教育数据中心建设方案.doc
《教育数据中心建设方案.doc》由会员分享,可在线阅读,更多相关《教育数据中心建设方案.doc(22页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、教育新数据中心建设方案目 录1、存在的问题分析3网络与网络安全问题3教育数据中心问题52、解决方案6网络与网络安全问题解决方案6教育城域网升级优化6市教育局办公网络建设7移动用户远程接入9构建新一代教育数据中心9构建新一代教育数据中心技术需求10构建新一代教育数据中心关键技术10教育数据中心架构设计13城域网服务优化17城域网出口链路优化17教育城域网应用加速173、预算清单171、存在的问题分析烟台教育城域网经过三次较大规模的建设,已走在了中国教育信息化的前列,教育城域网成功的组网模式已成为当代教育信息化建设的典范,并得到教育部的大力推广。随着教育信息化的快速发展,应用方式的多样化,我们应看
2、到教育信息化的建设不是简单的网络互联,网络的宽带化,更为重要的是我们的教育要以人为本,要构建以人为本的网络,满足现代教育的多样化需求。目前的教育网络还存在着很多的问题。 教育城域网骨干单核心组网,没有冗余保障烟台教育城域网最近的一次改造于2006年完成,整个教育城域网的核心采用一台思科Cisco7609路由器,13个县市区城域网通过1000M链路连接到7609路由器,另外采用一台华为NE40路由器作为整个教育城域网的出口路由。城域网核心路由器与出口路由器存在单点故障问题,如果其中的一台设备出现故障将导致整个教育城域网无法正常运行;并且,设备的使用期限存着的很大问题,NE40路由器已运行了五年,
3、存在着设备老化问题,7609路由器设备质保期已近期限。 教育城域网络安全问题城域网核心路由器内置防火墙模块存在性能瓶颈问题,随着教育城域网流量的增加,尤其是互联网访问、教学资源库与中小学远程教育等多媒体应用成为当前教育城域网的最重要应用。思科7609路由器内置的单块防火墙(吞吐量只有5G)已存在着性能瓶颈问题,在网络流量高峰时经常造成用户上不了网的情况,导致无法正常访问教育资源事件的发生。 上网行为管理问题互联网给我们带来前所未有的混合威胁的风险。一方面,互联网中存在着太多的风险,如恶意网站、网上欺诈、网络病毒与恶意代码,给网络安全带来巨大威胁;而另一方面网络违规行为泛滥,如:员工随意不受控制
4、地访问非法网站、传递敏感信息、发布非法言论、滥用网络资源(包括P2P下载、IM即时通讯、网络游戏、在线视频、炒股等)、外泄敏感业务信息等,严重影响网络安全,造成难以弥补的损失。因此,需要一套上网行为管理系统实现对办公网用户的安全管理。 市教育局办公网建设问题(1)办公网组网架构与模式市教育局办公网应和核心分离出来,作为一个单独的网络区域连接到教育城域网,做到网络架构的层次清晰化,便于网络的扩展与维护。另外,随着无线终端的大量普与,尤其是笔记本电脑的大量使用,无线网络无疑成为了新型办公网络的发展趋势;无线局域网络具备有线网络所不具备的移动性和漫游功能,使得在无线信号覆盖的范围之内,局域网用户不管
5、在任何地方都可以实时的访问信息,无线网络能够支持移动办公与移动网络管理,用户可以随时随地在大楼内部安全的接入网络。教育局办公局域网应部署无线局域网,便于教育局移动办公与会议、培训等应用。(2)远程办公灵活性差,安全得不到保障现在,Web成为标准平台已势不可挡,越来越多的单位开始将各种应用移植到Web上。然而,有些资源只能在内部访问,并没有对外发布,如果外网用户(出差或家庭办公)如何安全地访问内网资源呢?通常情况下,是通过VPN方式接入。VPN建在互联网的公共网络架构上,通过“隧道”协议,在发端加密数据、在收端解密数据,以保证数据的私密性。教育网内的一些应用如办公系统、内部资源库,如果对外发布存
