智慧校園整體建設(shè)方案

清華大學(xué)CERNET2二期建設(shè)項(xiàng)目接入路由器采購項(xiàng)目目錄1 校園信息化建設(shè)概述 12 發(fā)展現(xiàn)狀與未來挑戰(zhàn) 22.1 發(fā)展現(xiàn)狀 22.1.1 校園網(wǎng)基礎(chǔ)設(shè)施建設(shè)初具規(guī)模 22.1.2 初步建成一批應(yīng)用服務(wù)支撐平臺 22.1.3 初步建成一批公共信息系統(tǒng) 22.1.4 初步建立校園教育資源平臺 32.2 未來挑戰(zhàn) 32.2.1 校園業(yè)務(wù)數(shù)據(jù)割裂 32.2.2 校園數(shù)據(jù)的價值尚未充分挖掘 32.2.3 基礎(chǔ)設(shè)施的價值尚未充分挖掘 42.2.4 基礎(chǔ)設(shè)施自身存在問題 53 智慧校園建設(shè)目標(biāo)與建設(shè)原則 103.1 總體目標(biāo) 103.2 建設(shè)原則 103.3 建設(shè)目標(biāo) 113.3.1 構(gòu)建先進(jìn)的技術(shù)設(shè)施平臺 113.3.2 建設(shè)可靠的安全防護(hù)體系 113.3.3 建設(shè)統(tǒng)一的綜合管理平臺 123.3.4 建設(shè)完善的應(yīng)用服務(wù)支撐平臺 123.3.5 建設(shè)豐富的管理應(yīng)用系統(tǒng) 123.3.6 建設(shè)創(chuàng)新的教學(xué)環(huán)境 123.3.7 建設(shè)有序的大數(shù)據(jù)應(yīng)用 124 智慧校園整體建設(shè)方案 134.1 智慧校園整體框架 134.1.1 門戶和APP層 134.1.2 校園信息集成層 144.1.3 校園數(shù)據(jù)平臺層 144.1.4 校園基礎(chǔ)設(shè)施層 154.2 校園基礎(chǔ)設(shè)施與平臺建設(shè) 164.2.1 構(gòu)建校園泛云數(shù)據(jù)中心 164.2.2 構(gòu)建校園智慧園區(qū) 194.3 校園信息安全體系構(gòu)建 544.3.1 校園網(wǎng)安全防護(hù)建設(shè) 544.3.2 健全安全標(biāo)準(zhǔn)規(guī)范體系 554.3.3 建設(shè)信息安全等級保護(hù) 554.3.4 網(wǎng)絡(luò)輿情監(jiān)控中心建設(shè) 564.3.5 建設(shè)網(wǎng)站安全防護(hù)平臺 574.3.6 實(shí)施數(shù)據(jù)中心的云安全 574.3.7 部署高性能安全防護(hù)設(shè)備 584.3.8 保障移動互聯(lián)的安全接入 584.3.9 統(tǒng)一安全運(yùn)維管理平臺 584.3.10 部署運(yùn)維審計、上網(wǎng)行為審計系統(tǒng) 594.4 校園大數(shù)據(jù)平臺構(gòu)建 604.4.1 總體架構(gòu) 604.4.2 技術(shù)路線 614.4.3 建設(shè)內(nèi)容 654.5 教學(xué)基礎(chǔ)環(huán)境建設(shè) 934.5.1 開展新型教學(xué)模式 934.5.2 教學(xué)桌面環(huán)境改造 944.5.3 建設(shè)大數(shù)據(jù)分析教學(xué)與科研平臺 944.6 隊(duì)伍能力建設(shè) 964.6.1 建設(shè)專業(yè)化技術(shù)支撐隊(duì)伍 964.6.2 提升教育信息化領(lǐng)導(dǎo)力 974.6.3 優(yōu)化信息化人才培養(yǎng)體系 975 保障措施 975.1 加強(qiáng)組織領(lǐng)導(dǎo) 975.2 做好技術(shù)服務(wù) 975.3 落實(shí)經(jīng)費(fèi)投入 98校園信息化建設(shè)概述《教育信息化十年發(fā)展規(guī)劃（2011-2020年）》對我國教育信息化的十年發(fā)展提出了兩個階段的構(gòu)想，2016年以前為第一階段，重點(diǎn)是信息化基礎(chǔ)設(shè)施及應(yīng)用建設(shè)。經(jīng)過前期發(fā)展，我國教育信息化已經(jīng)基本度過了第一階段，信息技術(shù)在我國各級各類教育中得到廣泛應(yīng)用。以“十九大”的召開為標(biāo)志，教育信息化進(jìn)入到第二階段，從以“教育信息化”為重點(diǎn)的1.0時代進(jìn)入到以“信息化教育”為重點(diǎn)的2.0時代，重點(diǎn)是業(yè)務(wù)融合、應(yīng)用創(chuàng)新?？傮w上，2.0時代的核心目標(biāo)就是以教育信息化全面推動教育現(xiàn)代化，全面提升教育品質(zhì)，構(gòu)建新時代教育的新生態(tài)。其關(guān)鍵在于業(yè)務(wù)融合、應(yīng)用創(chuàng)新，即用信息技術(shù)驅(qū)動教育綜合改革，引發(fā)教育深層變革，賦予教育信息化發(fā)展內(nèi)生動力，不斷增強(qiáng)學(xué)?？沙掷m(xù)發(fā)展能力，培養(yǎng)高水平創(chuàng)新型人才，形成全新的發(fā)展模式。一言以蔽之，以互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、智能化等新技術(shù)，驅(qū)動高校教學(xué)模式、教學(xué)方法、教學(xué)支撐環(huán)境、科研和決策模式、管理和學(xué)習(xí)方式的變革，提升學(xué)校的教學(xué)質(zhì)量，提升學(xué)校的知識生產(chǎn)能力，最終增強(qiáng)學(xué)校的競爭力，是高校信息化發(fā)展的主要趨勢。近年來，學(xué)校信息化建設(shè)不斷發(fā)展，校園各種應(yīng)用也在不斷開發(fā)和投入使用，取得了一定的成效。但是由于缺乏統(tǒng)籌和各自為政，隨著信息化發(fā)展的逐步深入，一些問題也不斷暴露出來。如“應(yīng)用山頭”突出，信息“孤島”現(xiàn)象嚴(yán)重，學(xué)校有效數(shù)據(jù)資產(chǎn)不能“共享”；各應(yīng)用系統(tǒng)、各部門缺乏數(shù)據(jù)標(biāo)準(zhǔn)，數(shù)據(jù)一致性差，數(shù)據(jù)的可用性比較差，因而數(shù)據(jù)資產(chǎn)利用率低下。如何提升數(shù)據(jù)質(zhì)量并有效地利用數(shù)據(jù)這一學(xué)校寶貴的戰(zhàn)略性資產(chǎn)，如何從海量數(shù)據(jù)中準(zhǔn)確地挖掘出有價值的信息，已經(jīng)成為各大高校共同面臨的新課題。同時，信息系統(tǒng)的多樣化又帶來信息服務(wù)的復(fù)雜性。用戶對“數(shù)據(jù)服務(wù)”便捷性的需求與學(xué)校信息系統(tǒng)分散建設(shè)，信息服務(wù)難于獲取和操作的矛盾也越來越突出，急需進(jìn)行系統(tǒng)整合和資源融合。發(fā)展現(xiàn)狀與未來挑戰(zhàn)發(fā)展現(xiàn)狀校園網(wǎng)基礎(chǔ)設(shè)施建設(shè)初具規(guī)模目前學(xué)校經(jīng)過多年的信息化建設(shè)積累，已經(jīng)建成了包括校園網(wǎng)交換機(jī)、數(shù)據(jù)中心機(jī)房、數(shù)據(jù)中心服務(wù)器、數(shù)據(jù)中心存儲設(shè)備等基礎(chǔ)設(shè)施，統(tǒng)一管理的公共服務(wù)器近100臺，承載著校園各類信息化系統(tǒng)的日常運(yùn)營。有線網(wǎng)絡(luò)覆蓋了學(xué)校90%以上教學(xué)、辦公、學(xué)生宿舍、家屬區(qū)等區(qū)域，并實(shí)現(xiàn)了校園熱點(diǎn)區(qū)域無線網(wǎng)覆蓋。校園網(wǎng)絡(luò)出口實(shí)現(xiàn)多鏈路出口（電信、聯(lián)通、教育、移動共2.8G出口帶寬）。部署網(wǎng)絡(luò)交換機(jī)300余臺，各類光纖約120公里，為廣大師生提供了教學(xué)、科研、管理等工作的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。初步建成一批應(yīng)用服務(wù)支撐平臺已經(jīng)建成一批公共基礎(chǔ)服務(wù)，包括郵件服務(wù)、網(wǎng)絡(luò)計費(fèi)服務(wù)、DNS服務(wù)、FTP服務(wù)、DHCP服務(wù)等，為學(xué)校師生的校園生活提供基礎(chǔ)的信息化服務(wù)。初步建成一批公共信息系統(tǒng)隨著校園網(wǎng)的普及和廣泛應(yīng)用，學(xué)校各項(xiàng)業(yè)務(wù)系統(tǒng)逐漸建立。綜合教務(wù)管理系統(tǒng)和多媒體網(wǎng)絡(luò)教學(xué)系統(tǒng)構(gòu)成了我校信息化的教學(xué)與管理體系，為教師的教學(xué)和學(xué)生的自主學(xué)習(xí)提供了良好的應(yīng)用環(huán)境。此外，學(xué)校已經(jīng)完成了科研管理、學(xué)生管理、招生就業(yè)管理、研究生教育管理、人事管理、檔案管理、圖書管理、國有資產(chǎn)管理（含設(shè)備、家俱）、財務(wù)管理、離退休管理系統(tǒng)等獨(dú)立信息系統(tǒng)的建設(shè)，初步實(shí)現(xiàn)了教學(xué)、科研、管理和服務(wù)方面的數(shù)字化管理。隨著學(xué)校的不斷發(fā)展，一卡通已從建設(shè)初期僅應(yīng)用于學(xué)生就餐及校內(nèi)消費(fèi)，逐步拓展到門禁、車載、洗浴、打開水、電控、圖書借閱、醫(yī)院看病、考試簽到、考勤、教務(wù)管理、考試報名、自助交費(fèi)等校內(nèi)身份識別、校內(nèi)支付、校內(nèi)業(yè)務(wù)管理等多個方面，涉及兩個校區(qū)、眾多職能部門和全體教職員工，已逐漸成為全校的數(shù)據(jù)采集和共享平臺。初步建立校園教育資源平臺“十二五”期間，已經(jīng)開始進(jìn)行課程資源數(shù)字化，積累學(xué)校高質(zhì)量課程資源，目前有若干精品課程，在提高教學(xué)質(zhì)量與管理水平的同時，建設(shè)了讓更多的人享受高等教育的資源，利用信息化為社會提供服務(wù)，讓更多的優(yōu)質(zhì)高等教育惠及更多的學(xué)生。未來挑戰(zhàn)校園業(yè)務(wù)數(shù)據(jù)割裂經(jīng)過信息化建設(shè)快速發(fā)展期，學(xué)校已經(jīng)建成了各類基于公共數(shù)據(jù)庫的信息化系統(tǒng)，教師、學(xué)生、科研工作者都在這些平臺上生成、獲取、儲存各類個人數(shù)據(jù)，這些數(shù)據(jù)也為個人的教學(xué)、科研、學(xué)習(xí)、生活提供了豐富的信息支撐。但是長期以來，校園的各類教學(xué)、管理、服務(wù)數(shù)據(jù)掌握在不同的部門、單位手中。信息中心、網(wǎng)絡(luò)中心所主管的領(lǐng)域基本還停留在基礎(chǔ)設(shè)施建設(shè)，即系統(tǒng)開發(fā)、運(yùn)維以及部分?jǐn)?shù)據(jù)的管理層面，缺乏對教學(xué)、科研等學(xué)校核心業(yè)務(wù)數(shù)據(jù)的管理權(quán)限。技術(shù)層面上，各個獨(dú)立建設(shè)的業(yè)務(wù)系統(tǒng)，分屬不同的業(yè)務(wù)部門，建設(shè)之初就形成了數(shù)據(jù)孤島，數(shù)據(jù)之間存在壁壘，影響了數(shù)據(jù)的流動和整合，同一份數(shù)據(jù)在多個業(yè)務(wù)系統(tǒng)之間重復(fù)存在，產(chǎn)生數(shù)據(jù)不一致的現(xiàn)象，導(dǎo)致數(shù)據(jù)只能在較低級的層面發(fā)揮價值，很難加以凝聚并在更高層面完成建模，無法深入挖掘和分析，發(fā)現(xiàn)校園數(shù)據(jù)背后所蘊(yùn)藏的價值。校園數(shù)據(jù)的價值尚未充分挖掘目前，學(xué)校已經(jīng)充分認(rèn)識到了結(jié)構(gòu)化數(shù)據(jù)的重要性，包括學(xué)業(yè)成績、體育成績、選課記錄、考勤信息、一卡通消費(fèi)記錄、圖書借閱記錄等數(shù)據(jù)，并且已經(jīng)加強(qiáng)了對結(jié)構(gòu)化數(shù)據(jù)的集聚、積累，但對非結(jié)構(gòu)化數(shù)據(jù)的重視程度還稍顯不足。一方面是由于對于“校園大數(shù)據(jù)”觀念理解不深，不能意識到校園內(nèi)除了目前已有的結(jié)構(gòu)化數(shù)據(jù)外，還有學(xué)習(xí)行為數(shù)據(jù)、上網(wǎng)行為數(shù)據(jù)、活動軌跡等非結(jié)構(gòu)化數(shù)據(jù)，而且只有將結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行統(tǒng)一分析、處理才能充分發(fā)揮數(shù)據(jù)效能，充分體現(xiàn)大數(shù)據(jù)的價值。