腾冲县第八中学网络信息化建设方案样本

腾冲县第八中学校园网建设项目技术建议书

目录1 项目概述 41.1 项目背景 41.2 现状分析 41.3 建设目的 51.4 设计原则 62 网络建设方案 72.1 概述 72.1.1 项目技术规定 72.2 有线网络方案设计 82.2.1 有线网络组网方案 82.2.2 核心层设计方案 92.2.3 接入层设计方案 102.2.4 接入层网络隔离 122.2.5 出口设计 132.3 无线网络设计方案 142.3.1 概述 142.3.2 无线基本概念 152.3.3 覆盖区域描述 212.3.4 无线局域网拓扑 222.3.5 无线VLAN规划 233 统一身份认证平台 244 网络管理规划 304.1 网管需求分析 304.2 网络设备管理 315 可靠性设计 325.1 网络可靠性设计 325.2 设备高可靠性设计 345.2.1 重要部件冗余 345.2.2 设备自身安全 345.2.3 接入互换机堆叠iStack 356 方案总结 366.1 方案特色 367 设备简介 377.1 核心互换机S7706 377.1.1 产品规格 407.1.2 解决方案应用 437.2 接入互换机S5700-LI 447.2.1 产品规格 477.3 无线POE互换机S5700-SI 507.4 无线控制器AC6605 567.5 室内放装型AP6010SN 577.6 室内分布式AP6310SN 617.7 出口安全网关USG5120HSR 65USG5120BSR/HSR 65USG5150BSR/HSR 657.8 统一身份认证平台TSM 69

校园网信息建设项目技术建议书项目概述项目背景21世纪人类全面进入信息化时代，教诲正在走向数字化、信息化。计算机、网络、多媒体技术已被越来越多学校采用，成为教诲教学支撑技术。教诲技术当代化正在变化着教学手段、教学办法，必将带来教学内容、教学观念更新，教诲教学改革势在必行。因而，越来越多学校对校园网建设跃跃欲试，但愿藉此一步跨入数字时代。现状分析学校当前重要硬件设备使用近年，随着办公自动化、网络多媒体教学、学生自主学习、电子图书馆、电子邮件、远程教诲、校园一卡通工程等系统逐渐建设，当前园区网络带宽已远远不能满足应用需求，并且设备老旧，故障率不断上升，给教师办公教学和学生学习实验带来极大不便。重要有如下问题：硬件基本设施老化既有设备大某些运营时间长，老化严重，故障率高，性能难以满足既有网络应用需求。应用系统缺少当前学校某些部门缺少信息化、数字化校园新思维模式，诸多工作依然未能挣脱啰嗦手工操作和信息传递，某些信息传递不及时甚至是失真，为学校管理和领导决策带来了一定困难。3） 已建应用系统互相独立已建信息系统数据、编码不统一，导致各应用系统间互相独立，形成信息孤岛，资源不能共享，花巨资建立应用系统不能发挥其效用，形成资源挥霍。建设目的本次校园网改造工程建设目的是：采用1000Mbps光纤互换网络实现新老校区内部高速互联，光缆连接全校楼宇（办公楼，教学区、综合楼，实验楼）。核心机房设立配备两台核心互换机，各楼宇依照点位配备接入互换机，通过千兆光纤双上行到两台核心互换机上，通过接入互换机将学校各种PC机、服务器、终端设备和局域网连接起来，整合既有网络资源，改进与Internet/Cernet相连网络性能。构建一种以计算机多层互换网络为框架，以网络基本应用、计算机多媒体辅助教学、电子化图书馆、教学管理办公自动化为平台校园网，并逐渐形成数字化校园网络。网络改造后实现如下功能（1）办公自动化

基于Web综合管理信息系统，提供行政、人事、学籍、教学、后勤、财务管理、公文收发管理、教师档案管理、学生档案管理、科技档案管理等，使学校寻常办公无纸化，减少办公开支，提高办公效率。（2）网络多媒体教学将计算机多媒体视听引入课堂教学，使声音、图像、动画普遍采用可以大大提高教学效果，使每一节课都可以得到有效作用。（3）学生自主学习针对不同窗生，提供不同教学内容，采用不同教学手段。重要采用基于VOD、WEB及FTP课件、光盘软件、Internet资源，学生可以依照自己需要自由选取所需内容。

（4）电子图书馆基于Web图书音像资料供学生随时阅读，并与Internet连接，使图书馆得到进一步拓展，使学生可以得到近乎无限网上资源。（5）电子邮件电子邮件是Internet上一种最重要应用，将为每一位教师和学生开设一种电子邮件账号，运用电子邮件学生可以和教师、同窗及家长进行交流，同步也可以和国内外等地学校学生进行交流。（6）远程教诲实现校内外连通，师生在线、交互式学习、辅导、测验等功能。（7）校园移动计算采用有线和无线网络混合建构，以便学生、教师移动上网学习和办公。设计原则针对IT平台建设基本规定和投入建设使用之后顾客实际问题，重要从如下几种方面重点考虑，构建一种可靠、安全、稳定、灵活IT平台，助力IT资源可以真正为公司服务。可靠性，运用电信级产品构建一种高可靠网络环境，保证整个网络可靠运营，可靠性设计可以达到99.999％，可以满足实际办公、业务等规定。安全性，网络设计各个环节，融合了网络安全、应用安全、接入安全、终端安全、数据安全等各个方面，可以较好满足网络高安全规定。管理性，网络设计考虑了日后网络管理，每个环节设计都考虑了业务开展便利性，使得网络可以真正为公司服务，为后续业务开展奠定了良好基本。集成性，从顾客实际需要考虑对IT资源每个环节进行设计，保证了网络在日后交付使用时候，可以更好满足业务变化规定，充分考虑了业务变化性特点，进行了网络弹性设计，使得IT技术贴近顾客。本次校园网改造将从校园网建设需求出发，以学校教学、实验、办公管理体系为主导，建设安全－可靠－可管理－可控制校园信息化网络!依照学校现状和进一步需求目的、特点及实现功能与技术规定，对总体方案设计、网络设备选型、采用技术路线及工程实行过程，均充分考虑项目方案实用性、经济性、先进性及可扩展性（保护既有投资，可平滑升级）。特别注重了网络设备安全可靠、易维护、易操作。突出了计算机、网络及多媒体技术对教诲过程实用与好用，综合考虑了项目中各子系统相对独立性与关联性，方案设计可以体现出其1+1>2效果。详细实行原则如下：1）好开放性和可扩展性校园网络应具备开放性，这种开放性依托原则化实现，使符合原则计算机系统很容易进行网络互连。因而在网络建设中，网络体系构造和通信合同应选取广泛使用国际原则，使得校园网成为一种完全开放式网络环境。在校园网络平台建设中，尽量采用成熟先进网络技术，统一网络原则和主流网络设备，使得网络构造更易于扩展、升级和维护。2）校园网软件平台针对性校园网应用和服务对象是学校教师、学生。这就规定校园网软件平台建设应以教学为核心，建立起一种在技术上具备先进性，在教学过程各阶段应用上具备灵活性、多样性和针对性数字化校园网。3）高度安全性和可靠性对于网络系统，应保证系统运营可靠，对核心部位提供容错能力，同步建立完善安全管理体系。4）经济实用性盲目地追求技术，会建成一种不稳定、不成熟产品实验台。单纯高性能，只会带来难以承受高额投资。因此，网络系统建设应采用成熟、合用、实用、好用技术，力求以最小投资得到最大满足。网络建设方案概述当代教诲过程四要素为：教师、学生、教学内容及教诲技术。以计算机、网络、多媒体集成当代教诲技术，对教诲过程支持，随着教诲信息化发展，显得越来越重要。因而，项目建设指引方针为：（1）以应用为主，为校领导决策、业务管理、教学保障和管理提供服务；（2）采用成熟先进技术，实用、够用，又留有发展余地；（3）统一原则，逐渐建设，充分考虑四期工程规划及网络扩展性；（4）充分注重网络系统和信息安全；（5）在限定期间和规定内，减少费用支出，提高系统性能价格比；（6）组织各方面力量，网络通信系统、网络资源系统同步建设；项目技术规定（1）采用先进成熟网络技术；（2）统一技术规范、原则和方案，统一设备选性，统一组织实行；（3）网络系统采用三层架构，采用TCP/IP合同栈，采用统一客户端应用软件；（4）网络系统采用全互换网络，主干1000Mbps，核心层、接入层采用冗余连接，千兆到桌面；（5）网络系统按部门、业务划分VLAN，网络多层互换采用802.1Q虚拟干道合同、802.1D生成树合同、802.1X认证合同和802.1P优先队列排序；（6）采用接入认证综合管理系统对接入顾客进行认证及计费；（7）网络系统必要满足原则化规定，以实现开放性、可扩展性；（8）重要部件、文挡要有备份，保证系统365天×24小时运转；（9）注重数据安全与保密，建立完善网络安全管理系统。有线网络方案设计校园网是各种应用统一通信平台，平均无端障时间以及故障恢复时间，要保持在一种可容忍允许范畴之内。在这种前提下，主干设备应有一定冗余度，这种冗余度不单只是设备级，也应当考虑物理线路，数据链路层、网络层以及应用层容错能力。

