三通两平台材料三通两平台整体方Word下载.docx
《三通两平台材料三通两平台整体方Word下载.docx》由会员分享,可在线阅读,更多相关《三通两平台材料三通两平台整体方Word下载.docx(51页珍藏版)》请在冰豆网上搜索。
帮助教师运用探究学习模式开展日常学科教学。
学生也可利用相应工具自行组织探究性学习。
1.2.2.名师课堂
名师讲堂:
名师讲堂模式主要用于名师讲解学科重点难点,帮助学生更好地达成学习目标。
讲授内容以各学科和专业课程章节重难点和期末总结为主。
名师导学:
名师导学模式通过将教师课堂讲授与智能学习系统(“名师”)的诊断与导学相结合,实现差异化教学和个性化指导,提高学生学习能力。
1.2.3.网络协作教研
跨校网络协作教研
跨区域网络协作教研模式是利用国家数字教育资源公共服务平台提供的虚拟教研社区功能,组织不同区域教师开展协作教研活动,实现交流学习、优势互补、共同提高。
名师工作室
名师工作室模式用于有组织地开放以特级教师和学科骨干教师本人命名的教师空间,为广大教师有针对性的选择与自己教育教学相关的专家或专家团队进行持续的教学科研提供服务。
1.2.4.资源类应用
在区资源中心以自建、学校提供、企业提供等多种方式将传统知识点和学习内容电子化,以趣味、生动的方式呈现,提高学生学习兴趣和理解能力。
1.2.5.互动教学
在教学过程中融入互动的体验,远程学习(名师讲堂类)时学生与老师远程互动,教学过程中与家长互动等。
1.2.6.教育管理平台
将传统的OA办公、学籍管理、考勤系统、考核系统、行政办公系统、E-Mail等管理类系统统一为教育门户,提供一体化的教育管理工作平台。
1.3.建设内容
1.3.1.三通两平台一中心
两个平台,一个中心
所有的应用规划从对象角度来区分可以分为两大平台,一个是教学资源公共服务平台,一个是教育管理公共服务平台。
两平台均以应用软件方式呈现,需要一个统一的硬件数据中心来承载,所以建设的首要内容就是“两个平台,一个中心”。
资源到校——校校通
两大平台的内容统称为“资源”,资源区内学校共享的财富,实现共享的手段就是将资源送到学校,也就是通过网络实现学校与教育局资源中心的连接,也即传统校校通的建设部分。
学校1
学校2
学校3
资源中心
资源到班级——班班通
让学生在教室就能使用优质的教学资源,实现与远程名师的在线互动,就是资源到班级的建设内容。
包括多媒体教室,无线网络覆盖班级实现班班通。
资源到个人——人人通
学生放学后依然能使用教学资源,老师在家、出差时期也能便捷使用备课系统,家长辅导学生等应用场景的实现,就是建设人人通空间,学生、家长、老师都能随时随地访问的内容。
第2章.城域网及资源中心方案整体设计
2.1.设计原则与思路
城域网及资源中心的建设原则是能够高效、安全、绿色的支撑应用系统的使用,相比传统城域网建设,体现在几个层面的变化:
1、数据中心的形成
相比传统服务器部署而言,资源中心的建设要求有统一的数据中心来承载两大平台的运行
2、虚拟化的使用
为了整合资源中心的硬件资源,会大量使用虚拟化技术来建设弹性的资源池;
3、应用类型对网络带宽的消耗
应用的规划以动画、视频、互动等大流量应用为主,相比传统网络带宽要求提升10~20倍;
4、用户规模的剧增
资源的使用者增加了学生,相比传统只有老师使用的环境,用户规模增加了10~20倍;
5、流量模型的变化
用户的访问模型以学校访问资源中心的流量为主,基本上为纵向流量;
6、允许断网时间的变化
教学系统上网意味着对网络可靠性的要求提高,允许断网时间应该控制在分钟级别;
所以在城域网和资源中心的设计上需要遵循以下原则:
高性能——骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(视频、动画)的高质量传输,才能使网络不成为业务开展的瓶颈。
高可靠性——网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,设备充分考虑冗余、容错能力;
合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。
网络设备在出现故障时应便于诊断和排除,充分体现计算机网络的高可靠性。
安全性——制订统一的网络安全策略,整体考虑网络平台的安全性,保证师生能够安全、绿色的使用资源。
