中國電信CHINATELECOM用戶至上用心服務XXXXX項目解決方案新網(wǎng)絡新服務新選擇—中國電信股份有限公司蘇州分公司

二。一五年六月TOC\o"1-5"\h\z前言3\o"CurrentDocument"校園介紹4\o"CurrentDocument"整體設計7\o"CurrentDocument"智慧校園基礎架構9\o"CurrentDocument"用戶訪問層9\o"CurrentDocument"云應用層10\o"CurrentDocument"云設施層10\o"CurrentDocument"VPN專線10\o"CurrentDocument"技術支撐和信息安全體系11\o"CurrentDocument"標準規(guī)范與運維保障體系11\o"CurrentDocument"分業(yè)務方案建議.12\o"CurrentDocument"雙活數(shù)據(jù)中心方案建議12云技術方案建議1.42.1虛擬化軟件14\o"CurrentDocument"2.2云存儲.15\o"CurrentDocument"2.3云網(wǎng)盤.15\o"CurrentDocument"2.4云安全.16\o"CurrentDocument"2.5計算存儲資源整合.7\o"CurrentDocument"無線校園網(wǎng)方案建議.8\o"CurrentDocument"3.1校園WLAN網(wǎng)絡架構.8\o"CurrentDocument"3.2校園WLAN無線網(wǎng)絡的部署20\o"CurrentDocument"分區(qū)域方案建議23\o"CurrentDocument"數(shù)據(jù)中心區(qū)域方案建議23\o"CurrentDocument"1.1核心交換區(qū)23\o"CurrentDocument"1.2數(shù)據(jù)庫及其備份區(qū)24\o"CurrentDocument"1.3云計算區(qū)25\o"CurrentDocument"外聯(lián)區(qū)方案建議27\o"CurrentDocument"接入?yún)^(qū)方案建議29\o"CurrentDocument"安全認證及管理區(qū)建議29結束語31

XXXXXXXXX項目解決方案1、，.、?前言首先，非常感謝蘇州高等職業(yè)技術學院為我們提供技術交流和制作此次方案的機會。能為蘇州高等職業(yè)技術學院智慧化校園的建設設盡一份力量，我們感到非常榮幸。本方案書是我們?yōu)橘F校園特別設計的。鑒于與貴校園在通信上長期穩(wěn)定、友好的合作，我們成立了專門的方案小組，經(jīng)過對貴校園通信等現(xiàn)狀深入而細致的了解，并結合貴校園條件和要求的分析結果，制作了本方案書。我們衷心的希望本方案書中的各建議對貴校有所幫助。敬請審閱！由于我們對技術要求的理解可能有不夠準確的地方，因此方案書中可能會有不符合貴公司需求細節(jié)的情況。我們熱忱歡迎貴公司提出寶貴意見，以便改進和提高我們的工作，為蘇州高等職業(yè)技術學院提供更好的服務。2校園介紹智慧校園是以師生需求為導向，面向各類校內人群和校外訪問者，提供教學、生活和學校管理等個性化服務的綜合平臺。智慧校園是高校信息化進入高級階段的表現(xiàn)，能夠有效的支持教與學，豐富學校的校園文化，真正拓展學校的時空維度。以服務為基本理念，基于云計算、物聯(lián)網(wǎng)等新型技術手段，實現(xiàn)資源共享、智能靈活、安全開放的教育教學環(huán)境。智慧校園的第一步就是信息化，本項目致力于為智慧校園提供堅實可靠的第一步——穩(wěn)定的基礎架構。信息化的基礎架構包含：計算單元、存儲單元和網(wǎng)絡單元。本次設計按照以下幾點總體要求來設計：1、可靠性保證學校信息化系統(tǒng)穩(wěn)定運行是我們的首要目標?；A架構應具備面對任何突發(fā)事件，學校各項系統(tǒng)仍可以平穩(wěn)有效運行。網(wǎng)絡、計算、存儲單元均應具備極強的可靠性措施，降低單點故障，同時保證較高的性能。