智慧教育城域网平台设计方案

1、 智慧教育城域网平台设计方案目 录 TOC o 1-3 h z u HYPERLINK l _Toc8117658 第一章项目背景 PAGEREF _Toc8117658 h 3 HYPERLINK l _Toc8117659 第二章需求分析 PAGEREF _Toc8117659 h 5 HYPERLINK l _Toc8117660 2.1教育业务需求 PAGEREF _Toc8117660 h 5 HYPERLINK l _Toc8117661 2.1.1网络阅卷 PAGEREF _Toc8117661 h 5 HYPERLINK l _Toc8117662 2.1.2视频服务 PAGE

2、REF _Toc8117662 h 6 HYPERLINK l _Toc8117663 2.1.3三通两平台 PAGEREF _Toc8117663 h 8 HYPERLINK l _Toc8117664 第三章教育城域网设计 PAGEREF _Toc8117664 h 9 HYPERLINK l _Toc8117665 3.1设计原则与思路 PAGEREF _Toc8117665 h 9 HYPERLINK l _Toc8117666 3.2网络总体设计 PAGEREF _Toc8117666 h 11 HYPERLINK l _Toc8117667 3.2.1物理网络 PAGEREF _T

3、oc8117667 h 13 HYPERLINK l _Toc8117668 3.2.2网络安全 PAGEREF _Toc8117668 h 21 HYPERLINK l _Toc8117669 3.2.3网络管理 PAGEREF _Toc8117669 h 25 HYPERLINK l _Toc8117670 3.2.4云管理平台 PAGEREF _Toc8117670 h 25 HYPERLINK l _Toc8117671 3.3市教育云对接方案H3C云彩虹方案 PAGEREF _Toc8117671 h 33 HYPERLINK l _Toc8117672 3.3.1市-区云间互联方案

4、规划 PAGEREF _Toc8117672 h 34 HYPERLINK l _Toc8117673 3.3.2市-区云平台对接 PAGEREF _Toc8117673 h 36 HYPERLINK l _Toc8117674 3.3.3备份/恢复、标准模板推送 PAGEREF _Toc8117674 h 41 HYPERLINK l _Toc8117675 3.3.4业务扩展部署 PAGEREF _Toc8117675 h 45 HYPERLINK l _Toc8117676 3.3.5业务平台间异地扩展 PAGEREF _Toc8117676 h 48 HYPERLINK l _Toc8

5、117677 第四章H3C培训总体介绍 PAGEREF _Toc8117677 h 52 HYPERLINK l _Toc8117678 4.1.1H3C培训 PAGEREF _Toc8117678 h 52 HYPERLINK l _Toc8117679 4.1.2针对本项目的培训计划 PAGEREF _Toc8117679 h 54 HYPERLINK l _Toc8117680 4.2案例 PAGEREF _Toc8117680 h 58 HYPERLINK l _Toc8117681 4.2.1典型案例：教育云 PAGEREF _Toc8117681 h 58 HYPERLINK l

6、_Toc8117682 4.2.2典型案例：江宁区教育城域网 PAGEREF _Toc8117682 h 61 HYPERLINK l _Toc8117683 4.2.3典型方案：市江宁高级中学 PAGEREF _Toc8117683 h 62项目背景以教育信息化带动教育现代化，是我国教育事业发展的战略选择。为推进落实国家中长期教育改革和发展规划纲要（2010-2020年）关于教育信息化的总体部署，教育部组织编制了教育信息化十年发展规划（2011-2020年）。规划全国范围内建设覆盖城乡各级各类学校的教育信息化体系，促进优质教育资源普及共享，推进信息技术与教育教学深度融合，实现教育思想、理念、

7、方法和手段全方位创新，对于提高教育质量、促进教育公平、构建学习型社会和人力资源强国具有重大意义。同年五月市政府又批转了市教育局拟定的“市教育信息化两年行动计划（20142015年）”的通知，结合教育部明确提出了未来两年市教育信息化建设目标。以教育信息化带动教育现代化、以“智慧”推动“智慧教育”建设为主线，依托教育数据中心构建“三通两平台”（宽带网络校校通、优质资源班班通、网络学习空间人人通和教育资源公共服务平台、教育管理公共服务平台），区域教育信息化水平基本接近国际先进水平，国家教育信息化标准达标率达到90%以上。形成“育人为本、应用导向、统筹共建、引领创新”的教育信息化新局面。需求分析教育业

8、务需求区数字化校园业务平台均采用B/S模式，基于微软DOTNET技术构建，包含办公、教学、管理、学习、运维分析等多个方面的业务子系统。系统间互联互通，数据统一，标准规范。系统为学校的管理、教师的教学、学生的学习、家长的支持提供了更多便捷多样的服务。如下图所示：通过搭建应用支撑平台（统一身份认证系统、PORTAL一体化桌面，数据共享和交互系统）来支撑各管理系统以及应用系统，实现信息共享，数据交互等目的。根据市内各城区管辖内学校的情况可以进行相应的业务选择，下面以“网络阅卷”、“视频服务”两个具有代表性的业务系统进行介绍。网络阅卷所谓网络阅卷系统，是指以计算机网络技术和电子扫描技术为依托，实现客观

