XX区教育城域网络项目方案建议书V1.0

版权所有，侵权必究 第45页,共SECTIONPAGES65页XX区教育城域网络项目方案建议书XX有限公司2017年01月目录199071项目概述 313241.1项目背景 3264691.2项目需求 411631.2.1教育智能终端的支持 425881.2.2业务应用整合的支撑 5105151.2.3教育云服务平台的建设 6105271.2.4新技术的应用 736711.2.5基础数据与认证管理的统一化 8312431.2.6安全设计的全局化 10170361.3建设原则 11279371.4建设范围 12113342教育城域网总体方案设计 1342492.1组网方案设计 1389722.2统一互联网出口设计 14326092.3核心交换区设计 17311152.3.1核心认证交换中心 17161282.3.2网络核心设计 17282802.3.3核心交换机组网方式 18198352.3.4认证中心设计 18249242.3.5集中认证方案 19264742.3.6集中认证网关(核心交换机)的性能要求 19212142.4数据中心区设计 1939952.4.1数据中心网络平台设计 19133852.4.2计算资源池设计 23279002.4.3存储资源池设计 26267232.4.4云管理平台设计 27308782.5有线无线一体化设计 33101882.5.1有线无线设备统一管理 3312992.5.2多样化的拓扑管理 33198362.5.3全面的基础资源管理 33126602.5.4智能的告警管理 35297292.5.5高效的无线射频覆盖（RF覆盖）管理 35117252.5.6统一的身份认证设计 36213452.6学校接入区设计 3691612.6.1校园网接入设计 3611112.6.2学校出口网关设计 37281082.6.3校园网用户终端分类隔离 38201592.6.4校园网出口实名认证 38225002.6.5无线校园网设计 39278163教育城域网详细方案设计 42166943.1网络安全 42247493.1.1互联网出口安全 42270873.1.2服务器安全 4369183.1.3交换机安全 44225283.2实名制上网及日志设计 46194263.3数字无线校园 49229683.3.1分级运营管理 49301983.3.2无线稳定高速 4924133.3.3无线高密接入 53107893.3.4无线安全设计 57152553.3.5无线接入认证设计 59239693.3.6统一集中管理 6284013.3.7面向未来IPv6的支持 63项目概述项目背景区教育信息化情况如下：1）XX区有各级各类学校59所，其中小学37所，初中13所，职业高中1所，另有幼儿园8所，全区在校学生34064人，其中学龄前幼儿2262人，中小学生29664人，职高生2208。全区在职教师2922人，其中带课教师为2711人。2）宽带网络“校校通”情况：已经接入宽带的学校共有59所，其中≥50M的有2所，≥10M的有36所，＜10M的学校20所，但带宽严重不足，不能完全满足教学需要,需建设XX区教育城域网达到千兆到校园，百兆到桌面。3）优秀资源“班班通”情况：已经配备或基本配备班班通设备的学校共有25所，共计500台可用班班通设备，还需建设班班通296台，使班班通建设达到100%。4）学生电脑配置情况：已经配备学生电脑1100台，学生电脑配置不足,还需配置1902台，确保生机比达到9:1。5）教师备课电脑配备情况；已经配备教师备课电脑的学校有494台，教师备课电脑配备不足,还需配备2095台，使专任教师师机比达到1:1。无线移动技术的不断发展以及信息化技术的广泛应用，推动了无线校园网建设的发展和教学方式的改变。依托移动通信网络，学校的教学、科研、管理和服务等各项业务变得更加快速便捷，学校师生对无线网络的倚赖程度，已经变得越来越高。无线网络接入的便捷，学校教学方式的改变，教学手段的更新以及高容量、高带宽业务的广泛应用，对无线校园网建设提出了更高要求，建设支持移动学习的无线校园网已是迫在眉睫。随着移动技术以及数字化技术的飞速发展和广泛应用，各类便携式、多功能、可移动智能终端的普及，老师和学生分别对移动办公和移动学习提出了更高的要求，建设新一代支持移动办公和移动学习的无线校园网应运而生。项目需求教育智能终端的支持随着信息技术发展，电子书包、IPAD等智能终端越来越多的应用于教学课堂，教育智能终端给教学带来新的变化和挑战。“电子书包”是指具有电纸书阅读功能、上网计算机的信息处理功能，适合学习者个体使用的数字化学习终端。在经济相对发达的东部，如上海、江苏、浙江等地积极探索电子书包进入日常课堂，引领全国教育信息化的潮流。上海虹口区的基础教育电子书包计划引起了社会的高度关注，国家及各省纷纷为电子课本及电子书包探讨和建设相关的标准，电子书包的产业链已经初步形成。随着信息技术的发展，电子书包技术及应用的成熟，电子书包在课堂教学中的广泛应用，在不远的将来一定能够实现。上海对教育信息化更是重视，在上海区中长期教育改革和发展规划纲要（2010-2010年）中明确提出，推动“电子书包”和“云计算辅助教学”的发展，促进学生运用信息技术丰富课内外学习与研究。上海的教育发展抓住当前“电子书包”和“云计算辅助教学”等新技术发展的历史转折机遇，率先在教育现代化进程中引入新的技术和理念，将为上海构建一个全新的信息化教育社会化服务体系。可见，新技术发展对推进教育整体变革的起着引领作用，教育信息化正逐渐被各级教育主管领导所重视。电子书包的教学应用场景课堂中，一旦老师提出问题，学生们就能通过电脑进行查询解答，借助无线教育宽带网或无线校园网（电子书包之间的通讯基于无线信号），老师可以看到每个学生的回答速度及答案，学生之间还可以展开讨论而不影响他人。电子书包应用于课堂教学后，不仅课堂上师生间的互动增多了，假期师生间也可以即时“面对面”沟通。老师能够通过电子书包布置、批改电子作业、在线答疑；学生能够在线学习、测试、提交作业；而家长又可以通过网络即时了解孩子的学习情况。此外，视频、网页、Flash等多媒体的交互应用，使得学习不再是翻翻书本那样枯燥无味，增添了学习乐趣。因为学习材料处于“云”端，可以根据学习需求随时被下载，学生能随时随地学习。课前，老师布置预习作业后，通过网络可知道，哪些学生预习了，哪些没有预习，哪些问题能自行解决，哪些问题理解上有偏颇；课中，老师不用面面俱到，只需根据教学目标，将学生理解上有偏颇的问题讲清楚即可，提升了老师教学和学生学习的效率；课后，通过对在线作业、及时检测和反馈练习，老师们不再需要一本本地批改作业，就能获得学生作业情况和问题，有的放矢地针对性教学。RFID（RadioFrequencyIdentification）构建校园一卡通系统、资产管理系统。随着电子信息技术的发展，智能卡(IC卡)在生活中随处可见，而射频识别卡(简称射频卡、RFID卡)正逐渐取代传统的接触式IC卡，成为智能卡领域的新潮流。学生考勤系统设计利用无线射频识别(RFID)技术，实现对学生进行考勤、记录等功能。通过点名、磁卡和接触式IC卡等方式对学生的到课情况进行考勤、记录管理，既耗时又容易相互干扰；而非接触式RFID学生考勤系统实现了利用无线射频识别技术对学生考勤管理，既方便快捷，又省时。