智慧校园建设技术建议书.doc

智慧校园建设技术建议书智慧校园建设技术建议书 2015 12 13 部分内容来源于网络 有侵权请联系删除 目目 录录 一 一 项目背景项目背景 3 二 二 总体建设目标总体建设目标 3 三 三 整体建设方案整体建设方案 4 3 1 整网组网拓扑图 4 3 2 网络建设方案 5 3 2 1校园网概述 5 3 2 2校园网建设目标 6 3 2 3校园网建设分析 6 3 2 3 1 校园核心层建设方案 7 3 2 3 2 大楼汇聚层建设方案 9 3 2 3 3 楼层接入层建设方案 12 3 2 3 4 网络管理建设方案 12 3 3 安全建设方案 15 3 3 1概述 15 3 3 2出口安全建设 16 3 3 2 1 出口双机部署 17 3 3 2 2 路由安全 17 3 3 2 3 防火墙 18 3 3 2 4 入侵防御 18 3 3 2 5 用户行为管理 19 3 3 2 6 防病毒网关 19 3 3 3运维管理建设 19 3 4 数据中心建设方案 20 3 4 1 服务器虚拟化建设方案 20 3 4 1 1 概述 20 3 4 1 2 服务器虚拟化 20 3 4 1 3 刀片服务器优势 21 3 4 2 存储虚拟化建设 22 3 4 2 1 方案设计原则 22 3 4 2 2 存储的优势 23 3 4 3 数据中心安全建设 24 3 4 3 1 概述 24 3 4 3 2 虚拟机隔离设计 24 3 4 3 3 虚拟防火墙部署优势 25 3 4 3 4 云平台深度安全防护系统 25 3 5 桌面云建设方案 27 3 5 1 概述 27 3 5 2 传统桌面环境目前面临的挑战 27 3 5 3 华为桌面云简介 28 3 5 4 华为桌面云优势分析 29 3 5 5 华为桌面云主要硬件 31 部分内容来源于网络 有侵权请联系删除 3 6 备份容灾建设方案 32 3 6 1 概述 32 3 6 2 本地存储异构虚拟化建设 33 3 6 3 异地存储容灾建设 34 3 6 4 备份一体机建设 35 四 四 方案优势方案优势 37 4 1 具有多层次安全防护优势 37 4 2 具有可靠性优势 39 4 2 1 虚拟化可靠性 39 4 2 2 管理可靠性 39 4 2 3 服务器可靠性 39 4 2 4 存储可靠性 40 4 2 5 网络可靠性 40 4 3 具有成本节约的优势 40 五 五 方案预算方案预算 42 部分内容来源于网络 有侵权请联系删除 一 一 项目背景项目背景 智慧校园是以网络为基础 利用先进的信息化手段和工具 实现从环境 包括实验室 教室 设备等 资源 如公文 图书 讲义 课件等 到活 动 包括教 学 科研 管理 服务 办公等 的全部数字化 智能化 在传 统校园的基础上构建一个数字空间 以拓展现实校园的时间和空间维度 从而 提升传统校园的效率 扩展传统校园的功能 最终实现教育过程的全面信息化 达到提高教育管理水平和效率的目的 二 二 总体建设目标总体建设目标 鉴于学校目前信息化现状 客观存在的问题以及实际需求 结合国内学校 信息化的发展趋势 建议本次智慧校园建设总体目标设定为 夯实数字化的应用管理环境 智慧化的教学环境 有特色的校本课程建设 环境和具有云计算能力的网络平台 最终建成一个开放 多元 人文 智慧 高效 安全 和谐的智慧校园 为学校实现战略发展目标提供强有力的支持 实现学校教研 教学 管理 服务等整体信息化 达到提升教学质量 提高人 才培养水平 优化管理流程的目的 使得信息化整体水平与学校的业务发展定 位一致 整体提供学校核心竞争力 并实现学校优质高效的可持续发展 细化目标如下 1 提出并确定智慧校园网络的体系结构 2 制定智慧校园的信息标准与应用标准 以及各系统之间的接口标准 3 建设一个为全校提供服务的数据中心 包括虚拟主机 应用服务 数据 存储服务 数据备份服务 数据安全服务等 4 建立全校的网络安全体系 保证校园网络的安全 保证关键数据 关键 应用的安全以及关键 业务部门的安全 实现校园网络及其应用系统的安全高效 运行 5 建立一整套校园信息管理系统 为实现 网上办公 网上管理 网上教 学 网上服务 提供全面的系统支持 部分内容来源于网络 有侵权请联系删除 三 三 整体建设方案整体建设方案 3 1 整网组网拓扑图整网组网拓扑图 I In nt te er rn ne et t 防火墙 核心交 换机 汇聚交换机 接入交换机 防毒网关网管平台 APAP APAPAP 图图例例 万兆单模光纤 六类非屏蔽双绞线 图图书书馆馆实实验验楼楼 办办公公楼楼 教教学学楼楼后后勤勤和和食食堂堂 入侵检测系统 HA 上网行 为管理 千兆多模光钎 数数据据中中心心区区 云平台应用 服务器 镜镜像像 备备份份存存储储 备备份份区区 备备份份一一体体机机 同同步步复复制制 接入交换机防火墙 无线控制器 运运维维管管理理区区 路由器 HA 应用负载均横 部分内容来源于网络 有侵权请联系删除 3 2 网络建设方案网络建设方案 3 2 1 校园网概述校园网概述 校园网是指在学校范围内铺设的信息网络 为学校师生提供快捷高效的教 学 科研和综合信息服务 校园网既需要承载科研信息共享 多媒体教学 电 子阅览 教学资料存储等教学相关的网络业务 也要承载行政和总务管理 教 师办公 高校论坛等其他网络业务 