9、题自动阅卷，主观题网上评卷的一种现代计算机系统。功能意义：教学单位老师组织考试工作量大大降低，阅卷老师无需统一组织安排批卷地址进行批卷活动，未来区教育城域网建成，阅卷老师通过城域网络在本校办公室就可以对自己学校或其他教学单位进行批卷活动。当学校通过城域网访问阅卷系统时，大量的图像传输对网络互连（含局域网和广域网）提出了较高的要求，包括网络带宽、转发性能、QOS能力等，另外，大量的考卷图片将存储在数据中心的存储系统中，对存储系统及数据库等提出了新的要求。视频服务区教育城域网视频服务包含业务为：平安校园视频服务、视频教育教学与会议服务。平安校园视频监控当前，区下属各学校内建设自己的平安校园安防系统

10、，但是，这种“各自为阵、各为所用”的建设，以及整个区教育城域网没有联通建成，导致监控数据封闭在学校的范围内，当发生应急事需要整体协调指挥时，市、区教育局领导无法全方位及时了解事件的进展并进行有效应急指挥，不能将已建成的监控系统充分利用起来，而只能用于事后审查、图像回溯等。因此，通过本次区教育城域网建设，将把学校通过IP互联技术连接到区教委数据中心，使得各学校的基于模拟或IP技术的监控系统能够将图像上传至市、区教委，以实现教委领导在随时随地开展应急指挥、事后回溯等平安校园工作。视频教育教学与会议服务视频教育教学及会议系统是一种现代化的教学系统，它可以把不同地点任一教室实时的现场场景和语音互连起来

11、，同时向参与者提供分享听觉和视觉的空间，使各方入会的老师或学生有“面对面”交谈的感觉。随着多媒体视频技术的发展，视频教学的应用越来越广泛，同时对其视频音频质量、数据共享、灵活性以及易用性、可靠性和易管理性的要求也越来越严格。因此，通过本次区教育城域网建设，将把学校通过IP互联技术连接到区教委数据中心，使得各学校能够开展各类视频服务，如优视频会议、直播公开课、远程教学、教学录像点播等各类优质教学资源。三通两平台为推进落实国家中长期教育改革和发展规划纲要（2010-2020年）关于教育信息化的总体部署，国家教育部组织编制了教育信息化十年发展规划（2011-2020年）。规划要求在全国范围内建设覆盖

12、城乡各级各类学校的教育信息化体系，促进优质教育资源普及共享，推进信息技术与教育教学深度融合，实现教育思想、理念、方法和手段全方位创新，对于提高教育质量、促进教育公平、构建学习型社会和人力资源强国具有重大意义。以教育信息化带动教育现代化，依托教育数据中心构建“三通两平台”（宽带网络校校通、优质资源班班通、网络学习空间人人通和教育资源公共服务平台、教育管理公共服务平台），区域教育信息化水平基本接近国际先进水平，国家教育信息化标准达标率达到90%以上。形成“育人为本、应用导向、统筹共建、引领创新”的教育信息化新局面，并开展各项教育类应用系统，整体架构如下图所示：教育城域网设计根据市区级数据中心建设评

13、估与标准及教育城域网提升工程实施细则的要求，需要对区级数据中心网络系统进行升级改造，实现区数据中心与下属各学校的网络的互联互通，实现以虚拟化数据中心为核心的基础IT设施平台。设计原则与思路城域网及云资源（数据）中心的建设原则是能够高效、安全、绿色的支撑应用系统的使用，相比传统城域网建设，体现在几个层面的变化：1、数据中心的形成：相比传统服务器部署而言，资源中心的建设要求有统一的数据中心来承载两大平台的运行。2、虚拟化的使用：为了整合资源中心的硬件资源，会大量使用虚拟化技术来建设弹性的资源池；3、应用类型对网络带宽的消耗：应用的规划以动画、视频、互动等大流量应用为主，相比传统网络带宽要求提升10

14、20倍；4、用户规模的剧增：资源的使用者增加了学生，相比传统只有老师使用的环境，用户规模增加了1020倍；5、流量模型的变化：原来的流量访问模型为本局域网内部横向为主，资源中心建成后用户的访问模型以学校访问资源中心的流量为主，基本上为纵向流量；6、允许断网时间的变化：教学系统上网意味着对网络可靠性的要求提高，允许断网时间应该控制在分钟级别；所以在城域网和资源中心的设计上需要遵循以下原则：高性能骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（视频、动画、应用）的高质量传输，才能使网络不成为业务开展的瓶颈。高可靠性网络系统的稳定可靠是应用系统正常运行的关键

15、保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力；合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。网络设备在出现故障时应便于诊断和排除，充分体现计算机网络的高可靠性。安全性制订统一的网络安全策略，整体考虑网络平台的安全性，保证师生能够安全、绿色的使用资源，且安全性必须采用云安全技术，能够适应云计算资源动态调配的需求。独立性学校与教育局之间采用公网连接会导致一些应用系统的不可用（比如名师讲堂、双向教学等），而且公网连接也使得网络不安全、不可控等隐患，所以教育局与学校之间应该采用裸光纤或者VPN方式连接；六区教育城域网建议采用裸

