大學教育云數據中心設計方案

第 頁 共 28 頁 1 大學教育云數據中心設計方案 1. 需求概述 湖南開放大學（湖南廣播電視大學）是湖南省教育廳直屬的，運用廣播、電視、文字教材、音像教材、計算機課件和網絡等多種媒體，面向全省開展遠程開放教育的新型高等學校， 1979 年創(chuàng)辦。學校行政上由省教育廳管理，教學業(yè)務上接受中央廣播電視大學的指導，實行統(tǒng)籌規(guī)劃、分級辦學、分級管理、分工協作的體制。 省校下設市州和行業(yè)、企業(yè)分校 21 所，縣級電大教學站點 148 個，形成了遍布全省城鄉(xiāng)的電大教育網絡。 2003 年 7 月，經省政府批準，利用校本部資源成立了湖南網絡工程職業(yè)學院 ，舉辦高等職業(yè)教育。湖南廣播電視大學、湖南網絡工程職業(yè)學院實行兩塊牌子、一套人馬。目前省校校園占地面積 平方米，建筑面積 平方米 ，固定資產 中教學儀器設備近 5000 萬元。省校和各市州分校均建成校園網，建立了多媒體網絡教室、安裝了電大在線教學平臺、 星接收系統(tǒng)和雙向視頻會議系統(tǒng)，實現實時、非實時交互式教學。目前省校的校園網已升級改造成萬兆網，省校與分校間即將實現 100 我校校園網一期始建于 1998 年，于 1999 年 6 月 18 日接通中國教育和科研計算機網，當時網 絡結構以 155M 主干， 10M/100M 到桌面，光纖連接各樓棟的校園綜合網絡系統(tǒng)。網絡覆蓋了學校各主要教學、辦公場所， 初步形成了一個信息化 校園 環(huán)境。 此后，為了滿足開放教育試點工作的需要，建設了“電大在線”硬件平臺和全省 視頻會議系統(tǒng) 。 2004 年 6 月我校啟動了二期校園網全面升級改造工程，完成了 原有的 向 萬兆 以太網移植改造 。 通過簡單的網絡結構，建立起 了 一個可進行數據、語音、視頻和圖像實時傳輸的 絡系統(tǒng) 。二期校園網改造采用兩臺銳捷多業(yè)務萬兆交換機 6810E 作為核心層交換機，銳捷 3550為匯聚層交換機，銳捷 2100 系列作為接入層交換機，初步構成了雙核心星形分布的拓撲格局。 第 頁 共 28 頁 2 原有網絡基礎設施存在的主要問題有： 1現有網絡設施無法支撐學校當前的業(yè)務需求 現有網絡設施原來的設計主要是滿足校園用戶對外網的訪問，隨著學校業(yè)務的不斷擴張，本次改造后的網絡設施主要承擔滿足遍布全省的學習者對學校教學資源訪問的任務，訪問對象網絡條件復雜，且有大量的外網視頻訪問要求。服務器等基礎設施均已處于超負荷和老化狀態(tài)， 04 年以前購置的 18 臺服務器均已老化，其中硬盤損壞嚴重，電氣性能下降。有的業(yè)務系統(tǒng)是使用帶病服 務器運行，隨時可能導致系統(tǒng)崩潰。分散在其他處室的服務器如教務處學籍管理、考試管理、圖書館的服務器更加老化，已經成為影響學校業(yè)務工作的嚴重隱患。雖然后來為干部在線、繼續(xù)教育培訓項目添置了幾臺服務器，均為專用設備，無法實現資源共享。此外，和校內各結點的匯聚層交換機和接入層的交換機也年久失修，故障頻仍，導致信息不暢。開放教育新平臺即將部署、湖湘學習廣場的管理系統(tǒng)開發(fā)、干部在線進入擴展期、國家數字化資源庫項目等新項目上馬，信息化基礎設施建設已經刻不容緩。 2信息化基礎設施架構技術落后，設備資源不能有效利用 學校二 期校園網改造采用簡單以太網三層交換結構是受制于當時的網絡技術水平。學校雖有 700M 帶寬（電信 3 條 100M、聯通 100M、移動 100M、教科網 100M、省有線 100M）卻因為沒有鏈路負載均衡，無法滿足某項業(yè)務在某一時段較高的帶寬要求。服務器數量嚴重第 頁 共 28 頁 3 不足，一有新任務就要拆東墻補西墻，開發(fā)新項目就要刪除一些原有服務器中的信息，騰出空間進行項目開發(fā)，導致一些重要信息被丟失。目前系統(tǒng)中只有 20T 的 貯，遠遠無法滿足學校資源存貯的要求。按照原有網絡結構，學校有的服務器負載十分繁重，有的服務器卻相對空閑，瓶頸現象十 分突出。 3網絡監(jiān)控和管理一的缺乏監(jiān)控和管理手段缺乏，網絡安全存在隱患 學校二期校園網改造時，網絡管理功能設計十分薄弱。網絡監(jiān)控管理、身份認證系統(tǒng)、流量控制系統(tǒng)、運行環(huán)境監(jiān)控、應用防火墻等都需要重新建設。 