智慧校園網(wǎng)公共部分設(shè)計

第一節(jié)方案概述和選擇建議 2一、智簡園區(qū)解決方案 2二、云管理園區(qū)解決方案 3三、方案選擇建議 3第二節(jié)智簡園區(qū)方案（方案選擇一） 4一、方案組件簡介 4二、網(wǎng)絡(luò)設(shè)計 6三、網(wǎng)絡(luò)管理設(shè)計 53四、網(wǎng)絡(luò)安全設(shè)計 149五、認(rèn)證系統(tǒng)設(shè)計 159六、上網(wǎng)行為管理與審計 166七、推薦設(shè)備型號 167第三節(jié)云管理園區(qū)方案（方案選擇二） 168一、基礎(chǔ)網(wǎng)絡(luò)設(shè)計 169二、網(wǎng)絡(luò)管理設(shè)計 170三、網(wǎng)絡(luò)安全設(shè)計 180四、認(rèn)證系統(tǒng)設(shè)計 181五、上網(wǎng)行為管理設(shè)計 182六、規(guī)格清單 183七、推薦設(shè)備型號 185第四節(jié)智慧校園網(wǎng)的方案特點總結(jié) 186一、高可靠無阻塞網(wǎng)絡(luò) 186二、全場景無線覆蓋 186三、用戶認(rèn)證精準(zhǔn)靈活 186四、高級別安全防護 187五、統(tǒng)一便捷管理 187第一節(jié)方案概述和選擇建議普教的網(wǎng)絡(luò)建設(shè)大多由市/區(qū)/縣的教育管理機構(gòu)（教育局、教委等）牽頭對區(qū)域內(nèi)各中小學(xué)進行整體網(wǎng)絡(luò)規(guī)劃和部署。普教更強調(diào)區(qū)域范圍內(nèi)網(wǎng)絡(luò)服務(wù)均等性和教育資源的共享能力，因此對于普教網(wǎng)絡(luò)的集中管理和網(wǎng)絡(luò)可服務(wù)性有更高的要求。XX公司針對普教行業(yè)網(wǎng)絡(luò)建設(shè)提供兩種解決方案，分別為智簡園區(qū)解決方案和云管理園區(qū)解決方案。一、智簡園區(qū)解決方案1.管理平面部署在本地的園區(qū)網(wǎng)絡(luò)綜合解決方案，除基礎(chǔ)的網(wǎng)絡(luò)接入和管理功能外，還提供融合接入，敏捷運維，安全協(xié)防等高級功能2.提供基于SDN的虛擬交換網(wǎng)絡(luò)，對網(wǎng)絡(luò)資源池化，支持一網(wǎng)多用，大幅降低多業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)建設(shè)和部署成本3.適用場景為教育局/教委/大數(shù)據(jù)中心等自建網(wǎng)絡(luò)，擁有獨立教育城域網(wǎng)專線，中小學(xué)學(xué)校出口統(tǒng)一由教育局/教委/大數(shù)據(jù)中心為出口訪問Internet。二、云管理園區(qū)解決方案1.利用云計算技術(shù)，管理平面部署在XX公有云或自建私有云，通過友好的界面遠程實現(xiàn)網(wǎng)絡(luò)規(guī)劃、部署和運維，讓網(wǎng)絡(luò)管理化繁為簡2.云管理平臺具有獨特的開放性，可對接豐富的教育行業(yè)信息化應(yīng)用，為智慧校園提供快速上線、靈活部署的網(wǎng)絡(luò)環(huán)境。3.適用場景為教育局/教委/大數(shù)據(jù)中心等統(tǒng)一建設(shè)網(wǎng)絡(luò)，無獨立教育城域網(wǎng)專線，中小學(xué)學(xué)校分別有獨立出口訪問Internet，業(yè)務(wù)，策略相對簡單場景。三、方案選擇建議（一）智簡園區(qū)方案功能齊全，產(chǎn)品成熟，適合用戶規(guī)模較大，業(yè)務(wù)環(huán)境復(fù)雜的場景，教育局/教委/大數(shù)據(jù)中心等自建網(wǎng)絡(luò)，擁有獨立教育城域網(wǎng)專線，（二）云管理園區(qū)方案適合規(guī)模不大，業(yè)務(wù)簡單，成本訴求比較高的場景，在普教行業(yè)中作為敏捷園區(qū)方案的補充，無獨立教育城域網(wǎng)專線，中小學(xué)學(xué)校分別有獨立出口訪問Internet，業(yè)務(wù)，策略相對簡單場景，云管理園區(qū)方案當(dāng)前版本為V1R19C10，適合以下場景：1.無需拓?fù)涔芾?.框式防火墻，NE路由器3.無IPv64.WLAN用戶僅需站點內(nèi)漫游，無全網(wǎng)漫游需求5.單站點AP數(shù)量不超過128臺6.所支持的產(chǎn)品型號及版本在《云管理園區(qū)解決方案規(guī)格清單》范圍內(nèi)第二節(jié)智簡園區(qū)方案（方案選擇一）一、方案組件簡介1.網(wǎng)絡(luò)層組件智簡園區(qū)方案的網(wǎng)絡(luò)層部件主要包括交換機、路由器、防火墻、無線接入控制器（隨板AC）、無線接入點，iMaster-NCE控制器（1）交換機用于完成二三層網(wǎng)絡(luò)的數(shù)據(jù)報文交換。S系列交換機是XX公司面向園區(qū)網(wǎng)推出的新一代智能交換機，覆蓋核心、匯聚和接入功能，充分滿足園區(qū)靈活組網(wǎng)的需求。（2）路由器該網(wǎng)元在園區(qū)作為網(wǎng)絡(luò)出口設(shè)備主要提供WAN側(cè)的路由轉(zhuǎn)發(fā)能力。XX公司針對園區(qū)場景推出的路由器有AR系列企業(yè)路由器和NE系列高端路由器。（3）防火墻防火墻應(yīng)用于普教園區(qū)的網(wǎng)絡(luò)邊界。主要功能包括訪問控制和入侵防御。XX公司針對園區(qū)場景推出的USG系列防火墻集多種安全能力于一身，提供多功能一體化安全防護。（4）線接入控制器（隨板AC）無線接入控制器WAC主要功能負(fù)責(zé)AP和無線業(yè)務(wù)的管理。為了簡化AP的管理，無線業(yè)務(wù)的配置和管理統(tǒng)一由無線接入控制器負(fù)責(zé)。（5）無線接入點無線接入點AP為無線終端提供網(wǎng)絡(luò)接入功能，是連接無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的橋梁。根據(jù)無線網(wǎng)絡(luò)架構(gòu)的不同，無線接入點又分為胖AP和瘦AP。胖AP不僅可以提供無線信號供無線終端接入，還能獨立完成無線業(yè)務(wù)的配置和管理功能。瘦AP除了提供無線終端接入外，基本不具備管控功能，無線業(yè)務(wù)的管控由無線接入控制器負(fù)責(zé)。2.管理層組件（1）iMaster-NCEiMaster-NCE作為智簡園區(qū)的控制器，是網(wǎng)絡(luò)的自動化引擎。支持網(wǎng)絡(luò)業(yè)務(wù)管理、網(wǎng)絡(luò)安全管理、用戶準(zhǔn)入管理、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)質(zhì)量分析、網(wǎng)絡(luò)應(yīng)用分析、告警和報表等特性，提供大數(shù)據(jù)分析的能力，同時提供開放的接口、支持與其他平臺集成。企業(yè)用戶可以通過iMaster-NCE在多租戶網(wǎng)絡(luò)中獨立開展業(yè)務(wù)開通配置、日常運維等工作，實現(xiàn)規(guī)模設(shè)備的云化管理。同時iMaster–NCE可以實現(xiàn)通過SNMP方式的設(shè)備監(jiān)控。對于網(wǎng)絡(luò)中存在框式設(shè)備或者不支持被控制器納管的設(shè)備，也可以采用iMaster-NCESNMP的網(wǎng)管進行監(jiān)控和管理。IMaster-NCE同步提供Underlay/Overlay網(wǎng)絡(luò)自動化部署功能，配置自動化模板，自動下發(fā)配置，設(shè)備即插即用同時iMaster–NCE同樣可以作為認(rèn)證和策略服務(wù)器，配合控制器實現(xiàn)接入管控的自動化，提供AAA認(rèn)證服務(wù)和業(yè)務(wù)隨行策略iMaster-NCE繼承網(wǎng)規(guī)工具，網(wǎng)規(guī)工具是網(wǎng)絡(luò)自動化的一部分，主要功能是在無線AP的規(guī)劃，支持室內(nèi)、室外AP網(wǎng)絡(luò)規(guī)劃，包括現(xiàn)場環(huán)境規(guī)劃、AP布放、網(wǎng)絡(luò)信號仿真和生成網(wǎng)規(guī)報告等功能。（2）可選:CampusInsight（可選）CampusInsight網(wǎng)絡(luò)智能分析平臺，是網(wǎng)絡(luò)的智能分析引擎，為用戶網(wǎng)絡(luò)提供智能運維服務(wù)。CampusInsight顛覆傳統(tǒng)聚焦資源狀態(tài)的監(jiān)控方式，將人工智能應(yīng)用于運維領(lǐng)域，基于已有的運維數(shù)據(jù)（設(shè)備性能指標(biāo)、終端日志等數(shù)據(jù)），通過大數(shù)據(jù)、人工智能算法及更多高級分析技術(shù)，將網(wǎng)絡(luò)中的用戶體驗數(shù)字化，輔助客戶及時發(fā)現(xiàn)網(wǎng)絡(luò)問題，改善用戶體驗。二、網(wǎng)絡(luò)設(shè)計（一）教育城域網(wǎng)總體架構(gòu)當(dāng)前，教育城域網(wǎng)構(gòu)建了教育局、學(xué)校的二級教育信息網(wǎng)絡(luò)平臺，是承載教育信息資源共享及教育信息管理等功能的區(qū)域網(wǎng)絡(luò)核心骨干平臺。教育城域網(wǎng)的典型組網(wǎng)拓?fù)淙缦拢航逃怯蚓W(wǎng)物理架構(gòu)1.從中小學(xué)園區(qū)網(wǎng)絡(luò)的角度看，教育城域網(wǎng)總體網(wǎng)絡(luò)架構(gòu)包括骨干網(wǎng)絡(luò)部分和校園園區(qū)網(wǎng)絡(luò)兩個部分。如下圖所示：教育城域網(wǎng)邏輯架構(gòu)第一部分為教育城域網(wǎng)骨干網(wǎng)，用以提供教育網(wǎng)/互聯(lián)網(wǎng)出口及相關(guān)單位的網(wǎng)絡(luò)流量傳輸，實現(xiàn)教育主管機構(gòu)以及各學(xué)校之間的互聯(lián)互通，統(tǒng)一互聯(lián)網(wǎng)訪問出口管理以及部署教育云平臺，實現(xiàn)教育資源的匯集和共享，教育管理信息的集中管理。第二部分為普教園區(qū)網(wǎng)，又叫校園網(wǎng)，主要指的是校內(nèi)的園區(qū)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，根據(jù)功能劃分為出口區(qū)、核心層、匯聚層、接入層、網(wǎng)絡(luò)管理等幾個部分。（1）校園出口區(qū)既負(fù)責(zé)對校園網(wǎng)用戶的統(tǒng)一接入，也負(fù)責(zé)將內(nèi)部的終端用戶接入到教育城域網(wǎng)、將外部用戶接入到校園網(wǎng)。出口除了要保證校園內(nèi)外的數(shù)據(jù)傳輸，還需要保證邊界安全。（2）網(wǎng)絡(luò)管理區(qū)對接入用戶進行認(rèn)證，對網(wǎng)絡(luò)設(shè)備、服務(wù)器等進行管理的區(qū)域。包括告警管理、性能管理、故障管理、配置管理、安全管理等。（3）核心層核心層負(fù)責(zé)整個園區(qū)網(wǎng)的高速互聯(lián)，一般不部署具體的業(yè)務(wù)。核心網(wǎng)絡(luò)需要實現(xiàn)帶寬的高利用率和網(wǎng)絡(luò)故障的快速收斂。（4）匯聚層匯聚層將眾多的接入設(shè)備和大量用戶經(jīng)過一次匯聚后再接入到核心層，擴展核心層接入用戶的數(shù)量。（5）接入層負(fù)責(zé)將各種終端接入到校園網(wǎng)絡(luò)，通常由以太網(wǎng)交換機組成，提供網(wǎng)線接入能力。在無線校園建設(shè)中，接入層還包括提供無線網(wǎng)絡(luò)的AP設(shè)備，由于需要接入的終端類型眾多，甚至包含各種類型的物聯(lián)傳感設(shè)備，因此，AP應(yīng)具備Wi-Fi，Zigbee，藍牙等無線接入能力。