经贸职业学院数字化校园网络建设方案

经贸职业学院数字化校园网络建设方案目录第1章网络建设需求分析 21.1山东经贸职业学院网络现状 21.2山东经贸职业学院数字化校园建设目标 31.3数字化业务平台对网络系统的要求 41.4本项目网络需求分析 51.5总体规划目标 5第2章网络建设原则 6第3章山东经贸职业学院网络平台设计 73.1概述 73.2网络拓扑设计 8第4章网络建设特点总结 13网络建设需求分析山东经贸职业学院网络现状校园有线网络主干线路全部采用光纤连接,使用华三S7506交换机作为全院核心,华三SR6602路由器作为全院出口网关,双出口链路运营商都是网通,网络覆盖区域包括教学、办公、师生公寓，主要承载系统包括一卡通系统、教务管理系统、财务管理系统、图书馆管理、系统学生管理、OA办公系统、毕业生就业系统、档案管理信息系统、学籍系统、学院网站。山东经贸职业学院数字化校园建设目标建成完整统一、技术先进、覆盖全面、应用深入、高效稳定、安全可靠的数字化校园，消除信息孤岛和应用孤岛，建立校级统一信息系统，实现部门间流程通畅，可平滑过渡到新一代技术，对校园的各项服务管理工作和广大教职工提供无所不在的一站式服务，提高工作效率、提高管理效率，提高决策效率，提高信息利用率，提高核心竞争力，总体水平达到国内一流，满足教学、科研和管理工作的需要。实现如下目标：形成学院共享数据中心平台建立一套统一的共享数据中心的数据标准，对信息资源进行分析整理，形成统一的、层次化的、符合业务结构的数据资源体系，并进行信息元素的标准定义，形成数据整合的基石。校园信息资源的数字化在各个层次系统的建设中，始终贯穿资源的数字化，资源数字化的成都体现出各个系统的应用程度，也代表学院综合信息平台的建设程度，在校园信息化建设中，非数字化的资源将逐步实现数字化，冰河新的数字化资源一起加入学院共享数据中心平台，同时建立起长期的数字资源收集、维护的体制和机制。校园应用系统的统一化通过一个统一的、开放的和可管理性的统一门户平台的建设，充分利用portal技术为学院提供一个并能够最大限度地满足用户特定需要的信息发布、采集、共享和管理平台在校园综合信息平台内，实现基于共享数据中心平台和统一身份认证平台的信息应用集成与服务，让学生、教师、行政办公人员、校领导都在统一平台内获取不同应用。数字化业务平台对网络系统的要求针对山东经贸职业学院校园信息资源的数字化、应用系统的统一化，构建共享数据中心平台，单纯搭建一套可联通的路由交换平台，显然是无法形成弹性的、可控的、安全的、区分业务的有效支撑。新校区平台需要从四个维度进行充分的保障： 一、网络结构的建设和优化：增强园区核心层、园区汇聚层对多业务的识别与区分能力；实现园区核心层、园区汇聚层的无单点故障，在兼顾经济性的同时，最大限度保障多业务的可用性；避免系统建设后对多业务并存要求的瓶颈，对于可能的瓶颈设备、瓶颈链路重点关注和解决；对全网实现向下一代网络IPv6技术的迁移；二、区分业务的服务质量保障：逻辑划分不同业务系统，界定其隔离与共享的关系；建立统一的数据中心，实现业务的数据整合管理；利用网络平台对多业务的区分，实现不同业务端到端的、不同优先等级的处理；三、抵御对业务运营的不安全因素影响：抵御来自外部网络的攻击行为；抵御校园内部用户的非法行为；抵御针对数据中心的攻击行为；消除各业务系统之间的攻击影响；对于不同的子系统实现不同的安全策略；四、强化对业务的管理能力与控制：建立统一的数字化校园支撑平台管控中心；实现对设备、用户、业务、安全等多系统的集成化、关联化管理；实现集中管理，智能化管理，从而降低综合拥有成本；增加管理系统的开放性，以实现管理系统对数字化校园上层应用的无缝集成。本项目网络需求分析结合山东经贸职业学院数字化校园建设目的和对支撑网络的要求，以及客户交流，总结客户需求分析如下：用户计划部署一台防火墙，能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能，有效的保证网络的安全。