三通兩平臺整體方案規(guī)劃二O一二年十一月目錄第1章.現(xiàn)狀及需求分析41.1.工程建立背景41.2.應用開展規(guī)劃41.2.1.專遞課堂41.2.2.名師課堂51.2.3.網絡協(xié)作教研51.2.4.資源類應用61.2.5.互動教學61.2.6.教育管理平臺61.3.建立容61.3.1.三通兩平臺一中心6第2章.城域網及資源中心方案整體設計102.1.設計原則與思路102.2.整體解決方案12第3章.功能分區(qū)詳細設計143.1.云數(shù)據(jù)中心——資源中心設計143.1.1.云平臺數(shù)據(jù)中心建立目標143.1.2.數(shù)據(jù)中心云平臺設計原則163.1.3.數(shù)據(jù)中心云平臺總體設計173.1.4.云平臺根底承載設計203.1.5.云平臺計算資源池設計253.1.6.存儲設計283.1.7.虛擬化平臺設計303.1.8.云平臺系統(tǒng)設計363.2.云通道建立——城域網/校校通方案443.2.1.需求分析443.2.2.鏈路選擇443.2.3.方案設計453.3.云接入建立——班班通方案523.3.1.需求分析523.3.2.網絡方案設計533.3.3.身份認證方案設計553.4.云管理規(guī)劃——整網運維方案583.4.1.系統(tǒng)平安管理583.4.2.資源管理593.4.3.拓撲管理613.4.4.故障〔告警/事件〕管理643.4.5.告警深度關聯(lián)分析與統(tǒng)計653.4.6.性能管理703.4.7.設備管理組件73第4章.方案報價75第5章.案例參考755.1.教育云75現(xiàn)狀及需求分析工程建立背景上世紀九十年代以來，通過一系列重大工程和政策措施，我區(qū)的教育信息化開展奠定了一定的根底。隨著教育模式的改革和新技術的不斷涌現(xiàn)，信息化教學的應用不斷拓展和深入，教學資源不斷豐富，教育信息化在促進教育公平、提高教育質量、創(chuàng)新教育模式領域的支撐和帶動作用初步顯現(xiàn)。"教育規(guī)劃綱要"明確提出了信息化目標，即建成人人可享有優(yōu)質教育資源的信息化學習環(huán)境，根本形成學習型社會的信息化支撐效勞體系，根本實現(xiàn)所有地區(qū)和各級各類學校寬帶網絡的全面覆蓋，教育管理信息化水平顯著提高，信息技術與教育融合開展的水平顯著提升。應用開展規(guī)劃應用開展是十二五期間信息化建立的關鍵容，建立與教學融合的應用體系是應用規(guī)劃的目標。結合目前國外的先進經歷，我區(qū)擬規(guī)劃以下應用容。專遞課堂同步課堂：同步課堂基于**區(qū)資源中心提供的機構空間、學校空間、教師空間進展。1個播出教室和1-5個接收教室構成一個虛擬課堂。教育局在其空間，利用同步課堂組織管理工具，統(tǒng)一組織播出學校和接收學校，統(tǒng)一安排虛擬課堂課表，并組織教學。播出學校和接收學校也可自行配對，在其空間向教育局提出申請。推送資源：區(qū)資源中心根據(jù)教師需求情況將支持課堂教學的優(yōu)質資源包推送到教師空間，幫助教師備課、上課、進展教學評價。教師在教學活動中生成的資源可以提供到國家數(shù)字教育資源公共效勞平臺上進展共享。探究性學習：區(qū)資源中心通過推送探究性學習工具和資源，提供智能導航幫助教師開展探究式、討論式、參與式教學，幫助學生增強運用信息技術分析解決問題的能力，學會學習。幫助教師運用探究學習模式開展日常學科教學。學生也可利用相應工具自行組織探究性學習。名師課堂名師講堂：名師講堂模式主要用于名師講解學科重點難點，幫助學生更好地達成學習目標。講授容以各學科和專業(yè)課程章節(jié)重難點和期末總結為主。名師導學：名師導學模式通過將教師課堂講授與智能學習系統(tǒng)〔“名師〞〕的診斷與導學相結合，實現(xiàn)差異化教學和個性化指導，提高學生學習能力。網絡協(xié)作教研跨校網絡協(xié)作教研跨區(qū)域網絡協(xié)作教研模式是利用國家數(shù)字教育資源公共效勞平臺提供的虛擬教研社區(qū)功能，組織不同區(qū)域教師開展協(xié)作教研活動，實現(xiàn)交流學習、優(yōu)勢互補、共同提高。名師工作室名師工作室模式用于有組織地開放以特級教師和學科骨干教師本人命名的教師空間，為廣闊教師有針對性的選擇與自己教育教學相關的專家或專家團隊進展持續(xù)的教學科研提供效勞。資源類應用在區(qū)資源中心以自建、學校提供、企業(yè)提供等多種方式將傳統(tǒng)知識點和學習容電子化，以趣味、生動的方式呈現(xiàn)，提高學生學習興趣和理解能力?；咏虒W在教學過程中融入互動的體驗，遠程學習〔名師講堂類〕時學生與教師遠程互動，教學過程中與家長互動等。教育管理平臺將傳統(tǒng)的OA辦公、學籍管理、考勤系統(tǒng)、考核系統(tǒng)、行政辦公系統(tǒng)、等管理類系統(tǒng)統(tǒng)一為教育門戶，提供一體化的教育管理工作平臺。建立容三通兩平臺一中心兩個平臺，一個中心所有的應用規(guī)劃從對象角度來區(qū)分可以分為兩大平臺，一個是教學資源公共效勞平臺，一個是教育管理公共效勞平臺。兩平臺均以應用軟件方式呈現(xiàn)，需要一個統(tǒng)一的硬件數(shù)據(jù)中心來承載，所以建立的首要容就是“兩個平臺，一個中心〞。資源到?！ＰＭ▋纱笃脚_的容統(tǒng)稱為“資源〞，資源區(qū)學校共享的財富，實現(xiàn)共享的手段就是將資源送到學校，也就是通過網絡實現(xiàn)學校與教育局資源中心的連接，也即傳統(tǒng)校校通的建立局部。資源到班級——班班通讓學生在教室就能使用優(yōu)質的教學資源，實現(xiàn)與遠程名師的在線互動，就是資源到班級的建立容。包括多媒體教室，無線網絡覆蓋班級實現(xiàn)班班通。資源到個人——人人通學生放學后依然能使用教學資源，教師在家、出差時期也能便捷使用備課系統(tǒng)，家長輔導學生等應用場景的實現(xiàn)，就是建立人人通空間，學生、家長、教師都能隨時隨地訪問的容。城域網及資源中心方案整體設計設計原則與思路城域網及資源中心的建立原則是能夠高效、平安、綠色的支撐應用系統(tǒng)的使用，相比傳統(tǒng)城域網建立，表達在幾個層面的變化：數(shù)據(jù)中心的形成相比傳統(tǒng)效勞器部署而言，資源中心的建立要求有統(tǒng)一的數(shù)據(jù)中心來承載兩大平臺的運行虛擬化的使用為了整合資源中心的硬件資源，會大量使用虛擬化技術來建立彈性的資源池；應用類型對網絡帶寬的消耗應用的規(guī)劃以動畫、視頻、互動等大流量應用為主，相比傳統(tǒng)網絡帶寬要求提升10~20倍；用戶規(guī)模的劇增資源的使用者增加了學生，相比傳統(tǒng)只有教師使用的環(huán)境，用戶規(guī)模增加了10~20倍；流量模型的變化用戶的訪問模型以學校訪問資源中心的流量為主，根本上為縱向流量；允許斷網時間的變化教學系統(tǒng)上網意味著對網絡可靠性的要求提高，允許斷網時間應該控制在分鐘級別；所以在城域網和資源中心的設計上需要遵循以下原則：高性能——骨干網絡性能是整個網絡良好運行的根底，設計中必須保障網絡及設備的高吞吐能力，保證各種信息〔視頻、動畫〕的高質量傳輸，才能使網絡不成為業(yè)務開展的瓶頸。高可靠性——網絡系統(tǒng)的穩(wěn)定可靠是應用系統(tǒng)正常運行的關鍵保證，在網絡設計中選用高可靠性網絡產品，設備充分考慮冗余、容錯能力；合理設計網絡架構，制訂可靠的網絡備份策略，保證網絡具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運行。網絡設備在出現(xiàn)故障時應便于診斷和排除，充分表達計算機網絡的高可靠性。平安性——制訂統(tǒng)一的網絡平安策略，整體考慮網絡平臺的平安性，保證師生能夠平安、綠色的使用資源。獨立性——學校與教育局之間采用公網連接會導致一些應用系統(tǒng)的不可用〔比方名師講堂、雙向教學等〕，而且公網連接也使得網絡不平安、不可控等隱患，所以教育局與學校之間應該采用裸光纖或者VPN方式連接；技術先進性和實用性——在保證滿足校園業(yè)務、應用系統(tǒng)業(yè)務的同時，要表達出網絡系統(tǒng)的先進性。在網絡設計中要把先進的技術與現(xiàn)有的成熟技術和標準結合起來，充分考慮網絡應用的現(xiàn)狀和未來開展趨勢。標準開放性——支持國際上通用的網絡協(xié)議、路由協(xié)議等開放的協(xié)議標準，有利于保證與其它網絡(如中國教育網、公共數(shù)據(jù)網、學校之間等其它網絡)之間的平滑連接互通，以及將來網絡的擴展。靈活性及可擴展性——根據(jù)未來業(yè)務的增長和變化，網絡可以平滑地擴大和升級，最大程度的減少對網絡架構和現(xiàn)有設備的調整。可管理性——對網絡實行集中監(jiān)測、分權管理，并統(tǒng)一分配帶寬資源。選用先進的網絡管理平臺，具有對設備、端口等的管理、流量統(tǒng)計分析，及可提供故障自動報警。強QOS、強組播特性——城域網因為對視頻、音頻等多媒體業(yè)務的需求較大，所以整個網絡具有較完善的QOS特性對教育網而言就顯得尤為重要。