该主干网在方案上有二个重点：主干网技术方略；主干互换机基本规定。

主干网技术基本规定可概括为：千兆传播距离550m以内采用50/125多模光缆；千兆传播距离不不大于550m、不大于5000m采用9/125单模光缆；百兆传播距离m以内采用50/125多模光缆；百兆传播距离不不大于m采用9/125单模光缆。有线网络组网方案按照网络分层设计原则：整个网络采用扁平化设计理念，提成核心层、接入层、出口区域几种某些。整个网络建设方案如图1所示：出口区域布置一台综合安全网关，按照同步在线1200人规模设计，考虑到校园网顾客对带宽超级运用性，整个网络出口采用千兆设计，千兆出口网关、千兆流控，满足整个学校将来内发展需要。此外，出口区域结合整个网络安全认证系统，可实现基于顾客实名准出控制，满足大规模顾客使用。实现基于实名NAT日记、URL日记、上网时间等，满足公安部82号令规定；实现基于顾客实名带宽控制；此外，网络出口区域布置VPN，让校领导、教师出差不在学校，通过在互联网上建立VPN隧道，访问校园网络应用系统，完毕审批流程等。核心层：核心层采用模块化万兆互换机，支持40G/100G端口扩展，满足将来网络发展需求，启用三层转发功能，和接入层设备提供冗余链路，使得整个网络路由互换运营无阻。同步内外业务资源、如服务器区和某些重要终端可以直接接入到核心层，满足高性能规定，同步支持主控和业务口CSS集群技术，将多台设备虚拟化为一台逻辑设备，在可靠性、互换效率、灵活性和易管理性方面提高性能。接入层：接入层由千兆互换机和无线接入互换机等接入设备构成，可以满足不同终端接入规定，接入互换机通过千兆光纤直接连接到核心互换机上，实现和核心层互访。设备选型上要实现以便灵活接入同步保障网络带宽。提供QinQ技术保证了每端口每VLAN设计，在终端管理上提供了良好技术保证。按照网络高可靠设计原则：核心网络采用双平面组网，可以最大限度上保证网络100％可靠。核心设备采用双引擎设计，接入层采用双归属主备链路。网络设备秉承电信级可靠性设计理念：单板热插拔、电源冗余、电扇热插拔等。高可靠模型是依照组网方案来统一考虑，重要高可靠手段有：A/B双平面、双机模式、主备模式、链路冗余、设备构造冗余等。为了保障校园网络高可靠性，采用双平面和主备等冗余构造，核心设备采用2台核心互换机设备，设备间采用2条线路连接，实现双机热备和负荷分担，提高设备运用率和网络安全。接入互换机分别采用双链路接入核心互换机。保障链路冗余和链路带宽。核心层设计方案设计要点：提供高速三层互换骨干。核心层不进行终端系统连接。核心层不实行影响高速互换性能ACL等功能网络核心区作为整个校园网数据互换核心，是教诲应用系统可靠和高效率运营基本，在核心区配备华为高吞吐量核心万兆全分布式线速路由互换机S7706，接入各个功能区域，下行千兆光纤连接接入互换机，形成千兆无阻塞线速转发骨干网。核心设备采用分布式互换架构，通过独立控制引擎、检测引擎、维护引擎为系统提供强大控制能力和高可靠保障为了简化网络布置，简化网络管理，并提高故障恢复速度，核心层需支持采用虚拟互换架构技术，通过跨设备链路聚合与汇聚层设备互联。设备需支持运营级，满足学校业务不间断需求；核心设备支持引擎冗余、电源冗余、业务线卡热插拔；支持虚拟互换技术，保证核心高融合和高可靠性；核心设备支持模块化软件操作系统平台，便于多业务扩展支持，支持操作系统免费升级，全面支持IPv6；4）核心设备具备较强自我防御机制为此，本次建设选用华为S7700作为腾冲第一职业高档中学核心互换机，S7700系列是华为公司面向下一代公司网络架构而推出新一代高品位智能路由互换机。该产品基于华为公司智能多层互换技术理念，在提供稳定、可靠、安全高性能L2~L4层互换服务基本上，进一步提供MPLSVPN、业务流分析、完善QOS方略、可控组播、资源负载均衡、一体化安全等智能业务优化手段，同步具备超强扩展性和可靠性。S7700系列广泛合用于园区网络和数据中心网络，可对无线、话音、视频和数据融合网络进行先进控制，协助公司构建互换路由一体化端到端融合网络。128G槽位带宽，100GEReady480个万兆端口，24个40GE端口创新CSS互换网集群硬件级以太OAM/BFD左后风道，高密布线S7700系列提供S7703、S7706、S7712三种产品形态。接入层设计方案千兆到桌面接入，依照接入密度选取型号。24口接入或48口接入。校园网当前业务应用重要为桌面办公系统，教学课件系统；互联网业务，网络间要在接入层必要对必要业务划分VLAN，VLAN划分办法可以基于端口、基于顾客业务等。为了满足VLAN灵活划分及对终端安全控制，接入互换机应具备强2层特性，支持防止DOS、ARP袭击功能、ICMP防袭击，支持IP、MAC、端口、VLAN组合绑定。同步只能智能节能功能，通过匹配端口LinkDown/Up、光模块在位/不在位、配备ShutDown/UndoShutDown、空闲时段、繁忙时段等应用场景，达到应用中大幅度提高动态节能技术应用比例，节约设备耗电量目。应具备能效以太网（EEE）、端口能量检测、CPU动态调频、设备休眠等技术已实现设备智能低功耗设计。点位设计如下：建筑楼层房间数点位数共计24口互换机数量48口互换机数量实验楼18166011271438164714实验楼1102066112132631020综合楼151058112714371441020教学楼（白色）1612441128163816教学楼（粉色）16124811261236124612共计55共布置48口接入互换机5台，24口互换机5台，汇聚互换机46台，覆盖全校约300个信息点。为保证接入网络安全可靠，本次配备建议使用华为S5700-LI系列互换机，S5700-LI系列公司互换机（如下简称S5700-LI），是华为公司自主研发新一代绿色节能二层全千兆以太网互换机，提供灵活全千兆以太网接入端口、丰富业务特性，支持EEE节能特性，支持整机休眠功能，可觉得顾客提供绿色、易管理、易扩展、低成本千兆到桌面解决方案。S5700-LI能基于五元组、IP优先级、TOS、DSCP、IP合同类型、ICMP类型、TCP源端口、VLAN、以太网帧合同类型、CoS等信息，实现复杂流分类功能。S5700-LI支持基于流双速三色限速功能，每端口支持8个优先级队列，支持WRR、DRR、PQ、WRR＋PQ、DRR+PQ各种队列调度算法，有效地保证话音、视频和数据业务质量。S5700-LI提供各种安全保护功能。支持DoS（DenialofService）类防袭击、网络防袭击、顾客防袭击等功能。其中DoS类防袭击重要涉及SYNFlood、Land、Smurf、ICMPFlood。网络防袭击重要是指STPBPDU/Root袭击。顾客防袭击涉及DHCP仿冒袭击、中间人袭击、IP/MACSpoofing袭击、DHCPrequestflood、变化CHADDR值DoS袭击等等。S5700-LI支持通过建立和维护DHCPSnooping绑定表，侦听接入顾客MAC/IP地址、租用期、VLAN-ID、接口等信息，解决DHCP顾客IP和端口跟踪定位问题。同步，对不符合绑定表项非法报文（ARP欺骗报文、擅自修改IP地址等）直接丢弃，有效防止黑客或袭击者通过ARP报文实行园区网常用“中间人”袭击。运用DHCPSnooping信任端口特性还可以保证DHCPServer合法性。S5700-LI支持ARP表项严格学习功能，可以防止因ARP欺骗袭击将互换机ARP表项占满，导致正惯顾客无法上网。同步，支持IPSourceCheck特性，防止涉及MAC欺骗、IP欺骗、MAC/IP欺骗在内非法地址仿冒带来DOS袭击。S5700-LI支持集中式MAC地址认证和802.1x认证，支持顾客账号、IP、MAC、VLAN、端口、客户端与否安装病毒防范等顾客标记元素动态或静态绑定，同步实现顾客方略（VLAN、QoS、ACL）动态下发。S5700-LI支持基于端口源MAC地址学习限制功能，有效防止顾客源MAC欺骗冲击设备MAC表项，导致正惯顾客无法学到MAC表而泛洪问题等。接入层网络隔离在接入层必要对必要业务划分VLAN，VLAN划分办法可以基于端口、基于顾客业务等。接入层VLAN划分组网示意图所提供接入互换机具备灵活VLAN划分办法；可以有效防止ARP等二层袭击；同步支持QinQ技术，可以突破4K个VLAN限制，为将来网络合理改造以及扩容打下坚实基本。采用QinQ技术可以提供每顾客每VLAN组网方式，将VLAN终结在核心层上。采用QinQ技术隔离终端QinQ技术采用嵌套VLAN技术，突破了4KVLAN限制，无论何种接入设备都可以满足整个网络可靠性、安全设计，同步每个终端一种VLAN设计方式保证了二层方式终端是隔离，防止了广播风波、ARP病毒等对局域网危害很大不安全因素蔓延。采用这种方式组网可以大大提高整网可靠性和安全性，使得网络对二层设备依赖减少，并且有助于减少建设成本，由于所有终端访问都必要通过汇聚互换，这样网络设计非常以便网络管理、控制，避免由于流量过渡分散导致安全失控。出口设计考虑到外网袭击诸多，在出口布置安全网关，对内外网进行安全隔离，进行NAT转换和路由，同步防火墙提供袭击防范和url过滤等功能，对外网来袭击进行防御。安全网关设备实现如下功能：安全隔离：安全网关安全隔离是基于安全区域，这样设计模型为顾客在实际使用统一安全网关时候提供了十分良好管理模型。华为统一安全网关提供了基于安全区域隔离模型，每个安全区域可以按照网络实际组网加入任意接口，因而统一安全网关安全管理模型是不会受到网络拓扑影响。防DDOS：安全网关产品依照数据报文特性，以及Dos袭击不同手段，可以针对ICMPFlood、SYNFlood、UDPFlood等各种Dos袭击手段进行Dos袭击防御。URL过滤功能：能提供URL黑、白名单功能；支持前缀匹配，后缀匹配，核心字匹配等；支持顾客自定义URL功能，可自定义分类以及自定义URL；URL过滤响应方式可以设立为禁止或容许，禁止方式下支持返回页面告知，页面内容可自定义；支持URL访问日记记录，支持日记归并；URL分类大类43个，小类127个，URL特性库数量≥6500万条；支持URL热点库功能，且热点库支持升级。防火墙NAT转换：在IPV4，由于公网IP少，需要防火墙提供NAT地址转换，实现对公网业务访问需求。需要支持涉及源IP地址转换、目IP地址转换、端口地址转换、静态IP地址转换、IP地址池转换等；支持扩展NAT功能，可实现单个公网IP无限地址转换；考虑到FTP、H.323、SIP等它们报文数据某些也许包括IP地址或端口信息，需要支持FTP、H.323、SIP等各种应用合同。路由：支持静态路由、路由方略、方略路由、RIP、OSPF、BGP、MPLS、ISIS等路由合同高可靠性：支持HRP（HuaweiRedundancyProtocol）合同实现双机热备份功能，涉及主备备份（Active/Standby）和负载分担（Active/Active）两种方式。HRP负责在主/备设备之间备份核心配备命令和会话表状态信息，从而保证主用设备浮现故障时能由备份设备平滑地接替工作。无线网络设计方案概述有线网络建设通过改造后，已初具规模，1000Mbps光缆敷设到全校大某些楼宇。如何将网络延伸到校园每一种角落，为学生和教师提供一种随时、随处使用网络环境，是摆在咱们面前重要任务。无线接入技术与光纤接入、ADSL接入、以太网接入等技术相比，具备投资少，建网周期短、提供业务快等优势。在无线接入领域中，固定无线接入正走向成熟，其应用步伐不断加快。而其中无线局域网技术又以其提供以便、快捷组网方式等优势，倍受瞩目。