（6）終端應(yīng)用層包含校園網(wǎng)內(nèi)的各種終端設(shè)備，例如PC、筆記本電腦、打印機、傳真、手機、攝像頭、讀卡器、各類物聯(lián)傳感器等等。方案組件和簡介網(wǎng)絡(luò)層組件管理層組件2.教育城域網(wǎng)物理網(wǎng)絡(luò)設(shè)計教育城域網(wǎng)在保障網(wǎng)絡(luò)連通的同時，還需要重點考慮網(wǎng)絡(luò)的可靠性，包括鏈路及網(wǎng)絡(luò)架構(gòu)設(shè)計、網(wǎng)絡(luò)自愈能力、網(wǎng)絡(luò)容量、響應(yīng)時間、網(wǎng)絡(luò)擴展性、技術(shù)先進性、性價比等等，基于以上考慮，XX育城域網(wǎng)總體網(wǎng)絡(luò)架構(gòu)劃分為三個層次：核心層、匯聚層和接入層，如下圖所示：網(wǎng)絡(luò)拓?fù)湔f明：（1）互聯(lián)網(wǎng)區(qū)：內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的邊界，用于實現(xiàn)內(nèi)部用戶接入到外網(wǎng)，外部用戶接入到內(nèi)部網(wǎng)絡(luò)，邊界部署2臺防火墻新增沙箱等安全設(shè)備，XXX和XXX分別為兩個出口，保障出口的高可靠性。（2）運維管理區(qū)：增加統(tǒng)一網(wǎng)管，對全網(wǎng)設(shè)備進行統(tǒng)一管理，并開啟分權(quán)分域，各學(xué)校管理員管理自己的設(shè)備；新增SDN控制器，對全網(wǎng)做統(tǒng)一認(rèn)證及業(yè)務(wù)隨行，用戶分組，網(wǎng)絡(luò)資源按照策略分配，不論用戶是在不同地點接入還是使用有線或無線網(wǎng)絡(luò)接入，享受相同的網(wǎng)絡(luò)資源配置，帶來業(yè)務(wù)隨身的優(yōu)質(zhì)網(wǎng)絡(luò)使用體驗。（3）核心交換區(qū)：XXXX和XXXX為核心節(jié)點，保障核心節(jié)點的高可靠性，避免單點故障，XXXX作為全區(qū)所有教育資源應(yīng)用核心節(jié)點；（4）匯聚區(qū)XXXX+XXX+XXX+XXX（教育局）組成環(huán)網(wǎng)，其他5個街道辦上聯(lián)至XX，承載XX所校區(qū)的所有接入流量，完成數(shù)據(jù)匯聚交換的功能，保障未來業(yè)務(wù)發(fā)展的需要。（5）學(xué)校接入?yún)^(qū)：各學(xué)校部署高性能萬兆框式核心交換機設(shè)備，支持SDN新技術(shù)。設(shè)備通過萬兆單模光纖上行就近接入?yún)R聚區(qū)，下聯(lián)學(xué)校接入交換機，為有線無線用戶傳輸數(shù)據(jù)。3.基于VxLAN的城域網(wǎng)SDN方案設(shè)計（1）SDN業(yè)務(wù)范圍此項目SDN業(yè)務(wù)范圍針對學(xué)校教職工有線辦公業(yè)務(wù)網(wǎng)、視頻監(jiān)控業(yè)務(wù)網(wǎng)。如果后續(xù)有新業(yè)務(wù)需要創(chuàng)建虛擬專網(wǎng)，考慮再納入到SDN業(yè)務(wù)范圍。（2）SDN部署方案為保證城域網(wǎng)的可靠性、網(wǎng)絡(luò)擴展性，采用SDN（軟件定義網(wǎng)絡(luò)）技術(shù)構(gòu)建教育城域網(wǎng)，通過在核心交換機接入SDN控制器方式實現(xiàn)部署。將網(wǎng)絡(luò)控制平臺集中，實現(xiàn)網(wǎng)絡(luò)集中管控，策略以用戶為中心進行管理，滿足學(xué)校師生的用戶終端無論在何地、采用哪種接入方式都能擁有相同的網(wǎng)絡(luò)訪問策略和訪問權(quán)限，網(wǎng)絡(luò)接入策略能夠通過SDN控制器統(tǒng)一配置下發(fā)，對學(xué)校的用戶終端進行統(tǒng)一的認(rèn)證管理。通過SDN控制器對校園網(wǎng)VXLAN業(yè)務(wù)實現(xiàn)自動化部署。針對此業(yè)務(wù)場景需求，基于Vxlan技術(shù)構(gòu)建Overlay網(wǎng)絡(luò)，實現(xiàn)跨三層網(wǎng)絡(luò)的二層互通，網(wǎng)絡(luò)架構(gòu)如下：SDN邏輯架構(gòu)圖SDN控制器：實現(xiàn)網(wǎng)絡(luò)的認(rèn)證、授權(quán)與業(yè)務(wù)策略管理的核心，與網(wǎng)絡(luò)設(shè)備聯(lián)動完成用戶認(rèn)證和策略下發(fā)?；赩xLAN構(gòu)建Overlay網(wǎng)絡(luò)：城域網(wǎng)核心、匯聚交換機和學(xué)校核心交換機之間基于VxLAN技術(shù)構(gòu)建overlay網(wǎng)絡(luò)，實現(xiàn)跨三層網(wǎng)絡(luò)的二層互通。校園網(wǎng)匯聚和接入層設(shè)備采用不同的VLAN進行接入位置的標(biāo)識，通過TRUNK的方式上行到校園網(wǎng)核心層，校園網(wǎng)核心層完成VLAN到VxLAN的映射，不同學(xué)校的核心層交換機網(wǎng)關(guān)之間建立VxLAN隧道，保證用戶相同體驗，實現(xiàn)跨校區(qū)之間的業(yè)務(wù)隨行。通過構(gòu)建虛擬化專網(wǎng)，網(wǎng)絡(luò)建設(shè)成本大大降低；通過虛擬化專網(wǎng)，各專網(wǎng)業(yè)務(wù)實現(xiàn)安全邏輯隔離，安全性高；通過虛擬化專網(wǎng)實現(xiàn)多租戶專網(wǎng)，后續(xù)企業(yè)專網(wǎng)可靈活擴展。（3）Underlay網(wǎng)絡(luò)規(guī)劃設(shè)計Underlay網(wǎng)絡(luò)介紹虛擬化園區(qū)方案使用VXLAN技術(shù)采用MACinUDP的封裝方式在傳統(tǒng)的IP網(wǎng)絡(luò)上虛擬出一層邏輯網(wǎng)絡(luò)。Underlay網(wǎng)絡(luò)即為支撐上層邏輯網(wǎng)絡(luò)的傳統(tǒng)IP網(wǎng)絡(luò)。Underlay網(wǎng)絡(luò)對上層邏輯網(wǎng)絡(luò)的支撐主要可分為以下兩個方面：①為邏輯網(wǎng)絡(luò)提供路由可達的Underlay網(wǎng)絡(luò)，使經(jīng)過VXLAN封裝后的業(yè)務(wù)報文在VXLAN節(jié)點之間互通。構(gòu)建Underlay網(wǎng)絡(luò)的路由互通可以采用OSPF，ISIS等IP單播路由協(xié)議。由于在園區(qū)網(wǎng)絡(luò)中主要使用OSPF路由實現(xiàn)IP網(wǎng)絡(luò)互通，且OSPF路由技術(shù)比較成熟，網(wǎng)絡(luò)建設(shè)維護人員使用經(jīng)驗豐富，因此Underlay網(wǎng)絡(luò)的路由互通推薦使用OSPF路由協(xié)議。采用控制器實現(xiàn)Underlay網(wǎng)絡(luò)路由域自動編排時僅支持OSPF路由協(xié)議。②在虛擬化園區(qū)方案中VXLAN網(wǎng)絡(luò)使用BGPEVPN技術(shù)實現(xiàn)控制面功能，因此需要在VXLAN隧道端點的VTEP設(shè)備上運行BGP路由協(xié)議。OSPF路由規(guī)劃設(shè)計Underlay網(wǎng)絡(luò)運行OSPF路由為VXLAN構(gòu)建的虛擬網(wǎng)絡(luò)提供報文封裝后的Underlay網(wǎng)絡(luò)互通功能。因此，OSPF路由在Underlay網(wǎng)絡(luò)的部署范圍為Border設(shè)備和Edge設(shè)備，實現(xiàn)Border設(shè)備同Edge設(shè)備以及Edge設(shè)備間的路由互通。在虛擬化園區(qū)方案中Underlay網(wǎng)絡(luò)的OSPF路由配置通過控制器自動完成。租戶管理員通過開啟Underlay路由自動編排功能并在Underlay網(wǎng)絡(luò)資源中提前規(guī)劃好互通的IP網(wǎng)段，控制器自動完成OSPF路由的編排并下發(fā)到Border和Edge設(shè)備，實現(xiàn)Underlay網(wǎng)絡(luò)的路由互通部署。Underlay網(wǎng)絡(luò)路由編排時會同時將設(shè)備上規(guī)劃的BGP協(xié)議的源接口（如Loopback0接口）的網(wǎng)段引入Underlay網(wǎng)絡(luò)OSPF區(qū)域，完成BGP協(xié)議源接口間的互通。教育城域網(wǎng)OSPF路由規(guī)劃教育城域網(wǎng)配置為OSPFArea0。城域網(wǎng)骨干節(jié)與街道辦匯聚和學(xué)校的核心交換機配置為一個OSPFArea中。BGP路由規(guī)劃設(shè)計虛擬化園區(qū)方案使用VXLAN技術(shù)完成虛擬網(wǎng)絡(luò)的構(gòu)建，在該方案中VXLAN隧道節(jié)點的VTEP設(shè)備（Border設(shè)備、Edge設(shè)備）同時運行BGP路由協(xié)議，使用BGPEVPN技術(shù)實現(xiàn)VXLAN網(wǎng)絡(luò)控制面的功能，包括VXLAN隧道動態(tài)建立，ARP/ND表項傳遞、路由信息傳遞等。部署B(yǎng)GP路由協(xié)議時，假設(shè)在一個園區(qū)內(nèi)部有n臺VTEP設(shè)備，那么建立的IBGP連接數(shù)就為n(n-1)/2。當(dāng)設(shè)備數(shù)目很多時，設(shè)備配置將十分復(fù)雜，而且配置后網(wǎng)絡(luò)資源和CPU資源的消耗都很大。在IBGP對等體間可以使用路由反射器解決以上問題，推薦將Border設(shè)備設(shè)置為路由反射器。在虛擬化園區(qū)方案中BGP路由的部署通過控制器自動完成，創(chuàng)建Fabric網(wǎng)絡(luò)時選定設(shè)備的角色，并選擇是否為路由反射器就可以在Fabric網(wǎng)絡(luò)創(chuàng)建時完成BGP路由協(xié)議的部署。Underlay網(wǎng)絡(luò)的BGP路由協(xié)議規(guī)劃此項目BGP路由的編排只關(guān)注Border和Edge設(shè)備，在學(xué)校Edge和城域網(wǎng)出口Border之間通過Loopback口建立IBGP鄰居關(guān)系。兩個Border作為RR反射器；網(wǎng)絡(luò)中Border和所有的Edge設(shè)備作為VTEP，通過EVPN同步信息，自動建立VxLAN隧道，完成VxLANFabric的構(gòu)建。（4）Fabric網(wǎng)絡(luò)規(guī)劃設(shè)計①Fabric網(wǎng)絡(luò)規(guī)劃Fabric網(wǎng)絡(luò)雙出口方案設(shè)計圖如下：Fabric網(wǎng)絡(luò)雙出口方案整體方案：A.整體采用SDN解決方案，通過控制器實現(xiàn)一網(wǎng)多用、自動化業(yè)務(wù)發(fā)放、業(yè)務(wù)隨行等功能。B.由于本項目網(wǎng)絡(luò)規(guī)模較大，出口核心位置較高，建議采用VxLAN分布式網(wǎng)關(guān)，校園核心交換機同時做VxLAN二層和三層網(wǎng)關(guān)，校園內(nèi)的流量本地轉(zhuǎn)發(fā)，效率更高，且避免集中式網(wǎng)關(guān)ARP表項瓶頸的問題，部署靈活，網(wǎng)絡(luò)可擴展性強。C.區(qū)委核心、XX大廈核心作為Fabric的雙border；D.每個學(xué)校的核心交換機默認(rèn)作為Fabric的edge；E.xx、xx中學(xué)等節(jié)點作為VxLAN的透傳節(jié)點；F.如果校園網(wǎng)絡(luò)接入設(shè)備滿足城域網(wǎng)SDN技術(shù)要求，可以作為Fabric的擴展接入點實現(xiàn)校園內(nèi)二層網(wǎng)絡(luò)的自動化配置下發(fā)。①Fabric接入規(guī)劃在虛擬化園區(qū)方案中，Edge設(shè)備作為VXLAN隧道的端點設(shè)備，負(fù)責(zé)將用戶流量接入Fabric網(wǎng)絡(luò)。