华为数字校园建设方案技术建议书.doc

  • 文档大小:4.85 MB
  • 文档格式:doc
  • 约 96页
  • 2021-11-09 发布
  • 举报
华为数字校园建设方案技术建议书1 华为数字校园建设方案技术建议书2 华为数字校园建设方案技术建议书3 华为数字校园建设方案技术建议书4 华为数字校园建设方案技术建议书5 华为数字校园建设方案技术建议书6 华为数字校园建设方案技术建议书7 华为数字校园建设方案技术建议书8 华为数字校园建设方案技术建议书9 华为数字校园建设方案技术建议书10 华为数字校园建设方案技术建议书11

文档共有96页,由于篇幅有限,只展示前10页。

文档单价:6.00 会员免费
开通会员可免费下载任意文档
  1. 1、本文档共96页,内容下载后可编辑。
  2. 2、本文档内容版权归属内容提供方,所产生的收益全部归内容提供方所有。如果您对本文有版权争议,可选择认领。
  3. 3、本文档由用户上传,本站不保证质量和数量令人满意,可能有诸多瑕疵,付费之前,请仔细先通过免费阅读内容等途径辨别内容交易风险。如存在严重挂羊头卖狗肉之情形,可联系本站下载客服投诉处理。
数字校园建设方案技术建议书文档密级数字校园建设方案技术建议书华为技术有限公司2021-11-92021-11-9华为机密,未经许可不得扩散第1页,共96页数字校园建设方案技术建议书文档密级目录1数字校园概述...........................................................................................................................51.1校园信息化建设..............................................................................................................51.2国内数字化校园建设现状与挑战..................................................................................61.3整合-数字化校园前进之路.............................................................................................72XXX大学信息系统需求分析...............................................................................................102.1用户管理........................................................................................................................102.1.1电子身份................................................................................................................102.1.2身份认证................................................................................................................112.1.3用户注册................................................................................................................112.1.4校园一卡通............................................................................................................112.2数据管理........................................................................................................................122.2.1数据存储................................................................................................................122.2.2数据灾备................................................................................................................122.3信息管理........................................................................................................................122.3.1信息分类................................................................................................................132.3.2信息标准................................................................................................................132.3.3管理信息系统........................................................................................................132.4信息服务........................................................................................................................152.4.1信息发布................................................................................................................152.4.2决策支持................................................................................................................152.5网上办公........................................................................................................................162.5.1办公自动化............................................................................................................162.5.2网络办公环境........................................................................................................162.6网上教学........................................................................................................................172.6.1网络教学资源........................................................................................................172.6.2网络教学平台........................................................................................................172.6.3数字图书馆............................................................................................................172.6.4虚拟实验室............................................................................................................182.71.7.7电子商务...............................................................................................................182.8电子社区服务................................................................................................................192.9安全管理........................................................................................................................192.10宽带网络....................................................................................................................193华为数字化校园建设理念.....................................................................................................193.1华为可信赖的合作伙伴...............................................................................................193.2数字化校园建设设计依据............................................................................................203.3数字化校园建设设计原则............................................................................................223.4华为数字化校园总体设计框架....................................................................................274网络建设方案.........................................................................................................................294.1概述................................................................................................................................294.1.1整体组网方案图....................................................................................................292021-11-9华为机密,未经许可不得扩散第2页,共96页数字校园建设方案技术建议书文档密级4.1.2业务接入系统........................................................................................................304.1.3接入层的网络隔离................................................................................................314.1.4高可靠的组网模型................................................................................................324.1.5网络建设进度........................................................................................................324.2INTERNET接入层设计....................................................................................................344.3核心层建设方案............................................................................................................344.4汇聚层建设方案............................................................................................................414.5接入层建设方案............................................................................................................465安全建设方案.........................................................................................................................505.1华为安全整体建设方案................................................................................................505.1.1华为公司网络安全整体解决方案........................................................................505.1.2防网络攻击............................................................................................................515.1.3病毒攻击的防范....................................................................................................515.1.4端口隔离................................................................................................................515.1.5MAC地址扫描和ARP攻击的防范.....................................................................525.1.6DHCP攻击的防范................................................................................................525.1.7管理攻击的防范....................................................................................................535.1.8成熟的USG防火墙技术......................................................................................535.2安全隔离建设方案........................................................................................................545.2.1方案组网示意图....................................................................................................545.2.2高性能的安全设备................................................................................................545.3业务监控部署方案........................................................................................................575.4入侵检测系统................................................................................................................595.5终端监控方案................................................................................................................655.5.1组网示意图............................................................................................................655.5.2Secospace终端安全方案部署概述......................................................................655.5.3Secospace终端安全管理系统功能介绍..............................................................696存储建设方案.........................................................................................................................756.1集中存储的建设方案....................