通过无线射频扫描，对于校内如贵重教学仪器、设备等，为了防止被人盗窃，可以通过在这些物体上贴无线定位标记卡，只要该物体处于校园无线网络的覆盖范围内，如果被移动出房间，就会被无线网络发现并在网络管理软件上立即报警，管理人员马上可以获知该盗窃事件的发生，并在事后通过现场的视频监控记录追查犯罪嫌疑人。除了电子书包、无线考勤及资产管理以外，很多学校利用便利的无线环境，还开展终端手机信息推送、无线视频实时同步等新业务应用。随着基础教育信息化的发展，学校有线网络建设、优化和使用已趋于成熟，在经济相对发达的地区，很多学校采用移动式的无线网络支撑教学和办公。利用部署完成的校园无线网络，包括教学楼、实验室、湖边、草地、公园、体育馆、操场等在内的每一个角落，学生通过笔记本电脑都可以随时随地的访问校内数字图书馆等数字资源，老师可以随时随地的查找资料来应对学生的提问，课后可以在校内任何地方随时与学生保持即时通信来指导作业，校内任何地点可以随时完成网络访问和视频回传、实现实时的电子公告等。电子书包、无线考勤定位、手机智能终端等应用于教学，将对信息化的基础环境带来巨大的挑战和机遇，特别是对区域的无线网络性能和稳定性提出了挑战。业务应用整合的支撑教育宽带网建设的目的是要构建一个连接学校、区县教育局、区教育局等三级教育信息网络系统，形成辐射区、区县教育局和所有中小学、幼儿园、职业技术学校、各类成人教育培训机构，面向社会开放的、具有现代远程教学功能、教育信息资源共享功能以及教育教学管理信息交换功能，实现实时视频信息传输的高带宽的教育信息化网络系统。近年来，随着教育信息化的不断发展与深入，各级各类教育应用系统呈现越来越丰富的态势且发展速度迅猛。中小学管理信息系统广泛应用，区区校三级教育管理信息的共享与交换环境日渐成熟，学生卡的各种应用不断扩展，已逐步成为学生认证和信息记录的重要载体，教师卡的发放和应用推广各地已开始分布实施；随着教育教学业务的不断拓展，新的应用系统层出不穷。随着应用系统的不断增多，在教育信息化建设进程中形成了多应用系统独立运行、资源分散和分别管理的状况。所有应用系统都在建设各自的用户管理和认证方式，这些系统彼此独立、资源分散，形成了业务隔离、数据孤岛，需要进行业务系统的整合，实现数据共享、统一认证及单点登录。教育云服务平台的建设传统的数据中心网络采用传统以太网技术构建，随着各类业务应用对IT需求的深入发展，业务部门对资源的需求正以几何级数增长，传统的IT基础架构方式给管理员和未来业务的扩展带来巨大挑战。具体问题如下：（1）维护管理难在传统构架的网络中进行业务扩容、迁移或增加新的服务功能越来越困难，每一次变更都将牵涉相互关联的、不同时期按不同初衷建设的多种物理设施，涉及多个不同领域、不同服务方向、不同部门，工作繁琐、维护困难，而且容易出现漏洞和差错。比如数据中心新增加一个业务类型，需要重新调整应用访问控制需求，此时管理员不仅要了解新业务的逻辑访问策略，还要精通物理的防火墙实体的部署、连接、安装，要考虑是增加新的防火墙端口、还是需要添置新的防火墙设备，要考虑如何以及何处接入、有没有相应的接口、如何跳线以及随之而来的VLAN、路由等等，如果网络中还有诸如地址转换、七层交换等等服务与之相关联，那将是非常繁杂的任务。当这样的IT资源需求在短期内累积，使得系统维护的质量和稳定性下降，同时反过来减慢新业务的部署，进而阻碍教育信息化业务的推进和发展。（2）资源利用率低传统架构方式对底层资源的投入与在上层业务所收到的效果很难得到同比发展，最普遍的现象就是忙的设备不堪重负，闲的设备资源负载很少，二者相互之间又无法借用和共用。这是由于底层网络建设是以功能单元为中心进行的，并不考虑上层业务对底层资源调用的优化，这使得对网络的投入往往无法取得同样的业务应用效果，反而浪费了较多的资源和维护成本。因此，传统底层基础设施所提供的服务能力已无法适应当前业务急剧扩展所需的资源要求，现有的数据中心建设需要遵照一种崭新的体系结构思路来构造新的数据中心IT基础架构，采取计算、存储、网络等资源集中部署、集中分配、集中管理，由各学校合理申请相关的资源，教育局统一提供计算、存储、网络等资源供学校使用，实现按需分配。避免各个学校独立建设数据中心的IT基础设施，重复建设，浪费资源。新技术的应用新技术层次不穷，三网融合、物联网及云计算等新技术在各行各业都有广泛的应用，技术方向的多样性与教育行业特点的结合，对区域教育信息化的基础环境建设带来根本性的影响。技术和行业的结合非常重要，技术选择的关键是技术到底为行业客户解决了什么问题，而不是为了“技术”而选择技术。如云计算，是新瓶装老酒，要关心云计算到底解决教育信息化的什么问题，而不是“云”的概念！三网融合是指电信网、计算机网和有线电视网三大网络通过技术改造，能够提供包括语音、数据、图像等综合多媒体的通信业务。“三网融合”后，民众可用电视遥控器打电话，在手机上看电视剧，随需选择网络和终端，只要拉一条线、或无线接入即完成通信、电视、上网等。物联网这个概念，在中国早在1999年就提出来了，当时叫传感网。其定义是：通过射频识别（RFID）、红外感应器、全球定位系统、激光扫描器等信息传感设备，按约定的协议，把任何物品与互联网相连接，进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理的一种网络概念。“物联网概念”是在“互联网概念”的基础上，将其用户端延伸和扩展到任何物品与物品之间，进行信息交换和通信的一种网络概念。物联网(InternetofThings)是一个基于互联网、传统电信网等信息承载体，让所有能够被独立寻址的普通物理对象实现互联互通的网络。它具有普通对象设备化、自治终端互联化和普适服务智能化3个重要特征。狭义云计算指IT基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需资源。这种服务可以是IT和软件、互联网相关，也可是其他服务。云计算的核心思想，是将大量用网络连接的计算资源统一管理和调度，构成一个计算资源池向用户按需服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的，并且可以随时获取，按需使用，随时扩展，按使用付费。移动互联网及云计算的迅猛发展，使得智能终端的重要性凸显。不仅要有强大的云端，而且要有强大的终端。“云＋端”的发展不仅体现在更多的ＰＣ软件应用平台的拓展上，智能手机应用平台也不可或缺。同时，即时通讯、网络交互、音频等服务均会集成在新一代沟通平台上，为用户带来更多的应用体验。智能终端的发展，不仅体现在物理按键消失，代之以多点触控，以及存储能力、计算能力、运行速度都在大幅度提升，更重要的是，终端能力的提升最终要体现在移动互联网时代无穷无尽的各种应用，如基于商务的、家居的、个性化的娱乐应用等都能够通过智能终端这个出入口来得到体现。随着智能手机的普及，Android等开放平台的应用，以及AppleTV、GoogleTV等诸多新品新概念的传播，智能化终端正逐步成为业界的发展趋势，而随着智能电视终端的推出，也相应开始形成对于应用的需求，于是应用程序商店的形态也便成为目前产业的关注重点，同时也反过来对智能终端提出了更高的要求。