大学教育云数据中心项目数据中心设计方案.pdf

《大学教育云数据中心项目数据中心设计方案.pdf》由会员分享，可在线阅读，更多相关《大学教育云数据中心项目数据中心设计方案.pdf（27页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 XXXXXX 大学教育云数据中心项目 设计方案 教育信息技术中心 2011 年 06 月 VER:7.6 目 录 1.需求概述.3 2.数据中心设计概要.5 3.数据中心网络设计.7 3.1 可靠性和自愈能力.8 3.2 拥塞控制与服务质量保障.9 3.3 网络的扩展能力.9 3.4 通信协议的支持.10 3.5 网络交换设备设计需求.10 3.6 数据中心网络出口设计.11 3.7 数据中心安全设计.14 3.8 网络管理与安全体系.16 3.9 数字 KVM 系统.21 4.数据中心服务器设计.22 5.数据中心存储设计.24 5.1 需求分析.24 5.2 系统设计.24 6.服务与技

2、术支持需求.26 1.需求概述 XXXXX 大学是 XXX 省教育厅直属的，运用广播、电视、文字教材、音像教材、计算机课件和网络等多种媒体，面向全省开展远程开放教育的新型高等学校，1979 年创办。学校行政上由省教育厅管理，实行统筹规划、分级办学、分级管理、分工协作的体制。我校校园网一期始建于 1998 年，于 1999 年 6 月 18 日接通中国教育和科研计算机网，当时网络结构以 155M ATM 为主干，10M/100M 到桌面，光纤连接各楼栋的校园综合网络系统。网络覆盖了学校各主要教学、办公场所，初步形成了一个信息化校园环境。此后，为了满足开放教育试点工作的需要，建设了“电大在线”硬件

3、平台和全省视频会议系统。2004 年 6 月我校启动了二期校园网全面升级改造工程，完成了原有的 ATM 网向万兆以太网移植改造。通过简单的网络结构，建立起了一个可进行数据、语音、视频和图像实时传输的 IP 网络系统。二期校园网改造采用两台锐捷多业务万兆交换机 6810E 作为核心层交换机，锐捷 3550-12G 作为汇聚层交换机，锐捷 2100 系列作为接入层交换机，初步构成了双核心星形分布的拓扑格局。原有网络基础设施存在的主要问题有：1现有网络设施无法支撑学校当前的业务需求 现有网络设施原来的设计主要是满足校园用户对外网的访问，随着学校业务的不断扩张，本次改造后的网络设施主要承担满足遍布全省

4、的学习者对学校教学资源访问的任务，访问对象网络条件复杂，且有大量的外网视频访问要求。服务器等基础设施均已处于超负荷和老化状态，04 年以前购置的 18 台服务器均已老化，其中硬盘损坏严重，电气性能下降。有的业务系统是使用带病服务器运行，随时可能导致系统崩溃。分散在其他处室的服务器如教务处学籍管理、考试管理、图书馆的服务器更加老化，已经成为影响学校业务工作的严重隐患。虽然后来为干部在线、继续教育培训项目添置了几台服务器，均为专用设备，无法实现资源共享。此外，和校内各结点的汇聚层交换机和接入层的交换机也年久失修，故障频仍，导致信息不畅。开放教育新平台即将部署、XX 学习广场的管理系统开发、干部在线

5、进入扩展期、国家数字化资源库项目等新项目上马，信息化基础设施建设已经刻不容缓。2信息化基础设施架构技术落后，设备资源不能有效利用 学校二期校园网改造采用简单以太网三层交换结构是受制于当时的网络技术水平。学校虽有 700M 带宽（电信 3 条 100M、联通 100M、移动 100M、教科网 100M、省有线 100M）却因为没有链路负载均衡，无法满足某项业务在某一时段较高的带宽要求。服务器数量严重不足，一有新任务就要拆东墙补西墙，开发新项目就要删除一些原有服务器中的信息，腾出空间进行项目开发，导致一些重要信息被丢失。目前系统中只有 20T 的 SAN 存贮，远远无法满足学校资源存贮的要求。按照

6、原有网络结构，学校有的服务器负载十分繁重，有的服务器却相对空闲，瓶颈现象十分突出。3网络监控和管理一的缺乏监控和管理手段缺乏，网络安全存在隐患 学校二期校园网改造时，网络管理功能设计十分薄弱。网络监控管理、身份认证系统、流量控制系统、运行环境监控、应用防火墙等都需要重新建设。根据建设 XX 大学的需要，学校的应用业务系统将采用私有云与共有云相结合的方法来解决大规模用户访问所需的并发访问，带宽资源要求高的视频访问将主要依托社会公共云资源的基础设施，学校教育云网络数据中心必须按照其所承载核心数据和信息管理需求，运用虚拟化技术，朝私有云的方向来建设，以满足最灵活、最高效和最经济技术路线来建设，建设技

