教育城域網(wǎng)云數(shù)據(jù)中心方案及貨物需求參數(shù)1512.docx

市教育城域網(wǎng)云數(shù)據(jù)中心技術(shù)建議書市教育城域網(wǎng)云數(shù)據(jù)中心技術(shù)建議書2015年12月目 錄第1章項目背景6第2章需求分析7第3章方案總體架構(gòu)83.1設(shè)計目標(biāo)83.2總體架構(gòu)設(shè)計8第4章網(wǎng)絡(luò)解決方案114.1網(wǎng)絡(luò)平臺架構(gòu)設(shè)計114.1.1網(wǎng)絡(luò)虛擬化和二層結(jié)構(gòu)114.1.2三個獨(dú)立的網(wǎng)絡(luò)平面134.1.3業(yè)務(wù)功能分區(qū)134.1.4網(wǎng)絡(luò)平臺架構(gòu)特點(diǎn)134.2邊界接入?yún)^(qū)設(shè)計144.3核心網(wǎng)絡(luò)區(qū)設(shè)計154.4縣區(qū)路由連接設(shè)計154.4.1區(qū)縣教體局出口路由器選型建議164.4.2學(xué)校出口路由器選型建議174.5IP地址規(guī)劃184.5.1IP地址規(guī)劃原則184.5.2本期工程地址規(guī)劃184.6VLAN設(shè)計214.7QOS規(guī)劃22第5章計算存儲解決方案255.1計算存儲平臺架構(gòu)設(shè)計255.2虛擬化平臺解決方案265.2.1虛擬化平臺結(jié)構(gòu)265.2.2虛擬化管理平臺275.2.3VDC服務(wù)315.3物理服務(wù)器部署方案315.4存儲虛擬化部署方案335.4.1方案設(shè)計原則335.4.2拓?fù)浣Y(jié)構(gòu)355.4.3方案特點(diǎn)365.5一體化備份系統(tǒng)365.5.1傳統(tǒng)的數(shù)據(jù)保護(hù)方式365.5.2一體化備份系統(tǒng)375.5.3全面的備份保護(hù)375.5.4方便靈活的數(shù)據(jù)恢復(fù)38第6章安全解決方案396.1總體安全框架396.2安全域的劃分406.3邊界安全設(shè)計416.4核心交換區(qū)安全設(shè)計436.4.1WEB防火墻設(shè)計436.4.2應(yīng)用負(fù)載均衡設(shè)計436.4.3入侵檢測防御設(shè)計436.4.4數(shù)據(jù)庫/日志審計設(shè)計446.4.5漏洞掃描設(shè)計44第7章運(yùn)維管理解決方案457.1監(jiān)控運(yùn)維系統(tǒng)概述457.2統(tǒng)一監(jiān)控管理平臺467.2.1拓?fù)涔芾?67.2.2告警管理477.2.3性能管理487.2.4分級網(wǎng)管487.2.5系統(tǒng)監(jiān)控497.2.6高可用性系統(tǒng)管理497.3服務(wù)器管理497.4存儲管理507.5網(wǎng)絡(luò)管理527.5.1基本信息管理527.5.2SLA管理537.5.3MPLS VPN管理547.5.4網(wǎng)流分析577.5.5日志管理597.6安全管理607.6.1安全管理617.6.2策略冗余分析617.6.3策略命中分析627.6.4策略風(fēng)險分析627.6.5策略綜合分析63第8章方案優(yōu)勢64第9章設(shè)備貨物需求一覽表65第1章 項目背景教育信息化是國家信息技術(shù)發(fā)展的重要組成部分，而作為教育網(wǎng)絡(luò)的延伸，區(qū)域教育城域網(wǎng)連接區(qū)域范圍內(nèi)的中小型教育機(jī)構(gòu)，為區(qū)域內(nèi)國民中小學(xué)教育提供信息網(wǎng)絡(luò)服務(wù)，對包括教務(wù)信息的管理、教學(xué)資源的分享傳播、教學(xué)業(yè)務(wù)以及教學(xué)安全的管理控制等各個教學(xué)信息化方面提供基礎(chǔ)保障。隨著教育信息化的進(jìn)一步發(fā)展, 為了更好承載教育業(yè)務(wù)，市教體局項目將依托公共網(wǎng)絡(luò)，以縣級教育專網(wǎng)為基礎(chǔ)，市級教育專網(wǎng)連接各縣專網(wǎng)組成市基礎(chǔ)教育專網(wǎng)，使全市中小學(xué)、幼兒園全部接入教育專網(wǎng)。縣骨干帶寬達(dá)千兆，市骨干帶寬達(dá)千兆及以上，實現(xiàn)各縣統(tǒng)一出口，出口帶寬達(dá)1G或以上。建設(shè)市基礎(chǔ)教育虛擬化平臺，重點(diǎn)建設(shè)市教體局中心機(jī)房及市教育虛擬化平臺，為全市電子教育、視頻會議、遠(yuǎn)程培訓(xùn)、視頻教學(xué)點(diǎn)播、遠(yuǎn)程雙向視頻教學(xué)和網(wǎng)絡(luò)教研等教育應(yīng)用服務(wù)。第2章 需求分析市教體局建設(shè)的首要原則應(yīng)該是一張全業(yè)務(wù)承載網(wǎng)絡(luò)，能承載教育信息化的所有業(yè)務(wù)，包括信息化業(yè)務(wù)數(shù)據(jù)、視頻（遠(yuǎn)程教學(xué)、VOD教學(xué)視頻點(diǎn)播、視頻會議）、語音、寬帶上網(wǎng)、以及校園專線等多業(yè)務(wù)。這些業(yè)務(wù)對網(wǎng)絡(luò)的需求主要體現(xiàn)在流量模型、帶寬和QoS需求上。上述業(yè)務(wù)可以歸納為如下幾種（以下涉及數(shù)據(jù)的部分為經(jīng)驗估算，僅作對業(yè)務(wù)理解參考使用）：業(yè)務(wù)流量特點(diǎn)帶寬需求QoS需求辦公自動化（OA）系統(tǒng)各區(qū)縣所有教育事業(yè)單位的校園內(nèi)網(wǎng)絡(luò)接入教育城域網(wǎng)，各接入節(jié)點(diǎn)之間業(yè)務(wù)共享每個校園出口需要約10M帶寬，由于全部流量需要上核心層，每個核心節(jié)點(diǎn)約需600M帶寬此類辦公對QoS要求較高，需要較高的優(yōu)先級和較低的時延教與學(xué)支持服務(wù)系統(tǒng)各院校提供本校師生上網(wǎng)業(yè)務(wù)，包括教師的備課、教學(xué)，學(xué)生的視頻點(diǎn)播等。通過城域網(wǎng)接入到互聯(lián)網(wǎng)出口設(shè)備。各院校根據(jù)上網(wǎng)人數(shù)和業(yè)務(wù)需求確定業(yè)務(wù)帶寬，平均每院校約需10M帶寬，每個核心節(jié)點(diǎn)約需3G帶寬。此類業(yè)務(wù)需要更高的優(yōu)先級，需要優(yōu)先轉(zhuǎn)發(fā)教育公共服務(wù)業(yè)務(wù)系統(tǒng)包括家校互聯(lián)，通訊平臺等應(yīng)用，各院校與互聯(lián)網(wǎng)聯(lián)接。各院校和機(jī)構(gòu)平均約需20M流量，每個核心節(jié)點(diǎn)約需1.2G帶寬此類業(yè)務(wù)對QoS要求最低，采用盡力而為服務(wù)第3章 方案總體架構(gòu)3.1 設(shè)計目標(biāo)1、高效性：為了滿足云平臺、教育的業(yè)務(wù)應(yīng)用系統(tǒng)的高并發(fā)、快速的虛擬機(jī)遷移、視頻文件以及大文件的上傳下載等要求，設(shè)計一個高帶寬、低延時、快速收斂并避免環(huán)路出現(xiàn)的網(wǎng)絡(luò)平臺是一個基本的設(shè)計目標(biāo)。2、高可靠性：教育云數(shù)據(jù)中心今后要支持全市電子教育的業(yè)務(wù)系統(tǒng)，教育云數(shù)據(jù)中心的網(wǎng)絡(luò)的穩(wěn)定性直接關(guān)系到全市電子教育服務(wù)的可用性。因此高可用性是數(shù)據(jù)中心網(wǎng)絡(luò)平臺的設(shè)計目標(biāo)之一，關(guān)鍵和核心部分不能出現(xiàn)單點(diǎn)故障。