根據建設開放大學的需要，學校的應用業(yè)務系統(tǒng)將采用私有云與共有云相結合的方法來解決大規(guī)模用戶訪問所需的并發(fā)訪問，帶寬資源要求高的視頻訪問將主要依托社會公共云資源的基礎設施，學校教育云網絡數據中心必須按照其所承載核心數據和信息管理需求，運用虛擬化技術，朝私有云的方向來建設，以滿足最靈活、最高效和最經濟技術路 線來建設，建設技術一流的信息化基礎設施，滿足一流開放大學建設的需要。 2. 數據中心設計概要 體要求 本項目為教育云架構的網絡數據中心建設，主要服務湖湘學習廣場的學分銀行、國家數字化學習資源中心湖南中心資源存儲和管理、學校教學資源總庫、學校數字圖書館、培訓學院和網絡學院的各類教育教學平臺和管理系統(tǒng)在線學習和考試，滿足學校 務交互需求。一方面大量的業(yè)務系統(tǒng)需要對數據進行共享，另一方面由于數據的重要性，又需要相互隔離，要求對接入訪問有嚴格的身份認證和權限控制。 總體來說，學校數據中心要求網絡架構清晰，同時具有 良好的可靠性、安全性、易管理性和擴展性。 建設目標： 本次湖南開放大學數據中心建設屬于開啟湖南開放大學教育云建設的第一步，主要由虛擬化網絡系統(tǒng)建設、虛擬化服務器系統(tǒng)建設、統(tǒng)一存貯系統(tǒng)建設三部分構成，其中虛擬化網絡建設包括：網絡核心建設，網絡匯聚建設，網絡安全建設，網絡運維系統(tǒng)建設，網絡出口系統(tǒng)建設。本次建設要求技術架構先進、按需滿足、可無限擴充的技術路線，徹底改善在傳統(tǒng)構架的網絡中進行業(yè)務擴容、遷移或增加新的服務功能越來越困難的問題。通過使用虛第 頁 共 28 頁 4 擬化技術，采用云模式構架，增加虛擬化核心交換機、虛擬化服務器設備 和虛擬化統(tǒng)一存儲系統(tǒng)，建設湖南開放大學教育私有云。教育云數據中心建成后，所有的服務都在數據中心運行，新增的業(yè)務需求都由數據中心統(tǒng)一分配網絡、服務器、存儲資源，學校提供統(tǒng)一的運行環(huán)境。滿足湖湘學習廣場門戶、社區(qū)教育網站、干部在線等大規(guī)模訪問用戶的訪問需求，成為學校管理信息系統(tǒng)、電大開放教育平臺、高職教育平臺、國家數字化學習資源中心、學校資源中心的數據中心。建設的最終目標是構建全省開放大學系統(tǒng)的教育云，本次建設省校本部的網絡數據中心。 湖南開放大學（籌）教育云拓撲結構 本次建設分層分區(qū)設計 學校數據中心為學 校終身教育的湖湘學習廣場建設（終身教育學習平臺）、大學管理信息系統(tǒng)建設（ 新型開放教育教學平臺建設、國家數字化學習資源中心建設、信息化基礎設施建設等服務，以及各業(yè)務的安全隔離控制。 按照網絡核心、匯聚和接入的模型對學校網絡系統(tǒng)進行劃分，從而完成用戶接入層面與數據中心的數據接入層面的分層設計。 根據網絡實現的功能，從數據中心所提供業(yè)務的獨立性和互訪關系綜合考慮，根據業(yè)務相關性和數據流訪問控制的要求，將數據中心網絡根據業(yè)務和功能劃分為以下幾個個功能第 頁 共 28 頁 5 區(qū)： 核心業(yè)務區(qū)：學校核心業(yè)務數據（ 終身教育學習平臺、國 家數字化學習資源中心等 ） 為辦公提供基礎 外聯區(qū)：與分?；蚱渌饴搯挝换ピL接口 互聯網區(qū)：門戶網站和遠程辦公接入出口、公共服務 網管維護區(qū)：網絡的管理控制中心 省校教育云網絡數據中心拓撲圖 3. 數據中心網絡設計 湖 南開放大學下設市州和行業(yè)、企業(yè)分校眾多，而作為校園網運轉核心之一的 統(tǒng)訪問量巨大，為滿足學校業(yè)務擴張和數據大集中的發(fā)展需要，數據中心的建設中必須要考慮到系統(tǒng)的容量、性能、擴展性、安全性和易管理等諸多因素。因此，在數據中心的建設中，采用業(yè)界通用的交換網絡設 計，具有性能高、吞吐量大，可靠性高，擴展性好等優(yōu)勢。 