中学校园网网络改造技术方案.docx

芜湖市第一中学校园网网络改造技术方案2016年4月目 录一芜湖一中校园网改造项目概述及分析1二、校园网络需求分析22.1用户需求分析22.1.1网络带宽需求22.1.2合理子网与VLAN规划22.1.3全面信息服务实现22.1.4建设多样的应用系统32.1.5系统及数据安全防护42.1.6可靠的带宽保障42.2校区网络的设计目标52.3系统设计指导思想6三、校园网网络设计方案及分析83.1总体拓扑设计83.2网络的分层设计原则93.1.1 核心层 (Core Layer)93.1.2 汇聚层 (Distribution Layer)93.1.3 接入层 (Access Layer)103.2芜湖一中校园网方案特性分析103.2.1高性能网络设计103.2.2网络可扩展性设计103.2.3 QOS功能113.2.4无线覆盖113.2.5可靠的网络安全设计123.2.6方便的网络管理和维护123.2.7网络高可靠性的设计13四、项目设计主要设备清单14一芜湖一中校园网改造项目概述及分析中国教育科研计算机网（CERNET）于1994年正式启动以来，已与国内几百所学校相连。为广大师生及科研人员提供了一个全新的网络环境。随着信息技术的飞速发展,中小学校园网的建设已经逐渐提到议事日程上来。但是我国目前大多数校园网上的应用还不丰富，与学校原有一些计算机业务系统还没有充分发挥，应用水平的低下是对校园网资源的极大浪费。只有提高校园网上的应用水平，才能切实提高学校各项业务水平，适应信息时代的要求。因而，如何利用当前先进的计算机技术与校园网资源，实现学校各项业务系统的集成，提高应用水平将是学校校园网建设的下一个工作重点。现在的芜湖一中，占地240余亩，校舍总面积13.8万平方米，有76个教学班，校园环境优美，教学设施先进、齐全。学校现配学生机500台，实现了每师一机，实现了班班通和办公自动化，接通了远程教育信息网，连接了校内局域网，实现了教学资源的共享。自学校搬迁新校址以来，学校网络设备已运行近六年，无线网络运行不稳定，机房核心网络设备和服务器均已过保修期，随时会出现故障。二、校园网络需求分析2.1用户需求分析设计一个网络，首先要为用户分析目前面临的主要问题，确定用户对网络的真正需求，并在结合未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术，提供用户满意的高质服务。针对网络设备老化的情况，原迈普网络核心交换机至今无法实现双核心配置运行，需要逐步更换核心网络设备和核心主服务器设备，实现校园网络的稳定运行。2.1.1网络带宽需求根据统计，按最大上网机器数计算，采用加权算法，假定最忙的时候信息点平均需要带宽0.2Gbps，则需要总带宽200Gbps。此外，主干网负责学校各个楼宇之间的数据传输、信息发布、资源共享、学校的BBS、学生信息管理系统、办公自动化系统、远程教学系统、Internet接口、与其他兄弟学校的数据交换都将运行在这个网络上。由此，采用万兆以太网实现核心层与汇聚层或接入层的互连；采用千兆以太网实现汇聚层与接入层的互连，同样采用10/100/1000MPS自适应交换到桌面。2.1.2合理子网与VLAN规划 根据学校的具体情况，学校网络划分VLAN子网结构不变。2.1.3全面信息服务实现 校园网的主要功能是为教育、教学服务，校园网正促进着教学内容与方式方法的变革，促进着学校教育与社会教育的发展，改变着学校与社会、理论与实践、知识与技能的质量。本设计组建的校园网基本实现了这几方面的需求。1WEB文件浏览服务校园网的主要功能是WEB服务，也就是学校教育网站的服务，学校的校园网站本着让全体师生共同参与的理念，让大家共同建设和维护更新网站，共同丰富学校网站内容，通过建立学校网站，充分发挥校园网的教育功能。使这些设施设备得到更好的应用，真正有效地发挥校园网的作用。学校的网站建设从4个方面发挥作用：（1）把学校网站做成对外宣传的窗口。（2）把学校网站建成为学校教学工作的平台，逐步实现无纸化办公。（3）把学校网站建成教师和学生展示自己才华的平台。（4）学校网站建设成多方沟通的平台。2. FTP文件传输服务FTP文件传输是学校校园网使用的一个重要服务，建立了FTP服务后，将大大方便教师文件的传输和管理，以及学校资源库的建立。（1）教师个人资源库、学校资源库的建立。（2）给各处室建立独立的帐户，像校长室、德育处、教导处、教科室、总务处等都有帐户，方便资料文件的上传。（3）FTP文件传输服务与互联网开通，无论走到哪里，我们的教师只要能上网就能随时读取自己需要的文件，真正实现异地办公。2.1.4建设多样的应用系统根据学校建网的目的，建议学校配备如下系统应用程序：1. FTP服务器；2. Web服务器；3. 应用程序服务器；针对该局域网要实现信息交流、视频教学、办公自动化等功能，应配备如下用户程序：1. 实时聊天工具；2. 多媒体教学及课件制作软件；3. 多媒体视频点播软件；4. Office软件；5. 在线杀毒软件套装。2.1.5系统及数据安全防护计算机网络迅速发展的同时，安全问题也变得日益突出。计算机网络经常会受到黑客或者病毒的攻击，这对网络系统和数据安全造成了严重的威胁。针对黑客威胁，网络安全管理员采取各种手段增强服务器的安全，确保网络服务的正常运行。象在Internet上的Email、ftp等服务器一样，可以用如下的方法来对系统数据进行保护： 1、安全配置： 关闭不必要的服务，安装操作系统的最新补丁，将网络服务升级到最新版本并安装所有补丁，对根据网络服务提供者的安全建议进行配置等，这些措施将极大提供网络系统本身的安全。 