大学网络整体设计方案

1、BBB 大学网络整体设计方案H3C2010年3月 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document H3c简介及在教育行业应用 5 HYPERLINK l bookmark6 o Current Document H3c公司简介5 HYPERLINK l bookmark8 o Current Document H3C在教育行业6 HYPERLINK l bookmark10 o Current Document H3c教育行业典型案例 9 HYPERLINK l bookmark12 o Current Document 清华大学图

2、书馆 9 HYPERLINK l bookmark14 o Current Document 西安电子科技大学 10 HYPERLINK l bookmark16 o Current Document 中南大学 11 HYPERLINK l bookmark18 o Current Document 香港大学 11n无线网 11 HYPERLINK l bookmark20 o Current Document 系统概述13 HYPERLINK l bookmark22 o Current Document 设计依据13 HYPERLINK l bookmark24 o Current Doc

3、ument 系统需求14 HYPERLINK l bookmark26 o Current Document 系统设计原则及总体思路 15 HYPERLINK l bookmark28 o Current Document 设计原则15 HYPERLINK l bookmark30 o Current Document 设计思路17校本部网络改造详细设计 20 HYPERLINK l bookmark35 o Current Document 本部校园网网络改造设计 20本部校园网出口改造设计 20 HYPERLINK l bookmark37 o Current Document 现状分析及

4、改造目标 20 HYPERLINK l bookmark41 o Current Document 详细设计21 HYPERLINK l bookmark45 o Current Document YYY校区信息网络设计 22 HYPERLINK l bookmark47 o Current Document 校园信息网络总体设计 22 HYPERLINK l bookmark49 o Current Document 技术需求 22 HYPERLINK l bookmark51 o Current Document 架构规划 24 HYPERLINK l bookmark53 o Curre

5、nt Document 高可用园区规划 25 HYPERLINK l bookmark55 o Current Document IPv6 园区规划 26 HYPERLINK l bookmark57 o Current Document 网络拓扑总体设计 26 HYPERLINK l bookmark61 o Current Document 核心层设计 27 HYPERLINK l bookmark63 o Current Document 网络方案说明 27 HYPERLINK l bookmark65 o Current Document 安全规划 27 HYPERLINK l boo

6、kmark67 o Current Document 设备间连接方式 28 HYPERLINK l bookmark69 o Current Document 设备选型 28 HYPERLINK l bookmark71 o Current Document 汇聚层设计 31 HYPERLINK l bookmark73 o Current Document 网络方案说明 32 HYPERLINK l bookmark75 o Current Document 安全规划 32 HYPERLINK l bookmark77 o Current Document 设备间连接方式 32 HYPERL

7、INK l bookmark79 o Current Document 设备选型 33 HYPERLINK l bookmark81 o Current Document 接入层设计 36 HYPERLINK l bookmark83 o Current Document 网络方案说明 37 HYPERLINK l bookmark85 o Current Document 安全规划 39 HYPERLINK l bookmark87 o Current Document 设备间连接方式 39 HYPERLINK l bookmark89 o Current Document 设备选型 39

8、HYPERLINK l bookmark91 o Current Document 数据中心区设计 42 HYPERLINK l bookmark93 o Current Document 网络方案说明 42 HYPERLINK l bookmark95 o Current Document 安全规划 43 HYPERLINK l bookmark97 o Current Document 设备选型 43 HYPERLINK l bookmark99 o Current Document 各个学院局域网设计 43 HYPERLINK l bookmark101 o Current Docume

9、nt 设计目标 43 HYPERLINK l bookmark103 o Current Document 实现方式 43 HYPERLINK l bookmark107 o Current Document 端点准入和 MPLS吉合 44 HYPERLINK l bookmark113 o Current Document IRF2虚拟交换架构设计 47 HYPERLINK l bookmark115 o Current Document 网络设备虚拟交换构架介绍 47 HYPERLINK l bookmark117 o Current Document H3C IRF2 技术优点 48 H

10、YPERLINK l bookmark123 o Current Document 出口流量动态调度设计 49 HYPERLINK l bookmark127 o Current Document 有线无线一体化网络设计 50 HYPERLINK l bookmark129 o Current Document 设计目标 50802.11N 覆盖解决方案 51部署方案 51方案特点 51无线方案工程勘测 55无线安全 57供电问题 57认证方式及认证点选择 58设备选型 58校园网整体安全设计 63设备内置安全特性： 64部署方案 64方案特点 66基层网络安全 66网络层安全解决方案 67I

11、PV6安全解决方案 68用户端点准入防御解决方案 70方案说明 70部署建议 73安全管理中心 73方案需求分析 73方案部署 73YYY 校区数据传输专网设计 75数据传输专网网络需求 75技术需求 76技术选型 76网络详细设计 76架构规划 76网络拓扑设计 77MPLS VPNBt 术78网络安全 79设备选择 81实现方式 81校园网络统一管理中心设计 82数字化校园管理综述 82集成化管理平台 82系统安全管理 84资源管理 85拓扑管理 86故障（告警/事件）管理 88告警深度关联分析与统计 89性能管理 93设备管理组件 96针对用户身份权限和计费运营管理设计 97校园网用户认