能不能對關鍵業(yè)務進展帶寬優(yōu)先保證尤其是那些對時延敏感的業(yè)務進展保證是教育網必須考慮的一個重點，為實現(xiàn)區(qū)別效勞，整網端到端的QOS特性機制是優(yōu)質網絡業(yè)務的保證。另外組播特性對于有效的保證多媒體流傳輸性能和節(jié)省帶寬也有非常重要的意義，基于組播的控制特性也會進一步保證組播流的控制、管理和平安，從而為實現(xiàn)教育城域網的多業(yè)務支持提供保障。兼容性和經濟性——兼容性，能夠最大限度地保證學?，F(xiàn)有各種計算機軟、硬件資源的可用性和連續(xù)性，為不同的現(xiàn)存網絡提供互聯(lián)和升級的手段〔如現(xiàn)有的雙向教學系統(tǒng)〕，保證各種在用計算機系統(tǒng)〔包括工作站、效勞器和微機等設備〕的互連入網，充分利用現(xiàn)有網絡資源，發(fā)揮主干網的優(yōu)勢。經濟性，就是在充分利用現(xiàn)有資源的情況下，最大限度地降低網絡系統(tǒng)的總體投資，有方案、有步驟地實施，在保證網絡整體性能的前提下，充分利用現(xiàn)有設備或做必要的升級。整體解決方案**區(qū)教育城域網的整體網絡拓撲如下列圖所示：整個網絡分為接入層〔學?！场⒑诵膶?、管理中心、電教館辦公網、城域網資源中心以及網絡出口等6個模塊。接入層在接入層，每個學校的出口采用一臺統(tǒng)一威脅管理設備U200作為出口網關，通過運營商分配的專用線路連接到區(qū)教育局的網絡核心。核心層在核心層采用兩臺H3CS10508核心交換機，通過IRF2技術虛擬成一臺，以保證網絡核心的可靠性，同時成倍提升網絡性能。核心交換機上除了提供連接各功能區(qū)所必須的以太網接口外，還部署防火墻、IPS、流量分析等多種業(yè)務插卡，為整個教育城域網提供平安保障。管理中心管理中心作為整個教育城域網的總指揮部，部署網絡管理系統(tǒng)、平安管理系統(tǒng)、虛擬化管理平臺等管理系統(tǒng)，以便于管理人員對整個城域網進展統(tǒng)一規(guī)劃和管理。電教館辦公網電教館辦公網作為城域網的一個單位接入城域網核心。同樣考慮到平安性和可管理性，建議在辦公網出口處部署一臺U200。資源效勞區(qū)在資源效勞區(qū)，通過虛擬化技術建立計算資源池和存儲資源池，為教育資源平臺動態(tài)分配硬件資源，從而提高硬件資源的可靠性和可擴展性。資源效勞區(qū)通過假設干臺〔依據(jù)具體效勞器數(shù)量而定〕數(shù)據(jù)中心級接入交換機與城域網核心相連，構成教育資源平臺和各個教育單位數(shù)據(jù)互通的通道。出口區(qū)整個教育城域網將擁有兩個網絡出口，一個連接到教育城域網中心，一個連接到互聯(lián)網，作為整個教育城域網公網出口。功能分區(qū)詳細設計云數(shù)據(jù)中心——資源中心設計云平臺數(shù)據(jù)中心建立目標**區(qū)城域網數(shù)據(jù)中心是數(shù)據(jù)大集中而形成的集成IT應用環(huán)境，它是各種IT業(yè)務和應用效勞的提供中心，是數(shù)據(jù)運算/交換/存儲的中心，實現(xiàn)對用戶的數(shù)據(jù)、應用程序、物理構架的全面或局部進展整合和集中管理。數(shù)據(jù)中心的建立中，存儲系統(tǒng)的建立和完善貫穿始終，這和當前應用系統(tǒng)建立的重點是相一致的。不管是各種數(shù)字資源，還是需要備份保存的業(yè)務數(shù)據(jù)，其中心容都是對于信息〔數(shù)據(jù)〕的管理和使用。本方案將云數(shù)據(jù)中心“IT根底設施〞的“按需使用〞以及〞自動化管理和調度〞作為云計算的實踐，形成可落地實施的、可持續(xù)開展的云計算平臺，即IaaS云計算平臺，為**區(qū)旗下中小學提供效勞集中以及按需使用效勞，簡化各個學校的IT管理，實現(xiàn)**區(qū)教育資源的統(tǒng)一整合與管理。作為教育云計算實踐，云計算數(shù)據(jù)中心的建立建議到達以下目標：通過標準化、虛擬化的資源池部署，提高整體IT根底設施資源利用率；實現(xiàn)IT根底設施資源的自助化效勞，按需申請，按需供應，實現(xiàn)面向最終用戶的云效勞模式；實現(xiàn)IT根底設施資源的自動化部署及流程化管理，并可利用云計算管理平臺對資源進展可視、全面的監(jiān)、管、控，簡化日常運維的管理流程、降低維護本錢；在實現(xiàn)可落地的云實踐的根底上，保存未來向更高層次的云計算實踐開展的可能，如SaaS和PaaS相關應用等；數(shù)據(jù)中心云平臺設計原則兼容與互通當前階段云計算整個產業(yè)化還不夠成熟，相關標準還不完善。為保證多廠商的良好兼容性，防止廠商技術鎖定，方案的設計充分保證與第三方廠商設備保持良好的對接。此外，為保證方案的前瞻性，設備的選型應充分考慮對已有的云計算相關標準〔如EVB/802.1Qbg等〕的擴展支持能力，保證良好的先進性，以適應未來的技術開展。業(yè)務高可用云計算平臺作為承載未來教育城域網以及各個校園應用的重要IT根底設施，伴隨著數(shù)據(jù)與業(yè)務的集中，云計算平臺的建立及運維給信息部門帶來了巨大的壓力，因此平臺的建立從根底資源池〔計算、存儲、網絡〕、虛擬化平臺、云平臺等多個層面充分考慮業(yè)務的高可用，根底單元出現(xiàn)故障后業(yè)務應用能夠迅速進展切換與遷移，用戶無感知，保證業(yè)務的連續(xù)性。統(tǒng)一管理與自動化云計算的最終目標是要實現(xiàn)系統(tǒng)的按需運營，多種效勞的開通，而這依賴于對計算、存儲、網絡資源的調度和分配，同時提供用戶管理、組織管理、工作流管理、自助Protal界面等。從用戶資源的申請、審批到分配部署的智能化。管理系統(tǒng)不僅要實現(xiàn)對傳統(tǒng)的物理資源和新的虛擬資源進展管理，還要從全局而非割裂地管理資源，因此統(tǒng)一管理與自動化將成為必然趨勢。開放接口傳統(tǒng)的管理系統(tǒng)與上層系統(tǒng)對接，注重故障的上報和信息的查詢。而云計算的管理系統(tǒng)更關注如何實現(xiàn)自動化的部署，在接口方面更關注資源調度和分配，這就需要管理系統(tǒng)在業(yè)務調度方面實現(xiàn)開放。為保證效勞器、存儲、網絡等資源能夠被云計算運營平臺良好的調度與管理，要求系統(tǒng)提供開放的API接口，云計算運營管理平臺能夠通過API接口、命令行腳本實現(xiàn)對設備的配置與策略下發(fā)聯(lián)動。同時云平臺也提供開放的API接口，未來可以基于這些接口進展二次定制開放，將云管理平臺與教育城域網應用相融合，實現(xiàn)面向云計算的教育應用管理平臺。數(shù)據(jù)中心云平臺總體設計硬件構造根據(jù)本期工程的需求和建立目標云計算平臺總體邏輯拓撲構造如上圖所示。整個平臺由網絡資源池、計算資源池、存儲資源池、管理中心四局部組成。網絡資源池：采用業(yè)界主流的“核心+接入〞扁平化組網，核心交換機采用2臺H3CS10508設備，部署IRF2虛擬化技術，并在機框部署網流分析〔NetStream〕和防火墻〔FW〕插卡，實現(xiàn)業(yè)務的流量監(jiān)控和平安隔離防護，外聯(lián)至現(xiàn)網出口路由器，實現(xiàn)外網互通；接入交換機采用2臺H3CS5820V2設備，部署IRF2虛擬化技術，并啟用VEPA功能，實現(xiàn)虛擬化網絡感知。計算資源池：采用20臺H3CFle*ServerR390機架效勞器，通過H3CCloudVirtualizationKernel虛擬化平臺進展整合構建資源池，在虛擬機上部署業(yè)務系統(tǒng)和虛擬桌面應用。存儲資源池：采用2臺HPLeftHandP4500iSCSI存儲陣列，存放虛擬機鏡像文件、配置文件以及業(yè)務系統(tǒng)數(shù)據(jù)。管理中心：采用2臺H3CFle*ServerR390機架效勞器，部署H3CiMCDCM數(shù)據(jù)中心管理套件、H3Cloud軟件套件，實現(xiàn)對云計算資源池的統(tǒng)一管理及調度。軟件構造此次工程云計算軟件平臺的總體構造如上圖所示，包括虛擬化層、自動化效勞層、管理層、業(yè)務編排層、API層：虛擬化層：利用CloudVirtualizationKernel提供的底層虛擬化能力和上層CloudVirtualizationCenter提供的管理能力，屏蔽底層物理硬件根底設施的異構性和復雜度，對外以虛擬資源池的形式呈現(xiàn)。自動化效勞層：強調業(yè)務運行的高可用性和可擴展性，并對業(yè)務提供自動的容災備份與資源調度能力。管理層：對虛擬化資源及云運營要素進展管理，如虛擬機生命周期的管理、虛擬機鏡像文件和配置文件的管理、多租戶的平安隔離、網絡策略配置的管理等。業(yè)務編排層：對云計算資源進展可運營性管理，包括對虛擬資源池的編排、最終用戶的自助效勞門戶、業(yè)務的申請、審批與開通、用戶帳務的管理與報表輸出等。API層：為第三方云運營管理平臺提供RESTful的API接口。