【智慧校园】-智慧校园整体建设方案

目录1 校园信息化建设概述 12 进呈现状与将来挑战 32.1 进呈现状 32.1.1 校园网基础设施建设初具规模 32.1.2 初步建成一批应用服务支撑平台 32.1.3 初步建成一批公共信息系统 32.1.4 初步建立校园教育资源平台 42.2 将来挑战 52.2.1 校园业务数据割裂 52.2.2 校园数据的价值尚未充分挖掘 62.2.3 基础设施的价值尚未充分挖掘 72.2.4 基础设施自身存在问题 83 智慧校园建设目标与建设原则 163.1 总体目标 163.2 建设原则 173.3 建设目标 183.3.1 构建先进的技术设施平台 183.3.2 建设牢靠的平安防护体系 193.3.3 建设统一的综合管理平台 193.3.4 建设完善的应用服务支撑平台 193.3.5 建设丰富的管理应用系统 203.3.6 建设创新的教学环境 203.3.7 建设有序的大数据应用 204 智慧校园整体建设方案 214.1 智慧校园整体框架 214.1.1 门户和APP层 214.1.2 校园信息集成层 234.1.3 校园数据平台层 234.1.4 校园基础设施层 244.2 校园基础设施与平台建设 264.2.1 构建校园泛云数据中心 264.2.2 构建校园智慧园区 314.3 校园信息平安体系构建 884.3.1 校园网平安防护建设 884.3.2 健全平安标准规范体系 894.3.3 建设信息平安等级保护 894.3.4 网络舆情监控中心建设 904.3.5 建设网站平安防护平台 914.3.6 实施数据中心的云平安 934.3.7 部署高性能平安防护设备 934.3.8 保障移动互联的平安接入 944.3.9 统一平安运维管理平台 944.3.10 部署运维审计、上网行为审计系统 954.4 校园大数据平台构建 964.4.1 总体架构 964.4.2 技术路线 974.4.3 建设内容 1044.5 教学基础环境建设 1464.5.1 开展新型教学模式 1474.5.2 教学桌面环境改造 1474.5.3 建设大数据分析教学与科研平台 1494.6 队伍能力建设 1524.6.1 建设专业化技术支撑队伍 1524.6.2 提升教育信息化领导力 1534.6.3 优化信息化人才培育体系 1535 保障措施 1535.1 加强组织领导 1535.2 做好技术服务 1545.3 落实经费投入 154校园信息化建设概述《教育信息化十年进展规划（2011-2020年）》对我国教育信息化的十年进展提出了两个阶段的构想，2016年以前为第一阶段，重点是信息化基础设施及应用建设。经过前期进展，我国教育信息化已经基本度过了第一阶段，信息技术在我国各级各类教育中得到广泛应用。以“十九大”的召开为标志，教育信息化进入到第二阶段，从以“教育信息化”为重点的1.0时代进入到以“信息化教育”为重点的2.0时代，重点是业务融合、应用创新。总体上，2.0时代的核心目标就是以教育信息化全面推动教育现代化，全面提升教育品质，构建新时代教育的新生态。其关键在于业务融合、应用创新，即用信息技术驱动教育综合改革，引发教育深层变革，给予教育信息化进展内生动力，不断增加学校可持续进展能力，培育高水平创新型人才，形成全新的进展模式。一言以蔽之，以互联网、云计算、大数据、物联网、智能化等新技术，驱动高校教学模式、教学方法、教学支撑环境、科研和决策模式、管理和学习方式的变革，提升学校的教学质量，提升学校的学问生产能力，最终增加学校的竞争力，是高校信息化进展的主要趋势。近年来，学校信息化建设不断进展，校园各种应用也在不断开发和投入使用，取得了确定的成效。但是由于缺乏统筹和各自为政，随着信息化进展的逐步深化，一些问题也不断暴露出来。如“应用山头”突出，信息“孤岛”现象严峻，学校有效数据资产不能“共享”；各应用系统、各部门缺乏数据标准，数据一致性差，数据的可用性比较差，因而数据资产利用率低下。如何提升数据质量并有效地利用数据这一学校宝贵的战略性资产，如何从海量数据中准确地挖掘出有价值的信息，已经成为各大高校共同面临的新课题。同时，信息系统的多样化又带来信息服务的简洁性。用户对“数据服务”便捷性的需求与学校信息系统分散建设，信息服务难于猎取和操作的抵触也越来越突出，急需进行系统整合和资源融合。进呈现状与将来挑战进呈现状校园网基础设施建设初具规模目前学校经过多年的信息化建设积累，已经建成了包括校园网交换机、数据中心机房、数据中心服务器、数据中心存储设备等基础设施，统一管理的公共服务器近100台，承载着校园各类信息化系统的日常运营。有线网络掩盖了学校90%以上教学、办公、学生宿舍、家属区等区域，并实现了校园热点区域无线网掩盖。校园网络出口实现多链路出口（电信、联通、教育、移动共2.8G出口带宽）。部署网络交换机300余台，各类光纤约120公里，为宽敞师生供应了教学、科研、管理等工作的网络基础设施。初步建成一批应用服务支撑平台已经建成一批公共基础服务，包括邮件服务、网络计费服务、DNS服务、FTP服务、DHCP服务等，为学校师生的校园生活供应基础的信息化服务。初步建成一批公共信息系统随着校园网的普及和广泛应用，学校各项业务系统慢慢建立。综合教务管理系统和多媒体网络教学系统构成了我校信息化的教学与管理体系，为老师的教学和学生的自主学习供应了良好的应用环境。此外，学校已经完成了科研管理、学生管理、招生就业管理、研究生教育管理、人事管理、档案管理、图书管理、国有资产管理（含设备、家俱）、财务管理、离退休管理系统等独立信息系统的建设，初步实现了教学、科研、管理和服务方面的数字化管理。随着学校的不断进展，一卡通已从建设初期仅应用于学生就餐及校内消费，逐步拓展到门禁、车载、洗浴、打开水、电控、图书借阅、医院看病、考试签到、考勤、教务管理、考试报名、自助交费等校内身份识别、校内支付、校内业务管理等多个方面，涉及两个校区、众多职能部门和全体教职员工，已慢慢成为全校的数据采集和共享平台。初步建立校园教育资源平台“十二五”期间，已经开始进行课程资源数字化，积累学校高质量课程资源，目前有若干精品课程，在提高教学质量与管理水平的同时，建设了让更多的人享受高等教育的资源，利用信息化为社会供应服务，让更多的优质高等教育惠及更多的学生。将来挑战校园业务数据割裂经过信息化建设快速进展期，学校已经建成了各类基于公共数据库的信息化系统，老师、学生、科研工作者都在这些平台上生成、猎取、储存各类个人数据，这些数据也为个人的教学、科研、学习、生活供应了丰富的信息支撑。但是长期以来，校园的各类教学、管理、服务数据把握在不同的部门、单位手中。信息中心、网络中心所主管的领域基本还停留在基础设施建设，即系统开发、运维以及部分数据的管理层面，缺乏对教学、科研等学校核心业务数据的管理权限。技术层面上，各个独立建设的业务系统，分属不同的业务部门，建设之初就形成了数据孤岛，数据之间存在壁垒，影响了数据的流淌和整合，同一份数据在多个业务系统之间重复存在，产生数据不一致的现象，导致数据只能在较低级的层面发挥价值，很难加以分散并在更高层面完成建模，无法深化挖掘和分析，发觉校园数据背后所蕴藏的价值。