教育城域網(wǎng)云數(shù)據(jù)中心方案及貨物需求參數(shù)

市教育城域網(wǎng)云數(shù)據(jù)中心技術(shù)建議書

2015年12月

目錄

第1章項目背景................................................6第2

章需求分析.......................................7第3章方案

總體架構(gòu).............................83.1設(shè)計目

標..........................................................83.2總體

架構(gòu)設(shè)計........................................................8第4

章網(wǎng)絡(luò)解決方案.................................114.1網(wǎng)絡(luò)平臺

架構(gòu)設(shè)計.............................................114.1.1網(wǎng)絡(luò)

虛擬化和二層結(jié)構(gòu).....................................114.1.2三個

獨立的網(wǎng)絡(luò)平面........................................134.1.3業(yè)務(wù)

功能分區(qū)..............................................134.1.4網(wǎng)絡(luò)

平臺架構(gòu)特點...........................................134.2邊界

接入?yún)^(qū)設(shè)計......................................................144.3

核心網(wǎng)絡(luò)區(qū)設(shè)計...........................................................15

4.4縣區(qū)路由連接設(shè)計..................

154.4.1區(qū)縣教體局出口路由器選型建議.

164.4.2學校出口路由器選型建議.......

174.5IP地址規(guī)

劃...................................184.5.IIP地

址規(guī)劃原則......................................................18452本

期工程地址規(guī)劃..................................................18

4.6VLAN設(shè)計............................................................

204.7QOS規(guī)

劃.............................................................21第5章

計算存儲解決方案.........................................24

5.1計算存儲平臺架構(gòu)設(shè)

計..................................................245.2虛擬化平臺解決方

案....................................................25

5.2.1虛擬化平臺結(jié)

構(gòu)....................................................255.2.2虛擬化管理平

臺....................................................265.2.3VDC服

務(wù).............................................................305.3物理

服務(wù)器部署方案.....................................................305.4存

儲虛擬化部署方案....................................................32

5.4.1方案設(shè)計原則......................................................32

5.4.2拓撲結(jié)構(gòu)..........................................................34

5.4.3方案特點..........................................................34

5.5一體化備份系統(tǒng).........................................................

355.5.1傳統(tǒng)的數(shù)據(jù)保護方式................................................

35552一體化備份系統(tǒng)....................................................

355.5.3全面的備份保護....................................................

365.5.4方便靈活的數(shù)據(jù)恢復................................................

36第6章安全解決方案.............................................386.1總

體安全框架...........................................................386.2

安全域的劃分...........................................................39

6.3邊界安全設(shè)計...........................................................

406.4核心交換區(qū)安全設(shè)

計....................................................426.4.1WEB防火墻設(shè)

計.....................................................42642應(yīng)用負載均

衡設(shè)計..................................................426.4.3入侵檢測防

御設(shè)計..................................................42

6.4.4數(shù)據(jù)庫/日志審計設(shè)計..............................................

436.4.5漏洞掃描設(shè)計......................................................

43第7章運維管理解決方案..........................................447.1

監(jiān)控運維系統(tǒng)概述......................................................44

7.2統(tǒng)一監(jiān)控管理平臺......................................................

45721拓撲管理...........................................................

45722告警管理...........................................................

467.2.3性能管理...........................................................

47724分級網(wǎng)管...........................................................

487.2.5系統(tǒng)監(jiān)控...........................................................

48726高可用性系統(tǒng)管理..................................................

487.3服務(wù)器管

理.............................................................497.4存儲

管理................................................................497.5

網(wǎng)絡(luò)管理...............................................................51

7.5.1基本信息管理......................................................51

7.5.2SLA管理.............................................................

527.5.3MPLSVPN管

理........................................................53754網(wǎng)流分

析...........................................................567.5.5日志管

理...........................................................587.6安全管

理...............................................................597.6.1安

全管理...........................................................607.6.2策

略冗余分析......................................................607.6.3策

略命中分析......................................................617.6.4策

略風險分析......................................................61765策

略綜合分析......................................................62

第8章方案優(yōu)勢.................................................63第

9章設(shè)備貨物需求一覽表.......................................64

第1章項目背景

教育信息化是國家信息技術(shù)發(fā)展的重要組成部分，而作為教育網(wǎng)絡(luò)的延伸，區(qū)域

教育城域網(wǎng)連接區(qū)域范圍內(nèi)的中小型教育機構(gòu)，為區(qū)域內(nèi)國民中小學教育提供信息

網(wǎng)絡(luò)服務(wù)，對包括教務(wù)信息的管理、教學資源的分享傳播、教學業(yè)務(wù)以及教學安

全的管理控制等各個教學信息化方面提供基礎(chǔ)保障。

隨著教育信息化的進一步發(fā)展，為了更好承載教育業(yè)務(wù),市教體局項目將依托

公共網(wǎng)絡(luò)，以縣級教育專網(wǎng)為基礎(chǔ),市級教育專網(wǎng)連接各縣專網(wǎng)組成市基礎(chǔ)教育專

網(wǎng)，使全市中小學、幼兒園全部接入教育專網(wǎng)?？h骨干帶寬達千兆，市骨干帶寬達千

兆及以上，實現(xiàn)各縣統(tǒng)一出口，出口帶寬達1G或以上。建設(shè)市基礎(chǔ)教育虛擬化平臺,

重點建設(shè)市教體局中心機房及市教育虛擬化平臺，為全市電子教育、視頻會議、遠

程培訓、視頻教學點播、遠程雙向視頻教學和網(wǎng)絡(luò)教研等教育應(yīng)用服務(wù)。

第2章需求分析

市教體局建設(shè)的首要原則應(yīng)該是一張全業(yè)務(wù)承載網(wǎng)絡(luò),能承載教育信息化的所

有業(yè)務(wù)，包括信息化業(yè)務(wù)數(shù)據(jù)、視頻（遠程教學、VOD教學視頻點播、視頻會議、

語音、寬帶上網(wǎng)、以及校園專線等多業(yè)務(wù)。

這些業(yè)務(wù)對網(wǎng)絡(luò)的需求主要體現(xiàn)在流量模型、帶寬和QoS需求上。上述業(yè)務(wù)

可以歸納為如下幾種（以下涉及數(shù)據(jù)的部分為經(jīng)驗估算，僅作對業(yè)務(wù)理解參考使用：

業(yè)務(wù)流★特點帶寬需求QoS需求

各區(qū)縣所有數(shù)每個校園出口

此類辦公對

行事業(yè)單位的校園需要約10M帶寬,由

辦公自動化QoS要求較高.需要

內(nèi)M絡(luò)接入教育城廣全部流量離要上

(0A)系統(tǒng)較島的優(yōu)先級和較

域各接入節(jié)點核心層，每個核心

低的時延

之間業(yè)務(wù)共享節(jié)點約需600M帶寬

各阮校提供本

各院校根據(jù)h

校師生上網(wǎng)業(yè)務(wù).

