构建IToIP数字图书馆.pptx

,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,目录,高校数字图书馆概述,H3C,高校图书馆解决方案,H3C,高校图书馆案例介绍,数字图书馆概述,数字图书的主要功能：,各种载体数字化,数据的存储和管理,组织对数据的有效访问和查询,数字化资源在网上发布和传送,系统管理和版权保护,数字图书馆的优势：,信息存储空间小，不易损坏,信息查阅检索方便,图书资源网络化共享可以扩大馆藏,远程迅速传递信息,同一信息可多人同时使用,数字化图书馆是一个开放的硬件和软件的集成平台，通过对技术和产品的集成，把当前的各种文献载体数字化，组织起来在提供网上服务,。,数字图书馆,IT,架构,期刊信息,系统,统一门户和信息服务平台,数据存储,存储平台建设,虚拟化管理,数据安全,数据保护,备份恢复,数据管理,定制,融合,应用层,数据管理层,结构化数据,基础设施层,服务器,（计算）,存储,（存储）,高可靠,高性能,安全渗透,易扩展,易管理,高性价比,IP,网络,（传送）,数据传送,高可靠传送,传送优化,统,一,安,全,防,护,体,系,半结构化数据,非结构化数据,计费信息,系统,外购资源,管理,资源数字化,系统,资源共享,系统,办公自动,化系统,应用服务,资源服务,统,一,编,码,和,接,口,标,准,高校数字图书馆的建设的四个阶段,部署图书馆管理系统,建设图书馆局域网。,电子阅览室,网络建设，图书馆网络与校园网联通，资源可共享。,信息资源库及设备的建设、电子文献资源库的建设。,网站的建设,统一网络数字图书馆管理平台软件,全面开展数字化信息资源加工,建设数据中心,实现网络用户上网使用的交互化，提供个性化使用的平台。,图书馆利用网络进行馆内工作管理,.,利用自身在信息与资源的优势条件，开展为师生用户进行教学和科研的咨询服务和内容服务。,第一阶段,图书管理自动化,第二阶段,网络共享化,第三阶段,统一管理平台,第四阶段,网络使用成熟标准化,多数高校已实现,当前建设重点,图书自动化,网络共享化,加工数字化,使用个性化、管理信息化、信息服务化,高校数字图书馆网络应用需求,高速、可靠网络传输需求,：数字化图书资源的高速传输需要高性能、高可靠的网络，并且网络基础架构可以适应数字图书馆的发展要求。,网络安全需求,：保证馆内网络免受病毒侵害、黑客攻击，保证馆内各种网络接入的身份认证。各种电子期刊、文摘等数据库可为馆外（校外）的教师,、学生,和提供安全、高速的访问。,数据中心建设需求,：内容管理，海量信息存储、数据加工，以及重要数字资源的备份容灾等，要求数据中心提供可靠、安全的服务器接入网络，以及高性能的存储网络和多样备份容灾方案。,无线接入需求,：无线网络覆盖，读者使用自己的移动PC接入图书馆网络进行检索资料、查阅书目，解决图书馆阅读位和检索终端机数量的限制。管理人员移动接入，便于库存清点、新书查询等。,安全渗透、端到端安全架构，,VPN,远程接入,千兆接入、万兆骨干、高可用架构、模块化设计,多业务、可扩展、应用优化、高性能万兆存储、虚拟化整合、,有线无线一体化、易管理、高可扩展、智能负载分担,目录,高校数字图书馆概述,H3C,高校图书馆解决方案,高校图书馆基础网络架构,高校图书馆数据中心解决方案,高校图书馆网络安全解决方案,高校图书馆无线接入解决方案,H3C,高校图书馆案例介绍,高校数字图书馆网络基础架构,模块化设计,图书馆数据中心,图书馆网络核心区,分馆、灾备中心,电子阅览室,万兆存储网络,SW,AP,AP,多媒体阅览室,图书馆办公区,FW,SW,AP,SW,SW,Internet,校园网,多业务交换机,外部业务服务器群,多业务交换机,内部业务服务器群,FW,ACG,IPS,LB,出口和外部接入区,FW,ACG,IPS,LB,FW,SSL