教育城域网云数据中心方案及货物需求参数

市教育城域网云数据中心技术建议书

2015年12月

目录

第1章项目背景................................................6第2

章需求分析.......................................7第3章方案

总体架构.............................83.1设计目

标..........................................................83.2总体

架构设计........................................................8第4

章网络解决方案.................................114.1网络平台

架构设计.............................................114.1.1网络

虚拟化和二层结构.....................................114.1.2三个

独立的网络平面........................................134.1.3业务

功能分区..............................................134.1.4网络

平台架构特点...........................................134.2边界

接入区设计......................................................144.3

核心网络区设计...........................................................15

4.4县区路由连接设计..................

154.4.1区县教体局出口路由器选型建议.

164.4.2学校出口路由器选型建议.......

174.5IP地址规

划...................................184.5.IIP地

址规划原则......................................................18452本

期工程地址规划..................................................18

4.6VLAN设计............................................................

204.7QOS规

划.............................................................21第5章

计算存储解决方案.........................................24

5.1计算存储平台架构设

计..................................................245.2虚拟化平台解决方

案....................................................25

5.2.1虚拟化平台结

构....................................................255.2.2虚拟化管理平

台....................................................265.2.3VDC服

务.............................................................305.3物理

服务器部署方案.....................................................305.4存

储虚拟化部署方案....................................................32

5.4.1方案设计原则......................................................32

5.4.2拓扑结构..........................................................34

5.4.3方案特点..........................................................34

5.5一体化备份系统.........................................................

355.5.1传统的数据保护方式................................................

35552一体化备份系统....................................................

355.5.3全面的备份保护....................................................

365.5.4方便灵活的数据恢复................................................

36第6章安全解决方案.............................................386.1总

体安全框架...........................................................386.2

安全域的划分...........................................................39

6.3边界安全设计...........................................................

406.4核心交换区安全设

计....................................................426.4.1WEB防火墙设

计.....................................................42642应用负载均

衡设计..................................................426.4.3入侵检测防

御设计..................................................42

6.4.4数据库/日志审计设计..............................................

436.4.5漏洞扫描设计......................................................

43第7章运维管理解决方案..........................................447.1

监控运维系统概述......................................................44

7.2统一监控管理平台......................................................

45721拓扑管理...........................................................

45722告警管理...........................................................

467.2.3性能管理...........................................................

47724分级网管...........................................................

487.2.5系统监控...........................................................

48726高可用性系统管理..................................................

487.3服务器管

理.............................................................497.4存储

管理................................................................497.5

网络管理...............................................................51

7.5.1基本信息管理......................................................51

7.5.2SLA管理.............................................................

527.5.3MPLSVPN管

理........................................................53754网流分

析...........................................................567.5.5日志管

理...........................................................587.6安全管

理...............................................................597.6.1安

全管理...........................................................607.6.2策

略冗余分析......................................................607.6.3策

略命中分析......................................................617.6.4策

略风险分析......................................................61765策

略综合分析......................................................62

第8章方案优势.................................................63第

9章设备货物需求一览表.......................................64

第1章项目背景

教育信息化是国家信息技术发展的重要组成部分，而作为教育网络的延伸，区域

教育城域网连接区域范围内的中小型教育机构，为区域内国民中小学教育提供信息

网络服务，对包括教务信息的管理、教学资源的分享传播、教学业务以及教学安

全的管理控制等各个教学信息化方面提供基础保障。

随着教育信息化的进一步发展，为了更好承载教育业务,市教体局项目将依托

公共网络，以县级教育专网为基础,市级教育专网连接各县专网组成市基础教育专

网，使全市中小学、幼儿园全部接入教育专网。县骨干带宽达千兆，市骨干带宽达千

兆及以上，实现各县统一出口，出口带宽达1G或以上。建设市基础教育虚拟化平台,

重点建设市教体局中心机房及市教育虚拟化平台，为全市电子教育、视频会议、远

程培训、视频教学点播、远程双向视频教学和网络教研等教育应用服务。

第2章需求分析

市教体局建设的首要原则应该是一张全业务承载网络,能承载教育信息化的所

有业务，包括信息化业务数据、视频（远程教学、VOD教学视频点播、视频会议、

语音、宽带上网、以及校园专线等多业务。

这些业务对网络的需求主要体现在流量模型、带宽和QoS需求上。上述业务

可以归纳为如下几种（以下涉及数据的部分为经验估算，仅作对业务理解参考使用：

业务流★特点带宽需求QoS需求

各区县所有数每个校园出口

此类办公对

行事业单位的校园需要约10M带宽,由

办公自动化QoS要求较高.需要

内M络接入教育城广全部流量离要上

(0A)系统较岛的优先级和较

域各接入节点核心层，每个核心

低的时延

之间业务共享节点约需600M带宽

各阮校提供本

各院校根据h

校师生上网业务.

