智慧校园网络建设方案,智慧校园建设方案

('浙江道小学校园网升级改造方案2013年9月目录第1章.现状及需求分析..........................................................................................................................31.1.项目建设背景..............................................................................................................................31.2.原有校园网分析..........................................................................................................................3第2章.校园网升级改造方案整体设计...................................................................................................42.1.设计原则与思路..........................................................................................................................42.2.整体解决方案..............................................................................................................................6第3章.校园网功能分区详细设计...........................................................................................................93.1.接入层设计..................................................................................................................................93.1.1.接入层有线设备设计................................................................................................93.1.2.接入层无线设备设计..............................................................................................123.2.核心层设计................................................................................................................................133.2.1.核心层网络设计......................................................................................................133.2.2.核心层安全设计......................................................................................................143.3.中心机房设计............................................................................................................................183.4.云数据中心设计........................................................................................................................193.4.1.项目方案规划..........................................................................................................193.4.2.逻辑结构图..............................................................................................................213.4.3.方案设计说明..........................................................................................................223.4.4.核心功能设计..........................................................................................................283.4.5.平台特性..................................................................................................................323.4.6.部署虚拟化的优势..................................................................................................35第4章.分布实施计划............................................................................................................................39第5章.售后服务及培训........................................................................................................................405.1.售后服务....................................................................................................................................405.2.培训............................................................................................................................................40第1章.现状及需求分析1.1.项目建设背景浙江路小学是天津市实施素质教育“三A”学校，一直是塘沽区重点示范小学，其有两个校区，一是上海道校区、二是福州道校区。这两个校区都有着浓厚的教学历史，教学水平一直处于塘沽区前列。随着电子信息化的发展，浙江道小学也随之建设了不少高新科技的信息化电教设施。两个学校的录播教室的建设一直在塘沽区也是首屈一指的。随着信息化的不断深入，教育资源云平台、云书包也被学校提到建设日程里，但是这些项目都要有一个强大的校园网作为支撑，由于浙江路小学的校园网是2000年建设使用的，已经不能够承载现有云计算平台的高速数据传输功能了。则要在教育资源云平台、云书包这些平台建设成立之前，必须把校园网进行升级改造，能够使这些平台发挥应有的作用。2天津移动1.2.原有校园网分析浙江路小学现状：目前使用核心路由器为锐捷NBR3000.核心交换机为锐捷5750楼层交换机为一般性能100M交换机，学校网站服务器、办公服务器等网络和服务器设备已老化。现有网络拓扑情况为福州道和上海道两个校区各有一条互联网接入，之间有一条数据专线，校区内为树形拓扑。具体设备情况：上海道小学：核心路由器NBR3000，核心交换机5750，其他三个楼宇（二号楼1台，三号楼1台，一号楼6台）合计约8台楼层100M交换机。福州道校区：核心路由器NBR3000，核心交换机5750，一栋楼宇（四层）内（分前后楼）合计约8台楼层100M交换机。原有校园网络拓扑如下：3天津移动第2章.校园网升级改造方案整体设计2.1.设计原则与思路浙江路小学的校园网的建设原则是能够高效、安全、绿色的支撑应用系统的使用，相比传统校园网建设，体现在几个层面的变化：1、数据中心的形成全面提升主要校区的网络平台，包括中心机房设施提升、核心网络设备的升级、应用系统服务器的安装购置，安全设备的安装购置。2、上联链路的升级为了提高云计算平台的适应性，以及云书包等应用的规划以动画、视频、互动等大流量应用为主，相比传统网络带宽要求提升10~20倍，应该提升主要校区的登陆Internet上联链路的带宽。3、全面提升网络设备原有校园网的网络设备老旧，并且不能适应新应用系统的数据传输要求，则要配备具有更高数据传输能力的网络设备。所以在全新校园网的设计上需要遵循以下原则：高性能——骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（视频、动画）的高质量传输，才能使网络不成为业务开展的瓶颈。高可靠性——网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力；合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。网络设备在出现故障时应便于诊断和排除，充分体现计算机网络的高可靠性。安全性——制订统一的网络安全策略，整体考虑网络平台的安全性，保证师生能够安全、绿色的使用资源。独立性——学校与教育局之间采用公网连接会导致一些应用系统的不可用（比如名师讲堂、双向教学等），而且公网连接也使得网络不安全、不可控等隐患，所以教育局与学校之间应该采用裸光纤或者VPN方式连接；技术先进性和实用性——在保证满足校园业务、应用系统业务的同时，要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。4天津移动标准开放性——支持国际上通用的网络协议、路由协议等开放的协议标准，有利于保证与其它网络(如中国教育网、公共数据网、区教育网等其它网络)之间的平滑连接互通，以及将来网络的扩展。灵活性及可扩展性——根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。可管理性——对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。强QOS、强组播特性——新应用系统下的校园网因为对视频、音频等多媒体业务的需求较大，所以整个网络具有较完善的QOS特性对教育网而言就显得尤为重要。能不能对关键业务进行带宽优先保证尤其是那些对时延敏感的业务进行保证是教育网必须考虑的一个重点，为实现区别服务，整网端到端的QOS特性机制是优质网络业务的保证。另外组播特性对于有效的保证多媒体流传输性能和节省带宽也有非常重要的意义，基于组播的控制特性也会进一步保证组播流的控制、管理和安全，从而为实现教育城域网的多业务支持提供保障。兼容性和经济性——兼容性，能够最大限度地保证学校现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段（如现有的双向教学系统），保证各种在用计算机系统（包括工作站、服务器和微机等设备）的互连入网，充分利用现有网络资源，发挥主干网的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有设备或做必要的升级。2.2.整体解决方案浙江路小学校园网的整体网络拓扑如下图所示：5天津移动整个网络分为接入层、核心层、本地教育资源中心、远程教育资源平台和出口区共计5个模块。接入层在两个校区楼宇内部署全千兆交换机，通过万兆光纤连接该校区机房的核心交换设备。并在电教室安装WLAN设备，满足对教室多用户的高密覆盖，并对整个教学区做到wifi信号的全覆盖。为云书包系统提供无线终端接入。核心层在核心层采用华为S7706核心交换机，并安装双引擎、双电源等稳定系统，以保证网络核心的可靠性，同时成倍提升网络性能。