智慧校园解决方案

.面向业务的新一代安全可控校园网穆棱一中数字化校园规划方案杭州华三通信技术有限公司哈尔滨办事处 .目 录第一章 需求分析51.1 建设背景51.2 项目总体需求51.3 建设目标7第二章 网络平台总体设计82.1 厂商介绍82.2 网络平台整体设计思路92.3 规划原则92.4 架构概要规划102.5 网络方案总体设计112.5.1 数字化校园应用系统分析112.5.2 整体方案设计思想112.6 核心层网络结构设计222.6.1 规划设计222.7 园区网络规划232.7.1 高可用园区规划23第三章 抵御对多业务运营的威胁243.1 全局安全防御体系规划243.2 校园外网出口防御253.3 数据中心的安全防御27第四章 数据中心规划284.1 核心层设计284.2 接入层设计304.3 模块化多业务部署30第五章 网络出口部署解决方案335.1 网络出口部署方案335.2 校园网应用控制网关方案355.3 核心/出口用户行为管控365.4 基于时间段的用户带宽分配方案37第六章 无线校园解决方案386.1 技术需求386.2 不同场景覆盖方案396.2.1.宿舍区部署AP方案406.2.2.小型办公室面板AP入室安装部署416.2.3.礼堂等高密接入区AP部署方案42第七章 云校园建设方案437.1 穆棱县一中云计算数据中心建设需求437.2 虚拟化平台设计方案447.2.1.平台总体设计447.2.2.资源池分类设计457.2.3.主机池设计477.2.4.HA集群设计487.2.5.主机设计517.2.6.虚拟机生命周期管理517.2.7.DRS动态资源调度557.2.8.虚拟机资源限额577.3 计算资源基础架构方案597.3.1.计算资源建设需求597.3.2.基于统一基础架构的计算方案设计思路627.3.3.基于统一基础架构的刀片计算方案637.3.4.服务器整合647.3.5.网络资源整合667.3.6.融合虚拟化管理平台707.4 智慧云平台实现效果707.5 云学堂解决方案737.5.1.产品背景737.5.2.建设目标737.5.3.设计思路747.5.4.方案优势747.5.5.管理端介绍757.5.6.教师端介绍767.5.7.学生端介绍777.5.8.多媒体教学软件介绍787.5.9.方案详述787.5.10.云主机设计797.5.11.网络拓扑设计797.5.12.桌面传输协议设计807.5.13.安全设计807.5.14.云终端设计817.5.15.模板管理设计817.5.16.云学堂方案特点和优势81第八章 H3C售后保障体系828.1 两小时厂家上门服务828.2 服务组织结构838.3 服务及时性保障848.4 服务有效性保障85第九章 H3C案例集86.第一章 需求分析1.1 建设背景穆棱市第一中学是一所全日制公办独立普通高中。学校位于穆棱市八面通镇北部靠河委。始建于1949年，原名松江省立第十初级中学。1956年更名为穆棱县中学，1984年由完全中学发展为市级重点独立高中。1995年设立县级市后定名为:穆棱市第一中学。学校占地面积3.7万平方米，校园建筑1.96万平方米，包括南北教学楼、综合实验楼、学生公寓、体育馆、食堂等建筑。学校在职职工150人，其中特级教师1名、高级教师35名、中级教师44人。在校学生2000人，36个教学班级。作为穆棱县重点中学，学校新校区的建设要紧跟“十三五”教育信息化建设的脚步，随着智慧校园、MOOC及电子书包的普及数字化校园基础承载网的建设要从稳定性、可靠性及前瞻性考虑。校园网作为基础网络，在学校信息化中起到关键的承载作用。当前，以数字化校园为特征的教育信息化发展更为迅速，各种信息化应用正改变着老师和学生们的工作、学习、生活以及思维方式，引发了教育行业一场新的革命。学校基本的教学教务管理、科研管理、后勤管理、数字图书馆、视频服务系统、办公自动化系统和校园社区服务等应用系统的建设有了初步的规模，“一卡通”、“平安校园” “校园数据中心”等业务在很多学校也开始应用。在校师生的认识水平和技术水平上了一个台阶，对于信息化工具的使用已变成为一种自觉和自愿的行为，为数字化校园的进一步发展打下坚实的基础。穆棱县一中校园网不仅仅是建设一个信息交互平台的，而且建成后要成为承载教学、科研、管理、娱乐等全方位应用的综合性安全网络平台。数字化校园的价值在于服务教学与科研，穆棱县一中信息化发展的现状和趋势，明显趋于在网络平台上承载、集成多种业务。而且业界信息化技术的不断发展，这就要求穆棱县一中数字化校园平台应具备弹性、适应性，以动态适应多业务的不断发展，能将这些业务有机的整合起来，并且充分保障各种业务的服务质量。同时这种多业务的整合应该至少面向未来五年内业务发展的适应能力。1.2 项目总体需求一、校园网整网安全、可靠、高性能稳定运行需求1）安全性：应重点考虑传输数据的安全性、同时保证内部网络安全，阻断各种网络攻击、保护内网服务资源及终端用户安全。2）可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持各业务系统的正常运行。3）高性能：骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。同时提供先进的QOS机制保证各项业务的传输带宽。4）多业务：随着校园网的信息化的发展，越来越多的教学方式依托于网络给学生提供多种的特色教学模式。因此未来的校园网络要承载多业务的平台，及要满足日常访问校园网络的多媒体资源同时也要实现访问多业务的互联网络，所以新建网络要具有多业务处理的能力。