教育行业解决方案校园云方案.docx
《教育行业解决方案校园云方案.docx》由会员分享,可在线阅读,更多相关《教育行业解决方案校园云方案.docx(16页珍藏版)》请在冰豆网上搜索。
教育行业解决方案校园云方案
方案相关内容
一、校园信息化建设面临的挑战
近几年来教育信息化在基础设施和应用系统建设方面取得了很大的成绩,但是在其建设当中,IT资源部署方式仍然是按照应用进行物理的划分,这种部署方式可能存在以下风险和挑战:
1、资源利用率低
由于应用与资源绑定,每个应用都需要按照其峰值业务量进行资源的配置,这导致在大部分时间许多资源都处于闲置状态,不仅造成服务器的资源利用率较低,而且对资源的共享、数据的共享造成了天然的障碍。
2、运维成本高
随着学校新应用系统的增加,服务器、网络和存储的设备数量也会出现迅速的膨胀,在传统的数据中心建设模式下,会造成占地空间、电力供应、散热制冷和维护成本的急剧上升,为学校长远的IT投入和运维带来挑战。
3、业务部署缓慢
在传统的模式下,学校的各个部门如果要部署新的业务,那么在提交变更请求与进行运营变更之间存在较大延迟,每一次的业务部署都要经历硬件选型、采购、上架安装、操作系统和应用程序安装以及网络配置等操作,使得业务的部署极为缓慢。
4、管理策略分散
当前的IT资源运维管理缺乏统计的集中化IT构建策略,无法对信息化校园网数据中心的基础设施进行监控、管理、报告和远程访问,IT管理策略分散。
校园网数据中心作为学校教学和日常管理等关键业务正常运行的平台和进一步发展的基石,随着学校的不断发展,其对承载的关键业务、核心应用,对于信息数据的完整性、业务运行的可靠性、网络系统的可用性的要求越来越高,因此,要求其必须拥有更强的IT服务能力,保持高效稳定的运行,数据中心的升级建设势在必行。
二、H3C云网融合解决方案
目前IT信息技术已经延伸到学校的各个层面,从学校角度看,云计算有利于整合信息资源,实现信息共享,促进学校教学和科研水平的发展。
从用户角度看,利用云计算可以独立实现或享受某一项具体的业务和服务。
因此云计算将在高校的IT政策和战略中正扮演越来越重要的角色。
但很多高校在云平台的建设过程中,只注重“云”的建设,却忽略了与云计算相配套的网络。
H3C创新性的将云计算与网络进行了完美的融合,利用H3C在数据通信网络方面的优势,结合H3C云计算产品,推出了业界内独一无二的“云网融合”解决方案,将网络与云的结合发挥到了极致。
它不但拥有传统云计算所有的功能,并且还具备传统云计算所无法比拟的“云网融合”优势和特点。
H3C“云网融合“云计算解决方案架构图和特性如下:
自助式云业务工作流
自助式服务管理为用户提供了一个安全的、多租户的、可自助服务的IaaS,是一种全新的基础架构交付和使用模式。
通过H3CCAS云计算管理平台提供的虚拟化资源池功能,使IT部门能够将计算、存储和网络等物理资源抽象成按需提供的弹性虚拟资源池,以消费单元(即组织或虚拟数据中心)的形式对外提供服务,IT部门能够通过完全自动化的自助服务访问,为用户提供这些消费单元以及其它包括虚拟机和操作系统镜像等在内的基础架构和应用服务模板。
这种自助式的服务真正实现了云计算的敏捷性、可控性和高效性,并极大程度地提高了业务的响应能力。
网络接入层虚拟机感知
虚拟化数据中新带来的最大挑战就是网络安全策略要跟随虚拟机自动迁移。
在创建虚拟机或虚拟机迁移时,虚拟机主机需要能够正常运行,除了在服务器上的资源合理调度,其网络连接的合理调度也是必须的。
网络安全配置自动迁移示意图
因此在发生虚拟机创建或迁移时,需要同步调整相关的网络安全配置。
并且,为了保证虚拟机的业务连续性,除了虚拟化软件能保证虚拟机在服务器上的快速迁移,相应的网络连接配置迁移也需要实时完成。
即网络具有“随需而动”的自动化能力。
VEPA不仅简化了虚拟化结构,并使得网络参与虚拟化计算,变革了原来交叠不清的管理界面和模式,关联了虚拟机变化(创建、迁移、撤销、属性修改等)和网络感知,这些都是通过确定和简单的技术如MultiChannel和协议如VDP来实现的。
