版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、精选优质文档-倾情为你奉上精选优质文档-倾情为你奉上专心-专注-专业专心-专注-专业精选优质文档-倾情为你奉上专心-专注-专业浙江道小学校园网升级改造方案2013年9月目 录 TOC o 1-3 h z u 现状及需求分析项目建设背景浙江路小学是天津市实施素质教育“三A”学校,一直是塘沽区重点示范小学,其有两个校区,一是上海道校区、二是福州道校区。这两个校区都有着浓厚的教学历史,教学水平一直处于塘沽区前列。随着电子信息化的发展,浙江道小学也随之建设了不少高新科技的信息化电教设施。两个学校的录播教室的建设一直在塘沽区也是首屈一指的。随着信息化的不断深入,教育资源云平台、云书包也被学校提到建设日程
2、里,但是这些项目都要有一个强大的校园网作为支撑,由于浙江路小学的校园网是2000年建设使用的,已经不能够承载现有云计算平台的高速数据传输功能了。则要在教育资源云平台、云书包这些平台建设成立之前,必须把校园网进行升级改造,能够使这些平台发挥应有的作用。原有校园网分析浙江路小学现状:目前使用核心路由器为锐捷NBR3000.核心交换机为锐捷5750楼层交换机为一般性能100M交换机,学校网站服务器、办公服务器等网络和服务器设备已老化。现有网络拓扑情况为福州道和上海道两个校区各有一条互联网接入,之间有一条数据专线,校区内为树形拓扑。具体设备情况:上海道小学:核心路由器NBR3000,核心交换机5750
3、,其他三个楼宇(二号楼1台,三号楼1台,一号楼6台)合计约8台楼层100M交换机。福州道校区:核心路由器NBR3000,核心交换机5750,一栋楼宇(四层)内(分前后楼)合计约8台楼层100M交换机。原有校园网络拓扑如下:校园网升级改造方案整体设计设计原则与思路浙江路小学的校园网的建设原则是能够高效、安全、绿色的支撑应用系统的使用,相比传统校园网建设,体现在几个层面的变化:数据中心的形成全面提升主要校区的网络平台,包括中心机房设施提升、核心网络设备的升级、应用系统服务器的安装购置,安全设备的安装购置。上联链路的升级为了提高云计算平台的适应性,以及云书包等应用的规划以动画、视频、互动等大流量应用
4、为主,相比传统网络带宽要求提升1020倍,应该提升主要校区的登陆Internet上联链路的带宽。全面提升网络设备原有校园网的网络设备老旧,并且不能适应新应用系统的数据传输要求,则要配备具有更高数据传输能力的网络设备。所以在全新校园网的设计上需要遵循以下原则:高性能骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(视频、动画)的高质量传输,才能使网络不成为业务开展的瓶颈。高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,设备充分考虑冗余、容错能力;合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,
5、最大限度地支持系统的正常运行。网络设备在出现故障时应便于诊断和排除,充分体现计算机网络的高可靠性。安全性制订统一的网络安全策略,整体考虑网络平台的安全性,保证师生能够安全、绿色的使用资源。独立性学校与教育局之间采用公网连接会导致一些应用系统的不可用(比如名师讲堂、双向教学等),而且公网连接也使得网络不安全、不可控等隐患,所以教育局与学校之间应该采用裸光纤或者VPN方式连接;技术先进性和实用性在保证满足校园业务、应用系统业务的同时,要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑网络应用的现状和未来发展趋势。标准开放性支持国际上通用的网络协议、路由协议
6、等开放的协议标准,有利于保证与其它网络(如中国教育网、公共数据网、区教育网等其它网络)之间的平滑连接互通,以及将来网络的扩展。灵活性及可扩展性根据未来业务的增长和变化,网络可以平滑地扩充和升级,最大程度的减少对网络架构和现有设备的调整。可管理性对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。强QOS、强组播特性新应用系统下的校园网因为对视频、音频等多媒体业务的需求较大,所以整个网络具有较完善的QOS特性对教育网而言就显得尤为重要。能不能对关键业务进行带宽优先保证尤其是那些对时延敏感的业务进行保证是教育网必须
7、考虑的一个重点,为实现区别服务,整网端到端的QOS特性机制是优质网络业务的保证。另外组播特性对于有效的保证多媒体流传输性能和节省带宽也有非常重要的意义,基于组播的控制特性也会进一步保证组播流的控制、管理和安全,从而为实现教育城域网的多业务支持提供保障。兼容性和经济性兼容性,能够最大限度地保证学校现有各种计算机软、硬件资源的可用性和连续性,为不同的现存网络提供互联和升级的手段(如现有的双向教学系统),保证各种在用计算机系统(包括工作站、服务器和微机等设备)的互连入网,充分利用现有网络资源,发挥主干网的优势。经济性,就是在充分利用现有资源的情况下,最大限度地降低网络系统的总体投资,有计划、有步骤地
