数字校园建设方案

数字校园建设方案

第1页, 共20页

2010-4

一、

3.1 3.2 二、 三、

3.1 3.2 3.3 3.4 3.5 3.6 3.7 四、

目录

设计原则及需求 ............................................................................................................... 3 设计原则 ....................................................................................................................... 3 具体需求 ....................................................................................................................... 3 数字校园总体设计 ........................................................................................................... 4 详细设计 ........................................................................................................................... 5 承载网络的设计 ........................................................................................................... 5 校园出口网络设计 ....................................................................................................... 6 数据中心系统的设计 ................................................................................................... 7 视频监控系统的设计 ................................................................................................. 12 终端安全管理系统的设计 ......................................................................................... 16 网络管理系统的设计 ................................................................................................. 18 日志审计系统的设计 ................................................................................................. 19 设备清单 ......................................................................................... 错误！未定义书签。

第2页, 共20页

一、 设计原则及需求

3.1 设计原则

根据****的需求以及**公司对网络建设的积累，我们提出****网络建设设计必须满足以下原则：

1．安全性原则：充分保证系统的安全性。使用的信息安全产品和技术方案

在设计和实现的全过程中有具体的措施来充分保证其安全性。 2．可靠性原则：保证产品质量和可靠性，对项目实施过程实现严格的技术

管理和设备的冗余配置，保证系统的可靠性。

3．先进性原则：具体技术和技术方案应保证整个系统具有技术领先性和持

续发展性。

4．可推广性原则：方案及其采用的技术应该支持系统规模的扩大和网点数

量的增加，易于广泛推广。

5．可扩展性原则：IT技术的发展和变化非常迅速，方案采用的技术具有良

好的可扩展性，充分保护当前的投资和利益。

6．兼容性原则：要求系统的标准化程度高，可以做到不同应用系统间的完

全兼容；同时，也可以根据特殊的要求给出不兼容的设计。

7．可管理性原则：所有安全系统都应具备在线式的安全监控和管理模式。

3.2 具体需求

1.2.1 局域网

根据数字校园网的建设需求，需要建设整个校园的网络平台，通过这一个平台来运行校园一卡通，视频监控，数字图书馆，网络教学等功能。

1.2.2 互联网机教育网连接

第3页, 共20页

为了满足互联互通，学校需要连接互联网和教育网。

网络平台在总体建设上采用业务与网络分层构建、逐层保护的原则，利用宽带IP技术，保证网络的互联互通性，提供具有QOS带宽保证，并

提供各部门、系统网络间的逻辑隔离(VLAN、VPN)，保证互访的安全控制。

二、 数字校园总体设计

****组网图如下：

组网说明：

所有的PC终端通过千兆链路到接入交换机，接入交换机通过千兆光纤到汇聚交换机，大楼汇聚交换机千兆光纤连接到校园核心交换机；

其中各大楼汇聚交换机到核心交换机为双链路；

互联网出口通过一台NE20E-8路由器分别连接到internt和教育网，

第4页, 共20页

然后通过防火墙连接到校园核心交换机S9312;同时考虑到安全的因素，部署出口入侵检测。

校园数据中心部署一筐刀片，配置10台高性能服务器，后端配置主备两台存储。数据中心配置一台服务器汇聚交换机S9303，同时考虑到安全的因素，部署防火和入侵检测。

视频监控系统前端通过接入交换机接入视频监控头，在数据中心部署存储和监控电视墙。

整个校园部署终端安全管理系统，对所有的接入计算机系统进行接入控制，补丁管理，安全策略控制等安全管理。

全网部署华为网管系统，进行所有的网络设备进行管理。

三、 详细设计

3.1 承载网络的设计

各楼层接入交换机使用S5324TP-SI或S5348TP-SI全千兆到桌面，然后通过千兆多模光纤连接到楼宇汇聚交换机S9303；汇聚交换机S9303通过双千兆链路连接到校园核心交换机S9312；校园核心交换机配置两台，为双核心。