7、术一流的信息化基础设施，满足一流开放大学建设的需要。2.数据中心设计概要 2.1 总体要求 本项目为教育云架构的网络数据中心建设，主要服务 XX 学习广场的学分银行、国家数字化学习资源中心 XX 中心资源存储和管理、学校教学资源总库、学校数字图书馆、培训学院和网络学院的各类教育教学平台和管理系统在线学习和考试，满足学校 URP 业务交互需求。一方面大量的业务系统需要对数据进行共享，另一方面由于数据的重要性，又需要相互隔离，要求对接入访问有严格的身份认证和权限控制。总体来说，学校数据中心要求网络架构清晰，同时具有良好的可靠性、安全性、易管理性和扩展性。建设目标：本次 XX 大学数据中心建设属于开

8、启 XX 大学教育云建设的第一步，主要由虚拟化网络系统建设、虚拟化服务器系统建设、统一存贮系统建设三部分构成，其中虚拟化网络建设包括：网络核心建设，网络汇聚建设，网络安全建设，网络运维系统建设，网络出口系统建设。本次建设要求技术架构先进、按需满足、可无限扩充的技术路线，彻底改善在传统构架的网络中进行业务扩容、迁移或增加新的服务功能越来越困难的问题。通过使用虚拟化技术，采用云模式构架，增加虚拟化核心交换机、虚拟化服务器设备和虚拟化统一存储系统，建设XXXXX大学教育私有云。教育云数据中心建成后，所有的服务都在数据中心运行，新增的业务需求都由数据中心统一分配网络、服务器、存储资源，学校提供统一的运

9、行环境。满足湖湘学习广场门户、社区教育网站、干部在线等大规模访问用户的访问需求，成为学校管理信息系统、XX 教育平台、高职教育平台、国家数字化学习资源中心、学校资源中心的数据中心。建设的最终目标是构建 XX 大学系统的教育云，本次建设的本部的网络数据中心主要性能要求如下：系统高性能：10 万兆处理性能、无收敛、吞吐量高、快速响应、构建全网无阻塞的网络架构，解决上一代数据中心架构中最难解决的 N:1 流量收敛问题，确保大流量突发情况下不丢包。系统高可用：通过虚拟化技术实现关键设备的多变一，将各种故障的恢复时间缩短到毫秒级。统一交换 FCoE：利用 FCoE 技术将数据中心的存储资源、计算资源、网

10、络资源整合在一起，减少系统布线、硬件设备、能源消耗，降低数据中心整体投资和日常运营维护费用。系统高安全：基于云计算中按需资源调度的前提，各种安全控制策略需要能够智能感知业务的迁移和变化，动态实现精细化的安全访问控制，确保业务的安全。资源可调度：将计算任务分布在大量计算机构成的资源池上，使各种应用系统能够根据需要获取计算力、存储空间和信息服务。并根据系统访问的波峰期、波谷期灵活的对数据中心的网络资源、计算资源、存储资源实现统一调度。系统易管理：各种控制和隔离策略要灵活部署，做到对网络设备、服务器系统、存储等系统的全面管理，同时管理数据流与业务数据流保持隔离。网络安全：构建校园安全防护体系，建设一

11、套行之有效的安全管理机制，采用统一的接入网身份认证，主动发现、及时防御、迅速解决安全问题，并采用各种技术有效防止校园网络病毒的传播。XXX 大学教育云拓扑结构 本次建设分层分区设计 学校数据中心为学校终身教育的湖湘学习广场建设（终身教育学习平台）、大学管理信息系统建设（URP）、新型开放教育教学平台建设、国家数字化学习资源中心建设、信息化基础设施建设等服务，以及各业务的安全隔离控制。按照网络核心、汇聚和接入的模型对学校网络系统进行划分，从而完成用户接入层面与数据中心的数据接入层面的分层设计。根据网络实现的功能，从数据中心所提供业务的独立性和互访关系综合考虑，根据业务相关性和数据流访问控制的要求

12、，将数据中心网络根据业务和功能划分为以下几个个功能区：核心业务区：学校核心业务数据（终身教育学习平台、国家数字化学习资源中心等）IT公共数据区（OA）：为办公提供基础IT服务和相关数据 外联区：与分校或其它外联单位互访接口 互联网区：门户网站和远程办公接入出口、公共服务 网管维护区：网络的管理控制中心 教育云网络数据中心拓扑图 3.数据中心网络设计 XXXX 大学下设市州和行业、企业分校众多，而作为校园网运转核心之一的 IT 系统访问量巨大，为满足学校业务扩张和数据大集中的发展需要，数据中心的建设中必须要考虑到系统的容量、性能、扩展性、安全性和易管理等诸多因素。因此，在数据中心的建设中，采用业