上述各層的功能實現(xiàn)分別對應H3Cloud軟件套件中的CloudIntelligenceCenter、CloudVirtualizationManager和CloudVirtualizationKernel三個組件完成：CloudVirtualizationKernel：虛擬化核與管理代理運行在根底設施層和上層操作系統(tǒng)之間的“元〞操作系統(tǒng)，用于協(xié)調上層操作系統(tǒng)對底層硬件資源的訪問，減輕軟件對硬件設備以及驅動的依賴性，同時對虛擬化運行環(huán)境中的硬件兼容性、高可靠性、高可用性、可擴展性、性能優(yōu)化等問題進展加固處理。CloudVirtualizationManager：虛擬化管理軟件包主要實現(xiàn)對數(shù)據(jù)中心的計算、網絡和存儲等硬件資源的軟件虛擬化，形成虛擬資源池，對上層應用提供自動化效勞。其業(yè)務圍包括：虛擬計算、虛擬網絡、虛擬存儲、高可靠性〔HA〕、動態(tài)資源調度〔DRS〕、虛擬機容災與備份、虛擬機模板管理、集群文件系統(tǒng)、虛擬交換機策略等。CloudIntelligenceCenter：云業(yè)務運營軟件包由一系列云根底業(yè)務模塊組成，通過將根底架構資源〔包括計算、存儲和網絡〕及其相關策略整合成虛擬數(shù)據(jù)中心資源池，并允許用戶按需消費這些資源，從而構建平安的多租戶混合云。其業(yè)務圍包括：組織〔虛擬數(shù)據(jù)中心〕、多租戶數(shù)據(jù)和業(yè)務平安、云業(yè)務工作流、自助式效勞門戶、兼容OpenStack的RESTAPI接口等。云平臺根底承載設計核心層設計數(shù)據(jù)中心核心交換機需要資源池部高速交換以及骨干互聯(lián)工作，建議采用H3C數(shù)據(jù)中心級核心交換機S10500，主要基于如下考慮：高性能：核心會聚層需要與其它外部網絡互聯(lián)，外連接口眾多，并且這些外部網絡所提供的接入帶寬和接入設備都是業(yè)界高端設備，所以為了使網絡在核心交換區(qū)不存在性能瓶頸，采用具備高密萬兆的核心交換設備.整網可靠性：因為城域網數(shù)據(jù)中心網絡業(yè)務系統(tǒng)具有高可靠性設計，業(yè)務層面最大限度的保障業(yè)務轉發(fā)不中斷、不丟包。因此建議在核心交換局部采用主控和交換網板別離的核心交換機，提高網絡可靠性，使整網可靠性方面不存在短板。綠色環(huán)保：為了降低機房空調能耗，要求核心交換機采用豎插槽，前下部進風、上后部抽風、強迫風散熱形式。要求通過RoHS、CE等國際環(huán)保認證。核心層部署IRF2.0協(xié)議將兩臺S10508虛擬化成邏輯的1臺交換機實現(xiàn)了跨S10508鏈路聚合，通過虛擬化后的邏輯設備與下行接入層交換機5830V2進展互聯(lián)，最終實現(xiàn)了核心S10508與接入5830之間邏輯點對點連接后消除環(huán)路的同時防止部署STP和VRRP協(xié)議。接入層設計接入層交換機采用全萬兆云平臺接入交換機H3C5830V2。未來每臺效勞器將會部署多臺虛擬資源對外響應業(yè)務，考慮到每個業(yè)務能夠保證訪問的帶寬要求，建議每臺計算資源效勞器與接入交換萬兆互聯(lián)，同時每臺接入層交換機采用2個10GE接口與核心交換機相連，保證數(shù)據(jù)中心互訪的高效。網絡平安設計為了應對云計算環(huán)境下的流量模型變化，平安防護體系的部署需要朝著高性能的方向調整。在本次工程的建立過程中，多條高速鏈路會聚成的大流量已經比擬普遍，在這種情況下，平安設備必然要具備對高密度的10GE甚至100G接口的處理能力；無論是獨立的機架式平安設備，還是配合數(shù)據(jù)中心高端交換機的各種平安業(yè)務引擎，都可以根據(jù)用戶的云規(guī)模和建立思路進展合理配置；同時，考慮到云計算環(huán)境的業(yè)務永續(xù)性，設備的部署必須要考慮到高可靠性的支持，諸如雙機熱備、配置同步、電源風扇的冗余、鏈路捆綁聚合、硬件BYPASS等特性，真正實現(xiàn)大流量會聚情況下的根底平安防護。目前，虛擬化已經成為云計算提供“按需效勞〞的關鍵技術手段，包括根底網絡架構、存儲資源、計算資源以及應用資源都已經在支持虛擬化方面向前邁進了一大步，只有基于這種虛擬化技術，才可能根據(jù)不同用戶的需求，提供個性化的存儲計算及應用資源的合理分配，并利用虛擬化實例間的邏輯隔離實現(xiàn)不同用戶之間的數(shù)據(jù)平安。平安無論是作為根底的網絡架構，還是基于平安即效勞的理念，都需要支持虛擬化，這樣才能實現(xiàn)端到端的虛擬化計算。典型的示意圖如下圖：本次工程防火墻插卡設備雖然部署在交換機框中，但仍然可以看作是一個獨立的設備。它通過交換機部的10GE接口與網絡設備相連，它可以部署為2層透明設備和三層路由設備。防火墻與交換機之間的三層部署方式與傳統(tǒng)盒式設備類似。如上圖FW三層部署所示，防火墻可以與宿主交換機直接建立三層連接，也可以與上游或下游設備建立三層連接，不同連接方式取決于用戶的訪問策略。可以通過靜態(tài)路由和缺省路由實現(xiàn)三層互通，也可以通過OSPF這樣的路由協(xié)議提供動態(tài)的路由機制。如果防火墻部署在效勞器區(qū)域，可以將防火墻設計為效勞器網關設備，這樣所有訪問效勞器的三層流量都將經過防火墻設備，這種部署方式可以提供區(qū)域部效勞器之間訪問的平安性。防火墻是網絡系統(tǒng)的核心根底防護措施，它可以對整個網絡進展網絡區(qū)域分割，提供基于IP地址和TCP/IP效勞端口等的訪問控制；對常見的網絡攻擊方式，如拒絕效勞攻擊〔pingofdeath,land,synflooding,pingflooding,teardrop〕、端口掃描〔portscanning〕、IP欺騙(ipspoofing)、IP盜用等進展有效防護；并提供NAT地址轉換、流量限制、用戶認證、IP與MAC綁定等平安增強措施。對于云計算數(shù)據(jù)中心虛擬機效勞網關的選擇上，建議根據(jù)不同租戶的平安需求進展區(qū)分對待，不建議將所有網關配置在FW上，以分散FW的壓力，滿足租戶的平安域隔離，具體設計如下：對于需要FW的業(yè)務的租戶，網關部署在vFW上；對于不需要FW的普通租戶，網關部署在核心交換機上。平安控制策略：防火墻設置為默認拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒有明確的規(guī)則允許通過，全部拒絕以保證平安；建議在兩臺防火墻上設定嚴格的訪問控制規(guī)則，配置只有規(guī)則允許的IP地址或者用戶能夠訪問數(shù)據(jù)業(yè)務網中的指定的資源，嚴格限制網絡用戶對數(shù)據(jù)業(yè)務網效勞器的資源，以防止網絡用戶可能會對數(shù)據(jù)業(yè)務網的攻擊、非授權訪問以及病毒的傳播，保護數(shù)據(jù)業(yè)務網的核心數(shù)據(jù)信息資產；配置防火墻防DOS/DDOS功能，對Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒絕效勞攻擊進展防，可以實現(xiàn)對各種拒絕效勞攻擊的有效防，保證網絡帶寬；配置防火墻全面攻擊防能力，包括ARP欺騙攻擊的防，提供ARP主動反向查詢、TCP報文標志位不合法攻擊防、超大ICMP報文攻擊防、地址/端口掃描的防、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等，全面防各種網絡層的攻擊行為；根據(jù)需要，配置IP/MAC綁定功能，對能夠識別MAC地址的主機進展鏈路層控制，實現(xiàn)只有IP/MAC匹配的用戶才能訪問數(shù)據(jù)業(yè)務網中的效勞器；其他可選策略：可以啟動防火墻身份認證功能，通過置數(shù)據(jù)庫或者標準Radius屬性認證，實現(xiàn)對用戶身份認證后進展資源訪問的授權，進展更細粒度的用戶識別和控制；根據(jù)需要，在兩臺防火墻上設置流量控制規(guī)則，實現(xiàn)對效勞器訪問流量的有效管理，有效的防止網絡帶寬的浪費和濫用，保護關鍵效勞器的網絡帶寬；根據(jù)應用和管理的需要，設置有效工作時間段規(guī)則，實現(xiàn)基于時間的訪問控制，可以組合時間特性，實現(xiàn)更加靈活的訪問控制能力；在防火墻上進展設置告警策略，利用靈活多樣的告警響應手段〔、日志、SNMP陷阱等〕，實現(xiàn)攻擊行為的告警，有效監(jiān)控網絡應用；啟動防火墻日志功能，利用防火墻的日志記錄能力，詳細完整的記錄日志和統(tǒng)計報表等資料，實現(xiàn)對網絡訪問行為的有效的記錄和統(tǒng)計分析；云平臺計算資源池設計效勞器是云計算平臺的核心，其承當著云計算平臺的“計算〞功能。對于云計算平臺上的效勞器，通常都是將一樣或者相似類型的效勞器組合在一起，作為資源分配的母體，即所謂的效勞器資源池。在這個效勞器資源池上，再通過安裝虛擬化軟件，使得其計算資源能以一種虛擬效勞器的方式被不同的應用使用。這里所提到的虛擬效勞器，是一種邏輯概念。對不同處理器架構的效勞器以及不同的虛擬化平臺軟件，其實現(xiàn)的具體方式不同。