宿州學(xué)院網(wǎng)絡(luò)系統(tǒng)建設(shè)方案

宿州學(xué)院網(wǎng)絡(luò)系統(tǒng)建設(shè)方案

1

目錄

第一章宿州學(xué)院項(xiàng)目總體概況5

1.1項(xiàng)目背景5

L2項(xiàng)目建設(shè)指導(dǎo)思想6

1.3項(xiàng)目概況8

1.4項(xiàng)目建設(shè)原則9

1.5項(xiàng)目建設(shè)目標(biāo)10

第二章網(wǎng)絡(luò)系統(tǒng)建設(shè)方案總體設(shè)計(jì)11

2.1網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)原則11

2.2網(wǎng)絡(luò)系統(tǒng)需求分析12

2.3網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)標(biāo)準(zhǔn)及規(guī)范13

第三章網(wǎng)絡(luò)系統(tǒng)建設(shè)整體部署方案16

3.1網(wǎng)絡(luò)系統(tǒng)整體設(shè)計(jì)16

3.2網(wǎng)絡(luò)邏輯架構(gòu)設(shè)計(jì)17

3.3網(wǎng)絡(luò)實(shí)體架構(gòu)設(shè)計(jì)19

3.4VLAN規(guī)劃22

3.5IP地址規(guī)劃24

3.6DHCP規(guī)劃25

3.7網(wǎng)絡(luò)QoS設(shè)計(jì)26

3.8網(wǎng)絡(luò)安全26

3.8.1網(wǎng)絡(luò)出口安全設(shè)計(jì)26

3.8.2遠(yuǎn)程訪問互聯(lián)安全28

3.8.3上網(wǎng)行為安全審計(jì)28

3.8.4應(yīng)用入侵防御29

3.9網(wǎng)絡(luò)建設(shè)目標(biāo)29

3.9.1極致高速的網(wǎng)絡(luò)體驗(yàn)29

3.9.2無線全覆蓋，校區(qū)無線漫游30

3.9.3業(yè)務(wù)隨行的高體驗(yàn)網(wǎng)絡(luò)30

3.9.4穩(wěn)定安全的網(wǎng)絡(luò)30

第四章HPE系統(tǒng)集群部署介紹30

4.1IIPE8400系列實(shí)現(xiàn)的技術(shù)特色30

4.1.1總述30

4.1.2數(shù)字工作場(chǎng)所的功能和創(chuàng)新31

4.1.3先進(jìn)的恢復(fù)能力和高可用性31

4.1.4強(qiáng)大的安全性和動(dòng)態(tài)服務(wù)質(zhì)量（QoS）32

4.1.5利用集成的有線/無線管理進(jìn)行簡(jiǎn)化32

4.2典型組網(wǎng)應(yīng)用32

4.2.11:N冗余32

4.2.2協(xié)議熱備份33

4.2.3上/下行鏈路的冗余備份34

4.2.4通用虛擬化軟件架構(gòu)34

4.2.5應(yīng)用成熟的系統(tǒng)結(jié)構(gòu)35

2

4.2.6簡(jiǎn)化的多框分布式35

4.2.7豐富而穩(wěn)定的功能支持36

4.2.7框式設(shè)備成員內(nèi)的冗余保護(hù)36

4.2.8靈活的設(shè)備間連接36

第五章Fortinet下一代安全防御設(shè)計(jì)37

5.1安全態(tài)勢(shì)37

5.2邊界安全規(guī)劃38

5.2.1邊界防護(hù)概述38

5.2.2邊界防護(hù)安全設(shè)計(jì)38

5.3FortiGate-NGFW防火墻威脅防護(hù)方案39

5.4狀態(tài)流量檢測(cè)與數(shù)據(jù)包過濾41

5.5DMZ設(shè)計(jì)41

5.6日志報(bào)表42

5.7內(nèi)網(wǎng)安全防護(hù)43

5.7.1DHCPSnooping44

5.7.2DAI-AR欺騙44

5.7.3A即限速45

5.7.4MAC泛洪45

5.7.5IPSourceGuard46

第六章網(wǎng)康上網(wǎng)行為管理部署介紹47

6.1系統(tǒng)描述47

6.2系統(tǒng)工作環(huán)境48

6.3系統(tǒng)監(jiān)控49

6.3.1系統(tǒng)狀態(tài)50

6.3.2報(bào)警平臺(tái)50

6.3.3網(wǎng)絡(luò)活動(dòng)52

6.3.4實(shí)時(shí)監(jiān)控53

第七章ARUBA無線網(wǎng)絡(luò)技術(shù)部署設(shè)計(jì)54

7.1宿州學(xué)院總體設(shè)計(jì)54

7.1.1方案設(shè)計(jì)思路54

7.1.2總體網(wǎng)絡(luò)拓?fù)浼軜?gòu)55

7.1.3WLAN與各子系統(tǒng)的詳細(xì)設(shè)計(jì)58

7.1.4網(wǎng)絡(luò)擴(kuò)展與冗余設(shè)計(jì)59

7.1.5無線系統(tǒng)的IPv4和IPv6雙棧66

7.1.6無線射頻設(shè)計(jì)68

7.1.7SSID的設(shè)計(jì)83

7.1.8無線接入設(shè)計(jì)84

7.1.9無線安全控制設(shè)計(jì)86

7.1.10無線網(wǎng)絡(luò)安全設(shè)計(jì)93

7.1.11認(rèn)證方案98

7.1.12無線網(wǎng)絡(luò)管理設(shè)計(jì)105

7.1.13智慧學(xué)院網(wǎng)無線擴(kuò)展應(yīng)用120

7.1.14無線智慧型校園網(wǎng)絡(luò)應(yīng)用的場(chǎng)景設(shè)計(jì)126

7.2ARUBA典型成功案例介紹128

3

7.2.1ARUBA主要校園案例清單128

7.2.2Aruba助力廈門大學(xué)建立超大型無線學(xué)院129

7.2.3Aruba為大連理工大學(xué)打造亞洲最快的無線校園網(wǎng)130

7.2.4Aruba建設(shè)安全可靠的上海外國(guó)語大學(xué)無線網(wǎng)絡(luò)132

7.2.5上海理工大學(xué)采用Aruba無線校園網(wǎng)解決方案133

7.2.6Aruba助力上海大學(xué)打造大規(guī)模無線校園網(wǎng)136

7.2.7ARUBA助力賽爾建設(shè)IPV6無線校園138

第八章城市熱點(diǎn)寬帶認(rèn)記計(jì)費(fèi)方案139

8.1認(rèn)證計(jì)費(fèi)系統(tǒng)部署方式139

8.2認(rèn)證網(wǎng)關(guān)功能介紹140

8.3針對(duì)校園設(shè)計(jì)的計(jì)費(fèi)策略功能142

8.4控制策略143

8.5IPv6/v4雙棧146

8.6全業(yè)務(wù)接口147

8.7采集用戶訪問日志152

第九章網(wǎng)絡(luò)系統(tǒng)建設(shè)部署產(chǎn)品介紹152

9.1Dr.COM2166152

9.2網(wǎng)康NI720070155

9.3FortiGate-1500D158

9.4HPE8400核心交換機(jī)163

9.5HPE5400R匯聚交換機(jī)170

9.6HPE2530-48G接入交換機(jī)174

9.7AirWave180

9.8AP-205184

9.9AP-275190

9.10Aruba7200移動(dòng)控制器系列194

9.11ArubaS1500移動(dòng)接入交換機(jī)195

4

第一章宿州學(xué)院項(xiàng)目總體概況

1.1項(xiàng)目背景

智慧校園是高校信息化的高級(jí)形態(tài)，是對(duì)數(shù)字校園的進(jìn)一步擴(kuò)展與提升，它綜合運(yùn)用云

計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、大數(shù)據(jù)、智能感知、商業(yè)智能、知識(shí)管理、社交網(wǎng)絡(luò)等新興信息

技術(shù)，全面感知校園物理環(huán)境，智能識(shí)別師生群體的學(xué)習(xí)、工作情景和個(gè)體的特征，招學(xué)校

物理空間和數(shù)字空間有機(jī)銜接起來，為師生建立智能開放的教育教學(xué)環(huán)境和便利舒適的生活

環(huán)境，改變師生與學(xué)校資源、環(huán)境的交互方式，實(shí)現(xiàn)以人為本的個(gè)性化創(chuàng)新服務(wù)。相對(duì)于數(shù)

字校園，高校智慧校園有如下特征：

(1)互聯(lián)網(wǎng)絡(luò)高速泛在

網(wǎng)絡(luò)是信息時(shí)代的基礎(chǔ)，沒有網(wǎng)絡(luò)就無法實(shí)現(xiàn)教育信息化的絕大部分工作。智慧校園的

網(wǎng)絡(luò)基礎(chǔ)更強(qiáng)調(diào)移動(dòng)互聯(lián)和物聯(lián)網(wǎng)，要為校園中人與人、人與物、物與物之間的全面互聯(lián)、

