1、智慧校園建設(shè)技術(shù)建議書2015/12/13目 錄一、項目背景- 3 -二、總體建設(shè)目標- 3 -三、整體建設(shè)方案- 4 -3.1整網(wǎng)組網(wǎng)拓撲圖- 4 -3.2網(wǎng)絡建設(shè)方案- 5 -3.2.1校園網(wǎng)概述- 5 -3.2.2校園網(wǎng)建設(shè)目標- 6 -3.2.3校園網(wǎng)建設(shè)分析- 6 -校園核心層建設(shè)方案- 7 -大樓匯聚層建設(shè)方案- 9 -樓層接入層建設(shè)方案- 12 -網(wǎng)絡管理建設(shè)方案- 12 -3.3安全建設(shè)方案- 15 -3.3.1概述- 15 -3.3.2出口安全建設(shè)- 16 -出口雙機部署- 17 -路由安全-

2、 17 -防火墻- 18 -入侵防御- 18 -用戶行為管理- 19 -防病毒網(wǎng)關(guān)- 19 -3.3.3運維管理建設(shè)- 19 -3.4數(shù)據(jù)中心建設(shè)方案- 20 -3.4.1服務器虛擬化建設(shè)方案- 20 -概述- 20 -服務器虛擬化- 20 -刀片服務器優(yōu)勢- 21 -3.4.2存儲虛擬化建設(shè)- 22 -方案設(shè)計原則- 22 -存儲的優(yōu)勢- 23 -3.4.3數(shù)據(jù)中心安全建設(shè)- 24 -概述- 24 -虛擬機隔離設(shè)計- 24 -

3、虛擬防火墻部署優(yōu)勢- 25 -云平臺深度安全防護系統(tǒng)- 25 -3.5桌面云建設(shè)方案- 27 -3.5.1概述- 27 -3.5.2傳統(tǒng)桌面環(huán)境目前面臨的挑戰(zhàn)- 27 -3.5.3華為桌面云簡介- 28 -3.5.4華為桌面云優(yōu)勢分析- 29 -3.5.5華為桌面云主要硬件- 31 -3.6備份容災建設(shè)方案- 32 -3.6.1概述- 32 -3.6.2本地存儲異構(gòu)虛擬化建設(shè)- 33 -3.6.3異地存儲容災建設(shè)- 34 -3.6.4備份一體機建設(shè)- 35 -四、方案優(yōu)勢- 37 -4.1具有多層次安全防護優(yōu)勢- 37 -4.2具有可靠性優(yōu)勢- 39 -4.2.1虛擬化可靠性-

4、39 -4.2.2管理可靠性- 39 -4.2.3服務器可靠性- 39 -4.2.4存儲可靠性- 40 -4.2.5網(wǎng)絡可靠性- 40 -4.3具有成本節(jié)約的優(yōu)勢- 40 -五、方案預算- 42 -一、 項目背景智慧校園是以網(wǎng)絡為基礎(chǔ)，利用先進的信息化手段和工具，實現(xiàn)從環(huán)境（包括實驗室、教室、設(shè)備等）、資源（如公文、圖書、講義、課件等）、到活動（包括教、學、科研、管理、服務、辦公等） 的全部數(shù)字化、智能化，在傳統(tǒng)校園的基礎(chǔ)上構(gòu)建一個數(shù)字空間，以拓展現(xiàn)實校園的時間和空間維度，從而提升傳統(tǒng)校園的效率，擴展傳統(tǒng)校園的功能，最終實現(xiàn)教育過程的全面信息化，達到提高教育管理水平和效率的目的。 二、 總體建

5、設(shè)目標鑒于學校目前信息化現(xiàn)狀、客觀存在的問題以及實際需求，結(jié)合國內(nèi)學校信息化的發(fā)展趨勢，建議本次智慧校園建設(shè)總體目標設(shè)定為：夯實數(shù)字化的應用管理環(huán)境、智慧化的教學環(huán)境、有特色的校本課程建設(shè)環(huán)境和具有云計算能力的網(wǎng)絡平臺，最終建成一個開放、多元、人文、智慧、高效、安全、和諧的智慧校園，為學校實現(xiàn)戰(zhàn)略發(fā)展目標提供強有力的支持，實現(xiàn)學校教研、教學、管理、服務等整體信息化，達到提升教學質(zhì)量、提高人才培養(yǎng)水平、優(yōu)化管理流程的目的。使得信息化整體水平與學校的業(yè)務發(fā)展定位一致，整體提供學校核心競爭力，并實現(xiàn)學校優(yōu)質(zhì)高效的可持續(xù)發(fā)展。 細化目標如下：1、提出并確定智慧校園網(wǎng)絡的體系結(jié)構(gòu)；2、制定智慧校園的信息

6、標準與應用標準，以及各系統(tǒng)之間的接口標準； 3、建設(shè)一個為全校提供服務的數(shù)據(jù)中心，包括虛擬主機、應用服務、數(shù)據(jù)存儲服務、數(shù)據(jù)備份服務、數(shù)據(jù)安全服務等； 4、建立全校的網(wǎng)絡安全體系，保證校園網(wǎng)絡的安全、保證關(guān)鍵數(shù)據(jù)、關(guān)鍵應用的安全以及關(guān)鍵 業(yè)務部門的安全，實現(xiàn)校園網(wǎng)絡及其應用系統(tǒng)的安全高效運行；5、建立一整套校園信息管理系統(tǒng)，為實現(xiàn)“網(wǎng)上辦公、網(wǎng)上管理、網(wǎng)上教學、網(wǎng)上服務”提供全面的系統(tǒng)支持。 三、 整體建設(shè)方案3.1整網(wǎng)組網(wǎng)拓撲圖3.2網(wǎng)絡建設(shè)方案3.2.1校園網(wǎng)概述校園網(wǎng)是指在學校范圍內(nèi)鋪設(shè)的信息網(wǎng)絡，為學校師生提供快捷高效的教學、科研和綜合信息服務。校園網(wǎng)既需要承載科研信息共享、多媒體教學

7、、電子閱覽、教學資料存儲等教學相關(guān)的網(wǎng)絡業(yè)務，也要承載行政和總務管理、教師辦公、高校論壇等其他網(wǎng)絡業(yè)務，因此對網(wǎng)絡的性能、服務質(zhì)量等要求極高。隨著高校信息化的發(fā)展，網(wǎng)絡中所承載內(nèi)容的變化，以及接入終端的多樣化，校園網(wǎng)的建設(shè)也面臨著越來越多的新挑戰(zhàn)。1、網(wǎng)絡帶寬問題傳統(tǒng)校園網(wǎng)的接入層為百兆帶寬，已經(jīng)不能滿足現(xiàn)有網(wǎng)絡應用的高速傳輸需求。2、網(wǎng)絡運營問題l 接入場景復雜校園網(wǎng)有大量的固定資產(chǎn)（例如打印機、攝像頭、IP電話等）需要接入網(wǎng)絡，這些終端設(shè)備都需要穩(wěn)定運行；學生宿舍、教師公寓等地點又會有大量PC接入網(wǎng)絡；校園中訪客眾多，公共場所總會有訪客頻繁接入網(wǎng)絡；由于學生和教師樂于嘗試新技術(shù)，校園又是無

