智慧校园建设技术建议书
2015/12/13
智慧校园建设技术建议书
目 录
一、 项目背景 ............................................................ - 3 - 二、 总体建设目标 ........................................................ - 3 - 三、 整体建设方案 ........................................................ - 4 - 3.1整网组网拓扑图 ......................................................... - 4 - 3.2网络建设方案 ........................................................... - 5 -
3.2.1校园网概述 ......................................................... - 5 - 3.2.2校园网建设目标 ..................................................... - 6 - 3.2.3校园网建设分析 ..................................................... - 6 - 3.2.3.1校园核心层建设方案 ..................................................... - 7 - 3.2.3.2大楼汇聚层建设方案 ..................................................... - 9 - 3.2.3.3楼层接入层建设方案 .................................................... - 12 - 3.2.3.4网络管理建设方案 ...................................................... - 12 -
3.3安全建设方案 .......................................................... - 15 -
3.3.1概述 .............................................................. - 15 - 3.3.2出口安全建设 ...................................................... - 16 - 3.3.2.1出口双机部署 .......................................................... - 17 - 3.3.2.2路由安全 .............................................................. - 17 - 3.3.2.3防火墙 ................................................................ - 18 - 3.3.2.4入侵防御 .............................................................. - 18 - 3.3.2.5用户行为管理 .......................................................... - 19 - 3.3.2.6防病毒网关 ............................................................ - 19 - 3.3.3运维管理建设 ...................................................... - 19 - 3.4数据中心建设方案 ...................................................... - 20 - 3.4.1服务器虚拟化建设方案 .............................................. - 20 - 3.4.1.1概述.................................................................. - 20 - 3.4.1.2服务器虚拟化 .......................................................... - 20 - 3.4.1.3刀片服务器优势 ........................................................ - 21 - 3.4.2存储虚拟化建设 .................................................... - 22 - 3.4.2.1方案设计原则 .......................................................... - 22 - 3.4.2.2存储的优势 ............................................................ - 23 - 3.4.3数据中心安全建设 .................................................. - 24 - 3.4.3.1概述.................................................................. - 24 - 3.4.3.2虚拟机隔离设计 ........................................................ - 24 - 3.4.3.3虚拟防火墙部署优势 .................................................... - 25 - 3.4.3.4云平台深度安全防护系统 ................................................ - 25 -
3.5桌面云建设方案 ........................................................ - 27 -
3.5.1概述 .............................................................. - 27 - 3.5.2传统桌面环境目前面临的挑战 ........................................ - 27 - 3.5.3华为桌面云简介 .................................................... - 28 - 3.5.4华为桌面云优势分析 ................................................ - 29 - 3.5.5华为桌面云主要硬件 ................................................ - 31 -
第- 1 -页 /共43页
智慧校园建设技术建议书
3.6备份容灾建设方案 ...................................................... - 32 -
3.6.1概述 .............................................................. - 32 - 3.6.2本地存储异构虚拟化建设 ............................................ - 33 - 3.6.3异地存储容灾建设 .................................................. - 34 - 3.6.4备份一体机建设 .................................................... - 35 -
四、 方案优势 ........................................................... - 37 - 4.1具有多层次安全防护优势 ................................................ - 37 - 4.2具有可靠性优势 ........................................................ - 39 -