網(wǎng)人效和業(yè)務(wù)需求

包括教帥的備深、此類業(yè)務(wù)需帔

教與學支持服嶙定業(yè)務(wù)帶寬.平

教學.學生的視頻更高的優(yōu)先級.需

務(wù)系統(tǒng)均加院校約需10M

點播等通過城域要優(yōu)先轉(zhuǎn)發(fā)

帶寬,每個核心節(jié)

網(wǎng)接入到亞聯(lián)網(wǎng)出

感約需3G帶寬“

【1設(shè)簡，

包括家?；ジ髟盒：蜋C構(gòu)

此類業(yè)務(wù)對

教育公共服務(wù)聯(lián)，通訊平臺等應(yīng)平均約需20M流星」

QoS要求最低，采用

業(yè)務(wù)系統(tǒng)用.各院校?；ヂ?lián)每個核心N點約需

盡力而為服務(wù)

網(wǎng)聯(lián)接.1.2G帶蜜

第3章方案總體架構(gòu)

3.1設(shè)計目標

1、高效性:為了滿足云平臺、教育的業(yè)務(wù)應(yīng)用系統(tǒng)的高并發(fā)、快速的虛擬機

遷移、視頻文件以及大文件的上傳下載等要求，設(shè)計一個高帶寬、低延時、快速收

斂并避免環(huán)路出現(xiàn)的網(wǎng)絡(luò)平臺是一個基本的設(shè)計目標。

2、高可靠性:教育云數(shù)據(jù)中心今后要支持全市電子教育的業(yè)務(wù)系統(tǒng)，教育云數(shù)

據(jù)中心的網(wǎng)絡(luò)的穩(wěn)定性直接關(guān)系到全市電子教育服務(wù)的可用性。因此高可用性是

數(shù)據(jù)中心網(wǎng)絡(luò)平臺的設(shè)計目標之一，關(guān)鍵和核心部分不能出現(xiàn)單點故障。

3、可擴展性:本項目只是教育云數(shù)據(jù)中心建設(shè)的一期工程，隨著后續(xù)越來越多

的業(yè)務(wù)應(yīng)用系統(tǒng)遷入教育云數(shù)據(jù)中心,教育云數(shù)據(jù)中心的規(guī)模需要根據(jù)業(yè)務(wù)應(yīng)用需

求逐步擴大。因此具備良好的擴展能力也是數(shù)據(jù)中心網(wǎng)絡(luò)的設(shè)計目標之一，在核

心、骨干網(wǎng)絡(luò)設(shè)備上要留有余量，充分考慮今后業(yè)務(wù)應(yīng)用增加的網(wǎng)絡(luò)需求。

4、靈活性、易維護性:教育云數(shù)據(jù)中心今后所承載的各類業(yè)務(wù)系統(tǒng)的不確定

性,這就要求網(wǎng)絡(luò)平臺能夠靈活簡便的對網(wǎng)絡(luò)資源進行調(diào)配。因此,網(wǎng)絡(luò)管理的靈

活性和易維護性也是網(wǎng)絡(luò)平臺的設(shè)計目標之一。通過減少網(wǎng)絡(luò)配置節(jié)點、簡化網(wǎng)

絡(luò)配置，降低網(wǎng)絡(luò)管理的人力開銷，從而易于網(wǎng)絡(luò)資源的調(diào)整和分配。

5、先進性:教育云數(shù)據(jù)中心承載市教育系統(tǒng)不同種類的電子教育應(yīng)用系統(tǒng),整

體架構(gòu)應(yīng)當保持穩(wěn)定而不應(yīng)當頻繁調(diào)整。作為教育云數(shù)據(jù)中心的重要組成部分，網(wǎng)

絡(luò)平臺的架構(gòu)調(diào)整會影響教育云數(shù)據(jù)中心的整體架構(gòu)。因此在設(shè)計網(wǎng)絡(luò)平臺的架

構(gòu)的時候,設(shè)計目標之一應(yīng)該是保證網(wǎng)絡(luò)架構(gòu)和采用技術(shù)的先進性,3年內(nèi)只做規(guī)模

擴充，而不做架構(gòu)調(diào)整。

6、安全性:保證各業(yè)務(wù)系統(tǒng)的信息安全是建設(shè)教育云數(shù)據(jù)中心的一個基本前

提，因此安全性也是網(wǎng)絡(luò)平臺需要考慮的設(shè)計目標之一。由于網(wǎng)絡(luò)安全域的劃分與

隔離很大程度上依賴網(wǎng)絡(luò)結(jié)構(gòu)的合理性，因此在設(shè)計網(wǎng)絡(luò)架構(gòu)的時候需要考慮整體

網(wǎng)絡(luò)安全性,便于安全方案進行安全域的劃分和安全域間訪問控制。

3.2總體架構(gòu)設(shè)計

數(shù)據(jù)中心總體架構(gòu)設(shè)計遵循面向業(yè)務(wù)需求的設(shè)計思路,基于模塊化的設(shè)計方法,

實現(xiàn)數(shù)據(jù)中心IT基礎(chǔ)架構(gòu)模塊與業(yè)務(wù)模塊松耦合，保證數(shù)據(jù)中心業(yè)務(wù)動態(tài)擴展和新

業(yè)務(wù)快速上線。

使用特定規(guī)格產(chǎn)品設(shè)計，包括硬件、軟件和應(yīng)用規(guī)格化來提供簡單可靠、易

于部署和管理、便于擴展和升級的IT基礎(chǔ)架構(gòu)，為用戶提供更好的投資保護，

滿足企業(yè)數(shù)據(jù)中心新建、升級擴容，以及數(shù)據(jù)中心的可視化統(tǒng)一管控的需求,可實

現(xiàn)被集成的場景。

根據(jù)功能分層邏輯分區(qū)的原則，數(shù)據(jù)中心的功能層次由邊界接入?yún)^(qū)、網(wǎng)絡(luò)核心

區(qū)、計算區(qū)和存儲區(qū)共4個區(qū)域組成。這4個區(qū)域又可以邏輯上細分為8個子區(qū)

域,詳細情況如下示意圖和表格所示。

基于上述總體架構(gòu)設(shè)計,既要考慮支撐當前臺應(yīng)用系統(tǒng)的計算、存儲和數(shù)據(jù)傳

輸能力，又要考慮當前項目經(jīng)費的約束,詳細設(shè)計教育云數(shù)據(jù)中心的軟硬件的解決

方案。具體詳細的網(wǎng)絡(luò)、計算存儲、安全和運維管理方案在下面的章節(jié)分別詳細

介紹。

序號區(qū)域子區(qū)域部署產(chǎn)品

接入路由器與Internet和教育專網(wǎng)連

1外聯(lián)區(qū)

邊界接入接

區(qū)匯聚交換機，邊界防火墻等，與區(qū)縣

2區(qū)縣終端接入?yún)^(qū)

教育廣域網(wǎng)互聯(lián)

網(wǎng)絡(luò)核心核心交換機、服務(wù)器交換機、入侵檢

3網(wǎng)絡(luò)服務(wù)區(qū)

區(qū)測、數(shù)據(jù)庫審計等

4云計算區(qū)虛擬化服務(wù)器資源池

物理服務(wù)器資源池，承載技術(shù)上不適

5物理資源區(qū)合部署在虛擬化平臺上應(yīng)用、軟件（例

計算M如：高10數(shù)據(jù)庫）

應(yīng)用系統(tǒng)開發(fā)平臺、測試平價和培訓

6開發(fā)測試區(qū)