................................................................................756.1.1概述........................................................................................................................756.1.2存储方案的选择....................................................................................................766.1.3存储系统构架设计................................................................................................796.2核心数据的保护............................................................................................................796.3灾备数据中心的建设....................................................................................................806.4存储设备选型................................................................................................................826.5华为存储产品介绍........................................................................................................827服务器建设方案.....................................................................................................................887.1概述................................................................................................................................887.1.1服务器建设方案....................................................................................................887.1.2服务器系统需求分析............................................................................................897.2服务器系统方案设计....................................................................................................907.3数据中心节能减排........................................................................................................927.4服务器系统设备选型....................................................................................................932021-11-9华为机密,未经许可不得扩散第3页,共96页数字校园建设方案技术建议书文档密级8网络管理规划.........................................................................................................................948.1网管需求分析................................................................................................................948.2网络设备的管理............................................................................................................948.3备份管理软件................................................................................................................968.4流量监控设备管理........................................................................................................968.5存储管理........................................................................................................................988.6安全设备的管理..........................................................................................................1002021-11-9华为机密,未经许可不得扩散第4页,共96页数字校园建设方案技术建议书文档密级1数字校园概述1.1校园信息化建设目前,世界各国对教育的发展给予了前所未有的关注,都试图在未来的信息社会中让教育处于一个优势的位置,从而走在社会发展的前列。为此,许多国家都把信息技术应用于教育,作为民族发展的重要推动力。信息技术是解决信息时代教育问题的基本工具。科学技术是第一生产力,信息技术作为教育生产力中的劳动工具要素,将会从根本上提高教育生产立的水平。现在,电子技术、互联网为即使通讯提供了途径。第一个充分意识到这一力量并将其与新的学习技巧联系起来的国家就会在教育方面居于世界领先地位。同时,也会在经济、文化、政治各方面居于世界的领先地位。教育信息化将促使优秀学校更上一层楼,进一步扩大影响力,并使其优势资源为全社会共享,并进一步拥有更大的资源,形成更为丰富的优势资源。在新世纪,以网络通讯技术和多媒体技术为核心的信息技术的迅猛发展在社会的许多领域中正在引发各种深层的变革,从而加速了人类迈向信息社会的步伐。面对信息化浪潮所提供的机遇,我国政府明确提出要信息化、工业化并重,以信息化推进工业化,实现跨越式发展。在这样的背景下,我国高等教育如何迎接信息化所提出的新挑战?如何充分利用新技术所提供的巨大潜力构建21世纪的高等教育模式?这是摆在我们面前的艰巨课题。数字化校园是以网络为基础,利用先进的信息化手段和工具—计算机技术、网络技术、通讯技术,实现对学校与教学、科研、管理和生活服务有关的所有信息资源进行全面的数字化;并用科学规范的管理对这些信息资源进行整合和集成,以构成统一的用户管理、统一的资源管理和统一的权限控制;把学校建设成面向校园内,也面向社会的一个超越时间、超越空间的虚拟大学,提升传统校园的效率,扩展传统校园的功能,最终实现教育过程的全面信息化。从而达到提高教育管理水平和效率的目的。实施数字化校园工程的核心目标是充分利用信息技术,建立多层次、创新型、开放式的高等学校,提高办学的质量和效益。要以新的人才观、教学观和管理理论为指导,超越传统的高等教育模式,培养适应信息社会要求的创新型人才。具体来说:在教学方面,要利用多媒体、网络技术实现高质量教学资源、信息资源和智力资源的共2021-11-9华为机密,未经许可不得扩散第5页,共96页数字校园建设方案技术建议书文档密级享与传播,并同时促进高水平的师生互动,促进主动式、协作式、研究型的学习,从而形成开放、高效的教学模式,更好地培养学生的信息素养以及问题解决能力和创新能力。在科研方面,要利用互联网促进科研资源和设备的共享,加快科研信息传播,促进国际性学术交流,开展网上合作研究,并且利用网络促进最新科研成果向教学领域的转化,以及科研成果的产业化和市场化,从而大大提高科研的创新水平和辐射力。在管理方面,要利用信息技术实现职能信息管理的自动化,实现上下级部门之间更迅速便捷的沟通,实现不同职能部门之间的数据共享与协调,提高决策的科学性和民主性,减员增效,形成充满活力的新型管理机制。在公共服务体系方面,要建立覆盖学校教学、科研、管理、生活等各个区域的宽带高速网络环境,提供面向全体师生的基本网络服务和正版软件服务;要建设高质量的数字化的图书馆、档案馆、博物馆、艺术馆等;要在校园内建立电子身份及其认证系统,从而为学校高水平的教学、科研和管理等提供强有力的支撑。在学校社区服务方面,要适应后勤社会化改革的需要开展各种网络化服务项目,包括电子商务、电子医疗等,为师生员工提供便捷、高效、集成、健康的生活和休闲娱乐服务,形成智能型的社区服务体系。1.2国内数字化校园建设现状与挑战经过近十年以来,“九五”、“十五”、“211工程”“985工程”的建设,高教行业取得了突飞猛进的发展。与此同时,以数字化校园为特征的教育信息化发展迅速,有如春风化雨、春雨润物一般,静悄悄的改变着老师和学生们的工作、学习、生活以及思维方式,引发了一场新的革命和新的变革的到来。学校基本的教学教务管理、科研管理、后勤管理、数字图书馆、视频服务系统、办公自动化系统和社区服务等应用系统的建设有了初步的规模,一卡通业务在很多学校也开始应用。学校里各阶层人员的认识水平和技术水平上了一层台阶,对于信息化工具的使用已变成为一种自觉和自愿的行为,为“十一五”数字化校园的进一步发展打下了良好的基础。但是在成绩的背后,存在的问题也很突出。因为管理的问题、历史的原因,应用分割,无法相通,数据孤立,无法共享,形成了信息孤岛,给学校正常的工作开展带来了阻碍,也限制了信息化建设所应该发挥的作用。比如一卡通的问题。真正的一卡通业务应该做到,从2021-11-9华为机密,未经许可不得扩散第6页,共96页数字校园建设方案技术建议书文档密级学生跨进校门的那一刻起,学生拿了一张卡片,通行无阻,无任何的现金交易,通过这张卡片,报到、用餐、洗澡、上网、消费、借阅书等等活动都能够顺利完成。但是由于一卡通业务所涉及到的数据分散在不同的职能部门,比如,对应学生的相关数据在教务处的学籍管理,在后勤部门的餐厅、食堂、宿舍管理,在图书馆的借阅书管理以及网络中心的网管系统中都存在,但由于信息不能共享和流动,导致了一卡通业务很难真正顺利地开展。另外,虽然基础网络的建设已初具规模,实现了校园网络的基本覆盖和联通,以及万兆技术的初步应用,但是校园网络的管理问题也很严重。据统计,超过70%-90%的流量是非核心业务的流量。学生的BT下载、聊天、游戏等网络行为对于学校的教学、科研和管理等业务的正常开展造成了比较大的负面影响,如多媒体教学、远程教学、数字图书馆、视频会议系统等实时和高带宽业务得不到足够的资源和带宽保障。同时,校园网络没有标准化的、成熟的安全解决方案,目前大多数的院校是通过防火墙与核心的交换机、路由器上配置的ACL作为安全保障措施,但实际上无法真正抵御病毒和攻击,基础网络的服务质量无法保证。目前,国内教育校园网建设的新挑战主要包括以下几方面问题:网络安全状况严重,网络出口带宽拥塞,校园网P2P流量严重影响教务网络,数据日益增多扩展问题严峻;高校及园区间数据共享困难;数据中心建设滞后,节能减排如何落实如何保证基础网络畅通无阻与安全可靠,保障校园各项业务的正常开展是校园用户必须面对和解决的突出的难题。1.3整合-数字化校园前进之路高等教育机构一直是国内教育信息化先行者,综观十多年的发展,国内高校教育信息化大致经历了三个阶段:第一个阶段是计算机普及阶段,PC作为一种辅助的工具被引入教育行业;第二阶段是教育的网络化信息化阶段,此时网络技术得到广泛应用。以网络化为基础的,是以互联网技术和多媒体技术综合的应用作为基础平台,使得更多的教育资源可以为师生所共享、交互和使用。第三阶段就是信息化教育阶段:教育成为主体,这也是信息化之后的教育最关键2021-11-9华为机密,未经许可不得扩散第7页,共96页数字校园建设方案技术建议书文档密级的阶段。目前,从高校信息化建设进程来看,很多高校已基本完成了基础网络架构和计算平台的架构,进入了信息集成阶段,由简单的数据管理向电子校务和决策支持发展。”清华大学计算机与信息管理中心主任蒋东兴表示。数字化校园的发展一般被分为四个阶段,校园网基础设施建设、单项应用系统建设、各部门应用系统建设和学校综合资源信息系统建设。实现数字信息的流通,让学校的每个部门、让学校之间的信息互通,消除信息孤岛,是数字化校园下一阶段的目标。有效地规范化业务流程数字化校园整体解决方案的实施、应用,可以无形中规范学校的各项业务流程,提高工作效率,减少以往一些工作因手工操作所带来的随机性大,流程不易规范化的缺点。有效地降低劳动强度,提升人员脑力价值系统将人员从繁杂、简单重复的数据输入、传送、管理、检索等工作中解脱出来,尤其是信息的检索及统计报表的生成功能,把以往需要花费大量时间和精力进行信息查询、统计、计算工作,交给系统来完成,大大降低了工作强度,提高了工作效率,使人员的脑力价值得到提升,改善了师生员工的工作、学习和生活环境。有效地实现数据共享、消除对数据的重复管理、数据冗余以及数据不同步的问题学校各个部门分别管理自己业务的相关信息,数据采集点唯一。所有信息实现共享,当某个部门需要用到其他部门信息的时候,可以直接从网上获得,这样就避免了多部门的2021-11-9华为机密,未经许可不得扩散第8页,共96页数字校园建设方案技术建议书文档密级重复劳动,节约了人力成本,保证了数据的标准化存储。比如:当其他部门要用到人事处人员信息的时候,其数据就是直接从人事处获取,而无需再次录入,并且可以保证信息的同步,不会发生诸如人员信息已经变动而其他部门很长时间还无法得知的混乱情况。信息处理具有实时、权威的特点。系统的实施应用可使用户随时随地从网上获取学校的信息。另外,由于信息的录入与发布是由学校各个部门来完成的,数据采集点唯一,因而这就保证信息的唯一性及权威性。创造新的教育和工作模式数字化校园的建设不是一项单纯的技术工作,而是一项人类工程,它将先进的信息技术引入到教学、科研、管理和服务等各项活动中去,提高教、学、管的质量和效率,创造新的教育和工作模式,完成传统教育模式难以实现的目标。教育信息化的过程是教育思想、教育观念、教育模式转变的过程。创建虚拟大学空间,实现跨地域管理数字化校园建设以信息资源与信息服务为核心内容,实现数字化的学习、教学、科研和管理,创建数字化的生活空间,创建虚拟大学空间,实现教育信息化和现代化。体现高校教育信息化的程度,决策者水平,以及整体综合实力在教育行业信息化的大背景下,数字化校园的建设水平不仅体现了高校教育信息化的程度,也反映了决策者的对现代教育发展趋势高瞻远瞩的水平;更是衡量学校办学能力和教学科研水平的重要标准之一。数字化校园整体解决方案实施、应用,还可以让更多的人有机会了解到学校的情况,有助于孕育学校的发展机遇,拓展新的市场;提高学校的知名度,吸引更好的生源和优秀的科研、教学人才。2021-11-9华为机密,未经许可不得扩散第9页,共96页数字校园建设方案技术建议书文档密级2吉林医药学院信息系统需求分析吉林医药学院前身为中国人民解放军第四军医大学吉林军医学院,创建于1952年,共为军队和地方培养了3万多名医务人才,具有光辉的历史和优良的传统。2004年8月,经国务院、中央军委批准,学校由军队整体移交吉林省,更名为吉林医药学院,成为吉林省省属公办高等医学本科院校,是目前吉林省惟一独立设置的综合性高等医科院校。学校位于松花江畔的雾凇之都、中国魅力城市—吉林省吉林市。校区地处市中心,周围松花江三面环绕,环境优美,交通便利,是莘莘学子求学深造的好地方。占地面积60余万平方米,建筑面积30余万平方米。面向全国招生,现有来自全国27个省份的各类全日制在校生8000余名。学校现有固定资产总值6.5亿元,其中教学、医疗、科研设备总值1.25亿元。生均图书馆藏书、教学行政用房面积、学生公寓面积、教室面积、每百名学生多媒体教室和语音教室座位数均达到国家标准。拥有一流的教学设备设施,新建成的2.5万平方米的教学大楼内设有学术交流中心、科学会堂、语音室、电子图书阅览室、网络微机教室等;新建成的4.8万平方米的实验大楼能同时容纳10000名学生上课。全部教室均配有现代化的多媒体教学设备。现有教职工1090人,专任教师583人,具有硕士博士学历217人,高级职称235人。38名国内外知名专家教授受聘为我校教授。享受国务院特殊津贴、入选新世纪百千万人才工程、省有突出贡献中青年专家、省拔尖创新人才和省级教学名师等专家教授8人,担任省一级学会理事长及国家二级学会以上理事、常务理事26人,19人曾先后获得全军优秀教师和解放军总后勤部育才奖等荣誉。为了真正实现校园网络化、信息化建设,为学生提供高效、舒适、方便的校园生活,并能更好的和外界沟通,该校计划在未来不久的时间内建立一套完整的校园信息系统,实现校园通讯网络、网络安全、图书馆信息系统、校园一卡通系统这四套功能,同时把这四部分整合成一个大的系统,统一规划部署。2021-11-9华为机密,未经许可不得扩散第10页,共96页数字校园建设方案技术建议书文档密级2.1数据管理2.1.1数据存储数字校园的数据量非常庞大,数据的存储方式对于数据的有效管理起着决定性的作用。一般来说,有集中存储、分散存储和分布存储等不同的数据存储策略,不同的存储策略有不同的优势和缺陷。根据高校数据分布的实际情况,我们建议采用以集中存储为主的分布存储策略,即将绝大多数数据集中存放在数据中心,将一些有特殊需求的数据分布存储在相关部门,但整个系统的数据采用统一的视图,实施统一的管理。2.1.2数据灾备数据是大学的宝贵财富,特别是在管理高度依赖于信息化设施的今天,数据支撑着大学的正常运行。因此,保证数据的安全,使数据不因意外的灾难而损毁就显得特别重要。因此,做好数据备份,并且是在校园中不同区域的分布式数据备份,是保持大学可持续发展的稳妥之路。2.2信息管理在校园数字化建设中,大量信息数字化后被存入计算机系统,如何管理好这些信息,使之发挥最大作用,是数字校园建设成功与否的关键。2.2.1信息分类信息分类是做好信息管理的前提,杂乱无章的信息只有很少的利用价值,信息只有按照一定的规则进行分类,才能很好的提供给用户使用。信息分类的方法有很多种,从数字校园对于信息的使用角度来说,最常用的分类方法有如下几种:根据信息来源分类:有教学资源、办公信息、管理信息、图书资源、档案信息科研信息等;根据组织形式分类:有文本信息(如办公通知、规章制度、信息通报等)、多媒体信息(包括视频、音频、图形、图像信息)、数据库信息(如教务、科研、人2021-11-9华为机密,未经许可不得扩散第11页,共96页数字校园建设方案技术建议书文档密级事、财务、设备等信息);根据使用范围分类:有全局信息(全校共享信息,如电话号码、图书资源、教学课件等)、局部信息(如各系所的内部资料)、私有信息等。这三种方法在信息系统中都需要使用,在实现业务部门的信息系统时根据信息来源分类,在信息发布时需要考虑信息的存储类型和信息的使用范围分类。2.2.2信息标准信息标准是做好信息管理的基础,信息只有遵循一个统一的标准进行组织,才能构成一个可流通、可共享的信息库。在前阶段的校园数字化建设中,虽然制定了一些信息标准(如教务系统的统一编码),但是还远远不够,数字校园所要求的统一数字空间需要各个层次的信息标准来规范整个学校的数字化建设工作。信息标准是数字校园中不同层次的系统尤其是应用系统能够互相访问的基础,是大学信息化建设的必要条件;同时信息标准的水平也反应了大学信息化建设的水平和高度。