3、可擴(kuò)展性：本項目只是教育云數(shù)據(jù)中心建設(shè)的一期工程，隨著后續(xù)越來越多的業(yè)務(wù)應(yīng)用系統(tǒng)遷入教育云數(shù)據(jù)中心，教育云數(shù)據(jù)中心的規(guī)模需要根據(jù)業(yè)務(wù)應(yīng)用需求逐步擴(kuò)大。因此具備良好的擴(kuò)展能力也是數(shù)據(jù)中心網(wǎng)絡(luò)的設(shè)計目標(biāo)之一，在核心、骨干網(wǎng)絡(luò)設(shè)備上要留有余量，充分考慮今后業(yè)務(wù)應(yīng)用增加的網(wǎng)絡(luò)需求。4、靈活性、易維護(hù)性：教育云數(shù)據(jù)中心今后所承載的各類業(yè)務(wù)系統(tǒng)的不確定性，這就要求網(wǎng)絡(luò)平臺能夠靈活簡便的對網(wǎng)絡(luò)資源進(jìn)行調(diào)配。因此，網(wǎng)絡(luò)管理的靈活性和易維護(hù)性也是網(wǎng)絡(luò)平臺的設(shè)計目標(biāo)之一。通過減少網(wǎng)絡(luò)配置節(jié)點(diǎn)、簡化網(wǎng)絡(luò)配置，降低網(wǎng)絡(luò)管理的人力開銷，從而易于網(wǎng)絡(luò)資源的調(diào)整和分配。5、先進(jìn)性：教育云數(shù)據(jù)中心承載市教育系統(tǒng)不同種類的電子教育應(yīng)用系統(tǒng)，整體架構(gòu)應(yīng)當(dāng)保持穩(wěn)定而不應(yīng)當(dāng)頻繁調(diào)整。作為教育云數(shù)據(jù)中心的重要組成部分，網(wǎng)絡(luò)平臺的架構(gòu)調(diào)整會影響教育云數(shù)據(jù)中心的整體架構(gòu)。因此在設(shè)計網(wǎng)絡(luò)平臺的架構(gòu)的時候，設(shè)計目標(biāo)之一應(yīng)該是保證網(wǎng)絡(luò)架構(gòu)和采用技術(shù)的先進(jìn)性，3年內(nèi)只做規(guī)模擴(kuò)充，而不做架構(gòu)調(diào)整。6、安全性：保證各業(yè)務(wù)系統(tǒng)的信息安全是建設(shè)教育云數(shù)據(jù)中心的一個基本前提，因此安全性也是網(wǎng)絡(luò)平臺需要考慮的設(shè)計目標(biāo)之一。由于網(wǎng)絡(luò)安全域的劃分與隔離很大程度上依賴網(wǎng)絡(luò)結(jié)構(gòu)的合理性，因此在設(shè)計網(wǎng)絡(luò)架構(gòu)的時候需要考慮整體網(wǎng)絡(luò)安全性，便于安全方案進(jìn)行安全域的劃分和安全域間訪問控制。3.2 總體架構(gòu)設(shè)計數(shù)據(jù)中心總體架構(gòu)設(shè)計遵循面向業(yè)務(wù)需求的設(shè)計思路，基于模塊化的設(shè)計方法，實現(xiàn)數(shù)據(jù)中心IT基礎(chǔ)架構(gòu)模塊與業(yè)務(wù)模塊松耦合，保證數(shù)據(jù)中心業(yè)務(wù)動態(tài)擴(kuò)展和新業(yè)務(wù)快速上線。使用特定規(guī)格產(chǎn)品設(shè)計，包括硬件、軟件和應(yīng)用規(guī)格化來提供簡單可靠、易于部署和管理、便于擴(kuò)展和升級的IT基礎(chǔ)架構(gòu)，為用戶提供更好的投資保護(hù)，滿足企業(yè)數(shù)據(jù)中心新建、升級擴(kuò)容，以及數(shù)據(jù)中心的可視化統(tǒng)一管控的需求，可實現(xiàn)被集成的場景。根據(jù)功能分層邏輯分區(qū)的原則，數(shù)據(jù)中心的功能層次由邊界接入?yún)^(qū)、網(wǎng)絡(luò)核心區(qū)、計算區(qū)和存儲區(qū)共4個區(qū)域組成。這4個區(qū)域又可以邏輯上細(xì)分為8個子區(qū)域，詳細(xì)情況如下示意圖和表格所示。序號區(qū)域子區(qū)域部署產(chǎn)品1邊界接入?yún)^(qū)外聯(lián)區(qū)接入路由器與Internet和教育專網(wǎng)連接2區(qū)縣終端接入?yún)^(qū)匯聚交換機(jī)，邊界防火墻等，與區(qū)縣教育廣域網(wǎng)互聯(lián)3網(wǎng)絡(luò)核心區(qū)網(wǎng)絡(luò)服務(wù)區(qū)核心交換機(jī)、服務(wù)器交換機(jī)、入侵檢測、數(shù)據(jù)庫審計等4計算區(qū)云計算區(qū)虛擬化服務(wù)器資源池5物理資源區(qū)物理服務(wù)器資源池，承載技術(shù)上不適合部署在虛擬化平臺上應(yīng)用、軟件（例如：高IO數(shù)據(jù)庫）6開發(fā)測試區(qū)應(yīng)用系統(tǒng)開發(fā)平臺、測試平臺和培訓(xùn)平臺7運(yùn)行管理區(qū)監(jiān)控和運(yùn)維管理平臺8存儲區(qū)SAN存儲SAN存儲設(shè)備基于上述總體架構(gòu)設(shè)計，既要考慮支撐當(dāng)前臺應(yīng)用系統(tǒng)的計算、存儲和數(shù)據(jù)傳輸能力，又要考慮當(dāng)前項目經(jīng)費(fèi)的約束，詳細(xì)設(shè)計教育云數(shù)據(jù)中心的軟硬件的解決方案。具體詳細(xì)的網(wǎng)絡(luò)、計算存儲、安全和運(yùn)維管理方案在下面的章節(jié)分別詳細(xì)介紹。第4章 網(wǎng)絡(luò)解決方案4.1 網(wǎng)絡(luò)平臺架構(gòu)設(shè)計市教體局網(wǎng)絡(luò)建設(shè)根據(jù)不同位置及信息點(diǎn)的數(shù)量和未來覆蓋面擴(kuò)充等多方面原因，將網(wǎng)絡(luò)為劃分若干個區(qū)域。劃分區(qū)域主要考慮以下幾個方面：可以減輕中央核心交換機(jī)的負(fù)擔(dān)、管理上方便、便于未來的連接擴(kuò)充。市教體局網(wǎng)絡(luò)方案如下圖所示：依據(jù)項目目標(biāo)、設(shè)計原則和教育云數(shù)據(jù)中心的總體架構(gòu)，網(wǎng)絡(luò)平臺的架構(gòu)設(shè)計采用如下幾項關(guān)鍵技術(shù)。4.1.1 網(wǎng)絡(luò)虛擬化和二層結(jié)構(gòu)傳統(tǒng)的數(shù)據(jù)網(wǎng)絡(luò)平臺架構(gòu)一般采用核心匯聚接入的三層網(wǎng)絡(luò)架構(gòu)模型，采用這種傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)存在以下幾個方面的問題：l 網(wǎng)絡(luò)的層次較多，處理效率低；多增加了一個匯聚的層面，就會額外增加匯聚設(shè)備的處理時延、線路時延等；同時由于網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量增多，也增加了部署成本和設(shè)備故障的幾率；l 由于匯聚層面設(shè)備一定存在處理性能和上行帶寬的收斂比，在數(shù)據(jù)中心規(guī)模不斷擴(kuò)大的情況下，匯聚設(shè)備會成為整個網(wǎng)絡(luò)的瓶頸，出現(xiàn)擁塞、丟包等問題；l 在網(wǎng)絡(luò)擴(kuò)容時，不僅僅需要增加接入層的設(shè)備，同時也必須考慮到匯聚設(shè)備的性能和端口密度能否滿足要求，也需要進(jìn)行相應(yīng)的擴(kuò)容，帶來投資成本的增加。l 網(wǎng)絡(luò)設(shè)備之間的STP、LAG、路由處理、安全等相互之間的交互信息，隨著設(shè)備數(shù)量的增加，會成幾何級數(shù)激增。