面向業(yè)務的新一代安全可控校園網智慧校園解決方案_第1頁
面向業(yè)務的新一代安全可控校園網智慧校園解決方案_第2頁
面向業(yè)務的新一代安全可控校園網智慧校園解決方案_第3頁
面向業(yè)務的新一代安全可控校園網智慧校園解決方案_第4頁
面向業(yè)務的新一代安全可控校園網智慧校園解決方案_第5頁
已閱讀5頁,還剩83頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

PAGE第5頁,共88頁面對業(yè)務的新一代平安可控校園網穆棱一中數字化校園規(guī)劃方案

目錄HYPERLINK第一章需求分析 5HYPERLINK1.1建設背景 5HYPERLINK1.2項目總體需求 5HYPERLINK1.3建設目標 7HYPERLINK第二章網絡平臺總體設計 8HYPERLINK2.1廠商介紹 8HYPERLINK2.2網絡平臺整體設計思路 9HYPERLINK2.3規(guī)劃原則 92.4架構概要規(guī)劃 102.5網絡方案總體設計 11HYPERLINK2.5.1數字化校園應用系統分析 11HYPERLINK2.5.2整體方案設計思想 11HYPERLINK2.6核心層網絡結構設計 22HYPERLINK2.6.1規(guī)劃設計 22HYPERLINK2.7園區(qū)網絡規(guī)劃 23HYPERLINK2.7.1高可用園區(qū)規(guī)劃 23HYPERLINK第三章抵御對多業(yè)務運營的威逼 24HYPERLINK3.1全局平安防守體系規(guī)劃 24HYPERLINK3.2校園外網出口防守 25HYPERLINK3.3數據中心的平安防守 27HYPERLINK第四章數據中心規(guī)劃 28HYPERLINK4.1核心層設計 28HYPERLINK4.2接入層設計 30HYPERLINK4.3模塊化多業(yè)務部署 30HYPERLINK第五章網絡出口部署解決方案 33HYPERLINK5.1網絡出口部署方案 33HYPERLINK5.2校園網應用把握網關方案 35HYPERLINK5.3核心/出口用戶行為管控 36HYPERLINK5.4基于時間段的用戶帶寬安排方案 37HYPERLINK第六章無線校園解決方案 38HYPERLINK6.1技術需求 38HYPERLINK6.2不同場景掩蓋方案 39HYPERLINK6.2.1. 宿舍區(qū)部署AP方案 40HYPERLINK6.2.2. 小型辦公室面板AP入室安裝部署 41HYPERLINK6.2.3. 禮堂等高密接入區(qū)AP部署方案 42HYPERLINK第七章云校園建設方案 43HYPERLINK7.1穆棱縣一中云計算數據中心建設需求 43HYPERLINK7.2虛擬化平臺設計方案 44HYPERLINK7.2.1. 平臺總體設計 44HYPERLINK7.2.2. 資源池分類設計 45HYPERLINK7.2.3. 主機池設計 47HYPERLINK7.2.4. HA集群設計 48HYPERLINK7.2.5. 主機設計 51HYPERLINK7.2.6. 虛擬機生命周期管理 51HYPERLINK7.2.7. DRS動態(tài)資源調度 55HYPERLINK7.2.8. 虛擬機資源限額 57HYPERLINK7.3計算資源基礎架構方案 59HYPERLINK7.3.1. 計算資源建設需求 59HYPERLINK7.3.2. 基于統一基礎架構的計算方案設計思路 62HYPERLINK7.3.3. 基于統一基礎架構的刀片計算方案 63HYPERLINK7.3.4. 服務器整合 64HYPERLINK7.3.5. 網絡資源整合 66HYPERLINK7.3.6. 融合虛擬化管理平臺 70HYPERLINK7.4智慧云平臺實現效果 70HYPERLINK7.5云學堂解決方案 73HYPERLINK7.5.1. 產品背景 73HYPERLINK7.5.2. 建設目標 73HYPERLINK7.5.3. 設計思路 74HYPERLINK7.5.4. 方案優(yōu)勢 74HYPERLINK7.5.5. 管理端介紹 75HYPERLINK7.5.6. 老師端介紹 76HYPERLINK7.5.7. 學生端介紹 77HYPERLINK7.5.8. 多媒體教學軟件介紹 78HYPERLINK7.5.9. 方案詳述 78HYPERLINK7.5.10. 云主機設計 79HYPERLINK7.5.11. 網絡拓撲設計 79HYPERLINK7.5.12. 桌面?zhèn)鬏攨f議設計 80HYPERLINK7.5.13. 平安設計 80HYPERLINK7.5.14. 云終端設計 81HYPERLINK7.5.15. 模板管理設計 81HYPERLINK7.5.16. 云學堂方案特點和優(yōu)勢 81HYPERLINK第八章H3C售后保障體系 82HYPERLINK8.1兩小時廠家上門服務 82HYPERLINK8.2服務組織結構 83HYPERLINK8.3服務準時性保障 84HYPERLINK8.4服務有效性保障 85HYPERLINK第九章H3C案例集 86杭州華三通信技術有限公司第88頁,共88頁第一章需求分析建設背景穆棱市第一中學是一所全日制公辦獨立平凡高中。學校位于穆棱市八面通鎮(zhèn)北部靠河委。始建于1949年,原名松江省立第十初級中學。1956年更名為穆棱縣中學,1984年由完全中學進展為市級重點獨立高中。1995年設立縣級市后定名為:穆棱市第一中學。學校占地面積3.7萬平方米,校園建筑1.96萬平方米,包括南北教學樓、綜合試驗樓、學生公寓、體育館、食堂等建筑。學校在職職工150人,其中特級老師1名、高級老師35名、中級老師44人。在校學生2000人,36個教學班級。作為穆棱縣重點中學,學校新校區(qū)的建設要緊跟“十三五”教育信息化建設的腳步,隨著智慧校園、MOOC及電子書包的普及數字化校園基礎承載網的建設要從穩(wěn)定性、牢靠性及前瞻性考慮。校園網作為基礎網絡,在學校信息化中起到關鍵的承載作用。當前,以數字化校園為特征的教育信息化進展更為飛快,各種信息化應用正轉變著老師和學生們的工作、學習、生活以及思維方式,引發(fā)了教育行業(yè)一場新的革命。學?;镜慕虒W教務管理、科研管理、后勤管理、數字圖書館、視頻服務系統、辦公自動化系統和校園社區(qū)服務等應用系統的建設有了初步的規(guī)模,“一卡通”、“平安校園”“校園數據中心”等業(yè)務在許多學校也開始應用。在校師生的認識水平和技術水平上了一個臺階,對于信息化工具的使用已變成為一種自覺和自愿的行為,為數字化校園的進一步進展打下堅實的基礎。穆棱縣一中校園網不僅僅是建設一個信息交互平臺的,而且建成后要成為承載教學、科研、管理、消遣等全方位應用的綜合性平安網絡平臺。數字化校園的價值在于服務教學與科研,穆棱縣一中信息化進展的現狀和趨勢,明顯趨于在網絡平臺上承載、集成多種業(yè)務。而且業(yè)界信息化技術的不斷進展,這就要求穆棱縣一中數字化校園平臺應具備彈性、適應性,以動態(tài)適應多業(yè)務的不斷進展,能將這些業(yè)務有機的整合起來,并且充分保障各種業(yè)務的服務質量。同時這種多業(yè)務的整合應當至少面對將來五年內業(yè)務進展的適應能力。