某三通兩平臺材料某三通兩平臺整體方

三通兩平臺整體方案規(guī)劃二O一二年十一月目錄第1章.現(xiàn)狀及需求分析41.1.工程建立背景41.2.應(yīng)用開展規(guī)劃41.2.1.專遞課堂41.2.2.名師課堂51.2.3.網(wǎng)絡(luò)協(xié)作教研51.2.4.資源類應(yīng)用61.2.5.互動教學(xué)61.2.6.教育管理平臺61.3.建立容61.3.1.三通兩平臺一中心6第2章.城域網(wǎng)及資源中心方案整體設(shè)計102.1.設(shè)計原則與思路102.2.整體解決方案12第3章.功能分區(qū)詳細(xì)設(shè)計143.1.云數(shù)據(jù)中心——資源中心設(shè)計143.1.1.云平臺數(shù)據(jù)中心建立目標(biāo)143.1.2.數(shù)據(jù)中心云平臺設(shè)計原則163.1.3.數(shù)據(jù)中心云平臺總體設(shè)計173.1.4.云平臺根底承載設(shè)計203.1.5.云平臺計算資源池設(shè)計253.1.6.存儲設(shè)計283.1.7.虛擬化平臺設(shè)計303.1.8.云平臺系統(tǒng)設(shè)計363.2.云通道建立——城域網(wǎng)/校校通方案443.2.1.需求分析443.2.2.鏈路選擇443.2.3.方案設(shè)計453.3.云接入建立——班班通方案523.3.1.需求分析523.3.2.網(wǎng)絡(luò)方案設(shè)計533.3.3.身份認(rèn)證方案設(shè)計553.4.云管理規(guī)劃——整網(wǎng)運(yùn)維方案583.4.1.系統(tǒng)平安管理583.4.2.資源管理593.4.3.拓?fù)涔芾?13.4.4.故障〔告警/事件〕管理643.4.5.告警深度關(guān)聯(lián)分析與統(tǒng)計653.4.6.性能管理703.4.7.設(shè)備管理組件73第4章.方案報價75第5章.案例參考755.1.教育云75現(xiàn)狀及需求分析工程建立背景上世紀(jì)九十年代以來，通過一系列重大工程和政策措施，我區(qū)的教育信息化開展奠定了一定的根底。隨著教育模式的改革和新技術(shù)的不斷涌現(xiàn)，信息化教學(xué)的應(yīng)用不斷拓展和深入，教學(xué)資源不斷豐富，教育信息化在促進(jìn)教育公平、提高教育質(zhì)量、創(chuàng)新教育模式領(lǐng)域的支撐和帶動作用初步顯現(xiàn)。"教育規(guī)劃綱要"明確提出了信息化目標(biāo)，即建成人人可享有優(yōu)質(zhì)教育資源的信息化學(xué)習(xí)環(huán)境，根本形成學(xué)習(xí)型社會的信息化支撐效勞體系，根本實現(xiàn)所有地區(qū)和各級各類學(xué)校寬帶網(wǎng)絡(luò)的全面覆蓋，教育管理信息化水平顯著提高，信息技術(shù)與教育融合開展的水平顯著提升。應(yīng)用開展規(guī)劃應(yīng)用開展是十二五期間信息化建立的關(guān)鍵容，建立與教學(xué)融合的應(yīng)用體系是應(yīng)用規(guī)劃的目標(biāo)。結(jié)合目前國外的先進(jìn)經(jīng)歷，我區(qū)擬規(guī)劃以下應(yīng)用容。專遞課堂同步課堂：同步課堂基于**區(qū)資源中心提供的機(jī)構(gòu)空間、學(xué)?？臻g、教師空間進(jìn)展。1個播出教室和1-5個接收教室構(gòu)成一個虛擬課堂。教育局在其空間，利用同步課堂組織管理工具，統(tǒng)一組織播出學(xué)校和接收學(xué)校，統(tǒng)一安排虛擬課堂課表，并組織教學(xué)。播出學(xué)校和接收學(xué)校也可自行配對，在其空間向教育局提出申請。推送資源：區(qū)資源中心根據(jù)教師需求情況將支持課堂教學(xué)的優(yōu)質(zhì)資源包推送到教師空間，幫助教師備課、上課、進(jìn)展教學(xué)評價。教師在教學(xué)活動中生成的資源可以提供到國家數(shù)字教育資源公共效勞平臺上進(jìn)展共享。探究性學(xué)習(xí)：區(qū)資源中心通過推送探究性學(xué)習(xí)工具和資源，提供智能導(dǎo)航幫助教師開展探究式、討論式、參與式教學(xué)，幫助學(xué)生增強(qiáng)運(yùn)用信息技術(shù)分析解決問題的能力，學(xué)會學(xué)習(xí)。幫助教師運(yùn)用探究學(xué)習(xí)模式開展日常學(xué)科教學(xué)。學(xué)生也可利用相應(yīng)工具自行組織探究性學(xué)習(xí)。名師課堂名師講堂：名師講堂模式主要用于名師講解學(xué)科重點難點，幫助學(xué)生更好地達(dá)成學(xué)習(xí)目標(biāo)。講授容以各學(xué)科和專業(yè)課程章節(jié)重難點和期末總結(jié)為主。名師導(dǎo)學(xué)：名師導(dǎo)學(xué)模式通過將教師課堂講授與智能學(xué)習(xí)系統(tǒng)〔“名師〞〕的診斷與導(dǎo)學(xué)相結(jié)合，實現(xiàn)差異化教學(xué)和個性化指導(dǎo)，提高學(xué)生學(xué)習(xí)能力。網(wǎng)絡(luò)協(xié)作教研跨校網(wǎng)絡(luò)協(xié)作教研跨區(qū)域網(wǎng)絡(luò)協(xié)作教研模式是利用國家數(shù)字教育資源公共效勞平臺提供的虛擬教研社區(qū)功能，組織不同區(qū)域教師開展協(xié)作教研活動，實現(xiàn)交流學(xué)習(xí)、優(yōu)勢互補(bǔ)、共同提高。名師工作室名師工作室模式用于有組織地開放以特級教師和學(xué)科骨干教師本人命名的教師空間，為廣闊教師有針對性的選擇與自己教育教學(xué)相關(guān)的專家或?qū)＜覉F(tuán)隊進(jìn)展持續(xù)的教學(xué)科研提供效勞。資源類應(yīng)用在區(qū)資源中心以自建、學(xué)校提供、企業(yè)提供等多種方式將傳統(tǒng)知識點和學(xué)習(xí)容電子化，以趣味、生動的方式呈現(xiàn)，提高學(xué)生學(xué)習(xí)興趣和理解能力。互動教學(xué)在教學(xué)過程中融入互動的體驗，遠(yuǎn)程學(xué)習(xí)〔名師講堂類〕時學(xué)生與教師遠(yuǎn)程互動，教學(xué)過程中與家長互動等。教育管理平臺將傳統(tǒng)的OA辦公、學(xué)籍管理、考勤系統(tǒng)、考核系統(tǒng)、行政辦公系統(tǒng)、等管理類系統(tǒng)統(tǒng)一為教育門戶，提供一體化的教育管理工作平臺。建立容三通兩平臺一中心兩個平臺，一個中心所有的應(yīng)用規(guī)劃從對象角度來區(qū)分可以分為兩大平臺，一個是教學(xué)資源公共效勞平臺，一個是教育管理公共效勞平臺。兩平臺均以應(yīng)用軟件方式呈現(xiàn)，需要一個統(tǒng)一的硬件數(shù)據(jù)中心來承載，所以建立的首要容就是“兩個平臺，一個中心〞。資源到?！ＰＭ▋纱笃脚_的容統(tǒng)稱為“資源〞，資源區(qū)學(xué)校共享的財富，實現(xiàn)共享的手段就是將資源送到學(xué)校，也就是通過網(wǎng)絡(luò)實現(xiàn)學(xué)校與教育局資源中心的連接，也即傳統(tǒng)校校通的建立局部。資源到班級——班班通讓學(xué)生在教室就能使用優(yōu)質(zhì)的教學(xué)資源，實現(xiàn)與遠(yuǎn)程名師的在線互動，就是資源到班級的建立容。包括多媒體教室，無線網(wǎng)絡(luò)覆蓋班級實現(xiàn)班班通。資源到個人——人人通學(xué)生放學(xué)后依然能使用教學(xué)資源，教師在家、出差時期也能便捷使用備課系統(tǒng)，家長輔導(dǎo)學(xué)生等應(yīng)用場景的實現(xiàn)，就是建立人人通空間，學(xué)生、家長、教師都能隨時隨地訪問的容。城域網(wǎng)及資源中心方案整體設(shè)計設(shè)計原則與思路城域網(wǎng)及資源中心的建立原則是能夠高效、平安、綠色的支撐應(yīng)用系統(tǒng)的使用，相比傳統(tǒng)城域網(wǎng)建立，表達(dá)在幾個層面的變化：數(shù)據(jù)中心的形成相比傳統(tǒng)效勞器部署而言，資源中心的建立要求有統(tǒng)一的數(shù)據(jù)中心來承載兩大平臺的運(yùn)行虛擬化的使用為了整合資源中心的硬件資源，會大量使用虛擬化技術(shù)來建立彈性的資源池；應(yīng)用類型對網(wǎng)絡(luò)帶寬的消耗應(yīng)用的規(guī)劃以動畫、視頻、互動等大流量應(yīng)用為主，相比傳統(tǒng)網(wǎng)絡(luò)帶寬要求提升10~20倍；用戶規(guī)模的劇增資源的使用者增加了學(xué)生，相比傳統(tǒng)只有教師使用的環(huán)境，用戶規(guī)模增加了10~20倍；流量模型的變化用戶的訪問模型以學(xué)校訪問資源中心的流量為主，根本上為縱向流量；允許斷網(wǎng)時間的變化教學(xué)系統(tǒng)上網(wǎng)意味著對網(wǎng)絡(luò)可靠性的要求提高，允許斷網(wǎng)時間應(yīng)該控制在分鐘級別；所以在城域網(wǎng)和資源中心的設(shè)計上需要遵循以下原則：高性能——骨干網(wǎng)絡(luò)性能是整個網(wǎng)絡(luò)良好運(yùn)行的根底，設(shè)計中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息〔視頻、動畫〕的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開展的瓶頸。高可靠性——網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，設(shè)備充分考慮冗余、容錯能力；合理設(shè)計網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運(yùn)行。網(wǎng)絡(luò)設(shè)備在出現(xiàn)故障時應(yīng)便于診斷和排除，充分表達(dá)計算機(jī)網(wǎng)絡(luò)的高可靠性。平安性——制訂統(tǒng)一的網(wǎng)絡(luò)平安策略，整體考慮網(wǎng)絡(luò)平臺的平安性，保證師生能夠平安、綠色的使用資源。獨立性——學(xué)校與教育局之間采用公網(wǎng)連接會導(dǎo)致一些應(yīng)用系統(tǒng)的不可用〔比方名師講堂、雙向教學(xué)等〕，而且公網(wǎng)連接也使得網(wǎng)絡(luò)不平安、不可控等隱患，所以教育局與學(xué)校之間應(yīng)該采用裸光纖或者VPN方式連接；技術(shù)先進(jìn)性和實用性——在保證滿足校園業(yè)務(wù)、應(yīng)用系統(tǒng)業(yè)務(wù)的同時，要表達(dá)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來開展趨勢。標(biāo)準(zhǔn)開放性——支持國際上通用的網(wǎng)絡(luò)協(xié)議、路由協(xié)議等開放的協(xié)議標(biāo)準(zhǔn)，有利于保證與其它網(wǎng)絡(luò)(如中國教育網(wǎng)、公共數(shù)據(jù)網(wǎng)、學(xué)校之間等其它網(wǎng)絡(luò))之間的平滑連接互通，以及將來網(wǎng)絡(luò)的擴(kuò)展。靈活性及可擴(kuò)展性——根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地擴(kuò)大和升級，最大程度的減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整?？