基础数据与认证管理的统一化从目前全国各个区域了解到的情况来看，以区为单位的基教行业信息化结构图如下：（1）统一基础数据库区域教育信息化业务建设和发展中，随着业务系统的使用率越来越高，随之产生了各种各样的数据信息，而其中，最重要的数据信息就是教育行业的基础数据库。教育基础数据库包括学生基本情况数据库、教职工基本情况数据库、校舍基本情况数据库和校产基本情况数据库等，经费安排、教师定编、招生计划均以教育基础数据库的数据为准。目前，老师、学生、校舍、校产等各类基础信息及数据来源往往来自多个部门，无法实时，也缺乏准确性，因此统一基础数据的建设大势所趋，也是教育信息化部门目前最头疼的事情。具体来说，基础数据库将包含区级、区县等各级各类学校的基本信息、全区近十万级的在校学生和近万级的教职工的个人信息，建库工作完成后还需按规定及时对数据进行更新和维护。区教育行政部门组织的各项评估(包括对党政绩效的评估、教育强区、对学校的各项评估等)、经费安排、教师定编、招生计划以及对社会公布信息等需要使用的数据，一律以教育基础数据库的数据为准。可采取分阶段实施和建设，建立义务教育阶段、高中阶段等基础教育的学生基本情况数据库和教师基本情况数据库。同时，对已使用其他系统建立了学生及教师数据库的学校，完成数据的转换工作后，实施数据导入工作。对已建立的数据库信息进行核查，重点核查是否有多报、漏报或错报的情况，统计口径是否一致，对由此产生的有关数据进行分析，发现问题并及时改正。数据库的建设将统一数据口径，杜绝数出多门。确保各级教育行政部门使用的数据均能从教育基础数据库中产生，系统将自动生成各级部门所需数据，并以此数据为准，不得使用其他来源的数据。（2）统一公共认证随着教育信息化的业务系统快速发展，出现了业务隔离、数据孤岛等问题，给教育信息化的快速推广和部署带来新的阻力，使用麻烦、维护困难、管理效率低等问题同时也给使用者、管理者带来了新的挑战。由于各个应用系统往往由不同的单位开发，使之呈现出多个应用系统、多个登录界面、多个用户、多个口令，这是管理员和用户面临的最复杂的问题。多个应用系统，多种用户管理和认证方式，不同的用户身份信息库，不同的用户权限库，加大了应用系统的维护成本。多个应用系统，各自独立的用户管理模式，使各个系统成为信息孤岛，用户信息无法共享，需要重复建设用户管理和认证方式，各系统间不能形成一个统一、联动的整体，使得管理效率低下，违背了信息化发展的趋势。国内很多信息化做的较早的区域已经意识到，加速信息化建设，不仅需要关注信息化建设对业务的覆盖程度，更需要以人为本，关注信息化运用的使用效率，提升各应用系统之间资源分配的合理和高效，这些都迫切需要摒弃原有应用系统的分散管理模式，采用集中统一的用户管理模式，搭建一个多应用系统的统一认证管理平台，实现如下的功能：统一的用户管理：多个应用系统实行统一的用户身份信息、角色信息和组织机构信息，由一个管理平台进行统一维护和管理，从而降低整体维护成本和管理风险。统一的认证方式：多个应用系统实行统一的用户注册、身份认证和权限管理，用户只需注册一次，即可访问所有应用系统。另外，由于各应用系统自身的安全等级不同，统一认证管理平台应能支持不同安全等级的注册、身份认证方式。单点登录，多点漫游：在统一身份认证的基础上，实现单点登录，用户只需一次登录就可以访问其权限范围内的各应用系统，并且可以方便的在各应用系统间切换访问，极大的方便用户，实现“单点登录，多点漫游”。安全性、高效性、扩展性：认证系统是其它应用系统的入口，必须保证用户认证过程的安全性，并满足大量应用系统的认证请求，同时满足认证接口的多样性需求，使得各种各样的应用系统都可以使用本中心进行身份认证。（3）统一的实名身份体系在教育信息化发展较快的区域，链路带宽、网络拓扑、出口规划等方面都已经很完善，为区域教育信息化的基础环境建设探索了新的道路。然而，随着互联网技术的快速发展，城域网和互联网承载的应用日新月异，电子书包、无线考勤定位、无线视频监控、多媒体录播、网上阅卷系统等各种新应用层出不穷，微博、开心网等应用慢慢融入学校师生的网络活动，网络舆论成为互联网新的关注焦点。随着应用的数量、规模的变化，应用驱动建设对于基础网络的建设必定带来新的挑战，在区域教育信息化做的有特色的地方，开始建设统一实名身份体系，实现网络及业务层的统一认证。安全设计的全局化从2000年国家推行“校校通”工程以来，各地的基础网络建设发展到了一个新的阶段，教育城域专网在经济发达地区已完成两轮建设，在建设和使用区域教育宽带网的过程中，安全是一个最基本的问题，也是区域教育信息化的基础环境建设最基础的内容之一。随着区域教育信息化业务应用的逐渐开展，大家都意识到，安全不应该孤立、分割的来考虑和设计，而应该遵循相关的管理标准进行整体、统一的规划和设计。目前，国内信息业务系统的安全管理主要有等级保护和分级保护两个标准，根据教育行业的特点，教育信息化的业务系统主要采取公安部的等级保护管理办法进行安全管理，包括主机系统的安全、通信网络的安全、区域边界的安全及整体安全设计等内容。在目前区域教育信息化的安全设计中，采取对防火墙、入侵检测系统、VPN加密系统等基础安全设备进行安全设计和建设，缺乏全局安全设计的思想。安全设计全局化是教育信息化主管领导在进行安全建设方面考虑的一个重要的内容。要做到“让正确的人，使用健康的主机，访问安全的网络，做规范的事情”。“让正确的人”的意思是，当学校的老师或学生接入教育网络时，就要检查其身份是否合法，是不是学校的师生，避免非法用户的接入；“使用健康的主机”的意思是，当用户在家里使用笔记本，若不小心感染病毒或没有打操作系统补丁的情况下，在接入区域教育宽带网时，将会检查其机器是否安装杀毒软件或是否打补丁，若没有，就要强制要求用户先装好杀毒软件或打好补丁，才能接入教育网络；“访问安全的网络”意思是，整个网络通过防火墙、VPN、入侵检测系统、WEB应用安全防护系统、数据审计等安全管理产品和技术实现整个网络的安全，同时这些设备能与后端的安全管理平台实现安全联动，保证访问网络的安全；“做规范的事情”意思是，在用户整个互联网访问或区域教育宽带网资源访问中，有权限的管理员，在系统后台，能自动的基于实名信息查询相关访问的记录，比如什么人在什么时间访问什么网站，发了什么帖子等。安全设计全局化做到以“用户”为核心的安全，让正确的人，使用健康的主机，访问安全的网络，做规范的事情。作为一个优秀的普教，领先的信息化已成不可阻挡的趋势。XXX普教拥有电子移动图书馆、名师课堂、专业科学数据库。这些应用能够能够提供给师生更高的学术平台和资源。而能够将这个平台利用起来，就需要无线来覆盖整个校园，让师生随时随地能够访问这些资源。简化师生获取资源的方式，增加教学资源的点击率和使用率。为XXX普教真正做到信息化强校的目标打好基础。建设原则实用性和先进性采用先进成熟的技术满足各种应用系统的需求，兼顾其他相关的管理需求，保证满足各种应用系统业务的同时，又体现出网络系统的先进性。在网络设计中把先进的技术与现有的成熟技术、标准和设备结合起来，充分考虑到网络应用的需求和未来的发展趋势，使整个系统在一段时期内保持技术的先进性，以适应未来信息化的发展的需要。高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，对于网络来说更是如此，为保证各项业务应用，网络必须具有高可靠性，在技术上和制度上都要进行保障。