构建IToIP数字图书馆

瑞安市数字图书馆网络建设方案日期：浙江仁杰科技信息有限公司2010.7.5目录瑞安市数字图书馆概述H3C高校图书馆解决方案H3C高校图书馆案例介绍数字图书馆概述数字图书的主要功能：各种载体数字化数据的存储和管理组织对数据的有效访问和查询数字化资源在网上发布和传送系统管理和版权保护数字图书馆的优势：信息存储空间小，不易损坏信息查阅检索方便图书资源网络化共享可以扩大馆藏远程迅速传递信息同一信息可多人同时使用数字化图书馆是一个开放的硬件和软件的集成平台，通过对技术和产品的集成，把当前的各种文献载体数字化，组织起来在提供网上服务。数字图书馆IT架构期刊信息系统统一门户和信息服务平台数据存储存储平台建设虚拟化管理数据安全数据保护备份恢复数据管理定制融合应用层数据管理层结构化数据基础设施层服务器（计算）存储（存储）高可靠高性能安全渗透易扩展易管理高性价比IP网络（传送）数据传送高可靠传送传送优化统一安全防护体系半结构化数据非结构化数据计费信息系统外购资源管理资源数字化系统资源共享系统办公自动化系统应用服务资源服务统一编码和接口标准数字图书馆的建设的四个阶段部署图书馆管理系统建设图书馆局域网。电子阅览室网络建设，图书馆网络与Intelnet网联通，资源可共享。信息资源库及设备的建设、电子文献资源库的建设。网站的建设统一网络数字图书馆管理平台软件全面开展数字化信息资源加工建设数据中心实现网络用户上网使用的交互化，提供个性化使用的平台。图书馆利用网络进行馆内工作管理.利用自身在信息与资源的优势条件，开展为师生用户进行教学和科研的咨询服务和内容服务。第一阶段图书管理自动化第二阶段网络共享化第三阶段统一管理平台第四阶段网络使用成熟标准化多数单位已实现当前建设重点图书自动化网络共享化加工数字化使用个性化、管理信息化、信息服务化数字图书馆网络应用需求高速、可靠网络传输需求：数字化图书资源的高速传输需要高性能、高可靠的网络，并且网络基础架构可以适应数字图书馆的发展要求。网络安全需求：保证馆内网络免受病毒侵害、黑客攻击，保证馆内各种网络接入的身份认证。各种电子期刊、文摘等数据库可为馆外（校外）的教师、学生和提供安全、高速的访问。数据中心建设需求：内容管理，海量信息存储、数据加工，以及重要数字资源的备份容灾等，要求数据中心提供可靠、安全的服务器接入网络，以及高性能的存储网络和多样备份容灾方案。无线接入需求：无线网络覆盖，读者使用自己的移动PC接入图书馆网络进行检索资料、查阅书目，解决图书馆阅读位和检索终端机数量的限制。管理人员移动接入，便于库存清点、新书查询等。安全渗透、端到端安全架构，VPN远程接入千兆接入、万兆骨干、高可用架构、模块化设计多业务、可扩展、应用优化、高性能万兆存储、虚拟化整合、有线无线一体化、易管理、高可扩展、智能负载分担目录数字图书馆概述H3C图书馆解决方案数字图书馆基础网络架构数字图书馆数据中心解决方案数字图书馆网络安全解决方案数字图书馆无线接入解决方案H3C高校图书馆案例介绍数字图书馆网络基础架构—模块化设计图书馆数据中心图书馆网络核心区分馆、灾备中心电子阅览室存储网络SWAPAP多媒体阅览室图书馆办公区FWSWAPSWSWInternet校园网多业务交换机外部业务服务器群多业务交换机内部业务服务器群FWACGIPSLB出口和外部接入区FWACGIPSLBFWSSLVPN数字图书馆网络基础架构—高性能网络接入层核心/汇聚彻底消除瓶颈，解决效率问题GE10GE千兆接入：万兆骨干：消除PC机终端与网络性能矛盾提高大容量文件的传输速率提高工作效率，加速业务处理提升核心网络性能，构建无阻塞网络彻底解决视频及语音业务对网络带宽时延的要求适应网络向融合应用发展的趋势协同办公多媒体课件教学视频点播电子图书阅览室高性能网络架构视频监控高校数字图书馆网络基础架构—高可用性设计网络高可用技术物理链路冗余，以太网链路聚合环网技术，RPR、RRPP二层路径冗余，MSTP、SmartLink三层路径冗余，VRRP、ECMP、动态路由快速收敛快速故障检测技术，BFD不间断转发技术，GR路径可用检查，L3Monitor设备高可用技术硬件设备冗余，双主控、单板热插拔、冗余电源、冗余风扇设备之间状态热备份核心层汇聚层上级图书馆网络接入层边界防火墙目录高校数字图书馆概述H3C高校图书馆解决方案高校图书馆基础网络架构高校图书馆数据中心解决方案高校图书馆网络安全解决方案高校图书馆无线接入解决方案H3C高校图书馆案例介绍网络计算存储灾备数据中心基础架构层次高校图书馆数据中心网络构架FWLBSSLNAMFWLBSSLNAM服务器集群服务器刀片服务器（直联）主机核心层汇聚层接入层S9500S9500/S7500ES5500-EI刀片服务器（集成交换机）S5500-EIS9500数据中心多业务板卡集成部署方案CampusCoreFWIPSLBNSFWIPSLBNSWEBServersapplicationServersdatabaseServersDCCoreDCAggregationDCAccess独立设备互联组网网络集成业务数据中心存储技术变迁IP2003-iSCSI协议IPSAN同样采用SAN架构1986-SCSI协议DASFC1997-FC协议FCSAN服务器与存储死死绑定无法共享，扩展、维护困难SAN架构分离服务器与存储相对复杂、成本高昂IPSAN的优势IP2003-iSCSI协议IPSANIP接入IP交换IP存储NIC/TOEiSCSIHBA同样采用SAN架构IP交换机iSCSI磁盘阵列标准开放技术成熟组网简单成本较低IPSANvsFCSAN管理维护复杂度安装维护时间IT管理人员培训成本电费支出传统存储建设方式IPSAN建设方式设备占用空间总体运维成本可持续发展IX3000图书馆数据中心—多服务器集中存储方案IX1000NAS&SANCampusCoreSAN数据库系统服务器文件共享服务器1、接入方式:服务器通过普通千兆网卡＋iSCSI驱动程序（免费）接入。服务器通过专用的iSCSIHBA卡接入IPSAN。2、IPSAN交换机普通的以太网交换机，配置两个保证高可用。对于IX1000可单独配置2个S55作为IPSAN交换机。对于IX3000万兆存储，可采用S95万兆核心交换机。3、存储设备采用H3CIX1000作为SAN系统实现数据集中。也可以直接连入用户的LAN网络，做为NAS使用。采用H3CIX3000万兆存储做为SAN，应用在高性能、高吞吐量的业务系统。IV5000IV5000业务系统服务器DiskSafeCampusCore快照快照快照备份卷C备份卷B备份卷A快照快照快照IX1000EX1000EX800本地备份存储快照快照快照快照快照快照备份卷A备份卷D快照快照快照生产卷AIX3000FC磁盘阵列生产卷B本地在线存储IX1000生产卷D备份过程不影响生产系统工作；基于IP网络进行连续数据保护，可适应不同的网络环境；提供全面的数据保护，可有效应对软错误（比如人为故障、病毒）所带来的故障难题。