互通、互動(dòng)，為各類隨時(shí)、隨地、隨需、隨意的應(yīng)用提供寬帶、泛在的基礎(chǔ)網(wǎng)絡(luò)條件。

(2)智能終端廣泛應(yīng)用

智能終端可以實(shí)現(xiàn)隨時(shí)隨地的普適計(jì)算、信息獲取與感知，己經(jīng)成為高校師生日益普及

的隨身裝備。各種智能感應(yīng)技術(shù)的廣泛應(yīng)用，可以遠(yuǎn)程使用、管理與控制的數(shù)字裝備已然普

遍，使得各種監(jiān)測(cè)信息可以隨時(shí)獲得，人與物的互動(dòng)成為現(xiàn)實(shí)，全面感知校園環(huán)境和師生活

動(dòng)狀態(tài)成為智慧校園的物質(zhì)基礎(chǔ)。

(3)團(tuán)隊(duì)協(xié)作便利充分

有意識(shí)的大規(guī)模協(xié)作是展現(xiàn)人類智慈的重要基礎(chǔ)。通過統(tǒng)一通訊、日程共享和協(xié)同工作

等工具的支撐，為師生提供隨時(shí)隨地、統(tǒng)一集成、模式多樣的通訊與協(xié)作服務(wù)，支持個(gè)體與

群組的交流協(xié)作，支持線上線下的有機(jī)互動(dòng)，讓學(xué)習(xí)討論從課上拓展到課下，讓協(xié)同研究從

實(shí)驗(yàn)室拓展到網(wǎng)絡(luò)虛擬空間。

(4)集體知識(shí)共生共榮

對(duì)于以產(chǎn)生知識(shí)、傳播知識(shí)為己任的高校來說，支持知識(shí)的創(chuàng)造、傳播、管理和使用是

智慧校園的重要任務(wù)，也是其核心特征。通過為個(gè)人提供完善的知識(shí)存儲(chǔ)、分類與分享工具,

幫助個(gè)人將擁有的各種資料和信息變成更具價(jià)值的知識(shí)，實(shí)現(xiàn)知識(shí)的收集、消化吸收、分享

和創(chuàng)新；通過在學(xué)校建構(gòu)支持團(tuán)隊(duì)知識(shí)管理的知識(shí)系統(tǒng)，讓學(xué)校中的信息與知識(shí)透過獲得、

5

創(chuàng)造、分享、整合、記錄、存取、更新、創(chuàng)新等過程，不斷地回饋到知識(shí)系統(tǒng)內(nèi)，形成不間

斷的學(xué)校智慧循環(huán)，提高學(xué)校整體智商，推動(dòng)學(xué)校知識(shí)創(chuàng)新。

(5)業(yè)務(wù)應(yīng)用智能融合

智慧校園的作用與功能最終要體現(xiàn)在學(xué)校的各項(xiàng)業(yè)務(wù)之中。必須揚(yáng)棄數(shù)字校園業(yè)務(wù)分

割、相對(duì)封閉的信息化架溝，采用開放、整合、協(xié)同的信息化架構(gòu)，基于云計(jì)算和大數(shù)據(jù)技

術(shù)實(shí)現(xiàn)對(duì)海量數(shù)據(jù)的存儲(chǔ)、計(jì)算與分析，通過“云”與“端”的結(jié)合廣泛吸納用戶的“智慧”

參與，在各項(xiàng)業(yè)務(wù)應(yīng)用中實(shí)現(xiàn)個(gè)性定制、主動(dòng)推送和智能推薦，推動(dòng)實(shí)現(xiàn)智能融合、隨時(shí)隨

地、隨需隨意的個(gè)性化應(yīng)用，推動(dòng)從個(gè)人通訊、個(gè)人計(jì)算到個(gè)人創(chuàng)造的發(fā)展，從而充分發(fā)揮

智慧校園整體效能，大大提升基于IT的學(xué)習(xí)研究與管理決策能力。

(6)外部智慧融會(huì)貫通

高校已不是傳統(tǒng)意義上的象牙塔，現(xiàn)代大學(xué)必須與社會(huì)接軌。因此，智慧校園也不是孤

立的，需要和外部世界息息相通，通過與外部智糕的融會(huì)貫通，來推動(dòng)學(xué)校的口I■持續(xù)創(chuàng)新發(fā)

展。比如，教師的學(xué)術(shù)活動(dòng)必須和國(guó)內(nèi)外同行進(jìn)行廣泛交流，教學(xué)和科研只有融入到世界范

圍的學(xué)科發(fā)展環(huán)境中，才能創(chuàng)新和出一流的成果。乂如，學(xué)校通過兄弟院校間的互相學(xué)習(xí)、

交流、對(duì)比和借鑒，來把握高校改革和發(fā)展潮流與規(guī)律，發(fā)展本校的傳統(tǒng)與特色；通過了解

社會(huì)發(fā)展對(duì)于學(xué)校的需求，如就業(yè)需求、人才素質(zhì)需求等，來調(diào)整學(xué)校專業(yè)設(shè)置、改進(jìn)人才

培養(yǎng)模式；通過把握經(jīng)濟(jì)社會(huì)發(fā)展趨勢(shì)、技術(shù)進(jìn)步發(fā)展趨勢(shì)和教育變革發(fā)展趨勢(shì)，不斷優(yōu)化

學(xué)校的發(fā)展規(guī)劃，促進(jìn)學(xué)校持續(xù)快速發(fā)展.

1.2項(xiàng)目建設(shè)指導(dǎo)思想

信息化是將信息作為構(gòu)成某一系統(tǒng)、某一領(lǐng)域的基本要素、并對(duì)該系統(tǒng)、該領(lǐng)域中信息

的生成、分析、處理、傳遞和利用所進(jìn)行的有意義活動(dòng)的總稱。信息社會(huì)的高度發(fā)展要求教

育必須改革以滿足培養(yǎng)面向信息化社會(huì)創(chuàng)新人才的需求，教育信息化是將信息作為教育系統(tǒng)

的一種基本構(gòu)成要素，并在教育的各個(gè)領(lǐng)域廣泛地利用信息技術(shù)，促進(jìn)教育現(xiàn)代化的過程。

《國(guó)家信息化發(fā)展戰(zhàn)略綱要》

《綱要》指出，當(dāng)今世界，信息技術(shù)創(chuàng)新口新月異，以數(shù)字化、網(wǎng)絡(luò)化、智能化為特征

的信息化浪潮蓬勃興起。全球信息化進(jìn)入全面滲透、跨界融合、加速創(chuàng)新、引領(lǐng)發(fā)展的新階

段。網(wǎng)絡(luò)化協(xié)同創(chuàng)新體系全面形成，電子政務(wù)支撐國(guó)家治理體系和治理能力現(xiàn)代化堅(jiān)實(shí)有力，

信息化成為驅(qū)動(dòng)現(xiàn)代化建設(shè)的先導(dǎo)力量。

6

《國(guó)家中長(zhǎng)期教育改革和發(fā)展規(guī)劃綱要(2010-2020年)》

提高高等教育質(zhì)量、遑升科學(xué)研究水平，深入開展平安校園、文明校園、綠色校園、和

諧校園創(chuàng)建活動(dòng)，為師生創(chuàng)造安定有序、和諧融洽、充滿活力的工作、學(xué)習(xí)、生活環(huán)境。

《教育信息化十年發(fā)展規(guī)劃(2011-2020年)》

提出教育信息化工作方針：面向未來，育人為本、應(yīng)用驅(qū)動(dòng)，共建共享、統(tǒng)籌規(guī)劃，分

類推進(jìn)、深度融合，引領(lǐng)創(chuàng)新。

教育信息化“十三五”規(guī)劃

以“構(gòu)建網(wǎng)絡(luò)化、數(shù)字化、個(gè)性化、終身化的教育體系，建設(shè)'人人皆學(xué)、處處能學(xué)、

時(shí)時(shí)可學(xué)'的學(xué)習(xí)型社會(huì)，按照''服務(wù)全局、融合創(chuàng)新、深化應(yīng)用、完善機(jī)制”原則。

節(jié)約型校園建設(shè)管理

2007年10月，中華人民共和國(guó)第十屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議正式

修訂通過《中華人民共和國(guó)節(jié)約能源法》，2008年國(guó)家又相繼頒布《民用建筑節(jié)能條例》

和《公共機(jī)構(gòu)節(jié)能條例》，為建筑節(jié)能監(jiān)管體系的建設(shè)提供有力的法律法規(guī)和政策支持。2008

年4月，建設(shè)部出臺(tái)《國(guó)家機(jī)關(guān)辦公建筑及大型公共建筑分項(xiàng)能耗數(shù)據(jù)采集技術(shù)導(dǎo)則》等五

項(xiàng)導(dǎo)則，用以指導(dǎo)大型公共建筑分項(xiàng)能耗數(shù)據(jù)采集系統(tǒng)的建設(shè)。國(guó)家建設(shè)部與國(guó)家教育部也