l 隨著云計算平臺虛擬化的技術(shù)的大規(guī)模應(yīng)用，新的網(wǎng)絡(luò)平臺流量模型中，大多數(shù)的流量是在內(nèi)部服務(wù)器之間進(jìn)行通信，甚至能夠達(dá)到整體流量的75%，這種部署架構(gòu)會導(dǎo)致服務(wù)器之間流量需要通過匯聚層甚至核心層設(shè)備轉(zhuǎn)發(fā)，效率低下，且性能很差。為了解決上述存在的問題，本方案數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)采用扁平化二層網(wǎng)絡(luò)架構(gòu)（核心層、接入層），使用網(wǎng)絡(luò)虛擬化技術(shù)，核心交換機(jī)承擔(dān)著核心層和匯聚層的雙重任務(wù)。扁平化方式降低了網(wǎng)絡(luò)復(fù)雜度，簡化了網(wǎng)絡(luò)拓?fù)?，提高了轉(zhuǎn)發(fā)效率。二層網(wǎng)絡(luò)架構(gòu)中，采用網(wǎng)絡(luò)虛擬化技術(shù)，解決鏈路環(huán)路問題，提高了網(wǎng)絡(luò)可靠性。核心交換機(jī)設(shè)置VLAN的IP地址，接入交換機(jī)劃分VLAN，做二層轉(zhuǎn)發(fā)。l 核心層：采用網(wǎng)絡(luò)虛擬化技術(shù)，將兩臺核心交換機(jī)虛擬為一臺設(shè)備，設(shè)備背板共享，交換能力提高。l 接入層：采用網(wǎng)絡(luò)虛擬化技術(shù)，將兩臺或多臺接入交換機(jī)虛擬為一臺設(shè)備，設(shè)備背板共享，交換能力提高。核心交換機(jī)和接入交換機(jī)之間的四條跨框鏈路捆綁為一個Eth-Trunk組，網(wǎng)絡(luò)架構(gòu)變成樹型模式，不需要啟用STP協(xié)議，從根本上解決環(huán)路和spanning-tree收斂問題。扁平化二層網(wǎng)絡(luò)架構(gòu)設(shè)計的主要優(yōu)勢在于：l 簡化網(wǎng)絡(luò)管理，降低維護(hù)管理成本能夠減少網(wǎng)絡(luò)中的交換機(jī)和鏈路數(shù)量，從而降低前期購置成本和后期維護(hù)成本。l 網(wǎng)絡(luò)性能提高，支撐高性能的服務(wù)器流量通過減少交換層數(shù)量，流量需要穿越的交換機(jī)數(shù)量也會減少，從而可以縮短延遲，提高應(yīng)用性能。l 網(wǎng)絡(luò)利用率提高，支撐云計算的資源池動態(tài)調(diào)度云計算要求對于計算資源池和存儲資源池任意按需調(diào)配。要求網(wǎng)絡(luò)能夠適應(yīng)這種大范圍的調(diào)度。l 網(wǎng)絡(luò)可靠性提高減化的網(wǎng)絡(luò)通過虛擬集群和堆疊技術(shù)，可以消除網(wǎng)絡(luò)中的可靠性隱患，無需運(yùn)行spanning-tree協(xié)議，消除網(wǎng)絡(luò)的故障收斂時間，從而提高網(wǎng)絡(luò)可靠性。4.1.2 三個獨(dú)立的網(wǎng)絡(luò)平面網(wǎng)絡(luò)平臺可以分為業(yè)務(wù)平面、管理平面和存儲平面三個網(wǎng)絡(luò)平面。三個網(wǎng)絡(luò)平面相互獨(dú)立。業(yè)務(wù)平面主要服務(wù)對象是為租戶的業(yè)務(wù)應(yīng)用軟件的通訊，管理平臺主要為設(shè)備自身、安全系統(tǒng)、運(yùn)維系統(tǒng)所使用，存儲平面完全是一個封閉的私有網(wǎng)絡(luò)，服務(wù)器和存儲設(shè)備在該平面上進(jìn)行存儲數(shù)據(jù)的傳送。4.1.3 業(yè)務(wù)功能分區(qū)網(wǎng)絡(luò)總體規(guī)劃應(yīng)遵循區(qū)域化、層次化、模塊化的設(shè)計理念，使網(wǎng)絡(luò)層次更加清楚、功能更加明確。這樣在每個區(qū)域內(nèi)部調(diào)整時不會影響其他區(qū)域，而且區(qū)域內(nèi)部資源調(diào)度也更加方便和靈活。依據(jù)這樣的設(shè)計理念和設(shè)計原則，網(wǎng)絡(luò)平臺應(yīng)根據(jù)業(yè)務(wù)性質(zhì)或網(wǎng)絡(luò)設(shè)備的作用進(jìn)行區(qū)域劃分，通常需要考慮以下幾個方面內(nèi)容： l 按照網(wǎng)絡(luò)架構(gòu)中設(shè)備作用的不同，網(wǎng)絡(luò)可以劃分為核心層、接入層，層次化結(jié)構(gòu)也有利于網(wǎng)絡(luò)的擴(kuò)展和維護(hù)。 l 綜合考慮網(wǎng)絡(luò)服務(wù)中應(yīng)用業(yè)務(wù)的獨(dú)立性、各業(yè)務(wù)的互訪關(guān)系，以及業(yè)務(wù)的安全隔離要求，在邏輯上還劃分為外聯(lián)區(qū)（包括Internet外聯(lián)區(qū)、電子教育外聯(lián)區(qū)）、網(wǎng)絡(luò)核心區(qū)（包括網(wǎng)絡(luò)服務(wù)區(qū)）、計算區(qū)域（包括運(yùn)云計算區(qū)、物理服務(wù)器區(qū)、數(shù)據(jù)服務(wù)區(qū)、運(yùn)維管理區(qū)、開發(fā)測試區(qū)）、存儲區(qū)域（包括SAN區(qū)和NAS區(qū)）等。4.1.4 網(wǎng)絡(luò)平臺架構(gòu)特點(diǎn)教育云數(shù)據(jù)中心網(wǎng)絡(luò)平臺的架構(gòu)有如下特點(diǎn)。1、整體可擴(kuò)展性強(qiáng)：l 分為四大區(qū)域（接入?yún)^(qū)、網(wǎng)絡(luò)核心區(qū)、計算區(qū)、存儲區(qū)），各個區(qū)域獨(dú)立擴(kuò)展；l 以核心節(jié)點(diǎn)為“根”的星型拓?fù)洌?、核心區(qū)域：流量的樞紐l 采用大容量，高性能的核心交換機(jī)；l 采用高密度的萬兆接口；3、計算區(qū)域、存儲區(qū)域：l 多個業(yè)務(wù)區(qū)獨(dú)立擴(kuò)展；l 以服務(wù)器為中心的數(shù)據(jù)、管理、存儲網(wǎng)絡(luò)獨(dú)立擴(kuò)展；4、外聯(lián)區(qū)域l 分為兩個獨(dú)立的互聯(lián)區(qū)域，各區(qū)域獨(dú)立擴(kuò)展；4.2 邊界接入?yún)^(qū)設(shè)計本次在市教體局外網(wǎng)出口處部署2臺出口路由器，基于分布式硬件轉(zhuǎn)發(fā)和無阻塞交換技術(shù)，具有良好的線速轉(zhuǎn)發(fā)性能、電信級的可靠性、優(yōu)異的擴(kuò)展能力、完善的QoS機(jī)制。為保障路由器的高可靠性和高性能設(shè)備的選擇上，本次所設(shè)計的路由器能夠提供高速數(shù)據(jù)交換和路由快速收斂。全面的虛擬化特性支持路由器能夠一虛多、多虛一虛擬化特性。一虛多特性將一臺路由器虛擬成多個邏輯路由器，不同的業(yè)務(wù)在不同的邏輯路由器之間資源隔離，保證業(yè)務(wù)占用資源可靠；多虛一特性將多臺路由器虛擬成邏輯上的一臺路由器，各物理路由器之間相互進(jìn)行備份，提升設(shè)備可靠性。全方位的可靠性解決方案路由器從多個層面提供可靠性保護(hù)，包括設(shè)備級、網(wǎng)絡(luò)級、業(yè)務(wù)級可靠性，形成了面向整個網(wǎng)絡(luò)的解決方案，完全滿足企業(yè)對各種業(yè)務(wù)的可靠性需求，99.999的系統(tǒng)可用性是構(gòu)筑企業(yè)業(yè)務(wù)可靠互聯(lián)的基石。設(shè)備級可靠：提供關(guān)鍵部件的冗余備份，關(guān)鍵組件支持熱插拔與熱備份， NSR（Non-Stop Routing），NSF（Non-Stop Forwarding）和 ISSU等技術(shù)一起保障無中斷業(yè)務(wù)運(yùn)行。