校園網(wǎng)絡(luò)技術(shù)方案設(shè)計

1、網(wǎng)絡(luò)技術(shù)方案設(shè)計1、校園有線網(wǎng)設(shè)計我校校園網(wǎng)建設(shè)采用最為穩(wěn)定可靠的“核心、匯聚、接入”三層拓撲結(jié)構(gòu)。核心層（網(wǎng)絡(luò)中心）匯聚層（各樓管理間）接入層（樓層弱電間）。校園網(wǎng)拓撲圖如下所示：Internet單體建成$桂核心層我校校園網(wǎng)核心層必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，要求具有高性能和較高 的可靠性、穩(wěn)定性和易擴展性等。學校核心層設(shè)備，應該在提供大容量、高性能L2/L3交換 服務基礎(chǔ)上，能夠進一步融合了網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務分析等智能特性，可為校園網(wǎng)構(gòu)建融合 業(yè)務的基礎(chǔ)網(wǎng)絡(luò)平臺，進而幫助我校實現(xiàn)IT資源整合的需求。因此核心節(jié)點的建設(shè)，須遵 循以下幾個原則：須具備多級交換架構(gòu)；須具備高性能、高穩(wěn)定

2、性和高冗余性；須具備較少時延設(shè)計；須具有多業(yè)務應用擴展性和良好的可管理性；針對我校校園網(wǎng)建設(shè)，在對高性能、可靠性、穩(wěn)定性、冗余性要求下，計劃在網(wǎng)絡(luò)中心 部署2臺數(shù)據(jù)中心級交換機。每臺核心交換機配置單引擎，雙電源，配置千兆接口和萬兆接 口，千兆光口利用千兆多模光纖連接各樓匯聚交換機；萬兆光口用于兩臺核心設(shè)備之間采用 萬兆連接，利用交換虛擬化技術(shù)簡化網(wǎng)絡(luò)拓撲和實現(xiàn)性能翻倍，做到統(tǒng)一管理，其中任何一 臺核心交換機或核心交換機上的板卡出現(xiàn)故障后，另外一臺核心交換機能夠立即接管故障核 心交換機所有交換工作，不影響正常校園網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)。在兩臺核心交換機都正常工作時能夠 對匯聚交換機轉(zhuǎn)發(fā)過來的數(shù)據(jù)流量進行負載

3、均衡，兩臺核心交換機同時承擔核心網(wǎng)絡(luò)數(shù)據(jù)交 換工作。我校校園網(wǎng)對先進性、高性能、高可靠、高帶寬、可擴展的要求非常高，因此，核 心設(shè)備選用當今最先進的多級交換架構(gòu)，做到從傳統(tǒng)的“盡力轉(zhuǎn)發(fā)”架構(gòu)變成最先進的“完 全無阻塞轉(zhuǎn)發(fā)”架構(gòu)演進。核心交換機采用多級交換架構(gòu)，控制引擎和交換引擎分離，配置硬件獨立的交換網(wǎng)板（替 換交換芯片），實現(xiàn)數(shù)據(jù)包在多個交換網(wǎng)版之間的無阻塞轉(zhuǎn)發(fā)。兩臺核心設(shè)備之間采用萬兆 連接，中任何一臺核心交換機或核心交換機上的板卡出現(xiàn)故障后，正常工作的核心交換機能 夠立即接管故障核心交換機所有交換工作。在兩臺核心交換機都正常工作時能夠?qū)R聚交換 機轉(zhuǎn)發(fā)過來的數(shù)據(jù)流量進行負載均衡，兩臺核心

4、交換機同時承擔核心網(wǎng)絡(luò)數(shù)據(jù)交換工作。匯聚層匯聚層主要是各單體建筑的小核心，負責連接接入層交換機和網(wǎng)絡(luò)中心核心交換機，作 著承上啟下的功能，其主要作用在于將較大數(shù)量的接入設(shè)備端口匯集，然后再與核心交換機 互連。在匯聚層需要承擔起所連各個網(wǎng)絡(luò)之間的子網(wǎng)路由工作，同時對接入層數(shù)據(jù)進行分流 和控制，將接入端的非法和垃圾數(shù)據(jù)對核心網(wǎng)路造成的影響降到最低。我校校園網(wǎng)建設(shè)中， 計劃在匯聚層部署10臺三層匯聚路由交換機，其中8棟樓每棟1臺，服務器匯聚1臺，冷 備1臺。匯聚采用千兆多模光纖雙鏈路與兩臺核心相連，向下千兆網(wǎng)線連接接入交換機。匯聚交換機需支持最多4個萬兆擴展接口，支持IPv4/IPv6硬件雙棧及線速

