南京藝術學院校園網(wǎng)有線無線網(wǎng)絡一體化設計方案

1、南京藝術學院校園網(wǎng)有線無線網(wǎng)絡一體化設計方案2015 年 4 月第一章綜述41.1. 學院簡介41.2. 校園網(wǎng)建設思路 41.2.1. 合理的網(wǎng)絡結構 51.2.2. 先進性和實用性 51.2.3. 網(wǎng)絡的可擴展性 51.2.4. 網(wǎng)絡的可靠性 61.2.5. 網(wǎng)絡的標準化61.2.6. 網(wǎng)絡的可管理性 6第二章網(wǎng)絡方案建議及設計 72.1. 設計思路72.2. 網(wǎng)絡架構總體設計概覽 72.3. 校園網(wǎng)絡架構設計說明 82.3.1. 網(wǎng)絡物理結構互聯(lián)設計說明 82.4. 校園網(wǎng)基礎網(wǎng)絡架構設備選型 92.4.1. 核心層交換機 92.4.2. 匯聚層交換機 112.4.3. 接入層交換機12

2、第三章網(wǎng)絡基礎服務設計 143.1. 網(wǎng)絡設備命名設計 143.2. 交換網(wǎng)絡設計 153.3. VLAN劃分153.4. VLAN劃分示例153.5. 二層無環(huán)設計 163.6. Spanning-Tree 設計 163.7. Trunk 設計173.8. 鏈路聚合設計 183.9. 路由設計183.10. 路由協(xié)議選擇 18第四章IP地址設計194.1. IP 地址整體設計 194.1.1. IP 地址整體設計 194.1.2. IP 地址總體分配規(guī)則 20第五章高可用設計205.1. 高可用設計原則 205.2. 網(wǎng)絡設備高可用 215.3. 三層高可用 215.3.1. 網(wǎng)關冗余215

3、.3.2. 路由冗余225.4. 二層高可用 225.4.1. 生成樹冗余 22第六章SNM件定義網(wǎng)絡-智能園區(qū)網(wǎng)解決方案說明 236.1. 智能園區(qū)為管道方案236.1.1. 智能選路和故障恢復 236.2. 流量分析和攻擊保護方案26第七章無線設計方案297.1. 無線網(wǎng)絡需求分析 297.2. 基于WLANO絡的移動多媒體業(yè)務需求 297.2.1. 移動多媒體辦公需求 297.2.2. 移動多媒體教學需求 297.2.3. 滿足校園特點的安全和可靠性 297.2.4. 高性能的IPv6和IPv4無線接入 307.2.5. 基于個人用戶的運營管理 307.2.6. 滿足生產、運營網(wǎng)絡要求的

4、運維和管理 307.2.7. 支持用戶全網(wǎng)漫游 307.2.8. 靈活部署、易于擴展、高性價比 307.3. 無線網(wǎng)絡設計原則 317.4. 無線網(wǎng)絡部署原則 327.5. 無線覆蓋方案設計 327.5.1. 室內 AP 337.5.2. 室外 AP 337.6. 無線安全接入和認證方式34第八章方案特點378.1. 高可用性378.2. 高安全性378.3. 高度的開放性與標準化 378.4. 易維護3711第一章綜述1.1. 學院簡介南京藝術學院是江蘇省唯一的綜合性藝術院校，也是我國獨立建制創(chuàng)辦最早并延續(xù)至今的高等藝術學府。其前身是1912年中國美術教育的奠基人劉海粟先生約同畫友創(chuàng)辦的上海

5、 圖畫美術院，1930年更名為上海美術?？茖W校，由蔡元培先生任上海美專董事局主席，并 為校歌作詞，題寫校訓、學訓。 1922年，顏文楔先生在蘇州創(chuàng)辦了蘇州美術?？茖W校。這 兩所中國最早的私立美術學校于1952年全國高等學校院系調整中與山東大學藝術系美術、音樂兩科合并成為華東藝術?？茖W校，址于江蘇無錫社橋。合并工作于12月8日完成，從此，這一天成為南京藝術學院的校慶日。1958年華東藝專遷校南京，址于丁家橋。同年 6月更名為南京藝術專科學校。1959年定名為南京藝術學院，學制改為四年，從而完成了學校的本科建制。1967年遷址南京市虎踞北路 15號。經(jīng)過一個世紀的建設和發(fā)展，南京藝術 學院經(jīng)風雨而

6、茁壯，歷滄桑而彌堅，已發(fā)展成為在國內外卓有影響的綜合性高等藝術學府。1.2. 校園網(wǎng)建設思路根據(jù)對校園網(wǎng)規(guī)模和網(wǎng)絡需求的分析，可以對網(wǎng)絡的建設目標有更清晰的認識。網(wǎng)絡 建設應該向著易管理、可擴展、高可靠性的方向發(fā)展，滿足日常的校園應用和教學開展需求 同時為將來業(yè)務擴展提供良好的基礎。針對網(wǎng)絡以及應用平臺的需求， 結合我們在教育行業(yè)的先進經(jīng)驗， 我們建議在網(wǎng)絡建設 時，重點考慮以下的幾個方面， 建設一張有線無線一體化平臺的網(wǎng)絡系統(tǒng)， 滿足日常業(yè)務開 展的需求。網(wǎng)絡系統(tǒng)設計必須適應各項應用和的需要，又可面向未來信息化發(fā)展的需要，必須是高質量的網(wǎng)絡。在設計網(wǎng)絡時，需要遵循以下原則：(1) 高可靠性：

