XX大学数据中心设计方案

《XX大学数据中心设计方案》由会员分享，可在线阅读，更多相关《XX大学数据中心设计方案（43页珍藏版）》请在装配图网上搜索。

1、湖南开放高校教化云数据中心项目需求与主要技术要求说明书湖南广播电视高校教化信息技术中心2023年04月VER:7.2目 录1.需求概述32.数据中心设计概要52.1总体要求53.数据中心网络设计73.1牢靠性和自愈实力83.2拥塞限制与服务质量保障93.3网络的扩展实力93.4通信协议的支持103.5网络交换设备设计需求103.6数据中心网络出口设计123.7数据中心平安设计153.8网络管理与平安体系193.9数字KVM系统244.数据中心服务器设计255.数据中心存储设计275.1需求分析285.2系统设计286.服务与技术支持需求291. 需求概述湖南开放高校（湖南广播电视高校）是湖南省

2、教化厅直属的，运用广播、电视、文字教材、音像教材、计算机课件和网络等多种媒体，面对全省开展远程开放教化的新型高等学校， 1979 年创办。学校行政上由省教化厅管理，教学业务上接受中心广播电视高校的指导，实行统筹规划、分级办学、分级管理、分工协作的体制。省校下设市州和行业、企业分校 21 所，县级电大教学站点 148 个，形成了遍布全省城乡的电大教化网络。2023 年 7 月，经省政府批准，利用校本部资源成立了湖南网络工程职业学院，举办高等职业教化。湖南广播电视高校、湖南网络工程职业学院实行两块牌子、一套人马。目前省校校内占地面积17.6万平方米，建筑面积9.45万平方米 ，固定资产1.43亿元

3、，其中教学仪器设备近5000万元。省校和各市州分校均建成校内网，建立了多媒体网络教室、安装了电大在线教学平台、 VBI 卫星接收系统和双向视频会议系统，实现实时、非实时交互式教学。目前省校的校内网已升级改造成万兆网，省校与分校间即将实现100M专网互联。我校校内网一期始建于1998年，于1999年6月18日接通中国教化和科研计算机网，当时网络结构以155M ATM 为主干，10M/100M到桌面，光纤连接各楼栋的校内综合网络系统。网络覆盖了学校各主要教学、办公场所，初步形成了一个信息化校内环境。此后，为了满意开放教化试点工作的须要，建设了“电大在线”硬件平台和全省视频会议系统。2023年6月我

4、校启动了二期校内网全面升级改造工程，完成了原有的ATM网向万兆以太网移植改造。通过简洁的网络结构，建立起了一个可进行数据、语音、视频和图像实时传输的IP网络系统。二期校内网改造采纳两台锐捷多业务万兆交换机6810E作为核心层交换机，锐捷3550-12G作为汇聚层交换机，锐捷2100系列作为接入层交换机，初步构成了双核心星形分布的拓扑格局。原有网络基础设施存在的主要问题有：1现有网络设施无法支撑学校当前的业务需求现有网络设施原来的设计主要是满意校内用户对外网的访问，随着学校业务的不断扩张，本次改造后的网络设施主要担当满意遍布全省的学习者对学校教学资源访问的任务，访问对象网络条件困难，且有大量的外

5、网视频访问要求。服务器等基础设施均已处于超负荷和老化状态，04年以前购置的18台服务器均已老化，其中硬盘损坏严峻，电气性能下降。有的业务系统是运用带病服务器运行，随时可能导致系统崩溃。分散在其他处室的服务器如教务处学籍管理、考试管理、图书馆的服务器更加老化，已经成为影响学校业务工作的严峻隐患。虽然后来为干部在线、接着教化培训项目添置了几台服务器，均为专用设备，无法实现资源共享。此外，和校内各结点的汇聚层交换机和接入层的交换机也年久失修，故障频仍，导致信息不畅。开放教化新平台即将部署、湖湘学习广场的管理系统开发、干部在线进入扩展期、国家数字化资源库项目等新项目上马，信息化基础设施建设已经刻不待时

6、。2信息化基础设施架构技术落后，设备资源不能有效利用学校二期校内网改造采纳简洁以太网三层交换结构是受制于当时的网络技术水平。学校虽有700M带宽（电信3条100M、联通100M、移动100M、教科网100M、省有线100M）却因为没有链路负载均衡，无法满意某项业务在某一时段较高的带宽要求。服务器数量严峻不足，一有新任务就要拆东墙补西墙，开发新项目就要删除一些原有服务器中的信息，腾出空间进行项目开发，导致一些重要信息被丢失。目前系统中只有20T的SAN存贮，远远无法满意学校资源存贮的要求。依据原有网络结构，学校有的服务器负载特别繁重，有的服务器却相对空闲，瓶颈现象特别突出。3网络监控和管理一的缺

7、乏监控和管理手段缺乏，网络平安存在隐患学校二期校内网改造时，网络管理功能设计特别薄弱。网络监控管理、身份认证系统、流量限制系统、运行环境监控、应用防火墙等都须要重新建设。依据建设开放高校的须要，学校的应用业务系统将采纳私有云与共有云相结合的方法来解决大规模用户访问所需的并发访问，带宽资源要求高的视频访问将主要依托社会公共云资源的基础设施，学校教化云网络数据中心必需依据其所承载核心数据和信息管理需求，运用虚拟化技术，朝私有云的方一直建设，以满意最敏捷、最高效和最经济技术路途来建设，建设技术一流的信息化基础设施，满意一流开放高校建设的须要。2. 数据中心设计概要2.1 总体要求本项目为教化云架构的

8、网络数据中心建设，主要服务湖湘学习广场的学分银行、国家数字化学习资源中心湖南中心资源存储和管理、学校教学资源总库、学校数字图书馆、培训学院和网络学院的各类教化教学平台和管理系统在线学习和考试，满意学校URP业务交互需求。一方面大量的业务系统须要对数据进行共享，另一方面由于数据的重要性，又须要相互隔离，要求对接入访问有严格的身份认证和权限限制。总体来说，学校数据中心要求网络架构清楚，同时具有良好的牢靠性、平安性、易管理性和扩展性。建设目标：本次湖南开放高校数据中心建设属于开启湖南开放高校教化云建设的第一步，主要由虚拟化网络系统建设、虚拟化服务器系统建设、统一存贮系统建设三部分构成，其中虚拟化网络