2.2.3管理信息系统管理信息系统是数字校园最重要的应用支撑系统之一,它直接管理各部门的信息资源,将现实校园的信息数字化后按照一定的规范存储到数字空间,并根据相关的业务逻辑组织起来支持用户的管理活动,使用户实现管理现代化。管理信息系统是大学数字化建设的重要任务,本解决方案能够提供的管理信息系统有:综合教务管理系统综合教务管理系统在本科生教务系统中提供了教学计划、课程、注册、收费、选课、排课、学籍、成绩、毕业资格审查、系级查询等10个子系统;在研究生教务管理中提供了培养方案、课程、注册、收费、选课、排课、学籍、成绩、毕业资格审查、系级查询、学位管理等11个子系统。科研管理系统科研管理系统建立科技处-系科研-教师的数据沟通渠道,教师申请项目、2021-11-9华为机密,未经许可不得扩散第12页,共96页数字校园建设方案技术建议书文档密级填报表等项工作在网上进行,系主任在网上审查,科技处与主管校长在网上审批,使科研管理在网上进行。设备资产管理系统设备资产管理系统为实验室管理提供网络管理服务,使得校系各级实验室管理人员能够利用网络共同进行实验室数据的管理,达到简化实验室管理程序,提高管理工作的效率,适应学校发展水平的目标。可以充分发挥各实验室的功能以及各实验室的大型、贵重仪器设备的作用,方便全校师生以及校外研究机构使用各种仪器设备,提高大学主要实验室在社会上的影响。系统能够为WWW用户提供各实验室的基本信息,并对大型仪器设备等信息提供查询功能。此外,一些重要的管理数据统计结果及获奖成果以主页的方式发布,供各级管理部门查阅。人力资源管理系统人事管理信息化建设是高校信息化建设的一个重要组成部分,它可以有效地提高人事管理工作的效率和质量,并且能够及时提供可靠数据,为校领导的科学化决策提供重要依据。人力资源管理建立人事信息的交换功能,建立以教师个人为核心的人员信息系统,来自教师的信息如论文、兼职、教学、学位、科研项目等由教师个人维护,基层单位审查,建立个人信息库,作为职能部门的管理的参考信息。财务管理系统财务管理系统将各项基金管理工作统一到计算机的应用管理平台之上,提高财务人员的工作效率。可以实现科研项目的立项申请、经费查询、通用基金管理(代交税金、退休基金、个人公积金)、预算管理、财务分析等。外事管理系统外事管理系统建立教师与外事办公室的沟通渠道,利用现代化办公环境,简化办事程序。2.3信息服务信息服务是根据用户的需求,将信息按照用户的逻辑提取出来,以方便的接口提供给用户。2021-11-9华为机密,未经许可不得扩散第13页,共96页数字校园建设方案技术建议书文档密级2.3.1信息发布信息发布是数字校园的基本功能:管理信息系统将信息收集、整理起来,主要是提供给特定的用户用于管理活动;而信息一旦收集整理起来,就可以提供给更多需要的用户使用。将信息系统中的数据按用户的需要,提取出来,展示出去,这就是信息发布的任务。综合信息服务系统将建立一个覆盖全校的、综合性的、开放的、分布的、多媒体的信息服务的总平台,为全校提供一个统一的、提供更多服务内容的、可以满足用户个性化需要的信息服务门户。该系统集成学校各种信息资源,将各种信息服务(包括办公、教学、科研、人事、财务、设备、后勤等)整合起来,为不同类型用户提供个性化的信息发布和服务。校内的各类用户只需通过一个统一的界面登录,系统即可按该用户身份和授权,定制出他可以访问的信息范围。系统为用户提供多种查询逻辑与灵活的查询条件设置方法,以满足学校用户对各个系统数据的查询需要。2.3.2决策支持决策支持是信息服务的高级形式。在信息积累的基础上,建立数据仓库,逐步建立决策支持系统,该系统依据信息系统中积累的大量数据,对学校上层管理人员提出的决策主题,进行数据挖掘,发现关联信息,为学校重大问题提供决策依据。如:教学评估、招生评估、毕业评估、学科评估等等。2.4网上办公2.4.1办公自动化办公自动化系统为学校领导以及各职能部门提供了基于校园网的协同办公环境,使学校办公逐步向电子化、无纸化方向迈进。办公自动化系统提供以下功能:日常办公办公邮件2021-11-9华为机密,未经许可不得扩散第14页,共96页数字校园建设方案技术建议书文档密级信息发布公文运转会议管理讨论园地2.4.2网络办公环境由于校园网络连接了办公室、计算机实验室、学生宿舍乃至教师家庭,同样一件工作在不同的场所办理成为现实的可能情况。但是在处理工作过程中文件的保存、个人信息的保存、处理工作所需要的应用程序的安装目前都是没有很好解决的问题。另外,用户一般都有自己喜欢的工作环境,如桌面布置、经常访问的Web站点、电子邮件地址簿、书签等,以便提高工作效率。但是在流动的环境下,现有的系统并不能对同一个用户提供一致的工作环境。网络办公环境就是为用户在网络上提供一个自己的空间,在这个空间中,用户可以布置自己喜爱的环境,如设置好经常访问的系统和站点、安装好日常使用的应用程序、存放好自己的文档和其它私有信息(如邮件)、保存好自己的工作场所,并且用户一旦通过身份认证进入这个空间,不论他在网络的哪个部分进入,都可以获得相同的环境。这种工作环境随用户的移动而自动迁移,将给用户提供极大的方便。2.5网上教学网络教学是一种新型教育手段,它是为适应21世纪社会经济和科技发展对高素质创造型人才的需要,创造一个在教师指导下的学生自主式学习的环境。2.5.1网络教学资源网络教学的资源是开展网络教学的基础,它包括教师的电子讲义、课件、录像、试题库、以及各种数字化的教学素材。网络化的教学资源与传统的教学资源相比有很大的优势,教学资源的一份拷贝放在网络上,就可以供所有授权的用户同时学习,这将极大地提高资源的利用率,解决开放式教学资源紧缺的问题。另外,学生可以方便地获取大量的教学资源,对于培养学生自主学习能力和创2021-11-9华为机密,未经许可不得扩散第15页,共96页数字校园建设方案技术建议书文档密级造性很有好处。2.5.2网络教学平台网络教学平台是一个全新的教学环境,它为校园网上的同步远程教学提供实时双向交互的多媒体网络教学环境,为校园上的异步远程教学提供自主学习的网络教学环境。它将成为和课堂教学互补的不可或缺的第二教学环境网络教学平台将建设成一个支持包括网上备课、课件制作、教学素材建设、网络授课、网上交流、网上自学、网络考试等多种服务的综合教学平台,全面支持教学各个环节。2.5.3数字图书馆数字图书馆是采用现代高新技术所支持的数字信息资源系统,是下一代因特网上信息资源的管理模式,将从根本上改变目前因特网上信息分散、不便使用的现状。通俗地说,数字图书馆是没有时空限制的、便于使用的、超大规模的知识中心。数字图书馆建设是以统一的标准和规范为基础,以数字化的各种信息为底层,以分布式海量资源库群为支撑,以智能检索技术为手段,以电子商务为管理方式,以宽带高速网络为传输信道,将丰富多彩的多媒体信息传递到千家万户。它涉及数字信息资源的生产、加工、存储、检索、传递、保护、利用、归档、剔除等全过程。2.5.4虚拟实验室网络虚拟实验就是在Web中创建出一个可视化的三维环境,其中每一个可视化的三维物体代表一种实验对象。通过鼠标的点击以及拖曳操作,用户可以进行虚拟、仿真实验。网络虚拟实验室实现的基础是多媒体计算机技术、网络技术与仪器技术的结合。虚拟仪器技术与认知模拟方法的结合也赋予虚拟实验室的智能化特征,无论是学生还是教师,都可以自由地、无顾虑地随时进入虚拟实验室操2021-11-9华为机密,未经许可不得扩散第16页,共96页数字校园建设方案技术建议书文档密级作仪器,进行各种实验。不但为实验类课程的教学改革及远程教育提供了条件和技术支持,还可以随时为学生提供更多、更新、更好的仪器。通过网络虚拟实验室,能够通过计算机在网络中模拟一些实验现象。它不仅仅能够提高远程教育的教学效果,更加重要的是对一些缺乏实验条件的学生,通过网络同样能够“身临其境”的观察实验现象,甚至和异地的学生合作进行实验。2.6电子商务随着远程教育的开展和校内管理与服务的数字化进展,网上招生、在线注册网上社区服务、网上支付等具有校园特色的电子商务将蓬勃发展。学生入学、注册、毕业手续中的支付行为都将可以通过电子商务系统完成。建立一个大学校园范围内的电子商务平台,对内是大学的财务管理系统的延伸,为校内的各个应用系统提供与财务系统的接口,以提供校内各种网上支付的业务,如交纳网费、校内消费等;对外提供银行与校内的资金结算,如学生通过网上支付将银行中个人帐号中的资金转入大学,用于交纳学费、报名费等。电子商务平台的建设对于数字校园中和支付相关的各个应用系统的发展具有重要的推动作用。如网上收选课费对于推进学分制中按学分收费的改革具有重要的现实意义,使复杂的收费变得简单。2.7安全管理安全管理是数字校园建设中不可或缺的前提。在数字校园中,所有的数据、应用都在网上,保证它们的安全,是安全管理的职责。安全管理必须保证数据的保密性,防止对数据的非授权访问;保证数据的完整性,使数据在存储或传输过程中不被破坏、不丢失、或不被未经授权的恶意或偶然的修改;保证数据和应用的可用性,能够按照用户的需求提供有效服务,并且系统在发生灾难时能够快速完全地恢复。2.8宽带网络要实现上面所述的目标,最基础的条件就是要有一个宽带的校园网络——网络是数字校园的基础设施,没有相应的网络基础设施,数字不能流动,就不2021-11-9华为机密,未经许可不得扩散第17页,共96页数字校园建设方案技术建议书文档密级可能形成数字的空间。3华为数字化校园建设理念3.1华为可信赖的合作伙伴华为自2000年起开始在存储与安全领域发力,七年磨一剑,目前已经在深圳、北京、印度等地成立5家研发中心,拥有1000多名专业研发人员,在存储安全领域的专利超过300多个,是全球多个安全存储标准的制定者,领先的技术优势和有竞争力成本的产品及解决方案,确保了华为在安全与存储领域持续的竞争优势。此外,华为还通过了ISO9001国际认证、信息安全BS7799国际认证、计算机信息系统集成一级资质、商用密码产品生产定点单位证书、信息测评中心技术支持单位等业内权威的认证和测评,在关注客户差异化需求的基础上提供更为专业的服务。秉承华为在硬件能力积累、设备开发能力、人员培养和管理方面的优势以及业界领先的存储、安全核心知识产权和软件能力,华为提供全球领先端到端的网络安全及存储解决方案,使得客户业务网络更安全更高效,持续为客户创造最大价值。目前,华为已成功推出覆盖IT资源管理、存储管理、业务连续、IT风险管理、立体安全、法规遵从共六大领域的解决方案体系,并针对运营商、政府、金融、能源等行业推出了具有行业特色的系列行业解决方案。2021-11-9华为机密,未经许可不得扩散第18页,共96页数字校园建设方案技术建议书文档密级图示华为解决方案体系框架华为深刻地认识到企业都有其自身业务特点以及个性化需求,本着“加强现有措施的效果,提升业务运营效率,为客户创造最大效益”的原则,为客户打造了包含软件、硬件、咨询服务等在内的全方位解决方案体系。不但可以为客户提供从安全到存储的全系列软硬件产品解决方案,还可以为客户提供从风险评估、体系建设、运维服务一直到业务连续性、应急响应、法规遵从等全方位的咨询与服务,真正从每个客户自身特点与需求出发,为客户业务系统的高效运维出谋划策、保驾护航。3.2数字化校园建设设计依据吉林医药学院数字化校园方案遵循以下标准和要求进行设计:《吉林医药学院数字化校园总体设计方案技术要求书》教育部《教育管理信息化标准》《系统架构与参考模型(CELTS-1)》《网络系统集成与工程设计》《教学环境评价(CELTS-23)》《教学服务质量管理(CELTS-24)》《教育管理信息化数据标准(CELTS-30)》JGJ/T16-92《民用建筑电气设计规范》GB-50057-94,2000年版《建筑物防雷设计规范》GB50174-93《电子计算机房设计规范》GBJ65-83工业与民用电力装置的接地设计规范GB50254-50259-96《电气装置安装工程施工及验收规范》GB8898-97《电网电源供电的家用和类似一般用途的电子及有关设备的安全要求》GB7450-87《电子设备雷击保护导则》GB4943-95《信息技术设备包括电气设备的安全》GB50303—2002《建筑电气工程施工质量验收规范》GB/T50326-2001建设工程项目管理规范GB/T50328-2001建设工程文件归档管理规范GB/T50314-2000《智能建筑设计标准》GB50339-2003《智能建筑工程质量验收规范》GBT-T-50311-2000《建筑与建筑群综合布线工程系统设计规范》2021-11-9华为机密,未经许可不得扩散第19页,共96页数字校园建设方案技术建议书文档密级GBT-T-50312-2000《建筑与建筑群综合布线系统工程验收规范》国际标准规范:ISO/IEC11801-95《信息技术互联国际标准》ISO/IEC11801;1995《客户建筑物电缆通用敷设要求》ISO/IECll801客户建筑通用布线系统信息技术国际标准EN50173通用布线系统信息技术欧洲标准EIA/TIA568A商务楼通信建筑布线标准EN55022/ClassB(电磁兼客)标准EIA/TIA569商务楼通信通道和空间标准EIA/TIA570住宅及小型商业区综合布线标准EIA/TIATSB67无屏蔽双绞布线系统现场测试传输性能规定TIA/EIA568-B1北美综合布线标准TIA/EIA569北美建筑通讯线路间距标准TIA/EIA606北美商用建筑通讯基础结构管理规范TIA/EIATSB67非屏蔽双绞线布线测试标准TIA/EIA607北美商用建筑通讯接地要求ISO/IECll801国际综合布线六类信道标准EN50173欧洲大楼综合布线系统标准EMC欧洲电磁兼容性标准ANSIFDDI美国国家标准:分布式光纤数据接口IEEE802.3CSMA/CD接口方法IEEE802.5令牌环接口方法GB50348-2004  安全防范工程技术规范GT/76-94《保安电视监控工程技术规范》GB50198-94《民用闭路监视电视系统工程技术规范》《安全技术防范产品管理办法》3.3数字化校园建设设计原则先进科学原则在进行新校区网络设计的过程当中,应采用目前业界先进的技术架构和技术解决方案,在校园网传输技术、网络拓扑设计、网络设备选择、主机设备选择、存储设备及技术选择、数2021-11-9华为机密,未经许可不得扩散第20页,共96页数字校园建设方案技术建议书文档密级据中心设计、系统软件、数据库系统、应用支撑平台和应用系统等,都必须体现出技术的先进性。在考虑设计和技术的先进性的同时,又必须兼顾产品和技术的成熟性。坚持开放性,采用国际标准和通用标准;采用先进而成熟的技术;易于技术更新和网络扩展;实用、性价比高;统一规划,分布实施。标准规范原则随着计算机技术的迅速发展,大学的信息化建设已经从管理信息系统发展为数字校园环境下的整体化信息系统的建设,无论在深度和广度上,原有的信息标准都不能适应今天的需求。在进入21世纪的今天,学校各部门迫切需要进行信息的共享与交换,面对众多的应用系统及成千上万的信息,如何统一、科学、规范地分类和描述信息,使信息能有序流通、发挥信息资源的综合效益是当前的重要工作。信息化标准的研究和制订的目的在于满足学校信息系统建设的需要,加强信息化建设的统一领导,建立信息化标准的管理体系,保证信息在采集、处理、交换、传输的过程中有统一的规范,最大限度地实现信息资源共享,使学校信息系统得到协同发展,为实现教育信息化作出应有的贡献。体系结构信息化标准覆盖面很宽,随着信息技术的迅速发展,我们认识到,信息标准不再是平面的,而是立体的、结构化的。基础设施规范高校信息系统的基础设施包括计算机硬件系统(服务器、个人计算机、其它设备等)、计算机软件系统(包括操作系统、数据库平台、应用平台等)和网络基础设施与服务。随着IT产业的迅猛发展,计算机软件也是日新月异。目前,硬件、软件管理规范不可能定出具体、详细的条目。但规划、选购硬软件决不可掉以轻心,不仅要看同类设备的性能价格比,还要看该产品是否可满足大学整体信息化建设的需要,是否为市场的主流产品,是否有发展前途。在一个学校(企业)中,从硬件(如服务器、网络设备)到系统软件(如操作系统、数据库系统等)均应有一种(或两种)主流产品作为推荐标准,不宜成为万国产品博览会。如数据库管理系统(DBMS),市场上产品现在有大大小小十几种,在一个学校中应该选用一种能够满足分布式计算需要的数据库系统作为主要平台。如果不加控制地引进势必造成混乱,2021-11-9华为机密,未经许可不得扩散第21页,共96页数字校园建设方案技术建议书文档密级使数据交换、共享更为困难,自找麻烦。制订基础设施规范应考虑以下几个因素:1)其功能指标能是否满足校园整体信息化建设的需要(是否适合网络计算、稳定性、安全性等);2)其基本性能否满足今后若干年的需求(速度、容量等);3)是否符合ISO标准;是否是主流产品或者与其他主流产品兼容;产品的技术支持和服务质量;4)是否代表新的发展方向。应用系统规范应用系统软件是面向最终用户的,其质量的高低,直接影响管理效益、效率的提高。无论是购买还是自行研制,应用软件应具有以下性能指标:1)适应科学的管理体制,代表先进的发展方向;2)数据设计符合信息标准及应用规范;3)功能齐全,满足需求;4)与相关应用系统的数据交换接口;提供应用访问接口;符合一定的应用管理规范,能够与其它应用系统集成;5)通用性、扩展性,易操作;6)信息安全性能;7)技术文档齐全规范(源程序、技术文件)。这里不能忽视的是要适应科学的管理体制,尤其是管理软件首先要能满足科学、合理的管理机制。以教学管理软件为例,学分制、集中式教学管理显然能较好地配置学校的教学资源(师资、教学设施)和最大限度地调动学生的积极性。如果采用了不科学的管理体制,投入巨额资金购买或开发的系统就可能无法使用或寿命短暂。信息标准及应用规范信息标准信息标准在全校范围内为数据库设计提供了类似数据字典的作用,为信息交换、资源共享提供了基础性条件。信息标准在信息化建设中是至关重要的,在新的形势下应该有新的拓展应用规范目前各类信息系统几乎都在校园网环境下运行,规范它们的数据应用属性才能促2021-11-9华为机密,未经许可不得扩散第22页,共96页数字校园建设方案技术建议书文档密级进资源共享,使信息能有序流通。应用规范指明信息类的如下条目的要求:信息来源——信息的提供者也就是信息的维护者,划定保证数据准确性的责任;更新周期——没有一成不变的信息,只有定期更新的数据才是准确、实用的,因此信息必须有更新周期,按信息类的特点可将更新周期定位:实时、日、周、月、季度、半年(学期)、年(学年)等;有效期——从信息档案的角度来看,很多信息是长久有效的。这里的有效期是指校园网上当前运行系统的信息;访问角色——校园网上应用系统的用户成千上万,从校长到学生用户,他们因访问权限各异而赋予角色不同。因此,必须规范信息的访问权限、使用范围。为此制定全校用户角色表是十分必要的,访问角色从用户角色表中选取。数据关联——指明相关信息类之间的关系,如通过某关键字与某信息类关联;应用说明——指明该信息类的应用注意事项。应用规范为系统开发、运行提供了数据使用规范。用户角色表应用规范中访问角色选自用户角色表,用户角色表是将校长到教师、学生的各类用户进行规范定义。用户角色表不仅适用于应用规范中的访问角色,而且在建立学校门户网站进行统一身份认证也是不可或缺的。因此制定好用户角色表是一项十分重要的工作。代码表代码表是规范信息项的填写内容,为应用系统便于数据录入和查询统计而设计的。代码制订原则:1)应优先使用国家标准代码;2)首先制订好学校管理的重点代码,如系所号、教工号、学号、课程号、专业号等;3)统一制订其它方面的通用代码表。用户规范以上所说的是系统建设方面的规范,而系统的用户素质是影响应用水平和效益的最终制约因素。因此,用户素质的提高是信息化建设的重要环节。这里对用户提出以下规范要求:1)不断提高信息技术水平,学校要对教职工定期进行考核,考核通过者才能上岗;2)积极参加新系统的培训学习,熟练掌握应用系统的功能操作;3)建立全校一盘棋的全局观念,及时维护数据的准确性和数据交换的可靠性,确保信息资源共享;2021-11-9华为机密,未经许可不得扩散第23页,共96页数字校园建设方案技术建议书文档密级4)加强规章制度教育与学习,提高系统安全、信息保密意识。信息化管理规程信息化管理规程是指学校在信息系统建设和运行中应遵守的管理规范,使信息化建设和运行进入统一管理的新局面。制订学校信息化管理规程,要重点反映学校在建设网络应用系统建设中的政策、指导方针。