1、 智慧教育城域網平臺設計方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc8117658 第一章項目背景 PAGEREF _Toc8117658 h 3 HYPERLINK l _Toc8117659 第二章需求分析 PAGEREF _Toc8117659 h 5 HYPERLINK l _Toc8117660 2.1教育業務需求 PAGEREF _Toc8117660 h 5 HYPERLINK l _Toc8117661 2.1.1網絡閱卷 PAGEREF _Toc8117661 h 5 HYPERLINK l _Toc8117662 2.1.2視頻服務 PAGE

2、REF _Toc8117662 h 6 HYPERLINK l _Toc8117663 2.1.3三通兩平臺 PAGEREF _Toc8117663 h 8 HYPERLINK l _Toc8117664 第三章教育城域網設計 PAGEREF _Toc8117664 h 9 HYPERLINK l _Toc8117665 3.1設計原則與思路 PAGEREF _Toc8117665 h 9 HYPERLINK l _Toc8117666 3.2網絡總體設計 PAGEREF _Toc8117666 h 11 HYPERLINK l _Toc8117667 3.2.1物理網絡 PAGEREF _T

3、oc8117667 h 13 HYPERLINK l _Toc8117668 3.2.2網絡安全 PAGEREF _Toc8117668 h 21 HYPERLINK l _Toc8117669 3.2.3網絡管理 PAGEREF _Toc8117669 h 25 HYPERLINK l _Toc8117670 3.2.4云管理平臺 PAGEREF _Toc8117670 h 25 HYPERLINK l _Toc8117671 3.3市教育云對接方案H3C云彩虹方案 PAGEREF _Toc8117671 h 33 HYPERLINK l _Toc8117672 3.3.1市-區云間互聯方案

4、規劃 PAGEREF _Toc8117672 h 34 HYPERLINK l _Toc8117673 3.3.2市-區云平臺對接 PAGEREF _Toc8117673 h 36 HYPERLINK l _Toc8117674 3.3.3備份/恢復、標準模板推送 PAGEREF _Toc8117674 h 41 HYPERLINK l _Toc8117675 3.3.4業務擴展部署 PAGEREF _Toc8117675 h 45 HYPERLINK l _Toc8117676 3.3.5業務平臺間異地擴展 PAGEREF _Toc8117676 h 48 HYPERLINK l _Toc8

5、117677 第四章H3C培訓總體介紹 PAGEREF _Toc8117677 h 52 HYPERLINK l _Toc8117678 4.1.1H3C培訓 PAGEREF _Toc8117678 h 52 HYPERLINK l _Toc8117679 4.1.2針對本項目的培訓計劃 PAGEREF _Toc8117679 h 54 HYPERLINK l _Toc8117680 4.2案例 PAGEREF _Toc8117680 h 58 HYPERLINK l _Toc8117681 4.2.1典型案例：教育云 PAGEREF _Toc8117681 h 58 HYPERLINK l

6、_Toc8117682 4.2.2典型案例：江寧區教育城域網 PAGEREF _Toc8117682 h 61 HYPERLINK l _Toc8117683 4.2.3典型方案：市江寧高級中學 PAGEREF _Toc8117683 h 62項目背景以教育信息化帶動教育現代化，是我國教育事業發展的戰略選擇。為推進落實國家中長期教育改革和發展規劃綱要（2010-2020年）關于教育信息化的總體部署，教育部組織編制了教育信息化十年發展規劃（2011-2020年）。規劃全國范圍內建設覆蓋城鄉各級各類學校的教育信息化體系，促進優質教育資源普及共享，推進信息技術與教育教學深度融合，實現教育思想、理念、

7、方法和手段全方位創新，對于提高教育質量、促進教育公平、構建學習型社會和人力資源強國具有重大意義。同年五月市政府又批轉了市教育局擬定的“市教育信息化兩年行動計劃（20142015年）”的通知，結合教育部明確提出了未來兩年市教育信息化建設目標。以教育信息化帶動教育現代化、以“智慧”推動“智慧教育”建設為主線，依托教育數據中心構建“三通兩平臺”（寬帶網絡校校通、優質資源班班通、網絡學習空間人人通和教育資源公共服務平臺、教育管理公共服務平臺），區域教育信息化水平基本接近國際先進水平，國家教育信息化標準達標率達到90%以上。形成“育人為本、應用導向、統籌共建、引領創新”的教育信息化新局面。需求分析教育業

8、務需求區數字化校園業務平臺均采用B/S模式，基于微軟DOTNET技術構建，包含辦公、教學、管理、學習、運維分析等多個方面的業務子系統。系統間互聯互通，數據統一，標準規范。系統為學校的管理、教師的教學、學生的學習、家長的支持提供了更多便捷多樣的服務。如下圖所示：通過搭建應用支撐平臺（統一身份認證系統、PORTAL一體化桌面，數據共享和交互系統）來支撐各管理系統以及應用系統，實現信息共享，數據交互等目的。根據市內各城區管轄內學校的情況可以進行相應的業務選擇，下面以“網絡閱卷”、“視頻服務”兩個具有代表性的業務系統進行介紹。網絡閱卷所謂網絡閱卷系統，是指以計算機網絡技術和電子掃描技術為依托，實現客觀

9、題自動閱卷，主觀題網上評卷的一種現代計算機系統。功能意義：教學單位老師組織考試工作量大大降低，閱卷老師無需統一組織安排批卷地址進行批卷活動，未來區教育城域網建成，閱卷老師通過城域網絡在本校辦公室就可以對自己學?；蚱渌虒W單位進行批卷活動。當學校通過城域網訪問閱卷系統時，大量的圖像傳輸對網絡互連（含局域網和廣域網）提出了較高的要求，包括網絡帶寬、轉發性能、QOS能力等，另外，大量的考卷圖片將存儲在數據中心的存儲系統中，對存儲系統及數據庫等提出了新的要求。視頻服務區教育城域網視頻服務包含業務為：平安校園視頻服務、視頻教育教學與會議服務。平安校園視頻監控當前，區下屬各學校內建設自己的平安校園安防系統

