面向業(yè)務的新一代安全可控校園網(wǎng)智慧校園解決方案

PAGE第5頁,共88頁面對業(yè)務的新一代平安可控校園網(wǎng)穆棱一中數(shù)字化校園規(guī)劃方案

目錄HYPERLINK第一章需求分析 5HYPERLINK1.1建設背景 5HYPERLINK1.2項目總體需求 5HYPERLINK1.3建設目標 7HYPERLINK第二章網(wǎng)絡平臺總體設計 8HYPERLINK2.1廠商介紹 8HYPERLINK2.2網(wǎng)絡平臺整體設計思路 9HYPERLINK2.3規(guī)劃原則 92.4架構(gòu)概要規(guī)劃 102.5網(wǎng)絡方案總體設計 11HYPERLINK2.5.1數(shù)字化校園應用系統(tǒng)分析 11HYPERLINK2.5.2整體方案設計思想 11HYPERLINK2.6核心層網(wǎng)絡結(jié)構(gòu)設計 22HYPERLINK2.6.1規(guī)劃設計 22HYPERLINK2.7園區(qū)網(wǎng)絡規(guī)劃 23HYPERLINK2.7.1高可用園區(qū)規(guī)劃 23HYPERLINK第三章抵御對多業(yè)務運營的威逼 24HYPERLINK3.1全局平安防守體系規(guī)劃 24HYPERLINK3.2校園外網(wǎng)出口防守 25HYPERLINK3.3數(shù)據(jù)中心的平安防守 27HYPERLINK第四章數(shù)據(jù)中心規(guī)劃 28HYPERLINK4.1核心層設計 28HYPERLINK4.2接入層設計 30HYPERLINK4.3模塊化多業(yè)務部署 30HYPERLINK第五章網(wǎng)絡出口部署解決方案 33HYPERLINK5.1網(wǎng)絡出口部署方案 33HYPERLINK5.2校園網(wǎng)應用把握網(wǎng)關方案 35HYPERLINK5.3核心/出口用戶行為管控 36HYPERLINK5.4基于時間段的用戶帶寬安排方案 37HYPERLINK第六章無線校園解決方案 38HYPERLINK6.1技術(shù)需求 38HYPERLINK6.2不同場景掩蓋方案 39HYPERLINK6.2.1. 宿舍區(qū)部署AP方案 40HYPERLINK6.2.2. 小型辦公室面板AP入室安裝部署 41HYPERLINK6.2.3. 禮堂等高密接入?yún)^(qū)AP部署方案 42HYPERLINK第七章云校園建設方案 43HYPERLINK7.1穆棱縣一中云計算數(shù)據(jù)中心建設需求 43HYPERLINK7.2虛擬化平臺設計方案 44HYPERLINK7.2.1. 平臺總體設計 44HYPERLINK7.2.2. 資源池分類設計 45HYPERLINK7.2.3. 主機池設計 47HYPERLINK7.2.4. HA集群設計 48HYPERLINK7.2.5. 主機設計 51HYPERLINK7.2.6. 虛擬機生命周期管理 51HYPERLINK7.2.7. DRS動態(tài)資源調(diào)度 55HYPERLINK7.2.8. 虛擬機資源限額 57HYPERLINK7.3計算資源基礎架構(gòu)方案 59HYPERLINK7.3.1. 計算資源建設需求 59HYPERLINK7.3.2. 基于統(tǒng)一基礎架構(gòu)的計算方案設計思路 62HYPERLINK7.3.3. 基于統(tǒng)一基礎架構(gòu)的刀片計算方案 63HYPERLINK7.3.4. 服務器整合 64HYPERLINK7.3.5. 網(wǎng)絡資源整合 66HYPERLINK7.3.6. 融合虛擬化管理平臺 70HYPERLINK7.4智慧云平臺實現(xiàn)效果 70HYPERLINK7.5云學堂解決方案 73HYPERLINK7.5.1. 產(chǎn)品背景 73HYPERLINK7.5.2. 建設目標 73HYPERLINK7.5.3. 設計思路 74HYPERLINK7.5.4. 方案優(yōu)勢 74HYPERLINK7.5.5. 管理端介紹 75HYPERLINK7.5.6. 老師端介紹 76HYPERLINK7.5.7. 學生端介紹 77HYPERLINK7.5.8. 多媒體教學軟件介紹 78HYPERLINK7.5.9. 方案詳述 78HYPERLINK7.5.10. 云主機設計 79HYPERLINK7.5.11. 網(wǎng)絡拓撲設計 79HYPERLINK7.5.12. 桌面?zhèn)鬏攨f(xié)議設計 80HYPERLINK7.5.13. 平安設計 80HYPERLINK7.5.14. 云終端設計 81HYPERLINK7.5.15. 模板管理設計 81HYPERLINK7.5.16. 云學堂方案特點和優(yōu)勢 81HYPERLINK第八章H3C售后保障體系 82HYPERLINK8.1兩小時廠家上門服務 82HYPERLINK8.2服務組織結(jié)構(gòu) 83HYPERLINK8.3服務準時性保障 84HYPERLINK8.4服務有效性保障 85HYPERLINK第九章H3C案例集 86杭州華三通信技術(shù)有限公司第88頁,共88頁第一章需求分析建設背景穆棱市第一中學是一所全日制公辦獨立平凡高中。學校位于穆棱市八面通鎮(zhèn)北部靠河委。始建于1949年，原名松江省立第十初級中學。1956年更名為穆棱縣中學，1984年由完全中學進展為市級重點獨立高中。1995年設立縣級市后定名為:穆棱市第一中學。學校占地面積3.7萬平方米，校園建筑1.96萬平方米，包括南北教學樓、綜合試驗樓、學生公寓、體育館、食堂等建筑。學校在職職工150人，其中特級老師1名、高級老師35名、中級老師44人。在校學生2000人，36個教學班級。作為穆棱縣重點中學，學校新校區(qū)的建設要緊跟“十三五”教育信息化建設的腳步，隨著智慧校園、MOOC及電子書包的普及數(shù)字化校園基礎承載網(wǎng)的建設要從穩(wěn)定性、牢靠性及前瞻性考慮。校園網(wǎng)作為基礎網(wǎng)絡，在學校信息化中起到關鍵的承載作用。當前，以數(shù)字化校園為特征的教育信息化進展更為飛快，各種信息化應用正轉(zhuǎn)變著老師和學生們的工作、學習、生活以及思維方式，引發(fā)了教育行業(yè)一場新的革命。學?；镜慕虒W教務管理、科研管理、后勤管理、數(shù)字圖書館、視頻服務系統(tǒng)、辦公自動化系統(tǒng)和校園社區(qū)服務等應用系統(tǒng)的建設有了初步的規(guī)模，“一卡通”、“平安校園”“校園數(shù)據(jù)中心”等業(yè)務在許多學校也開始應用。在校師生的認識水平和技術(shù)水平上了一個臺階，對于信息化工具的使用已變成為一種自覺和自愿的行為，為數(shù)字化校園的進一步進展打下堅實的基礎。穆棱縣一中校園網(wǎng)不僅僅是建設一個信息交互平臺的，而且建成后要成為承載教學、科研、管理、消遣等全方位應用的綜合性平安網(wǎng)絡平臺。數(shù)字化校園的價值在于服務教學與科研，穆棱縣一中信息化進展的現(xiàn)狀和趨勢，明顯趨于在網(wǎng)絡平臺上承載、集成多種業(yè)務。而且業(yè)界信息化技術(shù)的不斷進展，這就要求穆棱縣一中數(shù)字化校園平臺應具備彈性、適應性，以動態(tài)適應多業(yè)務的不斷進展，能將這些業(yè)務有機的整合起來，并且充分保障各種業(yè)務的服務質(zhì)量。同時這種多業(yè)務的整合應當至少面對將來五年內(nèi)業(yè)務進展的適應能力。項目總體需求一、校園網(wǎng)整網(wǎng)平安、牢靠、高性能穩(wěn)定運行需求1）平安性：應重點考慮傳輸數(shù)據(jù)的平安性、同時保證內(nèi)部網(wǎng)絡平安，阻斷各種網(wǎng)絡攻擊、保護內(nèi)網(wǎng)服務資源及終端用戶平安。2）牢靠性：網(wǎng)絡系統(tǒng)的穩(wěn)定牢靠是應用系統(tǒng)正常運行的關鍵保證，在網(wǎng)絡設計中選用高牢靠性網(wǎng)絡產(chǎn)品，合理設計網(wǎng)絡架構(gòu)，制訂牢靠的網(wǎng)絡備份策略，保證網(wǎng)絡具有故障自愈的能力，最大限度地支持各業(yè)務系統(tǒng)的正常運行。3）高性能：骨干網(wǎng)絡性能是整個網(wǎng)絡良好運行的基礎，設計中必需保障網(wǎng)絡及設備的高吞吐能力，保證各種信息（數(shù)據(jù)、語音、圖象）的高質(zhì)量傳輸，才能使網(wǎng)絡不成為業(yè)務開展的瓶頸。同時供應先進的QOS機制保證各項業(yè)務的傳輸帶寬。4）多業(yè)務：隨著校園網(wǎng)的信息化的進展，越來越多的教學方式依托于網(wǎng)絡給學生供應多種的特色教學模式。因此將來的校園網(wǎng)絡要承載多業(yè)務的平臺，及要滿意日常訪問校園網(wǎng)絡的多媒體資源同時也要實現(xiàn)訪問多業(yè)務的互聯(lián)網(wǎng)絡，所以新建網(wǎng)絡要具有多業(yè)務處理的能力。多媒體教學為了更好的為學生供應全方面的教學資料，越來越的多學校在自己的內(nèi)部局域網(wǎng)上面為學生供應多種教學資料，如：多媒體教學課件、典型的考試資料等等供應應學生上網(wǎng)下載使用。