另一方面是由于當(dāng)下還缺乏對非結(jié)構(gòu)化數(shù)據(jù)的有效采集、儲存和分析的工具，因此需要學(xué)校加深對“校園大數(shù)據(jù)”的理解，加大對非結(jié)構(gòu)化數(shù)據(jù)采集、儲存工具的建設(shè)力度。再一方面是由于當(dāng)下對于校園大數(shù)據(jù)的分析手段的缺失。目前還缺少比較成熟的對于校園大數(shù)據(jù)的數(shù)據(jù)建模、數(shù)據(jù)挖掘和展示工具，需要建設(shè)專門的數(shù)據(jù)分析隊(duì)伍，一方面能根據(jù)數(shù)據(jù)分析，給予師生個人針對性的建議，以提升學(xué)校的整體教學(xué)質(zhì)量；另一方面，對學(xué)校的整體管理狀況提供基于數(shù)據(jù)的評價和改革建議，全面提升校園大數(shù)據(jù)的作用?；A(chǔ)設(shè)施的價值尚未充分挖掘校園IT基礎(chǔ)設(shè)施是學(xué)校重要的基礎(chǔ)設(shè)施，是校園信息化的基礎(chǔ)和根本，IT基礎(chǔ)設(shè)施的建設(shè)不是一蹴而就的，是伴隨著校園信息化的進(jìn)程不斷完善的。從校園信息化建設(shè)之初，就開始了基礎(chǔ)設(shè)施的建設(shè)，并且在早期階段，基礎(chǔ)設(shè)施的建設(shè)程度是校園信息化的一個重要表現(xiàn)方式。隨著校園信息化的發(fā)展，基礎(chǔ)設(shè)施的作用也在逐漸的降低，逐漸的變成了一個基礎(chǔ)平臺，一個承載業(yè)務(wù)的通道。但是，在智慧校園的建設(shè)中，我們要進(jìn)一步挖掘IT基礎(chǔ)設(shè)施的價值，在實(shí)現(xiàn)基礎(chǔ)平臺和通道功能的基礎(chǔ)上，能夠直接為最上層的智慧應(yīng)用提供價值，實(shí)際上我們已經(jīng)看到了基礎(chǔ)設(shè)施能夠產(chǎn)生的一部分價值，例如定位信息、行為軌跡、上網(wǎng)行為數(shù)據(jù)等等，利用這些新的數(shù)據(jù)，可以建設(shè)一些新型的智慧應(yīng)用，為我們的教學(xué)、科研、服務(wù)和管理提供幫助。我們相信，未來基礎(chǔ)設(shè)施能夠提供更多的數(shù)據(jù)，這些數(shù)據(jù)可以直接服務(wù)于智慧應(yīng)用，產(chǎn)生新的價值。基礎(chǔ)設(shè)施自身存在問題IT資源分配效率低下當(dāng)前的校園應(yīng)用業(yè)務(wù)主要是采用面向應(yīng)用的方式部署，每個應(yīng)用進(jìn)行物理劃分，獨(dú)占硬件資源，這種部署方式目前主要存在以下問題：資源利用率低：應(yīng)用與資源綁定，每個應(yīng)用都需要按照其峰值業(yè)務(wù)量進(jìn)行資源的配置，這導(dǎo)致在大部分時間許多資源都處于閑置狀態(tài)，不僅造成服務(wù)器的資源利用率較低，而且對資源的共享、數(shù)據(jù)的共享造成了天然的障礙。業(yè)務(wù)部署緩慢；在學(xué)校將IT資源的采購和管理都集中規(guī)劃到網(wǎng)絡(luò)中心后，涉及到大量新業(yè)務(wù)的開展和上線。學(xué)校各個部門如果要部署新的業(yè)務(wù)，那么在提交變更請求與進(jìn)行運(yùn)營變更之間存在較大延遲，每一次的業(yè)務(wù)部署都要經(jīng)歷硬件選型、采購、上架安裝、操作系統(tǒng)和應(yīng)用程序安裝以及網(wǎng)絡(luò)配置等操作，使得業(yè)務(wù)的部署極為緩慢。運(yùn)維成本高：目前學(xué)校的很多應(yīng)用是按照傳統(tǒng)的“一機(jī)一應(yīng)用”的模式部署的，隨著學(xué)校新應(yīng)用系統(tǒng)的增加，服務(wù)器、網(wǎng)絡(luò)和存儲的設(shè)備數(shù)量也會出現(xiàn)迅速的膨脹，造成占地空間、電力供應(yīng)、散熱制冷和維護(hù)成本的急劇上升。當(dāng)校園網(wǎng)主機(jī)房內(nèi)空間、電力供應(yīng)、散熱制冷等支撐環(huán)境近乎極限后，受限于支撐環(huán)境，新業(yè)務(wù)無法上線，對網(wǎng)絡(luò)中心今后的發(fā)展有非常大的阻礙。與此同時，機(jī)房內(nèi)服務(wù)器的利用率普遍偏低，系統(tǒng)資源基本上處于10~20%的水平乃至更低，造成了極大的浪費(fèi)。浪費(fèi)嚴(yán)重、新業(yè)務(wù)無法上線是目前存在主要問題。管理策略分散。當(dāng)前的IT資源運(yùn)維管理缺乏統(tǒng)計的集中化IT構(gòu)建策略，無法對信息化校園網(wǎng)數(shù)據(jù)中心的基礎(chǔ)設(shè)施進(jìn)行監(jiān)控、管理、報告和遠(yuǎn)程訪問，IT管理策略分散。校園網(wǎng)數(shù)據(jù)中心作為學(xué)校教學(xué)和日常管理等關(guān)鍵業(yè)務(wù)正常運(yùn)行的平臺和進(jìn)一步發(fā)展的基石，隨著學(xué)校的不斷發(fā)展，其對承載的關(guān)鍵業(yè)務(wù)、核心應(yīng)用，對于信息數(shù)據(jù)的完整性、業(yè)務(wù)運(yùn)行的可靠性、網(wǎng)絡(luò)系統(tǒng)的可用性的要求越來越高，原有IT建設(shè)模式隨著教學(xué)科研發(fā)展，難以適應(yīng)未來發(fā)展需求，如將來教學(xué)、科研和管理會采用物聯(lián)網(wǎng)、大數(shù)據(jù)、互聯(lián)網(wǎng)化教學(xué)、新的校園APP等，對IT系統(tǒng)的計算能力，快速響應(yīng)能力，業(yè)務(wù)高可用能力提出更高要求，傳統(tǒng)面向業(yè)務(wù)的IT建設(shè)模式很難適應(yīng)需求，對數(shù)據(jù)中心的升級建設(shè)勢在必行。需要實(shí)現(xiàn)IT資源系統(tǒng)的按需運(yùn)營，多種服務(wù)的開通，可以實(shí)現(xiàn)對計算、存儲、網(wǎng)絡(luò)資源的統(tǒng)一調(diào)度和自動分配，同時提供用戶管理、組織管理、工作流管理、自助Portal界面等。從用戶資源的申請、審批到分配部署的智能化。管理系統(tǒng)不僅要實(shí)現(xiàn)對傳統(tǒng)的物理資源和新的虛擬資源進(jìn)行管理，還要從全局而非割裂地管理資源，實(shí)現(xiàn)統(tǒng)一管理與自動化運(yùn)營。校園云網(wǎng)絡(luò)和云安全無法靈活自定義網(wǎng)絡(luò)和安全資源無法按需分配傳統(tǒng)數(shù)據(jù)中心業(yè)務(wù)規(guī)劃分區(qū)分域，這種網(wǎng)絡(luò)架構(gòu)規(guī)劃清晰，維護(hù)簡單，但是不足之處就是業(yè)務(wù)擴(kuò)容受限，如果業(yè)務(wù)擴(kuò)容，比如將擴(kuò)容后的業(yè)務(wù)部署到其他機(jī)架上，需要對原有網(wǎng)絡(luò)進(jìn)行大量的配置更改，無法做到網(wǎng)絡(luò)資源的按需分配。傳統(tǒng)模式下的安全部署都是基于路徑基于拓?fù)涞陌踩呗圆渴穑踩珮I(yè)務(wù)必須根據(jù)業(yè)務(wù)的要求配置好VLAN、IP、引流策略，而且這些策略都是手工配置的，如果業(yè)務(wù)變更，那么安全策略的配置也必須跟著重新配置。另外傳統(tǒng)安全都是基于物理硬件設(shè)備部署的，導(dǎo)致在業(yè)務(wù)初期由于業(yè)務(wù)量小使設(shè)備利用率很低造成資源浪費(fèi)，而業(yè)務(wù)后期隨著業(yè)務(wù)量的增量可能又會出現(xiàn)性能不夠用的情況，安全設(shè)備的性能無法根據(jù)業(yè)務(wù)的要求而動態(tài)的擴(kuò)展性能或者釋放資源，無法實(shí)現(xiàn)安全資源的按需分配。另外，在虛擬化環(huán)境下，對于一個IT租戶來說，分配了虛擬機(jī)、存儲等資源，但網(wǎng)絡(luò)和安全資源卻不能隨需分配，如，任意兩臺虛擬機(jī)之間設(shè)置一臺虛擬防火墻，這對于傳統(tǒng)網(wǎng)絡(luò)是很難實(shí)現(xiàn)的。虛機(jī)遷移時網(wǎng)絡(luò)和安全屬性無法自動遷移在云計算中心的虛擬化環(huán)境中，虛擬機(jī)故障、動態(tài)資源調(diào)整、服務(wù)器主機(jī)故障或計劃內(nèi)停機(jī)等都會造成虛擬機(jī)遷移動作的發(fā)生。虛擬機(jī)的遷移，需要保證遷移虛擬機(jī)和其他虛擬機(jī)之間的業(yè)務(wù)不能中斷，虛擬機(jī)對應(yīng)的網(wǎng)絡(luò)策略和安全策略也必須同步遷移。傳統(tǒng)模式下業(yè)務(wù)和網(wǎng)絡(luò)存在緊耦合關(guān)系，服務(wù)器邊界與網(wǎng)絡(luò)邊界通常固定，虛擬機(jī)遷移需要交換機(jī)做相應(yīng)的配置調(diào)整，以及需要修改安全設(shè)備上的策略，配置修改的工作量比較大，容易導(dǎo)致業(yè)務(wù)長時間故障無法恢復(fù)。云計算服務(wù)與傳統(tǒng)業(yè)務(wù)無法互通云計算服務(wù)的部署都是采用分階段逐步實(shí)施的，即首先在不改變原有業(yè)務(wù)系統(tǒng)模式的前提下，建立私有云最小模型；然后將原有業(yè)務(wù)逐漸切換到云平臺上。然而在某些情況下，不能將業(yè)務(wù)的所有服務(wù)器資源都遷移到云平臺中，因此會出現(xiàn)業(yè)務(wù)的某些服務(wù)器資源運(yùn)行在傳統(tǒng)網(wǎng)絡(luò)中，某些服務(wù)器資源運(yùn)行在云平臺中，有些之前已經(jīng)有的業(yè)務(wù)例如財務(wù)、一卡通、教務(wù)系統(tǒng)等還運(yùn)行在傳統(tǒng)網(wǎng)絡(luò)區(qū)域中，這種情況下如果傳統(tǒng)業(yè)務(wù)資源不夠需要增加虛擬機(jī)，需要云平臺的虛擬機(jī)和傳統(tǒng)業(yè)務(wù)服務(wù)器能夠二層互通，而由于私有云區(qū)和傳統(tǒng)業(yè)務(wù)區(qū)一般屬于不同的三層網(wǎng)絡(luò)，因此在業(yè)務(wù)橫跨傳統(tǒng)業(yè)務(wù)區(qū)和私有云區(qū)的情況下，傳統(tǒng)的網(wǎng)絡(luò)很難滿足業(yè)務(wù)不中斷的要求。云計算服務(wù)無法滿足不同租戶的差異化安全需求數(shù)據(jù)中心通常存在兩類流量：東西流量和南北流量。所謂南北流量是指從服務(wù)器到校園網(wǎng)或Internet的縱向流量，而東西流量則為服務(wù)器之間的橫向流量。傳統(tǒng)網(wǎng)絡(luò)架構(gòu)以三層為主，主要是以控制南北數(shù)據(jù)流量為主，在校園云計算環(huán)境中，云中心資源會提供給多個二級部處、二級學(xué)院使用，每個部門或?qū)W院都會存在多個業(yè)務(wù)區(qū)域，供不同的教學(xué)、科研、辦公、管理使用，這些業(yè)務(wù)區(qū)域根據(jù)優(yōu)先級的不同需要定義一些不同的安全控制策略，同時多部門都有接入校園網(wǎng)和Internet上網(wǎng)需求。在這種情況下，各部門采用單獨(dú)安全設(shè)備成本太高，需要建立安全資源池，同一采用虛擬安全資源對應(yīng)各部門南北流量，實(shí)現(xiàn)云數(shù)據(jù)中心內(nèi)不同租戶的南北數(shù)據(jù)流量差異化安全需求。在云計算環(huán)境下，不同業(yè)務(wù)部署在不同的虛擬機(jī)上，同一租戶內(nèi)各虛擬機(jī)之間會存在流量交換，也就是東西向流量，這種情況下外部的安全防護(hù)設(shè)備無法對其流量進(jìn)行必要的安全檢查，將所有的東西向流量全部引流到外部的安全防火墻也是不現(xiàn)實(shí)的，因此，如何在云數(shù)據(jù)中心環(huán)境下，滿足不同租戶的南北向流量以及東西向流量的差異化安全部署需求，是我們的方案中需要解決的問題。無線互聯(lián)網(wǎng)接入質(zhì)量有待提高伴隨著學(xué)校無線應(yīng)用的普及，以及智能終端的增多，當(dāng)前的無線網(wǎng)絡(luò)逐漸不能滿足學(xué)校的教學(xué)、生活和管理需求，需要對學(xué)校的無線網(wǎng)進(jìn)行改造，為學(xué)生提供高質(zhì)量的無線網(wǎng)絡(luò)接入體驗(yàn)。移動互聯(lián)可以改變教學(xué)方式，從傳統(tǒng)的“廣播式”“固定”的教學(xué)方式轉(zhuǎn)向主動、富有創(chuàng)造性、動態(tài)的方式；可以改變教學(xué)對象和場所，可以脫離傳統(tǒng)教學(xué)模式，隨時隨地，更多依靠移動終端、多媒體方式進(jìn)行互通，使得獲取知識的途徑方式更加多樣；移動互聯(lián)可以提供使用者的終端、應(yīng)用、位置等，可以獲得軌跡、熱度等，還可以獲取校園的密度分布等，這些功能使得校園是可感知的，為實(shí)現(xiàn)更智慧化的管理提供了重要手段；同時，移動互聯(lián)也使得校園服務(wù)，從傳統(tǒng)的面向所有人的、共性的粗放式服務(wù)轉(zhuǎn)向考慮認(rèn)得角色、屬性等個性化的服務(wù)成為可能。