于2008年5月共同制定了《高等學(xué)校節(jié)約型校園建設(shè)管理與技術(shù)導(dǎo)則》，為節(jié)約型校園建

設(shè)的規(guī)劃、設(shè)計(jì)、建設(shè)、管理、教育普及等各階段環(huán)節(jié)提供管理與技術(shù)指導(dǎo)。

設(shè)計(jì)和建設(shè)要具有一定的超前性，要高于現(xiàn)在發(fā)達(dá)地區(qū)一流學(xué)校的設(shè)施標(biāo)準(zhǔn)，并結(jié)合教

育部數(shù)字校園信息化標(biāo)準(zhǔn)的設(shè)計(jì)架進(jìn)行設(shè)計(jì)與建設(shè)，如下圖所示。設(shè)計(jì)和建設(shè)要充分體現(xiàn)以

人為本的教育理念。智慧化系統(tǒng)是校園基礎(chǔ)設(shè)施的一個(gè)重要組成部分，是一個(gè)現(xiàn)代化學(xué)校的

主要標(biāo)志之一，因而新校將按照設(shè)計(jì)完善、功能實(shí)用、技術(shù)先進(jìn)和運(yùn)行穩(wěn)定的原則，整體設(shè)

計(jì)、整體施工，整體實(shí)施宿州學(xué)院智慧化校園。

建成的智慧校園是以校園局域網(wǎng)絡(luò)為基礎(chǔ)平臺(tái)，構(gòu)建成的一套科學(xué)、便捷、穩(wěn)定、有效

的，能滿足學(xué)校智慧化管理、智慧化教學(xué)和智慧化學(xué)習(xí)的綜合系統(tǒng)。

7

教育部數(shù)字校園信息化標(biāo)準(zhǔn)頂層設(shè)計(jì)架構(gòu)

加斷多哪悻室隗/、一ff機(jī)、電子白板、智能手H1、一卡通、快拍儀、栽夠備、高速閱卷機(jī)監(jiān)控、學(xué)生診斷器

羯骸(Andrcid)|

PC版保轆血PAD版（windows環(huán)弱

教育H一閭網(wǎng)版）教育公桌面僖戶懶

敦醞g網(wǎng)時(shí)運(yùn)營(yíng)真面系第威系一運(yùn)營(yíng)

91^轆決策支持系觀

教學(xué)公共眼堯平臺(tái)學(xué)生學(xué)習(xí)公共躺平臺(tái)教好專業(yè)成長(zhǎng)系發(fā)平臺(tái)教育公共削喻平臺(tái)

解部轆自主學(xué)習(xí)即娜容習(xí)轆■合即

就Jffl曬海堂教以印轆

全自動(dòng)智舞錄播磁精品翩分享初躁奴考吹圖蹄聯(lián)嘲

網(wǎng)絡(luò)幽會(huì)小造作岐1ft嬲HJg轆富含甘酮

旨翩譽(yù)裁成長(zhǎng)誨袋融成長(zhǎng)記錄裝錠自眠堤

網(wǎng)蜩卷系燒家?；ネㄆ鞣?gòu)物收費(fèi)系楨

生一認(rèn)證管理系觀（4A管理平臺(tái)）|

昭宜琪四

屣醴口

硬件接口肥1、中間件接口、第三

智能展中心

期R門戶份類檢判知識(shí)弓津，教據(jù)分析、挖亮）

儺玲

OracleSqlServer

，填旃平,般管酮

校園信息化標(biāo)準(zhǔn)頂層設(shè)計(jì)架構(gòu)圖

1.3項(xiàng)目概況

學(xué)校名稱：宿州學(xué)院，約1.8萬人，創(chuàng)辦時(shí)間1949年，公立高校

學(xué)校地址：安徽省宿州市汴河中路49號(hào)（西區(qū)）創(chuàng)辦時(shí)間1949年

主管部門：安徽省人民政府

宿州學(xué)院是安徽省省屬全日制普通本科院校，坐落在歷史文化古城宿州市，是該市唯一

一所本科高校，前身是創(chuàng)辦于1949年的皖北宿縣區(qū)師范學(xué)校，1983年升格更名為宿州師范

?？茖W(xué)校，2004年升格更名為宿州學(xué)院，2008年獲得學(xué)士學(xué)位授予權(quán)，2014年順利通過了

教育部本科教學(xué)工作合格評(píng)估，2015年成功獲批為安徽省地方應(yīng)用型高水平大學(xué)立項(xiàng)建設(shè)

單位。

校園占地1146畝，預(yù)留用地1160畝，建筑面積44.47萬平方米，教學(xué)科研儀器設(shè)備總

值17185萬元。圖書館面積3.46萬平方米，館藏圖書279.7萬冊(cè)，其中紙質(zhì)圖書106.7萬

冊(cè)，期刊993種。設(shè)有15個(gè)二級(jí)學(xué)院，59個(gè)普通本科專業(yè)，涵蓋工、管、理、文、經(jīng)、藝、

教七大學(xué)科門類，全日制止校生17360人，成人教育生3692人。有專任教師720余人，其

8

中正高58人、副高218人。

14項(xiàng)目建設(shè)原則

根據(jù)學(xué)校建設(shè)的全局和全面工作需要出發(fā)，考慮部門的地理分布和通信條件。整體規(guī)劃

智慧化校園建設(shè)方案，對(duì)系統(tǒng)的目標(biāo)、總體結(jié)構(gòu)、服務(wù)功能、經(jīng)費(fèi)預(yù)算、建設(shè)步驟等重大問

題做出規(guī)劃。本次建設(shè)遵循以下原則：

1.以需求定應(yīng)用，以應(yīng)用選平臺(tái)，整體設(shè)計(jì)，整體施工，整體實(shí)施

建設(shè)應(yīng)該經(jīng)過詳細(xì)地需求調(diào)研和分析，定出相應(yīng)的應(yīng)用，然后做出初步總體方案設(shè)計(jì),

修改完善后做出詳細(xì)總體方案設(shè)計(jì)和總體實(shí)施方案。在此基礎(chǔ)上完成系統(tǒng)集成、系統(tǒng)驗(yàn)收

和系統(tǒng)運(yùn)行等階段。

2.先進(jìn)性、開放性和標(biāo)準(zhǔn)化相結(jié)合

由于智慧化校園中的應(yīng)用系統(tǒng)較多，各應(yīng)用系統(tǒng)間的集成、運(yùn)行應(yīng)協(xié)調(diào)、統(tǒng)一和規(guī)范，

效果上是一個(gè)完整的運(yùn)行系統(tǒng)，而不是各應(yīng)用子系統(tǒng)的簡(jiǎn)單堆砌。

采用符合國(guó)際標(biāo)準(zhǔn)的、成熟的技術(shù)，兼顧網(wǎng)絡(luò)技術(shù)的發(fā)展方向，選擇模塊化、可擴(kuò)充的

網(wǎng)絡(luò)產(chǎn)品，所選網(wǎng)絡(luò)產(chǎn)品應(yīng)盡可能在較長(zhǎng)時(shí)間內(nèi)保持應(yīng)月的高性能和高效率，延長(zhǎng)系統(tǒng)的技

術(shù)壽命周期，以使投資發(fā)揮最大的效益。

3.結(jié)構(gòu)合埋，局效實(shí)用，針對(duì)性強(qiáng)

在通信網(wǎng)絡(luò)、資源配置、系統(tǒng)服務(wù)和網(wǎng)絡(luò)管理上有良好的分層設(shè)計(jì)，使網(wǎng)絡(luò)結(jié)構(gòu)清晰，

便于使用、管理和維護(hù)。系統(tǒng)應(yīng)具有實(shí)用性和高效率，要支持寬帶多媒體業(yè)務(wù)，例如網(wǎng)絡(luò)教

學(xué)、多媒體網(wǎng)絡(luò)教室、多功能教室、視頻廣播、視頻直播、會(huì)議電視、IP電話、遠(yuǎn)程教學(xué)、

實(shí)時(shí)錄播等應(yīng)川。

4.穩(wěn)定、可靠和安全

該系統(tǒng)是貴陽(yáng)一中金塔學(xué)校進(jìn)行教學(xué)、生活、科研、口常行政管理和對(duì)外交流的基礎(chǔ)設(shè)

施，并且還來自各地的學(xué)生，影響范圍較大，因此要求整個(gè)系統(tǒng)有很高的可靠性，以此建

起穩(wěn)定、實(shí)用的應(yīng)用環(huán)境。還應(yīng)充分重視網(wǎng)絡(luò)設(shè)備和系統(tǒng)平臺(tái)數(shù)據(jù)的安全性；網(wǎng)絡(luò)設(shè)備、布

線系統(tǒng)應(yīng)安全可靠地安裝布設(shè)，注意防止自然和人為的破壞，對(duì)網(wǎng)絡(luò)系統(tǒng)應(yīng)嚴(yán)格地管理，并

通過防火墻和有效設(shè)置權(quán)限等方法加強(qiáng)系統(tǒng)平臺(tái)和數(shù)據(jù)的安全。

5.可擴(kuò)展性

9

網(wǎng)絡(luò)建設(shè)要考慮到用全光網(wǎng)絡(luò)結(jié)構(gòu)適應(yīng)將來的發(fā)展，具有可擴(kuò)展性，便于以后平滑升級(jí)

