山西中北大学建设万兆校园网项目项目建议书

山西联通固定资产投资项目项目建议书项目名称2014年中北大学建设万兆校园网项目申请单位太原联通分公司申请时间2014年12月目录一、项目概述III二、建设目标与任务V1、建设目标V2、建设原则IX三、网络现状及需求分析X1、网络现状X2、需求分析XIV四、项目建设方案XVI1、校园网基础结构改造设计方案XVI11总体网络改造架构XVI12校园网基础区域网络规划XX13校园出口规划XXVII14数据中心网络规划XXVII2、校园网络运营平台技术方案XXIX21有线网络运营平台技术方案XXIX22无线网络运营平台技术方案XXX23教学办公区域网络设计XXXI3、校园网网络改造技术方案XXXIII31WLAN部署规划XXXIII32VLAN规划XXXV33IP地址规划XXXIX34路由规划XLI35边界防御策略规划XLI五、建设规模XLI六、项目总投资及投资构成XLII1、项目总投资XLII2、投资构成XLII21网络及平台部分投资XLII22传送网部分投资XLVI23无线部分投资XLIX七、收入及效益指标XLIX1、收入测算XLIX一、项目概述项目名称2014年中北大学建设万兆校园网项目中北大学是一所由山西省人民政府与国家国防科技工业局共建、山西省人民政府管理的多科性教学研究型大学。学校的前身是1941年八路军总司令部在太行抗日根据地创办的我党我军第一所兵工学校太行工业学校，历经太原机械学院、华北工学院，2004年6月经教育部批准更名为中北大学。对于网络的建设，早在中北大学校园网建设始建于1994年，1998年接入教育网，并于2002年进行了二期建设，实现了“千兆主干、百兆桌面”的网络基本布局。但是校园网络至今已经使用了超过十年了，已经无法满足不断发展的校园信息化的需求，亟需进行网络升级改造。项目背景概述中北大学的校园信息化网络建设至今，已经使用了超过十年，而近段时间以来，信息化技术、互联网技术发展迅速，对于高校校园中的用户包括教学、娱乐、生活、交际都带来极大的变化，而且在可以预见的未来一段时间，这种激烈的改革性变化还将持续。为了更好服务于中北大学师生，“十二五”期间，中北大学信息化建设总体发展目标主要是做好以下几方面的工作数字化校园建设的中长期目标如下图所示的数字校园的体系结构图，在这里，内圆是核心、是基础，外圆是在内圆的基础上提供的更进一步的服务。从上图可以看出，数字校园可以分为五个层次（1）“网络基础层”网络是数字校园的基础设施，没有相应的网络基础设施，数字不能流动，就不可能形成数字的空间；（2）“网络基本服务层”网络基本服务是数字流动的软件基础，包括域名服务、身份认证、目录服务、网络安全、以及公共服务（如电子邮件、文件传输、WEB发布）等；（3）“应用支撑层”它主要处理业务逻辑，将各类数据按照业务的逻辑规范管理、组织起来，包括办公自动化系统、数字图书馆、管理信息系统和网络教学系统等，它们是数字校园的核心支持系统；（4）“信息服务层”它主要处理用户逻辑，将规范化的数据按照用户的需要提取出来提供给用户，为用户提供服务，如后勤服务、信息查询、决策支持等；（5）“个性化门户（虚拟大学）”它是数字校园的总入口，各类用户通过门户进入数字校园，可以获得与其身份相对应的信息与服务。为了满足上层的应用和服务的需求，“网络基础”部分的设计必须达到以下目标高性能校园内用户数量多，并且教学信息化的发展需要更高性能的网络承载能力，校园骨干线路能力需要达到10G以上。高稳定性校园网络承载业务关系着校内大量用户的工作、学习和生活，因此必须具备高稳定性，并且出现意外故障时候也能使用备用方案，保证业务的不中断运行。灵活业务支撑能力校园网内具有多种业务，为了让业务间各自独立运行，相互不干扰，保证各个业务内的数据信息的安全性，网络必须可以采用各种灵活的虚拟化，让各个业务实现逻辑隔离，并且应用QOS策略，让业务实现质量管理。可维护性校园网络涉及到多个不同的设备，并且数量众多，而学校信息中心维护团队人力极其有限，因此新升级后的校园网络应该具有较高的维护管理性，包括采用集中管控的方式，策略自动下发，网管集中展现等模型，简化网络运维工作量。平滑演进能力校园网应该具有较高的平滑演进能力，能长期支撑业务发展变化的需要，网络的能力设计应该能够匹配未来十年的业务发展趋势。二、建设目标与任务1、建设目标校园网为学校师生提供快捷高效的教学、科研和综合信息服务。校园网既需要承载科研信息共享、多媒体教学、电子阅览、教学资料存储等教学相关的网络业务，也要承载行政和总务管理、教师办公、高校论坛等其他网络业务，因此对网络的性能、服务质量等要求极高。随着高校信息化的发展，网络中所承载内容的变化，以及接入终端的多样化，校园网的建设也面临着越来越多的新挑战。在设计中北大学新型大学校园网络时，需要注意以下问题网络平台结构问题中北大学需要建设一个可以提供多个运营商共同运营的网络平台，以网络技术为依托建设一个公平竞争的网络服务平台，为校园师生提供不断优化的服务。计费要求灵活校园网中有学生、教师等多种不同角色，针对不同角色计费方法不同；基于学生和老师的作息时间，针对不同时间计费也会有所差别；用户访问校园内网资源、INTERNET资源和教育网资源时，也会涉及到不同的计费方法。