項目總體需求一、校園網整網平安、牢靠、高性能穩(wěn)定運行需求1)平安性:應重點考慮傳輸數據的平安性、同時保證內部網絡平安,阻斷各種網絡攻擊、保護內網服務資源及終端用戶平安。2)牢靠性:網絡系統的穩(wěn)定牢靠是應用系統正常運行的關鍵保證,在網絡設計中選用高牢靠性網絡產品,合理設計網絡架構,制訂牢靠的網絡備份策略,保證網絡具有故障自愈的能力,最大限度地支持各業(yè)務系統的正常運行。3)高性能:骨干網絡性能是整個網絡良好運行的基礎,設計中必需保障網絡及設備的高吞吐能力,保證各種信息(數據、語音、圖象)的高質量傳輸,才能使網絡不成為業(yè)務開展的瓶頸。同時供應先進的QOS機制保證各項業(yè)務的傳輸帶寬。4)多業(yè)務:隨著校園網的信息化的進展,越來越多的教學方式依托于網絡給學生供應多種的特色教學模式。因此將來的校園網絡要承載多業(yè)務的平臺,及要滿意日常訪問校園網絡的多媒體資源同時也要實現訪問多業(yè)務的互聯網絡,所以新建網絡要具有多業(yè)務處理的能力。多媒體教學為了更好的為學生供應全方面的教學資料,越來越的多學校在自己的內部局域網上面為學生供應多種教學資料,如:多媒體教學課件、典型的考試資料等等供應應學生上網下載使用。VOD點播業(yè)務實現,通過建立VOD視頻服務器平臺,利用交換機供應的組播功能,為用戶供應優(yōu)質的視頻效果,同時節(jié)省用戶帶寬。二、無線校園網隨著科技的進展,智能終端的大量普及,越來越多的學生以及老師已經擁有大量的智能終端設備如:IPAD、智能手機、筆記本電腦等等,而目前高速進展的電子書包及移動APP也大大轉變了我們的生活,所以無線網絡建設也隨之成為了每一個學校關注的熱點,為了滿意校園網內辦公上網終端的多樣性,同時也為了順應學校信息網絡的進展需要。建設掩蓋全面、信號優(yōu)良,高速率的無線網絡是目前穆棱縣一中網絡建設的目標。三、數據中心需求1)100G平臺:遵循摩爾定律的增長,使得數據中心的業(yè)務處理能力持續(xù)增加。2)數據中心流量突發(fā):大緩存,不丟包。3)統一交換架構:一個交換平臺上有效支撐業(yè)務的前端訪問、服務器高速互聯、存儲訪問。四、網絡平安需求1)故障排除:要求做到一旦網絡消失異常,如無法訪問網絡,網絡訪問異常等,要能供應準時、有效的服務,在短的時間內恢復網絡應用。2)即時查殺病毒、蠕蟲:要求做到網絡中消失病毒、蠕蟲,通過準時有效的技術支持,在最短的時間內查處感染病毒的主機并即時查殺病毒,恢復網絡應用。3)應用程序限制及其帶寬管理:可以對各種P2P應用(迅雷、BitTorrent、電騾、電驢)、即時通信軟件(QQ、MSN)、網絡嬉戲、炒股、網絡視頻依據權限、時間、區(qū)域進行各種策略設定和管理。五、云校園建設傳統數據中心IT資源部署方式目前仍舊是依據每個應用進行物理的劃分,這種部署方式目前存在以下問題:? 資源利用率低由于應用與資源綁定,每個應用都需要依據其峰值業(yè)務量進行資源的配置,這導致在大部分時間許多資源都處于閑置狀態(tài),不僅造成服務器的資源利用率較低,而且對資源的共享、數據的共享造成了自然?的障礙。? 運維成本高目前學校的許多應用是依據傳統的“一機一應用”的模式部署的,隨著學校新應用系統的增加,服務器、網絡和存儲的設備數量也會消失飛快的膨脹,造成占地空間、電力供應、散熱制冷和維護成本的急劇上升。與此同時,機房內服務器的利用率普遍偏低,系統資源基本上處于10~20%的水平乃至更低,造成了極大的鋪張。鋪張嚴峻、新業(yè)務無法上線是目前存在主要問題。? 業(yè)務部署緩慢在學校將IT資源的采購和管理都集中規(guī)劃到網絡中心后,涉及到大量新業(yè)務的開展和上線。學校各個部門假如要部署新的業(yè)務,那么在提交變更請求與進行運營變更之間存在較大延遲,每一次的業(yè)務部署都要經歷硬件選型、采購、上架安裝、操作系統和應用程序安裝以及網絡配置等操作,使得業(yè)務的部署極為緩慢。? 管理策略分散當前的IT資源運維管理缺乏統計的集中化IT構建策略,無法對信息化校園網數據中心的基礎設施進行監(jiān)控、管理、報告和遠程訪問,IT管理策略分散。建設目標我們在進行系統設計中應遵循以下原則:1、可行性和適應性:系統要保證技術上的可行性和良好的性價比,并滿意今后技術進展和學校進展的需要,如支持萬兆、IPv6,供應無線接入等。2、有用性和經濟性:系統建設應始終貫徹面對應用、注重實效的方針,堅持有用、經濟的原則。3、先進性和成熟性:系統設計既要采用先進的設計和理念,又要留意結構、設備、工具的相對成熟。采用成熟的主流技術,不但能反映當今的先進水平,而且具有進展?jié)摿Γ⒛茼樌剡^度到下一代技術。4、開放性和標準性:為滿意系統所選用的技術和設備的協同運行能力、系統投資的長期效應及系統功能不斷擴展的需求,要求系統具有開放性和標準性。5、牢靠性和穩(wěn)定性:在考慮技術先進和開放性的同時,還應從系統結構、技術措施、設備性能、系統管理、廠商技術支持及修理能力等方面著手,確保系統運行的牢靠性和穩(wěn)定性。6、平安性和保密性:在系統的設計中,既要考慮信息資源的充分共享,還要考慮信息的保護和隔離。第二章網絡平臺總體設計廠商介紹杭州華三通信技術有限公司(簡稱H3C),致力于IP技術與產品的研究、開發(fā)、生產、銷售及服務。2009年H3C銷售收入凈額11億美金(USGAAP),并在國內31個省市和海外多個國家或地區(qū)設有分支機構。目前公司有員工4800人,其中研發(fā)人員占55%。H3C每年將銷售額的15%以上用于研發(fā)投入,在中國的北京、杭州和深圳設有研發(fā)機構,在北京和杭州設有牢靠性試驗室以及產品鑒定測試中心。截止2009年底,H3C已申請專利超過3000件,其中創(chuàng)造專利占85%,在中國通信企業(yè)中位居前三。H3C已參與中國通信標準化協會及IETF,SMTA,SPC,PCI-SIG,Wi-Fi,USB,SNIA,VCCI等國際標準組織。H3C自2006年提出IToIP戰(zhàn)略以來,始終聚焦IP領域持續(xù)創(chuàng)新進步,逐步形成掩蓋IP網絡、IP平安、IP存儲及IP多媒體的全面的產品線以及豐富的解決方案。目前H3C在中國的交換機和企業(yè)級路由器(高中低端)市場份額排名第一,運營商WLAN設備市場份額排名第一,EAD終端準入把握解決方案累計部署超過100萬終端,規(guī)模最大的應用系統超過12萬終端;IP監(jiān)控技術全球領先,成為中國平安城市第一品牌。2010年,云計算/下一代數據中心、物聯網、多媒體通信成為熱點;H3C憑借技術創(chuàng)新將IToIP推向了更深一步的融合階段,形成了以下一代數據中心、泛聯網和多媒體通信為核心的三大解決方案,并得到廣泛應用,占領了IT進展潮流的制高點。根植中國,H3C始終以“為客戶制造價值”作為公司進展的源動力,不斷細分客戶需求,面對行業(yè)、商業(yè)(中小企業(yè))、運營商三大客戶類型分別供應量身定制的整體解決方案。服務于70%以上的中央部委、全部“211”高校和“985”高校、四大銀行、全球最繁忙的機場之一首都機場、自然環(huán)境最為惡劣的青藏鐵路、全球最大的餐飲集團百勝餐飲、亞洲最大的網上交易平臺淘寶網及電信、移動、聯通、廣電等運營商市場。在全球市場,H3C的產品和解決方案掩蓋近百個國家和地區(qū),贏得包括瑞士電信、西班牙電信、英國沃達豐、巴西電信、法國國鐵、法國標致雪鐵龍集團、俄羅斯聯邦儲蓄銀行、澳大利亞昆士蘭政府、美國麻省理工學院、日本神戶大學、韓國三星電子在內的眾多國際客戶。