因而，咱们采用有线网络与无线网络（802.11b、802.11g）融合方略，将网络应用延伸到各个办公室、多媒体教室、校园活动场合等空间，提供教学视频无线上传及下载，以便教学工作开展。无线基本概念网络架构模型WLAN网络在布置过程中，依照不同需求有各种实现形式，依照网络架构分为：自治式架构（即FATAP或胖AP）集中式架构（即FITAP或瘦AP）自治式架构和集中式架构两种网络构造比较如REF_Ref\r\h表1-2所示。自治式架构和集中式架构比较表项目自治式架构集中式架构合用场景微型公司、个人新生方式，增强管理安全性老式加密、认证方式，普通安全性基于顾客位置安全方略，高安全性网络管理每AP需要单独下发配备文献AC上统一配备，AP自身零配备，维护简朴顾客管理类似有线，依照AP接入有线端口区别权限虚拟专用组方式，依照顾客名区别权限，使用灵活WLAN组网规模L2漫游，适合小规模组网L2、L3漫游，拓扑无关性，适合大规模组网增值业务能力实现简朴数据接入可扩展丰富业务自治式架构该架构下AP实现所有无线接入功能，不需要AC设备形态，如REF_Ref\r\h图1-2所示。WLAN初期广泛采用自治式架构，随着公司大量布置AP后，对这些AP进行配备、升级软件等管理工作将给顾客带来很高操作成本，管理成本提高，自治式架构应用逐渐减少。集中式架构该架构通过无线控制器（AC）集中管理、控制各种AP，如REF_Ref\r\h图1-3所示。所有无线接入功能由AP和AC共同完毕：AC完毕网络具备重要意义功能，例如移动管理、身份验证、VLAN划分、射频资源管理、无线IDS（IntrusionDetectionSystems）和数据包转发等。AP完毕无线空口控制，例如无线信号发射与探测响应、数据加密解密、数据传播确认、空口数据优先级管理等等。AP和AC间采用CAPWAP隧道合同进行通讯，AC与AP间可以是直连或者穿越Layer2、Layer3网络。CAPWAP合同是基于UDP传播层应用层合同，合同传递信息分为两类：控制信息和数据信息。控制信息负责AC与AP之间管理交互操作，涉及AP自动发现AC、AC对AP进行安全认证、AP从AC获取软件版本、AP从AC获取配备等等。数据信息是封装后转发无线数据。两类信息分别使用不同UDP端标语。CAPWAP信息在AP与AC间交互时可以使用DTLS加密机制，保证通信安全性。所有无线接入功能由AP和AC间共同完毕。集中式架构是公司网、运营商等WLAN方案重要架构，便于集中管理、集中认证和实行安全方略。此种方案为当前公司网通用方案。在FITAP网络架构下，又有如下划分：依照AC布置方式，分为集中式和分布式依照AC布置位置，分为旁挂和直路依照AC硬件体现形式，分为集成AC和独立AC依照业务转发形式，分为本地转发和集中转发集中式AC与分布式AC依照AC布置方式，网络可分为集中式AC布置和分布式AC布置。集中式AC布置集中式AC布置是指整个网络中集中布置AC设备（普通是独立AC设备），来控制和管理整网AP设备。AC布置可以采用直路（直接布置在AP和汇聚/核心互换机之间）或旁挂方式（旁挂在汇聚/核心互换机旁侧）。分布式AC布置分布式AC布置是指网络中分区域采用各种AC设备，分别对本区域AP设备进行管理。分布式AC方案普通不采用独立AC设备，而是采用在汇聚互换机上集成AC功能，来实现对本互换机下挂所有AP进行管理。AC两种布置方式优劣势对例如REF_Ref\r\h表1-3所示。集中式AC与分布式AC优缺陷对比表AC布置方式长处缺陷集中式节约投资容量管理更简朴有效，成本效益高无线业务终结点少，便于管理漫游布置简朴、高效无线网络运维管理更简朴，可集中管理且配备灵活AC与AP之间网络构造复杂，网络规划布置相对复杂分布式AC与AP之间网络构造简朴，网络布置相对简朴投资成本高需要布置AC间漫游（除非各AC所在区域间不考虑漫游）运维成本高AC旁挂与AC直路依照AC在网络上所处位置，可分为AC旁挂和AC直路。旁挂旁挂方式是指将AC布置在顾客网关设备（汇聚或核心互换机）一侧，实现对顾客网关设备下所有AP管理。旁挂方式重要用于原有网络汇聚/核心设备非华为设备场景，当前重要用于网络改造、或者新建大、中型园区网络场景。AC旁挂示意图直路直路方式是指将AC布置在AP与顾客网关设备（汇聚或核心互换机）之间，实现对下辖所有AP管理。直路方式重要用于新建中、小型园区网络或原有网络汇聚/核心设备为华为设备场景。AC直路示意图本地转发与集中转发转发模式重要是AP针对顾客数据可以有不同转发解决方式。本地转发又称直接转发，是指AP上对顾客数据由本地转发到网络上层，不通过AC解决，AC只对AP进行管理。而AP管理流封装在CAPWAP隧道中，到达AC终结。本地转发示意图集中转发也称作隧道转发。业务数据报文由AP统一封装后到达AC实现转发，AC不但进行对AP管理，还作为AP流量转发中枢。即AP管理流与数据流都封装在CAPWAP隧道中到达AC。隧道转发示意图本地转发与集中转发优缺陷对例如REF_Ref\r\h表1-5所示。本地转发与集中转发优缺陷对比表转发方式长处缺陷本地转发设备署简朴，数据流量不通过AC，AC承担小。-集中转发数据流量和管理流量所有通过AC，可以按顾客需求规划安全监管方略。AC设备数据压力较大，对AC设备自身解决能力规定较高。覆盖区域描述网络覆盖范畴总共包括5栋楼：实训楼、实验楼、综合楼、教学楼（白色）、教学楼（粉色）,墙体统一为24砖墙，网络点位记录如下：建筑楼层分布式AP数量放装式AP1分4功分器数量天线数量备注实验楼1228实训楼长约40m，建议每层布置2个AP，通过馈线将天线布置到每个教室222732284227实验楼12127多媒体，阅览室较大，单独配备一台放装型AP2331032228综合楼101213142楼70个顾客，配备4个AP31014431394楼70个顾客,PEIZHI4个AP教学楼（白色）1226教学楼面积较大，建议每层配备2个AP22263226教学楼（粉色）1226教学楼面积较大，建议每层配备2个AP222632264226数量共计34834114无线AP布置分为室内放装型及室内分布式两种，室内放装型自带天线，可以布置在较大房间内或顾客比较密集区域，提高无线接受效果，如多媒体室，阅览室等。室内分布式AP可配备功分器，提供各种天线分别接入到每个房间，提高覆盖范畴，避免由于墙体过厚导致无线衰减问题。本次设计使用了8个放装型AP，布置在多媒体室，阅览室及综合楼人员密集区域。使用了34个分布式AP和114根天线，覆盖到每一种教室及重要办公室，提高完善网络覆盖范畴。在注意覆盖范畴同步需考虑覆盖顾客总数，，由于AP解决能力有限，因此建议每个AP下下挂顾客数量不超过25个，在某些楼层顾客较多区域，需考虑顾客数上限问题，如综合楼2楼和4楼，顾客数超过70，这些楼层建议配备4个AP进行覆盖，以达到较好顾客体验无线局域网拓扑本次设计采用集中式构架，通过AC统一对下级AP进行管理和维护，AC采用旁挂方式进行组网，通过本地转发方式进行数据传播。