其中需要实现的是1校内资源免费访问，包括校内提供的各类学习资源，教务系统等；2学校的教师办公区域上网不计费；3有线和无线的网络各个运营商账号相互之间不干扰；4各个运营商可以根据自己的业务需求制定灵活的收费策略；网络稳定性问题校园网目前大多是传统的三层架构，结构相对复杂。网络容易生成环路，引起广播风暴；当产生ARP等网络攻击时，影响范围过大。传统校园网的接入层为百兆带宽，已经不能满足现有网络应用的高速传输需求。网络管理问题接入场景复杂校园网有大量的固定资产（例如打印机、摄像头、IP电话等）需要接入网络，这些终端设备都需要稳定运行；学生宿舍、教师公寓等地点又会有大量PC接入网络；校园中访客众多，公共场所总会有访客频繁接入网络；由于学生和教师乐于尝试新技术，校园又是无线终端非常密集的场所。办公网络效率问题校园网中有大量的P2P及其他下载流量占用带宽，导致重要网络应用质量不高；有多个网络出口时，经常会出现一个出口已经非常拥塞，另一出口占用率却很低的现象；特别针对教师办公区域，需要针对网络加强管理，提升网络使用效率。网络行为管理应教育部和公安部的相关要求，并本着对学生负责的理念，校园网需要提供网络行为管理的工具，对学生进行实名认证，对学生的上网行为进行约束，并对上网的行为能够监控记录，必要时进行回溯。IP地址分配问题校园网的办公网络目前使用效率很低的静态IP地址分配，对账号没有实现实名里，对接入用户缺乏有效的探测机制，地址回收效率也不高，需要建设实名认证，并根据账号动态分配地址，并加以管理的机制。网络安全问题校园网的用户具有极强的网络技术以及好奇心，会不断尝试攻击校园网络；同时校园网应用繁多，结构复杂，是网络攻击、网络病毒滋生扩散的温床。IPV6的过渡问题校园网往往走在网络技术的最前线，作为网络技术发展的必然趋势，校园网更需要提前考虑IPV6的良好过渡。华为智慧校园网解决方案针对校园网面临的新挑战，华为提出了融合校园网解决方案来支持校园网的高速发展。华为校园网络解决方案有以下特点万兆融合网络解决方案扁平化的大二层网络华为的校园网解决方案中，用户都接入BRAS，采用扁平化的大二层网络，简化了网络结构，降低了网络的运维难度。同时采用堆叠、VLAN等技术，既增强了网络的可靠性，又成功消除了网络环路。万兆无阻塞架构华为的校园网解决方案中，使用千兆接入、万兆汇聚的方案，来支撑校园网流量的爆炸式增长，满足未来校园网虚拟化和云计算的带宽需求。无阻塞的网络架构保证校园网的业务质量。华为通过先进的汇聚和核心层的架构，支持平滑升级，满足校园网未来510年持续发展需求；丰富的板卡覆盖多种场景，满足校园网未来业务扩展需求；同时通过多重冗余备份，保证校园网关键业务持续在线，实现99999可靠性设计。有线无线一体化运营华为设计的解决方案中，可最大限度重用用户已有的有线网络，将无线网络融入其中。运维管理非常方便，并且支持统一认证，全校园网漫游，同时可靠性极高，给用户最好的上网体验。多种接入技术无论是有线终端还是无线终端，华为都提供了形式多样的接入认证技术。比如广泛适用于校园网的PORTAL认证，在学生宿舍区非常实用的PPPOE认证，适用于哑终端的MAC认证，以及8021X认证。华为的认证方案可适用于各种场景各种用户，为网络的智慧运营打下坚实基础。使用BRAS设备接入用户，可实时探测用户状态，及时回收分配的IP地址资源，避免大量浪费IP地址。运营范围全覆盖无论是本校区用户，还是分校用户和远程接入的用户，华为都提供了各种融合接入的方案，稳定高效的访问远程资源和校园网的资源。认证计费解决方案华为使用ME60作为用户网关，实现了强大灵活的认证计费功能。兼容现网的众多业务和流量模型的管理。满足网络PPPOE、PORTAL等多种接入认证的功能。认证通过后，满足对不同用户分配不同访问权限的功能。满足现网有线无线统一化认证与计费的要求，满足基于时间、基于区域、基于用户、基于访问目的地址等多种精细化计费要求。安全管控解决方案华为可提供安全管控的全系列产品，实现对网络和服务器资源的全面防护。优化运维解决方案华为提供针对链路和服务器的负载均衡方案，可优化用户的访问速率，进一步提升用户体验。使用ESIGHT网管，可实现对校园网整网的拓扑管理、网络资源管理、性能管理、故障管理和配置管理。ESIGHT提供强大的报表功能，为判断运维趋势、发现潜在问题提供了强有力的支持。IPV6平滑演进方案华为全系列IPV6产品均为自主核心技术，提供双栈过渡技术、隧道互联技术和地址转换技术保证IPV4到IPV6的平滑过渡。2、建设原则校园网是校园的教学信息共享平台，应本着以下原则进行建设超前性与实用性结合网络技术发展迅猛，如果设备缺乏先进性，设备可能很快落后甚至被淘汰，但也不能过分超前，以避免造成投资的浪费。为此，在网络建设中，需注意超前性与实用性结合，确保投资有效，使之能真正发挥出相应的作用。安全性与可靠性在校园网建设中，安全性是整个网络建设中的重中之重，要通过各种技术确保系统应用的安全性以及内容的安全性。同时，要求系统本身具有高度的可靠性，这样才能保证网络客户的应用可管理性网络管理是一个长期的投资，在网络建设中对网络可管理是一项重要的应用原则，通过选择全网的可管理性软件，减少日常维护费用。可扩展性校园网络不但需要能够满足当前需要，随着后续教学方式的改变、技术的发展，未来网络需要承载更多的业务及提供更多的优质服务。所以，网络的可扩展性是网络建设中必须提前规划的重点。