7、網(wǎng)絡的穩(wěn)定可靠是應用系統(tǒng)正常運行的關鍵，在網(wǎng)絡設計中選用高可 靠性的網(wǎng)絡產品設備，充分考慮冗余、容錯和備份能力，同時合理設計網(wǎng)絡架構，制訂可靠 的網(wǎng)絡備份策略，保證網(wǎng)絡具有故障自愈的能力，最大限度地支持系統(tǒng)的可靠運行。(2) 技術先進性：在保證滿足基本業(yè)務應用的同時，又要體現(xiàn)出先進性。在網(wǎng)絡設計中要把先進的技術與現(xiàn)有的成熟技術和標準結合起來，充分考慮到網(wǎng)絡應用的現(xiàn)狀和未來發(fā)展趨勢。(3) 高性能：骨干網(wǎng)絡的性能是整個網(wǎng)絡良好運行的基礎，在設計中必須保障網(wǎng)絡及 設備的高吞吐能力，保證各種信息(數(shù)據(jù)、語音、圖像)的高質量傳輸，才能使網(wǎng)絡不成為 業(yè)務開展的瓶頸。(4) 標準開放性：支持國際上通用標準

8、的網(wǎng)絡協(xié)議、國際標準的大型的動態(tài)路由協(xié)議 等開放協(xié)議，有利于以保證與其它網(wǎng)絡之間的平滑連接互通，以及將來網(wǎng)絡的擴展。(5) 可擴展性：根據(jù)未來業(yè)務的增長和變化，網(wǎng)絡可以平滑地擴充和升級，最大程度 的減少對網(wǎng)絡架構和現(xiàn)有設備的調整。(6) 可管理性：選用先進的網(wǎng)絡管理平臺，具有對設備、端口等的管理及流量統(tǒng)計分 析，并可提供故障自動報警。(7) 安全性：制定統(tǒng)一的網(wǎng)絡安全策略，整體考慮網(wǎng)絡平臺的安全性，包括端點接入 安全、應用層安全防御等，做到業(yè)務數(shù)據(jù)的安全傳遞和網(wǎng)絡設備不受非法攻擊。(8) 經(jīng)濟性：在充分利用現(xiàn)有資源的情況下，最大限度地降低網(wǎng)絡系統(tǒng)的總體投資， 有計劃、有步驟地實施，在保證網(wǎng)絡整

9、體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡設備或做必要的升級。1.2.1. 合理的網(wǎng)絡結構校園網(wǎng)網(wǎng)絡的建設，需要制定一個合理的網(wǎng)絡架構，提供穩(wěn)定、可靠、高效和靈活的 業(yè)務承載平臺，滿足業(yè)務及應用的需求。1.2.2. 先進性和實用性網(wǎng)絡設計應本著實用與先進的原則。一方面能滿足校園日常應用系統(tǒng)的數(shù)據(jù)傳輸要求，為各信息點提供網(wǎng)絡傳輸服務。另一方面，又要體現(xiàn)出網(wǎng)絡系統(tǒng)的先進性。在網(wǎng)絡設計中要把先進的技術與現(xiàn)有的成熟技術結合起來，充分考慮到應用的現(xiàn)狀和未來發(fā)展趨勢。1.2.3. 網(wǎng)絡的可擴展性業(yè)務的發(fā)展對網(wǎng)絡的需求是不斷變化的，網(wǎng)絡應用系統(tǒng)為了滿足這些需求也會隨之變化。面對不斷變化的情況和需求，網(wǎng)絡應當能夠作出

10、快速和有效的反應。因此，網(wǎng)絡必須具 備良好的可擴展性，應支持核心業(yè)務系統(tǒng)的不斷擴展，適應未來業(yè)務的發(fā)展和變化。同時， 網(wǎng)絡結構應當能夠變化，具有靈活的伸縮能力，網(wǎng)絡設備可以擴充和升級。網(wǎng)絡的可擴展性也體現(xiàn)在網(wǎng)絡設備的可擴展性和良好的性價比和投資保護。1.2.4. 網(wǎng)絡的可靠性網(wǎng)絡系統(tǒng)的穩(wěn)定可靠是園區(qū)網(wǎng)絡各個應用系統(tǒng)正常運行的保證，應采用高可靠性的網(wǎng) 絡產品和完備的網(wǎng)絡備份策略，對于不同層次的設備和線路進行不同級別的可靠性設計，使網(wǎng)絡具有故障自愈的能力。1.2.5. 網(wǎng)絡的標準化網(wǎng)絡設計中所用的各種管理信令、接口規(guī)程、協(xié)議須符合國際標準。網(wǎng)絡技術的選擇 上采用開放的標準技術，且適度前瞻。技術具備

11、開放性和通用性，保證能在多廠家、多品牌 設備的良好的互連互通。1.2.6. 網(wǎng)絡的可管理性隨著網(wǎng)絡規(guī)模的不斷擴大和網(wǎng)絡的不斷復雜，網(wǎng)絡的維護量隨之增加。整個網(wǎng)絡的可 管理性變得尤為重要。 因此，數(shù)據(jù)中心網(wǎng)絡系統(tǒng)應當具有統(tǒng)一的可管理性，建立統(tǒng)一的網(wǎng)絡管理平臺。不僅實現(xiàn)對網(wǎng)絡設備的管理，同時實現(xiàn)對網(wǎng)絡策略的管理和不同協(xié)議的多級維護。第二章網(wǎng)絡方案建議及設計2.1. 設計思路校園網(wǎng)絡的建設存在兩種建設思路：路由式網(wǎng)絡和交換式網(wǎng)絡。路由式網(wǎng)絡，一般其核心是由高、中端路由器構成的；而交換式網(wǎng)絡，主要是通過三層交換機來構建?？紤]到校園網(wǎng)絡的可靠性、安全性、簡單管理等要求，網(wǎng)絡架構設計盡量簡單，首先每棟樓宇

12、內部每個樓層都設計有12個IDF弱電間，同時我們考慮到校園網(wǎng)絡架構對可靠性、安全性的要求，針對于學生、教員、監(jiān)控安保設備網(wǎng)等對網(wǎng)絡的不同需求，結合當前整個校園網(wǎng)網(wǎng)絡發(fā)展的方向，我們建議整個網(wǎng)絡結構首先劃分為兩個層次，業(yè)務接入層和業(yè)務控制層，業(yè)務接入層由接入層交換設備與匯聚層交換設備完成，業(yè)務控制層可以通過核心交換機、業(yè)務服務器、路由器或者防火墻等設備來完成，形成一張可擴展可伸縮， 兼顧可靠性、安全性、業(yè)務可發(fā)展以及網(wǎng)絡結構的一致性和簡單性，網(wǎng)絡互聯(lián)物理架構采用三層結構，網(wǎng)絡業(yè)務層采用扁平化架構，即業(yè)務控制層和業(yè)務接入層。2.2. 網(wǎng)絡架構總體設計概覽網(wǎng)絡結構就像是建筑的根基。根基不好，則整個建