網絡平臺整體設計思路基于IP的網絡平臺:在局域網建設中,采用基于IP協議的技術方案,保證了系統機敏性和將來系統的擴展性;多業(yè)務平臺:網絡平臺除供應計費系統,數字傳輸能力之外,可以支持語音、視頻等多媒體業(yè)務傳輸能力;QoS服務保證:多業(yè)務網絡平臺對于網絡的QoS保證有很高的要求,因此在網絡設計上應采用先進的QoS策略和技術保證全網的QoS服務質量;平安策略:采用平安技術手段保證網絡的平安牢靠。數據中心承載:考慮今后學校業(yè)務進展,建立高效、平安、集中、容災的數據中心網路平臺,滿意日后數據資源增加對網絡平臺性能的需求。統一的網絡管理:利用智能網絡管理中心,融合網絡、平安、無線、多媒體等業(yè)務的統一管理和運維,實現資源、業(yè)務、人的統一化、精簡化管理,適應將來網絡進展需求。規(guī)劃原則穆棱縣一中校園網規(guī)劃要實現內部全方位的數據共享,供應高性能的、全面的QoS保障服務,使網絡平安牢靠,不但要實現教育管理、多媒體教學自動化,而且還要通過Internet實現遠程教學,供應可增值可管理的業(yè)務,同時必需具備高性能、高平安性、高牢靠性,可管理、可增值特性以及開放性、兼容性、可擴展性。穆棱縣一中網絡規(guī)劃遵循以下基本原則:1、一網共用,資源共享,實現多業(yè)務統一部署穆棱縣一中多業(yè)務平臺為校園信息化的各類數字化應用供應統一的網絡傳輸平臺??紤]到校內用戶數量和業(yè)務種類進展的不確定性,要求核心交換機與匯聚交換機需具有強大的擴展功能,整個網絡要完整統一、組網機敏,并成為易擴充的彈性網絡平臺,能夠隨著需求變化,充分留有擴容余地。2、統—規(guī)劃,分段實施穆棱縣一中校內多業(yè)務平臺園區(qū)內統一規(guī)劃、統一網絡體系結構、統一通信協議標準。對于保障多業(yè)務支撐的整個支撐平臺,規(guī)劃為多個功能模塊,可依據需要分期分段實施。3、先進適用,便利擴展穆棱縣一中業(yè)務平臺規(guī)劃采用符合網絡技術進展方向和先進、成熟、適用的技術與設備,為多業(yè)務的進展留有足夠的可擴展空間,以滿意不斷增加的新的應用需求。4、可增值、可運營穆棱縣一中業(yè)務平臺的規(guī)劃、使用和維護需要投入大量的人力、物力,因此網絡的增值性是網絡持續(xù)進展基礎。所以在規(guī)劃時要充分考慮業(yè)務的擴展能力,能針對不同的用戶需求供應豐富的寬帶增值業(yè)務,使網絡具有自我造血機制,實現以網養(yǎng)網。5、開放與統一標準技術選擇必需符合相關國際標準及國內標準,避開個別廠家的私有標準或內部協議,確保網絡的開放性和互連互通,滿意信息準確、平安、牢靠、優(yōu)良交換傳送的需要;開放的接口,支持良好的維護、測量和管理手段,供應網絡統一實時監(jiān)控的遙測、遙控的信息處理功能,實現網絡設備的統一管理。6、建用結合,注重實效穆棱縣一中業(yè)務平臺的規(guī)劃以建設促應用,通過計算機網絡的建設推動各種網絡應用工作的開展,真正發(fā)揮平臺的作用,用信息化推動穆棱縣一中數字信息現代化。架構概要規(guī)劃穆棱縣一中多業(yè)務支撐平臺邏輯上以業(yè)務處理為核心,規(guī)劃為三個平面:業(yè)務流平面、平安防守層面和管控層面。 業(yè)務流平面為多業(yè)務支撐的承載基礎。業(yè)務接口為經過分類的不同類型應用,通過基礎通訊平臺,依據不同層次、不同技術的服務保障措施,實現用戶與數據中心之間、用戶與用戶之間的應用交互。對于基礎平臺,經過建設后,能夠對業(yè)務的機敏性、可控性、牢靠性等起到決定性的作用。包括通過萬兆骨干平臺為園區(qū)網的數據供應高速數據交換,不存在平臺單點故障保障網絡可用性,遷移IPv6技術實現業(yè)務的機敏性,部署MPLSVPN實現業(yè)務可控性。通過在基礎平臺中實施WLAN功能,供應更豐富的接入手段與移動業(yè)務;實施IP視訊技術拓展,供應視頻會議及遠程示教的服務。實施IP監(jiān)控技術拓展,供應園區(qū)治安監(jiān)控服務。IP視頻技術和IP監(jiān)控技術的結合,可供應事件應急指揮服務。業(yè)務通過基礎平臺,可實施兩種端到端服務質量保障措施,其一為從園區(qū)內部接入通過DSCP技術進行業(yè)務區(qū)分處理,將COSMapping到園區(qū)骨干MPLS網的EXP值;其二為對關鍵業(yè)務在園區(qū)骨干上部署MPLSTE實現資源預留。而數據中心作為多業(yè)務部署的心臟,通過分區(qū)、分層設計,規(guī)劃其牢靠性、可管理性與可擴展性,實現面對業(yè)務的集中存儲、數據保護和多系統虛擬化,保障多業(yè)務系統與用戶之間的交互。平安防守平面規(guī)劃為層次化的滲透防守部署。面對外網出口層、園區(qū)核心層、園區(qū)匯聚層、數據中心、用戶行為把握等五個層面平安規(guī)劃設計。針對業(yè)務流的整個過程實現平安防護。管控平面針對業(yè)務流各個環(huán)節(jié)的相應環(huán)節(jié),包括設備資源、用戶資源、業(yè)務流量、業(yè)務隔離、平安信息等進行整合管理,有效調整業(yè)務流的可用性和平滑性。通過多個環(huán)節(jié)之間的關聯管理,實現降低多業(yè)務支撐平臺運維的整體擁有成本。網絡方案總體設計數字化校園應用系統分析目前數字化學校在網絡上的應用子系統有:網絡公共服務系統(WEB、郵件、FTP)教務處教務管理系統學生學籍管理系統校園網OA系統多媒體教學系統校園網平凡視頻點播系統校園一卡通系統由于數字化校園的趨勢所推,網絡基礎建設是不可疏忽的重大工程,為以后學校的業(yè)務增長供應保障。整體方案設計思想通過針對穆棱縣一中具體的網絡平臺需求分析,結合我司多年承建校園網閱歷,建議學院依據自身實際情況,分階段、分步驟、分層次的進行網絡投入建設。穆棱縣一中網絡解決方案總體設計以高性能、高牢靠性、高平安性、良好的可擴展性、可管理性和統一的網管系統及牢靠組播為原則,以及考慮到技術的先進性、成熟性,并采用模塊化的設計方法。組網圖如下所示:穆棱縣一中網絡規(guī)劃拓撲穆棱縣一中校園網改造采用H3C高性能高牢靠平臺搭建,核心交換機采用第五代架構技術——CLOS架構交換機,CLOS架構即多級交換架構,采用主控板與交換網板相互獨立設計,主控板負責表項把握,而交換網板負責數據轉發(fā),數據到達主控板會依據表項規(guī)章自動切片,動態(tài)分布到各個交換網板上,實現無阻塞轉發(fā);而將來隨著信息點不斷的增加,我們只需要對交換網板進行升級,即可對整個交換機的性能升級,不用更換設備整體,保障了用戶投資。我們在整個校園網核心處部署兩臺S10508-V通過IRF2虛擬化技術將兩臺物理設備虛擬成一臺邏輯設備,提高了整網的牢靠性,相比于傳統的VRRP的熱備方式,虛擬化技術將兩臺核心交換機更好的利用。我們在校園網核心交換機上部署了IPS業(yè)務模塊,因為校園網全部流量必需經過校園網核心交換機,假如部署在出口網關,內網數據則需要引流到出口網關,極大的占用了出口網關的CPU使用率,部署在核心交換機上既可以對內網數據包進行檢測,又可以對外網數據包進行檢測。