9、建设包括：网络核心建设，网络汇聚建设，网络平安建设，网络运维系统建设，网络出口系统建设。本次建设要求技术架构先进、按需满意、可无限扩充的技术路途，彻底改善在传统构架的网络中进行业务扩容、迁移或增加新的服务功能越来越困难的问题。通过运用虚拟化技术，采纳云模式构架，增加虚拟化核心交换机、虚拟化服务器设备和虚拟化统一存储系统，建设湖南开放高校教化私有云。教化云数据中心建成后，全部的服务都在数据中心运行，新增的业务需求都由数据中心统一安排网络、服务器、存储资源，学校供应统一的运行环境。满意湖湘学习广场门户、社区教化网站、干部在线等大规模访问用户的访问需求，成为学校管理信息系统、电大开放教化平台、高职教

10、化平台、国家数字化学习资源中心、学校资源中心的数据中心。建设的最终目标是构建全省开放高校系统的教化云，本次建设省校本部的网络数据中心。湖南开放高校（筹）教化云拓扑结构本次建设分层分区设计学校数据中心为学校终身教化的湖湘学习广场建设（终身教化学习平台）、高校管理信息系统建设（URP）、新型开放教化教学平台建设、国家数字化学习资源中心建设、信息化基础设施建设等服务，以与各业务的平安隔离限制。依据网络核心、汇聚和接入的模型对学校网络系统进行划分，从而完成用户接入层面与数据中心的数据接入层面的分层设计。依据网络实现的功能，从数据中心所供应业务的独立性和互访关系综合考虑，依据业务相关性和数据流访问限制的

11、要求，将数据中心网络依据业务和功能划分为以下几个个功能区：l 核心业务区：学校核心业务数据（终身教化学习平台、国家数字化学习资源中心等）l IT公共数据区（OA）：为办公供应基础IT服务和相关数据l 外联区：与分校或其它外联单位互访接口l 互联网区：门户网站和远程办公接入出口、公共服务l 网管维护区：网络的管理限制中心省校教化云网络数据中心拓扑图3. 数据中心网络设计湖南开放高校下设市州和行业、企业分校众多，而作为校内网运转核心之一的IT系统访问量巨大，为满意学校业务扩张和数据大集中的发展须要，数据中心的建设中必须要考虑到系统的容量、性能、扩展性、平安性和易管理等诸多因素。因此，在数据中心的建

12、设中，采纳业界通用的交换网络设计，具有性能高、吞吐量大，牢靠性高，扩展性好等优势。设计要求数据中心是湖南开放高校最主要的业务平台，承载着学校的核心业务，供学校内部数据交换，具有系统困难、重要性极高、访问频繁、业务流量大、平安要求高、管理限制策略困难等诸多特点，因此，数据中心网络的设计必须要做到：1、 应用系统高性能：10万兆核心、无收敛、吞吐量高、快速响应、服务器负载均衡，确保大流量突发状况下不丢包；2、 系统高可用：网络采纳全冗余设计，对各种故障和误操作具有良好的鲁棒性；3、 网络高平安：对各种访问做到精细限制，防止各种非法和越权访问；4、易于管理：各种限制和隔离策略要敏捷部署，做到对网络设

13、备、服务器系统、存储等系统的全面管理，同时管理数据流与业务数据流保持隔离。3.1 牢靠性和自愈实力l 链路冗余 在主干连接上具备牢靠的线路冗余方式。采纳负载均衡的冗余方式，即通常状况下两条连接均供应数据传输，并互为备份。主线路可实时、自动的切换到备份线路,而不影响业务应用。这种高速的网络自愈特性应可以保证不会引起IP路由的重新计算，不会引起业务的瞬间质量恶化，更不会引起业务的中断。l 模块冗余 主干设备的全部模块和环境部件具备1+1或1：N热备份的功能，切换时间小于3秒。全部模块具备热插拔的功能。系统具备99.999%以上的可用性。每台核心交换机要求配置至少4块独立的交换网板（非主控或板卡集成

14、）。l 设备冗余 供应由两台或两台以上设备组成一个虚拟设备的实力。当其中一个设备因故障停止工作时，另一台设备自动接替其工作，并且不引起其他节点的路由表重新计算，从而提高网络的稳定性。以保证大部分IP应用不会出现超时错误。l 路由冗余 网络的结构设计应供应足够的路由冗余功能，在上述冗余特性仍不能解决问题时，数据流应能找寻其他路径到达目的地址。3.2 拥塞限制与服务质量保障拥塞限制和服务质量保障(QoS)是企业信息网关注的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样，网络的数据流量突发是不行避开的，因此，网络对拥塞的限制和对不同性质数据流的不同处理是特别重要的。n 业务分类 网络

15、设备应支持68种业务分类(COS)。当用户终端不供应业务分类信息时，网络设备应依据用户的IP地址、应用类型、流量大小等自动对业务进行分类。n 接入速率限制 接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。n 队列机制 具有先进的队列机制进行拥塞限制，对不同等级的业务进行不同的处理，包括时延的不同和丢包率的不同。n 先期拥塞限制 当网络出现真正的拥塞时，瞬间大量的丢包会引起大量TCP数据同时重发，加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术，在网路出现拥塞前就自动实行适当的措施，进行先期拥塞限制，避开瞬间大量的丢包现象。n 资源预留 对特别重

16、要的特别应用，应可以采纳保留带宽资源的方式保证其QoS。3.3 网络的扩展实力网络的扩展实力包括设备交换容量的扩展实力、端口密度的扩展实力、主干带宽的扩展，以与网络规模的扩展实力。n 交换容量扩展 交换容量具备在规划业务水平上保证48倍容量的实力，以适应IP类业务急速膨胀的现实。n 端口密度扩展 设备的端口密度应能满意网络扩容时设备间互联的须要。n 主干带宽扩展 主干带宽具备高带宽扩展实力，以适应IP类业务急速膨胀的现实。n 网络规模扩展 网络体系、路由协议的规划和设备的CPU/NP路由处理实力，在网络节点数目上应能满意35年的扩展要求。3.4 通信协议的支持n 网络通信协议以支持TCP/IP

