1、面向业务的新一代安全可控校园网穆棱一中数字化校园规划方案 目 录第一章 需求分析51.1 建设背景51.2 项目总体需求51.3 建设目标7第二章 网络平台总体设计82.1 厂商介绍82.2 网络平台整体设计思路92.3 规划原则92.4 架构概要规划102.5 网络方案总体设计112.5.1 数字化校园应用系统分析112.5.2 整体方案设计思想112.6 核心层网络结构设计222.6.1 规划设计222.7 园区网络规划232.7.1 高可用园区规划23第三章 抵御对多业务运营的威胁243.1 全局安全防御体系规划243.2 校园外网出口防御253.3 数据中心的安全防御27第四章 数据中2、心规划284.1 核心层设计284.2 接入层设计304.3 模块化多业务部署30第五章 网络出口部署解决方案335.1 网络出口部署方案335.2 校园网应用控制网关方案355.3 核心/出口用户行为管控365.4 基于时间段的用户带宽分配方案37第六章 无线校园解决方案386.1 技术需求386.2 不同场景覆盖方案396.2.1.宿舍区部署AP方案406.2.2.小型办公室面板AP入室安装部署416.2.3.礼堂等高密接入区AP部署方案42第七章 云校园建设方案437.1 穆棱县一中云计算数据中心建设需求437.2 虚拟化平台设计方案447.2.1.平台总体设计447.2.2.资源池分类3、设计457.2.3.主机池设计477.2.4.HA集群设计487.2.5.主机设计517.2.6.虚拟机生命周期管理517.2.7.DRS动态资源调度557.2.8.虚拟机资源限额577.3 计算资源基础架构方案597.3.1.计算资源建设需求597.3.2.基于统一基础架构的计算方案设计思路627.3.3.基于统一基础架构的刀片计算方案637.3.4.服务器整合647.3.5.网络资源整合667.3.6.融合虚拟化管理平台707.4 智慧云平台实现效果707.5 云学堂解决方案737.5.1.产品背景737.5.2.建设目标737.5.3.设计思路747.5.4.方案优势747.5.5.管理4、端介绍757.5.6.教师端介绍767.5.7.学生端介绍777.5.8.多媒体教学软件介绍787.5.9.方案详述787.5.10.云主机设计797.5.11.网络拓扑设计797.5.12.桌面传输协议设计807.5.13.安全设计807.5.14.云终端设计817.5.15.模板管理设计817.5.16.云学堂方案特点和优势81第八章 H3C售后保障体系828.1 两小时厂家上门服务828.2 服务组织结构838.3 服务及时性保障848.4 服务有效性保障85第九章 H3C案例集86 杭州华三通信技术有限公司 第一章 需求分析1.1 建设背景穆棱市第一中学是一所全日制公办独立普通高中。学5、校位于穆棱市八面通镇北部靠河委。始建于1949年，原名松江省立第十初级中学。1956年更名为穆棱县中学，1984年由完全中学发展为市级重点独立高中。1995年设立县级市后定名为:穆棱市第一中学。学校占地面积3.7万平方米，校园建筑1.96万平方米，包括南北教学楼、综合实验楼、学生公寓、体育馆、食堂等建筑。学校在职职工150人，其中特级教师1名、高级教师35名、中级教师44人。在校学生2000人，36个教学班级。作为穆棱县重点中学，学校新校区的建设要紧跟“十三五”教育信息化建设的脚步，随着智慧校园、MOOC及电子书包的普及数字化校园基础承载网的建设要从稳定性、可靠性及前瞻性考虑。校园网作为基础网6、络，在学校信息化中起到关键的承载作用。当前，以数字化校园为特征的教育信息化发展更为迅速，各种信息化应用正改变着老师和学生们的工作、学习、生活以及思维方式，引发了教育行业一场新的革命。学校基本的教学教务管理、科研管理、后勤管理、数字图书馆、视频服务系统、办公自动化系统和校园社区服务等应用系统的建设有了初步的规模，“一卡通”、“平安校园” “校园数据中心”等业务在很多学校也开始应用。在校师生的认识水平和技术水平上了一个台阶，对于信息化工具的使用已变成为一种自觉和自愿的行为，为数字化校园的进一步发展打下坚实的基础。穆棱县一中校园网不仅仅是建设一个信息交互平台的，而且建成后要成为承载教学、科研、管理、7、娱乐等全方位应用的综合性安全网络平台。数字化校园的价值在于服务教学与科研，穆棱县一中信息化发展的现状和趋势，明显趋于在网络平台上承载、集成多种业务。而且业界信息化技术的不断发展，这就要求穆棱县一中数字化校园平台应具备弹性、适应性，以动态适应多业务的不断发展，能将这些业务有机的整合起来，并且充分保障各种业务的服务质量。同时这种多业务的整合应该至少面向未来五年内业务发展的适应能力。1.2 项目总体需求一、校园网整网安全、可靠、高性能稳定运行需求1）安全性：应重点考虑传输数据的安全性、同时保证内部网络安全，阻断各种网络攻击、保护内网服务资源及终端用户安全。2）可靠性：网络系统的稳定可靠是应用系统正常8、运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持各业务系统的正常运行。3）高性能：骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。同时提供先进的QOS机制保证各项业务的传输带宽。4）多业务：随着校园网的信息化的发展，越来越多的教学方式依托于网络给学生提供多种的特色教学模式。因此未来的校园网络要承载多业务的平台，及要满足日常访问校园网络的多媒体资源同时也要实现访问多业务的互联网络，所以新建网络要具有多业务处9、理的能力。多媒体教学为了更好的为学生提供全方面的教学资料，越来越的多学校在自己的内部局域网上面为学生提供多种教学资料，如：多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。VOD 点播业务实现，通过建立VOD视频服务器平台，利用交换机提供的组播功能，为用户提供优质的视频效果，同时节省用户带宽。二、无线校园网随着科技的发展，智能终端的大量普及，越来越多的学生以及老师已经拥有大量的智能终端设备如：IPAD、智能手机、笔记本电脑等等，而目前高速发展的电子书包及移动APP也大大改变了我们的生活，所以无线网络建设也随之成为了每一个学校关注的热点，为了满足校园网内办公上网终端的多样性，同时也为了顺10、应学校信息网络的发展需要。建设覆盖全面、信号优良，高速率的无线网络是目前穆棱县一中网络建设的目标。三、数据中心需求1）100G平台：遵循摩尔定律的增长，使得数据中心的业务处理能力持续增强。2）数据中心流量突发：大缓存，不丢包。3）统一交换架构：一个交换平台上有效支撑业务的前端访问、服务器高速互联、存储访问。四、网络安全需求1）故障排除：要求做到一旦网络出现异常，如无法访问网络，网络访问异常等，要能提供及时、有效的服务，在短的时间内恢复网络应用。2）即时查杀病毒、蠕虫：要求做到网络中出现病毒、蠕虫，通过及时有效的技术支持，在最短的时间内查处感染病毒的主机并即时查杀病毒，恢复网络应用。3）应用程序11、限制及其带宽管理：可以对各种P2P应用（迅雷、BitTorrent、电骡、电驴）、即时通信软件（QQ、MSN）、网络游戏、炒股、网络视频根据权限、时间、区域进行各种策略设定和管理。五、云校园建设传统数据中心IT资源部署方式目前仍然是按照每个应用进行物理的划分，这种部署方式目前存在以下问题：资源利用率低由于应用与资源绑定，每个应用都需要按照其峰值业务量进行资源的配置，这导致在大部分时间许多资源都处于闲置状态，不仅造成服务器的资源利用率较低，而且对资源的共享、数据的共享造成了天然的障碍。运维成本高目前学校的很多应用是按照传统的“一机一应用”的模式部署的，随着学校新应用系统的增加，服务器、网络和存储12、的设备数量也会出现迅速的膨胀，造成占地空间、电力供应、散热制冷和维护成本的急剧上升。与此同时，机房内服务器的利用率普遍偏低，系统资源基本上处于1020%的水平乃至更低，造成了极大的浪费。浪费严重、新业务无法上线是目前存在主要问题。业务部署缓慢在学校将IT资源的采购和管理都集中规划到网络中心后， 涉及到大量新业务的开展和上线。学校各个部门如果要部署新的业务，那么在提交变更请求与进行运营变更之间存在较大延迟，每一次的业务部署都要经历硬件选型、采购、上架安装、操作系统和应用程序安装以及网络配置等操作，使得业务的部署极为缓慢。管理策略分散当前的IT资源运维管理缺乏统计的集中化IT构建策略，无法对信息化13、校园网数据中心的基础设施进行监控、管理、报告和远程访问，IT管理策略分散。1.3 建设目标我们在进行系统设计中应遵循以下原则：1、可行性和适应性：系统要保证技术上的可行性和良好的性价比，并满足今后技术发展和学校发展的需要，如支持万兆、IPv6，提供无线接入等。2、实用性和经济性：系统建设应始终贯彻面向应用、注重实效的方针，坚持实用、经济的原则。3、先进性和成熟性：系统设计既要采用先进的设计和理念，又要注意结构、设备、工具的相对成熟。采用成熟的主流技术，不但能反映当今的先进水平，而且具有发展潜力，并能顺利地过度到下一代技术。4、开放性和标准性：为满足系统所选用的技术和设备的协同运行能力、系统投资14、的长期效应及系统功能不断扩展的需求，要求系统具有开放性和标准性。5、可靠性和稳定性：在考虑技术先进和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性。6、安全性和保密性：在系统的设计中，既要考虑信息资源的充分共享，还要考虑信息的保护和隔离。第二章 网络平台总体设计第2章 2.1 厂商介绍杭州华三通信技术有限公司（简称H3C）， 致力于IP技术与产品的研究、开发、生产、销售及服务。2009年H3C销售收入净额11亿美金（US GAAP），并在国内31个省市和海外多个国家或地区设有分支机构。目前公司有员工4800人，其中研发15、人员占55。H3C每年将销售额的15以上用于研发投入，在中国的北京、杭州和深圳设有研发机构，在北京和杭州设有可靠性试验室以及产品鉴定测试中心。截止2009年底，H3C已申请专利超过3000件，其中发明专利占85，在中国通信企业中位居前三。 H3C已参与中国通信标准化协会及IETF, SMTA, SPC,PCI-SIG, Wi-Fi, USB, SNIA, VCCI等国际标准组织。H3C自2006年提出IToIP战略以来，始终聚焦IP领域持续创新进步，逐步形成覆盖IP网络、IP安全、IP存储及IP多媒体的全面的产品线以及丰富的解决方案。目前H3C在中国的交换机和企业级路由器（高中低端）市场份额排16、名第一，运营商WLAN设备市场份额排名第一，EAD终端准入控制解决方案累计部署超过100万终端，规模最大的应用系统超过12万终端；IP监控技术全球领先，成为中国平安城市第一品牌。2010年，云计算/下一代数据中心、物联网、多媒体通信成为热点；H3C凭借技术创新将IToIP推向了更深一步的融合阶段，形成了以下一代数据中心、泛联网和多媒体通信为核心的三大解决方案，并得到广泛应用，占领了IT发展潮流的制高点。根植中国，H3C始终以“为客户创造价值”作为公司发展的源动力，不断细分客户需求，面向行业、商业（中小企业）、运营商三大客户类型分别提供量身定制的整体解决方案。服务于70%以上的中央部委、全部“217、11”高校和“985”高校、四大银行、全球最繁忙的机场之一首都机场、自然环境最为恶劣的青藏铁路、全球最大的餐饮集团百胜餐饮、亚洲最大的网上交易平台淘宝网及电信、移动、联通、广电等运营商市场。在全球市场， H3C的产品和解决方案覆盖近百个国家和地区，赢得包括瑞士电信、西班牙电信、英国沃达丰、巴西电信、法国国铁、法国标致雪铁龙集团、俄罗斯联邦储蓄银行、澳大利亚昆士兰政府、美国麻省理工学院、日本神户大学、韩国三星电子在内的众多国际客户。2.2 网络平台整体设计思路基于IP的网络平台：在局域网建设中，采用基于IP协议的技术方案，保证了系统灵活性和未来系统的扩展性；多业务平台：网络平台除提供计费系统，数18、字传输能力之外，可以支持语音、视频等多媒体业务传输能力；QoS服务保证：多业务网络平台对于网络的QoS保证有很高的要求，因此在网络设计上应采用先进的QoS策略和技术保证全网的QoS服务质量；安全策略：采用安全技术手段保证网络的安全可靠。数据中心承载：考虑今后学校业务发展，建立高效、安全、集中、容灾的数据中心网路平台，满足日后数据资源增加对网络平台性能的需求。统一的网络管理：利用智能网络管理中心，融合网络、安全、无线、多媒体等业务的统一管理和运维，实现资源、业务、人的统一化、精简化管理，适应未来网络发展需求。2.3 规划原则穆棱县一中校园网规划要实现内部全方位的数据共享，提供高性能的、全面的Qo19、S保障服务，使网络安全可靠，不但要实现教育管理、多媒体教学自动化，而且还要通过Internet实现远程教学，提供可增值可管理的业务，同时必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。穆棱县一中网络规划遵循以下基本原则：1、一网共用，资源共享，实现多业务统一部署穆棱县一中多业务平台为校园信息化的各类数字化应用提供统一的网络传输平台。考虑到校内用户数量和业务种类发展的不确定性，要求核心交换机与汇聚交换机需具有强大的扩展功能，整个网络要完整统一、组网灵活，并成为易扩充的弹性网络平台，能够随着需求变化，充分留有扩容余地。2、统规划，分段实施穆棱县一中校内多业务平台20、园区内统一规划、统一网络体系结构、统一通信协议标准。对于保障多业务支撑的整个支撑平台，规划为多个功能模块，可根据需要分期分段实施。3、先进适用，方便扩展穆棱县一中业务平台规划采用符合网络技术发展方向和先进、成熟、适用的技术与设备，为多业务的发展留有足够的可扩展空间，以满足不断增加的新的应用需求。4、可增值、可运营穆棱县一中业务平台的规划、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在规划时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。5、开放与统一标准技术选择必须符合相关国际标准及国内标准，避免个别厂21、家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。6、建用结合，注重实效穆棱县一中业务平台的规划以建设促应用，通过计算机网络的建设推动各种网络应用工作的开展，真正发挥平台的作用，用信息化推动穆棱县一中数字信息现代化。2.4 架构概要规划穆棱县一中多业务支撑平台逻辑上以业务处理为核心，规划为三个平面：业务流平面、安全防御层面和管控层面。业务流平面为多业务支撑的承载基础。业务接口为经过分类的不同类型应用，通过基础通讯平台，按照不同层次、22、不同技术的服务保障措施，实现用户与数据中心之间、用户与用户之间的应用交互。 对于基础平台，经过建设后，能够对业务的灵活性、可控性、可靠性等起到决定性的作用。包括通过万兆骨干平台为园区网的数据提供高速数据交换，不存在平台单点故障保障网络可用性，迁移IPv6技术实现业务的灵活性，部署MPLS VPN实现业务可控性。通过在基础平台中实施WLAN功能，提供更丰富的接入手段与移动业务；实施IP视讯技术拓展，提供视频会议及远程示教的服务。实施IP监控技术拓展，提供园区治安监控服务。IP视频技术和IP监控技术的结合，可提供事件应急指挥服务。 业务通过基础平台，可实施两种端到端服务质量保障措施，其一为从园区内23、部接入通过DSCP技术进行业务区分处理，将COS Mapping到园区骨干MPLS网的EXP值；其二为对关键业务在园区骨干上部署MPLS TE实现资源预留。 而数据中心作为多业务部署的心脏，通过分区、分层设计，规划其可靠性、可管理性与可扩展性，实现面向业务的集中存储、数据保护和多系统虚拟化，保障多业务系统与用户之间的交互。安全防御平面规划为层次化的渗透防御部署。面向外网出口层、园区核心层、园区汇聚层、数据中心、用户行为控制等五个层面安全规划设计。针对业务流的整个过程实现安全防护。管控平面针对业务流各个环节的相应环节，包括设备资源、用户资源、业务流量、业务隔离、安全信息等进行整合管理，有效调整业24、务流的可用性和平滑性。通过多个环节之间的关联管理，实现降低多业务支撑平台运维的整体拥有成本。2.5 网络方案总体设计2.5.1 数字化校园应用系统分析目前数字化学校在网络上的应用子系统有：l 网络公共服务系统（WEB、邮件、FTP）l 教务处教务管理系统l 学生学籍管理系统l 校园网OA系统l 多媒体教学系统l 校园网普通视频点播系统l 校园一卡通系统由于数字化校园的趋势所推，网络基础建设是不可疏忽的重大工程，为以后学校的业务增长提供保障。2.5.2 整体方案设计思想通过针对穆棱县一中详细的网络平台需求分析，结合我司多年承建校园网经验，建议学院根据自身实际情况，分阶段、分步骤、分层次的进行网络25、投入建设。