大學教育云數據中心項目數據中心設計方案(共31頁)

1、第 PAGE 38 頁 共 NUMPAGES 38 頁XXXXXX大學(dxu)教育(jioy)云數據中心項目(xingm)設計方案教育信息技術中心2011年06月VER:7.6目 錄 TOC o 1-4 h z u HYPERLINK l _Toc290643174 1.需求(xqi)概述 PAGEREF _Toc290643174 h 3 HYPERLINK l _Toc290643175 2.數據中心設計(shj)概要 PAGEREF _Toc290643175 h 5 HYPERLINK l _Toc290643177 3.數據中心網絡(wnglu)設計 PAGEREF _Toc290

2、643177 h 8 HYPERLINK l _Toc290643178 3.1可靠性和自愈能力 PAGEREF _Toc290643178 h 9 HYPERLINK l _Toc290643179 3.2擁塞控制與服務質量保障 PAGEREF _Toc290643179 h 9 HYPERLINK l _Toc290643180 3.3網絡的擴展能力 PAGEREF _Toc290643180 h 10 HYPERLINK l _Toc290643181 3.4通信協(xié)議的支持 PAGEREF _Toc290643181 h 10 HYPERLINK l _Toc290643182 3.5網

3、絡交換設備設計需求 PAGEREF _Toc290643182 h 11 HYPERLINK l _Toc290643183 3.6數據中心網絡出口設計 PAGEREF _Toc290643183 h 12 HYPERLINK l _Toc290643187 3.7數據中心安全設計 PAGEREF _Toc290643187 h 15 HYPERLINK l _Toc290643192 3.8網絡管理與安全體系 PAGEREF _Toc290643192 h 16 HYPERLINK l _Toc290643202 3.9數字KVM系統(tǒng) PAGEREF _Toc290643202 h 21 H

4、YPERLINK l _Toc290643203 4.數據中心服務器設計 PAGEREF _Toc290643203 h 22 HYPERLINK l _Toc290643205 5.數據中心存儲設計 PAGEREF _Toc290643205 h 25 HYPERLINK l _Toc290643206 5.1需求分析 PAGEREF _Toc290643206 h 25 HYPERLINK l _Toc290643207 5.2系統(tǒng)設計 PAGEREF _Toc290643207 h 25 HYPERLINK l _Toc290643210 6.服務與技術支持需求 PAGEREF _Toc

5、290643210 h 27需求(xqi)概述(i sh)XXXXX大學(dxu)是XXX省教育廳直屬的，運用廣播、電視、文字教材、音像教材、計算機課件和網絡等多種媒體，面向全省開展遠程開放教育的新型高等學校， 1979 年創(chuàng)辦。學校行政上由省教育廳管理，實行統(tǒng)籌規(guī)劃、分級辦學、分級管理、分工協(xié)作的體制。我校校園網一期始建于1998年，于1999年6月18日接通中國教育和科研計算機網，當時網絡結構以155M ATM 為主干，10M/100M到桌面，光纖連接各樓棟的校園綜合網絡系統(tǒng)。網絡覆蓋了學校各主要教學、辦公場所，初步形成了一個信息化校園環(huán)境。此后，為了滿足開放教育試點工作的需要，建設了“電

6、大在線”硬件平臺和全省視頻會議系統(tǒng)。2004年6月我校啟動了二期校園網全面升級改造工程，完成了原有的ATM網向萬兆以太網移植改造。通過簡單的網絡結構，建立起了一個可進行數據、語音、視頻和圖像實時傳輸的IP網絡系統(tǒng)。二期校園網改造采用兩臺銳捷多業(yè)務萬兆交換機6810E作為核心層交換機，銳捷3550-12G作為匯聚層交換機，銳捷2100系列作為接入層交換機，初步構成了雙核心星形分布的拓撲格局。原有網絡(wnglu)基礎設施存在的主要(zhyo)問題有：1現有網絡設施無法支撐學校(xuxio)當前的業(yè)務需求現有網絡設施原來的設計主要是滿足校園用戶對外網的訪問，隨著學校業(yè)務的不斷擴張，本次改造后的網絡

7、設施主要承擔滿足遍布全省的學習者對學校教學資源訪問的任務，訪問對象網絡條件復雜，且有大量的外網視頻訪問要求。服務器等基礎設施均已處于超負荷和老化狀態(tài)，04年以前購置的18臺服務器均已老化，其中硬盤損壞嚴重，電氣性能下降。有的業(yè)務系統(tǒng)是使用帶病服務器運行，隨時可能導致系統(tǒng)崩潰。分散在其他處室的服務器如教務處學籍管理、考試管理、圖書館的服務器更加老化，已經成為影響學校業(yè)務工作的嚴重隱患。雖然后來為干部在線、繼續(xù)教育培訓項目添置了幾臺服務器，均為專用設備，無法實現資源共享。此外，和校內各結點的匯聚層交換機和接入層的交換機也年久失修，故障頻仍，導致信息不暢。開放教育新平臺即將部署、XX學習廣場的管理系

8、統(tǒng)開發(fā)、干部在線進入擴展期、國家數字化資源庫項目等新項目上馬，信息化基礎設施建設已經刻不容緩。2信息化基礎設施架構技術落后，設備資源不能有效利用學校(xuxio)二期校園網改造采用簡單以太網三層交換結構是受制于當時的網絡技術水平。學校雖有700M帶寬(di kun)（電信3條100M、聯(lián)通100M、移動(ydng)100M、教科網100M、省有線100M）卻因為沒有鏈路負載均衡，無法滿足某項業(yè)務在某一時段較高的帶寬要求。服務器數量嚴重不足，一有新任務就要拆東墻補西墻，開發(fā)新項目就要刪除一些原有服務器中的信息，騰出空間進行項目開發(fā)，導致一些重要信息被丟失。目前系統(tǒng)中只有20T的SAN存貯，遠遠無