17、协议为主，兼支持IPX等协议。设备商应供应服务营运级别的网络通信软件和网际通用操作系统。n 域内路由协议支持RIP、RIPv2、OSPF、IS-IS等多种国际标准的路由协议。依据网络工程的规模和需求，采纳OSPF路由协议来进行规划建设。并实行合理的区域划分和路由规划来保证网络的稳定性。n 域间路由协议支持BGP-4等标准的域间路由协议,保证与可与广域网采纳多种方式进行牢靠互联。n MPLSMPLS提高网络整体交换性能，在无连接的IP环境下实现面对连接的效果，MPLS可以支持VPN功能，有效隔离不用业务网段。网络支持MPLS标准,具备3层、2层MPLS VPN的功能，可以在与将来湖南开放高校MP

18、LS VPN网络无缝对接。3.5 网络交换设备设计需求核心层核心层供应多个数据中心汇聚模块互联，并连接园区网核心、互联网出口和外联单位；具有高交换实力和突发流量适应实力，无堵塞、低收敛或无收敛，采纳多条万兆链路捆绑互联，同时核心交换机要求多汇聚模块扩展实力，高性能要求4-8 10GE链路捆绑。采纳多级的交换网架构,交换网板必需与主控分别，独立于主控和线卡。同时核心层设备必需有大量胜利部署在大型数据中心的应用案例，以保证设备的可用性。要求核心交换机实力支持16个万光端口以上的业务插卡模块, 配置虚拟化技术，要求两台物理设备的虚拟为一台逻辑设备，支持统一的管理、跨设备链路聚合，要求供应虚拟化技术的

19、用户运用报告至少两份，至少供应一个本地可参观的虚拟化技术应用样板点；交换容量3Tbps，包转发率950Mpps；业务单板槽位数8个；要求供应冗余主控、冗余电源、满配交换网板；支持基于端口的VLAN，802.1Q Vlan封装，最大Vlan数4096，支持GVRP, 支持IEEE 802.1x和IEEE 802.1x SERVER。支持STP/RSTP/MSTP协议，符合IEEE802.1D、IEEE802.1W、IEEE802.1S标准。支持PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP 、Any-RP、IGMPv1/v2/v3等协议；支持FCOE和FC；支持PIM6-DM、P

20、IM6-SM、MLDv1等协议。支持静态路由、RIP V1/V2、OSPF、BGP，支持策略路由和VRRP 。支持IPv6静态路由，RIPng、OSPFv3、IS-ISv6、BGP4+，支持IPv6的策略路由和VRRPv3，支持IPv4向IPv6的过渡技术，包括：IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道等。板卡可以实现分布式（非集中式）二、三层MPLS VPN，支持跨域MPLS VPN，包括VRF-VRF、MP-BGP、 MultiHop-BGP三种方式。汇聚层为服务器群（server farm）对外供应高带宽出口；要求供应高密度10GE端口实现接入层互联；作为应用服务器网

21、关层，同时供应扩展业务模块，如万兆防火墙模块、流量清洗模块，实现网络的访问限制、DDoS防卫、异样检测和应用加速和负载均衡等高级功能。汇聚层与服务器群依据应用特点进行数据中心区域划分，形胜利能分区，可敏捷扩展，又可满意业务系统独立和隔离的需求。交换容量600G，包转发率360Mbps，系统可供应万兆接口24个，支持FCOE和FC，满配万兆多模光模块，供应4个千兆电接口，支持内置电源冗余，配置双冗余电源；支持跨设备链路聚合，单一IP管理，虚拟化后全部设备路由表项统一，将来可以通过虚拟化技术实现多台汇聚虚拟成一台大汇聚，支持IPv4/IPv6静态路由、RIP V1/V2/ng、OSPFv2/v3、

22、BGP-4，支持策略路由。接入层支持高密度万兆接入；接入总带宽和上行带宽存在收敛比、线速两种模式；基于机架考虑，1RU更具敏捷部署实力；交换容量240G、包转发率130Mbps；全部可用端口线速转发，可供应48个千兆电接口，至少4个千兆SFP接口，2个扩展槽位，最大能扩展4个万兆接口，本次配置2个万兆接口，1个万兆多模模块；支持FCOE和FC，支持IPv4/IPv6三层路由功能；支持跨设备链路聚合功能；支持802.1x认证和集中式MAC地址认证；支持DHCP Snooping，防止欺瞒的DHCP服务器；支持ARP 入侵检测功能；支持ARP报文限速功能；支持SNMP V1/V2/V3、RMON、

23、SSHV2，持通过吩咐行、Web、中文图形化配置软件等方式进行配置和管理，支持虚电缆检测功能和单向链路检测；支持IPv6 host，包括IPv6单播地址配置，ICMPv6，IPv6邻居发觉协议（ND），IPv6-PING，IPv6-TCP，IPv6-TFTP；支持堆叠，更具扩展实力；上行双链路冗余实力。图 数据中心网络分层架构3.6 数据中心网络出口设计依据湖南开放高校的数据中心的访问需求、业务系统类型、数据流特点，将数据中心出口分为三部分进行设计：1、 互联网区：供应学校的网络出口：学校WEB网站系统、终身教化的湖湘学习广场（终身教化学习平台）、新型开放教化教学平台、国家数字化学习资源中心、

24、学校老师通过互联网接入的移动办公、通过Internet对外的业务交互等；出口路由器与ISP骨干网直连，须要高带宽接口，同时供应较高的接口密度和汇聚实力。2、 外联区：与地州市和行业分校的业务互联功能区、视频会议等；一般通过专线或VPN进行接入汇聚。3、 内网区：包括高校管理信息系统建设（URP）、学分银行系统、教务管理系统、财务系统等，可依据具体的应用做具体的服务器群划分。3.6.1. Internet互联网区互联网区作为湖南开放高校的数据中心出口，其作用主要有：u 学校面对公众的展示平台Web网站（前端平台）包括：终身教化的湖湘学习广场（终身教化学习平台）、新型开放教化教学平台、国家数字化学

