IT基础架构建设项目解决方案

1、IT基础设施建设解决方案目录1总体架构设计31.1概述31.2网络架构设计41.3外部网络架构设计61.4无线网络架构设计71.5信息点统计表72网络和安全方案设计92.1网络虚拟化设计92.2安全虚拟化设计102.3虚拟交换机设计122.4数据库审计设备132.5防火墙设备142.6入侵防护设备152.7堡垒机器162.8互联网出口173业务系统虚拟化方案设计183.1刀片式服务器设计183.2计算虚拟化设计203.3数据中心管理设计314综合管理体系设计334.1网络管理设计334.2业务监控设计404.3终端管理的设计415无线系统设计455.1无线标准选择455.2无线医疗业务455.

2、3 48病房区无线覆盖设计5.4门诊区域无线覆盖设计485.5网络认证模式495.6外部网络认证模式496产品列表49总体架构设计总结如上图，是本项目整体结构示意图。分为外网和外网两部分。这两个网络由H3C SecPath F1070集成安全网关隔离和保护，只有授权的企业才允许访问它们。主要用于支撑医院科室的业务系统，包括网络设备、存储系统和服务器设备。外网主要用于医院接入互联网连接省市医保专线。网络设计的原则是千兆到桌面，10gb主干。外网设计原则是千兆到桌面，千兆骨干。外部通过千兆以太网链接到综合安全网关。设计方案将根据“XXX信息系统建设要求”和“省级数字化医院评估标准”进行设计。原则上

3、符合上述两个文件的指导精神。网络架构设计网络核心交换机为两台H3C S7506E核心交换机，每台交换机配有冗余主控、冗余电源模块、3个16口万兆以太网光接口模块、1个24口万兆以太网电接口+4口万兆以太网光接口模块，并配有相应的光模块和连接电缆。万兆链路用于连接楼宇接入交换机、刀片服务器系统和存储系统。IRF2虚拟化互联通过万兆链路实现，支持跨设备的链路聚合技术。通过千兆以太网电气接口连接H3C F1070集成安全网关。大楼的接入交换机为H3C S5130-EI系列交换机。根据弱电分布图统计(见本章末统计表)，本工程共有34口弱电井，每口弱电井对应的信息点不同。总共使用15个H3C S5130

4、-52S-EI开关和26个H3C S5130-28S-EI开关。每个弱电井配备一个上行交换机，两个万兆以太网光接口分别连接到两个核心交换机。通过跨设备链路聚合技术，实现了上行带宽20G，故障转移时间200ms的最优冗余配置。H3s5130-52s-ei交换机提供48个千兆以太网电接口和4个千兆以太网光接口。H3s5130-28s-ei交换机提供24个千兆以太网电接口和4个千兆以太网光接口。配置相应数量的光模块。每个弱电井中的其余交换机通过10gb电缆连接到上行链路交换机。服务器采用一台H3C UIS 8000刀片服务器，配备四台B390服务器和两台B590服务器。一台B390服务器配备了两个E

5、5-2620v3 CPU(主频为2.4GHz，六核)、64GB高性能内存、两个300 GB 10K硬盘和两个10GE Flex Fabric网卡。Fabric网卡支持1:4链路虚拟化技术，可以将物理网卡随意划分为指定带宽。一台B590服务器配备了两个E5-4620 v3 CPU(8核主频2.2GHz)、32GB高性能内存、两个300 GB 10K硬盘和两个10GE Flex Fabric网卡。Fabric网卡支持1:4链路虚拟化技术，可以将物理网卡随意划分为指定带宽。B390服务器配合H3C CAS虚拟化系统承载医疗应用业务，B590服务器配合H3C CAS虚拟化系统承载应用数据库业务。H3U

6、IS8000刀片服务器机箱配备2个OA管理模块、10个航空冗余风扇模块、6个航空冗余电源模块、1+1冗余管理模块、2个FlexFabric 10 24口刀片系统VC模块。VC模块配置有8个10千兆上行端口和16个10千兆下行端口。上行端口直接连接到核心交换机，下行端口通过无源背板连接到刀片服务器。两个VC模块通过端口互联，实现冗余保证。VC模块支持1:4链路虚拟化技术，可以将物理网卡任意划分为指定带宽，实现灵活的业务链路部署。存储系统是H3C FlexStorage P5730 IP存储系统。配备25块900GB 10000 rpm SAS硬盘，4个千兆以太网电接口，2个万兆以太网光接口。可用

7、空间为22.5TB，存储系统用于实现与虚拟化业务系统共享存储的核心业务数据的存储。存储系统通过万兆以太网链路直接连接到核心交换机，实现与业务系统的数据交互。服务在H3C CAS虚拟化管理系统上进行。H3C CAS虚拟化管理系统整合了计算、网络和存储资源的虚拟化，形成弹性数据中心资源池，实现资源的自动调度，更好地服务上层应用。虚拟化后，虚拟机完全隔离，拥有独立的CPU、内存、磁盘I/O和网络I/O，即当任何一台虚拟机出现故障时，同一台物理机上的其他虚拟机都不会受其影响。每个虚拟机都有独立的用户管理权限，可以安装独立的操作系统，不同虚拟机之间的操作系统可以是异构的。基于B/S架构的管理控制台不仅可

8、以让您轻松组织和快速部署整个IT环境，还可以全面监控包括CPU、内存、磁盘I/O、网络I/O等重要资源在内的关键组件的性能，为管理员实施合理的资源规划提供详细的数据。H3C CAS虚拟化管理系统为虚拟机中运行的应用程序提供了易于使用、经济高效且高可用性的功能。硬件故障导致的服务器或虚拟机宕机将不再造成灾难性后果。H3C CAS提供的智能资源调度功能将自动为这些服务器或虚拟机重新选择最佳运行位置。认证管理方案采用H3C EIA终端智能接入组件为网络用户提供接入认证。限制用户随意入网，满足同等保护的要求。本项目认证系统采用门户认证方式，门户网关部署在核心交换机中。为每个用户提供账号和密码，绑定IP