設計要求 分校網絡湖南開放大學數據中心結構服 務 器區(qū)域S e r v e r 交 換 機接入交 換 機 擬 服 務 器1 0 / 1 0 0 / 1 0 0 0 務 器統(tǒng) 一存 儲1 0 G E 傳統(tǒng)高性能服 務 器高速存儲低速存儲中速存儲備份存儲原有存儲 原有存儲傳統(tǒng) 存 儲 網 絡虛擬化核心交換系統(tǒng)10 萬兆存 儲交 換 機網 絡 運 維 中心 核心交 換 區(qū)辦 公區(qū) 分校網 絡 接入區(qū)廣域網接入區(qū)1 0 /1 0 0 /1 0 0 0 ，承載著學校的核心業(yè)務，供學校內部數據交換，具有系統(tǒng)復雜、重要性極高、訪問頻繁、業(yè)務流量大、安全要求高、管理控制策略復雜等諸多特點，因此，數據中心網絡的設計必須要做到： 1、 應用系統(tǒng)高性能： 10 萬兆核心、無收斂、吞吐量高、快速響應、服務器負載均衡，確保大流量突發(fā)情況下不丟包； 2、 系統(tǒng)高可用：網絡采用全冗余設計，對各種故障和誤操作具有良好的魯棒性； 3、 網絡高安全：對各種訪問做到精細控制，防止各種非法和越權訪問； 4、 易于管理：各種控制和隔離策略要靈活部署，做到對網絡設備、服務器系統(tǒng)、存儲等系統(tǒng)的全面管理，同時管理數據流與業(yè)務數據流保持隔離。 靠性和自愈能力 鏈路冗余 在主干連接 上具備 可靠的線路冗余方式。采用負載均衡的冗余方式，即通常情況下兩條連接均提供數據傳輸，并互為備份。主線路 可實時、自動的 切換到備份線路 ,而不影響業(yè)務應用 。這種高速的網絡自愈特性應可以保證不會引起 由的重新計算，不會引起業(yè)務的瞬間質量惡化，更不會引起業(yè)務的中斷。 模塊冗余 主干設備的所有模塊和環(huán)境部件具備 1+1 或 1： N 熱備份的功能，切換時間 小于 3 秒。所有模塊具備熱插拔的功能。系統(tǒng)具備 上的可用性。 每臺核心交換機要求配置至少 4 塊獨立的交換網板（非主控或板卡集成）。 設備冗余 提供由兩臺或兩臺以上設備組成一個虛擬設備的能力。當其中一個設備因故障停止工作時，另一臺設備自動接替其工作，并且不引起其他節(jié)點的路由表重新計算，從而提高網絡的穩(wěn)定性。以保證大部分 用不會出現超時錯誤。 路由冗余 網絡的結構設計應提供足夠的路由冗余功能，在上述冗余特性仍不能解決問題時，數據流應能尋找其他路徑到達目的地址。 第 頁 共 28 頁 7 塞控制與服務質量保障 擁塞控制和 服務質量保障 ( 企業(yè)信息網關注 的重要品質。由于接入方式、接入速率、應用方式、數據性質的豐富多樣，網絡的數據流量突發(fā)是不可避免的，因此，網絡對擁塞的控制和對不同性質數據流的不同處理是十分重要的。 業(yè)務分類 網絡設備應支持 6 8 種業(yè)務分類 (當用戶終端不提供業(yè)務分類信息時，網絡設備應根據用戶 的 址 、應用類型、流量大小等自動對業(yè)務進行分類。 接入速率控制 接入本網絡的業(yè)務應遵守其接入速率承諾。超過承諾速率的數據將被丟棄或標以最低的優(yōu)先級。 隊列機制 具有先進的隊列機制進行擁塞控制，對不同 等級的業(yè)務進行不同的處理，包括時延的不同和丟包率的不同。 先期擁塞控制 當網絡出現真正的擁塞時，瞬間大量的丟包會引起大量 據同時重發(fā)，加劇網絡擁塞的程度并引起網絡的不穩(wěn)定。網絡設備應具備先進的技術，在網路出現擁塞前就自動采取適當的措施，進行先期擁塞控制，避免瞬間大量的丟包現象。 資源預留 對非常重要的特殊應用，應可以采用保留帶寬資源的方式保證其 絡的擴展能力 網絡的擴展能力包括設備交換容量的擴展能力、端口密度的擴展能力、主干帶寬的擴展，以及網絡規(guī)模的擴展能力。 交換容量擴展 交換容量具 備在 規(guī)劃業(yè)務水平 上 保證 4 8 倍容量的能力，以適應 業(yè)務急速膨脹的現實。 端口密度擴展 設備的端口密度應能滿足網絡擴容時設備間互聯的需要。 第 頁 共 28 頁 8 主干帶寬擴展 主干帶寬具備高帶寬擴展能力，以適應 業(yè)務急速膨脹的現實。 網絡規(guī)模擴展 網絡體系、路由協議的規(guī)劃和設備的 P 路由處理能力 ，在網絡節(jié)點數目上應能滿足 3 5 年的擴展要求 。 信協議的支持 網絡通信協議 以支持 P 協議為主，兼支持 協議。設備商應提供服務營運級別的網絡通信軟件和網際 通用 操作系統(tǒng)。 域內路由協議 支持 多種國際標準的路由協議。根據 網絡工程的 規(guī)模 和 需求， 采用 由協議 來進行規(guī)劃建設 。 并 采取合理的區(qū)域劃分和路由規(guī)劃來保證網絡的穩(wěn)定性。 域間路由協議 支持 標準的域間路由協議 ,保證與 可與廣域網采用多種方式進行 可靠互聯。 高網絡整體交換性能，在無連接的 境下實現面向連接的效果， 以支持 能，有效隔離不用業(yè)務網段。網絡支持 準 ,具備 3 層、 2 層 功能，可以在與未來湖南開放大學 絡無縫對接。 