某三通两平台材料某三通两平台整体方

三通两平台整体方案规划二O一二年十一月目录第1章.现状及需求分析41.1.工程建立背景41.2.应用开展规划41.2.1.专递课堂41.2.2.名师课堂51.2.3.网络协作教研51.2.4.资源类应用61.2.5.互动教学61.2.6.教育管理平台61.3.建立容61.3.1.三通两平台一中心6第2章.城域网及资源中心方案整体设计102.1.设计原则与思路102.2.整体解决方案12第3章.功能分区详细设计143.1.云数据中心——资源中心设计143.1.1.云平台数据中心建立目标143.1.2.数据中心云平台设计原则163.1.3.数据中心云平台总体设计173.1.4.云平台根底承载设计203.1.5.云平台计算资源池设计253.1.6.存储设计283.1.7.虚拟化平台设计303.1.8.云平台系统设计363.2.云通道建立——城域网/校校通方案443.2.1.需求分析443.2.2.链路选择443.2.3.方案设计453.3.云接入建立——班班通方案523.3.1.需求分析523.3.2.网络方案设计533.3.3.身份认证方案设计553.4.云管理规划——整网运维方案583.4.1.系统平安管理583.4.2.资源管理593.4.3.拓扑管理613.4.4.故障〔告警/事件〕管理643.4.5.告警深度关联分析与统计653.4.6.性能管理703.4.7.设备管理组件73第4章.方案报价75第5章.案例参考755.1.教育云75现状及需求分析工程建立背景上世纪九十年代以来，通过一系列重大工程和政策措施，我区的教育信息化开展奠定了一定的根底。随着教育模式的改革和新技术的不断涌现，信息化教学的应用不断拓展和深入，教学资源不断丰富，教育信息化在促进教育公平、提高教育质量、创新教育模式领域的支撑和带动作用初步显现。"教育规划纲要"明确提出了信息化目标，即建成人人可享有优质教育资源的信息化学习环境，根本形成学习型社会的信息化支撑效劳体系，根本实现所有地区和各级各类学校宽带网络的全面覆盖，教育管理信息化水平显著提高，信息技术与教育融合开展的水平显著提升。应用开展规划应用开展是十二五期间信息化建立的关键容，建立与教学融合的应用体系是应用规划的目标。结合目前国外的先进经历，我区拟规划以下应用容。专递课堂同步课堂：同步课堂基于**区资源中心提供的机构空间、学校空间、教师空间进展。1个播出教室和1-5个接收教室构成一个虚拟课堂。教育局在其空间，利用同步课堂组织管理工具，统一组织播出学校和接收学校，统一安排虚拟课堂课表，并组织教学。播出学校和接收学校也可自行配对，在其空间向教育局提出申请。推送资源：区资源中心根据教师需求情况将支持课堂教学的优质资源包推送到教师空间，帮助教师备课、上课、进展教学评价。教师在教学活动中生成的资源可以提供到国家数字教育资源公共效劳平台上进展共享。探究性学习：区资源中心通过推送探究性学习工具和资源，提供智能导航帮助教师开展探究式、讨论式、参与式教学，帮助学生增强运用信息技术分析解决问题的能力，学会学习。帮助教师运用探究学习模式开展日常学科教学。学生也可利用相应工具自行组织探究性学习。名师课堂名师讲堂：名师讲堂模式主要用于名师讲解学科重点难点，帮助学生更好地达成学习目标。讲授容以各学科和专业课程章节重难点和期末总结为主。名师导学：名师导学模式通过将教师课堂讲授与智能学习系统〔“名师〞〕的诊断与导学相结合，实现差异化教学和个性化指导，提高学生学习能力。网络协作教研跨校网络协作教研跨区域网络协作教研模式是利用国家数字教育资源公共效劳平台提供的虚拟教研社区功能，组织不同区域教师开展协作教研活动，实现交流学习、优势互补、共同提高。名师工作室名师工作室模式用于有组织地开放以特级教师和学科骨干教师本人命名的教师空间，为广阔教师有针对性的选择与自己教育教学相关的专家或专家团队进展持续的教学科研提供效劳。资源类应用在区资源中心以自建、学校提供、企业提供等多种方式将传统知识点和学习容电子化，以趣味、生动的方式呈现，提高学生学习兴趣和理解能力。互动教学在教学过程中融入互动的体验，远程学习〔名师讲堂类〕时学生与教师远程互动，教学过程中与家长互动等。教育管理平台将传统的OA办公、学籍管理、考勤系统、考核系统、行政办公系统、等管理类系统统一为教育门户，提供一体化的教育管理工作平台。建立容三通两平台一中心两个平台，一个中心所有的应用规划从对象角度来区分可以分为两大平台，一个是教学资源公共效劳平台，一个是教育管理公共效劳平台。两平台均以应用软件方式呈现，需要一个统一的硬件数据中心来承载，所以建立的首要容就是“两个平台，一个中心〞。资源到校——校校通两大平台的容统称为“资源〞，资源区学校共享的财富，实现共享的手段就是将资源送到学校，也就是通过网络实现学校与教育局资源中心的连接，也即传统校校通的建立局部。资源到班级——班班通让学生在教室就能使用优质的教学资源，实现与远程名师的在线互动，就是资源到班级的建立容。包括多媒体教室，无线网络覆盖班级实现班班通。资源到个人——人人通学生放学后依然能使用教学资源，教师在家、出差时期也能便捷使用备课系统，家长辅导学生等应用场景的实现，就是建立人人通空间，学生、家长、教师都能随时随地访问的容。城域网及资源中心方案整体设计设计原则与思路城域网及资源中心的建立原则是能够高效、平安、绿色的支撑应用系统的使用，相比传统城域网建立，表达在几个层面的变化：数据中心的形成相比传统效劳器部署而言，资源中心的建立要求有统一的数据中心来承载两大平台的运行虚拟化的使用为了整合资源中心的硬件资源，会大量使用虚拟化技术来建立弹性的资源池；应用类型对网络带宽的消耗应用的规划以动画、视频、互动等大流量应用为主，相比传统网络带宽要求提升10~20倍；用户规模的剧增资源的使用者增加了学生，相比传统只有教师使用的环境，用户规模增加了10~20倍；流量模型的变化用户的访问模型以学校访问资源中心的流量为主，根本上为纵向流量；允许断网时间的变化教学系统上网意味着对网络可靠性的要求提高，允许断网时间应该控制在分钟级别；所以在城域网和资源中心的设计上需要遵循以下原则：高性能——骨干网络性能是整个网络良好运行的根底，设计中必须保障网络及设备的高吞吐能力，保证各种信息〔视频、动画〕的高质量传输，才能使网络不成为业务开展的瓶颈。高可靠性——网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力；合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。网络设备在出现故障时应便于诊断和排除，充分表达计算机网络的高可靠性。平安性——制订统一的网络平安策略，整体考虑网络平台的平安性，保证师生能够平安、绿色的使用资源。独立性——学校与教育局之间采用公网连接会导致一些应用系统的不可用〔比方名师讲堂、双向教学等〕，而且公网连接也使得网络不平安、不可控等隐患，所以教育局与学校之间应该采用裸光纤或者VPN方式连接；技术先进性和实用性——在保证满足校园业务、应用系统业务的同时，要表达出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来开展趋势。标准开放性——支持国际上通用的网络协议、路由协议等开放的协议标准，有利于保证与其它网络(如中国教育网、公共数据网、学校之间等其它网络)之间的平滑连接互通，以及将来网络的扩展。灵活性及可扩展性——根据未来业务的增长和变化，网络可以平滑地扩大和升级，最大程度的减少对网络架构和现有设备的调整。可管理性——对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。强QOS、强组播特性——城域网因为对视频、音频等多媒体业务的需求较大，所以整个网络具有较完善的QOS特性对教育网而言就显得尤为重要。能不能对关键业务进展带宽优先保证尤其是那些对时延敏感的业务进展保证是教育网必须考虑的一个重点，为实现区别效劳，整网端到端的QOS特性机制是优质网络业务的保证。