9、地址和MAC地址，实现统一接入认证。Portal认证方式也非常适合无线医疗终端接入网络，为医院未来实现无线医疗全覆盖打下良好基础。为了保证网络的信息安全，满足数字化医院对信息安全建设的要求，网络配备了堡垒机和数据库审计系统。通过千兆以太网电气接口直接连接到核心交换机。堡机用于日常运维审计管理平台，记录运维行为，统一管理账目。数据库审计系统用于数据库操作的安全保护和记录审计。以上两个系统配合使用，可以实现医院的日常业务管理，同时可以进行“反统”工作。外部网络架构设计外部网络核心交换机是一台H3C S7506E-S核心交换机。配置单个冗余电源模块、冗余主控模块、1个48口千兆以太网电接口模块、1个

10、48口千兆以太网光接口模块，并配置相应的光模块。通过千兆以太网光接口连接外网楼宇接入交换机，通过千兆以太网电接口连接综合安全网关、医保前置机、出口安全网关、防火墙等设备。外网接入交换机为h3c5110系列千兆交换机。外网的信息点比较分散，所以所有的接入交换机都是通过千兆以太网光接口上行到核心交换机。根据信息点统计分析，H3C S5110-28P接入交换机有12台，H3C S5110-52P接入交换机有18台。配置相应的光学模块。H3C S5110-28P接入交换机配有24个千兆以太网电接口和4个千兆以太网光接口，H3C S5110-52P接入交换机配有48个千兆以太网电接口和4个千兆以太网光接

11、口。应在外部互联网出口部署H3C ACG-1000M出口安全网关。一个单元配有16个千兆以太网电气接口、4个多路复用千兆以太网光学接口和冗余电源模块。提供3年功能库升级服务。提供管理软件。出口网关提供全院NAT功能，支持链路负载均衡，可以精细识别和控制网络中的网络社区、P2P/IM带宽滥用、网络游戏、股票交易、网络多媒体、非法访问等行为。利用智能流量控制、智能拦截、智能路由等技术，结合创新的社交网络行为管理功能、清晰易管理的日志等功能，可以提供业界最全面完善的在线行为管理解决方案。从而保证关键网络应用和业务的带宽，对网络流量和用户上网行为进行深入分析和全面审计，为用户全面了解网络应用模式和流量

12、趋势、优化自身带宽资源、开展各项业务提供有力支持。符合公安部82号令，实现网络流量精细化管理。部署H3C F1050集成安全网关，连接省市医保线。提供16千兆以太网电接口，8千兆以太网光接口，支持2个扩展槽。支持多种VPN服务，如L2TP VPN、GRE VPN、IPSec VPN和SSL VPN。采用最新先进的64位多核高性能处理器和高速内存。支持H3C SCF虚拟化技术，可以将多个设备虚拟化为一个逻辑设备，可以呈现为一个网络节点，统一管理资源，完成业务备份，提升系统整体性能。支持的吞吐量为5GB。部署H3C F1070集成安全网关作为外部网络隔离屏障。配备杀毒功能，提供3年特征库升级。提供

13、16个千兆以太网电接口、8个千兆以太网光接口和2个千兆以太网光接口。支持两个扩展槽。支持多维度综合安全防护，可从用户、应用、时间、五元组等多维度对流量进行IPS、AV、DLP等综合安全访问控制，有效保障网络安全。吞吐量8GB。无线网络架构设计本无线网络的设计将采用同一套AP，分别连接网络和外部网络。部署网络PoE交换机以提供无线AP电源。无线AP要求有两个独立的千兆以太网电接口，可以分别连接网络和外网。这两个端口被分配给不同的VLAN，以实现网络与外部网络的隔离。同一个AP提供不同的SSID，认证系统保证网络用户不能访问外网的SSID，外网用户也不能访问本网的SSID。无线医疗的业务主要用于住

14、院病房，包括无线查房、无线输液、无线医嘱等。相对来说，公网的应用较少。对于门诊科室和拥挤的大厅，主要应用是公网应用。医院不应该让陪护人员随意访问公网，这不符合数字化医院的要求。他们只能接入医院指定的微信平台或公网业务平台。无线网络的详细设计将在后面介绍。信息点统计表信息点统计表建筑物西南弱电井东南弱电井西北弱电井东北弱电井24端口交换机48端口交换机1F9276四十四30六2F四十二个86六30一个四3F64四十四2440一个四4F五十二个701826一个五5F162226F22027F2622一个一个8F2622一个一个9F2622一个一个10F2622一个一个11F2622一个一个12F2

15、622一个一个13F1622一个一个屋顶2一个相当于2502762823221526外网信息点统计表建筑物西南弱电井东南弱电井西北弱电井东北弱电井24端口交换机48端口交换机1F四四三三2F三三四三3F三四24F一个2四三5F六51一个26F324627F四十四4728F四十四4729F四十四47210F四十四47211F四十四47212F四十四47213F16242相当于七八3234181218网络安全方案设计网络虚拟化设计面对校园网横向业务融合的需求，S7500E支持IRF2(第二代智能弹性架构)技术，将众多高端设备虚拟化为一个逻辑设备，是业界首款支持4帧虚拟化的核心交换机产品。它在可靠性