13、界通用的交换网络设计，具有性能高、吞吐量大，可靠性高，扩展性好等优势。设计要求 数据中心是 XXXX 大学最主要的业务平台，承载着学校的核心业务，供学校内部数据交换，具有系统复杂、重要性极高、访问频繁、业务流量大、安全要求高、管理控制策略复杂等诸多特点，因此，数据中心网络的设计必须要做到：1、应用系统高性能：10 万兆核心、无收敛、吞吐量高、快速响应、服务器负载均衡，确保大流量突发情况下不丢包；2、系统高可用：网络采用全冗余设计，对各种故障和误操作具有良好的鲁棒性；3、网络高安全：对各种访问做到精细控制，防止各种非法和越权访问；4、易于管理：各种控制和隔离策略要灵活部署，做到对网络设备、服务器

14、系统、存储等系统的全面管理，同时管理数据流与业务数据流保持隔离。3.1 可靠性和自愈能力 链路冗余 在主干连接上具备可靠的线路冗余方式。采用负载均衡的冗余方式，即通常情况下两条连接均提供数据传输，并互为备份。主线路可实时、自动的切换到备份线路,而不影响业务应用。这种高速的网络自愈特性应可以保证不会引起 IP 路由的重新计算，不会引起业务的瞬间质量恶化，更不会引起业务的中断。模块冗余 主干设备的所有模块和环境部件具备 1+1 或 1：N 热备份的功能，切换时间小于 3 秒。所有模块具备热插拔的功能。系统具备 99.999%以上的可用性。每台核心交换机要求配置至少 4 块独立的交换网板（非主控或板

15、卡集成）。设备冗余 提供由两台或两台以上设备组成一个虚拟设备的能力。当其中一个设备因故障停止工作时，另一台设备自动接替其工作，并且不引起其他节点的路由表重新计算，从而提高网络的稳定性。以保证大部分 IP 应用不会出现超时错误。路由冗余 网络的结构设计应提供足够的路由冗余功能，在上述冗余特性仍不能解决问题时，数据流应能寻找其他路径到达目的地址。3.2 拥塞控制与服务质量保障 拥塞控制和服务质量保障(QoS)是企业信息网关注的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样，网络的数据流量突发是不可避免的，因此，网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。业务分类 网络

16、设备应支持 68 种业务分类(COS)。当用户终端不提供业务分类信息时，网络设备应根据用户的 IP 地址、应用类型、流量大小等自动对业务进行分类。接入速率控制 接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。队列机制 具有先进的队列机制进行拥塞控制，对不同等级的业务进行不同的处理，包括时延的不同和丢包率的不同。先期拥塞控制 当网络出现真正的拥塞时，瞬间大量的丢包会引起大量 TCP 数据同时重发，加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术，在网路出现拥塞前就自动采取适当的措施，进行先期拥塞控制，避免瞬间大量的丢包现象。资源预留 对非常重要的

17、特殊应用，应可以采用保留带宽资源的方式保证其 QoS。3.3 网络的扩展能力 网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展，以及网络规模的扩展能力。交换容量扩展 交换容量具备在规划业务水平上保证 48 倍容量的能力，以适应 IP 类业务急速膨胀的现实。端口密度扩展 设备的端口密度应能满足网络扩容时设备间互联的需要。主干带宽扩展 主干带宽具备高带宽扩展能力，以适应 IP 类业务急速膨胀的现实。网络规模扩展 网络体系、路由协议的规划和设备的 CPU/NP 路由处理能力，在网络节点数目上应能满足 35 年的扩展要求。3.4 通信协议的支持 网络通信协议 以支持 TCP

18、/IP 协议为主，兼支持 IPX 等协议。设备商应提供服务营运级别的网络通信软件和网际通用操作系统。域内路由协议 支持 RIP、RIPv2、OSPF、IS-IS 等多种国际标准的路由协议。根据网络工程的规模和需求，采用 OSPF 路由协议来进行规划建设。并采取合理的区域划分和路由规划来保证网络的稳定性。域间路由协议 支持 BGP-4 等标准的域间路由协议,保证与可与广域网采用多种方式进行可靠互联。MPLS MPLS 提高网络整体交换性能，在无连接的 IP 环境下实现面向连接的效果，MPLS 可以支持 VPN 功能，有效隔离不用业务网段。网络支持 MPLS 标准,具备 3 层、2 层 MPLS