網(wǎng)絡(luò)級可靠：提供IP/LDP/VPN/TE快速重路由/Hot-Standby，IGP、BGP以及組播路由快速收斂，虛擬路由冗余協(xié)議（VRRP，Virtual Router Redundancy Protocol），快速環(huán)網(wǎng)保護(hù)協(xié)議（RRPP，Rapid Ring Protection Protocol），TRUNK鏈路分擔(dān)備份，BFD鏈路快速檢測，MPLS/Ethernet OAM，路由協(xié)議/端口/VLAN Damping等技術(shù)，保證整網(wǎng)穩(wěn)定性，可以提供端到端200ms保護(hù)倒換，業(yè)務(wù)無中斷。業(yè)務(wù)級可靠：提供的VPN FRR和E-VRRP技術(shù)，VLL FRR和Ethernet OAM技術(shù)以及PW Redundancy和E-Trunk或E-APS技術(shù)，可以應(yīng)用于L3VPN和L2VPN組網(wǎng)方案中，保證業(yè)務(wù)層面的冗余備份，使業(yè)務(wù)穩(wěn)定可靠，不中斷。4.3 核心網(wǎng)絡(luò)區(qū)設(shè)計核心設(shè)備擔(dān)負(fù)著連接匯聚層，服務(wù)器群和教育網(wǎng)的工作，同時通過核心設(shè)備的互聯(lián)，形成一套完整的網(wǎng)絡(luò)。由于核心層設(shè)備擔(dān)負(fù)著整個網(wǎng)絡(luò)的流量，在網(wǎng)絡(luò)核心層的流量是非常巨大的，對網(wǎng)絡(luò)核心層的壓力非常巨大。同時網(wǎng)絡(luò)對安全性、穩(wěn)定性的要求極高，由于網(wǎng)絡(luò)也基本是一個金字塔的形狀，那么最需要穩(wěn)定的就是金字塔的頂端，即網(wǎng)絡(luò)的核心層。網(wǎng)絡(luò)核心層同時需要對網(wǎng)絡(luò)的接入層提供不同的網(wǎng)絡(luò)層的路由規(guī)劃和信息轉(zhuǎn)發(fā)的功能，同時還需要保證不同級別的網(wǎng)絡(luò)QoS，對于服務(wù)器的關(guān)鍵業(yè)務(wù)通過鏈路級和網(wǎng)絡(luò)級的協(xié)議實現(xiàn)嚴(yán)格的控制和優(yōu)先級的保證。對于網(wǎng)絡(luò)級的保護(hù)通常時間是非常長的，那么對一些關(guān)鍵業(yè)務(wù)，通過結(jié)合二層快速收斂的協(xié)議一起來完成對網(wǎng)絡(luò)安全性的提升和網(wǎng)絡(luò)的自愈能力。設(shè)備須支持對不同部門的規(guī)劃，如實現(xiàn)全網(wǎng)統(tǒng)一VLAN的規(guī)劃等。對每個系統(tǒng)分配不同的VLAN并且針對不同VLAN實現(xiàn)不同的安全和控制的策略等。但是在自身的網(wǎng)絡(luò)核心層需要通過完全的三層策略來進(jìn)行VLAN的終結(jié)和三層數(shù)據(jù)的交換工作，不建議全網(wǎng)全部采用統(tǒng)一網(wǎng)絡(luò)協(xié)議進(jìn)行規(guī)劃，建議采用二層和三層協(xié)議相結(jié)合的方式共同實現(xiàn)網(wǎng)絡(luò)的規(guī)劃工作。在核心層的規(guī)劃中，主要應(yīng)該采用結(jié)構(gòu)穩(wěn)定并且能夠進(jìn)行詳細(xì)路由查找的三層路由協(xié)議來進(jìn)行規(guī)劃。4.4 縣區(qū)路由連接設(shè)計在市教育城域?qū)＞W(wǎng)出口處部署出口路由器用于連接區(qū)縣路由。出口路由器用來轉(zhuǎn)發(fā)本區(qū)域用戶到其他區(qū)域用戶的橫向流量，同時發(fā)送本區(qū)域用戶流量到核心層。匯聚層將大量用戶接入到互聯(lián)的網(wǎng)絡(luò)中，模塊化擴(kuò)展接入核心層設(shè)備的用戶數(shù)量。采用路由器而不是采用交換機(jī)和防火墻做為出口組網(wǎng)的模式具有以下優(yōu)勢：1. 采用路由器做為教育城域?qū)＞W(wǎng)骨干設(shè)備是由大量最佳實踐表明，如運(yùn)營商所構(gòu)建的骨干網(wǎng)均采用路由器，而不是交換機(jī)和防火墻，這是路由器的自身平臺穩(wěn)定性比交換機(jī)更好。2. 教育城域?qū)＞W(wǎng)中存在大量的不同的業(yè)務(wù)，如何保證不同業(yè)務(wù)的優(yōu)先級和帶寬，是城域?qū)＞W(wǎng)建設(shè)者和維護(hù)者不得不考慮的問題，采用路由器可實現(xiàn)面向接入側(cè)的H-QoS五級調(diào)度機(jī)制，多樣化，差異化滿足接入側(cè)不同層次用戶的業(yè)務(wù)需求先進(jìn)的隊列調(diào)度算法、擁塞控制算法，能夠?qū)?shù)據(jù)流實現(xiàn)多級的精確調(diào)度，從而滿足不同用戶、不同業(yè)務(wù)等級的服務(wù)質(zhì)量要求。這是交換機(jī)和防火墻等其他設(shè)備所不能實現(xiàn)的功能。3. 教育城域?qū)＞W(wǎng)中若采用交換機(jī)組網(wǎng)，在很大的程度上引起地址沖突，不能正常辦公使使用者體驗感下降。因為現(xiàn)在市教體局及區(qū)縣教體局均采用私有地址組網(wǎng)，在各個局域網(wǎng)中私有地址允許重復(fù)分配。而且用若不采用路由器做為每個局域網(wǎng)出口實現(xiàn)私有地址對私有地址的轉(zhuǎn)換，容易引起廣播風(fēng)暴，當(dāng)廣播數(shù)據(jù)充斥網(wǎng)絡(luò)無法處理，并占用大量網(wǎng)絡(luò)帶寬，導(dǎo)致正常業(yè)務(wù)不能運(yùn)行，甚至徹底導(dǎo)致教育城域?qū)＞W(wǎng)癱瘓。4.4.1 區(qū)縣教體局出口路由器選型建議1. 產(chǎn)品性能：背板帶寬3.9Tbps，整機(jī)包轉(zhuǎn)發(fā)能力480Mpps，千兆接口線速轉(zhuǎn)發(fā)，業(yè)務(wù)槽位4，主控和電源支持1+1冗余，獨(dú)立轉(zhuǎn)發(fā)引擎。2. 端口數(shù)要求：主控板及母板上的端口數(shù)不作為業(yè)務(wù)端口計算。3. 接口類型：支持E1、GE、155M POS、155M CPOS，要求本次配置的所有以太網(wǎng)口全部為WAN口，即在物理接口上直接配置IP地址。4. 路由協(xié)議：支持RIP、OSPF、BGP-4、IS-IS等路由協(xié)議。路由表容量=500K。5. QoS：支持完善的QoS機(jī)制每線路板可提供先進(jìn)調(diào)度和擁塞避免技術(shù)，提供精確的流量監(jiān)管和流量整形功能和定義復(fù)雜規(guī)則的功能，支持流細(xì)粒度鑒別，支持MPLS QoS，全面保證MPLS VPN、VLL和PWE3的QoS。 6. IP FPM技術(shù)：可以直接對業(yè)務(wù)報文進(jìn)行測量，真實反映IP網(wǎng)絡(luò)的性能；在線監(jiān)控IP網(wǎng)絡(luò)承載業(yè)務(wù)的變化，準(zhǔn)確實時地反映出業(yè)務(wù)運(yùn)行情況，能夠快速精確地進(jìn)行故障定位。7. IPV6:支持IPv6靜態(tài)路由，支持BGP4/BGP4+、RIPng、OSPFv3、ISISv6等動態(tài)路由協(xié)議。 支持IPv6鄰居發(fā)現(xiàn)， PMTU發(fā)現(xiàn)，TCP6，ping IPv6，traceroute IPv6，socket IPv6，IPv6策略路由，支持Telnet、SSH等協(xié)議。 支持的IPv6組播協(xié)議包括：PIM-IPv6-SM和PIM-IPv6-SSM。 支持IPv6 VPN。 支持IPv4和IPv6雙協(xié)議棧。 8. 