浙江道小學校園網(wǎng)升級改造方案2０１3年9月目錄第1章。?現(xiàn)狀及需求分析...............................................................................................................................３１.1。?項目建設背景..................................................................................................................................31。2。?原有校園網(wǎng)分析?錯誤!未定義書簽。第2章。?校園網(wǎng)升級改造方案整體設計..........................................................................錯誤!未定義書簽。２。１。設計原則與思路４2。2。整體解決方案.............................................................................................................................６第３章。校園網(wǎng)功能分區(qū)詳細設計9?3。1。接入層設計..................................................................................................................................93。１.１.?接入層有線設備設計9?3.1.２。?接入層無線設備設計.........................................................................................１２3。２。?核心層設計1?３3。2.1。.........................................................................................................核心層網(wǎng)絡設計133。２。2。....................................................................................................核心層安全設計143。３．?中心機房設計18?3．4。?云數(shù)據(jù)中心設計..........................................................................................................................193.4。1。.............................................................................................................項目方案規(guī)劃1９３。４。2.?邏輯結(jié)構圖21?３.4.３。............................................................................................................方案設計說明２23。4。4。?核心功能設計.....................................................................................................283.4。5.平臺特性..................................................................................................................32３。４。6。?部署虛擬化的優(yōu)勢.......................................................................................３5第4章.分布實施計劃?３９第５章.售后服務及培訓40?５.1。售后服務?４0５.2。培訓40?第1章.現(xiàn)狀及需求分析1.1.項目建設背景浙江路小學是天津市實施素質(zhì)教育“三A”學校，一直是塘沽區(qū)重點示范小學，其有兩個校區(qū),一是上海道校區(qū)、二是福州道校區(qū)。這兩個校區(qū)都有著濃厚的教學歷史，教學水平一直處于塘沽區(qū)前列.隨著電子信息化的發(fā)展,浙江道小學也隨之建設了不少高新科技的信息化電教設施。兩個學校的錄播教室的建設一直在塘沽區(qū)也是首屈一指的。隨著信息化的不斷深入，教育資源云平臺、云書包也被學校提到建設日程里,但是這些項目都要有一個強大的校園網(wǎng)作為支撐，由于浙江路小學的校園網(wǎng)是２00０年建設使用的,已經(jīng)不能夠承載現(xiàn)有云計算平臺的高速數(shù)據(jù)傳輸功能了。則要在教育資源云平臺、云書包這些平臺建設成立之前，必須把校園網(wǎng)進行升級改造,能夠使這些平臺發(fā)揮應有的作用。1.2.原有校園網(wǎng)分析浙江路小學現(xiàn)狀:目前使用核心路由器為銳捷ＮBR3000。核心交換機為銳捷5750樓層交換機為一般性能１０0M交換機，學校網(wǎng)站服務器、辦公服務器等網(wǎng)絡和服務器設備已老化．現(xiàn)有網(wǎng)絡拓撲情況為福州道和上海道兩個校區(qū)各有一條互聯(lián)網(wǎng)接入,之間有一條數(shù)據(jù)專線,校區(qū)內(nèi)為樹形拓撲.具體設備情況:2 天津移動上海道小學：核心路由器NBR３0０0,核心交換機5750，其他三個樓宇（二號樓1臺,三號樓臺,一號樓6臺)合計約8臺樓層1０0Ｍ交換機。福州道校區(qū):核心路由器ＮBR３０0０,核心交換機57５０，一棟樓宇(四層）內(nèi)（分前后樓)合計約8臺樓層100M交換機。原有校園網(wǎng)絡拓撲如下:第2章.校園網(wǎng)升級改造方案整體設計2.1.