浙江道小學校網(wǎng)升級

改造方案

2013年9月

錄

第1章.現(xiàn)狀及需求分析................................................................3

1.1.項目建設(shè)背景..................................................................3

1.2.原有校園網(wǎng)分析................................................................3

第2章.校園網(wǎng)升級改造方案整體設(shè)計...................................................4

2.1.設(shè)計原則與思路................................................................4

22整體解決方案..................................................................7

第3章.校園網(wǎng)功能分區(qū)詳細設(shè)計.......................................................11

3.1.接入層設(shè)計...................................................................11

3.1.1.接入層有線設(shè)備設(shè)計................................................II

3.12接入層無線設(shè)備設(shè)計.................................................15

3.2.核心層設(shè)計...................................................................16

3.2.1.核心層網(wǎng)絡(luò)?i十.....................................................16

3.2.2.核心層安全3..................................................................................................17

3.3.中心機房設(shè)計.................................................................22

3.4.云數(shù)據(jù)中心設(shè)計...............................................................23

3.4.1.項目方案規(guī)劃.......................................................23

3.4.2.邏輯結(jié)構(gòu)圖.........................................................25

3.43.方案設(shè)計說明.....................................................26

3.4.4.核心功能設(shè)計.......................................................33

3.4.5.平臺特性...........................................................37

3.4.6.部署虛擬化的優(yōu)勢...................................................40

第4章.分布實施計劃.................................................................44

第5章.售后服務(wù)及培訓...............................................................45

5.1.售后服務(wù)....................................................................45

5.2.培訓.........................................................................45

第1章.現(xiàn)狀及需求分析

1.1.項目建設(shè)背景

1.2.浙江路小學是天津市實施素質(zhì)教育〃三A”學校，一直是塘沽

區(qū)重點示范小學，其有兩個校區(qū)，一是上海道校區(qū)、二是福州道

校區(qū)。這兩個校區(qū)都有著濃厚的教學歷史，教學水平一直處于塘

沽區(qū)前列。隨著電子信息化的發(fā)展，浙江道小學也隨之建設(shè)了不

少高新科技的信息化電教設(shè)施。兩個學校的錄播教室的建設(shè)一

直在塘沽區(qū)也是首屈一指的。隨著信息化的不斷深入，教育資源

云平臺、云書包也被學校提到建設(shè)日程里，但是這些項目都要有

一個強大的校園網(wǎng)作為支撐，由于浙江路小學的校園網(wǎng)是2000

年建設(shè)使用的，已經(jīng)不能夠承載現(xiàn)有云計算平臺的高速數(shù)據(jù)傳

輸功能了。則要在教育資源云平臺、云書包這些平臺建設(shè)成立

之前，必須把校園網(wǎng)進行升級改造，能夠使這些平臺發(fā)揮應(yīng)有

的作用。

13.原有校園網(wǎng)分析

浙江路小學現(xiàn)狀：

目前使用核心路由器為銳捷NBR3000.核心交換機為銳捷5750

樓層交換機為一般性能100M交換機，學校網(wǎng)站服務(wù)器、辦公服務(wù)器等網(wǎng)絡(luò)和服務(wù)器設(shè)備已老

化。

現(xiàn)有網(wǎng)絡(luò)拓撲情況為福州道和上海道兩個校區(qū)各有一條互聯(lián)網(wǎng)接入，之間有一條數(shù)據(jù)專線，校

區(qū)內(nèi)為樹形拓撲。具體設(shè)備情況:

的變化：

2、數(shù)據(jù)中心的形成

3、全面提升主要校區(qū)的網(wǎng)絡(luò)平臺，包括中心機房設(shè)施提升、核心網(wǎng)絡(luò)設(shè)備的升級、應(yīng)用系統(tǒng)

服務(wù)器的安裝購置，安全設(shè)備的安裝購置。

4、上聯(lián)鏈路的升級

5、為了提高云計算平臺的適應(yīng)性，以及云書包等應(yīng)用的規(guī)劃以動畫、視頻、互動等大流量應(yīng)

用為主，相比傳統(tǒng)網(wǎng)絡(luò)帶寬要求提升10~20倍，應(yīng)該提升主要校區(qū)的登陸Internet上聯(lián)鏈

路的帶寬。

6、全面提升網(wǎng)絡(luò)設(shè)備

原有校園網(wǎng)的網(wǎng)絡(luò)設(shè)備老舊，并且不能適應(yīng)新應(yīng)用系統(tǒng)的數(shù)據(jù)傳輸要求，則要配備具有更高數(shù)

據(jù)傳輸能力的網(wǎng)絡(luò)設(shè)備。

所以在全新校園網(wǎng)的設(shè)計上需要遵循以下原則：

高性能一骨干網(wǎng)絡(luò)性能是整介網(wǎng)絡(luò)良好運行的基礎(chǔ)，設(shè)計中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐

能力，保證各種信息（視頻、動畫）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開展的瓶頸。

高可靠性一網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運行的關(guān)健保證，在網(wǎng)絡(luò)設(shè)計中選用高可

靠性網(wǎng)絡(luò)產(chǎn)品，設(shè)備充分考慮冗余、容錯能力；合理設(shè)計網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保

證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運行。網(wǎng)絡(luò)設(shè)備在出現(xiàn)故障時應(yīng)便于診斷

和排除，充分體現(xiàn)計算機網(wǎng)絡(luò)的高可靠性。

安全性一制訂統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺的安全性，保證師生能夠安全、綠色

的使用資源。

獨立性一學校與教育局之間采用公網(wǎng)連接會導致一些應(yīng)用系統(tǒng)的不可用（比如名師講堂、

雙向教學等），而且公網(wǎng)連接也使得網(wǎng)絡(luò)不安全、不可控等隱患，所以教育局與學校之間應(yīng)該采用

裸光纖或者VPN方式連接；

技術(shù)先進性和實用性一在保證滿足校園業(yè)務(wù)、應(yīng)用系統(tǒng)業(yè)務(wù)的同時，要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先

進性.在網(wǎng)絡(luò)設(shè)計中要把先進的技術(shù)與現(xiàn)有的成熟技術(shù)和標準結(jié)合起來，充分考慮網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀

和未來發(fā)展趨勢。

標準開放性一支持國際上通用的網(wǎng)絡(luò)協(xié)議、路由協(xié)議等開放的協(xié)議標準，有利于保證與其它

網(wǎng)絡(luò)（如中國教育網(wǎng)、公共數(shù)據(jù)網(wǎng)、區(qū)教育網(wǎng)等其它網(wǎng)絡(luò)）之間的平滑連接互通，以及將來網(wǎng)絡(luò)的擴

展。

靈活性及可擴展性一根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地擴充和升級，最大程度

的減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。

可管理性一對網(wǎng)絡(luò)實行集中監(jiān)測、分權(quán)管理，并統(tǒng)一分配帶寬奧源。選用先進的網(wǎng)絡(luò)管理平

臺，具有對設(shè)備、端口等的管理、流量統(tǒng)計分析，及可提供故障自動報警。

2.2.強QOS、強組播特性——新應(yīng)用系統(tǒng)下的校園網(wǎng)因為對視頻、

音頻等多媒體業(yè)務(wù)的需求較大，所以整個網(wǎng)絡(luò)具有較完善的

QOS特性對教育網(wǎng)而言就顯得尤為重要。能不能對關(guān)鍵業(yè)務(wù)進

行帶寬優(yōu)先保證尤其是那些對時延敏感的業(yè)務(wù)進行保證是教育

網(wǎng)必須考慮的一個重點，為實現(xiàn)區(qū)別服務(wù)，整網(wǎng)端到端的QOS

特性機制是優(yōu)質(zhì)網(wǎng)絡(luò)業(yè)務(wù)的保證。另外組播特性對于有效的保

證多媒體流傳輸性能和節(jié)省帶寬也有非常重要的意義，基于組

播的控制特性也會進一步保證組播流的控制、管理和安全，從而

為實現(xiàn)教育城域網(wǎng)的多業(yè)務(wù)支持提供保障。

23.兼容性和經(jīng)濟性——兼容性，能夠最大限度地保證學?，F(xiàn)有

各種計算機軟、硬件資源的可用性和連續(xù)性，為不同的現(xiàn)存網(wǎng)絡(luò)