主要考虑以下几个方面:1)新建应用系统要有报批制度,只有符合标准规范的系统才能开发实施;对已有不符合规范要求的系统要有计划地改造为符合标准规范的系统;2)对于未报批的新建系统学校将不予支持(资金、技术),今后该系统与其他系统的数据交换、信息共享造成的问题自己负责;3)新系统验收或鉴定要有学校有关部门参加,对不符合标准规范的系统不能通过。4)应用系统的运行后台需要建立严格的运行管理和技术操作制度,并建立具备一定资质的技术保障和管理队伍;5)应用系统的运行前台需要建立培训、考核及使用规范,保证用户能够有效、准确的使用信息系统。安全稳定原则新校区的设计必须确保以应用为中心的各个层面的安全性和稳定性。指定确保应用不中断的各项措施,该措施应涵盖从物理层到应用层的安全可靠性保障措施,含系统备份、容灾恢复及容灾管理的各项手段。现实与前瞻原则新校区建设在整体部署和实施上充分考虑满足新校区建设完成后各项应用的要求,同时考虑整个校园网从物理层到应用层都能够得到平滑升级和扩展,具有适度的前瞻性,如节点的增加、新应用的接入等不应对原有业务造成中断,不应对现有设备造成替换等,同时还考虑满足基于现有成熟技术的应用,也考虑将来新技术的应用能通过直接支持或平滑升级支持来实现。经济实用原则整个校园网设计在确保先进、安全、可靠的同时,还应该兼顾经济实用的原则,选择性能价格比最优的产品。易管理与易维护原则数字化校园网的建设应该是一个统一规划、分布实施的系统,不能一开始就向着大而全的方向来规划,同时,设计方案应确保实现的整个校园网基础平台、应用平台的易于管2021-11-9华为机密,未经许可不得扩散第24页,共96页数字校园建设方案技术建议书文档密级理和维护,管理和维护方便、灵活且界面友好。人性化原则数字化校园网的设计始终考虑以人为本,为各方面用户提供灵活、丰富、方便、友好的信息服务。3.4华为数字化校园总体设计框架拥有高质量、全系列的安全存储产品是华为不断快速推出业界强有竞争力解决方案的基础。华为推出了包括软件和硬件在内的全系列安全与存储产品。在每个领域,华为都拥有业界领先的全系列产品,从而真正保证对解决方案的支撑,为客户带来最大价值。华为教育行业整体解决方案主要由网络连接模块、安全模块、存储模块和管理模块组成。业务网络提供安全的网络连接和各种业务的计算、存储平台,管理网络提供统一的维护管理、计费管理和安全管理。华为提供的安全、存储、服务器和网络产品等可以提供一揽子解决方案,确保校园网各种业务的安全可靠运行。数字校园是以数据平台为基础,实现环境(特别是重点、敏感区域的视频监控)、资源(网络资源、存储资源、计算资源)、到活动(网络的开放架构对定制业务的支持)的全部数字化。基于此思想方法,华为构造出来的一个数字化校园的整合模型如图所示:数字化校园解决方案从整体来看致力于两个层面促进高校信息化的发展。其一是硬件平台的建设,即基于IP技术的校园网络平台建设。方案针对现有校园网的网络架构提出优化方案,利用核心网优化于接入网优化的技术使其能够更好支撑数字化校园2021-11-9华为机密,未经许可不得扩散第25页,共96页数字校园建设方案技术建议书文档密级的上层业务;关于校园网的安全防护长期以来都是校园CIO高度关注的工作,而校园网络的安全问题也在变化,方案紧密围绕校园网络安全防御的三个重点环节(出口、核心、接入)与最新的安全问题,提出了安全渗透防御的架构,共同迎接安全防护的挑战。其二是应用平台的建设,主要是三个中心的建设。公共服务中心:目前在校园网中,存储资源依附于应用和服务器,分散在校园网络不同的地方,由于各种原因,一些信息无法共享,导致了资源的浪费,同时也导致了依附于其上的数据无法共享,所以在校园中采用统一的数据服务中心,是校园网信息实现统一共享的重要手段。电子校务:通过多媒体的方式服务于数字化校园用户的系统。而通过IP语音、IP视讯技术的视频会议、远程教学、IP电话、招生热线等方案将有效解决这些问题,并促进整体数字化校园的发展。智能管理中心:强调全面性与联动性,协同处理网络设备、网络用户、网络应用、数据信息之间的关联问题,对于整体数字化校园的管理应当提供分析数据与报告,支撑校园CIO的决策并降低校园管理的整体拥有成本。两个层次的建设并不是割裂的,联系的枢纽就是智能管理中心,它把硬件系统与应用系统紧密结合在一起,针对硬件资源、应用资源动态调配与控制,实现对数字化校园整体业务的有效支撑,满足“十一五”对高校信息化发展的需要。2021-11-9华为机密,未经许可不得扩散第26页,共96页数字校园建设方案技术建议书文档密级4网络建设方案4.1概述4.1.1整体组网方案图图1网络方案组网示意图整个网络采用扁平化设计理念,分成核心层、汇聚层、接入层、服务器、存储网络。整个网络的建设方案示意图如图1所示:Internet接入层:接入层采用华为USG系列高端防火墙,不但具有路由器的特性,同时可以满足高安全、高可靠的要求,通过接入层接入到Internet环境。核心层:核心层采用华为85系列高性能三层交换机,启用三层转发功能,和汇聚层设备运行路由协议,并提供冗余链路,使得整个网络的路由交换运行无阻。同时内外业务资源、一些重要的终端可以直接接入到核心层,满足高性能的要求。汇聚层:汇聚层采用高性能的65系列汇聚交换机,综合QinQ技术,可以很好的满足终端灵活接入的要求。2021-11-9华为机密,未经许可不得扩散第27页,共96页数字校园建设方案技术建议书文档密级接入层:接入层由楼道二层交换机、无线接入交换机等接入设备构成,可以满足不同终端的接入要求,提供的QinQ技术保证了每端口每VLAN的设计,在终端管理上提供了良好的技术保证。4.1.2业务接入系统图2高性能的独立业务接入系统业务接入系统的组网示意图参考上图所示,对于服务器、重要领导终端、网管终端等采用独立的交换机接入到核心层,这样可以更进一步保证这些重要的业务系统的网络可靠性,同时采用独立的防火墙隔离,可以很好的保证业务安全。2021-11-9华为机密,未经许可不得扩散第28页,共96页数字校园建设方案技术建议书文档密级4.1.3接入层的网络隔离图3采用QinQ技术隔离终端QinQ技术采用嵌套VLAN技术,突破了4KVLAN的限制,无论何种接入设备都可以满足整个网络可靠性、安全的设计,同时每个终端一个VLAN的设计方式保证了二层方式的终端是隔离的,防止了广播风波、ARP病毒等对局域网危害很大的不安全因素的蔓延。采用这种方式的组网可以大大提高整网的可靠性和安全性,使得网络对二层设备的依赖降低,并且有助于降低建设成本,因为所有的终端访问都必须经过汇聚交换,这样的网络设计非常方便网络的管理、控制,避免因为流量的过渡分散造成的安全失控。2021-11-9华为机密,未经许可不得扩散第29页,共96页数字校园建设方案技术建议书文档密级4.1.4高可靠的组网模型图4可靠的组网模型整个网络采用高可靠的设计模型:采用A、B双平面的组网方法,A、B平面即可以做主备平面也可以走负载分担的方式。4.1.5网络建设进度一期建设方案2021-11-9华为机密,未经许可不得扩散第30页,共96页数字校园建设方案技术建议书文档密级图5一期建设方案如果考虑网络建设的规模、资金、进度等问题,可以分一期、二期的建设,一期建设先可以考虑建设单平面,设备采用双引擎方案,减少网络设备的故障点的发生。二期建设方案图6二期网络建设方案二期网络建设成双平面,新增设备可以采用单引擎配置,通过单引擎和双引擎组合构2021-11-9华为机密,未经许可不得扩散第31页,共96页数字校园建设方案技术建议书文档密级成的双平面增加网络的可靠性。同时双平面也可以运行双链路流量,这样可以增加网络核心层的交换容量,满足更高流量的要求。同时可以根据网络的规模情况,新增各种汇聚、接入设备,满足网络容量的要求。4.2Internet接入层设计Internet接入层采用高性能防火墙设计,具体相关介绍参考安全建设方案小节。4.3核心层建设方案根据网络的特点,选择大容量的核心交换机作为核心层建设的主要设备。建议采用华为Quidway®S8500系列核心路由交换机。S8500系列交换机提供大容量、高密度、模块化体系架构,提供二、三层线速转发能力,具有强大的IP路由功能,同时支持分布式的IP/MPLS线速转发、完善的QoS保障、有效的安全管理机制和电信级高可靠设计,满足用户对多业务、高可靠、大容量的需求,可广泛应用于IP城域网、大型园区网的交换核心和汇聚中心。产品特点大容量、高密度线速交换S8500采用全分布式体系结构设计,通过最长路由匹配和Crossbar技术进行高速报文交换,从而大大提升了路由交换机的转发性能和扩展能力。S8500最大提供1.44Tbps交换容量、864Mpps包转发能力,支持各种高密度业务板,整机可支持高达576个千兆端口、48个万兆端口,满足核心层设备大容量、高端口密度的要求,可以满足用户日益增长的带宽需求,并能够极大地保护和节约用户投资。S8500采用的最长匹配、逐包转发方式,能够有效地抗击网络“红色代码”、“冲击波”等病毒的攻击,更加适合大规模、多业务,复杂流量访问的网络。支持完善QinQ特性S8500支持灵活QinQ功能,可以根据内层VLANtag灵活标记外层VLANtag,满足城域接入网一般建设需求。S8500支持策略QinQ功能,可以根据丰富的流分类策略,包括VLANtag、MAC地址、IP协议、源地址、目的地址、优先级、或端口号等,灵活标记外层VLANtag,弥补了传统灵活QinQ的不足,更好地满足了城域接入网不同业务分类和分流的建设需求。2021-11-9华为机密,未经许可不得扩散第32页,共96页数字校园建设方案技术建议书文档密级全面支持分布式MPLSVPN特性S8500遵循业务与性能并重的设计理念,实现MPLS的分布式线速转发,支持MPLSL3VPN、MPLSL2VPN、VPLS等全面的业务功能,满足高端用户对新型增值业务的需求。电信级可靠性设计S8500采用分布式结构,支持双主控交换板,无源背板设计,所有单板支持热插拔;电源系统采用1+1冗余热备份,并支持双路电源输入;风扇冗余设计并支持自动调速;支持STP/RSTP/MSTP、RPR、RRPP、VRRP、SmartLink协议;提供不间断路由转发功能,能够满足电信级网络高可靠性要求,系统可靠性达到99.999%。完善的安全机制S8500支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证;采用802.1x方式对接入用户进行认证,支技全的SNMPv3网管协议、支持配置安全,对登录用户进行认证,不同级别的用户有不同的配置权限,并提供两种用户认证方式:本地认证和RADIUS认证。2021-11-9华为机密,未经许可不得扩散第33页,共96页数字校园建设方案技术建议书文档密级产品规格属性S8502S8505S8508S8508VS8512交换容量(bps)240G引擎I300G引擎II600G引擎I480G引擎II960G引擎I480G引擎II960G引擎I720G引擎II1.44T背板容量(bps)450G750G1.2T1.2T1.8T包转发率(pps)144M引擎I180M引擎II360M引擎I288M引擎II576M引擎I288M引擎II576M引擎I432M引擎II864M槽位数量471010(垂直插槽)14业务槽位数量2/358812二层特性支持802.1P(COS优先级)支持IEEE802.1Q(VLAN)支持IEEE802.1d(STP)/802.1w(RSTP)/802.1s(MSTP)支持IEEE802.1ad(QinQ)和策略QinQ支持IEEE802.3x(全双工流控)和背压式流控(半双工)支持IEEE802.3ad(链路聚合)和跨板链路聚合支持IEEE802.3(10Base-T)/802.3u(100Base-T)支持IEEE802.3z(1000BASE-X)/802.3ab(1000BaseT)支持IEEE802.3ae(10Gbase)支持IEEE802.3af(POE)支持IEEE802.17(RPR)支持RRPP(快速环网保护协议)支持端口镜像和跨板的端口镜像支持端口广播风暴抑制支持多播流量限制支持Jumboframe支持基于端口、协议VLAN划分支持SuperVLAN支持PVLAN支持GVRP网络特性支持ARPProxy支持DHCPRelay2021-11-9华为机密,未经许可不得扩散第34页,共96页数字校园建设方案技术建议书文档密级属性S8502S8505S8508S8508VS8512支持DHCPServer支持NetStream流量统计路由特性支持静态路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGPGR(GracefulRestart)支持等价路由支持策略路由支持路由策略组播支持IGMP支持IGMPSnooping支持IGMPFilter支持IGMPFastleave支持IGMPProxy支持PIM-SM支持PIM-DM支持MSDP支持MBGP支持Any-RPACL/QoS支持标准和扩展ACL支持基于VLAN的ACL支持自反ACL支持Diff-serv/QoS支持流量监管(CAR),粒度为8Kbps支持流量整形(TrafficShapping)支持优先级Mark/Remark支持队列调度机制,包括SP、WRR、SP+WRR支持拥塞避免机制,包括Tail-Drop、WRED支持BT限流2021-11-9华为机密,未经许可不得扩散第35页,共96页数字校园建设方案技术建议书文档密级属性S8502S8505S8508S8508VS8512VPN支持MPLSL3VPN支持MPLSL2VPN,包括martini、kompella两种方式支持VPLS,包括BGP、LDP两种方式支持IPSecVPN支持L2TP支持GRE支持DVPN安全机制支持IEEE802.1x和IEEE802.1xSERVER支持Portal认证支持AAA/Radius支持HWTACACS支持SSHv2支持ACL流过滤机制支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证支技全网管SNMPv3支持命令行采用分级保护方式,防止未授权用户的非法侵入,为不同级别的用户有不同的配置权限支持受限IP地址的Telnet登录和口令机制支持IP地址、VLANID、MAC地址和端口等多种组合绑定支持URPF支持广播报文抑制支持主备数据备份机制支持故障后报警和自恢复支持数据日志防火墙支持嵌入式硬件加速防火墙支持虚拟系统防火墙,虚拟系统防火墙之间通过VLAN划分支持包过滤技术支持应用层报文过滤ASPF支持多种攻击防范技术支持智能防范蠕虫病毒技术支持透明防火墙2021-11-9华为机密,未经许可不得扩散第36页,共96页数字校园建设方案技术建议书文档密级属性S8502S8505S8508S8508VS8512支持邮件过滤支持网页过滤支持日志功能支持各种事件监控和统计功能支持NAT功能NAT支持NAT/NAPT模式支持NAPT模式支持VPN多实例NAT支持MultiISPPOE支持PowerOverEthernet功能系统管理支持FTP、TFTP、Xmodem支持SNMPV1/V2/V3支持RMON支持NTP时钟支持HGMP支持多种配置方式IPV6支持RIPng支持OSPFv3支持IS-ISv6支持BGP4+forIPv6支持MLDv1&v2Snooping支持MLDv1&v2支持PIMv6可靠性支持主控板冗余备份支持电源冗余备份采用无源背板设计所有单板支持热插拔支持VRRP支持SmartLink支持IEEE802.17(RPR)支持RRPP(快速环网保护协议)支持EthOAM(802.3ah)2021-11-9华为机密,未经许可不得扩散第37页,共96页数字校园建设方案技术建议书文档密级属性S8502S8505S8508S8508VS8512环境要求温度范围:0OC~45OC相对湿度:10%~90%(非凝结)安规和EMC认证通过了CE、FCCPART15、TUV-GS、UL、VCCI和C-TICK的认证电源DC:输入电压-48V~-60VAC:输入电压100V~240V最大输出功率:1200W(S8502/S8505)、2000W(S8508/S8508V/S8512)POE电源AC:输入电压160~264V,单电源最大输出功率:2500W外形尺寸(宽×高×深)mm436x265x420436x486x450436x619x450436x886x450436x753x450满配置重量40kg65kg80kg90kg100kg4.4汇聚层建设方案汇聚层采用华为核心汇聚交换机构建,根据网络的具体情况和位置,推荐采用华为6500系列交换机。Quidway®S6500系列高端路由交换机(以下简称S6500)是华为公司面向IP城域网、大型企业网及园区网推出的高性能路由交换产品,提供二/三层线速转发性能,可做为城域网汇聚层交换机和企业网的核心交换机。S6500系列交换机包括四个型号的产品:S6502(2槽),S6503(4槽),S6506(7槽),S6506R(8槽)。产品特点全兼容、模块化系列产品S6500目前提供S6502(2槽)、S6503(4槽)、S6506(7槽)、S6506R(8槽)4款模块化产品,可以满足不同规模、不同网络层次的应用需求,同时这些模块化机架式交换机采用统一的硬件和软件平台,完全兼容的引擎和接口板,以及相同的软件版本,可以适应不断发展的网络,充分保护用户的投资。分布式业务处理体系结构S6500采用先进的全分布式体系结构设计,通过主引擎和分布式高速业务接口板上内置的Crossbar交换网芯片实现板内、板间二、三层流量的线速分布式转发,通过分布式高速2021-11-9华为机密,未经许可不得扩散第38页,共96页数字校园建设方案技术建议书文档密级业务接口板上内置的高性能ASIC和CPU与位于主控引擎上的CPU协同工作,实现ACL、流分类、QoS、组播等业务的全分布式处理。强大的L2/L3转发性能S6500拥有交换容量分别为96Gbps、384Gbps、768Gbps的三种全兼容的高速引擎,分别提供72Mpps、198Mpps、432Mpps的数据转发能力,最大可以实现288个GE的线速转发或24个10GE。电信级、自适应的可靠性设计S6500支持无源背板,支持双路电源供电,支持引擎、电源、风扇的冗余,支持单板热插拔,并可以通过STP/RSTP/MSTP/VRRP等协议实现链路冗余,同时S6500系列交换机支持RRPP快速环网保护技术和SmartLink链路保护技术,可以提供毫秒级的链路故障恢复能力,使得以S6500为核心的骨干网络可靠性大大提高。完善的自适应网络安全特性S6500遵从最小服务原则,所有可能遭受到攻击的网络服务在默认情况下均关闭。支技全的SSH登陆、基于用户安全策略的SNMPV3、MAC+IP+VLAN绑定、802.1X认证等安全策略。支持防网络风暴攻击、防DOS/DDOS攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术。丰富的多业务支持S6500支持强大的组播功能、灵活QinQ、802.1x、内置DHCP-SERVER、NAT、PBR、POE、EPON等多种业务特性,这些业务特性极大地提高了企业网络业务部署的简便性和灵活性,同时增强了对IP语音、视频、WLAN的支持能力,为企业IT系统实现通信整合提供了便利。基于“ASIC+NP”的体系结构,可以灵活地支持业务功能的不断扩展,通过多功能网络处理器模块,可以进一步支持NAT、策略路由等多种高级业务特性。人性化的运营维护管理特性S6500支持集群管理,可以对网元进行批量配置和批量升级,实现ACL/VLAN的动态策略下发,同时网络管理平台可以实现拓扑管理、可视化图形界面、智能化性能监控、告警管理等功能,这些有助于提高网络管理人员的效率、缩短网络故障及维护扩容的时间。