8、線終端非常密集的場所。l 網(wǎng)絡效率不高校園網(wǎng)中有大量的P2P及其他下載流量占用帶寬，導致重要網(wǎng)絡應用質(zhì)量不高；有多個網(wǎng)絡出口時，經(jīng)常會出現(xiàn)一個出口已經(jīng)非常擁塞，另一出口占用率卻很低的現(xiàn)象；無論從技術(shù)上還是管理上，運維都顯得非常復雜。l 網(wǎng)絡行為管理本著對學生負責的理念，校園網(wǎng)需要提供網(wǎng)絡行為管理的工具，對學生進行實名認證，對學生的上網(wǎng)行為進行約束，并對上網(wǎng)的行為能夠監(jiān)控記錄，必要時進行回溯。l IP地址分配校園網(wǎng)目前使用傳統(tǒng)的DHCP方式分配IP地址，對接入用戶缺乏有效的探測機制，地址回收效率也不高。校園網(wǎng)中終端接入頻繁，用戶移動頻率過快，使用DHCP方式會浪費大量IP地址資源。3、網(wǎng)絡安全問

9、題校園網(wǎng)的用戶具有極強的網(wǎng)絡技術(shù)以及好奇心，會不斷嘗試攻擊校園網(wǎng)絡；同時校園網(wǎng)應用繁多，結(jié)構(gòu)復雜，是網(wǎng)絡攻擊、網(wǎng)絡病毒滋生擴散的溫床。4、IPv6的過渡問題校園網(wǎng)往往走在網(wǎng)絡技術(shù)的最前線，作為網(wǎng)絡技術(shù)發(fā)展的必然趨勢，校園網(wǎng)更需要提前考慮IPV6的良好過渡。3.2.2校園網(wǎng)建設(shè)目標本期項目的目標是建立如下系統(tǒng)：1.構(gòu)造一個既能覆蓋本地又能與外界進行網(wǎng)絡互通、共享信息、展示校園的計算機網(wǎng)絡。選用技術(shù)先進、具有容錯能力的網(wǎng)絡產(chǎn)品，在投資和條件允許的情況下也可采用結(jié)構(gòu)容錯的方法完全符合開放性規(guī)范，將業(yè)界優(yōu)秀的產(chǎn)品集成于該綜合網(wǎng)絡平臺之中；2.配備網(wǎng)絡交換設(shè)備，整體網(wǎng)絡實現(xiàn)萬兆主干，千兆接入，保證未來各

10、應用系統(tǒng)的實施以及滿足學校各種計算機應用系統(tǒng)的大信息量的傳輸，為今后的網(wǎng)絡擴容作好準備；3設(shè)備選型在技術(shù)上具有先進性，通用性，且必須便于管理，維護。應具備未來良好的可擴展性，可升級性，保護學校的投資。設(shè)備要在滿足該項目的功能和性能上還具有良好的性價比。設(shè)備在選型上要是擁有足夠?qū)嵙褪袌龇蓊~的主流產(chǎn)品，同時也提供很好的售后服務；4.網(wǎng)管設(shè)計，提供可以對整個網(wǎng)絡系統(tǒng)進行管理的中文圖形界面工具，使系統(tǒng)維護人員可以集中控制網(wǎng)絡的所有設(shè)備，方便管理和維護。3.2.3校園網(wǎng)建設(shè)分析整個校園內(nèi)網(wǎng)采用扁平化設(shè)計理念，分成校園核心層、大樓匯聚層、樓層接入層和網(wǎng)絡管理四個部分，實現(xiàn)采用萬兆骨干，千兆到桌面，萬兆主

11、干具備40G擴展能力。校園核心層建設(shè)方案1、校園核心交換機校園核心交換機主要承載全校辦公和教學等業(yè)務系統(tǒng)數(shù)據(jù)轉(zhuǎn)發(fā)、樓宇之間互聯(lián)等功能，因此建議采用大交換容量、穩(wěn)定性高、可靠性強的電信級核心交換機。因此校園核心交換機應具備以下特點：支持強大的業(yè)務處理能力，提升網(wǎng)絡架構(gòu)擴展性l 多業(yè)務路由交換平臺，滿足學校接入、匯聚、核心業(yè)務承載要求，支持無線、語音、視頻和數(shù)據(jù)應用，為學校提供高可用、低時延、全業(yè)務的一體化網(wǎng)絡解決方案。l 支持分布式L2/L3 MPLS VPN功能，支持MPLS、VPLS、分層VPLS、VLL，滿足學校VPN等接入需求。l 完善的二、三層組播協(xié)議，支持PIM SM、

12、PIM DM、PIM SSM、MLD、IGMP Snooping，滿足多終端高清視頻監(jiān)控和視頻會議接入需求。支持運營級高可靠性設(shè)計，可視化故障診斷l(xiāng) 具備超越5個9的高可靠性，主控、電源、風扇等關(guān)鍵部件采用冗余設(shè)計，所有模塊均支持熱插拔。l 專用的故障檢測定位子卡，提供300pps/3.3ms高精度硬件級以太OAM功能，802.3ah、802.1ag和ITU-Y.1731標準協(xié)議，網(wǎng)絡故障發(fā)生時能夠在第一時間檢測所有終端Session聯(lián)通性，圖形化網(wǎng)管故障診斷界面，設(shè)備節(jié)點、鏈路自動遍歷，實現(xiàn)網(wǎng)絡快速故障檢測與定位。l 冗余控制引擎間主備無縫切換，設(shè)備優(yōu)雅重啟實現(xiàn)NSF無中斷轉(zhuǎn)發(fā)。支持ISSU

13、業(yè)務運行中軟件升級，設(shè)備軟件升級過程中確保關(guān)鍵業(yè)務和服務不中斷。支持完善的QOS機制，提升語音、視頻用戶體驗l 提供高品質(zhì)的QOS（Quality of Service）能力，支持從鏈路層到應用層流分類技術(shù)，具備完善的隊列調(diào)度算法、擁塞控制算法，能夠?qū)?shù)據(jù)流實現(xiàn)多級的精確調(diào)度，從而滿足學校不同用戶終端、不同業(yè)務種類的服務質(zhì)量要求。l 提供硬件組播QOS低延時隊列，全面滿足學校視頻業(yè)務優(yōu)先級保障需求，為視頻會議、監(jiān)控等關(guān)鍵業(yè)務提供高質(zhì)量承載保障。l 創(chuàng)新的優(yōu)先級調(diào)度算法，對傳統(tǒng)QOS隊列調(diào)度進行了專門針對學校語音與視頻的優(yōu)化，大幅降低IP語音時延、消除視頻馬賽克，提高用戶體驗。支持高性能IPv6

14、業(yè)務能力，IPv4到IPv6平滑升級l 要求軟硬件平臺均支持IPv6，取得工信部IPv6入網(wǎng)認證和IPv6 Ready第二階段金色認證。l 支持IPv4/IPv6雙協(xié)議棧，支持多種隧道技術(shù)，支持IPv6靜態(tài)路由、RIPng、OSPFv3、BGP+、IS-ISv6、IPv6組播，滿足IPv6獨立組網(wǎng)和IPv4/IPv6混合組網(wǎng)要求。支持智能流量負載均衡，提升校園IT利用效率l 要求負載均衡器支持加權(quán)輪詢、基于連接數(shù)、加權(quán)IP地址Hash和基于HTTP URL的Hash等多種均衡調(diào)度算法，全面滿足客戶負載均衡要求。l 要求負載均衡器支持TCP和HTTP重用，減輕服務器拆除/建立TCP連接的負載，提