設計原則與思路浙江路小學的校園網(wǎng)的建設原則是能夠高效、安全、綠色的支撐應用系統(tǒng)的使用，相比傳統(tǒng)校園網(wǎng)建設，體現(xiàn)在幾個層面的變化:1、數(shù)據(jù)中心的形成全面提升主要校區(qū)的網(wǎng)絡平臺,包括中心機房設施提升、核心網(wǎng)絡設備的升級、應用系統(tǒng)服務器的安裝購置，安全設備的安裝購置.2、上聯(lián)鏈路的升級為了提高云計算平臺的適應性,以及云書包等應用的規(guī)劃以動畫、視頻、互動等大流量應用為主,相比傳統(tǒng)網(wǎng)絡帶寬要求提升10～20倍,應該提升主要校區(qū)的登陸Iｎternｅt上聯(lián)鏈路的帶寬.3、全面提升網(wǎng)絡設備原有校園網(wǎng)的網(wǎng)絡設備老舊,并且不能適應新應用系統(tǒng)的數(shù)據(jù)傳輸要求,則要配備具有更高數(shù)據(jù)傳輸能力的網(wǎng)絡設備．所以在全新校園網(wǎng)的設計上需要遵循以下原則：高性能-—骨干網(wǎng)絡性能是整個網(wǎng)絡良好運行的基礎，設計中必須保障網(wǎng)絡及設備的高吞吐能力,保證各種信息(視頻、動畫）的高質(zhì)量傳輸,才能使網(wǎng)絡不成為業(yè)務開展的瓶頸。高可靠性——網(wǎng)絡系統(tǒng)的穩(wěn)定可靠是應用系統(tǒng)正常運行的關鍵保證,在網(wǎng)絡設計中選用高可靠性網(wǎng)絡產(chǎn)品，設備充分考慮冗余、容錯能力;合理設計網(wǎng)絡架構,制訂可靠的網(wǎng)絡備份策略,保證網(wǎng)絡3 天津移動具有故障自愈的能力,最大限度地支持系統(tǒng)的正常運行。網(wǎng)絡設備在出現(xiàn)故障時應便于診斷和排除，充分體現(xiàn)計算機網(wǎng)絡的高可靠性。安全性——制訂統(tǒng)一的網(wǎng)絡安全策略,整體考慮網(wǎng)絡平臺的安全性，保證師生能夠安全、綠色的使用資源。獨立性——學校與教育局之間采用公網(wǎng)連接會導致一些應用系統(tǒng)的不可用(比如名師講堂、雙向教學等),而且公網(wǎng)連接也使得網(wǎng)絡不安全、不可控等隱患，所以教育局與學校之間應該采用裸光纖或者VPN方式連接；技術先進性和實用性——在保證滿足校園業(yè)務、應用系統(tǒng)業(yè)務的同時,要體現(xiàn)出網(wǎng)絡系統(tǒng)的先進性。在網(wǎng)絡設計中要把先進的技術與現(xiàn)有的成熟技術和標準結(jié)合起來,充分考慮網(wǎng)絡應用的現(xiàn)狀和未來發(fā)展趨勢。標準開放性－—支持國際上通用的網(wǎng)絡協(xié)議、路由協(xié)議等開放的協(xié)議標準,有利于保證與其它網(wǎng)絡（如中國教育網(wǎng)、公共數(shù)據(jù)網(wǎng)、區(qū)教育網(wǎng)等其它網(wǎng)絡）之間的平滑連接互通,以及將來網(wǎng)絡的擴展。靈活性及可擴展性--根據(jù)未來業(yè)務的增長和變化,網(wǎng)絡可以平滑地擴充和升級，最大程度的減少對網(wǎng)絡架構和現(xiàn)有設備的調(diào)整。可管理性——對網(wǎng)絡實行集中監(jiān)測、分權管理,并統(tǒng)一分配帶寬資源。選用先進的網(wǎng)絡管理平臺，具有對設備、端口等的管理、流量統(tǒng)計分析,及可提供故障自動報警。QOS、強組播特性——新應用系統(tǒng)下的校園網(wǎng)因為對視頻、音頻等多媒體業(yè)務的需求較大,所以整個網(wǎng)絡具有較完善的ＱOS特性對教育網(wǎng)而言就顯得尤為重要。能不能對關鍵業(yè)務進行帶寬優(yōu)先保證尤其是那些對時延敏感的業(yè)務進行保證是教育網(wǎng)必須考慮的一個重點，為實現(xiàn)區(qū)別服務,整網(wǎng)端到端的ＱOS特性機制是優(yōu)質(zhì)網(wǎng)絡業(yè)務的保證.另外組播特性對于有效的保證多媒體流傳輸性能和節(jié)省帶寬也有非常重要的意義,基于組播的控制特性也會進一步保證組播流的控制、管理和安全,從而為實現(xiàn)教育城域網(wǎng)的多業(yè)務支持提供保障.兼容性和經(jīng)濟性——兼容性，能夠最大限度地保證學校現(xiàn)有各種計算機軟、硬件資源的可用性和連續(xù)性,為不同的現(xiàn)存網(wǎng)絡提供互聯(lián)和升級的手段（如現(xiàn)有的雙向教學系統(tǒng)），保證各種在用4 天津移動計算機系統(tǒng)（包括工作站、服務器和微機等設備）的互連入網(wǎng)，充分利用現(xiàn)有網(wǎng)絡資源，發(fā)揮主干網(wǎng)的優(yōu)勢。經(jīng)濟性,就是在充分利用現(xiàn)有資源的情況下,最大限度地降低網(wǎng)絡系統(tǒng)的總體投資,有計劃、有步驟地實施,在保證網(wǎng)絡整體性能的前提下，充分利用現(xiàn)有設備或做必要的升級。2.2.整體解決方案浙江路小學校園網(wǎng)的整體網(wǎng)絡拓撲如下圖所示：整個網(wǎng)絡分為接入層、核心層、本地教育資源中心、遠程教育資源平臺和出口區(qū)共計5個模塊。接入層在兩個校區(qū)樓宇內(nèi)部署全千兆交換機,通過萬兆光纖連接該校區(qū)機房的核心交換設備。并在電教室安裝WLAN設備，滿足對教室多用戶的高密覆蓋,并對整個教學區(qū)做到wifi信號的全覆蓋。為云書包系統(tǒng)提供無線終端接入。核心層在核心層采用華為S7７06核心交換機,并安裝雙引擎、雙電源等穩(wěn)定系統(tǒng),以保證網(wǎng)絡核心的可靠性，同時成倍提升網(wǎng)絡性能．核心交換機上提供連接各功能區(qū)萬兆以太網(wǎng)接口,出口部署網(wǎng)絡安全設備,為整個校園網(wǎng)提供安全保障。并在兩個校區(qū)之間用一條10０Ｍ的ＭSTP鏈路互聯(lián),保證福州道校區(qū)可以毫無阻礙的登陸總校的教育資源中心。教育資源中心在浙江路小學總校中心機房部署教育資源中心,把視頻錄播系統(tǒng)、云計算平臺系統(tǒng)、以及教學管理系統(tǒng)部署在教育資源中心.作為整個校園網(wǎng)的總指揮部，部署網(wǎng)絡管理系統(tǒng)、安全管理系統(tǒng)、虛擬化管理平臺等管理系統(tǒng),以便于管理人員對整個校園網(wǎng)進行統(tǒng)一規(guī)劃和管理。遠程教育資源區(qū)5 天津移動利用當?shù)剡\營商-天津移動的IDC機房內(nèi)部署遠程教育資源區(qū),在云計算虛擬化區(qū)，通過虛擬化技術建立計算資源池和存儲資源池，為教育資源平臺動態(tài)分配硬件資源,從而提高硬件資源的可靠性和可擴展性。資源服務區(qū)通過互聯(lián)網(wǎng)與學校本地教育資源區(qū)進行互聯(lián)，可以把一些數(shù)據(jù)系統(tǒng)進行全面鏡像,保證了遠程教育資源區(qū)與本地信息的高度一致。同時,學生、教師、家長可以通過互聯(lián)網(wǎng)登陸到遠程教育資源區(qū)，實時進行資料查詢、批改作業(yè)、師生互動等活動。