本次无线拓扑构造如下：本次方案采用瘦AP方式实现大楼无线覆盖，便于进行集中配备和统一管理,在实际工作中，无线控制器AC连接到核心互换机，与eSight网管系统WLAN管理模块协同工作，实现对全网AP自动配备下发、射频管理、信道分派、安全接入控制等等无线网络配备和运维管理功能。本次配备采用AC+AP集中式管理无线组网方案，各大楼依照工勘成果布置相应AP，通过千兆电口连接到相应楼层无线接入互换机，无线接入互换机提供POE功能，通过POE技术对AP供电，简化布线。无线POE互换机通过两条千兆链路连接到核心互换机。核心互换机旁挂一台无线控制器AC,通过千兆电口互联，采用集中式组网方式对无线AP进行统一管理和控制，推荐配备如下：序号设备类别设备型号数量备注1盒式ACAC6605164个AP允许2室内放装型AP（11bgn）AP6010SN8POE供电3室内分布式APAP6310SN344全向天线1145POE互换机S5700-28C-PWR-SI5每楼宇一台无线VLAN规划VLAN规划原则：管理VLAN和业务VLAN分离业务VLAN应依照实际业务需要与SSID匹配映射关系（1:1/1:N/N:1/N:N）管理VLAN对于瘦AP，管理VLAN是指AC与AP之间控制报文所带VLAN。控制报文涉及AP上线时报文（DHCP等）以及建立CAPWAP控制隧道后控制隧道报文。由于在实际应用中，AC需要按VLAN选取DHCPSERVER，或RELAY还是透传，因而管理VLAN和业务VLAN必要分离，以便满足不同DHCP应用需求。如果AC/AP间通过三层转发，中间三层设备必要支持DHCPRELAY；同样要注意区别管理VLAN和业务VLAN，使之采用不同RELAY-GATEWAY，以便AC区别不同DHCP祈求。业务VLAN业务VLAN重要用于区别不同业务类型或顾客群体，在WLAN中SSID也同样可以承担相应工作。因而，在业务VLAN规划中必要综合考虑VLAN与SSID映射关系。业务VLAN与SSID有如下四种映射关系：SSID:VLAN=1:1布置：例如对北京市西城区“金融大街”和“中央音乐学院”进行WLAN覆盖，都是北京联通WLAN网络覆盖区域，因此但愿顾客搜索到WLAN只有一种SSID，如“北京联通”；VLAN也只需要规划一种，如1000；SSID:VLAN=1:N布置：虽然北京市西城区“金融大街”和“中央音乐学院”都是北京联通WLAN网络覆盖区域，顾客搜索到WLAN只有一种SSID“北京联通”，但但愿规划不同VLAN标记不同场点，如1000、1001，这个场景中，SSID：VLAN＝1:N；SSID:VLAN=N:1布置：虽然都是北京联通覆盖区域，但但愿顾客搜索到WLAN就懂得自己在什么地方了，因而需要两个SSID，如“金融大街”和“中央音乐学院”，由于都是北京联通场合，VLAN只想规划一种，如1000；SSID:VLAN=N:N布置：虽然都是北京联通覆盖区域，但但愿顾客搜索到WLAN就懂得自己在什么地方了，并但愿通过不同VLAN精细控制流量，因而需要两个SSID，如“金融大街”和“中央音乐学院”，同步VLAN也要规划两个，如1000和10014.无线网络应用无线网扩展了有线网覆盖范畴，将网络应用延伸到学生向往空间。这意味着可以在任何便于工作地方，如在报告厅、自助餐厅、实验室、办公室以及在校园休闲场地享有学习自由和灵活性。学生在上述无线覆盖区域可以收发电子邮件，点播流媒体节目，学习Web课程，运用WebQuest探讨问题，运用MSN或QICQ与她人（同窗、教师或家人）协作交流思想和学习等。这要归功于可以传播实时信息各种手持终端和笔记本电脑。在其她行业中，无线局域网日益被看作是一种创新、可承担工具，用以补充有线网络，而不是取代它。统一身份认证平台统一身份认证平台采用华为TSM实现：背景随着网络技术发展，学校广泛采用协同办公或通过远程、移动和互联网接入等方式办公。上述工作方式应用在带来更多资讯和更高生产效率同步，也给公司办公网络带来更多安全问题。面临如下风险：远程接入或移动办公会导致网络漏洞越来越多学校终端顾客、远程办公终端顾客、合伙伙伴、来访客户等各种终端顾客接入总局或其她学校网络，网络接入点和接入方式增多，导致网络漏洞成倍增长。非法终端顾客接入外来人员在未经允许状况下，可以容易接入并访问公司网络。合法终端顾客越权访问因未对公司中网络资源进行严格访问权限控制，导致合法终端顾客可以随意访问公司中机密信息。终端顾客滥用资源在未经允许状况下，终端顾客随意使用拨号上网设备连接Internet。MicrosoftWindows操作系统存在越来越多安全漏洞因终端主机未及时安装补丁，也许招致黑客和恶意顾客袭击。病毒泛滥因未安装防病毒软件，终端顾客在上网时容易感染病毒，并且容易在公司网中蔓延和传播。黑客恶意破坏黑客会运用MicrosoftWindows某些系统服务固有缺陷或通过暴力破解长期未使用账号入侵终端主机，再蓄意破坏公司中IT系统。随意共享目录导致安全隐患和信息泄密因共享目录权限设立不当导致机密文献泄密，并容易感染病毒。安全方略不能及时贯彻管理员缺少监督手段，不能敦促未安装补丁终端顾客安装补丁或未更新病毒库终端顾客更新病毒库。终端顾客违规行为得不到监控管理员无法检查终端顾客与否在上班时间访问与工作无关网站，最重要是缺少取证手段。上网无法进行计费学校无法对学生上网进行计费、计天、包月、流量计费、时长计费、自定义周期计费、自定义计费方略、本周起不使用不扣费、一次付费分段开通、分地区计费等接入控制方案在内网中，基于互换机实现IP访问控制不但配备管理不够灵活，并且还存在IP被仿冒等安全风险，无法彻底解决非法接入和越权访问问题。TSM系统终端顾客身份认证，通过基于顾客角色网络访问权限管理，加强内网网络访问控制，防止非法接入和非授权访问，保证公司内网安全。通过硬件安全网关进行准入控制身份认证方案TSM系统建立了完善接入顾客身份认证机制，支持系统内置账号和外部数据源方式。系统内置账号涉及普通账号、MAC账号，外部数据源账号支持从AD账号、LDAP账号和CA账号等第三方顾客系统中同步账号，实现终端网络准入前身份认证过程。TSM系统中，终端顾客是以终端角色来进行安全方略和网络访问权限管理，终端只有完毕身份认证才干接入公司内网，因而本次实行方案需完毕终端顾客认证账号配备。TSM系统参照既有公司组织和管理构造，采用树状构造多级管理方式，账号数据源支持系统内置账号和外部数据源方式。系统内置账号涉及普通账号、MAC账号，外部数据源账号支持从AD账号、LDAP账号和CA账号等第三方顾客系统中同步账号，完毕TSM系统接入认证。设备自发现现网网络规模较大，接入内网设备较多，管理员很难及时动态滴理解网络设备接入状况。建议启用TSM系统自动网络扫描功能，扫描并自动分类网络中接入设备，如互换路由设备、PC设备、服务器、IP电话、网络打印机等，同步保证可以及时发现网络中浮现新设备，对未安装TSM代理外来终端接入行为进行告警，以便管理员理解网络终端接入状况。