网人效和业务需求

包括教帅的备深、此类业务需帔

教与学支持服嶙定业务带宽.平

教学.学生的视频更高的优先级.需

务系统均加院校约需10M

点播等通过城域要优先转发

带宽,每个核心节

网接入到亚联网出

感约需3G带宽“

【1设简，

包括家校互各院校和机构

此类业务对

教育公共服务联，通讯平台等应平均约需20M流星」

QoS要求最低，采用

业务系统用.各院校。互联每个核心N点约需

尽力而为服务

网联接.1.2G带蜜

第3章方案总体架构

3.1设计目标

1、高效性:为了满足云平台、教育的业务应用系统的高并发、快速的虚拟机

迁移、视频文件以及大文件的上传下载等要求，设计一个高带宽、低延时、快速收

敛并避免环路出现的网络平台是一个基本的设计目标。

2、高可靠性:教育云数据中心今后要支持全市电子教育的业务系统，教育云数

据中心的网络的稳定性直接关系到全市电子教育服务的可用性。因此高可用性是

数据中心网络平台的设计目标之一，关键和核心部分不能出现单点故障。

3、可扩展性:本项目只是教育云数据中心建设的一期工程，随着后续越来越多

的业务应用系统迁入教育云数据中心,教育云数据中心的规模需要根据业务应用需

求逐步扩大。因此具备良好的扩展能力也是数据中心网络的设计目标之一，在核

心、骨干网络设备上要留有余量，充分考虑今后业务应用增加的网络需求。

4、灵活性、易维护性:教育云数据中心今后所承载的各类业务系统的不确定

性,这就要求网络平台能够灵活简便的对网络资源进行调配。因此,网络管理的灵

活性和易维护性也是网络平台的设计目标之一。通过减少网络配置节点、简化网

络配置，降低网络管理的人力开销，从而易于网络资源的调整和分配。

5、先进性:教育云数据中心承载市教育系统不同种类的电子教育应用系统,整

体架构应当保持稳定而不应当频繁调整。作为教育云数据中心的重要组成部分，网

络平台的架构调整会影响教育云数据中心的整体架构。因此在设计网络平台的架

构的时候,设计目标之一应该是保证网络架构和采用技术的先进性,3年内只做规模

扩充，而不做架构调整。

6、安全性:保证各业务系统的信息安全是建设教育云数据中心的一个基本前

提，因此安全性也是网络平台需要考虑的设计目标之一。由于网络安全域的划分与

隔离很大程度上依赖网络结构的合理性，因此在设计网络架构的时候需要考虑整体

网络安全性,便于安全方案进行安全域的划分和安全域间访问控制。

3.2总体架构设计

数据中心总体架构设计遵循面向业务需求的设计思路,基于模块化的设计方法,

实现数据中心IT基础架构模块与业务模块松耦合，保证数据中心业务动态扩展和新

业务快速上线。

使用特定规格产品设计，包括硬件、软件和应用规格化来提供简单可靠、易

于部署和管理、便于扩展和升级的IT基础架构，为用户提供更好的投资保护，

满足企业数据中心新建、升级扩容，以及数据中心的可视化统一管控的需求,可实

现被集成的场景。

根据功能分层逻辑分区的原则，数据中心的功能层次由边界接入区、网络核心

区、计算区和存储区共4个区域组成。这4个区域又可以逻辑上细分为8个子区

域,详细情况如下示意图和表格所示。

基于上述总体架构设计,既要考虑支撑当前台应用系统的计算、存储和数据传

输能力，又要考虑当前项目经费的约束,详细设计教育云数据中心的软硬件的解决

方案。具体详细的网络、计算存储、安全和运维管理方案在下面的章节分别详细

介绍。

序号区域子区域部署产品

接入路由器与Internet和教育专网连

1外联区

边界接入接

区汇聚交换机，边界防火墙等，与区县

2区县终端接入区

教育广域网互联

网络核心核心交换机、服务器交换机、入侵检

3网络服务区

区测、数据库审计等

4云计算区虚拟化服务器资源池

物理服务器资源池，承载技术上不适

5物理资源区合部署在虚拟化平台上应用、软件（例

计算M如：高10数据库）

应用系统开发平台、测试平价和培训

6开发测试区

平台

7运行管理区监控和运维管理平台

8存储区SAN存储SAN存储设备

第4章网络解决方案

4.1网络平台架构设计

市教体局网络建设根据不同位置及信息点的数量和未来覆盖面扩充等多方面

原因，将网络为划分若干个区域。划分区域主要考虑以下几个方面:可以减轻中央

核心交换机的负担、管理上方便、便于未来的连接扩充。

市教体局网络方案如下图所示:

依据项目目标、设计原则和教育云数据中心的总体架构,网络平台的架构设计

采用如下几项关键技术。

4.1.1网络虚拟化和二层结构

传统的数据网络平台架构一般采用核心一汇聚一接入的三层网络架构模型，采

用这种传统的网络架构存在以下几个方面的问题：

网络的层次较多,处理效率低;多增加了一个汇聚的层面，就会额外增

加汇聚设备的处理时延、线路时延等;同时由于网络节点数量增多，也增加了部

署成本和设备故障的几率；

•由于汇聚层面设备一定存在处理性能和上行带宽的收敛比,在数据中心规模

不断扩大的情况下，汇聚设备会成为整个网络的瓶颈，出现拥塞、丢包等问题；

•在网络扩容时，不仅仅需要增加接入层的设备，同时也必须考虑到汇聚设备的

性能和端口密度能否满足要求，也需要进行相应的扩容,带来投资成本的增加。

•网络设备之间的STP、LAG、路由处理、安全等相互之间的交互信息，随着

设备数量的增加,会成几何级数激增。

•随着云计算平台虚拟化的技术的大规模应用,新的网络平台流量模型中，大多

数的流量是在内部服务器之间进行通信,甚至能够达到整体流量的75%,这种部署架

构会导致服务器之间流量需要通过汇聚层甚至核心层设备转发，效率低下，且性能很

差。

为了解决上述存在的问题，本方案数据中心网络架构采用扁平化二层网络架构

（核心层、接入层，使用网络虚拟化技术，核心交换机承担着核心层和汇聚层的双重

任务。

扁平化方式降低了网络复杂度，简化了网络拓扑，提高了转发效率。二层网络

架构中，采用网络虚拟化技术，解决链路环路问题，提高了网络可靠性。核心交换机设

置VLAN的IP地址，接入交换机划分VLAN,做二层转发。

・核心层:采用网络虚拟化技术,将两台核心交换机虚拟为一台设备，设备背板共

享，交换能力提高。

•接入层:采用网络虚拟化技术,将两台或多台接入交换机虚拟为一台设备，设备

背板共享，交换能力提高。

核心交换机和接入交换机之间的四条跨框链路捆绑为一个Eth-Trunk组,网络

架构变成树型模式,不需要启用STP协议,从根本上解决环路和spanning-tree收敛

问题。

扁平化二层网络架构设计的主要优势在于：

•简化网络管理，降低维护管理成本

能够减少网络中的交换机和链路数量，从而降低前期购置成本和后期维护成

本。

•网络性能提高，支撑高性能的服务器流量

通过减少交换层数量，流量需要穿越的交换机数量也会减少,从而可以缩短延迟,

提高应用性能。

•网络利用率提高，支撑云计算的资源池动态调度

云计算要求对于计算资源池和存储资源池任意按需调配。要求网络能够适应

这种大范围的调度。

•网络可靠性提高

减化的网络通过虚拟集群和堆叠技术，可以消除网络中的可靠性隐患，无需运行

spanning-tree协议，消除网络的故障收敛时间，从而提高网络可靠性。

4.1.2三个独立的网络平面

网络平台可以分为业务平面、管理平面和存储平面三个网络平面。三个网络

平面相互独立。业务平面主要服务对象是为租户的业务应用软件的通讯,管理平台

主要为设备自身、安全系统、运维系统所使用，存储平面完全是一个封闭的私有

网络，服务器和存储设备在该平面上进行存储数据的传送。

4.1.3业务功能分区

网络总体规划应遵循区域化、层次化、模块化的设计理念，使网络层次更加

清楚、功能更加明确。这样在每个区域内部调整时不会影响其他区域，而且区域

内部资源调度也更加方便和灵活。依据这样的设计理念和设计原则，网络平台应根

据业务性质或网络设备的作用进行区域划分,通常需要考虑以下几个方面内容：

•按照网络架构中设备作用的不同，网络可以划分为核心层、接入层，层次化结

构也有利于网络的扩展和维护。

•综合考虑网络服务中应用业务的独立性、各业务的互访关系，以及业务的安

全隔离要求，在逻辑上还划分为外联区（包括Internet外联区、电子教育外联区、网

络核心区（包括网络服务区、计算区域（包括运云计算区、物理服务器区、数据服

务区、运维管理区、开发测试区、存储区域（包括SAN区和NAS区等。

4.1.4网络平台架构特点

教育云数据中心网络平台的架构有如下特点。

1、整体可扩展性强：

