教育城域網(wǎng)云數(shù)據(jù)中心方案及貨物需求參數(shù)

市教育城域網(wǎng)云數(shù)據(jù)中心技術(shù)建議書

2015年12月

目錄

第1章項(xiàng)目背景................................................6第2

章需求分析.......................................7第3章方案

總體架構(gòu).............................83.1設(shè)計(jì)目

標(biāo)..........................................................83.2總體

架構(gòu)設(shè)計(jì)........................................................8第4

章網(wǎng)絡(luò)解決方案.................................114.1網(wǎng)絡(luò)平臺(tái)

架構(gòu)設(shè)計(jì).............................................114.1.1網(wǎng)絡(luò)

虛擬化和二層結(jié)構(gòu).....................................114.1.2三個(gè)

獨(dú)立的網(wǎng)絡(luò)平面........................................134.1.3業(yè)務(wù)

功能分區(qū)..............................................134.1.4網(wǎng)絡(luò)

平臺(tái)架構(gòu)特點(diǎn)...........................................134.2邊界

接入?yún)^(qū)設(shè)計(jì)......................................................144.3

核心網(wǎng)絡(luò)區(qū)設(shè)計(jì)...........................................................15

4.4縣區(qū)路由連接設(shè)計(jì)..................

154.4.1區(qū)縣教體局出口路由器選型建議.

164.4.2學(xué)校出口路由器選型建議.......

174.5IP地址規(guī)

劃...................................184.5.IIP地

址規(guī)劃原則......................................................18452本

期工程地址規(guī)劃..................................................18

4.6VLAN設(shè)計(jì)............................................................

204.7QOS規(guī)

劃.............................................................21第5章

計(jì)算存儲(chǔ)解決方案.........................................24

5.1計(jì)算存儲(chǔ)平臺(tái)架構(gòu)設(shè)

計(jì)..................................................245.2虛擬化平臺(tái)解決方

案....................................................25

5.2.1虛擬化平臺(tái)結(jié)

構(gòu)....................................................255.2.2虛擬化管理平

臺(tái)....................................................265.2.3VDC服

務(wù).............................................................305.3物理

服務(wù)器部署方案.....................................................305.4存

儲(chǔ)虛擬化部署方案....................................................32

5.4.1方案設(shè)計(jì)原則......................................................32

5.4.2拓?fù)浣Y(jié)構(gòu)..........................................................34

5.4.3方案特點(diǎn)..........................................................34

5.5一體化備份系統(tǒng).........................................................

355.5.1傳統(tǒng)的數(shù)據(jù)保護(hù)方式................................................

35552一體化備份系統(tǒng)....................................................

355.5.3全面的備份保護(hù)....................................................

365.5.4方便靈活的數(shù)據(jù)恢復(fù)................................................

36第6章安全解決方案.............................................386.1總

體安全框架...........................................................386.2

安全域的劃分...........................................................39

6.3邊界安全設(shè)計(jì)...........................................................

406.4核心交換區(qū)安全設(shè)

計(jì)....................................................426.4.1WEB防火墻設(shè)

計(jì).....................................................42642應(yīng)用負(fù)載均

衡設(shè)計(jì)..................................................426.4.3入侵檢測防

御設(shè)計(jì)..................................................42

6.4.4數(shù)據(jù)庫/日志審計(jì)設(shè)計(jì)..............................................

436.4.5漏洞掃描設(shè)計(jì)......................................................

43第7章運(yùn)維管理解決方案..........................................447.1

監(jiān)控運(yùn)維系統(tǒng)概述......................................................44

7.2統(tǒng)一監(jiān)控管理平臺(tái)......................................................

45721拓?fù)涔芾?..........................................................

45722告警管理...........................................................

467.2.3性能管理...........................................................

47724分級(jí)網(wǎng)管...........................................................

487.2.5系統(tǒng)監(jiān)控...........................................................

48726高可用性系統(tǒng)管理..................................................

487.3服務(wù)器管

理.............................................................497.4存儲(chǔ)

管理................................................................497.5

網(wǎng)絡(luò)管理...............................................................51

7.5.1基本信息管理......................................................51

7.5.2SLA管理.............................................................

527.5.3MPLSVPN管

理........................................................53754網(wǎng)流分

析...........................................................567.5.5日志管

理...........................................................587.6安全管

理...............................................................597.6.1安

全管理...........................................................607.6.2策

略冗余分析......................................................607.6.3策

略命中分析......................................................617.6.4策

略風(fēng)險(xiǎn)分析......................................................61765策

略綜合分析......................................................62

第8章方案優(yōu)勢.................................................63第

9章設(shè)備貨物需求一覽表.......................................64

第1章項(xiàng)目背景

教育信息化是國家信息技術(shù)發(fā)展的重要組成部分，而作為教育網(wǎng)絡(luò)的延伸，區(qū)域

教育城域網(wǎng)連接區(qū)域范圍內(nèi)的中小型教育機(jī)構(gòu)，為區(qū)域內(nèi)國民中小學(xué)教育提供信息

網(wǎng)絡(luò)服務(wù)，對(duì)包括教務(wù)信息的管理、教學(xué)資源的分享傳播、教學(xué)業(yè)務(wù)以及教學(xué)安

全的管理控制等各個(gè)教學(xué)信息化方面提供基礎(chǔ)保障。

隨著教育信息化的進(jìn)一步發(fā)展，為了更好承載教育業(yè)務(wù),市教體局項(xiàng)目將依托

公共網(wǎng)絡(luò)，以縣級(jí)教育專網(wǎng)為基礎(chǔ),市級(jí)教育專網(wǎng)連接各縣專網(wǎng)組成市基礎(chǔ)教育專

網(wǎng)，使全市中小學(xué)、幼兒園全部接入教育專網(wǎng)?？h骨干帶寬達(dá)千兆，市骨干帶寬達(dá)千

兆及以上，實(shí)現(xiàn)各縣統(tǒng)一出口，出口帶寬達(dá)1G或以上。建設(shè)市基礎(chǔ)教育虛擬化平臺(tái),

重點(diǎn)建設(shè)市教體局中心機(jī)房及市教育虛擬化平臺(tái)，為全市電子教育、視頻會(huì)議、遠(yuǎn)

程培訓(xùn)、視頻教學(xué)點(diǎn)播、遠(yuǎn)程雙向視頻教學(xué)和網(wǎng)絡(luò)教研等教育應(yīng)用服務(wù)。

第2章需求分析

市教體局建設(shè)的首要原則應(yīng)該是一張全業(yè)務(wù)承載網(wǎng)絡(luò),能承載教育信息化的所

有業(yè)務(wù)，包括信息化業(yè)務(wù)數(shù)據(jù)、視頻（遠(yuǎn)程教學(xué)、VOD教學(xué)視頻點(diǎn)播、視頻會(huì)議、

語音、寬帶上網(wǎng)、以及校園專線等多業(yè)務(wù)。

這些業(yè)務(wù)對(duì)網(wǎng)絡(luò)的需求主要體現(xiàn)在流量模型、帶寬和QoS需求上。上述業(yè)務(wù)

可以歸納為如下幾種（以下涉及數(shù)據(jù)的部分為經(jīng)驗(yàn)估算，僅作對(duì)業(yè)務(wù)理解參考使用：

業(yè)務(wù)流★特點(diǎn)帶寬需求QoS需求

各區(qū)縣所有數(shù)每個(gè)校園出口

此類辦公對(duì)

行事業(yè)單位的校園需要約10M帶寬,由

辦公自動(dòng)化QoS要求較高.需要

內(nèi)M絡(luò)接入教育城廣全部流量離要上

(0A)系統(tǒng)較島的優(yōu)先級(jí)和較

域各接入節(jié)點(diǎn)核心層，每個(gè)核心

低的時(shí)延

之間業(yè)務(wù)共享節(jié)點(diǎn)約需600M帶寬

各阮校提供本

各院校根據(jù)h

校師生上網(wǎng)業(yè)務(wù).

