XX學校云數據中心

項目建議書

目錄

第1章高校數據中心建設需求分析....................................5

1.1數字化轉型時代高校數據中心的建設背景..................................5

1.2高校數據中心整體需求分析...............................................6

1.2.1高校業務對IT的要求分析...........................................6

1.2.2基礎設施功能需求分析..............................................7

1.2.3云數據中心安全需求................................................8

1.2.4統一規范制度需求.................................................10

1.3高校核心業務系統需求分析~.............................錯誤!未定義書簽。

第2章高校數據中心建設總體架構設計...............................11

2.1主生產中心架構........................................................11

2.2校區環網數據中心架構..................................................12

2.3云平臺總體架構........................................................12

第3章高校數據中心詳細設計方案...................................14

3.1計算和存儲資源池設計方案..............................................14

3.1.1方案產品簡介.....................................................14

3.1.2計算資源池設計..................................................14

3.1.3存儲資源池設計...................................................15

3.1.4超融合平臺運行數據庫~...........................與笥吳!未定義書簽。

3.1.5超融合一體機配置.................................................16

3.2網絡拓撲設計方案......................................................17

3.2.1數據中心物理網絡拓撲.............................................17

3.2.2核心交換機收斂比設計.............................................17

3.2.3超融合資源池網絡拓中卜.............................................18

3.2.4業務區虛擬網絡拓撲..............................................18

3.3網絡虛擬化技術能力概述................................................19

3.3.1網絡探測功能.....................................................19

3.3.2全網流量可視.....................................................20

3.3.3分布式虛擬防火墻.................................................20

3.3.4業努邏輯拓撲所畫即所得..........................................20

3.3.5業務監控中心.....................................................21

3.4數據中心網絡安全防護方案.............................................23

3.4.1蹦中心安全威麻源分析.........................................23

3.4.2云濱源池安全防護.................................................23

3.4.3數據中心等級保護方案.............................................24

3.5云管平臺運維和管理方案................................................25

3.5.1異構資源管理.....................................................26

3.5.2分級分權管理.....................................................26

3.5.3IT自服務和流程..................................................26

3.5.4自動化運維.......................................................27

3.5.5密源計量.........................................................27

3.6數據備份設計方案......................................................28

3.7容災中心設計方案......................................................29

