x智慧校园信息化建设解决方案

1、1智慧校园概述41.1 建设背景41.2 数字化校园建设与应用.21.2.3数字化校园4数字化校园的应用6数字化校园的发展阶段及趋势71.4 智慧校园的建设目标81.5 锐捷智慧校园理念设计91.6 智慧环境服务91.7 智慧教学服务9锐捷智慧校园整体系统设计92.1 总体系统架构设计1022.2 总体架构设计112.3 骨干网络总体需求112.4 骨干网络总体目标122.5 无线方案设计思路132.6 无线场景情况...6包、翻转课堂场景下的无线覆盖14大型会议室、阶梯教室等大开间、高密集用户场景15寝室区高密度房间场

2、景的无线覆盖16学校校园、操场等室外场景的无线覆盖18无线地勘点位表19用户终端类型分析192.7 方案设计原则...62.7.7无缝覆盖19多种服务支持19安全性19兼容性20扩展性20高性能20可管理203校园网网络改造设计203.1 拓扑结构设计20方案内容及功能详情2344.1 骨干网..4设计23功能和策略上收，简化接入网的关键性25Newton18000 系列交换机：“简”网络、不减能力26只需要管理“一台”交换机29无线校园网集中认证大网关304.1.5 校园安全324.1.6 集中管理的价

3、值334.1.7 集中配置，解日常维护之烦34结构设计354.24.3 汇聚结构设计384.4 接入结构设计394.5 无线部分设计414.6 实名认证设计5...6基于 802.1X 的无感知认证56访客认证57便捷的接入体验59实名审计59全方位防学生蹭网60立体防御系统604.7 出口结构设计61安全设计：674.84.9 日志审结构设计704.10 物联网设计704.10.1 物联网应用趋势分析704.10.2 物联网应用解决方案设计7考勤签到71学生安全76学生健康

4、80教学应用834.11 智能化设备网络设计854.11.1 网络结构设计864.12 运维结构设计874.13 云桌面设计1004.13.1 多教室云桌面及办公云桌面设计100方案设计思路101总体架构设计103云办公方案建设设计103建设思路104数据中心集中部署机105云终端利用校园网接入106方案详述108方案拓扑结构设计108方案及价值109.10 其他1 方案优势及价值1224.13.2 云课堂计算机教室

5、设计1方案设计思路124价值点124总体设计要求126总体架构设计127方案详述130外设支持136校园网通信及机管理区域模块设计137方案优势及价值1391 智慧校园概述1.1 建设背景教育发展的目标是构建全民学习、终身教育、随时随地可学习的学习型。2012年教育部发布教育信息化十年发展明确指出：以教育信息化带动教育现代化，破解制约我国教育发展的难题，是加快从教育大国向教育强国迈进的战略抉择。随着物联网、云计算和新一代移动网络技术等兴起和快速发展，教育信息化建设

6、从数字技术进入智能化，智慧教育成为教育信息化发展的新趋势。互联网+教育政策，进一步推动教育信息化进程，通过智慧教育的理念和去改变传统的教育方式。如何落地智慧教育，一方面，进一步深化和落实三通两平台建设目标，从教育局层面搭和管理平台。另外一方面，则是建设智慧校园，满足不同学校不同需求。2018 年建教育信息化和工作要点明确提出，推动数字校园和智慧校园建设。智慧教育区别于已有教育的最根本之处，是要新増将培养创新创造之人作为重要任务，而不是原来可有可无的任务。相应地，智慧校园的本质在于为造就创新创造之人提供支持、支撑、服务。如智慧校园，理念是：通过以用户为中心，以需求做驱动的方式，智能化的满足校园网

7、络用户的个性化需求和功能服务，真正做到信息化技术与教育教学的深度融合。1.2 数字化校园建设与应用1.2.1 数字化校园数字化校园网是以网络为基础，利用先进的信息化和工具，将学校的各个方面，从环境（网络、设备、教室等）、（如、讲义、课件等）、到活动（包括教、学、管理、服务、办公等）进行数字化、信息化、智能化，从而形成一个高性能、多业务、高可靠、易使用的校园网络平台。数字化云校园网是学校信息化建设的关键，它的作用体现在如下几个方面：1.校园网能促进教师和学生尽快提高应用的水平是一门不断发展的应用型学科，学生掌握更加实用的，必须给他们提供一个信息化的环境，校园网是提供信息化环境的基础。校园网为教师

8、提供了一种先进的辅助教学工具、提供了丰富的教学2.库，校园网是学校进行教学、推行素质教育一种必不可少的工具。3.校园网是学校现代化管理的基础，深入、全面的学校信息管理必须建立在校园网上。4.校园网提供了学校与外界交流的桥梁，通过校园网的连接，实现了教育共享和信息的最快获取。的最大组建数字化云校园网，就是组建一个基本能覆盖整个校园范围的计算机网络，将学校内各种计算机、服务器、终端设备连接起来，并连接到互联网。在这些网络基础上，形成在校园内部、校园与外部进行信息的体系，建立满足教学、科研和管理需求的计算机环境，为学校各种提供充分的网络信息服务，在网络环境中进行教学、研究、收集信息等工作。数字化云校

