数字化校园建设分析研究高书德.doc

数字化校园建设分析研究1 概述1. 项目建设的背景和必要性网络系统是上海济光学院各个应用系统建设的基础，除了为上层各类应用系统的数据传输提供高速通道之外，同时也是目前大多数高校弱电智能化系统（例如综合安保、电子公告、一卡通等）的主要传输通道之一，目前大部分弱电系统的实现方式正逐渐从原有的模拟方式向数字化方式发展，其主要利用的技术和依托就是高速、宽带的网络系统。因此，网络系统是上海济光学院数字化学校规划建设的重点。2. 简要结论上海济光学院信息网络的建设是一个对外连接cernet和Internet主干网，对内连接各教学楼、学院楼、行政楼、学生宿舍的综合性网络。在网络建设中，要建立网络核心以及主汇聚节点的骨干架构，并部署各个单点建筑到所属汇聚的连接，以实现数据中心覆盖全校区的应用。对这样一个多层次，结构复杂，技术要求高，资金需求量大的综合性信息网络，上海济光学院的建设要贯彻“整体规划、分布实施、逐步升级”的思路，对校园网逐步进行完善，要求对网络部分进行整体设计，配合应用系统和土建工程进行分布实施，结合校园各种应用系统进行逐步升级 。2 需求分析1. 数字化校园硬件平台架构分析上海济光学院数字化校园硬件平台架构从设计类别上主要可分为如下几个体系：1） 上海济光学院校园主网络数据通讯系统2） 上海济光学院无线网络系统3） 统一安全系统4） 全网统一认证计费系统 对于数字化校园硬件平台的设计，必须充分考虑到将来五年以上的设计前瞻性，结合主流网络厂商产品，从校园网实际应用应用出发，对数字化校园各个系统必须充分考虑可行和可扩展性，以免造成将来系统的重复建设和浪费。2. 网络平台系统设计分析校园网主网络系统是上海济光学院数字化校园数据通讯平台系统的核心，主要包含校园整体网络交换体系架构。从传输协议来说，数字化校园中共有校园网网络、一卡通网络、数字安防网络、信息发布网络等多个物理隔离的网络系统，本次设计方案重点为主网络平台的设计。其中，根据校园主网络应用和用户身份的不同，上海济光学院的整体校园网网络系统可划分为多校区互联网、上海济光学院的校园网以及园区IDC网络进行规划。3. 无线网络系统简析作为校园有线网络的重要补充，校园无线网络可在校园楼宇室内以及休闲室外场所等不同场所，根据应用需求对内网上网以及INTERNET访问部署不同模式的无线系统。本方案中，我们将选用华为解决方案，华为在高校环境中有着大量的大规模部署和应用的经验，用户完全可以放心地采用华为解决方案来组建无线校园网络。4.统一安全系统设计要点结合数字化校园的应用规划及主网络平台的划分，上海济光学院整体校园采用集中式数据部署模式，即网络中心同时设计为校园IDC数据中心，对网络的整体防护仅需考虑对IDC数据中心和DMZ服务区域的安全防护。在安全设备厂商中,防火墙设备考虑四到七层智能千兆防火墙，包括IPS、DDOS攻击等设备，从而对IDC数据中心和DMZ服务区域提供七层的全方位防护。并通过虚拟安全技术达到对所有需要防护的网段进行统一安全防护设计。3 建设方案1. 校园网络设计方案本次上海济光学院的网络系统可规划为包含校园网网络系统、一卡通网络系统、信息发布系统三个相对独立的网络系统。主校区网络设计如下。整个网络采用扁平化设计理念，分成核心层、汇聚层、接入层、出口区域几个部分。整个网络的建设方案如下图所示：该组网结构具有如下特点：以核心节点为“根”的星型分层拓扑，架构稳定，易于扩展和维护；各部门和功能分区模块清晰，模块内部调整涉及范围小，易于进行问题定位；双节点冗余设计，关键链路均采用Trunk链路，保证网络的可靠性；支持各种业务终端接入，一张IP网络承载所有业务等特点。在五个汇聚交换选择上，规划为千兆或万兆上联核心，千兆下联接入的方式。在上海济光学院网络建设中采用两种汇聚设备，一种是区域性汇聚设备，配置抽屉式高端交换机，支持光、电两种模块并可提供高扩展性冗余性。接入设备可根据各楼宇点位数量，采用千兆堆叠组链接汇聚或接入设备直接链接汇聚两种方式，分别接入区域性汇聚交换机以及楼宇性汇聚交换机。2. 核心层设计方案网络核心区作为上海济光学院整个校园网的数据交换核心，是上海济光学院应用系统可靠和高效率运行的基础，因此建议在核心区配置两台吞吐量高、核心万兆全分布式线速路由交换机，接入各个功能区域，下行万兆光纤连接汇聚交换机，形成万兆无阻塞线速转发骨干网。核心设备采用多级交换架构，即使用独立的交换网板卡，可以为设备提供扩展的交换容量，多块交换网板同时分担业务流量；控制引擎和交换网板硬件相互独立，并且配置冗余电源和冗余风扇，最大程度的保障设备可靠性。两台核心设备互为备份，之间采用双万兆连接，区域汇聚设备双归属上联，其中任何一台核心交换机或核心交换机上的板卡出现故障后，正常工作的核心交换机能够立即接管故障核心交换机所有交换工作。在两台核心交换机都正常工作时能够对校区汇聚交互机区域转发过来的数据流量进行负载均衡，两台核心交换机同时承担核心网络数据交换工作。核心层部署园区的核心设备，连接所有的汇聚交换机，转发各个部门之间的流量。核心层对三个以上部门规模的来说是必须的，除了减少连线、路由Peer之外，让扩展以及日常策略调整也变得简单。