【智慧校園】-面向業(yè)務(wù)的新一代安全可控校園網(wǎng)智慧校園解決方案

面對(duì)業(yè)務(wù)的新一代平安可控校園網(wǎng)xx一中數(shù)字化校園規(guī)劃方案

目錄HYPERLINK第一章需求分析 5HYPERLINK1.1建設(shè)背景 5HYPERLINK1.2項(xiàng)目總體需求 5HYPERLINK1.3建設(shè)目標(biāo) 7HYPERLINK第二章網(wǎng)絡(luò)平臺(tái)總體設(shè)計(jì) 8HYPERLINK2.1廠商介紹 8HYPERLINK2.2網(wǎng)絡(luò)平臺(tái)整體設(shè)計(jì)思路 9HYPERLINK2.3規(guī)劃原則 92.4架構(gòu)概要規(guī)劃 102.5網(wǎng)絡(luò)方案總體設(shè)計(jì) 11HYPERLINK2.5.1數(shù)字化校園應(yīng)用系統(tǒng)分析 11HYPERLINK2.5.2整體方案設(shè)計(jì)思想 11HYPERLINK2.6核心層網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì) 22HYPERLINK2.6.1規(guī)劃設(shè)計(jì) 22HYPERLINK2.7園區(qū)網(wǎng)絡(luò)規(guī)劃 23HYPERLINK2.7.1高可用園區(qū)規(guī)劃 23HYPERLINK第三章抵御對(duì)多業(yè)務(wù)運(yùn)營(yíng)的威逼 24HYPERLINK3.1全局平安防守體系規(guī)劃 24HYPERLINK3.2校園外網(wǎng)出口防守 25HYPERLINK3.3數(shù)據(jù)中心的平安防守 27HYPERLINK第四章數(shù)據(jù)中心規(guī)劃 28HYPERLINK4.1核心層設(shè)計(jì) 28HYPERLINK4.2接入層設(shè)計(jì) 30HYPERLINK4.3模塊化多業(yè)務(wù)部署 30HYPERLINK第五章網(wǎng)絡(luò)出口部署解決方案 33HYPERLINK5.1網(wǎng)絡(luò)出口部署方案 33HYPERLINK5.2校園網(wǎng)應(yīng)用把握網(wǎng)關(guān)方案 35HYPERLINK5.3核心/出口用戶行為管控 36HYPERLINK5.4基于時(shí)間段的用戶帶寬安排方案 37HYPERLINK第六章無(wú)線校園解決方案 38HYPERLINK6.1技術(shù)需求 38HYPERLINK6.2不同場(chǎng)景掩蓋方案 39HYPERLINK6.2.1. 宿舍區(qū)部署AP方案 40HYPERLINK6.2.2. 小型辦公室面板AP入室安裝部署 41HYPERLINK6.2.3. 禮堂等高密接入?yún)^(qū)AP部署方案 42HYPERLINK第七章云校園建設(shè)方案 43HYPERLINK7.1xx縣一中云計(jì)算數(shù)據(jù)中心建設(shè)需求 43HYPERLINK7.2虛擬化平臺(tái)設(shè)計(jì)方案 44HYPERLINK7.2.1. 平臺(tái)總體設(shè)計(jì) 44HYPERLINK7.2.2. 資源池分類設(shè)計(jì) 45HYPERLINK7.2.3. 主機(jī)池設(shè)計(jì) 47HYPERLINK7.2.4. HA集群設(shè)計(jì) 48HYPERLINK7.2.5. 主機(jī)設(shè)計(jì) 51HYPERLINK7.2.6. 虛擬機(jī)生命周期管理 51HYPERLINK7.2.7. DRS動(dòng)態(tài)資源調(diào)度 55HYPERLINK7.2.8. 虛擬機(jī)資源限額 57HYPERLINK7.3計(jì)算資源基礎(chǔ)架構(gòu)方案 59HYPERLINK7.3.1. 計(jì)算資源建設(shè)需求 59HYPERLINK7.3.2. 基于統(tǒng)一基礎(chǔ)架構(gòu)的計(jì)算方案設(shè)計(jì)思路 62HYPERLINK7.3.3. 基于統(tǒng)一基礎(chǔ)架構(gòu)的刀片計(jì)算方案 63HYPERLINK7.3.4. 服務(wù)器整合 64HYPERLINK7.3.5. 網(wǎng)絡(luò)資源整合 66HYPERLINK7.3.6. 融合虛擬化管理平臺(tái) 70HYPERLINK7.4智慧云平臺(tái)實(shí)現(xiàn)效果 70HYPERLINK7.5云學(xué)堂解決方案 73HYPERLINK7.5.1. 產(chǎn)品背景 73HYPERLINK7.5.2. 建設(shè)目標(biāo) 73HYPERLINK7.5.3. 設(shè)計(jì)思路 74HYPERLINK7.5.4. 方案優(yōu)勢(shì) 74HYPERLINK7.5.5. 管理端介紹 75HYPERLINK7.5.6. 老師端介紹 76HYPERLINK7.5.7. 學(xué)生端介紹 77HYPERLINK7.5.8. 多媒體教學(xué)軟件介紹 78HYPERLINK7.5.9. 方案詳述 78HYPERLINK7.5.10. 云主機(jī)設(shè)計(jì) 79HYPERLINK7.5.11. 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì) 79HYPERLINK7.5.12. 桌面?zhèn)鬏攨f(xié)議設(shè)計(jì) 80HYPERLINK7.5.13. 平安設(shè)計(jì) 80HYPERLINK7.5.14. 云終端設(shè)計(jì) 81HYPERLINK7.5.15. 模板管理設(shè)計(jì) 81HYPERLINK7.5.16. 云學(xué)堂方案特點(diǎn)和優(yōu)勢(shì) 81HYPERLINK第八章H3C售后保障體系 82HYPERLINK8.1兩小時(shí)廠家上門(mén)服務(wù) 82HYPERLINK8.2服務(wù)組織結(jié)構(gòu) 83HYPERLINK8.3服務(wù)準(zhǔn)時(shí)性保障 84HYPERLINK8.4服務(wù)有效性保障 85HYPERLINK第九章H3C案例集 86第一章需求分析建設(shè)背景xx市第一中學(xué)是一所全日制公辦獨(dú)立平凡高中。學(xué)校位于xx市八面通鎮(zhèn)北部靠河委。始建于1949年，原名松江省立第十初級(jí)中學(xué)。1956年更名為xx縣中學(xué)，1984年由完全中學(xué)進(jìn)展為市級(jí)重點(diǎn)獨(dú)立高中。1995年設(shè)立縣級(jí)市后定名為:xx市第一中學(xué)。學(xué)校占地面積3.7萬(wàn)平方米，校園建筑1.96萬(wàn)平方米，包括南北教學(xué)樓、綜合試驗(yàn)樓、學(xué)生公寓、體育館、食堂等建筑。學(xué)校在職職工150人，其中特級(jí)老師1名、高級(jí)老師35名、中級(jí)老師44人。在校學(xué)生2000人，36個(gè)教學(xué)班級(jí)。作為xx縣重點(diǎn)中學(xué)，學(xué)校新校區(qū)的建設(shè)要緊跟“十三五”教育信息化建設(shè)的腳步，隨著智慧校園、MOOC及電子書(shū)包的普及數(shù)字化校園基礎(chǔ)承載網(wǎng)的建設(shè)要從穩(wěn)定性、牢靠性及前瞻性考慮。校園網(wǎng)作為基礎(chǔ)網(wǎng)絡(luò)，在學(xué)校信息化中起到關(guān)鍵的承載作用。當(dāng)前，以數(shù)字化校園為特征的教育信息化進(jìn)展更為飛速，各種信息化應(yīng)用正轉(zhuǎn)變著老師和學(xué)生們的工作、學(xué)習(xí)、生活以及思維方式，引發(fā)了教育行業(yè)一場(chǎng)新的革命。學(xué)?；镜慕虒W(xué)教務(wù)管理、科研管理、后勤管理、數(shù)字圖書(shū)館、視頻服務(wù)系統(tǒng)、辦公自動(dòng)化系統(tǒng)和校園社區(qū)服務(wù)等應(yīng)用系統(tǒng)的建設(shè)有了初步的規(guī)模，“一卡通”、“平安校園”“校園數(shù)據(jù)中心”等業(yè)務(wù)在許多學(xué)校也開(kāi)始應(yīng)用。在校師生的認(rèn)識(shí)水平和技術(shù)水平上了一個(gè)臺(tái)階，對(duì)于信息化工具的使用已變成為一種自覺(jué)和自愿的行為，為數(shù)字化校園的進(jìn)一步進(jìn)展打下堅(jiān)實(shí)的基礎(chǔ)。xx縣一中校園網(wǎng)不僅僅是建設(shè)一個(gè)信息交互平臺(tái)的，而且建成后要成為承載教學(xué)、科研、管理、消遣等全方位應(yīng)用的綜合性平安網(wǎng)絡(luò)平臺(tái)。數(shù)字化校園的價(jià)值在于服務(wù)教學(xué)與科研，xx縣一中信息化進(jìn)展的現(xiàn)狀和趨勢(shì)，明顯趨于在網(wǎng)絡(luò)平臺(tái)上承載、集成多種業(yè)務(wù)。而且業(yè)界信息化技術(shù)的不斷進(jìn)展，這就要求xx縣一中數(shù)字化校園平臺(tái)應(yīng)具備彈性、適應(yīng)性，以動(dòng)態(tài)適應(yīng)多業(yè)務(wù)的不斷進(jìn)展，能將這些業(yè)務(wù)有機(jī)的整合起來(lái)，并且充分保障各種業(yè)務(wù)的服務(wù)質(zhì)量。同時(shí)這種多業(yè)務(wù)的整合應(yīng)當(dāng)至少面對(duì)將來(lái)五年內(nèi)業(yè)務(wù)進(jìn)展的適應(yīng)能力。項(xiàng)目總體需求一、校園網(wǎng)整網(wǎng)平安、牢靠、高性能穩(wěn)定運(yùn)行需求1）平安性：應(yīng)重點(diǎn)考慮傳輸數(shù)據(jù)的平安性、同時(shí)保證內(nèi)部網(wǎng)絡(luò)平安，阻斷各種網(wǎng)絡(luò)攻擊、保護(hù)內(nèi)網(wǎng)服務(wù)資源及終端用戶平安。2）牢靠性：網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定牢靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高牢靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂牢靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持各業(yè)務(wù)系統(tǒng)的正常運(yùn)行。3）高性能：骨干網(wǎng)絡(luò)性能是整個(gè)網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必需保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、語(yǔ)音、圖象）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開(kāi)展的瓶頸。同時(shí)供應(yīng)先進(jìn)的QOS機(jī)制保證各項(xiàng)業(yè)務(wù)的傳輸帶寬。4）多業(yè)務(wù)：隨著校園網(wǎng)的信息化的進(jìn)展，越來(lái)越多的教學(xué)方式依托于網(wǎng)絡(luò)給學(xué)生供應(yīng)多種的特色教學(xué)模式。因此將來(lái)的校園網(wǎng)絡(luò)要承載多業(yè)務(wù)的平臺(tái)，及要滿意日常訪問(wèn)校園網(wǎng)絡(luò)的多媒體資源同時(shí)也要實(shí)現(xiàn)訪問(wèn)多業(yè)務(wù)的互聯(lián)網(wǎng)絡(luò)，所以新建網(wǎng)絡(luò)要具有多業(yè)務(wù)處理的能力。多媒體教學(xué)為了更好的為學(xué)生供應(yīng)全方面的教學(xué)資料，越來(lái)越的多學(xué)校在自己的內(nèi)部局域網(wǎng)上面為學(xué)生供應(yīng)多種教學(xué)資料，如：多媒體教學(xué)課件、典型的考試資料等等供應(yīng)應(yīng)學(xué)生上網(wǎng)下載使用。VOD點(diǎn)播業(yè)務(wù)實(shí)現(xiàn)，通過(guò)建立VOD視頻服務(wù)器平臺(tái)，利用交換機(jī)供應(yīng)的組播功能，為用戶供應(yīng)優(yōu)質(zhì)的視頻效果，同時(shí)節(jié)省用戶帶寬。二、無(wú)線校園網(wǎng)隨著科技的進(jìn)展，智能終端的大量普及，越來(lái)越多的學(xué)生以及老師已經(jīng)擁有大量的智能終端設(shè)備如：IPAD、智能手機(jī)、筆記本電腦等等，而目前高速進(jìn)展的電子書(shū)包及移動(dòng)APP也大大轉(zhuǎn)變了我們的生活，所以無(wú)線網(wǎng)絡(luò)建設(shè)也隨之成為了每一個(gè)學(xué)校關(guān)注的熱點(diǎn)，為了滿意校園網(wǎng)內(nèi)辦公上網(wǎng)終端的多樣性，同時(shí)也為了順應(yīng)學(xué)校信息網(wǎng)絡(luò)的進(jìn)展需要。