IPS業(yè)務模塊可以對校園內網和外網的全部數據包進行拆包解析,通過IPS業(yè)務板卡自帶的特征庫匹配,假如和特征庫當中的病毒、木馬等相像報文,IPS業(yè)務板卡會提出告警,并提示是否阻斷該數據包,保證了整網的平安性。匯聚交換機采用萬兆雙上聯與核心交換機互聯,實現萬兆校園網,接入全部采用全千兆交換機,實現校園網千兆到桌面。校園網出口是最重要的部分,在出口處部署一臺多業(yè)務平安網關,通過部署高性能防火墻插卡作為整個校園出口的NAT網關,并能夠為整個校園網供應2-4層平安防護,我們還部署了負載均衡業(yè)務模塊,作為鏈路負載均衡,當校園網出口部署了多條鏈路,我們可以通過鏈路負載均衡實現對鏈路帶寬使用的合理化安排。在校園網搭建云計算平臺,解決學校服務器,存儲等硬件設備資源利用率低的問題,通過HA或DRS(動態(tài)業(yè)務遷移)等業(yè)務部署,提高整個校園網應用系統的健壯性及牢靠性。網絡基礎平臺建設H3C設計全新的基于純IP技術的網絡平臺來滿意學院校園網的需求變化。面對網絡資源的有效、高效利用,從網絡架構方面供應優(yōu)化方案,使得校園核心網、接入網具有更高的牢靠性和可控性,同時使得網絡結構與布局在結合實際業(yè)務分布的前提下更加合理。數字校園業(yè)務的進展必定離不開兩個方向,其一是IPv6,其二是移動性。這既是IP通信技術進展的方向,也是數字校園應用的進展方向。滿意這個進展,首要前提就是讓校園網絡平臺能夠具備相關技術支撐能力,即構建IPv6校園網與無線校園網。不論是對校園網的優(yōu)化還是對校園網業(yè)務的橫向拓展,都是基于校園網是平安有序的。需要從縱向三個維度對全部影響校園平安的隱患、非法行為進行滲透防守與把握。網絡分層設計通常網絡整體設計中,采用層次化、模塊化的網絡設計結構,并嚴格定義各層功能模型,不同層次關注不同的特性配置。典型組網結構可以分成三層:接入層、匯聚層、核心層。1)接入層:供應網絡的第一級接入功能,完成簡潔的二、三層交換,平安、Qos和POE功能都位于這一層。當前的局域網接入層可供選擇的技術主要有100M和1000M以太網技術等。在局域網接入層,應能夠最大限度滿意IP業(yè)務的接入和承載,有利于節(jié)省網絡投資和提高資源利用率。2)匯聚層:匯聚來自配線間的流量和執(zhí)行策略,當路由協議應用于這一層時,具有負載均衡、快速收斂和易于擴展等特點,這一層還可作為接入設備的第一跳網關;匯聚層設備任務就是作為局部區(qū)域的邏輯中心,連接接入層交換機和核心層。其重要功能是負責匯聚分散的接入點,進行數據交換,供應流量制和用戶管理(用戶識別、授權、認證、計費)功能。3)核心層:網絡的骨干,必需能夠供應高速數據交換和路由快速收斂,要求具有較高的牢靠性、穩(wěn)定性和易擴展性等。網絡核心層高速運送流量,其設備的主要工作是交換數據包。核心層設備應當充分的支持并以峰值性能運行。核心層業(yè)務收斂程度高,核心設備節(jié)點相對較少,可通過設備實現大顆粒業(yè)務傳送。依據穆棱縣一中網絡建設規(guī)模需求及校園分布情況,為了更好的整合網絡資源平臺,削減網絡建設的投資成本,同時考慮到學院辦公業(yè)務分布的現狀,建議學院網絡平臺采用高速、無阻塞交換三層扁平組網模型。辦公樓三層簡化扁平網絡結構實現核心、匯聚、接入三層的網絡架構,使得網絡架構更加合理,更加具有健壯性和可擴充性,同時易于配置和管理。全部設備都為機架式,可用多種不同端口類型的單板組合,使用機敏、可擴充性強,節(jié)省網絡投資。整網帶寬較高、穩(wěn)定牢靠、可滿意多種業(yè)務的無阻塞交換。核心和匯聚交換機采用高性能多業(yè)務三層路由交換機,接入層采用智能平安性較高交換機。骨干鏈路及接入鏈路設計通過對網絡架構的分層,可以充分發(fā)揮網絡性能,滿意業(yè)務需求。網絡層次采用三層扁平化設計,建議核心交換機至匯聚層交換機采用萬兆光纖線路作為校園網骨干鏈路,接入交換機采用千兆線路作為局域網絡傳輸的主干路。而對于接入層交換機至終端PC,可依據選用的接入交換機類型來確定鏈路的選擇。牢靠性和自愈能力設計鏈路冗余:在主干連接上具備牢靠的線路冗余方式。采用負載均衡的冗余方式,即通常情況下兩條連接均供應數據傳輸,并互為備份。主線路可實時、自動的切換到備份線路,而不影響業(yè)務應用。這種高速的網絡自愈特性應可以保證不會引起IP路由的重新計算,不會引起業(yè)務的瞬間質量惡化,更不會引起業(yè)務的中斷。模塊冗余:主干設備的全部模塊和環(huán)境部件具備1+1或1:N熱備份的功能,切換時間小于500毫秒。全部模塊具備熱插拔的功能。系統具備99.999%以上的可用性。設備冗余:供應由兩臺或兩臺以上設備組成一個虛擬設備的能力。當其中一個設備因故障停止工作時,另一臺設備自動接替其工作,并且不引起其他節(jié)點的路由表重新計算,從而提高網絡的穩(wěn)定性。以保證大部分IP應用不會消失超時錯誤。本方案兩臺核心交換機采用H3C獨有IRF2智能堆疊技術,實現核心設備虛擬化,增加了核心交換機處理能力,便利設備管理,增加鏈路的利用率。路由冗余:網絡的結構設計應供應足夠的路由冗余功能,在上述冗余特性仍不能解決問題時,數據流應能查找其他路徑到達目的地址。擁塞把握與服務質量保障設計擁塞把握和服務質量保障(QoS)是政務信息網關注的重要品質。由于接入方式、接入速率、應用方式、數據性質的豐富多樣,網絡的數據流量突發(fā)是不可避開的,因此,網絡對擁塞的把握和對不同性質數據流的不同處理是非常重要的。業(yè)務分類:網絡設備應支持6~8種業(yè)務分類(COS)。當用戶終端不供應業(yè)務分類信息時,網絡設備應依據用戶所在網段、應用類型、流量大小等自動對業(yè)務進行分類。接入速率把握:接入本網絡的業(yè)務應遵守其接入速率承諾。超過承諾速率的數據將被丟棄或標以最低的優(yōu)先級。隊列機制:具有先進的隊列機制進行擁塞把握,對不同等級的業(yè)務進行不同的處理,包括時延的不同和丟包率的不同。先期擁塞把握:當網絡消失真正的擁塞時,瞬間大量的丟包會引起大量TCP數據同時重發(fā),加劇網絡擁塞的程度并引起網絡的不穩(wěn)定。網絡設備應具備先進的技術,在網路消失擁塞前就自動采取適當的措施,進行先期擁塞把握,避開瞬間大量的丟包現象。資源預留:對非常重要的特別應用,應可以采用保留帶寬資源的方式保證其QoS。網絡的擴展能力設計網絡的擴展能力包括設備交換容量的擴展能力、端口密度的擴展能力、主干帶寬的擴展,以及網絡規(guī)模的擴展能力。交換容量擴展:交換容量具備在現有基礎上連續(xù)擴充4~8倍容量的能力,以適應IP類業(yè)務急速膨脹的現實。端口密度擴展:設備的端口密度應能滿意網絡擴容時設備間互聯的需要。主干帶寬擴展、主干帶寬具備高帶寬擴展能力,以適應IP類業(yè)務急速膨脹的現實。網絡規(guī)模擴展:網絡體系、路由協議的規(guī)劃和設備的CPU/NP路由處理能力,在網絡節(jié)點數目上應能滿意3~5年的擴展要求。網絡管理與平安體系設計支持整個網絡系統各種網絡設備的統一網絡管理。支持故障管理、記帳管理、配置管理、性能管理和平安管理五大功能。支持系統級的管理,包括系統分析、系統規(guī)劃等;支持基于策略的管理,對策略的修改能夠立刻反應到全部相關設備中。網絡設備支持多級管理權限,支持RADIUS等認證機制。支持平安監(jiān)控和把握機制,當發(fā)覺存在平安漏洞和遭到攻擊時,應準時通知網絡管理人員,并應自動采取適當的措施予以保護。