S5300支持增强型灵活QinQ功能，启动该功能不占用ACL资源。S5300能将内层VLAN的CoS值映射到外层VLAN，或者修改外层VLAN的CoS值，可根据业务需要灵活标记QoS等级，满足多业务承载的要求。

S5300支持IGMP Snooping/ IGMP v3 snooping/Filter/Fast Leave/Proxy等协议。S5300支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持可控组播，可以充分满足IPTV和其他组播业务的需求。

S5300支持MCE 功能，实现了不同VPN用户在同一台设备的隔离，有

第5页, 共20页

效解决用户数据安全问题，同时降低用户投资成本。

同时对于汇聚或核心交换机的S9303交换机也有强大的优势和性能。 S9300系列不但能为企业和电信运营商提供业界领先的性能、端口密度和可用性，同时提供强大的全业务支持，包括：

整机支持高达576个GE/144个10GE端口；采用领先工艺设计，优化整机尺寸，超强双面走线能力，提供无与伦比的单机柜端口密度，支持高达1728个GE或432个10GE端口

支持分布式L2/L3 MPLS VPN功能，支持MPLS、VPLS、HVPLS、VLL，满足大客户VPN专线、企业VPN等高端用户的接入需求

具备线速的跨VLAN组播复制能力，实现端口的满负荷复制，满足大容量的IPTV用户接入需求；完善的二、三层组播协议，可作为组播复制点和控制点，提供高性能的IP组播视频和音频应用

多协议L3路由支持满足了传统的网络要求，支持从企业级到电信运营商级的大规模路由表，支持IPv6，能够为企业网络提供平滑的过渡机制

支持各种主流的时钟方案，包括基于PHY层的以太网同步时钟，以及IEEE1588时钟同步

支持POE，满足在线供电需求。 具体配置情况见配置清单。

3.2 校园出口网络设计

NE20E-8，同时配置千兆防火墙S5330和入侵检

校园出口路由器选择

测系统NIP1000;防火墙通过两根千兆光纤连接到校园核心交换机，组成校园出口网络。

同时为了考虑出差用户的需求，出口建立SSL VPN系统，满足在校园接入学校进行办公。

第6页, 共20页

3.3 数据中心系统的设计

配置刀片服务器一筐，同时配置10个刀片用于数字校园的应用，其中包括各种网络管理系统的部署。部署两台存储系统，一台用于主存储，一台用于备份存储。

服务使用刀片式服务，本项目中配置一个框，10个刀片。 刀片服务器具体设计配置如下： 机框笼子： 名称 配置描述 T8223一体化机框，机框管理模块，NX20, 单GE网络交换板，支持多种交换模块扩展，GE 交换模块，FC 交换模块，NR12交换网板接口板, 8*GE（电）T8000刀片+4*FC，NX22,GE 直通板，NR23,GE 直通板接口服务器机笼 板,12*GE（电），配电柜-220V-47~63Hz-60000mA，3+1块电源冗余模块，DVD光驱，及安装相关光模块及配套电缆

数据库服务刀片： 名称 配置描述 服务器刀片板-6*DIMM，两颗X86 数量 1 数量 series-LGA1366-2533MHz-0.9V-64bit-80000mW-Quad 10个刀片 Core，DDR3 RDIMM内存12G ；硬盘存储型接口板1块；对内 FC 接口模块，连接交换网板1块；2块300GB SAS热插拔硬盘 与传统的机架式服务器相比，华为刀片服务器具有以下优势： 高密度，节省空间和降低整体成本。平均一个机柜只能安装12个2U机架服务器，而可以安装24片以上刀片。刀片服务器的安装密度是机架

第7页, 共20页

10

式服务器两倍以上。

具有完善的远程管理能力。刀片服务器由于具有共享的机框，使得可以从硬件监控每个刀片节点。刀片服务器的管理功能一般都包括远程上下电、硬件诊断、监控硬件状态、监控操作系统及节点进程、OS远程布署、KVM over IP等。

