数字化校园网建设解决方案.doc

河北美术学院数字化校园网建设解决方案神州数码网络有限公司2015-2 客服热线: 400-810-9119目 录第一章、 数字化校园网设计技术规范41.1、建设构想及现网问题分析41.1.1、设计思想41.1.2、实用性和集成性41.1.3、标准性和开放性41.1.4、先进性和实用性51.1.5、成熟性和可靠性51.1.6、可维护性和可管理性61.1.7、可扩充性和兼容性61.1.8、其他61.2、现网问题分析7第二章、 数字化校园网解决方案92.1、核心层设计92.1.1、技术介绍102.1.2、链路互联102.1.3、高可靠性112.1.4、安全设计122.2、汇聚层设计122.2.1、技术介绍122.2.2、链路互联132.3、接入层设计132.3.1、技术介绍132.3.2、安全设计142.4、无线网络设计152.4.1、多业务区分设计152.4.2、无线安全性设计162.4.3、移动漫游设计172.4.4、无线部署房间图汇总172.4.5、无线AP部署统计表342.5、认证计费设计362.6、安全出口设计372.7、网络管理平台设计40第三章、 主要设备介绍413.1、核心交换机介绍413.2、汇聚交换机介绍463.3、安全网关介绍523.4、网管软件介绍583.5、认证计费平台介绍613.6、无线控制器介绍683.7、无线AP介绍73第四章、 神州数码网络售后服务体系834.1、前言834.2、常规服务内容844.2.1、技术支持服务844.2.2、产品维修服务844.3神州数码网络集团售后服务联系信息表85第一章、 数字化校园网设计技术规范1.1、建设构想及现网问题分析神州数码设计的多元融合通讯平台是一个以学校的应用驱动为基础的私有云平台。学校的应用运作方式驱动着网络应用，而网络应用又驱动着专业的服务、网络管理以及网络的基础结构，在这个模型中，学校最为关心的是网络的应用。但是专业的服务、严谨的网络管理系统以及可靠的网络基础架构又是承载网络应用的基础。1.1.1、设计思想在追求性能优越、经济实用的前提下，本着严谨、慎重的态度，神州数码网络数字化校园方案从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计，力图使该系统真正成为符合学校真正需求的网络系统。从技术措施角度来讲，在系统的设计和实现中，神州数码公司将严格遵守以下原则：1.1.2、实用性和集成性无论是系统的软硬件设计、还是集成，均应以适用为第一宗旨，在系统充分适应学院教学业务需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多，系统设计者必须能将各种先进的软硬件设备有效地集成在一起，使系统的各个组成部分能充分发挥作用，协调一致地进行高效工作。1.1.3、标准性和开放性只有支持标准性和开放性的系统，才能支持与其他开放型系统一起协同工作，在网络中采用的硬件设备及软件产品应支持国际工业标准或事实上的标准，以便能和不同厂家的开放型产品在同一网络中同时共存；通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。对于处于同一工作范围内的网络设备，要求硬件设备符合NEBS标准体系认证，保证运行设备不会对其他提供服务的设备造成负面影响，不会对人和环境造成伤害，降低火灾隐患。只有符合NEBS国际标准认证的核心网络设备，才能够满足以上的关键需求，符合学校的建设要求。1.1.4、先进性和实用性系统所有的组成要素均应充分地考虑其先进性。我们不能一味地追求实用而忽略先进，只有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大的系统性能和效益。学校是网络技术应用的先行者，在网络设计中，我们充分考虑校园网络设备对新技术标准的支持能力，例如：IPV6、MPLS VPN、虚拟化等技术的支持。对于学校网络中心，大数据交换量需求的场合，建议使用高性能的万兆核心交换机满足服务器的负载均衡功能，满足学校用户的大数据量通讯的需求。网络的安全是至关重要的，对网络安全隐患的预防、以及在网络出现安全问题时的快速定位和控制是校园网络建设中应该首要考虑的问题，在网络方案中提供解决的方式和手段。在某些情况下，宁可牺牲系统的部分功能也必须保护系统的安全，所以在网络设备的选择上要考虑设备的安全和稳定性等方面的需求。1.1.5、成熟性和可靠性作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构和产品应在实际应用中能经过较长时间的考验，在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案，并得到较多的第三方开发商和用户在全球范围的广泛支持和使用。同时，应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品，以适应系统未来的发展需要。