VOD點播業(yè)務實現(xiàn)，通過建立VOD視頻服務器平臺，利用交換機供應的組播功能，為用戶供應優(yōu)質(zhì)的視頻效果，同時節(jié)省用戶帶寬。二、無線校園網(wǎng)隨著科技的進展，智能終端的大量普及，越來越多的學生以及老師已經(jīng)擁有大量的智能終端設備如：IPAD、智能手機、筆記本電腦等等，而目前高速進展的電子書包及移動APP也大大轉(zhuǎn)變了我們的生活，所以無線網(wǎng)絡建設也隨之成為了每一個學校關注的熱點，為了滿意校園網(wǎng)內(nèi)辦公上網(wǎng)終端的多樣性，同時也為了順應學校信息網(wǎng)絡的進展需要。建設掩蓋全面、信號優(yōu)良，高速率的無線網(wǎng)絡是目前穆棱縣一中網(wǎng)絡建設的目標。三、數(shù)據(jù)中心需求1）100G平臺：遵循摩爾定律的增長，使得數(shù)據(jù)中心的業(yè)務處理能力持續(xù)增加。2）數(shù)據(jù)中心流量突發(fā)：大緩存，不丟包。3）統(tǒng)一交換架構(gòu)：一個交換平臺上有效支撐業(yè)務的前端訪問、服務器高速互聯(lián)、存儲訪問。四、網(wǎng)絡平安需求1）故障排除：要求做到一旦網(wǎng)絡消失異常，如無法訪問網(wǎng)絡，網(wǎng)絡訪問異常等，要能供應準時、有效的服務，在短的時間內(nèi)恢復網(wǎng)絡應用。2）即時查殺病毒、蠕蟲：要求做到網(wǎng)絡中消失病毒、蠕蟲，通過準時有效的技術(shù)支持，在最短的時間內(nèi)查處感染病毒的主機并即時查殺病毒，恢復網(wǎng)絡應用。3）應用程序限制及其帶寬管理：可以對各種P2P應用（迅雷、BitTorrent、電騾、電驢）、即時通信軟件（QQ、MSN）、網(wǎng)絡嬉戲、炒股、網(wǎng)絡視頻依據(jù)權(quán)限、時間、區(qū)域進行各種策略設定和管理。五、云校園建設傳統(tǒng)數(shù)據(jù)中心IT資源部署方式目前仍舊是依據(jù)每個應用進行物理的劃分，這種部署方式目前存在以下問題：? 資源利用率低由于應用與資源綁定，每個應用都需要依據(jù)其峰值業(yè)務量進行資源的配置，這導致在大部分時間許多資源都處于閑置狀態(tài)，不僅造成服務器的資源利用率較低，而且對資源的共享、數(shù)據(jù)的共享造成了自然?的障礙。? 運維成本高目前學校的許多應用是依據(jù)傳統(tǒng)的“一機一應用”的模式部署的，隨著學校新應用系統(tǒng)的增加，服務器、網(wǎng)絡和存儲的設備數(shù)量也會消失飛快的膨脹，造成占地空間、電力供應、散熱制冷和維護成本的急劇上升。與此同時，機房內(nèi)服務器的利用率普遍偏低，系統(tǒng)資源基本上處于10~20%的水平乃至更低，造成了極大的鋪張。鋪張嚴峻、新業(yè)務無法上線是目前存在主要問題。? 業(yè)務部署緩慢在學校將IT資源的采購和管理都集中規(guī)劃到網(wǎng)絡中心后，涉及到大量新業(yè)務的開展和上線。學校各個部門假如要部署新的業(yè)務，那么在提交變更請求與進行運營變更之間存在較大延遲，每一次的業(yè)務部署都要經(jīng)歷硬件選型、采購、上架安裝、操作系統(tǒng)和應用程序安裝以及網(wǎng)絡配置等操作，使得業(yè)務的部署極為緩慢。? 管理策略分散當前的IT資源運維管理缺乏統(tǒng)計的集中化IT構(gòu)建策略，無法對信息化校園網(wǎng)數(shù)據(jù)中心的基礎設施進行監(jiān)控、管理、報告和遠程訪問，IT管理策略分散。建設目標我們在進行系統(tǒng)設計中應遵循以下原則：1、可行性和適應性：系統(tǒng)要保證技術(shù)上的可行性和良好的性價比，并滿意今后技術(shù)進展和學校進展的需要，如支持萬兆、IPv6，供應無線接入等。2、有用性和經(jīng)濟性：系統(tǒng)建設應始終貫徹面對應用、注重實效的方針，堅持有用、經(jīng)濟的原則。3、先進性和成熟性：系統(tǒng)設計既要采用先進的設計和理念，又要留意結(jié)構(gòu)、設備、工具的相對成熟。采用成熟的主流技術(shù)，不但能反映當今的先進水平，而且具有進展?jié)摿?，并能順利地過度到下一代技術(shù)。4、開放性和標準性：為滿意系統(tǒng)所選用的技術(shù)和設備的協(xié)同運行能力、系統(tǒng)投資的長期效應及系統(tǒng)功能不斷擴展的需求，要求系統(tǒng)具有開放性和標準性。5、牢靠性和穩(wěn)定性：在考慮技術(shù)先進和開放性的同時，還應從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設備性能、系統(tǒng)管理、廠商技術(shù)支持及修理能力等方面著手，確保系統(tǒng)運行的牢靠性和穩(wěn)定性。6、平安性和保密性：在系統(tǒng)的設計中，既要考慮信息資源的充分共享，還要考慮信息的保護和隔離。第二章網(wǎng)絡平臺總體設計廠商介紹杭州華三通信技術(shù)有限公司（簡稱H3C），致力于IP技術(shù)與產(chǎn)品的研究、開發(fā)、生產(chǎn)、銷售及服務。2009年H3C銷售收入凈額11億美金（USGAAP），并在國內(nèi)31個省市和海外多個國家或地區(qū)設有分支機構(gòu)。目前公司有員工4800人，其中研發(fā)人員占55％。H3C每年將銷售額的15％以上用于研發(fā)投入，在中國的北京、杭州和深圳設有研發(fā)機構(gòu)，在北京和杭州設有牢靠性試驗室以及產(chǎn)品鑒定測試中心。截止2009年底，H3C已申請專利超過3000件，其中創(chuàng)造專利占85％，在中國通信企業(yè)中位居前三。H3C已參與中國通信標準化協(xié)會及IETF,SMTA,SPC,PCI-SIG,Wi-Fi,USB,SNIA,VCCI等國際標準組織。H3C自2006年提出IToIP戰(zhàn)略以來，始終聚焦IP領域持續(xù)創(chuàng)新進步，逐步形成掩蓋IP網(wǎng)絡、IP平安、IP存儲及IP多媒體的全面的產(chǎn)品線以及豐富的解決方案。目前H3C在中國的交換機和企業(yè)級路由器（高中低端）市場份額排名第一，運營商WLAN設備市場份額排名第一，EAD終端準入把握解決方案累計部署超過100萬終端，規(guī)模最大的應用系統(tǒng)超過12萬終端；IP監(jiān)控技術(shù)全球領先，成為中國平安城市第一品牌。2010年，云計算/下一代數(shù)據(jù)中心、物聯(lián)網(wǎng)、多媒體通信成為熱點；H3C憑借技術(shù)創(chuàng)新將IToIP推向了更深一步的融合階段，形成了以下一代數(shù)據(jù)中心、泛聯(lián)網(wǎng)和多媒體通信為核心的三大解決方案，并得到廣泛應用，占領了IT進展潮流的制高點。根植中國，H3C始終以“為客戶制造價值”作為公司進展的源動力，不斷細分客戶需求，面對行業(yè)、商業(yè)（中小企業(yè)）、運營商三大客戶類型分別供應量身定制的整體解決方案。服務于70%以上的中央部委、全部“211”高校和“985”高校、四大銀行、全球最繁忙的機場之一首都機場、自然環(huán)境最為惡劣的青藏鐵路、全球最大的餐飲集團百勝餐飲、亞洲最大的網(wǎng)上交易平臺淘寶網(wǎng)及電信、移動、聯(lián)通、廣電等運營商市場。在全球市場，H3C的產(chǎn)品和解決方案掩蓋近百個國家和地區(qū)，贏得包括瑞士電信、西班牙電信、英國沃達豐、巴西電信、法國國鐵、法國標致雪鐵龍集團、俄羅斯聯(lián)邦儲蓄銀行、澳大利亞昆士蘭政府、美國麻省理工學院、日本神戶大學、韓國三星電子在內(nèi)的眾多國際客戶。網(wǎng)絡平臺整體設計思路基于IP的網(wǎng)絡平臺：在局域網(wǎng)建設中，采用基于IP協(xié)議的技術(shù)方案，保證了系統(tǒng)機敏性和將來系統(tǒng)的擴展性；多業(yè)務平臺：網(wǎng)絡平臺除供應計費系統(tǒng)，數(shù)字傳輸能力之外，可以支持語音、視頻等多媒體業(yè)務傳輸能力；QoS服務保證：多業(yè)務網(wǎng)絡平臺對于網(wǎng)絡的QoS保證有很高的要求，因此在網(wǎng)絡設計上應采用先進的QoS策略和技術(shù)保證全網(wǎng)的QoS服務質(zhì)量；平安策略：采用平安技術(shù)手段保證網(wǎng)絡的平安牢靠。數(shù)據(jù)中心承載：考慮今后學校業(yè)務進展，建立高效、平安、集中、容災的數(shù)據(jù)中心網(wǎng)路平臺，滿意日后數(shù)據(jù)資源增加對網(wǎng)絡平臺性能的需求。統(tǒng)一的網(wǎng)絡管理：利用智能網(wǎng)絡管理中心，融合網(wǎng)絡、平安、無線、多媒體等業(yè)務的統(tǒng)一管理和運維，實現(xiàn)資源、業(yè)務、人的統(tǒng)一化、精簡化管理，適應將來網(wǎng)絡進展需求。規(guī)劃原則穆棱縣一中校園網(wǎng)規(guī)劃要實現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，供應高性能的、全面的QoS保障服務，使網(wǎng)絡平安牢靠，不但要實現(xiàn)教育管理、多媒體教學自動化，而且還要通過Internet實現(xiàn)遠程教學，供應可增值可管理的業(yè)務，同時必需具備高性能、高平安性、高牢靠性，可管理、可增值特性以及開放性、兼容性、可擴展性。