动态配置能力强。可以在不同时段把刀片配置成不同的服务，按需布署。

安装简单、维护方便。例如12台服务器的安装，机架式服务器需要24根电源线、12根网线等，刀片服务器只需要2根电源线、1根网线等。

刀片支持热插拔。

集成了千兆以太网、FC、SAS等交换模块，无需单独配置交换机。

支持机箱系统多种高速交换

T8000支持机箱系统多个交换系统, 简化了服务器部署与维护。 支持机箱系统冗余 GE、SAS 交换。其中，SAS 交换带宽高达 3G b/s。； 通过扩展Fabric FC、GE 模块，支持机箱系统 FC 交换和更大的 GE 交换。

智能管理模块

BH22 服务器集成 BMC 管理模块。BMC 独立于服务器的操作系统之外，对服务器硬件状态、环境状态、运行状态进行带外实时监控，支持自动重启系统与系统告警，告警信息可以通过 USM 软件以声音、指示灯、E-MAIL、短信的方式通报给用户。

第8页, 共20页

多种告警

远程 KVM over IP 技术

用户可以通过远程客户端的显示器、键盘、鼠标虚拟 BH22 本地 KVM 操作对其进行监视和控制，可以设置Bios、监控OS启动，进行远程上、下电操作；可以同时管理四个服务器，并通过多窗口显示运行状态。

虚拟媒体技术

支持虚拟媒体技术，提供远程虚拟光驱、软驱服务。

高可用软件管理

T8000支持系统管理软件 USM，用户通过 USM 提供的图形化管理界面实现对 BH22 的带内、带外管理，如硬件上电、下电、硬件状态、性能监视、OS部署等。

存储系统的设计 存储系统设计的原则

总体原则为必须高可靠，高性能，低成本，低功耗；在满足这四个基本的原则的前提下，需要重点考虑以下几个问题：

首先充分考虑承载于存储上的业务系统类型。

具体可以细分为：关键应用（如数据库），非关键应用（如：视频监控）两大类；如果存储需要承载关键应用，存储系统需要选择为FC SAN光存储系统,使用FC光纤硬盘，如果为非关键数据，为非重要数据，可以考虑IP SAN存储，使用SATA硬盘。根据这一个基本原则，本方案设计为同时

第9页, 共20页

支持FC SAN+IP SAN，同时支持FC光纤硬盘和SATA硬盘，此为存储选型的最基本原则。

存储主机接口选择原则

存储主机负责与前端服务器进行对接，目前主流接口为:FC接口，SAS接口，IP接口；

FC接口：可靠性高，性能高。

IP接口：由于IP接口是基于TCP/IP协议，TCP协议存在一个丢包的问题，所以可靠性较FC低。但是IP接口使用较方便。

本次方案设计为同时支持FC接口+IP接口混合接口。

存储的可扩展性原则

存储系统首次建设完毕后，后期未来3-5年存储扩展问题，故存储系统需要具有良好的扩展性，以保护首次投资。

本次方案存储设计为：单框支持24块硬盘，最大可扩展到110块硬盘以上。

为了提供可靠性，本次存储系统建设建议为双主控，双电源。 存储系统的备份原则

目前业务系统中的数据分为在线数据和离线数据；在线数据为生产数据，离线数据位备份数据，为了保障在机房设备发生物理损害故障，数据的备份就是一个很关键的操作。

在设计主存储系统时，备份存储系统的建设也是也很有必要的。本方案综合考虑各方面因素以及更加存储建设的原则，建议进行数据的备份。

数据的备份技术经历了手动备份，发展到自动备份，从全量备份发展到增量备份的技术。目前应用最广泛的为主备存储系统实时的同步镜像，当主阵列发生故障，即可通过切换，让备份存储做为主存储即可恢复生产。

