智慧校园网络建设方案.docx
《智慧校园网络建设方案.docx》由会员分享,可在线阅读,更多相关《智慧校园网络建设方案.docx(41页珍藏版)》请在冰点文库上搜索。
浙江道小学校园网升级
改造方案
2013年9月
目录
第1章. 现状及需求分析 3
1.1. 项目建设背景 3
1.2. 原有校园网分析 3
第2章. 校园网升级改造方案整体设计 4
2.1. 设计原则与思路 4
2.2. 整体解决方案 6
第3章. 校园网功能分区详细设计 9
3.1. 接入层设计 9
3.1.1. 接入层有线设备设计 9
3.1.2. 接入层无线设备设计 12
3.2. 核心层设计 13
3.2.1. 核心层网络设计 13
3.2.2. 核心层安全设计 14
3.3. 中心机房设计 18
3.4. 云数据中心设计 19
3.4.1. 项目方案规划 19
3.4.2. 逻辑结构图 21
3.4.3. 方案设计说明 22
3.4.4. 核心功能设计 28
3.4.5. 平台特性 32
3.4.6. 部署虚拟化的优势 35
第4章. 分布实施计划 39
第5章. 售后服务及培训 40
5.1. 售后服务 40
5.2. 培训 40
第1章.现状及需求分析
1.1.项目建设背景
浙江路小学是天津市实施素质教育“三A”学校,一直是塘沽区重点示范小学,其有两个校区,一是上海道校区、二是福州道校区。
这两个校区都有着浓厚的教学历史,教学水平一直处于塘沽区前列。
随着电子信息化的发展,浙江道小学也随之建设了不少高新科技的信息化电教设施。
两个学校的录播教室的建设一直在塘沽区也是首屈一指的。
随着信息化的不断深入,教育资源云平台、云书包也被学校提到建设日程里,但是这些项目都要有一个强大的校园网作为支撑,由于浙江路小学的校园网是2000年建设使用的,已经不能够承载现有云计算平台的高速数据传输功能了。
则要在教育资源云平台、云书包这些平台建设成立之前,必须把校园网进行升级改造,能够使这些平台发挥应有的作用。
1.2.原有校园网分析
浙江路小学现状:
目前使用核心路由器为锐捷NBR3000.核心交换机为锐捷5750
楼层交换机为一般性能100M交换机,学校网站服务器、办公服务器等网络和服务器设备已老化。
现有网络拓扑情况为福州道和上海道两个校区各有一条互联网接入,之间有一条数据专线,校区内为树形拓扑。
具体设备情况:
上海道小学:
核心路由器NBR3000,核心交换机5750,其他三个楼宇(二号楼1台,三号楼1台,一号楼6台)合计约8台楼层100M交换机。
福州道校区:
核心路由器NBR3000,核心交换机5750,一栋楼宇(四层)内(分前后楼)合计约8台楼层100M交换机。
原有校园网络拓扑如下:
第2章.校园网升级改造方案整体设计
2.1.设计原则与思路
浙江路小学的校园网的建设原则是能够高效、安全、绿色的支撑应用系统的使用,相比传统校园网建设,体现在几个层面的变化:
1、数据中心的形成
全面提升主要校区的网络平台,包括中心机房设施提升、核心网络设备的升级、应用系统服务器的安装购置,安全设备的安装购置。
2、上联链路的升级
为了提高云计算平台的适应性,以及云书包等应用的规划以动画、视频、互动等大流量应用为主,相比传统网络带宽要求提升10~20倍,应该提升主要校区的登陆Internet上联链路的带宽。
3、全面提升网络设备
原有校园网的网络设备老旧,并且不能适应新应用系统的数据传输要求,则要配备具有更高数据传输能力的网络设备。
所以在全新校园网的设计上需要遵循以下原则:
高性能——骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(视频、动画)的高质量传输,才能使网络不成为业务开展的瓶颈。
高可靠性——网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,设备充分考虑冗余、容错能力;合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。
网络设备在出现故障时应便于诊断和排除,充分体现计算机网络的高可靠性。
安全性——制订统一的网络安全策略,整体考虑网络平台的安全性,保证师生能够安全、绿色的使用资源。
独立性——学校与教育局之间采用公网连接会导致一些应用系统的不可用(比如名师讲堂、双向教学等),而且公网连接也使得网络不安全、不可控等隐患,所以教育局与学校之间应该采用裸光纤或者VPN方式连接;
技术先进性和实用性——在保证满足校园业务、应用系统业务的同时,要体现出网络系统的先进性。