三、网络现状及需求分析1、网络现状中北大学校园网建设始建于1994年，1998年接入教育网，并于2002年进行了二期建设，实现了“千兆主干、百兆桌面”的网络基本布局。十多年时间过去了，校园网发生了很大变化。目前，全校信息点达到25000多个，办公区联网计算机6000多台，学生区联网计算机20000多台，光纤长度10247千米。校园网有教育网、中国联通、中国移动三个互联网出口，带宽共计350MBPS。校园网连接到了全校所有教学、科研、管理部门、学生宿舍楼和教职工住宅，遍及学校各个地方。中北大学网络现状校园网络主要覆盖三个区域办公区、家属区和学生宿舍区。学生宿舍区楼宇基本都已进行综合布线。家属区中，西苑小区、新南区的所有楼宇都已进行综合布线，84小区、南苑小区、旧成教楼没有进行综合布线。单身教工宿舍有综合布线，但没有网络设备，也无法通过校园网访问因特网。办公区各楼均能上网，但基础线路情况各不相同。除教学主楼（11号楼）、实验大楼（9号教学楼）、无损楼，重点实验室、笃学楼、产业楼、8号教学楼、10号教学楼、图书馆、体馆西看台、工程训练中心进行了综合布线外，1号教学楼、工字楼（2号教楼）、3号教学楼、4号教学楼、制图楼（5号教学楼）、德怀楼（7号教学楼）、校医院、老干部处、小白楼、科艺苑、4院办公楼、4院实验楼、后勤办公楼、旧图书馆、艺术系办公楼、软件学院、保卫处、幼儿园都没有进行综合布线，新添上网设备都需要重新布设网线才能联网，网络布局比较混乱。办工区、教学区各楼宇联网情况楼宇名称是否综合布线是否光纤直联各楼层是否有交换机主干带宽信息点数教学主楼（11号楼）是是是1000M1026实验大楼（9号教学楼）是是是1000M480无损楼是是是100M254重点实验室是是是1000M128笃学楼是是是1000M120产业楼是是是1000M968号教学楼是否否100M610号教学楼是是否1000M24图书馆是是是1000M582体馆西看台是否否100M60工程训练中心是是否100M961号教学楼否否否00工字楼（2号教楼）否否否100M243号教学楼否否否004号教学楼否是否1000M24制图楼（5号教学楼）否否否100M28德怀楼（7号教学楼）否是否1000M24校医园否是否100M24老干部处否否否100M12小白楼否否否100M24科艺苑否是否1000M244院办公楼否否否100M244院实验楼否否否100M24后勤办公楼否否否00旧图书馆否是否1000M6艺术楼办公楼否否否100M24保卫处否否否100M24幼儿园否否否100M4办公区合计3162中北大学网络安全现状校园网目前的安全措施比较薄弱，仅有一台天融信防火墙，能对服务器起到基本的防护作用，但对于各部门网站的防护、各应用系统数据库的防护、校园网内网的防护，功能很弱。校园网没有统一的病毒防护体系，用户经常出现由于中毒而不能正常使用计算机和网络的情况。校园网中心机房现状校园网中心机房位于9号教学楼4层，机房面积约80平方米。校园网中心机房的核心交换机为CISCO7609（即将更新为锐捷的8610交换机），二级节点交换机主要采用CISCO355024和港湾交换机。二级节点交换机以1000兆速率连接到核心交换机，整个网络共划分VLAN87个，由天融信防火墙将整个网络划分为三个区域，内网区域（包括办公区、联通管辖的区域学生公寓和教职工住宅）、外网区域和DMZ区域。用户访问教育网走教育网出口，用户访问教育网以外的资源自动路由到联通或移动出口。校园网中心机房内共有服务器35台，分别是WEB服务器3台；个人WEB服务器2台；DNS服务器2台；FTP服务器1台；邮件服务器2台（教职工和学生各1台，保证了全校每个教职工和学生都有1个邮箱，共有5万用户）；邮件网关1台；课件服务器2台；VOD服务器1台；新闻服务器1台；BBS服务器1台；网管服务器1台；ACM比赛服务器1台；综合教务管理系统服务器2台；电子校务服务器2台；干部学习服务器1台；科技处服务器1台；防火墙日志服务器1台；代理服务器（仅代理联合网络通信有限公司管辖区域访问图书馆外部资源）1台；后勤办公信息化管理服务器2台；体育选课系统服务器1台；防毒服务器1台；本科生就业管理系统1台；视频监控服务器1台；GOOGLE搜索服务器1台；BLACKBOARD课件服务器1台；学生资助管理服务器1台。这些服务器承担着中北大学绝大部分的教学、科研和管理任务。其中一半以上的服务器均为2002年左右购买，目前设备老化，已经不能满足校园网发展需要。为了校园网和网站服务器系统的安全，中北大学于2004年购买了3000用户的趋势防毒墙网络版杀毒软件来保护服务器和校园网用户，2005年购买了天融信千兆多端口防火墙来保护整个校园网。为了阻止涉密信息的泄漏，2004年购买了美讯智安全邮件网关，现已更新为硕奇邮件网关。中北大学校园其中办公区域的网络拓扑图为网络说明现有网络为多级结构，包含核心、汇聚、接入层。网络服务器群通过防火墙实现网络隔离，对校内网用户提供包括WEB、FTP、邮件、DNS、VOD、办公等服务。安全设备部署方面校内出口处部署防病毒木马防火墙；在网络出口主干道上部署流量控制设备。学校和多家线路运营商有合作，对外出口部署了包括移动、联通、电信、CERNET等出口线路，并且起用了IPV6资源线路。另外宿舍区和教师家属区由于之前和联通签订的合同，外包给联通进行建设和维护。