移動互聯(lián)為校園帶來了很多的改變，那么移動互聯(lián)建設(shè)所面臨的最大挑戰(zhàn)是什么呢？在移動互聯(lián)的建設(shè)中，需要考慮不同的場景、不同的人數(shù)、不同的需求，要求移動互聯(lián)的建設(shè)中需要場景化、精細(xì)化、全覆蓋，這樣才能為實(shí)現(xiàn)一個無邊界的智慧校園打下基礎(chǔ)。復(fù)雜分散的IT運(yùn)維隨著校園信息化建設(shè)的持續(xù)推進(jìn)和發(fā)展，目前校園網(wǎng)擁有近千臺各類網(wǎng)絡(luò)設(shè)備，包括路由器、交換機(jī)、防火墻、IPS、無線AP、AC、網(wǎng)絡(luò)流控等。校園網(wǎng)絡(luò)規(guī)模越來越大，網(wǎng)絡(luò)環(huán)境日趨復(fù)雜，業(yè)務(wù)系統(tǒng)規(guī)模日趨龐大、架構(gòu)日趨復(fù)雜，校園運(yùn)營對信息系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)的依賴程度越來越大，對業(yè)務(wù)系統(tǒng)的穩(wěn)定性、可靠性要求也越來越高。目前的學(xué)校IT運(yùn)維工作面臨較大的挑戰(zhàn)，具體體現(xiàn)在：運(yùn)維人員通常各管一攤，分散的管理方式導(dǎo)致IT服務(wù)管理缺乏系統(tǒng)性，網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫和中間件等由不同的運(yùn)維人員負(fù)責(zé)，出現(xiàn)故障后責(zé)任不清，定位時間長，而且服務(wù)水平過于依賴個別技術(shù)較強(qiáng)的運(yùn)維人員。IT運(yùn)維管理缺乏自動化和有效的監(jiān)控手段，通常采用手工或半自動方式，運(yùn)維人員每天重復(fù)進(jìn)行大量低效率工作，對網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫、中間件分別監(jiān)測其告警，大多是被動的響應(yīng)設(shè)備和系統(tǒng)故障。IT運(yùn)維流程不夠完善，缺乏完善的對運(yùn)維事件的報告，跟蹤和處理機(jī)制，不便于及時報告事件并跟蹤處理情況，影響解決效率。缺乏對IT服務(wù)質(zhì)量的明確目標(biāo)和績效考核標(biāo)準(zhǔn)，運(yùn)維數(shù)據(jù)不完整并且分散，很難對歷史數(shù)據(jù)進(jìn)行系統(tǒng)的存檔，查看，統(tǒng)計和分析?；谝陨锨闆r，學(xué)校迫切需要建設(shè)一套統(tǒng)一高效靈敏的IT基礎(chǔ)平臺運(yùn)維管理系統(tǒng)，一方面提高各類信息系統(tǒng)日常運(yùn)維的可視化程度、量化運(yùn)行質(zhì)量，管理對象包括全網(wǎng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、重要應(yīng)用和上網(wǎng)用戶，提高IT系統(tǒng)地運(yùn)行效率，保障業(yè)務(wù)7*24不間斷運(yùn)行；另一方面結(jié)合目前的IT運(yùn)維服務(wù)現(xiàn)狀，逐步通過該平臺建設(shè)，實(shí)現(xiàn)對IT運(yùn)行整體環(huán)境的監(jiān)控，即對主機(jī)系統(tǒng)、桌面PC機(jī)、網(wǎng)絡(luò)系統(tǒng)、安全產(chǎn)品、數(shù)據(jù)庫、中間件、存儲設(shè)備、應(yīng)用系統(tǒng)、IT環(huán)境系統(tǒng)的集中監(jiān)控和管理。能夠及時采集各類告警數(shù)據(jù)、性能數(shù)據(jù)和配置數(shù)據(jù)，進(jìn)行集成統(tǒng)一的分析、查詢、報告和展示，幫助運(yùn)維管理人員方便有效的定位系統(tǒng)問題，直觀快速的診斷和分析問題，將運(yùn)維模式由被動的支持轉(zhuǎn)為主動式服務(wù)。通過平臺接收各類告警事件，按照預(yù)先定義的事件管理流程完成事件的處理。建立故障管理、問題管理、變更管理、配置管理等服務(wù)工作流程，通過管理人員、技術(shù)和流程的有機(jī)結(jié)合，實(shí)現(xiàn)IT運(yùn)維管理標(biāo)準(zhǔn)化和規(guī)范化，形成一個整體的IT運(yùn)維平臺，提高學(xué)校整體IT運(yùn)維效率和服務(wù)滿意度。智慧校園建設(shè)目標(biāo)與建設(shè)原則總體目標(biāo)建設(shè)與國家教育現(xiàn)代化發(fā)展目標(biāo)相適應(yīng)的教育信息化體系；基本實(shí)現(xiàn)教育信息化對學(xué)生全面發(fā)展的促進(jìn)作用、對深化教育領(lǐng)域綜合改革的支撐作用和對教育創(chuàng)新發(fā)展、均衡發(fā)展、優(yōu)質(zhì)發(fā)展的提升作用；基本形成具有國際先進(jìn)水平、信息技術(shù)與教育融合創(chuàng)新發(fā)展的中國特色教育信息化發(fā)展路線。最終通過信息技術(shù)的高度融合，信息化應(yīng)用的深度整合、信息終端的廣泛感知，推動智慧化的教學(xué)、智慧化的科研、智慧化的管理、智慧化的生活以及智慧化的服務(wù)的建設(shè)，逐步構(gòu)建成熟和完善的智慧校園。構(gòu)建的智慧校園有如下特性：1、 可以提供泛在的學(xué)習(xí)方式，打破物理空間限制，線上線下的資源共享。2、 可以滿足面向業(yè)務(wù)的智能化IT資源需求。IT基礎(chǔ)設(shè)施如計算、存儲、網(wǎng)絡(luò)都可以實(shí)現(xiàn)按需自動分配，以及資源的智能化彈性擴(kuò)展，提高資源的利用率。3、 可以提供一些面向業(yè)務(wù)的新信息。物聯(lián)網(wǎng)、無線設(shè)備等一些新的IT基礎(chǔ)設(shè)施，可以提供一些新的信息，用以來實(shí)現(xiàn)智慧校園的一些新型應(yīng)用。4、 探索創(chuàng)新教育模式。技術(shù)與教育深度融合，以技術(shù)來推動教育變革，推動教學(xué)、學(xué)習(xí)、管理、評價以及學(xué)校的組織形態(tài)發(fā)生變革，形成個性化教學(xué)的創(chuàng)新教育模式。5、 通過對校園日?；顒又械男袨榈葟V義教育大數(shù)據(jù)的分析和挖掘，構(gòu)建不同的分析模型，為學(xué)校的不同主題提供科學(xué)決策支持。建設(shè)原則“十三五”期間，要從加快學(xué)?！敖ㄔO(shè)高水平研究型大學(xué)的戰(zhàn)略高度”出發(fā)，適應(yīng)當(dāng)代師生對智慧校園的強(qiáng)烈需求，堅持以下原則，實(shí)現(xiàn)我校信息化的跨越式發(fā)展：堅持服務(wù)全局。要通過服務(wù)全局構(gòu)建教育信息化新的發(fā)展格局。以信息技術(shù)為紐帶進(jìn)一步加強(qiáng)教學(xué)和管理，教師、學(xué)生和教育系統(tǒng)之間的聯(lián)結(jié)和互動；注重教師信息技術(shù)應(yīng)用能力提升與學(xué)科教學(xué)培訓(xùn)的緊密結(jié)合，促進(jìn)師生信息素養(yǎng)全面提升，不斷優(yōu)化教學(xué)、管理的流程和效能，使教學(xué)更加個性化、教育更加均衡化、管理更加精細(xì)化、決策更加科學(xué)化。堅持融合創(chuàng)新。要通過融合創(chuàng)新提升教育信息化的效能。要通過深化信息技術(shù)與教育教學(xué)、管理的融合，利用信息技術(shù)創(chuàng)新教學(xué)和管理模式，以應(yīng)用促融合、以融合促創(chuàng)新、以創(chuàng)新促發(fā)展，有效促進(jìn)教育服務(wù)供給方式、教學(xué)和管理模式的變革，形成高校教育信息化發(fā)展路徑。堅持深化應(yīng)用。要通過深化應(yīng)用釋放信息技術(shù)對教育教學(xué)改革和發(fā)展的作用。推進(jìn)信息技術(shù)在教學(xué)和管理中的深度應(yīng)用，將應(yīng)用作為教育信息化建設(shè)、科研、培訓(xùn)、評價等各項(xiàng)工作的核心驅(qū)動力。以建設(shè)營造應(yīng)用環(huán)境，以教研、科研拓展應(yīng)用渠道，以培訓(xùn)促進(jìn)應(yīng)用效能，以評價提升應(yīng)用水平，依托教育信息化加快構(gòu)建以學(xué)習(xí)者為中心的教學(xué)和學(xué)習(xí)方式。建設(shè)目標(biāo)構(gòu)建先進(jìn)的技術(shù)設(shè)施平臺以“統(tǒng)規(guī)、統(tǒng)建、統(tǒng)維”思想為指導(dǎo)，以豐富的云基礎(chǔ)設(shè)施，云存儲，云安全和各類云服務(wù)構(gòu)件共同構(gòu)建校園云服務(wù)平臺，服務(wù)于：1.為校園提供計算環(huán)境，降低校園的IT硬件投資2.為內(nèi)部應(yīng)用提供基于云計算平臺的辦公應(yīng)用、教學(xué)科研服務(wù)。3.為校園提供通用校園管理軟件，為校園建立低成本的管理系統(tǒng)4.為學(xué)校教學(xué)提供基于云計算平臺的開發(fā)測試環(huán)境5.為學(xué)?？蒲刑峁㊣aaS/PaaS/SaaS平臺，為校園向云計算轉(zhuǎn)型服務(wù)6.優(yōu)化投資環(huán)境，節(jié)省校園IT軟硬件投入和開發(fā)環(huán)境的投入，吸引校園加快校園自身信息化發(fā)展。同時，對基礎(chǔ)網(wǎng)絡(luò)環(huán)境進(jìn)行升級改造，對無線網(wǎng)絡(luò)進(jìn)行擴(kuò)容，對網(wǎng)絡(luò)架構(gòu)進(jìn)行優(yōu)化，基本完成物聯(lián)網(wǎng)的建設(shè)。建設(shè)可靠的安全防護(hù)體系構(gòu)建安全標(biāo)準(zhǔn)規(guī)范體系，建設(shè)網(wǎng)絡(luò)輿情監(jiān)控中心，全面實(shí)施信息系統(tǒng)安全等級保護(hù)制度，強(qiáng)化網(wǎng)絡(luò)安全監(jiān)測預(yù)警和技術(shù)防護(hù)，建設(shè)校園網(wǎng)安全防護(hù)體系，確?；A(chǔ)設(shè)施安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全和資源安全等，建設(shè)數(shù)據(jù)容災(zāi)備份，確保學(xué)校重要數(shù)據(jù)和應(yīng)用系統(tǒng)具有抵抗災(zāi)難的能力。建設(shè)統(tǒng)一的綜合管理平臺建設(shè)網(wǎng)絡(luò)、業(yè)務(wù)、安全運(yùn)維多維度的管理平臺，降低管理運(yùn)維的復(fù)雜度，實(shí)現(xiàn)高效、自動化的管理。建設(shè)完善的應(yīng)用服務(wù)支撐平臺建設(shè)公共數(shù)據(jù)平臺，整合學(xué)校的各業(yè)務(wù)系統(tǒng)，消除業(yè)務(wù)系統(tǒng)的“信息孤島”；建設(shè)統(tǒng)一身份認(rèn)證平臺，實(shí)現(xiàn)用戶的單點(diǎn)登錄，促進(jìn)信息化管理工作的科學(xué)化。建設(shè)統(tǒng)一信息門戶平臺，使師生的工作、學(xué)習(xí)、生活更加高效便捷。建設(shè)移動IT平臺，保障移動互聯(lián)的安全接入。建設(shè)豐富的管理應(yīng)用系統(tǒng)進(jìn)一步開展綜合管理應(yīng)用的建設(shè)；升級改造一卡通系統(tǒng)；利用云計算技術(shù)改進(jìn)原有高并發(fā)連接數(shù)情況下使用體驗(yàn)差的業(yè)務(wù)系統(tǒng)。推廣移動辦公、社交平臺等新型應(yīng)用，開展智慧的課堂、教育智慧的學(xué)習(xí)社區(qū)等先進(jìn)應(yīng)用，推動大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新一代信息技術(shù)與學(xué)校各項(xiàng)事業(yè)的融合發(fā)展，探索信息化校園的新形態(tài)、新模式。建設(shè)創(chuàng)新的教學(xué)環(huán)境學(xué)習(xí)國內(nèi)外先進(jìn)高校的先進(jìn)經(jīng)驗(yàn)，建設(shè)MOOC、翻轉(zhuǎn)課堂等信息化互動教學(xué)新模式，提高學(xué)生的自學(xué)能力。加強(qiáng)優(yōu)質(zhì)教學(xué)資源和特色資源的建設(shè)。