校园网络建设方案建议书

1、PAGE 21 校园网络建设方案建议书目 录 TOC o 1-3 h z u HYPERLINK l _Toc38705751 1.建设方案 PAGEREF _Toc38705751 h 3 HYPERLINK l _Toc38705752 1.1项目背景概述 PAGEREF _Toc38705752 h 3 HYPERLINK l _Toc38705753 1.2智慧校园网建设需求分析 PAGEREF _Toc38705753 h 6 HYPERLINK l _Toc38705754 1.3总体架构设计 PAGEREF _Toc38705754 h 8 HYPERLINK l _Toc387

2、05768 1.4集中认证 PAGEREF _Toc38705768 h 21 HYPERLINK l _Toc38705769 1.5有线无线集中统一认证 PAGEREF _Toc38705769 h 23 HYPERLINK l _Toc38705770 1.6无线网络建设方案 PAGEREF _Toc38705770 h 25 HYPERLINK l _Toc38705776 1.7无线方案特色 PAGEREF _Toc38705776 h 42 HYPERLINK l _Toc38705777 1.8网络安全设计 PAGEREF _Toc38705777 h 50 HYPERLINK

3、l _Toc38705778 1.9技术参数 PAGEREF _Toc38705778 h 58 HYPERLINK l _Toc38705779 1.10产品清单 PAGEREF _Toc38705779 h 92 HYPERLINK l _Toc38705780 1.11方案产品资质证书 PAGEREF _Toc38705780 h 98 HYPERLINK l _Toc38705781 1.12产品制造商资质证书 PAGEREF _Toc38705781 h 127 HYPERLINK l _Toc38705782 1.13方案产品介绍 PAGEREF _Toc38705782 h 13

4、2 HYPERLINK l _Toc38705785 1.14耗材介绍 PAGEREF _Toc38705785 h 203建设方案项目背景概述项目背景自建校以来，服务于教务教学的校园网络设施，有力地支持了学校的高速发展。但随着学校业务系统的增多和新型教学方式的转变，对学生的学习、实验探究和实践的要求明显提高，因而对整个学校的校园网性能承载和功能要求也随之发生了很大变化，现有的校园网络已难以满足这种需要；另外，由于原有的网络设备使用年限和技术更新，现有校园网设施也已很难满足新课程对现代教育技术的需求。 随着无线应用及移动终端的普及，为了更好的服务于师生，加快教育信息化建设的步伐，促进校园信息化

5、建设成为学校育人的有机组成部分，大力发展校园无线网络，建设高速、稳定、可靠、可运营、可管理的无线网络对于塑造学院新一代智慧校园来说，具有重要的战略意义。现在无线网络产品和技术都已成熟，无线11ac技术相比传统11g的技术在性能和覆盖上都有了质的飞跃，加上学校无线应用越来越多，如笔记本、pad、手机等终端广泛应用，学校全校无线校园网建设成为学校信息化发展的必然趋势。当前学校在信息化建设方面的背景和需求，可以总结概括为以下几点：（一）加快学校信息化建设，是落实“创新人才培养体系”、“改革人才培养模式”人才培养战略的需要。国家中长期教育改革和发展规划纲要（2010-2020年）中明确指出“信息技术对

6、教育发展具有革命性影响，必须予以高度重视”，提出了“创新人才培养体系”、“改革人才培养模式”、“加强实践教学”、“提高课程建设质量”等系列工作。这些工作的开展需要利用各类信息化技术手段，形成以移动互联网络接入环境、知识云、学习云支撑的课堂教育模式，以在线教育支撑的联合培养模式、以虚拟课堂支撑的学生自学模式、以网上社团支撑的通识培养模式、以仿真实验环境支撑的实践教学模式、以网络评议支撑的科学评估模式，以综合数据分析支撑课程建设质量。全面推进学生自主性、互动性和探究式学习，实现人才培养战略的总体目标。（二）加快学校信息化建设，是推进“学科建设梯度推进战略”、“学科交叉与融合创新”学科建设战略的需要

7、。学科建设是高校能力建设的核心内容，信息化是加快学科建设的重要手段。“十二五”期间，我校确立了“支撑专业建设、提升教学水平、增强创新能力、服务地方发展”学科建设目标，这些工作的推进需要建立以泛在快速的网络环境和基于云架构的资源共享环境为核心的学科建设的公共支撑平台，融合学校数字图书、教学影像视频等各类知识资源，为各学科提供按需、主动推送服务。构建跨学科的网络信息平台，为各科学交叉提供在线的信息交流环境，开展学科相关资源的共享，促进学术交流合作，推进学科交叉融合。（三）加快学校信息化建设，是支撑“跨学科研究平台”、“学科联合攻关”科研发展战略的需要。高等学校中长期科学和技术发展规划纲要中指出“要

8、抓住信息化建设的发展机遇，构建信息化公共服务体系，以信息化带动科研工作现代化，实现高校科研工作的跨越式发展”。我校的科学研究的定位是以加强科研平台建设和科研创新团队建设为基础，以争取高水平科研项目和科研成果为突破口，在这新形势下，为适应我校新一轮科研发展的需要，开展学术网络建设、面向学术团队建立机构知识库等形式的创新知识资源服务、网上学术交流服务、大型仪器设备共享服务、网上科技成果转化等服务是十分必要的，营造具有学院特色、支撑学科建设、结合区域发展的科研环境。（四）加快学校信息化建设，是推动管理科学化、智能化、效能化发展，构建智慧校园的需要。大学校园离不开科学的管理，科学的管理必须借助于信息化

