1、教诲新数据中心建设方案目 录1、存在问题分析31.1网络及网络安全问题31.2教诲数据中心问题52、解决方案62.1网络及网络安全问题解决方案62.1.1教诲城域网升级优化62.1.2市教诲局办公网络建设72.1.3移动顾客远程接入92.2构建新一代教诲数据中心92.2.1构建新一代教诲数据中心技术需求102.2.2构建新一代教诲数据中心核心技术102.2.3教诲数据中心架构设计132.3城域网服务优化172.3.1城域网出口链路优化172.3.2教诲城域网应用加速173、预算清单171、存在问题分析烟台教诲城域网通过三次较大规模建设,已走在了中华人民共和国教诲信息化前列,教诲城域网成功组网模
2、式已成为当代教诲信息化建设典范,并得到教诲部大力推广。随着教诲信息化迅速发展,应用方式多样化,咱们应看到教诲信息化建设不是简朴网络互联,网络宽带化,更为重要是咱们教诲要以人为本,要构建以人为本网络,满足当代教诲多样化需求。当前教诲网络还存在着诸多问题。1.1网络及网络安全问题 教诲城域网骨干单核心组网,没有冗余保障烟台教诲城域网近来一次改造于完毕,整个教诲城域网核心采用一台思科Cisco7609路由器,13个县市区城域网通过1000M链路连接到7609路由器,此外采用一台华为NE40路由器作为整个教诲城域网出口路由。城域网核心路由器及出口路由器存在单点故障问题,如果其中一台设备浮现故障将导致整
3、个教诲城域网无法正常运营;并且,设备有效期限存着很大问题,NE40路由器已运营了五年,存在着设备老化问题,7609路由器设备质保期已近期限。 教诲城域网络安全问题城域网核心路由器内置防火墙模块存在性能瓶颈问题,随着教诲城域网流量增长,特别是互联网访问、教学资源库及中小学远程教诲等多媒体应用成为当前教诲城域网最重要应用。思科7609路由器内置单块防火墙(吞吐量只有5G)已存在着性能瓶颈问题,在网络流量高峰时经常导致顾客上不了网状况,导致无法正常访问教诲资源事件发生。 上网行为管理问题互联网给咱们带来前所未有混合威胁风险。一方面,互联网中存在着太多风险,如恶意网站、网上欺诈、网络病毒及恶意代码,给
4、网络安全带来巨大威胁;而另一方面网络违规行为泛滥,如:员工随意不受控制地访问非法网站、传递敏感信息、发布非法言论、滥用网络资源(涉及P2P下载、IM即时通讯、网络游戏、在线视频、炒股等)、外泄敏感业务信息等,严重影响网络安全,导致难以弥补损失。因而,需要一套上网行为管理系统实现对办公网顾客安全管理。 市教诲局办公网建设问题(1)办公网组网架构及模式市教诲局办公网应和核心分离出来,作为一种单独网络区域连接到教诲城域网,做到网络架构层次清晰化,便于网络扩展及维护。此外,随着无线终端大量普及,特别是笔记本电脑大量使用,无线网络无疑成为了新型办公网络发展趋势;无线局域网络具备有线网络所不具备移动性和漫
5、游功能,使得在无线信号覆盖范畴之内,局域网顾客不论在任何地方都可以实时访问信息,无线网络可以支持移动办公与移动网络管理,顾客可以随时随处在大楼内部安全接入网络。教诲局办公局域网应布置无线局域网,便于教诲局移动办公及会议、培训等应用。(2)远程办公灵活性差,安全得不到保障当前,Web成为原则平台已势不可挡,越来越多单位开始将各种应用移植到Web上。然而,有些资源只能在内部访问,并没有对外发布,如果外网顾客(出差或家庭办公)如何安全地访问内网资源呢?普通状况下,是通过VPN方式接入。VPN建在互联网公共网络架构上,通过“隧道”合同,在发端加密数据、在收端解密数据,以保证数据私密性。教诲网内某些应用