到了现在已经过了十年的合同签订期，设备老化严重，功能缺失，并且无法实现WLAN的覆盖。2、需求分析中北大学现有网络建设于2006年，经过这几年网络信息的高速发展，相对应的网络结构设计有需要升级和改造的地方，以满足不断发展的教育网络应用需求，以便更好服务于学校师生和公共用户。对于中北大学现有网络，主要有以下几个方面需要进行重点改造网络承载速率现有网络主要为100MBPS/1000MBPS承载，对于园区拥有5万以上的上网师生用户来说，承载能力严重不足，并且随着教育信息化的不断发展，各种教学应用的使用，网络教学的方式变化，对网络的速率承载能力必定会提出更高的要求，因此现有网络急需进行速率升级。学校网络建设定型之后，改动升级工作就会带来很大的工作量，并且影响较大，因此进行升级改造工作一定要能服务于未来5年甚至10年的学校教学业务所需。鉴于现在网络应用发展迅速，教育信息化的发展趋势有云化、视频化、远程化等，各种教学应用都对网络速率有较高要求，因此建议学校网络核心建设为10G以上核心。在接入网方面，现在千兆到桌面与百兆到桌面的方案应用在成本上已经相差不大，为了更好满足未来学校教育的发展，建议可以建设到千兆到桌面的速率能力。网络认证管理现网中缺乏精细化的网络认证管理系统。对于办公区域上网还采用比较原始的人工申请，静态IP地址分配，没有账号认证过程。账号的认证是网络管理和网络效率优化提升的前提，做好了认证管理，那么再进行的包括流量管理、权限管理、网络质量分析、网络行为分析、服务资源管理、计费管理等等细化管理才能有效进行。各项的针对学校网络的细化管理，各种网络服务优化，都是以做好网络认证管理为前提的。因此建议学校建设可精细化的，统一的网络用户认证管理系统。网络结构改进；现在中北大学网络缺乏集中的上层汇聚点，各个接入单位直接汇总到核心层，带来的是核心层的端口压力，并且由于中北大学校园面积大，缺乏必要的汇聚点一方面是带来线路的额外投资，另外是带来网络传输交换效率的下降。因此校园网络改造必须增加合理的校园区域上层汇聚节点。另外网络的出口结构上，外部采用多线路出口，但是内部主干道为单一线路，如果出现故障点，将直接影响整个网络的用户。在现有网络结构中，如果主干道网络设备出现问题，不单无法访问外部网络，连内网服务器组也可能有访问问题，将直接影响了日常办公的稳定性。因此建议对内网网络结构进行改造。为了实现更好的整网精细化管理的同时，降低网络维护工作量，建议使用整网使用扁平化结构，网络主干道采用冗余节点部署，以增强网络的健壮性。网络无线建设现在智能终端的应用是发展的必然趋势，现在子啊日常的上网活动中各种用户已经广泛采用智能终端上网，可以预见的是，未来教学活动中也会不断采用智能终端进行辅助，因此现在校园网络中，无线覆盖是必然的建设需求。为了让内网用户拥有更好的上网体验，同时也是为了更好地进行整网的统一管理，建议在建设无线规划时，实现有线无线一体化设计。网络安全改进目前校园中中缺乏网络安全保护能力，无法应对越来越复杂的互联网威胁。并且针对互联网缺乏行为管控设备，无法针对网络内容实现有效规范。并且随着数字化校园规划中的各类校园教学应用的升级，建设的信息中心也需要加强应用层次的安全防御。四、项目建设方案1、校园网基础结构改造设计方案11总体网络改造架构校园网是一种用户高密度的网络，在有限的空间内聚集了大量的终端和用户。校园网注重的是网络的简单可靠、易部署、易维护。因此在校园网中，拓扑结构最好以星型结构为主。基于星型结构的校园网设计，遵循如下原则层次化将校园网络划分为BRAS、核心层、汇聚层、接入层。每层功能清晰，架构稳定，易于扩展和维护。模块化将校园网络中的每个区域或者每个功能区划分为一个模块，模块内部的调整涉及范围小，易于进行问题定位。冗余性关键设备采用双节点冗余设计；关键链路采用TRUNK方式冗余备份或者负载分担；关键设备的电源、主控板等关键部件冗余备份。提高了整个网络的可靠性。安全性校园网络应具备有效的安全控制。接入网络的设备要进行统一认证，同时按接入用户身份、按权限进行分区逻辑隔离。对特别重要的业务采取物理隔离。对进出校园网的流量要进行识别、过滤，确保网络安全。可管理性和可维护性为了易于管理，可选择适用于全网的网管软件来管理网络。为了便于维护，应尽可能选取集成度高、模块可通用的产品。逻辑架构校园出口校园出口区域既负责对校园网用户的统一接入，也负责将内部的终端用户接入到公网、将外部用户接入到内网。出口除了要保证校园内外的数据传输，还需要保证边界安全。核心层核心层负责整个园区网的高速互联，一般不部署具体的业务。核心网络需要实现带宽的高利用率和网络故障的快速收敛。汇聚层汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。接入层负责将各种终端接入到校园网络，通常由以太网交换机组成。对于某些终端，可能还要增加特定的接入设备，例如无线接入的AP设备。终端应用层包含校园网内的各种终端设备，例如PC、笔记本电脑、打印机、传真、手机、摄像头等等。数据中心部署服务器和应用系统的区域。为校园网内部和外部用户提供数据和应用服务。网络管理区联合BRAS对接入用户进行认证，对网络设备、服务器等进行管理的区域。包括告警管理、性能管理、故障管理、配置管理、安全管理等。