在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑网络应用的现状和未来发展趋势。
标准开放性——支持国际上通用的网络协议、路由协议等开放的协议标准,有利于保证与其它网络(如中国教育网、公共数据网、区教育网等其它网络)之间的平滑连接互通,以及将来网络的扩展。
灵活性及可扩展性——根据未来业务的增长和变化,网络可以平滑地扩充和升级,最大程度的减少对网络架构和现有设备的调整。
可管理性——对网络实行集中监测、分权管理,并统一分配带宽资源。
选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。
强QOS、强组播特性——新应用系统下的校园网因为对视频、音频等多媒体业务的需求较大,所以整个网络具有较完善的QOS特性对教育网而言就显得尤为重要。
能不能对关键业务进行带宽优先保证尤其是那些对时延敏感的业务进行保证是教育网必须考虑的一个重点,为实现区别服务,整网端到端的QOS特性机制是优质网络业务的保证。
另外组播特性对于有效的保证多媒体流传输性能和节省带宽也有非常重要的意义,基于组播的控制特性也会进一步保证组播流的控制、管理和安全,从而为实现教育城域网的多业务支持提供保障。
兼容性和经济性——兼容性,能够最大限度地保证学校现有各种计算机软、硬件资源的可用性和连续性,为不同的现存网络提供互联和升级的手段(如现有的双向教学系统),保证各种在用计算机系统(包括工作站、服务器和微机等设备)的互连入网,充分利用现有网络资源,发挥主干网的优势。
经济性,就是在充分利用现有资源的情况下,最大限度地降低网络系统的总体投资,有计划、有步骤地实施,在保证网络整体性能的前提下,充分利用现有设备或做必要的升级。
2.2.整体解决方案
浙江路小学校园网的整体网络拓扑如下图所示:
整个网络分为接入层、核心层、本地教育资源中心、远程教育资源平台和出口区共计5个模块。
接入层
在两个校区楼宇内部署全千兆交换机,通过万兆光纤连接该校区机房的核心交换设备。
并在电教室安装WLAN设备,满足对教室多用户的高密覆盖,并对整个教学区做到wifi信号的全覆盖。
为云书包系统提供无线终端接入。
核心层
在核心层采用华为S7706核心交换机,并安装双引擎、双电源等稳定系统,以保证网络核心的可靠性,同时成倍提升网络性能。
核心交换机上提供连接各功能区万兆以太网接口,出口部署网络安全设备,为整个校园网提供安全保障。
并在两个校区之间用一条100M的MSTP链路互联,保证福州道校区可以毫无阻碍的登陆总校的教育资源中心。
教育资源中心
在浙江路小学总校中心机房部署教育资源中心,把视频录播系统、云计算平台系统、以及教学管理系统部署在教育资源中心。
作为整个校园网的总指挥部,部署网络管理系统、安全管理系统、虚拟化管理平台等管理系统,以便于管理人员对整个校园网进行统一规划和管理。
远程教育资源区
利用当地运营商-天津移动的IDC机房内部署远程教育资源区,在云计算虚拟化区,通过虚拟化技术建立计算资源池和存储资源池,为教育资源平台动态分配硬件资源,从而提高硬件资源的可靠性和可扩展性。
资源服务区通过互联网与学校本地教育资源区进行互联,可以把一些数据系统进行全面镜像,保证了远程教育资源区与本地信息的高度一致。
同时,学生、教师、家长可以通过互联网登陆到远程教育资源区,实时进行资料查询、批改作业、师生互动等活动。
天津移动IDC的优势及相对学校自建IDC的成本节约点:
中国移动IDC业务优势
国际顶尖的机房标准:
1.专门为IDC而建设的机房楼(8级抗震标准)。
2.高强度的承重,满足电池,存储等设备的安装。
3.良好的布局,增强了客户体验。
完善的动力配套系统:
1.Tier4认证的电力设备,保障服务器运行安全可靠。
2.精密智能SDC空调,保障室内温湿度恒定。
3.国内最新的封闭冷通道技术,科学的降低运营成本为客户提供更优的资费。
数据中心级的网络资源配置:
1.快速的收敛时间(路由器收敛时间<50ms)。
2.汇聚层支持虚拟化技术,收敛速度远高于普通路由收敛。
万兆端口/12个千兆端口,缓存256兆。
3.良好的安全保证措施,对外防御手段齐全,对内纳入安全管控体系,保障服务器的绝对安全。
使用IDC托管业务的优势
随着校园对数据处理依赖程度的递增,对数据的安全要求也进一步提高。
数据中心的灾备恢复服务能力是校园应当关注的一个重点.要在自己室内存放服务器,就必须建立空调环境、标准设施(例如24小时运作的机房空调系统、不间断电源系统等等)以及管理服务器和网络业务作出庞大而长远的投资。
服务器管理服务尤其适用于下列况:
不愿购置额外硬件(例如:
路由器)以提升伺服器的连接速度;服务器受带宽所限无法提升网络连接速度。