可靠性也是衡量一个计算机应用系统的重要标准之一。在系统网络环境中单独设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、安全性及稳定性，使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施，如对关键应用和主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作，达到每周7x24小时工作的要求。通过选择先进体系结构的硬件设备，使校园网络系统满足5个9的可靠性，使每年的系统维护时间缩短在5.36分钟之内。一个高可用性的系统才能使用户的投资真正得到回报。1.1.6、可维护性和可管理性整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护。对复杂和庞大的网络，要求有强有力的网络管理手段，以便合理的管理网络资源，监视网络状态及控制网络的运行。因此，网络所选网络设备应支持SNMP、RMON、SMON等协议，并支持IPV4/6的各种网络管理协议，管理员通过网管工作站就能方便地进行网络管理、维护甚至修复。在设计和实现计算机应用系统时，必须充分考虑整个系统的便于维护性，以使系统在万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。1.1.7、可扩充性和兼容性网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理联接、产品支持等方面具有扩充与升级换代的可能，采用的产品要遵循通用的工业标准，以便不同类型的设备能方便灵活地联接入网并满足系统规模扩充的要求。特别是在IPV6的支持方面一定要做到国际领先地位，IPV6是网络发展的必然方向，现在已经开始大规模的商用，所以在设备的选择上要着重考虑对IPV6的支持程度和先进性。为了使所实现系统能够在应用发生变化的情况下保护原有开发投资，在设计系统时，应将系统按功能做成模块化的，可根据需要增加和删减功能模块。1.1.8、其他在系统集成的设计过程中，决定性的因素还有很多，需要结合用户需求综合考虑。例如，网络数据流量的估计是网络所需带宽的重要依据，以信息服务系统为例，其工作方式主要分为局域网内部工作站对网络服务器上的信息资源的访问和远程计算机对本局域网网络服务器上信息资源的访问两种。由于局域网内工作站对网络服务器的访问有可能造成网络最大的数据流量，使服务器和网络设备之间的连接成为系统瓶颈口，使网络发生拥塞，因此需要对这一数据流量进行一个大致的估计，以便按照估计在服务器和工作站之间配置容量相当的网络设备和通讯带宽。遵从了如上的设计原则，选择技术先进，经济实用、适应性强、可靠性高、可扩展性好的设备，从而使系统具有较高的性能价格比，真正满足学校的应用需求。1.2、现网问题分析目前校园网搭建于多年前，网络骨干设备功能单一、性能低下；整体网络建设缺乏统一有效的规划，使得校园网络出现明显的零散规划、信息孤岛、堆集化建设等问题。具体的问题分析如下：1. 核心层设备使用单核心，缺乏冗余设计，容易形成单点故障导致整网瘫痪；缺乏流量负载能力，网络使用达到高峰期时设备压力较大，导致整体网络性能下降。并且，后续校园的各个业务系统陆续上马、出口带宽大幅扩容，本已不堪重负的核心设备此后会面临更加严峻的挑战，直接导致各个关键业务系统的使用流畅性，对在校园网上承载的各业务系统形成很大瓶颈，间接造成投资的浪费。2. 汇聚层的设计具备承上启下，链路汇聚的作用，本次项目计划在南校区放置1台汇聚层交换机用于南北校区间互联。此汇聚交换机采用万兆双链路上联至双核心的设计，作为一个标准构架的校园网，设计汇聚层是十分必要的，是组成灵活可扩展网络交换架构的重要一环。3. 本次项目的重点是南北校区的全校无线覆盖。移动办公以及学生日常使用的终端设备需要无拘无束的网络，所以校园网的无线覆盖也成了当务之急。大量无线AP的部署后又需要一套无线控制系统做统一的管理调度，这套系统在建设初期还要充分考虑今后无线部署的扩展性能，以避免反复多次投资的情况出现。由于AP数量较多，需使用无线控制器用于统一管理AP并下发策略。所有AP在注册在AC后使用分布式转发模式工作以免使无线控制器成为转发瓶颈。无线控制器要能够做到二层、三层漫游，信道自动划分，智能负载均衡等功能；无线AP对应酒店客房要支持150M的11n协议、对应教室和办公室要支持更高接入速率的11ac协议，放装AP采用内置天线做到简洁美观，需具备逃生功能（AP与AC失去联系后AP仍能继续工作而不会立刻停网）等。无线用户做统一的WEB认证设计，无线客户端需通过web页面输入个人账号密码才可访问互联网。所有的无线AP均采用千兆POE交换机供电的方式，减少布线，方便美观。神州数码网络产品售后服务政策4. 