平臺

7運行管理區(qū)監(jiān)控和運維管理平臺

8存儲區(qū)SAN存儲SAN存儲設(shè)備

第4章網(wǎng)絡(luò)解決方案

4.1網(wǎng)絡(luò)平臺架構(gòu)設(shè)計

市教體局網(wǎng)絡(luò)建設(shè)根據(jù)不同位置及信息點的數(shù)量和未來覆蓋面擴充等多方面

原因，將網(wǎng)絡(luò)為劃分若干個區(qū)域。劃分區(qū)域主要考慮以下幾個方面:可以減輕中央

核心交換機的負擔、管理上方便、便于未來的連接擴充。

市教體局網(wǎng)絡(luò)方案如下圖所示:

依據(jù)項目目標、設(shè)計原則和教育云數(shù)據(jù)中心的總體架構(gòu),網(wǎng)絡(luò)平臺的架構(gòu)設(shè)計

采用如下幾項關(guān)鍵技術(shù)。

4.1.1網(wǎng)絡(luò)虛擬化和二層結(jié)構(gòu)

傳統(tǒng)的數(shù)據(jù)網(wǎng)絡(luò)平臺架構(gòu)一般采用核心一匯聚一接入的三層網(wǎng)絡(luò)架構(gòu)模型，采

用這種傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)存在以下幾個方面的問題：

網(wǎng)絡(luò)的層次較多,處理效率低;多增加了一個匯聚的層面，就會額外增

加匯聚設(shè)備的處理時延、線路時延等;同時由于網(wǎng)絡(luò)節(jié)點數(shù)量增多，也增加了部

署成本和設(shè)備故障的幾率；

?由于匯聚層面設(shè)備一定存在處理性能和上行帶寬的收斂比,在數(shù)據(jù)中心規(guī)模

不斷擴大的情況下，匯聚設(shè)備會成為整個網(wǎng)絡(luò)的瓶頸，出現(xiàn)擁塞、丟包等問題；

?在網(wǎng)絡(luò)擴容時，不僅僅需要增加接入層的設(shè)備，同時也必須考慮到匯聚設(shè)備的

性能和端口密度能否滿足要求，也需要進行相應(yīng)的擴容,帶來投資成本的增加。

?網(wǎng)絡(luò)設(shè)備之間的STP、LAG、路由處理、安全等相互之間的交互信息，隨著

設(shè)備數(shù)量的增加,會成幾何級數(shù)激增。

?隨著云計算平臺虛擬化的技術(shù)的大規(guī)模應(yīng)用,新的網(wǎng)絡(luò)平臺流量模型中，大多

數(shù)的流量是在內(nèi)部服務(wù)器之間進行通信,甚至能夠達到整體流量的75%,這種部署架

構(gòu)會導致服務(wù)器之間流量需要通過匯聚層甚至核心層設(shè)備轉(zhuǎn)發(fā)，效率低下，且性能很

差。

為了解決上述存在的問題，本方案數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)采用扁平化二層網(wǎng)絡(luò)架構(gòu)

（核心層、接入層，使用網(wǎng)絡(luò)虛擬化技術(shù)，核心交換機承擔著核心層和匯聚層的雙重

任務(wù)。

扁平化方式降低了網(wǎng)絡(luò)復雜度，簡化了網(wǎng)絡(luò)拓撲，提高了轉(zhuǎn)發(fā)效率。二層網(wǎng)絡(luò)

架構(gòu)中，采用網(wǎng)絡(luò)虛擬化技術(shù)，解決鏈路環(huán)路問題，提高了網(wǎng)絡(luò)可靠性。核心交換機設(shè)

置VLAN的IP地址，接入交換機劃分VLAN,做二層轉(zhuǎn)發(fā)。

?核心層:采用網(wǎng)絡(luò)虛擬化技術(shù),將兩臺核心交換機虛擬為一臺設(shè)備，設(shè)備背板共

享，交換能力提高。

?接入層:采用網(wǎng)絡(luò)虛擬化技術(shù),將兩臺或多臺接入交換機虛擬為一臺設(shè)備，設(shè)備

背板共享，交換能力提高。

核心交換機和接入交換機之間的四條跨框鏈路捆綁為一個Eth-Trunk組,網(wǎng)絡(luò)

架構(gòu)變成樹型模式,不需要啟用STP協(xié)議,從根本上解決環(huán)路和spanning-tree收斂

問題。

扁平化二層網(wǎng)絡(luò)架構(gòu)設(shè)計的主要優(yōu)勢在于：

?簡化網(wǎng)絡(luò)管理，降低維護管理成本

能夠減少網(wǎng)絡(luò)中的交換機和鏈路數(shù)量，從而降低前期購置成本和后期維護成

本。

?網(wǎng)絡(luò)性能提高，支撐高性能的服務(wù)器流量

通過減少交換層數(shù)量，流量需要穿越的交換機數(shù)量也會減少,從而可以縮短延遲,

提高應(yīng)用性能。

?網(wǎng)絡(luò)利用率提高，支撐云計算的資源池動態(tài)調(diào)度

云計算要求對于計算資源池和存儲資源池任意按需調(diào)配。要求網(wǎng)絡(luò)能夠適應(yīng)

這種大范圍的調(diào)度。

?網(wǎng)絡(luò)可靠性提高

減化的網(wǎng)絡(luò)通過虛擬集群和堆疊技術(shù)，可以消除網(wǎng)絡(luò)中的可靠性隱患，無需運行

spanning-tree協(xié)議，消除網(wǎng)絡(luò)的故障收斂時間，從而提高網(wǎng)絡(luò)可靠性。

4.1.2三個獨立的網(wǎng)絡(luò)平面

網(wǎng)絡(luò)平臺可以分為業(yè)務(wù)平面、管理平面和存儲平面三個網(wǎng)絡(luò)平面。三個網(wǎng)絡(luò)

平面相互獨立。業(yè)務(wù)平面主要服務(wù)對象是為租戶的業(yè)務(wù)應(yīng)用軟件的通訊,管理平臺

主要為設(shè)備自身、安全系統(tǒng)、運維系統(tǒng)所使用，存儲平面完全是一個封閉的私有

網(wǎng)絡(luò)，服務(wù)器和存儲設(shè)備在該平面上進行存儲數(shù)據(jù)的傳送。

4.1.3業(yè)務(wù)功能分區(qū)

網(wǎng)絡(luò)總體規(guī)劃應(yīng)遵循區(qū)域化、層次化、模塊化的設(shè)計理念，使網(wǎng)絡(luò)層次更加

清楚、功能更加明確。這樣在每個區(qū)域內(nèi)部調(diào)整時不會影響其他區(qū)域，而且區(qū)域

內(nèi)部資源調(diào)度也更加方便和靈活。依據(jù)這樣的設(shè)計理念和設(shè)計原則，網(wǎng)絡(luò)平臺應(yīng)根

據(jù)業(yè)務(wù)性質(zhì)或網(wǎng)絡(luò)設(shè)備的作用進行區(qū)域劃分,通常需要考慮以下幾個方面內(nèi)容：

?按照網(wǎng)絡(luò)架構(gòu)中設(shè)備作用的不同，網(wǎng)絡(luò)可以劃分為核心層、接入層，層次化結(jié)