13、筑不穩(wěn)。網(wǎng)的優(yōu)劣，將影響網(wǎng)絡的各個方面，譬如安全、維護、管理等等。過去的網(wǎng)絡，由于受到設備能力的限制素，網(wǎng)絡結 構的設計，往往根據(jù)設備來設計網(wǎng)絡。而今天的網(wǎng)絡，我們則應該根據(jù)應用，根據(jù)是否更具 備擴展性、是否更安全，是否更易于維護和管理來考慮。校園網(wǎng)絡架構，根據(jù)業(yè)務和功能可以劃分為業(yè)務控制層即核心層以及業(yè)務接入層即匯聚和接入層。物理上的連接方式仍然是三層架構， 因為校園網(wǎng)絡規(guī)模和樓宇比較分散， 需要 將接入層交換機歸類按樓宇或地域進行集中匯聚，然后匯聚層再上聯(lián)到核心層，這樣既可以節(jié)約核心層交換機的端口， 同時也可以理清網(wǎng)絡物理架構，減輕核心設備的壓力和成本開支。當然現(xiàn)在的扁平化兩層架構和傳統(tǒng)的

14、三層架構其實從其根本上沒有什么沖突，傳統(tǒng)的三層將業(yè)務終結到核心或者匯聚層，而現(xiàn)在技術發(fā)展到今天， 核心網(wǎng)絡設備的功能和性能越來越強大足夠承擔核心和匯聚統(tǒng)一的功能，因此將原有傳統(tǒng)的核心和匯聚組合成業(yè)務控制層，減少網(wǎng)絡層次結構更加清晰化，形成面向未來的扁平化兩層架構，其扁平化的管理及安全控制相比較傳統(tǒng)的三層會更加簡單高效易于管理。還有對未來網(wǎng)絡擴展綜合來說業(yè)務層面扁平化是它帶給用戶的不僅僅是技術的先進性,性和經(jīng)濟性的考慮，更加有利于網(wǎng)絡的全面完善的業(yè)務支持能力、提高網(wǎng)絡處理性能和效率, 提升網(wǎng)絡整體的可靠性和管理維護的便利性。物理結構三層連接方式，接入、匯聚、核心，三層網(wǎng)絡架構更清晰，成熟。參考物

15、理三層網(wǎng)絡架構設計網(wǎng)絡拓撲概覽如下圖:校園園區(qū)網(wǎng)架構互聯(lián)概覽圖五M交靛機千瓶修廄率總成黃玄 里KL出事冏 掛人屆< 鼻胃口收* 上聯(lián)*匯M生府充攙蛇5辭機培互玳網(wǎng)脖教科網(wǎng)2.3. 校園網(wǎng)絡架構設計說明2.3.1. 網(wǎng)絡物理結構互聯(lián)設計說明校園網(wǎng)網(wǎng)絡物理互聯(lián)架構設計采用三層網(wǎng)絡結構。校園網(wǎng)核心層采用兩臺高性能模塊發(fā)交換機,提供整個校園網(wǎng)互聯(lián)互通，運行三層路由協(xié)議，比如OSPF等，核心交換機配置冗余引擎，冗余轉發(fā)，冗余電源以及散熱系統(tǒng)。核心交換機提供豐富且高密度的千兆、萬兆端口，用于連接服務器、匯聚或者接入層交 換機。核心交換機能夠支持跨機箱端口聚合能力，可以支持針對面向于核心交換機的外圍網(wǎng)

16、絡 設備進行跨機箱的端口聚合，提供高速、冗余的鏈路能力。校園網(wǎng)匯聚層交換機主要用于在樓宇接入層集中匯聚上聯(lián)到核心，下聯(lián)到IDF接入層交換機，樓宇匯聚交換機可以支持并提供豐富的千兆、萬兆端口，并且支持三層高級路由協(xié)議以及冗余電源系統(tǒng)。匯聚層交換機除具備基本的互聯(lián)互通功能以外還需要能夠支持主流的SDN技術，利用SDN術開展一些傳統(tǒng)交換機不能嘗試的功能以提高匯聚層交換機的價值。匯聚層交換機需要具備虛擬化 /堆疊能力，能夠支持本地和遠程虛擬化，通過虛擬化技 術可以將園區(qū)網(wǎng)中多臺匯聚層交換機形成一張匯聚環(huán)網(wǎng)，提供跨設備的端口聚合連接核心交換機和接入層交換機，匯聚環(huán)網(wǎng)同時還可以保證網(wǎng)絡架構的冗余性以及可靠

17、性。匯聚層交換機通過萬兆端口交叉冗余互聯(lián)到校園網(wǎng)核心交換機，實現(xiàn)跨機箱端口聚合提高鏈路帶寬利用率和可靠性，同時建議采用千兆冗余交叉互聯(lián)到校園網(wǎng)接入層交換機，利用跨機箱的端口聚合能夠提高可靠性和鏈路帶寬。校園網(wǎng)接入層交換機， 主要提供給有線和無線終端接入，有線無線終端通過千兆鏈路與交換機進行互聯(lián)，能夠有效保障線速轉發(fā)。接入層交換機需要具備虛擬化 /堆疊技術，能夠將IDF內部多臺交換機進行物理虛擬化， 虛擬化之后通過千兆鏈路冗余連接到匯聚層交換機并實施跨端口聚合的技術有效提高鏈路 帶寬和可靠性同時減少鏈路成本結合虛擬化/堆疊。接入層交換機具備基本的三層功能，比靜態(tài)路由同時還需要提供堆疊虛擬化能力，