缺少基于应用的流量控制设备，网络的流控策略不够精细化，一些跟工作不相关的流量大量占用本已有限的带宽资源（如迅雷等P2P软件，不加以限制可以占据绝大部分带宽资源），直接导致校园内关键业务在某些时段无法正常使用；同时，对于一些关键业务，我们本应做到流量的保护。5. 服务器之间挂载在交换机设备上，没有任何防护。根据可靠统计，绝大多数网络攻击都是从内部发起的，目前的网络情况下，内网的任何一个使用者，都有可能直接攻击我们关键业务系统的服务器，对服务器构成了很大的威胁。6. 没有上网认证系统，校园网内所有使用者都可以不通过认证上网。首先，会造成一些非工作人员随意上网，占用有限带宽资源，影响正常业务使用；其次，用户使用校园网的时候，不能有效跟踪使用者的身份，对于一些不符合校规校纪的行为，无法准确定位相关责任人。其次，公寓部分在部署网络后需要实行运营收费，所以需要一套计费系统作为重要业务支撑。7. 没有统一的有线无线一体化网管软件系统，校园网信息点数量较多从而网络设备也相应增加，这其中包括了有线用户和无线终端用户，在一套软件系统平台能够同时监控有线无线用户的状态可以大大降低网管人员的工作强度。而且，数量庞大类型各异的网络设备不能统一的管理是一件非常让网管人员头疼的问题。哪条链路down了、哪台AP出现异常了、哪台设备cpu占用大了、目前链路的负载达到百分之多少等一系列管理问题都需要网管软件的参与帮忙。第二章、 数字化校园网解决方案根据信息化需求的特点，在对学校的实际情况的充分考察后，分层次的进行建设。下面我们将校园网建设分成多个子系统，以引导学校建设思路，同时在保证整个校园网建成后能够完全满足要求的前提下，对于已经建设好并且还可以利旧使用的设备，本着对前期投资尽量保护的原则来规划建设，最终实现能够确保建成后五年内不落后的数字化校园网。2.1、核心层设计核心设备建设在北校区核心机房内。核心层交换机分别通过万兆与千兆链路同南区汇聚层交换机和出口高性能防火墙相连。核心的作用就是为各个区域提供无阻塞的高速转发，对于各区域之间的访问控制策略建议部署在核心交换机上。核心交换机我们设计使用了CloudStone 16800“云石”系列新一代数据中心核心交换机。在产品性能层面：它采用先进的CLOS架构，提供高密度10G/40G/100G业务板卡，支持丰富的数据中心特性，如多虚一VSF，一虚多VDF，网络融合FCoE、DCBX，虚机感知VEPA，大二层TRILL，软件定义网络SDN/OpenFlow等。在产品可靠性方面：CloudStone 16800实现了业界独有的管理、控制、数据三平面物理分离，每个平面互不影响，即使管理和控制平面都出现问题，数据仍正常转发。同时这款设备还采用A+B电源双平面设计，支持电源平面间的1+1备份，以及单电源平面内的N+M备份，大大提升设备可靠性。2.1.1、技术介绍在本方案中，双核心交换机之间采用领先的VSF虚拟化技术替代了MSTP+VRRP的技术，通过VSF可以让汇聚交换机到达两台核心交换机的双链路同时工作而不是使用MSTP技术断掉其中一条链路，VSF可以在保证链路冗余的基础上成倍的增加链路的实际带宽，从而增强交换骨干的转发能力。 2.1.2、链路互联此方案中核心层中新建2台核心路由交换机，放置在核心机房内。新建的2台CS16809核心交换机通过VSF技术虚拟成一台设备，VSF设备具有统一的管理和转发表项，汇聚交换的上连端口捆绑上行，实现流量负载均衡和备份。南区汇聚层设备到达核心层设备根据实际情况采用两根万兆光纤链路上联的形式，以配合负载均衡与冗余备份的设计。此方案设计整网提供了更高效、快速、可靠的数据交换网络。由于两台核心交换机之间需要有大量数据交互流量，所以每台交换机均配置了万兆业务板卡，两台设备之间使用万兆链路接口相互连接用以实现VSF技术。2.1.3、高可靠性核心设备从以下几个方面考虑高可用设计：1. 双机冗余。两台核心交换机同时工作，互为备份。在一台故障后所有流量会迅速转移至备份设备，对用户而言，业务不中断。2. 架构设计。交换机采用双引擎的设计，双控引擎设计会在主核心设备当机后，备用核心设备马上感知并自动切换掌管所有业务。本机控制平面、管理平面和交换平面做到了真正的独立，背面提供4块交换网板扩展插槽，可以灵活扩容，保护用户投资。3. 交换机电源。电源支持A+B双平面冗余，提供最灵活最可靠的电源冗余方案 。2.1.4、安全设计CS16809系列特色设计可充分保障核心稳定。交换引擎CPU核心保护，可有效防止各类非法协议攻击导致核心设备交换引擎瘫痪；关键协议绿色通道功能可保障正常、合法、速度合理的关键控制报文（STP、MSTP、RIP、OSFP、BGP、组播协议、双引擎板间心跳等）在大流量业务下不被淹没，快速处理不中断；先进的LPM技术可抵抗“冲击波”病毒、“zero day”病毒、“SQL slammer warm”病毒等；端口信任模式则可检测非法DHCP Server、非法Radius Server等，只在信任端口才能接入这些设备，从而保障网络的安全。2.2、汇聚层设计汇聚层主要起到在网络承上启下的作用，它可以有效减少核心交换机在端口密度上的压力。汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。2.2.1、技术介绍BFD能够尽快检测到与相邻设备间的通信故障，以便能够及时采取措施，要求网络设备能够快速检测出故障并将流量切换至备份链路以加快网络收敛速度，从而保证业务继续进行,减小设备故障或链路故障对业务的影响、提高网络的可用性。2.2.2、链路互联汇聚交换机均通过两条万兆光纤分别连接两台核心交换机，并做portchannel捆绑成一条逻辑联络（速率：2*10Gbps）上联至核心设备并使用VSF技术合并后的虚拟核心交换机中去；其次，汇聚交换机还要通过千兆光纤连接南校区所涉及接入层交换机。2.3、接入层设计2.3.1、技术介绍针对校园网内经常出现的IP地址冲突、arp欺骗等让人头疼的问题，我们在接入层上提供了相关的技术解决方案。首先，我们使用DHCP的形式，让用户可以不需要再手动配置地址而去自动获取地址，这时可能会存在一些人员还在坚持使用手动配置ip地址，在这种情况下地址还是会有冲突显现，导致无法上网，对此我们使用DHCP SNOOPING的一些附属功能就可以让手工配置地址的人完全不能连接校园网，迫使他必须使用自动获取，这样地址冲突的问题就可以完全解决。其次，开启DHCP Snooping功能，可以有效防止人为私自架设DHCP服务器（比如家用小路由）对我们正常的地址分配产生伪ip地址影响。最后，开启arp guard 功能并配合dhcp snooping binding可以在接入层交换机的端口上自动绑定通过dhcp获取的ip+mac+端口，并防止有人冒充网关设备，从而完全避免了arp攻击。2.3.2、安全设计本方案使用以下方式解决arp攻击、地址获取和其他一些安全功能。ARP 扫描；一种常见的网络攻击方式。为了探测网段内的所有活动主机，攻击源将会产生大量的ARP 报文在网段内广播，这些广播报文极大的消耗了网络的带宽资源；攻击源甚至有可能通过伪造的ARP 报文而在网络内实施大流量攻击，使网络带宽消耗殆尽而瘫痪。而且ARP 扫描通常是其他更加严重的攻击方式的前奏，如病毒自动感染，或者继而进行端口扫描、漏洞扫描以实施如信息窃取、畸形报文攻击，拒绝服务攻击等。由于ARP 扫描给网络的安全和稳定带来了极大的威胁，所以防ARP 扫描功能将具有重大意义。神州数码系列交换机防ARP 扫描的整体思路是若发现网段内存在具有ARP 扫描特征的主机或端口，将切断攻击源头，保障网络的安全。有两种方式来防ARP 扫描：基于端口和基于IP。基于端口的ARP 扫描会计算一段时间内从某个端口接收到的ARP 报文的数量，若超过了预先设定的阈值，则会down 掉此端口。基于IP 的ARP 扫描则计算一段时间内从网段内某IP 收到的ARP 报文的数量，若超过了预先设置的阈值，则禁止来自此IP 的任何流量，而不是down 与此IP 相连的端口。此两种防ARP 扫描功能可以同时启用。端口或IP 被禁掉后，可以通过自动恢复功能自动恢复其状态。为了提高交换机的效率，可以配置受信任的端口和IP，交换机不检测来自受信任的端口或IP 的ARP 报文，这样可以有效地减少交换机的负担。伪装DHCP Server及 DHCP 过载攻击；由于DHCP报文的安全缺陷（广播报文请求地址，没有认证），所以遇到网内私架服务器的情况后，会对内网造成极大的影响。一旦交换机截获了从非信任端口收到的DHCP Server 回应包（包括DHCPOFFER,DHCPACK, and DHCPNAK），将发出警告，并相应做出反应（shutdown 端口或下发BlackHole）。同时要对信任端口和非信任端口做DHCP 收包限速，防止过多的DHCP 报文攻击CPU。欺骗网关ARP 协议的设计存在严重的安全漏洞，任何网络设备都可以发送ARP 报文通告IP 地址和MAC 地址的映射关系。这就为ARP 欺骗提供了可乘之机，攻击者发送ARP request报文或者ARP reply 报文通告错误的IP 地址和MAC 地址映射关系，导致网络通讯故障。ARP 欺骗的危害主要表项为两种形式：1、PC4 发送ARP 报文通告PC2 的IP 地址映射为自己的MAC 地址，将导致本应该发送给PC2 的IP 报文全部发送到了PC4，这样PC4 就可以监听、截获PC2 的报文；2、PC4 发送ARP 报文通告PC2 的IP 地址映射为非法的MAC 地址，将导致PC2 无法接收到本应该发送给自己的报文。特别是如果攻击者假冒网关进行ARP 欺骗，将导致整个网络瘫痪。我们利用交换机的过滤表项保护重要网络设备的ARP 表项不能被其它设备假冒。基本原理就是利用交换机的过滤表项，检测从端口输入的所有ARP 报文，如果ARP 报文的源IP 地址是受到保护的IP 地址，就直接丢弃报文，不再转发。ARP Guard 功能常用于保护网关不被攻击，如果要保护网络内的所有接入PC不受ARP欺骗攻击，需要在端口配置大量受保护的ARP Guard 地址，这将占用大量芯片FFP 表项资源，可能会因此影响到其它应用功能，并不适合。