Fabric接入設(shè)備的類型如圖，可以分為Fabric擴展交換機、Fabric擴展AP和終端。Edge設(shè)備下掛設(shè)備連接類型分為：Fabric擴展AP、Fabric擴展接入交換機和終端（PC、話機、啞終端、非Fabric擴展接入交換機/AP）。A.Fabric擴展AP場景（隨板AC）：AP為瘦AP模式，用戶網(wǎng)關(guān)設(shè)備作為WAC設(shè)備，對AP進行管理。B.Fabric擴展AP場景（獨立AC）：AP為瘦AP模式，旁掛獨立AC，對AP進行管理，AC與Edge之間二層互通。C.Fabric擴展接入交換機場景：設(shè)備可被控制器納管。通過控制器自動部署該設(shè)備同Edge設(shè)備的策略聯(lián)動功能，實現(xiàn)網(wǎng)絡(luò)接入策略執(zhí)行點從匯聚設(shè)備下移至接入設(shè)備，減輕匯聚設(shè)備的負(fù)擔(dān)。當(dāng)連接的為非Fabric擴展接入交換機的交換設(shè)備時，需自行保證通過該交換設(shè)備同用戶相連時二層互通。D.終端（PC、話機、啞終端、非Fabric擴展接入交換機/AP）場景：直接在Edge設(shè)備上進行認(rèn)證，并接入Fabric網(wǎng)絡(luò)。Fabric接入組網(wǎng)圖在Fabric接入設(shè)備規(guī)劃時，依據(jù)不同的園區(qū)網(wǎng)絡(luò)不同的網(wǎng)絡(luò)架構(gòu)部署時可以根據(jù)表進行相應(yīng)的部署。a.教職工有線辦公業(yè)務(wù)網(wǎng)場景完全由控制器進行自動化編排，控制器選擇端口接入的終端類型以及所屬的子網(wǎng)，配置自動化下發(fā)到校園二層網(wǎng)絡(luò)。由于校園的接入和匯聚不支持SDN技術(shù)的設(shè)備，無法自動化配置下發(fā)，需要人工配置，而且有線辦公網(wǎng)有IP地址溯源和業(yè)務(wù)隨行的訴求，存在授權(quán)VLAN的情況，因此校園匯聚設(shè)備需要以Untag的方式透傳業(yè)務(wù)VLAN，校園Edge設(shè)備接口配置前域PVIDVLAN，通過授權(quán)VLAN的方式實現(xiàn)有線辦公PC接入業(yè)務(wù)網(wǎng)絡(luò)。由于校園的接入和匯聚不支持SDN技術(shù)的設(shè)備，無法自動化配置下發(fā)，需要人工配置，而且啞終端沒有業(yè)務(wù)隨行的訴求，不存在授權(quán)VLAN的情況，因此校園匯聚設(shè)備需要以Tag的方式透傳啞終端業(yè)務(wù)VLAN，校園Edge設(shè)備接口配置以Tag方式加入啞終端業(yè)務(wù)VLAN實現(xiàn)啞終端接入業(yè)務(wù)網(wǎng)絡(luò)。b.視頻監(jiān)控業(yè)務(wù)網(wǎng)場景完全由控制器進行自動化編排，控制器選擇端口接入的終端類型為攝像頭以及攝像頭所屬的VLAN，配置自動化下發(fā)到校園二層網(wǎng)絡(luò)。由于校園的接入和匯聚不支持SDN技術(shù)的設(shè)備，無法自動化配置下發(fā)，需要人工配置，而且攝像頭沒有業(yè)務(wù)隨行的訴求，不存在授權(quán)VLAN的情況，因此校園匯聚設(shè)備需要以Tag的方式透傳攝像頭業(yè)務(wù)VLAN，校園Edge設(shè)備接口配置以Tag方式加入攝像頭業(yè)務(wù)VLAN實現(xiàn)接入視頻監(jiān)控業(yè)務(wù)網(wǎng)絡(luò)。（5）網(wǎng)絡(luò)服務(wù)資源規(guī)劃①VLAN/BD規(guī)劃在該方案中BD與VLAN的對應(yīng)關(guān)系為1:1，對應(yīng)一個VLAN，BD會在規(guī)劃的BD資源池中順序生成一個BD，因此對BD的具體規(guī)劃不需要關(guān)注，只需關(guān)注VLAN的規(guī)劃即可。BD資源池范圍的規(guī)劃應(yīng)滿足用戶VLAN數(shù)目的需要。VLAN規(guī)劃設(shè)計建議遵循如下原則：A.按照不同業(yè)務(wù)區(qū)域劃分不同的VLAN。B.同一業(yè)務(wù)區(qū)域按照具體的業(yè)務(wù)類型（如Web、APP、DB等）劃分不同的VLAN。C.VLAN編號建議連續(xù)分配，以保證VLAN資源合理利用。D.建議預(yù)留一定數(shù)目VLAN以方便后續(xù)擴展。VLAN的分類通常有業(yè)務(wù)VLAN、管理VLAN和互聯(lián)VLAN，設(shè)計建議如下表所示：②IP地址規(guī)劃IP地址的規(guī)劃建議遵循如下原則：A.唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機采用相同的IP地址。即使使用MPLS（MultiprotocolLabelSwitching，多協(xié)議標(biāo)記交換）或VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)）隔離，也建議不同VPNInstance（VRF）下不要使用相同的IP地址。B.連續(xù)性：同一業(yè)務(wù)的節(jié)點地址要連續(xù)，便于路由規(guī)劃和匯總。連續(xù)的地址便于路由聚合，可以減小路由表的大小，加快路由計算和收斂速率。比如，匯聚交換機下接入的網(wǎng)段可能有很多，在規(guī)劃的時候需要考慮路由聚合，這樣可以減少核心網(wǎng)絡(luò)的路由數(shù)。C.擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴展時無須新增地址段及路由條目。D.易維護：設(shè)備地址段、各業(yè)務(wù)地址段清晰區(qū)分，易于后續(xù)基于地址段實施統(tǒng)計監(jiān)控、安全防護等策略。好的IP地址規(guī)劃使每個地址具有實際含義，看到一個地址就可以大致判斷出該地址所屬的設(shè)備。IP地址的規(guī)劃可以與VLAN的規(guī)劃對應(yīng)起來。例如，IP地址的第三個字節(jié)與VLAN編號的后三位保持一致，這樣可以便于管理員記憶和管理。園區(qū)內(nèi)部的IP地址建議使用私網(wǎng)IP地址，在邊緣網(wǎng)絡(luò)通過NAT轉(zhuǎn)換成公網(wǎng)地址后接入公網(wǎng)。園區(qū)網(wǎng)中的DMZ區(qū)或Internet互聯(lián)區(qū)有少量設(shè)備使用公網(wǎng)IP。園區(qū)網(wǎng)的IP地址主要分為管理IP地址、互聯(lián)IP地址和業(yè)務(wù)IP地址，如下表所示。③DHCP規(guī)劃大中型園區(qū)需要規(guī)劃獨立的DHCPServer，DHCP的規(guī)劃建議如下：A.建議整個園區(qū)規(guī)劃一個DHCPServer來簡化運維；建議在接入層設(shè)備配置DHCPSnooping，能夠保證客戶端從合法的DHCPServer獲取IP地址，避免被非法攻擊B.IP地址分配提供兩種分配機制，網(wǎng)絡(luò)管理員可以根據(jù)網(wǎng)絡(luò)需求為不同的主機選擇不同的分配策略：動態(tài)分配機制：為指定主機分配動態(tài)IP地址。適用于主機需要臨時接入或者IP地址不足的場景，例如企業(yè)辦事處的出差員工便攜機、咖啡廳的移動終端。靜態(tài)分配機制：為指定主機分配固定的IP地址。適用于對IP地址有特殊要求的主機，例如打印機等啞終端地址、DNSServer的地址，需要固定的IP地址。根據(jù)客戶端在線時間合理規(guī)劃租期，大中型園區(qū)場景中的辦公區(qū)在線時間長，需要規(guī)劃較長的租期。大中型園區(qū)DHCP服務(wù)器和園區(qū)主機不在同一個網(wǎng)段，需要網(wǎng)關(guān)開啟DHCP中繼功能。IP地址溯源，新一代網(wǎng)絡(luò)核心服務(wù)自動化開通平臺能自動、有效地管理訪問網(wǎng)絡(luò)的IP/MAC資源，實時提供更新數(shù)據(jù)，控制未授權(quán)IP/MAC地址訪問網(wǎng)絡(luò)，從而提高內(nèi)部網(wǎng)絡(luò)的安全性。（6）虛擬網(wǎng)絡(luò)規(guī)劃虛擬網(wǎng)絡(luò)的劃分：在虛擬化園區(qū)網(wǎng)絡(luò)方案中，每個虛擬網(wǎng)絡(luò)為一個VPN實例，一個虛擬網(wǎng)絡(luò)中可以包含多個子網(wǎng)，同一虛擬網(wǎng)絡(luò)內(nèi)的用戶之間默認(rèn)是可以互通，虛擬網(wǎng)絡(luò)之間的用戶默認(rèn)是路由隔離的。虛擬網(wǎng)絡(luò)的規(guī)劃可以依據(jù)以下原則：①獨立的業(yè)務(wù)部門作為一個虛擬網(wǎng)絡(luò)。同一業(yè)務(wù)部門內(nèi)用戶身份的差異導(dǎo)致的隔離要求不要通過虛擬網(wǎng)絡(luò)實現(xiàn)，可以通過基于用戶角色劃分的安全組的組間策略來管控。②虛擬網(wǎng)絡(luò)中子網(wǎng)的規(guī)劃在虛擬網(wǎng)絡(luò)中，Edge節(jié)點是業(yè)務(wù)數(shù)據(jù)從物理網(wǎng)絡(luò)進入虛擬網(wǎng)絡(luò)的邊界點，根據(jù)用戶所屬的VLAN進入虛擬網(wǎng)絡(luò)的不同子網(wǎng)。因此在設(shè)計網(wǎng)絡(luò)時，需要先規(guī)劃好物理網(wǎng)絡(luò)的VLAN和虛擬網(wǎng)絡(luò)子網(wǎng)的映射關(guān)系，同時配置有線用戶和無線用戶的VLAN。有線用戶報文根據(jù)VLAN直接入VXLAN虛擬網(wǎng)絡(luò)，無線用戶報文經(jīng)過CAPWAP隧道轉(zhuǎn)發(fā)至WAC（WAC可是Edge或Border節(jié)點），WAC解封裝CAPWAP報文后，再根據(jù)無線用戶所屬的VLAN進入對應(yīng)的VXLAN網(wǎng)絡(luò)。由于虛擬網(wǎng)絡(luò)子網(wǎng)的接入一般會依賴用戶認(rèn)證技術(shù)，因此推薦將相同類型的終端加入同一子網(wǎng)。虛擬網(wǎng)絡(luò)子網(wǎng)的VLAN接入的方式兩種：靜態(tài)VLAN和動態(tài)VLAN。虛擬業(yè)務(wù)網(wǎng)劃分本項目當(dāng)前劃分有線辦公虛擬網(wǎng)和視頻監(jiān)控虛擬網(wǎng)，后續(xù)也可以根據(jù)業(yè)務(wù)需要添加和創(chuàng)建新的虛擬網(wǎng)。（7）虛擬網(wǎng)絡(luò)互訪規(guī)劃本次項目學(xué)校視頻監(jiān)控虛擬網(wǎng)絡(luò)和有線辦公虛擬網(wǎng)絡(luò)默認(rèn)隔離。后續(xù)如有新增的虛擬網(wǎng)絡(luò)和有線辦公虛擬網(wǎng)絡(luò)互訪訴求，也可以編排虛擬網(wǎng)絡(luò)的互訪策略。實現(xiàn)虛擬網(wǎng)絡(luò)的互訪主要有兩種方式，在Fabric網(wǎng)絡(luò)內(nèi)互訪和通過防火墻設(shè)備進行互訪。建議編排在Fabric網(wǎng)絡(luò)內(nèi)部互訪。虛擬網(wǎng)絡(luò)之間在Fabric網(wǎng)絡(luò)內(nèi)互訪的流量示意圖如圖1。在Fabric網(wǎng)絡(luò)內(nèi)實現(xiàn)的虛擬網(wǎng)絡(luò)互訪需要在設(shè)備上配置不同VN之間的路由引入，可通過邏輯網(wǎng)絡(luò)中VN互訪的配置實現(xiàn)。虛擬網(wǎng)絡(luò)之間在Fabric網(wǎng)絡(luò)內(nèi)互訪的流量示意圖（8）IP規(guī)劃設(shè)計方案①IP地址規(guī)劃方案有線辦公網(wǎng)PC接入采用自動獲取固定IP地址方式，結(jié)合DHCP服務(wù)器實現(xiàn)。無線wifi建議采用動態(tài)獲取IP地址的方式，保留現(xiàn)有方式不變。打印機、電子班牌、電子白板等啞終端設(shè)備建議采用靜態(tài)IP地址方式。視頻監(jiān)控建議采用靜態(tài)IP地址方式。②IP地址溯源有線辦公業(yè)務(wù)網(wǎng)固定IP地址獲取方式有線辦公業(yè)務(wù)網(wǎng)絡(luò)終端需要固定IP做溯源，通過集中式Radius和DHCP服務(wù)器實現(xiàn)。?