15、高服務器訪問效率。l 要求負載均衡器支持動態(tài)“鎖流”技術(shù)，滿足校園網(wǎng)站在線視頻負載均衡需求。強大的網(wǎng)絡流量分析能力，隨時網(wǎng)絡健康診斷l(xiāng) 要求支持隨板分布式網(wǎng)絡Netstream業(yè)務分析功能，滿足用戶對網(wǎng)絡流量實時采集、分析需要。l 支持Netstream V5/V8/V9多種報文格式，支持聚合流量模板，減輕網(wǎng)絡采集器系統(tǒng)壓力，支持實時流量采集、動態(tài)報表生成、屬性分析、流量異常告警等功能。l 幫助客戶對網(wǎng)絡流量進行實時監(jiān)控、現(xiàn)網(wǎng)設(shè)備吞吐分析，為優(yōu)化網(wǎng)絡結(jié)構(gòu)、科學合理擴容提供決策依據(jù)。無線AC模塊，全面滿足移動辦公需求l 要求無線AC板卡支持豐富的RF（射頻）管理。支持AP上線時自動選擇信道和功率

16、，在AP重疊區(qū)域，信號沖突時自動調(diào)整功率或信道，RSSI（接收信號強度指示）/SNR（信噪比）的不斷更新，讓系統(tǒng)可以實時了解每一個無線用戶所處電磁環(huán)境，提升網(wǎng)絡可用性。l 要求無線AC板卡支持802.1x認證、MAC地址認證、Portal認證、WAPI認證等多種認證方式，滿足客戶不同終端、不同安全等級設(shè)備的接入需求。l 支持二、三層漫游，終端設(shè)備跨AP漫游快速切換，AC間1+1、N+1多機冷備和AC間負載分擔提高網(wǎng)絡可靠性。創(chuàng)新節(jié)能芯片，智能功耗控制l 創(chuàng)新節(jié)能芯片，實現(xiàn)按流量動態(tài)調(diào)整功率，支持端口休眠，無流量不耗電。l 智能POE供電，可以實現(xiàn)基于PD設(shè)備角色啟動不同的能源管理方案，保持設(shè)備

17、能源管理彈性。l 支持IEEE 802.3az能效以太網(wǎng)標準，線卡收發(fā)器具備低功率閑置模式，支持正常工作與低功率狀態(tài)快速轉(zhuǎn)換，低流量低功耗。2、校園網(wǎng)出口防火墻由于內(nèi)網(wǎng)出口防火墻負責與學校內(nèi)網(wǎng)互連的任務，在防火墻上配置訪問控制列表ACL，通過ACL將三層IP數(shù)據(jù)包進行首次過濾，過濾掉不符合條件的數(shù)據(jù)。同時負責出口安全防護功能。3、校園網(wǎng)出口路由器一般情況下，路由設(shè)備主要工作在OSI七層網(wǎng)絡模型中的第三或四層，負責校內(nèi)網(wǎng)數(shù)據(jù)路由交換功能，因此出口路由器要采用高轉(zhuǎn)發(fā)性能、高安全、高可靠。大樓匯聚層建設(shè)方案大樓匯聚層交換機主要負責對接入層提供大數(shù)據(jù)量的匯聚功能，同時要滿足不同業(yè)務之間的

18、隔離，因此匯聚交換機應采用具備大容量、高密度千兆端口，可提供萬兆上行的萬兆交換機。因此采用大樓匯聚交換機應具備以下特點：強大的多業(yè)務支持能力l 要求支持IGMP Snooping/ IGMP v3 snooping/Filter/Fast Leave/Proxy等協(xié)議。要求支持線速的跨VLAN組播復制功能，支持捆綁端口的組播負載分擔，支持可控組播，可以充分滿足IPTV和其他組播業(yè)務的需求。l 要求支持MCE 功能，實現(xiàn)了不同VPN用戶在同一臺設(shè)備的隔離，有效解決用戶數(shù)據(jù)安全問題，同時降低用戶投資成本。完備的高可靠保護機制l 要求不僅支持傳統(tǒng)的STP/RSTP/MSTP生成樹協(xié)議，還支持Smar

19、tLink和RRPP等增強型以太網(wǎng)技術(shù)，可以實現(xiàn)毫秒級鏈路保護倒換，保證高可靠性的網(wǎng)絡質(zhì)量。此外，針對Smartlink和 RRPP均提供多實例功能，可實現(xiàn)鏈路負載分擔，進一步提高了鏈路帶寬利用率。l 要求支持以太Trunk（E-Trunk）功能。在使用E-Trunk之后，CE設(shè)備可以通過E-Trunk雙歸接入到兩臺PE設(shè)備上。從而把鏈路可靠性從單板級提高到了設(shè)備級，大大增強了設(shè)備級的可靠性。從而實現(xiàn)了跨設(shè)備的鏈路聚合和鏈路負載分擔功能。極大的提升了接入側(cè)設(shè)備的可靠性。l 要求支持智能以太保護SEP（Smart Ethernet Protection），SEP是一種專用于以太網(wǎng)鏈路層的環(huán)網(wǎng)協(xié)議

20、。適用于半環(huán)組網(wǎng)場景，部署時可獨立于上層匯聚設(shè)備，并提供50ms的快速業(yè)務倒換性能。保證業(yè)務的不中斷。在華為設(shè)備上已經(jīng)利用SEP協(xié)議實現(xiàn)了以太網(wǎng)鏈路管理。SEP協(xié)議簡單可靠、倒換性能高、維護方便、拓撲靈活，可以大大方便用戶進行網(wǎng)絡的管理和規(guī)劃。l 要求支持雙電源冗余供電，也可以交、直流同時輸入。用戶可靈活選擇單電源工作模式或者雙電源工作模式，提高了設(shè)備可靠性。l 要求支持BFD鏈路快速檢測功能，能為OSPF、ISIS、VRRP、PIM等協(xié)議提供毫秒級檢測機制，提高了網(wǎng)絡可靠性。要求遵循IEEE 802.3ah和802.1ag提供點到點以太網(wǎng)故障管理功能，可以用于檢測用戶側(cè)最后一公里以太網(wǎng)直連鏈

21、路上的故障。完備的QoS策略和安全機制l 要求系列交換機可以基于五元組、IP優(yōu)先級、TOS、DSCP、IP協(xié)議類型、ICMP類型、TCP源端口、VLAN、以太網(wǎng)幀協(xié)議類型、CoS等信息，實現(xiàn)復雜流分流功能，支持雙向ACL。5700支持基于流的雙速三色限速功能，每端口支持8個優(yōu)先級隊列，支持WRR、DRR、SP、WRRSP、DRR+SP多種隊列調(diào)度算法，有效地保證了話音、視頻和數(shù)據(jù)等網(wǎng)絡業(yè)務質(zhì)量。l 要求系列交換機提供多種安全保護功能。支持DoS（Denial of Service）類防攻擊、網(wǎng)絡的防攻擊、用戶的防攻擊等功能。其中Dos類防攻擊主要包括SYN Flood、Land、Smurf、I

22、CMP Flood。網(wǎng)絡的防攻擊主要是指STP的bpdu/root攻擊。用戶的防攻擊涉及DHCP仿冒攻擊、中間人攻擊、IP/MAC Spoofing 攻擊、DHCP request flood、改變 CHADDR 值的 DoS 攻擊等等。l 要求支持通過建立和維護DHCP Snooping 綁定表，偵聽接入用戶的MAC/IP 地址、租用期、VLAN-ID、接口等信息，解決 DHCP 用戶的IP 和端口跟蹤定位問題。同時，對不符合綁定表項的非法報文（ARP欺騙報文、擅自修改IP地址等）直接丟棄，有效防止黑客或攻擊者通過ARP報文實施園區(qū)網(wǎng)常見的“中間人”攻擊。利用DHCP Snooping 的信

