智慧校园网公共部分设计

第一节方案概述和选择建议 2一、智简园区解决方案 2二、云管理园区解决方案 3三、方案选择建议 3第二节智简园区方案（方案选择一） 4一、方案组件简介 4二、网络设计 6三、网络管理设计 53四、网络安全设计 149五、认证系统设计 159六、上网行为管理与审计 166七、推荐设备型号 167第三节云管理园区方案（方案选择二） 168一、基础网络设计 169二、网络管理设计 170三、网络安全设计 180四、认证系统设计 181五、上网行为管理设计 182六、规格清单 183七、推荐设备型号 185第四节智慧校园网的方案特点总结 186一、高可靠无阻塞网络 186二、全场景无线覆盖 186三、用户认证精准灵活 186四、高级别安全防护 187五、统一便捷管理 187第一节方案概述和选择建议普教的网络建设大多由市/区/县的教育管理机构（教育局、教委等）牵头对区域内各中小学进行整体网络规划和部署。普教更强调区域范围内网络服务均等性和教育资源的共享能力，因此对于普教网络的集中管理和网络可服务性有更高的要求。XX公司针对普教行业网络建设提供两种解决方案，分别为智简园区解决方案和云管理园区解决方案。一、智简园区解决方案1.管理平面部署在本地的园区网络综合解决方案，除基础的网络接入和管理功能外，还提供融合接入，敏捷运维，安全协防等高级功能2.提供基于SDN的虚拟交换网络，对网络资源池化，支持一网多用，大幅降低多业务环境下的网络建设和部署成本3.适用场景为教育局/教委/大数据中心等自建网络，拥有独立教育城域网专线，中小学学校出口统一由教育局/教委/大数据中心为出口访问Internet。二、云管理园区解决方案1.利用云计算技术，管理平面部署在XX公有云或自建私有云，通过友好的界面远程实现网络规划、部署和运维，让网络管理化繁为简2.云管理平台具有独特的开放性，可对接丰富的教育行业信息化应用，为智慧校园提供快速上线、灵活部署的网络环境。3.适用场景为教育局/教委/大数据中心等统一建设网络，无独立教育城域网专线，中小学学校分别有独立出口访问Internet，业务，策略相对简单场景。三、方案选择建议（一）智简园区方案功能齐全，产品成熟，适合用户规模较大，业务环境复杂的场景，教育局/教委/大数据中心等自建网络，拥有独立教育城域网专线，（二）云管理园区方案适合规模不大，业务简单，成本诉求比较高的场景，在普教行业中作为敏捷园区方案的补充，无独立教育城域网专线，中小学学校分别有独立出口访问Internet，业务，策略相对简单场景，云管理园区方案当前版本为V1R19C10，适合以下场景：1.无需拓扑管理2.框式防火墙，NE路由器3.无IPv64.WLAN用户仅需站点内漫游，无全网漫游需求5.单站点AP数量不超过128台6.所支持的产品型号及版本在《云管理园区解决方案规格清单》范围内第二节智简园区方案（方案选择一）一、方案组件简介1.网络层组件智简园区方案的网络层部件主要包括交换机、路由器、防火墙、无线接入控制器（随板AC）、无线接入点，iMaster-NCE控制器（1）交换机用于完成二三层网络的数据报文交换。S系列交换机是XX公司面向园区网推出的新一代智能交换机，覆盖核心、汇聚和接入功能，充分满足园区灵活组网的需求。（2）路由器该网元在园区作为网络出口设备主要提供WAN侧的路由转发能力。XX公司针对园区场景推出的路由器有AR系列企业路由器和NE系列高端路由器。（3）防火墙防火墙应用于普教园区的网络边界。主要功能包括访问控制和入侵防御。XX公司针对园区场景推出的USG系列防火墙集多种安全能力于一身，提供多功能一体化安全防护。（4）线接入控制器（随板AC）无线接入控制器WAC主要功能负责AP和无线业务的管理。为了简化AP的管理，无线业务的配置和管理统一由无线接入控制器负责。（5）无线接入点无线接入点AP为无线终端提供网络接入功能，是连接无线网络和有线网络的桥梁。根据无线网络架构的不同，无线接入点又分为胖AP和瘦AP。胖AP不仅可以提供无线信号供无线终端接入，还能独立完成无线业务的配置和管理功能。瘦AP除了提供无线终端接入外，基本不具备管控功能，无线业务的管控由无线接入控制器负责。2.管理层组件（1）iMaster-NCEiMaster-NCE作为智简园区的控制器，是网络的自动化引擎。支持网络业务管理、网络安全管理、用户准入管理、网络监控、网络质量分析、网络应用分析、告警和报表等特性，提供大数据分析的能力，同时提供开放的接口、支持与其他平台集成。企业用户可以通过iMaster-NCE在多租户网络中独立开展业务开通配置、日常运维等工作，实现规模设备的云化管理。同时iMaster–NCE可以实现通过SNMP方式的设备监控。对于网络中存在框式设备或者不支持被控制器纳管的设备，也可以采用iMaster-NCESNMP的网管进行监控和管理。IMaster-NCE同步提供Underlay/Overlay网络自动化部署功能，配置自动化模板，自动下发配置，设备即插即用同时iMaster–NCE同样可以作为认证和策略服务器，配合控制器实现接入管控的自动化，提供AAA认证服务和业务随行策略iMaster-NCE继承网规工具，网规工具是网络自动化的一部分，主要功能是在无线AP的规划，支持室内、室外AP网络规划，包括现场环境规划、AP布放、网络信号仿真和生成网规报告等功能。（2）可选:CampusInsight（可选）CampusInsight网络智能分析平台，是网络的智能分析引擎，为用户网络提供智能运维服务。CampusInsight颠覆传统聚焦资源状态的监控方式，将人工智能应用于运维领域，基于已有的运维数据（设备性能指标、终端日志等数据），通过大数据、人工智能算法及更多高级分析技术，将网络中的用户体验数字化，辅助客户及时发现网络问题，改善用户体验。二、网络设计（一）教育城域网总体架构当前，教育城域网构建了教育局、学校的二级教育信息网络平台，是承载教育信息资源共享及教育信息管理等功能的区域网络核心骨干平台。教育城域网的典型组网拓扑如下：教育城域网物理架构1.从中小学园区网络的角度看，教育城域网总体网络架构包括骨干网络部分和校园园区网络两个部分。如下图所示：教育城域网逻辑架构第一部分为教育城域网骨干网，用以提供教育网/互联网出口及相关单位的网络流量传输，实现教育主管机构以及各学校之间的互联互通，统一互联网访问出口管理以及部署教育云平台，实现教育资源的汇集和共享，教育管理信息的集中管理。第二部分为普教园区网，又叫校园网，主要指的是校内的园区网络基础设施，根据功能划分为出口区、核心层、汇聚层、接入层、网络管理等几个部分。（1）校园出口区既负责对校园网用户的统一接入，也负责将内部的终端用户接入到教育城域网、将外部用户接入到校园网。出口除了要保证校园内外的数据传输，还需要保证边界安全。（2）网络管理区对接入用户进行认证，对网络设备、服务器等进行管理的区域。包括告警管理、性能管理、故障管理、配置管理、安全管理等。（3）核心层核心层负责整个园区网的高速互联，一般不部署具体的业务。核心网络需要实现带宽的高利用率和网络故障的快速收敛。（4）汇聚层汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。（5）接入层负责将各种终端接入到校园网络，通常由以太网交换机组成，提供网线接入能力。在无线校园建设中，接入层还包括提供无线网络的AP设备，由于需要接入的终端类型众多，甚至包含各种类型的物联传感设备，因此，AP应具备Wi-Fi，Zigbee，蓝牙等无线接入能力。（6）终端应用层包含校园网内的各种终端设备，例如PC、笔记本电脑、打印机、传真、手机、摄像头、读卡器、各类物联传感器等等。方案组件和简介网络层组件管理层组件2.