另外组播特性对于有效的保证多媒体流传输性能和节省带宽也有非常重要的意义，基于组播的控制特性也会进一步保证组播流的控制、管理和平安，从而为实现教育城域网的多业务支持提供保障。兼容性和经济性——兼容性，能够最大限度地保证学校现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段〔如现有的双向教学系统〕，保证各种在用计算机系统〔包括工作站、效劳器和微机等设备〕的互连入网，充分利用现有网络资源，发挥主干网的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有方案、有步骤地实施，在保证网络整体性能的前提下，充分利用现有设备或做必要的升级。整体解决方案**区教育城域网的整体网络拓扑如下列图所示：整个网络分为接入层〔学校〕、核心层、管理中心、电教馆办公网、城域网资源中心以及网络出口等6个模块。接入层在接入层，每个学校的出口采用一台统一威胁管理设备U200作为出口网关，通过运营商分配的专用线路连接到区教育局的网络核心。核心层在核心层采用两台H3CS10508核心交换机，通过IRF2技术虚拟成一台，以保证网络核心的可靠性，同时成倍提升网络性能。核心交换机上除了提供连接各功能区所必须的以太网接口外，还部署防火墙、IPS、流量分析等多种业务插卡，为整个教育城域网提供平安保障。管理中心管理中心作为整个教育城域网的总指挥部，部署网络管理系统、平安管理系统、虚拟化管理平台等管理系统，以便于管理人员对整个城域网进展统一规划和管理。电教馆办公网电教馆办公网作为城域网的一个单位接入城域网核心。同样考虑到平安性和可管理性，建议在办公网出口处部署一台U200。资源效劳区在资源效劳区，通过虚拟化技术建立计算资源池和存储资源池，为教育资源平台动态分配硬件资源，从而提高硬件资源的可靠性和可扩展性。资源效劳区通过假设干台〔依据具体效劳器数量而定〕数据中心级接入交换机与城域网核心相连，构成教育资源平台和各个教育单位数据互通的通道。出口区整个教育城域网将拥有两个网络出口，一个连接到教育城域网中心，一个连接到互联网，作为整个教育城域网公网出口。功能分区详细设计云数据中心——资源中心设计云平台数据中心建立目标**区城域网数据中心是数据大集中而形成的集成IT应用环境，它是各种IT业务和应用效劳的提供中心，是数据运算/交换/存储的中心，实现对用户的数据、应用程序、物理构架的全面或局部进展整合和集中管理。数据中心的建立中，存储系统的建立和完善贯穿始终，这和当前应用系统建立的重点是相一致的。不管是各种数字资源，还是需要备份保存的业务数据，其中心容都是对于信息〔数据〕的管理和使用。本方案将云数据中心“IT根底设施〞的“按需使用〞以及〞自动化管理和调度〞作为云计算的实践，形成可落地实施的、可持续开展的云计算平台，即IaaS云计算平台，为**区旗下中小学提供效劳集中以及按需使用效劳，简化各个学校的IT管理，实现**区教育资源的统一整合与管理。作为教育云计算实践，云计算数据中心的建立建议到达以下目标：通过标准化、虚拟化的资源池部署，提高整体IT根底设施资源利用率；实现IT根底设施资源的自助化效劳，按需申请，按需供应，实现面向最终用户的云效劳模式；实现IT根底设施资源的自动化部署及流程化管理，并可利用云计算管理平台对资源进展可视、全面的监、管、控，简化日常运维的管理流程、降低维护本钱；在实现可落地的云实践的根底上，保存未来向更高层次的云计算实践开展的可能，如SaaS和PaaS相关应用等；数据中心云平台设计原则兼容与互通当前阶段云计算整个产业化还不够成熟，相关标准还不完善。为保证多厂商的良好兼容性，防止厂商技术锁定，方案的设计充分保证与第三方厂商设备保持良好的对接。此外，为保证方案的前瞻性，设备的选型应充分考虑对已有的云计算相关标准〔如EVB/802.1Qbg等〕的扩展支持能力，保证良好的先进性，以适应未来的技术开展。业务高可用云计算平台作为承载未来教育城域网以及各个校园应用的重要IT根底设施，伴随着数据与业务的集中，云计算平台的建立及运维给信息部门带来了巨大的压力，因此平台的建立从根底资源池〔计算、存储、网络〕、虚拟化平台、云平台等多个层面充分考虑业务的高可用，根底单元出现故障后业务应用能够迅速进展切换与迁移，用户无感知，保证业务的连续性。统一管理与自动化云计算的最终目标是要实现系统的按需运营，多种效劳的开通，而这依赖于对计算、存储、网络资源的调度和分配，同时提供用户管理、组织管理、工作流管理、自助Protal界面等。从用户资源的申请、审批到分配部署的智能化。管理系统不仅要实现对传统的物理资源和新的虚拟资源进展管理，还要从全局而非割裂地管理资源，因此统一管理与自动化将成为必然趋势。开放接口传统的管理系统与上层系统对接，注重故障的上报和信息的查询。而云计算的管理系统更关注如何实现自动化的部署，在接口方面更关注资源调度和分配，这就需要管理系统在业务调度方面实现开放。为保证效劳器、存储、网络等资源能够被云计算运营平台良好的调度与管理，要求系统提供开放的API接口，云计算运营管理平台能够通过API接口、命令行脚本实现对设备的配置与策略下发联动。同时云平台也提供开放的API接口，未来可以基于这些接口进展二次定制开放，将云管理平台与教育城域网应用相融合，实现面向云计算的教育应用管理平台。数据中心云平台总体设计硬件构造根据本期工程的需求和建立目标云计算平台总体逻辑拓扑构造如上图所示。整个平台由网络资源池、计算资源池、存储资源池、管理中心四局部组成。网络资源池：采用业界主流的“核心+接入〞扁平化组网，核心交换机采用2台H3CS10508设备，部署IRF2虚拟化技术，并在机框部署网流分析〔NetStream〕和防火墙〔FW〕插卡，实现业务的流量监控和平安隔离防护，外联至现网出口路由器，实现外网互通；接入交换机采用2台H3CS5820V2设备，部署IRF2虚拟化技术，并启用VEPA功能，实现虚拟化网络感知。计算资源池：采用20台H3CFle*ServerR390机架效劳器，通过H3CCloudVirtualizationKernel虚拟化平台进展整合构建资源池，在虚拟机上部署业务系统和虚拟桌面应用。存储资源池：采用2台HPLeftHandP4500iSCSI存储阵列，存放虚拟机镜像文件、配置文件以及业务系统数据。管理中心：采用2台H3CFle*ServerR390机架效劳器，部署H3CiMCDCM数据中心管理套件、H3Cloud软件套件，实现对云计算资源池的统一管理及调度。软件构造此次工程云计算软件平台的总体构造如上图所示，包括虚拟化层、自动化效劳层、管理层、业务编排层、API层：虚拟化层：利用CloudVirtualizationKernel提供的底层虚拟化能力和上层CloudVirtualizationCenter提供的管理能力，屏蔽底层物理硬件根底设施的异构性和复杂度，对外以虚拟资源池的形式呈现。自动化效劳层：强调业务运行的高可用性和可扩展性，并对业务提供自动的容灾备份与资源调度能力。管理层：对虚拟化资源及云运营要素进展管理，如虚拟机生命周期的管理、虚拟机镜像文件和配置文件的管理、多租户的平安隔离、网络策略配置的管理等。业务编排层：对云计算资源进展可运营性管理，包括对虚拟资源池的编排、最终用户的自助效劳门户、业务的申请、审批与开通、用户帐务的管理与报表输出等。API层：为第三方云运营管理平台提供RESTful的API接口。上述各层的功能实现分别对应H3Cloud软件套件中的CloudIntelligenceCenter、CloudVirtualizationManager和CloudVirtualizationKernel三个组件完成：CloudVirtualizationKernel：虚拟化核与管理代理运行在根底设施层和上层操作系统之间的“元〞操作系统，用于协调上层操作系统对底层硬件资源的访问，减轻软件对硬件设备以及驱动的依赖性，同时对虚拟化运行环境中的硬件兼容性、高可靠性、高可用性、可扩展性、性能优化等问题进展加固处理。