10、，但是，這種“各自為陣、各為所用”的建設，以及整個區教育城域網沒有聯通建成，導致監控數據封閉在學校的范圍內，當發生應急事需要整體協調指揮時，市、區教育局領導無法全方位及時了解事件的進展并進行有效應急指揮，不能將已建成的監控系統充分利用起來，而只能用于事后審查、圖像回溯等。因此，通過本次區教育城域網建設，將把學校通過IP互聯技術連接到區教委數據中心，使得各學校的基于模擬或IP技術的監控系統能夠將圖像上傳至市、區教委，以實現教委領導在隨時隨地開展應急指揮、事后回溯等平安校園工作。視頻教育教學與會議服務視頻教育教學及會議系統是一種現代化的教學系統，它可以把不同地點任一教室實時的現場場景和語音互連起來

11、，同時向參與者提供分享聽覺和視覺的空間，使各方入會的老師或學生有“面對面”交談的感覺。隨著多媒體視頻技術的發展，視頻教學的應用越來越廣泛，同時對其視頻音頻質量、數據共享、靈活性以及易用性、可靠性和易管理性的要求也越來越嚴格。因此，通過本次區教育城域網建設，將把學校通過IP互聯技術連接到區教委數據中心，使得各學校能夠開展各類視頻服務，如優視頻會議、直播公開課、遠程教學、教學錄像點播等各類優質教學資源。三通兩平臺為推進落實國家中長期教育改革和發展規劃綱要（2010-2020年）關于教育信息化的總體部署，國家教育部組織編制了教育信息化十年發展規劃（2011-2020年）。規劃要求在全國范圍內建設覆蓋

12、城鄉各級各類學校的教育信息化體系，促進優質教育資源普及共享，推進信息技術與教育教學深度融合，實現教育思想、理念、方法和手段全方位創新，對于提高教育質量、促進教育公平、構建學習型社會和人力資源強國具有重大意義。以教育信息化帶動教育現代化，依托教育數據中心構建“三通兩平臺”（寬帶網絡校校通、優質資源班班通、網絡學習空間人人通和教育資源公共服務平臺、教育管理公共服務平臺），區域教育信息化水平基本接近國際先進水平，國家教育信息化標準達標率達到90%以上。形成“育人為本、應用導向、統籌共建、引領創新”的教育信息化新局面，并開展各項教育類應用系統，整體架構如下圖所示：教育城域網設計根據市區級數據中心建設評

13、估與標準及教育城域網提升工程實施細則的要求，需要對區級數據中心網絡系統進行升級改造，實現區數據中心與下屬各學校的網絡的互聯互通，實現以虛擬化數據中心為核心的基礎IT設施平臺。設計原則與思路城域網及云資源（數據）中心的建設原則是能夠高效、安全、綠色的支撐應用系統的使用，相比傳統城域網建設，體現在幾個層面的變化：1、數據中心的形成：相比傳統服務器部署而言，資源中心的建設要求有統一的數據中心來承載兩大平臺的運行。2、虛擬化的使用：為了整合資源中心的硬件資源，會大量使用虛擬化技術來建設彈性的資源池；3、應用類型對網絡帶寬的消耗：應用的規劃以動畫、視頻、互動等大流量應用為主，相比傳統網絡帶寬要求提升10

14、20倍；4、用戶規模的劇增：資源的使用者增加了學生，相比傳統只有老師使用的環境，用戶規模增加了1020倍；5、流量模型的變化：原來的流量訪問模型為本局域網內部橫向為主，資源中心建成后用戶的訪問模型以學校訪問資源中心的流量為主，基本上為縱向流量；6、允許斷網時間的變化：教學系統上網意味著對網絡可靠性的要求提高，允許斷網時間應該控制在分鐘級別；所以在城域網和資源中心的設計上需要遵循以下原則：高性能骨干網絡性能是整個網絡良好運行的基礎，設計中必須保障網絡及設備的高吞吐能力，保證各種信息（視頻、動畫、應用）的高質量傳輸，才能使網絡不成為業務開展的瓶頸。高可靠性網絡系統的穩定可靠是應用系統正常運行的關鍵

15、保證，在網絡設計中選用高可靠性網絡產品，設備充分考慮冗余、容錯能力；合理設計網絡架構，制訂可靠的網絡備份策略，保證網絡具有故障自愈的能力，最大限度地支持系統的正常運行。網絡設備在出現故障時應便于診斷和排除，充分體現計算機網絡的高可靠性。安全性制訂統一的網絡安全策略，整體考慮網絡平臺的安全性，保證師生能夠安全、綠色的使用資源，且安全性必須采用云安全技術，能夠適應云計算資源動態調配的需求。獨立性學校與教育局之間采用公網連接會導致一些應用系統的不可用（比如名師講堂、雙向教學等），而且公網連接也使得網絡不安全、不可控等隱患，所以教育局與學校之間應該采用裸光纖或者VPN方式連接；六區教育城域網建議采用裸

16、光纖連接。技術先進性和實用性在保證滿足校園業務、應用系統業務的同時，要體現出網絡系統的先進性。在網絡設計中要把先進的技術與現有的成熟技術和標準結合起來，充分考慮網絡應用的現狀和未來發展趨勢。標準開放性支持國際上通用的網絡協議、路由協議等開放的協議標準，有利于保證與其它網絡(如中國教育網、公共數據網、學校之間等其它網絡)之間的平滑連接互通，以及將來網絡的擴展。靈活性及可擴展性根據未來業務的增長和變化，網絡可以平滑地擴充和升級，最大程度的減少對網絡架構和現有設備的調整?？晒芾硇詫W絡實行集中監測、分權管理，并統一分配帶寬資源。選用先進的網絡管理平臺，具有對設備、端口等的管理、流量統計分析，及可提供

