大学教育云数据中心设计方案

第 页 共 28 页 1 大学教育云数据中心设计方案 1. 需求概述 湖南开放大学（湖南广播电视大学）是湖南省教育厅直属的，运用广播、电视、文字教材、音像教材、计算机课件和网络等多种媒体，面向全省开展远程开放教育的新型高等学校， 1979 年创办。学校行政上由省教育厅管理，教学业务上接受中央广播电视大学的指导，实行统筹规划、分级办学、分级管理、分工协作的体制。 省校下设市州和行业、企业分校 21 所，县级电大教学站点 148 个，形成了遍布全省城乡的电大教育网络。 2003 年 7 月，经省政府批准，利用校本部资源成立了湖南网络工程职业学院 ，举办高等职业教育。湖南广播电视大学、湖南网络工程职业学院实行两块牌子、一套人马。目前省校校园占地面积 平方米，建筑面积 平方米 ，固定资产 中教学仪器设备近 5000 万元。省校和各市州分校均建成校园网，建立了多媒体网络教室、安装了电大在线教学平台、 星接收系统和双向视频会议系统，实现实时、非实时交互式教学。目前省校的校园网已升级改造成万兆网，省校与分校间即将实现 100 我校校园网一期始建于 1998 年，于 1999 年 6 月 18 日接通中国教育和科研计算机网，当时网 络结构以 155M 主干， 10M/100M 到桌面，光纤连接各楼栋的校园综合网络系统。网络覆盖了学校各主要教学、办公场所， 初步形成了一个信息化 校园 环境。 此后，为了满足开放教育试点工作的需要，建设了“电大在线”硬件平台和全省 视频会议系统 。 2004 年 6 月我校启动了二期校园网全面升级改造工程，完成了 原有的 向 万兆 以太网移植改造 。 通过简单的网络结构，建立起 了 一个可进行数据、语音、视频和图像实时传输的 络系统 。二期校园网改造采用两台锐捷多业务万兆交换机 6810E 作为核心层交换机，锐捷 3550为汇聚层交换机，锐捷 2100 系列作为接入层交换机，初步构成了双核心星形分布的拓扑格局。 第 页 共 28 页 2 原有网络基础设施存在的主要问题有： 1现有网络设施无法支撑学校当前的业务需求 现有网络设施原来的设计主要是满足校园用户对外网的访问，随着学校业务的不断扩张，本次改造后的网络设施主要承担满足遍布全省的学习者对学校教学资源访问的任务，访问对象网络条件复杂，且有大量的外网视频访问要求。服务器等基础设施均已处于超负荷和老化状态， 04 年以前购置的 18 台服务器均已老化，其中硬盘损坏严重，电气性能下降。有的业务系统是使用带病服 务器运行，随时可能导致系统崩溃。分散在其他处室的服务器如教务处学籍管理、考试管理、图书馆的服务器更加老化，已经成为影响学校业务工作的严重隐患。虽然后来为干部在线、继续教育培训项目添置了几台服务器，均为专用设备，无法实现资源共享。此外，和校内各结点的汇聚层交换机和接入层的交换机也年久失修，故障频仍，导致信息不畅。开放教育新平台即将部署、湖湘学习广场的管理系统开发、干部在线进入扩展期、国家数字化资源库项目等新项目上马，信息化基础设施建设已经刻不容缓。 2信息化基础设施架构技术落后，设备资源不能有效利用 学校二 期校园网改造采用简单以太网三层交换结构是受制于当时的网络技术水平。学校虽有 700M 带宽（电信 3 条 100M、联通 100M、移动 100M、教科网 100M、省有线 100M）却因为没有链路负载均衡，无法满足某项业务在某一时段较高的带宽要求。服务器数量严重第 页 共 28 页 3 不足，一有新任务就要拆东墙补西墙，开发新项目就要删除一些原有服务器中的信息，腾出空间进行项目开发，导致一些重要信息被丢失。目前系统中只有 20T 的 贮，远远无法满足学校资源存贮的要求。按照原有网络结构，学校有的服务器负载十分繁重，有的服务器却相对空闲，瓶颈现象十 分突出。 3网络监控和管理一的缺乏监控和管理手段缺乏，网络安全存在隐患 学校二期校园网改造时，网络管理功能设计十分薄弱。网络监控管理、身份认证系统、流量控制系统、运行环境监控、应用防火墙等都需要重新建设。 