9、法滿足學校資源存貯的要求。按照原有網絡結構，學校有的服務器負載十分繁重，有的服務器卻相對空閑，瓶頸現象十分突出。3網絡監(jiān)控和管理一的缺乏監(jiān)控和管理手段缺乏，網絡安全存在隱患學校二期校園網改造時，網絡管理功能設計十分薄弱。網絡監(jiān)控管理、身份認證系統(tǒng)、流量控制系統(tǒng)、運行環(huán)境監(jiān)控、應用防火墻等都需要重新建設。根據建設XX大學的需要，學校的應用業(yè)務系統(tǒng)將采用私有云與共有云相結合的方法來解決大規(guī)模用戶訪問所需的并發(fā)訪問，帶寬資源要求高的視頻訪問將主要依托社會公共云資源的基礎設施，學校教育云網絡數據中心必須按照其所承載核心數據和信息管理需求，運用虛擬化技術，朝私有云的方向來建設，以滿足最靈活、最高效和最經

10、濟技術路線來建設，建設技術一流的信息化基礎設施，滿足一流開放大學建設的需要。數據中心設計概要總體要求本項目為教育云架構的網絡數據中心建設，主要服務XX學習廣場的學分銀行、國家數字化學習資源中心XX中心資源存儲和管理、學校教學資源總庫、學校數字圖書館、培訓學院和網絡學院的各類教育教學平臺和管理系統(tǒng)在線學習和考試，滿足學校URP業(yè)務交互需求。一方面大量的業(yè)務系統(tǒng)需要對數據進行共享，另一方面由于數據的重要性，又需要相互隔離，要求對接入訪問有嚴格的身份認證和權限控制?？傮w來說，學校數據中心要求網絡架構(ji u)清晰，同時具有良好的可靠性、安全性、易管理性和擴展性。建設(jinsh)目標：本次(bn

11、c)XX大學數據中心建設屬于開啟XX大學教育云建設的第一步，主要由虛擬化網絡系統(tǒng)建設、虛擬化服務器系統(tǒng)建設、統(tǒng)一存貯系統(tǒng)建設三部分構成，其中虛擬化網絡建設包括：網絡核心建設，網絡匯聚建設，網絡安全建設，網絡運維系統(tǒng)建設，網絡出口系統(tǒng)建設。本次建設要求技術架構先進、按需滿足、可無限擴充的技術路線，徹底改善在傳統(tǒng)構架的網絡中進行業(yè)務擴容、遷移或增加新的服務功能越來越困難的問題。通過使用虛擬化技術，采用云模式構架，增加虛擬化核心交換機、虛擬化服務器設備和虛擬化統(tǒng)一存儲系統(tǒng)，建設XXXXX大學教育私有云。教育云數據中心建成后，所有的服務都在數據中心運行，新增的業(yè)務需求都由數據中心統(tǒng)一分配網絡、服務器、

12、存儲資源，學校提供統(tǒng)一的運行環(huán)境。滿足湖湘學習廣場門戶、社區(qū)教育網站、干部在線等大規(guī)模訪問用戶的訪問需求，成為學校管理信息系統(tǒng)、XX教育平臺、高職教育平臺、國家數字化學習資源中心、學校資源中心的數據中心。建設的最終目標是構建XX大學系統(tǒng)的教育云，本次建設的本部的網絡數據中心主要性能要求如下：系統(tǒng)高性能：10萬兆處理性能、無收斂、吞吐量高、快速響應、構建全網無阻塞的網絡架構，解決上一代數據中心架構中最難解決的N:1流量收斂問題，確保大流量突發(fā)情況下不丟包。系統(tǒng)高可用：通過虛擬化技術實現關鍵設備的多變一，將各種故障的恢復時間縮短到毫秒級。統(tǒng)一交換FCoE：利用FCoE技術將數據中心的存儲資源、計算

13、資源、網絡資源整合在一起，減少系統(tǒng)布線、硬件設備、能源消耗，降低數據中心整體投資和日常運營維護費用。系統(tǒng)高安全：基于云計算中按需資源調度的前提，各種安全控制策略需要能夠智能感知業(yè)務的遷移和變化，動態(tài)實現精細化的安全訪問控制，確保業(yè)務的安全。資源可調度：將計算任務分布在大量計算機構成的資源池上，使各種應用系統(tǒng)能夠根據需要獲取計算力、存儲空間和信息服務。并根據系統(tǒng)訪問的波峰期、波谷期靈活的對數據中心的網絡資源、計算資源、存儲資源實現統(tǒng)一調度。系統(tǒng)(xtng)易管理：各種控制和隔離(gl)策略要靈活部署，做到對網絡設備、服務器系統(tǒng)、存儲等系統(tǒng)的全面管理，同時管理數據流與業(yè)務數據流保持隔離。網絡安全：

14、構建校園安全防護體系，建設一套行之有效的安全管理機制，采用統(tǒng)一的接入網身份(shn fen)認證，主動發(fā)現、及時防御、迅速解決安全問題，并采用各種技術有效防止校園網絡病毒的傳播。XXX大學教育云拓撲結構本次建設分層分區(qū)設計學校數據中心為學校終身教育的湖湘學習廣場建設（終身教育學習平臺）、大學管理信息系統(tǒng)建設（URP）、新型開放教育教學平臺建設、國家數字化學習資源中心建設、信息化基礎設施建設等服務，以及各業(yè)務的安全隔離控制。按照網絡核心、匯聚和接入的模型對學校網絡系統(tǒng)進行劃分，從而完成用戶接入層面與數據中心的數據接入層面的分層設計。根據網絡實現的功能，從數據中心所提供業(yè)務的獨立性和互訪關系綜合考

15、慮，根據業(yè)務相關性和數據流訪問控制的要求，將數據中心網絡根據業(yè)務和功能劃分為以下幾個個功能區(qū)：核心(hxn)業(yè)務區(qū)：學校(xuxio)核心業(yè)務(yw)數據（終身教育學習平臺、國家數字化學習資源中心等）IT公共數據區(qū)（OA）：為辦公提供基礎IT服務和相關數據外聯(lián)區(qū)：與分?；蚱渌饴?lián)單位互訪接口互聯(lián)網區(qū)：門戶網站和遠程辦公接入出口、公共服務網管維護區(qū)：網絡的管理控制中心教育云網絡數據中心拓撲圖數據中心網絡設計XXXX大學下設市州和行業(yè)、企業(yè)分校眾多，而作為校園網運轉核心之一的IT系統(tǒng)訪問量巨大，為滿足學校業(yè)務擴張和數據大集中的發(fā)展需要，數據中心的建設中必須要考慮到系統(tǒng)的容量、性能、擴展性、安全性和