多媒体教学为了更好的为学生提供全方面的教学资料，越来越的多学校在自己的内部局域网上面为学生提供多种教学资料，如：多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。VOD 点播业务实现，通过建立VOD视频服务器平台，利用交换机提供的组播功能，为用户提供优质的视频效果，同时节省用户带宽。二、无线校园网随着科技的发展，智能终端的大量普及，越来越多的学生以及老师已经拥有大量的智能终端设备如：IPAD、智能手机、笔记本电脑等等，而目前高速发展的电子书包及移动APP也大大改变了我们的生活，所以无线网络建设也随之成为了每一个学校关注的热点，为了满足校园网内办公上网终端的多样性，同时也为了顺应学校信息网络的发展需要。建设覆盖全面、信号优良，高速率的无线网络是目前穆棱县一中网络建设的目标。三、数据中心需求1）100G平台：遵循摩尔定律的增长，使得数据中心的业务处理能力持续增强。2）数据中心流量突发：大缓存，不丢包。3）统一交换架构：一个交换平台上有效支撑业务的前端访问、服务器高速互联、存储访问。四、网络安全需求1）故障排除：要求做到一旦网络出现异常，如无法访问网络，网络访问异常等，要能提供及时、有效的服务，在短的时间内恢复网络应用。2）即时查杀病毒、蠕虫：要求做到网络中出现病毒、蠕虫，通过及时有效的技术支持，在最短的时间内查处感染病毒的主机并即时查杀病毒，恢复网络应用。3）应用程序限制及其带宽管理：可以对各种P2P应用（迅雷、BitTorrent、电骡、电驴）、即时通信软件（QQ、MSN）、网络游戏、炒股、网络视频根据权限、时间、区域进行各种策略设定和管理。五、云校园建设传统数据中心IT资源部署方式目前仍然是按照每个应用进行物理的划分，这种部署方式目前存在以下问题：资源利用率低由于应用与资源绑定，每个应用都需要按照其峰值业务量进行资源的配置，这导致在大部分时间许多资源都处于闲置状态，不仅造成服务器的资源利用率较低，而且对资源的共享、数据的共享造成了天然的障碍。运维成本高目前学校的很多应用是按照传统的“一机一应用”的模式部署的，随着学校新应用系统的增加，服务器、网络和存储的设备数量也会出现迅速的膨胀，造成占地空间、电力供应、散热制冷和维护成本的急剧上升。与此同时，机房内服务器的利用率普遍偏低，系统资源基本上处于1020%的水平乃至更低，造成了极大的浪费。浪费严重、新业务无法上线是目前存在主要问题。业务部署缓慢在学校将IT资源的采购和管理都集中规划到网络中心后， 涉及到大量新业务的开展和上线。学校各个部门如果要部署新的业务，那么在提交变更请求与进行运营变更之间存在较大延迟，每一次的业务部署都要经历硬件选型、采购、上架安装、操作系统和应用程序安装以及网络配置等操作，使得业务的部署极为缓慢。管理策略分散当前的IT资源运维管理缺乏统计的集中化IT构建策略，无法对信息化校园网数据中心的基础设施进行监控、管理、报告和远程访问，IT管理策略分散。1.3 建设目标我们在进行系统设计中应遵循以下原则：1、可行性和适应性：系统要保证技术上的可行性和良好的性价比，并满足今后技术发展和学校发展的需要，如支持万兆、IPv6，提供无线接入等。2、实用性和经济性：系统建设应始终贯彻面向应用、注重实效的方针，坚持实用、经济的原则。3、先进性和成熟性：系统设计既要采用先进的设计和理念，又要注意结构、设备、工具的相对成熟。采用成熟的主流技术，不但能反映当今的先进水平，而且具有发展潜力，并能顺利地过度到下一代技术。4、开放性和标准性：为满足系统所选用的技术和设备的协同运行能力、系统投资的长期效应及系统功能不断扩展的需求，要求系统具有开放性和标准性。5、可靠性和稳定性：在考虑技术先进和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性。6、安全性和保密性：在系统的设计中，既要考虑信息资源的充分共享，还要考虑信息的保护和隔离。第二章 网络平台总体设计第2章 2.1 厂商介绍杭州华三通信技术有限公司（简称H3C）， 致力于IP技术与产品的研究、开发、生产、销售及服务。2009年H3C销售收入净额11亿美金（US GAAP），并在国内31个省市和海外多个国家或地区设有分支机构。目前公司有员工4800人，其中研发人员占55。H3C每年将销售额的15以上用于研发投入，在中国的北京、杭州和深圳设有研发机构，在北京和杭州设有可靠性试验室以及产品鉴定测试中心。截止2009年底，H3C已申请专利超过3000件，其中发明专利占85，在中国通信企业中位居前三。 H3C已参与中国通信标准化协会及IETF, SMTA, SPC,PCI-SIG, Wi-Fi, USB, SNIA, VCCI等国际标准组织。H3C自2006年提出IToIP战略以来，始终聚焦IP领域持续创新进步，逐步形成覆盖IP网络、IP安全、IP存储及IP多媒体的全面的产品线以及丰富的解决方案。目前H3C在中国的交换机和企业级路由器（高中低端）市场份额排名第一，运营商WLAN设备市场份额排名第一，EAD终端准入控制解决方案累计部署超过100万终端，规模最大的应用系统超过12万终端；IP监控技术全球领先，成为中国平安城市第一品牌。2010年，云计算/下一代数据中心、物联网、多媒体通信成为热点；H3C凭借技术创新将IToIP推向了更深一步的融合阶段，形成了以下一代数据中心、泛联网和多媒体通信为核心的三大解决方案，并得到广泛应用，占领了IT发展潮流的制高点。根植中国，H3C始终以“为客户创造价值”作为公司发展的源动力，不断细分客户需求，面向行业、商业（中小企业）、运营商三大客户类型分别提供量身定制的整体解决方案。