3.7.1容災平臺整體架構.................................................30

3.7.2超融合-超融合雙向容災............................................30

3.7.3VMware-超融合單向容災.........................................31

3.7.4數據庫容災配置..................................................33

3.7.5業務容災切蝴數據回遷..........................................36

3.7.6容災備份效果.....................................................38

3.8解決關鍵業務系統痛點的技術~...........................錯誤!未定義書簽。

第4章項目實施規劃設計...........................................39

4.1機房部署方案...........................................................39

4.2業務云化遷移方案......................................................40

4.2.1業務遷移服務概述.................................................40

4.2.2業務遷移設計原則.................................................41

4.2.3業務遷移服務流程.................................................41

4.2.4服努器遷移技術方案..............................................43

4.2.5數據庫遷移技術方案...............................................44

第5章解決方案效益和價值分析.....................................46

5.1實現云數據中心的架構極簡..............................................46

5.2提升學校業務穩定性....................................................46

5.3為數字化校園安全保駕護航.............................................46

5.4降低云數據中心使用復雜度.............................................47

第6章云計算服務方案.............................................48

6.1云計算服務產品概述....................................................48

6.1.1云計算服務產品定義..............................................48

6.1.2云計算服努產品架構..............................................48

6.2云計算服務產品內容....................................................48

6.2.1部署實施服務.....................................................48

6.2.2企業級云業務遷移服務.............................................49

6.2.3技術支持服務.....................................................50

6.2.4硬件維保.........................................................51

6.2.5軟件升級服務.....................................................51

6.2.6專家現場服務.....................................................52

第7章方案采購清單...............................................53

7.1超融合云平臺采購清單...................................................53

第1章高校數據中心建設需求分析

1.1數字化轉型時代高校數據中心的建設背景

學校的信息化系統已經建設了多年，隨之互聯網技術的發展，當前學校信息化正在向數

字化轉型。用數字化技術重新整合業務流程，通過互聯網的入口實現高效的業務訪問，加速

業務流轉，提升校園管理、教學管理、科研、生活等高效率運行，提高全校師生對信息化系

統的服務滿意度。

在學校的信息化建設中，普遍采用云計算技術，將應用系統的計算單元和數據單元部署

在學校的數據中心，用戶通過終端訪問業務業務平臺門戶。因此數據中心作為承載全部校園

信息化業務的載體，建設具備高度可靠和安全的數據中心，是信息化項目的基礎平臺和關鍵

目標。

一個標準的現代數據中心，包含了幾大模塊：

1）物理基礎設施，即數據中心的土建、房屋結構及其附屬的門禁、監控、

防火、供電、溫控等裝置。這些基礎設施保障了數據中心的各類設備在

滿足標準的環境中運行。

2）IT基礎設施，包括服務器、存儲、網絡交換機、安全等硬件設備，還包

括機柜及布線、系統監控和管理軟件、監控終端、審計等輔助的專用軟

硬件。這些硬件和軟件共同定義了IT層面核心功能，即計算能力、存

儲力、網絡拓撲、安全防護、運維管理、容災、網絡出口。

3）系統軟件和應用軟件，完成業務邏輯的作業，需要IT基礎設施提供計

算、存儲、網絡資源，并具備安全防護能力。

高校的數據中心，除了具備標準數據中心的一切特征之外，又不同于企業和政府，具有

相當的特殊性，這使得高校數據中心建設的項目中，學校需要根據自身情況詳細定義數據中