16、易管理等諸多因素。因此，在數據中心的建設中，采用業(yè)界通用的交換網絡設計，具有性能高、吞吐量大，可靠性高，擴展性好等優(yōu)勢。設計要求數據中心是XXXX大學最主要的業(yè)務平臺，承載(chngzi)著學校的核心業(yè)務，供學校內部數據交換，具有系統(tǒng)復雜、重要性極高、訪問頻繁、業(yè)務流量大、安全要求高、管理控制策略復雜等諸多特點，因此，數據中心網絡的設計必須要做到：應用(yngyng)系統(tǒng)高性能：10萬兆核心、無收斂、吞吐量高、快速響應、服務器負載均衡，確保大流量突發(fā)情況下不丟包；系統(tǒng)高可用：網絡采用全冗余設計(shj)，對各種故障和誤操作具有良好的魯棒性；網絡高安全：對各種訪問做到精細控制，防止各種非法和越權

17、訪問；4、易于管理：各種控制和隔離策略要靈活部署，做到對網絡設備、服務器系統(tǒng)、存儲等系統(tǒng)的全面管理，同時管理數據流與業(yè)務數據流保持隔離?？煽啃院妥杂芰︽溌啡哂?在主干連接上具備可靠的線路冗余方式。采用負載均衡的冗余方式，即通常情況下兩條連接均提供數據傳輸，并互為備份。主線路可實時、自動的切換到備份線路,而不影響業(yè)務應用。這種高速的網絡自愈特性應可以保證不會引起IP路由的重新計算，不會引起業(yè)務的瞬間質量惡化，更不會引起業(yè)務的中斷。模塊冗余 主干設備的所有模塊和環(huán)境部件具備1+1或1：N熱備份的功能，切換時間小于3秒。所有模塊具備熱插拔的功能。系統(tǒng)具備99.999%以上的可用性。每臺核心交換機要

18、求配置至少4塊獨立的交換網板（非主控或板卡集成）。設備冗余 提供由兩臺或兩臺以上設備組成一個虛擬設備的能力。當其中一個設備因故障停止工作時，另一臺設備自動接替其工作，并且不引起其他節(jié)點的路由表重新計算，從而提高網絡的穩(wěn)定性。以保證大部分IP應用不會出現超時錯誤。路由冗余 網絡的結構設計應提供足夠的路由冗余功能，在上述冗余特性仍不能解決問題時，數據流應能尋找其他路徑到達目的地址。擁塞(yngs)控制與服務質量保障擁塞控制(kngzh)和服務質量保障(QoS)是企業(yè)(qy)信息網關注的重要品質。由于接入方式、接入速率、應用方式、數據性質的豐富多樣，網絡的數據流量突發(fā)是不可避免的，因此，網絡對擁塞的

19、控制和對不同性質數據流的不同處理是十分重要的。業(yè)務分類 網絡設備應支持68種業(yè)務分類(COS)。當用戶終端不提供業(yè)務分類信息時，網絡設備應根據用戶的IP地址、應用類型、流量大小等自動對業(yè)務進行分類。接入速率控制 接入本網絡的業(yè)務應遵守其接入速率承諾。超過承諾速率的數據將被丟棄或標以最低的優(yōu)先級。隊列機制 具有先進的隊列機制進行擁塞控制，對不同等級的業(yè)務進行不同的處理，包括時延的不同和丟包率的不同。先期擁塞控制 當網絡出現真正的擁塞時，瞬間大量的丟包會引起大量TCP數據同時重發(fā)，加劇網絡擁塞的程度并引起網絡的不穩(wěn)定。網絡設備應具備先進的技術，在網路出現擁塞前就自動采取適當的措施，進行先期擁塞控制

20、，避免瞬間大量的丟包現象。資源預留 對非常重要的特殊應用，應可以采用保留帶寬資源的方式保證其QoS。網絡的擴展能力網絡的擴展能力包括設備交換容量的擴展能力、端口密度的擴展能力、主干帶寬的擴展，以及網絡規(guī)模的擴展能力。交換容量擴展 交換容量具備在規(guī)劃業(yè)務水平上保證48倍容量的能力，以適應IP類業(yè)務急速膨脹的現實。端口密度(md)擴展 設備(shbi)的端口密度應能滿足網絡擴容時設備間互聯(lián)的需要。主干帶寬(di kun)擴展 主干帶寬具備高帶寬擴展能力，以適應IP類業(yè)務急速膨脹的現實。網絡規(guī)模擴展 網絡體系、路由協(xié)議的規(guī)劃和設備的CPU/NP路由處理能力，在網絡節(jié)點數目上應能滿足35年的擴展要求。

21、通信協(xié)議的支持網絡通信協(xié)議以支持TCP/IP協(xié)議為主，兼支持IPX等協(xié)議。設備商應提供服務營運級別的網絡通信軟件和網際通用操作系統(tǒng)。域內路由協(xié)議支持RIP、RIPv2、OSPF、IS-IS等多種國際標準的路由協(xié)議。根據網絡工程的規(guī)模和需求，采用OSPF路由協(xié)議來進行規(guī)劃建設。并采取合理的區(qū)域劃分和路由規(guī)劃來保證網絡的穩(wěn)定性。域間路由協(xié)議支持BGP-4等標準的域間路由協(xié)議,保證與可與廣域網采用多種方式進行可靠互聯(lián)。MPLSMPLS提高網絡整體交換性能，在無連接的IP環(huán)境下實現面向連接的效果，MPLS可以支持VPN功能，有效隔離不用業(yè)務網段。網絡支持MPLS標準,具備3層、2層MPLS VPN的功