穆棱县一中网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。组网图如下所示：穆棱县一中网络规划拓扑穆棱县一中校园网改造采用H3C高性能高可靠平台搭建，核心交换机采用第五代架构技术CLOS架构交换机，CLOS架构即多级交换架构，采用主控板与交换网板相互独立设计，主控板负责表项控制，而交换网板负责数据转发，数据到达主控板会根据表项规则自动切片，动态分布到各个交换网板上，实现无阻塞转发；而未来随着信息点不断的增加，我们只需要对交换网板进行升级，即可对整个交换机的性能升级，不用更26、换设备整体，保障了用户投资。我们在整个校园网核心处部署两台S10508-V通过IRF2虚拟化技术将两台物理设备虚拟成一台逻辑设备，提高了整网的可靠性，相比于传统的VRRP的热备方式，虚拟化技术将两台核心交换机更好的利用。我们在校园网核心交换机上部署了IPS业务模块，因为校园网所有流量必须经过校园网核心交换机，如果部署在出口网关，内网数据则需要引流到出口网关，极大的占用了出口网关的CPU使用率，部署在核心交换机上既可以对内网数据包进行检测，又可以对外网数据包进行检测。IPS业务模块可以对校园内网和外网的所有数据包进行拆包解析，通过IPS业务板卡自带的特征库匹配，如果和特征库当中的病毒、木马等相似27、报文，IPS业务板卡会提出告警，并提示是否阻断该数据包，保证了整网的安全性。汇聚交换机采用万兆双上联与核心交换机互联，实现万兆校园网，接入全部采用全千兆交换机，实现校园网千兆到桌面。校园网出口是最重要的部分，在出口处部署一台多业务安全网关，通过部署高性能防火墙插卡作为整个校园出口的NAT网关，并能够为整个校园网提供2-4层安全防护，我们还部署了负载均衡业务模块，作为链路负载均衡，当校园网出口部署了多条链路，我们可以通过链路负载均衡实现对链路带宽使用的合理化分配。在校园网搭建云计算平台，解决学校服务器，存储等硬件设备资源利用率低的问题，通过HA或DRS（动态业务迁移）等业务部署，提高整个校园网应28、用系统的健壮性及可靠性。一、 网络基础平台建设H3C设计全新的基于纯IP技术的网络平台来满足学院校园网的需求变化。面向网络资源的有效、高效利用，从网络架构方面提供优化方案，使得校园核心网、接入网具有更高的可靠性和可控性，同时使得网络结构与布局在结合实际业务分布的前提下更加合理。数字校园业务的发展必然离不开两个方向，其一是IPv6，其二是移动性。这既是IP通信技术发展的方向，也是数字校园应用的发展方向。满足这个发展，首要前提就是让校园网络平台能够具备相关技术支撑能力，即构建IPv6校园网与无线校园网。不论是对校园网的优化还是对校园网业务的横向拓展，都是基于校园网是安全有序的。需要从纵向三个维度对29、所有影响校园安全的隐患、非法行为进行渗透防御与控制。1. 网络分层设计通常网络整体设计中，采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置。典型组网结构可以分成三层：接入层、汇聚层、核心层。1) 接入层：提供网络的第一级接入功能，完成简单的二、三层交换，安全、Qos和POE功能都位于这一层。当前的局域网接入层可供选择的技术主要有100M和1000M以太网技术等。在局域网接入层，应能够最大限度满足IP业务的接入和承载，有利于节省网络投资和提高资源利用率。2) 汇聚层：汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特30、点，这一层还可作为接入设备的第一跳网关；汇聚层设备任务就是作为局部区域的逻辑中心，连接接入层交换机和核心层。其重要功能是负责汇聚分散的接入点，进行数据交换，提供流量制和用户管理（用户识别、授权、认证、计费）功能。 3) 核心层：网络的骨干，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。网络核心层高速运送流量，其设备的主要工作是交换数据包。核心层设备应该充分的支持并以峰值性能运行。核心层业务收敛程度高，核心设备节点相对较少，可通过设备实现大颗粒业务传送。根据穆棱县一中网络建设规模需求及校园分布情况，为了更好的整合网络资源平台，减少网络建设的投资成本，同时考虑到31、学院办公业务分布的现状，建议学院网络平台采用高速、无阻塞交换三层扁平组网模型。办公楼三层简化扁平网络结构实现核心、汇聚、接入三层的网络架构，使得网络架构更加合理，更加具有健壮性和可扩充性，同时易于配置和管理。所有设备都为机架式，可用多种不同端口类型的单板组合，使用灵活、可扩充性强，节省网络投资。整网带宽较高、稳定可靠、可满足多种业务的无阻塞交换。核心和汇聚交换机采用高性能多业务三层路由交换机，接入层采用智能安全性较高交换机。2. 骨干链路及接入链路设计通过对网络架构的分层，可以充分发挥网络性能，满足业务需求。网络层次采用三层扁平化设计，建议核心交换机至汇聚层交换机采用万兆光纤线路作为校园网骨干32、链路，接入交换机采用千兆线路作为局域网络传输的主干路。而对于接入层交换机至终端PC，可根据选用的接入交换机类型来确定链路的选择。3. 可靠性和自愈能力设计 链路冗余：在主干连接上具备可靠的线路冗余方式。采用负载均衡的冗余方式，即通常情况下两条连接均提供数据传输，并互为备份。主线路可实时、自动的切换到备份线路,而不影响业务应用。这种高速的网络自愈特性应可以保证不会引起IP路由的重新计算，不会引起业务的瞬间质量恶化，更不会引起业务的中断。 模块冗余：主干设备的所有模块和环境部件具备1+1或1：N热备份的功能，切换时间小于500毫秒。所有模块具备热插拔的功能。系统具备99.999%以上的可用性。 设33、备冗余：提供由两台或两台以上设备组成一个虚拟设备的能力。当其中一个设备因故障停止工作时，另一台设备自动接替其工作，并且不引起其他节点的路由表重新计算，从而提高网络的稳定性。以保证大部分IP应用不会出现超时错误。本方案两台核心交换机采用H3C独有IRF2智能堆叠技术，实现核心设备虚拟化，增强了核心交换机处理能力，方便设备管理，增强链路的利用率。 路由冗余：网络的结构设计应提供足够的路由冗余功能，在上述冗余特性仍不能解决问题时，数据流应能寻找其他路径到达目的地址。4. 拥塞控制与服务质量保障设计 拥塞控制和服务质量保障(QoS)是政务信息网关注的重要品质。由于接入方式、接入速率、应用方式、数据性质34、的丰富多样，网络的数据流量突发是不可避免的，因此，网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。 业务分类：网络设备应支持68种业务分类(COS)。当用户终端不提供业务分类信息时，网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类。 接入速率控制：接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。 队列机制：具有先进的队列机制进行拥塞控制，对不同等级的业务进行不同的处理，包括时延的不同和丢包率的不同。 先期拥塞控制：当网络出现真正的拥塞时，瞬间大量的丢包会引起大量TCP数据同时重发，加剧网络拥塞的程度并引起网络的不稳定。网络设备应具35、备先进的技术，在网路出现拥塞前就自动采取适当的措施，进行先期拥塞控制，避免瞬间大量的丢包现象。 资源预留：对非常重要的特殊应用，应可以采用保留带宽资源的方式保证其QoS。5. 网络的扩展能力设计网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展，以及网络规模的扩展能力。 交换容量扩展:交换容量具备在现有基础上继续扩充48倍容量的能力，以适应IP类业务急速膨胀的现实。 端口密度扩展:设备的端口密度应能满足网络扩容时设备间互联的需要。主干带宽扩展、主干带宽具备高带宽扩展能力，以适应IP类业务急速膨胀的现实。 网络规模扩展:网络体系、路由协议的规划和设备的CPU/NP路由处36、理能力，在网络节点数目上应能满足35年的扩展要求。6. 网络管理与安全体系设计 支持整个网络系统各种网络设备的统一网络管理。 支持故障管理、记帐管理、配置管理、性能管理和安全管理五大功能。 支持系统级的管理，包括系统分析、系统规划等；支持基于策略的管理，对策略的修改能够立即反应到所有相关设备中。 网络设备支持多级管理权限，支持RADIUS等认证机制。 支持安全监控和控制机制，当发现存在安全漏洞和遭到攻击时，应及时通知网络管理人员，并应自动采取适当的措施予以保护。 支持安全防御设备、网络基础设备以及网管系统的安全联动功能，以便及时对网络威胁的实时处理。二、 数据中心网络平台建设随着高校信息化建设37、的深入，无论从信息化总体规划的角度、信息系统建设的角度，还是从信息系统运行维护的角度，越来越多的高校认知到数据集中、IT基础设施集中、运行服务集中的必要性，数据中心是数字校园的核心的理念也得到大部分高校的认同，各高校普遍建立的校园级别的数据中心。随着校园数据中心建设的深化进行，校园应用系统数据集中密度越来越高，服务器存储数量不断增长，网络架构不断扩展，空间布局、系统布线、电力能耗压力不断增加。作为数据中心业务承载的大动脉，基础网络架构层面则直接面临着持续的严格挑战。网络基础技术的快速发展为数据中心变革提供了强大支撑动力，基础网络演进加快。随着以太网技术的进一步发展，新的技术标准不断推动基础平台38、架构的变化与融合。万兆交换系统的时延已经降到微妙级别，而且当前已经有技术使得以太网芯片在cut-through方式下达到200300纳秒级别，逼近Infiniband的低时延水平。对于计算型应用而言，采用以太网互联的微妙级时延已经能够满足大量的计算需求。近几年高性能计算TOP500排名中超过50%的计算网络互联采用了千兆以太网。随着万兆、40G/100G技术的深入发展和终端万兆接口技术成熟，以太网将成为服务器互联计算承载的主流平台。无丢包以太网技术标准族（802.3Qau、802.1Qbb、802.1Qaz、Data Center Bridging Exchange Protocol）和相关技39、术即将发布，并在此基础上进一步支持FCoE，使得以太交换网络能够承载FC存储数据流。高校数据中心网络发展趋势是融合的统一交换架构，在一个交换平台上有效支撑业务的前端访问、服务器高速互联、存储访问。对于H3C高校数据中心方案而言，统一架构的网络平台与业内技术发展是同步的，遵循图6所示的几个阶段。H3C统一交换架构发展路线与其他解决方案提供商不同，H3C基于IP-SAN的万兆成熟解决方案的广泛应用，使得H3C高校数据中心统一交换架构早于FCoE实现存储的融合。数据中心是校园IT架构的核心领域，不论是服务器部署、网络架构设计，都做到精细入微。因此，传统上的数据中心网络架构由于多层结构、安全区域、安全40、等级、策略部署、路由控制、VLAN划分、二层环路、冗余设计等诸多因素，导致网络结构比较复杂，使得数据中心基础网络的运维管理难度较高。使用智能弹性架构(intelligent resilient framework, IRF)虚拟化技术，用户可以将多台设备连接，“横向整合”起来组成一个“联合设备”，并将这些设备看作单一设备进行管理和使用。多个盒式设备整合类似于一台机架式设备，多台框式设备的整合相当于增加了槽位，虚拟化整合后的设备组成了一个逻辑单元，在网络中表现为一个网元节点，管理简单化、配置简单化、可跨设备链路聚合，极大简化网络架构，同时进一步增强冗余可靠性。网络虚拟交换技术为数据中心建设提供了41、一个新标准，定义了新一代网络架构，使得各种数据中心的基础网络都能够使用这种灵活的架构，能够帮助高校在构建永续和高度可用的状态化网络的同时，优化网络资源的使用。网络虚拟化技术将在数据中心端到端总体设计中发挥重要作用。数据中心简捷统一架构虚拟化端到端虚拟化数据中心网络架构传统的L2/L3网络设计相比，提供了多项显著优势： 1）运营管理简化。数据中心全局网络虚拟化能够提高运营效率，虚拟化的每一层交换机组被逻辑化为单管理点，包括配置文件和单一网关IP地址，无需VRRP。2）整体无环设计。跨设备的链路聚合创建了简单的无环路拓扑结构，不再依靠生成树协议（STP）。虚拟交换组内部经由多个万兆互联，在总体设计42、方面提供了灵活的部署能力。3）进一步提高可靠性。虚拟化能够优化不间断通信，在一个虚拟交换机成员发生故障时，不再需要进行L2/L3重收敛，能快速实现确定性虚拟交换机的恢复。端到端虚拟化架构优势本方案建议穆棱县一中建立数据中心网络平台，以满足日后学院应用业务不断发展所带来的服务器资源增长及数据存储集中化的需求。高校数据中心系统架构的发展和密集的业务需求，要求校园数据中心交换网络成为高性能、融合业务统一交换的基础平台。H3C数据中心级交换机作为H3C下一代数据中心核心平台，将不断熔炼新的技术与标准，提供持续的可兼容、可扩展能力，满足校园信息化2.0时代数据中心的发展要求。利用数据中心交换平台高性能、43、高扩展性、融合安全性（部署安全插卡）、统一管理性，并通过与校园网建立万兆链路进行通信，从而可以保证学院今后数据访问业务的速率，同时也可为学院重要的应用数据资源提供L2-7层数数据安全防护。三、 网络安全设计网络攻击来源主要来自网络边界和内部终端用户的网络攻击，具体威胁如下：1) 来自不同安全域的访问控制的风险：网络结构越来越复杂，接入网络的用户也越来越多，必须能够在不同的网络区域之间采取一定的控制措施，有效控制不同的网络区域之间的网络通信，以此来控制网络元素间的互访能力，避免网络滥用，同时实现安全风险的有效的隔离，把安全风险隔离在相对比较独立以及比较小的网络区域。2) 网络攻击行为的检测和防范44、的风险：基于网络协议的缺陷，尤其是TCP/IP协议的开放特性，带来了非常大的安全风险，常见的IP地址窃取、IP地址假冒，网络端口扫描以及危害非常大的拒绝服务攻击（DOS、DDOS）等，必须能够提供对这些攻击行为有效的检测和防范能力的措施。3) 网络数据传输的机密性和完整性的风险：网络数据在传输的过程中，很可能被通过各种方式窃取，因此保证数据在传输的过程中机密性（保证数据传递的信息不被第三方获得），完整性（保证数据在传递过程中不被人修改）是非常重要的，尤其是在传递的信息的价值不断提高情况下。4) 用户主机遭受网络病毒攻击的风险：网络给病毒的传播提供了很好的路径，网络病毒传播速度之快、危害之大是令45、人吃惊的，特别是最近开始流行的一些蠕虫病毒，更是防不胜防，环境下必须建设全面的网络防病毒系统，层层设防，逐层把关，堵住病毒传播的各种可能途径。5) 针对用户主机网络攻击的安全风险：目前Internet上有各种完善的网络攻击工具，在局域网的环境下，这种攻击会更加有效，针对的目标会更加明确，据统计，有97的攻击是来自内部的攻击，而且内部攻击成功的概率要远远高于来自于Internet的攻击，造成的后果也严重的多。6) 用户网络访问行为有效控制的风险：首先需要对用户接入网络的能力进行控制，同时需要更细粒度的访问控制，尤其是对Internet资源的访问控制，比如应该能够控制内部用户访问Internet的46、什么网站。在此基础之上，必须能够进行缜密的行为审计管理。7) 操作系统和网络服务平台的安全风险：通过对各种流行的网络攻击行为的分析，可以发现绝大多数的攻击是利用各种操作系统和一些网络服务平台存在的一些已公开的安全漏洞发起，因此，杜绝各种操作系统和网络服务平台的已公开的安全漏洞，可以在很大程度上防范系统攻击的发生。8) 用户身份认证及资源访问权限的控制：由于网络中的各个应用系统上有很多信息是提供给不同权限用户查阅的，不同级别、不同部门、不同人员能够访问的资源都不一样，因此需要严格区分用户的身份，设置合理的访问权限，保证信息可以在被有效控制下共享。依据对网络主要安全隐患的分析及国家相应的安全规范。47、穆棱县一中网络安全策略和安全体系包含： 访问控制：通过对特定网段及服务建立的访问控制体系，系统将绝大多数攻击阻止在到达攻击目标之前； 检查安全漏洞：对安全漏洞进行周期性的检查，使得绝大多数攻击即使到达攻击目标也无破坏； 攻击监控：通过对特定网段及服务建立的攻击监控体系，系统可实时检测出绝大多数攻击，并采取相应的行为（如断开网络连接、记录攻击过程、跟踪攻击源等）； 多层防御：攻击者在突破第一道防线后，多层防御可以延缓或阻断其到达攻击目标； 隐藏内部信息：这样可以使攻击者不能了解系统内的基本情况； 建立终端防护：通过在办公终端上部署安全防护措施，防止办公终端遭受网络或移动存储设备带有的病毒的攻击。48、为确保穆棱县一中网络的安全性，应从全局考虑，不仅从技术上保证，而且要从管理上协同防范。既要保证学院里内部网络安全又要保证与外部网络之间的安全，形成整体安全性的网络体系结构。四、 统一网络管理设计当前数字校园网络还面临许多挑战，在解决了带宽和覆盖问题的同时，校园网络需要进一步优化，校园网管理需要更加智能和易用。