8、实施,在保证网络整体性能的前提下,充分利用现有设备或做必要的升级。整体解决方案浙江路小学校园网的整体网络拓扑如下图所示:整个网络分为接入层、核心层、本地教育资源中心、远程教育资源平台和出口区共计5个模块。接入层在两个校区楼宇内部署全千兆交换机,通过万兆光纤连接该校区机房的核心交换设备。并在电教室安装WLAN设备,满足对教室多用户的高密覆盖,并对整个教学区做到wifi信号的全覆盖。为云书包系统提供无线终端接入。核心层在核心层采用华为 S7706核心交换机,并安装双引擎、双电源等稳定系统,以保证网络核心的可靠性,同时成倍提升网络性能。核心交换机上提供连接各功能区万兆以太网接口,出口部署网络安全设备
9、,为整个校园网提供安全保障。并在两个校区之间用一条100M的MSTP链路互联,保证福州道校区可以毫无阻碍的登陆总校的教育资源中心。教育资源中心在浙江路小学总校中心机房部署教育资源中心,把视频录播系统、云计算平台系统、以及教学管理系统部署在教育资源中心。作为整个校园网的总指挥部,部署网络管理系统、安全管理系统、虚拟化管理平台等管理系统,以便于管理人员对整个校园网进行统一规划和管理。远程教育资源区利用当地运营商-天津移动的IDC机房内部署远程教育资源区,在云计算虚拟化区,通过虚拟化技术建立计算资源池和存储资源池,为教育资源平台动态分配硬件资源,从而提高硬件资源的可靠性和可扩展性。资源服务区通过互联
10、网与学校本地教育资源区进行互联,可以把一些数据系统进行全面镜像,保证了远程教育资源区与本地信息的高度一致。同时,学生、教师、家长可以通过互联网登陆到远程教育资源区,实时进行资料查询、批改作业、师生互动等活动。天津移动IDC的优势及相对学校自建IDC的成本节约点:中国移动IDC业务优势国际顶尖的机房标准: 1.专门为IDC而建设的机房楼(8级抗震标准)。 2.高强度的承重,满足电池,存储等设备的安装。 3.良好的布局,增强了客户体验。 完善的动力配套系统: 1. Tier4认证的电力设备,保障服务器运行安全可靠。 2.精密智能SDC空调,保障室内温湿度恒定。 3.国内最新的封闭冷通道技术,科学的
11、降低运营成本为客户提供更优的资费。 数据中心级的网络资源配置:1.快速的收敛时间(路由器收敛时间50ms)。 2.汇聚层支持虚拟化技术,收敛速度远高于普通路由收敛。万兆端口/12个千兆端口,缓存256兆。 3.良好的安全保证措施,对外防御手段齐全,对内纳入安全管控体系,保障服务器的绝对安全。 使用IDC托管业务的优势随着校园对数据处理依赖程度的递增,对数据的安全要求也进一步提高。数据中心的灾备恢复服务能力是校园应当关注的一个重点.要在自己室内存放服务器,就必须建立空调环境、标准设施(例如24小时运作的机房空调系统、不间断电源系统等等)以及管理服务器和网络业务作出庞大而长远的投资。服务器管理服务
12、尤其适用于下列况:不愿购置额外硬件(例如:路由器)以提升伺服器的连接速度;服务器受带宽所限无法提升网络连接速度。 服务器托管服务是最合乎成本效益的网上方案,无论在性能、安保、可靠性方面都达到最高水平,免除了校方在机房建设方面需投入的高昂成本。自建机房需考虑成本因素:1、土建与场地成本。 2、动力配电成本。 3、防雷接地、静电释放系统 。4、结构装饰成本。 5、UPS不间断电源。 6、气体消防灭火系统 7。 、PDS综合布线成本。 8、空调、新风系统。 9、安防门禁视频监控成本。 10、环境集中监控。 11、网络带宽接入成本。 12、安保及专业网络维护人员成本。 13、高额的电费等等出口区整个校
13、园网将拥有两个网络出口,出口部署华为USG2260出口安全网关。负责整个校区的安全防御。一个是总校高带宽的互联网出口、一个是分校原有互联网出口,这两个出口可以互为备份,并提供流量分流,负载均衡等工作。认证计费区整个校园部署华为esight网络管理软件,1.对网络设备进行有效管理,网络故障诊断,网络拓扑展示。对无线设备进行管理、通过esight的安全策略组件可以提供用户接入网络认证,对上网用户进行监管和控制。无线用户直接在本地认证,接入学校内网,不经过运营商线路,节省了很大一部分带宽费用。校园网功能分区详细设计接入层设计接入层有线设备设计浙江路校园原有校园网接入层设备是普通的100M交换机,不具
14、有可管理性,并且无法实现千兆上联,特别是开通录播系统的实时转播工作时,没有组播协议的支撑,会造成整个校园网骨干数据传输缓慢甚至瘫痪。在电教室内要安装高容量的无线AP作为云书包的终端接入系统,此教室数据传输量可谓巨大,所有接入交换机必须具备上联、下联端口保证千兆带宽。则本方案建议使用华为的千兆交换机S5700-LI系列交换机作为校园网的接入设备。华为 S5700-LI系列交换机是华为公司自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。通过华为特有的CSS(智能弹性架构)功能,用户能够简化对网络的管理。S5700-LI系列千兆以太网交换机