校园数据的价值尚未充分挖掘目前，学校已经充分认识到了结构化数据的重要性，包括学业成果、体育成果、选课记录、考勤信息、一卡通消费记录、图书借阅记录等数据，并且已经加强了对结构化数据的集聚、积累，但对非结构化数据的重视程度还稍显不足。一方面是由于对于“校园大数据”观念理解不深，不能意识到校园内除了目前已有的结构化数据外，还有学习行为数据、上网行为数据、活动轨迹等非结构化数据，而且只有将结构化数据和非结构化数据进行统一分析、处理才能充分发挥数据效能，充分体现大数据的价值。另一方面是由于当下还缺乏对非结构化数据的有效采集、储存和分析的工具，因此需要学校加深对“校园大数据”的理解，加大对非结构化数据采集、储存工具的建设力度。再一方面是由于当下对于校园大数据的分析手段的缺失。目前还缺少比较成熟的对于校园大数据的数据建模、数据挖掘和展示工具，需要建设特地的数据分析队伍，一方面能依据数据分析，给予师生个人针对性的建议，以提升学校的整体教学质量；另一方面，对学校的整体管理状况供应基于数据的评价和改革建议，全面提升校园大数据的作用。基础设施的价值尚未充分挖掘校园IT基础设施是学校重要的基础设施，是校园信息化的基础和根本，IT基础设施的建设不是一蹴而就的，是伴随着校园信息化的进程不断完善的。从校园信息化建设之初，就开始了基础设施的建设，并且在早期阶段，基础设施的建设程度是校园信息化的一个重要表现方式。随着校园信息化的进展，基础设施的作用也在慢慢的降低，慢慢的变成了一个基础平台，一个承载业务的通道。但是，在智慧校园的建设中，我们要进一步挖掘IT基础设施的价值，在实现基础平台和通道功能的基础上，能够直接为最上层的智慧应用供应价值，实际上我们已经看到了基础设施能够产生的一部分价值，例如定位信息、行为轨迹、上网行为数据等等，利用这些新的数据，可以建设一些新型的智慧应用，为我们的教学、科研、服务和管理供应帮忙。我们相信，将来基础设施能够供应更多的数据，这些数据可以直接服务于智慧应用，产生新的价值。基础设施自身存在问题IT资源安排效率低下当前的校园应用业务主要是采用面对应用的方式部署，每个应用进行物理划分，独占硬件资源，这种部署方式目前主要存在以下问题：资源利用率低：应用与资源绑定，每个应用都需要依据其峰值业务量进行资源的配置，这导致在大部分时间许多资源都处于闲置状态，不仅造成服务器的资源利用率较低，而且对资源的共享、数据的共享造成了自然 的障碍。业务部署缓慢；在学校将IT资源的采购和管理都集中规划到网络中心后，涉及到大量新业务的开展和上线。学校各个部门假如要部署新的业务，那么在提交变更请求与进行运营变更之间存在较大延迟，每一次的业务部署都要经历硬件选型、采购、上架安装、操作系统和应用程序安装以及网络配置等操作，使得业务的部署极为缓慢。运维成本高：目前学校的许多应用是依据传统的“一机一应用”的模式部署的，随着学校新应用系统的增加，服务器、网络和存储的设备数量也会毁灭飞速的膨胀，造成占地空间、电力供应、散热制冷和维护成本的急剧上升。当校园网主机房内空间、电力供应、散热制冷等支撑环境近乎极限后，受限于支撑环境，新业务无法上线，对网络中心今后的进展有非常大的阻碍。与此同时，机房内服务器的利用率普遍偏低，系统资源基本上处于10~20%的水平乃至更低，造成了极大的铺张。铺张严峻、新业务无法上线是目前存在主要问题。管理策略分散。当前的IT资源运维管理缺乏统计的集中化IT构建策略，无法对信息化校园网数据中心的基础设施进行监控、管理、报告和远程访问，IT管理策略分散。校园网数据中心作为学校教学和日常管理等关键业务正常运行的平台和进一步进展的基石，随着学校的不断进展，其对承载的关键业务、核心应用，对于信息数据的完整性、业务运行的牢靠性、网络系统的可用性的要求越来越高，原有IT建设模式随着教学科研进展，难以适应将来进展需求，如将来教学、科研和管理会采用物联网、大数据、互联网化教学、新的校园APP等，对IT系统的计算能力，快速响应能力，业务高可用能力提出更高要求，传统面对业务的IT建设模式很难适应需求，对数据中心的升级建设势在必行。需要实现IT资源系统的按需运营，多种服务的开通，可以实现对计算、存储、网络资源的统一调度和自动安排，同时供应用户管理、组织管理、工作流管理、自助Portal界面等。从用户资源的申请、审批到安排部署的智能化。管理系统不仅要实现对传统的物理资源和新的虚拟资源进行管理，还要从全局而非割裂地管理资源，实现统一管理与自动化运营。校园云网络和云平安无法机敏自定义网络和平安资源无法按需安排传统数据中心业务规划分区分域，这种网络架构规划清楚，维护简洁，但是不足之处就是业务扩容受限，假如业务扩容，比如将扩容后的业务部署到其他机架上，需要对原有网络进行大量的配置更改，无法做到网络资源的按需安排。传统模式下的平安部署都是基于路径基于拓扑的平安策略部署，平安业务必需依据业务的要求配置好VLAN、IP、引流策略，而且这些策略都是手工配置的，假如业务变更，那么平安策略的配置也必需跟着重新配置。另外传统平安都是基于物理硬件设备部署的，导致在业务初期由于业务量小使设备利用率很低造成资源铺张，而业务后期随着业务量的增量可能又会毁灭性能不够用的情况，平安设备的性能无法依据业务的要求而动态的扩展性能或者释放资源，无法实现平安资源的按需安排。另外，在虚拟化环境下，对于一个IT租户来说，安排了虚拟机、存储等资源，但网络和平安资源却不能随需安排，如，任意两台虚拟机之间设置一台虚拟防火墙，这对于传统网络是很难实现的。虚机迁移时网络和平安属性无法自动迁移在云计算中心的虚拟化环境中，虚拟机故障、动态资源调整、服务器主机故障或计划内停机等都会造成虚拟机迁移动作的发生。虚拟机的迁移，需要保证迁移虚拟机和其他虚拟机之间的业务不能中断，虚拟机对应的网络策略和平安策略也必需同步迁移。传统模式下业务和网络存在紧耦合关系，服务器边界与网络边界通常固定，虚拟机迁移需要交换机做相应的配置调整，以及需要修改平安设备上的策略，配置修改的工作量比较大，简洁导致业务长时间故障无法恢复。云计算服务与传统业务无法互通云计算服务的部署都是采用分阶段逐步实施的，即首先在不转变原有业务系统模式的前提下，建立私有云最小模型；然后将原有业务慢慢切换到云平台上。然而在某些情况下，不能将业务的全部服务器资源都迁移到云平台中，因此会毁灭业务的某些服务器资源运行在传统网络中，某些服务器资源运行在云平台中，有些之前已经有的业务例如财务、一卡通、教务系统等还运行在传统网络区域中，这种情况下假如传统业务资源不够需要增加虚拟机，需要云平台的虚拟机和传统业务服务器能够二层互通，而由于私有云区和传统业务区一般属于不同的三层网络，因此在业务横跨传统业务区和私有云区的情况下，传统的网络很难满意业务不中断的要求。云计算服务无法满意不同租户的差异化平安需求数据中心通常存在两类流量：东西流量和南北流量。