，实时检测应用层连接状态，实现2-7层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用户进行网络管理。计划部署一台应用控制，对网络中的网络社区、P2P/IM带宽滥用、网络游戏、炒股、网络多媒体、非法网站访问等行为进行精细化识别和控制。保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，以便全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。计划增加负载均衡设备，目前校园网络有两个网通出口，为了提高链路利用率，通过对链路状态的检测，采用对应的调度算法将数据合理、动态的分发到不同链路上。计划增加入侵防御，由于建设数字化校园，数据、应用都是比较集中，通过深入到7层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为，实现对网络应用、网络基础设施和网络性能的全面保护根据业务需求需要增加汇聚交换机和接入交换机。总体规划目标根据以上分析，山东经贸学院数字化校园网信息化建设需要满足未来五年内的数字化需求，因此校园规划目标建议为：建设一个稳定可靠、智能弹性、无缝接入、安全可控的面向教学与科研等多业务的支撑平台，保障新校区数字化业务的高可用性与服务质量，满足至少五年校园信息化的科学可持续发展。网络建设原则为达到山东经贸职业学院系统建设的目标，在网络设计构建中，我们始终坚持以下建网原则：实用性和先进性采用先进成熟的技术满足山东经贸职业学院各种应用系统的需求，兼顾其他相关的管理需求，保证满足山东经贸职业学院网络各种应用系统业务的同时，又体现出网络系统的先进性。在网络设计中把先进的技术与现有的成熟技术、标准和设备结合起来，充分考虑到山东经贸职业学院网络应用的需求和未来的发展趋势，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）以及云计算模型下应用数据的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要。标准性与开放性网上原有设备应该和新增设备采用国际标准协议进行互连互通，确保本网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广域网及网管系统等，坚持统一规范的原则，从而为未来的发展奠定基础。网络采用国际上通用标准的主流的网络协议，不仅保证与其它网络(如公共数据网、Internet)之间的平滑连接和互通，还能适应未来若干年的网络发展趋势，便于将来网络自身的扩展。高安全性安全体系应该是一个多层次、多方面的结构，在总体结构上分为四个层次：网络层安全、应用层安全、系统层安全和管理层安全。高性能山东经贸职业学院园网络系统的性能是山东经贸职业学院整个信息系统良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，力争实现透明网络，网络不能成为山东经贸职业学院实施现代化应用业务的瓶颈。灵活性及可扩展性网络系统是一个不断发展的系统，网络不仅需要保持对以前技术的兼容性，还必须具有良好的灵活性和可扩展性，具备支持多种应用系统的能力，提供技术升级、设备更新的灵活性，能够根据山东经贸职业学院不断深入发展的需要，根据未来业务的增长和变化，平滑的扩充和升级现有的网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能，最大程度的减少对网络架构和现有设备的调整。山东经贸职业学院网络平台设计概述通过前面章节的情况说明，我们知道山东经贸职业学院建设中的网络环境为改造网络环境。网络面临的是不断增长的对性能和可扩充性的需要。除此之外，网络还必须保证提供一些关键特性，例如高可用性、可管理性和灵活性、安全性等。尤为重要的则是网络安全性，既要防止外来攻击，非法侵入，也要防止内部网络滥用、非法行为，本次方案将采用H3CM9000多业务安全网关，为用户提供2-7层的安全防护功能，提升用户信息安全等级。