建設(shè)掩蓋全面、信號(hào)優(yōu)良，高速率的無(wú)線網(wǎng)絡(luò)是目前xx縣一中網(wǎng)絡(luò)建設(shè)的目標(biāo)。三、數(shù)據(jù)中心需求1）100G平臺(tái)：遵循摩爾定律的增長(zhǎng)，使得數(shù)據(jù)中心的業(yè)務(wù)處理能力持續(xù)增加。2）數(shù)據(jù)中心流量突發(fā)：大緩存，不丟包。3）統(tǒng)一交換架構(gòu)：一個(gè)交換平臺(tái)上有效支撐業(yè)務(wù)的前端訪問(wèn)、服務(wù)器高速互聯(lián)、存儲(chǔ)訪問(wèn)。四、網(wǎng)絡(luò)平安需求1）故障排除：要求做到一旦網(wǎng)絡(luò)毀滅特別，如無(wú)法訪問(wèn)網(wǎng)絡(luò)，網(wǎng)絡(luò)訪問(wèn)特別等，要能供應(yīng)準(zhǔn)時(shí)、有效的服務(wù)，在短的時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)應(yīng)用。2）即時(shí)查殺病毒、蠕蟲(chóng)：要求做到網(wǎng)絡(luò)中毀滅病毒、蠕蟲(chóng)，通過(guò)準(zhǔn)時(shí)有效的技術(shù)支持，在最短的時(shí)間內(nèi)查處感染病毒的主機(jī)并即時(shí)查殺病毒，恢復(fù)網(wǎng)絡(luò)應(yīng)用。3）應(yīng)用程序限制及其帶寬管理：可以對(duì)各種P2P應(yīng)用（迅雷、BitTorrent、電騾、電驢）、即時(shí)通信軟件（QQ、MSN）、網(wǎng)絡(luò)玩耍、炒股、網(wǎng)絡(luò)視頻依據(jù)權(quán)限、時(shí)間、區(qū)域進(jìn)行各種策略設(shè)定和管理。五、云校園建設(shè)傳統(tǒng)數(shù)據(jù)中心IT資源部署方式目前照舊是依據(jù)每個(gè)應(yīng)用進(jìn)行物理的劃分，這種部署方式目前存在以下問(wèn)題：? 資源利用率低由于應(yīng)用與資源綁定，每個(gè)應(yīng)用都需要依據(jù)其峰值業(yè)務(wù)量進(jìn)行資源的配置，這導(dǎo)致在大部分時(shí)間許多資源都處于閑置狀態(tài)，不僅造成服務(wù)器的資源利用率較低，而且對(duì)資源的共享、數(shù)據(jù)的共享造成了自然的障礙。? 運(yùn)維成本高目前學(xué)校的許多應(yīng)用是依據(jù)傳統(tǒng)的“一機(jī)一應(yīng)用”的模式部署的，隨著學(xué)校新應(yīng)用系統(tǒng)的增加，服務(wù)器、網(wǎng)絡(luò)和存儲(chǔ)的設(shè)備數(shù)量也會(huì)毀滅飛速的膨脹，造成占地空間、電力供應(yīng)、散熱制冷和維護(hù)成本的急劇上升。與此同時(shí)，機(jī)房?jī)?nèi)服務(wù)器的利用率普遍偏低，系統(tǒng)資源基本上處于10~20%的水平乃至更低，造成了極大的鋪張。鋪張嚴(yán)峻、新業(yè)務(wù)無(wú)法上線是目前存在主要問(wèn)題。? 業(yè)務(wù)部署緩慢在學(xué)校將IT資源的采購(gòu)和管理都集中規(guī)劃到網(wǎng)絡(luò)中心后，涉及到大量新業(yè)務(wù)的開(kāi)展和上線。學(xué)校各個(gè)部門(mén)假如要部署新的業(yè)務(wù)，那么在提交變更請(qǐng)求與進(jìn)行運(yùn)營(yíng)變更之間存在較大延遲，每一次的業(yè)務(wù)部署都要經(jīng)歷硬件選型、采購(gòu)、上架安裝、操作系統(tǒng)和應(yīng)用程序安裝以及網(wǎng)絡(luò)配置等操作，使得業(yè)務(wù)的部署極為緩慢。? 管理策略分散當(dāng)前的IT資源運(yùn)維管理缺乏統(tǒng)計(jì)的集中化IT構(gòu)建策略，無(wú)法對(duì)信息化校園網(wǎng)數(shù)據(jù)中心的基礎(chǔ)設(shè)施進(jìn)行監(jiān)控、管理、報(bào)告和遠(yuǎn)程訪問(wèn)，IT管理策略分散。建設(shè)目標(biāo)我們?cè)谶M(jìn)行系統(tǒng)設(shè)計(jì)中應(yīng)遵循以下原則：1、可行性和適應(yīng)性：系統(tǒng)要保證技術(shù)上的可行性和良好的性價(jià)比，并滿意今后技術(shù)進(jìn)展和學(xué)校進(jìn)展的需要，如支持萬(wàn)兆、IPv6，供應(yīng)無(wú)線接入等。2、有用性和經(jīng)濟(jì)性：系統(tǒng)建設(shè)應(yīng)始終貫徹面對(duì)應(yīng)用、注重實(shí)效的方針，堅(jiān)持有用、經(jīng)濟(jì)的原則。3、先進(jìn)性和成熟性：系統(tǒng)設(shè)計(jì)既要采用先進(jìn)的設(shè)計(jì)和理念，又要留意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。采用成熟的主流技術(shù)，不但能反映當(dāng)今的先進(jìn)水平，而且具有進(jìn)展?jié)摿?，并能順利地過(guò)度到下一代技術(shù)。4、開(kāi)放性和標(biāo)準(zhǔn)性：為滿意系統(tǒng)所選用的技術(shù)和設(shè)備的協(xié)同運(yùn)行能力、系統(tǒng)投資的長(zhǎng)期效應(yīng)及系統(tǒng)功能不斷擴(kuò)展的需求，要求系統(tǒng)具有開(kāi)放性和標(biāo)準(zhǔn)性。5、牢靠性和穩(wěn)定性：在考慮技術(shù)先進(jìn)和開(kāi)放性的同時(shí)，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及修理能力等方面著手，確保系統(tǒng)運(yùn)行的牢靠性和穩(wěn)定性。6、平安性和保密性：在系統(tǒng)的設(shè)計(jì)中，既要考慮信息資源的充分共享，還要考慮信息的保護(hù)和隔離。第二章網(wǎng)絡(luò)平臺(tái)總體設(shè)計(jì)廠商介紹杭州華三通信技術(shù)有限公司（簡(jiǎn)稱H3C），致力于IP技術(shù)與產(chǎn)品的研究、開(kāi)發(fā)、生產(chǎn)、銷售及服務(wù)。2009年H3C銷售收入凈額11億美金（USGAAP），并在國(guó)內(nèi)31個(gè)省市和海外多個(gè)國(guó)家或地區(qū)設(shè)有分支機(jī)構(gòu)。目前公司有員工4800人，其中研發(fā)人員占55％。H3C每年將銷售額的15％以上用于研發(fā)投入，在中國(guó)的北京、杭州和深圳設(shè)有研發(fā)機(jī)構(gòu)，在北京和杭州設(shè)有牢靠性試驗(yàn)室以及產(chǎn)品鑒定測(cè)試中心。截止2009年底，H3C已申請(qǐng)專利超過(guò)3000件，其中制造專利占85％，在中國(guó)通信企業(yè)中位居前三。H3C已參與中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)及IETF,SMTA,SPC,PCI-SIG,Wi-Fi,USB,SNIA,VCCI等國(guó)際標(biāo)準(zhǔn)組織。H3C自2006年提出IToIP戰(zhàn)略以來(lái)，始終聚焦IP領(lǐng)域持續(xù)創(chuàng)新進(jìn)步，逐步形成掩蓋IP網(wǎng)絡(luò)、IP平安、IP存儲(chǔ)及IP多媒體的全面的產(chǎn)品線以及豐富的解決方案。目前H3C在中國(guó)的交換機(jī)和企業(yè)級(jí)路由器（高中低端）市場(chǎng)份額排名第一，運(yùn)營(yíng)商WLAN設(shè)備市場(chǎng)份額排名第一，EAD終端準(zhǔn)入把握解決方案累計(jì)部署超過(guò)100萬(wàn)終端，規(guī)模最大的應(yīng)用系統(tǒng)超過(guò)12萬(wàn)終端；IP監(jiān)控技術(shù)全球領(lǐng)先，成為中國(guó)平安城市第一品牌。2010年，云計(jì)算/下一代數(shù)據(jù)中心、物聯(lián)網(wǎng)、多媒體通信成為熱點(diǎn)；H3C憑借技術(shù)創(chuàng)新將IToIP推向了更深一步的融合階段，形成了以下一代數(shù)據(jù)中心、泛聯(lián)網(wǎng)和多媒體通信為核心的三大解決方案，并得到廣泛應(yīng)用，占領(lǐng)了IT進(jìn)展潮流的制高點(diǎn)。根植中國(guó)，H3C始終以“為客戶制造價(jià)值”作為公司進(jìn)展的源動(dòng)力，不斷細(xì)分客戶需求，面對(duì)行業(yè)、商業(yè)（中小企業(yè)）、運(yùn)營(yíng)商三大客戶類型分別供應(yīng)量身定制的整體解決方案。服務(wù)于70%以上的中央部委、全部“211”高校和“985”高校、四大銀行、全球最繁忙的機(jī)場(chǎng)之一首都機(jī)場(chǎng)、自然環(huán)境最為惡劣的青藏鐵路、全球最大的餐飲集團(tuán)百勝餐飲、亞洲最大的網(wǎng)上交易平臺(tái)淘寶網(wǎng)及電信、移動(dòng)、聯(lián)通、廣電等運(yùn)營(yíng)商市場(chǎng)。在全球市場(chǎng)，H3C的產(chǎn)品和解決方案掩蓋近百個(gè)國(guó)家和地區(qū)，贏得包括瑞士電信、西班牙電信、英國(guó)沃達(dá)豐、巴西電信、法國(guó)國(guó)鐵、法國(guó)標(biāo)致雪鐵龍集團(tuán)、俄羅斯聯(lián)邦儲(chǔ)蓄銀行、澳大利亞昆士蘭政府、美國(guó)麻省理工學(xué)院、日本神戶大學(xué)、韓國(guó)三星電子在內(nèi)的眾多國(guó)際客戶。網(wǎng)絡(luò)平臺(tái)整體設(shè)計(jì)思路基于IP的網(wǎng)絡(luò)平臺(tái)：在局域網(wǎng)建設(shè)中，采用基于IP協(xié)議的技術(shù)方案，保證了系統(tǒng)機(jī)敏性和將來(lái)系統(tǒng)的擴(kuò)展性；多業(yè)務(wù)平臺(tái)：網(wǎng)絡(luò)平臺(tái)除供應(yīng)計(jì)費(fèi)系統(tǒng)，數(shù)字傳輸能力之外，可以支持語(yǔ)音、視頻等多媒體業(yè)務(wù)傳輸能力；QoS服務(wù)保證：多業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)對(duì)于網(wǎng)絡(luò)的QoS保證有很高的要求，因此在網(wǎng)絡(luò)設(shè)計(jì)上應(yīng)采用先進(jìn)的QoS策略和技術(shù)保證全網(wǎng)的QoS服務(wù)質(zhì)量；平安策略：采用平安技術(shù)手段保證網(wǎng)絡(luò)的平安牢靠。數(shù)據(jù)中心承載：考慮今后學(xué)校業(yè)務(wù)進(jìn)展，建立高效、平安、集中、容災(zāi)的數(shù)據(jù)中心網(wǎng)路平臺(tái)，滿意日后數(shù)據(jù)資源增加對(duì)網(wǎng)絡(luò)平臺(tái)性能的需求。統(tǒng)一的網(wǎng)絡(luò)管理：利用智能網(wǎng)絡(luò)管理中心，融合網(wǎng)絡(luò)、平安、無(wú)線、多媒體等業(yè)務(wù)的統(tǒng)一管理和運(yùn)維，實(shí)現(xiàn)資源、業(yè)務(wù)、人的統(tǒng)一化、精簡(jiǎn)化管理，適應(yīng)將來(lái)網(wǎng)絡(luò)進(jìn)展需求。規(guī)劃原則xx縣一中校園網(wǎng)規(guī)劃要實(shí)現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，供應(yīng)高性能的、全面的QoS保障服務(wù)，使網(wǎng)絡(luò)平安牢靠，不但要實(shí)現(xiàn)教育管理、多媒體教學(xué)自動(dòng)化，而且還要通過(guò)Internet實(shí)現(xiàn)遠(yuǎn)程教學(xué)，供應(yīng)可增值可管理的業(yè)務(wù)，同時(shí)必需具備高性能、高平安性、高牢靠性，可管理、可增值特性以及開(kāi)放性、兼容性、可擴(kuò)展性。xx縣一中網(wǎng)絡(luò)規(guī)劃遵循以下基本原則：1、一網(wǎng)共用，資源共享，實(shí)現(xiàn)多業(yè)務(wù)統(tǒng)一部署xx縣一中多業(yè)務(wù)平臺(tái)為校園信息化的各類數(shù)字化應(yīng)用供應(yīng)統(tǒng)一的網(wǎng)絡(luò)傳輸平臺(tái)?？