17、故障自動報警。強QOS、強組播特性城域網因為對視頻、音頻等多媒體業務的需求較大，所以整個網絡具有較完善的QOS特性對教育網而言就顯得尤為重要。能不能對關鍵業務進行帶寬優先保證尤其是那些對時延敏感的業務進行保證是教育網必須考慮的一個重點，為實現區別服務，整網端到端的QOS特性機制是優質網絡業務的保證。另外組播特性對于有效的保證多媒體流傳輸性能和節省帶寬也有非常重要的意義，基于組播的控制特性也會進一步保證組播流的控制、管理和安全，從而為實現教育城域網的多業務支持提供保障。兼容性和經濟性兼容性，能夠最大限度地保證學?，F有各種計算機軟、硬件資源的可用性和連續性，為不同的現存網絡提供互聯和升級的手段（如

18、現有的雙向教學系統），保證各種在用計算機系統（包括工作站、服務器和微機等設備）的互連入網，充分利用現有網絡資源，發揮主干網的優勢。經濟性，就是在充分利用現有資源的情況下，最大限度地降低網絡系統的總體投資，有計劃、有步驟地實施，在保證網絡整體性能的前提下，充分利用現有設備或做必要的升級。網絡總體設計如上圖所示，整個系統按照拓撲位置劃分為兩大區塊，分別為教育城域網云計算數據數據中心機房區塊、區下屬各學校接入區塊。教育城域網云計算數據數據中心機房區塊作為整個系統建設的重點，需要建立云計算資源池，存儲資源池以及網絡資源池，采用虛擬化技術與云計算技術，實現計算資源及存儲資源的按需分配，并支持與市教育城域

19、網云計算資源實現互聯互通，并可互相實現資源調配，整合并共享資源，能夠構建一個廣域云計算資源池。外連子區實現整個教育城域網的外網出口，通過專用的高性能第二代安全防火墻作為出口網關，與市電教館數據中心及外部因特網實現連接，可實現安全虛擬化業務，保護城域網安全。區下屬各學校接入區塊是數據中心連接下屬各學校的城域網絡，為了建設各學校實現云計算向學校的延伸，通過廣域網專線，連接到區數據中心核心交換機上，數據中心核心交換機，支持虛擬化技術，實現網絡的虛擬化，以滿足云計算對網絡的業務功能要求。教育城域網帶寬設計：考慮到本次建設的教育城域網，為保證視屏監控上傳、網絡閱卷以及三通兩平臺的各項業務系統的健康運行，

20、特別是大量的平安校園視頻監控、直播課堂、教學點播、視頻教研、互通學習等實時流媒體類業務的開展，對網絡帶寬等提出了較高的要求，另外，本次建立的云計算資源數據中心，目的是區教委向學校提供云計算資源服務，即學校如需開展業務應用，可向中心提交分配云計算資源申請，獲取資源中心的云計算單元并使用，這項業務也對城域網帶寬提出了較高的要求，因此，從業務角度考慮，建議至少為每個學校分配1000Mbps的網絡上連帶寬，滿足云計算及各項業務開展的需求。物理網絡核心交換機城域網的核心層部分采用“兩網一核心”的建設思路：城域網和數據中心共用一套網絡核心，通過1：N虛擬化技術將數據中心的核心交換機虛擬成2套設備，一套作為

21、數據中心的網絡核心，一套作為城域網的網絡核心。兩套設備擁有的獨立的CPU、內存和路由表象等資源，避免了共用核心導致的設備性能問題和網絡安全問題。兩網一核心的建設模式即節約了投資，提高了設備的利用率，又保證了網絡的可靠性。 在主核心機房為整網選配兩臺高性能CLOS架構機箱式交換機S10508-V，通過華三獨有的IRF2智能彈性虛擬化技術進行虛擬化融合。負責整個教育城域網平臺上應用業務數據的高速交換，核心交換機配備冗余電源及引擎保證網絡健壯性與可靠性。核心層：提供高速的萬兆三層交換骨干。核心層提供高可靠性設計，硬件采用CLOS架構、信元切片動態路由交換方式，保證業務的永續性。核心需要支持云計算特性

22、，如：網絡設備一虛多、網絡橫向虛擬化、網絡縱向虛擬化、以及大二層技術TRILL/EVI/SPB創新的多引擎控制設計：采用了創新的硬件設計，通過獨立的控制引擎、檢測引擎、維護引擎設計為系統提供強大的控制能力和的高可靠保障。分布式緩存機制及精細化QOS：分布式入口緩存、端口200毫秒緩存能力、大容量硬件隊列服務器區域統一管理矩陣交換機采用兩根千兆光纖鏈路與核心交換機進行鏈路冗余帶寬增加捆綁的方式進行互聯，增加數據傳輸穩定性、可靠性、高效性。核心設備虛擬化設計-多虛1IRF2（Intelligent Resilient Framework 2 ，第二代智能彈性架構），是H3C自主研發的虛擬化技術，將

23、多臺物理設備通過IRF2虛擬化成一臺邏輯設備，從而實現多臺設備的協同工作、統一管理和不間斷維護。核心可通過10G萬兆線纜互聯采用華三專有的IRF2智能彈性架構技術進行虛擬化堆疊。業界領先的冗余備份技術引入虛擬化設計方式之后，在不改變傳統設計的網絡物理拓撲、保證現有布線方式的前提下，以IRF2的技術實現網絡各層的橫向整合，即將交換網絡每一層的兩臺、多臺物理設備使用IRF2技術形成一個統一的交換架構，減少了邏輯的設備數量，如下圖所示在虛擬化整合過程中，被整合設備的互聯電纜成為IRF2的內部互聯電纜，對IRF2系統外部就不可見了.原來兩臺設備之間的捆綁互聯端口歸屬的VLAN三層接口網段均能被其它設備