4.2.1虚拟化可靠性 ...................................................... - 39 - 4.2.2管理可靠性 ........................................................ - 39 - 4.2.3服务器可靠性 ...................................................... - 39 - 4.2.4存储可靠性 ........................................................ - 40 - 4.2.5网络可靠性 ........................................................ - 40 - 4.3具有成本节约的优势 .................................................... - 40 -
五、 方案预算 ........................................................... - 42 -
第- 2 -页 /共43页
智慧校园建设技术建议书
一、 项目背景
智慧校园是以网络为基础,利用先进的信息化手段和工具,实现从环境(包括实验室、教室、设备等)、资源(如公文、图书、讲义、课件等)、到活动(包括教、学、科研、管理、服务、办公等) 的全部数字化、智能化,在传统校园的基础上构建一个数字空间,以拓展现实校园的时间和空间维度,从而提升传统校园的效率,扩展传统校园的功能,最终实现教育过程的全面信息化,达到提高教育管理水平和效率的目的。
二、 总体建设目标
鉴于学校目前信息化现状、客观存在的问题以及实际需求,结合国内学校信息化的发展趋势,建议本次智慧校园建设总体目标设定为:
夯实数字化的应用管理环境、智慧化的教学环境、有特色的校本课程建设环境和具有云计算能力的网络平台,最终建成一个开放、多元、人文、智慧、高效、安全、和谐的智慧校园,为学校实现战略发展目标提供强有力的支持,实现学校教研、教学、管理、服务等整体信息化,达到提升教学质量、提高人才培养水平、优化管理流程的目的。使得信息化整体水平与学校的业务发展定位一致,整体提供学校核心竞争力,并实现学校优质高效的可持续发展。
细化目标如下:
1、提出并确定智慧校园网络的体系结构;
2、制定智慧校园的信息标准与应用标准,以及各系统之间的接口标准; 3、建设一个为全校提供服务的数据中心,包括虚拟主机、应用服务、数据存储服务、数据备份服务、数据安全服务等;
4、建立全校的网络安全体系,保证校园网络的安全、保证关键数据、关键应用的安全以及关键 业务部门的安全,实现校园网络及其应用系统的安全高效运行;
5、建立一整套校园信息管理系统,为实现“网上办公、网上管理、网上教学、网上服务”提供全面的系统支持。
第- 3 -页 /共43页
智慧校园建设技术建议书
三、 整体建设方案
3.1整网组网拓扑图
图例:万兆单模光纤Internet备份区千兆多模光钎六类非屏蔽双绞线路由器HA备份一体机防火墙HA接入交换机防火墙数据中心区运维管理区上网行为管理核心交换机无线控制器网管平台防毒网关云平台应用服务器入侵检测系统应用负载均横镜像同步复制备份存储汇聚交换机AP接入交换机APAPAP`AP图书馆实验楼办公楼教学楼后勤和食堂
第- 4 -页 /共43页
智慧校园建设技术建议书
3.2网络建设方案 3.2.1校园网概述
校园网是指在学校范围内铺设的信息网络,为学校师生提供快捷高效的教学、科研和综合信息服务。校园网既需要承载科研信息共享、多媒体教学、电子阅览、教学资料存储等教学相关的网络业务,也要承载行政和总务管理、教师办公、高校论坛等其他网络业务,因此对网络的性能、服务质量等要求极高。
随着高校信息化的发展,网络中所承载内容的变化,以及接入终端的多样化,校园网的建设也面临着越来越多的新挑战。
1、网络带宽问题
传统校园网的接入层为百兆带宽,已经不能满足现有网络应用的高速传输需求。
2、网络运营问题
接入场景复杂
校园网有大量的固定资产(例如打印机、摄像头、IP电话等)需要接入网络,这些终端设备都需要稳定运行;学生宿舍、教师公寓等地点又会有大量PC接入网络;校园中访客众多,公共场所总会有访客频繁接入网络;由于学生和教师乐于尝试新技术,校园又是无线终端非常密集的场所。
网络效率不高
校园网中有大量的P2P及其他下载流量占用带宽,导致重要网络应用质量不高;有多个网络出口时,经常会出现一个出口已经非常拥塞,另一出口占用率却很低的现象;无论从技术上还是管理上,运维都显得非常复杂。
网络行为管理
本着对学生负责的理念,校园网需要提供网络行为管理的工具,对学生进行实名认证,对学生的上网行为进行约束,并对上网的行为能够监控记录,必要时进行回溯。
IP地址分配
校园网目前使用传统的DHCP方式分配IP地址,对接入用户缺乏有效的探测
第- 5 -页 /共43页
智慧校园建设技术建议书
机制,地址回收效率也不高。校园网中终端接入频繁,用户移动频率过快,使用DHCP方式会浪费大量IP地址资源。
3、网络安全问题
校园网的用户具有极强的网络技术以及好奇心,会不断尝试攻击校园网络;同时校园网应用繁多,结构复杂,是网络攻击、网络病毒滋生扩散的温床。
4、IPv6的过渡问题
校园网往往走在网络技术的最前线,作为网络技术发展的必然趋势,校园网更需要提前考虑IPV6的良好过渡。
3.2.2校园网建设目标
本期项目的目标是建立如下系统:
1.构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示校园的计算机网络。选用技术先进、具有容错能力的网络产品,在投资和条件允许的情况下也可采用结构容错的方法完全符合开放性规范,将业界优秀的产品集成于该综合网络平台之中;
2.配备网络交换设备,整体网络实现万兆主干,千兆接入,保证未来各应用系统的实施以及满足学校各种计算机应用系统的大信息量的传输,为今后的网络扩容作好准备;
3.设备选型在技术上具有先进性,通用性,且必须便于管理,维护。应具备未来良好的可扩展性,可升级性,保护学校的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品,同时也提供很好的售后服务;
4.网管设计,提供可以对整个网络系统进行管理的中文图形界面工具,使系统维护人员可以集中控制网络的所有设备,方便管理和维护。
3.2.3校园网建设分析
整个校园内网采用扁平化设计理念,分成校园核心层、大楼汇聚层、楼层接入层和网络管理四个部分,实现采用万兆骨干,千兆到桌面,万兆主干具备40G扩展能力。
第- 6 -页 /共43页
智慧校园建设技术建议书
3.2.3.1校园核心层建设方案 1、校园核心交换机
校园核心交换机主要承载全校办公和教学等业务系统数据转发、楼宇之间互联等功能,因此建议采用大交换容量、稳定性高、可靠性强的电信级核心交换机。因此校园核心交换机应具备以下特点:
支持强大的业务处理能力,提升网络架构扩展性
多业务路由交换平台,满足学校接入、汇聚、核心业务承载要求,支持
无线、语音、视频和数据应用,为学校提供高可用、低时延、全业务的一体化网络解决方案。
支持分布式L2/L3 MPLS VPN功能,支持MPLS、VPLS、分层VPLS、VLL,
满足学校VPN等接入需求。
完善的二、三层组播协议,支持PIM SM、PIM DM、PIM SSM、MLD、IGMP
Snooping,满足多终端高清视频监控和视频会议接入需求。 支持运营级高可靠性设计,可视化故障诊断
具备超越5个9的高可靠性,主控、电源、风扇等关键部件采用冗余设
计,所有模块均支持热插拔。
专用的故障检测定位子卡,提供300pps/3.3ms高精度硬件级以太OAM
功能,802.3ah、802.1ag和ITU-Y.1731标准协议,网络故障发生时能够在第一时间检测所有终端Session联通性,图形化网管故障诊断界面,设备节点、链路自动遍历,实现网络快速故障检测与定位。
冗余控制引擎间主备无缝切换,设备优雅重启实现NSF无中断转发。支
持ISSU业务运行中软件升级,设备软件升级过程中确保关键业务和服务不中断。
支持完善的QOS机制,提升语音、视频用户体验
提供高品质的QOS(Quality of Service)能力,支持从链路层到应用
层流分类技术,具备完善的队列调度算法、拥塞控制算法,能够对数据流实现多级的精确调度,从而满足学校不同用户终端、不同业务种类的服务质量要求。
第- 7 -页 /共43页
智慧校园建设技术建议书
提供硬件组播QOS低延时队列,全面满足学校视频业务优先级保障需求,
为视频会议、监控等关键业务提供高质量承载保障。
创新的优先级调度算法,对传统QOS队列调度进行了专门针对学校语音
与视频的优化,大幅降低IP语音时延、消除视频马赛克,提高用户体验。 支持高性能IPv6业务能力,IPv4到IPv6平滑升级
要求软硬件平台均支持IPv6,取得工信部IPv6入网认证和IPv6 Ready
第二阶段金色认证。
支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv6静态路由、
RIPng、OSPFv3、BGP+、IS-ISv6、IPv6组播,满足IPv6组网和IPv4/IPv6混合组网要求。
支持智能流量负载均衡,提升校园IT利用效率
要求负载均衡器支持加权轮询、基于连接数、加权IP地址Hash和基于
HTTP URL的Hash等多种均衡调度算法,全面满足客户负载均衡要求。 要求负载均衡器支持TCP和HTTP重用,减轻服务器拆除/建立TCP连接
的负载,提高服务器访问效率。
要求负载均衡器支持动态“锁流”技术,满足校园网站在线视频负载均
衡需求。
强大的网络流量分析能力,随时网络健康诊断