教育城域网物理网络设计教育城域网在保障网络连通的同时，还需要重点考虑网络的可靠性，包括链路及网络架构设计、网络自愈能力、网络容量、响应时间、网络扩展性、技术先进性、性价比等等，基于以上考虑，XX育城域网总体网络架构划分为三个层次：核心层、汇聚层和接入层，如下图所示：网络拓扑说明：（1）互联网区：内部网络到外部网络的边界，用于实现内部用户接入到外网，外部用户接入到内部网络，边界部署2台防火墙新增沙箱等安全设备，XXX和XXX分别为两个出口，保障出口的高可靠性。（2）运维管理区：增加统一网管，对全网设备进行统一管理，并开启分权分域，各学校管理员管理自己的设备；新增SDN控制器，对全网做统一认证及业务随行，用户分组，网络资源按照策略分配，不论用户是在不同地点接入还是使用有线或无线网络接入，享受相同的网络资源配置，带来业务随身的优质网络使用体验。（3）核心交换区：XXXX和XXXX为核心节点，保障核心节点的高可靠性，避免单点故障，XXXX作为全区所有教育资源应用核心节点；（4）汇聚区XXXX+XXX+XXX+XXX（教育局）组成环网，其他5个街道办上联至XX，承载XX所校区的所有接入流量，完成数据汇聚交换的功能，保障未来业务发展的需要。（5）学校接入区：各学校部署高性能万兆框式核心交换机设备，支持SDN新技术。设备通过万兆单模光纤上行就近接入汇聚区，下联学校接入交换机，为有线无线用户传输数据。3.基于VxLAN的城域网SDN方案设计（1）SDN业务范围此项目SDN业务范围针对学校教职工有线办公业务网、视频监控业务网。如果后续有新业务需要创建虚拟专网，考虑再纳入到SDN业务范围。（2）SDN部署方案为保证城域网的可靠性、网络扩展性，采用SDN（软件定义网络）技术构建教育城域网，通过在核心交换机接入SDN控制器方式实现部署。将网络控制平台集中，实现网络集中管控，策略以用户为中心进行管理，满足学校师生的用户终端无论在何地、采用哪种接入方式都能拥有相同的网络访问策略和访问权限，网络接入策略能够通过SDN控制器统一配置下发，对学校的用户终端进行统一的认证管理。通过SDN控制器对校园网VXLAN业务实现自动化部署。针对此业务场景需求，基于Vxlan技术构建Overlay网络，实现跨三层网络的二层互通，网络架构如下：SDN逻辑架构图SDN控制器：实现网络的认证、授权与业务策略管理的核心，与网络设备联动完成用户认证和策略下发。基于VxLAN构建Overlay网络：城域网核心、汇聚交换机和学校核心交换机之间基于VxLAN技术构建overlay网络，实现跨三层网络的二层互通。校园网汇聚和接入层设备采用不同的VLAN进行接入位置的标识，通过TRUNK的方式上行到校园网核心层，校园网核心层完成VLAN到VxLAN的映射，不同学校的核心层交换机网关之间建立VxLAN隧道，保证用户相同体验，实现跨校区之间的业务随行。通过构建虚拟化专网，网络建设成本大大降低；通过虚拟化专网，各专网业务实现安全逻辑隔离，安全性高；通过虚拟化专网实现多租户专网，后续企业专网可灵活扩展。（3）Underlay网络规划设计Underlay网络介绍虚拟化园区方案使用VXLAN技术采用MACinUDP的封装方式在传统的IP网络上虚拟出一层逻辑网络。Underlay网络即为支撑上层逻辑网络的传统IP网络。Underlay网络对上层逻辑网络的支撑主要可分为以下两个方面：①为逻辑网络提供路由可达的Underlay网络，使经过VXLAN封装后的业务报文在VXLAN节点之间互通。构建Underlay网络的路由互通可以采用OSPF，ISIS等IP单播路由协议。由于在园区网络中主要使用OSPF路由实现IP网络互通，且OSPF路由技术比较成熟，网络建设维护人员使用经验丰富，因此Underlay网络的路由互通推荐使用OSPF路由协议。采用控制器实现Underlay网络路由域自动编排时仅支持OSPF路由协议。②在虚拟化园区方案中VXLAN网络使用BGPEVPN技术实现控制面功能，因此需要在VXLAN隧道端点的VTEP设备上运行BGP路由协议。OSPF路由规划设计Underlay网络运行OSPF路由为VXLAN构建的虚拟网络提供报文封装后的Underlay网络互通功能。因此，OSPF路由在Underlay网络的部署范围为Border设备和Edge设备，实现Border设备同Edge设备以及Edge设备间的路由互通。在虚拟化园区方案中Underlay网络的OSPF路由配置通过控制器自动完成。租户管理员通过开启Underlay路由自动编排功能并在Underlay网络资源中提前规划好互通的IP网段，控制器自动完成OSPF路由的编排并下发到Border和Edge设备，实现Underlay网络的路由互通部署。Underlay网络路由编排时会同时将设备上规划的BGP协议的源接口（如Loopback0接口）的网段引入Underlay网络OSPF区域，完成BGP协议源接口间的互通。教育城域网OSPF路由规划教育城域网配置为OSPFArea0。城域网骨干节与街道办汇聚和学校的核心交换机配置为一个OSPFArea中。BGP路由规划设计虚拟化园区方案使用VXLAN技术完成虚拟网络的构建，在该方案中VXLAN隧道节点的VTEP设备（Border设备、Edge设备）同时运行BGP路由协议，使用BGPEVPN技术实现VXLAN网络控制面的功能，包括VXLAN隧道动态建立，ARP/ND表项传递、路由信息传递等。部署BGP路由协议时，假设在一个园区内部有n台VTEP设备，那么建立的IBGP连接数就为n(n-1)/2。当设备数目很多时，设备配置将十分复杂，而且配置后网络资源和CPU资源的消耗都很大。在IBGP对等体间可以使用路由反射器解决以上问题，推荐将Border设备设置为路由反射器。在虚拟化园区方案中BGP路由的部署通过控制器自动完成，创建Fabric网络时选定设备的角色，并选择是否为路由反射器就可以在Fabric网络创建时完成BGP路由协议的部署。Underlay网络的BGP路由协议规划此项目BGP路由的编排只关注Border和Edge设备，在学校Edge和城域网出口Border之间通过Loopback口建立IBGP邻居关系。两个Border作为RR反射器；网络中Border和所有的Edge设备作为VTEP，通过EVPN同步信息，自动建立VxLAN隧道，完成VxLANFabric的构建。（4）Fabric网络规划设计①Fabric网络规划Fabric网络双出口方案设计图如下：Fabric网络双出口方案整体方案：A.整体采用SDN解决方案，通过控制器实现一网多用、自动化业务发放、业务随行等功能。B.由于本项目网络规模较大，出口核心位置较高，建议采用VxLAN分布式网关，校园核心交换机同时做VxLAN二层和三层网关，校园内的流量本地转发，效率更高，且避免集中式网关ARP表项瓶颈的问题，部署灵活，网络可扩展性强。C.区委核心、XX大厦核心作为Fabric的双border；D.每个学校的核心交换机默认作为Fabric的edge；E.xx、xx中学等节点作为VxLAN的透传节点；F.如果校园网络接入设备满足城域网SDN技术要求，可以作为Fabric的扩展接入点实现校园内二层网络的自动化配置下发。①Fabric接入规划在虚拟化园区方案中，Edge设备作为VXLAN隧道的端点设备，负责将用户流量接入Fabric网络。Fabric接入设备的类型如图，可以分为Fabric扩展交换机、Fabric扩展AP和终端。Edge设备下挂设备连接类型分为：Fabric扩展AP、Fabric扩展接入交换机和终端（PC、话机、哑终端、非Fabric扩展接入交换机/AP）。A.Fabric扩展AP场景（随板AC）：AP为瘦AP模式，用户网关设备作为WAC设备，对AP进行管理。B.Fabric扩展AP场景（独立AC）：AP为瘦AP模式，旁挂独立AC，对AP进行管理，AC与Edge之间二层互通。C.Fabric扩展接入交换机场景：设备可被控制器纳管。通过控制器自动部署该设备同Edge设备的策略联动功能，实现网络接入策略执行点从汇聚设备下移至接入设备，减轻汇聚设备的负担。当连接的为非Fabric扩展接入交换机的交换设备时，需自行保证通过该交换设备同用户相连时二层互通。D.