性和效率。另一方面，云平臺(tái)業(yè)務(wù)管理人員可以通過(guò)管理通道遠(yuǎn)程集中式管理教育系統(tǒng)各用戶的虛擬桌面系統(tǒng)。防止了管理人員上門(mén)效勞，效率低下等傳統(tǒng)桌面系統(tǒng)的問(wèn)題。綜上所述，桌面虛擬化系統(tǒng)具備有效保障關(guān)鍵數(shù)據(jù)的平安性，IT硬件資源的彈性部署，增強(qiáng)桌面系統(tǒng)的靈活性的同時(shí)，增強(qiáng)了桌面系統(tǒng)的可管理性并降低了總體擁有本錢(qián)和維護(hù)本錢(qián)。如上圖所示，為了實(shí)現(xiàn)虛擬桌面業(yè)務(wù)系統(tǒng)的搭建。云平臺(tái)業(yè)務(wù)管理員首先需要依照流程搭建好云計(jì)算業(yè)務(wù)平臺(tái)，包括計(jì)算資源池、根底網(wǎng)絡(luò)平臺(tái)、存儲(chǔ)資源池、云業(yè)務(wù)管理平臺(tái)幾個(gè)關(guān)鍵組件。值得注意的是，在設(shè)計(jì)實(shí)施云業(yè)務(wù)平臺(tái)之前，云業(yè)務(wù)管理員需要對(duì)各云平臺(tái)以及各個(gè)學(xué)校業(yè)務(wù)進(jìn)展梳理和評(píng)估。通過(guò)細(xì)分各部門(mén)、各學(xué)校的業(yè)務(wù)需求，可以根據(jù)、需求事先定制其所需的虛擬桌面類型，從而簡(jiǎn)化日常終端用戶的虛擬桌面申請(qǐng)和審批業(yè)務(wù)流程。同時(shí)，虛擬機(jī)的管理通道也需要在云業(yè)務(wù)平臺(tái)設(shè)計(jì)時(shí)充分考慮并實(shí)施。依托H3C專利技術(shù)，H3C云計(jì)算解決方案有效保障了虛擬機(jī)遷移時(shí)管理系統(tǒng)的正常運(yùn)行。H3C桌面虛擬化解決方案可以實(shí)現(xiàn)虛擬桌面的自動(dòng)化業(yè)務(wù)工作流。首先，終端用戶登錄基于WEB的自助效勞平臺(tái)，完成身份認(rèn)證和權(quán)鑒后，可以根據(jù)云業(yè)務(wù)管理員為其事先定制的虛擬桌面類型來(lái)按需選擇申請(qǐng)所需的虛擬桌面。終端用戶的申請(qǐng)審批通過(guò)后，云業(yè)務(wù)管理平臺(tái)可以自動(dòng)部署用戶所申請(qǐng)?zhí)摂M桌面，完成IT效勞的自動(dòng)化部署。用戶申請(qǐng)的虛擬桌面虛擬機(jī)創(chuàng)立完成后，云管理平臺(tái)會(huì)將更新后的用戶虛擬桌面狀態(tài)信息推送到自助效勞平臺(tái)。用戶即通過(guò)自助效勞平臺(tái)基于WEB頁(yè)面實(shí)現(xiàn)對(duì)申請(qǐng)到的虛擬桌面系統(tǒng)的正常使用。H3C用戶自助效勞業(yè)務(wù)平臺(tái)，如下列圖所示：**區(qū)教育城域網(wǎng)落成以后，可以為每個(gè)學(xué)校的教職工配發(fā)瘦客戶機(jī)取代原有的PC。教職工通過(guò)虛擬桌面的形式將自己所辦公所需要的信息和資源存放在位于區(qū)電教館的數(shù)據(jù)中心。電教館的網(wǎng)絡(luò)管理員可以為用戶制定虛擬桌面的系統(tǒng)使用權(quán)限，對(duì)其在系統(tǒng)上安裝和刪除軟件等行為進(jìn)展控制，大大增強(qiáng)了整個(gè)教育城域網(wǎng)的可管理性，有效防止了用戶亂裝軟件等行為導(dǎo)致的信息平安事件。HA功能部署傳統(tǒng)數(shù)據(jù)中心的效勞器高可靠性保障通常會(huì)選擇依賴于集群技術(shù)的部署。而云計(jì)算平臺(tái)將計(jì)算資源虛擬化以后，可以利用虛擬效勞器自身虛擬化的特點(diǎn)實(shí)現(xiàn)傳統(tǒng)物理效勞器上無(wú)法實(shí)現(xiàn)的高可靠性。為了提升云業(yè)務(wù)系統(tǒng)的可靠性，在云計(jì)算平臺(tái)的計(jì)算資源池建立時(shí)，可以將多個(gè)物理主機(jī)合并為一個(gè)具有共享資源池的集群。H3CloudVirtualizationManagerHA功能會(huì)監(jiān)控該集群下所有的主機(jī)和物理主機(jī)運(yùn)行的虛擬主機(jī)。當(dāng)物理主機(jī)發(fā)生故障，出現(xiàn)宕機(jī)時(shí)，HA功能組件會(huì)立即響應(yīng)并在集群另一臺(tái)主機(jī)上重啟該物理主機(jī)運(yùn)行的虛擬機(jī)。當(dāng)*一虛擬效勞器發(fā)生故障時(shí)，HA功能也會(huì)自動(dòng)的將該虛擬機(jī)重新啟動(dòng)來(lái)恢復(fù)中斷的業(yè)務(wù)。如下列圖所示：HA功能給教育云計(jì)算平臺(tái)帶來(lái)的價(jià)值如下：簡(jiǎn)便的設(shè)置和啟動(dòng)：使用“新建集群〞向?qū)?lái)進(jìn)展初始設(shè)置，使用H3CloudCloudVirtualizationManager虛擬化管理平臺(tái)添加主機(jī)和新的虛擬機(jī)。降低硬件本錢(qián)和設(shè)置：在傳統(tǒng)集群解決方案中，必須有重復(fù)的軟硬件，而且各個(gè)組件必須正確連接和配置。使用H3CloudVirtualizationManager集群時(shí)，只要保證有足夠的資源容納要確保其故障切換的主機(jī)的數(shù)量，就可以便捷自動(dòng)地完成主機(jī)故障切換。無(wú)論硬件和操作系統(tǒng)平臺(tái)如何，H3CCloudVirtualizationManagerHA都通過(guò)為應(yīng)用程序提供可用的、經(jīng)濟(jì)的高可靠性，而使其更“群眾化〞。動(dòng)態(tài)資源調(diào)整H3CloudVirtualizationManager提供的動(dòng)態(tài)資源調(diào)整功能可以持續(xù)不斷地監(jiān)控計(jì)算資源池的各物理主機(jī)的利用率，并能夠根據(jù)用戶業(yè)務(wù)的實(shí)際需要，智能地在計(jì)算資源池各物理主機(jī)間給虛擬機(jī)分配所需的計(jì)算資源。通過(guò)自動(dòng)的動(dòng)態(tài)分配和平衡計(jì)算資源，動(dòng)態(tài)資源調(diào)整特性能夠：整合效勞器，降低IT本錢(qián)，增強(qiáng)靈活性；減少停機(jī)時(shí)間，保持業(yè)務(wù)的持續(xù)性和穩(wěn)定性；減少需要運(yùn)行效勞器的數(shù)量，提高能源的利用率。隨著業(yè)務(wù)量的增長(zhǎng)，虛擬機(jī)對(duì)計(jì)算資源需求會(huì)相應(yīng)的迅速增加。此時(shí)其所在物理主機(jī)的可用資源可能就不能再滿足其上承載的虛擬機(jī)的計(jì)算需要。