要求支持随板分布式网络Netstream业务分析功能,满足用户对网络流
量实时采集、分析需要。
支持Netstream V5/V8/V9多种报文格式,支持聚合流量模板,减轻网络
采集器系统压力,支持实时流量采集、动态报表生成、属性分析、流量异常告警等功能。
帮助客户对网络流量进行实时监控、现网设备吞吐分析,为优化网络结
构、科学合理扩容提供决策依据。 无线AC模块,全面满足移动办公需求
要求无线AC板卡支持丰富的RF(射频)管理。支持AP上线时自动选择
信道和功率,在AP重叠区域,信号冲突时自动调整功率或信道,RSSI
第- 8 -页 /共43页
智慧校园建设技术建议书
(接收信号强度指示)/SNR(信噪比)的不断更新,让系统可以实时了解每一个无线用户所处电磁环境,提升网络可用性。
要求无线AC板卡支持802.1x认证、MAC地址认证、Portal认证、WAPI
认证等多种认证方式,满足客户不同终端、不同安全等级设备的接入需求。
支持二、三层漫游,终端设备跨AP漫游快速切换,AC间1+1、N+1多机
冷备和AC间负载分担提高网络可靠性。 创新节能芯片,智能功耗控制
创新节能芯片,实现按流量动态调整功率,支持端口休眠,无流量不耗
电。
智能POE供电,可以实现基于PD设备角色启动不同的能源管理方案,保
持设备能源管理弹性。
支持IEEE 802.3az能效以太网标准,线卡收发器具备低功率闲置模式,
支持正常工作与低功率状态快速转换,低流量低功耗。 2、校园网出口防火墙
由于内网出口防火墙负责与学校内网互连的任务,在防火墙上配置访问控制列表ACL,通过ACL将三层IP数据包进行首次过滤,过滤掉不符合条件的数据。同时负责出口安全防护功能。
3、校园网出口路由器
一般情况下,路由设备主要工作在OSI七层网络模型中的第三或四层,负责校内网数据路由交换功能,因此出口路由器要采用高转发性能、高安全、高可靠。
3.2.3.2大楼汇聚层建设方案
大楼汇聚层交换机主要负责对接入层提供大数据量的汇聚功能,同时要满足不同业务之间的隔离,因此汇聚交换机应采用具备大容量、高密度千兆端口,可提供万兆上行的万兆交换机。因此采用大楼汇聚交换机应具备以下特点:
强大的多业务支持能力
第- 9 -页 /共43页
智慧校园建设技术建议书
要求支持IGMP Snooping/ IGMP v3 snooping/Filter/Fast Leave/Proxy
等协议。要求支持线速的跨VLAN组播复制功能,支持捆绑端口的组播负载分担,支持可控组播,可以充分满足IPTV和其他组播业务的需求。 要求支持MCE 功能,实现了不同VPN用户在同一台设备的隔离,有效解
决用户数据安全问题,同时降低用户投资成本。 完备的高可靠保护机制
要求不仅支持传统的STP/RSTP/MSTP生成树协议,还支持SmartLink和
RRPP等增强型以太网技术,可以实现毫秒级链路保护倒换,保证高可靠性的网络质量。此外,针对Smartlink和 RRPP均提供多实例功能,可实现链路负载分担,进一步提高了链路带宽利用率。
要求支持以太Trunk(E-Trunk)功能。在使用E-Trunk之后,CE设备可
以通过E-Trunk双归接入到两台PE设备上。从而把链路可靠性从单板级提高到了设备级,大大增强了设备级的可靠性。从而实现了跨设备的链路聚合和链路负载分担功能。极大的提升了接入侧设备的可靠性。 要求支持智能以太保护SEP(Smart Ethernet Protection),SEP是一种
专用于以太网链路层的环网协议。适用于半环组网场景,部署时可于上层汇聚设备,并提供50ms的快速业务倒换性能。保证业务的不中断。在华为设备上已经利用SEP协议实现了以太网链路管理。SEP协议简单可靠、倒换性能高、维护方便、拓扑灵活,可以大大方便用户进行网络的管理和规划。
要求支持双电源冗余供电,也可以交、直流同时输入。用户可灵活选择
单电源工作模式或者双电源工作模式,提高了设备可靠性。
要求支持BFD链路快速检测功能,能为OSPF、ISIS、VRRP、PIM等协议
提供毫秒级检测机制,提高了网络可靠性。要求遵循IEEE 802.3ah和802.1ag提供点到点以太网故障管理功能,可以用于检测用户侧最后一公里以太网直连链路上的故障。 完备的QoS策略和安全机制
要求系列交换机可以基于五元组、IP优先级、TOS、DSCP、IP协议类型、
ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息,实现
第- 10 -页 /共43页
智慧校园建设技术建议书
复杂流分流功能,支持双向ACL。5700支持基于流的双速三色限速功能,每端口支持8个优先级队列,支持WRR、DRR、SP、WRR+SP、DRR+SP多种队列调度算法,有效地保证了话音、视频和数据等网络业务质量。 要求系列交换机提供多种安全保护功能。支持DoS(Denial of Service)
类防攻击、网络的防攻击、用户的防攻击等功能。其中Dos类防攻击主要包括SYN Flood、Land、Smurf、ICMP Flood。网络的防攻击主要是指STP的bpdu/root攻击。用户的防攻击涉及DHCP仿冒攻击、中间人攻击、IP/MAC Spoofing 攻击、DHCP request flood、改变 CHADDR 值的 DoS 攻击等等。
要求支持通过建立和维护DHCP Snooping 绑定表,侦听接入用户的
MAC/IP 地址、租用期、VLAN-ID、接口等信息,解决 DHCP 用户的IP 和端口跟踪定位问题。同时,对不符合绑定表项的非法报文(ARP欺骗报文、擅自修改IP地址等)直接丢弃,有效防止黑客或攻击者通过ARP报文实施园区网常见的“中间人”攻击。利用DHCP Snooping 的信任端口特性还可以保证DHCP Server 的合法性。
要求支持ARP表项严格学习功能,可以防止因ARP欺骗攻击将交换机ARP
表项占满,导致正常用户无法上网。同时,支持IP Source Check 特性,防止包括MAC 欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒带来的DOS攻击。
要求支持集中式MAC地址认证和802.1x 认证及NAC功能,支持用户账
号、IP、MAC、VLAN、端口、客户端是否安装病毒防范等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN、QoS、ACL)的动态下发。 要求支持基于端口的源MAC地址学习功能,有效防止用户源MAC欺
骗冲击设备MAC表项,导致正常用户无法学到MAC表而泛洪的问题等。 免维护易部署
要求支持自动配置、即插即用、USB开局、自动批量远程升级等功能,
便于部署升级和业务发放,简化后续的管理和维护性能。从而大大降低了维护成本。要求支持SNMP V1/V2/V3, CLI命令行、Web网管、TELNET、HGMP集群管理等多样化的管理和维护方式,设备管理更加灵活。支持
第- 11 -页 /共43页
智慧校园建设技术建议书
NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计,支持NQA网络质量分析,有利于进一步作好网络规划和改造。 3.2.3.3楼层接入层建设方案
接入层设备主要提供千兆桌面接入功能,建议采用静音低耗可堆叠的智能千兆桌面交换机即可。因此楼层接入交换机应具备以下特点:
全新节能设计,引领低碳通信
要求全系列设备采用无风扇静音设计,降低整机功耗的同时,让您免除
噪音的烦扰。要求整机遵循IEEE 802.3az(Energy Efficient Ethernet 能效以太网),提供端口低耗电闲置模式,大幅度降低功耗。要求可根据线缆长度进行相应输出功率调整,并且支持无连接时端口休眠 优异的安全性能
要求支持丰富的安全特性,如802.1x、RADIUS、NAC等安全认证方式。
还支持MAC地址过滤和端口过滤功能,能有效防范黑客、病毒攻击,提供安全可靠的网络服务。 强大的组网和带宽扩展能力
要求提供LACP、STP/RSTP/MSTP等功能,可有效实现链路扩展及备份。
SNMP管理型交换机支持高达8个MSTP实例,让组网无忧。 3.2.3.4网络管理建设方案
eSight是华为推出的新一代面向学校园区和分支网络管理系统,实现对学校资源、业务、用户的统一管理以及智能联动。eSight支持对IT&IP,以及非华为设备的统一管理,同时对网络流量、接入认证角色等进行智能分析,自动调整网络控制策略,全方位保证学校网络安全。同时,eSight提供灵活的开放平台,为学校量身打造自己的智能管理系统提供基础。
对于网络运维人员而言,日常维护工作不仅繁杂,而且工作量大,涉及的工作内容包括监控拓扑对象、监控网元、配置网元、监控业务、诊断故障、监控性能、查看资源、报表生成等。
华为公司推荐eSight网络管理系统,可以准确、快捷的提供运维人员所需
第- 12 -页 /共43页
智慧校园建设技术建议书
要的信息,大大减轻运维人员的工作量。通过eSight网络管理系统丰富的管理功能和灵活多样的维护手段,可以轻松实现网络日常维护。 1、有线无线一体化网络管理
通过eSight物理拓扑,可以统一监控交换机、路由器、安全设备、H3C设备、Cisco设备以及IT设备。对网络中的AC、POE交换机、FIT AP等无线设备与有线设备进行一体化集中管理,直观地看到设备之间的连接关系、设备的状态及告警,全网设备信息和状态一目了然。
