山西中北大學(xué)投資萬(wàn)兆校園網(wǎng)可行性分析報(bào)告

2014年中北大學(xué)建設(shè)萬(wàn)兆校園網(wǎng)項(xiàng)目山西信息規(guī)劃設(shè)計(jì)院有限公司PAGE1PAGE３PAGE１山西聯(lián)通固定資產(chǎn)投資項(xiàng)目項(xiàng)目建議書項(xiàng)目名稱：2014年中北大學(xué)建設(shè)萬(wàn)兆校園網(wǎng)項(xiàng)目申請(qǐng)單位：太原聯(lián)通分公司申請(qǐng)時(shí)間：2014年12月目錄TOC\o"1-3"\h\z一、 項(xiàng)目概述 iii二、 建設(shè)目標(biāo)與任務(wù) v1、建設(shè)目標(biāo) v2、建設(shè)原則 ix三、 網(wǎng)絡(luò)現(xiàn)狀及需求分析 x1、網(wǎng)絡(luò)現(xiàn)狀 x2、需求分析 xiv四、 項(xiàng)目建設(shè)方案 xvi1、校園網(wǎng)基礎(chǔ)結(jié)構(gòu)改造設(shè)計(jì)方案 xvi1.1總體網(wǎng)絡(luò)改造架構(gòu) xvi1.2校園網(wǎng)基礎(chǔ)區(qū)域網(wǎng)絡(luò)規(guī)劃 xx1.3校園出口規(guī)劃 xxvii1.4數(shù)據(jù)中心網(wǎng)絡(luò)規(guī)劃 xxvii2、校園網(wǎng)絡(luò)運(yùn)營(yíng)平臺(tái)技術(shù)方案 xxix2.1有線網(wǎng)絡(luò)運(yùn)營(yíng)平臺(tái)技術(shù)方案 xxix2.2無(wú)線網(wǎng)絡(luò)運(yùn)營(yíng)平臺(tái)技術(shù)方案 xxx2.3教學(xué)辦公區(qū)域網(wǎng)絡(luò)設(shè)計(jì) xxxi3、校園網(wǎng)網(wǎng)絡(luò)改造技術(shù)方案 xxxiii3.1WLAN部署規(guī)劃 xxxiii3.2VLAN規(guī)劃 xxxv3.3IP地址規(guī)劃 xxxix3.4路由規(guī)劃 xli3.5邊界防御策略規(guī)劃 xli五、 建設(shè)規(guī)模 xli六、 項(xiàng)目總投資及投資構(gòu)成 xlii1、項(xiàng)目總投資 xlii2、投資構(gòu)成 xlii2.1網(wǎng)絡(luò)及平臺(tái)部分投資 xlii2.2傳送網(wǎng)部分投資 xlvi2.3無(wú)線部分投資 xlix七、 收入及效益指標(biāo) xlix1、收入測(cè)算 xlix2014年中北大學(xué)建設(shè)萬(wàn)兆校園網(wǎng)項(xiàng)目山西信息規(guī)劃設(shè)計(jì)院有限公司PAGEl項(xiàng)目概述項(xiàng)目名稱：2014年中北大學(xué)建設(shè)萬(wàn)兆校園網(wǎng)項(xiàng)目中北大學(xué)是一所由山西省人民政府與國(guó)家國(guó)防科技工業(yè)局共建、山西省人民政府管理的多科性教學(xué)研究型大學(xué)。學(xué)校的前身是1941年八路軍總司令部在太行抗日根據(jù)地創(chuàng)辦的我黨我軍第一所兵工學(xué)?！泄I(yè)學(xué)校，歷經(jīng)太原機(jī)械學(xué)院、華北工學(xué)院，2004年6月經(jīng)教育部批準(zhǔn)更名為中北大學(xué)。對(duì)于網(wǎng)絡(luò)的建設(shè)，早在中北大學(xué)校園網(wǎng)建設(shè)始建于1994年，1998年接入教育網(wǎng)，并于2002年進(jìn)行了二期建設(shè)，實(shí)現(xiàn)了“千兆主干、百兆桌面”的網(wǎng)絡(luò)基本布局。但是校園網(wǎng)絡(luò)至今已經(jīng)使用了超過(guò)十年了，已經(jīng)無(wú)法滿足不斷發(fā)展的校園信息化的需求，亟需進(jìn)行網(wǎng)絡(luò)升級(jí)改造。項(xiàng)目背景概述:中北大學(xué)的校園信息化網(wǎng)絡(luò)建設(shè)至今，已經(jīng)使用了超過(guò)十年，而近段時(shí)間以來(lái)，信息化技術(shù)、互聯(lián)網(wǎng)技術(shù)發(fā)展迅速，對(duì)于高校校園中的用戶包括教學(xué)、娛樂、生活、交際都帶來(lái)極大的變化，而且在可以預(yù)見的未來(lái)一段時(shí)間，這種激烈的改革性變化還將持續(xù)。為了更好服務(wù)于中北大學(xué)師生，“十二五”期間，中北大學(xué)信息化建設(shè)總體發(fā)展目標(biāo)主要是做好以下幾方面的工作：數(shù)字化校園建設(shè)的中長(zhǎng)期目標(biāo)如下圖所示的數(shù)字校園的體系結(jié)構(gòu)圖，在這里，內(nèi)圓是核心、是基礎(chǔ)，外圓是在內(nèi)圓的基礎(chǔ)上提供的更進(jìn)一步的服務(wù)。從上圖可以看出，數(shù)字校園可以分為五個(gè)層次：（1）“網(wǎng)絡(luò)基礎(chǔ)層”：網(wǎng)絡(luò)是數(shù)字校園的基礎(chǔ)設(shè)施，沒有相應(yīng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，數(shù)字不能流動(dòng)，就不可能形成數(shù)字的空間；（2）“網(wǎng)絡(luò)基本服務(wù)層”：網(wǎng)絡(luò)基本服務(wù)是數(shù)字流動(dòng)的軟件基礎(chǔ)，包括域名服務(wù)、身份認(rèn)證、目錄服務(wù)、網(wǎng)絡(luò)安全、以及公共服務(wù)（如電子郵件、文件傳輸、Web發(fā)布）等；（3）“應(yīng)用支撐層”：它主要處理業(yè)務(wù)邏輯，將各類數(shù)據(jù)按照業(yè)務(wù)的邏輯規(guī)范管理、組織起來(lái)，包括辦公自動(dòng)化系統(tǒng)、數(shù)字圖書館、管理信息系統(tǒng)和網(wǎng)絡(luò)教學(xué)系統(tǒng)等，它們是數(shù)字校園的核心支持系統(tǒng)；（4）“信息服務(wù)層”：它主要處理用戶邏輯，將規(guī)范化的數(shù)據(jù)按照用戶的需要提取出來(lái)提供給用戶，為用戶提供服務(wù)，如后勤服務(wù)、信息查詢、決策支持等；（5）“個(gè)性化門戶（虛擬大學(xué)）”：它是數(shù)字校園的總?cè)肟?，各類用戶通過(guò)門戶進(jìn)入數(shù)字校園，可以獲得與其身份相對(duì)應(yīng)的信息與服務(wù)。為了滿足上層的應(yīng)用和服務(wù)的需求，“網(wǎng)絡(luò)基礎(chǔ)”部分的設(shè)計(jì)必須達(dá)到以下目標(biāo)：高性能校園內(nèi)用戶數(shù)量多，并且教學(xué)信息化的發(fā)展需要更高性能的網(wǎng)絡(luò)承載能力，校園骨干線路能力需要達(dá)到10G以上。高穩(wěn)定性校園網(wǎng)絡(luò)承載業(yè)務(wù)關(guān)系著校內(nèi)大量用戶的工作、學(xué)習(xí)和生活，因此必須具備高穩(wěn)定性，并且出現(xiàn)意外故障時(shí)候也能使用備用方案，保證業(yè)務(wù)的不中斷運(yùn)行。靈活業(yè)務(wù)支撐能力校園網(wǎng)內(nèi)具有多種業(yè)務(wù)，為了讓業(yè)務(wù)間各自獨(dú)立運(yùn)行，相互不干擾，保證各個(gè)業(yè)務(wù)內(nèi)的數(shù)據(jù)信息的安全性，網(wǎng)絡(luò)必須可以采用各種靈活的虛擬化，讓各個(gè)業(yè)務(wù)實(shí)現(xiàn)邏輯隔離，并且應(yīng)用QoS策略，讓業(yè)務(wù)實(shí)現(xiàn)質(zhì)量管理?？删S護(hù)性校園網(wǎng)絡(luò)涉及到多個(gè)不同的設(shè)備，并且數(shù)量眾多，而學(xué)校信息中心維護(hù)團(tuán)隊(duì)人力極其有限，因此新升級(jí)后的校園網(wǎng)絡(luò)應(yīng)該具有較高的維護(hù)管理性，包括采用集中管控的方式，策略自動(dòng)下發(fā)，網(wǎng)管集中展現(xiàn)等模型，簡(jiǎn)化網(wǎng)絡(luò)運(yùn)維工作量。平滑演進(jìn)能力校園網(wǎng)應(yīng)該具有較高的平滑演進(jìn)能力，能長(zhǎng)期支撐業(yè)務(wù)發(fā)展變化的需要，網(wǎng)絡(luò)的能力設(shè)計(jì)應(yīng)該能夠匹配未來(lái)十年的業(yè)務(wù)發(fā)展趨勢(shì)。建設(shè)目標(biāo)與任務(wù)1、建設(shè)目標(biāo)校園網(wǎng)為學(xué)校師生提供快捷高效的教學(xué)、科研和綜合信息服務(wù)。校園網(wǎng)既需要承載科研信息共享、多媒體教學(xué)、電子閱覽、教學(xué)資料存儲(chǔ)等教學(xué)相關(guān)的網(wǎng)絡(luò)業(yè)務(wù)，也要承載行政和總務(wù)管理、教師辦公、高校論壇等其他網(wǎng)絡(luò)業(yè)務(wù)，因此對(duì)網(wǎng)絡(luò)的性能、服務(wù)質(zhì)量等要求極高。隨著高校信息化的發(fā)展，網(wǎng)絡(luò)中所承載內(nèi)容的變化，以及接入終端的多樣化，校園網(wǎng)的建設(shè)也面臨著越來(lái)越多的新挑戰(zhàn)。在設(shè)計(jì)中北大學(xué)新型大學(xué)校園網(wǎng)絡(luò)時(shí)，需要注意以下問(wèn)題：網(wǎng)絡(luò)平臺(tái)結(jié)構(gòu)問(wèn)題中北大學(xué)需要建設(shè)一個(gè)可以提供多個(gè)運(yùn)營(yíng)商共同運(yùn)營(yíng)的網(wǎng)絡(luò)平臺(tái)，以網(wǎng)絡(luò)技術(shù)為依托建設(shè)一個(gè)公平競(jìng)爭(zhēng)的網(wǎng)絡(luò)服務(wù)平臺(tái)，為校園師生提供不斷優(yōu)化的服務(wù)。? 計(jì)費(fèi)要求靈活校園網(wǎng)中有學(xué)生、教師等多種不同角色，針對(duì)不同角色計(jì)費(fèi)方法不同；基于學(xué)生和老師的作息時(shí)間，針對(duì)不同時(shí)間計(jì)費(fèi)也會(huì)有所差別；用戶訪問(wèn)校園內(nèi)網(wǎng)資源、Internet資源和教育網(wǎng)資源時(shí)，也會(huì)涉及到不同的計(jì)費(fèi)方法。其中需要實(shí)現(xiàn)的是：1) 校內(nèi)資源免費(fèi)訪問(wèn)，包括校內(nèi)提供的各類學(xué)習(xí)資源，教務(wù)系統(tǒng)等；2) 學(xué)校的教師辦公區(qū)域上網(wǎng)不計(jì)費(fèi)；3) 有線和無(wú)線的網(wǎng)絡(luò)各個(gè)運(yùn)營(yíng)商賬號(hào)相互之間不干擾；4) 各個(gè)運(yùn)營(yíng)商可以根據(jù)自己的業(yè)務(wù)需求制定靈活的收費(fèi)策略；網(wǎng)絡(luò)穩(wěn)定性問(wèn)題校園網(wǎng)目前大多是傳統(tǒng)的三層架構(gòu)，結(jié)構(gòu)相對(duì)復(fù)雜。網(wǎng)絡(luò)容易生成環(huán)路，引起廣播風(fēng)暴；當(dāng)產(chǎn)生ARP等網(wǎng)絡(luò)攻擊時(shí)，影響范圍過(guò)大。傳統(tǒng)校園網(wǎng)的接入層為百兆帶寬，已經(jīng)不能滿足現(xiàn)有網(wǎng)絡(luò)應(yīng)用的高速傳輸需求。網(wǎng)絡(luò)管理問(wèn)題接入場(chǎng)景復(fù)雜校園網(wǎng)有大量的固定資產(chǎn)（例如打印機(jī)、攝像頭、IP電話等）需要接入網(wǎng)絡(luò)，這些終端設(shè)備都需要穩(wěn)定運(yùn)行；學(xué)生宿舍、教師公寓等地點(diǎn)又會(huì)有大量PC接入網(wǎng)絡(luò)；校園中訪客眾多，公共場(chǎng)所總會(huì)有訪客頻繁接入網(wǎng)絡(luò)；由于學(xué)生和教師樂于嘗試新技術(shù)，校園又是無(wú)線終端非常密集的場(chǎng)所。