提供互聯(lián)和升級的手段（如現(xiàn)有的雙向教學系統(tǒng)），保證各種在

用計算機系統(tǒng)（包括工作站、服務(wù)器和微機等設(shè)備）的互連入

網(wǎng)，充分利用現(xiàn)有網(wǎng)絡(luò)資源，發(fā)揮主干網(wǎng)的優(yōu)勢。經(jīng)濟性，就是

在充分利用現(xiàn)有資源的情況下，最大限度地降低網(wǎng)絡(luò)系統(tǒng)的總

體投資，有計劃、有步驟地實施，在保證網(wǎng)絡(luò)整體性能的前提下,

充分利用現(xiàn)有設(shè)備或做必要的升級。

2.4.整體解決方案

浙江路小學校園網(wǎng)的整體網(wǎng)絡(luò)拓撲如下圖所示:

整個網(wǎng)絡(luò)分為接入層、核心層、本地教育資源中心、遠程教育資源平臺和出口區(qū)共計5個模

塊。

接入層

在兩個校區(qū)樓宇內(nèi)部署全千兆交換機，通過萬兆光纖連接該校區(qū)機房的核心交換設(shè)備。并在

電教室安裝WLAN設(shè)備，滿足對教室多用戶的高密覆蓋，并對整個教學區(qū)做到wifi信號的全覆蓋。

為云書包系統(tǒng)提供無線終端接入。

核心層

在核心層采用華為S7706核心交換機，并安裝雙引擎、雙電源等穩(wěn)定系統(tǒng)，以保證網(wǎng)絡(luò)核心

的可靠性，同時成倍提升網(wǎng)絡(luò)性能。核心交換機上提供連接各功能區(qū)萬兆以太網(wǎng)接口，出口部署網(wǎng)

絡(luò)安全設(shè)備，為整個校園網(wǎng)提供安全保障。并在兩個校區(qū)之間用一條100M的MSTP鏈路互聯(lián)，保

證福州道校區(qū)可以毫無阻礙的登陸總校的教育資源中心。

教育資源中心

在浙江路小學總校中心機房部署教育資源中心，把視頻錄播系統(tǒng)、云計算平臺系統(tǒng)、以及教

學管理系統(tǒng)部署在教育資源中心。作為整個校園網(wǎng)的總指揮部，部署網(wǎng)絡(luò)管理系統(tǒng)、安全管理系統(tǒng)、

虛擬化管理平臺等管理系統(tǒng)，以便于管理人員對整個校園網(wǎng)進行統(tǒng)一規(guī)劃和管理。

遠程教育資源區(qū)

利用當?shù)剡\營商-天津移動的IDC機房內(nèi)部署遠程教育資源區(qū)，在云計算虛擬化區(qū)，通過虛擬

化技術(shù)建立計算資源池和存儲資源池，為教育資源平臺動態(tài)分配硬件資源，從而提高硬件資源的可

靠性和可擴展性。資源服務(wù)區(qū)通過互聯(lián)網(wǎng)與學校本地教育資源區(qū)進行互聯(lián)，可以把一些數(shù)據(jù)系統(tǒng)進

行全面鏡像，保證了遠程教育資源區(qū)與本地信息的高度一致。同時，學生、教師、家長可以通過互

聯(lián)網(wǎng)登陸到遠程教育資源區(qū)實時進行資料查詢、批改作業(yè)、師生互動等活動。

天津移動IDC的優(yōu)勢及相對學校自建IDC的成本節(jié)約點：

中國移動IDC業(yè)務(wù)優(yōu)勢

國際頂尖的機房標準：L專門為IDC而建設(shè)的機房樓（8級抗震標準）。2.高強度的承重，滿

足電池，存儲等設(shè)備的安裝。3.良好的布局，增強了客戶體驗。

完善的動力配套系統(tǒng).l.Tier4認證的電力設(shè)備，保障服務(wù)器運行安全可靠2精密智能SDC空

調(diào)，保障室內(nèi)溫濕度恒定3國內(nèi)最新的封閉冷通道技術(shù)，科學的降低運營成本為客戶提供更優(yōu)的

資費.

數(shù)據(jù)中心級的網(wǎng)絡(luò)資源配置：1.快速的收斂時間（路由器收斂時間＜50ms）02.匯聚層支持

虛擬化技術(shù)，收斂速度遠高于普通路由收斂。萬兆端口/12個千兆端口，緩存256兆。3.良好的安

全保證措施，對外防御手段齊全，對內(nèi)納入安全管控體系，保障服務(wù)器的絕對安全。

使用IDC托管業(yè)務(wù)的優(yōu)勢

隨著校園對數(shù)據(jù)處理依賴程度的遞增，對數(shù)據(jù)的安全要求也進一步提高。數(shù)據(jù)中心的災(zāi)備恢

復(fù)服務(wù)能力是校園應(yīng)當關(guān)注的一個重點.要在自己室內(nèi)存放服務(wù)器，就必須建立空調(diào)環(huán)境、標準設(shè)施

（例如24小時運作的機房空凋系統(tǒng)、不間斷電源系統(tǒng)等等）以及管理服務(wù)器和網(wǎng)絡(luò)業(yè)務(wù)作出龐大

而長遠的投資。服務(wù)器管理服務(wù)尤其適用于下列況：不愿購置額外硬件（例如：路由器）以提升伺

服器的連接速度；服務(wù)器受帶寬所限無法提升網(wǎng)絡(luò)連接速度。服務(wù)器托管服務(wù)是最合乎成本效益

的網(wǎng)上方案，無論在性能、安保、可靠性方面都達到最高水平，免除了校方在機房建設(shè)方面需投入

的高昂成本。

自建機房需考慮成本因素：1、土建與場地成本。2、動力配電成本。3、防雷接地、靜電釋

放系統(tǒng)。4、結(jié)構(gòu)裝飾成本。5、UPS不間斷電源。6、氣體消防滅火系統(tǒng)7。、PDS綜合布

線成本。8、空調(diào)、新風系統(tǒng)。9、安防門禁視頻監(jiān)控成本。10、環(huán)境集中監(jiān)控。1L網(wǎng)絡(luò)帶

寬接入成本。12、安保及專業(yè)網(wǎng)絡(luò)維護人員成本。13、高額的電費等等

出口區(qū)

整個校園網(wǎng)將擁有兩個網(wǎng)絡(luò)出口，出口部署華為USG2260出口安全網(wǎng)關(guān)。負責整個校區(qū)的

安全防御。一個是總校高帶寬的互聯(lián)網(wǎng)出口、一個是分校原有互聯(lián)網(wǎng)出口，這兩個出口可以互為備

份，并提供流量分流，負載均衡等丁作。

認證計費區(qū)

第3章.整個校園部署華為esight網(wǎng)絡(luò)管理軟件,

L對網(wǎng)絡(luò)設(shè)備進行有效管理，網(wǎng)絡(luò)故障

診斷，網(wǎng)絡(luò)拓撲展示。對無線設(shè)備進行管

理.通過esight的安全策略組件可以提

供用戶接入網(wǎng)絡(luò)認證，對上網(wǎng)用戶進行

監(jiān)管和控制。無線用戶直接在本地認證,

接入學校內(nèi)網(wǎng)，不經(jīng)過運營商線路，節(jié)

省了很大一部分帶寬費用。

第4章.校園網(wǎng)功能分區(qū)詳細設(shè)計

4.1.接入層設(shè)計

4.1.1.接入層有線設(shè)備設(shè)計

浙江路校園原有校園網(wǎng)接入層設(shè)備是普通的100M交換機，不具有可管理性，并且無法實現(xiàn)干

兆上聯(lián)，特別是開通錄播系統(tǒng)的實時轉(zhuǎn)播工作時，沒有組播協(xié)議的支撐，會造成整個校園網(wǎng)骨干數(shù)

據(jù)傳輸緩慢甚至癱瘓。在電教室內(nèi)要安裝高容量的無線AP作為云書包的終端接入系統(tǒng)，此教室數(shù)

