教育行业解决方案v1-华讯方舟软件

PAGEPAGE25教育行业解决方案教育目录1. 网络建设需求设计 41.1. 现状分析 41.2. 建设需求分析 42. 网络建设方案设计 52.1. 方案总体设计 52.2. 各平面网络设计 62.2.1. 骨干平面设计 62.2.2. 数据中心设计及平安 72.2.3. Internet访问区设计及平安 82.2.4. 接入区设计 92.2.5. 平安设计 102.2.6. 语音系统设计图 102.2.7. 全网逻辑图 122.3. SPB网络技术简介 132.4. 有线网络架构（SDN架构） 162.4.1. 机敏的语音视频支持 182.4.2. 边缘部署、保护现网架构 182.5. ONA架构 192.6. 认证、计费系统 202.7. 运维管理 212.7.1. 云管理平台基于SDN架构 212.7.2. 配置简洁 212.7.3. 管理维护成本低 212.7.4. 原有网络设备投资保护 212.7.5. 低耗能绿色环保 213. 产品介绍 223.1. 本地云节点—NAC 223.2. 中心云管理平台 223.3. 有线产品 223.3.1. 接入交换机—ERS3500系列 223.3.2. 支持SPB交换机-ERS4000系列 233.3.3. 支持SPB交换机—VSP8404系列 233.4. ONA产品 243.5. 平安产品 243.6. 语音系统 24

网络建设需求设计现状分析随着教育改革的进一步深化，现代教育对信息化提出了更高的要求，而信息化的重要部分的构建网络。校园网络规模不断扩大，网络应用不断增加，网络已经成为老师和学生获得信息的主要手段之一，校园网络的规模从以前的几百用户飞快扩充到几千用户甚至几万用户，越来越多的校园网络应用开始部署，网络变得前所未有的重要。建设需求分析针对教育行业的网络建设，网络中存在多个子网、教育网、校园服务平台、宿舍网、安保系统、IP语音/多媒体、各院系网络等。在网络建设时，必需满意以下需要：网络建设需求：高性能网络平台：接入到汇聚，以及汇聚到核心均采用万兆连接方式。保证语音的通信质量。高可用性：任何链路故障或者网络设备的故障，整个网络必需能在1s内恢复，对上层的业务系统不造成任何影响。各个网络进行逻辑隔离，各个网络互不通信，只有在需要的时候开通互通网络通道。良好的容错性：有效避开人为故障，例如核心设备上插错端口，或者不当心连接成网络环路时，网络能够自动识别和定位故障点，并在无需人工干预的情况下快速自愈。简化管理：新业务开通或者网络节点的开通必需简洁易行，削减新业务部署时间。PoE能力：接入交换机全PoE供电能力。预留新大楼接入端口内/外网认证系统统一的管理网络建设方案设计方案总体设计校园网络进行规划设计，满意将来业务的需要，依据对校园网络的特别性，校内子网进行逻辑隔离。依据管理和服务的功能定位，并依照业务种类、服务对象和平安性要求的差别，采用层次化分区设计方法对网络进行规划，将网络划分为不同层级和若干功能区域：网络规划如下图所示：如上图所示，依据校园网将来进展出发，网络分为四层，数据中心平面、骨干平面、接入平面、INTERNET层；每个层面负责不同的功能职责，承担不同的要求，同时使用SPB技术，进行各网网络隔离。接入平面接入IP电话、模拟电话、PC、视频会议系统、无线AP，来为整个校园网的用户进行服务。整个网络仍旧采用分区、分层设计，通过中心机房、到各个楼、各个校区的树形网络拓扑，将整个校园网络连接起来，用户通过网络正常办公和数据中心访问，同时供应完善的信息服务和访问Internet服务。网络中存在多个子网、教育网、校园服务平台、宿舍网、安保系统、IP语音/多媒体、各院系网络等多个子网。可进行网络隔离，各个网络互不通信，如下图所示各平面网络设计骨干平面设计骨干区是个整个网络的核心，全部区域都接入到骨干区，与各区域之间的数据都通过中心机房核心交换数据，从网络牢靠性和平安性的考虑，核心应选择电信级设备进行组网。