VPN,高校数字图书馆网络基础架构,高性能网络,接入层,核心,/,汇聚,彻底消除瓶颈，解决效率问题,GE,10GE,千兆接入：,万兆骨干：,消除,PC,机终端与网络性能矛盾,提高大容量文件的传输速率,提高工作效率，加速业务处理,提升核心网络性能，构建无阻塞网络,彻底解决视频及语音业务对网络带宽时延的要求,适应网络向融合应用发展的趋势,协同办公,多媒体课件教学,视频点播,电子图书阅览室,高性能网络架构,视频监控,高校数字图书馆网络基础架构,高可用性设计,网络高可用技术,物理链路冗余，以太网链路聚合,环网技术，,RPR,、,RRPP,二层路径冗余，,MSTP,、,SmartLink,三层路径冗余，,VRRP,、,ECMP,、动态路由快速收敛,快速故障检测技术，,BFD,不间断转发技术，,GR,路径可用检查，,L3 Monitor,设备高可用技术,硬件设备冗余，双主控、单板热插拔、冗余电源、冗余风扇,设备之间状态热备份,核心层,汇聚层,校园网,接入层,边界防火墙,目录,高校数字图书馆概述,H3C,高校图书馆解决方案,高校图书馆基础网络架构,高校图书馆数据中心解决方案,高校图书馆网络安全解决方案,高校图书馆无线接入解决方案,H3C,高校图书馆案例介绍,网络,计算,存储,灾备,数据中心基础架构层次,高校图书馆数据中心网络构架,FW,LB,SSL,NAM,FW,LB,SSL,NAM,服务器集群,服务器,刀片服务器,（直联）,主机,核心层,汇聚层,接入层,S9500,S9500/S7500E,S5500-EI,刀片服务器,（集成交换机）,S5500-EI,S9500,数据中心多业务板卡集成部署方案,Campus Core,FW,IPS,LB,NS,FW,IPS,LB,NS,WEB,Servers,application,Servers,database,Servers,DC Core,DC,Aggregation,DC,Access,独立设备互联组网,网络集成业务,数据中心存储技术变迁,IP,2003-iSCSI,协议,IP SAN,同样采用,SAN,架构,1986-SCSI,协议,DAS,FC,1997-FC,协议,FC SAN,服务器与存储死死绑定,无法共享，扩展、维护困难,SAN,架构分离服务器与存储,相对复杂、成本高昂,IP SAN,的优势,IP,2003-iSCSI,协议,IP SAN,IP,接入,IP,交换,IP,存储,NIC/TOE,iSCSI HBA,同样采用,SAN,架构,IP,交换机,iSCSI,磁盘阵列,标准开放,技术成熟,组网简单,成本较低,IP SAN vs FC SAN,管理维护复杂度,安装维护时间,IT,管理人员,培训成本,电费支出,传统存储建设方式,IP SAN,建设方式,设备占用空间,总体运维成本,可持续发展,IX3000,图书馆数据中心,多服务器集中存储方案,IX1000,NAS&SAN,Campus Core,SAN,数据库系统服务器,文件共享服务器,1,、接入方式,:,服务器通过普通千兆网卡,iSCSI,驱动程序（免费）接入。,服务器通过专用的,iSCSI HBA,卡接入,IPSAN,。,2,、,IP SAN,交换机,普通的以太网交换机，配置两个保证高可用。,对于,IX1000,可单独配置,2,个,S55,作为,IP SAN,交换机。对于,IX3000,万兆存储，可采用,S95,万兆核心交换机。,3,、存储设备,采用,H3C IX1000,作为,SAN,系统实现数据集中。也可以直接连入用户的,LAN,网络，做为,NAS,使用。