12、证管理需求分析 97校园网用户管理认证方案 98业务认证、授权管理描述 98认证方式的比较 101CAMS 对用户上网认证的管理 102无线业务管理 114用户行为监管设计 115需求分析 115方案实现和部署 115网络流量分析管理设计 116需求分析 116方案实现和部署 117IPV6 管理设计 120IP 地址及路由规划 122IPv4网络规划 122IPv6网络规划 124组播与 QOS 规划 127时钟同步规划 130方案优势总结 130H3C 简介及在教育行业应用H3C 公司简介杭州华三通信技术有限公司 （简称 H3C ） ， 致力于 IP 技术与产品的研究、 开发、 生产、销售

13、及服务。 2009 年， H3C 合同销售额同比 2008 年增长 27% 。在国内 34 省市和海外多个国家或地区设有分支机构。目前公司有员工5000 余人，其中研发人员占 55 。2009 年全年情况：中国市场：2009 年 Q3 以太网交换机端口数市场份额40.9% ，排名第一（ IDC,2009 ） ；2009 年 Q3 企业级路由器（高中低端）台数市场份额40.1% ，排名第一（ IDC,2009 ） ；截至 2009 年底， WLAN 产品 （AP ） 出货量 60 万台， 连续两年国内市场第一；截至 2009 年底， EAD 终端准入控制解决方案累计部署超过100 万终端，规模最

14、大的应用系统超过12 万终端；IP 智能监控成为平安工程第一品牌，截至09 年底承建超过 160 个平安城市。H3C 服务产品销售较去年同期增长30% 。H3C 每年将销售额的 15以上用于研发投入，在中国的北京、杭州、深圳以及印度的班加罗尔设有研发机构，在北京和杭州设有产品鉴定测试中心。目前， H3C 已申请专利超过 1600 件，其中85 是发明专利，年专利申请数在中国通信企业中位居前三。H3C 已参与中国通信标准化协会及IETF, SMTA, SPC, PCISG, Wi-Fi, USB, SNIA, VVCI 等国际标准组织。为构建以业务应用为中心的动态IT 架构， H3C 提出了 I

15、ToIP 理念。 基于 IP 技术标准提供统一 IT 基础架构,具备“标准、融合、开放、增值”特征，基于IToIP 构建网络、安全、存储、 多媒体四大产品线，实现了从网络设备供应商到 IToIP 整体解决方案供应商的战略跨越，确立了牢固的市场领先地位。目前， H3C 在中国的交换机和企业级路由器市场市场份额排名第一，网络安全设备市场份额排名第二，其中 IPS 产品市场排名第一， IP 存储市场份额第一， IP 监控技术全球领先，已成为中国平安城市第一品牌。根植中国， H3C 始终以“为客户创造价值”作为公司发展的源动力，不断细分客户需求，面向行业、 商业（中小企业） 、运营商三大客户类型分别提

16、供量身定制的整体解决方案。服务于 70% 以上的中央部委、 90% 以上的“ 211 ”高校、四大银行、全球最繁忙的机场之一首都机场、 自然环境最为恶劣的青藏铁路、 国家最高艺术殿堂国家大剧院、 单体建筑面积最大的奥运项目国际会议中心及电信、网通、广电等运营商市场。服务全球，通过与 3Com 、 NEC 等公司合作拓展国际市场，目前 H3C 的产品和解决方案已经覆盖全球90 多个国家和地区。赢得包括香港地铁、香港大学、香港中文大学，日本社保厅、多个市级政府网络，俄罗斯国防部、 联邦警察局、法国欧尚集团在内的众多国际客户。H3C 的愿景：成为全球IP 领域的领导者。H3C 的使命：以客户需求为核

17、心，通过不断的组织变革与管理改进，提供让客户满意的产品和服务，保护客户投资，持续为客户创造最大价值。H3C 在教育行业承载教育 承载未来近年来， 我国教育信息化建设呈现如火如荼的发展态势， 国家投入教育信息化总体市场规模每年已经达到 300 多亿元人民币，而且未来还将保持持续增长的态势。作为专注于基于 IP 技术的网络设备与应用的研究、开发、生产、销售及服务，为全球用户提供全系列 IP 网络产品和全业务解决方案的专业 IT 厂商， H3C 长期致力于中国教育信息化建设，倾注了极大的精力。在国家“科教兴国”战略指引下， H3C 凭借专业的技术实力和业务积累，积极参与中国教育信息化建设，不断创造新

18、的业绩。H3C 基于 IP 技术标准提供统一IT 基础架构，具备“标准、融合、开放、增值”特征，基于 IToIP 构建网络、 安全、 存储、 多媒体四大产品线， 确立了牢固的市场领先地位。 目前，H3C 在中国的交换机和企业级路由器市场市场份额排名第一，网络安全设备 IPS 产品市场排名第一， IP 存储市场份额第一， IP 监控技术全球领先，已成为中国平安城市第一品牌。携手教育 共同发展教育信息化是一项庞大、 复杂的系统工程，不同区域、不同类型的校园发展不均衡，并同时存在大量对特定区域、 特定校园类型的个性化需求， 因此具有与其它行业截然不同的信息化特点。教育信息化一直是H3C 公司的关注重