18、二層生成樹主要應用與接入層與終端之間的環(huán)路保護，可以通過BPDU±濾控制器技術對接入層交換機物理端口實施一些安全保障，提高安全性避免環(huán)路和攻擊導致網(wǎng)絡癱瘓。2.4. 校園網(wǎng)基礎網(wǎng)絡架構設備選型2.4.1. 核心層交換機核心層交換機建議采用機箱模塊化交換機，支持冗余引擎、電源，業(yè)務板卡支持千兆和萬兆端口，推薦使用博科的FASTIRONSX系列交換機，其中兩種型號 ：8個業(yè)務才t位和16個業(yè)務槽位。FastIron SX系列設計用于實現(xiàn)最大的靈活性，可升級以增加PoE/PoE+、10 GbE冗余管理、交換矩陣和電源?？蓴U展的FastIron SX系列有兩種機箱式型號，可幫助企業(yè)和 服務提

19、供商降低成本，獲得通用操作系統(tǒng)、共享接口和通用電源模塊帶來的運營優(yōu)勢。支持并具備豐富的業(yè)務板卡選擇：24xi GbE光纖接口 (SXI24HF)24xlGbEPoE+端口 2noGbE 端口8nOGbE 端口(SX-FI24QPP)(SX-FI2XG)(SX-Fk0XG)先進的Brocade FastIron 軟件操作系統(tǒng)可支持一整套單播和組播路由協(xié)議，幫助用戶構建特性全面的 2層/3層網(wǎng)絡。支持的路由協(xié)議包括RIPv1/v2、OSPF PIM-SM/DM BG環(huán)口Equal Cost Multi-Path（ ECMP,可提高網(wǎng)絡性能。FastIron SX 系列可通過高級路由軟件（3層升級，

20、以支持IPv4和IPv6路由）升級。FastIron SX 系列為系統(tǒng)和 PoE電源采用了獨特的電源分配設計。機箱采用獨立的系統(tǒng)和PoE電源子系統(tǒng)。與系統(tǒng)和PoE設備使用公用電源的模塊化系統(tǒng)相比，這種設計能實現(xiàn)最佳的電源運行和配置，降低設備和長期管理成本。在 FastIron SX 系列中，線路模塊的PoE電路的功耗不會影響系統(tǒng)電源。同樣，線路模塊、交換機模塊和管理模塊的功耗也不會影響PoE電源。FastIron SX系列采用了可支持IPv6的管理和接口模塊，可通過互連現(xiàn)有網(wǎng)絡或不同網(wǎng)絡中的IPv4和IPv6交換機來提供平滑的遷移路徑。企業(yè)可以靈活選擇在哪些站點上進行升級，部署支持IPv6的模

21、塊，使網(wǎng)絡作好支持未來IPv6應用的準備，或者也可以進行全面 的IPv6部署。2.4.2. 匯聚層交換機校園網(wǎng)匯聚層交換機需要考慮高密度的接口，千兆光纖接口與接入層連接，萬兆上行,同時還可以考慮用 40G接口進行堆疊或者上聯(lián)。如果考慮千兆光纖接口與接入層交換機進行互聯(lián)，同時萬兆上聯(lián)以及 40G接口堆疊，我們建議采用博科ICX6610-24F 。BROCADE ICX6610交換機采用堆棧式設計，可提供前所未有的高性能、可用性和靈活性一一兼具機柜式交換機的強大功能和堆棧式交換機的靈活性及經(jīng)濟高效性，重新定義了企業(yè)聯(lián)網(wǎng)的經(jīng)濟性。每交換機4個冗余40 Gbps堆棧端口、無縫的堆棧故障切換、交換機熱插

22、拔、雙可熱插拔電源及風扇可確保無與倫比的高可用性。Brocade ICX 6610交換機可以通過4個標準的40 Gbps QSF踹口堆疊起來，提供一個堆棧帶寬高達320 Gbps勺全冗余虛擬機柜式背板交換機。Brocade ICX 6610 提供4個40 Gbps高性能QSFPt棧端口（中間），并配備了可熱插拔的負載分擔電源和風扇托架（左右兩側）。軟件定義網(wǎng)絡（SDN是一種強大而全新的網(wǎng)絡模式，設計用于當前世界上要求最苛刻 的網(wǎng)絡環(huán)境，有望提供突破性的定制功能、可擴展性和效率。Brocade ICX 6610 可支持OpenFlow 1.3協(xié)議，這種協(xié)議允許在 OpenFlow控制器和支持 O

23、penFlow的交換機之間進行 通信，進而實現(xiàn) SDN利用這種方法，企業(yè)可以通過編程控制自己的網(wǎng)絡，通過新的網(wǎng)絡應 用和服務把網(wǎng)絡轉變?yōu)閯?chuàng)新平臺。Brocade ICX 6610能夠以真正的混合端口模式支持OpenFlow。借助博科混合端口模式，企業(yè)可以在同一端口上同時部署傳統(tǒng)的2/3層轉發(fā)和OpenFlow。這種獨特的功能使網(wǎng)絡管理員可以將OpenFlow逐步集成到現(xiàn)有網(wǎng)絡中，利用SDN提供的編程控制功能來管理特定數(shù)據(jù)流，而其余流量仍和以前一樣進行轉發(fā)，進而提供了一條實用的SDN各徑。Brocade ICX 6610對OpenFlow的硬件支持使企業(yè)能夠以線速運行這些 功能。2.4.3. 接

24、入層交換機接入層交換機需要考慮全千兆線速轉發(fā)交換機，能夠支持24/48個千兆以太網(wǎng)電口或者PO©口用于有線和無線終端接入，同時需要具備4個千兆上行接口與匯聚交換機進行連接，在功能性方面需要滿足基本的三層能力以及物理機箱虛擬化堆疊能力。我們推薦接入層交換機部署博科的ICX6430-24或者48 口交換機，能夠支持千兆接入和千兆上行同時可選支持 POW能。利用Brocade ICX 6430和6450交換機， 企業(yè)可以只購買當前所需的產品，然后在網(wǎng) 絡需求增長時輕松擴展用戶端口和服務。博科提供靈活的軟件授權選項，來在成本更低的端口上實現(xiàn)高級服務和出色性能，進而實現(xiàn)最有效的投資保護Broc