独立性——学校与教育局之间采用公网连接会导致一些应用系统的不可用(比如名师讲堂、双向教学等),而且公网连接也使得网络不安全、不可控等隐患,所以教育局与学校之间应该采用裸光纤或者VPN方式连接;
技术先进性和实用性——在保证满足校园业务、应用系统业务的同时,要体现出网络系统的先进性。
在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑网络应用的现状和未来发展趋势。
标准开放性——支持国际上通用的网络协议、路由协议等开放的协议标准,有利于保证与其它网络(如中国教育网、公共数据网、学校之间等其它网络)之间的平滑连接互通,以及将来网络的扩展。
灵活性及可扩展性——根据未来业务的增长和变化,网络可以平滑地扩充和升级,最大程度的减少对网络架构和现有设备的调整。
可管理性——对网络实行集中监测、分权管理,并统一分配带宽资源。
选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。
强QOS、强组播特性——城域网因为对视频、音频等多媒体业务的需求较大,所以整个网络具有较完善的QOS特性对教育网而言就显得尤为重要。
能不能对关键业务进行带宽优先保证尤其是那些对时延敏感的业务进行保证是教育网必须考虑的一个重点,为实现区别服务,整网端到端的QOS特性机制是优质网络业务的保证。
另外组播特性对于有效的保证多媒体流传输性能和节省带宽也有非常重要的意义,基于组播的控制特性也会进一步保证组播流的控制、管理和安全,从而为实现教育城域网的多业务支持提供保障。
兼容性和经济性——兼容性,能够最大限度地保证学校现有各种计算机软、硬件资源的可用性和连续性,为不同的现存网络提供互联和升级的手段(如现有的双向教学系统),保证各种在用计算机系统(包括工作站、服务器和微机等设备)的互连入网,充分利用现有网络资源,发挥主干网的优势。
经济性,就是在充分利用现有资源的情况下,最大限度地降低网络系统的总体投资,有计划、有步骤地实施,在保证网络整体性能的前提下,充分利用现有设备或做必要的升级。
2.2.整体解决方案
XX区教育城域网的整体网络拓扑如下图所示:
整个网络分为接入层(学校)、核心层、管理中心、电教馆办公网、城域网资源中心以及网络出口等6个模块。
接入层
在接入层,每个学校的出口采用一台统一威胁管理设备U200作为出口网关,通过运营商分配的专用线路连接到区教育局的网络核心。
核心层
在核心层采用两台H3CS10508核心交换机,通过IRF2技术虚拟成一台,以保证网络核心的可靠性,同时成倍提升网络性能。
核心交换机上除了提供连接各功能区所必须的以太网接口外,还部署防火墙、IPS、流量分析等多种业务插卡,为整个教育城域网提供安全保障。
管理中心
管理中心作为整个教育城域网的总指挥部,部署网络管理系统、安全管理系统、虚拟化管理平台等管理系统,以便于管理人员对整个城域网进行统一规划和管理。
电教馆办公网
电教馆办公网作为城域网的一个单位接入城域网核心。
同样考虑到安全性和可管理性,建议在办公网出口处部署一台U200。
资源服务区
在资源服务区,通过虚拟化技术建立计算资源池和存储资源池,为教育资源平台动态分配硬件资源,从而提高硬件资源的可靠性和可扩展性。
资源服务区通过若干台(依据具体服务器数量而定)数据中心级接入交换机与城域网核心相连,构成教育资源平台和各个教育单位数据互通的通道。
出口区
整个教育城域网将拥有两个网络出口,一个连接到教育城域网中心,一个连接到互联网,作为整个教育城域网公网出口。
第3章.功能分区详细设计
3.1.云数据中心——资源中心设计
3.1.1.云平台数据中心建设目标
XX区城域网数据中心是数据大集中而形成的集成IT应用环境,它是各种IT业务和应用服务的提供中心,是数据运算/交换/存储的中心,实现对用户的数据、应用程序、物理构架的全面或部分进行整合和集中管理。
数据中心的建设中,存储系统的建设和完善贯穿始终,这和当前应用系统建设的重点是相一致的。
不论是各种数字资源,还是需要备份保存的业务数据,其中心内容都是对于信息(数据)的管理和使用。
本方案将云数据中心“IT基础设施”的“按需使用”以及”自动化管理和调度”作为云计算的实践,形成可落地实施的、可持续发展的云计算平台,即IaaS云计算平台,为XX区旗下中小学提供服务集中以及按需使用服务,简化各个学校的IT管理,实现XX区教育资源的统一整合与管理。