标准性与开放性网上原有设备应该和新增设备采用国际标准协议进行互连互通，确保本网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广域网及网管系统等，坚持统一规范的原则，从而为未来的发展奠定基础。网络采用国际上通用标准的主流的网络协议，不仅保证与其它网络(如公共数据网、Internet)之间的平滑连接和互通，还能适应未来若干年的网络发展趋势，便于将来网络自身的扩展。高安全性选用网络设备应该内置安全特性，交换机具备端口隔离，IP+MAC+端口+VALN等多个元素的绑定。出口路由器要支持防火墙功能，对出入数据做安全过滤。建设教育局实名认证系统，对接入用户进行强制认证，保证用户接入安全。高性能网络系统的性能是整个信息系统良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，力争实现透明网络，网络不应该成为实施现代化应用业务的瓶颈。灵活性及可扩展性网络系统是一个不断发展的系统，网络不仅需要保持对以前技术的兼容性，还必须具有良好的灵活性和可扩展性，具备支持多种应用系统的能力，提供技术升级、设备更新的灵活性，能够根据不断深入发展的需要，根据未来业务的增长和变化，平滑的扩充和升级现有的网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能，最大程度的减少对网络架构和现有设备的调整。易操作性和可管理性由于网络本身具有复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以在网络设计中，要采用可网管、智能化的设备，支持远程操作。建设范围网络建设：建成XX区教育城域网,确保校内信息点100M接入到桌面，1G带宽专线上联教育局。校园网用户通过认证系统实现统一认证和统一管理。接入城域网的学校部署一套多功能安全网关。从而构建一个安全、绿色的教育信息化网络，利用教育网络空间及内部网络接收优质教育资源，共享教育数据。信息中心建设：信息中心建设主要包含外联区安全网关、核心交换机、综合运维管理系统、统一身份认证系统等、各业务系统。外联安全网关负责各个学校的接入，同时也可与区局的数据资源中心互联，实现承上启下的数据资源转发。核心交换机负责教育局内各种业务应用系统的基础网络承载，并为综合运维管理平台、统一身份认证平台等管理系统提供网络接入。

教育城域网总体方案设计组网方案设计XX教育局城域网网络拓扑逻辑图如上图所示,整个教育局城域网分为5大功能区：互联网出口区，核心交换区，网络管理区，服务器区，学校接入区。统一互联网出口设计**区教育城域网的互联网出口采用集中大出口设计，所有接入学校和教育单位均需要从教育局城域网中心机房出口接入互联网，集中出口区域的高速NAT、路由、流量上网行为管理和内容审计、边界安全防护、精细化流量控制五大应用需求必须重点考虑。因此，方案设计在城域网中心机房集中网络出口位置部署高性能出口网关。教育城域网的互联网出口主要保证数据中心区互联网访问、各教育单位、中小学校的互联网统一出口。为了保证互联网应用的流畅运行以及用户的上网体验，需要对一些关键应用的带宽有足够的保障，出口区域的设备对关键需求有足够的支撑，能够支撑包括门户网站区域在内的所有外网应用都稳定可靠，不允许在包括出口在内的骨干区域出现故障隐患，所有设备档次要适度超前，避免因为需求的不断发展出现性能瓶颈；另外出口作为外部攻击的主要通道安全的重要性是毋庸置疑的，需要综合考虑到整个网络对于出口区域的安全防范问题。综合上面对互联网出口区情况的分析，本次方案总结出口区域的设计思路为：提供高性能NAT地址转换，满足15000用户的并发宽带接入需求；提供可靠稳定的互联网接入，出口支持2000M以上的吞吐能力，无性能瓶颈；提供多链路的负载均衡，智能选路功能，可以依靠线路的负载、应用类型、运营商的不同和访问速度来智能判断最快的访问线路或指定特定的应用走特定的线路；提供完善网络安全防护功能；提供网络访问行为审计功能；提供出口精准流量控制功能；提供对关键应用服务器和门户网站的重点保护；提供针对教育行业用户的内外网教学资源优化配置调用的功能。综上所述，本次统一出口设计包含出口网关、防火墙、WEB防护、流量控制等产品，组成统一互联网出口解决方案。统一互联网出口解决方案随着互联网应用的日益丰富，有限的带宽已经无法满足校内用户的应用需求，在不降低用户体验的情况下，如何控制流量，保障关键应用的运行是校园网面临的重大问题。互联网出口流量中大部分是重复流量和重复的文件，如果能够在网络中部署一个内容缓存设备，将大大提高校内用户的使用体验。用户在互联网读取数据时，会首先在缓存设备上进行高速查找，如果存在同样的数据那么直接进行本地转发，一次外网访问，多次内网服务，提高互联网带宽承载能力，用户访问速度提升加倍。大大提升校内访问速度，极大的提升用户体验。出口多链路负载均衡部署出口多应用安全网关，实现链路负载均衡，包括：基于链路状态和目标位置的出流量负载均衡，以及基于访问源位置的入流量负载均衡。同时可实现NAT功能。互联网出口防火墙部署防火墙，以对进出中心机房的数据做访问控制，同时也支持NAT功能，可作为出口安全网关的备份设备使用；上网行为管理多应用安全网关，还可以实现对用户上网行为管控，一方面规范城域网网络使用行为，另一方面控制互联网出口带宽优先保障关键应用，不被其他应用无关数据滥用。流量控制部署流控设备，对进入中心机房的数据做流量分配。原则上针对每IP地址或网段限流，不同类终端的流量分配视校园网具体情况定义。安全防护设计教育城域网的网络安全设计面比较广泛，主要包括基础网络设备的安全防护、PC终端的主机安全防范、服务器专区的服务防范（特别是WEB防护）与实名制上网的安全记录需求设计这四个方面，需要根据不同的需求按照不同层次、不同方法分别加以设计，通过融合多种安全机制实现城域网整网的安全架构设计。城域网层次化安全设计主要是包括四个部分：基础网络分布式安全防御体系、端点主动安全防御系统、服务器区安全防御与实名制上网功能。基础网络安全防护设计基于教育城域网的特点，城域网和校园网是一个开放的应用环境。在这种环境下尤其容易感染网络病毒和发生网络攻击，这给网络主干带宽带来严重冲击，甚至可能造成整网瘫痪。因此，为了保证整个网络的带宽可用性，防止网络病毒传播扩散，防止网络攻击的发生，在本方案中，出口设备保证内外网安全控制；核心、接入层网络设备均支持嵌入式防DDoS攻击、CPU策略保护、基础网络保护策略和最长匹配三层交换LPM技术，由单点安全变为区域安全，防止网络扫描、和攻击。移动用户接入安全设计考虑到移动用户接入安全和便携性，推荐采用SSLVPN接入方式。在城域网中心机房部署1台SSLVPN网关，移动用户通过WEB界面或者SSLVPN客户端即可实现安全的VPN接入，灵活访问城域网资源。网络行为审计行为审计系统要能够全面详实地记录网络内流经监听出口的各种网络行为，以便进行事后的审计和分析，日志以加密的方式存放。网络行为日志全面要记录包括使用者、分组、访问时间、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、访问类型、访问地址/标识等关键数据项。支持在三层交换网络环境下获取用户计算机真实MAC地址功能；多应用环境下的网络数据审计还原。网络流量分析需要在全面记录网络出口流量数据的基础之上，以简单、直观、易理解的形式为用户提供实时和历史流量监测和统计功能。