利用虛擬化桌面建設(shè)新型實(shí)驗(yàn)室環(huán)境和教師教學(xué)辦公環(huán)境等。開設(shè)大數(shù)據(jù)、SDN等新技術(shù)的課程，建設(shè)大數(shù)據(jù)教學(xué)平臺，培養(yǎng)理論與實(shí)踐并重的專業(yè)人才。利用新的基礎(chǔ)設(shè)施提供的數(shù)據(jù)，建設(shè)一些新型的智慧應(yīng)用。建設(shè)有序的大數(shù)據(jù)應(yīng)用加大對數(shù)據(jù)管理的建設(shè)投入，對校園信息化的數(shù)據(jù)利用進(jìn)行全面構(gòu)思，制定好大數(shù)據(jù)平臺建設(shè)的計劃，分階段分層次有序建設(shè)數(shù)據(jù)的服務(wù)體系。智慧校園整體建設(shè)方案智慧校園整體框架從技術(shù)的角度來看，智慧校園的整體方案架構(gòu)是一個模塊化的分層架構(gòu)，其系統(tǒng)架構(gòu)見下圖：門戶和APP層門戶是師生訪問校園應(yīng)用，享受智慧校園服務(wù)的入口。用戶可通過PC、平板電腦、智能手機(jī)等多種終端，有線無線等多種網(wǎng)絡(luò)接入服務(wù)，并實(shí)現(xiàn)統(tǒng)一認(rèn)證和單點(diǎn)登錄，享受融合的業(yè)務(wù)體驗(yàn)。高校以網(wǎng)絡(luò)為基礎(chǔ)的OA、教務(wù)管理、財務(wù)管理、科研管理、設(shè)備管理等系統(tǒng)為師生提供各類信息服務(wù)。通過對校園網(wǎng)站群與各種系統(tǒng)、資源的有效集成整合，以門戶的形式為社會關(guān)注、學(xué)校教師、學(xué)生、供應(yīng)商和合作伙伴提供其所需的全部信息與服務(wù)，來提高校園核心競爭力，為在校學(xué)生的學(xué)習(xí)、生活和娛樂提供便捷的信息化服務(wù)。移動門戶、客戶端APP作為傳統(tǒng)校園門戶PC端在手機(jī)端的延伸和重要補(bǔ)充，在原有門戶功能的基礎(chǔ)上，把與學(xué)生生活、學(xué)習(xí)和娛樂相關(guān)的服務(wù)添加，真正實(shí)現(xiàn)校園門戶服務(wù)對高校學(xué)生的全面覆蓋。除了傳統(tǒng)校園門戶和業(yè)務(wù)系統(tǒng)，以及移動校園門戶和各類APP外，在智慧校園的建設(shè)中，新的智慧應(yīng)用的建設(shè)至關(guān)重要。一方面，新型的基礎(chǔ)設(shè)施可以產(chǎn)生的一些新的信息，例如可以隨時隨地感知人、設(shè)備和資源的信息，如身份、位置終端、軌跡等，能夠識別個人的個體特征（行為特征、學(xué)習(xí)風(fēng)格等）和學(xué)習(xí)情景（學(xué)習(xí)時間、學(xué)習(xí)空間、學(xué)習(xí)伙伴、學(xué)習(xí)活動等），利用這些信息可以有效支持一些新興的智慧應(yīng)用，來實(shí)現(xiàn)教學(xué)過程分析和評價，智能的教育教學(xué)環(huán)境（課堂自動點(diǎn)到等），便利舒適的生活環(huán)境。另一方面，利用大數(shù)據(jù)等新興的技術(shù)手段，對校園日?；顒拥男袨閿?shù)據(jù)，以及學(xué)生學(xué)習(xí)行為數(shù)據(jù)，教師的教學(xué)行為數(shù)據(jù)進(jìn)行整合，通過大數(shù)據(jù)的數(shù)據(jù)分析、數(shù)據(jù)挖掘等技術(shù)，建設(shè)一批應(yīng)用系統(tǒng)，得出隱藏在其背后的數(shù)據(jù)信息。例如可以收集學(xué)生在線上學(xué)習(xí)平臺中知識點(diǎn)學(xué)習(xí)的詳細(xì)數(shù)據(jù)，構(gòu)建知識模型，為學(xué)生提供個性化的學(xué)習(xí)反饋和建議；收集學(xué)生行為數(shù)據(jù)，構(gòu)建模型，預(yù)測學(xué)習(xí)失敗的可能性；通過分析教學(xué)系統(tǒng)中組件的使用數(shù)據(jù)，學(xué)習(xí)者的表現(xiàn)數(shù)據(jù)，優(yōu)化系統(tǒng)的組成模塊和線上教學(xué)策略；通過對圖書館的借閱記錄、瀏覽終端的訪問記錄、以及師生上網(wǎng)的查詢和訪問記錄進(jìn)行分析，為圖書館提供下一年的購買決策建議；通過監(jiān)測學(xué)生學(xué)習(xí)環(huán)境和狀態(tài)，全面掌握學(xué)生學(xué)習(xí)的全過程，發(fā)現(xiàn)學(xué)生的學(xué)習(xí)常態(tài)，通過數(shù)據(jù)流的變動分析，總結(jié)教育規(guī)律、調(diào)整教學(xué)內(nèi)容和教學(xué)模式，客觀全面地評價學(xué)生學(xué)習(xí)成果和自身的教學(xué)成果；通過學(xué)生學(xué)習(xí)和生活各方面的數(shù)據(jù)，如學(xué)習(xí)成績、借閱圖書的種類，一卡通消費(fèi)額度等信息，定位數(shù)據(jù)和上網(wǎng)時長，給學(xué)生一個準(zhǔn)確的畫像，為學(xué)生的成長提供個性化的建議等。這些新型的應(yīng)用，使得教學(xué)更加個性化，校園管理更加精細(xì)化，學(xué)校面向不同主題的決策更為客觀、科學(xué)、合理和有效。校園信息集成層把校園內(nèi)的各種數(shù)據(jù)：結(jié)構(gòu)化數(shù)據(jù)（學(xué)業(yè)成績、體育成績、消費(fèi)記錄等）和非結(jié)構(gòu)化數(shù)據(jù)（學(xué)習(xí)行為數(shù)據(jù)、上網(wǎng)行為數(shù)據(jù)等）進(jìn)行匯聚、加工，通過大數(shù)據(jù)的分析和挖掘技術(shù)，通過統(tǒng)一門戶按照需要進(jìn)行展示，或者為一些新型的智慧應(yīng)用提供服務(wù)，提供更高質(zhì)量的教學(xué)和科研，更好的服務(wù)，更科學(xué)的管理。信息集成層需要完成對校園內(nèi)各類數(shù)據(jù)的采集、轉(zhuǎn)換和存儲，采用結(jié)構(gòu)化數(shù)據(jù)分析平臺和非結(jié)構(gòu)化數(shù)據(jù)分析平臺的混合架構(gòu)，面向不同應(yīng)用集成多種計算框架，實(shí)現(xiàn)教育領(lǐng)域的數(shù)據(jù)建模和挖掘工具，以及多維數(shù)據(jù)庫的可視化BI展示等。校園數(shù)據(jù)平臺層數(shù)據(jù)平臺層包含兩部分內(nèi)容，一部分是校園的各種數(shù)據(jù)，包括各類業(yè)務(wù)系統(tǒng)如教務(wù)系統(tǒng)、財務(wù)系統(tǒng)、資產(chǎn)系統(tǒng)、科研系統(tǒng)等的數(shù)據(jù)，以及新IT基礎(chǔ)設(shè)施直接面向業(yè)務(wù)提供的數(shù)據(jù)信息，包括位置、身份、上網(wǎng)信息等。另一部分是信息協(xié)同平臺，在數(shù)字校園建設(shè)過程中的各類信息系統(tǒng)都是各機(jī)構(gòu)各自為戰(zhàn)建設(shè)的，沒有考慮到未來的需求，因此形成了一個個的“數(shù)據(jù)孤島”。信息協(xié)同平臺主要是為了解決這個問題，把位于不同異構(gòu)信息源的數(shù)據(jù)合并起來，屏蔽異構(gòu)差異，將數(shù)據(jù)進(jìn)行統(tǒng)一。信息協(xié)同平臺是非常關(guān)鍵的，因?yàn)檫@是信息集成的基礎(chǔ)，只有把異構(gòu)數(shù)據(jù)同源化，集成分析后的價值才是有意義的。信息協(xié)同平臺北向向信息集成層提供準(zhǔn)確統(tǒng)一格式的數(shù)據(jù)，南向與各業(yè)務(wù)系統(tǒng)和IAAS層連接。校園基礎(chǔ)設(shè)施層智慧校園的建設(shè)中，以“統(tǒng)規(guī)、統(tǒng)建、統(tǒng)維”思想為指導(dǎo)，以豐富的云基礎(chǔ)設(shè)施，云存儲，云網(wǎng)絡(luò)，云安全和各類云服務(wù)構(gòu)件共同構(gòu)建校園云服務(wù)平臺：隨需而得的IT資源分配：對IT基礎(chǔ)設(shè)施如計算、存儲等實(shí)現(xiàn)按需自動分配，以及資源的智能化彈性擴(kuò)展，提高資源的利用率；隨需而動的網(wǎng)絡(luò)資源：可以實(shí)現(xiàn)網(wǎng)絡(luò)資源的按需分配，虛機(jī)遷移時網(wǎng)絡(luò)策略的自動遷移等；隨需而安的安全：構(gòu)建安全標(biāo)準(zhǔn)規(guī)范體系；實(shí)現(xiàn)安全資源的按需分配，虛機(jī)遷移時安全策略的自動遷移，以及不同租戶的差異化安全需求；建設(shè)網(wǎng)絡(luò)輿情監(jiān)控中心；全面實(shí)施信息系統(tǒng)安全等級保護(hù)制度；強(qiáng)化網(wǎng)絡(luò)安全監(jiān)測預(yù)警和技術(shù)防護(hù)，建設(shè)校園網(wǎng)安全防護(hù)體系，確?；A(chǔ)設(shè)施安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全和資源安全等；建設(shè)數(shù)據(jù)容災(zāi)備份，確保學(xué)校重要數(shù)據(jù)和應(yīng)用系統(tǒng)具有抵抗災(zāi)難的能力；隨需而聯(lián)的無線校園：實(shí)現(xiàn)場景化、精細(xì)化、全覆蓋的無線互聯(lián)網(wǎng)絡(luò)建設(shè)，提供泛在的連接方式，為各種新型的感知終端接入到無線校園提供通道；統(tǒng)一高效靈敏的IT基礎(chǔ)平臺運(yùn)維管理系統(tǒng)：使用通用語言來表述運(yùn)維管理，從業(yè)務(wù)的角度去描述業(yè)務(wù)的運(yùn)行狀況和風(fēng)險狀況，而不是陷于設(shè)備管理的海洋中。建設(shè)網(wǎng)絡(luò)、業(yè)務(wù)、安全運(yùn)維多維度的管理平臺，降低管理運(yùn)維的復(fù)雜度，實(shí)現(xiàn)高效、自動化的管理。校園基礎(chǔ)設(shè)施與平臺建設(shè)構(gòu)建校園泛云數(shù)據(jù)中心新型智慧校園要求校園IT全面服務(wù)化，校園信息化建設(shè)需要面向智慧校園提供按需分配的SaaS、PaaS、IaaS服務(wù)，并且能夠?yàn)榭蒲刑峁┏浞值母咝阅苡嬎惴?wù)，為各種校園智慧應(yīng)用和管理提供全方位大數(shù)據(jù)服務(wù)。也就是校園IT服務(wù)云化，校園終端移動化、物聯(lián)化、智能化?，F(xiàn)在大部分高校采用了虛擬化技術(shù)，部分高校采用了云計算技術(shù)，通過將服務(wù)器技術(shù)，將不同校園應(yīng)用承載在虛擬化平臺，并且一定程度上實(shí)現(xiàn)了IT資源安需分配。通過虛擬化和云平臺的應(yīng)用，提升了設(shè)備資源利用率，提升了新應(yīng)用上線效率，促進(jìn)了校園信息化發(fā)展，但隨著校園業(yè)務(wù)發(fā)展和新型智慧校園建設(shè)需求，傳統(tǒng)虛擬化、云計算技術(shù)逐漸暴露出如下方面不足： 傳統(tǒng)虛擬化平臺或云平臺通常僅能面向?qū)W校院系、二級部處、師生提供虛擬機(jī)服務(wù)，無法提供校園信息化多維度數(shù)據(jù)信息，也不能提供數(shù)據(jù)庫服務(wù)以及數(shù)據(jù)庫運(yùn)行的物理機(jī)，也不能PAAS開發(fā)平臺和提供智慧應(yīng)用，如，事件預(yù)警，行為分析等應(yīng)用； 不同部門應(yīng)用系統(tǒng)動態(tài)差異化安全實(shí)現(xiàn)困難，如教務(wù)系統(tǒng)、部分二級網(wǎng)站、財務(wù)系統(tǒng)，有些應(yīng)用系統(tǒng)明確要求二級甚至三級等保，這在虛擬化環(huán)境下通常很難實(shí)現(xiàn)； 應(yīng)用系統(tǒng)承載在虛擬化或云平臺上，但關(guān)鍵業(yè)務(wù)和非關(guān)鍵業(yè)務(wù)一般不好區(qū)分，關(guān)鍵業(yè)務(wù)，如招生考試、一卡通、教務(wù)系統(tǒng)等高可用性無法保證，局部硬件故障會導(dǎo)致業(yè)務(wù)中斷，需要人為干預(yù)，且數(shù)據(jù)難以恢復(fù)； 各種業(yè)務(wù)系統(tǒng)使用維護(hù)依然復(fù)雜，只是由原來物理機(jī)上運(yùn)行遷移到虛擬機(jī)。之所以會出現(xiàn)以上問題，主要原因是： 校園師生使用IT系統(tǒng)習(xí)慣和流程不同于其他行業(yè)，如果只用通用的面向各行各業(yè)通用解決方案，很難適應(yīng)校園師生使用習(xí)慣，也不適應(yīng)IT部門管理模式和流程，也就是場景化不足。 傳統(tǒng)虛擬化和云平臺具有計算資源池、存儲資源池、網(wǎng)絡(luò)和安全資源持，云平臺負(fù)責(zé)資源管理和分配，但云和資源池之間通常比較割裂，也就是云和計算、存儲、網(wǎng)絡(luò)/安全資源池之間融合聯(lián)動不足。