支持平安防守設備、網絡基礎設備以及網管系統的平安聯動功能,以便準時對網絡威逼的實時處理。數據中心網絡平臺建設隨著高校信息化建設的深化,無論從信息化總體規(guī)劃的角度、信息系統建設的角度,還是從信息系統運行維護的角度,越來越多的高校認知到數據集中、IT基礎設施集中、運行服務集中的必要性,數據中心是數字校園的核心的理念也得到大部分高校的認同,各高校普遍建立的校園級別的數據中心。隨著校園數據中心建設的深化進行,校園應用系統數據集中密度越來越高,服務器存儲數量不斷增長,網絡架構不斷擴展,空間布局、系統布線、電力能耗壓力不斷增加。作為數據中心業(yè)務承載的大動脈,基礎網絡架構層面則直接面臨著持續(xù)的嚴格挑戰(zhàn)。網絡基礎技術的快速進展為數據中心變革供應了強大支撐動力,基礎網絡演進加快。隨著以太網技術的進一步進展,新的技術標準不斷推動基礎平臺架構的變化與融合。萬兆交換系統的時延已經降到微妙級別,而且當前已經有技術使得以太網芯片在cut-through方式下達到200~300納秒級別,逼近Infiniband的低時延水平。對于計算型應用而言,采用以太網互聯的微妙級時延已經能夠滿意大量的計算需求。近幾年高性能計算TOP500排名中超過50%的計算網絡互聯采用了千兆以太網。隨著萬兆、40G/100G技術的深化進展和終端萬兆接口技術成熟,以太網將成為服務器互聯計算承載的主流平臺。無丟包以太網技術標準族(802.3Qau、802.1Qbb、802.1Qaz、DataCenterBridgingExchangeProtocol)和相關技術即將發(fā)布,并在此基礎上進一步支持FCoE,使得以太交換網絡能夠承載FC存儲數據流。高校數據中心網絡進展趨勢是融合的統一交換架構,在一個交換平臺上有效支撐業(yè)務的前端訪問、服務器高速互聯、存儲訪問。對于H3C高校數據中心方案而言,統一架構的網絡平臺與業(yè)內技術進展是同步的,遵循圖6所示的幾個階段。H3C統一交換架構進展路線與其他解決方案供應商不同,H3C基于IP-SAN的萬兆成熟解決方案的廣泛應用,使得H3C高校數據中心統一交換架構早于FCoE實現存儲的融合。數據中心是校園IT架構的核心領域,不論是服務器部署、網絡架構設計,都做到精細入微。因此,傳統上的數據中心網絡架構由于多層結構、平安區(qū)域、平安等級、策略部署、路由把握、VLAN劃分、二層環(huán)路、冗余設計等諸多因素,導致網絡結構比較簡單,使得數據中心基礎網絡的運維管理難度較高。使用智能彈性架構(intelligentresilientframework,IRF)虛擬化技術,用戶可以將多臺設備連接,“橫向整合”起來組成一個“聯合設備”,并將這些設備看作單一設備進行管理和使用。多個盒式設備整合類似于一臺機架式設備,多臺框式設備的整合相當于增加了槽位,虛擬化整合后的設備組成了一個邏輯單元,在網絡中表現為一個網元節(jié)點,管理簡潔化、配置簡潔化、可跨設備鏈路聚合,極大簡化網絡架構,同時進一步增加冗余牢靠性。網絡虛擬交換技術為數據中心建設供應了一個新標準,定義了新一代網絡架構,使得各種數據中心的基礎網絡都能夠使用這種機敏的架構,能夠幫忙高校在構建永續(xù)和高度可用的狀態(tài)化網絡的同時,優(yōu)化網絡資源的使用。網絡虛擬化技術將在數據中心端到端總體設計中發(fā)揮重要作用。數據中心簡捷統一架構虛擬化端到端虛擬化數據中心網絡架構傳統的L2/L3網絡設計相比,供應了多項顯著優(yōu)勢:1)運營管理簡化。數據中心全局網絡虛擬化能夠提高運營效率,虛擬化的每一層交換機組被邏輯化為單管理點,包括配置文件和單一網關IP地址,無需VRRP。2)整體無環(huán)設計。跨設備的鏈路聚合創(chuàng)建了簡潔的無環(huán)路拓撲結構,不再依靠生成樹協議(STP)。虛擬交換組內部經由多個萬兆互聯,在總體設計方面供應了機敏的部署能力。3)進一步提高牢靠性。虛擬化能夠優(yōu)化不間斷通信,在一個虛擬交換機成員發(fā)生故障時,不再需要進行L2/L3重收斂,能快速實現確定性虛擬交換機的恢復。端到端虛擬化架構優(yōu)勢本方案建議穆棱縣一中建立數據中心網絡平臺,以滿意日后學院應用業(yè)務不斷進展所帶來的服務器資源增長及數據存儲集中化的需求。高校數據中心系統架構的進展和密集的業(yè)務需求,要求校園數據中心交換網絡成為高性能、融合業(yè)務統一交換的基礎平臺。H3C數據中心級交換機作為H3C下一代數據中心核心平臺,將不斷熔煉新的技術與標準,供應持續(xù)的可兼容、可擴展能力,滿意校園信息化2.0時代數據中心的進展要求。利用數據中心交換平臺高性能、高擴展性、融合平安性(部署平安插卡)、統一管理性,并通過與校園網建立萬兆鏈路進行通信,從而可以保證學院今后數據訪問業(yè)務的速率,同時也可為學院重要的應用數據資源供應L2-7層數數據平安防護。網絡平安設計網絡攻擊來源主要來自網絡邊界和內部終端用戶的網絡攻擊,具體威逼如下:來自不同平安域的訪問把握的風險:網絡結構越來越簡單,接入網絡的用戶也越來越多,必需能夠在不同的網絡區(qū)域之間采取肯定的把握措施,有效把握不同的網絡區(qū)域之間的網絡通信,以此來把握網絡元素間的互訪能力,避開網絡濫用,同時實現平安風險的有效的隔離,把平安風險隔離在相對比較獨立以及比較小的網絡區(qū)域。網絡攻擊行為的檢測和防范的風險:基于網絡協議的缺陷,尤其是TCP/IP協議的開放特性,帶來了非常大的平安風險,常見的IP地址竊取、IP地址假冒,網絡端口掃描以及危害非常大的拒絕服務攻擊(DOS、DDOS)等,必需能夠供應對這些攻擊行為有效的檢測和防范能力的措施。網絡數據傳輸的機密性和完整性的風險:網絡數據在傳輸的過程中,很可能被通過各種方式竊取,因此保證數據在傳輸的過程中機密性(保證數據傳遞的信息不被第三方獲得),完整性(保證數據在傳遞過程中不被人修改)是非常重要的,尤其是在傳遞的信息的價值不斷提高情況下。用戶主機遭受網絡病毒攻擊的風險:網絡給病毒的傳播供應了很好的路徑,網絡病毒傳播速度之快、危害之大是令人驚訝的,特別是最近開始流行的一些蠕蟲病毒,更是防不勝防,環(huán)境下必需建設全面的網絡防病毒系統,層層設防,逐層把關,堵住病毒傳播的各種可能途徑。針對用戶主機網絡攻擊的平安風險:目前Internet上有各種完善的網絡攻擊工具,在局域網的環(huán)境下,這種攻擊會更加有效,針對的目標會更加明確,據統計,有97%的攻擊是來自內部的攻擊,而且內部攻擊勝利的概率要遠遠高于來自于Internet的攻擊,造成的后果也嚴峻的多。用戶網絡訪問行為有效把握的風險:首先需要對用戶接入網絡的能力進行把握,同時需要更細粒度的訪問把握,尤其是對Internet資源的訪問把握,比如應當能夠把握內部用戶訪問Internet的什么網站。在此基礎之上,必需能夠進行縝密的行為審計管理。操作系統和網絡服務平臺的平安風險:通過對各種流行的網絡攻擊行為的分析,可以發(fā)覺絕大多數的攻擊是利用各種操作系統和一些網絡服務平臺存在的一些已公開的平安漏洞發(fā)起,因此,杜絕各種操作系統和網絡服務平臺的已公開的平安漏洞,可以在很大程度上防范系統攻擊的發(fā)生。用戶身份認證及資源訪問權限的把握:由于網絡中的各個應用系統上有許多信息是供應應不同權限用戶查閱的,不同級別、不同部門、不同人員能夠訪問的資源都不一樣,因此需要嚴格區(qū)分用戶的身份,設置合理的訪問權限,保證信息可以在被有效把握下共享。