主要包括以下几个指标：实时流量、当日流量和历史流量。能根据历史上网日志数据统计产生丰富详细的报表，包括分组上网排名、人员上网排名、网络应用统计、访问资源统计、趋势分析等。可按年度、月度或者指定时间范围生成周期性报表。报表种类包括柱状图，饼图，曲线图，折线图等。报表可以以EXCEL、PDF、WORD、HTML等形式导出保存。并支持自定义的周期性报表自动生成和订阅。核心交换区设计核心认证交换中心核心交换区是整个城域网络的核心，城域网中的所有软硬件数据都将在这里集中交换。一个完善的城域网核心认证交换设备应发挥的作用包括：支持实名制快速高效集中认证，为所有用户提供简化高效的认证方式；保障整个城域网的互联网出口安全，支持对病毒、漏洞、木马等安全危险的控制；对上网行为、流量带宽进行控制管理，并提供审计数据支持检索；对中心机房和城域网所有网络设备登陆、调试、配置信息进行审计记录集中监控管理、自动定时巡检，通过显示屏能够直观显示城域网运行状态；互联网常用资源（音视频资源等）能够提前缓存到本地，提供本地化访问，提高访问体验。网络核心设计在网络的可靠性和稳定性保障方面，网络核心设计采用2台万兆核心交换机互为容错备份，并在核心交换机中采用关键模块冗余设计（如引擎、网板、电源冗余等），启用虚拟化技术将多台物理设备虚拟化为一台逻辑设备，统一运行管理，大幅减少网络节点，降低网络运维管理人员工作量、增加网络可靠性，实现50~200ms链路故障快速切换，保障关键应用不中断传输。支持跨设备链路聚合，方便接入服务器/交换机实现双活链路上联，提高网络有效连接带宽。双核心网络设计架构，为城域网络提供了高稳定性和可靠性的数据传输平台，同时，提供了一种能够“自愈”网络链路或设备的单点故障的网络架构，保证了城域网络能够提供7*24小时高速稳定的数据传输。为教育系统提供健壮的数据传输神经中枢。双核心虚拟交换技术，将两台物理核心交换机虚拟为一台逻辑上统一的设备，使其能够实现统一的运行，从而达到减小网络规模，同时极大提高网络稳定健壮性，控制故障恢复时间。虚拟交换示意图使用虚拟化后，两台核心设备逻辑上变成一台。从而简化了网络拓扑。网络中不再需要生成树、VRRP等复杂的协议，大大降低配置维护工作量。此时汇聚到核心双链路上联，等同于双链路连接到一台核心上，实现跨设备链路聚合。即使一台核心或上联链路中断，也可实现快速切换。切换时间控制在50ms以内，相当于普通数据包转发的时延，不会对应用流畅运行产生任何影响。核心交换机组网方式核心交换机之间互联：采用万兆接口，通过专用的万兆虚拟化线缆互联，搭建虚拟化核心层。核心交换机与各学校互联：采用运营商专线。48所学校通过运营商专线，直接连接至核心交换机千兆接口板上。核心交换机与出口互联：通过万电缆互联，搭建冗余架构。核心交换机与数据中心互联：通过万兆电缆互联，搭建冗余架构。认证中心设计本次城域网需要实现实名制身份认证，根据通用的实名制认证架构，需包含两大部分：身份认证系统和认证网关设备。身份认证系统用于存储认证账户和认证策略等，认证网关用于将认证报文发送给身份认证系统，完成认证流程。认证网关有两种部署模式：分布式认证和集中式认证。分布式认证：每台接入交换机需支持802.1X和web认证功能。集中式认证：1台集中式认证网关设备支持802.1X和web认证功能。 根据实际情况分析，采用集中式认证方式。1、使用城域网核心交换机作为集中认证网关部署，每个学校可以使用网关或交换机直接互联教育城域网数据中心机房。2、集中认证网关实现双机集群，具备高性能、高可靠性,组网灵活，支持三层认证模式，城域网改造整网结构不需要变化。集中认证方案采用集中认证的方案后，可以将原来分布在接入网的各项功能和策略上收至核心交换机，上收之后各项功能、策略的执行点全部在教育城域网中心机房的集中认证网关上，各个学校的接入、汇聚交换机只负责进行各种数据的转发，无需支持认证功能。集中认证方式极大的增强了城域网核心交换机的资源利用率，弱化了整个网络服务对接入、汇聚设备的依赖。集中认证网关(核心交换机)的性能要求所有功能、策略都部署在数据中心机房的核心层上，对整个城域网的核心交换机提出了巨大的挑战。核心层要承担各业务应用服务器的数据交换功能，要具备分布式业务处理体系结构，实现业务的全分布式处理，并能提供稳定、可靠、安全的高性能L2/L3层交换服务，以及电信级、自适应的可靠性设计。它作为网络的骨干连接和路由交换平台，实现所有汇集接入，不同子网之间的路由。它是全网业务汇接、转接和业务疏通的核心。因此核心层要选用新一代多级交换架构核心交换机搭建核心网络。核心交换机采用目前业界领先的多级矩阵交换架构，可配置高性能冗余引擎、冗余电源及冗余交换网板最大程度上满足设备级可靠性的要求。同时配置丰富的千兆、万兆接口，满足当前及未来网络发展的需求。数据中心区设计数据中心网络平台设计硬件平台设计说明1、核心交换机核心层要承担各业务应用服务器的数据交换功能，要具备分布式业务处理体系结构，实现业务的全分布式处理，并能提供稳定、可靠、安全的高性能L2/L3层交换服务，以及电信级、自适应的可靠性设计。它作为网络的骨干连接和路由交换平台，实现所有汇集接入，不同子网之间的路由。它是全网业务汇接、转接和业务疏通的核心。因此核心层选用新一代多级交换架构数据中心交换机搭建核心网络。核心交换机采用目前业界领先的多级矩阵交换架构，可配置高性能冗余引擎、冗余电源及冗余交换网板最大程度上满足设备级可靠性的要求。同时配置丰富的千兆、万兆接口，满足当前及未来网络发展的需求。核心交换系统核心层由2台正交CLOS架构交换机构建，负责整个教育平台上应用业务数据的高速交换。2台核心交换机交换机采用先进的CLOS+多级多平面正交交换架构，提供业界最高的交换性能和最丰富的教育特性。单机可以提供2304个线速万兆端口或者768个线速40G/100G端口，提供超高密度万兆和高密40G、100G能力；为了满足教育数据中心虚拟化的要求，此次选择的核心交换机通过部署N:1虚拟化技术，真正实现网络设备资源池化，给用户提供最灵活的选择：先进的CLOS多级多平面交换架构传统的核心交换机大多数采用CrossBar+共享内存的矩阵交换架构，属于单平面交换；交换矩阵与控制统一，即引擎承担了交换与控制双重功能，一旦引擎故障将导致整机不可用；而多级交换架构是多块交换网板共同完成流量交换，控制与转发物理分离，控制平面故障不会影响转发；多块交换网板可以无限升级流量。智能调度模式，交换路径负载分担，实现了交换系统严格意义上的无阻塞！创新的分布式多引擎设计采用了创新的硬件设计，通过全分布式的独立控制引擎、检测引擎、维护引擎为系统提供强大的控制能力和毫秒级的高可靠保障；分布式的控制引擎，所有业务板均提供强大的控制处理系统，轻松处理各种协议报文及控制报文，并支持协议报文精细控制，为系统提供完善的抗协议报文攻击的能力；分布式的检测引擎，所有业务板都可以分布式的BFD、OAM等快速故障检测，并与控制平面的协议实行联动，支持快速保护切换和快速收敛，可以实现毫秒级的故障检测，保障业务不中断；分布式的维护引擎，智能化CPU系统支持电源智能管理，可以支持单板顺序上下电（降低单板同时上电带来的电源冲击，提高设备寿命，降低电磁辐射，降低系统功耗），设备在线状态检查。