服务于70%以上的中央部委、全部“211”高校和“985”高校、四大银行、全球最繁忙的机场之一首都机场、自然环境最为恶劣的青藏铁路、全球最大的餐饮集团百胜餐饮、亚洲最大的网上交易平台淘宝网及电信、移动、联通、广电等运营商市场。在全球市场， H3C的产品和解决方案覆盖近百个国家和地区，赢得包括瑞士电信、西班牙电信、英国沃达丰、巴西电信、法国国铁、法国标致雪铁龙集团、俄罗斯联邦储蓄银行、澳大利亚昆士兰政府、美国麻省理工学院、日本神户大学、韩国三星电子在内的众多国际客户。2.2 网络平台整体设计思路基于IP的网络平台：在局域网建设中，采用基于IP协议的技术方案，保证了系统灵活性和未来系统的扩展性；多业务平台：网络平台除提供计费系统，数字传输能力之外，可以支持语音、视频等多媒体业务传输能力；QoS服务保证：多业务网络平台对于网络的QoS保证有很高的要求，因此在网络设计上应采用先进的QoS策略和技术保证全网的QoS服务质量；安全策略：采用安全技术手段保证网络的安全可靠。数据中心承载：考虑今后学校业务发展，建立高效、安全、集中、容灾的数据中心网路平台，满足日后数据资源增加对网络平台性能的需求。统一的网络管理：利用智能网络管理中心，融合网络、安全、无线、多媒体等业务的统一管理和运维，实现资源、业务、人的统一化、精简化管理，适应未来网络发展需求。2.3 规划原则穆棱县一中校园网规划要实现内部全方位的数据共享，提供高性能的、全面的QoS保障服务，使网络安全可靠，不但要实现教育管理、多媒体教学自动化，而且还要通过Internet实现远程教学，提供可增值可管理的业务，同时必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。穆棱县一中网络规划遵循以下基本原则：1、一网共用，资源共享，实现多业务统一部署穆棱县一中多业务平台为校园信息化的各类数字化应用提供统一的网络传输平台。考虑到校内用户数量和业务种类发展的不确定性，要求核心交换机与汇聚交换机需具有强大的扩展功能，整个网络要完整统一、组网灵活，并成为易扩充的弹性网络平台，能够随着需求变化，充分留有扩容余地。2、统规划，分段实施穆棱县一中校内多业务平台园区内统一规划、统一网络体系结构、统一通信协议标准。对于保障多业务支撑的整个支撑平台，规划为多个功能模块，可根据需要分期分段实施。3、先进适用，方便扩展穆棱县一中业务平台规划采用符合网络技术发展方向和先进、成熟、适用的技术与设备，为多业务的发展留有足够的可扩展空间，以满足不断增加的新的应用需求。4、可增值、可运营穆棱县一中业务平台的规划、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在规划时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。5、开放与统一标准技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。6、建用结合，注重实效穆棱县一中业务平台的规划以建设促应用，通过计算机网络的建设推动各种网络应用工作的开展，真正发挥平台的作用，用信息化推动穆棱县一中数字信息现代化。2.4 架构概要规划穆棱县一中多业务支撑平台逻辑上以业务处理为核心，规划为三个平面：业务流平面、安全防御层面和管控层面。业务流平面为多业务支撑的承载基础。业务接口为经过分类的不同类型应用，通过基础通讯平台，按照不同层次、不同技术的服务保障措施，实现用户与数据中心之间、用户与用户之间的应用交互。 对于基础平台，经过建设后，能够对业务的灵活性、可控性、可靠性等起到决定性的作用。包括通过万兆骨干平台为园区网的数据提供高速数据交换，不存在平台单点故障保障网络可用性，迁移IPv6技术实现业务的灵活性，部署MPLS VPN实现业务可控性。通过在基础平台中实施WLAN功能，提供更丰富的接入手段与移动业务；实施IP视讯技术拓展，提供视频会议及远程示教的服务。实施IP监控技术拓展，提供园区治安监控服务。IP视频技术和IP监控技术的结合，可提供事件应急指挥服务。 业务通过基础平台，可实施两种端到端服务质量保障措施，其一为从园区内部接入通过DSCP技术进行业务区分处理，将COS Mapping到园区骨干MPLS网的EXP值；其二为对关键业务在园区骨干上部署MPLS TE实现资源预留。 而数据中心作为多业务部署的心脏，通过分区、分层设计，规划其可靠性、可管理性与可扩展性，实现面向业务的集中存储、数据保护和多系统虚拟化，保障多业务系统与用户之间的交互。安全防御平面规划为层次化的渗透防御部署。面向外网出口层、园区核心层、园区汇聚层、数据中心、用户行为控制等五个层面安全规划设计。针对业务流的整个过程实现安全防护。管控平面针对业务流各个环节的相应环节，包括设备资源、用户资源、业务流量、业务隔离、安全信息等进行整合管理，有效调整业务流的可用性和平滑性。通过多个环节之间的关联管理，实现降低多业务支撑平台运维的整体拥有成本。2.5 网络方案总体设计2.5.1 数字化校园应用系统分析目前数字化学校在网络上的应用子系统有：l 网络公共服务系统（WEB、邮件、FTP）l 教务处教务管理系统l 学生学籍管理系统l 校园网OA系统l 多媒体教学系统l 校园网普通视频点播系统l 校园一卡通系统由于数字化校园的趋势所推，网络基础建设是不可疏忽的重大工程，为以后学校的业务增长提供保障。2.5.2 整体方案设计思想通过针对穆棱县一中详细的网络平台需求分析，结合我司多年承建校园网经验，建议学院根据自身实际情况，分阶段、分步骤、分层次的进行网络投入建设。穆棱县一中网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。