因此对网络的性能 服务质量等要求极高 随着高校信息化的发展 网络中所承载内容的变化 以及接入终端的多样 化 校园网的建设也面临着越来越多的新挑战 1 1 网络带宽问题 网络带宽问题 传统校园网的接入层为百兆带宽 已经不能满足现有网络应用的高速传输 需求 2 2 网络运营问题 网络运营问题 接入场景复杂接入场景复杂 校园网有大量的固定资产 例如打印机 摄像头 IP 电话等 需要接入网 络 这些终端设备都需要稳定运行 学生宿舍 教师公寓等地点又会有大量 PC 接入网络 校园中访客众多 公共场所总会有访客频繁接入网络 由于学生和 教师乐于尝试新技术 校园又是无线终端非常密集的场所 网络效率不高网络效率不高 校园网中有大量的 P2P 及其他下载流量占用带宽 导致重要网络应用质量 不高 有多个网络出口时 经常会出现一个出口已经非常拥塞 另一出口占用 率却很低的现象 无论从技术上还是管理上 运维都显得非常复杂 网络行为管理网络行为管理 本着对学生负责的理念 校园网需要提供网络行为管理的工具 对学生进 行实名认证 对学生的上网行为进行约束 并对上网的行为能够监控记录 必 要时进行回溯 IPIP 地址分配地址分配 部分内容来源于网络 有侵权请联系删除 校园网目前使用传统的 DHCP 方式分配 IP 地址 对接入用户缺乏有效的探 测机制 地址回收效率也不高 校园网中终端接入频繁 用户移动频率过快 使用 DHCP 方式会浪费大量 IP 地址资源 3 3 网络安全问题 网络安全问题 校园网的用户具有极强的网络技术以及好奇心 会不断尝试攻击校园网络 同时校园网应用繁多 结构复杂 是网络攻击 网络病毒滋生扩散的温床 4 4 IPv6IPv6 的过渡问题的过渡问题 校园网往往走在网络技术的最前线 作为网络技术发展的必然趋势 校园 网更需要提前考虑 IPV6 的良好过渡 3 2 2 校园网建设目标校园网建设目标 本期项目的目标是建立如下系统 1 构造一个既能覆盖本地又能与外界进行网络互通 共享信息 展示校园 的计算机网络 选用技术先进 具有容错能力的网络产品 在投资和条件允许 的情况下也可采用结构容错的方法完全符合开放性规范 将业界优秀的产品集 成于该综合网络平台之中 2 配备网络交换设备 整体网络实现万兆主干 千兆接入 保证未来各应 用系统的实施以及满足学校各种计算机应用系统的大信息量的传输 为今后的 网络扩容作好准备 3 设备选型在技术上具有先进性 通用性 且必须便于管理 维护 应具 备未来良好的可扩展性 可升级性 保护学校的投资 设备要在满足该项目的 功能和性能上还具有良好的性价比 设备在选型上要是拥有足够实力和市场份 额的主流产品 同时也提供很好的售后服务 4 网管设计 提供可以对整个网络系统进行管理的中文图形界面工具 使 系统维护人员可以集中控制网络的所有设备 方便管理和维护 3 2 3 校园网建设分析校园网建设分析 整个校园内网采用扁平化设计理念 分成校园核心层 大楼汇聚层 楼层 接入层和网络管理四个部分 实现采用万兆骨干 千兆到桌面 万兆主干具备 部分内容来源于网络 有侵权请联系删除 40G 扩展能力 3 2 3 13 2 3 1 校园核心层建设方案校园核心层建设方案 1 1 校园核心交换机 校园核心交换机 校园核心交换机主要承载全校办公和教学等业务系统数据转发 楼宇之间 互联等功能 因此建议采用大交换容量 稳定性高 可靠性强的电信级核心交 换机 因此校园核心交换机应具备以下特点 支持强大的业务处理能力 提升网络架构扩展性 多业务路由交换平台 满足学校接入 汇聚 核心业务承载要求 支持 无线 语音 视频和数据应用 为学校提供高可用 低时延 全业务的 一体化网络解决方案 支持分布式 L2 L3 MPLS VPN 功能 支持 MPLS VPLS 分层 VPLS VLL 满足学校 VPN 等接入需求 完善的二 三层组播协议 支持 PIM SM PIM DM PIM SSM MLD IGMP Snooping 满足多终端高清视频监控和视频会议接入 需求 支持运营级高可靠性设计 可视化故障诊断 具备超越 5 个 9 的高可靠性 主控 电源 风扇等关键部件采用冗余设 计 所有模块均支持热插拔 专用的故障检测定位子卡 提供 300pps 3 3ms 高精度硬件级以太 OAM 功能 802 3ah 802 1ag 和 ITU Y 1731 标准协议 网络故障发生时能 够在第一时间检测所有终端 Session 联通性 图形化网管故障诊断界面 设备节点 链路自动遍历 实现网络快速故障检测与定位 冗余控制引擎间主备无缝切换 设备优雅重启实现 NSF 无中断转发 支 持 ISSU 业务运行中软件升级 设备软件升级过程中确保关键业务和服 务不中断 支持完善的 QOS 机制 提升语音 视频用户体验 提供高品质的 QOS Quality of Service 能力 支持从链路层到应用 层流分类技术 具备完善的队列调度算法 拥塞控制算法 能够对数据 部分内容来源于网络 有侵权请联系删除 流实现多级的精确调度 从而满足学校不同用户终端 不同业务种类的 服务质量要求 提供硬件组播 QOS 低延时队列 全面满足学校视频业务优先级保障需求 为视频会议 监控等关键业务提供高质量承载保障 创新的优先级调度算法 对传统 QOS 队列调度进行了专门针对学校语音 与视频的优化 大幅降低 