25、习资源中心等。设计访问量在50万人并发访问；u 公网访问电子图书馆系统；u 出差办公接入、URP系统访问：主要通过SSL VPN接入；为满意Internet区域访问须要，提高网络和应用系统平安性，将Internet访问的服务器与应用系统规划在DMZ区域，下挂在Internet区域，Internet区域部署VPN设备、IPS、防火墙，对各种访问进行限制，同时对各种DDoS攻击、嗅探、扫描、欺瞒进行防卫，进行病毒过滤，对SSL VPN访问、广域网接入进行应用加速。Internet区域须要部署出口链路负载均衡系统、IPS和防火墙设备各两台，杜绝单点故障；部署SSL VPN设备，实现平安接入校内网络；

26、在WEB服务出口部署应用加速设备加速，加速应用服务。1、出口链路负载均衡系统：采纳多核或多CPU架构，如为多核，CPU核数目8个；如为多CPU架构，CPU数量不少于2个；固定接口：10/100/1000以太网口16个；千兆SFP接口4个；吞吐量4Gbps；最大并发连接数200万；支持真实服务器个数16384；支持健康检测个数16384；配置VRRP双机热备，支持设备内部以与设备之间的双机热备；LB模块发生故障时，数据流能够避开故障模块，业务保持正常转发；支持Inbound/Outbound双向链路负载均衡；支持链路的失效切换；支持无限hops多路径链路健康检查方式；支持静态地址列表匹配，要求基

27、于电信/网通+联通/移动+铁通等运营商的IP地址库；支持智能DNS解析，512条DNS表项；支持负载均衡算法：轮询、加权轮询、最小连接、加权最小连接、随机、加权随机、源地址HASH、目的地址HASH、HTTP内容、RTSP URL；支持ICMP、TCP、DNS等多种方式的健康检测技术；支持和网络无缝融合，可以通过网络设备进行统一管理；支持服务器负载均衡；支持防火墙负载均衡；能够同时支持服务器和防火墙负载均衡；支持多链路负载均衡；支持NAT方式的服务器负载均衡；支持DR方式的服务器负载均衡；支持路由模式的防火墙负载均衡；支持透亮模式的防火墙负载均衡；支持在线部署和旁挂部署模式2、应用加速设备采纳

28、的主要技术包括：TCP优化、内容压缩，可以实现高峰负荷爱护等附加功能。各项功能均采纳特地的硬件芯片处理，因此混合运用各种功能时，对设备的性能、功能没有影响。多核或多CPU架构，如为多核，CPU核数目8个；如为多CPU架构，CPU数量不少于2个；固定接口：10/100/1000以太网口16个；千兆SFP接口4个；吞吐量4Gbps；最大并发连接数200万；支持真实服务器个数16384；支持健康检测个数16384配置VRRP双机热备，支持设备内部以与设备之间的双机热备；链路负载均衡功能发生故障时，数据流能够避开故障，业务保持正常转发；支持基于DES/3DES、AES、RC4 等各种加密算法的SSL

29、加速功能；支持负载均衡算法：轮询、加权轮询、最小连接、加权最小连接、随机、加权随机、源地址HASH、目的地址HASH、HTTP内容、RTSP URL；支持ICMP、TCP、DNS等多种方式的健康检测技术；支持和网络无缝融合，可以通过网络设备进行统一管理；支持服务器负载均衡；支持防火墙负载均衡；能够同时支持服务器和防火墙负载均衡；支持NAT方式的服务器负载均衡；支持DR方式的服务器负载均衡；支持路由模式的防火墙负载均衡；支持透亮模式的防火墙负载均衡；支持在线部署和旁挂部署模式3、SSL VPN系统：独立多核硬件设备，供应4个百兆电口，可扩展支持2个千兆端口；可满意至少300用户同时在线；RC4加

30、密性能不小于120Mpps；支持包括WEB、TCP、IP等免客户端接入方式；支持RSA数字签名算法、MD5、SHA1摘要算法、支持RC4、DES、3DES、AES等加密算法；支持客户端退出缓存清除功能，可清除网页缓存、Cookie、下载程序、配置文件等信息；支持本地认证、Radius认证、双因子证书认证、LDAP认证、AD认证等多种认证方式；支持阅读器和操作系统类型、版本、补丁等主机平安状态检查；IPS：须要供应强大的入侵检测和防卫实力，并能与网络管理平台做到联动，避开各种DDoS、恶意欺瞒、端口扫描等恶意行为的影响；防火墙：须要供应敏捷的报文准入过滤、基于状态的平安检测，供应病毒防卫和邮件扫

31、描等高级应用层功能。3.6.2. 外联区外联区主要为与地州市和行业分校的业务互联功能区、视频会议等；一般通过专线或VPN进行接入汇聚。对内与数据中心核心互联，进行业务的交互处理。除部署交换机和服务器外，该区域须要部署出口防火墙与IPS至少一台。3.6.3. 内网区（各类教学业务系统服务后端网络）流量特点内网区的主要出口流量包括：学校内部URP系统访问；DMZ区访问,如SMTP服务器,WEB服务器等；学校教务等服务数据同步；校内一卡通；学校IT运维管理；在这个区域主要部署防火墙。3.7 数据中心平安设计3.7.1. 防火墙依据湖南开放高校的网络结构，在湖南开放高校数据中心进行如下防火墙部署设计：

32、各个不同区域的平安隔离u 互联网出口、广域网出口平安限制：我们在学校互联网出口，以与与下级分校广域网连接处部署防火墙，两台防火墙与核心交换机以与出口路由器之间实行全冗余连接，保证系统的牢靠性，同时设置两台防火墙为双机热备方式，在实现平安限制的同时保证线路的牢靠性；u Extranet跟Intranet各业务系统平安隔离，Intranet内部各业务系统彼此之间平安隔离：我们学校数据中心核心层交换机上部署高性能的防火墙插卡，至少每个业务系统保证1G以上平安转发的吞吐量。同时实行线路全冗余和设备双机热备方式，以保证数据中心的高牢靠性。防火墙需求 u 要求为独立万兆防火墙或集成在核心交换机中u 独立防