據(jù)傳輸量可謂巨大，所有接入交換機必須具備上聯(lián)、下聯(lián)端口保證千兆帶寬。則本方案建議使用華

為的千兆交換機S5700-LI系列交換機作為校園網(wǎng)的接入設(shè)備。

華為S5700-LI系列交換機是華為公司自主開發(fā)的全千兆三層以太網(wǎng)交換機產(chǎn)品，具備豐富的

業(yè)務(wù)特性，提供IPv6轉(zhuǎn)發(fā)功能以及最多4個10GE擴展接口。通過華為特有的CSS（智能彈性架構(gòu)）

功能，用戶能夠簡化對網(wǎng)絡(luò)的管理。S5700-LI系列千兆以太網(wǎng)交換機定位為企業(yè)網(wǎng)千兆接入，同時

還可以用于數(shù)據(jù)中心服務(wù)器群的連接。

其系統(tǒng)特性如下：

高擴展性保護投資

隨著用戶端速度不斷提高，用戶最終會使集群千兆鏈路達到飽和，而能夠擁有多條10GE鏈路將是

我們的未來發(fā)展方向。S5700-LI系列交換機支持兩個擴展槽位每個槽位支持單端口或雙端口的10GE

擴展模塊，在實現(xiàn)千兆匯聚或接入時保留進一步支持10GE的擴展能力，盡力保護用戶投資。

S5700-LI系列支持IPv4和】Pv6的三層路由功能，并可以實現(xiàn)基于硬件的IPv4和IPv6的全線速轉(zhuǎn)發(fā)。

同時支持IPv6的ACL、QoS、組播和網(wǎng)管，實現(xiàn)IPv4到IPv6的平滑升級。

智能彈性架構(gòu)

華為S5700-LI系列交換機支持CSS（第二代智能彈性架構(gòu)）技術(shù)，就是把多臺物理設(shè)備互相連接

起來，使其虛擬為一臺邏輯設(shè)備，也就是說，用戶可以將這多臺設(shè)備看成一臺單一設(shè)備進行管理和使用。

CSS可以為用戶帶來以下好處：

?簡化管理CSS架構(gòu)形成之后，可以連接到任何一臺設(shè)備的任何一個端口就以登錄統(tǒng)一的邏輯設(shè)

備，通過對單臺設(shè)備的配置達到管理整個智能彈性系統(tǒng)以及系統(tǒng)內(nèi)所有成員設(shè)備的效果，而不用物理連

接到每臺成員設(shè)備上分別對它們進行配置和管理。

?簡化業(yè)務(wù)CSS形成的邏輯設(shè)備中運行的各種控制協(xié)議也是作為單一設(shè)備統(tǒng)一運行的，例如路由

協(xié)議會作為單一設(shè)備統(tǒng)一計算，而隨著跨設(shè)備鏈路聚合技術(shù)的應(yīng)用，可以替代原有的生成樹協(xié)議，這樣

就可以省去了設(shè)備間大量協(xié)議報文的交互，簡化了網(wǎng)絡(luò)運行，縮短了網(wǎng)絡(luò)動蕩時的收斂時間。

?彈性擴展可以按照用戶需求實現(xiàn)彈性擴展，保證用戶投資。并且新增的設(shè)備加入或離開CSS架

構(gòu)時可以實現(xiàn)“熱插拔"，不影響其他設(shè)備的正常運行。

?高可靠css的高可靠性體現(xiàn)在鏈路，設(shè)備和協(xié)議三個方面。成員設(shè)備之間物理端口支持聚合功

能，CSS系統(tǒng)和上、下層設(shè)備之間的物理連接也支持聚合功能，這樣通過多鏈路備份提高了錯路的可靠

性；CSS系統(tǒng)由多臺成員設(shè)備組成，一旦Master?備故障，系統(tǒng)會迅速自動選舉新的Master,以保證通

過系統(tǒng)的業(yè)務(wù)不中斷，從而實現(xiàn)了設(shè)備級的1：N備份；CSS系統(tǒng)會有實時的協(xié)議熱備份功能負責將協(xié)議

的配置信息備份到其他所有成員設(shè)備，從而實現(xiàn)1:N的協(xié)議可靠性。

?高性能對于高端交換機來說，性能和端口密度的提升會受到硬件結(jié)構(gòu)的限制。而CSS系統(tǒng)的性

能和端口密度是CSS內(nèi)部所有設(shè)備性能和端口數(shù)量的總和。因此，CSS技術(shù)能夠輕易的將設(shè)備的交換能

力、用戶端口的密度擴大數(shù)倍,從而大幅度提高了設(shè)備的性能.