随着信息技术的发展，为提高办公效率及改善教学环境，当前的学校越来越多地应用了信息技术，对于网络的依赖性也越来越大，学生需要上网查阅资料、吸收新知识、接受网上教学，老师需要借此了解最新科研进展。校园网络上通常承载着学校的办公系统、教学系统及学生宿舍网络系统，网络如果发生问题，会对学校的正常运49、作产生严重的影响。随着网络基础架构日趋复杂，传统的设备命令行、简单的管理工具已经不能够满足网络管理的需求。业界的经验证明，选择一个优秀的网络管理系统是保证网络最大可用性的有效手段。H3C专注于IP产品与相关技术的研发、生产和销售，具备完善的产品技术、客户服务、渠道、认证培训体系，为您提供客户化、特性丰富、性价比高的网络产品与解决方案。作为业界领先的网络设备与解决方案供应商，H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案：H3C智能管理中心（H3C Intelligent Management Center，以下简称H3C iMC）。H3C iMC是H3C IToIP解决方案的统50、一管理中心，基于SOA架构，采用灵活的组件化结构，支持与HP Openview、SNMPc等通用网管平台的集成，支持集成各多厂家设备管理系统，与H3C的数据通信设备产品一起为用户提供全网解决方案，帮助客户真正实现网络的按需构建。H3C iMC在IToIP解决方案中的位置H3C iMC作为IToIP解决方案核心管理系统，为用户提供了灵活的组件化结构，包括智能管理平台、智能配置中心（iCC）、ACL管理、MPLS VPN管理、用户接入管理、EAD解决方案、无线管理、EPON管理等业务组件，用户可以根据自己的管理需要和网络情况灵活选择需要的组件，真正实现“按需建构”。H3C智能管理中心解决方案架构如51、下图所示：H3C iMC解决方案架构由上图可以看出H3C iMC管理系统由智能管理平台以及各个业务组件组成，管理平台）提供网络管理的一些基础功能，比如故障管理、性能管理、资源和拓扑管理、用户管理等，而业务组件提供了相应的业务管理功能；各个业务组件相对独立，并可以无缝的集成在管理平台中，使得整个系统具有很强的可扩展性。H3C iMC智能管理平台实现网络资源、用户和业务的融合管理，提供基本的网络资源管理、拓扑管理、故障管理、性能管理、用户管理及系统安全管理，基于B/S架构，可以与H3C iMC 其他业务组件有效集成，形成多种解决方案。H3C iMC智能管理平台不仅可以实现H3C全线数据通信产品的管52、理，也可通过标准mib实现对Cisco、等各主流厂商的数据通信设备管理。IToIP数字化校园解决方案的整体优势 实现校园统一系统标准利用统一信息标准、统一应用标准、统一集成标准，解决重建设轻标准、缺乏IT系统的标准化和集成整和的问题，解决异构IT资源难以整合的问题。 实现校园数字业务定制建设统一数据中心、建立统一业务中心、构见随需而动的智能系统，解决数字化校园重网络轻应用- 路多车少的问题。 实现统一校园IT资源管理建设智能管理中心、整合IT资源统一管理，建立灵活完善的数据管理能力、建立完整网络资源管理、建立统一媒体管理。 实现统一信息安全管理建立统一安全管理中心，完成网络层、业务层、数据层、53、用户层安全管理，解决重建设轻维护和缺乏整体安全部署方法的问题。2.6 核心层网络结构设计对于校园网核心层，必须提供高性能、高可靠的网络结构，推荐采用经典的双设备的冗余星型结构，汇聚层交换机都是万兆双归属上行至核心层交换机，建成一个万兆骨干的园区网。2.6.1 规划设计考虑到汇聚层设备由多台汇聚层交换机万兆上行到核心层交换机上做线速数据交换，并且也有多条万兆线路连接网络出口和数据中心，如何保障几十个万兆线路在核心层设备上的线速转发成为一个关键点，因此核心层网络设备需要两台100G平台的高性能超万兆核心交换机组成。目前在核心设备上的跨设备链路聚合虚拟化技术，从对提升网络整体效率的角度，起到了一种横54、向整合的作用，即在不改变网络物理拓扑连接结构条件下，将网络同一层的多台设备横向整合，从逻辑上简化了网络架构。由于整合后的虚拟化系统具备跨设备链路聚合功能，因此，不同网络层之间的电缆互联也可通过逻辑整合，多条链路被捆绑成一条聚合的逻辑链路，如下图所示。跨设备链路聚合功能对网络的横向虚拟化整合虚拟化技术构成的网络架构与传统的网络设计相比，提供了多项显著优势： 1）运营管理简化。全局网络虚拟化能够提高运营效率，虚拟化的每一层交换机组被逻辑化为单管理点，包括配置文件和单一网关IP地址，无需VRRP。2）整体无环设计。跨设备的链路聚合创建了简单的无环路拓扑结构，不再依靠生成树协议（STP）。虚拟交换组内55、部经由多个万兆互联，在总体设计方面提供了灵活的部署能力。3）进一步提高可靠性。虚拟化能够优化不间断通信，在一个虚拟交换机成员链路故障时，不再需要进行L2/L3重收敛，能快速实现确定性虚拟交换机的恢复。核心层设备，承载校内访问Cernet流量，以及各校区内部网络之间的关键业务流量，通过核心交换机的精细业务和流量控制，确保关键流量的带宽和服务质量。根据承载的业务实时性要求，可以在通过虚拟化技术、BFD、FRR等技术保证电信级的故障恢复。2.7 园区网络规划2.7.1 高可用园区规划穆棱县一中校园网络作为实际业务的接入和承载体，必须具有高可用性。高可用性主要体现在以下几个方面：l 保持网络长时间的无56、故障运行；l 保证突发情况下的网络可用性和可恢复性；l 恶劣环境条件下的网络应用；l 抵抗灾难。消除单点故障网络建设高可用性设计，需要全方位多角度的对网络可靠性给予充分保障。园区网络高可用性可以通过设备自身的关键部件冗余、协议的不间断转发技术以及网络拓扑的链路和设备冗余设计来综合保证：l 设备的可靠：双主控、双电源l 网络的可靠：关键设备双归属、重要链路手工聚合、服务器采用双网卡l 协议的可靠：IRF2、防火墙HRPl 架构的可靠：重要设备冗余部署、流量路径合理规划l 应用的可靠：服务器健康检查高性能带宽规划设计当前，随着学校网络应用种类的不断增加，特别是实时在线视频应用、大规模组播应用和P257、P应用的迅猛增长。为了满足今后五年内的学校网络应用对带宽的需求，本次穆棱县一中校园网的带宽设计骨干网都是万兆设计，例如：核心层交换机和汇聚层交换机之间，核心层交换机和数据中心的服务器汇聚交换机，核心层交换机和出口路由器之间；千兆链路的设计是：汇聚层交换机和接入层交换机之间，数据中心中服务器和服务器汇聚交换机连接都是千兆线路；百兆链路用以实现百兆到桌面。因此对于校园园区核心层设备，应该在提供大容量、高性能L2/L3交换服务基础上，能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性，可为校园园区构建融合业务的基础网络平台，进而帮助用户实现IT资源整合的需求。第三章 抵御对多业务运营的威58、胁随着计算机技术的不断发展，病毒和网络攻击已经成为现在网络管理人员最头疼的问题。目前的网络安全威胁主要表现为如下三种形式：l 计算机系统病毒：ARP病毒，蠕虫，冲击波l 网络黑客攻击：spyware,钓鱼软件l 对网络基础设施的攻击：DoS/DDoS一个好的网络承载平台，是提供多种业务的基础，对于定位在运营级的数字化校园网，要保证网络质量和服务承诺，在安全控制方面必须有一个好的整体安全规划。第3章 3.1 全局安全防御体系规划安全防御的理念目前可以分为三个层面：局部安全：即对出现问题的薄弱环节或有可能出现问题的节点部署安全产品，进行27层的威胁防范，当前绝大部分学校采用的都是这种单点威胁防御方59、式。这种局部安全方式简单有效并有极强的针对性，适合网络建设已经比较完善而安全因素考虑不足的情况。全局安全：通过技术和产品的协作，将网络中的多个网络设备、安全设备和各功能组件通盘考虑。通过多层次的安全策略和流程控制，向用户提供端到端的安全解决方案。将计算机网络、网络上的通用操作系统、主机应用系统等企业资源都纳入到安全保护的范畴内。智能全局安全：当安全事件发生时，我们不仅能够迅速察觉、准确定位，更重要的是我们能够及时制定合理的、一致的、完备的安全策略，并最大限度的利用现有网络安全资源，通过智能分析和协同响应及时应对各种真正的网络攻击。校园网全局安全的建设目标就是形成全局化、结构化、智能化的安全防御60、体系，为整网达到可运营、可控制的目标服务。3.2 校园外网出口防御网络出口是整个校园网对外的唯一通道，也是病毒和网络攻击的入口，需要使用安全设备进行区域的划分和访问控制。1、传统的安全解决方案中，防火墙和入侵检测系统 (IDS，Intrusion Detection System) 已经被普遍接受，防火墙是最主流也是最重要的安全产品，是边界安全解决方案的核心。它可以对整个网络进行区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击，如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护。2、但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网络层的61、安全设备，不能充分地分析应用层协议数据中的攻击信号，而IDS也不能直接阻挡检测到的攻击，即使排除兼容性问题能够与防火墙进行联动，也存在一定的响应延时。以入侵防御系统 (IPS, Intrusion Prevention System ) 为代表的应用层安全设备，作为防火墙的重要补充，很好的解决了应用层防御的问题，并且变革了管理员构建网络防御的方式。通过在线部署，IPS可以检测并直接阻断恶意流量。3、另外，当前网络应用层出不穷，在大大提升了教师工作效率、学生学习效率的同时，也带来一些负面影响，主要有以下难题困扰： 通过P2P下载电影造成网络速度变慢，怎么解决？ 教师工作时间炒股、打游戏、聊天造成62、工作效率的下降，怎么解决？ 教师和学生访问非法网站易感染病毒，如何控制？ 教师工通过邮件、FTP等私自传输重要文件，导致机密泄露，如何提供有效的证据信息？ 学校管理员无法了解网络应用状况，无法对用户行为进行审计？ 公安部82号令，要求记录上网记录，如何应对？ 学生在BBS、论坛、Blog发表非法言论，如何应对？在这种情形下迫切需要一种专业的应用控制网关产品，来解决以上问题，这种应用控制网关产品能够实现应用控制与行为审计网关，能对网络中的P2P/IM/VoIP带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，可对网络流量、用户上网行为进行深入分析与全面的事后审计63、（可满足公安部82号令，对网络使用审计的要求），如Web应用、FTP应用、Email应用、聊天应用等，并具有强大的URL过滤功能，进而帮助学校优化网络资源，全面了解网络应用模型和流量趋势。如下图所示：在出口处，安全设备的部署模式主要以串接在线路中对病毒和网络攻击进行直接过滤为主，考虑到穆棱县一中的实际流量较大，考虑使用基于万兆平台的防火墙、IPS、应用控制网关产品，并直接配置万兆接口，避免因为安全设备本身的性能瓶颈影响网络出口的带宽。如下图所示：3.3 数据中心的安全防御数据中心是校园内各种业务数据的核心，是所有运营业务的汇接点。数据中心面对的一些主要安全挑战有：（1）对应用层的攻击：包括恶意64、蠕虫、病毒、缓冲溢出代码、后门木马等。应用攻击的共同特点是利用了软件系统在设计上的缺陷，并且他们的传播都基于现有的业务端口，因此应用攻击可以毫不费力的躲过那些传统的或者具有少许深度检测功能的防火墙。（2）面向网络层的攻击：除了由于系统漏洞造成的应用攻击外，数据中心还要面对拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）的挑战。DOS/DDOS是一种传统的网络攻击方式，然而其破坏力却十分强劲。据2004 美国CSI/FBI的计算机犯罪和安全调研分析，DOS和DDOS攻击已成为对企业损害最大的犯罪行为，超出其他各种犯罪类型两倍。（3）对网络基础设施的攻击：数据中心象一座拥有巨大财富的城堡，然65、而坚固的堡垒最容易从内部被攻破，来自数据中心内部的攻击也更具破坏性。园区内部的恶意攻击不仅可以通过应用攻击技术绕过防火墙，对数据中心的网络造成损害，还可以凭借其网络构架的充分了解，通过违规访问、嗅探网络系统、攻击路由器/交换机设备等手段，访问非授权资源，这些行将对企业造成更大的损失。数据中心的安全防护应该着重以下几方面：1. 网络架构和应用多层防护数据中心网络必须提供从链路层到应用层的多层防御体系，如上图所示。交换机提供的安全特性构成安全数据中心的网络基础，提供数据链路层的攻击防御。数据中心网络边界安全定位在传输层与网络层的安全上，通过状态防火墙可以把安全信任网络和非安全网络进行隔离，并提供对66、DDOS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力，同时配合以精心研究的攻击特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络应用层的保护。2. 分区规划、分层部署在网络中存在不同价值和易受攻击程度不同的设备，按照这些设备的情况制定不同的安全策略和信任模型，将网络划分为不同区域，这就是所谓的分区思想。数据中心网络根据不同的信任级别可以划分为：远程接入区、园区网、Internet服务器区、Extranet服务器区、Intranet服务器区、管理区、核心区等。分区之间通过AC67、L、防火墙、IPS等进行策略访问控制，甚至严格隔离，确保区域之间的影响最小，区域之间的流量可控。3. 数据中心管理安全数据中心网络设备的访问和管理必须是可控和安全的。可通过SSH、SNMP v3访问技术，设备配置ACL来限定只有合法的网段或者IP才能访问设备的这些管理协议、远程端口镜像、用户分级管理、用户视图保护等手段防止非法用户篡改设备配置、获取管理权限。第四章 数据中心规划第4章 4.1 核心层设计核心层是所有数据流经的网络层次，为整个校园信息化平台提供网络汇聚层接入和数据交换。核心层的设计应当体现高速、高可用性、高扩充性等特点。本次校园网核心设计同时核心交换机还需要冗余设计，包括设备冗余68、协议冗余，以保证整个网络系统做到无单点故障。设备冗余指网络设备上的模块冗余，如核心交换机上的电源、超级引擎等采用双配置；协议冗余指利用网络协议实现备份，如使用每个VLAN独立的生成树算法，实现第二层链路的快速切换等等。核心交换机上配置万兆或千兆的光接口以太网模块，通过光纤主干连接各区域汇聚交换机，构成主干网络的高速链路。同时核心交换机还需要提供足够的插槽，以保证网络设备的可扩展性及可延续性。校园方案核心交换机采用H3C S10500交换机，以全线速进行处理二层、三层、MPLS VPN、组播等各种业务流量，并能够提供强大的QoS保障，支持丰富的ACL、策略路由，以及STP/RSTP/MSTP协69、议和VRRP、协议。H3C S10500带宽控制粒度可达64Kbps，具备强大的用户管理、认证计费功能，并内置IEEE 802.1x认证服务器功能。H3C S10500可以提供多个业务插槽，满足今后网络扩充的需求。随着二、三期网络建设，可将核心网络配置成两台H3C S10500核心交换机，利用IRF2(第二代智能弹性架构)技术实现核心交换机虚拟化，将两台独立物理设备，虚拟化为一台设备进行业务处理和管理，从而提高了核心的处理能力及性能，增加了核心网络可靠性，在摒除传统冗余热备技术中硬件资源闲置浪费，同时也避免了核心部件单点故障给整个网络平台带来瘫痪的危险。通过在核心交换机上部署H3C Secbl70、ade IPS（入侵检测防御系统）模块实现了入侵防御/检测、病毒过滤和带宽管理等功能，H3C Secblade IPS是业界综合防护技术最领先的入侵防御/检测系统。通过深达7层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为，并实现对网络基础设施、网络应用和性能的全面保护。相对于盒式IPS，插卡式IPS也具有其优点项目盒式IPS插卡式IP2功能4-7层安全防护4-7层安全防护部署增加单点故障不增加单点故障实施复杂，改变网络架构简单，不改变网络架构维护复杂，维护独立设备简单，与原有设备统一管理处理效率低，延时大高，延时小可靠性低，单链路无法保证可靠性高，71、单链路也可保障可靠性4.2 接入层设计接入层处在网络末端，进行终端的接入与业务的接入。接入层是技术最丰富、对成本最敏感的区域，当前的局域网接入层可供选择的技术主要有100M和1000M以太网技术等。在局域网接入层，应能够最大限度满足IP业务的接入和承载，有利于节省网络投资和提高资源利用率。而随着技术的不断发展与用于业务类型的不断复杂，目前对网络接入层所能提供的功能与性能均发生了变化，如通过接入层交换机即对用户进行安全性要求，通过VLAN技术在接入层即进行二层广播风暴的隔离，有效抵御ARP病毒攻击对网络的影响。