構(gòu)也有利于網(wǎng)絡(luò)的擴展和維護。

?綜合考慮網(wǎng)絡(luò)服務(wù)中應(yīng)用業(yè)務(wù)的獨立性、各業(yè)務(wù)的互訪關(guān)系，以及業(yè)務(wù)的安

全隔離要求，在邏輯上還劃分為外聯(lián)區(qū)（包括Internet外聯(lián)區(qū)、電子教育外聯(lián)區(qū)、網(wǎng)

絡(luò)核心區(qū)（包括網(wǎng)絡(luò)服務(wù)區(qū)、計算區(qū)域（包括運云計算區(qū)、物理服務(wù)器區(qū)、數(shù)據(jù)服

務(wù)區(qū)、運維管理區(qū)、開發(fā)測試區(qū)、存儲區(qū)域（包括SAN區(qū)和NAS區(qū)等。

4.1.4網(wǎng)絡(luò)平臺架構(gòu)特點

教育云數(shù)據(jù)中心網(wǎng)絡(luò)平臺的架構(gòu)有如下特點。

1、整體可擴展性強：

?分為四大區(qū)域（接入?yún)^(qū)、網(wǎng)絡(luò)核心區(qū)、計算區(qū)、存儲區(qū)，各個區(qū)域獨立擴展；

?以核心節(jié)點為“根”的星型拓撲；

2、核心區(qū)域:流量的樞紐

?采用大容量，高性能的核心交換機；

?采用高密度的萬兆接口；

3、計算區(qū)域、存儲區(qū)域：

?多個業(yè)務(wù)區(qū)獨立擴展；

?以服務(wù)器為中心的數(shù)據(jù)、管理、存儲網(wǎng)絡(luò)獨立擴展；

4、外聯(lián)區(qū)域

?分為兩個獨立的互聯(lián)區(qū)域，各區(qū)域獨立擴展；

4.2邊界接入?yún)^(qū)設(shè)計

本次在市教體局外網(wǎng)出口處部署2臺出口路由器,基于分布式硬件轉(zhuǎn)發(fā)和無阻

塞交換技術(shù),具有良好的線速轉(zhuǎn)發(fā)性能、電信級的可靠性、優(yōu)異的擴展能力、完善

的QoS機制。為保障路由器的高可靠性和高性能設(shè)備的選擇上,本次所設(shè)計的路

由器能夠提供高速數(shù)據(jù)交換和路由快速收斂。

全面的虛擬化特性支持

路由器能夠一虛多、多虛一虛擬化特性。一虛多特性將一臺路由器虛擬成多

個邏輯路由器,不同的業(yè)務(wù)在不同的邏輯路由器之間資源隔離，保證業(yè)務(wù)占用資源

可靠；多虛一特性將多臺路由器虛擬成邏輯上的一臺路由器,各物理路由器之間相

互進行備份，提升設(shè)備可靠性。

全方位的可靠性解決方案

路由器從多個層面提供可靠性保護，包括設(shè)備級、網(wǎng)絡(luò)級、業(yè)務(wù)級可靠性，形成

了面向整個網(wǎng)絡(luò)的解決方案,完全滿足企業(yè)對各種業(yè)務(wù)的可靠性需求,99.999%的系

統(tǒng)可用性是構(gòu)筑企業(yè)業(yè)務(wù)可靠互聯(lián)的基石。

設(shè)備級可靠：

提供關(guān)鍵部件的冗余備份，關(guān)鍵組件支持熱插拔與熱備份,NSR(Non-Stop

Routing,NSF(Non-StopForwarding和ISSU等技術(shù)一起保障無中斷業(yè)務(wù)運行。

網(wǎng)絡(luò)級可靠：

提供IP/LDP/VPN"E快速重路由/Hot-Standby,IGP、BGP以及組播路由快速

收斂，虛擬路由冗余協(xié)議(VRRP,VirtualRouterRedundancyProtocol,快速環(huán)網(wǎng)保護

協(xié)議(RRPP,RapidRingProtectionProtocol,TRUNK鏈路分擔備份,BFD鏈路快速

檢測,MPLS/EthernetOAM,路由協(xié)議/端口/VLANDamping等技術(shù)，保證整網(wǎng)穩(wěn)定

性，可以提供端到端200ms保護倒換,業(yè)務(wù)無中斷。

業(yè)務(wù)級可靠:

提供的VPNFRR和E-VRRP技術(shù),VLLFRR和EthernetOAM技術(shù)以及PW

Redundancy和E-Trunk或E-APS技術(shù)，可以應(yīng)用于L3VPN和L2VPN組網(wǎng)方案中，

保證業(yè)務(wù)層面的冗余備份，使業(yè)務(wù)穩(wěn)定可靠，不中斷。

4.3核心網(wǎng)絡(luò)區(qū)設(shè)計

核心設(shè)備擔負著連接匯聚層,服務(wù)器群和教育網(wǎng)的工作,同時通過核心設(shè)備的互

聯(lián),形成一套完整的網(wǎng)絡(luò)。由于核心層設(shè)備擔負著整個網(wǎng)絡(luò)的流量,在網(wǎng)絡(luò)核心層

的流量是非常巨大的，對網(wǎng)絡(luò)核心層的壓力非常巨大。同時網(wǎng)絡(luò)對安全性、穩(wěn)定性

的要求極高，由于網(wǎng)絡(luò)也基本是一個金字塔的形狀,那么最需要穩(wěn)定的就是金字塔的

頂端，即網(wǎng)絡(luò)的核心層。

網(wǎng)絡(luò)核心層同時需要對網(wǎng)絡(luò)的接入層提供不同的網(wǎng)絡(luò)層的路由規(guī)劃和信息轉(zhuǎn)發(fā)