2、可維護隨著智慧校園業(yè)務的演變，學校的基礎架構系統(tǒng)將變得日益龐大，這對基礎架構的管理人員提出了新的要求。為簡化基礎架構管理員的工作負擔，基礎架構應具備更加簡易的管理界面，通過一系列的自動化運維措施，降低管理員的運維難度，達到真正的智能化管理。3、先進性目前基礎架構的正常更替時間為3-5年。故基礎架構不僅滿足目前需要，至少滿足不斷的未來3至5年智慧校園業(yè)務演變對基礎架構提出的新需求。基礎架構應具備一定的前瞻性，能符合未來一段時間的基礎發(fā)展潮流，并能通過靈活性和模塊化的方式平滑升級現(xiàn)有的基礎架構功能和增大規(guī)模。XXXXXXXXX項目解決方案3整體設計蘇州高等職業(yè)學院基礎架構按區(qū)域分：分為塔園校區(qū)部分和石路校區(qū)部分。兩校區(qū)通過類專線類線路相連，相對獨立，又是緊密結合的。按業(yè)務類型可將基礎架構劃分成3塊：雙活數(shù)據(jù)中心業(yè)務、云計算業(yè)務、無線校園網(wǎng)業(yè)務。雙活數(shù)據(jù)中心業(yè)務是兩個校區(qū)的網(wǎng)絡業(yè)務的耦合，將兩個校區(qū)的對外業(yè)務通過分布式數(shù)據(jù)中心的形式同時對外服務，在保證對外服務的前提下，形成一個可靠的網(wǎng)絡群體，保證對外對內業(yè)務的不中斷。云計算業(yè)務主要是提供云基礎架構服務，包含：虛擬化軟件、云存儲、云網(wǎng)盤、云安全、云資源調度、計算與存儲的基本硬件等。無線校園網(wǎng)業(yè)務主要提供全校的無線覆蓋，為全校師生提供無線上網(wǎng)服務，同時為智慧校園的物聯(lián)網(wǎng)建設提供基礎網(wǎng)絡平臺。每個校區(qū)基礎架構，按職能和區(qū)域整體可分成3塊：外聯(lián)區(qū)，數(shù)據(jù)中心區(qū)，認證及管理區(qū)、接入?yún)^(qū)。外聯(lián)主要用于外網(wǎng)和其他區(qū)域的聯(lián)入，包括Internet接入，教育城域網(wǎng)接入，與塔園路/石路校區(qū)互聯(lián)等功能。數(shù)據(jù)中心區(qū)主要提供數(shù)據(jù)交換和服務的提供，包括核心交換區(qū)，云計算業(yè)務區(qū)，數(shù)據(jù)庫區(qū)，存儲區(qū)等3個部分。認證及管理區(qū)主要提供對基礎設施的管理及師生接入認證管理。承擔網(wǎng)絡管理、認證服務、服務器監(jiān)控、自動化管理等功能。接入?yún)^(qū)承擔有線無線業(yè)務的接入。智慧常熟主網(wǎng)絡結構圖FCDE攵賣忸浸蕨匚束攵堂忸FOTE交案機浸是匯京交賣坦從網(wǎng)絡層次上看，蘇州高等職業(yè)學院數(shù)據(jù)中心結構是典型的三層架構，核心是兩臺交換機，外網(wǎng)和其他地方的接入均通過接入網(wǎng)關后連接到核心交換機上，數(shù)據(jù)中心接入交換機為FCOE交換機。4智慧校園基礎架構智慧校園綜合信息平臺基于云架構搭建，由“用戶訪問、云應用、云支撐、云設施、技術支撐和信息安全體系、標準規(guī)范與運維保障體系”六個部分組成，總體框架如下圖所示。家長系統(tǒng)管理員雋控中心用戶訪間一云應用一云支撐」技術支撐及信息安全部蠱公共服務綜合管理4.1用戶訪問層家長系統(tǒng)管理員雋控中心用戶訪間一云應用一云支撐」技術支撐及信息安全部蠱公共服務綜合管理對智慧校園綜合信息平臺的用戶和訪問終端類型進行了分類。由于訪問終端形式多樣，用戶訪問的界面也將有所不同。其中，計算機、集控中心訪問直接由門戶實現(xiàn)，其中部分服務來自門戶自身，部分服務由門戶通過數(shù)據(jù)集成和應用聚合功能集中提供。智能終端訪問功能通過接口調用一站式綜合服務平臺提供的WebService服務實現(xiàn)。公共觸摸屏通過接口調用一站式綜合服務平臺提供的靜態(tài)信息發(fā)布功能和WebService服務實現(xiàn)。