学院校园基础网络建设与运维服务项目建设方案

三、建设方案

3.1背景及分析

安徽科技学院自建校以来，服务于教务教学的校园网络设施，有

力地支持了学院的高速发展。但随着学院业务系统的增多和新型教学

方式的转变，对学生的学习、实验探究和实践的要求明显提高，因而

对整个学院的校园网性能承载和功能要求也随之发生了很大变化，现

有的校园网络已难以满足这种需要；另外，由于原有的网络设备使用

年限和技术更新等因素，现有校园网设施也已很难满足新课程对现代

教育技术的需求。

随着无线应用及移动终端的普及，为了更好的服务于师生，加快

教育信息化建设的步伐，促进校园信息化建设成为学校育人的有机组

成部分，大力发展校园无线网络，建设高速、稳定、可靠、可运营、

可管理的无线网络对于塑造安徽科技学院新一代智慧校园来说，具有

重要的战略意义。现在无线网络产品和技术都已成熟，无线llac,lln

技术相比传统11g的技术在性能和覆盖上都有了质的飞跃，加上学校

无线应用越来越多，如笔记本、pad、手机等终端广泛应用，学校全

校无线校园网建设成为学校信息化发展的必然趋势。

当前学校在信息化建设方面的背景和需求，可以总结概括为以下

几点：

（一）加快学校信息化建设，是落实“创新人才培养体系”、“改

革人才培养模式”人才培养战略的需要。

《国家中长期教育改革和发展规划纲要（2010—2020年）》中明

确指出“信息技术对教育发展具有革命性影响，必须予以高度重视”，

提出了“创新人才培养体系”、“改革人才培养模式”、“加强实践

教学”、“提高课程建设质量”等系列工作。这些工作的开展需要利

用各类信息化技术手段，形成以移动互联网络接入环境、知识云、学

习云支撑的课堂教育模式，以在线教育支撑的联合培养模式、以虚拟

课堂支撑的学生自学模式、以网上社团支撑的通识培养模式、以仿真

实验环境支撑的实践教学模式、以网络评议支撑的科学评估模式，以

综合数据分析支撑课程建设质量。全面推进学生自主性、互动性和探

究式学习，实现人才培养战略的总体目标。

（二）加快学校信息化建设，是推进“学科建设梯度推进战略”、

“学科交叉与融合创新”学科建设战略的需要。

学科建设是高校能力建设的核心内容，信息化是加快学科建设的

重要手段。“十二五”期间，我校确立了“支撑专业建设、提升教学

水平、增强创新能力、服务地方发展”学科建设目标，这些工作的推

进需要建立以泛在快速的网络环境和基于云架构的资源共享环境为

核心的学科建设的公共支撑平台，融合学校数字图书、教学影像视频

等各类知识资源，为各学科提供按需、主动推送服务。构建跨学科的

网络信息平台，为各科学交叉提供在线的信息交流环境，开展学科相

关资源的共享，促进学术交流合作，推进学科交叉融合。

（三）加快学校信息化建设，是支撑“跨学科研究平台”、“学

科联合攻关”科研发展战略的需要。

《高等学校中长期科学和技术发展规划纲要》中指出“要抓住信

息化建设的发展机遇，构建信息化公共服务体系，以信息化带动科研

工作现代化，实现高校科研工作的跨越式发展”。我校的科学研究的

定位是以加强科研平台建设和科研创新团队建设为基础，以争取高水

平科研项目和科研成果为突破口，在这新形势下，为适应我校新一轮

科研发展的需要，开展学术网络建设、面向学术团队建立机构知识库

等形式的创新知识资源服务、网上学术交流服务、大型仪器设备共享

服务、网上科技成果转化等服务是十分必要的，营造具有学院特色、

支撑学科建设、结合区域发展的科研环境。

（四）加快学校信息化建设，是推动管理科学化、智能化、效能

化发展，构建智慧校园的需要。

大学校园离不开科学的管理，科学的管理必须借助于信息化的支

撑。近年来，学校高度重视管理体制机制的改革，强调机关工作的效

能建设，强调提升管理服务水平。这些工作的落实需要利用先进的信

息化技术手段，部署自动化、智能化的管理服务系统，科学全面地采

集、整合、挖掘学校各类相关信息与数据，为学校整体管理效能的提

高和量化决策提供支撑。同时一，通过现有的信息化技术手段，结合基

建改造工作，实现安全监控、节能减排、有效控制等目标，为全力打

造智慧校园提供保障。

3.2建设目标

1、通过本次项目建设满足目前安徽科技学院的使用要求和信息化发

展规划，在不改变主体架构的前提下，实现平滑升级和扩容。

2、出口统一：整合现有的办公网以及学生宿舍、教职工宿舍网出口,,

统一校园网络的互联网出口，并通过双线路的方式有效避免单链路故

障。

3、认证统一：实现有线无线统一认证，实名注册，满足IPV4/IPV6

用户2万人并发在线；实现同一账号可通过有线、无线、SSL+IPSECVPN

认证接入校园网，并实现校园网准出认证访问互联网。

4、万兆互连：核心设备与汇聚设备万兆互连。建成10T级核心交换

容量、万兆骨干链路校园网。

5、无线、有线两网合并：建成有线无线一体化网络，无线网采用无

感知认证和WEB认证两种方式，并能自主分区域、分时段、分权限的

可控可管。流量精细管理，基于用户认证账号的带宽分配，关键应用

不中断，流量计费，流量分析，外网资源内网化（互联网资源本地加

速）。

6、具备多家运营商出口同时接入，为各运营商的公平竞争等提供技

术保障的环境；实现用户根据自己需求，校内不分地域自主选择互联

网提供商。

7、校内资源免费：校园网络用户能够免费访问校内资源，校内流量

免费。

3.3建设范围

3.3.1一期建设（凤阳校区）

1、有线网建设

学知楼教室、求知楼教室、新知楼教室、学生宿舍、教工宿舍、

其他办公室及实验室有线补充，最终信息点个数以施工方案为准。

2、无线网建设

室外区域包括：东区南门弘理路、求知楼周围、学知楼周围、

东区操场、东区篮球场、中办公楼门前广场、老图书馆与中办公楼之

间草坪、老图书馆东侧竹林、新图书馆周围、梅园、一二三食堂周围、

东区西门广场、师琴湖、接待中心门前广场、玉兰路、东区网球场排

球场、羽毛球场、教工宿舍西19号南侧草坪、教工宿舍西10号东侧

草坪、教工宿舍东10号南侧草坪、西区大屏幕前广场、新知楼周围、

西区操场、西区篮球场、东西校区所有学生宿舍楼楼与楼之间空地。

室内区域包括：校区内所有办公楼、实验楼、教学楼、宿舍楼楼

道及房间内；体育馆、学术报告厅、新图书馆第1、2报告厅和第1、

2、3会议室、一二三食堂。

3.3.2二期建设（蚌埠校区）

蚌埠校区学生宿舍区有线无线网建设。其中完成建设光纤到楼，

网线到室；负责学生公寓机房设备、楼层交换设备、宿舍终端设备、

运营出口带宽等。

3.4方案设计原则

i.多样性：网络结构需要具有极大的多样性特点。

2.安全性：由于建设单位的特殊性，作为其信息系统的主要载体

综合布线系统，对其安全性提出了更高的要求。

3.可靠性：为用户提供更良好的体验，可靠性也是主要特点之一。