CloudVirtualizationManager：虚拟化管理软件包主要实现对数据中心的计算、网络和存储等硬件资源的软件虚拟化，形成虚拟资源池，对上层应用提供自动化效劳。其业务围包括：虚拟计算、虚拟网络、虚拟存储、高可靠性〔HA〕、动态资源调度〔DRS〕、虚拟机容灾与备份、虚拟机模板管理、集群文件系统、虚拟交换机策略等。CloudIntelligenceCenter：云业务运营软件包由一系列云根底业务模块组成，通过将根底架构资源〔包括计算、存储和网络〕及其相关策略整合成虚拟数据中心资源池，并允许用户按需消费这些资源，从而构建平安的多租户混合云。其业务围包括：组织〔虚拟数据中心〕、多租户数据和业务平安、云业务工作流、自助式效劳门户、兼容OpenStack的RESTAPI接口等。云平台根底承载设计核心层设计数据中心核心交换机需要资源池部高速交换以及骨干互联工作，建议采用H3C数据中心级核心交换机S10500，主要基于如下考虑：高性能：核心会聚层需要与其它外部网络互联，外连接口众多，并且这些外部网络所提供的接入带宽和接入设备都是业界高端设备，所以为了使网络在核心交换区不存在性能瓶颈，采用具备高密万兆的核心交换设备.整网可靠性：因为城域网数据中心网络业务系统具有高可靠性设计，业务层面最大限度的保障业务转发不中断、不丢包。因此建议在核心交换局部采用主控和交换网板别离的核心交换机，提高网络可靠性，使整网可靠性方面不存在短板。绿色环保：为了降低机房空调能耗，要求核心交换机采用竖插槽，前下部进风、上后部抽风、强迫风散热形式。要求通过RoHS、CE等国际环保认证。核心层部署IRF2.0协议将两台S10508虚拟化成逻辑的1台交换机实现了跨S10508链路聚合，通过虚拟化后的逻辑设备与下行接入层交换机5830V2进展互联，最终实现了核心S10508与接入5830之间逻辑点对点连接后消除环路的同时防止部署STP和VRRP协议。接入层设计接入层交换机采用全万兆云平台接入交换机H3C5830V2。未来每台效劳器将会部署多台虚拟资源对外响应业务，考虑到每个业务能够保证访问的带宽要求，建议每台计算资源效劳器与接入交换万兆互联，同时每台接入层交换机采用2个10GE接口与核心交换机相连，保证数据中心互访的高效。网络平安设计为了应对云计算环境下的流量模型变化，平安防护体系的部署需要朝着高性能的方向调整。在本次工程的建立过程中，多条高速链路会聚成的大流量已经比拟普遍，在这种情况下，平安设备必然要具备对高密度的10GE甚至100G接口的处理能力；无论是独立的机架式平安设备，还是配合数据中心高端交换机的各种平安业务引擎，都可以根据用户的云规模和建立思路进展合理配置；同时，考虑到云计算环境的业务永续性，设备的部署必须要考虑到高可靠性的支持，诸如双机热备、配置同步、电源风扇的冗余、链路捆绑聚合、硬件BYPASS等特性，真正实现大流量会聚情况下的根底平安防护。目前，虚拟化已经成为云计算提供“按需效劳〞的关键技术手段，包括根底网络架构、存储资源、计算资源以及应用资源都已经在支持虚拟化方面向前迈进了一大步，只有基于这种虚拟化技术，才可能根据不同用户的需求，提供个性化的存储计算及应用资源的合理分配，并利用虚拟化实例间的逻辑隔离实现不同用户之间的数据平安。平安无论是作为根底的网络架构，还是基于平安即效劳的理念，都需要支持虚拟化，这样才能实现端到端的虚拟化计算。典型的示意图如下图：本次工程防火墙插卡设备虽然部署在交换机框中，但仍然可以看作是一个独立的设备。它通过交换机部的10GE接口与网络设备相连，它可以部署为2层透明设备和三层路由设备。防火墙与交换机之间的三层部署方式与传统盒式设备类似。如上图FW三层部署所示，防火墙可以与宿主交换机直接建立三层连接，也可以与上游或下游设备建立三层连接，不同连接方式取决于用户的访问策略。可以通过静态路由和缺省路由实现三层互通，也可以通过OSPF这样的路由协议提供动态的路由机制。如果防火墙部署在效劳器区域，可以将防火墙设计为效劳器网关设备，这样所有访问效劳器的三层流量都将经过防火墙设备，这种部署方式可以提供区域部效劳器之间访问的平安性。防火墙是网络系统的核心根底防护措施，它可以对整个网络进展网络区域分割，提供基于IP地址和TCP/IP效劳端口等的访问控制；对常见的网络攻击方式，如拒绝效劳攻击〔pingofdeath,land,synflooding,pingflooding,teardrop〕、端口扫描〔portscanning〕、IP欺骗(ipspoofing)、IP盗用等进展有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等平安增强措施。对于云计算数据中心虚拟机效劳网关的选择上，建议根据不同租户的平安需求进展区分对待，不建议将所有网关配置在FW上，以分散FW的压力，满足租户的平安域隔离，具体设计如下：对于需要FW的业务的租户，网关部署在vFW上；对于不需要FW的普通租户，网关部署在核心交换机上。平安控制策略：防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没有明确的规则允许通过，全部拒绝以保证平安；建议在两台防火墙上设定严格的访问控制规则，配置只有规则允许的IP地址或者用户能够访问数据业务网中的指定的资源，严格限制网络用户对数据业务网效劳器的资源，以防止网络用户可能会对数据业务网的攻击、非授权访问以及病毒的传播，保护数据业务网的核心数据信息资产；配置防火墙防DOS/DDOS功能，对Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒绝效劳攻击进展防，可以实现对各种拒绝效劳攻击的有效防，保证网络带宽；配置防火墙全面攻击防能力，包括ARP欺骗攻击的防，提供ARP主动反向查询、TCP报文标志位不合法攻击防、超大ICMP报文攻击防、地址/端口扫描的防、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等，全面防各种网络层的攻击行为；根据需要，配置IP/MAC绑定功能，对能够识别MAC地址的主机进展链路层控制，实现只有IP/MAC匹配的用户才能访问数据业务网中的效劳器；其他可选策略：可以启动防火墙身份认证功能，通过置数据库或者标准Radius属性认证，实现对用户身份认证后进展资源访问的授权，进展更细粒度的用户识别和控制；根据需要，在两台防火墙上设置流量控制规则，实现对效劳器访问流量的有效管理，有效的防止网络带宽的浪费和滥用，保护关键效劳器的网络带宽；根据应用和管理的需要，设置有效工作时间段规则，实现基于时间的访问控制，可以组合时间特性，实现更加灵活的访问控制能力；在防火墙上进展设置告警策略，利用灵活多样的告警响应手段〔、日志、SNMP陷阱等〕，实现攻击行为的告警，有效监控网络应用；启动防火墙日志功能，利用防火墙的日志记录能力，详细完整的记录日志和统计报表等资料，实现对网络访问行为的有效的记录和统计分析；云平台计算资源池设计效劳器是云计算平台的核心，其承当着云计算平台的“计算〞功能。对于云计算平台上的效劳器，通常都是将一样或者相似类型的效劳器组合在一起，作为资源分配的母体，即所谓的效劳器资源池。在这个效劳器资源池上，再通过安装虚拟化软件，使得其计算资源能以一种虚拟效劳器的方式被不同的应用使用。这里所提到的虚拟效劳器，是一种逻辑概念。对不同处理器架构的效劳器以及不同的虚拟化平台软件，其实现的具体方式不同。在*86系列的芯片上，其主要是以常规意义上的VMware虚拟机或者H3Cloud虚拟机的形式存在。在搭建效劳器资源池之前，首先应该确定资源池的数量和种类，并对效劳器进展归类。归类的标准通常是根据效劳器的处理器类型、型号、配置、物理位置来决定。对云计算平台而言，属于同一个资源池的效劳器，通常就会将其视为一组可互相替代的资源。