6、如办公系统、内部资源库,如果对外发布存在着很大安全问题,因而需要一种安全有效方式解决这一问题。(3)办公网病毒防护问题为实现办公网安全,有必要在办公网内布置一套网络版防病毒系统。实现终端安全接入,通过网络版防病毒系统将病毒进行有效隔离。1.2教诲数据中心问题 服务器及存储设备问题网络中心既有存储设备都是采用DAS方式(直连存储,一对一连接方式),当前共有5台设备,使用年限都在五年以上;并且这些设备需要分散管理维护,灵活性和设备运用率较差。此外,随着服务器数量增多,就不能再采用DAS存储。因而,咱们需要构建SAN存储网络,实现网络服务器与存储设备之间多对多连接。SAN 架构优势在于,强大扩展性、
7、各种存储设备集中和新架构支撑下新型数据应用方式。此外,原有服务器使用年限分别达到了五年至七年,设备性能较低。 数据中心架构模式问题(1)维护管理难在既有构架网络中进行业务扩容、迁移或增长新服务功能越来越困难,每一次变更都将牵涉互有关联、不同步期按不同初衷建设各种物理设施,涉及各种不同领域、不同服务方向,工作繁琐、维护困难,并且容易浮现漏洞和差错。例如数据中心新增长一种业务类型,需要调节新应用访问控制需求,此时管理员不但要理解新业务逻辑访问方略,还要精通物理防火墙实体布置、连接、安装,要考虑是增长新防火墙端口、还是需要添置新防火墙设备,要考虑如何以及何处接入,有无相应接口,如何跳线,以及随之而来
8、VLAN、路由等等,如果网络中尚有诸如地址转换、7层互换等等服务与之有关联,那将是非常繁杂任务。当这样IT资源需求在短期内累积,将极易在使得系统维护质量和稳定性下降,同步反过来减慢新业务布置,进而阻碍业务推动和发展。(2)资源运用率低既有架构方式对底层资源投入与在上层业务所收到效果很难得到同比发展,最普遍现象就是忙设备不堪重负,闲设备资源储备过多,两者互相之间又无法借用和共用。这是由于对底层网络建设是以功能单元为中心进行建设,并不考虑上层业务对底层资源调用优化,这使得对网络投入往往无法获得同样业务应用效果改进,反而挥霍了较多资源和维护成本。(3)服务方略不一致既有架构最严重问题是这种以孤立设备
9、功能为中心设计思路无法真正从整个系统角度制定统一服务方略,例如安全方略、高可用性方略、业务优化方略等等,导致跨平台方略不一致性,从而难以将所投入产品能力形成合力为上层业务提供强大服务支撑。2、解决方案2.1网络及网络安全问题解决方案2.1.1教诲城域网升级优化 增长一台模块化路由器为理解决网络核心单点故障问题,建议增长一台模块化路由器。正常状况下,这台路由器作为因特网出口使用,通过内置防火墙模块实现NAT地址转换及边界安全防护,这台路由器与既有NE40路由器实现出口负载分担,规划NE40路由器用于连接电信,新路由器用于连接Cernet及新联通;在设备选型上选用思科Cisco7606S路由器,配
10、备SUP32引引擎,双电源;Cisco7606S路由器与既有核心路由器Cisco7609板卡通用,如果核心路由器Cisco7609浮现故障,那么这台新路由器可以接替Cisco7609工作,最大限度上保障网络可持续运营。如下图所示: 增长两块防火墙模块,解决城域网安全及性能瓶颈问题为理解决因特网出口冗余及原有内置防火墙性能瓶颈问题,建议增长两块防火墙模块,其中一块内置于出口路由器Cisco7606S中,实现NAT转换及城域网边界安全防护,另一块防火墙内置于核心路由器Cisco7609中,完毕城域网出口安全防护、服务器安全防护及上网日记记录功能。2.1.2市教诲局办公网络建设教诲局新办公大楼,涉及
11、原有楼宇某些和新建楼宇某些,共两栋楼,每栋6层。原有大楼涉及约110间房,新建某些预计90间,共计约200间,每个房间规划2个信息点,其计400个。网络中心位于原大楼6层(教诲信息中心),含大中心机房1个,大、中、小会议室3个,网络培训教室1个。在新办公大楼组网方式上要充分运用当前计算机网络技术,将有线与无线紧密结合,建设一套当代化新型办公网络,更好地服务于教学研究和行政办公。整个办公网络采用层次化网络拓扑构造,在网络核心设计一台思科万兆路由互换机-CAT4506E作为整个教诲局内部办公网核心,核心互换机负责办公子网内数据互换与转发,通过万兆链路连接至教诲信息中心骨干路由器,万兆端口提供了高速