•分为四大区域（接入区、网络核心区、计算区、存储区，各个区域独立扩展；

•以核心节点为“根”的星型拓扑；

2、核心区域:流量的枢纽

•采用大容量，高性能的核心交换机；

•采用高密度的万兆接口；

3、计算区域、存储区域：

•多个业务区独立扩展；

•以服务器为中心的数据、管理、存储网络独立扩展；

4、外联区域

•分为两个独立的互联区域，各区域独立扩展；

4.2边界接入区设计

本次在市教体局外网出口处部署2台出口路由器,基于分布式硬件转发和无阻

塞交换技术,具有良好的线速转发性能、电信级的可靠性、优异的扩展能力、完善

的QoS机制。为保障路由器的高可靠性和高性能设备的选择上,本次所设计的路

由器能够提供高速数据交换和路由快速收敛。

全面的虚拟化特性支持

路由器能够一虚多、多虚一虚拟化特性。一虚多特性将一台路由器虚拟成多

个逻辑路由器,不同的业务在不同的逻辑路由器之间资源隔离，保证业务占用资源

可靠；多虚一特性将多台路由器虚拟成逻辑上的一台路由器,各物理路由器之间相

互进行备份，提升设备可靠性。

全方位的可靠性解决方案

路由器从多个层面提供可靠性保护，包括设备级、网络级、业务级可靠性，形成

了面向整个网络的解决方案,完全满足企业对各种业务的可靠性需求,99.999%的系

统可用性是构筑企业业务可靠互联的基石。

设备级可靠：

提供关键部件的冗余备份，关键组件支持热插拔与热备份,NSR(Non-Stop

Routing,NSF(Non-StopForwarding和ISSU等技术一起保障无中断业务运行。

网络级可靠：

提供IP/LDP/VPN"E快速重路由/Hot-Standby,IGP、BGP以及组播路由快速

收敛，虚拟路由冗余协议(VRRP,VirtualRouterRedundancyProtocol,快速环网保护

协议(RRPP,RapidRingProtectionProtocol,TRUNK链路分担备份,BFD链路快速

检测,MPLS/EthernetOAM,路由协议/端口/VLANDamping等技术，保证整网稳定

性，可以提供端到端200ms保护倒换,业务无中断。

业务级可靠:

提供的VPNFRR和E-VRRP技术,VLLFRR和EthernetOAM技术以及PW

Redundancy和E-Trunk或E-APS技术，可以应用于L3VPN和L2VPN组网方案中，

保证业务层面的冗余备份，使业务稳定可靠，不中断。

4.3核心网络区设计

核心设备担负着连接汇聚层,服务器群和教育网的工作,同时通过核心设备的互

联,形成一套完整的网络。由于核心层设备担负着整个网络的流量,在网络核心层

的流量是非常巨大的，对网络核心层的压力非常巨大。同时网络对安全性、稳定性

的要求极高，由于网络也基本是一个金字塔的形状,那么最需要稳定的就是金字塔的

顶端，即网络的核心层。

网络核心层同时需要对网络的接入层提供不同的网络层的路由规划和信息转发

的功能，同时还需要保证不同级别的网络QoS，对于服务器的关键业务通过链路级

和网络级的协议实现严格的控制和优先级的保证。对于网络级的保护通常时间是

非常长的，那么对一些关键业务,通过结合二层快速收敛的协议一起来完成对网络安

全性的提升和网络的自愈能力。设备须支持对不同部门的规划，如实现全网统一

VLAN的规划等。对每个系统分配不同的VLAN并且针对不同VLAN实现不同的

安全和控制的策略等。

但是在自身的网络核心层需要通过完全的三层策略来进行VLAN的终结和三

层数据的交换工作,不建议全网全部采用统一网络协议进行规划，建议采用二层和三

层协议相结合的方式共同实现网络的规划工作。

在核心层的规划中，主要应该采用结构稳定并且能够进行详细路由查找的三层

路由协议来进行规划。

4.4县区路由连接设计

在市教育城域专网出口处部署出口路由器用于连接区县路由。

出口路由器用来转发本区域用户到其他区域用户的横向流量，同时发送本区域

用户流量到核心层。汇聚层将大量用户接入到互联的网络中,模块化扩展接入核心

层设备的用户数量。

采用路由器而不是采用交换机和防火墙做为出口组网的模式具有以下优势：1.