H3CloudVirtualizationManager動(dòng)態(tài)資源調(diào)整功能組件可以自動(dòng)并持續(xù)地平衡計(jì)算資源池中的容量，可以動(dòng)態(tài)的將虛擬機(jī)遷移到有更多可用計(jì)算資源的主機(jī)上，以滿足虛擬機(jī)對(duì)計(jì)算資源的需求。即便大量運(yùn)行SQLServer的虛擬機(jī)，只要開(kāi)啟了動(dòng)態(tài)資源調(diào)整功能，就不必再對(duì)CPU和存的瓶頸進(jìn)展一一監(jiān)測(cè)。全自動(dòng)化的資源分配和負(fù)載平衡功能，也可以顯著地提升數(shù)據(jù)中心計(jì)算資源的利用效率，降低數(shù)據(jù)中心的本錢(qián)與運(yùn)營(yíng)費(fèi)用。如上圖所示，動(dòng)態(tài)資源調(diào)整功能通過(guò)心跳機(jī)制，定時(shí)監(jiān)測(cè)集群主機(jī)的CPU利用率，并根據(jù)用戶自定義的規(guī)則來(lái)判斷是否需要為該主機(jī)在集群尋找有更多可用資源的主機(jī)，以將該主機(jī)上的虛擬機(jī)遷移到另外一臺(tái)具有更多適宜資源的效勞器上。虛擬機(jī)備份隨著云平臺(tái)對(duì)IT信息化系統(tǒng)的依賴加深，業(yè)務(wù)系統(tǒng)備份是必不可少的組件。相應(yīng)的，在云計(jì)算平臺(tái)中，針對(duì)計(jì)算資源池中虛擬機(jī)備份也至關(guān)重要。H3CloudVirtualizationManager實(shí)現(xiàn)了透明的定時(shí)備份和即時(shí)備份功能，會(huì)在暫停虛擬機(jī)中的應(yīng)用程序之后，為正在運(yùn)行的虛擬機(jī)創(chuàng)立快照，從而對(duì)備份工作進(jìn)展集中處理，以確保文件系統(tǒng)的一致性。如下列圖所示，H3CloudVirtualizationManager的備份特性是一種高效而低本錢(qián)的災(zāi)難恢復(fù)特性，它將給用戶帶來(lái)如下價(jià)值：基于磁盤(pán)的備份功能，為虛擬機(jī)提供快速、簡(jiǎn)單的數(shù)據(jù)保護(hù)無(wú)需額外代理的備份，簡(jiǎn)化了部署復(fù)雜度支持全自動(dòng)的定時(shí)備份和手工干預(yù)的即時(shí)備份，滿足不同的應(yīng)用要求云通道建立——城域網(wǎng)/校校通方案需求分析**區(qū)教育局下屬14所中學(xué)、35所小學(xué)、6所幼兒園和6所直屬單位，目前各學(xué)?，F(xiàn)有的網(wǎng)絡(luò)環(huán)境為各學(xué)校擁有自己的網(wǎng)絡(luò)出口，學(xué)校通過(guò)公網(wǎng)訪問(wèn)教育局資源。隨著信息技術(shù)高速開(kāi)展以及教育信息化進(jìn)度不斷推進(jìn)，未來(lái)各學(xué)校和教育機(jī)構(gòu)之間將有越來(lái)越多的資源需要整合、開(kāi)放、共享，最終形成一個(gè)互聯(lián)、互動(dòng)、信息交換、資源共享和遠(yuǎn)程教育的根底架構(gòu)。未來(lái)各學(xué)校將會(huì)開(kāi)展遠(yuǎn)程教學(xué)、多媒體網(wǎng)絡(luò)教室、電子書(shū)包等多種業(yè)務(wù)應(yīng)用。一旦這些業(yè)務(wù)上線，**區(qū)教育系統(tǒng)現(xiàn)有的網(wǎng)絡(luò)架構(gòu)將會(huì)暴露出帶寬低、可靠性差、平安性低、管理困難等一些列問(wèn)題。因此，**區(qū)教育系統(tǒng)需要對(duì)網(wǎng)絡(luò)架構(gòu)進(jìn)展升級(jí)，通過(guò)組建教育城域網(wǎng)的方式提高網(wǎng)絡(luò)的性能、可靠性和平安性。同時(shí)，將各學(xué)校和教育局通過(guò)專網(wǎng)互聯(lián)，并統(tǒng)一網(wǎng)絡(luò)出口，可以大大簡(jiǎn)化網(wǎng)絡(luò)的管理難度。鏈路選擇目前，能夠?yàn)?*區(qū)教育城域網(wǎng)提供鏈路資源的有四家運(yùn)營(yíng)商，每家運(yùn)營(yíng)商采用的技術(shù)和所需費(fèi)用都不盡一樣。無(wú)論運(yùn)營(yíng)商采用什么技術(shù)，對(duì)學(xué)校而言，只要運(yùn)營(yíng)商能為每個(gè)學(xué)校提供一個(gè)到教育局的專用二層鏈路,保證帶寬即可。方案設(shè)計(jì)**區(qū)教育城域網(wǎng)的整體拓?fù)淙缦铝袌D所示，其中紅框局部為校校通平臺(tái)：接入層網(wǎng)絡(luò)設(shè)計(jì)**區(qū)教育城域網(wǎng)的校校通平臺(tái)為核心到接入的兩層架構(gòu)。其中接入層局部即每個(gè)學(xué)校的網(wǎng)絡(luò)，這一局部保持學(xué)?，F(xiàn)有的網(wǎng)絡(luò)構(gòu)造不變，在此根底上在每個(gè)學(xué)校的出口增加一臺(tái)統(tǒng)一威脅網(wǎng)關(guān)U200作為學(xué)校的出口網(wǎng)關(guān)，負(fù)責(zé)每個(gè)學(xué)校部系統(tǒng)的平安防護(hù)、用戶的帶寬控制、頁(yè)面過(guò)濾、應(yīng)用層過(guò)濾等。U200不僅能夠全面有效的保證用戶網(wǎng)絡(luò)的平安，還支持SNMP和TR-069網(wǎng)管方式，最大化減少設(shè)備運(yùn)營(yíng)本錢(qián)和維護(hù)復(fù)雜性。除了根本的防火墻功能外，管理員通過(guò)U200可以對(duì)每個(gè)學(xué)校的網(wǎng)絡(luò)實(shí)現(xiàn)以下管理：病毒防護(hù)：采用Kaspersky公司的流引擎查毒技術(shù)，從而迅速、準(zhǔn)確查殺網(wǎng)絡(luò)流量中的病毒等惡意代碼。垃圾防護(hù)：可以攔截垃圾，凈化系統(tǒng)，解決垃圾對(duì)正常工作的干擾問(wèn)題。URL過(guò)濾：實(shí)現(xiàn)基于用戶的URL訪問(wèn)控制，防止因?yàn)g覽惡意或未授權(quán)的(如網(wǎng)絡(luò)釣魚(yú)攻擊)而帶來(lái)的平安威脅。流量管理：能準(zhǔn)確檢測(cè)BitTorrent、Thunder〔迅雷〕、QQ等P2P/IM應(yīng)用，提供告警、限速、干擾或阻斷等多種方式，保障網(wǎng)絡(luò)核心業(yè)務(wù)正常應(yīng)用。行為審計(jì)：可對(duì)各種P2P/IM、網(wǎng)絡(luò)游戲、和數(shù)據(jù)傳輸?shù)刃袨樘峁┘?xì)致的監(jiān)控和記錄，實(shí)現(xiàn)細(xì)粒度的網(wǎng)絡(luò)行為審計(jì)管理。