校園網(wǎng)絡(luò)技術(shù)方案設(shè)計(jì)

1、網(wǎng)絡(luò)技術(shù)方案設(shè)計(jì)1、校園有線網(wǎng)設(shè)計(jì)我校校園網(wǎng)建設(shè)采用最為穩(wěn)定可靠的“核心、匯聚、接入”三層拓?fù)浣Y(jié)構(gòu)。核心層（網(wǎng)絡(luò)中心）匯聚層（各樓管理間）接入層（樓層弱電間）。校園網(wǎng)拓?fù)鋱D如下所示：Internet單體建成$桂核心層我校校園網(wǎng)核心層必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，要求具有高性能和較高 的可靠性、穩(wěn)定性和易擴(kuò)展性等。學(xué)校核心層設(shè)備，應(yīng)該在提供大容量、高性能L2/L3交換 服務(wù)基礎(chǔ)上，能夠進(jìn)一步融合了網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析等智能特性，可為校園網(wǎng)構(gòu)建融合 業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，進(jìn)而幫助我校實(shí)現(xiàn)IT資源整合的需求。因此核心節(jié)點(diǎn)的建設(shè)，須遵 循以下幾個(gè)原則：須具備多級(jí)交換架構(gòu)；須具備高性能、高穩(wěn)定

2、性和高冗余性；須具備較少時(shí)延設(shè)計(jì)；須具有多業(yè)務(wù)應(yīng)用擴(kuò)展性和良好的可管理性；針對(duì)我校校園網(wǎng)建設(shè)，在對(duì)高性能、可靠性、穩(wěn)定性、冗余性要求下，計(jì)劃在網(wǎng)絡(luò)中心 部署2臺(tái)數(shù)據(jù)中心級(jí)交換機(jī)。每臺(tái)核心交換機(jī)配置單引擎，雙電源，配置千兆接口和萬兆接 口，千兆光口利用千兆多模光纖連接各樓匯聚交換機(jī)；萬兆光口用于兩臺(tái)核心設(shè)備之間采用 萬兆連接，利用交換虛擬化技術(shù)簡(jiǎn)化網(wǎng)絡(luò)拓?fù)浜蛯?shí)現(xiàn)性能翻倍，做到統(tǒng)一管理，其中任何一 臺(tái)核心交換機(jī)或核心交換機(jī)上的板卡出現(xiàn)故障后，另外一臺(tái)核心交換機(jī)能夠立即接管故障核 心交換機(jī)所有交換工作，不影響正常校園網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)。在兩臺(tái)核心交換機(jī)都正常工作時(shí)能夠 對(duì)匯聚交換機(jī)轉(zhuǎn)發(fā)過來的數(shù)據(jù)流量進(jìn)行負(fù)載

3、均衡，兩臺(tái)核心交換機(jī)同時(shí)承擔(dān)核心網(wǎng)絡(luò)數(shù)據(jù)交 換工作。我校校園網(wǎng)對(duì)先進(jìn)性、高性能、高可靠、高帶寬、可擴(kuò)展的要求非常高，因此，核 心設(shè)備選用當(dāng)今最先進(jìn)的多級(jí)交換架構(gòu)，做到從傳統(tǒng)的“盡力轉(zhuǎn)發(fā)”架構(gòu)變成最先進(jìn)的“完 全無阻塞轉(zhuǎn)發(fā)”架構(gòu)演進(jìn)。核心交換機(jī)采用多級(jí)交換架構(gòu)，控制引擎和交換引擎分離，配置硬件獨(dú)立的交換網(wǎng)板（替 換交換芯片），實(shí)現(xiàn)數(shù)據(jù)包在多個(gè)交換網(wǎng)版之間的無阻塞轉(zhuǎn)發(fā)。兩臺(tái)核心設(shè)備之間采用萬兆 連接，中任何一臺(tái)核心交換機(jī)或核心交換機(jī)上的板卡出現(xiàn)故障后，正常工作的核心交換機(jī)能 夠立即接管故障核心交換機(jī)所有交換工作。在兩臺(tái)核心交換機(jī)都正常工作時(shí)能夠?qū)R聚交換 機(jī)轉(zhuǎn)發(fā)過來的數(shù)據(jù)流量進(jìn)行負(fù)載均衡，兩臺(tái)核心