在核心层下按照需要接入的信息点的数量，配置多台二层交换机作为接入交换机，负责为各楼层的72、网络用户接入提供1000M带宽。接入层交换机在进行级联后通过千兆端口上联到所在网络区域的汇聚层交换机。接入层是网络的最边缘部分，直接连接网络用户终端。应该有较为完善的功能，如较强的QoS能力，一定的安全控制能力，支持VLAN技术等。建议采用H3C E系列教育网专用交换机，因为此系列交换机充分考虑到校园网络应用情况，保证网络的可靠性、安全性、可扩充性等因素。支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施校园网常见的“中间人”攻击，对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性，防止73、包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。H3C E系列教育网交换机是H3C公司为满足教育行业构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品，在满足校园网高性能、高密度的接入的基础上，提供更全面的安全接入策略和更强的网络管理维护易用性，是理想的校园网接入层交换机。4.3 模块化多业务部署随着网络技术的发展，现在的网络应用也越来越丰富，随之而来的就是各种网络问题的层出不穷，不仅仅是各种DDoS攻击、间谍软件、网游木马、流氓软件、病毒邮件在不断肆虐，还有性质极为严重的网络银行钓鱼和针对性很强的木马、蠕虫病毒的不断出现。因此，如何74、保证网络系统的安全性已经成为网络管理人员最为头痛和最为棘手的问题。可以肯定的说，目前用户对于网络服务的要求已经大大提高了，不但要求满足大流量的数据传输，还要求网络不能出现中断或故障。要想把安全技术融于网络，安全技术必须和高速的网络设施相匹配；同时，还要简化网络拓扑，简化对网络的管理，方便网络用户的使用，以确保应用和互联的网络安全。在网络中，普遍都是通过使用高性能交换机来实现互联互通。尽管如此，有了交换机的高性能，也不能确保网络没有安全风险的存在。内部网络需要安全的接入和安全的防护。那么，如何在高性能的网络中，嵌入并融合安全技术，这是一个热门课题。 对于这个课题，各家都有不同的解决之道。H3C基75、于多年来在网络产品和安全产品研发方面的深厚积累和先进技术，创新性的在高性能的万兆核心交换机中推出了包括FW插卡、IPS插卡、SSL VPN、LB（负载均衡）等7种业务插卡。所有SecBlade插卡均可以部署在H3C的中高端设备中，在网络基础平台上实现高性能的安全保障。在高性能的万兆核心交换机中直接嵌入SecBlade安全模块的做法，这对于H3C来说，不仅是一种安全理念，更是从核心交换就实施安全措施的一种创新。创新之处在于：要想把安全技术融于网络，安全技术必须和高速的网络设备相匹配；同时，还要简化网络拓扑，简化对网络的管理，方便网络用户的使用，以确保应用和互联的网络安全。 模块化多业务部署作为业76、界主流方案，应用广泛、优势明显。插卡式是业内成熟、稳定、高端的安全网络解决方案，业内主流厂商思科、Juniper、H3C等都提供并推荐使用插卡式解决方案，在全球各大运营商、行业都有广泛应用； 并且国内有友商也在积极进行相关产品的规划和开发，在紧追业界主流的技术。本次在核心S10500上配置IPS入侵检测，无线控制器模块等业务板卡以减少用户设备数量，保护用户投资，同时插卡式内置的优势在于：一、 高可靠性：降低单点故障1、在设备内部，基于交换机的无阻塞技术，各种插卡通过背板总线进行数据交换。任何一块插卡出现故障，基于H3C专利技术，可以通过Bypass方式使得流量自动绕过故障插卡，保证业务流正常处77、理和转发，不会出现单点故障。2、插卡式设备，所有的关键部件都可以冗余部署。单独的盒式设备，一般最多提供双电源的可靠性设计。而插卡式设备，包括电源、引擎、接口板、业务板等都可以冗余部署，大大提高了可靠性。当所有的关键部件都进行冗余部署的时候，实际上就是两台设备在同时工作，并可以进行负载分担。3、所有的插卡都支持热插拔，大大降低出现故障时更换设备的时间。二、 高性能和高扩展性：减少业务瓶颈1、高性能：所有的H3C SecBlade业务模块都采用了业界最领先的多核多线程CPU+ASIC+FPGA的高性能、分布式硬件架构。这种分布式的硬件架构保证了所有的业务能在第一时间并行处理。对于现在大量的应用层安78、全攻击，由于需要进行深入的报文分析，只有这种多核多线程的硬件架构才能真正做到实时处理，不会产生大的数据延迟。2、高转发：所有的SecBlade业务模块与交换机及其他插卡之间都是通过交换机Crossbar总线进行数据传输，数据带宽高达10Gbps以上。相对于盒式设备之间通常采用的网线连接方式，数据带宽更高、延时更低，而且可靠性更高，不会出现由于网线故障或连接故障导致的业务中断。3、盒式设备性能一般是固定的，但是插卡式设备的处理能力可以通过板卡的扩展进行数倍的提升。即使是单块的业务板，得益于其先进的多核架构，其性能优势也很明显（FW性能可以达到单模块万兆处理能力）。4、接口多：普通盒式设备一般最多79、提供几个接口，而插卡式设备的接口板可提供无限制的接口，并且可根据要求进行扩展，所有接口的VLAN都可以共享各种业务板卡。同时，通过虚拟化技术，可以将同一块物理业务板卡在逻辑上划分为相互独立的多个板卡，每个逻辑板卡拥有完全独立的资源和策略。 5、接口种类丰富：普通盒式设备，只能提供普通的以太网电口和光口。而基于交换机和路由器的插卡，还可以提供各种POS接口、ATM接口、E1/T1口等接口类型。6、组网简单：采用插卡式设备，只需在交换机中插入所需模块，相对盒式设备来说不会占用空间。且所有插卡都集成在一台交换机中，数据交换通过背板总线实现，组网更加简单，不像盒式设备，各个设备之间都要通过复杂的网线进80、行连接。三、 管理简单1、每个插卡可以通过WEB界面进行独立管理，也可以由交换机与其他业务板一样进行统一管理。不同插卡的状态可以基于主控板统一显示，通过主控板实现对插卡的统一管理。2、各个插卡的安全告警和日志信息能统一上报给H3C的安全管理平台SecCenter。通过SecCenter的统一安全信息收集和筛选，提取相关的关联信息，然后进行统一配置和管理，真正做到安全联动。四、 成本投入低1、得利于良好的扩展性，在对接口、功能、性能等进行升级的时候，在升级标准相同的条件下，再次投入的成本大幅降低，原有的投资也能得到保障。第五章 网络出口部署解决方案第5章 5.1 网络出口部署方案数字校园2.0和81、传统数字校园最大的变化当属从“整体主义”向“人本主义”的迁移，即关注面向用户提供更友好的数字应用环境，提供个性化的服务，注重用户对数字校园的体验度提升。虽然近些年学校在教学、科研、办公、生活等方面不断丰富校内应用系统，用户也很大程度体验到了数字校园的高效便捷，但是还有一些环节或多或少不尽完善，主要在于所有人对高成本数字资源的争用，尤其是校园网络的外网边界。问题相对体现在带宽滥用、运维成本高、资源利用不均衡、安全隐患多、性能扩容等环节。针对不同问题，也有一些厂家提供了解决方案，但是又缺乏统一规划和资源统筹分配，造成没有全局统一管理的新问题。H3C将结合以上问题，利用自身技术创新的优势，提供基于角82、色的校园网出口统一管理解决方案，提升用户整体使用满意度，实现数字校园2.0的人本主义过渡。校园网出口是数字校园最宝贵、最稀缺的资源，每年学校为了师生更广泛的获取信息和知识、为了与外界的相互交流，往往付出数十万经费租用各运营商的链路。然而我们都知道，校园网络是一个相对开放的环境，同时由于以太网的特点校园网也是一个资源争用的环境。这就造成了校园用户各种应用在有限的校园网出口发生了比较严重的拥塞，导致的后果主要是重要的业务和重要的使用者得不到服务质量保障，以及学校付出较高的流量费用。安全防御管理的挑战校园网的安全防御是一套系统工程，其中外网边界的防御是一个重点，因为L2-L7层的攻击行为，挂马、僵尸83、蠕虫等隐患数不胜数，同时也面临校园内部用户在外发表非法言论或其他网络违法行为等管理问题。分析这些问题，实际上校园网出口恰好是安全问题发生两端中间的必经路径，也就成为管理工作的落地点。性能需求弹性变化的挑战校园网的出口性能需求不是一成不变的，造成变化的两个主要原因：其一是校园用户规模不断扩大，其二是应用类型日益繁多，尤其是带宽消耗高的P2P业务。比如1个GE的链路利用率快速从50%上升到90%，并发用户从2000上升到并发用户5000。而固化的解决方案将不能适应这种变化，扩容性能往往意味着淘汰原有设备投资。部署与管理复杂度的挑战校园网出口的问题不是一天造成的，同时业界相应解决方案也是陆续推出的84、，所以经常可以看到学校出口部署了防火墙、IPS、防毒墙、流控、流量计费、负载均衡、审计网关、NAT等诸多“糖葫芦串”设备，这些设备属于不同厂家，性能往往不匹配，难以统一管理，易形成单点故障。解决方案与价值实现基于角色的多业务整合管理方案H3C面向校园网络出口的多种业务需求，包括网络异常流量分析、区分业务等级的带宽管理、安全攻击防御、用户上网行为审计管理、流量计费运营管理、多ISP出口负载均衡管理提供了整合型解决方案。解决方案基于用户身份和角色，从“看”、“疏”、“防”、“审”、“营”、“优”六个维度，将原有错综复杂的校园出口管理需求实现了All in One式的综合管理。高性能、可弹性扩容的管85、理方案解决方案依托SecBlade技术实现集成式部署，允许用户将处理性能从“千兆级”线性提升至“超万兆级”，可以在用户规模不断扩大时，平滑扩容提升处理能力，不会因为产品性能形态固化而无法保护投资。同时也将不同的管理组件对用户提供可选性，避免投资压力解决方案也可以采用各组件独立的硬件设备实现分体式部署，每一组件均可以实现业界领先的处理性能，以及统一管理，只是和集成式部署相比缺乏线性平滑扩容的能力。稳定可靠的的管理方案解决方案依托SecBlade技术实现集成式部署，将原有校园出口方案多类设备的多故障点风险降至最低；而通过多块SecBlade业务卡针对某类具体业务实现负载均衡处理时，可以将单块业务卡86、故障风险进行规避；如果某块业务卡发生故障，SecBlade技术可以支持逃生功能实现业务流的二层回退，保障业务不中断。本方案针对高校不同业务需求，接入网络环境的不同，同时出于保护原有网络投资的目的，规划如下：对外互联网区，采用高性能多业务网关（M9010），并配置高性能防火墙业务板卡和应用控制网关业务板卡和负载均衡业务板卡，对外服务资源防护，高性能NAT需求。高校网络互联网应用最大的特点就是访问量突发量高、数据访问并发数高、在线访问人数高等特点，因此需要出口网关设备的NAT性能、数据抓发性能、ACL加速性能、高抗网络攻击的性能等要求。在出口网关上部署H3C高性能防火墙插卡，有效抵御外部及内部的网87、络攻击，利用防火墙安全区域划分功能，有效隔离教职工办公网络和学生宿舍网络，保证各自运行独立性。H3C SecBlade FW能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能，有效的保证网络的安全。采用H3C ASPF（Application Specific Packet Filter）应用状态检测技术，实时检测应用层连接状态，实现3-7层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用户进行网络管理。SecBlade FW模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。采用先进的多核硬件结构，提供无以伦比的万兆88、线速安全防护，是业内处理性能最高的防火墙模块，将网络安全防护提升到万兆安全新阶段。支持先进的虚拟防火墙技术，通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对用户多个业务独立安全策略部署的需求。当用户业务划分发生变化或者产生新的业务部门时，可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题，简化了网络管理的复杂度。SecBlade FW业务模块作为业务插卡嵌入H3C交换机或路由器中，降低了单点故障，保证了网络的高可靠性。5.2 校园网应用控制网关方案随着经济与网络的不断发展，教育信息化、校园网络化作为网络时代的教育方式和环境， 已经成为各大院校教育发展的方向，各个教育工作者89、也在寻求新的思路和对策，促使校园文化与网络信息融合，并促进校园文化的健康发展。校园网经过前期建设，已形成了覆盖全校所有教学楼、图书馆、宿舍等所有校园建筑的网络，成为学校师生开展教学科研、获取信息、丰富知识、学习交流的重要渠道，在学校各方面起到了重要的积极作用。校园网除常规的资源共享、教学教务管理、WWW服务等外，还有丰富的多媒体资源，如课件点播、计算机辅助教学、VOD点播、远程教学等，这些都需要高效的带宽管理保证。但随着应用的逐步深入，接入校园网节点日渐增多，如何让学生更有效的利用网络学习而非其他，是校园网络管理者面对的一个难题。学生思维活跃，对新事物接受能力强，往往喜欢尝试网络中各种新应用，90、例如通过网络P2P下载、在线游戏、在线看电影、听音乐、论坛发表言论等，很容易造成网络堵塞和病毒传播，尤其是P2P业务流量占用大量网络资源，已经严重影响正常的教学工作秩序，管理员对此是头疼不已。如果不采取防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。针对高校存在的安全现状，H3C提供了针对性的解决方案行为监管解决方案，细粒度的策略配置、完善的事后审计、直观友好的图形化界面，产品的可靠易用，得到了用户的高度认可。通过在Internet出口网关部署H3C SecPath ACG应用控制网关，实现了学校出口流量的全面识别与控制。H3C经过长期的技术积累，ACG应91、用控制网关可识别近两千种协议识别，是业界协议识别最全的产品，尤其是国内特有的一些应用，如Thunder（迅雷）、eMule（电骡）、eDonkey（电驴）、QQ、PPLive等。同时，可设定不同的控制策略，对网络中大量的P2P流量进行合理的限制与规划。如根据不同帐号、IP地址、IP组、时间等对各种P2P流量、在线游戏、看电影等业务进行精细化的限流、告警、或阻断。解决方案由三个关键环节组成，即：核心/出口层用户行为识别与控制，接入层用户行为识别与控制，用户安全执行中心负责对两个层次做全局协同以及所有用户行为的统一审计管理。核心/出口层实现对典型的应用层用户行为实现管控，如HTTP访问违规、EMA92、IL违规、公安部82号令、P2P带宽滥用等；接入层实现终端自身安全等级强制保障、L2-L3层违规操作（ARP攻击、非法DHCP）。用户安全执行中心的作用有三个，其一是作为协同联动核心/出口/接入层相关组件，其二是提供审计分析的交互界面，其三是与其他第三方必要设施（防病毒升级服务器、WSUS服务器）进行开放对接的接口。5.3 核心/出口用户行为管控出口部分包括了应用控制网关和用户安全执行中心，完成行为识别、行为控制、行为审计三大环节行为识别：ACG采用H3C专利技术UAAE（智能应用感知引擎），具备强大的应用识别能力，可识别P2P、非法网站访问等行为；行为控制：ACG通过阻断、限流、过滤等方式实93、现用户行为精细化控制控制，有效解决带宽滥用、访问非法网站感染病毒等问题；行为审计：用户安全执行中心对ACG检测出的网络安全事件进行深入分析并输出审计报告，同时收集防火墙发送的NAT日志，帮助管理员全面了解用户行为和流量趋势，为加强整网安全、满足合规性要求提供决策依据。1、行为识别在出口上实现用户行为管控，首先必须对用户行为做到精确识别，ACG通过深度应用流量识别，可根据特征识别网络中的各种P2P应用协议和流量，同时可以通过深度行为分析识别用户各种上网行为；防火墙对相关应用进行NAT地址转换并作记录。2、行为控制在精确识别用户行为的基础上，必须能对非法的行为进行控制。根据校园网的实际情况，在AC94、G上配置流控策略和过滤策略，AGC在识别用户行为后根据相关策略，对用户行为进行细粒度的控制。3、行为审计根据公安部82号令的要求，网络管理者或者运营者必须记录并留存用户登录和退出时间、主叫号码、帐号、互联网地址或域名等信息，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系，并保留3个月以上的上网日志信息备查。用户安全执行中心收集ACG记录的用户应用访问信息和防火墙发送的NAT日志，对HTTP、Email、FTP、IM等行为进行分析，记录网页域名、地址、邮件收发人、主题、附件名、FTP上传下载文件等内容，实时输出用户行为审计报告，满足公安部第82号令和校园网上网行为审计要求。