具体如下图：骨干区核心采用2台数据中心级交换机，并通过堆叠技术，逻辑上将2台核心交换机虚拟成1台，提高网络的牢靠性的同时，交换性能翻倍。骨干区楼楼宇汇聚采用2台交换机作为汇聚交换机，2台汇聚交换机通过堆叠技术，逻辑上将2台核心交换机虚拟成1台。协作核心交换机的配置SPB，将上联带宽进行捆绑，提高上行链路的带宽。如下图所示。数据中心设计及平安数据中心区是数据服务的核心，是校园网管理者对用户供应信息化服务的服务器所在，因此接入的带宽和网络接入的牢靠性是非常重要的，而服务器的平安也需要按着需求进行平安全部署，以保障服务器的平安。考虑到数据中心将会承载大量的数据，对带宽和牢靠性要求高，因此网络设计如下图：如上图所示，数据中心作为一个单独区域，拥有独立的核心交换机，与骨干区的核心分开独立，同时服务器交换机前端需要使用防火墙进行服务器防护，提高各区域之间的平安可控。考虑到将来的进展，此种部署模式，可大大降低数据中心的风险，校园工作人员需要访问数据中心时，通过校园内网网络访问数据中心服务器应用。同时在数据中心部署网管平台管理校园网络交换机，进行统一的管理，认证平台NAC对全部接入网络的用户进行认证。保证内部接入的访问平安。服务器区采用双设备，冗余的设计，配置2台数据中心级交换机作为服务器接入，2台交换机采用堆叠技术逻辑上组成1台，保证服务器的正常数据交互。Internet访问区设计及平安Internet访问区主要供应用户的上网服务，对于Internet的带宽的合理利用和审计，需要在出口部署平安产品进行限制。具体拓扑图如下：如图所示，鉴于加强Internet的牢靠性，不仅在增加出口带宽的同时，对冗余出口进行设备的冗余部署，以避开单点故障的产生。对于平安性，建议采用防火墙进行平安防护，防护来自于Internet上的平安攻击，对于多条运营商链路带宽，建议采用负载均衡器设备，由负载均衡器进行链路的选择，充分利用多条链路带宽，以实现链路带宽的合理使用，保障用户上网的速度和良好体验。接入区设计接入区为每栋楼的网络系统，楼内包括楼层汇聚点和各楼层之间的接入设备，同时也包括一些楼内的电话系统、监控、无线点的部署（供应楼内无线的掩盖）。如上图所示，楼内网络采用二层架构，楼内汇聚和接入，楼内汇聚建议采用交换机，通过堆叠技术将2台物理设备虚拟化逻辑上1台，并配核心交换机运用SPB技术将上联线路捆绑，进行快速的收敛网络。形成牢靠性连接，同时网络带宽成倍增加。2台楼内汇聚分别下行千兆光纤到接入，接入交换机采用千兆接入交换机，上行千兆连接楼内汇聚交换机，下行千兆连接终端，满意接入用户的上网需求。平安设计在数据中心和INTERNET出口中部署防火墙，供应了高级平安防护功能包括状态检测防火墙、VPN、防病毒、IPS、Web过滤、反垃圾邮件与流量把握等功能，同时外网网络需要访问内网网络时，进行平安防护和访问把握。保证网络的平安，防火墙主要特点如下：1、采用ASIC加速硬件与专用平安操作系统2、供应应用层的平安3、虚拟平安域(Virtualsecuritydomains)与平安区域(securityzones)4、高可用性5、平安区域(securityzones)与基于策略的(policy-based)设定6、动态路由协议(Dynamicroutingprotocols):RIP,OSPF,BGP7、具体的记录与报表全网架构拓扑1、基于SDN架构-简洁便利：网络虚拟化-多网合一：共享基础网络设施，可将学校的宿舍网、老师网、办公网、校园一卡通网、视频监控网、教职工家属区网等多个网络采用一套硬件设备进行虚拟化隔离组网，大大削减了设备的资源铺张和用户投资压力。网络虚拟化-多校区互联互通：各校区通过avaya交换机的SPB协议，无需使用任何VPN设备即可平安、牢靠、简洁、便利的打通各校区之间的通讯。