核心交换机上提供连接各功能区万兆以太网接口，出口部署网络安全设备，为整个校园网提供安全保障。并在两个校区之间用一条100M的MSTP链路互联，保证福州道校区可以毫无阻碍的登陆总校的教育资源中心。教育资源中心在浙江路小学总校中心机房部署教育资源中心，把视频录播系统、云计算平台系统、以及教学管理系统部署在教育资源中心。作为整个校园网的总指挥部，部署网络管理系统、安全管理系统、虚拟化管理平台等管理系统，以便于管理人员对整个校园网进行统一规划和管理。远程教育资源区6天津移动利用当地运营商-天津移动的IDC机房内部署远程教育资源区，在云计算虚拟化区，通过虚拟化技术建立计算资源池和存储资源池，为教育资源平台动态分配硬件资源，从而提高硬件资源的可靠性和可扩展性。资源服务区通过互联网与学校本地教育资源区进行互联，可以把一些数据系统进行全面镜像，保证了远程教育资源区与本地信息的高度一致。同时，学生、教师、家长可以通过互联网登陆到远程教育资源区，实时进行资料查询、批改作业、师生互动等活动。天津移动IDC的优势及相对学校自建IDC的成本节约点：中国移动IDC业务优势国际顶尖的机房标准：1.专门为IDC而建设的机房楼（8级抗震标准）。2.高强度的承重，满足电池，存储等设备的安装。3.良好的布局，增强了客户体验。完善的动力配套系统：1.Tier4认证的电力设备，保障服务器运行安全可靠。2.精密智能SDC空调，保障室内温湿度恒定。3.国内最新的封闭冷通道技术，科学的降低运营成本为客户提供更优的资费。数据中心级的网络资源配置：1.快速的收敛时间（路由器收敛时间<50ms）。2.汇聚层支持虚拟化技术，收敛速度远高于普通路由收敛。万兆端口/12个千兆端口，缓存256兆。3.良好的安全保证措施，对外防御手段齐全，对内纳入安全管控体系，保障服务器的绝对安全。使用IDC托管业务的优势随着校园对数据处理依赖程度的递增，对数据的安全要求也进一步提高。数据中心的灾备恢复服务能力是校园应当关注的一个重点.要在自己室内存放服务器，就必须建立空调环境、标准设施（例如24小时运作的机房空调系统、不间断电源系统等等）以及管理服务器和网络业务作出庞大而长远的投资。服务器管理服务尤其适用于下列况：不愿购置额外硬件（例如：路由器）以提升伺服器的连接速度；服务器受带宽所限无法提升网络连接速度。服务器托管服务是最合乎成本效益的网上方案，无论在性能、安保、可靠性方面都达到最高水平，免除了校方在机房建设方面需投入的高昂成本。自建机房需考虑成本因素：1、土建与场地成本。2、动力配电成本。3、防雷接地、静电释放系统。4、结构装饰成本。5、UPS不间断电源。6、气体消防灭火系统7。、PDS综合布线成本。8、空调、新风系统。9、安防门禁视频监控成本。10、环境集中监控。11、网络带宽接入成本。12、安保及专业网络维护人员成本。13、高额的电费等等出口区整个校园网将拥有两个网络出口，出口部署华为USG2260出口安全网关。负责整个校区的安全防御。一个是总校高带宽的互联网出口、一个是分校原有互联网出口，这两个出口可以互为备份，并提供流量分流，负载均衡等工作。7天津移动认证计费区整个校园部署华为esight网络管理软件，1.对网络设备进行有效管理，网络故障诊断，网络拓扑展示。对无线设备进行管理、通过esight的安全策略组件可以提供用户接入网络认证，对上网用户进行监管和控制。无线用户直接在本地认证，接入学校内网，不经过运营商线路，节省了很大一部分带宽费用。第3章.校园网功能分区详细设计3.1.接入层设计3.1.1.接入层有线设备设计浙江路校园原有校园网接入层设备是普通的100M交换机，不具有可管理性，并且无法实现千兆上联，特别是开通录播系统的实时转播工作时，没有组播协议的支撑，会造成整个校园网骨干数据传输缓慢甚至瘫痪。在电教室内要安装高容量的无线AP作为云书包的终端接入系统，此教室数据传输量可谓巨大，所有接入交换机必须具备上联、下联端口保证千兆带宽。则本方案建议使用华为的千兆交换机S5700-LI系列交换机作为校园网的接入设备。华为S5700-LI系列交换机是华为公司自主开发的全千兆三层以太网交换机产品，具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。通过华为特有的CSS（智能弹性架构）功能，用户能够简化对网络的管理。S5700-LI系列千兆以太网交换机定位为企业网千兆接入，同时还可以用于数据中心服务器群的连接。其系统特性如下：高扩展性保护投资随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条10GE链路将是我们的未来发展方向。S5700-LI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力，尽力保护用户投资。S5700-LI系列支持IPv4和IPv6的三层路由功能，并可以实现基于硬件的IPv4和IPv6的全线速转发。同时支持IPv6的ACL、QoS、组播和网管，实现IPv4到IPv6的平滑升级。智能弹性架构8天津移动华为S5700-LI系列交换机支持CSS（第二代智能弹性架构）技术，就是把多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说，用户可以将这多台设备看成一台单一设备进行管理和使用。CSS可以为用户带来以下好处：●简化管理CSS架构形成之后，可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备，通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。●简化业务CSS形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算，而随着跨设备链路聚合技术的应用，可以替代原有的生成树协议，这样就可以省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。●弹性扩展可以按照用户需求实现弹性扩展，保证用户投资。并且新增的设备加入或离开CSS架构时可以实现“热插拔”，不影响其他设备的正常运行。●高可靠CSS的高可靠性体现在链路，设备和协议三个方面。