所以，一般都是将一样处理器、相近型号系列并且配置与物理位置接近的效劳器——比方相近型号、物理距离不远的机架式效劳器或者刀片效劳器。在做资源池规划的时候，也需要考虑其规模和功用。如果单个资源池的规模越大，可以给云计算平台提供更大的灵活性和容错性：更多的应用可以部署在上面，并且单个物理效劳器的宕机对整个资源池的影响会更小些。但是同时，太大的规模也会给出口网络吞吐带来更大的压力，各个不同应用之间的干扰也会更大。如果有条件的话，通常推荐先审视一下自身的业务应用。可以考虑将应用分级，将*些级别高的应用尽可能地放在*些独立而规模较小的资源池，辅以较高级别的存储设备，并配备高级别的运维值守。而那些级别比拟低的应用，则可以被放在那些规模较大的公用资源池〔群〕中。初期的资源池规划应该涵盖所有可能被纳管到云计算平台的所有效劳器资源，包括那些为搭建云计算平台新购置的效劳器、校园部那些目前闲置着的效劳器以及那些现有的并正在运行着业务应用的效劳器。在云计算平台搭建的初期，那些目前正在为业务系统效劳的效劳器并不会直接被纳入云计算平台的管辖。但是随着云计算平台的上线和业务系统的逐渐迁移，这些效劳器也将逐渐地被并入云计算平台的资源池中。对于*86系列的效劳器，除了用于生产系统的资源池以外，还需要专门搭建一个测试用资源池，以便云计算平台工程实施过程以及平台上线以后运维过程中使用。在云计算平台搭建完毕以后，效劳器资源池可以如下列图所示：在云计算平台上线以后，原有非云计算平台上的应用会逐步向云计算平台迁移，空出的效劳器资源池也会逐渐并入云计算平台的资源池中。其状态可以用下列图所示：存储设计对云计算平台存储的规划的出发点应该是应用本身。首先应该考察每个业务应用的优先级，以及其对存储性能、可靠性与灵活性的要求。对那些需要高性能与高可靠性的云计算应用，原则上应该为其或者其所在的资源池配备性能、可靠性较好的高端的存储。而对于那些对灵活性要求较高的业务应用，则应该考虑为其或其所在的资源池配备灵活性比拟好的存储虚拟化方案。如果应用足够重要，在设计存储架构的时候还应该考虑存储级别的备份，以对各个节点可能出现的故障做冗余。比方，可以采用双存储交换机互为热备的形式，来防止存储用光纤交换机所出现的故障可能。同样，该资源池后面所拖的存储，也可以采用双存储热备的形式。为该资源池的主存储购置一个型号一样的备用存储效劳器并通过磁盘对磁盘的备份方式，对两个存储效劳器上的数据进展同步。这样，资源池、交换机和存储效劳器的关系可以如下列图所示：对于共享存储资源池，根据具体资源池上所运行的业务类型的特性，也可以考虑为其配备各种类型的存储。对于运行关键应用的生产系统，推荐配备SAN架构的存储解决方案。而对非关键应用的生产系统，可以根据预算，灵活地配备SAN、iSCSI或者NAS的存储解决方案。本地存储设计效劳器本地存储用于安装虚拟化平台〔如CloudVirtualizationManager和CloudVirtualizationKernel〕和保存资源池的元数据。本地存储建议配置两块SAS硬盘，设置为RAID-1，通过镜像〔Mirror〕方式防止本地磁盘出现单点故障，以提高H3Cloud本身的可用性。远端共享存储设计远端共享存储用于保存所有虚拟机的镜像文件以支持动态迁移、HA和动态负载均衡等高级功能。共享存储LUN容量规划公式如下：LUN容量=〔Z×〔*+Y〕×1.2〕Z=每LUN上驻留的虚拟机个数*=虚拟磁盘文件容量Y=存大小假设每个LUN上驻留10个虚拟机，虚拟磁盘文件容量需求平均为40GB，存容量在4～8GB之间，考虑到未来业务的扩展性，存交换文件按8GB空间估算，整体冗余20%，则：LUN容量=〔10×〔8+40〕×1.2〕≈600GBISO库为了虚拟机安装配置的方便，建议配置ISO镜像库，可以将保存在Windows共享中的ISO格式安装源文件通过WindowsCIFS方式挂接在H3CloudHyperCenter上，这样，创立新虚拟机时不需要使用物理光驱和光盘，简化使用和提高安装速度。虚拟化平台设计传统的虚拟机生命周期是指虚拟机从创立到删除所经历的各个阶段，最常见的划分为“创立、运行、终结〞三个阶段。在IaaS架构中，虚拟机作为最为重要的IT根底设施，它的生命周期贯穿于整个云业务效劳的流程之中，并直接关系着云计算平台的资源利用状况。因此，为了更好的将虚拟机的生命周期管理和云业务及资源平台管理结合在一起，在H3Cloud云计算解决方案中，将虚拟机的生命周期外延为“规划、创立、运行、调整、终结〞五个阶段。在云解决方案中，虚拟机生命周期的管理除了关注虚拟机正常的生命阶段以外，还需要关注虚拟机两个外延属性——业务和资源。规划虚拟机的规划是IT架构的关键设计畴。在这个阶段需要将业务需求转化为IT需求，并落实到业务和资源两个方面的规划设计中来。着重考虑两个方面的容：业务梳理和评估通过对业务的梳理，评估各学校以及数据中心平台各业务部门对虚拟机类型和规模的需求定义各部门组织以及给组织划分其所属的虚拟资源，包括计算资源，网络资源，存储资源以及虚拟机模板等。实际操作流程如下列图所示：创立虚拟机的创立是虚拟机实体诞生并提供应用户业务的开场。H3Cloud云方案提供了多种方式来创立虚拟机：从模板生成，自定义参数，克隆等。虚拟机创立时需要考虑硬件资源〔CPU数量〔核数〕&CPU调度优先级，IO资源：存储资源&IO优先级。存大小，网络资源等〕和系统和应用〔操作系统等〕〕两方面的容。这些因素在H3C云管理平台中虚拟机创立流程中都会有涉及，具体操作界面如下列图所示：运行虚拟机的运行可以实现完整的传统物理机运行状态。而且依托虚拟化技术实现更加灵活的虚拟机使用模式：启动、休眠、关闭、暂停、恢复、重启。用户可以依托H3C云管理平台简单的实现上述虚拟机的状态的切换，具体如下列图所示：调整虚拟机的调整是云业务管理员根据虚拟机所承载的业务的变化需求对现有虚拟机所占资源的主动行为。这种调整可以是由于业务扩展带来的虚拟机硬件资源扩，也可能是业务收缩后对多余资源的释放。虚拟机的调整是云计算业务资源弹性最直观的表达，也是云计算技术给教育业务开展带来敏捷性的根本所在。H3C云计算平台可以在线的调整虚拟机所占用的系统资源，实际操作如下列图所示：终结如下列图所示，虚拟机在云计算管理平台上被删除，即意味着虚拟机生命周期的终结。在虚拟机生命周期终结时要关注虚拟机所占用系统资源的回收。H3C云管理平台在虚拟删除后，会自动回收CPU和存等资源，为了保证虚拟机数据平安其所占用的存储资源不会自动回收。云平台系统设计云业务工作流程在“IT即效劳〞的云计算平台系统中，IT效劳的自助式提供和业务自动化部署是云计算业务的关键特点。而上述特点均依赖于云业务部署流程的合理管理和业务自动化部署的结合。通过云业务工作流程的管理，可以将云计算平台中各功能模块有机的结合起来。从而实现云计算平台业务快速和自动化开展实施。云业务工作流作为一个公共根底系统贯穿了云平台业务过程，最终实现IT效劳的对业务部门的自助式交付。H3C云计算解决方案基于Web页面提供了完整的端到端云业务工作流程管理。其业务工作流程如下列图所示:用户访问自助门户完成身份认证和权鉴效劳目录根据用户身份〔所属部门〕组织对应的效劳目录，并推送到用户自助门户用户在自己对应的效劳目录中选择申请所需的云效劳，从而启开工作流管理员审批用户的效劳自助申请。审批通过后，启动业务开启流程，将效劳申请下发到编排系统编排系统根据用户所选的效劳获取对应的资源属性，自动调用云资源管理平台接口开通所需的计算、网络、存储资源，创立出用户所申请的虚拟机虚拟机创立成功后，编排系统通知用户自助门户更新状态用户正常使用虚拟机资源〔删除虚拟机亦参照此流程〕虚拟桌面部署桌面虚拟化解决方案在不改变用户使用习惯的前提下，将传统学校用户桌面系统以虚拟机的形式提供应终端用户。这些虚拟机运行于云计算数据中心的虚拟计算资源池中，共享数据中心的计算、网络、存储资源，从而有效的实现了整个教育城域网IT资源的弹性部署。依托云计算管理平台和云业务工作流程，系统可以自动化部署用户自助申请的虚拟桌面资源，部署完成后用户即可使用。