9、的支撑。近年来，学校高度重视管理体制机制的改革，强调机关工作的效能建设，强调提升管理服务水平。这些工作的落实需要利用先进的信息化技术手段，部署自动化、智能化的管理服务系统，科学全面地采集、整合、挖掘学校各类相关信息与数据，为学校整体管理效能的提高和量化决策提供支撑。同时，通过现有的信息化技术手段，结合基建改造工作，实现安全监控、节能减排、有效控制等目标，为全力打造智慧校园提供保障。现状分析学校目前只进行办公有线网络建设，现有学生宿舍网络服务由电信提供，并未统一纳入到校园网中，这给校园网的统一入口管理带来了阻碍，同时现有校园网仅覆盖教学办公区有线网络，随着信息技术应用发展，随时随地使用无线网络已

10、是趋势，另外网络应用系统均是针对各部门、各单位的具体工作进行建设的，并未遵循统一的技术标准来设计、开发以及购置，难免存在信息建设局限性、片面性，致使各系统数据结构差异较大，难以进行跨系统的数据管理和调用，使得资源难以整合。校园网网络设施一直以来为学校智慧教学管理平台提供坚实的基础，但随着业务规模的扩大和新的教学方式转变，原有的网络设备将无法满足现在以及未来的校园网发展需要。另外为了更好的提升学院日常教学办公管理的效率，改造学院网络平台也是非常有必要的，随着未来我校智慧校园建设的不断发展和深入，校园网中承载的业务也将会越来越丰富、越来越复杂，今天的学院信息化体系架构内，已经包括了学院各个部门的业

11、务系统，各业务部门的系统已经由最初的只是实现部分简单的OA自动化到今天逐渐将业务部门的所有流程都整合其中，已经发生了巨大的变化，系统变得日益完善、日益复杂、日益强壮，不同业务部门的系统面向不同的业务体系和业务流程已经有了明显的差异化。例如未来将会逐步完善的智慧教学平台、智慧图书馆、办公信息系统、教学管理系统、科研管理系统、学生管理系统、一卡通、校园广播、校园监控、无线教学等，这些系统构成了未来学院的核心业务平台，是学院的经脉，渗透在学院运转的各个方面，在学院的发展中起着极其重要的作用。场景变化：使用场景由传统的办公室、宿舍延伸至校园内的所有场所；习惯变化：学生使用习惯由传统PC转向各种智能终端

12、，应用复杂化；技术发展：互联网技术快速发展，各种WIFI设备出现，传统的有线网络无法应对；设备及架构变化：现有设备在网时间长且现有网络架构为传统的三层架构，故障节点增加及网络维护方面临压力；管理变化：传统有线网络运维管理转向为无线网络运维管理，IT建设规模逐渐扩大，IT基础设施运维工作量增加，工作量与绩效考核难；教育信息化需要：校园网建设和使用，除了给师生提供一张便利，极致体验的网络外，最终的目的是推动教学，校园网大数据系统平台及所能支撑的基础网络需要建设。建设目标通过此次全校有线无线网络的一体化建设，改变现有网络无法满足信息化建设步伐的现状，为广大师生提供更加快速、稳定、便利的校园网接入方式

13、，让学生和老师随时随地都可以访问校园网，更好的为学生的学习、生活，老师的教学、办公等提供优质的信息化服务，同时实现学校自主分区域、分时段、分权限的可控可管。项目建设具体目标如下：侧重实际应用，覆盖校园内大部分区域（包括宿舍楼、教学楼），为教学和学习生活提供切实可用的无线网络环境；采取通行的网络协议标准：目前无线局域网普遍采用802.11系列标准，因此校园无线局域网将主要支持千兆802.11ac标准，从而提供可供实际应用的相对稳定的网络通讯服务；全面的无线网络支撑系统（包括无线网管、无线安全，无线计费等），以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题；保证网络访问的安全性，支持

14、802.1x、web-portal、MAC快速认证；并且此次需要实现有线网和无线网的统一认证；集安全、管控、优化于一体的网络出口解决策略；采用扁平化的网络构架、方便管理和扩展，迎合未来网络的发展趋势。此次校园网建设内容如下：新老校区教学行政办公区域无线建设，包括办公区、教学行政区、图书馆、实训楼、户外公共区域等；新老校区学生宿舍区域有线无线一体化建设；新增校园网出口，提供更加快速稳定的出口通道；新建校园网10万兆核心骨干交换机，保障数据业务的高效、安全、稳定运行；新建校园网数据中心平台，保障数据业务的高效、安全、稳定运行；新建全校统一身份认证平台，实现有线无线统一认证和管理；智慧校园网建设需求

15、分析智慧校园网建设必要性校园网网络设施一直以来为学校的智慧教学管理平台提供坚实的基础，但随着业务规模的扩大和新的教学方式转变，原有的网络设备将无法满足现在以及未来的校园网发展需要。另外为了更好的提升学院日常教学办公管理的效率，改造学校网络平台也是非常有必要的，随着未来我校智慧校园建设的不断发展和深入，校园网中承载的业务也将会越来越丰富、越来越复杂，今天的学院信息化体系架构内，已经包括了学院各个部门的业务系统，各业务部门的系统已经由最初的只是实现部分简单的OA自动化到今天逐渐将业务部门的所有流程都整合其中，已经发生了巨大的变化，系统变得日益完善、日益复杂、日益强壮，不同业务部门的系统面向不同的业