16、、分布性和可管理性方面具有很强的优势。IRF(Intelligent Resilient Framework)是H3C自主研发的虚拟化技术，用于集成网络中同一层的设备。其核心思想是将多台设备连接在一起，经过必要的配置后虚拟成一台设备。利用这种虚拟化技术，可以集合多台设备的硬件资源和软件处理能力，实现多台设备的协同工作、统一管理和不间断维护。IRF主要有以下优势:简化管理。IRF组建后，用户可以通过任何成员设备的任何端口登录IRF系统，统一管理IRF的所有成员设备。可靠性高。IRF的高可靠性体现在很多方面，比如:IRF由多个成员设备组成，主设备负责IRF的运行、管理和维护，从设备作为备份可以处理

17、业务。一旦主设备出现故障，系统会快速自动选举新的主设备，保证业务不中断，从而实现设备的1:N备份；此外，成员设备之间的IRF链路支持聚合功能，IRF与上下设备之间的物理链路也支持聚合功能。多个链路可以相互备份或分担负载，从而进一步提高IRF的可靠性。网络拓展能力强。通过添加成员设备，很容易扩展IRF的端口号和带宽。因为每个成员设备都有CPU，可以独立处理协议消息和转发消息，所以IRF可以轻松扩展其处理能力。使用IRF后，汇聚层中的多个设备成为一个逻辑设备，接入设备直接连接到该虚拟设备。这种简化的网络不再需要使用MSTP和VRRP协议，从而简化了网络配置。同时依赖于跨设备的链路聚合，当成员失效时

18、，不再依赖于MSTP、VRRP等协议的汇聚，提高了可靠性。IRF还可以扩展系统的处理能力和带宽。当原有设备的处理能力不能满足需求时，可以通过增加更多设备形成IRF来提高整体处理能力。安全虚拟化设计安全集群架构(SCF)是H3C(以下简称H3C)自主研发的安全设备软件虚拟化技术。其核心思想是将多个安全设备连接成一个设备。它可以集成多个安全设备的软件处理能力，实现多个安全设备的协同工作、统一管理和不间断维护。SCF主要有以下优点:1.简化管理。SCF组建后，用户可以通过任意成员设备的任意端口登录SCF系统，统一管理SCF的所有成员设备。2.可靠性高。SCF的高可靠性体现在很多方面，比如:SCF由多

19、个成员设备组成，主设备负责SCF的运行、管理和维护，从设备作为备份可以处理业务。一旦主设备出现故障，系统会快速自动选举新的主设备，保证业务不中断，从而实现设备的1:N备份；此外，成员设备之间的SCF链路支持聚合功能，SCF与上下设备之间的物理链路也支持聚合功能，多条链路可以互为备份或分担负载，进一步提高了SCF的可靠性。3.网络扩展能力强。通过添加成员设备，可以轻松扩展SCF的端口数量和带宽。因为每个成员设备都有CPU，可以独立处理协议消息和转发消息，所以SCF可以很容易地扩展其处理能力。SCF的部署模式完全突破了机框的限制，在简化管理和部署的基础上，实现了安全服务和安全性能的弹性扩展，可以通

20、过一组SCF系统实现业务流量的自动负载分担和冗余备份。SCF组中的每个设备都称为成员设备。根据不同的功能，成员分为两种角色:1.主设备(简称主设备):负责管理整个SCF系统。2.从设备(简称从设备):作为主设备的备份设备。当主设备出现故障时，系统会自动从从设备中选择一个新的主设备来替换原来的主设备。索普科技华三通信科技(以下简称H3C)自主研发了安全设备软件虚拟化技术。其核心思想是将一个安全设备连接成多个设备。您可以为多个安全出口分配独立的处理能力和配置。实施独有的安全策略。F5000采用创新的基于容器的虚拟化技术，实现真正的虚拟防火墙，即安全一平台(SOP)。每个secure ONE平台都完

21、全继承了F5000设备的所有功能。sop真正基于流程相互隔离，而不是传统的通过路由隔离。每个SOP系统都有自己独立的运行空间，包括管理平面、控制平面、数据平面和完整的安全业务功能。每个SOP都可以独立启动、暂停和关闭，单个SOP的故障不会对其他SOP和整个物理系统产生任何影响。SOP可以通过统一的OS内核对系统的静态和动态资源进行精细划分。其中，静态资源包括内存、硬盘、接口、TCAM等。，相关的逻辑资源包括并发会话、VPN隧道、安全策略、安全域、动态路由、VLAN等。动态资源包括CPU，相关逻辑资源包括吞吐量、新建率、抗攻击能力、VPN处理能力等。sop的数目可以根据系统需求的变化而动态调整。

22、基于SOP的全分布式处理能力，在单个SOP能力不变的前提下，可以通过增加业务板来扩展系统中SOP数量的上限。SOP能力可以根据用户要求动态调整。当业务需求发生变化时，无需重启SOP即可在线平滑调整CPU、内存等资源，保证用户业务完全不受影响。SOP能力可以基于SCF能力。至少，F5000设备可以选择先用SCF技术完成N:1虚拟化，再用SOP技术完成1:N虚拟化。虚拟交换机设计在本项目中，医院将采用虚拟化技术完成所有业务系统的虚拟化部署。虚拟交换机是虚拟化技术中非常重要的一个环节。H3C的虚拟化交换机可以兼容VMware平台，实现现有资源的统一管理。H3s1010v是H3C公司推出的面向企业和行

23、业数据中心虚拟化环境的智能软件交换机产品，适用于VMware ESXi企业增强环境。通过与VMware紧密合作，H3C S1010V可以与VMware虚拟基础架构(包括VMware vCenter和VMware ESXi)完全集成，并取代VMware的基本虚拟交换机，为虚拟机提供增强的分布式虚拟交换功能。H3S1010V在设计上遵循OpenFlow标准架构，实现了控制平面与转发平面分离的可编程网络技术。整个产品包括VCE，VFE和插件。并且运行在ESXi服务器上，ESXi服务器是VMware ESXi核心的一部分，可以完全替代VMware虚拟交换机的功能。从定位上看，相当于OpenFlow标准