紤]到校內(nèi)用戶數(shù)量和業(yè)務(wù)種類進(jìn)展的不確定性，要求核心交換機(jī)與匯聚交換機(jī)需具有強(qiáng)大的擴(kuò)展功能，整個(gè)網(wǎng)絡(luò)要完整統(tǒng)一、組網(wǎng)機(jī)敏，并成為易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，能夠隨著需求變化，充分留有擴(kuò)容余地。2、統(tǒng)—規(guī)劃，分段實(shí)施xx縣一中校內(nèi)多業(yè)務(wù)平臺(tái)園區(qū)內(nèi)統(tǒng)一規(guī)劃、統(tǒng)一網(wǎng)絡(luò)體系結(jié)構(gòu)、統(tǒng)一通信協(xié)議標(biāo)準(zhǔn)。對(duì)于保障多業(yè)務(wù)支撐的整個(gè)支撐平臺(tái)，規(guī)劃為多個(gè)功能模塊，可依據(jù)需要分期分段實(shí)施。3、先進(jìn)適用，便利擴(kuò)展xx縣一中業(yè)務(wù)平臺(tái)規(guī)劃采用符合網(wǎng)絡(luò)技術(shù)進(jìn)展方向和先進(jìn)、成熟、適用的技術(shù)與設(shè)備，為多業(yè)務(wù)的進(jìn)展留有足夠的可擴(kuò)展空間，以滿意不斷增加的新的應(yīng)用需求。4、可增值、可運(yùn)營(yíng)xx縣一中業(yè)務(wù)平臺(tái)的規(guī)劃、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)進(jìn)展基礎(chǔ)。所以在規(guī)劃時(shí)要充分考慮業(yè)務(wù)的擴(kuò)展能力，能針對(duì)不同的用戶需求供應(yīng)豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機(jī)制，實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)。5、開(kāi)放與統(tǒng)一標(biāo)準(zhǔn)技術(shù)選擇必需符合相關(guān)國(guó)際標(biāo)準(zhǔn)及國(guó)內(nèi)標(biāo)準(zhǔn)，避開(kāi)個(gè)別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開(kāi)放性和互連互通，滿意信息準(zhǔn)確、平安、牢靠、優(yōu)良交換傳送的需要；開(kāi)放的接口，支持良好的維護(hù)、測(cè)量和管理手段，供應(yīng)網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測(cè)、遙控的信息處理功能，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。6、建用結(jié)合，注重實(shí)效xx縣一中業(yè)務(wù)平臺(tái)的規(guī)劃以建設(shè)促應(yīng)用，通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)的建設(shè)推動(dòng)各種網(wǎng)絡(luò)應(yīng)用工作的開(kāi)展，真正發(fā)揮平臺(tái)的作用，用信息化推動(dòng)xx縣一中數(shù)字信息現(xiàn)代化。架構(gòu)概要規(guī)劃xx縣一中多業(yè)務(wù)支撐平臺(tái)邏輯上以業(yè)務(wù)處理為核心，規(guī)劃為三個(gè)平面：業(yè)務(wù)流平面、平安防守層面和管控層面。 業(yè)務(wù)流平面為多業(yè)務(wù)支撐的承載基礎(chǔ)。業(yè)務(wù)接口為經(jīng)過(guò)分類的不同類型應(yīng)用，通過(guò)基礎(chǔ)通訊平臺(tái)，依據(jù)不同層次、不同技術(shù)的服務(wù)保障措施，實(shí)現(xiàn)用戶與數(shù)據(jù)中心之間、用戶與用戶之間的應(yīng)用交互。對(duì)于基礎(chǔ)平臺(tái)，經(jīng)過(guò)建設(shè)后，能夠?qū)I(yè)務(wù)的機(jī)敏性、可控性、牢靠性等起到?jīng)Q定性的作用。包括通過(guò)萬(wàn)兆骨干平臺(tái)為園區(qū)網(wǎng)的數(shù)據(jù)供應(yīng)高速數(shù)據(jù)交換，不存在平臺(tái)單點(diǎn)故障保障網(wǎng)絡(luò)可用性，遷移IPv6技術(shù)實(shí)現(xiàn)業(yè)務(wù)的機(jī)敏性，部署MPLSVPN實(shí)現(xiàn)業(yè)務(wù)可控性。通過(guò)在基礎(chǔ)平臺(tái)中實(shí)施WLAN功能，供應(yīng)更豐富的接入手段與移動(dòng)業(yè)務(wù)；實(shí)施IP視訊技術(shù)拓展，供應(yīng)視頻會(huì)議及遠(yuǎn)程示教的服務(wù)。實(shí)施IP監(jiān)控技術(shù)拓展，供應(yīng)園區(qū)治安監(jiān)控服務(wù)。IP視頻技術(shù)和IP監(jiān)控技術(shù)的結(jié)合，可供應(yīng)事件應(yīng)急指揮服務(wù)。業(yè)務(wù)通過(guò)基礎(chǔ)平臺(tái)，可實(shí)施兩種端到端服務(wù)質(zhì)量保障措施，其一為從園區(qū)內(nèi)部接入通過(guò)DSCP技術(shù)進(jìn)行業(yè)務(wù)區(qū)分處理，將COSMapping到園區(qū)骨干MPLS網(wǎng)的EXP值；其二為對(duì)關(guān)鍵業(yè)務(wù)在園區(qū)骨干上部署MPLSTE實(shí)現(xiàn)資源預(yù)留。而數(shù)據(jù)中心作為多業(yè)務(wù)部署的心臟，通過(guò)分區(qū)、分層設(shè)計(jì)，規(guī)劃其牢靠性、可管理性與可擴(kuò)展性，實(shí)現(xiàn)面對(duì)業(yè)務(wù)的集中存儲(chǔ)、數(shù)據(jù)保護(hù)和多系統(tǒng)虛擬化，保障多業(yè)務(wù)系統(tǒng)與用戶之間的交互。平安防守平面規(guī)劃為層次化的滲透防守部署。面對(duì)外網(wǎng)出口層、園區(qū)核心層、園區(qū)匯聚層、數(shù)據(jù)中心、用戶行為把握等五個(gè)層面平安規(guī)劃設(shè)計(jì)。針對(duì)業(yè)務(wù)流的整個(gè)過(guò)程實(shí)現(xiàn)平安防護(hù)。管控平面針對(duì)業(yè)務(wù)流各個(gè)環(huán)節(jié)的相應(yīng)環(huán)節(jié)，包括設(shè)備資源、用戶資源、業(yè)務(wù)流量、業(yè)務(wù)隔離、平安信息等進(jìn)行整合管理，有效調(diào)整業(yè)務(wù)流的可用性和平滑性。通過(guò)多個(gè)環(huán)節(jié)之間的關(guān)聯(lián)管理，實(shí)現(xiàn)降低多業(yè)務(wù)支撐平臺(tái)運(yùn)維的整體擁有成本。網(wǎng)絡(luò)方案總體設(shè)計(jì)數(shù)字化校園應(yīng)用系統(tǒng)分析目前數(shù)字化學(xué)校在網(wǎng)絡(luò)上的應(yīng)用子系統(tǒng)有：網(wǎng)絡(luò)公共服務(wù)系統(tǒng)（WEB、郵件、FTP）教務(wù)處教務(wù)管理系統(tǒng)學(xué)生學(xué)籍管理系統(tǒng)校園網(wǎng)OA系統(tǒng)多媒體教學(xué)系統(tǒng)校園網(wǎng)平凡視頻點(diǎn)播系統(tǒng)校園一卡通系統(tǒng)由于數(shù)字化校園的趨勢(shì)所推，網(wǎng)絡(luò)基礎(chǔ)建設(shè)是不可疏忽的重大工程，為以后學(xué)校的業(yè)務(wù)增長(zhǎng)供應(yīng)保障。整體方案設(shè)計(jì)思想通過(guò)針對(duì)xx縣一中具體的網(wǎng)絡(luò)平臺(tái)需求分析，結(jié)合我司多年承建校園網(wǎng)閱歷，建議學(xué)院依據(jù)自身實(shí)際情況，分階段、分步驟、分層次的進(jìn)行網(wǎng)絡(luò)投入建設(shè)。xx縣一中網(wǎng)絡(luò)解決方案總體設(shè)計(jì)以高性能、高牢靠性、高平安性、良好的可擴(kuò)展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及牢靠組播為原則，以及考慮到技術(shù)的先進(jìn)性、成熟性，并采用模塊化的設(shè)計(jì)方法。組網(wǎng)圖如下所示：xx縣一中網(wǎng)絡(luò)規(guī)劃拓?fù)鋢x縣一中校園網(wǎng)改造采用H3C高性能高牢靠平臺(tái)搭建，核心交換機(jī)采用第五代架構(gòu)技術(shù)——CLOS架構(gòu)交換機(jī)，CLOS架構(gòu)即多級(jí)交換架構(gòu)，采用主控板與交換網(wǎng)板相互獨(dú)立設(shè)計(jì)，主控板負(fù)責(zé)表項(xiàng)把握，而交換網(wǎng)板負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)，數(shù)據(jù)到達(dá)主控板會(huì)依據(jù)表項(xiàng)規(guī)章自動(dòng)切片，動(dòng)態(tài)分布到各個(gè)交換網(wǎng)板上，實(shí)現(xiàn)無(wú)阻塞轉(zhuǎn)發(fā)；而將來(lái)隨著信息點(diǎn)不斷的增加，我們只需要對(duì)交換網(wǎng)板進(jìn)行升級(jí)，即可對(duì)整個(gè)交換機(jī)的性能升級(jí)，不用更換設(shè)備整體，保障了用戶投資。我們?cè)谡麄€(gè)校園網(wǎng)核心處部署兩臺(tái)S10508-V通過(guò)IRF2虛擬化技術(shù)將兩臺(tái)物理設(shè)備虛擬成一臺(tái)邏輯設(shè)備，提高了整網(wǎng)的牢靠性，相比于傳統(tǒng)的VRRP的熱備方式，虛擬化技術(shù)將兩臺(tái)核心交換機(jī)更好的利用。我們?cè)谛@網(wǎng)核心交換機(jī)上部署了IPS業(yè)務(wù)模塊，因?yàn)樾@網(wǎng)全部流量必需經(jīng)過(guò)校園網(wǎng)核心交換機(jī)，假如部署在出口網(wǎng)關(guān)，內(nèi)網(wǎng)數(shù)據(jù)則需要引流到出口網(wǎng)關(guān)，極大的占用了出口網(wǎng)關(guān)的CPU使用率，部署在核心交換機(jī)上既可以對(duì)內(nèi)網(wǎng)數(shù)據(jù)包進(jìn)行檢測(cè)，又可以對(duì)外網(wǎng)數(shù)據(jù)包進(jìn)行檢測(cè)。IPS業(yè)務(wù)模塊可以對(duì)校園內(nèi)網(wǎng)和外網(wǎng)的全部數(shù)據(jù)包進(jìn)行拆包解析，通過(guò)IPS業(yè)務(wù)板卡自帶的特征庫(kù)匹配，假如和特征庫(kù)當(dāng)中的病毒、木馬等相像報(bào)文，IPS業(yè)務(wù)板卡會(huì)提出告警，并提示是否阻斷該數(shù)據(jù)包，保證了整網(wǎng)的平安性。匯聚交換機(jī)采用萬(wàn)兆雙上聯(lián)與核心交換機(jī)互聯(lián)，實(shí)現(xiàn)萬(wàn)兆校園網(wǎng)，接入全部采用全千兆交換機(jī)，實(shí)現(xiàn)校園網(wǎng)千兆到桌面。校園網(wǎng)出口是最重要的部分，在出口處部署一臺(tái)多業(yè)務(wù)平安網(wǎng)關(guān)，通過(guò)部署高性能防火墻插卡作為整個(gè)校園出口的NAT網(wǎng)關(guān)，并能夠?yàn)檎麄€(gè)校園網(wǎng)供應(yīng)2-4層平安防護(hù)，我們還部署了負(fù)載均衡業(yè)務(wù)模塊，作為鏈路負(fù)載均衡，當(dāng)校園網(wǎng)出口部署了多條鏈路，我們可以通過(guò)鏈路負(fù)載均衡實(shí)現(xiàn)對(duì)鏈路帶寬使用的合理化安排。在校園網(wǎng)搭建云計(jì)算平臺(tái)，解決學(xué)校服務(wù)器，存儲(chǔ)等硬件設(shè)備資源利用率低的問(wèn)題，通過(guò)HA或DRS（動(dòng)態(tài)業(yè)務(wù)遷移）等業(yè)務(wù)部署，提高整個(gè)校園網(wǎng)應(yīng)用系統(tǒng)的健壯性及牢靠性。網(wǎng)絡(luò)基礎(chǔ)平臺(tái)建設(shè)H3C設(shè)計(jì)全新的基于純IP技術(shù)的網(wǎng)絡(luò)平臺(tái)來(lái)滿意學(xué)院校園網(wǎng)的需求變化。面對(duì)網(wǎng)絡(luò)資源的有效、高效利用，從網(wǎng)絡(luò)架構(gòu)方面供應(yīng)優(yōu)化方案，使得校園核心網(wǎng)、接入網(wǎng)具有更高的牢靠性和可控性，同時(shí)使得網(wǎng)絡(luò)結(jié)構(gòu)與布局在結(jié)合實(shí)際業(yè)務(wù)分布的前提下更加合理。