19、点。 针对教育行业的个性化需求， H3C 推出了 IPv6校园网解决方案、教育城域网解决方案、网络实验室解决方案、一体化无线校园解决方案、平安校园解决方案、 IToIP 数字化图书馆解决方案等一系列解决方案。目前我们的产品已经成功应用到 90以上的211 高校，承建了超过80的新建教育城域网和120 多个大学城 /城域网/校校通，以及超过10000 余个中小学校园网。H3C 产品在教育行业的被广泛应用：全系列万兆核心交换机销售超过2750 余台；接入以太网交换机市场保有量超过30 万余台， 为教育行业用户提供超过800 万个信息点； 高端路由器教育教育行业市场累计销售超过500 余台， 中低端

20、路由器 2300 余台； 防火墙、 IPS等产品在教育行业累计销售超过1000 余台； IX 系列存储产品在教育市场销售超过 90 台套，容量 1300T ；语音视讯产品累计销售 1700 端口，用于高校校园网及普教城域网的建设。H3C 坚持面向教育的研发与产品技术：针对教育行业成立专门的研发队伍，超过 340 名研发人员针对教育行业的特点进行相关的产品研发和解决方案的验证工作；开发满足校园网安全需求的 E 系列教育专用以太网交换机；开发具备完善运营管理特点的认证计费系统；开发适合于校园网大规模部属的 FIT无线解决方案； 开发在线防护的高性能IPS 设备； 提供基于分布式转发的 IPv6/v

21、4 双栈核心交换机；开发适合教学特点的网络实验室解决方案；开发满足教学科研需求的开放路由器、认证计费平台。H3C 积极开展校企合作与服务： 150 多所高校开展了网络学院合作，建设了超过160多家网络学院；与北航、西安交大、复旦等高校联合建设超过60 家网络实验室；培训认证教师近 500 名，通过网络学院累计培养在校学生1.5 万名；在职业院校建设有170 多家华三网络实训基地，累计培养职业院校网络专业人才3 万余名；开发面向本科院校、职业学校的系列网络技术培训教材； 在覆盖全国的技术服务队伍中， 有专门面向全国教育行业客户专业的技术服务团队。全国超过300 家专门为教育行业服务的代理商队伍。

22、 其中具有二级集成资质的合作伙伴超过60 家。面向教育 面向未来H3C 通过近十年的教育信息化工作，和各层面老师的不断交流与探讨，深刻认识到只有为校园信息化工作贡献更多的价值，才能够和这个行业紧密结合共同发展。 H3C 在教育行业将“创造校园 IT 新价值”作为自己的使命。解决方案创造校园 IT 新价值： H3C 多年在教育信息化中的实践经验，深刻理解学校的需求与发展趋势， 至今为止， 已经为广大院校提供数十个以上的细化解决方案， 并将其创新性的系统化为采用一个平台、三个中心架构。这就是H3C IToIP 数字化校园解决方案。此外， H3C 基于标准开放的 IP 架构，整合校园网络技术、多媒体

23、通信技术、存储技术、管理技术，将用户网络建设成本、运营维护成本降至最低。合作开放创造校园 IT 新价值： H3C 提供更多的 IT 系统开放能力， 在教育行业寻求更多的开发合作伙伴， 共同为学校作出定制化的、 与校园上层业务紧密结合的合作方案， 形成多方共赢的价值链。优化服务创造校园 IT 新价值： H3C 依靠专业服务品牌 H3Care ，为广泛的行业用户提供专业、快捷、规范的服务，在全国建立了 30 个区域服务中心和区域备件系统，技术服务体系的专职人员规模超过300 人； 对于教育行业， H3C 结合行业特点， 优化服务内容，使用户得到更有针对性的保障与服务。社会责任创造校园 IT 新价值

24、： H3C 为高校用户提供优质解决方案与服务的前提是强烈的社会责任与使命感。 H3C 清楚的认识到，只有为广大院校提供高质、环保的产品才能为学校提供持续的优质服务。聆听客户需求，关注技术发展，才能提供高质量的产品及解决方案。未来， H3C 在服务教育行业用户的过程中， 将通过持续的管理变革和技术创新， 发展符合教育行业用户需求的技术，推动中国教育信息化向更高层次发展。XXX 省市场的应用：H3C 作为中国教育行业的主导性解决方案供应商， H3C 承建了大量教育骨干网、 高校校园网、网络实验室、数字化图书馆等高校信息化建设项目，在XXX 省教育行业本科院校主要的应用如下：网络产品（网络产品中国市

25、场第一） ：H3C 公司服务于 XXX 省大部分高校， 并在 XXX 的近 20 多所本科院校及军队本科院校得到了大规模的应用， 2005 年-2008 年先后有 BBB 大学、 XXX 师范大学、 XXX 理工大学、XXX 医学院、 XXX 民族大学、 XXX 农业大学、 XXX 省中医学院、 XXX 财经大学等大多所本科院校在新校区项目中全网使用了 H3C 的网络产品。 网络产品已成为 XXX 省教育行业第一品牌。安全产品（安全中国市场第二） ：H3C 服务于 XXX 医学院信息安全建设， 且目前 BBB 大学图书馆、 XXX 民族大学、 BBB大学思源图书馆、 XXX 省图书馆、 XXX