物理架构网络组网描述网络出口采用两台USG防火墙作为出口，承载多网络线路，启用USG上的链路均衡和智能选路功能，发挥多线路资源的优势，提升内网用户上网体验。网络核心采用BRASME60对内网所有的用户实现统一的认证管理，BRAS采用双机热备模式部署（具体认证模式参照下文中的业务解决方案中的认证计费内容）；交换核心采用集群模式部署；整体网络核心实现40G核心，满足未来10年校园教育信息化发展需要；数据中心数据中心单独规划，为建设高效云教育数据中心预留规划，数据中心通过单独的防火墙接入核心层中，核心交换机可用虚拟化为数据中心接入提供单独接入区域；DMZ区对外的公共服务单独设置，提升服务效率同时，也将增强网络的健壮性；网络管理区部署包括整网管理相关系统，包括AAA、DHCP、PORTAL等，也包括整网的运维系统ESIGHT；汇聚汇聚采用万兆速率部署，在有条件的地方实现虚拟集群化模式；接入接入速率下行实现千兆到桌面，并且为无线AP的接入提供POE接口，简化无线部署；无线无线部署与有线是实现一体化。包括用户认证管理、整体网络运维、硬件部署，让无线彻底融合入有线的整体框架设计中。网络改造价值网络架构清晰，基础网络、数据中心网络、新校区网络均可独立维护。以核心节点为“根”的星型分层拓扑，架构稳定，易于扩展和维护。各部门和功能分区模块清晰，模块内部调整涉及范围小，易于进行问题定位。汇聚层和接入层冗余设计，关键链路均采用TRUNK链路，保证网络的可靠性。支持各种终端接入，统一认证，一张IP网络承载所有业务。网络融化统一，包含网络有线无线、安全与通信的融合；支持分支接入、远程接入、外部用户访问等各种外联场景。12校园网基础区域网络规划校园基础区域网络是整个校园网络的枢纽，连接着校园网的各个区域。承担了内部数据流量和对外数据流量，在逻辑上成为可靠性、安全设计的中心。111网络汇聚点规划根据中北大学校园平面图，初步建议汇聚节点的设置如下说明网络核心部署在信息中心机房，随着信息业务系统的升级，原有的机房空间可能不够，可以增加机房，但是在逻辑上是形成一个中心。一个网络信息中心的设计有利于发挥资源的整合优势，并且有利于统一管理和维护。由于教学区、办公区的流量内容和行为特征与学生宿舍区、教师家属区差异较大，因此建议汇聚节点分为两类。教学区和办公区汇聚此类网络流量压力较小，网络行为比较规范，因此建议按照区域建设四个汇聚节点。学生宿舍区和教师家属区汇聚学生宿舍区是流量压力最大的区域，按照目前情况，建议每5栋学生宿舍设定一个汇聚节点；教师家属区流量压力也是属于较大区域，建议每8栋宿舍设定一个汇聚节点。每个汇聚节点部署双设备冗余，通过10G链路与网络核心互联，再通过核心区域连通互联网。112详细组网规划校园基础网络整体规划校园基础网络区域建议采用BRAS、核心层、汇聚层和接入层的架构模型，具有如下的优势逻辑二层设计基础网络部分逻辑上采用了扁平化的大二层结构，接入用户都在BRAS上接入，不需要维护复杂的网络架构与协议。层次化设计有BRAS、核心层、汇聚层、接入层，每层功能清晰，架构稳定，易于扩展和维护。模块化设计每一个模块为一个学院楼、教学楼或一个学生宿舍，模块内部调整涉及范围小，定位问题也容易。冗余性设计双节点冗余性设计，适当的冗余性提高可靠性，过度的冗余不便于运行维护。对称性设计网络的对称性便于业务部署，拓扑直观，便于设计和分析。BRAS设计规划BRAS负责对校园网用户的统一接入，并与认证服务器协同工作，对接入用户进行认证，可以很方便的对校园网的所有用户流量做统一管理监控。由于BRAS部署在核心层之上，汇总校园网全网用户流量，需要具有高带宽、高转发性能，无阻塞转发数据。同时BRAS需要有强大的认证计费功能，才能满足校园网的大用户量、高并发连接数、多样化计费的需求。BRAS汇总全网用户流量，是数据转发的枢纽，通常需要部署两台BRAS，采用主备方式，用户的接入信息备份到备设备上。当主设备的链路、接口、单板或者整机出现故障时，能够快速将业务切换至备用设备。核心层虚拟化设计规划核心层部署校园的核心设备，连接所有的汇聚交换机，转发各个教学楼或学生宿舍之间的流量。核心层需要采用全连接结构，保持核心层设备的配置尽量简单，并且和校园网的具体业务无关。核心层设备需要具有高带宽、高转发性能，否则将无法支撑企业内外部的业务流量。核心层交换机通常使用CSS（CLUSTERSWITCHSYSTEM）技术，将两台交换机从逻辑上整合成一台交换机。同时可在堆叠后的系统上划分VS，将堆叠后的系统再划分为多台逻辑交换机。每台逻辑交换机独立工作，在业务功能上等同于一台独立的传统物理交换机，可以在不同的逻辑交换机上按照用户需要部署不同的业务。例如，可以将一台逻辑交换机应用在校园基础网络的核心层，将另一台逻辑交换机应用在校园数据中心。这样可以在保障业务隔离性和安全性的前提下，最大限度地利用现有资源，提高网络业务的可配置性和可管理性。汇聚层设计规划汇聚层是一个学院、一幢教学楼或一幢学生宿舍的汇聚点，汇聚层的设备用来转发本区域用户到其他区域用户的横向流量，同时发送本区域用户流量到核心层。汇聚层将大量用户接入到互联的网络中，模块化扩展接入核心层设备的用户数量。汇聚层具有高带宽、高端口密度、高转发性能等特点，用于支撑该汇聚层下各业务部门之间的流量。汇聚层交换机通常使用CSS（CLUSTERSWITCHSYSTEM）技术，将多台交换机从逻辑上整合成一台交换机。