4、交換機(jī)同時(shí)承擔(dān)核心網(wǎng)絡(luò)數(shù)據(jù)交換工作。匯聚層匯聚層主要是各單體建筑的小核心，負(fù)責(zé)連接接入層交換機(jī)和網(wǎng)絡(luò)中心核心交換機(jī)，作 著承上啟下的功能，其主要作用在于將較大數(shù)量的接入設(shè)備端口匯集，然后再與核心交換機(jī) 互連。在匯聚層需要承擔(dān)起所連各個(gè)網(wǎng)絡(luò)之間的子網(wǎng)路由工作，同時(shí)對(duì)接入層數(shù)據(jù)進(jìn)行分流 和控制，將接入端的非法和垃圾數(shù)據(jù)對(duì)核心網(wǎng)路造成的影響降到最低。我校校園網(wǎng)建設(shè)中， 計(jì)劃在匯聚層部署10臺(tái)三層匯聚路由交換機(jī)，其中8棟樓每棟1臺(tái)，服務(wù)器匯聚1臺(tái)，冷 備1臺(tái)。匯聚采用千兆多模光纖雙鏈路與兩臺(tái)核心相連，向下千兆網(wǎng)線連接接入交換機(jī)。匯聚交換機(jī)需支持最多4個(gè)萬兆擴(kuò)展接口，支持IPv4/IPv6硬件雙棧及線速

5、轉(zhuǎn)發(fā)，能夠 從容應(yīng)對(duì)即將帶來的IPv6時(shí)代。接入層考慮到我校各樓信息點(diǎn)集中，要求接入層的設(shè)備具有端口高密度和設(shè)備的高性能、高安 全、多功能的特點(diǎn)。采用全千兆安全智能接入交換機(jī)。在提供高性能、千兆光纖上聯(lián)和千兆 到桌面的同時(shí)，提供完善的QoS服務(wù)質(zhì)量、ARPAU檢測(cè)、ACL深度識(shí)別等功能，有效防止 和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶接入和使用網(wǎng)絡(luò)，實(shí)現(xiàn)用戶策略（VLAN、QoS、 ACL）的動(dòng)態(tài)下發(fā)，保證合法的用戶合理化地使用網(wǎng)絡(luò)資源，充分保障了網(wǎng)絡(luò)高效安全、網(wǎng) 絡(luò)合理化使用和運(yùn)營。我校校園網(wǎng)建設(shè)中，計(jì)劃部署20臺(tái)24 口千兆接入交換機(jī)，并利用千 兆網(wǎng)線接入各樓匯聚交換機(jī)。校園出口我校校園網(wǎng)

6、出口要滿足全校老師和學(xué)生的互聯(lián)網(wǎng)接入，對(duì)設(shè)備性能、可靠性都有較高要 求，計(jì)劃采購1臺(tái)高性能出口引擎，提供先進(jìn)的多核高性能處理技術(shù)，提供專門的內(nèi)核處理NAT轉(zhuǎn)發(fā)，強(qiáng)大的NAT轉(zhuǎn)發(fā)性能可充分滿足我校出口設(shè)備性能要求，以及對(duì)未來網(wǎng)絡(luò)的擴(kuò)容 需求。2、校園無線網(wǎng)設(shè)計(jì)無線AP規(guī)劃設(shè)計(jì)要考慮覆蓋范圍、用戶密度、建筑結(jié)構(gòu)、用戶業(yè)務(wù)等各方面的需求， 我校無線AP要求如下：傳輸速率：采用802.11n無線AP,提供高達(dá)300Mbps的無線接入速率，是相同環(huán) 境下802.11a/b/g產(chǎn)品速率的6倍左右；智能覆蓋：要求無線AP支持終端感知型智能天線覆蓋技術(shù)，有效地從覆蓋范圍、 接入密度、運(yùn)行穩(wěn)定等方面提供最佳的無