15、定位为企业网千兆接入,同时还可以用于数据中心服务器群的连接。其系统特性如下:高扩展性保护投资随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条10GE链路将是我们的未来发展方向。S5700-LI系列交换机支持两个扩展槽位,每个槽位支持单端口或双端口的10GE扩展模块,在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力,尽力保护用户投资。S5700-LI系列支持IPv4和IPv6的三层路由功能,并可以实现基于硬件的IPv4和IPv6的全线速转发。同时支持IPv6的ACL、QoS、组播和网管,实现IPv4到IPv6的平滑升级。智能弹性架构华为 S5700-LI系列交换机支
16、持CSS(第二代智能弹性架构)技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进行管理和使用。CSS可以为用户带来以下好处: 简化管理 CSS架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。 简化业务 CSS形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备
17、间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。 弹性扩展 可以按照用户需求实现弹性扩展,保证用户投资。并且新增的设备加入或离开CSS架构时可以实现“热插拔”,不影响其他设备的正常运行。 高可靠 CSS的高可靠性体现在链路,设备和协议三个方面。成员设备之间物理端口支持聚合功能,CSS系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;CSS系统由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的1:N备份;CSS系统会有实时的协议热备份功能负责将协议的配置信息备份到其
18、他所有成员设备,从而实现1:N的协议可靠性。 高性能 对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。而CSS系统的性能和端口密度是CSS内部所有设备性能和端口数量的总和。因此,CSS技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。完备的安全控制策略华为 S5700-LI系列交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为
19、集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。华为 S5700-LI系列交换机支持对试图接入网络的用户进行802.1x认证。可以在交换机上对802.1x客户端的版本和有效性进行验证,防止非法用户登录网络。支持集中式MAC地址认证,可以基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件,而且可以同时运行802.1x认证和基于MAC地址认证。提供Guest Vlan功能,使得为被授权的访问端只能接入访问特定的资源,并且会采取相应的策略,例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序等等。支持Secure Shell V2
20、(SSH V2)特性可以提供安全的信息保障和强大的认证功能,以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。丰富的QoS策略华为 S5700-LI系列交换机支持支持L2(Layer 2)L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法,可以同时基于端口和队列进行设置,支持SP、WRR、SP+WRR三种模式。支持CAR功能,粒度最小达64Kbps。支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进行网络检测和故障排
21、除。出色的管理性华为 S5700-LI系列交换机支持SNMPv1/v2/v3(Simple Network Management Protocol),可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行,Web网管,TELNET,HGMPv2集群管理,使设备管理更方便,并且支持SSH2.0等加密方式,使得管理更加安全。华为 S5700-LI系列交换机支持基于MAC地址划分VLAN,很好的解决了移动办公的智能灵活管理;结合特有的基于全局和VLAN下发ACL策略,在简化用户配置的同时,也大幅节约了硬件资源。增强的以太网供电功能(PoE+)华为 S5700-LI系列交换机支