2、防火墙：安装必要的防火墙，阻止各种扫描工具的试探和信息收集，甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接，给网络服务器增加一个防护层，同时需要对防火墙内的网络环境进行调整，消除内部网络的安全隐患。 2、上网行为管理：部署上网行为管理设备，实现对校园网用户的互联网行为进行有效管理和合理的法律风险规避；避免学生接触到互联网上的暴力、色情、赌博等非法内容，引导学生有节制使用娱乐、游戏等互联网资源，营造出安全校园、绿色校园；2.1.6可靠的带宽保障随着校园网的迅速发展，各种新业务，特别是需要大量带宽的新型网络业务（如视频多媒体业务）的大量涌现使得校园网内的业务流量不断增加，当这些业务量猛增的时候，拥塞是难以避免的。这使得资源本来相对富裕的校园网不能适应网络不断发展的需要，难以提供满足多种业务要求的QoS保证。在一个没有实施QoS机制的校园网中，如果某个节点（比如交换机的一个端口）发生拥塞，它将会影响网上正在运行的所有业务。例如，使得IP/TV视频图像速率变慢或静止；或者使话音通信的时延增大，甚至出现掉话现象。针对以上的情况，校园网上也必须实施QoS机制来保证不同业务对服务质量的要求，但是它有许多不同与广域网的特点（如带宽相对较大、距离短、节点少等），所以我们必须采用具有针对性的QoS机制校园网上的QoS控制机制需要采用分布式模式，并且尽可能在产生拥塞时能够自动启动QoS控制机制，而不要等到出现拥塞后再进行处理，从而使得拥塞造成的影响降到最低程度。2.2校区网络的设计目标建成后的网络能充分利用Internet、国家信息网、教育网上的各种信息，实现资源共享，能够为在此校区学习的学生提供丰富的多媒体教学手段，实现高质高效的教学目标。由此，我们认为，校园网网络是一个典型的面向未来的网络化、信息化、自动化的集娱乐、教学、办公于一体的，具备多媒体综合业务发展需求的园区网络。系统总体设计将本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性，同时具有良好的开放性、可扩展性。本着为学校校区着想，合理使用建设资金，使系统经济可行。学校网络应当实现如下功能： 访问互联网络 访问学校虚拟网络 校园网站建立 远程教育 VOD点播 网络安全管理 电子邮件和电子公告 计算机辅助教学 教师备课功能 对外交流 校园管理平台 信息资源库2.3系统设计指导思想建设校园网络，本着少花钱办大事的原则，充分利用有限的投资，在保证网络先进性的前提下，选用性能价格比最好的设备，我们认为校园网建设应该遵循以下原则： u 先进性 以先进、成熟的网络通信技术进行组网，支持数据、语音、视像等多媒体应用，用基于交换的技术替代传统的基于路由的技术。 u 标准化和开放性 网络协议采用符合ISO及其他标准，如：IEEE、ITUT、ANSI等制定的协议，采用遵从国际和国家标准的网络设备。 u 可靠性和可用性 选用高可靠的产品和技术，充分考虑系统在程序运行时的应变能力和容错能力，确保整个系统的安全与可靠。 u 设备的兼容性 选用符合国际发展潮流的国际标准的软件技术，以便系统有可靠性强、可扩展和可升级等特点，保证今后可迅速采用计算机网络发展出现的新技术，同时为现存不同的网络设备、小型机、工作站、服务器、和微机等设备提供入网和互连手段。 u 实用性和经济性 从实用性和经济性出发，着眼于近期目标和长期的发展，选用先进的设备，进行最佳性能组合，利用有限的投资构造一个性能最佳的网络系统。 u 安全性和保密性 在接入Internet的情况下，必须保证网上信息和各种应用系统的安全。 u 扩展性和升级能力 网络设计应具有良好的扩展性和升级能力，选用具有良好升级能力和扩展性的设备。在以后对该网络进行升级和扩展时，必须能保护现有投资。应支持多种网络协议、多种高层协议和多媒体应用。 u 网络的灵活性 系统的灵活性主要表现在软件配置与负载平衡等方面，配合交换机产品与路由器产品支持的最先进的虚拟网络技术，整个网络系统可以通过软件快速简便地将用户或用户组从一个网络转移到另一个网络，可以跨越办公室、办公楼，而无需任何硬件的改变，以适应机构的变化。同时也可以通过平衡网络的流量，以提高网络的性能。三、校园网网络设计方案及分析3.1总体拓扑设计3.2网络的分层设计原则 从逻辑上，校园网络可分为核心层、分布层和接入层，每层都有其特点。层次化设计的优点可以总结为如下几点：可扩展性：因为网络可模块化增长而不会遇到问题；简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境；可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。3.1.1 核心层 (Core Layer)核心层为下两层提供优化的数据输运功能，它是一个高速的交换骨干，其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL，过滤等)，否则会降低数据包的交换速度。3.1.2 汇聚层 (Distribution Layer)汇聚层提供基于统一策略的互连性，它是核心层和访问层的分界点，定义了网络的边界，对数据包进行复杂的运算。在园区网络环境中，汇聚层主要提供如下功能：l 地址的聚集l 部门和工作组的接入l 广播域/多目传输域的定义l Inter VLAN路由l 任何介质的转换l 安全控制3.1.3 接入层 (Access Layer)接入层的主要功能是为最终用户提供对园区网络访问的途径。