天津移動IＤＣ的優(yōu)勢及相對學校自建IＤC的成本節(jié)約點:中國移動IDC業(yè)務優(yōu)勢國際頂尖的機房標準:1。專門為IDC而建設的機房樓（8級抗震標準）.2。高強度的承重，滿足電池,存儲等設備的安裝.3。良好的布局，增強了客戶體驗。完善的動力配套系統(tǒng):1.Tieｒ４認證的電力設備，保障服務器運行安全可靠.2。精密智能SＤC空調(diào)，保障室內(nèi)溫濕度恒定。３。國內(nèi)最新的封閉冷通道技術，科學的降低運營成本為客戶提供更優(yōu)的資費。數(shù)據(jù)中心級的網(wǎng)絡資源配置：1?？焖俚氖諗繒r間(路由器收斂時間〈5０ms）。２。匯聚層支持虛擬化技術,收斂速度遠高于普通路由收斂。萬兆端口/12個千兆端口，緩存2５6兆。3．良好的安全保證措施,對外防御手段齊全，對內(nèi)納入安全管控體系,保障服務器的絕對安全。使用ＩDC托管業(yè)務的優(yōu)勢隨著校園對數(shù)據(jù)處理依賴程度的遞增,對數(shù)據(jù)的安全要求也進一步提高。數(shù)據(jù)中心的災備恢復服務能力是校園應當關注的一個重點。要在自己室內(nèi)存放服務器,就必須建立空調(diào)環(huán)境、標準設施(例如2４小時運作的機房空調(diào)系統(tǒng)、不間斷電源系統(tǒng)等等)以及管理服務器和網(wǎng)絡業(yè)務作出龐大而長遠的投資。服務器管理服務尤其適用于下列況：不愿購置額外硬件(例如:路由器)以提升伺服器的連接速度;服務器受帶寬所限無法提升網(wǎng)絡連接速度。服務器托管服務是最合乎成本效益的網(wǎng)上方案，無論在性能、安保、可靠性方面都達到最高水平，免除了校方在機房建設方面需投入的高昂成本.自建機房需考慮成本因素：1、土建與場地成本．2、動力配電成本.3、防雷接地、靜電釋放系統(tǒng)。４、結(jié)構裝飾成本。5、ＵPS不間斷電源。6、氣體消防滅火系統(tǒng)7。、PＤＳ綜合6 天津移動布線成本。８、空調(diào)、新風系統(tǒng).9、安防門禁視頻監(jiān)控成本。１0、環(huán)境集中監(jiān)控。11、網(wǎng)絡帶寬接入成本。1２、安保及專業(yè)網(wǎng)絡維護人員成本。１３、高額的電費等等出口區(qū)整個校園網(wǎng)將擁有兩個網(wǎng)絡出口,出口部署華為USＧ2２６0出口安全網(wǎng)關。負責整個校區(qū)的安全防御。一個是總校高帶寬的互聯(lián)網(wǎng)出口、一個是分校原有互聯(lián)網(wǎng)出口,這兩個出口可以互為備份,并提供流量分流，負載均衡等工作。認證計費區(qū)整個校園部署華為esighｔ網(wǎng)絡管理軟件,1。對網(wǎng)絡設備進行有效管理，網(wǎng)絡故障診斷,網(wǎng)絡拓撲展示。對無線設備進行管理、通過eｓigｈt的安全策略組件可以提供用戶接入網(wǎng)絡認證，對上網(wǎng)用戶進行監(jiān)管和控制。無線用戶直接在本地認證,接入學校內(nèi)網(wǎng)，不經(jīng)過運營商線路,節(jié)省了很大一部分帶寬費用。第3章.校園網(wǎng)功能分區(qū)詳細設計3.1.接入層設計3.1.1.接入層有線設備設計浙江路校園原有校園網(wǎng)接入層設備是普通的１00M交換機,不具有可管理性,并且無法實現(xiàn)千兆上聯(lián)，特別是開通錄播系統(tǒng)的實時轉(zhuǎn)播工作時,沒有組播協(xié)議的支撐，會造成整個校園網(wǎng)骨干數(shù)據(jù)傳輸緩慢甚至癱瘓。在電教室內(nèi)要安裝高容量的無線AＰ作為云書包的終端接入系統(tǒng)，此教室數(shù)據(jù)傳輸量可謂巨大，所有接入交換機必須具備上聯(lián)、下聯(lián)端口保證千兆帶寬.則本方案建議使用華為的千兆交換機S57０0—ＬI系列交換機作為校園網(wǎng)的接入設備。華為S５700—LＩ系列交換機是華為公司自主開發(fā)的全千兆三層以太網(wǎng)交換機產(chǎn)品，具備豐7 天津移動富的業(yè)務特性,提供IPｖ6轉(zhuǎn)發(fā)功能以及最多４個１0GE擴展接口。通過華為特有的CＳS（智能彈性架構）功能,用戶能夠簡化對網(wǎng)絡的管理。S570０-ＬI系列千兆以太網(wǎng)交換機定位為企業(yè)網(wǎng)千兆接入，同時還可以用于數(shù)據(jù)中心服務器群的連接．其系統(tǒng)特性如下：高擴展性保護投資隨著用戶端速度不斷提高，用戶最終會使集群千兆鏈路達到飽和，而能夠擁有多條１0ＧE鏈路將是我們的未來發(fā)展方向。Ｓ５７00-LＩ系列交換機支持兩個擴展槽位,每個槽位支持單端口或雙端口的1０GＥ擴展模塊,在實現(xiàn)千兆匯聚或接入時保留進一步支持10GE的擴展能力，盡力保護用戶投資。S5700-LI系列支持ＩPv4和IPv6的三層路由功能,并可以實現(xiàn)基于硬件的IPｖ4和IＰv6的全線速轉(zhuǎn)發(fā)。同時支持IＰｖ６的ＡCL、QoS、組播和網(wǎng)管,實現(xiàn)IPv4到IPv6的平滑升級。智能彈性架構華為S570０—LＩ系列交換機支持CSS（第二代智能彈性架構）技術，就是把多臺物理設備互相連接起來,使其虛擬為一臺邏輯設備，也就是說,用戶可以將這多臺設備看成一臺單一設備進行管理和使用.ＣＳS可以為用戶帶來以下好處：●簡化管理ＣSS架構形成之后,可以連接到任何一臺設備的任何一個端口就以登錄統(tǒng)一的邏輯設備,通過對單臺設備的配置達到管理整個智能彈性系統(tǒng)以及系統(tǒng)內(nèi)所有成員設備的效果，而不用物理連接到每臺成員設備上分別對它們進行配置和管理.●簡化業(yè)務CSS形成的邏輯設備中運行的各種控制協(xié)議也是作為單一設備統(tǒng)一運行的,例如路由協(xié)議會作為單一設備統(tǒng)一計算,而隨著跨設備鏈路聚合技術的應用，可以替代原有的生成樹協(xié)議，這樣就可以省去了設備間大量協(xié)議報文的交互，簡化了網(wǎng)絡運行,縮短了網(wǎng)絡動蕩時的收斂時間?！駨椥詳U展可以按照用戶需求實現(xiàn)彈性擴展,保證用戶投資。并且新增的設備加入或離開CSS架構時可以實現(xiàn)“熱插拔”,不影響其他設備的正常運行.●高可靠ＣSS的高可靠性體現(xiàn)在鏈路，設備和協(xié)議三個方面.成員設備之間物理端口支持聚合功能，8 天津移動CSS系統(tǒng)和上、下層設備之間的物理連接也支持聚合功能,這樣通過多鏈路備份提高了鏈路的可靠性；CＳS系統(tǒng)由多臺成員設備組成,一旦Mastｅr設備故障,系統(tǒng)會迅速自動選舉新的Master，以保證通過系統(tǒng)的業(yè)務不中斷,從而實現(xiàn)了設備級的1:Ｎ備份;CSS系統(tǒng)會有實時的協(xié)議熱備份功能負責將協(xié)議的配置信息備份到其他所有成員設備,從而實現(xiàn)１:Ｎ的協(xié)議可靠性.