26、 中医学院、 XXX 图书馆文化共享工程项目等多所本科院校都使用了 H3C 公司的网络安全设备。存储产品（ IP 存储亚太市场第一） ：H3C 作为 IP 存储的领导者， 为用户提供了标准化、 高性能、 跨地域的全方位解决方案，目前 H3C 的 IP 存储产品服务于XXX 理工大学信息中心、 XXX 市图书馆存储系统、 XXX 省图书馆存储系统、 XXX 理工大学津桥学院存储系统、 XXX 省警官学院图书馆存储系统、曲靖师范学院存储系统、 XXX 财经商贸学院存储系统、楚雄师范学院存储系统、曲靖民族中 学存储系统、 BBB 大学附中存储系统、 XXX 烟草机械学校存储系统等多种应用环境中都实

27、现了稳定的运行。多媒体产品（监控成为平安城市第一品牌）：H3c在2006年进入监控产品领域，2007年就成为了平安城市工程第一品牌。 H3c的 多媒体产品应用于 XXX理工大学监控系统、 XXX理工大学津桥学院监控系统 、XXX中医 学院监控系统、XXX爱因森职业技术学院监控系统监控系统H3C教育行业典型案例清华大学图书馆无线同络服务器接入案例分析:清华大学图书馆系统由校图书馆及人文、 经管、法律、建筑、美术和医学等六个专业图 书馆组成，建筑总面积约 41600平方米，阅览座位2500余席。图书馆建有面向全国提供 服务的国内高校最大的镜像服务基地，拥有各种服务器100多台。H3C针对清华大学图

28、书馆提供了先进的、高性能的核心交换平台，核心交换机采用S9508E-V高端交换机，功能及性能都处于领先。并支持 IRF2 （第二代智能弹性架构）技 术，将多台高端设备虚拟化为一台逻辑设备， 在可靠性、分布性和易管理性方面具有强大的 优势，消除了单点故障，实现多条上行链路的负载分担和互为备份，及简化网络拓扑管理。服务器交换机自带万兆接口扩展，核心到汇聚采用万兆连接，大大提升了网络性能。在无线建设方面采用大容量高性能 WX5004无线控制器，单控制器处理能力达到 8Gbps ,可管 理AP数量达到256个，实现了有线无线的一体化。整网采用IMC智能管理中心进行全网设备的统一管理。改造完成后的图书馆

29、网络支持IPv6和万兆介入，到桌面为千兆端口，无线网覆盖全馆,一站式”检索，电子图书馆数字资源集成管理系统实现了对馆内各类资源快捷方便的 资源远程访问系统使读者在任何时间、任何地点均可方便地访问电子资源。西安电子科技大学新校区接入案例分析：西安电子科技大学是教育部直属的国家“211工程”的重点高校，是一所以电子信息科学为核心，涵盖理工、管理和人文等学科的，有着光荣革命传统的综合大学。现有教职工5000余人，学生30000余人，教学用校区两个， 即老校区和新校区。 老校区坐落在西安市 高新区东，占地900亩。新校区位于西安市长安区郭杜镇，占地3000亩，两校区相距13.5公里。西安电子科技大学的

30、新校区网络建设采用了华三公司的网络设备，并且在高端交换机中融合安全插卡。由防火墙插卡实现嵌入网络的安全功能、实现各个内网安全区域间隔离，即拥有了准万兆的防火墙性能，后续的扩展应用安全策略到新增的业务区域又无需添置单独的 安全设备。西电新校区校园网建设涉及到新老校区建设的长远规划和建设，其宗旨是将校园网建设为具有高数字化、人文化、个性化、高品质的学习、工作和生活环境，并将学校信息化建设 提升到国内领先水平。 其目标是建设一个初步稳定安全可靠的网络，实现新老校区高速互联互通，整个系统全部支持IPv6 ,易于扩充、便于管理、方便用户接入，符合网络技术的发展趋势。中南大学案例分析:中南大学为教育部直属

31、的全国重点大学，是首批进入国家“211工程”的高校，也是国家“ 985工程”部省重点共建的高水平大学，学校有着近 5万名在校师生。在网络建设 方面，中南大学是湖南省高校CERNET网的唯一出口，同时该校拥有电信、网通互联网出口达10个之多。中南大学利用H3c行为监管解决方案，在校园网出口部署高性能应用控制网关SecPath ACG8800 ，实现了对10个互联网出口应用流量的精细化识别和控制，有效解决了之前的带宽滥用问题；其次，中南大学通过流量分析功能，实时查看P2P/IM、网络游戏等各种非关键上网业务的流量趋势与分布，从而对网络使用情况了然于胸。同时，ACG8800通过和认证服务器 CAMS

32、进行联动，解决了原动态IP地址无法满足学校“要求监管必须落实到具体用户”的需求，实现了基于用户名的应用流量监管，为“定位到用户”提供了坚 实的技术支撑。解决了对充斥校园网的各种复杂的非关键业务流量（尤其是各种迅雷、BT、eMule等为代表的P2P流量）的监管问题，满足近 5万名师生的互联网访问需求，通过合理带宽策 略设置，保证正常教学、办公业务带宽。香港大学11n无线网RadiusServerOHCPServer岫nmg白EMt Server案例分析：香港大学历史悠久，校园信息化建设也一直是处于业界领先水平。但因建设起步较早， 且经过多次扩容建设，已有的无线校园网络速度较慢，且众多厂商设备各自