网络虚拟化-多校区机房异地容灾互备份：各校区机房通过avaya交换机的SPB协议，可以跨互联网进行通讯，组成一个虚拟数据中心，重要数据可以进行异地备份。网络虚拟化-多校区多运营商出口管理：通过avaya额SPB协议，组成一个虚拟的大校园网后，可以统一规划并管理全部的互联网出口。网络虚拟化-多区域多类型终端身份认证、流量管理、及计费：通过SPB将多个校区虚拟化为一个校园网后，可对各种用户类型统一做不同的身份认证、流量管理及计费，如学生一般采用PPPOE认证计费，老师一般采用802.1x认证方式，访客一般采用WebPortal方式认证。矩阵式云网络：采用矩阵式组网，各节点可进行任意连接，无需进行简单网络规划和设计。2、务及应用完善支持：完善支持IPTV：无需配置简单的PIM组播协议，高带宽、高牢靠保证IPTV可以高效、牢靠的运行。语音视频优化：自动配置适合语音和视频的QOS，以满意语音及视频的低延时低抖动需求，实现网络的自动化。与UC系统集成-语音VLAN：在同一交换机端口下，连接IP电话和PC两个设备，使用不同的VLAN有效保证语音流量的低延时、低抖动，话音数据不受PC流量影响。IP话机可通过LLDP协议告知交换机自己是话机，IP电话和PC各自猎取自己所属VLAN，互不影响。与UC系统集成-认证连接：工作人员终端上网及UC均使用802.1x认证，用户名密码同企业原有域把握器（AD）自动同步。AP和IP话机在交换机端口接入时，无需进行认证，使用交换机bypass模式即可。物联网：可通过ONA设备连物联网设备，可快速高效的虚拟出一套物联网系统。3、运营管理费用低廉：配置简洁：采用SPB协议进行矩阵式组网，大大简化了传统星形组网的简单配置，网络实施周期大大缩短，节省项目实施的人力成本准时间成本。管理维护成本低：核心网络0配置，全部配置仅仅发生在边界节点，用户能更关注自身的业务，而不会将时间、金钱铺张在设备和网络的维护上，从维护人员投入以及维护人员学习层面也大大节省了投入。原有网络设备投资保护：学校全部视频监控头，均通过avaya交换机或ONA连接网络，即可组建视频监控虚拟网络。只需要接入端和核心端使用avaya设备即可，中间的网络交换机仍可用原有品牌即可，最大化利旧，保护用户原有投资。低耗能绿色环保：相比其他品牌设备，耗能削减30%左右，绿色环保节能，为客户削减了大量费电支出。4、平安及牢靠性高：高带宽：多链路时均可进行负载式数据传输，不再像传统网络STP会拥塞掉全部备份链路，只能一条链路传输数据。高牢靠：任何一条链路故障，均可实现接近工业环网级别的毫秒级切换，不再像传统网络STP协议最短也需要20s进行链路切换。高平安：各种业务网络通过SPB协议进行多业务便捷隔离，SPB协议非传统协议可避开恶意抓包拦截或分析数据，同时符合PCI国际平安支付标准规范。全网逻辑图在全部网络交换机上启用SPB新一代网络技术，网络逻辑拓扑图如下所示：全部为网络设备会组成一张网络云平台，云平台的全部节点通过动态拓扑维护协议来自我识别，自我管理以及自我维护。核心层全部设备之间可以按需连接，整个网络可以组成一张网状网，同时数据流量还能在多个路径中负载均衡，保障整个网络的高效运转。此外，由于SPB数据中心网络协议的优良设计，任何节点或者链路的故障时，网络都能在200ms之内切换到冗余节点或者链路上。综合来说，SPB技术供应了一个“业务永久在线”的网络平台，具体的优势体现在：1、弹性：任意设备或者链路的故障网络将在200ms内自愈，不会对校园业务造成任何影响。2、简洁：新的大楼网络节点接入，例如新大楼接入或新业务开放时，全部配置均在网络接入层交换机上配置，网络核心和汇聚不需要再作任何变动，真正的“零配置”核心和汇聚。3、高效：自动查找最佳路径传输，支持多条路径的负载均衡。网络全部链路和节点都处于工作状态，物尽其用。保护了用户的投资。4、健壮：网络拓扑由设备自主维护人为操作失误不会影响网络正常运转，例如：正常情况下，SPB网络可以允许科室使用自带的家用交换机扩展网络，而一旦该交换机的环路可能会造成了网络风暴，影响到整个网络平安，则SPB网络能自动定位到相应物理端口并自动禁用，保障业务的正常运行。