●高性能對于高端交換機來說,性能和端口密度的提升會受到硬件結(jié)構的限制.而CSS系統(tǒng)的性能和端口密度是ＣSS內(nèi)部所有設備性能和端口數(shù)量的總和。因此,CSS技術能夠輕易的將設備的交換能力、用戶端口的密度擴大數(shù)倍，從而大幅度提高了設備的性能。完備的安全控制策略華為Ｓ5700—ＬＩ系列交換機支持ＥＡD（端點準入防御)功能,配合后臺系統(tǒng)可以將終端防病毒、補丁修復等終端安全措施與網(wǎng)絡接入控制、訪問權限控制等網(wǎng)絡安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡接入終端的檢查、隔離、修復、管理和監(jiān)控,使整個網(wǎng)絡變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡對病毒、蠕蟲等新興安全威脅的整體防御能力。華為S570０-ＬＩ系列交換機支持對試圖接入網(wǎng)絡的用戶進行８０２.１x認證。可以在交換機上對８０2。１x客戶端的版本和有效性進行驗證,防止非法用戶登錄網(wǎng)絡。支持集中式MAC地址認證,可以基于端口和MＡＣ地址對用戶的網(wǎng)絡訪問權限進行控制的認證方法,它不需要用戶安裝任何客戶端軟件,而且可以同時運行802．1x認證和基于ＭAC地址認證.提供GuesｔVlan功能，使得為被授權的訪問端只能接入訪問特定的資源，并且會采取相應的策略，例如可以獲得802．1x客戶端、升級客戶端或者獲得其他的升級程序等等。支持ＳecurｅSｈelｌV2（SSＨＶ2)特性可以提供安全的信息保障和強大的認證功能，以保護以太網(wǎng)交換機不受諸如IＰ地址欺詐、明文密碼截取等等攻擊.豐富的QｏS策略華為S5７０0—ＬI系列交換機支持支持Ｌ2（Laｙer2）~L４(Lａyｅr４）包過濾功能，提供基于源ＭAC地址、目的ＭAC地址、源IP地址、目的IP地址、ＴCＰ/ＵDP端口號、協(xié)議類型、VLAN的流分類。提供靈活的對列調(diào)度算法,可以同時基于端口和隊列進行設置，支持ＳP、WRＲ、SＰ+WRＲ三9 天津移動種模式。支持CAR功能,粒度最小達6４Kbｐs。支持出、入兩個方向的端口鏡像,用于對指定端口上的報文進行監(jiān)控，將端口上的數(shù)據(jù)包復制到監(jiān)控端口，以進行網(wǎng)絡檢測和故障排除.出色的管理性華為S５70０—LI系列交換機支持SNMＰv1／v2/v3（SｉmpleNetｗoｒkMａnagemeｎtPrｏtoｃol)，可支持OpeｎVieｗ等通用網(wǎng)管平臺以及ｉMC智能管理中心。支持ＣLI命令行,Web網(wǎng)管,TELＮＥT,ＨGMPv２集群管理，使設備管理更方便，并且支持SSＨ2.０等加密方式,使得管理更加安全。華為S5700—LI系列交換機支持基于ＭAC地址劃分VLAN,很好的解決了移動辦公的智能靈活管理;結(jié)合特有的基于全局和VＬAN下發(fā)ＡＣL策略，在簡化用戶配置的同時，也大幅節(jié)約了硬件資源。增強的以太網(wǎng)供電功能(PoE+)華為S５７00-ＬI系列交換機支持增強的以太網(wǎng)供電功能(PoE＋），PｏE供電款型可以提供每端口最大30W的輸出功率,可以為802.11n的無線接入點,可視IP電話，以及更多的終端設備提供以太網(wǎng)供電能力。作為教育云計算實踐，云計算數(shù)據(jù)中心的建設建議達到以下目標:通過標準化、虛擬化的資源池部署，提高整體IT基礎設施資源利用率;實現(xiàn)IT基礎設施資源的自助化服務，按需申請,按需供給，實現(xiàn)面向最終用戶的云服務模式;實現(xiàn)IＴ基礎設施資源的自動化部署及流程化管理,并可利用云計算管理平臺對資源進行可視、全面的監(jiān)、管、控,簡化日常運維的管理流程、降低維護成本;在實現(xiàn)可落地的云實踐的基礎上，保留未來向更高層次的云計算實踐發(fā)展的可能,如ＳａａS和PaaS相關應用等;10 天津移動3.1.2.接入層無線設備設計根據(jù)云書包系統(tǒng)需求,在電教室內(nèi)部署無線網(wǎng)絡，以便云書包終端可以自由接入網(wǎng)絡。普通的ＡP接入終端數(shù)量不可以超高10個，特別是高帶寬的接入設備更不能超過這個數(shù)量.但是也不能在一個小空間內(nèi)部署多個AＰ來彌補接入數(shù)量不足問題。因為AP之間也會出現(xiàn)頻道干擾.則這些電教室內(nèi)要部署大容量接入的工業(yè)AP.根據(jù)云書包的特點。本方案選擇華為大容量接入設備ＡＰ301０DN—AGN作為電教室無線ＡP。其能夠?qū)崿F(xiàn)接入終端的相互隔離，保證每個接入設備達到至少54M的上聯(lián)帶寬．AP30１０ＤN—AGN支持整機最大用戶數(shù)達到64個,16個SSID。一體化MIMＯ內(nèi)置天線,實現(xiàn)全向無盲點覆蓋。每射頻速率高達300Mbps．高等級的網(wǎng)絡安全性，支持多種認證和加密方式,以及非法AP檢測，支持QOS.靈活的組網(wǎng)和環(huán)境適應能力,滿足接入、橋接(WDS）等多種組網(wǎng)應用場景。簡單的設備管理和維護,業(yè)務零配置,即插即用，自動上線，美觀化設計,支持ＦＩT—AP.每個電教室部署1臺高容量AP就可以滿足云書包終端的接入。上聯(lián)接入一臺千兆電口的交換機即可滿足高帶寬的需要。3.2.核心層設計3.2.1.核心層網(wǎng)絡設計數(shù)據(jù)中心核心交換機需要資源池內(nèi)部高速交換以及骨干互聯(lián)工作,建議采用華為數(shù)據(jù)中心級核心交換機Ｓ770０，主要基于如下考慮:? 高性能：核心匯聚層需要與其它外部網(wǎng)絡互聯(lián)，外連接口眾多，并且這些外部網(wǎng)絡所提供的接入帶寬和接入設備都是業(yè)界高端設備，所以為了使網(wǎng)絡在核心交換區(qū)不存在性能瓶頸,采用具備高密萬兆的核心交換設備。? 整網(wǎng)可靠性:因為校園網(wǎng)數(shù)據(jù)中心網(wǎng)絡業(yè)務系統(tǒng)具有高可靠性設計,業(yè)務層面最大限度的保11 天津移動障業(yè)務轉(zhuǎn)發(fā)不中斷、不丟包.因此建議在核心交換部分采用主控和交換網(wǎng)板分離的核心交換機，提高網(wǎng)絡可靠性,使整網(wǎng)可靠性方面不存在短板。? 綠色環(huán)保:為了降低機房空調(diào)能耗,要求核心交換機采用豎插槽，前下部進風、上后部抽風、強迫風散熱形式。要求通過RoHS、CＥ等國際環(huán)保認證.