辦公網(wǎng)絡(luò)效率問(wèn)題校園網(wǎng)中有大量的P2P及其他下載流量占用帶寬，導(dǎo)致重要網(wǎng)絡(luò)應(yīng)用質(zhì)量不高；有多個(gè)網(wǎng)絡(luò)出口時(shí)，經(jīng)常會(huì)出現(xiàn)一個(gè)出口已經(jīng)非常擁塞，另一出口占用率卻很低的現(xiàn)象；特別針對(duì)教師辦公區(qū)域，需要針對(duì)網(wǎng)絡(luò)加強(qiáng)管理，提升網(wǎng)絡(luò)使用效率。網(wǎng)絡(luò)行為管理應(yīng)教育部和公安部的相關(guān)要求，并本著對(duì)學(xué)生負(fù)責(zé)的理念，校園網(wǎng)需要提供網(wǎng)絡(luò)行為管理的工具，對(duì)學(xué)生進(jìn)行實(shí)名認(rèn)證，對(duì)學(xué)生的上網(wǎng)行為進(jìn)行約束，并對(duì)上網(wǎng)的行為能夠監(jiān)控記錄，必要時(shí)進(jìn)行回溯。IP地址分配問(wèn)題校園網(wǎng)的辦公網(wǎng)絡(luò)目前使用效率很低的靜態(tài)IP地址分配，對(duì)賬號(hào)沒有實(shí)現(xiàn)實(shí)名里，對(duì)接入用戶缺乏有效的探測(cè)機(jī)制，地址回收效率也不高，需要建設(shè)實(shí)名認(rèn)證，并根據(jù)賬號(hào)動(dòng)態(tài)分配地址，并加以管理的機(jī)制。網(wǎng)絡(luò)安全問(wèn)題校園網(wǎng)的用戶具有極強(qiáng)的網(wǎng)絡(luò)技術(shù)以及好奇心，會(huì)不斷嘗試攻擊校園網(wǎng)絡(luò)；同時(shí)校園網(wǎng)應(yīng)用繁多，結(jié)構(gòu)復(fù)雜，是網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒滋生擴(kuò)散的溫床。IPv6的過(guò)渡問(wèn)題校園網(wǎng)往往走在網(wǎng)絡(luò)技術(shù)的最前線，作為網(wǎng)絡(luò)技術(shù)發(fā)展的必然趨勢(shì)，校園網(wǎng)更需要提前考慮IPV6的良好過(guò)渡。華為智慧校園網(wǎng)解決方案針對(duì)校園網(wǎng)面臨的新挑戰(zhàn)，華為提出了融合校園網(wǎng)解決方案來(lái)支持校園網(wǎng)的高速發(fā)展。華為校園網(wǎng)絡(luò)解決方案有以下特點(diǎn)：萬(wàn)兆融合網(wǎng)絡(luò)解決方案? 扁平化的大二層網(wǎng)絡(luò)華為的校園網(wǎng)解決方案中，用戶都接入BRAS，采用扁平化的大二層網(wǎng)絡(luò)，簡(jiǎn)化了網(wǎng)絡(luò)結(jié)構(gòu)，降低了網(wǎng)絡(luò)的運(yùn)維難度。同時(shí)采用堆疊、VLAN等技術(shù)，既增強(qiáng)了網(wǎng)絡(luò)的可靠性，又成功消除了網(wǎng)絡(luò)環(huán)路。? 萬(wàn)兆無(wú)阻塞架構(gòu)華為的校園網(wǎng)解決方案中，使用千兆接入、萬(wàn)兆匯聚的方案，來(lái)支撐校園網(wǎng)流量的爆炸式增長(zhǎng)，滿足未來(lái)校園網(wǎng)虛擬化和云計(jì)算的帶寬需求。無(wú)阻塞的網(wǎng)絡(luò)架構(gòu)保證校園網(wǎng)的業(yè)務(wù)質(zhì)量。華為通過(guò)先進(jìn)的匯聚和核心層的架構(gòu)，支持平滑升級(jí)，滿足校園網(wǎng)未來(lái)5-10年持續(xù)發(fā)展需求；豐富的板卡覆蓋多種場(chǎng)景，滿足校園網(wǎng)未來(lái)業(yè)務(wù)擴(kuò)展需求；同時(shí)通過(guò)多重冗余備份，保證校園網(wǎng)關(guān)鍵業(yè)務(wù)持續(xù)在線，實(shí)現(xiàn)99.999%可靠性設(shè)計(jì)。? 有線無(wú)線一體化運(yùn)營(yíng)華為設(shè)計(jì)的解決方案中，可最大限度重用用戶已有的有線網(wǎng)絡(luò)，將無(wú)線網(wǎng)絡(luò)融入其中。運(yùn)維管理非常方便，并且支持統(tǒng)一認(rèn)證，全校園網(wǎng)漫游，同時(shí)可靠性極高，給用戶最好的上網(wǎng)體驗(yàn)。? 多種接入技術(shù)無(wú)論是有線終端還是無(wú)線終端，華為都提供了形式多樣的接入認(rèn)證技術(shù)。比如廣泛適用于校園網(wǎng)的Portal認(rèn)證，在學(xué)生宿舍區(qū)非常實(shí)用的PPPoE認(rèn)證，適用于啞終端的MAC認(rèn)證，以及802.1x認(rèn)證。華為的認(rèn)證方案可適用于各種場(chǎng)景各種用戶，為網(wǎng)絡(luò)的智慧運(yùn)營(yíng)打下堅(jiān)實(shí)基礎(chǔ)。使用BRAS設(shè)備接入用戶，可實(shí)時(shí)探測(cè)用戶狀態(tài)，及時(shí)回收分配的IP地址資源，避免大量浪費(fèi)IP地址。? 運(yùn)營(yíng)范圍全覆蓋無(wú)論是本校區(qū)用戶，還是分校用戶和遠(yuǎn)程接入的用戶，華為都提供了各種融合接入的方案，穩(wěn)定高效的訪問(wèn)遠(yuǎn)程資源和校園網(wǎng)的資源。認(rèn)證計(jì)費(fèi)解決方案華為使用ME60作為用戶網(wǎng)關(guān)，實(shí)現(xiàn)了強(qiáng)大靈活的認(rèn)證計(jì)費(fèi)功能。? 兼容現(xiàn)網(wǎng)的眾多業(yè)務(wù)和流量模型的管理。? 滿足網(wǎng)絡(luò)PPPoE、Portal等多種接入認(rèn)證的功能。? 認(rèn)證通過(guò)后，滿足對(duì)不同用戶分配不同訪問(wèn)權(quán)限的功能。? 滿足現(xiàn)網(wǎng)有線無(wú)線統(tǒng)一化認(rèn)證與計(jì)費(fèi)的要求，滿足基于時(shí)間、基于區(qū)域、基于用戶、基于訪問(wèn)目的地址等多種精細(xì)化計(jì)費(fèi)要求。安全管控解決方案華為可提供安全管控的全系列產(chǎn)品，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)和服務(wù)器資源的全面防護(hù)。優(yōu)化運(yùn)維解決方案華為提供針對(duì)鏈路和服務(wù)器的負(fù)載均衡方案，可優(yōu)化用戶的訪問(wèn)速率，進(jìn)一步提升用戶體驗(yàn)。使用eSight網(wǎng)管，可實(shí)現(xiàn)對(duì)校園網(wǎng)整網(wǎng)的拓?fù)涔芾怼⒕W(wǎng)絡(luò)資源管理、性能管理、故障管理和配置管理。eSight提供強(qiáng)大的報(bào)表功能，為判斷運(yùn)維趨勢(shì)、發(fā)現(xiàn)潛在問(wèn)題提供了強(qiáng)有力的支持。IPv6平滑演進(jìn)方案華為全系列IPv6產(chǎn)品均為自主核心技術(shù)，提供雙棧過(guò)渡技術(shù)、隧道互聯(lián)技術(shù)和地址轉(zhuǎn)換技術(shù)保證IPv4到IPv6的平滑過(guò)渡。2、建設(shè)原則校園網(wǎng)是校園的教學(xué)信息共享平臺(tái)，應(yīng)本著以下原則進(jìn)行建設(shè)： 超前性與實(shí)用性結(jié)合網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，如果設(shè)備缺乏先進(jìn)性，設(shè)備可能很快落后甚至被淘汰，但也不能過(guò)分超前，以避免造成投資的浪費(fèi)。為此，在網(wǎng)絡(luò)建設(shè)中，需注意超前性與實(shí)用性結(jié)合，確保投資有效，使之能真正發(fā)揮出相應(yīng)的作用。 安全性與可靠性在校園網(wǎng)建設(shè)中，安全性是整個(gè)網(wǎng)絡(luò)建設(shè)中的重中之重，要通過(guò)各種技術(shù)確保系統(tǒng)應(yīng)用的安全性以及內(nèi)容的安全性。同時(shí)，要求系統(tǒng)本身具有高度的可靠性，這樣才能保證網(wǎng)絡(luò)客戶的應(yīng)用 可管理性網(wǎng)絡(luò)管理是一個(gè)長(zhǎng)期的投資，在網(wǎng)絡(luò)建設(shè)中對(duì)網(wǎng)絡(luò)可管理是一項(xiàng)重要的應(yīng)用原則，通過(guò)選擇全網(wǎng)的可管理性軟件，減少日常維護(hù)費(fèi)用。 可擴(kuò)展性校園網(wǎng)絡(luò)不但需要能夠滿足當(dāng)前需要，隨著后續(xù)教學(xué)方式的改變、技術(shù)的發(fā)展，未來(lái)網(wǎng)絡(luò)需要承載更多的業(yè)務(wù)及提供更多的優(yōu)質(zhì)服務(wù)。所以，網(wǎng)絡(luò)的可擴(kuò)展性是網(wǎng)絡(luò)建設(shè)中必須提前規(guī)劃的重點(diǎn)。網(wǎng)絡(luò)現(xiàn)狀及需求分析1、網(wǎng)絡(luò)現(xiàn)狀中北大學(xué)校園網(wǎng)建設(shè)始建于1994年，1998年接入教育網(wǎng)，并于2002年進(jìn)行了二期建設(shè)，實(shí)現(xiàn)了“千兆主干、百兆桌面”的網(wǎng)絡(luò)基本布局。十多年時(shí)間過(guò)去了，校園網(wǎng)發(fā)生了很大變化。目前，全校信息點(diǎn)達(dá)到25000多個(gè)，辦公區(qū)聯(lián)網(wǎng)計(jì)算機(jī)6000多臺(tái)，學(xué)生區(qū)聯(lián)網(wǎng)計(jì)算機(jī)20000多臺(tái)，光纖長(zhǎng)度10.247千米。校園網(wǎng)有教育網(wǎng)、中國(guó)聯(lián)通、中國(guó)移動(dòng)三個(gè)互聯(lián)網(wǎng)出口，帶寬共計(jì)350Mbps。校園網(wǎng)連接到了全校所有教學(xué)、科研、管理部門、學(xué)生宿舍樓和教職工住宅，遍及學(xué)校各個(gè)地方。中北大學(xué)網(wǎng)絡(luò)現(xiàn)狀校園網(wǎng)絡(luò)主要覆蓋三個(gè)區(qū)域：辦公區(qū)、家屬區(qū)和學(xué)生宿舍區(qū)。學(xué)生宿舍區(qū)樓宇基本都已進(jìn)行綜合布線。家屬區(qū)中，西苑小區(qū)、新南區(qū)的所有樓宇都已進(jìn)行綜合布線，84小區(qū)、南苑小區(qū)、舊成教樓沒有進(jìn)行綜合布線。單身教工宿舍有綜合布線，但沒有網(wǎng)絡(luò)設(shè)備，也無(wú)法通過(guò)校園網(wǎng)訪問(wèn)因特網(wǎng)。辦公區(qū)各樓均能上網(wǎng)，但基礎(chǔ)線路情況各不相同。除教學(xué)主樓（11號(hào)樓）、實(shí)驗(yàn)大樓（9號(hào)教學(xué)樓）、無(wú)損樓，重點(diǎn)實(shí)驗(yàn)室、篤學(xué)樓、產(chǎn)業(yè)樓、8號(hào)教學(xué)樓、10號(hào)教學(xué)樓、圖書館、體館西看臺(tái)、工程訓(xùn)練中心進(jìn)行了綜合布線外，1號(hào)教學(xué)樓、工字樓（2號(hào)教樓）、3號(hào)教學(xué)樓、4號(hào)教學(xué)樓、制圖樓（5號(hào)教學(xué)樓）、德懷樓（7號(hào)教學(xué)樓）、校醫(yī)院、老干部處、小白樓、科藝苑、4院辦公樓、4院實(shí)驗(yàn)樓、后勤辦公樓、舊圖書館、藝術(shù)系辦公樓、軟件學(xué)院、保衛(wèi)處、幼兒園都沒有進(jìn)行綜合布線，新添上網(wǎng)設(shè)備都需要重新布設(shè)網(wǎng)線才能聯(lián)網(wǎng)，網(wǎng)絡(luò)布局比較混亂。