在*86系列的芯片上，其主要是以常規(guī)意義上的VMware虛擬機或者H3Cloud虛擬機的形式存在。在搭建效勞器資源池之前，首先應該確定資源池的數(shù)量和種類，并對效勞器進展歸類。歸類的標準通常是根據(jù)效勞器的處理器類型、型號、配置、物理位置來決定。對云計算平臺而言，屬于同一個資源池的效勞器，通常就會將其視為一組可互相替代的資源。所以，一般都是將一樣處理器、相近型號系列并且配置與物理位置接近的效勞器——比方相近型號、物理距離不遠的機架式效勞器或者刀片效勞器。在做資源池規(guī)劃的時候，也需要考慮其規(guī)模和功用。如果單個資源池的規(guī)模越大，可以給云計算平臺提供更大的靈活性和容錯性：更多的應用可以部署在上面，并且單個物理效勞器的宕機對整個資源池的影響會更小些。但是同時，太大的規(guī)模也會給出口網絡吞吐帶來更大的壓力，各個不同應用之間的干擾也會更大。如果有條件的話，通常推薦先審視一下自身的業(yè)務應用?？梢钥紤]將應用分級，將*些級別高的應用盡可能地放在*些獨立而規(guī)模較小的資源池，輔以較高級別的存儲設備，并配備高級別的運維值守。而那些級別比擬低的應用，則可以被放在那些規(guī)模較大的公用資源池〔群〕中。初期的資源池規(guī)劃應該涵蓋所有可能被納管到云計算平臺的所有效勞器資源，包括那些為搭建云計算平臺新購置的效勞器、校園部那些目前閑置著的效勞器以及那些現(xiàn)有的并正在運行著業(yè)務應用的效勞器。在云計算平臺搭建的初期，那些目前正在為業(yè)務系統(tǒng)效勞的效勞器并不會直接被納入云計算平臺的管轄。但是隨著云計算平臺的上線和業(yè)務系統(tǒng)的逐漸遷移，這些效勞器也將逐漸地被并入云計算平臺的資源池中。對于*86系列的效勞器，除了用于生產系統(tǒng)的資源池以外，還需要專門搭建一個測試用資源池，以便云計算平臺工程實施過程以及平臺上線以后運維過程中使用。在云計算平臺搭建完畢以后，效勞器資源池可以如下列圖所示：在云計算平臺上線以后，原有非云計算平臺上的應用會逐步向云計算平臺遷移，空出的效勞器資源池也會逐漸并入云計算平臺的資源池中。其狀態(tài)可以用下列圖所示：存儲設計對云計算平臺存儲的規(guī)劃的出發(fā)點應該是應用本身。首先應該考察每個業(yè)務應用的優(yōu)先級，以及其對存儲性能、可靠性與靈活性的要求。對那些需要高性能與高可靠性的云計算應用，原則上應該為其或者其所在的資源池配備性能、可靠性較好的高端的存儲。而對于那些對靈活性要求較高的業(yè)務應用，則應該考慮為其或其所在的資源池配備靈活性比擬好的存儲虛擬化方案。如果應用足夠重要，在設計存儲架構的時候還應該考慮存儲級別的備份，以對各個節(jié)點可能出現(xiàn)的故障做冗余。比方，可以采用雙存儲交換機互為熱備的形式，來防止存儲用光纖交換機所出現(xiàn)的故障可能。同樣，該資源池后面所拖的存儲，也可以采用雙存儲熱備的形式。為該資源池的主存儲購置一個型號一樣的備用存儲效勞器并通過磁盤對磁盤的備份方式，對兩個存儲效勞器上的數(shù)據(jù)進展同步。這樣，資源池、交換機和存儲效勞器的關系可以如下列圖所示：對于共享存儲資源池，根據(jù)具體資源池上所運行的業(yè)務類型的特性，也可以考慮為其配備各種類型的存儲。對于運行關鍵應用的生產系統(tǒng)，推薦配備SAN架構的存儲解決方案。而對非關鍵應用的生產系統(tǒng)，可以根據(jù)預算，靈活地配備SAN、iSCSI或者NAS的存儲解決方案。本地存儲設計效勞器本地存儲用于安裝虛擬化平臺〔如CloudVirtualizationManager和CloudVirtualizationKernel〕和保存資源池的元數(shù)據(jù)。本地存儲建議配置兩塊SAS硬盤，設置為RAID-1，通過鏡像〔Mirror〕方式防止本地磁盤出現(xiàn)單點故障，以提高H3Cloud本身的可用性。遠端共享存儲設計遠端共享存儲用于保存所有虛擬機的鏡像文件以支持動態(tài)遷移、HA和動態(tài)負載均衡等高級功能。共享存儲LUN容量規(guī)劃公式如下：LUN容量=〔Z×〔*+Y〕×1.2〕Z=每LUN上駐留的虛擬機個數(shù)*=虛擬磁盤文件容量Y=存大小假設每個LUN上駐留10個虛擬機，虛擬磁盤文件容量需求平均為40GB，存容量在4～8GB之間，考慮到未來業(yè)務的擴展性，存交換文件按8GB空間估算，整體冗余20%，則：LUN容量=〔10×〔8+40〕×1.2〕≈600GBISO庫為了虛擬機安裝配置的方便，建議配置ISO鏡像庫，可以將保存在Windows共享中的ISO格式安裝源文件通過WindowsCIFS方式掛接在H3CloudHyperCenter上，這樣，創(chuàng)立新虛擬機時不需要使用物理光驅和光盤，簡化使用和提高安裝速度。虛擬化平臺設計傳統(tǒng)的虛擬機生命周期是指虛擬機從創(chuàng)立到刪除所經歷的各個階段，最常見的劃分為“創(chuàng)立、運行、終結〞三個階段。在IaaS架構中，虛擬機作為最為重要的IT根底設施，它的生命周期貫穿于整個云業(yè)務效勞的流程之中，并直接關系著云計算平臺的資源利用狀況。因此，為了更好的將虛擬機的生命周期管理和云業(yè)務及資源平臺管理結合在一起，在H3Cloud云計算解決方案中，將虛擬機的生命周期外延為“規(guī)劃、創(chuàng)立、運行、調整、終結〞五個階段。在云解決方案中，虛擬機生命周期的管理除了關注虛擬機正常的生命階段以外，還需要關注虛擬機兩個外延屬性——業(yè)務和資源。規(guī)劃虛擬機的規(guī)劃是IT架構的關鍵設計疇。在這個階段需要將業(yè)務需求轉化為IT需求，并落實到業(yè)務和資源兩個方面的規(guī)劃設計中來。著重考慮兩個方面的容：業(yè)務梳理和評估通過對業(yè)務的梳理，評估各學校以及數(shù)據(jù)中心平臺各業(yè)務部門對虛擬機類型和規(guī)模的需求定義各部門組織以及給組織劃分其所屬的虛擬資源，包括計算資源，網絡資源，存儲資源以及虛擬機模板等。實際操作流程如下列圖所示：創(chuàng)立虛擬機的創(chuàng)立是虛擬機實體誕生并提供應用戶業(yè)務的開場。H3Cloud云方案提供了多種方式來創(chuàng)立虛擬機：從模板生成，自定義參數(shù)，克隆等。虛擬機創(chuàng)立時需要考慮硬件資源〔CPU數(shù)量〔核數(shù)〕&CPU調度優(yōu)先級，IO資源：存儲資源&IO優(yōu)先級。存大小，網絡資源等〕和系統(tǒng)和應用〔操作系統(tǒng)等〕〕兩方面的容。這些因素在H3C云管理平臺中虛擬機創(chuàng)立流程中都會有涉及，具體操作界面如下列圖所示：運行虛擬機的運行可以實現(xiàn)完整的傳統(tǒng)物理機運行狀態(tài)。而且依托虛擬化技術實現(xiàn)更加靈活的虛擬機使用模式：啟動、休眠、關閉、暫停、恢復、重啟。用戶可以依托H3C云管理平臺簡單的實現(xiàn)上述虛擬機的狀態(tài)的切換，具體如下列圖所示：調整虛擬機的調整是云業(yè)務管理員根據(jù)虛擬機所承載的業(yè)務的變化需求對現(xiàn)有虛擬機所占資源的主動行為。這種調整可以是由于業(yè)務擴展帶來的虛擬機硬件資源擴，也可能是業(yè)務收縮后對多余資源的釋放。虛擬機的調整是云計算業(yè)務資源彈性最直觀的表達，也是云計算技術給教育業(yè)務開展帶來敏捷性的根本所在。H3C云計算平臺可以在線的調整虛擬機所占用的系統(tǒng)資源，實際操作如下列圖所示：終結如下列圖所示，虛擬機在云計算管理平臺上被刪除，即意味著虛擬機生命周期的終結。在虛擬機生命周期終結時要關注虛擬機所占用系統(tǒng)資源的回收。H3C云管理平臺在虛擬刪除后，會自動回收CPU和存等資源，為了保證虛擬機數(shù)據(jù)平安其所占用的存儲資源不會自動回收。云平臺系統(tǒng)設計云業(yè)務工作流程在“IT即效勞〞的云計算平臺系統(tǒng)中，IT效勞的自助式提供和業(yè)務自動化部署是云計算業(yè)務的關鍵特點。而上述特點均依賴于云業(yè)務部署流程的合理管理和業(yè)務自動化部署的結合。通過云業(yè)務工作流程的管理，可以將云計算平臺中各功能模塊有機的結合起來。從而實現(xiàn)云計算平臺業(yè)務快速和自動化開展實施。云業(yè)務工作流作為一個公共根底系統(tǒng)貫穿了云平臺業(yè)務過程，最終實現(xiàn)IT效勞的對業(yè)務部門的自助式交付。H3C云計算解決方案基于Web頁面提供了完整的端到端云業(yè)務工作流程管理。其業(yè)務工作流程如下列圖所示:用戶訪問自助門戶完成身份認證和權鑒效勞目錄根據(jù)用戶身份〔所屬部門〕組織對應的效勞目錄，并推送到用戶自助門戶用戶在自己對應的效勞目錄中選擇申請所需的云效勞，從而啟開工作流管理員審批用戶的效勞自助申請。審批通過后，啟動業(yè)務開啟流程，將效勞申請下發(fā)到編排系統(tǒng)編排系統(tǒng)根據(jù)用戶所選的效勞獲取對應的資源屬性，自動調用云資源管理平臺接口開通所需的計算、網絡、存儲資源，創(chuàng)立出用戶所申請的虛擬機虛擬機創(chuàng)立成功后，編排系統(tǒng)通知用戶自助門戶更新狀態(tài)用戶正常使用虛擬機資源〔刪除虛擬機亦參照此流程〕虛擬桌面部署桌面虛擬化解決方案在不改變用戶使用習慣的前提下，將傳統(tǒng)學校用戶桌面系統(tǒng)以虛擬機的形式提供應終端用戶。