到萬兆網(wǎng)。方便無縫升級(jí)，

1.5項(xiàng)目建設(shè)目標(biāo)

此次網(wǎng)絡(luò)建設(shè)是新建有線及無線網(wǎng)絡(luò)。要求完成全方位立體式無線覆蓋，讓學(xué)生僅可以

在尢線覆蓋區(qū)域隨時(shí)隨地、尢拘束的連接到網(wǎng)絡(luò)，外來來賓可以順暢的訪問宿州學(xué)院網(wǎng)絡(luò)資

源。

建成的系統(tǒng)應(yīng)突出：

無線網(wǎng)絡(luò)一體化全覆蓋

?側(cè)重實(shí)際應(yīng)用，覆蓋全校區(qū)域，為學(xué)習(xí)、生活、交流提供切實(shí)可用的、穩(wěn)定的有

線無線網(wǎng)絡(luò)環(huán)境。

?采取先進(jìn)通行的協(xié)議標(biāo)準(zhǔn)：目前無線局域網(wǎng)普遍采用802.11系列標(biāo)準(zhǔn)，無線局域

網(wǎng)提供802.Un,802.Uac標(biāo)準(zhǔn)的聯(lián)網(wǎng)支持,可以匹配802.Ua、802.11b、

802.11g、802.1In,802.1lac無線設(shè)備，提供可供實(shí)際應(yīng)用的穩(wěn)定網(wǎng)絡(luò)通訊服

務(wù)。

?實(shí)現(xiàn)室內(nèi)無線網(wǎng)絡(luò)的合理布建：考慮室內(nèi)實(shí)現(xiàn)無線網(wǎng)絡(luò)的不同情況和特點(diǎn)以及目

前學(xué)生筆記本用戶數(shù)量日益增多的情況，應(yīng)采取合理的布網(wǎng)方式滿足現(xiàn)在以及未

來發(fā)展的需要。

?由于本次項(xiàng)目是要對(duì)校區(qū)內(nèi)建筑進(jìn)行無線覆蓋，所需AP的數(shù)量較多，因此，要使

用瘦AP體系架構(gòu)的無線網(wǎng)絡(luò)解決方案，通過控制器對(duì)所有AP進(jìn)行集中式管理。

?AP具有自動(dòng)調(diào)整射頻參數(shù)的能力。

?部署的無線網(wǎng)絡(luò)能夠支持頻譜分析的功能.

?無線網(wǎng)絡(luò)具有而可靠性

?AP需采用IEEE802.3af遠(yuǎn)程供電：綜合布線工程需要實(shí)施所有無線信息點(diǎn)到本地有

線網(wǎng)設(shè)備間，綜合布線不應(yīng)毀損目前樓內(nèi)裝修，要求美觀得體，符合布線相關(guān)標(biāo)

準(zhǔn)，合理安排施工時(shí)間，做到不影響學(xué)校的正常辦公、教學(xué)和科研。

高性能數(shù)據(jù)處理能力

以需求定應(yīng)用，以應(yīng)用選平臺(tái)，整體設(shè)計(jì)，整體施工，整體實(shí)施，由于參與網(wǎng)絡(luò)應(yīng)用的

師牛數(shù)量多,而口信息中包含大量多媒體信息,因此大容量、高速率的數(shù)據(jù)處理能力是網(wǎng)絡(luò)

10

的一項(xiàng)重要要求，并保證實(shí)現(xiàn)多媒體應(yīng)用和網(wǎng)絡(luò)教學(xué)等功能。

協(xié)調(diào)、統(tǒng)一和規(guī)范

建設(shè)應(yīng)該經(jīng)過詳細(xì)地需求調(diào)研和分析，定出相應(yīng)的應(yīng)用，然后做出初步總體方案設(shè)計(jì)，

修改完善后做出詳細(xì)總體方案設(shè)計(jì)和總體實(shí)施方案。在此基礎(chǔ)上完成系統(tǒng)集成、系統(tǒng)驗(yàn)收和

系統(tǒng)運(yùn)行等階段。

穩(wěn)定、可靠和安全

智慧化校園中不論是網(wǎng)絡(luò)還是應(yīng)用系統(tǒng)都應(yīng)該運(yùn)行穩(wěn)定、可靠。網(wǎng)絡(luò)中存有大量教學(xué)和

管理的重要數(shù)據(jù)，它們是管理和教學(xué)的重要基礎(chǔ)支撐數(shù)據(jù)，不論是被損壞、丟失還是被竊取,

都將帶來極大的損失，因此要保證整個(gè)系統(tǒng)的安全性。

操作方便，易于管理

校園網(wǎng)面向不同知識(shí)層次的教師、學(xué)生和辦公人員，應(yīng)用和管理應(yīng)簡(jiǎn)便易行，界面友好，

不宜太過專業(yè)化。

第二章網(wǎng)絡(luò)系統(tǒng)建設(shè)方案總體設(shè)計(jì)

2.1網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)原則

采用成熟、先進(jìn)的技術(shù)和設(shè)計(jì)思想，運(yùn)用現(xiàn)有的系統(tǒng)集成的技術(shù)路線，強(qiáng)調(diào)系統(tǒng)先進(jìn)、

實(shí)用、開放、安全、使用方便和易于擴(kuò)充等特點(diǎn)，突出系統(tǒng)功能的完善，實(shí)現(xiàn)辦公現(xiàn)代化、

信息資源化、傳輸網(wǎng)絡(luò)化和決策科學(xué)化。

1.實(shí)用性：系統(tǒng)建設(shè)符合業(yè)務(wù)規(guī)范總體要求，滿足管理職能的需求，為提高管理

決策的及時(shí)性和準(zhǔn)確性提供高質(zhì)量的信息服務(wù)，增強(qiáng)對(duì)運(yùn)行的協(xié)調(diào)和監(jiān)控能力。

2.操作性；人性化的設(shè)計(jì)，保證網(wǎng)絡(luò)管理人員和使用人員能快速的使用網(wǎng)絡(luò)。

3.可靠性：將要建設(shè)的網(wǎng)絡(luò)將是高可靠性，達(dá)到24小時(shí)不間斷，無故障，穩(wěn)定運(yùn)

行，網(wǎng)絡(luò)的局部問題不會(huì)影響大網(wǎng)絡(luò)的運(yùn)行。

4.可擴(kuò)充性：方便系統(tǒng)和支撐平臺(tái)的升級(jí)，滿足用戶對(duì)信息需求不斷變化的需要，

以及系統(tǒng)投資建設(shè)的長(zhǎng)期性效益。

5.可管理性：整個(gè)網(wǎng)絡(luò)將采用集中式管理，能夠監(jiān)控網(wǎng)絡(luò)的運(yùn)行，并具有防范非法

DHCP服務(wù)器和ARP攻擊的功能。所有交換機(jī)需要支持網(wǎng)絡(luò)管理，并可以通過網(wǎng)絡(luò)

11

管理軟件監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)，利用有限的人力物力對(duì)宿舍樓網(wǎng)絡(luò)進(jìn)行高效

管理。

6.安全性：宿舍樓內(nèi)有眾多的網(wǎng)絡(luò)用戶，安全問題影響廣泛，如何能夠建成?個(gè)安

全可靠的宿舍網(wǎng)絡(luò)也是本次需要重點(diǎn)考慮的，網(wǎng)絡(luò)內(nèi)劃分眾多的VLAN,接入交換

機(jī)支持端口安全和防ARP攻擊等功能，保證網(wǎng)絡(luò)用戶的安全。

7.先進(jìn)性：符合計(jì)算機(jī)技術(shù)發(fā)展趨勢(shì)，采用先進(jìn)成熟的技術(shù)，堅(jiān)持技術(shù)的開放性，

易于技術(shù)更新。

8.靈活性：通過采用結(jié)構(gòu)化、模塊化的設(shè)計(jì)形式，滿足系統(tǒng)及用戶各種不同的需求,

適應(yīng)不斷變革口的要求。

9.規(guī)范性：采用的技術(shù)標(biāo)準(zhǔn)要遵循國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)與規(guī)范，保證系統(tǒng)發(fā)展的延

續(xù)和可靠性。

10.系統(tǒng)性：項(xiàng)目的開發(fā)必須按系統(tǒng)工程的管理方法，分階段、有計(jì)劃的統(tǒng)一組織實(shí)

施。

11.綜合性：以滿足系統(tǒng)目標(biāo)與功能為目標(biāo)，保證總體方案的設(shè)計(jì)合理，滿足用戶的

需求，同時(shí)便于系統(tǒng)使用過程中的維護(hù)，以及今后系統(tǒng)的二次開發(fā)與移植。

2.2網(wǎng)絡(luò)系統(tǒng)需求分析

具體功能需求：

（1）綜合的統(tǒng)一管理平臺(tái)

根據(jù)目前校園信息化建設(shè)的發(fā)展趨勢(shì)，建設(shè)的智慧校園要求建成一個(gè)集信息匯

集、資源共享、應(yīng)用整合和綜合運(yùn)營(yíng)為一體的統(tǒng)一管理平臺(tái)，能提供數(shù)據(jù)集成、

流程集成、用尸界面集成等服務(wù)，改變各應(yīng)用系統(tǒng)資源的孤立和封閉的局面，實(shí)