存储系统的具体设计

第10页, 共20页

本方案存储系统设计为：一套主存储系统，一套备份存储系统； 主存储系统配置为8GB缓存，双主控，双电源，前端主机接口为8个4Gb FC+4个GE iSCSI；单框支持24块硬盘；主存储系统配置24块300G光纤硬盘；为了考虑防止数据的逻辑错误，主存储系统配置快照功能，为了实现数据备份，实时和备份存储同步数据，配置镜像功能授权；

具体配置如下： 名称 配置描述 8GB缓存，双主控，双电源，前端主机接口为8个4Gb FC+4个GE iSCSI；一体化含UPS Cache保护模块，HS S5000 FC控制板系统软件，单框支持24S5500 FC主存块硬盘；配置24块300G光纤硬盘；主机与LUN的映储 射数(8个映射)，配置多路径软件授权，CACHE智能预读取，为了考虑防止数据的逻辑错误，配置虚拟快照功能，为了实现数据备份，实时和备份存储同步数据，配置同步镜像功能授权，远程维护终端，

两台存储达到高效的容灾和备份； 华为存储的优势

本项目中存储建议使用双主控的FC SAN存储，本技术建议书中使用华为****存储，****存储支持双主控，同时支持FC硬盘和SATA硬盘，单框支持24块硬盘。64位多核架构：64位多核处理芯片，64位双通道内存，64位高达10GB/s的系统总线，64位实时操作系统

支持SSD硬盘：支持高性能的SSD硬盘

面向应用的优化专利算法：依据主机读写模式，动态调整硬盘读写过程，实现性能最优化

第11页, 共20页

数量 1

双控动态均衡技术：双控制器互为热备，并行处理业务，并动态实现负载均衡，双控之间的Cache镜像采用专用的双通道，双通道之间动态负载均衡

接口模块化设计：同时提供FC和iSCSI主机端口模块，满足IP SAN和FC SAN混合组网需求。系统支持多达16个主机接口，节省交换机的采购成本和后期维护成本

24盘位高密设计：1U空间容纳6块硬盘，节省空间；扩一个硬盘框便可扩24块硬盘，相对传统方案，扩容成本降低60％

一体化UPS技术：采用高端存储使用的UPS掉电保护技术，掉电后内置UPS将Cache数据写入数据保险箱，保证数据永不丢失

硬盘预拷贝技术：提前发现故障盘，主动迁移故障盘数据，规避系统降级的风险，有效降低两个硬盘同时故障导致数据丢失的概率

硬盘坏道修复技术：最大限度修复硬盘坏道，将硬盘故障率降低50％以上，延长硬盘寿命

全局热备盘技术：采用智能化的全局热备盘技术，未限定热备盘的位置，可提供跨框的热备服务

高级数据保护技术：快照技术实时捕获在线数据的一致副本，并能从快照中瞬间恢复数据；自动生成多个时间点的快照，实现数据持续保护。跨存储平台卷拷贝技术实现异构存储间的数据保护。远程镜像技术实现数据异地备份容灾保护