16、务体系和业务流程已经有了明显的差异化。例如未来将会逐步完善的智慧教学平台、智慧图书馆、办公信息系统、教学管理系统、科研管理系统、学生管理系统、一卡通、校园广播、校园监控、无线教学等，这些系统构成了未来学院的核心业务平台，是学校的经脉，渗透在学院运转的各个方面，在学校的发展中起着极其重要的作用。本项目包含了校园核心骨干网建设、各校区核心汇聚建设、接入网络建设、校园出口网络及信息安全系统设计、全校无线网络建设项目。项目建成后，将使学校校园网形成万兆平台的核心骨干网、支持无线校园网络、支持统一网络认证、支持智能稳定的安全防护体系，使全校的信息化基础建设上到一个新的台阶。智慧校园网优化分析根据智慧校园

17、的业务框架及业务系统对网络建设的要求，此次智慧校园建设和优化的主要需求有：基础网络平台建设和优化需求网络架构设计需求需要为全校规划性能合理的网络骨干架构，根据学校信息点和业务分布情况，选择合理的核心设备、接入设备；选择合理的链路及连接方式，实现全网核心骨干层的高效、稳定和可扩展，同时实现网络的互联，保证高稳定，高可靠。网络出口设计需求目前校园网建设的一个难点是校园网出口建设。随着校园网应用系统的增加，越来越多的应用构建在出口基础之上，网络出口的稳定性、性能、流控功能、安全性方面的设计直接影响整个校园网应用的效果。需要为整个网络出口规划一个合理的架构。安全管理的需求学生接受新鲜事务的能力非常强，

18、计算机网络技术水平也不断提高，因此校园网也成为黑客最多的场所之一，如何保障校园网络的安全成为建网时不得不考虑的问题，目前主要攻击手段有ARP攻击、SYN FLOOD、DOS、DDOS等，同时校园网必须具备上网日志的功能，主要是配合公安机关保证社会的稳定和校园的安全。无线应用的需求无线校园网应用是目前校园网建设的热点，随着智慧校园建设的发展，无线校园网的建设将给学院的信息化建设带来最直接、效果最明显的效益。此次智慧校园中无线的覆盖也是非常重要的一部分。运营支撑平台建设的需求校园网的一个重要特点就是用户群体的计算机网络水平较高导致网络黑客攻击频繁发生，经常出现地址盗用和用户名仿冒的问题；校园网访问

19、流量庞大，如FTP文件传输、在线音乐、在线影视、视频点播、网络游戏等应用和特定时间（如晚上）对网络设备都产生巨大压力。因此要求支持用户认证，需要解决账号和端口绑定问题，要求提供各种接入方式，如有线、无线；准入、准出；802.1x、Web等各种接入方式的认证及管理。校园网络建设不但要求对于用户进行运营管理，而且要求对业务系统进行统一的运维管理支撑。IT资源现状能够支撑未来新业务的发展，或者是否可以通过平滑升级支持就成为关注焦点。学院的应用系统建设将会越来越复杂，要求能建设统一的IT资源运维体系。校园大数据平台未来需求伴随着高校教育信息化建设程度的不断深入和加强，比以往更多的海量数据被积累保存，这

20、对于高校来说，是一笔宝贵的财富，如何利用大数据推进教学，合理利用。例如对无线用户从认证到使用进行大数据采集分析，结合智能的分析知识库来感知我们部署的无线网络到底怎么样，从以往的人为感知到数据感知，同时对于体验差的区域还会给出解决建议以及自动优化，分析用户的无线网络使用轨迹，可支撑学校未来对于学生的管理更智能化，更科学化，真正把无线网络数据变成学校教学管理，人员管理有用的数据，支撑学校的信息化发展，对用户的NAT转换信息，URL访问日志，上网帐号，上网区域，时间进行存储，同时结合这些数据，我们未来可以进行舆情分析，网络行为大数据分析，从另一维度帮助学校更好的了解学生。总体架构设计建设原则安全性网

21、络必须具有良好的安全防范措施和密码保护技术，灵活方便的权限设定和控制机制，使系统具有多种有效手段，防范各种形式对网络的非法入侵和内部攻击，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，充分考虑安全性，针对教育行业网络的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定、802.1x用户访问控制、802.1d、802.1w、802.1s冗余链路保护等，另外还具有良好的防病毒能力，提高整个网络的安全性，保证

22、内外网安全。先进性系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对先进成熟，整个系统的生命周期应有比较长的时间，可以在信息技术不断发展的今天，在系统建成以后比较长的一段时间内能满足用户需求增长的需要；不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证网络建设的领先地位，采用万/千兆以太网技术构建网络主干、支干线路。 开放性采用开放的软硬件平台和数据库管理系统，遵循国际标准化组织提出的开放系统互联的标准，应用软件必须独立于软硬件平台，能集成任何第三方的应用，具有良好的可扩展性、可移植性和互操作性。扩展性系统必须具有良好的可扩充性，在系统结构、系

23、统容量与技术方案等方面必须具有升级换代的可能，核心设备必须采用模块化的结构，跟踪网络发展的前沿方向，符合网络的发展趋势并具有充分的扩展性。系统建设必须尽量保护现有的软、硬件资源，保证各部门现有的计算机系统的使用，逐步过渡，有效保护用户投资，最终形成一个统一的、一体化的综合网络系统。高性能网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。可运营管理为了让校园网能够良性、稳定、持续、健康的发展，对校园网用户进行严格的管理和控制，学校需要对校园网进行用户接入管理管理，通过对上网的用户进行认证，记录上网用户的行为，