的功能，同時還需要保證不同級別的網(wǎng)絡(luò)QoS，對于服務(wù)器的關(guān)鍵業(yè)務(wù)通過鏈路級

和網(wǎng)絡(luò)級的協(xié)議實現(xiàn)嚴格的控制和優(yōu)先級的保證。對于網(wǎng)絡(luò)級的保護通常時間是

非常長的，那么對一些關(guān)鍵業(yè)務(wù),通過結(jié)合二層快速收斂的協(xié)議一起來完成對網(wǎng)絡(luò)安

全性的提升和網(wǎng)絡(luò)的自愈能力。設(shè)備須支持對不同部門的規(guī)劃，如實現(xiàn)全網(wǎng)統(tǒng)一

VLAN的規(guī)劃等。對每個系統(tǒng)分配不同的VLAN并且針對不同VLAN實現(xiàn)不同的

安全和控制的策略等。

但是在自身的網(wǎng)絡(luò)核心層需要通過完全的三層策略來進行VLAN的終結(jié)和三

層數(shù)據(jù)的交換工作,不建議全網(wǎng)全部采用統(tǒng)一網(wǎng)絡(luò)協(xié)議進行規(guī)劃，建議采用二層和三

層協(xié)議相結(jié)合的方式共同實現(xiàn)網(wǎng)絡(luò)的規(guī)劃工作。

在核心層的規(guī)劃中，主要應(yīng)該采用結(jié)構(gòu)穩(wěn)定并且能夠進行詳細路由查找的三層

路由協(xié)議來進行規(guī)劃。

4.4縣區(qū)路由連接設(shè)計

在市教育城域?qū)＞W(wǎng)出口處部署出口路由器用于連接區(qū)縣路由。

出口路由器用來轉(zhuǎn)發(fā)本區(qū)域用戶到其他區(qū)域用戶的橫向流量，同時發(fā)送本區(qū)域

用戶流量到核心層。匯聚層將大量用戶接入到互聯(lián)的網(wǎng)絡(luò)中,模塊化擴展接入核心

層設(shè)備的用戶數(shù)量。

采用路由器而不是采用交換機和防火墻做為出口組網(wǎng)的模式具有以下優(yōu)勢：1.

采用路由器做為教育城域?qū)＞W(wǎng)骨干設(shè)備是由大量最佳實踐表明,如運營商所構(gòu)建的

骨干網(wǎng)均采用路由器，而不是交換機和防火墻，這是路由器的自身平臺穩(wěn)定性比交換

機更好。

2.教育城域?qū)＞W(wǎng)中存在大量的不同的業(yè)務(wù),如何保證不同業(yè)務(wù)的優(yōu)先級和帶寬,

是城域?qū)＞W(wǎng)建設(shè)者和維護者不得不考慮的問題,采用路由器可實現(xiàn)面向接入側(cè)的H-

QoS五級調(diào)度機制，多樣化，差異化滿足接入側(cè)不同層次用戶的業(yè)務(wù)需求先進的隊列

調(diào)度算法、擁塞控制算法，能夠?qū)?shù)據(jù)流實現(xiàn)多級的精確調(diào)度，從而滿足不同用戶、

不同業(yè)務(wù)等級的服務(wù)質(zhì)量要求。這是交換機和防火墻等其他設(shè)備所不能實現(xiàn)的功

能。

3.教育城域?qū)＞W(wǎng)中若采用交換機組網(wǎng)，在很大的程度上引起地址沖突，不能正常

辦公使使用者體驗感下降。因為現(xiàn)在市教體局及區(qū)縣教體局均采用私有地址組網(wǎng)，

在各個局域網(wǎng)中私有地址允許重復分配。而且用若不采用路由器做為每個局域網(wǎng)

出口實現(xiàn)私有地址對私有地址的轉(zhuǎn)換，容易引起廣播風暴，當廣播數(shù)據(jù)充斥網(wǎng)絡(luò)無法

處理,并占用大量網(wǎng)絡(luò)帶寬，導致正常業(yè)務(wù)不能運行，甚至徹底導致教育城域?qū)＞W(wǎng)癱

瘓。

4.4.1區(qū)縣教體局出口路由器選型建議

1.產(chǎn)品性能:背板帶寬N3.9Tbps，整機包轉(zhuǎn)發(fā)能力N480Mpps，千兆接口線速轉(zhuǎn)

發(fā)，業(yè)務(wù)槽位N4,主控和電源支持1+1冗余，獨立轉(zhuǎn)發(fā)引擎。

2.端口數(shù)要求:主控板及母板上的端口數(shù)不作為業(yè)務(wù)端口計算。

3.接口類型:支持El、GE、155MPOS、155MCPOS,要求本次配置的所有

以太網(wǎng)口全部為WAN口，即在物理接口上直接配置IP地址。

4.路由協(xié)議:支持RIP、OSPF、BGP-4、IS-IS等路由協(xié)議。路由表容量

>=5()()K。

5.QoS:支持完善的QoS機制每線路板可提供先進調(diào)度和擁塞避免技術(shù),提供精

確的流量監(jiān)管和流量整形功能和定義復雜規(guī)則的功能，支持流細粒度鑒別，支持

MPLS

QoS,全面保證MPLSVPN、VLL和PWE3的QoS。

6.IPFPM技術(shù):可以直接對業(yè)務(wù)報文進行測量，真實反映IP網(wǎng)絡(luò)的性能;在線監(jiān)

控IP網(wǎng)絡(luò)承載業(yè)務(wù)的變化，準確實時地反映出業(yè)務(wù)運行情況，能夠快速精確地進行

故障定位。

7.IPV6:支持IPv6靜態(tài)路由，支持BGP4/BGP4+、RIPng、OSPFv3、ISISv6等

動態(tài)路由協(xié)議。支持IPv6鄰居發(fā)現(xiàn),PMTU發(fā)現(xiàn)TCP6,pingIPv6,tracerouteIPv6,

socketIPv6,IPv6策略路由，支持Telnet、SSH等協(xié)議。支持的IPv6組播協(xié)議包

括:PIM-IPv6-SM和PIM-IPv6-SSM。支持IPv6VPNO支持IPv4和IPv6雙協(xié)議

棧。

8.可靠性:提供軟件熱補丁技術(shù)，實現(xiàn)設(shè)備軟件完全平滑升級。支持單板及子卡

熱插拔。為確?？焖俚箵Q,BFD發(fā)包間隔<5ms。

9.配置:提供完整主機、軟件、雙主控、獨立交換網(wǎng)板和雙電源，提供8端口千

兆電口和8端口千兆光口。

4.4.2學校出口路由器選型建議

1.硬件架構(gòu):多核CPU和無阻塞交換架構(gòu)，整機擴展插槽數(shù)N8O

2.業(yè)務(wù)性能:整機包轉(zhuǎn)發(fā)能力N6Mpps，交換容量N80Gbps。

3.接口擴展:廣域網(wǎng)接口需支持xDSL、El"l、CEl/CTk同異步串口、

ISDN、ATM、POS、CPOS等。

4.3G:支持CDMA2000EV-DORevA制式,WCDMA制式,TD-SCDMA制式，

3G鏈路獨立上行/作為備份鏈路。

5.IPv4路由:路由策略，靜態(tài)路由，RIP,OSPF,IS-IS,BGP。

6.VPN:具備L2TP,GRE,IPSec,SSL,MPLSVPN能力o

7.QoS:支持基于硬件的QOS能力。MPLSQoS,優(yōu)先級映射，流量監(jiān)管（CAR,

流量整形，擁塞避免（基于IP優(yōu)先級/DSCPWRED,擁塞管理。

8.安全與認證:支持ACL、狀態(tài)防火墻、802.1X認證、MAC地址認證、

Web認證、AAA認證、RADIUS認證等。

9.配置:提供完整主機、軟件、主控和冗余電源，提供3個GEWAN口其中2個

光電互斥口。

4.5IP地址規(guī)劃

4.5.1IP地址規(guī)劃原則

IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計中的重要一環(huán)，市教體局必須對IP地址進行統(tǒng)一