根据建设开放大学的需要，学校的应用业务系统将采用私有云与共有云相结合的方法来解决大规模用户访问所需的并发访问，带宽资源要求高的视频访问将主要依托社会公共云资源的基础设施，学校教育云网络数据中心必须按照其所承载核心数据和信息管理需求，运用虚拟化技术，朝私有云的方向来建设，以满足最灵活、最高效和最经济技术路 线来建设，建设技术一流的信息化基础设施，满足一流开放大学建设的需要。 2. 数据中心设计概要 体要求 本项目为教育云架构的网络数据中心建设，主要服务湖湘学习广场的学分银行、国家数字化学习资源中心湖南中心资源存储和管理、学校教学资源总库、学校数字图书馆、培训学院和网络学院的各类教育教学平台和管理系统在线学习和考试，满足学校 务交互需求。一方面大量的业务系统需要对数据进行共享，另一方面由于数据的重要性，又需要相互隔离，要求对接入访问有严格的身份认证和权限控制。 总体来说，学校数据中心要求网络架构清晰，同时具有 良好的可靠性、安全性、易管理性和扩展性。 建设目标： 本次湖南开放大学数据中心建设属于开启湖南开放大学教育云建设的第一步，主要由虚拟化网络系统建设、虚拟化服务器系统建设、统一存贮系统建设三部分构成，其中虚拟化网络建设包括：网络核心建设，网络汇聚建设，网络安全建设，网络运维系统建设，网络出口系统建设。本次建设要求技术架构先进、按需满足、可无限扩充的技术路线，彻底改善在传统构架的网络中进行业务扩容、迁移或增加新的服务功能越来越困难的问题。通过使用虚第 页 共 28 页 4 拟化技术，采用云模式构架，增加虚拟化核心交换机、虚拟化服务器设备 和虚拟化统一存储系统，建设湖南开放大学教育私有云。教育云数据中心建成后，所有的服务都在数据中心运行，新增的业务需求都由数据中心统一分配网络、服务器、存储资源，学校提供统一的运行环境。满足湖湘学习广场门户、社区教育网站、干部在线等大规模访问用户的访问需求，成为学校管理信息系统、电大开放教育平台、高职教育平台、国家数字化学习资源中心、学校资源中心的数据中心。建设的最终目标是构建全省开放大学系统的教育云，本次建设省校本部的网络数据中心。 湖南开放大学（筹）教育云拓扑结构 本次建设分层分区设计 学校数据中心为学 校终身教育的湖湘学习广场建设（终身教育学习平台）、大学管理信息系统建设（ 新型开放教育教学平台建设、国家数字化学习资源中心建设、信息化基础设施建设等服务，以及各业务的安全隔离控制。 按照网络核心、汇聚和接入的模型对学校网络系统进行划分，从而完成用户接入层面与数据中心的数据接入层面的分层设计。 根据网络实现的功能，从数据中心所提供业务的独立性和互访关系综合考虑，根据业务相关性和数据流访问控制的要求，将数据中心网络根据业务和功能划分为以下几个个功能第 页 共 28 页 5 区： 核心业务区：学校核心业务数据（ 终身教育学习平台、国 家数字化学习资源中心等 ） 为办公提供基础 外联区：与分校或其它外联单位互访接口 互联网区：门户网站和远程办公接入出口、公共服务 网管维护区：网络的管理控制中心 省校教育云网络数据中心拓扑图 3. 数据中心网络设计 湖 南开放大学下设市州和行业、企业分校众多，而作为校园网运转核心之一的 统访问量巨大，为满足学校业务扩张和数据大集中的发展需要，数据中心的建设中必须要考虑到系统的容量、性能、扩展性、安全性和易管理等诸多因素。因此，在数据中心的建设中，采用业界通用的交换网络设 计，具有性能高、吞吐量大，可靠性高，扩展性好等优势。 设计要求 分校网络湖南开放大学数据中心结构服 务 器区域S e r v e r 交 换 机接入交 换 机 拟 服 务 器1 0 / 1 0 0 / 1 0 0 0 务 器统 一存 储1 0 G E 传统高性能服 务 器高速存储低速存储中速存储备份存储原有存储 原有存储传统 存 储 网 络虚拟化核心交换系统10 万兆存 储交 换 机网 络 运 维 中心 核心交 换 区办 公区 分校网 络 接入区广域网接入区1 0 /1 0 0 /1 0 0 0 ，承载着学校的核心业务，供学校内部数据交换，具有系统复杂、重要性极高、访问频繁、业务流量大、安全要求高、管理控制策略复杂等诸多特点，因此，数据中心网络的设计必须要做到： 1、 应用系统高性能： 10 万兆核心、无收敛、吞吐量高、快速响应、服务器负载均衡，确保大流量突发情况下不丢包； 2、 系统高可用：网络采用全冗余设计，对各种故障和误操作具有良好的鲁棒性； 3、 网络高安全：对各种访问做到精细控制，防止各种非法和越权访问； 4、 易于管理：各种控制和隔离策略要灵活部署，做到对网络设备、服务器系统、存储等系统的全面管理，同时管理数据流与业务数据流保持隔离。 