24、中的OpenFlow交换机，起到数据转发平面的作用，实现虚拟网络端口的流量控制和转发。收到数据包后，VFE首先在本地OpenFlow流表中查找转发目的端口。如果不匹配，则将数据包转发给VCE模块，由控制层决定转发策略和转发端口。部署在多个ESXi上的VFE形成了跨物理主机的分布式软件虚拟交换机。当虚拟机迁移时，虚拟网卡上的网络策略可以在每台服务器上同步。VCE(虚拟控制器引擎)以标准OVF(开放式虚拟化格式)虚拟机格式交付，并通过VMware vCenter提供的OVF模板部署功能安装在单独的虚拟机上。从定位上看，相当于OpenFlow标准中的控制器，通过Web GUI界面实现VFE的集中管理

25、和配置。插件(插件)运行在VMware vCenter Server上的一个插件，是H3C S1010V专门为VMware开发的第三方管理接口，主要提供端口策略组的配置接口。数据库审计设备审计设备将通过千兆以太网电气接口连接到核心交换机。数据库中审计设备的部署位置和功能实现没有关联。可以到达数据库的IP地址就足够了。H3secpath d2020数据库审计设备吞吐量2GB，峰值事务处理能力20000条/秒，日志存储能力4亿条。数据库是任何企业和公共安全中最具战略性的资产。它通常包含重要的业务合作伙伴和客户信息，需要加以保护以防止竞争对手和其他非法人员获取这些信息。互联网的快速发展提高了企业数据

26、库信息的价值和可访问性，同时也使数据库信息资产面临严峻的挑战，这些挑战可以概括为以下三个方面:管理层面:主要表现为人员的职责和流程有待完善，部分员工的日常操作有待规范，第三方维护人员的操作监控失效等。，这使得在发生安全事故时无法追踪和定位真正的操作员。技术层面:现有数据库部门运行情况不明，任何外部安全工具(如防火墙、IDS、IPS等。)无法阻止该部门用户的恶意操作、资源滥用和企业信息泄露。审计级:现有的依赖于数据库日志文件的审计方式存在很多弊端，如:数据库审计功能的开启会影响数据库本身的性能，数据库日志文件本身存在被篡改的风险，难以体现审计信息的真实性。随着数据库信息价值和可访问性的提高，数据

27、库面临的来自内部和外部的安全风险大大增加，如非法和未经授权的操作以及恶意入侵，导致信息窃取和泄露，但事后无法有效追踪和审计。为了解决数据库信息安全领域深层次的安全问题和审计需求，基于多年的数据库安全理论和实践经验，华三公司成功推出了业内首个面向政企核心数据库的安全产品华三数据库审计系统，该系统专注于细粒度审计、精准行为回溯和全方位风险控制，为您的核心数据库提供全方位、细粒度的保护功能，并能帮助用户带来以下全面记录数据库访问行为，识别未授权操作等违规行为，完成追溯。跟踪敏感数据访问行为的轨迹，建立访问行为模型，及时发现敏感数据泄露。检测数据库配置弱点，发现SQL注入和其他漏洞，并提供解决方案。为

28、数据库安全管理和性能优化提供决策依据。提供符合法律法规的报告，满足等级保护、企业控制等审计要求。防火墙在本项目中，NGFW下一代防火墙被选为出口安全(H3C SecPath F1050-8GB吞吐量)，以将设备与外部网络隔离(H3C SecPath F1070-12GB吞吐量)。防火墙的部署位置包括与医保互联的出口防火墙和用于外部网络隔离的综合安全防火墙。其中，用于隔离的防火墙配备了IPS-入侵防御和AV- antivirus功能授权，以3年特征库升级。集成防火墙通过万兆以太网光纤接口连接到网络核心交换机和外部网络核心交换机。H3SecPath F10X0系列防火墙是华三通信科技(以下简称H3

29、C公司)随着Web2.0时代的到来，结合当前安全与网络深度融合的技术趋势，针对中小企业、校园网互联网出口、广域网分支市场推出的下一代高性能防火墙产品。H3SecPath F10X0系列防火墙支持多维度集成安全防护，可以进行IPS、AV、DLP等的集成安全访问控制。对于用户、应用、时间、五元组等多维度的流量。，可以有效保证网络安全；支持多种VPN服务，如L2TP VPN、GRE VPN、IPSec VPN和SSL VPN等。，并与智能终端连接，实现移动办公；提供丰富的路由能力，支持RIP/OSPF/BGP/路由策略和基于应用和URL的策略路由；在支持IPv4/IPV6双协议栈的同时，可以实现对I

30、PV6的状态保护和攻击防范。H3SecPath F10X0系列防火墙采用互为冗余备份的双电源(1+1备份)，支持两台计算机集群部署的SCF技术，完全满足高性能网络的可靠性要求。同时，F10X0产品可以在1U高设备上提供至少24个千兆接口和2个千兆固定接口。入侵防御设备入侵防御设备以插卡的形式直接部署在核心交换机上。通过背板互连。用于数据中心安全保护。不需要额外的连接配置。当IPS板出现故障时，流量可以通过自动旁路得到保护。这次部署了两张IPS卡，单张IPS卡的吞吐量为10GB。Sec IPS是业内唯一集漏洞库、专业病毒库、应用协议库于一体的IPS模块。借助h3cfirst(严格状态测试全检查)