23、任端口特性還可以保證DHCP Server 的合法性。l 要求支持ARP表項嚴格學習功能，可以防止因ARP欺騙攻擊將交換機ARP表項占滿，導致正常用戶無法上網(wǎng)。同時，支持IP Source Check 特性，防止包括MAC 欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒帶來的DOS攻擊。l 要求支持集中式MAC地址認證和802.1x 認證及NAC功能，支持用戶賬號、IP、MAC、VLAN、端口、客戶端是否安裝病毒防范等用戶標識元素的動態(tài)或靜態(tài)綁定，同時實現(xiàn)用戶策略（VLAN、QoS、ACL）的動態(tài)下發(fā)。l 要求支持基于端口的源MAC地址學習限制功能，有效防止用戶源MAC欺騙沖擊設(shè)備MAC表

24、項，導致正常用戶無法學到MAC表而泛洪的問題等。免維護易部署l 要求支持自動配置、即插即用、USB開局、自動批量遠程升級等功能，便于部署升級和業(yè)務發(fā)放，簡化后續(xù)的管理和維護性能。從而大大降低了維護成本。要求支持SNMP V1/V2/V3， CLI命令行、Web網(wǎng)管、TELNET、HGMP集群管理等多樣化的管理和維護方式，設(shè)備管理更加靈活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主機、基于端口的流量統(tǒng)計，支持NQA網(wǎng)絡質(zhì)量分析，有利于進一步作好網(wǎng)絡規(guī)劃和改造。樓層接入層建設(shè)方案接入層設(shè)備主要提供千兆桌面接入功能，建議采用靜音低耗可堆疊的智能千兆桌面交換機即可。因

25、此樓層接入交換機應具備以下特點：全新節(jié)能設(shè)計，引領(lǐng)低碳通信l 要求全系列設(shè)備采用無風扇靜音設(shè)計，降低整機功耗的同時，讓您免除噪音的煩擾。要求整機遵循IEEE 802.3az（Energy Efficient Ethernet 能效以太網(wǎng)），提供端口低耗電閑置模式，大幅度降低功耗。要求可根據(jù)線纜長度進行相應輸出功率調(diào)整，并且支持無連接時端口休眠優(yōu)異的安全性能l 要求支持豐富的安全特性，如802.1x、RADIUS、NAC等安全認證方式。還支持MAC地址過濾和端口過濾功能，能有效防范黑客、病毒攻擊，提供安全可靠的網(wǎng)絡服務。強大的組網(wǎng)和帶寬擴展能力l 要求提供LACP、STP/RSTP/MSTP等功

26、能，可有效實現(xiàn)鏈路擴展及備份。 SNMP管理型交換機支持高達8個MSTP實例，讓組網(wǎng)無憂。網(wǎng)絡管理建設(shè)方案eSight是華為推出的新一代面向?qū)W校園區(qū)和分支網(wǎng)絡管理系統(tǒng)，實現(xiàn)對學校資源、業(yè)務、用戶的統(tǒng)一管理以及智能聯(lián)動。eSight支持對IT&IP，以及非華為設(shè)備的統(tǒng)一管理，同時對網(wǎng)絡流量、接入認證角色等進行智能分析，自動調(diào)整網(wǎng)絡控制策略，全方位保證學校網(wǎng)絡安全。同時，eSight提供靈活的開放平臺，為學校量身打造自己的智能管理系統(tǒng)提供基礎(chǔ)。對于網(wǎng)絡運維人員而言，日常維護工作不僅繁雜，而且工作量大，涉及的工作內(nèi)容包括監(jiān)控拓撲對象、監(jiān)控網(wǎng)元、配置網(wǎng)元、監(jiān)控業(yè)務、診斷故障、監(jiān)控性能、查

27、看資源、報表生成等。華為公司推薦eSight網(wǎng)絡管理系統(tǒng)，可以準確、快捷的提供運維人員所需要的信息，大大減輕運維人員的工作量。通過eSight網(wǎng)絡管理系統(tǒng)豐富的管理功能和靈活多樣的維護手段，可以輕松實現(xiàn)網(wǎng)絡日常維護。1、有線無線一體化網(wǎng)絡管理通過eSight物理拓撲，可以統(tǒng)一監(jiān)控交換機、路由器、安全設(shè)備、H3C設(shè)備、Cisco設(shè)備以及IT設(shè)備。對網(wǎng)絡中的AC、POE交換機、FIT AP等無線設(shè)備與有線設(shè)備進行一體化集中管理，直觀地看到設(shè)備之間的連接關(guān)系、設(shè)備的狀態(tài)及告警，全網(wǎng)設(shè)備信息和狀態(tài)一目了然。l 輕松實現(xiàn)業(yè)務部署，支持無線設(shè)備的批量配置，提升管理效率向?qū)降臉I(yè)務部署以及基于表單AP導入，

28、可加速WLAN的業(yè)務部署。通過對華為AC設(shè)備的管理，實現(xiàn)對WLAN業(yè)務的配置。AP的信息都配置在AC上，當AP上線建立隧道后從AC獲取信息。l 多拓撲視圖，方便用戶從多角度了解無線網(wǎng)絡的狀態(tài)業(yè)務拓撲 ：展現(xiàn)AC、AP、終端用戶之間連接關(guān)系及詳細信息查看，并示意非法 AP的存在；提供無線業(yè)務的故障診斷能力（比如Ping）。位置拓撲：可進行障礙物設(shè)置，使得用戶可以了解不同障礙物對信號衰減的影響?？刹榭串斍盁狳c位置及射頻信號覆蓋范圍并在視圖上標識當前非法AP位置及沖突域。顏色表示不同的頻段， 深淺表示信號的范圍，紅色顯示沖突域。2、網(wǎng)絡管理效率快速、穩(wěn)定的網(wǎng)絡訪問速度可以提高辦公和學習效率，但在日常

29、中，常常會出現(xiàn)網(wǎng)速太慢，無法正常辦公的窘?jīng)r。需要了解網(wǎng)絡中的流量是被如何消耗掉的。哪些應用占用了大量的帶寬，這些帶寬是如何造成的，是否應該調(diào)整網(wǎng)絡的QoS策略，或是對網(wǎng)絡進行擴容。Huawei eSight NTA網(wǎng)流分析組件，基于NetFlow、NetStream、sFlow 協(xié)議對網(wǎng)絡流量進行深入分析，收集路由器、三層交換機輸出的流信息，提供自定義報表功能，幫助網(wǎng)絡管理員掌握流量及帶寬使用情況，及時發(fā)現(xiàn)網(wǎng)絡瓶頸，為網(wǎng)絡規(guī)劃及故障診斷等提供依據(jù)。多維度：接口流量排行、接口利用率流量排行、應用流量排行、協(xié)議流量排行、來源主機流量排行、目的主機流量排行、會話流量排行、DSCP流量排行。可定制：展

30、現(xiàn)內(nèi)容、展現(xiàn)形式、內(nèi)容排版可定制。支持局部流量刷新，不引起整體界面變化。接口流量排行和接口利用率排行，展示接口流量匯總信息，包括流入速率、流出速率、流入數(shù)據(jù)包、流出數(shù)據(jù)包等。點擊一個具體的接口，可從應用、主機、會話、DSCP等多維度了解該接口基于時間的流量構(gòu)成。通過Huawei eSight NTA網(wǎng)流分析組件可以精確分析出網(wǎng)絡的使用效率情況，從而為網(wǎng)絡運維提供助力。3.3安全建設(shè)方案3.3.1概述在出口邊界區(qū)域中，防火墻透明接入網(wǎng)絡，不對網(wǎng)絡邏輯拓撲產(chǎn)生影響。使用防火墻將校園網(wǎng)劃分成內(nèi)網(wǎng)、外網(wǎng)、DMZ等不同區(qū)域，為不同區(qū)域劃分不同的優(yōu)先級，同時設(shè)置不同區(qū)域間的互訪策略，以避免越權(quán)訪問。使用防