19、VPN 的功能，可以在与未来 XXXX 大学 MPLS VPN 网络无缝对接。3.5 网络交换设备设计需求 核心层 核心层提供多个数据中心汇聚模块互联，并连接园区网核心、互联网出口和外联单位；具有高交换能力和突发流量适应能力，无阻塞、低收敛或无收敛，采用多条万兆链路捆绑互联，同时核心交换机要求多汇聚模块扩展能力，高性能要求 4-8 10GE 链路捆绑。采用多级的交换网架构,交换网板必须与主控分离，独立于主控和线卡。同时核心层设备必须有大量成功部署在大型数据中心的应用案例，以保证设备的可用性。要求核心交换机能力支持 16个万光端口以上的业务插卡模块,配置虚拟化技术，要求两台物理设备的虚拟为一台逻

20、辑设备，支持统一的管理、跨设备链路聚合，要求提供虚拟化技术的用户使用报告至少两份，至少提供一个本地可参观的虚拟化技术应用样板点；交换容量3Tbps，包转发率950Mpps；业务单板槽位数8 个；要求提供冗余主控、冗余电源、满配交换网板；支持基于端口的 VLAN，802.1Q Vlan封装，最大Vlan数4096，支持GVRP,支持IEEE 802.1x和IEEE 802.1x SERVER。支持 STP/RSTP/MSTP 协议，符合 IEEE802.1D、IEEE802.1W、IEEE802.1S 标准。支持 PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP、Any-RP、IG

21、MPv1/v2/v3 等协议；支持 FCOE 和 FC；支持PIM6-DM、PIM6-SM、MLDv1 等协议。支持静态路由、RIP V1/V2、OSPF、BGP，支持策略路由和 VRRP。支持 IPv6 静态路由，RIPng、OSPFv3、IS-ISv6、BGP4+，支持 IPv6 的策略路由和 VRRPv3，支持 IPv4 向 IPv6 的过渡技术，包括：IPv6 手工隧道、6to4 隧道、ISATAP 隧道、GRE 隧道等。板卡可以实现分布式（非集中式）二、三层 MPLS VPN，支持跨域 MPLS VPN，包括 VRF-VRF、MP-BGP、MultiHop-BGP 三种方式。汇聚层

22、为服务器群（server farm）对外提供高带宽出口；要求提供高密度 10GE 端口实现接入层互联；作为应用服务器网关层，同时提供扩展业务模块，如万兆防火墙模块、流量清洗模块，实现网络的访问控制、DDoS 防御、异常检测和应用加速和负载均衡等高级功能。汇聚层与服务器群根据应用特点进行数据中心区域划分，形成功能分区，可灵活扩展，又可满足业务系统独立和隔离的需求。交换容量600G，包转发率360Mbps，系统可提供万兆接口24 个，支持 FCOE 和 FC，满配万兆多模光模块，提供 4 个千兆电接口，支持内置电源冗余，配置双冗余电源；支持跨设备链路聚合，单一 IP 管理，虚拟化后所有设备路由表项

23、统一，未来可以通过虚拟化技术实现多台汇聚虚拟成一台大汇聚，支持 IPv4/IPv6 静态路由、RIP V1/V2/ng、OSPFv2/v3、BGP-4，支持策略路由。3.6 数据中心网络出口设计 根据 XXX 大学的数据中心的访问需求、业务系统类型、数据流特点，将数据中心出口分为三部分进行设计：1、互联网区：提供学校的网络出口：学校 WEB 网站系统、终身教育的 XX 学习广场（终身教育学习平台）、新型开放教育教学平台、国家数字化学习资源中心、学校教师通过互联网接入的移动办公、通过 Internet 对外的业务交互等；出口路由器与 ISP 骨干网直连，需要高带宽接口，同时提供较高的接口密度和汇

24、聚能力。2、外联区：与地州市和行业分校的业务互联功能区、视频会议等；一般通过专线或VPN 进行接入汇聚。3、内网区：包括大学管理信息系统建设（URP）、学分银行系统、教务管理系统、财务系统、一卡通系统等，可根据具体的应用做详细的服务器群划分。3.6.1.Internet 互联网区 互联网区作为 XXXX 大学的数据中心出口，其作用主要有：学校面向公众的展示平台Web 网站（前端平台）包括：终身教育的 XXX 学习广场（终身教育学习平台）、新型开放教育教学平台、国家数字化学习资源中心、终身教育数字化公共图书馆等。设计访问量在 50 万人并发访问；公网访问电子图书馆系统；出差办公接入、URP 系统

25、访问：主要通过 SSL VPN 接入；为满足 Internet 区域访问需要，提高网络和应用系统安全性，将 Internet 访问的服务器及应用系统规划在 DMZ 区域，下挂在 Internet 区域，Internet 区域部署 VPN 设备、IPS、防火墙，对各种访问进行控制，同时对各种 DDoS 攻击、嗅探、扫描、欺骗进行防御，进行病毒过滤，对 SSL VPN 访问。Internet区域需要部署出口链路负载均衡系统和防火墙设备，杜绝单点故障；部署SSL VPN设备，实现安全接入校园网络。1、出口链路负载均衡系统：采用多核或多 CPU 架构，如为多核，CPU 核数目8 个；如为多 CPU 架