9、园需要的基本功能有：lll电子邮件系统：主要进行与交往、开展技术合作、学术交流等活动；文件传输 FTP：主要利用 FTP 服务获取重要的科技资料和技术文挡；门户系统：学校可以建立的，利用外部网页进行学校宣传，提供各类咨询信息等，利用内部网页进行管理，例如发布通知、收集学生意见等。lll计算机教学：包括多教学和教学等；数字化馆：包括借阅，出入库以及电子阅览室以及检索等；Internet 安全接入：校园网用户采用认证方式互联网，同时做好上网行为的、内容审计和日志教学系统：教学；的使用均可以实现电脑l多，可以接收并音信号，具有教学评估功能，多教室也可以接收并集中各类等；l有线电视系统：可以实现全校性

10、的影音传送，实现教学影音资料的共享，还可以实现教学及综合活动同期实况转播，召开全校电视会议等；l一卡通系统：主要包括 POS 消费机、条码机、水控器等，从而实现校内消费、上机管理、学籍管理、管理、转账（）、综合业务、门禁考勤、医疗管理、水控管理、服务等；l及和安全系统：实现校园安全无死角，可以通过实时，对所有教学区域区域（校门、校园死角、宿舍区、教室、等）进行及报警。只要通过该系统在中心就能了解整个校园况，发现问题及时解决，不需要到处巡逻，节约成本。l点播（VOD）系统：对于校园网的用户，学校可以开展多点播教学服务。通过把好的课件放到 VOD 服务器上，让学生们进行点播，可以灵活的开展教学服务

11、，把枯燥的课堂教学转变成为丰富的服务。、IP 广播、IP 门禁、一卡通、财务l业务融合和智能：数据通信业务、IP等网络，统一融合在一个网络中。并进行逻辑稳定；，互相不，从而实现ll系统：通过实现教师在家中或出差途中校园网络；安全：实现整个校园网络设施和各类应用的安全防护，降低校园网络系统的各种安全隐患；IT 综合运维l：实现校园网所有 IT 网络的统一和管理，掌握整个网络的基本运行状况，及时发现问题，自动告警。为数字化云校园提供和保障。的支撑1.2.2 数字化校园的应用锐捷网络在做了近 9 万个中小学项目，同时，进行大量的现场调研工作，根据目前学校业务应用的使用情况，大体上把业务系统分为三类，

12、教学管理、行政管理及特色应用等。行政管理中的业务系统的服务端大部分在信息中心，学校作为客户端使用，主要是为了提高行政管理的效率，包括 OA 办公、一卡通、人事管务；教学管理中的大部分业务系统各个学校都会建设，主要是为了提高教学管理的质量，包括数字广播、备课系统、多录，实际上，目前行政管理和教学管理的业务系统基本上各地都已经建设了，差别在于，特色应用中的业务系统各个学校根据的情况建设的侧重点不一样，如各地目前关注度比较高的特色业务系统包括网上阅、多录、同步课堂等。1.2.3 数字化校园的发展阶段及趋势校园数字化建设不可能一蹴而就，它的实现是一个长期努力的过程，从数字化校园的现状和发展趋势分析，数

13、字化校园建设经历了四个阶段，包括网络集成、系统集成、应用集成、数据集成共四个阶段。第一阶段网络集成，主要以基础网络建设为主，大部分普通中小学处于网络集成这一阶段，考虑的是基础网络如，如怎么建设有线校园网、无线校园园网安全加固等。第二阶段系统集成，以业务系统建设为主，大部分重点中小学处于这一阶段，考虑业务系统如录，如一卡通系统，是作为刷卡消费，还是门禁、电梯，课程管理、多怎么建设，如何这些业务系统的运行，业务系统的数据安全。第三阶段应用集成，主要是做统一认证平台、单点登陆系统等，信息化做的比较好的重点中小学在应用集成，如何把有线、无线、等各种不同接入方式统一纳入一个平台进行管理，多陆，方便师生的

14、使用。录播、OA 系统、等一系列业务系统，如何实现单点登第四阶段：数据集成，主要实现数据开发标准、数据结构的统一，实现各个业务系统间的数据实时共享，由于数据集成涉及到应用系统的大量开发工作，周期长，投入大，目前，学校涉及应用集成方面的比较少。目前各学校在智慧校园的探索过程中，仍然采用数字校园的建设思路，只强调业务系统的建设，缺乏顶层设计，不关注同一，业务与技术脱节，同时不注重硬件建设，导致整体信息化建设未来学校的业务发展要求，具体表现为：欠缺顶层设计缺乏统一标准业务与技术脱节数据可用性不强 随着多教学、教育等新型教育模式的发展，教育数据中心的建设，以及管理基础网络性能差信息化服务的快速推出，均