4.可扩充性：随着网络设备、交换机设备的不断更新，对布线系

统提出了更高的要求，综合布线系统不再是一成不变，随着信息化水

平不断的提高，综合布线系统要能最大可能的提高可扩充性。

5.实用性：实施后的布线系统，将能够在现在和将来适应技术的

发展，并且实现数据通信、语音通信、图像通信等。

6.灵活性：布线系统能够满足灵活性应用的要求，遵循结构化布

线的标准，适应不同拓扑的网络，在不改变布线系统情况下，就可以

进行设备的移动、更新和升级。

7.经济性：在满足应用要求的基础上，尽可能降低造价，综合布

线过程是对各种网络线缆统一规划、统一安装施工过程，减少了不必

要的重复布线、重复施工，节约了线材。由于采用综合布线系统，单

位避免了重复设置信息机构和重复建设信息网络，从整体上讲节省了

投资，避免了大量的重复建设，提高了网络效益，综合布线系统采用

标准化的设计，统一安装施工，使整个系统构成一个有机的整体，便

于集中管理维护，并减少日后的维护费用。

8.统一性：整个建筑的信息网络建设基于一个统一的网络管理中

心的模式，不同系统不同网络及不同类型的网络之间的连接完全兼容。

9.开放性：综合布线系统中使用开放式系统结构，符合国际上流

行的标准，系统对国际上所著名厂商的产品都应是开放的，可以将不

同厂家的不同传输介质和不同设备集成在本系统内。

10.先进性：综合布线应用极富弹性的布线概念，适应未来十年甚

至二十年的发展。

3.5基础承载网规划

3.5.1网络架构拓扑图

万兆链路

千兆链路

运营出口

办公出q公出口

EX4200

东校区

3.5.2网络设备部署规划

东区核心采用2台锐捷RG-N18000系列，西区汇聚采用1台锐捷

RG-S8600E面向十万兆平台设计的高端核心交换机。东区核心和西区

汇聚通过20G大容量带宽互联。

楼内采用用千兆智能交换机RG-S2900E-P,网线全部使用六类线

缆进行布线。

3.5.3极简网络设计

传统的校园网中，用户接入控制、安全防护、运营及服务管理的

各种功能、策略一般都部署在校园网的接入、汇聚交换机上。这种部

署方式导致整个接入网的整体拥有成本非常高，高校的信息部门曾今

投入了大量的资金来搭建这张接入网，而未来一旦因为设备老旧、功

能升级等原因，这张接入网还会继续需要持续的资金投入，而随着无

线校园网的建设，这笔资金的数额更加巨大。锐捷“极简网络”解决

方案首先实现的是将原来分布在接入网的各项功能和策略上收至核

心交换机，上收之后各项功能、策略的执行点全部在核心交换机上，

接入网的接入、汇聚交换机只负责进行各种数据的转发。

锐捷“极简网络”解决方案通过这种方式极大的增强了校园网核

心交换机的资源利用率，弱化了整个网络服务对接入、汇聚设备的依

赖。其价值主要体现在如下几个方面：

节省资金：“极简网络”解决方案所进行的集中管理的改造，减

轻了接入网设备的关键性，也弱化了对接入网设备的技术要求，这都

使得改造后的校园网，在接入设备上可以选择更加便宜、更加轻量级

的产品，而资金的投入则主要集中在核心交换机上。由于校园网内接

入网设备众多，因此从全局上看大大降低了校园网的整体拥有成本。

节省人力：“极简网络”解决方案所进行的集中管理的改造，同

时也减轻了接入网对日常维护人员的数量要求，接入网设备仅需要配

置和维护Vian、STP、静态路由等最基本的通用技术。单个学生网管

能够管理的设备数量将会大大增加。即使面对未来无线校园网的建设,

高校信息部门只需要适量增加学生网管的数量，就完全可以承担起接

入网的日常维护工作。

降低技术门槛：“极简网络”解决方案所进行的集中管理的改

造，还使得负责维护接入网的学生网管再也不用去花费大量的时间、

精力学习各种复杂的技术。高校信息部门耗费在学生网管身上的培训I、

实习资源也会大大降低。

降低新业务部署难度：新业务特别是业务专网的部署，在传统

的模式下只能采用端到端的部署方式，从核心、汇聚到接入都需要进

行设备的配置和对接，而接入网设备数量会导致这种配置和对接的工

作量巨大而且成功率很难保障。“极简网络”解决方案所进行的集中

管理的改造，可以使新业务部署的大部分工作都在核心交换机上完成,

接入网设备仅需要提供对应的Vian通道即可。高校信息部门为新业

务上线所投入的资源大大减少

通过“极简网络”解决方案来进行网络服务的集中上收，所有的

功能、策略都部署在网络的核心层上，这对整个校园网的核心交换机

提出了巨大的挑战。锐捷在“极简网络”解决方案中配备的Newton

18000系列核心交换机具有全球最顶级的配置，具有最优秀的稳定性

来适应高校校园网高密度的用户并发，同时也具备先进的技术来保障

自身的可靠性和安全性。

单台10万以上用户规模

可靠性成指数上升

-

卡

IP业务专网的安全隔离

通

Lv6

Newtonl8000系列核心交换机采用超大表项容量，承载10万级

用户在线

Newtonl8000具有丰富的接口线卡类型，这些线卡的交换芯片均

采用UFT(UnifiedForwardingTable)技术实现。通过该技术，可

以灵活配比MAC、ARP、ND表项的容量，解决了传统交换芯片表项容

量固定，无法按照用户需求提供灵活的容量定制。另外，为了便于用

户配置，Newtonl8000把UFT转换成3种模式给用户配置，这些模式

可以确保对应的应用容量容量最大，模式分别是缺省模式，网关单栈

IPv4模式，网关双栈模式，这些模式下除了MAC地址是固定占用容

量数的，MAC、ARP、ND、IPv4组播、IPv6组播都采用先配置先占用

表项的方式。

正是依托这些技术,Newton18000系列核心交换机能够达到1000

个/s的终端并发速度，同时支持90000个IPv4/IPv6双栈用户在线

以及超过15万IPv4用户的同时在线。

Newton交换机采

用业内领先的芯片架

面向未来十年的超大容量：

XXIX构，能够作为超大数量

XXIX用户的集中网关

90000双栈终端同时在线XXXI

XXXI

1000个/S的终端上线速度XXXI

Newton采用创新认证设计，保证用户上下线畅通

传统架构的网络认证方案中，接入或汇聚设备上是利用IP+MAC

构造的安全表项来实现终端的认证，因此接入或汇聚设备上的安全表

项容量一般就决定了最大可以支持的认证终端数量。而随着网络规模

的持续扩大，应用场景的不断增多，接入或汇聚设备已无法满足发展

需要，无法承载更多的终端用户灵活、安全的接入网络。

而在“极简网络”解决方案中，作为认证NAS设备的Newtonl8000

采用创新认证方案，在转发面通过MAC地址表来实现终端的认证功能,

即认证通过的终端会生成一条对应的“静态”MAC表项；另外，同样