靠性和自愈能力 链路冗余 在主干连接 上具备 可靠的线路冗余方式。采用负载均衡的冗余方式，即通常情况下两条连接均提供数据传输，并互为备份。主线路 可实时、自动的 切换到备份线路 ,而不影响业务应用 。这种高速的网络自愈特性应可以保证不会引起 由的重新计算，不会引起业务的瞬间质量恶化，更不会引起业务的中断。 模块冗余 主干设备的所有模块和环境部件具备 1+1 或 1： N 热备份的功能，切换时间 小于 3 秒。所有模块具备热插拔的功能。系统具备 上的可用性。 每台核心交换机要求配置至少 4 块独立的交换网板（非主控或板卡集成）。 设备冗余 提供由两台或两台以上设备组成一个虚拟设备的能力。当其中一个设备因故障停止工作时，另一台设备自动接替其工作，并且不引起其他节点的路由表重新计算，从而提高网络的稳定性。以保证大部分 用不会出现超时错误。 路由冗余 网络的结构设计应提供足够的路由冗余功能，在上述冗余特性仍不能解决问题时，数据流应能寻找其他路径到达目的地址。 第 页 共 28 页 7 塞控制与服务质量保障 拥塞控制和 服务质量保障 ( 企业信息网关注 的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样，网络的数据流量突发是不可避免的，因此，网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。 业务分类 网络设备应支持 6 8 种业务分类 (当用户终端不提供业务分类信息时，网络设备应根据用户 的 址 、应用类型、流量大小等自动对业务进行分类。 接入速率控制 接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。 队列机制 具有先进的队列机制进行拥塞控制，对不同 等级的业务进行不同的处理，包括时延的不同和丢包率的不同。 先期拥塞控制 当网络出现真正的拥塞时，瞬间大量的丢包会引起大量 据同时重发，加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术，在网路出现拥塞前就自动采取适当的措施，进行先期拥塞控制，避免瞬间大量的丢包现象。 资源预留 对非常重要的特殊应用，应可以采用保留带宽资源的方式保证其 络的扩展能力 网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展，以及网络规模的扩展能力。 交换容量扩展 交换容量具 备在 规划业务水平 上 保证 4 8 倍容量的能力，以适应 业务急速膨胀的现实。 端口密度扩展 设备的端口密度应能满足网络扩容时设备间互联的需要。 第 页 共 28 页 8 主干带宽扩展 主干带宽具备高带宽扩展能力，以适应 业务急速膨胀的现实。 网络规模扩展 网络体系、路由协议的规划和设备的 P 路由处理能力 ，在网络节点数目上应能满足 3 5 年的扩展要求 。 信协议的支持 网络通信协议 以支持 P 协议为主，兼支持 协议。设备商应提供服务营运级别的网络通信软件和网际 通用 操作系统。 域内路由协议 支持 多种国际标准的路由协议。根据 网络工程的 规模 和 需求， 采用 由协议 来进行规划建设 。 并 采取合理的区域划分和路由规划来保证网络的稳定性。 域间路由协议 支持 标准的域间路由协议 ,保证与 可与广域网采用多种方式进行 可靠互联。 高网络整体交换性能，在无连接的 境下实现面向连接的效果， 以支持 能，有效隔离不用业务网段。网络支持 准 ,具备 3 层、 2 层 功能，可以在与未来湖南开放大学 络无缝对接。 络交 换设备设计需求 核心层 核心层提供多个数据中心汇聚模块互联，并连接园区网核心、互联网出口和外联单位；具有高交换能力和突发流量适应能力，无阻塞、低收敛或无收敛，采用多条万兆链路捆绑互联，同时核心交换机要求多汇聚模块扩展能力，高性能要求 40路捆绑。