支持40G/100G平台，40G接口扩展采用业界顶级的100G正交背板技术，可无阻塞升级支持40G/100G以太网接口。N:1虚拟技术是一种网络虚拟化技术，可避免运行管理的差异性。多台核心交换机虚拟化成一台：1）性能翻番使用网络虚拟化前，核心设备和汇聚设备都是一主一备的方式两台设备当一台用；无论是接入到汇聚，还是汇聚到核心的双链路上行都是一主一备的方式两条链路当一条用。使用网络虚拟化后，核心设备和汇聚设备都是负载分担的方式两台设备当两台用；接入到汇聚以及汇聚到核心的双链路上行都是负载分担方式两条链路当两条用。2）网络更简单使用网络虚拟化前，二层启用生成树，VLAN规划复杂；三层启用VRRP，路由规划复杂；每台单独配置，管理复杂。使用网络虚拟化后，二层不需要生成树；三层不需要VRRP；多台设备只需配置一次，让网络更简单。3）网络更可靠相比与VRRP三层环路保护协议、MSTP二层环路保护协议，网络虚拟化实现故障秒级到毫秒级的切换时间，业务不断！服务器接入交换机随着数据中心未来虚拟化部署的快速增长、万兆服务器的商业部署及高带宽应用均加速了对40GE、万兆网络的需求。此次选择的服务器接入交换机整机支持2个业务插槽，可以实现高密万兆光口、高密万兆电口、40GE接口的灵活混配置，最高可以支持48个万兆口及6个40GE口，或者18个40GE高速接口。通过选择FC接口板，整机最高可以支持48个FC/FCoE/Ethernet的融合端口。计算资源池设计本次县云计算数据中心总体逻辑拓扑结构如上图所示。整个平台由新建计算资源池、利旧资源计算池（如果原有服务器需要利旧）、存储资源池、管理中心四部分组成。新建计算资源池服务器采用刀箱方式，在刀箱中部署两路和四路的刀片服务器。利旧设备计算资源池则采用原来已有的机架式服务器，通过部署统一配置管理系统可以实现对下联的服务器、网络、存储、虚拟化软件等组件的统一管理。本次采用刀箱全融合架构，采用刀箱融合基础架构对于云计算数据中心作用有以下两个方面：简化机房硬件架构层次融合基础架构设备通过在一个刀箱中集成了服务器、存储、网络、虚拟化软件等设备，大大提高了服务器的利用率，减少了空间、电力、能耗等方面的消费。经测试统计得出，采用融合基础架构设备，可以提升至少3倍的服务器利用率，降低至少75%的空间占用，减少至少27%的电力消耗，降低初始购买和后期运维成本。融合基础设施能够改善数据中心环境，共享服务池可在运行中随时调用，提高业务环境的灵活性，加速实现应用程序的价值。融合基础设施充分利用现有的技术投资，消除数据中心的技术设备冗积问题，化繁为简。通过统一的管理，所有资产都成为资源池的一部分，能够分割、组合、变化，动态适应任何业务、负载或应用的需求。这些资源的使用也经过优化，帮助教育局提高利用率，降低使用能耗和成本。统一基础架构，通过将计算、网络、存储访问和虚拟化统一到一个综合系统中，进行集中管理，并使用虚拟化平台、云管理系统等软件进行协调，解决了上面提到的问题。实现网络与计算之间的感知联动服务器虚拟化技术的出现使得计算服务提供不再以主机为基础，而是以虚拟机为单位来提供，同时为了满足同一物理服务器内虚拟机之间的数据交换需求，服务器内部引入了网络功能部件虚拟交换机vSwitch（VirtualSwitch），如下图所示，虚拟交换机提供了虚拟机之间、虚拟机与外部网络之间的通讯能力。IEEE的802.1标准中，正式将“虚拟交换机”命名为“VirtualEthernetBridge”，简称VEB，或称vSwitch。vSwitch的引入，给云计算数据中心的运行带来了以下两大问题：网络界面的模糊主机内分布着大量的网络功能部件vSwitch，这些vSwitch的运行、部署为主机操作与维护人员增加了巨大的额外工作量，在云计算数据中心通常由主机操作人员执行，这形成了专业技能支撑的不足，而网络操作人员一般只能管理物理网络设备、无法操作主机内vSwitch，这就使得大量vSwicth具备的网络功能并不能发挥作用。此外，对于服务器内部虚拟机之间的数据交换，在vSwitch内有限执行，外部网络不可见，不论在流量监管、策略控制还是安全等级都无法依赖完备的外部硬件功能实现，这就使得数据交换界面进入主机后因为vSwitch的功能、性能、管理弱化而造成了高级网络特性与服务的缺失。虚拟机的不可感知性物理服务器与网络的连接是通过链路状态来体现的，但是当服务器被虚拟化后，一个主机内同时运行大量的虚拟机，而此前的网络面对这些虚拟机的创建与迁移、故障与恢复等运行状态完全不感知，同时对虚拟机也无法进行实时网络定位，当虚拟机迁移时网络配置也无法进行实时地跟随，虽然有些数据镜像、分析侦测技术可以局部感知虚拟机的变化，但总体而言目前的虚拟机交换网络架构无法满足虚拟化技术对网络服务提出的要求。为了解决上述问题，本次项目的解决思路是将虚拟机的所有流量都引至外部接入交换机，此时因为所有的流量均经过物理交换机，因此与虚拟机相关的流量监控、访问控制策略和网络配置迁移问题均可以得到很好的解决，此方案最典型的代表是EVB标准。802.1QbgEdgeVirtualBridging（EVB）是由IEEE802.1工作组制定一个新标准，主要用于解决vSwtich的上述局限性，其核心思想是：将虚拟机产生的网络流量全部交给与服务器相连的物理交换机进行处理，即使同一台物理服务器虚拟机间的流量，也将发往外部物理交换机进行查表处理，之后再180度调头返回到物理服务器，形成了所谓的“发卡弯”转发模式，如下图所示：EVB标准具有如下的技术特点：借助发卡弯转发机制将外网交换机上的众多网络控制策略和流量监管特性引入到虚拟机网络接入层，不但简化了网卡的设计，而且充分利用了外部交换机专用ASIC芯片的处理能力、减少了虚拟网络转发对CPU的开销；充分利用外部交换机既有的控制策略特性（ACL、QOS、端口安全等）实现整网端到端的策略统一部署；充分利用外部交换机的既有特性增强了虚拟机流量监管能力，如各种端口流量统计，Netstream、端口镜像等。EVB标准中定义了虚拟机与网络之间的关联标准协议，使得虚拟机在变更与迁移时通告网络及网管系统，从而可以借助此标准实现数据中心全网范围的网络配置变更自动化工作，使得大规模的虚拟机云计算服务运营部署自动化能够实现。存储资源池设计云计算数据中心数据中心的核心业务系统对数据存储的要求很高，为了保证项目的成功实施，在进行存储设备选型及方案设计时，应遵循如下原则：1. 系统可靠性原则。存储系统的软硬件必须稳定可靠，不能存在单点故障。2. 可扩展性原则。存储系统需采用先进技术，以利于整个系统的平滑升级。同时，必须考虑到今后存储环境的变化和灾难恢复系统建立的需要。3. 可管理性与系统高效原则。提供完善的管理策略和性能监控机制，确保存储系统的可管理性，减少管理的复杂性。4. 投资有效原则。系统方案应具有高性能价格比，具有较高实用性。本次项目构建的存储平台要满足未来3~5年信息化发展的需要，为此，有必要在构建信息系统之初，就打造一个稳定性好、性能高、易扩展的后端支撑平台。具体说来，本次数据中心存储平台建设，要达到如下3个建设目标：1. 高可靠；2. 高性能；3. 易扩展。云管理平台设计在本次云平台建设项目中，底层虚拟化资源池需要实现基于云计算的平台管理，云平台管理系统主要提供了虚拟化管理、集群资源管理、镜像管理、网络管理、资源调度管理、系统资源管理、资源状态监控、告警管理、用户管理等功能。