5、轉(zhuǎn)發(fā)，能夠 從容應對即將帶來的IPv6時代。接入層考慮到我校各樓信息點集中，要求接入層的設(shè)備具有端口高密度和設(shè)備的高性能、高安 全、多功能的特點。采用全千兆安全智能接入交換機。在提供高性能、千兆光纖上聯(lián)和千兆 到桌面的同時，提供完善的QoS服務質(zhì)量、ARPAU檢測、ACL深度識別等功能，有效防止 和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶接入和使用網(wǎng)絡(luò)，實現(xiàn)用戶策略（VLAN、QoS、 ACL）的動態(tài)下發(fā)，保證合法的用戶合理化地使用網(wǎng)絡(luò)資源，充分保障了網(wǎng)絡(luò)高效安全、網(wǎng) 絡(luò)合理化使用和運營。我校校園網(wǎng)建設(shè)中，計劃部署20臺24 口千兆接入交換機，并利用千 兆網(wǎng)線接入各樓匯聚交換機。校園出口我校校園網(wǎng)

6、出口要滿足全校老師和學生的互聯(lián)網(wǎng)接入，對設(shè)備性能、可靠性都有較高要 求，計劃采購1臺高性能出口引擎，提供先進的多核高性能處理技術(shù)，提供專門的內(nèi)核處理NAT轉(zhuǎn)發(fā)，強大的NAT轉(zhuǎn)發(fā)性能可充分滿足我校出口設(shè)備性能要求，以及對未來網(wǎng)絡(luò)的擴容 需求。2、校園無線網(wǎng)設(shè)計無線AP規(guī)劃設(shè)計要考慮覆蓋范圍、用戶密度、建筑結(jié)構(gòu)、用戶業(yè)務等各方面的需求， 我校無線AP要求如下：傳輸速率：采用802.11n無線AP,提供高達300Mbps的無線接入速率，是相同環(huán) 境下802.11a/b/g產(chǎn)品速率的6倍左右；智能覆蓋：要求無線AP支持終端感知型智能天線覆蓋技術(shù)，有效地從覆蓋范圍、 接入密度、運行穩(wěn)定等方面提供最佳的無

7、線應用體驗；頻譜防護：要求無線AP支持頻譜防護功能，從而降低2.4GHz波段的射頻干擾源對 無線網(wǎng)的影響；造型美觀：為了不破壞建筑裝飾的整體效果，要求無線AP可墻掛、吸頂?shù)劝惭b方 式，既不影響美觀又能實現(xiàn)無線信號覆蓋。無線校園網(wǎng)采用“瘦AP+無線控制器+POE供電+無線網(wǎng)管”的組網(wǎng)方案。其中，瘦 AP完成智能終端的無線接入，無線控制器完成接入策略、認證方式、功率控制等。通過無 線控制器對無線AP進行集中管理，達到統(tǒng)一運維、管理的目的。無線AP無線AP計劃采用走廊放裝的方式進行覆蓋。主要應用于樓層中間走廊兩邊房間結(jié)構(gòu)室 內(nèi)區(qū)域，室內(nèi)走廊部分都可以采用吸頂/墻掛方式進行安裝。無線控制器無線控制器作

8、為統(tǒng)一集中管理無線AP的設(shè)備，要求具有大容量、高性能、簡單部署、 擴展性強等優(yōu)點。POE供電設(shè)備我校無線網(wǎng)中AP分布較分散，而且AP布放位置根據(jù)實際覆 蓋效果而調(diào)整，因此建議采用802.3af的POE供電設(shè)備實現(xiàn)對AP的遠程供電。無線網(wǎng)管軟件校園網(wǎng)中既存在有線網(wǎng)絡(luò)設(shè)備，又部署了無線網(wǎng)絡(luò)設(shè)備，有線和無線分別單獨配置和管 理，對于我校信息中心管理人員來說比較麻煩。需采用無線管理系統(tǒng)，可與有線網(wǎng)管理系統(tǒng) 緊密結(jié)合，實現(xiàn)對無線控制器、無線AP、移動終端的管理。幫助管理員了解網(wǎng)絡(luò)部署情況 及無線設(shè)備狀態(tài)、無線鏈路狀態(tài)、無線射頻覆蓋范圍、強度、速率等。3、校園數(shù)據(jù)中心設(shè)計按照數(shù)字化校園建設(shè)理念，我校將建設(shè)