如，云平臺通常分配虛擬機(jī)不成問題，但伴隨虛擬機(jī)的安全屬性通常無能為力，因?yàn)樯婕暗讲煌瑥S家對接開發(fā)，這就造成了安全資源不能按需分配；存儲資源對于虛擬化、云平臺也不能聯(lián)動，存儲資源池主備存儲設(shè)備切換后，虛擬化平臺和云平臺通常無法智能感知，這就造成了關(guān)鍵業(yè)務(wù)中斷，而虛擬化、云平臺恢復(fù)需要手動干預(yù)。 云內(nèi)網(wǎng)絡(luò)/安全、存儲、計算資源池之間智能聯(lián)動不足，有時網(wǎng)絡(luò)具備了雙活條件而存儲不具備雙活條件，或反之，存儲具備了雙活條件而網(wǎng)絡(luò)不具備雙活條件，這就造成雙校區(qū)不同機(jī)房之間關(guān)鍵業(yè)務(wù)雖然服務(wù)器、存儲、網(wǎng)絡(luò)都是冗余的，但在局部出現(xiàn)故障時，仍然會導(dǎo)致業(yè)務(wù)中斷，需要人為干預(yù)。新華三基于全面IT和CT技術(shù)實(shí)力，提出全融合校園云中心整體解決方案：全融合教育云中心解決方案的整體資源管理平臺是H3C教育版云操作系統(tǒng),所有計算、存儲、網(wǎng)絡(luò)、安全、大數(shù)據(jù)、物理機(jī)、應(yīng)用模板、開發(fā)平臺等都在云操作系統(tǒng)納管下實(shí)現(xiàn)融合、聯(lián)動。H3C教育版云平臺通過標(biāo)準(zhǔn)OpenStack接口融合所有資源，實(shí)現(xiàn)全面ITaaS；并且能夠?qū)崿F(xiàn)云內(nèi)虛擬化管理平臺、網(wǎng)絡(luò)安全管理平臺、存儲管理平臺橫向聯(lián)動。基于標(biāo)準(zhǔn)OpenStack接口對接各種云資源示意圖如，通過標(biāo)準(zhǔn)OpenStack接口，H3CloudOS云操作系統(tǒng)通過Nova接口對接主流虛擬機(jī)平臺，通過Neutron對接網(wǎng)絡(luò)/安全資源，通過Cindy/Swift對接存儲資源，通過Sahara對接大數(shù)據(jù)資源。基于以上標(biāo)準(zhǔn)接口，并進(jìn)行充分優(yōu)化，H3CloudOS能夠?qū)崿F(xiàn)：支持SDN、Overlay、NFV、Service-Chain，性能、穩(wěn)定性、智能性極大提高兼容CAS、VMware、KVM、PowerVM等虛擬化平臺，還能實(shí)現(xiàn)裸金屬服務(wù)器納管提供LB、FW、VPN、IPS等網(wǎng)絡(luò)安全，以及WAF、數(shù)據(jù)庫審計等應(yīng)用安全服務(wù)修復(fù)大量原生OpenStack自身BUG，提高穩(wěn)定性和性能微服務(wù)架構(gòu)，分布式部署，集群高可用，橫向彈性擴(kuò)展優(yōu)化OpenStack部署方式，一鍵安裝，部署時間<2小時全面IT資源服務(wù)實(shí)時按需分配，隨需而得。全融合云中心通過云管理平臺和計算、存儲、網(wǎng)絡(luò)、安全資源融合聯(lián)動，較以往校園云中心，具有如下特點(diǎn)：云內(nèi)承載業(yè)務(wù)隨需而安；校園業(yè)務(wù)突發(fā)流量資源彈性供給，保證服務(wù)質(zhì)量；云內(nèi)承載的業(yè)務(wù)在主備存儲、服務(wù)器、網(wǎng)絡(luò)切換情況下，甚至在跨校區(qū)切換情況下服務(wù)不中斷。基于以上全融合技術(shù)內(nèi)涵，整體方案架構(gòu)如下：全融合校園云中心整體架構(gòu)：在計算資源池、網(wǎng)絡(luò)資源池、安全資源池、存儲資源池基礎(chǔ)上，通過虛擬化層實(shí)現(xiàn)可以分配和回收的IT資源，然后云平臺對資源進(jìn)行按需分配和管理、監(jiān)控。全融合云中心解決方案包括：教育版云平臺、云網(wǎng)安融合、云和大數(shù)據(jù)融合、云和存儲融合。構(gòu)建校園智慧園區(qū)在智能終端普及和無線技術(shù)飛速發(fā)展的大背景下，許多高校的網(wǎng)絡(luò)連接方式實(shí)現(xiàn)了移動互聯(lián)轉(zhuǎn)型，滿足了師生移動化網(wǎng)絡(luò)高速訪問需求，同時也涌現(xiàn)出多種服務(wù)于高校師生的個性化移動應(yīng)用。近年，伴隨物聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù)的探索與實(shí)踐，智慧校園邁進(jìn)2.0時代，信息技術(shù)的利用繼續(xù)深入，如何借助泛在連接技術(shù)為校園業(yè)務(wù)、管理提供更多的創(chuàng)新服務(wù)，是下一階段許多高校信息化建設(shè)的關(guān)注重點(diǎn)。 全場景H3C能夠提供教室、辦公室、宿舍、報告廳、圖書館等高密場景及室外體育場全場景無線部署方案及實(shí)踐經(jīng)驗(yàn)，產(chǎn)品全線支持802.11acwave2協(xié)議標(biāo)準(zhǔn)，為校園用戶及終端提供高速可靠的接入體驗(yàn)。 WiFi&IoT融合接入H3C可在傳統(tǒng)WIFI環(huán)境下可擴(kuò)展豐富的物聯(lián)網(wǎng)接入能力，支持RFID、ZigBee、Bluetooth4.0等標(biāo)準(zhǔn)接口模塊的任意組合，AP作為物聯(lián)網(wǎng)融合網(wǎng)關(guān)，使校園網(wǎng)具備可感知能力，更好支撐校園運(yùn)營管理及決策。 綠洲平臺H3C綠洲平臺為高校物聯(lián)場景定制了專屬業(yè)務(wù)模塊，不僅可以對全網(wǎng)AP進(jìn)行統(tǒng)一管理，還提供了第三方接口，可與校園一卡通、門禁、智能水電表等多類校園管理系統(tǒng)實(shí)現(xiàn)對接，作為物聯(lián)網(wǎng)統(tǒng)一數(shù)據(jù)平臺，消除業(yè)務(wù)孤島，提高資產(chǎn)、宿舍、能效管理水平，提升學(xué)校運(yùn)營效率。 無線大數(shù)據(jù)應(yīng)用H3C無線大數(shù)據(jù)由平臺和應(yīng)用共同組成，先進(jìn)融合架構(gòu)的大數(shù)據(jù)平臺DataEngine提供了價值數(shù)據(jù)挖掘、提取的能力，整合來自設(shè)備的學(xué)生終端、位置、軌跡數(shù)據(jù)以及教學(xué)、學(xué)生管理等傳統(tǒng)業(yè)務(wù)系統(tǒng)數(shù)據(jù)，分析勾勒出學(xué)生“專屬畫像”，實(shí)現(xiàn)興趣偏好推送、學(xué)習(xí)成績分析、教學(xué)改進(jìn)決策等多種人文化、個性化的創(chuàng)新服務(wù)。校園網(wǎng)網(wǎng)絡(luò)建設(shè)積極推進(jìn)校園骨干網(wǎng)的更新?lián)Q代：升級校園網(wǎng)核心設(shè)備；擴(kuò)容和改造校園無線網(wǎng)絡(luò)，提高無線的接入速率，進(jìn)一步完善校園無線的高品質(zhì)覆蓋；提升校園網(wǎng)出口帶寬，應(yīng)對移動互聯(lián)網(wǎng)、泛在網(wǎng)絡(luò)、云計算、大數(shù)據(jù)等數(shù)字化校園新型應(yīng)用需要，對出口流量進(jìn)行分析和預(yù)測，實(shí)現(xiàn)精細(xì)化的流量管理；對接入網(wǎng)絡(luò)進(jìn)行更新?lián)Q代；調(diào)整和優(yōu)化校園網(wǎng)的技術(shù)架構(gòu)；進(jìn)一步建設(shè)IPv6網(wǎng)絡(luò)。實(shí)現(xiàn)網(wǎng)絡(luò)資源的共享，避免低水平的重復(fù)建設(shè)，形成適應(yīng)性廣、容易維護(hù)的高速帶寬的基礎(chǔ)網(wǎng)絡(luò)設(shè)施。建立節(jié)能、低耗、綠色、智能的教學(xué)業(yè)務(wù)管理和行政管理的信息化、網(wǎng)絡(luò)化平臺，實(shí)現(xiàn)教學(xué)、生活與校園資源和系統(tǒng)的整合，為實(shí)現(xiàn)智慧校園提供支撐平臺。校園網(wǎng)核心設(shè)備升級隨著網(wǎng)絡(luò)應(yīng)用、云服務(wù)的不斷發(fā)展、下一代互聯(lián)網(wǎng)及物聯(lián)網(wǎng)的不斷推進(jìn)。在“十三五”期間需要對校園網(wǎng)的核心設(shè)備進(jìn)行升級擴(kuò)容，增加冗余備份措施，以滿足不斷增加的業(yè)務(wù)需求。擴(kuò)容和改造校園無線網(wǎng)絡(luò)隨著大量的智能終端的普及，眾多的終端應(yīng)用的大量產(chǎn)生，目前已部署的無線網(wǎng)絡(luò)已不能滿足師生上網(wǎng)的需求，需要建設(shè)一個高速、穩(wěn)定、智能的校園無線網(wǎng)絡(luò)。引入和逐步普及先進(jìn)的802.11ac、802.11acWave2技術(shù)，建成先進(jìn)的校園無線網(wǎng)絡(luò)，逐步實(shí)現(xiàn)無線網(wǎng)覆蓋全校所有建筑以及校園主要室外空間，不斷擴(kuò)大無線校園網(wǎng)容量，實(shí)現(xiàn)無線用戶的應(yīng)用快速無縫漫游功能，使上網(wǎng)突破時間和空間限制。適應(yīng)多種智能終端自由接入，實(shí)現(xiàn)隨時、隨地、多終端的移動上網(wǎng)，朝著網(wǎng)絡(luò)全覆蓋、高速帶寬、高穩(wěn)定性、智能管理、快速排障、提高服務(wù)質(zhì)量等方向努力。無線網(wǎng)絡(luò)建設(shè)后，學(xué)校需要維護(hù)兩張網(wǎng)絡(luò)，即校園有線網(wǎng)和無線網(wǎng)，無形之中增加了日常的運(yùn)維工作，因此需要在現(xiàn)有的網(wǎng)管產(chǎn)品中結(jié)合校園在移動性、安全性、高質(zhì)量等方面的需求，提供有線無線一體化管理、基于用戶的終端準(zhǔn)入控制和行為審計、端到端的業(yè)務(wù)感知和性能優(yōu)化等管理功能，實(shí)現(xiàn)一體化、可信任、業(yè)務(wù)隔離、精細(xì)感知的校園管理。無線網(wǎng)絡(luò)建設(shè)采用瘦AP+AC模式部署，隨著業(yè)務(wù)量和用戶量逐漸增加，核心AC控制器的可靠性要求越來越高。一旦AC出現(xiàn)故障將影響整網(wǎng)的AP轉(zhuǎn)發(fā)，因此部署無線網(wǎng)絡(luò)需要考慮冗余設(shè)計及可靠性設(shè)計?？梢圆捎脽o線AC+1的熱備技術(shù)；或者通過IRF技術(shù)將AC進(jìn)行橫向整合，將兩臺或多臺設(shè)備虛擬為一臺設(shè)備，統(tǒng)一轉(zhuǎn)發(fā)、統(tǒng)一管理，并實(shí)現(xiàn)跨設(shè)備的鏈路捆綁。IRF的部署方式不會引入環(huán)路，無需部署STP和VRRP等協(xié)議，簡化網(wǎng)絡(luò)協(xié)議的部署，大大縮短設(shè)備和鏈路收斂時間（毫秒級），鏈路負(fù)載分擔(dān)方式工作，利用率大大提升。IPv6作為未來網(wǎng)絡(luò)的發(fā)展方向，已經(jīng)在高校開始局部使用，無線網(wǎng)絡(luò)的建設(shè)也要充分考慮IPv6的支持。AP需要全面支持IPv6特性，需要實(shí)現(xiàn)IPv4/IPv6雙協(xié)議棧。同時，因?yàn)镮Pv6的攻擊漏洞根源大多與非法主機(jī)接入有關(guān)，IPv6網(wǎng)絡(luò)安全的漏洞，將影響成熟完善的IPv4網(wǎng)絡(luò)安全防御體系，因此隨著無線校園網(wǎng)的大規(guī)模建設(shè)，IPv6無線網(wǎng)絡(luò)的防護(hù)技術(shù)越來越重要。針對IPv4、IPv6主機(jī)的安全合法接入問題，需要使用SAVI(源地址認(rèn)證提高，SourceAddressValidationImprovements)技術(shù)，該方案采用源地址驗(yàn)證的交換機(jī)技術(shù)CPS（ControlPlan/PacketSnooping）方法，是在網(wǎng)絡(luò)層實(shí)現(xiàn)的追溯技術(shù)。因此部署的無線產(chǎn)品需要全部支持無線SAVI。隨著無線校園網(wǎng)覆蓋范圍的不斷擴(kuò)大，在不同的環(huán)境中部署不同特點(diǎn)的無線AP設(shè)備，實(shí)現(xiàn)場景化的部署，滿足師生在不同場景的使用需求，達(dá)到最優(yōu)的使用效果和體驗(yàn)。對于學(xué)生宿舍這種終端數(shù)量多，上網(wǎng)時間集中，視頻類、游戲類等高帶寬使用量占比較多，需要提供較高的用戶并發(fā)接入數(shù)和較高帶寬的接入速率，而宿舍建筑墻壁較厚，房間密度大的情況，采用包含本體和分體的AP設(shè)備，本體放裝分體入戶的方式進(jìn)行安裝。在互不干擾的前提下，保證信號的完全覆蓋。在圖書館閱覽室和教室這種以信號覆蓋為主要目的的場景中部署普通的放裝型AP。