组网图如下所示：穆棱县一中网络规划拓扑穆棱县一中校园网改造采用H3C高性能高可靠平台搭建，核心交换机采用第五代架构技术CLOS架构交换机，CLOS架构即多级交换架构，采用主控板与交换网板相互独立设计，主控板负责表项控制，而交换网板负责数据转发，数据到达主控板会根据表项规则自动切片，动态分布到各个交换网板上，实现无阻塞转发；而未来随着信息点不断的增加，我们只需要对交换网板进行升级，即可对整个交换机的性能升级，不用更换设备整体，保障了用户投资。我们在整个校园网核心处部署两台S10508-V通过IRF2虚拟化技术将两台物理设备虚拟成一台逻辑设备，提高了整网的可靠性，相比于传统的VRRP的热备方式，虚拟化技术将两台核心交换机更好的利用。我们在校园网核心交换机上部署了IPS业务模块，因为校园网所有流量必须经过校园网核心交换机，如果部署在出口网关，内网数据则需要引流到出口网关，极大的占用了出口网关的CPU使用率，部署在核心交换机上既可以对内网数据包进行检测，又可以对外网数据包进行检测。IPS业务模块可以对校园内网和外网的所有数据包进行拆包解析，通过IPS业务板卡自带的特征库匹配，如果和特征库当中的病毒、木马等相似报文，IPS业务板卡会提出告警，并提示是否阻断该数据包，保证了整网的安全性。汇聚交换机采用万兆双上联与核心交换机互联，实现万兆校园网，接入全部采用全千兆交换机，实现校园网千兆到桌面。校园网出口是最重要的部分，在出口处部署一台多业务安全网关，通过部署高性能防火墙插卡作为整个校园出口的NAT网关，并能够为整个校园网提供2-4层安全防护，我们还部署了负载均衡业务模块，作为链路负载均衡，当校园网出口部署了多条链路，我们可以通过链路负载均衡实现对链路带宽使用的合理化分配。在校园网搭建云计算平台，解决学校服务器，存储等硬件设备资源利用率低的问题，通过HA或DRS（动态业务迁移）等业务部署，提高整个校园网应用系统的健壮性及可靠性。一、 网络基础平台建设H3C设计全新的基于纯IP技术的网络平台来满足学院校园网的需求变化。面向网络资源的有效、高效利用，从网络架构方面提供优化方案，使得校园核心网、接入网具有更高的可靠性和可控性，同时使得网络结构与布局在结合实际业务分布的前提下更加合理。数字校园业务的发展必然离不开两个方向，其一是IPv6，其二是移动性。这既是IP通信技术发展的方向，也是数字校园应用的发展方向。满足这个发展，首要前提就是让校园网络平台能够具备相关技术支撑能力，即构建IPv6校园网与无线校园网。不论是对校园网的优化还是对校园网业务的横向拓展，都是基于校园网是安全有序的。需要从纵向三个维度对所有影响校园安全的隐患、非法行为进行渗透防御与控制。1. 网络分层设计通常网络整体设计中，采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置。典型组网结构可以分成三层：接入层、汇聚层、核心层。1) 接入层：提供网络的第一级接入功能，完成简单的二、三层交换，安全、Qos和POE功能都位于这一层。当前的局域网接入层可供选择的技术主要有100M和1000M以太网技术等。在局域网接入层，应能够最大限度满足IP业务的接入和承载，有利于节省网络投资和提高资源利用率。2) 汇聚层：汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关；汇聚层设备任务就是作为局部区域的逻辑中心，连接接入层交换机和核心层。其重要功能是负责汇聚分散的接入点，进行数据交换，提供流量制和用户管理（用户识别、授权、认证、计费）功能。 3) 核心层：网络的骨干，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。网络核心层高速运送流量，其设备的主要工作是交换数据包。核心层设备应该充分的支持并以峰值性能运行。核心层业务收敛程度高，核心设备节点相对较少，可通过设备实现大颗粒业务传送。根据穆棱县一中网络建设规模需求及校园分布情况，为了更好的整合网络资源平台，减少网络建设的投资成本，同时考虑到学院办公业务分布的现状，建议学院网络平台采用高速、无阻塞交换三层扁平组网模型。办公楼三层简化扁平网络结构实现核心、汇聚、接入三层的网络架构，使得网络架构更加合理，更加具有健壮性和可扩充性，同时易于配置和管理。所有设备都为机架式，可用多种不同端口类型的单板组合，使用灵活、可扩充性强，节省网络投资。整网带宽较高、稳定可靠、可满足多种业务的无阻塞交换。核心和汇聚交换机采用高性能多业务三层路由交换机，接入层采用智能安全性较高交换机。2. 骨干链路及接入链路设计通过对网络架构的分层，可以充分发挥网络性能，满足业务需求。网络层次采用三层扁平化设计，建议核心交换机至汇聚层交换机采用万兆光纤线路作为校园网骨干链路，接入交换机采用千兆线路作为局域网络传输的主干路。而对于接入层交换机至终端PC，可根据选用的接入交换机类型来确定链路的选择。3. 可靠性和自愈能力设计 链路冗余：在主干连接上具备可靠的线路冗余方式。采用负载均衡的冗余方式，即通常情况下两条连接均提供数据传输，并互为备份。主线路可实时、自动的切换到备份线路,而不影响业务应用。这种高速的网络自愈特性应可以保证不会引起IP路由的重新计算，不会引起业务的瞬间质量恶化，更不会引起业务的中断。 模块冗余：主干设备的所有模块和环境部件具备1+1或1：N热备份的功能，切换时间小于500毫秒。所有模块具备热插拔的功能。系统具备99.999%以上的可用性。 设备冗余：提供由两台或两台以上设备组成一个虚拟设备的能力。当其中一个设备因故障停止工作时，另一台设备自动接替其工作，并且不引起其他节点的路由表重新计算，从而提高网络的稳定性。