智慧校园整体建设方案

清华大学CERNET2二期建设项目接入路由器采购项目目录1 校园信息化建设概述 12 发展现状与未来挑战 22.1 发展现状 22.1.1 校园网基础设施建设初具规模 22.1.2 初步建成一批应用服务支撑平台 22.1.3 初步建成一批公共信息系统 22.1.4 初步建立校园教育资源平台 32.2 未来挑战 32.2.1 校园业务数据割裂 32.2.2 校园数据的价值尚未充分挖掘 32.2.3 基础设施的价值尚未充分挖掘 42.2.4 基础设施自身存在问题 53 智慧校园建设目标与建设原则 103.1 总体目标 103.2 建设原则 103.3 建设目标 113.3.1 构建先进的技术设施平台 113.3.2 建设可靠的安全防护体系 113.3.3 建设统一的综合管理平台 123.3.4 建设完善的应用服务支撑平台 123.3.5 建设丰富的管理应用系统 123.3.6 建设创新的教学环境 123.3.7 建设有序的大数据应用 124 智慧校园整体建设方案 134.1 智慧校园整体框架 134.1.1 门户和APP层 134.1.2 校园信息集成层 144.1.3 校园数据平台层 144.1.4 校园基础设施层 154.2 校园基础设施与平台建设 164.2.1 构建校园泛云数据中心 164.2.2 构建校园智慧园区 194.3 校园信息安全体系构建 544.3.1 校园网安全防护建设 544.3.2 健全安全标准规范体系 554.3.3 建设信息安全等级保护 554.3.4 网络舆情监控中心建设 564.3.5 建设网站安全防护平台 574.3.6 实施数据中心的云安全 574.3.7 部署高性能安全防护设备 584.3.8 保障移动互联的安全接入 584.3.9 统一安全运维管理平台 584.3.10 部署运维审计、上网行为审计系统 594.4 校园大数据平台构建 604.4.1 总体架构 604.4.2 技术路线 614.4.3 建设内容 654.5 教学基础环境建设 934.5.1 开展新型教学模式 934.5.2 教学桌面环境改造 944.5.3 建设大数据分析教学与科研平台 944.6 队伍能力建设 964.6.1 建设专业化技术支撑队伍 964.6.2 提升教育信息化领导力 974.6.3 优化信息化人才培养体系 975 保障措施 975.1 加强组织领导 975.2 做好技术服务 975.3 落实经费投入 98校园信息化建设概述《教育信息化十年发展规划（2011-2020年）》对我国教育信息化的十年发展提出了两个阶段的构想，2016年以前为第一阶段，重点是信息化基础设施及应用建设。经过前期发展，我国教育信息化已经基本度过了第一阶段，信息技术在我国各级各类教育中得到广泛应用。以“十九大”的召开为标志，教育信息化进入到第二阶段，从以“教育信息化”为重点的1.0时代进入到以“信息化教育”为重点的2.0时代，重点是业务融合、应用创新。总体上，2.0时代的核心目标就是以教育信息化全面推动教育现代化，全面提升教育品质，构建新时代教育的新生态。其关键在于业务融合、应用创新，即用信息技术驱动教育综合改革，引发教育深层变革，赋予教育信息化发展内生动力，不断增强学校可持续发展能力，培养高水平创新型人才，形成全新的发展模式。一言以蔽之，以互联网、云计算、大数据、物联网、智能化等新技术，驱动高校教学模式、教学方法、教学支撑环境、科研和决策模式、管理和学习方式的变革，提升学校的教学质量，提升学校的知识生产能力，最终增强学校的竞争力，是高校信息化发展的主要趋势。近年来，学校信息化建设不断发展，校园各种应用也在不断开发和投入使用，取得了一定的成效。但是由于缺乏统筹和各自为政，随着信息化发展的逐步深入，一些问题也不断暴露出来。如“应用山头”突出，信息“孤岛”现象严重，学校有效数据资产不能“共享”；各应用系统、各部门缺乏数据标准，数据一致性差，数据的可用性比较差，因而数据资产利用率低下。如何提升数据质量并有效地利用数据这一学校宝贵的战略性资产，如何从海量数据中准确地挖掘出有价值的信息，已经成为各大高校共同面临的新课题。同时，信息系统的多样化又带来信息服务的复杂性。用户对“数据服务”便捷性的需求与学校信息系统分散建设，信息服务难于获取和操作的矛盾也越来越突出，急需进行系统整合和资源融合。发展现状与未来挑战发展现状校园网基础设施建设初具规模目前学校经过多年的信息化建设积累，已经建成了包括校园网交换机、数据中心机房、数据中心服务器、数据中心存储设备等基础设施，统一管理的公共服务器近100台，承载着校园各类信息化系统的日常运营。有线网络覆盖了学校90%以上教学、办公、学生宿舍、家属区等区域，并实现了校园热点区域无线网覆盖。校园网络出口实现多链路出口（电信、联通、教育、移动共2.8G出口带宽）。部署网络交换机300余台，各类光纤约120公里，为广大师生提供了教学、科研、管理等工作的网络基础设施。初步建成一批应用服务支撑平台已经建成一批公共基础服务，包括邮件服务、网络计费服务、DNS服务、FTP服务、DHCP服务等，为学校师生的校园生活提供基础的信息化服务。初步建成一批公共信息系统随着校园网的普及和广泛应用，学校各项业务系统逐渐建立。综合教务管理系统和多媒体网络教学系统构成了我校信息化的教学与管理体系，为教师的教学和学生的自主学习提供了良好的应用环境。此外，学校已经完成了科研管理、学生管理、招生就业管理、研究生教育管理、人事管理、档案管理、图书管理、国有资产管理（含设备、家俱）、财务管理、离退休管理系统等独立信息系统的建设，初步实现了教学、科研、管理和服务方面的数字化管理。随着学校的不断发展，一卡通已从建设初期仅应用于学生就餐及校内消费，逐步拓展到门禁、车载、洗浴、打开水、电控、图书借阅、医院看病、考试签到、考勤、教务管理、考试报名、自助交费等校内身份识别、校内支付、校内业务管理等多个方面，涉及两个校区、众多职能部门和全体教职员工，已逐渐成为全校的数据采集和共享平台。初步建立校园教育资源平台“十二五”期间，已经开始进行课程资源数字化，积累学校高质量课程资源，目前有若干精品课程，在提高教学质量与管理水平的同时，建设了让更多的人享受高等教育的资源，利用信息化为社会提供服务，让更多的优质高等教育惠及更多的学生。未来挑战校园业务数据割裂经过信息化建设快速发展期，学校已经建成了各类基于公共数据库的信息化系统，教师、学生、科研工作者都在这些平台上生成、获取、储存各类个人数据，这些数据也为个人的教学、科研、学习、生活提供了丰富的信息支撑。但是长期以来，校园的各类教学、管理、服务数据掌握在不同的部门、单位手中。信息中心、网络中心所主管的领域基本还停留在基础设施建设，即系统开发、运维以及部分数据的管理层面，缺乏对教学、科研等学校核心业务数据的管理权限。技术层面上，各个独立建设的业务系统，分属不同的业务部门，建设之初就形成了数据孤岛，数据之间存在壁垒，影响了数据的流动和整合，同一份数据在多个业务系统之间重复存在，产生数据不一致的现象，导致数据只能在较低级的层面发挥价值，很难加以凝聚并在更高层面完成建模，无法深入挖掘和分析，发现校园数据背后所蕴藏的价值。校园数据的价值尚未充分挖掘目前，学校已经充分认识到了结构化数据的重要性，包括学业成绩、体育成绩、选课记录、考勤信息、一卡通消费记录、图书借阅记录等数据，并且已经加强了对结构化数据的集聚、积累，但对非结构化数据的重视程度还稍显不足。一方面是由于对于“校园大数据”观念理解不深，不能意识到校园内除了目前已有的结构化数据外，还有学习行为数据、上网行为数据、活动轨迹等非结构化数据，而且只有将结构化数据和非结构化数据进行统一分析、处理才能充分发挥数据效能，充分体现大数据的价值。