數(shù)字校園業(yè)務(wù)的進(jìn)展必定離不開(kāi)兩個(gè)方向，其一是IPv6，其二是移動(dòng)性。這既是IP通信技術(shù)進(jìn)展的方向，也是數(shù)字校園應(yīng)用的進(jìn)展方向。滿意這個(gè)進(jìn)展，首要前提就是讓校園網(wǎng)絡(luò)平臺(tái)能夠具備相關(guān)技術(shù)支撐能力，即構(gòu)建IPv6校園網(wǎng)與無(wú)線校園網(wǎng)。不論是對(duì)校園網(wǎng)的優(yōu)化還是對(duì)校園網(wǎng)業(yè)務(wù)的橫向拓展，都是基于校園網(wǎng)是平安有序的。需要從縱向三個(gè)維度對(duì)全部影響校園平安的隱患、非法行為進(jìn)行滲透防守與把握。網(wǎng)絡(luò)分層設(shè)計(jì)通常網(wǎng)絡(luò)整體設(shè)計(jì)中，采用層次化、模塊化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)，并嚴(yán)格定義各層功能模型，不同層次關(guān)注不同的特性配置。典型組網(wǎng)結(jié)構(gòu)可以分成三層：接入層、匯聚層、核心層。1)接入層：供應(yīng)網(wǎng)絡(luò)的第一級(jí)接入功能，完成簡(jiǎn)潔的二、三層交換，平安、Qos和POE功能都位于這一層。當(dāng)前的局域網(wǎng)接入層可供選擇的技術(shù)主要有100M和1000M以太網(wǎng)技術(shù)等。在局域網(wǎng)接入層，應(yīng)能夠最大限度滿意IP業(yè)務(wù)的接入和承載，有利于節(jié)省網(wǎng)絡(luò)投資和提高資源利用率。2)匯聚層：匯聚來(lái)自配線間的流量和執(zhí)行策略，當(dāng)路由協(xié)議應(yīng)用于這一層時(shí)，具有負(fù)載均衡、快速收斂和易于擴(kuò)展等特點(diǎn)，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)；匯聚層設(shè)備任務(wù)就是作為局部區(qū)域的邏輯中心，連接接入層交換機(jī)和核心層。其重要功能是負(fù)責(zé)匯聚分散的接入點(diǎn)，進(jìn)行數(shù)據(jù)交換，供應(yīng)流量制和用戶管理（用戶識(shí)別、授權(quán)、認(rèn)證、計(jì)費(fèi)）功能。3)核心層：網(wǎng)絡(luò)的骨干，必需能夠供應(yīng)高速數(shù)據(jù)交換和路由快速收斂，要求具有較高的牢靠性、穩(wěn)定性和易擴(kuò)展性等。網(wǎng)絡(luò)核心層高速運(yùn)送流量，其設(shè)備的主要工作是交換數(shù)據(jù)包。核心層設(shè)備應(yīng)當(dāng)充分的支持并以峰值性能運(yùn)行。核心層業(yè)務(wù)收斂程度高，核心設(shè)備節(jié)點(diǎn)相對(duì)較少，可通過(guò)設(shè)備實(shí)現(xiàn)大顆粒業(yè)務(wù)傳送。依據(jù)xx縣一中網(wǎng)絡(luò)建設(shè)規(guī)模需求及校園分布情況，為了更好的整合網(wǎng)絡(luò)資源平臺(tái)，削減網(wǎng)絡(luò)建設(shè)的投資成本，同時(shí)考慮到學(xué)院辦公業(yè)務(wù)分布的現(xiàn)狀，建議學(xué)院網(wǎng)絡(luò)平臺(tái)采用高速、無(wú)阻塞交換三層扁平組網(wǎng)模型。辦公樓三層簡(jiǎn)化扁平網(wǎng)絡(luò)結(jié)構(gòu)實(shí)現(xiàn)核心、匯聚、接入三層的網(wǎng)絡(luò)架構(gòu)，使得網(wǎng)絡(luò)架構(gòu)更加合理，更加具有健壯性和可擴(kuò)充性，同時(shí)易于配置和管理。全部設(shè)備都為機(jī)架式，可用多種不同端口類型的單板組合，使用機(jī)敏、可擴(kuò)充性強(qiáng)，節(jié)省網(wǎng)絡(luò)投資。整網(wǎng)帶寬較高、穩(wěn)定牢靠、可滿意多種業(yè)務(wù)的無(wú)阻塞交換。核心和匯聚交換機(jī)采用高性能多業(yè)務(wù)三層路由交換機(jī)，接入層采用智能平安性較高交換機(jī)。骨干鏈路及接入鏈路設(shè)計(jì)通過(guò)對(duì)網(wǎng)絡(luò)架構(gòu)的分層，可以充分發(fā)揮網(wǎng)絡(luò)性能，滿意業(yè)務(wù)需求。網(wǎng)絡(luò)層次采用三層扁平化設(shè)計(jì)，建議核心交換機(jī)至匯聚層交換機(jī)采用萬(wàn)兆光纖線路作為校園網(wǎng)骨干鏈路，接入交換機(jī)采用千兆線路作為局域網(wǎng)絡(luò)傳輸?shù)闹鞲陕?。而?duì)于接入層交換機(jī)至終端PC，可依據(jù)選用的接入交換機(jī)類型來(lái)確定鏈路的選擇。牢靠性和自愈能力設(shè)計(jì)鏈路冗余：在主干連接上具備牢靠的線路冗余方式。采用負(fù)載均衡的冗余方式，即通常情況下兩條連接均供應(yīng)數(shù)據(jù)傳輸，并互為備份。主線路可實(shí)時(shí)、自動(dòng)的切換到備份線路,而不影響業(yè)務(wù)應(yīng)用。這種高速的網(wǎng)絡(luò)自愈特性應(yīng)可以保證不會(huì)引起IP路由的重新計(jì)算，不會(huì)引起業(yè)務(wù)的瞬間質(zhì)量惡化，更不會(huì)引起業(yè)務(wù)的中斷。模塊冗余：主干設(shè)備的全部模塊和環(huán)境部件具備1+1或1：N熱備份的功能，切換時(shí)間小于500毫秒。全部模塊具備熱插拔的功能。系統(tǒng)具備99.999%以上的可用性。設(shè)備冗余：供應(yīng)由兩臺(tái)或兩臺(tái)以上設(shè)備組成一個(gè)虛擬設(shè)備的能力。當(dāng)其中一個(gè)設(shè)備因故障停止工作時(shí)，另一臺(tái)設(shè)備自動(dòng)接替其工作，并且不引起其他節(jié)點(diǎn)的路由表重新計(jì)算，從而提高網(wǎng)絡(luò)的穩(wěn)定性。以保證大部分IP應(yīng)用不會(huì)毀滅超時(shí)錯(cuò)誤。本方案兩臺(tái)核心交換機(jī)采用H3C獨(dú)有IRF2智能堆疊技術(shù)，實(shí)現(xiàn)核心設(shè)備虛擬化，增加了核心交換機(jī)處理能力，便利設(shè)備管理，增加鏈路的利用率。路由冗余：網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計(jì)應(yīng)供應(yīng)足夠的路由冗余功能，在上述冗余特性仍不能解決問(wèn)題時(shí)，數(shù)據(jù)流應(yīng)能查找其他路徑到達(dá)目的地址。擁塞把握與服務(wù)質(zhì)量保障設(shè)計(jì)擁塞把握和服務(wù)質(zhì)量保障(QoS)是政務(wù)信息網(wǎng)關(guān)注的重要品質(zhì)。由于接入方式、接入速率、應(yīng)用方式、數(shù)據(jù)性質(zhì)的豐富多樣，網(wǎng)絡(luò)的數(shù)據(jù)流量突發(fā)是不可避開(kāi)的，因此，網(wǎng)絡(luò)對(duì)擁塞的把握和對(duì)不同性質(zhì)數(shù)據(jù)流的不同處理是非常重要的。業(yè)務(wù)分類：網(wǎng)絡(luò)設(shè)備應(yīng)支持6~8種業(yè)務(wù)分類(COS)。當(dāng)用戶終端不供應(yīng)業(yè)務(wù)分類信息時(shí)，網(wǎng)絡(luò)設(shè)備應(yīng)依據(jù)用戶所在網(wǎng)段、應(yīng)用類型、流量大小等自動(dòng)對(duì)業(yè)務(wù)進(jìn)行分類。接入速率把握：接入本網(wǎng)絡(luò)的業(yè)務(wù)應(yīng)遵守其接入速率承諾。超過(guò)承諾速率的數(shù)據(jù)將被丟棄或標(biāo)以最低的優(yōu)先級(jí)。隊(duì)列機(jī)制：具有先進(jìn)的隊(duì)列機(jī)制進(jìn)行擁塞把握，對(duì)不同等級(jí)的業(yè)務(wù)進(jìn)行不同的處理，包括時(shí)延的不同和丟包率的不同。先期擁塞把握：當(dāng)網(wǎng)絡(luò)毀滅真正的擁塞時(shí)，瞬間大量的丟包會(huì)引起大量TCP數(shù)據(jù)同時(shí)重發(fā)，加劇網(wǎng)絡(luò)擁塞的程度并引起網(wǎng)絡(luò)的不穩(wěn)定。網(wǎng)絡(luò)設(shè)備應(yīng)具備先進(jìn)的技術(shù)，在網(wǎng)路毀滅擁塞前就自動(dòng)采取適當(dāng)?shù)拇胧?，進(jìn)行先期擁塞把握，避開(kāi)瞬間大量的丟包現(xiàn)象。資源預(yù)留：對(duì)非常重要的特別?????應(yīng)用，應(yīng)可以采用保留帶寬資源的方式保證其QoS。網(wǎng)絡(luò)的擴(kuò)展能力設(shè)計(jì)網(wǎng)絡(luò)的擴(kuò)展能力包括設(shè)備交換容量的擴(kuò)展能力、端口密度的擴(kuò)展能力、主干帶寬的擴(kuò)展，以及網(wǎng)絡(luò)規(guī)模的擴(kuò)展能力。交換容量擴(kuò)展:交換容量具備在現(xiàn)有基礎(chǔ)上連續(xù)擴(kuò)充4~8倍容量的能力，以適應(yīng)IP類業(yè)務(wù)急速膨脹的現(xiàn)實(shí)。端口密度擴(kuò)展:設(shè)備的端口密度應(yīng)能滿意網(wǎng)絡(luò)擴(kuò)容時(shí)設(shè)備間互聯(lián)的需要。主干帶寬擴(kuò)展、主干帶寬具備高帶寬擴(kuò)展能力，以適應(yīng)IP類業(yè)務(wù)急速膨脹的現(xiàn)實(shí)。網(wǎng)絡(luò)規(guī)模擴(kuò)展:網(wǎng)絡(luò)體系、路由協(xié)議的規(guī)劃和設(shè)備的CPU/NP路由處理能力，在網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)目上應(yīng)能滿意3~5年的擴(kuò)展要求。網(wǎng)絡(luò)管理與平安體系設(shè)計(jì)支持整個(gè)網(wǎng)絡(luò)系統(tǒng)各種網(wǎng)絡(luò)設(shè)備的統(tǒng)一網(wǎng)絡(luò)管理。支持故障管理、記帳管理、配置管理、性能管理和平安管理五大功能。支持系統(tǒng)級(jí)的管理，包括系統(tǒng)分析、系統(tǒng)規(guī)劃等；支持基于策略的管理，對(duì)策略的修改能夠立刻反應(yīng)到全部相關(guān)設(shè)備中。網(wǎng)絡(luò)設(shè)備支持多級(jí)管理權(quán)限，支持RADIUS等認(rèn)證機(jī)制。支持平安監(jiān)控和把握機(jī)制，當(dāng)發(fā)覺(jué)存在平安漏洞和遭到攻擊時(shí)，應(yīng)準(zhǔn)時(shí)通知網(wǎng)絡(luò)管理人員，并應(yīng)自動(dòng)采取適當(dāng)?shù)拇胧┯枰员Ｗo(hù)。支持平安防守設(shè)備、網(wǎng)絡(luò)基礎(chǔ)設(shè)備以及網(wǎng)管系統(tǒng)的平安聯(lián)動(dòng)功能，以便準(zhǔn)時(shí)對(duì)網(wǎng)絡(luò)威逼的實(shí)時(shí)處理。數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)建設(shè)隨著高校信息化建設(shè)的深化，無(wú)論從信息化總體規(guī)劃的角度、信息系統(tǒng)建設(shè)的角度，還是從信息系統(tǒng)運(yùn)行維護(hù)的角度，越來(lái)越多的高校認(rèn)知到數(shù)據(jù)集中、IT基礎(chǔ)設(shè)施集中、運(yùn)行服務(wù)集中的必要性，數(shù)據(jù)中心是數(shù)字校園的核心的理念也得到大部分高校的認(rèn)同，各高校普遍建立的校園級(jí)別的數(shù)據(jù)中心。隨著校園數(shù)據(jù)中心建設(shè)的深化進(jìn)行，校園應(yīng)用系統(tǒng)數(shù)據(jù)集中密度越來(lái)越高，服務(wù)器存儲(chǔ)數(shù)量不斷增長(zhǎng)，網(wǎng)絡(luò)架構(gòu)不斷擴(kuò)展，空間布局、系統(tǒng)布線、電力能耗壓力不斷增加。作為數(shù)據(jù)中心業(yè)務(wù)承載的大動(dòng)脈，基礎(chǔ)網(wǎng)絡(luò)架構(gòu)層面則直接面臨著持續(xù)的嚴(yán)格挑戰(zhàn)。網(wǎng)絡(luò)基礎(chǔ)技術(shù)的快速進(jìn)展為數(shù)據(jù)中心變革供應(yīng)了強(qiáng)大支撐動(dòng)力，基礎(chǔ)網(wǎng)絡(luò)演進(jìn)加快。