作为教育云计算实践,云计算数据中心的建设建议达到以下目标:
◆通过标准化、虚拟化的资源池部署,提高整体IT基础设施资源利用率;
◆实现IT基础设施资源的自助化服务,按需申请,按需供给,实现面向最终用户的云服务模式;
◆实现IT基础设施资源的自动化部署及流程化管理,并可利用云计算管理平台对资源进行可视、全面的监、管、控,简化日常运维的管理流程、降低维护成本;
◆在实现可落地的云实践的基础上,保留未来向更高层次的云计算实践发展的可能,如SaaS和PaaS相关应用等;
3.1.2.数据中心云平台设计原则
1.兼容与互通
当前阶段云计算整个产业化还不够成熟,相关标准还不完善。
为保证多厂商的良好兼容性,避免厂商技术锁定,方案的设计充分保证与第三方厂商设备保持良好的对接。
此外,为保证方案的前瞻性,设备的选型应充分考虑对已有的云计算相关标准(如EVB/802.1Qbg等)的扩展支持能力,保证良好的先进性,以适应未来的技术发展。
2.业务高可用
云计算平台作为承载未来教育城域网以及各个校园应用的重要IT基础设施,伴随着数据与业务的集中,云计算平台的建设及运维给信息部门带来了巨大的压力,因此平台的建设从基础资源池(计算、存储、网络)、虚拟化平台、云平台等多个层面充分考虑业务的高可用,基础单元出现故障后业务应用能够迅速进行切换与迁移,用户无感知,保证业务的连续性。
3.统一管理与自动化
云计算的最终目标是要实现系统的按需运营,多种服务的开通,而这依赖于对计算、存储、网络资源的调度和分配,同时提供用户管理、组织管理、工作流管理、自助Protal界面等。
从用户资源的申请、审批到分配部署的智能化。
管理系统不仅要实现对传统的物理资源和新的虚拟资源进行管理,还要从全局而非割裂地管理资源,因此统一管理与自动化将成为必然趋势。
4.开放接口
传统的管理系统与上层系统对接,注重故障的上报和信息的查询。
而云计算的管理系统更关注如何实现自动化的部署,在接口方面更关注资源调度和分配,这就需要管理系统在业务调度方面实现开放。
为保证服务器、存储、网络等资源能够被云计算运营平台良好的调度与管理,要求系统提供开放的API接口,云计算运营管理平台能够通过API接口、命令行脚本实现对设备的配置与策略下发联动。
同时云平台也提供开放的API接口,未来可以基于这些接口进行二次定制开放,将云管理平台与教育城域网应用相融合,实现面向云计算的教育应用管理平台。
3.1.3.数据中心云平台总体设计
3.1.3.1.硬件结构
根据本期工程的需求和建设目标云计算平台总体逻辑拓扑结构如上图所示。
整个平台由网络资源池、计算资源池、存储资源池、管理中心四部分组成。
◆网络资源池:
采用业界主流的“核心+接入”扁平化组网,核心交换机采用2台H3CS10508设备,部署IRF2虚拟化技术,并在机框内部署网流分析(NetStream)和防火墙(FW)插卡,实现业务的流量监控和安全隔离防护,外联至现网出口路由器,实现外网互通;
接入交换机采用2台H3CS5820V2设备,部署IRF2虚拟化技术,并启用VEPA功能,实现虚拟化网络感知。
◆计算资源池:
采用20台H3CFlexServerR390机架服务器,通过H3CCloudVirtualizationKernel虚拟化平台进行整合构建资源池,在虚拟机上部署业务系统和虚拟桌面应用。
◆存储资源池:
采用2台HPLeftHandP4500iSCSI存储阵列,存放虚拟机镜像文件、配置文件以及业务系统数据。
◆管理中心:
采用2台H3CFlexServerR390机架服务器,部署H3CiMCDCM数据中心管理套件、H3Cloud软件套件,实现对云计算资源池的统一管理及调度。
3.1.3.2.软件结构
此次项目云计算软件平台的总体结构如上图所示,包括虚拟化层、自动化服务层、管理层、业务编排层、API层:
1)虚拟化层:
利用CloudVirtualizationKernel提供的底层虚拟化能力和上层CloudVirtualizationCenter提供的管理能力,屏蔽底层物理硬件基础设施的异构性和复杂度,对外以虚拟资源池的形式呈现。
2)自动化服务层:
强调业务运行的高可用性和可扩展性,并对业务提供自动的容灾备份与资源调度能力。
3)管理层:
对虚拟化资源及云运营要素进行管理,如虚拟机生命周期的管理、虚拟机镜像文件和配置文件的管理、多租户的安全隔离、网络策略配置的管理等。
4)业务编排层:
对云计算资源进行可运营性管理,包括对虚拟资源池的编排、最终用户的自助服务门户、业务的申请、审批与开通、用户帐务的管理与报表输出等。
5)API层:
为第三方云运营管理平台提供RESTful的API接口。
上述各层的功能实现分别对应H3Cloud软件套件中的CloudIntelligenceCenter、CloudVirtualizationManager和CloudVirtualizationKernel三个组件完成:
◆CloudVirtualizationKernel:
虚拟化内核与管理代理
运行在基础设施层和上层操作系统之间的“元”操作系统,用于协调上层操作系统对底层硬件资源的访问,减轻软件对硬件设备以及驱动的依赖性,同时对虚拟化运行环境中的硬件兼容性、高可靠性、高可用性、可扩展性、性能优化等问题进行加固处理。
◆CloudVirtualizationManager:
虚拟化管理软件包
主要实现对数据中心内的计算、网络和存储等硬件资源的软件虚拟化,形成虚拟资源池,对上层应用提供自动化服务。
其业务范围包括:
虚拟计算、虚拟网络、虚拟存储、高可靠性(HA)、动态资源调度(DRS)、虚拟机容灾与备份、虚拟机模板管理、集群文件系统、虚拟交换机策略等。
◆CloudIntelligenceCenter:
云业务运营软件包
由一系列云基础业务模块组成,通过将基础架构资源(包括计算、存储和网络)及其相关策略整合成虚拟数据中心资源池,并允许用户按需消费这些资源,从而构建安全的多租户混合云。
组织(虚拟数据中心)、多租户数据和业务安全、云业务工作流、自助式服务门户、兼容OpenStack的RESTAPI接口等。
3.1.4.云平台基础承载设计
3.1.4.1.核心层设计
数据中心核心交换机需要资源池内部高速交换以及骨干互联工作,建议采用H3C数据中心级核心交换机S10500,主要基于如下考虑:
Ø
高性能:
核心汇聚层需要与其它外部网络互联,外连接口众多,并且这些外部网络所提供的接入带宽和接入设备都是业界高端设备,所以为了使网络在核心交换区不存在性能瓶颈,采用具备高密万兆的核心交换设备.
整网可靠性:
因为城域网数据中心网络业务系统具有高可靠性设计,业务层面最大限度的保障业务转发不中断、不丢包。
因此建议在核心交换部分采用主控和交换网板分离的核心交换机,提高网络可靠性,使整网可靠性方面不存在短板。
绿色环保:
为了降低机房空调能耗,要求核心交换机采用竖插槽,前下部进风、上后部抽风、强迫风散热形式。
要求通过RoHS、CE等国际环保认证。
核心层部署IRF2.0协议将两台S10508虚拟化成逻辑的1台交换机实现了跨S10508链路聚合,通过虚拟化后的逻辑设备与下行接入层交换机5830V2进行互联,最终实现了核心S10508与接入5830之间逻辑点对点连接后消除环路的同时避免部署STP和VRRP协议。
3.1.4.2.接入层设计
接入层交换机采用全万兆云平台接入交换机H3C5830V2。
未来每台服务器将会部署多台虚拟资源对外响应业务,考虑到每个业务能够保证访问的带宽要求,建议每台计算资源服务器与接入交换万兆互联,同时每台接入层交换机采用2个10GE接口与核心交换机相连,保证数据中心互访的高效。
3.1.4.3.网络安全设计
为了应对云计算环境下的流量模型变化,安全防护体系的部署需要朝着高性能的方向调整。
在本次项目的建设过程中,多条高速链路汇聚成的大流量已经比较普遍,在这种情况下,安全设备必然要具备对高密度的10GE甚至100G接口的处理能力;
无论是独立的机架式安全设备,还是配合数据中心高端交换机的各种安全业务引擎,都可以根据用户的云规模和建设思路进行合理配置;
同时,考虑到云计算环境的业务永续性,设备的部署必须要考虑到高可靠性的支持,诸如双机热备、配置同步、电源风扇的冗余、链路捆绑聚合、硬件BYPASS等特性,真正实现大流量汇聚情况下的基础安全防护。
目前,虚拟化已经成为云计算提供“按需服务”的关键技术手段,包括基础网络架构、存储资源、计算资源以及应用资源都已经在支持虚拟化方面向前迈进了一大步,只有基于这种虚拟化技术,才可能根据不同用户的需求,提供个性化的存储计算及应用资源的合理分配,并利用虚拟化实例间的逻辑隔离实现不同用户之间的数据安全。