另一方面是由于当下还缺乏对非结构化数据的有效采集、储存和分析的工具，因此需要学校加深对“校园大数据”的理解，加大对非结构化数据采集、储存工具的建设力度。再一方面是由于当下对于校园大数据的分析手段的缺失。目前还缺少比较成熟的对于校园大数据的数据建模、数据挖掘和展示工具，需要建设专门的数据分析队伍，一方面能根据数据分析，给予师生个人针对性的建议，以提升学校的整体教学质量；另一方面，对学校的整体管理状况提供基于数据的评价和改革建议，全面提升校园大数据的作用。基础设施的价值尚未充分挖掘校园IT基础设施是学校重要的基础设施，是校园信息化的基础和根本，IT基础设施的建设不是一蹴而就的，是伴随着校园信息化的进程不断完善的。从校园信息化建设之初，就开始了基础设施的建设，并且在早期阶段，基础设施的建设程度是校园信息化的一个重要表现方式。随着校园信息化的发展，基础设施的作用也在逐渐的降低，逐渐的变成了一个基础平台，一个承载业务的通道。但是，在智慧校园的建设中，我们要进一步挖掘IT基础设施的价值，在实现基础平台和通道功能的基础上，能够直接为最上层的智慧应用提供价值，实际上我们已经看到了基础设施能够产生的一部分价值，例如定位信息、行为轨迹、上网行为数据等等，利用这些新的数据，可以建设一些新型的智慧应用，为我们的教学、科研、服务和管理提供帮助。我们相信，未来基础设施能够提供更多的数据，这些数据可以直接服务于智慧应用，产生新的价值。基础设施自身存在问题IT资源分配效率低下当前的校园应用业务主要是采用面向应用的方式部署，每个应用进行物理划分，独占硬件资源，这种部署方式目前主要存在以下问题：资源利用率低：应用与资源绑定，每个应用都需要按照其峰值业务量进行资源的配置，这导致在大部分时间许多资源都处于闲置状态，不仅造成服务器的资源利用率较低，而且对资源的共享、数据的共享造成了天然的障碍。业务部署缓慢；在学校将IT资源的采购和管理都集中规划到网络中心后，涉及到大量新业务的开展和上线。学校各个部门如果要部署新的业务，那么在提交变更请求与进行运营变更之间存在较大延迟，每一次的业务部署都要经历硬件选型、采购、上架安装、操作系统和应用程序安装以及网络配置等操作，使得业务的部署极为缓慢。运维成本高：目前学校的很多应用是按照传统的“一机一应用”的模式部署的，随着学校新应用系统的增加，服务器、网络和存储的设备数量也会出现迅速的膨胀，造成占地空间、电力供应、散热制冷和维护成本的急剧上升。当校园网主机房内空间、电力供应、散热制冷等支撑环境近乎极限后，受限于支撑环境，新业务无法上线，对网络中心今后的发展有非常大的阻碍。与此同时，机房内服务器的利用率普遍偏低，系统资源基本上处于10~20%的水平乃至更低，造成了极大的浪费。浪费严重、新业务无法上线是目前存在主要问题。管理策略分散。当前的IT资源运维管理缺乏统计的集中化IT构建策略，无法对信息化校园网数据中心的基础设施进行监控、管理、报告和远程访问，IT管理策略分散。校园网数据中心作为学校教学和日常管理等关键业务正常运行的平台和进一步发展的基石，随着学校的不断发展，其对承载的关键业务、核心应用，对于信息数据的完整性、业务运行的可靠性、网络系统的可用性的要求越来越高，原有IT建设模式随着教学科研发展，难以适应未来发展需求，如将来教学、科研和管理会采用物联网、大数据、互联网化教学、新的校园APP等，对IT系统的计算能力，快速响应能力，业务高可用能力提出更高要求，传统面向业务的IT建设模式很难适应需求，对数据中心的升级建设势在必行。需要实现IT资源系统的按需运营，多种服务的开通，可以实现对计算、存储、网络资源的统一调度和自动分配，同时提供用户管理、组织管理、工作流管理、自助Portal界面等。从用户资源的申请、审批到分配部署的智能化。管理系统不仅要实现对传统的物理资源和新的虚拟资源进行管理，还要从全局而非割裂地管理资源，实现统一管理与自动化运营。校园云网络和云安全无法灵活自定义网络和安全资源无法按需分配传统数据中心业务规划分区分域，这种网络架构规划清晰，维护简单，但是不足之处就是业务扩容受限，如果业务扩容，比如将扩容后的业务部署到其他机架上，需要对原有网络进行大量的配置更改，无法做到网络资源的按需分配。传统模式下的安全部署都是基于路径基于拓扑的安全策略部署，安全业务必须根据业务的要求配置好VLAN、IP、引流策略，而且这些策略都是手工配置的，如果业务变更，那么安全策略的配置也必须跟着重新配置。另外传统安全都是基于物理硬件设备部署的，导致在业务初期由于业务量小使设备利用率很低造成资源浪费，而业务后期随着业务量的增量可能又会出现性能不够用的情况，安全设备的性能无法根据业务的要求而动态的扩展性能或者释放资源，无法实现安全资源的按需分配。另外，在虚拟化环境下，对于一个IT租户来说，分配了虚拟机、存储等资源，但网络和安全资源却不能随需分配，如，任意两台虚拟机之间设置一台虚拟防火墙，这对于传统网络是很难实现的。虚机迁移时网络和安全属性无法自动迁移在云计算中心的虚拟化环境中，虚拟机故障、动态资源调整、服务器主机故障或计划内停机等都会造成虚拟机迁移动作的发生。虚拟机的迁移，需要保证迁移虚拟机和其他虚拟机之间的业务不能中断，虚拟机对应的网络策略和安全策略也必须同步迁移。传统模式下业务和网络存在紧耦合关系，服务器边界与网络边界通常固定，虚拟机迁移需要交换机做相应的配置调整，以及需要修改安全设备上的策略，配置修改的工作量比较大，容易导致业务长时间故障无法恢复。云计算服务与传统业务无法互通云计算服务的部署都是采用分阶段逐步实施的，即首先在不改变原有业务系统模式的前提下，建立私有云最小模型；然后将原有业务逐渐切换到云平台上。然而在某些情况下，不能将业务的所有服务器资源都迁移到云平台中，因此会出现业务的某些服务器资源运行在传统网络中，某些服务器资源运行在云平台中，有些之前已经有的业务例如财务、一卡通、教务系统等还运行在传统网络区域中，这种情况下如果传统业务资源不够需要增加虚拟机，需要云平台的虚拟机和传统业务服务器能够二层互通，而由于私有云区和传统业务区一般属于不同的三层网络，因此在业务横跨传统业务区和私有云区的情况下，传统的网络很难满足业务不中断的要求。云计算服务无法满足不同租户的差异化安全需求数据中心通常存在两类流量：东西流量和南北流量。所谓南北流量是指从服务器到校园网或Internet的纵向流量，而东西流量则为服务器之间的横向流量。传统网络架构以三层为主，主要是以控制南北数据流量为主，在校园云计算环境中，云中心资源会提供给多个二级部处、二级学院使用，每个部门或学院都会存在多个业务区域，供不同的教学、科研、办公、管理使用，这些业务区域根据优先级的不同需要定义一些不同的安全控制策略，同时多部门都有接入校园网和Internet上网需求。在这种情况下，各部门采用单独安全设备成本太高，需要建立安全资源池，同一采用虚拟安全资源对应各部门南北流量，实现云数据中心内不同租户的南北数据流量差异化安全需求。在云计算环境下，不同业务部署在不同的虚拟机上，同一租户内各虚拟机之间会存在流量交换，也就是东西向流量，这种情况下外部的安全防护设备无法对其流量进行必要的安全检查，将所有的东西向流量全部引流到外部的安全防火墙也是不现实的，因此，如何在云数据中心环境下，满足不同租户的南北向流量以及东西向流量的差异化安全部署需求，是我们的方案中需要解决的问题。无线互联网接入质量有待提高伴随着学校无线应用的普及，以及智能终端的增多，当前的无线网络逐渐不能满足学校的教学、生活和管理需求，需要对学校的无线网进行改造，为学生提供高质量的无线网络接入体验。