XXXXXXXXX項目解決方案4.2云應用層圍繞高校中心工作，借助云計算和物聯(lián)網(wǎng)技術實現(xiàn)智慧校園四大應用：即綜合管理與公共服務、網(wǎng)絡學習、節(jié)能監(jiān)控和安全防護。用戶無需記住各類應用的訪問地址和組織架構，只需通過統(tǒng)一門戶平臺即可獲取各類服務。云支撐層主要包括數(shù)據(jù)中心和應用支撐兩部分。數(shù)據(jù)中心包括基礎信息庫、業(yè)務數(shù)據(jù)庫和數(shù)據(jù)倉庫三部分。通過數(shù)據(jù)采集、交換和共享從各個應用平臺獲取數(shù)據(jù)，形成邏輯上相對集中統(tǒng)一的云數(shù)據(jù)中心，云應用層無須了解數(shù)據(jù)存放的形式，只需通過標準的數(shù)據(jù)接口調用數(shù)據(jù)，在數(shù)據(jù)架構上體現(xiàn)智能性。各類數(shù)據(jù)遵循“一數(shù)一源、一源多用”原則。應用支撐是智慧校園綜合信息平臺的公共技術支撐平臺，包括實現(xiàn)功能所需的基礎服務，如信息門戶、身份認證、移動平臺、流程管理等。4.3云設施層是計算設備、物聯(lián)感知設備的部署層，主要包含虛擬化設施、物聯(lián)網(wǎng)感知設施、網(wǎng)絡設施和校園“一卡通”設施。虛擬化設施在機房設施基礎上使用虛擬化軟件實現(xiàn)云計算，向各類應用提供虛擬服務器、虛擬網(wǎng)絡和云存儲等服務。物聯(lián)網(wǎng)感知設施是基于物聯(lián)網(wǎng)技術，為各類智能感知設備提供數(shù)據(jù)的采集、存儲、傳輸和計算服務，包括感知對象、傳感網(wǎng)絡和感知單元。網(wǎng)絡設施包括覆蓋校園的有線、無線網(wǎng)絡及網(wǎng)絡設備，是連接各終端節(jié)點到中心機房的高速通道。校園“一卡通”設施是基于IC技術，實現(xiàn)對校內各類人群統(tǒng)一的身份認證，從而實現(xiàn)各類業(yè)務系統(tǒng)數(shù)據(jù)的集成與共享。4.4VPN專線4.5技術支撐和信息安全體系安全支撐體系是智慧校園綜合信息平臺的重要保障，包括一系列安全規(guī)范、指南和評估體系，以保障智慧校園綜合信息平臺的網(wǎng)絡、硬件、信息和應用安全。4.6標準規(guī)范與運維保障體系標準規(guī)范體系和運維保障體系是智慧校園綜合信息平臺的重要支撐，包括一系列標準規(guī)范和法規(guī)制度，以保障智慧校園綜合信息平臺的順利建設和應用。5分業(yè)務方案建議5.1雙活數(shù)據(jù)中心方案建議塔園路石路兩校區(qū)雙中心各兩臺核心交換機先橫向虛擬化，將兩臺或多臺物理設備虛擬成一臺邏輯設備，邏輯上成為一個網(wǎng)元。在橫向虛擬化的基礎之上，再部署一虛多的設備虛擬化技術MDC(MultitenantDeviceContext)，可以實現(xiàn)將一臺物理網(wǎng)絡設備通過軟件虛擬化成多臺邏輯網(wǎng)絡設備。也就是說通過軟、硬件虛擬化的配合，MDC邏輯設備具有完全的設備功能，有獨立的軟件環(huán)境和數(shù)據(jù)，有獨立的硬件資源。甚至可以像一臺物理設備一樣單獨重啟，而不影響物理設備上其他MDC的正常運行。在MDC1所屬的板卡上可以部署各個業(yè)務的業(yè)務網(wǎng)關，在MDC2上部署EVI(EthernetVirtualizationInterconnect，以太網(wǎng)虛擬化互聯(lián))特性，實現(xiàn)雙中心之間XXXXXXXXX項目解決方案的二層互通，優(yōu)化二層網(wǎng)絡質量，防止單中心故障域擴散到多中心。雙中心之間的光纖鏈路保持，可以提高二層互聯(lián)的傳輸保障。兩個數(shù)據(jù)中心部署LTM（LocalTrafficManager，本地負載均衡設備），可以實現(xiàn)四臺LTM跨中心部署可集群，可以保證虛擬機遷移過程中業(yè)務的不中斷。