从而极大的提升了桌面应用的弹性和效率。另一方面，云平台业务管理人员可以通过管理通道远程集中式管理教育系统各用户的虚拟桌面系统。防止了管理人员上门效劳，效率低下等传统桌面系统的问题。综上所述，桌面虚拟化系统具备有效保障关键数据的平安性，IT硬件资源的弹性部署，增强桌面系统的灵活性的同时，增强了桌面系统的可管理性并降低了总体拥有本钱和维护本钱。如上图所示，为了实现虚拟桌面业务系统的搭建。云平台业务管理员首先需要依照流程搭建好云计算业务平台，包括计算资源池、根底网络平台、存储资源池、云业务管理平台几个关键组件。值得注意的是，在设计实施云业务平台之前，云业务管理员需要对各云平台以及各个学校业务进展梳理和评估。通过细分各部门、各学校的业务需求，可以根据、需求事先定制其所需的虚拟桌面类型，从而简化日常终端用户的虚拟桌面申请和审批业务流程。同时，虚拟机的管理通道也需要在云业务平台设计时充分考虑并实施。依托H3C专利技术，H3C云计算解决方案有效保障了虚拟机迁移时管理系统的正常运行。H3C桌面虚拟化解决方案可以实现虚拟桌面的自动化业务工作流。首先，终端用户登录基于WEB的自助效劳平台，完成身份认证和权鉴后，可以根据云业务管理员为其事先定制的虚拟桌面类型来按需选择申请所需的虚拟桌面。终端用户的申请审批通过后，云业务管理平台可以自动部署用户所申请虚拟桌面，完成IT效劳的自动化部署。用户申请的虚拟桌面虚拟机创立完成后，云管理平台会将更新后的用户虚拟桌面状态信息推送到自助效劳平台。用户即通过自助效劳平台基于WEB页面实现对申请到的虚拟桌面系统的正常使用。H3C用户自助效劳业务平台，如下列图所示：**区教育城域网落成以后，可以为每个学校的教职工配发瘦客户机取代原有的PC。教职工通过虚拟桌面的形式将自己所办公所需要的信息和资源存放在位于区电教馆的数据中心。电教馆的网络管理员可以为用户制定虚拟桌面的系统使用权限，对其在系统上安装和删除软件等行为进展控制，大大增强了整个教育城域网的可管理性，有效防止了用户乱装软件等行为导致的信息平安事件。HA功能部署传统数据中心的效劳器高可靠性保障通常会选择依赖于集群技术的部署。而云计算平台将计算资源虚拟化以后，可以利用虚拟效劳器自身虚拟化的特点实现传统物理效劳器上无法实现的高可靠性。为了提升云业务系统的可靠性，在云计算平台的计算资源池建立时，可以将多个物理主机合并为一个具有共享资源池的集群。H3CloudVirtualizationManagerHA功能会监控该集群下所有的主机和物理主机运行的虚拟主机。当物理主机发生故障，出现宕机时，HA功能组件会立即响应并在集群另一台主机上重启该物理主机运行的虚拟机。当*一虚拟效劳器发生故障时，HA功能也会自动的将该虚拟机重新启动来恢复中断的业务。如下列图所示：HA功能给教育云计算平台带来的价值如下：简便的设置和启动：使用“新建集群〞向导来进展初始设置，使用H3CloudCloudVirtualizationManager虚拟化管理平台添加主机和新的虚拟机。降低硬件本钱和设置：在传统集群解决方案中，必须有重复的软硬件，而且各个组件必须正确连接和配置。使用H3CloudVirtualizationManager集群时，只要保证有足够的资源容纳要确保其故障切换的主机的数量，就可以便捷自动地完成主机故障切换。无论硬件和操作系统平台如何，H3CCloudVirtualizationManagerHA都通过为应用程序提供可用的、经济的高可靠性，而使其更“群众化〞。动态资源调整H3CloudVirtualizationManager提供的动态资源调整功能可以持续不断地监控计算资源池的各物理主机的利用率，并能够根据用户业务的实际需要，智能地在计算资源池各物理主机间给虚拟机分配所需的计算资源。通过自动的动态分配和平衡计算资源，动态资源调整特性能够：整合效劳器，降低IT本钱，增强灵活性；减少停机时间，保持业务的持续性和稳定性；减少需要运行效劳器的数量，提高能源的利用率。随着业务量的增长，虚拟机对计算资源需求会相应的迅速增加。此时其所在物理主机的可用资源可能就不能再满足其上承载的虚拟机的计算需要。H3CloudVirtualizationManager动态资源调整功能组件可以自动并持续地平衡计算资源池中的容量，可以动态的将虚拟机迁移到有更多可用计算资源的主机上，以满足虚拟机对计算资源的需求。即便大量运行SQLServer的虚拟机，只要开启了动态资源调整功能，就不必再对CPU和存的瓶颈进展一一监测。全自动化的资源分配和负载平衡功能，也可以显著地提升数据中心计算资源的利用效率，降低数据中心的本钱与运营费用。如上图所示，动态资源调整功能通过心跳机制，定时监测集群主机的CPU利用率，并根据用户自定义的规则来判断是否需要为该主机在集群寻找有更多可用资源的主机，以将该主机上的虚拟机迁移到另外一台具有更多适宜资源的效劳器上。虚拟机备份随着云平台对IT信息化系统的依赖加深，业务系统备份是必不可少的组件。相应的，在云计算平台中，针对计算资源池中虚拟机备份也至关重要。H3CloudVirtualizationManager实现了透明的定时备份和即时备份功能，会在暂停虚拟机中的应用程序之后，为正在运行的虚拟机创立快照，从而对备份工作进展集中处理，以确保文件系统的一致性。如下列图所示，H3CloudVirtualizationManager的备份特性是一种高效而低本钱的灾难恢复特性，它将给用户带来如下价值：基于磁盘的备份功能，为虚拟机提供快速、简单的数据保护无需额外代理的备份，简化了部署复杂度支持全自动的定时备份和手工干预的即时备份，满足不同的应用要求云通道建立——城域网/校校通方案需求分析**区教育局下属14所中学、35所小学、6所幼儿园和6所直属单位，目前各学校现有的网络环境为各学校拥有自己的网络出口，学校通过公网访问教育局资源。随着信息技术高速开展以及教育信息化进度不断推进，未来各学校和教育机构之间将有越来越多的资源需要整合、开放、共享，最终形成一个互联、互动、信息交换、资源共享和远程教育的根底架构。未来各学校将会开展远程教学、多媒体网络教室、电子书包等多种业务应用。一旦这些业务上线，**区教育系统现有的网络架构将会暴露出带宽低、可靠性差、平安性低、管理困难等一些列问题。因此，**区教育系统需要对网络架构进展升级，通过组建教育城域网的方式提高网络的性能、可靠性和平安性。同时，将各学校和教育局通过专网互联，并统一网络出口，可以大大简化网络的管理难度。链路选择目前，能够为**区教育城域网提供链路资源的有四家运营商，每家运营商采用的技术和所需费用都不尽一样。无论运营商采用什么技术，对学校而言，只要运营商能为每个学校提供一个到教育局的专用二层链路,保证带宽即可。方案设计**区教育城域网的整体拓扑如下列图所示，其中红框局部为校校通平台：接入层网络设计**区教育城域网的校校通平台为核心到接入的两层架构。其中接入层局部即每个学校的网络，这一局部保持学校现有的网络构造不变，在此根底上在每个学校的出口增加一台统一威胁网关U200作为学校的出口网关，负责每个学校部系统的平安防护、用户的带宽控制、页面过滤、应用层过滤等。U200不仅能够全面有效的保证用户网络的平安，还支持SNMP和TR-069网管方式，最大化减少设备运营本钱和维护复杂性。除了根本的防火墙功能外，管理员通过U200可以对每个学校的网络实现以下管理：病毒防护：采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。垃圾防护：可以拦截垃圾，净化系统，解决垃圾对正常工作的干扰问题。URL过滤：实现基于用户的URL访问控制，防止因浏览恶意或未授权的(如网络钓鱼攻击)而带来的平安威胁。流量管理：能准确检测BitTorrent、Thunder〔迅雷〕、QQ等P2P/IM应用，提供告警、限速、干扰或阻断等多种方式，保障网络核心业务正常应用。