22、持增强的以太网供电功能(PoE+),PoE供电款型可以提供每端口最大30W的输出功率,可以为802.11n的无线接入点,可视IP电话,以及更多的终端设备提供以太网供电能力。作为教育云计算实践,云计算数据中心的建设建议达到以下目标:通过标准化、虚拟化的资源池部署,提高整体IT基础设施资源利用率;实现IT基础设施资源的自助化服务,按需申请,按需供给,实现面向最终用户的云服务模式;实现IT基础设施资源的自动化部署及流程化管理,并可利用云计算管理平台对资源进行可视、全面的监、管、控,简化日常运维的管理流程、降低维护成本;在实现可落地的云实践的基础上,保留未来向更高层次的云计算实践发展的可能,如SaaS
23、和PaaS相关应用等;接入层无线设备设计根据云书包系统需求,在电教室内部署无线网络,以便云书包终端可以自由接入网络。普通的AP接入终端数量不可以超高10个,特别是高带宽的接入设备更不能超过这个数量。但是也不能在一个小空间内部署多个AP来弥补接入数量不足问题。因为AP之间也会出现频道干扰。则这些电教室内要部署大容量接入的工业AP。根据云书包的特点。本方案选择华为大容量接入设备AP3010DN-AGN作为电教室无线AP。其能够实现接入终端的相互隔离,保证每个接入设备达到至少54M的上联带宽。AP3010DN-AGN支持整机最大用户数达到64个,16个SSID。一体化MIMO内置天线,实现全向无盲点
24、覆盖。每射频速率高达300Mbps。高等级的网络安全性,支持多种认证和加密方式,以及非法AP检测,支持QOS。灵活的组网和环境适应能力,满足接入、桥接(WDS)等多种组网应用场景。简单的设备管理和维护,业务零配置,即插即用,自动上线,美观化设计,支持FIT-AP。每个电教室部署1台高容量AP就可以满足云书包终端的接入。上联接入一台千兆电口的交换机即可满足高带宽的需要。核心层设计核心层网络设计数据中心核心交换机需要资源池内部高速交换以及骨干互联工作,建议采用华为数据中心级核心交换机S7700,主要基于如下考虑:高性能:核心汇聚层需要与其它外部网络互联,外连接口众多,并且这些外部网络所提供的接入带
25、宽和接入设备都是业界高端设备,所以为了使网络在核心交换区不存在性能瓶颈,采用具备高密万兆的核心交换设备.整网可靠性:因为校园网数据中心网络业务系统具有高可靠性设计,业务层面最大限度的保障业务转发不中断、不丢包。因此建议在核心交换部分采用主控和交换网板分离的核心交换机,提高网络可靠性,使整网可靠性方面不存在短板。绿色环保:为了降低机房空调能耗,要求核心交换机采用竖插槽,前下部进风、上后部抽风、强迫风散热形式。要求通过RoHS、CE等国际环保认证。在总校与分校之间部署100M MSTP链路,为分校区提供高速互联通道,当分校区电教室开通云书包系统时,可以通过这条100M链路登陆至总校的教育资源平台上
26、,实现多个无线终端开展视频教学活动。核心层安全设计为了应对云计算环境下的流量模型变化,安全防护体系的部署需要朝着高性能的方向调整。在本次项目的建设过程中,多条高速链路汇聚成的大流量已经比较普遍,在这种情况下,安全设备必然要具备对高密度的GE甚至10G接口的处理能力;无论是独立的机架式安全设备,还是配合数据中心高端交换机的各种安全业务引擎,都可以根据用户的云规模和建设思路进行合理配置;同时,考虑到云计算环境的业务永续性,设备的部署必须要考虑到高可靠性的支持,诸如双机热备、配置同步、电源风扇的冗余、链路捆绑聚合、硬件BYPASS等特性,真正实现大流量汇聚情况下的基础安全防护。在核心交换机与出口之间
27、部署防火墙,在核心交换机与教育资源平台之间部署防火墙。以保证内部局域网安全及教育资源的数据安全。 如上图FW三层部署所示,防火墙可以与宿主交换机直接建立三层连接,也可以与上游或下游设备建立三层连接,不同连接方式取决于用户的访问策略。可以通过静态路由和缺省路由实现三层互通,也可以通过OSPF这样的路由协议提供动态的路由机制。如果防火墙部署在服务器区域,可以将防火墙设计为服务器网关设备,这样所有访问服务器的三层流量都将经过防火墙设备,这种部署方式可以提供区域内部服务器之间访问的安全性。防火墙是网络系统的核心基础防护措施,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访
28、问控制;对常见的网络攻击方式,如拒绝服务攻击(ping of death, land, syn flooding, ping flooding, tear drop)、端口扫描(port scanning)、IP欺骗(ip spoofing)、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。安全控制策略:防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;建议在两台防火墙上设定严格的访问控制规则,配置只有规则允许的IP地址或者用户能够访问数据业务网中的指定的资源,严格限制网络用户对数据业务网服务器的资