通過(guò)以上管理手段，管理員能夠保證學(xué)校部網(wǎng)絡(luò)的平安性，有效利用學(xué)校出口帶寬，同時(shí)對(duì)用戶上網(wǎng)行為進(jìn)展管理和記錄，以便于網(wǎng)絡(luò)平安事件發(fā)生后的審計(jì)。核心層網(wǎng)絡(luò)設(shè)計(jì)城域網(wǎng)的核心層局部采用“兩網(wǎng)一核心〞的建立思路：城域網(wǎng)和數(shù)據(jù)中心共用一套網(wǎng)絡(luò)核心，即采用兩臺(tái)S10508核心交換機(jī)，通過(guò)IRF2技術(shù)虛擬成一臺(tái)設(shè)備，作為整個(gè)網(wǎng)絡(luò)的核心。H3CS10500系列交換機(jī)采用了先進(jìn)的CLOS架構(gòu)，每一臺(tái)交換機(jī)都有兩個(gè)核心的處理平面，即控制平面和業(yè)務(wù)處理平面?？刂破矫嬷饕芍骺匕濉⒔涌诎迳系目刂茊卧獦?gòu)成，完成協(xié)議處理、路由表維護(hù)、數(shù)據(jù)配置和設(shè)備管理等控制功能。業(yè)務(wù)處理平面主要由接口板上的高速業(yè)務(wù)處理單元〔ASIC芯片〕和集成在交換網(wǎng)板板上的交換網(wǎng)構(gòu)成，具備業(yè)務(wù)處理、報(bào)文交換和報(bào)文轉(zhuǎn)發(fā)等功能?？刂仆ǖ溃航涌诎?、網(wǎng)板通過(guò)專用通道分別連到主備控制板上的管理模塊。實(shí)現(xiàn)雙主控1＋1、多交換網(wǎng)N＋1的熱備份，提高系統(tǒng)的可靠性。業(yè)務(wù)通道：交換網(wǎng)芯片置于交換網(wǎng)板，接口板通過(guò)高速通道分別連到交換網(wǎng)板上的交換網(wǎng)?？刂破矫婧蜆I(yè)務(wù)處理平面相互獨(dú)立，互不影響，如下列圖所示。采用這樣主控板與交換網(wǎng)板別離的架構(gòu)，大大提高了設(shè)備性能的可擴(kuò)展性，如果未來(lái)需要提高核心交換機(jī)的性能，無(wú)需更換機(jī)箱和引擎，只需升級(jí)交換網(wǎng)板即可。同時(shí)提高了設(shè)備的可靠性，由于主控板和交換板別離，即使在主控板故障的情況下，現(xiàn)有的業(yè)務(wù)流量仍能通過(guò)交換網(wǎng)板繼續(xù)轉(zhuǎn)發(fā)。采用IRF2虛擬化技術(shù)后，網(wǎng)絡(luò)核心構(gòu)造變得更簡(jiǎn)單、更可靠、更高效。更簡(jiǎn)單網(wǎng)絡(luò)簡(jiǎn)化需要解決網(wǎng)絡(luò)構(gòu)造的簡(jiǎn)化，網(wǎng)絡(luò)業(yè)務(wù)的簡(jiǎn)化，以及管理維護(hù)的簡(jiǎn)化這三方面的問(wèn)題。通過(guò)在從核心到接入的整網(wǎng)部署IRF2技術(shù)，多臺(tái)物理設(shè)備虛擬成一臺(tái)統(tǒng)一的邏輯設(shè)備，不但網(wǎng)絡(luò)構(gòu)造簡(jiǎn)單清晰，原先需要每臺(tái)設(shè)備逐一配置，現(xiàn)在只需配置一次即可，大大簡(jiǎn)化了設(shè)備的管理維護(hù)。此外，相比傳統(tǒng)網(wǎng)絡(luò)生成樹(shù)+VRRP的部署方式，啟用IRF2以后，二層不再需要配置生成樹(shù)，也不再需要復(fù)雜的生成樹(shù)多實(shí)例的規(guī)劃，三層不再需要配置VRRP，不再需要復(fù)雜的路由規(guī)劃和大量的IP地址消耗，從而簡(jiǎn)化了網(wǎng)絡(luò)業(yè)務(wù)。更可靠IRF的高可靠性表達(dá)在鏈路級(jí)、協(xié)議級(jí)和設(shè)備級(jí)三個(gè)方面。鏈路級(jí)：成員設(shè)備之間的物理端口支持聚合功能，IRF系統(tǒng)和上、下層設(shè)備之間的物理連接也支持聚合功能，這樣，通過(guò)多鏈路備份提高了鏈路的可靠性。協(xié)議級(jí)：IRF系統(tǒng)提供實(shí)時(shí)的協(xié)議熱備份功能，負(fù)責(zé)將協(xié)議的配置信息備份到其他所有的成員設(shè)備，從而實(shí)現(xiàn)1：N的協(xié)議可靠性。設(shè)備級(jí)：IRF系統(tǒng)由多臺(tái)成員設(shè)備組成，Master設(shè)備負(fù)責(zé)系統(tǒng)的運(yùn)行、管理和維護(hù)，Slave設(shè)備在作為備份的同時(shí)也可以處理業(yè)務(wù)。一旦Master設(shè)備故障，系統(tǒng)會(huì)迅速自動(dòng)選舉新的Master，以保證通過(guò)系統(tǒng)的業(yè)務(wù)不中斷，從而實(shí)現(xiàn)了設(shè)備級(jí)的1：N備份。相比傳統(tǒng)的二層生成樹(shù)技術(shù)和三層的VRRP技術(shù)，其收斂時(shí)間從N秒級(jí)縮短到毫秒級(jí)。更高效：對(duì)高端交換機(jī)而言，性能和端口密度的提升會(huì)受到其硬件構(gòu)造的限制，而IRF系統(tǒng)的性能和端口密度是IRF部所有設(shè)備性能和端口數(shù)量的總和。因此，IRF技術(shù)能夠輕易的將設(shè)備的核心交換能力、用戶端口的密度擴(kuò)大數(shù)倍，從而大幅度提高單臺(tái)設(shè)備的性能。此外傳統(tǒng)的生成樹(shù)等技術(shù)為了防止環(huán)路的發(fā)生，會(huì)采用阻斷一條鏈路的方式，而IRF2可以通過(guò)跨設(shè)備聚合等特性，讓原本“Active-standby〞的工作模式，轉(zhuǎn)變成為負(fù)載分擔(dān)的模式，從而提高整網(wǎng)的運(yùn)行效率。城域網(wǎng)的核心層設(shè)計(jì)在保證了高性能和高可靠性的根底上，還充分考慮了網(wǎng)絡(luò)的平安性。本方案過(guò)在S10508交換機(jī)上部署防火墻插卡、IPS插卡和應(yīng)用控制網(wǎng)卡插卡的方式，對(duì)整個(gè)城域網(wǎng)的用戶和數(shù)據(jù)中心進(jìn)展統(tǒng)一平安防護(hù)。出口區(qū)域網(wǎng)絡(luò)設(shè)計(jì)**區(qū)教育城域網(wǎng)采用統(tǒng)一出口的方式組網(wǎng)，在區(qū)電教館申請(qǐng)兩條出口鏈路，一條連接到市教育城域網(wǎng)，一條連接到internet。每個(gè)學(xué)校或教育單位用戶訪問(wèn)教育網(wǎng)或互聯(lián)網(wǎng)的流量最終都匯總到這兩條鏈路上。該處選用H3CSR6600路由器作為出口路由器。作為教育城域網(wǎng)的出口路由器，需要的不是復(fù)雜的路由協(xié)議和大規(guī)格的路由表項(xiàng)，而是強(qiáng)大的NAT能力。SR6602-*憑借其先進(jìn)的多核高性能處理技術(shù)，提供專門(mén)的核處理NAT轉(zhuǎn)發(fā)。