成员设备之间物理端口支持聚合功能，CSS系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了链路的可靠性；CSS系统由多台成员设备组成，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份；CSS系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，从而实现1：N的协议可靠性。●高性能对于高端交换机来说，性能和端口密度的提升会受到硬件结构的限制。而CSS系统的性能和端口密度是CSS内部所有设备性能和端口数量的总和。因此，CSS技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。完备的安全控制策略华为S5700-LI系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。华为S5700-LI系列交换机支持对试图接入网络的用户进行802.1x认证。可以在交换机上对802.1x客户端的版本和有效性进行验证，防止非法用户登录网络。支持集中式MAC地址认证，可以基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件，而且可以同时运行802.1x认证和基于MAC地址认证。提供GuestVlan功能，使得为被授权的访问端只能接入访问特定的资源，并且会采取相应的策略，例如可以获得802.1x客户端、升级客户端9天津移动或者获得其他的升级程序等等。支持SecureShellV2（SSHV2）特性可以提供安全的信息保障和强大的认证功能，以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。丰富的QoS策略华为S5700-LI系列交换机支持支持L2（Layer2）~L4（Layer4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP、WRR、SP+WRR三种模式。支持CAR功能，粒度最小达64Kbps。支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。出色的管理性华为S5700-LI系列交换机支持SNMPv1/v2/v3（SimpleNetworkManagementProtocol），可支持OpenView等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMPv2集群管理，使设备管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。华为S5700-LI系列交换机支持基于MAC地址划分VLAN，很好的解决了移动办公的智能灵活管理；结合特有的基于全局和VLAN下发ACL策略，在简化用户配置的同时，也大幅节约了硬件资源。增强的以太网供电功能（PoE+）华为S5700-LI系列交换机支持增强的以太网供电功能（PoE+），PoE供电款型可以提供每端口最大30W的输出功率，可以为802.11n的无线接入点，可视IP电话，以及更多的终端设备提供以太网供电能力。10天津移动作为教育云计算实践，云计算数据中心的建设建议达到以下目标：\uf075通过标准化、虚拟化的资源池部署，提高整体IT基础设施资源利用率；\uf075实现IT基础设施资源的自助化服务，按需申请，按需供给，实现面向最终用户的云服务模式；\uf075实现IT基础设施资源的自动化部署及流程化管理，并可利用云计算管理平台对资源进行可视、全面的监、管、控，简化日常运维的管理流程、降低维护成本；\uf075在实现可落地的云实践的基础上，保留未来向更高层次的云计算实践发展的可能，如SaaS和PaaS相关应用等；3.1.2.接入层无线设备设计根据云书包系统需求，在电教室内部署无线网络，以便云书包终端可以自由接入网络。普通的AP接入终端数量不可以超高10个，特别是高带宽的接入设备更不能超过这个数量。但是也不能在一个小空间内部署多个AP来弥补接入数量不足问题。因为AP之间也会出现频道干扰。则这些电教室内要部署大容量接入的工业AP。根据云书包的特点。本方案选择华为大容量接入设备AP3010DN-AGN作为电教室无线AP。其能够实现接入终端的相互隔离，保证每个接入设备达到至少54M的上联带宽。AP3010DN-AGN支持整机最大用户数达到64个，16个SSID。一体化MIMO内置天线，实现全向无盲点覆盖。每射频速率高达300Mbps。高等级的网络安全性，支持多种认证和加密11天津移动方式，以及非法AP检测，支持QOS。灵活的组网和环境适应能力，满足接入、桥接(WDS)等多种组网应用场景。简单的设备管理和维护，业务零配置，即插即用,自动上线，美观化设计，支持FIT-AP。每个电教室部署1台高容量AP就可以满足云书包终端的接入。上联接入一台千兆电口的交换机即可满足高带宽的需要。3.2.核心层设计3.2.1.核心层网络设计数据中心核心交换机需要资源池内部高速交换以及骨干互联工作，建议采用华为数据中心级核心交换机S7700，主要基于如下考虑：\uf0d8高性能：核心汇聚层需要与其它外部网络互联，外连接口众多，并且这些外部网络所提供的接入带宽和接入设备都是业界高端设备，所以为了使网络在核心交换区不存在性能瓶颈，采用具备高密万兆的核心交换设备.\uf0d8整网可靠性：因为校园网数据中心网络业务系统具有高可靠性设计，业务层面最大限度的保障业务转发不中断、不丢包。因此建议在核心交换部分采用主控和交换网板分离的核心交换机，提高网络可靠性，使整网可靠性方面不存在短板。\uf0d8绿色环保：为了降低机房空调能耗，要求核心交换机采用竖插槽，前下部进风、上后部抽风、强迫风散热形式。要求通过RoHS、CE等国际环保认证。在总校与分校之间部署100MMSTP链路，为分校区提供高速互联通道，当分校区电教室开通云书包系统时，可以通过这条100M链路登陆至总校的教育资源平台上，实现多个无线终端开展视频教学活动。3.2.2.核心层安全设计为了应对云计算环境下的流量模型变化，安全防护体系的部署需要朝着高性能的方向调整。在本次项目的建设过程中，多条高速链路汇聚成的大流量已经比较普遍，在这种情况下，安全设备必然要具备对高密度的GE甚至10G接口的处理能力；无论是独立的机架式安全设备，还是配12天津移动合数据中心高端交换机的各种安全业务引擎，都可以根据用户的云规模和建设思路进行合理配置；同时，考虑到云计算环境的业务永续性，设备的部署必须要考虑到高可靠性的支持，诸如双机热备、配置同步、电源风扇的冗余、链路捆绑聚合、硬件BYPASS等特性，真正实现大流量汇聚情况下的基础安全防护。