網(wǎng)人效和業(yè)務(wù)需求

包括教帥的備深、此類業(yè)務(wù)需帔

教與學(xué)支持服嶙定業(yè)務(wù)帶寬.平

教學(xué).學(xué)生的視頻更高的優(yōu)先級(jí).需

務(wù)系統(tǒng)均加院校約需10M

點(diǎn)播等通過城域要優(yōu)先轉(zhuǎn)發(fā)

帶寬,每個(gè)核心節(jié)

網(wǎng)接入到亞聯(lián)網(wǎng)出

感約需3G帶寬“

【1設(shè)簡，

包括家?；ジ髟盒：蜋C(jī)構(gòu)

此類業(yè)務(wù)對(duì)

教育公共服務(wù)聯(lián)，通訊平臺(tái)等應(yīng)平均約需20M流星」

QoS要求最低，采用

業(yè)務(wù)系統(tǒng)用.各院校?；ヂ?lián)每個(gè)核心N點(diǎn)約需

盡力而為服務(wù)

網(wǎng)聯(lián)接.1.2G帶蜜

第3章方案總體架構(gòu)

3.1設(shè)計(jì)目標(biāo)

1、高效性:為了滿足云平臺(tái)、教育的業(yè)務(wù)應(yīng)用系統(tǒng)的高并發(fā)、快速的虛擬機(jī)

遷移、視頻文件以及大文件的上傳下載等要求，設(shè)計(jì)一個(gè)高帶寬、低延時(shí)、快速收

斂并避免環(huán)路出現(xiàn)的網(wǎng)絡(luò)平臺(tái)是一個(gè)基本的設(shè)計(jì)目標(biāo)。

2、高可靠性:教育云數(shù)據(jù)中心今后要支持全市電子教育的業(yè)務(wù)系統(tǒng)，教育云數(shù)

據(jù)中心的網(wǎng)絡(luò)的穩(wěn)定性直接關(guān)系到全市電子教育服務(wù)的可用性。因此高可用性是

數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)的設(shè)計(jì)目標(biāo)之一，關(guān)鍵和核心部分不能出現(xiàn)單點(diǎn)故障。

3、可擴(kuò)展性:本項(xiàng)目只是教育云數(shù)據(jù)中心建設(shè)的一期工程，隨著后續(xù)越來越多

的業(yè)務(wù)應(yīng)用系統(tǒng)遷入教育云數(shù)據(jù)中心,教育云數(shù)據(jù)中心的規(guī)模需要根據(jù)業(yè)務(wù)應(yīng)用需

求逐步擴(kuò)大。因此具備良好的擴(kuò)展能力也是數(shù)據(jù)中心網(wǎng)絡(luò)的設(shè)計(jì)目標(biāo)之一，在核

心、骨干網(wǎng)絡(luò)設(shè)備上要留有余量，充分考慮今后業(yè)務(wù)應(yīng)用增加的網(wǎng)絡(luò)需求。

4、靈活性、易維護(hù)性:教育云數(shù)據(jù)中心今后所承載的各類業(yè)務(wù)系統(tǒng)的不確定

性,這就要求網(wǎng)絡(luò)平臺(tái)能夠靈活簡便的對(duì)網(wǎng)絡(luò)資源進(jìn)行調(diào)配。因此,網(wǎng)絡(luò)管理的靈

活性和易維護(hù)性也是網(wǎng)絡(luò)平臺(tái)的設(shè)計(jì)目標(biāo)之一。通過減少網(wǎng)絡(luò)配置節(jié)點(diǎn)、簡化網(wǎng)

絡(luò)配置，降低網(wǎng)絡(luò)管理的人力開銷，從而易于網(wǎng)絡(luò)資源的調(diào)整和分配。

5、先進(jìn)性:教育云數(shù)據(jù)中心承載市教育系統(tǒng)不同種類的電子教育應(yīng)用系統(tǒng),整

體架構(gòu)應(yīng)當(dāng)保持穩(wěn)定而不應(yīng)當(dāng)頻繁調(diào)整。作為教育云數(shù)據(jù)中心的重要組成部分，網(wǎng)

絡(luò)平臺(tái)的架構(gòu)調(diào)整會(huì)影響教育云數(shù)據(jù)中心的整體架構(gòu)。因此在設(shè)計(jì)網(wǎng)絡(luò)平臺(tái)的架

構(gòu)的時(shí)候,設(shè)計(jì)目標(biāo)之一應(yīng)該是保證網(wǎng)絡(luò)架構(gòu)和采用技術(shù)的先進(jìn)性,3年內(nèi)只做規(guī)模

擴(kuò)充，而不做架構(gòu)調(diào)整。

6、安全性:保證各業(yè)務(wù)系統(tǒng)的信息安全是建設(shè)教育云數(shù)據(jù)中心的一個(gè)基本前

提，因此安全性也是網(wǎng)絡(luò)平臺(tái)需要考慮的設(shè)計(jì)目標(biāo)之一。由于網(wǎng)絡(luò)安全域的劃分與

隔離很大程度上依賴網(wǎng)絡(luò)結(jié)構(gòu)的合理性，因此在設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)的時(shí)候需要考慮整體

網(wǎng)絡(luò)安全性,便于安全方案進(jìn)行安全域的劃分和安全域間訪問控制。

3.2總體架構(gòu)設(shè)計(jì)

數(shù)據(jù)中心總體架構(gòu)設(shè)計(jì)遵循面向業(yè)務(wù)需求的設(shè)計(jì)思路,基于模塊化的設(shè)計(jì)方法,

實(shí)現(xiàn)數(shù)據(jù)中心IT基礎(chǔ)架構(gòu)模塊與業(yè)務(wù)模塊松耦合，保證數(shù)據(jù)中心業(yè)務(wù)動(dòng)態(tài)擴(kuò)展和新

業(yè)務(wù)快速上線。

使用特定規(guī)格產(chǎn)品設(shè)計(jì)，包括硬件、軟件和應(yīng)用規(guī)格化來提供簡單可靠、易

于部署和管理、便于擴(kuò)展和升級(jí)的IT基礎(chǔ)架構(gòu)，為用戶提供更好的投資保護(hù)，

滿足企業(yè)數(shù)據(jù)中心新建、升級(jí)擴(kuò)容，以及數(shù)據(jù)中心的可視化統(tǒng)一管控的需求,可實(shí)

現(xiàn)被集成的場景。

根據(jù)功能分層邏輯分區(qū)的原則，數(shù)據(jù)中心的功能層次由邊界接入?yún)^(qū)、網(wǎng)絡(luò)核心

區(qū)、計(jì)算區(qū)和存儲(chǔ)區(qū)共4個(gè)區(qū)域組成。這4個(gè)區(qū)域又可以邏輯上細(xì)分為8個(gè)子區(qū)

域,詳細(xì)情況如下示意圖和表格所示。

基于上述總體架構(gòu)設(shè)計(jì),既要考慮支撐當(dāng)前臺(tái)應(yīng)用系統(tǒng)的計(jì)算、存儲(chǔ)和數(shù)據(jù)傳

輸能力，又要考慮當(dāng)前項(xiàng)目經(jīng)費(fèi)的約束,詳細(xì)設(shè)計(jì)教育云數(shù)據(jù)中心的軟硬件的解決

方案。具體詳細(xì)的網(wǎng)絡(luò)、計(jì)算存儲(chǔ)、安全和運(yùn)維管理方案在下面的章節(jié)分別詳細(xì)

介紹。

序號(hào)區(qū)域子區(qū)域部署產(chǎn)品

接入路由器與Internet和教育專網(wǎng)連

1外聯(lián)區(qū)

邊界接入接

區(qū)匯聚交換機(jī)，邊界防火墻等，與區(qū)縣

2區(qū)縣終端接入?yún)^(qū)

教育廣域網(wǎng)互聯(lián)

網(wǎng)絡(luò)核心核心交換機(jī)、服務(wù)器交換機(jī)、入侵檢

3網(wǎng)絡(luò)服務(wù)區(qū)