所谓南北流量是指从服务器到校园网或Internet的纵向流量，而东西流量则为服务器之间的横向流量。传统网络架构以三层为主，主要是以把握南北数据流量为主，在校园云计算环境中，云中心资源会供应应多个二级部处、二级学院使用，每个部门或学院都会存在多个业务区域，供不同的教学、科研、办公、管理使用，这些业务区域依据优先级的不同需要定义一些不同的平安把握策略，同时多部门都有接入校园网和Internet上网需求。在这种情况下，各部门采用单独平安设备成本太高，需要建立平安资源池，同一采用虚拟平安资源对应各部门南北流量，实现云数据中心内不同租户的南北数据流量差异化平安需求。在云计算环境下，不同业务部署在不同的虚拟机上，同一租户内各虚拟机之间会存在流量交换，也就是东西向流量，这种情况下外部的平安防护设备无法对其流量进行必要的平安检查，将全部的东西向流量全部引流到外部的平安防火墙也是不现实的，因此，如何在云数据中心环境下，满意不同租户的南北向流量以及东西向流量的差异化平安部署需求，是我们的方案中需要解决的问题。无线互联网接入质量有待提高伴随着学校无线应用的普及，以及智能终端的增多，当前的无线网络慢慢不能满意学校的教学、生活和管理需求，需要对学校的无线网进行改造，为学生供应高质量的无线网络接入体验。移动互联可以转变教学方式，从传统的“广播式”“固定”的教学方式转向主动、富有制造性、动态的方式；可以转变教学对象和场所，可以脱离传统教学模式，随时随地，更多依靠移动终端、多媒体方式进行互通，使得猎取学问的途径方式更加多样；移动互联可以供应使用者的终端、应用、位置等，可以获得轨迹、热度等，还可以猎取校园的密度分布等，这些功能使得校园是可感知的，为实现更智慧化的管理供应了重要手段；同时，移动互联也使得校园服务，从传统的面对全部人的、共性的粗放式服务转向考虑认得角色、属性等个性化的服务成为可能。移动互联为校园带来了许多的转变，那么移动互联建设所面临的最大挑战是什么呢？在移动互联的建设中，需要考虑不同的场景、不同的人数、不同的需求，要求移动互联的建设中需要场景化、精细化、全掩盖，这样才能为实现一个无边界的智慧校园打下基础。简洁分散的IT运维随着校园信息化建设的持续推动和进展，目前校园网拥有近千台各类网络设备，包括路由器、交换机、防火墙、IPS、无线AP、AC、网络流控等。校园网络规模越来越大，网络环境日趋简洁，业务系统规模日趋庞大、架构日趋简洁，校园运营对信息系统及网络系统的依靠程度越来越大，对业务系统的稳定性、牢靠性要求也越来越高。目前的学校IT运维工作面临较大的挑战，具体体现在：运维人员通常各管一摊，分散的管理方式导致IT服务管理缺乏系统性，网络、服务器、数据库和中间件等由不同的运维人员负责，毁灭故障后责任不清，定位时间长，而且服务水平过于依靠个别技术较强的运维人员。IT运维管理缺乏自动化和有效的监控手段，通常采用手工或半自动方式，运维人员每天重复进行大量低效率工作，对网络、服务器、数据库、中间件分别监测其告警，大多是被动的响应设备和系统故障。IT运维流程不够完善，缺乏完善的对运维事件的报告，跟踪和处理机制，不便于准时报告事件并跟踪处理情况，影响解决效率。缺乏对IT服务质量的明确目标和绩效考核标准，运维数据不完整并且分散，很难对历史数据进行系统的存档，查看，统计和分析。基于以上情况，学校迫切需要建设一套统一高效灵敏的IT基础平台运维管理系统，一方面提高各类信息系统日常运维的可视化程度、量化运行质量，管理对象包括全网的网络设备、平安设备、服务器、重要应用和上网用户，提高IT系统地运行效率，保障业务7*24不间断运行；另一方面结合目前的IT运维服务现状，逐步通过该平台建设，实现对IT运行整体环境的监控，即对主机系统、桌面PC机、网络系统、平安产品、数据库、中间件、存储设备、应用系统、IT环境系统的集中监控和管理。能够准时采集各类告警数据、性能数据和配置数据，进行集成统一的分析、查询、报告和展示，帮忙运维管理人员便利有效的定位系统问题，直观快速的诊断和分析问题，将运维模式由被动的支持转为主动式服务。通过平台接收各类告警事件，依据预先定义的事件管理流程完成事件的处理。建立故障管理、问题管理、变更管理、配置管理等服务工作流程，通过管理人员、技术和流程的有机结合，实现IT运维管理标准化和规范化，形成一个整体的IT运维平台，提高学校整体IT运维效率和服务满意度。智慧校园建设目标与建设原则总体目标建设与国家教育现代化进展目标相适应的教育信息化体系；基本实现教育信息化对学生全面进展的促进作用、对深化教育领域综合改革的支撑作用和对教育创新进展、均衡进展、优质进展的提升作用；基本形成具有国际先进水平、信息技术与教育融合创新进展的中国特色教育信息化进展路线。最终通过信息技术的高度融合，信息化应用的深度整合、信息终端的广泛感知，推动智慧化的教学、智慧化的科研、智慧化的管理、智慧化的生活以及智慧化的服务的建设，逐步构建成熟和完善的智慧校园。构建的智慧校园有如下特性：1、 可以供应泛在的学习方式，打破物理空间限制，线上线下的资源共享。2、 可以满意面对业务的智能化IT资源需求。IT基础设施如计算、存储、网络都可以实现按需自动安排，以及资源的智能化弹性扩展，提高资源的利用率。3、 可以供应一些面对业务的新信息。物联网、无线设备等一些新的IT基础设施，可以供应一些新的信息，用以来实现智慧校园的一些新型应用。4、 探究创新教育模式。技术与教育深度融合，以技术来推动教育变革，推动教学、学习、管理、评价以及学校的组织形态发生变革，形成个性化教学的创新教育模式。5、 通过对校园日常活动中的行为等广义教育大数据的分析和挖掘，构建不同的分析模型，为学校的不同主题供应科学决策支持。建设原则“十三五”期间，要从加快学校“建设高水平研究型大学的战略高度”出发，适应当代师生对智慧校园的猛烈需求，坚持以下原则，实现我校信息化的跨越式进展：坚持服务全局。要通过服务全局构建教育信息化新的进展格局。以信息技术为纽带进一步加强教学和管理，老师、学生和教育系统之间的联结和互动；注重老师信息技术应用能力提升与学科教学培训的紧密结合，促进师生信息素养全面提升，不断优化教学、管理的流程和效能，使教学更加个性化、教育更加均衡化、管理更加精细化、决策更加科学化。坚持融合创新。要通过融合创新提升教育信息化的效能。要通过深化信息技术与教育教学、管理的融合，利用信息技术创新教学和管理模式，以应用促融合、以融合促创新、以创新促进展，有效促进教育服务供应方式、教学和管理模式的变革，形成高校教育信息化进展路径。坚持深化应用。要通过深化应用释放信息技术对教育教学改革和进展的作用。推动信息技术在教学和管理中的深度应用，将应用作为教育信息化建设、科研、培训、评价等各项工作的核心驱动力。以建设营造应用环境，以教研、科研拓展应用渠道，以培训促进应用效能，以评价提升应用水平，依托教育信息化加快构建以学习者为中心的教学和学习方式。建设目标构建先进的技术设施平台以“统规、统建、统维”思想为指导，以丰富的云基础设施，云存储，云平安和各类云服务构件共同构建校园云服务平台，服务于：1.