3.4 视频监控系统的设计

行业视频监控解决方案采用纯IP部署，基于集成一体化、图像安全保存、智能快速查找和绿色节能的设计理念，在实现网络视频接入、浏览、录像、

第12页, 共20页

回放、管理和转发等功能的同时，还可以通过SDK对系统进行二次开发，与其它应用系统整合，提供颇具特色的增值业务。

卓越品质 图像安全存储 硬盘级保护

 采用RAID设计，故障磁盘的图像数据可以利用RAID算法恢复到无故

障磁盘上，保证磁盘图像存储不丢失。 设备级保护

 一旦智能NVR存储设备宕机，主控管理系统会自动将宕机设备所连接

的前端设备切换到邻近智能NVR存储设备上，保证前端设备上传图像不丢失。 链路级保护

第13页, 共20页

 支持前端编码设备或网络摄像机直接写智能NVR存储设备，当网络中

断后，前端编码设备或网络摄像机自带存储介质启动本地存储，网络恢复后，自动上传至智能NVR存储设备，保证本地图像不丢失。 弹性灵活组网

 多样化产品形态，经过不同组合可以满足12～72盘位的多种应用场景

需求；

 系统提供平滑扩容，可以实现前端接入和客户端接入数量、系统容量

平滑升级，而不影响业务正常运作。 图像快速查找 丰富的报警类型

 智能NVR存储设备可以通过用户定义多种报警类型，实时智能的对存

储的视频监控图像进行标签处理，并建立精确的数据索引。 快速的检索机制

 系统提供多种检索方式，通过高效的搜索引擎，能够实现对海量数据

中特定视频图像快速准确定位和调用。 绿色节能环保 休眠技术

 采用先进的硬盘休眠技术，当硬盘长时间不工作的时候，硬盘可以自

动下电，节省能耗的同时可以延长硬盘的使用寿命。

 采用整机休眠技术，当系统中某个智能NVR设备不工作时，该设备可

处于待机休眠模式，从而极大地降低系统能耗。 系统节能

第14页, 共20页

 整个存储系统采用低功耗器件；  智能调速的风扇系统。 开放兼容性强 前端设备兼容

 兼容国内主流厂商的编解码器；

 对于不兼容的前端厂商的设备，可以通过提供SDK包，实现设备互通。 与第三方软件兼容

 开放的架构设计，便于与第三方软件集成，令系统功能更强大更智能。 与已建设模拟系统兼容

 系统可以兼容企业已建设完成的模拟监控系统，使企业原有的投资得

到充分利用。 丰富监控功能

 可以提供电视墙客户端、软件客户端、Web客户端多种监控终端，满足

对实时图像的各类监控需求；

 具备强大的模拟墙轮巡功能，同时支持高清数字墙的功能，能够实现

高清图像的轮巡；

 实时监控图像与报警信号联动，支持报警画面弹出功能，满足客户对

紧急异常事件的处理需求； 端到端的方案

 华为公司可以提供强大的实施、交付、服务支撑能力，对于视频监控

项目的施工，有一整套完整的流程及认证体系来保证；

第15页, 共20页

 每个地市均配有数名高级工程师及较多维护工程师，给项目的实施、

成功的交付及后续的支撑服务都提供了充分的保障。

3.5 终端安全管理系统的设计

当今企业面临内部员工、分支机构、访客和移动办公等带来的网络接入控制压力。以利益驱动的专业黑客往往锁定企业终端为目标，利用终端中的安全漏洞，获取对重要资源未经授权的访问，进而对核心业务系统发起攻击，造成数据被窃听或破坏，核心业务中断、恶意代码、信息泄密等安全事故，使企业业务和声誉受损。

通过全面端点安全评估和统一配置，华为Secospace终端安全管理系统实现一体化内网安全解决方案，建立基于用户角色的细粒度访问控制，使访客、合作方和临时雇员安全接入企业网络，保证终端安全受控，将威胁屏蔽在网络之外。并为企业构建一个完整、简单和易于管理的终端安全环境。

主动式防御：通过电信级安全接入控制网关或802.1x方案，可将Secospace灵活部署于网络的L3或L2。结合主动终端安全评估，从网络层和接入层实施高可靠网络接入控制，基于角色限制访客、合作方和临时雇员对业务系统的访问权限，主动阻止和隔离非授权、不安全终端。并针对终端漏洞和安全缺口提供自动修复和指导，消除各种已知和未知威胁，加强网络发现、自我防御与对抗威胁的能力。