采用路由器做为教育城域专网骨干设备是由大量最佳实践表明,如运营商所构建的

骨干网均采用路由器，而不是交换机和防火墙，这是路由器的自身平台稳定性比交换

机更好。

2.教育城域专网中存在大量的不同的业务,如何保证不同业务的优先级和带宽,

是城域专网建设者和维护者不得不考虑的问题,采用路由器可实现面向接入侧的H-

QoS五级调度机制，多样化，差异化满足接入侧不同层次用户的业务需求先进的队列

调度算法、拥塞控制算法，能够对数据流实现多级的精确调度，从而满足不同用户、

不同业务等级的服务质量要求。这是交换机和防火墙等其他设备所不能实现的功

能。

3.教育城域专网中若采用交换机组网，在很大的程度上引起地址冲突，不能正常

办公使使用者体验感下降。因为现在市教体局及区县教体局均采用私有地址组网，

在各个局域网中私有地址允许重复分配。而且用若不采用路由器做为每个局域网

出口实现私有地址对私有地址的转换，容易引起广播风暴，当广播数据充斥网络无法

处理,并占用大量网络带宽，导致正常业务不能运行，甚至彻底导致教育城域专网瘫

痪。

4.4.1区县教体局出口路由器选型建议

1.产品性能:背板带宽N3.9Tbps，整机包转发能力N480Mpps，千兆接口线速转

发，业务槽位N4,主控和电源支持1+1冗余，独立转发引擎。

2.端口数要求:主控板及母板上的端口数不作为业务端口计算。

3.接口类型:支持El、GE、155MPOS、155MCPOS,要求本次配置的所有

以太网口全部为WAN口，即在物理接口上直接配置IP地址。

4.路由协议:支持RIP、OSPF、BGP-4、IS-IS等路由协议。路由表容量

>=5()()K。

5.QoS:支持完善的QoS机制每线路板可提供先进调度和拥塞避免技术,提供精

确的流量监管和流量整形功能和定义复杂规则的功能，支持流细粒度鉴别，支持

MPLS

QoS,全面保证MPLSVPN、VLL和PWE3的QoS。

6.IPFPM技术:可以直接对业务报文进行测量，真实反映IP网络的性能;在线监

控IP网络承载业务的变化，准确实时地反映出业务运行情况，能够快速精确地进行

故障定位。

7.IPV6:支持IPv6静态路由，支持BGP4/BGP4+、RIPng、OSPFv3、ISISv6等

动态路由协议。支持IPv6邻居发现,PMTU发现TCP6,pingIPv6,tracerouteIPv6,

socketIPv6,IPv6策略路由，支持Telnet、SSH等协议。支持的IPv6组播协议包

括:PIM-IPv6-SM和PIM-IPv6-SSM。支持IPv6VPNO支持IPv4和IPv6双协议

栈。

8.可靠性:提供软件热补丁技术，实现设备软件完全平滑升级。支持单板及子卡

热插拔。为确保快速倒换,BFD发包间隔<5ms。

9.配置:提供完整主机、软件、双主控、独立交换网板和双电源，提供8端口千

兆电口和8端口千兆光口。

4.4.2学校出口路由器选型建议

1.硬件架构:多核CPU和无阻塞交换架构，整机扩展插槽数N8O

2.业务性能:整机包转发能力N6Mpps，交换容量N80Gbps。

3.接口扩展:广域网接口需支持xDSL、El"l、CEl/CTk同异步串口、

ISDN、ATM、POS、CPOS等。

4.3G:支持CDMA2000EV-DORevA制式,WCDMA制式,TD-SCDMA制式，

3G链路独立上行/作为备份链路。

5.IPv4路由:路由策略，静态路由，RIP,OSPF,IS-IS,BGP。

6.VPN:具备L2TP,GRE,IPSec,SSL,MPLSVPN能力o

7.QoS:支持基于硬件的QOS能力。MPLSQoS,优先级映射，流量监管（CAR,

流量整形，拥塞避免（基于IP优先级/DSCPWRED,拥塞管理。

8.安全与认证:支持ACL、状态防火墙、802.1X认证、MAC地址认证、

Web认证、AAA认证、RADIUS认证等。

9.配置:提供完整主机、软件、主控和冗余电源，提供3个GEWAN口其中2个

光电互斥口。

4.5IP地址规划

4.5.1IP地址规划原则

IP地址的合理规划是网络设计中的重要一环，市教体局必须对IP地址进行统一

规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网

络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进

一步发展。

IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间，又

要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路

由聚类，减少路由器中路由表的长度,减少对路由器CPU、内存的消耗，提高路由算

法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分

配时要遵循以下原则：

唯一性:一个IP网络中不能有两个主机采用相同的IP地址；

简单性:地址分配应简单易于管理，降低网络扩展的复杂性,简化路由表的款项；