产品规格2021-11-9华为机密,未经许可不得扩散第39页,共96页数字校园建设方案技术建议书文档密级属性S6502S6503S6506S6506R插槽数量2478业务槽位2366冗余设计电源冗余电源冗余电源冗余电源、主控冗余背板容量280Gbps640Gbps1.6Tbps1.6Tbps交换容量192G96G/384G/768G转发率144Mpps72M/198M/432MppsVLAN数量4K4K4K4KMAC地址表16K32K64K64K二层协议支持QinQ、灵活QinQ支持RRPP(快速环网保护协议)、SmartLink支持802.3ahEPON特性支持IEEE802.1d(STP)/802.1w(RSTP)/802.1s(MSTP)支持802.1q,提供4KVLAN和VLANTrunk支持基于端口、协议、子网的VLAN支持VoiceVLAN支持PVLAN、SuperVLAN支持GVRP/GMRP支持802.3x流控机制及半双工反压流控支持802.3ad端口聚合支持跨板端口汇聚和动态聚合支持端口锁定支持端口镜像支持跨板端口镜像支持RSPAN支持端口自动协商支持广播风暴抑制支持JUMBO帧网络特性支持ARP,支持LocalARPProxy支持DHCPRelay支持DHCPServer路由表项64K64K,可扩展64K,可扩展64K,可扩展路由协议支持IP、TCP、UDP、ICMP协议支持IPX协议2021-11-9华为机密,未经许可不得扩散第40页,共96页数字校园建设方案技术建议书文档密级属性S6502S6503S6506S6506R支持OSPF支持RIP1/2支持静态路由支持IS-IS支持BGP4支持策略路由支持等价路由支持VRRP组播协议支持IGMP、IGMPProxy支持PIM-SM、PM-DM等组播路由协议支持IGMPSNOOPING支持组播VLAN支持组播权限控制支持组播组快速离开支持组播交换机功能,集中完成组播按用户复制和组播权限控制QOS支持每端口8个硬件队列支持IEEE802.1p(COS优先级)支持L2/3/4流规则分类过滤支持Diff-serv/QoS支持流量监管(CAR),粒度为64Kbps支持流量整形(TrafficShapping)支持优先级Mark/Remark支持PQ、SP、WRR、SP+WRR队列调度机制NAT功能支持NAT、动态NAT功能、动态NAPT、ALG、多ISP、EasyIP、NAT策略、NAT日志、NAT黑名单、内部服务器等功能特性网流分析支持NetStream网流分析功能,可以对网络中的通信量和资源使用情况进行分类和统计,并生成报表,进行网络透视,并提供标准V5、V8、V9格式统计输出POE支持IEEE标准802.3afPOE功能安全特性提供L2/3/4ACL流规则过滤用户分级管理和口令保护提供多种用户认证方式:本地/Radius/802.1x/TACAS+认证2021-11-9华为机密,未经许可不得扩散第41页,共96页数字校园建设方案技术建议书文档密级属性S6502S6503S6506S6506R支持OSPF、RIPv2、BGPv4及IS-IS的报文明文及MD5密文认证支持SNMPv3的加密和认证支持SSHV1.5/V2支持MAC-PORT、IP-MAC绑定网络管理支持SNMPv3支持RMON支持系统日志支持分级告警支持本地、远程诊断提供多语言支持维护方式支持本地配置口(Console)配置支持远端拨号、Telnet远程维护支持命令行配置(CLI)支持Ping、Tracert支持Xmodem协议实现加载升级支持FTP、TFTP协议加载升级安规/EMCEN61000-4-2GB17626.2EN61000-4-3GB17626.3EN61000-4-4GB17626.4EN61000-4-5GB17626.5EN61000-4-6GB17626.6EN61000-4-11GB17626.11EN61000-4-11GB17626.11GB9254classA2021-11-9华为机密,未经许可不得扩散第42页,共96页数字校园建设方案技术建议书文档密级属性S6502S6503S6506S6506RFCCPart15ClassAEN550221998ClassA环境工作温度:0~45℃保存温度:-30~60℃相对湿度:10%~90%无凝结输入电压AC:100V~240V,47~63HzDC:-60V~-48V外形尺寸(mm)宽×深×高436×400×130.5436×480×352.8436×480×486.2436×480×530.6重量(满配时最大重量)≤20kg≤50kg≤70kg≤80kg4.5接入层建设方案根据本方案的实际需求,推荐采用华为Quidway3900系列交换机。Quidway®S3900系列智能弹性以太网交换机(以下简称S3900)是华为公司为设计和构建高弹性、高智能网络需求而推出的新一代以太网交换机产品。系统采用创新的IRF(IntelligentResilientFramework,智能弹性架构)技术,将多台分散的设备组成统一的交换矩阵,非常适合作为关注扩展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚和接入层交换机。S3900系列智能弹性交换机目前包含型号为:S3928P、S3928F、S3952P等多个机型,可以根据端口的数量、端口的类型、电源的类型等选择合适当型号。结合本次项目的实际要求,建议选择S3928P做为24口接入交换机,可以提供24个10/100FE接入,4个千兆SFP上行接口。选择S3952P做为48口接入交换机,可以提供48各10/100MFE接入,4个千兆SFP上行接口。项目S3928P-SIS3928P-EIS3928PWR-EIS3928TP-SIS3928F-EIS3952P-SIS3952P-EIS3952PWR-EI业务端口24个10/100M电口和4个千兆SFP口24个10/100M电口,2个千兆SFP口和2个10/100/1000M电口24个百兆SFP口,2个千兆SFP口和2个10/100/1000M电口48个10/100M电口和4个千兆SFP口2021-11-9华为机密,未经许可不得扩散第43页,共96页数字校园建设方案技术建议书文档密级外形尺寸(W╳D╳H)440mm×260mm×43.6mm440mm×420mm×43.6mm(S3928PWR-EI、S3952PWR-EI)重量3.5Kg5.8Kg〔S3928PWR-EI〕3.5Kg3.5Kg4Kg6.2Kg〔S3952PWR-EI〕输入电压AC:额定电压范围:100-240Va.c.;50/60Hz最大电压范围:90-264Va.c.;50/60HzDC:额定电压范围:-48--60Vd.c.最大电压范围:-36--72Vd.c.POE供电时输入电压范围:-52--55Vd.c功耗(满负荷时)S3928P-SI、S3928P-EI:40WS3928TP-SI:40WS3952P-SI、S3952P-EI:50WS3928P-PWR-EI:采用直流供电时最大功率为430W,其中370W为PD提供;采用交流供电时为450W,其中300W为PD提供。S3952P-PWR-EI:采用直流供电时最大功率为820W,其中740W为PD提供;采用交流供电时为465W,其中300W为PD提供。S3928F-EI:65W工作环境温度工作温度:0~45℃;储存温度:-40~70℃工作环境相对湿度10%~90%(无凝结)项目S3900-SIS3900-EI线速二/三层交换交换容量为32Gbit/s包转发率9.6Mpps(S3928)/13.2Mpps(S3952)VLAN支持4K个符合IEEE802.1Q标准的VLAN支持基于端口的VLAN支持QinQ支持灵活QinQVoiceVLAN支持识别进入端口的流的MAC地址,如果是IP电话流,就会将该端口加入相应的VoiceVLAN广播风暴抑制支持基于端口速率百分比的广播风暴抑制,同时支持基于pps的广播风暴抑制端口环回检测支持端口收、发数据线被短路的检测与告警IP路由静态路由、RIPv1/2N/AOSPF、ECMP组播支持组播VLAN;支持基于端口复制;支持IGMPsnooping、Filter、Fastleave;N/AIGMPV1/V2、PIM-SM、PIM-DM可靠性支持STP/RSTP/MSTP、Smartlink端口汇聚支持通过LACP进行动态端口汇聚支持通过LACP进行动态端口汇聚,支持跨设备汇聚2021-11-9华为机密,未经许可不得扩散第44页,共96页数字校园建设方案技术建议书文档密级项目S3900-SIS3900-EI支持进行通过命令行手动进行端口汇聚支持每个汇聚组最大端口数8FE或者4GES3928p最多支持14组端口汇聚组S3952P最多支持26组汇聚组Jumboframe支持镜像支持多对一的端口镜像,即多个源端口,一个镜像端口支持流镜像MAC地址表地址自学习IEEE802.1D标准最多支持16K个MAC地址支持静态MAC地址1K流控支持IEEE802.3x流控(全双工)支持背压式流控(半双工)IRF支持加载与升级支持XModem协议实现加载升级支持FTP、TFTP加载升级管理支持命令行接口(CLI)配置支持Telnet远程配置支持通过Console口配置支持SNMP支持RMON1,2,3,9组MIB支持华为iManagerN2000DMS网管系统支持WEB网管支持系统日志、分级告警维护支持PING、Tracert支持VCT(VirtualCableTest)支持单链路检测协议(DLDP)N/A支持RSPAN远程端口镜像QoS/ACL支持对端口接收报文的速率和发送报文的速率进行限制支持报文重定向支持CAR功能支持8个端口输出队列支持灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP(StrictPriority)、WRR(WeightedRoundRobin)、WFQ、SP+WRR等模式支持报文的802.1p和DSCP优先级重新标记支持L2(Layer2)~L4(Layer4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN、VLAN范围、MAC地址范围和非法帧过滤2021-11-9华为机密,未经许可不得扩散第45页,共96页数字校园建设方案技术建议书文档密级项目S3900-SIS3900-EI安全特性用户分级管理和口令保护支持IEEE802.1X认证支持AAA、Radius、HWTACACS认证支持MAC地址学习数目限制支持MAC地址与端口绑定支持DUD(DisconnectUnauthorisedDevice)认证,通过MAC地址学习数目限制和MAC地址与端口绑定实现支持SSH支持防止DoS攻击功能支持端口隔离支持MAC地址黑洞支持集中式MAC地址认证5安全建设方案5.1华为安全整体建设方案5.1.1华为公司网络安全整体解决方案华为安全服务模型融合了安全领域三大国际标准,以策略为核心,以管理为重点,以技术为支撑,以工程方法为指导为运营商提供以业务为核心,根据业务特点整网统一规划,分期逐级实现的安全解决方案,如下图所示:这三大国际安全标准和模型是:ISO17799(BS7799):信息安全管理业务规范2021-11-9华为机密,未经许可不得扩散第46页,共96页数字校园建设方案技术建议书文档密级ISO7498-2:信息处理系统开放系统互连基本参考模型第2部分:安全体系结构SSE-CMM:系统安全工程能力成熟度模型华为信息安全架构在网络层次结构中,要求层层防护,建立端到端的安全体系架构。对于接入层的以太网交换机,直接面向用户的流量和攻击,对安全的支持特性对于整个网络的安全起到至关重要的作用。华为公司全系列以太网交换机针对网络上的各种攻击,提供了全面的安全解决方案。5.1.2防网络攻击以“红色代码”、“冲击波”以及“震荡波”等PC病毒造成的攻击,一方面使大量的PC直接成为攻击的受害者,而且网络设备也不能幸免,,造成网速变慢、用户掉线、无法重新上网、设备崩溃等严重后果。LAN接入网的安全特性显得极其脆弱,容易造成巨大的损失,运维成本也急剧升高。因此对于多种多样的网络攻击,接入层交换机必须有全面的安全解决方案。5.1.3病毒攻击的防范对于支持流转发模式的接入层交换机,由于无法适应网络中非法报文的攻击所引起的动荡,导致无法正常转发,严重的时候可能会使设备瘫痪。华为公司全系列接入交换机支持逐包转发模式,即使在加载十万条以上路由、网络路由频繁波动、网络蠕虫极其严重的情况下,仍然保证IP报文的线速转发,因而可以保障正常业务的运行。在网络病毒攻击的具体特征还不明确情况下,往往会带来最严重的灾难,这时一些特2021-11-9华为机密,未经许可不得扩散第47页,共96页数字校园建设方案技术建议书文档密级定的网络攻击防范方式往往会失去效用。通过用户带宽限制(基于VLAN的限制)、和限制访问的方式,可以十分有效地抑抑制网络蠕虫的攻击速度;同时保证非感染用户的正常上网。5.1.4端口隔离用户在接入层次的全面隔离,不仅可以保护用户本身上网的安全,同时还可以维护运营商的利益。因此接入交换机要支持标准的802.1QVLAN,而且提供的端口隔离功能,只允许用户端口与上行端口转发报文,从而阻断下挂各个用户私有网络之间的互相访问,从链路层保障用户转发数据的安全。华为公司接入交换机支持标准VLAN,并且对于不同层次的交换机实现相应的VLAN数量规格,保证用户组网需求。5.1.5MAC地址扫描和ARP攻击的防范以太网交换机的MAC地址表作为二层报文转发的核心,在受到攻击的时候,直接导致交换机无法正常工作。发生MAC地址攻击的时候,攻击者通过不停的发送MAC地址来刷新,填充交换机的MAC地址表,由于MAC地址表的规格有限,导致正常流量由于没有正确的转发表项而无法正常转发。ARP攻击与此类似,通过攻击报文来更改MAC与IP地址的绑定,从而重新定向流量。华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口下MAC地址的最大学2021-11-9华为机密,未经许可不得扩散第48页,共96页数字校园建设方案技术建议书文档密级习个数可防止MAC扫描,并通过VLAN、IP、MAC之间的任意帮定可防范ARP攻击。5.1.6DHCP攻击的防范在接入网络中,DHCP攻击者将自己的服务器设置成DHCPServer,由于用户只会使用第一个响应其DHCP请求的DHCPServer,因此用户获得非法的地址而无法上网。华为交换机提供dhcpserverdetect功能,可以检测到非法的dhcpserver。同时,在交换机上通过配置流规则,可以将非法端口的DHCPReply报文丢弃。当然也可以通过合理的网络规划,做一以每个用户都相互隔离(例如,PUPV:每用户每VLAN),也可以有效地防止私设DHCPServer。5.1.7管理攻击的防范网络中的管理报文被黑客截获分析,导致交换机被入侵对于网络的安全使非常致命的。华为交换机支持SNMPV3,确保网管信息在传输过程中加密,非法用户无法获致报文的真正内容。华为以太网交换机还支持SSH,保证网络管理员在通过Telnet远程访问网络时,防止管理密码被窃取,该特性直接对Telnet报文进行加密,使密码无法被解析。5.1.8成熟的USG防火墙技术USG防火墙系列产品基于电信级的硬件平台以及专用软件平台VRP,展现出了功能与2021-11-9华为机密,未经许可不得扩散第49页,共96页数字校园建设方案技术建议书文档密级性能的完美结合,在攻击防范、VPN(虚拟专用网)、NAT(网络地址转换)以及P2P应用监控等方面都有卓越的表现,是电信、政府、金融、教育、能源等机构理想的网络安全防护设备。对于有VoIP等多媒体应用的场合,USG防火墙也能够提供完善的应用层保护。华为的USG防火墙系列产品能够与众多安全设备联动协作,如IDS、终端安全管理系统以及业务监控网关等,从而提供更为有效完备的安全解决方案。USG系列防火墙满足中国、北美、欧洲、澳洲、日本等国家和地区的UL、CE、FCC、安规等认证,并获得ICSA等权威机构的资质认证。5.2安全隔离建设方案5.2.1方案组网示意图图7网络隔离建设方案网络Internet的接入位置是风险传播的接入控制点,通过在这个位置部署高性能防火墙设备,可以很好的缓解风险的传播,阻挡来自Internet的风险、攻击等行为的发生。在这个位置需要部署高端防火墙设备,满足高性能、高可靠、高安全的要求,是整网的第一道安全屏障。5.2.2高性能的安全设备USG9000是华为公司推出的基于网络处理器NP技术的硬件高速状态防火墙,采用先进的动态检测技术(ASPF),具备电信级高性能和高可靠性,为用户网络提供无与伦比的2021-11-9华为机密,未经许可不得扩散第50页,共96页数字校园建设方案技术建议书文档密级安全保护,同时还具备强大的虚拟专用网(VPN)功能、地址转换(NAT)功能以及P2P业务控制与带宽管理功能,普遍适用于银行、电信、教育等大中型网络系统,目前已经在国内得到大量应用,还远销欧洲、中东、南美、东南亚等国家。『产品特点』强大的防范DoS/DDoS攻击能力USG9000防火墙采用NP高速处理器,拥有卓越的首包处理能力,能防范每秒百万包以上的,能防范每秒百万包以上的SYNFLOOD,UDPFLOOD,ICMPFLOOD,DNSFLOOD等DDoS攻击,同时还提供防CC攻击,蠕虫病毒流量的识别和防范能力,是业界顶极的DDoS防范能力的安全设备。同时采用华为专有ICA智能连接算法,保证在准确识别DDoS攻击流量的同时,不影响用户的正常访问,在复杂网络情况下实现真正的安全防护。丰富的安全业务提供和灵活组网能力USG9000防火墙支持多达100个虚拟防火墙,每个虚拟防火墙实现独立策略配置管理,如同同时拥有了多台防火墙,特别适用于数据中心的运营级访问防护,在提供便捷安全的服务的同时,降低成本。USG9000防火墙与华为终端安全系统实现实时联动,保证只有合法身份的用户才能接入,并对存在安全风险的终端直接进行隔离,并引导用户打补丁和杀毒,高效保证网络安全。USG9000防火墙支持路由模式、透明模式、混合模式,双机状态热备等多种工作方式,采用华为公司的强大的VRP平台,提供对BGP、OSPF等动态路由协议的支持,能够提供高可靠和高复杂的组网,具备非常灵活的组网能力。高性能的VPN网关USG5000/9000防火墙支持L2TP、IPSec等多种VPN接入方式,采用高性能网络处理器和高速的硬件加密模块,支持DES、3DES、AES、国密专用算法等多种算法,并提供1G的加密性能,结合华为公司全系列的VPN设备,提供完整的VPN解决能力。USG5000/9000防火墙可支持高达1G的L2TP接入能力,提供高性能的LNS服务,也是拥有大量出差用户接入内网办公的用户理想设备。2021-11-9华为机密,未经许可不得扩散第51页,共96页数字校园建设方案技术建议书文档密级强大的NAT业务能力USG5000/9000防火墙提供私网地址重叠的NAT、双向NAT、一个公网对应多个私网地址(提供多种算法的负载均衡能力)、一个私网对应多个公网地址等应用,采用NP处理器实现高速NAT转换,是业界顶尖的NAT转换设备。USG5000/9000防火墙可以提供高达256个地址池,对于大量私网用户如数百个网吧的情况,也完全能够提供NAT转换。同时由于其采用NP处理器加速处理二进制日志,配合特别设计的日志服务器软件,在大流量冲击下也可以确保不丢任何NAT日志,不影响正常业务处理。USG5000/9000防火墙提供多ISP的支撑能力,在出口采用多个ISP的线路时,某条线路故障,流量可以自动倒换到其它线路负担。USG5000/9000防火墙采用华为公司成熟稳定的SIP,H.323,MGCP等协议栈,并及时同步最新协议版本,是视频会议、语音和视频电话等应用的理想NAT穿越设备。由于采用了业界顶尖的处理器,保证了ALG高速解析能力。P2P联动流量识别和带宽管理USG5000/9000防火墙可以和华为公司专门研制的业务监控网关SIG联动,对P2P、VOIP、非法共享接入等进行增强识别,由防火墙进行精确限制,能够为城域网出口或者企业出口提供用户业务深度识别和控制的高效解决方案。高可靠性的防火墙产品USG5000/9000防火墙具有优异的处理性能、灵活的业务和路由特性、完善的配置管理和高可靠性。支持电源,风扇的热插拔,支持双机热备并支持双机热备组网时来回路径部一直,从而提供简单方便的组网模式。在透明模式下,更提供BYPASS卡,可以确保设备在故障、掉电、升级版本操作等情况下,不影响现网的业务。USG系列防火墙满足中国、北美、欧洲、澳洲、日本等国家和地区的UL、CE、FCC、安规等认证,并获得公安部、国家信息安全测评认证中心、保密局、解放军等权威机构的资质认证。2021-11-9华为机密,未经许可不得扩散第52页,共96页数字校园建设方案技术建议书文档密级5.3业务监控部署方案图8业务监控的部署方案DPI业务监控可以解决IP管道化的问题,有效的缓解带宽压力,可以很好的解决网络环境中业务不可管理的问题,通过对业务监控的部署可以对全网的业务流量进行精确的分析,可以一目了然的知道网络流量的变化,业务的分布等情况,同时可以对P2P、非法下载、URL等各种非法情况的发生。