31、专有引擎技术，能够实时准确识别和防范各类网络攻击和滥用行为。Sec IPS通过了国际权威机构CVE(Common Vulnerabilities & Exposures)的兼容性认证，在系统漏洞研究和攻击防御方面达到了顶尖水平。集成卡巴斯基反病毒引擎和病毒库。采用第二代启发式代码分析、iChecker实时监控和独特脚本病毒拦截等前沿反病毒技术，可实时查杀各类文件、网络、混合病毒；并采用新一代虚拟脱壳和行为判断技术，精准查杀各类变种病毒和未知病毒。H3C专业安全团队密切跟踪全球知名安全机构和厂商发布的安全漏洞公告，通过精准分析，快速生成保护操作系统、应用系统和数据库漏洞的特征库；H3C通过了微软

32、的MAPP(Microsoft Active Protection Program)认证，可以提前获得微软的漏洞信息。同时，通过部署在世界各地的蜜罐系统，实时掌握最新的攻击技术和趋势，定期(每周)和紧急(发现重大安全漏洞时)发布，并自动或手动分发到SecBlade IPS模块，使用户的SecBlade IPS模块快速具备防御零时差攻击的能力。堡垒机器通过fortress machine千兆以太网电气接口直接连接到核心交换机。要塞机的部署位置与实际功能无关。随着信息系统规模的不断扩大，企事业单位需要管理的设备越来越多，数据的敏感度越来越高，管理人员也越来越复杂，带来了一系列的困难和安全隐患。如部

33、门管理人员越权操作设备，造成数据泄露，设备密码因修改工作量过大而长时间不修改。H3secPath A2020和A2100是面向运营商和行业市场的高性能、高度可管理的运维审计系统，硬件上采用X86处理架构。A2020是1U独立盒设备，提供6个千兆以太网端口，单电源设计，支持交流电源。A2100是一款2U独立机箱设备，提供4个千兆以太网端口+2个千兆以太网端口，并提供扩展槽，用于端口和业务扩展的双电源设计，支持交流供电。在功能方面，SecPath A2020和A2100为用户提供了全面的运维管理体系和运维能力，支持资产管理、用户管理、双因素认证、命令阻塞、访问控制、自动加密、审计等功能。，可以有效

34、保证运维过程的安全。协议方面，SecPath A2020和A2100全面支持SSH/TELNET/RDP(远程桌面)/FTP/SFTP/VNC，可支持VMware/XEN等虚拟机管理，oracle、/S等数据库管理，小型机管理等。通过应用程序中心remoteapp技术扩展。互联网出口互联网的主要功能是为全院提供公共网络接入。包括患者就医产生的公网流量和医院科室外部互联网流量。为满足公安部82号令和数字化医院的要求，增加互联网出口网关。ACG1000-M吞吐量800MB，支持与H3C环评认证系统合作，实现基于用户名或微信账号的审核。H3SecPath ACG 1000是H3C公司的新一代应用控制

35、网关。ACG1000引入全方位互联网行为管理元素，是为客户业务量身定制的全业务网关产品。H3secpath ACG 1000可以精细识别和控制网络中的网络社区、P2P/IM带宽滥用、网络游戏、股票交易、网络多媒体、非法访问等行为。利用智能流量控制、智能拦截、智能路由等技术，结合创新的社交网络行为管理功能、清晰易管理的日志等功能，可以提供业界最全面完善的在线行为管理解决方案。从而保证关键网络应用和业务的带宽，对网络流量和用户上网行为进行深入分析和全面审计，为用户全面了解网络应用模式和流量趋势、优化自身带宽资源、开展各项业务提供有力支持。系统虚拟化方案设计刀片服务器设计H3Flex服务器UIS80

36、00刀片机箱采用一系列全新技术，提供简化的管理、强大的处理能力、超强的网络带宽、更高效的供电和散热。一个UIS8000刀片式服务器机箱可以支持16台半高刀片式服务器或8台全高刀片式服务器。H3Flex服务器UIS8000机箱可以提供模块化服务器、互连模块和存储组件、电源模块、冷却模块和网络模块。机箱高10U，可容纳16台半高刀片式服务器或8台全高刀片式服务器，以便与可选的冗余网络和存储模块互连。它有一个共享的中间背板，可以同时将刀片服务器连接到网络和共享存储设备。服务器由OA管理模块和远程管理模块管理，可以实现综合控制。节能技术:结合动态功率封顶的精确测量和控制，在不损失性能的情况下，节约能源

37、，回收闲置电能。互联架构:连接一次即可动态添加、替换或恢复刀片服务器，不会影响网络和存储或生成其他操作。中间背板:无单点故障，可使用户业务正常运行。板载管理:提供实用的管理工具，简化日常管理，提示问题，方便用户问题定位和恢复。高性能和高度灵活的网络连接:UIS8000刀片机箱背板带宽高达7TB，可支持多种不同的网络类型。冗余设计:UIS8000刀片机箱采用模块化设计，所有组件支持热插拔。UIS8000刀片机箱背板是一种完全没有移动部件的背板，服务器和网络互联模块之间采用冗余链路，避免了单点故障的可能。UIS8000刀片机箱采用由多个主动冷却风扇组成的冗余热插拔冷却系统。简化的初始安装和管理:创

38、新的板载LCD管理面板可以在短时间内快速完成服务器的安装和配置。无论是本地管理还是远程管理，向导式的管理界面都可以大大简化日常工作，加快故障判断和修复的速度。更高效:与传统机架式服务器相比，功耗更低，占用空间更少，连接线缆更少。模块化组件:刀片式服务器、存储和其他模块化组件可以在不中断电源的情况下轻松添加或移除。灵活管理:刀片模块和网络连接模块的管理不限于一个刀片机箱，系统可以允许跨刀片机箱的资源整合和共享。共享电源和冷却系统:刀片系统可以提供最佳的能耗比和最佳的冷却效率。简单的管理模式:无需复杂的规划即可完成数据中心的系统冗余、供电、冷却和管理的设计，模块化的服务器、存储和网络设备均可通过一