7、線應(yīng)用體驗(yàn)；頻譜防護(hù)：要求無線AP支持頻譜防護(hù)功能，從而降低2.4GHz波段的射頻干擾源對(duì) 無線網(wǎng)的影響；造型美觀：為了不破壞建筑裝飾的整體效果，要求無線AP可墻掛、吸頂?shù)劝惭b方 式，既不影響美觀又能實(shí)現(xiàn)無線信號(hào)覆蓋。無線校園網(wǎng)采用“瘦AP+無線控制器+POE供電+無線網(wǎng)管”的組網(wǎng)方案。其中，瘦 AP完成智能終端的無線接入，無線控制器完成接入策略、認(rèn)證方式、功率控制等。通過無 線控制器對(duì)無線AP進(jìn)行集中管理，達(dá)到統(tǒng)一運(yùn)維、管理的目的。無線AP無線AP計(jì)劃采用走廊放裝的方式進(jìn)行覆蓋。主要應(yīng)用于樓層中間走廊兩邊房間結(jié)構(gòu)室 內(nèi)區(qū)域，室內(nèi)走廊部分都可以采用吸頂/墻掛方式進(jìn)行安裝。無線控制器無線控制器作

8、為統(tǒng)一集中管理無線AP的設(shè)備，要求具有大容量、高性能、簡(jiǎn)單部署、 擴(kuò)展性強(qiáng)等優(yōu)點(diǎn)。POE供電設(shè)備我校無線網(wǎng)中AP分布較分散，而且AP布放位置根據(jù)實(shí)際覆 蓋效果而調(diào)整，因此建議采用802.3af的POE供電設(shè)備實(shí)現(xiàn)對(duì)AP的遠(yuǎn)程供電。無線網(wǎng)管軟件校園網(wǎng)中既存在有線網(wǎng)絡(luò)設(shè)備，又部署了無線網(wǎng)絡(luò)設(shè)備，有線和無線分別單獨(dú)配置和管 理，對(duì)于我校信息中心管理人員來說比較麻煩。需采用無線管理系統(tǒng)，可與有線網(wǎng)管理系統(tǒng) 緊密結(jié)合，實(shí)現(xiàn)對(duì)無線控制器、無線AP、移動(dòng)終端的管理。幫助管理員了解網(wǎng)絡(luò)部署情況 及無線設(shè)備狀態(tài)、無線鏈路狀態(tài)、無線射頻覆蓋范圍、強(qiáng)度、速率等。3、校園數(shù)據(jù)中心設(shè)計(jì)按照數(shù)字化校園建設(shè)理念，我校將建設(shè)

9、統(tǒng)一的校園數(shù)據(jù)中心平臺(tái)，實(shí)現(xiàn)全部業(yè)務(wù)系統(tǒng)的 應(yīng)用和數(shù)據(jù)存儲(chǔ)。目前有包括辦公自動(dòng)化、財(cái)務(wù)、選課、排課、查詢、FTP、電子檔案等眾 多業(yè)務(wù)系統(tǒng)，后續(xù)逐步通過服務(wù)器虛擬化，實(shí)現(xiàn)應(yīng)用業(yè)務(wù)的P2V遷移，對(duì)現(xiàn)有服務(wù)器進(jìn)行利 舊與整合，實(shí)現(xiàn)將網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)三者整合成一體的數(shù)據(jù)中心平臺(tái)。我校計(jì)劃采購6臺(tái)服務(wù)器，包括WEB、FTP、OA、財(cái)務(wù)、選課/排課/學(xué)生查詢、電子檔 案各一臺(tái)，計(jì)劃采購1套H3C CAS服務(wù)器虛擬化軟件，可將物理服務(wù)器虛擬化成多臺(tái)虛擬機(jī)， 實(shí)現(xiàn)對(duì)物理服務(wù)器和虛擬服務(wù)器的的統(tǒng)一管理。我校數(shù)據(jù)中心要求可靠性高、突發(fā)性強(qiáng)、并 發(fā)性強(qiáng)等特點(diǎn)，計(jì)劃部署1臺(tái)負(fù)載均衡插卡設(shè)備，利用核心交換機(jī)背板帶寬實(shí)

10、現(xiàn)高性能服務(wù) 器流量負(fù)載分擔(dān)，采用智能調(diào)度算法將各種應(yīng)用訪問請(qǐng)求高效的分發(fā)到數(shù)據(jù)中心各臺(tái)的服務(wù) 器上，解決服務(wù)器性能瓶頸，并提供高可靠性和可擴(kuò)展性的保障。除此之外，計(jì)劃在機(jī)柜內(nèi) 部配備數(shù)字式KVM設(shè)備，以便對(duì)服務(wù)器進(jìn)行配置管理，為了實(shí)現(xiàn)數(shù)據(jù)中心供電保障，建議采 購UPS不間斷供電，達(dá)到12小時(shí)供電時(shí)延。4、校園安全防護(hù)設(shè)計(jì)我校校園網(wǎng)建成之后，如何應(yīng)對(duì)校園網(wǎng)安全威脅，確保我校校園網(wǎng)的安全穩(wěn)定運(yùn)行，是 信息中心必須考慮的問題。一旦出現(xiàn)安全問題，往往會(huì)給校園網(wǎng)的造成致命打擊，而傳統(tǒng)校 園網(wǎng)采用的多個(gè)安全產(chǎn)品堆徹的方法，由于缺乏統(tǒng)一安全策略、安全設(shè)備無法實(shí)現(xiàn)信息共享， 不能相互配合，安全漏洞無法彌補(bǔ)。