33、火墙必需为中国移动或者中国电信10G以上防火墙入围产品u 独立防火墙必需供应8千兆电口和4个千兆光口，可以扩展8个万兆口u 支持无限制用户数u 防火墙吞吐量10Gbpsu 并发连接数200万u 每秒新建连接数10万个u 工作模式：路由和透亮u 支持最大虚拟防火墙数256,本次要求配置至少250个虚拟防火墙u 管理：免费图形化管理软件，供应支持GUI或基于Web管理界面u 路由协议支持OSPF、RIP和静态u 故障切换支持：Active/Active和Active/Standbyu 除了支持路由模式、透亮模式、NAT 模式外，还支持动态、静态的网络地址转换u 对IP语音和视频有良好支持，如SIP

34、、H.323等u 支持多媒体应用的特性：RAS第2版本；RTSP；RealAudio；Streamworks；CU-SeeMe；IP Phone；IRC；Vxtreme；VDO Live；可以限制与某些攻击类型相关的网络行为，比如：Flood Guard；FragGuard和虚拟重组；DNS限制；ActiveX阻挡；Java 过滤；URL 过滤u 支持防攻击类型为Ping-of-Death、Ping-Flooding、TearDrop、UDP-Flooding、SYN-Flooding、Killwin、WinNuke、LAND IGMP2、IP碎片、IP-Spoofing等等。u 支持IPv6

35、。u 支持DHCP服务器和DHCP中继，支持PAT、双向NAT和端口重定向。u 支持向IDS系统报警。u 支持SSH和基于Web远程管理，支持SNMP v2版本。3.7.2. 入侵防卫系统部署在湖南开放高校数据中心网络平安建设中，在如下平安区域部署入侵防卫系统以实现对本区域的深度检测与防卫，从而杜绝病毒、协议型攻击。（1） 在互联网出口、广域网出口部署IPS，对内外网交互的数据进行深度防卫；（2） 在Intranet平安区域边界部署IPS，对Intranet各个业务系统进行平安隔离的同时，确保业务系统不受其他平安区域的应用层威逼影响；（3） 在Extranet平安区域边界部署IPS，避开来自于

36、分校网络可能存在的威逼扩散。IPS需求：基本硬件配置要求1）IPS设备基于多核硬件平台，非X86硬件平台，需供应多核CPU名称和型号。2）要求为独立入侵防卫设备或集成在核心交换机中；3）IPS设备供应独立的管理网口，实现平安的带外管理，且管理网口必需为10/100M/1000M自适应以太电口。4）IPS设备供应1+1冗余电源，电源支持热插拔。5）供应不少于8个千兆电口，12个千兆光口；入侵防卫功能指标要求1）支持深化七层的分析检测技术，能检测防范的攻击类型包括：蠕虫/病毒、木马、后门、DoS/DDoS攻击、探测/扫描、间谍软件、网络钓鱼、利用漏洞的攻击、SQL注入攻击、缓冲区溢出攻击、协议异样

37、、IDS/IPS逃逸攻击等。2）支持P2P、IM、视频等网络滥用协议的检测识别，支持的网络滥用协议至少包括迅雷、BT、eDonkey/eMule、Kugoo下载协议、多进程下载协议（网络快车、网络蚂蚁）等P2P应用， MSN、QQ、ICQ等IM应用， PPLive、PPStream、HTTP下载视频文件、沸点电视、QQLive等网络视频应用；可在识别的基础上对这些应用流量进行阻断或限流。3）支持专业防病毒功能，集成第三方专业防病毒厂商的专业病毒库，供应针对IPS产品的与专业防病毒厂商的合作证明。4）支持URL过滤功能，可以自定义须要过滤的URL规则，URL过滤可以基于时间、主机，能够精细到单一

38、IP地址。5）支持IP 碎片重组、TCP 流重组、会话状态跟踪、应用层协议解码等数据流处理方式。6）采纳全面深化的分析检测技术，结合模式特征匹配、协议异样检测、流量异样检测、事务关联等多种技术，能识别运行在非标准端口上的协议，精确检测入侵行为。7）IPS检测到攻击报文或攻击流量后，支持阻断、限流、捕获原始报文等常规响应方式。8）IPS检测到攻击报文或攻击流量后，支持隔离、Web重定向等响应方式，以实现第一时间隔离有平安威逼的主机，需供应配置界面截图。9）IPS检测到网络滥用流量后，支持阻断、限流的响应方式。10）IPS支持对不同的网段运用不同的入侵防卫策略11）IPS可以针对不同的IP或IP网

39、段应用不同的网络滥用带宽限制策略。12）IPS可以针对不同的时间段应用不同的网络滥用带宽限制策略。13）可以识别并检测802.1Q、MPLS、QinQ、GRE等特别封装的网络报文。14）支持特征库的手动、自动升级，特征库升级后设备无须重启即可生效。15）攻击特征库数量2500+16）病毒特征库数量8000+17）支持的协议识别数量800+IPS设备管理功能指标要求1）IPS支持基于Web的图形化管理方式，支持HTTP、HTTPS登录Web图形管理系统进行管理。2）不须要部署额外的管理系统，通过基于Web的图形化管理方式，即可用一般阅读器登录IPS设备实现完备的单机的设备管理、特征库自动升级、平

40、安策略管理、攻击事务统计分析功能，从而简化单台或少数几台部署时的部署成本和维护成本。3）对多台分布式部署的场景，供应管理软件实现对多台分布式部署的IPS设备进行集中管理。4）IPS的单机管理系统、集中管理系统均支持中文管理界面。5）支持基于串口、SSH、Telnet的吩咐行管理界面。6）供应全面的系统日志、审计日志功能，日志可导出。7）支持实时的攻击事务归并功能，有效避开事务风暴。8）支持攻击事务的Email告警功能。9）支持攻击事务的Syslog发送接口。10）支持攻击事务统计分析，并可生成图形化的报表，报表可导出到本地。11）内置缺省使能的IPS检测策略，支持策略自定制实力。12）支持细粒