15、对教育基础网络的性能、可靠性、业务支撑能力提出了越来越高的要求。不仅是要解决上述问题，智慧校园的建设必须站在顶层设计的角度，以服务于人的角度，切实的实现与教育教学的深度融合，建设出符合未来发展的智慧校园服务体系。1.4 智慧校园的建设目标（1）、学生层面：不仅仅局限与课堂，关注学生在校内，甚至是校外的学习和生活。强调学生的综合素质全面发展，而不仅仅是学习成绩一方面。通过智慧的参与到学生校内校外，课中课间学习、管理全流程。（2）、教师层面：班能够对班级做到智能管理，根据每个学生的学习情况和进度，报告学生的学习进展情况。任课，能够轻松、高效的完成备课任务，将主要精力到在课堂。实时的掌握学生课堂上的

16、学习情况，充分调动学生的学习积极性，将学习过程变为主动。（3）、家长层面：为家长定制他所需要的教育信息，智能推送学生的在校情况，了解到孩子在校的表现。 在数字校园初级阶段，往往只考虑解决业务问题，而对数据的价值认识不足，对业务与管理数据的、使用、流转、归档等不重视，处理不科学，导致历史数据、统计、分析等，可用性不强。 由于普遍对如何应用支撑业务流程再造，优化、规范并提高管理效率等关注不够或研究不深，导致应用系统低水平建设，业务与技术脱节。 各种业务系立部署，没有形成全校性的管理机制与运行模式，不能打通内外数据， 了一个一个的管理孤岛、应用孤岛、数据孤岛 数字校园缺乏理念、建设目标不明确（5）、

17、信息中心层面信息中心作为学校信息化的者，将学校遇到的问题，通过信息化去解决。不仅是要维护好学校的业务系统，更需要站学校运营的层面，提出顶层设计和细化方案。1.5 锐捷智慧校园理念设计锐捷深耕教育 18 年，一直致力于教育信息化的研究，秉承对智慧教育的深刻理解，提出智慧校园建设的理念：全场景方案服务教育教学，让校园生活变得更简单，让师生“教学”变得更专注。1.6 智慧环境服务基础设施是智慧校园的基础，包括校园网、终端、数据中心和各种数字化环境（如多媒体教室、计算机教室、教师备 课室），尤其是稳定、高速的校园网络环境是智慧校园的必要条件，是基础设施建设的重中之重，硬件设施在物理空间上应该确保覆盖全

18、校园的范围， 既包括校门口、教室、办公室、操场等全场景。此外，IT 硬件还应该具备可拓展性，不仅需要满足当下应用，更需要能够适应未来业务扩展。1.7 智慧教学服务构建先进实用的网络教学平台，课前为备课提供丰富的教学备课，课中对课堂做深度把控，创造主动式、协同式、研究式的智慧学习环境，建立师生互动的新型教学模式，课后高效的统计，提供整体分析，为调优教学提供依据。2 锐捷智慧校园整体系统设计2.1 总体系统架构设计锐捷结合自身优势，将云计算、物联网、数据挖掘和数据分析等信息化技术融入教育教学全流程，从终端用户接入层、硬件平台支撑层和应用平台服务层，构建整体智慧校园服务体系。用户接入层覆盖进出校、智

19、慧教室、计算机教室、办公室、体育课等学校全场景，智能的提供用户终端接入和使用；硬件平台支撑层提供用户接入层和硬件平台应用层的网络服务、硬件基础设施服务和虚拟化云平台服务,提供智慧校园基础环境支撑；应用平台服务层，提供学校必须的业务服务和运维管理服务。2.2总体架构设计平台架构设计极简的校园网、智能的设备网、高速的无线网、智慧的物联网为学校整网提供了教学管理、日常办公、内外交流等全方位的信息化服务云课堂、云办公以融合创新和云架构理念，先后打造了计算机教室、多教室、办公室和智慧教室等各个教学和办公场景整体解决方案，引领教学和办公新体验，助力智慧校园创新模式的腾飞2.3 骨干网络总体需求本次网络建设

20、，建设交换机链路连接各楼汇聚并以千兆链路下联楼层接入交换机，通过认证系统实现用户对接入校园内网后，实现基于实名制的管理，网络实现骨干、千兆到桌面的网络环境，并通过的认证系统实现用户实名制的管理，并提供多样化的认证方式如理的准确性，通过高性能的、无感知、WEB、802.1X 等安全便捷的准入，保证学校实名制管交换机承载学校网络用户认证及转发网关，在提供集中管理及维护的同时提供有效的数据支撑，通过出口网关的行为管理功能及数据转发功能，通过流控功能的多级嵌套带宽管理功能，实现安全、可靠、高效的出口转发环境，并且实现与认证系统配合实现对于用户的流量带宽管理，进一步提升学校网络的可控性，通过出口设备提供