16、光纤连接。技术先进性和实用性在保证满足校园业务、应用系统业务的同时，要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。标准开放性支持国际上通用的网络协议、路由协议等开放的协议标准，有利于保证与其它网络(如中国教育网、公共数据网、学校之间等其它网络)之间的平滑连接互通，以及将来网络的扩展。灵活性及可扩展性根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。可管理性对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供

17、故障自动报警。强QOS、强组播特性城域网因为对视频、音频等多媒体业务的需求较大，所以整个网络具有较完善的QOS特性对教育网而言就显得尤为重要。能不能对关键业务进行带宽优先保证尤其是那些对时延敏感的业务进行保证是教育网必须考虑的一个重点，为实现区别服务，整网端到端的QOS特性机制是优质网络业务的保证。另外组播特性对于有效的保证多媒体流传输性能和节省带宽也有非常重要的意义，基于组播的控制特性也会进一步保证组播流的控制、管理和安全，从而为实现教育城域网的多业务支持提供保障。兼容性和经济性兼容性，能够最大限度地保证学校现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段（如

18、现有的双向教学系统），保证各种在用计算机系统（包括工作站、服务器和微机等设备）的互连入网，充分利用现有网络资源，发挥主干网的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有设备或做必要的升级。网络总体设计如上图所示，整个系统按照拓扑位置划分为两大区块，分别为教育城域网云计算数据数据中心机房区块、区下属各学校接入区块。教育城域网云计算数据数据中心机房区块作为整个系统建设的重点，需要建立云计算资源池，存储资源池以及网络资源池，采用虚拟化技术与云计算技术，实现计算资源及存储资源的按需分配，并支持与市教育城域

19、网云计算资源实现互联互通，并可互相实现资源调配，整合并共享资源，能够构建一个广域云计算资源池。外连子区实现整个教育城域网的外网出口，通过专用的高性能第二代安全防火墙作为出口网关，与市电教馆数据中心及外部因特网实现连接，可实现安全虚拟化业务，保护城域网安全。区下属各学校接入区块是数据中心连接下属各学校的城域网络，为了建设各学校实现云计算向学校的延伸，通过广域网专线，连接到区数据中心核心交换机上，数据中心核心交换机，支持虚拟化技术，实现网络的虚拟化，以满足云计算对网络的业务功能要求。教育城域网带宽设计：考虑到本次建设的教育城域网，为保证视屏监控上传、网络阅卷以及三通两平台的各项业务系统的健康运行，

20、特别是大量的平安校园视频监控、直播课堂、教学点播、视频教研、互通学习等实时流媒体类业务的开展，对网络带宽等提出了较高的要求，另外，本次建立的云计算资源数据中心，目的是区教委向学校提供云计算资源服务，即学校如需开展业务应用，可向中心提交分配云计算资源申请，获取资源中心的云计算单元并使用，这项业务也对城域网带宽提出了较高的要求，因此，从业务角度考虑，建议至少为每个学校分配1000Mbps的网络上连带宽，满足云计算及各项业务开展的需求。物理网络核心交换机城域网的核心层部分采用“两网一核心”的建设思路：城域网和数据中心共用一套网络核心，通过1：N虚拟化技术将数据中心的核心交换机虚拟成2套设备，一套作为

21、数据中心的网络核心，一套作为城域网的网络核心。两套设备拥有的独立的CPU、内存和路由表象等资源，避免了共用核心导致的设备性能问题和网络安全问题。两网一核心的建设模式即节约了投资，提高了设备的利用率，又保证了网络的可靠性。 在主核心机房为整网选配两台高性能CLOS架构机箱式交换机S10508-V，通过华三独有的IRF2智能弹性虚拟化技术进行虚拟化融合。负责整个教育城域网平台上应用业务数据的高速交换，核心交换机配备冗余电源及引擎保证网络健壮性与可靠性。核心层：提供高速的万兆三层交换骨干。核心层提供高可靠性设计，硬件采用CLOS架构、信元切片动态路由交换方式，保证业务的永续性。核心需要支持云计算特性

22、，如：网络设备一虚多、网络横向虚拟化、网络纵向虚拟化、以及大二层技术TRILL/EVI/SPB创新的多引擎控制设计：采用了创新的硬件设计，通过独立的控制引擎、检测引擎、维护引擎设计为系统提供强大的控制能力和的高可靠保障。分布式缓存机制及精细化QOS：分布式入口缓存、端口200毫秒缓存能力、大容量硬件队列服务器区域统一管理矩阵交换机采用两根千兆光纤链路与核心交换机进行链路冗余带宽增加捆绑的方式进行互联，增加数据传输稳定性、可靠性、高效性。核心设备虚拟化设计-多虚1IRF2（Intelligent Resilient Framework 2 ，第二代智能弹性架构），是H3C自主研发的虚拟化技术，将

23、多台物理设备通过IRF2虚拟化成一台逻辑设备，从而实现多台设备的协同工作、统一管理和不间断维护。核心可通过10G万兆线缆互联采用华三专有的IRF2智能弹性架构技术进行虚拟化堆叠。业界领先的冗余备份技术引入虚拟化设计方式之后，在不改变传统设计的网络物理拓扑、保证现有布线方式的前提下，以IRF2的技术实现网络各层的横向整合，即将交换网络每一层的两台、多台物理设备使用IRF2技术形成一个统一的交换架构，减少了逻辑的设备数量，如下图所示在虚拟化整合过程中，被整合设备的互联电缆成为IRF2的内部互联电缆，对IRF2系统外部就不可见了.原来两台设备之间的捆绑互联端口归属的VLAN三层接口网段均能被其它设备