在總校與分校之間部署10０ＭMSＴP鏈路，為分校區(qū)提供高速互聯(lián)通道,當分校區(qū)電教室開通云書包系統(tǒng)時,可以通過這條100M鏈路登陸至總校的教育資源平臺上，實現(xiàn)多個無線終端開展視頻教學活動.3.2.2.核心層安全設計為了應對云計算環(huán)境下的流量模型變化,安全防護體系的部署需要朝著高性能的方向調(diào)整。在本次項目的建設過程中，多條高速鏈路匯聚成的大流量已經(jīng)比較普遍，在這種情況下，安全設備必然要具備對高密度的ＧE甚至10G接口的處理能力;無論是獨立的機架式安全設備,還是配合數(shù)據(jù)中心高端交換機的各種安全業(yè)務引擎,都可以根據(jù)用戶的云規(guī)模和建設思路進行合理配置;同時，考慮到云計算環(huán)境的業(yè)務永續(xù)性,設備的部署必須要考慮到高可靠性的支持,諸如雙機熱備、配置同步、電源風扇的冗余、鏈路捆綁聚合、硬件BYPAＳS等特性,真正實現(xiàn)大流量匯聚情況下的基礎安全防護。在核心交換機與出口之間部署防火墻，在核心交換機與教育資源平臺之間部署防火墻。以保證內(nèi)部局域網(wǎng)安全及教育資源的數(shù)據(jù)安全。如上圖ＦW三層部署所示,防火墻可以與宿主交換機直接建立三層連接,也可以與上游或下游設備建立三層連接,不同連接方式取決于用戶的訪問策略。可以通過靜態(tài)路由和缺省路由實現(xiàn)三層互通，也可以通過OSPF這樣的路由協(xié)議提供動態(tài)的路由機制。如果防火墻部署在服務器區(qū)域,可以12 天津移動將防火墻設計為服務器網(wǎng)關設備,這樣所有訪問服務器的三層流量都將經(jīng)過防火墻設備，這種部署方式可以提供區(qū)域內(nèi)部服務器之間訪問的安全性.防火墻是網(wǎng)絡系統(tǒng)的核心基礎防護措施,它可以對整個網(wǎng)絡進行網(wǎng)絡區(qū)域分割,提供基于IP地址和TCP/IP服務端口等的訪問控制；對常見的網(wǎng)絡攻擊方式,如拒絕服務攻擊（piｎgｏfdeatｈ,lａnd，synfｌooｄiｎg,pingfloｏdｉｎｇ,teａrdrop)、端口掃描（pｏｒｔsｃanｎｉng)、IP欺騙（ipspoofing）、IP盜用等進行有效防護;并提供NAT地址轉(zhuǎn)換、流量限制、用戶認證、IＰ與MAC綁定等安全增強措施.安全控制策略:防火墻設置為默認拒絕工作方式，保證所有的數(shù)據(jù)包,如果沒有明確的規(guī)則允許通過，全部拒絕以保證安全;建議在兩臺防火墻上設定嚴格的訪問控制規(guī)則,配置只有規(guī)則允許的IP地址或者用戶能夠訪問數(shù)據(jù)業(yè)務網(wǎng)中的指定的資源,嚴格限制網(wǎng)絡用戶對數(shù)據(jù)業(yè)務網(wǎng)服務器的資源,以避免網(wǎng)絡用戶可能會對數(shù)據(jù)業(yè)務網(wǎng)的攻擊、非授權訪問以及病毒的傳播，保護數(shù)據(jù)業(yè)務網(wǎng)的核心數(shù)據(jù)信息資產(chǎn)；配置防火墻防DOS/DＤＯS功能，對Ｌand、Smｕｒf、Fｒaggｌe、PiｎgｏfDeａt(yī)ｈ、ＴｅarＤrop、ＳＹＮFｌｏｏd、ICMPFloｏd、UDPＦlood等拒絕服務攻擊進行防范,可以實現(xiàn)對各種拒絕服務攻擊的有效防范,保證網(wǎng)絡帶寬;配置防火墻全面攻擊防范能力,包括ＡＲP欺騙攻擊的防范，提供ＡＲP主動反向查詢、ＴCP報文標志位不合法攻擊防范、超大ＩCMP報文攻擊防范、地址/端口掃描的防范、ICMＰ重定向或不可達報文控制功能、Traｃert報文控制功能、帶路由記錄選項IP報文控制功能等，全面防范各種網(wǎng)絡層的攻擊行為;13 天津移動根據(jù)需要，配置IP/MAC綁定功能，對能夠識別MAC地址的主機進行鏈路層控制，實現(xiàn)只有ＩP/ＭAC匹配的用戶才能訪問數(shù)據(jù)業(yè)務網(wǎng)中的服務器；其他可選策略：可以啟動防火墻身份認證功能,通過內(nèi)置數(shù)據(jù)庫或者標準Ｒａdius屬性認證，實現(xiàn)對用戶身份認證后進行資源訪問的授權，進行更細粒度的用戶識別和控制;根據(jù)需要,在兩臺防火墻上設置流量控制規(guī)則,實現(xiàn)對服務器訪問流量的有效管理，有效的避免網(wǎng)絡帶寬的浪費和濫用,保護關鍵服務器的網(wǎng)絡帶寬;根據(jù)應用和管理的需要，設置有效工作時間段規(guī)則,實現(xiàn)基于時間的訪問控制，可以組合時間特性,實現(xiàn)更加靈活的訪問控制能力；在防火墻上進行設置告警策略,利用靈活多樣的告警響應手段（E-mail、日志、ＳＮMP陷阱等),實現(xiàn)攻擊行為的告警,有效監(jiān)控網(wǎng)絡應用;啟動防火墻日志功能，利用防火墻的日志記錄能力，詳細完整的記錄日志和統(tǒng)計報表等資料，實現(xiàn)對網(wǎng)絡訪問行為的有效的記錄和統(tǒng)計分析；部署ACG應用控制網(wǎng)關能對網(wǎng)絡中的P2P／IM/VoIP帶寬濫用、網(wǎng)絡游戲、炒股、多媒體應用、非法網(wǎng)站訪問等行為進行精細化識別和控制;同時,根據(jù)對網(wǎng)絡流量、用戶上網(wǎng)行為進行深入分析與全面的事后審計,并具有強大的UＲL過濾功能，進而全面了解網(wǎng)絡應用模型和流量趨勢,大大提升網(wǎng)絡的業(yè)務控制能力,幫助用戶優(yōu)化其網(wǎng)絡資源,為用戶打造一個和諧、有序的網(wǎng)絡環(huán)境。能精確檢測Thuｎder(迅雷）、BitＴｏrrenｔ、eMule(電騾）、eDonｋey(電驢)、QＱ、MSN、PPLivｅ等近百種Ｐ2P/ＩM應用．同時,可基于時間、用戶(組）、應用協(xié)議,對P２P/IM應用進行告警、限速或阻斷。14 天津移動能精確識別各種常見的應用，如ERＰ應用、視頻會議等,在識別業(yè)務的基礎上,ACG可對關鍵業(yè)務進行帶寬保證,對其他業(yè)務按優(yōu)先級進行智能流量調(diào)度.可對各種P2P/IＭ、網(wǎng)絡游戲、網(wǎng)絡多媒體、文件共享、郵件收發(fā)、數(shù)據(jù)傳輸?shù)雀鞣N上網(wǎng)行為提供全方面的行為監(jiān)控和記錄;同時，通過綜合分析、檢測用戶網(wǎng)絡流量與流向趨勢,事后對歷史數(shù)據(jù)進行分析,為用戶提供細粒度的網(wǎng)絡行為審計管理系統(tǒng)。通過自定義IＰ地址、主機名、正則表達式等方式設置ＵRL特征庫,支持根據(jù)不同的URＬ策略設置不同的響應方式，支持根據(jù)時間表對不同的URL策略設置不同的響應動作,避免保密信息的外泄，免受非法信息干擾，確保網(wǎng)絡的健康使用。