26、构，CPU 数量不少于 2 个；固定接口：10/100/1000 以太网口16 个；千兆 SFP 接口4 个；吞吐量4Gbps；最大并发连接数200 万；支持真实服务器个数16384；支持健康检测个数16384；配置 VRRP 双机热备，支持设备内部以及设备之间的双机热备；LB 模块发生故障时，数据流能够避开故障模块，业务保持正常转发；支持 Inbound/Outbound 双向链路负载均衡；支持链路的失效切换；支持无限 hops 多路径链路健康检查方式；支持静态地址列表匹配，要求基于电信/网通+联通/移动+铁通等运营商的 IP 地址库；支持智能 DNS 解析，512 条 DNS 表项；支持负

27、载均衡算法：轮询、加权轮询、最小连接、加权最小连接、随机、加权随机、源地址HASH、目的地址 HASH、HTTP 内容、RTSP URL；支持 ICMP、TCP、FTP、HTTP、DNS 等多种方式的健康检测技术；支持和网络无缝融合，可以通过网络设备进行统一管理；支持服务器负载均衡；支持防火墙负载均衡；能够同时支持服务器和防火墙负载均衡；支持多链路负载均衡；支持 NAT 方式的服务器负载均衡；支持 DR 方式的服务器负载均衡；支持路由模式的防火墙负载均衡；支持透明模式的防火墙负载均衡；支持在线部署和旁挂部署模式 2、服务器负载均衡系统：硬件架构，采用基于每个端口的 ASIC 芯片；系统内核，采

28、用封闭式的专有操作系统，无已知安全漏洞；硬件配置要求，背板带宽48G；CPU双核 2.6 GHz；内存4GB；端口密度，总端口数14 个；性能指标，四七层业务吞吐能力8G，并发会话数量400 万，四层新建会话能力25 万，七层新建会话能力12 万设备；设备可靠性，满足双机冗余，采用 VRRP 冗余协议；双交流电源配置；主要功能，支持负载均衡算法：轮询、加权轮询、最少用户数、HASH、最少流量，支持会话保持方式：cookie，session ID，URL，Http Header等，可以通过 license 升级到支持全局负载均衡功能，支持 RIP、RIP2、OSPF，BGP 等路由协议；网管功能

29、，支持管理方式：CLI，WEB（HTTP/HTTPS），Telnet，SSH，GUI 界面管理，同一 GUI 界面下可以同时管理多台设备，支持第三方网管软件的插件，IBM Tivoli，CA Unicenter,HP Openview；IPS 安全防护功能，可通过购买 License 的方式，启用设备的 IPS 功能模块，可以实时过滤不少于 1600 种目前最流行的病毒，蠕虫，木马，后门等入侵攻击，要求具备特征库自动升级的能力，DOS/DDOS 防范攻击，提供集成 DOS Sheild 以及基于行为模式分析的 BDOS 拒绝服务攻击防范技术,集成针对 syn flood 的攻击防范功能（需要

30、DOS License）；带宽管理功能，可通过购买 License 的方式，启用设备的带宽管理功能模块，系统可支持带宽管理功能，带宽管理的粒度 =4G，并发会话量=200 万，支持 Thunder(讯雷)、腾讯超级旋风下载协议、BitTorent、eMule(电骡)/eDonkey(电驴)、KazaA、PPLive、QQ Live、PPStream 及沸点网络电视等协议，支持 QQ、ICQ、MSN Messenger、Yahoo Messenger 及阿里旺旺等协议，支持 Skype、UUCALL、Konge(中桥语音)、SIP、MGCP 及 H323 等协议，提供 PC-PC、PC-Phon

31、e 模式的呼叫识别、干扰、阻断，支持 MSSQL-Server 及 Oracle 等，支持 Notes、IMAP、POP、SMTP、FTP、Telnet 及 Syslog等，支持 Big Wisdom(大智慧)及 Straight Flush(同花顺)等，支持魔兽世界、QQ 游戏、联众、新浪游戏大厅等且不少于 30 种，流媒体、WEB 访问、FTP 下载、网络管理共不少于 20 种，采用特征库技术，特征库升级过程无需重启、不中断业务正常运行，且完成整个升级过程所需时间小于 5 分钟，特征库支持手动升级与自动升级，特征库必须在网上发布，平均至少两周更新一次，以便利于获取，提供开放端口，可手工定义