辦工區(qū)、教學(xué)區(qū)各樓宇聯(lián)網(wǎng)情況樓宇名稱是否綜合布線是否光纖直聯(lián)各樓層是否有交換機(jī)主干帶寬信息點(diǎn)數(shù)教學(xué)主樓（11號(hào)樓）是是是1000M1026實(shí)驗(yàn)大樓（9號(hào)教學(xué)樓）是是是1000M480無(wú)損樓是是是100M254重點(diǎn)實(shí)驗(yàn)室是是是1000M128篤學(xué)樓是是是1000M120產(chǎn)業(yè)樓是是是1000M968號(hào)教學(xué)樓是否否100M610號(hào)教學(xué)樓是是否1000M24圖書館是是是1000M582體館西看臺(tái)是否否100M60工程訓(xùn)練中心是是否100M961號(hào)教學(xué)樓否否否00工字樓（2號(hào)教樓）否否否100M243號(hào)教學(xué)樓否否否004號(hào)教學(xué)樓否是否1000M24制圖樓（5號(hào)教學(xué)樓）否否否100M28德懷樓（7號(hào)教學(xué)樓）否是否1000M24校醫(yī)園否是否100M24老干部處否否否100M12小白樓否否否100M24科藝苑否是否1000M244院辦公樓否否否100M244院實(shí)驗(yàn)樓否否否100M24后勤辦公樓否否否00舊圖書館否是否1000M6藝術(shù)樓辦公樓否否否100M24保衛(wèi)處否否否100M24幼兒園否否否100M4辦公區(qū)合計(jì)3162中北大學(xué)網(wǎng)絡(luò)安全現(xiàn)狀校園網(wǎng)目前的安全措施比較薄弱，僅有一臺(tái)天融信防火墻，能對(duì)服務(wù)器起到基本的防護(hù)作用，但對(duì)于各部門網(wǎng)站的防護(hù)、各應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)的防護(hù)、校園網(wǎng)內(nèi)網(wǎng)的防護(hù)，功能很弱。校園網(wǎng)沒有統(tǒng)一的病毒防護(hù)體系，用戶經(jīng)常出現(xiàn)由于中毒而不能正常使用計(jì)算機(jī)和網(wǎng)絡(luò)的情況。校園網(wǎng)中心機(jī)房現(xiàn)狀校園網(wǎng)中心機(jī)房位于9號(hào)教學(xué)樓4層，機(jī)房面積約80平方米。校園網(wǎng)中心機(jī)房的核心交換機(jī)為CISCO7609（即將更新為銳捷的8610交換機(jī)），二級(jí)節(jié)點(diǎn)交換機(jī)主要采用CISCO3550-24和港灣交換機(jī)。二級(jí)節(jié)點(diǎn)交換機(jī)以1000兆速率連接到核心交換機(jī)，整個(gè)網(wǎng)絡(luò)共劃分VLAN87個(gè)，由天融信防火墻將整個(gè)網(wǎng)絡(luò)劃分為三個(gè)區(qū)域，內(nèi)網(wǎng)區(qū)域（包括辦公區(qū)、聯(lián)通管轄的區(qū)域?qū)W生公寓和教職工住宅）、外網(wǎng)區(qū)域和DMZ區(qū)域。用戶訪問(wèn)教育網(wǎng)走教育網(wǎng)出口，用戶訪問(wèn)教育網(wǎng)以外的資源自動(dòng)路由到聯(lián)通或移動(dòng)出口。校園網(wǎng)中心機(jī)房?jī)?nèi)共有服務(wù)器35臺(tái)，分別是WEB服務(wù)器3臺(tái)；個(gè)人WEB服務(wù)器2臺(tái)；DNS服務(wù)器2臺(tái)；FTP服務(wù)器1臺(tái)；郵件服務(wù)器2臺(tái)（教職工和學(xué)生各1臺(tái)，保證了全校每個(gè)教職工和學(xué)生都有1個(gè)郵箱，共有5萬(wàn)用戶）；郵件網(wǎng)關(guān)1臺(tái)；課件服務(wù)器2臺(tái)；VOD服務(wù)器1臺(tái)；新聞服務(wù)器1臺(tái)；BBS服務(wù)器1臺(tái)；網(wǎng)管服務(wù)器1臺(tái)；ACM比賽服務(wù)器1臺(tái)；綜合教務(wù)管理系統(tǒng)服務(wù)器2臺(tái)；電子校務(wù)服務(wù)器2臺(tái)；干部學(xué)習(xí)服務(wù)器1臺(tái)；科技處服務(wù)器1臺(tái)；防火墻日志服務(wù)器1臺(tái)；代理服務(wù)器（僅代理聯(lián)合網(wǎng)絡(luò)通信有限公司管轄區(qū)域訪問(wèn)圖書館外部資源）1臺(tái)；后勤辦公信息化管理服務(wù)器2臺(tái)；體育選課系統(tǒng)服務(wù)器1臺(tái)；防毒服務(wù)器1臺(tái)；本科生就業(yè)管理系統(tǒng)1臺(tái)；視頻監(jiān)控服務(wù)器1臺(tái)；GOOGLE搜索服務(wù)器1臺(tái)；Blackboard課件服務(wù)器1臺(tái)；學(xué)生資助管理服務(wù)器1臺(tái)。這些服務(wù)器承擔(dān)著中北大學(xué)絕大部分的教學(xué)、科研和管理任務(wù)。其中一半以上的服務(wù)器均為2002年左右購(gòu)買，目前設(shè)備老化，已經(jīng)不能滿足校園網(wǎng)發(fā)展需要。為了校園網(wǎng)和網(wǎng)站服務(wù)器系統(tǒng)的安全，中北大學(xué)于2004年購(gòu)買了3000用戶的趨勢(shì)防毒墻網(wǎng)絡(luò)版殺毒軟件來(lái)保護(hù)服務(wù)器和校園網(wǎng)用戶，2005年購(gòu)買了天融信千兆多端口防火墻來(lái)保護(hù)整個(gè)校園網(wǎng)。為了阻止涉密信息的泄漏，2004年購(gòu)買了美訊智安全郵件網(wǎng)關(guān)，現(xiàn)已更新為碩奇郵件網(wǎng)關(guān)。中北大學(xué)校園其中辦公區(qū)域的網(wǎng)絡(luò)拓?fù)鋱D為：網(wǎng)絡(luò)說(shuō)明：現(xiàn)有網(wǎng)絡(luò)為多級(jí)結(jié)構(gòu)，包含核心、匯聚、接入層。網(wǎng)絡(luò)服務(wù)器群通過(guò)防火墻實(shí)現(xiàn)網(wǎng)絡(luò)隔離，對(duì)校內(nèi)網(wǎng)用戶提供包括WEB、FTP、郵件、DNS、VOD、辦公等服務(wù)。安全設(shè)備部署方面：校內(nèi)出口處部署防病毒木馬防火墻；在網(wǎng)絡(luò)出口主干道上部署流量控制設(shè)備。學(xué)校和多家線路運(yùn)營(yíng)商有合作，對(duì)外出口部署了包括移動(dòng)、聯(lián)通、電信、Cernet等出口線路，并且起用了IPv6資源線路。另外宿舍區(qū)和教師家屬區(qū)由于之前和聯(lián)通簽訂的合同，外包給聯(lián)通進(jìn)行建設(shè)和維護(hù)。到了現(xiàn)在已經(jīng)過(guò)了十年的合同簽訂期，設(shè)備老化嚴(yán)重，功能缺失，并且無(wú)法實(shí)現(xiàn)WLAN的覆蓋。2、需求分析中北大學(xué)現(xiàn)有網(wǎng)絡(luò)建設(shè)于2006年，經(jīng)過(guò)這幾年網(wǎng)絡(luò)信息的高速發(fā)展，相對(duì)應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)有需要升級(jí)和改造的地方，以滿足不斷發(fā)展的教育網(wǎng)絡(luò)應(yīng)用需求，以便更好服務(wù)于學(xué)校師生和公共用戶。對(duì)于中北大學(xué)現(xiàn)有網(wǎng)絡(luò)，主要有以下幾個(gè)方面需要進(jìn)行重點(diǎn)改造：網(wǎng)絡(luò)承載速率：現(xiàn)有網(wǎng)絡(luò)主要為100Mbps/1000Mbps承載，對(duì)于園區(qū)擁有5萬(wàn)以上的上網(wǎng)師生用戶來(lái)說(shuō)，承載能力嚴(yán)重不足，并且隨著教育信息化的不斷發(fā)展，各種教學(xué)應(yīng)用的使用，網(wǎng)絡(luò)教學(xué)的方式變化，對(duì)網(wǎng)絡(luò)的速率承載能力必定會(huì)提出更高的要求，因此現(xiàn)有網(wǎng)絡(luò)急需進(jìn)行速率升級(jí)。學(xué)校網(wǎng)絡(luò)建設(shè)定型之后，改動(dòng)升級(jí)工作就會(huì)帶來(lái)很大的工作量，并且影響較大，因此進(jìn)行升級(jí)改造工作一定要能服務(wù)于未來(lái)5年甚至10年的學(xué)校教學(xué)業(yè)務(wù)所需。鑒于現(xiàn)在網(wǎng)絡(luò)應(yīng)用發(fā)展迅速，教育信息化的發(fā)展趨勢(shì)有云化、視頻化、遠(yuǎn)程化等，各種教學(xué)應(yīng)用都對(duì)網(wǎng)絡(luò)速率有較高要求，因此建議學(xué)校網(wǎng)絡(luò)核心建設(shè)為10G以上核心。在接入網(wǎng)方面，現(xiàn)在千兆到桌面與百兆到桌面的方案應(yīng)用在成本上已經(jīng)相差不大，為了更好滿足未來(lái)學(xué)校教育的發(fā)展，建議可以建設(shè)到千兆到桌面的速率能力。網(wǎng)絡(luò)認(rèn)證管理：現(xiàn)網(wǎng)中缺乏精細(xì)化的網(wǎng)絡(luò)認(rèn)證管理系統(tǒng)。對(duì)于辦公區(qū)域上網(wǎng)還采用比較原始的人工申請(qǐng)，靜態(tài)IP地址分配，沒有賬號(hào)認(rèn)證過(guò)程。賬號(hào)的認(rèn)證是網(wǎng)絡(luò)管理和網(wǎng)絡(luò)效率優(yōu)化提升的前提，做好了認(rèn)證管理，那么再進(jìn)行的包括流量管理、權(quán)限管理、網(wǎng)絡(luò)質(zhì)量分析、網(wǎng)絡(luò)行為分析、服務(wù)資源管理、計(jì)費(fèi)管理等等細(xì)化管理才能有效進(jìn)行。各項(xiàng)的針對(duì)學(xué)校網(wǎng)絡(luò)的細(xì)化管理，各種網(wǎng)絡(luò)服務(wù)優(yōu)化，都是以做好網(wǎng)絡(luò)認(rèn)證管理為前提的。因此建議學(xué)校建設(shè)可精細(xì)化的，統(tǒng)一的網(wǎng)絡(luò)用戶認(rèn)證管理系統(tǒng)。網(wǎng)絡(luò)結(jié)構(gòu)改進(jìn)；現(xiàn)在中北大學(xué)網(wǎng)絡(luò)缺乏集中的上層匯聚點(diǎn)，各個(gè)接入單位直接匯總到核心層，帶來(lái)的是核心層的端口壓力，并且由于中北大學(xué)校園面積大，缺乏必要的匯聚點(diǎn)一方面是帶來(lái)線路的額外投資，另外是帶來(lái)網(wǎng)絡(luò)傳輸交換效率的下降。因此校園網(wǎng)絡(luò)改造必須增加合理的校園區(qū)域上層匯聚節(jié)點(diǎn)。另外網(wǎng)絡(luò)的出口結(jié)構(gòu)上，外部采用多線路出口，但是內(nèi)部主干道為單一線路，如果出現(xiàn)故障點(diǎn)，將直接影響整個(gè)網(wǎng)絡(luò)的用戶。在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)中，如果主干道網(wǎng)絡(luò)設(shè)備出現(xiàn)問(wèn)題，不單無(wú)法訪問(wèn)外部網(wǎng)絡(luò)，連內(nèi)網(wǎng)服務(wù)器組也可能有訪問(wèn)問(wèn)題，將直接影響了日常辦公的穩(wěn)定性。因此建議對(duì)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行改造。為了實(shí)現(xiàn)更好的整網(wǎng)精細(xì)化管理的同時(shí)，降低網(wǎng)絡(luò)維護(hù)工作量，建議使用整網(wǎng)使用扁平化結(jié)構(gòu)，網(wǎng)絡(luò)主干道采用冗余節(jié)點(diǎn)部署，以增強(qiáng)網(wǎng)絡(luò)的健壯性。