校园网络技术方案设计

1、网络技术方案设计1、校园有线网设计我校校园网建设采用最为稳定可靠的“核心、汇聚、接入”三层拓扑结构。核心层（网络中心）汇聚层（各楼管理间）接入层（楼层弱电间）。校园网拓扑图如下所示：Internet单体建成$桂核心层我校校园网核心层必须能够提供高速数据交换和路由快速收敛，要求具有高性能和较高 的可靠性、稳定性和易扩展性等。学校核心层设备，应该在提供大容量、高性能L2/L3交换 服务基础上，能够进一步融合了网络安全、网络业务分析等智能特性，可为校园网构建融合 业务的基础网络平台，进而帮助我校实现IT资源整合的需求。因此核心节点的建设，须遵 循以下几个原则：须具备多级交换架构；须具备高性能、高稳定

2、性和高冗余性；须具备较少时延设计；须具有多业务应用扩展性和良好的可管理性；针对我校校园网建设，在对高性能、可靠性、稳定性、冗余性要求下，计划在网络中心 部署2台数据中心级交换机。每台核心交换机配置单引擎，双电源，配置千兆接口和万兆接 口，千兆光口利用千兆多模光纤连接各楼汇聚交换机；万兆光口用于两台核心设备之间采用 万兆连接，利用交换虚拟化技术简化网络拓扑和实现性能翻倍，做到统一管理，其中任何一 台核心交换机或核心交换机上的板卡出现故障后，另外一台核心交换机能够立即接管故障核 心交换机所有交换工作，不影响正常校园网数据转发。在两台核心交换机都正常工作时能够 对汇聚交换机转发过来的数据流量进行负载

3、均衡，两台核心交换机同时承担核心网络数据交 换工作。我校校园网对先进性、高性能、高可靠、高带宽、可扩展的要求非常高，因此，核 心设备选用当今最先进的多级交换架构，做到从传统的“尽力转发”架构变成最先进的“完 全无阻塞转发”架构演进。核心交换机采用多级交换架构，控制引擎和交换引擎分离，配置硬件独立的交换网板（替 换交换芯片），实现数据包在多个交换网版之间的无阻塞转发。两台核心设备之间采用万兆 连接，中任何一台核心交换机或核心交换机上的板卡出现故障后，正常工作的核心交换机能 够立即接管故障核心交换机所有交换工作。在两台核心交换机都正常工作时能够对汇聚交换 机转发过来的数据流量进行负载均衡，两台核心

4、交换机同时承担核心网络数据交换工作。汇聚层汇聚层主要是各单体建筑的小核心，负责连接接入层交换机和网络中心核心交换机，作 着承上启下的功能，其主要作用在于将较大数量的接入设备端口汇集，然后再与核心交换机 互连。在汇聚层需要承担起所连各个网络之间的子网路由工作，同时对接入层数据进行分流 和控制，将接入端的非法和垃圾数据对核心网路造成的影响降到最低。我校校园网建设中， 计划在汇聚层部署10台三层汇聚路由交换机，其中8栋楼每栋1台，服务器汇聚1台，冷 备1台。汇聚采用千兆多模光纤双链路与两台核心相连，向下千兆网线连接接入交换机。汇聚交换机需支持最多4个万兆扩展接口，支持IPv4/IPv6硬件双栈及线速

5、转发，能够 从容应对即将带来的IPv6时代。接入层考虑到我校各楼信息点集中，要求接入层的设备具有端口高密度和设备的高性能、高安 全、多功能的特点。采用全千兆安全智能接入交换机。在提供高性能、千兆光纤上联和千兆 到桌面的同时，提供完善的QoS服务质量、ARPAU检测、ACL深度识别等功能，有效防止 和控制病毒传播和网络攻击，控制非法用户接入和使用网络，实现用户策略（VLAN、QoS、 ACL）的动态下发，保证合法的用户合理化地使用网络资源，充分保障了网络高效安全、网 络合理化使用和运营。我校校园网建设中，计划部署20台24 口千兆接入交换机，并利用千 兆网线接入各楼汇聚交换机。校园出口我校校园网

6、出口要满足全校老师和学生的互联网接入，对设备性能、可靠性都有较高要 求，计划采购1台高性能出口引擎，提供先进的多核高性能处理技术，提供专门的内核处理NAT转发，强大的NAT转发性能可充分满足我校出口设备性能要求，以及对未来网络的扩容 需求。2、校园无线网设计无线AP规划设计要考虑覆盖范围、用户密度、建筑结构、用户业务等各方面的需求， 我校无线AP要求如下：传输速率：采用802.11n无线AP,提供高达300Mbps的无线接入速率，是相同环 境下802.11a/b/g产品速率的6倍左右；智能覆盖：要求无线AP支持终端感知型智能天线覆盖技术，有效地从覆盖范围、 接入密度、运行稳定等方面提供最佳的无