可靠性：提供軟件熱補(bǔ)丁技術(shù)，實現(xiàn)設(shè)備軟件完全平滑升級。支持單板及子卡熱插拔。為確?？焖俚箵Q，BFD發(fā)包間隔5ms。9. 配置：提供完整主機(jī)、軟件、雙主控、獨(dú)立交換網(wǎng)板和雙電源，提供8端口千兆電口和8端口千兆光口。4.4.2 學(xué)校出口路由器選型建議1. 硬件架構(gòu)：多核CPU和無阻塞交換架構(gòu)，整機(jī)擴(kuò)展插槽數(shù)8。2. 業(yè)務(wù)性能：整機(jī)包轉(zhuǎn)發(fā)能力6Mpps，交換容量80Gbps。3. 接口擴(kuò)展：廣域網(wǎng)接口需支持xDSL、E1/T1、CE1/CT1、同異步串口、ISDN、ATM、POS、CPOS等。 4. 3G：支持CDMA 2000 EV-DO Rev A制式，WCDMA制式，TD-SCDMA制式，3G鏈路獨(dú)立上行/作為備份鏈路。5. IPv4路由：路由策略，靜態(tài)路由，RIP，OSPF，IS-IS，BGP。6. VPN：具備L2TP，GRE ，IPSec ，SSL，MPLS VPN能力。7. QoS：支持基于硬件的QOS能力。MPLS QoS，優(yōu)先級映射，流量監(jiān)管(CAR)，流量整形，擁塞避免(基于IP優(yōu)先級/DSCP WRED)，擁塞管理。8. 安全與認(rèn)證：支持ACL、狀態(tài)防火墻、802.1x認(rèn)證、MAC地址認(rèn)證、Web認(rèn)證、AAA認(rèn)證、RADIUS認(rèn)證等。9. 配置：提供完整主機(jī)、軟件、主控和冗余電源，提供3個GE WAN口其中2個光電互斥口。4.5 IP地址規(guī)劃4.5.1 IP地址規(guī)劃原則IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計中的重要一環(huán)，市教體局必須對IP地址進(jìn)行統(tǒng)一規(guī)劃并得到實施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時要遵循以下原則:唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機(jī)采用相同的IP地址；簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表的款項；靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。IP地址分配既要考慮到擴(kuò)充，又要能做到連續(xù)；盡量分配連續(xù)的IP地址空間，并為將來的網(wǎng)絡(luò)擴(kuò)展預(yù)留一定的地址空間；在每個骨干網(wǎng)絡(luò)中，相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制。IP地址的分配必須采用VLSM技術(shù)，保證IP地址的利用率；采用CIDR技術(shù)，可減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大小。4.5.2 本期工程地址規(guī)劃目前，各個學(xué)校地址規(guī)劃相對較亂沒有經(jīng)過統(tǒng)一規(guī)劃，若繼續(xù)采用已有地址規(guī)劃難度較大，建議重新整體規(guī)劃地址段作為規(guī)劃地址段。全市做到統(tǒng)一出口，內(nèi)部采用私有地址段。所有網(wǎng)絡(luò)設(shè)備本身使用的IP地址（loopback地址、鏈路地址）應(yīng)該盡量連續(xù)，便于標(biāo)識和管理。為了便于管理和審計，全網(wǎng)采用靜態(tài)地址分配，每個學(xué)校分配一個VLAN，并且配置固定的最小網(wǎng)絡(luò)地址段，還要注意避免地址重疊，將網(wǎng)絡(luò)地址沖突控制在本學(xué)校內(nèi)。IP地址分配方案建議如下：項目地址段說明一、總段總段10.0.0.0/8172.16-31.0.0/16192.168.0-255.0/24內(nèi)網(wǎng)系統(tǒng)私有IP地址，采用RFC1918標(biāo)準(zhǔn)私有地址98.0.0.0/8IP共享地址和互聯(lián)地址，采用偽合法IP地址二、設(shè)備地址設(shè)備互聯(lián)98.0.xxx.nnn/30xxx：標(biāo)識設(shè)備互聯(lián)類型，可用范圍為059；xxx為0時，表示為核心互聯(lián)（P-P）；xxx為116時，表示為核心匯聚互聯(lián)（P-PE）；xxx為3045時，表示為匯聚接入互聯(lián)（PE-CE）。nnn：劃分互聯(lián)鏈路地址對。使用30位掩碼，一個地址對占用一個網(wǎng)段，可用范圍為1254（可用數(shù)為64對，128個）。同一互聯(lián)鏈路的一對地址中，上聯(lián)設(shè)備的接口地址nnn為奇數(shù)，下聯(lián)設(shè)備的接口地址nnn為偶數(shù)。設(shè)備管理98.0.xxx.nnn/24xxx：標(biāo)識MPLS網(wǎng)絡(luò)的核心和匯聚設(shè)備?？捎梅秶鸀?00251；xxx為200201時，表示為核心P設(shè)備，保留202209給未來可能增加的核心設(shè)備；xxx為210225時，表示并分別對應(yīng)匯聚PE設(shè)備，保留226251給未來可能增加的匯聚設(shè)備；nnn：標(biāo)識同一PE管理網(wǎng)段內(nèi)的不同設(shè)備?？捎梅秶鸀?254；在全交換的MPLS網(wǎng)絡(luò)中，PE設(shè)備的網(wǎng)管地址與下聯(lián)所有CE設(shè)備的網(wǎng)管地址處于同一VLAN（網(wǎng)段）中?；丨h(huán)地址LOOPBACK98.0.255.xxx/32xxx：標(biāo)識MPLS網(wǎng)絡(luò)的核心和匯聚設(shè)備?？捎梅秶鸀?254；Loopback接口地址僅用于保證網(wǎng)絡(luò)設(shè)備正常建立和維護(hù)BGP鄰居關(guān)系，所以只有P、PE設(shè)備需要配置，CE等設(shè)備不做配置；xxx為12時，表示為核心P設(shè)備，保留39給未來可能增加的核心設(shè)備；xxx為1025時，表示為匯聚PE設(shè)備，保留26254給未來可能增加的匯聚設(shè)備或某些有需要配置Loopback地址的CE設(shè)備；4.6 VLAN設(shè)計VLAN技術(shù)可以將交換機(jī)劃分成多個邏輯組（VLAN），每個VLAN具有單獨(dú)的MAC/ARP地址表，某一個VLAN內(nèi)的用戶是相互可訪問的，但一個VLAN的數(shù)據(jù)包在二層交換機(jī)上不會發(fā)送到另一個 VLAN，這樣，其他VLAN的用戶的網(wǎng)絡(luò)上收不到任何該VLAN的數(shù)據(jù)包，確保了該VLAN的信息不會 被其他VLAN的人所竊聽，從而實現(xiàn)了信息的保密。本次市教體局在接入交換機(jī)劃分二層VLAN實現(xiàn)不同學(xué)校隔離，在核心交換機(jī)上劃分三層VLAN實現(xiàn)不同VLAN之間互通和跨樓層VLAN同一學(xué)校同一VLAN互通，即把分布在不同樓層的信息點(diǎn)劃分到同一子網(wǎng)中,本次建議采用建議采用基于端口或協(xié)議的劃分VLAN的方法。基于端口的劃分思路如下：這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的交換端口來劃分的，它是將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的PVC（永久虛電路）端口分成若干個組，每個組構(gòu)成一個虛擬網(wǎng)，相當(dāng)于一個獨(dú)立的VLAN交換機(jī)。