6、在着很大的安全问题,因此需要一种安全有效的方式解决这一问题。(3)办公网病毒防护问题为实现办公网的安全,有必要在办公网内部署一套网络版防病毒系统。实现终端的安全接入,通过网络版防病毒系统将病毒进行有效隔离。1.2教育数据中心问题 服务器与存储设备问题网络中心现有的存储设备都是采用DAS方式(直连存储,一对一连接方式),目前共有5台设备,使用年限都在五年以上;并且这些设备需要分散管理维护,灵活性和设备利用率较差。另外,随着服务器数量的增多,就不能再采用DAS存储。因此,我们需要构建SAN存储网络,实现网络服务器与存储设备之间的多对多连接。SAN 架构的优势在于,强大的扩展性、多种存储设备的集中和
7、新架构支撑下的新型数据应用方式。另外,原有服务器使用年限分别达到了五年至七年,设备性能较低。 数据中心架构模式问题(1)维护管理难在现有构架的网络中进行业务扩容、迁移或增加新的服务功能越来越困难,每一次变更都将牵涉相互关联的、不同时期按不同初衷建设的多种物理设施,涉与多个不同领域、不同服务方向,工作繁琐、维护困难,而且容易出现漏洞和差错。比如数据中心新增加一个业务类型,需要调整新的应用访问控制需求,此时管理员不仅要了解新业务的逻辑访问策略,还要精通物理的防火墙实体的部署、连接、安装,要考虑是增加新的防火墙端口、还是需要添置新的防火墙设备,要考虑如何以与何处接入,有没有相应的接口,如何跳线,以与
8、随之而来的VLAN、路由等等,如果网络中还有诸如地址转换、7层交换等等服务与之相关联,那将是非常繁杂的任务。当这样的IT资源需求在短期内累积,将极易在使得系统维护的质量和稳定性下降,同时反过来减慢新业务的部署,进而阻碍业务的推进和发展。(2)资源利用率低现有架构方式对底层资源的投入与在上层业务所收到的效果很难得到同比发展,最普遍的现象就是忙的设备不堪重负,闲的设备资源储备过多,二者相互之间又无法借用和共用。这是由于对底层网络建设是以功能单元为中心进行建设的,并不考虑上层业务对底层资源调用的优化,这使得对网络的投入往往无法取得同样的业务应用效果的改善,反而浪费了较多的资源和维护成本。(3)服务策
9、略不一致现有架构最严重的问题是这种以孤立的设备功能为中心的设计思路无法真正从整个系统角度制订统一的服务策略,比如安全策略、高可用性策略、业务优化策略等等,造成跨平台策略的不一致性,从而难以将所投入的产品能力形成合力为上层业务提供强大的服务支撑。2、解决方案方案 增加一台模块化路由器为了解决网络核心单点故障问题,建议增加一台模块化路由器。正常情况下,这台路由器作为因特网出口使用,通过内置防火墙模块实现NAT地址转换与边界安全防护,这台路由器与现有的NE40路由器实现出口负载分担,规划NE40路由器用于连接电信,新路由器用于连接Cernet与新联通;在设备选型上选用思科Cisco7606S路由器,
10、配置SUP32引引擎,双电源;Cisco7606S路由器与现有的核心路由器Cisco7609板卡通用,如果核心路由器Cisco7609出现故障,那么这台新路由器可以接替Cisco7609工作,最大程度上保障网络的可持续运行。如下图所示: 增加两块防火墙模块,解决城域网安全与性能瓶颈问题为了解决因特网出口冗余与原有内置防火墙性能瓶颈问题,建议增加的两块防火墙模块,其中一块内置于出口路由器Cisco7606S中,实现NAT转换与城域网边界安全防护,另一块防火墙内置于核心路由器Cisco7609中,完成城域网出口安全防护、服务器安全防护与上网日志统计功能。局办公网络建设教育局新办公大楼,包括原有楼宇
11、部分和新建楼宇部分,共两栋楼,每栋6层。原有大楼包括约110间房,新建部分估计90间,合计约200间,每个房间规划2个信息点,其计400个。网络中心位于原大楼6层(教育信息中心),含大中心机房1个,大、中、小会议室3个,网络培训教室1个。在新办公大楼的组网方式上要充分利用现在的计算机网络技术,将有线与无线紧密结合,建设一套现代化的新型办公网络,更好地服务于教学研究和行政办公。整个办公网络采用层次化网络拓扑结构,在网络核心设计一台思科万兆路由交换机-CAT4506E作为整个教育局内部办公网的核心,核心交换机负责办公子网内的数据交换与转发,通过万兆链路连接至教育信息中心骨干路由器,万兆端口提供了高