终端（PC、话机、哑终端、非Fabric扩展接入交换机/AP）场景：直接在Edge设备上进行认证，并接入Fabric网络。Fabric接入组网图在Fabric接入设备规划时，依据不同的园区网络不同的网络架构部署时可以根据表进行相应的部署。a.教职工有线办公业务网场景完全由控制器进行自动化编排，控制器选择端口接入的终端类型以及所属的子网，配置自动化下发到校园二层网络。由于校园的接入和汇聚不支持SDN技术的设备，无法自动化配置下发，需要人工配置，而且有线办公网有IP地址溯源和业务随行的诉求，存在授权VLAN的情况，因此校园汇聚设备需要以Untag的方式透传业务VLAN，校园Edge设备接口配置前域PVIDVLAN，通过授权VLAN的方式实现有线办公PC接入业务网络。由于校园的接入和汇聚不支持SDN技术的设备，无法自动化配置下发，需要人工配置，而且哑终端没有业务随行的诉求，不存在授权VLAN的情况，因此校园汇聚设备需要以Tag的方式透传哑终端业务VLAN，校园Edge设备接口配置以Tag方式加入哑终端业务VLAN实现哑终端接入业务网络。b.视频监控业务网场景完全由控制器进行自动化编排，控制器选择端口接入的终端类型为摄像头以及摄像头所属的VLAN，配置自动化下发到校园二层网络。由于校园的接入和汇聚不支持SDN技术的设备，无法自动化配置下发，需要人工配置，而且摄像头没有业务随行的诉求，不存在授权VLAN的情况，因此校园汇聚设备需要以Tag的方式透传摄像头业务VLAN，校园Edge设备接口配置以Tag方式加入摄像头业务VLAN实现接入视频监控业务网络。（5）网络服务资源规划①VLAN/BD规划在该方案中BD与VLAN的对应关系为1:1，对应一个VLAN，BD会在规划的BD资源池中顺序生成一个BD，因此对BD的具体规划不需要关注，只需关注VLAN的规划即可。BD资源池范围的规划应满足用户VLAN数目的需要。VLAN规划设计建议遵循如下原则：A.按照不同业务区域划分不同的VLAN。B.同一业务区域按照具体的业务类型（如Web、APP、DB等）划分不同的VLAN。C.VLAN编号建议连续分配，以保证VLAN资源合理利用。D.建议预留一定数目VLAN以方便后续扩展。VLAN的分类通常有业务VLAN、管理VLAN和互联VLAN，设计建议如下表所示：②IP地址规划IP地址的规划建议遵循如下原则：A.唯一性：一个IP网络中不能有两个主机采用相同的IP地址。即使使用MPLS（MultiprotocolLabelSwitching，多协议标记交换）或VPN（VirtualPrivateNetwork，虚拟专用网）隔离，也建议不同VPNInstance（VRF）下不要使用相同的IP地址。B.连续性：同一业务的节点地址要连续，便于路由规划和汇总。连续的地址便于路由聚合，可以减小路由表的大小，加快路由计算和收敛速率。比如，汇聚交换机下接入的网段可能有很多，在规划的时候需要考虑路由聚合，这样可以减少核心网络的路由数。C.扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时无须新增地址段及路由条目。D.易维护：设备地址段、各业务地址段清晰区分，易于后续基于地址段实施统计监控、安全防护等策略。好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大致判断出该地址所属的设备。IP地址的规划可以与VLAN的规划对应起来。例如，IP地址的第三个字节与VLAN编号的后三位保持一致，这样可以便于管理员记忆和管理。园区内部的IP地址建议使用私网IP地址，在边缘网络通过NAT转换成公网地址后接入公网。园区网中的DMZ区或Internet互联区有少量设备使用公网IP。园区网的IP地址主要分为管理IP地址、互联IP地址和业务IP地址，如下表所示。③DHCP规划大中型园区需要规划独立的DHCPServer，DHCP的规划建议如下：A.建议整个园区规划一个DHCPServer来简化运维；建议在接入层设备配置DHCPSnooping，能够保证客户端从合法的DHCPServer获取IP地址，避免被非法攻击B.IP地址分配提供两种分配机制，网络管理员可以根据网络需求为不同的主机选择不同的分配策略：动态分配机制：为指定主机分配动态IP地址。适用于主机需要临时接入或者IP地址不足的场景，例如企业办事处的出差员工便携机、咖啡厅的移动终端。静态分配机制：为指定主机分配固定的IP地址。适用于对IP地址有特殊要求的主机，例如打印机等哑终端地址、DNSServer的地址，需要固定的IP地址。根据客户端在线时间合理规划租期，大中型园区场景中的办公区在线时间长，需要规划较长的租期。大中型园区DHCP服务器和园区主机不在同一个网段，需要网关开启DHCP中继功能。IP地址溯源，新一代网络核心服务自动化开通平台能自动、有效地管理访问网络的IP/MAC资源，实时提供更新数据，控制未授权IP/MAC地址访问网络，从而提高内部网络的安全性。（6）虚拟网络规划虚拟网络的划分：在虚拟化园区网络方案中，每个虚拟网络为一个VPN实例，一个虚拟网络中可以包含多个子网，同一虚拟网络内的用户之间默认是可以互通，虚拟网络之间的用户默认是路由隔离的。虚拟网络的规划可以依据以下原则：①独立的业务部门作为一个虚拟网络。同一业务部门内用户身份的差异导致的隔离要求不要通过虚拟网络实现，可以通过基于用户角色划分的安全组的组间策略来管控。②虚拟网络中子网的规划在虚拟网络中，Edge节点是业务数据从物理网络进入虚拟网络的边界点，根据用户所属的VLAN进入虚拟网络的不同子网。因此在设计网络时，需要先规划好物理网络的VLAN和虚拟网络子网的映射关系，同时配置有线用户和无线用户的VLAN。有线用户报文根据VLAN直接入VXLAN虚拟网络，无线用户报文经过CAPWAP隧道转发至WAC（WAC可是Edge或Border节点），WAC解封装CAPWAP报文后，再根据无线用户所属的VLAN进入对应的VXLAN网络。由于虚拟网络子网的接入一般会依赖用户认证技术，因此推荐将相同类型的终端加入同一子网。虚拟网络子网的VLAN接入的方式两种：静态VLAN和动态VLAN。虚拟业务网划分本项目当前划分有线办公虚拟网和视频监控虚拟网，后续也可以根据业务需要添加和创建新的虚拟网。（7）虚拟网络互访规划本次项目学校视频监控虚拟网络和有线办公虚拟网络默认隔离。后续如有新增的虚拟网络和有线办公虚拟网络互访诉求，也可以编排虚拟网络的互访策略。实现虚拟网络的互访主要有两种方式，在Fabric网络内互访和通过防火墙设备进行互访。建议编排在Fabric网络内部互访。虚拟网络之间在Fabric网络内互访的流量示意图如图1。在Fabric网络内实现的虚拟网络互访需要在设备上配置不同VN之间的路由引入，可通过逻辑网络中VN互访的配置实现。虚拟网络之间在Fabric网络内互访的流量示意图（8）IP规划设计方案①IP地址规划方案有线办公网PC接入采用自动获取固定IP地址方式，结合DHCP服务器实现。无线wifi建议采用动态获取IP地址的方式，保留现有方式不变。打印机、电子班牌、电子白板等哑终端设备建议采用静态IP地址方式。视频监控建议采用静态IP地址方式。②IP地址溯源有线办公业务网固定IP地址获取方式有线办公业务网络终端需要固定IP做溯源，通过集中式Radius和DHCP服务器实现。•教职工的办公电脑首次接入网络，在DHCP服务器临时地址池拿地址，不做地址绑定；•Portal认证成功后，Radius根据用户账号授权业务VLAN；•教职工的办公电脑在业务VLAN对应的DHCP服务器地址池拿地址，DHCP服务器做IP绑定，后续该IP只能给该教职工的办公电脑使用；•教职工的办公电脑后续再接入网络直接Mac无感知授权到业务VLAN拿固定地址访问网络。•无线网络不做固定IP溯源，通过用户账号（手机号、验证码）溯源。DHCP服务器方案设计（第三方厂家功能，如有固定IP要求下使用）DHCP服务器需要具备如下的功能，满足此项目教职工办公网IP地址动态分配和溯源的问题。