24、可達(如ping通)，而歸屬到IRF2系統內部后，不對互聯電纜接口進行IP配置，因此隔離于IRF2外部網絡。本次采用核心交換機S10508-V支持IRF2技術，最多將4臺高端設備虛擬化為一臺邏輯設備，在可靠性、分布性和易管理性方面具有強大的優勢；可靠性：通過專利的熱備份技術，在整個虛擬架構內實現控制平面和數據平面所有信息的冗余備份和無間斷的數據轉發，極大的增強了虛擬架構的可靠性和高性能，同時消除了單點故障，避免了業務中斷；分布性：通過分布式跨設備鏈路聚合技術，實現多條上行鏈路的負載分擔和互為備份，從而提高整個網絡架構的冗余性和鏈路資源的利用率；易管理性：整個彈性架構共用一個IP管理，簡化網絡設

25、備管理，簡化網絡拓撲管理，提高運營效率，降低維護成本。核心設備虛擬化設計-1虛多MDC（Multitenant Devices Context，多租戶設備環境）是H3C自主研發的虛擬化技術，可以實現1：N的虛擬化能力，即一臺物理交換機虛擬化成N臺邏輯交換機，滿足多客戶共享核心交換機。一方面可以充分利用核心交換機的能力；另一方面也降低了用戶的投資成本；同時可以通過MDC技術實現對業務的安全隔離。1、Multitenant Device Context (MDC)，MDC技術是一種完全的1:N設備虛擬化技術，將一臺物理網絡設備通過軟件虛擬化成多臺邏輯網絡設備，虛擬化出來的邏輯網絡設備簡稱MDC（M

26、ultitenant Device Context）；2、軟件上，MDC將網絡設備的控制平面、數據平面、管理平面進行了完全的虛擬化；3、硬件上，MDC將網絡設備的硬件資源進行了虛擬化，不僅可以將板卡、端口等硬件資源劃分到獨立的邏輯設備，而且可配置每個邏輯設備的CPU、內存、存儲空間等資源。Multitenant Device Context (MDC)的優點1、復用，多臺MDC共用物理設備的資源，使物理資源能得到充分利用；2、隔離， 同一臺物理設備上的多個MDC具有獨立的軟硬件資源，獨立運行互不影響；3、高伸縮性，可整合多個物理網絡到一個物理設備上，也可以將一個物理設備擴展為多個邏輯網絡。存儲

27、接入交換機本次存儲資源采用iSCSI存儲陣列模式，通過專用存儲接入交換機與核心交換機進行鏈接，提供存儲空間資源。選配的設備型號為S6800-2C萬兆接入數據中心交換機主機, 支持2個QSFP+端口和2個業務插槽，2個電源插槽，2個風扇插槽，1個帶外管理網口及1個USB接口IRF2（第二代智能彈性架構）S6800系列交換機支持IRF2（第二代智能彈性架構）技術，就是把多臺物理設備互相連接起來，使其虛擬為一臺邏輯設備，也就是說，用戶可以將這多臺設備看成一臺單一設備進行管理和使用。IRF可以為用戶帶來以下好處：簡化管理 IRF架構形成之后，可以連接到任何一臺設備的任何一個端口就以登錄統一的邏輯設備，

28、通過對單臺設備的配置達到管理整個智能彈性系統以及系統內所有成員設備的效果，而不用物理連接到每臺成員設備上分別對它們進行配置和管理。簡化業務 IRF形成的邏輯設備中運行的各種控制協議也是作為單一設備統一運行的，例如路由協議會作為單一設備統一計算，而隨著跨設備鏈路聚合技術的應用，可以替代原有的生成樹協議，這樣就可以省去了設備間大量協議報文的交互，簡化了網絡運行，縮短了網絡動蕩時的收斂時間。彈性擴展 可以按照用戶需求實現彈性擴展，保證用戶投資。并且新增的設備加入或離開IRF架構時可以實現“熱插拔”，不影響其他設備的正常運行。高可靠 IRF的高可靠性體現在鏈路，設備和協議三個方面。成員設備之間物理端口

29、支持聚合功能，IRF系統和上、下層設備之間的物理連接也支持聚合功能，這樣通過多鏈路備份提高了鏈路的可靠性；IRF系統由多臺成員設備組成，一旦Master設備故障，系統會迅速自動選舉新的Master，以保證通過系統的業務不中斷，從而實現了設備級的1：N備份；IRF系統會有實時的協議熱備份功能負責將協議的配置信息備份到其他所有成員設備，從而實現1：N的協議可靠性。高性能 對于高端交換機來說，性能和端口密度的提升會受到硬件結構的限制。而IRF系統的性能和端口密度是IRF內部所有設備性能和端口數量的總和。因此，IRF技術能夠輕易的將設備的交換能力、用戶端口的密度擴大數倍，從而大幅度提高了設備的性能。I

30、RF3（第三代智能彈性架構）S6800系列產品可以在縱向維度上支持異構虛擬化，將核心和接入設備通過IRF3 技術形成一臺縱向邏輯虛擬設備，相當于把一臺盒式設備作為一塊遠程接口板加入主設備系統，以達到擴展I/O 端口能力和進行集中控制管理的目的。IRF3 技術可以簡化管理，大幅度降低網絡管理節點；簡化布線，二層變為一層，節省橫向連接線纜；最終實現數據轉發平面虛擬化，便于簡化業務部署和自動編排。豐富的數據中心特性S6800系列交換機支持邊緣虛擬橋EVB (Edge Virtual Bridging)，通過VEPA (Virtual Ethernet Port Aggregator)模式實現將虛擬機

31、VM(Virtual Machine)產生的數據流量上傳至與服務器相連的物理交換機進行處理。不僅實現了虛擬機之間的流量轉發，同時還解決了虛擬機與網絡之間的連接與管理邊界問題。FCoE技術在以太網中實現對FC報文的承載，使得FC SAN網絡和以太網LAN網絡可共享同一網絡基礎設施。S6800系列交換機支持完整的FCoE及FC協議棧，為進一步簡化了整網基礎架構提供了便利。融合板卡的下行SFP+端口可以基于芯片組切換為FC端口與FC SAN互通，實現FC SAN網絡與以太網絡的完全融合，大大簡化了整網基礎設施。TRILL（Transparent Interconnection of Lots of