24、可达(如ping通)，而归属到IRF2系统内部后，不对互联电缆接口进行IP配置，因此隔离于IRF2外部网络。本次采用核心交换机S10508-V支持IRF2技术，最多将4台高端设备虚拟化为一台逻辑设备，在可靠性、分布性和易管理性方面具有强大的优势；可靠性：通过专利的热备份技术，在整个虚拟架构内实现控制平面和数据平面所有信息的冗余备份和无间断的数据转发，极大的增强了虚拟架构的可靠性和高性能，同时消除了单点故障，避免了业务中断；分布性：通过分布式跨设备链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率；易管理性：整个弹性架构共用一个IP管理，简化网络设

25、备管理，简化网络拓扑管理，提高运营效率，降低维护成本。核心设备虚拟化设计-1虚多MDC（Multitenant Devices Context，多租户设备环境）是H3C自主研发的虚拟化技术，可以实现1：N的虚拟化能力，即一台物理交换机虚拟化成N台逻辑交换机，满足多客户共享核心交换机。一方面可以充分利用核心交换机的能力；另一方面也降低了用户的投资成本；同时可以通过MDC技术实现对业务的安全隔离。1、Multitenant Device Context (MDC)，MDC技术是一种完全的1:N设备虚拟化技术，将一台物理网络设备通过软件虚拟化成多台逻辑网络设备，虚拟化出来的逻辑网络设备简称MDC（M

26、ultitenant Device Context）；2、软件上，MDC将网络设备的控制平面、数据平面、管理平面进行了完全的虚拟化；3、硬件上，MDC将网络设备的硬件资源进行了虚拟化，不仅可以将板卡、端口等硬件资源划分到独立的逻辑设备，而且可配置每个逻辑设备的CPU、内存、存储空间等资源。Multitenant Device Context (MDC)的优点1、复用，多台MDC共用物理设备的资源，使物理资源能得到充分利用；2、隔离， 同一台物理设备上的多个MDC具有独立的软硬件资源，独立运行互不影响；3、高伸缩性，可整合多个物理网络到一个物理设备上，也可以将一个物理设备扩展为多个逻辑网络。存储

27、接入交换机本次存储资源采用iSCSI存储阵列模式，通过专用存储接入交换机与核心交换机进行链接，提供存储空间资源。选配的设备型号为S6800-2C万兆接入数据中心交换机主机, 支持2个QSFP+端口和2个业务插槽，2个电源插槽，2个风扇插槽，1个带外管理网口及1个USB接口IRF2（第二代智能弹性架构）S6800系列交换机支持IRF2（第二代智能弹性架构）技术，就是把多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说，用户可以将这多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处：简化管理 IRF架构形成之后，可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备，

28、通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算，而随着跨设备链路聚合技术的应用，可以替代原有的生成树协议，这样就可以省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。弹性扩展 可以按照用户需求实现弹性扩展，保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”，不影响其他设备的正常运行。高可靠 IRF的高可靠性体现在链路，设备和协议三个方面。成员设备之间物理端口

29、支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了链路的可靠性；IRF系统由多台成员设备组成，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份；IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，从而实现1：N的协议可靠性。高性能 对于高端交换机来说，性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此，IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。I

30、RF3（第三代智能弹性架构）S6800系列产品可以在纵向维度上支持异构虚拟化，将核心和接入设备通过IRF3 技术形成一台纵向逻辑虚拟设备，相当于把一台盒式设备作为一块远程接口板加入主设备系统，以达到扩展I/O 端口能力和进行集中控制管理的目的。IRF3 技术可以简化管理，大幅度降低网络管理节点；简化布线，二层变为一层，节省横向连接线缆；最终实现数据转发平面虚拟化，便于简化业务部署和自动编排。丰富的数据中心特性S6800系列交换机支持边缘虚拟桥EVB (Edge Virtual Bridging)，通过VEPA (Virtual Ethernet Port Aggregator)模式实现将虚拟机

31、VM(Virtual Machine)产生的数据流量上传至与服务器相连的物理交换机进行处理。不仅实现了虚拟机之间的流量转发，同时还解决了虚拟机与网络之间的连接与管理边界问题。FCoE技术在以太网中实现对FC报文的承载，使得FC SAN网络和以太网LAN网络可共享同一网络基础设施。S6800系列交换机支持完整的FCoE及FC协议栈，为进一步简化了整网基础架构提供了便利。融合板卡的下行SFP+端口可以基于芯片组切换为FC端口与FC SAN互通，实现FC SAN网络与以太网络的完全融合，大大简化了整网基础设施。TRILL（Transparent Interconnection of Lots of

32、Links，多链路透明互联）技术是一种改变传统数据中心网络构建方式的创新技术，它将三层路由的稳定可扩展高性能等优点引入到适应性强、但性能和组网范围受限的二层交换网络之中， 建立了一个灵活、易扩展的高性能二层网络架构。采用支持TRILL技术的S6800系列交换机是构建大型的、高性能易扩展、并支持服务器虚拟机动态迁移的云数据中心网络的理想选择。软件定义网络（Software Defined Network，SDN）是一种创新的网络架构体系。其核心技术Openflow通过将网络的控制层和数据转发层进行分离，大幅简化了网络的管理及维护难度，更为重要的是实现了网络流量的灵活控制，为核心网络及应用的创新提