晒芾硇浴獙W(wǎng)絡(luò)實行集中監(jiān)測、分權(quán)管理，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺，具有對設(shè)備、端口等的管理、流量統(tǒng)計分析，及可提供故障自動報警。強(qiáng)QOS、強(qiáng)組播特性——城域網(wǎng)因為對視頻、音頻等多媒體業(yè)務(wù)的需求較大，所以整個網(wǎng)絡(luò)具有較完善的QOS特性對教育網(wǎng)而言就顯得尤為重要。能不能對關(guān)鍵業(yè)務(wù)進(jìn)展帶寬優(yōu)先保證尤其是那些對時延敏感的業(yè)務(wù)進(jìn)展保證是教育網(wǎng)必須考慮的一個重點，為實現(xiàn)區(qū)別效勞，整網(wǎng)端到端的QOS特性機(jī)制是優(yōu)質(zhì)網(wǎng)絡(luò)業(yè)務(wù)的保證。另外組播特性對于有效的保證多媒體流傳輸性能和節(jié)省帶寬也有非常重要的意義，基于組播的控制特性也會進(jìn)一步保證組播流的控制、管理和平安，從而為實現(xiàn)教育城域網(wǎng)的多業(yè)務(wù)支持提供保障。兼容性和經(jīng)濟(jì)性——兼容性，能夠最大限度地保證學(xué)?，F(xiàn)有各種計算機(jī)軟、硬件資源的可用性和連續(xù)性，為不同的現(xiàn)存網(wǎng)絡(luò)提供互聯(lián)和升級的手段〔如現(xiàn)有的雙向教學(xué)系統(tǒng)〕，保證各種在用計算機(jī)系統(tǒng)〔包括工作站、效勞器和微機(jī)等設(shè)備〕的互連入網(wǎng)，充分利用現(xiàn)有網(wǎng)絡(luò)資源，發(fā)揮主干網(wǎng)的優(yōu)勢。經(jīng)濟(jì)性，就是在充分利用現(xiàn)有資源的情況下，最大限度地降低網(wǎng)絡(luò)系統(tǒng)的總體投資，有方案、有步驟地實施，在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有設(shè)備或做必要的升級。整體解決方案**區(qū)教育城域網(wǎng)的整體網(wǎng)絡(luò)拓?fù)淙缦铝袌D所示：整個網(wǎng)絡(luò)分為接入層〔學(xué)校〕、核心層、管理中心、電教館辦公網(wǎng)、城域網(wǎng)資源中心以及網(wǎng)絡(luò)出口等6個模塊。接入層在接入層，每個學(xué)校的出口采用一臺統(tǒng)一威脅管理設(shè)備U200作為出口網(wǎng)關(guān)，通過運(yùn)營商分配的專用線路連接到區(qū)教育局的網(wǎng)絡(luò)核心。核心層在核心層采用兩臺H3CS10508核心交換機(jī)，通過IRF2技術(shù)虛擬成一臺，以保證網(wǎng)絡(luò)核心的可靠性，同時成倍提升網(wǎng)絡(luò)性能。核心交換機(jī)上除了提供連接各功能區(qū)所必須的以太網(wǎng)接口外，還部署防火墻、IPS、流量分析等多種業(yè)務(wù)插卡，為整個教育城域網(wǎng)提供平安保障。管理中心管理中心作為整個教育城域網(wǎng)的總指揮部，部署網(wǎng)絡(luò)管理系統(tǒng)、平安管理系統(tǒng)、虛擬化管理平臺等管理系統(tǒng)，以便于管理人員對整個城域網(wǎng)進(jìn)展統(tǒng)一規(guī)劃和管理。電教館辦公網(wǎng)電教館辦公網(wǎng)作為城域網(wǎng)的一個單位接入城域網(wǎng)核心。同樣考慮到平安性和可管理性，建議在辦公網(wǎng)出口處部署一臺U200。資源效勞區(qū)在資源效勞區(qū)，通過虛擬化技術(shù)建立計算資源池和存儲資源池，為教育資源平臺動態(tài)分配硬件資源，從而提高硬件資源的可靠性和可擴(kuò)展性。資源效勞區(qū)通過假設(shè)干臺〔依據(jù)具體效勞器數(shù)量而定〕數(shù)據(jù)中心級接入交換機(jī)與城域網(wǎng)核心相連，構(gòu)成教育資源平臺和各個教育單位數(shù)據(jù)互通的通道。出口區(qū)整個教育城域網(wǎng)將擁有兩個網(wǎng)絡(luò)出口，一個連接到教育城域網(wǎng)中心，一個連接到互聯(lián)網(wǎng)，作為整個教育城域網(wǎng)公網(wǎng)出口。功能分區(qū)詳細(xì)設(shè)計云數(shù)據(jù)中心——資源中心設(shè)計云平臺數(shù)據(jù)中心建立目標(biāo)**區(qū)城域網(wǎng)數(shù)據(jù)中心是數(shù)據(jù)大集中而形成的集成IT應(yīng)用環(huán)境，它是各種IT業(yè)務(wù)和應(yīng)用效勞的提供中心，是數(shù)據(jù)運(yùn)算/交換/存儲的中心，實現(xiàn)對用戶的數(shù)據(jù)、應(yīng)用程序、物理構(gòu)架的全面或局部進(jìn)展整合和集中管理。數(shù)據(jù)中心的建立中，存儲系統(tǒng)的建立和完善貫穿始終，這和當(dāng)前應(yīng)用系統(tǒng)建立的重點是相一致的。不管是各種數(shù)字資源，還是需要備份保存的業(yè)務(wù)數(shù)據(jù)，其中心容都是對于信息〔數(shù)據(jù)〕的管理和使用。本方案將云數(shù)據(jù)中心“IT根底設(shè)施〞的“按需使用〞以及〞自動化管理和調(diào)度〞作為云計算的實踐，形成可落地實施的、可持續(xù)開展的云計算平臺，即IaaS云計算平臺，為**區(qū)旗下中小學(xué)提供效勞集中以及按需使用效勞，簡化各個學(xué)校的IT管理，實現(xiàn)**區(qū)教育資源的統(tǒng)一整合與管理。作為教育云計算實踐，云計算數(shù)據(jù)中心的建立建議到達(dá)以下目標(biāo)：通過標(biāo)準(zhǔn)化、虛擬化的資源池部署，提高整體IT根底設(shè)施資源利用率；實現(xiàn)IT根底設(shè)施資源的自助化效勞，按需申請，按需供應(yīng)，實現(xiàn)面向最終用戶的云效勞模式；實現(xiàn)IT根底設(shè)施資源的自動化部署及流程化管理，并可利用云計算管理平臺對資源進(jìn)展可視、全面的監(jiān)、管、控，簡化日常運(yùn)維的管理流程、降低維護(hù)本錢；在實現(xiàn)可落地的云實踐的根底上，保存未來向更高層次的云計算實踐開展的可能，如SaaS和PaaS相關(guān)應(yīng)用等；數(shù)據(jù)中心云平臺設(shè)計原則兼容與互通當(dāng)前階段云計算整個產(chǎn)業(yè)化還不夠成熟，相關(guān)標(biāo)準(zhǔn)還不完善。為保證多廠商的良好兼容性，防止廠商技術(shù)鎖定，方案的設(shè)計充分保證與第三方廠商設(shè)備保持良好的對接。此外，為保證方案的前瞻性，設(shè)備的選型應(yīng)充分考慮對已有的云計算相關(guān)標(biāo)準(zhǔn)〔如EVB/802.1Qbg等〕的擴(kuò)展支持能力，保證良好的先進(jìn)性，以適應(yīng)未來的技術(shù)開展。業(yè)務(wù)高可用云計算平臺作為承載未來教育城域網(wǎng)以及各個校園應(yīng)用的重要IT根底設(shè)施，伴隨著數(shù)據(jù)與業(yè)務(wù)的集中，云計算平臺的建立及運(yùn)維給信息部門帶來了巨大的壓力，因此平臺的建立從根底資源池〔計算、存儲、網(wǎng)絡(luò)〕、虛擬化平臺、云平臺等多個層面充分考慮業(yè)務(wù)的高可用，根底單元出現(xiàn)故障后業(yè)務(wù)應(yīng)用能夠迅速進(jìn)展切換與遷移，用戶無感知，保證業(yè)務(wù)的連續(xù)性。統(tǒng)一管理與自動化云計算的最終目標(biāo)是要實現(xiàn)系統(tǒng)的按需運(yùn)營，多種效勞的開通，而這依賴于對計算、存儲、網(wǎng)絡(luò)資源的調(diào)度和分配，同時提供用戶管理、組織管理、工作流管理、自助Protal界面等。從用戶資源的申請、審批到分配部署的智能化。管理系統(tǒng)不僅要實現(xiàn)對傳統(tǒng)的物理資源和新的虛擬資源進(jìn)展管理，還要從全局而非割裂地管理資源，因此統(tǒng)一管理與自動化將成為必然趨勢。開放接口傳統(tǒng)的管理系統(tǒng)與上層系統(tǒng)對接，注重故障的上報和信息的查詢。而云計算的管理系統(tǒng)更關(guān)注如何實現(xiàn)自動化的部署，在接口方面更關(guān)注資源調(diào)度和分配，這就需要管理系統(tǒng)在業(yè)務(wù)調(diào)度方面實現(xiàn)開放。為保證效勞器、存儲、網(wǎng)絡(luò)等資源能夠被云計算運(yùn)營平臺良好的調(diào)度與管理，要求系統(tǒng)提供開放的API接口，云計算運(yùn)營管理平臺能夠通過API接口、命令行腳本實現(xiàn)對設(shè)備的配置與策略下發(fā)聯(lián)動。同時云平臺也提供開放的API接口，未來可以基于這些接口進(jìn)展二次定制開放，將云管理平臺與教育城域網(wǎng)應(yīng)用相融合，實現(xiàn)面向云計算的教育應(yīng)用管理平臺。數(shù)據(jù)中心云平臺總體設(shè)計硬件構(gòu)造根據(jù)本期工程的需求和建立目標(biāo)云計算平臺總體邏輯拓?fù)錁?gòu)造如上圖所示。整個平臺由網(wǎng)絡(luò)資源池、計算資源池、存儲資源池、管理中心四局部組成。網(wǎng)絡(luò)資源池：采用業(yè)界主流的“核心+接入〞扁平化組網(wǎng)，核心交換機(jī)采用2臺H3CS10508設(shè)備，部署IRF2虛擬化技術(shù)，并在機(jī)框部署網(wǎng)流分析〔NetStream〕和防火墻〔FW〕插卡，實現(xiàn)業(yè)務(wù)的流量監(jiān)控和平安隔離防護(hù)，外聯(lián)至現(xiàn)網(wǎng)出口路由器，實現(xiàn)外網(wǎng)互通；接入交換機(jī)采用2臺H3CS5820V2設(shè)備，部署IRF2虛擬化技術(shù)，并啟用VEPA功能，實現(xiàn)虛擬化網(wǎng)絡(luò)感知。計算資源池：采用20臺H3CFle*ServerR390機(jī)架效勞器，通過H3CCloudVirtualizationKernel虛擬化平臺進(jìn)展整合構(gòu)建資源池，在虛擬機(jī)上部署業(yè)務(wù)系統(tǒng)和虛擬桌面應(yīng)用。存儲資源池：采用2臺HPLeftHandP4500iSCSI存儲陣列，存放虛擬機(jī)鏡像文件、配置文件以及業(yè)務(wù)系統(tǒng)數(shù)據(jù)。管理中心：采用2臺H3CFle*ServerR390機(jī)架效勞器，部署H3CiMCDCM數(shù)據(jù)中心管理套件、H3Cloud軟件套件，實現(xiàn)對云計算資源池的統(tǒng)一管理及調(diào)度。軟件構(gòu)造此次工程云計算軟件平臺的總體構(gòu)造如上圖所示，包括虛擬化層、自動化效勞層、管理層、業(yè)務(wù)編排層、API層：虛擬化層：利用CloudVirtualizationKernel提供的底層虛擬化能力和上層CloudVirtualizationCenter提供的管理能力，屏蔽底層物理硬件根底設(shè)施的異構(gòu)性和復(fù)雜度，對外以虛擬資源池的形式呈現(xiàn)。自動化效勞層：強(qiáng)調(diào)業(yè)務(wù)運(yùn)行的高可用性和可擴(kuò)展性，并對業(yè)務(wù)提供自動的容災(zāi)備份與資源調(diào)度能力。管理層：對虛擬化資源及云運(yùn)營要素進(jìn)展管理，如虛擬機(jī)生命周期的管理、虛擬機(jī)鏡像文件和配置文件的管理、多租戶的平安隔離、網(wǎng)絡(luò)策略配置的管理等。業(yè)務(wù)編排層：對云計算資源進(jìn)展可運(yùn)營性管理，包括對虛擬資源池的編排、最終用戶的自助效勞門戶、業(yè)務(wù)的申請、審批與開通、用戶帳務(wù)的管理與報表輸出等。