31、火墻來防御網(wǎng)絡的大多數(shù)的攻擊行為，以保證網(wǎng)絡運行的穩(wěn)定性，并且可以對網(wǎng)絡內(nèi)流量進行多維度的監(jiān)測。使用上網(wǎng)行為管理對校園內(nèi)部用戶的上網(wǎng)行為進行管理和監(jiān)控，并可以對網(wǎng)絡流量實現(xiàn)基于用戶和應用的精細化話管理。本方案中在外網(wǎng)使用上網(wǎng)行為管理對用戶上網(wǎng)行為進行分析，對網(wǎng)絡中運行的具體應用流量進行管控，可以規(guī)范用戶的上網(wǎng)行為?？蓪崿F(xiàn)如下功能：流量控制：傳統(tǒng)網(wǎng)絡中，設(shè)備僅僅能依靠MAC地址、VLAN等信息進行具體用戶的流量識別，無法實施精細化的流量監(jiān)控。上網(wǎng)行為管理基于產(chǎn)品內(nèi)的應用協(xié)議分析能力，基于用戶、應用/協(xié)議、時間、鏈路、帶寬等多維度調(diào)控手段并支持其靈活組合，從而實現(xiàn)精細化的網(wǎng)絡流量管控。網(wǎng)絡違法溯源

32、：eSight可以進行海量日志采集、存儲、審計，對防火墻的日志進行智能分析，結(jié)合ASG的行為管理功能，對于校園網(wǎng)絡用戶的一些違規(guī)網(wǎng)絡行為，可以實現(xiàn)快速追蹤溯源，使管理方可以準確尋找到違規(guī)行為的責任人，消除安全隱患。行為管理與審計：上網(wǎng)行為管理實現(xiàn)對管道內(nèi)網(wǎng)絡流量的深入檢測，分析，并把對象和訪問情況進行數(shù)據(jù)化的統(tǒng)計分析，形成直觀報表。上網(wǎng)行為管理針對特殊定義的檢測目標和執(zhí)行策略，深入到訪問內(nèi)容，為滿足法律法規(guī)提供技術(shù)支撐。流量管理和行為管理與認證體系融合為一體。并對網(wǎng)絡內(nèi)的各項安全、網(wǎng)絡數(shù)據(jù)信息實現(xiàn)統(tǒng)一的分析，為教學業(yè)務提供有力支撐。3.3.2出口安全建設(shè)校園網(wǎng)絡威脅主要來自兩方面:一，來自外網(wǎng)

33、的威脅，二，內(nèi)網(wǎng)的威脅。邊界出口安全建設(shè)是網(wǎng)絡建設(shè)的重中之重：互聯(lián)網(wǎng)出口部署高性能的防火墻來保證網(wǎng)絡層3-4層的網(wǎng)絡安全，有效防止DDos攻擊和非法入侵。同時部署IPS（入侵防御系統(tǒng)）來監(jiān)控來自網(wǎng)絡4-7層的蠕蟲攻擊、木馬入侵、紅色代碼入侵等的威脅。由此構(gòu)建網(wǎng)絡2-7層的安全防護。保障整個網(wǎng)絡的安全。出口雙機部署校園網(wǎng)出口處從上至下分別部署出口路由器、防火墻、上網(wǎng)行為管理，所有設(shè)備全部雙機部署，兩臺上網(wǎng)行為管理物理接口通過萬兆接口分別連接到兩臺核心交換機，提供全冗余的物理連接，萬兆的接口速率確保內(nèi)部接口不會產(chǎn)生性能瓶頸，和滿足未來業(yè)務發(fā)展需求。校園網(wǎng)出口必須具有高性能、高可靠、高

34、安全 、可擴展的基本性能。承擔網(wǎng)絡出口建設(shè)的所有網(wǎng)絡設(shè)備必須具備高可靠性要求，以確保整個校園網(wǎng)內(nèi)部用戶對互聯(lián)網(wǎng)的正常訪問。網(wǎng)絡設(shè)備可靠性體現(xiàn)在雙主控、冗余備份、熱插拔等方面。整個互聯(lián)網(wǎng)出口采用兩條完全一致的通路互為備份。兩條通路的設(shè)備之間通過心跳線連接。當兩條通路中的任意一條發(fā)生故障時，可通過路由的重新計算，通過第二條通道進行數(shù)據(jù)傳輸。此外，所有安全防御設(shè)備透明部署，部署起來更加方便，增加了網(wǎng)絡的安全性，又降低了用戶管理的復雜程度。校園網(wǎng)通過NAT技術(shù)，與互聯(lián)網(wǎng)進行安全可控連接。為保證互聯(lián)網(wǎng)出口穩(wěn)定性，考慮采用由兩個互聯(lián)網(wǎng)服務提供商實現(xiàn)雙出口，通過光纖與其相連，出口速率為1000M。為避免線路

35、資源浪費，合理使用網(wǎng)絡資源，防火墻設(shè)備提供智能鏈路負載均衡功能，能夠根據(jù)目標地址、用戶、應用、鏈路負載等多元素靈活組合來實現(xiàn)鏈路資源的智能路由。路由安全一般情況下，接入路由設(shè)備主要工作在OSI七層網(wǎng)絡模型中的第三或四層，在邊界路由器上配置訪問控制列表ACL，通過ACL將三層IP數(shù)據(jù)包進行首次過濾，過濾掉不符合條件的數(shù)據(jù)。為此在邊界路由器上配置訪問控制策略可以實現(xiàn)： (1)限制病毒和黑客在網(wǎng)絡層對內(nèi)部絡的攻擊，并進行第一層過濾，以減輕邊界防火墻的壓力。 (2)在邊界防火墻現(xiàn)問題時，可臨時頂替防火墻緩和Internet對內(nèi)部網(wǎng)絡的攻擊。防火墻出口防火墻作為訪問控制設(shè)備，

36、其主要作用是實現(xiàn)Internet 與校園網(wǎng)之問的隔離、重要區(qū)域保護、訪問控制等，以達到保護應用服務系統(tǒng)、控制對中心網(wǎng)絡的訪問、記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能，并且在網(wǎng)絡接入時，全部通信都受到防火墻的監(jiān)控，通過防火墻過濾網(wǎng)絡中不必要傳輸?shù)睦鴶?shù)據(jù)，以及做流量控制，調(diào)整鏈路的帶寬利用，做到更強更好的控制，真正發(fā)揮防火墻最大功效。本次部署的兩臺萬兆防火墻在本方案中部署方式為NAT模式，隔離校園網(wǎng)與互聯(lián)網(wǎng)，對校園網(wǎng)進行24層防御，為保障只允許符合條件的設(shè)備才能訪問互聯(lián)資源，應當制定以下策略：允許訪問策略：各種互聯(lián)網(wǎng)服務器允許對校園網(wǎng)、互聯(lián)網(wǎng)提供服務；允許互聯(lián)網(wǎng)用戶訪問互聯(lián)網(wǎng)服務