图书馆数据中心—连续数据保护方案图书馆数据中心—远程容灾方案IV5000IV5000CampusCore生产卷IX3000FC磁盘阵列生产卷本地在线存储IX1000生产卷IX3000复制卷异地灾备存储IX1000复制卷IP网络142351复制数据到远端2本地故障3设置反向同步4恢复数据到本地5反向同步完成后，把本地卷提升为生产卷并分配给本地服务器图书馆数据中心—虚拟磁带库方案CampusCore业务系统服务器可替代物理磁带库也可导入导出到FC/iSCSI物理磁带库IP/FCSANIP网络备份管理服务器DL1000DL1000远程复制NeoceanDL1000系列是H3C公司推出的VTL产品，将磁盘仿真为标准磁带库和磁带：解决传统磁带备份速度慢、可靠性差等固有问题无缝地接入传统备份环境通过自动磁带缓冲、远程复制等丰富的存储特性，提供灵活便捷的数据备份解决方案图书馆数据中心—Windows系统保护/恢复方案DISKSafeC:D:E:F:被保护的数据分区系统分区普通的数据分区镜像盘(iSCSI)MD1周期或实时的镜像PPPPt1Pt1Pt109:00Pt2Pt2Pt210:00Pt3Pt3Pt311:00硬盘快照