穆棱縣一中網(wǎng)絡規(guī)劃遵循以下基本原則：1、一網(wǎng)共用，資源共享，實現(xiàn)多業(yè)務統(tǒng)一部署穆棱縣一中多業(yè)務平臺為校園信息化的各類數(shù)字化應用供應統(tǒng)一的網(wǎng)絡傳輸平臺?？紤]到校內(nèi)用戶數(shù)量和業(yè)務種類進展的不確定性，要求核心交換機與匯聚交換機需具有強大的擴展功能，整個網(wǎng)絡要完整統(tǒng)一、組網(wǎng)機敏，并成為易擴充的彈性網(wǎng)絡平臺，能夠隨著需求變化，充分留有擴容余地。2、統(tǒng)—規(guī)劃，分段實施穆棱縣一中校內(nèi)多業(yè)務平臺園區(qū)內(nèi)統(tǒng)一規(guī)劃、統(tǒng)一網(wǎng)絡體系結(jié)構(gòu)、統(tǒng)一通信協(xié)議標準。對于保障多業(yè)務支撐的整個支撐平臺，規(guī)劃為多個功能模塊，可依據(jù)需要分期分段實施。3、先進適用，便利擴展穆棱縣一中業(yè)務平臺規(guī)劃采用符合網(wǎng)絡技術(shù)進展方向和先進、成熟、適用的技術(shù)與設備，為多業(yè)務的進展留有足夠的可擴展空間，以滿意不斷增加的新的應用需求。4、可增值、可運營穆棱縣一中業(yè)務平臺的規(guī)劃、使用和維護需要投入大量的人力、物力，因此網(wǎng)絡的增值性是網(wǎng)絡持續(xù)進展基礎。所以在規(guī)劃時要充分考慮業(yè)務的擴展能力，能針對不同的用戶需求供應豐富的寬帶增值業(yè)務，使網(wǎng)絡具有自我造血機制，實現(xiàn)以網(wǎng)養(yǎng)網(wǎng)。5、開放與統(tǒng)一標準技術(shù)選擇必需符合相關國際標準及國內(nèi)標準，避開個別廠家的私有標準或內(nèi)部協(xié)議，確保網(wǎng)絡的開放性和互連互通，滿意信息準確、平安、牢靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護、測量和管理手段，供應網(wǎng)絡統(tǒng)一實時監(jiān)控的遙測、遙控的信息處理功能，實現(xiàn)網(wǎng)絡設備的統(tǒng)一管理。6、建用結(jié)合，注重實效穆棱縣一中業(yè)務平臺的規(guī)劃以建設促應用，通過計算機網(wǎng)絡的建設推動各種網(wǎng)絡應用工作的開展，真正發(fā)揮平臺的作用，用信息化推動穆棱縣一中數(shù)字信息現(xiàn)代化。架構(gòu)概要規(guī)劃穆棱縣一中多業(yè)務支撐平臺邏輯上以業(yè)務處理為核心，規(guī)劃為三個平面：業(yè)務流平面、平安防守層面和管控層面。 業(yè)務流平面為多業(yè)務支撐的承載基礎。業(yè)務接口為經(jīng)過分類的不同類型應用，通過基礎通訊平臺，依據(jù)不同層次、不同技術(shù)的服務保障措施，實現(xiàn)用戶與數(shù)據(jù)中心之間、用戶與用戶之間的應用交互。對于基礎平臺，經(jīng)過建設后，能夠?qū)I(yè)務的機敏性、可控性、牢靠性等起到?jīng)Q定性的作用。包括通過萬兆骨干平臺為園區(qū)網(wǎng)的數(shù)據(jù)供應高速數(shù)據(jù)交換，不存在平臺單點故障保障網(wǎng)絡可用性，遷移IPv6技術(shù)實現(xiàn)業(yè)務的機敏性，部署MPLSVPN實現(xiàn)業(yè)務可控性。通過在基礎平臺中實施WLAN功能，供應更豐富的接入手段與移動業(yè)務；實施IP視訊技術(shù)拓展，供應視頻會議及遠程示教的服務。實施IP監(jiān)控技術(shù)拓展，供應園區(qū)治安監(jiān)控服務。IP視頻技術(shù)和IP監(jiān)控技術(shù)的結(jié)合，可供應事件應急指揮服務。業(yè)務通過基礎平臺，可實施兩種端到端服務質(zhì)量保障措施，其一為從園區(qū)內(nèi)部接入通過DSCP技術(shù)進行業(yè)務區(qū)分處理，將COSMapping到園區(qū)骨干MPLS網(wǎng)的EXP值；其二為對關鍵業(yè)務在園區(qū)骨干上部署MPLSTE實現(xiàn)資源預留。而數(shù)據(jù)中心作為多業(yè)務部署的心臟，通過分區(qū)、分層設計，規(guī)劃其牢靠性、可管理性與可擴展性，實現(xiàn)面對業(yè)務的集中存儲、數(shù)據(jù)保護和多系統(tǒng)虛擬化，保障多業(yè)務系統(tǒng)與用戶之間的交互。平安防守平面規(guī)劃為層次化的滲透防守部署。面對外網(wǎng)出口層、園區(qū)核心層、園區(qū)匯聚層、數(shù)據(jù)中心、用戶行為把握等五個層面平安規(guī)劃設計。針對業(yè)務流的整個過程實現(xiàn)平安防護。管控平面針對業(yè)務流各個環(huán)節(jié)的相應環(huán)節(jié)，包括設備資源、用戶資源、業(yè)務流量、業(yè)務隔離、平安信息等進行整合管理，有效調(diào)整業(yè)務流的可用性和平滑性。通過多個環(huán)節(jié)之間的關聯(lián)管理，實現(xiàn)降低多業(yè)務支撐平臺運維的整體擁有成本。網(wǎng)絡方案總體設計數(shù)字化校園應用系統(tǒng)分析目前數(shù)字化學校在網(wǎng)絡上的應用子系統(tǒng)有：網(wǎng)絡公共服務系統(tǒng)（WEB、郵件、FTP）教務處教務管理系統(tǒng)學生學籍管理系統(tǒng)校園網(wǎng)OA系統(tǒng)多媒體教學系統(tǒng)校園網(wǎng)平凡視頻點播系統(tǒng)校園一卡通系統(tǒng)由于數(shù)字化校園的趨勢所推，網(wǎng)絡基礎建設是不可疏忽的重大工程，為以后學校的業(yè)務增長供應保障。整體方案設計思想通過針對穆棱縣一中具體的網(wǎng)絡平臺需求分析，結(jié)合我司多年承建校園網(wǎng)閱歷，建議學院依據(jù)自身實際情況，分階段、分步驟、分層次的進行網(wǎng)絡投入建設。穆棱縣一中網(wǎng)絡解決方案總體設計以高性能、高牢靠性、高平安性、良好的可擴展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及牢靠組播為原則，以及考慮到技術(shù)的先進性、成熟性，并采用模塊化的設計方法。組網(wǎng)圖如下所示：穆棱縣一中網(wǎng)絡規(guī)劃拓撲穆棱縣一中校園網(wǎng)改造采用H3C高性能高牢靠平臺搭建，核心交換機采用第五代架構(gòu)技術(shù)——CLOS架構(gòu)交換機，CLOS架構(gòu)即多級交換架構(gòu)，采用主控板與交換網(wǎng)板相互獨立設計，主控板負責表項把握，而交換網(wǎng)板負責數(shù)據(jù)轉(zhuǎn)發(fā)，數(shù)據(jù)到達主控板會依據(jù)表項規(guī)章自動切片，動態(tài)分布到各個交換網(wǎng)板上，實現(xiàn)無阻塞轉(zhuǎn)發(fā)；而將來隨著信息點不斷的增加，我們只需要對交換網(wǎng)板進行升級，即可對整個交換機的性能升級，不用更換設備整體，保障了用戶投資。我們在整個校園網(wǎng)核心處部署兩臺S10508-V通過IRF2虛擬化技術(shù)將兩臺物理設備虛擬成一臺邏輯設備，提高了整網(wǎng)的牢靠性，相比于傳統(tǒng)的VRRP的熱備方式，虛擬化技術(shù)將兩臺核心交換機更好的利用。我們在校園網(wǎng)核心交換機上部署了IPS業(yè)務模塊，因為校園網(wǎng)全部流量必需經(jīng)過校園網(wǎng)核心交換機，假如部署在出口網(wǎng)關，內(nèi)網(wǎng)數(shù)據(jù)則需要引流到出口網(wǎng)關，極大的占用了出口網(wǎng)關的CPU使用率，部署在核心交換機上既可以對內(nèi)網(wǎng)數(shù)據(jù)包進行檢測，又可以對外網(wǎng)數(shù)據(jù)包進行檢測。IPS業(yè)務模塊可以對校園內(nèi)網(wǎng)和外網(wǎng)的全部數(shù)據(jù)包進行拆包解析，通過IPS業(yè)務板卡自帶的特征庫匹配，假如和特征庫當中的病毒、木馬等相像報文，IPS業(yè)務板卡會提出告警，并提示是否阻斷該數(shù)據(jù)包，保證了整網(wǎng)的平安性。匯聚交換機采用萬兆雙上聯(lián)與核心交換機互聯(lián)，實現(xiàn)萬兆校園網(wǎng)，接入全部采用全千兆交換機，實現(xiàn)校園網(wǎng)千兆到桌面。校園網(wǎng)出口是最重要的部分，在出口處部署一臺多業(yè)務平安網(wǎng)關，通過部署高性能防火墻插卡作為整個校園出口的NAT網(wǎng)關，并能夠為整個校園網(wǎng)供應2-4層平安防護，我們還部署了負載均衡業(yè)務模塊，作為鏈路負載均衡，當校園網(wǎng)出口部署了多條鏈路，我們可以通過鏈路負載均衡實現(xiàn)對鏈路帶寬使用的合理化安排。在校園網(wǎng)搭建云計算平臺，解決學校服務器，存儲等硬件設備資源利用率低的問題，通過HA或DRS（動態(tài)業(yè)務遷移）等業(yè)務部署，提高整個校園網(wǎng)應用系統(tǒng)的健壯性及牢靠性。