21、防、防、应用安全的度安全保护，提升网络的安全保护能力。2.4骨干网络总体目标结合的实际情况，需要建设网络满足以下几方面：1.通过高性能交换机部署区域，并且提供双虚拟化的部署方式，实现将两台交换机逻辑虚拟为一台，从而降低维护，并且通过虚拟化的特性实现性能翻倍并且提供毫秒级冗余切换的安全架构，在提升网络稳定性的同时，提供高性能的架构，提供面向未来的数据发展提供支撑。2.通过高性能交换机承载网络所有用户的认证网关及管理网关，提供扁平化的网络结构，简化维护复杂性，降低维护户的优质数据传输体验。，并且通过高性能的转发能力支撑网络用3.通过高性能的汇聚交换机承载各楼的数据汇聚转发，通过链路连接，提高性能的

22、数据转发收敛比，提供骨干、千兆到桌面的网络环境。4.接入区域部署全千兆安全接入交换机，提供千兆到桌面的网络架构的同时，提供安全保护能力，通过接入交换机内置的安全保护实时监测网络中传输的流量，发现问题及时阻断，并且提供 10KV 防雷的安全保护能力，避免因突发性电流及雷雨天气对楼层交换机的影响，进一步提升安全稳定性。5.无线 AP 设备通过 802.11ac 级的转发能力，提供千兆级的无线网络转发速率及每个天线的转发方式，提升用户的使用感受。6.通过认证系统对于网络用户提供安全的实名制认证管理，并且通过多样化的认证方式，简化认证步骤，提升用户接入体验。7.通过出口网关提供高性能的 NAT 转发能

23、力，提供学校时期用户流畅的网络使用体验，并且通过出口网关提供行为管理功能，与认证系统配合实现基于的实名制行为审计及管控，提升网络的可及合规性。8.通过出口网关设备的流控功能提供多级嵌套的流量管理方式充分发挥出口带宽性能，并且于应用进行有效的管理，保证网络的合规性。9.出口区域部署设备，通过的安全保护特性及防、防、应用特征防护能力，提升网络的安全性及可靠性。10.通过运维对于全网设备提供集中的运维审计管理，实时设备运行情况，出现问题及时告警，从而减轻维护，提升管理效率。2.5 无线方案设计思路在实际 WLAN 项目建设中因各家厂商 AP特性单一、同质化严重的情况，均采用在覆盖区域进行直接放装部署

24、或室内分布式部署等一刀切的老旧建设方式，未能充分考虑无线覆盖区域的环境特点和用户的实际应用需求，导致项目实施交付后，原定的无线业务系统无法使用，用户无线体验差，最终无线网络成为摆设的尴尬局面。正是敏锐的捕捉到了这些信息，锐捷网络创新的推出了无线网络建设的新思路提供基于场景的无线和解决方案，根据用户场景的特点采用专门的无线进行定制化的无线覆盖，为用户提供真正高速可用的无线网络！根据项目无线覆盖的要求，方案通过对进行实地无线地勘，结合用户使用网络的习惯，将无线信号全面覆盖。图错误!文档中没有指定样式的文字。-1 无线方案设计思路1.稳定的无线覆盖无线信号由于会受到天气、周边环境的其他无线信号源的干

25、扰，确保新建无线信号的稳定是本次建设的首要解决的问题。通过实际环境地勘，测试无线信号等方法，确定影响本次无线建设的各种因素，进行综合分析，确保新建无线网络在信号稳定、无盲区的覆盖。2.安全的无线覆盖无线网络通过广播 SSID 的于无线信号的开放性，如何有效信号覆盖范围内的终端提供无线接入的信息点，由用户接入无线网络是确保无线网络稳定的前提。未在无线网络覆盖安全方面，将采用强制接入认证、AP 抑制等技术，确保接入无线网络用户的和唯一性。3.可控的无线覆盖本次项目建设具备范围广、用户多和新增设备多等特点，做到对网络所涉及到的设备资源的可控，使得该网络中的所有设备运行在最佳状态，整体提升无线网络的健

26、壮性。2.6 无线场景情况2.6.1包、翻转课堂场景下的无线覆盖场景：包教室、翻转课堂、创新等场景分析：教室内各个位置包终端，可能会拿着终端频繁移动；教室中每个学生一台包终端，总数可能接近 50 台，上课时所有终端会同时进行数据传输，课件、点播等；无线网络承担教学关键业务，这就要求网络具有极高的稳定性和可靠性；无线网络不能用。其他终端随意接入，但同时要考虑包终端能够轻松、便利的使解决方案：无论是统一类型平板移动终端，还是学生 BYOD 平板移动终端：在一间教室里部署一台高密度三射频AP，最高支持3 个5G 频道同时工作，支持 802.11acwave2 技术，可满足和 60 个学生的统一终端网