2.4、无线网络设计整体无线网络建议采用神州数码智云无线无线控制器+智能AP的解决方案， AP就近通过POE交换机接入有线网络，在核心机房部署1台X86服务器并安装智云无线控制器软件，对AP进行统一的配置和状态管理、软件管理、安全和无线RF管理等。使用智云无线软件控制器相对传统硬件无线控制器有诸多优点：通过将硬件从方程式的堆叠中移除，可较大幅度减少CAPEX和OPEX。在最初的投资和随后的扩展中，都可以计入到显著节约的费用当中。DSCC（智云无线型号名称）使网络摆脱实体控制器造成的约束和限制。考虑到更大容量和简单化扩展，通过软件可以在DSCC内非常轻松地做到增加用户、位置和接入点。DSCC提供了所有接入点在任何位置的集中式软件控制。运用DSCC，实现管理简单化并易于扩展。2.4.1、多业务区分设计用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使用多个SSID，本方案设计每VLAN使用一个SSID，并命名SSID。使用无线网络可以分为不同的无线接入业务类型。因此，在设计上采用无线局域网多SSID技术，设置多业务区分方式。在一个无线局域网内可以设置多个SSID。由于用户一般把SSID看成VLAN，所以它们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内，不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域内，因为无线电波的传输是共享。一个最简单的例子就是AP把不同的SSID名字广播，所以当无线终端在这个AP覆盖范围内启动时，它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。为什么要把不同的安全加密协议设置在不同的SSID呢? 802.11的标准内定义了不同加密情况时数据包的封装格式，所以在用户的无线接入使用不同的加密程式，例如：WEP,TKIP(WPA),802.11i(WPA2)等等，不同加密方式不能在同一个SSID内同时存在的。用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使用多个SSID，本方案设计每VLAN使用一个SSID，并命名SSID。2.4.2、无线安全性设计本方案设计所有SSID使用WPA-PSK认证方式连入校园无线网络，如果需要访问互联还需通过web portal的认证（同有线用户认证系统一样）。在神州数码网络无线系统中，可以在多个层面对系统构筑安全防护，其安全性设计如下：多SSID：可以根据需要，如用户的种类、应用的种类，在神州数码网络无线系统中设置多个SSID，不同的SSID采用不同的安全策略，这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式，该SSID不广播，用户无法看到，防止非法用户的连接企图。SSID还可以选择在某些AP上出现，某些AP上不出现，限制SSID出现的范围也是实现安全性的一种手段。加密：神州数码网络无线系统支持多种加密的方式，二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i多种加密方式，三层的加密支持IPSec VPN加密，这样使得加密的方式更加的灵活，可以根据实际需求进行选择。用户认证提供两种种方式： WPA-PSKcaptive portal。加密方式采用WPA-PSK，不建议采用静态WEP，因为有安全隐患。采用captive portal的认证方式，同时VPN还具有三层的加密功能，具有更高的安全性。认证服务器的选择比较灵活，可以使用RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是控制器内置的帐户数据库。 WPA+802.1x加密方式尽量采用WPA，如果客户端不支持也可采用动态WEP，认证方式采用802.1x，认证服务器选择RADIUS。带宽控制：可以对每个用户设定其可以使用的带宽，一方面可以限制其对网络资源的占有，另一方面，当该客户端中了病毒以后，其病毒发作时不会占用网络全部的带宽。认证系统支持：神州数码网络无线系统支持多种认证系统，诸如Radius、微软的AD（活动目录）和在控制器内部的Internal DB等等。2.4.3、移动漫游设计本方案具备二层及三层两种不同形式的无线漫游，无线终端可以在无线覆盖的网络内随意移动办公。无线用户移动漫游，涉及到多个层次的漫游，最为简单的是二层漫游，其他厂家产品都表现不错，三层漫游就困难多了，还有当用户跨越多个域时怎样无缝漫游，神州数码网络无线局域网可以实现快速无缝漫游功能。L2/L3层漫游在传统的无线局域网内，无线终端要跨越不同AP之间漫游是有一定的困难，因为不同AP之间，它的无线用户IP子网可能都不是在同一个VLAN内。