,采用,H3C IX3000,万兆存储做为,SAN,，应用在高性能、高吞吐量的业务系统。,IV5000,IV5000,业务系统服务器,DiskSafe,Campus Core,快照,快照,快照,备份卷,C,备份卷,B,备份卷,A,快照,快照,快照,IX1000,EX1000,EX800,本地备份存储,快照,快照,快照,快照,快照,快照,备份卷,A,备份卷,D,快照,快照,快照,生产卷,A,IX3000,FC,磁盘阵列,生产卷,B,本地在线存储,IX1000,生产卷,D,备份过程不影响生产系统工作；,基于,IP,网络进行连续数据保护，可适应不同的网络环境；,提供全面的数据保护，可有效应对软错误（比如人为故障、病毒）所带来的故障难题。,图书馆数据中心,连续数据保护方案,图书馆数据中心,远程容灾方案,IV5000,IV5000,Campus Core,生产卷,IX3000,FC,磁盘阵列,生产卷,本地在线存储,IX1000,生产卷,IX3000,复制卷,异地灾备存储,IX1000,复制卷,IP,网络,1,4,2,3,5,1,复制数据到远端,2,本地故障,3,设置反向同步,4,恢复数据到本地,5,反向同步完成后，把本地卷提升为生产卷并分配给本地服务器,图书馆数据中心,虚拟磁带库方案,Campus Core,业务系统服务器,可替代物理磁带库,也可导入导出到,FC/iSCSI,物理磁带库,IP/FC SAN,IP,网络,备份管理服务器,DL1000,DL1000,远程复制,Neocean DL1000,系列 是,H3C,公司推出的,VTL,产品，将磁盘仿真为标准磁带库和磁带：,解决传统磁带备份速度慢、可靠性差等固有问题,无缝地接入传统备份环境,通过自动磁带缓冲、远程复制等丰富的存储特性，提供灵活便捷的数据备份解决方案,图书馆数据中心,Windows,系统保护,/,恢复方案,DISKSafe,C:,D:,E:,F:,被保护的数据分区,系统分区,普通的数据分区,镜像盘,(iSCSI),MD1,周期或实时的镜像,P,P,P,P,t1,P,t1,P,t1,09,:00,P,t,2,P,t,2,P,t,2,10,:00,P,t,3,P,t,3,P,t,3,11,:00,硬盘,快照,使用随机提供的恢复光盘重启系统,从镜像中恢复数据至本地分区,MD3,MD2,Windows,服务器,Access Switch,DiskSafe,IX1000,IX1000,不仅可以提供数据保护，还可提供操作系统保护。,可预防系统的渐变式灾难（病毒、误删除、软件,BUG,、黑客入侵等），恢复时间短（几分钟）。,支持,Microsoft SQL Server,、,Microsof Exchange Server,、,Oracle,、,Informix,、,Lotus Domino Server,、,Sybase,、,DB2,等数据库保护,。,发生灾难后，可,iSCSI HBA,卡远程启动，或通过,Recover CD,恢复操作系统。,EX800,EX1000S,IX1000S,/T,IX5000,IX1,500,EX1000T,IX5000S,小型规模,中型规模,大型规模,IV5100,IV5200,IV,系列,IX,系列,EX,系列,H3C Neocean,存储产品家族,IV5600,DL1000,IX3000,IX6000,DL,系列,目录,高校数字图书馆概述,H3C,高校图书馆解决方案,高校图书馆基础网络架构,高校图书馆数据中心解决方案,高校图书馆网络安全解决方案,高校图书馆无线接入解决方案,H3C,高校图书馆案例介绍,高校图书馆网络安全双维度模型,安全,管理,入侵,防护,防火墙,“,拒绝,服务,”,(DOS),反病毒,I,n,t,e,r,n,e,t,I,n,t,e,r,n,e,t,VPN/campus,端点准入,数据中心,L2,交换机：,BPDU