當(dāng)并發(fā)200萬(wàn)NAT連接時(shí)，256字節(jié)以及IMI*互聯(lián)網(wǎng)混合報(bào)文的NAT轉(zhuǎn)發(fā)性能超過(guò)10Gbps?？梢猿浞譂M足**區(qū)教育城域網(wǎng)對(duì)出口網(wǎng)關(guān)設(shè)備的性能要求。除了對(duì)NAT性能的高要求外，**區(qū)教育城域網(wǎng)出口面臨的另一個(gè)問(wèn)題是出口鏈路帶寬的充分利用問(wèn)題。教育城域網(wǎng)落成以后將不只擁有一個(gè)公網(wǎng)出口，如何充分利用這些出口帶寬，從而提高整個(gè)城域網(wǎng)用戶的上網(wǎng)體驗(yàn)是本次建網(wǎng)必須考慮的問(wèn)題。這里涉及到兩種情況：第一種情況是在幾條不同的運(yùn)營(yíng)商鏈路之間，傳統(tǒng)的出口設(shè)備工作方式是基于目的地址來(lái)進(jìn)展選路。而由于中國(guó)運(yùn)營(yíng)商開(kāi)展現(xiàn)狀的南北差異，中國(guó)電信在南方擁有的網(wǎng)絡(luò)資源較多，導(dǎo)致用戶訪問(wèn)公網(wǎng)時(shí)大局部流量將從電信的鏈路流出，中國(guó)聯(lián)通的鏈路多數(shù)情況下處于空閑狀態(tài)。這樣就會(huì)使得一方面電信鏈路擁塞，用戶訪問(wèn)網(wǎng)絡(luò)不暢，一方面聯(lián)通鏈路空閑，造成資源浪費(fèi)。第二種情況是在同一運(yùn)營(yíng)商的鏈路之間，例如**區(qū)教育城域網(wǎng)申請(qǐng)了300M的電信帶寬，中國(guó)電信以1條200M和1條100M兩條出口鏈路的方式提供了300M帶寬。此時(shí)由于用戶訪問(wèn)的目的地址都是電信地址，出口設(shè)備無(wú)法判斷數(shù)據(jù)是從鏈路1走還是從鏈路2走，此時(shí)路由器會(huì)在兩條鏈路之間進(jìn)展負(fù)載均衡，而一旦出口流量過(guò)大，就會(huì)導(dǎo)致一條鏈路擁塞，進(jìn)而影響用戶上網(wǎng)。這對(duì)以上兩種情況，本方案采用的出口網(wǎng)關(guān)設(shè)備SR6602-*路由器擁有鏈路負(fù)載均衡功能，利用加權(quán)負(fù)載均衡、動(dòng)態(tài)鏈路檢測(cè)等多種算法，有效的將流量按需分配到多條鏈路上，充分利用所有鏈路的資源，從而提升用戶對(duì)網(wǎng)絡(luò)的使用體驗(yàn)。城域網(wǎng)行為審計(jì)設(shè)計(jì)**區(qū)教育成語(yǔ)落成后，所屬圍的所有中小學(xué)用戶都將使用該網(wǎng)絡(luò)訪問(wèn)教育網(wǎng)和公網(wǎng)的資源。根據(jù)"互聯(lián)網(wǎng)平安保護(hù)技術(shù)措施規(guī)定〔公安部令第82號(hào)〕"規(guī)定，互聯(lián)網(wǎng)效勞提供者和聯(lián)網(wǎng)使用單位應(yīng)當(dāng)對(duì)網(wǎng)絡(luò)的平安保護(hù)負(fù)責(zé)，其中包括網(wǎng)絡(luò)攻擊防、數(shù)據(jù)庫(kù)容災(zāi)、網(wǎng)絡(luò)使用人員的信息記錄等。因此，對(duì)用戶的上網(wǎng)行為審計(jì)是本次建立城域網(wǎng)時(shí)必須考慮的因素。本方案對(duì)用戶上網(wǎng)行為提供了兩級(jí)審計(jì)功能，如下列圖所示：拓?fù)鋱D第一級(jí)的行為審計(jì)設(shè)立在每個(gè)學(xué)校的出口網(wǎng)關(guān)U200上。U200可對(duì)各種P2P/IM、網(wǎng)絡(luò)游戲、和數(shù)據(jù)傳輸?shù)刃袨樘峁┘?xì)致的監(jiān)控和記錄，實(shí)現(xiàn)細(xì)粒度的網(wǎng)絡(luò)行為審計(jì)管理。每個(gè)學(xué)校的管理員可以通過(guò)免費(fèi)發(fā)放給學(xué)校的UTMManager管理系統(tǒng)Mini版管理自己學(xué)校的出口設(shè)備，審計(jì)用戶的上網(wǎng)行為，一旦出現(xiàn)信息平安事件，可以根據(jù)有關(guān)部門(mén)提供的時(shí)間和IP地址以及違規(guī)的上網(wǎng)行為定位到責(zé)任人。電教館的網(wǎng)絡(luò)管理員可以通過(guò)部署在電教館的UTMManager管理系統(tǒng)對(duì)全區(qū)的UTM設(shè)備進(jìn)展統(tǒng)一管理，統(tǒng)一規(guī)劃。第二級(jí)行為審計(jì)設(shè)立在城域網(wǎng)的核心，通過(guò)S10508上的應(yīng)用網(wǎng)關(guān)插卡來(lái)實(shí)現(xiàn)對(duì)全網(wǎng)用戶的行為審計(jì)。S10508的應(yīng)用網(wǎng)關(guān)ACG插卡具備實(shí)時(shí)的應(yīng)用流量監(jiān)控和用戶上網(wǎng)行為審計(jì)兩大功能。管理員可以通過(guò)ACG實(shí)現(xiàn)對(duì)整網(wǎng)業(yè)務(wù)流量的實(shí)時(shí)監(jiān)控，可基于整網(wǎng)、區(qū)域、業(yè)務(wù)類型〔如P2P類、游戲類〕、用戶/用戶組等，實(shí)時(shí)分析網(wǎng)絡(luò)應(yīng)用流量趨勢(shì)、流量組成、Top用戶流量、Top業(yè)務(wù)分布等，通過(guò)實(shí)時(shí)了解當(dāng)前網(wǎng)絡(luò)應(yīng)用流量的明細(xì)信息，利于管理員直觀的了解最新網(wǎng)絡(luò)流量狀況，監(jiān)控突發(fā)異常流量，并做出快速排查，確保整網(wǎng)網(wǎng)絡(luò)業(yè)務(wù)的有序運(yùn)行。除此之外，管理員還可以通過(guò)ACG對(duì)用戶Web應(yīng)用、FTP傳輸、交互、IM聊天等各種上網(wǎng)應(yīng)用提供全方面的行為監(jiān)控和記錄；同時(shí)，通過(guò)綜合分析、檢測(cè)用戶網(wǎng)絡(luò)流量與流向趨勢(shì)，對(duì)歷史數(shù)據(jù)進(jìn)展分析，為用戶提供細(xì)粒度的網(wǎng)絡(luò)應(yīng)用審計(jì)管理系統(tǒng)，準(zhǔn)確跟蹤、定位用戶的網(wǎng)絡(luò)行為。同時(shí)，ACG通過(guò)和本方案提供的身份認(rèn)證系統(tǒng)EAD對(duì)接，可以實(shí)現(xiàn)基于用戶身份的流量分析、流量統(tǒng)計(jì)與審計(jì)的管理，有效解決動(dòng)態(tài)IP分配難以定位到上網(wǎng)用戶的問(wèn)題。管理員通過(guò)本方案管理區(qū)部署的iMCSecCenter組件，對(duì)所有的U200和ACG設(shè)備進(jìn)展統(tǒng)一的設(shè)備管理和記錄分析，多點(diǎn)檢測(cè)、多點(diǎn)核實(shí)，最終實(shí)現(xiàn)平安事件定位到人。