采用多级的交换网架构 ,交换网板必须与主控分离，独立于主控和线卡。同时核心层设备必须有大量成功部署在大型数据中心的应用案例，以保证设备的可用性。要求核心交换机能力支持 16个万光端口以上的业务插卡模块 , 配置虚拟化技术，要求两台物理设备的虚拟为一台逻辑设第 页 共 28 页 9 备， 支持统一的管理、跨设备链路聚合，要求提供虚拟化技术的用户使用报告至少两份，至少提供一个本地可参观的虚拟化技术应用样板点；交换容量 3转发率 950务单板槽位数 8 个；要求提供冗余主控、冗余电源、满配交换网板；支持基于端口的 大 4096 ，支持 支持 持 议，符合 准。支持 v2/协议；支持 持协议。支持静态路由、 1/持策略路由和 支持 态路由， 支持 策略路由和 持 过渡技术，包括： 工隧道、 6道、 道、道等。板卡可以实现分布式（非集中式）二、三 层 持跨域 括 种方式。 汇聚层 为服务器群（ 外提供高带宽出口；要求提供高密度 10口实现接入层互联；作为应用服务器网关层，同时提供扩展业务模块，如万兆防火墙模块、流量清洗模块，实现网络的访问控制、 御、异常检测和应用加速和负载均衡等高级功能。 汇聚层与服务器群根据应用特点进行数据中心区域划分，形成功能分区，可灵活扩展，又可满足业务系统独立和隔离的需求。交换容量 600G，包转发 率 360统可提供万兆接口 24 个，支持 配万兆多模光模块，提供 4 个千兆电接口，支持内置电源冗余，配置双冗余电源；支持跨设备链路聚合，单一 理，虚拟化后所有设备路由表项统一，未来可以通过虚拟化技术实现多台汇聚虚拟成一台大汇聚，支持 态路由、 1/V2/持策略路由。 接入层 支持高密度万兆接入；接入总带宽和上行带宽存在收敛比、线速两种模式；基于机架考虑， 1具灵活部署能力；交换容量 240G、包转发率 130有可用端口线速转发，可提供 48 个千兆电接口，至少 4 个千兆 口， 2 个扩展槽位，最大能扩展 4 个万兆接口，本次配置 2 个万兆接口， 1 个万兆多模模块；支持 持 层路由功能；支持跨设备链路聚合功能；支持 证和集中式 址认证；支持 止欺骗的 务器；支持 侵检测功能；支持 文限速功能；支持 1/3、 通过命令行、 文图形化配置软件等方式进行配置和管理，支持虚 电缆检测功能和单向链路检测；支持 括 播地址配第 页 共 28 页 10 置， 居发现协议（ 持堆叠，更具扩展能力；上行双链路冗余能力。 图 数据中心网络分层架构 据中心网络出口设计 根据湖南开放大学的数据中心的访问需求、业务系统类型、数据流特点，将数据中心出口分为三部分进行设计： 1、 互联网区 ：提供学校的网络出口：学校 站系统、 终身教育的湖湘学习广场（终身教育学习平台）、新型开放教育教学平台、国家数字化学习资源 中心 、学校教师通过互联网接入的移动办公、通过 外的业务交互等；出口路由器与 干网直连，需要高带宽接口，同时提供较高的接口密度和汇聚能力。 2、 外联区 ：与地州市和行业分校的业务互联功能区、视频会议等；一般通过专线或行接入汇聚。 3、 内网区 ：包括 大学管理信息系统建设（ 、学分银行系统、教务管理系统、财务系统等，可根据具体的应用做详细的服务器群划分。 第 页 共 28 页 11 联网区 互联网区作为湖南开放大学的数据中心出口，其作用主要有： 学校面向公众的展示平台 站（前端平台）包括： 终身教育的湖湘学习广场（终身教育学习平台）、新型开放教育教学平台、国家数字化学习资源中心等 。设计访问量在 50 万人并发访问； 公网访问电子图书馆系统； 出差办公接入、 统访问：主要通过 入； 为满足 域访问需要，提高网络和应用系统安全性，将 问的服务器及应用系统规划在 域，下挂在 域， 域部署 备、 火墙，对各种访问进行控制，同时对各种 击、嗅探、扫描、欺骗进行防御，进行病毒过滤，对 问、广域网接入进行应用加速。 域需要部署出口链路负载均衡系统、 防火墙设备各两台，杜绝单点故障；部署 备，实现安全接入校园网络；在 务出口部署应用加速设备加速，加速应用服务。 