9、統(tǒng)一的校園數(shù)據(jù)中心平臺，實現(xiàn)全部業(yè)務系統(tǒng)的 應用和數(shù)據(jù)存儲。目前有包括辦公自動化、財務、選課、排課、查詢、FTP、電子檔案等眾 多業(yè)務系統(tǒng)，后續(xù)逐步通過服務器虛擬化，實現(xiàn)應用業(yè)務的P2V遷移，對現(xiàn)有服務器進行利 舊與整合，實現(xiàn)將網(wǎng)絡(luò)、計算、存儲三者整合成一體的數(shù)據(jù)中心平臺。我校計劃采購6臺服務器，包括WEB、FTP、OA、財務、選課/排課/學生查詢、電子檔 案各一臺，計劃采購1套H3C CAS服務器虛擬化軟件，可將物理服務器虛擬化成多臺虛擬機， 實現(xiàn)對物理服務器和虛擬服務器的的統(tǒng)一管理。我校數(shù)據(jù)中心要求可靠性高、突發(fā)性強、并 發(fā)性強等特點，計劃部署1臺負載均衡插卡設(shè)備，利用核心交換機背板帶寬實

10、現(xiàn)高性能服務 器流量負載分擔，采用智能調(diào)度算法將各種應用訪問請求高效的分發(fā)到數(shù)據(jù)中心各臺的服務 器上，解決服務器性能瓶頸，并提供高可靠性和可擴展性的保障。除此之外，計劃在機柜內(nèi) 部配備數(shù)字式KVM設(shè)備，以便對服務器進行配置管理，為了實現(xiàn)數(shù)據(jù)中心供電保障，建議采 購UPS不間斷供電，達到12小時供電時延。4、校園安全防護設(shè)計我校校園網(wǎng)建成之后，如何應對校園網(wǎng)安全威脅，確保我校校園網(wǎng)的安全穩(wěn)定運行，是 信息中心必須考慮的問題。一旦出現(xiàn)安全問題，往往會給校園網(wǎng)的造成致命打擊，而傳統(tǒng)校 園網(wǎng)采用的多個安全產(chǎn)品堆徹的方法，由于缺乏統(tǒng)一安全策略、安全設(shè)備無法實現(xiàn)信息共享， 不能相互配合，安全漏洞無法彌補。

11、目前，我校校園網(wǎng)在安全風險方面，主要包括如下幾個方面：校園網(wǎng)提供互聯(lián)網(wǎng)出口，面臨著來自外界黑客非法入侵的安全風險，在提供網(wǎng)絡(luò)通信便 捷的同時，面臨著來自內(nèi)、外網(wǎng)用戶的某些安全漏洞而實施的各類攻擊的安全風險。由于校園網(wǎng)覆蓋面大、結(jié)構(gòu)復雜、應用系統(tǒng)多，會給信息中心管理上帶來較大的困難， 同時可能導致整個網(wǎng)絡(luò)出現(xiàn)安全漏洞隱患。計算機病毒的日益猖獗也會給校園網(wǎng)某些重要服務器（如辦公服務器、財務服務器、資 源服務器等）帶來可能導致重要數(shù)據(jù)丟失或系統(tǒng)癱瘓的風險。針對我校安全防護的問題，綜合考慮校園網(wǎng)主要威脅，我校提出以防火墻和入侵防御設(shè) 備為支撐的安全解決方案。計劃在核心層多級交換架構(gòu)核心交換機上部署1塊

12、嵌入式防火墻 插卡模塊和1塊IPS入侵防御插卡模塊，從整體上實現(xiàn)安全防御策略。首先，核心交換機部署防火墻插卡，用來實施安全分區(qū)和訪問控制。它監(jiān)控可信任網(wǎng)絡(luò) 和不可信任網(wǎng)絡(luò)之間的訪問通道，以防止一個區(qū)域中出現(xiàn)的危險蔓延到另一個區(qū)域。核心層 交換機中部署防火墻插卡，基于訪問控制策略提供安全防護，可以保護數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)和 數(shù)據(jù)免遭來自外部的非法訪問或惡意攻擊。劃分安全區(qū)域之后，管理員將安全需求不相同的 接口劃分到不同的域，實現(xiàn)安全策略的分層管理，從而實現(xiàn)我校校園網(wǎng)教育教學辦公的業(yè)務 隔離。其次，核心層交換機部署入侵防御插卡模塊，入侵防御系統(tǒng)IPS具有入侵防御/檢測、 病毒過濾等功能，能夠高速、在線檢測并阻斷DDoS攻擊和非法P2P流量，通過深達7層的 分析與檢測，實時阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網(wǎng)頁篡改等攻擊和 惡意行為，并實現(xiàn)對網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)應用和性能的全面保護。綜上兩點，核心層交換機多1塊防火墻插卡模塊和1塊入侵防御插卡模塊可以用來保護我校校園網(wǎng)數(shù)據(jù)中心服務器區(qū)免遭來自病毒/蠕蟲/木馬等的安全威脅，同時也可以用來保護 校園網(wǎng)各大樓之間的關(guān)鍵網(wǎng)段。防火墻和入侵防御能夠?qū)崿F(xiàn)校園網(wǎng)L2-L7層的威脅抵御，形 成立體的全面安全防護。5、校園網(wǎng)絡(luò)