IP 语音时延 消除视频马赛克 提高用户体 验 支持高性能 IPv6 业务能力 IPv4 到 IPv6 平滑升级 要求软硬件平台均支持 IPv6 取得工信部 IPv6 入网认证和 IPv6 Ready 第二阶段金色认证 支持 IPv4 IPv6 双协议栈 支持多种隧道技术 支持 IPv6 静态路由 RIPng OSPFv3 BGP IS ISv6 IPv6 组播 满足 IPv6 独立组网和 IPv4 IPv6 混合组网要求 支持智能流量负载均衡 提升校园 IT 利用效率 要求负载均衡器支持加权轮询 基于连接数 加权 IP 地址 Hash 和基于 HTTP URL 的 Hash 等多种均衡调度算法 全面满足客户负载均衡要求 要求负载均衡器支持 TCP 和 HTTP 重用 减轻服务器拆除 建立 TCP 连接 的负载 提高服务器访问效率 要求负载均衡器支持动态 锁流 技术 满足校园网站在线视频负载均 衡需求 强大的网络流量分析能力 随时网络健康诊断 要求支持随板分布式网络 Netstream 业务分析功能 满足用户对网络流 量实时采集 分析需要 支持 Netstream V5 V8 V9 多种报文格式 支持聚合流量模板 减轻网 络采集器系统压力 支持实时流量采集 动态报表生成 属性分析 流 量异常告警等功能 帮助客户对网络流量进行实时监控 现网设备吞吐分析 为优化网络结 构 科学合理扩容提供决策依据 无线 AC 模块 全面满足移动办公需求 部分内容来源于网络 有侵权请联系删除 要求无线 AC 板卡支持丰富的 RF 射频 管理 支持 AP 上线时自动选 择信道和功率 在 AP 重叠区域 信号冲突时自动调整功率或信道 RSSI 接收信号强度指示 SNR 信噪比 的不断更新 让系统可以实 时了解每一个无线用户所处电磁环境 提升网络可用性 要求无线 AC 板卡支持 802 1x 认证 MAC 地址认证 Portal 认证 WAPI 认证等多种认证方式 满足客户不同终端 不同安全等级设备的接入需 求 支持二 三层漫游 终端设备跨 AP 漫游快速切换 AC 间 1 1 N 1 多 机冷备和 AC 间负载分担提高网络可靠性 创新节能芯片 智能功耗控制 创新节能芯片 实现按流量动态调整功率 支持端口休眠 无流量不耗 电 智能 POE 供电 可以实现基于 PD 设备角色启动不同的能源管理方案 保持设备能源管理弹性 支持 IEEE 802 3az 能效以太网标准 线卡收发器具备低功率闲置模式 支持正常工作与低功率状态快速转换 低流量低功耗 2 2 校园网出口防火墙 校园网出口防火墙 由于内网出口防火墙负责与学校内网互连的任务 在防火墙上配置访问控 制列表ACL 通过ACL将三层IP数据包进行首次过滤 过滤掉不符合条件的数据 同时负责出口安全防护功能 3 3 校园网出口路由器 校园网出口路由器 一般情况下 路由设备主要工作在OSI七层网络模型中的第三或四层 负责 校内网数据路由交换功能 因此出口路由器要采用高转发性能 高安全 高可 靠 3 2 3 23 2 3 2 大楼汇聚层建设方案大楼汇聚层建设方案 大楼汇聚层交换机主要负责对接入层提供大数据量的汇聚功能 同时要满 足不同业务之间的隔离 因此汇聚交换机应采用具备大容量 高密度千兆端口 可提供万兆上行的万兆交换机 因此采用大楼汇聚交换机应具备以下特点 部分内容来源于网络 有侵权请联系删除 强大的多业务支持能力 要求支持 IGMP Snooping IGMP v3 snooping Filter Fast Leave Proxy 等协议 要求支持线速的跨 VLAN 组播复制功能 支持捆 绑端口的组播负载分担 支持可控组播 可以充分满足 IPTV 和其他组 播业务的需求 要求支持 MCE 功能 实现了不同 VPN 用户在同一台设备的隔离 有效 解决用户数据安全问题 同时降低用户投资成本 完备的高可靠保护机制 要求不仅支持传统的 STP RSTP MSTP 生成树协议 还支持 SmartLink 和 RRPP 等增强型以太网技术 可以实现毫秒级链路保护倒换 保证高 可靠性的网络质量 此外 针对 Smartlink 和 RRPP 均提供多实例功能 可实现链路负载分担 进一步提高了链路带宽利用率 要求支持以太 Trunk E Trunk 功能 在使用 E Trunk 之后 CE 设备 可以通过 E Trunk 双归接入到两台 PE 设备上 从而把链路可靠性从单 板级提高到了设备级 大大增强了设备级的可靠性 从而实现了跨设备 的链路聚合和链路负载分担功能 极大的提升了接入侧设备的可靠性 要求支持智能以太保护 SEP Smart Ethernet Protection SEP 是一 种专用于以太网链路层的环网协议 适用于半环组网场景 部署时可独 立于上层汇聚设备 并提供 50ms 的快速业务倒换性能 保证业务的不 中断 在华为设备上已经利用 SEP 协议实现了以太网链路管理 SEP 协 议简单可靠 倒换性能高 维护方便 拓扑灵活 可以大大方便用户进 行网络的管理和规划 要求支持双电源冗余供电 也可以交 直流同时输入 用户可灵活选择 单电源工作模式或者双电源工作模式 提高了设备可靠性 要求支持 BFD 链路快速检测功能 能为 OSPF ISIS VRRP PIM 等协议 提供毫秒级检测机制 提高了网络可靠性 