網(wǎng)絡基礎平臺建設H3C設計全新的基于純IP技術(shù)的網(wǎng)絡平臺來滿意學院校園網(wǎng)的需求變化。面對網(wǎng)絡資源的有效、高效利用，從網(wǎng)絡架構(gòu)方面供應優(yōu)化方案，使得校園核心網(wǎng)、接入網(wǎng)具有更高的牢靠性和可控性，同時使得網(wǎng)絡結(jié)構(gòu)與布局在結(jié)合實際業(yè)務分布的前提下更加合理。數(shù)字校園業(yè)務的進展必定離不開兩個方向，其一是IPv6，其二是移動性。這既是IP通信技術(shù)進展的方向，也是數(shù)字校園應用的進展方向。滿意這個進展，首要前提就是讓校園網(wǎng)絡平臺能夠具備相關技術(shù)支撐能力，即構(gòu)建IPv6校園網(wǎng)與無線校園網(wǎng)。不論是對校園網(wǎng)的優(yōu)化還是對校園網(wǎng)業(yè)務的橫向拓展，都是基于校園網(wǎng)是平安有序的。需要從縱向三個維度對全部影響校園平安的隱患、非法行為進行滲透防守與把握。網(wǎng)絡分層設計通常網(wǎng)絡整體設計中，采用層次化、模塊化的網(wǎng)絡設計結(jié)構(gòu)，并嚴格定義各層功能模型，不同層次關注不同的特性配置。典型組網(wǎng)結(jié)構(gòu)可以分成三層：接入層、匯聚層、核心層。1)接入層：供應網(wǎng)絡的第一級接入功能，完成簡潔的二、三層交換，平安、Qos和POE功能都位于這一層。當前的局域網(wǎng)接入層可供選擇的技術(shù)主要有100M和1000M以太網(wǎng)技術(shù)等。在局域網(wǎng)接入層，應能夠最大限度滿意IP業(yè)務的接入和承載，有利于節(jié)省網(wǎng)絡投資和提高資源利用率。2)匯聚層：匯聚來自配線間的流量和執(zhí)行策略，當路由協(xié)議應用于這一層時，具有負載均衡、快速收斂和易于擴展等特點，這一層還可作為接入設備的第一跳網(wǎng)關；匯聚層設備任務就是作為局部區(qū)域的邏輯中心，連接接入層交換機和核心層。其重要功能是負責匯聚分散的接入點，進行數(shù)據(jù)交換，供應流量制和用戶管理（用戶識別、授權(quán)、認證、計費）功能。3)核心層：網(wǎng)絡的骨干，必需能夠供應高速數(shù)據(jù)交換和路由快速收斂，要求具有較高的牢靠性、穩(wěn)定性和易擴展性等。網(wǎng)絡核心層高速運送流量，其設備的主要工作是交換數(shù)據(jù)包。核心層設備應當充分的支持并以峰值性能運行。核心層業(yè)務收斂程度高，核心設備節(jié)點相對較少，可通過設備實現(xiàn)大顆粒業(yè)務傳送。依據(jù)穆棱縣一中網(wǎng)絡建設規(guī)模需求及校園分布情況，為了更好的整合網(wǎng)絡資源平臺，削減網(wǎng)絡建設的投資成本，同時考慮到學院辦公業(yè)務分布的現(xiàn)狀，建議學院網(wǎng)絡平臺采用高速、無阻塞交換三層扁平組網(wǎng)模型。辦公樓三層簡化扁平網(wǎng)絡結(jié)構(gòu)實現(xiàn)核心、匯聚、接入三層的網(wǎng)絡架構(gòu)，使得網(wǎng)絡架構(gòu)更加合理，更加具有健壯性和可擴充性，同時易于配置和管理。全部設備都為機架式，可用多種不同端口類型的單板組合，使用機敏、可擴充性強，節(jié)省網(wǎng)絡投資。整網(wǎng)帶寬較高、穩(wěn)定牢靠、可滿意多種業(yè)務的無阻塞交換。核心和匯聚交換機采用高性能多業(yè)務三層路由交換機，接入層采用智能平安性較高交換機。骨干鏈路及接入鏈路設計通過對網(wǎng)絡架構(gòu)的分層，可以充分發(fā)揮網(wǎng)絡性能，滿意業(yè)務需求。網(wǎng)絡層次采用三層扁平化設計，建議核心交換機至匯聚層交換機采用萬兆光纖線路作為校園網(wǎng)骨干鏈路，接入交換機采用千兆線路作為局域網(wǎng)絡傳輸?shù)闹鞲陕?。而對于接入層交換機至終端PC，可依據(jù)選用的接入交換機類型來確定鏈路的選擇。牢靠性和自愈能力設計鏈路冗余：在主干連接上具備牢靠的線路冗余方式。采用負載均衡的冗余方式，即通常情況下兩條連接均供應數(shù)據(jù)傳輸，并互為備份。主線路可實時、自動的切換到備份線路,而不影響業(yè)務應用。這種高速的網(wǎng)絡自愈特性應可以保證不會引起IP路由的重新計算，不會引起業(yè)務的瞬間質(zhì)量惡化，更不會引起業(yè)務的中斷。模塊冗余：主干設備的全部模塊和環(huán)境部件具備1+1或1：N熱備份的功能，切換時間小于500毫秒。全部模塊具備熱插拔的功能。系統(tǒng)具備99.999%以上的可用性。設備冗余：供應由兩臺或兩臺以上設備組成一個虛擬設備的能力。當其中一個設備因故障停止工作時，另一臺設備自動接替其工作，并且不引起其他節(jié)點的路由表重新計算，從而提高網(wǎng)絡的穩(wěn)定性。以保證大部分IP應用不會消失超時錯誤。本方案兩臺核心交換機采用H3C獨有IRF2智能堆疊技術(shù)，實現(xiàn)核心設備虛擬化，增加了核心交換機處理能力，便利設備管理，增加鏈路的利用率。路由冗余：網(wǎng)絡的結(jié)構(gòu)設計應供應足夠的路由冗余功能，在上述冗余特性仍不能解決問題時，數(shù)據(jù)流應能查找其他路徑到達目的地址。擁塞把握與服務質(zhì)量保障設計擁塞把握和服務質(zhì)量保障(QoS)是政務信息網(wǎng)關注的重要品質(zhì)。由于接入方式、接入速率、應用方式、數(shù)據(jù)性質(zhì)的豐富多樣，網(wǎng)絡的數(shù)據(jù)流量突發(fā)是不可避開的，因此，網(wǎng)絡對擁塞的把握和對不同性質(zhì)數(shù)據(jù)流的不同處理是非常重要的。業(yè)務分類：網(wǎng)絡設備應支持6~8種業(yè)務分類(COS)。當用戶終端不供應業(yè)務分類信息時，網(wǎng)絡設備應依據(jù)用戶所在網(wǎng)段、應用類型、流量大小等自動對業(yè)務進行分類。接入速率把握：接入本網(wǎng)絡的業(yè)務應遵守其接入速率承諾。超過承諾速率的數(shù)據(jù)將被丟棄或標以最低的優(yōu)先級。隊列機制：具有先進的隊列機制進行擁塞把握，對不同等級的業(yè)務進行不同的處理，包括時延的不同和丟包率的不同。先期擁塞把握：當網(wǎng)絡消失真正的擁塞時，瞬間大量的丟包會引起大量TCP數(shù)據(jù)同時重發(fā)，加劇網(wǎng)絡擁塞的程度并引起網(wǎng)絡的不穩(wěn)定。網(wǎng)絡設備應具備先進的技術(shù)，在網(wǎng)路消失擁塞前就自動采取適當?shù)拇胧M行先期擁塞把握，避開瞬間大量的丟包現(xiàn)象。資源預留：對非常重要的特別應用，應可以采用保留帶寬資源的方式保證其QoS。網(wǎng)絡的擴展能力設計網(wǎng)絡的擴展能力包括設備交換容量的擴展能力、端口密度的擴展能力、主干帶寬的擴展，以及網(wǎng)絡規(guī)模的擴展能力。交換容量擴展:交換容量具備在現(xiàn)有基礎上連續(xù)擴充4~8倍容量的能力，以適應IP類業(yè)務急速膨脹的現(xiàn)實。端口密度擴展:設備的端口密度應能滿意網(wǎng)絡擴容時設備間互聯(lián)的需要。主干帶寬擴展、主干帶寬具備高帶寬擴展能力，以適應IP類業(yè)務急速膨脹的現(xiàn)實。網(wǎng)絡規(guī)模擴展:網(wǎng)絡體系、路由協(xié)議的規(guī)劃和設備的CPU/NP路由處理能力，在網(wǎng)絡節(jié)點數(shù)目上應能滿意3~5年的擴展要求。網(wǎng)絡管理與平安體系設計支持整個網(wǎng)絡系統(tǒng)各種網(wǎng)絡設備的統(tǒng)一網(wǎng)絡管理。支持故障管理、記帳管理、配置管理、性能管理和平安管理五大功能。支持系統(tǒng)級的管理，包括系統(tǒng)分析、系統(tǒng)規(guī)劃等；支持基于策略的管理，對策略的修改能夠立刻反應到全部相關設備中。網(wǎng)絡設備支持多級管理權(quán)限，支持RADIUS等認證機制。支持平安監(jiān)控和把握機制，當發(fā)覺存在平安漏洞和遭到攻擊時，應準時通知網(wǎng)絡管理人員，并應自動采取適當?shù)拇胧┯枰员Ｗo。支持平安防守設備、網(wǎng)絡基礎設備以及網(wǎng)管系統(tǒng)的平安聯(lián)動功能，以便準時對網(wǎng)絡威逼的實時處理。數(shù)據(jù)中心網(wǎng)絡平臺建設隨著高校信息化建設的深化，無論從信息化總體規(guī)劃的角度、信息系統(tǒng)建設的角度，還是從信息系統(tǒng)運行維護的角度，越來越多的高校認知到數(shù)據(jù)集中、IT基礎設施集中、運行服務集中的必要性，數(shù)據(jù)中心是數(shù)字校園的核心的理念也得到大部分高校的認同，各高校普遍建立的校園級別的數(shù)據(jù)中心。隨著校園數(shù)據(jù)中心建設的深化進行，校園應用系統(tǒng)數(shù)據(jù)集中密度越來越高，服務器存儲數(shù)量不斷增長，網(wǎng)絡架構(gòu)不斷擴展，空間布局、系統(tǒng)布線、電力能耗壓力不斷增加。