心的建設目標、制定建設規劃方案。

高校建設數據中心的特殊性在于業務目標、信息部門職責和能力不同于企業和政府，主

要體現在以下幾個方面：

1）高校是相對封閉又功能完善的社區，承擔數萬師生的學習、工作、生

活、科研、醫療等方方面面，其數字化業務種類相比企業更加復雜，各

類業務模式不一、軟件供應商眾多。因此數據中心的計算和存儲平臺，

必須能夠穩定高性能的承載校園內各類型的業務場景和各種軟件，同時

保障各類網絡環境下的業務安全和數據安全。

2）高校往往承擔新事務試驗田的角色，探索新技術的應用場景、承擔國家

科研項目、為社會嘗試新的生活方式、不斷地教學改革提升教育質量。

這使得學校經常面臨大量的新業務部署，而這些業務既有長期運行的也

有短期的探索型業務、臨時項目等。這要求數據中心能夠為新業務部署

提供充足的IT資源，又要避免業務失敗帶來的資源浪費。體現在技術

上就要求IT資源平臺，既能夠敏捷擴容資源能力，為業務提供充足的

性能，又能夠回收和利舊資源能力，增大投資收益。

3）高校信息中心部門面臨著角色轉型，從過去的IT運維的部門，逐漸成

為數字化業務的運營部門，這樣的角色轉換，使得學校對于信息中心的

工作評價標準發生了變化。過去作為運維部門，主要工作是保障“信息

系統可用、功能完善”；現在作為運營部門，評價標準是師生使用信息

化系統的“滿意度高、使用頻率高”。這使得信息化部門的具體工作要

從被動響應支撐，變為主動推廣數字化業務的用戶數量并持續改進用戶

體驗。基于此方向的轉型，需要IT基礎平臺具有高度的穩定性和便捷

的運維手段，這樣才能使得信息中心的老師們能夠從繁重的設備運維中

解脫出來，釋放精力從事校園數字化業務的經營工作。

綜合以上信息，高校在建設數據中心的項目中，可分成三個階段，一是建成符合標準的

數據中心物理；二是建設云計算數據中心實現IT資源供應和運行環境；三是設計數字化應

用體系和運營體系，逐步實施數字化業務的應用軟件部署。

1.2高校數據中心整體需求分析

1.2.1高校業務對IT的要求分析

依據本校的現狀，當前已經或正在建設機房的基礎設施，本方案適用于數據中心第二階

段的IT基礎設施建設，并滿足第三階段各類業務承載的要求。

學校的數字化業務可大體分成幾類統一業務門戶平臺、統一認證平臺、統一管理平臺、

統一運維平臺、MIS系統、網站群、數據分析系統、在線課程、結算系統等。涉及到教學、

管理、后勤、財務等方方面面的部門和業務流轉。綜合分析這些系統的特征和需求，數據中

心應當具備可靠性、性能擴容能力、保障業務安全、便捷運維等特征。分解數據中心的建設

需救嚇：

1）高可靠性：云數據中心平臺層面能夠保障業務連續可靠運行，硬件故障

不影響業務和數據。能夠穩定運行對于門戶、財務、一卡通等業務的數

據庫，實現數據庫集群部署。學校已經有多個校區，具備異地容災的基

礎，整體方案實現關鍵業務的容災。

2）高性能：云數據中心的平臺能夠提供充足的計算和存儲能力，承載校園

所有的業務系統，并具備相當的擴展能力，實現門戶、一卡通、在線課

程等來自互聯網用戶高峰期訪問時，這些系統的性能足夠保障業務可

用。一卡通的實時性寫入要求比較高，要保障數據庫能夠有足夠的I。

能力。

3）擴容能力：學校建設應用的周期較長，為減少投入成本，數據中心整體

架構需能夠根據業務量對資源的需求，隨時擴容，并降低擴容實施的復

雜度。

4）整體安全：數據中心內部的安全能力，包括邊界安全和資源池內安全。

邊界安全主要是為了保障互聯網的攻擊、非法入侵、傳輸加密等工作。

資源池內的安全，需要保障業務東西向流量之間的安全隔離。

5）管理能力：學校信息中心作為信息化業務的建設方和管理方，利用自動

化管理平臺實現業務流程自助申請、管理員審批、自動部署的管理模

式。各二級業務部門，設置部門管理員一名，直接面向本部門的用戶提

供流程審批，以分權管理的方式，降低信息中心管理員的工作量。

6）利舊能力：為實現成本優化，數據中心的建設過程中，應該能夠充分利

用現有的設備，納入到資源池中。

7）運維能力：數據中心具有統一的資源運維平臺，實現對資源的整體監

控、二級部門的資源配額、網絡配置，并同時納管現有的VMware虛擬

化平臺。

1.2.2基礎設施功能需求分析

數據中心建設需要滿足校內資源共享、業務協同需求，以及一站業務服務等智慧校園前

期建設和師生管理、生活服務的需求，需要從基礎設施、數據、應用系統支撐平臺等各個層

面進行整合，因此構建基礎設施即服務系統、數據即服務系統、平臺即服務系統等系統。

1）基礎設施即服務是學校數據中心和云平臺的基礎服務。物理上將IT基

礎設施整合的需求；性能上能夠做到彈性擴展和動態調配，使得不同的

應用能夠共享基礎設施資源池中的資源；需要在云計算中心的建設中采

用開放架構，一方面能夠采用通用的設備實現快速擴展，另一方面也能

夠利舊已有設備資源，提升資源的利用效率，保護已有投資。

2）網絡是基礎設施即服務的基礎，也是學校云計算中心建設的重點，網絡

的高可用直接影響到業務系統的可用性。在學校的云數據中心建設中需

要做到統一網絡布局，使得數字化校園網絡中的數據和業務系統在網絡

上能夠做到互聯互通；在網絡系統的規劃中，需要做到高可用性、易擴

展性、高性能和易管理。

3）計算資源池主要提供計算能力，是基礎設施即服務建設的核心。由于學

校新型的互聯網業務快速發展的特點，計算資源池建設中需要充分體現

動態化、彈性化的特征，做到能夠根據業務部門實際需要，動態分配計

算資源，并需要提供彈性計算資源的管理工具，從而實現計算資源的可

視化管理。

4）對于存儲資源池，由于學校中積累的大量結構化數據以及爆炸性增長的

非結構化數據，主要是各類文檔、電子文獻資源、課程視頻資源等，需

要建設能夠滿足數據存儲需求的云存儲池，存儲池的建設需要做到有極

好的擴展性、易管理性、安全性和高性能。

1.2.3云數據中心安全需求

學校同時承載了教學、科研、管理、生活等各類角色，涉及到師生在校期間的全部生活

和個人信息，對信息安全的要求高，因而在學校數據中心建設過程中需要充分考慮安全體系

的建設。由信息中心統T呆障IT服務的安全性，數據的物理存儲實體與所有者分離，云安

全就是要采取恰當的技術措施和管理手段，打消用戶顧慮，使其信任云計算中心對各部門私

有數據的存儲、管理和處理。

針對XX學校建議的安全需求如下表所示:

安

全安全

安全需求描述

層需求

面

機房機房監控主要是預防盜竊、人為破壞、私自闖入等情況。監控手段有門禁系統、

監控監視系統、紅外系統等。

設備設備備份用于預防關鍵設備意外損壞。接入到互聯網中關鍵網絡設備、服務器

備份應有冗余設計。

線路

物線路備份主要是預防通信線路意外中斷。

備份

理

電源

安電源備份用于預防電源故障引起的短時電力中斷。

備份

全

防電

防電磁泄漏用于預防電磁泄漏引起的數據泄漏。防電磁泄漏手段有屏蔽機房、

磁泄

安裝干擾器、線路加密等。

漏

介質介質安全用于預防因媒體不可用引起的數據丟失。要求對數據進行備份，且備

安全份數據的存放環境要滿足防火、防高溫、防震、防水、防潮的要求。

多層防御就是采用層次化保護策略，預防能攻破一層或一類保護的攻擊行為無

網多層

法破壞整個業務網。要求合理劃分安全域，對每個安全域的邊界和局部計算環

絡防御

境,以及域之間的遠程訪問，根據需要采用適當的有效保護。

與

邊界邊界防護用于預防來自本安全域以外的各種惡意攻擊和遠程訪問控制。邊界防

系

防護護機制有防火墻、入侵檢測、物理隔離等，實現與互聯網和校園網的安全隔離。

統

網絡

安

防病網絡防病毒用于預防病毒在網絡內傳播、感染和發作。

全

毒

安

全安全

安全需求描述

層需求

面

網站

網站監測用于預防校園網網站WEB頁面的保護。

監測

備份

備份恢復用于意外情況下的數據備份和系統恢復。

恢復

漏洞漏洞掃描用于及時發現操作系統、數據庫系統、應用系統以及網絡協議安全漏

掃描洞，防止安全漏洞引起的安全隱患。

主機對關鍵的主機，例如數據庫服務器安裝主機保護軟件，對操作系統進行安全加

保護固

安全用于事件追蹤。要求網絡、安全設備和操作系統、數據庫系統有審計功能，同

審計時安裝第三方的安全監控和審計系統。

身份認證用于保證身份的真實性。校園網中身份認證包括管理人員身份認證、

身份

操作員身份認證、服務器身份認證等。鑒于校園網網絡中用戶數量較大，基于

認證

數字證書（CA）的認證體制將是理想的選擇。

權限權限管理指對校園網中的業務應用、主機系統的所有操作和訪問權限進行管

管理理，防止非授權訪問和操作。

數據

應完整數據完整性指對校園網中存儲、傳輸的數據進行數據完整性保護。

用性

安數據

全傳輸數據傳輸機密性指對教育系統內網絡中各安全域之間傳輸的敏感信息進行加

機密密保護。

性

抗抵抗抵賴就是通過采用數字簽名方法保證當事人行為的不可否認性，建立有效的

賴責任機制，為校園網創造可信的應用環境。

安全

各應用系統對各種訪問和操作要有完善的日志記錄，并提供相應的審計工具。

審計

組織

安全管理組織建設包括：組織機構、人才隊伍、應急響應支援體系等的建設。

安建設

全制度安全管理制度建設包括：人員管理制度，機房管理制度，卡、機具生產管理制

管建設度，設備管理制度、文檔管理制度等的建設