要求遵循 IEEE 802 3ah 和 802 1ag 提供点到点以太网故障管理功能 可以用于检测用户侧最后一 公里以太网直连链路上的故障 完备的 QoS 策略和安全机制 部分内容来源于网络 有侵权请联系删除 要求系列交换机可以基于五元组 IP 优先级 TOS DSCP IP 协议类型 ICMP 类型 TCP 源端口 VLAN 以太网帧协议类型 CoS 等信息 实现 复杂流分流功能 支持双向 ACL 5700 支持基于流的双速三色限速功能 每端口支持 8 个优先级队列 支持 WRR DRR SP WRR SP DRR SP 多 种队列调度算法 有效地保证了话音 视频和数据等网络业务质量 要求系列交换机提供多种安全保护功能 支持 DoS Denial of Service 类防攻击 网络的防攻击 用户的防攻击等功能 其中 Dos 类防攻击主要包括 SYN Flood Land Smurf ICMP Flood 网络的防 攻击主要是指 STP 的 bpdu root 攻击 用户的防攻击涉及 DHCP 仿冒攻 击 中间人攻击 IP MAC Spoofing 攻击 DHCP request flood 改变 CHADDR 值的 DoS 攻击等等 要求支持通过建立和维护 DHCP Snooping 绑定表 侦听接入用户的 MAC IP 地址 租用期 VLAN ID 接口等信息 解决 DHCP 用户的 IP 和端口跟踪定位问题 同时 对不符合绑定表项的非法报文 ARP 欺骗 报文 擅自修改 IP 地址等 直接丢弃 有效防止黑客或攻击者通过 ARP 报文实施园区网常见的 中间人 攻击 利用 DHCP Snooping 的信 任端口特性还可以保证 DHCP Server 的合法性 要求支持 ARP 表项严格学习功能 可以防止因 ARP 欺骗攻击将交换机 ARP 表项占满 导致正常用户无法上网 同时 支持 IP Source Check 特性 防止包括 MAC 欺骗 IP 欺骗 MAC IP 欺骗在内的非法地址仿冒 带来的 DOS 攻击 要求支持集中式 MAC 地址认证和 802 1x 认证及 NAC 功能 支持用户账 号 IP MAC VLAN 端口 客户端是否安装病毒防范等用户标识元素 的动态或静态绑定 同时实现用户策略 VLAN QoS ACL 的动态下发 要求支持基于端口的源 MAC 地址学习限制功能 有效防止用户源 MAC 欺 骗冲击设备 MAC 表项 导致正常用户无法学到 MAC 表而泛洪的问题等 免维护易部署 部分内容来源于网络 有侵权请联系删除 要求支持自动配置 即插即用 USB 开局 自动批量远程升级等功能 便于部署升级和业务发放 简化后续的管理和维护性能 从而大大降低 了维护成本 要求支持 SNMP V1 V2 V3 CLI 命令行 Web 网管 TELNET HGMP 集群管理等多样化的管理和维护方式 设备管理更加灵 活 支持 NTP SSHv2 0 TACACS RMON 多日志主机 基于端口的流 量统计 支持 NQA 网络质量分析 有利于进一步作好网络规划和改造 3 2 3 33 2 3 3 楼层接入层建设方案楼层接入层建设方案 接入层设备主要提供千兆桌面接入功能 建议采用静音低耗可堆叠的智能 千兆桌面交换机即可 因此楼层接入交换机应具备以下特点 全新节能设计 引领低碳通信 要求全系列设备采用无风扇静音设计 降低整机功耗的同时 让您免除 噪音的烦扰 要求整机遵循 IEEE 802 3az Energy Efficient Ethernet 能效以太网 提供端口低耗电闲置模式 大幅度降低功耗 要求可根据线缆长度进行相应输出功率调整 并且支持无连接时端口休 眠 优异的安全性能 要求支持丰富的安全特性 如 802 1x RADIUS NAC 等安全认证方式 还支持 MAC 地址过滤和端口过滤功能 能有效防范黑客 病毒攻击 提 供安全可靠的网络服务 强大的组网和带宽扩展能力 要求提供 LACP STP RSTP MSTP 等功能 可有效实现链路扩展及备份 SNMP 管理型交换机支持高达 8 个 MSTP 实例 让组网无忧 3 2 3 43 2 3 4 网络管理建设方案网络管理建设方案 eSight 是华为推出的新一代面向学校园区和分支网络管理系统 实现对学 校资源 业务 用户的统一管理以及智能联动 eSight 支持对 IT而机架式服务器则要分别对 每台服务器的网络线 电源线进行配线 如果一个 42U 的机柜上安装 多台 1U 的服务器时 机柜后面的布线就非常多 看起来比较凌乱 3 4 23 4 2 存储虚拟化建设存储虚拟化建设 3 4 2 13 4 2 1 方案设计原则方案设计原则 结合学校的业务需求 存储系统在建设过程中应当遵循如下原则进行 1 1 安全可靠性原则 安全可靠性原则 系统器件选择要考虑能支持 7 24 小时连续长时间大压力下工作 系统具有充分的冗余能力 容错能力 系统具有专业的技术保障体系以及数据可靠性保证机制 对工作环境要求较低 环境适应能力强 确保系统具有高度的安全性 提供安全的登录和访问措施 防止系统被 攻击 异常掉电后不丢失数据 供电恢复后自动重新启动并自动恢复正常连接 2 2 开放性原则 开放性原则 系统必须支持国际上通用的标准网络存储协议 国际标准的应用开放协 议 与主流服务器之间保持良好的兼容性 