教職工的辦公電腦首次接入網(wǎng)絡(luò)，在DHCP服務(wù)器臨時地址池拿地址，不做地址綁定；?Portal認(rèn)證成功后，Radius根據(jù)用戶賬號授權(quán)業(yè)務(wù)VLAN；?教職工的辦公電腦在業(yè)務(wù)VLAN對應(yīng)的DHCP服務(wù)器地址池拿地址，DHCP服務(wù)器做IP綁定，后續(xù)該IP只能給該教職工的辦公電腦使用；?教職工的辦公電腦后續(xù)再接入網(wǎng)絡(luò)直接Mac無感知授權(quán)到業(yè)務(wù)VLAN拿固定地址訪問網(wǎng)絡(luò)。?無線網(wǎng)絡(luò)不做固定IP溯源，通過用戶賬號（手機號、驗證碼）溯源。DHCP服務(wù)器方案設(shè)計（第三方廠家功能，如有固定IP要求下使用）DHCP服務(wù)器需要具備如下的功能，滿足此項目教職工辦公網(wǎng)IP地址動態(tài)分配和溯源的問題。?中文web界面管理?可視化IP地址集中管理?IP資產(chǎn)數(shù)據(jù)報表分析?高級DHCPOption參數(shù)應(yīng)用?IPv4、IPv6雙棧管理?高性能專業(yè)級DHCP服務(wù)器為滿足教職工訪問互聯(lián)網(wǎng)審計溯源的需要，在開啟DHCP的情況下不允許有線辦公設(shè)備IP地址隨意變動，必須IP-MAC一一對應(yīng)，可以使用IP地址綁定推送功能，系統(tǒng)通過識別設(shè)備MAC地址，固定下發(fā)與MAC相對應(yīng)的的IP地址，同時對IP進行實名制信息備注，提高IP地址管理的準(zhǔn)確性和規(guī)范性。綁定推送功能在效果上與使用靜態(tài)IP地址相同，同時在變更地址、更換上網(wǎng)設(shè)備、更換辦公地址等情況下，減少了網(wǎng)絡(luò)管理員手工輸入配置IP地址的工作量。自動化的IP地址管理設(shè)備部署完畢后，有線辦公設(shè)備將摒棄傳統(tǒng)的手工設(shè)置固定IP地址的方式，全部采用自動獲取IP地址的方式；可讓管理員有效管理有線辦公網(wǎng)，并能實現(xiàn)IP地址的有效分配、追蹤、回收、審計以達到對網(wǎng)絡(luò)可視性管理的目的。動態(tài)實名的DHCP分配回收，系統(tǒng)通過IP、MAC、計算機名、操作系統(tǒng)、端口號五元素定位一個終端，隨機動態(tài)分配時可以對MAC地址進行實名制信息登記，通過MAC地址確定使用人，設(shè)備出現(xiàn)問題可以通過IP對設(shè)備進行快速定位。功能視圖如下：4.城域網(wǎng)出口網(wǎng)絡(luò)規(guī)劃設(shè)計（1）防火墻安全規(guī)劃1）安全區(qū)域規(guī)劃安全區(qū)域介紹：安全區(qū)域（SecurityZone），簡稱為區(qū)域（Zone），是一個或多個接口所連網(wǎng)絡(luò)的集合，這些網(wǎng)絡(luò)中的用戶具有相同的安全屬性。大部分的安全策略都基于安全區(qū)域?qū)嵤?。通過安全區(qū)域，防火墻上劃分出了等級森嚴(yán)、關(guān)系明確的網(wǎng)絡(luò)，防火墻成為連接各個網(wǎng)絡(luò)的節(jié)點。防火墻通過安全區(qū)域來劃分網(wǎng)絡(luò)、標(biāo)識報文流動的“路線”，當(dāng)報文在不同的安全區(qū)域之間流動時，才會觸發(fā)安全檢查，并實施相應(yīng)的安全策略。安全區(qū)域之間默認(rèn)是隔離的。通常情況下，三個安全區(qū)域，分別是Trust、DMZ和Untrust：?Trust區(qū)域，該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度高，通常用來定義內(nèi)部用戶所在的網(wǎng)絡(luò)。?DMZ區(qū)域，該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度中等，通常用來定義內(nèi)部服務(wù)器所在的網(wǎng)絡(luò)。?Untrust區(qū)域，該區(qū)域代表的是不受信任的網(wǎng)絡(luò)，通常用來定義Internet等不安全的網(wǎng)絡(luò)。安全區(qū)域規(guī)劃：一般可以認(rèn)為園區(qū)內(nèi)網(wǎng)是安全的，安全威脅主要來自外界，所以把Internet劃分為Untrust區(qū)域，園區(qū)內(nèi)網(wǎng)劃分為Trust區(qū)域，在園區(qū)出口位置部署安全設(shè)備來做內(nèi)外網(wǎng)隔離，抵御外網(wǎng)威脅。數(shù)據(jù)中心區(qū)域一般劃分為DMZ區(qū)域，在DMZ區(qū)域部署防火墻來做園區(qū)內(nèi)網(wǎng)與數(shù)據(jù)中心各服務(wù)器之間的流量隔離。在園區(qū)虛擬化方案中，對于用戶網(wǎng)關(guān)位于Fabric網(wǎng)絡(luò)內(nèi)部時，F(xiàn)abric網(wǎng)絡(luò)外部網(wǎng)絡(luò)資源的每一個出口對應(yīng)防火墻上的一個三層的邏輯接口，在外部網(wǎng)絡(luò)資源的出口規(guī)劃時已經(jīng)根據(jù)具有相同安全策略的虛擬網(wǎng)絡(luò)按照不同的邏輯出口進行劃分，因此在本方案中，可以直接根據(jù)外部網(wǎng)絡(luò)資源的接口進行安全區(qū)域的劃分，每一個邏輯接口綁定一個安全區(qū)域。對于用戶網(wǎng)關(guān)位于Fabric網(wǎng)絡(luò)外部時，需要根據(jù)網(wǎng)關(guān)對應(yīng)的安全策略，將不同網(wǎng)關(guān)綁定相應(yīng)的安全區(qū)域。用戶網(wǎng)關(guān)位于Fabric網(wǎng)絡(luò)內(nèi)部時防火墻安全區(qū)域的劃分示意圖2）NAT規(guī)劃NAT（NetworkAddressTranslation）是一種地址轉(zhuǎn)換技術(shù)，支持將報文的源地址進行轉(zhuǎn)換，也支持將報文的目的地址進行轉(zhuǎn)換。對于園區(qū)網(wǎng)絡(luò)內(nèi)網(wǎng)使用私網(wǎng)地址時，若需要同Internet互通，需配置NAT功能。防火墻做出口設(shè)備時，NAT配置有以下規(guī)劃注意點：若內(nèi)網(wǎng)為私網(wǎng)IP地址時，用戶流量通過防火墻訪問互聯(lián)網(wǎng)時，需要采用源NAT技術(shù)將報文的源IP地址轉(zhuǎn)換成公網(wǎng)IP地址。推薦采用NAPT的方式，轉(zhuǎn)換時同時轉(zhuǎn)換地址和端口，實現(xiàn)多個私網(wǎng)地址共用一個或多個公網(wǎng)地址的地址轉(zhuǎn)換方式。適用于公網(wǎng)地址數(shù)量少，需要上網(wǎng)的私網(wǎng)用戶數(shù)量大的場景。若內(nèi)網(wǎng)服務(wù)器資源作為服務(wù)器端向公網(wǎng)用戶提供服務(wù)器端相關(guān)服務(wù)時，需要采用目的NAT技術(shù)將公網(wǎng)用戶的訪問流量對應(yīng)的目的IP和端口號轉(zhuǎn)換成服務(wù)器端在內(nèi)網(wǎng)環(huán)境的IP地址和端口號，完成服務(wù)提供。在防火墻雙機熱備主備模式下，如果NAT地址池中的地址與FW的上行接口的VRRP備份組地址在同一網(wǎng)段，那么外網(wǎng)返回的回程報文到達PE設(shè)備后，PE設(shè)備會廣播ARP報文請求NAT地址池中地址對應(yīng)的MAC地址。由于兩臺FW上有相同的NAT地址池配置，所以兩臺FW都會將自身上行接口的MAC地址回應(yīng)給PE設(shè)備。因此在這種場景下需在防火墻設(shè)備上配置NAT地址池與防火墻雙機熱備的狀態(tài)進行綁定，僅讓雙機熱備的主設(shè)備應(yīng)答PE設(shè)備的ARP請求。（二）校園網(wǎng)物理網(wǎng)絡(luò)設(shè)計拓?fù)淦战绦@網(wǎng)網(wǎng)絡(luò)物理網(wǎng)絡(luò)又叫underlay網(wǎng)絡(luò)，由物理交換機，WLAN，防火墻等網(wǎng)絡(luò)設(shè)備構(gòu)成的物理基礎(chǔ)網(wǎng)絡(luò)，為虛擬網(wǎng)絡(luò)提供底層IP互通能力。智慧校園網(wǎng)的物理網(wǎng)絡(luò)拓?fù)鋱D如上圖所示，在學(xué)校機房部署出口區(qū)和核心層網(wǎng)絡(luò)設(shè)備，在教學(xué)樓部署匯聚層和接入層網(wǎng)絡(luò)設(shè)備，用以接入終端應(yīng)用層設(shè)備。1.出口區(qū)設(shè)計（學(xué)校自身有Internet出口）在智慧校園網(wǎng)出口區(qū)部署兩臺出口防火墻與教育城域網(wǎng)/Internet連接，互為備份有效避免單點設(shè)備和單鏈路故障。出口防火墻用以防御DoS/DDoS攻擊、ARP欺騙攻擊、TCP報文標(biāo)志位不合法攻擊、LargeICMP報文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊。2.核心層設(shè)計（學(xué)校自身無Internet出口，核心交換機作為連接教育城域網(wǎng)出口）核心區(qū)是整個網(wǎng)絡(luò)的樞紐，連接著網(wǎng)絡(luò)內(nèi)的各個區(qū)域。承擔(dān)了內(nèi)部數(shù)據(jù)流量和對外數(shù)據(jù)流量，在邏輯上成為可靠性、安全性設(shè)計的中心。核心交換機推薦采用具有高吞吐量性能的核心萬兆交換機，滿足64Tbps交換容量、19200Mpps包轉(zhuǎn)發(fā)率及至少8個業(yè)務(wù)槽位，滿足核心設(shè)備3-5年內(nèi)先進性和可擴展性。為保證可靠性，核心層采用2臺相同規(guī)格核心交換機連接各個區(qū)域，對內(nèi)完成業(yè)務(wù)數(shù)據(jù)的內(nèi)部交換，對外接入各系統(tǒng)訪問，形成萬兆無阻塞線速轉(zhuǎn)發(fā)骨干網(wǎng)。核心層設(shè)備與所有匯聚交換機直連，轉(zhuǎn)發(fā)各個教學(xué)樓之間的流量。核心層專注于數(shù)據(jù)轉(zhuǎn)發(fā)的穩(wěn)定可靠，功能配置應(yīng)盡量簡單，并且和校園網(wǎng)的具體業(yè)務(wù)無關(guān)。核心層應(yīng)使用CSS2（ClusterSwitchSystem）技術(shù)，將兩臺交換機從邏輯上整合成一臺交換機，只要保證任意一框的一個主控板運行正常，多框業(yè)務(wù)即可穩(wěn)定運行。無線網(wǎng)絡(luò)的組網(wǎng)采用隨板AC的方式，部署在核心交換機上，實現(xiàn)對網(wǎng)絡(luò)中的AP進行管控，實現(xiàn)有線無線深度融合接入、轉(zhuǎn)發(fā)、管理。3.匯聚層設(shè)計匯聚層是一幢教學(xué)樓的匯聚點，匯聚層的設(shè)備用來轉(zhuǎn)發(fā)本區(qū)域用戶到其他區(qū)域用戶的橫向流量，同時發(fā)送本區(qū)域用戶流量到核心層。匯聚層將大量用戶接入到校園網(wǎng)中，模塊化擴展接入核心層設(shè)備的用戶數(shù)量。匯聚層采用具有高帶寬、高端口密度、高轉(zhuǎn)發(fā)性能的交換機，用于支撐該匯聚層下各業(yè)務(wù)部門之間的流量。匯聚層交換機通常使用CSS（ClusterSwitchSystem）技術(shù)，將多臺交換機從邏輯上整合成一臺交換機。然后將匯聚層的CSS系統(tǒng)和核心層的CSS系統(tǒng)之間的多條鏈路捆綁，用來傳輸數(shù)據(jù)。這樣既簡化了配置和管理，又提高了網(wǎng)絡(luò)的可靠性和擴展能力。4.接入層設(shè)計接入層是最靠近終端用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，一般部署二層交換機。接入層除了需要部署豐富的二層特性外，還需要部署安全、可靠性等相關(guān)功能。同時，接入層需要具有高密度、高速率的端口，以支持更多的終端接入校園網(wǎng)絡(luò)。