32、Links，多鏈路透明互聯）技術是一種改變傳統數據中心網絡構建方式的創新技術，它將三層路由的穩定可擴展高性能等優點引入到適應性強、但性能和組網范圍受限的二層交換網絡之中， 建立了一個靈活、易擴展的高性能二層網絡架構。采用支持TRILL技術的S6800系列交換機是構建大型的、高性能易擴展、并支持服務器虛擬機動態遷移的云數據中心網絡的理想選擇。軟件定義網絡（Software Defined Network，SDN）是一種創新的網絡架構體系。其核心技術Openflow通過將網絡的控制層和數據轉發層進行分離，大幅簡化了網絡的管理及維護難度，更為重要的是實現了網絡流量的靈活控制，為核心網絡及應用的創新提

33、供了良好的網絡平臺。S6800可以配合多個Openflow controller 實現SDN方案。S6800系列交換機支持DCB （Data Center Bridging），并支持ISSU（不中斷業務升級）、OAM（操作、管理和維護）及能效以太網（EEE），充分滿足了數據中心對設備高性能及綠色節能的需要。S6800系列交換機支持VXLAN (Virtual Extensible LAN，虛擬擴展局域網)， VXLAN通過將虛擬機發出的數據包封裝在UDP中，并使用物理網絡的IP/MAC作為outer-header封裝后在物理IP網上傳輸，到達目的地后由隧道終結點解封并將數據發送給目標虛擬機，解

34、決了地理分散的數據中心之間遠距離虛擬機遷移問題。S6800系列交換機支持智慧緩存技術，硬件實現流量負載的智能分配，緩存利用率較傳統提高多達5倍；支持智慧表項技術，實現MACARPFIB表項動態調整，表項規格(最大達288K)較傳統交換機提升10倍；支持智慧Hash技術，在業務量繁重的網絡中能顯著消除網絡極化和負載失衡問題。S6800系列交換機采用高性能多核CPU及模塊化軟件操作平臺，在實現不同優先級任務調度時比普通交換機更加靈活，對業務處理更加迅捷和智能。完善的安全控制策略H3C S6800系列交換機支持AAA，RADIUS認證，支持用戶帳號、IP、MAC、VLAN、端口等用戶標識元素的動態或

35、靜態綁定；支持配合H3C公司的iMC平臺對在線用戶進行實時的管理，及時的診斷和瓦解網絡非法行為。 H3C S6800系列交換機提供增強的ACL控制邏輯，支持大容量的入端口和出端口ACL，并且支持基于VLAN的ACL下發，在簡化用戶配置過程的同時，避免了ACL資源的浪費。另外，S6800系列交換機還將支持單播反向路徑查找技術（uRPF），原理是當設備的一個接口上收到一個數據包時，會反向查找路徑來驗證是否存在從該接收接口到包中制定的源地址之間的路由，即驗證了其真實性，如果不存在就將數據包刪除，這樣我們就可以有效杜絕網絡中日益泛濫的源地址欺騙。多重可靠性保護 H3C S6800系列交換機具備設備級和

36、鏈路級的多重可靠性保護。采用過流保護、過壓保護和過熱保護技術，所有機型都支持可插拔的冗余電源模塊，也就是說可以根據實際環境的需要靈活配置交流或直流電源模塊，此外整機還支持電源和風扇的故障檢測及告警，可以根據溫度的變化自動調節風扇的轉速，這些設計使設備具備了很高的可靠性。 除了設備級可靠性以外，S6800還支持豐富的鏈路級可靠性技術，比如VRRPE等。當網絡上承載多業務、大流量的時候也不影響網絡的收斂時間，保證業務的正常開展。出色的管理性 H3C S6800系列交換機支持豐富的管理接口，例如Console、USB管理口及帶外管理口，支持SNMPv1/v2/v3，支持iMC智能管理中心。支持CLI

37、命令行，TELNET及FTP配置，并且支持SSH2.0、SSL等加密方式，使得管理更加方便和安全。網絡安全出口安全：區云資源（數據）中心出口必須考慮安全建設，用高性能下一代防火墻安全網關，實現防火墻及流量控制等安全防護功能。 為了應對云計算環境下的流量模型變化，安全防護體系的部署需要朝著高性能的方向調整。在本次項目的建設過程中，多條高速鏈路匯聚成的大流量已經比較普遍，在這種情況下，安全設備必然要具備對性能得業務處理能力；無論是獨立的機架式安全設備；同時，考慮到云計算環境的業務永續性，設備的部署必須要考慮到高可靠性的支持，諸如雙機熱備、配置同步、電源風扇的冗余、鏈路捆綁聚合、硬件BYPASS等特

38、性，真正實現大流量匯聚情況下的基礎安全防護。安全虛擬化：該安全網關支持安全虛擬化功能，能夠實現對區教育云數據中心多租戶應用場景下，為不同租戶分配不同安全資源池的防護要求，安全功能虛擬化基于安全網關設備的業務處理CPU及內存資源實現裸金屬劃分，實現安全虛擬化，以滿足云計算數據中心的外聯安全保護要求。選配的設備型號為F1050自帶1個配置口（CON）主機自帶8個千兆光口+16個千兆電口，1*500G硬盤，自帶雙電源?？膳渲肞FC-BYPASS接口。高性能的軟硬件處理平臺 H3C SecPath F1050采用了先進的最新64位多核高性能處理器和高速存儲器。電信級設備高可靠性 支持H3C SCF虛擬