25、ade ICX 6430和6450可通過相同的網(wǎng)絡連接提供PoE電源并傳輸數(shù)據(jù)，因此為最新的邊緣設備提供了一種單一線纜解決方案（見圖4）。Brocade ICX交換機可兼容符合行業(yè)標準的IP語音（VoIP）設備及傳統(tǒng)的IP電話。此外，這些交換機可支持PoE琳準（IEEE802.3at ）,向每臺設備提供 Class 4 （30瓦）電源。這種先進的解決方案可以簡化下一代邊緣設備的布線，如視頻會議和 VoIP電話、監(jiān)控攝像頭和 802.11n無線接入點（AP）。PoE功 能可以減少所需的電源插座和電源適配器數(shù)量，同時提高可靠性和布線靈活性。 Brocade ICX6450可為所有端口提供 PoE電

26、源，而且在部署有第2套外置電源時可以為所有端口提供PoE+可選的 Brocade ICX 6400-EPS1500是一種外置電源裝置，可為 Brocade ICX交換機(Brocade ICX6430-C/6450-C和6430-24除外)提供額外的電源。它還可以用于實現(xiàn)系統(tǒng)電源冗余，增加 PoE/PoE砌率預 算，來支持更多的 PoE/PoE喇口。每臺 Brocade ICX 6400-EPS1500最多可以連接到 3臺Brocade ICX 6430和6450交換機。sFlow是一種基于標準的網(wǎng)絡導出協(xié)議( RFC 3176),可幫助化解網(wǎng)絡管理員當前面臨的許多挑戰(zhàn)。通過將 sFlow嵌入

27、到Brocade ICX 6450/6450-C交換機中，博科提供了一種可實現(xiàn)線速性能的“不間斷(always-on )”技術。與依賴鏡像端口、探針和 Line-tap 技術的 傳統(tǒng)網(wǎng)絡監(jiān)控解決方案相比，sFlow可大大降低實施成本。此外， sFlow還可以為網(wǎng)絡中的所有端口提供全面的企業(yè)級監(jiān)控功能。37第三章網(wǎng)絡基礎服務設計網(wǎng)絡基礎服務設計是網(wǎng)絡詳細設計的重要組成部分，包括網(wǎng)絡設備命名設計、交換網(wǎng)絡設計、路由設計、IP地址設計網(wǎng)絡設計和高可用性設計等。合理的網(wǎng)絡基礎服務設計，將滿足校園網(wǎng)對網(wǎng)絡環(huán)境的需要；并可以兼容現(xiàn)有網(wǎng)絡基礎服務部署，實現(xiàn)平滑遷移。同時,網(wǎng)絡基礎服務設計，也將為后續(xù)的網(wǎng)絡功

28、能區(qū)詳細設計提供重要指導。3.1. 網(wǎng)絡設備命名設計網(wǎng)絡設備的命名規(guī)則設計如下：命名采用AAA-BBB-nn 13個字符的命名規(guī)則。AAA 3個字位代表位置，比如外網(wǎng)、設備網(wǎng)、數(shù)據(jù)中心等。BBB: 3個字符代表網(wǎng)絡設備所屬的網(wǎng)絡層次及設備類型。nn： 2個字位代表同一種網(wǎng)絡類型的設備編號。AAA代表位置標識如下:標識用途標識用途B11設備互聯(lián)B12終端接入BBB網(wǎng)絡設備所屬的網(wǎng)絡層次和設備類型標識:用途標識說明核心交換機CSWCore Switch區(qū)域核心交換機ZCSZone Core Switch區(qū)域匯聚交換機ZDSZone Distribution Switch接入交換機ASWAccess

29、 Switch廣域網(wǎng)接入路由器WRTWAN Router同城匯聚路由器ARTAggregation Router防火墻FWLFirewall全局負載均衡設備GLBGlobal Load Balance本地負載均衡設備LLBLocal Load BalanceVPN網(wǎng)關VPNVirtual Private Network無線控制器WLCWireless Controller無線接入點WAPWireless AP入侵檢測設備IDSIntrusion Detection SystemVoice網(wǎng)關VGWVoice GatewayVoice關守VGKVoice Gatekeeper防 DDoSDSPD

30、istributed Denial of Service Prevention帶寬管理BWMBandwidth Management3A認證設備AAAAuthentication , Authorization , Accounting表錯誤！文檔中沒有指定樣式的文字。-13.2. 交換網(wǎng)絡設計3.3. VLAN 戈U分VLAN的統(tǒng)一規(guī)劃，有利于未來 VLAN的統(tǒng)一管理和維護?；谛@網(wǎng)的網(wǎng)絡架構，我 們將給出相應的 VLA破IJ分建議。VLAN劃分，需遵循以下原則：避免使用VLAN 1基于網(wǎng)絡的功能分區(qū)劃分VLAN范圍，各個功能分區(qū) VLAN ID允許復用對于每個功能區(qū)內部，再基于不同的用途

31、進一步劃分VLAN網(wǎng)絡設備上只定義需要使用的VLAN盡可能避免使用 VLAN ID為1000以后的VLAN根據(jù)樓層劃分VLAN3.4.VLAN劃分示例VLAN ID說明1保留100-150設備互聯(lián)200-250終端接入300-350交換機帶外管理500-550無線終端PO限備接入600-700設備互聯(lián)800-900測試1100以上保留3.5 .二層無環(huán)設計在分區(qū)的交換域中，多臺物理分布層交換機都可通過堆疊或虛擬化技術便簡化成一臺邏輯設備，同時同一交換域中的接入層交換機到核心交換機之間的多條鏈路連接可以采用鏈路捆綁的方式，將多條物理鏈路進行跨設備的鏈路聚合（DLA）,從而變成了一條邏輯鏈路，增加