在核心交换机与出口之间部署防火墙，在核心交换机与教育资源平台之间部署防火墙。以保证内部局域网安全及教育资源的数据安全。如上图FW三层部署所示，防火墙可以与宿主交换机直接建立三层连接，也可以与上游或下游设备建立三层连接，不同连接方式取决于用户的访问策略。可以通过静态路由和缺省路由实现三层互通，也可以通过OSPF这样的路由协议提供动态的路由机制。如果防火墙部署在服务器区域，可以将防火墙设计为服务器网关设备，这样所有访问服务器的三层流量都将经过防火墙设备，这种部署方式可以提供区域内部服务器之间访问的安全性。防火墙是网络系统的核心基础防护措施，它可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击（pingofdeath,land,synflooding,pingflooding,teardrop）、端口扫描（portscanning）、IP欺骗(ipspoofing)、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。安全控制策略：防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没有明确的规则允许通过，全部拒绝以保证安全；13天津移动建议在两台防火墙上设定严格的访问控制规则，配置只有规则允许的IP地址或者用户能够访问数据业务网中的指定的资源，严格限制网络用户对数据业务网服务器的资源，以避免网络用户可能会对数据业务网的攻击、非授权访问以及病毒的传播，保护数据业务网的核心数据信息资产；配置防火墙防DOS/DDOS功能，对Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒绝服务攻击进行防范，可以实现对各种拒绝服务攻击的有效防范，保证网络带宽；配置防火墙全面攻击防范能力，包括ARP欺骗攻击的防范，提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等，全面防范各种网络层的攻击行为；根据需要，配置IP/MAC绑定功能，对能够识别MAC地址的主机进行链路层控制，实现只有IP/MAC匹配的用户才能访问数据业务网中的服务器；其他可选策略：可以启动防火墙身份认证功能，通过内置数据库或者标准Radius属性认证，实现对用户身份认证后进行资源访问的授权，进行更细粒度的用户识别和控制；根据需要，在两台防火墙上设置流量控制规则，实现对服务器访问流量的有效管理，有效的避免网络带宽的浪费和滥用，保护关键服务器的网络带宽；根据应用和管理的需要，设置有效工作时间段规则，实现基于时间的访问控制，可以组合时间特性，实现更加灵活的访问控制能力；在防火墙上进行设置告警策略，利用灵活多样的告警响应手段（E-mail、日志、SNMP陷阱等），实现攻击行为的告警，有效监控网络应用；启动防火墙日志功能，利用防火墙的日志记录能力，详细完整的记录日志和统计报表等资料，实现对网络访问行为的有效的记录和统计分析；部署ACG应用控制网关能对网络中的P2P/IM/VoIP带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，根据对网络流量、用户上网行为进行深14天津移动入分析与全面的事后审计，并具有强大的URL过滤功能，进而全面了解网络应用模型和流量趋势，大大提升网络的业务控制能力，帮助用户优化其网络资源，为用户打造一个和谐、有序的网络环境。能精确检测Thunder（迅雷）、BitTorrent、eMule（电骡）、eDonkey（电驴）、QQ、MSN、PPLive等近百种P2P/IM应用。同时，可基于时间、用户（组）、应用协议，对P2P/IM应用进行告警、限速或阻断。能精确识别各种常见的应用，如ERP应用、视频会议等，在识别业务的基础上，ACG可对关键业务进行带宽保证，对其他业务按优先级进行智能流量调度。可对各种P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输等各种上网行为提供全方面的行为监控和记录；同时，通过综合分析、检测用户网络流量与流向趋势，事后对历史数据进行分析，为用户提供细粒度的网络行为审计管理系统。通过自定义IP地址、主机名、正则表达式等方式设置URL特征库，支持根据不同的URL策略设置不同的响应方式，支持根据时间表对不同的URL策略设置不同的响应动作，避免保密信息的外泄，免受非法信息干扰，确保网络的健康使用。提供业务流量趋势图、流量分布图、TopN用户列表、TopN应用协议列表等报表，并支持按照用户名/用户组、使用频度、使用时段、应用分类、应用协议、流量大小等进行多维度组合定制报表，使用户能全面掌握网络中的流量、应用和业务分布，为合理规划网络、制定流量控制策略提供依据。华为专业安全团队密切跟踪应用变化，并对应用协议特征库及时更新；支持在线自动/手动升级方式，升级过程无需重启系统，不影响系统业务运行。通过在华为交换机/路由器中增加SecBladeACG模块，即可扩展交换机/路由器的应用监控和审计功能。通过与交换机/路由器共用管理平台，降低了管理难度。并且交换机/路由器的任何端口都可以作为SecBladeACG模块的端口使用，从而降低用户成本。SecBladeACG业务模块作为业务插卡嵌入华为交换机/路由器中，降低了单点故障，保证了网络的高可靠性。15天津移动部署负载均衡设备可提供完善的负载均衡功能，具备服务器负载均衡、链路负载均衡等功能。部署在数据中心，基于特定的负载均衡算法将客户端对数据中心服务的访问请求合理地分发到数据中心的各台服务器上，以保证数据中心的响应速度和业务连续性。部署在多ISP链路的出口，为了提高链路利用率，通过对链路状态的检测，采用对应的调度算法将数据合理、动态的分发到不同链路上。3.3.中心机房设计浙江路小学的原有网络机房功能比较单一，如果以后要承载教育资源平台及云书包平台，则原有网络机房的空间、电源功率、空调制冷量都达不到要求，则要对网络机房进行升级改造。针对原有网络机房要有以下升级措施：1、扩大网络机房面积，扩容后对网络机房进行粉霜、门窗密闭、安装防盗门，铺设防静电地板等工作。2、扩充原有机房供电功率，从学校总配电室铺设525mm平方的电缆至网络中心机房，并安装相关配电设施。以便提高网络机房总的配电功率至50KVA以上。3、安装30KVA的UPS一套，并安装后备电池，当市电停止时，可以为网络机房信息系统提供30分钟-1个小时的供电时间。4、安装5匹机房专用空调，为机房提供足够的制冷量，为了防止多台服务器堆叠后产生大量热量。