依據對網絡主要平安隱患的分析及國家相應的平安規(guī)范。穆棱縣一中網絡平安策略和平安體系包含:訪問把握:通過對特定網段及服務建立的訪問把握體系,系統將絕大多數攻擊阻擋在到達攻擊目標之前;檢查平安漏洞:對平安漏洞進行周期性的檢查,使得絕大多數攻擊即使到達攻擊目標也無破壞;攻擊監(jiān)控:通過對特定網段及服務建立的攻擊監(jiān)控體系,系統可實時檢測出絕大多數攻擊,并采取相應的行為(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等);多層防守:攻擊者在突破第一道防線后,多層防守可以延緩或阻斷其到達攻擊目標;隱藏內部信息:這樣可以使攻擊者不能了解系統內的基本情況;建立終端防護:通過在辦公終端上部署平安防護措施,防止辦公終端遭受網絡或移動存儲設備帶有的病毒的攻擊。為確保穆棱縣一中網絡的平安性,應從全局考慮,不僅從技術上保證,而且要從管理上協同防范。既要保證學院里內部網絡平安又要保證與外部網絡之間的平安,形成整體平安性的網絡體系結構。統一網絡管理設計當前數字校園網絡還面臨許多挑戰(zhàn),在解決了帶寬和掩蓋問題的同時,校園網絡需要進一步優(yōu)化,校園網管理需要更加智能和易用。隨著信息技術的進展,為提高辦公效率及改善教學環(huán)境,當前的學校越來越多地應用了信息技術,對于網絡的依靠性也越來越大,學生需要上網查閱資料、吸取新學問、接受網上教學,老師需要借此了解最新科研進展。校園網絡上通常承載著學校的辦公系統、教學系統及學生宿舍網絡系統,網絡假如發(fā)生問題,會對學校的正常運作產生嚴峻的影響。隨著網絡基礎架構日趨簡單,傳統的設備命令行、簡潔的管理工具已經不能夠滿意網絡管理的需求。業(yè)界的閱歷證明,選擇一個優(yōu)秀的網絡管理系統是保證網絡最大可用性的有效手段。H3C專注于IP產品與相關技術的研發(fā)、生產和銷售,具備完善的產品技術、客戶服務、渠道、認證培訓體系,為您供應客戶化、特性豐富、性價比高的網絡產品與解決方案。作為業(yè)界領先的網絡設備與解決方案供應商,H3C供應包括網絡管理、用戶管理、業(yè)務管理等全面的管理解決方案:H3C智能管理中心(H3CIntelligentManagementCenter,以下簡稱H3CiMC)。H3CiMC是H3CIToIP解決方案的統一管理中心,基于SOA架構,采用機敏的組件化結構,支持與HPOpenview、SNMPc等通用網管平臺的集成,支持集成各多廠家設備管理系統,與H3C的數據通信設備產品一起為用戶供應全網解決方案,幫忙客戶真正實現網絡的按需構建。H3CiMC在IToIP解決方案中的位置H3CiMC作為IToIP解決方案核心管理系統,為用戶供應了機敏的組件化結構,包括智能管理平臺、智能配置中心(iCC)、ACL管理、MPLSVPN管理、用戶接入管理、EAD解決方案、無線管理、EPON管理等業(yè)務組件,用戶可以依據自己的管理需要和網絡情況機敏選擇需要的組件,真正實現“按需建構”。H3C智能管理中心解決方案架構如下圖所示:H3CiMC解決方案架構由上圖可以看出H3CiMC管理系統由智能管理平臺以及各個業(yè)務組件組成,管理平臺)供應網絡管理的一些基礎功能,比如故障管理、性能管理、資源和拓撲管理、用戶管理等,而業(yè)務組件供應了相應的業(yè)務管理功能;各個業(yè)務組件相對獨立,并可以無縫的集成在管理平臺中,使得整個系統具有很強的可擴展性。H3CiMC智能管理平臺實現網絡資源、用戶和業(yè)務的融合管理,供應基本的網絡資源管理、拓撲管理、故障管理、性能管理、用戶管理及系統平安管理,基于B/S架構,可以與H3CiMC其他業(yè)務組件有效集成,形成多種解決方案。H3CiMC智能管理平臺不僅可以實現H3C全線數據通信產品的管理,也可通過標準mib實現對Cisco、等各主流廠商的數據通信設備管理。IToIP數字化校園解決方案的整體優(yōu)勢實現校園統一系統標準——利用統一信息標準、統一應用標準、統一集成標準,解決重建設輕標準、缺乏IT系統的標準化和集成整和的問題,解決異構IT資源難以整合的問題。實現校園數字業(yè)務定制——建設統一數據中心、建立統一業(yè)務中心、構見隨需而動的智能系統,解決數字化校園重網絡輕應用-路多車少的問題。實現統一校園IT資源管理——建設智能管理中心、整合IT資源統一管理,建立機敏完善的數據管理能力、建立完整網絡資源管理、建立統一媒體管理。實現統一信息平安管理——建立統一平安管理中心,完成網絡層、業(yè)務層、數據層、用戶層平安管理,解決重建設輕維護和缺乏整體平安部署方法的問題。 核心層網絡結構設計對于校園網核心層,必需供應高性能、高牢靠的網絡結構,推舉采用經典的雙設備的冗余星型結構,匯聚層交換機都是萬兆雙歸屬上行至核心層交換機,建成一個萬兆骨干的園區(qū)網。規(guī)劃設計考慮到匯聚層設備由多臺匯聚層交換機萬兆上行到核心層交換機上做線速數據交換,并且也有多條萬兆線路連接網絡出口和數據中心,如何保障幾十個萬兆線路在核心層設備上的線速轉發(fā)成為一個關鍵點,因此核心層網絡設備需要兩臺100G平臺的高性能超萬兆核心交換機組成。目前在核心設備上的跨設備鏈路聚合虛擬化技術,從對提升網絡整體效率的角度,起到了一種橫向整合的作用,即在不轉變網絡物理拓撲連接結構條件下,將網絡同一層的多臺設備橫向整合,從邏輯上簡化了網絡架構。由于整合后的虛擬化系統具備跨設備鏈路聚合功能,因此,不同網絡層之間的電纜互聯也可通過邏輯整合,多條鏈路被捆綁成一條聚合的邏輯鏈路,如下圖所示??缭O備鏈路聚合功能對網絡的橫向虛擬化整合虛擬化技術構成的網絡架構與傳統的網絡設計相比,供應了多項顯著優(yōu)勢:1)運營管理簡化。全局網絡虛擬化能夠提高運營效率,虛擬化的每一層交換機組被邏輯化為單管理點,包括配置文件和單一網關IP地址,無需VRRP。2)整體無環(huán)設計??缭O備的鏈路聚合創(chuàng)建了簡潔的無環(huán)路拓撲結構,不再依靠生成樹協議(STP)。虛擬交換組內部經由多個萬兆互聯,在總體設計方面供應了機敏的部署能力。3)進一步提高牢靠性。虛擬化能夠優(yōu)化不間斷通信,在一個虛擬交換機成員鏈路故障時,不再需要進行L2/L3重收斂,能快速實現確定性虛擬交換機的恢復。核心層設備,承載校內訪問Cernet流量,以及各校區(qū)內部網絡之間的關鍵業(yè)務流量,通過核心交換機的精細業(yè)務和流量把握,確保關鍵流量的帶寬和服務質量。依據承載的業(yè)務實時性要求,可以在通過虛擬化技術、BFD、FRR等技術保證電信級的故障恢復。園區(qū)網絡規(guī)劃高可用園區(qū)規(guī)劃 穆棱縣一中校園網絡作為實際業(yè)務的接入和承載體,必需具有高可用性。高可用性主要體現在以下幾個方面:保持網絡長時間的無故障運行;保證突發(fā)情況下的網絡可用性和可恢復性;惡劣環(huán)境條件下的網絡應用;抵制災難。消退單點故障網絡建設高可用性設計,需要全方位多角度的對網絡牢靠性給予充分保障。園區(qū)網絡高可用性可以通過設備自身的關鍵部件冗余、協議的不間斷轉發(fā)技術以及網絡拓撲的鏈路和設備冗余設計來綜合保證:設備的牢靠:雙主控、雙電源網絡的牢靠:關鍵設備雙歸屬、重要鏈路手工聚合、服務器采用雙網卡協議的牢靠:IRF2、防火墻HRP架構的牢靠:重要設備冗余部署、流量路徑合理規(guī)劃應用的牢靠:服務器健康檢查 高性能帶寬規(guī)劃設計當前,隨著學校網絡應用種類的不斷增加,特別是實時在線視頻應用、大規(guī)模組播應用和P2P應用的迅猛增長。