为校园供应计算环境，降低校园的IT硬件投资2.为内部应用供应基于云计算平台的办公应用、教学科研服务。3.为校园供应通用校园管理软件，为校园建立低成本的管理系统4.为学校教学供应基于云计算平台的开发测试环境5.为学校科研供应IaaS/PaaS/SaaS平台，为校园向云计算转型服务6.优化投资环境，节省校园IT软硬件投入和开发环境的投入，吸引校园加快校园自身信息化进展。同时，对基础网络环境进行升级改造，对无线网络进行扩容，对网络架构进行优化，基本完成物联网的建设。建设牢靠的平安防护体系构建平安标准规范体系，建设网络舆情监控中心，全面实施信息系统平安等级保护制度，强化网络平安监测预警和技术防护，建设校园网平安防护体系，确保基础设施平安、系统平安、数据平安、应用平安和资源平安等，建设数据容灾备份，确保学校重要数据和应用系统具有抵制灾难的能力。建设统一的综合管理平台建设网络、业务、平安运维多维度的管理平台，降低管理运维的简洁度，实现高效、自动化的管理。建设完善的应用服务支撑平台建设公共数据平台，整合学校的各业务系统，消退业务系统的“信息孤岛”；建设统一身份认证平台，实现用户的单点登录，促进信息化管理工作的科学化。建设统一信息门户平台，使师生的工作、学习、生活更加高效便捷。建设移动IT平台，保障移动互联的平安接入。建设丰富的管理应用系统进一步开展综合管理应用的建设；升级改造一卡通系统；利用云计算技术改进原有高并发连接数情况下使用体验差的业务系统。推广移动办公、社交平台等新型应用，开展智慧的课堂、教育智慧的学习社区等先进应用，推动大数据、云计算、物联网、移动互联网等新一代信息技术与学校各项事业的融合进展，探究信息化校园的新形态、新模式。建设创新的教学环境学习国内外先进高校的先进阅历，建设MOOC、翻转课堂等信息化互动教学新模式，提高学生的自学能力。加强优质教学资源和特色资源的建设。利用虚拟化桌面建设新型试验室环境和老师教学办公环境等。开设大数据、SDN等新技术的课程，建设大数据教学平台，培育理论与实践并重的专业人才。利用新的基础设施供应的数据，建设一些新型的智慧应用。建设有序的大数据应用加大对数据管理的建设投入，对校园信息化的数据利用进行全面构思，制定好大数据平台建设的计划，分阶段分层次有序建设数据的服务体系。智慧校园整体建设方案智慧校园整体框架从技术的角度来看，智慧校园的整体方案架构是一个模块化的分层架构，其系统架构见下图：门户和APP层门户是师生访问校园应用，享受智慧校园服务的入口。用户可通过PC、平板电脑、智能手机等多种终端，有线无线等多种网络接入服务，并实现统一认证和单点登录，享受融合的业务体验。高校以网络为基础的OA、教务管理、财务管理、科研管理、设备管理等系统为师生供应各类信息服务。通过对校园网站群与各种系统、资源的有效集成整合，以门户的形式为社会关注、学校老师、学生、供应商和合作伙伴供应其所需的全部信息与服务，来提高校园核心竞争力，为在校学生的学习、生活和消遣供应便捷的信息化服务。移动门户、客户端APP作为传统校园门户PC端在手机端的延长和重要补充，在原有门户功能的基础上，把与学生生活、学习和消遣相关的服务添加，真正实现校园门户服务对高校学生的全面掩盖。除了传统校园门户和业务系统，以及移动校园门户和各类APP外，在智慧校园的建设中，新的智慧应用的建设至关重要。一方面，新型的基础设施可以产生的一些新的信息，例如可以随时随地感知人、设备和资源的信息，如身份、位置终端、轨迹等，能够识别个人的个体特征（行为特征、学习风格等）和学习情景（学习时间、学习空间、学习伙伴、学习活动等），利用这些信息可以有效支持一些新兴的智慧应用，来实现教学过程分析和评价，智能的教育教学环境（课堂自动点到等），便利舒适的生活环境。另一方面，利用大数据等新兴的技术手段，对校园日常活动的行为数据，以及学生学习行为数据，老师的教学行为数据进行整合，通过大数据的数据分析、数据挖掘等技术，建设一批应用系统，得出隐藏在其背后的数据信息。例如可以收集学生在线上学习平台中学问点学习的具体数据，构建学问模型，为学生供应个性化的学习反馈和建议；收集学生行为数据，构建模型，预报学习失败的可能性；通过分析教学系统中组件的使用数据，学习者的表现数据，优化系统的组成模块和线上教学策略；通过对图书馆的借阅记录、扫瞄终端的访问记录、以及师生上网的查询和访问记录进行分析，为图书馆供应下一年的购买决策建议；通过监测学生学习环境和状态，全面把握学生学习的全过程，发觉学生的学习常态，通过数据流的变动分析，总结教育规律、调整教学内容和教学模式，客观全面地评价学生学习成果和自身的教学成果；通过学生学习和生活各方面的数据，如学习成果、借阅图书的种类，一卡通消费额度等信息，定位数据和上网时长，给学生一个准确的画像，为学生的成长供应个性化的建议等。这些新型的应用，使得教学更加个性化，校园管理更加精细化，学校面对不同主题的决策更为客观、科学、合理和有效。校园信息集成层把校园内的各种数据：结构化数据（学业成果、体育成果、消费记录等）和非结构化数据（学习行为数据、上网行为数据等）进行汇聚、加工，通过大数据的分析和挖掘技术，通过统一门户依据需要进行展示，或者为一些新型的智慧应用供应服务，供应更高质量的教学和科研，更好的服务，更科学的管理。信息集成层需要完成对校园内各类数据的采集、转换和存储，采用结构化数据分析平台和非结构化数据分析平台的混合架构，面对不同应用集成多种计算框架，实现教育领域的数据建模和挖掘工具，以及多维数据库的可视化BI展示等。校园数据平台层数据平台层包含两部分内容，一部分是校园的各种数据，包括各类业务系统如教务系统、财务系统、资产系统、科研系统等的数据，以及新IT基础设施直接面对业务供应的数据信息，包括位置、身份、上网信息等。另一部分是信息协同平台，在数字校园建设过程中的各类信息系统都是各机构各自为战建设的，没有考虑到将来的需求，因此形成了一个个的“数据孤岛”。信息协同平台主要是为了解决这个问题，把位于不同异构信息源的数据合并起来，屏蔽异构差异，将数据进行统一。信息协同平台是非常关键的，因为这是信息集成的基础，只有把异构数据同源化，集成分析后的价值才是有意义的。信息协同平台北向向信息集成层供应准确统一格式的数据，南向与各业务系统和IAAS层连接。校园基础设施层智慧校园的建设中，以“统规、统建、统维”思想为指导，以丰富的云基础设施，云存储，云网络，云平安和各类云服务构件共同构建校园云服务平台：随需而得的IT资源安排：对IT基础设施如计算、存储等实现按需自动安排，以及资源的智能化弹性扩展，提高资源的利用率；随需而动的网络资源：可以实现网络资源的按需安排，虚机迁移时网络策略的自动迁移等；随需而安的平安：构建平安标准规范体系；实现平安资源的按需安排，虚机迁移时平安策略的自动迁移，以及不同租户的差异化平安需求；建设网络舆情监控中心；全面实施信息系统平安等级保护制度；强化网络平安监测预警和技术防护，建设校园网平安防护体系，确保基础设施平安、系统平安、数据平安、应用平安和资源平安等；建设数据容灾备份，确保学校重要数据和应用系统具有抵制灾难的能力；随需而联的无线校园：实现场景化、精细化、全掩盖的无线互联网络建设，供应泛在的连接方式，为各种新型的感知终端接入到无线校园供应通道；统一高效灵敏的IT基础平台运维管理系统：使用通用语言来表述运维管理，从业务的角度去描述业务的运行状况和风险状况，而不是陷于设备管理的海洋中。