核心层设备需要具有高带宽、高转发性能，否则将无法支撑内外部的业务流量。3. 汇聚层设计方案汇聚层需要双归到核心层并支持接入层的双归接入。通常汇聚层承担着L2/L3边缘的角色，需要具有高带宽、高端口密度、高转发性能等特点，用于支撑该汇聚层下各业务部门之间的流量。汇聚交换机与核心交换机目前采用千兆冗余互联，下行采用千兆接入各个建筑单体的接入交换机；但考虑到后期扩展，设备必须具备万兆端口扩展能力。本次设计推荐使用华为S5700-28C-EI-24S全千兆交换机，S5700-EI系列交换机是华为公司推出的强三层千兆以太网交换机产品，具备大容量、高密度千兆端口，支持最多8个万兆接口，实现业界1U设备最高的端口密度以及灵活的端口扩展能力，充分满足用户的园区网接入、汇聚、IDC千兆接入以及千兆到桌面等多种应用场景。该系列交换机融合了可靠、安全、绿色环保等先进技术，采用简单便利的安装维护手段，帮助客户减轻网络规划、建设和维护的压力，助力搭建面向未来的IT网络。4. 接入层设计方案接入层：提供Layer2的网络接入，通过VLAN划分实现接入的隔离。在接入层设计时，应考虑以下几点： 1）接入层接入端口规划容量应根据实际使用情况考虑扩展性,具备可堆叠特性； 2）各功能分区的接入层相对独立； 3）不同类型的接入层应各自分开，连接到对应功能区的汇聚层。接入层由楼宇内部楼道二层交换机、无线接入交换机等接入设备构成，可以满足不同终端的接入要求，提供的QinQ技术保证了每端口每VLAN的设计，在终端管理上提供了良好的技术保证。千兆到桌面接入，根据接入密度选择型号。24口接入或48口接入。校园网目前的业务应用主要为桌面办公系统，教学课件系统；互联网业务，网络间要在接入层必须对必要的业务划分VLAN，VLAN划分的方法可以基于端口、基于用户的业务等。为了满足VLAN的灵活划分及对终端安全的控制，接入交换机应具备强2层特性，支持防止DOS、ARP攻击功能、ICMP防攻击，支持IP、MAC、端口、VLAN的组合绑定。同时只能智能节能功能，通过匹配端口Link Down/Up、光模块在位/不在位、配置Shut Down/Undo Shut Down、空闲时段、繁忙时段等应用场景，达到应用中大幅度提高动态节能技术应用比例，节省设备耗电量的目的。应具备能效以太网（EEE）、端口能量检测、CPU动态调频、设备休眠等技术已实现设备智能低功耗设计。根据点位统计，接入交换机配置如下：建筑名称IDF编号信息点24口交换机48口交换机汇聚交换机光纤FO24口光纤交换机信息发布1#教学楼IDF JXL1-A13511011#教学楼IDF JXL1-B1401011#教学楼IDF JXL1-A411138101#教学楼IDF JXL1-B450111202#教学楼IDF JXL2-A13411012#教学楼IDF JXL2-B1762012#教学楼IDF JXL2-A44811002#教学楼IDF JXL2-B44811003#教学楼IDF JXL3-293200行政楼IDF XZL-22907107图书馆IDF TSG-B1632121图书馆IDF TSG-33322042541共部署48口接入交换机25台，24口交换机4台，汇聚交换机5台，光纤交换机1台，覆盖全校1001个信息点。各配线间交换机通过千兆光纤连接到汇聚层交换机。3#教学楼因为数量较少，不设置汇聚交换机，通过千兆单模光纤直接上行到核心交换机。5. 出口安全设计方案出口指校园接入广域网和Internet的出口，园区出口的主要功能是外部的互访，包括分支、出差员工、合作伙伴/访客的访问。Internet网络的安全性低、可靠性低、费用低，WAN安全性高、可靠性高、费用高。为保证WAN/Internet链路的高可靠性，可申请两条链路，实现冗余备份，也可以WAN作为主用链路，Internet作为备份链路。园区出口网关需要配置防火墙、IPS等，根据不同的安全性要求和投资规模选择安全部件。本次设计推荐使用华为USG5530S高性能防火墙，USG5530S系列产品是华为技术有限公司推出的一款面向大中型的千兆级统一安全网关。USG5530S基于业界领先的软、硬件体系架构，基于用户的安全策略融合了 IPS、AV、URL 过滤，应用程序控制，邮件过滤等行业领先的专业安全技术，可精细化管理1000余种网络应用，全面支持IPv6协议，为用户提供强大、可扩展、持续的安全能 力。在政府、金融、电力、电信、石油、教育、工业制造等行业得到广泛应用。6. 校园无线网络方案上海济光学院本项目建设采用“瘦AP+AC”这种组网方式，为校内师生提供高效可靠的无线网络，以支持数据、语音和视频等应用。在本项目中，拟采用华为公司AC设备AC6605，AP设备选用华为的无线接入点AP6010SN设备。分别列举如下：序号设备类别设备型号数量备注1盒式ACAC660512室内放装型AP（11bgn）AP6010SN73多种供电模式从网络运维以及安全考虑，大中型园区网主要采用集中式架构（FIT AP架构）。AC的部署方式上建议采用集中式部署，AC设备可以选择独立AC无线网络拓扑示意图四. 综合效益分析上海济光学院数字化校园应用系统设计，可为上海济光学院信息化建设提供坚实的基础。一个先进、规范的高