SIG(ServiceInspectionGateway业务监控网关)是华为公司针对IP网络业务保值、业务监控而推出的产品,主要提供业务流量流向分析、VoIP业务监控、P2P业务监控、共享接入监控、DDoS等异常流量监控、用户行为分析及基于其上的智能WEB推送等功能。SIG采用华为成熟的电信级硬件处理平台,通过多项专利的检测技术,由硬件实现业务报文的高性能分析和处理,并辅助提供智能的、灵活的业务控制手段。SIG支持分布式部署和集中管理,可灵活扩展。通过基于浏览器的管理界面,管理员可以快速熟悉系统的操作管理。业界最高的硬件集成度和性能:借助于精心设计的NP+CPU处理架构,以及26个业务处理槽位,整机最大监控容量达到78G,完全超越业界其他产品,减少占用空间和能耗,降低部署成本。业界首创的精细化联动运营方案:支持与BRAS、GGSN、防火墙等多种网络接入设备以及RM资源策略控制系统联动,可针对区域/组/单用户实施细粒度的流量和2021-11-9华为机密,未经许可不得扩散第53页,共96页数字校园建设方案技术建议书文档密级业务控制能力,为不同要求的用户提供差异化服务,为运营商开展精细化运营提供有力工具。全面细致的业务流量流向分析:采用DPI(深度包检测)与DFI(深度流检测)结合的技术,深入分析各种网络应用的流量类型和流量流向走势,全面掌握网络中的流量、协议及业务分布,为合理规划网络、制定流量控制策略、深度挖掘网络商业价值提供依据。空前强大的VoIP业务监控:采用华为专利的媒体流检测技术,结合长期积累的信令检测技术,可监控60多种VoIP应用,准确定位各种虚拟VoIP运营者;同时提供分时段、分级别的VoIP控制,有效限制虚拟VoIP运营,减少话务收入的流失。可运营的P2P业务监控:通过启发式行为分析的检测技术,结合数据包特征检测,支持28类上百种P2P应用的检测;同时提供分时段、分区域、细粒度的P2P运营控制策略,有效控制网间P2P流量,提高带宽收益率,减轻网络扩容压力,降低网间结算费用。精准的共享接入监控:综合多种检测技术,准确定位各种宽带共享用户;同时提供分时段、分频度以及多种方式的控制策略,规范宽带接入行为,增加宽带业务收入。实时的DDoS等异常流量监管:基于DPI技术,对报文进行应用层层面的深度分析,结合IP带宽、包速率、并发流数的统计特征分析等多种方法,准确定位多种DDoS攻击类型,通过与专业、高性能的防护设备联动,在不增加网络风险、不影响网络性能的前提下提供异常流量的实时监管。详细的用户行为分析:分析网络流量,统计网络热点,发掘业务增长点;分析用户行为,统计用户兴趣,为个性化运营提供依据。智能的Web定向广告推送:通过灵活多样的推送方式和丰富的推送策略,提供推送宽带缴费通知单、新业务信息资讯、民意测验、服务调查等功能,并可基于用户行为分析结果作智能的Web定向广告推送,实现网络增值。快捷方便的协议分析知识库升级:管理员上传规则描述文件即可实现在线升级,操作简单,便于管理;提供快捷方便的升级方式,升级周期短,升级过程无需系统重启,不中断系统业务正常运行。2021-11-9华为机密,未经许可不得扩散第54页,共96页数字校园建设方案技术建议书文档密级5.4入侵检测系统图9入侵检测系统的部署方案IDS系统可以有效的检测应用层的攻击行为,及时的发现例如病毒、木马等的攻击。成为了防火墙设备的有益补充。部署在安装有Windows等操作系统的主机边缘具有良好的安全防护的功能。由于网络攻击所带来的危害愈加严重。NIP网络智能入侵检测系统作为一种高效、准确和智能化的网络攻击检测产品,能实时采集网络系统中的信息数据,并通过综合分析和比较,判断是否有入侵和可疑行为的发生,并采用多种方式实时告警,记录攻击,阻断攻击者的进攻,从而起到保护用户网络和系统免受外部和内部的攻击。NIP网络智能入侵检测系统特别适用于需要极高网络安全性的机构,例如:审计机构、安全顾问机构、安全法律执行机构、大型企业、Internet服务提供商、培训机构以及涉及敏感信息的政府机构等。功能特点强大的入侵检测能力可识别30大类、上千种入侵行为:后门程序攻击2021-11-9华为机密,未经许可不得扩散第55页,共96页数字校园建设方案技术建议书文档密级分布式拒绝服务攻击远程溢出攻击帐号试探性攻击FTP攻击Ping攻击Netbios攻击远程服务攻击扫描攻击邮件服务器攻击远程登录攻击简单文件传输服务攻击Web服务攻击针对CGI的攻击Web服务攻击针对IIS服务器的攻击针对web服务器的其它杂项攻击针对Xwindow服务器的攻击数据库攻击DNS服务攻击拒绝服务攻击密码破解攻击端口扫描攻击UNICODE攻击针对入侵检测系统的DOS攻击IP分片重组攻击2021-11-9华为机密,未经许可不得扩散第56页,共96页数字校园建设方案技术建议书文档密级SYN-FLOOD拒绝服务攻击UDP-FLOOD拒绝服务攻击ICMP-FLOOD拒绝服务攻击其他类型攻击高性能的核心抓包机制通过独特的软件优化技术,使用专用数据通道完成从网口到分析引擎之间的高速数据交换,实现了数据采集过程的零拷贝技术,大大提高了产品在高带宽环境下的性能表现,已经通过了百兆网络和千兆网络环境下大流量时的严格性能测试,性能指标完全满足不同网络带宽的需求。功能强大的事件管理在WEB控制台上为用户提供多角度的入侵警报浏览功能,以及功能强大的搜索引擎。用户可以从大量的警报事件中快速准确地查到所关注的攻击事件。针对每一个攻击事件,用户可以看到其详细的信息,包括发生的时间、攻击的类型、源/目的地址、源/目的端口,单位时间内的发生次数等,同时还提供该攻击事件相关的详细解释、危险级别和解决方案等等。还通过多种角度对入侵事件进行分析审计,并产生详尽、多样化的报表功能。可提供100余种报表样式,包含了全面丰富的综合性内容,帮助用户随时对网络安全状况作出正确的评估。多样化的报警响应方式NIP网络智能入侵检测系统作为网络巡逻兵,在及时发现攻击行为的同时,还能根据用户的配置对不同的攻击行为采取不同的响应措施,这些响应措施包括数据库记录、主动切断、邮件报警、SNMP报警、系统日志报警和联动防火墙阻断等方式。不仅能够做到记录攻击行为,将攻击行为通知管理员,并能够对攻击行为产生阻断、延缓的作用。大规模网络下的入侵检测能力NIP网络智能入侵检测系统支持分布式体系结构,在分布式架构下产品分为控制中心与检测引擎。通过分布在用户各个子网中实时采集和分析数据的入侵检测引擎,以及能够2021-11-9华为机密,未经许可不得扩散第57页,共96页数字校园建设方案技术建议书文档密级对所有检测引擎进行集中管理和配置的控制中心,使整个系统能够对一个大规模用户网络进行入侵检测,从而满足复杂网络环境下用户的需求。灵活多样的部署方式NIP网络智能入侵检测系统采用模块化的体系结构,除了支持分布式扩展之外,还提供了多种引擎组合方式,适应不同网络规模和应用环境。用户可根据自己的网络规模,对每个探测引擎所带探头数作出灵活调整,以最少的投入获得最完美的安全保障。强大的协作联动能力NIP网络智能入侵检测系统支持与其他安全产品的联动协作,支国内主流的联动协议标准,并具备了良好的可扩展联动接口,能够轻松实现与防火墙产品的联动。支持与主流的多种交换机进行联动,可以在检测到高风险的入侵行为之后迅速关闭交换机端口或封堵指定的IP地址来切断攻击源。同时,NIP网络智能入侵检测系统支持标准SNMP网络管理协议,用户可以使用通用网管产品对其进行统一管理。灵活的入侵规则定制NIP网络智能入侵检测系统为用户提供了灵活的入侵规则定制功能。用户可根据自身网络环境及需求从危险级别,规则种类等角度对已有规则进行选择,并确定这些规则的报警响应方式。同时用户还可针对自身需要,自定义检测规则来检测特殊攻击、自定义关联规则来检测由相关联的多种单一攻击事件构成的复杂攻击事件序列。可持续的规则库升级华为公司建立了业界规模最专业的网络安全攻防实验室,不断跟踪世界最新的网络攻防技术,随时就攻防技术的最新发展进行沟通和交流,同时我们与国内外多家信息安全厂商和研究机构建立了合作关系,确保能够根据网络安全技术的最新发展推出最新的入侵规则升级包,并使产品具备对最新攻击行为的检测能力。完备的自身安全性在为用户网络环境提供安全保障的同时,NIP网络智能入侵检测系统具备了完善的自身安全性。系统中采用了多种安全防护措施,包括:基于SSL协议的数据和管理通道2021-11-9华为机密,未经许可不得扩散第58页,共96页数字校园建设方案技术建议书文档密级安全OS及安全物理介质认证隐藏探头自身的IP地址多级用户管理和访问控制系统日志审计功能产品指标产品硬件规格NIP100标准型网络智能入侵检测系统机箱高度:1U尺寸:425mmx356mmx44mm(宽×深×高)重量:10KG工作温度:5℃-40℃工作环境湿度:5~95%NIP200高速型网络智能入侵检测系统机箱高度:1U尺寸:425mmx356mmx44mm(宽×深×高)重量:10KG工作温度:5℃-40℃工作环境湿度:5~95%NIP1000电信级网络智能入侵检测系统机箱高度:2U尺寸:425mmx652mmx88mm(宽×深×高)重量:15KG工作温度:5℃-40℃工作环境湿度:5~95%网络支持支持的网络环境:TCP/IP支持的网络带宽:10M/100M/1000M网络接口NIP100标准型网络智能入侵检测系统3个10/100/1000M探测端口(电口)1个100M管理端口/1个配置串口NIP200高速型网络智能入侵检测系统3个10/100/1000M探测端口(电口)1个100M管理端口/1个配置串口NIP1000电信级网络智能入侵检测系统2个10/100/1000M探测端口(电口)2个1000M探测端口(光口)1个100M管理端口/1个配置串口检测效率100M网络环境下漏报率:低于1%1000M网络环境下漏报率:低于5%攻击特征攻击特征数:30大类3000余条规则攻击特征库升级方式:网上下载或本地升级抗攻击能力抗针对IDS的DOS攻击IP碎片重组抗绕过IDS的攻击响应方式日志记录TCP连接主动切断重新配置边缘设备(如交换机、防火墙)E-mail告警2021-11-9华为机密,未经许可不得扩散第59页,共96页数字校园建设方案技术建议书文档密级SNMPTRAP告警SYSLOG告警5.5终端监控方案5.5.1组网示意图图10终端监控解决方案5.5.2Secospace终端安全方案部署概述随着计算机网络技术的飞速发展和Internet和Intranet技术的不断完善,信息技术和网络给企业带来方便、快捷和高效的同时也带来了各种的安全隐患:员工窃取公司机密信息谋私利;工作时间访问各种网站,降低工作效率,同时将互联网上的病毒、木马引入企业网;企业资产流失;员工越权访问企业应用系统,篡改数据;非法用户接入公司内部网络,盗取商业机密;终端不能及时打补丁,造成蠕虫泛滥。2021-11-9华为机密,未经许可不得扩散第60页,共96页数字校园建设方案技术建议书文档密级图11CSI/FBI2006调查结果柱状图根据国际安全界的统计,每年全球计算机网络遭受的攻击和破坏70%是内部人员所为。来自内部的数据失窃和破坏所造成的危害远远高于外部黑客的攻击。传统的网络安全产品如防火墙和防病毒系统等对于内部用户攻击和威胁事件则无能为力。为了解决企业内部网络管理失控,保障企业网络的畅通、终端设备的安全和公司信息数据的安全,企业需要一套终端安全管理解决方案。华为公司开发了Secospace终端安全管理系统,该系统通过身份认证和安全策略检查的方式,对未通过身份认证或不符合安全策略检查的用户终端进行网络隔离,并帮助终端进行安全修复,在系统补丁管理以及软件分发上实现补丁和必需安装软件的协助安装,以防范不安全网络用户终端给安全网络带来的安全威胁。Secospace终端安全管理系统实现了免疫的终端安全控制和终端安全的审计监控,使用户终端安全得到有效的控制,同时还提供资产管理功能,协助企业管理者实现企业内部终端资产可控可管,防止资产和信息外泄,保障企业信息安全。Secospace终端安全管理系统还提供了强大的报表功能,为管理者提供有用的管理信息。2021-11-9华为机密,未经许可不得扩散第61页,共96页数字校园建设方案技术建议书文档密级Secospace终端安全管理理念华为公司理解的终端安全管理是一个不断完善的PDCA过程。图12Secospace安全管理过程示意图根据我们解决网络终端安全问题的指导思想,我们提出了包括定制策略――检查控制——修复加固——统计汇总的整体解决思路。Secospace终端安全管理系统架构如下图所示。2021-11-9华为机密,未经许可不得扩散第62页,共96页实施安全策略……………制定安全策略检查执行情况修复违规并统计安全报表数字校园建设方案技术建议书文档密级图13Secospace终端安全管理系统架构图Secospace终端安全管理系统是一个包括软件和硬件整体系统。Secospace使用Web浏览器作为管理端界面。主要由Secospace管理器(SM)、控制器(SC)、代理(SA)和修复服务器(SRS)四个软件部件,以及接入控制网关(SACG)一个硬件部件,共五个部件组成。Secospace终端安全管理各模块功能Secospace管理器(SecospaceManager,简称SM)是Secospace安全管理系统的业务核心,提供各种业务功能组件,包括资产管理、软件分发、补丁管理、日志审计、终端安全策略管理、身份管理、报表等组件,并提供WEB界面与用户交互。Secospace控制器(SecospaceController,简称SC)负责管理SA和SACG,SC接收SM的指令并发给SA执行,当用户通过SA认证通过后,SC控制SACG开放用户访问相应企业资源的权限。Secospace代理(SecospaceAgent,简称SA)安装在用户终端上,负责用户的身份输入和安全策略检查。在用户使用网络前,必须2021-11-9华为机密,未经许可不得扩散第63页,共96页VPN网关分支机构SRSSMSACGSA防病毒服务器域管理服务器补丁服务器认证前域Internet认证后域3认证后域2认证后域1SM:Secospace管理器SC:Secospace控制器SA:Secospace代理SRS:Secospace修复服务器SACG:Secospace接入控制网关SASASASASC数字校园建设方案技术建议书文档密级启动SA,然后输入身份信息进行登录,在登录过程中,SA同时收集客户端的安全信息,把相关信息发送到SC进行检查。如果身份合法,同时安全策略符合企业需求,则开始使用网络;如果身份不合法,则终端只能访问企业预先设置好的Guest区域;如果身份合法,但是不满足企业安全策略或者发现病毒,则SA会向用户提示警告,同时协助指导用户进行安全修复。同时SA提供了安全监控功能,可以根据SC下发的安全监控策略在后台执行审计监控任务,并返回执行结果,例如USB使用记录等。SA同时提供用户本机自检和软件自动升级等功能。Secospace修复服务器(SecospaceRepairServer,简称SRS)对操作系统补丁,杀毒软件,防火墙等安全资源进行集中统一的管理,对不符合企业安全策略的终端进行安全修复,同时为用户提供安全策略查询和安全问题反馈。SRS接受Secospace管理器的信息,根据用户的安全状况给用户相应的提示信息,并协助用户对终端进行安全修复,比如补丁安装等。Secospace接入控制网关(SecospaceAccessControlGateway,简称SACG)控制终端的网络访问权限,对不同的用户,不同安全状况的用户开放不同的权限。当Secospace控制器认证和安全检查终端之后,把结果通知SACG,SACG根据控制器的信息,决定终端的访问权限,防止外部用户访问企业内部网络,防止内部合法但不安全用户连接到企业网络进一步感染公司网络,对于连接到网络没有进行验证的用户也进行隔离,并且能够防范各种攻击,以及对用户访问资源审计。SACG采用华为公司的USG系列产品。图示如下:图14安全接入控制网关系列产品实物图5.5.3Secospace终端安全管理系统功能介绍安全接入控制安全接入控制是Secospace安全管理系统提供的一项重要业务功能,包括终端安全接入2021-11-9华为机密,未经许可不得扩散第64页,共96页数字校园建设方案技术建议书文档密级控制和网络级(IP地址+端口)访问控制功能。终端安全接入控制是指企业员工在使用终端访问企业资源前,先要经过身份认证和终端健康检查(即企业定义的安全策略标准),在确认身份合法并通过健康检查后,终端可以访问各种企业资源,认证不通过则不能访问网络,健康检查不通过则放在一个隔离区进行检查修复,直到终端通过健康检查后才允许正常访问企业内部网络资源,终端接入控制采用的是认证前域和认证后域的概念。终端接入控制主要是防止不安全的终端接入网络给企业安全带来隐患和防止非法终端和用户访问企业网络。图15Secospace安全接入控制流程示意图网络级访问控制和终端安全接入控制的差异在于认证通过后,访问控制网关会根据用户的身份,确定用户可以访问企业的哪些业务系统,网络级访问控制的重点是保护企业资源。Secospace安全管理系统提供的网络级访问控制采用基于角色的访问控制,可以有效的制止用户的非法访问和越权访问。安全接入控制可以采用接入控制网关或软件实现方式。Secospace安全管理系统提供安全接入控制网关、802.1x交换机+主机防火墙软件等接入控制方式。安全接入控制网关(SACG)方式终端在接入企业网络访问资源前,可以访问缺省区域,终端在该区域可以获取对终端问题进行修复,比如安装操作系统补丁、更新病毒库等等,只有在终端用户的身份合法且健康状况检查通过后,硬件网关就会开启用户可以访问的网络资源。2021-11-9华为机密,未经许可不得扩散第65页,共96页修复身份认证安全检查非法用户拒绝入网不符合规范的用户被隔离并修复内网核心资源实施监控安全审计数字校园建设方案技术建议书文档密级通常硬件接入控制网关的部署比较灵活,可以支持集中/分布、串接/侧挂等各种部署方式。通常在方案设计过程中,针对安全防护的颗粒度不同,采用的部署方式也各有差别。终端安全策略合规性检查客户可将定义的安全策略下发到SA,SA在接入网络时进行安全检查,安全检查不通过则根据事先定义的规则判断是否允许接入网络。安全检查策略如下表:Table表1安全检查策略列表策略名称策略功能详细描述检查共享目录检查系统共享目录设置情况,并根据配置的违规用户名称检查共享目录的合法性重要说明:此策略的执行需要管理员权限,非管理员权限用户无法有效执行检查系统安装软件检查系统安装软件当前版本支持软件黑名单的检查,可以设置某些软件为违规软件,当检查到系统已经安装了这些软件,把违规信息上报服务器;说明:此策略执行不需要管理员权限检查注册表子键检查指定的注册表子键和键值项是否存在说明:此策略执行不需要管理员权限检查屏保设置检查屏幕保护是否启动,是否设置密码,屏幕保护启动时间。说明:此策略执行不需要管理员权限检查防病毒软件检查杀毒软件的程序版本、扫描引擎版本以及病毒库日期;norton10.0企业版金山毒霸2006(2007暂不支持)江民2006(2007暂不支持)瑞星2007企业版卡巴斯基6.0企业版Mcfee7.0熊猫Panda趋势网络版Officescan5.0etrustEz7.1.8.0重要说明:此策略的执行需要管理员权限,非管理员权限用户无法有效执行检查冗余帐户冗余帐户:终端代理操作系统中长期未使用的帐户成为冗余帐户,时间的长短可以在服务器上配置启用对冗余帐号的检查,系统检测到帐户超过冗余天数未登陆操作系统将上报信息。说明:此策略执行不需要管理员权限检查数据库补丁检查已安装数据库软件的版本及补丁包信息,目前支持SQLServer.支持如下版本:SQLSERVER2000SP3/SP4SQLSERVER2005SP1说明:此策略执行不需要管理员权限检查操作系统补丁根据配置的补丁列表检查已安装的系统补丁并记录未安装的补丁支持如下操作系统:2021-11-9华为机密,未经许可不得扩散第66页,共96页数字校园建设方案技术建议书文档密级WINDOWS2000/SERVER/ADVANCESERVERWINDOWSXP/SP1/SP2WINDOWSSERVER2003说明:此策略执行不需要管理员权限检查IE补丁检查IE补丁,支持:IE5.0、6.0,含IE的SP补丁说明:此策略执行不需要管理员权限检查Office补丁检查Office补丁,支持:Office2000、Office2000SR-1、Office2000SP2、Office2000SP3OfficeXP、OfficeXPSP1、OfficeXPSP2、OfficeXPSP3Office2003、Office2003SP1、Office2003SP2说明:此策略执行不需要管理员权限终端用户行为管理客户可以定义实施监测策略并下发到SA,SA实时监测终端用户的行为,并且把安全策略要求采集的事件上报到SC。