在转发面通过ARP表项来实现终端的IP+MAC绑定避免欺骗，即认证

通过的终端会生成一条对应的“静态”ARP表项；而在控制面通过ARP

Check功能对送控制面的ARP报文进行检查，可以过滤IP和MAC与

绑定不符的表项；最后在网关认证通过无流量检测来感知终端是否已

经下线。通过无流量下线功能，可以让设备主动感知终端下线。

正是依托这些技术，Newton18000系列核心交换机能够承载更

多的终端用户，不但满足现在校园网的用户规模，更能应对未来无线

校园网建设完成后所带来的一用户N终端的局面，让更多的终端能够

更加灵活、安全、便捷的接入网络。

Newton的可靠性设计

作为高校校园网的核心骨干，核心设备向校园网用户源源不断的

提供安全的信息血液，保证整个教育网信息系统的可靠运行。作为整

个网络平台的神经中枢，这些核心设备是全网数据传输的中心，不仅

要保证7*24小时的稳定运行，各种应用服务器的数据能够被稳定可

靠的传输到终端系统，同时还要协调全网的数据流量和访问策略，在

提供信息服务的同时，保证网络中心自身的安全。所以核心设备需要

支持冗余方案，当网络出现问题时，可毫秒级切换，不影响业务。

Newton的安全性设计

防止未认证终端的ARP欺骗。由于WEB认证，需要先让设备学习

到终端ARP,终端才能做WEB认证，而这期间仿冒未认证终端做ARP

欺骗，就会导致终端无法完成认证过程。针对该问题，Newtonl8000

交换机当发生ARP冲突时一，会为每个终端保留2分钟的认证时间，确

保终端在这期间有足够的时间认证成功。

防止IP地址冲突。Newtonl8000交换机采用ARP和ND代理机制

来解决既避免攻击又能提醒终端存在地址的情况，即当终端发出的

ARP请求与Newtonl8000交换机上的认证生成的静态ARP地址或者ND

地址冲突的情况，由Newtonl8000交换机代理被冲突的终端发出免费

ARP和ND报文，

防止终端的报文洪水攻击。即终端向Newtonl8000交换机发起大

量的ARP、ND、ICMP报文攻击（包括终端环路的情况）时，Newton18000

交换机的NFPP和CPP机制可以检测和发现这些终端，并对这些终端

实施硬件隔离。

防止终端的DHCP扫描攻击。当终端向Newtonl8000交换机发起

大量的DHCP请求报文攻击（包括终端环路的情况），导致DHCPServer

的地址池资源耗尽，Newtonl8000交换机支持基于PORT+VID限制（也

就是单个终端）地址学习数量，从而确保地址资源不会被某些终端攻

击而耗尽。

3.5.3.1数据中心业务规划

目前随着校园网的数字化、智慧化，云化，各种应用系统的上线

对于数据中心的要求越来越多，通过服务器虚拟化的进行，可极大优

化基础资源的分布与调度，下图所示为理想的业务模型。对于使用云

计算服务的终端或个人而言，能够满足IT业务的最佳方式为计算能

力按需增长、应用部署快速实现、工作负载可动态调整、投入成本规

划可控；对于云计算服务供应商而言，为满足大量校园的IT资源需

求，其运营的IT基础架构需要有一个大规模的资源池，可基于服务

校园数据业务数量的增长、业务负载增长的需求变化情况提供匹配的

IT资源支持能力。

客,T

违

制

费

源

物

理

费

源

虚拟化计算技术已经逐步成为云计算服务的主要支撑技术，特别

是在计算能力租赁、调度的云计算服务领域起着非常关键的作用。

虚拟化技术不仅消除大规模异构服务器的差异化，其形成的计算

池可以具有超级的计算能力（如下图所示），一个云计算中心物理服

务器达到数万台是一个很正常的规模。一台物理服务器上运行的虚拟

机数量是动态变化的，当前一般是4到20,某些高密度的虚拟机可

以达到100:1的虚拟比（即一台物理服务器上运行100个虚拟机），在

CPU性能不断增强（主频提升、多核多路）、当前各种硬件虚拟化（CPU

指令级虚拟化、内存虚拟化、桥片虚拟化、网卡虚拟化）的辅助下，

物理服务器上运行的虚拟机数量会迅猛增加。一个大型IDC中运行数

十万个虚拟机是可预见的，当前的云服务IDC在业务规划时,，已经在

考虑这些因素。

二ifI二

虚拟化高密度虚拟机价

因此针对虚拟化环境下如何监控虚拟机之间的交换流量以及对

随着虚拟机迁移过程中策略的漂移将成为数据中心建设的一个关键

点。

由于一个虚拟机上可能存在多个系统，系统之间通讯就需要通过

网络，但和普通的物理系统间通过实体网络设备互联不同，各个系统

的网络接口也是虚拟的，因此不能直接通过实体网络设备互联。目前

参考虚拟机的实现方式，将网络设备也虚拟化，并绑定在虚拟机（服

务器中虚拟出交换机）中，这样虚拟机上的网络接口可以不需要经过

实体网络，直接在虚拟机内部通过虚拟交换机等虚拟的网络设备进行

互联。

物理主机（服务器）虚拟交换机，用于虚拟机互访（本质上就是

一种“软”交换机的行为，软件虚拟出来交换机）：

•性能低，特性少

•模糊了主机和网络管理界面

带来的问题:

1、流量无法监控，存在安全隐患

2、无法实施安全策略

3、管理边界不清（模糊了主机和网络管理界面，服务器和网络

管理员的管理界面）

4、影响服务器性能

因此在云计算数据中心接入交换机上采用一种“硬”交换机的思

路，将虚拟机的交换能力回归到交换机，性能保证，特性丰富，管

理界面清晰。

指定了一种EdgeVirtualBridgin晨EVB）标准，该标准基于一个

名为VirtualEthernetPortAggrRG-RSR7708-Xator（VEPA）的技术。

通过VEPA,来自于VM的所有流量都会被转发到邻近的物理接入交换机,

或者当目标VM也位于同一个服务器时被转回到相同的物理服务器。

网络边界

流量监管

"硬"

交换机交换机

策略控制

•物理主机虚拟交换机

•性能低，0规格换一种思路•将虚拟肾回奂能力

•模糊了主机和网络管新的解决方案回归到交换机

理界面•性能保证，特性丰富

•管理界面清晰

通过将数据牵引到物理交换机从而带来如下好处:

•提升性能、降低复杂性，实现：将高级复杂的网络功能从VM

转移到外部网络

•保持NIC（网卡）的低成本电路，实现：将高级网络功能调整

到外部网络

•一致性控制策略实现，实现：将所有流量转发到外部网络，

网络实现更加完备的的强制控制策略

•VM间流量可视性，实现：外部网络提供完善的管理工具

•清晰管理边界，降低服务器管理人员的网络配置要求，降低

网络管理人员的配置复杂性

本方案中采用核心交换机支持下一代数据中心特性，为校园云平

台的建设提供功能保障。

3.5.3.2汇聚区规划

楼宇汇聚层是接入层和区域核心层的分界点，帮助定义边界和区

分核心层。并能实现复杂的、消耗资源较大的数据包操作。

楼栋汇聚层交换机建议具有以下特点:

1）具备万兆可扩展性；

2）建议提供足够数量的光口，可以复合使用，满足不同环境

的灵活配置。

3）为了保障网络的稳定，对网络中的广播报文进行处理，要

求汇聚设备支持广播风暴控制，保障网络的稳定和安全，

并提供简单配置方式，可基于端口速率百分比、端口速率

等多种方式进行阀值的设置，方便管理员使用；

4）为满足和Cernet2的互连,建议汇聚采用支持IPv6的设备,

保障以后可以平滑过渡到Cernet2,保护投资；

5）要求汇聚提供PVLAN功能，这样采用保护端口时不必占用

VLAN资源，可非常方便地隔离用户之间信息互通，充分保

护用户信息的安全；

6）为了提供安全的访问控制，要求汇聚交换机支持远程访问

的源IP授权控制；

7）为了保障网络的安全，控制非法用户接入网络，保证合法

用户合理化使用网络，要求汇聚设备支持多种安全功能，

如：端口安全、专家级ACL、时间ACL、基于应用数据流的

带宽限速、多元素绑定等等，满足学校加强对访问者进行

控制、阻止非授权用户通信的需求；

8）为了实现方便快捷的管理，要求汇聚交换机提供丰富的管

理功能。如：支持CLI（需兼容业界主流标准）、SNMP

vl/v2/v3、Telnet>Console.RMON、Web管理、SSH、支

持SNTP、支持Syslog等；

3.5.3.3接入区规划

接入层交换机部署在各楼层布线间，提供终端用户的接入。各楼

层接入交换机主要提供局域网二层交换供电，具有高密度的千兆接入

端口，通过千兆链路上联到楼宇汇聚节点，为保证接入的高稳定性,

避免使用堆叠或级联的方式。

校园接入网络改造需配合接入交换机的更新换代进行，选择具有

完善安全管理功能的接入交换机实现从网络的最边缘即开始安全的

控制，更新的接入交换机RG-S2900E-P应需要具备如下的条件：

性组认安管

能播证全理

接入网交换机

性能方面：接入网交换机要保证所有端口的线速转发，支持千兆

上联；要支持堆叠和虚拟化技术。支持支持802.1P、端口优先

级、IPTOS、二到七层流过滤等QoS策略，具备MAC流、IP流、应

用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种

流策略。

组播方面：接入网交换机要支持IGMPSnoopingvl/v2/v3,并

且支持IGMP组播源端口检查功能，可限定交换机哪些端口可以有组

播源信息的播放，从而避免非法组播挤占网络带宽、扰乱校园网的正

常运行。

认证方面：接入网交换机要支持IEEE802.lx,与认证系统结合，

可严格实现用户身份识别，可根据用户账号、密码、MAC地址、IP地

址、交换机IP、交换机端口号、用户所在VLAN的灵活组合，来识别

用户身份。将网络中的虚拟用户和生活中的真实用户相对应，这样,

当出现网络安全问题时，比如有人在网络上发表了非法言论，结合日

志可以将安全事件到人，做到有据可查。特别是在认证通过后，接入

网交换机可自动动态绑定用户MAC地址和IP地址，确保用户在通过

身份认证后，无法私自篡改自己的MAC或IP地址，以便进行非法攻

击或盗用网络资源等行为，保护校园网络的安全性。要支持0ption82

功能，即可根据用户账号权限，由DHCPServer分配不同上网范围的

IP地址，控制用户上校内、校外、国际网，实施不同的访问权限和

收费策略，满足网络管理和运营需要。

同时支持接入级WEB认证，对于有些不能够安装IEEE802.lx客

户端的用户终端可以采用基于网页的认证方式，不需要在用户终端安

装任何应用程序甚至插件，只需凭借用户终端上的浏览器即可完成整

个网络认证过程。在认证通过后，交换机会自动将通过认证的用户

IP+MAC+端口对应的绑定规则下发到安全接入交换机内，对用户的报

文做源地址检查和过滤，对于不符合绑定规则的报文直接在端口级拒

绝转发，保证网络报文的真实有效。

安全方面：接入网交换机要支持内在的多种安全机制，有效防止

和控制病毒传播和网络流量攻击，控制非法用户使用校园网资源，保

证合法用户合理化使用校园网资源，如端口安全、端口隔离、专家级

ACL、时间ACL、端口ARP报文合法性检查、基于数据流的带宽限速、

六元素绑定、嵌入式硬件过滤BT数据流技术等，满足校园网加强对

访问者进行控制、限制非授权用户通信的需求。

管理方面：接入网交换机要支持提供加密传输的SSH(Secure

Shell),保证管理设备信息的安全性，防止黑客攻击和控制设备。支

持SNMPV1/V2,可以通过SNMP远程对设备进行管理。

由于此次安徽科技学院涉及无线AP数量较多，基于管理便捷和

设备整体安全考虑，建议采用无线POE交换机进行远程供电。本次方

案设计使用了千兆POE接入交换机RG-S2900G-P,实现无线千兆上联

的高标准要求的同时给全校4000多个无线AP进行供电。同时每台设

备通过千兆线路上联到汇聚设备，并且接入设备上有足够的端口冗余,

一方面保证了临时增加终端设备的需求，一方面可以用来将来对上行

带宽的扩展

3.5.4IP地址规划

IP地址的合理规划是网络设计中的重要一环，尤其对于安徽科

技学院公寓网网络系统这样大型网络，必须对IP地址进行统一规划

和实施。网络系统IP地址规划的优劣，直接影响到网络路由的效率、

网络的性能、网络的扩展和网络的管理，也必将直接影响到网络应用

的进一步发展。

3.5.4.1IP地址的分类

IP地址是TCP/IP协议族中的网络层逻辑地址，它被用来唯一地

标识网络中的一个节点。IP地址主要网络地址和主机地址两部份组

成：

网络地址主机地址

,32Bits-

IP地址主要分为A、B、C、D、E五类，其中常用的是A、B、C

三类，相应的掩码分别为8、16、24位。另外，为了灵活地在不同规