32、帶寬的同時也提高了可靠性。如下圖，采用虛擬化技術后，分布層的兩個設備成為了一個單一的邏輯設備，接入設備直接連接到虛擬設備。這個簡化后的組網(wǎng)可以不再需要使用二層生成樹協(xié)議（建議作為備份方式），簡化了網(wǎng)絡配置。同時依靠跨設備的鏈路聚合，在成員出現(xiàn)故障時不再依賴二層生成樹協(xié)議（建議作為備份方式）的收斂，提高了網(wǎng)絡性能和可靠性。無二層環(huán)路網(wǎng)絡在 32所數(shù)據(jù)中心做如下部署:3.6 .Spanning-Tree 設計生成樹協(xié)議是二層管理協(xié)議，通過有選擇性地阻塞網(wǎng)絡冗余鏈路來消除二層環(huán)路，同 時具備鏈路的備份功能。生成樹協(xié)議和其他協(xié)議一樣，是隨著網(wǎng)絡的不斷發(fā)展而不斷更新?lián)Q 代。IEEE 802.1D : S

33、TP協(xié)議IEEE802.1w：快速生成樹（RSTPIEEE802.1S:多生成樹MSTP（多實例STP）L2 Trunk- - - 分布層 接入層 終端接入考慮設備兼容性的因素，建議32所的生成樹使用IEEE802.1S ,多生成樹 MST附議。區(qū)域匯聚交換機設備 之間，區(qū)域匯聚交換 機與接入層之間采用L2 Trunk 互聯(lián)接入層設備與終端之間使用VLAN Access接入主機各功能區(qū)的區(qū)域匯聚層交換機，為接入VLAN的設備提供缺省網(wǎng)關，作為二層交換網(wǎng)絡的邊界，需要控制每個VLAN生成樹協(xié)議的根，確保生成樹的根位于區(qū)域匯聚交換機，而不是接入交換機動態(tài)網(wǎng)關協(xié)議（VRRP/HSRP的主/備地址的分

34、布，與生成樹協(xié)議根橋的部署相一致，MST主根優(yōu)先級定義為 4096, MS怖根優(yōu)先級定義為 8192對服務器、客戶端直接接入的端口，定義 BPDU Guard BPDU Filter ,優(yōu)化接入端 口的配置建議在所有光纖端口上啟用單向鏈路檢測（UDLD）,應對網(wǎng)絡設備互連的單向鏈路故障，Loop guard 在 RP（designated port） 接口啟用，不啟用 Root Guard 特性3.7. Trunk 設計Trunk設計，需遵循以下原則：Trunk統(tǒng)一采用dot1q協(xié)議Trunk 兩端的 native-vlan 致Trunk中只允許需要的 VLAN被TrunkingTrunk兩端

35、接口的 Speed和Duplex設為一致Trunk在數(shù)據(jù)中心各個功能分區(qū)的部署位置核心交換機和接入交換機之間的鏈路核心交換機之間鏈路3.8. 鏈路聚合設計鏈路聚合設計，需遵循以下原則：鏈路聚合內的所有端口都使用相同協(xié)議LACP并使用Active模式鏈路聚合內的所有端口都必須配置到相同的接入Vlan中，或者配置到具有相同Vlan許可列表和相同 native Vlan 的Trunk中鏈路聚合中所有端口的速率和Duplex設為一致鏈路聚合連接端口上啟用EtherChannel Guard 功能，防止鏈路聚合的誤配置鏈路聚合在數(shù)據(jù)中心各個功能分區(qū)的部署位置核心交換機和接入交換機之間的鏈路核心交換機之間

36、鏈路3.9. 路由設計3.10. 路由協(xié)議選擇對路由協(xié)議的選擇，需要從以下幾個方面進行考慮：可擴展性支持路由隔離協(xié)議開放性可平滑遷移性卜表對企業(yè)主流各個路由協(xié)議做了簡要的比較分析:路由協(xié)議優(yōu)點需要注意的問題OSPF?開放的路由協(xié)議?支持中等規(guī)模的網(wǎng)絡?路由收斂較快?對數(shù)據(jù)路徑的控制手段較弱?路由負載均衡能力弱靜態(tài)路由?配置簡單?不適合大規(guī)模網(wǎng)絡?容易形成路由環(huán)路根據(jù)不同路由協(xié)議的特點，建議：采用靜態(tài)路由結合的方式定義（包括浮動靜態(tài)路由）第四章IP地址設計基于對業(yè)務發(fā)展的需求，考慮未來業(yè)務的發(fā)展需要，需要制定IP地址規(guī)劃，對IP地址的分配和使用提供指導。411P 地址整體設計基于以上原則，在整個

37、企業(yè)內部，根據(jù)國際互聯(lián)網(wǎng)RFC1918地址使用標準，采用標準的私有IP地址。RFC1918私有地址空間由以下幾部分組成：10.0.0.0 10.255.255.255（1 個 A 類地址，含 224 = 16 , 777, 216 個地址）172.16.0.0 172.31.255.255（16 個 B 類地址，含 220 = 1 , 048, 576 個地址）192.168.0.0 192.168.255.255（1 個 B 類地址，216 = 65 , 536 個地址）上述三部分地址空間將分別分配在32所嘉定園區(qū)網(wǎng)絡.4.1.1.IP地址整體設計遵循RFC1918地址規(guī)范，采用私有地址段作

38、為32所的IP地址空間。IP地址整體劃分方案如下:IP地址范圍地址容量地址分配10.28.0.0 /-10.29.255.2552B10.34.0.0 /-10.39.255.2556B10.42.0.0 /-10.48.255.2557B10.52.0.0 /-10.63.255.25512B10.65.0.0 /-10.70.255.2556B10.72.0.0 /-10.79.255.2558B10.80.0.0 /-10.87.255.2558B10.88.0.0 /-10.95.255.2558B10.96.0.0 /-10.100.255.2555B10.128.0.010.129

39、.255.2552B10.134.0.010.139.255.2556B10.142.0.010.148.255.2557B10.152.0.010.163.255.25512B10.165.0.010.170.255.2557B10.172.0.010.187.255.25516B10.190.0.010.199.255.25510B10.217.0.010.219.255.2553B戰(zhàn)略預留10.221.0.010.223.255.2553B戰(zhàn)略預留10.227.0.010.230.255.2554B戰(zhàn)略預留10.232.0.010.242.0.010.239.255.25510.255.