33、为政，这不仅不利于对设备和用户的统一管理，更无法实现师生高速访问网络、无缝漫游的需求。因此，香港大学计划全面升级原校园无线网络至802.11n网络，打造统一管理、全校无缝漫游、高速的无线校园网。H3c有针对性地提出了基于 802.11n标准的有线无线一体化无线校园解决方案，方案 中采用了 WX6103、WX5002、WA2620E等一系列高品质无线产品，搭建了一套覆盖全校、高达300M接入速率的无线网络。通过 iMC智能管理中心搭建的统一网络管理平台，整个 无线网络与有线网络融为一体，方便了用户对整个网络的配置管理，同时升级后的无线校园网还可方便地与其他应用集成，为各种业务的开展打下了良好基础

34、，还可支持IPv4/IPv6双协议栈，有效降低了无线校园网的总体拥有成本（ TCO）。除此之外，该一体化无线校园网 方案更采取了无线控制器1 + 1冗余备份的方式，主备倒换仅需 100ms ,大大提高了香港大学无线校园网的可靠性。通过采用H3C提供的有线无线一体化校园网络解决方案，香港大学实现了校园整网全 面升级，构建出统一管理、全校无缝漫游的高品质 802.11n无线网络，并与有线网络互为一 体，为全校师生提供了更为便捷的网络服务。此次无线网络升级部署超过上千只802.11nAP,是亚洲迄今为止最大的 802.11n无线校园网，再次体现出H3C在WLAN领域旗舰厂商的地位。系统概述BBB 大

35、学是我省唯一一所“211工程大学，”是我省高等教育的领头羊、 排头兵。 随着 BBB大学 YYY 新校区的建设， 学校逐步将把教学、 办公、学生宿舍等搬迁至YYY 新校区，洋浦校区将移交给XXX 学院。为了保障YYY 新校区能够如期满足 YYY 校区搬迁老生迁入、新生接待、实现正常办公和教学，需要在学校整体搬迁之前实现YYY 新校区的网络覆盖，新老校区网络的连通，及老校区网络的升级改造工作。BBB 大学 YYY 校区位于 XXX 市 YYY 新城， 校区总建设规模约为 100 万平方米， 分二期建设，第一期建设投资17 亿元。按照规划目标， BBB 大学 YYY 校区建成后，将成为强调历史文化

36、厚重感和传承感的 “人文校园” ， 体现充分利用自然地形、 因地制宜规划建设的 “山水校园 ”以及适应现代化需要的信息化、网络化、功能化的“数字化校园” 。数字化校园是以 IP 通信平台为基础，实现环境（特别是重点、敏感区域的视频监控） 、资源（网络资源、存储资源、计算资源） 、到活动（网络的开放架构对定制业务的支持）的全部数字化。 H3C 的 ITOIP 解决方案，以 IP 技术为标准技术，利用 SOA 开放架构实现对整体 IT 平台的统一集成支撑。根据国家及教育部“十一五”规划的总体目标与要求，高校信息化“十一五”规划的基本内容如下：完善校园网络基础设施建设，实现随时随地的上网，整体校园网

37、络高速畅通、安全可信、 稳定可靠；完善校园数据共享基础平台的建设，包括全校统一的信息资源库、统一的电子身份认证系统的建设； 完善和创新网络教学服务平台， 创建和创新网络学术研究创新环境， 完善电子校务系统与校园网络文化建设， 实现科研成果产业化， 提高高校对区域行业的高科技辐射作用。应该说，在“十一五”高校信息化发展战略中，信息技术将成为校园的一项核心生产力，成为校园教学科研各项核心业务的最有力的支撑点。设计依据为了保证系统的既能适应当今网络技术的发展， 又具有极高的可靠性， 本方案设计遵从以下标准：设计采用的主要法规和标准高等学校管理信息标准 ；智能建筑设计标准 GB/T 50314-200

38、0 ；建筑与建设群综合布线系统工程设计规划 GB/T 50312-2007商业建筑通信基础结构管理规范 EIA TIA 606商业建筑通信接地要求EIA TIA607信息系统通用布线标准EN 50173信息系统布线安装标准EN 50174中华人民共和国公共安全行业标准GA 308 2001YD-T 5160-2007JGJ/T16-92DBJ08-47-95GB/T50312-2000GB50174-93GB2887-89GB9361-88GB6650-86SJ/T30003GB50054-95GB50714-93GB2887-89GA/T72-92GA/T75-92GA/T70-92GA10

39、208.1-89GB50169-92中华人民共和国公共安全行业标准中华人民共和国公共安全行业标准中华人民共和国公共安全行业标准中华人民共和国公共安全行业标准建设工程勘察设计管理条例国家强制性标准条文系统需求BBB 大学本次整体建设将整合本部校区和 YYY 校区的信息化资源，实现整个BBB 大学网络的信息融合， 使校园内的各部门网络互联、 满足各种应用业务、 搭建一个资源共享传输平台。 本次网络规划对可靠性、 稳定性及安全性都提出了更高的要求， 网络设计要充分考虑先进性、成熟性、可靠性、安全性、扩展性；可控、可管、可运营。、 校本部网络升级改造BBB 大学校本部网络经过多年建设， 目前以三台思科