以保证大部分IP应用不会出现超时错误。本方案两台核心交换机采用H3C独有IRF2智能堆叠技术，实现核心设备虚拟化，增强了核心交换机处理能力，方便设备管理，增强链路的利用率。 路由冗余：网络的结构设计应提供足够的路由冗余功能，在上述冗余特性仍不能解决问题时，数据流应能寻找其他路径到达目的地址。4. 拥塞控制与服务质量保障设计 拥塞控制和服务质量保障(QoS)是政务信息网关注的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样，网络的数据流量突发是不可避免的，因此，网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。 业务分类：网络设备应支持68种业务分类(COS)。当用户终端不提供业务分类信息时，网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类。 接入速率控制：接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。 队列机制：具有先进的队列机制进行拥塞控制，对不同等级的业务进行不同的处理，包括时延的不同和丢包率的不同。 先期拥塞控制：当网络出现真正的拥塞时，瞬间大量的丢包会引起大量TCP数据同时重发，加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术，在网路出现拥塞前就自动采取适当的措施，进行先期拥塞控制，避免瞬间大量的丢包现象。 资源预留：对非常重要的特殊应用，应可以采用保留带宽资源的方式保证其QoS。5. 网络的扩展能力设计网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展，以及网络规模的扩展能力。 交换容量扩展:交换容量具备在现有基础上继续扩充48倍容量的能力，以适应IP类业务急速膨胀的现实。 端口密度扩展:设备的端口密度应能满足网络扩容时设备间互联的需要。主干带宽扩展、主干带宽具备高带宽扩展能力，以适应IP类业务急速膨胀的现实。 网络规模扩展:网络体系、路由协议的规划和设备的CPU/NP路由处理能力，在网络节点数目上应能满足35年的扩展要求。6. 网络管理与安全体系设计 支持整个网络系统各种网络设备的统一网络管理。 支持故障管理、记帐管理、配置管理、性能管理和安全管理五大功能。 支持系统级的管理，包括系统分析、系统规划等；支持基于策略的管理，对策略的修改能够立即反应到所有相关设备中。 网络设备支持多级管理权限，支持RADIUS等认证机制。 支持安全监控和控制机制，当发现存在安全漏洞和遭到攻击时，应及时通知网络管理人员，并应自动采取适当的措施予以保护。 支持安全防御设备、网络基础设备以及网管系统的安全联动功能，以便及时对网络威胁的实时处理。二、 数据中心网络平台建设随着高校信息化建设的深入，无论从信息化总体规划的角度、信息系统建设的角度，还是从信息系统运行维护的角度，越来越多的高校认知到数据集中、IT基础设施集中、运行服务集中的必要性，数据中心是数字校园的核心的理念也得到大部分高校的认同，各高校普遍建立的校园级别的数据中心。随着校园数据中心建设的深化进行，校园应用系统数据集中密度越来越高，服务器存储数量不断增长，网络架构不断扩展，空间布局、系统布线、电力能耗压力不断增加。作为数据中心业务承载的大动脉，基础网络架构层面则直接面临着持续的严格挑战。网络基础技术的快速发展为数据中心变革提供了强大支撑动力，基础网络演进加快。随着以太网技术的进一步发展，新的技术标准不断推动基础平台架构的变化与融合。万兆交换系统的时延已经降到微妙级别，而且当前已经有技术使得以太网芯片在cut-through方式下达到200300纳秒级别，逼近Infiniband的低时延水平。对于计算型应用而言，采用以太网互联的微妙级时延已经能够满足大量的计算需求。近几年高性能计算TOP500排名中超过50%的计算网络互联采用了千兆以太网。随着万兆、40G/100G技术的深入发展和终端万兆接口技术成熟，以太网将成为服务器互联计算承载的主流平台。无丢包以太网技术标准族（802.3Qau、802.1Qbb、802.1Qaz、Data Center Bridging Exchange Protocol）和相关技术即将发布，并在此基础上进一步支持FCoE，使得以太交换网络能够承载FC存储数据流。高校数据中心网络发展趋势是融合的统一交换架构，在一个交换平台上有效支撑业务的前端访问、服务器高速互联、存储访问。对于H3C高校数据中心方案而言，统一架构的网络平台与业内技术发展是同步的，遵循图6所示的几个阶段。H3C统一交换架构发展路线与其他解决方案提供商不同，H3C基于IP-SAN的万兆成熟解决方案的广泛应用，使得H3C高校数据中心统一交换架构早于FCoE实现存储的融合。数据中心是校园IT架构的核心领域，不论是服务器部署、网络架构设计，都做到精细入微。因此，传统上的数据中心网络架构由于多层结构、安全区域、安全等级、策略部署、路由控制、VLAN划分、二层环路、冗余设计等诸多因素，导致网络结构比较复杂，使得数据中心基础网络的运维管理难度较高。使用智能弹性架构(intelligent resilient framework, IRF)虚拟化技术，用户可以将多台设备连接，“横向整合”起来组成一个“联合设备”，并将这些设备看作单一设备进行管理和使用。多个盒式设备整合类似于一台机架式设备，多台框式设备的整合相当于增加了槽位，虚拟化整合后的设备组成了一个逻辑单元，在网络中表现为一个网元节点，管理简单化、配置简单化、可跨设备链路聚合，极大简化网络架构，同时进一步增强冗余可靠性。