然后将汇聚层的CSS系统和核心层的CSS系统之间的多条链路捆绑，用来传输数据。这样既简化了配置和管理，又提高了网络的可靠性和扩展能力。汇聚层交换机可以直接配置插卡式AC,对网络中的AP进行管控，实现有线无线融合接入。接入层设计规划接入层是最靠近终端用户的网络，为用户提供各种接入方式，一般部署二层设备，双归属到汇聚层两个不同的交换机。接入层除了需要部署丰富的二层特性外，还需要部署安全、可靠性等相关功能。接入层需要具有高密度、高速率的端口，以支持更多的终端接入校园网络。接入层交换机通常使用ISTACK（INTELLIGENTSTACK）技术，将多台交换机从逻辑上整合成一台交换机。这样既简化了配置和管理，又提高了网络的可靠性和扩展能力。113可靠性设计规划本解决方案中，网络可靠性由双设备、链路冗余来保证。传统可靠性方案传统的可靠性方案是STP（SPANNINGTREEPROTOCOL），该方案通过阻塞环路中的某条链路来实现二层数据帧的无环转发。现代网络中很多应用对中断时间极为敏感，而且带宽极大，这种传统的可靠性方案已经不适用于现代网络。收敛时间传统的STP技术收敛速度慢，在故障发生时，故障收敛时间10秒；虽然采用RSTP进行优化，但收敛时间任是秒级，秒级的业务中断，无法适应现在的很多网络应用。链路利用率低由于有一个上行链路被阻塞，此链路的带宽无法利用，总带宽利用率只有50；虽然MSTP基于VLAN进行优化，但使用MSTP又会导致配置复杂，日常维护非常困难。配置维护复杂，网络故障率高每个接入交换机和汇聚交换机都需要运行STP协议，随着接入交换机的增加，交换机需要处理的STP也越来越复杂，会导致可靠性问题。集群堆叠的无环网络方案基于STP方案有以上这些缺点，我们推荐采用集群堆叠的无环网络方案来替代传统方案。汇聚层的两台交换机使用CSS（CLUSTERSWITCHSYSTEM）技术，配置交换机集群，从逻辑上组合成一台交换机；接入层的两台交换机使用ISTACK（INTELLIGENTSTACK）技术，配置交换机堆叠，从逻辑上组合成一台交换机。将接入层交换机和汇聚层交换机之间的多条链路捆绑，用来传输数据。相对传统方案，这个方案有以下优势高可靠性堆叠系统的成员设备之间冗余备份；堆叠支持跨设备的链路聚合功能，实现跨设备的链路冗余备份。以单链路故障率为1小时/1千小时为例，增加到两条链路，就可以将故障率降低到36秒/1千小时，可靠性从3个9提高到6个9。简化配置和管理交换机集群或堆叠形成后，两台物理交换机虚拟成为一台逻辑交换机，用户可以通过任何一台成员设备登录堆叠系统，对堆叠系统所有成员设备进行统一配置和管理。逻辑网络也变得简洁，不再需要配置和维护STP等协议。快速的故障收敛链路故障收敛时间可以控制在10MS以下，大大降低了网络链路/节点的故障对业务的影响。带宽利用率高采用链路TRUNK的方式，带宽利用率可以达到100。扩容方便、保护投资随着业务的增加，当用户进行网络升级时，只需要增加新设备，而不需要更改网络配置。平滑扩容，很好的保护了投资。BRAS部署时采用主备方式，用户的接入信息备份到备设备上，当主设备的链路、接口、单板或者整机出现故障时，能够快速将业务切换至备用设备。设备可靠性可靠性的另一个重要方面是设备可靠性，核心区设备一般为框式设备，在可靠性方面的要求包括支持主控单元的备份支持电源模块的备份支持模块化的风扇设计，支持单风扇失效支持所有模块的热插拔114安全性规划设计校园出口之间部署防火墙设备，主要解决如下几个安全问题校园内、外网之间的访问控制，实现校园内、外网的安全隔离。新校区与校园本部的访问控制，实现新校区和校园本部内网业务的安全隔离。出差员工与校园DMZ区域的访问控制，实现出差员工与校园DMZ区域的安全隔离。合作伙伴/访客与校园DMZ区域的访问控制，实现合作伙伴/访客与校园DMZ区域的安全隔离。USG实现针对不同用户、不同应用的精细化流量控制策略，提升内容网络的使用效率，提升用户的上网体验；USG实现对内网的应用实现精细化管理，对网络非法行为如黄赌毒等实现封堵，让教育网络使用规范化，打造和谐校园；BRAS与校园出口之间部署ASG设备，主要解决如下几个安全问题使用ASG对校园内部用户的上网行为实现管理和记录，实现非法行为的溯源；使用ASG对校园内网用户实现上网行为的数据分析，以帮助更好实现网络使用管理规范；13校园出口规划校园网的USG负责内外网用户的数据交互。接收BRAS的数据，将校园内网用的私网IP地址转换成公网IP，接入公网。接收校园外部访问的流量，接入校园内网的DMZ区域，为公网用户提供服务。USG能承载多网络出口，对多网络出口实现智能的流量负载分担，14数据中心网络规划随着教育信息化的发展，教育云数据中心是校园网络的发展趋势。教育云数据中心对于网络的灵活行、高速性要求是非常重要的。而随着服务器的性能提升，GE网卡逐步升级到10GE网卡，数据中心对网络交换机的性能要求也相应的提升了10倍。因此无论是服务器接入还是TOR上行汇聚，核心交换机的对线卡的转发性能、端口密度要求急剧提升。当数据中心使用数据中心交换机作为核心枢纽，具有如下优势本方案中，将防火墙部署在数据中心的出口处，配置基本的防火墙功能、入侵防御功能、反病毒攻击功能和URL过滤功能。入侵防御功能可以深度感知并检测流经的数据流量，发现攻击后能及时阻断，对应用层攻击的防御效果显著。