API層：為第三方云運(yùn)營管理平臺提供RESTful的API接口。上述各層的功能實現(xiàn)分別對應(yīng)H3Cloud軟件套件中的CloudIntelligenceCenter、CloudVirtualizationManager和CloudVirtualizationKernel三個組件完成：CloudVirtualizationKernel：虛擬化核與管理代理運(yùn)行在根底設(shè)施層和上層操作系統(tǒng)之間的“元〞操作系統(tǒng)，用于協(xié)調(diào)上層操作系統(tǒng)對底層硬件資源的訪問，減輕軟件對硬件設(shè)備以及驅(qū)動的依賴性，同時對虛擬化運(yùn)行環(huán)境中的硬件兼容性、高可靠性、高可用性、可擴(kuò)展性、性能優(yōu)化等問題進(jìn)展加固處理。CloudVirtualizationManager：虛擬化管理軟件包主要實現(xiàn)對數(shù)據(jù)中心的計算、網(wǎng)絡(luò)和存儲等硬件資源的軟件虛擬化，形成虛擬資源池，對上層應(yīng)用提供自動化效勞。其業(yè)務(wù)圍包括：虛擬計算、虛擬網(wǎng)絡(luò)、虛擬存儲、高可靠性〔HA〕、動態(tài)資源調(diào)度〔DRS〕、虛擬機(jī)容災(zāi)與備份、虛擬機(jī)模板管理、集群文件系統(tǒng)、虛擬交換機(jī)策略等。CloudIntelligenceCenter：云業(yè)務(wù)運(yùn)營軟件包由一系列云根底業(yè)務(wù)模塊組成，通過將根底架構(gòu)資源〔包括計算、存儲和網(wǎng)絡(luò)〕及其相關(guān)策略整合成虛擬數(shù)據(jù)中心資源池，并允許用戶按需消費(fèi)這些資源，從而構(gòu)建平安的多租戶混合云。其業(yè)務(wù)圍包括：組織〔虛擬數(shù)據(jù)中心〕、多租戶數(shù)據(jù)和業(yè)務(wù)平安、云業(yè)務(wù)工作流、自助式效勞門戶、兼容OpenStack的RESTAPI接口等。云平臺根底承載設(shè)計核心層設(shè)計數(shù)據(jù)中心核心交換機(jī)需要資源池部高速交換以及骨干互聯(lián)工作，建議采用H3C數(shù)據(jù)中心級核心交換機(jī)S10500，主要基于如下考慮：高性能：核心會聚層需要與其它外部網(wǎng)絡(luò)互聯(lián)，外連接口眾多，并且這些外部網(wǎng)絡(luò)所提供的接入帶寬和接入設(shè)備都是業(yè)界高端設(shè)備，所以為了使網(wǎng)絡(luò)在核心交換區(qū)不存在性能瓶頸，采用具備高密萬兆的核心交換設(shè)備.整網(wǎng)可靠性：因為城域網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)具有高可靠性設(shè)計，業(yè)務(wù)層面最大限度的保障業(yè)務(wù)轉(zhuǎn)發(fā)不中斷、不丟包。因此建議在核心交換局部采用主控和交換網(wǎng)板別離的核心交換機(jī)，提高網(wǎng)絡(luò)可靠性，使整網(wǎng)可靠性方面不存在短板。綠色環(huán)保：為了降低機(jī)房空調(diào)能耗，要求核心交換機(jī)采用豎插槽，前下部進(jìn)風(fēng)、上后部抽風(fēng)、強(qiáng)迫風(fēng)散熱形式。要求通過RoHS、CE等國際環(huán)保認(rèn)證。核心層部署IRF2.0協(xié)議將兩臺S10508虛擬化成邏輯的1臺交換機(jī)實現(xiàn)了跨S10508鏈路聚合，通過虛擬化后的邏輯設(shè)備與下行接入層交換機(jī)5830V2進(jìn)展互聯(lián)，最終實現(xiàn)了核心S10508與接入5830之間邏輯點對點連接后消除環(huán)路的同時防止部署STP和VRRP協(xié)議。接入層設(shè)計接入層交換機(jī)采用全萬兆云平臺接入交換機(jī)H3C5830V2。未來每臺效勞器將會部署多臺虛擬資源對外響應(yīng)業(yè)務(wù)，考慮到每個業(yè)務(wù)能夠保證訪問的帶寬要求，建議每臺計算資源效勞器與接入交換萬兆互聯(lián)，同時每臺接入層交換機(jī)采用2個10GE接口與核心交換機(jī)相連，保證數(shù)據(jù)中心互訪的高效。網(wǎng)絡(luò)平安設(shè)計為了應(yīng)對云計算環(huán)境下的流量模型變化，平安防護(hù)體系的部署需要朝著高性能的方向調(diào)整。在本次工程的建立過程中，多條高速鏈路會聚成的大流量已經(jīng)比擬普遍，在這種情況下，平安設(shè)備必然要具備對高密度的10GE甚至100G接口的處理能力；無論是獨立的機(jī)架式平安設(shè)備，還是配合數(shù)據(jù)中心高端交換機(jī)的各種平安業(yè)務(wù)引擎，都可以根據(jù)用戶的云規(guī)模和建立思路進(jìn)展合理配置；同時，考慮到云計算環(huán)境的業(yè)務(wù)永續(xù)性，設(shè)備的部署必須要考慮到高可靠性的支持，諸如雙機(jī)熱備、配置同步、電源風(fēng)扇的冗余、鏈路捆綁聚合、硬件BYPASS等特性，真正實現(xiàn)大流量會聚情況下的根底平安防護(hù)。目前，虛擬化已經(jīng)成為云計算提供“按需效勞〞的關(guān)鍵技術(shù)手段，包括根底網(wǎng)絡(luò)架構(gòu)、存儲資源、計算資源以及應(yīng)用資源都已經(jīng)在支持虛擬化方面向前邁進(jìn)了一大步，只有基于這種虛擬化技術(shù)，才可能根據(jù)不同用戶的需求，提供個性化的存儲計算及應(yīng)用資源的合理分配，并利用虛擬化實例間的邏輯隔離實現(xiàn)不同用戶之間的數(shù)據(jù)平安。平安無論是作為根底的網(wǎng)絡(luò)架構(gòu)，還是基于平安即效勞的理念，都需要支持虛擬化，這樣才能實現(xiàn)端到端的虛擬化計算。典型的示意圖如下圖：本次工程防火墻插卡設(shè)備雖然部署在交換機(jī)框中，但仍然可以看作是一個獨立的設(shè)備。它通過交換機(jī)部的10GE接口與網(wǎng)絡(luò)設(shè)備相連，它可以部署為2層透明設(shè)備和三層路由設(shè)備。防火墻與交換機(jī)之間的三層部署方式與傳統(tǒng)盒式設(shè)備類似。如上圖FW三層部署所示，防火墻可以與宿主交換機(jī)直接建立三層連接，也可以與上游或下游設(shè)備建立三層連接，不同連接方式取決于用戶的訪問策略?？梢酝ㄟ^靜態(tài)路由和缺省路由實現(xiàn)三層互通，也可以通過OSPF這樣的路由協(xié)議提供動態(tài)的路由機(jī)制。如果防火墻部署在效勞器區(qū)域，可以將防火墻設(shè)計為效勞器網(wǎng)關(guān)設(shè)備，這樣所有訪問效勞器的三層流量都將經(jīng)過防火墻設(shè)備，這種部署方式可以提供區(qū)域部效勞器之間訪問的平安性。防火墻是網(wǎng)絡(luò)系統(tǒng)的核心根底防護(hù)措施，它可以對整個網(wǎng)絡(luò)進(jìn)展網(wǎng)絡(luò)區(qū)域分割，提供基于IP地址和TCP/IP效勞端口等的訪問控制；對常見的網(wǎng)絡(luò)攻擊方式，如拒絕效勞攻擊〔pingofdeath,land,synflooding,pingflooding,teardrop〕、端口掃描〔portscanning〕、IP欺騙(ipspoofing)、IP盜用等進(jìn)展有效防護(hù)；并提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MAC綁定等平安增強(qiáng)措施。對于云計算數(shù)據(jù)中心虛擬機(jī)效勞網(wǎng)關(guān)的選擇上，建議根據(jù)不同租戶的平安需求進(jìn)展區(qū)分對待，不建議將所有網(wǎng)關(guān)配置在FW上，以分散FW的壓力，滿足租戶的平安域隔離，具體設(shè)計如下：對于需要FW的業(yè)務(wù)的租戶，網(wǎng)關(guān)部署在vFW上；對于不需要FW的普通租戶，網(wǎng)關(guān)部署在核心交換機(jī)上。平安控制策略：防火墻設(shè)置為默認(rèn)拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒有明確的規(guī)則允許通過，全部拒絕以保證平安；建議在兩臺防火墻上設(shè)定嚴(yán)格的訪問控制規(guī)則，配置只有規(guī)則允許的IP地址或者用戶能夠訪問數(shù)據(jù)業(yè)務(wù)網(wǎng)中的指定的資源，嚴(yán)格限制網(wǎng)絡(luò)用戶對數(shù)據(jù)業(yè)務(wù)網(wǎng)效勞器的資源，以防止網(wǎng)絡(luò)用戶可能會對數(shù)據(jù)業(yè)務(wù)網(wǎng)的攻擊、非授權(quán)訪問以及病毒的傳播，保護(hù)數(shù)據(jù)業(yè)務(wù)網(wǎng)的核心數(shù)據(jù)信息資產(chǎn)；配置防火墻防DOS/DDOS功能，對Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒絕效勞攻擊進(jìn)展防，可以實現(xiàn)對各種拒絕效勞攻擊的有效防，保證網(wǎng)絡(luò)帶寬；配置防火墻全面攻擊防能力，包括ARP欺騙攻擊的防，提供ARP主動反向查詢、TCP報文標(biāo)志位不合法攻擊防、超大ICMP報文攻擊防、地址/端口掃描的防、ICMP重定向或不可達(dá)報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等，全面防各種網(wǎng)絡(luò)層的攻擊行為；根據(jù)需要，配置IP/MAC綁定功能，對能夠識別MAC地址的主機(jī)進(jìn)展鏈路層控制，實現(xiàn)只有IP/MAC匹配的用戶才能訪問數(shù)據(jù)業(yè)務(wù)網(wǎng)中的效勞器；其他可選策略：可以啟動防火墻身份認(rèn)證功能，通過置數(shù)據(jù)庫或者標(biāo)準(zhǔn)Radius屬性認(rèn)證，實現(xiàn)對用戶身份認(rèn)證后進(jìn)展資源訪問的授權(quán)，進(jìn)展更細(xì)粒度的用戶識別和控制；根據(jù)需要，在兩臺防火墻上設(shè)置流量控制規(guī)則，實現(xiàn)對效勞器訪問流量的有效管理，有效的防止網(wǎng)絡(luò)帶寬的浪費(fèi)和濫用，保護(hù)關(guān)鍵效勞器的網(wǎng)絡(luò)帶寬；根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時間段規(guī)則，實現(xiàn)基于時間的訪問控制，可以組合時間特性，實現(xiàn)更加靈活的訪問控制能力；在防火墻上進(jìn)展設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段〔、日志、SNMP陷阱等〕，實現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用；啟動防火墻日志功能，利用防火墻的日志記錄能力，詳細(xì)完整的記錄日志和統(tǒng)計報表等資料，實現(xiàn)對網(wǎng)絡(luò)訪問行為的有效的記錄和統(tǒng)計分析；云平臺計算資源池設(shè)計效勞器是云計算平臺的核心，其承當(dāng)著云計算平臺的“計算〞功能。對于云計算平臺上的效勞器，通常都是將一樣或者相似類型的效勞器組合在一起，作為資源分配的母體，即所謂的效勞器資源池。在這個效勞器資源池上，再通過安裝虛擬化軟件，使得其計算資源能以一種虛擬效勞器的方式被不同的應(yīng)用使用。這里所提到的虛擬效勞器，是一種邏輯概念。對不同處理器架構(gòu)的效勞器以及不同的虛擬化平臺軟件，其實現(xiàn)的具體方式不同。在*86系列的芯片上，其主要是以常規(guī)意義上的VMware虛擬機(jī)或者H3Cloud虛擬機(jī)的形式存在。