5、安装全新服务器机柜5台，为网络设备、服务器及其他设备提供安装空间，而且保证了全机房设备统一整齐，达到美观的效果。3.4.云数据中心设计3.4.1.项目方案规划教育云数据中心的建设将改变传统的建模式，采用云计算技术对数据中心硬件资源和基础软件的统一管理、统一分配、统一部署、统一监控和统一备份，打破原先信息系统建16天津移动设中普遍采用的应用系统“封闭运行，相对独立”的模式，实现各类计算资源和运用动态调整、自动故障切换和应用系统快速部署，简化管理、大大降低管理成本、减少基础设施资源浪费，节省系统建设和运行维护经费。一期建设的主要内容为初步搭建一个相对完整的虚拟化数据中心架构，提供可扩展的虚拟化运行环境，并将所有基于x86服务器的应用系统逐步迁移到虚拟化平台中。一期规划的架构拓扑如下：二期建设的主要内容为扩容和完善整体架构，新应用部署也将形成虚拟标准化。增加刀片服务器和存储容量，提供更大的虚拟化容量，并构建统一数据保护系统和其他虚拟化安全设备，达到更安全、稳定的系统级别。三期建设时，将根据实际需要，考虑搭建灾备数据中心，对主数据中心进行全面的虚拟化，以及与灾备中心搭建成互相冗余备份的虚拟化双活数据中心。通过构建云计算数据中心将为整个企业各个应用提供了统一的运行平台，为所有下属单位和员工的服务提供了强有力的信息化基础平台。17天津移动数据中心建设采用统一规划、分布实施的原则，一期可考虑较少数量的虚拟机的规模，主要完成新一代虚拟化数据中心硬件资源的整合平台搭建。3.4.2.逻辑结构图方案中将云计算资源池分成三层结构：第一层；物理资源，包括物理服务器、存储设备、网络设备等；此层为真正的物理资源，为整个云计算平台提供物理环境。第二层：云计算中心逻辑资源池，包括资源池、数据存储和端口组；整体数据中心的计算资源进行逻辑划分，分为资源池（CPU、MEM）、数据存储（存储容量、存储性能）和网络组（网络带宽），此层为全平台逻辑资源，为所需业务提供资源。第三层：虚拟数据中心；针对服务平台、各业务应用区域可以独立管理自己数据中心内的虚拟服务器和应用，而每个区域在逻辑上是相互隔离的，他们能都独立运行和管理。18天津移动最后通过统一的用户与策略管理为信息平台和应用区域指定相应的资源目录和策略规范，实现整体平台的运维管理。在整体云平台中能够统一监控到所有资源的使用情况和所有系统运行情况。3.4.3.方案设计说明针对客户云计算数据中心建设，我们结合用户当前和远期的业务系统需求，设计方案采用业界最好的云基础架构进行设计，以达到以下效果：1、在数据中心采用高性价比的服务器，将这部分服务器做虚拟化部署。部署虚拟化后的物理服务器按照以往的经验，大约可实现10:1~15:1的整合比率，也就意味着以前需要二三十台物理服务器完成的工作，在部署虚拟化后仅2~3台就能满足要求。根据客户当前的需求情况来分析，我们本期设计高性能服务器专门用于部署虚拟化软件。2、配合虚拟化的实施，除了需要高性能的物理服务器之外，还需要高性能的网络、高I/O性能的专业存储系统。此存储不但可满足通过虚拟化软件虚拟出来的大量虚拟服务器数据的存放和I/O性能需求，而且还能方便的扩展。19天津移动3、数据中心在部署虚拟化后，不但可大大的扩展服务器的数量，还可以实现服务器之间的故障转移（HA）、在线热迁移（vMotion）、零秒容错（FT）等诸多功能，在后面的方案中我们将做详细的描述。“计算+存储融合”产品将同时满足计算+存储对性能和扩展性这两方面的要求，而且不存在计算和存储层的单点故障。按照以上方案实施完毕后，将实现vDC基础资源的标准化，满足数据中心的所有基础架构要求，可为客户各应用平台提供有力支持。数据中心部署最新的高性能服务器，其上安装部署虚拟化操作系统。实施了虚拟化部署后的物理服务器将具备高可用故障切换等诸多高级容错功能，在一台物理服务器出现故障宕机后，不会影响到在上面运行的具体业务。解决方案拓扑示意图：20天津移动计算和存储资源池：主要由1个Block内的3台（节点）2路CPU的刀片服务器组成。设备仅占用2U的空间，其最大可支持4个节点（Node），称为1个Block。如需继续扩展，可添加新的Block和Node，可支持上千个Node的线性扩展。假设平均1台VM（虚拟机）需占用1个CPU内核和8G内存的计算资源，那么上述1台Node服务器保守估计可运行12~15台VM，2台Node服务器即可运行24~30个VM。3台Node服务器可形成N+1的HA（高可用）集群，保障稳定性。21天津移动这些物理服务器上均部署虚拟化群集，提供所有服务器虚拟机的运行环境。服务器配置21000M和210Gb网卡与网络交换机互联，并通过服务器内预置的分布式存储系统，将所有SSD和SATA融为一个存储池，透明的供应给上层使用。在搭建虚拟化的数据中心时，有3大优势：1）横向扩展架构，易扩展：由于内置的分布式存储技术，使计算池和存储池均能够横向线性扩展，解决了传统架构下存储性能难扩展的问题。22天津移动2）全冗余架构，计算和存储节点均无单点故障：由于均是资源池化和分布式架构，所有数据均是冗余分布的，所以天生就没有存储的单点问题，整体架构高稳定。3）存储性能优异：由于其配置了大容量SSD固态硬盘和PCIeSSD加速卡，并内置了存储虚拟化分层、重复数据删除和压缩、数据高速同步等技术，其存储性能非常优秀，并且能随Node增加而线性提高性能，按需扩展。通过对服务器虚拟化技术的介绍，可以看出服务器虚拟化有以下几个特性：（1）多实例通过服务器虚拟化，一台物理机上可以运行多个虚拟服务器，支持多个客户操作系统，并且物理系统的资源是以可控的方式分配给虚拟机。（2）隔离性服务器虚拟化可以将同一台物理服务器上的多个虚拟机完全隔离开来，多个虚拟机之间就像多个物理机器之间一样，每个虚拟机都有自己独立的内存空间，一个虚拟机的崩溃并不会影响到其它虚拟机。（3）封装性采用服务器虚拟化之后，一个完整的虚拟机环境对外表现为一个单一的实体，便于在不同的硬件设备之间备份、移动和复制。同时，服务器虚拟化将物理机器的硬件封装为标准化的虚拟硬件设备提供给虚拟机内的操作系统和应用程序，提高了系统的兼容性。基于以上这些特性，服务器虚拟化带来了如下的优点：（1）实时迁移实时迁移是指在虚拟机运行时，将虚拟机的运行状态完整、快速的从一个宿主平台迁移到另一个宿主平台，整个迁移过程是平滑，且对用户透明的。由于服务器虚拟化的封装性，实时迁移可以支持原宿主机和目标宿主机硬件平台之间的异构性。当一台物理机器的23天津移动硬件需要维护或更新时，实时迁移可以在不宕机的情况下将虚拟机迁移到另一台物理机器上，大大提高了系统的可用性。