區(qū)測、數(shù)據(jù)庫審計(jì)等

4云計(jì)算區(qū)虛擬化服務(wù)器資源池

物理服務(wù)器資源池，承載技術(shù)上不適

5物理資源區(qū)合部署在虛擬化平臺(tái)上應(yīng)用、軟件（例

計(jì)算M如：高10數(shù)據(jù)庫）

應(yīng)用系統(tǒng)開發(fā)平臺(tái)、測試平價(jià)和培訓(xùn)

6開發(fā)測試區(qū)

平臺(tái)

7運(yùn)行管理區(qū)監(jiān)控和運(yùn)維管理平臺(tái)

8存儲(chǔ)區(qū)SAN存儲(chǔ)SAN存儲(chǔ)設(shè)備

第4章網(wǎng)絡(luò)解決方案

4.1網(wǎng)絡(luò)平臺(tái)架構(gòu)設(shè)計(jì)

市教體局網(wǎng)絡(luò)建設(shè)根據(jù)不同位置及信息點(diǎn)的數(shù)量和未來覆蓋面擴(kuò)充等多方面

原因，將網(wǎng)絡(luò)為劃分若干個(gè)區(qū)域。劃分區(qū)域主要考慮以下幾個(gè)方面:可以減輕中央

核心交換機(jī)的負(fù)擔(dān)、管理上方便、便于未來的連接擴(kuò)充。

市教體局網(wǎng)絡(luò)方案如下圖所示:

依據(jù)項(xiàng)目目標(biāo)、設(shè)計(jì)原則和教育云數(shù)據(jù)中心的總體架構(gòu),網(wǎng)絡(luò)平臺(tái)的架構(gòu)設(shè)計(jì)

采用如下幾項(xiàng)關(guān)鍵技術(shù)。

4.1.1網(wǎng)絡(luò)虛擬化和二層結(jié)構(gòu)

傳統(tǒng)的數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)架構(gòu)一般采用核心一匯聚一接入的三層網(wǎng)絡(luò)架構(gòu)模型，采

用這種傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)存在以下幾個(gè)方面的問題：

網(wǎng)絡(luò)的層次較多,處理效率低;多增加了一個(gè)匯聚的層面，就會(huì)額外增

加匯聚設(shè)備的處理時(shí)延、線路時(shí)延等;同時(shí)由于網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量增多，也增加了部

署成本和設(shè)備故障的幾率；

?由于匯聚層面設(shè)備一定存在處理性能和上行帶寬的收斂比,在數(shù)據(jù)中心規(guī)模

不斷擴(kuò)大的情況下，匯聚設(shè)備會(huì)成為整個(gè)網(wǎng)絡(luò)的瓶頸，出現(xiàn)擁塞、丟包等問題；

?在網(wǎng)絡(luò)擴(kuò)容時(shí)，不僅僅需要增加接入層的設(shè)備，同時(shí)也必須考慮到匯聚設(shè)備的

性能和端口密度能否滿足要求，也需要進(jìn)行相應(yīng)的擴(kuò)容,帶來投資成本的增加。

?網(wǎng)絡(luò)設(shè)備之間的STP、LAG、路由處理、安全等相互之間的交互信息，隨著

設(shè)備數(shù)量的增加,會(huì)成幾何級(jí)數(shù)激增。

?隨著云計(jì)算平臺(tái)虛擬化的技術(shù)的大規(guī)模應(yīng)用,新的網(wǎng)絡(luò)平臺(tái)流量模型中，大多

數(shù)的流量是在內(nèi)部服務(wù)器之間進(jìn)行通信,甚至能夠達(dá)到整體流量的75%,這種部署架

構(gòu)會(huì)導(dǎo)致服務(wù)器之間流量需要通過匯聚層甚至核心層設(shè)備轉(zhuǎn)發(fā)，效率低下，且性能很

差。

為了解決上述存在的問題，本方案數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)采用扁平化二層網(wǎng)絡(luò)架構(gòu)

（核心層、接入層，使用網(wǎng)絡(luò)虛擬化技術(shù)，核心交換機(jī)承擔(dān)著核心層和匯聚層的雙重

任務(wù)。

扁平化方式降低了網(wǎng)絡(luò)復(fù)雜度，簡化了網(wǎng)絡(luò)拓?fù)洌岣吡宿D(zhuǎn)發(fā)效率。二層網(wǎng)絡(luò)

架構(gòu)中，采用網(wǎng)絡(luò)虛擬化技術(shù)，解決鏈路環(huán)路問題，提高了網(wǎng)絡(luò)可靠性。核心交換機(jī)設(shè)

置VLAN的IP地址，接入交換機(jī)劃分VLAN,做二層轉(zhuǎn)發(fā)。

?核心層:采用網(wǎng)絡(luò)虛擬化技術(shù),將兩臺(tái)核心交換機(jī)虛擬為一臺(tái)設(shè)備，設(shè)備背板共

享，交換能力提高。

?接入層:采用網(wǎng)絡(luò)虛擬化技術(shù),將兩臺(tái)或多臺(tái)接入交換機(jī)虛擬為一臺(tái)設(shè)備，設(shè)備

背板共享，交換能力提高。

核心交換機(jī)和接入交換機(jī)之間的四條跨框鏈路捆綁為一個(gè)Eth-Trunk組,網(wǎng)絡(luò)

架構(gòu)變成樹型模式,不需要啟用STP協(xié)議,從根本上解決環(huán)路和spanning-tree收斂

問題。

扁平化二層網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)的主要優(yōu)勢在于：

?簡化網(wǎng)絡(luò)管理，降低維護(hù)管理成本

能夠減少網(wǎng)絡(luò)中的交換機(jī)和鏈路數(shù)量，從而降低前期購置成本和后期維護(hù)成

本。

?網(wǎng)絡(luò)性能提高，支撐高性能的服務(wù)器流量

通過減少交換層數(shù)量，流量需要穿越的交換機(jī)數(shù)量也會(huì)減少,從而可以縮短延遲,

提高應(yīng)用性能。

?網(wǎng)絡(luò)利用率提高，支撐云計(jì)算的資源池動(dòng)態(tài)調(diào)度

云計(jì)算要求對(duì)于計(jì)算資源池和存儲(chǔ)資源池任意按需調(diào)配。要求網(wǎng)絡(luò)能夠適應(yīng)

這種大范圍的調(diào)度。

?網(wǎng)絡(luò)可靠性提高

減化的網(wǎng)絡(luò)通過虛擬集群和堆疊技術(shù)，可以消除網(wǎng)絡(luò)中的可靠性隱患，無需運(yùn)行

spanning-tree協(xié)議，消除網(wǎng)絡(luò)的故障收斂時(shí)間，從而提高網(wǎng)絡(luò)可靠性。

4.1.2三個(gè)獨(dú)立的網(wǎng)絡(luò)平面

網(wǎng)絡(luò)平臺(tái)可以分為業(yè)務(wù)平面、管理平面和存儲(chǔ)平面三個(gè)網(wǎng)絡(luò)平面。三個(gè)網(wǎng)絡(luò)

平面相互獨(dú)立。業(yè)務(wù)平面主要服務(wù)對(duì)象是為租戶的業(yè)務(wù)應(yīng)用軟件的通訊,管理平臺(tái)

主要為設(shè)備自身、安全系統(tǒng)、運(yùn)維系統(tǒng)所使用，存儲(chǔ)平面完全是一個(gè)封閉的私有

網(wǎng)絡(luò)，服務(wù)器和存儲(chǔ)設(shè)備在該平面上進(jìn)行存儲(chǔ)數(shù)據(jù)的傳送。

4.1.3業(yè)務(wù)功能分區(qū)

網(wǎng)絡(luò)總體規(guī)劃應(yīng)遵循區(qū)域化、層次化、模塊化的設(shè)計(jì)理念，使網(wǎng)絡(luò)層次更加

清楚、功能更加明確。這樣在每個(gè)區(qū)域內(nèi)部調(diào)整時(shí)不會(huì)影響其他區(qū)域，而且區(qū)域

內(nèi)部資源調(diào)度也更加方便和靈活。依據(jù)這樣的設(shè)計(jì)理念和設(shè)計(jì)原則，網(wǎng)絡(luò)平臺(tái)應(yīng)根