移动互联可以改变教学方式，从传统的“广播式”“固定”的教学方式转向主动、富有创造性、动态的方式；可以改变教学对象和场所，可以脱离传统教学模式，随时随地，更多依靠移动终端、多媒体方式进行互通，使得获取知识的途径方式更加多样；移动互联可以提供使用者的终端、应用、位置等，可以获得轨迹、热度等，还可以获取校园的密度分布等，这些功能使得校园是可感知的，为实现更智慧化的管理提供了重要手段；同时，移动互联也使得校园服务，从传统的面向所有人的、共性的粗放式服务转向考虑认得角色、属性等个性化的服务成为可能。移动互联为校园带来了很多的改变，那么移动互联建设所面临的最大挑战是什么呢？在移动互联的建设中，需要考虑不同的场景、不同的人数、不同的需求，要求移动互联的建设中需要场景化、精细化、全覆盖，这样才能为实现一个无边界的智慧校园打下基础。复杂分散的IT运维随着校园信息化建设的持续推进和发展，目前校园网拥有近千台各类网络设备，包括路由器、交换机、防火墙、IPS、无线AP、AC、网络流控等。校园网络规模越来越大，网络环境日趋复杂，业务系统规模日趋庞大、架构日趋复杂，校园运营对信息系统及网络系统的依赖程度越来越大，对业务系统的稳定性、可靠性要求也越来越高。目前的学校IT运维工作面临较大的挑战，具体体现在：运维人员通常各管一摊，分散的管理方式导致IT服务管理缺乏系统性，网络、服务器、数据库和中间件等由不同的运维人员负责，出现故障后责任不清，定位时间长，而且服务水平过于依赖个别技术较强的运维人员。IT运维管理缺乏自动化和有效的监控手段，通常采用手工或半自动方式，运维人员每天重复进行大量低效率工作，对网络、服务器、数据库、中间件分别监测其告警，大多是被动的响应设备和系统故障。IT运维流程不够完善，缺乏完善的对运维事件的报告，跟踪和处理机制，不便于及时报告事件并跟踪处理情况，影响解决效率。缺乏对IT服务质量的明确目标和绩效考核标准，运维数据不完整并且分散，很难对历史数据进行系统的存档，查看，统计和分析。基于以上情况，学校迫切需要建设一套统一高效灵敏的IT基础平台运维管理系统，一方面提高各类信息系统日常运维的可视化程度、量化运行质量，管理对象包括全网的网络设备、安全设备、服务器、重要应用和上网用户，提高IT系统地运行效率，保障业务7*24不间断运行；另一方面结合目前的IT运维服务现状，逐步通过该平台建设，实现对IT运行整体环境的监控，即对主机系统、桌面PC机、网络系统、安全产品、数据库、中间件、存储设备、应用系统、IT环境系统的集中监控和管理。能够及时采集各类告警数据、性能数据和配置数据，进行集成统一的分析、查询、报告和展示，帮助运维管理人员方便有效的定位系统问题，直观快速的诊断和分析问题，将运维模式由被动的支持转为主动式服务。通过平台接收各类告警事件，按照预先定义的事件管理流程完成事件的处理。建立故障管理、问题管理、变更管理、配置管理等服务工作流程，通过管理人员、技术和流程的有机结合，实现IT运维管理标准化和规范化，形成一个整体的IT运维平台，提高学校整体IT运维效率和服务满意度。智慧校园建设目标与建设原则总体目标建设与国家教育现代化发展目标相适应的教育信息化体系；基本实现教育信息化对学生全面发展的促进作用、对深化教育领域综合改革的支撑作用和对教育创新发展、均衡发展、优质发展的提升作用；基本形成具有国际先进水平、信息技术与教育融合创新发展的中国特色教育信息化发展路线。最终通过信息技术的高度融合，信息化应用的深度整合、信息终端的广泛感知，推动智慧化的教学、智慧化的科研、智慧化的管理、智慧化的生活以及智慧化的服务的建设，逐步构建成熟和完善的智慧校园。构建的智慧校园有如下特性：1、 可以提供泛在的学习方式，打破物理空间限制，线上线下的资源共享。2、 可以满足面向业务的智能化IT资源需求。IT基础设施如计算、存储、网络都可以实现按需自动分配，以及资源的智能化弹性扩展，提高资源的利用率。3、 可以提供一些面向业务的新信息。物联网、无线设备等一些新的IT基础设施，可以提供一些新的信息，用以来实现智慧校园的一些新型应用。4、 探索创新教育模式。技术与教育深度融合，以技术来推动教育变革，推动教学、学习、管理、评价以及学校的组织形态发生变革，形成个性化教学的创新教育模式。5、 通过对校园日常活动中的行为等广义教育大数据的分析和挖掘，构建不同的分析模型，为学校的不同主题提供科学决策支持。建设原则“十三五”期间，要从加快学校“建设高水平研究型大学的战略高度”出发，适应当代师生对智慧校园的强烈需求，坚持以下原则，实现我校信息化的跨越式发展：坚持服务全局。要通过服务全局构建教育信息化新的发展格局。以信息技术为纽带进一步加强教学和管理，教师、学生和教育系统之间的联结和互动；注重教师信息技术应用能力提升与学科教学培训的紧密结合，促进师生信息素养全面提升，不断优化教学、管理的流程和效能，使教学更加个性化、教育更加均衡化、管理更加精细化、决策更加科学化。坚持融合创新。要通过融合创新提升教育信息化的效能。要通过深化信息技术与教育教学、管理的融合，利用信息技术创新教学和管理模式，以应用促融合、以融合促创新、以创新促发展，有效促进教育服务供给方式、教学和管理模式的变革，形成高校教育信息化发展路径。坚持深化应用。要通过深化应用释放信息技术对教育教学改革和发展的作用。推进信息技术在教学和管理中的深度应用，将应用作为教育信息化建设、科研、培训、评价等各项工作的核心驱动力。以建设营造应用环境，以教研、科研拓展应用渠道，以培训促进应用效能，以评价提升应用水平，依托教育信息化加快构建以学习者为中心的教学和学习方式。建设目标构建先进的技术设施平台以“统规、统建、统维”思想为指导，以丰富的云基础设施，云存储，云安全和各类云服务构件共同构建校园云服务平台，服务于：1.为校园提供计算环境，降低校园的IT硬件投资2.为内部应用提供基于云计算平台的办公应用、教学科研服务。3.为校园提供通用校园管理软件，为校园建立低成本的管理系统4.为学校教学提供基于云计算平台的开发测试环境5.为学校科研提供IaaS/PaaS/SaaS平台，为校园向云计算转型服务6.优化投资环境，节省校园IT软硬件投入和开发环境的投入，吸引校园加快校园自身信息化发展。同时，对基础网络环境进行升级改造，对无线网络进行扩容，对网络架构进行优化，基本完成物联网的建设。建设可靠的安全防护体系构建安全标准规范体系，建设网络舆情监控中心，全面实施信息系统安全等级保护制度，强化网络安全监测预警和技术防护，建设校园网安全防护体系，确保基础设施安全、系统安全、数据安全、应用安全和资源安全等，建设数据容灾备份，确保学校重要数据和应用系统具有抵抗灾难的能力。建设统一的综合管理平台建设网络、业务、安全运维多维度的管理平台，降低管理运维的复杂度，实现高效、自动化的管理。建设完善的应用服务支撑平台建设公共数据平台，整合学校的各业务系统，消除业务系统的“信息孤岛”；建设统一身份认证平台，实现用户的单点登录，促进信息化管理工作的科学化。建设统一信息门户平台，使师生的工作、学习、生活更加高效便捷。建设移动IT平台，保障移动互联的安全接入。建设丰富的管理应用系统进一步开展综合管理应用的建设；升级改造一卡通系统；利用云计算技术改进原有高并发连接数情况下使用体验差的业务系统。推广移动办公、社交平台等新型应用，开展智慧的课堂、教育智慧的学习社区等先进应用，推动大数据、云计算、物联网、移动互联网等新一代信息技术与学校各项事业的融合发展，探索信息化校园的新形态、新模式。建设创新的教学环境学习国内外先进高校的先进经验，建设MOOC、翻转课堂等信息化互动教学新模式，提高学生的自学能力。加强优质教学资源和特色资源的建设。利用虚拟化桌面建设新型实验室环境和教师教学办公环境等。开设大数据、SDN等新技术的课程，建设大数据教学平台，培养理论与实践并重的专业人才。利用新的基础设施提供的数据，建设一些新型的智慧应用。