絡交 換設備設計需求 核心層 核心層提供多個數據中心匯聚模塊互聯，并連接園區(qū)網核心、互聯網出口和外聯單位；具有高交換能力和突發(fā)流量適應能力，無阻塞、低收斂或無收斂，采用多條萬兆鏈路捆綁互聯，同時核心交換機要求多匯聚模塊擴展能力，高性能要求 40路捆綁。采用多級的交換網架構 ,交換網板必須與主控分離，獨立于主控和線卡。同時核心層設備必須有大量成功部署在大型數據中心的應用案例，以保證設備的可用性。要求核心交換機能力支持 16個萬光端口以上的業(yè)務插卡模塊 , 配置虛擬化技術，要求兩臺物理設備的虛擬為一臺邏輯設第 頁 共 28 頁 9 備， 支持統(tǒng)一的管理、跨設備鏈路聚合，要求提供虛擬化技術的用戶使用報告至少兩份，至少提供一個本地可參觀的虛擬化技術應用樣板點；交換容量 3轉發(fā)率 950務單板槽位數 8 個；要求提供冗余主控、冗余電源、滿配交換網板；支持基于端口的 大 4096 ，支持 支持 持 議，符合 準。支持 v2/協議；支持 持協議。支持靜態(tài)路由、 1/持策略路由和 支持 態(tài)路由， 支持 策略路由和 持 過渡技術，包括： 工隧道、 6道、 道、道等。板卡可以實現分布式（非集中式）二、三 層 持跨域 括 種方式。 匯聚層 為服務器群（ 外提供高帶寬出口；要求提供高密度 10口實現接入層互聯；作為應用服務器網關層，同時提供擴展業(yè)務模塊，如萬兆防火墻模塊、流量清洗模塊，實現網絡的訪問控制、 御、異常檢測和應用加速和負載均衡等高級功能。 匯聚層與服務器群根據應用特點進行數據中心區(qū)域劃分，形成功能分區(qū)，可靈活擴展，又可滿足業(yè)務系統(tǒng)獨立和隔離的需求。交換容量 600G，包轉發(fā) 率 360統(tǒng)可提供萬兆接口 24 個，支持 配萬兆多模光模塊，提供 4 個千兆電接口，支持內置電源冗余，配置雙冗余電源；支持跨設備鏈路聚合，單一 理，虛擬化后所有設備路由表項統(tǒng)一，未來可以通過虛擬化技術實現多臺匯聚虛擬成一臺大匯聚，支持 態(tài)路由、 1/V2/持策略路由。 接入層 支持高密度萬兆接入；接入總帶寬和上行帶寬存在收斂比、線速兩種模式；基于機架考慮， 1具靈活部署能力；交換容量 240G、包轉發(fā)率 130有可用端口線速轉發(fā)，可提供 48 個千兆電接口，至少 4 個千兆 口， 2 個擴展槽位，最大能擴展 4 個萬兆接口，本次配置 2 個萬兆接口， 1 個萬兆多模模塊；支持 持 層路由功能；支持跨設備鏈路聚合功能；支持 證和集中式 址認證；支持 止欺騙的 務器；支持 侵檢測功能；支持 文限速功能；支持 1/3、 通過命令行、 文圖形化配置軟件等方式進行配置和管理，支持虛 電纜檢測功能和單向鏈路檢測；支持 括 播地址配第 頁 共 28 頁 10 置， 居發(fā)現協議（ 持堆疊，更具擴展能力；上行雙鏈路冗余能力。 圖 數據中心網絡分層架構 據中心網絡出口設計 根據湖南開放大學的數據中心的訪問需求、業(yè)務系統(tǒng)類型、數據流特點，將數據中心出口分為三部分進行設計： 1、 互聯網區(qū) ：提供學校的網絡出口：學校 站系統(tǒng)、 終身教育的湖湘學習廣場（終身教育學習平臺）、新型開放教育教學平臺、國家數字化學習資源 中心 、學校教師通過互聯網接入的移動辦公、通過 外的業(yè)務交互等；出口路由器與 干網直連，需要高帶寬接口，同時提供較高的接口密度和匯聚能力。 2、 外聯區(qū) ：與地州市和行業(yè)分校的業(yè)務互聯功能區(qū)、視頻會議等；一般通過專線或行接入匯聚。 3、 內網區(qū) ：包括 大學管理信息系統(tǒng)建設（ 、學分銀行系統(tǒng)、教務管理系統(tǒng)、財務系統(tǒng)等，可根據具體的應用做詳細的服務器群劃分。 第 頁 共 28 頁 11 聯網區(qū) 互聯網區(qū)作為湖南開放大學的數據中心出口，其作用主要有： 學校面向公眾的展示平臺 站（前端平臺）包括： 終身教育的湖湘學習廣場（終身教育學習平臺）、新型開放教育教學平臺、國家數字化學習資源中心等 。設計訪問量在 50 萬人并發(fā)訪問； 公網訪問電子圖書館系統(tǒng)； 出差辦公接入、 統(tǒng)訪問：主要通過 入； 為滿足 域訪問需要，提高網絡和應用系統(tǒng)安全性，將 問的服務器及應用系統(tǒng)規(guī)劃在 域，下掛在 域， 域部署 備、 火墻，對各種訪問進行控制，同時對各種 擊、嗅探、掃描、欺騙進行防御，進行病毒過濾，對 問、廣域網接入進行應用加速。 