據(jù)業(yè)務(wù)性質(zhì)或網(wǎng)絡(luò)設(shè)備的作用進(jìn)行區(qū)域劃分,通常需要考慮以下幾個(gè)方面內(nèi)容：

?按照網(wǎng)絡(luò)架構(gòu)中設(shè)備作用的不同，網(wǎng)絡(luò)可以劃分為核心層、接入層，層次化結(jié)

構(gòu)也有利于網(wǎng)絡(luò)的擴(kuò)展和維護(hù)。

?綜合考慮網(wǎng)絡(luò)服務(wù)中應(yīng)用業(yè)務(wù)的獨(dú)立性、各業(yè)務(wù)的互訪關(guān)系，以及業(yè)務(wù)的安

全隔離要求，在邏輯上還劃分為外聯(lián)區(qū)（包括Internet外聯(lián)區(qū)、電子教育外聯(lián)區(qū)、網(wǎng)

絡(luò)核心區(qū)（包括網(wǎng)絡(luò)服務(wù)區(qū)、計(jì)算區(qū)域（包括運(yùn)云計(jì)算區(qū)、物理服務(wù)器區(qū)、數(shù)據(jù)服

務(wù)區(qū)、運(yùn)維管理區(qū)、開發(fā)測試區(qū)、存儲(chǔ)區(qū)域（包括SAN區(qū)和NAS區(qū)等。

4.1.4網(wǎng)絡(luò)平臺(tái)架構(gòu)特點(diǎn)

教育云數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)的架構(gòu)有如下特點(diǎn)。

1、整體可擴(kuò)展性強(qiáng)：

?分為四大區(qū)域（接入?yún)^(qū)、網(wǎng)絡(luò)核心區(qū)、計(jì)算區(qū)、存儲(chǔ)區(qū)，各個(gè)區(qū)域獨(dú)立擴(kuò)展；

?以核心節(jié)點(diǎn)為“根”的星型拓?fù)洌?/p>

2、核心區(qū)域:流量的樞紐

?采用大容量，高性能的核心交換機(jī)；

?采用高密度的萬兆接口；

3、計(jì)算區(qū)域、存儲(chǔ)區(qū)域：

?多個(gè)業(yè)務(wù)區(qū)獨(dú)立擴(kuò)展；

?以服務(wù)器為中心的數(shù)據(jù)、管理、存儲(chǔ)網(wǎng)絡(luò)獨(dú)立擴(kuò)展；

4、外聯(lián)區(qū)域

?分為兩個(gè)獨(dú)立的互聯(lián)區(qū)域，各區(qū)域獨(dú)立擴(kuò)展；

4.2邊界接入?yún)^(qū)設(shè)計(jì)

本次在市教體局外網(wǎng)出口處部署2臺(tái)出口路由器,基于分布式硬件轉(zhuǎn)發(fā)和無阻

塞交換技術(shù),具有良好的線速轉(zhuǎn)發(fā)性能、電信級(jí)的可靠性、優(yōu)異的擴(kuò)展能力、完善

的QoS機(jī)制。為保障路由器的高可靠性和高性能設(shè)備的選擇上,本次所設(shè)計(jì)的路

由器能夠提供高速數(shù)據(jù)交換和路由快速收斂。

全面的虛擬化特性支持

路由器能夠一虛多、多虛一虛擬化特性。一虛多特性將一臺(tái)路由器虛擬成多

個(gè)邏輯路由器,不同的業(yè)務(wù)在不同的邏輯路由器之間資源隔離，保證業(yè)務(wù)占用資源

可靠；多虛一特性將多臺(tái)路由器虛擬成邏輯上的一臺(tái)路由器,各物理路由器之間相

互進(jìn)行備份，提升設(shè)備可靠性。

全方位的可靠性解決方案

路由器從多個(gè)層面提供可靠性保護(hù)，包括設(shè)備級(jí)、網(wǎng)絡(luò)級(jí)、業(yè)務(wù)級(jí)可靠性，形成

了面向整個(gè)網(wǎng)絡(luò)的解決方案,完全滿足企業(yè)對(duì)各種業(yè)務(wù)的可靠性需求,99.999%的系

統(tǒng)可用性是構(gòu)筑企業(yè)業(yè)務(wù)可靠互聯(lián)的基石。

設(shè)備級(jí)可靠：

提供關(guān)鍵部件的冗余備份，關(guān)鍵組件支持熱插拔與熱備份,NSR(Non-Stop

Routing,NSF(Non-StopForwarding和ISSU等技術(shù)一起保障無中斷業(yè)務(wù)運(yùn)行。

網(wǎng)絡(luò)級(jí)可靠：

提供IP/LDP/VPN"E快速重路由/Hot-Standby,IGP、BGP以及組播路由快速

收斂，虛擬路由冗余協(xié)議(VRRP,VirtualRouterRedundancyProtocol,快速環(huán)網(wǎng)保護(hù)

協(xié)議(RRPP,RapidRingProtectionProtocol,TRUNK鏈路分擔(dān)備份,BFD鏈路快速

檢測,MPLS/EthernetOAM,路由協(xié)議/端口/VLANDamping等技術(shù)，保證整網(wǎng)穩(wěn)定

性，可以提供端到端200ms保護(hù)倒換,業(yè)務(wù)無中斷。

業(yè)務(wù)級(jí)可靠:

提供的VPNFRR和E-VRRP技術(shù),VLLFRR和EthernetOAM技術(shù)以及PW

Redundancy和E-Trunk或E-APS技術(shù)，可以應(yīng)用于L3VPN和L2VPN組網(wǎng)方案中，

保證業(yè)務(wù)層面的冗余備份，使業(yè)務(wù)穩(wěn)定可靠，不中斷。

4.3核心網(wǎng)絡(luò)區(qū)設(shè)計(jì)

核心設(shè)備擔(dān)負(fù)著連接匯聚層,服務(wù)器群和教育網(wǎng)的工作,同時(shí)通過核心設(shè)備的互

聯(lián),形成一套完整的網(wǎng)絡(luò)。由于核心層設(shè)備擔(dān)負(fù)著整個(gè)網(wǎng)絡(luò)的流量,在網(wǎng)絡(luò)核心層

的流量是非常巨大的，對(duì)網(wǎng)絡(luò)核心層的壓力非常巨大。同時(shí)網(wǎng)絡(luò)對(duì)安全性、穩(wěn)定性

的要求極高，由于網(wǎng)絡(luò)也基本是一個(gè)金字塔的形狀,那么最需要穩(wěn)定的就是金字塔的

頂端，即網(wǎng)絡(luò)的核心層。

網(wǎng)絡(luò)核心層同時(shí)需要對(duì)網(wǎng)絡(luò)的接入層提供不同的網(wǎng)絡(luò)層的路由規(guī)劃和信息轉(zhuǎn)發(fā)

的功能，同時(shí)還需要保證不同級(jí)別的網(wǎng)絡(luò)QoS，對(duì)于服務(wù)器的關(guān)鍵業(yè)務(wù)通過鏈路級(jí)

和網(wǎng)絡(luò)級(jí)的協(xié)議實(shí)現(xiàn)嚴(yán)格的控制和優(yōu)先級(jí)的保證。對(duì)于網(wǎng)絡(luò)級(jí)的保護(hù)通常時(shí)間是

非常長的，那么對(duì)一些關(guān)鍵業(yè)務(wù),通過結(jié)合二層快速收斂的協(xié)議一起來完成對(duì)網(wǎng)絡(luò)安

全性的提升和網(wǎng)絡(luò)的自愈能力。設(shè)備須支持對(duì)不同部門的規(guī)劃，如實(shí)現(xiàn)全網(wǎng)統(tǒng)一

VLAN的規(guī)劃等。對(duì)每個(gè)系統(tǒng)分配不同的VLAN并且針對(duì)不同VLAN實(shí)現(xiàn)不同的

安全和控制的策略等。

但是在自身的網(wǎng)絡(luò)核心層需要通過完全的三層策略來進(jìn)行VLAN的終結(jié)和三

層數(shù)據(jù)的交換工作,不建議全網(wǎng)全部采用統(tǒng)一網(wǎng)絡(luò)協(xié)議進(jìn)行規(guī)劃，建議采用二層和三

層協(xié)議相結(jié)合的方式共同實(shí)現(xiàn)網(wǎng)絡(luò)的規(guī)劃工作。

在核心層的規(guī)劃中，主要應(yīng)該采用結(jié)構(gòu)穩(wěn)定并且能夠進(jìn)行詳細(xì)路由查找的三層

路由協(xié)議來進(jìn)行規(guī)劃。

4.4縣區(qū)路由連接設(shè)計(jì)

在市教育城域?qū)＞W(wǎng)出口處部署出口路由器用于連接區(qū)縣路由。

出口路由器用來轉(zhuǎn)發(fā)本區(qū)域用戶到其他區(qū)域用戶的橫向流量，同時(shí)發(fā)送本區(qū)域

用戶流量到核心層。匯聚層將大量用戶接入到互聯(lián)的網(wǎng)絡(luò)中,模塊化擴(kuò)展接入核心

層設(shè)備的用戶數(shù)量。

采用路由器而不是采用交換機(jī)和防火墻做為出口組網(wǎng)的模式具有以下優(yōu)勢：1.