Guard,、端口隔离、五元组绑定、,802.1X,等实现二层安全保护,L2.5,MPLS,：网络隔离,L3,路由器,/,防火墙,/AFC/SSL,：访问控制和隔离、加密,L4,NTA“,网络水表”流量异常分析,L5,7,IPS,应用层威胁识别和抵御：蠕虫、间谍软件、,P2P,、病毒、攻击等,IP,存储：数据安全（异地容灾，数据备份）,安全,管理,用户,管理,(iMC),端到端安全模型,L2,层到,L7,层安全模型,图书馆数据中心集成安全部署方案,SSL VPN,FW,校园网,互联网,FW,板卡,ACG,板卡,IPS,板卡,SLB,板卡,SW,FW,板卡,ACG,板卡,IPS,板卡,SLB,板卡,SW,对外业务服务器群,内部业务服务器群,核心交换机,图书馆数据中心,FW,板卡,ACG,板卡,IPS,板卡,SLB,板卡,FW,ACG,IPS,SLB,交换机,基于多核,CPU,架构的安全业务插板比盒式设备具有更高的处理性能、更高的可靠性，可实现网络设备、安全设备的一体化管理。,基于流量的分布趋势,TOP N,分析：全业务流量、单协议,/,协议组流量、上下行,/,双向流量、流量明细等,基于用户的,TOP N,分析：用户全业务流量、上下行,/,双向流量、会话数、流量分布、流量趋势等,通过,ACG,实现数据中心应用流量的分析,对应用流量进行深入分析，对应用流量控制策略的制定和事后的审计,。,ACG,服务器网关,WEB VLAN,APP VLAN,DB VLAN,LB,单臂,+FW,路由,LB,单臂,+FW,透明,LB,单臂,+FW,路由,数据流：核心,-,汇聚,-LB-FW,；,FW,、,LB,都采用,HA,部署方式；,LB,采用单臂部署模式，可对需要的流量做应用优化；,LB,上需要做,Source_NAT;,服务器网关指向防火墙，依靠防火墙实现服务器之间的访问控制关系,数据流：核心,-,汇聚,-LB-FW,；,FW,、,LB,都采用,HA,部署方式；,LB,采用单臂部署模式，可对需要的流量做应用优化；,FW,采用透明模式；,服务器网关指向,LB,，依靠防火墙实现服务器之间的访问控制关系；,数据流：核心,-,汇聚,-FW-LB,；,FW,、,LB,都采用,HA,部署方式；,LB,采用单臂部署模式，可对需要的流量做应用优化；,FW,采用路由模式；,服务器网关指向,LB,，也可指向,FW,；依靠交换机,ACL,实现服务器之间的访问控制关系；,图书馆数据中心集成安全部署最佳实践,无线控制器,S7500,S3600,补丁服务器,病毒服务器,S5600,S3100EI,隔离区,不符合安全策略的用户,安全客户端,安全联动设备,用户集中管理，基于用户身份的安全策略管理，避免多系统互通带来的部署复杂性；,认证控制基于用户身份，使用,ACL,控制，可以限制到,MAC,，避免单端口单用户限制；,与交换机、路由器和防火墙等网络设备配合，支持多种接入认证方式；,客户端可以实现定制安装，支持静默安装，大大降低部署工作量和维护难度；,与微软,SMS,（,WSUS,）无缝集成实现系统补丁自动检测和升级；,支持黑白软件检查，可以广泛的与第三方桌面软件进行联动配合；,与网络设备管理平台相融合，将用户与网络设备通过网络拓扑等相关联，提升了网络管理的有效性和易管理性。,通过使用无线,EAD,，提升无线网络的安全性，并且能够同有线,EAD,用户一样限制不同类别用户的访问范围。