网络虚拟交换技术为数据中心建设提供了一个新标准，定义了新一代网络架构，使得各种数据中心的基础网络都能够使用这种灵活的架构，能够帮助高校在构建永续和高度可用的状态化网络的同时，优化网络资源的使用。网络虚拟化技术将在数据中心端到端总体设计中发挥重要作用。数据中心简捷统一架构虚拟化端到端虚拟化数据中心网络架构传统的L2/L3网络设计相比，提供了多项显著优势： 1）运营管理简化。数据中心全局网络虚拟化能够提高运营效率，虚拟化的每一层交换机组被逻辑化为单管理点，包括配置文件和单一网关IP地址，无需VRRP。2）整体无环设计。跨设备的链路聚合创建了简单的无环路拓扑结构，不再依靠生成树协议（STP）。虚拟交换组内部经由多个万兆互联，在总体设计方面提供了灵活的部署能力。3）进一步提高可靠性。虚拟化能够优化不间断通信，在一个虚拟交换机成员发生故障时，不再需要进行L2/L3重收敛，能快速实现确定性虚拟交换机的恢复。端到端虚拟化架构优势本方案建议穆棱县一中建立数据中心网络平台，以满足日后学院应用业务不断发展所带来的服务器资源增长及数据存储集中化的需求。高校数据中心系统架构的发展和密集的业务需求，要求校园数据中心交换网络成为高性能、融合业务统一交换的基础平台。H3C数据中心级交换机作为H3C下一代数据中心核心平台，将不断熔炼新的技术与标准，提供持续的可兼容、可扩展能力，满足校园信息化2.0时代数据中心的发展要求。利用数据中心交换平台高性能、高扩展性、融合安全性（部署安全插卡）、统一管理性，并通过与校园网建立万兆链路进行通信，从而可以保证学院今后数据访问业务的速率，同时也可为学院重要的应用数据资源提供L2-7层数数据安全防护。三、 网络安全设计网络攻击来源主要来自网络边界和内部终端用户的网络攻击，具体威胁如下：1) 来自不同安全域的访问控制的风险：网络结构越来越复杂，接入网络的用户也越来越多，必须能够在不同的网络区域之间采取一定的控制措施，有效控制不同的网络区域之间的网络通信，以此来控制网络元素间的互访能力，避免网络滥用，同时实现安全风险的有效的隔离，把安全风险隔离在相对比较独立以及比较小的网络区域。2) 网络攻击行为的检测和防范的风险：基于网络协议的缺陷，尤其是TCP/IP协议的开放特性，带来了非常大的安全风险，常见的IP地址窃取、IP地址假冒，网络端口扫描以及危害非常大的拒绝服务攻击（DOS、DDOS）等，必须能够提供对这些攻击行为有效的检测和防范能力的措施。3) 网络数据传输的机密性和完整性的风险：网络数据在传输的过程中，很可能被通过各种方式窃取，因此保证数据在传输的过程中机密性（保证数据传递的信息不被第三方获得），完整性（保证数据在传递过程中不被人修改）是非常重要的，尤其是在传递的信息的价值不断提高情况下。4) 用户主机遭受网络病毒攻击的风险：网络给病毒的传播提供了很好的路径，网络病毒传播速度之快、危害之大是令人吃惊的，特别是最近开始流行的一些蠕虫病毒，更是防不胜防，环境下必须建设全面的网络防病毒系统，层层设防，逐层把关，堵住病毒传播的各种可能途径。5) 针对用户主机网络攻击的安全风险：目前Internet上有各种完善的网络攻击工具，在局域网的环境下，这种攻击会更加有效，针对的目标会更加明确，据统计，有97的攻击是来自内部的攻击，而且内部攻击成功的概率要远远高于来自于Internet的攻击，造成的后果也严重的多。6) 用户网络访问行为有效控制的风险：首先需要对用户接入网络的能力进行控制，同时需要更细粒度的访问控制，尤其是对Internet资源的访问控制，比如应该能够控制内部用户访问Internet的什么网站。在此基础之上，必须能够进行缜密的行为审计管理。7) 操作系统和网络服务平台的安全风险：通过对各种流行的网络攻击行为的分析，可以发现绝大多数的攻击是利用各种操作系统和一些网络服务平台存在的一些已公开的安全漏洞发起，因此，杜绝各种操作系统和网络服务平台的已公开的安全漏洞，可以在很大程度上防范系统攻击的发生。8) 用户身份认证及资源访问权限的控制：由于网络中的各个应用系统上有很多信息是提供给不同权限用户查阅的，不同级别、不同部门、不同人员能够访问的资源都不一样，因此需要严格区分用户的身份，设置合理的访问权限，保证信息可以在被有效控制下共享。依据对网络主要安全隐患的分析及国家相应的安全规范。穆棱县一中网络安全策略和安全体系包含： 访问控制：通过对特定网段及服务建立的访问控制体系，系统将绝大多数攻击阻止在到达攻击目标之前； 检查安全漏洞：对安全漏洞进行周期性的检查，使得绝大多数攻击即使到达攻击目标也无破坏； 攻击监控：通过对特定网段及服务建立的攻击监控体系，系统可实时检测出绝大多数攻击，并采取相应的行为（如断开网络连接、记录攻击过程、跟踪攻击源等）； 多层防御：攻击者在突破第一道防线后，多层防御可以延缓或阻断其到达攻击目标； 隐藏内部信息：这样可以使攻击者不能了解系统内的基本情况； 建立终端防护：通过在办公终端上部署安全防护措施，防止办公终端遭受网络或移动存储设备带有的病毒的攻击。为确保穆棱县一中网络的安全性，应从全局考虑，不仅从技术上保证，而且要从管理上协同防范。既要保证学院里内部网络安全又要保证与外部网络之间的安全，形成整体安全性的网络体系结构。四、 统一网络管理设计当前数字校园网络还面临许多挑战，在解决了带宽和覆盖问题的同时，校园网络需要进一步优化，校园网管理需要更加智能和易用。随着信息技术的发展，为提高办公效率及改善教学环境，当前的学校越来越多地应用了信息技术，对于网络的依赖性也越来越大，学生需要上网查阅资料、吸收新知识、接受网上教学，老师需要借此了解最新科研进展。