12、数据传播带宽,充分满足办公及多媒体应用需求,CAT4506与7609路由器之间启用OSPF动态路由。本次网络建设要完毕400各种信息点综合布线,所有采用6类非屏蔽双胶线;接入层设计8台全千兆互换机,通过1000M多模光纤连接核心4506E互换机。在接入层设备选型上采用思科3560G智能三层互换机,该提供48个1000M电口,为终端顾客提供高速带宽同步,通过所支持POE功能还能为无线Wi-Fi设备(如无线接入AP,移动电话)、监控摄像头、IP电话提供以太网在线供电功能(绿色环保),充分满足将来几年内新型网络需求。在网络组网方式上,将有线与无线技术结合起来。近年来随着移动终端大量普及,更加增进了无
13、线网络技术发展,无线网络在解决某些场合,如实验室、会议室等地点难以布线问题同步,还可以简化在这些区域网络实行,通过无线网络覆盖,有效节约了布线成本和相应管理维护成本,无线系统正逐渐成为不少发达国家教诲机构、院校或部门重要构成某些。为了迎合新型绿色网络发展趋势,本次网络建设规划设计无线局域网。在技术选型上,采用集中管理架构,设计一台无线控制器-思科WLC4402,对所有接入AP进行集中管理,实现无线移动顾客接入负载均衡和漫游。无线接入AP在产品选型上采用思科最新一代支持802.11nLAP1141N,为无线接入终端提供更高传播带宽。本次无线接入网络规划在两栋办公楼中每层布置2台AP,三个会议室及
14、网络培训教室各布置一台,共计28台。2.1.3移动顾客远程接入为理解决移动顾客远程办公问题,建议在教诲网络中布置SSL VPN网关设备,通过与互联网建立加密隧道,以保护对教诲资源安全访问。运用SSL VPN全面网络接入,几乎可以访问网络上所有应用、服务器或资源。全面网络接入通过轻量级VPN客户端软件提供,该软件可以在连接到SSL VPN网关之后动态下载到顾客桌面上(通过Web浏览器连接)。由于这种VPN客户端不需要人工软件分发或最后顾客交互就能动态下载和更新,因而几乎不需要IT部门提供桌面支持,可以减少布置和运作成本。与无客户端接入相似,全面网络接入也可以按照最后顾客访问权限提供完全访问控制定
15、制。运用全面网络接入,员工可以远程访问到在办公室里可以访问到所有应用和网络资源,以及不能通过基于Web无客户端连接提供所有客户端-服务器应用。2.2构建新一代教诲数据中心在数据大集中趋势下,数据中心服务器规模越来越庞大。随着服务器规模成倍增长,硬件成本也水涨船高,同步管理众多服务器维护成本也随着增长。为了减少数据中心硬件成本和管理难度,对大量服务器进行整合成了必然趋势。通过整合,可以将各种业务集成在同一台服务器上,直接减少服务器数量,有效减少服务器硬件成本和管理难度。数据中心资源整合和虚拟化正在不断发展,这需要高度可扩展永续安全数据中心网络基本。网络不但能让顾客安全访问各种数据中心服务,还能依
16、照需要实现共享数据中心组件布置、互联和汇聚,涉及各种应用、服务器、网络设备和存储。恰当规划数据中心网络不但能保护应用和数据完整性,提高应用可用性和性能,还能增强对不断变化市场状况、业务重要限度和技术先进性反映能力。2.2.1构建新一代教诲数据中心技术需求 虚拟化能力虚拟化其实就是把已整合资源以一种与物理位置、物理存在、物理状态等无关方式进行调用,是从物理资源到服务形态质变过程。虚拟化是实现物理资源复用、减少管理维护复杂度、提高设备运用率核心,同步也是为将来自动实现资源协调和配备打下基本。新一代数据中心网络规定可以提供各种方式虚拟化能力,不但仅是老式网络虚拟化(例如VLAN、VPN等),还必要做