24、为学校的网络管理提供便利的工具。同时可进行计费扩展，通过对用户收取一定的费用来达到“以网养网”的目的，并要求运营系统能够贴近校园用户的应用模式，方便维护和管理。规范化和标准化网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行，要模块化、结构化、数据要代码化，以便于信息共享和交流及将来的维护。在系统设计和软件开发时，应用程序必须规范化、模块化和可复用。校园网建设内容框架校园骨干网络设计本次网络改造，需要建成一个高带宽（万兆）、高冗余（设备冗余、线路冗余）达到99.999%的稳定是校园骨干网络的最终目的，建设可扩展的新一代校园网络架构，骨干网络采用两台核心组成虚拟化连接到各楼宇汇聚

25、。校园出口网络设计新增专用网络出口设备，承载出口NAT、链路负载均衡，智能选路功能。有线无线统一认证方式：结合智慧校园统一身份认证系统，采用一体化认证方式为校园各类用户提供上网认证服务，减轻使用和维护复杂度。上网行为管理：要求实现对互联网访问行为的全面管理，包括网页过滤、行为控制、流量管理、防范法规风险、互联网访问行为记录、上网安全等多个方面。分类存储所有访问的源IP、目的IP、源端口号、目的端口号、应用类型、数据包大小、数据包数量。结合认证统，通过源IP/时间，找到对应的帐号，将安全事件度应到人甚至对应到发生安全事件的地点。网络信息安全防护：通过实名认证，防火墙策略来保障校园网的网络信息安全

26、，对来自外部的网络攻击和渗透进行有效防护，提高网络信息安全。校园无线网络设计全面建设学校的WLAN无线校园网，实现校内随时随地的通过WI-FI访问校园网。WLAN信号覆盖教学、办公楼宇的室内区域，满足每个办公室、教室、实验室和门厅区域的信号接收强度-75dBm。室外覆盖区域包括广场、运动场、篮球场，室外AP覆盖区域终端连接速率最高可达到1.75Gbps，满足80%以上区域接收信号强度-75dBm，每个场所支持并发用户100个以上。无线全部采用基于802.11ac协议的室内室外高性能AP产品，所有AP均支持2.4GHz和5.8GHz频段的双路接入，要求每个AP至少支持1.167Gbps速率。AP

27、容量须满足每个办公室4个并发用户以上、每个教室和实验室20个并发用户以上，行政楼各会议室30个以上并发、图书馆会议室、学生事务中心会议室50个以上并发、学术报告厅100个以上。WLAN无线网络采用独立网络传输和天馈系统，不与手机2G/3G/4G天馈系统合路使用。无线用户通过统一的访问登录系统可实现多种基于用户或用户群的访问控制：包括基于不同的用户或用户群可实施不同的认证方式；基于不同的用户或用户群可实施不同的资源访问权限控制；基于不同的用户或用户群可实施不同的接入上、下行带宽控制；基于不同的用户或用户群可实施基于时间的接入控制；上述多种接入控制策略实施、操作过程要方便、易用，即时生效。学校教学

28、办公区的无线AP（访问点）数量需要约2040个左右，学生公寓区的无线AP数量需要约7544个左右。网络架构拓扑图网络设计概述整体逻辑上将校园网划分为原有教学办公有线网、新建全校无线网、学生宿舍有线无线一体网、网络边界以及IT运营运维管理。基础交换网络：采用2台锐捷RG-N18010系列面向十万兆平台设计的高端核心交换机构建校园核心交换网络，实现数据中心、核心网冗余可靠设计，具有高可靠性、转发性能、扩展能力和业务部署能力，实现数据信息的无阻塞高速交互运作，支持VEPA,TRILL,FCOE等数据中心特性，从基础网络架构平台IAAS层支持云特性，满足学校未来的云平台建设，西校区，城中校区，沙市校区

29、，武汉校区各采用两台万兆锐捷S8605E核心汇聚交换机承担校区交换。无线校园区：基于应用场景的无线设计，在教学办公去等开阔复杂结构环境下部署锐捷搭载X-Sense灵动天线的无线AP，提供更好的信号覆盖和更加智能的无线信号，在学生密集且无线带宽要求更高的区域采用锐捷精细化802.11AC无线设备进行覆盖，每间宿舍部署1台，最高带宽可达1167M，提供给校内学生一个堪比有线的无线网络，针对室外操场篮球场等区域，采用锐捷802.11AC室外双路双频覆盖，满足全校90%以上区域的覆盖，提供校内师生随时随地接入无线校园网的便捷享受。同时整体的无线组网采用”瘦AP+AC”的组网方式，将整体校园网的无线通过

30、无线控制器进行集中管控，便于后期的整体运维管理。网络边界区：提供高性能NAT数据转发，满足校园网具有对网络出口设备NAT性能转发要求高的特点，避免数据在网络出口处形成拥塞，导致数据不能正常转发形成性能瓶颈；提供多链路智能选路，避免策略路由出现部分区域不能正常上网的情况出现，实现链路的自动备份，提升网络整体稳定性；在提升用户访问互联网速度的前提下提升带宽的综合利用率，带宽合理分配，合理分配带宽资源，对关键业务进行带宽保障，对于下载类的应用基于时间段进行限制，灵活管理，与身份认证系统联动，基于用户记录URL日志、IM上下线日志、Seesion日志等信息满足网监要求；日志集中管理，网络出口处的各种日

31、志需要集中管理，方便在日后进行查询和定位；应用及流量可视化和性能评估，对互联网出口和内网应用的流量进行L2L7层的可视化分析，了解网络流量构成，对网络的性能进行评估，了解网络的性能瓶颈，提供优化决策依据，对应用的性能进行评估，了解关键业务系统的性能瓶颈，提供优化决策依据。IT运营运维管理区：采用锐捷RG-SAM实现对全校有线无线的一体化运营管理，同时结合锐捷RG-SAM运营商版本实现与三家运营商的无缝对接，无需定制化开发即可轻松保障学校和运营商双方的利益，通过每月报表的对账，保障学校与运营商之间的收益分成，实现双方的互利共赢。骨干网络方案先进性与可行性校园骨干网络本方案两台高性能数据中心交换机