40、255.2558B14B戰(zhàn)略預留戰(zhàn)略預留4.1.2.IP地址總體分配規(guī)則在IP地址使用過程中，總體需要遵循以下分配規(guī)則：服務器的地址段中，服務器和終端地址從低到高分配，網(wǎng)關從高到低分配VRR畫關：從最高位開始，由高到低服務器/接入用戶：從最低位開始，由低到高分配網(wǎng)絡設備互連和網(wǎng)絡設備的Loopback管理地址采用單獨的地址段網(wǎng)絡設備互連地址， 考慮臨時加入網(wǎng)絡監(jiān)控工具的可能性，使用29位掩碼，地址從低到高分配同類設備互連，編號小的設備取奇地址，編號大的設備取偶地址不同層次的設備互連，靠近網(wǎng)絡核心的設備取奇地址，遠離網(wǎng)絡核心的設備取偶地址網(wǎng)絡設備的Loopback管理地址，使用32位掩碼，地址從

41、高到低分配二層設備管理地址掩碼為26位，即255.255.255.192第五章高可用設計5.1. 高可用設計原則根據(jù)校園網(wǎng)的業(yè)務特性，校園網(wǎng)承載著日常辦公和互聯(lián)網(wǎng)訪問的實時數(shù)據(jù)，所以對網(wǎng) 絡可用性和安全性的要求較高。在進行網(wǎng)絡設計時，主要從網(wǎng)絡架構高可用，網(wǎng)絡設備高可用，網(wǎng)絡線路高可用和的 角度進行考慮，并實現(xiàn)極高網(wǎng)絡冗余能力和網(wǎng)絡運行穩(wěn)定性：充分發(fā)揮網(wǎng)絡的擴展能力以及 網(wǎng)絡產品優(yōu)異的冗余特性實現(xiàn)。不僅避免“單點故障”，而且對于發(fā)生概率極小的兩點甚至 多點同時發(fā)生的故障也能一定程度上保證各級網(wǎng)絡系統(tǒng)的正常運轉。5.2. 網(wǎng)絡設備高可用建議在核心設備選型上，采用高性能和高可靠的網(wǎng)絡設備用來保證數(shù)

42、據(jù)中心網(wǎng)絡整體 的高可用性。電源冗余核心設備采用雙電源模塊，每塊電源支持兩路電源輸入，充分利用重機房的雙路供電 服務。同一機箱內的兩塊電源模塊一般支持兩種工作模式：兩個電源模塊各分擔機箱所需電源容量的一半如果一個電源模塊失敗，由另一個電源模塊提供全部的電源。兩個電源模塊最大可分擔機箱所需電源容量的大部分，如果一個電源模塊失敗，另一個電源模塊能提供全部的容量，并可根據(jù)容量情況適當關閉板卡。引擎冗余核心交換路由設備配置雙引擎，并采用多種切換方式支持雙引擎之間的無縫切換。業(yè)務板卡冗余網(wǎng)絡設備機箱內端口模塊冗余的通用原則建議如下：關鍵連接要在兩塊板卡上保留接口。關鍵設備的板卡應有 50%B 口/板卡處

43、于冗余狀態(tài)。5.3. 三層高可用5.3.1. 網(wǎng)關冗余結合網(wǎng)關設備的冗余為接入設備提供了具有高可靠性的網(wǎng)關，冗余網(wǎng)關技術主要有以 下三種：VRRP虛擬路由器冗余協(xié)議VRRP (Virtual Router Redundancy Protocol)將一組路由器構成一臺虛擬路由器，把發(fā)送到虛擬路由器的數(shù)據(jù)包動態(tài)分配到某一臺VRRP路由器上。使用 VRRP提高了默認網(wǎng)關的可用性而無需在每個終端主機上配置動態(tài)路由或路由發(fā)現(xiàn)協(xié)議。5.3.2. 路由冗余網(wǎng)絡物理鏈路的冗余設計為路由協(xié)議選擇備份連接提供了基礎。當設備或連接因故障 中斷時，路由協(xié)議會自動重新計算網(wǎng)絡路徑，并使用正常的連接保障數(shù)據(jù)通訊。5.4.

44、 二層高可用5.4.1. 生成樹冗余交換區(qū)域的可靠性通過STP實現(xiàn)。被STP阻斷的邏輯鏈路在線路或設備出現(xiàn)故障的情況下可以自動釋放，形成新的拓撲結構，保證網(wǎng)絡數(shù)據(jù)的正常傳輸。匯聚n第六章sNca件定義網(wǎng)絡-智能園區(qū)網(wǎng)解決方案說明6.1. 智能園區(qū)為管道方案建議采用SDN軟件定義網(wǎng)絡的技術， 在現(xiàn)有校園網(wǎng)中部署支持 SDN的匯聚交換機，結合SDN控制器和相應的智能應用，構建扁平化架構園區(qū)網(wǎng)絡中的智能化管道。6.1.1. 智能選路和故障恢復建議在園區(qū)網(wǎng)絡白匯聚層部署B(yǎng)rocade SDN換機，實現(xiàn)雙星型鏈路上聯(lián)到園區(qū)網(wǎng)中的雙核心節(jié)點，并提供與接入交換機的互聯(lián)。同時，需要在網(wǎng)絡中部署B(yǎng)rocade

45、BVCSDN®制器，一方面通過 openflow1.3 實現(xiàn)與SDM匚聚交換機之間的交互，同時也可以通過 Netconf 等協(xié)議實現(xiàn)與目前網(wǎng)絡核心節(jié)點設備之間的互通。如圖所示：BVC SDN控制器netconfVLAN 1001-2000匯聚2Brocade BVC SDN控制器是基于Opendaylight開源SDN$制器項目的商業(yè)化版本，提 供了豐富的南向接口（如 openflow、BGP-LS Netconf、YANG snmp等）,開放的 RESTful API北向接口，能夠實現(xiàn)與多廠家設備之間的互通，并提供了高可靠性、豐富的應用和完善的技術支持體系。BROCADE WATT