41、度的特征规则设置，可以为单条不同的特征规则设置不同响应方式，包括告警、阻断、隔离、限流、重定向等。13）支持攻击特征库的手动、自动升级，供应管理界面截图。14）支持独立的病毒特征库（有别于攻击特征库）的手动、自动升级，供应管理界面截图。IPS设备高牢靠性和自身平安性指标要求1）独立IPS设备必需供应1+1冗余电源，电源支持热插拔；支持直流电源供电。2）支持接口同步功能，当IPS的一个接口对上的其中一个接口Down掉时，对应的另一个接口也会自动Down掉。3）支持二层回退功能，当检测引擎在极端状况下失效时，设备可回退到二层模式，保证网络连通。4）支持掉电爱护功能，保证设备掉电时，通过掉电爱护功能

42、可保证网络连通。5）支持重启时的爱护功能，在设备重启时，仍可通过掉电爱护装置保证网络连通。6）为确保牢靠性，掉电爱护装置必需是一个无源设备，供应介绍掉电爱护机制的白皮书。7）为确保牢靠性，IPS设备的存储介质必需不能是机械式硬盘。8）IPS设备供应独立的管理网口，实现平安的带外管理，且管理网口必需为10/100M/1000M自适应以太电口。IPS设备性能指标要求1）开启IPS策略后的吞吐量 2000Mbps2）并发连接数 400万3）新建连接数 50万4）数据处理时延 200us3.8 网络管理与平安体系1) 为了实现湖南开放高校IT的管理，不仅须要对整网网络设备实现统一管理，实现网络的拓扑、

43、性能、故障、配置全方位的管理，还要能够实现对存储系统和网络系统的统一管理。2) 网络平安从本质上讲是管理问题。保证用户终端的平安、阻挡威逼入侵网络，对用户的网络访问行为进行有效的限制，是保证学校网络平安运行的前提。3) 对于学校的Internet出口，依据公安部门在2023年颁布了互联网平安爱护技术措施规定，须要对用户登录和退出时间、主叫号码、帐号、互联网地址或域名等信息进行保存，能够记录并留存用户运用的互联网网络地址和内部网络地址对应关系，并保留3个月以上的上网日志信息备查，以便公安机关公共信息网络平安监察部门在须要时可以进行追查。 主要部署流控设备、网络运维管理设备和数字KVM设备。3.8

44、.1. 流量限制与监控设备湖南开放高校数据中心流量限制与监控设备，要求采纳多核多线程CPU分布式架构设计，保证多业务可并行运行；独立设备要求至少供应12个千兆端口；可以供应至少6对桥，桥可以捆绑多个接口，内置双电源，至少供应3组光接口桥，3组电接口桥，吞吐量 = 4G，并发会话量 = 200万，支持Thunder(讯雷)、腾讯超级旋风下载协议、BitTorent、eMule(电骡)/ eDonkey(电驴)、KazaA、PPLive、QQ Live、PPStream与沸点网络电视等协议，支持QQ、ICQ、MSN Messenger、Yahoo Messenger与阿里旺旺等协议，支持Skype

45、、UUCALL、Konge(中桥语音) 、SIP、MGCP与H323等协议，供应PC-PC、PC-Phone模式的呼叫识别、干扰、阻断，支持MSSQL-Server与Oracle等，支持Notes、IMAP、POP、SMTP、与Syslog等，支持Big Wisdom(大才智)与Straight Flush(同花顺)等，支持魔兽世界、QQ嬉戏、联众、新浪嬉戏大厅等且不少于30种，流媒体、WEB访问、FTP下载、网络管理共不少于20种，采纳特征库技术，特征库升级过程无需重启、不中断业务正常运行，且完成整个升级过程所需时间小于5分钟，特征库支持手动升级与自动升级，特征库必需在网上发布，平均至少两周

46、更新一次，以便利于获得，供应开放端口，可手工定义协议类型，支持与第三方协作，共同开发特征库，可导入用户自行开发的特征库，可识别2000+种应用协议，并可供应具体列表或者脚本文件，可以识别并检测802.1Q、MPLS、QinQ、GRE等特别封装的网络报文。支持阻断功能，支持限流功能，支持干扰功能，支持告警功能，可自动学习流量模型来进行策略的调整，支持输出报表功能，支持基于用户名、区域、源/目的IP、IP组、时间、应用等综合随意组合进行限制，支持对用户URL访问历史记录的查询审计，包括供应访问的用户名/IP、网站信息、网页信息、URL信息、网页标题、访问时间等，支持SMTP/POP3邮件信息审计，

47、包括记录发件人、收件人、抄送人、暗送人、主题、附件名、时间等，审计系统可接收NAT日志，会话起先时间与结束时间，从而实现干脆审计到内部用户功能，审计信息可通过Excel倒出、通过邮件干脆发送，可按时间、地域、用户名、源/目的IP、动作、类型等进行查询，应用流量统计：能够支持常见应用流量统计，供应对WEB网站综合分析、WEB网站应用分析、WEB应用行为分析、Email应用行为分析，包括Top N（N为10100）的柱状图、排行列表等，用户或IP应用流量区分3.8.2. 网络统一管理设计方案智能管理平台实现网络资源、用户和业务的融合管理，供应基本的网络资源管理、拓扑管理、故障管理、性能管理、用户管

48、理与系统平安管理，基于B/S架构，实行组件化方式构建网络管理系统，系统可以学校用户的实际须要扩展其他所须要的业务管理组件，不须要更换基本平台，满意多种管理功能的须要。智能管理平台通过标准的设备管理协议实现对锐捷、Cisco、3com、H3C等各主流厂商的数据通信设备管理。3.8.3. 拓扑管理自动发觉网络拓扑结构，支持全网设备的统一拓扑视图，通过视图导航树供应视图间的快速导航。通过自动发觉可以发觉网络中的全部设备与网络结构，并且可以将非SNMP设备发觉出来，只要设备可以ping通即可。同时支持自动的拓扑图呈现和自定义拓扑。支持对全网设备和连接定时轮询和状态刷新，实时了解整个网络的运行状况，并且