為了滿意今后五年內的學校網絡應用對帶寬的需求,本次穆棱縣一中校園網的帶寬設計骨干網都是萬兆設計,例如:核心層交換機和匯聚層交換機之間,核心層交換機和數據中心的服務器匯聚交換機,核心層交換機和出口路由器之間;千兆鏈路的設計是:匯聚層交換機和接入層交換機之間,數據中心中服務器和服務器匯聚交換機連接都是千兆線路;百兆鏈路用以實現百兆到桌面。 因此對于校園園區(qū)核心層設備,應當在供應大容量、高性能L2/L3交換服務基礎上,能夠進一步融合了硬件IPv6、網絡平安、網絡業(yè)務分析等智能特性,可為校園園區(qū)構建融合業(yè)務的基礎網絡平臺,進而幫忙用戶實現IT資源整合的需求。第三章抵御對多業(yè)務運營的威逼隨著計算機技術的不斷進展,病毒和網絡攻擊已經成為現在網絡管理人員最頭疼的問題。目前的網絡平安威逼主要表現為如下三種形式:計算機系統病毒:ARP病毒,蠕蟲,沖擊波……網絡黑客攻擊:spyware,釣魚軟件……對網絡基礎設施的攻擊:DoS/DDoS……一個好的網絡承載平臺,是供應多種業(yè)務的基礎,對于定位在運營級的數字化校園網,要保證網絡質量和服務承諾,在平安把握方面必需有一個好的整體平安規(guī)劃。全局平安防守體系規(guī)劃平安防守的理念目前可以分為三個層面:局部平安:即對消失問題的薄弱環(huán)節(jié)或有可能消失問題的節(jié)點部署平安產品,進行2~7層的威逼防范,當前絕大部分學校采用的都是這種單點威逼防守方式。這種局部平安方式簡潔有效并有極強的針對性,適合網絡建設已經比較完善而平安因素考慮不足的情況。全局平安:通過技術和產品的協作,將網絡中的多個網絡設備、平安設備和各功能組件通盤考慮。通過多層次的平安策略和流程把握,向用戶供應端到端的平安解決方案。將計算機網絡、網絡上的通用操作系統、主機應用系統等企業(yè)資源都納入到平安保護的范疇內。智能全局平安:當平安事件發(fā)生時,我們不僅能夠飛快察覺、準確定位,更重要的是我們能夠準時制定合理的、一致的、完備的平安策略,并最大限度的利用現有網絡平安資源,通過智能分析和協同響應準時應對各種真正的網絡攻擊。校園網全局平安的建設目標就是形成全局化、結構化、智能化的平安防守體系,為整網達到可運營、可把握的目標服務。校園外網出口防守網絡出口是整個校園網對外的唯一通道,也是病毒和網絡攻擊的入口,需要使用平安設備進行區(qū)域的劃分和訪問把握。1、傳統的平安解決方案中,防火墻和入侵檢測系統(IDS,IntrusionDetectionSystem)已經被普遍接受,防火墻是最主流也是最重要的平安產品,是邊界平安解決方案的核心。它可以對整個網絡進行區(qū)域分割,供應基于IP地址和TCP/IP服務端口等的訪問把握;對常見的網絡攻擊,如拒絕服務攻擊、端口掃描、IP欺騙、IP盜用等進行有效防護。2、但僅僅有防火墻和IDS還不足以完全保護網絡不受攻擊。防火墻作為一個網絡層的平安設備,不能充分地分析應用層協議數據中的攻擊信號,而IDS也不能直接阻擋檢測到的攻擊,即使排除兼容性問題能夠與防火墻進行聯動,也存在肯定的響應延時。以入侵防守系統(IPS,IntrusionPreventionSystem)為代表的應用層平安設備,作為防火墻的重要補充,很好的解決了應用層防守的問題,并且變革了管理員構建網絡防守的方式。通過在線部署,IPS可以檢測并直接阻斷惡意流量。3、另外,當前網絡應用層出不窮,在大大提升了老師工作效率、學生學習效率的同時,也帶來一些負面影響,主要有以下難題困擾:通過P2P下載電影造成網絡速度變慢,怎么解決?老師工作時間炒股、打嬉戲、談天造成工作效率的下降,怎么解決?老師和學生訪問非法網站易感染病毒,如何把握?老師工通過郵件、FTP等私自傳輸重要文件,導致機密泄露,如何供應有效的證據信息?學校管理員無法了解網絡應用狀況,無法對用戶行為進行審計?公安部82號令,要求記錄上網記錄,如何應對?學生在BBS、論壇、Blog發(fā)表非法言論,如何應對?在這種情形下迫切需要一種專業(yè)的應用把握網關產品,來解決以上問題,這種應用把握網關產品能夠實現應用把握與行為審計網關,能對網絡中的P2P/IM/VoIP帶寬濫用、網絡嬉戲、炒股、多媒體應用、非法網站訪問等行為進行精細化識別和把握;同時,可對網絡流量、用戶上網行為進行深化分析與全面的事后審計(可滿意公安部82號令,對網絡使用審計的要求),如Web應用、FTP應用、Email應用、談天應用等,并具有強大的URL過濾功能,進而幫忙學校優(yōu)化網絡資源,全面了解網絡應用模型和流量趨勢。如下圖所示:在出口處,平安設備的部署模式主要以串接在線路中對病毒和網絡攻擊進行直接過濾為主,考慮到穆棱縣一中的實際流量較大,考慮使用基于萬兆平臺的防火墻、IPS、應用把握網關產品,并直接配置萬兆接口,避開因為平安設備本身的性能瓶頸影響網絡出口的帶寬。如下圖所示:數據中心的平安防守數據中心是校園內各種業(yè)務數據的核心,是全部運營業(yè)務的匯接點。數據中心面對的一些主要平安挑戰(zhàn)有:(1)對應用層的攻擊:包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等。應用攻擊的共同特點是利用了軟件系統在設計上的缺陷,并且他們的傳播都基于現有的業(yè)務端口,因此應用攻擊可以毫不費勁的躲過那些傳統的或者具有少許深度檢測功能的防火墻。(2)面對網絡層的攻擊:除了由于系統漏洞造成的應用攻擊外,數據中心還要面對拒絕服務攻擊(DoS)和分布式拒絕服務攻擊(DDoS)的挑戰(zhàn)。DOS/DDOS是一種傳統的網絡攻擊方式,然而其破壞力卻非常強勁。據2004美國CSI/FBI的計算機犯罪和平安調研分析,DOS和DDOS攻擊已成為對企業(yè)損害最大的犯罪行為,超出其他各種犯罪類型兩倍。(3)對網絡基礎設施的攻擊:數據中心象一座擁有巨大財富的城堡,然而牢固的堡壘最簡潔從內部被攻破,來自數據中心內部的攻擊也更具破壞性。園區(qū)內部的惡意攻擊不僅可以通過應用攻擊技術繞過防火墻,對數據中心的網絡造成損害,還可以憑借其網絡構架的充分了解,通過違規(guī)訪問、嗅探網絡系統、攻擊路由器/交換機設備等手段,訪問非授權資源,這些行將對企業(yè)造成更大的損失。數據中心的平安防護應當著重以下幾方面:網絡架構和應用多層防護數據中心網絡必需供應從鏈路層到應用層的多層防守體系,如上圖所示。交換機供應的平安特性構成平安數據中心的網絡基礎,供應數據鏈路層的攻擊防守。數據中心網絡邊界平安定位在傳輸層與網絡層的平安上,通過狀態(tài)防火墻可以把平安信任網絡和非平安網絡進行隔離,并供應對DDOS和多種畸形報文攻擊的防守。IPS可以針對應用流量做深度分析與檢測能力,同時協作以精心研究的攻擊特征學問庫和用戶規(guī)章,即可以有效檢測并實時阻斷隱藏在海量網絡流量中的病毒、攻擊與濫用行為,也可以對分布在網絡中的各種流量進行有效管理,從而達到對網絡應用層的保護。分區(qū)規(guī)劃、分層部署在網絡中存在不同價值和易受攻擊程度不同的設備,依據這些設備的情況制定不同的平安策略和信任模型,將網絡劃分為不同區(qū)域,這就是所謂的分區(qū)思想。