40、 C6509 作为核心环网， 接入了 30余栋的楼宇，接入交换机以百兆接入为主，而且接入层特性已经不能满足目前层出不穷的ARP 攻击、 DHCP 攻击等各类安全威胁， 不能满足 IPv6 网管特性，因此建议本部接入层设备应改造为以千兆接入为主， 并且支持 802.1x 认证和 IPv6 网管特性， 彻底解决网络接入安全， ，相应的汇聚设备也需要升级，需要满足大规模信息点汇聚流量转发，支持万兆上行扩展，满足未来5 年的教学和办公应用；对于校本部的出口部分，未来整个BBB 大学的 CERNET 、 CERNET2 出口（包括校本部和 YYY 校区）都在校本部；另外校本部和YYY 校区分别有100M

41、 和 500M 的电信出口，需要做到两个出口的负载分担， 充分利用现有的出口带宽资源。 因此对于校本部的出口部分，需要增加高性能出口路由器和万兆防火墙，满足高性能的 NAT 转换、多出口的策略选录、多出口互为备份、智能DNS 解析的要求。、 YYY 新校区网络建设YYY 新校区要建设两张大网，一张网是公用信息传输平台的校园信息网，另一张网是对安全性要求高、与INTERNET 隔离的数据传输专网，同时承载一卡通、安防、财务、医保、园区广播、园区智能控制等业务。因此，在设计网络时要充分考虑高带宽、高安全性和服务质量（ QOS ）保证。、 实现两个校区用户的统一身份认证。、 实现两个校区公共区域的

42、802.11n 无线覆盖，作为有线网络的有效补充。总结本次 BBB 大学网络整体的建设需求如下：具备网络结构优化能力校园网的整体架构具备更有效的容灾能力， 以应对故障节点、 故障链路、路由震荡所带来对业务的影响； 校园网需要具备万兆到汇聚的能力、 以及关键业务千兆到桌面的能力；具备网络业务拓展能力校园业务可平滑向下一代网络迁移，向 IPv6 迁移兼容现有校园网环境， IPv6 完全由分布式硬件完成，保护投资；校园业务可以随时随地使用，校园业务可以基于移动漫游环境，移动漫游环境无需管理者手工干预；具备安全渗透防御能力校园网出口具备攻击、 非法业务的隔离、 控制， 具备在线主动抵御的能力； 校园核

43、心网络自身集成安全防御能力， 缩小攻击、 病毒在校园影响范围；用户接入网络屏蔽用户非法操作，隔离网络攻击；利用现有校园网络资源，整合视讯业务，提供丰富的网络办公、教学 IT 服务；利用现有校园网络资源，整合校园监控业务，实现平安校园的统一管理；实现整个校园网络的集中统一智能化管理。系统设计原则及总体思路设计原则按照数字化校园建设理念， BBB 大学将建设统一的校园数据中心（物理地点位于信息专业教学楼校园网络管理中心内） ，实现全部业务系统（财务系统外）统一的、基于 IP 方式的数据存储。BBB 大学校园网应该是高速、可控、相对开放、服务完善、资源丰富、交互特征明显的网络体系。为大容量的教学资源

44、库、课件资源库、 WEB 、 E-MAIL 、 FTP 、 BBS 、视频服务器、 数据库服务器、 各种流媒体和各种应用平台提供有力的支持。 以及用于满足日常教学、管理等工作，如电子校务系统、教学系统、学生管理系统、办公自动化系统、数字图书馆、校园广播、多媒体教学及音视频点播、视频会议及网上直播以及其他信息化业务应用需求。统一性原则。 结合校园的整体建设情况， 对包括建筑智能化在内的数字化校园进行整体规划，应用 “统一平台、统一标准、统一网络” 的总体指导思想进行设计、建设和实施。先进性原则。 采用当今国内、 国际上先进和成熟的计算机软硬件技术， 使信息化系统能够最大限度地适应今后技术发展变化

45、和业务发展变化的需要实用性原则。总体规划要把满足未来几年实际应用需求、 逐步实现数字校园作为第一要素进行考虑。可扩充、可维护性原则。根据发展的要求，信息化规划必须具有一定的扩展能力，留有升级的余地，对此将采用结构化、开放的、易于扩展的体系结构， 保证可扩充性，适应持续发展需要。可靠性原则。信息化系统对采用的技术、产品等要求其具有很高的可靠性。安全性原则。对于一个大型的计算机网络系统， 安全性对于保证系统长期不间断的稳定运行尤其重要。经济性原则。 规划首先应在减少重复建设、 避免资源浪费的前提下进行； 在满足应用需求的目标下，尽量选用性能价格比优的设备。资源数字化原则： 资源数字化的程度反映了各

46、个系统的应用水平， 也代表了校园综合信息平台的建设程度。 在数字化校园中， 已有的非数字化资源需要数字化， 新的 资源经过数字化加入数据平台中， 因此需要建立起长期的数字资源集成的体制和机制。信息标准化原则： 在数字化校园的建设中应遵循一定的标准， 特别是公共信息的标准。 各部门在建设信息管理系统时， 只有遵循统一的信息标准， 才能使不同部门建设的应用系统之间数据相互流通共享。此外， BBB 大学数字化校园建设应遵循“总体规划、分步实施、立足现状、适度超前”的总体设计原则， 采取标准化、 统一数据库、 面向全局的综合应用方式， 以即 “统一数据库，统一标准， 统一开发平台， 统一用户管理， 统