隨著以太網(wǎng)技術(shù)的進(jìn)一步進(jìn)展，新的技術(shù)標(biāo)準(zhǔn)不斷推動(dòng)基礎(chǔ)平臺(tái)架構(gòu)的變化與融合。萬(wàn)兆交換系統(tǒng)的時(shí)延已經(jīng)降到微妙級(jí)別，而且當(dāng)前已經(jīng)有技術(shù)使得以太網(wǎng)芯片在cut-through方式下達(dá)到200～300納秒級(jí)別，逼近Infiniband的低時(shí)延水平。對(duì)于計(jì)算型應(yīng)用而言，采用以太網(wǎng)互聯(lián)的微妙級(jí)時(shí)延已經(jīng)能夠滿意大量的計(jì)算需求。近幾年高性能計(jì)算TOP500排名中超過(guò)50%的計(jì)算網(wǎng)絡(luò)互聯(lián)采用了千兆以太網(wǎng)。隨著萬(wàn)兆、40G/100G技術(shù)的深化進(jìn)展和終端萬(wàn)兆接口技術(shù)成熟，以太網(wǎng)將成為服務(wù)器互聯(lián)計(jì)算承載的主流平臺(tái)。無(wú)丟包以太網(wǎng)技術(shù)標(biāo)準(zhǔn)族（802.3Qau、802.1Qbb、802.1Qaz、DataCenterBridgingExchangeProtocol）和相關(guān)技術(shù)即將發(fā)布，并在此基礎(chǔ)上進(jìn)一步支持FCoE，使得以太交換網(wǎng)絡(luò)能夠承載FC存儲(chǔ)數(shù)據(jù)流。高校數(shù)據(jù)中心網(wǎng)絡(luò)進(jìn)展趨勢(shì)是融合的統(tǒng)一交換架構(gòu)，在一個(gè)交換平臺(tái)上有效支撐業(yè)務(wù)的前端訪問(wèn)、服務(wù)器高速互聯(lián)、存儲(chǔ)訪問(wèn)。對(duì)于H3C高校數(shù)據(jù)中心方案而言，統(tǒng)一架構(gòu)的網(wǎng)絡(luò)平臺(tái)與業(yè)內(nèi)技術(shù)進(jìn)展是同步的，遵循圖6所示的幾個(gè)階段。H3C統(tǒng)一交換架構(gòu)進(jìn)展路線與其他解決方案供應(yīng)商不同，H3C基于IP-SAN的萬(wàn)兆成熟解決方案的廣泛應(yīng)用，使得H3C高校數(shù)據(jù)中心統(tǒng)一交換架構(gòu)早于FCoE實(shí)現(xiàn)存儲(chǔ)的融合。數(shù)據(jù)中心是校園IT架構(gòu)的核心領(lǐng)域，不論是服務(wù)器部署、網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，都做到精細(xì)入微。因此，傳統(tǒng)上的數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)由于多層結(jié)構(gòu)、平安區(qū)域、平安等級(jí)、策略部署、路由把握、VLAN劃分、二層環(huán)路、冗余設(shè)計(jì)等諸多因素，導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)潔，使得數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)的運(yùn)維管理難度較高。使用智能彈性架構(gòu)(intelligentresilientframework,IRF)虛擬化技術(shù)，用戶可以將多臺(tái)設(shè)備連接，“橫向整合”起來(lái)組成一個(gè)“聯(lián)合設(shè)備”，并將這些設(shè)備看作單一設(shè)備進(jìn)行管理和使用。多個(gè)盒式設(shè)備整合類似于一臺(tái)機(jī)架式設(shè)備，多臺(tái)框式設(shè)備的整合相當(dāng)于增加了槽位，虛擬化整合后的設(shè)備組成了一個(gè)邏輯單元，在網(wǎng)絡(luò)中表現(xiàn)為一個(gè)網(wǎng)元節(jié)點(diǎn)，管理簡(jiǎn)潔化、配置簡(jiǎn)潔化、可跨設(shè)備鏈路聚合，極大簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)，同時(shí)進(jìn)一步增加冗余牢靠性。網(wǎng)絡(luò)虛擬交換技術(shù)為數(shù)據(jù)中心建設(shè)供應(yīng)了一個(gè)新標(biāo)準(zhǔn)，定義了新一代網(wǎng)絡(luò)架構(gòu)，使得各種數(shù)據(jù)中心的基礎(chǔ)網(wǎng)絡(luò)都能夠使用這種機(jī)敏的架構(gòu)，能夠幫忙高校在構(gòu)建永續(xù)和高度可用的狀態(tài)化網(wǎng)絡(luò)的同時(shí)，優(yōu)化網(wǎng)絡(luò)資源的使用。網(wǎng)絡(luò)虛擬化技術(shù)將在數(shù)據(jù)中心端到端總體設(shè)計(jì)中發(fā)揮重要作用。數(shù)據(jù)中心簡(jiǎn)捷統(tǒng)一架構(gòu)虛擬化端到端虛擬化數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)傳統(tǒng)的L2/L3網(wǎng)絡(luò)設(shè)計(jì)相比，供應(yīng)了多項(xiàng)顯著優(yōu)勢(shì)：1）運(yùn)營(yíng)管理簡(jiǎn)化。數(shù)據(jù)中心全局網(wǎng)絡(luò)虛擬化能夠提高運(yùn)營(yíng)效率，虛擬化的每一層交換機(jī)組被邏輯化為單管理點(diǎn)，包括配置文件和單一網(wǎng)關(guān)IP地址，無(wú)需VRRP。2）整體無(wú)環(huán)設(shè)計(jì)?？缭O(shè)備的鏈路聚合創(chuàng)建了簡(jiǎn)潔的無(wú)環(huán)路拓?fù)浣Y(jié)構(gòu)，不再依靠生成樹(shù)協(xié)議（STP）。虛擬交換組內(nèi)部經(jīng)由多個(gè)萬(wàn)兆互聯(lián)，在總體設(shè)計(jì)方面供應(yīng)了機(jī)敏的部署能力。3）進(jìn)一步提高牢靠性。虛擬化能夠優(yōu)化不間斷通信，在一個(gè)虛擬交換機(jī)成員發(fā)生故障時(shí)，不再需要進(jìn)行L2/L3重收斂，能快速實(shí)現(xiàn)確定性虛擬交換機(jī)的恢復(fù)。端到端虛擬化架構(gòu)優(yōu)勢(shì)本方案建議xx縣一中建立數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)，以滿意日后學(xué)院應(yīng)用業(yè)務(wù)不斷進(jìn)展所帶來(lái)的服務(wù)器資源增長(zhǎng)及數(shù)據(jù)存儲(chǔ)集中化的需求。高校數(shù)據(jù)中心系統(tǒng)架構(gòu)的進(jìn)展和密集的業(yè)務(wù)需求，要求校園數(shù)據(jù)中心交換網(wǎng)絡(luò)成為高性能、融合業(yè)務(wù)統(tǒng)一交換的基礎(chǔ)平臺(tái)。H3C數(shù)據(jù)中心級(jí)交換機(jī)作為H3C下一代數(shù)據(jù)中心核心平臺(tái)，將不斷熔煉新的技術(shù)與標(biāo)準(zhǔn)，供應(yīng)持續(xù)的可兼容、可擴(kuò)展能力，滿意校園信息化2.0時(shí)代數(shù)據(jù)中心的進(jìn)展要求。利用數(shù)據(jù)中心交換平臺(tái)高性能、高擴(kuò)展性、融合平安性（部署平安插卡）、統(tǒng)一管理性，并通過(guò)與校園網(wǎng)建立萬(wàn)兆鏈路進(jìn)行通信，從而可以保證學(xué)院今后數(shù)據(jù)訪問(wèn)業(yè)務(wù)的速率，同時(shí)也可為學(xué)院重要的應(yīng)用數(shù)據(jù)資源供應(yīng)L2-7層數(shù)數(shù)據(jù)平安防護(hù)。網(wǎng)絡(luò)平安設(shè)計(jì)網(wǎng)絡(luò)攻擊來(lái)源主要來(lái)自網(wǎng)絡(luò)邊界和內(nèi)部終端用戶的網(wǎng)絡(luò)攻擊，具體威逼如下：來(lái)自不同平安域的訪問(wèn)把握的風(fēng)險(xiǎn)：網(wǎng)絡(luò)結(jié)構(gòu)越來(lái)越簡(jiǎn)潔，接入網(wǎng)絡(luò)的用戶也越來(lái)越多，必需能夠在不同的網(wǎng)絡(luò)區(qū)域之間采取確定的把握措施，有效把握不同的網(wǎng)絡(luò)區(qū)域之間的網(wǎng)絡(luò)通信，以此來(lái)把握網(wǎng)絡(luò)元素間的互訪能力，避開(kāi)網(wǎng)絡(luò)濫用，同時(shí)實(shí)現(xiàn)平安風(fēng)險(xiǎn)的有效的隔離，把平安風(fēng)險(xiǎn)隔離在相對(duì)比較獨(dú)立以及比較小的網(wǎng)絡(luò)區(qū)域。網(wǎng)絡(luò)攻擊行為的檢測(cè)和防范的風(fēng)險(xiǎn)：基于網(wǎng)絡(luò)協(xié)議的缺陷，尤其是TCP/IP協(xié)議的開(kāi)放特性，帶來(lái)了非常大的平安風(fēng)險(xiǎn)，常見(jiàn)的IP地址竊取、IP地址假冒，網(wǎng)絡(luò)端口掃描以及危害非常大的拒絕服務(wù)攻擊（DOS、DDOS）等，必需能夠供應(yīng)對(duì)這些攻擊行為有效的檢測(cè)和防范能力的措施。網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性的風(fēng)險(xiǎn)：網(wǎng)絡(luò)數(shù)據(jù)在傳輸?shù)倪^(guò)程中，很可能被通過(guò)各種方式竊取，因此保證數(shù)據(jù)在傳輸?shù)倪^(guò)程中機(jī)密性（保證數(shù)據(jù)傳遞的信息不被第三方獲得），完整性（保證數(shù)據(jù)在傳遞過(guò)程中不被人修改）是非常重要的，尤其是在傳遞的信息的價(jià)值不斷提高情況下。用戶主機(jī)遭受網(wǎng)絡(luò)病毒攻擊的風(fēng)險(xiǎn)：網(wǎng)絡(luò)給病毒的傳播供應(yīng)了很好的路徑，網(wǎng)絡(luò)病毒傳播速度之快、危害之大是令人驚訝的，特別是最近開(kāi)始流行的一些蠕蟲(chóng)病毒，更是防不勝防，環(huán)境下必需建設(shè)全面的網(wǎng)絡(luò)防病毒系統(tǒng)，層層設(shè)防，逐層把關(guān)，堵住病毒傳播的各種可能途徑。針對(duì)用戶主機(jī)網(wǎng)絡(luò)攻擊的平安風(fēng)險(xiǎn)：目前Internet上有各種完善的網(wǎng)絡(luò)攻擊工具，在局域網(wǎng)的環(huán)境下，這種攻擊會(huì)更加有效，針對(duì)的目標(biāo)會(huì)更加明確，據(jù)統(tǒng)計(jì)，有97％的攻擊是來(lái)自內(nèi)部的攻擊，而且內(nèi)部攻擊勝利的概率要遠(yuǎn)遠(yuǎn)高于來(lái)自于Internet的攻擊，造成的后果也嚴(yán)峻的多。用戶網(wǎng)絡(luò)訪問(wèn)行為有效把握的風(fēng)險(xiǎn)：首先需要對(duì)用戶接入網(wǎng)絡(luò)的能力進(jìn)行把握，同時(shí)需要更細(xì)粒度的訪問(wèn)把握，尤其是對(duì)Internet資源的訪問(wèn)把握，比如應(yīng)當(dāng)能夠把握內(nèi)部用戶訪問(wèn)Internet的什么網(wǎng)站。在此基礎(chǔ)之上，必需能夠進(jìn)行縝密的行為審計(jì)管理。操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)平臺(tái)的平安風(fēng)險(xiǎn)：通過(guò)對(duì)各種流行的網(wǎng)絡(luò)攻擊行為的分析，可以發(fā)覺(jué)絕大多數(shù)的攻擊是利用各種操作系統(tǒng)和一些網(wǎng)絡(luò)服務(wù)平臺(tái)存在的一些已公開(kāi)的平安漏洞發(fā)起，因此，杜絕各種操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)平臺(tái)的已公開(kāi)的平安漏洞，可以在很大程度上防范系統(tǒng)攻擊的發(fā)生。用戶身份認(rèn)證及資源訪問(wèn)權(quán)限的把握：由于網(wǎng)絡(luò)中的各個(gè)應(yīng)用系統(tǒng)上有許多信息是供應(yīng)應(yīng)不同權(quán)限用戶查閱的，不同級(jí)別、不同部門(mén)、不同人員能夠訪問(wèn)的資源都不一樣，因此需要嚴(yán)格區(qū)分用戶的身份，設(shè)置合理的訪問(wèn)權(quán)限，保證信息可以在被有效把握下共享。依據(jù)對(duì)網(wǎng)絡(luò)主要平安隱患的分析及國(guó)家相應(yīng)的平安規(guī)范。