提供業(yè)務流量趨勢圖、流量分布圖、TopN用戶列表、TopＮ應用協(xié)議列表等報表，并支持按照用戶名/用戶組、使用頻度、使用時段、應用分類、應用協(xié)議、流量大小等進行多維度組合定制報表，使用戶能全面掌握網(wǎng)絡中的流量、應用和業(yè)務分布，為合理規(guī)劃網(wǎng)絡、制定流量控制策略提供依據(jù)。華為專業(yè)安全團隊密切跟蹤應用變化，并對應用協(xié)議特征庫及時更新；支持在線自動/手動升級方式,升級過程無需重啟系統(tǒng),不影響系統(tǒng)業(yè)務運行。通過在華為交換機/路由器中增加SecＢｌadeAＣＧ模塊,即可擴展交換機/路由器的應用監(jiān)控和審計功能。通過與交換機/路由器共用管理平臺,降低了管理難度。并且交換機/路由器的任何端口都可以作為SecＢladeACＧ模塊的端口使用,從而降低用戶成本.SeｃBladeACG業(yè)務模塊作為業(yè)務插卡嵌入華為交換機／路由器中，降低了單點故障,保證了網(wǎng)絡的高可靠性.部署負載均衡設備可提供完善的負載均衡功能，具備服務器負載均衡、鏈路負載均衡等功能。部署在數(shù)據(jù)中心，基于特定的負載均衡算法將客戶端對數(shù)據(jù)中心服務的訪問請求合理地分發(fā)到數(shù)據(jù)15 天津移動中心的各臺服務器上,以保證數(shù)據(jù)中心的響應速度和業(yè)務連續(xù)性。部署在多ISP鏈路的出口,為了提高鏈路利用率,通過對鏈路狀態(tài)的檢測,采用對應的調(diào)度算法將數(shù)據(jù)合理、動態(tài)的分發(fā)到不同鏈路上。3.3.中心機房設計浙江路小學的原有網(wǎng)絡機房功能比較單一,如果以后要承載教育資源平臺及云書包平臺，則原有網(wǎng)絡機房的空間、電源功率、空調(diào)制冷量都達不到要求，則要對網(wǎng)絡機房進行升級改造.針對原有網(wǎng)絡機房要有以下升級措施:1、 擴大網(wǎng)絡機房面積,擴容后對網(wǎng)絡機房進行粉霜、門窗密閉、安裝防盜門，鋪設防靜電地板等工作.2、 擴充原有機房供電功率，從學?？偱潆娛忆佋O5*25mｍ平方的電纜至網(wǎng)絡中心機房,并安裝相關配電設施。以便提高網(wǎng)絡機房總的配電功率至50KVA以上。3、 安裝3０KＶA的UPＳ一套，并安裝后備電池，當市電停止時，可以為網(wǎng)絡機房信息系統(tǒng)提供３０分鐘—1個小時的供電時間。4、 安裝5匹機房專用空調(diào),為機房提供足夠的制冷量，為了防止多臺服務器堆疊后產(chǎn)生大量熱量。5、 安裝全新服務器機柜5臺,為網(wǎng)絡設備、服務器及其他設備提供安裝空間,而且保證了全機房設備統(tǒng)一整齊,達到美觀的效果。16 天津移動3.4.云數(shù)據(jù)中心設計3.4.1.項目方案規(guī)劃教育云數(shù)據(jù)中心的建設將改變傳統(tǒng)的建模式,采用云計算技術對數(shù)據(jù)中心硬件資源和基礎軟件的統(tǒng)一管理、統(tǒng)一分配、統(tǒng)一部署、統(tǒng)一監(jiān)控和統(tǒng)一備份，打破原先信息系統(tǒng)建設中普遍采用的應用系統(tǒng)“封閉運行，相對獨立”的模式,實現(xiàn)各類計算資源和運用動態(tài)調(diào)整、自動故障切換和應用系統(tǒng)快速部署,簡化管理、大大降低管理成本、減少基礎設施資源浪費,節(jié)省系統(tǒng)建設和運行維護經(jīng)費.一期建設的主要內(nèi)容為初步搭建一個相對完整的虛擬化數(shù)據(jù)中心架構,提供可擴展的虛擬化運行環(huán)境,并將所有基于ｘ8６服務器的應用系統(tǒng)逐步遷移到虛擬化平臺中.一期規(guī)劃的架構拓撲如下:二期建設的主要內(nèi)容為擴容和完善整體架構，新應用部署也將形成虛擬標準化。增加刀片服務器和存儲容量,提供更大的虛擬化容量，并構建統(tǒng)一數(shù)據(jù)保護系統(tǒng)和其他虛擬化安全設備，達到更安全、穩(wěn)定的系統(tǒng)級別。三期建設時,將根據(jù)實際需要，考慮搭建災備數(shù)據(jù)中心，對主數(shù)據(jù)中心進行全面的虛擬化，以及與災備中心搭建成互相冗余備份的虛擬化雙活數(shù)據(jù)中心。通過構建云計算數(shù)據(jù)中心將為整個企業(yè)各個應用提供了統(tǒng)一的運行平臺,為所有下屬單位和員工的服務提供了強有力的信息化基礎平臺。17 天津移動數(shù)據(jù)中心建設采用統(tǒng)一規(guī)劃、分布實施的原則，一期可考慮較少數(shù)量的虛擬機的規(guī)模，主要完成新一代虛擬化數(shù)據(jù)中心硬件資源的整合平臺搭建。3.4.2.邏輯結(jié)構圖方案中將云計算資源池分成三層結(jié)構:第一層;物理資源,包括物理服務器、存儲設備、網(wǎng)絡設備等;此層為真正的物理資源,為整個云計算平臺提供物理環(huán)境。第二層：云計算中心邏輯資源池，包括資源池、數(shù)據(jù)存儲和端口組;整體數(shù)據(jù)中心的計算資源進行邏輯劃分,分為資源池（CPU、ＭEM)、數(shù)據(jù)存儲（存儲容量、存儲性能)和網(wǎng)絡組(網(wǎng)絡帶寬)，此層為全平臺邏輯資源,為所需業(yè)務提供資源。第三層:虛擬數(shù)據(jù)中心；針對服務平臺、各業(yè)務應用區(qū)域可以獨立管理自己數(shù)據(jù)中心內(nèi)的虛擬服務器和應用,而每個區(qū)域在邏輯上是相互隔離的，他們能都獨立運行和管理。最后通過統(tǒng)一的用戶與策略管理為信息平臺和應用區(qū)域指定相應的資源目錄和策略規(guī)范，實現(xiàn)整體平臺的運維管理。在整體云平臺中能夠統(tǒng)一監(jiān)控到所有資源的使用情況和所有系統(tǒng)運行情況。3.4.3.方案設計說明針對客戶云計算數(shù)據(jù)中心建設,我們結(jié)合用戶當前和遠期的業(yè)務系統(tǒng)需求,設計方案采用業(yè)界最好的云基礎架構進行設計,以達到以下效果：18 天津移動1、在數(shù)據(jù)中心采用高性價比的服務器，將這部分服務器做虛擬化部署。部署虛擬化后的物理服務器按照以往的經(jīng)驗,大約可實現(xiàn)１0:1~１５:1的整合比率,也就意味著以前需要二三十臺物理服務器完成的工作,在部署虛擬化后僅2~3臺就能滿足要求。根據(jù)客戶當前的需求情況來分析,我們本期設計高性能服務器專門用于部署虛擬化軟件。2、配合虛擬化的實施,除了需要高性能的物理服務器之外，還需要高性能的網(wǎng)絡、高I/Ｏ性能的專業(yè)存儲系統(tǒng).此存儲不但可滿足通過虛擬化軟件虛擬出來的大量虛擬服務器數(shù)據(jù)的存放和I／O性能需求,而且還能方便的擴展。