域需要部署出口鏈路負載均衡系統(tǒng)、 防火墻設備各兩臺，杜絕單點故障；部署 備，實現安全接入校園網絡；在 務出口部署應用加速設備加速，加速應用服務。 1、出口鏈路負載均衡系統(tǒng)： 采用多核或多 構，如為多核， 數目 8 個；如為多 構， 量不少于 2 個；固定接口： 10/100/1000 以太網口 16 個；千兆 口 4 個；吞吐量 4大并發(fā)連接數 200 萬；支持真實服務器個數 16384；支持健康檢測個數 16384； 配置 機熱備，支持設備內部以及設備之間的雙機熱備； 塊發(fā)生故障時，數據流能夠避開故障模塊，業(yè)務保持正常轉發(fā)；支持 向鏈路負載均衡；支持鏈路的失效切換；支持無限 路徑鏈路健康檢查方式；支持靜態(tài)地址列表匹配，要求基于電信 /網通 +聯通 /移動 +鐵通等運營商的 址庫；支持智能 析， 512 條 項；支持負載均衡算法：輪詢、加權輪詢、最小連接、加權最小連接、隨機、加權隨機、源地址的地址 容、 持 多種方式的健康檢測技術；支持和網絡無縫融合，可以通過網絡設備進行統(tǒng)一管理；支持服務器負載均衡；支持防火墻負載均衡；能夠同時支持服務器和防火墻負載均衡；支持多鏈路負載均衡；支持 式的服務器負載均衡；支持 式的服務器負載均衡；支持路由模式的防火墻負載均衡；支持透明模式的防火墻負載均衡；支持在線部署和旁掛部署模式 2、應用加速設備 第 頁 共 28 頁 12 采用的主要技術包括： 化、內容壓縮，可以實現高峰負荷保護等附加功能。各項功能均采用專門的硬件芯片處理，因此混合使用各種功能時， 對設備的性能、功能沒有影響。 多核或多 構，如為多核， 數目 8 個；如為多 構， 量不少于2 個；固定接口： 10/100/1000 以太網口 16 個；千兆 口 4 個；吞吐量 4大并發(fā)連接數 200 萬；支持真實服務器個數 16384；支持健康檢測個數 16384 配置 機熱備，支持設備內部以及設備之間的雙機熱備；鏈路負載均衡功能發(fā)生故障時，數據流能夠避開故障，業(yè)務保持正常轉發(fā)；支持基于 各種加密算法的 速功能；支持負載均衡 算法：輪詢、加權輪詢、最小連接、加權最小連接、隨機、加權隨機、源地址 的地址 容、 持 多種方式的健康檢測技術；支持和網絡無縫融合，可以通過網絡設備進行統(tǒng)一管理；支持服務器負載均衡；支持防火墻負載均衡；能夠同時支持服務器和防火墻負載均衡；支持 式的服務器負載均衡；支持 式的服務器負載均衡；支持路由模式的防火墻負載均衡；支持透明模式的防火墻負載均衡；支持在線部署和旁掛部署模式 3、 統(tǒng)： 獨立多核硬 件設備，提供 4 個百兆電口，可擴展支持 2 個千兆端口；可滿足至少 300用戶同時在線； 密性能不小于 120持包括 免客戶端接入方式；支持 字簽名算法、 要算法、支持 3加密算法；支持客戶端退出緩存清除功能，可清除網頁緩存、 載程序、配置文件等信息；支持本地認證、 證、雙因子證書認證、 證、 證等多種認證方式；支持瀏覽器和操作系統(tǒng)類型、版本、補丁等主機安全狀態(tài)檢查； 要提供強大的 入侵檢測和防御能力，并能與網絡管理平臺做到聯動，避免各種意欺騙、端口掃描等惡意行為的影響； 防火墻：需要提供靈活的報文準入過濾、基于狀態(tài)的安全檢測，提供病毒防御和郵件掃描等高級應用層功能。 外聯區(qū) 外聯區(qū)主要為與地州市和行業(yè)分校的業(yè)務互聯功能區(qū)、視頻會議等；一般通過專線或行接入匯聚。對內與數據中心核心互聯，進行業(yè)務的交互處理。除部署交換機和服務器外，該區(qū)域需要部署出口防火墻與 少一臺。 第 頁 共 28 頁 13 內網區(qū)（各類教學業(yè)務系統(tǒng)服務后端網絡） 流量特點 內網區(qū)的主要出口流量包括：學校內部 統(tǒng)訪 問； 訪問 ,如 務器 ,校教務等服務數據同步；校園一卡通；學校 維管理；在這個區(qū)域主要部署防火墻。 據中心安全設計 防火墻 根據湖南開放大學的網絡結構，在湖南開放大學數據中心進行如下防火墻部署設計： 各個不同區(qū)域的安全隔離 互聯網出口、廣域網出口安全控制：我們在學?；ヂ摼W出口，以及與下級分校廣域網連接處部署防火墻，兩臺防火墻與核心交換機以及出口路由器之間采取全冗余連接，保證系統(tǒng)的可靠性，同時設置兩臺防火墻為雙機熱備方式，在實現安全控制的同時保證線路的可靠性； 業(yè)務系統(tǒng)安全隔離， 部各業(yè)務系統(tǒng)彼此之間安全隔離：我們學校數據中心核心層交換機上部署高性能的防火墻插卡，至少每個業(yè)務系統(tǒng)保證 1G 以上安全轉發(fā)的吞吐量。