39、个控制台进行管理。投资保护:刀箱内可安装多种不同规格的服务器和网络设备。下表列出了基本性能参数:设备支架支持多达16台半高刀片式服务器。支持多达8台全高刀片式服务器。支持混合配置互连支架可支持8个网络互联模块。电源集成机箱，最多可配置6个单相电源。迷集中式冗余风扇，最多可配置10个活动智能冷却风扇。经营冗余OA管理模块-局域网和串行访问支持本地KVM连接措施4.7厘米(宽)81.3厘米(深)44.2厘米(高)毛重204Kg输入电压交换；通讯额定电压范围:200伏 240伏交流电，50/60赫兹直流额定电压范围:-36V -72V DC工作环境温度10摄氏度35摄氏度工作环境湿度10%90%下表

40、列出了网络模块:Flex-10 26端口VC模块港口形状向下端口:16*10GE上行链路:10*10GE堆叠端口:4*10GE网络特征支持端口虚拟化为4个虚拟端口；支持无状态计算；FlexFabric 24端口VC模块港口形状向下端口:16*10GE上行端口:8*10GE(其中4个可以切换到8Gb FC端口)堆叠端口:2*10GE网络特征支持端口虚拟化为4个虚拟端口；支持无状态计算；支持FCOE；B6300XLG以太网模块港口形状向下端口:16*10GE上行链路:8*10GE+4*40GE堆叠端口:4*10GE网络特征支持FCOE、IRF2、IPv4/IPv6、VEPA、SPB、TRILL；B

41、6300G/XG以太网模块港口形状向下端口:16*GE上行链路:4*GE+4*10GE堆叠端口:1*10GE网络特征IRF/vrrp/rrpp/supported；24端口FC VC模块港口形状向下端口:16*8Gb上行端口:8*8Gb网络特征支持无状态计算；支持NPIV模式和N _ port计算虚拟化设计服务器是云计算平台的核心，承担着云计算平台的“计算”功能。对于云计算平台上的服务器，通常将相同或相似类型的服务器组合在一起作为资源分配的母体，即所谓的服务器资源池。在这个服务器资源池上，通过安装虚拟化软件，其计算资源可以以云主机的方式被不同的应用和用户使用。在x86服务器上，主要以H3Clo

42、ud云主机的形式存在。在随后的方案描述中，云主机都有描述，如下:H3C虚拟化软件的组成。CVK:云虚拟化内核，虚拟化核心平台运行在基础设施层和上层操作系统之间的“元”操作系统用于协调上层操作系统对下层硬件资源的访问，减少软件对硬件设备和驱动程序的依赖，加强虚拟化操作环境中的硬件兼容性、高可靠性、高可用性、可扩展性、性能优化等问题。CVM:虚拟化管理系统云虚拟化经理主要实现数据中心内计算、网络、存储等硬件资源的软件虚拟化，形成虚拟资源池，为上层应用提供自动化服务。其业务范围包括:虚拟计算、虚拟网络、虚拟存储、高可靠性(HA)、动态资源调度(DRS)、云主机容灾备份、云主机模板管理、集群文件系统、

43、虚拟交换机策略等。H3C的CAS虚拟化平台用于虚拟化多台服务器，然后将它们连接到共享存储，构建一个计算资源池，可以通过网络按需为用户提供计算资源服务。同一资源池中的云主机可以在资源池中的物理服务器上动态漂移，从而实现资源的动态分配。CAS产品的逻辑架构图如下:计算资源池的构建可以通过以下四个步骤来完成:计算资源池的分类设计、主机池设计、集群设计、云主机设计。1)计算资源池的分类设计在设置服务器资源池之前，我们应该首先确定资源池的数量和类型，并对服务器进行分类。分类标准通常根据服务器的CPU类型、型号、配置、物理位置和用途来确定。对于云计算平台，属于同一个资源池的服务器通常被视为一组可以相互替代

44、的资源。所以一般配置处理器相同、型号系列相近、物理位置相近的服务器，比如型号相近、物理距离不远的机架式服务器。在规划资源库的时候，也要考虑它的规模和功能。如果单个资源池的规模更大，可以为云计算平台提供更大的灵活性和容错性:可以在其上部署更多的应用程序，单个物理服务器的宕机对整个资源池的影响更小。同时，过大的规模也会给出口网络的吞吐量带来更大的压力，不同应用之间的干扰也会更大。初始资源池规划应涵盖云计算平台可管理的所有服务器资源，包括新购买的用于构建云计算平台的服务器、用户部门当前闲置的服务器以及运行业务应用的现有服务器。在云计算平台的初期，那些目前服务于业务系统的服务器不会直接归云计算平台管辖

45、。但是，随着云计算平台的推出和业务系统的逐步迁移，这些服务器将逐渐被并入云计算平台的资源池。我们根据用户的需求，将云计算资源池按照用途分为云主机&云存储区域资源池、管理和服务区域资源池，以便云计算平台在项目的实施过程中和平台上线后的运维过程中使用。云计算平台搭建完成后，服务器资源池可以如下图所示:H3C CVM虚拟化管理平台系统以树形结构组织管理云计算资源池的物理服务器资源，云资源中被管理对象之间的关系如下图所示:2)主机池设计在完整的云计算软件架构中，主机池是一系列主机和集群的集合，主机可以包含在集群中，也可以独立存在。所有未加入群集的主机都在主机池中进行管理。3)集群设计集群的目的是使用户