現(xiàn)區(qū)域或校園數(shù)據(jù)資源的共享，避免重復(fù)投資，從整體上提升教育信息化建設(shè)水

平。

（2）面向校園管理的應(yīng)用

利用現(xiàn)代信息技術(shù)，實(shí)現(xiàn)對(duì)校園的基礎(chǔ)設(shè)施和口常管理應(yīng)用進(jìn)行統(tǒng)一規(guī)劃、設(shè)計(jì)、

建設(shè)和運(yùn)營(yíng)，從校園的通信網(wǎng)絡(luò)、安全防范、日常辦公、信息安全、能源資產(chǎn)管

理等方面實(shí)現(xiàn)對(duì)校園管理的服務(wù)支撐。

（3）面向校園生活的應(yīng)用

12

作為校園活動(dòng)的主體一一教師和學(xué)生，除了學(xué)習(xí)在校園，還要生活在校園。所以,

完善的校園生活服務(wù)是必須具備的，建設(shè)的智慧校園要能滿足校園師生在日常生

活中的用水、用電，食宿、消費(fèi)、信息查詢、圖書借閱、醫(yī)療健康等應(yīng)用服務(wù)。

2.3網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)標(biāo)準(zhǔn)及規(guī)范

宿遷學(xué)院網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)完全符合國(guó)家網(wǎng)絡(luò)建設(shè)的相關(guān)標(biāo)準(zhǔn)和規(guī)范。

1.網(wǎng)絡(luò)標(biāo)準(zhǔn)與規(guī)范

?RFC1661：ThePoint-to-PointProtocol(PPP)

?RFC1990：ThePPPMultilinkProtocol(MP)

?RFC1994：PPPChallengeHandshakeAuthenticationProtocol(CHAP)

?RFC791：InternetProtocol.(IP)

?RFC792：InternetControlMessageProtocol(ICMP)

?RPC793：TRANSMISSIONCONTROLPROTOCOL(TCP)

?RFC768：UserDalagramProtocol(UDP)

?RFC826：AnEthernetAddressResolutionProtocol(ARP)

?RFC2328：OSPFVersion2

?RFC1793：ExtendingOSPFtoSupportDemandCircuits

?RFC1771:：ABorderGatewayProtocol4(BGP-4)

?RFC1965：AutonomousSystemConfederationsforBGP

?RFC1966：BGPRouteReflection

?RFC1997：BGPCommunityAttribute

?RFC2439：BGPRouteFlapDamping

?RFC2138：RemoteAuthenticationDialInUserService(RADIUS)

?RFC2139：RADIUSAccounting

?RFC2784：GenericRooutingEncapsulation

?RFC2401：SecurityArchitechurefortheInternetProtocol

?RFC1157：SimpleNetworkManagementProtocol(SNMP)

?RFC2474：DSFieldintheIPv4andIPv6Headers

?RFC2475：AnArchitectureforDifferentiatedService

?RFC2615：POS

?IEEE802.3u：lOOBase規(guī)范

?IEEE802.3z：l()00Base-X(GBI。規(guī)范

?IEEE802.3ac：10G規(guī)范

?IEEE802.IQ/IP：VirtualBridgedLocalAreaNetworks

?IEEE802.3ad：LinkAggregation

?IEEE802.17：RPR

13

2.國(guó)家安全標(biāo)準(zhǔn)與參考規(guī)范

?GB/T18336-2001

?GB/T18019-1999

?GB/T18020-1999

?UL1950

?EN41003

?AS/NZS3260

?AS/NZS3548ClassA

?CSAClassA

?FCCClassA

?EN60555-2

?VCCI(ClassII)

?抗干擾性

?IEC10()042(ESO)

?IEC100043(輻射敏感性)

《建筑與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范》GB/T50311-2000

《建筑與建筑群綜合布線系統(tǒng)工程驗(yàn)收規(guī)范》GB/T50312-2000

《大樓通信綜合布線系統(tǒng)總規(guī)范》YD/T926.1-97

《民用建筑電氣設(shè)計(jì)規(guī)范》JGJ/T16-92

《民用建筑電氣設(shè)計(jì)規(guī)范》JCJ/T16-2000

《民用建筑電氣設(shè)計(jì)規(guī)范》JGJ16-2008

《民用建筑物電信布線標(biāo)注》EIA/TIA-568

《安全防范工程程序與要求》GA/T75-94

《電子計(jì)算機(jī)房設(shè)計(jì)規(guī)范》GB50174-93

《計(jì)算站場(chǎng)地安全要求》GB9361-88

《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》GB50174-93

《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》GB/T2887-2000

《計(jì)算機(jī)機(jī)房用活動(dòng)地板技術(shù)條件》GB6650-86

《計(jì)算機(jī)機(jī)房用抗靜電活動(dòng)地板技術(shù)條件》SJ/T10796-1996

《電氣裝置工程施工及驗(yàn)收規(guī)范》GBJ232-82

《安全防范系統(tǒng)通用圖形符號(hào)》GA/T74-94

《安全防范系統(tǒng)通JIJ圖形符號(hào)》(GA/T75-2000)

《民用建筑電纜工程技術(shù)規(guī)范》

14

《電信動(dòng)力環(huán)境及總配線架集中監(jiān)控系統(tǒng)技術(shù)規(guī)范書》

《通信局（站）電源系統(tǒng)總技術(shù)要求》YD/T1051-2000

《通信電源和空調(diào)集中監(jiān)控系統(tǒng)技術(shù)要求》YDN023-96

《民用建筑閉路監(jiān)視電視系統(tǒng)工程技術(shù)規(guī)范》GB50198-94

《電信交換設(shè)備耐過電壓和過電流能力》ITU-TK.20

《通信局（站）圖像集中監(jiān)控系統(tǒng)技術(shù)要求》YD-T1623-2007

《工業(yè)企業(yè)共用天線電視系統(tǒng)設(shè)計(jì)規(guī)范》GBJ120-88

《工業(yè)企業(yè)通信接地設(shè)計(jì)規(guī)范》GBJ79-85

《建筑與建筑群綜合布線工程設(shè)計(jì)規(guī)范》CECS72-2001

《通信系統(tǒng)機(jī)房設(shè)計(jì)》GBKJ-90

《智能建筑設(shè)計(jì)標(biāo)準(zhǔn)》GB/T50314-2000

《智能建筑設(shè)計(jì)標(biāo)準(zhǔn)》GB/T50314-2006

《通信局（站）接地設(shè)計(jì)暫行技術(shù)規(guī)范》YDJ26-89

《智能建筑弱電工程設(shè)計(jì)施工圖集》GBJT-471

《調(diào)音臺(tái)基本特性測(cè)量方法》GB9003

《電工電子產(chǎn)品基本環(huán)境試驗(yàn)規(guī)則》GB2421/22/23.1/23.2

《電網(wǎng)電源供電的家用和類似?般用途電子及有關(guān)設(shè)備的安全要求》GB8898-88

《教通信接地設(shè)計(jì)規(guī)范》GBJ-79-85

《工業(yè)企業(yè)通信設(shè)計(jì)規(guī)范》GBJ42-81

《利用建筑物金屬體做防雷及接地裝置安裝》86SD566

《信息設(shè)備安全及電氣設(shè)備安全》GIM943-95

《電子設(shè)備雷擊保護(hù)法》GB7450-87

《電氣設(shè)備安全》GB10292-88

《建筑及建筑群綜合布線工程設(shè)“規(guī)范》GB/T50311-2000

《信息技術(shù)開放系統(tǒng)互連網(wǎng)絡(luò)層安全協(xié)議》GB/T17963

《計(jì)算機(jī)信息系統(tǒng)安全》GA216.1-1999

《計(jì)算機(jī)軟件開發(fā)規(guī)范》GB8566-88

《安全防范工程技術(shù)規(guī)范》GB50348-2004

《建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范》GB50343-2004

《安全防范系統(tǒng)雷電浪涌防護(hù)技術(shù)要求》GA/T670-2006

15

《民用建筑電線電纜防火設(shè)計(jì)規(guī)程》【)GJ08-93-2002

《綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范》GB50311-2007

《入侵報(bào)警系統(tǒng)工程設(shè)計(jì)規(guī)范》GB50394-2007

《計(jì)算機(jī)軟件質(zhì)量保證計(jì)劃規(guī)范》GBT-12504

《電力設(shè)備接地設(shè)計(jì)技術(shù)規(guī)程》SDJ8-98

《半導(dǎo)體器件分W器件和集成電路總規(guī)范》GB4589.1-89

《氣象信息系統(tǒng)雷擊電磁執(zhí)沖防護(hù)規(guī)范》QX3-2000

《建筑物防雷設(shè)施安裝》991)562

《移動(dòng)通信基站防雷與接地設(shè)計(jì)規(guī)范》YD5068-98

《通信工程電源系統(tǒng)防雷技術(shù)規(guī)定》YD5078-98

第三章網(wǎng)絡(luò)系統(tǒng)建設(shè)整體部署方案

3.1網(wǎng)絡(luò)系統(tǒng)整體設(shè)計(jì)