同時采取線路全冗余和設備雙機熱備方式，以保證數據中心的高可靠性。 防火墻需求 要求為獨立萬兆防火墻或集成在核心交換機中 獨立防火墻必須為中國移動或者中國電信 10G 以上防火墻入圍產品 獨立防火墻必須提供 8 千兆電口和 4 個千兆光口，可以擴展 8 個萬兆口 支持無限制用戶數 防火墻吞吐量 10 頁 共 28 頁 14 并發(fā)連接數 200 萬 每秒 新建連接數 10 萬個 工作模式：路由和透明 支持最大虛擬防火墻數 256,本次要求配置至少 250 個虛擬防火墻 管理：免費圖形化管理軟件，提供支持 基于 理界面 路由協議支持 靜態(tài) 故障切換支持： 除了支持路由模式、透明模式、 式外，還支持動態(tài)、靜態(tài)的網絡地址轉換 對 音和視頻有良好支持，如 支持多媒體應用的特性： 2 版本； 可以控制與某些襲擊類型相關的網絡行為，比如： 虛擬重組； 制； 擋； 濾； 濾 支持防攻擊類型為 片、 等。 支持 支持 務器和 繼，支持 向 端口重定向。 支持向 統(tǒng)報警。 支持 基于 程管理，支持 本。 入侵防御系統(tǒng)部署 在湖南開放大學數據中心網絡安全建設中，在如下安全區(qū)域部署入侵防御系統(tǒng)以實現對本區(qū)域的深度檢測及防御，從而杜絕病毒、協議型攻擊。 （ 1） 在互聯網出口、廣域網出口部署 內外網交互的數據進行深度防御； （ 2） 在 保業(yè)務系統(tǒng)不受其他安全區(qū)域的應用層威脅影響； （ 3） 在 署 免來自于分校網絡可能存在的威脅擴散。 第 頁 共 28 頁 15 基本硬件配置要求 1） 備基于多核硬件平臺，非 件平臺，需提供多核 稱和型號。 2） 要求為獨立入侵防御設備或集成在核心交換機中； 3） 備提供獨立的管理網口，實現安全的帶外管理，且管理網口必須為10/100M/1000M 自適應以太電口。 4） 備提供 1+1 冗余電源，電源支持熱插拔。 5）提供不少于 8 個千兆電口， 12 個千兆光口； 入侵防御功能指標要求 1）支持深入七層的分析檢測技術，能檢測防范的攻擊類型包括：蠕蟲 /病毒、木馬、后門、 擊、探測 /掃描、間諜軟件、網絡釣魚、利用漏洞的攻擊、 入攻擊、緩沖區(qū)溢出攻擊、協議異常、 逸攻擊等。 2）支持 頻等網絡濫用協議的檢測識別，支持的網絡濫用協議至少包括迅雷、 載協議、多進程下載協議（網絡快車、網絡螞蟻）等 用， 載視頻文件、沸點電視、網絡視頻應用；可在識別的基礎上對這些應用流量進行阻斷 或限流。 3）支持專業(yè)防病毒功能，集成第三方專業(yè)防病毒廠商的專業(yè)病毒庫，提供針對 品的與專業(yè)防病毒廠商的合作證明。 4）支持 濾功能，可以自定義需要過濾的 則， 濾可以基于時間、主機，能夠精細到單一 址。 5）支持 片重組、 重組、會話狀態(tài)跟蹤、應用層協議解碼等數據流處理方式。 6）采用全面深入的分析檢測技術，結合模式特征匹配、協議異常檢測、流量異常檢測、事件關聯等多種技術，能識別運行在非標準端口上的協議，準確檢測入侵行為。 7） 測到攻擊報文或攻擊流量后，支 持阻斷、限流、捕獲原始報文等常規(guī)響應方式。 8） 測到攻擊報文或攻擊流量后，支持隔離、 定向等響應方式，以實現第一時間隔離有安全威脅的主機，需提供配置界面截圖。 9） 測到網絡濫用流量后，支持阻斷、限流的響應方式。 10） 持對不同的網段運用不同的入侵防御策略 11） 以針對不同的 段應用不同的網絡濫用帶寬控制策略。 12） 以針對不同的時間段應用不同的網絡濫用帶寬控制策略。 第 頁 共 28 頁 16 13）可以識別并檢測 特殊封裝的網絡報文。 14）支持特征庫的手動、自動升級，特征庫升級后設備無須重啟即可生效。 15）攻擊特征庫數量 2500+ 16）病毒特征庫數量 8000+ 17）支持的協議識別數量 800+ 備管理功能指標要求 1） 持基于 圖形化管理方式，支持 錄 形管理系統(tǒng)進行管理。 2）不需要部署額外的管理系統(tǒng)，通過基于 圖形化管理方式，即可用普通瀏覽器登錄 備實現完備的單機的設備管理、特征庫自動升級、安全策略管理、攻擊事件統(tǒng)計分析功能，從而簡化單臺或少數幾臺部署時的部署成本和 維護成本。 3）對多臺分布式部署的場景，提供管理軟件實現對多臺分布式部署的 備進行集中管理。 