29、源,以避免网络用户可能会对数据业务网的攻击、非授权访问以及病毒的传播,保护数据业务网的核心数据信息资产;配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范,可以实现对各种拒绝服务攻击的有效防范,保证网络带宽;配置防火墙全面攻击防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项I
30、P报文控制功能等,全面防范各种网络层的攻击行为;根据需要,配置IP/MAC绑定功能,对能够识别MAC地址的主机进行链路层控制,实现只有IP/MAC匹配的用户才能访问数据业务网中的服务器;其他可选策略:可以启动防火墙身份认证功能,通过内置数据库或者标准Radius属性认证,实现对用户身份认证后进行资源访问的授权,进行更细粒度的用户识别和控制;根据需要,在两台防火墙上设置流量控制规则,实现对服务器访问流量的有效管理,有效的避免网络带宽的浪费和滥用,保护关键服务器的网络带宽;根据应用和管理的需要,设置有效工作时间段规则,实现基于时间的访问控制,可以组合时间特性,实现更加灵活的访问控制能力;在防火墙上
31、进行设置告警策略,利用灵活多样的告警响应手段(E-mail、日志、SNMP 陷阱等),实现攻击行为的告警,有效监控网络应用;启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析;部署ACG应用控制网关能对网络中的P2P/IM/VoIP带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制;同时,根据对网络流量、用户上网行为进行深入分析与全面的事后审计,并具有强大的URL过滤功能,进而全面了解网络应用模型和流量趋势,大大提升网络的业务控制能力,帮助用户优化其网络资源,为用户打造一个和谐、有序的网络环境。能
32、精确检测Thunder(迅雷)、BitTorrent、eMule(电骡)、eDonkey(电驴)、QQ、MSN、PPLive等近百种P2P/IM应用。同时,可基于时间、用户(组)、应用协议,对P2P/IM应用进行告警、限速或阻断。能精确识别各种常见的应用,如ERP应用、视频会议等,在识别业务的基础上,ACG可对关键业务进行带宽保证,对其他业务按优先级进行智能流量调度。可对各种P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输等各种上网行为提供全方面的行为监控和记录;同时,通过综合分析、检测用户网络流量与流向趋势,事后对历史数据进行分析,为用户提供细粒度的网络行为审计管理系统。通过
33、自定义IP地址、主机名、正则表达式等方式设置URL特征库,支持根据不同的URL策略设置不同的响应方式,支持根据时间表对不同的URL策略设置不同的响应动作,避免保密信息的外泄,免受非法信息干扰,确保网络的健康使用。提供业务流量趋势图、流量分布图、Top N用户列表、Top N应用协议列表等报表,并支持按照用户名/用户组、使用频度、使用时段、应用分类、应用协议、流量大小等进行多维度组合定制报表,使用户能全面掌握网络中的流量、应用和业务分布,为合理规划网络、制定流量控制策略提供依据。华为专业安全团队密切跟踪应用变化,并对应用协议特征库及时更新;支持在线自动/手动升级方式,升级过程无需重启系统,不影响
34、系统业务运行。通过在华为交换机/路由器中增加SecBlade ACG模块,即可扩展交换机/路由器的应用监控和审计功能。通过与交换机/路由器共用管理平台,降低了管理难度。并且交换机/路由器的任何端口都可以作为SecBlade ACG模块的端口使用,从而降低用户成本。SecBlade ACG业务模块作为业务插卡嵌入华为交换机/路由器中,降低了单点故障,保证了网络的高可靠性。部署负载均衡设备可提供完善的负载均衡功能,具备服务器负载均衡、链路负载均衡等功能。部署在数据中心,基于特定的负载均衡算法将客户端对数据中心服务的访问请求合理地分发到数据中心的各台服务器上,以保证数据中心的响应速度和业务连续性。部
35、署在多ISP链路的出口,为了提高链路利用率,通过对链路状态的检测,采用对应的调度算法将数据合理、动态的分发到不同链路上。中心机房设计浙江路小学的原有网络机房功能比较单一,如果以后要承载教育资源平台及云书包平台,则原有网络机房的空间、电源功率、空调制冷量都达不到要求,则要对网络机房进行升级改造。针对原有网络机房要有以下升级措施:扩大网络机房面积,扩容后对网络机房进行粉霜、门窗密闭、安装防盗门,铺设防静电地板等工作。扩充原有机房供电功率,从学校总配电室铺设5*25mm平方的电缆至网络中心机房,并安装相关配电设施。以便提高网络机房总的配电功率至50KVA以上。安装30KVA的UPS一套,并安装后备电
36、池,当市电停止时,可以为网络机房信息系统提供30分钟-1个小时的供电时间。安装5匹机房专用空调,为机房提供足够的制冷量,为了防止多台服务器堆叠后产生大量热量。安装全新服务器机柜5台,为网络设备、服务器及其他设备提供安装空间,而且保证了全机房设备统一整齐,达到美观的效果。云数据中心设计项目方案规划教育云数据中心的建设将改变传统的建模式,采用云计算技术对数据中心硬件资源和基础软件的统一管理、统一分配、统一部署、统一监控和统一备份,打破原先信息系统建设中普遍采用的应用系统“封闭运行,相对独立”的模式,实现各类计算资源和运用动态调整、自动故障切换和应用系统快速部署,简化管理、大大降低管理成本、减少基础