所以当无线终端从一个AP漫游到另一AP时，由于它们之间的缺省IP子网不同，无线终端会重新发出DHCP请求，这样的话终端的IP地址就会更新，所有在原先AP建立的连接都会被切断。过去为了解决跨越三层的漫游，有些用户采用了Mobile IP的技术，但Mobile IP的缺点是它必须在无线终端安装软件。这是一般网络管理人员不愿意做的事情，因为它们就必须支持和维护用户的无线接入端。通过神州数码网络无线系统，可解决了跨越不同三层IP子网的无线漫游问题。 当无线终端从一个AP的IP子网漫游到另一个AP的不同IP子网时，它重新发出的DHCP请求，会从AP端的控制器转发到原有子网的控制器(用户从那一个AP获取它的IP地址)，这样控制器就了解到用户漫游到了哪个相邻的控制器。用户的原来所在的控制器会将发送到该用户的数据发送到漫游到的控制器而后发送到用户现有的IP地址。无线用户已漫游到另一个IP子网，但它的流量不会中断，直到用户完全漫游过来（其对端了解了其IP地址的变化）。代理DHCP 的优点是无要在用户终端安装任何软件就可让终端无缝的在不同IP子网之间漫游。2.4.4、无线部署房间图汇总北校区AP需求及楼宇平面图一号学生公寓（十七层共472个房间、34个电梯间、34个小厅）一层共24个房间、2个电梯间、2个小厅二层十七层每层28个房间、2个电梯间、2个小厅二号学生公寓（六层共126个房间，其中120间学生宿舍、6间客房）一层共21间，其中有6间为客房，其他15间为学生宿舍；二层六层，每层21个房间三号学生公寓（六层共107个房间、1个会客大厅）一层17个房间、一个大厅；二层六层，每层18个房间 四号学生公寓（六层共226个房间、1个会客大厅）一层共36间，1个大厅二层一六层，每层38个房间五号学生公寓（六层共202个房间、1个会客大厅）一层共32个房间，1个大厅二层六层，每层34个房间六号学生公寓（六层共190个房间、2个小厅）一层共30个房间，2个小厅二层六层每层32个房间七号学生公寓（六层共130个房间、2个小厅）一层共20个房间，2个小厅二层六层每层22个房间一号教学楼（地下一层，地上六层，共39间教室、20间办公室）地下一层及一层每层4间办公室，5间教室二层2间大办公室、2间小办公室及5间教室三层六层，每层6间教室及2间小办公室5号教学楼（地下一层，地上六层，共42间教室、12间办公室）地下一层与一层每层6间教室，地下一层有两小间办公室；2层6层每层6间教室、2间小办公室励志教学楼（地下一层，地上十七层，共120间教室、12间办公室、18个电梯间、1个大厅、2个容纳100人的报告厅、11个容纳120人的多媒体教室）地下一层共4间教室、1个电梯间一层有2个容纳120人的多功能报告厅、1个大厅、1个电梯间、7间教室二层教室9间、1个电梯间三层、四层、六层，每层1个电梯间、每层11间教室五层除最南边的大教室外，主要为办公区共有办公室12间，大教室1间、电梯间1个七层十七层，每层1个电梯间，6间教室及1间120人的公共课教室墨香楼（六层，其中一层二层为二餐厅和三餐厅，三层六层为教室，共40间教室、12间办公室）一层、二层分别为学院二餐厅及三餐厅，具体点位数以实地勘察为准三层六层，每层10间教室及3间办公室欧式教学楼（地下一层，地上五层，地下一层有车库1间、库房1间、总务处办公室5间，顶层为多功能学术报告厅，一层四层共有教室31间，大厅1个）一层共有教室10间，大厅1个二层四层，每层各有教室7间五层为正成学术报告厅，正成1号厅可容纳500人，正成2号厅可容纳50人，1个会客厅及一个大厅，具体点位数以实地勘察为准综合楼（地下一层，地上五层，共16间教室）地下一层为网络中心机房，有6间公办室，1个主机房，具体点位数以实地勘察为准一层为学校沙盘、会议室及财务充值厅，具体点位数以实地勘察为准二层为学校医务室，共有12个房间三层为教学，共5间教室四层为教学区，共6间教室五层为教学区，共4间教室新综合楼（地下一层，地上六层，其中地下一层为学校超市，一层为学校平价餐厅、一卡通自助充值厅，二层为学校展厅，三层六层共有客房36间，办公室14间）地下一层为学校超市，一层为学校平价餐厅、一卡通自助充值厅，二层为学校展厅，具体点位数以实地勘察为准三层为办公区域，共11间四层六层为学校客房，每层12间，每层1间办公室3号教学楼（四层，16个计算机机房，7间办公室）一层有4个计算机机房及1个小办公室2层4层每层有4个计算机机房、1个小办公室和1个大办公室黄楼（六层，84个房间）一层、二层为办公区，三层六层为宿舍区，每层14间房间二号教学楼（六层，共12个公共课教室，每个公共课教室可容纳120人）图书馆（6层，具体定位数以实地勘察为准）一层平面图如下：二层四层平面图如下：五层为两个阅览室，平面图如下：六层为可容纳100台机器的电子阅览室，具体点位以实地勘察为准办公楼（六层，72个房间，其中一层五层为办公区，六层为住宿区）财务大厅（两层，一层为办公区，二层为会议室，具体点位数以实地勘察为准）美术博物馆（三层，每