完備的安全控制策略

華為S5700-LI系列交換機支持EAD(端點準入防御)功能，配合后臺系統(tǒng)可以將終端防病毒、補

丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個聯(lián)動的安全體系，通

過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點防御

為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。

華為S5700-LI系列交換機支持對試圖接入網(wǎng)絡(luò)的用戶進行802.1X認證?？梢栽诮粨Q機上對802.1X

客戶端的版本和有效性進行驗證，防止非法用戶登錄網(wǎng)絡(luò)。支持集中式MAC地址認證，可以基于端口和

MAC地址對用戶的網(wǎng)絡(luò)訪問權(quán)限進行控制的認證方法，它不需要用戶安裝任何客戶端軟件，而且可以

同時運行802.1X認證和基于MAC地址認證。提供GuestVian功能，使得為被授權(quán)的訪問端只能接入訪

問特定的資源，并且會采取相應(yīng)的策略，例如可以獲得802.1X客戶端、升級客戶端或者獲得其他的升級

程序等等。支持SecureShellV2(SSHV2)特性可以提供安全的信息保障和強大的認證功能以保護

以太網(wǎng)交換機不受諸如IP地址欺詐、明文密碼截取等等攻擊。

豐富的QoS策略

華為S5700-LI系列交換機支持支持L2(Layer2)~L4(Layer4)包過濾功能，提供基于源MAC

地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口號、協(xié)議類型、VLAN的流分類。提供

靈活的對列調(diào)度算法，可以同時基于端口和隊列進行設(shè)置，支持SP、WRR、SP+WRR三種模式。支持

CAR功能，粒度最小達64Kbps。支持出、入兩個方向的端口鏡像，用于對指定端口上的報文進行監(jiān)控，

將端口上的數(shù)據(jù)包復(fù)制到監(jiān)控端口，以進行網(wǎng)絡(luò)檢測和故障排除。

出色的管理性

華為S5700-LI系歹I」交換機支持SNMPvl/v2/v3（SimpleNetworkManagementProtocol）,可

支持OpenView等通用網(wǎng)管平臺以及iMC智能管埋中心。支持CLI命令行,Web網(wǎng)管,TELNET,HGMPv2

集群管理，使設(shè)備管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。

華為S5700-LI系列交換機支持基于MAC地址劃分VLAN,很好的解決了移動辦公的智能靈活管理；

結(jié)合特有的基于全局和VLAN下發(fā)ACL策略，在簡化用戶配置的同時，也大幅節(jié)約了硬件資源。

增強的以太網(wǎng)供電功能（PoE+）

華為S5700-II系列交換機支持增強的以太網(wǎng)供電功能（PcF+）,PcF供電款型可以提供每湍口最大

30W的輸出功率，可以為802.11n的無線接入點，可視IP電話，以及更多的終端設(shè)備提供以太網(wǎng)供電能

力。

教育云簡化學校IT建設(shè)和管理

?作為教育云計算實踐，云計算數(shù)據(jù)中心的建設(shè)建議達到以下

目標：

?通過標準化、虛擬化的資源池部署，提高整體IT基礎(chǔ)設(shè)施資源利用率；

?實現(xiàn)IT揄出設(shè)施資源的自助化服務(wù)，按需申請，按需供給，實現(xiàn)面向最終用戶的云服務(wù)模式；

?實現(xiàn)口基礎(chǔ)設(shè)施資源的自動化部署及流程化管理，并可利用云計算管理平臺對資源進行可視、

全面的監(jiān)、管、控，簡化日常運維的管理流程、降低維護成本；

4.1.2.在實現(xiàn)可落地的云實踐的基礎(chǔ)上，保留未來向更高層次的云計算實踐發(fā)展的可

能如SaaS和PaaS相關(guān)應(yīng)用等；

4.13.接入層無線設(shè)備設(shè)計

根據(jù)云書包系統(tǒng)需求，在電教室內(nèi)部署無線網(wǎng)絡(luò)，以便云書包終端可以自由接入網(wǎng)絡(luò)。普通的

AP接入終端數(shù)量不可以超高10個，特別是高帶寬的接入設(shè)備更不能超過這個數(shù)量。但是也不能在

一個小空間內(nèi)部署多個AP來彌補接入數(shù)量不足問題。因為AP之間也會出現(xiàn)頻道干擾。則這些電

教室內(nèi)要部署大容量接入的工業(yè)AP。根據(jù)云書包的特點。本方案選擇華為大容量接入設(shè)備

AP3CH0DN-AGN作為電教室無線AP。具能夠?qū)崿F(xiàn)接入終端的相互隔離，保證每個接入設(shè)備達到

至少54M的上聯(lián)帶寬。

AP3010DN-AGN支持整機最大用戶數(shù)達到64個16個SSID。一體化MIMO內(nèi)置天線，實

現(xiàn)全向無盲點覆蓋。每射頻速率高達300Mbps。高等級的網(wǎng)絡(luò)安全性，支持多種認證和加密方式,

以及非法AP檢測，支持QOS。靈活的組網(wǎng)和環(huán)境適應(yīng)能力，滿足接入、橋接(WDS)等多種組網(wǎng)應(yīng)

用場景。簡單的設(shè)備管理和維護，業(yè)務(wù)零配置，即插即用，自動上線，美觀化設(shè)計，支持FIT-AP。

每個電教室部署1臺高容量AP就可以滿足云書包終端的接入。上聯(lián)接入一臺千兆電口的交換

機即可滿足高帶寬的需要。

4.2.核心層設(shè)計

4.2.1.核心層網(wǎng)絡(luò)設(shè)計

>數(shù)據(jù)中心核心交換機需要資源池內(nèi)部高速交換以及骨干互聯(lián)工作，建議采用華為數(shù)據(jù)中

心級核心交換機S7700,主要基于如下考慮：

>高性能：核心匯聚層需要與其它外部網(wǎng)絡(luò)互聯(lián)，外連接口眾多，并且這些外部網(wǎng)絡(luò)所提供

的接入帶寬和接入設(shè)備都是業(yè)界高端設(shè)備，所以為了使網(wǎng)絡(luò)在核心交換區(qū)不存在性能瓶

頸，采用具備高密萬兆的核心交換設(shè)備.

4.2.2,整網(wǎng)可靠性：因為校園網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)具

有高可靠性設(shè)計，業(yè)務(wù)層面最大限度的保障業(yè)務(wù)轉(zhuǎn)發(fā)

不中斷、不丟包。因此建議在核心交換部分采用主控

和交換網(wǎng)板分離的核心交換機，提高網(wǎng)絡(luò)可靠性，使

整網(wǎng)可靠性方面不存在短板。

4.23.綠色環(huán)保：為了降低機房空調(diào)能耗，要求核心交換機

采用豎插槽，前下部進風、上后部抽風、強迫風散熱形

式。要求通過RoHS、CE等國際環(huán)保認證。

4.2.4.在總校與分校之間部署100MMSTP鏈路，為分校

區(qū)提供高速互聯(lián)通道，當分校區(qū)電教室開通云書包系

統(tǒng)時，可以通過這條100M鏈路登陸至總校的教育資

源平臺上，實現(xiàn)多個無線終端開展視頻教學活動。

4.2.5.核心層安全設(shè)計

為了應(yīng)對云計算環(huán)境下的流量模型變化，安全防護體系的部署需要朝著高性能的方向調(diào)整。在

本次項目的建設(shè)過程中，多條高速鏈路匯聚成的大流量已經(jīng)比較普遍，在這種情況下，安全設(shè)備必

然要具備對高密度的GE甚至10G接口的處理能力；無論是獨立的機架式安全設(shè)備，還是配合數(shù)據(jù)

中心高端交換機的各種安全業(yè)務(wù)引擎，都可以根據(jù)用戶的云規(guī)模和建設(shè)思路進行合理配置；同時，

考慮到云計算環(huán)境的業(yè)務(wù)永續(xù)性，設(shè)備的部署必須要考慮到高可靠性的支持，諸如雙機熱備、配置

同步、電源風扇的冗余、鏈路捆綁聚合、硬件BYPASS等特性真正實現(xiàn)大流量匯聚情況下的基礎(chǔ)

安全防護。

在核心交換機與出口之間部署防火墻在核心交換機與教育資源平臺之間部署防火墻。以保證

內(nèi)部局域網(wǎng)安全及教育資源的數(shù)據(jù)安全。

如上圖FW三層部署所示，防火墻可以與宿主交換機直接建立三層連接，也可以與上游或下游

設(shè)備建立三層連接，不同連接方式取決于用戶的訪問策略?？梢酝ㄟ^靜態(tài)路由和缺省路由實現(xiàn)三層

互通，也可以通過OSPF這樣的路由協(xié)議提供動態(tài)的路由機制。如果防火墻部署在服務(wù)器區(qū)域，可

以將防火墻設(shè)計為服務(wù)器網(wǎng)關(guān)設(shè)備，這樣所有訪問服務(wù)器的三層流量都將經(jīng)過防火墻設(shè)備，這種部

署方式可以提供區(qū)域內(nèi)部服務(wù)器之間訪問的安全性。

防火墻是網(wǎng)絡(luò)系統(tǒng)的核心基礎(chǔ)防護措施，它可以對整個網(wǎng)絡(luò)進行網(wǎng)絡(luò)區(qū)域分割，提供基于IP

地址和TCP/IP服務(wù)端口等的訪問控制；對常見的網(wǎng)絡(luò)攻擊方式，如拒絕服務(wù)攻擊(pingofdeath,

land,synflooding,pingflooding,teardrop，端口掃撒portscanningUP欺騙(ipspoofing).

IP盜用等進行有效防護；并提供NAT地址轉(zhuǎn)換、流量限制、用戶認證、IP與MAC綁定等安全增

強措施。

安全控制策略：

防火墻設(shè)置為默認拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒有明確的規(guī)則允許通過，全部拒

絕以保證安全；

建議在兩臺防火墻上設(shè)定嚴格的訪問控制規(guī)則，配置只有規(guī)則允許的IP地址或者用戶能夠訪

問數(shù)據(jù)業(yè)務(wù)網(wǎng)中的指定的資源，嚴格限制網(wǎng)絡(luò)用戶對數(shù)據(jù)業(yè)務(wù)網(wǎng)服務(wù)器的資源，以避免網(wǎng)絡(luò)用戶可

能會對數(shù)據(jù)業(yè)務(wù)網(wǎng)的攻擊、非授權(quán)訪問以及病毒的傳播，保護數(shù)據(jù)業(yè)務(wù)網(wǎng)的核心數(shù)據(jù)信息資產(chǎn)；

配置防火墻防DOS/DDOS功能，對Land、Smurf、Fraggle、PingofDeath.TearDrop.