轻松实现业务部署,支持无线设备的批量配置,提升管理效率 向导式的业务部署以及基于表单AP导入,可加速WLAN的业务部署。通过对华为AC设备的管理,实现对WLAN业务的配置。AP的信息都配置在AC上,当AP上线建立隧道后从AC获取信息。
第- 13 -页 /共43页
智慧校园建设技术建议书
多拓扑视图,方便用户从多角度了解无线网络的状态
业务拓扑 :展现AC、AP、终端用户之间连接关系及详细信息查看,并示意非法 AP的存在;提供无线业务的故障诊断能力(比如Ping)。
位置拓扑:可进行障碍物设置,使得用户可以了解不同障碍物对信号衰减的影响。可查看当
前热点位置及射频信号覆盖范围并在视图上标识当前非法AP位置及冲突域。颜色表示不同的频段, 深浅表示信号的范围,红色显示冲突域。 2、网络管理效率
快速、稳定的网络访问速度可以提高办公和学习效率,但在日常中,常常会出现网速太慢,无法正常办公的窘况。需要了解网络中的流量是被如何消耗掉的。
第- 14 -页 /共43页
智慧校园建设技术建议书
哪些应用占用了大量的带宽,这些带宽是如何造成的,是否应该调整网络的QoS策略,或是对网络进行扩容。
Huawei eSight NTA网流分析组件,基于NetFlow、NetStream、sFlow 协议对网络流量进行深入分析,收集路由器、三层交换机输出的流信息,提供自定义报表功能,帮助网络管理员掌握流量及带宽使用情况,及时发现网络瓶颈,为网络规划及故障诊断等提供依据。
度:接口流量排行、接口利用率流量排行、应用流量排行、协议流量排行、来源主机流量排行、目的主机流量排行、会话流量排行、DSCP流量排行。
可定制:展现内容、展现形式、内容排版可定制。支持局部流量刷新,不引起整体界面变化。
接口流量排行和接口利用率排行,展示接口流量汇总信息,包括流入速率、流出速率、流入数据包、流出数据包等。点击一个具体的接口,可从应用、主机、会话、DSCP等度了解该接口基于时间的流量构成。
通过Huawei eSight NTA网流分析组件可以精确分析出网络的使用效率情况,从而为网络运维提供助力。
3.3安全建设方案
3.3.1概述
在出口边界区域中,防火墙透明接入网络,不对网络逻辑拓扑产生影响。使用防火墙将校园网划分成内网、、DMZ等不同区域,为不同区域划分不同的
第- 15 -页 /共43页
智慧校园建设技术建议书
优先级,同时设置不同区域间的互访策略,以避免越权访问。
使用防火墙来防御网络的大多数的攻击行为,以保证网络运行的稳定性,并且可以对网络内流量进行度的监测。
使用上网行为管理对校园内部用户的上网行为进行管理和监控,并可以对网络流量实现基于用户和应用的精细化话管理。
本方案中在使用上网行为管理对用户上网行为进行分析,对网络中运行的具体应用流量进行管控,可以规范用户的上网行为。可实现如下功能:
流量控制:
传统网络中,设备仅仅能依靠MAC地址、VLAN等信息进行具体用户的流量识别,无法实施精细化的流量监控。
上网行为管理基于产品内的应用协议分析能力,基于用户、应用/协议、时间、链路、带宽等度手段并支持其灵活组合,从而实现精细化的网络流量管控。
网络违法溯源:
eSight可以进行海量日志采集、存储、审计,对防火墙的日志进行智能分析,结合ASG的行为管理功能,对于校园网络用户的一些违规网络行为,可以实现快速追踪溯源,使管理方可以准确寻找到违规行为的责任人,消除安全隐患。
行为管理与审计:
上网行为管理实现对管道内网络流量的深入检测,分析,并把对象和访问情况进行数据化的统计分析,形成直观报表。
上网行为管理针对特殊定义的检测目标和执行策略,深入到访问内容,为满足法律法规提供技术支撑。
流量管理和行为管理与认证体系融合为一体。并对网络内的各项安全、网络数据信息实现统一的分析,为教学业务提供有力支撑。
3.3.2出口安全建设
校园网络威胁主要来自两方面:一,来自的威胁,二,内网的威胁。边界出口安全建设是网络建设的重中之重:互联网出口部署高性能的防火墙来保证网络层3-4层的网络安全,有效防止DDos攻击和非法入侵。同时部署IPS(入
第- 16 -页 /共43页
智慧校园建设技术建议书
侵防御系统)来监控来自网络4-7层的蠕虫攻击、木马入侵、红色代码入侵等的威胁。由此构建网络2-7层的安全防护。保障整个网络的安全。
3.3.2.1出口双机部署
校园网出口处从上至下分别部署出口路由器、防火墙、上网行为管理,所有设备全部双机部署,两台上网行为管理物理接口通过万兆接口分别连接到两台核心交换机,提供全冗余的物理连接,万兆的接口速率确保内部接口不会产生性能瓶颈,和满足未来业务发展需求。
校园网出口必须具有高性能、高可靠、高安全 、可扩展的基本性能。承担网络出口建设的所有网络设备必须具备高可靠性要求,以确保整个校园网内部用户对互联网的正常访问。网络设备可靠性体现在双主控、冗余备份、热插拔等方面。整个互联网出口采用两条完全一致的通路互为备份。两条通路的设备之间通过心跳线连接。当两条通路中的任意一条发生故障时,可通过路由的重新计算,通过第二条通道进行数据传输。
此外,所有安全防御设备透明部署,部署起来更加方便,增加了网络的安全性,又降低了用户管理的复杂程度。
校园网通过NAT技术,与互联网进行安全可控连接。为保证互联网出口稳定性,考虑采用由两个互联网服务提供商实现双出口,通过光纤与其相连,出口速率为1000M。为避免线路资源浪费,合理使用网络资源,防火墙设备提供智能链路负载均衡功能,能够根据目标地址、用户、应用、链路负载等多元素灵活组合来实现链路资源的智能路由。
3.3.2.2路由安全
一般情况下,接入路由设备主要工作在OSI七层网络模型中的第三或四层,在边界路由器上配置访问控制列表ACL,通过ACL将三层IP数据包进行首次过滤,过滤掉不符合条件的数据。为此在边界路由器上配置访问控制策略可以实现:
(1)病毒和黑客在网络层对内部络的攻击,并进行第一层过滤,以减轻边界防火墙的压力。
(2)在边界防火墙现问题时,可临时顶替防火墙缓和Internet对内部网络的
第- 17 -页 /共43页
智慧校园建设技术建议书
攻击。
3.3.2.3防火墙
出口防火墙作为访问控制设备,其主要作用是实现Internet 与校园网之问的隔离、重要区域保护、访问控制等,以达到保护应用服务系统、控制对中心网络的访问、记录和统计网络利用数据以及非法使用数据和策略执行等功能,并且在网络接入时,全部通信都受到防火墙的监控,通过防火墙过滤网络中不必要传输的垃圾数据,以及做流量控制,调整链路的带宽利用,做到更强更好的控制,真正发挥防火墙最大功效。
本次部署的两台万兆防火墙在本方案中部署方式为NAT模式,隔离校园网与互联网,对校园网进行2—4层防御,为保障只允许符合条件的设备才能访问互联资源,应当制定以下策略:
允许访问策略:各种互联网服务器允许对校园网、互联网提供服务;允许互联网用户访问互联网服务区对外提供的服务;杀毒服务器允许访问互联网,进行病毒库升级。
禁止访问策略:除以上允许访问策略外,各区域之间为禁止互访。 3.3.2.4入侵防御
安全威胁更多地来自于应用层,比如说蠕虫、病毒、木马 、DoS/ DDoS、间谍软件 、网络钓鱼、P2P/IM/网游等带宽滥用,通过在网络关键路径上部署入侵防御设备, 可以对流经该关键路径上的网络数据流进行2—7层的深度分析识别,从而对业务应用、网络基础设施和网络性能实 现安 全保护。由于入侵防御的防护都是基于规则库,因此规则库的全面性是其价值所在,应该涵盖病毒、协议、攻击特征等所有方面。考虑到实际应用价值,规则库应该具备本地特点,可以实现对国内的主流威胁和应用识别,并定期实时自动更新。在功能方面,入侵防御设备要避免对正常业务流量的错误防御;当出现掉电等故障时,可以实现自动短路功能,从而保证业务流量的正常运行。本方案中IPS的部署方式为交换模式,对校园网进行4—7层保护,防止病毒等应用层攻击。
第- 18 -页 /共43页
智慧校园建设技术建议书
3.3.2.5用户行为管理
为防止校园内部用户非法信息恶意传播,避免涉密信息的泄露;并可实时监控、管理网络资源使用情况,提高整体工作效率,快速定位可疑用户。我们在安全运维平台中增添上网行为管理设备,主要实现以下功能:
上网人员管理:上网身份管理 上网终端管理 移动终端管理 上网地点管理 上网浏览管理:搜索引擎管理 网址URL管理 网页正文管理 文件下载管理. 上网外发管理:普通邮件管理 WEB邮件管理 网页发帖管理 即时通讯管理 其他外发管理.
上网应用管理:上网应用阻断 上网应用累计时长限额 上网应用累计流量限额.
上网流量管理:上网带宽控制 上网带宽保障 上网带宽借用 上网带宽平均 上网行为分析:上网行为实时监控 上网行为日志查询 上网行为统计分析 由以上各安全体系构成了庐江县校园网覆盖OSI 2-7层的纵深防御体系。 3.3.2.6防病毒网关
对于学校网络,一个安全系统的首要任务就是阻止病毒通过电子邮件与附件入侵。当今的威胁已经不单单是一个病毒,经常伴有恶意程序、黑客攻击以及垃圾邮件等多种威胁。网关作为校园网络连接到另一个网络的关口,就象是一扇大门,一旦大门敞开,学校的整个网络信息就会暴露无遗。从安全角度来看,对网关的防护得当,就能起到“一夫当关,万夫莫开”的作用,反之,病毒和恶意代码就会从网关进入校园内部网,为校园带来巨大损失。