灵活性:地址分配应具有灵活性，以满足多种路由策略的优化,充分利用地址空间。

IP地址分配既要考虑到扩充，又要能做到连续;尽量分配连续的IP地址空间，并

为将来的网络扩展预留一定的地址空间;在每个骨干网络中，相同的业务和功能尽量

分配连续的IP地址空间，有利于路由聚合以及安全控制。

IP地址的分配必须采用VLSM技术，保证IP地址的利用率;采用CIDR技术，可

减小路由器路由表的大小,加快路由器路由的收敛速度，也可以减小网络中广播的路

由信息的大小。

4.5.2本期工程地址规划

目前,各个学校地址规划相对较乱没有经过统一规划，若继续采用已有地址规划

难度较大，建议重新整体规划地址段作为规划地址段。

全市做到统一出口，内部采用私有地址段。

所有网络设备本身使用的IP地址（loopback地址、链路地址应该尽量连续，便

于标识和管理。

为了便于管理和审计,全网采用静态地址分配,每个学校分配一个VLAN,并且

配置固定的最小网络地址段，还要注意避免地址重叠，将网络地址冲突控制在本学校

内。

IP地址分配方案建议如下:

JtH3遍明

一.M

io.。,aWB

内z信除£有IFmMKiwe

l»2.148.C-2S5.0/24

1PR申岫怆削,《阳的合法IPWe

二位着堆址

■IB.除汉A%仪&5{•国用版・*eFc

n*W0H.视手为旗•€/"«(IP，%

>u«<£«

nt#3~<5*».&5川

y0.■».mvCD

e概分kHU加勉X”.但出M位出，.

ftljUH.12tt>.H"K・有”电冷中.

1II"》的糟11领0》力々俄,卜依田819按“

HUigydNIL

»>:M典IFLS乂2的抬心叫阳

柢M角

111^200*^1M.&孝为&右r议就.««

2OT2O»给《相心也&.

MK为21025H.滨<)■"w：,lftPEi7

段M.0.e.mn-QI这・冰F雄&央可电0加的2»lU«.

mn.W

HIKM^l?2S4t

z寰的in4m睛中.rt微―xw电电，

HTUMVH，

xxx：标识MPLS网络的核心和汇聚设备,可用

范围为1~254；

Loopback接口地址仅用于保证网络设备正常建

立和维护BGP邻居关系，所以只有P、PE设备需要

回环地址配置，CE等设备不做配置：

98.0.255.xxx/32

LOOPBACKxxx为1~2时，表示为核心P设备，保留3~9给

未来可能增加的核心设备：

xxx为10~25时，表示为汇聚PE设备，保留

26~254给未来可能增加的汇聚设备或某些有需要配

皆I.nnnhack地址的CE的落！

4.6VLAN设计

VLAN技术可以将交换机划分成多个逻辑组（VLAN,每个VLAN具有单独的

MAC/ARP地址表，某一个VLAN内的用户是相互可访问的,但一个VLAN的数据

包在二层交换机上不会发送到另一个VLAN,这样，其他VLAN的用户的网络上收

不到任何该VLAN的数据包，确保了该VLAN的信息不会被其他VLAN的人所窃

听，从而实现了信息的保密。

本次市教体局在接入交换机划分二层VLAN实现不同学校隔离,在核心交换机

上划分三层VLAN实现不同VLAN之间互通和跨楼层VLAN同一学校同一

VLAN互通，即把分布在不同楼层的信息点划分到同一子网中,本次建议采用建议

采用基于端口或协议的划分VLAN的方法。

基于端口的划分思路如下:这种划分VLAN的方法是根据以太网交换机的交换

端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永

久虚电路端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交

换机。

对于不同部门需要互访时,可通过核心交换机转发，并配合基于MAC地址的端

口过滤。对某站点的访问路径上最靠近该站点的交换机相应端口上,设定可通过的

MAC地址集，这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵

的可能。

基于协议划分VLAN的思路如下:VLAN按网络层协议来划分,可分为IP、

IPX、DECnetsAppleTalksBanyan等VLAN网络。这种按网络层协议来组成

的VLAN，可使广播域跨越多个VLAN交换机。而且,用户可以在网络内部自由移

动，但其VLAN成员身份仍然保留不变。

这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN,而

且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,这种方法不需要

附加的帧标签来识别VLAN,这样可以减少网络的通信量。

市教体局每个学校采用一个VLANID,考虑到各学校内部部门划分，以及某些需

要

访问共同资源的部门，例如财务等，预留几个VLANID。外网还有智能化系统

（广播、门禁、监控、报警等需要VLAN。各部门数据通过接入交换机打VLAN

tag，二层到汇聚交换机终结，通过三层MPLSVPN转发;智能化系统数据从接入、到

汇聚、到核心整网二层转发。

初步规划如下:

部门VLANID

部门一

部门二

部门二

蕊“四

部门五

・・・・・・

财务3001

IT3002

其他预留3003^3006

广播1001

n禁1002

陈控4003

报警1001

adA&&0

4.7QOS规划

市教体局是一个以IP为传输平台的网络,在这个网络上，将承载市所有学校多种

业务、多种应用，这些业务对可靠性、时延、时延抖动等服务质量有不同需求。为

了保证关键业务的应用,需要在网络中实施QoS技术以保证关键业务在网络上传

输的带宽和时延。QoS策略业务划分入下表：

部门VLANID

部门一

部门二

生拥塞时仍然尽量保证其流量

考务系统6

学籍系统5

0A业务5

视频系统4对一定范闱内的流量进行绝对保

AF普通保证护，在网络拥塞时，超出额定范围的

VPN业务1,2,3,4流量将被丢弃

一般网络应用0BE无保证当网络拥塞时将被丢弃

市教体局中将主要实现对不同数据流的分类和标记,其他QoS技术将主要应用

于广域网，采用如下方式：

□对于普通业务不限制接入的流量，对于业务也不进行保证，采用尽力转发策

略。对于高优先级业务接入限制流量（限制为2M或着4M之类,这个流量不宜过

高，对于高优先级业务确保转发。

□在各功能区的接入层,可以根据不同Input端口、MAC地址、源/目的IP地

址、IP协议或应用端口号，对不同应用数据流进行分类,并采用DSCP对数据包进

行标记。

□在连接广域网的路由器上设置相应的业务队列（如:EF、AF4、AF3以及

AF2队列，采用CBQ（CBWFQ、WRED等技术，控制打了不同优先级标记的数据流

能占用的网络带宽及其被丢弃的次序。

口采用CBQ（CBWFQ+LLQ的方式，根据已经定义的DSCP标记，对不同的数据

流分配不同的带宽。

□采用TailDropping或WRED机制，实现网络拥塞时的数据包丢弃。QoS配置

策略示意图如下图：

业崭征出入宿保在摧口卜配置

M5QMMifetr1024曲“保：F1024

出・上去俘

第5章计算存储解决方案

5.1计算存储平台架构设计

传统的数据中心计算资源表现为一台台独立的物理服务器,基于传统物理服务

器的部署方式会导致计算资源利用率严重不足,增加了运营与运维的成本。引入云

计算的的架构以后,数据中心的计算资源被统一管理和分配，以资源池的形式展现，

打破了传统的IT架构中各物理设备间的隔离，提升了计算资源的利用率，简化了管

理和运维手段，降低了运营成本。

数据中心需要支持根据业务应用的不同特点（大计算量应用系统、高I/O访问

应用系统、高并发访问应用系统以及对资源要求一般的应用系统采用合理的物理

服务器（2路、4路X86服务器或虚拟机,能根据业务应用的特点对服务器进行配置

满足应用对计算的需要（CPU、内存、网络I/O、存储I/O。云计算平台需要和IT

管理平台联动实现对虚拟计算资源的自动部署和分配。

根据数据中心解决方案的总体架构以及网络架构设计中对功能区的划分原贝1

将计算平台总体架构划分为三个层面,分别对应业务层、计算平台层和存储平台

层。

业务层中，功能区域的划分一般都是根据安全和管理需求进行划分,各个单位

可能有所不同，数据中心中一般有DMZ区、运行管理区、业务生产区、0A区、

开发测试区等功能区域,实际划分可以根据业务情况进行调整，总的原则是在满足

安全的前提下尽量统一管理。

计算平台层主要考虑三层架构部署,即表现层（WEB服务器群、应用层（应用

服务器群和数据层（数据库服务器群；同时考虑物理和虚拟部署,即针对业务应用的

不同特点,在表现层和应用层可以同时部署物理服务器和虚拟机服务器，在数据层一

般高IO的数据库需要部署物理服务器，普通的数据库也可以部署在物理服务器

中。

存储平台层主要考虑SAN、NAS和备份三种架构部署，其中SAN架构的存储

还可以通过存储虚拟化网关进行虚拟化，形成不同品牌、不同型号的存储设备的虚

拟化成统一的存储资源池对外提供服务。本项目的架构中SAN存储采用FCSAN

进行连接，备份系统可以分为LANBASE和LANFREE两种,LANBASE采用IP网

络连接服务器,LANFREE采用FC网络连接服务器和存储。

计算存储平台架构如下图所示。

5.2虚拟化平台解决方案

5.2.1虚拟化平台结构

本项目采用虚拟化平台对计算、存储、网络进行虚拟化管理，虚拟化平台操作

系统由虚拟基础设施套件和基础服务套件组成。

计其第两显m

平台

层亨亨丽

1!5数据5库IK务看i—b：!i

虚拟化平台主要有虚拟化基础引擎、虚拟化管理两大部件组成。一套虚拟化

平台部署一对虚拟化管理主备节点,虚拟化管理通过自动发现功能发现其管辖下的

物理设备资源（包括机框、服务器、刀片、存储设备、交互机以及他们的组网关系;