1、出口链路负载均衡系统： 采用多核或多 构，如为多核， 数目 8 个；如为多 构， 量不少于 2 个；固定接口： 10/100/1000 以太网口 16 个；千兆 口 4 个；吞吐量 4大并发连接数 200 万；支持真实服务器个数 16384；支持健康检测个数 16384； 配置 机热备，支持设备内部以及设备之间的双机热备； 块发生故障时，数据流能够避开故障模块，业务保持正常转发；支持 向链路负载均衡；支持链路的失效切换；支持无限 路径链路健康检查方式；支持静态地址列表匹配，要求基于电信 /网通 +联通 /移动 +铁通等运营商的 址库；支持智能 析， 512 条 项；支持负载均衡算法：轮询、加权轮询、最小连接、加权最小连接、随机、加权随机、源地址的地址 容、 持 多种方式的健康检测技术；支持和网络无缝融合，可以通过网络设备进行统一管理；支持服务器负载均衡；支持防火墙负载均衡；能够同时支持服务器和防火墙负载均衡；支持多链路负载均衡；支持 式的服务器负载均衡；支持 式的服务器负载均衡；支持路由模式的防火墙负载均衡；支持透明模式的防火墙负载均衡；支持在线部署和旁挂部署模式 2、应用加速设备 第 页 共 28 页 12 采用的主要技术包括： 化、内容压缩，可以实现高峰负荷保护等附加功能。各项功能均采用专门的硬件芯片处理，因此混合使用各种功能时， 对设备的性能、功能没有影响。 多核或多 构，如为多核， 数目 8 个；如为多 构， 量不少于2 个；固定接口： 10/100/1000 以太网口 16 个；千兆 口 4 个；吞吐量 4大并发连接数 200 万；支持真实服务器个数 16384；支持健康检测个数 16384 配置 机热备，支持设备内部以及设备之间的双机热备；链路负载均衡功能发生故障时，数据流能够避开故障，业务保持正常转发；支持基于 各种加密算法的 速功能；支持负载均衡 算法：轮询、加权轮询、最小连接、加权最小连接、随机、加权随机、源地址 的地址 容、 持 多种方式的健康检测技术；支持和网络无缝融合，可以通过网络设备进行统一管理；支持服务器负载均衡；支持防火墙负载均衡；能够同时支持服务器和防火墙负载均衡；支持 式的服务器负载均衡；支持 式的服务器负载均衡；支持路由模式的防火墙负载均衡；支持透明模式的防火墙负载均衡；支持在线部署和旁挂部署模式 3、 统： 独立多核硬 件设备，提供 4 个百兆电口，可扩展支持 2 个千兆端口；可满足至少 300用户同时在线； 密性能不小于 120持包括 免客户端接入方式；支持 字签名算法、 要算法、支持 3加密算法；支持客户端退出缓存清除功能，可清除网页缓存、 载程序、配置文件等信息；支持本地认证、 证、双因子证书认证、 证、 证等多种认证方式；支持浏览器和操作系统类型、版本、补丁等主机安全状态检查； 要提供强大的 入侵检测和防御能力，并能与网络管理平台做到联动，避免各种意欺骗、端口扫描等恶意行为的影响； 防火墙：需要提供灵活的报文准入过滤、基于状态的安全检测，提供病毒防御和邮件扫描等高级应用层功能。 外联区 外联区主要为与地州市和行业分校的业务互联功能区、视频会议等；一般通过专线或行接入汇聚。对内与数据中心核心互联，进行业务的交互处理。除部署交换机和服务器外，该区域需要部署出口防火墙与 少一台。 第 页 共 28 页 13 内网区（各类教学业务系统服务后端网络） 流量特点 内网区的主要出口流量包括：学校内部 统访 问； 访问 ,如 务器 ,校教务等服务数据同步；校园一卡通；学校 维管理；在这个区域主要部署防火墙。 据中心安全设计 防火墙 根据湖南开放大学的网络结构，在湖南开放大学数据中心进行如下防火墙部署设计： 各个不同区域的安全隔离 互联网出口、广域网出口安全控制：我们在学校互联网出口，以及与下级分校广域网连接处部署防火墙，两台防火墙与核心交换机以及出口路由器之间采取全冗余连接，保证系统的可靠性，同时设置两台防火墙为双机热备方式，在实现安全控制的同时保证线路的可靠性； 业务系统安全隔离， 部各业务系统彼此之间安全隔离：我们学校数据中心核心层交换机上部署高性能的防火墙插卡，至少每个业务系统保证 1G 以上安全转发的吞吐量。同时采取线路全冗余和设备双机热备方式，以保证数据中心的高可靠性。 