使用随机提供的恢复光盘重启系统从镜像中恢复数据至本地分区MD3MD2Windows服务器AccessSwitchDiskSafeIX1000IX1000不仅可以提供数据保护，还可提供操作系统保护。可预防系统的渐变式灾难（病毒、误删除、软件BUG、黑客入侵等），恢复时间短（几分钟）。支持MicrosoftSQLServer、MicrosofExchangeServer、Oracle、Informix、LotusDominoServer、Sybase、DB2等数据库保护。发生灾难后，可iSCSIHBA卡远程启动，或通过RecoverCD恢复操作系统。目录高校数字图书馆概述H3C高校图书馆解决方案高校图书馆基础网络架构高校图书馆数据中心解决方案高校图书馆网络安全解决方案高校图书馆无线接入解决方案H3C高校图书馆案例介绍高校图书馆网络安全双维度模型安全管理入侵防护防火墙“拒绝服务”(DOS)反病毒InternetInternetVPN/campus端点准入数据中心L2交换机：BPDUGuard、端口隔离、五元组绑定、802.1X等实现二层安全保护L2.5MPLS：网络隔离L3路由器/防火墙/AFC/SSL：访问控制和隔离、加密L4NTA“网络水表”流量异常分析L5～7

IPS应用层威胁识别和抵御：蠕虫、间谍软件、P2P、病毒、攻击等IP存储：数据安全（异地容灾，数据备份）安全管理用户管理(iMC)端到端安全模型L2层到L7层安全模型图书馆数据中心集成安全部署方案SSLVPNFW校园网互联网FW板卡ACG板卡IPS板卡SLB板卡SWFW板卡ACG板卡IPS板卡SLB板卡SW对外业务服务器群内部业务服务器群核心交换机图书馆数据中心FW板卡ACG板卡IPS板卡SLB板卡FWACGIPSSLB交换机基于多核CPU架构的安全业务插板比盒式设备具有更高的处理性能、更高的可靠性，可实现网络设备、安全设备的一体化管理。基于流量的分布趋势TOPN分析：全业务流量、单协议/协议组流量、上下行/双向流量、流量明细等基于用户的TOPN分析：用户全业务流量、上下行/双向流量、会话数、流量分布、流量趋势等通过ACG实现数据中心应用流量的分析对应用流量进行深入分析，对应用流量控制策略的制定和事后的审计。ACG服务器网关WEBVLANAPPVLANDBVLANLB单臂+FW路由LB单臂+FW透明LB单臂+FW路由数据流：核心->汇聚->LB->FW；FW、LB都采用HA部署方式；LB采用单臂部署模式，可对需要的流量做应用优化；LB上需要做Source_NAT;服务器网关指向防火墙，依靠防火墙实现服务器之间的访问控制关系数据流：核心->汇聚->LB->FW；FW、LB都采用HA部署方式；LB采用单臂部署模式，可对需要的流量做应用优化；FW采用透明模式；服务器网关指向LB，依靠防火墙实现服务器之间的访问控制关系；数据流：核心->汇聚->FW->LB；FW、LB都采用HA部署方式；LB采用单臂部署模式，可对需要的流量做应用优化；FW采用路由模式；服务器网关指向LB，也可指向FW；依靠交换机ACL实现服务器之间的访问控制关系；图书馆数据中心集成安全部署最佳实践无线控制器S7500S3600补丁服务器病毒服务器S5600S3100EI隔离区不符合安全策略的用户安全客户端安全联动设备用户集中管理，基于用户身份的安全策略管理，避免多系统互通带来的部署复杂性；认证控制基于用户身份，使用ACL控制，可以限制到MAC，避免单端口单用户限制；与交换机、路由器和防火墙等网络设备配合，支持多种接入认证方式；客户端可以实现定制安装，支持静默安装，大大降低部署工作量和维护难度；与微软SMS（WSUS）无缝集成实现系统补丁自动检测和升级；支持黑白软件检查，可以广泛的与第三方桌面软件进行联动配合；与网络设备管理平台相融合，将用户与网络设备通过网络拓扑等相关联，提升了网络管理的有效性和易管理性。通过使用无线EAD，提升无线网络的安全性，并且能够同有线EAD用户一样限制不同类别用户的访问范围。图书馆阅览室、办公区端点准入方案安全策略组件阅览室阅览室办公区图书馆阅览室、办公区ARP攻击防御方案网关接入交换机认证服务器利用认证机制获取合法用户的IP-MAC关系认证设备将获取到的IP-MAC对应关系就地绑定认证客户端控制点2X认证通过后，CAMS将网关的IP-MAC对应关系下发给客户端进行静态绑定关键点1攻击者网关接入交换机DHCP服务器接入交换机解析客户端和DHCP服务器之间的交互报文，获得合法用户的IP-MAC-port对应关系接入交换机将获取到的合法用户的IP-MAC-port绑定在入接口上控制点1X想发送欺骗报文？丢弃关键点DHCP监控模式：通过DHCP监控方式建立静态绑定表项。接入交换机启用ARPDetection功能，根据建立的静态绑定表项过滤非法ARP报文。全网部署后，直接在接入端口丢弃ARP欺骗报文，有效防止所有类型的ARP攻击。支持根据客户端IP地址的租约对DHCPSnooping表项进行老化，节省系统资源。认证模式：认证客户端启用“上传IP地址”功能，交换机通过1x认证监控方式建立静态绑定表项。接入交换机启用ARPDetection功能，根据建立的静态绑定表项过滤非法ARP报文。认证服务器向认证客户端下发网关IP-MAC对应关系并静态绑定，在接入终端防止网关仿冒。支持根据客户端认证情况对静态绑定表项进行老化，节省系统资源。图书馆SSLVPN远程接入方案数据中心外部业务服务器群FWACGIPSLB接核心交换机SSLVPN板卡SSLVPN板卡图书馆出口/远程接入区互联网/校园网来自校园网的访问来自互联网SSLVPN的访问图书馆SSLVPN远程接入方案问题：图书馆购买的数据库资源只能在通过校园网访问，因为数据库服务商按照源IP控制访问报文教师在校园网外，由运营商提供接入服务，所以无法在家访问服务商的数据库资源。解决方案：教师在校园网外通过SSLVPN接入到校园图书馆网络，通过SSLVPN网关访问服务商的数据库资源。方案优势：安全性好