兼容各主流操作系统 卷管理软件及应用程序 部分内容来源于网络 有侵权请联系删除 可以与第三方管理平台集成 提供给客户定制化的管理维护手段 满足今后的发展 留有充分的扩充余地 4 4 易维护性原则 易维护性原则 系统支持简体中文 通俗易懂 操作方便 简单 系统具有充分的权限管理 日志管理 故障管理 并能够实现故障自动 报警 系统设备安装使用简单 无需专业人员维护 系统容量可按需要在线扩展 无需停止业务 系统功能扩充需要升级时 支持不中断业务升级 支持 WEB 管理方式或集中管理方式 5 5 扩展性原则 扩展性原则 系统易于扩充 系统选择标准化的部件 利于灵活替换和容量扩展 系统设计遵守各种标准规定 规范 6 6 经济性原则 经济性原则 综合考虑集中存储系统的性能和价格 最经济最有效地进行建设 性能价 格比在同类系统和条件下达到最优 3 4 2 23 4 2 2 存储的优势存储的优势 此次采用的存储设计配置如下 所有业务集中存储 同时支持 FC 和 IP 组网 支持 NAS 和 SAN 融合 不需另配文件引擎 SAS SATA 硬盘混插 应用了先进的硬盘休眠技术 支持存储虚拟化 支持多节点集群 支持基于存储网关的镜像 快照 支持基于存储网关的数据复制 部分内容来源于网络 有侵权请联系删除 随着学校业务系统的增长 从硬件的升级换代速度来看 传统的中低端存 储不能满足学校云计算平台的需求了 因此本次方案采用高端存储 至少每存 储配置双控 至少 96GB 缓存 192G 后端磁盘通道 实现硬件层面的存储虚拟 化 彻底满足异构存储整合 存储空间统一管理 多级容灾系统构建等需求 实现资源整合 统一管理 数据迁移和多重数据保护 构建安全可靠 管理灵 活 高性能 开放的存储系统 3 4 33 4 3 数据中心安全建设数据中心安全建设 3 4 3 13 4 3 1 概述概述 传统计算中心网络安全包含纵向安全策略和横向安全策略 无论是哪种策 略 传统计算中心网络安全只关注业务流量的访问控制 将流量安全控制作为 唯一的规划考虑因素 而虚拟化计算中心的网络安全模型则需要由二维平面转 变为三维空间 即增加网络安全策略 网络安全策略能够满足虚拟机顺畅的加 入 离开集群 或者是动态迁移到其它物理服务器 并且实现海量用户 多业 务的隔离 根据云平台的安全策略要求 本期在校园网云计算中心部署一台千兆防火 墙做为计算中心的网关 虚拟出相应数量的防火墙以实现虚拟机隔离 虚拟机 迁移策略随行 部分内容来源于网络 有侵权请联系删除 3 4 3 23 4 3 2 虚拟机隔离设计虚拟机隔离设计 通过对防火墙进行虚拟化 分割成多个防火墙实例提供网络安全服务 对 每块防火墙划分三个逻辑实例 每一对虚拟防火墙工作在主 主模式 防火墙实 例分布在两台上面 从而达到负载分担和冗余备份的能力 不同业务虚拟机的 网关地址各不相同 同一个逻辑集群内的虚拟机只能在 VLAN 内迁移 如社管 服务 数字城管 协同办公三种业务分别对应在 VLAN 2 VLAN3 VLAN4 内 每组业务使用独立的 VLAN 接口 路由表及转发表 将一台物理网络设备逻辑 上分割成多台虚拟设备 增强对计算资源的安全访问隔离控制能力 防火墙做服务器网关 L2 分区之间互访必须经由防火墙对互访流量做状态 检测 之间完全由防火墙实现访问控制 属于强隔离措施 若存在部分数据库 相互调用可设置允许某一端口 IP 地址互通 3 4 3 33 4 3 3 虚拟防火墙部署优势虚拟防火墙部署优势 虚拟防火墙是将一台物理设备从逻辑上划分为多台独立的虚拟防火墙设备 的功能 每台虚拟防火墙都可以拥有自己的管理员 路由表和安全策略 通过 虚拟系统技术 就可以让部署在云平台和计算中心出口的防火墙具备云计算网 关的能力 对用户流量进行隔离的同时提供强大的安全防护能力 为了实现每个虚拟系统的业务都能够做到正确转发 独立管理 相互隔离 防火墙主要实现了三个方面的虚拟化 路由虚拟化 每个虚拟防火墙都拥有各自的路由表及会话表 相互独立 隔离 安全功能虚拟化 每个虚拟防火墙都可以配置独立的安全策略及其他安 全功能 只有属于该虚拟系统的报文才会受到这些配置的影响 配置虚拟化 每个虚拟防火墙都拥有独立的虚拟系统管理员和配置界面 每个虚拟系统管理员只能管理自己所属的虚拟系统 通过以上三个方面的虚拟化 使得防火墙的虚拟防火墙功能更加易于使用 部分内容来源于网络 有侵权请联系删除 3 4 3 43 4 3 4 云平台深度安全防护系统云平台深度安全防护系统 虚拟化和云计算使当今的数据中心改换了面貌 但随着学校纷纷从物理环 境迁移至集物理 虚拟和云于一体的综合环境 许多学校仍沿用之前的多种传 统安全解决方案应对当前流行的威胁形势 这可能使实际获得的性能提升与预 期不符 从而导致操作复杂性过高并埋下安全隐患 最终的结果是学校无法集 中全部资源发展虚拟化和云计算 趋势科技云平台深度安全防护系统 Deep Security 提供了一种全方位的服 务器安全平台 旨在提升虚拟化和云项目投资收益率的同时简化安全操作 学 校通过紧密集成的模块轻松扩展该平台 以覆盖到虚拟和云服务器以及虚拟桌 面 确保服务器 应用程序和数据的安全 学校可以任何方式结合包括防恶意 软件 IDS IPS 虚拟补丁 防火墙 完整性监控在内的安全模块 定制学校专 署的无代理安全防护 最终获得一个全面 