37、设施资源浪费,节省系统建设和运行维护经费。一期建设的主要内容为初步搭建一个相对完整的虚拟化数据中心架构,提供可扩展的虚拟化运行环境,并将所有基于x86服务器的应用系统逐步迁移到虚拟化平台中。一期规划的架构拓扑如下:二期建设的主要内容为扩容和完善整体架构,新应用部署也将形成虚拟标准化。增加刀片服务器和存储容量,提供更大的虚拟化容量,并构建统一数据保护系统和其他虚拟化安全设备,达到更安全、稳定的系统级别。三期建设时,将根据实际需要,考虑搭建灾备数据中心,对主数据中心进行全面的虚拟化,以及与灾备中心搭建成互相冗余备份的虚拟化双活数据中心。通过构建云计算数据中心将为整个企业各个应用提供了统一的运行平台
38、,为所有下属单位和员工的服务提供了强有力的信息化基础平台。数据中心建设采用统一规划、分布实施的原则,一期可考虑较少数量的虚拟机的规模,主要完成新一代虚拟化数据中心硬件资源的整合平台搭建。逻辑结构图方案中将云计算资源池分成三层结构:第一层;物理资源,包括物理服务器、存储设备、网络设备等;此层为真正的物理资源,为整个云计算平台提供物理环境。第二层:云计算中心逻辑资源池,包括资源池、数据存储和端口组;整体数据中心的计算资源进行逻辑划分,分为资源池(CPU、MEM)、数据存储(存储容量、存储性能)和网络组(网络带宽),此层为全平台逻辑资源,为所需业务提供资源。第三层:虚拟数据中心;针对服务平台、各业务
39、应用区域可以独立管理自己数据中心内的虚拟服务器和应用,而每个区域在逻辑上是相互隔离的,他们能都独立运行和管理。最后通过统一的用户与策略管理为信息平台和应用区域指定相应的资源目录和策略规范,实现整体平台的运维管理。在整体云平台中能够统一监控到所有资源的使用情况和所有系统运行情况。方案设计说明针对客户云计算数据中心建设,我们结合用户当前和远期的业务系统需求,设计方案采用业界最好的云基础架构进行设计,以达到以下效果:1、在数据中心采用高性价比的服务器,将这部分服务器做虚拟化部署。部署虚拟化后的物理服务器按照以往的经验,大约可实现10:115:1的整合比率,也就意味着以前需要二三十台物理服务器完成的工
40、作,在部署虚拟化后仅23台就能满足要求。根据客户当前的需求情况来分析,我们本期设计高性能服务器专门用于部署虚拟化软件。2、配合虚拟化的实施,除了需要高性能的物理服务器之外,还需要高性能的网络、高I/O性能的专业存储系统。此存储不但可满足通过虚拟化软件虚拟出来的大量虚拟服务器数据的存放和I/O性能需求,而且还能方便的扩展。3、数据中心在部署虚拟化后,不但可大大的扩展服务器的数量,还可以实现服务器之间的故障转移(HA)、在线热迁移(vMotion)、零秒容错(FT)等诸多功能,在后面的方案中我们将做详细的描述。 “计算+存储融合”产品将同时满足计算+存储对性能和扩展性这两方面的要求,而且不存在计算
41、和存储层的单点故障。按照以上方案实施完毕后,将实现vDC基础资源的标准化,满足数据中心的所有基础架构要求,可为客户各应用平台提供有力支持。数据中心部署最新的高性能服务器,其上安装部署虚拟化操作系统。实施了虚拟化部署后的物理服务器将具备高可用故障切换等诸多高级容错功能,在一台物理服务器出现故障宕机后,不会影响到在上面运行的具体业务。解决方案拓扑示意图:计算和存储资源池:主要由1个Block内的3台(节点)2路CPU的刀片服务器组成。设备仅占用2U的空间,其最大可支持4个节点(Node),称为1个Block。如需继续扩展,可添加新的Block和Node,可支持上千个Node的线性扩展。假设平均1台
42、VM(虚拟机)需占用1个CPU内核和8G内存的计算资源,那么上述1台Node服务器保守估计可运行1215台VM,2台Node服务器即可运行2430个VM。3台Node服务器可形成N+1的HA(高可用)集群,保障稳定性。这些物理服务器上均部署虚拟化群集,提供所有服务器虚拟机的运行环境。服务器配置2*1000M和2*10Gb网卡与网络交换机互联,并通过服务器内预置的分布式存储系统,将所有SSD和SATA融为一个存储池,透明的供应给上层使用。在搭建虚拟化的数据中心时,有3大优势:1)横向扩展架构,易扩展:由于内置的分布式存储技术,使计算池和存储池均能够横向线性扩展,解决了传统架构下存储性能难扩展的问
43、题。2)全冗余架构,计算和存储节点均无单点故障:由于均是资源池化和分布式架构,所有数据均是冗余分布的,所以天生就没有存储的单点问题,整体架构高稳定。3)存储性能优异:由于其配置了大容量SSD固态硬盘和PCIe SSD加速卡,并内置了存储虚拟化分层、重复数据删除和压缩、数据高速同步等技术,其存储性能非常优秀,并且能随Node增加而线性提高性能,按需扩展。通过对服务器虚拟化技术的介绍,可以看出服务器虚拟化有以下几个特性:(1)多实例通过服务器虚拟化,一台物理机上可以运行多个虚拟服务器,支持多个客户操作系统,并且物理系统的资源是以可控的方式分配给虚拟机。(2)隔离性服务器虚拟化可以将同一台物理服务器