本层也可以提供进一步的调整，如Access-list Filtering等。在园区网络环境中，接入层主要提供如下功能：l 带宽共享（Shared Bandwidth）l 交换带宽（Switched Bandwidth）l MAC层过滤（MAC Layer Filtering(possibly)）l 微分网段（Microsegmentation） 3.2芜湖一中校园网方案特性分析3.2.1高性能网络设计设备的高性能：核心节点的交换机是整个校园网络的核心，本次建议采用高交换和路由能力，模块化设计交换机作为核心，保障良好的扩展性能。增加汇聚层交换连接核心和接入层，随着中小企业产生和使用的数据越来越多，桌面的千兆连接日益需要加强，与核心连接相互支撑，确保提供统一、无缝的用户体验。网络的高性能设计：整个校园的建设可以采用全线速交换设计，千兆到每个接入层用户。有效的子网划分和流量控制使整个校园网络能高速、安全的运行。3.2.2网络可扩展性设计网络的扩展性对网络业务的发展至关重要，它直接决定了校园网是否能够在节约成本的基础上跟上网络技术的发展和满足学校信息不断增长的需要，一个扩展性差的网络不仅为学校的投资造成了巨大的浪费，同时又无法满足学校网络业务不断发展和信息的增长的需要，为了保证网络能够不断的适应学校网络业务今后发展的不断需求，本次项目设备选型充分考虑到这点，以保证网络的高扩展性。3.2.3 QOS功能带宽控制特性以太网是一种基于广播机制的共享型技术，任何一个位于以太网上的用户均可以向网上发送信息，在以太网的技术中没有具体带宽控制的机理。网络产品应提供对用户带宽控制的功能。带宽控制通过对每一个用户的上行带宽与下行带宽进行限制，保证对每个用户的公平性，防止在共享型网络结构中某一用户长期恶意霸占带宽而导致其他用户无法享受服务的现象。Qos控制特性随着IP网络规模的不断扩大，网上的实时业务量也在不断增长，同时网络上的应用类型多种多样，不同的应用对网络的需求也有所不同。IP网络中引入QoS技术，就是为了确保实时业务的通信质量，满足各种业务对网络资源的需求，使网上资源获得最佳利用，降低成本，改善对用户的服务。3.2.4无线覆盖无线局域网采用的技术支持应为国际标准或业界标准，不应使用或被某个厂商的专用技术和协议所局限，需要确保网络设备的兼容性和互通性，有利于网络设备的投资保护。根据芜湖一中的需求和无线网建设与设计原则，建议采用无线控制器+FIT AP的解决方案，完成无线局域网覆盖项目。u 采用高性能802.11ac的无线网络交换技术及分布式交换体系结构。u 充分利用现有有线网络结构与资源，优化和融合无线网络。u 采用集中控管的组网方式，集中控制管理所有的AP。u AP的供电可以不单独拉电源线，采用POE供电的方式。u 采用先进的WLAN网管系统管理局域网。u 充分考虑WLAN的安全性，采用先进的WLAN安全技术保障。u 无线局域网系统要支持故障热备冗余能力。u 无线局域网系统要能方便和灵活地调整与扩充。3.2.5可靠的网络安全设计安全性是网络设计要考虑的最重要的因素之一，设计中充分考虑了网络的安全性，具体体现在以下几个方面：(1)通过VLAN的划分，限制了不同VLAN之间的互访，从而保证了不同网络之间不会发生未经授权的非法访问。(2)在核心节点可提供基于地址的Access-list，以控制用户对于关键资源的访问。通过在汇聚和核心交换机上设置VLAN路由以及访问过滤，保证了在VLAN之间只有被允许的访问才能发生，而未经授权的访问都会被禁止。(3)通过对上网的安全教育，提高安全意识，特别是增强计算机操作人员的密码管理意识，以防止由于操作员密码有意无意泄露给他人而造成的损失。(4)制定严格的安全制度，包括人员审查制度、岗位定职定责制度、使用计算机的权限制度以及防病毒制度，从制度上保证网络安全性得以实现。(5)可以对所有的重要事件进行Log，这样方便网络管理员进行故障查找；(6)可以对所有的Telnet以及SNMP的访问进行限制，从而最大程度地保证汇聚层系统地安全。(7)可以在接入层中通过限制MAC地址的访问提高网络安全。3.2.6方便的网络管理和维护对于网络运维人员而言，日常维护工作不仅繁杂，而且工作量大，涉及的工作内容包括监控拓扑对象、监控网元、配置网元、监控业务、诊断故障、监控性能、查看资源、报表生成等。本次方案推荐的网络管理系统，可以准确、快捷的提供运维人员所需要的信息，大大减轻运维人员的工作量。通过eSight网络管理系统丰富的管理功能和灵活多样的维护手段，可以轻松实现网络日常维护。本次部署网络运维管理平台，做到网内设备集中管理，配置50个设备的管理授权。3.2.7网络高可靠性的设计可以从两方面来考虑：关键设备冗余，本次改造后校园网络核心交换采用HA双核心冗余热备规划。在网络设计中所涉及的所有主要设备，均采用高可靠设计的原则。核心关键部件的冗余备份：电源冗余等。关键网络链路的冗余备份，从核心到汇聚采用双链路组网，保障链路的可靠性。四、服务器存储系统虚拟化升级时至今日，x86 的PC 与服务器已经拥有强大的性能，并且一日千里，无时无刻都在进步，这些性能往往远超过个人或整体使用，许多时候，硬件资源是处于闲置状态的。虚拟化之后具备了许多好处：1. 服务器整合（Server consolidation）许多时候，数据中心物理服务器的使用率是偏低的，通过虚拟化技术，我们可以整并一些老旧、低使用率的物理服务器（使用P2V 功能），将OS 虚拟化之后集中到新的实体机器上，提高硬件资源使用率，无形之中也降低了空调成本，多出了机柜可使用的空间，也节省了电力成本。