33、供了良好的网络平台。S6800可以配合多个Openflow controller 实现SDN方案。S6800系列交换机支持DCB （Data Center Bridging），并支持ISSU（不中断业务升级）、OAM（操作、管理和维护）及能效以太网（EEE），充分满足了数据中心对设备高性能及绿色节能的需要。S6800系列交换机支持VXLAN (Virtual Extensible LAN，虚拟扩展局域网)， VXLAN通过将虚拟机发出的数据包封装在UDP中，并使用物理网络的IP/MAC作为outer-header封装后在物理IP网上传输，到达目的地后由隧道终结点解封并将数据发送给目标虚拟机，解

34、决了地理分散的数据中心之间远距离虚拟机迁移问题。S6800系列交换机支持智慧缓存技术，硬件实现流量负载的智能分配，缓存利用率较传统提高多达5倍；支持智慧表项技术，实现MACARPFIB表项动态调整，表项规格(最大达288K)较传统交换机提升10倍；支持智慧Hash技术，在业务量繁重的网络中能显著消除网络极化和负载失衡问题。S6800系列交换机采用高性能多核CPU及模块化软件操作平台，在实现不同优先级任务调度时比普通交换机更加灵活，对业务处理更加迅捷和智能。完善的安全控制策略H3C S6800系列交换机支持AAA，RADIUS认证，支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或

35、静态绑定；支持配合H3C公司的iMC平台对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。 H3C S6800系列交换机提供增强的ACL控制逻辑，支持大容量的入端口和出端口ACL，并且支持基于VLAN的ACL下发，在简化用户配置过程的同时，避免了ACL资源的浪费。另外，S6800系列交换机还将支持单播反向路径查找技术（uRPF），原理是当设备的一个接口上收到一个数据包时，会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由，即验证了其真实性，如果不存在就将数据包删除，这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。多重可靠性保护 H3C S6800系列交换机具备设备级和

36、链路级的多重可靠性保护。采用过流保护、过压保护和过热保护技术，所有机型都支持可插拔的冗余电源模块，也就是说可以根据实际环境的需要灵活配置交流或直流电源模块，此外整机还支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速，这些设计使设备具备了很高的可靠性。 除了设备级可靠性以外，S6800还支持丰富的链路级可靠性技术，比如VRRPE等。当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展。出色的管理性 H3C S6800系列交换机支持丰富的管理接口，例如Console、USB管理口及带外管理口，支持SNMPv1/v2/v3，支持iMC智能管理中心。支持CLI

37、命令行，TELNET及FTP配置，并且支持SSH2.0、SSL等加密方式，使得管理更加方便和安全。网络安全出口安全：区云资源（数据）中心出口必须考虑安全建设，用高性能下一代防火墙安全网关，实现防火墙及流量控制等安全防护功能。 为了应对云计算环境下的流量模型变化，安全防护体系的部署需要朝着高性能的方向调整。在本次项目的建设过程中，多条高速链路汇聚成的大流量已经比较普遍，在这种情况下，安全设备必然要具备对性能得业务处理能力；无论是独立的机架式安全设备；同时，考虑到云计算环境的业务永续性，设备的部署必须要考虑到高可靠性的支持，诸如双机热备、配置同步、电源风扇的冗余、链路捆绑聚合、硬件BYPASS等特

38、性，真正实现大流量汇聚情况下的基础安全防护。安全虚拟化：该安全网关支持安全虚拟化功能，能够实现对区教育云数据中心多租户应用场景下，为不同租户分配不同安全资源池的防护要求，安全功能虚拟化基于安全网关设备的业务处理CPU及内存资源实现裸金属划分，实现安全虚拟化，以满足云计算数据中心的外联安全保护要求。选配的设备型号为F1050自带1个配置口（CON）主机自带8个千兆光口+16个千兆电口，1*500G硬盘，自带双电源。可配置PFC-BYPASS接口。高性能的软硬件处理平台 H3C SecPath F1050采用了先进的最新64位多核高性能处理器和高速存储器。电信级设备高可靠性 支持H3C SCF虚拟

39、化技术，可将多台设备虚拟化为一台逻辑设备，对外呈现为一个网络节点，资源统一管理，完成业务备份同时提高系统整体性能。强大的安全防护功能 支持丰富的攻击防范功能。包括：Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范，还包括针对SYN Flood、UPD Flood、ICMP Flood、DNS Flood等常见DDoS攻击的检测防御。 最新支持SOP 1:N完全虚拟化。可在H3C SecPath F1050设备上划分多个

40、逻辑的虚拟防火墙，基于容器化的虚拟化技术使得虚拟系统与实际物理系统特性一致，并且可以基于虚拟系统进行吞吐、并发、新建、策略等性能分配。灵活可扩展的一体化DPI深度安全 与基础安全防护高度集成的一体化安全业务处理平台。 全面的应用层流量识别与管理：通过H3C长期积累的状态机检测、流量交互检测技术，能精确检测Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（电骡）/eDonkey（电驴）、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用；支持P2P流量控制功能，通过对流量采用深度检测的方法，即通过将网络报文与P2P协议