易于使用

易于接入

易于集成互联网/校园网SSLVPN板卡SSLVPN板卡图书馆出口/远程接入区？？？目录数字图书馆概述H3C高校图书馆解决方案数字图书馆基础网络架构数字图书馆数据中心解决方案数字图书馆网络安全解决方案数字图书馆无线接入解决方案H3C高校图书馆案例介绍高校数字图书馆无线网络接入的优势无线网络技术的发展和笔记本电脑的普及使图书馆无线接入具备很多优势：图书馆电子资源日益丰富，读者数量激增，阅读位有限，无线网络使读者不进入阅览室即可访问数字资源。图书馆学术报告厅网络接口有限，无线接入将为演讲者、听众、来访嘉宾提供极大方便，充分展示数据图书馆的专业性。传统目录柜检索逐渐被机读数据检索方式替代，但检索终端资源频率过高，无法满足所有读者需求。无线网络为携带笔记本电脑的读者提供图书馆网络接入，方便数目查询。图书馆书库、办公区楼层跨度大，一些旧馆属具有标志性的历史建筑，不适合架设网络，而无线网络不受束缚，方便提供网络接入。现代化的图书馆在库存清点、新书查询方面将大量装备手持终端设备，无线网络可为各种手持设备提供无处不在的网络接入。无线网络可为图书馆工作人员提供移动接入，随时随处收发电子邮件等。集中式“瘦”AP架构自适应射频负载均衡快速三层漫游无线IPv6有线无线一体化安全防御移动业务支撑无线管理H3C校园无线网络解决方案架构无线交换机802.11a/b/g天线加密移动IP,IPSec,认证802.1x,TKIP,Qos,切换,802.11h位置检测每用户的安全策略网络自愈RF管理非法无线入侵检测802.11a/b/g移动IP,IPSec,认证802.1x,TKIP,Qos,切换,802.11h天线加密更易管理、安全的无线解决方案“胖”AP“瘦”AP普通交换机无线局域网组网模式：“胖”APvs“瘦”AP园区网络低成本AP园区网络MobilityDomainS3600-PWRS3600-PWR1、增加WirelessSwitch作为中央控制管理单元、认证终结点，适合大规模高等院校无线网、小型无线城域网；2、WirelessSwitch与AP之间跨越L2、L3、广域网的灵活组网；3、快速漫游切换、基于用户的权限管理、无线射频环境监控、语音视频等增值业务的满足；IP网络瘦AP组网模式WA2110-AGS3600-PWR无线控制器/ACiMC（EAD）安全策略组件采用叠加方式在现有网络上搭建无线网络PoE供电简化无线网部署PoE端口管理=故障AP重启管理基于现有核心交换机扩容无线管理模块，降低改造综合成本有线网络、无线网络统一认证计费管理采用叠加方式建立无线网络可以最大限度的减少对原有有线网络的配置更改计费系统接入交换机核心/汇聚交换机无线接入控制模块网管系统APAPAPAPPoE交