這些虛擬機運行于云計算數(shù)據(jù)中心的虛擬計算資源池中，共享數(shù)據(jù)中心的計算、網絡、存儲資源，從而有效的實現(xiàn)了整個教育城域網IT資源的彈性部署。依托云計算管理平臺和云業(yè)務工作流程，系統(tǒng)可以自動化部署用戶自助申請的虛擬桌面資源，部署完成后用戶即可使用。從而極大的提升了桌面應用的彈性和效率。另一方面，云平臺業(yè)務管理人員可以通過管理通道遠程集中式管理教育系統(tǒng)各用戶的虛擬桌面系統(tǒng)。防止了管理人員上門效勞，效率低下等傳統(tǒng)桌面系統(tǒng)的問題。綜上所述，桌面虛擬化系統(tǒng)具備有效保障關鍵數(shù)據(jù)的平安性，IT硬件資源的彈性部署，增強桌面系統(tǒng)的靈活性的同時，增強了桌面系統(tǒng)的可管理性并降低了總體擁有本錢和維護本錢。如上圖所示，為了實現(xiàn)虛擬桌面業(yè)務系統(tǒng)的搭建。云平臺業(yè)務管理員首先需要依照流程搭建好云計算業(yè)務平臺，包括計算資源池、根底網絡平臺、存儲資源池、云業(yè)務管理平臺幾個關鍵組件。值得注意的是，在設計實施云業(yè)務平臺之前，云業(yè)務管理員需要對各云平臺以及各個學校業(yè)務進展梳理和評估。通過細分各部門、各學校的業(yè)務需求，可以根據(jù)、需求事先定制其所需的虛擬桌面類型，從而簡化日常終端用戶的虛擬桌面申請和審批業(yè)務流程。同時，虛擬機的管理通道也需要在云業(yè)務平臺設計時充分考慮并實施。依托H3C專利技術，H3C云計算解決方案有效保障了虛擬機遷移時管理系統(tǒng)的正常運行。H3C桌面虛擬化解決方案可以實現(xiàn)虛擬桌面的自動化業(yè)務工作流。首先，終端用戶登錄基于WEB的自助效勞平臺，完成身份認證和權鑒后，可以根據(jù)云業(yè)務管理員為其事先定制的虛擬桌面類型來按需選擇申請所需的虛擬桌面。終端用戶的申請審批通過后，云業(yè)務管理平臺可以自動部署用戶所申請?zhí)摂M桌面，完成IT效勞的自動化部署。用戶申請的虛擬桌面虛擬機創(chuàng)立完成后，云管理平臺會將更新后的用戶虛擬桌面狀態(tài)信息推送到自助效勞平臺。用戶即通過自助效勞平臺基于WEB頁面實現(xiàn)對申請到的虛擬桌面系統(tǒng)的正常使用。H3C用戶自助效勞業(yè)務平臺，如下列圖所示：**區(qū)教育城域網落成以后，可以為每個學校的教職工配發(fā)瘦客戶機取代原有的PC。教職工通過虛擬桌面的形式將自己所辦公所需要的信息和資源存放在位于區(qū)電教館的數(shù)據(jù)中心。電教館的網絡管理員可以為用戶制定虛擬桌面的系統(tǒng)使用權限，對其在系統(tǒng)上安裝和刪除軟件等行為進展控制，大大增強了整個教育城域網的可管理性，有效防止了用戶亂裝軟件等行為導致的信息平安事件。HA功能部署傳統(tǒng)數(shù)據(jù)中心的效勞器高可靠性保障通常會選擇依賴于集群技術的部署。而云計算平臺將計算資源虛擬化以后，可以利用虛擬效勞器自身虛擬化的特點實現(xiàn)傳統(tǒng)物理效勞器上無法實現(xiàn)的高可靠性。為了提升云業(yè)務系統(tǒng)的可靠性，在云計算平臺的計算資源池建立時，可以將多個物理主機合并為一個具有共享資源池的集群。H3CloudVirtualizationManagerHA功能會監(jiān)控該集群下所有的主機和物理主機運行的虛擬主機。當物理主機發(fā)生故障，出現(xiàn)宕機時，HA功能組件會立即響應并在集群另一臺主機上重啟該物理主機運行的虛擬機。當*一虛擬效勞器發(fā)生故障時，HA功能也會自動的將該虛擬機重新啟動來恢復中斷的業(yè)務。如下列圖所示：HA功能給教育云計算平臺帶來的價值如下：簡便的設置和啟動：使用“新建集群〞向導來進展初始設置，使用H3CloudCloudVirtualizationManager虛擬化管理平臺添加主機和新的虛擬機。降低硬件本錢和設置：在傳統(tǒng)集群解決方案中，必須有重復的軟硬件，而且各個組件必須正確連接和配置。使用H3CloudVirtualizationManager集群時，只要保證有足夠的資源容納要確保其故障切換的主機的數(shù)量，就可以便捷自動地完成主機故障切換。無論硬件和操作系統(tǒng)平臺如何，H3CCloudVirtualizationManagerHA都通過為應用程序提供可用的、經濟的高可靠性，而使其更“群眾化〞。動態(tài)資源調整H3CloudVirtualizationManager提供的動態(tài)資源調整功能可以持續(xù)不斷地監(jiān)控計算資源池的各物理主機的利用率，并能夠根據(jù)用戶業(yè)務的實際需要，智能地在計算資源池各物理主機間給虛擬機分配所需的計算資源。通過自動的動態(tài)分配和平衡計算資源，動態(tài)資源調整特性能夠：整合效勞器，降低IT本錢，增強靈活性；減少停機時間，保持業(yè)務的持續(xù)性和穩(wěn)定性；減少需要運行效勞器的數(shù)量，提高能源的利用率。隨著業(yè)務量的增長，虛擬機對計算資源需求會相應的迅速增加。此時其所在物理主機的可用資源可能就不能再滿足其上承載的虛擬機的計算需要。H3CloudVirtualizationManager動態(tài)資源調整功能組件可以自動并持續(xù)地平衡計算資源池中的容量，可以動態(tài)的將虛擬機遷移到有更多可用計算資源的主機上，以滿足虛擬機對計算資源的需求。即便大量運行SQLServer的虛擬機，只要開啟了動態(tài)資源調整功能，就不必再對CPU和存的瓶頸進展一一監(jiān)測。全自動化的資源分配和負載平衡功能，也可以顯著地提升數(shù)據(jù)中心計算資源的利用效率，降低數(shù)據(jù)中心的本錢與運營費用。如上圖所示，動態(tài)資源調整功能通過心跳機制，定時監(jiān)測集群主機的CPU利用率，并根據(jù)用戶自定義的規(guī)則來判斷是否需要為該主機在集群尋找有更多可用資源的主機，以將該主機上的虛擬機遷移到另外一臺具有更多適宜資源的效勞器上。虛擬機備份隨著云平臺對IT信息化系統(tǒng)的依賴加深，業(yè)務系統(tǒng)備份是必不可少的組件。相應的，在云計算平臺中，針對計算資源池中虛擬機備份也至關重要。H3CloudVirtualizationManager實現(xiàn)了透明的定時備份和即時備份功能，會在暫停虛擬機中的應用程序之后，為正在運行的虛擬機創(chuàng)立快照，從而對備份工作進展集中處理，以確保文件系統(tǒng)的一致性。如下列圖所示，H3CloudVirtualizationManager的備份特性是一種高效而低本錢的災難恢復特性，它將給用戶帶來如下價值：基于磁盤的備份功能，為虛擬機提供快速、簡單的數(shù)據(jù)保護無需額外代理的備份，簡化了部署復雜度支持全自動的定時備份和手工干預的即時備份，滿足不同的應用要求云通道建立——城域網/校校通方案需求分析**區(qū)教育局下屬14所中學、35所小學、6所幼兒園和6所直屬單位，目前各學?，F(xiàn)有的網絡環(huán)境為各學校擁有自己的網絡出口，學校通過公網訪問教育局資源。隨著信息技術高速開展以及教育信息化進度不斷推進，未來各學校和教育機構之間將有越來越多的資源需要整合、開放、共享，最終形成一個互聯(lián)、互動、信息交換、資源共享和遠程教育的根底架構。未來各學校將會開展遠程教學、多媒體網絡教室、電子書包等多種業(yè)務應用。一旦這些業(yè)務上線，**區(qū)教育系統(tǒng)現(xiàn)有的網絡架構將會暴露出帶寬低、可靠性差、平安性低、管理困難等一些列問題。因此，**區(qū)教育系統(tǒng)需要對網絡架構進展升級，通過組建教育城域網的方式提高網絡的性能、可靠性和平安性。同時，將各學校和教育局通過專網互聯(lián)，并統(tǒng)一網絡出口，可以大大簡化網絡的管理難度。鏈路選擇目前，能夠為**區(qū)教育城域網提供鏈路資源的有四家運營商，每家運營商采用的技術和所需費用都不盡一樣。無論運營商采用什么技術，對學校而言，只要運營商能為每個學校提供一個到教育局的專用二層鏈路,保證帶寬即可。方案設計**區(qū)教育城域網的整體拓撲如下列圖所示，其中紅框局部為校校通平臺：接入層網絡設計**區(qū)教育城域網的校校通平臺為核心到接入的兩層架構。其中接入層局部即每個學校的網絡，這一局部保持學校現(xiàn)有的網絡構造不變，在此根底上在每個學校的出口增加一臺統(tǒng)一威脅網關U200作為學校的出口網關，負責每個學校部系統(tǒng)的平安防護、用戶的帶寬控制、頁面過濾、應用層過濾等。U200不僅能夠全面有效的保證用戶網絡的平安，還支持SNMP和TR-069網管方式，最大化減少設備運營本錢和維護復雜性。除了根本的防火墻功能外，管理員通過U200可以對每個學校的網絡實現(xiàn)以下管理：病毒防護：采用Kaspersky公司的流引擎查毒技術，從而迅速、準確查殺網絡流量中的病毒等惡意代碼。