41、报文特征进行匹配，可以精确的识别P2P流量，以达到对P2P流量进行管理的目的，同时可提供不同的控制策略，实现灵活的P2P流量控制。 高精度、高效率的入侵检测引擎。采用H3C公司自主知识产权的FIRST（Full Inspection with Rigorous State Test，基于精确状态的全面检测）引擎。FIRST引擎集成了多项检测技术，实现了基于精确状态的全面检测，具有极高的入侵检测精度；同时，FIRST引擎采用了并行检测技术，软、硬件可灵活适配，大大提高了入侵检测的效率。 实时的病毒防护：采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。 迅

42、捷的URL分类过滤：提供基础的URL黑白名单过滤同时，可以配置URL分类过滤服务器在线查询。 全面、及时的安全特征库。通过多年经营与积累，H3C公司拥有业界资深的攻击特征库团队，同时配备有专业的攻防实验室，紧跟网络安全领域的最新动态，从而保证特征库的及时准确更新。下一代多业务特性 集成链路负载均衡特性，通过链路状态检测、链路繁忙保护等技术，有效实现企业互联网出口的多链路自动均衡和自动切换。 一体化集成SSL VPN特性，满足移动办公、员工出差的安全访问需求，不仅可结合USB-Key、短信进行移动用户的身份认证，还可与企业原有认证系统相结合、实现一体化的认证接入。 DLP基础功能支持，支持邮件过

43、滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTP URL和内容过滤；支持网络传输协议的文件过滤；支持应用层过滤，提供Java/ActiveX Blocking和SQL注入攻击防范。专业的智能管理 支持智能安全策略：实现策略冗余检测、策略匹配优化建议、动态检测内网业务动态生成安全策略并推荐。 支持标准网管 SNMPv3，并且兼容SNMP v1和v2。 提供图形化界面，简单易用的Web管理。 可通过命令行界面进行设备管理与防火墙功能配置，满足专业管理和大批量配置需求。 基于先进的深度挖掘及分析技术，采用主动收集、被动接收等方式，为用户提供集中化的日志管理功能，并对不同类型

44、格式（Syslog、二进制流日志等）的日志进行归一化处理。同时，采用高聚合压缩技术对海量事件进行存储，并可通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系统，避免重要安全事件的丢失。网络管理建议未来采用一套网络管理系统，实现对本次云计算数据中心的统一网络管理及虚拟网络管理，另外，目前数据中心采用云计算及虚拟化技术构建，需打通网络、计算之间的隔阂，实现资源的融合管理和智能调度，并最终实现自动化。例如，在虚拟化数据中心环境中，为实现按需分配资源，需要计算、存储、网络资源的协同调度，才能完成服务/应用的创建部署。网络管理系可通过监听虚拟机变更消息（上线、下线、迁移等），自动将网络

45、侧配置在宿主、目的地交换机之间进行变更，实现物理网络和虚拟网络之间提供无缝协作。当一台虚拟机迁移时，网络管理系统会自动为虚拟机执行网络配置的迁移，网络管理员无须手动为虚拟机配置接入交换机，真正的实现了虚拟机的无缝迁移。本次项目不涉及区学院网络管理升级改造，不进行重点介绍。云管理平台自上世纪90年代开始，IT行业在全球范围内得到了迅猛的发展，IT平台的规模和复杂程度出现了大幅度的提升，与此同时，很多企业的IT机构却因为这种提升而面临着新的困境，如高昂的硬件成本和管理运营成本、缓慢的业务部署速度以及缺乏统一管理的基础架构。H3C公司依托其强大的技术实力、产品与服务优势，以及深入人心的以用户为中心的

46、理念，为企业数据中心IaaS云计算基础架构提供最优化的虚拟化与云业务运营解决方案。通过H3C CAS虚拟化管理系统实现数据中心虚拟化环境的中央管理控制，以简洁的管理界面，统一管理数据中心内所有的物理资源和虚拟资源，不仅能提高管理员的管控能力、简化日常例行工作，更可降低IT环境的复杂度和管理成本。全虚拟化融合H3C CAS虚拟化管理系统融合了计算、网络、存储资源的虚拟化，形成弹性的数据中心资源池，实现资源的自动化调度，更好地为上层应用服务。 通过虚拟化后，虚机之间为完全隔离状态，具有独立CPU、内存、磁盘I/O、网络I/O，即任何一个虚机发生故障时，同一物理机上的其他虚机不受其影响，每个虚机具有

47、独立的用户管理权限，可安装独立操作系统，不同虚机间操作系统可以异构。产品系统架构H3C CAS云计算管理平台系统架构H3C CAS虚拟化管理系统是H3C CAS云计算管理平台的核心组件之一，采用裸金属架构，实现对数据中心内的计算、网络和存储等硬件资源的虚拟化管理，对上层应用提供自动化服务。其业务范围包括：虚拟计算、虚拟网络、虚拟存储、高可用性（HA）、动态资源调度（DRS）、虚拟机容灾与备份、虚拟机模板管理、集群文件系统、虚拟网络策略管理等。H3C CAS虚拟化管理系统对外提供API接口，可以与第三方系统进行对接。基于集群的集中管理H3C CAS虚拟化管理系统将服务器主机和虚拟机都组织到集群中