采用路由器做為教育城域?qū)＞W(wǎng)骨干設(shè)備是由大量最佳實(shí)踐表明,如運(yùn)營商所構(gòu)建的

骨干網(wǎng)均采用路由器，而不是交換機(jī)和防火墻，這是路由器的自身平臺(tái)穩(wěn)定性比交換

機(jī)更好。

2.教育城域?qū)＞W(wǎng)中存在大量的不同的業(yè)務(wù),如何保證不同業(yè)務(wù)的優(yōu)先級(jí)和帶寬,

是城域?qū)＞W(wǎng)建設(shè)者和維護(hù)者不得不考慮的問題,采用路由器可實(shí)現(xiàn)面向接入側(cè)的H-

QoS五級(jí)調(diào)度機(jī)制，多樣化，差異化滿足接入側(cè)不同層次用戶的業(yè)務(wù)需求先進(jìn)的隊(duì)列

調(diào)度算法、擁塞控制算法，能夠?qū)?shù)據(jù)流實(shí)現(xiàn)多級(jí)的精確調(diào)度，從而滿足不同用戶、

不同業(yè)務(wù)等級(jí)的服務(wù)質(zhì)量要求。這是交換機(jī)和防火墻等其他設(shè)備所不能實(shí)現(xiàn)的功

能。

3.教育城域?qū)＞W(wǎng)中若采用交換機(jī)組網(wǎng)，在很大的程度上引起地址沖突，不能正常

辦公使使用者體驗(yàn)感下降。因?yàn)楝F(xiàn)在市教體局及區(qū)縣教體局均采用私有地址組網(wǎng)，

在各個(gè)局域網(wǎng)中私有地址允許重復(fù)分配。而且用若不采用路由器做為每個(gè)局域網(wǎng)

出口實(shí)現(xiàn)私有地址對(duì)私有地址的轉(zhuǎn)換，容易引起廣播風(fēng)暴，當(dāng)廣播數(shù)據(jù)充斥網(wǎng)絡(luò)無法

處理,并占用大量網(wǎng)絡(luò)帶寬，導(dǎo)致正常業(yè)務(wù)不能運(yùn)行，甚至徹底導(dǎo)致教育城域?qū)＞W(wǎng)癱

瘓。

4.4.1區(qū)縣教體局出口路由器選型建議

1.產(chǎn)品性能:背板帶寬N3.9Tbps，整機(jī)包轉(zhuǎn)發(fā)能力N480Mpps，千兆接口線速轉(zhuǎn)

發(fā)，業(yè)務(wù)槽位N4,主控和電源支持1+1冗余，獨(dú)立轉(zhuǎn)發(fā)引擎。

2.端口數(shù)要求:主控板及母板上的端口數(shù)不作為業(yè)務(wù)端口計(jì)算。

3.接口類型:支持El、GE、155MPOS、155MCPOS,要求本次配置的所有

以太網(wǎng)口全部為WAN口，即在物理接口上直接配置IP地址。

4.路由協(xié)議:支持RIP、OSPF、BGP-4、IS-IS等路由協(xié)議。路由表容量

>=5()()K。

5.QoS:支持完善的QoS機(jī)制每線路板可提供先進(jìn)調(diào)度和擁塞避免技術(shù),提供精

確的流量監(jiān)管和流量整形功能和定義復(fù)雜規(guī)則的功能，支持流細(xì)粒度鑒別，支持

MPLS

QoS,全面保證MPLSVPN、VLL和PWE3的QoS。

6.IPFPM技術(shù):可以直接對(duì)業(yè)務(wù)報(bào)文進(jìn)行測量，真實(shí)反映IP網(wǎng)絡(luò)的性能;在線監(jiān)

控IP網(wǎng)絡(luò)承載業(yè)務(wù)的變化，準(zhǔn)確實(shí)時(shí)地反映出業(yè)務(wù)運(yùn)行情況，能夠快速精確地進(jìn)行

故障定位。

7.IPV6:支持IPv6靜態(tài)路由，支持BGP4/BGP4+、RIPng、OSPFv3、ISISv6等

動(dòng)態(tài)路由協(xié)議。支持IPv6鄰居發(fā)現(xiàn),PMTU發(fā)現(xiàn)TCP6,pingIPv6,tracerouteIPv6,

socketIPv6,IPv6策略路由，支持Telnet、SSH等協(xié)議。支持的IPv6組播協(xié)議包

括:PIM-IPv6-SM和PIM-IPv6-SSM。支持IPv6VPNO支持IPv4和IPv6雙協(xié)議

棧。

8.可靠性:提供軟件熱補(bǔ)丁技術(shù)，實(shí)現(xiàn)設(shè)備軟件完全平滑升級(jí)。支持單板及子卡

熱插拔。為確保快速倒換,BFD發(fā)包間隔<5ms。

9.配置:提供完整主機(jī)、軟件、雙主控、獨(dú)立交換網(wǎng)板和雙電源，提供8端口千

兆電口和8端口千兆光口。

4.4.2學(xué)校出口路由器選型建議

1.硬件架構(gòu):多核CPU和無阻塞交換架構(gòu)，整機(jī)擴(kuò)展插槽數(shù)N8O

2.業(yè)務(wù)性能:整機(jī)包轉(zhuǎn)發(fā)能力N6Mpps，交換容量N80Gbps。

3.接口擴(kuò)展:廣域網(wǎng)接口需支持xDSL、El"l、CEl/CTk同異步串口、

ISDN、ATM、POS、CPOS等。

4.3G:支持CDMA2000EV-DORevA制式,WCDMA制式,TD-SCDMA制式，

3G鏈路獨(dú)立上行/作為備份鏈路。

5.IPv4路由:路由策略，靜態(tài)路由，RIP,OSPF,IS-IS,BGP。

6.VPN:具備L2TP,GRE,IPSec,SSL,MPLSVPN能力o

7.QoS:支持基于硬件的QOS能力。MPLSQoS,優(yōu)先級(jí)映射，流量監(jiān)管（CAR,

流量整形，擁塞避免（基于IP優(yōu)先級(jí)/DSCPWRED,擁塞管理。

8.安全與認(rèn)證:支持ACL、狀態(tài)防火墻、802.1X認(rèn)證、MAC地址認(rèn)證、

Web認(rèn)證、AAA認(rèn)證、RADIUS認(rèn)證等。

9.配置:提供完整主機(jī)、軟件、主控和冗余電源，提供3個(gè)GEWAN口其中2個(gè)

光電互斥口。

4.5IP地址規(guī)劃

4.5.1IP地址規(guī)劃原則

IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，市教體局必須對(duì)IP地址進(jìn)行統(tǒng)一

規(guī)劃并得到實(shí)施。IP地址規(guī)劃的好壞,影響到網(wǎng)絡(luò)路由協(xié)議算法的效率,影響到網(wǎng)

絡(luò)的性能,影響到網(wǎng)絡(luò)的擴(kuò)展,影響到網(wǎng)絡(luò)的管理,也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)