22、能，可以在與未來XXXX大學MPLS VPN網絡無縫對接。網絡交換設備設計需求核心層核心層提供多個數據中心匯聚模塊互聯(lián)，并連接園區(qū)網核心、互聯(lián)網出口和外聯(lián)單位；具有高交換能力和突發(fā)流量適應能力，無阻塞、低收斂或無收斂，采用多條萬兆鏈路捆綁互聯(lián)，同時核心交換機要求多匯聚模塊擴展能力，高性能要求4-8 10GE鏈路捆綁。采用多級的交換網架構,交換網板必須與主控分離，獨立于主控和線卡。同時核心層設備必須有大量成功部署在大型數據中心的應用案例，以保證設備的可用性。要求核心交換機能力支持16個萬光端口以上的業(yè)務插卡模塊, 配置虛擬化技術，要求兩臺物理設備的虛擬為一臺邏輯設備，支持統(tǒng)一的管理、跨設備鏈路聚

23、合，要求提供虛擬化技術的用戶使用報告至少兩份，至少提供一個本地可參觀的虛擬化技術應用樣板點；交換容量3Tbps，包轉發(fā)率950Mpps；業(yè)務單板槽位數8個；要求提供冗余主控、冗余電源、滿配交換網板；支持基于端口的VLAN，802.1Q Vlan封裝，最大Vlan數4096，支持GVRP, 支持IEEE 802.1x和IEEE 802.1x SERVER。支持STP/RSTP/MSTP協(xié)議，符合IEEE802.1D、IEEE802.1W、IEEE802.1S標準。支持PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP 、Any-RP、IGMPv1/v2/v3等協(xié)議；支持FCOE和FC

24、；支持PIM6-DM、PIM6-SM、MLDv1等協(xié)議。支持靜態(tài)路由、RIP V1/V2、OSPF、BGP，支持策略路由和VRRP 。支持IPv6靜態(tài)路由，RIPng、OSPFv3、IS-ISv6、BGP4+，支持IPv6的策略路由和VRRPv3，支持IPv4向IPv6的過渡技術，包括：IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道等。板卡可以實現分布式（非集中式）二、三層MPLS VPN，支持跨域MPLS VPN，包括VRF-VRF、MP-BGP、 MultiHop-BGP三種方式。匯聚(hu j)層為服務器群（server farm）對外提供高帶寬出口(ch ku)；要求提供

25、高密度10GE端口實現接入層互聯(lián)；作為應用服務器網關層，同時提供擴展業(yè)務模塊，如萬兆防火墻模塊、流量清洗模塊，實現網絡的訪問控制、DDoS防御、異常檢測和應用加速和負載均衡等高級功能。匯聚層與服務器群根據應用特點進行數據中心區(qū)域劃分，形成功能分區(qū)，可靈活擴展(kuzhn)，又可滿足業(yè)務系統(tǒng)獨立和隔離的需求。交換容量600G，包轉發(fā)率360Mbps，系統(tǒng)可提供萬兆接口24個，支持FCOE和FC，滿配萬兆多模光模塊，提供4個千兆電接口，支持內置電源冗余，配置雙冗余電源；支持跨設備鏈路聚合，單一IP管理，虛擬化后所有設備路由表項統(tǒng)一，未來可以通過虛擬化技術實現多臺匯聚虛擬成一臺大匯聚，支持IPv4/

26、IPv6靜態(tài)路由、RIP V1/V2/ng、OSPFv2/v3、BGP-4，支持策略路由。數據中心網絡(wnglu)出口(ch ku)設計根據(gnj)XXX大學的數據中心的訪問需求、業(yè)務系統(tǒng)類型、數據流特點，將數據中心出口分為三部分進行設計：互聯(lián)網區(qū)：提供學校的網絡出口：學校WEB網站系統(tǒng)、終身教育的XX學習廣場（終身教育學習平臺）、新型開放教育教學平臺、國家數字化學習資源中心、學校教師通過互聯(lián)網接入的移動辦公、通過Internet對外的業(yè)務交互等；出口路由器與ISP骨干網直連，需要高帶寬接口，同時提供較高的接口密度和匯聚能力。外聯(lián)區(qū)：與地州市和行業(yè)分校的業(yè)務互聯(lián)功能區(qū)、視頻會議等；一般通過

27、專線或VPN進行接入匯聚。內網區(qū)：包括大學管理信息系統(tǒng)建設（URP）、學分銀行系統(tǒng)、教務管理系統(tǒng)、財務系統(tǒng)、一卡通系統(tǒng)等，可根據具體的應用做詳細的服務器群劃分。Internet互聯(lián)網區(qū)互聯(lián)網區(qū)作為XXXX大學的數據中心出口，其作用主要有：學校面向公眾的展示平臺Web網站（前端平臺）包括：終身教育的XXX學習廣場（終身教育學習平臺）、新型開放教育教學平臺、國家數字化學習資源中心、終身教育數字化公共圖書館等。設計訪問量在50萬人并發(fā)訪問；公網訪問電子圖書館系統(tǒng)；出差辦公接入、URP系統(tǒng)訪問：主要通過SSL VPN接入；為滿足Internet區(qū)域訪問需要，提高網絡和應用系統(tǒng)安全性，將Internet

28、訪問的服務器及應用系統(tǒng)規(guī)劃在DMZ區(qū)域，下掛在Internet區(qū)域，Internet區(qū)域部署VPN設備、IPS、防火墻，對各種訪問進行控制，同時對各種DDoS攻擊、嗅探、掃描、欺騙進行防御，進行病毒過濾，對SSL VPN訪問。Internet區(qū)域需要部署出口鏈路負載均衡系統(tǒng)和防火墻設備，杜絕單點故障；部署SSL VPN設備，實現安全接入校園網絡。1、出口(ch ku)鏈路負載均衡系統(tǒng)：采用多核或多CPU架構(ji u)，如為多核，CPU核數目8個；如為多CPU架構，CPU數量不少于2個；固定(gdng)接口：10/100/1000以太網口16個；千兆SFP接口4個；吞吐量4Gbps；最大并發(fā)連