47、一门户”及 “集中设备、集中管理、 集中应用”的指导思想进行规划、设计及实施。并应紧密结合BBB 大学教学特色，将教学、实践和应用有机整合。数字化校园建设是本校建设的重要部分，是一项基础性、长期性和经常性的工作，其建设水平是本校整体办学水平、学校形象和地位的重要标志。数字化校园以网络和环境建设作为基础。提供先进、 快速、 畅通的网络和计算机环境，需要保证未来5-10 年信息化建设的不断稳定发展。数字化校园以教学和实训应用为目标。逐步实现学习、教学、实训、管理等各种业务应用的数字化，创建高度信息化的校园教育环境。数字化校园以信息资源建设作为核心。以丰富的信息资源保证活力和发展。字化校园以管理体制

48、作为保证，建设并不断完善信息化管理的各种规章制度及人才培养。设计思路1、校本部的网络升级改造的大原则是不改变原有的星型网络结构，仅做设备的更新换 代。2、而YYY校区新校区项目，是一个网络规模大，其应用和复杂度也很高的园区网络 项目。对一个大型园区来说， 通常会包括很多不同的部门或用户群组在同时使用网络，网络上承载着各种不同的复杂教学应用。分离学生上网、院系办公、教学管理、外部科研院所业务，分布在不同大楼里的办公室需要能够共享资源，同时对 Internet出口、邮件、公告等共 享服务进行集中控制管理。对于有业务和应用隔离需求的用户来说，传统的物理网络隔离方案已无法满足需求：网络重复建设、分散管

49、理、 安全策略难部署、无法提供统一的应用服务等，都大大增加了用户 在网络投资、建设和运维、管理方面的负担。物理隔商传统业务与承载关系图网络的安全复用问题， 校园各个院系，各个业务之间有隔离需求， 需要对物理网络 进行安全的复用。动态授权问题，各个信息接入点要求能够根据接入者的身份进行动态的资源授权， 实现动态资源分配。资源共享问题，大型的数字园区建设要求数据大集中，以数据中心方式对各个院系、师生、公众提高服务，需要解决资源的共享问题。由上可见校园网网络的需求日益复杂，传统网络面临很多问题无法解决。因此对于YYY新校区本方案将采用虚拟化设计，在同一张物理承载网上，逻辑划分不 同业务系统，界定其隔

50、离与共享的关系；建立统一的的数据中心，实现业务的数据整合管 理；利用网络平台对多业务的区分，实现不同业务端到端的、不同优先等级的处理。建立 统一的数字化校园支撑平台管控中心；实现对设备、用户、业务、安全等多系统的集成化、 关联化管理；实现集中管理，智能化管理，从而降低综合拥有成本；增加管理系统的开放 性，以实现管理系统对数字化校园上层应用的无缝集成。因此虚拟化解决方案可以有效的解决网络资源的安全复用，解决校园中各个院系、师生的安全隔离。如下图所示:设备的蝴化若的蝴化，道道的虚执化物理费源虚拟化设计示意图虚拟化数字校园网整体解决方案中，集中解决了下面三个重要问题：1）网络接入控制：确保接入用户的

51、合法性和安全性，并能够控制用户的访问权限；可以通过部署端点准入控制系统，整合孤立的单点防御系统，加强对用户的集中管理，统一实施校园安全策略，提高网络终端的主动抵抗能力。未通过认证的用户，被禁止接入网 络资源；通过认证而未通过安全健康检查的用户，被限制只能访问“隔离区”资源，在这里升级病毒库、打补丁、卸载非法软件等。通过安全认证的用户，由统一的策略管理服务器根据用户的身份授权其访问相应的网络资源，并进行实时的安全状态监测。PE:VLAN对囱7PWvlani 1VPN1VLAN22VPN 2VLAN33VPN 3VLAN4 4VPN 4用户名：密码下发WLAN用户名1:空码VLAN11用户名2：密

52、码VLAN22用户名3:密码VLAN33用户名4：空码VLAN44访问权限动态下发其中VPN表示校园业务，将用户属于某个组，对这个组进行VPN访问的授权，也就是将特定的资源授权给特定的用户。这样，无论用户从网络何处接入， 都要进行安全性检查和认证，认证通过后由策略服务器统一下发配置使用户获得同样的网络资源访问权限，大大 提高了网络接入的安全性和灵活性。业务逻辑隔离：确保用户群组获得正确的资源和网络流量的安全隔离；对校园网内共用一个物理网络传输各种应用数据的横向逻辑隔离需求， 业界提供了三个 非常适合于典型园区网络设计的解决方案：VLANVLAN 是一种二层逻辑用户分组技术， 已广泛应用并为各厂

53、商设备所支持， 这种方案配 置灵活、简单、易用性好。但由于其扩展性差、收敛速度慢、故障定位和管理复杂等缺点， 使之只适用与非常小型的分支网络或网络边缘的接入层。VRF-VRFVRF-VRF 方案利用了设备的虚拟路由转发功能，来进行园区内部用户的逻辑分组。配置接口与 VRF 的对应关系建立端到端的数据隔离通道，支持三层路由、不必担心与其他封闭组的地址重叠、支持多点用户接入。但这种方案在增加用户或业务时需要手工调整配置、用户和终端的可移动性差，适用于业务、网络都相对非常固定的中小型网络。MPLS VPN从业务隔离的灵活性、配置/ 管理复杂度、扩展性、组网对设备的要求等多方面对比，MPLS L3VP