網(wǎng)絡(luò)無(wú)線建設(shè)：現(xiàn)在智能終端的應(yīng)用是發(fā)展的必然趨勢(shì)，現(xiàn)在子啊日常的上網(wǎng)活動(dòng)中各種用戶已經(jīng)廣泛采用智能終端上網(wǎng)，可以預(yù)見的是，未來(lái)教學(xué)活動(dòng)中也會(huì)不斷采用智能終端進(jìn)行輔助，因此現(xiàn)在校園網(wǎng)絡(luò)中，無(wú)線覆蓋是必然的建設(shè)需求。為了讓內(nèi)網(wǎng)用戶擁有更好的上網(wǎng)體驗(yàn)，同時(shí)也是為了更好地進(jìn)行整網(wǎng)的統(tǒng)一管理，建議在建設(shè)無(wú)線規(guī)劃時(shí)，實(shí)現(xiàn)有線無(wú)線一體化設(shè)計(jì)。網(wǎng)絡(luò)安全改進(jìn)目前校園中中缺乏網(wǎng)絡(luò)安全保護(hù)能力，無(wú)法應(yīng)對(duì)越來(lái)越復(fù)雜的互聯(lián)網(wǎng)威脅。并且針對(duì)互聯(lián)網(wǎng)缺乏行為管控設(shè)備，無(wú)法針對(duì)網(wǎng)絡(luò)內(nèi)容實(shí)現(xiàn)有效規(guī)范。并且隨著數(shù)字化校園規(guī)劃中的各類校園教學(xué)應(yīng)用的升級(jí)，建設(shè)的信息中心也需要加強(qiáng)應(yīng)用層次的安全防御。項(xiàng)目建設(shè)方案1、校園網(wǎng)基礎(chǔ)結(jié)構(gòu)改造設(shè)計(jì)方案1.1總體網(wǎng)絡(luò)改造架構(gòu)校園網(wǎng)是一種用戶高密度的網(wǎng)絡(luò)，在有限的空間內(nèi)聚集了大量的終端和用戶。校園網(wǎng)注重的是網(wǎng)絡(luò)的簡(jiǎn)單可靠、易部署、易維護(hù)。因此在校園網(wǎng)中，拓?fù)浣Y(jié)構(gòu)最好以星型結(jié)構(gòu)為主?；谛切徒Y(jié)構(gòu)的校園網(wǎng)設(shè)計(jì)，遵循如下原則：層次化將校園網(wǎng)絡(luò)劃分為BRAS、核心層、匯聚層、接入層。每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。模塊化將校園網(wǎng)絡(luò)中的每個(gè)區(qū)域或者每個(gè)功能區(qū)劃分為一個(gè)模塊，模塊內(nèi)部的調(diào)整涉及范圍小，易于進(jìn)行問(wèn)題定位。冗余性關(guān)鍵設(shè)備采用雙節(jié)點(diǎn)冗余設(shè)計(jì)；關(guān)鍵鏈路采用Trunk方式冗余備份或者負(fù)載分擔(dān)；關(guān)鍵設(shè)備的電源、主控板等關(guān)鍵部件冗余備份。提高了整個(gè)網(wǎng)絡(luò)的可靠性。安全性校園網(wǎng)絡(luò)應(yīng)具備有效的安全控制。接入網(wǎng)絡(luò)的設(shè)備要進(jìn)行統(tǒng)一認(rèn)證，同時(shí)按接入用戶身份、按權(quán)限進(jìn)行分區(qū)邏輯隔離。對(duì)特別重要的業(yè)務(wù)采取物理隔離。對(duì)進(jìn)出校園網(wǎng)的流量要進(jìn)行識(shí)別、過(guò)濾，確保網(wǎng)絡(luò)安全。可管理性和可維護(hù)性為了易于管理，可選擇適用于全網(wǎng)的網(wǎng)管軟件來(lái)管理網(wǎng)絡(luò)。為了便于維護(hù)，應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品。邏輯架構(gòu)校園出口校園出口區(qū)域既負(fù)責(zé)對(duì)校園網(wǎng)用戶的統(tǒng)一接入，也負(fù)責(zé)將內(nèi)部的終端用戶接入到公網(wǎng)、將外部用戶接入到內(nèi)網(wǎng)。出口除了要保證校園內(nèi)外的數(shù)據(jù)傳輸，還需要保證邊界安全。核心層核心層負(fù)責(zé)整個(gè)園區(qū)網(wǎng)的高速互聯(lián)，一般不部署具體的業(yè)務(wù)。核心網(wǎng)絡(luò)需要實(shí)現(xiàn)帶寬的高利用率和網(wǎng)絡(luò)故障的快速收斂。匯聚層匯聚層將眾多的接入設(shè)備和大量用戶經(jīng)過(guò)一次匯聚后再接入到核心層，擴(kuò)展核心層接入用戶的數(shù)量。接入層負(fù)責(zé)將各種終端接入到校園網(wǎng)絡(luò)，通常由以太網(wǎng)交換機(jī)組成。對(duì)于某些終端，可能還要增加特定的接入設(shè)備，例如無(wú)線接入的AP設(shè)備。終端應(yīng)用層包含校園網(wǎng)內(nèi)的各種終端設(shè)備，例如PC、筆記本電腦、打印機(jī)、傳真、手機(jī)、攝像頭等等。數(shù)據(jù)中心部署服務(wù)器和應(yīng)用系統(tǒng)的區(qū)域。為校園網(wǎng)內(nèi)部和外部用戶提供數(shù)據(jù)和應(yīng)用服務(wù)。網(wǎng)絡(luò)管理區(qū)聯(lián)合BRAS對(duì)接入用戶進(jìn)行認(rèn)證，對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器等進(jìn)行管理的區(qū)域。包括告警管理、性能管理、故障管理、配置管理、安全管理等。物理架構(gòu)網(wǎng)絡(luò)組網(wǎng)描述：網(wǎng)絡(luò)出口：采用兩臺(tái)USG防火墻作為出口，承載多網(wǎng)絡(luò)線路，啟用USG上的鏈路均衡和智能選路功能，發(fā)揮多線路資源的優(yōu)勢(shì)，提升內(nèi)網(wǎng)用戶上網(wǎng)體驗(yàn)。網(wǎng)絡(luò)核心：采用BRASME60對(duì)內(nèi)網(wǎng)所有的用戶實(shí)現(xiàn)統(tǒng)一的認(rèn)證管理，BRAS采用雙機(jī)熱備模式部署（具體認(rèn)證模式參照下文中的《業(yè)務(wù)解決方案》中的認(rèn)證計(jì)費(fèi)內(nèi)容）；交換核心采用集群模式部署；整體網(wǎng)絡(luò)核心實(shí)現(xiàn)40G核心，滿足未來(lái)10年校園教育信息化發(fā)展需要；數(shù)據(jù)中心：數(shù)據(jù)中心單獨(dú)規(guī)劃，為建設(shè)高效云教育數(shù)據(jù)中心預(yù)留規(guī)劃，數(shù)據(jù)中心通過(guò)單獨(dú)的防火墻接入核心層中，核心交換機(jī)可用虛擬化為數(shù)據(jù)中心接入提供單獨(dú)接入?yún)^(qū)域；DMZ區(qū)：對(duì)外的公共服務(wù)單獨(dú)設(shè)置，提升服務(wù)效率同時(shí)，也將增強(qiáng)網(wǎng)絡(luò)的健壯性；網(wǎng)絡(luò)管理區(qū)：部署包括整網(wǎng)管理相關(guān)系統(tǒng)，包括AAA、DHCP、Portal等，也包括整網(wǎng)的運(yùn)維系統(tǒng)eSight；匯聚：匯聚采用萬(wàn)兆速率部署，在有條件的地方實(shí)現(xiàn)虛擬集群化模式；接入：接入速率下行實(shí)現(xiàn)千兆到桌面，并且為無(wú)線AP的接入提供POE接口，簡(jiǎn)化無(wú)線部署；無(wú)線：無(wú)線部署與有線是實(shí)現(xiàn)一體化。包括用戶認(rèn)證管理、整體網(wǎng)絡(luò)運(yùn)維、硬件部署，讓無(wú)線徹底融合入有線的整體框架設(shè)計(jì)中。網(wǎng)絡(luò)改造價(jià)值：網(wǎng)絡(luò)架構(gòu)清晰，基礎(chǔ)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)、新校區(qū)網(wǎng)絡(luò)均可獨(dú)立維護(hù)。以核心節(jié)點(diǎn)為“根”的星型分層拓?fù)洌軜?gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。各部門和功能分區(qū)模塊清晰，模塊內(nèi)部調(diào)整涉及范圍小，易于進(jìn)行問(wèn)題定位。匯聚層和接入層冗余設(shè)計(jì)，關(guān)鍵鏈路均采用Trunk鏈路，保證網(wǎng)絡(luò)的可靠性。支持各種終端接入，統(tǒng)一認(rèn)證，一張IP網(wǎng)絡(luò)承載所有業(yè)務(wù)。網(wǎng)絡(luò)融化統(tǒng)一，包含網(wǎng)絡(luò)有線無(wú)線、安全與通信的融合；支持分支接入、遠(yuǎn)程接入、外部用戶訪問(wèn)等各種外聯(lián)場(chǎng)景。1.2校園網(wǎng)基礎(chǔ)區(qū)域網(wǎng)絡(luò)規(guī)劃校園基礎(chǔ)區(qū)域網(wǎng)絡(luò)是整個(gè)校園網(wǎng)絡(luò)的樞紐，連接著校園網(wǎng)的各個(gè)區(qū)域。承擔(dān)了內(nèi)部數(shù)據(jù)流量和對(duì)外數(shù)據(jù)流量，在邏輯上成為可靠性、安全設(shè)計(jì)的中心。網(wǎng)絡(luò)匯聚點(diǎn)規(guī)劃根據(jù)中北大學(xué)校園平面圖，初步建議匯聚節(jié)點(diǎn)的設(shè)置如下：說(shuō)明：網(wǎng)絡(luò)核心：部署在信息中心機(jī)房，隨著信息業(yè)務(wù)系統(tǒng)的升級(jí)，原有的機(jī)房空間可能不夠，可以增加機(jī)房，但是在邏輯上是形成一個(gè)中心。一個(gè)網(wǎng)絡(luò)信息中心的設(shè)計(jì)有利于發(fā)揮資源的整合優(yōu)勢(shì)，并且有利于統(tǒng)一管理和維護(hù)。由于教學(xué)區(qū)、辦公區(qū)的流量?jī)?nèi)容和行為特征與學(xué)生宿舍區(qū)、教師家屬區(qū)差異較大，因此建議匯聚節(jié)點(diǎn)分為兩類。教學(xué)區(qū)和辦公區(qū)匯聚：此類網(wǎng)絡(luò)流量壓力較小，網(wǎng)絡(luò)行為比較規(guī)范，因此建議按照區(qū)域建設(shè)四個(gè)匯聚節(jié)點(diǎn)。學(xué)生宿舍區(qū)和教師家屬區(qū)匯聚：學(xué)生宿舍區(qū)是流量壓力最大的區(qū)域，按照目前情況，建議每5棟學(xué)生宿舍設(shè)定一個(gè)匯聚節(jié)點(diǎn)；教師家屬區(qū)流量壓力也是屬于較大區(qū)域，建議每8棟宿舍設(shè)定一個(gè)匯聚節(jié)點(diǎn)。每個(gè)匯聚節(jié)點(diǎn)部署雙設(shè)備冗余，通過(guò)10G鏈路與網(wǎng)絡(luò)核心互聯(lián)，再通過(guò)核心區(qū)域連通互聯(lián)網(wǎng)。詳細(xì)組網(wǎng)規(guī)劃校園基礎(chǔ)網(wǎng)絡(luò)整體規(guī)劃校園基礎(chǔ)網(wǎng)絡(luò)區(qū)域建議采用BRAS、核心層、匯聚層和接入層的架構(gòu)模型，具有如下的優(yōu)勢(shì)：邏輯二層設(shè)計(jì)基礎(chǔ)網(wǎng)絡(luò)部分邏輯上采用了扁平化的大二層結(jié)構(gòu)，接入用戶都在BRAS上接入，不需要維護(hù)復(fù)雜的網(wǎng)絡(luò)架構(gòu)與協(xié)議。層次化設(shè)計(jì)有BRAS、核心層、匯聚層、接入層，每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。模塊化設(shè)計(jì)每一個(gè)模塊為一個(gè)學(xué)院樓、教學(xué)樓或一個(gè)學(xué)生宿舍，模塊內(nèi)部調(diào)整涉及范圍小，定位問(wèn)題也容易。冗余性設(shè)計(jì)雙節(jié)點(diǎn)冗余性設(shè)計(jì)，適當(dāng)?shù)娜哂嘈蕴岣呖煽啃?，過(guò)度的冗余不便于運(yùn)行維護(hù)。