建设网络、业务、平安运维多维度的管理平台，降低管理运维的简洁度，实现高效、自动化的管理。校园基础设施与平台建设构建校园泛云数据中心新型智慧校园要求校园IT全面服务化，校园信息化建设需要面对智慧校园供应按需安排的SaaS、PaaS、IaaS服务，并且能够为科研供应充分的高性能计算服务，为各种校园智慧应用和管理供应全方位大数据服务。也就是校园IT服务云化，校园终端移动化、物联化、智能化。现在大部分高校采用了虚拟化技术，部分高校采用了云计算技术，通过将服务器技术，将不同校园应用承载在虚拟化平台，并且确定程度上实现了IT资源安需安排。通过虚拟化和云平台的应用，提升了设备资源利用率，提升了新应用上线效率，促进了校园信息化进展，但随着校园业务进展和新型智慧校园建设需求，传统虚拟化、云计算技术慢慢暴露出如下方面不足： 传统虚拟化平台或云平台通常仅能面对学校院系、二级部处、师生供应虚拟机服务，无法供应校园信息化多维度数据信息，也不能供应数据库服务以及数据库运行的物理机，也不能PAAS开发平台和供应智慧应用，如，事件预警，行为分析等应用； 不同部门应用系统动态差异化平安实现困难，如教务系统、部分二级网站、财务系统，有些应用系统明确要求二级甚至三级等保，这在虚拟化环境下通常很难实现； 应用系统承载在虚拟化或云平台上，但关键业务和非关键业务一般不好区分，关键业务，如招生考试、一卡通、教务系统等高可用性无法保证，局部硬件故障会导致业务中断，需要人为干预，且数据难以恢复； 各种业务系统使用维护依旧简洁，只是由原来物理机上运行迁移到虚拟机。之所以会毁灭以上问题，主要缘由是： 校园师生使用IT系统习惯和流程不同于其他行业，假如只用通用的面对各行各业通用解决方案，很难适应校园师生使用习惯，也不适应IT部门管理模式和流程，也就是场景化不足。 传统虚拟化和云平台具有计算资源池、存储资源池、网络和平安资源持，云平台负责资源管理和安排，但云和资源池之间通常比较割裂，也就是云和计算、存储、网络/平安资源池之间融合联动不足。如，云平台通常安排虚拟机不成问题，但伴随虚拟机的平安属性通常无能为力，因为涉及到不同厂家对接开发，这就造成了平安资源不能按需安排；存储资源对于虚拟化、云平台也不能联动，存储资源池主备存储设备切换后，虚拟化平台和云平台通常无法智能感知，这就造成了关键业务中断，而虚拟化、云平台恢复需要手动干预。 云内网络/平安、存储、计算资源池之间智能联动不足，有时网络具备了双活条件而存储不具备双活条件，或反之，存储具备了双活条件而网络不具备双活条件，这就造成双校区不同机房之间关键业务虽然服务器、存储、网络都是冗余的，但在局部毁灭故障时，照旧会导致业务中断，需要人为干预。新华三基于全面IT和CT技术实力，提出全融合校园云中心整体解决方案：全融合教育云中心解决方案的整体资源管理平台是H3C教育版云操作系统,全部计算、存储、网络、平安、大数据、物理机、应用模板、开发平台等都在云操作系统纳管下实现融合、联动。H3C教育版云平台通过标准OpenStack接口融合全部资源，实现全面ITaaS；并且能够实现云内虚拟化管理平台、网络平安管理平台、存储管理平台横向联动。基于标准OpenStack接口对接各种云资源示意图如，通过标准OpenStack接口，H3CloudOS云操作系统通过Nova接口对接主流虚拟机平台，通过Neutron对接网络/平安资源，通过Cindy/Swift对接存储资源，通过Sahara对接大数据资源。基于以上标准接口，并进行充分优化，H3CloudOS能够实现：支持SDN、Overlay、NFV、Service-Chain，性能、稳定性、智能性极大提高兼容CAS、VMware、KVM、PowerVM等虚拟化平台，还能实现裸金属服务器纳管供应LB、FW、VPN、IPS等网络平安，以及WAF、数据库审计等应用平安服务修复大量原生OpenStack自身BUG，提高稳定性和性能微服务架构，分布式部署，集群高可用，横向弹性扩展优化OpenStack部署方式，一键安装，部署时间<2小时全面IT资源服务实时按需安排，随需而得。全融合云中心通过云管理平台和计算、存储、网络、平安资源融合联动，较以往校园云中心，具有如下特点：云内承载业务随需而安；校园业务突发流量资源弹性供应，保证服务质量；云内承载的业务在主备存储、服务器、网络切换情况下，甚至在跨校区切换情况下服务不中断。基于以上全融合技术内涵，整体方案架构如下：全融合校园云中心整体架构：在计算资源池、网络资源池、平安资源池、存储资源池基础上，通过虚拟化层实现可以安排和回收的IT资源，然后云平台对资源进行按需安排和管理、监控。全融合云中心解决方案包括：教育版云平台、云网安融合、云和大数据融合、云和存储融合。构建校园智慧园区在智能终端普及和无线技术飞速进展的大背景下，许多高校的网络连接方式实现了移动互联转型，满意了师生移动化网络高速访问需求，同时也涌现出多种服务于高校师生的个性化移动应用。近年，伴随物联网和大数据技术的探究与实践，智慧校园迈进2.0时代，信息技术的利用连续深化，如何借助泛在连接技术为校园业务、管理供应更多的创新服务，是下一阶段许多高校信息化建设的关注重点。 全场景H3C能够供应教室、办公室、宿舍、报告厅、图书馆等高密场景及室外体育场全场景无线部署方案及实践阅历，产品全线支持802.11acwave2协议标准，为校园用户及终端供应高速牢靠的接入体验。 WiFi&IoT融合接入H3C可在传统WIFI环境下可扩展丰富的物联网接入能力，支持RFID、ZigBee、Bluetooth4.0等标准接口模块的任意组合，AP作为物联网融合网关，使校园网具备可感知能力，更好支撑校园运营管理及决策。 绿洲平台H3C绿洲平台为高校物联场景定制了专属业务模块，不仅可以对全网AP进行统一管理，还供应了第三方接口，可与校园一卡通、门禁、智能水电表等多类校园管理系统实现对接，作为物联网统一数据平台，消退业务孤岛，提高资产、宿舍、能效管理水平，提升学校运营效率。 无线大数据应用H3C无线大数据由平台和应用共同组成，先进融合架构的大数据平台DataEngine供应了价值数据挖掘、提取的能力，整合来自设备的学生终端、位置、轨迹数据以及教学、学生管理等传统业务系统数据，分析勾勒出学生“专属画像”，实现兴趣偏好推送、学习成果分析、教学改进决策等多种人文化、个性化的创新服务。校园网网络建设乐观推动校园骨干网的更新换代：升级校园网核心设备；扩容和改造校园无线网络，提高无线的接入速率，进一步完善校园无线的高品质掩盖；提升校园网出口带宽，应对移动互联网、泛在网络、云计算、大数据等数字化校园新型应用需要，对出口流量进行分析和预报，实现精细化的流量管理；对接入网络进行更新换代；调整和优化校园网的技术架构；进一步建设IPv6网络。