SYNFlood.ICMPFlood.UDPFlood等拒絕服務(wù)攻擊進行防范可以實現(xiàn)對各種拒絕服務(wù)攻擊

的有效防范，保證網(wǎng)絡(luò)帶寬；

配置防火墻全面攻擊防范能力，包括ARP欺騙攻擊的防范，提供ARP主動反向查詢、TCP報

文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不

可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等，全面防范各種網(wǎng)

絡(luò)層的攻擊行為；

根據(jù)需要，配置IP/MAC綁定功能，對能夠識別MAC地址的主機進行鏈路層控制，實現(xiàn)只有

IP/MAC匹配的用戶才能訪問數(shù)據(jù)業(yè)務(wù)網(wǎng)中的服務(wù)器；

其他可選策略：

可以啟動防火墻身份認證功能，通過內(nèi)置數(shù)據(jù)庫或者標準Radius屬性認證，實現(xiàn)對用戶身份

認證后進行資源訪問的授權(quán)，進行更細粒度的用戶識別和控制；

根據(jù)需要，在兩臺防火墻上設(shè)置流量控制規(guī)則，實現(xiàn)對服務(wù)器訪問流量的有效管理，有效的避

免網(wǎng)絡(luò)帶寬的浪費和濫用，保護關(guān)鍵服務(wù)器的網(wǎng)絡(luò)帶寬；

根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時間段規(guī)則，實現(xiàn)基于時間的訪問控制，可以組合時間

特性實現(xiàn)更加靈活的訪問控制能力；

在防火墻上進行設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段（E-maik日志、SNMP陷阱

等），實現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用；

啟動防火墻日志功能，利用防火墻的日志記錄能力，詳細完整的記錄日志和統(tǒng)計報表等資料，

實現(xiàn)對網(wǎng)絡(luò)訪問行為的有效的記錄和統(tǒng)計分析；

部署ACG應(yīng)用控制網(wǎng)關(guān)能對網(wǎng)絡(luò)中的P2P/IM/VHP帶寬濫用、網(wǎng)絡(luò)游戲、炒股、多媒體應(yīng)

用、非法網(wǎng)站訪問等行為進行精細化識別和控制；同時，根據(jù)對網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進行深入

分析與全面的事后審計，并具有強人的URL過濾功能，進而全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢，人

大提升網(wǎng)絡(luò)的業(yè)務(wù)控制能力，幫助用戶優(yōu)化其網(wǎng)絡(luò)資源，為用戶打造一個和諧、有序的網(wǎng)絡(luò)環(huán)境。

能精確檢測Thunder（迅雷）、BitTorrent.eMule（電騾）、eDonkey（電驢）、QQ、

MSN、PPLive等近百種P2PZIM應(yīng)用。同時，可基于時間、用戶（組）、應(yīng)用協(xié)議，對P2P/IM

應(yīng)用進行告警、限速或阻斷。

能精確識別各種常見的應(yīng)用，如ERP應(yīng)甩視頻會議等，在識別業(yè)務(wù)的基礎(chǔ)上,ACG可對關(guān)鍵

業(yè)務(wù)進行帶寬保證，對其他業(yè)務(wù)按優(yōu)先級進行智能流量調(diào)度。

可對各種P2P/IM.網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)多媒體、文件共享、郵件收發(fā)、數(shù)據(jù)傳輸?shù)雀鞣N上網(wǎng)行為

提供全方面的行為監(jiān)控和記錄；同時，通過綜合分析、檢測用戶網(wǎng)絡(luò)流量與流向趨勢，事后對歷史

數(shù)據(jù)進行分析，為用戶提供細粒度的網(wǎng)絡(luò)行為審計管理系統(tǒng)。

通過自定義IP地址、主機名、正則表達式等方式設(shè)置URL特征庫，支持根據(jù)不同的URL策略

設(shè)置不同的響應(yīng)方式，支持根據(jù)時間表對不同的URL策略設(shè)置不同的響應(yīng)動作，避免保密信息的

外泄，免受非法信息干擾，確保網(wǎng)絡(luò)的健康使用。

提供業(yè)務(wù)流量趨勢圖、流量分布圖、TopN用戶列表、TopN應(yīng)用協(xié)議列表等報表，并支持

按照用戶名/用戶組、使用頻度、使用時段、應(yīng)用分類、應(yīng)用協(xié)議、流量大小等進行多維度組合定

制報表，使用戶能全面掌握網(wǎng)絡(luò)中的流量、應(yīng)用和業(yè)務(wù)分布，為合理規(guī)劃網(wǎng)絡(luò)、制定流量控制策略

提供依據(jù)。

華為專業(yè)安全團隊密切跟蹤應(yīng)用變化，并對應(yīng)用協(xié)議特征庫及時更新；支持在線自動/手動升

級方式，升級過程無需重啟系統(tǒng)，不影響系統(tǒng)業(yè)務(wù)運行。

通過在華為交換機/路由器中增加SecBladeACG模塊，即可擴展交換機/路由器的應(yīng)用監(jiān)控和

審計功能。通過與交換機/路由器共用管理平臺，降＜氐了管理難度。并且交換機/路由器的任何端口

都可以作為SecBladeACG模塊的端口使用，從而降低用戶成本。

4.3.SecBladeACG業(yè)務(wù)模塊作為業(yè)務(wù)插卡嵌入華為交換機/路由

器中，降低了單點故障，保證了網(wǎng)絡(luò)的高可靠性。

4.4.部署負載均衡設(shè)備可提供完善的負載均衡功能，具備服務(wù)器

負載均衡、鏈路負載均衡等功能。部署在數(shù)據(jù)中心，基于特定的

負載均衡算法將客戶端對數(shù)據(jù)中心服務(wù)的訪問請求合理地分發(fā)

到數(shù)據(jù)中心的各臺服務(wù)器上，以保證數(shù)據(jù)中心的響應(yīng)速度和業(yè)

務(wù)連續(xù)性。部署在多ISP鏈路的出口，為了提高鏈路利用率，通

過對鏈路狀態(tài)的檢測，采用對應(yīng)的調(diào)度算法將數(shù)據(jù)合理、動態(tài)的

分發(fā)到不同鏈路上。

4.5.中心機房設(shè)計

L浙江路小學的原有網(wǎng)絡(luò)機房功能比較單一，如果以后要承載教育資源平臺及云書包平

臺，則原有網(wǎng)絡(luò)機房的空間、電源功率、空調(diào)制冷量都達不到要求，則要對網(wǎng)絡(luò)機房進

行升級改造。針對原有網(wǎng)絡(luò)機房要有以下升級措施：

2、擴大網(wǎng)絡(luò)機房面枳擴容后對網(wǎng)絡(luò)機房進行粉霜、門窗密閉、安裝防盜門，鋪設(shè)防靜電

地板等工作。

3、擴充原有機房供電功率，從學?？偱潆娛忆佋O(shè)5*25mm平方的電纜至網(wǎng)絡(luò)中心機房，

并安裝相關(guān)配電設(shè)施。以便提高網(wǎng)絡(luò)機房總的配電功率至50KVA以上。

4、安裝30KVA的UPS一套，并安裝后備電池，當市電停止時，可以為網(wǎng)絡(luò)機房信息系統(tǒng)

提供30分鐘-1個小時的供電時間。

4.6.安裝5匹機房專用空調(diào)，為機房提供足夠的制冷量，為了防止

多臺服務(wù)器堆疊后產(chǎn)生大量熱量。

4.7.安裝全新服務(wù)器機柜5臺，為網(wǎng)絡(luò)設(shè)備、服務(wù)器及其他設(shè)備提

供安裝空間，而且保證了全機房設(shè)備統(tǒng)一整齊，達到美觀的效

果。

4.8.云數(shù)據(jù)中心設(shè)計

4.8.1.項目方案規(guī)劃

教育云數(shù)據(jù)中心的建設(shè)將改變傳統(tǒng)的建模式，采用云計算技術(shù)對數(shù)據(jù)中心硬件資源和

基礎(chǔ)軟件的統(tǒng)一管理、統(tǒng)一分配、統(tǒng)一部署、統(tǒng)一監(jiān)控和統(tǒng)一備份，打破原先信息系統(tǒng)建

設(shè)中普遍采用的應(yīng)用系統(tǒng)”封閉運行，相對獨立〃的模式，實現(xiàn)各類計算資源和運用動態(tài)

調(diào)整、自動故障切換和應(yīng)用系統(tǒng)快速部署，簡化管理、大大降低管理成本、減少基礎(chǔ)設(shè)施

資源浪費，節(jié)省系統(tǒng)建設(shè)和運行維護經(jīng)費。

一期建設(shè)的主要內(nèi)容為初步搭建一個相對完整的虛擬化數(shù)據(jù)中心架構(gòu)，提供可擴展的

虛擬化運行環(huán)境，并將所有基于x86服務(wù)器的應(yīng)用系統(tǒng)逐步遷移到虛擬化平臺中。

一期規(guī)劃的架構(gòu)拓撲如下:

解決方案體系結(jié)構(gòu)

二期建設(shè)的主要內(nèi)容為擴容和完善整體架構(gòu)，新應(yīng)用部署也將形成虛擬標準化。增加

刀片服務(wù)器和存儲容量，提供更大的虛擬化容量，并構(gòu)建統(tǒng)一數(shù)據(jù)保護系統(tǒng)和其他虛擬化

安全設(shè)備，達到更安全、穩(wěn)定的系統(tǒng)級別.