17、到:l 互换虚拟化l 智能服务虚拟化l 服务器虚拟化 绿色数据中心规定当前能源日趋紧张,能源价格也飞扬直上;节能减排是咱们每个人都关怀议题。如何最大限度运用能源、减少功耗,以最有效率方式实现高性能、高稳定性服务是新一代数据中心必要考虑问题。2.2.2构建新一代教诲数据中心核心技术 一体化互换技术DCE(数据中心以太网)技术重要目的是实现老式数据中心最大限度资源整合,从而实现面向服务数据中心最后目的。在老式数据中心中存在三种网络:使用光纤存储互换机存储互换网络(Fiber Channel SAN),便于实现CPU、内存资源并行化解决高性能计算网络(多采用高带宽低延迟InfiniBand技术),以
18、及老式数据局域网。DCE技术将这三种网络实当前统一传播平台上,即DCE将使用一种互换技术同步实现远程存储、远程并行计算解决和老式数据网络功能。这样才干最大化实现三种资源整合,从而便于实现跨平台资源调度和虚拟化服务,提高投资有效性,同步还减少了管理成本。烟台教诲新数据中心要实现存储网络和老式数据网络双网合一,使用DCE技术实现两者一体化互换。当前在以太网上融合老式局域网和存储网络唯一成熟技术原则是Fiber Channel Over Ethernet技术(FCoE),它已在原则上给出了如何把存储网(SAN)数据帧封装在以太网帧内进行转发有关技术合同。由于该项技术简朴性、高效率、经济性,当前已经形
19、成相对成熟涉及存储厂商、网络设备厂商、主机厂商、网卡厂商生态链。 性能支撑能力为保证明现一体化互换和资源整合,DCE还必要对老式以太网性能和可扩展性进行革新。一方面为保证三网合一后带宽资源,万兆以太网技术只是DCE核心层带宽起点。而正在发展中40G/100G以太网才是DCE技术将来主流带宽。因而,要保证咱们今天采购设备能有5年以上生命周期,就必要考虑硬件可扩展能力。此外存储网络和高性能计算所规定通过网络实现远程磁盘读写、内存同步性能需求,DCE设备必要提供比老式以太网设备低几种数量级端口间转发延迟。DCE规定核心层三层转发延迟应可达到30us如下,接入层二层转发延迟应可在34us如下。这都是老
20、式以太网技术无法实现性能指标规定。 虚拟化技术(1)网络及服务虚拟化在服务资源整合以及设备虚拟化基本之上,DCE规定每个虚拟化网络应用区均有自己业务服务设施,例如自己防火墙、IDS、负载均衡器、SSL加速、网络服务,这些如果都是物理上独占式分派,将是高成本、低效率且难于维护管理。DCE网络在提供这些网络智能服务时都可以以虚拟化方式实现各类服务资源调用,思科DCE网络中就可以实现虚拟防火墙、虚拟IDS、虚拟负载均衡器、虚拟SSL VPN网络等等,从而实现网络智能服务虚拟化。(2)服务器虚拟化服务器虚拟化可以使上层业务应用仅仅依照自己所需计算资源占用规定来对CPU、内存、I/O和应用资源等实现自由
21、调度,而不必考虑该应用所在物理关联和位置。当前商用化最为成功服务器虚拟化解决方案是VMWareVMotion系列,微软Virtual Server和许多其他第三方厂商(如Intel、AMD等)也正在加入,使得服务器虚拟化解决方案将越来越完善和普及。然而人们越来越意识到服务器虚拟化系统解决方案中除了应用、主机、操作系统角色外,网络将是一种更为至关重要角色。网络将把各个自由联系成为一种整体,网络将是实现自由虚拟化桥梁。 大容量存储能力由于计算机技术特别是存储技术发展日新月异、一日千里,新技术、产品不断涌现,而某些旧、过时技术、产品也逐渐地退出历史舞台,如何保证存储系统在这种状况下可以不断地完善、发