实现网络资源的共享，避开低水平的重复建设，形成适应性广、简洁维护的高速带宽的基础网络设施。建立节能、低耗、绿色、智能的教学业务管理和行政管理的信息化、网络化平台，实现教学、生活与校园资源和系统的整合，为实现智慧校园供应支撑平台。校园网核心设备升级随着网络应用、云服务的不断进展、下一代互联网及物联网的不断推动。在“十三五”期间需要对校园网的核心设备进行升级扩容，增加冗余备份措施，以满意不断增加的业务需求。扩容和改造校园无线网络随着大量的智能终端的普及，众多的终端应用的大量产生，目前已部署的无线网络已不能满意师生上网的需求，需要建设一个高速、稳定、智能的校园无线网络。引入和逐步普及先进的802.11ac、802.11acWave2技术，建成先进的校园无线网络，逐步实现无线网掩盖全校全部建筑以及校园主要室外空间，不断扩大无线校园网容量，实现无线用户的应用快速无缝漫游功能，使上网突破时间和空间限制。适应多种智能终端自由接入，实现随时、随地、多终端的移动上网，朝着网络全掩盖、高速带宽、高稳定性、智能管理、快速排障、提高服务质量等方向努力。无线网络建设后，学校需要维护两张网络，即校园有线网和无线网，无形之中增加了日常的运维工作，因此需要在现有的网管产品中结合校园在移动性、平安性、高质量等方面的需求，供应有线无线一体化管理、基于用户的终端准入把握和行为审计、端到端的业务感知和性能优化等管理功能，实现一体化、可信任、业务隔离、精细感知的校园管理。无线网络建设采用瘦AP+AC模式部署，随着业务量和用户量慢慢增加，核心AC把握器的牢靠性要求越来越高。一旦AC毁灭故障将影响整网的AP转发，因此部署无线网络需要考虑冗余设计及牢靠性设计。可以采用无线AC+1的热备技术；或者通过IRF技术将AC进行横向整合，将两台或多台设备虚拟为一台设备，统一转发、统一管理，并实现跨设备的链路捆绑。IRF的部署方式不会引入环路，无需部署STP和VRRP等协议，简化网络协议的部署，大大缩短设备和链路收敛时间（毫秒级），链路负载分担方式工作，利用率大大提升。IPv6作为将来网络的进展方向，已经在高校开始局部使用，无线网络的建设也要充分考虑IPv6的支持。AP需要全面支持IPv6特性，需要实现IPv4/IPv6双协议栈。同时，因为IPv6的攻击漏洞根源大多与非法主机接入有关，IPv6网络平安的漏洞，将影响成熟完善的IPv4网络平安防守体系，因此随着无线校园网的大规模建设，IPv6无线网络的防护技术越来越重要。针对IPv4、IPv6主机的平安合法接入问题，需要使用SAVI(源地址认证提高，SourceAddressValidationImprovements)技术，该方案采用源地址验证的交换机技术CPS（ControlPlan/PacketSnooping）方法，是在网络层实现的追溯技术。因此部署的无线产品需要全部支持无线SAVI。随着无线校园网掩盖范围的不断扩大，在不同的环境中部署不同特点的无线AP设备，实现场景化的部署，满意师生在不同场景的使用需求，达到最优的使用效果和体验。对于学生宿舍这种终端数量多，上网时间集中，视频类、玩耍类等高带宽使用量占比较多，需要供应较高的用户并发接入数和较高带宽的接入速率，而宿舍建筑墙壁较厚，房间密度大的情况，采用包含本体和分体的AP设备，本体放装分体入户的方式进行安装。在互不干扰的前提下，保证信号的完全掩盖。在图书馆阅览室和教室这种以信号掩盖为主要目的的场景中部署平凡的放装型AP。对于像礼堂这种高密集中的场景，部署具有多频接入的产品。对于像体育场等开阔无干扰的室外场景，部署具有工业级防水防尘等级、大范围宽温工作能力的设备，从掩盖范围、接入密度、运行稳定等方面供应更高性能的接入服务。在需要供应物联网接入的位置，部署内置蓝牙模块的无线AP设备，供应丰富的蓝牙应用。校园网网络出口升级和出口流量的智能分析校园网规模较大，涵盖了办公区、教学区、宿舍区、家属区等区域，掩盖范围广、结构简洁，学校网络出口具备多个运营商线路，因此出口设备需要具有智能选路功能，可针对不同的访问地址自动选择适合的线路，优化网络访问质量。校园网出口设备承载着全校师生的对外访问，随着网络应用不断进展，网络用户对网络出口带宽的需求已经远远超过实际拥有的网络带宽，因此需要对网络出口设备进行升级。校园网的出口流量分布不均，忙闲时流量差距较大，流入流出差距较大，出口带宽的升级扩容是解决拥塞问题的办法之一，升级带宽后拥塞能够得到有效缓解，但是无法从根源去解决问题。传统情况会在出口设备部署Qos流量管理，如对玩耍及下载软件的海量下载进行限制，现在需要对出口流量进行更精细化的分析和预报，从应用角度进行流量管理，实现智能化流量趋势分析和重点应用的智能化保障。智能化流量趋势分析是指可以对指定出口链路、指定应用或者某类应用，通过数据挖掘算法，智能化进行指定周期（例如五年后）的指定时段（例如全天时段、或者白天时段）的流量趋势预报。重点应用的智能化保障是指通过对应用系统的分析，对整个应用系统使用的带宽情况，支撑此应用系统的带宽使用情况进行分析，对应用系统对外供应服务的带宽和支撑应用系统使用的带宽进行保障。并能够得到应用使用的业务模型：流量趋势分析、应用画像、流量智能管控等。接入网络改造千兆到桌面（升级为纯千兆交换机），万兆到楼宇。接入设备只供应二层透传和VLAN隔离这些基本功能，弱化接入设备的功能，降低全网设备的投资和后期的维护费用，建设高性能、高牢靠、低故障、易管理的接入网络。网络架构的优化随着校园网规模的逐步扩大，多业务多应用的叠加，用户数的不断增加和流量的爆发式增长，传统的三层网络架构（核心-汇聚-接入）爆发出如下问题：部署新应用困难，故障点难定位：校园网的每个层面都有做用户接入和把握，实现了一部分的功能；如接入设备供应端口隔离、VLAN等功能、汇聚设备则供应了三层网关、ACL把握、路由策略等功能，大量的设备也就意味着大量的配置，给校园的管理员带来巨大的实施成本，同时也就使得在校园网中部署新功能新应用变得非常困难，要考虑到各个层面设备的支持能力。相应的由于把握点的分散，导致毁灭问题后，故障点很难定位，恢复时间较长；处理一个故障往往涉及多个层面的多个设备。设备层次与能力倒挂：核心设备功能弱化；而靠近边缘的设备，如汇聚和接入层的设备，功能要求却许多，形成了校园网设备层次和能力层次的“倒挂”。由于汇聚和接入层层面的设备档次较低，性能不高、稳定性较差、功能也不丰富，因此在实际部署时，常常毁灭问题，实现效果不好。因此就造成校园网中出问题最多，维护工作量最大的是大量的接入层、汇聚层设备，导致维护工作量大、效果不好。准入准出需要两次认证：目前采用的认证方式为出口认证，即用户只有在需要访问Internet网络的时候才需要对用户的身份进行把握，而用户接入内网即能获得IP地址并获得访问的权利，且用户与用户之间并未做隔离，导致学校里的平安问题频发；而一旦学校加入了准入认证，那么又会存在用户假如访问外网，需要进行两次认证的尴尬，不仅降低了用户体验而且使得管理员的管理也非常麻烦。