三期建設(shè)時，將根據(jù)實際需要，考慮搭建災(zāi)備數(shù)據(jù)中心，對主數(shù)據(jù)中心進行全面的虛

擬化，以及與災(zāi)備中心搭建成互相冗余備份的虛擬化雙活數(shù)據(jù)中心。

4.8.2.通過構(gòu)建云計算數(shù)據(jù)中心將為整個企業(yè)各個應(yīng)用提供了統(tǒng)一的運行平

臺，為所有下屬單位和員工的服務(wù)提供了強有力的信息化基礎(chǔ)平臺。

4.83.數(shù)據(jù)中心建設(shè)采用統(tǒng)一規(guī)劃、分布實施的原則，一期可考慮較少數(shù)量

的虛擬機的規(guī)模，主要完成新一代虛擬化數(shù)據(jù)中心硬件資源的整合平臺

搭建。

4.8.4.邏輯結(jié)構(gòu)圖

',耶7配SqQ........

方案中將云計算資源池分成三層結(jié)構(gòu)：

第一層；物理資源，包括物理服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備等；此層為真正的物理資

源，為整個云計算平臺提供物理環(huán)境。

4.8.5.第二層：云計算中心邏輯資源池，包括資源池、數(shù)據(jù)存儲和端口組；

整體數(shù)據(jù)中心的計算資源進行邏輯劃分，分為資源池（CPU、MEM）、數(shù)據(jù)

存儲（存儲容量、存儲性能）和網(wǎng)絡(luò)組（網(wǎng)絡(luò)帶寬），此層為全平臺邏

輯資源，為所需業(yè)務(wù)提供資源。

4.8.6.第三層：虛擬數(shù)據(jù)中心；針對服務(wù)平臺、各業(yè)務(wù)應(yīng)用區(qū)域可以獨立管

理自己數(shù)據(jù)中心內(nèi)的虛擬服務(wù)器和應(yīng)用，而每個區(qū)域在邏輯上是相互隔

離的，他們能都獨立運行和管理。

4.8.7.最后通過統(tǒng)一的用戶與策略管理為信息平臺和應(yīng)用區(qū)域指定相應(yīng)的資

源目錄和策略規(guī)范，實現(xiàn)整體平臺的運維管理。在整體云平臺中能夠統(tǒng)

一監(jiān)控到所有斐源的使用情況和所有系統(tǒng)運行情況。

4.8.8.方案設(shè)計說明

云計算架構(gòu)的數(shù)據(jù)中心和傳統(tǒng)架構(gòu)的不同

傳統(tǒng)W構(gòu)（MavBU）五架構(gòu)（Google,Amazon）

Server,switches,SAN,NASCommodity,Map/Reduce.NoSQl

設(shè)谷定義的皎據(jù)中心軟件定義的數(shù)據(jù)中心

異構(gòu).復(fù)雜.端管理.標準.尚小.后管理,妹折展

針對客戶云計算數(shù)據(jù)中心建設(shè)，我們結(jié)合用戶當前和遠期的業(yè)務(wù)系統(tǒng)需求，設(shè)計方案

采用業(yè)界最好的云基礎(chǔ)架構(gòu)進行設(shè)計，以達到以下效果：

1.在數(shù)據(jù)中心采用高性價比的服務(wù)器，將這部分服務(wù)器做虛擬化部署。部署虛擬化后

的物理服務(wù)器按照以往的經(jīng)驗，大約可實現(xiàn)10：015:1的整合比率，也就意味著以前需要

二三十臺物理服務(wù)器完成的工作，在部署虛擬化后僅2?3臺就能滿足要求。根據(jù)客戶當前

的需求情況來分析，我們本期設(shè)計高性能服務(wù)器專門用于部署虛擬化軟件。

2.配合虛擬化的實施，除了需要高性能的物理服務(wù)器之外，還需要高性能的網(wǎng)絡(luò)、高I/O

性能的專業(yè)存儲系統(tǒng)。此存儲不但可滿足通過虛擬化軟件虛擬出來的大量虛擬服務(wù)器數(shù)據(jù)

的存放和I/O性能需求，而且還能方便的擴展C

3、數(shù)據(jù)中心在部署虛擬化后，不但可大大的擴展服務(wù)器的數(shù)量，還可以實現(xiàn)服務(wù)器之間的

故障轉(zhuǎn)移（HA）、在線熱遷移（vMotion）、零秒容錯（FT）等諸多功能，在后面的方案中

我們將做詳細的描述。

"計算+存儲融合”產(chǎn)品將同時滿足計算+存儲對性能和擴展性這兩方面的要求，而且不存

在計算和存儲層的單點故障。按照以上方案實施完畢后，將實現(xiàn)vDC基礎(chǔ)資源的標準化，

滿足數(shù)據(jù)中心的所有基礎(chǔ)架構(gòu)要求，可為客戶各應(yīng)用平臺提供有力支持。

盧

卜算計算［……計算

Google.Yahoo!I

海存儲1……1~存儲1

0L更經(jīng)評、更快、更好

K■■?上

a?

數(shù)據(jù)中心部署最新的高性能服務(wù)器，其上安裝部署虛擬化操作系統(tǒng)。實施了虛擬化部

署后的物理服務(wù)器將具備高可用故障切換等諸多高級容錯功能，在一臺物理服務(wù)器出現(xiàn)故

障宕機后，不會影響到在上面運行的具體業(yè)務(wù)。

解決方案拓撲示意圖:

整體方案組成：

1.虛擬化軟件

2.服務(wù)罌和存儲池

萬兆交換機

3.千兆或萬

兆以太網(wǎng)

客戶LAN現(xiàn)有

核心交換機和

接入設(shè)備等

計算和存儲資源池：主要由1個Block內(nèi)的3臺（節(jié)點）2路CPU的刀片服務(wù)器組成。

設(shè)備僅占用2U的空間，其最大可支持4個節(jié)點（Node）,稱為1個Block。如需繼續(xù)擴展,

可添加新的Block和Node,可支持上千個Node的線性擴展。

假設(shè)平均1臺VM（虛擬機）需占用1個CPU內(nèi)核和8G內(nèi)存的計算資源，那么上述1

臺Node服務(wù)器保守估計可運行12~15臺VM,2臺Node服務(wù)器即可運行24~30個VMO3臺

Node服務(wù)器可形成N+1的HA（高可用）集群，保障穩(wěn)定性。

這些物理服務(wù)器上均部署虛擬化群集，提供所有服務(wù)器虛擬機的運行環(huán)境。服務(wù)器配

置2*1000M和2*10Gb網(wǎng)卡與網(wǎng)絡(luò)交換機互聯(lián)，并通過服務(wù)器內(nèi)預(yù)置的分布式存儲系統(tǒng)，將