网络拓扑设计本方案是在原有网络基础上整改设计，网络整体架构依然采用三层架构（核心层、汇聚层、接入层），保证网络结构没有太大变化，采用华三M9000多业务安全网关替代原有核心S7506，实现核心层的设备升级。在M9000上配置负载均衡、入侵防御、应用控制，防火墙充分保证网络安全，实现2~7层的深度防护，以及精细化的访问策略、行为控制产品架构优势M9000采用先进的多级架构模式，CLOS交换架构由贝尔实验室CharlesClos博士在1953年的《无阻塞交换网络研究》论文中首次提出，后被广泛应用于TDM网络，为纪念这一重大成果，便以他的名字CLOS命名这一架构。近二十年来包交换网络的高速发展，迫切需要超大容量和具备优异可扩展性的交换架构，CLOS这个古老而新颖的技术再一次焕发出旺盛的生命力。CLOS交换架构是一个多级架构；在每一级，每个交换单元都和下一级的所有交换单元相连接。一个典型的CLOS交换三级架构由（k，n）两个参数定义，如图3所示，参数k是中间级交换单元的数量，n表示的是第一级（第三级）交换单元的数量。第一级和第三级由n个k×k的交换单元组成，中间级由k个n×n的交换单元组成。整个构成了k×n的交换网络，即该网络有k×n个输入和输出端口。对于需要更高容量的交换网，中间级也可以是一个3级的CLOS网络（即CLOS网络可以递归构建），比如4个第一（三）级n×n芯片加上2个n×n的第二级芯片可构成一个2n×2n的交换网。由于CLOS网络的递归特性，它理论上具有无与伦比的可扩展性，支持交换机端口数量、端口速率、系统容量的平滑扩展。CLOS交换架构可以做到严格的无阻塞（Non-blocking）、可重构（Re-arrangeable）、可扩展（Scalable）。图3CLOS交换架构CLOS架构定义了一种几何拓扑结构，在早期TDM及语音应用中，其可重构特性通常由软件计算和配置完成。对于高速包交换系统，大量业务流的目的端口在频繁而快速地变化（如ns级），通过软件来对转发路径进行选择和重配置变得不现实。因此，需要采用近些年专门针对用于包交换系统的CLOS架构而设计的动态路由方式。动态路由关键点在于能负荷分担地均衡利用所有可达路径。对于第一级，每个业务流可通过Round-robin或随机方式均匀发送到k条连到第二级的路径上（通常基于信元的发送）；到达第二级的业务流将基于信元自路由技术（Cell-basedSelf-routing），根据交换网路由选择相应路径交换到第三级目的端口。第三级收到所有来自第二级的信元时，把信元重组成报文，并保证报文顺序正确。动态路由方式由此实现了严格的无阻塞交换，并有利于减小加速比从而提高有效端口容量。动态路由方式有一个突出优点，即平滑支持更高速率的网络端口，比如40GE/100GE。这是因为它可以充分利用所有可用路径形成一个大的数据流通道，比如24条3.125Gbps通道可以支持100GE数据流。相反，静态路由方式则受限于单条路径的带宽，比如基于XAUI接口的Crossbar交换，网络端口速率最高只能达到10Gbps，无法支持40GE和100GE。基于动态路由的CLOS架构，再结合合适的业务调度机制，就可以支持完善的QoS。采用CLOS交换架构的典型设备有：H3CM9000统一交换架构核心交换机，JuniperT1600核心路由器。在2009年2月初，Juniper刚刚发布了TX-MatrixPlus，通过多框互联技术支持把16台T1600构建成一个25Tbps的无阻塞交换系统，显示了CLOS架构卓越的可扩展性。2004年，Cisco发布了其路由器旗舰产品CRS-1，采用了三级动态自路由的Benes交换架构，支持72个机架的互联，达到46T/92T的系统容量。Benes交换实质上是CLOS交换架构的一个特例。由于CLOS交换系统容量很大，物理实现上，通常采用N+1个独立的交换网槽位，与主控板控制平面彻底分离，一方面提高了系统容量可扩展性，另一方面极大程度上提高了转发平面的可靠性，避免了控制平面出现故障或进行倒换时对转发平面的影响。