在搭建效勞器資源池之前，首先應(yīng)該確定資源池的數(shù)量和種類，并對效勞器進(jìn)展歸類。歸類的標(biāo)準(zhǔn)通常是根據(jù)效勞器的處理器類型、型號、配置、物理位置來決定。對云計算平臺而言，屬于同一個資源池的效勞器，通常就會將其視為一組可互相替代的資源。所以，一般都是將一樣處理器、相近型號系列并且配置與物理位置接近的效勞器——比方相近型號、物理距離不遠(yuǎn)的機(jī)架式效勞器或者刀片效勞器。在做資源池規(guī)劃的時候，也需要考慮其規(guī)模和功用。如果單個資源池的規(guī)模越大，可以給云計算平臺提供更大的靈活性和容錯性：更多的應(yīng)用可以部署在上面，并且單個物理效勞器的宕機(jī)對整個資源池的影響會更小些。但是同時，太大的規(guī)模也會給出口網(wǎng)絡(luò)吞吐帶來更大的壓力，各個不同應(yīng)用之間的干擾也會更大。如果有條件的話，通常推薦先審視一下自身的業(yè)務(wù)應(yīng)用。可以考慮將應(yīng)用分級，將*些級別高的應(yīng)用盡可能地放在*些獨立而規(guī)模較小的資源池，輔以較高級別的存儲設(shè)備，并配備高級別的運(yùn)維值守。而那些級別比擬低的應(yīng)用，則可以被放在那些規(guī)模較大的公用資源池〔群〕中。初期的資源池規(guī)劃應(yīng)該涵蓋所有可能被納管到云計算平臺的所有效勞器資源，包括那些為搭建云計算平臺新購置的效勞器、校園部那些目前閑置著的效勞器以及那些現(xiàn)有的并正在運(yùn)行著業(yè)務(wù)應(yīng)用的效勞器。在云計算平臺搭建的初期，那些目前正在為業(yè)務(wù)系統(tǒng)效勞的效勞器并不會直接被納入云計算平臺的管轄。但是隨著云計算平臺的上線和業(yè)務(wù)系統(tǒng)的逐漸遷移，這些效勞器也將逐漸地被并入云計算平臺的資源池中。對于*86系列的效勞器，除了用于生產(chǎn)系統(tǒng)的資源池以外，還需要專門搭建一個測試用資源池，以便云計算平臺工程實施過程以及平臺上線以后運(yùn)維過程中使用。在云計算平臺搭建完畢以后，效勞器資源池可以如下列圖所示：在云計算平臺上線以后，原有非云計算平臺上的應(yīng)用會逐步向云計算平臺遷移，空出的效勞器資源池也會逐漸并入云計算平臺的資源池中。其狀態(tài)可以用下列圖所示：存儲設(shè)計對云計算平臺存儲的規(guī)劃的出發(fā)點應(yīng)該是應(yīng)用本身。首先應(yīng)該考察每個業(yè)務(wù)應(yīng)用的優(yōu)先級，以及其對存儲性能、可靠性與靈活性的要求。對那些需要高性能與高可靠性的云計算應(yīng)用，原則上應(yīng)該為其或者其所在的資源池配備性能、可靠性較好的高端的存儲。而對于那些對靈活性要求較高的業(yè)務(wù)應(yīng)用，則應(yīng)該考慮為其或其所在的資源池配備靈活性比擬好的存儲虛擬化方案。如果應(yīng)用足夠重要，在設(shè)計存儲架構(gòu)的時候還應(yīng)該考慮存儲級別的備份，以對各個節(jié)點可能出現(xiàn)的故障做冗余。比方，可以采用雙存儲交換機(jī)互為熱備的形式，來防止存儲用光纖交換機(jī)所出現(xiàn)的故障可能。同樣，該資源池后面所拖的存儲，也可以采用雙存儲熱備的形式。為該資源池的主存儲購置一個型號一樣的備用存儲效勞器并通過磁盤對磁盤的備份方式，對兩個存儲效勞器上的數(shù)據(jù)進(jìn)展同步。這樣，資源池、交換機(jī)和存儲效勞器的關(guān)系可以如下列圖所示：對于共享存儲資源池，根據(jù)具體資源池上所運(yùn)行的業(yè)務(wù)類型的特性，也可以考慮為其配備各種類型的存儲。對于運(yùn)行關(guān)鍵應(yīng)用的生產(chǎn)系統(tǒng)，推薦配備SAN架構(gòu)的存儲解決方案。而對非關(guān)鍵應(yīng)用的生產(chǎn)系統(tǒng)，可以根據(jù)預(yù)算，靈活地配備SAN、iSCSI或者NAS的存儲解決方案。本地存儲設(shè)計效勞器本地存儲用于安裝虛擬化平臺〔如CloudVirtualizationManager和CloudVirtualizationKernel〕和保存資源池的元數(shù)據(jù)。本地存儲建議配置兩塊SAS硬盤，設(shè)置為RAID-1，通過鏡像〔Mirror〕方式防止本地磁盤出現(xiàn)單點故障，以提高H3Cloud本身的可用性。遠(yuǎn)端共享存儲設(shè)計遠(yuǎn)端共享存儲用于保存所有虛擬機(jī)的鏡像文件以支持動態(tài)遷移、HA和動態(tài)負(fù)載均衡等高級功能。共享存儲LUN容量規(guī)劃公式如下：LUN容量=〔Z×〔*+Y〕×1.2〕Z=每LUN上駐留的虛擬機(jī)個數(shù)*=虛擬磁盤文件容量Y=存大小假設(shè)每個LUN上駐留10個虛擬機(jī)，虛擬磁盤文件容量需求平均為40GB，存容量在4～8GB之間，考慮到未來業(yè)務(wù)的擴(kuò)展性，存交換文件按8GB空間估算，整體冗余20%，則：LUN容量=〔10×〔8+40〕×1.2〕≈600GBISO庫為了虛擬機(jī)安裝配置的方便，建議配置ISO鏡像庫，可以將保存在Windows共享中的ISO格式安裝源文件通過WindowsCIFS方式掛接在H3CloudHyperCenter上，這樣，創(chuàng)立新虛擬機(jī)時不需要使用物理光驅(qū)和光盤，簡化使用和提高安裝速度。虛擬化平臺設(shè)計傳統(tǒng)的虛擬機(jī)生命周期是指虛擬機(jī)從創(chuàng)立到刪除所經(jīng)歷的各個階段，最常見的劃分為“創(chuàng)立、運(yùn)行、終結(jié)〞三個階段。在IaaS架構(gòu)中，虛擬機(jī)作為最為重要的IT根底設(shè)施，它的生命周期貫穿于整個云業(yè)務(wù)效勞的流程之中，并直接關(guān)系著云計算平臺的資源利用狀況。因此，為了更好的將虛擬機(jī)的生命周期管理和云業(yè)務(wù)及資源平臺管理結(jié)合在一起，在H3Cloud云計算解決方案中，將虛擬機(jī)的生命周期外延為“規(guī)劃、創(chuàng)立、運(yùn)行、調(diào)整、終結(jié)〞五個階段。在云解決方案中，虛擬機(jī)生命周期的管理除了關(guān)注虛擬機(jī)正常的生命階段以外，還需要關(guān)注虛擬機(jī)兩個外延屬性——業(yè)務(wù)和資源。規(guī)劃虛擬機(jī)的規(guī)劃是IT架構(gòu)的關(guān)鍵設(shè)計疇。在這個階段需要將業(yè)務(wù)需求轉(zhuǎn)化為IT需求，并落實到業(yè)務(wù)和資源兩個方面的規(guī)劃設(shè)計中來。著重考慮兩個方面的容：業(yè)務(wù)梳理和評估通過對業(yè)務(wù)的梳理，評估各學(xué)校以及數(shù)據(jù)中心平臺各業(yè)務(wù)部門對虛擬機(jī)類型和規(guī)模的需求定義各部門組織以及給組織劃分其所屬的虛擬資源，包括計算資源，網(wǎng)絡(luò)資源，存儲資源以及虛擬機(jī)模板等。實際操作流程如下列圖所示：創(chuàng)立虛擬機(jī)的創(chuàng)立是虛擬機(jī)實體誕生并提供應(yīng)用戶業(yè)務(wù)的開場。H3Cloud云方案提供了多種方式來創(chuàng)立虛擬機(jī)：從模板生成，自定義參數(shù)，克隆等。虛擬機(jī)創(chuàng)立時需要考慮硬件資源〔CPU數(shù)量〔核數(shù)〕&CPU調(diào)度優(yōu)先級，IO資源：存儲資源&IO優(yōu)先級。存大小，網(wǎng)絡(luò)資源等〕和系統(tǒng)和應(yīng)用〔操作系統(tǒng)等〕〕兩方面的容。這些因素在H3C云管理平臺中虛擬機(jī)創(chuàng)立流程中都會有涉及，具體操作界面如下列圖所示：運(yùn)行虛擬機(jī)的運(yùn)行可以實現(xiàn)完整的傳統(tǒng)物理機(jī)運(yùn)行狀態(tài)。而且依托虛擬化技術(shù)實現(xiàn)更加靈活的虛擬機(jī)使用模式：啟動、休眠、關(guān)閉、暫停、恢復(fù)、重啟。用戶可以依托H3C云管理平臺簡單的實現(xiàn)上述虛擬機(jī)的狀態(tài)的切換，具體如下列圖所示：調(diào)整虛擬機(jī)的調(diào)整是云業(yè)務(wù)管理員根據(jù)虛擬機(jī)所承載的業(yè)務(wù)的變化需求對現(xiàn)有虛擬機(jī)所占資源的主動行為。這種調(diào)整可以是由于業(yè)務(wù)擴(kuò)展帶來的虛擬機(jī)硬件資源擴(kuò)，也可能是業(yè)務(wù)收縮后對多余資源的釋放。虛擬機(jī)的調(diào)整是云計算業(yè)務(wù)資源彈性最直觀的表達(dá)，也是云計算技術(shù)給教育業(yè)務(wù)開展帶來敏捷性的根本所在。H3C云計算平臺可以在線的調(diào)整虛擬機(jī)所占用的系統(tǒng)資源，實際操作如下列圖所示：終結(jié)如下列圖所示，虛擬機(jī)在云計算管理平臺上被刪除，即意味著虛擬機(jī)生命周期的終結(jié)。在虛擬機(jī)生命周期終結(jié)時要關(guān)注虛擬機(jī)所占用系統(tǒng)資源的回收。H3C云管理平臺在虛擬刪除后，會自動回收CPU和存等資源，為了保證虛擬機(jī)數(shù)據(jù)平安其所占用的存儲資源不會自動回收。云平臺系統(tǒng)設(shè)計云業(yè)務(wù)工作流程在“IT即效勞〞的云計算平臺系統(tǒng)中，IT效勞的自助式提供和業(yè)務(wù)自動化部署是云計算業(yè)務(wù)的關(guān)鍵特點。而上述特點均依賴于云業(yè)務(wù)部署流程的合理管理和業(yè)務(wù)自動化部署的結(jié)合。通過云業(yè)務(wù)工作流程的管理，可以將云計算平臺中各功能模塊有機(jī)的結(jié)合起來。從而實現(xiàn)云計算平臺業(yè)務(wù)快速和自動化開展實施。云業(yè)務(wù)工作流作為一個公共根底系統(tǒng)貫穿了云平臺業(yè)務(wù)過程，最終實現(xiàn)IT效勞的對業(yè)務(wù)部門的自助式交付。H3C云計算解決方案基于Web頁面提供了完整的端到端云業(yè)務(wù)工作流程管理。其業(yè)務(wù)工作流程如下列圖所示:用戶訪問自助門戶完成身份認(rèn)證和權(quán)鑒效勞目錄根據(jù)用戶身份〔所屬部門〕組織對應(yīng)的效勞目錄，并推送到用戶自助門戶用戶在自己對應(yīng)的效勞目錄中選擇申請所需的云效勞，從而啟開工作流管理員審批用戶的效勞自助申請。審批通過后，啟動業(yè)務(wù)開啟流程，將效勞申請下發(fā)到編排系統(tǒng)編排系統(tǒng)根據(jù)用戶所選的效勞獲取對應(yīng)的資源屬性，自動調(diào)用云資源管理平臺接口開通所需的計算、網(wǎng)絡(luò)、存儲資源，創(chuàng)立出用戶所申請的虛擬機(jī)虛擬機(jī)創(chuàng)立成功后，編排系統(tǒng)通知用戶自助門戶更新狀態(tài)用戶正常使用虛擬機(jī)資源〔刪除虛擬機(jī)亦參照此流程〕虛擬桌面部署桌面虛擬化解決方案在不改變用戶使用習(xí)慣的前提下，將傳統(tǒng)學(xué)校用戶桌面系統(tǒng)以虛擬機(jī)的形式提供應(yīng)終端用戶。這些虛擬機(jī)運(yùn)行于云計算數(shù)據(jù)中心的虛擬計算資源池中，共享數(shù)據(jù)中心的計算、網(wǎng)絡(luò)、存儲資源，從而有效的實現(xiàn)了整個教育城域網(wǎng)IT資源的彈性部署。依托云計算管理平臺和云業(yè)務(wù)工作流程，系統(tǒng)可以自動化部署用戶自助申請的虛擬桌面資源，部署完成后用戶即可使用。從而極大的提升了桌面應(yīng)用的彈性和效率。另一方面，云平臺業(yè)務(wù)管理人員可以通過管理通道遠(yuǎn)程集中式管理教育系統(tǒng)各用戶的虛擬桌面系統(tǒng)。