39、化技術，可將多臺設備虛擬化為一臺邏輯設備，對外呈現為一個網絡節點，資源統一管理，完成業務備份同時提高系統整體性能。強大的安全防護功能 支持豐富的攻擊防范功能。包括：Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片報文、ARP欺騙、ARP主動反向查詢、TCP報文標志位不合法、超大ICMP報文、地址掃描、端口掃描等攻擊防范，還包括針對SYN Flood、UPD Flood、ICMP Flood、DNS Flood等常見DDoS攻擊的檢測防御。 最新支持SOP 1:N完全虛擬化?？稍贖3C SecPath F1050設備上劃分多個

40、邏輯的虛擬防火墻，基于容器化的虛擬化技術使得虛擬系統與實際物理系統特性一致，并且可以基于虛擬系統進行吞吐、并發、新建、策略等性能分配。靈活可擴展的一體化DPI深度安全 與基礎安全防護高度集成的一體化安全業務處理平臺。 全面的應用層流量識別與管理：通過H3C長期積累的狀態機檢測、流量交互檢測技術，能精確檢測Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（電騾）/eDonkey（電驢）、QQ、MSN、PPLive等P2P/IM/網絡游戲/炒股/網絡視頻/網絡多媒體等應用；支持P2P流量控制功能，通過對流量采用深度檢測的方法，即通過將網絡報文與P2P協議

41、報文特征進行匹配，可以精確的識別P2P流量，以達到對P2P流量進行管理的目的，同時可提供不同的控制策略，實現靈活的P2P流量控制。 高精度、高效率的入侵檢測引擎。采用H3C公司自主知識產權的FIRST（Full Inspection with Rigorous State Test，基于精確狀態的全面檢測）引擎。FIRST引擎集成了多項檢測技術，實現了基于精確狀態的全面檢測，具有極高的入侵檢測精度；同時，FIRST引擎采用了并行檢測技術，軟、硬件可靈活適配，大大提高了入侵檢測的效率。 實時的病毒防護：采用Kaspersky公司的流引擎查毒技術，從而迅速、準確查殺網絡流量中的病毒等惡意代碼。 迅

42、捷的URL分類過濾：提供基礎的URL黑白名單過濾同時，可以配置URL分類過濾服務器在線查詢。 全面、及時的安全特征庫。通過多年經營與積累，H3C公司擁有業界資深的攻擊特征庫團隊，同時配備有專業的攻防實驗室，緊跟網絡安全領域的最新動態，從而保證特征庫的及時準確更新。下一代多業務特性 集成鏈路負載均衡特性，通過鏈路狀態檢測、鏈路繁忙保護等技術，有效實現企業互聯網出口的多鏈路自動均衡和自動切換。 一體化集成SSL VPN特性，滿足移動辦公、員工出差的安全訪問需求，不僅可結合USB-Key、短信進行移動用戶的身份認證，還可與企業原有認證系統相結合、實現一體化的認證接入。 DLP基礎功能支持，支持郵件過

43、濾，提供SMTP郵件地址、標題、附件和內容過濾；支持網頁過濾，提供HTTP URL和內容過濾；支持網絡傳輸協議的文件過濾；支持應用層過濾，提供Java/ActiveX Blocking和SQL注入攻擊防范。專業的智能管理 支持智能安全策略：實現策略冗余檢測、策略匹配優化建議、動態檢測內網業務動態生成安全策略并推薦。 支持標準網管 SNMPv3，并且兼容SNMP v1和v2。 提供圖形化界面，簡單易用的Web管理。 可通過命令行界面進行設備管理與防火墻功能配置，滿足專業管理和大批量配置需求。 基于先進的深度挖掘及分析技術，采用主動收集、被動接收等方式，為用戶提供集中化的日志管理功能，并對不同類型

44、格式（Syslog、二進制流日志等）的日志進行歸一化處理。同時，采用高聚合壓縮技術對海量事件進行存儲，并可通過自動壓縮、加密和保存日志文件到DAS、NAS或SAN等外部存儲系統，避免重要安全事件的丟失。網絡管理建議未來采用一套網絡管理系統，實現對本次云計算數據中心的統一網絡管理及虛擬網絡管理，另外，目前數據中心采用云計算及虛擬化技術構建，需打通網絡、計算之間的隔閡，實現資源的融合管理和智能調度，并最終實現自動化。例如，在虛擬化數據中心環境中，為實現按需分配資源，需要計算、存儲、網絡資源的協同調度，才能完成服務/應用的創建部署。網絡管理系可通過監聽虛擬機變更消息（上線、下線、遷移等），自動將網絡

45、側配置在宿主、目的地交換機之間進行變更，實現物理網絡和虛擬網絡之間提供無縫協作。當一臺虛擬機遷移時，網絡管理系統會自動為虛擬機執行網絡配置的遷移，網絡管理員無須手動為虛擬機配置接入交換機，真正的實現了虛擬機的無縫遷移。本次項目不涉及區學院網絡管理升級改造，不進行重點介紹。云管理平臺自上世紀90年代開始，IT行業在全球范圍內得到了迅猛的發展，IT平臺的規模和復雜程度出現了大幅度的提升，與此同時，很多企業的IT機構卻因為這種提升而面臨著新的困境，如高昂的硬件成本和管理運營成本、緩慢的業務部署速度以及缺乏統一管理的基礎架構。H3C公司依托其強大的技術實力、產品與服務優勢，以及深入人心的以用戶為中心的

46、理念，為企業數據中心IaaS云計算基礎架構提供最優化的虛擬化與云業務運營解決方案。通過H3C CAS虛擬化管理系統實現數據中心虛擬化環境的中央管理控制，以簡潔的管理界面，統一管理數據中心內所有的物理資源和虛擬資源，不僅能提高管理員的管控能力、簡化日常例行工作，更可降低IT環境的復雜度和管理成本。全虛擬化融合H3C CAS虛擬化管理系統融合了計算、網絡、存儲資源的虛擬化，形成彈性的數據中心資源池，實現資源的自動化調度，更好地為上層應用服務。 通過虛擬化后，虛機之間為完全隔離狀態，具有獨立CPU、內存、磁盤I/O、網絡I/O，即任何一個虛機發生故障時，同一物理機上的其他虛機不受其影響，每個虛機具有