（2）快速部署在传统的数据中心中，部署一个应用需要安装操作系统、安装中间件、安装应用、配置、测试、运行等多个步骤，通常需要耗费十几个小时甚至几天的时间，并且部署过程中容易产生错误。而采用服务器虚拟化之后，部署一个应用其实就是部署一个封装好操作系统和应用程序的虚拟机，部署过程只需要以下几个步骤：拷贝虚拟机、启动虚拟机和配置虚拟机，通常只需要十几分钟，且部署过程自动化，不易出错。（3）高兼容性服务器虚拟化提供的封装性和隔离性使应用的运行平台与物理底层分离，提高了系统的兼容性。（4）提高资源利用率在传统的数据中心中，处于对管理性、安全性和性能的考虑，大部分服务器上都只运行一个应用，导致服务器的CPU使用率很低，平均只有5%~20%。采用服务器虚拟化之后，可以将原来多台服务器上的应用整合到一台服务器之中，提高了服务器资源的利用率，并且通过服务器虚拟化固有的多实例、隔离性和封装性保证了应用原有的性能和安全性。（5）动态调度资源服务器虚拟化可以使用户根据虚拟机内部资源的使用情况即时的灵活调整虚拟机的资源，如CPU、内存等，而不需要像物理服务器一样需要打开机箱变更硬件。24天津移动3.4.4.核心功能设计3.4.4.1.服务器共享资源池管理动态数据中心核心管理用户自服务模块与平台管理模块，是将数据中心管理的主要功能：\uf06e系统监控\uf06e虚拟化管理\uf06e数据备份\uf06e配置管理\uf06e身份管理\uf06e系统监控模块\uf0d8单个（或集群的）服务器的主要服务\uf0d8跟踪事件和日志服务器上生成的状态监测\uf0d8跟踪性能计数器以测量和优化系统的使用\uf0d8生成基于预定义的规则的事件或计数器的通知\uf06e服务器部署和配置模块\uf0d8自动设置服务器（虚拟和物理)，管理虚拟服务器的配置设置\uf0d8配置的网络交换机和创建的虚拟服务器的负载平衡\uf0d8虚拟服务器和在最可用的物理服务器环境中的自动分配\uf0d8创建和管理所创建的虚拟服务器实例使用的模板\uf0d8创建和管理系统镜像，管理物理服务器实例\uf06e数据保护模块\uf0d8备份和还原的整个服务器\uf0d8备份和还原的计算机正在运行的数据库\uf0d8能够回滚在服务器中所做的更改25天津移动\uf0d8备份和还原所有服务器的单个文件和文件夹\uf06e服务配置管理模块\uf0d8跟踪资产硬件和软件许可证以及在环境中的配置\uf0d8管理的软件更新（通过自定义的更新计划）\uf0d8定义和使用所需的服务器等计算资源的配置\uf0d8生成报告已安装的软件，更新挂起的操作，等等\uf0d8安装并维护应用程序等虚拟化平台支持对CPU、内存以及I/O设备的虚拟化，对外提供虚拟化能力支撑。1）处理器虚拟化2）内存虚拟化支持在线调整虚拟机内存空间大小。3）设备虚拟化支持虚拟机以独占方式更高效的操作PCI设备。支持对具备PCI设备的透传操作。虚拟机管理：支持虚拟机的生命周期管理，包括：虚拟机启动、停止、休眠等；支持对虚拟机生成快照、虚拟机映像的检查点技术、虚拟机的在线迁移等。虚拟资源池管理：对资源池中的CPU、内存、存储以及网络资源等进行管理，包括：这些资源在虚拟机上的分配和释放。对虚拟机的实时监控和告警功能：对虚拟机的运行状态进行监控，包括：虚拟机CPU占用、虚拟机内存占用等。对某些监控值过大和虚拟机故障等情况进行报警。支持对虚拟机进行集群配置：保证运行在虚拟机的业务应用的高可靠性。26天津移动虚拟机创建时支持将现有物理主机系统转换为同样配置的虚拟机，也就是P2V，也支持将虚拟机系统转换成物理主机系统，也就是V2P。各虚拟机之间如何实现备份和容灾：启动高可用性策略后系统发现物理机故障则在其他物理机启动该虚机从而实现高可用性，容灾在虚机的存储实行本地或者异地备份。3.4.4.2.网络资源池管理服务器共享资源池的网络管理，分两个部分：\uf06e管理虚拟机虚拟交换机的控制单元虚拟机网络管理通过虚拟化平台实现。将物理服务器上的一个网络端口连接管理网络（或管理VLAN）；另一个端口配置成Truck模式，直接连接生产网络接口，使其支持所有VLANTag数据包流入。由虚拟化平台为每台虚拟机的网卡标示生产网络VLAN。\uf06e管理物理交换机的控制单元管理物理交换机可以通过预定义的交换机配置脚本，调用交换机管理接口实现物理交换机进行配置，以及VLAN调整。动态云平台的网络管理功能，经过WebService包装过的网络管理接口，调用两套管理控制单元，在物理交换机与虚拟交换机共同调整VLANTag。实现系统的网络集中管控。3.4.4.3.存储资源池管理为了保证动态云计算平台，能够提供通用的存储管理接口。屏蔽各个厂商的不同存储管理工具，为动态云平台用户提供统一的存储沟通渠道。动态云平台通过类接口与存储设备控制器通信：27天津移动\uf06e脚本接口，可以同过任何预编写得脚本文件，CLI命令调用各厂商存储平台。按照要求动态云平台的建设，充分发挥系统管理架构资源共享要求。按照合规性要求提供变更管理的支持，提供虚拟化平台以整合共享服务器资源，提供数据中心业务连续性管理。以及服务健康和服务标准统计分析。\uf06e让用户的物理机资源池与虚拟机资源池共享硬件平台。通过自动化管理脚本，让两类资源可快速互相转换。\uf06e通过跨平台的网络控制中心实现，物理网络与虚拟网络的统一管理。\uf06e通过跨平台的存储控制中心实现，多厂家存储统一管理。\uf06e通过系统管理平台对多厂商运维管理平台、虚拟化平台进行统一管理。3.4.5.平台特性3.4.5.1.实现资源最优利用利用虚拟化技术，在一台物理服务器或一套硬件资源上虚拟出多个虚拟机，让不同的应用服务运行在不同的虚拟机上。在不降低系统鲁棒性、安全性和可扩展性的同时，可提高硬件的利用率，减少应用对硬件平台的依赖性，从而使得企业能够削减资金和运营成本，同时改善IT服务交付，而不用受到有限的操作系统、应用程序和硬件选择范围的制约。虚拟机28天津移动3.4.5.2.实现动态负载均衡资源负载均衡是指通过负载均衡器的协调，将计算任务分摊到多个资源中执行，从而整体上更好地利用计算资源，加快响应速度，提高服务质量。利用虚拟机与硬件无关的特性的虚拟机迁移技术，按需分配资源。利用虚拟机与硬件无关的特性的虚拟机迁移技术，使得动态负载均衡变得简单起来：当监测到某个计算节点的负载过高时，可以在不中断业务的情况下，将其迁移到其它负载较轻的节点，或者在节点内通过重新分配计算资源，使得执行紧迫计算任务的虚拟机得到更多的计算资源，从而保证关键任务的响应能力。