27、络接入和移动等需求。图包APRG-AP730（TR）2.6.2 大型会议室、阶梯教室等大开间、高密集用户场景用户场景特点：1、环境开阔，面积较大；2、无线用户数极为密集，总数较大；3、用户终端类型复杂，对 AP 的兼容性要求较高。普通 AP 部署存在的问题：因用户数较多，普通 AP 的接入用户数在 30 人左右，部署所需的普通 AP 数量也会较多，但普通 AP 基本上均为全向天线型，超过 3 个 AP 密集覆盖时就会产生严重的同频干扰（2.4GHz 频段下互不干扰的信道仅 3 个），WLAN 的性能会大幅下降，无线用户体验得不到保证。锐捷网络建议在这类环境下使用支持 X-sense 灵动天线的

28、新一代高性能 AP进行覆盖，如下：单 AP 的接入用户数大大提升，单 AP 可接入 60 多个用户，所需的 AP 总数减少，AP 间干扰得到降低；智能天线型 AP 信号覆盖效果如右图，会根据终端的位置发射定向信号，不仅终端的信号质量有保证，而且多 AP 密集部署的干扰也会有效下降 30%以上。2.6.3 寝室区高密度房间场景的无线覆盖用户场景特点：1、房间密集，房间数多；2、单个房间 46 个用户；3、环境美观度要求高，WLAN 建设不得破坏装修；4、部署要快速，不能影响正常运营办公。普通 AP 部署存在的问题：目前这种场景会有两种可能部署方式，1 是采用在楼道间直接放装 AP 进行覆盖，但这

29、样信号一般很难穿透多堵墙实现两侧房间的有效覆盖，这种部署基本满足不了应用终端的信号强度需求。另外在楼道上放装超过 3 个AP，同频干扰带来的 WLAN 性能大幅下降也会影响到用户使用，所以这种方式基本被正式使用。第 2 种是采用室内分布式部署的方式，即需使用 500mw 的大功率 AP、直径 20cm 的蘑菇天线、直径达 2cm 的馈线以及功分器放大器等室分器件（如下图），整个部署施工难度大；且 802.11n 的室分 AP 最大接入速率仅为 150Mbps，性能较低；而且把这些体积较大的天线、馈线放到宿舍内，效果极不美观且容易给普通用户带来辐射大的心理暗示，进而产生抵触投诉情绪等。图 传统室

30、分设备部署效果图锐捷网络强烈推荐使用锐捷专利创新“+”进行部署，优点如下：图锐捷部署效果图lllAP 主机部署在弱电间，微 AP 部署在房间内，采用标准网线连接，最长可达 100 米单个 AP 主机支持最多 24 个微 AP，微 AP 采路双频 802.11ac 规格微 AP 上电后识别为主 AP 的射频卡，全网采用通用无线器进行统一管理l微 AP 灵活部署，支持面板安装和吊顶安装，无论是利旧、新布还是美观要求满足ll部署 24 个信息点，只需要管理一个 AP 主机，精简管理，减轻管理工作量。微 AP 可随意更换替换无需配置，轻松维护2.6.4 学校校园、操场等室外场景的无线覆盖用户场景特点：

31、1、室外环境恶劣，需严寒、酷热、雷雨、风沙等；2、覆盖面积要求较高；3、并发用户不多，但对性能有一定要求，如室外特殊应用，无线安防等。常见场景：学校校园、球场、公路、园区等室外区域分布有较高、密集的群和植物群，这对于信号的阻挡将是较大的。因下的 300此，应当选用的室外大功率无线 AP，配置使用定向天线，可以保证无米半径覆盖以及近距离的多重物的穿透能力，完全保证了室外区域的信号覆盖品质，同时设备本省具备抗雷击、防雨、防潮、抗高低温、阻燃等多项指标，无线室外覆盖，建议部署在校内的制高点上，同时采用全向或定向天线向进行无线覆盖。2.6.5 无线地勘点位表2.6.6 用户终端类型分析随着信息化的迅速

32、发展，移动终端的类型也越来越多，如笔记本、PAD、等对终端的性能要求越来越高，终端网卡类型由单流单频网卡、双流单频网卡到现在主流的双流双频网卡，如 IPAD4、Ipone5、三星 GALAXY 等都支持 5G，为更好的分流，将尽可能支持 5G 的终端自动连接到 5G 射频卡上，来减轻 2.4G 的，即在学校部署无线网络时，当 1 台 AP 上连接人数较多时，最好使流双频的设备2.7 方案设计原则2.7.1 无缝覆盖本次无线校园网建设采取标准的 802.11ac 网络协议标准，提供不低于 867Mpps 的无线带宽接入能力，提供高性能的无线覆盖；2.7.2 多种服务支持基于校园级网络的未来可持续

33、发展，无线网络应为未来发展多、高带宽的无线通信应用等）打宽带应用（如，无线语音应用、无线会议应用、无线、无线多下基础，并提供低成本的无缝升级和先后兼容。无线系统需要具有 IPv6 协议和流量的分类转发和管理能力。2.7.3 安全性网络必须具有良好的安全防范措施和保护技术，灵活方便的权限设定和机制，使系统具有多种有效，防范各种形式对网络的和内部，以保证网络的实体安全、系统，有效地保障正常的业务活动和防止内部信息数据不被窃取、篡改或泄漏。因此系统应分别不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限等。2.7.4 兼容性本次网络建设具有充分的开放性及兼容性，为打造具