建设有序的大数据应用加大对数据管理的建设投入，对校园信息化的数据利用进行全面构思，制定好大数据平台建设的计划，分阶段分层次有序建设数据的服务体系。智慧校园整体建设方案智慧校园整体框架从技术的角度来看，智慧校园的整体方案架构是一个模块化的分层架构，其系统架构见下图：门户和APP层门户是师生访问校园应用，享受智慧校园服务的入口。用户可通过PC、平板电脑、智能手机等多种终端，有线无线等多种网络接入服务，并实现统一认证和单点登录，享受融合的业务体验。高校以网络为基础的OA、教务管理、财务管理、科研管理、设备管理等系统为师生提供各类信息服务。通过对校园网站群与各种系统、资源的有效集成整合，以门户的形式为社会关注、学校教师、学生、供应商和合作伙伴提供其所需的全部信息与服务，来提高校园核心竞争力，为在校学生的学习、生活和娱乐提供便捷的信息化服务。移动门户、客户端APP作为传统校园门户PC端在手机端的延伸和重要补充，在原有门户功能的基础上，把与学生生活、学习和娱乐相关的服务添加，真正实现校园门户服务对高校学生的全面覆盖。除了传统校园门户和业务系统，以及移动校园门户和各类APP外，在智慧校园的建设中，新的智慧应用的建设至关重要。一方面，新型的基础设施可以产生的一些新的信息，例如可以随时随地感知人、设备和资源的信息，如身份、位置终端、轨迹等，能够识别个人的个体特征（行为特征、学习风格等）和学习情景（学习时间、学习空间、学习伙伴、学习活动等），利用这些信息可以有效支持一些新兴的智慧应用，来实现教学过程分析和评价，智能的教育教学环境（课堂自动点到等），便利舒适的生活环境。另一方面，利用大数据等新兴的技术手段，对校园日常活动的行为数据，以及学生学习行为数据，教师的教学行为数据进行整合，通过大数据的数据分析、数据挖掘等技术，建设一批应用系统，得出隐藏在其背后的数据信息。例如可以收集学生在线上学习平台中知识点学习的详细数据，构建知识模型，为学生提供个性化的学习反馈和建议；收集学生行为数据，构建模型，预测学习失败的可能性；通过分析教学系统中组件的使用数据，学习者的表现数据，优化系统的组成模块和线上教学策略；通过对图书馆的借阅记录、浏览终端的访问记录、以及师生上网的查询和访问记录进行分析，为图书馆提供下一年的购买决策建议；通过监测学生学习环境和状态，全面掌握学生学习的全过程，发现学生的学习常态，通过数据流的变动分析，总结教育规律、调整教学内容和教学模式，客观全面地评价学生学习成果和自身的教学成果；通过学生学习和生活各方面的数据，如学习成绩、借阅图书的种类，一卡通消费额度等信息，定位数据和上网时长，给学生一个准确的画像，为学生的成长提供个性化的建议等。这些新型的应用，使得教学更加个性化，校园管理更加精细化，学校面向不同主题的决策更为客观、科学、合理和有效。校园信息集成层把校园内的各种数据：结构化数据（学业成绩、体育成绩、消费记录等）和非结构化数据（学习行为数据、上网行为数据等）进行汇聚、加工，通过大数据的分析和挖掘技术，通过统一门户按照需要进行展示，或者为一些新型的智慧应用提供服务，提供更高质量的教学和科研，更好的服务，更科学的管理。信息集成层需要完成对校园内各类数据的采集、转换和存储，采用结构化数据分析平台和非结构化数据分析平台的混合架构，面向不同应用集成多种计算框架，实现教育领域的数据建模和挖掘工具，以及多维数据库的可视化BI展示等。校园数据平台层数据平台层包含两部分内容，一部分是校园的各种数据，包括各类业务系统如教务系统、财务系统、资产系统、科研系统等的数据，以及新IT基础设施直接面向业务提供的数据信息，包括位置、身份、上网信息等。另一部分是信息协同平台，在数字校园建设过程中的各类信息系统都是各机构各自为战建设的，没有考虑到未来的需求，因此形成了一个个的“数据孤岛”。信息协同平台主要是为了解决这个问题，把位于不同异构信息源的数据合并起来，屏蔽异构差异，将数据进行统一。信息协同平台是非常关键的，因为这是信息集成的基础，只有把异构数据同源化，集成分析后的价值才是有意义的。信息协同平台北向向信息集成层提供准确统一格式的数据，南向与各业务系统和IAAS层连接。校园基础设施层智慧校园的建设中，以“统规、统建、统维”思想为指导，以丰富的云基础设施，云存储，云网络，云安全和各类云服务构件共同构建校园云服务平台：随需而得的IT资源分配：对IT基础设施如计算、存储等实现按需自动分配，以及资源的智能化弹性扩展，提高资源的利用率；随需而动的网络资源：可以实现网络资源的按需分配，虚机迁移时网络策略的自动迁移等；随需而安的安全：构建安全标准规范体系；实现安全资源的按需分配，虚机迁移时安全策略的自动迁移，以及不同租户的差异化安全需求；建设网络舆情监控中心；全面实施信息系统安全等级保护制度；强化网络安全监测预警和技术防护，建设校园网安全防护体系，确保基础设施安全、系统安全、数据安全、应用安全和资源安全等；建设数据容灾备份，确保学校重要数据和应用系统具有抵抗灾难的能力；随需而联的无线校园：实现场景化、精细化、全覆盖的无线互联网络建设，提供泛在的连接方式，为各种新型的感知终端接入到无线校园提供通道；统一高效灵敏的IT基础平台运维管理系统：使用通用语言来表述运维管理，从业务的角度去描述业务的运行状况和风险状况，而不是陷于设备管理的海洋中。建设网络、业务、安全运维多维度的管理平台，降低管理运维的复杂度，实现高效、自动化的管理。校园基础设施与平台建设构建校园泛云数据中心新型智慧校园要求校园IT全面服务化，校园信息化建设需要面向智慧校园提供按需分配的SaaS、PaaS、IaaS服务，并且能够为科研提供充分的高性能计算服务，为各种校园智慧应用和管理提供全方位大数据服务。也就是校园IT服务云化，校园终端移动化、物联化、智能化。现在大部分高校采用了虚拟化技术，部分高校采用了云计算技术，通过将服务器技术，将不同校园应用承载在虚拟化平台，并且一定程度上实现了IT资源安需分配。通过虚拟化和云平台的应用，提升了设备资源利用率，提升了新应用上线效率，促进了校园信息化发展，但随着校园业务发展和新型智慧校园建设需求，传统虚拟化、云计算技术逐渐暴露出如下方面不足： 传统虚拟化平台或云平台通常仅能面向学校院系、二级部处、师生提供虚拟机服务，无法提供校园信息化多维度数据信息，也不能提供数据库服务以及数据库运行的物理机，也不能PAAS开发平台和提供智慧应用，如，事件预警，行为分析等应用； 不同部门应用系统动态差异化安全实现困难，如教务系统、部分二级网站、财务系统，有些应用系统明确要求二级甚至三级等保，这在虚拟化环境下通常很难实现； 应用系统承载在虚拟化或云平台上，但关键业务和非关键业务一般不好区分，关键业务，如招生考试、一卡通、教务系统等高可用性无法保证，局部硬件故障会导致业务中断，需要人为干预，且数据难以恢复； 各种业务系统使用维护依然复杂，只是由原来物理机上运行迁移到虚拟机。之所以会出现以上问题，主要原因是： 校园师生使用IT系统习惯和流程不同于其他行业，如果只用通用的面向各行各业通用解决方案，很难适应校园师生使用习惯，也不适应IT部门管理模式和流程，也就是场景化不足。 传统虚拟化和云平台具有计算资源池、存储资源池、网络和安全资源持，云平台负责资源管理和分配，但云和资源池之间通常比较割裂，也就是云和计算、存储、网络/安全资源池之间融合联动不足。如，云平台通常分配虚拟机不成问题，但伴随虚拟机的安全属性通常无能为力，因为涉及到不同厂家对接开发，这就造成了安全资源不能按需分配；存储资源对于虚拟化、云平台也不能联动，存储资源池主备存储设备切换后，虚拟化平台和云平台通常无法智能感知，这就造成了关键业务中断，而虚拟化、云平台恢复需要手动干预。 