數(shù)據(jù)中心之間通過EVI隧道建立二層LAN擴展網(wǎng)絡，LTM經(jīng)過二層LAN擴展網(wǎng)絡做HACluster，每個數(shù)據(jù)中心使用LTM構建服務器的負載均衡集群。兩個數(shù)據(jù)中心提供相同業(yè)務，塔園路校區(qū)中的集群的業(yè)務IP使用ExternalVIP-A，兩個數(shù)據(jù)中心的LTM共享該地址，其中塔園路校區(qū)的LTM為缺省設備，將發(fā)布VIP_A的主機路由，當該LTM故障后，石路校區(qū)的LTM上配置的ExternalVIP-A立即生效，將發(fā)布VIP_A的主機路由，同時塔園路校區(qū)的LTM撤銷VIP_A的主機路由，以實現(xiàn)業(yè)務在數(shù)據(jù)中心之間的切換。每個數(shù)據(jù)中心的LTM同時對兩個數(shù)據(jù)中心的服務器進行探測，通過負載均衡算法優(yōu)選本數(shù)據(jù)中心內的服務器，當本數(shù)據(jù)中心內的服務器都故障時，選擇遠端數(shù)據(jù)中心的服務器提供服務。石路校區(qū)中的集群的公網(wǎng)IP使用ExternalVIP-B，采用類似的方式部署。兩個數(shù)據(jù)中心部署GTM（GlobalTrafficManager，全局負載均衡設備），GTM提供對DNS的解析，同時GTM對LTM的狀態(tài)進行健康檢查，當GTM感知到塔園路校區(qū)的LTM發(fā)生故障時，將進行DNS切換，對于新的DNS請求，GTM將引導客戶直接訪問石路校區(qū)。同時，GTM支持基于VS的負載均衡，即多個VIP提供同一服務，對應一個域名時，可以在多個VIP之間負載分擔。

XXXXXXXXX項目解決方案5.2云技術方案建議5.2.1虛擬化軟件服務器是云計算平臺的核心，其承擔著云計算平臺的“計算”功能。對于云計算平臺上的服務器，通常都是將相同或者相似類型的服務器組合在一起，作為資源分配的母體，即所謂的服務器資源池。在這個服務器資源池上，再通過安裝虛擬化軟件，使得其計算資源能以一種云主機的方式被不同的應用和不同用戶使用。目前的X86云技術，其最主流的云平臺為OpenStark平臺，該平臺同時支持KVM、XEN、VMware、Hyper-V等多種虛擬化系統(tǒng)。而OpenStark平臺虛擬化系統(tǒng)60%以上的代碼均為對KVM的支持，未來標準X86平臺云技術對于KVM的支持無疑是最好的。故此處云軟件選用KVM制式的云技術。為保證虛擬化軟件穩(wěn)定性，建議采用省級以上平臺采用過的軟件。動態(tài)資源擴展計算虛擬化簡化了部署業(yè)務服務器的流程和具體工作，極大的縮短了新業(yè)務服務器的部署周期，使得通過快速增減業(yè)務服務器來應對業(yè)務訪問量的突發(fā)性變化成為可能。因此，部署了云業(yè)務環(huán)境的用戶開始考慮采用動態(tài)部署方式來應對業(yè)務訪問的突發(fā)性需求。但采用動態(tài)資源部署方式的一個不能忽略的前提是：IT管理人員能夠對業(yè)務訪問量的突發(fā)性變化具備很強的敏感性，并且能夠迅速采取應對措施。但當前的IT基礎架構中，業(yè)務負載監(jiān)控平臺、虛擬服務器管理平臺和業(yè)務分發(fā)的系統(tǒng)之間往往是割裂的，沒有整合形成統(tǒng)一方案。IT管理人員在感知到業(yè)務訪問變化時，只能通過手工進行虛擬服務器的增減和在業(yè)務分發(fā)系統(tǒng)的相應配置。這無疑缺乏靈活性且效率低下。針對這些需求，虛擬化平臺可以實現(xiàn)面向應用的云動態(tài)資源擴展解決方案。虛