對于不同部門需要互訪時，可通過核心交換機(jī)轉(zhuǎn)發(fā)，并配合基于MAC地址的端口過濾。對某站點(diǎn)的訪問路徑上最靠近該站點(diǎn)的交換機(jī)相應(yīng)端口上，設(shè)定可通過的MAC地址集，這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點(diǎn)入侵的可能?；趨f(xié)議劃分VLAN的思路如下：VLAN按網(wǎng)絡(luò)層協(xié)議來劃分，可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來組成的VLAN，可使廣播域跨越多個VLAN交換機(jī)。而且，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動，但其VLAN成員身份仍然保留不變。這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要，這種方法不需要附加的幀標(biāo)簽來識別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。市教體局每個學(xué)校采用一個VLAN ID，考慮到各學(xué)校內(nèi)部部門劃分，以及某些需要訪問共同資源的部門，例如財務(wù)等，預(yù)留幾個VLAN ID。外網(wǎng)還有智能化系統(tǒng)（廣播、門禁、監(jiān)控、報警等）需要VLAN。各部門數(shù)據(jù)通過接 入交換機(jī)打VLAN tag，二層到匯聚交換機(jī)終結(jié)，通過三層MPLS VPN轉(zhuǎn)發(fā)；智能化系統(tǒng)數(shù)據(jù)從接入、到匯聚、到核心整網(wǎng)二層轉(zhuǎn)發(fā)。初步規(guī)劃如下：部門VLAN ID部門一10011004部門二10051008部門三10091012部門四10131016部門五10171020財務(wù)3001IT3002其他預(yù)留30033006廣播4001門禁4002監(jiān)控4003報警4004弱點(diǎn)預(yù)留400540064.7 QOS規(guī)劃市教體局是一個以IP為傳輸平臺的網(wǎng)絡(luò)，在這個網(wǎng)絡(luò)上，將承載市所有學(xué)校多種業(yè)務(wù)、多種應(yīng)用，這些業(yè)務(wù)對可靠性、時延、時延抖動等服務(wù)質(zhì)量有不同需求。為了保證關(guān)鍵業(yè)務(wù)的應(yīng)用，需要在網(wǎng)絡(luò)中實施QoS技術(shù)以保證關(guān)鍵業(yè)務(wù)在網(wǎng)絡(luò)上傳輸?shù)膸捄蜁r延。QoS策略業(yè)務(wù)劃分入下表：業(yè)務(wù)類型業(yè)務(wù)優(yōu)先級IPv4配置標(biāo)記QoS保證類型說明網(wǎng)絡(luò)管理業(yè)務(wù)7EF絕對保證對其流量進(jìn)行絕對保護(hù)，即在發(fā)生擁塞時仍然盡量保證其流量考務(wù)系統(tǒng)6學(xué)籍系統(tǒng)5OA業(yè)務(wù)5視頻系統(tǒng)4AF普通保證對一定范圍內(nèi)的流量進(jìn)行絕對保護(hù)，在網(wǎng)絡(luò)擁塞時，超出額定范圍的流量將被丟棄VPN業(yè)務(wù)1，2，3，4一般網(wǎng)絡(luò)應(yīng)用0BE無保證當(dāng)網(wǎng)絡(luò)擁塞時將被丟棄市教體局中將主要實現(xiàn)對不同數(shù)據(jù)流的分類和標(biāo)記，其他QoS技術(shù)將主要應(yīng)用于廣域網(wǎng)，采用如下方式：n 對于普通業(yè)務(wù)不限制接入的流量，對于業(yè)務(wù)也不進(jìn)行保證，采用盡力轉(zhuǎn)發(fā)策略。對于高優(yōu)先級業(yè)務(wù)接入限制流量（限制為2M或著4M之類，這個流量不宜過高），對于高優(yōu)先級業(yè)務(wù)確保轉(zhuǎn)發(fā)。n 在各功能區(qū)的接入層，可以根據(jù)不同Input端口、MAC地址、源/目的IP地址、IP協(xié)議或應(yīng)用端口號，對不同應(yīng)用數(shù)據(jù)流進(jìn)行分類，并采用DSCP對數(shù)據(jù)包進(jìn)行標(biāo)記。n 在連接廣域網(wǎng)的路由器上設(shè)置相應(yīng)的業(yè)務(wù)隊列（如：EF、AF4、AF3以及AF2隊列），采用CBQ（CBWFQ）、WRED等技術(shù)，控制打了不同優(yōu)先級標(biāo)記的數(shù)據(jù)流能占用的網(wǎng)絡(luò)帶寬及其被丟棄的次序。n 采用CBQ（CBWFQ）+LLQ的方式，根據(jù)已經(jīng)定義的DSCP標(biāo)記，對不同的數(shù)據(jù)流分配不同的帶寬。n 采用Tail Dropping或WRED機(jī)制，實現(xiàn)網(wǎng)絡(luò)擁塞時的數(shù)據(jù)包丟棄。QoS配置策略示意圖如下圖：第5章 計算存儲解決方案5.1 計算存儲平臺架構(gòu)設(shè)計傳統(tǒng)的數(shù)據(jù)中心計算資源表現(xiàn)為一臺臺獨(dú)立的物理服務(wù)器，基于傳統(tǒng)物理服務(wù)器的部署方式會導(dǎo)致計算資源利用率嚴(yán)重不足，增加了運(yùn)營與運(yùn)維的成本。引入云計算的的架構(gòu)以后，數(shù)據(jù)中心的計算資源被統(tǒng)一管理和分配，以資源池的形式展現(xiàn)，打破了傳統(tǒng)的IT架構(gòu)中各物理設(shè)備間的隔離，提升了計算資源的利用率，簡化了管理和運(yùn)維手段，降低了運(yùn)營成本。數(shù)據(jù)中心需要支持根據(jù)業(yè)務(wù)應(yīng)用的不同特點(diǎn)（大計算量應(yīng)用系統(tǒng)、高I/O訪問應(yīng)用系統(tǒng)、高并發(fā)訪問應(yīng)用系統(tǒng)以及對資源要求一般的應(yīng)用系統(tǒng)）采用合理的物理服務(wù)器（2路、4路X86服務(wù)器）或虛擬機(jī)，能根據(jù)業(yè)務(wù)應(yīng)用的特點(diǎn)對服務(wù)器進(jìn)行配置滿足應(yīng)用對計算的需要（CPU、內(nèi)存、網(wǎng)絡(luò)I/O、存儲I/O）。云計算平臺需要和IT管理平臺聯(lián)動實現(xiàn)對虛擬計算資源的自動部署和分配。根據(jù)數(shù)據(jù)中心解決方案的總體架構(gòu)以及網(wǎng)絡(luò)架構(gòu)設(shè)計中對功能區(qū)的劃分原則，將計算平臺總體架構(gòu)劃分為三個層面，分別對應(yīng)業(yè)務(wù)層、計算平臺層和存儲平臺層。業(yè)務(wù)層中，功能區(qū)域的劃分一般都是根據(jù)安全和管理需求進(jìn)行劃分，各個單位可能有所不同，數(shù)據(jù)中心中一般有DMZ區(qū)、運(yùn)行管理區(qū)、業(yè)務(wù)生產(chǎn)區(qū)、OA區(qū)、開發(fā)測試區(qū)等功能區(qū)域，實際劃分可以根據(jù)業(yè)務(wù)情況進(jìn)行調(diào)整，總的原則是在滿足安全的前提下盡量統(tǒng)一管理。計算平臺層主要考慮三層架構(gòu)部署，即表現(xiàn)層（WEB服務(wù)器群）、應(yīng)用層（應(yīng)用服務(wù)器群）和數(shù)據(jù)層（數(shù)據(jù)庫服務(wù)器群）；同時考慮物理和虛擬部署，即針對業(yè)務(wù)應(yīng)用的不同特點(diǎn)，在表現(xiàn)層和應(yīng)用層可以同時部署物理服務(wù)器和虛擬機(jī)服務(wù)器，在數(shù)據(jù)層一般高IO的數(shù)據(jù)庫需要部署物理服務(wù)器，普通的數(shù)據(jù)庫也可以部署在物理服務(wù)器中。