一步發(fā)展。

IP地址空間分配,要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng),既要有效地利用地址空間，又

要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路

由聚類，減少路由器中路由表的長度,減少對(duì)路由器CPU、內(nèi)存的消耗，提高路由算

法的效率，加快路由變化的收斂速度，同時(shí)還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分

配時(shí)要遵循以下原則：

唯一性:一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址；

簡單性:地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性,簡化路由表的款項(xiàng)；

靈活性:地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化,充分利用地址空間。

IP地址分配既要考慮到擴(kuò)充，又要能做到連續(xù);盡量分配連續(xù)的IP地址空間，并

為將來的網(wǎng)絡(luò)擴(kuò)展預(yù)留一定的地址空間;在每個(gè)骨干網(wǎng)絡(luò)中，相同的業(yè)務(wù)和功能盡量

分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制。

IP地址的分配必須采用VLSM技術(shù)，保證IP地址的利用率;采用CIDR技術(shù)，可

減小路由器路由表的大小,加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路

由信息的大小。

4.5.2本期工程地址規(guī)劃

目前,各個(gè)學(xué)校地址規(guī)劃相對(duì)較亂沒有經(jīng)過統(tǒng)一規(guī)劃，若繼續(xù)采用已有地址規(guī)劃

難度較大，建議重新整體規(guī)劃地址段作為規(guī)劃地址段。

全市做到統(tǒng)一出口，內(nèi)部采用私有地址段。

所有網(wǎng)絡(luò)設(shè)備本身使用的IP地址（loopback地址、鏈路地址應(yīng)該盡量連續(xù)，便

于標(biāo)識(shí)和管理。

為了便于管理和審計(jì),全網(wǎng)采用靜態(tài)地址分配,每個(gè)學(xué)校分配一個(gè)VLAN,并且

配置固定的最小網(wǎng)絡(luò)地址段，還要注意避免地址重疊，將網(wǎng)絡(luò)地址沖突控制在本學(xué)校

內(nèi)。

IP地址分配方案建議如下:

JtH3遍明

一.M

io.。,aWB

內(nèi)z信除￡有IFmMKiwe

l?2.148.C-2S5.0/24

1PR申岫愴削,《陽的合法IPWe

二位著堆址

■IB.除漢A%儀&5{?國用版?*eFc

n*W0H.視手為旗?€/"?(IP，%

>u?<￡?

nt#3~<5*?.&5川

y0.■?.mvCD

e概分kHU加勉X”.但出M位出，.

ftljUH.12tt>.H"K?有”電冷中.

1II"》的糟11領(lǐng)0》力々俄,卜依田819按“

HUigydNIL

?>:M典IFLS乂2的抬心叫陽

柢M角

111^200*^1M.&孝為&右r議就.??

2OT2O?給《相心也&.

MK為21025H.濱<)■"w：,lftPEi7

段M.0.e.mn-QI這?冰F雄&央可電0加的2?lU?.

mn.W

HIKM^l?2S4t

z寰的in4m睛中.rt微―xw電電，

HTUMVH，

xxx：標(biāo)識(shí)MPLS網(wǎng)絡(luò)的核心和匯聚設(shè)備,可用

范圍為1~254；

Loopback接口地址僅用于保證網(wǎng)絡(luò)設(shè)備正常建

立和維護(hù)BGP鄰居關(guān)系，所以只有P、PE設(shè)備需要

回環(huán)地址配置，CE等設(shè)備不做配置：

98.0.255.xxx/32

LOOPBACKxxx為1~2時(shí)，表示為核心P設(shè)備，保留3~9給

未來可能增加的核心設(shè)備：

xxx為10~25時(shí)，表示為匯聚PE設(shè)備，保留

26~254給未來可能增加的匯聚設(shè)備或某些有需要配

皆I.nnnhack地址的CE的落！

4.6VLAN設(shè)計(jì)

VLAN技術(shù)可以將交換機(jī)劃分成多個(gè)邏輯組（VLAN,每個(gè)VLAN具有單獨(dú)的

MAC/ARP地址表，某一個(gè)VLAN內(nèi)的用戶是相互可訪問的,但一個(gè)VLAN的數(shù)據(jù)

包在二層交換機(jī)上不會(huì)發(fā)送到另一個(gè)VLAN,這樣，其他VLAN的用戶的網(wǎng)絡(luò)上收

不到任何該VLAN的數(shù)據(jù)包，確保了該VLAN的信息不會(huì)被其他VLAN的人所竊

聽，從而實(shí)現(xiàn)了信息的保密。

本次市教體局在接入交換機(jī)劃分二層VLAN實(shí)現(xiàn)不同學(xué)校隔離,在核心交換機(jī)

上劃分三層VLAN實(shí)現(xiàn)不同VLAN之間互通和跨樓層VLAN同一學(xué)校同一

VLAN互通，即把分布在不同樓層的信息點(diǎn)劃分到同一子網(wǎng)中,本次建議采用建議

采用基于端口或協(xié)議的劃分VLAN的方法。

基于端口的劃分思路如下:這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的交換

端口來劃分的,它是將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的PVC（永

久虛電路端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的VLAN交

換機(jī)。

對(duì)于不同部門需要互訪時(shí),可通過核心交換機(jī)轉(zhuǎn)發(fā)，并配合基于MAC地址的端

口過濾。對(duì)某站點(diǎn)的訪問路徑上最靠近該站點(diǎn)的交換機(jī)相應(yīng)端口上,設(shè)定可通過的

MAC地址集，這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點(diǎn)入侵

的可能。

基于協(xié)議劃分VLAN的思路如下:VLAN按網(wǎng)絡(luò)層協(xié)議來劃分,可分為IP、

IPX、DECnetsAppleTalksBanyan等VLAN網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來組成

的VLAN，可使廣播域跨越多個(gè)VLAN交換機(jī)。而且,用戶可以在網(wǎng)絡(luò)內(nèi)部自由移

動(dòng)，但其VLAN成員身份仍然保留不變。

這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的VLAN,而

且可以根據(jù)協(xié)議類型來劃分VLAN,這對(duì)網(wǎng)絡(luò)管理者來說很重要,這種方法不需要

附加的幀標(biāo)簽來識(shí)別VLAN,這樣可以減少網(wǎng)絡(luò)的通信量。

市教體局每個(gè)學(xué)校采用一個(gè)VLANID,考慮到各學(xué)校內(nèi)部部門劃分，以及某些需

要

訪問共同資源的部門，例如財(cái)務(wù)等，預(yù)留幾個(gè)VLANID。外網(wǎng)還有智能化系統(tǒng)

（廣播、門禁、監(jiān)控、報(bào)警等需要VLAN。各部門數(shù)據(jù)通過接入交換機(jī)打VLAN

tag，二層到匯聚交換機(jī)終結(jié)，通過三層MPLSVPN轉(zhuǎn)發(fā);智能化系統(tǒng)數(shù)據(jù)從接入、到

匯聚、到核心整網(wǎng)二層轉(zhuǎn)發(fā)。

初步規(guī)劃如下:

部門VLANID

部門一

部門二

部門二

蕊“四

部門五

??????