终端加固管理公司内网终端众多，员工计算机水平和信息安全意思参差不齐，由于操作系统安全设立不当而引起安全风险越来越明显，仅通过当前行政管理手段无法保证所有终端安全性，建议加强对操作系统安全加固管理，详细管理方案如下：防病毒软件安全方略内网办公终端绝大多数已经安装了防病毒软件，但由于强制检查，导致终端长期不更新病毒库和病毒引擎版本，使得防病毒软件形同虚设，没有发挥其重要终端保护能力。因而，建议通过TSM系统防病毒管理方略实现终端安全防护，TSM配合公司自身防病毒软件，通过检查终端与否安装、运营状态以及防病毒软件更新状态，作为判断终端当前安全状态一种根据，制止或提示没有布置杀毒软件终端或者杀毒软件长期不更新终端接入网络。保证公司内网运营终端杀毒软件可以及时更新并且有效运营，减少病毒感染和扩散风险。强化补丁安装加强操作系统和应用程序安全漏洞检查，把补丁检查作为一种重要检查项，检查操作系统补丁、IESP补丁、OFFICESP补丁等，当检查到终端没有布置必要补丁时候，TSM系统可以协助终端迅速完毕补丁修复。超时自动锁屏通过屏幕保护方略检查终端屏幕保护与否启用，屏幕保护程序密码与否设立以及屏幕保护启动时间与否符合公司安全规定安全检查，保证终端在空闲一定期间后屏幕保护程序自启动安全规定，满足公司终端桌面管理规范。当终端屏幕保护设立不符合规范时，进行自修复。注册表配备管理通过对系统注册表键值检查，完毕终端注册表键值存在与否安全性检查。支持对终端自动修复功能，对于规定存在键值，如果该键值不存在，则添加该键值；对于不容许存在键值，如果该键值存在，则删除该键值。冗余账号检查通过检查系统冗余账号，TSM系统可以协助管理员发现终端长期未使用暂时账号，减少公司终端安全管理风险。检查账号安全通过账号弱口令检查、账号群组检查、本地密码方略涉及密码长度最小值，密码最长存留期属性检查等，保证终端操作系统账号安全；检查端口方略通过检查终端口方略，有效保证对于接入网络终端，及时提示个人顾客关掉无用端口，保证无用服务最小化使用原则；网络共享管理Window操作系统默认状况下对共享文献夹和共享打印机设立为Everyone权限，如果终端顾客安全意识不高状况下，就会带来较大安全隐患。一方面，网络内任意终端也许在未获得授权状况下直接窃取共享信息；另一方面，公开共享目录也给病毒传播提供了温床。TSM系统安全管理功能，可以及时协助终端顾客发现并且清理不安全共享账号。监控非法应用和服务通过检查终端软件安装状况和监控终端软件程序运营状况，制止终端安装和运营非法应用程序。如果发现安装或使用了非法软件、进程和服务，可以通过与准入控制设备联动提示或制止该终端接入网络，也可以拦截非法软件、进程和服务使用，规范员工行为。同步，管理员可通过审计软件安装和使用状况，从而及时理解安全状态。终端行为管理法律规定了诸多网站是非法，例如有色情、迷信和犯罪有关等等。使用宽带接入互联网后，公司内部网络某种限度上成了一种“公共”上网场合，诸多与法律相违背行为均有也许发生在内部网中。这些事情难以追查，给公司带来法律法规方面风险。因而，建议对员工网络访问行为进行管理，详细管理方案如下：监控网站访问通过对WEB访问监控，记录终端顾客WEB网站访问信息，由管理员进行统一管理和审计。通过这样手段，一方面可以管理员工上网行为，上班时间屏蔽某些与工作无关网站；另一方面，提供审计和责任追溯途径。软件安装原则化通过软件黑白名单检查，检查终端安装软件列表，可以定义软件黑名单违规软件列表和软件白名单合法软件列表，也可以通过检查软件黑白名单规定只能安装列表中软件或者必要安装软件，加强公司桌面软件统一安装原则性。IP访问和网络应用程序监控通过对终端IP访问控制和网络应用程序访问控制功能，对于某些安全性规定比较高业务系统，容许定义基于时间段IP访问规则，容许配备特定顾客群在下班时间后不能访问某些核心业务系统，防止对这些核心服务器也许导致危害。容许定义网络应用程序访问规则，控制IM等聊天工具在上班时间使用。此外，提供网络流量监控功能，可以协助管理员发现流量异常终端。终端入网审计提供终端登录内部网络日记上下线记录，管理员可以通过日记及时查询哪些顾客在什么时间登录公司内网安全网络，同步对长期没有登录账号也提供检索查询；信息防泄密管理当前公司办公终端数量较多，员工办公终端里存储大量涉及公司机密敏感信息，时常发生员工通过终端外设，如刻录光盘、U盘拷贝、打印等方式将敏感信息外泄，当前通过人工管理方式不但耗时费力，并且效果并不明显。针对此种状况，建议加强对终端外设接口监控，详细管理方案如下：外设接口管理关闭终端上不需要光驱、刻录机、软驱、打印机等外部设备以及串口、并口、红外、蓝牙、PCMCIA卡、1394、SD/MMC控制器等计算机外设接口，通过关闭不必要外设和接口，从而在一定限度上防范信息泄漏。监控USB设备使用在不影响USB鼠标/键盘状况下，对USB设备管理支持放行、监控、禁用、只读和写加密四种状态。USB监控属性：对USB存储设备文献操作进行监控，辨认和记录创立文献、拷入U盘、拷出U盘、内部复制、删除文献等操作审计记录；USB禁用属性：禁止终端使用USB设备；USB只读属性：对USB存储设备进行只读控制，防止终端顾客将本地硬盘上数据拷贝至USB存储设备上；USB写加密属性：容许终端正常使用USB设备，当终端顾客从本地硬盘将文献拷贝到USB设备时，系统自动对拷入文献进行加密，从而保证拷入文献只容许在公司终端机上使用；拨号连接管理通过管理Modem、3G上网卡、ISDN、PPPOE拨号设备，管理员可以通过提供安全方略监控或阻断终端拨号行为，系统自动记录拨号开始时间和结束时间或者禁止终端顾客使用拨号设备，有效制止终端绕过公司监管连接互联网，避免公司内网直接面对来自互联网袭击。防止违规假设PROXY/路由器等外联设备监视内网擅自架设PROXY服务器非法外联行为，当发现违规架设PROXY服务器，可以记录违规PROXY服务器地址/端口信息，上报服务器，由管理人员进行跟踪和解决。保证公司所有互联网出口流量都通过统一架设出口网关，通过出口网关过滤不安全网络访问，保障公司内网安全。文献操作审计通过文献名和通配符方式自定义需要监控文献记录，提供文献新建、删除、编辑、复制、重命名等操作日记记录，以便安全事件追溯。上网计费及管理支持web认证下计费、计天、包月、流量计费、时长计费、自定义周期计费、自定义计费方略、本周起不使用不扣费、一次付费分段开通、分地区计费；支持账单管理、账务流水管理、手工登帐、营帐报表管理；网络管理规划网管需求分析网络承载业务越来越多，应用越来越广泛，涉及业务管理系统、网管系统、KVM维护系统、邮件系统、防病毒系统等；并且数据中心内存在大量基于Windows、Unix、Linux各种平台，如何将数据中心内各种应用和平台有效地进行整合和管理，从而实现对数据中心高效便捷运营管理成为运营商迫切需要解决问题。复杂数据中心应用由于网络中涉及设备众多，涉及了数据设备、安全设备、应用软件、数据库、服务器、存储等，因而需要有一种统一管理平台对数据中心设备进行管理，通过良好管理可以有效提高整个中心运营管理水平，使得整个系统可以更好服务，并防止诸多意外问题发生。因而一种良好数据中心必要具备一种良好管理平台。