理標準安全標準規范建設包括：數據交換安全協議、認證協議、密碼服務接口等標準

建設規范的建立。

安

全安全

安全需求描述

層需求

面

安全

安全服務包括安全培訓1、日常維護、安全評估、安全加固、緊急響應等

服務

技術安全管理技術建設主要指充分利用已有的安全管理技術，利用和開發相關的安

建設全管理工具，提高安全管理的自動化、智能化水平。

1.2.4統一規范制度需求

建議學校應當有科學、有效、完整的技術規范和管理制度標準，來保障整個中心正常、

有序的運行。需要建立云計算中心互操作標準、云計算中心服務標準、云計算中心運維標準、

云計算中心數據即服務規范、云計算中心系統管理規范等內容。

第2章高校數據中心建設總體架構設計

2.1主生產中心架構

如下圖是學校的數據中的整體架構，包含了IT資源池、核心交換區、網絡出口區、管

理區、運維、安全等幾大模塊。

互聯網出口

安全等保

38

容災備份

資源池區：

當前普遍采用虛擬化和云計算技術作為數據中心IT資源的架構。綜合學校對數據中心

的各類要求，我們推薦采用超融合技術為主構建完整的數據中心。超融合是以虛擬化技術和

X86服務器為主，融合服務器虛擬化、存儲虛擬化、網絡虛擬化等各類軟件，通過標準的硬

件為業務提供這些資源。

以超融合構建的統一資源池，硬件部分僅僅包括服務器和網絡交換機，所有的超融合軟

件、業務虛擬機運行這個資源池中，存儲虛擬化軟件統一管理所有服務器的本地磁盤，構建

高性能高可靠的存儲資源池。超融合技術不僅能為業務提供計算和存儲資源，也能實現不同

業務的網絡區域隔離、集成網絡安全模塊實現安全管控。

業務邏輯分區：

業務邏輯分區隔離可以是物理的也可以虛擬化隔離。在超融合平臺上部署的業務，可以

由超融合集成的網絡虛擬化實現分區隔離。獨立部署的物理機、VMware等第三方虛擬化

平臺，建議采用獨立的VLAN做隔離。

網絡出口區：

網絡出口區需要部署邊界防火墻等安全設備，必要時還需要部署鏈路負載均衡、上網行

為管理等設備。

安全等保：

如學校需要為滿足安全等保3.0,還需要配置安全感知平臺、潛伏探針、數據庫審計,

并配置異地數據備份和業務容災等措施。

2.2校區環網數據中心架構

目前學校有3個校區，各有1個機房。這三個機房之間建立校園環網，部署統一的云

計算平臺，集成容災備份能力，實現業務數據同城備份和關鍵應用的準生產容災。在未來,

當學校的業務量規模龐大時，并且互聯網業務增多時，可考慮建成異地容災的方式，采用兩

地三中心架構或者"同城雙中心+混合云"。現階段，學校有2個數據中心，采用主備模式，

將主要的業務和互聯網出口放在主校區機房，一部分非關鍵業務放在備機房，同時將主校區

的一部分關鍵業務備份到備機房，實現業務容災。

包含異地容災的數據中心整體架構如下：

2.3云平臺總體架構

在三個機房均部署云計算資源池，通過云管平臺統一管理。云平臺主要實現3個能力:

1）根據業務需求統一管理調度各類計算、存儲資源、網絡資源。

2）為業務運行提供各類云服務。

3）為管理員IT運維、安全配置、用戶權限管理、資源監控等工作提供工具。

崢J—云平臺

VPC

VDC

E

數據庫服務應用監控最終負我均衡最窮

云接入門戶

云服務層虎擬數據中心|云主機服務容器云眼將可視化業務編排

-4AM?總

HR■仝眼芬宜助門戶服務虛擬網絡眼務可視化排冷服務

源油存儲資源迅

L4MMch'aRouter*

資源層：==a擊33

CPURAM士4二

網絡虛擬化/云安全服務器虛擬化存儲虛擬化

基礎通用X86月暗器

架構

數據

市心;J主數據中心Ij■第二數據中心，?^二災備數據中心

通過云管平臺跨數據中心統一調度云資源和服務，為每個業務部門提供獨立的VPC運

行環境。

第3章高校數據中心詳細設計方案

3.1計算和存儲資源池設計方案

3.1.1方案產品簡介

推薦本項目采用超融合一體機同時承載計算和存儲資源的供給。企業級云aCloud是面

向數據中心整體解決方案設計的一套云計算軟件，采用超融合架構加云計算管理平臺的方式,

構建完整的云資源池。

aCloud中包含四大主要模塊：

?aSV-服務器虛擬化，基于kvm開發，提供企業級的可靠性和性能優化

技術。

?aSAN-存儲虛擬化，基于GlusterFS架構，自主研發的分布式存儲軟

件，為資源池提供統一的存儲空間。

?aNET-網絡虛擬化技術，完全自助研發的虛擬化網絡架構，實現業務

網絡的分區隔離，提供分布式防火墻、分布式交換機、分布式路由器功

能，并首創“所畫即所得”網絡管理方式。

?aCMP-完全自主研發的分布式云計算管理平臺，統一管理超融合集

群，為租戶提供資源申請和訪問的入口，為學校管理員提供運維和監控

的統一平臺。

企業級云產品

SanqforaCloud

監控管理自服務審計容器災備

黍著電.覷

計算存儲網絡安全

此外，aCloud組件中，還包括了vDAS審計、容器、CDP數據保護、aHM異構管理、

aSEC安全虛擬化等模塊，共同為業務服務。

3.1.2計算資源池設計

針對XX學校的項目，我們建議以配置aSV+aSAN+aNET+aCMP模塊，并配置少量

的aHM和aAF虛擬防火墻。

在硬件的設計上，采用2種不同配置的高低性能服務器，高性能服務器承載數據庫等關

鍵業務，低性能服務承載輕量級業務。由aCMP統一管理。

，——、

核心應用靜罐應用高并發應用日常應用

aCMP業務編排

激雅板嬴%I常規負載虛擬機。。收演像

表：

型號CPU內存/GB硬盤HDD/GBSSD/GB應用場景

S112200靜態網站，邊緣系統，使用

S224500頻度低的信息管理系統。

S348500

Ml481000主要的信息管理類、檢索系

M28161000統、一卡通的應用節點、數

據存儲、認證服務等各類應

M316320100用節點和前置機

L18160100各類數據庫、分析系統、一

L212320100卡通中間件、統一門戶等計

L316640200算性能高的業務

3.1.3存儲資源池設計

存儲資源池采用aSAN管理本地硬盤實現高性能共享存儲池。每臺服務器需要配置

HDD作為數據存儲，SSD作為分層緩存。aSAN正式利用SSD的高性能，采用專利的分層

存儲技術，大幅提升了10性能。每服務器的性能在7:3讀寫比條件下測試，可到達10萬

IOPS的能力。

充分利用每臺服務器內部硬盤資源

虛擬共享存儲池

1解決彈性問題2解決容量問題

ServerSAN架構

同時，超融合的每一臺節點，即是數據存儲空間，又是存儲服務的控制器，控制器的運

算分布在多個節點上，極大提升了io處理能力。相比于傳統的光纖存儲，超融合存儲真正

實現了存儲性能的橫向擴容。

在可靠性的設計上，超融合存儲采用副本方式，每一份數據存儲在不同的服務器中，任

何單臺硬件的損壞都不影響數據訪問，保障了業務連續性和數據安全。

采用超融合存儲，無需精確評估數據空間需求，因為超融合的擴展非常方便，只需要購

買相同配置的服務器，加入到集群中，即可同步擴展計算能力、存儲能力和容量。在本次項

目中，可按照300TB可用空間估算，滿足日常業務的數據量和一部分圖片視頻的存儲需求。

采用雙副本方式，實際配置硬盤總數量＞600TB。SSD緩存配置，依據經驗值，低性能服務

器按照5%緩存容量配置，高性能按照10%緩存容量配置，在使用過程中，可以隨時增加

SSD提升10性能。

3.1.4超融合一體機配置

依據以往的項目經驗，假定以1萬學生的規模計算業務量計算，需要各類虛擬機約300

個。其中低端型號約150個，中端型號約120,高端型號約30個。按此規劃，需要超融合

服務器約20臺。為滿足業務需求和超融合系統自身需求，針對XX學校我們推薦如下配置

的服務器和數量。

類型每臺服務器承載

號

型配置數量虛擬機數量