4） 單機管理系統(tǒng)、集中管理系統(tǒng)均支持中文管理界面。 5）支持基于串口、 命令行管理界面。 6）提供全面的系統(tǒng)日志、審計日志功能，日志可導出。 7）支持實時的攻擊事件歸并功能，有效避免事件風暴。 8）支持攻擊事件的 警功能。 9）支持攻擊事件的 送接口。 10）支持攻擊事件統(tǒng)計分析，并可生成圖形化的報表，報表可導出到本地。 11）內置缺省使能的 測策略，支 持策略自定制能力。 12）支持細粒度的特征規(guī)則設置，可以為單條不同的特征規(guī)則設置不同響應方式，包括告警、阻斷、隔離、限流、重定向等。 13）支持攻擊特征庫的手動、自動升級，提供管理界面截圖。 14）支持獨立的病毒特征庫（有別于攻擊特征庫）的手動、自動升級，提供管理界面截圖。 備高可靠性和自身安全性指標要求 1）獨立 備必須提供 1+1 冗余電源，電源支持熱插拔；支持直流電源供電。 2）支持接口同步功能，當 一個接口對上的其中一個接口 時，對應的另一個接口也會自動 。 第 頁 共 28 頁 17 3）支持 二層回退功能，當檢測引擎在極端情況下失效時，設備可回退到二層模式，保證網絡連通。 4）支持掉電保護功能，保證設備掉電時，通過掉電保護功能可保證網絡連通。 5）支持重啟時的保護功能，在設備重啟時，仍可通過掉電保護裝置保證網絡連通。 6）為確保可靠性，掉電保護裝置必須是一個無源設備，提供介紹掉電保護機制的白皮書。 7）為確保可靠性， 備的存儲介質必須不能是機械式硬盤。 8） 備提供獨立的管理網口，實現安全的帶外管理，且管理網口必須為10/100M/1000M 自適應以太電口。 備性能指標要求 1）開啟 略后的吞吐量 2000）并發(fā)連接數 400 萬 3）新建連接數 50 萬 4）數據處理時延 200絡管理與安全體系 1) 為了實現 湖南開放大學 不僅 需要對整網 網絡設備 實現統(tǒng)一管理，實現網絡的拓撲、性能、故障、配置全方位的管理 ，還要能夠實現對存儲系統(tǒng)和網絡系統(tǒng)的統(tǒng)一管理 。 2) 網絡安全從本質上講是管理問題。保證用戶終端的安全、阻止威脅入侵網絡，對用戶的網絡訪問行為進行有效的控制，是保證 學校 網絡安全運行的前提。 3) 對于 學校 的 據公安部門在 2005年頒布了互聯網安全保護技術措施規(guī)定，需要對用戶登錄和退出時間、主叫號碼、帳號、互聯網地址或域名等信息進行保存，能夠記錄并留存用戶使用的互聯網網絡地址和內部網絡地址對應關系，并保留 3個月以上的上網日志信息備查，以便公安機關公共信息網絡安全監(jiān)察部門在需要時可以進行追查。 主要部署流控設備、網絡運維管理設備和數字 第 頁 共 28 頁 18 流量控制與監(jiān)控設備 湖南開放大學數據中心流量控制與監(jiān)控設備，要求采用多核多線程 布式架構設計，保證多業(yè)務可并行運行；獨立設備要求至少提供 12 個千兆端口；可以提供至少 6 對 橋，橋可以捆綁多個接口，內置雙電源，至少提供 3 組光接口橋， 3 組電接口橋，吞吐量 = 4G，并發(fā)會話量 = 200 萬，支持 雷 )、騰訊超級旋風下載協議、 騾 )/ 驢 )、 沸點網絡電視等協議，支持 阿里旺旺等協議，支持 橋語音 ) 、 協議，提供 式的呼叫識別、干擾、阻斷， 支持 ， 支持 支持 智慧 )及 花順 )等， 支持 魔獸世界、 戲、聯眾、新浪游戲大廳等且不少于 30 種，流媒體、 問、 載、網絡管理共不少于 20 種，采用特征庫技術，特征庫升級過程無需重啟、不中斷業(yè)務正常運行，且完成整個升級過程所需時間小于 5 分鐘，特征庫支持手動升級與自動升級，特征庫必須在 網上發(fā)布，平均至少兩周更新一次，以便利于獲取，提供開放端口，可手工定義協議類型，支持與第三方配合，共同開發(fā)特征庫，可導入用戶自行開發(fā)的特征庫，可識別 2000+種應用協議，并可提供詳細列表或者腳本文件，可以識別并檢測 特殊封裝的網絡報文。