存儲平臺層主要考慮SAN、NAS和備份三種架構(gòu)部署，其中SAN架構(gòu)的存儲還可以通過存儲虛擬化網(wǎng)關(guān)進(jìn)行虛擬化，形成不同品牌、 不同型號的存儲設(shè)備的虛擬化成統(tǒng)一的存儲資源池對外提供服務(wù)。本項目的架構(gòu)中SAN存儲采用FC SAN進(jìn)行連接，備份系統(tǒng)可以分為LAN BASE和LAN FREE兩種，LAN BASE采用IP網(wǎng)絡(luò)連接服務(wù)器，LAN FREE采用FC網(wǎng)絡(luò)連接服務(wù)器和存儲。計算存儲平臺架構(gòu)如下圖所示。5.2 虛擬化平臺解決方案5.2.1 虛擬化平臺結(jié)構(gòu)本項目采用虛擬化平臺對計算、存儲、網(wǎng)絡(luò)進(jìn)行虛擬化管理，虛擬化平臺操作系統(tǒng)由虛擬基礎(chǔ)設(shè)施套件和基礎(chǔ)服務(wù)套件組成。虛擬化平臺主要有虛擬化基礎(chǔ)引擎、虛擬化管理兩大部件組成。一套虛擬化平臺部署一對虛擬化管理主備節(jié)點(diǎn)，虛擬化管理通過自動發(fā)現(xiàn)功能發(fā)現(xiàn)其管轄下的物理設(shè)備資源（包括機(jī)框、服務(wù)器、刀片、存儲設(shè)備、交互機(jī)）以及他們的組網(wǎng)關(guān)系；提供虛擬資源與物理資源管理功能（統(tǒng)一拓?fù)?、統(tǒng)一告警、統(tǒng)一監(jiān)控、容量管理、用量計費(fèi)、性能報表、關(guān)聯(lián)分析，生命周期），并且對外提供統(tǒng)一的管理Portal。虛擬化管理還包括統(tǒng)一硬件管理UHM組件，UHM提供對硬件自動發(fā)現(xiàn)，硬件自動配置、統(tǒng)一監(jiān)控（帶內(nèi)和帶外）、硬件統(tǒng)一告警、硬件拓?fù)洹悩?gòu)硬件支持。虛擬化管理可以管理多個物理集群，每個物理集群由一對主備VRM管理。虛擬化引擎提供基礎(chǔ)的虛擬化功能，提供服務(wù)器、存儲、網(wǎng)絡(luò)的虛擬化功能，并向上對虛擬化管理提供接口。每套虛擬化引擎主要由一對主備管理節(jié)點(diǎn)VRM組成。一對VRM管理一個物理集群。一個物理集群中可以把多臺服務(wù)器劃分成一個邏輯集群（又叫HA資源池），一個計算資源池有相同的調(diào)度策略，為了使用熱遷移相關(guān)的調(diào)度策略要求資源池主機(jī)CPU同制。計算資源池不包括網(wǎng)絡(luò)資源與存儲資源。一個物理集群中可以包含多個邏輯集群。虛擬化平臺支持服務(wù)器、存儲的平滑擴(kuò)容。服務(wù)器、存儲設(shè)備均可根據(jù)業(yè)務(wù)根據(jù)需求，在線平滑增加服務(wù)器、服務(wù)器虛擬集群，在線擴(kuò)展磁盤、磁盤框、控制框。5.2.2 虛擬化管理平臺虛擬化管理平臺聚焦于數(shù)據(jù)中心虛擬化資源管理、自動化運(yùn)維發(fā)放、并對企業(yè)IT管理提供開放的管理接口。虛擬化管理系統(tǒng)將整個數(shù)據(jù)中心云化，并對系統(tǒng)中用戶可見的資源抽取出來納入統(tǒng)一的資源池管理，為用戶提供一體化的資源管理，自動資源發(fā)放。為用戶提供了方便的獲取資源的途徑。用戶可以通過在服務(wù)目錄自動化的獲取資源并在資源上部署用戶需要的應(yīng)用。虛擬化管理平臺系統(tǒng)架構(gòu)如下圖：上圖是虛擬化管理虛擬化管理平臺的功能模塊。“虛擬化管理”可以采用的虛擬化管理軟件虛擬化引擎，也可以采用其他廠家的，如VMware的VCenter+Vsphere等。虛擬化管理軟件從軟件層面拉通統(tǒng)一各資源管理。虛擬化管理虛擬化管理平臺負(fù)責(zé)全系統(tǒng)硬件和軟件資源的操作維護(hù)管理，用戶業(yè)務(wù)的自動化運(yùn)維。主要模塊包括：5.2.2.1 統(tǒng)一資源管理虛擬化管理虛擬化管理平臺，通過對各種物理資源、虛擬化資源數(shù)據(jù)統(tǒng)一建模，將資源以用戶可見的資源池形式提供給上層應(yīng)用。統(tǒng)一資源管理可以屏蔽不同硬件和虛擬化的差異，資源的更換升級對用戶零感知。實現(xiàn)對所有硬件資源進(jìn)行統(tǒng)一管理，包括設(shè)備自動發(fā)現(xiàn)、自動配置和故障監(jiān)控等，實現(xiàn)資源快速發(fā)放，縮短業(yè)務(wù)上線時間。虛擬化管理平臺支持對資源分集群管理。集群的創(chuàng)建、刪除、擴(kuò)容、減容，對集群進(jìn)行性能監(jiān)控，配置集群的資源調(diào)度策略，調(diào)度策略可以設(shè)置為手動和自動，實現(xiàn)虛擬機(jī)根據(jù)系統(tǒng)負(fù)荷在不同服務(wù)器上遷移。虛擬化管理平臺支持對虛擬機(jī)生命周期管理：業(yè)務(wù)管理員通過應(yīng)用對虛擬機(jī)進(jìn)行創(chuàng)建、銷毀操作，對虛擬機(jī)的日常維護(hù)包括：啟動、重啟、遷移、關(guān)閉、修復(fù)、快照、虛擬機(jī)資源調(diào)整和監(jiān)控；虛擬化管理平臺支持虛擬化網(wǎng)絡(luò)管理：對子網(wǎng)、WLAN、端口組、分布式交換機(jī)進(jìn)行管理；虛擬化管理平臺支持虛擬化存儲管理：可以管理IPSAN、FusionStorage、FC SAN、NAS的存儲資源，向存儲資源池中增加、刪除數(shù)據(jù)存儲，對已經(jīng)存在的數(shù)據(jù)存儲可以進(jìn)行擴(kuò)容。5.2.2.2 自動運(yùn)維自動化運(yùn)維是虛擬化管理平臺提供的主要功能。管理員可以實現(xiàn)物理設(shè)備的自動發(fā)現(xiàn)，虛擬機(jī)、操作系統(tǒng)和應(yīng)用軟件自動化部署，提高管理平臺的部署效率。管理員通過配置不同的調(diào)度策略，同時實現(xiàn)智能調(diào)度管理，提升設(shè)備利用率和彈性伸縮。運(yùn)維管理系統(tǒng)集中維護(hù)系統(tǒng)的調(diào)度策略，保證資源的合理分配，實現(xiàn)資源最大化利用或?qū)崿F(xiàn)節(jié)能目標(biāo)等。根據(jù)應(yīng)用場景，可以分為三種策略類型：組內(nèi)自動伸縮策略、組間資源回收策略和時間計劃策略。l 組內(nèi)自動伸縮策略針對單獨(dú)的應(yīng)用而言，應(yīng)用根據(jù)應(yīng)用的當(dāng)前負(fù)載動態(tài)的調(diào)整應(yīng)用實際使用的資源，當(dāng)一個應(yīng)用資源負(fù)載較高時，自動啟動虛擬機(jī)或添加虛擬機(jī)并安裝應(yīng)用軟件；當(dāng)應(yīng)用的資源負(fù)載很低時，自動關(guān)閉或刪除虛擬機(jī)，釋放相應(yīng)的資源。l 組間資源回收策略當(dāng)系統(tǒng)資源不足的情況下，系統(tǒng)可以根據(jù)組間設(shè)置的資源復(fù)用策略， 優(yōu)先使優(yōu)先級高的應(yīng)用使用資源，使優(yōu)先級低的應(yīng)用釋放資源，以供優(yōu)先級高的應(yīng)用使用。l 時間計劃策略時間計劃策略允許用戶對于不同的應(yīng)用實現(xiàn)資源的分時復(fù)用。用戶可以設(shè)置計劃策略，使得不同的應(yīng)用分時段的使用系統(tǒng)資源，比如說白天讓辦公用戶的虛擬機(jī)使用系統(tǒng)資源，到了晚間可以讓一些公共的虛擬機(jī)占用資源。 智能負(fù)載調(diào)度根據(jù)就應(yīng)用系統(tǒng)的CPU、內(nèi)存負(fù)荷 的策略，實現(xiàn)輕載合并下電，實現(xiàn)節(jié)能降耗；重載分離上電，遷移VM到新物理機(jī)，保證用戶感受。