模的子网中分配不同数量的IP地址，需要采用VLSM技术，它可根据

需要在任意位划分子网边界，对一个主网络号，可分出最小只有2个

主机号的子网，亦可划分出一个较大的子网，因此它很灵活，特别是

在广域网或路由交换机互连的应用中，只需2个主机号地址，VLSM

非常有用，大大节约了地址空间，又保证了网络设计的灵活性。

3.5.4.2IP地址规划目标

安徽科技学院校园网IP地址规划的目标是通过对安徽科技学院

全网IP地址进行统一的规划和编码，有效实现网络互联，提高信息

交换效率，为网络的顺利运行和业务扩展奠定基础。

安徽科技学院未来的IP地址规划需要基于安徽科技学院网络拓

扑结构和安徽科技学院网络所承载的业务类别而进行的。安徽科技学

院内部网络的地址分配包括各类主机所用的地址、分配网络设备的地

址和分配给网络用户使用的地址。可以使用一块独立的地址空间按需

要进行分配。

3.5.4.3IP地址规划原则

IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利

用地址空间，又要体现网络的可扩展性和灵活性，同时能满足路由协

议的要求，以便于网络中的路由聚类，减少路由器中路由表路由数量,

减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，降低

网络动荡程度，隔离网络故障，提高路由算法的效率，加快路由变化

的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵

循以下原则：

唯一性：一个IP网络中不能有两个主机采用相同的IP地址；

简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简

化路由表的表项；

连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩

减路由表，提高路由算法的效率；

可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩

展时能保证地址叠合所需的连续性；

灵活性：地址分配应具有灵活性，以满足多种路由策略的优化,

充分利用地址空间。

3.5.4.4IP地址规划

在该方案中，为了节省网络地址空间，同时考虑网络地址的统一

管理和将来扩展的需要，安徽科技学院内部网络地址规划的总体设计

思路是：

•大部分用户采用私有地址空间，为每个VLAN划分一个C类地

址段，网关地址为该网地址空间的第一个可用地址。

•为了减少路由表的大小和路由振荡，在分配地址时尽量采用连

续的IP地址，每台汇聚层交换机上做路由聚合。

•对于用户VLAN接口IP,子网掩码统一采用255.255.255.0。

•对于核心层交换机与汇聚层交换机之间的三层或VLAN接口，

IP地址统一采用一个C类地址，子网掩码统一采用

255.255.255.252。

•对于交换机管理IP,所有设备统一采用一个C类IP地址段。

3.5.5VLAN规划

出于管理及安全的考虑，VLAN的规划需要根据用户类型进行划

分。VLAN划分总体采用以下原则：

VLAN的划分需参考IP地址的规划，在局域网内部，将VLAN与

IP子网对应，在同一功能区域，IP子网连续的地方，VLANID以同

样规律保存连续，方便记忆和管理。

不同VLAN之间是链路层隔离了，所有链路广播报文都是在一个

VLAN内部广播的，不会扩散到VLAN之外。VLAN之间的互访必须在

IP层进行，可以通过访问控制列表ACL(Accesscontrollist)进

行控制。在IP设备上，将VLAN终结，每个VLAN对应一个IP子网，

该VLAN对其它IP子网的访问控制可以在VLAN所对应的IP逻辑接口

上通过ACL配置实现。

3.5.6IPv6校园网规划

硬件支持IPv4/IPv6双栈设备是目前选购网络设备的基本条件。

双栈设备为IPv4向IPv6网络过渡、现有的IPv4网络间通信、以及

IPv6网络间的通信提供了最直接和最方便灵活的技术实现和方案保

障。通过各层网络设备支持IPv4/IPv6双栈，也标志着校园网的所有

用户都可以享受到IPv6服务。而硬件支持IPv6则可以保证线速转发

速率，避免软件支持时造成性能瓶颈。通过IPv6Ready认证标志着

该设备是一款能够和其他支持IPv6设备互通成熟的产品，所以IPv6

Ready也必不可少。该设备也要支持多种Tunnel隧道技术(如手工

配置隧道、6to4隧道和ISATAP隧道等等，可根据IPv6网络的需求

规划和网络现状，提供灵活的IPv6网络间通信方案。除了硬件支持

IPv6外，该汇聚层设备本身的安全特性也是必不可少，如要支持内

置防DoS攻击，防IP扫描，并能部署标准IPACL、扩展IPACL、MAC

扩展ACL、时间ACL、专家级ACL。

其他的像要支持IGMPvl/v2/v3全部版本，以适应不同组播环境,

满足组播安全应用的需要和以DiffServ标准为核心的QoS保障系统,

支持802.IP、IPT0S、二到七层流过滤、SP、WRR等完整的QoS策略，

实现基于全网系统多业务的QoS逻辑则是基本的要求。

包括但不限于以下应用：IPv6无线网络、IPv6网络电视、移动

IPv6多媒体应用。

fH中aiepMLk*屯H&*＞电悦«»Tft懵板黑》打懵中Q氧*电网文/电相懵代发认

做“双立％冷般外落以不X卫%抬IM%笑附为X

□□□□□□

\/\I//

IGIGd/

修出公幡多

“格电通南工

“般部**««*'划中心

网络电视

示范系统拓扑

4、界慢人忐

於2H.逢检人2校81

ibA

（制用dd

中HL*.