云内网络/安全、存储、计算资源池之间智能联动不足，有时网络具备了双活条件而存储不具备双活条件，或反之，存储具备了双活条件而网络不具备双活条件，这就造成双校区不同机房之间关键业务虽然服务器、存储、网络都是冗余的，但在局部出现故障时，仍然会导致业务中断，需要人为干预。新华三基于全面IT和CT技术实力，提出全融合校园云中心整体解决方案：全融合教育云中心解决方案的整体资源管理平台是H3C教育版云操作系统,所有计算、存储、网络、安全、大数据、物理机、应用模板、开发平台等都在云操作系统纳管下实现融合、联动。H3C教育版云平台通过标准OpenStack接口融合所有资源，实现全面ITaaS；并且能够实现云内虚拟化管理平台、网络安全管理平台、存储管理平台横向联动。基于标准OpenStack接口对接各种云资源示意图如，通过标准OpenStack接口，H3CloudOS云操作系统通过Nova接口对接主流虚拟机平台，通过Neutron对接网络/安全资源，通过Cindy/Swift对接存储资源，通过Sahara对接大数据资源。基于以上标准接口，并进行充分优化，H3CloudOS能够实现：支持SDN、Overlay、NFV、Service-Chain，性能、稳定性、智能性极大提高兼容CAS、VMware、KVM、PowerVM等虚拟化平台，还能实现裸金属服务器纳管提供LB、FW、VPN、IPS等网络安全，以及WAF、数据库审计等应用安全服务修复大量原生OpenStack自身BUG，提高稳定性和性能微服务架构，分布式部署，集群高可用，横向弹性扩展优化OpenStack部署方式，一键安装，部署时间<2小时全面IT资源服务实时按需分配，随需而得。全融合云中心通过云管理平台和计算、存储、网络、安全资源融合联动，较以往校园云中心，具有如下特点：云内承载业务随需而安；校园业务突发流量资源弹性供给，保证服务质量；云内承载的业务在主备存储、服务器、网络切换情况下，甚至在跨校区切换情况下服务不中断。基于以上全融合技术内涵，整体方案架构如下：全融合校园云中心整体架构：在计算资源池、网络资源池、安全资源池、存储资源池基础上，通过虚拟化层实现可以分配和回收的IT资源，然后云平台对资源进行按需分配和管理、监控。全融合云中心解决方案包括：教育版云平台、云网安融合、云和大数据融合、云和存储融合。构建校园智慧园区在智能终端普及和无线技术飞速发展的大背景下，许多高校的网络连接方式实现了移动互联转型，满足了师生移动化网络高速访问需求，同时也涌现出多种服务于高校师生的个性化移动应用。近年，伴随物联网和大数据技术的探索与实践，智慧校园迈进2.0时代，信息技术的利用继续深入，如何借助泛在连接技术为校园业务、管理提供更多的创新服务，是下一阶段许多高校信息化建设的关注重点。 全场景H3C能够提供教室、办公室、宿舍、报告厅、图书馆等高密场景及室外体育场全场景无线部署方案及实践经验，产品全线支持802.11acwave2协议标准，为校园用户及终端提供高速可靠的接入体验。 WiFi&IoT融合接入H3C可在传统WIFI环境下可扩展丰富的物联网接入能力，支持RFID、ZigBee、Bluetooth4.0等标准接口模块的任意组合，AP作为物联网融合网关，使校园网具备可感知能力，更好支撑校园运营管理及决策。 绿洲平台H3C绿洲平台为高校物联场景定制了专属业务模块，不仅可以对全网AP进行统一管理，还提供了第三方接口，可与校园一卡通、门禁、智能水电表等多类校园管理系统实现对接，作为物联网统一数据平台，消除业务孤岛，提高资产、宿舍、能效管理水平，提升学校运营效率。 无线大数据应用H3C无线大数据由平台和应用共同组成，先进融合架构的大数据平台DataEngine提供了价值数据挖掘、提取的能力，整合来自设备的学生终端、位置、轨迹数据以及教学、学生管理等传统业务系统数据，分析勾勒出学生“专属画像”，实现兴趣偏好推送、学习成绩分析、教学改进决策等多种人文化、个性化的创新服务。校园网网络建设积极推进校园骨干网的更新换代：升级校园网核心设备；扩容和改造校园无线网络，提高无线的接入速率，进一步完善校园无线的高品质覆盖；提升校园网出口带宽，应对移动互联网、泛在网络、云计算、大数据等数字化校园新型应用需要，对出口流量进行分析和预测，实现精细化的流量管理；对接入网络进行更新换代；调整和优化校园网的技术架构；进一步建设IPv6网络。实现网络资源的共享，避免低水平的重复建设，形成适应性广、容易维护的高速带宽的基础网络设施。建立节能、低耗、绿色、智能的教学业务管理和行政管理的信息化、网络化平台，实现教学、生活与校园资源和系统的整合，为实现智慧校园提供支撑平台。校园网核心设备升级随着网络应用、云服务的不断发展、下一代互联网及物联网的不断推进。在“十三五”期间需要对校园网的核心设备进行升级扩容，增加冗余备份措施，以满足不断增加的业务需求。扩容和改造校园无线网络随着大量的智能终端的普及，众多的终端应用的大量产生，目前已部署的无线网络已不能满足师生上网的需求，需要建设一个高速、稳定、智能的校园无线网络。引入和逐步普及先进的802.11ac、802.11acWave2技术，建成先进的校园无线网络，逐步实现无线网覆盖全校所有建筑以及校园主要室外空间，不断扩大无线校园网容量，实现无线用户的应用快速无缝漫游功能，使上网突破时间和空间限制。适应多种智能终端自由接入，实现随时、随地、多终端的移动上网，朝着网络全覆盖、高速带宽、高稳定性、智能管理、快速排障、提高服务质量等方向努力。无线网络建设后，学校需要维护两张网络，即校园有线网和无线网，无形之中增加了日常的运维工作，因此需要在现有的网管产品中结合校园在移动性、安全性、高质量等方面的需求，提供有线无线一体化管理、基于用户的终端准入控制和行为审计、端到端的业务感知和性能优化等管理功能，实现一体化、可信任、业务隔离、精细感知的校园管理。无线网络建设采用瘦AP+AC模式部署，随着业务量和用户量逐渐增加，核心AC控制器的可靠性要求越来越高。一旦AC出现故障将影响整网的AP转发，因此部署无线网络需要考虑冗余设计及可靠性设计。可以采用无线AC+1的热备技术；或者通过IRF技术将AC进行横向整合，将两台或多台设备虚拟为一台设备，统一转发、统一管理，并实现跨设备的链路捆绑。IRF的部署方式不会引入环路，无需部署STP和VRRP等协议，简化网络协议的部署，大大缩短设备和链路收敛时间（毫秒级），链路负载分担方式工作，利用率大大提升。IPv6作为未来网络的发展方向，已经在高校开始局部使用，无线网络的建设也要充分考虑IPv6的支持。AP需要全面支持IPv6特性，需要实现IPv4/IPv6双协议栈。同时，因为IPv6的攻击漏洞根源大多与非法主机接入有关，IPv6网络安全的漏洞，将影响成熟完善的IPv4网络安全防御体系，因此随着无线校园网的大规模建设，IPv6无线网络的防护技术越来越重要。针对IPv4、IPv6主机的安全合法接入问题，需要使用SAVI(源地址认证提高，SourceAddressValidationImprovements)技术，该方案采用源地址验证的交换机技术CPS（ControlPlan/PacketSnooping）方法，是在网络层实现的追溯技术。因此部署的无线产品需要全部支持无线SAVI。随着无线校园网覆盖范围的不断扩大，在不同的环境中部署不同特点的无线AP设备，实现场景化的部署，满足师生在不同场景的使用需求，达到最优的使用效果和体验。对于学生宿舍这种终端数量多，上网时间集中，视频类、游戏类等高带宽使用量占比较多，需要提供较高的用户并发接入数和较高带宽的接入速率，而宿舍建筑墙壁较厚，房间密度大的情况，采用包含本体和分体的AP设备，本体放装分体入户的方式进行安装。在互不干扰的前提下，保证信号的完全覆盖。在图书馆阅览室和教室这种以信号覆盖为主要目的的场景中部署普通的放装型AP。对于像礼堂这种高密集中的场景，部署具有多频接入的产品。