这些问题导致了校园网整体的稳定性牢靠性降低，管理维护压力越来越大。需要对网络架构进行扁平化改造，从网络中设备所承担的功能上区分，将网络划分为业务把握层和宽带接入层。宽带接入层由汇聚和接入层设备构成，仅供应基本的用户高带宽接入功能和相互之间的VLAN二层隔离功能；业务把握层则由核心层设备Bras构成，供应网络中的用户接入把握、业务功能实现等简洁功能。依据功能划分了网络的层次后，不同层次的设备各司其职，便利全网设备的管理维护。针对学校用户特点及网络使用、流量等数据分析，借助业界领先的SDN技术和高性能的产品，为学校量身定制了新一代扁平化校园网架构，即应用驱动校园网架构（ADCampus）。架构技术支撑针对新校区通过基于SDN的VXLAN技术实现全网无广播风暴的健壮二层架构，同时使网络变得柔性机敏。Overlay网络是指建立在另一个网络上的网络。该网络中的结点可以看作通过虚拟或逻辑链路而连接起来的。Overlay网络具有独立的把握和转发平面，对于连接在overlay边缘设备之外的终端系统来说，物理网络是透亮     的。Overlay网络是物理网络向云和虚拟化的深度延长，使云资源池化能力可以摆脱物理网络的重重限制，是实现云网融合的关键IETF在Overlay技术领域提出三大技术方案。VXLAN：VXLAN是将以太网报文封装成UDP报文进行隧道传输，UDP目的端口为已知端口，源端口可按流安排，标准5元组方式有利于在IP网络转发过程中进行负载分担；隔离标识采用24比特来表示；未知目的、广播、组播等网络流量均被封装为组播转发。NVGRE：NVGRE采用的是RFC2784和RFC2890所定义的GRE隧道协议。将以太网报文封装在GRE内进行隧道传输。隔离标识采用24比特来表示；与VXLAN的主要区别在对流量的负载分担上，因为使用了GRE隧道封装，NVGRE使用了GRE扩展字段flowID进行流量负载分担，这就要求物理网络能够识别GRE隧道的扩展信息。STT：STT是无状态传输协议，通过将以太网报文封装成TCP报文进行隧道传输，隔离标识采用64比特来表示。与VXLAN和NVGRE的主要区别是在隧道封装格式使用了无状态TCP，需要对传统TCP协议进行修改以适应NVGRE的传输。在实现Overlay架构的三大技术中，其中尤以VXLAN技术为最佳：位置无关性：业务可在任意位置机敏部署，缓解了服务器虚拟化后相关的网络扩展问题可扩展性：在传统网络架构上规划新的Overlay网络，部署便利，同时避开了大二层的广播风暴，可扩展性极强部署简洁：由高牢靠SDNController完成把握面的配置和管理，避开了大规模的组播部署，同时集中部署模式可加速网络和平安基础架构的配置，供应了牢靠性和极好的扩展性适合云业务：支持千万级别租户隔离，有力支持云业务的大规模部署技术优势：VXLAN利用了现有通用的UDP传输，成熟性极高。VXLAN具有以下技术优势：L2-4层链路HASH能力强，不需要对现有网络改造（GRE有不足，需要网络设备支持）对传输层无修改，使用标准的UDP传输流量（STT需要修改TCP）业界支持度最好，商用网络芯片大部分支持。VXLAN把握平面隧道的实现三种方式：VXLAN把握平面隧道的实现方式主要分为三种：通过数据平面自学习、通过把握协议学习（利用扩展路由协议IS-IS或BGP完成VXLAN把握平面的地址学习）和通过SDNController实现。这三种方式的主要特点如表1所示。表1VXLAN把握平面隧道的实现三种方式三种实现方式对比，在大规模的云计算虚拟化环境中，以Controller方式为最优。无需物理网络支持大量组播组标准协议，可扩展性极强部署简洁，可通过Controller集中管理和把握设备校园核心层设计核心层由两台高性能核心交换机组成，主要承载数据的高速转发，对上可作为校园网出口的VXLAN网关边界，对下作为汇接各区域汇聚交换机的节点，两台交换机可通过H3CIRF技术实现虚拟化，逻辑形成一台设备简化管理并提升上行链路带宽。楼宇汇聚层设计楼宇汇聚节点主要作为接入交换机汇聚，下联接入层采用千兆光纤互联，上行链路通过10G互联，楼宇汇聚交换机同时作为网络的IP网关和VXLAN网关，通过SDN技术，实现汇聚交换机共同构建分布式网关，并启用ARP代答功能保证无环路二层。园区汇聚层支持VXLAN特性，完善支持SDN技术落地校园网。楼层接入层设计楼层接入交换机主要分为两类，一类连接各有线终端，采用全千兆交换机连接；另一类为POE千兆交换机，连接AP，实现有线网千兆到桌面，无线网实现千兆化。全网WAVE2无线掩盖随着互联网＋时代的到来，移动终端数据依旧保持着爆发式增长的态势，在这种背景下，如何保证移动终端的接入体验和高带宽水平成为互联网＋健康进展的重要因素，所以在无线竞争式串行通信模式下，提高频谱资源利用率，增加单AP设备用户容量成为最有效的方法。由于MU-MIMO的特性，AP的接入用户数有了较大的提高，随着Wave2终端的普及，无线AP的有效并发用户数会超过200个，可有效的削减AP部署数量,提升用户体验。此次所采用的无线接入点具备进行统一整合规划管理，用户可通过无感知认证方式接入无线网，实现校园无线掩盖无死角和无缝漫游。本次网络规划对牢靠性、稳定性及平安性都提出了更高的要求，无线网络设计充分考虑到先进性、成熟性、牢靠性、平安性、扩展性；可控、可管、可运营。无线网络架构设计-本地转发AC/FitAP因具有管理、平安等方面的诸多优势，被公认为今后WLAN组网的趋势。目前，AC/FitAP架构已经被广泛应用。但是传统AC/FitAP架构所采用的集中式转发，要求用户的全部流量均通过AC进行处理，对AC性能要求比较高，同时也对AC和AP之间的网络带宽造成压力。尤其是在802.11acwave2技术慢慢成熟，无线接入点的处理能力越来越强的背景下，单一的集中式转发往往不能满意无线数据高速处理的要求。为了适应无线网络高带宽化的进展趋势，本次无线网络采用以AC/FitAP架构为基础，实现无线数据在AP本地的转发，突破了传统集中式转发的性能瓶颈。本地转发技术优势本地转发技术，把握流和数据流采用了不同的处理方式，用户和AP的管理由AC处理，而用户的数据转发则直接由AP处理。该技术有效的缓解了AC/FitAP组网方式下AC和CAPWAP隧道的压力，并减小了数据的传输延迟。同时，相对与FATAP架构，以AC/FitAP架构为基础的本地转发模型，保持了AC/FitAP架构在平安、管理等方面的优势。统一管理：通过统一的CampusDirector实现有线无线统一管理。一套管理系统，统一的有线无线拓扑展示，有线无线用户统一认证，统一的基于5W1H划分用户组。统一转发：AC仅负责把握和管理下辖的大量AP，AP的数据流量转发不再上AC，而是本地转发。这样带来两个好处：1）由于AC不再负责数据转发，性能瓶颈完全消退，完全顺应将来高速无线的趋势，而且AC成本可以大幅降低。