46、能够像管理单个实体一样轻松地管理多个主机和云主机，从而降低管理的复杂性。同时，通过定期监控集群主机和云主机的状态，如果一台服务器主机出现故障，在该主机上运行的所有云主机都可以在集群中的其他主机上重启，从而保证数据中心业务的连续性。4)云主机设计每一台云主机都是一个完整的系统，有CPU，内存，网络设备，存储设备，BIOS。因此，云主机和物理服务器中的操作系统和应用程序没有区别。与物理服务器相比，云主机具有以下优势:在标准x86物理服务器上运行。可以访问物理服务器的所有资源(如CPU、内存、磁盘、网络设备和外设)，任何应用都可以在云主机上运行。默认情况下，云主机之间是完全隔离的，从而实现安全的数据

47、处理、网络连接和数据存储。它可以与其他云主机共存于同一台物理服务器上，从而充分利用硬件资源。云主机镜像文件和应用可以封装在文件中，云主机可以通过简单的文件复制进行部署、备份和恢复。它具有移动性和智能性，可以在不同的物理服务器之间轻松迁移整个云主机系统(包括虚拟硬件、操作系统和配置的应用程序)，即使云主机正在运行。它可以将分布式资源管理与高可用性结合起来，从而为应用程序提供比静态物理基础设施更高的服务优先级。它可以作为即插即用的虚拟工具(包括一整套虚拟硬件、操作系统和配置的应用程序)来构建和分发，以实现快速部署。在计算资源池中，一般物理服务器与云主机的整合比例平均不超过1:8，单台物理服务器上所

48、有云主机的vCPU之和不超过物理机总核数的1.5倍，单台物理服务器上所有云主机之和不超过物理存储的120%。构建计算资源池后，软件本身需要保证整个计算资源池和应用的可用性和可靠性。H3C CAS虚拟化软件通过以下技术满足可用性和可靠性的要求:5)云主机模板设计云主机模板包括云主机的vCPU、存储等参数，主机根据主要应用系统的负载提供不同的规格。当使用云计算向用户交付服务时，用户通过云门户申请的IT服务资源是业务应用模板，因此需要提前设计相应的IT服务模板并发布到云门户。当用户申请该服务时，云平台根据模板进行资源排列，快速生成云主机相关资源供用户使用。6)高可用性设计高可用性包括两个方面:1.云

49、主机之间的隔离:每个云主机都可以隔离保护，一个云主机的故障不会影响同一物理机上的其他云主机；2.物理机故障不会影响应用:运行在故障物理机上的云主机可以自动迁移接管，即云主机可以在同一个集群的多台服务器之间迁移，从而实现多台物理服务器之间的相互热备，实现当其中一台物理服务器出现故障时，其上的云主机可以自动切换到其他服务器，应用可以保证物理机宕机时零宕机。H3C CAS虚拟化平台的HA功能将监控该集群中的所有主机以及物理主机运行的虚拟主机。当物理主机出现故障并停机时，HA功能组件将立即做出响应，并重启运行在集群中另一台主机上的云主机。当出现问题时，HA功能会自动重启云主机，恢复中断的业务。7)动态

50、资源调度动态资源调度功能可以持续监控计算资源池中各物理主机的利用率，根据用户的实际需求，智能地将所需的计算资源分配给计算资源池中各物理主机之间的虚拟机。通过自动和动态地分配和平衡计算资源，动态资源调整功能可以:整合服务器，降低IT成本和增强灵活性；减少停机时间，保持业务连续性和稳定性；减少需要运行的服务器数量，提高能源利用率。动态资源调度功能组件能够自动持续地平衡计算资源池中的容量，并能够动态地将云主机迁移到具有更多可用计算资源的主机上，以满足虚拟机对计算资源的需求。即使大量虚拟机运行SQLServer，只要开启动态资源调整功能，也不需要逐个监控CPU和内存瓶颈。全自动的资源分配和负载均衡功能

51、还可以显著提高数据中心计算资源的利用效率，降低数据中心的成本和运营费用。如上图所示，动态资源调整功能通过心跳机制定时监控集群主机的CPU利用率，并根据用户自定义的规则判断是否需要为该主机在集群中寻找可用资源更多的主机，从而将该主机上的云主机迁移到另一台资源更合适的服务器上。8)动态资源扩展特性计算虚拟化简化了部署业务服务器的流程和具体工作，大大缩短了新业务服务器的部署周期，并使通过快速添加或删除业务服务器来应对业务访问的突然变化成为可能。因此，已经部署云业务环境的用户开始考虑采用动态部署模式来应对业务访问的突发需求。但是，采用动态资源部署的前提是，IT管理人员能够对业务访问的突然变化保持敏感，

52、并能够快速采取措施进行处理。然而，在目前的IT基础设施中，业务负载监控平台、虚拟服务器管理平台和业务分发系统往往是分离的，没有集成在一起形成统一的方案。当IT管理人员感知到业务访问的变化时，他们只能手动增加或减少虚拟服务器，并在业务分发系统中进行配置。这无疑是不灵活和低效的。为了满足这些需求，H3C CAS虚拟化平台可以实现面向应用的云动态资源扩展解决方案DRX，如下图所示。H3C虚拟化管理系统可以检测到业务所在的云主机性能不足，快速复制云主机，配合负载均衡设备对外提供服务。当访问高峰结束时，虚拟化管理系统可以动态收缩和删除多余的云主机，以便计算资源可以按需移动。虚拟管理平台的设计H3C CA

53、S CVM虚拟化管理系统是H3cas虚拟化平台的核心组成部分之一，主要实现对数据中心的计算、网络、存储等资源池的管理和控制，并为上层应用提供自动化服务。CVM平台可以集中管理数千台物理服务器和数万台云主机，所有相关任务都可以通过统一的管理平台集中管理。管理员只需要键盘鼠标就可以实现云主机的部署、配置和远程访问。软件界面如下所示。虚拟化管理系统可以实现以下功能:基于集群的集中管理、共享存储管理能力、虚拟交换机管理和资源使用监控。基于集群的集中管理；H3C CAS CVM虚拟化管理系统将服务器主机和云主机组织成集群。单个集群支持超过5，000台物理机和超过1pb的分布式共享文件系统存储。此外，单个