32、协议类型，支持与第三方配合，共同开发特征库，可导入用户自行开发的特征库，可识别 2000+种应用协议，并可提供详细列表或者脚本文件，可以识别并检测 802.1Q、MPLS、QinQ、GRE 等特殊封装的网络报文。支持阻断功能，支持限流功能，支持干扰功能，支持告警功能，可自动学习流量模型来进行策略的调整，支持输出报表功能，支持基于用户名、区域、源/目的 IP、IP 组、时间、应用等综合任意组合进行控制，支持对用户 URL 访问历史记录的查询审计，包括提供访问的用户名/IP、网站信息、网页信息、URL 信息、网页标题、访问时间等，支持 SMTP/POP3 邮件信息审计，包括记录发件人、收件人、抄送

33、人、暗送人、主题、附件名、时间等，审计系统可接收 NAT 日志，会话开始时间与结束时间，从而实现直接审计到内部用户功能，审计信息可通过 Excel 倒出、通过邮件直接发送，可按时间、地域、用户名、源/目的 IP、动作、类型等进行查询，应用流量统计：能够支持常见应用流量统计，提供对 WEB 网站综合分析、WEB网站应用分析、WEB 应用行为分析、Email 应用行为分析，包括 Top N（N 为 10100）的柱状图、排行列表等，用户或 IP 应用流量区分 3.8.2.网络统一管理设计方案 智能管理平台实现网络资源、用户和业务的融合管理，提供基本的网络资源管理、拓扑管理、故障管理、性能管理、用户

34、管理及系统安全管理，基于 B/S 架构，采取组件化方式构建网络管理系统，系统可以学校用户的实际需要扩展其他所需要的业务管理组件，不需要更换基本平台，满足多种管理功能的需要。智能管理平台通过标准的设备管理协议实现对锐捷、Cisco、3com、H3C 等各主流厂商的数据通信设备管理。3.8.3.拓扑管理 自动发现网络拓扑结构，支持全网设备的统一拓扑视图，通过视图导航树提供视图间的快速导航。通过自动发现可以发现网络中的所有设备及网络结构，并且可以将非 SNMP 设备发现出来，只要设备可以 ping 通即可。同时支持自动的拓扑图呈现和自定义拓扑。支持对全网设备和连接定时轮询和状态刷新，实时了解整个网络

35、的运行情况，并且刷新周期是可定制，同时也支持对多个设备的刷新周期进行批量配置的功能。3.8.4.故障（告警/事件）管理 故障管理，即告警/事件管理，智能管理平台及其他业务组件统一的告警中心。告警发现和上报 告警中心可以按收各种告警源的告警事件，包括设备告警、本级网管站及下级网管站告警、网络性能监视告警、网络配置监视告警、网络流量异常监视告警、终端安全异常告警等；同时通过支持对设备定时轮询，实现通断告警、响应时间告警等，以告警事件的方式上报给告警中心。支持告警智能分析，包括告警分类关联分析、告警多源关联分析、告警拓扑根源分析、告警网络影响度分析。3.8.5.性能管理 网管系统提供丰富的性能管理功

36、能，同时以直观的方式显示。例如：可以提供折线图、方图、饼图等多种显示方式并能生成相应的报表。通过性能任务的配置，可自动获得网络的各种当前性能数据，并支持设置性能的阈值，当性能超过阈值时，网络以告警的方式通知告警中心：支持能够对CPU利用率、流量等关键指标一目了然；提供各类常用性能指标的缺省采集模板；支持实时性能监视，支持二级阈值告警设置,当链路或端口的流量超过阈值，系统将会发送性能告警，使网络管理人员可以能够及时了解网络中的隐患，及时消除隐患。同时为故障定位提供手段；提供基于历史数据的分析，为用户扩容网络、及早发现网络隐患提供保障；支持饼图、折线图、曲线图等多种图形方式，直观地反映性能指标的变

37、化趋势；提供灵活的组合条件统计和查询；性能报表支持导出Html、Txt、Excel、Pdf格式文件。3.8.6.设备管理 设计支持设备管理，提供丰富的管理功能。通过面板管理，网络管理人员可以直观地看到设备、板卡、端口的工作状态，通过设备信息浏览监视，管理人员可以了解设备的运行情况，实时监视 CPU 利用率、端口利用率等重要信息。同时，提供图形化的配置方式。提供完善的网元管理功能，通过逼真的面板图片，直观地反映了设备运行情况。通过面板图标直观地反映设备的框、架、槽、卡、风扇、CPU、端口等关键部件的运行状态；能够查看、设置设备端口状态；能够查看路由、VLAN等配置信息；能够查看端口流量、丢包率、