校園網(wǎng)是一種用戶高密度的網(wǎng)絡(luò)，在有限的空間內(nèi)娶集了大量的終端和用戶。校園網(wǎng)注

重的是網(wǎng)絡(luò)的簡(jiǎn)單可靠、易部署、易維護(hù)，所以我們采用大二層的網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)網(wǎng)絡(luò)的扁

平化，同時(shí)提高網(wǎng)絡(luò)的穩(wěn)定性和冗余性，通過二層安全技術(shù)有效的隔離攻擊來達(dá)到提升網(wǎng)絡(luò)

安全性的目的。

易管理：扁平化的大二層網(wǎng)絡(luò)，整體簡(jiǎn)化了網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)中大量的接入、匯聚作為

邏輯二層設(shè)備只需要做簡(jiǎn)單的vlan劃分、端口隔離配置即可，不需要過多管理，核心設(shè)備

作三層網(wǎng)關(guān)，啟用路由、認(rèn)證、安全相關(guān)功能，日常維護(hù)中，管理員只需要維護(hù)核心設(shè)備即

可，大大降低了網(wǎng)絡(luò)的運(yùn)維難度，簡(jiǎn)化了工作量。

易部署：大二層網(wǎng)絡(luò)，無論是有線用戶還是無線用戶，無論是采用802.lx認(rèn)證還是

portal認(rèn)證，認(rèn)證點(diǎn)統(tǒng)一集中在核心，部署方便快捷。同時(shí)，在大二層的環(huán)境中，大量的

接入、匯聚設(shè)備配置基本類似，一些專注在教育行業(yè)的廠商也推出了快速配置工具用于批量

設(shè)備上線時(shí)的快速配置下發(fā)，利用配置工具，操作過程簡(jiǎn)便，之前需要耗時(shí)幾天的部署工作

在2個(gè)小時(shí)內(nèi)即可完成。

易維護(hù)：網(wǎng)絡(luò)結(jié)構(gòu)的簡(jiǎn)化將帶來維護(hù)工作的簡(jiǎn)化，設(shè)備配置的簡(jiǎn)化必然會(huì)大幅度降低

16

設(shè)備出問題的概率。從另一方面看，校園網(wǎng)的維護(hù)，需要在網(wǎng)絡(luò)出現(xiàn)問題時(shí)能夠快速定位,

在網(wǎng)絡(luò)管理層面上，需要把用戶和端口對(duì)應(yīng)起來，明確用戶是從哪個(gè)端口接入上網(wǎng)，大二層

架構(gòu)中，利用supervlan+subvlan技術(shù)，可以輕松定位用戶到具體的端口。

宿遷學(xué)院校園網(wǎng)絡(luò)以星型結(jié)構(gòu)為主，遵循如下原則：

層次化

將校園網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層。每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維

護(hù)。

模塊化

將校園網(wǎng)絡(luò)中的每個(gè)區(qū)域或者每個(gè)功能區(qū)劃分為一個(gè)模塊，模塊內(nèi)部的調(diào)整涉及范圍

小，易于進(jìn)行問題定位。

冗余性

關(guān)鍵設(shè)備采用雙節(jié)點(diǎn)冗余設(shè)計(jì)：關(guān)錦鏈路采用Trunk.vrrp方式冗余備份或者負(fù)載分擔(dān)：

關(guān)鍵設(shè)備的電源、主控板等關(guān)鍵部件冗余備份。提高了整個(gè)網(wǎng)絡(luò)的可靠性。

安全性

校園網(wǎng)絡(luò)應(yīng)具備有效的安全控制。接入網(wǎng)絡(luò)的設(shè)備要進(jìn)行統(tǒng)一認(rèn)證，同時(shí)按接入用戶身

份、按權(quán)限進(jìn)行分區(qū)邏輯隔離。對(duì)特別重要的業(yè)務(wù)采取物理隔離。對(duì)進(jìn)出校園網(wǎng)的流量要進(jìn)

行識(shí)別、過濾，確保網(wǎng)絡(luò)安全。

可管理性和可維護(hù)性

為了易于管理，可選擇適用于全網(wǎng)的網(wǎng)管軟件來管理網(wǎng)絡(luò)。為了便于維護(hù)，應(yīng)盡可能選

取集成度高、模塊可通用的產(chǎn)品。

3.2網(wǎng)絡(luò)邏輯架構(gòu)設(shè)計(jì)

如下圖所示，校園網(wǎng)的邏輯架構(gòu)分為以下幾個(gè)部分。

17

,

匯聚、接入層

應(yīng)用層

圖：校園網(wǎng)邏輯架構(gòu)圖

?校園出口

校園出口區(qū)域既負(fù)責(zé)對(duì)校園網(wǎng)用戶的統(tǒng)一接入，也負(fù)責(zé)將內(nèi)部的終端用戶接入到

公網(wǎng)、將外部用戶接入到內(nèi)網(wǎng)。出口除了要保證校園內(nèi)外的數(shù)據(jù)傳輸，還需要保證邊

界安全。

?數(shù)據(jù)中心

部署服務(wù)器和應(yīng)用系統(tǒng)的區(qū)域。為校園網(wǎng)內(nèi)部和外部用戶提供數(shù)據(jù)和應(yīng)用服務(wù)。

?網(wǎng)絡(luò)管理區(qū)

聯(lián)合城市熱點(diǎn)計(jì)費(fèi)網(wǎng)關(guān)對(duì)接入用戶進(jìn)行認(rèn)證，對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器等進(jìn)行管理的

區(qū)域。包括告警管理、性能管理、故障管理、配置管理、安全管理等。

?核心層

核心層負(fù)責(zé)整個(gè)園區(qū)網(wǎng)的高速互聯(lián)，一般不部署具體的業(yè)務(wù)。核心網(wǎng)絡(luò)需要實(shí)現(xiàn)

帶寬的高利用率和網(wǎng)絡(luò)故隙的快速收斂。

?匯聚層、接入層

18

我們采用大二層的網(wǎng)絡(luò)架構(gòu)，我們匯聚層不部署網(wǎng)絡(luò)路由協(xié)議，實(shí)現(xiàn)網(wǎng)絡(luò)的簡(jiǎn)

易性，達(dá)到網(wǎng)絡(luò)的快速收斂，匯聚層將眾多的接入設(shè)備和大量用戶經(jīng)過一次匯聚后

再接入到核心層，擴(kuò)展核心層接入用戶的數(shù)量，同時(shí)對(duì)于某些終端，可能還要增加

特定的接入設(shè)備，例如無線接入的AP設(shè)備。

?終端應(yīng)用層

包含校園網(wǎng)內(nèi)的各種終端設(shè)備，例如PC、筆記本電腦、打印機(jī)、傳真、手機(jī)、攝

像頭等等。

?傳統(tǒng)網(wǎng)絡(luò)與大二層網(wǎng)絡(luò)架構(gòu)的區(qū)別

功能對(duì)比表傳統(tǒng)架構(gòu)扁平化大二層架構(gòu)

Ctt]

安全功能而芟無

接入層

認(rèn)證功能而交無

ARP管理而笠無

匯聚層

路由管理而要無

安全功能而芟而芟

egg

路由管理而芟而美

核心層

認(rèn)證功能無而交

ARP管理無而芟

圖：傳統(tǒng)網(wǎng)絡(luò)與大二層網(wǎng)絡(luò)架構(gòu)對(duì)比圖

大二層網(wǎng)絡(luò)與傳統(tǒng)的三層網(wǎng)絡(luò)降低了接入層的設(shè)備壓力，提高了設(shè)備轉(zhuǎn)發(fā)效率，簡(jiǎn)

化的網(wǎng)絡(luò)結(jié)構(gòu)，從而降低網(wǎng)絡(luò)成本；從服務(wù)質(zhì)量層面上說簡(jiǎn)化了Qos部署，使網(wǎng)絡(luò)質(zhì)量得到

有效的管理和控制。

3.3網(wǎng)絡(luò)實(shí)體架構(gòu)設(shè)計(jì)

為實(shí)現(xiàn)宿州學(xué)院網(wǎng)架構(gòu)穩(wěn)定，網(wǎng)絡(luò)層次清晰，支持長(zhǎng)期平滑演進(jìn)，建議整網(wǎng)統(tǒng)一規(guī)劃,

采用分層架構(gòu)設(shè)計(jì)?、鏈路備份、易擴(kuò)展、網(wǎng)絡(luò)集中管控'滿足業(yè)務(wù)長(zhǎng)遠(yuǎn)發(fā)展需求。

對(duì)應(yīng)邏銀架構(gòu)，校園網(wǎng)的物理架構(gòu)如下圖所示：

19

互聯(lián)網(wǎng)