2. 灵活的资源调派通过虚拟化技术，我们可以动态调配资源给VM，并让它在不同的实体主机之间做到不停机地移转（VMotion），避免硬件因为计划性的停机维护而不能提供服务。当虚拟机无法在实体机中取得足够硬件资源的时候，我们还可以让它自动去找寻闲置有足够资源的实体机，并在线转移过去，进行服务器的资源负载平衡（DRS 功能）。经过虚拟化之后，原本困难费心的事情变得很轻松容易实现。3. 快速大量部署、降低维护工作要快速产生一台或多台合乎标准的虚拟机是非常容易的，这省下了采购硬件的流程、安装软件时间、后续硬件维护等多道麻烦手续，非常快速与方便地用于开发、测试、维运等环境上面。4. 增加可用性与备份由于虚拟机具有可移植性，在备份与转换硬件服务器方面非常方便。我们不需要关心硬件服务器的厂牌、芯片组、处理器频率、驱动程序等问题。而HA 更避免了将鸡蛋放在同一个篮子里的风险疑虑，当一个实体的服务器因为硬件故障损坏时，可将虚拟机自动重启在其他的服务器上面。虚拟机的备份也与传统方式不同，备份的速度与方便性都有很大的提升。应遵循的基本设计原则在此次方案的设计中，首先要考虑的是实用性和易用性，确保使用技术成熟的网络设备、IT技术，同时要考虑对现有设备和资源的充分利用，避免重复投资。这对于有效节省成本，但又要充分发挥系统作用尤为重要。具体原则如下：（1）业务引导原则始终坚持应用先导与业务先行的理念。能否满足应用需要，在应用中能否发挥成效，始终是检验信息化建设成败的关键标准。因此，不能为了技术而技术，要充分发挥业务部门的主导作用，以应用为出发点，将信息化应用的成熟需求与云计算技术紧密结合，着力解决当前信息化应用成效如何进一步提升的问题。（2）可扩展性原则为了保护已有的投资以及不断增长的业务需求，系统必须具有灵活的结构并留有合理的扩充余地，以便根据需要进行适当的变动和扩充；主要业务平台系统应采用开放的结构，符合国际标准、工业标准和行业标准，适应技术的发展和变化。（3）合理性原则在一定的资金条件下，以适当的投入，建立性能价格比高的、先进的、完善的业务系统。所有软硬件的选型和配置要坚持性能价格比最优原则，同时兼顾，与目前操作系统和应用系统的兼容性。在满足系统性能、功能以及考虑到在可预见的未来不失去先进性的条件下，尽量取得整个系统的投入合理性，以构成一个性能价格比优化的应用系统。系统架构的设计应尽可能地运用虚拟化、云计算等新技术，以符合未来的技术发展方向。这种设计方法可以最大化地利用投资，并在利用率、管理、能源等各方面提高用户投资的效率，降低总体拥有成本，减少浪费的发生。（4）可靠性原则系统要具有高可靠性及强大的容错能力。该系统必须保证724全天候不间断地工作，核心设备比如服务器和存储设备具有全容错结构，并具有热插拔功能，可带电修复有关故障而不影响整个系统的工作，设计应保持一定数量的冗余以保证整体系统的高可靠性和高可用性。即便是在系统建设初期也要着重考虑系统可用性、可靠性问题，防止出现系统停顿等问题造成信息系统的中断服务。通过结合虚拟化等新技术，可以更好地提高系统的可靠性和可用性。（5）可管理性原则选择基于国际标准和开放的技术，采用标准化、规范化设计；同时采用先进的设备，易于日后扩展，便于向更新技术的升级与衔接，实现系统较长的生命力； 在设计、组建中心机房系统时，采用先进的、标准的设备；在选购服务器、存储和连接设备时，选用同一家公司的系列产品，确保系统部件间的严密配合和无缝联接，并获得良好的售后服务和技术支持；整个系统建成后按照整理一套完整的文档资料，以便提高整个系统的可管理性与可维护性。（6）安全性原则严格按照国家关于信息安全的规定和要求，规划和部署中心机房的业务系统和灾备系统；采用防火墙、安全服务器、内外网隔离系统、系统备份还原系统、业务数据备份系统、容灾系统来防止内外部的网络安全威协和数据丢失窃取威胁等；监视网络病毒的活动，防止病毒和木马的破坏。安全产品必须通过国家安全机构认证，确保系统和数据的安全。整体建设思想本次环保局服务器虚拟化建设将利用虚拟化等相关技术，结合绿色数据中心建设的目标和需求，以战略支持型信息化建设为导向，以支持保障信息化业务发展为建设思路，构造一个功能齐全、设备先进、运行高效、使用灵活、维护方便、易于扩展、投资省、高安全可靠的全局性基于虚拟化技术的数据资源中心。虚拟化资源层结构设计虚拟化基础架构体系什么是服务器虚拟化服务器虚拟化将硬件、操作系统和应用程序一同装入一个可迁移的虚拟机档案文件中如图所示：在单台服务器虚拟化基础上，通过虚拟化管理中心将多台服务器、存储硬件基础资源进行整合，构建硬件（CPU、内存、I/O）资源池，实现数据中心整体硬件资源的按需分配。虚拟化结构如图所示：将服务器物理资源抽象成逻辑资源，让一台服务器变成几台甚至上百台相互隔离的虚拟服务器，或者让几台服务器变成一台服务器来用，我们不再受限于物理上的界限，而是让CPU、内存、磁盘、I/O等硬件变成可以动态管理的“资源池”，从而提高资源的利用率，简化系统管理，实现服务器整合，让IT对业务的变化更具适应力，从而构建出环保局服务器虚拟化建设管理一体化平台云计算中心系统平台的基础。虚拟化拓扑架构针对上面的拓扑图，详细说明如下：整体架构可以分为三层，最底层为存储网络层，中间层为虚拟化系统，最上层为虚拟服务器层；其中，下面的两层为资源提供方，最上层为资源用户；而中间层的虚拟化系统又起到了资源分配调度的作用。部署虚拟化系统之后的整体架构和传统架构下是没很大区别的，利用共享存储实现数据集中和共享，结合管理中心实现应用系统的统一管理；虚拟化集群的形成，直接为应用系统提供了高可用和负载均衡的功能，集中的数据存储为本地灾备及异地灾备提供了扩展空间。