數據中心網絡依據不同的信任級別可以劃分為:遠程接入區(qū)、園區(qū)網、Internet服務器區(qū)、Extranet服務器區(qū)、Intranet服務器區(qū)、管理區(qū)、核心區(qū)等。分區(qū)之間通過ACL、防火墻、IPS等進行策略訪問把握,甚至嚴格隔離,確保區(qū)域之間的影響最小,區(qū)域之間的流量可控。數據中心管理平安數據中心網絡設備的訪問和管理必需是可控和平安的??赏ㄟ^SSH、SNMPv3訪問技術,設備配置ACL來限定只有合法的網段或者IP才能訪問設備的這些管理協議、遠程端口鏡像、用戶分級管理、用戶視圖保護等手段防止非法用戶篡改設備配置、獵取管理權限。第四章數據中心規(guī)劃核心層設計核心層是全部數據流經的網絡層次,為整個校園信息化平臺供應網絡匯聚層接入和數據交換。核心層的設計應當體現高速、高可用性、高擴充性等特點。本次校園網核心設計同時核心交換機還需要冗余設計,包括設備冗余、協議冗余,以保證整個網絡系統做到無單點故障。設備冗余指網絡設備上的模塊冗余,如核心交換機上的電源、超級引擎等采用雙配置;協議冗余指利用網絡協議實現備份,如使用每個VLAN獨立的生成樹算法,實現第二層鏈路的快速切換等等。核心交換機上配置萬兆或千兆的光接口以太網模塊,通過光纖主干連接各區(qū)域匯聚交換機,構成主干網絡的高速鏈路。同時核心交換機還需要供應足夠的插槽,以保證網絡設備的可擴展性及可連續(xù)性。校園方案核心交換機采用H3CS10500交換機,以全線速進行處理二層、三層、MPLSVPN、組播等各種業(yè)務流量,并能夠供應強大的QoS保障,支持豐富的ACL、策略路由,以及STP/RSTP/MSTP協議和VRRP、協議。H3CS10500帶寬把握粒度可達64Kbps,具備強大的用戶管理、認證計費功能,并內置IEEE802.1x認證服務器功能。H3CS10500可以供應多個業(yè)務插槽,滿意今后網絡擴充的需求。隨著二、三期網絡建設,可將核心網絡配置成兩臺H3CS10500核心交換機,利用IRF2(第二代智能彈性架構)技術實現核心交換機虛擬化,將兩臺獨立物理設備,虛擬化為一臺設備進行業(yè)務處理和管理,從而提高了核心的處理能力及性能,增加了核心網絡牢靠性,在摒除傳統冗余熱備技術中硬件資源閑置鋪張,同時也避開了核心部件單點故障給整個網絡平臺帶來癱瘓的危險。通過在核心交換機上部署H3CSecbladeIPS(入侵檢測防守系統)模塊實現了入侵防守/檢測、病毒過濾和帶寬管理等功能,H3CSecbladeIPS是業(yè)界綜合防護技術最領先的入侵防守/檢測系統。通過深達7層的分析與檢測,實時阻斷網絡流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網頁篡改等攻擊和惡意行為,并實現對網絡基礎設施、網絡應用和性能的全面保護。相對于盒式IPS,插卡式IPS也具有其優(yōu)點項目盒式IPS插卡式IP2功能4-7層平安防護4-7層平安防護部署增加單點故障不增加單點故障實施簡單,轉變網絡架構簡潔,不轉變網絡架構維護簡單,維護獨立設備簡潔,與原有設備統一管理處理效率低,延時大高,延時小牢靠性低,單鏈路無法保證牢靠性高,單鏈路也可保障牢靠性接入層設計接入層處在網絡末端,進行終端的接入與業(yè)務的接入。接入層是技術最豐富、對成本最敏感的區(qū)域,當前的局域網接入層可供選擇的技術主要有100M和1000M以太網技術等。在局域網接入層,應能夠最大限度滿意IP業(yè)務的接入和承載,有利于節(jié)省網絡投資和提高資源利用率。而隨著技術的不斷進展與用于業(yè)務類型的不斷簡單,目前對網絡接入層所能供應的功能與性能均發(fā)生了變化,如通過接入層交換機即對用戶進行平安性要求,通過VLAN技術在接入層即進行二層廣播風暴的隔離,有效抵御ARP病毒攻擊對網絡的影響。在核心層下依據需要接入的信息點的數量,配置多臺二層交換機作為接入交換機,負責為各樓層的網絡用戶接入供應1000M帶寬。接入層交換機在進行級聯后通過千兆端口上聯到所在網絡區(qū)域的匯聚層交換機。接入層是網絡的最邊緣部分,直接連接網絡用戶終端。應當有較為完善的功能,如較強的QoS能力,肯定的平安把握能力,支持VLAN技術等。建議采用H3CE系列教育網專用交換機,因為此系列交換機充分考慮到校園網絡應用情況,保證網絡的牢靠性、平安性、可擴充性等因素。支持特有的ARP入侵檢測功能,可有效防止黑客或攻擊者通過ARP報文實施校園網常見的“中間人”攻擊,對不符合DHCPSnooping動態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報文直接丟棄。同時支持IPSourceCheck特性,防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內的非法地址仿冒,以及大流量地址仿冒帶來的DoS攻擊。H3CE系列教育網交換機是H3C公司為滿意教育行業(yè)構建高平安、高智能網絡需求而特地設計的新一代以太網交換機產品,在滿意校園網高性能、高密度的接入的基礎上,供應更全面的平安接入策略和更強的網絡管理維護易用性,是抱負的校園網接入層交換機。模塊化多業(yè)務部署隨著網絡技術的進展,現在的網絡應用也越來越豐富,隨之而來的就是各種網絡問題的層出不窮,不僅僅是各種DDoS攻擊、間諜軟件、網游木馬、流氓軟件、病毒郵件在不斷肆虐,還有性質極為嚴峻的網絡銀行釣魚和針對性很強的木馬、蠕蟲病毒的不斷消失。因此,如何保證網絡系統的平安性已經成為網絡管理人員最為頭痛和最為麻煩的問題??梢源_定的說,目前用戶對于網絡服務的要求已經大大提高了,不但要求滿意大流量的數據傳輸,還要求網絡不能消失中斷或故障。要想把平安技術融于網絡,平安技術必需和高速的網絡設施相匹配;同時,還要簡化網絡拓撲,簡化對網絡的管理,便利網絡用戶的使用,以確保應用和互聯的網絡平安。在網絡中,普遍都是通過使用高性能交換機來實現互聯互通。盡管如此,有了交換機的高性能,也不能確保網絡沒有平安風險的存在。內部網絡需要平安的接入和平安的防護。那么,如何在高性能的網絡中,嵌入并融合平安技術,這是一個熱門課題。對于這個課題,各家都有不同的解決之道。H3C基于多年來在網絡產品和平安產品研發(fā)方面的深厚積累和先進技術,創(chuàng)新性的在高性能的萬兆核心交換機中推出了包括FW插卡、IPS插卡、SSLVPN、LB(負載均衡)等7種業(yè)務插卡。全部SecBlade插卡均可以部署在H3C的中高端設備中,在網絡基礎平臺上實現高性能的平安保障。在高性能的萬兆核心交換機中直接嵌入SecBlade平安模塊的做法,這對于H3C來說,不僅是一種平安理念,更是從核心交換就實施平安措施的一種創(chuàng)新。創(chuàng)新之處在于:要想把平安技術融于網絡,平安技術必需和高速的網絡設備相匹配;同時,還要簡化網絡拓撲,簡化對網絡的管理,便利網絡用戶的使用,以確保應用和互聯的網絡平安。模塊化多業(yè)務部署作為業(yè)界主流方案,應用廣泛、優(yōu)勢明顯。插卡式是業(yè)內成熟、穩(wěn)定、高端的平安網絡解決方案,業(yè)內主流廠商思科、Juniper、H3C等都供應并推舉使用插卡式解決方案,在全球各大運營商、行業(yè)都

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論