防火墙需求 要求为独立万兆防火墙或集成在核心交换机中 独立防火墙必须为中国移动或者中国电信 10G 以上防火墙入围产品 独立防火墙必须提供 8 千兆电口和 4 个千兆光口，可以扩展 8 个万兆口 支持无限制用户数 防火墙吞吐量 10 页 共 28 页 14 并发连接数 200 万 每秒 新建连接数 10 万个 工作模式：路由和透明 支持最大虚拟防火墙数 256,本次要求配置至少 250 个虚拟防火墙 管理：免费图形化管理软件，提供支持 基于 理界面 路由协议支持 静态 故障切换支持： 除了支持路由模式、透明模式、 式外，还支持动态、静态的网络地址转换 对 音和视频有良好支持，如 支持多媒体应用的特性： 2 版本； 可以控制与某些袭击类型相关的网络行为，比如： 虚拟重组； 制； 挡； 滤； 滤 支持防攻击类型为 片、 等。 支持 支持 务器和 继，支持 向 端口重定向。 支持向 统报警。 支持 基于 程管理，支持 本。 入侵防御系统部署 在湖南开放大学数据中心网络安全建设中，在如下安全区域部署入侵防御系统以实现对本区域的深度检测及防御，从而杜绝病毒、协议型攻击。 （ 1） 在互联网出口、广域网出口部署 内外网交互的数据进行深度防御； （ 2） 在 保业务系统不受其他安全区域的应用层威胁影响； （ 3） 在 署 免来自于分校网络可能存在的威胁扩散。 第 页 共 28 页 15 基本硬件配置要求 1） 备基于多核硬件平台，非 件平台，需提供多核 称和型号。 2） 要求为独立入侵防御设备或集成在核心交换机中； 3） 备提供独立的管理网口，实现安全的带外管理，且管理网口必须为10/100M/1000M 自适应以太电口。 4） 备提供 1+1 冗余电源，电源支持热插拔。 5）提供不少于 8 个千兆电口， 12 个千兆光口； 入侵防御功能指标要求 1）支持深入七层的分析检测技术，能检测防范的攻击类型包括：蠕虫 /病毒、木马、后门、 击、探测 /扫描、间谍软件、网络钓鱼、利用漏洞的攻击、 入攻击、缓冲区溢出攻击、协议异常、 逸攻击等。 2）支持 频等网络滥用协议的检测识别，支持的网络滥用协议至少包括迅雷、 载协议、多进程下载协议（网络快车、网络蚂蚁）等 用， 载视频文件、沸点电视、网络视频应用；可在识别的基础上对这些应用流量进行阻断 或限流。 3）支持专业防病毒功能，集成第三方专业防病毒厂商的专业病毒库，提供针对 品的与专业防病毒厂商的合作证明。 4）支持 滤功能，可以自定义需要过滤的 则， 滤可以基于时间、主机，能够精细到单一 址。 5）支持 片重组、 重组、会话状态跟踪、应用层协议解码等数据流处理方式。 6）采用全面深入的分析检测技术，结合模式特征匹配、协议异常检测、流量异常检测、事件关联等多种技术，能识别运行在非标准端口上的协议，准确检测入侵行为。 7） 测到攻击报文或攻击流量后，支 持阻断、限流、捕获原始报文等常规响应方式。 8） 测到攻击报文或攻击流量后，支持隔离、 定向等响应方式，以实现第一时间隔离有安全威胁的主机，需提供配置界面截图。 9） 测到网络滥用流量后，支持阻断、限流的响应方式。 10） 持对不同的网段运用不同的入侵防御策略 11） 以针对不同的 段应用不同的网络滥用带宽控制策略。 12） 以针对不同的时间段应用不同的网络滥用带宽控制策略。 第 页 共 28 页 16 13）可以识别并检测 特殊封装的网络报文。 14）支持特征库的手动、自动升级，特征库升级后设备无须重启即可生效。 15）攻击特征库数量 2500+ 16）病毒特征库数量 8000+ 17）支持的协议识别数量 800+ 备管理功能指标要求 1） 持基于 图形化管理方式，支持 录 形管理系统进行管理。 2）不需要部署额外的管理系统，通过基于 图形化管理方式，即可用普通浏览器登录 备实现完备的单机的设备管理、特征库自动升级、安全策略管理、攻击事件统计分析功能，从而简化单台或少数几台部署时的部署成本和 维护成本。 3）对多台分布式部署的场景，提供管理软件实现对多台分布式部署的 备进行集中管理。 4） 单机管理系统、集中管理系统均支持中文管理界面。 5）支持基于串口、 命令行管理界面。 6）提供全面的系统日志、审计日志功能，日志可导出。 