44、上的多个虚拟机完全隔离开来,多个虚拟机之间就像多个物理机器之间一样,每个虚拟机都有自己独立的内存空间,一个虚拟机的崩溃并不会影响到其它虚拟机。(3)封装性采用服务器虚拟化之后,一个完整的虚拟机环境对外表现为一个单一的实体,便于在不同的硬件设备之间备份、移动和复制。同时,服务器虚拟化将物理机器的硬件封装为标准化的虚拟硬件设备提供给虚拟机内的操作系统和应用程序,提高了系统的兼容性。基于以上这些特性,服务器虚拟化带来了如下的优点:(1)实时迁移实时迁移是指在虚拟机运行时,将虚拟机的运行状态完整、快速的从一个宿主平台迁移到另一个宿主平台,整个迁移过程是平滑,且对用户透明的。由于服务器虚拟化的封装性,实
45、时迁移可以支持原宿主机和目标宿主机硬件平台之间的异构性。当一台物理机器的硬件需要维护或更新时,实时迁移可以在不宕机的情况下将虚拟机迁移到另一台物理机器上,大大提高了系统的可用性。(2)快速部署在传统的数据中心中,部署一个应用需要安装操作系统、安装中间件、安装应用、配置、测试、运行等多个步骤,通常需要耗费十几个小时甚至几天的时间,并且部署过程中容易产生错误。而采用服务器虚拟化之后,部署一个应用其实就是部署一个封装好操作系统和应用程序的虚拟机,部署过程只需要以下几个步骤:拷贝虚拟机、启动虚拟机和配置虚拟机,通常只需要十几分钟,且部署过程自动化,不易出错。(3)高兼容性服务器虚拟化提供的封装性和隔离
46、性使应用的运行平台与物理底层分离,提高了系统的兼容性。(4)提高资源利用率在传统的数据中心中,处于对管理性、安全性和性能的考虑,大部分服务器上都只运行一个应用,导致服务器的CPU 使用率很低,平均只有5%20%。采用服务器虚拟化之后,可以将原来多台服务器上的应用整合到一台服务器之中,提高了服务器资源的利用率,并且通过服务器虚拟化固有的多实例、隔离性和封装性保证了应用原有的性能和安全性。(5)动态调度资源服务器虚拟化可以使用户根据虚拟机内部资源的使用情况即时的灵活调整虚拟机的资源,如CPU、内存等,而不需要像物理服务器一样需要打开机箱变更硬件。核心功能设计服务器共享资源池管理动态数据中心核心管理
47、用户自服务模块与平台管理模块,是将数据中心管理的主要功能:系统监控虚拟化管理数据备份配置管理身份管理系统监控模块单个(或集群的)服务器的主要服务跟踪事件和日志服务器上生成的状态监测跟踪性能计数器以测量和优化系统的使用生成基于预定义的规则的事件或计数器的通知服务器部署和配置模块自动设置服务器 (虚拟和物理),管理虚拟服务器的配置设置配置的网络交换机和创建的虚拟服务器的负载平衡虚拟服务器和在最可用的物理服务器环境中的自动分配创建和管理所创建的虚拟服务器实例使用的模板创建和管理系统镜像,管理物理服务器实例数据保护模块备份和还原的整个服务器备份和还原的计算机正在运行的数据库能够回滚在服务器中所做的更改
48、备份和还原所有服务器的单个文件和文件夹服务配置管理模块跟踪资产硬件和软件许可证以及在环境中的配置 管理的软件更新 (通过自定义的更新计划) 定义和使用所需的服务器等计算资源的配置 生成报告已安装的软件,更新挂起的操作,等等 安装并维护应用程序等虚拟化平台支持对CPU、内存以及I/O设备的虚拟化,对外提供虚拟化能力支撑。1) 处理器虚拟化2)内存虚拟化支持在线调整虚拟机内存空间大小。3) 设备虚拟化支持虚拟机以独占方式更高效的操作PCI设备。支持对具备PCI设备的透传操作。虚拟机管理:支持虚拟机的生命周期管理,包括:虚拟机启动、停止、休眠等;支持对虚拟机生成快照、虚拟机映像的检查点技术、虚拟机的
49、在线迁移等。虚拟资源池管理:对资源池中的CPU、内存、存储以及网络资源等进行管理,包括:这些资源在虚拟机上的分配和释放。对虚拟机的实时监控和告警功能:对虚拟机的运行状态进行监控,包括:虚拟机CPU占用、虚拟机内存占用等。对某些监控值过大和虚拟机故障等情况进行报警。支持对虚拟机进行集群配置:保证运行在虚拟机的业务应用的高可靠性。虚拟机创建时支持将现有物理主机系统转换为同样配置的虚拟机,也就是P2V,也支持将虚拟机系统转换成物理主机系统,也就是V2P。各虚拟机之间如何实现备份和容灾:启动高可用性策略后系统发现物理机故障则在其他物理机启动该虚机从而实现高可用性,容灾在虚机的存储实行本地或者异地备份。
50、网络资源池管理服务器共享资源池的网络管理,分两个部分:管理虚拟机虚拟交换机的控制单元虚拟机网络管理通过虚拟化平台实现。将物理服务器上的一个网络端口连接管理网络(或管理VLAN);另一个端口配置成Truck模式,直接连接生产网络接口,使其支持所有VLAN Tag数据包流入。由虚拟化平台为每台虚拟机的网卡标示生产网络VLAN。管理物理交换机的控制单元管理物理交换机可以通过预定义的交换机配置脚本,调用交换机管理接口实现物理交换机进行配置,以及VLAN调整。动态云平台的网络管理功能,经过Web Service包装过的网络管理接口,调用两套管理控制单元,在物理交换机与虚拟交换机共同调整VLAN Tag。