对于像体育场等开阔无干扰的室外场景，部署具有工业级防水防尘等级、大范围宽温工作能力的设备，从覆盖范围、接入密度、运行稳定等方面提供更高性能的接入服务。在需要提供物联网接入的位置，部署内置蓝牙模块的无线AP设备，提供丰富的蓝牙应用。校园网网络出口升级和出口流量的智能分析校园网规模较大，涵盖了办公区、教学区、宿舍区、家属区等区域，覆盖范围广、结构复杂，学校网络出口具备多个运营商线路，因此出口设备需要具有智能选路功能，可针对不同的访问地址自动选择适合的线路，优化网络访问质量。校园网出口设备承载着全校师生的对外访问，随着网络应用不断发展，网络用户对网络出口带宽的需求已经远远超过实际拥有的网络带宽，因此需要对网络出口设备进行升级。校园网的出口流量分布不均，忙闲时流量差距较大，流入流出差距较大，出口带宽的升级扩容是解决拥塞问题的办法之一，升级带宽后拥塞能够得到有效缓解，但是无法从根源去解决问题。传统情况会在出口设备部署Qos流量管理，如对游戏及下载软件的海量下载进行限制，现在需要对出口流量进行更精细化的分析和预测，从应用角度进行流量管理，实现智能化流量趋势分析和重点应用的智能化保障。智能化流量趋势分析是指可以对指定出口链路、指定应用或者某类应用，通过数据挖掘算法，智能化进行指定周期（例如五年后）的指定时段（例如全天时段、或者白天时段）的流量趋势预测。重点应用的智能化保障是指通过对应用系统的分析，对整个应用系统使用的带宽情况，支撑此应用系统的带宽使用情况进行分析，对应用系统对外提供服务的带宽和支撑应用系统使用的带宽进行保障。并能够得到应用使用的业务模型：流量趋势分析、应用画像、流量智能管控等。接入网络改造千兆到桌面（升级为纯千兆交换机），万兆到楼宇。接入设备只提供二层透传和VLAN隔离这些基本功能，弱化接入设备的功能，降低全网设备的投资和后期的维护费用，建设高性能、高可靠、低故障、易管理的接入网络。网络架构的优化随着校园网规模的逐步扩大，多业务多应用的叠加，用户数的不断增加和流量的爆发式增长，传统的三层网络架构（核心-汇聚-接入）爆发出如下问题：部署新应用困难，故障点难定位：校园网的每个层面都有做用户接入和控制，实现了一部分的功能；如接入设备提供端口隔离、VLAN等功能、汇聚设备则提供了三层网关、ACL控制、路由策略等功能，大量的设备也就意味着大量的配置，给校园的管理员带来巨大的实施成本，同时也就使得在校园网中部署新功能新应用变得非常困难，要考虑到各个层面设备的支持能力。相应的由于控制点的分散，导致出现问题后，故障点很难定位，恢复时间较长；处理一个故障往往涉及多个层面的多个设备。设备层次与能力倒挂：核心设备功能弱化；而靠近边缘的设备，如汇聚和接入层的设备，功能要求却很多，形成了校园网设备层次和能力层次的“倒挂”。由于汇聚和接入层层面的设备档次较低，性能不高、稳定性较差、功能也不丰富，因此在实际部署时，经常出现问题，实现效果不好。因此就造成校园网中出问题最多，维护工作量最大的是大量的接入层、汇聚层设备，导致维护工作量大、效果不好。准入准出需要两次认证：目前采用的认证方式为出口认证，即用户只有在需要访问Internet网络的时候才需要对用户的身份进行控制，而用户接入内网即能获得IP地址并获得访问的权利，且用户与用户之间并未做隔离，导致学校里的安全问题频发；而一旦学校加入了准入认证，那么又会存在用户如果访问外网，需要进行两次认证的尴尬，不仅降低了用户体验而且使得管理员的管理也非常麻烦。这些问题导致了校园网整体的稳定性可靠性降低，管理维护压力越来越大。需要对网络架构进行扁平化改造，从网络中设备所承担的功能上区分，将网络划分为业务控制层和宽带接入层。宽带接入层由汇聚和接入层设备构成，仅提供基本的用户高带宽接入功能和相互之间的VLAN二层隔离功能；业务控制层则由核心层设备Bras构成，提供网络中的用户接入控制、业务功能实现等复杂功能。按照功能划分了网络的层次后，不同层次的设备各司其职，方便全网设备的管理维护。针对学校用户特点及网络使用、流量等数据分析，借助业界领先的SDN技术和高性能的产品，为学校量身定制了新一代扁平化校园网架构，即应用驱动校园网架构（ADCampus）。架构技术支撑针对新校区通过基于SDN的VXLAN技术实现全网无广播风暴的健壮二层架构，同时使网络变得柔性灵活。Overlay网络是指建立在另一个网络上的网络。该网络中的结点可以看作通过虚拟或逻辑链路而连接起来的。Overlay网络具有独立的控制和转发平面，对于连接在overlay边缘设备之外的终端系统来说，物理网络是透明的。Overlay网络是物理网络向云和虚拟化的深度延伸，使云资源池化能力可以摆脱物理网络的重重限制，是实现云网融合的关键IETF在Overlay技术领域提出三大技术方案。VXLAN：VXLAN是将以太网报文封装成UDP报文进行隧道传输，UDP目的端口为已知端口，源端口可按流分配，标准5元组方式有利于在IP网络转发过程中进行负载分担；隔离标识采用24比特来表示；未知目的、广播、组播等网络流量均被封装为组播转发。NVGRE：NVGRE采用的是RFC2784和RFC2890所定义的GRE隧道协议。将以太网报文封装在GRE内进行隧道传输。隔离标识采用24比特来表示；与VXLAN的主要区别在对流量的负载分担上，因为使用了GRE隧道封装，NVGRE使用了GRE扩展字段flowID进行流量负载分担，这就要求物理网络能够识别GRE隧道的扩展信息。STT：STT是无状态传输协议，通过将以太网报文封装成TCP报文进行隧道传输，隔离标识采用64比特来表示。与VXLAN和NVGRE的主要区别是在隧道封装格式使用了无状态TCP，需要对传统TCP协议进行修改以适应NVGRE的传输。在实现Overlay架构的三大技术中，其中尤以VXLAN技术为最佳：位置无关性：业务可在任意位置灵活部署，缓解了服务器虚拟化后相关的网络扩展问题可扩展性：在传统网络架构上规划新的Overlay网络，部署方便，同时避免了大二层的广播风暴，可扩展性极强部署简单：由高可靠SDNController完成控制面的配置和管理，避免了大规模的组播部署，同时集中部署模式可加速网络和安全基础架构的配置，提供了可靠性和极好的扩展性适合云业务：支持千万级别租户隔离，有力支持云业务的大规模部署技术优势：VXLAN利用了现有通用的UDP传输，成熟性极高。VXLAN具有以下技术优势：L2-4层链路HASH能力强，不需要对现有网络改造（GRE有不足，需要网络设备支持）对传输层无修改，使用标准的UDP传输流量（STT需要修改TCP）业界支持度最好，商用网络芯片大部分支持。VXLAN控制平面隧道的实现三种方式：VXLAN控制平面隧道的实现方式主要分为三种：通过数据平面自学习、通过控制协议学习（利用扩展路由协议IS-IS或BGP完成VXLAN控制平面的地址学习）和通过SDNController实现。这三种方式的主要特点如表1所示。表1VXLAN控制平面隧道的实现三种方式三种实现方式对比，在大规模的云计算虚拟化环境中，以Controller方式为最优。无需物理网络支持大量组播组标准协议，可扩展性极强部署简单，可通过Controller集中管理和控制设备校园核心层设计核心层由两台高性能核心交换机组成，主要承载数据的高速转发，对上可作为校园网出口的VXLAN网关边界，对下作为汇接各区域汇聚交换机的节点，两台交换机可通过H3CIRF技术实现虚拟化，逻辑形成一台设备简化管理并提升上行链路带宽。楼宇汇聚层设计楼宇汇聚节点主要作为接入交换机汇聚，下联接入层采用千兆光纤互联，上行链路通过10G互联，楼宇汇聚交换机同时作为网络的IP网关和VXLAN网关，通过SDN技术，实现汇聚交换机共同构建分布式网关，并启用ARP代答功能保证无环路二层。