行为审计：可对各种P2P/IM、网络游戏、和数据传输等行为提供细致的监控和记录，实现细粒度的网络行为审计管理。通过以上管理手段，管理员能够保证学校部网络的平安性，有效利用学校出口带宽，同时对用户上网行为进展管理和记录，以便于网络平安事件发生后的审计。核心层网络设计城域网的核心层局部采用“两网一核心〞的建立思路：城域网和数据中心共用一套网络核心，即采用两台S10508核心交换机，通过IRF2技术虚拟成一台设备，作为整个网络的核心。H3CS10500系列交换机采用了先进的CLOS架构，每一台交换机都有两个核心的处理平面，即控制平面和业务处理平面。控制平面主要由主控板、接口板上的控制单元构成，完成协议处理、路由表维护、数据配置和设备管理等控制功能。业务处理平面主要由接口板上的高速业务处理单元〔ASIC芯片〕和集成在交换网板板上的交换网构成，具备业务处理、报文交换和报文转发等功能。控制通道：接口板、网板通过专用通道分别连到主备控制板上的管理模块。实现双主控1＋1、多交换网N＋1的热备份，提高系统的可靠性。业务通道：交换网芯片置于交换网板，接口板通过高速通道分别连到交换网板上的交换网。控制平面和业务处理平面相互独立，互不影响，如下列图所示。采用这样主控板与交换网板别离的架构，大大提高了设备性能的可扩展性，如果未来需要提高核心交换机的性能，无需更换机箱和引擎，只需升级交换网板即可。同时提高了设备的可靠性，由于主控板和交换板别离，即使在主控板故障的情况下，现有的业务流量仍能通过交换网板继续转发。采用IRF2虚拟化技术后，网络核心构造变得更简单、更可靠、更高效。更简单网络简化需要解决网络构造的简化，网络业务的简化，以及管理维护的简化这三方面的问题。通过在从核心到接入的整网部署IRF2技术，多台物理设备虚拟成一台统一的逻辑设备，不但网络构造简单清晰，原先需要每台设备逐一配置，现在只需配置一次即可，大大简化了设备的管理维护。此外，相比传统网络生成树+VRRP的部署方式，启用IRF2以后，二层不再需要配置生成树，也不再需要复杂的生成树多实例的规划，三层不再需要配置VRRP，不再需要复杂的路由规划和大量的IP地址消耗，从而简化了网络业务。更可靠IRF的高可靠性表达在链路级、协议级和设备级三个方面。链路级：成员设备之间的物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样，通过多链路备份提高了链路的可靠性。协议级：IRF系统提供实时的协议热备份功能，负责将协议的配置信息备份到其他所有的成员设备，从而实现1：N的协议可靠性。设备级：IRF系统由多台成员设备组成，Master设备负责系统的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份。相比传统的二层生成树技术和三层的VRRP技术，其收敛时间从N秒级缩短到毫秒级。更高效：对高端交换机而言，性能和端口密度的提升会受到其硬件构造的限制，而IRF系统的性能和端口密度是IRF部所有设备性能和端口数量的总和。因此，IRF技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大幅度提高单台设备的性能。此外传统的生成树等技术为了防止环路的发生，会采用阻断一条链路的方式，而IRF2可以通过跨设备聚合等特性，让原本“Active-standby〞的工作模式，转变成为负载分担的模式，从而提高整网的运行效率。城域网的核心层设计在保证了高性能和高可靠性的根底上，还充分考虑了网络的平安性。本方案过在S10508交换机上部署防火墙插卡、IPS插卡和应用控制网卡插卡的方式，对整个城域网的用户和数据中心进展统一平安防护。出口区域网络设计**区教育城域网采用统一出口的方式组网，在区电教馆申请两条出口链路，一条连接到市教育城域网，一条连接到internet。每个学校或教育单位用户访问教育网或互联网的流量最终都汇总到这两条链路上。该处选用H3CSR6600路由器作为出口路由器。作为教育城域网的出口路由器，需要的不是复杂的路由协议和大规格的路由表项，而是强大的NAT能力。SR6602-*凭借其先进的多核高性能处理技术，提供专门的核处理NAT转发。当并发200万NAT连接时，256字节以及IMI*互联网混合报文的NAT转发性能超过10Gbps。可以充分满足**区教育城域网对出口网关设备的性能要求。除了对NAT性能的高要求外，**区教育城域网出口面临的另一个问题是出口链路带宽的充分利用问题。教育城域网落成以后将不只拥有一个公网出口，如何充分利用这些出口带宽，从而提高整个城域网用户的上网体验是本次建网必须考虑的问题。这里涉及到两种情况：第一种情况是在几条不同的运营商链路之间，传统的出口设备工作方式是基于目的地址来进展选路。而由于中国运营商开展现状的南北差异，中国电信在南方拥有的网络资源较多，导致用户访问公网时大局部流量将从电信的链路流出，中国联通的链路多数情况下处于空闲状态。这样就会使得一方面电信链路拥塞，用户访问网络不畅，一方面联通链路空闲，造成资源浪费。第二种情况是在同一运营商的链路之间，例如**区教育城域网申请了300M的电信带宽，中国电信以1条200M和1条100M两条出口链路的方式提供了300M带宽。此时由于用户访问的目的地址都是电信地址，出口设备无法判断数据是从链路1走还是从链路2走，此时路由器会在两条链路之间进展负载均衡，而一旦出口流量过大，就会导致一条链路拥塞，进而影响用户上网。这对以上两种情况，本方案采用的出口网关设备SR6602-*路由器拥有链路负载均衡功能，利用加权负载均衡、动态链路检测等多种算法，有效的将流量按需分配到多条链路上，充分利用所有链路的资源，从而提升用户对网络的使用体验。城域网行为审计设计**区教育成语落成后，所属围的所有中小学用户都将使用该网络访问教育网和公网的资源。根据"互联网平安保护技术措施规定〔公安部令第82号〕"规定，互联网效劳提供者和联网使用单位应当对网络的平安保护负责，其中包括网络攻击防、数据库容灾、网络使用人员的信息记录等。因此，对用户的上网行为审计是本次建立城域网时必须考虑的因素。本方案对用户上网行为提供了两级审计功能，如下列图所示：拓扑图第一级的行为审计设立在每个学校的出口网关U200上。U200可对各种P2P/IM、网络游戏、和数据传输等行为提供细致的监控和记录，实现细粒度的网络行为审计管理。每个学校的管理员可以通过免费发放给学校的UTMManager管理系统Mini版管理自己学校的出口设备，审计用户的上网行为，一旦出现信息平安事件，可以根据有关部门提供的时间和IP地址以及违规的上网行为定位到责任人。电教馆的网络管理员可以通过部署在电教馆的UTMManager管理系统对全区的UTM设备进展统一管理，统一规划。第二级行为审计设立在城域网的核心，通过S10508上的应用网关插卡来实现对全网用户的行为审计。S10508的应用网关ACG插卡具备实时的应用流量监控和用户上网行为审计两大功能。管理员可以通过ACG实现对整网业务流量的实时监控，可基于整网、区域、业务类型〔如P2P类、游戏类〕、用户/用户组等，实时分析网络应用流量趋势、流量组成、Top用户流量、Top业务分布等，通过实时了解当前网络应用流量的明细信息，利于管理员直观的了解最新网络流量状况，监控突发异常流量，并做出快速排查，确保整网网络业务的有序运行。除此之外，管理员还可以通过ACG对用户Web应用、FTP传输、交互、IM聊天等各种上网应用提供全方面的行为监控和记录；同时，通过综合分析、检测用户网络流量与流向趋势，对历史数据进展分析，为用户提供细粒度的网络应用审计管理系统，准确跟踪、定位用户的网络行为。同时，ACG通过和本方案提供的身份认证系统EAD对接，可以实现基于用户身份的流量分析、流量统计与审计的管理，有效解决动态IP分配难以定位到上网用户的问题。管理员通过本方案管理区部署的iMCSecCenter组件，对所有的U200和ACG设备进展统一的设备管理和记录分析，多点检测、多点核实，最终实现平安事件定位到人。