11、目前，我校校園網(wǎng)在安全風(fēng)險(xiǎn)方面，主要包括如下幾個(gè)方面：校園網(wǎng)提供互聯(lián)網(wǎng)出口，面臨著來自外界黑客非法入侵的安全風(fēng)險(xiǎn)，在提供網(wǎng)絡(luò)通信便 捷的同時(shí)，面臨著來自內(nèi)、外網(wǎng)用戶的某些安全漏洞而實(shí)施的各類攻擊的安全風(fēng)險(xiǎn)。由于校園網(wǎng)覆蓋面大、結(jié)構(gòu)復(fù)雜、應(yīng)用系統(tǒng)多，會(huì)給信息中心管理上帶來較大的困難， 同時(shí)可能導(dǎo)致整個(gè)網(wǎng)絡(luò)出現(xiàn)安全漏洞隱患。計(jì)算機(jī)病毒的日益猖獗也會(huì)給校園網(wǎng)某些重要服務(wù)器（如辦公服務(wù)器、財(cái)務(wù)服務(wù)器、資 源服務(wù)器等）帶來可能導(dǎo)致重要數(shù)據(jù)丟失或系統(tǒng)癱瘓的風(fēng)險(xiǎn)。針對(duì)我校安全防護(hù)的問題，綜合考慮校園網(wǎng)主要威脅，我校提出以防火墻和入侵防御設(shè) 備為支撐的安全解決方案。計(jì)劃在核心層多級(jí)交換架構(gòu)核心交換機(jī)上部署1塊

12、嵌入式防火墻 插卡模塊和1塊IPS入侵防御插卡模塊，從整體上實(shí)現(xiàn)安全防御策略。首先，核心交換機(jī)部署防火墻插卡，用來實(shí)施安全分區(qū)和訪問控制。它監(jiān)控可信任網(wǎng)絡(luò) 和不可信任網(wǎng)絡(luò)之間的訪問通道，以防止一個(gè)區(qū)域中出現(xiàn)的危險(xiǎn)蔓延到另一個(gè)區(qū)域。核心層 交換機(jī)中部署防火墻插卡，基于訪問控制策略提供安全防護(hù)，可以保護(hù)數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)和 數(shù)據(jù)免遭來自外部的非法訪問或惡意攻擊。劃分安全區(qū)域之后，管理員將安全需求不相同的 接口劃分到不同的域，實(shí)現(xiàn)安全策略的分層管理，從而實(shí)現(xiàn)我校校園網(wǎng)教育教學(xué)辦公的業(yè)務(wù) 隔離。其次，核心層交換機(jī)部署入侵防御插卡模塊，入侵防御系統(tǒng)IPS具有入侵防御/檢測(cè)、 病毒過濾等功能，能夠高速、在線檢測(cè)并阻斷DDoS攻擊和非法P2P流量，通過深達(dá)7層的 分析與檢測(cè)，實(shí)時(shí)阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網(wǎng)頁篡改等攻擊和 惡意行為，并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)應(yīng)用和性能的全面保護(hù)。綜上兩點(diǎn)，核心層交換機(jī)多1塊防火墻插卡模塊和1塊入侵防御插卡模塊可以用來保護(hù)我校校園網(wǎng)數(shù)據(jù)中心服務(wù)器區(qū)免遭來自病毒/蠕蟲/木馬等的安全威脅，同時(shí)也可以用來保護(hù) 校園網(wǎng)各大樓之間的關(guān)鍵網(wǎng)段。防火墻和入侵防御能夠?qū)崿F(xiàn)校園網(wǎng)L2-L7層的威脅抵御，形 成立體的全面安全防護(hù)。5、校園網(wǎng)絡(luò)