校园网络上通常承载着学校的办公系统、教学系统及学生宿舍网络系统，网络如果发生问题，会对学校的正常运作产生严重的影响。随着网络基础架构日趋复杂，传统的设备命令行、简单的管理工具已经不能够满足网络管理的需求。业界的经验证明，选择一个优秀的网络管理系统是保证网络最大可用性的有效手段。H3C专注于IP产品与相关技术的研发、生产和销售，具备完善的产品技术、客户服务、渠道、认证培训体系，为您提供客户化、特性丰富、性价比高的网络产品与解决方案。作为业界领先的网络设备与解决方案供应商，H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案：H3C智能管理中心（H3C Intelligent Management Center，以下简称H3C iMC）。H3C iMC是H3C IToIP解决方案的统一管理中心，基于SOA架构，采用灵活的组件化结构，支持与HP Openview、SNMPc等通用网管平台的集成，支持集成各多厂家设备管理系统，与H3C的数据通信设备产品一起为用户提供全网解决方案，帮助客户真正实现网络的按需构建。H3C iMC在IToIP解决方案中的位置H3C iMC作为IToIP解决方案核心管理系统，为用户提供了灵活的组件化结构，包括智能管理平台、智能配置中心（iCC）、ACL管理、MPLS VPN管理、用户接入管理、EAD解决方案、无线管理、EPON管理等业务组件，用户可以根据自己的管理需要和网络情况灵活选择需要的组件，真正实现“按需建构”。H3C智能管理中心解决方案架构如下图所示：H3C iMC解决方案架构由上图可以看出H3C iMC管理系统由智能管理平台以及各个业务组件组成，管理平台）提供网络管理的一些基础功能，比如故障管理、性能管理、资源和拓扑管理、用户管理等，而业务组件提供了相应的业务管理功能；各个业务组件相对独立，并可以无缝的集成在管理平台中，使得整个系统具有很强的可扩展性。H3C iMC智能管理平台实现网络资源、用户和业务的融合管理，提供基本的网络资源管理、拓扑管理、故障管理、性能管理、用户管理及系统安全管理，基于B/S架构，可以与H3C iMC 其他业务组件有效集成，形成多种解决方案。H3C iMC智能管理平台不仅可以实现H3C全线数据通信产品的管理，也可通过标准mib实现对Cisco、等各主流厂商的数据通信设备管理。IToIP数字化校园解决方案的整体优势 实现校园统一系统标准利用统一信息标准、统一应用标准、统一集成标准，解决重建设轻标准、缺乏IT系统的标准化和集成整和的问题，解决异构IT资源难以整合的问题。 实现校园数字业务定制建设统一数据中心、建立统一业务中心、构见随需而动的智能系统，解决数字化校园重网络轻应用- 路多车少的问题。 实现统一校园IT资源管理建设智能管理中心、整合IT资源统一管理，建立灵活完善的数据管理能力、建立完整网络资源管理、建立统一媒体管理。 实现统一信息安全管理建立统一安全管理中心，完成网络层、业务层、数据层、用户层安全管理，解决重建设轻维护和缺乏整体安全部署方法的问题。2.6 核心层网络结构设计对于校园网核心层，必须提供高性能、高可靠的网络结构，推荐采用经典的双设备的冗余星型结构，汇聚层交换机都是万兆双归属上行至核心层交换机，建成一个万兆骨干的园区网。2.6.1 规划设计考虑到汇聚层设备由多台汇聚层交换机万兆上行到核心层交换机上做线速数据交换，并且也有多条万兆线路连接网络出口和数据中心，如何保障几十个万兆线路在核心层设备上的线速转发成为一个关键点，因此核心层网络设备需要两台100G平台的高性能超万兆核心交换机组成。目前在核心设备上的跨设备链路聚合虚拟化技术，从对提升网络整体效率的角度，起到了一种横向整合的作用，即在不改变网络物理拓扑连接结构条件下，将网络同一层的多台设备横向整合，从逻辑上简化了网络架构。由于整合后的虚拟化系统具备跨设备链路聚合功能，因此，不同网络层之间的电缆互联也可通过逻辑整合，多条链路被捆绑成一条聚合的逻辑链路，如下图所示。跨设备链路聚合功能对网络的横向虚拟化整合虚拟化技术构成的网络架构与传统的网络设计相比，提供了多项显著优势： 1）运营管理简化。全局网络虚拟化能够提高运营效率，虚拟化的每一层交换机组被逻辑化为单管理点，包括配置文件和单一网关IP地址，无需VRRP。2）整体无环设计。跨设备的链路聚合创建了简单的无环路拓扑结构，不再依靠生成树协议（STP）。虚拟交换组内部经由多个万兆互联，在总体设计方面提供了灵活的部署能力。3）进一步提高可靠性。虚拟化能够优化不间断通信，在一个虚拟交换机成员链路故障时，不再需要进行L2/L3重收敛，能快速实现确定性虚拟交换机的恢复。核心层设备，承载校内访问Cernet流量，以及各校区内部网络之间的关键业务流量，通过核心交换机的精细业务和流量控制，确保关键流量的带宽和服务质量。根据承载的业务实时性要求，可以在通过虚拟化技术、BFD、FRR等技术保证电信级的故障恢复。2.7 园区网络规划2.7.1 高可用园区规划穆棱县一中校园网络作为实际业务的接入和承载体，必须具有高可用性。高可用性主要体现在以下几个方面：l 保持网络长时间的无故障运行；l 保证突发情况下的网络可用性和可恢复性；l 恶劣环境条件下的网络应用；l 抵抗灾难。消除单点故障网络建设高可用性设计，需要全方位多角度的对网络可靠性给予充分保障。