甚至将来AC完全可以做成软件集成到CampusDirector中作为一个功能管控模块。2）从AP转发出来的报文不再封装Capwap，而是802.3格式的Ethernet报文，L3网关也都设置在交换机上。这样消退了Capwap的加减封装的处理消耗，效率更高。AP发送出来的无线流量和从交换机/PC发送出来的有线流量一模一样，有线/无线流量完全混跑在一起，其他设备无法区分也不需要区分。统一策略：由于无线的数据转发完全从AC卸载到交换机上，之前我们策略随行矩阵定义的业务策略完全适用于有线和无线流量，也不需要单独给无线再定义组间访问策略。此外，在AP本地转发模式下，依靠有线的无状态网络，解决跨三层漫游的问题，无线终端依旧可以跨整个园区漫游，而且不需要在AC侧做简洁的处理，这是传统组网方式所不具备的。Director功能实现整网的核心是园区网把握器组件：CampusDirector。全部对网络的自动化上线，接入管理，用户组/策略管理，业务配置管理，网络运维管理全部在CampusDirector上通过直观的图形化界面完成。CampusDirector将管理员的操作在后台转化为网络设备的具体命令进行下发给设备执行。功能如下：CampusDirector界面用户认证管理通过Director用户认证模块实现用户终端入网即认证，依据用户身份可安排用户的IP，VLAN，访问权限等网络属性信息，且该信息可设置严格与此用户终端绑定，单用户也可绑定多终端多网络属性，网络属性可随着用户的移动而动态跟随下发，最终达到“IP即用户”和“网段即业务”的效果，真正解放网络与位置的强相关的问题，实现网随人动。同时，H3CSDN把握器Director还可与学校现有AAA认证系统进行完善联动，实现用户上线同步，在用户上网准出环节无感知。网络虚拟化管理运维人员可再此物理网络架构基础上任意定义虚拟专网，且维护非常简洁，通过SDN+VXLAN技术实现虚拟网络的划分，依据不同业务划分多个不同的虚拟专网，通过H3CDirector可实现对物理三层网络和虚拟层网络的简易维护与管理。自动化配置管理采用SDN架构，网络具有较强的机敏性，故网络属性随需而定，全部的网络设备基于不同的角色配置可统一，基于访问关系矩阵的平安组功能可实现轻松定义用户ACL，H3CDirector将网络设备配置命令转化成唯美的UI呈现给用户，实现“自动上线，一键启动”的特点，从此网络运维人员可告辞命令行配置。方案特点及优势最先进性采用SDN+VXLAN技术结合功能强大的Director把握器实现对校园网基础运维，自动化部署，用户管理，业务开展等多种功能。架构区别于传统交换机三层架构和集中式扁平化架构，基于SDN的分布式网关功能既解决了三层架构的简洁运维问题，又规避了集中式扁平化带来的流量模型单一、风险偏集中的问题。分布式扁平化具有健壮架构、风险分散、虚拟二层的多样优势，满意将来6-8年的架构先进性。扩展性强新架构依托交换架构，可通过扩展交换机的方式，横向扩展设备即可，由于采用分布式网关设计，故无需考虑核心设备的性能和表项瓶颈，理论上可以无限扩展，满意多校区二层互通，网随人动的功能需求，是目前扩展性最强的校园网架构。极易维护新架构能够有效削减运维工作的技术原理：架构带来的配置简化：通过ADCampus架构，可使架构每一层次的基础配置高度统一，削减配置差异化，实际配置从每一台为单位变成了每一层次为单位，配置工作量实际可削减95%以上；创新可视化的平安组：传统访问把握通过ACL列表实现，久而久之该列表将会变得冗长且难以找寻和维护，影响设备实际性能，从而带来运维简洁，全新方案通过H3CDirector把握器向用户呈现一张二维互访关系矩阵，可通过交叉点设置“允许”或“拒绝”的访问关系，使访问关系一目了然且易于维护，设置胜利后保存下发即可。自动化部署：H3CDirector通过SNMP、NetConf及SDN技术实现设备配置的自动转换与自动下发，设备接入后自动上线，无需人工干预，实现了真正意义上的自动化部署，网络启动时间从原来的数周缩短至几天。柔性灵动校园网柔性一方面指网络架构本身非常机敏，业务部署（应用/终端）可以做到与位置无关；另一方面指彻底转变传统网络通道就绪，终端和人依据位置匹配通道的模式，将人和应用作为中心，全部网络的资源跟随人和应用移动，柔性具体涵义包括如下几个亮点：无状态网络传统网络存在的问题：传统网络划分L3网段时往往与位置紧密关联。学校要依据不同的办公室，不同的楼层/楼栋划分不同L3网段，这种模式下要想实现用户移动（比如教职工出差、工位搬迁）非常困难。因为用户移动往往要跨越不同L3网段，IP地址必需进行更换，往往会丢失原先的权限，给工作带来麻烦。无状态网络的核心是位址分别；传统的网络，IP地址即是终端的标识，同时也是终端位置的标识，因为IP确定意味做它必需位于某个三层网关的所在的位置。本方案中“位址分别”位指位置，址指IP地址，位址分别就是IP地址与位置解耦，让IP地址可以在任意位置接入，无需转变网络的配置。位址分别用户策略随行策略随行：指用户移动到哪里，用户的体验不变；一般上要实现策略随行，都需要对用户进行分组，传统的分组方式与地理位置紧耦合，同一个用户组位于一个办公区，一个楼层或者一个大楼之内，很难跨越地理的局限。这样用户一旦移动起来，策略实施就非常简洁，想达到策略跟随或者体验一致也非常困难。新一代扁平化方案策略随行的核心就是“名址绑定”，名址绑定就是用户和IP地址一一对应；传统网络用户名和IP地址是难以做到绑定的，一方面DHCP的方式并不能保证单用户每次猎取相同的IP，静态地址安排的方式又不能保障用户在移动过程中保持相同IP能够在不同的位置进行正常的网络连接；方案中无状态网络本身供应了IP任意位置访问的能力，再协作名址绑定实现用户位置发生了变化，IP地址段也没有变，甚至IP地址没有变，针对IP的策略也没有变，而这种针对IP的策略其实就是针对用户的策略，最终实现了用户的策略随行。除了用户和IP绑定，在某些场合可能不需要做非常强的捆绑，本方案可以供应业务和IP网段的绑定，或者用户组和IP网段的绑定，比如：视频监控终端尽管分布在全网任意位置，但可以将其IP全部安排在某一个网段之内；又比如财务的人员可能也分布在网络不同的位置，我们也可以将其安排在同一个网段内；最终实现通过IP段标识用户组或业务组。网随人动传统校园网络首先是通道就绪，终端依据最初的规划，接入到相关接入交换机的端口，从而实现VLAN等权限和终端的匹配，一方面不能够解决用户和终端任意位置接入权限安排的问题，另外终端接入位置也受限制。新一代扁平化方案将人和应用作为核心，全部网络的资源跟随人和应用移动，用户在哪里接入、资源就下发到哪里，真正体现柔性网络的网随人动的特点。无差别网络多校区无差别：新一代扁平化方案实现无状态网络、用户策略随行、网随人动不仅仅可以在单一校区实现，还可以跨校区之间实现，满意业务、用户在更大范围内移动、搬迁，符合现代办公常见的多校区架构。有