提供虚拟资源与物理资源管理功能（统一拓扑、统一告警、统一监控、容量管理、

用量计费、性能报表、关联分析，生命周期，并且对外提供统一的管理Portal。

虚拟化管理还包括统一硬件管理UHM组件,UHM提供对硬件自动发现,硬件

自动配置、统一监控（带内和带外、硬件统一告警、硬件拓扑、异构硬件支持。虚

拟化管理可以管理多个物理集群，每个物理集群由一对主备VRM管理。

虚拟化引擎提供基础的虚拟化功能，提供服务器、存储、网络的虚拟化功能，并

向上对虚拟化管理提供接口。每套虚拟化引擎主要由一对主备管理节点VRM组

成。一对VRM管理一个物理集群。一个物理集群中可以把多台服务器划分成一

个逻辑集群（又叫HA资源池,一个计算资源池有相同的调度策略，为了使用热迁移

相关的调度策略要求资源池主机CPU同制。计算资源池不包括网络资源与存储资

源。一个物理集群中可以包含多个逻辑集群。

虚拟化平台支持服务器、存储的平滑扩容。服务器、存储设备均可根据业务根

据需求，在线平滑增加服务器、服务器虚拟集群，在线扩展磁盘、磁盘框、控制框。

5.2.2虚拟化管理平台

虚拟化管理平台聚焦于数据中心虚拟化资源管理、自动化运维发放、并对企

业IT管理提供开放的管理接口。虚拟化管理系统将整个数据中心云化,并对系统

中用户可见的资源抽取出来纳入统一的资源池管理，为用户提供一体化的资源管理,

自动资源发放。为用户提供了方便的获取资源的途径。用户可以通过在服务目录

自动化的获取资源并在资源上部署用户需要的应用。虚拟化管理平台系统架构如

下图：

上图是虚拟化管理虚拟化管理平台的功能模块。“虚拟化管理”可以采用的虚

拟化管理软件虚拟化引擎，也可以采用其他厂家的，如VMware的VCenter+Vsphere

等。

虚拟化管理软件从软件层面拉通统一各资源管理。虚拟化管理虚拟化管理平

台负责全系统硬件和软件资源的操作维护管理，用户业务的自动化运维。主要模块

包括：

5.2.2.1统一资源管理

虚拟化管理虚拟化管理平台，通过对各种物理资源、虚拟化资源数据统一建模,

将资源以用户可见的资源池形式提供给上层应用。

统一资源管理可以屏蔽不同硬件和虚拟化的差异，资源的更换升级对用户零感

知。实现对所有硬件资源进行统一管理，包括设备自动发现、自动配置和故障监控

等，实现资源快速发放，缩短业务上线时间。

虚拟化管理平台支持对资源分集群管理。集群的创建、删除、扩容、减容，对

集群进行性能监控，配置集群的资源调度策略，调度策略可以设置为手动和自动，实现

虚拟机根据系统负荷在不同服务器上迁移。

虚拟化管理平台支持对虚拟机生命周期管理:业务管理员通过应用对虚拟机进

行创建、销毁操作,对虚拟机的日常维护包括:启动、重启、迁移、关闭、修复、快

照、虚拟机资源调整和监控；

虚拟化管理平台支持虚拟化网络管理:对子网、WLAN

、端口组、分布式交换机进行

管理；

虚拟化管理平台支持虚拟化存储管理:可以管理IPSAN、FusionstoragesFC

SAN、NAS的存储资源，向存储资源池中增加、删除数据存储，对已经存在的数据

存储可以进行扩容。

5.2.2.2自动运维

自动化运维是虚拟化管理平台提供的主要功能。管理员可以实现物理设备的

自动发现，虚拟机、操作系统和应用软件自动化部署,提高管理平台的部署效率。管

理员通过配置不同的调度策略，同时实现智能调度管理，提升设备利用率和弹性伸

缩。

运维管理系统集中维护系统的调度策略，保证资源的合理分配,实现资源最大化

利用或实现节能目标等。根据应用场景，可以分为三种策略类型:组内自动伸缩策

略、组间资源回收策略和时间计划策略。

组内自动伸缩策略

针对单独的应用而言，应用根据应用的当前负载动态的调整应用实际使用的资

源,当一个应用资源负载较高时，自动启动虚拟机或添加虚拟机并安装应用软件;当

应用的资源负载很低时启动关闭或删除虚拟机，释放相应的资源。

组间资源回收策略

当系统资源不足的情况下，系统可以根据组间设置的资源复用策略，优先使优先

级高的应用使用资源，使优先级低的应用释放资源,以供