服务器托管服务是最合乎成本效益的网上方案,无论在性能、安保、可靠性方面都达到最高水平,免除了校方在机房建设方面需投入的高昂成本。
自建机房需考虑成本因素:
1、土建与场地成本。
2、动力配电成本。
3、防雷接地、静电释放系统。
4、结构装饰成本。
5、UPS不间断电源。
6、气体消防灭火系统7。
、PDS综合布线成本。
8、空调、新风系统。
9、安防门禁视频监控成本。
10、环境集中监控。
11、网络带宽接入成本。
12、安保及专业网络维护人员成本。
13、高额的电费等等
出口区
整个校园网将拥有两个网络出口,出口部署华为USG2260出口安全网关。
负责整个校区的安全防御。
一个是总校高带宽的互联网出口、一个是分校原有互联网出口,这两个出口可以互为备份,并提供流量分流,负载均衡等工作。
认证计费区
整个校园部署华为esight网络管理软件,1.对网络设备进行有效管理,网络故障诊断,网络拓扑展示。
对无线设备进行管理、通过esight的安全策略组件可以提供用户接入网络认证,对上网用户进行监管和控制。
无线用户直接在本地认证,接入学校内网,不经过运营商线路,节省了很大一部分带宽费用。
第3章.校园网功能分区详细设计
3.1.接入层设计
3.1.1.接入层有线设备设计
浙江路校园原有校园网接入层设备是普通的100M交换机,不具有可管理性,并且无法实现千兆上联,特别是开通录播系统的实时转播工作时,没有组播协议的支撑,会造成整个校园网骨干数据传输缓慢甚至瘫痪。
在电教室内要安装高容量的无线AP作为云书包的终端接入系统,此教室数据传输量可谓巨大,所有接入交换机必须具备上联、下联端口保证千兆带宽。
则本方案建议使用华为的千兆交换机S5700-LI系列交换机作为校园网的接入设备。
华为S5700-LI系列交换机是华为公司自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。
通过华为特有的CSS(智能弹性架构)功能,用户能够简化对网络的管理。
S5700-LI系列千兆以太网交换机定位为企业网千兆接入,同时还可以用于数据中心服务器群的连接。
其系统特性如下:
高扩展性保护投资
随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条10GE链路将是我们的未来发展方向。
S5700-LI系列交换机支持两个扩展槽位,每个槽位支持单端口或双端口的10GE扩展模块,在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力,尽力保护用户投资。
S5700-LI系列支持IPv4和IPv6的三层路由功能,并可以实现基于硬件的IPv4和IPv6的全线速转发。
同时支持IPv6的ACL、QoS、组播和网管,实现IPv4到IPv6的平滑升级。
智能弹性架构
华为S5700-LI系列交换机支持CSS(第二代智能弹性架构)技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进行管理和使用。
CSS可以为用户带来以下好处:
●简化管理CSS架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。
●简化业务CSS形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。
●弹性扩展可以按照用户需求实现弹性扩展,保证用户投资。
并且新增的设备加入或离开CSS架构时可以实现“热插拔”,不影响其他设备的正常运行。
●高可靠CSS的高可靠性体现在链路,设备和协议三个方面。
成员设备之间物理端口支持聚合功能,CSS系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;CSS系统由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的1:
N备份;CSS系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现1:
N的协议可靠性。
●高性能对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。
而CSS系统的性能和端口密度是CSS内部所有设备性能和端口数量的总和。
因此,CSS技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。
完备的安全控制策略