滿足不同接入要求：可能包括：不同類型終端的接入、不同接口速率的接入、對網(wǎng)絡(luò)質(zhì)量的不同要求的接入、其他一些要求，如PoE供電等。適度考慮擴展性提供安全特性簡化網(wǎng)絡(luò)部署和管理有線網(wǎng)絡(luò)的接入層設(shè)備是交換機下行鏈路：一般選擇自適應(yīng)千兆電口，對外提供RJ45形式接口，可以匹配絕大多數(shù)接入設(shè)備，并預(yù)留一定數(shù)量的空余端口以便于后續(xù)增加新設(shè)備。當(dāng)一個點的接入設(shè)備較多時，交換機采用堆疊方式，各交換機相互協(xié)同，邏輯上形成一臺設(shè)備，可在不改變網(wǎng)絡(luò)拓?fù)涞那闆r下提供更多的接入端口。接入層交換機堆疊上行鏈路：由于匯聚層配置兩臺相同規(guī)格交換機，因此接入層上行鏈路采用鏈路聚合或者雙歸上行方式，大大增強了上行鏈路的可靠性。無線網(wǎng)絡(luò)的接入層設(shè)備是AP上行鏈路：AP與接入交換機上行對接，一般采用自適應(yīng)千兆電口，并且接入交換機如支持POE功能，可以直接通過網(wǎng)線為AP供電，簡化布線工作。如需增強可靠性，可考慮鏈路聚合或者雙上行方式。5.VLAN規(guī)劃設(shè)計（1）VLAN概述VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是將一個物理的LAN在邏輯上劃分成多個廣播域的通信技術(shù)。VLAN內(nèi)的主機間可以直接通信，而VLAN間不能直接互通，從而將廣播報文限制在一個VLAN內(nèi)?；谛@網(wǎng)內(nèi)擁有比較多不同的業(yè)務(wù)類型，并且不同類型網(wǎng)絡(luò)使用者也有很大差別，因此進行VLAN的合理規(guī)劃將可以幫助建設(shè)一個穩(wěn)定運作的教學(xué)合一的網(wǎng)絡(luò)。（2）按功能劃分VLAN在校園網(wǎng)絡(luò)中，可以按功能將VLAN劃分為以下幾種：1）管理VLAN網(wǎng)絡(luò)中的交換機需要劃分管理VLAN，在管理VLAN中配置IP地址，以便日常維護。管理VLAN要與用戶VLAN嚴(yán)格區(qū)分。2）業(yè)務(wù)VLAN業(yè)務(wù)VLAN指為終端接入用戶劃分的VLAN，針對校園網(wǎng)中不同區(qū)域，VLAN劃分方法不同。建議為每一接入交換機劃分一個VLAN，并設(shè)置端口隔離，實現(xiàn)配置的簡化和用戶間的隔離。XX公司敏捷校園網(wǎng)采用策略聯(lián)動的方式對接入交換機進行管理，在校園網(wǎng)中，接入層設(shè)備數(shù)量眾多且位置分布廣，若在每個接入層設(shè)備上部署NAC認(rèn)證和用戶訪問策略，工作量巨大且策略調(diào)整不靈活。通過策略聯(lián)動，核心S12700E作為控制設(shè)備對用戶進行統(tǒng)一認(rèn)證和管理用戶的訪問策略，并聯(lián)動接入交換機，使其僅執(zhí)行用戶的訪問策略，從而既實現(xiàn)了對用戶訪問網(wǎng)絡(luò)的控制，又簡化了接入設(shè)備的配置和管理。VLAN可以根據(jù)多種原則組合劃分，如以下舉例：3）按照邏輯區(qū)域劃分VLAN范圍：例如：?核心網(wǎng)絡(luò)區(qū)：100～199?服務(wù)器區(qū)：200～999，預(yù)留1000～1999?接入網(wǎng)絡(luò)：2000～3499?業(yè)務(wù)網(wǎng)絡(luò)：3500～39994）按照地理區(qū)域劃分VLAN范圍例如：?接入網(wǎng)絡(luò)A的地理區(qū)域使用2000～2199?接入網(wǎng)絡(luò)B的地理區(qū)域使用2200～23995）按照人員結(jié)構(gòu)劃分VLAN范圍例如：?接入網(wǎng)絡(luò)A地理區(qū)域A部門使用2000～2009?接入網(wǎng)絡(luò)B地理區(qū)域B部門使用2010～20196）按照業(yè)務(wù)功能劃分VLAN范圍（當(dāng)采用業(yè)務(wù)隨行之后，VLAN無需與人員身份關(guān)聯(lián)，故可以不再考慮該因素）例如：?Web服務(wù)器區(qū)域：200～299?APP服務(wù)器區(qū)域：300～399?DB服務(wù)器區(qū)域：400～4996.IP地址規(guī)劃設(shè)計IP地址規(guī)劃是網(wǎng)絡(luò)設(shè)計中的重要一環(huán)，大型網(wǎng)絡(luò)必須對IP地址進行統(tǒng)一規(guī)劃。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴展和管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進一步發(fā)展?？紤]到網(wǎng)絡(luò)擴展性，在規(guī)劃園區(qū)IP地址時主要以易管理為主要目標(biāo)。原則上服務(wù)器，特殊終端設(shè)備（打卡機、打印服務(wù)器、IP視頻監(jiān)控設(shè)備等）和生產(chǎn)設(shè)備建議采用靜態(tài)IP。辦公用設(shè)備建議使用DHCP動態(tài)獲取，如辦公用PC、IP電話等。（1）園區(qū)IP地址的的分類如下：1）管理地址：VLANIF地址作為管理IP，建議網(wǎng)關(guān)下的所有二層交換機使用同一網(wǎng)段。Loopback地址作為管理IP，Loopback地址掩碼統(tǒng)一為32位。堆疊或集群系統(tǒng)建議預(yù)留兩個管理IP以方便其靈活選擇。2）互聯(lián)地址：互聯(lián)地址是指兩臺網(wǎng)絡(luò)設(shè)備相互連接的接口所需要的地址?；ヂ?lián)地址務(wù)必使用30位掩碼的地址。核心設(shè)備使用較小的一個地址，互聯(lián)地址通常要聚合后發(fā)布，在規(guī)劃時要充分考慮使用連續(xù)的可聚合地址。3）業(yè)務(wù)地址：業(yè)務(wù)地址是連接在以太網(wǎng)上的各種服務(wù)器、主機所使用的地址以及網(wǎng)關(guān)的地址，業(yè)務(wù)地址規(guī)劃時所有的網(wǎng)關(guān)地址統(tǒng)一使用相同的末位數(shù)字，如：.254都是表示網(wǎng)關(guān)。每一類子業(yè)務(wù)的地址范圍要清晰區(qū)分，每一類子業(yè)務(wù)的服務(wù)器和客戶端的地址范圍也要清晰區(qū)分。每一類業(yè)務(wù)終端地址連續(xù)，可聚合。考慮廣播域范圍及規(guī)劃的簡易程度，建議為每個業(yè)務(wù)地址段預(yù)留掩碼為24位的地址段，如果業(yè)務(wù)終端超出200，再為其順延一個掩碼為24位的地址段。4）園區(qū)網(wǎng)內(nèi)部的IP地址：匯聚交換機下接入的網(wǎng)段可能有很多，在規(guī)劃的時候需要考慮路由是可以聚合的，這樣可以減少核心網(wǎng)絡(luò)的路由數(shù)目。5）業(yè)務(wù)隨行的IP地址：業(yè)務(wù)隨行方案中安全組的規(guī)劃非常重要。IP地址規(guī)劃對于靜態(tài)資源類安全組的配置也存在重要的影響。相同用途接口、主機或服務(wù)器的IP地址規(guī)劃至同一網(wǎng)段中，可以大幅簡化安全組的配置。例如，所有網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備接口的互聯(lián)IP地址雖然通過子網(wǎng)掩碼分隔成多了網(wǎng)段（/30、/30等），但是如果在IP地址規(guī)劃時為設(shè)備接口IP地址預(yù)留了一個統(tǒng)一的網(wǎng)段（/16），在配置代表網(wǎng)絡(luò)接口的安全組時就非常方便。（2）網(wǎng)關(guān)位置選擇：網(wǎng)關(guān)作為園區(qū)網(wǎng)絡(luò)二層交換、三層路由的分界點，其部署位置可以根據(jù)網(wǎng)絡(luò)規(guī)模和業(yè)務(wù)需要而靈活設(shè)置。1）網(wǎng)關(guān)選擇在匯聚層：對于經(jīng)典的三層結(jié)構(gòu)，通用的作法是將網(wǎng)關(guān)設(shè)置在匯聚層。這樣二層廣播范圍適中，接入的終端數(shù)量及對網(wǎng)關(guān)設(shè)備的ARP/MAC等表項要求也比較合適。2）網(wǎng)關(guān)選擇在核心層：對于有些場景中希望對園區(qū)內(nèi)的訪問行為集中管控，或存在大范圍跨設(shè)備的VLAN部署（例如無線漫游、虛機遷移、VoiceVLAN、基于用戶身份的VLAN分配等業(yè)務(wù)），會將網(wǎng)關(guān)直接部署在核心層。這種場景所有的終端均以核心層設(shè)備作為網(wǎng)關(guān)，對核心層設(shè)備的ARP、MAC、用戶數(shù)等規(guī)格要求較高；同時網(wǎng)關(guān)設(shè)在核心層，廣播域較大，需要采取其他手段來減小廣播域，例如端口隔離或為每個端口劃分一個VLAN等方式，如果VLAN規(guī)格與終端數(shù)量有差距，也可能需要部署QinQVLAN。7.IP路由設(shè)計路由設(shè)計力求結(jié)構(gòu)簡單、涉及的協(xié)議單一，部署盡量少的策略。（1）園區(qū)內(nèi)部路由協(xié)議選擇：建議采用匯聚交換機作為路由和交換的分界點，這樣只需要在匯聚交換機和核心交換機上配置路由，大量的接入交換機只做二層交換，配置簡單，減少配置維護工作量。園區(qū)網(wǎng)內(nèi)選擇IGP，IGP可以動態(tài)感知網(wǎng)絡(luò)拓?fù)渥兓⒓皶r收斂，而且現(xiàn)在的網(wǎng)絡(luò)設(shè)備性能足夠滿足IGP運行。所以建議選擇動態(tài)路由協(xié)議。多種IGP中，優(yōu)先選擇OSPF，由于OSPF的多種特性更適合園區(qū)特性，對大型、小型網(wǎng)絡(luò)均能適應(yīng)，大多數(shù)管理員也非常熟悉OSPF，所以推薦在園區(qū)內(nèi)部部署OSPF。除了網(wǎng)絡(luò)合并的場景，園區(qū)網(wǎng)中部署多種路由協(xié)議大多是為了在路由域邊界處靈活設(shè)置Cost值來進行路徑選擇。建議園區(qū)內(nèi)部署OSPF一種IGP即可。（2）OSPF設(shè)計：以當(dāng)前設(shè)備性能及現(xiàn)有成熟案例評估，OSPF可容納1000臺路由器，單區(qū)域至少可容納100臺設(shè)備。這些規(guī)格已經(jīng)滿足當(dāng)前大部分園區(qū)網(wǎng)的要求。以網(wǎng)關(guān)部署在匯聚層的場景為例，將核心層和出口區(qū)之間的骨干區(qū)域部署在Area0中，出口路由器作為ASBR和ABR，核心交換機為ABR。每個匯聚交換機和核心交換機組網(wǎng)部署為不同的OSPF區(qū)域，分別是Area1、Area2、AreaN。校園網(wǎng)OSPF路由設(shè)計（3）BGP設(shè)計校園網(wǎng)出口設(shè)備與教育城域網(wǎng)之間運行BGP，僅引入默認(rèn)路由即可。校園網(wǎng)BGP路由設(shè)計1）AS編號的規(guī)劃：由于教育城域網(wǎng)中都是專有私網(wǎng)，所以BGP使用私有的AS編號。2）兩臺出口路由器之間運行BGP協(xié)議，以Loopback接口地址建立IBGP鄰居。保證只要有外網(wǎng)路徑可達，無論企業(yè)內(nèi)部設(shè)備流量上送到哪臺出口設(shè)備，都可以正常尋址。3）普教園區(qū)網(wǎng)內(nèi)僅運行IGP協(xié)議（通常使用OSPF），不運行BGP協(xié)議；由于OSPF的路由表較BGP路由表小很多，兩臺出口路由器僅通告缺省路由給內(nèi)部網(wǎng)絡(luò)（通過IGP通告），不將BGP路由對園區(qū)內(nèi)網(wǎng)設(shè)備進行通告。8.QoS規(guī)劃設(shè)計在校園網(wǎng)絡(luò)中，由于業(yè)務(wù)類型較多，不同類型業(yè)務(wù)對網(wǎng)絡(luò)質(zhì)量要求不同。