Alteon

NG6400

系列

Fortinet3700

系列

AAA

Dr.Com

核心出口

程EiS

CPPM

二層匯聚

?校園出口

由防火墻和負(fù)載均衡設(shè)備組成，面性能出口防火墻網(wǎng)關(guān)設(shè)備，具備全面的網(wǎng)絡(luò)安全

防御能力，并且具有高性能的NAT功能；同時(shí)負(fù)載均衡設(shè)備能針對(duì)校園出口多線路實(shí)現(xiàn)多

線路負(fù)載，以提高校園網(wǎng)絡(luò)多線路資源的利用率和可靠性，當(dāng)出現(xiàn)單臺(tái)設(shè)備故障或者

單節(jié)點(diǎn)故障時(shí)，會(huì)自動(dòng)在仍然運(yùn)行的網(wǎng)絡(luò)設(shè)備重新分發(fā)負(fù)載，來提升網(wǎng)絡(luò)的可靠

性。

?核心層

核心層由核心交換機(jī)、3A設(shè)備和行為管理設(shè)備組成。核心交換機(jī)承載全網(wǎng)所有的

流量，利用虛擬化技術(shù)，建立邏輯隔離的網(wǎng)絡(luò)通道，實(shí)現(xiàn)不同業(yè)務(wù)之間無干擾地穩(wěn)定

運(yùn)行，通過3A認(rèn)證設(shè)備對(duì)接入網(wǎng)絡(luò)的人員進(jìn)行認(rèn)證、授權(quán)、審計(jì)；通過行為管埋設(shè)

20

備，來控制網(wǎng)絡(luò)環(huán)境，凈化網(wǎng)絡(luò)空間。

核心層設(shè)備采用多機(jī)集群堆疊模式來增加穩(wěn)定性。

?服務(wù)器區(qū)域

部署服務(wù)器和應(yīng)用系統(tǒng)的區(qū)域。為校園網(wǎng)內(nèi)部和外部用戶提供數(shù)據(jù)和應(yīng)用服務(wù)。

包含DHCP服務(wù)器，Portlal服務(wù)器等，聯(lián)合城市熱點(diǎn)網(wǎng)絡(luò)計(jì)費(fèi)網(wǎng)關(guān)對(duì)內(nèi)網(wǎng)用戶進(jìn)行認(rèn)

證和管理。同時(shí)部署網(wǎng)管系統(tǒng)，對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器等進(jìn)行管理，功能包括告警管理、

性能管理、故障管理、配置管理、安全管理等。該區(qū)域還可提供外網(wǎng)的合法訪問。包

括提供公共用戶訪問的公開網(wǎng)站，以及對(duì)應(yīng)的APP服務(wù)。對(duì)出差的內(nèi)部員工的訪問，

部署SVN設(shè)備，提供SSLVPN的安全訪問。

?無線控制區(qū)

無線控制區(qū)部署相應(yīng)的無線控制器對(duì)ap進(jìn)行集中管理和配置，采用

master-local的架構(gòu),提高系統(tǒng)冗余性，做到無縫切換。

?匯聚層、接入層

我們采用大二層的網(wǎng)絡(luò)架構(gòu)，我們匯聚層不部署網(wǎng)絡(luò)路由協(xié)議，實(shí)現(xiàn)網(wǎng)絡(luò)的簡(jiǎn)易

性，達(dá)到網(wǎng)絡(luò)的快速收斂，匯聚層將眾多的接入設(shè)備和大量用戶經(jīng)過一次匯聚后再接入

到核心層，擴(kuò)展核心層接入用戶的數(shù)最，同時(shí)對(duì)于?某些終端，可能還要增加特定的接入

設(shè)備，例如無線接入的AP設(shè)備。

網(wǎng)絡(luò)組網(wǎng)結(jié)構(gòu)說明：

?樓宇有線接入網(wǎng)絡(luò)，通過光纜匯聚到匯聚交換機(jī)，再到核心交換機(jī)

?宿舍，餐廳，廣場(chǎng)的無線覆蓋方面采用Aruba室內(nèi)AP205和室外AP275產(chǎn)品，支持

壁掛和吸頂兩種安裝方式，針對(duì)餐廳和廣場(chǎng)等高密接入場(chǎng)景。

?所有AP統(tǒng)一采用POE供電，POE交換機(jī)可采用ArubaS1500系列，可免去電源供電

不方便，安全可靠。

?所有樓宇上聯(lián)至匯聚交換機(jī)，再10G上聯(lián)至核心交換機(jī)；核心交換機(jī)與移動(dòng)，聯(lián)通，

電信帶寬互聯(lián)。

?HPE8400系列具備統(tǒng)一用戶管理功能，實(shí)現(xiàn)5級(jí)Qos精細(xì)化流量控制，可有效控制

Internet出口帶寬，降低出口成本，同時(shí)優(yōu)先調(diào)度視頻語音，保障業(yè)務(wù)高質(zhì)量體

驗(yàn)。

?宿州學(xué)院無線覆蓋部署ArubaAC7240統(tǒng)一管控所有AP。

21

?通過ArubaAirWave網(wǎng)管統(tǒng)一管理宿州學(xué)院網(wǎng)絡(luò)。

?通過Dr.com計(jì)費(fèi)審計(jì)實(shí)現(xiàn)統(tǒng)一認(rèn)證。

?通過Fortinel下一代防火墻ForliGaleNG150。系列實(shí)現(xiàn)全網(wǎng)的安全防護(hù)

?通過使用Radware的AlleonNG6400系列實(shí)現(xiàn)三個(gè)運(yùn)營(yíng)商的互聯(lián)，智能InBound,

OutBound負(fù)載均衡。

?使用網(wǎng)康NI7200-70系列產(chǎn)品實(shí)現(xiàn)對(duì)用戶行為的審計(jì)，以及對(duì)應(yīng)用協(xié)議的帶寬占比

進(jìn)行優(yōu)化。

該組網(wǎng)具有以下特點(diǎn)：

?路由上收扁平化：核心設(shè)備作三層網(wǎng)關(guān)，終結(jié)ARP,啟用路由協(xié)議，核心層設(shè)

備功能豐富、性能強(qiáng)大、可以更好的滿足校園網(wǎng)發(fā)展需求。接入、匯聚全部為純

二層配置，負(fù)責(zé)二層轉(zhuǎn)發(fā)，維護(hù)工作簡(jiǎn)單，采購(gòu)成本低廉。

?認(rèn)證上收集中化：核心設(shè)備作為集中認(rèn)證網(wǎng)管，終結(jié)認(rèn)證，完成策略統(tǒng)一下

發(fā)，接入層不需要啟用認(rèn)證，核心設(shè)備根據(jù)需要選擇基于端口或者vlan啟用

802.lx認(rèn)證、portal認(rèn)證活著免認(rèn)證。

?有線無線一體化：有線無線統(tǒng)一認(rèn)證，無線認(rèn)證同樣終結(jié)在核心，AC只需要管

理AP,不需要同時(shí)做認(rèn)證功能，解決了異構(gòu)網(wǎng)絡(luò)環(huán)境需要管理多套認(rèn)證計(jì)費(fèi)平臺(tái)

的問題。

?批量配置自動(dòng)化：大二層架構(gòu)，大量接入設(shè)備基本上配置相同，結(jié)合配置自動(dòng)

下發(fā)工具，在短時(shí)間內(nèi)自動(dòng)完成對(duì)接入設(shè)備的配置下發(fā)，大大減輕現(xiàn)場(chǎng)實(shí)施人員

的工作量。

?用戶定位精確化：與傳統(tǒng)方案只能定位到接入交換機(jī)不同，大二層方案，可以

直接定位用戶到接入交換機(jī)的端口，滿足的精確定位的需求。

3.4VLAN規(guī)劃

VLAN是將LAN內(nèi)的設(shè)備邏輯地而不是物理地劃分為一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)在?個(gè)LAN

內(nèi)隔離廣播域的技術(shù)。當(dāng)網(wǎng)絡(luò)規(guī)模越來越龐大時(shí)，局部網(wǎng)絡(luò)出現(xiàn)的故障會(huì)影響到整個(gè)網(wǎng)絡(luò)，

VLAN的出現(xiàn)可以將網(wǎng)絡(luò)故障限制在VLAN范圍內(nèi)，增強(qiáng)了網(wǎng)絡(luò)的健壯性。

在本次整個(gè)網(wǎng)絡(luò)規(guī)劃當(dāng)中，VLAN的劃分是非常重要的部分，很好的利用VLAN技術(shù)的功

能，能起到事半功倍的效果，對(duì)整個(gè)網(wǎng)絡(luò)的性能也是事關(guān)重要的。主要突出為以下幾點(diǎn)：

22

VLAN劃分，可以避免廣播風(fēng)暴，在骨干網(wǎng)絡(luò)中尤為突出，在多媒體、視頻點(diǎn)播等很容

易引起廣播信息；劃分之后，VLAN是廣播只在子網(wǎng)中進(jìn)行，不會(huì)做無意義的廣播，消除了

廣播風(fēng)暴產(chǎn)生的條件。

VLAN劃分，可以增加網(wǎng)絡(luò)的安全性，在不同的VLAN之間不能隨意通訊，只限與本子

網(wǎng)間通訊，不會(huì)對(duì)其他的子網(wǎng)產(chǎn)生干擾。要進(jìn)行訪問，需要通過三層交換，這樣信息流就得

到相當(dāng)好的控制。

網(wǎng)絡(luò)管理系統(tǒng)采用完全獨(dú)立的IP子網(wǎng)和YLA\,實(shí)現(xiàn)更加安全的對(duì)所有網(wǎng)絡(luò)設(shè)備進(jìn)行