46、A CONTROLLER% Tbpalogy NodesTopologyYANG UIRefreshVyatta vRouter 5600 EMSN Pathi Explorerhost:00:0：29:S'e:b4:12openflaw：52239030536 host:00;50:56:c0-:00:06在采用該架構時，默認會通過SDNg制器下發(fā)流表到匯聚層交換機，按照特定的規(guī)則將用戶流量分配到兩臺核心設備上，如下所示:BVC SDN控制器net conf，七一.M河BVC控制器中流表定義舉例如下:<flow><id>102</id><ma

47、tch><vlan-match><vlan-id><vlan-id>20</vlan-id><vlan-id-present>true</vlan-id-present></vlan-id></vlan-match><in-port>openflow:52239030536:4</in-port></match><table_id>0</table_id><priority>200</priority><

48、idle-timeout>0</idle-timeout><cookie>9</cookie>instructions<instruction><order>0</order><apply-actions><action><order>0</order><output-action><output-node-connector>openflow:52239030536:1</output-node-connector></out

49、put-action></action></apply-actions></instruction></instructions><hard-timeout>0</hard-timeout></flow>此時交換機中的流表如下：labovs-1:$ sudo ovs-ofctl dump-flows br-1NXST_FLOW reply (xid=0x4):cookie=0x8, duration=48.421s, table=0, n_packets=0, n_bytes=0, idle_age=48

50、, priority=200,in_port=4,dl_vlan=10 actions=output:2cookie=0x9, duration=4.862s, table=0, n_packets=0, n_bytes=0, idle_age=4,priority=200,in_port=4,dl_vlan=20 actions=output:1當某臺核心設備出現(xiàn)異常時，BVC控制器通過偵測機制發(fā)現(xiàn)設備異常，將下發(fā)流表，更 改匯聚交換機的轉發(fā)路徑如下:lab ovs-1:$ sudo ovs-ofctl dump-flows br-1NXST_FLOW reply (xid=0x4):coo

51、kie=0x8, duration=344.553s, table=0, n_packets=0, n_bytes=0, idle_age=344, priority=200,in_port=4,dl_vlan=10 actions=output:2cookie=0x9, duration=300.994s, table=0, n_packets=0, n_bytes=0, idle_age=300, hard_age=2, priority=200,in_port=4,dl_vlan=20 actions=output:2BVC SDN控制器netcorif同時，BVC控制器將通過 Netc

52、onf協(xié)議，在運行正常的核心設備上增加相應的配置，允許VLAN20的用戶接入、分配地址、身份認證和路由發(fā)布等。完成整個故障的閉環(huán)處理。6.2. 流量分析和攻擊保護方案Brocade BVC SDN控制器提供了 VTM應用，能夠通過 SDN換機，提供網(wǎng)絡內部的流量 分析、優(yōu)化和攻擊防護功能，如下所示：PortalBrocade Flaw OplimizerUI實現(xiàn)流程為：1. 匯聚層SDN換機?發(fā)送Sflow流分析數(shù)據(jù)2. sFlow采集器?采集來自匯聚層交換機的Sflow數(shù)據(jù)3. Brocade SDN應用程序?分析并管理Sflow流數(shù)據(jù)，實現(xiàn)應用分析和攻擊流量識別?提供策略管理的用戶界面和R

53、EST APIs接口，實現(xiàn)與控制器之間的對接4. SDN®制器? 編輯OpenFlow 1.3 策略?實現(xiàn)與匯聚層設備之間的對接，下發(fā)相應的流表對特定的數(shù)據(jù)流進行控制（如限速、丟棄或重定向等）用戶通過VTM應用的WE酬面，能夠實時獲得園區(qū)網(wǎng)智能管道內的應用信息，對攻擊流量自動識別并通過 openflow下發(fā)特定的流表，對特定的數(shù)據(jù)流進行相應的控制，包括限速、丟棄或重定向等。當攻擊流量消失后，會自動回收該條流表，保障正常流量得到正常的轉發(fā)。Vcfummrlc Haw MorhcarICMP Pin.HlgdDanlHM-iDn伸i中中 4 0.2434.13L JHhIO.24IB.I

54、3I*0 Oh JT HTr*j*E- Trand Tr5K * -第七章無線設計方案7.1. 無線網(wǎng)絡需求分析隨著校園網(wǎng)絡信息化的普及，人們越來越要求盡可能方便、快速、移動式的使用網(wǎng)絡， 同時，隨著筆記本電腦的普以及無線網(wǎng)卡產品的價格逐步降低，越來越多的人擁有無線網(wǎng)絡客戶端產品，學校需要能夠使得在很多有線網(wǎng)絡無法延伸到的場合，以及如大型教室、禮堂、會議室、圖書館體育場館等場所，也同樣能夠訪問校園網(wǎng)絡，最大程度延伸網(wǎng)絡半徑，真正 讓網(wǎng)絡滲透到校園的每個角落。7.2. 基于WLANO絡的移動多媒體業(yè)務需求7.2.1. 移動多媒體辦公需求當在學校舉行大型活動時，可以通過無線網(wǎng)絡提供視頻直播和為無線數(shù)碼相機提供即拍 即傳業(yè)務。7.2.2. 移動多媒體教學需求隨著教育教學的擴展， 已有的固定課堂模式已不能滿足現(xiàn)有學生學習的需求，無線校園網(wǎng)需要能夠提供廣大師生任何時間、 任何地點的接入教學網(wǎng)絡，提供課堂遠程教學、師生視 頻交互平臺、師生視頻會議等需求。7.2.3. 滿足校園特點的安全和可靠性南京藝術學院校園無線網(wǎng)的目標是建設一個可收費的、可運營網(wǎng)絡，這樣的定位對可靠性、安全、加密和非授權用戶的控制提出了更明確的要求： 支持精確的無線入侵、射頻干擾、非法AP定位和隔離 支持無線頻譜分析，保證校園射頻層面的安全 冗余的多服務控制保