某些關(guān)鍵業(yè)務(wù)，例如多媒體互動教學(xué)業(yè)務(wù)，既需要保證流量帶寬要求，也需要保證傳輸時延要求。在多業(yè)務(wù)共存的校園網(wǎng)絡(luò)中需要采用QoS技術(shù)對關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)質(zhì)量進行差異化保障。針對帶寬、時延、抖動、丟包率等要求，QoS可以通過優(yōu)先級映射、流量監(jiān)管、流量整形、隊列調(diào)度、擁塞避免等技術(shù)提升網(wǎng)絡(luò)服務(wù)質(zhì)量，滿足用戶在有限的資源限制情況下，獲得多業(yè)務(wù)部署的最佳體驗。QoS采用Diff-Serv模型，其核心思想是為不同類型的流量提供有差別的服務(wù)，主要分為接入層業(yè)務(wù)識別、核心層DiffServ部署二個方面。QoS規(guī)劃設(shè)計接入層業(yè)務(wù)識別：接入交換機作為邊界交換機，在UNI（UserNetworkInterface）側(cè)需要擔(dān)負(fù)數(shù)據(jù)流的識別、分類以及流標(biāo)記的工作，而在NNI（NetworkNodeInterface）側(cè)需要擔(dān)負(fù)不同應(yīng)用數(shù)據(jù)流的擁塞管理、擁塞避免、流量整形等工作。在實際部署的時候，接入交換機上不同的端口接入了不同的終端，在接入交換機上可以給這些不同的業(yè)務(wù)分配不同的優(yōu)先級，之后，在網(wǎng)絡(luò)中按設(shè)定的優(yōu)先級進行調(diào)度。核心層Diffserv調(diào)度：核心層設(shè)備端口信任DSCP（或者802.1P），基于接入層標(biāo)識的QoS參數(shù)，通過隊列調(diào)度、流量整形、擁塞避免等方式實施QoS策略，保證高優(yōu)先級業(yè)務(wù)優(yōu)先獲得調(diào)度。9.有線無線融合設(shè)計（1）傳統(tǒng)的園區(qū)網(wǎng)絡(luò)方案中，有線、無線網(wǎng)絡(luò)都是分開規(guī)劃、部署和管理的，造成了煙囪式的割裂系統(tǒng)。這種組網(wǎng)方式存在如下問題：1）AC設(shè)備不管是獨立AC還是AC插卡，都需要另行采購硬件設(shè)備2）無線流量存在迂回，無線帶寬受到限制3）有線用戶和無線用戶策略控制點不一致，管理平面相互獨立XX公司推出的ENP交換機自帶隨板AC功能，具有WLAN業(yè)務(wù)處理功能，也就是說部署一臺ENP交換機即可同時具備AC功能，實現(xiàn)有線無線一體化部署和管理。ENP芯片支持商用ASIC的基本有線網(wǎng)絡(luò)報文識別、處理和轉(zhuǎn)發(fā)能力，以及多核CPU的可編程能力，兩者功能的結(jié)合完美的解決了有線無線設(shè)備融合的訴求，不僅可以處理傳統(tǒng)的有線報文，而且通過編程可以實現(xiàn)對CAPWAP的識別和處理能力，而且一塊ENP的單引擎硬件架構(gòu)簡單，成本低廉。（2）有線無線融合技術(shù)使用框式設(shè)備的一塊板卡，實現(xiàn)了對有線和無線設(shè)備、用戶的融合管理，相較于傳統(tǒng)的交換機加獨立AC或交換機加框式AC插卡，具有如下優(yōu)勢：1）節(jié)省投資資本2）提升轉(zhuǎn)發(fā)容量3）融合管理界面4）用戶策略和管理統(tǒng)一5）高可靠性6）擴容靈活單個普教園區(qū)的AP數(shù)量一般不超過500個，因此有線無線融合設(shè)計中建議采用二層網(wǎng)絡(luò)部署，簡化組網(wǎng)，便于運維和管理。有線無線融合方案有線無線融合管理點部署：在核心層部署攜帶ENP板卡的框式交換機，作為有線無線融合管理點，有線無線業(yè)務(wù)直接接入ENP板卡。用戶DHCPServer部署：由于單個普教園區(qū)用戶較少，以核心層設(shè)備作為DHCPServer，部署簡單?？煽啃圆渴穑汉诵膶釉O(shè)備使用集群以提高設(shè)備間備份。用戶管理部署：?無線用戶使用802.1x認(rèn)證，認(rèn)證點部署在核心層融合管理點上。?有線用戶如果對接入安全要求較高則部署802.1x認(rèn)證，如果要求不高建議使用Portal認(rèn)證，認(rèn)證點也部署在核心層融合管理點上。轉(zhuǎn)發(fā)模型部署：?無線流量隧道方式集中轉(zhuǎn)發(fā)，便于對無線流量的集中控制。?有線流量本地轉(zhuǎn)發(fā)，部署方便快捷。10.無線網(wǎng)絡(luò)可靠性設(shè)計為了提高普教城域網(wǎng)中各學(xué)校無線網(wǎng)絡(luò)的整體可靠性，設(shè)計采用無線控制器N+1備份方案，實現(xiàn)可靠性提升和建設(shè)成本的優(yōu)化。具體部署方式為，在每個學(xué)校的校園網(wǎng)中部署一臺主用無線控制器（隨板AC），在教育城域網(wǎng)上部署一臺無線控制器設(shè)備（WAC-backup），與各學(xué)校無線控制器形成N+1備份機制。當(dāng)某個中小學(xué)校的無線控制器故障后，由遠端的教育城域網(wǎng)上的備用無線控制器接管該學(xué)校的AP，保證師生仍能正常訪問網(wǎng)絡(luò)業(yè)務(wù)不影響正常的教學(xué)工作。在主備AC之間開啟雙鏈路備份功能后，AP上線時分別與主用AC和備用AC都建立CAPWAP鏈路。在雙鏈路備份狀態(tài)下的AP在主用AC上顯示為nomal狀態(tài)，在備用AC上顯示為standby狀態(tài)。當(dāng)主備AC都正常工作時，AP只在主用AC上工作，所有配置在主用AC上下發(fā)，備用AC上不下發(fā)任何配置。當(dāng)由于故障、網(wǎng)絡(luò)等問題發(fā)生導(dǎo)致主用AC不可用時，通過雙鏈路備份機制，AP通過echo探測檢測到與主用AC鏈路中斷，此時AP與備用AC的CAPWAPecho報文中攜帶主鏈路標(biāo)記，使備用AC上AP狀態(tài)由standby狀態(tài)切換為nomal狀態(tài)，備用AC即給AP下發(fā)配置，減少業(yè)務(wù)所受影響。當(dāng)主用AC恢復(fù)正常后，AP檢查到與主用AC鏈路恢復(fù)，在回切開關(guān)開啟的情況下，會在較短的內(nèi)由備用AC切換到主用AC上，業(yè)務(wù)不受影響，回切開關(guān)關(guān)閉，則AP不切回主用AC，主用AC上顯示為standby狀態(tài)，在備用AC上顯示normal狀態(tài)。AC備份方案三、網(wǎng)絡(luò)管理設(shè)計在普教園區(qū)的網(wǎng)絡(luò)管理中，XX公司建議當(dāng)前以iMaster-NCE提供網(wǎng)絡(luò)管理各項功能。以iMaster-NCE作為普教園區(qū)的控制器，提供網(wǎng)絡(luò)業(yè)務(wù)管理、網(wǎng)絡(luò)安全管理、用戶準(zhǔn)入管理、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)質(zhì)量分析、網(wǎng)絡(luò)應(yīng)用分析、告警和報表等特性，提供大數(shù)據(jù)分析等能力，同時提供開放的接口、支持與其他平臺集成。校園網(wǎng)管理員可以通過iMaster-NCE獨立開展業(yè)務(wù)開通配置、日常運維等工作，實現(xiàn)規(guī)模設(shè)備的云化管理。主要實現(xiàn)如下功能：1.網(wǎng)絡(luò)設(shè)備即插即用：當(dāng)控制器和待安裝設(shè)備（如交換機，AP等）之間網(wǎng)絡(luò)可達時，提前在控制器上錄入設(shè)備的licens、ESN等信息，并完成預(yù)配置，當(dāng)網(wǎng)絡(luò)設(shè)備上電后設(shè)備會自動向控制器發(fā)起注冊。雙方通過證書完成校驗后，控制器實現(xiàn)對設(shè)備的納管并將業(yè)務(wù)數(shù)據(jù)主動下發(fā)到設(shè)備，使設(shè)備能正常使用。2.網(wǎng)絡(luò)業(yè)務(wù)監(jiān)控：通過控制器界面實現(xiàn)對學(xué)校無線網(wǎng)絡(luò)、防火墻、交換機、出口路由器等設(shè)備的設(shè)備情況，流量趨勢實現(xiàn)監(jiān)控；對防火墻的運行，?對于無線網(wǎng)絡(luò)，實現(xiàn)TOP流量設(shè)備/SSID/終端等維度的監(jiān)控；支持對無線網(wǎng)絡(luò)的設(shè)備列表，單設(shè)備資源占用情況（CPU、內(nèi)存），故障告警列表監(jiān)控?對于防火墻，支持站點，單設(shè)備的設(shè)備信息，應(yīng)用流量和應(yīng)用分類Top流量的監(jiān)控?對于出口防火墻（AR），支持站點，單設(shè)備的設(shè)備信息，應(yīng)用流量和應(yīng)用分類Top流量的監(jiān)控?對于交換機，支持站點，單設(shè)備的設(shè)備信息，應(yīng)用流量和應(yīng)用分類Top流量的監(jiān)控3.支持網(wǎng)絡(luò)業(yè)務(wù)維護?支持AP，交換機等設(shè)備的批量升級?支持設(shè)備的證書管理，包括篩選、查看、導(dǎo)出以及向設(shè)備提交新證書等4.提供移動運維APP，支持移動端開局使用的功能，包括掃碼錄入設(shè)備、快速部署、掃碼部署、管理SSID部署、掃碼替換、現(xiàn)場驗收等。5.提供日志管理功能，查看管理員登錄安全日志、操作日志及系統(tǒng)運行日志。并支持與第三方日志服務(wù)器通過syslog進行對接，向其發(fā)送日志信息。對于網(wǎng)絡(luò)中存在框式設(shè)備或者不支持被控制器納管的設(shè)備，可以采用iMaster-NCE進行監(jiān)控和管理，作為控制器的補充部分，實現(xiàn)通過SNMP方式的設(shè)備監(jiān)控。iMaster-NCE提供如下功能：1.報表管理：iMaster-NCE支持周期執(zhí)行報表任務(wù)、即時查看編輯報表；生成的報表支持導(dǎo)出為PDF、Excel、Word等常見文件格式。iMaster-NCEt預(yù)集成了豐富的報表模板，可以滿足常見的網(wǎng)絡(luò)運維報表需求。提供從多個維度對報表數(shù)據(jù)進行分析的能力，用戶可以通過拖拽快速、靈活地對數(shù)據(jù)進行大數(shù)據(jù)量的復(fù)雜查詢處理，并且以一種直觀而易懂的形式展現(xiàn)。?OLAP報表支持定制和查看OLAP報表，用戶可以根據(jù)需要通過調(diào)整報表的行列位置、設(shè)置條件格式、篩選字段、調(diào)整圖表展現(xiàn)等方式更直觀的查看和分析報表數(shù)據(jù)，生成的報表支持導(dǎo)出為PDF或Excel或Word格式。?周期任務(wù)管理器用戶可以通過設(shè)定運行周期創(chuàng)建周期報表。在“周期報表”界面用戶可以查看所有的周期報表以及狀態(tài)，同時可以進行周期任務(wù)的執(zhí)行、編輯或刪除等操作。在“歷史報表”界面，用戶可以查看周期任務(wù)下的歷史報表和生成狀態(tài)，同時可以進行周期報表的下載、中斷或刪除等操作。2.角色管理（分權(quán)分域）：通過設(shè)置角色的“管理對象”和“操作”屬性，iMaster-NCE支持分權(quán)分域管理，即只允許用戶將權(quán)限范圍內(nèi)的操作下發(fā)到網(wǎng)元。只有Administrators角色下的用戶或者擁有“用戶管理”權(quán)限的用戶具備為其他用戶分權(quán)分域的操作權(quán)限。?分域是指將網(wǎng)絡(luò)中的管理對象分配給不同的角色，使每個角色擁有的管理對象范圍不盡相同。通過分域，可以實現(xiàn)不同運維部門的人員管理不同范圍內(nèi)的網(wǎng)絡(luò)對象。?分權(quán)是指將對管理對象的操作分配給不同的角色，使每個角色擁有的操作權(quán)限不盡相同。通過分域基礎(chǔ)上的分權(quán)，可以實現(xiàn)同一區(qū)域不同職責(zé)（崗位/運維部門）的管理人員，對區(qū)域內(nèi)管理對象可執(zhí)行的操作權(quán)限不同。