47、獨立的用戶管理權限，可安裝獨立操作系統，不同虛機間操作系統可以異構。產品系統架構H3C CAS云計算管理平臺系統架構H3C CAS虛擬化管理系統是H3C CAS云計算管理平臺的核心組件之一，采用裸金屬架構，實現對數據中心內的計算、網絡和存儲等硬件資源的虛擬化管理，對上層應用提供自動化服務。其業務范圍包括：虛擬計算、虛擬網絡、虛擬存儲、高可用性（HA）、動態資源調度（DRS）、虛擬機容災與備份、虛擬機模板管理、集群文件系統、虛擬網絡策略管理等。H3C CAS虛擬化管理系統對外提供API接口，可以與第三方系統進行對接?；诩旱募泄芾鞨3C CAS虛擬化管理系統將服務器主機和虛擬機都組織到集群中

48、，提供了清晰的分層結構視圖，直觀地展示了數據中心、主機池、集群、主機和虛擬機之間的關系，大大簡化了資源管理的工作量。基于集群進行集中管理的好處在于：利用集中化管理功能，管理員能夠通過統一的界面對整個IT環境進行組織、監控和配置，從而降低管理成本。由多臺獨立服務器主機聚合形成的一個具有共享資源池的集群不僅降低了管理的復雜度，而且具有內在的高可用性，通過監控集群下所有的主機，一旦某臺主機發生故障，H3C CAS虛擬化管理系統就會立即響應并在集群內另一臺主機上重啟受影響的虛擬機，也可以進行手動在線虛擬機遷移，從而為用戶提供一個經濟有效的高可用性解決方案。H3C CAS具有 Fault Toleran

49、ce（容錯）機制，實現在硬件故障時，業務系統不中斷運行。H3C CAS支持動態資源分配功能，可實現虛擬機資源（CPU、內存、存儲等）在線/離線動態調整。 基于集群的分層管理模型完備的虛擬機生命周期管理支持虛擬機的創建、修改、啟動、暫停、恢復、休眠、重啟、關閉、下電、克隆、遷移、快照等常用功能，同時支持通過管理界面的控制臺遠程連接到虛擬機。所有的操作全部基于圖形化配置界面。 虛擬機生命周期管理環節性能狀態監測物理服務器性能狀態監測提供物理服務器CPU和內存等計算資源的圖形化報表及運行于其上的虛擬機利用率TOP 5報表，為管理員實施合理的資源規劃提供詳盡的數據資料。 物理服務器性能狀態監測虛擬機性

50、能狀態監測提供虛擬機CPU、內存、磁盤I/O、網絡I/O等關鍵資源進行全面的性能監測。 虛擬機性能狀態監測虛擬交換機狀態監測提供虛擬機交換機上各個虛端口的流量統計與模擬面板圖形化顯示。 虛擬交換機狀態監測虛擬網卡性能狀態監測提供進出虛擬機虛端口的流量的圖形化實時顯示。 虛擬網卡性能狀態監測云業務工作流程在“IT即服務”的云計算平臺系統中， IT服務的自助式提供和業務自動化部署是云計算業務的關鍵特點。而上述特點均依賴于云業務部署流程的合理管理和業務自動化部署的結合。通過云業務工作流程的管理，可以將云計算平臺中各功能模塊有機的結合起來。從而實現云計算平臺業務快速和自動化開展實施。云業務工作流作為一

51、個公共基礎系統貫穿了云平臺業務過程，最終實現IT服務的對業務部門的自助式交付。區教育城域網的云計算解決方案需要基于Web頁面提供完整的端到端云業務工作流程管理。其業務工作流程應包括用戶的身份認證、用戶選擇所需服務、管理員的審批、系統對資源的自動調用IT資源生成虛擬機等關鍵步驟。HA功能部署傳統數據中心內的服務器高可靠性保障通常會選擇依賴于集群技術的部署。而云計算平臺將計算資源虛擬化以后，可以利用虛擬服務器自身虛擬化的特點實現傳統物理服務器上無法實現的高可靠性。為了提升云業務系統的可靠性，在云計算平臺的計算資源池建設時，可以將多個物理主機合并為一個具有共享資源池的集群。云業務系統的HA功能能夠監

52、控該集群下所有的主機和物理主機內運行的虛擬主機。當物理主機發生故障，出現宕機時，HA功能組件會立即響應并在集群內另一臺主機上重啟該物理主機內運行的虛擬機。當某一虛擬服務器發生故障時，HA功能也會自動的將該虛擬機重新啟動來恢復中斷的業務。如下圖所示： HA功能給教育云計算平臺帶來的價值如下：簡便的設置和啟動：使用“新建集群”向導來進行初始設置虛擬化管理平臺添加主機和新的虛擬機。降低硬件成本和設置：在傳統集群解決方案中，必須有重復的軟硬件，而且各個組件必須正確連接和配置。使用虛擬化系統集群時，只要保證有足夠的資源容納要確保其故障切換的主機的數量，就可以便捷自動地完成主機故障切換。無論硬件和操作系統

53、平臺如何，虛擬化系統的HA功能都通過為應用程序提供可用的、經濟的高可靠性。動態資源調整對于部分業務而言其負載情況不是一成不變的，會周期性或隨機的出現波動。有些業務的波動幅度很大，其峰值訪問量甚至會超出正常訪問量的好幾倍。在傳統數據中心設計中，設計者必須根據該業務的峰值來設計IT系統的容量。云計算數據中心的一大特點就是可以實現計算資源的動態擴展，以滿足各種業務的彈性擴展需求。本方案通過云計算管理平臺和負載均衡設備的聯動，可以實現業務負載監控和資源彈性擴展功能：業務負載監控：虛擬化管理平臺集成業務負載監控平臺，實現對虛擬機資源負載情況的監控資源自動彈性擴展：業務負載監控平臺檢測到業務負載超過設定的