48、，提供了清晰的分层结构视图，直观地展示了数据中心、主机池、集群、主机和虚拟机之间的关系，大大简化了资源管理的工作量。基于集群进行集中管理的好处在于：利用集中化管理功能，管理员能够通过统一的界面对整个IT环境进行组织、监控和配置，从而降低管理成本。由多台独立服务器主机聚合形成的一个具有共享资源池的集群不仅降低了管理的复杂度，而且具有内在的高可用性，通过监控集群下所有的主机，一旦某台主机发生故障，H3C CAS虚拟化管理系统就会立即响应并在集群内另一台主机上重启受影响的虚拟机，也可以进行手动在线虚拟机迁移，从而为用户提供一个经济有效的高可用性解决方案。H3C CAS具有 Fault Toleran

49、ce（容错）机制，实现在硬件故障时，业务系统不中断运行。H3C CAS支持动态资源分配功能，可实现虚拟机资源（CPU、内存、存储等）在线/离线动态调整。 基于集群的分层管理模型完备的虚拟机生命周期管理支持虚拟机的创建、修改、启动、暂停、恢复、休眠、重启、关闭、下电、克隆、迁移、快照等常用功能，同时支持通过管理界面的控制台远程连接到虚拟机。所有的操作全部基于图形化配置界面。 虚拟机生命周期管理环节性能状态监测物理服务器性能状态监测提供物理服务器CPU和内存等计算资源的图形化报表及运行于其上的虚拟机利用率TOP 5报表，为管理员实施合理的资源规划提供详尽的数据资料。 物理服务器性能状态监测虚拟机性

50、能状态监测提供虚拟机CPU、内存、磁盘I/O、网络I/O等关键资源进行全面的性能监测。 虚拟机性能状态监测虚拟交换机状态监测提供虚拟机交换机上各个虚端口的流量统计与模拟面板图形化显示。 虚拟交换机状态监测虚拟网卡性能状态监测提供进出虚拟机虚端口的流量的图形化实时显示。 虚拟网卡性能状态监测云业务工作流程在“IT即服务”的云计算平台系统中， IT服务的自助式提供和业务自动化部署是云计算业务的关键特点。而上述特点均依赖于云业务部署流程的合理管理和业务自动化部署的结合。通过云业务工作流程的管理，可以将云计算平台中各功能模块有机的结合起来。从而实现云计算平台业务快速和自动化开展实施。云业务工作流作为一

51、个公共基础系统贯穿了云平台业务过程，最终实现IT服务的对业务部门的自助式交付。区教育城域网的云计算解决方案需要基于Web页面提供完整的端到端云业务工作流程管理。其业务工作流程应包括用户的身份认证、用户选择所需服务、管理员的审批、系统对资源的自动调用IT资源生成虚拟机等关键步骤。HA功能部署传统数据中心内的服务器高可靠性保障通常会选择依赖于集群技术的部署。而云计算平台将计算资源虚拟化以后，可以利用虚拟服务器自身虚拟化的特点实现传统物理服务器上无法实现的高可靠性。为了提升云业务系统的可靠性，在云计算平台的计算资源池建设时，可以将多个物理主机合并为一个具有共享资源池的集群。云业务系统的HA功能能够监

52、控该集群下所有的主机和物理主机内运行的虚拟主机。当物理主机发生故障，出现宕机时，HA功能组件会立即响应并在集群内另一台主机上重启该物理主机内运行的虚拟机。当某一虚拟服务器发生故障时，HA功能也会自动的将该虚拟机重新启动来恢复中断的业务。如下图所示： HA功能给教育云计算平台带来的价值如下：简便的设置和启动：使用“新建集群”向导来进行初始设置虚拟化管理平台添加主机和新的虚拟机。降低硬件成本和设置：在传统集群解决方案中，必须有重复的软硬件，而且各个组件必须正确连接和配置。使用虚拟化系统集群时，只要保证有足够的资源容纳要确保其故障切换的主机的数量，就可以便捷自动地完成主机故障切换。无论硬件和操作系统

53、平台如何，虚拟化系统的HA功能都通过为应用程序提供可用的、经济的高可靠性。动态资源调整对于部分业务而言其负载情况不是一成不变的，会周期性或随机的出现波动。有些业务的波动幅度很大，其峰值访问量甚至会超出正常访问量的好几倍。在传统数据中心设计中，设计者必须根据该业务的峰值来设计IT系统的容量。云计算数据中心的一大特点就是可以实现计算资源的动态扩展，以满足各种业务的弹性扩展需求。本方案通过云计算管理平台和负载均衡设备的联动，可以实现业务负载监控和资源弹性扩展功能：业务负载监控：虚拟化管理平台集成业务负载监控平台，实现对虚拟机资源负载情况的监控资源自动弹性扩展：业务负载监控平台检测到业务负载超过设定的