服务器虚拟化建设方案整体设计此次整体平台建设相对于未来还有其他业务的发展，我们建议采用三台高性能服务器作为虚拟化平台业务的底层。虚拟化资源通过SAN网络连接至后端存储通过以上整体的硬件部署及虚拟化平台建设，将软件部署在此平台上，实现动态扩展、按需增加。具体分析如下：系统架构分析根据实际业务需求，结合目前具体发展规划，我们建议采用浪潮高性能服务器构建网络中心的服务器虚拟化平台，服务器均安装虚拟化软件实现系统的高可用及负载均衡集群，将原来的应用均迁移至新的平台上来，并在中心机房安装管理中心进行整个系统实现集中监管，实现资源自动调配、虚拟机的自动迁移、核心业务的HA等，从而组建高可靠性、高可用性及负载均衡的信息化平台。存储方面我们建议：采用FC存储，保证主业务的高访问速度,组建FC-SAN环境。虚拟化技术将高性能物理服务器中的CPU、内存、存储、网络等资源抽象到虚拟层中，形成虚拟化系统架构。在虚拟化系统架构基础上，建立虚拟机。将资源从虚拟层中统一分配给每个虚拟机，每个虚拟机使用的系统资源都是由虚拟架构统一调配，而每一个虚拟服务器，从功能、性能和操作方式上，等同于传统的单台物理服务器，在每个虚拟服务器上，再安装配置操作系统，进而再安装应用软件，从而大大提高资源利用率，降低成本，增强了系统和应用的可用性，提高系统的灵活性和快速响应，完美的实现了服务器虚拟架构的整合。为了集中管理和监控虚拟服务器、实现系统自动化以及简化资源调配，配置一套服务器（可以为虚拟机）安装Window系统，用于安装虚拟化管理中心软件，对所有物理服务器及其上的虚拟服务器进行统一的管理。存储网络架构设计为了保证虚拟化平台的高可用及动态资源平衡等特性，服务器通过以光纤链路连接到存储阵列，阵列采用冗余的双控制器，以保障业务的连续性和稳定性。依托虚拟化架构的优势，虚拟架构系统生产出来的虚拟机的封装文件都存放在FC-SAN存储阵列上。通过共享的FC-SAN存储架构，可以最大化的发挥虚拟架构的优势，进行在线地迁移正在运行的虚拟机（VMotion），实现双机热备（HA）、容错（FT）、进行动态的资源管理（DRS）和集中的基于虚拟机快照技术的Lan-Free的整合备份（VCB）等，而且为容灾备份提供扩展性和打下基础。根据业务的实际数据存储需求，配置SAS盘达到大容量数据存储的要求，实际的磁盘容量配置可以根据整个信息系统的实际需要系统规划进行配置。数据保护架构设计方案中实施了主机集群系统（Cluster），通过HA、FT、DRS等虚拟化高级功能技术，可以实现集群系统内，任何一个主机系统出现故障，可以自动将该主机的负载转移至系统内的其他成员。而且方案配置的磁盘阵列采用双冗余控制器，在很大程度上避免了单点故障，提高了整个业务系统的可用性。为了对数据进行快速备份和恢复，虚拟化平台中采用自带的快照软件对业务数据做快照，按照时间计划自动将数据进行快照，实现短时间点数据保护。快照操作的性能和效率有极大地提升，可以更好的减少备份和恢复的时间窗口，有效提升RPO和RTO指标，提升工作效率降低成本。五、项目设计主要设备清单序号设备名称配置数量备注：参考品牌型号1核心交换机*1.交换容量16Tbps,转发性能7200Mbps，提供官网截图及链接证明并盖厂商章；*2.整机槽位数5，其中业务槽位3，提供官网截图及链接证明并盖厂商章；*3. 支持纵向虚拟化技术，支持将核心和接入设备形成一台纵向逻辑虚拟设备，提供官网截图并加盖厂商章；4. 支持TRILL技术，提供构建便于维护管理的大二层网络功能与能力； 5. 硬件支持EVB，通过VEPA技术将虚拟机产生的网络流量上传至与服务器相连的物理交换机进行处理；*6. 支持独立负载均衡插卡，设备可以根据健康检测算法，实现全面的4-7层负载均衡和链路负载均衡功能、设备提供千兆以太网光口、千兆以太网电口、万兆以太网光口，设备提供管理接口配置口（CON）不少于一个，千兆RJ45电口不少于2个，千兆光电Combo不少于2个，提供产品彩页证明；支持应用控制插卡（产品可以提供1个配置口（CON），2个千兆RJ45电口，2个千兆Combo口）设备实现用户上网行为审计功能，（为保证插卡性能，必须为独立硬件插卡，不接受融合型插卡），提供各独立插卡官网彩页并加盖厂商章；*7.提供原厂售后服务承诺书原件；*8. 支持MacSec加密功能，提供工信部测试报告证明并加盖厂商章； *9. 设备支持MDC虚拟路由器功能，要求提供工信部第三方权威测试报告证明并加盖厂商章；10.配置要求：.本次配置单主控，冗余电源；.本次配置48端口千兆电口，其中4端口可复用和2端口万兆光接口。2H3C S7503E-S2汇聚交换机1、提供48个GE电口、4个10GE光口2、支持VLAN划分、ACL、QoS、RIP、OSPF、VRRP、静态路由、跨设备的链路聚合、TRILL等功能，支持多台设备虚拟化为单台逻辑设备此交换机支持对下联的所有刀片式服务器、机架服务器、接入式交换机、虚拟机、机柜等进行统一管理，支持对以上物理设备和软件设备的故障检测定位、状态监控、资源利用率的统计，支持对服务器的远程KVM、批量装OS，支持装机流程的模拟、应用的一键部署等功能，支持管理软件的用户权限管理，支持软件包的动态加载，须提供权威第三方测试报告3、资质要求：要求提供信产部入网证、ROHS节能证书、CCC认证4、与核心交换机同一品牌。3H3C UIS-M8310-48G3万兆单模光模块光模块-SFP万兆单模模块-12核心与汇聚4无线控制器1.可管理的AP数：最大管理AP数128，同时支持802.11a/b/g/n AP的管理，本次配置24个AP管理授权2.