54、N 技术最适合应用在大、中型园区内进行业务逻辑隔离。MPLS L3VPN 原是广泛应用于服务提供商VPN 解决方案中基于PE 的技术，它使用BGP 在服务提供商骨干网上发布VPN 路由，使用 MPLS 在服务提供商骨干网上转发 VPN报文。 MPLS L3VPN 组网方式灵活、可扩展性好，并能够方便地支持MPLS QoS 和 MPLSTE ，因此得到越来越多的应用。在 BBB 大学 YYY 新区园区中，我们使用交换机搭建这样一个MPLS VPN 网络，承载所有业务的传输数据，并进行安全隔离。接入用户通过网络边缘的 CE/MCE 设备接入，认证通过后集中策略服务器根据认证用户名下发策略把用户端口

55、加入到相应的 VLAN 中，通过 VLAN 接口与 VPN 的绑定关系，把用户加入到相应的 VPN 中去；服务器端根据应用和访问用户的不同， 也把数据分配到相应的 VPN 中传输， 并且 PE 设备会为每个VPN 建立独立的转发表项，各VPN 进行独立的数据转发，这样就为用户到服务器提供了一种端到端业务传输通道， 把不同用户、 不同应用的数据横向隔离开来， 保证数据传输的私密性和安全性。统一应用：能够为各群组提供正确的服务，并进行集中的管理和策略控制。传统物理隔离网络造成的一个后果， 必然导致安全策略分别部署、 管理复杂度增加、 应 用服务器需要重复部署且数据同步困难， 本方案中各种虚拟化技术

56、的综合应用， 有效解决了 以上难题。在校园虚拟化解决方案中， 我们为用户提供集中的数据中心服务、 统一的 Internet/ 广域网出口、统一的网络监控/管理软件，提高资源的利用率、降低管理复杂度：校园内所有用户共享统一的 Internet/ 广域网接口，通过虚拟防火墙、 NAT 多实例等部署方案，为不同群组的用户和业务提供灵活的安全策略服务;集中的数据中心，通过计算虚拟化、存储虚拟化、虚拟安全等技术，屏蔽底层硬件服务器、存储设备间的差异，根据业务使用分配资源；统一的网络管理、监控软件，通过专门的管理VPN,实现对整网资源的配置管理和对各种业务流量的监控、规划。3、总体规划目标根据以上分析，B

57、BB大学数字化校园规划目标为：建立一个弹性的、可控的、面向教学与科研等多业务的支撑平台，保障校园数字化业 务的高可用性与服务质量，满足至少五年校园信息化的可持续发展支撑。校本部网络改造详细设计本部校园网网络改造设计校本部目前共有科学馆 304、文渊楼715、北院计算中心3间核心机房，核心机房之间 均有光缆直接连接，可划分为科学馆片区网络、文渊楼片区网络和北院片区网络。各个片区网络中，建议将接入交换机改造为千兆接入交换机H3C S5120-24P-EI ,无需升级即可实现基于硬件的IPv4和IPv6的全线速转发，同时支持IPv6的ACL和网管，实现IPv4到IPv6的平滑升级；安全特性上支持对试

58、图接入网络的用户进行802.1x认证。可以在交换机上对 802.1x客户端的版本和有效性进行验证，防止未经认证的用户登录网络；支 持Secure Shell V2 (SSH V2 )特性可以提供安全的信息保障和强大的认证功能，以保护以 太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。汇聚层可将 S5516、C3550改造为H3C S5500-28F-EI ,提供24个千兆SFP端口的 同时，支持4端口万兆的扩展，可实现未来万兆骨干网络的平滑升级。S5500-28F-EI同样无需升级即可实现基于硬件的 IPv4和IPv6的全线速转发，支持 DHCP Snooping ,防止欺 骗的DHCP

59、服务器。本部校园网出口改造设计现状分析及改造目标BBB大学校本部现有网络拓扑：请根据学校实际情况画出拓扑图目前出口现状及问题分析如下：1、无边界路由器，校本部科学馆CISCO6509还承担了校园网出口路由器的功能，科学馆CISCO6509核心交换机负载过大，影响了校园网骨干网络的稳定；2、出口流量整形和行为审计校园网出口没有流量整形控制和行为审计系统， 对于出现滥用网络带宽的情况和存在的安全隐患无法控制，在出现安全事件时无法追查到个人。因此本次出口改造的目标如下：1、校园网边界路由器，改善和提高出口性能，满足到 CERNET （带宽将升至1G）和公众网（目前有中国电信100M ）多广域出口的路

60、由策略要求。 CERNET2 （ IPv6 节点）仍使用 CISCO12404 做单一出口。2、增加一台高性能防火墙，从而提高出口的安全性、可靠性和出口带宽。3、增加流量分析和整形设备，掌握网络带宽真正使用情况，保障关键业务的带宽，使出口带宽资源合理有效分配，提高出口带宽的有效利用。4、增加出口流量控制和上网行为（内容）审计系统，实现实时高速的对网络上传输的数据流进行采集、分析、审计、备份和还原，并进行实时阻断、报警和安全联动，防止内部网络敏感信息的泄漏以及非法信息的传播。详细设计、出口部署2 台 H3C 开放多核路由器 SR6616 ，互为线路和路由备份， SR6616 采用多核多线程处理器