12、速的数据传输带宽,充分满足办公与多媒体应用的需求,CAT4506与7609路由器之间启用OSPF动态路由。本次网络的建设要完成400多个信息点的综合布线,全部采用6类非屏蔽双胶线;接入层设计8台全千兆交换机,通过1000M多模光纤连接核心4506E交换机。在接入层设备选型上采用思科3560G智能三层交换机,该提供48个1000M电口,为终端用户提供高速带宽的同时,通过所支持的POE功能还能为无线Wi-Fi设备(如无线接入AP,移动电话)、监控摄像头、IP电话提供以太网在线供电功能(绿色环保),充分满足未来几年内的新型网络需求。在网络组网方式上,将有线与无线技术结合起来。近年来随着移动终端的大量
13、普与,更加促进了无线网络技术的发展,无线网络在解决一些场所,如实验室、会议室等地点难以布线的问题的同时,还可以简化在这些区域网络实施,通过无线网络覆盖,有效节省了布线成本和相应的管理维护成本,无线系统正逐渐成为不少发达国家教育机构、院校或部门的重要组成部分。为了迎合新型绿色网络发展的趋势,本次网络建设规划设计无线局域网。在技术选型上,采用集中管理的架构,设计一台无线控制器-思科WLC4402,对所有接入AP进行集中管理,实现无线移动用户接入的负载均衡和漫游。无线接入AP在产品选型上采用思科最新一代支持802.11n的LAP1141N,为无线接入终端提供更高的传输带宽。本次无线接入网络规划在两栋
14、办公楼中每层部署2台AP,三个会议室与网络培训教室各部署一台,共计28台。为了解决移动用户远程办公的问题,建议在教育网络中部署SSL VPN网关设备,通过与互联网建立加密隧道,以保护对教育资源的安全访问。利用SSL VPN全面网络接入,几乎可以访问网络上的所有应用、服务器或资源。全面网络接入通过轻量级VPN客户端软件提供,该软件可以在连接到SSL VPN网关之后动态下载到用户桌面上(通过Web浏览器连接)。由于这种VPN客户端不需要人工软件分发或最终用户交互就能动态下载和更新,因此几乎不需要IT部门提供桌面支持,能够降低部署和运作成本。与无客户端接入相似,全面网络接入也能够按照最终用户的访问权
15、限提供完全访问控制定制。利用全面网络接入,员工可以远程访问到在办公室里能够访问到的所有应用和网络资源,以与不能通过基于Web的无客户端连接提供的所有客户端-服务器应用。2.2构建新一代教育数据中心在数据大集中的趋势下,数据中心的服务器规模越来越庞大。随着服务器规模的成倍增加,硬件成本也水涨船高,同时管理众多的服务器的维护成本也随着增加。为了降低数据中心的硬件成本和管理难度,对大量的服务器进行整合成了必然的趋势。通过整合,可以将多种业务集成在同一台服务器上,直接减少服务器的数量,有效的降低服务器硬件成本和管理难度。数据中心资源的整合和虚拟化正在不断发展,这需要高度可扩展的永续安全数据中心网络基础
16、。网络不但能让用户安全访问各种数据中心服务,还能根据需要实现共享数据中心组件的部署、互联和汇聚,包括各种应用、服务器、网络设备和存储。适当规划的数据中心网络不仅能保护应用和数据完整性,提高应用可用性和性能,还能增强对不断变化的市场状况、业务重要程度和技术先进性的反应能力。构建新一代教育数据中心技术需求 虚拟化能力虚拟化其实就是把已整合的资源以一种与物理位置、物理存在、物理状态等无关的方式进行调用,是从物理资源到服务形态的质变过程。虚拟化是实现物理资源复用、降低管理维护复杂度、提高设备利用率的关键,同时也是为未来自动实现资源协调和配置打下基础。新一代数据中心网络要求能够提供多种方式的虚拟化能力,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 教育 数据中心 建设 方案
限制150内