7）支持实时的攻击事件归并功能，有效避免事件风暴。 8）支持攻击事件的 警功能。 9）支持攻击事件的 送接口。 10）支持攻击事件统计分析，并可生成图形化的报表，报表可导出到本地。 11）内置缺省使能的 测策略，支 持策略自定制能力。 12）支持细粒度的特征规则设置，可以为单条不同的特征规则设置不同响应方式，包括告警、阻断、隔离、限流、重定向等。 13）支持攻击特征库的手动、自动升级，提供管理界面截图。 14）支持独立的病毒特征库（有别于攻击特征库）的手动、自动升级，提供管理界面截图。 备高可靠性和自身安全性指标要求 1）独立 备必须提供 1+1 冗余电源，电源支持热插拔；支持直流电源供电。 2）支持接口同步功能，当 一个接口对上的其中一个接口 时，对应的另一个接口也会自动 。 第 页 共 28 页 17 3）支持 二层回退功能，当检测引擎在极端情况下失效时，设备可回退到二层模式，保证网络连通。 4）支持掉电保护功能，保证设备掉电时，通过掉电保护功能可保证网络连通。 5）支持重启时的保护功能，在设备重启时，仍可通过掉电保护装置保证网络连通。 6）为确保可靠性，掉电保护装置必须是一个无源设备，提供介绍掉电保护机制的白皮书。 7）为确保可靠性， 备的存储介质必须不能是机械式硬盘。 8） 备提供独立的管理网口，实现安全的带外管理，且管理网口必须为10/100M/1000M 自适应以太电口。 备性能指标要求 1）开启 略后的吞吐量 2000）并发连接数 400 万 3）新建连接数 50 万 4）数据处理时延 200络管理与安全体系 1) 为了实现 湖南开放大学 不仅 需要对整网 网络设备 实现统一管理，实现网络的拓扑、性能、故障、配置全方位的管理 ，还要能够实现对存储系统和网络系统的统一管理 。 2) 网络安全从本质上讲是管理问题。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证 学校 网络安全运行的前提。 3) 对于 学校 的 据公安部门在 2005年颁布了互联网安全保护技术措施规定，需要对用户登录和退出时间、主叫号码、帐号、互联网地址或域名等信息进行保存，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系，并保留 3个月以上的上网日志信息备查，以便公安机关公共信息网络安全监察部门在需要时可以进行追查。 主要部署流控设备、网络运维管理设备和数字 第 页 共 28 页 18 流量控制与监控设备 湖南开放大学数据中心流量控制与监控设备，要求采用多核多线程 布式架构设计，保证多业务可并行运行；独立设备要求至少提供 12 个千兆端口；可以提供至少 6 对 桥，桥可以捆绑多个接口，内置双电源，至少提供 3 组光接口桥， 3 组电接口桥，吞吐量 = 4G，并发会话量 = 200 万，支持 雷 )、腾讯超级旋风下载协议、 骡 )/ 驴 )、 沸点网络电视等协议，支持 阿里旺旺等协议，支持 桥语音 ) 、 协议，提供 式的呼叫识别、干扰、阻断， 支持 ， 支持 支持 智慧 )及 花顺 )等， 支持 魔兽世界、 戏、联众、新浪游戏大厅等且不少于 30 种，流媒体、 问、 载、网络管理共不少于 20 种，采用特征库技术，特征库升级过程无需重启、不中断业务正常运行，且完成整个升级过程所需时间小于 5 分钟，特征库支持手动升级与自动升级，特征库必须在 网上发布，平均至少两周更新一次，以便利于获取，提供开放端口，可手工定义协议类型，支持与第三方配合，共同开发特征库，可导入用户自行开发的特征库，可识别 2000+种应用协议，并可提供详细列表或者脚本文件，可以识别并检测 特殊封装的网络报文。