防止了管理人員上門效勞，效率低下等傳統(tǒng)桌面系統(tǒng)的問題。綜上所述，桌面虛擬化系統(tǒng)具備有效保障關(guān)鍵數(shù)據(jù)的平安性，IT硬件資源的彈性部署，增強(qiáng)桌面系統(tǒng)的靈活性的同時，增強(qiáng)了桌面系統(tǒng)的可管理性并降低了總體擁有本錢和維護(hù)本錢。如上圖所示，為了實現(xiàn)虛擬桌面業(yè)務(wù)系統(tǒng)的搭建。云平臺業(yè)務(wù)管理員首先需要依照流程搭建好云計算業(yè)務(wù)平臺，包括計算資源池、根底網(wǎng)絡(luò)平臺、存儲資源池、云業(yè)務(wù)管理平臺幾個關(guān)鍵組件。值得注意的是，在設(shè)計實施云業(yè)務(wù)平臺之前，云業(yè)務(wù)管理員需要對各云平臺以及各個學(xué)校業(yè)務(wù)進(jìn)展梳理和評估。通過細(xì)分各部門、各學(xué)校的業(yè)務(wù)需求，可以根據(jù)、需求事先定制其所需的虛擬桌面類型，從而簡化日常終端用戶的虛擬桌面申請和審批業(yè)務(wù)流程。同時，虛擬機(jī)的管理通道也需要在云業(yè)務(wù)平臺設(shè)計時充分考慮并實施。依托H3C專利技術(shù)，H3C云計算解決方案有效保障了虛擬機(jī)遷移時管理系統(tǒng)的正常運(yùn)行。H3C桌面虛擬化解決方案可以實現(xiàn)虛擬桌面的自動化業(yè)務(wù)工作流。首先，終端用戶登錄基于WEB的自助效勞平臺，完成身份認(rèn)證和權(quán)鑒后，可以根據(jù)云業(yè)務(wù)管理員為其事先定制的虛擬桌面類型來按需選擇申請所需的虛擬桌面。終端用戶的申請審批通過后，云業(yè)務(wù)管理平臺可以自動部署用戶所申請?zhí)摂M桌面，完成IT效勞的自動化部署。用戶申請的虛擬桌面虛擬機(jī)創(chuàng)立完成后，云管理平臺會將更新后的用戶虛擬桌面狀態(tài)信息推送到自助效勞平臺。用戶即通過自助效勞平臺基于WEB頁面實現(xiàn)對申請到的虛擬桌面系統(tǒng)的正常使用。H3C用戶自助效勞業(yè)務(wù)平臺，如下列圖所示：**區(qū)教育城域網(wǎng)落成以后，可以為每個學(xué)校的教職工配發(fā)瘦客戶機(jī)取代原有的PC。教職工通過虛擬桌面的形式將自己所辦公所需要的信息和資源存放在位于區(qū)電教館的數(shù)據(jù)中心。電教館的網(wǎng)絡(luò)管理員可以為用戶制定虛擬桌面的系統(tǒng)使用權(quán)限，對其在系統(tǒng)上安裝和刪除軟件等行為進(jìn)展控制，大大增強(qiáng)了整個教育城域網(wǎng)的可管理性，有效防止了用戶亂裝軟件等行為導(dǎo)致的信息平安事件。HA功能部署傳統(tǒng)數(shù)據(jù)中心的效勞器高可靠性保障通常會選擇依賴于集群技術(shù)的部署。而云計算平臺將計算資源虛擬化以后，可以利用虛擬效勞器自身虛擬化的特點實現(xiàn)傳統(tǒng)物理效勞器上無法實現(xiàn)的高可靠性。為了提升云業(yè)務(wù)系統(tǒng)的可靠性，在云計算平臺的計算資源池建立時，可以將多個物理主機(jī)合并為一個具有共享資源池的集群。H3CloudVirtualizationManagerHA功能會監(jiān)控該集群下所有的主機(jī)和物理主機(jī)運(yùn)行的虛擬主機(jī)。當(dāng)物理主機(jī)發(fā)生故障，出現(xiàn)宕機(jī)時，HA功能組件會立即響應(yīng)并在集群另一臺主機(jī)上重啟該物理主機(jī)運(yùn)行的虛擬機(jī)。當(dāng)*一虛擬效勞器發(fā)生故障時，HA功能也會自動的將該虛擬機(jī)重新啟動來恢復(fù)中斷的業(yè)務(wù)。如下列圖所示：HA功能給教育云計算平臺帶來的價值如下：簡便的設(shè)置和啟動：使用“新建集群〞向?qū)磉M(jìn)展初始設(shè)置，使用H3CloudCloudVirtualizationManager虛擬化管理平臺添加主機(jī)和新的虛擬機(jī)。降低硬件本錢和設(shè)置：在傳統(tǒng)集群解決方案中，必須有重復(fù)的軟硬件，而且各個組件必須正確連接和配置。使用H3CloudVirtualizationManager集群時，只要保證有足夠的資源容納要確保其故障切換的主機(jī)的數(shù)量，就可以便捷自動地完成主機(jī)故障切換。無論硬件和操作系統(tǒng)平臺如何，H3CCloudVirtualizationManagerHA都通過為應(yīng)用程序提供可用的、經(jīng)濟(jì)的高可靠性，而使其更“群眾化〞。動態(tài)資源調(diào)整H3CloudVirtualizationManager提供的動態(tài)資源調(diào)整功能可以持續(xù)不斷地監(jiān)控計算資源池的各物理主機(jī)的利用率，并能夠根據(jù)用戶業(yè)務(wù)的實際需要，智能地在計算資源池各物理主機(jī)間給虛擬機(jī)分配所需的計算資源。通過自動的動態(tài)分配和平衡計算資源，動態(tài)資源調(diào)整特性能夠：整合效勞器，降低IT本錢，增強(qiáng)靈活性；減少停機(jī)時間，保持業(yè)務(wù)的持續(xù)性和穩(wěn)定性；減少需要運(yùn)行效勞器的數(shù)量，提高能源的利用率。隨著業(yè)務(wù)量的增長，虛擬機(jī)對計算資源需求會相應(yīng)的迅速增加。此時其所在物理主機(jī)的可用資源可能就不能再滿足其上承載的虛擬機(jī)的計算需要。H3CloudVirtualizationManager動態(tài)資源調(diào)整功能組件可以自動并持續(xù)地平衡計算資源池中的容量，可以動態(tài)的將虛擬機(jī)遷移到有更多可用計算資源的主機(jī)上，以滿足虛擬機(jī)對計算資源的需求。即便大量運(yùn)行SQLServer的虛擬機(jī)，只要開啟了動態(tài)資源調(diào)整功能，就不必再對CPU和存的瓶頸進(jìn)展一一監(jiān)測。全自動化的資源分配和負(fù)載平衡功能，也可以顯著地提升數(shù)據(jù)中心計算資源的利用效率，降低數(shù)據(jù)中心的本錢與運(yùn)營費(fèi)用。如上圖所示，動態(tài)資源調(diào)整功能通過心跳機(jī)制，定時監(jiān)測集群主機(jī)的CPU利用率，并根據(jù)用戶自定義的規(guī)則來判斷是否需要為該主機(jī)在集群尋找有更多可用資源的主機(jī)，以將該主機(jī)上的虛擬機(jī)遷移到另外一臺具有更多適宜資源的效勞器上。虛擬機(jī)備份隨著云平臺對IT信息化系統(tǒng)的依賴加深，業(yè)務(wù)系統(tǒng)備份是必不可少的組件。相應(yīng)的，在云計算平臺中，針對計算資源池中虛擬機(jī)備份也至關(guān)重要。H3CloudVirtualizationManager實現(xiàn)了透明的定時備份和即時備份功能，會在暫停虛擬機(jī)中的應(yīng)用程序之后，為正在運(yùn)行的虛擬機(jī)創(chuàng)立快照，從而對備份工作進(jìn)展集中處理，以確保文件系統(tǒng)的一致性。如下列圖所示，H3CloudVirtualizationManager的備份特性是一種高效而低本錢的災(zāi)難恢復(fù)特性，它將給用戶帶來如下價值：基于磁盤的備份功能，為虛擬機(jī)提供快速、簡單的數(shù)據(jù)保護(hù)無需額外代理的備份，簡化了部署復(fù)雜度支持全自動的定時備份和手工干預(yù)的即時備份，滿足不同的應(yīng)用要求云通道建立——城域網(wǎng)/校校通方案需求分析**區(qū)教育局下屬14所中學(xué)、35所小學(xué)、6所幼兒園和6所直屬單位，目前各學(xué)校現(xiàn)有的網(wǎng)絡(luò)環(huán)境為各學(xué)校擁有自己的網(wǎng)絡(luò)出口，學(xué)校通過公網(wǎng)訪問教育局資源。隨著信息技術(shù)高速開展以及教育信息化進(jìn)度不斷推進(jìn)，未來各學(xué)校和教育機(jī)構(gòu)之間將有越來越多的資源需要整合、開放、共享，最終形成一個互聯(lián)、互動、信息交換、資源共享和遠(yuǎn)程教育的根底架構(gòu)。未來各學(xué)校將會開展遠(yuǎn)程教學(xué)、多媒體網(wǎng)絡(luò)教室、電子書包等多種業(yè)務(wù)應(yīng)用。一旦這些業(yè)務(wù)上線，**區(qū)教育系統(tǒng)現(xiàn)有的網(wǎng)絡(luò)架構(gòu)將會暴露出帶寬低、可靠性差、平安性低、管理困難等一些列問題。因此，**區(qū)教育系統(tǒng)需要對網(wǎng)絡(luò)架構(gòu)進(jìn)展升級，通過組建教育城域網(wǎng)的方式提高網(wǎng)絡(luò)的性能、可靠性和平安性。同時，將各學(xué)校和教育局通過專網(wǎng)互聯(lián)，并統(tǒng)一網(wǎng)絡(luò)出口，可以大大簡化網(wǎng)絡(luò)的管理難度。鏈路選擇目前，能夠為**區(qū)教育城域網(wǎng)提供鏈路資源的有四家運(yùn)營商，每家運(yùn)營商采用的技術(shù)和所需費(fèi)用都不盡一樣。無論運(yùn)營商采用什么技術(shù)，對學(xué)校而言，只要運(yùn)營商能為每個學(xué)校提供一個到教育局的專用二層鏈路,保證帶寬即可。方案設(shè)計**區(qū)教育城域網(wǎng)的整體拓?fù)淙缦铝袌D所示，其中紅框局部為校校通平臺：接入層網(wǎng)絡(luò)設(shè)計**區(qū)教育城域網(wǎng)的校校通平臺為核心到接入的兩層架構(gòu)。其中接入層局部即每個學(xué)校的網(wǎng)絡(luò)，這一局部保持學(xué)校現(xiàn)有的網(wǎng)絡(luò)構(gòu)造不變，在此根底上在每個學(xué)校的出口增加一臺統(tǒng)一威脅網(wǎng)關(guān)U200作為學(xué)校的出口網(wǎng)關(guān)，負(fù)責(zé)每個學(xué)校部系統(tǒng)的平安防護(hù)、用戶的帶寬控制、頁面過濾、應(yīng)用層過濾等。U200不僅能夠全面有效的保證用戶網(wǎng)絡(luò)的平安，還支持SNMP和TR-069網(wǎng)管方式，最大化減少設(shè)備運(yùn)營本錢和維護(hù)復(fù)雜性。除了根本的防火墻功能外，管理員通過U200可以對每個學(xué)校的網(wǎng)絡(luò)實現(xiàn)以下管理：病毒防護(hù)：采用Kaspersky公司的流引擎查毒技術(shù)，從而迅速、準(zhǔn)確查殺網(wǎng)絡(luò)流量中的病毒等惡意代碼。垃圾防護(hù)：可以攔截垃圾，凈化系統(tǒng)，解決垃圾對正常工作的干擾問題。URL過濾：實現(xiàn)基于用戶的URL訪問控制，防止因瀏覽惡意或未授權(quán)的(如網(wǎng)絡(luò)釣魚攻擊)而帶來的平安威脅。流量管理：能準(zhǔn)確檢測BitTorrent、Thunder〔迅雷〕、QQ等P2P/IM應(yīng)用，提供告警、限速、干擾或阻斷等多種方式，保障網(wǎng)絡(luò)核心業(yè)務(wù)正常應(yīng)用。行為審計：可對各種P2P/IM、網(wǎng)絡(luò)游戲、和數(shù)據(jù)傳輸?shù)刃袨樘峁┘?xì)致的監(jiān)控和記錄，實現(xiàn)細(xì)粒度的網(wǎng)絡(luò)行為審計管理。通過以上管理手段，管理員能夠保證學(xué)校部網(wǎng)絡(luò)的平安性，有效利用學(xué)校出口帶寬，同時對用戶上網(wǎng)行為進(jìn)展管理和記錄，以便于網(wǎng)絡(luò)平安事件發(fā)生后的審計。核心層網(wǎng)絡(luò)設(shè)計城域網(wǎng)的核心層局部采用“兩網(wǎng)一核心〞的建立思路：城域網(wǎng)和數(shù)據(jù)中心共用一套網(wǎng)絡(luò)核心，即采用兩臺S10508核心交換機(jī)，通過IRF2技術(shù)虛擬成一臺設(shè)備，作為整個網(wǎng)絡(luò)的核心。