网络设备管理网管系统重要由网络管理、流量管理、认证计费等几种产品构成。 网络管理：实现了对互换机、路由器、防火墙等设备全方位管理，提供了丰富拓扑、配备、资产、故障、性能、事件、流量、报表等网络管理功能。 流量管理：提供网络流量监测、流量门限、合同分析、Web上网行为审计等功能。结合NetFlow网络流量分析器实现更为细化、便捷全网流量分析功能。 认证计费：提供灵活多样计费方略，支持各种认证方式，满足组性化顾客管理，实现多样化控制方略。通过网管系统模块可以实现对IT资源全面、可视化、统一管理。针对本次项目，从易用性以及网络可管理性出发，网管软件具备但不限于如下功能：其网管丰富设备管理能力(含第三方设备)：网络topo，IP视图等可视化管理，实时掌握网络状态智能告警分析，短信、邮件等各种告知方式丰富性能监控指标，性能阈值告警，可视化性能报表常规报表+可定制化报表，满足公司各种报表需求公司CPE即插即用：远程布置，减少公司布置成本有线无线统一管理：统一Topo，AP实景topo等各种topo视图，实既有线无线统一可视化管理AP批量配备，批量升级，远程维护，简朴，高效顾客信息、流量管理，拉近无线运维距离可视化业务管理：多厂商MPLSVPN可视化管理，所见即所得，保护公司骨干网络IPSecVPN可视化管理，提高公司安全性精细化网流分析：可视化流量管理，细致流量分析以及分析报表，实现公司网络精细化流量管理分级网络管理：契合公司总部-分支架构，实现公司网络分级管理开放二次开发平台：支持与公司既有OSS、运维工具无缝集成；提供开放API接口，支持公司和合伙伙伴在既有平台上二次开发，打造更符合公司运维工具。多版本满足公司不同需求提供精简版、原则版、专业版满足不同公司管理需求可靠性设计网络可靠性设计局域网高可靠性设计总体方案如下图所示：局域网高可靠性设计方案总览针对二层接入（接入互换机是二层互换机、汇聚互换机作为顾客网关）典型局域网架构，从接入层、汇聚层、核心层来分层考虑网络可靠性设计。接入层网络是二层网络，接入互换机与汇聚互换机之间通过SmartLink/STP/RSTP/MSTP/RRPP保证网络可靠性，同步解决二层网络环路问题；汇聚层互换机之间通过VRRP（BFDforVRRP）合同拟定顾客主备网关，互换机互联通过TRUNK链路，保证链路级可靠性，汇聚互换机与接入互换机之间可通过DLDP合同检测光纤单向故障（单通故障）。局域网接入/汇聚/核心互换机通过虚拟化技术进行集群（或堆叠），将两台/多台互换机虚拟化成一台互换机，减少网络拓扑复杂度同步，提高网络可靠性，是将来高可靠性局域网发展趋势。可靠性设计目的方案（发展趋势）：局域网互换机虚拟化可靠性设计目的方案组网局域网可靠性方案设计目的方案或发展趋势是各层次局域网互换机都进行虚拟化，通过集群/堆叠技术将两台或多台互换机虚拟成一台互换机。可以提高单节点设备可靠性，一台互换机故障，此外一台互换机自动接管故障设备上所有业务，可以做到业务无损切换。设备虚拟化通过跨设备TRUNK链路，提高链路级可靠性，并且流量可以均匀分布在TRUNK成员链路上，提高链路带宽运用率，条或多条链路故障后,流量自动切换到其她正常链路。该方案此外一种长处网络配备和维护简朴，局域二层接入网，不需要配备复杂二层环网和保护倒换合同，二层链路故障直接感知迅速切换，三层网络中各种设备间共享路由表，网络故障路由收敛速度快。网络管理和维护难度大大减少，此方案适应面广，扩展性强，是将来局域网发展趋势。设备高可靠性设计重要部件冗余设备自身要具备电信级5个9可靠性，需要网络设备支持:主控1:1备份DC电源1+1备份；AC电源1+1/2+2备份模块化电扇设计，高品位配备支持单电扇失效无源背板，高可靠性独立设备监控单元，和主控解耦所有模块热插拔完善各种告警功能设备管理1:1备份设备自身安全如下图所示,随着黑客工具泛滥和使用以便,使网络袭击成本越来越来,但危害越来越大.黑客工具危害性这就规定具备强大灵活自身防护功能,以不变应万变办法,才干抵挡日益泛滥网络袭击。本次建设所选互换机能提供袭击防范功能，可以检测出各种类型网络袭击，并能采用相应办法保护设备自身及其所连接内部网络免受恶意袭击，保证内部网络及设备正常运营。全系列互换机支持袭击防范功能涉及防DDOS袭击、IP欺骗袭击、Land袭击、PingofDeath袭击、Teardrop袭击、ICMPFlood袭击、SYNFLOOD袭击等。此外，以太网互换机MAC地址表作为二层报文转发核心，在受到袭击时候，直接导致互换机无法正常工作。发生MAC地址袭击时候，袭击者通过不断发送MAC地址来刷新，填充互换机MAC地址表，由于MAC地址表规格有限，导致正常流量由于没有对的转刊登项而无法正常转发。ARP袭击与此类似，通过袭击报文来更改MAC与IP地址绑定，从而重新定向流量。本次建设全系列互换机可以通过MAC地址与端口绑定以及限制端口/VLAN/VSI下MAC地址最大学习个数可防止MAC扫描，并通过VLAN、IP、MAC之间任意绑定可防范ARP袭击（SAI/DAI功能）。互换机支持黑洞MAC功能，局域互换机收到报文时比较报文目MAC地址，若与黑洞MAC表项相似则丢弃该报文。当顾客察觉到某MAC地址报文具备一定袭击性，则可以在局域互换机上配备黑洞MAC，从而将具备该MAC地址报文过滤掉，避免遭受袭击。接入互换机堆叠iStackiStack堆叠就是将多台设备通过堆叠口连接起来形成一台虚拟逻辑设备。一种局域网顾客上行2个网络接口，对于堆叠后设备，可以看作Trunk接口。多台设备堆叠成一台设备后，从功能和管理方面，都可以作为一台设备来看待。iStack堆叠技术有如下优势：简化管理堆叠设备角色分为Master和Slave；通过对Master设备配备达到管理整个iStack堆叠以及堆叠内所有成员设备效果，而不用物理连接到每台成员设备上分别对它们进行配备和管理。简化网络运营iStack形成虚拟设备中运营各种控制合同也是作为单一设备统一运营，例如路由合同会作为单一设备统一计算。这样省去了设备间大量合同报文交互，简化了网络运营，缩短了网络动荡时收敛时间。强大网络扩展能力通过增长成员设备，可以轻松自如扩展堆叠系统端口数、带宽和解决能力。高可靠性堆叠高可靠性体当前各种方面，例如：成员设备之间堆叠物理端口支持聚合功能，堆叠系统和上、下层设备之间物理连接也支持聚合功能，这样通过多链路备份提高了堆叠系统可靠性；堆叠系统由多台成员设备构成，Master设备负责堆叠运营、管理和维护，Slave设备在作为备份同步也可以解决业务，一旦Master设备故障，系统会迅速自动选举新Master，以保证通过堆叠业务不中断，从而实现了设备级1:N备份。高性能由于iStack设备是由各种支持iStack特性单机设备堆叠而成，iStack设备互换容量和端口数量就是iStack内部所有单机设备互换容量和端口数量总和。因而，iStack技术可以通过各种单机设备堆叠，容易将设备互换能力、顾客端口密度扩大数倍，从而大幅度提高了设备性能。方案总结方案特色本方案具备如下特点：