xx縣一中網(wǎng)絡(luò)平安策略和平安體系包含：訪問(wèn)把握：通過(guò)對(duì)特定網(wǎng)段及服務(wù)建立的訪問(wèn)把握體系，系統(tǒng)將絕大多數(shù)攻擊阻擋在到達(dá)攻擊目標(biāo)之前；檢查平安漏洞：對(duì)平安漏洞進(jìn)行周期性的檢查，使得絕大多數(shù)攻擊即使到達(dá)攻擊目標(biāo)也無(wú)破壞；攻擊監(jiān)控：通過(guò)對(duì)特定網(wǎng)段及服務(wù)建立的攻擊監(jiān)控體系，系統(tǒng)可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取相應(yīng)的行為（如斷開(kāi)網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源等）；多層防守：攻擊者在突破第一道防線后，多層防守可以延緩或阻斷其到達(dá)攻擊目標(biāo)；隱藏內(nèi)部信息：這樣可以使攻擊者不能了解系統(tǒng)內(nèi)的基本情況；建立終端防護(hù)：通過(guò)在辦公終端上部署平安防護(hù)措施，防止辦公終端遭受網(wǎng)絡(luò)或移動(dòng)存儲(chǔ)設(shè)備帶有的病毒的攻擊。為確保xx縣一中網(wǎng)絡(luò)的平安性，應(yīng)從全局考慮，不僅從技術(shù)上保證，而且要從管理上協(xié)同防范。既要保證學(xué)院里內(nèi)部網(wǎng)絡(luò)平安又要保證與外部網(wǎng)絡(luò)之間的平安，形成整體平安性的網(wǎng)絡(luò)體系結(jié)構(gòu)。統(tǒng)一網(wǎng)絡(luò)管理設(shè)計(jì)當(dāng)前數(shù)字校園網(wǎng)絡(luò)還面臨許多挑戰(zhàn)，在解決了帶寬和掩蓋問(wèn)題的同時(shí)，校園網(wǎng)絡(luò)需要進(jìn)一步優(yōu)化，校園網(wǎng)管理需要更加智能和易用。隨著信息技術(shù)的進(jìn)展，為提高辦公效率及改善教學(xué)環(huán)境，當(dāng)前的學(xué)校越來(lái)越多地應(yīng)用了信息技術(shù)，對(duì)于網(wǎng)絡(luò)的依靠性也越來(lái)越大，學(xué)生需要上網(wǎng)查閱資料、吸取新學(xué)問(wèn)、接受網(wǎng)上教學(xué)，老師需要借此了解最新科研進(jìn)展。校園網(wǎng)絡(luò)上通常承載著學(xué)校的辦公系統(tǒng)、教學(xué)系統(tǒng)及學(xué)生宿舍網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)假如發(fā)生問(wèn)題，會(huì)對(duì)學(xué)校的正常運(yùn)作產(chǎn)生嚴(yán)峻的影響。隨著網(wǎng)絡(luò)基礎(chǔ)架構(gòu)日趨簡(jiǎn)潔，傳統(tǒng)的設(shè)備命令行、簡(jiǎn)潔的管理工具已經(jīng)不能夠滿意網(wǎng)絡(luò)管理的需求。業(yè)界的閱歷證明，選擇一個(gè)優(yōu)秀的網(wǎng)絡(luò)管理系統(tǒng)是保證網(wǎng)絡(luò)最大可用性的有效手段。H3C專注于IP產(chǎn)品與相關(guān)技術(shù)的研發(fā)、生產(chǎn)和銷售，具備完善的產(chǎn)品技術(shù)、客戶服務(wù)、渠道、認(rèn)證培訓(xùn)體系，為您供應(yīng)客戶化、特性豐富、性價(jià)比高的網(wǎng)絡(luò)產(chǎn)品與解決方案。作為業(yè)界領(lǐng)先的網(wǎng)絡(luò)設(shè)備與解決方案供應(yīng)商，H3C供應(yīng)包括網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理等全面的管理解決方案：H3C智能管理中心（H3CIntelligentManagementCenter，以下簡(jiǎn)稱H3CiMC）。H3CiMC是H3CIToIP解決方案的統(tǒng)一管理中心，基于SOA架構(gòu)，采用機(jī)敏的組件化結(jié)構(gòu)，支持與HPOpenview、SNMPc等通用網(wǎng)管平臺(tái)的集成，支持集成各多廠家設(shè)備管理系統(tǒng)，與H3C的數(shù)據(jù)通信設(shè)備產(chǎn)品一起為用戶供應(yīng)全網(wǎng)解決方案，幫忙客戶真正實(shí)現(xiàn)網(wǎng)絡(luò)的按需構(gòu)建。H3CiMC在IToIP解決方案中的位置H3CiMC作為IToIP解決方案核心管理系統(tǒng)，為用戶供應(yīng)了機(jī)敏的組件化結(jié)構(gòu)，包括智能管理平臺(tái)、智能配置中心（iCC）、ACL管理、MPLSVPN管理、用戶接入管理、EAD解決方案、無(wú)線管理、EPON管理等業(yè)務(wù)組件，用戶可以依據(jù)自己的管理需要和網(wǎng)絡(luò)情況機(jī)敏選擇需要的組件，真正實(shí)現(xiàn)“按需建構(gòu)”。H3C智能管理中心解決方案架構(gòu)如下圖所示：H3CiMC解決方案架構(gòu)由上圖可以看出H3CiMC管理系統(tǒng)由智能管理平臺(tái)以及各個(gè)業(yè)務(wù)組件組成，管理平臺(tái)）供應(yīng)網(wǎng)絡(luò)管理的一些基礎(chǔ)功能，比如故障管理、性能管理、資源和拓?fù)涔芾怼⒂脩艄芾淼?，而業(yè)務(wù)組件供應(yīng)了相應(yīng)的業(yè)務(wù)管理功能；各個(gè)業(yè)務(wù)組件相對(duì)獨(dú)立，并可以無(wú)縫的集成在管理平臺(tái)中，使得整個(gè)系統(tǒng)具有很強(qiáng)的可擴(kuò)展性。H3CiMC智能管理平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)資源、用戶和業(yè)務(wù)的融合管理，供應(yīng)基本的網(wǎng)絡(luò)資源管理、拓?fù)涔芾?、故障管理、性能管理、用戶管理及系統(tǒng)平安管理，基于B/S架構(gòu)，可以與H3CiMC其他業(yè)務(wù)組件有效集成，形成多種解決方案。H3CiMC智能管理平臺(tái)不僅可以實(shí)現(xiàn)H3C全線數(shù)據(jù)通信產(chǎn)品的管理，也可通過(guò)標(biāo)準(zhǔn)mib實(shí)現(xiàn)對(duì)Cisco、等各主流廠商的數(shù)據(jù)通信設(shè)備管理。IToIP數(shù)字化校園解決方案的整體優(yōu)勢(shì)實(shí)現(xiàn)校園統(tǒng)一系統(tǒng)標(biāo)準(zhǔn)——利用統(tǒng)一信息標(biāo)準(zhǔn)、統(tǒng)一應(yīng)用標(biāo)準(zhǔn)、統(tǒng)一集成標(biāo)準(zhǔn)，解決重建設(shè)輕標(biāo)準(zhǔn)、缺乏IT系統(tǒng)的標(biāo)準(zhǔn)化和集成整和的問(wèn)題，解決異構(gòu)IT資源難以整合的問(wèn)題。實(shí)現(xiàn)校園數(shù)字業(yè)務(wù)定制——建設(shè)統(tǒng)一數(shù)據(jù)中心、建立統(tǒng)一業(yè)務(wù)中心、構(gòu)見(jiàn)隨需而動(dòng)的智能系統(tǒng)，解決數(shù)字化校園重網(wǎng)絡(luò)輕應(yīng)用-路多車少的問(wèn)題。實(shí)現(xiàn)統(tǒng)一校園IT資源管理——建設(shè)智能管理中心、整合IT資源統(tǒng)一管理，建立機(jī)敏完善的數(shù)據(jù)管理能力、建立完整網(wǎng)絡(luò)資源管理、建立統(tǒng)一媒體管理。實(shí)現(xiàn)統(tǒng)一信息平安管理——建立統(tǒng)一平安管理中心，完成網(wǎng)絡(luò)層、業(yè)務(wù)層、數(shù)據(jù)層、用戶層平安管理，解決重建設(shè)輕維護(hù)和缺乏整體平安部署方法的問(wèn)題。 核心層網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)對(duì)于校園網(wǎng)核心層，必需供應(yīng)高性能、高牢靠的網(wǎng)絡(luò)結(jié)構(gòu)，推舉采用經(jīng)典的雙設(shè)備的冗余星型結(jié)構(gòu)，匯聚層交換機(jī)都是萬(wàn)兆雙歸屬上行至核心層交換機(jī)，建成一個(gè)萬(wàn)兆骨干的園區(qū)網(wǎng)。規(guī)劃設(shè)計(jì)考慮到匯聚層設(shè)備由多臺(tái)匯聚層交換機(jī)萬(wàn)兆上行到核心層交換機(jī)上做線速數(shù)據(jù)交換，并且也有多條萬(wàn)兆線路連接網(wǎng)絡(luò)出口和數(shù)據(jù)中心，如何保障幾十個(gè)萬(wàn)兆線路在核心層設(shè)備上的線速轉(zhuǎn)發(fā)成為一個(gè)關(guān)鍵點(diǎn)，因此核心層網(wǎng)絡(luò)設(shè)備需要兩臺(tái)100G平臺(tái)的高性能超萬(wàn)兆核心交換機(jī)組成。目前在核心設(shè)備上的跨設(shè)備鏈路聚合虛擬化技術(shù)，從對(duì)提升網(wǎng)絡(luò)整體效率的角度，起到了一種橫向整合的作用，即在不轉(zhuǎn)變網(wǎng)絡(luò)物理拓?fù)溥B接結(jié)構(gòu)條件下，將網(wǎng)絡(luò)同一層的多臺(tái)設(shè)備橫向整合，從邏輯上簡(jiǎn)化了網(wǎng)絡(luò)架構(gòu)。由于整合后的虛擬化系統(tǒng)具備跨設(shè)備鏈路聚合功能，因此，不同網(wǎng)絡(luò)層之間的電纜互聯(lián)也可通過(guò)邏輯整合，多條鏈路被捆綁成一條聚合的邏輯鏈路，如下圖所示?？缭O(shè)備鏈路聚合功能對(duì)網(wǎng)絡(luò)的橫向虛擬化整合虛擬化技術(shù)構(gòu)成的網(wǎng)絡(luò)架構(gòu)與傳統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì)相比，供應(yīng)了多項(xiàng)顯著優(yōu)勢(shì)：1）運(yùn)營(yíng)管理簡(jiǎn)化。全局網(wǎng)絡(luò)虛擬化能夠提高運(yùn)營(yíng)效率，虛擬化的每一層交換機(jī)組被邏輯化為單管理點(diǎn)，包括配置文件和單一網(wǎng)關(guān)IP地址，無(wú)需VRRP。2）整體無(wú)環(huán)設(shè)計(jì)?？缭O(shè)備的鏈路聚合創(chuàng)建了簡(jiǎn)潔的無(wú)環(huán)路拓?fù)浣Y(jié)構(gòu)，不再依靠生成樹(shù)協(xié)議（STP）。虛擬交換組內(nèi)部經(jīng)由多個(gè)萬(wàn)兆互聯(lián)，在總體設(shè)計(jì)方面供應(yīng)了機(jī)敏的部署能力。3）進(jìn)一步提高牢靠性。虛擬化能夠優(yōu)化不間斷通信，在一個(gè)虛擬交換機(jī)成員鏈路故障時(shí)，不再需要進(jìn)行L2/L3重收斂，能快速實(shí)現(xiàn)確定性虛擬交換機(jī)的恢復(fù)。核心層設(shè)備，承載校內(nèi)訪問(wèn)Cernet流量，以及各校區(qū)內(nèi)部網(wǎng)絡(luò)之間的關(guān)鍵業(yè)務(wù)流量，通過(guò)核心交換機(jī)的精細(xì)業(yè)務(wù)和流量把握，確保關(guān)鍵流量的帶寬和服務(wù)質(zhì)量。依據(jù)承載的業(yè)務(wù)實(shí)時(shí)性要求，可以在通過(guò)虛擬化技術(shù)、BFD、FRR等技術(shù)保證電信級(jí)的故障恢復(fù)。園區(qū)網(wǎng)絡(luò)規(guī)劃高可用園區(qū)規(guī)劃 xx縣一中校園網(wǎng)絡(luò)作為實(shí)際業(yè)務(wù)的接入和承載體，必需具有高可用性。高可用性主要體現(xiàn)在以下幾個(gè)方面：保持網(wǎng)絡(luò)長(zhǎng)時(shí)間的無(wú)故障運(yùn)行；保證突發(fā)情況下的網(wǎng)絡(luò)可用性和可恢復(fù)性；惡劣環(huán)境條件下的網(wǎng)絡(luò)應(yīng)用；抵制災(zāi)難。消退單點(diǎn)故障網(wǎng)絡(luò)建設(shè)高可用性設(shè)計(jì)，需要全方位多角度的對(duì)網(wǎng)絡(luò)牢靠性給予充分保障。園區(qū)網(wǎng)絡(luò)高可用性可以通過(guò)設(shè)備自身的關(guān)鍵部件冗余、協(xié)議的不間斷轉(zhuǎn)發(fā)技術(shù)以及網(wǎng)絡(luò)拓?fù)涞逆溌泛驮O(shè)備冗余設(shè)計(jì)來(lái)綜合保證：設(shè)備的牢靠：雙主控、雙電源網(wǎng)絡(luò)的牢靠：關(guān)鍵設(shè)備雙歸屬、重要鏈路手工聚合、服務(wù)器采用雙網(wǎng)卡協(xié)議的牢靠：IRF2、防火墻HRP架構(gòu)的牢靠：重要設(shè)備冗余部署、流量路徑合理規(guī)劃應(yīng)用的牢靠：服務(wù)器健康檢查 高性能帶寬規(guī)劃設(shè)計(jì)當(dāng)前，隨著學(xué)校網(wǎng)絡(luò)應(yīng)用種類的不斷增加，特別是實(shí)時(shí)在線視頻應(yīng)用、大規(guī)模組播應(yīng)用和P2P應(yīng)用的迅猛增長(zhǎng)。