在云平台管理系统的设计上采用层次化、模块化结构，主要分为两部分：云平台虚拟资源调度系统和云平台负载均衡调度系统。虚拟资源池和负载均衡集群都运行在一个高可用集群上，每个物理分区中的物理主机组成一个共享的计算资源池，启用高可用、自动资源负载均衡功能、容错等功能，资源调度系统模型如下图所示：本项目包含的主机类型有云平台管理主机、虚拟化主机、负载均衡集群主机。云平台管理系统将虚拟化主机和负载均衡集群进行统一的管理。云平台底层虚拟化架构可支持Vmware等异构虚拟化系统。此平台在部署虚拟化的时候可以选择其中一种底层虚拟化系统，便于后期的管理维护。在未来扩容的时候可以根据需求，再选择别的虚拟化系统进行部署，使云平台具备开放性、扩展便捷性。云平台负载均衡集群要求支持Apache、Tomcat、IIS、Websphere、Weblogic等WEB平台软件，考虑到服务请求的不同类型、服务器的不同处理能力以及随机选择造成的负载分配不均匀等问题，为了更加合理的把负载分配给内部的多个服务器，就需要应用相应的能够正确反映各个服务器处理能力及网络状态的负载均衡算法，选择合适的负载均衡策略，使多个设备能协同完成任务，消除或避免现有网络负载分布不均、数据流量拥挤反应时间长的瓶颈。虚拟机部署传统的虚拟机部署通常包括“创建、运行、终结”三个阶段。在IaaS架构中，虚拟机作为最为重要的IT基础设施，它的生命周期供贯穿于整个云业务服务的流程之中，并直接关系着云计算平台的资源利用状况。因此，为了更好的将虚拟机的生命周期管理和云业务及资源平台管理结合在一起，在本次云计算解决方案中，将虚拟机的生命周期外延为“规划、创建、运行、调整、终结”五个阶段。在云解决方案中，虚拟机生命周期的管理除了关注虚拟机正常的生命阶段以外，还需要关注虚拟机两个外延属性——业务和资源。服务器虚拟化技术的出现使得计算服务提供不再以主机为基础，而是以虚拟机为单位来提供，同时为了满足同一物理服务器内虚拟机之间的数据交换需求，服务器内部引入了网络功能部件虚拟交换机vSwitch（VirtualSwitch），如下图所示，虚拟交换机提供了虚拟机之间、虚拟机与外部网络之间的通讯能力。IEEE的802.1标准中，正式将“虚拟交换机”命名为“VirtualEthernetBridge”，简称VEB，或称vSwitch。vSwitch的引入，给云计算数据中心的运行带来了以下两大问题：网络界面的模糊主机内分布着大量的网络功能部件vSwitch，这些vSwitch的运行、部署为主机操作与维护人员增加了巨大的额外工作量，在云计算数据中心通常由主机操作人员执行，这形成了专业技能支撑的不足，而网络操作人员一般只能管理物理网络设备、无法操作主机内vSwitch，这就使得大量vSwicth具备的网络功能并不能发挥作用。此外，对于服务器内部虚拟机之间的数据交换，在vSwitch内有限执行，外部网络不可见，不论在流量监管、策略控制还是安全等级都无法依赖完备的外部硬件功能实现，这就使得数据交换界面进入主机后因为vSwitch的功能、性能、管理弱化而造成了高级网络特性与服务的缺失。虚拟机的不可感知性物理服务器与网络的连接是通过链路状态来体现的，但是当服务器被虚拟化后，一个主机内同时运行大量的虚拟机，而此前的网络面对这些虚拟机的创建与迁移、故障与恢复等运行状态完全不感知，同时对虚拟机也无法进行实时网络定位，当虚拟机迁移时网络配置也无法进行实时地跟随，虽然有些数据镜像、分析侦测技术可以局部感知虚拟机的变化，但总体而言目前的虚拟机交换网络架构无法满足虚拟化技术对网络服务提出的要求。为了解决上述问题，本次方案的解决思路是将虚拟机的所有流量都引至外部接入交换机，此时因为所有的流量均经过物理交换机，因此与虚拟机相关的流量监控、访问控制策略和网络配置迁移问题均可以得到很好的解决，此方案最典型的代表是EVB标准。802.1QbgEdgeVirtualBridging（EVB）是由IEEE802.1工作组制定一个新标准，主要用于解决vSwtich的上述局限性，其核心思想是：将虚拟机产生的网络流量全部交给与服务器相连的物理交换机进行处理，即使同一台物理服务器虚拟机间的流量，也将发往外部物理交换机进行查表处理，之后再180度调头返回到物理服务器，形成了所谓的“发卡弯”转发模式，如下图所示：EVB标准具有如下的技术特点：借助发卡弯转发机制将外网交换机上的众多网络控制策略和流量监管特性引入到虚拟机网络接入层，不但简化了网卡的设计，而且充分利用了外部交换机专用ASIC芯片的处理能力、减少了虚拟网络转发对CPU的开销；充分利用外部交换机既有的控制策略特性（ACL/QOS、QOS、端口安全等）实现整网端到端的策略统一部署；充分利用外部交换机的既有特性增强了虚拟机流量监管能力，如各种端口流量统计，Netstream、端口镜像等。EVB标准中定义了虚拟机与网络之间的关联标准协议，使得虚拟机在变更与迁移时通告网络及网管系统，从而可以借助此标准实现数据中心全网范围的网络配置变更自动化工作，使得大规模的虚拟机云计算服务运营部署自动化能够实现。虚拟机规划虚拟机的规划是企业IT架构的关键设计范畴。在这个阶段需要将企业的业务需求转化为IT需求，并落实到业务和资源两个方面的规划设计中来。着重考虑两个方面的内容：企业业务梳理和评估通过对企业业务的梳理，评估企业各业务部门对虚拟机类型和规模的需求定义各业务部门组织以及给组织划分其所属的虚拟资源，包括计算资源，网络资源，存储资源以及虚拟机模板等。企业云计算平台资源池建设虚拟机相关资源池，包括计算、存储和网络资源池的规划和设计要平衡企业突发业务对虚拟机的临时性需求和IT资源无序投入之间的矛盾创建虚拟机的创建是虚拟机实体诞生并提供给用户业务的开始。虚拟机创建时需要考虑硬件资源（CPU数量（核数）&CPU调度优先级，IO资源：存储资源&IO优先级。内存大小，网络资源等）和系统和应用（操作系统等））两方面的内容。运行虚拟机的运行可以实现完整的传统物理机运行状态。而且依托虚拟化技术实现更加灵活的虚拟机使用模式：启动、休眠、关闭、暂停、恢复、重启。调整虚拟机的调整是云业务管理员根据虚拟机所承载的业务的变化需求对现有虚拟机所占资源的主动行为。这种调整可以是由于业务扩展带来的虚拟机硬件资源扩张，也可能是业务收缩后对多余资源的释放。虚拟机的调整是云计算业务资源弹性最直观的体现，也是云计算技术给企业业务开展带来敏捷性的根本所在。HA功能部署传统数据中心内的服务器高可靠性保障通常会选择依赖于集群技术的部署。而云计算平台将计算资源虚拟化以后，可以利用虚拟服务器自身虚拟化的特点实现传统物理服务器上无法实现的高可靠性。为了提升云业务系统的可靠性，在云计算平台的计算资源池建设时，可以将多个物理主机合并为一个具有共享资源池的集群。动态资源调整云管理平台提供的动态资源调整功能可以持续不断地监控计算资源池的各物理主机的利用率，并能够根据用户业务的实际需要，智能地在计算资源池各物理主机间给虚拟机分配所需的计算资源。通过自动的动态分配和平衡计算资源，动态资源调整特性能够：整合服务器，降低IT成本，增强灵活性；减少停机时间，保持业务的持续性和稳定性；减少需要运行服务器的数量，提高能源的利用率。随着业务量的增长，虚拟机对计算资源需求会相应的迅速增加。此时其所在物理主机的可用资源可能就不能再满足其上承载的虚拟机的计算需要。