財(cái)務(wù)3001

IT3002

其他預(yù)留3003^3006

廣播1001

n禁1002

陳控4003

報(bào)警1001

adA&&0

4.7QOS規(guī)劃

市教體局是一個(gè)以IP為傳輸平臺(tái)的網(wǎng)絡(luò),在這個(gè)網(wǎng)絡(luò)上，將承載市所有學(xué)校多種

業(yè)務(wù)、多種應(yīng)用，這些業(yè)務(wù)對(duì)可靠性、時(shí)延、時(shí)延抖動(dòng)等服務(wù)質(zhì)量有不同需求。為

了保證關(guān)鍵業(yè)務(wù)的應(yīng)用,需要在網(wǎng)絡(luò)中實(shí)施QoS技術(shù)以保證關(guān)鍵業(yè)務(wù)在網(wǎng)絡(luò)上傳

輸?shù)膸捄蜁r(shí)延。QoS策略業(yè)務(wù)劃分入下表：

部門VLANID

部門一

部門二

生擁塞時(shí)仍然盡量保證其流量

考務(wù)系統(tǒng)6

學(xué)籍系統(tǒng)5

0A業(yè)務(wù)5

視頻系統(tǒng)4對(duì)一定范闈內(nèi)的流量進(jìn)行絕對(duì)保

AF普通保證護(hù)，在網(wǎng)絡(luò)擁塞時(shí)，超出額定范圍的

VPN業(yè)務(wù)1,2,3,4流量將被丟棄

一般網(wǎng)絡(luò)應(yīng)用0BE無保證當(dāng)網(wǎng)絡(luò)擁塞時(shí)將被丟棄

市教體局中將主要實(shí)現(xiàn)對(duì)不同數(shù)據(jù)流的分類和標(biāo)記,其他QoS技術(shù)將主要應(yīng)用

于廣域網(wǎng)，采用如下方式：

□對(duì)于普通業(yè)務(wù)不限制接入的流量，對(duì)于業(yè)務(wù)也不進(jìn)行保證，采用盡力轉(zhuǎn)發(fā)策

略。對(duì)于高優(yōu)先級(jí)業(yè)務(wù)接入限制流量（限制為2M或著4M之類,這個(gè)流量不宜過

高，對(duì)于高優(yōu)先級(jí)業(yè)務(wù)確保轉(zhuǎn)發(fā)。

□在各功能區(qū)的接入層,可以根據(jù)不同Input端口、MAC地址、源/目的IP地

址、IP協(xié)議或應(yīng)用端口號(hào)，對(duì)不同應(yīng)用數(shù)據(jù)流進(jìn)行分類,并采用DSCP對(duì)數(shù)據(jù)包進(jìn)

行標(biāo)記。

□在連接廣域網(wǎng)的路由器上設(shè)置相應(yīng)的業(yè)務(wù)隊(duì)列（如:EF、AF4、AF3以及

AF2隊(duì)列，采用CBQ（CBWFQ、WRED等技術(shù)，控制打了不同優(yōu)先級(jí)標(biāo)記的數(shù)據(jù)流

能占用的網(wǎng)絡(luò)帶寬及其被丟棄的次序。

口采用CBQ（CBWFQ+LLQ的方式，根據(jù)已經(jīng)定義的DSCP標(biāo)記，對(duì)不同的數(shù)據(jù)

流分配不同的帶寬。

□采用TailDropping或WRED機(jī)制，實(shí)現(xiàn)網(wǎng)絡(luò)擁塞時(shí)的數(shù)據(jù)包丟棄。QoS配置

策略示意圖如下圖：

業(yè)嶄征出入宿保在摧口卜配置

M5QMMifetr1024曲“保：F1024

出?上去俘

第5章計(jì)算存儲(chǔ)解決方案

5.1計(jì)算存儲(chǔ)平臺(tái)架構(gòu)設(shè)計(jì)

傳統(tǒng)的數(shù)據(jù)中心計(jì)算資源表現(xiàn)為一臺(tái)臺(tái)獨(dú)立的物理服務(wù)器,基于傳統(tǒng)物理服務(wù)

器的部署方式會(huì)導(dǎo)致計(jì)算資源利用率嚴(yán)重不足,增加了運(yùn)營與運(yùn)維的成本。引入云

計(jì)算的的架構(gòu)以后,數(shù)據(jù)中心的計(jì)算資源被統(tǒng)一管理和分配，以資源池的形式展現(xiàn)，

打破了傳統(tǒng)的IT架構(gòu)中各物理設(shè)備間的隔離，提升了計(jì)算資源的利用率，簡化了管

理和運(yùn)維手段，降低了運(yùn)營成本。

數(shù)據(jù)中心需要支持根據(jù)業(yè)務(wù)應(yīng)用的不同特點(diǎn)（大計(jì)算量應(yīng)用系統(tǒng)、高I/O訪問

應(yīng)用系統(tǒng)、高并發(fā)訪問應(yīng)用系統(tǒng)以及對(duì)資源要求一般的應(yīng)用系統(tǒng)采用合理的物理

服務(wù)器（2路、4路X86服務(wù)器或虛擬機(jī),能根據(jù)業(yè)務(wù)應(yīng)用的特點(diǎn)對(duì)服務(wù)器進(jìn)行配置

滿足應(yīng)用對(duì)計(jì)算的需要（CPU、內(nèi)存、網(wǎng)絡(luò)I/O、存儲(chǔ)I/O。云計(jì)算平臺(tái)需要和IT

管理平臺(tái)聯(lián)動(dòng)實(shí)現(xiàn)對(duì)虛擬計(jì)算資源的自動(dòng)部署和分配。

根據(jù)數(shù)據(jù)中心解決方案的總體架構(gòu)以及網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)中對(duì)功能區(qū)的劃分原貝1

將計(jì)算平臺(tái)總體架構(gòu)劃分為三個(gè)層面,分別對(duì)應(yīng)業(yè)務(wù)層、計(jì)算平臺(tái)層和存儲(chǔ)平臺(tái)

層。

業(yè)務(wù)層中，功能區(qū)域的劃分一般都是根據(jù)安全和管理需求進(jìn)行劃分,各個(gè)單位

可能有所不同，數(shù)據(jù)中心中一般有DMZ區(qū)、運(yùn)行管理區(qū)、業(yè)務(wù)生產(chǎn)區(qū)、0A區(qū)、

開發(fā)測試區(qū)等功能區(qū)域,實(shí)際劃分可以根據(jù)業(yè)務(wù)情況進(jìn)行調(diào)整，總的原則是在滿足

安全的前提下盡量統(tǒng)一管理。

計(jì)算平臺(tái)層主要考慮三層架構(gòu)部署,即表現(xiàn)層（WEB服務(wù)器群、應(yīng)用層（應(yīng)用

服務(wù)器群和數(shù)據(jù)層（數(shù)據(jù)庫服務(wù)器群；同時(shí)考慮物理和虛擬部署,即針對(duì)業(yè)務(wù)應(yīng)用的

不同特點(diǎn),在表現(xiàn)層和應(yīng)用層可以同時(shí)部署物理服務(wù)器和虛擬機(jī)服務(wù)器，在數(shù)據(jù)層一

般高IO的數(shù)據(jù)庫需要部署物理服務(wù)器，普通的數(shù)據(jù)庫也可以部署在物理服務(wù)器

中。

存儲(chǔ)平臺(tái)層主要考慮SAN、NAS和備份三種架構(gòu)部署，其中SAN架構(gòu)的存儲(chǔ)

還可以通過存儲(chǔ)虛擬化網(wǎng)關(guān)進(jìn)行虛擬化，形成不同品牌、不同型號(hào)的存儲(chǔ)設(shè)備的虛

擬化成統(tǒng)一的存儲(chǔ)資源池對(duì)外提供服務(wù)。本項(xiàng)目的架構(gòu)中SAN存儲(chǔ)采用FCSAN

進(jìn)行連接，備份系統(tǒng)可以分為LANBASE和LANFREE兩種,LANBASE采用IP網(wǎng)

絡(luò)連接服務(wù)器,LANFREE采用FC網(wǎng)絡(luò)連接服務(wù)器和存儲(chǔ)。

計(jì)算存儲(chǔ)平臺(tái)架構(gòu)如下圖所示。

5.2虛擬化平臺(tái)解決方案

5.2.1虛擬化平臺(tái)結(jié)構(gòu)

本項(xiàng)目采用虛擬化平臺(tái)對(duì)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)進(jìn)行虛擬化管理，虛擬化平臺(tái)操作

系統(tǒng)由虛擬基礎(chǔ)設(shè)施套件和基礎(chǔ)服務(wù)套件組成。

計(jì)其第兩顯m

平臺(tái)

層亨亨麗

1!5數(shù)據(jù)5庫IK務(wù)看i—b：!i

虛擬化平臺(tái)主要有虛擬化基礎(chǔ)引擎、虛擬化管理兩大部件組成。一套虛擬化

平臺(tái)部署一對(duì)虛擬化管理主備節(jié)點(diǎn),虛擬化管理通過自動(dòng)發(fā)現(xiàn)功能發(fā)現(xiàn)其管轄下的