云接入建立——班班通方案需求分析隨著信息技術(shù)的不斷開(kāi)展，包括多媒體教室逐漸普及，教育網(wǎng)絡(luò)的建立已經(jīng)開(kāi)場(chǎng)不滿足于為教職工提供網(wǎng)絡(luò)效勞，而是開(kāi)場(chǎng)轉(zhuǎn)向效勞課堂教學(xué)。多媒體教室利用資源公共效勞平臺(tái)的優(yōu)質(zhì)教學(xué)資源，基于電子書(shū)包、電子白板等終端的使用，在課堂上開(kāi)展互動(dòng)式教學(xué)、興趣教學(xué)的容。電子書(shū)包終端通常以平板電腦的方式呈現(xiàn)，人手一本，因此在班級(jí)建立無(wú)線網(wǎng)絡(luò)成為班班通的重要容，也使得中小學(xué)在教學(xué)模式和管理模式上更加多樣化；網(wǎng)絡(luò)方案設(shè)計(jì)無(wú)線方案拓?fù)淙缦铝袌D所示：本方案采用瘦AP架構(gòu)，分布式AC的管理方式。具體而言是在每個(gè)學(xué)校都采用瘦AP架構(gòu)：在辦公區(qū)、教學(xué)區(qū)的走廊或房間部署802.11N的AP，負(fù)責(zé)用戶的無(wú)線接入，在校園網(wǎng)的核心處部署分支無(wú)線控制器，負(fù)責(zé)對(duì)全校AP的統(tǒng)一管理。H3C無(wú)線技術(shù)特點(diǎn)：智能天線：H3C創(chuàng)新推出終端感性型智能天線,室AP置4個(gè)天線陣子,可形成16種波形,基于特征和協(xié)議的射頻優(yōu)化，不同距離、不同場(chǎng)景的針對(duì)性智能覆蓋，覆蓋距離更遠(yuǎn)，信號(hào)強(qiáng)度更強(qiáng)更穩(wěn)定，吞吐量更高。頻譜分析防護(hù)：頻譜分析技術(shù)可實(shí)現(xiàn)對(duì)低層頻譜的檢測(cè),可以分析報(bào)告出2.4G及5G頻譜圍的非WiFi設(shè)備干擾,可100%確定干擾源,包括2.4G跳頻攝像頭,無(wú)繩,藍(lán)牙,微波爐,2.4G跳頻基站或其他設(shè)備等；通過(guò)無(wú)線AP自帶的RF監(jiān)測(cè)硬件，可實(shí)現(xiàn)全覆蓋區(qū)的射頻質(zhì)量分析、避讓、存儲(chǔ)、追溯、回放等。針對(duì)國(guó)無(wú)線校園、無(wú)線醫(yī)院等場(chǎng)景優(yōu)化的RRM算法，可以實(shí)現(xiàn)更精準(zhǔn)的信道干擾感知與射頻調(diào)整能力。不同業(yè)務(wù)應(yīng)用識(shí)別與Qos保障：多媒體、語(yǔ)音等業(yè)務(wù)在無(wú)局域網(wǎng)中的應(yīng)用，使得原本緊的無(wú)線空口資源更加捉襟見(jiàn)肘。由于空口資源的特殊性，傳統(tǒng)有線網(wǎng)絡(luò)的QoS技術(shù)無(wú)法直接應(yīng)用在無(wú)線局域網(wǎng)中。IEEE802.11e標(biāo)準(zhǔn)的引入，解決了此問(wèn)題。作為802.11e標(biāo)準(zhǔn)的前身和子集的WMM標(biāo)準(zhǔn)，提供了根本的無(wú)線QoS解決方案，可以實(shí)現(xiàn)高速突發(fā)數(shù)據(jù)和流量分級(jí)。但是，802.11e只解決了無(wú)線空口的QoS，沒(méi)有解決如何在全網(wǎng)，包括AP－AC間的有線網(wǎng)絡(luò)實(shí)現(xiàn)端到端的QoS。H3C無(wú)線產(chǎn)品端到端的QoS解決方案不僅解決了無(wú)線接入點(diǎn)和無(wú)線用戶直接在無(wú)線介質(zhì)上的QoS，而且還通過(guò)將無(wú)線用戶的優(yōu)先級(jí)映射到AP－AC間的CAPWAP隧道上，保證了AP－AC間無(wú)線用戶的QoS。同時(shí)，作為增強(qiáng)，還實(shí)現(xiàn)了AP限速以限制通過(guò)CAPWAP隧道到達(dá)AP的數(shù)據(jù)流量。只要在報(bào)文進(jìn)入AC的接口進(jìn)展映射處理，之后設(shè)備會(huì)自動(dòng)在轉(zhuǎn)化為802.11報(bào)文的時(shí)候?qū)⒈镜貎?yōu)先級(jí)轉(zhuǎn)化為WMM的優(yōu)先級(jí)。具有QoS能力的STATION和無(wú)線接入點(diǎn)AP之間，通訊各方采用EDCA競(jìng)爭(zhēng)無(wú)線信道；無(wú)線接入點(diǎn)AP和無(wú)線控制器AC之間建立有CAPWAP隧道，通過(guò)配置端口信任模式和映射關(guān)系，可以實(shí)現(xiàn)無(wú)線802.11e優(yōu)先級(jí)與CAPWAP隧道外層的IP置DSCP和802.1p優(yōu)先級(jí)的相互映射關(guān)系，從而保證AP和AC之間的QoS效果。此外，無(wú)線控制器AC及有線網(wǎng)絡(luò)中其他設(shè)備上還可以設(shè)置流分類、優(yōu)先級(jí)標(biāo)記、流量限速、隊(duì)列調(diào)度等靈活的QoS策略，從而實(shí)現(xiàn)全網(wǎng)QoS的定制。下一代無(wú)線網(wǎng)絡(luò)〔IPV6〕全面支持：IPV4地址已經(jīng)目前是通過(guò)技術(shù)手段來(lái)人為延長(zhǎng)v4壽命；純粹IPv6透?jìng)鞑荒軡M足教學(xué)科研需求，將來(lái)也是信息孤島。支持IPv4/v6雙協(xié)議棧，全面支持IPv6已是必然。H3C所有無(wú)線產(chǎn)品支持IPv6Portal、IPv6SAVI、CAPWAPOverIPv6、ACL6、DNS6、TraceRT6、Telnet6等技術(shù)。智能無(wú)感知認(rèn)證：能夠進(jìn)展無(wú)感知認(rèn)證準(zhǔn)入，準(zhǔn)入后可以對(duì)移動(dòng)終端定制區(qū)別于“固定終端〞不同的策略.首次認(rèn)證后下次無(wú)需再次認(rèn)證即可入網(wǎng).綠色環(huán)保：所有AP采用專業(yè)綠色低碳設(shè)計(jì)，支持動(dòng)態(tài)MIMO省電模式(DMPS)與增強(qiáng)型自動(dòng)省電傳送(E-APSD)，智能辨識(shí)終端實(shí)際性能需求，合理化調(diào)配終端休眠隊(duì)列，動(dòng)態(tài)調(diào)整MIMO工作模式。支持GreenAP模式，實(shí)現(xiàn)單天線待機(jī)，節(jié)能更精準(zhǔn)。通過(guò)創(chuàng)新性的逐包功率控制(PPC)技術(shù)，在確保報(bào)文能成功傳輸?shù)那疤嵯聞?dòng)態(tài)調(diào)節(jié)AP設(shè)備和客戶端直接的雙向功率，以到達(dá)減少設(shè)備能耗和延長(zhǎng)移動(dòng)終端待機(jī)時(shí)間的作用。