反病毒功能实现对使用HTTP、SMTP、POP3协议传输的文件进行病毒扫描，并根据AV策略对带病毒文件进行处理。URL过滤对上网行为进行管理，有效实现对终端应用的审计监控，对于可能增加内部安全威胁或影响正常业务的应用进行限制。INTERNET上的安全服务中心能够给USG提供IPS签名库和病毒库在线升级，可保证USG上时刻保持最新的IPS签名库和病毒库，使入侵防御和反病毒功能更有效。在教育云数据中心应用部署到了一定阶段，可以看业务要求增加应用级的安全防御设备，比如入侵防御系统NIP。使用NIP保护企业内部信息系统（数据库、DNS服务器、WEB服务器、EMAIL服务器等）的安全。同时，利用NIP的报表功能，管理员可以直观地了解网络的健康状况。NIP还可以与防火墙进行联动，针对具体的网络应用部署保护策略。2、校园网络运营平台技术方案21有线网络运营平台技术方案有线网络运营平台示意图为说明借助校园的基础网络设备，建设一个可以容纳多个不同运营商共同公平开展业务的校园网络，使用BRAS系统进行用户的账号认证及管理。针对校园网络中的非运营商账号，用户可以从学校信息中心获得上网账号，可以免费访问学校的教学系统和教学资源。针对有线用户，用户在运营商营业厅获得上网账号，在校园网内登录，BRAS会识别账号属性，并执行选路，把该账号发生的流量引导到对应的运营商出口链路中。针对有线不同运营商用户上网的流量模型示意图为备注说明针对教师家属楼区域，建议另外单独配置有线家庭账号，以把教师的办公账号和家庭账号分开，以便更好管理，也方便教师把工作和家庭生活所进行的网络需求分开。教师家属区域可以让有需要的家庭用户自行购买无线路由器，供家庭成员使用WLAN。22无线网络运营平台技术方案针对WLAN网络运营平台，流量模型示意图为说明在WLAN设置不同的SSID，利用SSID之间的隔离性，为用户区分不同的运营商流量。特别设置校内网的SSID，其使用用户为教师办公和没有运营商账号的学生。在校内网的SSID内，BRAS会识别教师账号，提供自由访问内网资源以及免费互联网资源。没有运营商账号的学生，可以使用学校为其分配的校内账号，连入校内网SSID，自由反问校内的教学资源系统，但不可访问互联网。23教学办公区域网络设计针对教学办公区域的网络，最重要的关注点是如何提升网络使用效率，从而助力办公效率的提升。针对教学和办公区域的网络，流量优化模型的设计示意为说明教学办公区域网络同时部署有线和无线，两者采用统一的账号管理系统，用户可以采用一致的账号进行有线无线的使用。网络出口部署防火墙，其中需要起到的主要作用有1、安全防御防御来自互联网的各种网络威胁；2、应用流量控制针对互联网进行流量控制，针对时间、用户、应用实施策略，比如在办公时间内限制P2P流量，保障邮件、WEB、视频会议等办公应用。3、线路选择针对多个运营商出口链路，根据访问目的的最高效率，即时选择最优先的出口，以达到最佳的网络使用体验。4、NAT在出口处部署CACHE缓存系统，针对常用的互联网热点资源，进行本地缓存，从而达到降低互联网出口压力的目的，同时也能提升内网用户使用体验。教学区和办公室区域的流量模式示意图为说明如上图所示，内网用户访问互联网时，优先从本地的CACHE缓存系统中获取资源，在本地访问落空的情况下，再达到互联网出口，而出口防火墙将探测访问目的地址从哪个出口线路最高，把流量引导到对应的出口。3、校园网网络改造技术方案31WLAN部署规划无线设备IP地址规划AC用于管理AP，如果在网络中需要部署独立AC,IP地址一般通过静态手工配置。本方案中推荐在汇聚设备上配置AC插卡来满足需求。AP为无线接入点，建议在BRAS上配置地址池，AP使用DHCP方式自动获取IP地址。本部署方案中，建议无线终端和有线终端统一管理，以DHCP方式从BRAS上获取IP地址。用户认证规划WLAN终端认证IEEE80211标准要求WLAN终端在准备连接到网络时，必需进行“身份验证”。WLAN终端身份认证主要有两种方式开放系统认证（OPENSYSTEMAUTHENTICATION）和共享密钥认证（SHAREDKEYAUTHENTICATION）。开放系统认证是IEEE80211标准要求必备的一种方法，是最简单的认证算法，即不认证。如果认证类型设置为开放系统认证，则所有请求认证的客户端都会通过认证。在这种方式下，接入点并未验证工作站的真实身份，工作站以MAC地址作为身份证明，这种验证方式可以让所有符合80211标准的终端都可以接入到WLAN网络中来。开放系统身份验证比较适合有众多用户的电信运营WLAN网络。共享密钥式认证必需使用加密方式，要求每个WLAN终端都镜头配置和AP完全一致的密钥（KEY）。由于配置工作量较大，一般适用于企业网、校园网及家庭网络等。用户身份验证WLAN的链路层身份验证主要有PORTALDHCPWEB、MAC、8021X、WAPI等几种认证方式。可以根据具体情况选择。华为可以提供的用户接入认证方式非常丰富，这里推荐针对不同用户，使用不同认证方式。例如在校师生使用MACPORTAL认证方式，一旦登入成功，每次进入该区域将会自动连接上网；方便又快捷而外来访客使用PORTAL认证方式。重点实验室等安全性要求较高的场所，使用8021X认证，保障网络安全。