54、阈值后，联动虚拟化管理平台自动扩展资源；业务负载增高时，通过快速克隆/部署虚拟机来增加业务对应的资源数量；业务负载减小时，通过关闭/删除虚拟机来减少业务对应的资源数量负载均衡设备自动感知：负载均衡设备能够感知到有新的虚拟机生成或关闭，并将这些虚拟机自动的添加到负载均衡服务组中或从服务组中删除。针对动态扩展业务组的状态统计信息展示，便于维护人员对业务进行管理和预判虚拟机备份随着云平台对IT信息化系统的依赖加深，业务系统备份是必不可少的组件。相应的，在云计算平台中，针对计算资源池中虚拟机备份也至关重要。虚拟化系统能实现定时备份和即时备份功能，会在暂停虚拟机中的应用程序之后，为正在运行的虚拟机创建快

55、照，从而对备份工作进行集中处理，以确保文件系统的一致性。虚拟机的备份特性是一种高效而低成本的灾难恢复特性，它将带来如下价值：基于磁盘的备份功能，为虚拟机提供快速、简单的数据保护无需额外代理的备份，简化了部署复杂度支持全自动的定时备份和手工干预的即时备份，满足不同的应用要求市教育云对接方案H3C云彩虹方案在本次区教育云资源平台建设中，除了要实现区电教馆本地的教育资源云平台建设，实现本地的教育云资源库外，还需与市教育云平台实现对接，将区教育云与市教育云整合，实现市级云与区级云互为备份；当市级云平台业务爆发而资源不够用时可自动从区级平台获取资源；针对某项应用，可实现Iaas云资源弹性扩展到异地，且本

56、地和异地共同提供可负载均衡的业务服务，打破IT资源与业务只能本地部署的局限性，且目前，市电教馆使用的教育资源平台为H3C的CIC+CAS云计算平台，在本次方案中区也使用该平台，对接非常方便，具体解决方案如下：市-区云间互联方案规划利用云彩虹技术实现市教育局云平台与各区云平台的对接，不仅仅是网络的互通与业务的互访，更重要的是资源层的互通与共享。H3C云彩虹方案目标在于解决基础设施云(IaaS)多级平台的资源互通与共享整体架构如下图所示：网络的互通是云彩虹方案的基础，在市平台与区平台的网络互通后，基于H3C CAS的两级云平台可实现对接，云平台对接之后可以实现如下功能(见上图中的示意)：备份与恢复

57、：区云平台可以借用市云平台的计算、存储资源池，对部署在区平台中的业务应用虚机进行备份与恢复，解决区业务应用的灾备问题。标准模板推送：市云平台中的设计好的标准应用模板（模板设计参见7.3章节）可以向下发布到各区云平台，区教育局在部署业务应用时就无需再创建虚拟机模板，直接由市云平台发布的模板快速生成虚拟部署业务应用，同时模板的统一也便于各区业务应用的标准化、合规化。扩展：当区云平台中的计算、存储资源不够时，可以借用市云平台中的资源进行扩展，直接将虚拟机部署到市云平台中去，利用市教育局的计算、存储资源对外提供业务，实现资源的扩展。异地扩展：已经部署在区平台中的业务应用，当受到突发事件的影响访问量剧增

58、，区平台的本地资源不足以支撑时，可以将业务应用异地扩展到市云平台，通过在市平台申请更多的计算、存储资源部署性能更高、数量更多的虚拟机业务应用，以支撑突发的业务访问。当突发访问结束后，市平台可将这些资源回收。上述的云彩虹方案在实际部署时需要考虑网络带宽、访问路径、存储备份、数据同步、安全策略等多方面的因素，一步到位部署完成上述所有功能对部署、运维管理、设备要求较高，结合XX市与各区教育局的现状，建议分为如下四个步骤实现，以降低风险、节省投资。第一步：市-县区云平台对接第二步：备份/恢复、标准模板推送第三步：业务扩展部署第四步：业务平台间异地扩展市-区云平台对接市-县区云平台的对接可实现两级平台的

59、分级管理，在市级平台创建公共资源池供各区使用。平台对接后市云平台不仅可以监控本地的云资源与业务运行状况，也可以监控到部署在公共资源池中的区业务运行状况；区云平台不仅可以监控到本地的云资源，与可以监控到部署在市平台公共资源池中的远程业务运行状况。如下图所示：市-区两级平台对接的部署过程主要分为两步：在市平台中为区云平台创建对接账户以及为其绑定相应的资源（包括计算、存储、网络资源、管理用户等）市平台为添加组织，建议每个区对应一个组织。添加区组织时为对应的区指定虚拟机资源配额（数量）：为该组织指定共享资源池（HA集群）：为该组织指标相应的网络、存储资源：最后，为该组织创建对接管理帐户：在区云平台中指

60、定市云平台为其外部云资源平台当市云平台管理完成上述步骤后，区云平台管理员即可用上述分配的对接管理帐号，在区云平台上完成与市平台的对接，如下图所示：区平台完成对接之后，在区云平台中的“外部云资源”里即可看到市平台为其分配的资源：市-区两级平台的对接是实现云彩虹的第一步，在这一步的部署对网络无特定要求，只有市、区两级平台网络互通、IP可达即可。备份/恢复、标准模板推送实现上述第一步中的市-区两级平台对接之后，保证网络带宽足够的条件下，即可实现备份/恢复及标准模板的推送。为缩短备份/恢复的时间，建议市-区网络带宽不小于1000M，且为专线连接保证链接质量。区平台对业务应用虚拟化的备份与恢复操作步骤如