层2个大厅共6个大厅，具体点位数以实地勘察为准）就业指导中心（四层，每层2个房间共6个房间，具体点位数以实地勘察为准）家属楼区客房（16个）一餐厅、校史馆、继续教育学院招生办公室（大门洞）、雕塑小院、东墨文化公司、产业基地、文化艺术沙龙（现为图书馆玻璃房）、东教师家属楼、西教师家属楼、体育场、明德广场、励志广场、主干路等位置的具体点位数以实地勘察为准南校区AP需求及楼宇平面图北城堡（地下两层、地上八层，地上一层六层共82个房间、7个大厅，其他位置具体点位数以实地勘察为准）地下一、二层目前没有平面图，结构与地上3层基本一样，具体点位数以实地勘察为准一层共有12间房间，2个大厅二层共10间房间，1个大厅三层六层结构相同，每层15个房间，1个大厅七层八层只有结构图，具体点位数以实地勘察为准中城堡（十二层，共1个超市、49个房间、3个大厅、1个门厅）一层共有5个房间、1个大厅、1个门厅二层有3个房间、1个超市三层六层结构相同，每层7个房间七层3个房间、1个大厅八层2个房间、1个大厅九层十二层结构相同，每层两个完全隔离的房间东城堡（八层，一层六层为学生宿舍共173间宿舍，七层八层为办公教学区，具体点位数以实地勘察为准）一层共有学生宿舍28间二层六层每层有学生宿舍29间西城堡（八层，一层六层为学生宿舍及客房，学生宿舍138间，客房98间，共236个房间，1个大厅，七层八层为办公教学区，具体点位数以实地勘察为准）一层西边共有23间学生宿舍，东边有客房13间及一个大厅，下图为学生宿舍平面图二层六层结构相同西边每层有学生公寓23间，东边有客房17间，下图为学生宿舍平面图东、中、西城堡地下一层二层教学区（二层，共55个教室，6个可容纳120人的公共课教室6间）地下一层、二层贯穿了东、中、西三座城堡，地下一层与地下二层的东城堡部分为教学区，其中地下一层有教室45间、可容纳120人的公共课教室3间，地下二层有教室10间，可容纳120人的公共课教室3间。平台广场、餐厅、主干路等位置的具体点位数以实地勘察为准2.4.5、无线AP部署统计表北校区AP规划清单位 置放装AP面板AP面板AP（802.11ac）室外APPOE交换机一号学生公寓472二号学生公寓126三号学生公寓107四号学生公寓226五号学生公寓202六号学生公寓190七号学生公寓130一号教学楼3920五号教学楼4212励 志 楼12012墨 香 楼4012欧式教学楼31综 合 楼16新 综 合 楼3616三号教学楼167黄 楼84二号教学楼12图 书 馆18办 公 楼72财 务 大 厅6美术博物馆6就业指导中心6家属楼区客房16一 餐 厅校 史 馆继续教育招办文化艺术沙龙雕 塑 艺 苑东墨文化公司陶瓷基地家属院东楼家属院西楼体 育 场明德广场励志广场主 干 路合 计南校区AP规划清单位 置放装AP面板AP面板AP（802.11ac）室外APPOE交换机北 城 堡82中 城 堡50东 城 堡(办公区)?173西 城 堡(办公区)?236138地下一层48地下二层13餐 厅平台广场主 干 路合 计总 计2.5、认证计费设计原有的校园网所有教职员工通过校园网连接到互联网，没有部署认证计费系统。为防止如外来人员非法通过校园网访问互联网的行为，故本次设计建议部署认证计费系统，以明确合法上网人员的身份和对非法上网人员的屏蔽。同时，在合法人员上网的过程中，针对不同类别的用户区别定义带宽通道大小，可以有效减少上网人员不合理占用非工作相关带宽流量。所以本方案设计使用一台认证网关设备，配合一套认证计费软件，通过web portal认证方式实现本设计功能。针对用户名的上网行为日志审计设计。由于内网用户全部设计为DHCP自动获取地址，所以不能再根据IP来对应相应的用户，所以需要认证系统同日志审计系统做联动，针对单个用户名做出日志的抓取和记录。DCSM-BW（与DCSM-BR硬件设备配套的软件系统）后台认证计费软件需要安装在一台windows服务器中，服务器可放置于主控室内。需要保证认证网关设备和DCSM-BW服务器之间网络互通即可。DCSM-BR部署在出口防火墙与核心交换机之间。DCSM-BR设备具备电口的bypass功能设计，当系统崩溃或者断电的情况下，bypass功能可以使内外口直接连通，也就是说不会因为单台设备问题导致网络出口瘫痪。校园网出口Portal认证计费解决方案网络拓扑本次方案设计，神州数码校园网出口Portal认证计费解决方案在校园网出口实施Portal准出和接入交换机802.1x准入方式配合客户端软件使用，使用客户端可以做到一次认证内网准入外网准出，精确做到内外网分别控制功能，并可采取多种灵活的计费策略，有效定义学校的运营计费模式。 DCSM-BR提供行业内成熟度最高的防代理私接功能，通过进程检测、窗口检测、驱动检测、服务检测、注册表检测、检测规则加密、核心文件加密等全方位的综合检测机制，屏蔽非法代理私接用户，同时具有有效的防破解机制，充分保证运营商的网络资源合法使用，同时确保用户互联网访问记录的真实性和有效性。