CPU2xE5-2630V4(10C,2.2G),128GB內

服存，2x240GB系統盤，2X960GBSSD,

務低8x4TBSATA,4個千兆網口，2個萬兆光口,215個中端VM或

器配個SFP+模塊，冗余電源30個低端VM

服

務高CPU2xE5-2680V4(14C,2.4G),256GB內5個高端VM或10

器配存，2x240GB系統，2x1.92TBSSD,8x4TB個中端VM

SATA,4個千兆網口，2個萬兆光口,2個

SFP+模塊，冗余電源

3.2網絡拓撲設計方案

3.2.1數據中心物理網絡拓撲

將數據中心按照物理分區，實現分區部署。主要分成核心交換區、網絡出口區、業務區、

辦公區、大數據區、帶外管理區和容災機房。其中業務區有超融合集群和非虛擬化集群構成。

3.2.2核心交換機收斂比設計

由于網絡虛擬化技術引入到資源池，可將傳統數據中心的三層架構（接入-匯聚-核心），

簡化為二層（接入-核心），將業務區之間的安全隔離，比如0A區、DMZ區、財務區等采用

網絡虛擬化技術隔離。的aNET提供分布式防火墻技術，實現針對業務區和虛擬機的細粒度

安全配置、統一安全運維、安全策略跟隨等功能。若采用虛擬下一代防火墻vNGAF,則可

針對每個業務區獨立配置安全策略，有效防護東西向和南北向的安全威脅，實現多業務區安

全的運行在同一個平臺中。

業務區和辦公區的業務網絡，接入交換機采用1G接口，上聯交換機采用雙萬兆上聯。

每臺交換機具有48個1G接口，收斂比為241。若學校部署較多的高流量應用，比如在線

視頻等，可以將上聯端口換成4X10G,讓收斂比接近1:1。

對于大數據應用，建議匯聚層采用10G接口，上聯到核心層采用40G接口，以實現最

佳的網絡性能。

3.2.3超融合資源池網絡拓撲

超融合服務器，一共有三張網絡：業務網、存儲網、管理網。其網絡拓撲如下圖所示：

超融合的存儲網，采用萬兆存儲交換機，是完全獨立的內部網絡。超融合的業務網和管

理網，一般采用1G網絡即夠用。建議為管理網劃分獨立的VLAN,接入到帶外管理區。

3.2.4業務區虛擬網絡拓撲

本次方案的設計中，采用了兩周不同配置的服務器，承載不同的業務。在資源池內部,

都可以使用aNET技術為每個租戶劃分虛擬數據中心(VDC),租戶即是學校的二級單位，比

如圖書館、財務處、教務處、后勤等部門。每個租戶的管理員，在其VDC內部，可以獨立

創建虛擬化、虛擬網絡拓撲、部署虛擬防火墻/虛擬化路由器/虛擬交換機，由此實現更加

復雜的業務網絡。

如下圖在典型的配置中，一個VDC租戶,可以分成多個VPC業務區，每個VPC業務

即使一套業務系統，比如所有的網站群，或者0A軟件的各個服務器。每個VPC包含一個

虛擬路由器、虛擬化防火墻和若干臺虛擬機。每個VDC租戶包含了一個或多個分布式交換

機，并從物理網口將流量引出。

為了簡化網絡的配置，aNET實現了"所畫即所得”的部署網絡的方法，管理員只需要

在aCMP界面上，用鼠標"拖拽"和"連線"即可將所見的網絡拓撲即時的在生產環境中

部署完畢，極大的簡化了網絡管理的復雜度。如下圖，是某高校客戶真實的環境的虛擬網絡

3.3網絡虛擬化技術能力概述

3.3.1網絡探測功能

網絡探測功能是通過發送帶有標簽的icmp報文并跟蹤記錄該報文在轉發平面經過的

每一跳，每一跳的信息包括虛擬設備的名稱和轉發的端口名稱，然后將所有記錄的信息串聯

起來就可以知道到達特定目標的報文轉發路徑了。這種方式就像我們通過tracert的方式探

測一樣，但是比tracert更細致，能夠探測出流量的出去和回來的路徑。這樣我們就能更直

觀的找到網絡中存在的問題。

步制:

馴機：teamviewOCOl囹

發包門口:ethO

：6

銬王機通信：否

33^3召

Trunk:1

Trunk:1

6

否

3.3.2全網流量可視

數據包在轉發平面轉發的時候，每經過一個虛擬網絡設備的任何一個端口都會有記錄,

上層通過實時向底層轉發平面查詢虛擬網絡設備的端口的相關記錄，就可以顯示出每個端口

的流量了，這樣就可以在業務拓撲上可形成全網流量可視。

3.3.3分布式虛擬防火墻

數據中心80%的流量在數據中心內部，南北流量只有20%.傳統防火墻放在邊界網關

上，無法防護到數據中心內部攻擊，而數據中心部分非核心業務安全防護低很容易被黑客攻

破，一旦攻破黑客就可以通過跳板攻擊其他業務。分布式防火墻，相當于在每臺虛擬機出口

和入口都放著一個防火墻，只要配置一條策略，無論拓撲如何變化、虛擬機在哪運行、IP是

否更改，后臺都可以動態進行調整，因此無論何時業務都能夠進行安全防護。的分布式虛擬

化防火墻，通過自研的網絡控制平面，可接收用戶配置、拓撲變動、ip變動等消息動態調整

配置并更新到firewall上。

3.3.4業務邏輯拓撲所畫即所得

所畫即所得的業務邏輯呈現，是企業級云架構中非常具有特色的技術功能，由