园区网络高可用性可以通过设备自身的关键部件冗余、协议的不间断转发技术以及网络拓扑的链路和设备冗余设计来综合保证：l 设备的可靠：双主控、双电源l 网络的可靠：关键设备双归属、重要链路手工聚合、服务器采用双网卡l 协议的可靠：IRF2、防火墙HRPl 架构的可靠：重要设备冗余部署、流量路径合理规划l 应用的可靠：服务器健康检查高性能带宽规划设计当前，随着学校网络应用种类的不断增加，特别是实时在线视频应用、大规模组播应用和P2P应用的迅猛增长。为了满足今后五年内的学校网络应用对带宽的需求，本次穆棱县一中校园网的带宽设计骨干网都是万兆设计，例如：核心层交换机和汇聚层交换机之间，核心层交换机和数据中心的服务器汇聚交换机，核心层交换机和出口路由器之间；千兆链路的设计是：汇聚层交换机和接入层交换机之间，数据中心中服务器和服务器汇聚交换机连接都是千兆线路；百兆链路用以实现百兆到桌面。因此对于校园园区核心层设备，应该在提供大容量、高性能L2/L3交换服务基础上，能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性，可为校园园区构建融合业务的基础网络平台，进而帮助用户实现IT资源整合的需求。第三章 抵御对多业务运营的威胁随着计算机技术的不断发展，病毒和网络攻击已经成为现在网络管理人员最头疼的问题。目前的网络安全威胁主要表现为如下三种形式：l 计算机系统病毒：ARP病毒，蠕虫，冲击波l 网络黑客攻击：spyware,钓鱼软件l 对网络基础设施的攻击：DoS/DDoS一个好的网络承载平台，是提供多种业务的基础，对于定位在运营级的数字化校园网，要保证网络质量和服务承诺，在安全控制方面必须有一个好的整体安全规划。第3章 3.1 全局安全防御体系规划安全防御的理念目前可以分为三个层面：局部安全：即对出现问题的薄弱环节或有可能出现问题的节点部署安全产品，进行27层的威胁防范，当前绝大部分学校采用的都是这种单点威胁防御方式。这种局部安全方式简单有效并有极强的针对性，适合网络建设已经比较完善而安全因素考虑不足的情况。全局安全：通过技术和产品的协作，将网络中的多个网络设备、安全设备和各功能组件通盘考虑。通过多层次的安全策略和流程控制，向用户提供端到端的安全解决方案。将计算机网络、网络上的通用操作系统、主机应用系统等企业资源都纳入到安全保护的范畴内。智能全局安全：当安全事件发生时，我们不仅能够迅速察觉、准确定位，更重要的是我们能够及时制定合理的、一致的、完备的安全策略，并最大限度的利用现有网络安全资源，通过智能分析和协同响应及时应对各种真正的网络攻击。校园网全局安全的建设目标就是形成全局化、结构化、智能化的安全防御体系，为整网达到可运营、可控制的目标服务。3.2 校园外网出口防御网络出口是整个校园网对外的唯一通道，也是病毒和网络攻击的入口，需要使用安全设备进行区域的划分和访问控制。1、传统的安全解决方案中，防火墙和入侵检测系统 (IDS，Intrusion Detection System) 已经被普遍接受，防火墙是最主流也是最重要的安全产品，是边界安全解决方案的核心。它可以对整个网络进行区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击，如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护。2、但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备，不能充分地分析应用层协议数据中的攻击信号，而IDS也不能直接阻挡检测到的攻击，即使排除兼容性问题能够与防火墙进行联动，也存在一定的响应延时。以入侵防御系统 (IPS, Intrusion Prevention System ) 为代表的应用层安全设备，作为防火墙的重要补充，很好的解决了应用层防御的问题，并且变革了管理员构建网络防御的方式。通过在线部署，IPS可以检测并直接阻断恶意流量。3、另外，当前网络应用层出不穷，在大大提升了教师工作效率、学生学习效率的同时，也带来一些负面影响，主要有以下难题困扰： 通过P2P下载电影造成网络速度变慢，怎么解决？ 教师工作时间炒股、打游戏、聊天造成工作效率的下降，怎么解决？ 教师和学生访问非法网站易感染病毒，如何控制？ 教师工通过邮件、FTP等私自传输重要文件，导致机密泄露，如何提供有效的证据信息？ 学校管理员无法了解网络应用状况，无法对用户行为进行审计？ 公安部82号令，要求记录上网记录，如何应对？ 学生在BBS、论坛、Blog发表非法言论，如何应对？在这种情形下迫切需要一种专业的应用控制网关产品，来解决以上问题，这种应用控制网关产品能够实现应用控制与行为审计网关，能对网络中的P2P/IM/VoIP带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，可对网络流量、用户上网行为进行深入分析与全面的事后审计（可满足公安部82号令，对网络使用审计的要求），如Web应用、FTP应用、Email应用、聊天应用等，并具有强大的URL过滤功能，进而帮助学校优化网络资源，全面了解网络应用模型和流量趋势。如下图所示：在出口处，安全设备的部署模式主要以串接在线路中对病毒和网络攻击进行直接过滤为主，考虑到穆棱县一中的实际流量较大，考虑使用基于万兆平台的防火墙、IPS、应用控制网关产品，并直接配置万兆接口，避免因为安全设备本身的性能瓶颈影响网络出口的带宽。如下图所示：3.3 数据中心的安全防御数据中心是校园内各种业务数据的核心，是所有运营业务的汇接点。数据中心面对的一些主要安全挑战有：（1）对应用层的攻击：包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等。应用攻击的共同特点是利用了软件系统在设计上的缺陷，并且他们的传播都基于现有的业务端口，因此应用攻