作為數(shù)據(jù)中心業(yè)務承載的大動脈，基礎網(wǎng)絡架構(gòu)層面則直接面臨著持續(xù)的嚴格挑戰(zhàn)。網(wǎng)絡基礎技術(shù)的快速進展為數(shù)據(jù)中心變革供應了強大支撐動力，基礎網(wǎng)絡演進加快。隨著以太網(wǎng)技術(shù)的進一步進展，新的技術(shù)標準不斷推動基礎平臺架構(gòu)的變化與融合。萬兆交換系統(tǒng)的時延已經(jīng)降到微妙級別，而且當前已經(jīng)有技術(shù)使得以太網(wǎng)芯片在cut-through方式下達到200～300納秒級別，逼近Infiniband的低時延水平。對于計算型應用而言，采用以太網(wǎng)互聯(lián)的微妙級時延已經(jīng)能夠滿意大量的計算需求。近幾年高性能計算TOP500排名中超過50%的計算網(wǎng)絡互聯(lián)采用了千兆以太網(wǎng)。隨著萬兆、40G/100G技術(shù)的深化進展和終端萬兆接口技術(shù)成熟，以太網(wǎng)將成為服務器互聯(lián)計算承載的主流平臺。無丟包以太網(wǎng)技術(shù)標準族（802.3Qau、802.1Qbb、802.1Qaz、DataCenterBridgingExchangeProtocol）和相關技術(shù)即將發(fā)布，并在此基礎上進一步支持FCoE，使得以太交換網(wǎng)絡能夠承載FC存儲數(shù)據(jù)流。高校數(shù)據(jù)中心網(wǎng)絡進展趨勢是融合的統(tǒng)一交換架構(gòu)，在一個交換平臺上有效支撐業(yè)務的前端訪問、服務器高速互聯(lián)、存儲訪問。對于H3C高校數(shù)據(jù)中心方案而言，統(tǒng)一架構(gòu)的網(wǎng)絡平臺與業(yè)內(nèi)技術(shù)進展是同步的，遵循圖6所示的幾個階段。H3C統(tǒng)一交換架構(gòu)進展路線與其他解決方案供應商不同，H3C基于IP-SAN的萬兆成熟解決方案的廣泛應用，使得H3C高校數(shù)據(jù)中心統(tǒng)一交換架構(gòu)早于FCoE實現(xiàn)存儲的融合。數(shù)據(jù)中心是校園IT架構(gòu)的核心領域，不論是服務器部署、網(wǎng)絡架構(gòu)設計，都做到精細入微。因此，傳統(tǒng)上的數(shù)據(jù)中心網(wǎng)絡架構(gòu)由于多層結(jié)構(gòu)、平安區(qū)域、平安等級、策略部署、路由把握、VLAN劃分、二層環(huán)路、冗余設計等諸多因素，導致網(wǎng)絡結(jié)構(gòu)比較簡單，使得數(shù)據(jù)中心基礎網(wǎng)絡的運維管理難度較高。使用智能彈性架構(gòu)(intelligentresilientframework,IRF)虛擬化技術(shù)，用戶可以將多臺設備連接，“橫向整合”起來組成一個“聯(lián)合設備”，并將這些設備看作單一設備進行管理和使用。多個盒式設備整合類似于一臺機架式設備，多臺框式設備的整合相當于增加了槽位，虛擬化整合后的設備組成了一個邏輯單元，在網(wǎng)絡中表現(xiàn)為一個網(wǎng)元節(jié)點，管理簡潔化、配置簡潔化、可跨設備鏈路聚合，極大簡化網(wǎng)絡架構(gòu)，同時進一步增加冗余牢靠性。網(wǎng)絡虛擬交換技術(shù)為數(shù)據(jù)中心建設供應了一個新標準，定義了新一代網(wǎng)絡架構(gòu)，使得各種數(shù)據(jù)中心的基礎網(wǎng)絡都能夠使用這種機敏的架構(gòu)，能夠幫忙高校在構(gòu)建永續(xù)和高度可用的狀態(tài)化網(wǎng)絡的同時，優(yōu)化網(wǎng)絡資源的使用。網(wǎng)絡虛擬化技術(shù)將在數(shù)據(jù)中心端到端總體設計中發(fā)揮重要作用。數(shù)據(jù)中心簡捷統(tǒng)一架構(gòu)虛擬化端到端虛擬化數(shù)據(jù)中心網(wǎng)絡架構(gòu)傳統(tǒng)的L2/L3網(wǎng)絡設計相比，供應了多項顯著優(yōu)勢：1）運營管理簡化。數(shù)據(jù)中心全局網(wǎng)絡虛擬化能夠提高運營效率，虛擬化的每一層交換機組被邏輯化為單管理點，包括配置文件和單一網(wǎng)關IP地址，無需VRRP。2）整體無環(huán)設計?？缭O備的鏈路聚合創(chuàng)建了簡潔的無環(huán)路拓撲結(jié)構(gòu)，不再依靠生成樹協(xié)議（STP）。虛擬交換組內(nèi)部經(jīng)由多個萬兆互聯(lián)，在總體設計方面供應了機敏的部署能力。3）進一步提高牢靠性。虛擬化能夠優(yōu)化不間斷通信，在一個虛擬交換機成員發(fā)生故障時，不再需要進行L2/L3重收斂，能快速實現(xiàn)確定性虛擬交換機的恢復。端到端虛擬化架構(gòu)優(yōu)勢本方案建議穆棱縣一中建立數(shù)據(jù)中心網(wǎng)絡平臺，以滿意日后學院應用業(yè)務不斷進展所帶來的服務器資源增長及數(shù)據(jù)存儲集中化的需求。高校數(shù)據(jù)中心系統(tǒng)架構(gòu)的進展和密集的業(yè)務需求，要求校園數(shù)據(jù)中心交換網(wǎng)絡成為高性能、融合業(yè)務統(tǒng)一交換的基礎平臺。H3C數(shù)據(jù)中心級交換機作為H3C下一代數(shù)據(jù)中心核心平臺，將不斷熔煉新的技術(shù)與標準，供應持續(xù)的可兼容、可擴展能力，滿意校園信息化2.0時代數(shù)據(jù)中心的進展要求。利用數(shù)據(jù)中心交換平臺高性能、高擴展性、融合平安性（部署平安插卡）、統(tǒng)一管理性，并通過與校園網(wǎng)建立萬兆鏈路進行通信，從而可以保證學院今后數(shù)據(jù)訪問業(yè)務的速率，同時也可為學院重要的應用數(shù)據(jù)資源供應L2-7層數(shù)數(shù)據(jù)平安防護。網(wǎng)絡平安設計網(wǎng)絡攻擊來源主要來自網(wǎng)絡邊界和內(nèi)部終端用戶的網(wǎng)絡攻擊，具體威逼如下：來自不同平安域的訪問把握的風險：網(wǎng)絡結(jié)構(gòu)越來越簡單，接入網(wǎng)絡的用戶也越來越多，必需能夠在不同的網(wǎng)絡區(qū)域之間采取肯定的把握措施，有效把握不同的網(wǎng)絡區(qū)域之間的網(wǎng)絡通信，以此來把握網(wǎng)絡元素間的互訪能力，避開網(wǎng)絡濫用，同時實現(xiàn)平安風險的有效的隔離，把平安風險隔離在相對比較獨立以及比較小的網(wǎng)絡區(qū)域。網(wǎng)絡攻擊行為的檢測和防范的風險：基于網(wǎng)絡協(xié)議的缺陷，尤其是TCP/IP協(xié)議的開放特性，帶來了非常大的平安風險，常見的IP地址竊取、IP地址假冒，網(wǎng)絡端口掃描以及危害非常大的拒絕服務攻擊（DOS、DDOS）等，必需能夠供應對這些攻擊行為有效的檢測和防范能力的措施。網(wǎng)絡數(shù)據(jù)傳輸?shù)臋C密性和完整性的風險：網(wǎng)絡數(shù)據(jù)在傳輸?shù)倪^程中，很可能被通過各種方式竊取，因此保證數(shù)據(jù)在傳輸?shù)倪^程中機密性（保證數(shù)據(jù)傳遞的信息不被第三方獲得），完整性（保證數(shù)據(jù)在傳遞過程中不被人修改）是非常重要的，尤其是在傳遞的信息的價值不斷提高情況下。用戶主機遭受網(wǎng)絡病毒攻擊的風險：網(wǎng)絡給病毒的傳播供應了很好的路徑，網(wǎng)絡病毒傳播速度之快、危害之大是令人驚訝的，特別是最近開始流行的一些蠕蟲病毒，更是防不勝防，環(huán)境下必需建設全面的網(wǎng)絡防病毒系統(tǒng)，層層設防，逐層把關，堵住病毒傳播的各種可能途徑。針對用戶主機網(wǎng)絡攻擊的平安風險：目前Internet上有各種完善的網(wǎng)絡攻擊工具，在局域網(wǎng)的環(huán)境下，這種攻擊會更加有效，針對的目標會更加明確，據(jù)統(tǒng)計，有97％的攻擊是來自內(nèi)部的攻擊，而且內(nèi)部攻擊勝利的概率要遠遠高于來自于Internet的攻擊，造成的后果也嚴峻的多。用戶網(wǎng)絡訪問行為有效把握的風險：首先需要對用戶接入網(wǎng)絡的能力進行把握，同時需要更細粒度的訪問把握，尤其是對Internet資源的訪問把握，比如應當能夠把握內(nèi)部用戶訪問Internet的什么網(wǎng)站。在此基礎之上，必需能夠進行縝密的行為審計管理。操作系統(tǒng)和網(wǎng)絡服務平臺的平安風險：通過對各種流行的網(wǎng)絡攻擊行為的分析，可以發(fā)覺絕大多數(shù)的攻擊是利用各種操作系統(tǒng)和一些網(wǎng)絡服務平臺存在的一些已公開的平安漏洞發(fā)起，因此，杜絕各種操作系統(tǒng)和網(wǎng)絡服務平臺的已公開的平安漏洞，可以在很大程度上防范系統(tǒng)攻擊的發(fā)生。用戶身份認證及資源訪問權(quán)限的把握：由于網(wǎng)絡中的各個應用系統(tǒng)上有許多信息是供應應不同權(quán)限用戶查閱的，不同級別、不同部門、不同人員能夠訪問的資源都不一樣，因此需要嚴格區(qū)分用戶的身份，設置合理的訪問權(quán)限，保證信息可以在被有效把握下共享。