38、错包率等关键统计数据；支持对交换机堆叠能力的管理；通过Ping、Traceroute等功能测试当前网络链路的健康状况；支持从设备列表、设备详细信息、拓扑等多个入口打开设备面板。3.8.7.设备配置统一管理 提供配置库管理功能，帮助管理员对设备配置文件形成基线库，并进行集中管理。设备配置库包括配置文件和配置片断，配置内容可带有参数，在部署时根据设备的差异设置不同的值。系统缺省提供常用的配置片断：iCC提供一些常用的基本的配置片断，可以对其进行复制、导出及部署：管理员可以从指定配置文件/片断导入到配置库中进行管理，也可以从指定设备上读取当前配置并导入到配置库中进行管理。除从设备导入、从文件导入配置

39、库功能外，管理员可以查看、增加、复制、修改、删除、导出及部署指定的配置库中任何配置文件/片断。当网络部署完毕，管理员可以通过配置库管理将设备的配置信息保存下来，并进行基线化，这样当设备配置变化或者需要更新配置时，管理员可以参照基线化的配置文件进行修改。3.8.8.服务器管理功能 网管系统必须提供对服务器的管理功能，提供对常见数据库服务器的监控管理,包括：MySQL、Oracle、MS SQL、IBM DB2、Sybase的管理功能；提供对常见应用服务器的监控管理，包括：微软.NET、GlassFish、Jboss、OracleAS、SilverStream、Tomcat、WebLogic、We

40、bSphere；提供对常见Web服务器和HTTP URL的监控管理，包括：Apache、IIS、PHP和Web服务。支持URL/多个URL的监视和录制；支持可视化管理功能，可从多种业务的角度出发，提供可视化的管理视图，包括分类视图、图标视图、表格视图、概要视图、监视器组视图、批量配置视图和业务视图；可直接在网管系统的拓扑图上调用业务管理功能，查看被监控业务系统的详细信息和性能参数；本次提供管理100台设备的管理授权，提供服务器管理功能；3.8.9.准入端点安全管理 对于 XXX 大学运行着非常多重要应用的网络，网络的安全是重中之重。但是随着网络技术的发展，新的安全威胁不断涌现，病毒和蠕虫日益肆

41、虐，其自我繁殖的本性使其对网络的破坏程度和范围持续扩大，经常引起系统崩溃、网络瘫痪，使用户蒙受严重损失。能对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为网络管理人员提供了有效、易用的管理工具和手段。系统可以配合网络交换机对非正常用户进行网络接入和安全控制，服务器端可以集成在网络管理系统中。系统需要支持 802.1x、Portal、L2TP IPSec VPN、无线等多种网络环境的身份认证，支持基于端口的 802.1x 和基于 MAC 地址的 802.1x，可管理 HUB 或非智能交换机下的多个用户，避免校园用户私自扩展接入信息点

42、；支持与包括微软防病毒软件在内的主流防病毒软件联动，对不符合最新防病毒版本的客户端进行网络接入限制；支持与微软WSUS/SCCM 协同的自动补丁管理。与微软无缝集成，当用户安全认证时，自动检查、下载、安装补丁，实现操作系统补丁自动升级，提升系统易用性；支持对软件进行监控、对进程进行监控、支持对服务进行监控；支持用户名、密码与用户 IP、MAC、VLAN、设备 IP、设备端口、主机名、域用户、SSID 等多种元素的绑定认证，方便运维中对用户接入进行灵活的接入控制；支持对客户端软硬件资产信息的编号、收集、统计、变更情况告警等功能；支持exe 文件安装、AD 域登录脚本安装、静默安装、网页下载等安装

43、方式，减小系统部署时的难度；系统支持自助平台进行预注册申请，管理员审核后即可开通用户帐号，用户可以通过自助平台对自己的用户信息进行管理，如查询、修改和密码设置等；本次提供至少 5000 用户的接入管理授权。3.9 数字 KVM 系统 机架式,带 VM 虚拟媒介功能，每台配置接口转换线缆32 条，每台 KVM 的远程数字用户8 个（KVM 并发通道 4 个，串口会话通道 4 个），本地用户1 个，Modem 口1 个，连接被控设备接口32 个，具有智能电源分配单元，支持多台串接，方便扩展。支持单设备可管理服务器 32 台；单设备并发 IP 用户=8，（KVM 并发通道 4 个，串口会话通道 4

44、个），持多个用户通过 Internet，LAN/WAN，或 Modem 拨号远程控制被管理设备，支持所有开放系统（包括 Windows、Unix、IRIX、Solaris、AIX 系统等）；支持多平台多服务器环境，如 PC、MAC、SUN、ALPHA、RS6000、HP6400、SGI、USB、以及 ASCII 服务器和其他数据设备。可控制管理串口设备以及服务器终端设备、实现 BIOS 级的访问控制。能与 IBM、HP、DELL 的KVM 进行无缝兼容。本地界面：业界标准的 OSCAR 界面，可用鼠标点击操作。远程界面：远程操作界面全简体中文；纯网页浏览方式，不需要安装客户端软件，必须有支持