接口类型：千兆光电combo接口43.IPv6特性：支持IPv4/IPv6双协议栈4.射频管理：自动调整功率和信道，故障AP覆盖黑洞补偿，支持基于流量和基于用户数的AP负载分担，支持无线射频干扰监测和规避5.ACL及QOS：支持基本ACL、扩展ACL、时间段ACL、基于VLAN的ACL，支持IPv6 ACL，支持速率限制，粒度8Kbit/s6.安全认证：支持临时密钥交换协议（TKIP）以及有线对等加密（WEP）、支持WPA及WPA2加密算法；支持Portal认证、802.1x认证、MAC地址认证、支持PPPoE认证，支持本地Portal服务器；支持本地Radius认证服务器，支持SSID和用户账号的绑定；支持WIDS/WIPS，支持对无线非法设备的监测和攻击，支持无线防攻击7.无线漫游：支持AC内漫游，支持跨AC间漫游，单AC内漫游时间不超过50ms8.备份机制：AC支持1+1备份、N+1备份、N+N备份三种机制，支持Portal双机热备，1+1备份时，支持100毫秒业务备份9.资质认证：为了保证设备软件的合法性，提供中华人民共和国国家版权局颁发的计算机软件著作权登记证书及WI-FI认证证书，设备厂商是WAPI联盟成员，并提供WAPI成员证书（盖鲜章），设备厂商需通过通过知识产权管理体系认证，并提供证书10. 为保障设备性能，要求无线与交换机设备统一品牌。1H3C WX3510E5POE交换机1.设备固化千兆电口数24个，4个独立的千兆SFP端口，支持POE+供电；2.交换容量250Gbps，包转发速率90Mpps；3.支持通过标准以太网接口进行堆叠，最大支持32台设备混堆，支持分布式设备管理，分布式链路聚合，提供官网截图并加盖厂商章；4.支持业界领先的7KV业务端口防雷能力；5.双上行时，支持上行链路检测，支持上行链路互为备份以及负载分担，双上行链路之间的切换低于50ms； 6.要求与核心交换机统一品牌。1H3C S5110-28P-PWR6无线AP1.支持胖/瘦两种AP工作模式，支持802.11ac协议；2.支持双频，支持802.11ac/a/n或802.11b/g/n，要求双频速率866+300Mbps；3.支持802.3af/802.3at兼容供电,提供2个千兆以太上行网口；4.支持基于不同用户、不同终端类型、不同时间、不同地点精确控制每个用户的访问权限；5.支持终端智能识别，能够识别出Apple、Android等智能移动终端和PC机；6.支持有线无线一体化管理，可以通过开放网络协议实现有线、无线网络设备在同一网管软件上一体化管理；7.支持802.1x认证、MAC地址认证、PSK认证、Portal认证；8.支持64/128位WEP、动态WEP、TKIP、CCMP(11n推荐)加密；9.可以从网络侧对位置分散的无线接入设备进行远程集中管；10. 支持频谱分析功能，可对蓝牙、微波炉、无绳电话、Zigbee、Game Controller、2.4G/5G无线影音、婴儿监护器等干扰源进行识别；并可与网管系统配合，对干扰源进行定位和频谱显示。11.单设备同时接入不少于70个终端，且同时在线播放视频无卡顿，须提供权威第三方测试报告证明。12、设备入网时间不少于一年，须提供入网核准证证明。13.提供原厂三年服务承诺函原件。14. 为保障设备性能，要求无线与交换机设备统一品牌。20H3C WA4320i-ACN7网络运维管理系统1. 采用B/S架构，对全网交换机、路由器、安全网关、无线交换机、AP等设备实现统一网管；2. 可以为不同的管理员设置不同的用户名、密码，并限制管理员的管理权限和管理范围，实现用户分权管理；3. 要求支持自定义用户主页：管理员可以首页中通过拖拽，自定义需要在首页展示页面；4. 支持虚拟网络资源管理、虚拟网络拓扑展示、虚拟网络告警管理、虚拟网络性能监控、虚拟交换机配置管理、虚拟网络配置迁移管理；5. 自动发现网络中的所有网络设备，并在拓扑中显示出来，支持拓扑图自定义修改，包括设备、链路等；6. 支持IP拓扑、二层拓扑、邻居拓扑、自定义拓扑、网络拓扑视图（支持网络区域的任意划分、命名、拖拽、折叠和展开）、业务拓扑、STP拓扑、MSTP拓扑等多种拓扑类型；7. 支持网络管理平台实现设备管理与流量分析联动，如通过点击拓扑某链路可查看该链路的流量分布；8. 支持对全网设备告警的实时监控和统一浏览；9. 提供可编排的端到端IT资源；10. 基于业务的正向编排：在服务模型编排界面，管理员可以依据当前业务部署或构想的业务部署，直接拖拽服务单元，以所见即所得的方式构造业务的逻辑拓扑结构。然后基于此业务逻辑拓扑为业务构建业务属性，从而保证业务能够有效的为指定租户提供服务。不同的服务单元能够支持的业务属性和配置能力是不同的。(提供该功能官网截图及链接证明，并加盖原厂章)11. 基于服务目录的服务模型管理：编排完成的服务模型统一存储在服务目录中，提供服务目录的增删改。服务模型可以分目录存放，可以为不同的服务模型指定不同的图标，管理员可以上传自己的图标文件。服务模型提供掠过式逻辑拓扑展示，方便用户快速浏览各个服务模型。服务模型作为一个模板能够重复地应用在不同的网络域，为不同的租户提供部署服务。服务模型和网络域必须基于相同的网络模型才能够进行匹配。(提供该功能官网截图及链接证明，并加盖原厂章)12. 可规划的业务部署：创建服务时可以指定服务的执行类型：立即执行或按租期执行。允许指定租期的起至时间，系统将根据租期的开始时间定时部署配置到设备上，也会根据根据租期的结束时间自动去部署网络配置。