DCSM-BR支持丰富的内置Portal页面推送策略，可基于位置（VLAN/IP）和终端类型推送指定的页面，同时提供域名白名单功能，使之成为运营商优异的基于Portal门户页面的广告运营、业务推广等增值业务平台。在认证方式上，它支持802.1x、PPPoE、PPTP、IPoE、DCN专用客户端等方式，在我们研发产品时尤其注重了针对个人无线终端设备的认证支持，认证网关设备能够自动分别无线终端是PC、手机还是平板；甚至能够分辨是安卓系统还是ios系统；并对于不同的客户端做出相对应的web推送页面。同时，DCSM-BR内置用户URL访问日志采集功能，支持串接和旁路环境下的日志采集，日志格式和内容满足国家相关法律法规要求。2.6、安全出口设计近几年来，随着数字化校园建设的迅猛发展，国内院校骨干网纷纷升级为万兆网络，全面进入了万兆时代。万兆校园网有效地解决了校园网内部带宽不足的问题，满足了数万校园用户的内部访问需求，但校园网的出口区域仍然面临多方面挑战，校园网内外带宽的不平衡性导致校园网出口建设相对滞后，一度成为数字化校园建设的短板。通过对校园网出口面临的一些问题的深入分析，我们将校园网出口建设的需求归纳如下： 出口设备需要具备高处理性能、高吞吐量，为满足CERNET出口的接入需求，设备应当具备万兆吞吐能力。 高安全性能，能够有效阻止来自外部网络的各种攻击、病毒、扫描。 能够精确识别各种应用层流量，限制非法流量，保证关键业务的服务质量。 针对不同的网络对象实施精细化带宽策略，带宽管理能够精确到用户。 出口多链路能够支持高性能负载均衡和策略路由，集成各大ISP路由表。 提供详细的出口访问日志记录，并实现智能反查。 设备尽量精简，杜绝“糖葫芦”式臃肿出口 能够实现IPv4/IPv6双栈安全过滤，解决Cernet2出口安全软肋基于上述对校园网出口的现状与需求的深刻理解，神州数码网络推出了为学校出口区域量身定制的六位一体出口解决方案：提供高性能一体化解决之道神州数码USG多核安全网关采用MIPS多核+ASIC硬件构架，DCNOS安全操作系统则是在实时全并行的模式下运行的，即使开启AV、IPS、应用识别等多个高能耗安全模块的情况下，性能依然强劲(图1 MIPS多核+ASIC硬件构架)（图2 高性能一体化解决之道）多出口接驳游刃有余神州数码USG内置了强大的策略路由引擎，集成各大ISP路由表，可以实现智能路由选择，在计费策略允许的情况下，确保用户通过最快路径到达目的站点。（图3 多出口接驳）美的不止是构架、强的绝对是性能神州数码USG多核安全网关内置40万卡巴斯基反病毒引擎、8000万URL过滤引擎、支持深层压缩包检测过滤，在支持1000万最大并发和25万/秒新建会话的同时，支持高达20G的吞吐量。（图4 神州数码USG关键指标）2.7、网络管理平台设计互联网技术的高速发展，极大地提高了网络的普及率和普及速度，网络正成为人们办公、日常生活、娱乐、教育、旅行等所必须的配备。随着网络技术的发展，无线技术以其灵活性、低成本、移动性及易安装等特点，使得无线网络规模迅猛增长。无线网络的发展，也将其网络环境中的技术复杂性、不宜管理等特点凸显出来。如何有效的对无线网络进行实时监控、故障报警、紧急问题处理、无线安全防护及日常管理维护等工作，几大的考验着无线网络的网管人员。DCN Link Manager (DCLM) 是一款管理有线、无线一体化网络生命周期的综合平台，其可从计划、实施、监控、配置、问题处理、报告等进行全面的管理。DCLM提供清晰的网络管理和控制平台，提供无线管理组件DWLM-WLAN，包括AC、AP和移动客户端的位置的实时监控，WLAN安全实施和防御的网络实时监控，网络自动化和调度范围内的配置，快速、高效的故障排除。 DCLM通过集中、直观、易于使用的用户管理界面显著地降低了网络运营成本。DWLM-WLAN组件可以满足从小型，中型，大型WLAN部署多达数万的网络设备的需求，支持DCN全系列无线AC和AP产品。DCLM产品主要配合DCN设备使用，提供图形化的配置界面，实现对单个或批量设备配置修改，从而大大降低管理员的维护强度和难度。第三章、 主要设备介绍3.1、核心交换机介绍十几年来，信息领域发生了翻天覆地的变化，信息从纸质化到电子化，办公从孤岛化到协同化，信息也成为一种业务。云计算、移动互联网、物联网标志着大数据时代来临，为适应大数据时代对网络的新需求，DCN重磅推出CloudStone 16800“云石”系列新一代数据中心核心交换机，它具备业务自适应能力，支持网络平滑升级和策略灵活调度，实现业务快速部署，为您构建业务定义的网络。产品特色园区网&数据中心网络自适应园区网一般采用传统的三层架构，主要连接电脑、移动终端，需要较小的二层、较大的三层表项，使用IPv6、MPLS等园区网功能特性。数据中心网络一般为二层架构，主要连接服务器、存储，需要较大的二层、较小的三层表项，使用虚拟化、TRILL、VEPA等数据中心功能特性。传统方式下需要为两套网络分别部署两套核心设备，采用Clo