37、區(qū)對外提供的服務；殺毒服務器允許訪問互聯(lián)網(wǎng)，進行病毒庫升級。 禁止訪問策略：除以上允許訪問策略外，各區(qū)域之間為禁止互訪。 入侵防御安全威脅更多地來自于應用層，比如說蠕蟲、病毒、木馬 、DoS DDoS、間諜軟件 、網(wǎng)絡釣魚、P2PIM網(wǎng)游等帶寬濫用，通過在網(wǎng)絡關(guān)鍵路徑上部署入侵防御設(shè)備， 可以對流經(jīng)該關(guān)鍵路徑上的網(wǎng)絡數(shù)據(jù)流進行27層的深度分析識別，從而對業(yè)務應用、網(wǎng)絡基礎(chǔ)設(shè)施和網(wǎng)絡性能實 現(xiàn)安 全保護。由于入侵防御的防護都是基于規(guī)則庫，因此規(guī)則庫的全面性是其價值所在，應該涵蓋病毒、協(xié)議、攻擊特征等所有方面?？紤]到實際應用價值，規(guī)則庫應該具備本地特點，可以實現(xiàn)對國內(nèi)的主流威脅和應用

38、識別，并定期實時自動更新。在功能方面，入侵防御設(shè)備要避免對正常業(yè)務流量的錯誤防御；當出現(xiàn)掉電等故障時，可以實現(xiàn)自動短路功能，從而保證業(yè)務流量的正常運行。本方案中IPS的部署方式為交換模式，對校園網(wǎng)進行47層保護，防止病毒等應用層攻擊。用戶行為管理為防止校園內(nèi)部用戶非法信息惡意傳播，避免涉密信息的泄露；并可實時監(jiān)控、管理網(wǎng)絡資源使用情況，提高整體工作效率，快速定位可疑用戶。我們在安全運維平臺中增添上網(wǎng)行為管理設(shè)備，主要實現(xiàn)以下功能：上網(wǎng)人員管理:上網(wǎng)身份管理 上網(wǎng)終端管理 移動終端管理 上網(wǎng)地點管理上網(wǎng)瀏覽管理:搜索引擎管理 網(wǎng)址URL管理 網(wǎng)頁正文管理 文件下載管理.上網(wǎng)外發(fā)管理

39、:普通郵件管理 WEB郵件管理 網(wǎng)頁發(fā)帖管理 即時通訊管理 其他外發(fā)管理.上網(wǎng)應用管理:上網(wǎng)應用阻斷 上網(wǎng)應用累計時長限額 上網(wǎng)應用累計流量限額.上網(wǎng)流量管理:上網(wǎng)帶寬控制 上網(wǎng)帶寬保障 上網(wǎng)帶寬借用 上網(wǎng)帶寬平均上網(wǎng)行為分析:上網(wǎng)行為實時監(jiān)控 上網(wǎng)行為日志查詢 上網(wǎng)行為統(tǒng)計分析由以上各安全體系構(gòu)成了廬江縣校園網(wǎng)覆蓋OSI 2-7層的縱深防御體系。防病毒網(wǎng)關(guān)對于學校網(wǎng)絡，一個安全系統(tǒng)的首要任務就是阻止病毒通過電子郵件與附件入侵。當今的威脅已經(jīng)不單單是一個病毒，經(jīng)常伴有惡意程序、黑客攻擊以及垃圾郵件等多種威脅。網(wǎng)關(guān)作為校園網(wǎng)絡連接到另一個網(wǎng)絡的關(guān)口，就象是一扇大門，一旦大門敞開，學

40、校的整個網(wǎng)絡信息就會暴露無遺。從安全角度來看，對網(wǎng)關(guān)的防護得當，就能起到“一夫當關(guān)，萬夫莫開”的作用，反之，病毒和惡意代碼就會從網(wǎng)關(guān)進入校園內(nèi)部網(wǎng)，為校園帶來巨大損失。防病毒網(wǎng)關(guān)是一種網(wǎng)絡設(shè)備，用以保護網(wǎng)絡內(nèi)（一般是局域網(wǎng)）進出數(shù)據(jù)的安全。主要體現(xiàn)在病毒殺除、關(guān)鍵字過濾（如色情、反動）、垃圾郵件阻止的功能，同時部分設(shè)備也具有一定防火墻（劃分Vlan）的功能，有效的保護網(wǎng)絡內(nèi)進出數(shù)據(jù)的安全性，使網(wǎng)絡中的數(shù)據(jù)更加安全。3.3.3運維管理建設(shè)運維區(qū)分三個方面對服務器虛擬化平臺進行運維：l 建設(shè)全網(wǎng)管理平臺，實現(xiàn)全網(wǎng)的分級分權(quán)管理。通過網(wǎng)管系統(tǒng)對全網(wǎng)的拓撲和設(shè)備進行管理，具有設(shè)備仿真面板所見即所得和對

41、第三方主流設(shè)備管理的能力，可以管理管理大規(guī)模的無線管理網(wǎng)絡，對設(shè)備配置變更、收集軟件版本為多臺設(shè)備統(tǒng)一批量配置和升級，大大節(jié)省管理員的工作量。l 部署應用負載均衡有效地解決數(shù)據(jù)流量過大、網(wǎng)絡負荷過重的問題，并且不需花費昂貴開支購置性能卓越的服務器，充分利用現(xiàn)有設(shè)備，避免服務器單點故障造成數(shù)據(jù)流量的損失。其有靈活多樣的均衡策略把數(shù)據(jù)流量合理地分配給服務器群內(nèi)的服務器共同負擔。即使是再給現(xiàn)有服務器擴充升級，也只是簡單地增加一個新的服務器到服務群中，而不需改變現(xiàn)有網(wǎng)絡結(jié)構(gòu)、停止現(xiàn)有的服務。l 增加一臺無線控制器，對網(wǎng)絡中的無線AP進行統(tǒng)一管理，實現(xiàn)有線無線一體化，簡化人員維護難度。3.4數(shù)據(jù)中心建設(shè)

42、方案3.4.1服務器虛擬化建設(shè)方案概述服務器區(qū)采用的是高性能刀片服務器，學校共有1200個云桌面的需求，一個256內(nèi)存的兩路刀片能支持60個桌面，共需要20個刀片，為保證性能每個刀片配置固態(tài)盤，做二級緩存。另現(xiàn)有的業(yè)務要運行在虛擬化環(huán)境中，使用 6個刀片做虛擬化服務器的方式來解決計算資源的分配問題，由于數(shù)據(jù)庫的低延時和高性能的要求，所以數(shù)據(jù)庫服務器用單獨的物理機來承載，在兩塊四路刀片上部署服務器。通過虛擬化整合物理服務器，將業(yè)務遷移到云平臺上，可通過資源共享實現(xiàn)最大的利用率，節(jié)約硬件投資和維護成本。服務器虛擬化傳統(tǒng)物理服務器系統(tǒng)建設(shè)方式粗放、建設(shè)模式單一顯然不能滿足

43、數(shù)據(jù)中心建設(shè)的需求。虛擬化技術(shù)很好地解決了傳統(tǒng)服務器系統(tǒng)建設(shè)的問題，通過提高虛擬化服務器利用率大幅度消減物理服務器購置需求、數(shù)量和運營成本；通過利用服務器虛擬化中CPU、內(nèi)存、I0資源的動態(tài)調(diào)整能力實現(xiàn)對業(yè)務應用資源需求的動態(tài)響應，提升業(yè)務應用的服務質(zhì)量；通過在線虛擬機遷移實現(xiàn)更高的可用性和可靠性以及各種基于資源優(yōu)化或節(jié)能減排策略的跨物理服務器的調(diào)度等等。因此，服務器虛擬化技術(shù)是云計算中心應用和平臺建設(shè)的核心解決方案。服務器虛擬化技術(shù)特點：l 分區(qū)：在一個物理系統(tǒng)中，可以支持多個應用程序和操作系統(tǒng)?？稍跀U展或擴張。體系結(jié)構(gòu)中將服務器整合到虛擬機中。計算資源被視為以可控方式分配給虛擬機的統(tǒng)一池。