所有SSD和SATA融為一個存儲池，透明的供應(yīng)給上層使用。

在搭建虛擬化的數(shù)據(jù)中心時，有3大優(yōu)勢：

1臏向擴展架構(gòu)，易擴展：由于內(nèi)置的分布式存儲技術(shù)，使計算池和存儲池均能夠橫

向線性擴展，解決了傳統(tǒng)架構(gòu)下存儲性能難擴展的問題。

2)全冗余架構(gòu)，計算和存儲節(jié)點均無單點故障：由于均是資源池化和分布式架構(gòu)，所

有數(shù)據(jù)均是冗余分布的，所以天生就沒有存儲的單點問題，整體架構(gòu)高穩(wěn)定。

3)存儲性能優(yōu)異：由于其配置了大容量SSD固態(tài)硬盤和PCIeSSD加速卡，并內(nèi)置了

存儲虛擬化分層、重復(fù)數(shù)據(jù)刪除和壓縮、數(shù)據(jù)高速同步等技術(shù)，其存儲性能非常優(yōu)秀，并

且能隨Node增加而線性提高性能，按需擴展。

通過對服務(wù)器虛擬化技術(shù)的介紹，可以看出服務(wù)器虛擬化有以下幾個特性：

(1)多實例

通過服務(wù)器虛擬化，一臺物理機上可以運行多個虛擬服務(wù)器，支持多個客戶操作系統(tǒng),

并且物理系統(tǒng)的資源是以可控的方式分配給虛擬機。

(2)隔離性

服務(wù)器虛擬化可以將同一臺物理服務(wù)器上的多個虛擬機完全隔離開來，多個虛擬機之

間就像多個物理機器之間一樣，每個虛擬機都有自己獨立的內(nèi)存空間，一個虛擬機的崩潰

并不會影響到其它虛擬機。

(3)封裝性

采用服務(wù)器虛擬化之后，一個完整的虛擬機環(huán)境對外表現(xiàn)為一個單一的實體，便于在

不同的硬件設(shè)備之間備份、移動和復(fù)制。同時，服務(wù)器虛擬化將物理機器的硬件封裝為標

準化的虛擬硬件設(shè)備提供給虛擬機內(nèi)的操作系統(tǒng)和應(yīng)用程序，提高了系統(tǒng)的兼容性。

基于以上這些特性，服務(wù)器虛擬化帶來了如下的優(yōu)點：

(1)實時遷移

實時遷移是指在虛擬機運行時，將虛擬機的運行狀態(tài)完整、快速的從一個宿主平臺遷

移到另一個宿主平臺，整個遷移過程是平滑，且對用戶透明的。由于服務(wù)器虛擬化的封裝

性，實時遷移可以支持原宿主機和目標宿主機硬件平臺之間的異構(gòu)性。當一臺物理機器的

硬件需要維護或更新時，實時遷移可以在不宕機的情況下將虛擬機遷移到另一臺物理機器

上，大大提高了系統(tǒng)的可用性。

(2)快速部署

在傳統(tǒng)的數(shù)據(jù)中心中，部署一個應(yīng)用需要安裝操作系統(tǒng)、安裝中間件、安裝應(yīng)用、配

置、測試、運行等多個步驟，通常需要耗費十幾個小時甚至幾天的時間，并且部署過程中

容易產(chǎn)生錯誤。而采用服務(wù)器虛擬化之后，部署一個應(yīng)用其實就是部署一個封裝好操作系

統(tǒng)和應(yīng)用程序的虛擬機，部署過程只需要以下幾個步驟：拷貝虛擬機、啟動虛擬?？谂渲?/p>

虛擬機，通常只需要十幾分鐘，且部署過程自動化，不易出錯。

(3)高兼容性

服務(wù)器虛擬化提供的封裝性和隔離性使應(yīng)用的運行平臺與物理底層分離，提高了系統(tǒng)

的兼容性。

(4)提高資源利用率

在傳統(tǒng)的數(shù)據(jù)中心中，處于對管理性、安全性和性能的考慮，大部分服務(wù)器上都只運

行一個應(yīng)用，導致服務(wù)器的CPU使用率很低，平均只有5k20乳采用服務(wù)器虛擬化之后,

可以將原來多臺服務(wù)器上的應(yīng)用整合到一臺服務(wù)器之中，提高了服務(wù)器資源的利用率，并

且通過服務(wù)器虛擬化固有的多實例、隔離性和封裝性保證了應(yīng)用原有的性能和安全性。

(5)動態(tài)調(diào)度資源

4?8.9.服務(wù)器虛擬化可以使用戶根據(jù)虛擬機內(nèi)部資源的使用情況即時的靈活

調(diào)整虛擬機的資源，如CPU、內(nèi)存等，而不需要像物理服務(wù)器一樣需要

打開機箱變更硬件。

4.8.10.核心功能設(shè)計

4.8.10.L服務(wù)器共享資源池管理

■動態(tài)數(shù)據(jù)中心核心管理用戶自服務(wù)模塊與平臺管理模塊，是將數(shù)據(jù)中心管理

的主要功能：

■系統(tǒng)監(jiān)控

■虛擬化管理

■配置管理

■身份管理

■系統(tǒng)監(jiān)控模塊

＞單個(或集群的)服務(wù)器的主要服務(wù)

＞跟蹤事件和日志服務(wù)器上生成的狀態(tài)監(jiān)測

＞跟蹤性能計數(shù)器以測量和優(yōu)化系統(tǒng)的使用

＞生成基于預(yù)定義的規(guī)則的事件或計數(shù)器的通知

■服務(wù)器部署和配置模塊

＞自動設(shè)置服務(wù)器（虛擬和物理），管理虛擬服務(wù)器的配置設(shè)置

＞配置的網(wǎng)絡(luò)交換機和創(chuàng)建的虛擬服務(wù)器的負載平衡

＞虛擬服務(wù)器和在最可用的物理服務(wù)器環(huán)境中的自動分配

＞創(chuàng)建和管理所創(chuàng)建的虛擬服務(wù)器實例使用的模板

■創(chuàng)建和管理系統(tǒng)鏡像，管理物理服務(wù)器實例

■數(shù)據(jù)保護模塊

＞備份和還原的整個服務(wù)器

＞備份和還原的計算機正在運行的數(shù)據(jù)庫

＞能夠回滾在服務(wù)器中所做的更改

＞備份和還原所有服務(wù)器的單個文件和文件夾

■服務(wù)配置管理模塊

＞跟蹤資產(chǎn)硬件和軟件許可證以及在環(huán)境中的配置

＞管理的軟件更新（通過自定義的更新計劃）

＞定義和使用所需的服務(wù)器等計算資源的配置

＞生成報告已安裝的軟件，更新掛起的操作，等等

＞安裝并維護應(yīng)用程序等

虛擬化平臺支持對CPU、內(nèi)存以及I/O設(shè)備的虛擬化，對外提供虛擬化能力支撐。

1）處理器虛擬化

2）內(nèi)存虛擬化

支持在線調(diào)整虛擬機內(nèi)存空間大小。

3）設(shè)備虛擬化

支持虛擬機以獨占方式更高效的操作PCT設(shè)備。

支持對具備PCI設(shè)備的透傳操作。

虛擬機管理：支持虛擬機的生命周期管理，包括：虛擬機啟動、停止、休眠等；支持

對虛擬機生成快照、虛擬機映像的檢查點技術(shù)、虛擬機的在線遷移等。

虛擬資源池管理：對資源池中的CPL；內(nèi)存、存儲以及網(wǎng)絡(luò)資源等進行管理，包括：

這些資源在虛擬機上的分配和釋放。

對虛擬機的實時監(jiān)控和告警功能：對虛擬機的運行狀態(tài)進行監(jiān)控，包括：虛擬機CPU

占用、虛擬機內(nèi)存占用等。對某些監(jiān)控值過大和虛擬機故障等情況進行報警。

支持對虛擬機進行集群配置：保證運行在虛擬機的業(yè)務(wù)應(yīng)用的高可靠性。

虛擬機創(chuàng)建時支持將現(xiàn)有物理主機系統(tǒng)轉(zhuǎn)換為同樣配置的虛擬機，也就是P2Z也支

持將虛擬機系統(tǒng)轉(zhuǎn)換成物理主機系統(tǒng)，也就是V2P。

4.8.10.2.各虛擬機之間如何實現(xiàn)備份和容災(zāi):

4.8.10.3.啟動高可用性策略后系統(tǒng)發(fā)現(xiàn)物理機故障則在其他物理機啟動該

虛機從而實現(xiàn)高可用性，容災(zāi)在虛機的存儲實行本地或者異地備份。

4.8.10.4.網(wǎng)絡(luò)資源池管理

■服務(wù)器共享資源池的網(wǎng)絡(luò)管理，分兩個部分：

■管理虛擬機虛擬交換機的控制單元

■虛擬機網(wǎng)絡(luò)管理通過虛擬化平臺實現(xiàn)。將物理服務(wù)器上的一個網(wǎng)絡(luò)端口連接管理網(wǎng)