①先进性：采用先进成熟多层互换网络技术和办法，针对学校共享信息资源集中特性，采用双主节点设计网络核心层、均衡负载设计、高安全接入与灵活计费设计接入层，能支撑各种当前与将来一段时期校园教学、科研、行政管理网络应用。

②可行性：本设计方案可以充分考虑高校网络教诲特点和应用对象技术、资源、管理等方面约束，并较好地结合当代网络产品特点进行方案设计。例如住宅楼规定静音设计（采用自然散热互换机），支持网络顾客账号、MAC地址与端口捆绑实现高效顾客控制能力，支持高密度端口堆叠模式，支持通信负载均衡、带宽聚合、链路冗余双星型构造。

③灵活性：网络核心层采用模块化互换机，按照需求灵活配备各种模块，做到既满足需求，由留有余地。整个网络架构采用三层构造，使网络具备较好伸缩性、可以依照网络建设不同阶段灵活配备和扩展，具备能不断吸取新技术、新办法功能。

④实用性：在接入互换机将顾客账号、MAC地址与端口捆绑实现高效顾客控制；采用网络管理系统，使网络易维护、易管理，可实行性好。

⑤可靠性：采用802.1Q实现网络多层互换；采用802.1D实现链路冗余可靠连接；采用基于802.1X高安全接入和灵活计费，运用产品在网络边沿认证计费自身特色，保证了网络系统运营稳定可靠、高效。