动态负载均衡机制3.4.5.3.系统自愈功能提升可靠性实现经济高效、独立于硬件和操作系统的应用程序高可用性。系统服务器硬件故障时，可自动重启虚拟机。消除在不同硬件上恢复操作系统和应用程序安装所带来的困难，其中任何物理服务器均可作为虚拟服务器的恢复目标减少硬件成本和维护成本。29天津移动系统自愈机制3.4.5.4.提升系统节能减排能力虚拟化平台可与服务器管理硬件配合实现智能电源管理，通过优化虚拟机资源的实际运行位置，达到耗电最小化。可为运营商节省大量电力资源，减少供电成本，节能减排。休眠3.4.6.部署虚拟化的优势1、提高服务器整合率：我们计划部署虚拟化系统的高性能服务器数量是3台，在部署虚拟化之前可用的服务器也仅能有3台，但部署虚拟化后服务器数量的可用能力达到20~30台，整合率达到10:1。也就意味着部署虚拟化后一段时间内我们不需要增加服务器的硬件投资。2、大大降低硬件投入的资金：按照在传统架构的计算方式，我们如果要将物理服务器的数量增加至20~30台的话，还需要为各系统独立考虑多项存储等设备，整体的链路和30天津移动环境保障设施也需要更多投入，我们需要投入比虚拟化大得多的投资。但是，如果采用虚拟化解决方案，整体投入能得到明显的降低。3、降低服务器的部署成本：部署虚拟化后，当我们需要增加一台新的服务器的时候，我们所花费的时间不会超过5分钟。而如果按照传统的方式，我们需要更长的时间，而且会间接影响业务系统的运行。4、提高系统可用性：虚拟化具有天然的高可用性架构和功能，加上整体硬件资源很容易做到N+1的冗余，实现系统基本高可用的难度和成本大大降低。5、新应用测试、部署更加灵活：增强了新应用系统的部署灵活性，从而提高IT服务质量，更好的完成各种信息化任务。6、节省机房配套资源：部署虚拟化系统后，因极大的缩减了对物理服务器数量的需求，所以可大大的减少电源供给、空调制冷、机房空间的占用等，节能减排，从而打造一个绿色环保的数据中心。7、灾备系统搭建方便：部署虚拟化系统后因各“服务器”是以虚拟机的形式存在，所以可为数据的备份和容灾提供极大的方便，节省容灾成本，提供整体数据的安全性。8、“虚拟化”与“非虚拟化”的具体对比(示例)表1：虚拟化与非虚拟化投资对比参考（单位：万元）序号对比项目虚拟化非虚拟化备注1部署30台服务器一次性投资1202403台物理刀片部署虚拟化，最少可整合30台服务器（含存储）2远程管理功能08自身具有网络统一管理功能31天津移动3高可用性028虚拟化软件自身就已提供高可用性（HA）设计43年电力成本8.189.1电源供电及空调制冷53年维护成本1050人力、备品、备件等维护成本6机房空间占用成本15采用标准服务器机柜存放服务器7合计139.1420.1虚拟化将节省60%的总体成本表2：虚拟化与非虚拟化可用性对比序号对比项目虚拟化非虚拟化备注1新增服务器所需时间5分钟1-3周为某个部门或者个人新增一台服务器2服务器硬件升级3分钟1-3周为某个应用添加内存或者CPU3维护与管理简单复杂全部服务器的日常管理4服务器迁移非常简单繁琐虚拟化的服务器更便于迁移5资源利用较高较低虚拟化能更好的整合资源6节能环保环保不环保从电力成本的节约，减少碳排放角度考虑，节能减排7集成高可用性保障内置需另购虚拟化自身便具有内置的全局高可用功能，还能再无缝集成第三方集群，大幅增强可用性32天津移动8是否具有旧硬件和操作系统的投资保护是否部署虚拟和后不再担心旧系统的兼容性，维护和升级等一系列问题9远程集中管理是否能统一在一个管理界面内远程集中管理所有物理和逻辑资源10是否具有云计算基础是否部署虚拟化可作为云计算的基础。33天津移动第4章.分布实施计划根据用户需求，并且不影响学校正常教学工作，校园网改造工作需要分布实施，在不影响云书包系统安装工作的前提下，我们计划进行以下分布实施工作：第一步、完成两个校区网络机房核心交换机的升级改造工作，这是网络的核心设备，只有先提升此设备，才能保证校园网络千兆传输的带宽。第二步、升级电教室接入设备及无线设备，这样可以保证了云书包系统的测试及首期安装调试工作。第三步、等待云书包系统，教育资源系统大规模采购，到货实施之前，完成网络机房的升级改造工作。第四步、全面采购网络设备及教育资源服务器，等待云书包系统到货之后，完成校园网搭建工作。第五步、完成总校100M光纤接入、100MMSTP与分校互联的网络调试工作，并配合云书包系统提供厂家完成云书包系统安装调试工作。34天津移动第5章.售后服务及培训5.1.售后服务设备保障承诺对所涉及到的系统改造、系统升级和系统开发提供相应的技术支持、服务与咨询。提供对设备的三年质保，该期限内提供免费的724小时维修响应。2小时到达现场，24小时不能修复提供背机、背板。所提供的所有软、硬件产品均为原厂、原装，并对此负完全责任。我公司负责执行原厂家所提供的各种保修及服务等事宜，在设备厂家承诺的设备保修年限内免费维修。自双方代表在验收单签字之日起计算。保修期内，我们负责对其所提供的设备进行维修，不收取额外费用。设备人为损坏除外。保修期内，我们将按照标书承诺的保修时间和保修内容提供服务，非保修范围问题也将积极响应，提供解决方法和保修优惠。5.2.培训完善的人员培训是一切现代化科技应用之基础，也是项目按既定目标实施的关键，我们将为客户订立一整套培训计划，针对各个层次的作业人员，透过经验丰富的讲师及教材，施以专业的培训，使我们的实施方案能够发挥最大的效益。当系统的施工进展到后期的关键步骤和验收阶段，我公司将对客户有关部门的技术人员和操作人员进行正规化的现场和异地集中培训，增强他们对整个网络的理论知识和实际操作水平。培训时间和地点35天津移动我方对建设方的培训共计进行两次，分别为技术培训和现场培训，并提供文字资料和讲义，每次为期三天。培训的地点设在滨海分公司和用户机房。如有变动双方可以通过协商另行确定培训的时间和地点。培训目的使建设方人员对整个系统全面了解，熟悉日常维护工作，有能力处理一般性问题，并减少系统因使用或操作不当而引起故障的发生几率，减少突发故障的产生。培训内容培训内容可分为面向操作人员和面向管理人员两类。前者注重实际操作，后者偏重系统整体结构、功能和管理等。教材配备我方在培训中提供教具和完整的培训手册，培训手册的内容涵盖了以上全部培训内容。培训效果和考核经过培训的有关技术人员，将有能力独立的分析问题，解决日常的网络管理问题，对各种情况的处理达到熟练的程度，能完成系统和计算机的改动，以及设备编程配置的处理，较为轻松的担负起系统的维护工作。如用户有特殊的需求，我公司将根据情况为用户提供其他可能的培训机会。36天津移动',)