5.2.2.3 權(quán)限管理運(yùn)維系統(tǒng)提供全系統(tǒng)基于角色的權(quán)限控制功能，包括用戶管理、角色管理、角色授權(quán)、登陸認(rèn)證、鑒權(quán)等功能，實現(xiàn)全系統(tǒng)的安全功能。運(yùn)維系統(tǒng)可以為不同的管理員進(jìn)行分權(quán)分域管理，分配不同管理范圍和業(yè)務(wù)訪問權(quán)限，方便管理員的業(yè)務(wù)分工。運(yùn)維管理可以接入外部AD等認(rèn)證服務(wù)。5.2.2.4 開放的接口虛擬化平臺對外屏蔽了各種資源的來源，對外提供開放API接口。外部系統(tǒng)可以獲取到虛擬化計算各種資源信息，比如集群信息，服務(wù)器資源，虛擬機(jī)信息，虛擬網(wǎng)絡(luò)信息，時/歷史告警數(shù)據(jù)，對象實時/歷史監(jiān)控數(shù)據(jù)，拓?fù)鋽?shù)據(jù)等。外部系統(tǒng)可以通過API對系統(tǒng)資源進(jìn)行操作維護(hù)。比如支持對虛擬機(jī)進(jìn)行啟動，停止，重啟，遷移操作，支持對服務(wù)器的上電，下電，重啟操作。5.2.2.5 監(jiān)控管理運(yùn)維管理系統(tǒng)監(jiān)控主要針對虛擬化平臺、計算集群、計算服務(wù)器、虛擬機(jī)、網(wǎng)絡(luò)、存儲等進(jìn)行監(jiān)控。支持多維度分類監(jiān)控，方便用戶管理使用。主要有對于計算集群/服務(wù)器/虛擬機(jī)的CPU占有率、內(nèi)存占有率、網(wǎng)絡(luò)流入流出、磁盤IO、告警；物理機(jī)的電源、風(fēng)扇；交換機(jī)的流量；存儲設(shè)備總?cè)萘?，可用容量，剩余流量，掛載數(shù)據(jù)、告警統(tǒng)計進(jìn)行監(jiān)控。5.2.2.6 告警管理告警管理在物理資源與虛擬資源出現(xiàn)故障時，及時通知管理員。系統(tǒng)設(shè)計時，考慮到部件故障時的系統(tǒng)自動處理，確保故障不影響系統(tǒng)正常運(yùn)行和業(yè)務(wù)正常使用，降低了故障危害。系統(tǒng)支持對物理設(shè)備、虛擬化設(shè)備和虛擬機(jī)的故障檢測，如服務(wù)器的RAID、配件檢測、交換機(jī)、存儲設(shè)備的檢測。虛擬機(jī)HA、虛擬機(jī)快照、虛擬機(jī)遷移、存儲遷移的故障檢測。故障檢測后進(jìn)行分級上報，分為緊急、重要、次要和提示四種告警級別，標(biāo)識不同嚴(yán)重程度的告警。告警的聲光顯示：虛擬化管理可通過不同的聲音、顏色標(biāo)識不同級別的告警，呈現(xiàn)給維護(hù)人員。管理員可管理Email和短信通知告警功能：告警產(chǎn)生和恢復(fù)時，系統(tǒng)會自動給運(yùn)維人員發(fā)Email和短信，及時告知。通過訂閱重要的告警，實現(xiàn)在無人值守的環(huán)境下，仍能實時掌握全網(wǎng)節(jié)點(diǎn)的運(yùn)行狀態(tài)。5.2.2.7 拓?fù)涔芾硗負(fù)涔芾硖峁┮粋€可視化界面，呈現(xiàn)全系統(tǒng)的所有資源信息，無需管理員手動干預(yù)。通過拓?fù)湟晥D可以查看物理硬件資源視圖，應(yīng)用部署以及虛擬機(jī)資源視圖。獲取硬件資源（計算硬件、存儲硬件、網(wǎng)絡(luò)硬件）、應(yīng)用部署情況（例如，數(shù)據(jù)庫服務(wù)器部署在哪臺虛擬機(jī)上，虛擬機(jī)位于哪臺主機(jī)上）、虛擬機(jī)屬性。拓?fù)涔?jié)點(diǎn)會和告警中心關(guān)聯(lián)，即使呈現(xiàn)對象當(dāng)前的監(jiān)控狀態(tài)。拓?fù)涔芾沓尸F(xiàn)選中的集群資源占用和監(jiān)控狀態(tài)。5.2.2.8 日志管理虛擬化管理平臺的日志管理記錄管理員的操作日志、系統(tǒng)的運(yùn)行日志、業(yè)務(wù)和系統(tǒng)異常故障的黑匣子日志，日志不允許刪除，便于后續(xù)審計。5.2.2.9 客戶二次開發(fā)提供虛擬化管理的SDK， SDK支持多語言且提供靈活的API接口，客戶可以通過SDK，便捷的進(jìn)行二次開發(fā)，從而實現(xiàn)對虛擬化資源的靈活管理。5.2.3 VDC服務(wù)本次虛擬化計算平臺建設(shè)需要為市教育信息化建設(shè)提供IT環(huán)境，同時也需要為四區(qū)教體局和市直屬學(xué)校教育信息化建設(shè)提供IT環(huán)境，因此需要為每個教體局或者學(xué)校提供一個安全可靠運(yùn)行環(huán)境，并且之間需要提供安全隔離。虛擬數(shù)據(jù)中心技術(shù)向最終用戶提供一個虛擬的所見即所得的數(shù)據(jù)中心，其特點(diǎn)表現(xiàn)在： 網(wǎng)絡(luò)設(shè)備的自動化。虛擬數(shù)據(jù)中心技術(shù)將防火墻，負(fù)載均衡器，二層網(wǎng)絡(luò)，三層網(wǎng)關(guān)，DHCP，VPN這些設(shè)備進(jìn)行虛擬化，向最終用戶提供相應(yīng)的操作。用戶像真正操作物理網(wǎng)絡(luò)設(shè)備一樣操作虛擬機(jī)的網(wǎng)絡(luò)設(shè)置，但是這些操作已經(jīng)進(jìn)行簡化，用戶的操作搭積木一樣搭建自己的網(wǎng)絡(luò)。 不同虛擬數(shù)據(jù)中心之間隔離。虛擬數(shù)據(jù)中心技術(shù)可以給不同的部門分配不同的計算，存儲，內(nèi)存和網(wǎng)絡(luò)等資源。不同的部門間是互相隔離的。這樣IT人員面對的是和多個獨(dú)立的簡單系統(tǒng)，而不是共用同一套的多個系統(tǒng)。 資源分配可追溯。所有分配出去的虛擬資源，以及VLAN，IP地址這些資源，都會被追蹤記錄下來，以便于管理及追溯。 自服務(wù)。虛擬數(shù)據(jù)中心技術(shù)使復(fù)雜的IT變回簡潔的小規(guī)模IT系統(tǒng)。結(jié)合自服務(wù)門戶，以及簡單的培訓(xùn)，虛擬數(shù)據(jù)中心都可以交給各個部門維護(hù)。5.3 物理服務(wù)器部署方案由于業(yè)務(wù)的多樣性和復(fù)雜性，并不是所有的業(yè)務(wù)都可以直接部署在虛擬化平臺上的，所以需要對相關(guān)性的業(yè)務(wù)進(jìn)行分析，了解業(yè)務(wù)的特點(diǎn)和對資源的需求方式，下面將描述哪些業(yè)務(wù)不適合虛擬化部署以及具體的物理部署場景。1、 應(yīng)用和業(yè)務(wù)方面l 業(yè)務(wù)對實時性要求非常高的系統(tǒng)，暫緩云化；因為云計算大量采用虛擬化技術(shù)，實時系統(tǒng)遷移至云計算平臺后系統(tǒng)實時性是否會降低還是未知數(shù)，建議待行業(yè)有明確結(jié)論后，再考慮實時系統(tǒng)遷移至云平臺；l 應(yīng)用廠商對應(yīng)用平臺虛擬化的技術(shù)支撐有限，慎重考慮；如應(yīng)用廠商明確表示不支持虛擬化，建議慎重考慮此類系統(tǒng)遷移至云計算平臺；l 視頻、語音類實時性要求特別高的系統(tǒng)，包括視頻會議、IP電話，暫緩云化；l 實時處理應(yīng)用：如短信、彩信系統(tǒng)，短信、彩信網(wǎng)關(guān)等，暫緩云化；l 圖形圖像系統(tǒng)，暫緩云化 。2、系統(tǒng)方面l 非X86平臺系統(tǒng)，如小型機(jī)，暫緩云化；l 依賴特殊的外設(shè)(加密狗，EVDO卡，特殊的語音板卡、加密卡等PCI卡)或?qū)Ｓ迷O(shè)備(排隊機(jī)、LNS設(shè)備、工控機(jī))的系統(tǒng)，暫緩云化；l 高實時，高交