規(guī)劃并得到實施。IP地址規(guī)劃的好壞,影響到網(wǎng)絡(luò)路由協(xié)議算法的效率,影響到網(wǎng)

絡(luò)的性能,影響到網(wǎng)絡(luò)的擴展,影響到網(wǎng)絡(luò)的管理,也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進

一步發(fā)展。

IP地址空間分配,要與網(wǎng)絡(luò)拓撲層次結(jié)構(gòu)相適應(yīng),既要有效地利用地址空間，又

要體現(xiàn)出網(wǎng)絡(luò)的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路

由聚類，減少路由器中路由表的長度,減少對路由器CPU、內(nèi)存的消耗，提高路由算

法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分

配時要遵循以下原則：

唯一性:一個IP網(wǎng)絡(luò)中不能有兩個主機采用相同的IP地址；

簡單性:地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴展的復雜性,簡化路由表的款項；

靈活性:地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化,充分利用地址空間。

IP地址分配既要考慮到擴充，又要能做到連續(xù);盡量分配連續(xù)的IP地址空間，并

為將來的網(wǎng)絡(luò)擴展預留一定的地址空間;在每個骨干網(wǎng)絡(luò)中，相同的業(yè)務(wù)和功能盡量

分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制。

IP地址的分配必須采用VLSM技術(shù)，保證IP地址的利用率;采用CIDR技術(shù)，可

減小路由器路由表的大小,加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路

由信息的大小。

4.5.2本期工程地址規(guī)劃

目前,各個學校地址規(guī)劃相對較亂沒有經(jīng)過統(tǒng)一規(guī)劃，若繼續(xù)采用已有地址規(guī)劃

難度較大，建議重新整體規(guī)劃地址段作為規(guī)劃地址段。

全市做到統(tǒng)一出口，內(nèi)部采用私有地址段。

所有網(wǎng)絡(luò)設(shè)備本身使用的IP地址（loopback地址、鏈路地址應(yīng)該盡量連續(xù)，便

于標識和管理。

為了便于管理和審計,全網(wǎng)采用靜態(tài)地址分配,每個學校分配一個VLAN,并且

配置固定的最小網(wǎng)絡(luò)地址段，還要注意避免地址重疊，將網(wǎng)絡(luò)地址沖突控制在本學校

內(nèi)。

IP地址分配方案建議如下:

JtH3遍明

一.M

io.。,aWB

內(nèi)z信除￡有IFmMKiwe

l?2.148.C-2S5.0/24

1PR申岫愴削,《陽的合法IPWe

二位著堆址

■IB.除漢A%儀&5{?國用版?*eFc

n*W0H.視手為旗?€/"?(IP，%

>u?<￡?

nt#3~<5*?.&5川

y0.■?.mvCD

e概分kHU加勉X”.但出M位出，.

ftljUH.12tt>.H"K?有”電冷中.

1II"》的糟11領(lǐng)0》力々俄,卜依田819按“

HUigydNIL

?>:M典IFLS乂2的抬心叫陽

柢M角

111^200*^1M.&孝為&右r議就.??

2OT2O?給《相心也&.

MK為21025H.濱<)■"w：,lftPEi7

段M.0.e.mn-QI這?冰F雄&央可電0加的2?lU?.

mn.W

HIKM^l?2S4t

z寰的in4m睛中.rt微―xw電電，

HTUMVH，

xxx：標識MPLS網(wǎng)絡(luò)的核心和匯聚設(shè)備,可用

范圍為1~254；

Loopback接口地址僅用于保證網(wǎng)絡(luò)設(shè)備正常建

立和維護BGP鄰居關(guān)系，所以只有P、PE設(shè)備需要

回環(huán)地址配置，CE等設(shè)備不做配置：

98.0.255.xxx/32

LOOPBACKxxx為1~2時，表示為核心P設(shè)備，保留3~9給

未來可能增加的核心設(shè)備：

xxx為10~25時，表示為匯聚PE設(shè)備，保留

26~254給未來可能增加的匯聚設(shè)備或某些有需要配

皆I.nnnhack地址的CE的落！

4.6VLAN設(shè)計

VLAN技術(shù)可以將交換機劃分成多個邏輯組（VLAN,每個VLAN具有單獨的

MAC/ARP地址表，某一個VLAN內(nèi)的用戶是相互可訪問的,但一個VLAN的數(shù)據(jù)

包在二層交換機上不會發(fā)送到另一個VLAN,這樣，其他VLAN的用戶的網(wǎng)絡(luò)上收

不到任何該VLAN的數(shù)據(jù)包，確保了該VLAN的信息不會被其他VLAN的人所竊

聽，從而實現(xiàn)了信息的保密。

本次市教體局在接入交換機劃分二層VLAN實現(xiàn)不同學校隔離,在核心交換機

上劃分三層VLAN實現(xiàn)不同VLAN之間互通和跨樓層VLAN同一學校同一

VLAN互通，即把分布在不同樓層的信息點劃分到同一子網(wǎng)中,本次建議采用建議

采用基于端口或協(xié)議的劃分VLAN的方法。

基于端口的劃分思路如下:這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機的交換

端口來劃分的,它是將VLAN交換機上的物理端口和VLAN交換機內(nèi)部的PVC（永

久虛電路端口分成若干個組，每個組構(gòu)成一個虛擬網(wǎng)，相當于一個獨立的VLAN交

換機。

對于不同部門需要互訪時,可通過核心交換機轉(zhuǎn)發(fā)，并配合基于MAC地址的端

口過濾。對某站點的訪問路徑上最靠近該站點的交換機相應(yīng)端口上,設(shè)定可通過的

MAC地址集，這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點入侵

的可能。

基于協(xié)議劃分VLAN的思路如下:VLAN按網(wǎng)絡(luò)層協(xié)議來劃分,可分為IP、

IPX、DECnetsAppleTalksBanyan等VLAN網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來組成

的VLAN，可使廣播域跨越多個VLAN交換機。而且,用戶可以在網(wǎng)絡(luò)內(nèi)部自由移

動，但其VLAN成員身份仍然保留不變。

這種方法的優(yōu)點是用戶的物理位置改變了，不需要重新配置所屬的VLAN,而

且可以根據(jù)協(xié)議類型來劃分VLAN,這對網(wǎng)絡(luò)管理者來說很重要,這種方法不需要

附加的幀標簽來識別VLAN,這樣可以減少網(wǎng)絡(luò)的通信量。

市教體局每個學校采用一個VLANID,考慮到各學校內(nèi)部部門劃分，以及某些需

要

訪問共同資源的部門，例如財務(wù)等，預留幾個VLANID。外網(wǎng)還有智能化系統(tǒng)

（廣播、門禁、監(jiān)控、報警等需要VLAN。各部門數(shù)據(jù)通過接入交換機打VLAN

tag，二層到匯聚交換機終結(jié)，通過三層MPLSVPN轉(zhuǎn)發(fā);智能化系統(tǒng)數(shù)據(jù)從接入、到

匯聚、到核心整網(wǎng)二層轉(zhuǎn)發(fā)。

初步規(guī)劃如下:

部門VLANID

部門一

部門二

部門二

蕊“四

部門五

??????