物理設(shè)備資源（包括機(jī)框、服務(wù)器、刀片、存儲(chǔ)設(shè)備、交互機(jī)以及他們的組網(wǎng)關(guān)系;

提供虛擬資源與物理資源管理功能（統(tǒng)一拓?fù)?、統(tǒng)一告警、統(tǒng)一監(jiān)控、容量管理、

用量計(jì)費(fèi)、性能報(bào)表、關(guān)聯(lián)分析，生命周期，并且對(duì)外提供統(tǒng)一的管理Portal。

虛擬化管理還包括統(tǒng)一硬件管理UHM組件,UHM提供對(duì)硬件自動(dòng)發(fā)現(xiàn),硬件

自動(dòng)配置、統(tǒng)一監(jiān)控（帶內(nèi)和帶外、硬件統(tǒng)一告警、硬件拓?fù)?、異?gòu)硬件支持。虛

擬化管理可以管理多個(gè)物理集群，每個(gè)物理集群由一對(duì)主備VRM管理。

虛擬化引擎提供基礎(chǔ)的虛擬化功能，提供服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)的虛擬化功能，并

向上對(duì)虛擬化管理提供接口。每套虛擬化引擎主要由一對(duì)主備管理節(jié)點(diǎn)VRM組

成。一對(duì)VRM管理一個(gè)物理集群。一個(gè)物理集群中可以把多臺(tái)服務(wù)器劃分成一

個(gè)邏輯集群（又叫HA資源池,一個(gè)計(jì)算資源池有相同的調(diào)度策略，為了使用熱遷移

相關(guān)的調(diào)度策略要求資源池主機(jī)CPU同制。計(jì)算資源池不包括網(wǎng)絡(luò)資源與存儲(chǔ)資

源。一個(gè)物理集群中可以包含多個(gè)邏輯集群。

虛擬化平臺(tái)支持服務(wù)器、存儲(chǔ)的平滑擴(kuò)容。服務(wù)器、存儲(chǔ)設(shè)備均可根據(jù)業(yè)務(wù)根

據(jù)需求，在線平滑增加服務(wù)器、服務(wù)器虛擬集群，在線擴(kuò)展磁盤、磁盤框、控制框。

5.2.2虛擬化管理平臺(tái)

虛擬化管理平臺(tái)聚焦于數(shù)據(jù)中心虛擬化資源管理、自動(dòng)化運(yùn)維發(fā)放、并對(duì)企

業(yè)IT管理提供開放的管理接口。虛擬化管理系統(tǒng)將整個(gè)數(shù)據(jù)中心云化,并對(duì)系統(tǒng)

中用戶可見的資源抽取出來納入統(tǒng)一的資源池管理，為用戶提供一體化的資源管理,

自動(dòng)資源發(fā)放。為用戶提供了方便的獲取資源的途徑。用戶可以通過在服務(wù)目錄

自動(dòng)化的獲取資源并在資源上部署用戶需要的應(yīng)用。虛擬化管理平臺(tái)系統(tǒng)架構(gòu)如

下圖：

上圖是虛擬化管理虛擬化管理平臺(tái)的功能模塊?！疤摂M化管理”可以采用的虛

擬化管理軟件虛擬化引擎，也可以采用其他廠家的，如VMware的VCenter+Vsphere

等。

虛擬化管理軟件從軟件層面拉通統(tǒng)一各資源管理。虛擬化管理虛擬化管理平

臺(tái)負(fù)責(zé)全系統(tǒng)硬件和軟件資源的操作維護(hù)管理，用戶業(yè)務(wù)的自動(dòng)化運(yùn)維。主要模塊

包括：

5.2.2.1統(tǒng)一資源管理

虛擬化管理虛擬化管理平臺(tái)，通過對(duì)各種物理資源、虛擬化資源數(shù)據(jù)統(tǒng)一建模,

將資源以用戶可見的資源池形式提供給上層應(yīng)用。

統(tǒng)一資源管理可以屏蔽不同硬件和虛擬化的差異，資源的更換升級(jí)對(duì)用戶零感

知。實(shí)現(xiàn)對(duì)所有硬件資源進(jìn)行統(tǒng)一管理，包括設(shè)備自動(dòng)發(fā)現(xiàn)、自動(dòng)配置和故障監(jiān)控

等，實(shí)現(xiàn)資源快速發(fā)放，縮短業(yè)務(wù)上線時(shí)間。

虛擬化管理平臺(tái)支持對(duì)資源分集群管理。集群的創(chuàng)建、刪除、擴(kuò)容、減容，對(duì)

集群進(jìn)行性能監(jiān)控，配置集群的資源調(diào)度策略，調(diào)度策略可以設(shè)置為手動(dòng)和自動(dòng)，實(shí)現(xiàn)

虛擬機(jī)根據(jù)系統(tǒng)負(fù)荷在不同服務(wù)器上遷移。

虛擬化管理平臺(tái)支持對(duì)虛擬機(jī)生命周期管理:業(yè)務(wù)管理員通過應(yīng)用對(duì)虛擬機(jī)進(jìn)

行創(chuàng)建、銷毀操作,對(duì)虛擬機(jī)的日常維護(hù)包括:啟動(dòng)、重啟、遷移、關(guān)閉、修復(fù)、快

照、虛擬機(jī)資源調(diào)整和監(jiān)控；

虛擬化管理平臺(tái)支持虛擬化網(wǎng)絡(luò)管理:對(duì)子網(wǎng)、WLAN

、端口組、分布式交換機(jī)進(jìn)行

管理；

虛擬化管理平臺(tái)支持虛擬化存儲(chǔ)管理:可以管理IPSAN、FusionstoragesFC

SAN、NAS的存儲(chǔ)資源，向存儲(chǔ)資源池中增加、刪除數(shù)據(jù)存儲(chǔ)，對(duì)已經(jīng)存在的數(shù)據(jù)

存儲(chǔ)可以進(jìn)行擴(kuò)容。

5.2.2.2自動(dòng)運(yùn)維

自動(dòng)化運(yùn)維是虛擬化管理平臺(tái)提供的主要功能。管理員可以實(shí)現(xiàn)物理設(shè)備的

自動(dòng)發(fā)現(xiàn)，虛擬機(jī)、操作系統(tǒng)和應(yīng)用軟件自動(dòng)化部署,提高管理平臺(tái)的部署效率。管

理員通過配置不同的調(diào)度策略，同時(shí)實(shí)現(xiàn)智能調(diào)度管理，提升設(shè)備利用率和彈性伸

縮。

運(yùn)維管理系統(tǒng)集中維護(hù)系統(tǒng)的調(diào)度策略，保證資源的合理分配,實(shí)現(xiàn)資源最大化

利用或?qū)崿F(xiàn)節(jié)能目標(biāo)等。根據(jù)應(yīng)用場景，可以分為三種策略類型:組內(nèi)自動(dòng)伸縮策

略、組間資源回收策略和時(shí)間計(jì)劃策略。

組內(nèi)自動(dòng)伸縮策略

針對(duì)單獨(dú)的應(yīng)用而言，應(yīng)用根據(jù)應(yīng)用的當(dāng)前負(fù)載動(dòng)態(tài)的調(diào)整應(yīng)用實(shí)際使用的資

源,當(dāng)一個(gè)應(yīng)用資源負(fù)載較高時(shí)，自動(dòng)啟動(dòng)虛擬機(jī)或添加虛擬機(jī)并安裝應(yīng)用軟件;當(dāng)

應(yīng)用的資源負(fù)載很低時(shí)啟動(dòng)關(guān)閉或刪除虛擬機(jī)，釋放相應(yīng)的資源。

組間資源回收策略

當(dāng)系統(tǒng)資源不足的情況下，系統(tǒng)可以根據(jù)組間設(shè)置的資源復(fù)用策略，優(yōu)先使優(yōu)先

級(jí)高的應(yīng)用使用資源，使優(yōu)先級(jí)低的應(yīng)用釋放資源,以供