44、l 隔離：虛擬機與主機和其他虛擬機完全隔離。如果一個虛擬機崩潰，所有其他虛擬機不會受到影響。虛擬機之間不會泄露數(shù)據(jù)，而且應用程序只能通過配置的網(wǎng)絡連接進行通信。l 封裝：完整的虛擬機環(huán)境保存為文件，便于進行備份、移動和復制，為應用程序提供標準化的虛擬硬件，可保證兼容性。綜上分析，建議本期計算資源池采用服務器虛擬化架構(gòu)。刀片服務器優(yōu)勢本次數(shù)據(jù)中心建設(shè)采用刀片存儲架構(gòu)，采用刀片服務器較傳統(tǒng)機架服務器的優(yōu)點如下：l 高密度計算：Web等分散式的應用系統(tǒng)更接近分布式計算同一時間內(nèi)大量進程并行，而單一進程的計算處理要求又非常低，正符合刀片式服務器強調(diào)高密度分散計算的架構(gòu)。對于刀片式服務器而

45、言，增大的計算密度使數(shù)據(jù)中心能用更少的空間服務于更多的客戶，也能讓網(wǎng)站降低托管費用。l 低功耗：在設(shè)計上，刀片服務器就是通過集中共享機箱中的電源、網(wǎng)絡以及散熱等設(shè)備來實現(xiàn)的。如此，不僅減少了冗余部件的使用數(shù)量，也通過“池化”的電源供應等，享有更好的供電效率。l 總體成本低：在網(wǎng)絡規(guī)模不斷擴大，數(shù)據(jù)中心設(shè)備需要擴充的時候，刀片服務器的優(yōu)越性就體現(xiàn)出來了。刀片服務器的擴容僅需購買若干刀片，插入刀片服務器機箱中，再與背板交換模塊相連即可，擴展步驟較機架服務器簡單易操作。同時，刀片服務器的擴充不需要買昂貴的服務器機柜，從長遠看來交機架服務器更經(jīng)濟。l 機房布線和管理復雜度低：刀片服務器在機房布線只要統(tǒng)

46、一布設(shè)網(wǎng)絡線、電源線。刀片服務器之間不需要人為布線;而機架式服務器則要分別對每臺服務器的網(wǎng)絡線、電源線進行配線，如果一個42U的機柜上安裝多臺1U的服務器時，機柜后面的布線就非常多，看起來比較凌亂。3.4.2存儲虛擬化建設(shè)方案設(shè)計原則結(jié)合學校的業(yè)務需求，存儲系統(tǒng)在建設(shè)過程中應當遵循如下原則進行：1、安全可靠性原則：l 系統(tǒng)器件選擇要考慮能支持724小時連續(xù)長時間大壓力下工作；l 系統(tǒng)具有充分的冗余能力、容錯能力；l 系統(tǒng)具有專業(yè)的技術(shù)保障體系以及數(shù)據(jù)可靠性保證機制；l 對工作環(huán)境要求較低，環(huán)境適應能力強；l 確保系統(tǒng)具有高度的安全性，提供安全的登錄和訪問措施，防止系統(tǒng)被攻擊；l

47、異常掉電后不丟失數(shù)據(jù)，供電恢復后自動重新啟動并自動恢復正常連接；2、開放性原則：l 系統(tǒng)必須支持國際上通用的標準網(wǎng)絡存儲協(xié)議、國際標準的應用開放協(xié)議；l 與主流服務器之間保持良好的兼容性；l 兼容各主流操作系統(tǒng)、卷管理軟件及應用程序；l 可以與第三方管理平臺集成，提供給客戶定制化的管理維護手段；l 滿足今后的發(fā)展，留有充分的擴充余地；4、易維護性原則：l 系統(tǒng)支持簡體中文，通俗易懂，操作方便、簡單；l 系統(tǒng)具有充分的權(quán)限管理，日志管理、故障管理，并能夠?qū)崿F(xiàn)故障自動報警；l 系統(tǒng)設(shè)備安裝使用簡單，無需專業(yè)人員維護；l 系統(tǒng)容量可按需要在線擴展，無需停止業(yè)務；l 系統(tǒng)功能擴充需要升級時，支持不中斷

48、業(yè)務升級；l 支持WEB管理方式或集中管理方式；5、擴展性原則：l 系統(tǒng)易于擴充；l 系統(tǒng)選擇標準化的部件，利于靈活替換和容量擴展；l 系統(tǒng)設(shè)計遵守各種標準規(guī)定、規(guī)范；6、經(jīng)濟性原則：綜合考慮集中存儲系統(tǒng)的性能和價格，最經(jīng)濟最有效地進行建設(shè)，性能價格比在同類系統(tǒng)和條件下達到最優(yōu)。存儲的優(yōu)勢此次采用的存儲設(shè)計配置如下：l 所有業(yè)務集中存儲l 同時支持FC和IP組網(wǎng)l 支持NAS和SAN融合，不需另配文件引擎l SAS，SATA硬盤混插l 應用了先進的硬盤休眠技術(shù)l 支持存儲虛擬化l 支持多節(jié)點集群l 支持基于存儲網(wǎng)關(guān)的鏡像、快照l 支持基于存儲網(wǎng)關(guān)的數(shù)據(jù)復制隨著學校業(yè)務系統(tǒng)的增長，

49、從硬件的升級換代速度來看，傳統(tǒng)的中低端存儲不能滿足學校云計算平臺的需求了，因此本次方案采用高端存儲（至少每存儲配置雙控，至少96GB緩存，192G后端磁盤通道），實現(xiàn)硬件層面的存儲虛擬化，徹底滿足異構(gòu)存儲整合、存儲空間統(tǒng)一管理、多級容災系統(tǒng)構(gòu)建等需求，實現(xiàn)資源整合、統(tǒng)一管理、數(shù)據(jù)遷移和多重數(shù)據(jù)保護，構(gòu)建安全可靠、管理靈活、高性能、開放的存儲系統(tǒng)。3.4.3數(shù)據(jù)中心安全建設(shè)概述傳統(tǒng)計算中心網(wǎng)絡安全包含縱向安全策略和橫向安全策略，無論是哪種策略，傳統(tǒng)計算中心網(wǎng)絡安全只關(guān)注業(yè)務流量的訪問控制，將流量安全控制作為唯一的規(guī)劃考慮因素。而虛擬化計算中心的網(wǎng)絡安全模型則需要由二維平面轉(zhuǎn)變?yōu)槿S

50、空間，即增加網(wǎng)絡安全策略，網(wǎng)絡安全策略能夠滿足虛擬機順暢的加入、離開集群，或者是動態(tài)遷移到其它物理服務器，并且實現(xiàn)海量用戶、多業(yè)務的隔離。根據(jù)云平臺的安全策略要求，本期在校園網(wǎng)云計算中心部署一臺千兆防火墻做為計算中心的網(wǎng)關(guān)，虛擬出相應數(shù)量的防火墻以實現(xiàn)虛擬機隔離、虛擬機遷移策略隨行。虛擬機隔離設(shè)計通過對防火墻進行虛擬化，分割成多個防火墻實例提供網(wǎng)絡安全服務，對每塊防火墻劃分三個邏輯實例，每一對虛擬防火墻工作在主-主模式，防火墻實例分布在兩臺上面，從而達到負載分擔和冗余備份的能力。不同業(yè)務虛擬機的網(wǎng)關(guān)地址各不相同，同一個邏輯集群內(nèi)的虛擬機只能在VLAN 內(nèi)遷移，如社管服務、數(shù)字城管