財務(wù)3001

IT3002

其他預留3003^3006

廣播1001

n禁1002

陳控4003

報警1001

adA&&0

4.7QOS規(guī)劃

市教體局是一個以IP為傳輸平臺的網(wǎng)絡(luò),在這個網(wǎng)絡(luò)上，將承載市所有學校多種

業(yè)務(wù)、多種應(yīng)用，這些業(yè)務(wù)對可靠性、時延、時延抖動等服務(wù)質(zhì)量有不同需求。為

了保證關(guān)鍵業(yè)務(wù)的應(yīng)用,需要在網(wǎng)絡(luò)中實施QoS技術(shù)以保證關(guān)鍵業(yè)務(wù)在網(wǎng)絡(luò)上傳

輸?shù)膸捄蜁r延。QoS策略業(yè)務(wù)劃分入下表：

部門VLANID

部門一

部門二

生擁塞時仍然盡量保證其流量

考務(wù)系統(tǒng)6

學籍系統(tǒng)5

0A業(yè)務(wù)5

視頻系統(tǒng)4對一定范闈內(nèi)的流量進行絕對保

AF普通保證護，在網(wǎng)絡(luò)擁塞時，超出額定范圍的

VPN業(yè)務(wù)1,2,3,4流量將被丟棄

一般網(wǎng)絡(luò)應(yīng)用0BE無保證當網(wǎng)絡(luò)擁塞時將被丟棄

市教體局中將主要實現(xiàn)對不同數(shù)據(jù)流的分類和標記,其他QoS技術(shù)將主要應(yīng)用

于廣域網(wǎng)，采用如下方式：

□對于普通業(yè)務(wù)不限制接入的流量，對于業(yè)務(wù)也不進行保證，采用盡力轉(zhuǎn)發(fā)策

略。對于高優(yōu)先級業(yè)務(wù)接入限制流量（限制為2M或著4M之類,這個流量不宜過

高，對于高優(yōu)先級業(yè)務(wù)確保轉(zhuǎn)發(fā)。

□在各功能區(qū)的接入層,可以根據(jù)不同Input端口、MAC地址、源/目的IP地

址、IP協(xié)議或應(yīng)用端口號，對不同應(yīng)用數(shù)據(jù)流進行分類,并采用DSCP對數(shù)據(jù)包進

行標記。

□在連接廣域網(wǎng)的路由器上設(shè)置相應(yīng)的業(yè)務(wù)隊列（如:EF、AF4、AF3以及

AF2隊列，采用CBQ（CBWFQ、WRED等技術(shù)，控制打了不同優(yōu)先級標記的數(shù)據(jù)流

能占用的網(wǎng)絡(luò)帶寬及其被丟棄的次序。

口采用CBQ（CBWFQ+LLQ的方式，根據(jù)已經(jīng)定義的DSCP標記，對不同的數(shù)據(jù)

流分配不同的帶寬。

□采用TailDropping或WRED機制，實現(xiàn)網(wǎng)絡(luò)擁塞時的數(shù)據(jù)包丟棄。QoS配置

策略示意圖如下圖：

業(yè)嶄征出入宿保在摧口卜配置

M5QMMifetr1024曲“保：F1024

出?上去俘

第5章計算存儲解決方案

5.1計算存儲平臺架構(gòu)設(shè)計

傳統(tǒng)的數(shù)據(jù)中心計算資源表現(xiàn)為一臺臺獨立的物理服務(wù)器,基于傳統(tǒng)物理服務(wù)

器的部署方式會導致計算資源利用率嚴重不足,增加了運營與運維的成本。引入云

計算的的架構(gòu)以后,數(shù)據(jù)中心的計算資源被統(tǒng)一管理和分配，以資源池的形式展現(xiàn)，

打破了傳統(tǒng)的IT架構(gòu)中各物理設(shè)備間的隔離，提升了計算資源的利用率，簡化了管

理和運維手段，降低了運營成本。

數(shù)據(jù)中心需要支持根據(jù)業(yè)務(wù)應(yīng)用的不同特點（大計算量應(yīng)用系統(tǒng)、高I/O訪問

應(yīng)用系統(tǒng)、高并發(fā)訪問應(yīng)用系統(tǒng)以及對資源要求一般的應(yīng)用系統(tǒng)采用合理的物理

服務(wù)器（2路、4路X86服務(wù)器或虛擬機,能根據(jù)業(yè)務(wù)應(yīng)用的特點對服務(wù)器進行配置

滿足應(yīng)用對計算的需要（CPU、內(nèi)存、網(wǎng)絡(luò)I/O、存儲I/O。云計算平臺需要和IT

管理平臺聯(lián)動實現(xiàn)對虛擬計算資源的自動部署和分配。

根據(jù)數(shù)據(jù)中心解決方案的總體架構(gòu)以及網(wǎng)絡(luò)架構(gòu)設(shè)計中對功能區(qū)的劃分原貝1

將計算平臺總體架構(gòu)劃分為三個層面,分別對應(yīng)業(yè)務(wù)層、計算平臺層和存儲平臺

層。

業(yè)務(wù)層中，功能區(qū)域的劃分一般都是根據(jù)安全和管理需求進行劃分,各個單位

可能有所不同，數(shù)據(jù)中心中一般有DMZ區(qū)、運行管理區(qū)、業(yè)務(wù)生產(chǎn)區(qū)、0A區(qū)、

開發(fā)測試區(qū)等功能區(qū)域,實際劃分可以根據(jù)業(yè)務(wù)情況進行調(diào)整，總的原則是在滿足

安全的前提下盡量統(tǒng)一管理。

計算平臺層主要考慮三層架構(gòu)部署,即表現(xiàn)層（WEB服務(wù)器群、應(yīng)用層（應(yīng)用

服務(wù)器群和數(shù)據(jù)層（數(shù)據(jù)庫服務(wù)器群；同時考慮物理和虛擬部署,即針對業(yè)務(wù)應(yīng)用的

不同特點,在表現(xiàn)層和應(yīng)用層可以同時部署物理服務(wù)器和虛擬機服務(wù)器，在數(shù)據(jù)層一

般高IO的數(shù)據(jù)庫需要部署物理服務(wù)器，普通的數(shù)據(jù)庫也可以部署在物理服務(wù)器

中。

存儲平臺層主要考慮SAN、NAS和備份三種架構(gòu)部署，其中SAN架構(gòu)的存儲

還可以通過存儲虛擬化網(wǎng)關(guān)進行虛擬化，形成不同品牌、不同型號的存儲設(shè)備的虛

擬化成統(tǒng)一的存儲資源池對外提供服務(wù)。本項目的架構(gòu)中SAN存儲采用FCSAN

進行連接，備份系統(tǒng)可以分為LANBASE和LANFREE兩種,LANBASE采用IP網(wǎng)

絡(luò)連接服務(wù)器,LANFREE采用FC網(wǎng)絡(luò)連接服務(wù)器和存儲。

計算存儲平臺架構(gòu)如下圖所示。

5.2虛擬化平臺解決方案

5.2.1虛擬化平臺結(jié)構(gòu)