园区汇聚层支持VXLAN特性，完美支持SDN技术落地校园网。楼层接入层设计楼层接入交换机主要分为两类，一类连接各有线终端，采用全千兆交换机连接；另一类为POE千兆交换机，连接AP，实现有线网千兆到桌面，无线网实现千兆化。全网WAVE2无线覆盖随着互联网＋时代的到来，移动终端数据依然保持着爆发式增长的态势，在这种背景下，如何保证移动终端的接入体验和高带宽水平成为互联网＋健康发展的重要因素，所以在无线竞争式串行通信模式下，提高频谱资源利用率，增加单AP设备用户容量成为最有效的方法。由于MU-MIMO的特性，AP的接入用户数有了较大的提高，随着Wave2终端的普及，无线AP的有效并发用户数会超过200个，可有效的减少AP部署数量,提升用户体验。此次所采用的无线接入点具备进行统一整合规划管理，用户可通过无感知认证方式接入无线网，实现校园无线覆盖无死角和无缝漫游。本次网络规划对可靠性、稳定性及安全性都提出了更高的要求，无线网络设计充分考虑到先进性、成熟性、可靠性、安全性、扩展性；可控、可管、可运营。无线网络架构设计-本地转发AC/FitAP因具有管理、安全等方面的诸多优势，被公认为今后WLAN组网的趋势。目前，AC/FitAP架构已经被广泛应用。但是传统AC/FitAP架构所采用的集中式转发，要求用户的所有流量均通过AC进行处理，对AC性能要求比较高，同时也对AC和AP之间的网络带宽造成压力。尤其是在802.11acwave2技术逐渐成熟，无线接入点的处理能力越来越强的背景下，单一的集中式转发往往不能满足无线数据高速处理的要求。为了适应无线网络高带宽化的发展趋势，本次无线网络采用以AC/FitAP架构为基础，实现无线数据在AP本地的转发，突破了传统集中式转发的性能瓶颈。本地转发技术优势本地转发技术，控制流和数据流采用了不同的处理方式，用户和AP的管理由AC处理，而用户的数据转发则直接由AP处理。该技术有效的缓解了AC/FitAP组网方式下AC和CAPWAP隧道的压力，并减小了数据的传输延迟。同时，相对与FATAP架构，以AC/FitAP架构为基础的本地转发模型，保持了AC/FitAP架构在安全、管理等方面的优势。统一管理：通过统一的CampusDirector实现有线无线统一管理。一套管理系统，统一的有线无线拓扑展示，有线无线用户统一认证，统一的基于5W1H划分用户组。统一转发：AC仅负责控制和管理下辖的大量AP，AP的数据流量转发不再上AC，而是本地转发。这样带来两个好处：1）由于AC不再负责数据转发，性能瓶颈完全消除，完全顺应将来高速无线的趋势，而且AC成本可以大幅降低。甚至将来AC完全可以做成软件集成到CampusDirector中作为一个功能管控模块。2）从AP转发出来的报文不再封装Capwap，而是802.3格式的Ethernet报文，L3网关也都设置在交换机上。这样消除了Capwap的加减封装的处理消耗，效率更高。AP发送出来的无线流量和从交换机/PC发送出来的有线流量一模一样，有线/无线流量完全混跑在一起，其他设备无法区分也不需要区分。统一策略：由于无线的数据转发完全从AC卸载到交换机上，之前我们策略随行矩阵定义的业务策略完全适用于有线和无线流量，也不需要单独给无线再定义组间访问策略。此外，在AP本地转发模式下，依赖有线的无状态网络，解决跨三层漫游的问题，无线终端依旧可以跨整个园区漫游，而且不需要在AC侧做复杂的处理，这是传统组网方式所不具备的。Director功能实现整网的核心是园区网控制器组件：CampusDirector。所有对网络的自动化上线，接入管理，用户组/策略管理，业务配置管理，网络运维管理全部在CampusDirector上通过直观的图形化界面完成。CampusDirector将管理员的操作在后台转化为网络设备的具体命令进行下发给设备执行。功能如下：CampusDirector界面用户认证管理通过Director用户认证模块实现用户终端入网即认证，根据用户身份可分配用户的IP，VLAN，访问权限等网络属性信息，且该信息可设置严格与此用户终端绑定，单用户也可绑定多终端多网络属性，网络属性可随着用户的移动而动态跟随下发，最终达到“IP即用户”和“网段即业务”的效果，真正解放网络与位置的强相关的问题，实现网随人动。同时，H3CSDN控制器Director还可与学校现有AAA认证系统进行完美联动，实现用户上线同步，在用户上网准出环节无感知。网络虚拟化管理运维人员可再此物理网络架构基础上任意定义虚拟专网，且维护非常简单，通过SDN+VXLAN技术实现虚拟网络的划分，根据不同业务划分多个不同的虚拟专网，通过H3CDirector可实现对物理三层网络和虚拟层网络的简易维护与管理。自动化配置管理采用SDN架构，网络具有较强的灵活性，故网络属性随需而定，所有的网络设备基于不同的角色配置可统一，基于访问关系矩阵的安全组功能可实现轻松定义用户ACL，H3CDirector将网络设备配置命令转化成唯美的UI展现给用户，实现“自动上线，一键启动”的特点，从此网络运维人员可告别命令行配置。方案特点及优势最先进性采用SDN+VXLAN技术结合功能强大的Director控制器实现对校园网基础运维，自动化部署，用户管理，业务开展等多种功能。架构区别于传统交换机三层架构和集中式扁平化架构，基于SDN的分布式网关功能既解决了三层架构的复杂运维问题，又规避了集中式扁平化带来的流量模型单一、风险偏集中的问题。分布式扁平化具有健壮架构、风险分散、虚拟二层的多样优势，满足未来6-8年的架构先进性。扩展性强新架构依托交换架构，可通过扩展交换机的方式，横向扩展设备即可，由于采用分布式网关设计，故无需考虑核心设备的性能和表项瓶颈，理论上可以无限扩展，满足多校区二层互通，网随人动的功能需求，是目前扩展性最强的校园网架构。极易维护新架构能够有效减少运维工作的技术原理：架构带来的配置简化：通过ADCampus架构，可使架构每一层次的基础配置高度统一，减少配置差异化，实际配置从每一台为单位变成了每一层次为单位，配置工作量实际可减少95%以上；创新可视化的安全组：传统访问控制通过ACL列表实现，久而久之该列表将会变得冗长且难以找寻和维护，影响设备实际性能，从而带来运维复杂，全新方案通过H3CDirector控制器向用户展现一张二维互访关系矩阵，可通过交叉点设置“允许”或“拒绝”的访问关系，使访问关系一目了然且易于维护，设置成功后保存下发即可。自动化部署：H3CDirector通过SNMP、NetConf及SDN技术实现设备配置的自动转换与自动下发，设备接入后自动上线，无需人工干预，实现了真正意义上的自动化部署，网络启动时间从原来的数周缩短至几天。柔性灵动校园网柔性一方面指网络架构本身非常灵活，业务部署（应用/终端）可以做到与位置无关；另一方面指彻底改变传统网络通道就绪，终端和人根据位置匹配通道的模式，将人和应用作为中心，所有网络的资源跟随人和应用移动，柔性具体涵义包括如下几个亮点：无状态网络传统网络存在的问题：传统网络划分L3网段时往往与位置紧密关联。学校要根据不同的办公室，不同的楼层/楼栋划分不同L3网段，这种模式下要想实现用户移动（比如教职工出差、工位搬迁）非常困难。因为用户移动往往要跨越不同L3网段，IP地址必须进行更换，往往会丧失原先的权限，给工作带来麻烦。无状态网络的核心是位址分离；传统的网络，IP地址即是终端的标识，同时也是终端位置的标识，因为IP确定意味做它必须位于某个三层网关的所在的位置。本方案中“位址分离”位指位置，址指IP地址，位址分离就是IP地址与位置解耦，让IP地址可以在任意位置接入，无需改变网络的配置。位址分离用户策略随行策略随行：指用户移动到哪里，用户的体验不变；一般上要实现策略随行，都需要对用户进行分组，传统的分组方式与地理位置紧耦合，同一个用户组位于一个办公区，一个楼层或者一个大楼之内，很难跨越地理的局限。