身份認(rèn)證方案設(shè)計(jì)通過(guò)以上云數(shù)據(jù)中心、運(yùn)通道以及云平臺(tái)的建立，**區(qū)教育城域網(wǎng)將建成一個(gè)教職工以及學(xué)生可以隨時(shí)隨地獲取教育資源的網(wǎng)絡(luò)，極大的方便了教學(xué)工作展開(kāi)的同時(shí)也帶來(lái)一些隱患：一、部網(wǎng)絡(luò)終端缺乏網(wǎng)絡(luò)用戶識(shí)別、準(zhǔn)入機(jī)制A．任何外來(lái)人員或客戶只要將計(jì)算機(jī)插入網(wǎng)線，就可以進(jìn)入部網(wǎng)絡(luò)各個(gè)區(qū)域，其中沒(méi)有任何身份的認(rèn)證和平安措施，如知道相關(guān)應(yīng)用系統(tǒng)的及密碼，就可以訪問(wèn)相關(guān)的應(yīng)用數(shù)據(jù)，對(duì)整個(gè)網(wǎng)絡(luò)和應(yīng)用造成很大的平安威脅。網(wǎng)絡(luò)的終端全部都是基于工作組的模式，沒(méi)有進(jìn)展網(wǎng)絡(luò)域的集中管理模式和相關(guān)的策略性的定義。對(duì)正常接入的PC沒(méi)有進(jìn)展安康性的檢查和指導(dǎo)用戶進(jìn)展修復(fù)，以及不能對(duì)達(dá)不到平安要求的PC采取隔離措施二、終端平安管理的平安防護(hù)控制措施缺乏，也沒(méi)有集中管控、審計(jì)和標(biāo)準(zhǔn)化等手段進(jìn)展管理A、無(wú)法確保這些終端是否安裝了防病毒軟件、更新了系統(tǒng)補(bǔ)丁和病毒代碼，現(xiàn)時(shí)的終端的防病軟件部署率底，防病毒軟件也不統(tǒng)一，時(shí)常發(fā)生感染病毒、間諜軟件等的問(wèn)題，存在很大的平安隱患；B、用戶是否安裝了必須使用的軟件，是否安裝了非工作使用的軟件，硬件配置，軟件配置，年終盤(pán)點(diǎn)的報(bào)表和信息的收集，都無(wú)法進(jìn)展確認(rèn)和收集；C、現(xiàn)時(shí)對(duì)網(wǎng)絡(luò)部出現(xiàn)的任何平安問(wèn)題都無(wú)法及時(shí)發(fā)現(xiàn)、追蹤和審計(jì)。鑒于以上兩點(diǎn)，我們需要在完成城域網(wǎng)資源中心和根底網(wǎng)絡(luò)建立的同時(shí)，建立一套用戶身份和接入設(shè)備的區(qū)分機(jī)制，以保障城域網(wǎng)的信息平安。在這個(gè)背景下，本方案采用終端準(zhǔn)入控制系統(tǒng)EAD，負(fù)責(zé)對(duì)全網(wǎng)用戶進(jìn)展身份認(rèn)證和終端的準(zhǔn)入控制。該方案具有網(wǎng)絡(luò)準(zhǔn)入控制、終端平安管理和桌面及資產(chǎn)管理三大功能。在有線接入的網(wǎng)絡(luò)環(huán)境中，將接入層設(shè)備作為平安準(zhǔn)入控制點(diǎn)，對(duì)試圖接入網(wǎng)絡(luò)的用戶終端進(jìn)展平安檢查，強(qiáng)制用戶終端進(jìn)展防病毒、操作系統(tǒng)補(bǔ)丁等企業(yè)定義的平安策略檢查，防止非法用戶和不符合企業(yè)平安策略的終端接入網(wǎng)絡(luò)，降低病毒、蠕蟲(chóng)等平安威脅在企業(yè)擴(kuò)散的風(fēng)險(xiǎn)。由于接入層交換機(jī)對(duì)端口部署了802.1*認(rèn)證，所有非法用戶將不能訪問(wèn)企業(yè)部網(wǎng)絡(luò)。并且認(rèn)證通過(guò)前，用戶終端之間無(wú)法實(shí)現(xiàn)互訪。合法用戶接入網(wǎng)絡(luò)后，其訪問(wèn)權(quán)限受接入交換機(jī)中的ACL控制。特定的效勞器只能由被授權(quán)的用戶訪問(wèn)。合法用戶接入網(wǎng)絡(luò)后，其互訪權(quán)限受接入交換機(jī)中的VLAN控制。不同角色的用戶分屬不同的VLAN，跨VLAN的用戶不能互訪〔受組網(wǎng)方式限制〕。用戶正常接入網(wǎng)絡(luò)前，必須通過(guò)平安客戶端的平安檢查，確保沒(méi)有感染病毒且病毒庫(kù)版本和補(bǔ)丁得到及時(shí)升級(jí)。降低了病毒和遠(yuǎn)程攻擊對(duì)企業(yè)網(wǎng)帶來(lái)的平安風(fēng)險(xiǎn)。通過(guò)使用iNode客戶端，可對(duì)用戶的終端使用行為進(jìn)展嚴(yán)格管理，比方制止設(shè)置代理效勞器、禁用雙網(wǎng)卡、制止撥號(hào)等。在無(wú)線網(wǎng)絡(luò)環(huán)境中，在無(wú)線控制器上進(jìn)展Portal認(rèn)證，在無(wú)線用戶通過(guò)身份認(rèn)證之前，只能訪問(wèn)無(wú)線控制上指定的資源。合法用戶接入網(wǎng)絡(luò)后，其訪問(wèn)權(quán)限受在無(wú)線控制器上下發(fā)的基于用戶的ACL控制。特定的效勞器只能由被授權(quán)的用戶訪問(wèn)。用戶正常接入網(wǎng)絡(luò)前，必須通過(guò)平安客戶端的平安檢查，確保沒(méi)有感染病毒且病毒庫(kù)版本和補(bǔ)丁得到及時(shí)升級(jí)。降低了病毒和遠(yuǎn)程攻擊對(duì)企業(yè)網(wǎng)帶來(lái)的平安風(fēng)險(xiǎn)。如果在AP間漫游時(shí)用戶IP未發(fā)生變化，則無(wú)需再次進(jìn)展用戶身份認(rèn)證。管理員可以為每一個(gè)在網(wǎng)用戶分配一套用戶名密碼，也可以和現(xiàn)有的Windows域或LDAP系統(tǒng)進(jìn)展對(duì)接，直接使用現(xiàn)有的用戶名密碼。從而做到每一個(gè)用戶的實(shí)名認(rèn)證。針對(duì)來(lái)訪專家、家長(zhǎng)等外來(lái)用戶，還可以由正式用戶為其申請(qǐng)臨時(shí)訪客賬號(hào)，或通過(guò)啟用匿名用戶認(rèn)證，并為匿名用戶設(shè)置適宜的平安策略〔比方限制資源訪問(wèn)權(quán)限〕的方式解決訪客用戶的臨時(shí)上網(wǎng)需求，可以幫助管理員在不影響網(wǎng)絡(luò)平安策略實(shí)施前提下，減輕對(duì)臨時(shí)的管理工作量。無(wú)論是在有線還是無(wú)線網(wǎng)絡(luò)中，只要用戶的終端上安裝了iNode客戶端，就可以實(shí)現(xiàn)防病毒管理、強(qiáng)制更新系統(tǒng)補(bǔ)丁、制定軟件黑白、注冊(cè)表平安檢查、桌面及資產(chǎn)管理等平安功能，使系統(tǒng)管理員對(duì)在網(wǎng)的每一臺(tái)設(shè)備進(jìn)展強(qiáng)管理，保障網(wǎng)絡(luò)的平安。針對(duì)**區(qū)教育城域網(wǎng)這種帶有分支機(jī)構(gòu)的大型網(wǎng)絡(luò)，每個(gè)分支管理員都需要對(duì)自己的分支機(jī)構(gòu)進(jìn)展管理，比方自己的設(shè)備、用戶群組和平安策略等。