当发生安95、全事故后，可以根据记录的信息对用户既往行为进行分析和追根朔源，对潜在的破坏者可起到威慑作用。5.4 基于时间段的用户带宽分配方案校园网互联网出口带宽资源是有限的，如何高效的应用带宽资源是解决校园网带宽资源使用最大化的关键问题。针对此问题H3C提出基于时间段动态带宽分配方案，以正常教学间以早8点至晚4点为了例，如我校出口带宽为100M，为保证上班时间教师带宽使用，将采用QOS策略功能对教师及学生网络带宽进行划分，如教师使用60M带宽，学生使用40M带宽，以保证教工网段网络正常带宽使用，而4点以后教师下班，学生上网达到高峰期，此时通过网络出口设备，通过基于时间段的ACLQOS方式，将白天教师规划的96、60M带宽释放出40M带宽给学生网段以保证学生上网，此方法将会极大的提高带宽使用效率, 充分保障了校园网络的应用。 第六章 无线校园解决方案随着信息化的不断发展，智能终端改变了人们的生活方式与工作方式，传统的有线网络已经无法满足现阶段智能终端的使用，随着移动办公应用、办公APP、BYOD、电子书包、MOOC应用的发展，无线校园网建设必须紧跟时代步伐 。无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点： 简易性：WLAN网桥传输系统的安装快速简单，可极大的减少铺设管道及布线等繁琐工作； 灵活97、性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域； 综合成本较低：一方面WLAN网络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。 扩展能力强：WLAN网桥系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统；第6章 6.1 技术需求穆棱县一中无线局域网重点技术需求如下： 为保证智能终端使用效果，室内无线AP输出点信号强度20dbm，重点区域信号强度控制在-50-70dbm，其他区域（包括走廊、楼梯等），信号强度控制在-70dbm-80dbm。 考虑到工程实施的98、复杂度，无线接入点供电方式需采用IEEE802.3af POE/802.3at POE+远程供电。 为了满足电子书包并且以备扩容和发展，室内无线AP要求必须支持两个或两个以上射频模块，可以工作在2.4GHz和5.8GHz频段。 无线接入点（AP）必须至少支持IEEE802.11ac等无线传输协议，在保证高速无线接入的同时对老旧无线网卡的支持。 无线AP必须支持WLAN用户的隔离功能，以防止在公共区域无线用户间的信息泄露。 无线AP必须支持Multi SSID功能，AP自身具备为不同SSID WLAN用户接入有线网络或互联网络提供不同身份认证策略的功能。 无线AP自身应具备智能的、无需要辅助设备99、就可根据周围电磁波环境的变化，自动进行频道最优化设置，以达到最优化覆盖的目的。 无线AP之间可根据相互通告来获取对方连接的用户数量及流量，从而实现AP的负载均衡，并支持用户在不同AP间平滑漫游。 无线AP支持射频(RF)信号加密特性，支持802.11i安全标准，提供WPA2认证机制可提供AES加密方式。 WLAN系统支持终端自助注册和类型识别，基于终端类型下发控制策略，实现无线局域网BYOD。 WLAN系统支持MAC地址的绑定，包括普通员工终端绑定到单个用户，以及部分员工公用Pad绑定到多个用户。 WLAN网管系统能够对全网的无线局域网设备进行统一管理，包括网元信息查询、运行状态和性能监控、告100、警管理、配置管理、报表输出等功能，并支持设备的分组管理和不同管理员的分权管理。产品能力要求要求： 具有无线委员核准证； 支持负载均衡； 漫游切换； 支撑QOS能力 支持Guest VLAN的要求6.2 不同场景覆盖方案穆棱县一中校园内不同的楼宇建筑结构有着不同的特点，而同时对于无线覆盖也有不同的部署模式，此次设计方案以全面覆盖并保证用户体验效果为基础，除了我们熟悉的放装式部署以外对于不同场景我们将采用以下几种不同的方案作为补充：1.2.3.4.5.6.6.1.6.2.6.2.1. 宿舍区部署AP方案针对多房间结构建筑，如学生宿舍、小型办公室、这样的场景做无线覆盖时，传统的方案是采用独立放装AP101、或者天线入室AP，在信号或者性能方面存在不足。H3C 终极者无线方案针对这类场景采用了全新的组网架构，创新的解决了该类覆盖的信号和性能问题，实现了每房间的无线千兆接入速率，让人们的无线生活更加方便。终结者方案由无线控制器+终结者AP本体+终极者AP分体组成。其中分体AP部署在房间内，本体AP可以部署在楼层配线间或者竖井。1 终结者方案组网结构图终结者本体(超瘦AP母体AP)： 终结者AP方案相比传统的瘦AP架构，增加了“终结者AP本体”这个角色，每个房间仍然有一个分体AP覆盖，分体AP通过网线连接到本体AP，每个本体AP可以承接最多20个分体AP，为这些分体AP进行PoE供电的同时，也能够进行102、管理和维护。终结者AP具备上行接口，在部署过程当中可以发挥接入交换机的作用，与上行汇聚或者核心连接。当分体AP失去关联或者故障的时候可以再本体AP上发现。 终结者本体方案终结者分体AP：终结者分体AP部署在宿舍房间内，独立工作。相比传统的室分和放装方案，每个房间内的用户可独享单AP的提供的带宽。H3C全系列的终结者方案都支持802.11ac千兆无线接入。可以充分的满足客户对高带宽的需求。分体AP通过母体AP供电。6.2.2. 小型办公室面板AP入室安装部署面板AP是H3C入室部署方案中的另一种，面板AP的大小为普通面板插座86mm*86mm的大小，直接安装即可使用，不需要额外的布线可直接利用现103、有的有线网络就能完成无线部署，同时面板AP自带四个RJ45口可对外提供有线网络连接的服务，它美丽的外观，简便的部署方式使得它成为无线部署的利器，考虑到对于后续设备的好维护性和防破坏性，此次方案中面板AP仅仅部署在办公区域的房间内。面板AP部署图：6.2.3. 礼堂等高密接入区AP部署方案学校高密场景很多，如报告厅、食堂、大型教室、会议室，特点是建筑结构空旷，人流人群密集，对无线需求旺盛。WLAN高密度接入室内场景覆盖一直以来都是WLAN业界的难题，在有限的空间内要满足大规模用户的同时接入需求，如何解决干扰、安全、并发接入数等问题，这极大的考验了无线厂商在产品、无线工程部署等方面的能力。而我们所104、处在移动互联网时代的今天，无时无刻在通过无线技术互联，为此H3C通过高密覆盖方案满足学校众多高密场景。传统的无线接入AP通常采用双频方案,分别在2.4GHz和5GHz两个频段上提供无线信号接。H3C WA4330-ACN产品创新的采用三频设计，在保留原有双射频的同时，增加了一个灵活可变的第三个射频。当实际接入的终端类型支持5GHz的数量较多时，可将该射频配置成5GHz频段，从而提高5GHz的接入用户数量和带宽能力，反之，2.4GHz终端较多时则可以配置成2.4GHz，组网形式非常灵活。因此，WA4330-ACN的接入速率最高可达2Gbps，在业界第一次提供可商用的有线无线双千兆接入AP产品，非105、常适合在电子书包场景，高密度接入场景使用。并且通过多次业界大型赛事和展会H3C总结了自己的一套方式方法。以下是2013年到2014年H3C承建的无线案例。时间项目名称地点峰值用户2013年9月2013奇虎互联网安全大会ISC北京22722013年11月H3C首届用户大会北京12182014年2月H3C渠道峰会杭州9772014年5月2014大连CHIMA医疗信息大会大连20632014年6月巴西世界杯巴西6k-9k2014年7月丹麦（Eurovision Song Contest 2014） 丹麦60002014年8月2014南京青奥会（电信）南京68002014年10月阿里云开发者大会杭州3106、2002014年10月第十四届中国教育信息化创新与发展论坛苏州1000第七章 云校园建设方案第7章 7.1 穆棱县一中云计算数据中心建设需求传统IT系统面向业务采用独占硬件方式建设，这种部署方式目前主要存在以下问题：资源利用率低，如，服务器系统资源基本上处于1020%的水平乃至更低、新业务上线慢、管理运维复杂、策略分散。随着信息化技术和智慧校园发展，原有IT系统已经不能适应学院发展需要，如，将来教学、科研和管理会采用：物联网、大数据、互联网化教学、新的校园APP等，对IT系统的计算能力，快速响应能力，业务高可用能力提出更高要求，再采用传统面向业务的IT建设模式很难适应需求。解决以上问题是采用云107、计算运行模式的IT基础设施，通过云计算还可以实现如下价值：（1） IT资源的优化整合对目前教学科研信息化的各种资源进行整合开发利用，充分挖掘潜力，提高资源的利用率。首先将分散在不同机房的软硬件资源进行整合，提高其重复利用率，杜绝闲置和浪费现象，达到数据的标准统一、管理统一、维护统一，逐渐将各个应用系统的数据动态及时地互联互通，彻底消除信息化中的信息孤岛，实现信息分散、动态采集，集中安全管理，共享应用。通过服务器虚拟化技术，将各种硬件及软件资源虚拟化成一个或多个资源池，并通过系统管理平台对这些虚拟资源进行智能的、自动化的管理和分配。（2） IT资源的自动化服务提供通过校园私有云，可以将IT资源以108、高效的“按需构建”方式提供给使用方，极大提升服务效率。通过统一服务门户为师生提供服务，用户可以通过统一门户浏览和申请使用IT资源，并可以按自己的需要对资源进行下载、重新整合和展现，信息中心可以通过该自助服务门户对用户、资源进行统一管理。本次云计算数据中心建设实现目标：通过虚拟化、云计算技术实现服务器、存储、网络、安全资源的合理规划，将来大部分的业务部署在虚拟平台中，包括Web应用、非核心数据库、实验环境、测试环境、公共服务、校园师生临时IT租用等。7.2 虚拟化平台设计方案1.2.3.4.5.6.7.7.1.7.2.7.2.1. 平台总体设计穆棱县一中智慧校园云计算平台架构图如上图所示，数据中109、心计算资源、存储资源上联至汇聚交换机，汇聚交换机由万兆光纤于数据中心核心交换机互联，形成一个大的云计算所需的存储资源池和服务器资源池。由核心交换机、防火墙、入侵防护、流量控制、负载均衡等安全设备构成安全资源池，保证虚拟机业务的安全和稳定。7.2.2. 资源池分类设计服务器是云计算平台的核心，其承担着云计算平台的“计算”功能。对于云计算平台上的服务器，通常都是将相同或者相似类型的服务器组合在一起，作为资源分配的母体，即所谓的服务器资源池。在这个服务器资源池上，再通过安装虚拟化软件，使得其计算资源能以一种虚拟服务器的方式被不同的应用使用。这里所提到的虚拟服务器，是一种逻辑概念。对不同处理器架构的服110、务器以及不同的虚拟化平台软件，其实现的具体方式不同。在x86系列的芯片上，其主要是以常规意义上的VMware虚拟机或者H3Cloud虚拟机的形式存在。在搭建服务器资源池之前，首先应该确定资源池的数量和种类，并对服务器进行归类。归类的标准通常是根据服务器的CPU类型、型号、配置、物理位置来决定。对云计算平台而言，属于同一个资源池的服务器，通常就会将其视为一组可互相替代的资源。所以，一般都是将相同处理器、相近型号系列并且配置与物理位置接近的服务器比如相近型号、物理距离不远的机架式服务器或者刀片服务器。在做资源池规划的时候，也需要考虑其规模和功用。如果单个资源池的规模越大，可以给云计算平台提供更大的111、灵活性和容错性：更多的应用可以部署在上面，并且单个物理服务器的宕机对整个资源池的影响会更小些。但是同时，太大的规模也会给出口网络吞吐带来更大的压力，各个不同应用之间的干扰也会更大。如果有条件的话，通常推荐先审视一下穆棱县一中自身的业务应用。可以考虑将应用分级，将某些级别高的应用尽可能地放在某些独立而规模较小的资源池内，辅以较高级别的存储设备，并配备高级别的运维值守。而那些级别比较低的应用，则可以被放在那些规模较大的公用资源池（群）中。初期的资源池规划应该涵盖所有可能被纳管到云计算平台的所有服务器资源，包括那些为搭建云计算平台新购置的服务器、穆棱县一中内部那些目前闲置着的服务器以及那些现有的并正112、在运行着业务应用的服务器。在云计算平台搭建的初期，那些目前正在为业务系统服务的服务器并不会直接被纳入云计算平台的管辖。但是随着云计算平台的上线和业务系统的逐渐迁移，这些服务器也将逐渐地被并入云计算平台的资源池中。对于x86系列的服务器，除了用于生产系统的资源池以外，还需要专门搭建一个测试用资源池，以便云计算平台项目实施过程以及平台上线以后运维过程中使用。在云计算平台搭建完毕以后，穆棱县一中的服务器资源池可以如下图所示：在云计算平台上线以后，原有非云计算平台上的应用会逐步向云计算平台迁移，空出的服务器资源池也会逐渐并入云计算平台的资源池中。其状态可以用下图所示：H3Cloud CVM虚拟化管理平113、台体系将IT数据中心的物理服务器资源以树形结构进行组织管理，统一称之为云资源。云资源是H3Cloud云计算软件分层管理模型的核心节点之一，用来统一管理数据中心内所有的、复杂的硬件基础设施，不仅包括基本的IT基础设施（如硬件服务器系统），还包括其它与之配套的设备（如网络和存储系统）。默认情况下，H3Cloud云计算管理平台出厂配置中已经添加了一个名为“云资源”的根节点，准备使用H3Cloud云计算软件进行管理的所有物理资源都需要手工逐一添加到该节点下进行统一的管理。云资源中的被管理对象之间的关系可以用下图描述：7.2.3. 主机池设计在H3Cloud云计算软件体系架构中，主机池是一系列主机和集群114、的集合体，主机有可能已加入到集群中，也可能没有。没有加入集群的主机全部在主机池中进行管理。在H3Cloud云计算管理平台主界面导航菜单窗口中点击“云资源”，在快捷工具栏中选择按钮。或者右键单击“云资源”，在弹出的上下文菜单中选择子菜单。在弹出的增加主机池对话框中，输入主机池名称后，单击按钮完成主机池的添加。7.2.4. HA集群设计传统数据中心内的服务器高可靠性保障通常会选择依赖于集群技术的部署。而云计算平台将计算资源虚拟化以后，可以利用虚拟服务器自身虚拟化的特点实现传统物理服务器上无法实现的高可靠性。为了提升云业务系统的可靠性，在云计算平台的计算资源池建设时，可以将多个物理主机合并为一个具有115、共享资源池的集群。CVM HA功能会监控该集群下所有的主机和物理主机内运行的虚拟主机。当物理主机发生故障，出现宕机时，HA功能组件会立即响应并在集群内另一台主机上重启该物理主机内运行的虚拟机。当某一虚拟服务器发生故障时，HA功能也会自动的将该虚拟机重新启动来恢复中断的业务。具体操作如下图所示：除了对集群中的物理服务器节点进行持续检测之外，H3C CAS HA软件模块还对运行于物理服务器节点之上的虚拟机进行持续检测。在每台服务器节点上都运行了一个LRMd（Local Resource Manager daemon，本地资源管理器守护进程），它是HA软件模块中直接操作所管理的各种资源的一个子模块，116、负责对本地的虚拟化资源进行状态检测，并通过shell脚本调用方式实现对资源的各种操作。当LRMd守护进程检测到本机的某台虚拟机出现通信故障时，首先将事件通知给DC，由DC统一将该虚拟机状态告知集群内所有的物理服务器节点，并按照一定的策略算法，为该故障的虚拟机选择一个空闲的服务器节点，在该节点上重启该虚拟机。使用H3C CAS云计算软件HA特性进行虚拟机故障切换H3C CAS HA技术有效的解决了目前其它高可用性解决方案面临的问题： 当物理服务器发生硬件故障时，所有运行于该服务器的虚拟机可以自动切换到其它的可用服务器上，相对传统的双机容错方案，H3C CAS HA可以最大程度减少因硬件故障造成的117、服务器故障和服务中断时间。 不同于其它HA的双机热备方式，所有参与HA的物理服务器都在运行生产系统，充分利用现有硬件资源。同时，对众多的操作系统和应用程序，H3C CAS提供统一的HA解决方案，避免了针对不同操作系统或者应用，采用不同的HA方案带来的额外开销和复杂性。通过H3C CAS HA，IT部门可以： 为没有容错功能的应用提供冗余保护传统意义上HA实现很复杂并且价格昂贵，多用于关键性的服务或应用，而H3C CAS HA为所有的应用程序提供了高性价比的HA解决方案。 为整个IT环境提供“第一条安全防线”不同于其它基于操作系统和应用的HA实现方式，H3C CAS HA为IT系统提供了更统一、118、更易于管理的高可用性解决方案。H3C CAS用最少的成本和最简单的管理方式为所用的应用提供了最基本的冗余保护功能。综上所述，H3C CAS HA解决方案的技术特点总结如下：1.自动侦测物理服务器和虚拟机失效H3C CAS会自动的监测物理服务器和虚拟机的运行状态，如果发现服务器或虚拟机出现故障，会在其它的服务器上重新启动故障机上所有虚拟机，这个过程无需任何人为干预。2.资源预留H3C CAS永远会保证资源池里有足够的资源提供给虚拟机，当物理服务器宕机后，这部分资源可以保证虚拟机能够顺利的重新启动。