對于像禮堂這種高密集中的場景，部署具有多頻接入的產(chǎn)品。對于像體育場等開闊無干擾的室外場景，部署具有工業(yè)級防水防塵等級、大范圍寬溫工作能力的設(shè)備，從覆蓋范圍、接入密度、運(yùn)行穩(wěn)定等方面提供更高性能的接入服務(wù)。在需要提供物聯(lián)網(wǎng)接入的位置，部署內(nèi)置藍(lán)牙模塊的無線AP設(shè)備，提供豐富的藍(lán)牙應(yīng)用。校園網(wǎng)網(wǎng)絡(luò)出口升級和出口流量的智能分析校園網(wǎng)規(guī)模較大，涵蓋了辦公區(qū)、教學(xué)區(qū)、宿舍區(qū)、家屬區(qū)等區(qū)域，覆蓋范圍廣、結(jié)構(gòu)復(fù)雜，學(xué)校網(wǎng)絡(luò)出口具備多個運(yùn)營商線路，因此出口設(shè)備需要具有智能選路功能，可針對不同的訪問地址自動選擇適合的線路，優(yōu)化網(wǎng)絡(luò)訪問質(zhì)量。校園網(wǎng)出口設(shè)備承載著全校師生的對外訪問，隨著網(wǎng)絡(luò)應(yīng)用不斷發(fā)展，網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)出口帶寬的需求已經(jīng)遠(yuǎn)遠(yuǎn)超過實(shí)際擁有的網(wǎng)絡(luò)帶寬，因此需要對網(wǎng)絡(luò)出口設(shè)備進(jìn)行升級。校園網(wǎng)的出口流量分布不均，忙閑時流量差距較大，流入流出差距較大，出口帶寬的升級擴(kuò)容是解決擁塞問題的辦法之一，升級帶寬后擁塞能夠得到有效緩解，但是無法從根源去解決問題。傳統(tǒng)情況會在出口設(shè)備部署Qos流量管理，如對游戲及下載軟件的海量下載進(jìn)行限制，現(xiàn)在需要對出口流量進(jìn)行更精細(xì)化的分析和預(yù)測，從應(yīng)用角度進(jìn)行流量管理，實(shí)現(xiàn)智能化流量趨勢分析和重點(diǎn)應(yīng)用的智能化保障。智能化流量趨勢分析是指可以對指定出口鏈路、指定應(yīng)用或者某類應(yīng)用，通過數(shù)據(jù)挖掘算法，智能化進(jìn)行指定周期（例如五年后）的指定時段（例如全天時段、或者白天時段）的流量趨勢預(yù)測。重點(diǎn)應(yīng)用的智能化保障是指通過對應(yīng)用系統(tǒng)的分析，對整個應(yīng)用系統(tǒng)使用的帶寬情況，支撐此應(yīng)用系統(tǒng)的帶寬使用情況進(jìn)行分析，對應(yīng)用系統(tǒng)對外提供服務(wù)的帶寬和支撐應(yīng)用系統(tǒng)使用的帶寬進(jìn)行保障。并能夠得到應(yīng)用使用的業(yè)務(wù)模型：流量趨勢分析、應(yīng)用畫像、流量智能管控等。接入網(wǎng)絡(luò)改造千兆到桌面（升級為純千兆交換機(jī)），萬兆到樓宇。接入設(shè)備只提供二層透傳和VLAN隔離這些基本功能，弱化接入設(shè)備的功能，降低全網(wǎng)設(shè)備的投資和后期的維護(hù)費(fèi)用，建設(shè)高性能、高可靠、低故障、易管理的接入網(wǎng)絡(luò)。網(wǎng)絡(luò)架構(gòu)的優(yōu)化隨著校園網(wǎng)規(guī)模的逐步擴(kuò)大，多業(yè)務(wù)多應(yīng)用的疊加，用戶數(shù)的不斷增加和流量的爆發(fā)式增長，傳統(tǒng)的三層網(wǎng)絡(luò)架構(gòu)（核心-匯聚-接入）爆發(fā)出如下問題：部署新應(yīng)用困難，故障點(diǎn)難定位：校園網(wǎng)的每個層面都有做用戶接入和控制，實(shí)現(xiàn)了一部分的功能；如接入設(shè)備提供端口隔離、VLAN等功能、匯聚設(shè)備則提供了三層網(wǎng)關(guān)、ACL控制、路由策略等功能，大量的設(shè)備也就意味著大量的配置，給校園的管理員帶來巨大的實(shí)施成本，同時也就使得在校園網(wǎng)中部署新功能新應(yīng)用變得非常困難，要考慮到各個層面設(shè)備的支持能力。相應(yīng)的由于控制點(diǎn)的分散，導(dǎo)致出現(xiàn)問題后，故障點(diǎn)很難定位，恢復(fù)時間較長；處理一個故障往往涉及多個層面的多個設(shè)備。設(shè)備層次與能力倒掛：核心設(shè)備功能弱化；而靠近邊緣的設(shè)備，如匯聚和接入層的設(shè)備，功能要求卻很多，形成了校園網(wǎng)設(shè)備層次和能力層次的“倒掛”。由于匯聚和接入層層面的設(shè)備檔次較低，性能不高、穩(wěn)定性較差、功能也不豐富，因此在實(shí)際部署時，經(jīng)常出現(xiàn)問題，實(shí)現(xiàn)效果不好。因此就造成校園網(wǎng)中出問題最多，維護(hù)工作量最大的是大量的接入層、匯聚層設(shè)備，導(dǎo)致維護(hù)工作量大、效果不好。準(zhǔn)入準(zhǔn)出需要兩次認(rèn)證：目前采用的認(rèn)證方式為出口認(rèn)證，即用戶只有在需要訪問Internet網(wǎng)絡(luò)的時候才需要對用戶的身份進(jìn)行控制，而用戶接入內(nèi)網(wǎng)即能獲得IP地址并獲得訪問的權(quán)利，且用戶與用戶之間并未做隔離，導(dǎo)致學(xué)校里的安全問題頻發(fā)；而一旦學(xué)校加入了準(zhǔn)入認(rèn)證，那么又會存在用戶如果訪問外網(wǎng)，需要進(jìn)行兩次認(rèn)證的尷尬，不僅降低了用戶體驗(yàn)而且使得管理員的管理也非常麻煩。這些問題導(dǎo)致了校園網(wǎng)整體的穩(wěn)定性可靠性降低，管理維護(hù)壓力越來越大。需要對網(wǎng)絡(luò)架構(gòu)進(jìn)行扁平化改造，從網(wǎng)絡(luò)中設(shè)備所承擔(dān)的功能上區(qū)分，將網(wǎng)絡(luò)劃分為業(yè)務(wù)控制層和寬帶接入層。寬帶接入層由匯聚和接入層設(shè)備構(gòu)成，僅提供基本的用戶高帶寬接入功能和相互之間的VLAN二層隔離功能；業(yè)務(wù)控制層則由核心層設(shè)備Bras構(gòu)成，提供網(wǎng)絡(luò)中的用戶接入控制、業(yè)務(wù)功能實(shí)現(xiàn)等復(fù)雜功能。按照功能劃分了網(wǎng)絡(luò)的層次后，不同層次的設(shè)備各司其職，方便全網(wǎng)設(shè)備的管理維護(hù)。針對學(xué)校用戶特點(diǎn)及網(wǎng)絡(luò)使用、流量等數(shù)據(jù)分析，借助業(yè)界領(lǐng)先的SDN技術(shù)和高性能的產(chǎn)品，為學(xué)校量身定制了新一代扁平化校園網(wǎng)架構(gòu)，即應(yīng)用驅(qū)動校園網(wǎng)架構(gòu)（ADCampus）。架構(gòu)技術(shù)支撐針對新校區(qū)通過基于SDN的VXLAN技術(shù)實(shí)現(xiàn)全網(wǎng)無廣播風(fēng)暴的健壯二層架構(gòu)，同時使網(wǎng)絡(luò)變得柔性靈活。Overlay網(wǎng)絡(luò)是指建立在另一個網(wǎng)絡(luò)上的網(wǎng)絡(luò)。該網(wǎng)絡(luò)中的結(jié)點(diǎn)可以看作通過虛擬或邏輯鏈路而連接起來的。Overlay網(wǎng)絡(luò)具有獨(dú)立的控制和轉(zhuǎn)發(fā)平面，對于連接在overlay邊緣設(shè)備之外的終端系統(tǒng)來說，物理網(wǎng)絡(luò)是透明的。Overlay網(wǎng)絡(luò)是物理網(wǎng)絡(luò)向云和虛擬化的深度延伸，使云資源池化能力可以擺脫物理網(wǎng)絡(luò)的重重限制，是實(shí)現(xiàn)云網(wǎng)融合的關(guān)鍵IETF在Overlay技術(shù)領(lǐng)域提出三大技術(shù)方案。VXLAN：VXLAN是將以太網(wǎng)報文封裝成UDP報文進(jìn)行隧道傳輸，UDP目的端口為已知端口，源端口可按流分配，標(biāo)準(zhǔn)5元組方式有利于在IP網(wǎng)絡(luò)轉(zhuǎn)發(fā)過程中進(jìn)行負(fù)載分擔(dān)；隔離標(biāo)識采用24比特來表示；未知目的、廣播、組播等網(wǎng)絡(luò)流量均被封裝為組播轉(zhuǎn)發(fā)。NVGRE：NVGRE采用的是RFC2784和RFC2890所定義的GRE隧道協(xié)議。將以太網(wǎng)報文封裝在GRE內(nèi)進(jìn)行隧道傳輸。隔離標(biāo)識采用24比特來表示；與VXLAN的主要區(qū)別在對流量的負(fù)載分擔(dān)上，因?yàn)槭褂昧薌RE隧道封裝，NVGRE使用了GRE擴(kuò)展字段flowID進(jìn)行流量負(fù)載分擔(dān)，這就要求物理網(wǎng)絡(luò)能夠識別GRE隧道的擴(kuò)展信息。STT：STT是無狀態(tài)傳輸協(xié)議，通過將以太網(wǎng)報文封裝成TCP報文進(jìn)行隧道傳輸，隔離標(biāo)識采用64比特來表示。與VXLAN和NVGRE的主要區(qū)別是在隧道封裝格式使用了無狀態(tài)TCP，需要對傳統(tǒng)TCP協(xié)議進(jìn)行修改以適應(yīng)NVGRE的傳輸。在實(shí)現(xiàn)Overlay架構(gòu)的三大技術(shù)中，其中尤以VXLAN技術(shù)為最佳：位置無關(guān)性：業(yè)務(wù)可在任意位置靈活部署，緩解了服務(wù)器虛擬化后相關(guān)的網(wǎng)絡(luò)擴(kuò)展問題可擴(kuò)展性：在傳統(tǒng)網(wǎng)絡(luò)架構(gòu)上規(guī)劃新的Overlay網(wǎng)絡(luò)，部署方便，同時避免了大二層的廣播風(fēng)暴，可擴(kuò)展性極強(qiáng)部署簡單：由高可靠SDNController完成控制面的配置和管理，避免了大規(guī)模的組播部署，同時集中部署模式可加速網(wǎng)絡(luò)和安全基礎(chǔ)架構(gòu)的配置，提供了可靠性和極好的擴(kuò)展性適合云業(yè)務(wù)：支持千萬級別租戶隔離，有力支持云業(yè)務(wù)的大規(guī)模部署技術(shù)優(yōu)勢：VXLAN利用了現(xiàn)有通用的UDP傳輸，成熟性極高。VXLAN具有以下技術(shù)優(yōu)勢：L2-4層鏈路HASH能力強(qiáng)，不需要對現(xiàn)有網(wǎng)絡(luò)改造（GRE有不足，需要網(wǎng)絡(luò)設(shè)備支持）對傳輸層無修改，使用標(biāo)準(zhǔn)的UDP傳輸流量（STT需要修改TCP）業(yè)界支持度最好，商用網(wǎng)絡(luò)芯片大部分支持。VXLAN控制平面隧道的實(shí)現(xiàn)三種方式：VXLAN控制平面隧道的實(shí)現(xiàn)方式主要分為三種：通過數(shù)據(jù)平面自學(xué)習(xí)、通過控制協(xié)議學(xué)習(xí)（利用擴(kuò)展路由協(xié)議IS-IS或BGP完成VXLAN控制平面的地址學(xué)習(xí)）和通過SDNController實(shí)現(xiàn)。這三種方式的主要特點(diǎn)如表1所示。表1VXLAN控制平面隧道的實(shí)現(xiàn)三種方式三種實(shí)現(xiàn)方式對比，在大規(guī)模的云計算虛擬化環(huán)境中，以Controller方式為最優(yōu)。無需物理網(wǎng)絡(luò)支持大量組播組標(biāo)準(zhǔn)協(xié)議，可擴(kuò)展性極強(qiáng)部署簡單，可通過Controller集中管理和控制設(shè)備校園核心層設(shè)計核心層由兩臺高性能核心交換機(jī)組成，主要承載數(shù)據(jù)的高速轉(zhuǎn)發(fā)，對上可作為校園網(wǎng)出口的VXLAN網(wǎng)關(guān)邊界，對下作為匯接各區(qū)域匯聚交換機(jī)的節(jié)點(diǎn)，兩臺交換機(jī)可通過H3CIRF技術(shù)實(shí)現(xiàn)虛擬化，邏輯形成一臺設(shè)備簡化管理并提升上行鏈路帶寬。樓宇匯聚層設(shè)計樓宇匯聚節(jié)點(diǎn)主要作為接入交換機(jī)匯聚，下聯(lián)接入層采用千兆光纖互聯(lián)，上行鏈路通過10G互聯(lián)，樓宇匯聚交換機(jī)同時作為網(wǎng)絡(luò)的IP網(wǎng)關(guān)和VXLAN網(wǎng)關(guān)，通過SDN技術(shù)，實(shí)現(xiàn)匯聚交換機(jī)共同構(gòu)建分布式網(wǎng)關(guān)，并啟用ARP代答功能保證無環(huán)路二層。園區(qū)匯聚層支持VXLAN特性，完美支持SDN技術(shù)落地校園網(wǎng)。樓層接入層設(shè)計樓層接入交換機(jī)主要分為兩類，一類連接各有線終端，采用全千兆交換機(jī)連接；另一類為POE千兆交換機(jī)，連接AP，實(shí)現(xiàn)有線網(wǎng)千兆到桌面，無線網(wǎng)實(shí)現(xiàn)千兆化。