安全无论是作为基础的网络架构,还是基于安全即服务的理念,都需要支持虚拟化,这样才能实现端到端的虚拟化计算。
典型的示意图如图所示:
本次项目防火墙插卡设备虽然部署在交换机框中,但仍然可以看作是一个独立的设备。
它通过交换机内部的10GE接口与网络设备相连,它可以部署为2层透明设备和三层路由设备。
防火墙与交换机之间的三层部署方式与传统盒式设备类似。
如上图FW三层部署所示,防火墙可以与宿主交换机直接建立三层连接,也可以与上游或下游设备建立三层连接,不同连接方式取决于用户的访问策略。
可以通过静态路由和缺省路由实现三层互通,也可以通过OSPF这样的路由协议提供动态的路由机制。
如果防火墙部署在服务器区域,可以将防火墙设计为服务器网关设备,这样所有访问服务器的三层流量都将经过防火墙设备,这种部署方式可以提供区域内部服务器之间访问的安全性。
防火墙是网络系统的核心基础防护措施,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;
对常见的网络攻击方式,如拒绝服务攻击(pingofdeath,land,synflooding,pingflooding,teardrop)、端口扫描(portscanning)、IP欺骗(ipspoofing)、IP盗用等进行有效防护;
并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。
对于云计算数据中心虚拟机服务网关的选择上,建议根据不同租户的安全需求进行区分对待,不建议将所有网关配置在FW上,以分散FW的压力,满足租户内的安全域隔离,具体设计如下:
对于需要FW的业务的租户,网关部署在vFW上;
对于不需要FW的普通租户,网关部署在核心交换机上。
安全控制策略:
防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;
建议在两台防火墙上设定严格的访问控制规则,配置只有规则允许的IP地址或者用户能够访问数据业务网中的指定的资源,严格限制网络用户对数据业务网服务器的资源,以避免网络用户可能会对数据业务网的攻击、非授权访问以及病毒的传播,保护数据业务网的核心数据信息资产;
配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒绝服务攻击进行防范,可以实现对各种拒绝服务攻击的有效防范,保证网络带宽;
配置防火墙全面攻击防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等,全面防范各种网络层的攻击行为;
根据需要,配置IP/MAC绑定功能,对能够识别MAC地址的主机进行链路层控制,实现只有IP/MAC匹配的用户才能访问数据业务网中的服务器;
其他可选策略:
可以启动防火墙身份认证功能,通过内置数据库或者标准Radius属性认证,实现对用户身份认证后进行资源访问的授权,进行更细粒度的用户识别和控制;
根据需要,在两台防火墙上设置流量控制规则,实现对服务器访问流量的有效管理,有效的避免网络带宽的浪费和滥用,保护关键服务器的网络带宽;
根据应用和管理的需要,设置有效工作时间段规则,实现基于时间的访问控制,可以组合时间特性,实现更加灵活的访问控制能力;
在防火墙上进行设置告警策略,利用灵活多样的告警响应手段(E-mail、日志、SNMP陷阱等),实现攻击行为的告警,有效监控网络应用;
启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析;
3.1.5.云平台计算资源池设计
服务器是云计算平台的核心,其承担着云计算平台的“计算”功能。
对于云计算平台上的服务器,通常都是将相同或者相似类型的服务器组合在一起,作为资源分配的母体,即所谓的服务器资源池。
在这个服务器资源池上,再通过安装虚拟化软件,使得其计算资源能以一种虚拟服务器的方式被不同的应用使用。
这里所提到的虚拟服务器,是一种逻辑概念。
对不同处理器架构的服务器以及不同的虚拟化平台软件,其实现的具体方式不同。
在x86系列的芯片上,其主要是以常规意义上的VMware虚拟机或者H3Cloud虚拟机的形式存在。
在搭建服务器资源池之前,首先应该确
升级会员 