45、USB2.0接口，可以外接 USB 光驱、U 盘和移动硬盘，与服务器转接器一起配合使用时，可以为被控设备提供外置 USB 设备共享，虚拟此 USB 设备到被控设备上实现数据拷贝和软件升级，本地端最高可以支持1600120075HZ 32位真彩，远程必须支持102476875HZ 16位真彩。在连接的不同分辨率服务器之间切换时，系统自动调节视频大小，满屏幕显示，无需人工手动调节，用户可以根据需要任意拖动屏幕大小(具有矢量缩放功能)。软件控管平台，便于降低管理成本，灵活操作，考虑安全因素，要求支持开放式操作系统，便于控制安全策略，支持多机冗余集群，多台备份系统可部署在不同地方，实现异地容灾；集群中

46、每台服务器都处于 Active 状态，不同地方的运维人员可实现就近访问，实现管理的负载均衡，最大可 1 中心系统，15 分支系统。支持 IPMI/RSAII/DRAC/iLO 等嵌入式芯片服务器、刀片服务器、PC 服务器、网络设备、安全设备、虚拟机、电源等 IT 设施的集中管理。能与 DRA 视频审计系统无须安装任何插件，无缝兼容。支持 Virtual Centers、ESX servers 和ESX3i servers 的管理。具备自动发现虚拟机、给出虚拟机资产列表、查看资源分配状态、打开虚拟机的控制台、执行电源操作、开始或恢复一台虚拟机、停止或挂起一台虚拟机、打开 RDP/VNC 会话、配

47、置/接受数据日志等功能，支持分域的管理方式。在集中管理平台中将设备和用户等资源划分到不同子域（部门），每个子域（部门）设立管理员，对自己所在区域的 IT 设备进行增删和管理指派，实现以区域（部门）的自治运维管理。当用户断开 KVM 会话后，KVM 系统自动实现锁屏。4.数据中心服务器设计 服务器选择说明 XXX 大学数据中心建设中，根据应用系统对于服务器的性能要求，可以将服务器分成两种大的类型。一类是数据库，针对这种应用，采用四路的高配服务器。第二类是较繁忙应用，主要包括支持中间件，web,数字图书馆等。针对这种应用，采用两路或四路的较高配置服务器。考虑到集中管理和系统的先进性服务器采用刀片式

48、服务器系统。四路服务器选择 四路服务器，选择最新的企业级服务器担任该服务器，支持 4 路英特尔至强 E7 处理器、4 个嵌入式千兆位以太网控制器、支持高达 1024GB 的 DDR3 RAM、独立 SAS 控制器以及最多 5 个内部硬盘等最新技术。其目标应用包括：域控制器（PDC/BDC）/目录服务、DNS/DHCP/WINS、客户互联网 WEB 应用、系统管理应用服务器、数据库服务，电子邮件服务，URP 等。为了进一步保证服务器操作系统和应用系统的可靠性，所有服务器采用两块磁盘设置为磁盘镜像(RAID1)，当任意一块磁盘发生故障时整体系统不受影响，只需在线更换磁盘既可解决问题。两路服务器选择

49、 两路服务器，选择支持 2 路英特尔至强 5600 DP 处理器（6 核）、4 个嵌入式千兆位以太网控制器、支持高达 192GB 的 DDR3 RAM、独立 SAS 控制器以及最多 6 个内部硬盘等最新技术。其目标应用包括：域控制器、目录服务、DNS/DHCP/WINS、客户互联网 WEB 应用、文件服务，电子邮件服务、网络管理等。服务器虚拟化的考虑 每一台虚拟服务器都可以利用 VMware/Hyper-V 虚拟对称式多重处理(SMP)技术，通过使单个虚拟机能够同时使用多个物理处理器，增强了虚拟机性能。支持虚拟化需要多处理器和密集资源的应用程序。根据上面的分析，考虑将大量的 Web、小型数据库

50、等用户都放到虚拟服务器上，从而建立自己的虚拟服务器服务群。考虑选择 4-6 台四路配置较高的服务器虚拟多个虚拟服务器 服务器配置 项目 说明 配置项 要求 数量 应用服务器（刀片系统）集中提供全部业 务 逻 辑 方 法 服务；用于支持三维分析、设计、仿真软 件 的 大 规 模 运算；集中提供数据库管理功能 刀片箱、功能 模 块 及配件 2 个万兆以太网交换机模块 2 套 2个光纤交换机模块及连接配件 满配冗余电源、电源线、KVM模块提供 USB、显示器和模拟控制台界面（ACI）端口，支持多服务器之间进行切换，支持硬件故障检测,诊断功能。双路刀片 两颗 Intel(R)至强 CPU 主频2.0G