49、刷新周期是可定制，同时也支持对多个设备的刷新周期进行批量配置的功能。3.8.4. 故障（告警/事务）管理故障管理，即告警/事务管理，智能管理平台与其他业务组件统一的告警中心。告警发觉和上报告警中心可以按收各种告警源的告警事务，包括设备告警、本级网管站与下级网管站告警、网络性能监视告警、网络配置监视告警、网络流量异样监视告警、终端平安异样告警等；同时通过支持对设备定时轮询，实现通断告警、响应时间告警等，以告警事务的方式上报给告警中心。支持告警智能分析，包括告警分类关联分析、告警多源关联分析、告警拓扑根源分析、告警网络影响度分析。3.8.5. 性能管理网管系统供应丰富的性能管理功能，同时以直观的方

50、式显示。例如：可以供应折线图、方图、饼图等多种显示方式并能生成相应的报表。通过性能任务的配置，可自动获得网络的各种当前性能数据，并支持设置性能的阈值，当性能超过阈值时，网络以告警的方式通知告警中心： 支持能够对CPU利用率、流量等关键指标一目了然； 供应各类常用性能指标的缺省采集模板； 支持实时性能监视，支持二级阈值告警设置,当链路或端口的流量超过阈值，系统将会发送性能告警，使网络管理人员可以能够与时了解网络中的隐患，与时消退隐患。同时为故障定位供应手段； 供应基于历史数据的分析，为用户扩容网络、与早发觉网络隐患供应保障； 支持饼图、折线图、曲线图等多种图形方式，直观地反映性能指标的改变趋势；

51、供应敏捷的组合条件统计和查询；性能报表支持导出Html、Txt、Excel、Pdf格式文件。3.8.6. 设备管理设计支持设备管理，供应丰富的管理功能。通过面板管理，网络管理人员可以直观地看到设备、板卡、端口的工作状态，通过设备信息阅读监视，管理人员可以了解设备的运行状况，实时监视CPU利用率、端口利用率等重要信息。同时，供应图形化的配置方式。供应完善的网元管理功能，通过逼真的面板图片，直观地反映了设备运行状况。 通过面板图标直观地反映设备的框、架、槽、卡、风扇、CPU、端口等关键部件的运行状态； 能够查看、设置设备端口状态； 能够查看路由、VLAN等配置信息； 能够查看端口流量、丢包率、错包

52、率等关键统计数据； 支持对交换机堆叠实力的管理； 通过Ping、Traceroute等功能测试当前网络链路的健康状况； 支持从设备列表、设备具体信息、拓扑等多个入口打开设备面板。3.8.7. 设备配置统一管理供应配置库管理功能，帮助管理员对设备配置文件形成基线库，并进行集中管理。 设备配置库包括配置文件和配置片断，配置内容可带有参数，在部署时依据设备的差异设置不同的值。 系统缺省供应常用的配置片断：iCC供应一些常用的基本的配置片断，可以对其进行复制、导出与部署： 管理员可以从指定配置文件/片断导入到配置库中进行管理，也可以从指定设备上读取当前配置并导入到配置库中进行管理。 除从设备导入、从文

53、件导入配置库功能外，管理员可以查看、增加、复制、修改、删除、导出与部署指定的配置库中任何配置文件/片断。 当网络部署完毕，管理员可以通过配置库管理将设备的配置信息保存下来，并进行基线化，这样当设备配置改变或者须要更新配置时，管理员可以参照基线化的配置文件进行修改。3.8.8. 服务器管理功能 网管系统必需供应对服务器的管理功能，供应对常见数据库服务器的监控管理,包括：MySQL、Oracle、MS SQL、IBM DB2、Sybase的管理功能；供应对常见应用服务器的监控管理，包括：微软.NET、GlassFish、Jboss、OracleAS、SilverStream、Tomcat、WebL

54、ogic、WebSphere；供应对常见Web服务器和HTTP URL的监控管理，包括：Apache、IIS、PHP和Web服务。支持URL/多个URL的监视和录制；支持可视化管理功能，可从多种业务的角度动身，供应可视化的管理视图，包括分类视图、图标视图、表格视图、概要视图、监视器组视图、批量配置视图和业务视图；可干脆在网管系统的拓扑图上调用业务管理功能，查看被监控业务系统的具体信息和性能参数； 本次供应管理100台设备的管理授权，供应服务器管理功能；3.8.9. 准入端点平安管理对于湖南开放高校运行着特别多重要应用的网络，网络的平安是重中之重。但是随着网络技术的发展，新的平安威逼不断涌现，病

55、毒和蠕虫日益肆虐，其自我繁殖的本性使其对网络的破坏程度和范围持续扩大，常常引起系统崩溃、网络瘫痪，运用户蒙受严峻损失。能对接入网络的用户终端强制实施企业平安策略，严格限制终端用户的网络运用行为，有效地加强了用户终端的主动防卫实力，为网络管理人员供应了有效、易用的管理工具和手段。系统可以协作网络交换机对非正常用户进行网络接入和平安限制，服务器端可以集成在网络管理系统中。系统须要支持802.1x、Portal、L2TP IPSec VPN、无线等多种网络环境的身份认证，支持基于端口的802.1x和基于MAC地址的802.1x，可管理HUB或非智能交换机下的多个用户，避开校内用户私自扩展接入信息点；

56、支持与包括微软防病毒软件在内的主流防病毒软件联动，对不符合最新防病毒版本的客户端进行网络接入限制；支持与微软WSUS/SCCM协同的自动补丁管理。与微软无缝集成，当用户平安认证时，自动检查、下载、安装补丁，实现操作系统补丁自动升级，提升系统易用性；支持对软件进行监控、对进程进行监控、支持对服务进行监控；支持用户名、密码与用户IP、MAC、VLAN、设备IP、设备端口、主机名、域用户、SSID等多种元素的绑定认证，便利运维中对用户接入进行敏捷的接入限制；支持对客户端软硬件资产信息的编号、收集、统计、变更状况告警等功能；支持exe文件安装、AD域登录脚本安装、静默安装、网页下载等安装方式，减小系统