,图书馆阅览室、办公区端点准入方案,安全策略组件,阅览室,阅览室,办公区,图书馆阅览室、办公区,ARP,攻击防御方案,网关,接入交换机,认证服务器,利用认证机制获取合法用户的,IP-MAC,关系,认证设备将获取到的,IP-MAC,对应关系就地绑定,认证客户端,控制点,2,X,认证通过后，,CAMS,将网关的,IP-MAC,对应关系下发给客户端进行静态绑定,关键点,1,攻击者,网关,接入交换机,DHCP,服务器,接入交换机解析客户端和,DHCP,服务器之间的交互报文，获得合法用户的,IP-MAC-port,对应关系,接入交换机将获取到的合法用户的,IP-MAC-port,绑定在入接口上,控制点,1,X,想发送欺骗报文？丢弃,关键点,DHCP,监控模式：,通过,DHCP,监控方式建立静态绑定表项。,接入交换机启用,ARP Detection,功能，根据建立的静态绑定表项过滤非法,ARP,报文。,全网部署后，直接在接入端口丢弃,ARP,欺骗报文，有效防止所有类型的,ARP,攻击。,支持根据客户端,IP,地址的租约对,DHCP Snooping,表项进行老化，节省系统资源。,认证模式：,认证客户端启用“上传,IP,地址”功能，交换机通过,1x,认证监控方式建立静态绑定表项。,接入交换机启用,ARP Detection,功能，根据建立的静态绑定表项过滤非法,ARP,报文。,认证服务器向认证客户端下发网关,IP-MAC,对应关系并静态绑定，在接入终端防止网关仿冒。,支持根据客户端认证情况对静态绑定表项进行老化，节省系统资源。,图书馆,SSL VPN,远程接入方案,数据中心外部业务服务器群,FW,ACG,IPS,LB,接核心交换机,SSL VPN,板卡,SSL VPN,板卡,图书馆出口,/,远程接入区,互联网,/,校园网,来自校园网的访问,来自互联网,SSL VPN,的访问,图书馆,SSL VPN,远程接入方案,问题：,图书馆购买的数据库资源只能在通过校园网访问，因为数据库服务商按照源,IP,控制访问报文,教师在校园网外，由运营商提供接入服务，所以无法在家访问服务商的数据库资源。,解决方案：,教师在校园网外通过,SSL VPN,接入到校园图书馆网络，通过,SSL VPN,网关访问服务商的数据库资源。,方案优势：,安全性好,易于使用,易于接入,易于集成,互联网,/,校园网,SSL VPN,板卡,SSL VPN,板卡,图书馆出口,/,远程接入区,？,目录,高校数字图书馆概述,H3C,高校图书馆解决方案,高校图书馆基础网络架构,高校图书馆数据中心解决方案,高校图书馆网络安全解决方案,高校图书馆无线接入解决方案,H3C,高校图书馆案例介绍,高校数字图书馆无线网络接入的优势,无线网络技术的发展和笔记本电脑的普及使图书馆无线接入具备很多优势：,图书馆电子资源日益丰富，读者数量激增，阅读位有限，无线网络使读者不进入阅览室即可访问数字资源。,图书馆学术报告厅网络接口有限，无线接入将为演讲者,、听众、来访嘉宾提供极大方便，充分展示数据图书馆的专业性。,传统目录柜检索逐渐被机读数据检索方式替代，但检索终端资源频率过高，无法满足所有读者需求。无线网络为携带笔记本电脑的读者提供图书馆网络接入，方便数目查询。,图书馆书库、办公区楼层跨度大，一些旧馆属具有标志性的历史建筑，不适合架设网络，而无线网络不受束缚，方便提供网络接入。,现代化的图书馆在库存清点、新书查询方面将大量装备手持终端设备，无线网络可为各种手持设备提供无处不在的网络接入。,无线网络可为图书馆工作人员提供移动接入，随时随处收发电子邮件等。