iMaster-NCE的分權(quán)分域管理實現(xiàn)了網(wǎng)絡(luò)設(shè)備和功能的統(tǒng)一管理，基于設(shè)備為單位實現(xiàn)分域管理，基于設(shè)備上的功能進行分配權(quán)限。（一）Underlay網(wǎng)絡(luò)運維1.概述隨著網(wǎng)絡(luò)規(guī)模的不斷增長、網(wǎng)絡(luò)應(yīng)用的不斷推廣、業(yè)務(wù)越來越多樣化，大量路由器、交換機、WLAN等被廣泛的應(yīng)用于網(wǎng)絡(luò)，教育局信息中心及學(xué)校IT維護人員面對網(wǎng)絡(luò)管理和運維中遇到的問題和挑戰(zhàn)，需要一套高效、統(tǒng)一的網(wǎng)管進行支撐，遵循ITIL規(guī)范，提供融合、開放的運維平臺，實現(xiàn)對有線無線網(wǎng)絡(luò)以及用戶的統(tǒng)一管理。廠商網(wǎng)絡(luò)管理系統(tǒng)NMS需要提供整體運維管理解決方案。可實現(xiàn)服務(wù)器、存儲、交換機、路由器、WLAN、防火墻、基站、核心網(wǎng)、統(tǒng)一通信、智真、視頻監(jiān)控等設(shè)備和虛擬化資源、應(yīng)用系統(tǒng)的統(tǒng)一管理，為校園網(wǎng)絡(luò)ICT系統(tǒng)提供自動化部署，可視化故障診斷、智能容量分析等功能，能有效幫助校園網(wǎng)絡(luò)提高運維效率、降低運維成本，保障ICT系統(tǒng)穩(wěn)定運行。管理方案設(shè)計全網(wǎng)有線、無線網(wǎng)絡(luò)統(tǒng)一、可視化管理，包括統(tǒng)一拓?fù)?、統(tǒng)一告警、性能、統(tǒng)一報表等基本功能，滿足網(wǎng)絡(luò)的基本運維需求?？煞謾?quán)分域，基于每個學(xué)校給予管理權(quán)限控制，確保網(wǎng)絡(luò)的管理分工與安全。分級網(wǎng)絡(luò)管理，實現(xiàn)運維安全和大規(guī)模網(wǎng)絡(luò)管理的能力?？梢詫崿F(xiàn)跨地區(qū)上下分層式管理，基于分層管理訴求，聚焦分層網(wǎng)絡(luò)運維職能，上下分級各司其職，實現(xiàn)統(tǒng)一的拓?fù)涔芾?、統(tǒng)一的資源管理、分層式的告警管理、全網(wǎng)匯聚Portal、統(tǒng)一的用戶認(rèn)證管理。零配置部署管理，支持拓?fù)溟_局和設(shè)備標(biāo)識開局，從網(wǎng)絡(luò)規(guī)劃、離線配置文件制作、設(shè)備布線上電、網(wǎng)絡(luò)規(guī)劃調(diào)整、開局以及故障設(shè)備替換等，提供了端到端設(shè)備運維能力，提高了運維人員效率。WLAN全生命周期的管理，可視規(guī)劃、三步開通業(yè)務(wù)、360°監(jiān)控到基于搜索的一鍵式故障診斷的WLAN全生命周期管理，幫助用戶高效部署和管理無線網(wǎng)絡(luò)。移動化運維管理，用戶可以在移動終端上進行無線網(wǎng)絡(luò)管理，包括360監(jiān)控、故障診斷等功能。用戶可以通過NMSMobile實現(xiàn)隨時隨地、掌控網(wǎng)絡(luò)。網(wǎng)絡(luò)管理系統(tǒng)基于組件化的設(shè)計，功能組件可以按照需求選擇，可以滿足網(wǎng)絡(luò)的擴容和升級帶來的新的管理需求，保護現(xiàn)網(wǎng)投資。2.需求分析網(wǎng)絡(luò)管理系統(tǒng)的需求如下：廠商網(wǎng)絡(luò)管理系統(tǒng)NMS需要提供整體運維管理解決方案?？蓪崿F(xiàn)服務(wù)器、存儲、交換機、路由器、WLAN、防火墻、基站、核心網(wǎng)、統(tǒng)一通信、智真、視頻監(jiān)控等設(shè)備和虛擬化資源、應(yīng)用系統(tǒng)的統(tǒng)一管理，為校園網(wǎng)絡(luò)ICT系統(tǒng)提供自動化部署，可視化故障診斷、智能容量分析等功能，能有效幫助校園網(wǎng)絡(luò)提高運維效率、降低運維成本，保障ICT系統(tǒng)穩(wěn)定運行?？梢詾椴煌墓芾韱T設(shè)置不同的用戶名、密碼，并限制管理員的管理權(quán)限和管理范圍，實現(xiàn)分域、分權(quán)管理?？梢蕴峁┙粨Q機零配置部署，零配置部署是在校園網(wǎng)絡(luò)現(xiàn)網(wǎng)部署交換機設(shè)備，當(dāng)設(shè)備規(guī)劃完成后，無需網(wǎng)絡(luò)管理員到安裝現(xiàn)場對設(shè)備進行軟件調(diào)試，在設(shè)備滿足空配置的條件下，設(shè)備上電后即可自動連接到指定的管理設(shè)備，加載指定的配置文件、設(shè)備軟件大包、補丁文件等系統(tǒng)文件，實現(xiàn)設(shè)備的開局。可以提供設(shè)備配置備份、還原、對比能力?？梢蕴峁┩?fù)洹⒏婢?、性能監(jiān)控、設(shè)備軟件升級等基本運維能力。對于網(wǎng)絡(luò)中的AC、FATAP、FITAP、移動終端等無線設(shè)備進行集中管理，同時可獲取無線相關(guān)信息和配置?？赏ㄟ^物理位置、設(shè)備類型等多種視圖，將規(guī)模巨大的無線接入設(shè)備進行有效分組，也可通過網(wǎng)絡(luò)使用質(zhì)量進行分組匯聚，如低速用戶、高丟包率AP、高掉線率AP等。支持有線設(shè)備與無線設(shè)備的一體化拓?fù)涔芾?。用戶可按照多種管理層次，創(chuàng)建將有線設(shè)備和無線業(yè)務(wù)融合在一起的多層次拓?fù)鋱D，并支持建筑平面圖形的導(dǎo)入。系統(tǒng)支持AC、AP、Station、空口流量等統(tǒng)計，并可提供多種圖形、表格、報表展示。系統(tǒng)支持多種無線特有告警，包括隧道告警、工作模式告警、操作狀態(tài)告警、信息告警、配置告警、Station狀態(tài)告警、非法設(shè)備及入侵檢測告警。能查看其下掛的FITAP設(shè)備基本信息和詳細(xì)列表，對AC設(shè)備MAC模式、國家代碼等無線業(yè)務(wù)參數(shù)進行配置，提供Radio策略、服務(wù)策略、故障管理、性能監(jiān)控等管理功能。能夠查看AP下掛的移動終端信息，對FATAP設(shè)備的國家代碼、在線移動終端信息、終端時間間隔等無線業(yè)務(wù)參數(shù)進行配置，提供Radio策略、服務(wù)策略、故障管理、性能監(jiān)控等管理功能。能夠查看AP下掛的移動終端信息，對FITAP在線狀態(tài)、AP使用模板、所在AC設(shè)備、MAC模式等無線業(yè)務(wù)參數(shù)進行配置，提供Radio策略、服務(wù)策略、BSS信息瀏覽、故障管理、性能監(jiān)控等管理功能。系統(tǒng)支持批量進行AC軟件版本顯示、AC設(shè)備軟件版本升級恢復(fù)、AC設(shè)備配置文件備份恢復(fù)等操作。支持對移動終端的信息進行查看，包括MAC地址、信號強度、發(fā)射速率集、RSSI、SSID、使用信道、所在AP設(shè)備等、所在Radio等等。同時可以查看終端的漫游軌跡及時間。支持統(tǒng)一的Radio策略配置、服務(wù)策略配置以及配置批量下發(fā)等等。系統(tǒng)支持自定義各信號范圍使用顏色，設(shè)置信號衰減范圍內(nèi)的顏色，在位置拓?fù)渲酗@示FITAP的RF覆蓋范圍。支持通過模板的方式對設(shè)備進行批量管理，使用戶快速完成網(wǎng)絡(luò)配置，用戶可以將某個策略文件快速下發(fā)到其它設(shè)備。能查看各移動終端的全部漫游記錄，使管理員隨時了解最終接入用戶的情況，并對其接入軌跡進行審計。能夠?qū)崟r檢測和顯示非法AP等無線設(shè)備，了解其設(shè)備信息和位置，并可以設(shè)置相關(guān)的防范策略。具備無線入侵檢測管理功能具備。配置庫提供全網(wǎng)設(shè)備的配置文件管理，可以提供即時和周期的配置文件備份，支持對已備份的配置文件進行基線化、恢復(fù)和比較功能。支持網(wǎng)絡(luò)運行設(shè)備的配置變化檢查，一旦配置發(fā)生變化，立刻以告警方式通知管理員關(guān)注提供運維APP。提供一鍵式網(wǎng)絡(luò)狀態(tài)監(jiān)測，直觀地顯示當(dāng)前網(wǎng)絡(luò)狀態(tài)的健康度。支持一鍵式自動化運維，當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時，可直接導(dǎo)出運維問題結(jié)論，并作出基本參數(shù)的調(diào)整對無線網(wǎng)絡(luò)進行優(yōu)化。3.部署方案NMS的部署方式一般有兩種，集中和分級。可根據(jù)項目建設(shè)進度選擇方案，在AP數(shù)量不超過10000臺時，可以集中單臺部署NMS，當(dāng)AP數(shù)量超過10000臺時，集中式的管理模式，已經(jīng)超出了單系統(tǒng)（單系統(tǒng)最大10000臺）的承載管理能力，因此使用分級部署方式更為適合，本次校園網(wǎng)絡(luò)也采用分級式部署方案。具體方案為，對各個教學(xué)辦公和宿舍的AP管理進行劃分，保障一期1萬余個AP被至少2個下級網(wǎng)管管理，下級網(wǎng)管負(fù)責(zé)管理設(shè)備，如零配置開局、配置下發(fā)、監(jiān)控、配置備份等，同時，上級網(wǎng)管負(fù)責(zé)匯總查看多個下級網(wǎng)管的數(shù)據(jù)，并可以進行管理員權(quán)限分配，但上級網(wǎng)管不具體負(fù)責(zé)設(shè)備的管理。NMS分級網(wǎng)管方案，實現(xiàn)上級網(wǎng)管對下級網(wǎng)管的統(tǒng)一監(jiān)控和一體化運維。上級網(wǎng)管添加下級網(wǎng)管后，系統(tǒng)自動將下級網(wǎng)管資源同步到上級網(wǎng)管，上級網(wǎng)管本身具備了拓?fù)洹①Y源、告警等特性能力，從而能夠?qū)ο录壘W(wǎng)管資源數(shù)據(jù)進行匯聚呈現(xiàn)。在上級網(wǎng)管操作界面能直接跳轉(zhuǎn)到下級網(wǎng)管，針對具體的資源對象，跳轉(zhuǎn)到下級網(wǎng)管進行細(xì)致化操作。統(tǒng)一的拓?fù)涔芾碓贜MS上級網(wǎng)管拓?fù)涔芾硪晥D界面，能夠直觀的監(jiān)控到所添加的下級網(wǎng)管的資源狀態(tài)。在下級網(wǎng)管的子網(wǎng)視圖中，選中某個設(shè)備執(zhí)行右鍵菜單功能，可直接跳轉(zhuǎn)到下級網(wǎng)管，查看設(shè)備的詳細(xì)信息。統(tǒng)一的資源管理NMS上級網(wǎng)管會自動同步所添加下級網(wǎng)管的資源數(shù)據(jù)，并統(tǒng)一展現(xiàn)在資源管理界面，系統(tǒng)自動同步下級網(wǎng)管數(shù)據(jù)，當(dāng)下級網(wǎng)管資源有狀態(tài)變更時，都能及時反應(yīng)到上級網(wǎng)管上，實現(xiàn)了對下級網(wǎng)管的統(tǒng)一監(jiān)控。統(tǒng)一的告警管理上級網(wǎng)管關(guān)注關(guān)鍵告警，支持用戶定制告警呈現(xiàn)，在上級網(wǎng)管直接對告警進行管清除和確認(rèn)。全網(wǎng)portal匯聚匯聚全網(wǎng)關(guān)鍵指標(biāo)，統(tǒng)一監(jiān)控。統(tǒng)一的用戶認(rèn)證管理上級網(wǎng)管支持用戶、角色維護，自動同步下級網(wǎng)管的角色信息，不同下級網(wǎng)管角色重復(fù)會自動合并處理，上級網(wǎng)管的安全授權(quán)和下級網(wǎng)管保持一致。4.可靠性方案單機版本可靠性方案 NMS有單獨的維護工具，能夠提供備份策略定制、手工備份和手工恢復(fù)的功能，備份內(nèi)容包括系統(tǒng)運行時的配置文件和數(shù)據(jù)庫數(shù)據(jù)通過維護工具的備份策略設(shè)置，提供定時備份功能。通過手工恢復(fù)，將網(wǎng)管恢復(fù)到備份前的狀態(tài)，保證使用網(wǎng)管的安全可靠性。雙機版本可靠性方案 NMS高可用系統(tǒng)可提供雙機熱備和倒換的全新功能。