57、部署时的难度；系统支持自助平台进行预注册申请，管理员审核后即可开通用户帐号，用户可以通过自助平台对自己的用户信息进行管理，如查询、修改和密码设置等；本次供应至少5000用户的接入管理授权。3.9 数字KVM系统机架式,带VM虚拟媒介功能，每台配置接口转换线缆32条，每台KVM的远程数字用户8个（KVM并发通道4个，串口会话通道4个），本地用户1个，Modem口1个，连接被控设备接口32个，具有智能电源安排单元，支持多台串接，便利扩展。支持单设备可管理服务器32台；单设备并发IP用户=8，（KVM并发通道4个，串口会话通道4个），持多个用户通过Internet，LAN/WAN，或Modem拨号远

58、程限制被管理设备，支持全部开放系统（包括Windows、Unix、IRIX、Solaris、AIX系统等）；支持多平台多服务器环境，如PC、MAC、SUN、ALPHA、RS6000、HP6400、SGI、USB、以与 ASCII 服务器和其他数据设备。可限制管理串口设备以与服务器终端设备、实现BIOS级的访问限制。能与IBM、HP、DELL的KVM进行无缝兼容。本地界面：业界标准的OSCAR界面，可用鼠标点击操作。远程界面：远程操作界面全简体中文；纯网页阅读方式，不须要安装客户端软件，必需有支持USB2.0接口，可以外接USB光驱、U盘和移动硬盘，与服务器转接器一起协作运用时，可以为被控设备供

59、应外置USB设备共享，虚拟此USB设备到被控设备上实现数据拷贝和软件升级，本地端最高可以支持1600120075HZ 32位真彩，远程必需支持102476875HZ 16位真彩。在连接的不同辨别率服务器之间切换时，系统自动调整视频大小，满屏幕显示，无需人工手动调整，用户可以依据须要随意拖动屏幕大小(具有矢量缩放功能)。软件控管平台，便于降低管理成本，敏捷操作，考虑平安因素，要求支持开放式操作系统，便于限制平安策略，支持多机冗余集群，多台备份系统可部署在不同地方，实现异地容灾；集群中每台服务器都处于Active状态，不同地方的运维人员可实现就近访问，实现管理的负载均衡，最大可1中心系统，15分支

60、系统。支持IPMI/RSAII/DRAC/iLO等嵌入式芯片服务器、刀片服务器、PC服务器、网络设备、平安设备、虚拟机、电源等IT设施的集中管理。能与DRA视频审计系统无须安装任何插件，无缝兼容。支持Virtual Centers、ESX servers和ESX3i servers的管理。具备自动发觉虚拟机、给出虚拟机资产列表、查看资源安排状态、打开虚拟机的限制台、执行电源操作、起先或复原一台虚拟机、停止或挂起一台虚拟机、打开 RDP/VNC会话、配置/接受数据日志等功能，支持分域的管理方式。在集中管理平台中将设备和用户等资源划分到不同子域（部门），每个子域（部门）设立管理员，对自己所在区域的

61、IT设备进行增删和管理指派，实现以区域（部门）的自治运维管理。当用户断开KVM会话后，KVM系统自动实现锁屏。4. 数据中心服务器设计服务器选择说明湖南开放高校数据中心建设中，依据应用系统对于服务器的性能要求，可以将服务器分成两种大的类型。一类是数据库，针对这种应用，采纳四路的高配服务器。其次类是较繁忙应用，主要包括支持中间件，web, 数字图书馆等。针对这种应用，采纳两路或四路的较高配置服务器。考虑到集中管理和系统的先进性服务器采纳刀片式服务器系统。四路服务器选择四路服务器，选择最新的企业级服务器担当该服务器，支持4路英特尔至强7500 MP处理器（8核）、4个嵌入式千兆位以太网限制器、支持

62、高达1024GB的DDR3 RAM、独立SAS 限制器以与最多 5个内部硬盘等最新技术。其目标应用包括：域限制器（PDC/BDC）/ 书目服务、DNS/DHCP/WINS、客户互联网WEB应用、系统管理应用服务器、数据库服务，电子邮件服务，URP等。为了进一步保证服务器操作系统和应用系统的牢靠性，全部服务器采纳两块磁盘设置为磁盘镜像(RAID1)，当随意一块磁盘发生故障时整体系统不受影响，只需在线更换磁盘既可解决问题。两路服务器选择两路服务器，选择支持2路英特尔至强5600 DP处理器（6核）、4个嵌入式千兆位以太网限制器、支持高达192GB的DDR3 RAM、独立SAS 限制器以与最多 6个

63、内部硬盘等最新技术。其目标应用包括：域限制器、书目服务、DNS/DHCP/WINS、客户互联网WEB应用、文件服务，电子邮件服务、网络管理等。服务器虚拟化的考虑每一台虚拟服务器都可以利用VMware/Hyper-V 虚拟对称式多重处理 (SMP)技术，通过使单个虚拟机能够同时运用多个物理处理器，增加了虚拟机性能。支持虚拟化须要多处理器和密集资源的应用程序。依据上面的分析，考虑将大量的Web、小型数据库等用户都放到虚拟服务器上，从而建立自己的虚拟服务器服务群。考虑选择4-6台四路配置较高的服务器虚拟多个虚拟服务器服务器配置项目说明配置项要求数量应用服务器（刀片系统）集中供应全部业务逻辑方法服务；

64、用于支持三维分析、设计、仿真软件的大规模运算；集中供应数据库管理功能刀片箱、功能模块与配件2个万兆以太网交换机模块2套2个光纤交换机模块与连接配件满配冗余电源、电源线、KVM模块供应USB、显示器和模拟限制台界面（ACI）端口，支持多服务器之间进行切换，支持硬件故障检测,诊断功能。双路刀片2颗Intel E5645 CPU，主频2.40GHz,，32GB DDR3-1333 RAM，2块146GB SAS 10000RPM硬盘，RAID0/1，双口8Gb/s光纤卡1块，双口10G/b万兆网卡1块，标配显卡，2个上PCI扩展插槽。 20台四路刀片4颗Intel E7530 CPU，主频1.86GH