IPv6网络电视

移动IPv6多媒体网络应用

3.5.7网络安全设计

3.5.7.1设备级安全功能

设备级可靠性主要从设备自身可靠性，网络中的核心层交换机需

要具备关键的可靠性技术：

•可靠性指标必须达到99.99%O

•所有关键器件，如主控板、电源等都采用冗余设计，业务模

块支持热插拔。

•网络核心设备无源背板，采用无源器件的背板，可靠性更高。

•网络核心设备支持不间断转发，主控板热备份。主备倒换过

程不影响业务转发，不丢包。

•为避免因病毒、蠕虫等引起的网络泛洪对网络设备造成CPU

升高等影响网络的情况出现，所有设备应具备CPU保护技术

来避免异常流量和攻击流量对设备可靠性的威胁。

•安全策略部署透明，不影响设备和网络性能，不影响业务和

用户体验

基于上述要求，选择的核心交换机支持多种硬件的安全防护技术,

主要包括：引擎切换数据不间断转发、电源冗余、业务模块热插拔、

防Dos攻击、防扫描、防源IP地址欺骗、SPOH、CPP、LPM+HDR等。

通过采用专门针对攻击手段设计的ASIC芯片针对网络中的各种攻击

进行安全的防护，保证在处理安全问题的同时依然不影响网络正常数

据的转发。

建议选择的全系列交换机具备的硬件CPU保护功能（CPP）可实

现对CPU的自动硬件防护机制，保证设备不会因为协议攻击而宕机。

同时交换机上具备的SPOH技术（基于硬件的同步式处理），在线

卡的每个端口上利用FFP硬件进行安全防护和智能保障，各端口可以

同步地、不影响整机性能地进行硬件处理。最长匹配（LPM）技术解

决了“流精确匹配”的缺点，支持一个网段使用一个硬件转发表项，

杜绝了攻击和病毒对硬件存储空间的危害。HDR抛弃了传统方式CPU

参与“一次路由”的效率影响，在路由转发前形成路由表项，避免了

攻击和病毒对CPU利用率的危害。LPM+HDR技术的结合不仅极大地提

升了路由效率，而且保障设备在病毒和攻击环境下的稳定运行。

3.5.7.2防ARP攻击设计

作为攻击源的主机伪造一个ARP数据包，此ARP包中的IP与MAC

地址对同真实的IP与MAC对应关系不同，此伪造的ARP包发送出去

后，网内其它主机根据收到的ARP包中的SENDER'S字段，ARP缓存

被更新，被欺骗主机或网络设备的ARP缓存中特定IP被关联到错误

的MAC地址，被欺骗主机或网络设备访问特定IP的数据包将不能被

发送到真实的目的主机或网关，目的主机或网关不能被正常访问。

防ARP欺骗设计

在宿舍区接入交换机上开启ARP-CHECK功能，提取ACE中的

IP+MAC资源，形成新的ACE资源（ARP报文过滤），对经过交换机的

ARP报文进行检验，对交换机绑定表中存在的ARP表项进行放行，对

非法的ARP报文直接丢弃，从而实现防ARP欺骗功能。

3.5.7.2交换机IP防扫描设计

众所周知，许多黑客攻击、网络病毒入侵都是从扫描网络内活动

的主机开始的，大量的扫描报文也急剧占用了网络带宽，导致正常的

网络通讯无法进行。而且，互联网上扫描的工具多如牛毛。

为此，方案中的三层核心交换机提供了防扫描的功能，用以防止

黑客扫描和类似“冲击波病毒”的攻击，以减轻三层交换机的CPU负

担。

目前发现的扫描攻击有两种：

v

•目的IP地址不断变化的扫描，"scandestipattacko

这种扫描攻击是最危害网络的，不但消耗网络带宽，增加交

换机的负担，更是大部分黑客攻击手段的起手工具。

•目的IP地址不存在的扫描，“samedestipattack"。这

种攻击主要是通过增加交换机CPU的负担来实现的。对三层

交换机来说，如果目的IP地址存在，则报文的转发会通过交

换芯片直接转发，不会占用交换机CPU的资源；而如果目的

IP地址不存在，那么交换机CPU会定时去尝试连接，如果存

在大量的这种尝试连接，也会消耗CPU资源。当然，这种攻

击的危害比第一种小得多了。

以上这两种攻击，核心交换机都可以通过在接口上调整相应的攻

击阀值、攻击主机隔离时间等参数，来减轻其对网络的影响。另外,

还可以根据网络中可监控的主机数，在全局模式下设置可监控攻击主

机的最大值，以达到更好地保护系统的要求。

3.5.7.3防DOS/DDOS攻击

近年来，各种DoS攻击(DenialofService,拒绝服务)报文在

互联网上传播，给互联网用户带来很大烦恼。DoS的攻击方式有很多

种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资

源，从而使合法用户无法得到服务的响应。攻击报文主要采用伪装源

IP以防暴露其踪迹。

针对这种情况，RFC2827提出在网络接入处设置入口过滤

(IngressFilting),来限制伪装源IP的报文进入网络。这种方法更

注重在攻击的早期和从整体上防止DoS的发生，因而具有较好效果。

使用这种过滤也能够帮助ISP和网管来准确定位使用真实有效的源IP

的攻击者。ISP应该也必须采用此功能防止报文攻击进入Internet；

企业(校园网)的网管应该执行过滤来确保企业网不会成为此类攻击