依據(jù)對網(wǎng)絡主要平安隱患的分析及國家相應的平安規(guī)范。穆棱縣一中網(wǎng)絡平安策略和平安體系包含：訪問把握：通過對特定網(wǎng)段及服務建立的訪問把握體系，系統(tǒng)將絕大多數(shù)攻擊阻擋在到達攻擊目標之前；檢查平安漏洞：對平安漏洞進行周期性的檢查，使得絕大多數(shù)攻擊即使到達攻擊目標也無破壞；攻擊監(jiān)控：通過對特定網(wǎng)段及服務建立的攻擊監(jiān)控體系，系統(tǒng)可實時檢測出絕大多數(shù)攻擊，并采取相應的行為（如斷開網(wǎng)絡連接、記錄攻擊過程、跟蹤攻擊源等）；多層防守：攻擊者在突破第一道防線后，多層防守可以延緩或阻斷其到達攻擊目標；隱藏內(nèi)部信息：這樣可以使攻擊者不能了解系統(tǒng)內(nèi)的基本情況；建立終端防護：通過在辦公終端上部署平安防護措施，防止辦公終端遭受網(wǎng)絡或移動存儲設備帶有的病毒的攻擊。為確保穆棱縣一中網(wǎng)絡的平安性，應從全局考慮，不僅從技術(shù)上保證，而且要從管理上協(xié)同防范。既要保證學院里內(nèi)部網(wǎng)絡平安又要保證與外部網(wǎng)絡之間的平安，形成整體平安性的網(wǎng)絡體系結(jié)構(gòu)。統(tǒng)一網(wǎng)絡管理設計當前數(shù)字校園網(wǎng)絡還面臨許多挑戰(zhàn)，在解決了帶寬和掩蓋問題的同時，校園網(wǎng)絡需要進一步優(yōu)化，校園網(wǎng)管理需要更加智能和易用。隨著信息技術(shù)的進展，為提高辦公效率及改善教學環(huán)境，當前的學校越來越多地應用了信息技術(shù)，對于網(wǎng)絡的依靠性也越來越大，學生需要上網(wǎng)查閱資料、吸取新學問、接受網(wǎng)上教學，老師需要借此了解最新科研進展。校園網(wǎng)絡上通常承載著學校的辦公系統(tǒng)、教學系統(tǒng)及學生宿舍網(wǎng)絡系統(tǒng)，網(wǎng)絡假如發(fā)生問題，會對學校的正常運作產(chǎn)生嚴峻的影響。隨著網(wǎng)絡基礎架構(gòu)日趨簡單，傳統(tǒng)的設備命令行、簡潔的管理工具已經(jīng)不能夠滿意網(wǎng)絡管理的需求。業(yè)界的閱歷證明，選擇一個優(yōu)秀的網(wǎng)絡管理系統(tǒng)是保證網(wǎng)絡最大可用性的有效手段。H3C專注于IP產(chǎn)品與相關技術(shù)的研發(fā)、生產(chǎn)和銷售，具備完善的產(chǎn)品技術(shù)、客戶服務、渠道、認證培訓體系，為您供應客戶化、特性豐富、性價比高的網(wǎng)絡產(chǎn)品與解決方案。作為業(yè)界領先的網(wǎng)絡設備與解決方案供應商，H3C供應包括網(wǎng)絡管理、用戶管理、業(yè)務管理等全面的管理解決方案：H3C智能管理中心（H3CIntelligentManagementCenter，以下簡稱H3CiMC）。H3CiMC是H3CIToIP解決方案的統(tǒng)一管理中心，基于SOA架構(gòu)，采用機敏的組件化結(jié)構(gòu)，支持與HPOpenview、SNMPc等通用網(wǎng)管平臺的集成，支持集成各多廠家設備管理系統(tǒng)，與H3C的數(shù)據(jù)通信設備產(chǎn)品一起為用戶供應全網(wǎng)解決方案，幫忙客戶真正實現(xiàn)網(wǎng)絡的按需構(gòu)建。H3CiMC在IToIP解決方案中的位置H3CiMC作為IToIP解決方案核心管理系統(tǒng)，為用戶供應了機敏的組件化結(jié)構(gòu)，包括智能管理平臺、智能配置中心（iCC）、ACL管理、MPLSVPN管理、用戶接入管理、EAD解決方案、無線管理、EPON管理等業(yè)務組件，用戶可以依據(jù)自己的管理需要和網(wǎng)絡情況機敏選擇需要的組件，真正實現(xiàn)“按需建構(gòu)”。H3C智能管理中心解決方案架構(gòu)如下圖所示：H3CiMC解決方案架構(gòu)由上圖可以看出H3CiMC管理系統(tǒng)由智能管理平臺以及各個業(yè)務組件組成，管理平臺）供應網(wǎng)絡管理的一些基礎功能，比如故障管理、性能管理、資源和拓撲管理、用戶管理等，而業(yè)務組件供應了相應的業(yè)務管理功能；各個業(yè)務組件相對獨立，并可以無縫的集成在管理平臺中，使得整個系統(tǒng)具有很強的可擴展性。H3CiMC智能管理平臺實現(xiàn)網(wǎng)絡資源、用戶和業(yè)務的融合管理，供應基本的網(wǎng)絡資源管理、拓撲管理、故障管理、性能管理、用戶管理及系統(tǒng)平安管理，基于B/S架構(gòu)，可以與H3CiMC其他業(yè)務組件有效集成，形成多種解決方案。H3CiMC智能管理平臺不僅可以實現(xiàn)H3C全線數(shù)據(jù)通信產(chǎn)品的管理，也可通過標準mib實現(xiàn)對Cisco、等各主流廠商的數(shù)據(jù)通信設備管理。IToIP數(shù)字化校園解決方案的整體優(yōu)勢實現(xiàn)校園統(tǒng)一系統(tǒng)標準——利用統(tǒng)一信息標準、統(tǒng)一應用標準、統(tǒng)一集成標準，解決重建設輕標準、缺乏IT系統(tǒng)的標準化和集成整和的問題，解決異構(gòu)IT資源難以整合的問題。實現(xiàn)校園數(shù)字業(yè)務定制——建設統(tǒng)一數(shù)據(jù)中心、建立統(tǒng)一業(yè)務中心、構(gòu)見隨需而動的智能系統(tǒng)，解決數(shù)字化校園重網(wǎng)絡輕應用-路多車少的問題。實現(xiàn)統(tǒng)一校園IT資源管理——建設智能管理中心、整合IT資源統(tǒng)一管理，建立機敏完善的數(shù)據(jù)管理能力、建立完整網(wǎng)絡資源管理、建立統(tǒng)一媒體管理。實現(xiàn)統(tǒng)一信息平安管理——建立統(tǒng)一平安管理中心，完成網(wǎng)絡層、業(yè)務層、數(shù)據(jù)層、用戶層平安管理，解決重建設輕維護和缺乏整體平安部署方法的問題。 核心層網(wǎng)絡結(jié)構(gòu)設計對于校園網(wǎng)核心層，必需供應高性能、高牢靠的網(wǎng)絡結(jié)構(gòu)，推舉采用經(jīng)典的雙設備的冗余星型結(jié)構(gòu)，匯聚層交換機都是萬兆雙歸屬上行至核心層交換機，建成一個萬兆骨干的園區(qū)網(wǎng)。規(guī)劃設計考慮到匯聚層設備由多臺匯聚層交換機萬兆上行到核心層交換機上做線速數(shù)據(jù)交換，并且也有多條萬兆線路連接網(wǎng)絡出口和數(shù)據(jù)中心，如何保障幾十個萬兆線路在核心層設備上的線速轉(zhuǎn)發(fā)成為一個關鍵點，因此核心層網(wǎng)絡設備需要兩臺100G平臺的高性能超萬兆核心交換機組成。目前在核心設備上的跨設備鏈路聚合虛擬化技術(shù)，從對提升網(wǎng)絡整體效率的角度，起到了一種橫向整合的作用，即在不轉(zhuǎn)變網(wǎng)絡物理拓撲連接結(jié)構(gòu)條件下，將網(wǎng)絡同一層的多臺設備橫向整合，從邏輯上簡化了網(wǎng)絡架構(gòu)。由于整合后的虛擬化系統(tǒng)具備跨設備鏈路聚合功能，因此，不同網(wǎng)絡層之間的電纜互聯(lián)也可通過邏輯整合，多條鏈路被捆綁成一條聚合的邏輯鏈路，如下圖所示?？缭O備鏈路聚合功能對網(wǎng)絡的橫向虛擬化整合虛擬化技術(shù)構(gòu)成的網(wǎng)絡架構(gòu)與傳統(tǒng)的網(wǎng)絡設計相比，供應了多項顯著優(yōu)勢：1）運營管理簡化。全局網(wǎng)絡虛擬化能夠提高運營效率，虛擬化的每一層交換機組被邏輯化為單管理點，包括配置文件和單一網(wǎng)關IP地址，無需VRRP。2）整體無環(huán)設計?？缭O備的鏈路聚合創(chuàng)建了簡潔的無環(huán)路拓撲結(jié)構(gòu)，不再依靠生成樹協(xié)議（STP）。虛擬交換組內(nèi)部經(jīng)由多個萬兆互聯(lián)，在總體設計方面供應了機敏的部署能力。3）進一步提高牢靠性。虛擬化能夠優(yōu)化不間斷通信，在一個虛擬交換機成員鏈路故障時，不再需要進行L2/L3重收斂，能快速實現(xiàn)確定性虛擬交換機的恢復。核心層設備，承載校內(nèi)訪問Cernet流量，以及各校區(qū)內(nèi)部網(wǎng)絡之間的關鍵業(yè)務流量，通過核心交換機的精細業(yè)務和流量把握，確保關鍵流量的帶寬和服務質(zhì)量。依據(jù)承載的業(yè)務實時性要求，可以在通過虛擬化技術(shù)、BFD、FRR等技術(shù)保證電信級的故障恢復。園區(qū)網(wǎng)絡規(guī)劃高可用園區(qū)規(guī)劃 穆棱縣一中校園網(wǎng)絡作為實際業(yè)務的接入和承載體，必需具有高可用性。高可用性主要體現(xiàn)在以下幾個方面：保持網(wǎng)絡長時間的無故障運行；保證突發(fā)情況下的網(wǎng)絡可用性和可恢復性；惡劣環(huán)境條件下的網(wǎng)絡應用；抵制災難。消退單點故障網(wǎng)絡建設高可用性設計，需要全方位多角度的對網(wǎng)絡牢靠性給予充分保障。