SPB网络技术简介传统网络的局限数不胜数，例如不牢靠，无法预报；难以达成有效规模；简单度无法避开；资源利用率低下；新服务配置使用延误，服务时效缓慢；维持通信流的独立非常困难，等等。网络核心透亮     化是将来网络和数据中心的目标。将数据中心和核心基础设施合二为一，无缝整合各种服务（通常我们指的是虚拟计算系统供应的各类应用），借此，可用性、性能和效率都能得到显著提高。当网络支持简洁高效、且高度细化的映射功能时，简化服务编排将成为可能。创建网络透亮     性基础所采用的技术将和最短路径桥接-也即SPB，SPB以运营商级技术为基础，今日已经在许多服务供应商网络中得到了实践检验。它在简化性、可扩展性、性能、牢靠性、服务编排与服务抽象等的关键领域供应了多种新功能。这种透亮     网络围绕一个功能强大的容错、自知性核心而建筑，其设计特色在于服务供应只发生于网络边缘。优势立竿见影，显而易见；管理工作明显削减，错误得到避开，服务速度也大大加快。SPB的一大特点是，它遮挡   了设备、链路和协议，通过一个逻辑上的扩展以太网LAN，为多个端点供应连接。这个概念非常简洁，并且SPB是以一种相当特别而好玩的方式实现它的。它采用了一种名为IntermediateSystem-to-IntermediateSystem（IS-IS）的既有动态链路状态路由协议，并对其加以扩展，在SPB域的各个节点之间共享拓扑、可达性和设备信息。每个节点都依据自己的推断审视网络，包括抵达任意目的地的最佳路径，因而得以创建出一个全面分布式、动态维持的解决方案。各个SPB节点围绕域的周边创建、并分发一个包含其所直接支持的全部附加服务、服务器和网络的数据库。通过将客户MAC地址（C-MAC）封装到基于802.1ah格式的报头内，SPB可有效的使网络核心看不到边缘；SPB云端内部的节点逻辑上同客户网络相脱离，确保了其扩展能力和稳定性。重要的是，这种解决方案还带来了精彩简化性，特别是在供应领域。虚拟LAN（VLAN）的概念会广为人知，每个VLAN通常都与一个独特的IP地址范围相关联；服务器被安排到适合的VLAN，并获得一个地址。应用与服务器虚拟化使系统很难支持动态虚拟化，再加上横跨扩展数据中心管理VLAN分发所可能带来的麻烦，网络简单化进一步加剧。SPB将每个VLAN例程分别映射到一个服务标识符（称为I-SID），用于向网络告知这些服务，从而完善解决了这个抵触；各个需要连接的SPB节点会自动计算自己的最短路径，输入其转发数据库。用户既不需要配置核心来传递服务VLAN，也无须管理路径选择或冗余性，同时更避开了配置出错的风险。作为SPB模式的一大额外优势，传统网络所固有的许多稳定性问题得到彻底避开。考虑到拓扑由IS-IS（而非生成树）管理、以及客户网络内部的MAC地址向核心隐藏等等各种因素，网络边缘的循环、广播风暴等不会影响核心或其它任何客户环境。避开环路是传统以太网络的根本特征之一，然而，SPB则引入了循环抑制方法，来优化拓扑转变期间的转发决定。网络性能将得到全面优化，因为SPB从根本上即围绕“最短路径”连接而成立。通过在通用服务之间创建对称最短路径，SPB让全部可用资源都能达成最佳可能利用率，事实上它支持多条同等成本路线，因此负载共享可自动实现。老式生成树网络内部基于远程根的阻塞路径和次优路径的种种限制已经消逝。得益于SPB路径的对称特质，SPB供应了可预报路径选择，用以帮忙运营诊断和管理。下面为SPB设计的网络示意图需要留意的是，由于SPB在整个网络范围内执行单一链路状态信息摘要交换，各条根路径之间不再需要协商。这意味着，为实现网络掩盖所交换的信息数量同拓扑转变次数、而不是网络中组播树的数量成正比。可能转变多个树的简洁链路事件在传递时只发送链路事件本身；同样的，可能涉及到数百个树的重建的桥移除事件在传递时也只发送几个链路状态更新。