一体化部署：为应对日益复杂的安全攻击，需要部署多家厂商的终端安全产品（包括病毒、补丁、黑名单限制等），而这些解决方案间缺乏关

第16页, 共20页

联度，难以一体运作，以提供完整端点安全，造成昂贵、复杂和难以维护的IT环境，直接对定位安全威胁造成困难，增加了侦测和及时修复的难度。针对企业需要简化IT解决方案的实际需求，Secospace整合接入控制、强制安全策略遵从、员工行为管理、补丁管理、资产管理和软件分发等于一体，为企业建立一个一体化、完整的终端安全管理体系，有效降低IT部署复杂度，提高成本效益。

全方位保护: 企业内部信息安全管理是以安全法规为基础、安全技术为支撑、业务流程和安全管理为保障的系统工程。Secospace以安全策略为中心，通过策略检查、接入控制、行为审计和补丁修复建立不断完善的PDCA防护过程，为企业提供全方位内网终端安全管理和保护，持续改进企业安全状况，提升企业信息安全管理水平。

主要功能：

 强大的终端接入控制功能，安全控制企业员工、外部访客、合作伙伴

和临时雇员等对网络的访问，保护业务系统安全，减少恶意代码传播，包括病毒、蠕虫、间谍软件等；

第17页, 共20页

 终端安全状态检查，隔离不安全终端，确保安全策略遵从，降低风险；  员工行为审计，规范员工合理使用网络资源，提高网络可用性和效率，

防止网络滥用与恶意破坏；

 提供补丁管理功能，及时修复终端安全漏洞，加强自我防御能力；  软件自动分发，提高企业IT维护效率；  终端软硬件资产管理，跟踪企业资产变更。

3.6 网络管理系统的设计

网管系统必须对数据通信设备如路由器、交换机、接入服务器等进行统一管理和维护。网管系统位于网络解决方案的管理层次，能够实现网元管理和网络管理的功能，对数据通信设备的维护和网络管理提供支持。

网管系统应支持主流操作系统平台如Windows NT/2000、SUN Solaris、HP UX、IBM AIX、LINUX等多种操作系统平台，以适应不同级别用户、不同网络规模。支持与其它主流网管平台集成，以提供统一的网络管理解决方案。

网管系统可以帮助用户实现如下目标：

第18页, 共20页



网络的分层管理； 提高网络运行的可靠性； 保障网络运营的服务质量； 合理规划和调配网络资源； 预测和检测网络故障；

集中式管理分布广泛的网络节点； 设备性能统计和分析； 网络流量统计和计费。















3.7 日志审计系统的设计

精细的日志分析能力和实时告警

系统拥有精细的日志分析能力，提供包括攻击防范、流量监控、黑名单、地址绑定、操作命令、防火墙登录、包过滤、内容过滤等日志分类，并能针对防火墙超时、攻击防范、接口状态和异常流量、日志级别和关键字进行邮件、短信、声光告警，支持告警的实时监控，让用户及时了解网络的威胁或异常的行为。

实时的设备和网络流量监控

支持对设备状况和网络流量的实时监控和告警分析，实时展现告警趋势和告警Top10设备，跟踪告警数量较多设备的状况和对应的告警数量，预先了解网络中的问题设备，采取相应处理手段，预先处理安全风险，防止安全事故发生和扩散，保障网络安全。

大容量和可靠的日志存储管理

提供在线日志、转储日志、备份日志三级日志存储管理。保证在线日志快速查询；转储日志实现日志自动压缩和加密，既大大延长日

第19页, 共20页

志存储的周期又保证安全的存储日志；备份日志实现将旧的日志备份到磁带机并释放转储目录的空间，以支持更长时间的日志存储和系统灾难性故障时的快速恢复，为客户提供大容量和可靠的日志存储管理。

丰富的报表功能

提供表格/图形丰富的报表形式，通过报表帮助管理员全面了解网络安全状况，跟踪安全状况，及时发现安全隐患；可定制的报表任务，周期性的报表生成和多种文件格式输出，保障管理员可轻松获取所需要的各类网络设备和流量的分析报表，设备管理和日志管理变得便利；当企业面临各类法规审计时，丰富的报表帮助企业轻松应对。

第20页, 共20页