對(duì)稱性設(shè)計(jì)網(wǎng)絡(luò)的對(duì)稱性便于業(yè)務(wù)部署，拓?fù)渲庇^，便于設(shè)計(jì)和分析。BRAS設(shè)計(jì)規(guī)劃BRAS負(fù)責(zé)對(duì)校園網(wǎng)用戶的統(tǒng)一接入，并與認(rèn)證服務(wù)器協(xié)同工作，對(duì)接入用戶進(jìn)行認(rèn)證，可以很方便的對(duì)校園網(wǎng)的所有用戶流量做統(tǒng)一管理監(jiān)控。由于BRAS部署在核心層之上，匯總校園網(wǎng)全網(wǎng)用戶流量，需要具有高帶寬、高轉(zhuǎn)發(fā)性能，無(wú)阻塞轉(zhuǎn)發(fā)數(shù)據(jù)。同時(shí)BRAS需要有強(qiáng)大的認(rèn)證計(jì)費(fèi)功能，才能滿足校園網(wǎng)的大用戶量、高并發(fā)連接數(shù)、多樣化計(jì)費(fèi)的需求。BRAS匯總?cè)W(wǎng)用戶流量，是數(shù)據(jù)轉(zhuǎn)發(fā)的樞紐，通常需要部署兩臺(tái)BRAS，采用主備方式，用戶的接入信息備份到備設(shè)備上。當(dāng)主設(shè)備的鏈路、接口、單板或者整機(jī)出現(xiàn)故障時(shí)，能夠快速將業(yè)務(wù)切換至備用設(shè)備。核心層虛擬化設(shè)計(jì)規(guī)劃核心層部署校園的核心設(shè)備，連接所有的匯聚交換機(jī)，轉(zhuǎn)發(fā)各個(gè)教學(xué)樓或?qū)W生宿舍之間的流量。核心層需要采用全連接結(jié)構(gòu)，保持核心層設(shè)備的配置盡量簡(jiǎn)單，并且和校園網(wǎng)的具體業(yè)務(wù)無(wú)關(guān)。核心層設(shè)備需要具有高帶寬、高轉(zhuǎn)發(fā)性能，否則將無(wú)法支撐企業(yè)內(nèi)外部的業(yè)務(wù)流量。核心層交換機(jī)通常使用CSS（ClusterSwitchSystem）技術(shù)，將兩臺(tái)交換機(jī)從邏輯上整合成一臺(tái)交換機(jī)。同時(shí)可在堆疊后的系統(tǒng)上劃分VS，將堆疊后的系統(tǒng)再劃分為多臺(tái)邏輯交換機(jī)。每臺(tái)邏輯交換機(jī)獨(dú)立工作，在業(yè)務(wù)功能上等同于一臺(tái)獨(dú)立的傳統(tǒng)物理交換機(jī)，可以在不同的邏輯交換機(jī)上按照用戶需要部署不同的業(yè)務(wù)。例如，可以將一臺(tái)邏輯交換機(jī)應(yīng)用在校園基礎(chǔ)網(wǎng)絡(luò)的核心層，將另一臺(tái)邏輯交換機(jī)應(yīng)用在校園數(shù)據(jù)中心。這樣可以在保障業(yè)務(wù)隔離性和安全性的前提下，最大限度地利用現(xiàn)有資源，提高網(wǎng)絡(luò)業(yè)務(wù)的可配置性和可管理性。匯聚層設(shè)計(jì)規(guī)劃匯聚層是一個(gè)學(xué)院、一幢教學(xué)樓或一幢學(xué)生宿舍的匯聚點(diǎn)，匯聚層的設(shè)備用來(lái)轉(zhuǎn)發(fā)本區(qū)域用戶到其他區(qū)域用戶的橫向流量，同時(shí)發(fā)送本區(qū)域用戶流量到核心層。匯聚層將大量用戶接入到互聯(lián)的網(wǎng)絡(luò)中，模塊化擴(kuò)展接入核心層設(shè)備的用戶數(shù)量。匯聚層具有高帶寬、高端口密度、高轉(zhuǎn)發(fā)性能等特點(diǎn)，用于支撐該匯聚層下各業(yè)務(wù)部門之間的流量。匯聚層交換機(jī)通常使用CSS（ClusterSwitchSystem）技術(shù)，將多臺(tái)交換機(jī)從邏輯上整合成一臺(tái)交換機(jī)。然后將匯聚層的CSS系統(tǒng)和核心層的CSS系統(tǒng)之間的多條鏈路捆綁，用來(lái)傳輸數(shù)據(jù)。這樣既簡(jiǎn)化了配置和管理，又提高了網(wǎng)絡(luò)的可靠性和擴(kuò)展能力。匯聚層交換機(jī)可以直接配置插卡式AC,對(duì)網(wǎng)絡(luò)中的AP進(jìn)行管控，實(shí)現(xiàn)有線無(wú)線融合接入。接入層設(shè)計(jì)規(guī)劃接入層是最靠近終端用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，一般部署二層設(shè)備，雙歸屬到匯聚層兩個(gè)不同的交換機(jī)。接入層除了需要部署豐富的二層特性外，還需要部署安全、可靠性等相關(guān)功能。接入層需要具有高密度、高速率的端口，以支持更多的終端接入校園網(wǎng)絡(luò)。接入層交換機(jī)通常使用iStack（IntelligentStack）技術(shù)，將多臺(tái)交換機(jī)從邏輯上整合成一臺(tái)交換機(jī)。這樣既簡(jiǎn)化了配置和管理，又提高了網(wǎng)絡(luò)的可靠性和擴(kuò)展能力?？煽啃栽O(shè)計(jì)規(guī)劃本解決方案中，網(wǎng)絡(luò)可靠性由雙設(shè)備、鏈路冗余來(lái)保證。傳統(tǒng)可靠性方案?jìng)鹘y(tǒng)的可靠性方案是STP（SpanningTreeProtocol），該方案通過(guò)阻塞環(huán)路中的某條鏈路來(lái)實(shí)現(xiàn)二層數(shù)據(jù)幀的無(wú)環(huán)轉(zhuǎn)發(fā)?，F(xiàn)代網(wǎng)絡(luò)中很多應(yīng)用對(duì)中斷時(shí)間極為敏感，而且?guī)挊O大，這種傳統(tǒng)的可靠性方案已經(jīng)不適用于現(xiàn)代網(wǎng)絡(luò)。收斂時(shí)間傳統(tǒng)的STP技術(shù)收斂速度慢，在故障發(fā)生時(shí)，故障收斂時(shí)間>10秒；雖然采用RSTP進(jìn)行優(yōu)化，但收斂時(shí)間任是秒級(jí)，秒級(jí)的業(yè)務(wù)中斷，無(wú)法適應(yīng)現(xiàn)在的很多網(wǎng)絡(luò)應(yīng)用。鏈路利用率低由于有一個(gè)上行鏈路被阻塞，此鏈路的帶寬無(wú)法利用，總帶寬利用率只有50%；雖然MSTP基于VLAN進(jìn)行優(yōu)化，但使用MSTP又會(huì)導(dǎo)致配置復(fù)雜，日常維護(hù)非常困難。配置維護(hù)復(fù)雜，網(wǎng)絡(luò)故障率高每個(gè)接入交換機(jī)和匯聚交換機(jī)都需要運(yùn)行STP協(xié)議，隨著接入交換機(jī)的增加，交換機(jī)需要處理的STP也越來(lái)越復(fù)雜，會(huì)導(dǎo)致可靠性問(wèn)題。集群+堆疊的無(wú)環(huán)網(wǎng)絡(luò)方案基于STP方案有以上這些缺點(diǎn)，我們推薦采用集群+堆疊的無(wú)環(huán)網(wǎng)絡(luò)方案來(lái)替代傳統(tǒng)方案。匯聚層的兩臺(tái)交換機(jī)使用CSS（ClusterSwitchSystem）技術(shù)，配置交換機(jī)集群，從邏輯上組合成一臺(tái)交換機(jī)；接入層的兩臺(tái)交換機(jī)使用iStack（IntelligentStack）技術(shù)，配置交換機(jī)堆疊，從邏輯上組合成一臺(tái)交換機(jī)。將接入層交換機(jī)和匯聚層交換機(jī)之間的多條鏈路捆綁，用來(lái)傳輸數(shù)據(jù)。相對(duì)傳統(tǒng)方案，這個(gè)方案有以下優(yōu)勢(shì)：高可靠性堆疊系統(tǒng)的成員設(shè)備之間冗余備份；堆疊支持跨設(shè)備的鏈路聚合功能，實(shí)現(xiàn)跨設(shè)備的鏈路冗余備份。以單鏈路故障率為1小時(shí)/1千小時(shí)為例，增加到兩條鏈路，就可以將故障率降低到3.6秒/1千小時(shí)，可靠性從3個(gè)9提高到6個(gè)9。簡(jiǎn)化配置和管理交換機(jī)集群或堆疊形成后，兩臺(tái)物理交換機(jī)虛擬成為一臺(tái)邏輯交換機(jī)，用戶可以通過(guò)任何一臺(tái)成員設(shè)備登錄堆疊系統(tǒng)，對(duì)堆疊系統(tǒng)所有成員設(shè)備進(jìn)行統(tǒng)一配置和管理。邏輯網(wǎng)絡(luò)也變得簡(jiǎn)潔，不再需要配置和維護(hù)STP等協(xié)議。快速的故障收斂鏈路故障收斂時(shí)間可以控制在10ms以下，大大降低了網(wǎng)絡(luò)鏈路/節(jié)點(diǎn)的故障對(duì)業(yè)務(wù)的影響。帶寬利用率高采用鏈路Trunk的方式，帶寬利用率可以達(dá)到100%。擴(kuò)容方便、保護(hù)投資隨著業(yè)務(wù)的增加，當(dāng)用戶進(jìn)行網(wǎng)絡(luò)升級(jí)時(shí)，只需要增加新設(shè)備，而不需要更改網(wǎng)絡(luò)配置。平滑擴(kuò)容，很好的保護(hù)了投資。BRAS部署時(shí)采用主備方式，用戶的接入信息備份到備設(shè)備上，當(dāng)主設(shè)備的鏈路、接口、單板或者整機(jī)出現(xiàn)故障時(shí)，能夠快速將業(yè)務(wù)切換至備用設(shè)備。設(shè)備可靠性可靠性的另一個(gè)重要方面是設(shè)備可靠性，核心區(qū)設(shè)備一般為框式設(shè)備，在可靠性方面的要求包括：支持主控單元的備份支持電源模塊的備份支持模塊化的風(fēng)扇設(shè)計(jì)，支持單風(fēng)扇失效支持所有模塊的熱插拔安全性規(guī)劃設(shè)計(jì)校園出口之間部署防火墻設(shè)備，主要解決如下幾個(gè)安全問(wèn)題：校園內(nèi)、外網(wǎng)之間的訪問(wèn)控制，實(shí)現(xiàn)校園內(nèi)、外網(wǎng)的安全隔離。新校區(qū)與校園本部的訪問(wèn)控制，實(shí)現(xiàn)新校區(qū)和校園本部?jī)?nèi)網(wǎng)業(yè)務(wù)的安全隔離。出差員工與校園DMZ區(qū)域的訪問(wèn)控制，實(shí)現(xiàn)出差員工與校園DMZ區(qū)域的安全隔離。合作伙伴/訪客與校園DMZ區(qū)域的訪問(wèn)控制，實(shí)現(xiàn)合作伙伴/訪客與校園DMZ區(qū)域的安全隔離。USG實(shí)現(xiàn)針對(duì)不同用戶、不同應(yīng)用的精細(xì)化流量控制策略，提升內(nèi)容網(wǎng)絡(luò)的使用效率，提升用戶的上網(wǎng)體驗(yàn)；USG實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)的應(yīng)用實(shí)現(xiàn)精細(xì)化管理，對(duì)網(wǎng)絡(luò)非法行為如黃賭毒等實(shí)現(xiàn)封堵，讓教育網(wǎng)絡(luò)使用規(guī)范化，打造和諧校園；BRAS與校園出口之間部署ASG設(shè)備，主要解決如下幾個(gè)安全問(wèn)題：使用ASG對(duì)校園內(nèi)部用戶的上網(wǎng)行為實(shí)現(xiàn)管理和記錄，實(shí)現(xiàn)非法行為的溯源；使用ASG對(duì)校園內(nèi)網(wǎng)用戶實(shí)現(xiàn)上網(wǎng)行為的數(shù)據(jù)分析，以幫助更好實(shí)現(xiàn)網(wǎng)絡(luò)使用管理規(guī)范；1.3校園出口規(guī)劃校園網(wǎng)的USG負(fù)責(zé)內(nèi)外網(wǎng)用戶的數(shù)據(jù)交互。接收BRAS的數(shù)據(jù)，將校園內(nèi)網(wǎng)用的私網(wǎng)IP地址轉(zhuǎn)換成公網(wǎng)IP，接入公網(wǎng)。接收校園外部訪問(wèn)的流量，接入校園內(nèi)網(wǎng)的DMZ區(qū)域，為公網(wǎng)用戶提供服務(wù)。USG能承載多網(wǎng)絡(luò)出口，對(duì)多網(wǎng)絡(luò)出口實(shí)現(xiàn)智能的流量負(fù)載分擔(dān)，1.4數(shù)據(jù)中心網(wǎng)絡(luò)規(guī)劃隨著教育信息化的發(fā)展，教育云數(shù)據(jù)中心是校園網(wǎng)絡(luò)的發(fā)展趨勢(shì)。教育云數(shù)據(jù)中心對(duì)于網(wǎng)絡(luò)的靈活行、高速性要求是非常重要的。