7、线应用体验；频谱防护：要求无线AP支持频谱防护功能，从而降低2.4GHz波段的射频干扰源对 无线网的影响；造型美观：为了不破坏建筑装饰的整体效果，要求无线AP可墙挂、吸顶等安装方 式，既不影响美观又能实现无线信号覆盖。无线校园网采用“瘦AP+无线控制器+POE供电+无线网管”的组网方案。其中，瘦 AP完成智能终端的无线接入，无线控制器完成接入策略、认证方式、功率控制等。通过无 线控制器对无线AP进行集中管理，达到统一运维、管理的目的。无线AP无线AP计划采用走廊放装的方式进行覆盖。主要应用于楼层中间走廊两边房间结构室 内区域，室内走廊部分都可以采用吸顶/墙挂方式进行安装。无线控制器无线控制器作

8、为统一集中管理无线AP的设备，要求具有大容量、高性能、简单部署、 扩展性强等优点。POE供电设备我校无线网中AP分布较分散，而且AP布放位置根据实际覆 盖效果而调整，因此建议采用802.3af的POE供电设备实现对AP的远程供电。无线网管软件校园网中既存在有线网络设备，又部署了无线网络设备，有线和无线分别单独配置和管 理，对于我校信息中心管理人员来说比较麻烦。需采用无线管理系统，可与有线网管理系统 紧密结合，实现对无线控制器、无线AP、移动终端的管理。帮助管理员了解网络部署情况 及无线设备状态、无线链路状态、无线射频覆盖范围、强度、速率等。3、校园数据中心设计按照数字化校园建设理念，我校将建设

9、统一的校园数据中心平台，实现全部业务系统的 应用和数据存储。目前有包括办公自动化、财务、选课、排课、查询、FTP、电子档案等众 多业务系统，后续逐步通过服务器虚拟化，实现应用业务的P2V迁移，对现有服务器进行利 旧与整合，实现将网络、计算、存储三者整合成一体的数据中心平台。我校计划采购6台服务器，包括WEB、FTP、OA、财务、选课/排课/学生查询、电子档 案各一台，计划采购1套H3C CAS服务器虚拟化软件，可将物理服务器虚拟化成多台虚拟机， 实现对物理服务器和虚拟服务器的的统一管理。我校数据中心要求可靠性高、突发性强、并 发性强等特点，计划部署1台负载均衡插卡设备，利用核心交换机背板带宽实

10、现高性能服务 器流量负载分担，采用智能调度算法将各种应用访问请求高效的分发到数据中心各台的服务 器上，解决服务器性能瓶颈，并提供高可靠性和可扩展性的保障。除此之外，计划在机柜内 部配备数字式KVM设备，以便对服务器进行配置管理，为了实现数据中心供电保障，建议采 购UPS不间断供电，达到12小时供电时延。4、校园安全防护设计我校校园网建成之后，如何应对校园网安全威胁，确保我校校园网的安全稳定运行，是 信息中心必须考虑的问题。一旦出现安全问题，往往会给校园网的造成致命打击，而传统校 园网采用的多个安全产品堆彻的方法，由于缺乏统一安全策略、安全设备无法实现信息共享， 不能相互配合，安全漏洞无法弥补。

11、目前，我校校园网在安全风险方面，主要包括如下几个方面：校园网提供互联网出口，面临着来自外界黑客非法入侵的安全风险，在提供网络通信便 捷的同时，面临着来自内、外网用户的某些安全漏洞而实施的各类攻击的安全风险。由于校园网覆盖面大、结构复杂、应用系统多，会给信息中心管理上带来较大的困难， 同时可能导致整个网络出现安全漏洞隐患。计算机病毒的日益猖獗也会给校园网某些重要服务器（如办公服务器、财务服务器、资 源服务器等）带来可能导致重要数据丢失或系统瘫痪的风险。针对我校安全防护的问题，综合考虑校园网主要威胁，我校提出以防火墙和入侵防御设 备为支撑的安全解决方案。计划在核心层多级交换架构核心交换机上部署1块

12、嵌入式防火墙 插卡模块和1块IPS入侵防御插卡模块，从整体上实现安全防御策略。首先，核心交换机部署防火墙插卡，用来实施安全分区和访问控制。它监控可信任网络 和不可信任网络之间的访问通道，以防止一个区域中出现的危险蔓延到另一个区域。核心层 交换机中部署防火墙插卡，基于访问控制策略提供安全防护，可以保护数据中心内的网络和 数据免遭来自外部的非法访问或恶意攻击。划分安全区域之后，管理员将安全需求不相同的 接口划分到不同的域，实现安全策略的分层管理，从而实现我校校园网教育教学办公的业务 隔离。其次，核心层交换机部署入侵防御插卡模块，入侵防御系统IPS具有入侵防御/检测、 病毒过滤等功能，能够高速、在线检测并阻断DDoS攻击和非法P2P流量，通过深达7层的 分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和 恶意行为，并实现对网络基础设施、网络应用和性能的全面保护。综上两点，核心层交换机多1块防火墙插卡模块和1块入侵防御插卡模块可以用来保护我校校园网数据中心服务器区免遭来自病毒/蠕虫/木马等的安全威胁，同时也可以用来保护 校园网各大楼之间的关键网段。防火墙和入侵防御能够实现校园网L2-L7层的威胁抵御，形 成立体的全面安全防护。5、校园网络