执行部署前可以对配置进一步执行冲突检测，进一步提高配置下发的有效性。服务创建后，可以随时去部署已经部署的服务，或立即部署未部署的服务。 (提供该功能官网截图及链接证明，并加盖原厂章)13. 资源池监控：提供设备级资源池化、路径资源池化的性能监控、展示。通过图形化拓扑结构，可监控资源包括端口、ACL、VLAN的使用、占用可用情况；两个节点之间的路径、端口、带宽及链路数等。(提供该功能官网截图及链接证明，并加盖原厂章) 14. 支持仿真3D数据中心拓扑：支持提供了数据中心拓扑，包括机房拓扑、机架拓扑等。通过仿真3D数据中心拓扑整合机房实时信息及资产信息，真正使IT管理者的管理步入虚拟现实领域，是提供给IT管理者最为直观的一项网络可视化管理工具。提供官网截图及链接，并加盖原厂章；15. 租户监控：租户监控提供全部租户的dashboard和单个租户的dashboard。全部租户dashboard提供服务租期统计、Top5带宽利用率、Top5设备告警、Top5阈值告警、以及租户接收报文速率和发生报文速率；单个租户dashboard提供设备状态统计、Top5设备告警、租户带宽统计和Top5带宽利用率等。16. 要求提供计算机软件著作权登记证书复印件及软件产品登记证书复印件。17. 本次配置管理50台设备的智能管理功能、配置资源自动化管理功能及相关组件。1H3C IMC8防火墙1、标准机架设备，采用专用多核硬件架构，专用多核安全操作系统（提供相关证书复印件）；千兆电口12个、千兆光口12个；网络吞吐量10Gbps；最大并发连接数360万； VPN性能(3DES算法)2Gbps、VPN隧道数5000；2、支持多系统（3个）引导，并可配置启动顺序，支持系统分区备份，支持将系统A克隆至系统B（提供截图证明）； 3、支持IPv6环境下：地址、地址组配置，静态路由、动态路由及静态NAT-PT、动态NAT-PT、NAPT-PT技术；针对IPV6的目的/源地址、目的/源服务端口、服务、扩展头属性等条件进行安全访问规则的设置（提供截图证明）；4、支持多出口环境下默认路由备份、负载均衡，提供真实环境的策略路由条数200条以上的界面截图；支持静态路由、RIP及OSPF动态路由、策略路由和组播路由；6、支持服务器负载均衡，要求支持轮流、权重轮流、最少连接、加权最少连接等至少10种算法，要求能够采用至少两种方法主动探测服务器的存活状态（提供截图证明）； 7、除本地有线链路接入外，必须可提供至少一种其他媒介的灾备链路接入方案支持，如3G广域网、VSAT卫星网、海事卫星网（提供截图证明）；8、支持双病毒引擎，防病毒功能通过国家计算机病毒防治产品检验中心检测，病毒检测率不低于90%（提供计算机病毒防治产品检验中心检验报告）；支持基于策略的入侵检测与防护；9、支持WEB过滤，要求内置至少50类1000多万条以上的URL库，支持自定义URL过滤（提供截图证明）；10、资质要求：产品具备：公安部产品销售许可证（三级）、EAL3+证书、涉密信息系统产品检测证书、中国国家信息安全产品认证证书（三级）、IPv6 Phase2认证；厂商具备：ISO27001证书、CMMI3认证、国家信息安全服务安全工程类二级资质、国家信息安全服务一级风险评估资质、国家信息安全服务一级应急处理资质；提供自主发现的CVE漏洞数量清单不少于90个、涉密信息系统集成甲级、国家级国家级网络安全应急服务支撑单位、信息安全等级保护安全建设服务机构能力评估合格证书；相关截图证明和资质须加盖生产厂商公章提供原厂商针对本项目的授权书原件及三年售后服务承诺函原件。1启明星辰、网康、网御星云9上网行为管理1、标准2U机架设备，具备千兆电口6个；吞吐量5Gbps、并发连接数300万，支持3000人并发；2、支持用IPMAC计算机名称等多种识别方式；支持对LDAP ADPOP3 SMTPRADIUS PORTAL锐捷SAMH3C CAMSPPPOE、城市热点的单点登录，AD识别采用非监听方式，非客户端脚本方式；可识别用户使用的终端操作系统类型，如苹果iOS、安卓Android、塞班Sybiam等（提供截图证明）。3、支持识别超过3800万个URL（提供官网证明）；4、支持识别私接主机个数，并可制定策略以私接主机个数为阀值进行封堵。同时可建立白名单。（提供截图）5、支持邮件审计，支持SMTPP0P3WEB MAIL等方式的邮件审计和控制，支持对邮件标题、正文、附件大小、附件类型、附件名称等进行审计和控制；支持邮件外发预审；6、支持识别超过1400种主流互联网应用，其中智能终端应用不少于500种；7、可针对QQ账号制定策略，对聊天、登录及文件传输的行为进行记录与控制（提供截图）8、支持具体应用设置用户使用时长和流量限额，限额达到，用户无法再使用该应用，但其他应用不受影响(提供截图证明）；可以每个人的并发/新建连接进行控制管理（提供截图）9、支持多种告警功能并支持触发告警，支持警告音告警、人工语音告警、邮件告警、指示灯告警等多种方式报警（提供截图证明）；10、支持内置超级管理员、审计员、审核员，提供三权分立机制，确保超级管理员无法看到审计日志（提供截图证明）。11、支持设备的URL库、应用库及版本均可在线升级。URL每周更新、协议每两周更新（官网证明），系统版本升级应为在线一键式升级（提供升级截图，并加盖公司公章）；12、支持网关部署、网桥部署、旁路部署部署方式； 支持设备集中管理。