32、锐捷N18010，采用虚拟化技术实现虚拟化管理，两台核心设备通过一体化板卡的扩充实现统一的数据表项、统一的管理地址、统一的设备配置等单台逻辑设备的对外特征。区域汇聚交换机与双核心之间采用20G双链路冗余链接，区域内的楼栋汇聚交换机通过千兆双光纤的方式汇聚到区域交换机上。核心层一直被认为是所有流量的最终承受者和汇聚者，承担校园网骨干的高速数据交换。所以对核心层的设计以及网络设备的要求十分严格，要求核心交换机拥有较高的性能及可靠性。否则随着信息化建设的进一步深化，特别是随着学校内部资源平台的不断完善和丰富，核心交换机将无法满足这些建设需求。中心机房作为园区核心层的中心，将承担5大校区骨干的高速数据

33、交换，同时为未来我校构建基于云服务架构的智慧校园提供支撑，所以核心交换机一方面要满足高性能的要求，另一方面要求支持云计算特性；通过比较在此方案核心层的设计中，采用两台高性能的核心交换机作为核心设备，构成双核心结构，实现双机热备,负载均衡，设备支持OSPF协议，以及虚拟化协议（将两台设备虚拟层一台设备）以达到核心任意一台设备发生故障都能保证网络正常运行的目的，这一切对用户都是透明的，因此为用户网络的正常运用提供的有利的保障。同时核心交换机支持数据中心虚拟化功能的特性：FCoE、CEE、TRILL等技术。各个汇聚节点采用双线路方式连接到两台核心设备上，保证可靠性。核心区域架构设计改造总体来讲本方案

34、设计的核心交换机需要满足一下几个要求：高性能高端交换机性能和端口密度的提升会受到其硬件的限制，而虚拟化技术系统的性能和端口密度是虚拟化技术内部所有设备性能和端口数量的总和。因此，虚拟化技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大幅度提高单台设备的性能。 此外传统的生成树等技术为了避免环路的发生，会采用阻断一条链路的方式，而虚拟化技术可以通过跨设备链路聚合等特性，让原本“Active-standby”的工作模式，转变成为负载分担的模式，从而提高整网的运行效率。高可靠链路级：虚拟化技术设备之间的物理端口支持链路聚合，虚拟化技术系统和上、下层设备之间的物理连接也支持聚合功能，这

35、样，通过多链路备份提高了链路的可靠性。协议级：虚拟化技术提供实时的协议热备份功能，负责将协议的配置信息备份到其他所有的成员设备，从而实现协议可靠。设备级：虚拟化技术系统由多台成员设备组成，Master设备负责系统的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的备份。相比传统的二层生成树技术和三层的VRRP技术，其收敛时间从N秒级缩短到毫秒级。 高性能硬件模块采用高性能硬件模块实现，进行设备机箱见得快速检测和设备间数据高度转发，不依赖交换机CPU和内存资源，适用于大规模的

36、网络，无软件升级方式带来的弊端。超过10公里的虚拟化技术虚拟交换引擎板卡配置光接口，最远可实现超过10（可以支持到10-100公里）公里的虚拟化，实现7*24小时的不间断网络服务。为云计算数据中心提供基础支持未来如果需要建立基于云服务的校园网，核心设备支持云计算对网络设备的技术要求。实施云计算第一步是对服务器进行虚拟化，虚拟化后个虚拟机之间的数据交互管理需要VEPA技术进行支持；同时存储和网络融合后需要交换机支持FCoE技术；跨区的虚拟机迁移，需要设备支持TRILL技术。核心交换机虚拟化示意图在传统网络中，为了增强网络的可靠性，在核心层部署两台交换机，所有汇聚层交换机都有两条链路分别连接到两台

37、核心层交换机。为了消除环路，在汇聚层交换机和核心层交换机上配置MSTP协议阻塞一部分链路；为了提供冗余网关，在核心层交换机上配置VRRP协议。传统网络拓扑传统网络存在的缺陷如下所示：网络拓扑复杂，管理困难。为了增加可靠性，设计了一些冗余链路，使得网络中出现环路，不得不配置MSTP协议消除环路，实际应用中可能由于链路流量比较大导致BPDU报文丢失，MSTP拓扑振荡，影响网络的正常运行。故障恢复时间一般在秒级。如VRRP协议，状态为master的交换机发生故障，处于backup状态的交换机至少要等3秒钟才会切换成master。生成树协议为了消除环路，需要把一些链路阻塞，没有利用这些链路的带宽，造成

38、资源浪费。为了解决传统网络的这些问题，提出一种把两台物理交换机组合成一台虚拟交换机的新技术，称为VSU，全称是Virtual Switch Unit，即虚拟交换单元。如图 1.2所示，把传统网络中两台核心层交换机用VSU替换，VSU和汇聚层交换机通过聚合链路连接。在外围设备看来，VSU相当于一台交换机。VSU组网应用示意图（物理视图）VSU组网应用示意图（逻辑视图）和传统网络相比，本方案两台锐捷核心交换机RG-N18010，VSU虚拟化的优势有：简化管理 两台交换机组成VSU以后，管理员可以对两台交换机统一管理，而不需要连接到两台交换机分别进行配置和管理。简化网络拓扑VSU在网络中相当于一台交