而隨著服務(wù)器的性能提升，GE網(wǎng)卡逐步升級(jí)到10GE網(wǎng)卡，數(shù)據(jù)中心對(duì)網(wǎng)絡(luò)交換機(jī)的性能要求也相應(yīng)的提升了10倍。因此無(wú)論是服務(wù)器接入還是TOR上行匯聚，核心交換機(jī)的對(duì)線卡的轉(zhuǎn)發(fā)性能、端口密度要求急劇提升。當(dāng)數(shù)據(jù)中心使用數(shù)據(jù)中心交換機(jī)作為核心樞紐，具有如下優(yōu)勢(shì)：本方案中，將防火墻部署在數(shù)據(jù)中心的出口處，配置基本的防火墻功能、入侵防御功能、反病毒攻擊功能和URL過(guò)濾功能。入侵防御功能可以深度感知并檢測(cè)流經(jīng)的數(shù)據(jù)流量，發(fā)現(xiàn)攻擊后能及時(shí)阻斷，對(duì)應(yīng)用層攻擊的防御效果顯著。反病毒功能實(shí)現(xiàn)對(duì)使用HTTP、SMTP、POP3協(xié)議傳輸?shù)奈募M(jìn)行病毒掃描，并根據(jù)AV策略對(duì)帶病毒文件進(jìn)行處理。URL過(guò)濾對(duì)上網(wǎng)行為進(jìn)行管理，有效實(shí)現(xiàn)對(duì)終端應(yīng)用的審計(jì)監(jiān)控，對(duì)于可能增加內(nèi)部安全威脅或影響正常業(yè)務(wù)的應(yīng)用進(jìn)行限制。Internet上的安全服務(wù)中心能夠給USG提供IPS簽名庫(kù)和病毒庫(kù)在線升級(jí)，可保證USG上時(shí)刻保持最新的IPS簽名庫(kù)和病毒庫(kù)，使入侵防御和反病毒功能更有效。在教育云數(shù)據(jù)中心應(yīng)用部署到了一定階段，可以看業(yè)務(wù)要求增加應(yīng)用級(jí)的安全防御設(shè)備，比如入侵防御系統(tǒng)NIP。使用NIP保護(hù)企業(yè)內(nèi)部信息系統(tǒng)（數(shù)據(jù)庫(kù)、DNS服務(wù)器、Web服務(wù)器、eMail服務(wù)器等）的安全。同時(shí)，利用NIP的報(bào)表功能，管理員可以直觀地了解網(wǎng)絡(luò)的健康狀況。NIP還可以與防火墻進(jìn)行聯(lián)動(dòng)，針對(duì)具體的網(wǎng)絡(luò)應(yīng)用部署保護(hù)策略。2、校園網(wǎng)絡(luò)運(yùn)營(yíng)平臺(tái)技術(shù)方案2.1有線網(wǎng)絡(luò)運(yùn)營(yíng)平臺(tái)技術(shù)方案有線網(wǎng)絡(luò)運(yùn)營(yíng)平臺(tái)示意圖為：說(shuō)明：借助校園的基礎(chǔ)網(wǎng)絡(luò)設(shè)備，建設(shè)一個(gè)可以容納多個(gè)不同運(yùn)營(yíng)商共同公平開展業(yè)務(wù)的校園網(wǎng)絡(luò)，使用BRAS系統(tǒng)進(jìn)行用戶的賬號(hào)認(rèn)證及管理。針對(duì)校園網(wǎng)絡(luò)中的非運(yùn)營(yíng)商賬號(hào)，用戶可以從學(xué)校信息中心獲得上網(wǎng)賬號(hào)，可以免費(fèi)訪問(wèn)學(xué)校的教學(xué)系統(tǒng)和教學(xué)資源。針對(duì)有線用戶，用戶在運(yùn)營(yíng)商營(yíng)業(yè)廳獲得上網(wǎng)賬號(hào)，在校園網(wǎng)內(nèi)登錄，BRAS會(huì)識(shí)別賬號(hào)屬性，并執(zhí)行選路，把該賬號(hào)發(fā)生的流量引導(dǎo)到對(duì)應(yīng)的運(yùn)營(yíng)商出口鏈路中。針對(duì)有線不同運(yùn)營(yíng)商用戶上網(wǎng)的流量模型示意圖為：備注說(shuō)明：針對(duì)教師家屬樓區(qū)域，建議另外單獨(dú)配置有線家庭賬號(hào)，以把教師的辦公賬號(hào)和家庭賬號(hào)分開，以便更好管理，也方便教師把工作和家庭生活所進(jìn)行的網(wǎng)絡(luò)需求分開。教師家屬區(qū)域可以讓有需要的家庭用戶自行購(gòu)買無(wú)線路由器，供家庭成員使用WLAN。2.2無(wú)線網(wǎng)絡(luò)運(yùn)營(yíng)平臺(tái)技術(shù)方案針對(duì)WLAN網(wǎng)絡(luò)運(yùn)營(yíng)平臺(tái)，流量模型示意圖為：說(shuō)明：在WLAN設(shè)置不同的SSID，利用SSID之間的隔離性，為用戶區(qū)分不同的運(yùn)營(yíng)商流量。特別設(shè)置校內(nèi)網(wǎng)的SSID，其使用用戶為教師辦公和沒有運(yùn)營(yíng)商賬號(hào)的學(xué)生。在校內(nèi)網(wǎng)的SSID內(nèi)，BRAS會(huì)識(shí)別教師賬號(hào)，提供自由訪問(wèn)內(nèi)網(wǎng)資源以及免費(fèi)互聯(lián)網(wǎng)資源。沒有運(yùn)營(yíng)商賬號(hào)的學(xué)生，可以使用學(xué)校為其分配的校內(nèi)賬號(hào)，連入校內(nèi)網(wǎng)SSID，自由反問(wèn)校內(nèi)的教學(xué)資源系統(tǒng)，但不可訪問(wèn)互聯(lián)網(wǎng)。2.3教學(xué)辦公區(qū)域網(wǎng)絡(luò)設(shè)計(jì)針對(duì)教學(xué)辦公區(qū)域的網(wǎng)絡(luò)，最重要的關(guān)注點(diǎn)是如何提升網(wǎng)絡(luò)使用效率，從而助力辦公效率的提升。針對(duì)教學(xué)和辦公區(qū)域的網(wǎng)絡(luò)，流量?jī)?yōu)化模型的設(shè)計(jì)示意為：說(shuō)明：教學(xué)辦公區(qū)域網(wǎng)絡(luò)同時(shí)部署有線和無(wú)線，兩者采用統(tǒng)一的賬號(hào)管理系統(tǒng)，用戶可以采用一致的賬號(hào)進(jìn)行有線無(wú)線的使用。網(wǎng)絡(luò)出口部署防火墻，其中需要起到的主要作用有：1、安全防御：防御來(lái)自互聯(lián)網(wǎng)的各種網(wǎng)絡(luò)威脅；2、應(yīng)用流量控制：針對(duì)互聯(lián)網(wǎng)進(jìn)行流量控制，針對(duì)時(shí)間、用戶、應(yīng)用實(shí)施策略，比如在辦公時(shí)間內(nèi)限制P2P流量，保障郵件、WEB、視頻會(huì)議等辦公應(yīng)用。3、線路選擇：針對(duì)多個(gè)運(yùn)營(yíng)商出口鏈路，根據(jù)訪問(wèn)目的的最高效率，即時(shí)選擇最優(yōu)先的出口，以達(dá)到最佳的網(wǎng)絡(luò)使用體驗(yàn)。4、NAT：在出口處部署Cache緩存系統(tǒng)，針對(duì)常用的互聯(lián)網(wǎng)熱點(diǎn)資源，進(jìn)行本地緩存，從而達(dá)到降低互聯(lián)網(wǎng)出口壓力的目的，同時(shí)也能提升內(nèi)網(wǎng)用戶使用體驗(yàn)。教學(xué)區(qū)和辦公室區(qū)域的流量模式示意圖為：說(shuō)明：如上圖所示，內(nèi)網(wǎng)用戶訪問(wèn)互聯(lián)網(wǎng)時(shí)，優(yōu)先從本地的Cache緩存系統(tǒng)中獲取資源，在本地訪問(wèn)落空的情況下，再達(dá)到互聯(lián)網(wǎng)出口，而出口防火墻將探測(cè)訪問(wèn)目的地址從哪個(gè)出口線路最高，把流量引導(dǎo)到對(duì)應(yīng)的出口。3、校園網(wǎng)網(wǎng)絡(luò)改造技術(shù)方案3.1WLAN部署規(guī)劃無(wú)線設(shè)備IP地址規(guī)劃AC用于管理AP，如果在網(wǎng)絡(luò)中需要部署獨(dú)立AC,IP地址一般通過(guò)靜態(tài)手工配置。本方案中推薦在匯聚設(shè)備上配置AC插卡來(lái)滿足需求。AP為無(wú)線接入點(diǎn)，建議在BRAS上配置地址池，AP使用DHCP方式自動(dòng)獲取IP地址。本部署方案中，建議無(wú)線終端和有線終端統(tǒng)一管理，以DHCP方式從BRAS上獲取IP地址。用戶認(rèn)證規(guī)劃WLAN終端認(rèn)證IEEE802.11標(biāo)準(zhǔn)要求WLAN終端在準(zhǔn)備連接到網(wǎng)絡(luò)時(shí)，必需進(jìn)行“身份驗(yàn)證”。WLAN終端身份認(rèn)證主要有兩種方式：開放系統(tǒng)認(rèn)證（Open-systemAuthentication）和共享密鑰認(rèn)證（Shared-KeyAuthentication）。開放系統(tǒng)認(rèn)證是IEEE802.11標(biāo)準(zhǔn)要求必備的一種方法，是最簡(jiǎn)單的認(rèn)證算法，即不認(rèn)證。如果認(rèn)證類型設(shè)置為開放系統(tǒng)認(rèn)證，則所有請(qǐng)求認(rèn)證的客戶端都會(huì)通過(guò)認(rèn)證。在這種方式下，接入點(diǎn)并未驗(yàn)證工作站的真實(shí)身份，工作站以MAC地址作為身份證明，這種驗(yàn)證方式可以讓所有符合802.11標(biāo)準(zhǔn)的終端都可以接入到WLAN網(wǎng)絡(luò)中來(lái)。開放系統(tǒng)身份驗(yàn)證比較適合有眾多用戶的電信運(yùn)營(yíng)WLAN網(wǎng)絡(luò)。共享密鑰式認(rèn)證必需使用加密方式，要求每個(gè)WLAN終端都鏡頭配置和AP完全一致的密鑰（key）。由于配置工作量較大，一般適用于企業(yè)網(wǎng)、校園網(wǎng)及家庭網(wǎng)絡(luò)等。用戶身份驗(yàn)證WLAN的鏈路層身份驗(yàn)證主要有Portal(DHCP+WEB)、mac、802.1X、WAPI等幾種認(rèn)證方式。可以根據(jù)具體情況選擇。華為可以提供的用戶接入認(rèn)證方式非常豐富，這里推薦針對(duì)不同用戶，使用不同認(rèn)證方式。例如在校師生使用mac+portal認(rèn)證方式，一旦登入成功，每次進(jìn)入該區(qū)域?qū)?huì)自動(dòng)連接上網(wǎng)；方便又快捷！而外來(lái)訪客使用portal認(rèn)證方式。重點(diǎn)實(shí)驗(yàn)室等安全性要求較高的場(chǎng)所，使用802.1x認(rèn)證，保障網(wǎng)絡(luò)安全。SSID規(guī)劃校園網(wǎng)無(wú)線網(wǎng)絡(luò)一般按照業(yè)務(wù)類型劃分不同的SSID（ServiceSetIdentification）。通常，以太網(wǎng)中管理VLAN和業(yè)務(wù)VLAN分離。業(yè)務(wù)VLAN主要用于區(qū)分不同的業(yè)務(wù)類型或用戶群體。在WLAN網(wǎng)絡(luò)中SSID也同樣可以承擔(dān)相應(yīng)的工作。因此，在業(yè)務(wù)VLAN的規(guī)劃中必須綜合考慮VLAN與SSID的映射關(guān)系。業(yè)務(wù)VLAN應(yīng)根據(jù)實(shí)際業(yè)務(wù)需要與SSID匹配映射關(guān)系，映射關(guān)系有1:1、1:N、N:1、N:N四種，AC設(shè)備終結(jié)VLAN部署。漫游規(guī)劃漫游是指用戶在部署了WLAN網(wǎng)絡(luò)的場(chǎng)所移動(dòng)時(shí)，用戶終端可以從一個(gè)AP的覆蓋范圍移動(dòng)到另一個(gè)AP的覆蓋范圍，用戶無(wú)需重新登錄和認(rèn)證。漫游切換需要保證SSID相同，即兩臺(tái)AP切換區(qū)域需要配置相同的SSID。AP發(fā)現(xiàn)并選擇AC方式規(guī)劃ITAP架構(gòu)下的WLAN網(wǎng)絡(luò)中，F(xiàn)ITAP為零配置，當(dāng)FITAP部署到網(wǎng)絡(luò)的時(shí)候，AP需要去找到相應(yīng)的AC，并從AC上下載其配置。