3.虚拟机自动重新启动通过在其它的物理服务器上重新启动虚拟机， HA可以保护任何应用程序不会因为硬件119、失效而中断服务。4.智能选择物理服务器当与H3C CAS动态负载均衡功能共同使用时，H3C CAS HA可以根据资源的使用情况，为失效物理服务器上的虚拟机选择能获得最佳运行效果的物理服务器。 HA功能给穆棱县一中云计算平台带来的价值如下： 简便的设置和启动：使用“新建集群”向导来进行初始设置，使用H3C CVM虚拟化管理平台添加主机和新的虚拟机。 降低硬件成本和设置：在传统集群解决方案中，必须有重复的软硬件，而且各个组件必须正确连接和配置。使用CVM集群时，只要保证有足够的资源容纳要确保其故障切换的主机的数量，就可以便捷自动地完成主机故障切换。 无论硬件和操作系统平台如何，CVM HA都通过为120、应用程序提供可用的、经济的高可靠性，而使其更“大众化”。7.2.5. 主机设计集群创建成功之后，没有任何主机或虚拟机包含于其中，为了基于将主机和虚拟机基于集群进行管理，首先需要将主机添加到集群。在H3Cloud云计算管理平台主界面导航菜单窗口中点击需要增加主机的集群，在快捷工具栏中选择按钮。或者右键单击需要增加主机的集群，在弹出的上下文菜单中选择子菜单。在弹出的增加主机对话框中，输入需要被添加到集群的主机的IP地址、通过SSH协议访问主机的用户帐号及密码后，单击按钮完成主机池的添加。7.2.6. 虚拟机生命周期管理传统的虚拟机生命周期是指虚拟机从创建到删除所经历的各个阶段，最常见的划分为“创建121、运行、终结”三个阶段。在IaaS架构中，虚拟机作为最为重要的IT基础设施，它的生命周期供贯穿于整个云业务服务的流程之中，并直接关系着云计算平台的资源利用状况。因此，为了更好的将虚拟机的生命周期管理和云业务及资源平台管理结合在一起，在H3Cloud 云计算解决方案中，将虚拟机的生命周期外延为“规划、创建、运行、调整、终结”五个阶段。在云解决方案中，虚拟机生命周期的管理除了关注虚拟机正常的生命阶段以外，还需要关注虚拟机两个外延属性业务和资源。u 规划虚拟机的规划是IT架构的关键设计范畴。在这个阶段需要将业务需求转化为IT需求，并落实到业务和资源两个方面的规划设计中来。着重考虑两个方面的内容： 业122、务梳理和评估 通过对业务的梳理，评估数据中心平台各业务部门对虚拟机类型和规模的需求定义各部门组织以及给组织划分其所属的虚拟资源，包括计算资源，网络资源，存储资源以及虚拟机模板等。实际操作流程如下图所示：u 创建虚拟机的创建是虚拟机实体诞生并提供给用户业务的开始。H3Cloud 云方案提供了多种方式来创建虚拟机：从模板生成，自定义参数，克隆等。虚拟机创建时需要考虑硬件资源（CPU数量（核数）&CPU调度优先级 ，IO资源：存储资源&IO优先级 。内存大小 ，网络资源 等）和系统和应用（ 操作系统等）两方面的内容。 这些因素在H3C 云管理平台中虚拟机创建流程中都会有涉及，具体操作界面如下图所示：123、u 运行虚拟机的运行可以实现完整的传统物理机运行状态。而且依托虚拟化技术实现更加灵活的虚拟机使用模式：启动、休眠、关闭、暂停、恢复、重启。用户可以依托H3C云管理平台简单的实现上述虚拟机的状态的切换，具体如下图所示：u 调整虚拟机的调整是云业务管理员根据虚拟机所承载的业务的变化需求对现有虚拟机所占资源的主动行为。这种调整可以是由于业务扩展带来的虚拟机硬件资源扩张，也可能是业务收缩后对多余资源的释放。虚拟机的调整是云计算业务资源弹性最直观的体现，也是云计算技术给业务开展带来敏捷性的根本所在。H3C云计算平台可以在线的调整虚拟机所占用的系统资源，实际操作如下图所示：u 终结如下图所示，虚拟机在云计124、算管理平台上被删除，即意味着虚拟机生命周期的终结。在虚拟机生命周期终结时要关注虚拟机所占用系统资源的回收。H3C云管理平台在虚拟删除后，会自动回收CPU和内存等资源，为了保证虚拟机数据安全其所占用的存储资源不会自动回收。7.2.7. DRS动态资源调度CVM提供的动态资源调整功能可以持续不断地监控计算资源池的各物理主机的利用率，并能够根据用户业务的实际需要，智能地在计算资源池各物理主机间给虚拟机分配所需的计算资源。通过自动的动态分配和平衡计算资源，动态资源调整特性能够： 整合服务器，降低IT成本，增强灵活性； 减少停机时间，保持业务的持续性和稳定性； 减少需要运行服务器的数量，提高能源的利用率125、。随着业务量的增长，虚拟机对计算资源需求会相应的迅速增加。此时其所在物理主机的可用资源可能就不能再满足其上承载的虚拟机的计算需要。CVM动态资源调整功能组件可以自动并持续地平衡计算资源池中的容量，可以动态的将虚拟机迁移到有更多可用计算资源的主机上，以满足虚拟机对计算资源的需求。即便大量运行SQL Server的虚拟机，只要开启了动态资源调整功能，就不必再对CPU和内存的瓶颈进行一一监测。全自动化的资源分配和负载平衡功能，也可以显著地提升数据中心内计算资源的利用效率，降低数据中心的成本与运营费用。如上图所示，动态资源调整功能通过心跳机制，定时监测集群内主机的CPU利用率，并根据用户自定义的规则来126、判断是否需要为该主机在集群内寻找有更多可用资源的主机，以将该主机上的虚拟机迁移到另外一台具有更多合适资源的服务器上。具体操作如下图所示：除了定时检测和动态迁移之外，H3C CAS还充分考虑了虚拟机对物理服务器主机的亲和性因素，即衡量虚拟机对当前物理主机的依赖程度。例如，用户可能希望某些虚拟应用系统只允许在固定的物理主机上运行，而不允许其动态迁移。此时，只需要在H3C CAS云计算管理平台上，去勾选虚拟机的自动迁移属性即可。动态资源调整技术特色总结 根据业务需求自动调整资源H3C CAS动态资源调度功能将物理服务器主机资源聚合到集群中，通过监控CPU和内存等关键计算资源的利用率持续优化虚拟机跨物127、理主机的分发，将这些资源动态自动分发到各虚拟机中。 自动平衡计算容量H3C CAS动态资源调度功能会不间断地平衡资源池内的计算容量，提高服务级别并确保每个虚拟机能随时访问相应资源，满足虚拟应用程序的高可用性。7.2.8. 虚拟机资源限额默认情况下，H3C CAS给每台物理服务器主机上的虚拟机分配数量相同的CPU、内存以及磁盘I/O资源。但是，并不是所有虚拟机工作负载天生相同，例如，SQL服务器和Web服务器的访问需求就不尽相同，因此，手动调整分配给每个虚拟机的资源就显得非常重要。H3C CAS通过资源限额方式来为虚拟机指定资源调度的优先级。有三种预设的限额分配方式：高、中、低，调度优先级权重分128、别为4:2:1，反映到份额上的数值如下表所示：高中低优先级权重421CPU调度优先级数值20481024512CPU调度优先级百分比57.1%28.6%14.3%磁盘I/O调度优先级数值800500300磁盘I/O调度优先级百分比50.0%31.2%18.8%比如，一台物理服务器主机上分配了5个虚拟机，CPU调度优先级分别为高、中、中、低、低，那么，高优先级的虚拟机至少可以获得4/(4+2+2+1+1)=40%的CPU资源，中优先级的虚拟机至少可以获得20%的CPU资源，而低优先级的虚拟机至少可以获得10%的CPU资源。需要强调的是，虚拟机资源限额机制的真正目的是为了确保每个虚拟机对资源的调度129、下限，如果物理服务器上没有发生虚拟机的资源抢占行为，那么，即使是低优先级的虚拟机也有可能独享该物理服务器上绝大部分的资源。当所有的虚拟机都处于满负载运行的情况下，CPU资源严格按照4:2:1的权重比例进行调度，以确保所有的虚拟机都能抢占到一定数量的资源，保证业务的可用性。一旦某个虚拟机的负载回落到权重比例之下，那么，其它的虚拟机可以抢占本属于该虚拟机的资源，以最大限度地利用物理资源的利用率，保证应用程序的运行效率。7.3 计算资源基础架构方案7.3.7.3.1. 计算资源建设需求在数据大集中的发展趋势下，穆棱县一中数据中心的规模在未来会越来越庞大。随着服务器、存储、网络规模的成倍增加，硬件成本130、也水涨船高，同时管理众多的基础设施的维护成本也随着增加。传统IT基础设施建设往往采用机架式设备，一整套设施至少需要占用1个机柜的空间，各设备之间通过繁杂的线缆连接，维护较为困难。同时传统情况下服务器的利用率长期保持在20%以下，各设备间分开供电与散热，带来了大量的空间、电力、能耗等方面的浪费。融合基础架构设备通过在一个刀箱中集成了服务器、存储、网络、虚拟化软件等设备，大大提高了服务器的利用率，减少了空间、电力、能耗等方面的消费。经测试统计得出，采用融合基础架构设备，可以提升至少3倍的服务器利用率，降低至少75%的空间占用，减少至少27%的电力消耗，降低初始购买和后期运维成本。为了降低数据中心的131、硬件成本和管理难度，对大量的IT硬件基础资源进行整合成了必然的趋势。IT硬件基础资源的整合和虚拟化正在不断发展，这需要高度可扩展的永续安全数据中心网络基础。网络不但能让用户安全访问各种数据中心服务，还能根据需要实现共享数据中心组件的部署、互联和汇聚，包括各种应用、服务器、设备和存储。适当规划的数据中心网络不仅能保护应用和数据完整性，提高应用可用性和性能，还能增强对不断变化的市场状况、业务重要程度和技术先进性的反应能力。融合基础设施能够改善数据中心环境，令校园可以专注于创新，使科技成为改变业务的关键所在。共享服务池可在运行中随时调用，提高业务环境的灵活性，加速实现应用程序的价值。融合基础设施充分132、利用现有的技术投资，消除数据中心的技术设备冗积问题，化繁为简。通过统一的管理，所有资产都成为资源池的一部分，能够分割、组合、变化，动态适应任何业务、负载或应用的需求。这些资源的使用也经过优化，帮助校园提高利用率，降低使用能耗和成本。在未来五年将在学院部署统一基础架构，将计算、网络、存储访问和虚拟化统一到一个综合系统中，进行集中管理，并使用虚拟化平台、云管理系统等软件进行协调，解决了上面提到的问题。l 为高性能、高效率和轻松访问而构建的云计算服务器 符合能源之星标准的H3C HyperServer服务器配置充分体现了H3C一贯的帮助客户节省能源、降低成本的宗旨。 借助通用免工具的新型滑轨，可以快133、速安装H3C HyperServer，快速释放杆可实现快速服务器访问。非常灵巧的电缆管理支架选项，可实现灵活布线和出色的布线管理，让您可以快速访问该服务器。 率先推出的3D阵列温度传感器可精确控制服务器风扇直接散热，从而避免了不必要的风扇功耗。l 存储组件确保出色的应用可用性和灾难恢复能力 H3Cloud云计算解决方案中的存储组件可跨存储节点集群分割和保护多份数据副本，并消除SAN中的单点故障。 应用程序在发生电源、网络、磁盘、控制器、存储节点或站点故障的情况下，具有连续的数据可用性。 H3Cloud云计算解决方案中的存储组件高可用性架构的优点是，一个单一的存储集群可托管不同网络RAID级别的134、卷，每个卷的可用性和/或性能水平依应用的需求而异。H3Cloud云计算解决方案中的存储组件具备集成复制功能，通过自动化和透明的故障转移与故障恢复简化管理。 如果有一个存储节点脱机，它就会从脱机时间开始跟踪数据变化；当节点重新联机时，变更的数据块就会恢复到当前水平。l 经济实惠的校园级存储功能和全面的特性集 横向扩展存储集群允许将多个存储节点整合到共享存储池中。 汇聚所有可用的容量和性能，用于集群中的每个卷。 随着存储需求的增长，存储组件可在线横向扩展性能和容量。 网络RAID可跨存储节点集群分割和保护多份数据副本，从而消除存储组件中的任何单点故障。 应用程序在发生电源、网络、磁盘、控制器、存储135、节点或站点故障的情况下，具有连续的数据可用性。 多站点SAN可用性使存储组件能够将集群中的存储节点分配到不同的地点（机架、机房、建筑和城市），并提供无缝的应用高可用性，跨不同地点自动实现故障转移/故障恢复。 无须预留快照，实现精简配置，只分配写入数据所需的空间，无需预分配存储容量，从而提高存储组件的整体利用率和效率。7.3.2. 基于统一基础架构的计算方案设计思路（1）全虚拟化、统一管理统一基础架构系统不仅融合了服务器、存储和网络等硬件设备，同时采用虚拟化技术实现了全套硬件设备的虚拟化。全虚拟化的实现保证了刀箱整体系统设备的高可靠，任何一台设备宕机都不会影响业务的正常运行和数据丢失。并且通过在136、一个管理平台上实现了对服务器、存储、网络、虚拟机、虚拟网络设备等进行统一管理，极大地简化了管理工作，使用户的管理效率提高至少3倍。 （2）高度集成、化繁为简传统IT基础设施建设往往采用机架式设备，一整套设施至少需要占用1个机柜的空间，各设备之间通过繁杂的线缆连接，维护较为困难。同时传统情况下服务器的利用率长期保持在20%以下，各设备间分开供电与散热，带来了大量的空间、电力、能耗等方面的浪费。统一基础架构系统通过在一个10U的刀箱中集成了服务器、存储、网络、虚拟化软件等设备，大大提高了服务器的利用率，减少了空间、电力、能耗等方面的消费。经测试统计得出，采用统一基础架构系统，可以提升至少3倍的服务137、器利用率，降低至少50%的空间占用，减少至少40%的电力消耗。（3）深度融合统一基础架构系统融合了虚拟化平台，存储虚拟化特性可以实现服务器和存储的深度融合，使服务器和存储上所有的硬盘共同组成共享IP SAN，保证了任何一个硬盘或节点宕机情况下数据不丢失。通过工业标准的VEPA解决方案实现了虚拟机和交换机的深度融合，使交换机能够识别虚拟机的数量和感知每个虚拟机的流量。所有设备的管理统一集中在云管理中心上，实现了设备管理的融合。（4）一站式运维统一的基础架构系统实现了服务器、存储、网络、虚拟化软件和云管理软件的整体交付，不必考虑云计算IT基础设施的兼容性和性能匹配等问题，使用户从繁琐的设备选型、采138、购等环节中解放出来，从而把更多的精力投入自身业务的规划当中。内基础设施组件进行统一的售后保障，用户不必担心传统数据中心多厂商协调难度大、响应速度慢等问题，极大的提高了用户数据中心问题定位和处理的效率。 预先配置根据客户业务需求，预装好相应的虚拟化、存储、服务器软件，最大限度的减少设备到客户现场的安装时间 统一交付根据客户需求，制定相应的业务模板，方便业务运行。将业务需求配置“融合”在一个刀箱中，实现统一交付。确保设备到现场开箱上电即用。（5）加速应用部署，实现一箱即云相比于传统构建云计算基础架构平台时，硬件平台、虚拟化软件和云管理软件分阶段部署，或者是使用多厂商产品拼凑统一为用户交付，统一的基139、础架构系统可以实现一框即云，为用户提供一站式交付和运维。采用来自统一厂商品牌的融合基础架构系统还可以实现了可定制化的云计算IaaS层的整体交付，并对软硬件设备的性能全面优化，用户不必考虑软、硬件基础设施之间的兼容性问题，同时也解决了多厂商之间服务协调难度大，响应速度慢等问题，使用户从繁琐的设备选型、采购等环节中解放出来，从而把更多的精力投入自身业务的规划当中。一框即云的特性，更是为用户部署实现云计算提供了跨越式发展，大大缩短业务上线速度。 7.3.3. 基于统一基础架构的刀片计算方案1.1 在未来数据中心建设中，我们建议选择多台统一的基础架构系统。融合基础架构系统的出众之处就是它为虚拟化做了很140、多优化，会比普通融合基础架构系统更好地为云计算的目标服务。统一的基础架构计算系统主要能从五方面体现的整合和优化：（1）服务器的整合（Server Consolidation），因为之前普通X86服务器的利用率基本在10%以内，所以通过虚拟化技术，能平均实现1：8的整合比率，也就是说，现在一台虚拟主机能承受之前8台物理服务器工作量，这不仅能降低在服务器方面的开支，而且还能降低在能源和管理方面所需投入的成本。 （2）存储的整合（Storage Consolidation）， 除了传统直连存储架构外，系统中还应该支持分布式存储以及存储虚拟化，把服务器本地磁盘虚拟化为共享存储。（3）网络的整合，基于刀141、箱的整体架构，通过刀片交换机对云计算框架的原生支持，实现业务的统一交付，亦可通过模板实现网络策略的自动下发。（4）虚拟化平台的整合，实现计算、网络、存储三方面的虚拟化。（5）云管理平台的整合。云平台实现IT资源的自动化交付，通过云管理平台可为用户提供WEB形式的自助服务门户，用户可以按需索取IT资源，实现IT资源的自动化交付。云平台提供了开放的API接口，可与第三方的平台软件做灵活的对接，效保护投资，具备构建大规模云数据中心的能力。7.3.4. 服务器整合刀片服务器是一种高密度服务器，专为实现数据中心的便利性而打造。在标准高度的机架式机箱内可插装多个卡式的服务器单元，实现高可用和高密度。每一块142、“刀片”实际上就是一块系统主板，它们可以通过“板载”硬盘启动自己的操作系统，如Windows、Linux等，类似于一个个独立的服务器，在这种模式下，每一块母板运行自己的系统，服务于指定的不同用户群，相互之间没有关联，不过，管理员可以使用系统软件将这些母板集合成一个服务器集群。在集群模式下，所有的母板可以连接起来提供高速的网络环境，并同时共享资源，为相同的用户群服务。