39、换机，通过聚合链路和外围设备连接，不存在二层环路，没必要配置MSTP协议，各种控制协议是作为一台交换机运行的，例如单播路由协议，VSU作为一台交换机，减少了设备间大量协议报文的交互，缩短了路由收敛时间。故障恢复时间缩短到毫秒级VSU和外围设备通过聚合链路连接，如果其中一条成员链路出现故障，切换到另一条成员链路的时间是50到200毫秒。VSU和外围设备通过聚合链路连接，既提供了冗余链路，又可以实现负载均衡，充分利用所有带宽。在2台核心交换机之间通过虚拟化引擎互联，实现万兆虚拟化核心。极简网络核心认证设计先进性与可行性本方案通过核心采用双N18K，实现大二层核心认证系统。通过这样的集中认证+统一网

40、关，改变整个无线网络部署方式。有线、无线设备在网络核心层集中认证后，部署方式更简单，更灵活，更适合持续扩展，同时用户体验到更快上网速率。统一网关部署在网络核心层，网关性能大幅提升，无线网络部署时，不再担心性能瓶颈问题。统一认证、统一安全策略后，不存在与多套认证系统对接问题，方便管理。方案部署后，最大可承载90000双栈终端同时在线，1000个/S终端快速上线，完全满足未来10年的网络演进,在网络使用的高峰期，用户上网仍不受影响，仍能获得高速认证的超快体验。原因是：Newton交换机通过软硬件处理机制，能够屏蔽非法认证报文，保护认证服务器免受攻击，保障用户上网认证体验。校园出口系统先进性与可行性

41、校园网出口区作为校园网的边界，主要负责承担边界网络的数据转发、流量控制、安全防护、安全审计等功能。校园网出口区分层功能如下图所示：出口区功能表边界连接层处于边界网的最外端，是边界网中的数据交换基础平台，此平台主要由边界网中的路由器来。边界连接层需要考虑以下三个方面。1. 边界连接部署高性能的多功能网关来实现NAT转发。2. 智能路由选路校园网用户在访问属于不同ISP提供的信息资源时，边界连接层需要智能的根据用户访问的信息资源，选择不同的ISP（不同的广域网链路）来进行访问。从而避免访问路径跨越了不同ISP网络，确保资源访问效率最大化。3. 多链路负载通过ISP线路、教育网线路分别连接至Inte

42、rnet、Cernet。为了提高出口带宽的整体利用率，同时提供链路冗余备份，边界连接层必须提供多链路负载均衡与备份功能。出于对网络出口的性能和可靠性考虑，向多个运营商同时租用多条互联网线路的情况在国内是非常普遍的。但是，对于拥有两条或两条以上的互联网链路的用户，如何既保证多条链路带宽被充分利用不被浪费，又保证对内对外访问所选择的路径是最快速的最优的，安全网关必须支持多链路负载均衡技术，对多个ISP链路的可用性和性能进行监督，对双向数据流进行智能路径选择，从而保证用户拥有最佳的互联网接入体验。安全防护安全防护，是出口网络设计中必不可少的内容。针对出口网络中所部署的安全防护，主要有以下三个方面：报

43、文过滤通过访问控制列表（ACL）实现了灵活的各种粒度的报文过滤 ,包括：标准ACL 、扩展ACL。审计系统部署一套日志审计系统，实现以下功能：Flow流日志：源IP、目的IP、源端口、目的端口、流起始时间、结束时间、接受字节数，发送字节数等关键信息出口NAT日志：经过NAT转换前的源IP地址、源端口，经过NAT转换后的源IP地址、源端和运营计费平台无缝对接，将用户认证上网信息和出口日志结合起来，实现快速的用户上网信息统计和违规用户定位。满足公安部82号令要求。运营管理平台建设内容运营管理平台建设，主要考虑建设统一的认证运营系统，实现有线无线统一认证，统一计费。安全运营管理系统设计基于标准的RA

44、DIUS协议开发的认证计费管理系统。要求支持现在网络身份认证所有的方式，例如：有线802.1X的准入方式、无线802.1X的准入方式、有线的web准入方式、无线的web准入方式，远程vpn的接入方式。在同一个平台上实现了所有接入方式的认证、接入控制、计费、日志管理，和对外统一接口等。降低用户的投资成本，使得管理效率得到了很大的提升。高校的信息化建设首要满足的是教学业务更好的开展，而不是以盈利为第一目标，因此业务的运营也主要集中在校内资源和服务管理的层面。在满足教学业务的基础上要求校园网建设遵循高标准。打造信息化教育高校，实现全校师生能够按照自己的意愿在任何时间、任何地点从事工作、学习和研究，学

45、校需要有对校园网内部管理的主动权。在校园网建设具体部署中，要求校园网实现统一平台。建设智慧校园，实现全校“统一门户、统一帐号、统一运营、统一管理”。通过SAM认证计费系统方便智慧校园认证计费的统一管理，有线网络和无线网络采用同一账号。要求校园网自主管控，配合规范化教学秩序，针对时间段、接入区域、用户身份类型等方面信息对用户进行精细化管理，在特殊时期（例如上课、熄灯、国庆、招生、两会等）进行特殊管控。集中认证传统的校园网中，用户接入控制、安全防护、运营及服务管理的各种功能、策略一般都部署在校园网的接入、汇聚交换机上。这种部署方式导致整个接入网的整体拥有成本非常高，高校的信息部门曾今投入了大量的资