XXXXXXXXX項目解決方案擬化管理系統(tǒng)能夠監(jiān)測到業(yè)務所在云主機性能不足（包括CPU、內存、TCP連接數(shù)等），并將云主機進行快速復制，配合負載均衡設備對外提供服務，當訪問高峰過后，虛擬化管理系統(tǒng)能夠動態(tài)的收縮，刪除過剩的云主機，從而實現(xiàn)計算資源隨需而動。5.2.2云存儲分布式存儲技術方案的邏輯架構如下圖所示。這種架構的基本單元是部署了虛擬化系統(tǒng)的x86標準服務器。在提供虛擬計算資源的同時，服務器上的空閑磁盤空間被組織起來形成一個統(tǒng)一的虛擬共享存儲：虛擬存儲系統(tǒng)。虛擬化存儲在功能上與獨立共享存儲完全一致；同時由于存儲與計算完全融合在一個硬件平臺上，無需象以往那樣購買連接計算服務器和存儲設備的專用SAN網(wǎng)絡設備（FCSAN或者iSCSISAN）。5.2.3云網(wǎng)盤文檔集中管理問題，隨著智慧校園的建設，逐漸的將會變得越來越嚴峻。與此同時，個人用戶越來越熟悉應用公有云網(wǎng)盤服務，這對于內部信息安全造成比較大的考驗。而私有的云網(wǎng)盤技術將非常好的解決文檔集中管理問題，同時也較之公有云網(wǎng)盤服務更為安全。私有云網(wǎng)盤能滿足以下四大需求：文件集中存儲學校的文件分散在多種應用上，有辦公OA、FTP軟件、電子郵件等；文件還分散在多個設備上，U盤、個人電腦、辦公電腦、iPad、iPhone、Android手機或平板上。云網(wǎng)盤將文件集中存儲，并可多設備統(tǒng)一訪問。提供多平臺支持

XXXXXXXXX項目解決方案云網(wǎng)盤方案提供Windows客戶端、Mac客戶端、網(wǎng)頁版、Android手機版、iPhone版、iPad版等6大版本，網(wǎng)頁版支持IE8+、Firefox、Chrome等瀏覽器。這些客戶端與APP可相互訪問與同步。提供完善權限方案云網(wǎng)盤方案提供完善的權限方案，包括用戶的多層級分組管理、目錄的多權限共享、提供公共目錄功能特色。文件自動同步用戶在本地計算機安裝好Windows客戶端或Mac客戶端，客戶端見監(jiān)控本地一個目錄，用戶在該目錄下的添加文件夾、文件、修改文件內容、刪除文件等操作都會自動同步到線上。線上的任何變化都會自動同步到本機。這樣就在跨計算機、跨操作平臺之間同步文件。為優(yōu)化性能，云網(wǎng)盤還需要提供有文件秒傳機制，重復的文件不用再上傳的體驗。5.2.4云安全虛擬化環(huán)境下，應用軟件虛擬防火墻作為安全網(wǎng)關提供邊界保護（南北向防護），也可以作為訪問控制節(jié)點為不同VM的流量互訪提供安全策略（東西向防護），幫助學校應用系統(tǒng)構建完善的安全防護解決方案。虛防火墻需要支持KVM、VMware、Xen、Hyper-V、等多個主流的虛擬平臺。應提供豐富的安全特性，包括Firewall,IPSecVPN,NAT攻擊防范，會話管理。同時支持管理軟件的集中管理，編排。

XXXXXXXXX項目解決方案5.2.5計算存儲資源整合刀片服務器是一種高密度服務器，專為實現(xiàn)數(shù)據(jù)中心的便利性而打造。在標準高度的機架式機箱內可插裝多個卡式的服務器單元，實現(xiàn)高可用和高密度。每一塊“刀片”實際上就是一塊系統(tǒng)主板，它們可以通過“板載”硬盤啟動自己的操作系統(tǒng)，如Windows、Linux等，類似于一個個獨立的服務器，在這種模式下，每一塊母板運行自己的系統(tǒng)，服務于指定的不同用戶群，相互之間沒有關聯(lián)，不過，管理員可以使用系統(tǒng)軟件將這些母板集合成一個服務器集群。在集群模式下，所有的母板可以連接起來提供高速的網(wǎng)絡環(huán)境，并同時共享資源，為相同的用戶群服務。在集群中插入新的“刀片”，就可以提高整體性能。而由于每塊“刀片”都是熱插拔的，所以，系統(tǒng)可以輕松地進行替換，并且將維護時間減少到最小。刀片服務器具有低功耗、空間小、單機售價低等特點，同時它還繼承發(fā)揚了傳統(tǒng)服務器的一些技術指標，比如把熱插拔和冗余技術運用到刀片服務器之中，這些設計滿足了密集計算環(huán)境對服務器性能的需求；還可以通過負載均衡技術，有效地提高服務器的穩(wěn)定性和核心網(wǎng)絡性能。而從外表看，與傳統(tǒng)的機架/塔式服務器相比，刀片服務器能夠最大限度地節(jié)約服務器的使用空間和費用，并為用戶提供靈活、便捷的擴展升級手段。