在集群中插入新的“刀片”，就可以提高整体性能。而由于每块“刀片”都是热插拔的，所以，系统可以轻松地进行替换，并且将维护时间减少到最小。 刀片服务器具有低功耗、空间小、单机售价低等特点，同时它还继承发扬了传统服务器的一些技术指标，比如143、把热插拔和冗余技术运用到刀片服务器之中，这些设计满足了密集计算环境对服务器性能的需求；还可以通过负载均衡技术，有效地提高服务器的稳定性和核心网络性能。而从外表看，与传统的机架/塔式服务器相比，刀片服务器能够最大限度地节约服务器的使用空间和费用，并为用户提供灵活、便捷的扩展升级手段。 换言之，所谓“刀片服务器”就是将机架优化服务器中的计算功能提炼出来并加以优化，以独特的、充分考虑成本有效的方式集成电源、网络和管理子系统，为机架式计算环境重新设计的、可灵活部署和管理的即插即用型傻瓜服务器。在统一基础架构系统中，基于计算密度的综合考虑，建议选择四路刀片服务器。H3C FlexServer B590刀144、片服务器H3C FlexServer B590刀片服务器采用英特尔最新的至强E5-4600v2系列处理器，在性能、灵活性和可扩展性之间实现了最佳平衡，采用集成管理芯片，提供了简单的数据中心管理方法。此款双路刀片服务器具有更大的内存和存储容量。H3C FlexServer B590刀片服务器是一款可支持四路CPU的服务器，配备了多项全新和增强的特性 .主要特点：（1）高性能、高耐用性和更大的存储容量 采用Intel Xeon E5-4600v2处理器家族，处理器特性包括英特尔快速通道互联技术、集成内存控制器、睿频加速技术、智能电源技术以及可信执行技术，提供更高的性能、更优的能效和更强的适应能力。145、 采用智能内存技术，可以获得更大的内存带宽、更多的DIMM数量、停机时间更少的全新内存健康计划；新的内存插槽最大可支持1TB内存。 采用嵌入式智能阵列RAID控制器、支持写高速缓存（FBWC），提供更高的写入速率和全面的数据保护。 可以支持2个2.5英寸小尺寸（SFF）硬盘，智能阵列控制器标配512MB写高速缓存（FBWC），并支持SAS/SATA/SSD热插拔硬盘。 3个 PCI Express （PCIe）3.0 I/O扩展插槽。（2）更高的应用、存储和I/O性能 采用智能内存技术，提高了内存的性能和可管理性，支持RDIMM、UDIMM和LRDIMM三种内存，最高容量1TB，最高频率186146、6MHz。 PCIe3.0技术具有更低的延迟，比PCIe2.0的性能提升了多达400%。 3个 PCIe 3.0 I/O扩展插槽支持最高性能的扩展子卡，在满足当前需求的同时，为未来提供了充足的扩展空间。 集成网络采用插槽的形式能够满足将来的需求。（3）直观、可配置的管理系统 此款服务器内建无代理管理技术。提供了无代理硬件监控和警报功能，只需将网线和电源线连接到机箱后，无代理管理特性即开始发挥作用。 通过Active Health System提供24x7全天候健康状况监控功能，能够记录服务器硬件以及系统配置的变化，并能快速的诊断问题并帮助快速的解决问题。（4）卓越的服务器体验 自动能源优化（A147、EO）增强了服务器分析和响应，服务器内3D传感器所生成数据的能力，可帮助优化整个数据中心的工作负载。 动态工作负载加速为不断扩展的硬盘容量提供了更智能的数据保护能力，同时支持实时工作负载分析，以调整和帮助优化存储性能。 便捷运维的特性SmartDrive支架、SmartSocket指南，帮助减少了常见的宕机问题。 集成生命周期管理7.3.5. 网络资源整合B6300XLG是一款基于Comware V7平台开发的三层交换机，提供了16个10GE下行口，4*40GE+8*1GE/10GE共12个上行口。在IETF业界标准的TRILL（多链接透明互连）的支持下，B6300XLG提供无环路的大二层网络148、中的多路径支持。支持IRF、IRF3、VEPA、FCOE特性，可支持最大8台B6300XLG虚拟化，且支持跨刀箱的IRF。 1.2 7.3.5.1. 虚拟机网络感知云网融合解决方案采用IEEE标准的802.1Qbg（EVB）技术，可以在服务器虚拟化的基础上实现对虚拟机严格的网络策略控制。从而保证虚拟化环境下的虚拟机安全。通过EVB方案可以将虚拟机流量引至外部交换机，解决了同一VLAN种虚拟机流量外部不可视等问题。此外，在物理交换机出可以针对虚拟机流量进行端口镜像、流量分析等等，保证了虚拟化环境下网络安全。虚拟化平台与网管平台的联动，使得虚拟机在完成迁移动作时，对应的网络策略同样可以跟随迁移到目149、的物理端口上，实现了虚拟机迁移的网络策略免维护。云网融合场景7.3.5.2. 刀片交换机虚拟化（IRF）IRF作为一种网络设备虚拟化技术，具有很强的横向整合作用，即在不改变网络物理拓扑连接条件下，将网络同一层的多台设备横向整合，从逻辑上简化了网络架构并提升了网络整体效率。但是，当大规模的数据中心这种要求大容量二层网络且要求跨设备冗余的场景下，接入层为了实现冗余，需要两层IRF或者类似技术组网。虽然一个横向IRF堆叠仅为一个管理点，但不同网络层次，特别是服务器接入层仍然有大量的小堆叠（如二台设备组成），此时这个网络系统的管理点数量仍相当可观。对用户及其网络来说，接入刀片交换机IRF2虚拟化可以带150、来以下好处：让网络更简单：网络简化需要解决网络结构的简化，网络业务的简化，以及管理维护的简化这三方面的问题。通过在从核心到接入的整网部署IRF2技术，多台物理设备虚拟成一台统一的逻辑设备，不但网络结构简单清晰，原先需要每台设备逐一配置，现在只需配置一次即可，大大简化了设备的管理维护。此外，相比传统网络生成树+VRRP的部署方式，启用IRF2以后，二层不再需要配置生成树，也不再需要复杂的生成树多实例的规划，三层不再需要配置VRRP，不再需要复杂的路由规划和大量的IP地址消耗，从而简化了网络业务。让网络更可靠：IRF的高可靠性体现在链路级、协议级和设备级三个方面。链路级：成员设备之间的物理端口支持151、聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样，通过多链路备份提高了链路的可靠性。协议级：IRF系统提供实时的协议热备份功能，负责将协议的配置信息备份到其他所有的成员设备，从而实现1：N的协议可靠性。设备级：IRF系统由多台成员设备组成，Master设备负责系统的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份。相比传统的二层生成树技术和三层的VRRP技术，其收敛时间从N秒级缩短到毫秒级。让网络更高效：对高端交换机而言，性能和端口密度的提升152、会受到其硬件结构的限制，而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此，IRF技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大幅度提高单台设备的性能。此外传统的生成树等技术为了避免环路的发生，会采用阻断一条链路的方式，而IRF2可以通过跨设备聚合等特性，让原本“Active-standby”的工作模式，转变成为负载分担的模式，从而提高整网的运行效率。7.3.5.3. 纵向虚拟化IRF3IRF3作为一种网络虚拟化和纵向设备管理技术，因其在简化网络管理、提升网络可靠性和减少网络层次等方面的突出特性，使其在数据中心和校园网环境中都能够得到很好的应用。UI153、S可以支持刀片交换机B6300XLG与U8300实现纵向虚拟化IRF3。（1）服务器虚拟机对接入网络设备的要求服务器实现虚拟化后，单个物理服务器在逻辑上虚拟为多个VM。运行于物理服务器中的VM既有与外部主机通信的需求，又有与本物理服务器内的其他VM通信的需求。与外部主机的通信报文必然是要通过物理服务器所接入的网络设备交换转发；物理服务器内部VM之间的通信，可以在服务器内部由VEB交换完成，也可以通过外部的网络设备来交换完成。从系统管理和网路管理界面划分以及流量策略监管方面看，由外部的网络设备来完成统一物理服务器内部VM之间的通信转发逐步占据了主导地位。服务器虚拟化对接入网络设备要求包括：1）所154、有的通信流量都到接入网络设备进行交换转发，网络设备对所有流量进行管理和控制。2）网络接入设备需要识别虚拟机，即虚拟机对网络设备可见。结合边缘虚拟桥和扩展桥相关的几个标准如802.1Qbg和802.1BR（前身是802.1Qbh）的角度看，上述能识别虚拟机的网络设备称之为控制桥（Controlling Bridge，简称CB）。扩展桥中把直接和服务器连接并支持服务器虚拟化的设备称之为端口扩展器（Port Extender，简称PE）。从网络设备管理和端口扩展的角度看，IRF3是一种实现CB-PE模型的很好的方式。（2）IRF3对服务器虚拟化的支持IRF3使用IRF3 Inner Tag来支持端口155、扩展功能。Inner Tag是携带了完成设备“多虚一”所需要的信息，在支持跨物理设备的特性功能和简化管理方面具有明显优势，使整个堆叠逻辑上成为一个设备。为了支持服务器VM虚拟化，实际应用中，可以把IRF3和802.1Qbg，或者IRF3和802.1BR结合起来使用（802.1BR目前还未完全标准化，实际部署中可以IRF3和802.1Qbg先行）。这样既充分发挥IRF3 Inner Tag的优势，又可以满足服务器虚拟化对VM的需求。详见如图所示。 IRF3对虚拟化的支持和几种方式的对比IRF3作为一种纵向堆叠管理技术，可把原来两层IRF组网中的服务器接入设备融合进一个大的堆叠系统，成为一个逻辑上156、更大的单一管理系统。这一管理上移的思路有两个明显的优点：（1）给简化网路管理提供了技术支撑，使得IRF3技术在纵向整合方面的作用显得非常突出。（2）同时，可节省原服务器接入设备级IRF设备横向的堆叠线缆，降低系统TCO。如图是一个采用IRF3纵向整合作用虚拟化的例子。假设左边的堆叠由两层IRF横向堆叠组成，服务器接入层由两台设备组成的二级堆叠共有24个，均冗余接入一级堆叠。IRF3纵向整合虚拟化示意按照以上假设，左边模型共有50台设备，25个设备管理点。右边是采用IRF3虚拟化整合后的效果，一级堆叠设备作为CB，二级堆叠设备作为PE。50台网络设备，两台CB作为虚拟化后框式设备的主控，其余48157、台PE作为虚拟化后的业务处理板。这样借助IRF3把原来的二级IRF打散进行纵向整合后，只有1个管理点，网络配置管理得到了大大的简化。原二级堆叠设备间的横向堆叠线缆（红色）和相关模块也不再需要，节省了成本。7.3.6. 融合虚拟化管理平台UIS统一基础架构系统融合了H3C CAS虚拟化平台，其包含了虚拟化内核CVK、虚拟化管理系统CVM，通过该平台可以实现服务器、网络和存储的统一虚拟化和管理。CAS支持业界的VEPA（802.1Qbg）标准，实现了虚拟机流量的可视化，满足了用户对于虚拟机流量监控和虚拟机迁移时网络策略自动跟随的需求。虚拟化内核CVK可以将所有服务器的本地硬盘和直连存储组成一个高速158、共享IP SAN，避免了用户购置单独的存储设备。云管理中心CIC实现了对于物理服务器、物理存储、物理网络、虚拟机、虚拟交换机等统一管理，避免用户购置多套管理系统。7.4 智慧云平台实现效果1) 公共服务类业务周边部门更满意： 一卡通采用虚拟桌面，集中运维，效率提升； 互联网接入多出口自动负载分担，网速快，消除单点故障； 网站资源采用自动化弹性资源池，适应互联网化发展。2) 学院IT租用业务更快捷 减少机房空间、电力、制冷开销。 学院IT业务上线更快。 创新IT服务模式， IT基础设施作为资源池,灵活为学员提供服务,资源利用率更高。3) 业务高可用性更强： 一卡通，秒级-10分钟 数字校园，秒级159、-10分钟 学生选课，秒级-10分钟 未来采用双火数据中心实时负载分担和互备，业务高可用性更强，关键业务系统在主数据中心出现故障后，分校区数据中心自动接管业务。4) 提升IT资源利用率 一个服务器、一个操作系统、一个应用的部署模式”，CPU的利用率长期处于5%10%，大量计算资源闲置。 采用虚拟化平台并采用私有云后： 通过虚拟机的方式部署，可以将CPU的利用率提高至70%以上，节省成本，避免重复建设。 私有云实现虚拟化资源自动高效调配。 方便实现大数据业务所需计算环境搭建。 5) 解决机房负载过重问题：以20台物理服务器通过1：10虚拟化后替换原来200台物理服务器节能对比：6) 采用私有云架160、构后实现业务系统IT需求自动化编排，效率更高面向应用的网络、服务器、存储等资源自动化分配和回收。避免以往手动配置资源的低效率,以新增一项数字校园业务为例,以往需要几天时间,现在只需要几分钟时间。7) 私有云架构面向校园未来发展7.5 云学堂解决方案随着信息技术飞速发展，从国家主管部门到一线的教师都深深的意识到，必须对教育事业进行信息化改造，才能持续满足不断变化的教学需求。而教育方式的信息化改造，又是其中最基础、最重要的部分。目前，传统的教学方式已不能充分满足当前教学发展的要求，教学过程中的一系列问题都严重影响了教学质量和进度，如何利用先进的信息技术和现代教育思想，为教育创新提供信息化的教学环境161、，是摆在教育工作者面前的一个崭新且富有挑战的课题。H3C基于最前沿的云计算技术，结合广大院校的实际困境，有针对性的设计出了新一代计算机教室建设方案H3C云学堂。每间教室只需配备一台云学堂主机，便可获得最多70台性能卓越的虚拟机，这些虚拟机通过网络交付给云终端，学生便可体验生动的云学堂环境。云学堂将云计算技术和教育场景紧密结合，可以按照课程提供丰富多彩的教学模板，实现教学集中化，管理智能化，维护简单化，将教学带入云时代。7.4.7.5.7.5.1. 产品背景近年来，云计算因其资源按需交付、数据可靠、安全合规、成本可控、高利用率、高可用、统一管理等特性，在各行各业被越来越广泛的使用。然而云计算在教162、育行业却鲜有落地，究其原因，主要在于部署困难、管理门槛高、用户体验较差以及初始投资较高。7.5.2. 建设目标H3C对国内上万所普教、职教、高教等各类院校开展了深入的实地调研，针对传统教学方式中存在的问题，结合云计算的特性，推出了云学堂解决方案。本方案的总体目标是使用最前沿的云计算技术打造云教学机房。通过在教室部署高性能云学堂主机（UIS-Class）和云学堂终端，用虚拟桌面替代传统PC，交付学生上课需要的教学桌面，并通过云学堂管理平台对云主机进行管理，使用云学堂多媒体教学软件丰富的教学功能高效的完成教学，从而提高教学质量和教学体验，降低运维难度，在达到信息化目标的同时，节能环保，打造绿色的云163、校园。具体建设内容包括：l 在教室或数据中心机房部署云学堂主机，安装CAS虚拟化平台和云学堂管理平台；l 用瘦客户机替换传统PC或直接PC利旧，将其改造成云终端（安装云学堂学生端）；l 教师机上安装云学堂教师端和专为虚拟化环境优化的云学堂多媒体教学软件；7.5.3. 设计思路H3C通过实地调研，对各类院校的教学方式和教学习惯作了深入的研究，并结合教学机房建设的新需求和教育局要求的师机、生机比例达标部署建议，总结出了最适合教学场景的云学堂解决方案。方案在兼顾教学的各类需求的同时，致力于改善课堂体验，提升教学质量，降低运维难度，降低TCO。云学堂可以根据教学需求灵活的提供多种课程模板，支持极速启动164、和实时切换课程；集成的多媒体教学软件在提供丰富教学功能的同时，能有效维护课堂纪律，保证学生专心听课，提升教学质量。云学堂方案将云计算技术和教学场景紧密结合，实现交付简单化、教学智能化、运维集中化，体现出“全融合、重体验、易维护、高效率”的核心价值，将教学机房带入云时代。7.5.4. 方案优势n 交付简单：软硬件全融合，一体化交付，安装后只需进行少量简单配置即可使用，无需测试调优。n 操作方便：管理员、教师、学生有各自的操作界面。管理员可以通过Web浏览器随时随地登录管理平台进行监控和运维工作；教师可以选择课程、一键开关机、一键上下课并使用多媒体教学软件的丰富功能；学生开机即获得超越PC体验的云165、桌面，操作与传统PC无差别。n 设备利旧：推荐使用瘦客户机代替传统PC，瘦客户机价格低、能耗低、占空间少、生命周期长。当然，也可以通过安装云学堂学生端程序将现有PC改造成云终端，从而降低前期成本。n 业务连续：所有数据都保存在云端，计算也都在云端进行，终端或网络发生故障时，虚拟机仍然正常运行在云主机上，待故障恢复后，自动重连到虚拟机，桌面依然保持故障前的状态。当服务器或教室出口网络发生故障时，教师可以控制学生终端切换到本地系统，继续上课，并且教学软件的主要功能仍然可以使用。可保证上课决不中断，避免教学事故。n 数据安全：H3C自主研发的哈雷桌面传输协议只传输桌面图像变化，不传输关键数据，看得见166、带不走，从根本上降低了安全风险。H3C的CAS虚拟化平台针对存储作了深度优化，即使部分存储故障，数据也决不丢失。