29、接數200萬；支持真實服務器個數16384；支持健康檢測個數16384；配置VRRP雙機熱備，支持設備內部以及設備之間的雙機熱備；LB模塊發(fā)生故障時，數據流能夠避開故障模塊，業(yè)務保持正常轉發(fā)；支持Inbound/Outbound雙向鏈路負載均衡；支持鏈路的失效切換；支持無限hops多路徑鏈路健康檢查方式；支持靜態(tài)地址列表匹配，要求基于電信/網通+聯(lián)通/移動+鐵通等運營商的IP地址庫；支持智能DNS解析，512條DNS表項；支持負載均衡算法：輪詢、加權輪詢、最小連接、加權最小連接、隨機、加權隨機、源地址HASH、目的地址HASH、HTTP內容、RTSP URL；支持ICMP、TCP、FTP、HT

30、TP、DNS等多種方式的健康檢測技術；支持和網絡無縫融合，可以通過網絡設備進行統(tǒng)一管理；支持服務器負載均衡；支持防火墻負載均衡；能夠同時支持服務器和防火墻負載均衡；支持多鏈路負載均衡；支持NAT方式的服務器負載均衡；支持DR方式的服務器負載均衡；支持路由模式的防火墻負載均衡；支持透明模式的防火墻負載均衡；支持在線部署和旁掛部署模式2、服務器負載均衡系統(tǒng)：硬件架構，采用基于每個端口的ASIC芯片；系統(tǒng)內核，采用封閉式的專有操作系統(tǒng)，無已知安全漏洞；硬件配置要求，背板帶寬48G ；CPU雙核2.6 GHz；內存4GB；端口密度， 總端口數14個；性能指標，四七層業(yè)務吞吐能力8G，并發(fā)會話數量400

31、萬，四層新建會話能力25萬，七層新建會話能力12萬設備；設備可靠性，滿足雙機冗余，采用VRRP冗余協(xié)議；雙交流電源配置；主要功能，支持負載均衡算法：輪詢、加權輪詢、最少用戶數、HASH、最少流量，支持會話保持方式：cookie，session ID，URL，Http Header等，可以通過license升級到支持全局負載均衡功能，支持RIP、RIP2、OSPF，BGP等路由協(xié)議；網管功能，支持管理方式：CLI，WEB（HTTP/HTTPS），Telnet，SSH，GUI界面管理，同一GUI界面下可以同時管理多臺設備，支持第三方網管軟件的插件，IBM Tivoli， CA Unicenter,

32、 HP Openview；IPS安全防護功能，可通過購買License的方式，啟用設備的IPS功能模塊，可以實時過濾不少于1600種目前最流行的病毒，蠕蟲，木馬，后門等入侵攻擊， 要求具備特征庫自動升級的能力，DOS/DDOS防范攻擊，提供集成DOS Sheild以及基于行為模式分析的BDOS 拒絕服務攻擊防范技術,集成針對syn flood的攻擊防范功能（需要DOS License）；帶寬管理功能，可通過購買License的方式，啟用設備的帶寬管理功能模塊，系統(tǒng)可支持帶寬管理功能，帶寬管理的粒度 = 4G，并發(fā)會話量 = 200萬，支持Thunder(訊雷)、騰訊超級旋風下載協(xié)議、BitTo

33、rent、eMule(電騾)/ eDonkey(電驢)、KazaA、PPLive、QQ Live、PPStream及沸點網絡電視等協(xié)議，支持QQ、ICQ、MSN Messenger、Yahoo Messenger及阿里旺旺等協(xié)議，支持Skype、UUCALL、Konge(中橋語音) 、SIP、MGCP及H323等協(xié)議，提供PC-PC、PC-Phone模式的呼叫識別、干擾、阻斷，支持MSSQL-Server及Oracle等，支持Notes、IMAP、POP、SMTP、FTP、Telnet及Syslog等，支持Big Wisdom(大智慧)及Straight Flush(同花順)等，支持魔獸世界、

34、QQ游戲、聯(lián)眾、新浪游戲大廳等且不少于30種，流媒體、WEB訪問、FTP下載、網絡管理共不少于20種，采用特征庫技術，特征庫升級過程無需重啟、不中斷業(yè)務正常運行，且完成整個升級過程所需時間小于5分鐘，特征庫支持手動升級與自動升級，特征庫必須在網上發(fā)布，平均至少兩周更新一次，以便利于獲取，提供開放端口，可手工定義協(xié)議類型，支持與第三方配合，共同開發(fā)特征庫，可導入用戶自行開發(fā)的特征庫，可識別2000+種應用協(xié)議，并可提供詳細列表或者腳本文件，可以識別并檢測802.1Q、MPLS、QinQ、GRE等特殊封裝的網絡報文。支持阻斷功能，支持限流功能，支持干擾功能，支持告警功能，可自動學習流量模型來進行策

35、略的調整，支持輸出報表功能，支持基于用戶名、區(qū)域、源/目的IP、IP組、時間、應用等綜合任意組合進行控制，支持對用戶URL訪問歷史記錄的查詢審計，包括提供訪問的用戶名/IP、網站信息、網頁信息、URL信息、網頁標題、訪問時間等，支持SMTP/POP3郵件信息審計，包括記錄發(fā)件人、收件人、抄送人、暗送人、主題、附件名、時間等，審計系統(tǒng)可接收NAT日志，會話開始時間與結束時間，從而實現直接審計到內部用戶功能，審計信息可通過Excel倒出、通過郵件直接發(fā)送，可按時間、地域、用戶名、源/目的IP、動作、類型等進行查詢，應用流量統(tǒng)計：能夠支持常見應用流量統(tǒng)計，提供對WEB網站綜合分析、WEB網站應用分析

36、、WEB應用行為分析、Email應用行為分析，包括Top N（N為10100）的柱狀圖、排行列表等，用戶或IP應用流量區(qū)分網絡統(tǒng)一(tngy)管理設計(shj)方案(fng n)智能管理平臺實現網絡資源、用戶和業(yè)務的融合管理，提供基本的網絡資源管理、拓撲管理、故障管理、性能管理、用戶管理及系統(tǒng)安全管理，基于B/S架構，采取組件化方式構建網絡管理系統(tǒng)，系統(tǒng)可以學校用戶的實際需要擴展其他所需要的業(yè)務管理組件，不需要更換基本平臺，滿足多種管理功能的需要。智能管理平臺通過標準的設備管理協(xié)議實現對銳捷、Cisco、3com、H3C等各主流廠商的數據通信設備管理。拓撲管理自動發(fā)現網絡拓撲結構，支持全網設備