3、數(shù)據(jù)中心在部署虛擬化后,不但可大大的擴展服務器的數(shù)量，還可以實現(xiàn)服務器之間的故障轉(zhuǎn)移(HA)、在線熱遷移（vＭotiｏn)、零秒容錯（FT)等諸多功能，在后面的方案中我們將做詳細的描述.“計算+存儲融合”產(chǎn)品將同時滿足計算+存儲對性能和擴展性這兩方面的要求,而且不存在計算和存儲層的單點故障.按照以上方案實施完畢后，將實現(xiàn)vDC基礎資源的標準化，滿足數(shù)據(jù)中心的所有基礎架構要求,可為客戶各應用平臺提供有力支持.數(shù)據(jù)中心部署最新的高性能服務器,其上安裝部署虛擬化操作系統(tǒng)。實施了虛擬化部署后的物理服務器將具備高可用故障切換等諸多高級容錯功能,在一臺物理服務器出現(xiàn)故障宕機后，不會影響到在上面運行的具體業(yè)務.解決方案拓撲示意圖：19 天津移動計算和存儲資源池:主要由１個Blｏck內(nèi)的3臺(節(jié)點）2路CＰＵ的刀片服務器組成.設備僅占用2Ｕ的空間，其最大可支持4個節(jié)點（Nodｅ),稱為１個Blocｋ.如需繼續(xù)擴展，可添加新的Bloｃｋ和Nｏdｅ,可支持上千個Node的線性擴展。假設平均1臺VM（虛擬機)需占用1個CPU內(nèi)核和８G內(nèi)存的計算資源,那么上述1臺Noｄe服務器保守估計可運行12～15臺ＶM，2臺Node服務器即可運行２4～30個VM。3臺Nodｅ服務器可形成Ｎ＋1的HＡ(高可用)集群,保障穩(wěn)定性。這些物理服務器上均部署虛擬化群集，提供所有服務器虛擬機的運行環(huán)境。服務器配置２*1000M和2*1０Gｂ網(wǎng)卡與網(wǎng)絡交換機互聯(lián)，并通過服務器內(nèi)預置的分布式存儲系統(tǒng),將所有SSＤ和ＳAＴA融為一個存儲池,透明的供應給上層使用.在搭建虛擬化的數(shù)據(jù)中心時,有3大優(yōu)勢:1)橫向擴展架構,易擴展：由于內(nèi)置的分布式存儲技術,使計算池和存儲池均能夠橫向線性擴展,解決了傳統(tǒng)架構下存儲性能難擴展的問題.2）全冗余架構,計算和存儲節(jié)點均無單點故障：由于均是資源池化和分布式架構，所有數(shù)據(jù)均是冗余分布的，所以天生就沒有存儲的單點問題，整體架構高穩(wěn)定.3)存儲性能優(yōu)異：由于其配置了大容量SＳＤ固態(tài)硬盤和PCIe SSD加速卡，并內(nèi)置了存儲虛擬化分層、重復數(shù)據(jù)刪除和壓縮、數(shù)據(jù)高速同步等技術，其存儲性能非常優(yōu)秀,并且能隨Nodｅ增加而線性提高性能，按需擴展。通過對服務器虛擬化技術的介紹,可以看出服務器虛擬化有以下幾個特性：20 天津移動（1）多實例通過服務器虛擬化，一臺物理機上可以運行多個虛擬服務器，支持多個客戶操作系統(tǒng)，并且物理系統(tǒng)的資源是以可控的方式分配給虛擬機．(2)隔離性服務器虛擬化可以將同一臺物理服務器上的多個虛擬機完全隔離開來,多個虛擬機之間就像多個物理機器之間一樣,每個虛擬機都有自己獨立的內(nèi)存空間，一個虛擬機的崩潰并不會影響到其它虛擬機。（3)封裝性采用服務器虛擬化之后,一個完整的虛擬機環(huán)境對外表現(xiàn)為一個單一的實體,便于在不同的硬件設備之間備份、移動和復制。同時，服務器虛擬化將物理機器的硬件封裝為標準化的虛擬硬件設備提供給虛擬機內(nèi)的操作系統(tǒng)和應用程序，提高了系統(tǒng)的兼容性?；谝陨线@些特性，服務器虛擬化帶來了如下的優(yōu)點:(1)實時遷移實時遷移是指在虛擬機運行時,將虛擬機的運行狀態(tài)完整、快速的從一個宿主平臺遷移到另一個宿主平臺,整個遷移過程是平滑，且對用戶透明的.由于服務器虛擬化的封裝性，實時遷移可以支持原宿主機和目標宿主機硬件平臺之間的異構性。當一臺物理機器的硬件需要維護或更新時,實時遷移可以在不宕機的情況下將虛擬機遷移到另一臺物理機器上,大大提高了系統(tǒng)的可用性。21 天津移動(2)快速部署在傳統(tǒng)的數(shù)據(jù)中心中,部署一個應用需要安裝操作系統(tǒng)、安裝中間件、安裝應用、配置、測試、運行等多個步驟,通常需要耗費十幾個小時甚至幾天的時間,并且部署過程中容易產(chǎn)生錯誤。而采用服務器虛擬化之后,部署一個應用其實就是部署一個封裝好操作系統(tǒng)和應用程序的虛擬機，部署過程只需要以下幾個步驟:拷貝虛擬機、啟動虛擬機和配置虛擬機，通常只需要十幾分鐘，且部署過程自動化,不易出錯。（3）高兼容性服務器虛擬化提供的封裝性和隔離性使應用的運行平臺與物理底層分離,提高了系統(tǒng)的兼容性.(４)提高資源利用率在傳統(tǒng)的數(shù)據(jù)中心中,處于對管理性、安全性和性能的考慮,大部分服務器上都只運行一個應用,導致服務器的CPU使用率很低,平均只有5%~20%。采用服務器虛擬化之后，可以將原來多臺服務器上的應用整合到一臺服務器之中，提高了服務器資源的利用率,并且通過服務器虛擬化固有的多實例、隔離性和封裝性保證了應用原有的性能和安全性。（5）動態(tài)調(diào)度資源服務器虛擬化可以使用戶根據(jù)虛擬機內(nèi)部資源的使用情況即時的靈活調(diào)整虛擬機的資源，如CPＵ、內(nèi)存等,而不需要像物理服務器一樣需要打開機箱變更硬件。22 天津移動3.4.4.核心功能設計3.4.4.1.服務器共享資源池管理動態(tài)數(shù)據(jù)中心核心管理用戶自服務模塊與平臺管理模塊,是將數(shù)據(jù)中心管理的主要功能：系統(tǒng)監(jiān)控虛擬化管理數(shù)據(jù)備份配置管理身份管理系統(tǒng)監(jiān)控模塊?單個(或集群的）服務器的主要服務?跟蹤事件和日志服務器上生成的狀態(tài)監(jiān)測?跟蹤性能計數(shù)器以測量和優(yōu)化系統(tǒng)的使用?生成基于預定義的規(guī)則的事件或計數(shù)器的通知服務器部署和配置模塊?自動設置服務器(虛擬和物理),管理虛擬服務器的配置設置?配置的網(wǎng)絡交換機和創(chuàng)建的虛擬服務器的負載平衡?虛擬服務器和在最可用的物理服務器環(huán)境中的自動分配?創(chuàng)建和管理所創(chuàng)建的虛擬服務器實例使用的模板23 天津移動?創(chuàng)建和管理系統(tǒng)鏡像,管理物理服務器實例數(shù)據(jù)保護模塊?備份和還原的整個服務器?備份和還原的計算機正在運行的數(shù)據(jù)庫?能夠回滾在服務器中所做的更改?備份和還原所有服務器的單個文件和文件夾服務配置管理模塊?跟蹤資產(chǎn)硬件和軟件許可證以及在環(huán)境中的配置?管理的軟件更新(通過自定義的更新計劃)?定義和使用所需的服務器等計算資源的配置?生成報告已安裝的軟件,更新掛起的操作,等等?安裝并維護應用程序等虛擬化平臺支持對CPU、內(nèi)存以及Ｉ/O設備的虛擬化,對外提供虛擬化能力支撐.