為了滿意今后五年內(nèi)的學(xué)校網(wǎng)絡(luò)應(yīng)用對(duì)帶寬的需求，本次xx縣一中校園網(wǎng)的帶寬設(shè)計(jì)骨干網(wǎng)都是萬(wàn)兆設(shè)計(jì)，例如：核心層交換機(jī)和匯聚層交換機(jī)之間，核心層交換機(jī)和數(shù)據(jù)中心的服務(wù)器匯聚交換機(jī)，核心層交換機(jī)和出口路由器之間；千兆鏈路的設(shè)計(jì)是：匯聚層交換機(jī)和接入層交換機(jī)之間，數(shù)據(jù)中心中服務(wù)器和服務(wù)器匯聚交換機(jī)連接都是千兆線路；百兆鏈路用以實(shí)現(xiàn)百兆到桌面。 因此對(duì)于校園園區(qū)核心層設(shè)備，應(yīng)當(dāng)在供應(yīng)大容量、高性能L2/L3交換服務(wù)基礎(chǔ)上，能夠進(jìn)一步融合了硬件IPv6、網(wǎng)絡(luò)平安、網(wǎng)絡(luò)業(yè)務(wù)分析等智能特性，可為校園園區(qū)構(gòu)建融合業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，進(jìn)而幫忙用戶實(shí)現(xiàn)IT資源整合的需求。第三章抵御對(duì)多業(yè)務(wù)運(yùn)營(yíng)的威逼隨著計(jì)算機(jī)技術(shù)的不斷進(jìn)展，病毒和網(wǎng)絡(luò)攻擊已經(jīng)成為現(xiàn)在網(wǎng)絡(luò)管理人員最頭疼的問(wèn)題。目前的網(wǎng)絡(luò)平安威逼主要表現(xiàn)為如下三種形式：計(jì)算機(jī)系統(tǒng)病毒：ARP病毒，蠕蟲(chóng)，沖擊波……網(wǎng)絡(luò)黑客攻擊：spyware,釣魚(yú)軟件……對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊：DoS/DDoS……一個(gè)好的網(wǎng)絡(luò)承載平臺(tái)，是供應(yīng)多種業(yè)務(wù)的基礎(chǔ)，對(duì)于定位在運(yùn)營(yíng)級(jí)的數(shù)字化校園網(wǎng)，要保證網(wǎng)絡(luò)質(zhì)量和服務(wù)承諾，在平安把握方面必需有一個(gè)好的整體平安規(guī)劃。全局平安防守體系規(guī)劃平安防守的理念目前可以分為三個(gè)層面：局部平安：即對(duì)毀滅問(wèn)題的薄弱環(huán)節(jié)或有可能毀滅問(wèn)題的節(jié)點(diǎn)部署平安產(chǎn)品，進(jìn)行2～7層的威逼防范，當(dāng)前絕大部分學(xué)校采用的都是這種單點(diǎn)威逼防守方式。這種局部平安方式簡(jiǎn)潔有效并有極強(qiáng)的針對(duì)性，適合網(wǎng)絡(luò)建設(shè)已經(jīng)比較完善而平安因素考慮不足的情況。全局平安：通過(guò)技術(shù)和產(chǎn)品的協(xié)作，將網(wǎng)絡(luò)中的多個(gè)網(wǎng)絡(luò)設(shè)備、平安設(shè)備和各功能組件通盤(pán)考慮。通過(guò)多層次的平安策略和流程把握，向用戶供應(yīng)端到端的平安解決方案。將計(jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)上的通用操作系統(tǒng)、主機(jī)應(yīng)用系統(tǒng)等企業(yè)資源都納入到平安保護(hù)的范疇內(nèi)。智能全局平安：當(dāng)平安事件發(fā)生時(shí)，我們不僅能夠飛速察覺(jué)、準(zhǔn)確定位，更重要的是我們能夠準(zhǔn)時(shí)制定合理的、一致的、完備的平安策略，并最大限度的利用現(xiàn)有網(wǎng)絡(luò)平安資源，通過(guò)智能分析和協(xié)同響應(yīng)準(zhǔn)時(shí)應(yīng)對(duì)各種真正的網(wǎng)絡(luò)攻擊。校園網(wǎng)全局平安的建設(shè)目標(biāo)就是形成全局化、結(jié)構(gòu)化、智能化的平安防守體系，為整網(wǎng)達(dá)到可運(yùn)營(yíng)、可把握的目標(biāo)服務(wù)。校園外網(wǎng)出口防守網(wǎng)絡(luò)出口是整個(gè)校園網(wǎng)對(duì)外的唯一通道，也是病毒和網(wǎng)絡(luò)攻擊的入口，需要使用平安設(shè)備進(jìn)行區(qū)域的劃分和訪問(wèn)把握。1、傳統(tǒng)的平安解決方案中，防火墻和入侵檢測(cè)系統(tǒng)(IDS，IntrusionDetectionSystem)已經(jīng)被普遍接受，防火墻是最主流也是最重要的平安產(chǎn)品，是邊界平安解決方案的核心。它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行區(qū)域分割，供應(yīng)基于IP地址和TCP/IP服務(wù)端口等的訪問(wèn)把握；對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊，如拒絕服務(wù)攻擊、端口掃描、IP欺騙、IP盜用等進(jìn)行有效防護(hù)。2、但僅僅有防火墻和IDS還不足以完全保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻作為一個(gè)網(wǎng)絡(luò)層的平安設(shè)備，不能充分地分析應(yīng)用層協(xié)議數(shù)據(jù)中的攻擊信號(hào)，而IDS也不能直接阻擋檢測(cè)到的攻擊，即使排除兼容性問(wèn)題能夠與防火墻進(jìn)行聯(lián)動(dòng)，也存在確定的響應(yīng)延時(shí)。以入侵防守系統(tǒng)(IPS,IntrusionPreventionSystem)為代表的應(yīng)用層平安設(shè)備，作為防火墻的重要補(bǔ)充，很好的解決了應(yīng)用層防守的問(wèn)題，并且變革了管理員構(gòu)建網(wǎng)絡(luò)防守的方式。通過(guò)在線部署，IPS可以檢測(cè)并直接阻斷惡意流量。3、另外，當(dāng)前網(wǎng)絡(luò)應(yīng)用層出不窮，在大大提升了老師工作效率、學(xué)生學(xué)習(xí)效率的同時(shí)，也帶來(lái)一些負(fù)面影響，主要有以下難題困擾：通過(guò)P2P下載電影造成網(wǎng)絡(luò)速度變慢，怎么解決？老師工作時(shí)間炒股、打玩耍、談天造成工作效率的下降，怎么解決？老師和學(xué)生訪問(wèn)非法網(wǎng)站易感染病毒，如何把握？老師工通過(guò)郵件、FTP等私自傳輸重要文件，導(dǎo)致機(jī)密泄露，如何供應(yīng)有效的證據(jù)信息？學(xué)校管理員無(wú)法了解網(wǎng)絡(luò)應(yīng)用狀況，無(wú)法對(duì)用戶行為進(jìn)行審計(jì)？公安部82號(hào)令，要求記錄上網(wǎng)記錄，如何應(yīng)對(duì)？學(xué)生在BBS、論壇、Blog發(fā)表非法言論，如何應(yīng)對(duì)？在這種情形下迫切需要一種專業(yè)的應(yīng)用把握網(wǎng)關(guān)產(chǎn)品，來(lái)解決以上問(wèn)題，這種應(yīng)用把握網(wǎng)關(guān)產(chǎn)品能夠?qū)崿F(xiàn)應(yīng)用把握與行為審計(jì)網(wǎng)關(guān)，能對(duì)網(wǎng)絡(luò)中的P2P/IM/VoIP帶寬濫用、網(wǎng)絡(luò)玩耍、炒股、多媒體應(yīng)用、非法網(wǎng)站訪問(wèn)等行為進(jìn)行精細(xì)化識(shí)別和把握；同時(shí)，可對(duì)網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進(jìn)行深化分析與全面的事后審計(jì)（可滿意公安部82號(hào)令，對(duì)網(wǎng)絡(luò)使用審計(jì)的要求），如Web應(yīng)用、FTP應(yīng)用、Email應(yīng)用、談天應(yīng)用等，并具有強(qiáng)大的URL過(guò)濾功能，進(jìn)而幫忙學(xué)校優(yōu)化網(wǎng)絡(luò)資源，全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢(shì)。如下圖所示：在出口處，平安設(shè)備的部署模式主要以串接在線路中對(duì)病毒和網(wǎng)絡(luò)攻擊進(jìn)行直接過(guò)濾為主，考慮到xx縣一中的實(shí)際流量較大，考慮使用基于萬(wàn)兆平臺(tái)的防火墻、IPS、應(yīng)用把握網(wǎng)關(guān)產(chǎn)品，并直接配置萬(wàn)兆接口，避開(kāi)因?yàn)槠桨苍O(shè)備本身的性能瓶頸影響網(wǎng)絡(luò)出口的帶寬。如下圖所示：數(shù)據(jù)中心的平安防守?cái)?shù)據(jù)中心是校園內(nèi)各種業(yè)務(wù)數(shù)據(jù)的核心，是全部運(yùn)營(yíng)業(yè)務(wù)的匯接點(diǎn)。數(shù)據(jù)中心面對(duì)的一些主要平安挑戰(zhàn)有：（1）對(duì)應(yīng)用層的攻擊：包括惡意蠕蟲(chóng)、病毒、緩沖溢出代碼、后門(mén)木馬等。應(yīng)用攻擊的共同特點(diǎn)是利用了軟件系統(tǒng)在設(shè)計(jì)上的缺陷，并且他們的傳播都基于現(xiàn)有的業(yè)務(wù)端口，因此應(yīng)用攻擊可以毫不費(fèi)勁的躲過(guò)那些傳統(tǒng)的或者具有少許深度檢測(cè)功能的防火墻。（2）面對(duì)網(wǎng)絡(luò)層的攻擊：除了由于系統(tǒng)漏洞造成的應(yīng)用攻擊外，數(shù)據(jù)中心還要面對(duì)拒絕服務(wù)攻擊（DoS）和分布式拒絕服務(wù)攻擊（DDoS）的挑戰(zhàn)。DOS/DDOS是一種傳統(tǒng)的網(wǎng)絡(luò)攻擊方式，然而其破壞力卻非常強(qiáng)勁。據(jù)2004美國(guó)CSI/FBI的計(jì)算機(jī)犯罪和平安調(diào)研分析，DOS和DDOS攻擊已成為對(duì)企業(yè)損害最大的犯罪行為，超出其他各種犯罪類型兩倍。（3）對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊：數(shù)據(jù)中心象一座擁有巨大財(cái)富的城堡，然而牢固的堡壘最簡(jiǎn)潔從內(nèi)部被攻破，來(lái)自數(shù)據(jù)中心內(nèi)部的攻擊也更具破壞性。園區(qū)內(nèi)部的惡意攻擊不僅可以通過(guò)應(yīng)用攻擊技術(shù)繞過(guò)防火墻，對(duì)數(shù)據(jù)中心的網(wǎng)絡(luò)造成損害，還可以憑借其網(wǎng)絡(luò)構(gòu)架的充分了解，通過(guò)違規(guī)訪問(wèn)、嗅探網(wǎng)絡(luò)系統(tǒng)、攻擊路由器/交換機(jī)設(shè)備等手段，訪問(wèn)非授權(quán)資源，這些行將對(duì)企業(yè)造成更大的損失。數(shù)據(jù)中心的平安防護(hù)應(yīng)當(dāng)著重以下幾方面：網(wǎng)絡(luò)架構(gòu)和應(yīng)用多層防護(hù)數(shù)據(jù)中心網(wǎng)絡(luò)必需供應(yīng)從鏈路層到應(yīng)用層的多層防守體系，如上圖所示。交換機(jī)供應(yīng)的平安特性構(gòu)成平安數(shù)據(jù)中心的網(wǎng)絡(luò)基礎(chǔ)，供應(yīng)數(shù)據(jù)鏈路層的攻擊防守。數(shù)據(jù)中心網(wǎng)絡(luò)邊界平安定位在傳輸層與網(wǎng)絡(luò)層的平安上，通過(guò)狀態(tài)防火墻可以把平安信任網(wǎng)絡(luò)和非平安網(wǎng)絡(luò)進(jìn)行隔離，并供應(yīng)對(duì)DDOS和多種畸形報(bào)文攻擊的防守。IPS可以針對(duì)應(yīng)用流量做深度分析與檢測(cè)能力，同時(shí)協(xié)作以精心研究的攻擊特征學(xué)問(wèn)庫(kù)和用戶規(guī)章，即可以有效檢測(cè)并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對(duì)分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理，從而達(dá)到對(duì)網(wǎng)絡(luò)應(yīng)用層的保護(hù)。