54、集群支持的并行任务调度数量不低于10万。它提供了清晰的分层视图，直观地展示了数据中心、主机池、集群、主机和云主机之间的关系，大大简化了资源管理的工作量。基于集群的集中管理的优势是:借助集中管理功能，管理员可以通过统一的界面组织、部署、监控和配置整个IT环境，从而降低管理成本。由多个独立的服务器主机聚合而成的具有共享资源池的集群，不仅降低了管理的复杂性，而且具有高可用性。通过监控集群中的所有主机，一旦一台主机出现故障，H3C CAS CVM虚拟化管理系统将立即做出响应，并在集群中的另一台主机上重启受影响的云主机。此外，它支持集群的在线扩展，从而为用户提供了一个经济有效的高可用性解决方案。共享存储

55、管理H3C中科院CVM虚拟化管理系统中的虚拟机文件系统是一个优化的高性能集群文件系统，允许多个计算节点同时访问同一个虚拟机存储。由于虚拟体系结构系统中的虚拟机实际上封装在一个归档文件和几个相关的环境配置文件中，因此通过将这些文件放在SAN存储阵列上的文件系统中，不同服务器上的虚拟机可以访问这些文件，从而消除了单点故障。虚拟交换机管理虚拟交换机是由软件实现的IP报文转发和控制模块。在物理环境中，物理服务器通过物理交换机连接到网络，而在云平台中，云主机通过虚拟交换机连接到网络。为了让维护人员直观易懂，H3C的虚拟化管理系统中会有一个直观易懂的虚拟交换机管理界面，如下图所示。H3C CAS虚拟交换机

56、旨在将整个虚拟交换机呈现为物理交换机的面板，连接到虚拟交换机的云主机的虚拟网卡由绿色闪烁的端口表示。每个闪烁的绿色端口代表一个活动的虚拟端口，可以显示端口名称、连接端口的云主机名称、云主机的vNIC对应的MAC地址等。性能监控，包括以下监控参数:物理服务器性能状态的监控:提供物理服务器的CPU、内存等计算资源的图形化报告和其上运行的云主机利用率TOP5报告，为管理员实施合理的资源规划提供详细的数据。云主机性能状态监控:对云主机的CPU、内存、磁盘I/O、网络I/O等关键资源提供全面的性能监控。虚拟交换机状态监控:为虚拟交换机上的每个虚拟端口提供流量统计和模拟面板的图形显示。虚拟网卡性能状态监控

57、:提供进出云主机的虚拟端口流量的图形实时显示。数据中心管理设计H3UIS统一基础设施系统是H3C推出的面向IaaS(基础设施即服务)层的整体云计算解决方案。通过深度整合传统的计算、网络、存储、管理软件等组件，它可以有效地为用户提供快速的业务在线、集成管理、简单的运维以及更低的TCO。H3is统一基础架构系统包括UIS统一管理矩阵、UIS8000刀库、UIS B系列刀片服务器、UIS R系列机架式服务器、UIS Cell云业务单元和UIS Pack云业务系统。其中，H3UIS统一管理矩阵是将数据中心网络、刀片服务器、机架式服务器、服务器虚拟化，实现与存储等基础组件统一管理和部署的设备。它摒弃了传

58、统的碎片化管理，使基础设施部署和IT运维变得简单。H3UIS统一管理矩阵集成了服务器、交换机、KVM控制器，创新性地集成了统一管理、路由切换、KVM切换等功能。UIS统一管理矩阵分为机架式和刀片式两种形式，用户可以根据数据中心的规模进行灵活选择。对于一些数据中心规模较小的中小型用户来说，H3UIS8000刀盒由于高度集成了服务器、网络、存储、服务器虚拟化等组件，可以满足用户的业务需求。对于单机架UIS8000，在UIS8000刀箱中嵌入UIS统一管理矩阵，登录UIS统一管理矩阵，可以实现单个刀箱的服务器、网络、存储、虚拟化软件、刀箱等组件的统一管理。因此，单框架UIS8000可以提供IaaS层

59、所需的所有组件和统一管理。“多合一”的特点充分诠释了UIS8000“一体式框架”对于大规模数据中心，往往存在刀片设备和机架设备的混合组网，机架UIS统一管理矩阵可以实现对服务器、网络、存储、虚拟化软件等下游组件的统一管理。作为H3C UIS统一基础设施体系的重要组成部分，UIS统一管理矩阵也充分体现了深度融合的特点。UIS统一管理它集成了矩阵服务器、交换机、KVM控制器等设备，创新性地集成了统一管理、路由切换、KVM切换等功能。不仅大大降低了设备购置成本，也降低了维护难度。集成管理系统设计网络管理设计随着网络建设的不断发展，除了单纯追求高带宽、高速度，安全的网络、高效的网络、可操作的网络成为越

60、来越多用户关注的焦点，网络的精细化管理越来越受欢迎。一套好的管理软件无疑对网络的精细化管理起着至关重要的作用。基于多年的积累和对用户网络的深入了解，H3C智能管理中心(iMC)平台(以下简称iMC平台)为用户提供了实用易用的网络管理功能。在集中管理网络资源的基础上，实现了拓扑、故障、性能、配置、安全等管理功能。，不仅提供功能，还通过流程指导告诉用户如何使用功能满足业务需求，为用户提供网络精细化。对于设备数量多、分布区域广、网络相对集中的网络，iMC平台提供分级管理功能，有利于全网明确的去中心化管理和负载分担。IMC平台不仅涵盖了网络管理功能，也是其他业务管理组件的承载平台，实现了管理的深度融合