管理员可以根据这些上报的安全事件,分析内网的安全状况,并且生成相应的报表。Table表2用户行为监控策略列表策略名称策略功能详细描述监视进程监视系统中运行的进程列表根据管理端的配置获取客户端的进程信息重要说明:此策略的执行需要管理员权限,非管理员权限用户无法有效执行监控系统服务监视终端系统服务的运行状况配置某个服务的启动/自动/禁用属性,强制某些服务的启用和关闭重要说明:此策略的执行需要管理员权限,非管理员权限用户无法有效执行监控网站访问根据关键字检查系统的上网历史记录(黑白名单)通过配置,可以禁止用户访问某些URL的网站;也可以只允许用户访问某些URL的网站;说明:此策略执行不需要管理员权限监控多网卡状态检查用户系统中是否存在两个或以上网络设备连接的情况,若存在则记录其IP地址,检查时间。说明:此策略执行不需要管理员权限监控网络连接记录通过Modem等设备上网的IP、持续时间,发现设备联网后根据配置参数决定是否断开连接重要说明:此策略的执行需要管理员权限,非管理员权限用户无法有效执行监视网络流量监视网络在一段时间内的网络流量,并且上报服务器说明:此策略执行不需要管理员权限监控IP访问配置主机防火墙的IP规则,下发到终端代理,终端代理根据这些防火墙规则实施终端的上行/下行的控制2021-11-9华为机密,未经许可不得扩散第67页,共96页数字校园建设方案技术建议书文档密级该防火墙为状态防火墙说明:此策略执行不需要管理员权限监控网络应用程序配置主机防火墙的应用程序规则,下发到终端代理,终端代理根据这些防火墙规则实施应用程序访问网络的控制,包括禁止/放行两种模式说明:此策略执行不需要管理员权限监控文件操作(包含USB等移动存储设备)支持对指定文件(包括USB文件)的“增加”“删除”“编辑”操作进行监控,文件的指定可以采用精确或模糊匹配两种方式。Secospace支持USB的监控和禁用功能;当选择USB禁用后,USB端口将不可以使用;重要说明:此策略的执行需要管理员权限,非管理员权限用户无法有效执行监控系统外设支持控制光驱/软驱/打印机三种存储设备的启用/禁用;支持控制串口/并口/SUB接口/以及Modem的启用/禁用重要说明:此策略的执行需要管理员权限,非管理员权限用户无法有效执行监控键盘(拷屏键)控制按键(拷屏键)的启用/禁用说明:此策略执行不需要管理员权限终端资产管理Secospace安全管理系统提供企业IT资产生命周期管理,包括资产的购置、变更、淘汰,支持软、硬件资产的管理,支持软件License统计和管理,支书产和责任人管理,提供资产统计和报表功能。Secospace安全管理系统通过安装在终端上的代理采集软硬件资产信息,并能跟踪资产信息变化。资产管理还包括对资产基本信息的录入、查询、硬件信息的获取和资产责任人的管理。图16Secospace资产管理流程图2021-11-9华为机密,未经许可不得扩散第68页,共96页SASC录入资产基本信息!管理员绑定并自动收集资产绑定信息生成资产记录资产库查看并统计资产情况资产变更资产变更表查看资产变更情况生成报表上报启动资产管理数字校园建设方案技术建议书文档密级终端软件分发功能Secospace终端安全管理系统的软件分发功能,基于操作系统自身的FTP服务,首先将要下发的软件通过管理界面上载到FTP目录,通过服务器预设规则,代理获知下载通知后,根据FTP的地址,集中从指定的FTP服务器下载规定的软件。Secospace为终端软件分发提供集中的管理界面,方便客户在整个内网中快速分发软件,并且能够查询软件下载情况,督促未下载的终端用户尽快下载,帮助客户实现统一规范的安全管理目标。补丁分发管理Secospace安全管理系统补丁管理支持对Windows(Win98、Windows2000Pro/Server/AdvanceServer、WindowsXPPro/Home、Windows2003Server)、IE、Office、MSSQLServer等软件的补丁检查和管理。Secospace安全管理系统提供终端补丁安装情况统计报表,并支持强制策略,当某个或某些补丁没有打时,禁止用户接入网络。强制策略可以按组(部门)或个人灵活定制。2021-11-9华为机密,未经许可不得扩散第69页,共96页数字校园建设方案技术建议书文档密级6存储建设方案6.1集中存储的建设方案6.1.1概述图17集中存储的一个案例集中存储现在已经是一个必然的趋势,在网络建设的初期为了避免由于后续业务的开展,进行存储空间的调整以及存储备份等情况的发生,在初期建设的时候就应该部署集中存储方案,使得网络的结构可以满足将来业务发展的要求。图18集中存储示意图2021-11-9华为机密,未经许可不得扩散第70页,共96页数字校园建设方案技术建议书文档密级6.1.2存储方案的选择通过构建集中存储方案,可以有效的整合内部的业务资源,使得各种业务平台、业务系统、主机系统公用一个存储空间,而空间的分配对于各个业务系列来说是透明的,每个业务系统都动态的拥有自己的硬盘空间,可以随时调整,动态改变。图19存储接口的选择根据现在存储系统建设的特点,以及结合我们以往对政府内网存储系统建设的经验,我们对存储的规划设计目标如下:海量存储:大量业务数据的存放管理是存储系统建设的核心,拥有一套大容量的存储系统是保证数据完整性和集中管理的关键。不仅要求存储系统具有超大容量,而且硬件的可靠性、容量的灵活扩展、简便的安装维护管理也会提高应用的效率。足够的传输能力:成熟的光纤架构。政务内网需要提供内容丰富的知识信息,由于存储资料海量,数据流量大,所以对整个系统的性能有着较高的要求,包括磁盘阵列存储系统与服务器之间的大容量、高频率的I/O传输,存储设备内部的总线传输带宽能力等都是用户关注的焦点。管理性与系统高效:为保证数据存储空间的可管理性。方案采用先进的SAN技术和相应的SAN管理软件,保证大数据量简便管理并能够充分发挥系统性能。将NAS与SAN两种存储架构有机的结合使用,充分发挥各自的架构优势,进行互补,提高系统使用的高效性。先进性/可扩展性:硬件配置要求稳定性高、易扩容,能适应以后的升级以最大限度地保护现有投资,并2021-11-9华为机密,未经许可不得扩散第71页,共96页数字校园建设方案技术建议书文档密级保证应用的连续运行。能适应用户以后服务器等设备扩展,满足当前和未来不同的数据保护需求。保障数据的高可靠性:全冗余设计,自动故障切换功能可充分保障数据访问连续性。高度模块化设计、最大程度提高易用性、易维护性。磁盘阵列系统具备多种RAID级别,支持在线式动态RAID级别迁移功能。具备动态碎片整理功能。投资最有效:存储案应具有高性能、高扩展,具有很高的实用性,充分保护用户的当前投资。先进成熟的存储管理软件和硬件设备,支持不同的主机平台,减少了用户的未来投资。根据用户的多服务器连接存储设备的需求,目前,市面上满足这一需求的主流存储架构有NAS、SAN两种,而SAN又可分为FCSAN和IPSAN两种。下面就针对监控行业对存储的需求特点,结合用户的实际应用,将这三种存储架构进行一个比较。  NAS存储架构  1)文件级数据存储  NAS设备最主要的应用就是企业或部门内部的文件共享。由于NAS本身就是一台瘦服务器,有自己的操作系统和文件系统,可以直接与本地局域网连接,提供文件级的数据共享,但NAS设备无法成为服务器的本地硬盘,无法提供数据块的存储。  2)带宽有限  NAS是在局域网中传输,且有自己的操作系统和文件系统,这些因素都会导致NAS设备的带宽降低,增加NAS设备的读写响应时间。  FCSAN  1)高性能  FCSAN最大的优势在于其出色的性能。目前的主流FC产品的带宽为2Gb/s,4Gb/s产品也已经相当普遍,这是FCSAN高性能的标志。而光纤磁盘本身的高性能,也为FC磁盘阵列提供了高速运转的基础。  2)扩展性强  FCSAN的扩展能力很强,1个光纤通道最大可支持127个设备(即磁盘),而一台光纤阵列至少会有2个以上的光纤通道,有的甚至更多,这就意味着用户购买一台光纤阵列产品就可以通过连接JBOD来安装更多的磁盘。另外,FCSAN还可以方便的通过光纤交换机来扩展磁盘阵列。2021-11-9华为机密,未经许可不得扩散第72页,共96页数字校园建设方案技术建议书文档密级  3)成本较高  FCSAN的高性能带来的另外一个特点就是成本相对较高,从光纤阵列本身到光纤磁盘再到光纤交换设备、光纤HBA卡等周边设备的成本都是比较高的。  4)传输距离较远  光纤的传输距离最大为10公里,对于IDC机房的设计来说足够满足日常的应用。  IPSAN  IPSAN中所采用iSCSI通信协议是internetSmallComputerSystemInterface的缩写,实际上是一个互联协议,是SAN结构的一种。通过将SCSI协议封装在IP包中,使得SCSI协议能够在LAN/WAN中进行传输。IPSAN的特点  1)为存储区域网定义(SANs)。IPSAN是SAN的一种,通过IP实现的SAN,即IPSAN.  2)支持数据库应用所需的基于块的存储。虽然是通过IP传输,但iSCSI却是基于块的存储,这有别于NAS的基于文件的存储。  3)基于TCP/IP,iSCSI是被封装在IP包中进行传输的,所以它具有TCP/IP的所有优点,诸如可靠传输,可路由等。4)由于受制于TCP-IP网络的开销,IPSAN的性能和可靠性较低,但是可以传输的很远,因此在短距离传输的基础上,IPSAN的性能瓶颈较为严重。通过上面的比较,在重要的数据中心机房一般都应该采用FC-SAN的技术,而远程的异地容灾备份等可以考虑采用IP-SAN的技术。因此,在本方案中推荐采用FC-SAN做为存储技术,而采用IP-SAN技术做为容灾备份技术的选择。2021-11-9华为机密,未经许可不得扩散第73页,共96页数字校园建设方案技术建议书文档密级6.1.3存储系统构架设计图20存储网络示意图如上图所示,为了达到存储的最佳性能,主存储区采用FCSAN技术构建,充分发挥了FCSAN性能高、可靠性好、扩展性强的优点,可以很好的满足主业务的使用。在满足主业务使用的前提下,可以构建一个容灾备份网络,利用IPSAN技术构建一个备份存储网络。6.2核心数据的保护\"居安思危\"这句成语同样适用于我们数字图书馆核心业务系统的建设,随着教育信息化的进行,数字图书馆在构建自己各种业务服务用户的同时,如何建设和完善自己内部的核心业务系统,提供可靠的业务保障,建设稳定的应用系统以及保证关键数据的安全,都是必须要建设的内容。2021-11-9华为机密,未经许可不得扩散第74页,共96页数字校园建设方案技术建议书文档密级采用LANFREE备份架构给了用户更好的数据备份性能,备份数据的流通路线也是在由光纤组成的SAN网络上的,不仅提高了数据的传输性能,更使其没有占用前端的业务网络,以至在备份过程中对前端网络的运行没有影响。采用先进的D2VTL的备份策略,备份介质采用华为VTL3600虚拟带库设备。它利用磁盘增强了备份的可靠性、速度及可用性,360MB以上的备份速率,大幅缩短备份窗口,1小时能恢复1TB以上的数据。华为公司的VTL3600通过将磁盘仿真为行业标准的磁带库,广泛兼容,可以模拟主流带库:ADIC、HP、IBM、Quantum、StorageTek,兼容主流备份软件:Veritas、EMC、CA,提高了现有第三方备份应用软件的速度和可靠性。华为公司的VTL使用光纤通道(FC)或IP协议,以极高的速度向基于磁盘的虚拟磁带传输数据并从基于磁盘的虚拟磁带复原数据。另外,通过消除机械手故障和物理磁带介质错误,便利其可靠性达到最佳,改善了备份和复原的成功率。6.3灾备数据中心的建设在以往的业务系统中,仅考虑本地容灾,即通过集群的双机系统(Cluster或HA)对业务应用提供保护,在一台服务器的软硬件发生故障时,将整个业务切换到后备服务器上。该方法很大程度上避免了服务器的单点故障,提高了整个业务系统的可用性。但是,随着业务系统的发展,随着竞争的不断加剧,在一些重要的系统中,客户已经2021-11-9华为机密,未经许可不得扩散第75页,共96页数字校园建设方案技术建议书文档密级不满足于简单的本地保护。越来越多的客户提出了要求更高的系统可用性,要求实现真正的异地容灾保护。因为一旦出现异常情况,如火灾、爆炸、地震、水灾、雷击或某个方向线路故障等自然原因以及电源机器故障、人为破坏等非自然原因引起的灾难,导致业务正常无法进行和重要数据的丢失、破坏,造成的损失将不可估量。因此,要求业务系统可以在发生上述灾难时快速恢复,将损失降到最低点。全面的异地容灾保护方案,意味着除了要实现本地的切换保护外,更要实现数据的实时异地复制和业务系统(包括数据库和应用软件)的实时远程切换。采用华为OceanStorS6800数据远程同步功能,通过将本地数据连续地复制或镜像到远程存储系统中去,以形成副本的方式实现对数据的保护,也是构建异地备份、异地容灾的最佳存储解决方案。数据远程同步功能支持非常多的同步选项,具备充分的操控灵活性,允许存储系统管理员对数据同步操作做出优化。数据远程同步功能支持同步、异步等同步模式,并可在多种模式间做动态的模式切换,数据同步功能亦能与数据快照功能有效结合,扩展信息服用模式与价值。OceanStorS3000\\6800系列存储系统所提供的高级数据应用功能,在S3000系列的的高性能、高可用的硬件平台上为用户提供更大的信息存储价值。2021-11-9华为机密,未经许可不得扩散第76页,共96页数字校园建设方案技术建议书文档密级6.4存储设备选型融合的存储系统如何来面对业务和网络化的挑战?面对业务的多样化,复杂化,以及不同业务对性能的不同需求,融合存储系统必须具备多承载的特点,同时还必须保证数据和设备的安全性。除此之外,考虑到扩展性和维护性,以及基于IP的业务平台,融合的存储系统还必须是可运营的。另一方面,面对网络化的挑战,融合的存储系统还需具有易部署,可扩展性高,系统开放性,可远程加载业务及监控,可平滑融入网络等特点。经过多年的持续投入和潜心研究,华为技术有限公司在存储领域积累了比较深厚的经验,通过同步跟踪存储技术的发展动态和IT行业的发展趋势,充分分析用户对存储的需求,华为采用成熟的IT技术架构,融入节能、高可靠、高可用、易管理等设计理念,成功推出新的存储系列产品――OceanStorS5000系列存储系统。OceanStorS5000系列存储系统的主机端口可选FC和iSCSI,并支持FC和SATA硬盘。通过可灵活配置的主机端口或硬盘类型,支持部署FCSAN或IPSAN的组网方式,满足您的各种存储需求。OceanStorS5000系列存储系统采用Active-Active双控制器、Cache完全镜像、数据保险箱保护、硬盘预拷贝、全局热备盘、一体化电池保护模块等完善的数据保护技术,更有效地保证数据的可用性。同时,支持交/直流双电源模块,可灵活地适用于您的机房环境。OceanStorS5000系列存储系统具备以下特点,为您的数据提供最优良的保障:–基于开放标准的架构–全冗余的硬件设计,保证设备运行可靠性–与控制器一体化的UPS,保证掉电时数据可安全写入硬盘永久保存–硬盘预拷贝功能,规避RAID组失效和数据丢失的风险–可选FC和iSCSI主机端口,支持FC和SATA硬盘高度灵活性和开放性结合本方案的实际特点,推荐采用S5600存储系统。S5600不但支持FC-SAN,同时支持ISCSI协议,也可以构建IPSAN网络做为容灾备份系统。6.5华为存储产品介绍随着网络的发展和信息系统计算能力的提升,信息量迅速膨胀,对数据的存储和管理提出更高挑战。存储系统应具备更高的可靠性、更便捷的管理、更强的可扩展性、更卓越的性能。华为自主研发的OceanStorS5000系列存储系统(简称S5000系列)可以更好满足运营商的电信级应用和中大型单位的企业级应用。S5000系列具备以下特性:Active-Active冗余控2021-11-9华为机密,未经许可不得扩散第77页,共96页数字校园建设方案技术建议书文档密级制器、可选交/直流电源、智能CACHE镜像、一体化UPS保护、数据保险箱、磁盘预拷贝、多类别主机接口。满足OLTP(实时事务处理)、备份、容灾、数据挖掘、经营分析、数据中心等不同的存储资源部署需求,提供良好的业务连续性保证。高可靠性Active-Active冗余硬件架构双控制器互为冗余,可同时进行业务处理;1+1冗余电源/风扇模块;冗余掉电保护电池;一体化的UPSUPS集成在控制框内,节省机架空间;数据保险箱意外掉电时,可以保证CACHE数据可安全写入数据保险箱;恢复供电后,可以把数据保险箱的数据恢复到CACHE中,保证CACHE数据不丢失。磁盘预拷贝功能与热备盘结合使用,规避RAID组失效和数据丢失的风险;使用周期扫描硬盘技术检测不常访问的RAID组,防止硬盘累积故障;提前预测硬盘故障,并及时把有问题的硬盘数据转移到热备盘上;便捷的管理维护便捷的管理,帮助用户快速部署存储系统支持图形化GUI及CLI管理方式;设备监控(CPU、风扇、电源、温度等);业务链路状态监控;日志管理;易于维护2021-11-9华为机密,未经许可不得扩散第78页,共96页数字校园建设方案技术建议书文档密级主要模块及磁盘组件支持热插拔,减少维护复杂性;支持Web和Modem拨号等远程管理能力,增加维护及时性;提供声光、邮件、短信等告警模式,确保设备故障信息不会被忽视或遗漏;更强的可扩展性灵活的主机端口配置可选择4GbFC接口配置;可选择iSCSI与FC融合接口配置;磁盘框4U高度,可容纳24块磁盘最大支持240个磁盘可选择低成本、高容量或高性能磁盘大容量、低成本—250GB/500GB/750GBSATA磁盘;高性能、高可靠—73GB/146GB/300GBFC磁盘;更卓越的性能全交换体系架构;高性能的64位双核处理器;大容量的CACHE;稳定的64位系统平台;高级数据管理功能逻辑卷快照通过占用较小的存储空间,可瞬间获得逻辑卷的逻辑拷贝,常用于文件、逻辑卷恢复以及备份、测试、数据分析等应用。2021-11-9华为机密,未经许可不得扩散第79页,共96页数字校园建设方案技术建议书文档密级图21逻辑卷拷贝在同一个存储系统内,将一个逻辑卷(Source)上的内容完全物理上拷贝到另一个逻辑卷(Target)。目标逻辑卷的内容与源逻辑卷的内容和所占物理空间完全一致,目标逻辑卷与源逻辑卷相互独立,对目标卷的操作不影响源逻辑卷的性能。卷拷贝功能,通常用于企业经营分析、数据挖掘、系统备份和测试等应用,还可用于实现数据迁移、存储整合等解决方案。图22图23远程镜像是基于存储设备的数据复制技术,在两个存储系统之间进行镜像,主卷接受主机的读写,并通过同步模式对镜像卷进行数据写入。通常用于远程高速数据拷贝和远程容灾方案。