垃圾防護：可以攔截垃圾，凈化系統(tǒng)，解決垃圾對正常工作的干擾問題。URL過濾：實現(xiàn)基于用戶的URL訪問控制，防止因瀏覽惡意或未授權的(如網絡釣魚攻擊)而帶來的平安威脅。流量管理：能準確檢測BitTorrent、Thunder〔迅雷〕、QQ等P2P/IM應用，提供告警、限速、干擾或阻斷等多種方式，保障網絡核心業(yè)務正常應用。行為審計：可對各種P2P/IM、網絡游戲、和數(shù)據(jù)傳輸?shù)刃袨樘峁┘氈碌谋O(jiān)控和記錄，實現(xiàn)細粒度的網絡行為審計管理。通過以上管理手段，管理員能夠保證學校部網絡的平安性，有效利用學校出口帶寬，同時對用戶上網行為進展管理和記錄，以便于網絡平安事件發(fā)生后的審計。核心層網絡設計城域網的核心層局部采用“兩網一核心〞的建立思路：城域網和數(shù)據(jù)中心共用一套網絡核心，即采用兩臺S10508核心交換機，通過IRF2技術虛擬成一臺設備，作為整個網絡的核心。H3CS10500系列交換機采用了先進的CLOS架構，每一臺交換機都有兩個核心的處理平面，即控制平面和業(yè)務處理平面。控制平面主要由主控板、接口板上的控制單元構成，完成協(xié)議處理、路由表維護、數(shù)據(jù)配置和設備管理等控制功能。業(yè)務處理平面主要由接口板上的高速業(yè)務處理單元〔ASIC芯片〕和集成在交換網板板上的交換網構成，具備業(yè)務處理、報文交換和報文轉發(fā)等功能?？刂仆ǖ溃航涌诎濉⒕W板通過專用通道分別連到主備控制板上的管理模塊。實現(xiàn)雙主控1＋1、多交換網N＋1的熱備份，提高系統(tǒng)的可靠性。業(yè)務通道：交換網芯片置于交換網板，接口板通過高速通道分別連到交換網板上的交換網?？刂破矫婧蜆I(yè)務處理平面相互獨立，互不影響，如下列圖所示。采用這樣主控板與交換網板別離的架構，大大提高了設備性能的可擴展性，如果未來需要提高核心交換機的性能，無需更換機箱和引擎，只需升級交換網板即可。同時提高了設備的可靠性，由于主控板和交換板別離，即使在主控板故障的情況下，現(xiàn)有的業(yè)務流量仍能通過交換網板繼續(xù)轉發(fā)。采用IRF2虛擬化技術后，網絡核心構造變得更簡單、更可靠、更高效。更簡單網絡簡化需要解決網絡構造的簡化，網絡業(yè)務的簡化，以及管理維護的簡化這三方面的問題。通過在從核心到接入的整網部署IRF2技術，多臺物理設備虛擬成一臺統(tǒng)一的邏輯設備，不但網絡構造簡單清晰，原先需要每臺設備逐一配置，現(xiàn)在只需配置一次即可，大大簡化了設備的管理維護。此外，相比傳統(tǒng)網絡生成樹+VRRP的部署方式，啟用IRF2以后，二層不再需要配置生成樹，也不再需要復雜的生成樹多實例的規(guī)劃，三層不再需要配置VRRP，不再需要復雜的路由規(guī)劃和大量的IP地址消耗，從而簡化了網絡業(yè)務。更可靠IRF的高可靠性表達在鏈路級、協(xié)議級和設備級三個方面。鏈路級：成員設備之間的物理端口支持聚合功能，IRF系統(tǒng)和上、下層設備之間的物理連接也支持聚合功能，這樣，通過多鏈路備份提高了鏈路的可靠性。協(xié)議級：IRF系統(tǒng)提供實時的協(xié)議熱備份功能，負責將協(xié)議的配置信息備份到其他所有的成員設備，從而實現(xiàn)1：N的協(xié)議可靠性。設備級：IRF系統(tǒng)由多臺成員設備組成，Master設備負責系統(tǒng)的運行、管理和維護，Slave設備在作為備份的同時也可以處理業(yè)務。一旦Master設備故障，系統(tǒng)會迅速自動選舉新的Master，以保證通過系統(tǒng)的業(yè)務不中斷，從而實現(xiàn)了設備級的1：N備份。相比傳統(tǒng)的二層生成樹技術和三層的VRRP技術，其收斂時間從N秒級縮短到毫秒級。更高效：對高端交換機而言，性能和端口密度的提升會受到其硬件構造的限制，而IRF系統(tǒng)的性能和端口密度是IRF部所有設備性能和端口數(shù)量的總和。因此，IRF技術能夠輕易的將設備的核心交換能力、用戶端口的密度擴大數(shù)倍，從而大幅度提高單臺設備的性能。此外傳統(tǒng)的生成樹等技術為了防止環(huán)路的發(fā)生，會采用阻斷一條鏈路的方式，而IRF2可以通過跨設備聚合等特性，讓原本“Active-standby〞的工作模式，轉變成為負載分擔的模式，從而提高整網的運行效率。城域網的核心層設計在保證了高性能和高可靠性的根底上，還充分考慮了網絡的平安性。本方案過在S10508交換機上部署防火墻插卡、IPS插卡和應用控制網卡插卡的方式，對整個城域網的用戶和數(shù)據(jù)中心進展統(tǒng)一平安防護。出口區(qū)域網絡設計**區(qū)教育城域網采用統(tǒng)一出口的方式組網，在區(qū)電教館申請兩條出口鏈路，一條連接到市教育城域網，一條連接到internet。每個學?；蚪逃龁挝挥脩粼L問教育網或互聯(lián)網的流量最終都匯總到這兩條鏈路上。該處選用H3CSR6600路由器作為出口路由器。作為教育城域網的出口路由器，需要的不是復雜的路由協(xié)議和大規(guī)格的路由表項，而是強大的NAT能力。SR6602-*憑借其先進的多核高性能處理技術，提供專門的核處理NAT轉發(fā)。當并發(fā)200萬NAT連接時，256字節(jié)以及IMI*互聯(lián)網混合報文的NAT轉發(fā)性能超過10Gbps?？梢猿浞譂M足**區(qū)教育城域網對出口網關設備的性能要求。除了對NAT性能的高要求外，**區(qū)教育城域網出口面臨的另一個問題是出口鏈路帶寬的充分利用問題。教育城域網落成以后將不只擁有一個公網出口，如何充分利用這些出口帶寬，從而提高整個城域網用戶的上網體驗是本次建網必須考慮的問題。這里涉及到兩種情況：第一種情況是在幾條不同的運營商鏈路之間，傳統(tǒng)的出口設備工作方式是基于目的地址來進展選路。而由于中國運營商開展現(xiàn)狀的南北差異，中國電信在南方擁有的網絡資源較多，導致用戶訪問公網時大局部流量將從電信的鏈路流出，中國聯(lián)通的鏈路多數(shù)情況下處于空閑狀態(tài)。這樣就會使得一方面電信鏈路擁塞，用戶訪問網絡不暢，一方面聯(lián)通鏈路空閑，造成資源浪費。第二種情況是在同一運營商的鏈路之間，例如**區(qū)教育城域網申請了300M的電信帶寬，中國電信以1條200M和1條100M兩條出口鏈路的方式提供了300M帶寬。此時由于用戶訪問的目的地址都是電信地址，出口設備無法判斷數(shù)據(jù)是從鏈路1走還是從鏈路2走，此時路由器會在兩條鏈路之間進展負載均衡，而一旦出口流量過大，就會導致一條鏈路擁塞，進而影響用戶上網。這對以上兩種情況，本方案采用的出口網關設備SR6602-*路由器擁有鏈路負載均衡功能，利用加權負載均衡、動態(tài)鏈路檢測等多種算法，有效的將流量按需分配到多條鏈路上，充分利用所有鏈路的資源，從而提升用戶對網絡的使用體驗。城域網行為審計設計**區(qū)教育成語落成后，所屬圍的所有中小學用戶都將使用該網絡訪問教育網和公網的資源。根據(jù)"互聯(lián)網平安保護技術措施規(guī)定〔公安部令第82號〕"規(guī)定，互聯(lián)網效勞提供者和聯(lián)網使用單位應當對網絡的平安保護負責，其中包括網絡攻擊防、數(shù)據(jù)庫容災、網絡使用人員的信息記錄等。因此，對用戶的上網行為審計是本次建立城域網時必須考慮的因素。本方案對用戶上網行為提供了兩級審計功能，如下列圖所示：拓撲圖第一級的行為審計設立在每個學校的出口網關U200上。U200可對各種P2P/IM、網絡游戲、和數(shù)據(jù)傳輸?shù)刃袨樘峁┘氈碌谋O(jiān)控和記錄，實現(xiàn)細粒度的網絡行為審計管理。每個學校的管理員可以通過免費發(fā)放給學校的UTMManager管理系統(tǒng)Mini版管理自己學校的出口設備，審計用戶的上網行為，一旦出現(xiàn)信息平安事件，可以根據(jù)有關部門提供的時間和IP地址以及違規(guī)的上網行為定位到責任人。電教館的網絡管理員可以通過部署在電教館的UTMManager管理系統(tǒng)對全區(qū)的UTM設備進展統(tǒng)一管理，統(tǒng)一規(guī)劃。第二級行為審計設立在城域網的核心，通過S10508上的應用網關插卡來實現(xiàn)對全網用戶的行為審計。S10508的應用網關ACG插卡具備實時的應用流量監(jiān)控和用戶上網行為審計兩大功能。管理員可以通過ACG實現(xiàn)對整網業(yè)務流量的實時監(jiān)控，可基于整網、區(qū)域、業(yè)務類型〔如P2P類、游戲類〕、用戶/用戶組等，實時分析網絡應用流量趨勢、流量組成、Top用戶流量、Top業(yè)務分布等，通過實時了解當前網絡應用流量的明細信息，利于管理員直觀的了解最新網絡流量狀況，監(jiān)控突發(fā)異常流量，并做出快速排查，確保整網網絡業(yè)務的有序運行。