全網(wǎng)WAVE2無線覆蓋隨著互聯(lián)網(wǎng)＋時代的到來，移動終端數(shù)據(jù)依然保持著爆發(fā)式增長的態(tài)勢，在這種背景下，如何保證移動終端的接入體驗(yàn)和高帶寬水平成為互聯(lián)網(wǎng)＋健康發(fā)展的重要因素，所以在無線競爭式串行通信模式下，提高頻譜資源利用率，增加單AP設(shè)備用戶容量成為最有效的方法。由于MU-MIMO的特性，AP的接入用戶數(shù)有了較大的提高，隨著Wave2終端的普及，無線AP的有效并發(fā)用戶數(shù)會超過200個，可有效的減少AP部署數(shù)量,提升用戶體驗(yàn)。此次所采用的無線接入點(diǎn)具備進(jìn)行統(tǒng)一整合規(guī)劃管理，用戶可通過無感知認(rèn)證方式接入無線網(wǎng)，實(shí)現(xiàn)校園無線覆蓋無死角和無縫漫游。本次網(wǎng)絡(luò)規(guī)劃對可靠性、穩(wěn)定性及安全性都提出了更高的要求，無線網(wǎng)絡(luò)設(shè)計充分考慮到先進(jìn)性、成熟性、可靠性、安全性、擴(kuò)展性；可控、可管、可運(yùn)營。無線網(wǎng)絡(luò)架構(gòu)設(shè)計-本地轉(zhuǎn)發(fā)AC/FitAP因具有管理、安全等方面的諸多優(yōu)勢，被公認(rèn)為今后WLAN組網(wǎng)的趨勢。目前，AC/FitAP架構(gòu)已經(jīng)被廣泛應(yīng)用。但是傳統(tǒng)AC/FitAP架構(gòu)所采用的集中式轉(zhuǎn)發(fā)，要求用戶的所有流量均通過AC進(jìn)行處理，對AC性能要求比較高，同時也對AC和AP之間的網(wǎng)絡(luò)帶寬造成壓力。尤其是在802.11acwave2技術(shù)逐漸成熟，無線接入點(diǎn)的處理能力越來越強(qiáng)的背景下，單一的集中式轉(zhuǎn)發(fā)往往不能滿足無線數(shù)據(jù)高速處理的要求。為了適應(yīng)無線網(wǎng)絡(luò)高帶寬化的發(fā)展趨勢，本次無線網(wǎng)絡(luò)采用以AC/FitAP架構(gòu)為基礎(chǔ)，實(shí)現(xiàn)無線數(shù)據(jù)在AP本地的轉(zhuǎn)發(fā)，突破了傳統(tǒng)集中式轉(zhuǎn)發(fā)的性能瓶頸。本地轉(zhuǎn)發(fā)技術(shù)優(yōu)勢本地轉(zhuǎn)發(fā)技術(shù)，控制流和數(shù)據(jù)流采用了不同的處理方式，用戶和AP的管理由AC處理，而用戶的數(shù)據(jù)轉(zhuǎn)發(fā)則直接由AP處理。該技術(shù)有效的緩解了AC/FitAP組網(wǎng)方式下AC和CAPWAP隧道的壓力，并減小了數(shù)據(jù)的傳輸延遲。同時，相對與FATAP架構(gòu)，以AC/FitAP架構(gòu)為基礎(chǔ)的本地轉(zhuǎn)發(fā)模型，保持了AC/FitAP架構(gòu)在安全、管理等方面的優(yōu)勢。統(tǒng)一管理：通過統(tǒng)一的CampusDirector實(shí)現(xiàn)有線無線統(tǒng)一管理。一套管理系統(tǒng)，統(tǒng)一的有線無線拓?fù)湔故?，有線無線用戶統(tǒng)一認(rèn)證，統(tǒng)一的基于5W1H劃分用戶組。統(tǒng)一轉(zhuǎn)發(fā)：AC僅負(fù)責(zé)控制和管理下轄的大量AP，AP的數(shù)據(jù)流量轉(zhuǎn)發(fā)不再上AC，而是本地轉(zhuǎn)發(fā)。這樣帶來兩個好處：1）由于AC不再負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)，性能瓶頸完全消除，完全順應(yīng)將來高速無線的趨勢，而且AC成本可以大幅降低。甚至將來AC完全可以做成軟件集成到CampusDirector中作為一個功能管控模塊。2）從AP轉(zhuǎn)發(fā)出來的報文不再封裝Capwap，而是802.3格式的Ethernet報文，L3網(wǎng)關(guān)也都設(shè)置在交換機(jī)上。這樣消除了Capwap的加減封裝的處理消耗，效率更高。AP發(fā)送出來的無線流量和從交換機(jī)/PC發(fā)送出來的有線流量一模一樣，有線/無線流量完全混跑在一起，其他設(shè)備無法區(qū)分也不需要區(qū)分。統(tǒng)一策略：由于無線的數(shù)據(jù)轉(zhuǎn)發(fā)完全從AC卸載到交換機(jī)上，之前我們策略隨行矩陣定義的業(yè)務(wù)策略完全適用于有線和無線流量，也不需要單獨(dú)給無線再定義組間訪問策略。此外，在AP本地轉(zhuǎn)發(fā)模式下，依賴有線的無狀態(tài)網(wǎng)絡(luò)，解決跨三層漫游的問題，無線終端依舊可以跨整個園區(qū)漫游，而且不需要在AC側(cè)做復(fù)雜的處理，這是傳統(tǒng)組網(wǎng)方式所不具備的。Director功能實(shí)現(xiàn)整網(wǎng)的核心是園區(qū)網(wǎng)控制器組件：CampusDirector。所有對網(wǎng)絡(luò)的自動化上線，接入管理，用戶組/策略管理，業(yè)務(wù)配置管理，網(wǎng)絡(luò)運(yùn)維管理全部在CampusDirector上通過直觀的圖形化界面完成。CampusDirector將管理員的操作在后臺轉(zhuǎn)化為網(wǎng)絡(luò)設(shè)備的具體命令進(jìn)行下發(fā)給設(shè)備執(zhí)行。功能如下：CampusDirector界面用戶認(rèn)證管理通過Director用戶認(rèn)證模塊實(shí)現(xiàn)用戶終端入網(wǎng)即認(rèn)證，根據(jù)用戶身份可分配用戶的IP，VLAN，訪問權(quán)限等網(wǎng)絡(luò)屬性信息，且該信息可設(shè)置嚴(yán)格與此用戶終端綁定，單用戶也可綁定多終端多網(wǎng)絡(luò)屬性，網(wǎng)絡(luò)屬性可隨著用戶的移動而動態(tài)跟隨下發(fā)，最終達(dá)到“IP即用戶”和“網(wǎng)段即業(yè)務(wù)”的效果，真正解放網(wǎng)絡(luò)與位置的強(qiáng)相關(guān)的問題，實(shí)現(xiàn)網(wǎng)隨人動。同時，H3CSDN控制器Director還可與學(xué)?，F(xiàn)有AAA認(rèn)證系統(tǒng)進(jìn)行完美聯(lián)動，實(shí)現(xiàn)用戶上線同步，在用戶上網(wǎng)準(zhǔn)出環(huán)節(jié)無感知。網(wǎng)絡(luò)虛擬化管理運(yùn)維人員可再此物理網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上任意定義虛擬專網(wǎng)，且維護(hù)非常簡單，通過SDN+VXLAN技術(shù)實(shí)現(xiàn)虛擬網(wǎng)絡(luò)的劃分，根據(jù)不同業(yè)務(wù)劃分多個不同的虛擬專網(wǎng)，通過H3CDirector可實(shí)現(xiàn)對物理三層網(wǎng)絡(luò)和虛擬層網(wǎng)絡(luò)的簡易維護(hù)與管理。自動化配置管理采用SDN架構(gòu)，網(wǎng)絡(luò)具有較強(qiáng)的靈活性，故網(wǎng)絡(luò)屬性隨需而定，所有的網(wǎng)絡(luò)設(shè)備基于不同的角色配置可統(tǒng)一，基于訪問關(guān)系矩陣的安全組功能可實(shí)現(xiàn)輕松定義用戶ACL，H3CDirector將網(wǎng)絡(luò)設(shè)備配置命令轉(zhuǎn)化成唯美的UI展現(xiàn)給用戶，實(shí)現(xiàn)“自動上線，一鍵啟動”的特點(diǎn)，從此網(wǎng)絡(luò)運(yùn)維人員可告別命令行配置。方案特點(diǎn)及優(yōu)勢最先進(jìn)性采用SDN+VXLAN技術(shù)結(jié)合功能強(qiáng)大的Director控制器實(shí)現(xiàn)對校園網(wǎng)基礎(chǔ)運(yùn)維，自動化部署，用戶管理，業(yè)務(wù)開展等多種功能。架構(gòu)區(qū)別于傳統(tǒng)交換機(jī)三層架構(gòu)和集中式扁平化架構(gòu)，基于SDN的分布式網(wǎng)關(guān)功能既解決了三層架構(gòu)的復(fù)雜運(yùn)維問題，又規(guī)避了集中式扁平化帶來的流量模型單一、風(fēng)險偏集中的問題。分布式扁平化具有健壯架構(gòu)、風(fēng)險分散、虛擬二層的多樣優(yōu)勢，滿足未來6-8年的架構(gòu)先進(jìn)性。擴(kuò)展性強(qiáng)新架構(gòu)依托交換架構(gòu)，可通過擴(kuò)展交換機(jī)的方式，橫向擴(kuò)展設(shè)備即可，由于采用分布式網(wǎng)關(guān)設(shè)計，故無需考慮核心設(shè)備的性能和表項(xiàng)瓶頸，理論上可以無限擴(kuò)展，滿足多校區(qū)二層互通，網(wǎng)隨人動的功能需求，是目前擴(kuò)展性最強(qiáng)的校園網(wǎng)架構(gòu)。極易維護(hù)新架構(gòu)能夠有效減少運(yùn)維工作的技術(shù)原理：架構(gòu)帶來的配置簡化：通過ADCampus架構(gòu)，可使架構(gòu)每一層次的基礎(chǔ)配置高度統(tǒng)一，減少配置差異化，實(shí)際配置從每一臺為單位變成了每一層次為單位，配置工作量實(shí)際可減少95%以上；創(chuàng)新可視化的安全組：傳統(tǒng)訪問控制通過ACL列表實(shí)現(xiàn)，久而久之該列表將會變得冗長且難以找尋和維護(hù)，影響設(shè)備實(shí)際性能，從而帶來運(yùn)維復(fù)雜，全新方案通過H3CDirector控制器向用戶展現(xiàn)一張二維互訪關(guān)系矩陣，可通過交叉點(diǎn)設(shè)置“允許”或“拒絕”的訪問關(guān)系，使訪問關(guān)系一目了然且易于維護(hù)，設(shè)置成功后保存下發(fā)即可。自動化部署：H3CDirector通過SNMP、NetConf及SDN技術(shù)實(shí)現(xiàn)設(shè)備配置的自動轉(zhuǎn)換與自動下發(fā)，設(shè)備接入后自動上線，無需人工干預(yù)，實(shí)現(xiàn)了真正意義上的自動化部署，網(wǎng)絡(luò)啟動時間從原來的數(shù)周縮短至幾天。柔性靈動校園網(wǎng)柔性一方面指網(wǎng)絡(luò)架構(gòu)本身非常靈活，業(yè)務(wù)部署（應(yīng)用/終端）可以做到與位置無關(guān)；另一方面指徹底改變傳統(tǒng)網(wǎng)絡(luò)通道就緒，終端和人根據(jù)位置匹配通道的模式，將人和應(yīng)用作為中心，所有網(wǎng)絡(luò)的資源跟隨人和應(yīng)用移動，柔性具體涵義包括如下幾個亮點(diǎn)：無狀態(tài)網(wǎng)絡(luò)傳統(tǒng)網(wǎng)絡(luò)存在的問題：傳統(tǒng)網(wǎng)絡(luò)劃分L3網(wǎng)段時往往與位置緊密關(guān)聯(lián)。學(xué)校要根據(jù)不同的辦公室，不同的樓層/樓棟劃分不同L3網(wǎng)段，這種模式下要想實(shí)現(xiàn)用戶移動（比如教職工出差、工位搬遷）非常困難。因?yàn)橛脩粢苿油缭讲煌琇3網(wǎng)段，IP地址必須進(jìn)行更換，往往會喪失原先的權(quán)限，給工作帶來麻煩。無狀態(tài)網(wǎng)絡(luò)的核心是位址分離；傳統(tǒng)的網(wǎng)絡(luò)，IP地址即是終端的標(biāo)識，同時也是終端位置的標(biāo)識，因?yàn)镮P確定意味做它必須位于某個三層網(wǎng)關(guān)的所在的位置。本方案中“位址分離”位指位置，址指IP地址，位址分離就是IP地址與位置解耦，讓IP地址可以在任意位置接入，無需改變網(wǎng)絡(luò)的配置。位址分離用戶策略隨行策略隨行：指用戶移動到哪里，用戶的體驗(yàn)不變；一般上要實(shí)現(xiàn)策略隨行，都需要對用戶進(jìn)行分組，傳統(tǒng)的分組方式與地理位置緊耦合，同一個用戶組位于一個辦公區(qū)，一個樓層或者一個大樓之內(nèi)，很難跨越地理的局限。這樣用戶一旦移動起來，策略實(shí)施就非常復(fù)雜，想達(dá)到策略跟隨或者體驗(yàn)一致也非常困難。新一代扁平化方案策略隨行的核心就是“名址綁定”，名址綁定就是用戶和IP地址一一對應(yīng)；傳統(tǒng)網(wǎng)絡(luò)用戶名和IP地址是難以做到綁定的，一方面DHCP的方式并不能保證單用戶每次獲取相同的IP，靜態(tài)地址分配的方式又不能保障用戶在移動過程中保持相同IP能夠在不同的位置進(jìn)行正常的網(wǎng)絡(luò)連接；方案中無狀態(tài)網(wǎng)絡(luò)本身提供了IP任意位置訪問的能力，再配合名址綁定實(shí)現(xiàn)用戶位置發(fā)生了變化，IP地址段也沒有變，甚至IP地址沒有變，針對IP的策略也沒有變，而這種針對IP的策略其實(shí)就是針對用戶的策略，最終實(shí)現(xiàn)了用戶的策略隨行。