34、有开放性的网络平台，提供面向未来发展、业务扩展、功能扩展提供充分的开放平台，确保未来业务上线及功能上线的平台兼容性。2.7.5 扩展性在网络规模不断发展的情况下，无线网络应满足在不改变主体架构与大部分设备的前提下，平滑实现升级和扩充，降低原有网络的硬件投资扩展后的系统可用性与稳定性。预留 AC、AP 可升级的能力，为未来无线校园网建设提供基础，无线网络要支持 AC 冗余扩展N+1 的冗余备份能力；2.7.6 高性能网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。2.7.7 可管理校园网能够良性、稳定、持续

35、、健康的发展，对校园网用户进行严格的管理和控制，学校需要对校园网进行用户接入管理管理，通过对上网的用户进行认证，上网用户的行为，为学校的网络管理提供便利的工具。于此同时，对于本次网络中所涉及的无线 AP、AC、交换机等设备能够实现无线、有线统一的管理，确保各设备运行在最佳状态，为园的用户提供可靠的网络接入服务。3 校园网网络改造设计3.1 拓扑结构设计此次建设是建立一个稳定、安全、可靠、易用、的校园信息化网络，为信息化建设提供一个优秀的网络基础平台及无线环境。整个网络分为层、汇聚层、接入层、无线设备、认证系统、出口运维、物联网、云桌面设备。链路下联汇聚交换机，接入层及无线设备均采用全千兆速率，

36、从而实现骨干链路，千兆到桌面的高速网络，提供无线用户优质的校内体验。根据网络的层次模型，网络拓扑图如下：本方案采用骨干、千兆到桌面的网络进行部署，采用树形结构，形成一个分布式、层次式整体网络，构建高速、稳定、成网络平台。整个网络分为层、汇聚层、接入层、无线设备、物联网、网络管理及认证系统及云桌面部分组成。层通过两台高性能交换机，将所有交换设备的安全、认证配置上收，由的高性能处理能力进行承载，简化网络部署，减轻维护，并且通过的集中管理，扁平化的结构可以有效的提高设备的兼容性，尽可能的保护投资，为了面向未来的发展，区域通过主备冗余，使用虚拟化方式建立主备关系，毫秒级切换，在主备发生切换时用户无感知

37、，并且通过大的 ARP 表项，高效承载全网有线、无线用户转发。各楼宇部署汇聚交换机，通过链路连接交换机，提供全网融合互通的网络环境，提供用户高速部署，有效的校内的网络环境，通过扁平化结构与配合，通过 QINQVLAN了二层对网络的，缩小广播域，并且通过扁平化的 QINQ 区域划分提供清晰标准化结构，缩小了故障影响范围，如网络出现问题也只会影响其中一个小区域，并对全网造成影响，提供高效的收敛比，实现流畅高效的网络使用环境。接入交换机开启生成树放环协议，防止下联环路的发生，避免环路导致的广播风暴，接入交换机通过 VLAN 及 TRUNK 结构与极简扁平化部署方案融合，由管理各用户的认证、检测、安全

38、策略等协议功能，简化接入及汇聚设备的配置，简化网络架构，降低维护压力，开启 RLDP 防止下联环路的发生，避免环路导致的广播风暴。无线区域接入交换机开启 POE 功能，由网线进行供电及数据传输，有效简化部署方式。无线采用瘦 AP 形式部署，区域包括食堂、1 号寝室楼、2 号寝室楼、教学楼、艺术楼、室外环境，采用集中配置、集中转发数据，实现无线全网用户无缝漫游，全网 AP 集中管理，提高用户使用无线网络的体验，集中管理发生故障及问题方便快速，结合实际场景，在开放区域及房间较大的区域部署放装型 AP 进行信号覆盖，寝室区域的高密度房间环境采用AP 进行部署，通过主 AP 与微 AP 的配合实现 1

39、 分 24 的部署方式，实现一台 AP 覆盖 24个房间的部署效果，并提供每间房间无线使用效果。的转发能力，通过 802.11ac 的高性能提供最优的通过认证系统，开启相应的认证功能如、无感知、web、802.1X 等认证方式，保证安全的同时提供便捷的认证效果，提供集中运营的管理效果，提升网络运营能力，提供全网有线、无线统一账号、统一审计、统一管理、统一运营的综合管理效果，保证准入的安全保护的同时，实现实名制审计能力，满足部要求的 82、33及法要求。通过高性能出口网关，通过高性能的 NAT 数据转发方式，提供多样化的智能选路功能，实现基于应用、带宽、DNS、链路保护的智能链路负载均衡功能，与