22、展,保持系统实用性和技术先进性是在整个系统规划阶段必须考虑问题。集中化存储管理思想是一种非常有效经济解决方案。由于对于磁盘阵列来说,只有一套管理系统,这样就可以极为以便地进行磁盘监控,性能调试。增长或者重新配备磁盘也变得非常简朴。最大化合成集中设备,也使得存储系统宕机风险降至最低。同步,一套完善备份方案就可以有效地进行数据备份及恢复。数据传播能力将直接影响整个系统性能。当今计算技术发展,主机CPU 主频,内存容量飞速提高,系统性能瓶颈重要集中在数据读写,传送能力。为了提高性能,存储系统发展方向应当是大缓存,固化高解决能力CPU,配备功能先进存储软件。 服务器负载均衡技术需要提供四到七层数据包内
23、容互换和负载均衡功能,为服务器机群提供虚拟地址和端口,从而可以有效地对重要应用数据传送进行优化和简化。同步,为数据中心服务器应用提供应用级安全保护。 “绿色”数据中心DCE技术整合化、虚拟化和自动化自身就是在达到同样业务能力规定下实现高效率运用硬件资源、减少总硬件投入、节约维护管理成本等方面最佳途径,这自身也是绿色数据中心必要条件。2.2.3教诲数据中心架构设计 刀片服务器-UCS统一计算系统随着随着烟台教诲规模进一步扩大,教师和学生对于计算机需求进一步提高,以塔式和机架式服务器为主计算中心难以承担越来越细化需求,容易面临扩容任务。而当前服务器技术发展趋势是刀片服务器,烟台教诲平台设计选取刀片
24、服务器。考虑教诲教学中视频流量极大,对带宽规定高,建议刀片服务器配备万兆接口。刀片服务器是一种HAHD(High Availability High Density,高可用高密度)低成本服务器平台,是专门为特殊应用行业和高密度计算机环境设计,其重要构造为一大型主体机箱,内部可插上许多“刀片”,其中每一块刀片事实上就是一块系统母板,类似于一种个独立服务器,它们可以通过本地硬盘启动自己操作系统。刀片式服务器具备四大特点,一方面是布置简朴、易于维护,所有线都连在机柜上,布线只有本来1/10或者1/20。另一方面是维护成本低,服务器浮现问题时候,刀片可以及时更换并立即启用,而塔式和机架式则不也许做到这
25、一点。第三是节约占用空间成本和能源消耗成本,机架式服务器自身要带电源、光驱、软驱等一系列基本设施,不但占用了宝贵空间更增添了能源消耗成本。而一种机柜中所有刀片都能共用一套基本设施,除了空间运用率更高之外,集中供电效率也远比单机要高诸多。本期烟台教诲共计设计8台服务器,在本次设计中考虑使用虚拟化技术, 8个刀片服务器可以虚拟成30-50台服务器。在新教诲数据中心建设中咱们建议选取思科统一计算系统(UCS)。UCS是一种抱负虚拟化抱负平台,由于它减少了I / O 、CPU和内存等虚拟化“痛点”(pain point)问题。 作为 Cisco Data Center 3.0 愿景下一步发展目的,统一
26、计算是一种数据中心架构,在一种紧密结合高可用性系统中整合了计算、网络、存储访问与虚拟化功能,旨在减少总体拥有成本(TCO),同步提高业务灵活性。思科统一计算系统(UCS)基于工业原则之上,致力于: 精简数据中心资源。 扩展服务交付。 从主线上减少需要设立、管理、电源/冷却和布线设备数量。思科统一计算架构可在明显减少数据中心总体拥有成本同步,有效提高 IT 灵活性和响应能力。它可以: 通过为虚拟化和非虚拟化环境提供即时配备和移动性支持,提高业务灵活性。 明显减少整个平台、站点和整个公司总体拥有成本。虚拟环境需要一致I/O配备,为资源池中所有服务器系统管理程序提供统一支持。它们还需要可以支持虚拟机
27、(VM)在资源池中各服务器间移动,同步又能满足各虚拟机带宽和安全规定I/O配备。思科统一计算系统以一种低延时无丢包10-Gbps统一网络阵列为基本,可以满足这一需要。Cisco UCS 5108刀片机箱中刀片服务器通过扩展卡访问阵列,每刀片服务器吞吐率高达40 Gbps。该统一阵列采用“一次布线”布置模式,机箱只通过线缆连接到互联阵列一次,I/O配备变化只需通过管理系统进行,而无需安装主机适配器以及对机架和互换机重布线。此统一阵列不再需要在每个服务器中布置冗余以太网和光纤通道适配器,也不必采用独立布线连接接入层互换机,并为每种网络媒体使用不同互换机,因而大大简化了机架布线。所有流量都路由到中央