云接入建立——班班通方案需求分析随着信息技术的不断开展，包括多媒体教室逐渐普及，教育网络的建立已经开场不满足于为教职工提供网络效劳，而是开场转向效劳课堂教学。多媒体教室利用资源公共效劳平台的优质教学资源，基于电子书包、电子白板等终端的使用，在课堂上开展互动式教学、兴趣教学的容。电子书包终端通常以平板电脑的方式呈现，人手一本，因此在班级建立无线网络成为班班通的重要容，也使得中小学在教学模式和管理模式上更加多样化；网络方案设计无线方案拓扑如下列图所示：本方案采用瘦AP架构，分布式AC的管理方式。具体而言是在每个学校都采用瘦AP架构：在办公区、教学区的走廊或房间部署802.11N的AP，负责用户的无线接入，在校园网的核心处部署分支无线控制器，负责对全校AP的统一管理。H3C无线技术特点：智能天线：H3C创新推出终端感性型智能天线,室AP置4个天线阵子,可形成16种波形,基于特征和协议的射频优化，不同距离、不同场景的针对性智能覆盖，覆盖距离更远，信号强度更强更稳定，吞吐量更高。频谱分析防护：频谱分析技术可实现对低层频谱的检测,可以分析报告出2.4G及5G频谱围的非WiFi设备干扰,可100%确定干扰源,包括2.4G跳频摄像头,无绳,蓝牙,微波炉,2.4G跳频基站或其他设备等；通过无线AP自带的RF监测硬件，可实现全覆盖区的射频质量分析、避让、存储、追溯、回放等。针对国无线校园、无线医院等场景优化的RRM算法，可以实现更精准的信道干扰感知与射频调整能力。不同业务应用识别与Qos保障：多媒体、语音等业务在无局域网中的应用，使得原本紧的无线空口资源更加捉襟见肘。由于空口资源的特殊性，传统有线网络的QoS技术无法直接应用在无线局域网中。IEEE802.11e标准的引入，解决了此问题。作为802.11e标准的前身和子集的WMM标准，提供了根本的无线QoS解决方案，可以实现高速突发数据和流量分级。但是，802.11e只解决了无线空口的QoS，没有解决如何在全网，包括AP－AC间的有线网络实现端到端的QoS。H3C无线产品端到端的QoS解决方案不仅解决了无线接入点和无线用户直接在无线介质上的QoS，而且还通过将无线用户的优先级映射到AP－AC间的CAPWAP隧道上，保证了AP－AC间无线用户的QoS。同时，作为增强，还实现了AP限速以限制通过CAPWAP隧道到达AP的数据流量。只要在报文进入AC的接口进展映射处理，之后设备会自动在转化为802.11报文的时候将本地优先级转化为WMM的优先级。具有QoS能力的STATION和无线接入点AP之间，通讯各方采用EDCA竞争无线信道；无线接入点AP和无线控制器AC之间建立有CAPWAP隧道，通过配置端口信任模式和映射关系，可以实现无线802.11e优先级与CAPWAP隧道外层的IP置DSCP和802.1p优先级的相互映射关系，从而保证AP和AC之间的QoS效果。此外，无线控制器AC及有线网络中其他设备上还可以设置流分类、优先级标记、流量限速、队列调度等灵活的QoS策略，从而实现全网QoS的定制。下一代无线网络〔IPV6〕全面支持：IPV4地址已经目前是通过技术手段来人为延长v4寿命；纯粹IPv6透传不能满足教学科研需求，将来也是信息孤岛。支持IPv4/v6双协议栈，全面支持IPv6已是必然。H3C所有无线产品支持IPv6Portal、IPv6SAVI、CAPWAPOverIPv6、ACL6、DNS6、TraceRT6、Telnet6等技术。智能无感知认证：能够进展无感知认证准入，准入后可以对移动终端定制区别于“固定终端〞不同的策略.首次认证后下次无需再次认证即可入网.绿色环保：所有AP采用专业绿色低碳设计，支持动态MIMO省电模式(DMPS)与增强型自动省电传送(E-APSD)，智能辨识终端实际性能需求，合理化调配终端休眠队列，动态调整MIMO工作模式。支持GreenAP模式，实现单天线待机，节能更精准。通过创新性的逐包功率控制(PPC)技术，在确保报文能成功传输的前提下动态调节AP设备和客户端直接的双向功率，以到达减少设备能耗和延长移动终端待机时间的作用。身份认证方案设计通过以上云数据中心、运通道以及云平台的建立，**区教育城域网将建成一个教职工以及学生可以随时随地获取教育资源的网络，极大的方便了教学工作展开的同时也带来一些隐患：一、部网络终端缺乏网络用户识别、准入机制A．任何外来人员或客户只要将计算机插入网线，就可以进入部网络各个区域，其中没有任何身份的认证和平安措施，如知道相关应用系统的及密码，就可以访问相关的应用数据，对整个网络和应用造成很大的平安威胁。网络的终端全部都是基于工作组的模式，没有进展网络域的集中管理模式和相关的策略性的定义。对正常接入的PC没有进展安康性的检查和指导用户进展修复，以及不能对达不到平安要求的PC采取隔离措施二、终端平安管理的平安防护控制措施缺乏，也没有集中管控、审计和标准化等手段进展管理A、无法确保这些终端是否安装了防病毒软件、更新了系统补丁和病毒代码，现时的终端的防病软件部署率底，防病毒软件也不统一，时常发生感染病毒、间谍软件等的问题，存在很大的平安隐患；B、用户是否安装了必须使用的软件，是否安装了非工作使用的软件，硬件配置，软件配置，年终盘点的报表和信息的收集，都无法进展确认和收集；C、现时对网络部出现的任何平安问题都无法及时发现、追踪和审计。鉴于以上两点，我们需要在完成城域网资源中心和根底网络建立的同时，建立一套用户身份和接入设备的区分机制，以保障城域网的信息平安。在这个背景下，本方案采用终端准入控制系统EAD，负责对全网用户进展身份认证和终端的准入控制。该方案具有网络准入控制、终端平安管理和桌面及资产管理三大功能。在有线接入的网络环境中，将接入层设备作为平安准入控制点，对试图接入网络的用户终端进展平安检查，强制用户终端进展防病毒、操作系统补丁等企业定义的平安策略检查，防止非法用户和不符合企业平安策略的终端接入网络，降低病毒、蠕虫等平安威胁在企业扩散的风险。由于接入层交换机对端口部署了802.1*认证，所有非法用户将不能访问企业部网络。并且认证通过前，用户终端之间无法实现互访。合法用户接入网络后，其访问权限受接入交换机中的ACL控制。特定的效劳器只能由被授权的用户访问。合法用户接入网络后，其互访权限受接入交换机中的VLAN控制。不同角色的用户分属不同的VLAN，跨VLAN的用户不能互访〔受组网方式限制〕。用户正常接入网络前，必须通过平安客户端的平安检查，确保没有感染病毒且病毒库版本和补丁得到及时升级。降低了病毒和远程攻击对企业网带来的平安风险。通过使用iNode客户端，可对用户的终端使用行为进展严格管理，比方制止设置代理效劳器、禁用双网卡、制止拨号等。在无线网络环境中，在无线控制器上进展Portal认证，在无线用户通过身份认证之前，只能访问无线控制上指定的资源。合法用户接入网络后，其访问权限受在无线控制器上下发的基于用户的ACL控制。特定的效劳器只能由被授权的用户访问。用户正常接入网络前，必须通过平安客户端的平安检查，确保没有感染病毒且病毒库版本和补丁得到及时升级。降低了病毒和远程攻击对企业网带来的平安风险。如果在AP间漫游时用户IP未发生变化，则无需再次进展用户身份认证。管理员可以为每一个在网用户分配一套用户名密码，也可以和现有的Windows域或LDAP系统进展对接，直接使用现有的用户名密码。从而做到每一个用户的实名认证。针对来访专家、家长等外来用户，还可以由正式用户为其申请临时访客账号，或通过启用匿名用户认证，并为匿名用户设置适宜的平安策略〔比方限制资源访问权限〕的方式解决访客用户的临时上网需求，可以帮助管理员在不影响网络平安策略实施前提下，减轻对临时的管理工作量。无论是在有线还是无线网络中，只要用户的终端上安装了iNode客户端，就可以实现防病毒管理、强制更新系统补丁、制定软件黑白、注册表平安检查、桌面及资产管理等平安功能，使系统管理员对在网的每一台设备进展强管理，保障网络的平安。