園區(qū)網(wǎng)絡高可用性可以通過設備自身的關鍵部件冗余、協(xié)議的不間斷轉(zhuǎn)發(fā)技術(shù)以及網(wǎng)絡拓撲的鏈路和設備冗余設計來綜合保證：設備的牢靠：雙主控、雙電源網(wǎng)絡的牢靠：關鍵設備雙歸屬、重要鏈路手工聚合、服務器采用雙網(wǎng)卡協(xié)議的牢靠：IRF2、防火墻HRP架構(gòu)的牢靠：重要設備冗余部署、流量路徑合理規(guī)劃應用的牢靠：服務器健康檢查 高性能帶寬規(guī)劃設計當前，隨著學校網(wǎng)絡應用種類的不斷增加，特別是實時在線視頻應用、大規(guī)模組播應用和P2P應用的迅猛增長。為了滿意今后五年內(nèi)的學校網(wǎng)絡應用對帶寬的需求，本次穆棱縣一中校園網(wǎng)的帶寬設計骨干網(wǎng)都是萬兆設計，例如：核心層交換機和匯聚層交換機之間，核心層交換機和數(shù)據(jù)中心的服務器匯聚交換機，核心層交換機和出口路由器之間；千兆鏈路的設計是：匯聚層交換機和接入層交換機之間，數(shù)據(jù)中心中服務器和服務器匯聚交換機連接都是千兆線路；百兆鏈路用以實現(xiàn)百兆到桌面。 因此對于校園園區(qū)核心層設備，應當在供應大容量、高性能L2/L3交換服務基礎上，能夠進一步融合了硬件IPv6、網(wǎng)絡平安、網(wǎng)絡業(yè)務分析等智能特性，可為校園園區(qū)構(gòu)建融合業(yè)務的基礎網(wǎng)絡平臺，進而幫忙用戶實現(xiàn)IT資源整合的需求。第三章抵御對多業(yè)務運營的威逼隨著計算機技術(shù)的不斷進展，病毒和網(wǎng)絡攻擊已經(jīng)成為現(xiàn)在網(wǎng)絡管理人員最頭疼的問題。目前的網(wǎng)絡平安威逼主要表現(xiàn)為如下三種形式：計算機系統(tǒng)病毒：ARP病毒，蠕蟲，沖擊波……網(wǎng)絡黑客攻擊：spyware,釣魚軟件……對網(wǎng)絡基礎設施的攻擊：DoS/DDoS……一個好的網(wǎng)絡承載平臺，是供應多種業(yè)務的基礎，對于定位在運營級的數(shù)字化校園網(wǎng)，要保證網(wǎng)絡質(zhì)量和服務承諾，在平安把握方面必需有一個好的整體平安規(guī)劃。全局平安防守體系規(guī)劃平安防守的理念目前可以分為三個層面：局部平安：即對消失問題的薄弱環(huán)節(jié)或有可能消失問題的節(jié)點部署平安產(chǎn)品，進行2～7層的威逼防范，當前絕大部分學校采用的都是這種單點威逼防守方式。這種局部平安方式簡潔有效并有極強的針對性，適合網(wǎng)絡建設已經(jīng)比較完善而平安因素考慮不足的情況。全局平安：通過技術(shù)和產(chǎn)品的協(xié)作，將網(wǎng)絡中的多個網(wǎng)絡設備、平安設備和各功能組件通盤考慮。通過多層次的平安策略和流程把握，向用戶供應端到端的平安解決方案。將計算機網(wǎng)絡、網(wǎng)絡上的通用操作系統(tǒng)、主機應用系統(tǒng)等企業(yè)資源都納入到平安保護的范疇內(nèi)。智能全局平安：當平安事件發(fā)生時，我們不僅能夠飛快察覺、準確定位，更重要的是我們能夠準時制定合理的、一致的、完備的平安策略，并最大限度的利用現(xiàn)有網(wǎng)絡平安資源，通過智能分析和協(xié)同響應準時應對各種真正的網(wǎng)絡攻擊。校園網(wǎng)全局平安的建設目標就是形成全局化、結(jié)構(gòu)化、智能化的平安防守體系，為整網(wǎng)達到可運營、可把握的目標服務。校園外網(wǎng)出口防守網(wǎng)絡出口是整個校園網(wǎng)對外的唯一通道，也是病毒和網(wǎng)絡攻擊的入口，需要使用平安設備進行區(qū)域的劃分和訪問把握。1、傳統(tǒng)的平安解決方案中，防火墻和入侵檢測系統(tǒng)(IDS，IntrusionDetectionSystem)已經(jīng)被普遍接受，防火墻是最主流也是最重要的平安產(chǎn)品，是邊界平安解決方案的核心。它可以對整個網(wǎng)絡進行區(qū)域分割，供應基于IP地址和TCP/IP服務端口等的訪問把握；對常見的網(wǎng)絡攻擊，如拒絕服務攻擊、端口掃描、IP欺騙、IP盜用等進行有效防護。2、但僅僅有防火墻和IDS還不足以完全保護網(wǎng)絡不受攻擊。防火墻作為一個網(wǎng)絡層的平安設備，不能充分地分析應用層協(xié)議數(shù)據(jù)中的攻擊信號，而IDS也不能直接阻擋檢測到的攻擊，即使排除兼容性問題能夠與防火墻進行聯(lián)動，也存在肯定的響應延時。以入侵防守系統(tǒng)(IPS,IntrusionPreventionSystem)為代表的應用層平安設備，作為防火墻的重要補充，很好的解決了應用層防守的問題，并且變革了管理員構(gòu)建網(wǎng)絡防守的方式。通過在線部署，IPS可以檢測并直接阻斷惡意流量。3、另外，當前網(wǎng)絡應用層出不窮，在大大提升了老師工作效率、學生學習效率的同時，也帶來一些負面影響，主要有以下難題困擾：通過P2P下載電影造成網(wǎng)絡速度變慢，怎么解決？老師工作時間炒股、打嬉戲、談天造成工作效率的下降，怎么解決？老師和學生訪問非法網(wǎng)站易感染病毒，如何把握？老師工通過郵件、FTP等私自傳輸重要文件，導致機密泄露，如何供應有效的證據(jù)信息？學校管理員無法了解網(wǎng)絡應用狀況，無法對用戶行為進行審計？公安部82號令，要求記錄上網(wǎng)記錄，如何應對？學生在BBS、論壇、Blog發(fā)表非法言論，如何應對？在這種情形下迫切需要一種專業(yè)的應用把握網(wǎng)關產(chǎn)品，來解決以上問題，這種應用把握網(wǎng)關產(chǎn)品能夠?qū)崿F(xiàn)應用把握與行為審計網(wǎng)關，能對網(wǎng)絡中的P2P/IM/VoIP帶寬濫用、網(wǎng)絡嬉戲、炒股、多媒體應用、非法網(wǎng)站訪問等行為進行精細化識別和把握；同時，可對網(wǎng)絡流量、用戶上網(wǎng)行為進行深化分析與全面的事后審計（可滿意公安部82號令，對網(wǎng)絡使用審計的要求），如Web應用、FTP應用、Email應用、談天應用等，并具有強大的URL過濾功能，進而幫忙學校優(yōu)化網(wǎng)絡資源，全面了解網(wǎng)絡應用模型和流量趨勢。如下圖所示：在出口處，平安設備的部署模式主要以串接在線路中對病毒和網(wǎng)絡攻擊進行直接過濾為主，考慮到穆棱縣一中的實際流量較大，考慮使用基于萬兆平臺的防火墻、IPS、應用把握網(wǎng)關產(chǎn)品，并直接配置萬兆接口，避開因為平安設備本身的性能瓶頸影響網(wǎng)絡出口的帶寬。如下圖所示：數(shù)據(jù)中心的平安防守數(shù)據(jù)中心是校園內(nèi)各種業(yè)務數(shù)據(jù)的核心，是全部運營業(yè)務的匯接點。數(shù)據(jù)中心面對的一些主要平安挑戰(zhàn)有：（1）對應用層的攻擊：包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等。應用攻擊的共同特點是利用了軟件系統(tǒng)在設計上的缺陷，并且他們的傳播都基于現(xiàn)有的業(yè)務端口，因此應用攻擊可以毫不費勁的躲過那些傳統(tǒng)的或者具有少許深度檢測功能的防火墻。（2）面對網(wǎng)絡層的攻擊：除了由于系統(tǒng)漏洞造成的應用攻擊外，數(shù)據(jù)中心還要面對拒絕服務攻擊（DoS）和分布式拒絕服務攻擊（DDoS）的挑戰(zhàn)。DOS/DDOS是一種傳統(tǒng)的網(wǎng)絡攻擊方式，然而其破壞力卻非常強勁。據(jù)2004美國CSI/FBI的計算機犯罪和平安調(diào)研分析，DOS和DDOS攻擊已成為對企業(yè)損害最大的犯罪行為，超出其他各種犯罪類型兩倍。（3）對網(wǎng)絡基礎設施的攻擊：數(shù)據(jù)中心象一座擁有巨大財富的城堡，然而牢固的堡壘最簡潔從內(nèi)部被攻破，來自數(shù)據(jù)中心內(nèi)部的攻擊也更具破壞性。園區(qū)內(nèi)部的惡意攻擊不僅可以通過應用攻擊技術(shù)繞過防火墻，對數(shù)據(jù)中心的網(wǎng)絡造成損害，還可以憑借其網(wǎng)絡構(gòu)架的充分了解，通過違規(guī)訪問、嗅探網(wǎng)絡系統(tǒng)、攻擊路由器/交換機設備等手段，訪問非授權(quán)資源，這些行將對企業(yè)造成更大的損失。數(shù)據(jù)中心的平安防護應當著重以下幾方面：網(wǎng)絡架構(gòu)和應用多層防護數(shù)據(jù)中心網(wǎng)絡必需供應從鏈路層到應用層的多層防守體系，如上圖所示。交換機供應的平安特性構(gòu)成平安數(shù)據(jù)中心的網(wǎng)絡基礎，供應數(shù)據(jù)鏈路層的攻擊防守。數(shù)據(jù)中心網(wǎng)絡邊界平安定位在傳輸層與網(wǎng)絡層的平安上，通過狀態(tài)防火墻可以把平安信任網(wǎng)絡和非平安網(wǎng)絡進行隔離，并供應對DDOS和多種畸形報文攻擊的防守。IPS可以針對應用流量做深度分析與檢測能力，同時協(xié)作以精心研究的攻擊特征學問庫和用戶規(guī)章，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡中的各種流量進行有效管理，從而達到對網(wǎng)絡應用層的保護。