37、的統(tǒng)一拓撲視圖，通過視圖導航樹提供視圖間的快速導航。通過自動發(fā)現可以發(fā)現網絡中的所有設備及網絡結構，并且可以將非SNMP設備發(fā)現出來，只要設備可以ping通即可。同時支持自動的拓撲圖呈現和自定義拓撲。支持對全網設備和連接定時輪詢和狀態(tài)刷新(shu xn)，實時了解整個網絡的運行情況，并且刷新周期是可定制，同時也支持對多個設備的刷新周期進行批量配置的功能。故障(gzhng)（告警/事件）管理故障管理(gunl)，即告警/事件管理，智能管理平臺及其他業(yè)務組件統(tǒng)一的告警中心。告警發(fā)現和上報告警中心可以按收各種告警源的告警事件，包括設備告警、本級網管站及下級網管站告警、網絡性能監(jiān)視告警、網絡配置監(jiān)視告

38、警、網絡流量異常監(jiān)視告警、終端安全異常告警等；同時通過支持對設備定時輪詢，實現通斷告警、響應時間告警等，以告警事件的方式上報給告警中心。支持告警智能分析，包括告警分類關聯(lián)分析、告警多源關聯(lián)分析、告警拓撲根源分析、告警網絡影響度分析。性能管理網管系統(tǒng)提供豐富的性能管理功能，同時以直觀的方式顯示。例如：可以提供折線圖、方圖、餅圖等多種顯示方式并能生成相應的報表。通過性能任務的配置，可自動獲得網絡的各種當前性能數據，并支持設置性能的閾值，當性能超過閾值時，網絡以告警的方式通知告警中心：支持能夠對CPU利用率、流量等關鍵指標一目了然；提供各類常用性能指標的缺省采集模板；支持實時性能監(jiān)視，支持二級閾值告

39、警設置,當鏈路或端口的流量超過閾值，系統(tǒng)將會發(fā)送性能告警，使網絡管理人員可以能夠及時了解(lioji)網絡中的隱患，及時消除隱患。同時為故障定位提供手段；提供基于歷史數據的分析，為用戶擴容網絡、及早(jzo)發(fā)現網絡隱患提供保障；支持餅圖、折線圖、曲線圖等多種圖形方式，直觀地反映性能指標的變化趨勢；提供靈活的組合條件統(tǒng)計(tngj)和查詢；性能報表支持導出Html、Txt、Excel、Pdf格式文件。設備管理設計支持設備管理，提供豐富的管理功能。通過面板管理，網絡管理人員可以直觀地看到設備、板卡、端口的工作狀態(tài)，通過設備信息瀏覽監(jiān)視，管理人員可以了解設備的運行情況，實時監(jiān)視CPU利用率、端口利

40、用率等重要信息。同時，提供圖形化的配置方式。提供完善的網元管理功能，通過逼真的面板圖片，直觀地反映了設備運行情況。通過面板圖標直觀地反映設備的框、架、槽、卡、風扇、CPU、端口等關鍵部件的運行狀態(tài)；能夠查看、設置設備端口狀態(tài)；能夠查看路由、VLAN等配置信息；能夠查看端口流量、丟包率、錯包率等關鍵統(tǒng)計數據；支持對交換機堆疊能力的管理；通過Ping、Traceroute等功能測試當前網絡鏈路的健康狀況；支持從設備列表、設備詳細信息、拓撲等多個入口打開設備面板。設備(shbi)配置統(tǒng)一管理提供配置庫管理功能(gngnng)，幫助管理員對設備配置文件形成基線庫，并進行集中管理。設備配置庫包括配置文件

41、和配置片斷，配置內容可帶有參數，在部署(b sh)時根據設備的差異設置不同的值。系統(tǒng)缺省提供常用的配置片斷：iCC提供一些常用的基本的配置片斷，可以對其進行復制、導出及部署：管理員可以從指定配置文件/片斷導入到配置庫中進行管理，也可以從指定設備上讀取當前配置并導入到配置庫中進行管理。除從設備導入、從文件導入配置庫功能外，管理員可以查看、增加、復制、修改、刪除、導出及部署指定的配置庫中任何配置文件/片斷。當網絡部署完畢，管理員可以通過配置庫管理將設備的配置信息保存下來，并進行基線化，這樣當設備配置變化或者需要更新配置時，管理員可以參照基線化的配置文件進行修改。服務器管理功能 網管系統(tǒng)必須提供對服

42、務器的管理功能，提供對常見數據庫服務器的監(jiān)控管理,包括：MySQL、Oracle、MS SQL、IBM DB2、Sybase的管理功能；提供對常見應用服務器的監(jiān)控管理，包括：微軟.NET、GlassFish、Jboss、OracleAS、SilverStream、Tomcat、WebLogic、WebSphere；提供對常見Web服務器和HTTP URL的監(jiān)控管理，包括：Apache、IIS、PHP和Web服務。支持URL/多個URL的監(jiān)視和錄制；支持可視化管理功能，可從多種業(yè)務的角度出發(fā)，提供可視化的管理視圖，包括分類視圖、圖標視圖、表格視圖、概要視圖、監(jiān)視器組視圖、批量配置視圖和業(yè)務視圖；

43、可直接在網管系統(tǒng)的拓撲圖上調用業(yè)務管理功能，查看被監(jiān)控業(yè)務系統(tǒng)的詳細信息和性能參數； 本次提供管理100臺設備的管理授權(shuqun)，提供服務器管理功能；準入端點(dun din)安全管理對于(duy)XXX大學運行著非常多重要應用的網絡，網絡的安全是重中之重。但是隨著網絡技術的發(fā)展，新的安全威脅不斷涌現，病毒和蠕蟲日益肆虐，其自我繁殖的本性使其對網絡的破壞程度和范圍持續(xù)擴大，經常引起系統(tǒng)崩潰、網絡癱瘓，使用戶蒙受嚴重損失。能對接入網絡的用戶終端強制實施企業(yè)安全策略，嚴格控制終端用戶的網絡使用行為，有效地加強了用戶終端的主動防御能力，為網絡管理人員提供了有效、易用的管理工具和手段。系統(tǒng)可以