管理。建立VLAN和IP子網(wǎng)的對(duì)應(yīng)關(guān)系。

提高管理效率，實(shí)現(xiàn)虛擬的工作組，減少站點(diǎn)的移動(dòng)和改變的開銷。

VLAN間的子網(wǎng)訪問，可以在三層交換機(jī)上實(shí)現(xiàn)，子網(wǎng)間的通訊也可以在匯聚設(shè)備上

實(shí)行，分流核心交換機(jī)的三層交換，優(yōu)化了組網(wǎng)。

根據(jù)以往網(wǎng)絡(luò)管理經(jīng)監(jiān)和骨干網(wǎng)絡(luò)網(wǎng)絡(luò)建設(shè)的實(shí)際情況，方案建議在骨干網(wǎng)絡(luò)VLAN劃分規(guī)

劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為VLAN范圍劃分。這樣劃分

VLAN的好處有：

1.方便管理

為「更好的進(jìn)行YLAN規(guī)劃的實(shí)施，因此在網(wǎng)絡(luò)實(shí)施前期，要對(duì)網(wǎng)絡(luò)中不同區(qū)域的VLAN

設(shè)置進(jìn)行詳細(xì)的規(guī)劃，細(xì)化到接入層網(wǎng)絡(luò)，這樣在骨干網(wǎng)絡(luò)這樣大型的校園網(wǎng)絡(luò)中如果以用

戶群體來劃分,LAN的話，避免由于前期配置設(shè)備時(shí)復(fù)雜煩瑣，而且由于相同的用戶群體可

能在不同的物理位置，導(dǎo)致造成整個(gè)宿州學(xué)院校區(qū)網(wǎng)絡(luò)中VLAN劃分復(fù)雜，減輕管理和后期

維護(hù)。所以方案建議骨干網(wǎng)絡(luò)劃分VLAN方式前進(jìn)行詳盡規(guī)劃，這樣既可以減少?gòu)V播域，又

達(dá)到劃分VLAN,方便管理的效果，對(duì)于后期網(wǎng)絡(luò)維護(hù)和升級(jí)具有十分現(xiàn)實(shí)的意義。

2.易于實(shí)施。

按群體劃分VLAN在工程實(shí)施中就十分的方便，不會(huì)造成VLAN劃分復(fù)雜失誤而使得網(wǎng)絡(luò)

出現(xiàn)不通的現(xiàn)象，便于工程快速實(shí)施和網(wǎng)絡(luò)中心整體規(guī)劃。

3.VLAN間路由采用三層交換設(shè)備進(jìn)行VLAN路由。

以便不同VLAN間進(jìn)行訪問，對(duì)于重要網(wǎng)絡(luò)資源，需要進(jìn)行權(quán)限訪問的時(shí)候，建議采用

專家級(jí)ACL（可同時(shí)基于VLAN號(hào)、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端口號(hào)、時(shí)間

靈活組合限定的硬件ACL）來進(jìn)行訪問權(quán)限設(shè)定，保障重要數(shù)據(jù)不被非法訪問。

VLAN規(guī)劃的基本原則：

?區(qū)分業(yè)務(wù)VLAN、管理VLAN和互聯(lián)VLAN

23

?按照業(yè)務(wù)區(qū)域劃分不同的VLAN

?同一業(yè)務(wù)區(qū)域按照具體的業(yè)務(wù)類型（如：Web、APP、DB）劃分不同的VLAN

?VLAN需連續(xù)分配，以保證VLAN資源合理利用

?預(yù)留一定數(shù)目VLAN方便后續(xù)擴(kuò)展

3.5IP地址規(guī)劃

IP地址的合理規(guī)劃師網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)

議算法的效率，網(wǎng)絡(luò)的性能、拓展、管理也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。

IP地址分配原則

IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效的利用地址空間，又要體

現(xiàn)網(wǎng)絡(luò)的可拓展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減

少路由器或三層交換中路由表的長(zhǎng)度，同時(shí)還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時(shí)要

遵循以下原則：

唯一性：一個(gè)IP地址網(wǎng)絡(luò)不能有兩個(gè)主機(jī)采用相同的IP地址。

簡(jiǎn)單性：地址分配應(yīng)簡(jiǎn)單易于管理，降低網(wǎng)絡(luò)拓展的復(fù)雜性，簡(jiǎn)化路由表項(xiàng)。

連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由

算法效率。

可拓展性：地址分配在每?個(gè)層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模拓展時(shí)能保證地址疊

合所需的連續(xù)性。

靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。

IP地址基本分類

Loopback地址

為了方便管理，會(huì)為每一臺(tái)路由器創(chuàng)建一個(gè)Loopback接口，并在該接口上單獨(dú)指定一

個(gè)IP地址作為管理地址。Loopback地址務(wù)必使用32位掩碼的地址。最后一位是奇數(shù)的表

示路由器，是偶數(shù)的表示交換機(jī)，越是核心的設(shè)備，Loopback地址越小。

互聯(lián)地址

互聯(lián)地址是指兩臺(tái)網(wǎng)絡(luò)設(shè)備相互連接的接口所需要的地址，互聯(lián)地址務(wù)必使用30位掩

碼的地址。核心設(shè)備使用較小的一個(gè)地址，互聯(lián)地址通常要聚合后發(fā)布，在規(guī)劃時(shí)要充分考

慮使用連續(xù)的可聚合地址，

24

業(yè)務(wù)地址

業(yè)務(wù)地址是連接在以太網(wǎng)上的各種服務(wù)器、主機(jī)所使用的地址以及網(wǎng)關(guān)的地址，業(yè)務(wù)地

址規(guī)劃時(shí)所有的網(wǎng)關(guān)地址統(tǒng)i使用相同的末位數(shù)字，如：.254都是表示網(wǎng)關(guān)。

內(nèi)部的IP地址

建議使用私網(wǎng)IP地址，在邊緣網(wǎng)絡(luò)通過NAT轉(zhuǎn)換成公網(wǎng)地址后接入公網(wǎng)。匯聚交換機(jī)

下接入的網(wǎng)段可能有很多，在規(guī)劃的時(shí)候需要考慮路由是可以聚合的，這樣可以減少核心網(wǎng)

絡(luò)的路由數(shù)目。

3.6DHCP規(guī)劃

為了簡(jiǎn)化IP地址管理，網(wǎng)絡(luò)系統(tǒng)建設(shè)方案使用DHCP服務(wù)器為終端分配IP地址，每個(gè)

DHCP網(wǎng)段應(yīng)保留部分靜態(tài)IP供服務(wù)器等設(shè)備使用。

DHCP部署基本架構(gòu)不意圖

DHCP部署基本架構(gòu)

?在宿州學(xué)院校區(qū)的數(shù)據(jù)中心機(jī)房或服務(wù)器區(qū)部署獨(dú)立的DHCPServer。

?在核心網(wǎng)關(guān)部署DHCPRelay指向DHCPServer統(tǒng)一分配地址。

DHCP部署基本原則

?固定IP地址段和動(dòng)態(tài)分配IP地址段保持連續(xù)。

?按照業(yè)務(wù)區(qū)域進(jìn)行DHCP地址的劃分，便于統(tǒng)一管理及問題定位。

?DHCP需要跨網(wǎng)段獲得IP地址時(shí)，啟動(dòng)DHCPRelay功能。

?啟動(dòng)DHCP安全功能，禁止非法DHCPServer的架設(shè)和非法用戶的接入。

25

3.7網(wǎng)絡(luò)QoS設(shè)計(jì)

為確保宿州學(xué)院校區(qū)網(wǎng)絡(luò)中各種應(yīng)用的正常開展，必須采取全面而系統(tǒng)的QoS設(shè)計(jì)(提

供端到端QoS服務(wù))，以俁證重要的數(shù)據(jù)流在網(wǎng)絡(luò)發(fā)生擁塞時(shí)獲得有保證的吞吐量和最低的

延時(shí)，比如在網(wǎng)絡(luò)發(fā)生擁塞時(shí)必須首先保證?卡通和門禁系統(tǒng)的數(shù)據(jù)的優(yōu)先傳輸；為了保證

端到端的服務(wù)質(zhì)量，因此要求端到端數(shù)據(jù)流經(jīng)的所有網(wǎng)絡(luò)設(shè)備都支持實(shí)施的QoS策略，本次

網(wǎng)絡(luò)架構(gòu)中的各種交換機(jī)都支持豐富的QoS功能，能確保重要業(yè)務(wù)最不受延遲或丟棄，同時(shí)

又充分利用現(xiàn)有的帶寬以保證網(wǎng)絡(luò)的高效運(yùn)行。

在本次網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)中，由于服務(wù)端資源集中于服務(wù)器區(qū)域，為保證全網(wǎng)的Q