•中文web界面管理•可视化IP地址集中管理•IP资产数据报表分析•高级DHCPOption参数应用•IPv4、IPv6双栈管理•高性能专业级DHCP服务器为满足教职工访问互联网审计溯源的需要，在开启DHCP的情况下不允许有线办公设备IP地址随意变动，必须IP-MAC一一对应，可以使用IP地址绑定推送功能，系统通过识别设备MAC地址，固定下发与MAC相对应的的IP地址，同时对IP进行实名制信息备注，提高IP地址管理的准确性和规范性。绑定推送功能在效果上与使用静态IP地址相同，同时在变更地址、更换上网设备、更换办公地址等情况下，减少了网络管理员手工输入配置IP地址的工作量。自动化的IP地址管理设备部署完毕后，有线办公设备将摒弃传统的手工设置固定IP地址的方式，全部采用自动获取IP地址的方式；可让管理员有效管理有线办公网，并能实现IP地址的有效分配、追踪、回收、审计以达到对网络可视性管理的目的。动态实名的DHCP分配回收，系统通过IP、MAC、计算机名、操作系统、端口号五元素定位一个终端，随机动态分配时可以对MAC地址进行实名制信息登记，通过MAC地址确定使用人，设备出现问题可以通过IP对设备进行快速定位。功能视图如下：4.城域网出口网络规划设计（1）防火墙安全规划1）安全区域规划安全区域介绍：安全区域（SecurityZone），简称为区域（Zone），是一个或多个接口所连网络的集合，这些网络中的用户具有相同的安全属性。大部分的安全策略都基于安全区域实施。通过安全区域，防火墙上划分出了等级森严、关系明确的网络，防火墙成为连接各个网络的节点。防火墙通过安全区域来划分网络、标识报文流动的“路线”，当报文在不同的安全区域之间流动时，才会触发安全检查，并实施相应的安全策略。安全区域之间默认是隔离的。通常情况下，三个安全区域，分别是Trust、DMZ和Untrust：•Trust区域，该区域内网络的受信任程度高，通常用来定义内部用户所在的网络。•DMZ区域，该区域内网络的受信任程度中等，通常用来定义内部服务器所在的网络。•Untrust区域，该区域代表的是不受信任的网络，通常用来定义Internet等不安全的网络。安全区域规划：一般可以认为园区内网是安全的，安全威胁主要来自外界，所以把Internet划分为Untrust区域，园区内网划分为Trust区域，在园区出口位置部署安全设备来做内外网隔离，抵御外网威胁。数据中心区域一般划分为DMZ区域，在DMZ区域部署防火墙来做园区内网与数据中心各服务器之间的流量隔离。在园区虚拟化方案中，对于用户网关位于Fabric网络内部时，Fabric网络外部网络资源的每一个出口对应防火墙上的一个三层的逻辑接口，在外部网络资源的出口规划时已经根据具有相同安全策略的虚拟网络按照不同的逻辑出口进行划分，因此在本方案中，可以直接根据外部网络资源的接口进行安全区域的划分，每一个逻辑接口绑定一个安全区域。对于用户网关位于Fabric网络外部时，需要根据网关对应的安全策略，将不同网关绑定相应的安全区域。用户网关位于Fabric网络内部时防火墙安全区域的划分示意图2）NAT规划NAT（NetworkAddressTranslation）是一种地址转换技术，支持将报文的源地址进行转换，也支持将报文的目的地址进行转换。对于园区网络内网使用私网地址时，若需要同Internet互通，需配置NAT功能。防火墙做出口设备时，NAT配置有以下规划注意点：若内网为私网IP地址时，用户流量通过防火墙访问互联网时，需要采用源NAT技术将报文的源IP地址转换成公网IP地址。推荐采用NAPT的方式，转换时同时转换地址和端口，实现多个私网地址共用一个或多个公网地址的地址转换方式。适用于公网地址数量少，需要上网的私网用户数量大的场景。若内网服务器资源作为服务器端向公网用户提供服务器端相关服务时，需要采用目的NAT技术将公网用户的访问流量对应的目的IP和端口号转换成服务器端在内网环境的IP地址和端口号，完成服务提供。在防火墙双机热备主备模式下，如果NAT地址池中的地址与FW的上行接口的VRRP备份组地址在同一网段，那么外网返回的回程报文到达PE设备后，PE设备会广播ARP报文请求NAT地址池中地址对应的MAC地址。由于两台FW上有相同的NAT地址池配置，所以两台FW都会将自身上行接口的MAC地址回应给PE设备。因此在这种场景下需在防火墙设备上配置NAT地址池与防火墙双机热备的状态进行绑定，仅让双机热备的主设备应答PE设备的ARP请求。（二）校园网物理网络设计拓扑普教校园网网络物理网络又叫underlay网络，由物理交换机，WLAN，防火墙等网络设备构成的物理基础网络，为虚拟网络提供底层IP互通能力。智慧校园网的物理网络拓扑图如上图所示，在学校机房部署出口区和核心层网络设备，在教学楼部署汇聚层和接入层网络设备，用以接入终端应用层设备。1.出口区设计（学校自身有Internet出口）在智慧校园网出口区部署两台出口防火墙与教育城域网/Internet连接，互为备份有效避免单点设备和单链路故障。出口防火墙用以防御DoS/DDoS攻击、ARP欺骗攻击、TCP报文标志位不合法攻击、LargeICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击。2.核心层设计（学校自身无Internet出口，核心交换机作为连接教育城域网出口）核心区是整个网络的枢纽，连接着网络内的各个区域。承担了内部数据流量和对外数据流量，在逻辑上成为可靠性、安全性设计的中心。核心交换机推荐采用具有高吞吐量性能的核心万兆交换机，满足64Tbps交换容量、19200Mpps包转发率及至少8个业务槽位，满足核心设备3-5年内先进性和可扩展性。为保证可靠性，核心层采用2台相同规格核心交换机连接各个区域，对内完成业务数据的内部交换，对外接入各系统访问，形成万兆无阻塞线速转发骨干网。核心层设备与所有汇聚交换机直连，转发各个教学楼之间的流量。核心层专注于数据转发的稳定可靠，功能配置应尽量简单，并且和校园网的具体业务无关。核心层应使用CSS2（ClusterSwitchSystem）技术，将两台交换机从逻辑上整合成一台交换机，只要保证任意一框的一个主控板运行正常，多框业务即可稳定运行。无线网络的组网采用随板AC的方式，部署在核心交换机上，实现对网络中的AP进行管控，实现有线无线深度融合接入、转发、管理。3.汇聚层设计汇聚层是一幢教学楼的汇聚点，汇聚层的设备用来转发本区域用户到其他区域用户的横向流量，同时发送本区域用户流量到核心层。汇聚层将大量用户接入到校园网中，模块化扩展接入核心层设备的用户数量。汇聚层采用具有高带宽、高端口密度、高转发性能的交换机，用于支撑该汇聚层下各业务部门之间的流量。汇聚层交换机通常使用CSS（ClusterSwitchSystem）技术，将多台交换机从逻辑上整合成一台交换机。然后将汇聚层的CSS系统和核心层的CSS系统之间的多条链路捆绑，用来传输数据。这样既简化了配置和管理，又提高了网络的可靠性和扩展能力。4.接入层设计接入层是最靠近终端用户的网络，为用户提供各种接入方式，一般部署二层交换机。接入层除了需要部署丰富的二层特性外，还需要部署安全、可靠性等相关功能。同时，接入层需要具有高密度、高速率的端口，以支持更多的终端接入校园网络。满足不同接入要求：可能包括：不同类型终端的接入、不同接口速率的接入、对网络质量的不同要求的接入、其他一些要求，如PoE供电等。适度考虑扩展性提供安全特性简化网络部署和管理有线网络的接入层设备是交换机下行链路：一般选择自适应千兆电口，对外提供RJ45形式接口，可以匹配绝大多数接入设备，并预留一定数量的空余端口以便于后续增加新设备。当一个点的接入设备较多时，交换机采用堆叠方式，各交换机相互协同，逻辑上形成一台设备，可在不改变网络拓扑的情况下提供更多的接入端口。接入层交换机堆叠上行链路：由于汇聚层配置两台相同规格交换机，因此接入层上行链路采用链路聚合或者双归上行方式，大大增强了上行链路的可靠性。