最终，SPB可称为真正的数据中心“量身定制”；它与多种不同的服务器/应用虚拟化技术完全兼容，例如VMware和Hyper-V等。SPB还全面支持Microsoft的二层网络负载均衡解决方案（NLBS），并对现有的三层冗余技术VRRP透亮     。简而言之，SPB在数据中心内部扩展二层功能，让这一公认的最有效传输层的效率再获提高，同时使其更具扩展能力。在二层透传模式下，如在建立的VLAN透传透传模式下，虚拟服务园区网不需要为上层这些应用系统创建和规划IP地址，下层的虚拟服务网对上层完全透亮     ，任何IP层的故障对于底层网络而言，均无关联，彻底屏蔽和本地化故障。三层IP捷径路由则由虚拟园区网直接供应路由，不需要额外的路由设备。路由的设计也非常简洁，路由跳数相比传统的园区网大大削减。上层功能与VRF这可以进一步供应路由表的分别，来实现IP层面的虚拟化VSN之间的路由则可以进一步供应增加功能，在供应IP层面虚拟化之后，还可以供应虚拟服务网络之间的路由。在这个园区网络中即实施逻辑的业务之间的分别，又可以实现VSN之间的互通。有线网络架构（SDN架构）在传统网络中，数据平面是网络的一部分，供应规章来管理数据包。SDN是一种新型的网络架构，它的设计理念是将网络的把握平面与数据转发平面进行分别，网络设备只负责单纯的数据转发，而原来负责把握的操作系统将提炼为独立的网络操作系统，负责对不同业务特性进行适配，通过编程实现。通过部署基于SPB协议的SDN有线网络，可以达到核心零配置，这样管理就更加简洁便利。共享基础网络设施，可将内网等多个网络采用一套硬件设备进行虚拟化隔离组网，大大削减了设备的资源铺张和用户投资压力。无需使用任何VPN设备即可平安、牢靠、简洁、便利的打通校园、远程站点之间的通讯。可以跨互联网进行通讯，组成一个虚拟数据中心，重要数据可以进行异地备份。可对各种用户类型统一做不同的身份认证、流量管理及计费，如用户采用802.1x认证方式，校园访客采用WebPortal方式认证。通过SPB协议，可以使校园各种应用系统完全隔离，并且也是在网络边缘进行简洁配置。整个网络虚拟连接云，用户和网管人员都无需关注网络拓扑，设备配置等细节，全部节点具备对称的一致性配置，网络设备变得即插即用：配ID，启协议，插网线。机敏的语音视频支持为每个组播组自动创建虚拟视频子网络，安排不同ID号，用户终端通过传统的组播注册功能，自动加入所需的虚拟视频子网络中。网络设备自动维护拓扑，网络配置命令削减25倍，拓扑变化时，视频流恢复时间小于1秒摄像头承载能力提升数十倍，可达数万规模。边缘部署、保护现网架构使用avaya4500系列交换机部署在校园网络边缘，可以在不转变原网络架构下，快速部署一套基于SPB协议的SDN架构网络ONA架构OpenNetworkingAdapter(ONA)开放网络适配器，在可保证原有网络不转变的情况下，PC、POS（收费网络）等设备连接ONA设备结合SPB技术建立虚拟加密通道，通过内网络或者互联网网络直接和该服务器群组进行网络互联。只需要接入端和核心端使用avaya设备即可，中间的网络交换机仍可用原有品牌即可。通过ONA设备，IT管理网可以非常便利的管理远端的设备，削减运维成本。认证、计费系统供应SSO服务，管理整个系统的账号。这些账号仅限于系统的管理账号。基于RADIUS的多级认证、计费系统。支持虚拟运营商，支持不同组织单位之间的隔离。虚拟运营商之间的计费系统在数据库层完全独立。PORTAL系统分为前后台。前台PORTAL系统负责展示PORTAL页面。后台PORTAL系统就是策略系统，负责对5W+B策略进行设置包括虚拟运营商管理系统，代理商管理系统，组织单位管理系统三个级别虚拟运营商拥有独立的认证计费系统，独立的广告管理权限，基于有线/无线的PORTAL管理权限。虚拟运营商会依据PORTAL页面的尺寸和消失的场合，设置相关