全自动化的资源分配和负载平衡功能，也可以显著地提升数据中心内计算资源的利用效率，降低数据中心的成本与运营费用。如上图所示，动态资源调整功能通过心跳机制，定时监测集群内主机的CPU利用率，并根据用户自定义的规则来判断是否需要为该主机在集群内寻找有更多可用资源的主机，以将该主机上的虚拟机迁移到另外一台具有更多合适资源的服务器上。虚拟机备份随着企业对IT信息化系统的依赖加深，企业业务系统备份对企业业务系统尤其是生产业务系统来说，是必不可少的组件。相应的，在云计算平台中，针对计算资源池中虚拟机备份至关重要。备份特性是一种高效而低成本的灾难恢复特性，它将给用户带来如下价值：基于磁盘的备份功能，为虚拟机提供快速、简单的数据保护无需额外代理的备份，简化了部署复杂度支持全自动的定时备份和手工干预的即时备份，满足不同的应用要求有线无线一体化设计本次在教育局核心机房部署1套运维管理平台，实现有线无线一体化高效管理功能。有线无线设备统一管理可对网络中的有线设备和AC、FATAP、FITAP、移动终端等无线设备进行统一管理，全网设备信息和状态一目了然。同时，支持策略和服务的批量部署，极大地减少管理员的维护工作量，提升工作效率，降低维护成本。多样化的拓扑管理运维管理平台管理解决方案中的有线无线业务拓扑帮助管理员直观了解网络部署情况及设备/链路当前状态。可根据不同的方式组织资源，有效进行拓扑分组、真实反映全网资源情况。支持物理位置视图显示，管理员可根据需要创建多纬度、多层次的物理位置结构，并在指定建筑物底图上根据真实情况摆放设备，逼近真实网络环境。全面的基础资源管理◆更多的管理设备类型：除了传统的路由器、交换机外，更能对网络中的无线、安全、语音、存储、监控、服务器、打印机、UPS等设备进行管理，实现设备资源的集中化管理。◆多厂家设备的统一管理：除了对的网络设备管理外，运维管理平台平台还实现了对业界其他主流厂家网络设备的管理。◆灵活快捷的自动发现算法：基于专利的发现算法，运维管理平台平台不仅提供了快速自动发现方式，还提供了四种高级自动发现方式，包括路由方式、ARP方式、IPSecVPN方式、网段方式等，能快速、准确地发现网络资源。◆直观的设备面板管理：支持设备面板管理，所见即所得的显示设备的资产组成和运行状态。◆清晰的网络设备资产管理：在将运维管理平台平台中管理的设备增加到网络资产管理的同时，系统还会自动发现该设备上可以管理的配件信息，并将这些配件加入到网络资产中进行管理，管理员可以对网络资产信息进行修改，还可以查看该资产的子模块信息、接口信息以及变更审计历史信息。智能的告警管理◆直观的故障列表：智能管理中心能自动汇总全网中故障设备，形成故障设备列表，使管理员能快速、清晰的找到需要关注的故障设备。◆智能的告警关联：提供对重复告警、突发的大流量告警、未知告警的自动过滤，用户还可以自定义过滤规则，以有效压缩海量网络告警，使得管理员直接关注真正的网络故障。◆告警根源分析和影响度分析：提供基于拓扑的区域告警根源分析，提供告警关联分析，提供告警分组分析，有效屏蔽故障引起的海量表象告警，方便用户快速定位、查找故障根源，确认故障影响的范围。◆告警定义和Mib导入：在支持标准Trap以及、华为、Cisco等主流厂商私有Trap基础上，还提供新增及通过Mib导入Trap定义功能，方便快速地支持各厂商新Trap。◆丰富的告警转发机制：除提供告警声光提示、转Email、转短信等方式外，还可以针对不同的告警定义不同的提示内容以及对应维护参考，当再次出现同类告警后能直接对应到相应的维护参考。◆结合拓扑直观的设备故障状态监控：与传统的网管告警和拓扑状态互相分离做法不同，使用显著的颜色把故障状态直观的反映在拓扑中的设备和链路图标上，用户仅需要查看拓扑，即可知道网络的整体运行状态。◆Syslog接收与分析：运维管理平台平台支持多厂商设备的Syslog原始报文接收，提供日志浏览、查询、导出及自动转储功能。并且可以根据预定义及用户自定义规则对Syslog报文进行分析，将关键事件升级为告警，有效地帮助用户在海量Syslog报文中及时发现网络关键事件。◆安全事件联动：运维管理平台平台对多厂商设备的Syslog报文进行分析，提取安全相关的关键信息（比如攻击事件类型、攻击源、攻击目的），并根据安全控制策略，采取匹配的安全动作，比如关闭攻击源网络端口等。高效的无线射频覆盖（RF覆盖）管理无线运营管理解决方案支持对现网中的无线设备RF覆盖情况进行展示，通过对现网中的无线RF状况的了解，管理员可以依据需求增加或减少无线设备的分布，也可以对现网中部署不合理的设备位置进行调整。统一的身份认证设计统一门户通过构建一个教师、学生、家长、工作人员等共同使用的统一工作门户平台，整合现有业务系统的访问控制，通过统一身份认证实现对各业务工作平台的集中访问，登录用户通过统一的门户可以在一个页面上进行各项业务办理、处理和审批操作，减少系统使用复杂度。同时门户还提供各种动态信息、信息简报、通知通告等汇总统计显示，以及各类业务信息的播报。统一门户平台的建设使得用户获取和使用信息更直接、更方便，实现信息共享、综合利用，以促进信息的应用。对于学校内部师生，管理者可以在运维管理平台上上配置内部合法的“SSID-教师”和“SSID-学生”、并为每个用户配置基于用户名的帐号，同时将用户名和用户终端设备信息进行绑定，完成用户名+IP+MAC的三元组，不仅确认了移动终端的合法性和唯一性，还为日后的日志审计提供可靠依据。针对网络中心经常有外来人员的上网需求，考虑到安全性和方便性的需求，推荐使用手机短信来申请上网帐号的方法1.用户搜索并连接到网络中心无线网“SSID-来宾”。2.用户打开任何页面将弹出认证页面，并在“临时用户申请”中输入自己的手机号码。3.认证系统通过短信猫将自动生成的临时密码发至用户的手机中。4.用户输入帐号（手机号码）与收到的临时密码完成上网认证。5.帐号在超过系统规定的时间后将自动失效，若继续使用需从新申请。注：本次方案中不包含短信猫设备，如需要该功能，需另外采购第三方设备。学校接入区设计校园网接入设计各学校采用以太网组网方式，出口通过安全网关采用树形结构连接核心交换机，核心交换机通过光纤和电路连接各楼宇的交换机，各交换机再连接信息插座。无线AP、办公电脑、学生电脑、班班通、一体机等通过信息点接入楼层接入交换机。学校接入部分拓扑：学校出口网关设计**区各个学校的规模不同，多数学校网络规模不大，对性能的要求可能不大，但对出口设备功能性的要求一点也不少，出口路由、网络安全、URL过滤、内容审计、日志记录和流量控制都需要，但学校网出口和城域网出口又不一样，无法像城域网那样配置专门的出口引擎、流控设备、防火墙、行为审计设备、日志记录等系统设备，所以就必须有一种设备即能满足学校出口功能性要求。出于统一建设的原则和综合成本角度考虑，方案设计对各教育单位和学校统一采用安全网关接入教育城域网，部署在各学校校园网和教育城域网的链路中间。安全网关的具体配置可以根据学校的规模、接入终端的具体数量选择不同档次。出口网关设备需要给学校提供以下出口保证：MIPS多核架构，保证多应用下高性能；多合一设备，部署灵活简便；不需要再去考虑用防火墙、路由器还是流控、VPN，多应用整合；管理维护简单；内置WEB人性化界面，配置向导等；多台设备分布式部署，可通过日志系统、网管系统等进行集中式管理、日志收集；应用控制，提升运作效率；专业流控，优化网络速度，提升用户网速体验