华为S5700-LI系列交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
华为S5700-LI系列交换机支持对试图接入网络的用户进行802.1x认证。
可以在交换机上对802.1x客户端的版本和有效性进行验证,防止非法用户登录网络。
支持集中式MAC地址认证,可以基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件,而且可以同时运行802.1x认证和基于MAC地址认证。
提供GuestVlan功能,使得为被授权的访问端只能接入访问特定的资源,并且会采取相应的策略,例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序等等。
支持SecureShellV2(SSHV2)特性可以提供安全的信息保障和强大的认证功能,以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。
丰富的QoS策略
华为S5700-LI系列交换机支持支持L2(Layer2)~L4(Layer4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。
提供灵活的对列调度算法,可以同时基于端口和队列进行设置,支持SP、WRR、SP+WRR三种模式。
支持CAR功能,粒度最小达64Kbps。
支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进行网络检测和故障排除。
出色的管理性
华为S5700-LI系列交换机支持SNMPv1/v2/v3(SimpleNetworkManagementProtocol),可支持OpenView等通用网管平台以及iMC智能管理中心。
支持CLI命令行,Web网管,TELNET,HGMPv2集群管理,使设备管理更方便,并且支持SSH2.0等加密方式,使得管理更加安全。
华为S5700-LI系列交换机支持基于MAC地址划分VLAN,很好的解决了移动办公的智能灵活管理;结合特有的基于全局和VLAN下发ACL策略,在简化用户配置的同时,也大幅节约了硬件资源。
增强的以太网供电功能(PoE+)
华为S5700-LI系列交换机支持增强的以太网供电功能(PoE+),PoE供电款型可以提供每端口最大30W的输出功率,可以为802.11n的无线接入点,可视IP电话,以及更多的终端设备提供以太网供电能力。
作为教育云计算实践,云计算数据中心的建设建议达到以下目标:
u通过标准化、虚拟化的资源池部署,提高整体IT基础设施资源利用率;
u实现IT基础设施资源的自助化服务,按需申请,按需供给,实现面向最终用户的云服务模式;
u实现IT基础设施资源的自动化部署及流程化管理,并可利用云计算管理平台对资源进行可视、全面的监、管、控,简化日常运维的管理流程、降低维护成本;
u在实现可落地的云实践的基础上,保留未来向更高层次的云计算实践发展的可能,如SaaS和PaaS相关应用等;
3.1.2.接入层无线设备设计
根据云书包系统需求,在电教室内部署无线网络,以便云书包终端可以自由接入网络。
普通的AP接入终端数量不可以超高10个,特别是高带宽的接入设备更不能超过这个数量。
但是也不能在一个小空间内部署多个AP来弥补接入数量不足问题。
因为AP之间也会出现频道干扰。
则这些电教室内要部署大容量接入的工业AP。
根据云书包的特点。
本方案选择华为大容量接入设备AP3010DN-AGN作为电教室无线AP。
其能够实现接入终端的相互隔离,保证每个接入设备达到至少54M的上联带宽。
AP3010DN-AGN支持整机最大用户数达到64个,16个SSID。
一体化MIMO内置天线,实现全向无盲点覆盖。
每射频速率高达300Mbps。
高等级的网络安全性,支持多种认证和加密方式,以及非法AP检测,支持QOS。
灵活的组网和环境适应能力,满足接入、桥接(WDS)等多种组网应用场景。
简单的设备管理和维护,业务零配置,即插即用,自动上线,美观化设计,支持FIT-AP。
每个电教室部署1台高容量AP就可以满足云书包终端的接入。
上联接入一台千兆电口的交换机即可满足高带宽的需要。
3.2.核心层设计
3.2.1.核心层网络设计
数据中心核心交换机需要资源池内部高速交换以及骨干互联工作,建议采用华为数据中心级核心交换机S7700,主要基于如下考虑:
Ø高性能:
核心汇聚层需要与其它外部网络互联,外连接口众多,并且这些外部网络所提供的接入带宽和接入设备都是业界高端设备,所以为了使网络在核心交换区不存在性能瓶颈,采用具备高密万兆的核心交换设备.