H3CM9000采用的是目前业界领先的基于动态路由的CLOS交换架构（如图4所示），同时采用了分布式基于发送许可（Credit-based）的业务调度机制和大容量缓存，支持精细化QoS和层次化业务调度（H-QoS）。图4H3CM9000交换架构在入口方向，M9000支持多达48KVoQ队列和大容量缓存，根据业务流的目的端口、业务属性以及优先级映射到不同的VoQ队列当中，实现了业务的精细化区分和缓存。入口FA会定时向出口方向的调度器发送各VoQ发送队列的属性及空满状态。每个队列根据从调度器收到的累计Credit数量给交换网发送相应流量的报文，并根据实际发送量递减剩余的Credit数量。在出口方向，调度器对入口VoQ所对应的业务流的调度，根据调度策略，出端口可用带宽和拥塞情况，以及所对应VoQ的业务属性、优先级和队列空满状态，对所有流向该出口的这些业务流（VoQ）进行调度，发送不同带宽许可的Credit，从而达到根据用户SLA准确分配带宽并保证QoS的目的。每个调度器只负责对流向本出口的业务进行调度，是一种全分布式业务调度。每个调度器对应一个整形器（Shaper），支持双漏桶算法（DualLeakyBucket），提供对各业务流及业务流聚合（Aggregate）的流量整形功能（Shaping）。从上面也可以看出，这种单跳（Single-Hop）调度方式比基于CIOQ的Crossbar所采用的两跳（Two-Hop）更为简洁、精细、有效，需要的加速比也要小得多，有利于后续提高端口容量。这种调度方式同时也是一种端到端的调度和流控，而不仅仅是交换网自身的局部拥塞控制。M9000支持SP/WFQ/FQ及其组合SP+WFQ+FQ等多种业务调度策略，支持SP+DWRR，支持针对关键业务的带宽预留功能；可以非常灵活地对数K个各种调度器模块进行组合和编排，以支持个性化的复杂调度策略；支持WRED/TailDrop等拥塞管理策略。一种典型的M9000调度器模块如图5所示。图5一种典型的M9000调度器模块在弹性设计方面，M9000交换架构采用交换网N+1冗余技术，最大支持4块网板（每块网板包含1或2个Fabric交换单元），每条业务流都完全均匀地负荷分担在所有交换网单元上面。并能自动对故障器件、故障路径（链路）进行自动检测和故障隔离，具备良好的可靠性、弹性和容错性能。M9000正是采用了先进的基于动态路由的CLOS交换架构、信元自路由技术、分布式调度技术，使其具备卓越的超大容量、完全无阻塞转发性能、可扩展性、QoS、弹性。M9000当前可提供高达2.56Tbps的系统交换容量，可平滑支持40GE和100GE端口，后续单台设备交换容量更可扩展至7.68Tbps。采用集中交换框等多框互联/扩展技术，可以把系统容量扩展到26T/52T/104T或更高。这种扩展性是其它交换架构所无法比拟的。安全集群M9000首创的多核全分布式安全设备业务集群框架，全面突破机框的限制，在简化管理和部署的基础上同时实现了安全业务和安全性能的弹性扩展。系统最多可实现4框集群，支持多达48个扩展业务槽位，满足用户日益增长的业务需求。在多框集群的基础上，M9000又独创性的实现了异构集群，即M9000系列内的M9006、M9010和M9014三款设备可以相互进行集群，使集群系统更加的灵活和多样化。SOPM9000采用创新的基于容器的虚拟化技术实现了真正意义上的虚拟防火墙，即安全ONE平台（SOP）。每一个安全ONE平台均完全继承M9000设备的所有特性。SOP之间实现了基于进程的真正相互隔离，而不是传统的通过路由方式的隔离。每一个SOP系统都有自己独立的运行空间，包括管理平面、控制平面、数据平面、以及完整的安全业务功能。每一个SOP均可以独立的启动、暂停和关闭，单个SOP故障不会对其他SOP和整个物理系统产生任何影响。SOP通过统一的OS内核可以对系统的静态及动态的资源进行细粒度的划分。其中，静态