存儲整合采用半高插卡，刀片服務器提供DAS直連存儲，單插卡支持至少12個熱插拔硬盤；支持$$。借入丁入,$$。冶。。支持硬盤混插；單個硬盤容量可達1.2TB，單插卡最高支持14.4TBps。從軟件上看，采用6Gb/sSAS；集成2GB閃存的寫緩存，ECC保護，電池備份，支持RAIDlevels0,1,1+0,5,and6(RAIDADG)同時，支持分布式存儲。5.3無線校園網(wǎng)方案建議隨著校園內移動應用需求的增加和無線網(wǎng)絡的高速發(fā)展，在校園部署無線接入網(wǎng)絡，提供新的無線校園信息化服務已經(jīng)成為一種趨勢。由運營商為校園建設WLAN無線網(wǎng)絡，不僅可以滿足校園自身的需求，WLAN無線接入還可以作為3G無線寬帶和固網(wǎng)有線寬帶的有效補充，實現(xiàn)業(yè)務捆綁和對3G上網(wǎng)的分流，從而提高用戶業(yè)務感知，促進3G業(yè)務放號。5.3.1校園WLAN網(wǎng)絡架構校園無線網(wǎng)比較復雜，主要表現(xiàn)在以下幾個方面：學校內的網(wǎng)絡訪問需求不僅僅是訪問Internet，還要訪問校內資源和教育網(wǎng)資源，因此在業(yè)務承載、業(yè)務分離上都有新的要求；校園內網(wǎng)絡的安全問題突出，無線接入不僅面臨原有線網(wǎng)絡的安全問題，在空口上還有無線特色的安全問題；無線網(wǎng)絡采用FITAP組網(wǎng)模式，通過無線控制器實現(xiàn)對無線用戶的接入和控制，同時匯聚網(wǎng)關完成校內接入網(wǎng)絡設備的端口和流量匯聚功能，根據(jù)實際需要，可以在匯聚網(wǎng)關處設置防火墻、BRAS等完成不同的業(yè)務需求。從目前來看，校園WLAN網(wǎng)絡主要承載兩大類業(yè)務：學校自身的業(yè)務和運營商的Internet業(yè)務。在無線校園方案規(guī)劃過程中，針對這兩種不同的業(yè)務，需要重點關注以下幾個方面：業(yè)務承載建議分別采用不同的SSID進行承載，其中：Internet業(yè)務的SSID為集中轉發(fā)模式，業(yè)務流在無線隧道內傳輸?shù)紸C，AC將

XXXXXXXXX項目解決方案業(yè)務數(shù)據(jù)里從隧道內剝離出來上送到BRAS連接Internet網(wǎng)絡；校園網(wǎng)業(yè)務SSID為本地轉發(fā)模式，業(yè)務數(shù)據(jù)流在AP即轉為業(yè)務數(shù)據(jù)流的以太封裝格式，直接通過L2轉發(fā)連接到校方的認證接入點，認證通過后訪問校園網(wǎng)業(yè)務，在本地轉發(fā)模式下，AP工作機制類似于L2交換機。認證方式對于校園網(wǎng)業(yè)務，通過有線網(wǎng)接入通常是不認證的，但出于無線接入安全的角度，建議采用Portal認證，認證網(wǎng)關可以由校方的設備完成，也可以由AC充當認證網(wǎng)關設備。安全部署相比無線熱點區(qū)域，校園內的網(wǎng)絡環(huán)境更為復雜，存在較多的ARP攻擊、MAC欺騙、地址掃描、偽DHCP服務器接入等多種不安全因素，并且無線網(wǎng)本身屬于開放式接入方式，更是有可能存在信息泄漏等安全隱患。針對上述問題，建議采用分布式安全防范部署，在各層次網(wǎng)絡設備上部署不同的安全策略，如AP與終端間加密、DHCPsnooping的安全防范，部署VLAN隔離、端口隔離等業(yè)務隔離技術避免用戶間相互影響，通過這些安全措施，提高網(wǎng)絡的抗攻擊能力。QoS保障雖然Interne業(yè)務和校園網(wǎng)業(yè)務采用不同的SSID進行承載，但由于無線空口資源有限，若Internet訪問流量過大，則會影響校園網(wǎng)的應用，反之亦然。針對這種情況，建議通過對不同的SSID進行限速，有效的避免了因一種業(yè)務流量過大造成對其他業(yè)務的沖擊問題。