除此之外，管理員還可以通過ACG對用戶Web應用、FTP傳輸、交互、IM聊天等各種上網應用提供全方面的行為監(jiān)控和記錄；同時，通過綜合分析、檢測用戶網絡流量與流向趨勢，對歷史數(shù)據(jù)進展分析，為用戶提供細粒度的網絡應用審計管理系統(tǒng)，準確跟蹤、定位用戶的網絡行為。同時，ACG通過和本方案提供的身份認證系統(tǒng)EAD對接，可以實現(xiàn)基于用戶身份的流量分析、流量統(tǒng)計與審計的管理，有效解決動態(tài)IP分配難以定位到上網用戶的問題。管理員通過本方案管理區(qū)部署的iMCSecCenter組件，對所有的U200和ACG設備進展統(tǒng)一的設備管理和記錄分析，多點檢測、多點核實，最終實現(xiàn)平安事件定位到人。云接入建立——班班通方案需求分析隨著信息技術的不斷開展，包括多媒體教室逐漸普及，教育網絡的建立已經開場不滿足于為教職工提供網絡效勞，而是開場轉向效勞課堂教學。多媒體教室利用資源公共效勞平臺的優(yōu)質教學資源，基于電子書包、電子白板等終端的使用，在課堂上開展互動式教學、興趣教學的容。電子書包終端通常以平板電腦的方式呈現(xiàn)，人手一本，因此在班級建立無線網絡成為班班通的重要容，也使得中小學在教學模式和管理模式上更加多樣化；網絡方案設計無線方案拓撲如下列圖所示：本方案采用瘦AP架構，分布式AC的管理方式。具體而言是在每個學校都采用瘦AP架構：在辦公區(qū)、教學區(qū)的走廊或房間部署802.11N的AP，負責用戶的無線接入，在校園網的核心處部署分支無線控制器，負責對全校AP的統(tǒng)一管理。H3C無線技術特點：智能天線：H3C創(chuàng)新推出終端感性型智能天線,室AP置4個天線陣子,可形成16種波形,基于特征和協(xié)議的射頻優(yōu)化，不同距離、不同場景的針對性智能覆蓋，覆蓋距離更遠，信號強度更強更穩(wěn)定，吞吐量更高。頻譜分析防護：頻譜分析技術可實現(xiàn)對低層頻譜的檢測,可以分析報告出2.4G及5G頻譜圍的非WiFi設備干擾,可100%確定干擾源,包括2.4G跳頻攝像頭,無繩,藍牙,微波爐,2.4G跳頻基站或其他設備等；通過無線AP自帶的RF監(jiān)測硬件，可實現(xiàn)全覆蓋區(qū)的射頻質量分析、避讓、存儲、追溯、回放等。針對國無線校園、無線醫(yī)院等場景優(yōu)化的RRM算法，可以實現(xiàn)更精準的信道干擾感知與射頻調整能力。不同業(yè)務應用識別與Qos保障：多媒體、語音等業(yè)務在無局域網中的應用，使得原本緊的無線空口資源更加捉襟見肘。由于空口資源的特殊性，傳統(tǒng)有線網絡的QoS技術無法直接應用在無線局域網中。IEEE802.11e標準的引入，解決了此問題。作為802.11e標準的前身和子集的WMM標準，提供了根本的無線QoS解決方案，可以實現(xiàn)高速突發(fā)數(shù)據(jù)和流量分級。但是，802.11e只解決了無線空口的QoS，沒有解決如何在全網，包括AP－AC間的有線網絡實現(xiàn)端到端的QoS。H3C無線產品端到端的QoS解決方案不僅解決了無線接入點和無線用戶直接在無線介質上的QoS，而且還通過將無線用戶的優(yōu)先級映射到AP－AC間的CAPWAP隧道上，保證了AP－AC間無線用戶的QoS。同時，作為增強，還實現(xiàn)了AP限速以限制通過CAPWAP隧道到達AP的數(shù)據(jù)流量。只要在報文進入AC的接口進展映射處理，之后設備會自動在轉化為802.11報文的時候將本地優(yōu)先級轉化為WMM的優(yōu)先級。具有QoS能力的STATION和無線接入點AP之間，通訊各方采用EDCA競爭無線信道；無線接入點AP和無線控制器AC之間建立有CAPWAP隧道，通過配置端口信任模式和映射關系，可以實現(xiàn)無線802.11e優(yōu)先級與CAPWAP隧道外層的IP置DSCP和802.1p優(yōu)先級的相互映射關系，從而保證AP和AC之間的QoS效果。此外，無線控制器AC及有線網絡中其他設備上還可以設置流分類、優(yōu)先級標記、流量限速、隊列調度等靈活的QoS策略，從而實現(xiàn)全網QoS的定制。下一代無線網絡〔IPV6〕全面支持：IPV4地址已經目前是通過技術手段來人為延長v4壽命；純粹IPv6透傳不能滿足教學科研需求，將來也是信息孤島。支持IPv4/v6雙協(xié)議棧，全面支持IPv6已是必然。H3C所有無線產品支持IPv6Portal、IPv6SAVI、CAPWAPOverIPv6、ACL6、DNS6、TraceRT6、Telnet6等技術。智能無感知認證：能夠進展無感知認證準入，準入后可以對移動終端定制區(qū)別于“固定終端〞不同的策略.首次認證后下次無需再次認證即可入網.綠色環(huán)保：所有AP采用專業(yè)綠色低碳設計，支持動態(tài)MIMO省電模式(DMPS)與增強型自動省電傳送(E-APSD)，智能辨識終端實際性能需求，合理化調配終端休眠隊列，動態(tài)調整MIMO工作模式。支持GreenAP模式，實現(xiàn)單天線待機，節(jié)能更精準。通過創(chuàng)新性的逐包功率控制(PPC)技術，在確保報文能成功傳輸?shù)那疤嵯聞討B(tài)調節(jié)AP設備和客戶端直接的雙向功率，以到達減少設備能耗和延長移動終端待機時間的作用。身份認證方案設計通過以上云數(shù)據(jù)中心、運通道以及云平臺的建立，**區(qū)教育城域網將建成一個教職工以及學生可以隨時隨地獲取教育資源的網絡，極大的方便了教學工作展開的同時也帶來一些隱患：一、部網絡終端缺乏網絡用戶識別、準入機制A．任何外來人員或客戶只要將計算機插入網線，就可以進入部網絡各個區(qū)域，其中沒有任何身份的認證和平安措施，如知道相關應用系統(tǒng)的及密碼，就可以訪問相關的應用數(shù)據(jù)，對整個網絡和應用造成很大的平安威脅。網絡的終端全部都是基于工作組的模式，沒有進展網絡域的集中管理模式和相關的策略性的定義。對正常接入的PC沒有進展安康性的檢查和指導用戶進展修復，以及不能對達不到平安要求的PC采取隔離措施二、終端平安管理的平安防護控制措施缺乏，也沒有集中管控、審計和標準化等手段進展管理A、無法確保這些終端是否安裝了防病毒軟件、更新了系統(tǒng)補丁和病毒代碼，現(xiàn)時的終端的防病軟件部署率底，防病毒軟件也不統(tǒng)一，時常發(fā)生感染病毒、間諜軟件等的問題，存在很大的平安隱患；B、用戶是否安裝了必須使用的軟件，是否安裝了非工作使用的軟件，硬件配置，軟件配置，年終盤點的報表和信息的收集，都無法進展確認和收集；C、現(xiàn)時對網絡部出現(xiàn)的任何平安問題都無法及時發(fā)現(xiàn)、追蹤和審計。鑒于以上兩點，我們需要在完成城域網資源中心和根底網絡建立的同時，建立一套用戶身份和接入設備的區(qū)分機制，以保障城域網的信息平安。在這個背景下，本方案采用終端準入控制系統(tǒng)EAD，負責對全網用戶進展身份認證和終端的準入控制。該方案具有網絡準入控制、終端平安管理和桌面及資產管理三大功能。在有線接入的網絡環(huán)境中，將接入層設備作為平安準入控制點，對試圖接入網絡的用戶終端進展平安檢查，強制用戶終端進展防病毒、操作系統(tǒng)補丁等企業(yè)定義的平安策略檢查，防止非法用戶和不符合企業(yè)平安策略的終端接入網絡，降低病毒、蠕蟲等平安威脅在企業(yè)擴散的風險。由于接入層交換機對端口部署了802.1*認證，所有非法用戶將不能訪問企業(yè)部網絡。并且認證通過前，用戶終端之間無法實現(xiàn)互訪。合法用戶接入網絡后，其訪問權限受接入交換機中的ACL控制。特定的效勞器只能由被授權的用戶訪問。合法用戶接入網絡后，其互訪權限受接入交換機中的VLAN控制。不同角色的用戶分屬不同的VLAN，跨VLAN的用戶不能互訪〔受組網方式限制〕。用戶正常接入網絡前，必須通過平安客戶端的平安檢查，確保沒有感染病毒且病毒庫版本和補丁得到及時升級。降低了病毒和遠程攻擊對企業(yè)網帶來的平安風險。通過使用iNode客戶端，可對用戶的終端使用行為進展嚴格管理，比方制止設置代理效勞器、禁用雙網卡、制止撥號等。在無線網絡環(huán)境中，在無線控制器上進展Portal認證，在無線用戶通過身份認證之前，只能訪問無線控制上指定的資源。合法用戶接入網絡后，其訪問權限受在無線控制器上下發(fā)的基于用戶的ACL控制。特定的效勞器只能由被授權的用戶訪問。用戶正常接入網絡前，必須通過平安客戶端的平安檢查，確保沒有感染病毒且病毒庫版本和補丁得到及時升級。降低了病毒和遠程攻擊對企業(yè)網帶來的平安風險。如果在AP間漫游時用戶IP未發(fā)生變化，則無需再次進展用戶身份認證。管理員可以為每一個在網用戶分配一套用戶名密碼，也可以和現(xiàn)有的Windows域或LDAP系統(tǒng)進展對接，直接使用現(xiàn)有的用戶名密碼。從而做到每一個用戶的實名認證。針對來訪專家、家長等外來用戶，還可以由正式用戶為其申請臨時訪客賬號，或通過啟用匿名用戶認證，并為匿名用戶設置適宜的平安策略〔比方限制資源訪問權限〕的方式解決訪客用戶的臨時上網需求，可以幫助管理員在不影響網絡平安策略實施前提下，減輕對臨時的管理工作量。