分區(qū)規(guī)劃、分層部署在網(wǎng)絡中存在不同價值和易受攻擊程度不同的設備，依據(jù)這些設備的情況制定不同的平安策略和信任模型，將網(wǎng)絡劃分為不同區(qū)域，這就是所謂的分區(qū)思想。數(shù)據(jù)中心網(wǎng)絡依據(jù)不同的信任級別可以劃分為：遠程接入?yún)^(qū)、園區(qū)網(wǎng)、Internet服務器區(qū)、Extranet服務器區(qū)、Intranet服務器區(qū)、管理區(qū)、核心區(qū)等。分區(qū)之間通過ACL、防火墻、IPS等進行策略訪問把握，甚至嚴格隔離，確保區(qū)域之間的影響最小，區(qū)域之間的流量可控。數(shù)據(jù)中心管理平安數(shù)據(jù)中心網(wǎng)絡設備的訪問和管理必需是可控和平安的?？赏ㄟ^SSH、SNMPv3訪問技術(shù)，設備配置ACL來限定只有合法的網(wǎng)段或者IP才能訪問設備的這些管理協(xié)議、遠程端口鏡像、用戶分級管理、用戶視圖保護等手段防止非法用戶篡改設備配置、獵取管理權(quán)限。第四章數(shù)據(jù)中心規(guī)劃核心層設計核心層是全部數(shù)據(jù)流經(jīng)的網(wǎng)絡層次，為整個校園信息化平臺供應網(wǎng)絡匯聚層接入和數(shù)據(jù)交換。核心層的設計應當體現(xiàn)高速、高可用性、高擴充性等特點。本次校園網(wǎng)核心設計同時核心交換機還需要冗余設計，包括設備冗余、協(xié)議冗余，以保證整個網(wǎng)絡系統(tǒng)做到無單點故障。設備冗余指網(wǎng)絡設備上的模塊冗余，如核心交換機上的電源、超級引擎等采用雙配置；協(xié)議冗余指利用網(wǎng)絡協(xié)議實現(xiàn)備份，如使用每個VLAN獨立的生成樹算法，實現(xiàn)第二層鏈路的快速切換等等。核心交換機上配置萬兆或千兆的光接口以太網(wǎng)模塊，通過光纖主干連接各區(qū)域匯聚交換機，構(gòu)成主干網(wǎng)絡的高速鏈路。同時核心交換機還需要供應足夠的插槽，以保證網(wǎng)絡設備的可擴展性及可連續(xù)性。校園方案核心交換機采用H3CS10500交換機，以全線速進行處理二層、三層、MPLSVPN、組播等各種業(yè)務流量，并能夠供應強大的QoS保障，支持豐富的ACL、策略路由，以及STP/RSTP/MSTP協(xié)議和VRRP、協(xié)議。H3CS10500帶寬把握粒度可達64Kbps，具備強大的用戶管理、認證計費功能，并內(nèi)置IEEE802.1x認證服務器功能。H3CS10500可以供應多個業(yè)務插槽，滿意今后網(wǎng)絡擴充的需求。隨著二、三期網(wǎng)絡建設，可將核心網(wǎng)絡配置成兩臺H3CS10500核心交換機，利用IRF2(第二代智能彈性架構(gòu))技術(shù)實現(xiàn)核心交換機虛擬化，將兩臺獨立物理設備，虛擬化為一臺設備進行業(yè)務處理和管理，從而提高了核心的處理能力及性能，增加了核心網(wǎng)絡牢靠性，在摒除傳統(tǒng)冗余熱備技術(shù)中硬件資源閑置鋪張，同時也避開了核心部件單點故障給整個網(wǎng)絡平臺帶來癱瘓的危險。通過在核心交換機上部署H3CSecbladeIPS（入侵檢測防守系統(tǒng)）模塊實現(xiàn)了入侵防守/檢測、病毒過濾和帶寬管理等功能，H3CSecbladeIPS是業(yè)界綜合防護技術(shù)最領先的入侵防守/檢測系統(tǒng)。通過深達7層的分析與檢測，實時阻斷網(wǎng)絡流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網(wǎng)頁篡改等攻擊和惡意行為，并實現(xiàn)對網(wǎng)絡基礎設施、網(wǎng)絡應用和性能的全面保護。相對于盒式IPS，插卡式IPS也具有其優(yōu)點項目盒式IPS插卡式IP2功能4-7層平安防護4-7層平安防護部署增加單點故障不增加單點故障實施簡單，轉(zhuǎn)變網(wǎng)絡架構(gòu)簡潔，不轉(zhuǎn)變網(wǎng)絡架構(gòu)維護簡單，維護獨立設備簡潔，與原有設備統(tǒng)一管理處理效率低，延時大高，延時小牢靠性低，單鏈路無法保證牢靠性高，單鏈路也可保障牢靠性接入層設計接入層處在網(wǎng)絡末端，進行終端的接入與業(yè)務的接入。接入層是技術(shù)最豐富、對成本最敏感的區(qū)域，當前的局域網(wǎng)接入層可供選擇的技術(shù)主要有100M和1000M以太網(wǎng)技術(shù)等。在局域網(wǎng)接入層，應能夠最大限度滿意IP業(yè)務的接入和承載，有利于節(jié)省網(wǎng)絡投資和提高資源利用率。而隨著技術(shù)的不斷進展與用于業(yè)務類型的不斷簡單，目前對網(wǎng)絡接入層所能供應的功能與性能均發(fā)生了變化，如通過接入層交換機即對用戶進行平安性要求，通過VLAN技術(shù)在接入層即進行二層廣播風暴的隔離，有效抵御ARP病毒攻擊對網(wǎng)絡的影響。在核心層下依據(jù)需要接入的信息點的數(shù)量，配置多臺二層交換機作為接入交換機，負責為各樓層的網(wǎng)絡用戶接入供應1000M帶寬。接入層交換機在進行級聯(lián)后通過千兆端口上聯(lián)到所在網(wǎng)絡區(qū)域的匯聚層交換機。接入層是網(wǎng)絡的最邊緣部分，直接連接網(wǎng)絡用戶終端。應當有較為完善的功能，如較強的QoS能力，肯定的平安把握能力，支持VLAN技術(shù)等。建議采用H3CE系列教育網(wǎng)專用交換機，因為此系列交換機充分考慮到校園網(wǎng)絡應用情況，保證網(wǎng)絡的牢靠性、平安性、可擴充性等因素。支持特有的ARP入侵檢測功能，可有效防止黑客或攻擊者通過ARP報文實施校園網(wǎng)常見的“中間人”攻擊，對不符合DHCPSnooping動態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報文直接丟棄。同時支持IPSourceCheck特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的DoS攻擊。H3CE系列教育網(wǎng)交換機是H3C公司為滿意教育行業(yè)構(gòu)建高平安、高智能網(wǎng)絡需求而特地設計的新一代以太網(wǎng)交換機產(chǎn)品，在滿意校園網(wǎng)高性能、高密度的接入的基礎上，供應更全面的平安接入策略和更強的網(wǎng)絡管理維護易用性，是抱負的校園網(wǎng)接入層交換機。模塊化多業(yè)務部署隨著網(wǎng)絡技術(shù)的進展，現(xiàn)在的網(wǎng)絡應用也越來越豐富，隨之而來的就是各種網(wǎng)絡問題的層出不窮，不僅僅是各種DDoS攻擊、間諜軟件、網(wǎng)游木馬、流氓軟件、病毒郵件在不斷肆虐，還有性質(zhì)極為嚴峻的網(wǎng)絡銀行釣魚和針對性很強的木馬、蠕蟲病毒的不斷消失。因此，如何保證網(wǎng)絡系統(tǒng)的平安性已經(jīng)成為網(wǎng)絡管理人員最為頭痛和最為麻煩的問題。可以確定的說，目前用戶對于網(wǎng)絡服務的要求已經(jīng)大大提高了，不但要求滿意大流量的數(shù)據(jù)傳輸，還要求網(wǎng)絡不能消失中斷或故障。要想把平安技術(shù)融于網(wǎng)絡，平安技術(shù)必需和高速的網(wǎng)絡設施相匹配；同時，還要簡化網(wǎng)絡拓撲，簡化對網(wǎng)絡的管理，便利網(wǎng)絡用戶的使用，以確保應用和互聯(lián)的網(wǎng)絡平安。在網(wǎng)絡中，普遍都是通過使用高性能交換機來實現(xiàn)互聯(lián)互通。盡管如此，有了交換機的高性能，也不能確保網(wǎng)絡沒有平安風險的存在。內(nèi)部網(wǎng)絡需要平安的接入和平安的防護。那么，如何在高性能的網(wǎng)絡中，嵌入并融合平安技術(shù)，這是一個熱門課題。對于這個課題，各家都有不同的解決之道。H3C基于多年來在網(wǎng)絡產(chǎn)品和平安產(chǎn)品研發(fā)方面的深厚積累和先進技術(shù)，創(chuàng)新性的在高性能的萬兆核心交換機中推出了包括FW插卡、IPS插卡、SSLVPN、LB（負載均衡）等7種業(yè)務插卡。全部SecBlade插卡均可以部署在H3C的中高端設備中，在網(wǎng)絡基礎平臺上實現(xiàn)高性能的平安保障。在高性能的萬兆核心交換機中直接嵌入SecBlade平安模塊的做法，這對于H3C來說，不僅是一種平安理念，更是從核心交換就實施平安措施的一種創(chuàng)新。創(chuàng)新之處在于：要想把平安技術(shù)融于網(wǎng)絡，平安技術(shù)必需和高速的網(wǎng)絡設備相匹配；同時，還要簡化網(wǎng)絡拓撲，簡化對網(wǎng)絡的管理，便利網(wǎng)絡用戶的使用，以確保應用和互聯(lián)的網(wǎng)絡平安。模塊化多業(yè)務部署作為業(yè)界主流方案，應用廣泛、優(yōu)勢明顯。插卡式是業(yè)內(nèi)成熟、穩(wěn)定、高端的平安網(wǎng)絡解決方案，業(yè)內(nèi)主流廠商思科、Juniper、H3C等都供應并推舉使用插卡式解決方案，在全球各大運營商、行業(yè)都