防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤(如色情、)、垃圾邮件阻止的功能,同时部分设备也具有一定防火墙(划分Vlan)的功能,有效的保护网络内进出数据的安全性,使网络中的数据更加安全。
3.3.3运维管理建设
运维区分三个方面对服务器虚拟化平台进行运维:
建设全网管理平台,实现全网的分级分权管理。通过网管系统对全网的
第- 19 -页 /共43页
智慧校园建设技术建议书
拓扑和设备进行管理,具有设备仿真面板所见即所得和对第三方主流设备管理的能力,可以管理管理大规模的无线管理网络,对设备配置变更、收集软件版本为多台设备统一批量配置和升级,大大节省管理员的工作量。
部署应用负载均衡有效地解决数据流量过大、网络负荷过重的问题,并
且不需花费昂贵开支购置性能卓越的服务器,充分利用现有设备,避免服务器单点故障造成数据流量的损失。其有灵活多样的均衡策略把数据流量合理地分配给服务器群内的服务器共同负担。即使是再给现有服务器扩充升级,也只是简单地增加一个新的服务器到服务群中,而不需改变现有网络结构、停止现有的服务。
增加一台无线控制器,对网络中的无线AP进行统一管理,实现有线无线
一体化,简化人员维护难度。
3.4数据中心建设方案
3.4.1服务器虚拟化建设方案
3.4.1.1概述
服务器区采用的是高性能刀片服务器,学校共有1200个云桌面的需求,一个256内存的两路刀片能支持60个桌面,共需要20个刀片,为保证性能每个刀片配置固态盘,做二级缓存。另现有的业务要运行在虚拟化环境中,使用 6个刀片做虚拟化服务器的方式来解决计算资源的分配问题,由于数据库的低延时和高性能的要求,所以数据库服务器用单独的物理机来承载,在两块四路刀片上部署服务器。通过虚拟化整合物理服务器,将业务迁移到云平台上,可通过资源共享实现最大的利用率,节约硬件投资和维护成本。
3.4.1.2服务器虚拟化
传统物理服务器系统建设方式粗放、建设模式单一显然不能满足数据中心建设的需求。虚拟化技术很好地解决了传统服务器系统建设的问题,通过提高虚拟
第- 20 -页 /共43页
智慧校园建设技术建议书
化服务器利用率大幅度消减物理服务器购置需求、数量和运营成本;通过利用服务器虚拟化中CPU、内存、I0资源的动态调整能力实现对业务应用资源需求的动态响应,提升业务应用的服务质量;通过在线虚拟机迁移实现更高的可用性和可靠性以及各种基于资源优化或节能减排策略的跨物理服务器的调度等等。因此,服务器虚拟化技术是云计算中心应用和平台建设的核心解决方案。
服务器虚拟化技术特点:
分区:在一个物理系统中,可以支持多个应用程序和操作系统。可在扩
展或扩张。体系结构中将服务器整合到虚拟机中。计算资源被视为以可控方式分配给虚拟机的统一池。
隔离:虚拟机与主机和其他虚拟机完全隔离。如果一个虚拟机崩溃,所
有其他虚拟机不会受到影响。虚拟机之间不会泄露数据,而且应用程序只能通过配置的网络连接进行通信。
封装:完整的虚拟机环境保存为文件,便于进行备份、移动和复制,为
应用程序提供标准化的虚拟硬件,可保证兼容性。 综上分析,建议本期计算资源池采用服务器虚拟化架构。 3.4.1.3刀片服务器优势
本次数据中心建设采用刀片—存储架构,采用刀片服务器较传统机架服务器的优点如下:
高密度计算:Web等分散式的应用系统更接近分布式计算——同一时间
内大量进程并行,而单一进程的计算处理要求又非常低,正符合刀片式服务器强调高密度分散计算的架构。对于刀片式服务器而言,增大的计算密度使数据中心能用更少的空间服务于更多的客户,也能让网站降低托管费用。
低功耗:在设计上,刀片服务器就是通过集享机箱中的电源、网络
以及散热等设备来实现的。如此,不仅减少了冗余部件的使用数量,也通过“池化”的电源供应等,享有更好的供电效率。
总体成本低:在网络规模不断扩大,数据中心设备需要扩充的时候,刀
片服务器的优越性就体现出来了。刀片服务器的扩容仅需购买若干刀
第- 21 -页 /共43页
智慧校园建设技术建议书
片,插入刀片服务器机箱中,再与背板交换模块相连即可,扩展步骤较机架服务器简单易操作。同时,刀片服务器的扩充不需要买昂贵的服务器机柜,从长远看来交机架服务器更经济。
机房布线和管理复杂度低:刀片服务器在机房布线只要统一布设网络
线、电源线。刀片服务器之间不需要人为布线;而机架式服务器则要分别对每台服务器的网络线、电源线进行配线,如果一个42U的机柜上安装多台1U的服务器时,机柜后面的布线就非常多,看起来比较凌乱。
3.4.2存储虚拟化建设
3.4.2.1方案设计原则
结合学校的业务需求,存储系统在建设过程中应当遵循如下原则进行: 1、安全可靠性原则:
系统器件选择要考虑能支持7×24小时连续长时间大压力下工作; 系统具有充分的冗余能力、容错能力;
系统具有专业的技术保障体系以及数据可靠性保证机制; 对工作环境要求较低,环境适应能力强;
确保系统具有高度的安全性,提供安全的登录和访问措施,防止系统被攻击;
异常掉电后不丢失数据,供电恢复后自动重新启动并自动恢复正常连接; 2、开放性原则:
系统必须支持国际上通用的标准网络存储协议、国际标准的应用开放协议;
与主流服务器之间保持良好的兼容性; 兼容各主流操作系统、卷管理软件及应用程序;
可以与第三方管理平台集成,提供给客户定制化的管理维护手段; 满足今后的发展,留有充分的扩充余地; 4、易维护性原则:
系统支持简体中文,通俗易懂,操作方便、简单;
系统具有充分的权限管理,日志管理、故障管理,并能够实现故障自动
第- 22 -页 /共43页
智慧校园建设技术建议书
报警;
系统设备安装使用简单,无需专业人员维护; 系统容量可按需要在线扩展,无需停止业务; 系统功能扩充需要升级时,支持不中断业务升级; 支持WEB管理方式或集中管理方式; 5、扩展性原则: 系统易于扩充;
系统选择标准化的部件,利于灵活替换和容量扩展; 系统设计遵守各种标准规定、规范; 6、经济性原则:
综合考虑集中存储系统的性能和价格,最经济最有效地进行建设,性能价格比在同类系统和条件下达到最优。
3.4.2.2存储的优势
此次采用的存储设计配置如下: 所有业务集中存储 同时支持FC和IP组网
支持NAS和SAN融合,不需另配文件引擎 SAS,SATA硬盘混插 应用了先进的硬盘休眠技术 支持存储虚拟化 支持多节点集群
支持基于存储网关的镜像、快照 支持基于存储网关的数据复制
随着学校业务系统的增长,从硬件的升级换代速度来看,传统的中低端存储不能满足学校云计算平台的需求了,因此本次方案采用高端存储(至少每存储配置双控,至少96GB缓存,192G后端磁盘通道),实现硬件层面的存储虚拟化,彻底满足异构存储整合、存储空间统一管理、多级容灾系统构建等需求,实现资源整合、统一管理、数据迁移和多重数据保护,构建安全可靠、管理灵活、高性
第- 23 -页 /共43页
智慧校园建设技术建议书
能、开放的存储系统。
3.4.3数据中心安全建设
3.4.3.1概述
传统计算中心网络安全包含纵向安全策略和横向安全策略,无论是哪种策略,传统计算中心网络安全只关注业务流量的访问控制,将流量安全控制作为唯一的规划考虑因素。而虚拟化计算中心的网络安全模型则需要由二维平面转变为三维空间,即增加网络安全策略,网络安全策略能够满足虚拟机顺畅的加入、离开集群,或者是动态迁移到其它物理服务器,并且实现海量用户、多业务的隔离。
根据云平台的安全策略要求,本期在校园网云计算中心部署一台千兆防火墙做为计算中心的网关,虚拟出相应数量的防火墙以实现虚拟机隔离、虚拟机迁移策略随行。
3.4.3.2虚拟机隔离设计
通过对防火墙进行虚拟化,分割成多个防火墙实例提供网络安全服务,对每块防火墙划分三个逻辑实例,每一对虚拟防火墙工作在主-主模式,防火墙实例分布在两台上面,从而达到负载分担和冗余备份的能力。不同业务虚拟机的网关地址各不相同,同一个逻辑集群内的虚拟机只能在VLAN 内迁移,如社管服务、数字、协同办公三种业务分别对应在VLAN 2、VLAN3、VLAN4 内,每组业务
第- 24 -页 /共43页
智慧校园建设技术建议书
使用的VLAN、接口、路由表及转发表,将一台物理网络设备逻辑上分割成多台虚拟设备,增强对计算资源的安全访问隔离控制能力。
防火墙做服务器网关,L2 分区之间互访必须经由防火墙对互访流量做状态检测,之间完全由防火墙实现访问控制,属于强隔离措施。若存在部分数据库相互调用可设置允许某一端口IP地址互通。
3.4.3.3虚拟防火墙部署优势
虚拟防火墙是将一台物理设备从逻辑上划分为多立的虚拟防火墙设备的功能。每台虚拟防火墙都可以拥有自己的管理员、路由表和安全策略。通过虚拟系统技术,就可以让部署在云平台和计算中心出口的防火墙具备云计算网关的能力,对用户流量进行隔离的同时提供强大的安全防护能力。
为了实现每个虚拟系统的业务都能够做到正确转发、管理、相互隔离,防火墙主要实现了三个方面的虚拟化:
路由虚拟化:每个虚拟防火墙都拥有各自的路由表及会话表,相互隔
离。
安全功能虚拟化:每个虚拟防火墙都可以配置的安全策略及其他安全
功能,只有属于该虚拟系统的报文才会受到这些配置的影响。
配置虚拟化:每个虚拟防火墙都拥有的虚拟系统管理员和配置界面,
每个虚拟系统管理员只能管理自己所属的虚拟系统。
通过以上三个方面的虚拟化,使得防火墙的虚拟防火墙功能更加易于使用。 3.4.3.4云平台深度安全防护系统