设备须具备双系统引导（提供测试证明和官网证明）；设备须支持一键BYPASS按钮（提供设备面板照片证明），须支持死机BYPASS；产品必须采用多核并行技术（提供相关专利证明，并加盖公司公章）；13、厂商具备ISO9001质量体系认证，设备具备公安部销售许可证、须通过信息安全3C认证、IPV6、信息安全测评EAL3证书；提供URL分类自主知识产权证明、提供网页过滤技术自主知识产权证明相关截图证明和资质须加盖生产厂商公章提供原厂商针对本项目的授权书原件及三年售后服务承诺函原件。1启明星辰、网康、网御星云10高性能服务器品牌:国产知名品牌1.规格：4U标准机架式服务器；2.处理器：4颗XeonE7-4820v3(1.9GHz/10c)/6.4GT/25ML33.内存：128GBDDR3，至少配置32个内存插槽和8个内存板，单条容量不小于16G4.硬盘：4块300G SAS热插拔硬盘，至少支持16个2.5寸SAS/SATA/SSD接口的硬盘5.RAID：独立外插Raid卡(1G缓存),RAID5；6.扩展槽：至少提供12个PCI-E 插槽7.网络：1000M*4；8.电源：2+1冗余电源；9安全配置：支持原厂操作系统安全加固软件，提该针对产品公安部颁发的计算机信息系统安全专用产品销售许可证，所提供产品驱动部分须通过微软WHQL认证（提供相关证书复印件）10.管理软件：中文版服务器管理软件(提供著作权证书)。11.备份软件: 配置备份还原软件(至少1个主控,2个操作系统备份授权), 可实现一次进行多个磁盘或分区的备份，实现windows、 Linux操作系统的本地及网络备份还原功能，并支持跨平台操作，支持USB移动硬盘设备,12. 授权及售后服务：必须提供原厂授权原件和三年质保售后服务承诺函(含主要部件CPU,内存,硬盘等)2参考品牌：浪潮、曙光、HP11服务器私有云操作系统*与服务器产品同一品牌配置12CPU许可(企业版)操作系统技术要求：基本要求:*（1） 采用裸金属架构，无需绑定操作系统即可搭建虚拟化平台。（2）虚拟机之间可以做到隔离保护，其中每一个虚拟机发生故障都不会影响同一个物理机上的其它虚拟机运行，每个虚拟机上的用户权限只限于本虚拟机之内，以保障系统平台的安全性。*（3） 每个虚拟机都可以安装操作系统，并且操作系统可以异构。（4）虚拟机可以实现物理机的全部功能，如具有自己的资源（内存、CPU、网卡、存储），可以指定单独的IP地址、MAC地址等。（5）能够提供性能监控功能，对资源中CPU、网络、磁盘使用率等指标的实时数据统计，并能反映目前物理机、虚拟机的资源瓶颈。*（6） 每个虚拟机支持的VCPU个数为32个兼容性要求:兼容主流X86服务器, 存储阵列, 网卡和HBA卡及主流操作系统,数据库等。功能性要求:*（7）支持HA功能，当一台物理机发生故障时，之上的VM（虚拟机）可以实现在集群之内的其它物理机上重新启动，保障业务连续性。*（8）支持在线的VM迁移功能，可以在不停机的状态下，手工或自动地实现VM在集群之内的不同物理机之间迁移，保障业务连续性。*（9）支持将多个物理机组成集群，同时支持动态资源分配功能，可以实现VM所拥有的资源(尤其是内存、存储等)可以自动地进行再分配，保障业务系统的服务水平。*（10） 支持将多个虚拟机组成虚拟集群，同时该虚拟集群可以生成模板，并实现该模板快速部署虚拟集群。*（11）支持DRS自动负载均衡功能，当集群内的一个物理机上的负载较高时，将其上的一部分虚拟机通过设置的规则迁移到集群内其他的物理机上。*（12）虚拟机不但可以通过文件系统访问存储设备，而且支持直接访问裸设备，可直接使用本地硬盘或集中存储。（13）提供专用的P2V工具，实现物理机至虚拟机的平滑过渡。（14）虚拟机快照功能，支持同时对虚拟机内存和磁盘进行快照，便于管理员恢复关键应用数据。（15）提供统一的图形界面管理软件，可以通过浏览器进行访问，可以在一个地点完成所有虚拟机的日常管理工作，包括控制管理、CPU内存管理、用户管理、存储管理、网络管理、日志收集等工作。（16） 虚拟机模板快速功能，支持虚拟机模板快速部署，并且部署时间在秒级，跟模板大小无关。*（17）虚拟网络由直连网络和路由网络构成，即在路由网络中虚拟机数据表的路由转发，可以设置IP映射和端口映射。（18）二级存储，高效的利用本地存储资源。其它要求:提供技术支持服务，如免费的版本升级和专业的售后服务专线支持（800电话）等。售后服务：供货时提供产品原厂三年售后服务承诺函1参考品牌：浪潮、曙光、HP11核心存储系统*1、多控制器架构，最大支持八控集群；本次配置双控存储，配置高速一级缓存64GB（一级缓存不包括SSD磁盘、闪存、NAS机头的内存）；支持写缓存掉电保护；*2、双控制器配置1Gb iSCSI主机接口8个；支持iSCSI、FC主机接口；3、配置冗余后端SAS硬盘通道4个，采用24Gb SAS宽端口，后端磁盘通道总带宽96Gb；*4、配置10000转300GB SAS磁盘4块；10000转600GB SAS磁盘5块；7200转3TB 3.5寸 NL-SAS磁盘7块；*5、支持SSD、SAS、NL-SAS和SATA磁盘类型，支持不同硬盘类型在同一硬盘柜混插，支持驱动器热插拔及在线更换故障硬盘； 6、支持Windows、Solaris、HP-UX、IBM-AIX、Linux等操作系统；7、全冗余架构，配置冗余电源、风扇及配电模块；8、提供三年原厂商维保服务（包括硬件更换、软件升级等）； 1参考品牌：华为、H3C、MACROSAN12系统安装调试网络设备安装调试，服务器存储系统安装调试1五、项目预算清单序号设备名称数量单价金额1核心交换机2753001506002汇聚交换机316800504003万兆单模光模块122000240004无线控制器130000300005POE交换机1