SSID规划校园网无线网络一般按照业务类型划分不同的SSID（SERVICESETIDENTIFICATION）。通常，以太网中管理VLAN和业务VLAN分离。业务VLAN主要用于区分不同的业务类型或用户群体。在WLAN网络中SSID也同样可以承担相应的工作。因此，在业务VLAN的规划中必须综合考虑VLAN与SSID的映射关系。业务VLAN应根据实际业务需要与SSID匹配映射关系，映射关系有11、1N、N1、NN四种，AC设备终结VLAN部署。漫游规划漫游是指用户在部署了WLAN网络的场所移动时，用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围，用户无需重新登录和认证。漫游切换需要保证SSID相同，即两台AP切换区域需要配置相同的SSID。AP发现并选择AC方式规划ITAP架构下的WLAN网络中，FITAP为零配置，当FITAP部署到网络的时候，AP需要去找到相应的AC，并从AC上下载其配置。AP发现AC的几种机制优劣对比如下AP发现并选择AC方式优劣势对比表方式部署要求优势劣势适用网络DHCPOPTION43DHCPSERVER启动OPTION43属性适用于AP/AC任何组网中对网络有部署要求大中型WLAN网络，AP/ACDNS部署DNSSERVER；DHCPSERVER支持OPTION15属性二层或三层组网二层广播发现无对已有网络没有额外要求仅能用于AP/AC二层组网中小型WLAN网络，AP/AC二层组网AP上预配置静态AC列表AP预配置对已有网络没有额外要求需要对AP逐一进行配置，工作量大；若AC的IP地址发生变化，则需要重新修改AP的配置小型WLAN网络无线网络安全规划AP防盗安装AP时安装防盗锁即可。AP零配置传统的FATAP组网模式要求在AP上配置大量的业务参数，同时需要在AP本地保存这些业务配置信息，一旦设备丢失，AP的业务配置信息就可能被泄漏，形成网络的安全漏洞。FITAP在设备上不保存业务配置，而是每次启动的时候从无线控制器动态加载业务配置，这样可以有效避免设备丢失造成配置泄漏。WIDS/WIPS及时发现WLAN网络中受到的攻击，可以启动非法攻击检测功能，对FLOOD攻击，WEAKIV、SPOOF攻击等进行检测，及时发现网络的不安全因素，通过添加攻击者到动态黑名单和发送告警信息到AC及时通知管理员。32VLAN规划VLAN概述VLAN（VIRTUALLOCALAREANETWORK）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接互通，从而将广播报文限制在一个VLAN内。基于校园网内拥有比较多不同的业务类型，并且不同类型网络使用者也有很大差别，因此进行VLAN的合理规划将可以帮助建设一个稳定运作的教学合一的网络。按功能划分VLAN在校园网络中，可以按功能将VLAN划分为以下几种管理VLAN网络中的交换机需要划分管理VLAN，在管理VLAN中配置IP地址，以便日常维护。管理VLAN要与用户VLAN严格区分。用户VLAN用户VLAN指为终端接入用户划分的VLAN，针对校园网中不同区域，VLAN划分方法不同。在学校的宿舍区，建议为每个接入用户划分一个VLAN，实现严格的端口隔离。由于宿舍用户较多，同时为了便于后续扩容，建议使用QINQVLAN的技术，即在接入层交换机上为每端口划分一个VLAN,汇聚层交换机添加外层VLAN，核心层交换机透传到ME60，由ME60终结两层VLAN。QINQVLAN可以实现用户的二层隔离，所有的用户数据都会经过BRASME60，方便校园网的统一接入和管理。在学校的科研教学区，建议为每一科研项目或每一院系划分一个VLAN，以满足VLAN内用户的直接互访需求。如果科研项目或院系内部也有访问控制的需求，建议使用MUXVLAN技术，实现VLAN内部用户部分互通，部分隔离。VOICEVLANVOICEVLAN是为用户的语音数据流划分的VLAN，用户通过创建VOICEVLAN并将连接语音设备的端口加入VOICEVLAN，可以使语音数据集中在VOICEVLAN中进行传输，便于对语音流进行有针对性的QOS配置，提高语音流量的传输优先级，保证通话质量。GUESTVLAN网络中用户在通过8021X等认证之前接入设备会把该端口加入到一个特定的VLAN（即GUESTVLAN），用户访问该VLAN内的资源不需要认证，只能访问有限的网络资源。用户从处于GUESTVLAN的服务器上可以获取8021X客户端软件，升级客户端或执行其他应用升级程序（例如防病毒软件、操作系统补丁程序等）。认证成功后，端口离开GUESTVLAN加入用户VLAN，用户可以访问其特定的网络资源。MULTICASTVLANMULTICASTVLAN即组播VLAN，组播交换机运行组播协议时需要组播VLAN来承载组播流。组播VLAN主要是用来解决当客户端处于不同VLAN中时，上行的组播路由器必须在每个用户VLAN复制一份组播流到接入组播交换机的问题。VLAN规划原则VLAN划分的基本原则如下要严格区分业务VLAN和管理VLAN。按照不同的管理区域划分VLAN,不仅方便隔离用户，也方便日常维护。同一区域也要按照不同的业务类型来划分VLAN,比如按照不同的接入方式来划分VLAN。VLAN需连续分配，以保证VLAN资源合理利用。预留一定数目VLAN方便后续扩展