無論是在有線還是無線網絡中，只要用戶的終端上安裝了iNode客戶端，就可以實現(xiàn)防病毒管理、強制更新系統(tǒng)補丁、制定軟件黑白、注冊表平安檢查、桌面及資產管理等平安功能，使系統(tǒng)管理員對在網的每一臺設備進展強管理，保障網絡的平安。針對**區(qū)教育城域網這種帶有分支機構的大型網絡，每個分支管理員都需要對自己的分支機構進展管理，比方自己的設備、用戶群組和平安策略等。為此，EAD推出了針對單套EAD系統(tǒng)的分權管理解決方案。分權管理包括用戶分權、設備分權和業(yè)務策略分權，只有總部管理員和分支機構的管理員能看到該分支的用戶信息、設備信息和平安策略信息，不同分支機構的管理員之間不能互相查看和修改其他分支的信息。云管理規(guī)劃——整網運維方案系統(tǒng)平安管理系統(tǒng)平安管理功能主要有包括：操作日志管理、操作員管理、分組分級與權限管理、操作員登錄管理等。所包含的主要功能有：操作員登錄管理管理員通過制定登錄平安策略約束操作員的登錄鑒權，實現(xiàn)操作員登錄的平安性，通過訪問控制模板約束操作員可以登錄的終端機器的IP地址圍，防止惡意嘗試另人密碼進展登錄的行為存在，通過密碼控制策略，約束操作員密碼組成要求，包括密碼長度、密碼復雜性要求、密碼有效期等，以約束操作員定期修改密碼，并對密碼復雜性按要求設置。操作員密碼管理管理員為操作員制定密碼控制策略，操作員僅能按照指定的策略定期修改密碼，以保證訪問iMC系統(tǒng)的平安性。分組分級權限管理管理員通過設備分組、用戶分組的設置，可以為操作員指定可以管理的指定設備分組和用戶分組，并指定其管理權限和角色，包括管理員、維護員和查看員，實現(xiàn)按角色、分權限、分資源〔設備和用戶〕的多層權限控制；同時通過設置下級網絡管理權限，可以通過限制登錄下級網絡管理系統(tǒng)的操作員和密碼，保證訪問下級網絡管理系統(tǒng)的平安性。操作日志管理對于操作員的所有操作，包括登錄、注銷的時間、登錄IP地址以及登錄期間進展的任何可能修改系統(tǒng)數(shù)據(jù)的操作，都會記錄詳細的日志。提供豐富的查詢條件，管理員可以審計任何操作員的歷史操作記錄，界定網絡操作錯誤的責任圍。操作員在線監(jiān)控和管理系統(tǒng)管理員通過“在線操作員〞可以實時監(jiān)控當前在線聯(lián)機登錄的操作員信息，包括登錄的主機IP地址、登錄時間等，同時，系統(tǒng)管理員可以將在線操作員強制注銷、禁用/取消禁用當前IP地址等控制操作。資源管理iMC資源管理與拓撲管理作為整體共同為用戶提供網絡資源的管理。本節(jié)講解iMC的資源管理，下節(jié)講解iMC的拓撲管理。通過資源管理可以：網絡自動發(fā)現(xiàn)可以通過設置種子的簡易方式、路由方式、ARP方式、IPSecVPN、網段方式等五種自動發(fā)現(xiàn)方式自學習網絡資源及網絡拓撲，自動識別包括：路由器、交換機、平安網關、存儲設備、監(jiān)控設備、無線設備、語音設備、打印機、UPS、效勞器、PC在的多種類型網絡設備；多種自動發(fā)現(xiàn)方式自動識別多種設備類型網絡手工管理可以手工添加、刪除網絡設備，可以批量導入、導出網絡設備，批量配置Telnet、SNMP參數(shù)，以及批量校驗Telnet參數(shù)等輔助功能；網絡視圖管理支持IP視圖、設備視圖、自定義視圖、下級網絡管理視圖等多種管理視圖，用戶可以從不同角度實現(xiàn)整個網絡的管理；網絡設備的管理從任何一種網絡視圖入口，都可以實現(xiàn)對網絡設備的管理，包括：支持對設備的管理/去管理、接口的管理/去管理、設備的詳細信息顯示和接口詳細信息顯示、設備和接口實時告警狀態(tài)、設備和接口的實時性能狀態(tài)、實時檢測存在故障的設備等，用戶可以方便的實現(xiàn)所有設備的管理；設備及業(yè)務管理系統(tǒng)的集成管理支持對H3C、CISCO、等主要廠家設備的管理，支持手工添加設備廠商、設備系列及設備型號；支持設備面板管理的動態(tài)注冊機制，實現(xiàn)與各廠家設備管理系統(tǒng)的有效集成；支持拓撲定位、ACL、VLAN、QoS等業(yè)務管理系統(tǒng)的集成，實現(xiàn)設備資源的統(tǒng)一管理；設備分組權限管理支持設備分組功能，通過對設備資源進展分組管理，系統(tǒng)管理員方便的分配其他管理員的管理權限，便于職責別離；拓撲管理iMC拓撲管理從網絡拓撲的解決直觀的提供應用戶對整個網絡及網絡設備資源的管理。拓撲管理包括：拓撲自動發(fā)現(xiàn)H3CiMC可以自動發(fā)現(xiàn)網絡拓撲構造，支持全網設備的統(tǒng)一拓撲視圖，通過視圖導航樹提供視圖間的快速導航。通過自動發(fā)現(xiàn)可以發(fā)現(xiàn)網絡中的所有設備及網絡構造〔具體參見資源管理〕，并且可以將非SNMP設備發(fā)現(xiàn)出來，只要設備可以ping通即可。這樣就可以將所有網絡設備都列入其管理圍〔只要設備IP可達〕。同時支持自動的拓撲圖呈現(xiàn)和自定義拓撲。自動拓撲可以自動將網絡中的邏輯連接關系顯示出來，同時可以保存為自定義拓撲圖并可根據(jù)具體情況進展修改以便于網管員對整個網絡設備的監(jiān)控。支持對全網設備和連接定時輪詢和狀態(tài)刷新，實時了解整個網絡的運行情況，并且刷新周期是可定制〔刷新周期：60～7200秒〕，同時也支持對多個設備的刷新周期進展批量配置的功能。支持自定義拓撲傳統(tǒng)的網絡管理軟件大多支持自動發(fā)現(xiàn)網絡拓撲的功能，但是自動發(fā)現(xiàn)后的網絡拓撲往往是很多設備圖標的簡單排放，不能突出重點設備和網絡層次，使網絡管理人員感覺無從下手。針對這種情況，H3CiMC的拓撲功能支持靈活的自定義功能，管理人員可以根據(jù)網絡的實際組網情況和設備重要性的不同靈活定制網絡拓撲，可對拓撲圖進展增、刪、改等編輯操作，使網絡拓撲能夠清晰地呈現(xiàn)網絡構造以及IT資源分布。H3CiMC支持靈活定制拓撲圖，使網絡拓撲更有重點和層次感。管理員可以按照關注設備不同，管理角度不同定義多種拓撲，并可以針對拓撲不同選擇不同的背景圖；管理員可以根據(jù)網絡設備的重要性不同，鏈路速率不同采用適宜的圖標顯示。自動識別各種網絡設備和主機的類型H3CiMC可以自動識別H3C、H3C、Cisco、等廠商的設備、Windows、Solaris的PC和工作站、其他SNMP設備和ping設備，并且以樹形方式組織，以不同的圖標顯示區(qū)分。在拓撲圖上更可進一步對設備的類型進展區(qū)分，如區(qū)分路由器、交換機、平安網關、存儲設備、監(jiān)控設備、無線設備、語音設備、打印機、UPS、效勞器、PC等等。設備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓撲圖上的直觀顯示H3CiMC的拓撲功能與故障管理和性能管理嚴密融合，使拓撲圖能夠清晰地看到***大學IT資源的狀態(tài)，包括運行是否正常、網絡帶寬、接口連通、配置變化都能一目了然。多種顏色區(qū)分不同級別故障，根據(jù)節(jié)點圖標顏色反映設備狀態(tài)。拓撲能提供設備管理便捷入口H3CiMC拓撲能夠提供對設備管理的便捷入口，管理員只需通過右鍵點擊拓撲圖中的設備圖標即可啟動設備管理各項功能，實現(xiàn)對設備的面板管理等各項功能配置。故障〔告警/事件〕管理故障管理，即告警/事件管理，是H3CiMC的核心模塊，是iMC智能管理平臺及其他業(yè)務組件統(tǒng)一的告警中心。如下列圖所示，以故障管理流程為引導，介紹H3CiMC強大的故障管理能力：告警發(fā)現(xiàn)和上報iMC告警中心可以按收各種告警源的告警事件，包括設備告警、本級網管站及下級網管站告警、網絡性能監(jiān)視告警、網絡配置監(jiān)視告警、網絡流量異常監(jiān)視告警、終端平安異常告警等；同時通過支持對設備定時輪詢，實現(xiàn)通斷告警、響應時間告警等，以告警事件的方式上報給H3CiMC告警中心；設備告警包括電源電壓、設備溫度、風扇等告警事件，設備冷啟動、熱啟動、接口linkdown等重要告警事件，路由信息事件〔OSPF，BGP〕變化，熱備份路由〔HSRP〕狀態(tài)變化等告警事件，支持對H3C、CISCO、H3C、等多廠商設備告警的識別和解析；網管站告警指包括本級iMC系統(tǒng)集群效勞器的異常告警，包括CPU利用率、存使用率、iMC效勞程序運行狀態(tài)等以及下級iMC系統(tǒng)上報的告警事件；網絡性能監(jiān)視包括CPU利用率，存使用率，以及RMON告警的故障管理。網絡配置監(jiān)視告警包括設備軟件版本、配置信息變更等告警事件，并通過iMC智能配置中心組件〔iMCiCC〕實現(xiàn)配置文件定期檢查，實現(xiàn)配置變更告警事件。網絡流量異常監(jiān)視告警通過iMC網絡流量分析組件〔iMCNTA〕實現(xiàn)網絡中異常流量告警，包括對設備及接口異常流量、主機IP地址異常流量和應用異常流量的告警，支持二級閾值告警定義；終端平安異常告警通過iMC端點準入防御組件〔iMCEAD〕實現(xiàn)對終端用戶平安異常的告警，包括ARP攻擊告警、終端異常流量告警及其他終端不平安告警；iMC定期輪詢告警指通過iMC的資源管理