分區(qū)規(guī)劃、分層部署在網(wǎng)絡(luò)中存在不同價(jià)值和易受攻擊程度不同的設(shè)備，依據(jù)這些設(shè)備的情況制定不同的平安策略和信任模型，將網(wǎng)絡(luò)劃分為不同區(qū)域，這就是所謂的分區(qū)思想。數(shù)據(jù)中心網(wǎng)絡(luò)依據(jù)不同的信任級(jí)別可以劃分為：遠(yuǎn)程接入?yún)^(qū)、園區(qū)網(wǎng)、Internet服務(wù)器區(qū)、Extranet服務(wù)器區(qū)、Intranet服務(wù)器區(qū)、管理區(qū)、核心區(qū)等。分區(qū)之間通過(guò)ACL、防火墻、IPS等進(jìn)行策略訪問(wèn)把握，甚至嚴(yán)格隔離，確保區(qū)域之間的影響最小，區(qū)域之間的流量可控。數(shù)據(jù)中心管理平安數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備的訪問(wèn)和管理必需是可控和平安的?？赏ㄟ^(guò)SSH、SNMPv3訪問(wèn)技術(shù)，設(shè)備配置ACL來(lái)限定只有合法的網(wǎng)段或者IP才能訪問(wèn)設(shè)備的這些管理協(xié)議、遠(yuǎn)程端口鏡像、用戶分級(jí)管理、用戶視圖保護(hù)等手段防止非法用戶篡改設(shè)備配置、獵取管理權(quán)限。第四章數(shù)據(jù)中心規(guī)劃核心層設(shè)計(jì)核心層是全部數(shù)據(jù)流經(jīng)的網(wǎng)絡(luò)層次，為整個(gè)校園信息化平臺(tái)供應(yīng)網(wǎng)絡(luò)匯聚層接入和數(shù)據(jù)交換。核心層的設(shè)計(jì)應(yīng)當(dāng)體現(xiàn)高速、高可用性、高擴(kuò)充性等特點(diǎn)。本次校園網(wǎng)核心設(shè)計(jì)同時(shí)核心交換機(jī)還需要冗余設(shè)計(jì)，包括設(shè)備冗余、協(xié)議冗余，以保證整個(gè)網(wǎng)絡(luò)系統(tǒng)做到無(wú)單點(diǎn)故障。設(shè)備冗余指網(wǎng)絡(luò)設(shè)備上的模塊冗余，如核心交換機(jī)上的電源、超級(jí)引擎等采用雙配置；協(xié)議冗余指利用網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)備份，如使用每個(gè)VLAN獨(dú)立的生成樹(shù)算法，實(shí)現(xiàn)第二層鏈路的快速切換等等。核心交換機(jī)上配置萬(wàn)兆或千兆的光接口以太網(wǎng)模塊，通過(guò)光纖主干連接各區(qū)域匯聚交換機(jī)，構(gòu)成主干網(wǎng)絡(luò)的高速鏈路。同時(shí)核心交換機(jī)還需要供應(yīng)足夠的插槽，以保證網(wǎng)絡(luò)設(shè)備的可擴(kuò)展性及可連續(xù)性。校園方案核心交換機(jī)采用H3CS10500交換機(jī)，以全線速進(jìn)行處理二層、三層、MPLSVPN、組播等各種業(yè)務(wù)流量，并能夠供應(yīng)強(qiáng)大的QoS保障，支持豐富的ACL、策略路由，以及STP/RSTP/MSTP協(xié)議和VRRP、協(xié)議。H3CS10500帶寬把握粒度可達(dá)64Kbps，具備強(qiáng)大的用戶管理、認(rèn)證計(jì)費(fèi)功能，并內(nèi)置IEEE802.1x認(rèn)證服務(wù)器功能。H3CS10500可以供應(yīng)多個(gè)業(yè)務(wù)插槽，滿意今后網(wǎng)絡(luò)擴(kuò)充的需求。隨著二、三期網(wǎng)絡(luò)建設(shè)，可將核心網(wǎng)絡(luò)配置成兩臺(tái)H3CS10500核心交換機(jī)，利用IRF2(第二代智能彈性架構(gòu))技術(shù)實(shí)現(xiàn)核心交換機(jī)虛擬化，將兩臺(tái)獨(dú)立物理設(shè)備，虛擬化為一臺(tái)設(shè)備進(jìn)行業(yè)務(wù)處理和管理，從而提高了核心的處理能力及性能，增加了核心網(wǎng)絡(luò)牢靠性，在摒除傳統(tǒng)冗余熱備技術(shù)中硬件資源閑置鋪張，同時(shí)也避開(kāi)了核心部件單點(diǎn)故障給整個(gè)網(wǎng)絡(luò)平臺(tái)帶來(lái)癱瘓的危險(xiǎn)。通過(guò)在核心交換機(jī)上部署H3CSecbladeIPS（入侵檢測(cè)防守系統(tǒng)）模塊實(shí)現(xiàn)了入侵防守/檢測(cè)、病毒過(guò)濾和帶寬管理等功能，H3CSecbladeIPS是業(yè)界綜合防護(hù)技術(shù)最領(lǐng)先的入侵防守/檢測(cè)系統(tǒng)。通過(guò)深達(dá)7層的分析與檢測(cè)，實(shí)時(shí)阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲(chóng)、木馬、間諜軟件、網(wǎng)頁(yè)篡改等攻擊和惡意行為，并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)應(yīng)用和性能的全面保護(hù)。相對(duì)于盒式IPS，插卡式IPS也具有其優(yōu)點(diǎn)項(xiàng)目盒式IPS插卡式IP2功能4-7層平安防護(hù)4-7層平安防護(hù)部署增加單點(diǎn)故障不增加單點(diǎn)故障實(shí)施簡(jiǎn)潔，轉(zhuǎn)變網(wǎng)絡(luò)架構(gòu)簡(jiǎn)潔，不轉(zhuǎn)變網(wǎng)絡(luò)架構(gòu)維護(hù)簡(jiǎn)潔，維護(hù)獨(dú)立設(shè)備簡(jiǎn)潔，與原有設(shè)備統(tǒng)一管理處理效率低，延時(shí)大高，延時(shí)小牢靠性低，單鏈路無(wú)法保證牢靠性高，單鏈路也可保障牢靠性接入層設(shè)計(jì)接入層處在網(wǎng)絡(luò)末端，進(jìn)行終端的接入與業(yè)務(wù)的接入。接入層是技術(shù)最豐富、對(duì)成本最敏感的區(qū)域，當(dāng)前的局域網(wǎng)接入層可供選擇的技術(shù)主要有100M和1000M以太網(wǎng)技術(shù)等。在局域網(wǎng)接入層，應(yīng)能夠最大限度滿意IP業(yè)務(wù)的接入和承載，有利于節(jié)省網(wǎng)絡(luò)投資和提高資源利用率。而隨著技術(shù)的不斷進(jìn)展與用于業(yè)務(wù)類型的不斷簡(jiǎn)潔，目前對(duì)網(wǎng)絡(luò)接入層所能供應(yīng)的功能與性能均發(fā)生了變化，如通過(guò)接入層交換機(jī)即對(duì)用戶進(jìn)行平安性要求，通過(guò)VLAN技術(shù)在接入層即進(jìn)行二層廣播風(fēng)暴的隔離，有效抵御ARP病毒攻擊對(duì)網(wǎng)絡(luò)的影響。在核心層下依據(jù)需要接入的信息點(diǎn)的數(shù)量，配置多臺(tái)二層交換機(jī)作為接入交換機(jī)，負(fù)責(zé)為各樓層的網(wǎng)絡(luò)用戶接入供應(yīng)1000M帶寬。接入層交換機(jī)在進(jìn)行級(jí)聯(lián)后通過(guò)千兆端口上聯(lián)到所在網(wǎng)絡(luò)區(qū)域的匯聚層交換機(jī)。接入層是網(wǎng)絡(luò)的最邊緣部分，直接連接網(wǎng)絡(luò)用戶終端。應(yīng)當(dāng)有較為完善的功能，如較強(qiáng)的QoS能力，確定的平安把握能力，支持VLAN技術(shù)等。建議采用H3CE系列教育網(wǎng)專用交換機(jī)，因?yàn)榇讼盗薪粨Q機(jī)充分考慮到校園網(wǎng)絡(luò)應(yīng)用情況，保證網(wǎng)絡(luò)的牢靠性、平安性、可擴(kuò)充性等因素。支持特有的ARP入侵檢測(cè)功能，可有效防止黑客或攻擊者通過(guò)ARP報(bào)文實(shí)施校園網(wǎng)常見(jiàn)的“中間人”攻擊，對(duì)不符合DHCPSnooping動(dòng)態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報(bào)文直接丟棄。同時(shí)支持IPSourceCheck特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來(lái)的DoS攻擊。H3CE系列教育網(wǎng)交換機(jī)是H3C公司為滿意教育行業(yè)構(gòu)建高平安、高智能網(wǎng)絡(luò)需求而特地設(shè)計(jì)的新一代以太網(wǎng)交換機(jī)產(chǎn)品，在滿意校園網(wǎng)高性能、高密度的接入的基礎(chǔ)上，供應(yīng)更全面的平安接入策略和更強(qiáng)的網(wǎng)絡(luò)管理維護(hù)易用性，是抱負(fù)的校園網(wǎng)接入層交換機(jī)。模塊化多業(yè)務(wù)部署隨著網(wǎng)絡(luò)技術(shù)的進(jìn)展，現(xiàn)在的網(wǎng)絡(luò)應(yīng)用也越來(lái)越豐富，隨之而來(lái)的就是各種網(wǎng)絡(luò)問(wèn)題的層出不窮，不僅僅是各種DDoS攻擊、間諜軟件、網(wǎng)游木馬、流氓軟件、病毒郵件在不斷肆虐，還有性質(zhì)極為嚴(yán)峻的網(wǎng)絡(luò)銀行釣魚(yú)和針對(duì)性很強(qiáng)的木馬、蠕蟲(chóng)病毒的不斷毀滅。因此，如何保證網(wǎng)絡(luò)系統(tǒng)的平安性已經(jīng)成為網(wǎng)絡(luò)管理人員最為頭痛和最為麻煩的問(wèn)題。可以確定的說(shuō)，目前用戶對(duì)于網(wǎng)絡(luò)服務(wù)的要求已經(jīng)大大提高了，不但要求滿意大流量的數(shù)據(jù)傳輸，還要求網(wǎng)絡(luò)不能毀滅中斷或故障。要想把平安技術(shù)融于網(wǎng)絡(luò)，平安技術(shù)必需和高速的網(wǎng)絡(luò)設(shè)施相匹配；同時(shí)，還要簡(jiǎn)化網(wǎng)絡(luò)拓?fù)?，?jiǎn)化對(duì)網(wǎng)絡(luò)的管理，便利網(wǎng)絡(luò)用戶的使用，以確保應(yīng)用和互聯(lián)的網(wǎng)絡(luò)平安。在網(wǎng)絡(luò)中，普遍都是通過(guò)使用高性能交換機(jī)來(lái)實(shí)現(xiàn)互聯(lián)互通。盡管如此，有了交換機(jī)的高性能，也不能確保網(wǎng)絡(luò)沒(méi)有平安風(fēng)險(xiǎn)的存在。內(nèi)部網(wǎng)絡(luò)需要平安的接入和平安的防護(hù)。那么，如何在高性能的網(wǎng)絡(luò)中，嵌入并融合平安技術(shù)，這是一個(gè)熱門(mén)課題。對(duì)于這個(gè)課題，各家都有不同的解決之道。H3C基于多年來(lái)在網(wǎng)絡(luò)產(chǎn)品和平安產(chǎn)品研發(fā)方面的深厚積累和先進(jìn)技術(shù)，創(chuàng)新性的在高性能的萬(wàn)兆核心交換機(jī)中推出了包括FW插卡、IPS插卡、SSLVPN、LB（負(fù)載均衡）等7種業(yè)務(wù)插卡。全部SecBlade插卡均可以部署在H3C的中高端設(shè)備中，在網(wǎng)絡(luò)基礎(chǔ)平臺(tái)上實(shí)現(xiàn)高性能的平安保障。在高性能的萬(wàn)兆核心交換機(jī)中直接嵌入SecBlade平安模塊的做法，這對(duì)于H3C來(lái)說(shuō)，不僅是一種平安理念，更是從核心交換就實(shí)施平安措施的一種創(chuàng)新。創(chuàng)新之處在于：要想把平安技術(shù)融于網(wǎng)絡(luò)，平安技術(shù)必需和高速的網(wǎng)絡(luò)設(shè)備相匹配；同時(shí)，還要簡(jiǎn)化網(wǎng)絡(luò)拓?fù)洌?jiǎn)化對(duì)網(wǎng)絡(luò)的管理，便利網(wǎng)絡(luò)用戶的使用，以確保應(yīng)用和互聯(lián)的網(wǎng)絡(luò)平安。模塊化多業(yè)務(wù)部署作為業(yè)界主流方案，應(yīng)用廣泛、優(yōu)勢(shì)明顯。插卡式是業(yè)內(nèi)成熟、穩(wěn)定、高端的平安網(wǎng)絡(luò)解決方案，業(yè)內(nèi)主流廠商思科、Juniper、H3C等都供應(yīng)并推舉使用插卡式解決方案，在全球各大運(yùn)營(yíng)商、行業(yè)都有廣泛應(yīng)用；并且國(guó)內(nèi)有友商也在樂(lè)觀進(jìn)行相關(guān)產(chǎn)品的規(guī)劃和開(kāi)發(fā)，在緊追業(yè)界主流的技術(shù)。本次在核心S10500上配置IPS入侵檢測(cè)，無(wú)線把握器模塊等業(yè)務(wù)板卡以削減用戶設(shè)備數(shù)量，保護(hù)用戶投資，同時(shí)插卡式內(nèi)置的優(yōu)勢(shì)在于：高牢靠性：降低單點(diǎn)故障1、在設(shè)備內(nèi)部，