46、金来搭建这张接入网，而未来一旦因为设备老旧、功能升级等原因，这张接入网还会继续需要持续的资金投入，而随着无线校园网的建设，这笔资金的数额更加巨大。传统三层网络在扩展性不足的同时，还给用户带来了持续的部署、运维压力，因为巨量的接入设备因为复杂的安全、认证配置；汇聚设备的路由、网关配置相当耗费精力，而高校信息部门在人力资源的配置和储备上在当前现状下基本无法进一步扩充。综上所述，传统三层网络已经逐步不能满足大型校园网的发展了。扁平化组网的优势在于将接入弱化，将核心强化，将传统接入、汇聚上需要部署的认证、网关、路由等功能，全部集中到功能强大的核心，从而对接入、汇聚设备的要求大大降低，实现了网络设备的云

47、化（强核心、轻接入）。的极简网络设计，采用了扁平化组网方案。接入层设备推荐采用锐捷S29E系列全千兆交换机或利旧现网其他品牌的接入，汇聚层设备推荐选用锐捷S2910-XS系列交换机，核心层设备推荐采用锐捷Newton18000系列交换机。锐捷“极简网络”解决方案通过这种方式极大的增强了校园网核心交换机的资源利用率，弱化了整个网络服务对接入、汇聚设备的依赖。其价值主要体现在如下几个方面：节省资金：“极简网络”解决方案所进行的集中管理的改造，减轻了接入网设备的关键性，也弱化了对接入网设备的技术要求，这都使得改造后的校园网，在接入设备上可以选择更加便宜、更加轻量级的产品，而资金的投入则主要集中在核心

48、交换机上。由于校园网内接入网设备众多，因此从全局上看大大降低了校园网的整体拥有成本。节省人力：“极简网络”解决方案所进行的集中管理的改造，同时也减轻了接入网对日常维护人员的数量要求，接入网设备仅需要配置和维护Vlan、STP、静态路由等最基本的通用技术。单个学生网管能够管理的设备数量将会大大增加。即使面对未来无线校园网的建设，信息中心只需要适量增加学生网管的数量，就完全可以承担起接入网的日常维护工作。降低技术门槛：“极简网络”解决方案所进行的集中管理的改造，还使得负责维护接入网的学生网管再也不用去花费大量的时间、精力学习各种复杂的技术。信息中心耗费在学生网管身上的培训、实习资源也会大大降低。降

49、低新业务部署难度：新业务特别是业务专网的部署，在传统的模式下只能采用端到端的部署方式，从核心、汇聚到接入都需要进行设备的配置和对接，而接入网设备数量会导致这种配置和对接的工作量巨大而且成功率很难保障。“极简网络”解决方案所进行的集中管理的改造，可以使新业务部署的大部分工作都在核心交换机上完成，接入网设备仅需要提供对应的Vlan通道即可。信息中心为新业务上线所投入的资源大大减少。有线无线集中统一认证锐捷网络的“极简网络“组网方案设计，使用Newton18000作为认证NAS，支持有线、无线网络的集中统一认证（如下图所示），得益于Newton18000的超大表项设计和强大的引擎性能，其能支持17W

50、纯IPV4终端及9W IPV4/IPV6双栈终端同时在线的需求，完全满足的全网统一认证及网关上收设计方案。Newton 18000系列核心交换机支持高性能1X，Portal及PPPPOE认证，通过引擎32核CPU，线卡4核CPU的高性能硬件及独特软件优化设计，支持1000/S的用户认证性能，实现将传统认证上收至核心。当有线无线网络统一建设完成后，用户面临更丰富的入网选择，在用户终端越来越丰富的今天（PC、PAD、智能手机），用户希望入网能够变得更加简单，无论是无线接入还是有线接入均只需要一套账号、费用共享。且有线，无线终端均能顺利入网或同时在线，同时不同类型的终端用户还可能希望灵活选择使用最简

51、单易用的认证方式，例如有线使用1X客户端方式或PPPOE，无线使用Portal页面认证或手机客户端方式，还有部分用户可能希望一次认证后，后续既不需要再次认证，而这些锐捷的统一认证方案均可以提供。无线网络建设方案无线网络先进性设计无线网络设计原则无线网络的建设目标是实现全校区主要场所的无线网络全面覆盖，为满足智能终端用户无线上网、无线业务开展构建一个真正可用的无线网络。总体要求：高信号质量：保证用户环境下房间内各个角落的无线信号强度-70dBm，注重满足应用及终端使用需求；高数据传输性能：支持的802.11AC标准并满足高密度用户的无线接入需求，提供高数据传输速率；低干扰：确保同一房间内同频干扰

52、信号强度-75dBm，提高整网吞吐性能，构建真正可用的无线网络；多WLAN并存：合理的信道规划部署，实现多WLAN网络在同一用户场景的共存。；美观易管理：无线网络结构简单，需要管理的设备数量少，管理维护简单方便，整个无线部署不影响用户环境的美观度；针对高安全性的数据建议采用集中式的转发，此外，无线AC的部署方式，也需要在实施前认真规划：AC与校园网核心交换机互连，无线用户的网关在AC上，由AC与核心交换机通过路由，转发无线数据。本次无线校园网建设，建议采用多SSID分别覆盖的方式，老师和学生可以选择接入不同的SSID无线AP漫游设计无线校园网需要支持未来的高速漫游、智能漫游的需要，可以满足低延

53、迟的视频、语音等业务的需要，也可以满足随时定制接入用户的应用范围等管理上的需要。无线校园网高速漫游解决方案支持同一AC下AP之间快速漫游，保证无线客户端在一个子网内部，从一个AP的覆盖范围移动到另一个AP的覆盖范围时，通信不中断，用户无需重新登录和认证。无线校园网智能漫游解决方案支持系统灵活定义用户的漫游范围，可以根据用户的身份和级别划定其可以漫游，连接无线网络的区域，为访客、或学生、老师等定义不同的无线接入区域，例如，可以定义学生不能在主楼办公区接入无线，可以在教学区接入无线，可以在宿舍区接入无线等。访客只能在主楼的会议室接入无线等等灵活的管理策略。无线AP供电设计由于本次无线网中AP设备数