28、服务器互联,随后以太网和光纤通道流量可独立传播到本地非整合网络。 数据存储系统为实现烟台教诲数据中心核心数据集中存储和管理,在本次项目中布置NAS和FC SAN/IP SAN,NS480系统可同步支持NAS、IP SAN、FC SAN。烟台教诲数据量初期设计15TB,配备11块400GFC硬盘,15块1T SATA盘,随着数据量不断增长,后期只需增长硬盘。咱们推荐EMC NS480单台设备可支持480块驱动器。CISCO 统一计算和EMC存储更紧密结合,可觉得客户提供计算+存储完美解决方案。通过统一互联阵列,存储设备可以和刀片服务器直接连接起来。这样不但轻松实现了服务器和存储整合,并且大大减少
29、了顾客在数据中心建设成本、空间成本、管理成本和使用成本。对于需要共享数据,例如VOD、课件等数据采用NAS架构存储。数据中心服务器+存储架构图如下: 服务器虚拟化设计虚拟化可以大幅度提高数据中心资源和应用程序效率和可用性。在旧“一台服务器一种应用程序”模式下,内部资源未得到充分运用,并且 IT 管理员将太多时间花在服务器管理上,而不是用于创新。借助在 VMware 虚拟化平台基本上构建自动化数据中心,您可以此前所未有速度和效率响应市场动态。VMware vSphere 可以按需要随时将资源、应用程序甚至服务器分派到相应位置。VMware 客户通过使用 VMware Infrastructure
30、 整合其资源池和实现计算机高可用性,普通可以节约 50% 到 70% IT 总成本。单台物理服务器配备各种虚拟服务器性能根据:依照记录,对于老式服务器应用方式,普通服务器平均运用率在5-15%之间,而采用虚拟架构整合后,服务器平均运用率可达到60%-80%。通过上面分析,咱们完全可以通过在8台高配备四核服务器上创立几十个虚拟服务器方式结合某些原有服务器,来完毕老式方式需要十几台台服务器才干完毕工作,顾客在减少成本方式,还大大减少了环境复杂性,减少了对机房环境需求,同步具备更灵活稳定管理特性。此外,采用SAN集中存储方式,可以将每个虚拟机文献系统创立在共享SAN集中存储阵列上,通过将这些文献放在
31、SAN存储阵列上虚拟机文献系统中,可以让不同服务器上虚拟机都可以访问到该文献,从而消除了单点故障。2.3城域网服务优化2.3.1城域网出口链路优化当前教诲城域网出口重要连接新联通及电信,为理解决烟台教诲城域网多余口负载均衡状况,建议在城域网出口布置基于链路负载均衡设备,以保证网络服务质量,消除单点故障,减少停机时间。通过检测每条链路运营状态和可用性,做到链路和ISP故障实时检测。一旦浮现故障,流量将被透明动态引导至其他可用链路。通过监控和管理出入数据中心双向流量,内部和外部顾客均可保持网络全时连接。在方案中咱们建议采用F5公司链路负载均衡设备。2.3.2教诲城域网应用加速随着教诲网顾客增多,最后顾客对上网速度规定越来越高,在基于合同(如HTTP)Web所固有缓慢真正因素变得越来越明显。各种因素引起基于Web合同全网延迟,这些因素涉及拥塞网络、拥塞服务器和包丢失。教诲城域网中大量顾客访问因特网,存在同一网页重复祈求问题,这样不但占用网络出口带宽,并且导致响应速度慢问题。因而,需要专用设备通过高效缓存提供互联网访问网络性能提高,同步通过集成先进代理功能和安全服务,如内容过滤(URL过滤等)、即时消息控制、Web病毒扫描和P2P文献共享应用控制。此外,也可以实现对上网顾客访问日记记录与查询。因而,建议增长一台BlueCoat WEB缓存系统,提高上网顾客访问速度。3、预算清单见附表