本項目采用虛擬化平臺對計算、存儲、網(wǎng)絡(luò)進行虛擬化管理，虛擬化平臺操作

系統(tǒng)由虛擬基礎(chǔ)設(shè)施套件和基礎(chǔ)服務(wù)套件組成。

計其第兩顯m

平臺

層亨亨麗

1!5數(shù)據(jù)5庫IK務(wù)看i—b：!i

虛擬化平臺主要有虛擬化基礎(chǔ)引擎、虛擬化管理兩大部件組成。一套虛擬化

平臺部署一對虛擬化管理主備節(jié)點,虛擬化管理通過自動發(fā)現(xiàn)功能發(fā)現(xiàn)其管轄下的

物理設(shè)備資源（包括機框、服務(wù)器、刀片、存儲設(shè)備、交互機以及他們的組網(wǎng)關(guān)系;

提供虛擬資源與物理資源管理功能（統(tǒng)一拓撲、統(tǒng)一告警、統(tǒng)一監(jiān)控、容量管理、

用量計費、性能報表、關(guān)聯(lián)分析，生命周期，并且對外提供統(tǒng)一的管理Portal。

虛擬化管理還包括統(tǒng)一硬件管理UHM組件,UHM提供對硬件自動發(fā)現(xiàn),硬件

自動配置、統(tǒng)一監(jiān)控（帶內(nèi)和帶外、硬件統(tǒng)一告警、硬件拓撲、異構(gòu)硬件支持。虛

擬化管理可以管理多個物理集群，每個物理集群由一對主備VRM管理。

虛擬化引擎提供基礎(chǔ)的虛擬化功能，提供服務(wù)器、存儲、網(wǎng)絡(luò)的虛擬化功能，并

向上對虛擬化管理提供接口。每套虛擬化引擎主要由一對主備管理節(jié)點VRM組

成。一對VRM管理一個物理集群。一個物理集群中可以把多臺服務(wù)器劃分成一

個邏輯集群（又叫HA資源池,一個計算資源池有相同的調(diào)度策略，為了使用熱遷移

相關(guān)的調(diào)度策略要求資源池主機CPU同制。計算資源池不包括網(wǎng)絡(luò)資源與存儲資

源。一個物理集群中可以包含多個邏輯集群。

虛擬化平臺支持服務(wù)器、存儲的平滑擴容。服務(wù)器、存儲設(shè)備均可根據(jù)業(yè)務(wù)根

據(jù)需求，在線平滑增加服務(wù)器、服務(wù)器虛擬集群，在線擴展磁盤、磁盤框、控制框。

5.2.2虛擬化管理平臺

虛擬化管理平臺聚焦于數(shù)據(jù)中心虛擬化資源管理、自動化運維發(fā)放、并對企

業(yè)IT管理提供開放的管理接口。虛擬化管理系統(tǒng)將整個數(shù)據(jù)中心云化,并對系統(tǒng)

中用戶可見的資源抽取出來納入統(tǒng)一的資源池管理，為用戶提供一體化的資源管理,

自動資源發(fā)放。為用戶提供了方便的獲取資源的途徑。用戶可以通過在服務(wù)目錄

自動化的獲取資源并在資源上部署用戶需要的應(yīng)用。虛擬化管理平臺系統(tǒng)架構(gòu)如

下圖：

上圖是虛擬化管理虛擬化管理平臺的功能模塊。“虛擬化管理”可以采用的虛

擬化管理軟件虛擬化引擎，也可以采用其他廠家的，如VMware的VCenter+Vsphere

等。

虛擬化管理軟件從軟件層面拉通統(tǒng)一各資源管理。虛擬化管理虛擬化管理平

臺負責全系統(tǒng)硬件和軟件資源的操作維護管理，用戶業(yè)務(wù)的自動化運維。主要模塊

包括：

5.2.2.1統(tǒng)一資源管理

虛擬化管理虛擬化管理平臺，通過對各種物理資源、虛擬化資源數(shù)據(jù)統(tǒng)一建模,

將資源以用戶可見的資源池形式提供給上層應(yīng)用。

統(tǒng)一資源管理可以屏蔽不同硬件和虛擬化的差異，資源的更換升級對用戶零感

知。實現(xiàn)對所有硬件資源進行統(tǒng)一管理，包括設(shè)備自動發(fā)現(xiàn)、自動配置和故障監(jiān)控

等，實現(xiàn)資源快速發(fā)放，縮短業(yè)務(wù)上線時間。

虛擬化管理平臺支持對資源分集群管理。集群的創(chuàng)建、刪除、擴容、減容，對

集群進行性能監(jiān)控，配置集群的資源調(diào)度策略，調(diào)度策略可以設(shè)置為手動和自動，實現(xiàn)

虛擬機根據(jù)系統(tǒng)負荷在不同服務(wù)器上遷移。

虛擬化管理平臺支持對虛擬機生命周期管理:業(yè)務(wù)管理員通過應(yīng)用對虛擬機進

行創(chuàng)建、銷毀操作,對虛擬機的日常維護包括:啟動、重啟、遷移、關(guān)閉、修復、快

照、虛擬機資源調(diào)整和監(jiān)控；

虛擬化管理平臺支持虛擬化網(wǎng)絡(luò)管理:對子網(wǎng)、WLAN

、端口組、分布式交換機進行

管理；

虛擬化管理平臺支持虛擬化存儲管理:可以管理IPSAN、FusionstoragesFC

SAN、NAS的存儲資源，向存儲資源池中增加、刪除數(shù)據(jù)存儲，對已經(jīng)存在的數(shù)據(jù)

存儲可以進行擴容。

5.2.2.2自動運維

自動化運維是虛擬化管理平臺提供的主要功能。管理員可以實現(xiàn)物理設(shè)備的

自動發(fā)現(xiàn)，虛擬機、操作系統(tǒng)和應(yīng)用軟件自動化部署,提高管理平臺的部署效率。管

理員通過配置不同的調(diào)度策略，同時實現(xiàn)智能調(diào)度管理，提升設(shè)備利用率和彈性伸

縮。

運維管理系統(tǒng)集中維護系統(tǒng)的調(diào)度策略，保證資源的合理分配,實現(xiàn)資源最大化

利用或?qū)崿F(xiàn)節(jié)能目標等。根據(jù)應(yīng)用場景，可以分為三種策略類型:組內(nèi)自動伸縮策

略、組間資源回收策略和時間計劃策略。

組內(nèi)自動伸縮策略

針對單獨的應(yīng)用而言，應(yīng)用根據(jù)應(yīng)用的當前負載動態(tài)的調(diào)整應(yīng)用實際使用的資

源,當一個應(yīng)用資源負載較高時，自動啟動虛擬機或添加虛擬機并安裝應(yīng)用軟件;當

應(yīng)用的資源負載很低時啟動關(guān)閉或刪除虛擬機，釋放相應(yīng)的資源。

組間資源回收策略

當系統(tǒng)資源不足的情況下，系統(tǒng)可以根據(jù)組間設(shè)置的資源復用策略，優(yōu)先使優(yōu)先

級高的應(yīng)用使用資源，使優(yōu)先級低的應(yīng)用釋放資源,以供