Ø整网可靠性:
因为校园网数据中心网络业务系统具有高可靠性设计,业务层面最大限度的保障业务转发不中断、不丢包。
因此建议在核心交换部分采用主控和交换网板分离的核心交换机,提高网络可靠性,使整网可靠性方面不存在短板。
Ø绿色环保:
为了降低机房空调能耗,要求核心交换机采用竖插槽,前下部进风、上后部抽风、强迫风散热形式。
要求通过RoHS、CE等国际环保认证。
在总校与分校之间部署100MMSTP链路,为分校区提供高速互联通道,当分校区电教室开通云书包系统时,可以通过这条100M链路登陆至总校的教育资源平台上,实现多个无线终端开展视频教学活动。
3.2.2.核心层安全设计
为了应对云计算环境下的流量模型变化,安全防护体系的部署需要朝着高性能的方向调整。
在本次项目的建设过程中,多条高速链路汇聚成的大流量已经比较普遍,在这种情况下,安全设备必然要具备对高密度的GE甚至10G接口的处理能力;无论是独立的机架式安全设备,还是配合数据中心高端交换机的各种安全业务引擎,都可以根据用户的云规模和建设思路进行合理配置;同时,考虑到云计算环境的业务永续性,设备的部署必须要考虑到高可靠性的支持,诸如双机热备、配置同步、电源风扇的冗余、链路捆绑聚合、硬件BYPASS等特性,真正实现大流量汇聚情况下的基础安全防护。
在核心交换机与出口之间部署防火墙,在核心交换机与教育资源平台之间部署防火墙。
以保证内部局域网安全及教育资源的数据安全。
如上图FW三层部署所示,防火墙可以与宿主交换机直接建立三层连接,也可以与上游或下游设备建立三层连接,不同连接方式取决于用户的访问策略。
可以通过静态路由和缺省路由实现三层互通,也可以通过OSPF这样的路由协议提供动态的路由机制。
如果防火墙部署在服务器区域,可以将防火墙设计为服务器网关设备,这样所有访问服务器的三层流量都将经过防火墙设备,这种部署方式可以提供区域内部服务器之间访问的安全性。
防火墙是网络系统的核心基础防护措施,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(pingofdeath,land,synflooding,pingflooding,teardrop)、端口扫描(portscanning)、IP欺骗(ipspoofing)、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。
安全控制策略:
防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;
建议在两台防火墙上设定严格的访问控制规则,配置只有规则允许的IP地址或者用户能够访问数据业务网中的指定的资源,严格限制网络用户对数据业务网服务器的资源,以避免网络用户可能会对数据业务网的攻击、非授权访问以及病毒的传播,保护数据业务网的核心数据信息资产;
配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒绝服务攻击进行防范,可以实现对各种拒绝服务攻击的有效防范,保证网络带宽;
配置防火墙全面攻击防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等,全面防范各种网络层的攻击行为;
根据需要,配置IP/MAC绑定功能,对能够识别MAC地址的主机进行链路层控制,实现只有IP/MAC匹配的用户才能访问数据业务网中的服务器;
其他可选策略:
可以启动防火墙身份认证功能,通过内置数据库或者标准Radius属性认证,实现对用户身份认证后进行资源访问的授权,进行更细粒度的用户识别和控制;
根据需要,在两台防火墙上设置流量控制规则,实现对服务器访问流量的有效管理,有效的避免网络带宽的浪费和滥用,保护关键服务器的网络带宽;
根据应用和管理的需要,设置有效工作时间段规则,实现基于时间的访问控制,可以组合时间特性,实现更加灵活的访问控制能力;
在防火墙上进行设置告警策略,利用灵活多样的告警响应手段(E-mail、日志、SNMP陷阱等),实现攻击行为的告警,有效监控网络应用;
启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析;
部署ACG应用控制网关能对网络中的P2P/IM/VoIP带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制;同时,根据对网络流量、
升级会员 