絡(luò)（或管理VLAN）；另一個端口配置成Truck模式，直接連接生產(chǎn)網(wǎng)絡(luò)接口，使其支

持所有VLANTag數(shù)據(jù)包流入。由虛擬化平臺為每臺虛擬機的網(wǎng)卡標示生產(chǎn)網(wǎng)絡(luò)VLAN。

■管理物理交換機的控制單元

4.8.10.5.管理物理交換機可以通過預(yù)定義的交換機配置腳本，調(diào)用交換機

管理接口實現(xiàn)物理交換機進行配置，以及VLAN調(diào)整。

4.8.10.6.動態(tài)云平臺的網(wǎng)絡(luò)管理功能，經(jīng)過WebService包裝過的網(wǎng)絡(luò)管

理接口，調(diào)用兩套管理控制單元，在物理交換機與虛擬交換機共同調(diào)

整VLANTago實現(xiàn)系統(tǒng)的網(wǎng)絡(luò)集中管控。

4.8.10.7.存儲資源池管理

為了保證動態(tài)云計算平臺，能夠提供通用的存儲管理接口c屏蔽各個廠商的不同存儲

管理工具，為動態(tài)云平臺用戶提供統(tǒng)一的存儲溝通渠道。動態(tài)云平臺通過類接口與存

儲設(shè)備控制器通信：

■腳本接口，可以同過任何J預(yù)編寫得腳本文件，CLI命令調(diào)用各廠商存儲平臺。

■按照要求動態(tài)云平臺的建設(shè)，充分發(fā)揮系統(tǒng)管理架構(gòu)資源共享要求。按照合規(guī)性要

求提供變更管理的支持，提供虛擬化平臺以整合共享服務(wù)器資源，提供數(shù)據(jù)中心業(yè)務(wù)

連續(xù)性管理。以及服務(wù)健康和服務(wù)標準統(tǒng)計分析。

■讓用戶的物理機資源池與虛擬機資源池共享硬件平臺。通過自動化管理腳本，讓兩

類資源可快速互相轉(zhuǎn)換。

■通過跨平臺的網(wǎng)絡(luò)控制中心實現(xiàn)，物理網(wǎng)絡(luò)與虛擬網(wǎng)絡(luò)的統(tǒng)一管理。

■通過跨平臺的存儲控制中心實現(xiàn)，多廠家存儲統(tǒng)一管理。

■通過系統(tǒng)管理平臺對多廠商運維管理平臺、虛擬化平臺進行統(tǒng)一管理。

4.8.11.平臺特性

4.8.11.1,實現(xiàn)資源最優(yōu)利用

利用虛擬化技術(shù)，在一臺物理服務(wù)器或一套硬件資源上虛擬出多個虛擬機讓不

同的應(yīng)用服務(wù)運行在不同的虛擬機上。在不降低系統(tǒng)魯棒性、安全性和可擴展性的同時，可

提高硬件的利用率，減少應(yīng)用對硬件平臺的依賴性，從而使得企業(yè)能夠削減資金和運營成

本，同時改善1T服務(wù)交付，而不用受到有限的操作系統(tǒng)、應(yīng)用程序和硬件選擇范圍的制

約。

4.8.11.2.實現(xiàn)動態(tài)負載均衡資源

負載均衡是指通過負載均衡器的協(xié)調(diào)，將計算任務(wù)分摧到多個資源中執(zhí)行，從而整體上更

好地利用計算資源，加快響應(yīng)速度，提高服務(wù)質(zhì)量。

利用虛擬機與硬件無關(guān)的特性的虛擬機遷移技術(shù)，按需分配資源。利用虛擬機與硬件無關(guān)

的特性的虛擬機遷移技術(shù)，使得動態(tài)負載均衡變得簡單起來：當監(jiān)測到某個計算節(jié)點的負

載過高時，可以在不中斷業(yè)務(wù)的情況下，將其遷移到其它負載較輕的節(jié)點，或者在節(jié)點內(nèi)

通過重新分配計算資源，使得執(zhí)行緊迫計算任務(wù)的虛擬機得到更多的計算資源，從而保證

關(guān)鍵彳壬務(wù)的響應(yīng)能力。

動態(tài)負載均衡機制

4.8.11.3.系統(tǒng)自愈功能提升可靠性

實現(xiàn)經(jīng)濟高效、獨立于硬件和操作系統(tǒng)的應(yīng)用程序高可用性。

系統(tǒng)服務(wù)器硬件故障時，可自動重啟虛擬機。

消除在不同硬件上恢復(fù)操作系統(tǒng)和應(yīng)用程序安裝所帶來的困難，其中任何物理服務(wù)器均可

作為虛擬服務(wù)器的恢復(fù)目標減少硬件成本和維護成本。

4.8.11.4.提升系統(tǒng)節(jié)能減排能力

虛擬化平臺可與服務(wù)器管埋硬件配合實現(xiàn)智能電源管埋，通過優(yōu)化虛擬機資源的實際運行

位置，達到耗電最小化。可為運營商節(jié)省大量電力資源，減少供電成本，節(jié)能減排。

4.8.12.部署虛擬化的優(yōu)勢

1.提高服務(wù)器整合率：我們計劃部署虛擬化系統(tǒng)的高性能服務(wù)器數(shù)量是3臺，在部署

虛擬化之前可用的服務(wù)器也僅能有3臺，但部署虛擬化后服務(wù)器數(shù)量的可用能力達到

20~30臺，整合率達到10:1。也就意味著部署虛擬化后一段時間內(nèi)我們不需要增加服務(wù)器

的硬件投資。

2.大大降低硬件投入的資金：按照在傳統(tǒng)架構(gòu)的計算方式，我們?nèi)绻獙⑽锢矸?wù)器

的數(shù)量增加至20~30臺的話，還需要為各系統(tǒng)獨立考慮多項存儲等設(shè)備，整體的鏈路和環(huán)

境保障設(shè)施也需要更多投入，我們需要投入比虛擬化大得多的投資。但是，如果采用虛擬

化解決方案，整體投入能得到明顯的降低。

3.降低服務(wù)器的部署成本：部署虛擬化后，當我們需要增加一臺新的服務(wù)器的時候，

我們所花費的時間不會超過5分鐘。而如果按照傳統(tǒng)的方式，我們需要更長的時間，而且

會間接影響業(yè)務(wù)系統(tǒng)的運行。

4.提高系統(tǒng)可用性：匐以化具有天然的高可用性架構(gòu)和功能，加上整體硬件資源很容

易做到N+1的冗余，實現(xiàn)系統(tǒng)基本高可用的難度和成本大大降低。

5、新應(yīng)用測試、部署更加靈活：增強了新應(yīng)用系統(tǒng)的部署靈活性，從而提高IT服務(wù)

質(zhì)量，更好的完成各種信息化任務(wù)。

6、節(jié)省機房配套資源:部署虛擬化系統(tǒng)后，因極大的縮減了對物理服務(wù)器數(shù)量的需求,

所以可大大的減少電源供給、空調(diào)制冷、機房空間的占用等，節(jié)能減排，從而打造一個綠

色環(huán)保的數(shù)據(jù)中心。

7、災(zāi)備系統(tǒng)搭建方便：部署虛擬化系統(tǒng)后因各“服務(wù)器”是以虛擬機的形式存在，所

以可為數(shù)據(jù)的備份和容災(zāi)提供極大的方便，節(jié)省容災(zāi)成本，提供整體數(shù)據(jù)的安全性。

8、〃虛擬化”與〃非虛擬化”的具體對比（示例）

表1:虛擬化與非虛擬化投資對比參考（單位：萬元）

序號對比項目虛擬化非虛擬化備注

3臺物理刀片部署虛擬化，最少可

部署30臺服務(wù)器一

1120240整合30臺服務(wù)器（含存儲）

次性投資

2遠程管理功能08自身具有網(wǎng)絡(luò)統(tǒng)一管理功能

虛擬化軟件自身就已提供高可用

3局可用性028

性（HA）設(shè)計

43年電力成本8.189.1電源供電及空調(diào)制冷

53年維護成本