高效 自适应的虚拟化安全平台 以 防止关键业务中断和数据泄露 避免造成巨大损失 Deep Security 产品由三部分组成 管理控制平台 以下简称 DSM 安全 虚拟机 以下简称 DSVA 安全代理程序 以下简称 DSA 趋势科技 Deep Security 安全防护系统管理控制中心 DSM 是管理员用 来配置及管理安全策略的集中式管理组件 所有的 DSVA 及 DSA 都会注册到 DSM 接受统一的管理 部分内容来源于网络 有侵权请联系删除 趋势科技 Deep Security 安全防护系统安全虚拟机 DSVA 是针对 虚拟化环 境构建的安全虚拟计算机 可提供防恶意软件 IDS IPS 防火墙 Web 应用程 序防护和应用程序控制防护 数据完整性监控等安全功能 趋势科技 Deep Security 安全防护系统安全代理程序 DSA 是安全客户端 直接部署在操作系统中 可提供 IDS IPS 防火墙 Web 应用程序防护 应用 程序控制 完整性监控和日志审查防护等安全功能 3 5 桌面云建设方案桌面云建设方案 3 5 13 5 1 概述概述 IT 组织目前仍在设法解决过去十年里 IT 急速发展所造成的不良后果 基 础架构成本高昂 响应速度缓慢以及管理不一致等 这些都让许多 IT 组织饱 受其苦 如今 IT 组织若要让自己的企业具备可持续的竞争优势 就需要 提高资源的利用率 从而降低基础架构的成本 提高对业务需求的响应速度 以便更迅速地部署项目 提高运营的一致性和可预测性 3 5 23 5 2 传统桌面环境目前面临的挑战传统桌面环境目前面临的挑战 一直以来 桌面计算普遍使用的是功能全面的 胖客户端 PC 在许多情 况下 此类 PC 提供了价格 性能与功能的最佳组合 但是 在不少使用案例 中 胖客户端 PC 并不是理想的解决方案 其缺点包括 难以管理 面对广泛分布的 PC 硬件 用户日益要求能在任何地方访问 其桌面环境 因此集中式 PC 管理极难实现 此外 众所周知 由于 PC 硬件种类繁多 用户修改桌面环境的需求各有不同 因此 PC 桌面 标准化也是一个难题 总体拥有成本高 PC 硬件相对较低的成本优势 通常无法抵消 PC 管 理和支持工作的高昂成本 目前 PC 管理工作包括部署软件 更新和 修补程序等 由于这些工作需要对多种 PC 配置的部署进行测试和验 部分内容来源于网络 有侵权请联系删除 证 因而会耗费大量的人力 同时 由于标准化程度不高 支持人员 经常需要亲临现场解决问题 这就进一步增加了支持成本 难以保护数据的安全 确保 PC 上的数据能成功备份并能在 PC 出现故 障或文件丢失时恢复 是一个巨大的挑战 即使数据能成功备份 PC 失窃的风险也威胁着重要数据的安全 资源未充分利用 PC 的分布式特性使人们难以通过集中资源的方式提 高利用率和降低成本 结果 PC 的利用率通常低于 5 远程办公室 需要重复的桌面基础架构 移动工作人员可能需要使用复杂的远程桌 面解决方案 由于存在上述缺点 各个组织在不断针对多种情景评估并实施能够替代胖 客户端 PC 的解决方案 具体而言 各家公司纷纷采用在服务器系统上承载桌 面映像的方法 以集中资源并提高其桌面计算基础架构的可管理性 利用 Fusion Cloud 桌面虚拟化构建基于服务器的桌面解决方案 不仅可以 解决 PC 桌面面临的各种难题 还能优化可用性 可管理性 总体拥有成本和 灵活性 借助 Fusion Cloud 桌面虚拟化 在使用 FusionSphere 虚拟化的服务 器上运行的虚拟机中 可以构建完整的桌面环境 操作系统 应用程序和配置 管理员可使用 Manage 集中管理环境中的所有虚拟机 最终用户可使用远程显示 软件 从 PC 或瘦客户端访问其桌面环境 利用 FusionSphere 桌面虚拟化 管理员可以 构建独立于硬件的桌面环境 在同一系统上同时运行多个虚拟机 系统中的每个虚拟机都相互独立 彼此隔离 只需几分钟时间即可利用模板完成新虚拟机的部署 3 5 33 5 3 华为桌面云简介华为桌面云简介 Fusion Cloud 是华为推出的桌面虚拟化技术 具有技术成熟 性能领 先 运行稳定 便于管理等特点 在各行业客户群中均已广泛应用 FusionSphere 将计算 存储资源集中到数据中心 将桌面 应用虚拟化 服务器虚拟化的服务器分别组成集群 从而优化管理能力和资源使用率 部分内容来源于网络 有侵权请联系删除 远程运维 通过 FusionSphere 对桌面资源进行集中 桌面云系统管理 员不必离开工位即可对全局终端进行远程管理 校园桌面 TC 和 VM 资源 尽在掌握 资源管理 通过集中管理 可以对 VM 系统参数 预装软件进行标准化 设置 支持软件批量快速安装部署等需求 充分使用硬件资源 通过集中部署 数据中心的计算 存储资源得到充 分利用 电力使用率得到大幅提高 华为 FusionCloud 桌面云解决方案是基于华为云平台的一种虚拟桌面应用 通过在云平台上部署华为桌面云软件 使终端用户通过瘦客户端或者其他设备 来访问跨平台的整个客户桌面 华为 FusionCloud 桌面云解决方案如下图 华为 FusionCloud 桌面云解决方案重点解决传统 PC 办公模式给客户带来 的如 安全 投资 办公效率等方面的诸多挑战 适合金融 大中型企事业单 位 政府 营业厅 