虚拟化和云计算使当今的数据中心改换了面貌。但随着学校纷纷从物理环境迁移至集物理、虚拟和云于一体的综合环境,许多学校仍沿用之前的多种传统安全解决方案应对当前流行的威胁形势。这可能使实际获得的性能提升与预期不符,从而导致操作复杂性过高并埋下安全隐患,最终的结果是学校无法集中全部资源发展虚拟化和云计算。
趋势科技云平台深度安全防护系统 Deep Security 提供了一种全方位的服务器安全平台,旨在提升虚拟化和云项目投资收益率的同时简化安全操作。学校
第- 25 -页 /共43页
智慧校园建设技术建议书
通过紧密集成的模块轻松扩展该平台,以覆盖到虚拟和云服务器以及虚拟桌面,确保服务器、应用程序和数据的安全。学校可以任何方式结合包括防恶意软件、IDS/IPS、虚拟补丁、防火墙、完整性监控在内的安全模块,定制学校专署的无代理安全防护。最终获得一个全面、高效、自适应的虚拟化安全平台,以 防止关键业务中断和数据泄露,避免造成巨大损失。
Deep Security产品由三部分组成,管理控制平台(以下简称DSM);安全虚拟机(以下简称DSVA);安全代理程序(以下简称DSA)。
趋势科技Deep Security安全防护系统管理控制中心(DSM),是管理员用来配置及管理安全策略的集中式管理组件,所有的DSVA及DSA都会注册到DSM,接受统一的管理。
趋势科技Deep Security安全防护系统安全虚拟机(DSVA)是针对 虚拟化环境构建的安全虚拟计算机,可提供防恶意软件、IDS/IPS、防火墙、Web 应用程序防护和应用程序控制防护,数据完整性监控等安全功能。
趋势科技Deep Security安全防护系统安全代理程序(DSA)是安全客户端,直接部署在操作系统中,可提供 IDS/IPS、防火墙、Web 应用程序防护、应用程序控制、完整性监控和日志审查防护等安全功能。
第- 26 -页 /共43页
智慧校园建设技术建议书
3.5桌面云建设方案
3.5.1概述
IT 组织目前仍在设法解决过去十年里 IT 急速发展所造成的不良后果:基础架构成本高昂、响应速度缓慢以及管理不一致等,这些都让许多 IT 组织饱受其苦。如今,IT 组织若要让自己的企业具备可持续的竞争优势,就需要: 提高资源的利用率,从而降低基础架构的成本。 提高对业务需求的响应速度,以便更迅速地部署项目。 提高运营的一致性和可预测性。
3.5.2传统桌面环境目前面临的挑战
一直以来,桌面计算普遍使用的是功能全面的“胖客户端”PC。在许多情况下,此类 PC 提供了价格、性能与功能的最佳组合。但是,在不少使用案例中,胖客户端 PC 并不是理想的解决方案。其缺点包括:
难以管理:面对广泛分布的 PC 硬件,用户日益要求能在任何地方访问
其桌面环境,因此集中式 PC 管理极难实现。此外,众所周知,由于 PC 硬件种类繁多,用户修改桌面环境的需求各有不同,因此 PC 桌面标准化也是一个难题。
总体拥有成本高:PC 硬件相对较低的成本优势,通常无法抵消 PC 管理
和支持工作的高昂成本。目前,PC 管理工作包括部署软件、更新和修补程序等,由于这些工作需要对多种 PC 配置的部署进行测试和验证,因而会耗费大量的人力。同时,由于标准化程度不高,支持人员经常需要亲临现场解决问题,这就进一步增加了支持成本。
难以保护数据的安全:确保 PC 上的数据能成功备份并能在 PC 出现故
障或文件丢失时恢复,是一个巨大的挑战。即使数据能成功备份,PC 失窃的风险也威胁着重要数据的安全。
资源未充分利用:PC 的分布式特性使人们难以通过集中资源的方式提高
利用率和降低成本。结果,PC 的利用率通常低于 5%,远程办公室需要
第- 27 -页 /共43页
智慧校园建设技术建议书
重复的桌面基础架构,移动工作人员可能需要使用复杂的远程桌面解决方案。
由于存在上述缺点,各个组织在不断针对多种情景评估并实施能够替代胖客户端 PC 的解决方案。具体而言,各家公司纷纷采用在服务器系统上承载桌面映像的方法,以集中资源并提高其桌面计算基础架构的可管理性。
利用Fusion Cloud桌面虚拟化构建基于服务器的桌面解决方案,不仅可以解决 PC 桌面面临的各种难题,还能优化可用性、可管理性、总体拥有成本和灵活性。借助 Fusion Cloud桌面虚拟化,在使用FusionSphere 虚拟化的服务器上运行的虚拟机中,可以构建完整的桌面环境-操作系统、应用程序和配置。管理员可使用Manage集中管理环境中的所有虚拟机。最终用户可使用远程显示软件,从 PC 或瘦客户端访问其桌面环境。
利用 FusionSphere桌面虚拟化,管理员可以: 构建于硬件的桌面环境 在同一系统上同时运行多个虚拟机
系统中的每个虚拟机都相互、彼此隔离 只需几分钟时间即可利用模板完成新虚拟机的部署
3.5.3华为桌面云简介
Fusion Cloud是华为推出的桌面虚拟化技术,具有技术成熟、性能领先、运行稳定、便于管理等特点,在各行业客户群中均已广泛应用。FusionSphere将计算、存储资源集中到数据中心,将桌面、应用虚拟化、服务器虚拟化的服务器分别组成集群,从而优化管理能力和资源使用率: 远程运维:通过FusionSphere对桌面资源进行集中,桌面云系统管理员
不必离开工位即可对全局终端进行远程管理,校园桌面TC和VM资源尽在掌握。
资源管理:通过集中管理,可以对VM系统参数、预装软件进行标准化设
置,支持软件批量快速安装部署等需求。
充分使用硬件资源:通过集中部署,数据中心的计算、存储资源得到充
分利用,电力使用率得到大幅提高。
第- 28 -页 /共43页
智慧校园建设技术建议书
华为FusionCloud 桌面云解决方案是基于华为云平台的一种虚拟桌面应用,通过在云平台上部署华为桌面云软件,使终端用户通过瘦客户端或者其他设备来访问跨平台的整个客户桌面。
华为FusionCloud 桌面云解决方案如下图:
华为FusionCloud 桌面云解决方案重点解决传统PC 办公模式给客户带来的如:安全、投资、办公效率等方面的诸多挑战,适合金融、大中型企事业单位、、营业厅、医疗机构、或其他分散型办公单位。
3.5.4华为桌面云优势分析
1、数据上移,信息安全
传统桌面环境下,由于用户数据都保存在本地PC,因此,内部泄密途径众多,且容易受到各种网络攻击,从而导致数据丢失。桌面云环境下,终端与数据分离,本地终端只是显示设备,无本地存储,所有的桌面数据都是集中存储在企业数据中心,无需担心企业的智力资产泄露。除此之外,TC的认证接入、加密传输等安全机制,保证了桌面云系统的安全可靠。
2、高效维护,自动管控
传统桌面系统故障率高,据统计,平均每400台PC机就需要一名专职IT人员进行管理维护,且每台PC维护流程(故障申报—>安排人员维护—>故障定
第- 29 -页 /共43页
智慧校园建设技术建议书
位—>进行维护)需要2~4个小时。桌面云环境下,资源自动管控,维护方便简单,节省IT投资。
3、维护效率提升
桌面云不需要前端维护,强大的一键式维护工具让自助维护更加方便,提高了企业运营效率。使用桌面云后,每位IT人员可管理超过2000台虚拟桌面,维护效率提高4倍以上。
4、资源自动管控
白天可自动监控资源负载情况,保证物理服务器负载均衡;夜间可根据虚拟机资源占用情况,关闭不使用的物理服务器,节能降耗。
5、应用上移,业务可靠
传统桌面环境下,所有的业务和应用都在本地PC上进行处理,稳定性仅99.5%,年宕机时间约21个小时。在桌面云中,所有的业务和应用都在数据中心进行处理,强大的机房保障系统能确保全局业务年度平均可用度达99.9%,充分保障业务的连续性。各类应用的稳定运行,有效降低了办公环境的管理维护成本。
6、无缝切换,移动办公
传统桌面环境下,用户只能通过单一的专用设备访问其个性化桌面,这极大的了用户办公地灵活性。 采用桌面云,由于数据和桌面都集中运行和保存在数据中心,用户可以不中断应用运行,实现无缝切换办公地点。
7、降温去噪,绿色办公
节能、无噪的TC部署,有效解决密集办公环境的温度和噪音问题。TC让办公室噪音从50分贝降低到10分贝,办公环境变得更加安静。TC和液晶显示器的总功耗大约60W左右,终端低能耗可以有效减少降温费用。
8、资源弹性,复用共享
桌面云环境下,所有资源都集中在数据中心,可实现资源的集中管控,弹性调度。资源利用率提高资源的集享,提高了资源利用率。传统PC的CPU平均利用率为5%~20%,桌面云环境下,云数据中心的CPU利用率可控制在60%左右,整体资源利用率提升。
9、安装便捷,部署快速
第- 30 -页 /共43页
智慧校园建设技术建议书
相比于其它桌面云解决方案,华为FusionCloud 桌面云解决方案具有安装便捷,部署快速的特点。华为FusionCloud 桌面云解决方案一体机部署模式可以实现把部分虚拟化软件预安装到服务器上。到客户现场后,只需服务器上电,进行桌面云软件的向导式安装,接通网络并进行相关业务配置即可进行业务发放,大幅度提高了部署效率。
3.5.5华为桌面云主要硬件
1、概述
学校共有1200个云桌面的需求,此次硬件载体采用的是两台高性能Huawei Tecal E9000刀片服务器,配置26个两路刀片和2个四路的刀片。一个256内存的两路刀片能支持60个桌面,共需要20个刀片,为保证性能每个刀片配置固态盘,做二级缓存。另现有的业务要运行在虚拟化环境中,使用 6个刀片做虚拟化服务器的方式来解决计算资源的分配问题,由于数据库的低延时和高性能的要求,所以数据库服务器用单独的物理机来承载,在2块四路刀片上部署服务器。通过虚拟化整合物理服务器,将业务迁移到云平台上,可通过资源共享实现最大的利用率,节约硬件投资和维护成本。