无线网络的接入层设备是AP上行链路：AP与接入交换机上行对接，一般采用自适应千兆电口，并且接入交换机如支持POE功能，可以直接通过网线为AP供电，简化布线工作。如需增强可靠性，可考虑链路聚合或者双上行方式。5.VLAN规划设计（1）VLAN概述VLAN（VirtualLocalAreaNetwork）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接互通，从而将广播报文限制在一个VLAN内。基于校园网内拥有比较多不同的业务类型，并且不同类型网络使用者也有很大差别，因此进行VLAN的合理规划将可以帮助建设一个稳定运作的教学合一的网络。（2）按功能划分VLAN在校园网络中，可以按功能将VLAN划分为以下几种：1）管理VLAN网络中的交换机需要划分管理VLAN，在管理VLAN中配置IP地址，以便日常维护。管理VLAN要与用户VLAN严格区分。2）业务VLAN业务VLAN指为终端接入用户划分的VLAN，针对校园网中不同区域，VLAN划分方法不同。建议为每一接入交换机划分一个VLAN，并设置端口隔离，实现配置的简化和用户间的隔离。XX公司敏捷校园网采用策略联动的方式对接入交换机进行管理，在校园网中，接入层设备数量众多且位置分布广，若在每个接入层设备上部署NAC认证和用户访问策略，工作量巨大且策略调整不灵活。通过策略联动，核心S12700E作为控制设备对用户进行统一认证和管理用户的访问策略，并联动接入交换机，使其仅执行用户的访问策略，从而既实现了对用户访问网络的控制，又简化了接入设备的配置和管理。VLAN可以根据多种原则组合划分，如以下举例：3）按照逻辑区域划分VLAN范围：例如：−核心网络区：100～199−服务器区：200～999，预留1000～1999−接入网络：2000～3499−业务网络：3500～39994）按照地理区域划分VLAN范围例如：−接入网络A的地理区域使用2000～2199−接入网络B的地理区域使用2200～23995）按照人员结构划分VLAN范围例如：−接入网络A地理区域A部门使用2000～2009−接入网络B地理区域B部门使用2010～20196）按照业务功能划分VLAN范围（当采用业务随行之后，VLAN无需与人员身份关联，故可以不再考虑该因素）例如：−Web服务器区域：200～299−APP服务器区域：300～399−DB服务器区域：400～4996.IP地址规划设计IP地址规划是网络设计中的重要一环，大型网络必须对IP地址进行统一规划。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展和管理，也必将直接影响到网络应用的进一步发展。考虑到网络扩展性，在规划园区IP地址时主要以易管理为主要目标。原则上服务器，特殊终端设备（打卡机、打印服务器、IP视频监控设备等）和生产设备建议采用静态IP。办公用设备建议使用DHCP动态获取，如办公用PC、IP电话等。（1）园区IP地址的的分类如下：1）管理地址：VLANIF地址作为管理IP，建议网关下的所有二层交换机使用同一网段。Loopback地址作为管理IP，Loopback地址掩码统一为32位。堆叠或集群系统建议预留两个管理IP以方便其灵活选择。2）互联地址：互联地址是指两台网络设备相互连接的接口所需要的地址。互联地址务必使用30位掩码的地址。核心设备使用较小的一个地址，互联地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。3）业务地址：业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址，业务地址规划时所有的网关地址统一使用相同的末位数字，如：.254都是表示网关。每一类子业务的地址范围要清晰区分，每一类子业务的服务器和客户端的地址范围也要清晰区分。每一类业务终端地址连续，可聚合。考虑广播域范围及规划的简易程度，建议为每个业务地址段预留掩码为24位的地址段，如果业务终端超出200，再为其顺延一个掩码为24位的地址段。4）园区网内部的IP地址：汇聚交换机下接入的网段可能有很多，在规划的时候需要考虑路由是可以聚合的，这样可以减少核心网络的路由数目。5）业务随行的IP地址：业务随行方案中安全组的规划非常重要。IP地址规划对于静态资源类安全组的配置也存在重要的影响。相同用途接口、主机或服务器的IP地址规划至同一网段中，可以大幅简化安全组的配置。例如，所有网络转发设备接口的互联IP地址虽然通过子网掩码分隔成多了网段（/30、/30等），但是如果在IP地址规划时为设备接口IP地址预留了一个统一的网段（/16），在配置代表网络接口的安全组时就非常方便。（2）网关位置选择：网关作为园区网络二层交换、三层路由的分界点，其部署位置可以根据网络规模和业务需要而灵活设置。1）网关选择在汇聚层：对于经典的三层结构，通用的作法是将网关设置在汇聚层。这样二层广播范围适中，接入的终端数量及对网关设备的ARP/MAC等表项要求也比较合适。2）网关选择在核心层：对于有些场景中希望对园区内的访问行为集中管控，或存在大范围跨设备的VLAN部署（例如无线漫游、虚机迁移、VoiceVLAN、基于用户身份的VLAN分配等业务），会将网关直接部署在核心层。这种场景所有的终端均以核心层设备作为网关，对核心层设备的ARP、MAC、用户数等规格要求较高；同时网关设在核心层，广播域较大，需要采取其他手段来减小广播域，例如端口隔离或为每个端口划分一个VLAN等方式，如果VLAN规格与终端数量有差距，也可能需要部署QinQVLAN。7.IP路由设计路由设计力求结构简单、涉及的协议单一，部署尽量少的策略。（1）园区内部路由协议选择：建议采用汇聚交换机作为路由和交换的分界点，这样只需要在汇聚交换机和核心交换机上配置路由，大量的接入交换机只做二层交换，配置简单，减少配置维护工作量。园区网内选择IGP，IGP可以动态感知网络拓扑变化并及时收敛，而且现在的网络设备性能足够满足IGP运行。所以建议选择动态路由协议。多种IGP中，优先选择OSPF，由于OSPF的多种特性更适合园区特性，对大型、小型网络均能适应，大多数管理员也非常熟悉OSPF，所以推荐在园区内部部署OSPF。除了网络合并的场景，园区网中部署多种路由协议大多是为了在路由域边界处灵活设置Cost值来进行路径选择。建议园区内部署OSPF一种IGP即可。（2）OSPF设计：以当前设备性能及现有成熟案例评估，OSPF可容纳1000台路由器，单区域至少可容纳100台设备。这些规格已经满足当前大部分园区网的要求。以网关部署在汇聚层的场景为例，将核心层和出口区之间的骨干区域部署在Area0中，出口路由器作为ASBR和ABR，核心交换机为ABR。每个汇聚交换机和核心交换机组网部署为不同的OSPF区域，分别是Area1、Area2、AreaN。校园网OSPF路由设计（3）BGP设计校园网出口设备与教育城域网之间运行BGP，仅引入默认路由即可。校园网BGP路由设计1）AS编号的规划：由于教育城域网中都是专有私网，所以BGP使用私有的AS编号。2）两台出口路由器之间运行BGP协议，以Loopback接口地址建立IBGP邻居。保证只要有外网路径可达，无论企业内部设备流量上送到哪台出口设备，都可以正常寻址。3）普教园区网内仅运行IGP协议（通常使用OSPF），不运行BGP协议；由于OSPF的路由表较BGP路由表小很多，两台出口路由器仅通告缺省路由给内部网络（通过IGP通告），不将BGP路由对园区内网设备进行通告。8.QoS规划设计在校园网络中，由于业务类型较多，不同类型业务对网络质量要求不同。某些关键业务，例如多媒体互动教学业务，既需要保证流量带宽要求，也需要保证传输时延要求。在多业务共存的校园网络中需要采用QoS技术对关键业务的网络质量进行差异化保障。