医疗机构 军队或其他分散型办公单位 3 5 43 5 4 华为桌面云优势分析华为桌面云优势分析 1 1 数据上移 信息安全 数据上移 信息安全 部分内容来源于网络 有侵权请联系删除 传统桌面环境下 由于用户数据都保存在本地 PC 因此 内部泄密途径众 多 且容易受到各种网络攻击 从而导致数据丢失 桌面云环境下 终端与数 据分离 本地终端只是显示设备 无本地存储 所有的桌面数据都是集中存储 在企业数据中心 无需担心企业的智力资产泄露 除此之外 TC 的认证接入 加密传输等安全机制 保证了桌面云系统的安全可靠 2 2 高效维护 自动管控 高效维护 自动管控 传统桌面系统故障率高 据统计 平均每 400 台 PC 机就需要一名专职 IT 人员进行管理维护 且每台 PC 维护流程 故障申报 安排人员维护 故障定 位 进行维护 需要 2 4 个小时 桌面云环境下 资源自动管控 维护方便 简单 节省 IT 投资 3 3 维护效率提升 维护效率提升 桌面云不需要前端维护 强大的一键式维护工具让自助维护更加方便 提 高了企业运营效率 使用桌面云后 每位 IT 人员可管理超过 2000 台虚拟桌面 维护效率提高 4 倍以上 4 4 资源自动管控 资源自动管控 白天可自动监控资源负载情况 保证物理服务器负载均衡 夜间可根据虚 拟机资源占用情况 关闭不使用的物理服务器 节能降耗 5 5 应用上移 业务可靠 应用上移 业务可靠 传统桌面环境下 所有的业务和应用都在本地 PC 上进行处理 稳定性仅 99 5 年宕机时间约 21 个小时 在桌面云中 所有的业务和应用都在数据中 心进行处理 强大的机房保障系统能确保全局业务年度平均可用度达 99 9 充分保障业务的连续性 各类应用的稳定运行 有效降低了办公环境的管理维 护成本 6 6 无缝切换 移动办公 无缝切换 移动办公 传统桌面环境下 用户只能通过单一的专用设备访问其个性化桌面 这极 大的限制了用户办公地灵活性 采用桌面云 由于数据和桌面都集中运行和保 存在数据中心 用户可以不中断应用运行 实现无缝切换办公地点 7 7 降温去噪 绿色办公 降温去噪 绿色办公 部分内容来源于网络 有侵权请联系删除 节能 无噪的 TC 部署 有效解决密集办公环境的温度和噪音问题 TC 让 办公室噪音从 50 分贝降低到 10 分贝 办公环境变得更加安静 TC 和液晶显示 器的总功耗大约 60W 左右 终端低能耗可以有效减少降温费用 8 8 资源弹性 复用共享 资源弹性 复用共享 桌面云环境下 所有资源都集中在数据中心 可实现资源的集中管控 弹 性调度 资源利用率提高资源的集中共享 提高了资源利用率 传统 PC 的 CPU 平均利用率为 5 20 桌面云环境下 云数据中心的 CPU 利用率可控制在 60 左右 整体资源利用率提升 9 9 安装便捷 部署快速 安装便捷 部署快速 相比于其它桌面云解决方案 华为 FusionCloud 桌面云解决方案具有安装 便捷 部署快速的特点 华为 FusionCloud 桌面云解决方案一体机部署模式可 以实现把部分虚拟化软件预安装到服务器上 到客户现场后 只需服务器上电 进行桌面云软件的向导式安装 接通网络并进行相关业务配置即可进行业务发 放 大幅度提高了部署效率 3 5 53 5 5 华为桌面云主要硬件华为桌面云主要硬件 1 1 概述 概述 学校共有 1200 个云桌面的需求 此次硬件载体采用的是两台高性能 Huawei Tecal E9000 刀片服务器 配置 26 个两路刀片和 2 个四路的刀片 一 个 256 内存的两路刀片能支持 60 个桌面 共需要 20 个刀片 为保证性能每个 刀片配置固态盘 做二级缓存 另现有的业务要运行在虚拟化环境中 使用 6 个刀片做虚拟化服务器的方式来解决计算资源的分配问题 由于数据库的低延 时和高性能的要求 所以数据库服务器用单独的物理机来承载 在 2 块四路刀 片上部署服务器 通过虚拟化整合物理服务器 将业务迁移到云平台上 可通 过资源共享实现最大的利用率 节约硬件投资和维护成本 2 2 服务器 服务器介绍介绍 Tecal E9000 定位为高端计算平台 支撑高端核心应用 针对不同需求进 行差异化设计并在硬件计算平台的 RAS 可靠性 可用性 可服务性 节能减排 生命周期 市场准入 智能管控与服务等方面的全面提升 提供类小型机的品 质和服务能力 为企业软件业务提供持续的竞争力提升 在企业的通用业务 部分内容来源于网络 有侵权请联系删除 互联网业务 提供与业界通用低成本服务器的竞争力 同时可为计算与数据 媒 体融合的业务具备高带宽 低延时交换 支持计算与媒体的融合 性能卓越性能卓越 E9000 可支持全系列 E5 的 Intel x86 CPU 并能匹配未来多代 CPU 的演 进 支持丰富的计算节点规格 2S 4S 和半宽 全宽槽位计算节点灵活配置 计算节点通过 Mezz 扣卡支持丰富的网络接口和加速卡 以满足各种高 性能需求 支持 GPU SSD PCIe 扩展 整机支持半宽 700w 全宽 1400KW 散热和供电设计 10GE 40GE 100GE IB FDE EDR 演进 硬盘以活动抽屉方式排布 支持单个硬盘在线插拔 Write Cache 支持掉电保护 动态架构设计动态架构设计 计算 存储 交换 散热 供电模块化设计 提供 2P 