目前正在形成标准的VDP方案对网络安全配置自动迁移提供了良好的支撑能力。
H3Cloud真正实现了计算虚拟化与网络虚拟化融合,可进行计算资源池与网络资源池的自动化部署。
多租户云安全
H3C动态虚拟安全的构建主要分4个层面,一是基于VEPA或VLAN将VM流量引出并进行识别,为下一步给不同流量部署不同级别安全策略作准备;二是防火墙资源动态分配,这是动态安全最为核心的一个步骤。
通过1虚多的虚拟化技术,将一台防火墙设备虚拟化为多个虚拟墙,根据不同的需要动态分配;三是通过防火墙插卡平滑扩展规格,满足虚拟防火墙数量和性能平滑扩展,实现大规模的运营;四是防火墙资源池统一管理,虚拟化的防火墙资源池能够在防火墙管理平台上进行可视化的统一管理和操作。
如下图所示:
自动化动态资源扩展
H3CCASCVM虚拟化管理系统可以实现基于用户业务负载的资源动态扩展功能。
即当用户某项正常运行的业务面临突发流量访问时,H3CCASCVM虚拟化管理系统能够监测到业务所在虚拟机性能不足,并将虚拟机进行快速复制,配合负载均衡设备对外提供服务,当访问高峰过后,H3CCASCVM虚拟化管理系统能够动态的收缩,删除过剩的虚拟机,从而实现计算资源随需而动。
动态资源扩展
高性能:
将业务均衡地分配到多个虚拟机,提高了业务系统的整体服务性能。
可扩展:
业务的自动弹性扩展,在不降低业务质量的前提下满足不断增长的业务需求。
可管理:
兼容常见的软硬件负载均衡设备,如H3C、F5、Citrix等。
H3Cloud一体机
基于H3Cloud实现一体机的交付,整合了硬件产品(包括服务器、存储、网络、AC、LB),软件产品(包括H3C虚拟化平台、云管理平台)。
H3Cloud一体机可以大大降低他们的系统集成成本。
同时可实现开箱即用,基于事先做好的虚拟机应用模板快速安装部署。
而且业务软件无需进行修改,即可以部署在H3Cloud云中,能够享受到云计算带来的快速交付与弹性扩展等优势。
跨平台的资源管理与应用交付
H3C云计算管理平台除了对H3C自有的虚拟化资源进行管理外,还兼容管理Vmware虚拟化环境,实现异构云资源的整合和统一管理,保护学校已有投资。
H3Cloud云网融合解决方案,完美的将校园网和云计算进行了融合。
在接下来智慧校园的建设浪潮中,H3Cloud云网融合解决方案将帮助智慧校园真正得到落地。
安全运维----高校集中式认证方案(AOC)
方案相关内容
概述:
随着学校对现代信息化建设的投入越来越大,越来越多的业务已经承载在校园网中为学生老师提供大量的应用。
这些业务系统对于学校来说虽然是一个相对开放的网络,但是学校并不是一个天然的网吧,需要对任何接入的终端用户实施有效的管理,目前校园一般具有两种管理策略:
基于身份认证的准入管理和基于身份认证的准出管理,两者功能不一,前者通过身份验证授权用户访问校园网,实现了入网即认证,而后者则授权用户访问internet,并配合流控及计费完成学校对于用户的精细化管理。
很显然基于身份认证的准出管理无法保障校园内网的安全性,所以要做到有效的校内安全管理,准入认证必不可少,H3C通过对高校准入认证的问题提出了自己的集中式认证(AOC)方案。
挑战:
校园安全一直是各高校信息部门最为关注的问题,这些安全问题大量来自与ARP攻击、ND攻击等,同时也面临着校园用户在外或在内BBS论坛上发标非法言论或其他网络违规行为,解决这一问题最好的解决方案就是做用户之间的隔离,同时做实名制的接入认证。
但是由于802.1qvlan仅仅只支持4K个用户VLAN所以使得在每个用户隔离上遇到了瓶颈,同时由于对于学校的入口-----接入交换机,大多仅仅支持802.1X认证,每个登录用户都需要安装客户端才能进行认证为用户添加了不便,即使后期通过设备升级支持portal认证,也将面临大量配置的问题。