支持阻斷功能，支持限流功能，支持干擾功能，支持告警功能，可自動學習流量模型來進行策略的調整，支持輸出報表功能，支持基于用戶名、區(qū)域、源 /目的 、時間、應用等綜合任意組合進行控制，支持對用戶 問歷史記錄的查詢審計，包括提供 訪問的用戶名 /站信息、網頁信息、 息、網頁標題、訪問時間等，支持 件信息審計，包括記錄發(fā)件人、收件人、抄送人、暗送人、主題、附件名、時間等，審計系統(tǒng)可接收 志，會話開始時間與結束時間，從而實現直接審計到內部用戶功能，審計信息可通過 出、通過郵件直接發(fā)送，可按時間、地域、用戶名、源 /目的 作、類型等進行查詢，應用流量統(tǒng)計：能夠支持常見應用流量統(tǒng)計，提供對 站綜合分析、 用行為分析、 用行為分析，包括 （ N 為 10100）的柱狀圖、排行列表等，用戶或 用流量區(qū)分 第 頁 共 28 頁 19 網絡統(tǒng)一管理 設計 方案 智能管理平臺實現網絡資源、用戶和業(yè)務的融合管理，提供基本的網絡資源管理、拓撲管理、故障管理、性能管理、用戶管理及系統(tǒng)安全管理，基于 B/S 架構， 采取組件化方式構建網絡管理系統(tǒng)，系統(tǒng) 可以 學校用戶的實際需要擴展 其他 所需要的 業(yè)務 管理 組件 ，不需要更換基本平臺，滿足 多種 管理功能的需要 。 智能管理平臺通過標準 的設備管理協議 實現對 銳捷、 3各主流廠商的數據通信設備管理。 拓撲管理 自動發(fā)現網絡拓撲結構，支持全網設備的 統(tǒng)一拓撲視圖，通過視圖導航樹提供視圖間的快速導航。通過自動發(fā)現可以發(fā)現網絡中的所有設備及網絡結構，并且可以將非 備發(fā)現出來，只要設備可以 即可。同時支持自動的拓撲圖呈現和自定義拓撲。 支持對全網設備和連接定時輪詢和狀態(tài)刷新，實時了解整個網絡的運行情況，并且刷新周期是可定制，同時也支持對多個設備的刷新周期進行批量配置的功能。 故障（告警 /事件）管理 故障管理，即告警 /事件管理，智能管理平臺及其他業(yè)務組件統(tǒng)一的告警中心 。 告警發(fā)現和上報 告警中心可以按收各種告警源的告警事件，包括 設備告警、本級網 管站及下級網管站告警、網絡性能監(jiān)視告警、 網絡 配置監(jiān)視告警、網絡流量異常監(jiān)視告警、終端安全異常告警等；同時通過支持對設備定時 輪詢 ，實現通斷告警、 響應時間告警等， 以告警事件的方式上報給告警中心 。支持告警智能分析，包括告警分類關聯分析、告警多源關聯分析、告警拓撲根源分析、告警網絡影響度分析。 第 頁 共 28 頁 20 性能管理 網管系統(tǒng)提供豐富的性能管理功能，同時以直觀的方式顯示。例如：可以提供折線圖、方圖、餅圖等多種顯示方式并能生成相應的報表。通過性能任務的配置，可自動獲得網絡的各種當前性能數據，并支持設置性能的閾值，當性能超過閾值時， 網絡以告警的方式通知告警中心： 支持能夠對 量等關鍵指標一目了然； 提供各類常用性能指標的缺省采集模板； 支持實時性能監(jiān)視，支持二級閾值告警設置 ,當鏈路或端口的流量超過閾值，系統(tǒng)將會發(fā)送性能告警，使網絡管理人員可以能夠及時了解網絡中的隱患，及時消除隱患。同時為故障定位提供手段； 提供基于歷史數據的分析，為用戶擴容網絡、及早發(fā)現網絡隱患提供保障； 支持餅圖、折線圖、曲線圖等多種圖形方式，直觀地反映性能指標的變化趨勢；提供靈活的組合條件統(tǒng)計和查詢；性能報表支持導出 設備管理 設計 支持設備管理，提供豐富的管理功能。通過面板管理，網絡管理人員可以直觀地看到設備、板卡、端口的工作狀態(tài)，通過設備信息瀏覽監(jiān)視，管理人員可以了解設備的運行情況，實時監(jiān)視 用率、端口利用率等重要信息。同時，提供圖形化的配置方式。 提供完善的網元管理功能，通過逼真的面板圖片，直觀地反映了設備運行情況。 通過面板圖標直觀地反映設備的框、架、槽、卡、風扇、 口等關鍵部件的運行狀態(tài)； 能夠查看、設置設備端口狀態(tài)； 能夠查看路由、 能夠查看端口流量、丟包率、錯包 率等關鍵統(tǒng)計數據； 支持對交換機堆疊能力的管理； 第 頁 共 28 頁 21 通過 支持從設備列表、設備詳細信息、拓撲等多個入口打開設備面板。 設備配置統(tǒng)一管理 提供配置庫管理功能，幫助管理員對設備配置文件形成基線庫，并進行集中管理。 設備配置庫包括配置文件和配置片斷，配置內容可帶有參數，在部署時根據設備的差異設置不同的值。 系統(tǒng)缺省提供常用的配置片斷： 以對其進行復制、導出及部署： 管理員可以從指定配置文件 /片斷導入到配置庫中進行管理 ，也可以從指定設備上讀取當前配置并導入到配置庫中進行管理。 除從設備導入、從文件導入配置庫功能外，管理員可以查看、增加、復制、修改、刪除、導出及部署指定的配置庫中任何配置文件 /片斷。 當網絡部署完畢，管理員可以通過配置庫管理將設備的配置信息保存下來，并進行基線化，這樣當設備配置變化或者需要更新配置時，管理