4P 8P 刀片服务器动态扩展架构 中型 小型 整机柜系列化演进 支持业务平滑扩展 丰富的交换模块 GE 10GE FC FCoE IB 根据业务要求灵活配置 绿色可靠绿色可靠 无状态计算 物理机迁移 支持关键应用高可用性 采用高效能铂金 AC 电源 电源转换效率高达 95 支持动态节能管理 电源休眠 优化系统风道设计 散热效率业界第一 功能模块全冗余 完全负载均衡设计 支持故障无缝切换 无源背板设计 避免单点故障 部分内容来源于网络 有侵权请联系删除 3 6 备份容灾建设方案备份容灾建设方案 3 6 13 6 1 概述概述 此次建设方案的备份容灾本从两个维度系统进行保护 1 业务连续性 2 数据安全性 在业务连续性方面 在存储区部署两台华为高端存储 通过存储镜像能 将生产站点的数据写入备份站点 保障了生产站点发生故障 备份站点能接管 生产站点的业务 保障数据安全性和业务连续性 数据库服务器可部署为 Oracle RAC 的 Active Active 集群模式 可以实现业务负载均衡以及节点故障 自动切换 应用服务器部署为云平台集群 以保证应用主服务器故障时 应用 可自动切换到备服务器上运行 在数据安全性方面 通过存储阵列的快照功能 可保留生产系统数据的部 分历史版本 保障了系统出现逻辑错误或者数据遭病毒感染等 可以通过快照 恢复到系统正常时刻的数据 快速将业务恢复正常 为保障校园数据中心的信息安全 数据远程容灾备份必不可少 此次建设 中的数据中心利用其中一个校区的机房作为灾备中心 利用现有百兆光纤实现 关键数据的异地存放 在灾备中心放置一台低端作为容灾存储 另外在网络中部署一台备份一体机 备份一体机具有集中管理 全面保护 分层保护 异地容灾 安全可靠等诸多特性 备份一体机可以对整个网络中的 数据进行备份 保证灾难发生时 数据不丢失 3 6 23 6 2 本地存储异构虚拟化建设本地存储异构虚拟化建设 考虑到本地数据高可用性和业务的连续性 本期建设存储区部署两台云存 储 并在其中一台存储上采用先进的异构虚拟化功能 将另一台存储纳入其管 理下 实现存储的虚拟化 建立统一的存储池 在后期的存储扩充中 即使是异构厂商存储也可以将其纳入我们的主存储 的管理下 扩大了用户的选择自由度 简化用户的管理复杂度 异构虚拟化的工作原理就是把异构阵列映射到本端阵列的 LUN 作为可为 本端阵列提供存储空间的逻辑盘 LD 再在该逻辑盘 LD 上创建为可对主机映射 部分内容来源于网络 有侵权请联系删除 的 eDevLun 逻辑盘 LD 为 eDevLun 的 Data Volume 提供了全部的数据卷存储空 间 eDevLun 的元数据 volume 空间由本地存储提供 异构虚拟化可保证外部 LUN 数据完整性不被破坏 异构虚拟化化可以满足各种场景的需求 1 1 异构阵列接管异构阵列接管 用户的数据中心通过长期的建设 数据中心可能存在来自不同异构厂商的 存储阵列 如何很好的管理和应用好来自不同厂商的异构阵列给存储管理员提 出了很高的技术要求 存储管理员可通过异构虚拟化接管功能 可大大降低对 管理异构阵列的技术难度和复杂度 存储管理员只需要管理好华为阵列就能达 到管理好所有异构阵列的目的 从而减轻了存储管理员的工作负担 其场景特 点就是简化用户管理 2 2 异构数据搬迁异构数据搬迁 用户数据中心可能存在大量的存量异构设备 有些设备可能即将过保或性 能不能再满足业务要求 在购买华为 OceanStor V3 存储后 客户可能希望把存 量 LUN 上的业务迁移到新购阵列中 客户可通过异构虚拟化 LUN 在线迁移功能 在线迁移异构 LUN 数据到新购阵列中 数据迁移过程中 主机业务正常运行 但在进行数据迁移前 需要对异构 LUN 进行接管 其场景特点就是异构 LUN 数 据搬迁过程中 主机业务不中断 3 3 异构容灾异构容灾 如果客户业务数据分散在不同的站点 且对业务的持续性要求较高时 需 要各业务站点的数据互为备份和业务切换 当灾难发生时 能够通过互为备份 的站点进行业务数据的接管和数据恢复 但是 可能由于数据站点的阵列来自 于不同的异构厂商 导致异构阵列间的数据无法做到互为备份 异构虚拟化提 供的异构同步和异步复制功能 可以使异构阵列间的 LUN 数据做到互相备份 做到站点间的数据容灾 4 4 异构数据保护异构数据保护 客户异构阵列上的 LUN 数据可能受到病毒或其他原因导致 LUN 数据受到破 坏 异构虚拟化提供异构快照技术可为异构 LUN 提供快照备份 快照瞬间完成 当数据被破坏后 可通过快照迅速的回滚到指定的快照时间点的数据 迅速恢 部分内容来源于网络 有侵权请联系删除 复数据 3 6 33 6 3 异地存储容灾异地存储容灾建设建设 为保障校园数据中心的信息安全 数据远程容灾备份必不可少 此次建设 中的数据中心利用其中一个校区的机房作为灾备中心 利用现有百兆光纤实现 关键数据的异地存放 在灾备中心放置一台华为低端作为容灾存储 华为的远程容灾备份解决方案符合学校的要求和数据保护技术发展的趋势 采用基于标准化的远程复制技术实现在现有网络上的数据异地存储 通过在数 据中心与灾备中心之间对关键业务数据进行策略性远程复制 实现数据的异地 备份 并在发生意外灾难时对数据进行快速恢复 确保数据中心的业务持续性 远程复制技术的一种 存储间实时的同步数据 最大限度