针对带宽、时延、抖动、丢包率等要求，QoS可以通过优先级映射、流量监管、流量整形、队列调度、拥塞避免等技术提升网络服务质量，满足用户在有限的资源限制情况下，获得多业务部署的最佳体验。QoS采用Diff-Serv模型，其核心思想是为不同类型的流量提供有差别的服务，主要分为接入层业务识别、核心层DiffServ部署二个方面。QoS规划设计接入层业务识别：接入交换机作为边界交换机，在UNI（UserNetworkInterface）侧需要担负数据流的识别、分类以及流标记的工作，而在NNI（NetworkNodeInterface）侧需要担负不同应用数据流的拥塞管理、拥塞避免、流量整形等工作。在实际部署的时候，接入交换机上不同的端口接入了不同的终端，在接入交换机上可以给这些不同的业务分配不同的优先级，之后，在网络中按设定的优先级进行调度。核心层Diffserv调度：核心层设备端口信任DSCP（或者802.1P），基于接入层标识的QoS参数，通过队列调度、流量整形、拥塞避免等方式实施QoS策略，保证高优先级业务优先获得调度。9.有线无线融合设计（1）传统的园区网络方案中，有线、无线网络都是分开规划、部署和管理的，造成了烟囱式的割裂系统。这种组网方式存在如下问题：1）AC设备不管是独立AC还是AC插卡，都需要另行采购硬件设备2）无线流量存在迂回，无线带宽受到限制3）有线用户和无线用户策略控制点不一致，管理平面相互独立XX公司推出的ENP交换机自带随板AC功能，具有WLAN业务处理功能，也就是说部署一台ENP交换机即可同时具备AC功能，实现有线无线一体化部署和管理。ENP芯片支持商用ASIC的基本有线网络报文识别、处理和转发能力，以及多核CPU的可编程能力，两者功能的结合完美的解决了有线无线设备融合的诉求，不仅可以处理传统的有线报文，而且通过编程可以实现对CAPWAP的识别和处理能力，而且一块ENP的单引擎硬件架构简单，成本低廉。（2）有线无线融合技术使用框式设备的一块板卡，实现了对有线和无线设备、用户的融合管理，相较于传统的交换机加独立AC或交换机加框式AC插卡，具有如下优势：1）节省投资资本2）提升转发容量3）融合管理界面4）用户策略和管理统一5）高可靠性6）扩容灵活单个普教园区的AP数量一般不超过500个，因此有线无线融合设计中建议采用二层网络部署，简化组网，便于运维和管理。有线无线融合方案有线无线融合管理点部署：在核心层部署携带ENP板卡的框式交换机，作为有线无线融合管理点，有线无线业务直接接入ENP板卡。用户DHCPServer部署：由于单个普教园区用户较少，以核心层设备作为DHCPServer，部署简单。可靠性部署：核心层设备使用集群以提高设备间备份。用户管理部署：−无线用户使用802.1x认证，认证点部署在核心层融合管理点上。−有线用户如果对接入安全要求较高则部署802.1x认证，如果要求不高建议使用Portal认证，认证点也部署在核心层融合管理点上。转发模型部署：−无线流量隧道方式集中转发，便于对无线流量的集中控制。−有线流量本地转发，部署方便快捷。10.无线网络可靠性设计为了提高普教城域网中各学校无线网络的整体可靠性，设计采用无线控制器N+1备份方案，实现可靠性提升和建设成本的优化。具体部署方式为，在每个学校的校园网中部署一台主用无线控制器（随板AC），在教育城域网上部署一台无线控制器设备（WAC-backup），与各学校无线控制器形成N+1备份机制。当某个中小学校的无线控制器故障后，由远端的教育城域网上的备用无线控制器接管该学校的AP，保证师生仍能正常访问网络业务不影响正常的教学工作。在主备AC之间开启双链路备份功能后，AP上线时分别与主用AC和备用AC都建立CAPWAP链路。在双链路备份状态下的AP在主用AC上显示为nomal状态，在备用AC上显示为standby状态。当主备AC都正常工作时，AP只在主用AC上工作，所有配置在主用AC上下发，备用AC上不下发任何配置。当由于故障、网络等问题发生导致主用AC不可用时，通过双链路备份机制，AP通过echo探测检测到与主用AC链路中断，此时AP与备用AC的CAPWAPecho报文中携带主链路标记，使备用AC上AP状态由standby状态切换为nomal状态，备用AC即给AP下发配置，减少业务所受影响。当主用AC恢复正常后，AP检查到与主用AC链路恢复，在回切开关开启的情况下，会在较短的内由备用AC切换到主用AC上，业务不受影响，回切开关关闭，则AP不切回主用AC，主用AC上显示为standby状态，在备用AC上显示normal状态。AC备份方案三、网络管理设计在普教园区的网络管理中，XX公司建议当前以iMaster-NCE提供网络管理各项功能。以iMaster-NCE作为普教园区的控制器，提供网络业务管理、网络安全管理、用户准入管理、网络监控、网络质量分析、网络应用分析、告警和报表等特性，提供大数据分析等能力，同时提供开放的接口、支持与其他平台集成。校园网管理员可以通过iMaster-NCE独立开展业务开通配置、日常运维等工作，实现规模设备的云化管理。主要实现如下功能：1.网络设备即插即用：当控制器和待安装设备（如交换机，AP等）之间网络可达时，提前在控制器上录入设备的licens、ESN等信息，并完成预配置，当网络设备上电后设备会自动向控制器发起注册。双方通过证书完成校验后，控制器实现对设备的纳管并将业务数据主动下发到设备，使设备能正常使用。2.网络业务监控：通过控制器界面实现对学校无线网络、防火墙、交换机、出口路由器等设备的设备情况，流量趋势实现监控；对防火墙的运行，−对于无线网络，实现TOP流量设备/SSID/终端等维度的监控；支持对无线网络的设备列表，单设备资源占用情况（CPU、内存），故障告警列表监控−对于防火墙，支持站点，单设备的设备信息，应用流量和应用分类Top流量的监控−对于出口防火墙（AR），支持站点，单设备的设备信息，应用流量和应用分类Top流量的监控−对于交换机，支持站点，单设备的设备信息，应用流量和应用分类Top流量的监控3.支持网络业务维护−支持AP，交换机等设备的批量升级−支持设备的证书管理，包括筛选、查看、导出以及向设备提交新证书等4.提供移动运维APP，支持移动端开局使用的功能，包括扫码录入设备、快速部署、扫码部署、管理SSID部署、扫码替换、现场验收等。5.提供日志管理功能，查看管理员登录安全日志、操作日志及系统运行日志。并支持与第三方日志服务器通过syslog进行对接，向其发送日志信息。对于网络中存在框式设备或者不支持被控制器纳管的设备，可以采用iMaster-NCE进行监控和管理，作为控制器的补充部分，实现通过SNMP方式的设备监控。iMaster-NCE提供如下功能：1.报表管理：iMaster-NCE支持周期执行报表任务、即时查看编辑报表；生成的报表支持导出为PDF、Excel、Word等常见文件格式。iMaster-NCEt预集成了丰富的报表模板，可以满足常见的网络运维报表需求。提供从多个维度对报表数据进行分析的能力，用户可以通过拖拽快速、灵活地对数据进行大数据量的复杂查询处理，并且以一种直观而易懂的形式展现。−OLAP报表支持定制和查看OLAP报表，用户可以根据需要通过调整报表的行列位置、设置条件格式、筛选字段、调整图表展现等方式更直观的查看和分析报表数据，生成的报表支持导出为PDF或Excel或Word格式。−周期任务管理器用户可以通过设定运行周期创建周期报表。在“周期报表”界面用户可以查看所有的周期报表以及状态，同时可以进行周期任务的执行、编辑或删除等操作。在“历史报表”界面，用户可以查看周期任务下的历史报表和生成状态，同时可以进行周期报表的下载、中断或删除等操作。2.角色管理（分权分域）：通过设置角色的“管理对象”和“操作”属性，iMaster-NCE支持分权分域管理，即只允许用户将权限范围内的操作下发到网元。只有Administrators角色下的用户或者拥有“用户管理”权限的用户具备为其他用户分权分域的操作权限。−分域是指将网络中的管理对象分配给不同的角色，使每个角色拥有的管理对象范围不尽相同。