AP發(fā)現(xiàn)AC的幾種機(jī)制優(yōu)劣對(duì)比如下：AP發(fā)現(xiàn)并選擇AC方式優(yōu)劣勢(shì)對(duì)比表方式部署要求優(yōu)勢(shì)劣勢(shì)適用網(wǎng)絡(luò)DHCPOption43DHCPServer啟動(dòng)Option43屬性適用于AP/AC任何組網(wǎng)中對(duì)網(wǎng)絡(luò)有部署要求大中型WLAN網(wǎng)絡(luò)，AP/ACDNS部署DNSServer；DHCPServer支持Option15屬性——二層或三層組網(wǎng)二層廣播發(fā)現(xiàn)無(wú)對(duì)已有網(wǎng)絡(luò)沒有額外要求僅能用于AP/AC二層組網(wǎng)中小型WLAN網(wǎng)絡(luò)，AP/AC二層組網(wǎng)AP上預(yù)配置靜態(tài)AC列表AP預(yù)配置對(duì)已有網(wǎng)絡(luò)沒有額外要求需要對(duì)AP逐一進(jìn)行配置，工作量大；若AC的IP地址發(fā)生變化，則需要重新修改AP的配置小型WLAN網(wǎng)絡(luò)無(wú)線網(wǎng)絡(luò)安全規(guī)劃AP防盜安裝AP時(shí)安裝防盜鎖即可。AP零配置傳統(tǒng)的FATAP組網(wǎng)模式要求在AP上配置大量的業(yè)務(wù)參數(shù)，同時(shí)需要在AP本地保存這些業(yè)務(wù)配置信息，一旦設(shè)備丟失，AP的業(yè)務(wù)配置信息就可能被泄漏，形成網(wǎng)絡(luò)的安全漏洞。FITAP在設(shè)備上不保存業(yè)務(wù)配置，而是每次啟動(dòng)的時(shí)候從無(wú)線控制器動(dòng)態(tài)加載業(yè)務(wù)配置，這樣可以有效避免設(shè)備丟失造成配置泄漏。WIDS/WIPS及時(shí)發(fā)現(xiàn)WLAN網(wǎng)絡(luò)中受到的攻擊，可以啟動(dòng)非法攻擊檢測(cè)功能，對(duì)Flood攻擊，WeakIV、Spoof攻擊等進(jìn)行檢測(cè)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)的不安全因素，通過(guò)添加攻擊者到動(dòng)態(tài)黑名單和發(fā)送告警信息到AC及時(shí)通知管理員。3.2VLAN規(guī)劃VLAN概述VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是將一個(gè)物理的LAN在邏輯上劃分成多個(gè)廣播域的通信技術(shù)。VLAN內(nèi)的主機(jī)間可以直接通信，而VLAN間不能直接互通，從而將廣播報(bào)文限制在一個(gè)VLAN內(nèi)?；谛@網(wǎng)內(nèi)擁有比較多不同的業(yè)務(wù)類型，并且不同類型網(wǎng)絡(luò)使用者也有很大差別，因此進(jìn)行VLAN的合理規(guī)劃將可以幫助建設(shè)一個(gè)穩(wěn)定運(yùn)作的教學(xué)合一的網(wǎng)絡(luò)。按功能劃分VLAN在校園網(wǎng)絡(luò)中，可以按功能將VLAN劃分為以下幾種：管理VLAN網(wǎng)絡(luò)中的交換機(jī)需要?jiǎng)澐止芾鞻LAN，在管理VLAN中配置IP地址，以便日常維護(hù)。管理VLAN要與用戶VLAN嚴(yán)格區(qū)分。用戶VLAN用戶VLAN指為終端接入用戶劃分的VLAN，針對(duì)校園網(wǎng)中不同區(qū)域，VLAN劃分方法不同。在學(xué)校的宿舍區(qū)，建議為每個(gè)接入用戶劃分一個(gè)VLAN，實(shí)現(xiàn)嚴(yán)格的端口隔離。由于宿舍用戶較多，同時(shí)為了便于后續(xù)擴(kuò)容，建議使用QINQVLAN的技術(shù)，即在接入層交換機(jī)上為每端口劃分一個(gè)VLAN,匯聚層交換機(jī)添加外層VLAN，核心層交換機(jī)透?jìng)鞯組E60，由ME60終結(jié)兩層VLAN。QINQVLAN可以實(shí)現(xiàn)用戶的二層隔離，所有的用戶數(shù)據(jù)都會(huì)經(jīng)過(guò)BRASME60，方便校園網(wǎng)的統(tǒng)一接入和管理。在學(xué)校的科研教學(xué)區(qū)，建議為每一科研項(xiàng)目或每一院系劃分一個(gè)VLAN，以滿足VLAN內(nèi)用戶的直接互訪需求。如果科研項(xiàng)目或院系內(nèi)部也有訪問(wèn)控制的需求，建議使用MUXVLAN技術(shù)，實(shí)現(xiàn)VLAN內(nèi)部用戶部分互通，部分隔離。VoiceVLANVoiceVLAN是為用戶的語(yǔ)音數(shù)據(jù)流劃分的VLAN，用戶通過(guò)創(chuàng)建VoiceVLAN并將連接語(yǔ)音設(shè)備的端口加入VoiceVLAN，可以使語(yǔ)音數(shù)據(jù)集中在VoiceVLAN中進(jìn)行傳輸，便于對(duì)語(yǔ)音流進(jìn)行有針對(duì)性的QoS配置，提高語(yǔ)音流量的傳輸優(yōu)先級(jí)，保證通話質(zhì)量。GuestVLAN網(wǎng)絡(luò)中用戶在通過(guò)802.1x等認(rèn)證之前接入設(shè)備會(huì)把該端口加入到一個(gè)特定的VLAN（即GuestVLAN），用戶訪問(wèn)該VLAN內(nèi)的資源不需要認(rèn)證，只能訪問(wèn)有限的網(wǎng)絡(luò)資源。用戶從處于GuestVLAN的服務(wù)器上可以獲取802.1x客戶端軟件，升級(jí)客戶端或執(zhí)行其他應(yīng)用升級(jí)程序（例如：防病毒軟件、操作系統(tǒng)補(bǔ)丁程序等）。認(rèn)證成功后，端口離開GuestVLAN加入用戶VLAN，用戶可以訪問(wèn)其特定的網(wǎng)絡(luò)資源。MulticastVLANMulticastVLAN即組播VLAN，組播交換機(jī)運(yùn)行組播協(xié)議時(shí)需要組播VLAN來(lái)承載組播流。組播VLAN主要是用來(lái)解決當(dāng)客戶端處于不同VLAN中時(shí)，上行的組播路由器必須在每個(gè)用戶VLAN復(fù)制一份組播流到接入組播交換機(jī)的問(wèn)題。VLAN規(guī)劃原則VLAN劃分的基本原則如下：要嚴(yán)格區(qū)分業(yè)務(wù)VLAN和管理VLAN。按照不同的管理區(qū)域劃分VLAN,不僅方便隔離用戶，也方便日常維護(hù)。同一區(qū)域也要按照不同的業(yè)務(wù)類型來(lái)劃分VLAN,比如按照不同的接入方式來(lái)劃分VLAN。VLAN需連續(xù)分配，以保證VLAN資源合理利用。預(yù)留一定數(shù)目VLAN方便后續(xù)擴(kuò)展。VLAN規(guī)劃舉例校園網(wǎng)中有學(xué)生宿舍的用戶和科研區(qū)域的用戶接入網(wǎng)絡(luò)，VLAN規(guī)劃如下：學(xué)生宿舍區(qū)域使用QINQVLAN內(nèi)層VLAN分配2～4094，接入層交換機(jī)的下行端口中，為每一個(gè)端口分配一個(gè)VLAN，上行端口配置為trunk，允許所有接入VLAN通過(guò)。外層VLAN分配100，為匯聚層交換機(jī)的下行端口劃分外層VLAN100，用戶數(shù)據(jù)經(jīng)過(guò)匯聚層交換機(jī)時(shí)，封裝外層VLAN100,經(jīng)核心層交換機(jī)透?jìng)鞯紹RAS，由BRAS終結(jié)兩層VLAN標(biāo)簽?？蒲袇^(qū)域使用MUXVLAN科研區(qū)域一般每一層樓為一個(gè)科研項(xiàng)目組，為每一個(gè)科研項(xiàng)目組分配一個(gè)VLAN，并定義為MUXVLAN，劃分范圍為200～500。以一樓的科研組為例，為樓道的接入層交換機(jī)定義MUXVLAN200，并定義MUXVLAN下的從VLAN，SeparateVLAN（隔離型從VLAN）ID為2，GroupVLAN（互通型從VLAN）ID為3。具體為此交換機(jī)的每個(gè)端口劃分VLAN時(shí)，為連接項(xiàng)目組公共服務(wù)器的端口劃分主VLAN200；為連接項(xiàng)目組成員電腦的端口劃分互通型從VLAN3；并預(yù)留10個(gè)端口，將這10個(gè)端口劃分到隔離型從VLAN2，以便訪客使用。這樣能達(dá)到如下目的：項(xiàng)目組成員可以相互訪問(wèn)，也可以訪問(wèn)項(xiàng)目組的公共服務(wù)器；訪客可以訪問(wèn)項(xiàng)目組的公共服務(wù)器，但不能和項(xiàng)目組成員相互訪問(wèn)，如果有多個(gè)訪客時(shí)，訪客之間也不可相互訪問(wèn)。這樣就可以實(shí)現(xiàn)VLAN內(nèi)的資源精細(xì)控制。此接入交換機(jī)的上行端口只需要配置為trunk口，允許主VLAN200通過(guò)即可。需要注意的是從VLAN只具有本地意義，在不同交換機(jī)上可以重復(fù)使用。匯聚和核心交換機(jī)只需要透?jìng)鞔薓UXVLAN至BRAS，由BRAS終結(jié)。設(shè)備的管理VLAN則使用普通VLAN，為了方便管理員調(diào)試，為所有交換機(jī)劃分管理VLAN51。校園網(wǎng)VLAN規(guī)劃示例3.3IP地址規(guī)劃劃分IP地址在校園網(wǎng)絡(luò)中，校園網(wǎng)的DMZ和數(shù)據(jù)中心區(qū)域有少量設(shè)備使用公網(wǎng)IP地址，對(duì)外提供服務(wù)；BRAS將校園網(wǎng)內(nèi)部用戶統(tǒng)一接入，為內(nèi)部用戶分配IP地址。IP地址規(guī)劃原則IP地址規(guī)劃的基本原則如下：唯一性一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址。連續(xù)性連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率。擴(kuò)展性地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性。實(shí)意性好的IP地址規(guī)劃使每個(gè)地址具有實(shí)際含義，看到一個(gè)地址就可以大致判斷出該地址所屬的設(shè)備由于校園網(wǎng)內(nèi)部用戶的IP地址均由BRAS統(tǒng)一分配，地址規(guī)劃非常方便。校園網(wǎng)IP地址分類業(yè)務(wù)地址數(shù)據(jù)中心和DMZ區(qū)域中，服務(wù)器可能部分使用公網(wǎng)IP地址，需要將這些網(wǎng)段發(fā)布到公網(wǎng)。校園內(nèi)網(wǎng)用戶的地址由BRAS統(tǒng)一分配?？梢酝ㄟ^(guò)在BRAS設(shè)備上配置地址池來(lái)按用戶所在區(qū)域分配IP地址。校園內(nèi)部用戶中，為學(xué)生和教師等人的終端使用BRAS的地址池自動(dòng)分配的IP地址和DNS，使用PPPoE或IPoE方式接入到ME60；為打印機(jī)、IP電話等啞終端（IT設(shè)備）分配固定IP地址，使用IPoE的方式接入到ME60；為網(wǎng)絡(luò)設(shè)備劃分固定IP地址，與終端用戶的IP地址嚴(yán)格區(qū)分。NAT規(guī)劃在出口路由器NE40/80E上需要提供NAT地址轉(zhuǎn)換功能，供使用私網(wǎng)IP地址的校園網(wǎng)用戶訪問(wèn)公網(wǎng)。Loopback地址為了方便管理，會(huì)為每一臺(tái)路由器創(chuàng)建一個(gè)Loopback接口，并在該接口上單獨(dú)指定一個(gè)IP地址作為管理地址。Loopback地址務(wù)必使用32位掩碼的地址?；ヂ?lián)地址互聯(lián)地址是指兩臺(tái)網(wǎng)絡(luò)設(shè)備相互連接的接口所需要的地址，設(shè)備互聯(lián)的網(wǎng)段一般聚合后發(fā)布，而且沒有必要發(fā)布給終端用戶。IP地址規(guī)劃舉例校園網(wǎng)中有學(xué)生和教師的終端接入網(wǎng)絡(luò)，也有打印機(jī)、IP電話等啞終端（IT設(shè)備）接入網(wǎng)絡(luò)，IP地址規(guī)劃如下：學(xué)生宿舍區(qū)使用私網(wǎng)IP地址，在出口路由器做NAT轉(zhuǎn)換來(lái)訪問(wèn)公網(wǎng)。