的发源地。

交换机采用基于RFC2827的入口过滤规则来防止DoS攻击，这种过

滤是通过自动生成特定的ACL来实现，该过滤采用硬件实现而不会给

网络转发增加负担。

3.5.7.4路由安全设计

(1)路由认证和保护

路由认证(RoutingAuthentication),就是运行于不同设备的相

同的动态路由协议之间，对相互传递的路由刷新报文进行的确认，以

便使得设备能够接受真正而安全的路由刷新报文。

任何运行一个不支持路由认证的路由协议，都存在着巨大的安全

隐患。某些恶意的攻击者可以利用这些漏洞，向网络发送不正确或者

不一致的路由刷新，由于设备无法证实这些刷新，而使得设备被欺骗，

最终导致网络的瘫痪。

目前，多数路由协议支持路由认证，并且实现的方式大体相同。

认证过程有基于明文的，也有基于更安全的MD5校验。

MD5认证与明文认证的过程类似，只不过密钥不在网络上以明文

方式直接传送。路由器将使用MD5算法产生一个密钥的“消息摘要”。

这个消息摘要将代替密钥本身发送出去。这样可以保证没有人可以在

密钥传输的过程中窃取到密钥信息。

为了保证路由协议的安全，在路由协议配置时必须配置OSPF的

认证，建议采用MD5认证。

(2)关闭IP功能服务

有些IP特性被恶意攻击者利用，会增加网络的危险，因此，网

络设备应具备关闭这些IP功能的能力。

•IP源路由选项开关

在IP路由技术中，通常一个IP报文总是沿着网络中的每个路由

器所选择的路径上转发分组。IP协议中提供了源站和记录路由选项，

它的含义是允许源站明确指定一条到目的地的路由，覆盖掉中间路由

器的路由选择。并且，在分组到达目的地的过程中，把该路由记录下

来。源路由选项通常用于指定网络路径的故障诊断和某种特殊业务的

临时传送。

因为IP源路由选项忽略了报文传输路径中的各个设备的中间转

发过程，而不管转发接口的工作状态，可能被恶意攻击者利用，刺探

网络结构。因此，设备应能关闭IP源路由选项功能。

•重定向开关

网络设备向同一个子网的主机发送ICMP重定向报文，请求主机

改变路由。一般情况下，设备仅向主机而不向其它设备发送ICMP重

定向报文。但一些恶意的攻击可能跨越网段向另外一个网络的主机发

送虚假的重定向报文，以期改变主机的路由表，干扰主机正常的IP

报文转发。

因此，设备应能关闭ICMP重定向报文的转发。

•定向广播报文转发开关

在接口上进行配置，禁止目的地址为子网广播地址的报文从该接

口转发，以防止smurf攻击。因此，设备应能关闭定向广播报文的转

发。缺省应为关闭状态。

•ICMP协议的功能开关

很多常见的网络攻击利用了ICMP协议功能。

ICMP协议允许网络设备中间节点（路由器）向其它设备节点和

主机发送差错或控制报文；主机也可用ICMP协议与网络设备或另一

台主机通信。

对ICMP的防护比较复杂，因为ICMP中一些消息已经作废，而有

一些消息在基本传送中不使用，而另外一些则是常用的消息、，因此

ICMP协议处理中应根据这三种差别对不同的ICMP消息处理，以减少

ICMP对网络安全的影响。

3.5.7.5设备管理安全设计

(1)只开放必要的网络服务

网络设备可以提供很多网络服务，有些服务可能成为网络攻击的

对象。为了提供网络设备的安全级别，尽可能关闭不必要的服务，降

低网络攻击的风险。

(2)网络管理认证

管理员认证应采用集中认证和本地认证相结合的方式，集中认证

为主要认证方式，本地认证为备份认证方式，在集中认证服务器无法

访问的情况下使用本地认证。集中认证采用Radius认证协议，同时

在设备上建立本地用户数据库，在Radius服务器不可用的情况下，

使用本地数据库进行验证。在VTY和Console接口上启用管理认证,

认证方式为集中认证和本地认证相结合。

(3)Telnet接入安全

TELNET是对网络设备进行管理的主要手段，可以对设备进行最

为有效的操作，为了确保TELNET访问的合法性和安全性，我们需要

注意：

1.设置最大会话连接数;

2.设置访问控制列表，限制TELNET的连接请求来自指定的源IP

网段；

3.尽量用SSH代替TELNET,采用SSH的好处是所有信息以加密

的形式在网络中传输。

(4)SNMP安全

通过SNMP可以对设备进行全面的日常管理，为了提高SNMP管理

的安全性，需要应注意以下几点：

1.避免使用缺省的snmpcommunity,设置高质量的口令；

2.不同区域的网络设备采用不同的snmpcommunity；

3.把只读snmpcommunity和可读写snmpcommunity区分开来；

4.配置ACL来限制能够通过SNMP访问网络设备的IP地址。

3.5.7.6汇聚嵌入式安全

面对现在网络环境越来越多的网络病毒和攻击威胁，要求操作系

统提供强大的网络病毒和攻击防护能力，网络硬件不仅提供了基于

SPOH技术的ACL功能，而且还支持防源IP地址欺骗(SouceIP

Spoofing)>防DOS/DDOS攻击(Synflood,Smurf),防扫描(PingSweep)