针对**区教育城域网这种带有分支机构的大型网络，每个分支管理员都需要对自己的分支机构进展管理，比方自己的设备、用户群组和平安策略等。为此，EAD推出了针对单套EAD系统的分权管理解决方案。分权管理包括用户分权、设备分权和业务策略分权，只有总部管理员和分支机构的管理员能看到该分支的用户信息、设备信息和平安策略信息，不同分支机构的管理员之间不能互相查看和修改其他分支的信息。云管理规划——整网运维方案系统平安管理系统平安管理功能主要有包括：操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。所包含的主要功能有：操作员登录管理管理员通过制定登录平安策略约束操作员的登录鉴权，实现操作员登录的平安性，通过访问控制模板约束操作员可以登录的终端机器的IP地址围，防止恶意尝试另人密码进展登录的行为存在，通过密码控制策略，约束操作员密码组成要求，包括密码长度、密码复杂性要求、密码有效期等，以约束操作员定期修改密码，并对密码复杂性按要求设置。操作员密码管理管理员为操作员制定密码控制策略，操作员仅能按照指定的策略定期修改密码，以保证访问iMC系统的平安性。分组分级权限管理管理员通过设备分组、用户分组的设置，可以为操作员指定可以管理的指定设备分组和用户分组，并指定其管理权限和角色，包括管理员、维护员和查看员，实现按角色、分权限、分资源〔设备和用户〕的多层权限控制；同时通过设置下级网络管理权限，可以通过限制登录下级网络管理系统的操作员和密码，保证访问下级网络管理系统的平安性。操作日志管理对于操作员的所有操作，包括登录、注销的时间、登录IP地址以及登录期间进展的任何可能修改系统数据的操作，都会记录详细的日志。提供丰富的查询条件，管理员可以审计任何操作员的历史操作记录，界定网络操作错误的责任围。操作员在线监控和管理系统管理员通过“在线操作员〞可以实时监控当前在线联机登录的操作员信息，包括登录的主机IP地址、登录时间等，同时，系统管理员可以将在线操作员强制注销、禁用/取消禁用当前IP地址等控制操作。资源管理iMC资源管理与拓扑管理作为整体共同为用户提供网络资源的管理。本节讲解iMC的资源管理，下节讲解iMC的拓扑管理。通过资源管理可以：网络自动发现可以通过设置种子的简易方式、路由方式、ARP方式、IPSecVPN、网段方式等五种自动发现方式自学习网络资源及网络拓扑，自动识别包括：路由器、交换机、平安网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、效劳器、PC在的多种类型网络设备；多种自动发现方式自动识别多种设备类型网络手工管理可以手工添加、删除网络设备，可以批量导入、导出网络设备，批量配置Telnet、SNMP参数，以及批量校验Telnet参数等辅助功能；网络视图管理支持IP视图、设备视图、自定义视图、下级网络管理视图等多种管理视图，用户可以从不同角度实现整个网络的管理；网络设备的管理从任何一种网络视图入口，都可以实现对网络设备的管理，包括：支持对设备的管理/去管理、接口的管理/去管理、设备的详细信息显示和接口详细信息显示、设备和接口实时告警状态、设备和接口的实时性能状态、实时检测存在故障的设备等，用户可以方便的实现所有设备的管理；设备及业务管理系统的集成管理支持对H3C、CISCO、等主要厂家设备的管理，支持手工添加设备厂商、设备系列及设备型号；支持设备面板管理的动态注册机制，实现与各厂家设备管理系统的有效集成；支持拓扑定位、ACL、VLAN、QoS等业务管理系统的集成，实现设备资源的统一管理；设备分组权限管理支持设备分组功能，通过对设备资源进展分组管理，系统管理员方便的分配其他管理员的管理权限，便于职责别离；拓扑管理iMC拓扑管理从网络拓扑的解决直观的提供应用户对整个网络及网络设备资源的管理。拓扑管理包括：拓扑自动发现H3CiMC可以自动发现网络拓扑构造，支持全网设备的统一拓扑视图，通过视图导航树提供视图间的快速导航。通过自动发现可以发现网络中的所有设备及网络构造〔具体参见资源管理〕，并且可以将非SNMP设备发现出来，只要设备可以ping通即可。这样就可以将所有网络设备都列入其管理围〔只要设备IP可达〕。同时支持自动的拓扑图呈现和自定义拓扑。自动拓扑可以自动将网络中的逻辑连接关系显示出来，同时可以保存为自定义拓扑图并可根据具体情况进展修改以便于网管员对整个网络设备的监控。支持对全网设备和连接定时轮询和状态刷新，实时了解整个网络的运行情况，并且刷新周期是可定制〔刷新周期：60～7200秒〕，同时也支持对多个设备的刷新周期进展批量配置的功能。支持自定义拓扑传统的网络管理软件大多支持自动发现网络拓扑的功能，但是自动发现后的网络拓扑往往是很多设备图标的简单排放，不能突出重点设备和网络层次，使网络管理人员感觉无从下手。针对这种情况，H3CiMC的拓扑功能支持灵活的自定义功能，管理人员可以根据网络的实际组网情况和设备重要性的不同灵活定制网络拓扑，可对拓扑图进展增、删、改等编辑操作，使网络拓扑能够清晰地呈现网络构造以及IT资源分布。H3CiMC支持灵活定制拓扑图，使网络拓扑更有重点和层次感。管理员可以按照关注设备不同，管理角度不同定义多种拓扑，并可以针对拓扑不同选择不同的背景图；管理员可以根据网络设备的重要性不同，链路速率不同采用适宜的图标显示。自动识别各种网络设备和主机的类型H3CiMC可以自动识别H3C、H3C、Cisco、等厂商的设备、Windows、Solaris的PC和工作站、其他SNMP设备和ping设备，并且以树形方式组织，以不同的图标显示区分。在拓扑图上更可进一步对设备的类型进展区分，如区分路由器、交换机、平安网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、效劳器、PC等等。设备状态、连接状态、告警状态等信息在拓扑图上的直观显示H3CiMC的拓扑功能与故障管理和性能管理严密融合，使拓扑图能够清晰地看到***大学IT资源的状态，包括运行是否正常、网络带宽、接口连通、配置变化都能一目了然。多种颜色区分不同级别故障，根据节点图标颜色反映设备状态。拓扑能提供设备管理便捷入口H3CiMC拓扑能够提供对设备管理的便捷入口，管理员只需通过右键点击拓扑图中的设备图标即可启动设备管理各项功能，实现对设备的面板管理等各项功能配置。故障〔告警/事件〕管理故障管理，即告警/事件管理，是H3CiMC的核心模块，是iMC智能管理平台及其他业务组件统一的告警中心。如下列图所示，以故障管理流程为引导，介绍H3CiMC强大的故障管理能力：告警发现和上报iMC告警中心可以按收各种告警源的告警事件，包括设备告警、本级网管站及下级网管站告警、网络性能监视告警、网络配置监视告警、网络流量异常监视告警、终端平安异常告警等；同时通过支持对设备定时轮询，实现通断告警、响应时间告警等，以告警事件的方式上报给H3CiMC告警中心；设备告警包括电源电压、设备温度、风扇等告警事件，设备冷启动、热启动、接口linkdown等重要告警事件，路由信息事件〔OSPF，BGP〕变化，热备份路由〔HSRP〕状态变化等告警事件，支持对H3C、CISCO、H3C、等多厂商设备告警的识别和解析；网管站告警指包括本级iMC系统集群效劳器的异常告警，包括CPU利用率、存使用率、iMC效劳程序运行状态等以及下级iMC系统上报的告警事件；网络性能监视包括CPU利用率，存使用率，以及RMON告警的故障管理。网络配置监视告警包括设备软件版本、配置信息变更等告警事件，并通过iMC智能配置中心组件〔iMCiCC〕实现配置文件定期检查，实现配置变更告警事件。网络流量异常监视告警通过iMC网络流量分析组件〔iMCNTA〕实现网络中异常流量告警，包括对设备及接口异常流量、主机IP地址异常流量和应用异常流量的告警，支持二级阈值告警定义；终端平安异常告警通过iMC端点准入防御组件〔iMCEAD〕实现对终端用户平安异常的告警，包括ARP攻击告警、终端异常流量告警及其他终端不平安告警；iMC定期轮询告警指通过iMC的资源管理