2、服务器介绍
Tecal E9000定位为高端计算平台,支撑高端核心应用,针对不同需求进行差异化设计并在硬件计算平台的RAS(可靠性/可用性/可服务性)、节能减排、生命周期、市场准入、智能管控与服务等方面的全面提升;提供类小型机的品质和服务能力,为企业软件业务提供持续的竞争力提升;在企业的通用业务、互联网业务,提供与业界通用低成本服务器的竞争力;同时可为计算与数据/媒体融合的业务具备高带宽、低延时交换,支持计算与媒体的融合。
性能卓越:
E9000可支持全系列E5的Intel x86 CPU,并能匹配未来多代CPU的演
进。
支持丰富的计算节点规格:2S/4S和半宽/全宽槽位计算节点灵活配置。 计算节点通过Mezz扣卡支持丰富的网络接口和加速卡,以满足各种高性
能需求。支持GPU,SSD PCIe扩展。
整机支持半宽700w,全宽1400KW散热和供电设计。
第- 31 -页 /共43页
智慧校园建设技术建议书
10GE,40GE,100GE,IB FDE,EDR 演进。
硬盘以活动抽屉方式排布,支持单个硬盘在线插拔。 Write Cache支持掉电保护。 动态架构设计:
计算、存储、交换、散热、供电模块化设计。 提供2P,4P,8P刀片服务器动态扩展架构。
中型、小型、整机柜系列化演进,支持业务平滑扩展。
丰富的交换模块GE,10GE,FC,FCoE,IB,根据业务要求灵活配置。 绿色可靠:
无状态计算,物理机迁移,支持关键应用高可用性。
采用高效能铂金AC电源,电源转换效率高达95%,支持动态节能管理电
源休眠。
优化系统风道设计,散热效率业界第一。
功能模块全冗余,完全负载均衡设计,支持故障无缝切换。 无源背板设计,避免单点故障。
3.6备份容灾建设方案
3.6.1概述
此次建设方案的备份容灾本从两个维度系统进行保护: 1)业务连续性;2)数据安全性。
在业务连续性方面,在存储区部署两台华为高端存储,通过存储镜像能,将生产站点的数据写入备份站点,保障了生产站点发生故障,备份站点能接管生产站点的业务,保障数据安全性和业务连续性,数据库服务器可部署为Oracle RAC的Active-Active集群模式,可以实现业务负载均衡以及节点故障自动切换;应用服务器部署为云平台集群,以保证应用主服务器故障时,应用可自动切换到备服务器上运行。
在数据安全性方面,通过存储阵列的快照功能,可保留生产系统数据的部分历史版本,保障了系统出现逻辑错误或者数据遭病毒感染等,可以通过快照恢复
第- 32 -页 /共43页
智慧校园建设技术建议书
到系统正常时刻的数据,快速将业务恢复正常。
为保障校园数据中心的信息安全,数据远程容灾备份必不可少。此次建设中的数据中心利用其中一个校区的机房作为灾备中心,利用现有百兆光纤实现关键数据的异地存放,在灾备中心放置一台低端作为容灾存储。
另外在网络中部署一台备份一体机,备份一体机具有集中管理、全面保护、分层保护、异地容灾、安全可靠等诸多特性,备份一体机可以对整个网络中的数据进行备份。保证灾难发生时,数据不丢失。
3.6.2本地存储异构虚拟化建设
考虑到本地数据高可用性和业务的连续性,本期建设存储区部署两台云存储,并在其中一台存储上采用先进的异构虚拟化功能,将另一台存储纳入其管理下,实现存储的虚拟化,建立统一的存储池。
在后期的存储扩充中,即使是异构厂商存储也可以将其纳入我们的主存储的管理下,扩大了用户的选择自由度,简化用户的管理复杂度。
异构虚拟化的工作原理就是把异构阵列映射到本端阵列的LUN,作为可为本端阵列提供存储空间的逻辑盘LD,再在该逻辑盘LD上创建为可对主机映射的eDevLun,逻辑盘LD为eDevLun的Data Volume提供了全部的数据卷存储空间, eDevLun 的元数据volume空间由本地存储提供。异构虚拟化可保证外部LUN数据完整性不被破坏。
异构虚拟化化可以满足各种场景的需求: 1、异构阵列接管
用户的数据中心通过长期的建设,数据中心可能存在来自不同异构厂商的存储阵列。如何很好的管理和应用好来自不同厂商的异构阵列给存储管理员提出了很高的技术要求。存储管理员可通过异构虚拟化接管功能,可大大降低对管理异构阵列的技术难度和复杂度。存储管理员只需要管理好华为阵列就能达到管理好所有异构阵列的目的,从而减轻了存储管理员的工作负担。其场景特点就是简化用户管理。
2、异构数据搬迁
用户数据中心可能存在大量的存量异构设备,有些设备可能即将过保或性能
第- 33 -页 /共43页
智慧校园建设技术建议书
不能再满足业务要求,在购买华为OceanStor V3存储后,客户可能希望把存量LUN 上的业务迁移到新购阵列中。客户可通过异构虚拟化LUN在线迁移功能,在线迁移异构LUN 数据到新购阵列中,数据迁移过程中,主机业务正常运行,但在进行数据迁移前,需要对异构LUN进行接管。其场景特点就是异构LUN 数据搬迁过程中,主机业务不中断。
3、异构容灾
如果客户业务数据分散在不同的站点,且对业务的持续性要求较高时,需要各业务站点的数据互为备份和业务切换。当灾难发生时, 能够通过互为备份的站点进行业务数据的接管和数据恢复。但是,可能由于数据站点的阵列来自于不同的异构厂商,导致异构阵列间的数据无法做到互为备份。异构虚拟化提供的异构同步和异步复制功能,可以使异构阵列间的LUN 数据做到互相备份,做到站点间的数据容灾。
4、异构数据保护
客户异构阵列上的LUN 数据可能受到病毒或其他原因导致LUN 数据受到破坏。异构虚拟化提供异构快照技术可为异构LUN 提供快照备份,快照瞬间完成,当数据被破坏后,可通过快照迅速的回滚到指定的快照时间点的数据,迅速恢复数据。
3.6.3异地存储容灾建设
为保障校园数据中心的信息安全,数据远程容灾备份必不可少。此次建设中的数据中心利用其中一个校区的机房作为灾备中心,利用现有百兆光纤实现关键数据的异地存放,在灾备中心放置一台华为低端作为容灾存储
华为的远程容灾备份解决方案符合学校的要求和数据保护技术发展的趋势。采用基于标准化的远程复制技术实现在现有网络上的数据异地存储。通过在数据中心与灾备中心之间对关键业务数据进行策略性远程复制,实现数据的异地备份,并在发生意外灾难时对数据进行快速恢复,确保数据中心的业务持续性。
远程复制技术的一种,存储间实时的同步数据,最大限度保证数据的一致性,以减少灾难发生时数据的丢失量。
HyperReplication /S工作原理:
第- 34 -页 /共43页
智慧校园建设技术建议书
1、 建立同步远程复制之初,会启动一个初始同步,也就是将主LUN 数据全
量拷贝到从LUN;
2、 初始同步完成以后,如果此时主LUN 收到生产主机写请求,按照如下流
程进行I/O 处理;
3、 主站点接收生产主机写请求,记录这个I/O 对应数据块的差异日志值为
“有差异”;
4、 主站点将写请求的数据写入主LUN(LUN A),同时利用配置好的链路将
写请求发送到远端从站点;
5、 判断写LUN A和写LUN B的执行结果,如果都成功,则将差异日志改为
“无差异”,否则保留“有差异”,在下一次启动同步时重新拷贝这一个数据块;
6、 向主机返回写请求完成。 优势和应用场景: 1、零数据丢失;
2、复制比可达32:1(同步远程复制+异步远程复制之和); 3、主从存储可互为镜像; 4、适用于本地或同城数据容灾。
图5 HyperReplication/S工作原理
3.6.4备份一体机建设
备份一体机具有集中管理、全面保护、分层保护、异地容灾、安全可靠等诸多特性。 集中管理
第- 35 -页 /共43页
智慧校园建设技术建议书
1、集中管理所有远程代理,实现对学校网络中各计算机系统、数据、邮件的集中式备份与管理。
2、服务器Web 管理界面,轻松实现对网络备份代理的管理。
3、强大的用户管理机制,包括管理员和受信的用户机制,可建立统一集中的安全策略。
4、空间管理,包括单用户最大备份空间分配,用户使用空间审查。 5、统一日志和报表管理,管理员可集中审查每个用户的执行日志,数据备份报表。 全面保护
1、支持 Windows 桌面和服务器操作系统,以及大多数流行的 Linux 操作系统。
2、支持对各种文档的备份与恢复,如 Office文档、设计文档、源代码等。
3、支持 Windows 操作系统的备份与恢复,包括 Server 系统的灾难恢复,以便服务器或者员工桌面计算机因中毒、硬件故障、升级等导致计算机系统崩溃时,远程几分钟即可恢复到正常工作状态。
4、支持 Microsoft SQL Server,MySQL,Access 等多种数据库的备份与恢复。
5、支持 Outlook、Outlook Express、Foxmail、Thunderbird等常用邮件客户端邮件的备份与恢复。 分层保护
分层保护是指当用户的网络拓扑结构比较复杂的情况下,通过将网络划分为几个子网络,每个子网络实现一个网络备份方案,再部署一个根备份服务器,根备份服务器又兼管各子网络的备份服务器,从而实现了统一的集中备份管理。分层保护有以下优点:
1、备份中心的根备份服务器只需要管理分支机构的备份服务器,大大降
第- 36 -页 /共43页
智慧校园建设技术建议书
低了整个方案的管理性。
2、自上而下统一分发备份策略,统一分类数据,实施不同级别的保护。 3、分支机构内部网络的节点变化不影响备份中心的统一计划,保证了可扩展性,减少了维护成本。