44、配合網絡交換機對非正常用戶進行網絡接入和安全控制，服務器端可以集成在網絡管理系統(tǒng)中。系統(tǒng)需要支持802.1x、Portal、L2TP IPSec VPN、無線等多種網絡環(huán)境的身份認證，支持基于端口的802.1x和基于MAC地址的802.1x，可管理HUB或非智能交換機下的多個用戶，避免校園用戶私自擴展接入信息點；支持與包括微軟防病毒軟件在內的主流防病毒軟件聯(lián)動，對不符合最新防病毒版本的客戶端進行網絡接入限制；支持與微軟WSUS/SCCM協(xié)同的自動補丁管理。與微軟無縫集成，當用戶安全認證時，自動檢查、下載、安裝補丁，實現操作系統(tǒng)補丁自動升級，提升系統(tǒng)易用性；支持對軟件進行監(jiān)控、對進程進行監(jiān)控、支

45、持對服務進行監(jiān)控；支持用戶名、密碼與用戶IP、MAC、VLAN、設備IP、設備端口、主機名、域用戶、SSID等多種元素的綁定認證，方便運維中對用戶接入進行靈活的接入控制；支持對客戶端軟硬件資產信息的編號、收集、統(tǒng)計、變更情況告警等功能；支持exe文件安裝、AD域登錄腳本安裝、靜默安裝、網頁下載等安裝方式，減小系統(tǒng)部署時的難度；系統(tǒng)支持自助平臺進行預注冊申請，管理員審核后即可開通用戶帳號，用戶可以通過自助平臺對自己的用戶信息進行管理，如查詢、修改和密碼設置等；本次提供至少5000用戶的接入管理授權。數字(shz)KVM系統(tǒng)機架式,帶VM虛擬媒介(miji)功能，每臺配置接口轉換線纜32條，每臺K

46、VM的遠程數字(shz)用戶8個（KVM并發(fā)通道4個，串口會話通道4個），本地用戶1個，Modem口1個，連接被控設備接口32個，具有智能電源分配單元，支持多臺串接，方便擴展。支持單設備可管理服務器32臺；單設備并發(fā)IP用戶=8，（KVM并發(fā)通道4個，串口會話通道4個），持多個用戶通過Internet，LAN/WAN，或Modem撥號遠程控制被管理設備，支持所有開放系統(tǒng)（包括Windows、Unix、IRIX、Solaris、AIX系統(tǒng)等）；支持多平臺多服務器環(huán)境，如PC、MAC、SUN、ALPHA、RS6000、HP6400、SGI、USB、以及 ASCII 服務器和其他數據設備?？煽刂乒芾?/p>

47、串口設備以及服務器終端設備、實現BIOS級的訪問控制。能與IBM、HP、DELL的KVM進行無縫兼容。本地界面：業(yè)界標準的OSCAR界面，可用鼠標點擊操作。遠程界面：遠程操作界面全簡體中文；純網頁瀏覽方式，不需要安裝客戶端軟件，必須有支持USB2.0接口，可以外接USB光驅、U盤和移動硬盤，與服務器轉接器一起配合使用時，可以為被控設備提供外置USB設備共享，虛擬此USB設備到被控設備上實現數據拷貝和軟件升級，本地端最高可以支持1600120075HZ 32位真彩，遠程必須支持102476875HZ 16位真彩。在連接的不同分辨率服務器之間切換時，系統(tǒng)自動調節(jié)視頻大小，滿屏幕顯示，無需人工手動調

48、節(jié)，用戶可以根據需要任意拖動屏幕大小(具有矢量縮放功能)。軟件控管平臺，便于降低管理成本，靈活操作，考慮安全因素，要求支持開放式操作系統(tǒng)，便于控制安全策略，支持多機冗余集群，多臺備份系統(tǒng)可部署在不同地方，實現異地容災；集群中每臺服務器都處于Active狀態(tài)，不同地方的運維人員可實現就近訪問，實現管理的負載均衡，最大可1中心系統(tǒng)，15分支系統(tǒng)。支持IPMI/RSAII/DRAC/iLO等嵌入式芯片服務器、刀片服務器、PC服務器、網絡設備、安全設備、虛擬機、電源等IT設施的集中管理。能與DRA視頻審計系統(tǒng)無須安裝任何插件，無縫兼容。支持Virtual Centers、ESX servers和ESX

49、3i servers的管理。具備自動發(fā)現虛擬機、給出虛擬機資產列表、查看資源分配狀態(tài)、打開虛擬機的控制臺、執(zhí)行電源操作、開始或恢復一臺虛擬機、停止或掛起一臺虛擬機、打開 RDP/VNC會話、配置/接受數據日志等功能，支持分域的管理方式。在集中管理平臺中將設備和用戶等資源劃分到不同子域（部門），每個子域（部門）設立管理員，對自己所在區(qū)域的IT設備進行增刪和管理指派，實現以區(qū)域（部門）的自治運維管理。當用戶斷開KVM會話后，KVM系統(tǒng)自動實現鎖屏。數據中心服務器設計(shj)服務器選擇(xunz)說明XXX大學(dxu)數據中心建設中，根據應用系統(tǒng)對于服務器的性能要求，可以將服務器分成兩種大的類型

50、。一類是數據庫，針對這種應用，采用四路的高配服務器。第二類是較繁忙應用，主要包括支持中間件，web, 數字圖書館等。針對這種應用，采用兩路或四路的較高配置服務器?？紤]到集中管理和系統(tǒng)的先進性服務器采用刀片式服務器系統(tǒng)。四路服務器選擇四路服務器，選擇最新的企業(yè)級服務器擔任該服務器，支持4路英特爾至強E7 處理器、4個嵌入式千兆位以太網控制器、支持高達1024GB的DDR3 RAM、獨立SAS 控制器以及最多 5個內部硬盤等最新技術。其目標應用包括：域控制器（PDC/BDC）/ 目錄服務、DNS/DHCP/WINS、客戶互聯(lián)網WEB應用、系統(tǒng)管理應用服務器、數據庫服務，電子郵件服務，URP等。為了