2021-11-9华为机密,未经许可不得扩散第80页,共96页数字校园建设方案技术建议书文档密级技术规格:型号S5300S5500S5600硬件特性 CPU64位双核处理器Cache4GB4GB8GB控制器数量互为冗余的双控制器控制器工作模式Active-Active或Active-Standby主机接口(数量类型)8x4GbFC4x4GbFC+4x1GbiSCSI16x4GbFC8x4GbFC+4x1GbiSCSI16x4GbFC8x4GbFC+4x1GbiSCSI磁盘数量72120240磁盘类型FC/SATA容量54TB/SATA;21.6TB/FC90TB/SATA;36TB/FC180TB/SATA;72TB/FC磁盘选项SATA磁盘:250GB/500GB/750GB7200rpmFC磁盘:73GB/146GB/300GB10krpm/15krpm单框磁盘密度24个/框性能特性 连接主机(虚拟端口)的最大数量128128256LUNs102410242048RAID特性 RAID支持能力0、1、3、5、10、50可靠性 冗余保护能力冗余的控制器模块冗余的电源-风扇模块冗余的一体化UPS模块(与控制器一体化)冗余的级联模块(磁盘框)热备盘全局热备、预拷贝2021-11-9华为机密,未经许可不得扩散第81页,共96页数字校园建设方案技术建议书文档密级掉电保护支持,主机兼容性 操作系统支持Windows、Linux、Solaris、HP-UX、AIX、NetWare、FreeBSD等软件特性 主机多路径UtralPath多路径软件增值软件快照、镜像、远程复制等管理特性 管理界面WebGUI、CLI等SAN资源管理LUN动态调整条带深度调节:4K/8K/16K/32K/64K/128K/256K/512K;故障告警网管界面告警可闻可见告警(故障灯、蜂鸣器)远程管理支持Web远程登录模式支持Modem拨号连接,命令行配置日志功能支持电源支持能力 交流AC:100V-127V/200V-240V(50/60Hz)直流DC:-36V--72V物理特性 峰值功耗1150W/控制器框;810W/磁盘框平均功耗682W/控制器框;513W/磁盘框尺寸175mm(H)*446mm(W)*600mm(D)重量<66Kg(控制器框);<57Kg(磁盘框)2021-11-9华为机密,未经许可不得扩散第82页,共96页数字校园建设方案技术建议书文档密级7服务器建设方案7.1概述7.1.1服务器建设方案图24刀片服务器的部署优势刀片服务器是现在发展的必然趋势,提供了方便的平台便于用户进行业务升级,可以构建一个弹性业务平台。2021-11-9华为机密,未经许可不得扩散第83页,共96页数字校园建设方案技术建议书文档密级图25华为T8000刀片服务器的结构华为T8000刀片服务器结合了机架服务器的优点和刀片服务器的优点,构成了一个新一代的计算平台,可以很好的满足业务平台的要求。图26华为T8000计算平台的接口示意图7.1.2服务器系统需求分析集中性原则系统规划、设计和建设要以管理系统集中、数据集中、处理集中为原则,统一规划、统一标准、统一设备。安全、保密性原则从设备安全、网络安全、数据安全等多角度考虑系统的安全性和保密性,采用多种手段对安全性和保密性进行控制来确保公司业务经营信息的安全。技术先进性各种设备均采用技术成熟、稳定且具备先进设计理念的产品,系统在建成后能通过升级保持其先进性,延长生命周期。高可靠性系统软硬件均具备极高的可靠性。硬件采用华为自研的刀片服务器及专业存储阵列,主要部件采用冗余机制;高效的故障管理保证系统具备极高的可用性,在最短时间内即可2021-11-9华为机密,未经许可不得扩散第84页,共96页数字校园建设方案技术建议书文档密级恢复业务。软件采用模块化、分层隔离以及负载均衡的设计思想充分保证系统的高可靠性。高可用性系统具有高效的软硬件使用效率,关键设备均达到硬件配置最高的使用率,同时采用优化的流程设计确保系统的高效率。易维护性系统硬件可以很方便的实现远程管理及维护;系统软件均采用模块化的设计,并提供友好的人机接口,确保系统的易维护性。灵活的扩展性刀片式服务器、专业级存储阵列扩容方便,可根据用户投资实现弹性部署。系统关键设备均采用集群技术以及负载均衡技术,可充分保证系统随着用户容量的扩展,实现系统的平滑扩容。软件系统架构充分利用网络的扩展性强的特点,采用分散控制、集中管理的结构,使得系统可扩充性很强。良好的开放性系统采用业界主流的硬件平台、操作系统平台、数据库平台以及标准的协议,保证系统的开放性。极高的性价比以满足用户实际的需求和品质要求为标准,既不为展示技术而牺牲成本,又不为追求低价而牺牲质量,力争向用户提供最优化的、具有最佳性价比的方案。7.2服务器系统方案设计业务系统采用统一的硬件平台,建议建立在华为自研的TecalT8000电信级刀片服务器基础之上。TecalT8000是一款采用了IA架构和电信级Linux(CGL)技术的服务器,并遵循开放的ATCA标准和IPMI(IntelligentPlatformManagementInterface)规范。T8000采用了基于模块化结构的、兼容的、可扩展的硬件构架,可满足下一代服务器对RAS(Reliability,AvailabilityandServiceability)的要求,并提供强大的数据传输和业务处理能力。T8000作为一种高可用、高可靠、高性能的电信服务器,主要面向服务器类产品应用,以及需要强处理能力和大容量背板交换能力的产品应用。电信级的高可靠性T8000采用电信级的元器件、安装工艺进行制造,通过电源、管理SMM板等关键部件的冗余及业界领先的电源和散热功能实现了高可靠性,其可用性达到99.999%。2021-11-9华为机密,未经许可不得扩散第85页,共96页数字校园建设方案技术建议书文档密级冗余保护T8000对关键功能模块提供冗余保护。当工作模块发生故障时,系统将自动地切换到备用模块上。T8000提供了以下部件的冗余保护:直流电源模块采用1+1冗余保护,支持2路-48V直流电源输入。SMM板支持1+1主备方式的冗余保护,并支持主备板间的数据自动同步功能。交换网板支持1+1冗余保护。负载均衡板支持1+1冗余保护。服务器板结合集群技术支持1+1或N+1冗余保护。风扇框内的风扇模块支持N+1冗余保护,单个风扇出现故障后不影响系统运行。业务总线采用双星型冗余设计。IPMB总线采用双星型冗余设计。容错功能TecalT8000提供丰富的容错功能,从硬件和软件的设计上保证产品可靠性。其主要容错功能包括:采用信息驱动调度方法,具有很强的CPU负荷均衡和过载处理能力。提供软件程序和数据的多级防护,并具有自检、自动恢复功能。提供3级看门狗功能,防止软件死机,同时软件在软复位的情况下不中断业务处理,增强系统保护功能。提供对单板软件加载中断的保护。自定义协议的通信要具有确认与重发机制。单板支持防误插设计。提供对电源的防反接保护、对电源故障的隔离设计。2021-11-9华为机密,未经许可不得扩散第86页,共96页数字校园建设方案技术建议书文档密级硬盘支持容错设计。软件支持版本回退功能。软件支持补丁功能和在线加载功能。故障管理功能T8000为保证系统高可靠性,提供丰富的故障管理功能。包括故障检测、故障诊断定位、独立的故障信息上报通道等。T8000提供的故障管理功能包括以下几方面:每个FRU单元通过其自身的BMC模块实现故障检测和故障上报。供对风扇框、接入电源模块的故障检测功能。提供过滤网运行时间设置、“过滤网未清洗”告警等功能。对所有通道提供心跳检测功能。提供对备用通道的故障检测功能。提供对设备故障的自动定位诊断功能。当板载硬盘空间使用率超过设置的阀值时,提示容量告警。T8000的各种故障都可通过SMM板进行统一监控处理。先进的管理系统可采用电信级综合系统管理软件USM对网络中所有的服务器进行统一管理。管理平面与业务平面相互独立;具备良好的兼容性:支持电信级的操作系统CGL和中间件软件SAF。7.3数据中心节能减排目前能源短缺日趋明显,环境保护已经成为社会发展共识,实现绿色节能已经成为IT服务提供者的必由之路。如何更好地实现以客户为中心的绿色存储,通过绿色节能设计的优质产品部署,提升竞争力,以及如何以尽可能低的运营维护成本,快速灵活地部署数据系统和发展业务,已经成为摆在IT服务提供者面前的严峻任务。华为“存储绿色节能设计”为实现这一目标提供了可能。2021-11-9华为机密,未经许可不得扩散第87页,共96页数字校园建设方案技术建议书文档密级通过服务器的主动节电技术,自动变频,根据负载压力自适应地改变频率。此外在优化存储数据结构和模型上,华为公司也有独特的理念。合理利用“数据生命周期”策略,把次要数据自动转移到次存储系统,以减轻主存储系统的负荷。优化存储结构,节省存储空间,例如只存储变更了的数据,合理利用数据备份实现多元化应用,防止重复备份相同的数据。减少测试和开发流程所需的数据备份,实现多重实时虚拟数据备份,并加快新应用的测试和部署。7.4服务器系统设备选型建议选择T8000刀片服务器。名称配置T8222机箱支持最大12个刀片服务器、2个交换网板,标配8风扇,2个管理板,双路-48V直流输入,满配最大功率2518W交换网板支持1个GE平面,可按需增加配置1个GE平面和1个FC平面负载均衡板支持4-7层硬件负载均衡,L4负载均衡吞吐量为500Mbps-1000MbpsBH22服务器刀片支持2路intelwoodcrest双核处理器,最高支持3.0GHz支持SATA/SAS硬盘,最多支持16GBFBDIMM内存,支持windows2000/2003、redhatAS3/4、SLES8/9。2021-11-9华为机密,未经许可不得扩散第88页,共96页数字校园建设方案技术建议书文档密级8网络管理规划8.1网管需求分析数据中心承载的业务越来越多,应用越来越广泛,涉及业务管理系统、网管系统、KVM维护系统、邮件系统、防病毒系统等;而且数据中心内存在大量的基于Windows、Unix、Linux的多种平台,如何将数据中心内的各种应用和平台有效地进行整合和管理,从而实现对数据中心的高效便捷的运营管理成为运营商迫切需要解决的问题。图27复杂的数据中心的应用由于数据中心的设备众多,包括了数据设备、安全设备、应用软件、数据库、服务器、存储等,因此需要有一个统一的管理平台对数据中心的设备进行管理,通过良好的管理可以有效的提升整个中心的运营管理水平,使得整个系统可以更好的服务,并防止很多意外的问题发生。因此一个良好的数据中心必须具有一个良好的管理平台。8.2网络设备的管理iManagerN2000DMS数据通信网络管理系统是华为公司针对数据通信设备进行管理维护的网管解决方案,提供数据通信网络管理维护的全面解决方案,提供网元层管理和网络层管理能力,功能涉及网络故障管理、配置管理、性能管理等多方面。iManagerN2000DMS与华为公司的数据通信设备产品一起提供数据通信全网解决方案,对数据通信设备的维护和网络管理提供支持。iManagerN2000DMS数据通信网络管理系统基于灵活的组件化结构,包括DMS-基本组件包(DMS-BASE)、IP网络性能管理器(PerformanceManager)、报表管理器(ReportManager)等,可以根据自己的需要和网络情况灵活选择需要的组件,真正实现“按需建构”。2021-11-9华为机密,未经许可不得扩散第89页,共96页数字校园建设方案技术建议书文档密级产品框架图1iManager®N2000DMS解决方案框架图运行平台要求表1iManagerN2000DMS各组件系统运行平台要求服务器UNIX平台Solaris10+Sybase12.5Windows平台Windows2003Server+SQLServer2000客户端Windows2003Professional+InternetExplorer6管理的设备表2iManagerN2000DMS系统管理的设备类别设备列表交换机S系列交换机(S2000以上)路由器NetEngine系列、AR系列安全产品USG系列宽带接入服务器MA5200系列、ME系列接口协议表3iManagerN2000DMS系统接口协议接口类别协议支持设备接口SNMPV1/V2c/V3、RMON、TFTP/FTP、SYSLOG、TELNET、NetStream8.3备份管理软件企业的数据增长速度越发不可控制,这种增长意味着需要更多的存储资源和管理成本。2021-11-9华为机密,未经许可不得扩散第90页,共96页数字校园建设方案技术建议书文档密级据行业分析家报告,36%的公司将需要扩充他们的存储容量。而Gartner报告称,公司每花费1美元购买存储硬件,就要花费3美元进行存储管理。这就是说,除了购买基本硬件需要化钱外,还需要化钱购买软件管理这些硬件、保护这些数据,最后还需要有管理员维护整个系统。数据量的日益增长除了导致成本不断增加外,还给企业和IT部门带来了精神压力:IT部门必须确保能够在规定的备份时间窗口内正确无误地保护好所有的业务数据;在需要恢复时快速有效地恢复数据。备份软件可以按照客户需求将企业数据周期性备份到备份设备上,以达到保护数据的目的,需要时可以迅速恢复。但是备份软件不能分清数据的性质和重要性,因此不能减少需要备份的数据总量。显然,如何管理和控制数据增长、充分利用现有资产,制定最佳的数据保护策略,尽可能地降低成本增加,确保有效和高效的数据保护策略,是企业十分关心的问题。VERITASStorageExecTM软件,可以帮助企业有效、科学地进行存储资源管理,回收存储空间,配合数据保护软件BackupExecTMforWindowsServers,减少备份窗口,降低存储成本,帮助企业建立更高效率的数据备份与恢复系统。VERITASStorageExec软件提供以下功能,以解决上述问题:基于策略的集中式管理——一个工具同时管理所有基于Windows服务器的磁盘、NAS、SAN和NetApp存储系统。可以采用相同的策略,实现管理的一致性和高效率回收存储空间——评估现有存储数据,确定将哪些数据删除或移植到用于更长期保存的存储介质里,许多情况下可让企业回收30%的存储容量降低存储增长——通过详细而精确地控制,达到管理和减缓存储增长的目的减少存储的过度利用和空间爆满的可能——提供存储服务器使用率的直观视图,以便进行更好的管理和容量规划提高备份效率——通过降低数据总量、提高数据质量,达到减少备份窗口的目的8.4流量监控设备管理SIG(ServiceInspectionGateway业务监控网关)是华为公司针对IP网络业务增值和业务保值而推出的产品,主要提供业务流量流向分析、VoIP业务监控、P2P业务监控、共享接入监控、DDoS等异常流量监控、用户行为分析及基于其上的智能WEB推送等功能。SIG采用华为成熟的电信级硬件处理平台,通过多项专利的检测技术,由硬件实现业务报文的高性能分析和处理,并辅助提供智能的、灵活的业务控制手段。SIG支持分布式部署2021-11-9华为机密,未经许可不得扩散第91页,共96页数字校园建设方案技术建议书文档密级和集中管理,可灵活扩展。通过基于浏览器的管理界面,管理员可以快速熟悉系统的操作管理。通过SIG平台可以精确的展现一个数据中心内部的流量分布情况,可以有效的防止带宽滥用、无效升级等情况发生,同时在网络发生故障的同时可以有效的保证网络的连通性,对网络进行深入的分析。通过SIG平台的分析可以有效的对网络中各种异常的情况进行充分的把握,为科学升级、科学管理提供了有力的武器。SIG具有如下一些产品特性:业界最高的硬件集成度和性能:借助于精心设计的NP+CPU处理架构,以及26个业务处理槽位,整机最大监控容量达到78G,完全超越业界其他产品,减少占用空间和能耗,降低部署成本。业界首创的精细化联动运营方案:支持与BRAS、GGSN、防火墙等多种网络接入设备以及RM资源策略控制系统联动,可针对区域/组/单用户实施细粒度的流量和业务控制能力,为不同要求的用户提供差异化服务,为运营商开展精细化运营提供有力工具。全面细致的业务流量流向分析:采用DPI(深度包检测)与DFI(深度流检测)结合的技术,深入分析各种网络应用的流量类型和流量流向走势,全面掌握网络中的流量、协议及业务分布,为合理规划网络、制定流量控制策略、深度挖掘网络商业价值提供依据。空前强大的VoIP业务监控:采用华为专利的媒体流检测技术,结合长期积累的信令检测技术,可监控60多种VoIP应用,准确定位各种虚拟VoIP运营者;同时提供分时段、分级别的VoIP控制,有效限制虚拟VoIP运营,减少话务收入的流失。可运营的P2P业务监控:通过启发式行为分析的检测技术,结合数据包特征检测,支持28类上百种P2P应用的检测;同时提供分时段、分区域、细粒度的P2P运营控制策略,有效控制网间P2P流量,提高带宽收益率,减轻网络扩容压力,降低网间结算费用。精准的共享接入监控:综合多种检测技术,准确定位各种宽带共享用户;同时提供分时段、分频度以及多种方式的控制策略,规范宽带接入行为,增加宽带业务收入。2021-11-9华为机密,未经许可不得扩散第92页,共96页数字校园建设方案技术建议书文档密级实时的DDoS等异常流量监管:基于DPI技术,对报文进行应用层层面的深度分析,结合IP带宽、包速率、并发流数的统计特征分析等多种方法,准确定位多种DDoS攻击类型,通过与专业、高性能的防护设备联动,在不增加网络风险、不影响网络性能的前提下提供异常流量的实时监管。详细的用户行为分析:分析网络流量,统计网络热点,发掘业务增长点;分析用户行为,统计用户兴趣,为个性化运营提供依据。智能的Web定向广告推送:通过灵活多样的推送方式和丰富的推送策略,提供推送宽带缴费通知单、新业务信息资讯、民意测验、服务调查等功能,并可基于用户行为分析结果作智能的Web定向广告推送,实现网络增值。快捷方便的协议分析知识库升级:管理员上传规则描述文件即可实现在线升级,操作简单,便于管理;提供快捷方便的升级方式,升级周期短,升级过程无需系统重启,不中断系统业务正常运行。8.5存储管理S5600采用模块化结构设计,提供基于Web和CLI的标准管理接口,为您提供简单直观的操作维护方式。通过OSM3.0,可以实现以下业务功能:配置初始状态获取设备的当前状态统计性能查看告警日志升级软硬件在线扩容存储容量OSM3.0是一个基于Web的用户界面GUI(GraphicUserInterface),包括主菜单、快捷按钮、告警指示栏、功能界面和导航树,如下图所示。2021-11-9华为机密,未经许可不得扩散第93页,共96页数字校园建设方案技术建议书文档密级图28OceanStor存储管理系统主界面通过OSM3.0可以提供如下一些功能:设备管理设备信息查询、控制框管理、硬盘框管理。业务管理RAID管理、硬盘管理、LUN管理、Cache管理。映射管理主机管理、主机组管理、主机LUN映射管理。性能统计统计CPU利用率、Cache利用率等。系统管理系统信息查询、控制器信息查询、Firmware版本信息查询、导入导出操作、版本查询、软件升级等。故障管理告警查询、告警下载、告警确认、告警邮箱设置、TrapIP设置、告警蜂鸣器设置、告警短消息设置等。日志管理日志查询、日志下载。2021-11-9华为机密,未经许可不得扩散第94页,共96页数字校园建设方案技术建议书文档密级8.6安全设备的管理USG防火墙可以通过如下方式进行本地或远程维护:支持通过Console口进行本地配置和维护。支持通过在AUX接口采用Modem拨号方式实现远程配置和维护。支持通过Telnet方式实现本地或远程配置和维护。支持SSH(SecureShell,安全外壳)维护管理方式,实现在不能保证安全的网络上提供安全信息保障和强大认证功能,以避免受到IP地址欺诈、明文密码截取等等攻击。基于SNMP的终端系统管理USG防火墙支持SNMP(V1/V2c/V3)协议和Client/Server体系结构,接受NMS网管站的管理,如接受华为公司网管平台iManagerN2000和Quidview的管理。GUI配置和管理USG防火墙提供基于GUI(GraphicUserInterface)的防火墙管理界面,为用户提供友好地配置和管理界面。在图形化界面中,可以配置安全区域、ACL、NAT、ASPF、攻击防范、黑名单和各种统计参数。WEB管理USG防火墙提供基于web的管理界面,为用户提供友好的配置和管理界面,用户无需安装任何专用的客户端软件,在防火墙上只需作简单的配置,就可以直接利用IE浏览登陆到到管理系统进行管理。在web的管理界面里,可以完成所有的配置,用户无需做太多的学习和记忆,根据提示就能完成配置工作。NIP具有形式多样的网络管理方式,为用户提供方便的网络管理手段。图形界面管理NIP基于GUI(GraphicUserInterface)的管理界面,为用户提供友好的图形化配置和管理界面。在图形化界面中,可以配置安全策略,设置各种参数,并可以查看、分析报警事件。本地串口管理NIP可以通过串口(Console口)进行本地配置。配置的参数包括引擎的IP地址、网络掩码等信息。集中分级管理2021-11-9华为机密,未经许可不得扩散第95页,共96页数字校园建设方案技术建议书文档密级NIP对大型的分布式网络环境提供分级部署的管理功能,既支持两级控制台管理的简单部署结构,也支持多级控制台管理的复杂部署结构。可以完成主控制台对下属分支控制台的集中管理和升级文件分发等功能。产品升级NIP提供在线升级和脱机升级两种升级方式,升级的内容包括攻击签名库、控制台程序和引擎程序。在线升级包括自动在线升级和手动在线升级两种方式。2021-11-9华为机密,未经许可不得扩散第96页,共96页
祥福铺
该用户很懒,什么也没介绍
文档单价:6.00 会员免费
开通会员可免费下载任意文档