4、数据既在本地网络存在备份,又在备份中心存在备份,既保证了备份与恢复速度,又增加了数据的安全性。
四、 方案优势
4.1具有多层次安全防护优势
为保障云平台安全,FusionSphere采用了完整的安全架构,避免出现安全真空,强化了网络隔离和虚拟化隔离。此安全架构层面主要采用了分层和纵深防御的思想。
分层防御(Layered Defense):分层防御旨在采用多种方法,在网络中多个区域执行安全性策略,从而确保网络中没有单点安全故障发生。
纵深防御(Defense in Depth):纵深防御思想使用多重防御策略来管理风险,以便在一层防御不够时,另一层防御将会阻止系统遭受完全的破坏。
云数据中心安全框架从分层、纵深防御思想出发,根据网络层次分为物理、主机/虚拟化、网络、业务和数据、管理维护等几个层面,同时整体上考虑满足合规性等需求,用来指导数据中心安全解决方案的部署。 云安全框架见下图:
第- 37 -页 /共43页
智慧校园建设技术建议书
1、物理安全
云计算数据中心的物理接入需进行严格的控制,只有授权的人员才能够进入。机房内安装监控设备,方便事后审计。 2、基础安全
整个云计算环境中使用了大量OS、DB、Web等通用软件,很容易遭受病毒入侵、漏洞攻击、木马、拒绝服务等安全威胁。云数据中心基础的安全能力可主要通过系统加固、防病毒和安全补丁这三方面措施来提供。 3、虚拟化安全
云计算在带来资源共用的好处的同时,也带来新的安全风险。首先是虚拟化层能真正地把虚拟机和物理主机、不同部门、不同公司的虚拟机和虚拟机之间安全地隔离开来,这一点正是保障虚拟机安全性的根本。另外,预防云内部虚拟机之间的恶意攻击,传统在网络出口提供防火墙、IDS设备已经不能完全满足要求,需部署一些基于主机的虚拟防火墙/IDS/IPS。 4、网络安全
为了抵御数据中心网络可能遭受的各种类型的DOS攻击和用户数据遭窃听和篡改等安全威胁,可从“网络隔离、攻击防护、传输安全”等多个角度考虑。 通过子网划分、网络隔离手段实现计算、存储、管理、接入等域的隔离,管理面单独物理组网,保证网络安全性,避免网络风暴等问题扩散。
第- 38 -页 /共43页
智慧校园建设技术建议书
4.2具有可靠性优势
数据中心虚拟化项目从整体、服务器、存储、网络、虚拟化多个层面综合考虑系统可靠性,保障业务的续性。
4.2.1虚拟化可靠性
虚拟化是数据中心的核心机制,数据中心进行采用FusionSphere虚拟化后,支持虚拟机热迁移,虚拟机HA功能,保障业务系统的连续性。支持对虚拟机的快照功能,系统提供虚拟机、卷快照功能,便于在系统出现故障的时候还原系统。
4.2.2管理可靠性
FusionSphere管理模块均采用1+1备份或负载均衡的方式运行,保障系统运行的可靠性。
FusionSphere支持对物理服务器、软件和资源的监控。系统可以收集服务器的核心指标如CPU使用情况、基础网络流量和内存数据等,检测到诸如进程异常、管理和存储链路异常,节点异常、系统资源过载等各种故障并上报告警,此类告警一般可由系统自行恢复或者由管理员及时处理,使系统保持完善的故障检测能力和故障恢复能力。
FusionSphere所有的物理服务器管理上都引入了电信领域“黑匣子”技术,在系统出现异常时自动存储内核日志、系统快照、内核诊断信息及临终遗言,并保存至非易失性存储设备(计算节点)或自动传送至网络服务器(例如日志服务器),以便系统故障后,导出分析黑匣子日志,快速定位故障问题,恢复系统正常运行。
4.2.3服务器可靠性
云计算服务器支持对CPU,内存,风扇,电源,硬盘等热关键器件的温度实时监控,设备故障时会产生告警。配合智能的风扇调速和监控,确保服务器硬件系统运行的可靠性。
云计算服务器一般都支持硬盘热插拔和RAID功能,提供硬盘在线故障检测和预警。支持电源1+1冗余和热插拔。这些措施都可以保证服务器的可靠性。
第- 39 -页 /共43页
智慧校园建设技术建议书
4.2.4存储可靠性
数据中心虚拟化一般采用集享式SAN存储设备,华为虚拟化平台FusionSphere支持存储冷迁移、支持根据存储访问IO进行存储动态资源调度(DRS:Dynamic Resource Scheduler)。
FusionSphere支持存储多路径,每个计算节点与存储集群之间,至少配置两个完全冗余的物理路径,一般从虚拟机到存储设备有访问路径,保障存储网络的可靠性。
SAN存储设备采用双控制器以保证物理链路的可靠性,在SAN高可靠性的基础之上,配置热备盘做冗余备份,保证数据不丢失和故障快速恢复。
4.2.5网络可靠性
是云数据中心的组网中,所有的网络链路都是物理上冗余配置的。通过使用交换机堆叠技术,保证物理服务器对外与汇聚层交换设备和对内虚拟网络层连接的冗余。虚拟网络层通过采用多网卡绑定等技术避免单个网卡故障引发的业务中断。
对于各通信平面(业务、存储、管理)均采用双网卡,双网卡采用了Bonding模式,两网卡被绑定成逻辑上的“一块网卡”后,同步一起工作。既能对服务器的访问流量进行负荷分担,又能保证网卡的可靠性。
4.3具有成本节约的优势
在考虑总体拥有成本时,简单的成本评估无法得到真实的情况。每个桌面管理模型和执行模型都有隐含的成本和风险。华为桌面虚拟化可节省成本的主要领域包括:
硬件部署物流:桌面虚拟化可简化新基础架构的部署。
硬件维护:桌面虚拟化 提供了特别简单而又十分高级的管理选项,无需
停机即可执行硬件维护。
硬件持续时间:FusionSphere的资源池模型可提供非常动态的性能平衡
和调整功能。
第- 40 -页 /共43页
智慧校园建设技术建议书
减少停机时间:FusionSphere的稳定性与最终用户的隔离减少了与软件
故障相关的停机时间。
系统性能:FusionSphere提供了无与伦比的平台平衡功能和卓越的资源
分配功能。此外,它还具备特有的 FusionSphere 内存管理功能,为增强性能提供了新的机会,如下面的“性能大幅提升”一节所述。 应用程序管理:在桌面虚拟化环境中,数据中心的各种设备彼此临近,
有助于在虚拟桌面及其支持服务器之间进行千兆位以太网连接,这使得应用程序流式传输的性能得到了显著改善。此外,共享映像策略的实施以及虚拟机模板的使用,也大大简化了应用程序管理。
另外在网络规模不断扩大,数据中心设备需要扩充的时候,刀片服务器的优越性就体现出来了。刀片服务器的扩容仅需购买若干刀片,插入刀片服务器机箱中,再与背板交换模块相连即可,扩展步骤较机架服务器简单易操作。同时,刀片服务器的扩充不需要买昂贵的服务器机柜,从长远的来看节约成本。
第- 41 -页 /共43页
智慧校园建设技术建议书
五、 方案预算
序号 1 2 3 4 5 6 7 8 9 设备名称 路由器 防火墙 入侵检测 上网行为管理 防病毒网关 网管 应用负载均衡 核心交换机 24口万兆接入交换机 型号 华为、ME60-x8 华为、USG6650-AC 华为、NIP5100D-AC-01 华为、ASG2600-AC 天融信 华为、eSight f5 华为、S12708 华为、CE5855-24T4S2Q-EI 万兆光模块 高速线缆 华为、CE5855-48T4S2Q-EI 数量 2 2 2 2 1 1 1 2 45 12 45 5 10 5 1 2 1 1 12 2 2 1 40 1 1000 1000 1000 单价 400,000 94,000 60,000 50,000 63,900 24,000 200,000 336,000 14,000 1,900 850 20,000 1,900 850 14,000 1,900 250,000 250,000 90,000 300,000 10,000 140,000 700 总价 800,000 188,000 120,000 100,000 63,900 24,000 200,000 672,000 630,000 22,800 38,250 100,000 19,000 4,250 14,000 3,800 250,000 250,000 180,000 300,000 400,000 140,000 700,000 10 48口万兆接入交换机 万兆光模块 高速线缆 11 12 13 14 15 16 17 18 19 20 20 数据中心接入交换机 备份一体机 刀片服务器 存储 备份存储 云平台深度安全防护系统 云平台软件 桌面云软件 瘦客户端 瘦客户端显示、键鼠 合计 华为、CE5855-24T4S2Q-EI 万兆光模块 爱数VX1200 机箱 虚拟化刀片华为 数据库刀片华为 华为、OceanStor 5500 V3 华为、OceanStor S2600T 趋势Deep Security 虚拟化软件(24个cpu) 桌面云软件(1000授权) 华为,CT3100 19寸显示器、USB键盘、鼠标 90,000 1,080,000 650,000 1,300,000 1,000 1,000,000 1,000 1,000,000 9,600,000
第- 42 -页 /共43页
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- haog.cn 版权所有 赣ICP备2024042798号-2
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务