通过分域，可以实现不同运维部门的人员管理不同范围内的网络对象。−分权是指将对管理对象的操作分配给不同的角色，使每个角色拥有的操作权限不尽相同。通过分域基础上的分权，可以实现同一区域不同职责（岗位/运维部门）的管理人员，对区域内管理对象可执行的操作权限不同。iMaster-NCE的分权分域管理实现了网络设备和功能的统一管理，基于设备为单位实现分域管理，基于设备上的功能进行分配权限。（一）Underlay网络运维1.概述随着网络规模的不断增长、网络应用的不断推广、业务越来越多样化，大量路由器、交换机、WLAN等被广泛的应用于网络，教育局信息中心及学校IT维护人员面对网络管理和运维中遇到的问题和挑战，需要一套高效、统一的网管进行支撑，遵循ITIL规范，提供融合、开放的运维平台，实现对有线无线网络以及用户的统一管理。厂商网络管理系统NMS需要提供整体运维管理解决方案。可实现服务器、存储、交换机、路由器、WLAN、防火墙、基站、核心网、统一通信、智真、视频监控等设备和虚拟化资源、应用系统的统一管理，为校园网络ICT系统提供自动化部署，可视化故障诊断、智能容量分析等功能，能有效帮助校园网络提高运维效率、降低运维成本，保障ICT系统稳定运行。管理方案设计全网有线、无线网络统一、可视化管理，包括统一拓扑、统一告警、性能、统一报表等基本功能，满足网络的基本运维需求。可分权分域，基于每个学校给予管理权限控制，确保网络的管理分工与安全。分级网络管理，实现运维安全和大规模网络管理的能力。可以实现跨地区上下分层式管理，基于分层管理诉求，聚焦分层网络运维职能，上下分级各司其职，实现统一的拓扑管理、统一的资源管理、分层式的告警管理、全网汇聚Portal、统一的用户认证管理。零配置部署管理，支持拓扑开局和设备标识开局，从网络规划、离线配置文件制作、设备布线上电、网络规划调整、开局以及故障设备替换等，提供了端到端设备运维能力，提高了运维人员效率。WLAN全生命周期的管理，可视规划、三步开通业务、360°监控到基于搜索的一键式故障诊断的WLAN全生命周期管理，帮助用户高效部署和管理无线网络。移动化运维管理，用户可以在移动终端上进行无线网络管理，包括360监控、故障诊断等功能。用户可以通过NMSMobile实现随时随地、掌控网络。网络管理系统基于组件化的设计，功能组件可以按照需求选择，可以满足网络的扩容和升级带来的新的管理需求，保护现网投资。2.需求分析网络管理系统的需求如下：厂商网络管理系统NMS需要提供整体运维管理解决方案。可实现服务器、存储、交换机、路由器、WLAN、防火墙、基站、核心网、统一通信、智真、视频监控等设备和虚拟化资源、应用系统的统一管理，为校园网络ICT系统提供自动化部署，可视化故障诊断、智能容量分析等功能，能有效帮助校园网络提高运维效率、降低运维成本，保障ICT系统稳定运行。可以为不同的管理员设置不同的用户名、密码，并限制管理员的管理权限和管理范围，实现分域、分权管理。可以提供交换机零配置部署，零配置部署是在校园网络现网部署交换机设备，当设备规划完成后，无需网络管理员到安装现场对设备进行软件调试，在设备满足空配置的条件下，设备上电后即可自动连接到指定的管理设备，加载指定的配置文件、设备软件大包、补丁文件等系统文件，实现设备的开局。可以提供设备配置备份、还原、对比能力。可以提供拓扑、告警、性能监控、设备软件升级等基本运维能力。对于网络中的AC、FATAP、FITAP、移动终端等无线设备进行集中管理，同时可获取无线相关信息和配置。可通过物理位置、设备类型等多种视图，将规模巨大的无线接入设备进行有效分组，也可通过网络使用质量进行分组汇聚，如低速用户、高丢包率AP、高掉线率AP等。支持有线设备与无线设备的一体化拓扑管理。用户可按照多种管理层次，创建将有线设备和无线业务融合在一起的多层次拓扑图，并支持建筑平面图形的导入。系统支持AC、AP、Station、空口流量等统计，并可提供多种图形、表格、报表展示。系统支持多种无线特有告警，包括隧道告警、工作模式告警、操作状态告警、信息告警、配置告警、Station状态告警、非法设备及入侵检测告警。能查看其下挂的FITAP设备基本信息和详细列表，对AC设备MAC模式、国家代码等无线业务参数进行配置，提供Radio策略、服务策略、故障管理、性能监控等管理功能。能够查看AP下挂的移动终端信息，对FATAP设备的国家代码、在线移动终端信息、终端时间间隔等无线业务参数进行配置，提供Radio策略、服务策略、故障管理、性能监控等管理功能。能够查看AP下挂的移动终端信息，对FITAP在线状态、AP使用模板、所在AC设备、MAC模式等无线业务参数进行配置，提供Radio策略、服务策略、BSS信息浏览、故障管理、性能监控等管理功能。系统支持批量进行AC软件版本显示、AC设备软件版本升级恢复、AC设备配置文件备份恢复等操作。支持对移动终端的信息进行查看，包括MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AP设备等、所在Radio等等。同时可以查看终端的漫游轨迹及时间。支持统一的Radio策略配置、服务策略配置以及配置批量下发等等。系统支持自定义各信号范围使用颜色，设置信号衰减范围内的颜色，在位置拓扑中显示FITAP的RF覆盖范围。支持通过模板的方式对设备进行批量管理，使用户快速完成网络配置，用户可以将某个策略文件快速下发到其它设备。能查看各移动终端的全部漫游记录，使管理员随时了解最终接入用户的情况，并对其接入轨迹进行审计。能够实时检测和显示非法AP等无线设备，了解其设备信息和位置，并可以设置相关的防范策略。具备无线入侵检测管理功能具备。配置库提供全网设备的配置文件管理，可以提供即时和周期的配置文件备份，支持对已备份的配置文件进行基线化、恢复和比较功能。支持网络运行设备的配置变化检查，一旦配置发生变化，立刻以告警方式通知管理员关注提供运维APP。提供一键式网络状态监测，直观地显示当前网络状态的健康度。支持一键式自动化运维，当网络出现故障时，可直接导出运维问题结论，并作出基本参数的调整对无线网络进行优化。3.部署方案NMS的部署方式一般有两种，集中和分级。可根据项目建设进度选择方案，在AP数量不超过10000台时，可以集中单台部署NMS，当AP数量超过10000台时，集中式的管理模式，已经超出了单系统（单系统最大10000台）的承载管理能力，因此使用分级部署方式更为适合，本次校园网络也采用分级式部署方案。具体方案为，对各个教学办公和宿舍的AP管理进行划分，保障一期1万余个AP被至少2个下级网管管理，下级网管负责管理设备，如零配置开局、配置下发、监控、配置备份等，同时，上级网管负责汇总查看多个下级网管的数据，并可以进行管理员权限分配，但上级网管不具体负责设备的管理。NMS分级网管方案，实现上级网管对下级网管的统一监控和一体化运维。上级网管添加下级网管后，系统自动将下级网管资源同步到上级网管，上级网管本身具备了拓扑、资源、告警等特性能力，从而能够对下级网管资源数据进行汇聚呈现。在上级网管操作界面能直接跳转到下级网管，针对具体的资源对象，跳转到下级网管进行细致化操作。统一的拓扑管理在NMS上级网管拓扑管理视图界面，能够直观的监控到所添加的下级网管的资源状态。在下级网管的子网视图中，选中某个设备执行右键菜单功能，可直接跳转到下级网管，查看设备的详细信息。统一的资源管理NMS上级网管会自动同步所添加下级网管的资源数据，并统一展现在资源管理界面，系统自动同步下级网管数据，当下级网管资源有状态变更时，都能及时反应到上级网管上，实现了对下级网管的统一监控。统一的告警管理上级网管关注关键告警，支持用户定制告警呈现，在上级网管直接对告警进行管清除和确认。全网portal汇聚汇聚全网关键指标，统一监控。统一的用户认证管理上级网管支持用户、角色维护，自动同步下级网管的角色信息，不同下级网管角色重复会自动合并处理，上级网管的安全授权和下级网管保持一致。4.