n 系统稳定：无需借助还原卡，每次下课或手动还原时，虚拟桌面都会恢复到初始状态，管理员不再需要定期还原或更新操作系统，学生每次获取到的都是全新的桌面，从本质上提升了业务连续性和系统稳定性，无视病毒的威胁，基本可以保证系统零故障。n 维护便捷：课程模板化，不需要再反复重装终端系统、安装软件，维护难度和复杂度降至最低。对课程的修改只需要在模板上操作一次，学生就可以获得最新的教学桌面。工作量从N减少到1，以前要花费几十个小时，现在只需要1020分钟。n 平台强大：云学堂使用CAS作为虚拟167、化平台。CAS是业界领先的虚拟化平台，功能丰富，性能卓越，成熟稳定，可保证同等资源下提供更优质的体验。n 统一管理：所有桌面的管理和配置工作都在云端进行，管理员可以随时随地对所有桌面进行统一配置和管理,例如系统升级、应用安装等,避免终端分散造成的管理困难，降低管理成本。n 功能丰富：不仅提供丰富的管理功能，还借助多媒体教学软件，向用户交付丰富的教学功能，例如屏幕广播、在线考试、电子白板等，极大的提高了教学质量和教学效率。综上所述，H3C云学堂具有“全融合、重体验、易维护、高效率”的特点，让师生在现代化的云学堂环境中，获得卓越的教学体验。7.5.5. 管理端介绍如图所示的是云学堂管理端。管理端拥168、有美观、友好的界面，用最简化的操作涵盖最丰富的管理功能。管理员可以通过Web随时随地登录管理平台，进行云主机资源监控、课程模板管理与制作、账号管理、虚拟机管理、云终端管理等工作。7.5.6. 教师端介绍如图所示的是云学堂教师端。任课教师可以使用教师账号登录教师端。H3C对实际教学场景和操作习惯进行了细致的分析，有针对性的设计了简洁、易操作的界面和功能。上课时，教师先通过远程开机开启所有学生终端，在课程列表选择需要的课程，点击“上课”按钮，最多70台虚拟机会在2分钟内启动完毕，并交付给学生。上课过程中，教师可以点击“启动教学软件”按钮打开多媒体教学软件，使用丰富的教学功能。下课时，教师点击“下课169、”按钮，所有资源会被云主机回收，然后通过远程关机关闭所有学生终端。同时，教师还能通过“更多”菜单唤出更丰富细致的管理功能，例如：单点还原学生系统，控制学生是否可以连接Internet、是否可以使用USB设备、是否可以使用音频设备、是否可以进入终端本地系统、是否可以使用虚拟应用功能等。7.5.7. 学生端介绍如图所示的是云学堂学生端。教师端开始上课前，学生可以自由选择课程列表里的课程进行学习。当教师开始上课后，学生端会自动切换到教师选择的课程。当学生端系统发生故障时，学生可以发起请求，由任课教师控制学生端系统还原成初始状态，只需十几秒，发起请求的学生就可以获得全新的教学桌面，继续上课，并且不会影170、响其他学生。学生端网络断开重连或系统重启后，都会自动连入教学桌面，无法逃脱，保证同步教学。学生端可以使用虚拟应用的功能，借助CAS虚拟化平台的混合计算功能，将计算压力从云主机分担到负载相对较轻的学生终端，从而实现对CPU消耗较大的重载应用的支持。7.5.8. 多媒体教学软件介绍如图所示的是多媒体教学软件，提供了丰富的教学功能，涵盖功能包括：屏幕广播、屏幕录播、屏幕转播、屏幕监看、网际影院、网络过滤、分组教学、网络画板、电子举手、电子点名、远程控制、学生演示、联机讨论、试卷导入、在线考试、电子抢答、文件管理、文件分发、电子教鞭、电子表决、黑屏肃静、语音广播、语音对讲。功能上基本可以覆盖95%以上171、的教学场景，且针对虚拟化环境做了大量细致的优化，性能相比同类软件大幅领先。7.5.9. 方案详述以新建一个50人的教学机房、云主机在数据中心部署为例，方案设计如下图：7.5.10. 云主机设计云主机采用H3C自主研发的高性能服务器，配备了性能卓越的处理器、高速固态存储、高速内存，搭载业界领先的CAS虚拟化平台和云学堂软件，软硬件全融合，一体化交付。按常用的教学课程需求计算资源，每台云主机最大可同时交付70个高性能虚拟桌面。虚拟桌面操作系统采用32位Windows7操作系统，每桌面配置2G内存，可以满足日常教学需求。采用链接克隆技术批量生成虚拟机，生成的差分数据存储在高速固态硬盘中，以此解决IO172、瓶颈导致的启动风暴问题。每次上课均生成新的虚拟机，保证系统的安全性和稳定性，每次下课时所有虚拟机均会自动删除，学生所做的任何修改都会被丢弃，需要保存的个人数据或作业可以提交到作业空间。作业空间其实就是虚拟桌面自动挂载的共享磁盘，划分成教师空间和学生空间。教师空间对教师和所有学生可见，学生空间仅对学生本人和教师可见。教师可以上传课件和作业到教师空间供学生下载。学生可以将完成的作业提交到作业空间，供教师提取。在课程模板上安装上课所需的教学应用，将制作完成的课程模板存储在云主机的大容量SATA硬盘中，容量可根据用户实际需求配置。7.5.11. 网络拓扑设计根据前述的需求分析、设计原则，以及总体架构的173、要求，网络拓扑图如下所示：云主机和学生机之间采用H3C自主研发的哈雷桌面传输协议，每个终端只需要极少的带宽即可流畅工作，因此只需要在接入交换机上分配1个GE口作为教室网络出口即可满足网络需求。7.5.12. 桌面传输协议设计H3C云学堂采用自主研发的哈雷桌面传输协议，高传输效率、低带宽占用，提供更佳的性能和更好的体验。该协议除包含多条虚拟控制通道，可以单独控制，提供了最大的控制自由度。主要优势功能包括：n 数据加密传输n 加速2D图形渲染n 图形智能压缩，根据网络带宽自动调节画质n 视频重定向，允许播放高清视频n 外设重定向，允许使用更多的外接设备n 计算重定向，允许使用终端的计算能力运行重载174、应用，分担云主机的计算压力n Internet控制，允许控制学生能否连接Internetn 本地系统控制，允许控制学生能否登入终端本地，服务器故障时还能继续上课7.5.13. 安全设计H3C云学堂解决方案隔离了学生对本地系统的直接访问，通过虚拟化技术，将所有数据都存放在云端，大大提高了系统整体的安全性。账号分级管理，按角色分权。考虑到部分教师IT水平有限，只有管理员可以登录管理平台进行虚拟机级的操作，这样可以避免教师误操作对系统产生负面影响。教师通过账号+MAC地址绑定的认证方式登录教师端。用户访问虚拟桌面时，采用业界领先的哈雷桌面传输协议交互。该协议仅传输桌面图像变化和鼠标移动、键盘输入等少175、量信息，并且会自动对传输内容加密。业务数据在云端不落地，避免数据泄露的可能性。提供集中的、精细化的策略控制用户的授权访问，针对用户、网络位置、终端环境、应用、云主机等属性决定是否允许用户访问。7.5.14. 云终端设计推荐使用瘦客户机代替传统PC。瘦客户机外观精致，体型小巧、连线简洁，可保证机房环境干净整洁；接口丰富，可满足教学过程中一切外设需求；配置高性能X86处理器、高速内存和高速固态硬盘，提升操作体验；能耗极低，绿色环保；具有硬件成本低、能耗低、用途广、生命周期长等特点。也支持对现有PC进行利旧，只需安装云学堂学生端软件即可。因为计算都在云端进行，所以对终端的处理能力要求并不高，即使是已176、经使用了四五年的旧PC也可以胜任。安装云学堂学生端软件之后，终端启动后会自动连接到虚拟桌面，除非教师控制，否则本地系统对学生不可见。方案也允许用户将外设连接到云终端上，无需另装驱动，即可像在传统PC上一样使用这些外接设备，例如标准USB设备、串并口设备等。该功能可以让学生与传统方式无差异的使用任何USB存储设备。如果学校对该功能有顾虑，也可以关闭外设重定向。7.5.15. 模板管理设计方案提供了标准化的课程模板，管理员可以根据在此标准模板上安装教学需要的软件，制作个性化的课程模板。任何修改只需要在模板上进行，学生就可以获得最新的教学桌面。通过此功能的灵活使用，区域间传递优质的教学资源成为可能，177、极大的平衡了地区间的资源差异，提升区域整体教学水平。7.5.16. 云学堂方案特点和优势n 交付简单：软硬件全融合，一体化交付，安装后只需进行少量简单配置即可使用，无需测试调优。n 操作方便：管理员、教师、学生有各自的操作界面。管理员可以通过Web浏览器随时随地登录管理平台进行监控和运维工作；教师可以选择课程、一键开关机、一键上下课并使用多媒体教学软件的丰富功能；学生开机即获得超越PC体验的云桌面，操作与传统PC无差别。n 设备利旧：推荐使用瘦客户机代替传统PC，瘦客户机价格低、能耗低、占空间少、生命周期长。当然，也可以通过安装云学堂学生端将现有PC改造成云终端，从而减少初期投资。n 业务连续178、：所有数据都保存在云端，计算也都在云端进行，终端或网络发生故障时，虚拟机仍然正常运行在云主机上，待故障恢复后，自动重连到虚拟机，桌面依然保持故障前的状态。当服务器或教室出口网络发生故障时，可以由教师控制切换到终端本地系统，继续上课。最大程度保障上课不中断，避免教学事故。n 数据安全：H3C桌面传输协议只传输桌面图像变化，数据不落地，看得见、带不走，从根本上降低了安全风险。H3C的CAS虚拟化平台针对存储作了深度优化，即使部分存储故障，数据也决不丢失。n 系统稳定：无需借助还原卡，每次下课或手动还原时，虚拟桌面都会恢复到初始状态，管理员不再需要定期还原或更新终端操作系统，学生每次获取到的都是全新179、的桌面，从本质上提升了业务连续性和系统稳定性，无视病毒的威胁，基本可以保证系统零故障。n 维护便捷：课程模板化，不需要再反复重装终端系统、安装软件，维护难度和复杂度降至最低。对课程的修改只需要在模板上操作一次，学生就可以获得最新的教学桌面。工作量从N减少到1，以前要花费几十个小时，现在只需要1020分钟。n 平台强大：云学堂使用CAS作为虚拟化平台。CAS是业界领先的虚拟化平台，功能丰富，性能卓越，成熟稳定，可保证同等资源下提供更优质和稳定的体验。同时，CAS对包括Windows和Linux的各种操作系统都有广泛的支持。n 统一管理：所有桌面的管理和配置工作都在云端进行，管理员可以随时随地对所180、有桌面进行统一配置和管理,例如系统升级、应用安装等,避免终端分散造成的管理困难，降低管理成本。n 功能丰富：不仅提供丰富的管理功能，还借助多媒体教学软件，向用户交付丰富的教学功能，例如屏幕广播、在线考试、电子白板等，极大的提高了教学质量和教学效率。第八章 H3C售后保障体系第8章 8.1 两小时厂家上门服务 华三通信公司北京研究所位于上地经济开发区，主要从事与数据通信的研究、开发，并设有华三通信 800服务热线与售后服务中心，具有强大的售后服务能力，同时北京又是北方一级备件中心具有，强大的备件能力，实行备件先行制度第一时间确保用户的网络安全。作为业界领先的企业网络设备与解决方案供应商，华三通信181、公司坚持以客户为中心，提出了“应用创造价值，网络服务为先”的服务理念，建立了优秀的服务品牌。华三通信公司售后服务保障体系由华三通信技术支援部与华三通信公司合作伙伴共同构成，拥有高素质的专职售后服务队伍并形成了完善的服务网络。目前，华三通信的服务网络覆盖30个省市和200多个地区，通过技术支持中心、E-support和800免费电话等完善的服务网络，可以持续、高效、快捷地向客户提供服务。8.2 服务组织结构华三通信公司技术支援部由总部（管理办、技术支持中心、合作管理部、备件中心）、区域技术支持部和区域备件中心等部门组成两级技术服务体系。技术支持中心华三通信公司技术支持中心TSC（Technica182、l Support Center）拥有众多的经验丰富的服务专家，通过800电话、FAX、功能丰富的网站、专用E-MAIL帐号和必要的现场服务提供称为“E-Support”的服务。服务内容主要包括：集中客户问题管理、重大故障及时响应处理、产品疑难故障处理、丰富的产品资料和问题案例库、工程项目管理和质量管理、大型网络的规划和实施、重要客户设备故障档案管理和重要客户定制个性化服务。通过建立完善的面向全球的服务网络，持续、高效、快捷地向客户提供专业化、标准化、多元化的服务。华三通信技术支持中心拥有一批高素质的服务队伍，所有服务人员都具有本科以上学历，且有3年以上大型网络服务经验。备件中心华三通信备件中183、心(Spare Parts Center，简称SPC)隶属于华三通信技术支援部, 是一个支持华三通信公司服务能力和承诺的重要基础组织，与其他服务组织（包括华三通信公司技术支持中心和华三通信公司合作伙伴）协同合作，提供AHR（Advance Hardware Replacement）支持，共同帮助最终客户保持网络的平稳运行。SPC在全球备件网络体系（包括华三通信区域备件支持中心和国家/地区备件服务合作伙伴）的基础上，向最终用户提供以下快速的备件更换和维修服务：图8-1 -保修期内产品的更换和维修服务图8-2 -保修期外产品的更换和维修服务图8-3 -签订服务合约的备件更换和维修服务合作管理部技术184、支援合作管理部作为合作伙伴与华三通信公司技术支援部的业务流程接口部门，在公平、互动、双赢的原则下，为合作伙伴和华三通信公司技术支援部之间搭建信息传递和管理的高速公路。区域支持部办事处数据通信技术支持的主要工作是对合作伙伴和重要用户提供最直接的支持，以及对合作伙伴的客户化培训工作。同时办事处技术支持工程师作为合作伙伴服务管理的延伸，对合作伙伴的售后服务的能力和质量进行监控，上报的数据作为对合作伙伴考核的一个重要的依据。8.3 服务及时性保障为了对不同重要等级的服务要求提供不同的及时性保障，华三通信公司技术支援部建立了一套科学的服务问题升级系统，保证最紧急的故障能够得到最快的处理。同时，根据对故障185、的分级，也有利于对故障解决时间的监控，保证故障能在规定的时间内得到处理。以下为华三通信公司对故障的分级参考标准和规定的响应时间：故障级别定义华三通信合作伙伴故障响应时间和故障上报时间华三通信合作伙伴无法解决问题时，华三通信公司响应时间一级故障主要指设备在运行中出现系统瘫痪或服务中断，导致设备的基本功能不能实现或全面退化的故障。1小时内响应，乘坐当地最快的交通工具抵达现场。2小时内上报华三通信1小时内响应，8小时内给出解决方案。如果需要，乘坐当地最快的交通工具抵达现场。二级故障主要指设备在运行中出现的故障具有潜在的系统瘫痪或服务中断的危险，并可能导致设备的基本功能不能实现或全面退化。2小时内响应186、。如需现场解决，24小时内抵达现场。24小时内上报华三通信1小时内响应，24小时内给出解决方案。如果需要，24小时内抵达现场三级故障主要指设备在运行中出现的直接影响服务，导致系统性能或服务部分退化的故障2小时内响应。 如需现场解决，48小时内抵达现场。 48小时内上报华三通信2小时内响应，24小时内给出解决方案四级故障主要指设备在运行中出现的，断续或间接地影响系统功能和服务的故障2小时内响应。 如需现场解决，96小时内抵达现场。96小时内上报华三通信2小时内响应，48小时内给出解决方案8.4 服务有效性保障724小时热线技术支持电话华三通信公司TSC中心设有724小时的RSC（远程支援中心），187、提供全天候无间断的远程技术服务，可随时接收故障的反馈和申报，华三通信公司将根据故障报告内容对问题进行分级，在规定的时间内对申报的问题进行响应及解决。对于非紧急问题华三通信公司的合作伙伴以及最终用户可以在任何时间通过电子邮件向华三通信公司寻求技术支持，并最迟在24小时内得到响应。区域技术支持平台华三通信公司数据通信技术支持部在其总部技术支持中心和全国各办事处都配备足够数量的技术支持工程师。可根据用户申报问题的具体情况对用户进行现场技术支持。在技术支持中心设有资深技术支持工程师，对重点项目进行技术支持。网上问题处理系统华三通信公司技术支持部设有网上问题处理数据库，可由华三通信公司的任何一位工程师在188、接到问题反馈且自身无法直接解答时，将有关问题通报华三通信公司网上问题处理中心，通过IT平台将问题提交到相应的研发项目组进行处理，确保问题的解决和便于问题的监控。完善的实验平台华三通信公司TSC中心建有全系列产品的实验室，能够根据用户提供的故障现象、组网图、设备配置文件等信息，对用户的网络进行模拟，定位和解决问题。高效快捷的备件系统华三通信公司技术支持部依托华三通信公司遍布全国一级城市的28个备件库，能够提供高效的备件服务。一旦设备故障定位是硬件故障，故障模块或部件可以及时得到更换，使故障设备恢复正常运行。并承诺备件先行、直接更换新的设备部件。技术支持网站与技术支持论坛用户可以登录华三通信公司的技术支持网站获取华三通信公司销售的产品的技术资料和服务信息。同时所有华三通信公司的渠道销售伙伴、增值服务代理商、华三通信网络认证工程师以及用户都可以注册到华三通信公司的专业技术论坛进行技术交流，并获取华三通信公司技术专家的在线支持。完备的技术支持资料开发系统华三通信公司设有专门的资料部门，从事产品用户手册、安装手册和其它技术资料的组织、编辑和出版。华三通信公司技术支援部还负责常见故障处理、疑难问题处理、高级配置案例、工程项目和质量管理、网络规划等高级技术支持资料的开发和发布。具有相应权限的用户在网站上都可以下载使用相关资料。第九章 H3C案例集可供参观样板点：大庆四中第88页, 共88页