另外，對無線網(wǎng)絡和有線網(wǎng)絡間的QoS標記映射技術（802.11e映射到DSCP），可以保障高優(yōu)先級業(yè)務在網(wǎng)絡中端到端的QoS。運維管理XXXXXXXXX項目解決方案為實現(xiàn)WLAN網(wǎng)絡的可運營和可管理，須建設網(wǎng)管平臺，提供對校園網(wǎng)絡有線無線一體化的統(tǒng)一管理，包括拓撲顯示、射頻管理等多種特性，同時，還要提供豐富的報表功能，包括流量統(tǒng)計報表、網(wǎng)絡質量報表、設備性能報表等，幫助運營商查看到AP的在線率情況、AP的數(shù)據(jù)流量等信息。5.3.2校園WLAN無線網(wǎng)絡的部署相對有線網(wǎng)絡而言，無線網(wǎng)絡設備（特別是AP和天線）的部署直接影響無線接入的質量。因此如何合理部署無線設備是無線校園項目成功的關鍵。實際應用中，校園內WLAN無線網(wǎng)絡主要覆蓋教學樓、室外場所和宿舍樓等區(qū)域，建議采用支持11AC的高速WLAN產(chǎn)品，對于干擾復雜的區(qū)域采用雙頻5.8G覆蓋。無線部署主要包括三種方式：?室外部署：802.11N室外型AP部署在室外，通常需要外置天線；?室內放裝：802.11ACAP直接部署；?室分分布：802.11ACAP通過本身自帶的饋線口直接接天線到小房間內，主要在宿舍區(qū)使用。無線AP部署時，為了便于管理和運維，建議盡量采用支持PoE供電方式的AP設備進行部署，因此，連接AP的接入交換機需要支持PoE功能。1、教學樓的無線覆蓋教學樓的無線覆蓋包括AP室內放裝。在用戶接入密度不高的區(qū)域，可以將AP部署在走廊，對兩側教室進行覆蓋（如圖所示）。2個教室3個AP。階梯教室階梯教室衛(wèi)生間教室（一〉教室（-）,C教室〈三）教室〈四〉教室（五）教室〈六）在無線用戶接入密度較高的教室或禮堂，可以采用部署多個AP的方式（如圖3所示），不同AP采用不同的無線信道進行接入。圖3教室覆蓋示意圖2、室外場所的覆蓋該方式主要針對室外區(qū)域覆蓋，包括操場、道路、綠地園林等區(qū)域，一般采用基站型AP進行覆蓋。基站型AP安裝在建筑物樓頂，是最常見的一種方式。覆蓋時應避免AP天線與覆蓋區(qū)域之間存在障礙物（如樓宇、樹木等）。對于不需要高密覆蓋的室內區(qū)域，也可通過室外AP來覆蓋室內。3、宿舍樓區(qū)域的覆蓋宿舍區(qū)域作為學生無線接入的并發(fā)高密區(qū)域，是無線網(wǎng)絡覆蓋的重點和難點。部署時，建議每個AP每個頻段同時接入用戶數(shù)不超過15人，可以考慮采用室內AP分布式安裝方式進行部署。6分區(qū)域方案建議6.1數(shù)據(jù)中心區(qū)域方案建議數(shù)據(jù)中心結構圖服務器區(qū)云計算刀片服務器按照邏輯功能分塊為核心交換區(qū)，安全審計區(qū)，數(shù)據(jù)庫區(qū)及備份區(qū)，云計算區(qū)。服務器與接入交換機使用萬兆光纜鏈接，接入與核心采用10G端口互聯(lián)。數(shù)據(jù)中心結構圖服務器區(qū)云計算刀片服務器6.1.1核心交換區(qū)核心交換區(qū)由兩臺核心交換機和兩臺負載均衡組成，承擔全網(wǎng)的數(shù)據(jù)交換。由于位置關鍵，負載壓力大，須采用無阻塞的交換架構，交換機應采用無阻塞交換架構，適應網(wǎng)絡發(fā)展趨勢，支持最新的網(wǎng)絡協(xié)議FCOE，TRILL，VEPA。對外來有擴展性，同時兼顧安全審計的需求。支持IPv6。