,集中式,“瘦”,AP,架构,自适应射频,负载均衡,快速三层漫游,无线,IPv6,有线无线一体化,安全防御,移动业务支撑,无线管理,H3C,校园无线网络解决方案架构,无线交换机,802.11 a/b/g,天线,加密,移动,IP,IPSec,认证,802.1x,TKIP,Qos,切换,802.11h,位置检测,每用户的安全策略,网络自愈,RF,管理,非法无线入侵检测,802.11a/b/g,移动,IP,IPSec,认证,802.1x,TKIP,Qos,切换,802.11h,天线,加密,更易管理、安全的,无线解决方案,“,胖”,AP,“,瘦”,AP,普通交换机,无线局域网组网模式：,“胖”,AP vs“,瘦”,AP,园区网络,低成本,AP,园区网络,Mobility Domain,S3600-PWR,S3600-PWR,1,、增加,Wireless Switch,作为中央控制管理单元、认证终结点，适合大规模高等院校无线网、小型无线城域网；,2,、,Wireless Switch,与,AP,之间跨越,L2,、,L3,、广域网的灵活组网；,3,、快速漫游切换、基于用户的权限管理、无线射频环境监控、语音视频等增值业务的满足；,IP,网络,瘦,AP,组网模式,WA2110-AG,S3600-PWR,无线控制器,/AC,iMC,（,EAD,）安全策略组件,采用叠加方式在现有网络上搭建无线网络,PoE,供电简化无线网部署,PoE,端口管理,=,故障,AP,重启管理,基于现有核心交换机扩容无线管理模块，降低改造综合成本,有线网络、无线网络统一认证计费管理,采用叠加方式建立无线网络可以最大限度的减少对原有有线网络的配置更改,计费系统,接入交换机,核心,/,汇聚交换机,无线接入控制模块,网管系统,AP,AP,AP,AP,PoE,交换机,PoE,交换机,办公区,阅览室,阅览室无线区,书库,报告厅,接入交换机,校园网,无线端点准入（,EAD,）方案,无线控制器,S7500,S3600,补丁服务器,病毒服务器,S5600,S3100EI,隔离区,不符合安全策略的用户,安全客户端,安全联动设备,iMC,（,EAD,）安全策略组件,SecPath,用户集中管理，基于用户身份的安全策略管理，避免多系统互通带来的部署复杂性；,L2TP/IPSec,通道,Internet,L2TP/IPSec,通道,认证控制基于用户身份，使用,ACL,控制，可以限制到,MAC,，避免单端口单用户限制；,与交换机、路由器和防火墙等网络设备配合，支持多种接入认证方式；,客户端可以实现定制安装，支持静默安装，大大降低部署工作量和维护难度；,与微软,SMS,（,WSUS,）无缝集成实现系统补丁自动检测和升级；,支持黑白软件检查，可以广泛的与第三方桌面软件进行联动配合；,与网络设备管理平台相融合，将用户与网络设备通过网络拓扑等相关联，提升了网络管理的有效性和易管理性。,通过使用无线,EAD,，提升无线网络的安全性，并且能够同有线,EAD,用户一样限制不同类别用户的访问范围。,使用,L2TP,或,L2TP OVER IPSEC,进行远程,VPN,接入；,目录,高校数字图书馆概述,H3C,高校图书馆解决方案,H3C,高校图书馆案例介绍,H3C,服务北京大学图书馆,新馆,6,层,新馆,4,层,新馆,3,层,新馆,1,层,新馆北配楼,新馆南配楼,新图书馆,老图书馆,E050,E050,E026,E050+E026,S5624P,老馆,208,S5624P,E050+E026,E050,老馆检索大厅,老馆,102,老馆,2,层书库）,老馆培训室,老馆,215,新馆,6,层,S5648P,服务器群,S5648P,S8512,S8512,校园骨干网,老馆,135,E026,E050+E026,S5624P,H3C,服务于西安理工大学图书馆,LAN,IP SAN,交换机,IX5000,Q,P,M,IV5100,ORACLE,T3,T2,T1,P,Q,M,SnapShot Agent,IX1000,TimeMark,