54、量较多，无线AP供电的面临巨大的挑战。对于无线AP的供电一般采用三种方式：1） 本地电源供电:采用AP自带的直流适配器供电，对于高校无线校园网的环境，AP布放位置根据实际覆盖效果而调整，AP供电在已建设完成的建筑物上较难进行本地供电。不能保障AP附近都会有电源，同时对电源的管理也是一个严重的问题；由于电源在吊顶内，工作环境恶劣，由于温度过高引起的电源短路等严重的安全隐患。所以本地电源供电适合于AP数量不多，只适合局部无线部署使用，而且以室内部署为主，电源供给方便的环境。2）POE交换机供电:传统的802.11a、b/g的AP采用802.3af标准，15W，802.11ac的AP需要提供802.

55、3at标准，24W。采用兼容802.2af供电方式的802.11ac的AP既可采用原有的POE交换机等设备，也能够采用POE+交换机。在高密度的无线AP的覆盖场景下，建议采用POE交换机供电方式，选用支持802.3af兼容AP。采用低功耗的802.11ac AP，兼容802.2af，节省投资；低碳、节能、绿色环保；3）POE供电适配器的方式:在AP数量不多场景下，如果采用POE交换机供电，会有浪费，增加了用户的成本，同时，无线和有线一般是同时部署的。在有线接入交换机的接口有剩余的情况下，采用外接POE供电适配器的方式，将能充分利用现有的有线交换机，不用再增加专用的POE交换机，而极大地节省了用

56、户的投资。POE供电适配器，适合于无线AP节点数量不多的场所。无线覆盖方案基于场景无线覆盖规划WLAN建设场景分为行政、教学、办公区域、宿舍区域、室外覆盖区域：此次无线网络覆盖场景主要分为以下类型：教学楼、办公楼及图书馆等大开间环境下的无线部署针对教学楼，由于教室一般面积较大，内部宽敞无阻挡，房间多采用木门，且在走廊侧会有大型玻璃窗体。又由于该区域主要用户为上课教师或部分自习的学生，主要业务就是浏览网页查找资料，对网络质量要求相对不是很高。因此，可以在该区域采用稀疏的放装式部署方案：将AP放在走廊里，覆盖走廊两侧的房间，一个AP可覆盖直径20-30米。此次项目中无线采用的是RG-AP520-I

57、锐捷网络的新一代AP，搭载全新自主研发的X-sense灵动天线。该天线也属于智能天线的一种，它综合了交换波束天线和自适应阵列天线的优点，在对于简单环境下的用户接入，使用近似于交换波束的天线选择方式去完成用户快速高性能接入，而在复杂和干扰环境下，又能够通过强大的软件算法，控制多天线的组合来达到更好的效果，同时锐捷的智能天线技术还增加了对移动终端无线接入的识别和优化，这些都是锐捷网络在AP智能天线技术上巨大创新，所以，锐捷网络的X-sense也被称为会思考的的灵动天线。 RG-AP520-I产品外观 X-sense灵动天线65536种天线路径选择，覆盖无死角业界创新研发的X-sense灵动天线矩阵

58、架构，能够动态选择不同的天线组合，支持最高多达65536种组合方案，彻底解决传统天线存在覆盖盲区的弱点。无论在任何角落，X-sense都能定制出一条最适合移动智能终端当前位置的天线天线路径，真正实现全面覆盖，绝无死角。信号覆盖对比全自动调节，让信号随你而“动”无论终端如何移动，都有最佳的信号路径跟随，这是X-sense灵动天线技术带来的革命性改变。无需人工干预，X-sense凭借其强大的运算性能，可以在1毫秒内完成300次指向终端的信号路径切换，即便在快速奔跑状态下也能保证时刻都有最佳的信号与终端同“行”。X-sense信号追踪示意图功率不变，却有3倍的信号提升X-sense能够精确计算终端的

59、位置，并通过动态组合的天线模式，针对每个终端位置来提升不同的信号强度，最大可以提升到普通AP的3倍，这使得覆盖范围内无论远近的各个点都能接收最佳信号。而且完全不用担心由此带来的辐射增加，因为增强的信号强度都全部被用来抵消传输路径和穿透墙壁的损耗，AP的发射功率都是完全符合国家标准。X-sense信号强度提升终端接入优化设计，更适合手机和平板电脑用户当移动智能终端接入无线网络时，X-sense会快速、准确的识别到终端的类型，如果是使用功率较低的手机、平板电脑等移动终端时，X-sense能够通过动态信号补偿技术，针对移动终端提升接收灵敏度、增加重传，保证所有的终端都能获得最优的接入效果。X-sen

60、se针对不同终端的补偿示意干扰降低30%，部署更轻松干扰是无线网络的最大难题，特别是当在狭小的空间部署大量AP时，干扰影响会尤为明显，X-sense根据使用者位置自动调整无线信号的输出方向，当受到干扰时，能够自适应选择更优的路径避开干扰，这项技术经测试可以将干扰的影响有效降低30%以上！干扰对比图宿舍楼等密集环境下的无线部署宿舍区域的房间比较密集墙壁较厚而且靠近走廊侧没有窗户。对于无线信号的穿透有着一定的影响。因为对于无线部署提出了较高的要求，不仅要同时满足良好覆盖和性能需求并解决干扰问题。如果采用AP放装部署在走廊，无线信号辐射进宿舍对宿舍单边分布的建筑结构覆盖34个房间的这种部署方式，容易