54、閾值后，聯動虛擬化管理平臺自動擴展資源；業務負載增高時，通過快速克隆/部署虛擬機來增加業務對應的資源數量；業務負載減小時，通過關閉/刪除虛擬機來減少業務對應的資源數量負載均衡設備自動感知：負載均衡設備能夠感知到有新的虛擬機生成或關閉，并將這些虛擬機自動的添加到負載均衡服務組中或從服務組中刪除。針對動態擴展業務組的狀態統計信息展示，便于維護人員對業務進行管理和預判虛擬機備份隨著云平臺對IT信息化系統的依賴加深，業務系統備份是必不可少的組件。相應的，在云計算平臺中，針對計算資源池中虛擬機備份也至關重要。虛擬化系統能實現定時備份和即時備份功能，會在暫停虛擬機中的應用程序之后，為正在運行的虛擬機創建快

55、照，從而對備份工作進行集中處理，以確保文件系統的一致性。虛擬機的備份特性是一種高效而低成本的災難恢復特性，它將帶來如下價值：基于磁盤的備份功能，為虛擬機提供快速、簡單的數據保護無需額外代理的備份，簡化了部署復雜度支持全自動的定時備份和手工干預的即時備份，滿足不同的應用要求市教育云對接方案H3C云彩虹方案在本次區教育云資源平臺建設中，除了要實現區電教館本地的教育資源云平臺建設，實現本地的教育云資源庫外，還需與市教育云平臺實現對接，將區教育云與市教育云整合，實現市級云與區級云互為備份；當市級云平臺業務爆發而資源不夠用時可自動從區級平臺獲取資源；針對某項應用，可實現Iaas云資源彈性擴展到異地，且本

56、地和異地共同提供可負載均衡的業務服務，打破IT資源與業務只能本地部署的局限性，且目前，市電教館使用的教育資源平臺為H3C的CIC+CAS云計算平臺，在本次方案中區也使用該平臺，對接非常方便，具體解決方案如下：市-區云間互聯方案規劃利用云彩虹技術實現市教育局云平臺與各區云平臺的對接，不僅僅是網絡的互通與業務的互訪，更重要的是資源層的互通與共享。H3C云彩虹方案目標在于解決基礎設施云(IaaS)多級平臺的資源互通與共享整體架構如下圖所示：網絡的互通是云彩虹方案的基礎，在市平臺與區平臺的網絡互通后，基于H3C CAS的兩級云平臺可實現對接，云平臺對接之后可以實現如下功能(見上圖中的示意)：備份與恢復

57、：區云平臺可以借用市云平臺的計算、存儲資源池，對部署在區平臺中的業務應用虛機進行備份與恢復，解決區業務應用的災備問題。標準模板推送：市云平臺中的設計好的標準應用模板（模板設計參見7.3章節）可以向下發布到各區云平臺，區教育局在部署業務應用時就無需再創建虛擬機模板，直接由市云平臺發布的模板快速生成虛擬部署業務應用，同時模板的統一也便于各區業務應用的標準化、合規化。擴展：當區云平臺中的計算、存儲資源不夠時，可以借用市云平臺中的資源進行擴展，直接將虛擬機部署到市云平臺中去，利用市教育局的計算、存儲資源對外提供業務，實現資源的擴展。異地擴展：已經部署在區平臺中的業務應用，當受到突發事件的影響訪問量劇增

58、，區平臺的本地資源不足以支撐時，可以將業務應用異地擴展到市云平臺，通過在市平臺申請更多的計算、存儲資源部署性能更高、數量更多的虛擬機業務應用，以支撐突發的業務訪問。當突發訪問結束后，市平臺可將這些資源回收。上述的云彩虹方案在實際部署時需要考慮網絡帶寬、訪問路徑、存儲備份、數據同步、安全策略等多方面的因素，一步到位部署完成上述所有功能對部署、運維管理、設備要求較高，結合XX市與各區教育局的現狀，建議分為如下四個步驟實現，以降低風險、節省投資。第一步：市-縣區云平臺對接第二步：備份/恢復、標準模板推送第三步：業務擴展部署第四步：業務平臺間異地擴展市-區云平臺對接市-縣區云平臺的對接可實現兩級平臺的

59、分級管理，在市級平臺創建公共資源池供各區使用。平臺對接后市云平臺不僅可以監控本地的云資源與業務運行狀況，也可以監控到部署在公共資源池中的區業務運行狀況；區云平臺不僅可以監控到本地的云資源，與可以監控到部署在市平臺公共資源池中的遠程業務運行狀況。如下圖所示：市-區兩級平臺對接的部署過程主要分為兩步：在市平臺中為區云平臺創建對接賬戶以及為其綁定相應的資源（包括計算、存儲、網絡資源、管理用戶等）市平臺為添加組織，建議每個區對應一個組織。添加區組織時為對應的區指定虛擬機資源配額（數量）：為該組織指定共享資源池（HA集群）：為該組織指標相應的網絡、存儲資源：最后，為該組織創建對接管理帳戶：在區云平臺中指

60、定市云平臺為其外部云資源平臺當市云平臺管理完成上述步驟后，區云平臺管理員即可用上述分配的對接管理帳號，在區云平臺上完成與市平臺的對接，如下圖所示：區平臺完成對接之后，在區云平臺中的“外部云資源”里即可看到市平臺為其分配的資源：市-區兩級平臺的對接是實現云彩虹的第一步，在這一步的部署對網絡無特定要求，只有市、區兩級平臺網絡互通、IP可達即可。備份/恢復、標準模板推送實現上述第一步中的市-區兩級平臺對接之后，保證網絡帶寬足夠的條件下，即可實現備份/恢復及標準模板的推送。為縮短備份/恢復的時間，建議市-區網絡帶寬不小于1000M，且為專線連接保證鏈接質量。區平臺對業務應用虛擬化的備份與恢復操作步驟如