除了用戶和IP綁定，在某些場合可能不需要做非常強(qiáng)的捆綁，本方案可以提供業(yè)務(wù)和IP網(wǎng)段的綁定，或者用戶組和IP網(wǎng)段的綁定，比如：視頻監(jiān)控終端盡管分布在全網(wǎng)任意位置，但可以將其IP全部分配在某一個網(wǎng)段之內(nèi)；又比如財務(wù)的人員可能也分布在網(wǎng)絡(luò)不同的位置，我們也可以將其分配在同一個網(wǎng)段內(nèi)；最終實(shí)現(xiàn)通過IP段標(biāo)識用戶組或業(yè)務(wù)組。網(wǎng)隨人動傳統(tǒng)校園網(wǎng)絡(luò)首先是通道就緒，終端根據(jù)最初的規(guī)劃，接入到相關(guān)接入交換機(jī)的端口，從而實(shí)現(xiàn)VLAN等權(quán)限和終端的匹配，一方面不能夠解決用戶和終端任意位置接入權(quán)限分配的問題，另外終端接入位置也受限制。新一代扁平化方案將人和應(yīng)用作為核心，所有網(wǎng)絡(luò)的資源跟隨人和應(yīng)用移動，用戶在哪里接入、資源就下發(fā)到哪里，真正體現(xiàn)柔性網(wǎng)絡(luò)的網(wǎng)隨人動的特點(diǎn)。無差別網(wǎng)絡(luò)多校區(qū)無差別：新一代扁平化方案實(shí)現(xiàn)無狀態(tài)網(wǎng)絡(luò)、用戶策略隨行、網(wǎng)隨人動不僅僅可以在單一校區(qū)實(shí)現(xiàn)，還可以跨校區(qū)之間實(shí)現(xiàn)，滿足業(yè)務(wù)、用戶在更大范圍內(nèi)移動、搬遷，符合現(xiàn)代辦公常見的多校區(qū)架構(gòu)。有線無線深度統(tǒng)一傳統(tǒng)有線/無線網(wǎng)絡(luò)存在的問題：管理不統(tǒng)一。有線無線網(wǎng)絡(luò)各自建設(shè)，各自管理，人員分散。轉(zhuǎn)發(fā)不統(tǒng)一。無線的主流轉(zhuǎn)發(fā)是采用AC集中式轉(zhuǎn)發(fā)的方式，流量繞行不是最佳路徑，而且AC集中式轉(zhuǎn)發(fā)，AC壓力大，容易成為瓶頸，尤其現(xiàn)在以802.11AC為代表的新一代高速率無線技術(shù)發(fā)展的趨勢下，無線帶寬的需求越來越高；而且AP到AC要加Capwap封裝，AC要先解Capwap封裝再根據(jù)內(nèi)層數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，進(jìn)一步消耗了AC的轉(zhuǎn)發(fā)性能。而有線采用的是交換機(jī)轉(zhuǎn)發(fā)，有線無線流量路徑不統(tǒng)一。策略控制不統(tǒng)一。無線的策略控制點(diǎn)在AC上，有線的策略控制點(diǎn)在交換機(jī)上，兩者策略不能統(tǒng)一，造成管理復(fù)雜。有線無線融合這塊很多廠商都在努力改進(jìn)，由于采用了傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)，都存在這樣那樣的問題，比如跨L3網(wǎng)段漫游要不支持不了，要不需要在AC之間打隧道進(jìn)行迂回且對AC之間的互聯(lián)鏈路帶寬要求高帶來成本增加；但無論怎樣主要采用集中式的AC轉(zhuǎn)發(fā)，依舊存在流量繞行，AC性能瓶頸等問題。本方案的有線無線深度融合網(wǎng)絡(luò)采用如下方式極大解放了AC和AP，面向未來的高速無線時代。統(tǒng)一管理：通過統(tǒng)一的CampusDirector實(shí)現(xiàn)有線無線統(tǒng)一管理。一套管理系統(tǒng)，統(tǒng)一的有線無線拓?fù)湔故?，有線無線用戶統(tǒng)一認(rèn)證，統(tǒng)一的基于5W1H劃分用戶組。統(tǒng)一轉(zhuǎn)發(fā)：AC僅負(fù)責(zé)控制和管理下轄的大量AP，AP的數(shù)據(jù)流量轉(zhuǎn)發(fā)不再上AC，而是本地轉(zhuǎn)發(fā)。這樣帶來兩個好處：1）由于AC不再負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)，性能瓶頸完全消除，完全順應(yīng)將來高速無線的趨勢，而且AC成本可以大幅降低。甚至將來AC完全可以做成軟件集成到CampusDirector中作為一個功能管控模塊。2）從AP轉(zhuǎn)發(fā)出來的報文不再封裝Capwap，而是802.3格式的Ethernet報文，L3網(wǎng)關(guān)也都設(shè)置在交換機(jī)上。這樣消除了Capwap的加減封裝的處理消耗，效率更高。AP發(fā)送出來的無線流量和從交換機(jī)/PC發(fā)送出來的有線流量一模一樣，有線/無線流量完全混跑在一起，其他設(shè)備無法區(qū)分也不需要區(qū)分。統(tǒng)一策略：由于無線的數(shù)據(jù)轉(zhuǎn)發(fā)完全從AC卸載到交換機(jī)上，之前我們策略隨行矩陣定義的業(yè)務(wù)策略完全適用于有線和無線流量，也不需要單獨(dú)給無線再定義組間訪問策略。此外，在AP本地轉(zhuǎn)發(fā)模式下，依賴有線的無狀態(tài)網(wǎng)絡(luò)，解決跨三層漫游的問題，無線終端依舊可以跨整個園區(qū)漫游，而且不需要在AC側(cè)做復(fù)雜的處理，這是傳統(tǒng)組網(wǎng)方式所不具備的。網(wǎng)絡(luò)虛擬通道隔離整網(wǎng)采用overlay的技術(shù)，天然具備跨廣域網(wǎng)的通道隔離能力，相比MPLS的隔離方式，VXLAN的隔離只需要在端點(diǎn)（VTEP）做隔離，不需要全網(wǎng)隔離，端點(diǎn)之間只需要IP互通既可。一方面讓整個運(yùn)維節(jié)點(diǎn)大幅減少，另一方面端點(diǎn)之間支持多運(yùn)營商連接，負(fù)載均衡可以直接通過ECMP來實(shí)現(xiàn)，讓整個組網(wǎng)清晰、運(yùn)維更簡單。在隔離方式上，本方案提供兩種隔離方式，一是類似MPLS的VRF隔離，每個用戶組在VTEP節(jié)點(diǎn)分配不同的VRF，VRF之間在路由層面實(shí)現(xiàn)隔離，每個用戶在VRF內(nèi)通過VLAN映射成不同的VXLAN，最終實(shí)現(xiàn)在通道內(nèi)通過VXLAN數(shù)據(jù)傳輸，實(shí)現(xiàn)隔離。二是ACL的隔離方式，因?yàn)槊總€用戶組在IP分配的時候已經(jīng)分配在不同的網(wǎng)段，因此不同用戶組在接入之后獲取的是不同網(wǎng)段的IP，ACL隔離相對比較簡單，一條ACL就可以實(shí)現(xiàn)不同用戶組之間的網(wǎng)絡(luò)隔離。軟件定義校園網(wǎng)軟件定義：主要是通過SDN的思想，將網(wǎng)絡(luò)控制平臺集中，實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)維極簡，真正將網(wǎng)管人員從低價值勞動中解放出來，具體有一下幾個亮點(diǎn)：業(yè)務(wù)按需交付業(yè)務(wù)指4-7層服務(wù)，如防火墻，IPS，ACG等，傳統(tǒng)網(wǎng)絡(luò)中部署4-7層服務(wù)存在哪些問題呢？用一句話總結(jié)，就是4-7層服務(wù)節(jié)點(diǎn)不能和位置解耦，這些節(jié)點(diǎn)成為網(wǎng)絡(luò)拓?fù)涞囊粋€網(wǎng)元，和基本網(wǎng)絡(luò)部分緊耦合，服務(wù)節(jié)點(diǎn)的增刪改都會導(dǎo)致網(wǎng)絡(luò)拓?fù)浒l(fā)生較大的變化，需要不停地調(diào)整網(wǎng)絡(luò)的配置以適應(yīng)，導(dǎo)致維護(hù)非常困難。比如下圖中傳統(tǒng)的兩種服務(wù)節(jié)點(diǎn)部署方式，一種是inline方式，一種是旁掛方式。Inline方式的問題在于串接在整個轉(zhuǎn)發(fā)路徑上，其中任何一個節(jié)點(diǎn)都容易成為性能瓶頸，而且對于不想過服務(wù)節(jié)點(diǎn)的流量無法繞開，造成帶寬的浪費(fèi)，讓本就捉襟見肘的性能更雪上加霜；旁掛方式的問題在于要逐跳配置復(fù)雜的策略路由，一旦網(wǎng)絡(luò)節(jié)點(diǎn)增刪改，或者進(jìn)行服務(wù)節(jié)點(diǎn)的替換，就需要調(diào)整很多策略路由的配置，而且理解困難，又復(fù)雜又容易出錯。本套方案引入了SDN服務(wù)鏈功能，把園區(qū)傳統(tǒng)的通過策略路由方式的復(fù)雜引流策略轉(zhuǎn)換為一種簡單的按需使用，自由編排的引流方式來快速實(shí)現(xiàn)。這種實(shí)現(xiàn)方式可以為用戶提供靈活的、可編程的、彈性的軟硬件一體化解決方案。這種方案的優(yōu)勢是：可以根據(jù)用戶的需求，提供定制化或個性化的軟硬一體化基礎(chǔ)設(shè)施服務(wù)，可以支持如NFV等新技術(shù)，也可以兼容傳統(tǒng)安全，是真正為用戶提供兼具可靠性、高性能以及可編程的穩(wěn)健解決方案。此外在園區(qū)控制器CampusDirector上直觀的圖形化拖拽方式，使得用戶可以從業(yè)務(wù)視角出發(fā)進(jìn)行服務(wù)編排。定義一條流的起點(diǎn)和終點(diǎn)，中間直觀地拖拽插入需要經(jīng)過的4-7層組件，然后一鍵下發(fā)，CampusDirector將把這個圖形化界面翻譯成網(wǎng)絡(luò)語言配置到網(wǎng)絡(luò)設(shè)備上，真正實(shí)現(xiàn)隨心所欲地部署。設(shè)備自動部署設(shè)備開箱，上電后自動加載版本，加載配置，網(wǎng)管人員零干預(yù)啟動。自動部署的核心是因?yàn)樾乱惶追桨傅木W(wǎng)絡(luò)將整網(wǎng)的接入設(shè)備配置完全整合變成一份完全相同的配置文件，同時匯聚層設(shè)備也進(jìn)行整合，變成一份相同的配置。這大大簡化預(yù)配置文件編寫的復(fù)雜度，使得各層次設(shè)備配置模板化，自動部署的成本很難度大大降低，同時也避免了人為誤操作的風(fēng)險，使得自動部署從理論變成現(xiàn)實(shí)。園區(qū)一鍵啟動通過控制器上的圖形化的界面來完成用戶、用戶組相關(guān)的網(wǎng)絡(luò)資源的定義；以及園區(qū)用戶組之間的網(wǎng)絡(luò)權(quán)限的定義。其中對于用戶的定義不僅僅包括傳統(tǒng)意義上的用戶，還包括物聯(lián)網(wǎng)終端的定義。用戶組及相關(guān)網(wǎng)絡(luò)資源定義開放網(wǎng)絡(luò)傳統(tǒng)的園區(qū)網(wǎng)基本是封閉和僵化的系統(tǒng)，如果用戶想做定制化開發(fā)，需要提需求給網(wǎng)絡(luò)廠家，網(wǎng)絡(luò)廠家進(jìn)行需求分析，設(shè)計，開發(fā)，交付，然后用戶再上線驗(yàn)證，加上中間溝通的時間，周期非常長，對于某些市場競爭來說，這樣長的周期等應(yīng)用開發(fā)出來，市場機(jī)會也基本喪失。新一代扁平化除了基礎(chǔ)網(wǎng)絡(luò)架構(gòu)之外，還基于SDN的理念，提供集中控制的controller，以及軟件定義能力，通過controller上層接口開放，允許第三方進(jìn)行增值開發(fā)，可以滿足用戶個性化、定制化、可編程的需求，為用戶提供量身打造的專業(yè)和精準(zhǔn)的高品質(zhì)服務(wù)。IPv6校園網(wǎng)建設(shè)采用逐步過渡的策略部署IPv6網(wǎng)絡(luò)。首先完成IPv6網(wǎng)絡(luò)接入到教育CNGI網(wǎng)絡(luò)的目的，其次根據(jù)現(xiàn)有學(xué)校駐地網(wǎng)內(nèi)的實(shí)際情況，應(yīng)用雙棧技術(shù)和各種過渡技術(shù)，在不影響現(xiàn)有IPv4園區(qū)網(wǎng)主體拓?fù)浣Y(jié)構(gòu)的條件下，使得駐地網(wǎng)中需要部署IPv6網(wǎng)絡(luò)的地方能夠通過各種隧道技術(shù)，隨時方便地接入CNGI骨干網(wǎng)。無線網(wǎng)建設(shè)無線覆蓋設(shè)計隨著移動設(shè)備的廣泛普及，無線Wi-Fi網(wǎng)絡(luò)日漸成為目前主流網(wǎng)絡(luò)接入手段，越來越多關(guān)鍵業(yè)務(wù)在無線網(wǎng)絡(luò)上運(yùn)行，比如網(wǎng)絡(luò)課堂、無線選課系統(tǒng)等等與教學(xué)強(qiáng)相關(guān)的業(yè)務(wù)。加之近年來物聯(lián)網(wǎng)的普及，各種移動應(yīng)用爆炸式增長，超大規(guī)客戶端數(shù)量，并發(fā)連接數(shù)，對無線網(wǎng)絡(luò)都提出了更高的要求。WLAN網(wǎng)絡(luò)已從片面追求連接和覆蓋演進(jìn)到以高容量接入、應(yīng)用驅(qū)動網(wǎng)絡(luò)為目標(biāo)進(jìn)行部署。盡可能多的允許無線客戶端接入并保證其關(guān)鍵業(yè)務(wù)應(yīng)用的體驗(yàn)。無線覆蓋、帶寬設(shè)計原則如何交付一張真正可用的WLAN網(wǎng)絡(luò)，從規(guī)劃設(shè)計、部署應(yīng)用、網(wǎng)絡(luò)優(yōu)化、到最后的管理運(yùn)