XXXXXXXXX項目解決方案故交換機架構須采用無阻塞的Clos架構，須基于40G/100G平臺，支持40G端口，交換容量應不小于38T,包轉發(fā)率不小于10800Mpps，業(yè)務槽位數(shù)目不小于10個。提供冗余電源，冗余網(wǎng)板，冗余主控。兩臺核心交換機應能通過虛擬化技術邏輯成一臺設備，方便管理；由于安全審計和數(shù)據(jù)采集需要，核心交換機應支持單獨的網(wǎng)流采集板卡。兩臺負載均衡（LTM）主要用于數(shù)據(jù)庫和云服務器的負載均衡，采用旁掛模式。作為本地負載均衡，與全局負載均衡聯(lián)動，實現(xiàn)業(yè)務雙活。無線控制器通過旁路形式連入網(wǎng)絡，具體產(chǎn)品形態(tài)為插卡。6.1.2數(shù)據(jù)庫及其備份區(qū)數(shù)據(jù)庫主要有機架服務器，F(xiàn)COE交換機，F(xiàn)C存儲組成。組網(wǎng)方式為服務器10GE直連FCOE交換機，F(xiàn)COE交換機直連FC存儲，F(xiàn)COE交換機同時40GE直連核心。數(shù)據(jù)庫區(qū)域有需要可靠性非常高的特點，故不建議在數(shù)據(jù)庫區(qū)使用虛機。數(shù)據(jù)庫服務器可靠性要求比較高，同時處于對未來擴展性和不使用小機的考慮，建議使用4路高性能X86機架式服務器。服務器應具有FC口和萬兆光口。數(shù)據(jù)庫存儲可靠性要求比較高，同時具有相當頻繁的讀寫，建議采用可靠性和讀寫效率比較高的FC存儲。FC存儲的出口帶寬不小于4GE。FCOE是下一代數(shù)據(jù)中心融合IP與存儲的技術，建議布設FCOE交換機，采用FCOE交換機直接接FC存儲的模式。要求FCOE交換機具有FC口或FC/FCOE/10GE復合口，同時能交換FC數(shù)據(jù)和以太數(shù)據(jù)。備份服務器與普通服務器采用相同方式連接，有故障可以倒換。備份存儲連在FCOE交換機上，與其他FC存儲打通，進行備份。

XXXXXXXXX項目解決方案6.1.3云計算區(qū)云計算是未來數(shù)據(jù)中心發(fā)展的方向，現(xiàn)階段云計算主要體現(xiàn)是業(yè)務系統(tǒng)的資源池化和虛擬化，并根據(jù)業(yè)務自主擴展。除了關鍵的數(shù)據(jù)庫業(yè)務外，其他業(yè)務系統(tǒng)均能運作在虛擬化平臺上。云計算區(qū)組網(wǎng)方式為服務器10GE直連云接入交換機，云接入交換機同時40GE直連核心。云業(yè)務應具有充分的便捷性，能將計算、存儲和網(wǎng)絡等物理資源抽象成按需提供的彈性虛擬資源池，并以消費單元（即組織或虛擬數(shù)據(jù)中心）的形式對外提供服務，各個消費單元之間完全隔離，由各自的管理員進行監(jiān)控與授權，最終用戶則通過自助服務門戶使用消費單元內的邏輯資源。云業(yè)務應具有充分的可用性，在物理機故障時，能自動將虛擬機遷移到另外的物理機上，保持業(yè)務的穩(wěn)定性，在遇到突發(fā)的并發(fā)訪問時，能通過動態(tài)擴展的方式自動增加虛擬機數(shù)目以補償高峰的壓力，等高峰過去后能將虛擬機自動刪減。云業(yè)務應具能區(qū)分虛擬機和網(wǎng)絡的流量，明晰后能對不同流量做配置。故建議云平臺必須支持VEPA。云業(yè)務能充分利用服務器本身的存儲資源，不在只是作為操作體統(tǒng)的備份區(qū)。云計算區(qū)域的服務器密度較高，同時由于采用軟件可靠性的設置，硬件上相對于數(shù)據(jù)庫服務器而言，可靠性要求比較低，同時服務器數(shù)目比較多，布線難度較大，故建議采用高性能X86刀片服務器。刀片服務器與云管理平臺必須完全兼容。云計算平臺不單獨采購存儲，能通過云管理平臺將服務器中的空閑硬盤資源池化，服務器的數(shù)據(jù)多副本的存儲在各個服務器的硬盤里，能做2-5個副本，能根據(jù)需求，通過擴展服務器和硬盤數(shù)量而擴展存儲規(guī)模，最多能支持不少于250個節(jié)點的擴展。

XXXXXXXXX項目解決方案云計算平臺的刀片服務器應能插存儲刀片，存儲模塊與服務器之間的關系應為DAS。整體單臺刀箱應能支持不少于100T的存儲容量。云業(yè)務需要解決多虛擬機租戶條件下的4096問題，同時也需要解決虛擬機之間交換的流量對于網(wǎng)絡可視的問題，這些都需要云接入交換機能提供相應的硬件支持。云接入交換機應能支持硬件的VXLAN和VEPA。同時由于虛擬業(yè)務的流量比較大，需要云接入交換機能提供足夠的10GE和4