支持阻断功能，支持限流功能，支持干扰功能，支持告警功能，可自动学习流量模型来进行策略的调整，支持输出报表功能，支持基于用户名、区域、源 /目的 、时间、应用等综合任意组合进行控制，支持对用户 问历史记录的查询审计，包括提供 访问的用户名 /站信息、网页信息、 息、网页标题、访问时间等，支持 件信息审计，包括记录发件人、收件人、抄送人、暗送人、主题、附件名、时间等，审计系统可接收 志，会话开始时间与结束时间，从而实现直接审计到内部用户功能，审计信息可通过 出、通过邮件直接发送，可按时间、地域、用户名、源 /目的 作、类型等进行查询，应用流量统计：能够支持常见应用流量统计，提供对 站综合分析、 用行为分析、 用行为分析，包括 （ N 为 10100）的柱状图、排行列表等，用户或 用流量区分 第 页 共 28 页 19 网络统一管理 设计 方案 智能管理平台实现网络资源、用户和业务的融合管理，提供基本的网络资源管理、拓扑管理、故障管理、性能管理、用户管理及系统安全管理，基于 B/S 架构， 采取组件化方式构建网络管理系统，系统 可以 学校用户的实际需要扩展 其他 所需要的 业务 管理 组件 ，不需要更换基本平台，满足 多种 管理功能的需要 。 智能管理平台通过标准 的设备管理协议 实现对 锐捷、 3各主流厂商的数据通信设备管理。 拓扑管理 自动发现网络拓扑结构，支持全网设备的 统一拓扑视图，通过视图导航树提供视图间的快速导航。通过自动发现可以发现网络中的所有设备及网络结构，并且可以将非 备发现出来，只要设备可以 即可。同时支持自动的拓扑图呈现和自定义拓扑。 支持对全网设备和连接定时轮询和状态刷新，实时了解整个网络的运行情况，并且刷新周期是可定制，同时也支持对多个设备的刷新周期进行批量配置的功能。 故障（告警 /事件）管理 故障管理，即告警 /事件管理，智能管理平台及其他业务组件统一的告警中心 。 告警发现和上报 告警中心可以按收各种告警源的告警事件，包括 设备告警、本级网 管站及下级网管站告警、网络性能监视告警、 网络 配置监视告警、网络流量异常监视告警、终端安全异常告警等；同时通过支持对设备定时 轮询 ，实现通断告警、 响应时间告警等， 以告警事件的方式上报给告警中心 。支持告警智能分析，包括告警分类关联分析、告警多源关联分析、告警拓扑根源分析、告警网络影响度分析。 第 页 共 28 页 20 性能管理 网管系统提供丰富的性能管理功能，同时以直观的方式显示。例如：可以提供折线图、方图、饼图等多种显示方式并能生成相应的报表。通过性能任务的配置，可自动获得网络的各种当前性能数据，并支持设置性能的阈值，当性能超过阈值时， 网络以告警的方式通知告警中心： 支持能够对 量等关键指标一目了然； 提供各类常用性能指标的缺省采集模板； 支持实时性能监视，支持二级阈值告警设置 ,当链路或端口的流量超过阈值，系统将会发送性能告警，使网络管理人员可以能够及时了解网络中的隐患，及时消除隐患。同时为故障定位提供手段； 提供基于历史数据的分析，为用户扩容网络、及早发现网络隐患提供保障； 支持饼图、折线图、曲线图等多种图形方式，直观地反映性能指标的变化趋势；提供灵活的组合条件统计和查询；性能报表支持导出 设备管理 设计 支持设备管理，提供丰富的管理功能。通过面板管理，网络管理人员可以直观地看到设备、板卡、端口的工作状态，通过设备信息浏览监视，管理人员可以了解设备的运行情况，实时监视 用率、端口利用率等重要信息。同时，提供图形化的配置方式。 提供完善的网元管理功能，通过逼真的面板图片，直观地反映了设备运行情况。 通过面板图标直观地反映设备的框、架、槽、卡、风扇、 口等关键部件的运行状态； 能够查看、设置设备端口状态； 能够查看路由、 能够查看端口流量、丢包率、错包 率等关键统计数据； 支持对交换机堆叠能力的管理； 第 页 共 28 页 21 通过 支持从设备列表、设备详细信息、拓扑等多个入口打开设备面板。 设备配置统一管理 提供配置库管理功能，帮助管理员对设备配置文件形成基线库，并进行集中管理。 设备配置库包括配置文件和配置片断，配置内容可带有参数，在部署时根据设备的差异设置不同的值。 系统缺省提供常用的配置片断： 以对其进行复制、导出及部署： 管理员可以从指定配置文件 /片断导入到配置库中进行管理 ，也可以从指定设备上读取当前配置并导入到配置库中进行管理。 除从设备导入、从文件导入配置库功能外，管理员可以查看、增加、复制、修改、删除、导出及部署指定的配置库中任何配置文件 /片断。 当网络部署完毕，管理员可以通过配置库管理将设备的配置信息保存下来，并进行基线化，这样当设备配置变化或者需要更新配置时，管理