51、、協(xié)同辦公三種業(yè)務分別對應在VLAN 2、VLAN3、VLAN4 內(nèi)，每組業(yè)務使用獨立的VLAN、接口、路由表及轉(zhuǎn)發(fā)表，將一臺物理網(wǎng)絡設(shè)備邏輯上分割成多臺虛擬設(shè)備，增強對計算資源的安全訪問隔離控制能力。防火墻做服務器網(wǎng)關(guān)，L2 分區(qū)之間互訪必須經(jīng)由防火墻對互訪流量做狀態(tài)檢測，之間完全由防火墻實現(xiàn)訪問控制，屬于強隔離措施。若存在部分數(shù)據(jù)庫相互調(diào)用可設(shè)置允許某一端口IP地址互通。虛擬防火墻部署優(yōu)勢虛擬防火墻是將一臺物理設(shè)備從邏輯上劃分為多臺獨立的虛擬防火墻設(shè)備的功能。每臺虛擬防火墻都可以擁有自己的管理員、路由表和安全策略。通過虛擬系統(tǒng)技術(shù)，就可以讓部署在云平臺和計算中心出口的防火墻具

52、備云計算網(wǎng)關(guān)的能力，對用戶流量進行隔離的同時提供強大的安全防護能力。為了實現(xiàn)每個虛擬系統(tǒng)的業(yè)務都能夠做到正確轉(zhuǎn)發(fā)、獨立管理、相互隔離，防火墻主要實現(xiàn)了三個方面的虛擬化：l 路由虛擬化：每個虛擬防火墻都擁有各自的路由表及會話表，相互獨立隔離。l 安全功能虛擬化：每個虛擬防火墻都可以配置獨立的安全策略及其他安全功能，只有屬于該虛擬系統(tǒng)的報文才會受到這些配置的影響。l 配置虛擬化：每個虛擬防火墻都擁有獨立的虛擬系統(tǒng)管理員和配置界面，每個虛擬系統(tǒng)管理員只能管理自己所屬的虛擬系統(tǒng)。通過以上三個方面的虛擬化，使得防火墻的虛擬防火墻功能更加易于使用。云平臺深度安全防護系統(tǒng)虛擬化和云計算使當今的

53、數(shù)據(jù)中心改換了面貌。但隨著學校紛紛從物理環(huán)境遷移至集物理、虛擬和云于一體的綜合環(huán)境，許多學校仍沿用之前的多種傳統(tǒng)安全解決方案應對當前流行的威脅形勢。這可能使實際獲得的性能提升與預期不符，從而導致操作復雜性過高并埋下安全隱患，最終的結(jié)果是學校無法集中全部資源發(fā)展虛擬化和云計算。趨勢科技云平臺深度安全防護系統(tǒng) Deep Security 提供了一種全方位的服務器安全平臺，旨在提升虛擬化和云項目投資收益率的同時簡化安全操作。學校通過緊密集成的模塊輕松擴展該平臺，以覆蓋到虛擬和云服務器以及虛擬桌面，確保服務器、應用程序和數(shù)據(jù)的安全。學?？梢匀魏畏绞浇Y(jié)合包括防惡意軟件、IDS/IPS、虛擬補丁、防火墻、

54、完整性監(jiān)控在內(nèi)的安全模塊，定制學校專署的無代理安全防護。最終獲得一個全面、高效、自適應的虛擬化安全平臺，以防止關(guān)鍵業(yè)務中斷和數(shù)據(jù)泄露，避免造成巨大損失。Deep Security產(chǎn)品由三部分組成，管理控制平臺（以下簡稱DSM）；安全虛擬機（以下簡稱DSVA）；安全代理程序（以下簡稱DSA）。趨勢科技Deep Security安全防護系統(tǒng)管理控制中心（DSM），是管理員用來配置及管理安全策略的集中式管理組件，所有的DSVA及DSA都會注冊到DSM，接受統(tǒng)一的管理。 趨勢科技Deep Security安全防護系統(tǒng)安全虛擬機(DSVA)是針對 虛擬化環(huán)境構(gòu)建的安全虛擬計算機，可提供防惡意軟件、IDS

55、/IPS、防火墻、Web 應用程序防護和應用程序控制防護，數(shù)據(jù)完整性監(jiān)控等安全功能。 趨勢科技Deep Security安全防護系統(tǒng)安全代理程序(DSA)是安全客戶端，直接部署在操作系統(tǒng)中，可提供 IDS/IPS、防火墻、Web 應用程序防護、應用程序控制、完整性監(jiān)控和日志審查防護等安全功能。3.5桌面云建設(shè)方案3.5.1概述IT 組織目前仍在設(shè)法解決過去十年里 IT 急速發(fā)展所造成的不良后果：基礎(chǔ)架構(gòu)成本高昂、響應速度緩慢以及管理不一致等，這些都讓許多 IT 組織飽受其苦。如今，IT 組織若要讓自己的企業(yè)具備可持續(xù)的競爭優(yōu)勢，就需要：l 提高資源的利用率，從而降低基礎(chǔ)架構(gòu)的成本。l 提高對業(yè)

56、務需求的響應速度，以便更迅速地部署項目。l 提高運營的一致性和可預測性。3.5.2傳統(tǒng)桌面環(huán)境目前面臨的挑戰(zhàn)一直以來，桌面計算普遍使用的是功能全面的“胖客戶端”PC。在許多情況下，此類 PC 提供了價格、性能與功能的最佳組合。但是，在不少使用案例中，胖客戶端 PC 并不是理想的解決方案。其缺點包括：l 難以管理：面對廣泛分布的 PC 硬件，用戶日益要求能在任何地方訪問其桌面環(huán)境，因此集中式 PC 管理極難實現(xiàn)。此外，眾所周知，由于 PC 硬件種類繁多，用戶修改桌面環(huán)境的需求各有不同，因此 PC 桌面標準化也是一個難題。l 總體擁有成本高：PC 硬件相對較低的成本優(yōu)勢，通常無法抵消 PC 管理和

57、支持工作的高昂成本。目前，PC 管理工作包括部署軟件、更新和修補程序等，由于這些工作需要對多種 PC 配置的部署進行測試和驗證，因而會耗費大量的人力。同時，由于標準化程度不高，支持人員經(jīng)常需要親臨現(xiàn)場解決問題，這就進一步增加了支持成本。l 難以保護數(shù)據(jù)的安全：確保 PC 上的數(shù)據(jù)能成功備份并能在 PC 出現(xiàn)故障或文件丟失時恢復，是一個巨大的挑戰(zhàn)。即使數(shù)據(jù)能成功備份，PC 失竊的風險也威脅著重要數(shù)據(jù)的安全。l 資源未充分利用：PC 的分布式特性使人們難以通過集中資源的方式提高利用率和降低成本。結(jié)果，PC 的利用率通常低于 5%，遠程辦公室需要重復的桌面基礎(chǔ)架構(gòu)，移動工作人員可能需要使用復雜的遠程桌面解決方案。由于存在上述缺點，各個組織在不斷針對多種情景評估并實施能夠替代胖客戶端 PC 的解決方案。具體而言，各家公司紛紛采用在服務器系統(tǒng)上承載桌面映像的方法，以集中資源并提高其桌面計算基礎(chǔ)架構(gòu)的可管理性。利用Fusion Cloud桌面虛擬化構(gòu)建基于服務器的桌面解