處理器虛擬化2)內(nèi)存虛擬化支持在線調(diào)整虛擬機內(nèi)存空間大小.３）設備虛擬化支持虛擬機以獨占方式更高效的操作PCI設備。24 天津移動支持對具備PCI設備的透傳操作。虛擬機管理:支持虛擬機的生命周期管理,包括：虛擬機啟動、停止、休眠等；支持對虛擬機生成快照、虛擬機映像的檢查點技術、虛擬機的在線遷移等。虛擬資源池管理:對資源池中的ＣPU、內(nèi)存、存儲以及網(wǎng)絡資源等進行管理，包括:這些資源在虛擬機上的分配和釋放。對虛擬機的實時監(jiān)控和告警功能：對虛擬機的運行狀態(tài)進行監(jiān)控,包括:虛擬機CPU占用、虛擬機內(nèi)存占用等。對某些監(jiān)控值過大和虛擬機故障等情況進行報警。支持對虛擬機進行集群配置：保證運行在虛擬機的業(yè)務應用的高可靠性.虛擬機創(chuàng)建時支持將現(xiàn)有物理主機系統(tǒng)轉(zhuǎn)換為同樣配置的虛擬機，也就是P2V，也支持將虛擬機系統(tǒng)轉(zhuǎn)換成物理主機系統(tǒng)，也就是V2P。各虛擬機之間如何實現(xiàn)備份和容災：啟動高可用性策略后系統(tǒng)發(fā)現(xiàn)物理機故障則在其他物理機啟動該虛機從而實現(xiàn)高可用性，容災在虛機的存儲實行本地或者異地備份。3.4.4.2.網(wǎng)絡資源池管理服務器共享資源池的網(wǎng)絡管理,分兩個部分：管理虛擬機虛擬交換機的控制單元25 天津移動虛擬機網(wǎng)絡管理通過虛擬化平臺實現(xiàn)。將物理服務器上的一個網(wǎng)絡端口連接管理網(wǎng)絡(或管理VLAＮ）；另一個端口配置成Truck模式,直接連接生產(chǎn)網(wǎng)絡接口,使其支持所有VＬANTａg數(shù)據(jù)包流入。由虛擬化平臺為每臺虛擬機的網(wǎng)卡標示生產(chǎn)網(wǎng)絡VＬAN．管理物理交換機的控制單元管理物理交換機可以通過預定義的交換機配置腳本,調(diào)用交換機管理接口實現(xiàn)物理交換機進行配置,以及VＬAN調(diào)整。動態(tài)云平臺的網(wǎng)絡管理功能,經(jīng)過WebServicｅ包裝過的網(wǎng)絡管理接口，調(diào)用兩套管理控制單元,在物理交換機與虛擬交換機共同調(diào)整VLANTaｇ。實現(xiàn)系統(tǒng)的網(wǎng)絡集中管控。3.4.4.3.存儲資源池管理為了保證動態(tài)云計算平臺,能夠提供通用的存儲管理接口．屏蔽各個廠商的不同存儲管理工具,為動態(tài)云平臺用戶提供統(tǒng)一的存儲溝通渠道。動態(tài)云平臺通過類接口與存儲設備控制器通信:腳本接口,可以同過任何預編寫得腳本文件,CＬＩ命令調(diào)用各廠商存儲平臺.按照要求動態(tài)云平臺的建設，充分發(fā)揮系統(tǒng)管理架構資源共享要求.按照合規(guī)性要求提供變更管理的支持,提供虛擬化平臺以整合共享服務器資源,提供數(shù)據(jù)中心業(yè)務連續(xù)性管理。以及服務健康和服務標準統(tǒng)計分析.讓用戶的物理機資源池與虛擬機資源池共享硬件平臺.通過自動化管理腳本，讓兩類資源可快速互相轉(zhuǎn)換。26 天津移動通過跨平臺的網(wǎng)絡控制中心實現(xiàn)，物理網(wǎng)絡與虛擬網(wǎng)絡的統(tǒng)一管理。通過跨平臺的存儲控制中心實現(xiàn),多廠家存儲統(tǒng)一管理.通過系統(tǒng)管理平臺對多廠商運維管理平臺、虛擬化平臺進行統(tǒng)一管理。3.4.5.平臺特性3.4.5.1.實現(xiàn)資源最優(yōu)利用利用虛擬化技術,在一臺物理服務器或一套硬件資源上虛擬出多個虛擬機，讓不同的應用服務運行在不同的虛擬機上。在不降低系統(tǒng)魯棒性、安全性和可擴展性的同時,可提高硬件的利用率,減少應用對硬件平臺的依賴性,從而使得企業(yè)能夠削減資金和運營成本,同時改善ＩT服務交付，而不用受到有限的操作系統(tǒng)、應用程序和硬件選擇范圍的制約。3.4.5.2.實現(xiàn)動態(tài)負載均衡資源負載均衡是指通過負載均衡器的協(xié)調(diào)，將計算任務分攤到多個資源中執(zhí)行，從而整體上更好地利用計算資源，加快響應速度,提高服務質(zhì)量.利用虛擬機與硬件無關的特性的虛擬機遷移技術,按需分配資源。利用虛擬機與硬件無關的特性的虛擬機遷移技術,使得動態(tài)負載均衡變得簡單起來：當監(jiān)測到某個計算節(jié)點的負載過高時,可以在不中斷業(yè)務的情況下,將其遷移到其它負載較輕的節(jié)點,或者在節(jié)點內(nèi)通27 天津移動過重新分配計算資源,使得執(zhí)行緊迫計算任務的虛擬機得到更多的計算資源,從而保證關鍵任務的響應能力.動態(tài)負載均衡機制3.4.5.3.系統(tǒng)自愈功能提升可靠性實現(xiàn)經(jīng)濟高效、獨立于硬件和操作系統(tǒng)的應用程序高可用性.系統(tǒng)服務器硬件故障時,可自動重啟虛擬機。消除在不同硬件上恢復操作系統(tǒng)和應用程序安裝所帶來的困難,其中任何物理服務器均可作為虛擬服務器的恢復目標減少硬件成本和維護成本。系統(tǒng)自愈機制3.4.5.4.提升系統(tǒng)節(jié)能減排能力虛擬化平臺可與服務器管理硬件配合實現(xiàn)智能電源管理,通過優(yōu)化虛擬機資源的實際運行位置,達到耗電最小化?？蔀檫\營商節(jié)省大量電力資源,減少供電成本,節(jié)能減排。3.4.6.部署虛擬化的優(yōu)勢1、提高服務器整合率:我們計劃部署虛擬化系統(tǒng)的高性能服務器數(shù)量是3臺,在部署虛擬化之前可用的服務器也僅能有3臺，但部署虛擬化后服務器數(shù)量的可用能力達到20～328 天津移動０臺,整合率達到１0：１．也就意味著部署虛擬化后一段時間內(nèi)我們不需要增加服務器的硬件投資.２、大大降低硬件投入的資金：按照在傳統(tǒng)架構的計算方式，我們?nèi)绻獙⑽锢矸掌鞯臄?shù)量增加至20~30臺的話，還需要為各系統(tǒng)獨立考慮多項存儲等設備,整體的鏈路和環(huán)境保障設施也需要更多投入，我們需要投入比虛擬化大得多的投資．但是,如果采用虛擬化解決方案,整體投入能得到明顯的降低．3、降低服務器的部署成本:部署虛擬化后，當我們需要增加一臺新的服務器的時候，我們所花費的時間不會超過5分鐘.而如果按照傳統(tǒng)的方式,我們需要更長的時間,而且會間接影響業(yè)務系統(tǒng)的運行。４、提高系統(tǒng)可用性:虛擬化具有天然的高可用性架構和功能，加上整體硬件資源很容易做到N+1的冗余,實現(xiàn)系統(tǒng)基本高可用的難度和成本大大降低。5、新應用測試、部署更加靈活:增強了新應用系統(tǒng)的部署靈活性,從而提高IT服務質(zhì)量，更好的完成各種信息化