H3CS10500系列交換機(jī)采用了先進(jìn)的CLOS架構(gòu)，每一臺交換機(jī)都有兩個核心的處理平面，即控制平面和業(yè)務(wù)處理平面?？刂破矫嬷饕芍骺匕?、接口板上的控制單元構(gòu)成，完成協(xié)議處理、路由表維護(hù)、數(shù)據(jù)配置和設(shè)備管理等控制功能。業(yè)務(wù)處理平面主要由接口板上的高速業(yè)務(wù)處理單元〔ASIC芯片〕和集成在交換網(wǎng)板板上的交換網(wǎng)構(gòu)成，具備業(yè)務(wù)處理、報文交換和報文轉(zhuǎn)發(fā)等功能?？刂仆ǖ溃航涌诎?、網(wǎng)板通過專用通道分別連到主備控制板上的管理模塊。實現(xiàn)雙主控1＋1、多交換網(wǎng)N＋1的熱備份，提高系統(tǒng)的可靠性。業(yè)務(wù)通道：交換網(wǎng)芯片置于交換網(wǎng)板，接口板通過高速通道分別連到交換網(wǎng)板上的交換網(wǎng)?？刂破矫婧蜆I(yè)務(wù)處理平面相互獨立，互不影響，如下列圖所示。采用這樣主控板與交換網(wǎng)板別離的架構(gòu)，大大提高了設(shè)備性能的可擴(kuò)展性，如果未來需要提高核心交換機(jī)的性能，無需更換機(jī)箱和引擎，只需升級交換網(wǎng)板即可。同時提高了設(shè)備的可靠性，由于主控板和交換板別離，即使在主控板故障的情況下，現(xiàn)有的業(yè)務(wù)流量仍能通過交換網(wǎng)板繼續(xù)轉(zhuǎn)發(fā)。采用IRF2虛擬化技術(shù)后，網(wǎng)絡(luò)核心構(gòu)造變得更簡單、更可靠、更高效。更簡單網(wǎng)絡(luò)簡化需要解決網(wǎng)絡(luò)構(gòu)造的簡化，網(wǎng)絡(luò)業(yè)務(wù)的簡化，以及管理維護(hù)的簡化這三方面的問題。通過在從核心到接入的整網(wǎng)部署IRF2技術(shù)，多臺物理設(shè)備虛擬成一臺統(tǒng)一的邏輯設(shè)備，不但網(wǎng)絡(luò)構(gòu)造簡單清晰，原先需要每臺設(shè)備逐一配置，現(xiàn)在只需配置一次即可，大大簡化了設(shè)備的管理維護(hù)。此外，相比傳統(tǒng)網(wǎng)絡(luò)生成樹+VRRP的部署方式，啟用IRF2以后，二層不再需要配置生成樹，也不再需要復(fù)雜的生成樹多實例的規(guī)劃，三層不再需要配置VRRP，不再需要復(fù)雜的路由規(guī)劃和大量的IP地址消耗，從而簡化了網(wǎng)絡(luò)業(yè)務(wù)。更可靠IRF的高可靠性表達(dá)在鏈路級、協(xié)議級和設(shè)備級三個方面。鏈路級：成員設(shè)備之間的物理端口支持聚合功能，IRF系統(tǒng)和上、下層設(shè)備之間的物理連接也支持聚合功能，這樣，通過多鏈路備份提高了鏈路的可靠性。協(xié)議級：IRF系統(tǒng)提供實時的協(xié)議熱備份功能，負(fù)責(zé)將協(xié)議的配置信息備份到其他所有的成員設(shè)備，從而實現(xiàn)1：N的協(xié)議可靠性。設(shè)備級：IRF系統(tǒng)由多臺成員設(shè)備組成，Master設(shè)備負(fù)責(zé)系統(tǒng)的運(yùn)行、管理和維護(hù)，Slave設(shè)備在作為備份的同時也可以處理業(yè)務(wù)。一旦Master設(shè)備故障，系統(tǒng)會迅速自動選舉新的Master，以保證通過系統(tǒng)的業(yè)務(wù)不中斷，從而實現(xiàn)了設(shè)備級的1：N備份。相比傳統(tǒng)的二層生成樹技術(shù)和三層的VRRP技術(shù)，其收斂時間從N秒級縮短到毫秒級。更高效：對高端交換機(jī)而言，性能和端口密度的提升會受到其硬件構(gòu)造的限制，而IRF系統(tǒng)的性能和端口密度是IRF部所有設(shè)備性能和端口數(shù)量的總和。因此，IRF技術(shù)能夠輕易的將設(shè)備的核心交換能力、用戶端口的密度擴(kuò)大數(shù)倍，從而大幅度提高單臺設(shè)備的性能。此外傳統(tǒng)的生成樹等技術(shù)為了防止環(huán)路的發(fā)生，會采用阻斷一條鏈路的方式，而IRF2可以通過跨設(shè)備聚合等特性，讓原本“Active-standby〞的工作模式，轉(zhuǎn)變成為負(fù)載分擔(dān)的模式，從而提高整網(wǎng)的運(yùn)行效率。城域網(wǎng)的核心層設(shè)計在保證了高性能和高可靠性的根底上，還充分考慮了網(wǎng)絡(luò)的平安性。本方案過在S10508交換機(jī)上部署防火墻插卡、IPS插卡和應(yīng)用控制網(wǎng)卡插卡的方式，對整個城域網(wǎng)的用戶和數(shù)據(jù)中心進(jìn)展統(tǒng)一平安防護(hù)。出口區(qū)域網(wǎng)絡(luò)設(shè)計**區(qū)教育城域網(wǎng)采用統(tǒng)一出口的方式組網(wǎng)，在區(qū)電教館申請兩條出口鏈路，一條連接到市教育城域網(wǎng)，一條連接到internet。每個學(xué)?；蚪逃龁挝挥脩粼L問教育網(wǎng)或互聯(lián)網(wǎng)的流量最終都匯總到這兩條鏈路上。該處選用H3CSR6600路由器作為出口路由器。作為教育城域網(wǎng)的出口路由器，需要的不是復(fù)雜的路由協(xié)議和大規(guī)格的路由表項，而是強(qiáng)大的NAT能力。SR6602-*憑借其先進(jìn)的多核高性能處理技術(shù)，提供專門的核處理NAT轉(zhuǎn)發(fā)。當(dāng)并發(fā)200萬NAT連接時，256字節(jié)以及IMI*互聯(lián)網(wǎng)混合報文的NAT轉(zhuǎn)發(fā)性能超過10Gbps?？梢猿浞譂M足**區(qū)教育城域網(wǎng)對出口網(wǎng)關(guān)設(shè)備的性能要求。除了對NAT性能的高要求外，**區(qū)教育城域網(wǎng)出口面臨的另一個問題是出口鏈路帶寬的充分利用問題。教育城域網(wǎng)落成以后將不只擁有一個公網(wǎng)出口，如何充分利用這些出口帶寬，從而提高整個城域網(wǎng)用戶的上網(wǎng)體驗是本次建網(wǎng)必須考慮的問題。這里涉及到兩種情況：第一種情況是在幾條不同的運(yùn)營商鏈路之間，傳統(tǒng)的出口設(shè)備工作方式是基于目的地址來進(jìn)展選路。而由于中國運(yùn)營商開展現(xiàn)狀的南北差異，中國電信在南方擁有的網(wǎng)絡(luò)資源較多，導(dǎo)致用戶訪問公網(wǎng)時大局部流量將從電信的鏈路流出，中國聯(lián)通的鏈路多數(shù)情況下處于空閑狀態(tài)。這樣就會使得一方面電信鏈路擁塞，用戶訪問網(wǎng)絡(luò)不暢，一方面聯(lián)通鏈路空閑，造成資源浪費(fèi)。第二種情況是在同一運(yùn)營商的鏈路之間，例如**區(qū)教育城域網(wǎng)申請了300M的電信帶寬，中國電信以1條200M和1條100M兩條出口鏈路的方式提供了300M帶寬。此時由于用戶訪問的目的地址都是電信地址，出口設(shè)備無法判斷數(shù)據(jù)是從鏈路1走還是從鏈路2走，此時路由器會在兩條鏈路之間進(jìn)展負(fù)載均衡，而一旦出口流量過大，就會導(dǎo)致一條鏈路擁塞，進(jìn)而影響用戶上網(wǎng)。這對以上兩種情況，本方案采用的出口網(wǎng)關(guān)設(shè)備SR6602-*路由器擁有鏈路負(fù)載均衡功能，利用加權(quán)負(fù)載均衡、動態(tài)鏈路檢測等多種算法，有效的將流量按需分配到多條鏈路上，充分利用所有鏈路的資源，從而提升用戶對網(wǎng)絡(luò)的使用體驗。城域網(wǎng)行為審計設(shè)計**區(qū)教育成語落成后，所屬圍的所有中小學(xué)用戶都將使用該網(wǎng)絡(luò)訪問教育網(wǎng)和公網(wǎng)的資源。根據(jù)"互聯(lián)網(wǎng)平安保護(hù)技術(shù)措施規(guī)定〔公安部令第82號〕"規(guī)定，互聯(lián)網(wǎng)效勞提供者和聯(lián)網(wǎng)使用單位應(yīng)當(dāng)對網(wǎng)絡(luò)的平安保護(hù)負(fù)責(zé)，其中包括網(wǎng)絡(luò)攻擊防、數(shù)據(jù)庫容災(zāi)、網(wǎng)絡(luò)使用人員的信息記錄等。因此，對用戶的上網(wǎng)行為審計是本次建立城域網(wǎng)時必須考慮的因素。本方案對用戶上網(wǎng)行為提供了兩級審計功能，如下列圖所示：拓?fù)鋱D第一級的行為審計設(shè)立在每個學(xué)校的出口網(wǎng)關(guān)U200上。U200可對各種P2P/IM、網(wǎng)絡(luò)游戲、和數(shù)據(jù)傳輸?shù)刃袨樘峁┘?xì)致的監(jiān)控和記錄，實現(xiàn)細(xì)粒度的網(wǎng)絡(luò)行為審計管理。每個學(xué)校的管理員可以通過免費(fèi)發(fā)放給學(xué)校的UTMManager管理系統(tǒng)Mini版管理自己學(xué)校的出口設(shè)備，審計用戶的上網(wǎng)行為，一旦出現(xiàn)信息平安事件，可以根據(jù)有關(guān)部門提供的時間和IP地址以及違規(guī)的上網(wǎng)行為定位到責(zé)任人。電教館的網(wǎng)絡(luò)管理員可以通過部署在電教館的UTMManager管理系統(tǒng)對全區(qū)的UTM設(shè)備進(jìn)展統(tǒng)一管理，統(tǒng)一規(guī)劃。第二級行為審計設(shè)立在城域網(wǎng)的核心，通過S10508上的應(yīng)用網(wǎng)關(guān)插卡來實現(xiàn)對全網(wǎng)用戶的行為審計。S10508的應(yīng)用網(wǎng)關(guān)ACG插卡具備實時的應(yīng)用流量監(jiān)控和用戶上網(wǎng)行為審計兩大功能。管理員可以通過ACG實現(xiàn)對整網(wǎng)業(yè)務(wù)流量的實時監(jiān)控，可基于整網(wǎng)、區(qū)域、業(yè)務(wù)類型〔如P2P類、游戲類〕、用戶/用戶組等，實時分析網(wǎng)絡(luò)應(yīng)用流量趨勢、流量組成、Top用戶流量、Top業(yè)務(wù)分布等，通過實時了解當(dāng)前網(wǎng)絡(luò)應(yīng)用流量的明細(xì)信息，利于管理員直觀的了解最新網(wǎng)絡(luò)流量狀況，監(jiān)控突發(fā)異常流量，并做出快速排查，確保整網(wǎng)網(wǎng)絡(luò)業(yè)務(wù)的有序運(yùn)行。除此之外，管理員還可以通過ACG對用戶Web應(yīng)用、FTP傳輸、交互、IM聊天等各種上網(wǎng)應(yīng)用提供全方面的行為監(jiān)控和記錄；同時，通過綜合分析、檢測用戶網(wǎng)絡(luò)流量與流向趨勢，對歷史數(shù)據(jù)進(jìn)展分析，為用戶提供細(xì)粒度的網(wǎng)絡(luò)應(yīng)用審計管理系統(tǒng)，準(zhǔn)確跟蹤、定位用戶的網(wǎng)絡(luò)行為。同時，ACG通過和本方案提供的身份認(rèn)證系統(tǒng)EAD對接，可以實現(xiàn)基于用戶身份的流量分析、流量統(tǒng)計與審計的管理，有效解決動態(tài)IP分配難以定位到上網(wǎng)用戶的問題。管理員通過本方案管理區(qū)部署的iMCSecCenter組件，對所有的U200和ACG設(shè)備進(jìn)展統(tǒng)一的設(shè)備管理和記錄分析，多點檢測、多點核實，最終實現(xiàn)平安事件定位到人。云接入建立——班班通方案需求分析隨著信息技術(shù)的不斷開展，包括多媒體教室逐漸普及，教育網(wǎng)絡(luò)的建立已經(jīng)開場不滿足于為教職工提供網(wǎng)絡(luò)效勞，而是開場轉(zhuǎn)向效勞課堂教學(xué)。