為此，EAD推出了針對(duì)單套EAD系統(tǒng)的分權(quán)管理解決方案。分權(quán)管理包括用戶分權(quán)、設(shè)備分權(quán)和業(yè)務(wù)策略分權(quán)，只有總部管理員和分支機(jī)構(gòu)的管理員能看到該分支的用戶信息、設(shè)備信息和平安策略信息，不同分支機(jī)構(gòu)的管理員之間不能互相查看和修改其他分支的信息。云管理規(guī)劃——整網(wǎng)運(yùn)維方案系統(tǒng)平安管理系統(tǒng)平安管理功能主要有包括：操作日志管理、操作員管理、分組分級(jí)與權(quán)限管理、操作員登錄管理等。所包含的主要功能有：操作員登錄管理管理員通過(guò)制定登錄平安策略約束操作員的登錄鑒權(quán)，實(shí)現(xiàn)操作員登錄的平安性，通過(guò)訪問(wèn)控制模板約束操作員可以登錄的終端機(jī)器的IP地址圍，防止惡意嘗試另人密碼進(jìn)展登錄的行為存在，通過(guò)密碼控制策略，約束操作員密碼組成要求，包括密碼長(zhǎng)度、密碼復(fù)雜性要求、密碼有效期等，以約束操作員定期修改密碼，并對(duì)密碼復(fù)雜性按要求設(shè)置。操作員密碼管理管理員為操作員制定密碼控制策略，操作員僅能按照指定的策略定期修改密碼，以保證訪問(wèn)iMC系統(tǒng)的平安性。分組分級(jí)權(quán)限管理管理員通過(guò)設(shè)備分組、用戶分組的設(shè)置，可以為操作員指定可以管理的指定設(shè)備分組和用戶分組，并指定其管理權(quán)限和角色，包括管理員、維護(hù)員和查看員，實(shí)現(xiàn)按角色、分權(quán)限、分資源〔設(shè)備和用戶〕的多層權(quán)限控制；同時(shí)通過(guò)設(shè)置下級(jí)網(wǎng)絡(luò)管理權(quán)限，可以通過(guò)限制登錄下級(jí)網(wǎng)絡(luò)管理系統(tǒng)的操作員和密碼，保證訪問(wèn)下級(jí)網(wǎng)絡(luò)管理系統(tǒng)的平安性。操作日志管理對(duì)于操作員的所有操作，包括登錄、注銷的時(shí)間、登錄IP地址以及登錄期間進(jìn)展的任何可能修改系統(tǒng)數(shù)據(jù)的操作，都會(huì)記錄詳細(xì)的日志。提供豐富的查詢條件，管理員可以審計(jì)任何操作員的歷史操作記錄，界定網(wǎng)絡(luò)操作錯(cuò)誤的責(zé)任圍。操作員在線監(jiān)控和管理系統(tǒng)管理員通過(guò)“在線操作員〞可以實(shí)時(shí)監(jiān)控當(dāng)前在線聯(lián)機(jī)登錄的操作員信息，包括登錄的主機(jī)IP地址、登錄時(shí)間等，同時(shí)，系統(tǒng)管理員可以將在線操作員強(qiáng)制注銷、禁用/取消禁用當(dāng)前IP地址等控制操作。資源管理iMC資源管理與拓?fù)涔芾碜鳛檎w共同為用戶提供網(wǎng)絡(luò)資源的管理。本節(jié)講解iMC的資源管理，下節(jié)講解iMC的拓?fù)涔芾怼Ｍㄟ^(guò)資源管理可以：網(wǎng)絡(luò)自動(dòng)發(fā)現(xiàn)可以通過(guò)設(shè)置種子的簡(jiǎn)易方式、路由方式、ARP方式、IPSecVPN、網(wǎng)段方式等五種自動(dòng)發(fā)現(xiàn)方式自學(xué)習(xí)網(wǎng)絡(luò)資源及網(wǎng)絡(luò)拓?fù)洌詣?dòng)識(shí)別包括：路由器、交換機(jī)、平安網(wǎng)關(guān)、存儲(chǔ)設(shè)備、監(jiān)控設(shè)備、無(wú)線設(shè)備、語(yǔ)音設(shè)備、打印機(jī)、UPS、效勞器、PC在的多種類型網(wǎng)絡(luò)設(shè)備；多種自動(dòng)發(fā)現(xiàn)方式自動(dòng)識(shí)別多種設(shè)備類型網(wǎng)絡(luò)手工管理可以手工添加、刪除網(wǎng)絡(luò)設(shè)備，可以批量導(dǎo)入、導(dǎo)出網(wǎng)絡(luò)設(shè)備，批量配置Telnet、SNMP參數(shù)，以及批量校驗(yàn)Telnet參數(shù)等輔助功能；網(wǎng)絡(luò)視圖管理支持IP視圖、設(shè)備視圖、自定義視圖、下級(jí)網(wǎng)絡(luò)管理視圖等多種管理視圖，用戶可以從不同角度實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的管理；網(wǎng)絡(luò)設(shè)備的管理從任何一種網(wǎng)絡(luò)視圖入口，都可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理，包括：支持對(duì)設(shè)備的管理/去管理、接口的管理/去管理、設(shè)備的詳細(xì)信息顯示和接口詳細(xì)信息顯示、設(shè)備和接口實(shí)時(shí)告警狀態(tài)、設(shè)備和接口的實(shí)時(shí)性能狀態(tài)、實(shí)時(shí)檢測(cè)存在故障的設(shè)備等，用戶可以方便的實(shí)現(xiàn)所有設(shè)備的管理；設(shè)備及業(yè)務(wù)管理系統(tǒng)的集成管理支持對(duì)H3C、CISCO、等主要廠家設(shè)備的管理，支持手工添加設(shè)備廠商、設(shè)備系列及設(shè)備型號(hào)；支持設(shè)備面板管理的動(dòng)態(tài)注冊(cè)機(jī)制，實(shí)現(xiàn)與各廠家設(shè)備管理系統(tǒng)的有效集成；支持拓?fù)涠ㄎ弧CL、VLAN、QoS等業(yè)務(wù)管理系統(tǒng)的集成，實(shí)現(xiàn)設(shè)備資源的統(tǒng)一管理；設(shè)備分組權(quán)限管理支持設(shè)備分組功能，通過(guò)對(duì)設(shè)備資源進(jìn)展分組管理，系統(tǒng)管理員方便的分配其他管理員的管理權(quán)限，便于職責(zé)別離；拓?fù)涔芾韎MC拓?fù)涔芾韽木W(wǎng)絡(luò)拓?fù)涞慕鉀Q直觀的提供應(yīng)用戶對(duì)整個(gè)網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備資源的管理。拓?fù)涔芾戆ǎ和負(fù)渥詣?dòng)發(fā)現(xiàn)H3CiMC可以自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)錁?gòu)造，支持全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D，通過(guò)視圖導(dǎo)航樹(shù)提供視圖間的快速導(dǎo)航。