等能力，从设备本身的功能即可保证网络安全。

因此对于局域网中，建议如下部署：在核心汇聚部署支持防源

IP地址欺骗(SouceIPSpoofing)、防DOS/DDOS攻击(Synflood,

Smurf),防扫描(PingSweep)等能力。

3.5.7.7接入安全控制

在接入部署ACL,对冲击波、蠕虫等病毒进行防范已经生成数

BPDU攻击、MAC攻击等二层攻击，使有害数据包在接入就被过滤。要

求接入交换机具备完善的QoS以及强大的安全接入控制能力。具体要

求如下：

二至四层线速转发，二至七层智能识别：硬件全线速实现路由、

ACL、Q0S,带宽限制，全面提升用户体验；

硬件实现端口与MAC地址和用户IP地址的绑定：不需要第三方

设备或软件，仅通过设定访问交换机上某个端口的用户MAC地址和

IP,就可硬件实现严格控制对该端口的用户输入，有效防止非法用户

的接入。

有效杜绝非法组播源:支持IGMP源端口检查功能，以及支持IGMP

源IP检查功能，有效地杜绝非法的组播源播放非法的组播信息，更

好地提高了网络的安全性。

极灵活的基于流的带宽控制能力：具备MAC流、IP流、应用流

等多层流分类和流控制能力，实现灵活精细的带宽控制、转发优先级

等多种流策略，带宽限制粒度达64Kbps,支持网络根据不同的业务、

以及不同业务所需要的服务质量特性，提供差异化服务

完善的QoS：RG-S29E支持完善的QOS,以DiffServ标准为核心

的QoS保障系统，支持802.IP、IPT0S＞二到七层流过滤、SP、WRR

等完整的QoS策略，实现基于全网系统多业务的QoS逻辑；

强大的安全接入控制能力：硬件本身即可实现端口与MAC地址和

用户IP地址的绑定，另外和配合宽带认证计费管理系统可实现用户

帐号与IP、MAC、交换机IP、端口、VianID多元素的复合绑定。保

证用户身份的合法性和唯一性，可以有效的避免IP地址冲突、帐号

盗用等问题发生。

通过PVLAN即可隔离用户信息互通：采用保护端口(即将该端口

设为保护端口)实现端口之间相互隔离，不必占用VLAN资源。采用

保护端口即保证用户信息安全，又节约VLAN资源，同时不必再修改

VLAN配置，大大提高维护效率。

多端口同步监控MSPAN：通过一个端口可同时监控多个端口的数

据流，可以只监控输入帧或只监控输出帧或双向帧，有效提高监测效

率。

1)IP+MAC+端口绑定

学生宿舍区的用户上网的安全性非常重要，要求接入交换机可以

实现端口IP+MAC地址的绑定关系，可以支持基于MAC地址的802.IX

认证。MAC地址的绑定可以直接实现用户对于边缘用户的管理，提高

整个网络的安全性、可维护性。

2)防止病毒广播泛洪

要求接入交换机可实现广播报文的计数累计功能，往往一台主机

受病毒时会发出大量的广播报文，交换机可实现对与进入报文的计数

累计，广播病毒一般会在短时间内产生大量的广播包，通过可设置广

播包的阀值，当达到一定的广播保文的数量时端口可是直接关闭，确

保网络的安全、稳定。

3)入网用户身份认证

基于802.IX的扩展的认证计费系统在用户第一次上网就必须认

证，保证了用户上网的安全和合法性。

4)防止对DHCP服务器攻击

使用DHCPServer动态分配IP地址会存在两个问题：一是DHCP

Server假冒，用户将自己的计算机设置成DHCPServer后会分发非

法地址给终端用户，造成用户无法使用网络，；二是用户DHCPSmurf,

用户使用软件变换自己的MAC地址，大量申请IP地址，很快将DHCP

的地址池耗光。

对于第一种情况，使用接入交换机的访问列表就可以实现防范：

在安全接入交换机上定义一个访问列表，该访问列表允许目的

IP地址为合法DHCP服务器(或这个网段的网关地址，部分三层交换

机在DHCPrelay之后,DHCPsever的地址会替换成三层SVI的地址)、

sourceport为67而destinationport为68的UDP报文通过。而

其它sourceport为67而destinationport为68的UDP报文拒绝，

之后把这个访问列表应用到上联物理端口上。同时再定义一个访问列

表，拒绝sourceport为67而destinationport为68的UDP报文

通过，并运用在下联端口。

对于第二种情况，开启接入交换机的端口安全功能就可以实现防

范。在接入交换机设置端口安全，可以根据网络的实际情况设置，设

置某个端口下学习源MAC的个数，一旦学习到的源MAC地址大于设置

值，那么数据帧就会在端口丢弃，同时发送警告信息通知网管员，或

是逻辑上关闭该端口。如下图:

当端口学习的源MAC地址

数量,N个，受到的数据

帧丢弃/发送警告信息通

知网管员/并关闭端口

■

而对于用户手工设置静态IP地址，造成和已分发的动态IP地址

冲突，可以通过认证系统指定用户只能采用DHCP获取IP。

5)多元素绑定技术构筑高安全校园网

IP地址、MAC地址、接入交换机端口、以及接入交换机IP、身

份信息、是标识网络用户的基本元素，而单一的元素无法为管理员来

标识一个用户，而网络安全被利用最多还是MAC、IP地址等。

6)MAC地址欺骗

将合法的MAC地址修改成不存在的MAC地址或其他人的MAC地

址，从而达到隐藏自己真实的MAC,来达到一些不可告人的目的，这

就是MAC地址欺骗。

7)MAC地址泛洪攻击交换机

由于交换机内部的MAC地址表空间是有限的，正常情况下，这些

MAC地址表是足够用的，一般情况下，基本不会发生MAC地址表被占

满的情况。但如果有人恶意对这台交换机进行MAC地址泛洪攻击的话，

则会很快占满交换机内部MAC地址表，使得本来交换机本来是按单播

进行转发数据包的，但由于M