主、備站點服務(wù)器的軟硬件配置要求完全一致，通過Veritas遠程熱備份技術(shù)，實現(xiàn)主、備站點數(shù)據(jù)實時同步，并動態(tài)監(jiān)視NMS的運行狀態(tài)。當(dāng)主服務(wù)器發(fā)生硬件故障、操作系統(tǒng)故障、網(wǎng)管關(guān)鍵應(yīng)用故障或心跳線路故障時，系統(tǒng)會自動倒換到備份服務(wù)器。5.日常運維管理分工考慮到園區(qū)網(wǎng)絡(luò)規(guī)模和管理人員結(jié)構(gòu)，可設(shè)置多個管理員分別管理不同區(qū)域，或者有不同的功能管理權(quán)限（如部分管理員不能管理無線設(shè)備之類），做鑒權(quán)控制。網(wǎng)管系統(tǒng)的賬戶鑒權(quán)有3種方案可選：本地認(rèn)證方式、RADIUS認(rèn)證、LDAP認(rèn)證。為實現(xiàn)對網(wǎng)管系統(tǒng)本身的安全控制，可對賬戶本身、賬戶登錄管理和一系列其他的安全策略，來保證網(wǎng)絡(luò)管理的安全、有序。因當(dāng)前已在建立統(tǒng)一用戶基礎(chǔ)數(shù)據(jù)交換平臺，可復(fù)用該數(shù)據(jù)源資源，與NMS網(wǎng)管系統(tǒng)對接。網(wǎng)管系統(tǒng)支持用戶創(chuàng)建、刪除、修改功能，通過用戶名及其密碼唯一確定了相應(yīng)的網(wǎng)管用戶的登錄和操作管理權(quán)限。其中用戶密碼使用AES128位算法加密，并存儲在數(shù)據(jù)庫中。針對用戶安全提供了可配置的安全管理策略，策略設(shè)置后對系統(tǒng)所有的帳戶生效。包括以下功能：（1）帳號安全策略–設(shè)置帳戶名最小長度要求。–設(shè)置帳戶登錄失敗鎖定策略。–設(shè)置長期不使用帳戶停用策略。（2）密碼策略–設(shè)置密碼最小長度要求。–設(shè)置歷史密碼策略。–設(shè)置密碼中同一字符出現(xiàn)次數(shù)限制。–設(shè)置密碼中包含特殊字符限制。–設(shè)置密碼修改最短間隔要求。–設(shè)置密碼過期強制修改策略。訪問控制管理，可以對用戶的登錄時間、系統(tǒng)訪問IP地址范圍進行控制。6.日常運維方案資源管理網(wǎng)管對設(shè)備的管理，包括提供子網(wǎng)的管理方式，用戶可以根據(jù)實際設(shè)備的物理位置，劃分不同的子網(wǎng)對設(shè)備進行區(qū)域管理。提供自定義分組的管理方式，用戶可以將多臺設(shè)備劃入一個分組，以簡化后續(xù)對這些設(shè)備的批量操作。同時針對園區(qū)用戶提供用戶對設(shè)備的配置、查詢功能，提供用戶對設(shè)備機框、單板、子卡及端口的查詢功能。添加設(shè)備添加設(shè)備作為網(wǎng)管管理的基礎(chǔ)，用戶可通過多種方式完成網(wǎng)管添加設(shè)備的過程。支持三種方式的設(shè)備添加方式：自動發(fā)現(xiàn)設(shè)備、手工創(chuàng)建單個設(shè)備、手工批量導(dǎo)入設(shè)備。自動發(fā)現(xiàn)設(shè)備自動發(fā)現(xiàn)支持多種協(xié)議和多種發(fā)現(xiàn)方式，并且支持設(shè)置發(fā)現(xiàn)任務(wù)并進行對發(fā)現(xiàn)任務(wù)進行統(tǒng)一管理。具體支持以下四種發(fā)現(xiàn)方式。以網(wǎng)段方式發(fā)現(xiàn)（簡單）：根據(jù)指定的SNMP協(xié)議信息在指定的IP網(wǎng)段中發(fā)現(xiàn)并添加設(shè)備；以網(wǎng)段方式發(fā)現(xiàn)（復(fù)雜）：根據(jù)指定的協(xié)議（SNMP協(xié)議或其他協(xié)議）信息在指定的IP網(wǎng)段中發(fā)現(xiàn)并添加設(shè)備；以ARP方式發(fā)現(xiàn)：通過設(shè)備ARP表自動搜索可管理的網(wǎng)絡(luò)設(shè)備；以路由方式發(fā)現(xiàn)：通過設(shè)備路由表自動搜索可管理的網(wǎng)絡(luò)設(shè)備；手工創(chuàng)建單個設(shè)備SNMP接入方式：用戶可以手動輸入設(shè)備IP地址，設(shè)定設(shè)備的SNMP參數(shù)，實現(xiàn)將單個設(shè)備添加到網(wǎng)管。手工批量導(dǎo)入設(shè)備SNMP接入方式：用戶可以以文件方式導(dǎo)入設(shè)備IP地址、SNMP參數(shù)信息，實現(xiàn)批量添加設(shè)備功能。支持在線設(shè)備和離線設(shè)備的添加。設(shè)備/子網(wǎng)管理設(shè)備/子網(wǎng)管理包括以下功能：查詢設(shè)備/子網(wǎng)支持設(shè)置查詢條件查詢所關(guān)注的設(shè)備/子網(wǎng)。創(chuàng)建/修改/刪除子網(wǎng)通過創(chuàng)建子網(wǎng)，可以將設(shè)備添加到創(chuàng)建的子網(wǎng)進行分類管理。當(dāng)子網(wǎng)信息變更時，可以修改子網(wǎng)的屬性。當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整，不再需要NMS管理某些子網(wǎng)，可以刪除這些子網(wǎng)。查看子網(wǎng)信息支持查看子網(wǎng)的基本信息。查看設(shè)備信息支持查看設(shè)備的基本信息和協(xié)議信息。調(diào)整設(shè)備所屬子網(wǎng)或者子網(wǎng)所屬子網(wǎng)當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變動時，可以根據(jù)實際情況，調(diào)整設(shè)備/子網(wǎng)，以便正確的體現(xiàn)設(shè)備、子網(wǎng)之間的關(guān)系。分組管理設(shè)備分組基于不同的監(jiān)控運維場景需要，用戶可以使用設(shè)備分組管理功能將需要維護監(jiān)控的設(shè)備放入一個分組當(dāng)中。場景1：路由器設(shè)備和交換機設(shè)備，都要采集CPU內(nèi)存信息，路由器作為骨干設(shè)備為及時發(fā)現(xiàn)設(shè)備異常，需要將路由器設(shè)備的性能采集周期設(shè)置相對交換機短一些，這個時候可以使用預(yù)置的路由器和交換機分組，基于分組做監(jiān)控設(shè)置；場景2：某塊接入園區(qū)網(wǎng)正在做割接，可以根據(jù)設(shè)備名稱（設(shè)備命名按照規(guī)范命名）建立分組，將該區(qū)域設(shè)備放入一個分組，在割接的時間段內(nèi)，屏蔽該區(qū)域上報的告警系統(tǒng)預(yù)置設(shè)備類別分組：如路由器、交換機等；支持按照設(shè)備名稱、類型、所屬子網(wǎng)、廠商、IP地址、類別、備注、資產(chǎn)管理人，自定義設(shè)備分組；設(shè)備增加完成后能夠按照預(yù)置和自定義設(shè)備分組自動分組；接口分組基于不同的監(jiān)控運維場景需要，用戶可以使用接口分組管理功能將需要維護監(jiān)控的設(shè)備接口放入一個分組當(dāng)中。場景1：網(wǎng)絡(luò)中設(shè)備接口很多，重點需要關(guān)注影響網(wǎng)絡(luò)運維的接口，可以使用預(yù)置的有鏈路接口分組，只對有鏈路的接口做流量性能數(shù)據(jù)采集；場景2：某片網(wǎng)絡(luò)區(qū)域用戶大面積反饋上網(wǎng)慢經(jīng)常掉線，可以針對這個區(qū)域網(wǎng)絡(luò)出接口，接口別名或描述建立接口分組，對這個部分接口做重點的監(jiān)控，采集數(shù)據(jù)做針對性分析；系統(tǒng)預(yù)置鏈路接口分組；支持按照設(shè)備類型、設(shè)備類別、設(shè)備分組、設(shè)備IP、設(shè)備別名、設(shè)備名稱、設(shè)備備注、資產(chǎn)管理人、接口速率、有鏈路、接口別名、接口名稱、接口管理狀態(tài)、接口IP，自定義接口分組；設(shè)備接口同步完成后能夠按照預(yù)置和自定義接口分組自動分組；設(shè)備資源提供用戶瀏覽、查詢設(shè)備名稱、IP地址、類型、軟件版本、廠商、同步完成時間、維保時間、投入使用時間、維保到期時間、創(chuàng)建網(wǎng)元時間、時區(qū)、資產(chǎn)管理人、資產(chǎn)編號、購買日期、備注、設(shè)備所屬分組等信息。提供導(dǎo)入、導(dǎo)出設(shè)備資源、導(dǎo)入設(shè)備信息、設(shè)置/恢復(fù)網(wǎng)元不管理功能；提供用戶批量配置SNMP參數(shù)、Telnet參數(shù)、NetConf參數(shù)等功能，批量同步設(shè)備的功能，批量設(shè)置時區(qū)功能，批量移動設(shè)備到子網(wǎng)的功能；提供用戶修改和批量修改設(shè)備備注、維保字段等信息的功能；提供查詢設(shè)備實體數(shù)據(jù)功能；提供定位到拓?fù)涔芾聿榭丛撛O(shè)備的功能。機框資源提供用戶對設(shè)備機框資源的查詢、導(dǎo)出功能，及對機框備注進行修改功能。單板資源提供用戶對設(shè)備單板資源的查詢、導(dǎo)出功能，及對單板備注進行修改的功能。子卡資源提供用戶對設(shè)備子卡資源的查詢、導(dǎo)出功能，及對子卡備注進行修改的功能。端口資源提供用戶對設(shè)備端口資源的查詢、導(dǎo)出功能，及對端口備注進行修改的功能。7.零配置部署 零配置部署是在校園現(xiàn)網(wǎng)部署交換機設(shè)備，當(dāng)設(shè)備規(guī)劃完成后，無需網(wǎng)絡(luò)管理員到安裝現(xiàn)場對設(shè)備進行軟件調(diào)試，在設(shè)備滿足空配置的條件下，設(shè)備上電后即可自動連接到指定的管理設(shè)備，加載指定的配置文件、設(shè)備軟件大包、補丁文件等系統(tǒng)文件，實現(xiàn)設(shè)備的開局。（1）基于網(wǎng)管平臺，網(wǎng)絡(luò)規(guī)劃、配置文件制作、網(wǎng)絡(luò)部署管理和網(wǎng)絡(luò)運維集成在同一平臺上，實現(xiàn)統(tǒng)一的自動化管理。（2）包含圖形化配置文件自動生成工具；配置文件基于拓?fù)潢P(guān)系匹配。（3）以每個根設(shè)備直連的子網(wǎng)為一個部署區(qū)域，支持多區(qū)域并行管理，可以達到千臺設(shè)備同時上線。（4）支持MAC/ESN白名單，防范設(shè)備誤接、私接。（5）部署后，配置定時備份，故障設(shè)備可以用無配置的新設(shè)備進行快速替換。8.拓?fù)涔芾硗負(fù)涔芾硪酝負(fù)鋱D的方式直觀顯示被管網(wǎng)元及其之間的連接關(guān)系和狀態(tài)，用戶可以通過瀏覽拓?fù)湟晥D把握全網(wǎng)設(shè)備的層次結(jié)構(gòu)和運行狀態(tài)。術(shù)語說明網(wǎng)元拓?fù)涔芾淼暮诵膯挝?，用來?biāo)識被管理的設(shè)備。在拓?fù)湟晥D中，不同的圖標(biāo)代表各種網(wǎng)元類型。子網(wǎng)按照某種原則（如按地域或按設(shè)備類型劃分）將一個比較大的網(wǎng)絡(luò)結(jié)構(gòu)分解為幾個相對較小的網(wǎng)絡(luò)結(jié)構(gòu)，以便網(wǎng)絡(luò)管理。鏈路標(biāo)識通信設(shè)備之間的物理或者邏輯連接。瀏覽拓?fù)鋱D拓?fù)浣缑嫔戏殖勺髽溆覉D的方式，對拓?fù)鋵ο笸ㄟ^子網(wǎng)進行分層展示。提供全屏、自適應(yīng)屏幕等拓?fù)鋱D整體、局部觀測的能力。顯示網(wǎng)元、鏈路的告警狀態(tài)。支持明、暗兩種主題皮膚切換，富媒體Tips展現(xiàn)效果。提供鏈路標(biāo)簽展現(xiàn)接口流量等性能采集數(shù)據(jù)的能力。提供對MP-Group捆綁鏈路的父子關(guān)系展示、鏈路狀態(tài)監(jiān)控能力。支持查看全網(wǎng)VLAN數(shù)據(jù)，支持在鏈路上直觀呈現(xiàn)端口允許通過的VLAN，支持VLAN路徑呈現(xiàn)。拓?fù)鋱D操作支持拓?fù)鋱D的縮放、圖片導(dǎo)出、圖片打印、設(shè)置背景