多媒體教室利用資源公共效勞平臺的優(yōu)質(zhì)教學(xué)資源，基于電子書包、電子白板等終端的使用，在課堂上開展互動式教學(xué)、興趣教學(xué)的容。電子書包終端通常以平板電腦的方式呈現(xiàn)，人手一本，因此在班級建立無線網(wǎng)絡(luò)成為班班通的重要容，也使得中小學(xué)在教學(xué)模式和管理模式上更加多樣化；網(wǎng)絡(luò)方案設(shè)計無線方案拓?fù)淙缦铝袌D所示：本方案采用瘦AP架構(gòu)，分布式AC的管理方式。具體而言是在每個學(xué)校都采用瘦AP架構(gòu)：在辦公區(qū)、教學(xué)區(qū)的走廊或房間部署802.11N的AP，負(fù)責(zé)用戶的無線接入，在校園網(wǎng)的核心處部署分支無線控制器，負(fù)責(zé)對全校AP的統(tǒng)一管理。H3C無線技術(shù)特點：智能天線：H3C創(chuàng)新推出終端感性型智能天線,室AP置4個天線陣子,可形成16種波形,基于特征和協(xié)議的射頻優(yōu)化，不同距離、不同場景的針對性智能覆蓋，覆蓋距離更遠(yuǎn)，信號強(qiáng)度更強(qiáng)更穩(wěn)定，吞吐量更高。頻譜分析防護(hù)：頻譜分析技術(shù)可實現(xiàn)對低層頻譜的檢測,可以分析報告出2.4G及5G頻譜圍的非WiFi設(shè)備干擾,可100%確定干擾源,包括2.4G跳頻攝像頭,無繩,藍(lán)牙,微波爐,2.4G跳頻基站或其他設(shè)備等；通過無線AP自帶的RF監(jiān)測硬件，可實現(xiàn)全覆蓋區(qū)的射頻質(zhì)量分析、避讓、存儲、追溯、回放等。針對國無線校園、無線醫(yī)院等場景優(yōu)化的RRM算法，可以實現(xiàn)更精準(zhǔn)的信道干擾感知與射頻調(diào)整能力。不同業(yè)務(wù)應(yīng)用識別與Qos保障：多媒體、語音等業(yè)務(wù)在無局域網(wǎng)中的應(yīng)用，使得原本緊的無線空口資源更加捉襟見肘。由于空口資源的特殊性，傳統(tǒng)有線網(wǎng)絡(luò)的QoS技術(shù)無法直接應(yīng)用在無線局域網(wǎng)中。IEEE802.11e標(biāo)準(zhǔn)的引入，解決了此問題。作為802.11e標(biāo)準(zhǔn)的前身和子集的WMM標(biāo)準(zhǔn)，提供了根本的無線QoS解決方案，可以實現(xiàn)高速突發(fā)數(shù)據(jù)和流量分級。但是，802.11e只解決了無線空口的QoS，沒有解決如何在全網(wǎng)，包括AP－AC間的有線網(wǎng)絡(luò)實現(xiàn)端到端的QoS。H3C無線產(chǎn)品端到端的QoS解決方案不僅解決了無線接入點和無線用戶直接在無線介質(zhì)上的QoS，而且還通過將無線用戶的優(yōu)先級映射到AP－AC間的CAPWAP隧道上，保證了AP－AC間無線用戶的QoS。同時，作為增強(qiáng)，還實現(xiàn)了AP限速以限制通過CAPWAP隧道到達(dá)AP的數(shù)據(jù)流量。只要在報文進(jìn)入AC的接口進(jìn)展映射處理，之后設(shè)備會自動在轉(zhuǎn)化為802.11報文的時候?qū)⒈镜貎?yōu)先級轉(zhuǎn)化為WMM的優(yōu)先級。具有QoS能力的STATION和無線接入點AP之間，通訊各方采用EDCA競爭無線信道；無線接入點AP和無線控制器AC之間建立有CAPWAP隧道，通過配置端口信任模式和映射關(guān)系，可以實現(xiàn)無線802.11e優(yōu)先級與CAPWAP隧道外層的IP置DSCP和802.1p優(yōu)先級的相互映射關(guān)系，從而保證AP和AC之間的QoS效果。此外，無線控制器AC及有線網(wǎng)絡(luò)中其他設(shè)備上還可以設(shè)置流分類、優(yōu)先級標(biāo)記、流量限速、隊列調(diào)度等靈活的QoS策略，從而實現(xiàn)全網(wǎng)QoS的定制。下一代無線網(wǎng)絡(luò)〔IPV6〕全面支持：IPV4地址已經(jīng)目前是通過技術(shù)手段來人為延長v4壽命；純粹IPv6透傳不能滿足教學(xué)科研需求，將來也是信息孤島。支持IPv4/v6雙協(xié)議棧，全面支持IPv6已是必然。H3C所有無線產(chǎn)品支持IPv6Portal、IPv6SAVI、CAPWAPOverIPv6、ACL6、DNS6、TraceRT6、Telnet6等技術(shù)。智能無感知認(rèn)證：能夠進(jìn)展無感知認(rèn)證準(zhǔn)入，準(zhǔn)入后可以對移動終端定制區(qū)別于“固定終端〞不同的策略.首次認(rèn)證后下次無需再次認(rèn)證即可入網(wǎng).綠色環(huán)保：所有AP采用專業(yè)綠色低碳設(shè)計，支持動態(tài)MIMO省電模式(DMPS)與增強(qiáng)型自動省電傳送(E-APSD)，智能辨識終端實際性能需求，合理化調(diào)配終端休眠隊列，動態(tài)調(diào)整MIMO工作模式。支持GreenAP模式，實現(xiàn)單天線待機(jī)，節(jié)能更精準(zhǔn)。通過創(chuàng)新性的逐包功率控制(PPC)技術(shù)，在確保報文能成功傳輸?shù)那疤嵯聞討B(tài)調(diào)節(jié)AP設(shè)備和客戶端直接的雙向功率，以到達(dá)減少設(shè)備能耗和延長移動終端待機(jī)時間的作用。身份認(rèn)證方案設(shè)計通過以上云數(shù)據(jù)中心、運(yùn)通道以及云平臺的建立，**區(qū)教育城域網(wǎng)將建成一個教職工以及學(xué)生可以隨時隨地獲取教育資源的網(wǎng)絡(luò)，極大的方便了教學(xué)工作展開的同時也帶來一些隱患：一、部網(wǎng)絡(luò)終端缺乏網(wǎng)絡(luò)用戶識別、準(zhǔn)入機(jī)制A．任何外來人員或客戶只要將計算機(jī)插入網(wǎng)線，就可以進(jìn)入部網(wǎng)絡(luò)各個區(qū)域，其中沒有任何身份的認(rèn)證和平安措施，如知道相關(guān)應(yīng)用系統(tǒng)的及密碼，就可以訪問相關(guān)的應(yīng)用數(shù)據(jù)，對整個網(wǎng)絡(luò)和應(yīng)用造成很大的平安威脅。網(wǎng)絡(luò)的終端全部都是基于工作組的模式，沒有進(jìn)展網(wǎng)絡(luò)域的集中管理模式和相關(guān)的策略性的定義。對正常接入的PC沒有進(jìn)展安康性的檢查和指導(dǎo)用戶進(jìn)展修復(fù)，以及不能對達(dá)不到平安要求的PC采取隔離措施二、終端平安管理的平安防護(hù)控制措施缺乏，也沒有集中管控、審計和標(biāo)準(zhǔn)化等手段進(jìn)展管理A、無法確保這些終端是否安裝了防病毒軟件、更新了系統(tǒng)補(bǔ)丁和病毒代碼，現(xiàn)時的終端的防病軟件部署率底，防病毒軟件也不統(tǒng)一，時常發(fā)生感染病毒、間諜軟件等的問題，存在很大的平安隱患；B、用戶是否安裝了必須使用的軟件，是否安裝了非工作使用的軟件，硬件配置，軟件配置，年終盤點的報表和信息的收集，都無法進(jìn)展確認(rèn)和收集；C、現(xiàn)時對網(wǎng)絡(luò)部出現(xiàn)的任何平安問題都無法及時發(fā)現(xiàn)、追蹤和審計。鑒于以上兩點，我們需要在完成城域網(wǎng)資源中心和根底網(wǎng)絡(luò)建立的同時，建立一套用戶身份和接入設(shè)備的區(qū)分機(jī)制，以保障城域網(wǎng)的信息平安。在這個背景下，本方案采用終端準(zhǔn)入控制系統(tǒng)EAD，負(fù)責(zé)對全網(wǎng)用戶進(jìn)展身份認(rèn)證和終端的準(zhǔn)入控制。該方案具有網(wǎng)絡(luò)準(zhǔn)入控制、終端平安管理和桌面及資產(chǎn)管理三大功能。在有線接入的網(wǎng)絡(luò)環(huán)境中，將接入層設(shè)備作為平安準(zhǔn)入控制點，對試圖接入網(wǎng)絡(luò)的用戶終端進(jìn)展平安檢查，強(qiáng)制用戶終端進(jìn)展防病毒、操作系統(tǒng)補(bǔ)丁等企業(yè)定義的平安策略檢查，防止非法用戶和不符合企業(yè)平安策略的終端接入網(wǎng)絡(luò)，降低病毒、蠕蟲等平安威脅在企業(yè)擴(kuò)散的風(fēng)險。由于接入層交換機(jī)對端口部署了802.1*認(rèn)證，所有非法用戶將不能訪問企業(yè)部網(wǎng)絡(luò)。并且認(rèn)證通過前，用戶終端之間無法實現(xiàn)互訪。合法用戶接入網(wǎng)絡(luò)后，其訪問權(quán)限受接入交換機(jī)中的ACL控制。特定的效勞器只能由被授權(quán)的用戶訪問。合法用戶接入網(wǎng)絡(luò)后，其互訪權(quán)限受接入交換機(jī)中的VLAN控制。不同角色的用戶分屬不同的VLAN，跨VLAN的用戶不能互訪〔受組網(wǎng)方式限制〕。用戶正常接入網(wǎng)絡(luò)前，必須通過平安客戶端的平安檢查，確保沒有感染病毒且病毒庫版本和補(bǔ)丁得到及時升級。降低了病毒和遠(yuǎn)程攻擊對企業(yè)網(wǎng)帶來的平安風(fēng)險。通過使用iNode客戶端，可對用戶的終端使用行為進(jìn)展嚴(yán)格管理，比方制止設(shè)置代理效勞器、禁用雙網(wǎng)卡、制止撥號等。在無線網(wǎng)絡(luò)環(huán)境中，在無線控制器上進(jìn)展Portal認(rèn)證，在無線用戶通過身份認(rèn)證之前，只能訪問無線控制上指定的資源。合法用戶接入網(wǎng)絡(luò)后，其訪問權(quán)限受在無線控制器上下發(fā)的基于用戶的ACL控制。特定的效勞器只能由被授權(quán)的用戶訪問。用戶正常接入網(wǎng)絡(luò)前，必須通過平安客戶端的平安檢查，確保沒有感染病毒且病毒庫版本和補(bǔ)丁得到及時升級。降低了病毒和遠(yuǎn)程攻擊對企業(yè)網(wǎng)帶來的平安風(fēng)險。如果在AP間漫游時用戶IP未發(fā)生變化，則無需再次進(jìn)展用戶身份認(rèn)證。管理員可以為每一個在網(wǎng)用戶分配一套用戶名密碼，也可以和現(xiàn)有的Windows域或LDAP系統(tǒng)進(jìn)展對接，直接使用現(xiàn)有的用戶名密碼。從而做到每一個用戶的實名認(rèn)證。針對來訪專家、家長等外來用戶，還可以由正式用戶為其申請臨時訪客賬號，或通過啟用匿名用戶認(rèn)證，并為匿名用戶設(shè)置適宜的平安策略〔比方限制資源訪問權(quán)限〕的方式解決訪客用戶的臨時上網(wǎng)需求，可以幫助管理員在不影響網(wǎng)絡(luò)平安策略實施前提下，減輕對臨時的管理工作量。無論是在有線還是無線網(wǎng)絡(luò)中，只要用戶的終端上安裝了iNode客戶端，就可以實現(xiàn)防病毒管理、強(qiáng)制更新系統(tǒng)補(bǔ)丁、制定軟件黑白、注冊表平安檢查、桌面及資產(chǎn)管理等平安功能，使系統(tǒng)管理員對在網(wǎng)的每一臺設(shè)備進(jìn)展強(qiáng)管理，保障網(wǎng)絡(luò)的平安。針對**區(qū)教育城域網(wǎng)這種帶有分支機(jī)構(gòu)的大型網(wǎng)絡(luò)，每個分支管理員都需要對自己的分支機(jī)構(gòu)進(jìn)展管理，比方自己的設(shè)備、用戶群組和平安策略等。為此，EAD推出了針對單套EAD系統(tǒng)的分權(quán)管理解決方案。分權(quán)管理包括用戶分權(quán)、設(shè)備分權(quán)和業(yè)務(wù)策略分權(quán)，只有總部管理員和分支機(jī)構(gòu)的管理員能看到該分支的用戶信息、設(shè)備信息和平安策略信息，不同分支機(jī)構(gòu)的管理員之間不能互相查看和修改其他分支的信息。