BRAS上為學(xué)生宿舍區(qū)配置私網(wǎng)地址池，IP地址范圍為～55，為每一幢宿舍分配4個(gè)C類地址段，例如為學(xué)生宿舍1號(hào)樓分配～55這段IP地址。DNS服務(wù)器地址為內(nèi)網(wǎng)的DNS服務(wù)器地址。出口路由器上配置NAT轉(zhuǎn)換規(guī)則，與CERNET相連的出口路由器的公網(wǎng)地址池為X.X.X.X；與電信運(yùn)營(yíng)商相連的出口路由器的公網(wǎng)地址池為Y.Y.Y.Y。為提升教師的上網(wǎng)體驗(yàn)，家屬樓使用電信的公網(wǎng)IP地址BRAS為家屬樓配置公網(wǎng)地址池，IP地址范圍為X.X.X.X～X.X.X.Y，并直接使用電信運(yùn)營(yíng)商提供的NDS。打印機(jī)、IP電話等IT設(shè)備配置固定IP地址在BRAS上配置地址池，以IPoE方式接入IT設(shè)備，IP地址范圍為～55上圖中，出口路由器功能模塊可以由出口防火墻承擔(dān)。3.4路由規(guī)劃本部署方案中需要在BRAS和出口路由器之間運(yùn)行路由協(xié)議。為了配置簡(jiǎn)便及方便以后擴(kuò)展，在BRAS上配置靜態(tài)路由，或配置基于源IP地址的策略路由。出口路由器配置缺省路由。如果需要在校園網(wǎng)中運(yùn)營(yíng)視頻監(jiān)控、一卡通等與普通接入獨(dú)立的業(yè)務(wù)，可直接使用VLAN或MPLSVPN技術(shù)復(fù)用現(xiàn)有網(wǎng)絡(luò)，無(wú)需單獨(dú)建網(wǎng)，具體規(guī)劃在虛擬園區(qū)網(wǎng)解決方案中介紹。3.5邊界防御策略規(guī)劃使用防火墻將校園網(wǎng)劃分成內(nèi)網(wǎng)、外網(wǎng)、DMZ等不同區(qū)域，為不同區(qū)域劃分不同的優(yōu)先級(jí)，同時(shí)設(shè)置不同區(qū)域間的互訪策略，以避免越權(quán)訪問(wèn)。建設(shè)規(guī)模本次校園網(wǎng)改造包括校園有線無(wú)線一體化的覆蓋及互聯(lián)網(wǎng)出口管理的建設(shè)。有線覆蓋部分：通過(guò)近幾年的網(wǎng)絡(luò)建設(shè)，部分學(xué)生宿舍區(qū)已近進(jìn)行了FTTH的有線網(wǎng)絡(luò)覆蓋，本次校園網(wǎng)改造將沒有改造的學(xué)生宿舍樓宇進(jìn)行寬帶FTTH覆蓋。教職工宿舍原覆蓋使用ADSL模式，本次項(xiàng)目對(duì)教工住宅部分進(jìn)行FTTH覆蓋。對(duì)于學(xué)校提出的行政辦公樓、教工食堂、教學(xué)區(qū)（計(jì)算機(jī)教室）、教學(xué)區(qū)（普通教室）圖書館、實(shí)驗(yàn)室（計(jì)算機(jī)）、實(shí)驗(yàn)室（普通）、風(fēng)雨操場(chǎng)、體育館和會(huì)堂 、生活福利設(shè)施、單身公寓、學(xué)生食堂、其他需要覆蓋的區(qū)域進(jìn)行校園網(wǎng)覆蓋建設(shè)。無(wú)線覆蓋部分：學(xué)校提出的無(wú)線部分覆蓋需求為行政辦公樓、教工食堂、教學(xué)區(qū)（計(jì)算機(jī)教室）、圖書館、實(shí)驗(yàn)室（計(jì)算機(jī)）、實(shí)驗(yàn)室（普通）、體育館和會(huì)堂、生活福利設(shè)施、單身公寓、學(xué)生食堂、其他需要覆蓋的室外區(qū)域無(wú)線覆蓋進(jìn)行校園網(wǎng)無(wú)線覆蓋建設(shè)。網(wǎng)絡(luò)匯聚部分：根據(jù)學(xué)校的樓宇分布的位置設(shè)置25臺(tái)匯聚交換機(jī)，用于匯聚有線覆蓋的交換機(jī)及無(wú)線覆蓋的POE交換機(jī)。網(wǎng)絡(luò)核心部分及出口、控制區(qū)域：核心層配置核心交換機(jī)由于收斂學(xué)校設(shè)置的25臺(tái)匯聚交換機(jī)，配置出口防火墻，BRAS認(rèn)證網(wǎng)關(guān)，網(wǎng)絡(luò)管理軟件及終端準(zhǔn)入管理系統(tǒng)和無(wú)線的AC控制器，同時(shí)配置核心路由器一臺(tái)用于公網(wǎng)互聯(lián)網(wǎng)出口和校園網(wǎng)互聯(lián)網(wǎng)出口的互聯(lián)。核心部分設(shè)備數(shù)量設(shè)備型號(hào)出口防火墻2萬(wàn)兆高端防火墻認(rèn)證網(wǎng)關(guān)BRAS2萬(wàn)兆認(rèn)證計(jì)費(fèi)網(wǎng)關(guān)核心交換機(jī)2萬(wàn)兆核心交換機(jī)網(wǎng)絡(luò)管理運(yùn)維軟件2有線無(wú)線統(tǒng)一運(yùn)維管理終端準(zhǔn)入管理系統(tǒng)1終端準(zhǔn)入安全管控AC控制器5無(wú)線AP控制器互聯(lián)路由器1公網(wǎng)出口和校園網(wǎng)出口的互聯(lián)匯聚部分設(shè)備數(shù)量型號(hào)匯聚交換機(jī)2524個(gè)千兆SFP,4個(gè)復(fù)用的10/100/1000Base-T以太網(wǎng)端口Combo,4個(gè)萬(wàn)兆SFP+,交流供電接入部分設(shè)備接入交換機(jī)數(shù)量接入交換機(jī)型號(hào)無(wú)線AP數(shù)量無(wú)線AP型號(hào)POE交換機(jī)數(shù)量POE交換機(jī)型號(hào)學(xué)生宿舍區(qū)10000FTTH覆蓋（戶）620室內(nèi)雙頻AP3124個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,PoE+,交流供電教工住宅2000FTTH覆蓋（戶）540室內(nèi)雙頻AP2724個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,PoE+,交流供電學(xué)生食堂548個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,交流供電60室內(nèi)雙頻AP324個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,PoE+,交流供電行政辦公樓448個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,交流供電40室內(nèi)雙頻AP224個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,PoE+,交流供電教工食堂348個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,交流供電30室內(nèi)雙頻AP224個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,PoE+,交流供電教學(xué)區(qū)（計(jì)算機(jī)教室）3524個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,交流供電600室內(nèi)雙頻AP3024個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,PoE+,交流供電教學(xué)區(qū)（普通教室）2548個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,交流供電圖書館824個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,交流供電120室內(nèi)雙頻AP624個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,PoE+,交流供電實(shí)驗(yàn)室（計(jì)算機(jī)）3048個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,交流供電400室內(nèi)雙頻AP2024個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,PoE+,交流供電實(shí)驗(yàn)室（普通）3024個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,交流供電風(fēng)雨操場(chǎng)124個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,交流供電O室內(nèi)雙頻AP體育館和會(huì)堂524個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,交流供電160室內(nèi)雙頻AP824個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,PoE+,交流供電生活福利設(shè)施524個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,交流供電160室內(nèi)雙頻AP824個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,PoE+,交流供電單身公寓1824個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,交流供電120室內(nèi)雙頻AP624個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,PoE+,交流供電其他824個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,交流供電150室內(nèi)雙頻AP724個(gè)10/100/1000Base-T以太網(wǎng)端口,4個(gè)千兆SFP,PoE+,交流供電室外區(qū)域無(wú)線覆蓋200室外雙頻308個(gè)10/100/1000Base-T以太網(wǎng)端口,2個(gè)千兆SFP,PoE+,交流供電項(xiàng)目總投資及投資構(gòu)成1、項(xiàng)目總投資本期工程項(xiàng)目建設(shè)總投資：投資額為4590.6萬(wàn)元。序號(hào)項(xiàng)目投資（萬(wàn)元）一有線覆蓋部分972.6二無(wú)線覆蓋部分1350三匯聚及核心層部分768四光纜部分500五內(nèi)網(wǎng)改造部分1000項(xiàng)目總投資4590.6收入及效益指標(biāo)1、收入測(cè)算合計(jì)新增收入188.4萬(wàn)元/年，合同期為5年，到期后續(xù)租。2條千兆電路（一條互聯(lián)網(wǎng)、一條傳輸網(wǎng)）互聯(lián)網(wǎng)千兆:100萬(wàn)元/年(標(biāo)準(zhǔn)資費(fèi)一條180萬(wàn)元)65條區(qū)直單位十兆光纖傳輸電路:1萬(wàn)元/年（全國(guó)標(biāo)準(zhǔn)資費(fèi)3萬(wàn)元/年）.合計(jì):65萬(wàn)元/年156條10M光速VPN傳輸:1500元/年,合計(jì)：23.4萬(wàn)元/年。目錄第一章可行性研究報(bào)告概述 11.1項(xiàng)目名稱 11.2項(xiàng)目承擔(dān)單位 11.3項(xiàng)目建設(shè)地點(diǎn) 11.4可研報(bào)告編制單位 11.5項(xiàng)目概述及主要經(jīng)濟(jì)技術(shù)指標(biāo) 1第二章編制目的、依據(jù)、原則和范圍 52.1編制目的 52.2編制依據(jù) 52.3編制原則 52.4可行性研究的范圍 6第三章建設(shè)的必要性 73.1符合國(guó)家“十一五”規(guī)劃綱要和循環(huán)經(jīng)濟(jì)要求 73.2環(huán)境保護(hù)和節(jié)能降耗的需要 83.3企業(yè)可持續(xù)發(fā)展的需要 9第四章項(xiàng)目建設(shè)條件 104.1主體工程概況 104.2廠址選擇 124.3公用設(shè)施及社會(huì)依托條件 12第五章改造規(guī)模與產(chǎn)品方案