通過(guò)自動(dòng)發(fā)現(xiàn)可以發(fā)現(xiàn)網(wǎng)絡(luò)中的所有設(shè)備及網(wǎng)絡(luò)構(gòu)造〔具體參見(jiàn)資源管理〕，并且可以將非SNMP設(shè)備發(fā)現(xiàn)出來(lái)，只要設(shè)備可以ping通即可。這樣就可以將所有網(wǎng)絡(luò)設(shè)備都列入其管理圍〔只要設(shè)備IP可達(dá)〕。同時(shí)支持自動(dòng)的拓?fù)鋱D呈現(xiàn)和自定義拓?fù)?。自?dòng)拓?fù)淇梢宰詣?dòng)將網(wǎng)絡(luò)中的邏輯連接關(guān)系顯示出來(lái)，同時(shí)可以保存為自定義拓?fù)鋱D并可根據(jù)具體情況進(jìn)展修改以便于網(wǎng)管員對(duì)整個(gè)網(wǎng)絡(luò)設(shè)備的監(jiān)控。支持對(duì)全網(wǎng)設(shè)備和連接定時(shí)輪詢和狀態(tài)刷新，實(shí)時(shí)了解整個(gè)網(wǎng)絡(luò)的運(yùn)行情況，并且刷新周期是可定制〔刷新周期：60～7200秒〕，同時(shí)也支持對(duì)多個(gè)設(shè)備的刷新周期進(jìn)展批量配置的功能。支持自定義拓?fù)鋫鹘y(tǒng)的網(wǎng)絡(luò)管理軟件大多支持自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)涞墓δ?，但是自?dòng)發(fā)現(xiàn)后的網(wǎng)絡(luò)拓?fù)渫呛芏嘣O(shè)備圖標(biāo)的簡(jiǎn)單排放，不能突出重點(diǎn)設(shè)備和網(wǎng)絡(luò)層次，使網(wǎng)絡(luò)管理人員感覺(jué)無(wú)從下手。針對(duì)這種情況，H3CiMC的拓?fù)涔δ苤С朱`活的自定義功能，管理人員可以根據(jù)網(wǎng)絡(luò)的實(shí)際組網(wǎng)情況和設(shè)備重要性的不同靈活定制網(wǎng)絡(luò)拓?fù)?，可?duì)拓?fù)鋱D進(jìn)展增、刪、改等編輯操作，使網(wǎng)絡(luò)拓?fù)淠軌蚯逦爻尸F(xiàn)網(wǎng)絡(luò)構(gòu)造以及IT資源分布。H3CiMC支持靈活定制拓?fù)鋱D，使網(wǎng)絡(luò)拓?fù)涓兄攸c(diǎn)和層次感。管理員可以按照關(guān)注設(shè)備不同，管理角度不同定義多種拓?fù)?，并可以針?duì)拓?fù)洳煌x擇不同的背景圖；管理員可以根據(jù)網(wǎng)絡(luò)設(shè)備的重要性不同，鏈路速率不同采用適宜的圖標(biāo)顯示。自動(dòng)識(shí)別各種網(wǎng)絡(luò)設(shè)備和主機(jī)的類型H3CiMC可以自動(dòng)識(shí)別H3C、H3C、Cisco、等廠商的設(shè)備、Windows、Solaris的PC和工作站、其他SNMP設(shè)備和ping設(shè)備，并且以樹(shù)形方式組織，以不同的圖標(biāo)顯示區(qū)分。在拓?fù)鋱D上更可進(jìn)一步對(duì)設(shè)備的類型進(jìn)展區(qū)分，如區(qū)分路由器、交換機(jī)、平安網(wǎng)關(guān)、存儲(chǔ)設(shè)備、監(jiān)控設(shè)備、無(wú)線設(shè)備、語(yǔ)音設(shè)備、打印機(jī)、UPS、效勞器、PC等等。設(shè)備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓?fù)鋱D上的直觀顯示H3CiMC的拓?fù)涔δ芘c故障管理和性能管理嚴(yán)密融合，使拓?fù)鋱D能夠清晰地看到***大學(xué)IT資源的狀態(tài)，包括運(yùn)行是否正常、網(wǎng)絡(luò)帶寬、接口連通、配置變化都能一目了然。多種顏色區(qū)分不同級(jí)別故障，根據(jù)節(jié)點(diǎn)圖標(biāo)顏色反映設(shè)備狀態(tài)。拓?fù)淠芴峁┰O(shè)備管理便捷入口H3CiMC拓?fù)淠軌蛱峁?duì)設(shè)備管理的便捷入口，管理員只需通過(guò)右鍵點(diǎn)擊拓?fù)鋱D中的設(shè)備圖標(biāo)即可啟動(dòng)設(shè)備管理各項(xiàng)功能，實(shí)現(xiàn)對(duì)設(shè)備的面板管理等各項(xiàng)功能配置。故障〔告警/事件〕管理故障管理，即告警/事件管理，是H3CiMC的核心模塊，是iMC智能管理平臺(tái)及其他業(yè)務(wù)組件統(tǒng)一的告警中心。如下列圖所示，以故障管理流程為引導(dǎo)，介紹H3CiMC強(qiáng)大的故障管理能力：告警發(fā)現(xiàn)和上報(bào)iMC告警中心可以按收各種告警源的告警事件，包括設(shè)備告警、本級(jí)網(wǎng)管站及下級(jí)網(wǎng)管站告警、網(wǎng)絡(luò)性能監(jiān)視告警、網(wǎng)絡(luò)配置監(jiān)視告警、網(wǎng)絡(luò)流量異常監(jiān)視告警、終端平安異常告警等；同時(shí)通過(guò)支持對(duì)設(shè)備定時(shí)輪詢，實(shí)現(xiàn)通斷告警、響應(yīng)時(shí)間告警等，以告警事件的方式上報(bào)給H3CiMC告警中心；設(shè)備告警包括電源電壓、設(shè)備溫度、風(fēng)扇等告警事件，設(shè)備冷啟動(dòng)、熱啟動(dòng)、接口linkdown等重要告警事件，路由信息事件〔OSPF，BGP〕變化，熱備份路由〔HSRP〕狀態(tài)變化等告警事件，支持對(duì)H3C、CISCO、H3C、等多廠商設(shè)備告警的識(shí)別和解析；網(wǎng)管站告警指包括本級(jí)iMC系統(tǒng)集群效勞器的異常告警，包括CPU利用率、存使用率、iMC效勞程序運(yùn)行狀態(tài)等以及下級(jí)iMC系統(tǒng)上報(bào)的告警事件；網(wǎng)絡(luò)性能監(jiān)視包括CPU利用率，存使用率，以及RMON告警的故障管理。網(wǎng)絡(luò)配置監(jiān)視告警包括設(shè)備軟件版本、配置信息變更等告警事件，并通過(guò)iMC智能配置中心組件〔iMCiCC〕實(shí)現(xiàn)配置文件定期檢查，實(shí)現(xiàn)配置變更告警事件。網(wǎng)絡(luò)流量異常監(jiān)視告警通過(guò)iMC網(wǎng)絡(luò)流量分析組件〔iMCNTA〕實(shí)現(xiàn)網(wǎng)絡(luò)中異常流量告警，包括對(duì)設(shè)備及接口異常流量、主機(jī)IP地址異常流量和應(yīng)用異常流量的告警，支持二級(jí)閾值告警定義；終端平安異常告警通過(guò)iMC端點(diǎn)準(zhǔn)入防御組件〔iMCEAD〕實(shí)現(xiàn)對(duì)終端用戶平安異常的告警，包括ARP攻擊告警、終端異常流量告警及其他終端不平安告警；iMC定期輪詢告警指通過(guò)iMC的資源管理