51、進一步保證服務器操作系統(tǒng)和應用系統(tǒng)的可靠性，所有服務器采用兩塊磁盤設置為磁盤鏡像(RAID1)，當任意一塊磁盤發(fā)生故障時整體系統(tǒng)不受影響，只需在線更換磁盤既可解決問題。兩路服務器選擇兩路服務器，選擇(xunz)支持2路英特爾至強5600 DP處理器（6核）、4個嵌入式千兆位以太網控制器、支持高達192GB的DDR3 RAM、獨立SAS 控制器以及最多 6個內部硬盤等最新技術(jsh)。其目標應用包括：域控制器、目錄服務、DNS/DHCP/WINS、客戶互聯(lián)網WEB應用、文件服務，電子郵件服務、網絡管理等。服務器虛擬化的考慮(kol)每一臺虛擬服務器都可以利用VMware/Hyper-V 虛擬對

52、稱式多重處理 (SMP)技術，通過使單個虛擬機能夠同時使用多個物理處理器，增強了虛擬機性能。支持虛擬化需要多處理器和密集資源的應用程序。根據上面的分析，考慮將大量的Web、小型數據庫等用戶都放到虛擬服務器上，從而建立自己的虛擬服務器服務群?？紤]選擇4-6臺四路配置較高的服務器虛擬多個虛擬服務器服務器配置項目說明配置項要求數量應用服務器（刀片系統(tǒng)）集中提供全部業(yè)務邏輯方法服務；用于支持三維分析、設計、仿真軟件的大規(guī)模運算；集中提供數據庫管理功能刀片箱、功能模塊及配件2個萬兆以太網交換機模塊2套2個光纖交換機模塊及連接配件滿配冗余電源、電源線、KVM模塊提供USB、顯示器和模擬控制臺界面（ACI）

53、端口，支持多服務器之間進行切換，支持硬件故障檢測,診斷功能。雙路刀片兩顆Intel(R) 至強CPU 主頻2.0G，每顆CPU核心6 緩存12M，128GB DDR3-1333 RAM，2塊146GB SAS 10000RPM硬盤，RAID0/1，配置雙口10Gb CNA聚合網絡適配卡，雙端口萬兆以太網卡，標配顯卡，2個上PCI擴展插槽。 8臺四路刀片4顆Intel E7-4820 CPU，主頻1.86GHZ，64GB DDR3 1333 RAM，2塊146GB SAS 10000RPM硬盤，RAID0/1，配置雙口10Gb CNA聚合網絡適配卡，雙端口萬兆以太網卡，標配顯卡，2個以上PCI擴

54、展插槽，支持FCOE。2臺軟件項目服務器運行軟件Vmware虛擬化軟件16+1企業(yè)版1套操作系統(tǒng)Windows2008 R2 企業(yè)版 VLK4套應用軟件SQLServer2008R2企業(yè)版 VLKVisualStudio2010 旗艦版 VLK1套數據中心存儲(cn ch)設計數據中心不僅承載著學校的核心業(yè)務(yw)，還要負責與業(yè)務密切相關的核心數據存儲、備份功能，同時還要承擔著業(yè)務備份和災難恢復等重要功能。在數據中心規(guī)劃(guhu)中，采用主流的“兩地(lin d)三中心”的模式(msh)，即一個主數據中心、一個備用數據中心和一個數據備份中心。在具體建設中，可采用分期分步的建設步驟。首先分析

55、一下存儲業(yè)務。需求分析隨著XXXX大學數據中心建設的不斷深入，數字資源的容量也不斷增加。數字資源主要包括結構化數據和非結構化數據兩大類。結構化數據主要是各應用系統(tǒng)本身的各種管理數據、用戶賬號、資源屬性等；還有圖書館所購買的商業(yè)資源庫的索引目錄數據庫和部分圖書館管理系統(tǒng)的業(yè)務數據庫。非結構化數據包括所有的多媒體資源、商業(yè)資源庫的數字化圖書資源和自建資源中的課件等。其中，非結構化數據占所有數字化圖書館資源總容量的85%以上。系統(tǒng)設計設計原則先進性和成熟性系統(tǒng)建設必須符合當代信息技術發(fā)展形勢，既有先進技術又發(fā)展成熟，并且采用各領域公認的領先產品。以達到保護投資，降低系統(tǒng)實施風險的目的。高性能新建基礎

56、設施必須具有較高的性能。能夠為各應用系統(tǒng)提供良好的支撐。并且能夠滿足各系統(tǒng)峰值時的性能需求。且應用系統(tǒng)峰值時，基礎設施系統(tǒng)的負載應不超過其系統(tǒng)容量的70%?？煽啃院头€(wěn)定性安全性和保密性可擴展性和可管理性存儲系統(tǒng)方案設計基于上述的需求分析和設計原則，我們考慮采用(ciyng)統(tǒng)一存儲平臺解決方案來滿足海量存儲系統(tǒng)平臺的需求。核心存儲采用一臺高端統(tǒng)一存儲系統(tǒng)。同時(tngsh)提供FC、iSCSI、FCOE和NAS訪問(fngwn)，帶有不少于8個8Gbps前端FC接口、4個10Gbps FCOE前端接口和4個10Gbps NAS接口，前端配置兩個冗余NAS處理器24GB讀寫緩存，后端存儲控制器不低于24GB讀寫緩存，系統(tǒng)讀寫緩存可擴充到不低于800GB，后端磁盤接口總帶寬不低于96Gbps，提供高性能文件存儲服務。核心存儲支持SSD企業(yè)級閃存盤、6Gbps SAS 2.0硬盤通道和大容量NL SAS硬盤，結構化數據存放在SSD或者是SAS硬盤上，非結構化數據存放在NL SAS硬盤上。整個系統(tǒng)采用雙控制器、雙后端環(huán)路、雙/多主機連接架構，配合相應的多路徑鏈路冗余和負載均衡軟件，實現全冗余高可用架構。設計使用容量1TB SSD企業(yè)級閃存盤，10TB 15KRPM 6Gbps SAS 2.0硬盤，100TB 7200RPM 6Gbps NL SAS硬盤。