云管理規(guī)劃——整網(wǎng)運(yùn)維方案系統(tǒng)平安管理系統(tǒng)平安管理功能主要有包括：操作日志管理、操作員管理、分組分級與權(quán)限管理、操作員登錄管理等。所包含的主要功能有：操作員登錄管理管理員通過制定登錄平安策略約束操作員的登錄鑒權(quán)，實現(xiàn)操作員登錄的平安性，通過訪問控制模板約束操作員可以登錄的終端機(jī)器的IP地址圍，防止惡意嘗試另人密碼進(jìn)展登錄的行為存在，通過密碼控制策略，約束操作員密碼組成要求，包括密碼長度、密碼復(fù)雜性要求、密碼有效期等，以約束操作員定期修改密碼，并對密碼復(fù)雜性按要求設(shè)置。操作員密碼管理管理員為操作員制定密碼控制策略，操作員僅能按照指定的策略定期修改密碼，以保證訪問iMC系統(tǒng)的平安性。分組分級權(quán)限管理管理員通過設(shè)備分組、用戶分組的設(shè)置，可以為操作員指定可以管理的指定設(shè)備分組和用戶分組，并指定其管理權(quán)限和角色，包括管理員、維護(hù)員和查看員，實現(xiàn)按角色、分權(quán)限、分資源〔設(shè)備和用戶〕的多層權(quán)限控制；同時通過設(shè)置下級網(wǎng)絡(luò)管理權(quán)限，可以通過限制登錄下級網(wǎng)絡(luò)管理系統(tǒng)的操作員和密碼，保證訪問下級網(wǎng)絡(luò)管理系統(tǒng)的平安性。操作日志管理對于操作員的所有操作，包括登錄、注銷的時間、登錄IP地址以及登錄期間進(jìn)展的任何可能修改系統(tǒng)數(shù)據(jù)的操作，都會記錄詳細(xì)的日志。提供豐富的查詢條件，管理員可以審計任何操作員的歷史操作記錄，界定網(wǎng)絡(luò)操作錯誤的責(zé)任圍。操作員在線監(jiān)控和管理系統(tǒng)管理員通過“在線操作員〞可以實時監(jiān)控當(dāng)前在線聯(lián)機(jī)登錄的操作員信息，包括登錄的主機(jī)IP地址、登錄時間等，同時，系統(tǒng)管理員可以將在線操作員強(qiáng)制注銷、禁用/取消禁用當(dāng)前IP地址等控制操作。資源管理iMC資源管理與拓?fù)涔芾碜鳛檎w共同為用戶提供網(wǎng)絡(luò)資源的管理。本節(jié)講解iMC的資源管理，下節(jié)講解iMC的拓?fù)涔芾?。通過資源管理可以：網(wǎng)絡(luò)自動發(fā)現(xiàn)可以通過設(shè)置種子的簡易方式、路由方式、ARP方式、IPSecVPN、網(wǎng)段方式等五種自動發(fā)現(xiàn)方式自學(xué)習(xí)網(wǎng)絡(luò)資源及網(wǎng)絡(luò)拓?fù)?，自動識別包括：路由器、交換機(jī)、平安網(wǎng)關(guān)、存儲設(shè)備、監(jiān)控設(shè)備、無線設(shè)備、語音設(shè)備、打印機(jī)、UPS、效勞器、PC在的多種類型網(wǎng)絡(luò)設(shè)備；多種自動發(fā)現(xiàn)方式自動識別多種設(shè)備類型網(wǎng)絡(luò)手工管理可以手工添加、刪除網(wǎng)絡(luò)設(shè)備，可以批量導(dǎo)入、導(dǎo)出網(wǎng)絡(luò)設(shè)備，批量配置Telnet、SNMP參數(shù)，以及批量校驗Telnet參數(shù)等輔助功能；網(wǎng)絡(luò)視圖管理支持IP視圖、設(shè)備視圖、自定義視圖、下級網(wǎng)絡(luò)管理視圖等多種管理視圖，用戶可以從不同角度實現(xiàn)整個網(wǎng)絡(luò)的管理；網(wǎng)絡(luò)設(shè)備的管理從任何一種網(wǎng)絡(luò)視圖入口，都可以實現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理，包括：支持對設(shè)備的管理/去管理、接口的管理/去管理、設(shè)備的詳細(xì)信息顯示和接口詳細(xì)信息顯示、設(shè)備和接口實時告警狀態(tài)、設(shè)備和接口的實時性能狀態(tài)、實時檢測存在故障的設(shè)備等，用戶可以方便的實現(xiàn)所有設(shè)備的管理；設(shè)備及業(yè)務(wù)管理系統(tǒng)的集成管理支持對H3C、CISCO、等主要廠家設(shè)備的管理，支持手工添加設(shè)備廠商、設(shè)備系列及設(shè)備型號；支持設(shè)備面板管理的動態(tài)注冊機(jī)制，實現(xiàn)與各廠家設(shè)備管理系統(tǒng)的有效集成；支持拓?fù)涠ㄎ?、ACL、VLAN、QoS等業(yè)務(wù)管理系統(tǒng)的集成，實現(xiàn)設(shè)備資源的統(tǒng)一管理；設(shè)備分組權(quán)限管理支持設(shè)備分組功能，通過對設(shè)備資源進(jìn)展分組管理，系統(tǒng)管理員方便的分配其他管理員的管理權(quán)限，便于職責(zé)別離；拓?fù)涔芾韎MC拓?fù)涔芾韽木W(wǎng)絡(luò)拓?fù)涞慕鉀Q直觀的提供應(yīng)用戶對整個網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備資源的管理。拓?fù)涔芾戆ǎ和負(fù)渥詣影l(fā)現(xiàn)H3CiMC可以自動發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)錁?gòu)造，支持全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D，通過視圖導(dǎo)航樹提供視圖間的快速導(dǎo)航。通過自動發(fā)現(xiàn)可以發(fā)現(xiàn)網(wǎng)絡(luò)中的所有設(shè)備及網(wǎng)絡(luò)構(gòu)造〔具體參見資源管理〕，并且可以將非SNMP設(shè)備發(fā)現(xiàn)出來，只要設(shè)備可以ping通即可。這樣就可以將所有網(wǎng)絡(luò)設(shè)備都列入其管理圍〔只要設(shè)備IP可達(dá)〕。同時支持自動的拓?fù)鋱D呈現(xiàn)和自定義拓?fù)洹Ｗ詣油負(fù)淇梢宰詣訉⒕W(wǎng)絡(luò)中的邏輯連接關(guān)系顯示出來，同時可以保存為自定義拓?fù)鋱D并可根據(jù)具體情況進(jìn)展修改以便于網(wǎng)管員對整個網(wǎng)絡(luò)設(shè)備的監(jiān)控。支持對全網(wǎng)設(shè)備和連接定時輪詢和狀態(tài)刷新，實時了解整個網(wǎng)絡(luò)的運(yùn)行情況，并且刷新周期是可定制〔刷新周期：60～7200秒〕，同時也支持對多個設(shè)備的刷新周期進(jìn)展批量配置的功能。支持自定義拓?fù)鋫鹘y(tǒng)的網(wǎng)絡(luò)管理軟件大多支持自動發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)涞墓δ?，但是自動發(fā)現(xiàn)后的網(wǎng)絡(luò)拓?fù)渫呛芏嘣O(shè)備圖標(biāo)的簡單排放，不能突出重點設(shè)備和網(wǎng)絡(luò)層次，使網(wǎng)絡(luò)管理人員感覺無從下手。針對這種情況，H3CiMC的拓?fù)涔δ苤С朱`活的自定義功能，管理人員可以根據(jù)網(wǎng)絡(luò)的實際組網(wǎng)情況和設(shè)備重要性的不同靈活定制網(wǎng)絡(luò)拓?fù)?，可對拓?fù)鋱D進(jìn)展增、刪、改等編輯操作，使網(wǎng)絡(luò)拓?fù)淠軌蚯逦爻尸F(xiàn)網(wǎng)絡(luò)構(gòu)造以及IT資源分布。H3CiMC支持靈活定制拓?fù)鋱D，使網(wǎng)絡(luò)拓?fù)涓兄攸c和層次感。管理員可以按照關(guān)注設(shè)備不同，管理角度不同定義多種拓?fù)?，并可以針對拓?fù)洳煌x擇不同的背景圖；管理員可以根據(jù)網(wǎng)絡(luò)設(shè)備的重要性不同，鏈路速率不同采用適宜的圖標(biāo)顯示。自動識別各種網(wǎng)絡(luò)設(shè)備和主機(jī)的類型H3CiMC可以自動識別H3C、H3C、Cisco、等廠商的設(shè)備、Windows、Solaris的PC和工作站、其他SNMP設(shè)備和ping設(shè)備，并且以樹形方式組織，以不同的圖標(biāo)顯示區(qū)分。在拓?fù)鋱D上更可進(jìn)一步對設(shè)備的類型進(jìn)展區(qū)分，如區(qū)分路由器、交換機(jī)、平安網(wǎng)關(guān)、存儲設(shè)備、監(jiān)控設(shè)備、無線設(shè)備、語音設(shè)備、打印機(jī)、UPS、效勞器、PC等等。設(shè)備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓?fù)鋱D上的直觀顯示H3CiMC的拓?fù)涔δ芘c故障管理和性能管理嚴(yán)密融合，使拓?fù)鋱D能夠清晰地看到***大學(xué)IT資源的狀態(tài)，包括運(yùn)行是否正常、網(wǎng)絡(luò)帶寬、接口連通、配置變化都能一目了然。多種顏色區(qū)分不同級別故障，根據(jù)節(jié)點圖標(biāo)顏色反映設(shè)備狀態(tài)。拓?fù)淠芴峁┰O(shè)備管理便捷入口H3CiMC拓?fù)淠軌蛱峁υO(shè)備管理的便捷入口，管理員只需通過右鍵點擊拓?fù)鋱D中的設(shè)備圖標(biāo)即可啟動設(shè)備管理各項功能，實現(xiàn)對設(shè)備的面板管理等各項功能配置。故障〔告警/事件〕管理故障管理，即告警/事件管理，是H3CiMC的核心模塊，是iMC智能管理平臺及其他業(yè)務(wù)組件統(tǒng)一的告警中心。如下列圖所示，以故障管理流程為引導(dǎo)，介紹H3CiMC強(qiáng)大的故障管理能力：告警發(fā)現(xiàn)和上報iMC告警中心可以按收各種告警源的告警事件，包括設(shè)備告警、本級網(wǎng)管站及下級網(wǎng)管站告警、網(wǎng)絡(luò)性能監(jiān)視告警、網(wǎng)絡(luò)配置監(jiān)視告警、網(wǎng)絡(luò)流量異常監(jiān)視告警、終端平安異常告警等；同時通過支持對設(shè)備定時輪詢，實現(xiàn)通斷告警、響應(yīng)時間告警等，以告警事件的方式上報給H3CiMC告警中心；設(shè)備告警包括電源電壓、設(shè)備溫度、風(fēng)扇等告警事件，設(shè)備冷啟動、熱啟動、接口linkdown等重要告警事件，路由信息事件〔OSPF，BGP〕變化，熱備份路由〔HSRP〕狀態(tài)變化等告警事件，支持對H3C、CISCO、H3C、等多廠商設(shè)備告警的識別和解析；網(wǎng)管站告警指包括本級iMC系統(tǒng)集群效勞器的異常告警，包括CPU利用率、存使用率、iMC效勞程序運(yùn)行狀態(tài)等以及下級iMC系統(tǒng)上報的告警事件；網(wǎng)絡(luò)性能監(jiān)視包括CPU利用率，存使用率，以及RMON告警的故障管理。網(wǎng)絡(luò)配置監(jiān)視告警包括設(shè)備軟件版本、配置信息變更等告警事件，并通過iMC智能配置中心組件〔iMCiCC〕實現(xiàn)配置文件定期檢查，實現(xiàn)配置變更告警事件。網(wǎng)絡(luò)流量異常監(jiān)視告警通過iMC網(wǎng)絡(luò)流量分析組件〔iMCNTA〕實現(xiàn)網(wǎng)絡(luò)中異常流量告警，包括對設(shè)備及接口異常流量、主機(jī)IP地址異常流量和應(yīng)用異常流量的告警，支持二級閾值告警定義；終端平安異常告警通過iMC端點準(zhǔn)入防御組件〔iMCEAD〕實現(xiàn)對終端用戶平安異常的告警，包括ARP攻擊告警、終端異常流量告警及其他終端不平安告警；iMC定期輪詢告警指通過iMC的資源管理