40、出口带宽实现有效融合并行传输，进一步提升出口带宽效率，并且通过行为管理功能实现用户的行为管控效果，并通过与认证系统的联动配合实现基于的行为审计管控能力，实现用户只能合法、合规并且的应用及网络，并且可以实现基于时间的行为管理，通过流控功能实现出口流量多级嵌套，实现基于部门、用户、应用的流量提升网络的流畅性。，进一步提升出口带宽的利用率，部署防，及较多，并且因安全风险而照络瘫痪的情况时有发生，如果网络不具备高性能、高精细化的安全保护设备，的、等安全风险进入网络环境会造络、业务、甚至全网内置防的安全风险，因此出口区域通过高性能出口实现度安全保护、防、防木马、防等安全保护特性，并可（应用层）进行安全保

41、护，实现基于、终端、地点、时间、应用、操作的安全策略防护，从而杜绝的安全风险，保证网络的安全性及稳定性，并通过与认证系统联动，实现基于的安全策略，实现安全策略与对应跟随，无论用户使用任何终端安全策略始终与对应，进一步提升安全性及管理性。服务器区域部署 WEB 防护设备，对校内实现全方位的安全保护，通过对进出 Web 服务器的 HTTP/HTTPS 流量相关内容的实时分析检测、过滤，来精确判定并各种 Web 应用行为，阻断对 Web 服务器的与操作，适应 Web2.0的主动实时监测过滤风险技术，而不是的后的恢复，将代码、非篡改、应用等众多因素结合在一起进行综合防范，从而做到对 Web 服务器的多

42、重保护，确保Web 应用安全的最大化，防止网页内容被篡改，防止数据库内容泄露，防止口令被，防止系统管理员权限被窃取，防止被挂马和植入、代码、软件等，防止用户输入信息的泄露，防止账号失窃，防 SQL 注入，防 XSS等。通过部署日志分析审，通过日志审与出口网关、认证系统联动实现统一的日志呈现及收集功能，收集包括用户网络内容、网络部行为、网络发布性行法要求。为等全面的行为审计日，从而保证满足通过部署具备物联网功能的无线 AP，在提供全网无线覆盖的同时将物联网网络覆盖全校，学生通过智能物联网手环自动连接物联网络环境，实现将学生本身与信息化无缝融合，通过智能手环的功能实现学生入校、入班的数据审计，通过

43、健康检查功能实时检查学生在校的健康情况，通过安全功能提供学生在校安全、SOS度掌握学生在校的情况，并将数据实时同步到物联网平台进行数据分析，物联网收集到的学生数据会实时同步到及家长，让家长能够实时了解学生在校情况，在提供学生安全的同时，提升整体的校园智慧体验；通过运维，对校园中所有有线设备、无线设备、业务系统、服务器、中间件进行实时、呈现，WEB 的管理方式，实现详细的集中管控，满足用户对于网络的维护、监控的方便性，并提供故障快速，减轻维护。学校计算机教室及办公室的计算机终端采用云桌面的部署方式，通过云桌面的活性及高智能性，综合提升师生的使用体验，教学的云桌面通过具备丰富教学管理功能的云桌面管

44、理软件提升课堂的活跃性，将学生的学习转变为制动学习，办公的云桌面通过云桌面的办公管理功能进一步提升办公效率，并且网络搭建云桌面架构后，将用户的系统使用桌面横向打通在学校任何一台终端上输出的账户就可以打开的系统桌面进行操作，最大程度的提升了计算机使用的灵活性，提升用户使用体验的同时，提供全校计算机的标准化布局；4 方案内容及功能详情4.1 骨干网设计采用扁平化组网方案，无线网络区域、智能化网络区域、有线网络区域、数据中心区域、云办公和云课堂区域统一汇总到 Newton 18000交换机上。认证、网关上收层，扁平化组网。交换机单台最大支持 1 万终端 IPv4/IPv6双栈同时，全网可平滑迁移支持

45、 IPv6 网络。设备虚拟化，逻辑上只需要管理一台交换机，且设备间高可靠高冗余，实现毫秒级切换。且增加现平滑扩容。设备，如数据中心交换，也可以平滑冗余虚拟化组，实简化网络结构，简单网络管理。正是由于网关、认证上收至层，减少了网络中的三层设备数量（即网络中最庞大的汇聚、接入设备），无需设计复杂的路由等协议。且网络故障排查中只需要在难度。层排查三层协议，汇聚、接入层只需排查 VLAN 配置，极大降低管理有线&无线融合，统一管理。通过扁平化组网，实现有线/无线台认证系统，并满足校方的无线精细化管理要求。认证，无需维护多更高规格、更全面的校园网安全防护能力。校园网用户在认证前通过 VLAN，认

46、证后将安全策略绑定在设备上。通过设备更丰富的安全策略，更强的安全性能，及高性能的卡能将防护安全插卡，远高于原传统三层网络中接入设备的简单安全功能。同时插设备上的任意端口变成具有功能的端口，对校园网实行全方位的立体安全快速故障，网络实名管理。用户上线后，认证系统动态分配给用户固定的 IP 地址，取代传统的手工填写 IP 地址的方式，提高师生用户体验，减少终端运维工作量。同时认证系统用户详细信息及所在位置，实现快速故障、精确实名制管理。4.1.1 功能和策略上收，简化接入网的关键性传统的校园网中，用户接入、安全防护、运营及服务管理的各种功能、策略一般都部署在校园网的接入、汇聚交换机上。这种部署方式