⑥可扩展性：采用模块化互换机、可堆叠互换机，使系统具备良好可扩展性，又具备发展潜力。例如互换机增长模块即可扩展网络规模或拓展冗余链路。

综上所述，本方案是一种根据顾客需求，充分运用当代网络产品自身特色设计校园网整体解决方案。该方案根据学校网络应用特性，采用成熟、合用、实用、好用、够用产品与技术，力求以最小投资得到最大满足。设备简介核心互换机S7706S7700系列是华为公司面向融合多业务网络架构而推出新一代高品位智能T比特核心路由互换机。该产品基于华为公司智能多层互换技术理念，在提供稳定、可靠、安全高性能L2/L3层互换服务基本上，实现高清视频流承载、大容量无线网络、弹性云计算、硬件IPv6、一体化安全等业务应用，同步具备强大扩展性和可靠性。S7700系列互换机广泛合用于广域网、城域网、园区网络和数据中心，协助公司构建面向应用网络平台，提供互换路由一体化端到端融合网络。S7700系列提供S7703、S7706、S7712三种产品形态，支持不断扩展互换能力和端口密度。整个系列秉承模块通用化、部件归一化设计理念，最小化备件成本，在保证设备扩展性同步最大限度地保护顾客投资。此外，S7700作为新一代智能互换机采用了各种绿色节能创新技术，在不断提高性能及稳定性同步，大幅减少设备能源消耗，减小噪声污染，为网络绿色可持续发展提供领先解决方案。S7703S7706S7712产品特点先进互换架构提高网络扩展性背板具备良好扩展性，可平滑扩展至更高带宽，支持单端口速率40G、100G平滑升级，同步完美兼容现网板卡，保护初始投资。超高万兆端口密度，单台设备支持480个万兆端口，助力公司园区和数据中心迎来全万兆核心时代。运营级高可靠性设计，保障公司应用永续运营7700具备超越5个9运营级高可靠性，主控、电源、电扇等核心部件冗余设计，所有模块均支持热插拔。支持ISSU业务无损升级，减少核心业务和服务中断。CSS集群创新性采用互换网集群技术，克服了业界普遍采用线卡集群跨框多次互换，互换效率低下架构难题，提供业界主机间最大256G集群带宽，同步可以通过跨框链路聚合提高链路运用率，并消除单点故障。支持完善运维检测与性能管理802.3ah、802.1ag和ITU-Y.1731，可以对网络传播中时延、抖动等参数进行精准记录，实时监测网络运营状况，并在设备故障发生时迅速定位。S7700CSS集群完善QOS机制S7700提供高品质QOS（QualityofService）能力，支持Layer2~Layer7流分类技术，具备完善队列调度算法、拥塞控制算法，可以对数据流实现多级精准调度，从而满足不同顾客、不同业务级别服务质量规定。S7700提供层次化QOS（H-QOS）调度机制，支持面向接入侧多级H-QOS调度机制，多样化，差别化满足大型公司园区不同层次顾客设备业务需求。全业务以太互换平台支持分布式L2/L3MPLSVPN功能，支持MPLS、VPLS、HVPLS、VLL，满足公司VPN等顾客接入需求。支持完善二、三层组播合同，线卡硬件具备线速跨VLAN组播复制能力，独立组播QOS队列，优先满足视频和音频等低时延业务转发。软件平台提供各种路由合同满足公司建网规定，支持从中小公司到超大型跨国公司级大规模路由，支持IPv6，可觉得公司网络提供平滑升级能力。虚拟化数据中心互换平台首创互换网CSS集群，分布式跨设备链路聚合技术，有效运用数据中心内部带宽资源，实现数据中心内部数据互换对物理链路无感知。针对大型分布式计算数据中心业务模型，专门设计大缓存线卡，支持单端口200ms数据流量缓存，解决分布式高性能计算网络瞬间流量过大丢包问题。每板最大64K硬件队列，支持精细化QOS和流量管理，运用各种队列组合调度算法、拥塞控制算法，保证客户不同带宽、业务延迟和抖动性能需求。高性能IPv6业务能力S7700软硬件平台均支持IPv6，获得工信部IPv6入网认证和IPv6Ready第二阶段金色认证。支持IPv4/IPv6双合同栈，支持各种隧道技术，支持IPv6静态路由、RIPng、OSPFv3、BGP+、IS-ISv6、IPv6组播，满足IPv6独立组网和IPv4/IPv6混合组网规定。高集成增值业务解决模块节约建网投资S7700负载均衡器支持加权轮询、基于连接数、加权IP地址Hash和基于HTTPURLHash等各种均衡调度算法，全面满足客户负载均衡规定。集中式网流业务分析模块，支持NetstreamV5/V8/V9各种报文格式，支持聚合流量模板，实时流量采集、动态报表生成、属性分析、流量异常告警等功能。周密安全设计内嵌集中式防火墙板卡，支持虚拟防火墙与NAT多实例，满足多VPN客户共用防火墙组网环境。应用层包过滤技术相应用层报文内容进行复杂规则检测和过滤。支持完善AAA机制，依照方略对接入顾客进行认证、授权和计费。支持802.1X、Portal、GuestVLAN，支持顾客动态接入认证，与其她主流厂商NAC互通。提供2级CPU保护机制，支持1KCPU硬件保护队列，可实现数据和控制分离解决，防止回绝服务袭击、非法接入以及控制平面过载等安全威胁，提供业界领先一体化安全解决方案。无线+无源一体化接入S7700EPONOLT板卡提供上下行对称1.25Gbps高带宽，可以更好地满足顾客对带宽长期增长需求，支持不同传播距离，适合各种网络应用环境，充分满足接入网复杂环境和各种规定。S7700无线AC板卡支持丰富RF（射频）管理。支持AP上线时自动选取信道和功率，在AP重叠区域，信号冲突时自动调节功率或信道，RSSI（接受信号强度批示）/SNR（信噪比）不断更新，让系统可以实时理解每一种无线顾客所处电磁环境，提高网络可用性。S7700无线AC板卡支持二、三层漫游，终端设备跨AP漫游迅速切换，AC间1+1、N+1多机冷备和AC间负载分担提高网络可靠性。创新节能打造低碳网络主机“旋转”风道设计，提高整机散热效率，采用芯片“变流”技术，实现按流量动态调节功率，减少整机功耗11%。支持端口休眠，无流量不耗电。独立电扇分区控制，进一步减少功耗和噪声污染，智能电扇调速方略，采用社区间控温技术，有效减少转速，并延长电扇使用寿命。智能POE供电，可以实现基于PD设备角色启动不同能源管理方案，保持设备能源管理弹性。支持IEEE802.3az能效以太网原则，线卡收发器具备低功率闲置模式，支持正常工作与低功率状态迅速转换，低流量低功耗。产品规格项目S7703S7706S7712背板容量3Tbps6Tbps12Tbps互换容量768Gbps/1.92Tbps2Tbps/5.12Tbps2Tbps/5.12Tbps包转发率576Mpps/1440Mpps1152Mpps/2880Mpps1344Mpps/3360Mpps业务槽位3612VLAN支持Access、Trunk、Hybrid方式支持defaultVLAN支持VLAN互换支持QinQ、增强型灵活QinQ支持基于MAC动态VLAN分派MAC地址功能支持MAC地址自动学习和老化支持静态、动态、黑洞MAC表项支持源MAC地址过滤支持基于端口和VLANMAC地址学习限制STP支持STP，RSTP和MSTP支持BPDU保护、Root保护、环路保护支持BDPUTunnelIP路由支持RIP、OSPF、ISIS、BGP等IPv4动态路由合同支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6动态路由合同组播支持IGMPv1/v2/v3、IGMPv1/v2/v3Snooping支持PIMDM、PIMSM、PIMSSM支持MSDP、MBGP支持顾客迅速离开机制支持组播流量控制支持组播查询器支持组播合同报文抑制功能支持组播CAC支持组播ACLMPLS支持MPLS基本功能支持MPLSOAM支持MPLSTE支持MPLSVPN/VLL/VPLS可靠性支持LACP、支持跨设备E-Trunk支持VRRP、BFDforVRRP支持BFDforBGP/IS-IS/OSPF/静态路由支持NSF、GRforBGP/IS-IS/OSPF/LDP支持TEFRR、IPFRR支持以太网OAM802.3ah和802.1ag支持ITU-Y.1731支持DLDP支持运营中软件升级ISSU支持集群互换系统CSSQoS支持基于Layer2合同头、Layer3合同、Layer4合同、802.1p优先级等组合流分类支持ACL、CAR、Remark、Schedule等动作支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等队列调度方式支持WRED、尾丢弃等拥塞避免机制支持H-QOS支持流量整形EPONOLT支持IEEE802.3ah支持DBA支持ONU上、下行带宽控制支持ONU环回测试配备与维护支持Console、Telnet、SSH等终端服务支持SNMPv1/v2/v3等网络管理合同支持通过FTP、TFTP方式上载、下载文献支持BootROM升级和远程在线升级支持热补丁支持顾客操作日记安全和管理802.1x认证，Portal认证支持NAC支持RADIUS和HWTACACS顾客登录认证命令行分级保护，未授权顾客无法侵入支持防范DoS袭击、TCPSYNFlood袭击、UDPFlood袭击、广播风暴袭击、大流量袭击支持1KCPU通道队列保护支持ICMP实现ping和traceroute功能支持RMON增值业务能力支持Firewall功能支持NAT功能支持Netstream功能支持IPSec功能支持负载均衡功能支持无线AC控制器绿色节能支持802.3az能效以太网机箱尺寸mm（宽×深×高）442×476×175442×476×442442×476×664机箱重量（空配）<15Kg<30Kg<45Kg整机供电能力（不含POE）800W1600W1600W整机最大POE功率2200W8800W8800W解决方案应用大型园区网解决方案QuidwayS7700核心互换机可觉得顾客组建高可靠、高性能、业务易扩展、易管理公司园区网络。S7700具备分布式IPv4/IPv6/MPLS全线速互换能力，满足公司园区核心、汇聚节点高密万兆海量数据吞吐能力。S7700支持无线AC控制模块，园区核心与WLAN控制合一，节约建网投资。S7700支持硬件CPU通道队列，保护公司核心免受DDOS袭击与各种安全威胁。大型数据中心解决方案S7700系列互换机可以作为大型数据中心高密万兆核心和万兆汇聚节点，助力公司构筑高可靠、无阻塞、虚拟化数据中心网络。S7700支持ISSU、IPFRR、硬件级BFD、NSF、VRRP、E-Trunk等高可靠性技术，实现数据中心业务永续运营。S7700提供CSS集群、负载均衡一体化解决方案，提高网络IT运用效率，减少网络维护成本。接入互换机S5700-LI产品概述S5700-LI系列公司互换机（如下简称S5700-LI），是华为公司自主研发新一代绿色节能二层全千兆以太网互换机，提供灵活全千兆以太网接入端口、丰富业务特性，支持EEE节能特性，支持整机休眠功能，可觉得顾客提供绿色、易管理、易扩展、低成本千兆到桌面解决方案。产品外观S5700-LI涉及如下款型：产品外观描述S5700-28P-LI-ACS5700-28P-LI-DC24个10/100/1000Base-T，4个100/1000Base-XSFP分交流供电和直流供电两种机型，支持RPS冗余电源包转发率：42Mpps互换容量：208GbpsS5700-28P-PWR-LI-AC24个10/100/1000Base-T，4个100/1000Base-XSFP交流供电，支持RPS冗余电源支持PoE+包转发率：42Mpps互换容量：208GbpsS5700-52P-LI-ACS5700-52P-LI-DC48个10/100/1000Base-T，4个100/1000Base-XSFP分交流供电和直流供电两种机型，支持RPS冗余电源包转发率：78Mpps互换容量：256GbpsS5700-52P-PWR-LI-AC48个10/100/1000Base-T，4个100/1000Base-XSFP交流供电，支持RPS冗余电源支持PoE+包转发率：78Mpps互换容量：256Gbps产品特性创新节能打造低碳网络S5700-LI系列智能低功耗互换机，依照不同顾客使用场景及应用需求，提供了灵活可配原则节能、基本节能、深度节能三种模式，是业界首家支持整机休眠互换机设备。通过匹配端口LinkDown/Up、光模块在位/不在位、配备ShutDown/UndoShutDown、空闲时段、繁忙时段等应用场景，达到应用中大幅度提高动态节能技术应用比例，节约设备耗电量目。S5700-LI系列智能低功耗互换机，本着性能优先，节能不牺牲顾客体验设计原则，突破性应用能效以太网（EEE）、端口能量检测、CPU动态调频、设备休眠等技术完毕了设备智能低功耗设计。完备高可靠保护机制S5700-LI不但支持老式STP/RSTP/MSTP生成树合同，还支持SmartLink可实现链路负载分担，进一步提高了链路带宽运用率。S5700-LI支持智能以太保护SEP（SmartEthernetProtection），SEP是一种专用于以太链路层环网合同，提供毫秒级迅速业务倒换性能，保证业务不中断。SEP合同简朴可靠、倒换性能高、维护以便、拓扑灵活，可以大大以便顾客进行网络管理和规划。S5700-LI支持G.803