可靠性方案单机版本可靠性方案 NMS有单独的维护工具，能够提供备份策略定制、手工备份和手工恢复的功能，备份内容包括系统运行时的配置文件和数据库数据通过维护工具的备份策略设置，提供定时备份功能。通过手工恢复，将网管恢复到备份前的状态，保证使用网管的安全可靠性。双机版本可靠性方案 NMS高可用系统可提供双机热备和倒换的全新功能。主、备站点服务器的软硬件配置要求完全一致，通过Veritas远程热备份技术，实现主、备站点数据实时同步，并动态监视NMS的运行状态。当主服务器发生硬件故障、操作系统故障、网管关键应用故障或心跳线路故障时，系统会自动倒换到备份服务器。5.日常运维管理分工考虑到园区网络规模和管理人员结构，可设置多个管理员分别管理不同区域，或者有不同的功能管理权限（如部分管理员不能管理无线设备之类），做鉴权控制。网管系统的账户鉴权有3种方案可选：本地认证方式、RADIUS认证、LDAP认证。为实现对网管系统本身的安全控制，可对账户本身、账户登录管理和一系列其他的安全策略，来保证网络管理的安全、有序。因当前已在建立统一用户基础数据交换平台，可复用该数据源资源，与NMS网管系统对接。网管系统支持用户创建、删除、修改功能，通过用户名及其密码唯一确定了相应的网管用户的登录和操作管理权限。其中用户密码使用AES128位算法加密，并存储在数据库中。针对用户安全提供了可配置的安全管理策略，策略设置后对系统所有的帐户生效。包括以下功能：（1）帐号安全策略–设置帐户名最小长度要求。–设置帐户登录失败锁定策略。–设置长期不使用帐户停用策略。（2）密码策略–设置密码最小长度要求。–设置历史密码策略。–设置密码中同一字符出现次数限制。–设置密码中包含特殊字符限制。–设置密码修改最短间隔要求。–设置密码过期强制修改策略。访问控制管理，可以对用户的登录时间、系统访问IP地址范围进行控制。6.日常运维方案资源管理网管对设备的管理，包括提供子网的管理方式，用户可以根据实际设备的物理位置，划分不同的子网对设备进行区域管理。提供自定义分组的管理方式，用户可以将多台设备划入一个分组，以简化后续对这些设备的批量操作。同时针对园区用户提供用户对设备的配置、查询功能，提供用户对设备机框、单板、子卡及端口的查询功能。添加设备添加设备作为网管管理的基础，用户可通过多种方式完成网管添加设备的过程。支持三种方式的设备添加方式：自动发现设备、手工创建单个设备、手工批量导入设备。自动发现设备自动发现支持多种协议和多种发现方式，并且支持设置发现任务并进行对发现任务进行统一管理。具体支持以下四种发现方式。以网段方式发现（简单）：根据指定的SNMP协议信息在指定的IP网段中发现并添加设备；以网段方式发现（复杂）：根据指定的协议（SNMP协议或其他协议）信息在指定的IP网段中发现并添加设备；以ARP方式发现：通过设备ARP表自动搜索可管理的网络设备；以路由方式发现：通过设备路由表自动搜索可管理的网络设备；手工创建单个设备SNMP接入方式：用户可以手动输入设备IP地址，设定设备的SNMP参数，实现将单个设备添加到网管。手工批量导入设备SNMP接入方式：用户可以以文件方式导入设备IP地址、SNMP参数信息，实现批量添加设备功能。支持在线设备和离线设备的添加。设备/子网管理设备/子网管理包括以下功能：查询设备/子网支持设置查询条件查询所关注的设备/子网。创建/修改/删除子网通过创建子网，可以将设备添加到创建的子网进行分类管理。当子网信息变更时，可以修改子网的属性。当网络结构调整，不再需要NMS管理某些子网，可以删除这些子网。查看子网信息支持查看子网的基本信息。查看设备信息支持查看设备的基本信息和协议信息。调整设备所属子网或者子网所属子网当网络结构发生变动时，可以根据实际情况，调整设备/子网，以便正确的体现设备、子网之间的关系。分组管理设备分组基于不同的监控运维场景需要，用户可以使用设备分组管理功能将需要维护监控的设备放入一个分组当中。场景1：路由器设备和交换机设备，都要采集CPU内存信息，路由器作为骨干设备为及时发现设备异常，需要将路由器设备的性能采集周期设置相对交换机短一些，这个时候可以使用预置的路由器和交换机分组，基于分组做监控设置；场景2：某块接入园区网正在做割接，可以根据设备名称（设备命名按照规范命名）建立分组，将该区域设备放入一个分组，在割接的时间段内，屏蔽该区域上报的告警系统预置设备类别分组：如路由器、交换机等；支持按照设备名称、类型、所属子网、厂商、IP地址、类别、备注、资产管理人，自定义设备分组；设备增加完成后能够按照预置和自定义设备分组自动分组；接口分组基于不同的监控运维场景需要，用户可以使用接口分组管理功能将需要维护监控的设备接口放入一个分组当中。场景1：网络中设备接口很多，重点需要关注影响网络运维的接口，可以使用预置的有链路接口分组，只对有链路的接口做流量性能数据采集；场景2：某片网络区域用户大面积反馈上网慢经常掉线，可以针对这个区域网络出接口，接口别名或描述建立接口分组，对这个部分接口做重点的监控，采集数据做针对性分析；系统预置链路接口分组；支持按照设备类型、设备类别、设备分组、设备IP、设备别名、设备名称、设备备注、资产管理人、接口速率、有链路、接口别名、接口名称、接口管理状态、接口IP，自定义接口分组；设备接口同步完成后能够按照预置和自定义接口分组自动分组；设备资源提供用户浏览、查询设备名称、IP地址、类型、软件版本、厂商、同步完成时间、维保时间、投入使用时间、维保到期时间、创建网元时间、时区、资产管理人、资产编号、购买日期、备注、设备所属分组等信息。提供导入、导出设备资源、导入设备信息、设置/恢复网元不管理功能；提供用户批量配置SNMP参数、Telnet参数、NetConf参数等功能，批量同步设备的功能，批量设置时区功能，批量移动设备到子网的功能；提供用户修改和批量修改设备备注、维保字段等信息的功能；提供查询设备实体数据功能；提供定位到拓扑管理查看该设备的功能。机框资源提供用户对设备机框资源的查询、导出功能，及对机框备注进行修改功能。单板资源提供用户对设备单板资源的查询、导出功能，及对单板备注进行修改的功能。子卡资源提供用户对设备子卡资源的查询、导出功能，及对子卡备注进行修改的功能。端口资源提供用户对设备端口资源的查询、导出功能，及对端口备注进行修改的功能。7.零配置部署 零配置部署是在校园现网部署交换机设备，当设备规划完成后，无需网络管理员到安装现场对设备进行软件调试，在设备满足空配置的条件下，设备上电后即可自动连接到指定的管理设备，加载指定的配置文件、设备软件大包、补丁文件等系统文件，实现设备的开局。（1）基于网管平台，网络规划、配置文件制作、网络部署管理和网络运维集成在同一平台上，实现统一的自动化管理。（2）包含图形化配置文件自动生成工具；配置文件基于拓扑关系匹配。（3）以每个根设备直连的子网为一个部署区域，支持多区域并行管理，可以达到千台设备同时上线。（4）支持MAC/ESN白名单，防范设备误接、私接。（5）部署后，配置定时备份，故障设备可以用无配置的新设备进行快速替换。8.拓扑管理拓扑管理以拓扑图的方式直观显示被管网元及其之间的连接关系和状态，用户可以通过浏览拓扑视图把握全网设备的层次结构和运行状态。术语说明网元拓扑管理的核心单位，用来标识被管理的设备。在拓扑视图中，不同的图标代表各种网元类型。子网按照某种原则（如按地域或按设备类型划分）将一个比较大的网络结构分解为几个相对较小的网络结构，以便网络管理。链路标识通信设备之间的物理或者逻辑连接。浏览拓扑图拓扑界面上分成左树右图的方式，对拓扑对象通过子网进行分层展示。提供全屏、自适应屏幕等拓扑图整体、局部观测的能力。显示网元、链路的告警状态。支持明、暗两种主题皮肤切换，富媒体Tips展现效果。提供链路标签展现接口流量等性能采集数据的能力。提供对MP-Group捆绑链路的父子关系展示、链路状态监控能力。支持查看全网VLAN数据，支持在链路上直观呈现端口允许通过的VLAN，支持VLAN路径呈现。拓扑图操作支持拓扑图的缩放、图片导出、图片打印、设置背景