51、实现系统的网络集中管控。存储资源池管理为了保证动态云计算平台,能够提供通用的存储管理接口。屏蔽各个厂商的不同存储管理工具,为动态云平台用户提供统一的存储沟通渠道。动态云平台通过类接口与存储设备控制器通信:脚本接口,可以同过任何预编写得脚本文件,CLI命令调用各厂商存储平台。按照要求动态云平台的建设,充分发挥系统管理架构资源共享要求。按照合规性要求提供变更管理的支持,提供虚拟化平台以整合共享服务器资源,提供数据中心业务连续性管理。以及服务健康和服务标准统计分析。让用户的物理机资源池与虚拟机资源池共享硬件平台。通过自动化管理脚本,让两类资源可快速互相转换。通过跨平台的网络控制中心实现,物理网络与虚
52、拟网络的统一管理。通过跨平台的存储控制中心实现,多厂家存储统一管理。通过系统管理平台对多厂商运维管理平台、虚拟化平台进行统一管理。平台特性实现资源最优利用利用虚拟化技术,在一台物理服务器或一套硬件资源上虚拟出多个虚拟机,让不同的应用服务运行在不同的虚拟机上。在不降低系统鲁棒性、安全性和可扩展性的同时,可提高硬件的利用率,减少应用对硬件平台的依赖性,从而使得企业能够削减资金和运营成本,同时改善 IT 服务交付,而不用受到有限的操作系统、应用程序和硬件选择范围的制约。 实现动态负载均衡资源负载均衡是指通过负载均衡器的协调,将计算任务分摊到多个资源中执行,从而整体上更好地利用计算资源,加快响应速度,
53、提高服务质量。利用虚拟机与硬件无关的特性的虚拟机迁移技术,按需分配资源。利用虚拟机与硬件无关的特性的虚拟机迁移技术,使得动态负载均衡变得简单起来:当监测到某个计算节点的负载过高时,可以在不中断业务的情况下,将其迁移到其它负载较轻的节点,或者在节点内通过重新分配计算资源,使得执行紧迫计算任务的虚拟机得到更多的计算资源,从而保证关键任务的响应能力。动态负载均衡机制系统自愈功能提升可靠性实现经济高效、独立于硬件和操作系统的应用程序高可用性。系统服务器硬件故障时,可自动重启虚拟机。消除在不同硬件上恢复操作系统和应用程序安装所带来的困难,其中任何物理服务器均可作为虚拟服务器的恢复目标减少硬件成本和维护成
54、本。系统自愈机制提升系统节能减排能力虚拟化平台可与服务器管理硬件配合实现智能电源管理,通过优化虚拟机资源的实际运行位置,达到耗电最小化。可为运营商节省大量电力资源,减少供电成本,节能减排。部署虚拟化的优势1、提高服务器整合率:我们计划部署虚拟化系统的高性能服务器数量是3台,在部署虚拟化之前可用的服务器也仅能有3台,但部署虚拟化后服务器数量的可用能力达到2030台,整合率达到10:1。也就意味着部署虚拟化后一段时间内我们不需要增加服务器的硬件投资。2、大大降低硬件投入的资金:按照在传统架构的计算方式,我们如果要将物理服务器的数量增加至2030台的话,还需要为各系统独立考虑多项存储等设备,整体的链
55、路和环境保障设施也需要更多投入,我们需要投入比虚拟化大得多的投资。但是,如果采用虚拟化解决方案,整体投入能得到明显的降低。3、降低服务器的部署成本:部署虚拟化后,当我们需要增加一台新的服务器的时候,我们所花费的时间不会超过5分钟。而如果按照传统的方式,我们需要更长的时间,而且会间接影响业务系统的运行。4、提高系统可用性:虚拟化具有天然的高可用性架构和功能,加上整体硬件资源很容易做到N+1的冗余,实现系统基本高可用的难度和成本大大降低。5、新应用测试、部署更加灵活:增强了新应用系统的部署灵活性,从而提高IT服务质量,更好的完成各种信息化任务。6、节省机房配套资源:部署虚拟化系统后,因极大的缩减了对物理服务器数量的需求,所以可大大的减少电源供给、空调制冷、机房空间的占用等,节能减排,从而打造一个绿色环保的数据中心。7、灾备系统搭建方便:部署虚拟化系统后因各“服务器”是以虚拟机的形式存在,所以可为数据的备份和容灾提供极大的方
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 工厂用工作合同
- 食堂餐饮服务承包合同模板
- 2024装修工程监理合同
- 2024年印刷合同标准范文(2篇)
- 2024年地震勘探数据处理系统项目申请报告
- 房地产抵押合同范文大全解析
- 2024年家庭保洁项目申请报告范稿
- 2024年皮革项目立项申请报告范文
- 2024年苏打饼叠层机项目可行性研究报告
- 2024年国际象棋项目可行性研究报告
- VR游戏设计与制作智慧树知到期末考试答案2024年
- 坚持立足中国又面向世界讲解
- 2024年卫生系统招聘考试-卫生系统招聘考试(公共卫生管理)笔试历年真题荟萃含答案
- 病情突变应急预案护理课件
- 工业机器人大学生职业生涯规划
- 企业风险管理与人才培养的关系
- 部编版一年级语文上册第八单元
- 配网电力工人培训课件
- 中南地区工程建设标准设计建筑图集 13ZJ601 木门窗
- 《人力资源配置》课件
- 新概念第二册中英文对照已逐字校对版
评论
0/150
提交评论