面对这么多问题,学校急需一种既能保障其校园网安全,又能简单运维,且能与出口认证互相配合的认证方式。
解决方案及价值实现
H3C充分了解用户的需求,并提出了自己的集中式portal认证解决方案,很好的满足了用户安全管理、简单运维等需求。
此套方案中整一个校园网处于一个大二层的架构中,用户与用户实现了二层的隔离,核心作为三层网关和认证接入点为用户提供三层转发及认证等功能。
安全的基准PUPV:
此方案中利用了QINQ的双层VLAN特性,将接入层设备的用户VLAN嵌套在外层VLAN中,实现了4K*4K个用户VLAN的扩展,使得能很好的满足学校用户与用户之间隔离的需求,从根本上断绝了ARP/ND攻击保障了校园网络的安全性。
IPv6简单升级
对于老校区的改造,升级IPv6一直是一件痛苦的事情,传统方式学校需要对于接入或者汇聚进行升级以获得设备对于双栈协议的支持,而大量的接入与汇聚改造不仅增加了设备的采购成本,同时重新配置如此庞大的设备也让学校运维人员望而却步,而在集中式认证的组网方式下,所有的汇聚、接入均处于一个大二层的环境,实现了IPv6的自然透传。
这样不仅节约了用户的成本,还使得用户配置大大简化,极好的契合了目前高校的需求。
双网融合统一认证
面对大量无线校园网的落地,无线的认证如何能与有线认证融合将是管理员们所关心的问题,H3C集中式portal解决方案通过核心集中式认证的方式很好的解决了无线网认证与有线网融合的问题,所有无线网路的流量会通过AC透传至核心交换机做集中式的portal认证使得无线网的认证扩展更为简单,同时配合H3C无线BYOD的方案,相信能为高校用户提供更为精细化的管理和控制。
H3C无线校园网解决方案概述
方案相关内容
H3C从2000年正式组建WLAN研发团队到今年已经走过了13个年头,这13年来H3C从专注FITAP架构研究到起草的无线管理标准正式成为IETFRFC;从部署国内首个采用FITAP架构的985大学无线校园网到连续5年保持中国WLAN市场第一份额。
今年更是推出BYOD、86面板AP、802.11AC、下一代企业级无线控制器等产品使H3C的无线解决方案更加完善,从而使H3C拥有更强的技术实力应对云计算与移动互联网时代无线校园的新挑战。
智能化挑战
根据玛丽米克尔发布的最新互联网趋势报告预计2013年智能手机加平板电脑保有量将超过PC,而报告显示截至到2012年Q4,全球智能手机用户达到11亿,同比增长42%。
无线终端种类、数量的大幅度增加,在我们实施无线校园网时将面临巨大的挑战。
终端:
无线网络中存在笔记本、PAD、手机、摄像头等多种不同终端类型,不同终端使用不同的操作系统,Andriod、IOS、windows系统和系统之间的差异性巨大,复杂的终端种类对无线网路的需求不同。
角色:
学校需要使用无线网络的不仅仅有学生,还有老师、领导、访客等不同角色,他们对无线网路的访问需求是不同的,管理员需要考虑如何为不同的角色选择一个简单、安全的无线接入方式,如何针对不同场景下的用户选择合适的接入方式。
H3C“智能终端识别技术“可以识别不同的终端类型,通过设备指纹级别标识,判断出具体设备种类、设备型号、软件版本等信息,H3C“无感知认证技术”在Portal认证的基础上,通过无线控制器和iMCUAM服务器配合实现的“一次接入,多次使用”的智能终端无感知认证方案,解决了传统Peap、Portal认证的终端兼容性和易用性难题。
基于场景的策略授权方案解决智能终端多场景下的管理问题,能够基于不同的终端类型、用户、位置、SSID、接入时段等多元素对用户的接入场景进行网络授权。
精细化挑战
无线网络的效果三分靠产品,七分靠部署,尤其是前期的工勘和后期的部署方案,H3C在教育行业有丰富的无线实施经验,进而构建详细的无线网络指标体系,通过“信号指标”“AP性能指标”“AC性能指标”“数据侧指标”等多维度数据来评价无线网络的优劣,而针对无线部署、信号入室很头疼的宿舍楼,H3C推出了第三代分路式“X-Share”解决方案。
学校宿舍区是