47、导致整个接入网的整体拥有成本非常高，网络中心曾今投入了大量的资金来搭建这张接入网，而未来一旦因为设备老旧、功能升级等，这张接入网还会继续需要持续的资金投入，而随着无线校园网的融合管理，这笔资金的数额更加巨大。锐捷“极简网络”解决方案首先实现的是将原来分布在接入网的各项功能和策略上收至交换机，上收之后各项功能、策略的执行点全部在交换机上，接入网的接入、汇聚交换机只负责进行各种数据的转发。锐捷“极简网络”解决方案通过这种方式极大的增强了校园网交换机的利用率，弱化了整个网络服务对接入、汇聚设备的依赖。其价值主要体现在如下几个方面：1.节省资金：“极简网络”解决方案所进行的集中管理的改造，减轻了接入网

48、设备的关键性，也弱化了对接入网设备的技术要求，这都使得改造后的校园网，在接入设备上可以选择更加便宜、更加轻量级的，而资金的投入则主要集中在交换机上。由于校园网内接入网设备众多，因此从全局上看大大降低了校园网的整体拥有成本。节省人力：“极简网络”解决方案所进行的集中管理的改造，同时也减轻了接入网2.对日常维护的数量要求，接入网设备仅需要配置和维护 Vlan、STP、静态路由等最基本的通用技术。单个学生能够管理的设备数量将会大大增加。即使面对未来无线校园网的建设，网络中心只需要适量增加学生的数量，就完全可以承担起接入网的日常维护工作。3.降低技术门槛：“极简网络”解决方案所进行的集中管理的改造，还

49、使得负责维护接入网的学生再也不用去花费大量的时间、精力学习各种复杂的技术。网络中心耗费在学生身上的培训、实习也会大大降低。4. 降低新业务部署难度：新业务特别是业务专网的部署，在传统的模式下只能采用端到端的部署方式，从、汇聚到接入都需要进行设备的配置和对接，而接入网设备数量会导致这种配置和对接的工作量巨大而且率很难保障。“极简网络”解决方案所进行的集中管理的改造，可以使新业务部署的大部分工作都在交换机上完成，接入网设备仅需要提供对应的 Vlan 通道即可。网络中心为新业务上线所投入的大大减少。4.1.2 Newton18000 系列交换机：“简”网络、不减能力通过“极简网络”解决方案来进行网络

50、服务的集中上收，所有的功能、策略都部署在网络的层上，这对整个校园网的交换机提出了巨大的。锐捷在“极简网络”解决方案中配备的 Newton18000 系列交换机具有全球最顶级的配置，具有最优秀的稳定性来适应性。校园网高密度的用户并发，同时也具备先进的技术来保障自身的可靠性和安全Newton18000 系列交换机采用超大表项容量，承载 10 万级用户Newton18000 具有丰富的接口线卡类型，这些线卡的交换均采用 UFT（UnifiedForwardingTable）技术实现。通过该技术，可以灵活配比 MAC、ARP、ND 表项的容量，解决了传统交换表项容量固定，无法按照用户需求提供灵活的容量

51、定制。另外，为了便于用户配置，Newton18000 把 UFT 转换成 3 种模式给用户配置，这些模式可以确保对应的应用容量容量最大，模式分别是缺省模式，网关单栈 IPv4 模式，网关双栈模式，这些模式下除了 MAC 地址是固定占用容量数的，MAC、ARP、ND、IPv4 组播、IPv6 组播都采用先配置先占用表项的方式。正是依托这些技术，Newton18000 系列交换机能够达到1000 个/s 的终端并发速度，同时支持 10000 个 IPv4/IPv6 双栈用户以及超过 15 万 IPv4 用户的同时。10000 双栈终端同时1000 个/S 的终端上线速度Newton 采用创新认证设

52、计，保证用户上下线畅通传统架构的网络认证方案中，接入或汇聚设备上是利用 IP+MAC 构造的安全表项来实现终端的认证，因此接入或汇聚设备上的安全表项容量一般就决定了最大可以支持的认证终端数量。而随着网络规模的持续扩大，应用场景的不断增多，接入或汇聚设备已发展需要，无法承载的终端用户灵活、安全的接入网络。而在“极简网络”解决方案中，作为认证 NAS 设备的 Newton18000 采用创新认证方案，在转发面通过 MAC 地址表来实现终端的认证功能，即认证通过的终端会生成一条对应的“静态”MAC 表项；另外，同样在转发面通过 ARP 表项来实现终端的 IP+MAC 绑定避免，即认证通过的终端会生成一条对应的“静态”ARP 表项；而在面通过 ARPCheck 功能对送面的 ARP 报文进行检查，可以过滤 IP 和 MAC 与绑定不符的