这样用户一旦移动起来，策略实施就非常复杂，想达到策略跟随或者体验一致也非常困难。新一代扁平化方案策略随行的核心就是“名址绑定”，名址绑定就是用户和IP地址一一对应；传统网络用户名和IP地址是难以做到绑定的，一方面DHCP的方式并不能保证单用户每次获取相同的IP，静态地址分配的方式又不能保障用户在移动过程中保持相同IP能够在不同的位置进行正常的网络连接；方案中无状态网络本身提供了IP任意位置访问的能力，再配合名址绑定实现用户位置发生了变化，IP地址段也没有变，甚至IP地址没有变，针对IP的策略也没有变，而这种针对IP的策略其实就是针对用户的策略，最终实现了用户的策略随行。除了用户和IP绑定，在某些场合可能不需要做非常强的捆绑，本方案可以提供业务和IP网段的绑定，或者用户组和IP网段的绑定，比如：视频监控终端尽管分布在全网任意位置，但可以将其IP全部分配在某一个网段之内；又比如财务的人员可能也分布在网络不同的位置，我们也可以将其分配在同一个网段内；最终实现通过IP段标识用户组或业务组。网随人动传统校园网络首先是通道就绪，终端根据最初的规划，接入到相关接入交换机的端口，从而实现VLAN等权限和终端的匹配，一方面不能够解决用户和终端任意位置接入权限分配的问题，另外终端接入位置也受限制。新一代扁平化方案将人和应用作为核心，所有网络的资源跟随人和应用移动，用户在哪里接入、资源就下发到哪里，真正体现柔性网络的网随人动的特点。无差别网络多校区无差别：新一代扁平化方案实现无状态网络、用户策略随行、网随人动不仅仅可以在单一校区实现，还可以跨校区之间实现，满足业务、用户在更大范围内移动、搬迁，符合现代办公常见的多校区架构。有线无线深度统一传统有线/无线网络存在的问题：管理不统一。有线无线网络各自建设，各自管理，人员分散。转发不统一。无线的主流转发是采用AC集中式转发的方式，流量绕行不是最佳路径，而且AC集中式转发，AC压力大，容易成为瓶颈，尤其现在以802.11AC为代表的新一代高速率无线技术发展的趋势下，无线带宽的需求越来越高；而且AP到AC要加Capwap封装，AC要先解Capwap封装再根据内层数据进行转发，进一步消耗了AC的转发性能。而有线采用的是交换机转发，有线无线流量路径不统一。策略控制不统一。无线的策略控制点在AC上，有线的策略控制点在交换机上，两者策略不能统一，造成管理复杂。有线无线融合这块很多厂商都在努力改进，由于采用了传统的网络架构，都存在这样那样的问题，比如跨L3网段漫游要不支持不了，要不需要在AC之间打隧道进行迂回且对AC之间的互联链路带宽要求高带来成本增加；但无论怎样主要采用集中式的AC转发，依旧存在流量绕行，AC性能瓶颈等问题。本方案的有线无线深度融合网络采用如下方式极大解放了AC和AP，面向未来的高速无线时代。统一管理：通过统一的CampusDirector实现有线无线统一管理。一套管理系统，统一的有线无线拓扑展示，有线无线用户统一认证，统一的基于5W1H划分用户组。统一转发：AC仅负责控制和管理下辖的大量AP，AP的数据流量转发不再上AC，而是本地转发。这样带来两个好处：1）由于AC不再负责数据转发，性能瓶颈完全消除，完全顺应将来高速无线的趋势，而且AC成本可以大幅降低。甚至将来AC完全可以做成软件集成到CampusDirector中作为一个功能管控模块。2）从AP转发出来的报文不再封装Capwap，而是802.3格式的Ethernet报文，L3网关也都设置在交换机上。这样消除了Capwap的加减封装的处理消耗，效率更高。AP发送出来的无线流量和从交换机/PC发送出来的有线流量一模一样，有线/无线流量完全混跑在一起，其他设备无法区分也不需要区分。统一策略：由于无线的数据转发完全从AC卸载到交换机上，之前我们策略随行矩阵定义的业务策略完全适用于有线和无线流量，也不需要单独给无线再定义组间访问策略。此外，在AP本地转发模式下，依赖有线的无状态网络，解决跨三层漫游的问题，无线终端依旧可以跨整个园区漫游，而且不需要在AC侧做复杂的处理，这是传统组网方式所不具备的。网络虚拟通道隔离整网采用overlay的技术，天然具备跨广域网的通道隔离能力，相比MPLS的隔离方式，VXLAN的隔离只需要在端点（VTEP）做隔离，不需要全网隔离，端点之间只需要IP互通既可。一方面让整个运维节点大幅减少，另一方面端点之间支持多运营商连接，负载均衡可以直接通过ECMP来实现，让整个组网清晰、运维更简单。在隔离方式上，本方案提供两种隔离方式，一是类似MPLS的VRF隔离，每个用户组在VTEP节点分配不同的VRF，VRF之间在路由层面实现隔离，每个用户在VRF内通过VLAN映射成不同的VXLAN，最终实现在通道内通过VXLAN数据传输，实现隔离。二是ACL的隔离方式，因为每个用户组在IP分配的时候已经分配在不同的网段，因此不同用户组在接入之后获取的是不同网段的IP，ACL隔离相对比较简单，一条ACL就可以实现不同用户组之间的网络隔离。软件定义校园网软件定义：主要是通过SDN的思想，将网络控制平台集中，实现网络运维极简，真正将网管人员从低价值劳动中解放出来，具体有一下几个亮点：业务按需交付业务指4-7层服务，如防火墙，IPS，ACG等，传统网络中部署4-7层服务存在哪些问题呢？用一句话总结，就是4-7层服务节点不能和位置解耦，这些节点成为网络拓扑的一个网元，和基本网络部分紧耦合，服务节点的增删改都会导致网络拓扑发生较大的变化，需要不停地调整网络的配置以适应，导致维护非常困难。比如下图中传统的两种服务节点部署方式，一种是inline方式，一种是旁挂方式。Inline方式的问题在于串接在整个转发路径上，其中任何一个节点都容易成为性能瓶颈，而且对于不想过服务节点的流量无法绕开，造成带宽的浪费，让本就捉襟见肘的性能更雪上加霜；旁挂方式的问题在于要逐跳配置复杂的策略路由，一旦网络节点增删改，或者进行服务节点的替换，就需要调整很多策略路由的配置，而且理解困难，又复杂又容易出错。本套方案引入了SDN服务链功能，把园区传统的通过策略路由方式的复杂引流策略转换为一种简单的按需使用，自由编排的引流方式来快速实现。这种实现方式可以为用户提供灵活的、可编程的、弹性的软硬件一体化解决方案。这种方案的优势是：可以根据用户的需求，提供定制化或个性化的软硬一体化基础设施服务，可以支持如NFV等新技术，也可以兼容传统安全，是真正为用户提供兼具可靠性、高性能以及可编程的稳健解决方案。此外在园区控制器CampusDirector上直观的图形化拖拽方式，使得用户可以从业务视角出发进行服务编排。定义一条流的起点和终点，中间直观地拖拽插入需要经过的4-7层组件，然后一键下发，CampusDirector将把这个图形化界面翻译成网络语言配置到网络设备上，真正实现随心所欲地部署。设备自动部署设备开箱，上电后自动加载版本，加载配置，网管人员零干预启动。自动部署的核心是因为新一套方案的网络将整网的接入设备配置完全整合变成一份完全相同的配置文件，同时汇聚层设备也进行整合，变成一份相同的配置。这大大简化预配置文件编写的复杂度，使得各层次设备配置模板化，自动部署的成本很难度大大降低，同时也避免了人为误操作的风险，使得自动部署从理论变成现实。园区一键启动通过控制器上的图形化的界面来完成用户、用户组相关的网络资源的定义；以及园区用户组之间的网络权限的定义。其中对于用户的定义不仅仅包括传统意义上的用户，还包括物联网终端的定义。用户组及相关网络资源定义开放网络传统的园区网基本是封闭和僵化的系统，如果用户想做定制化开发，需要提需求给网络厂家，网络厂家进行需求分析，设计，开发，交付，然后用户再上线验证，加上中间沟通的时间，周期非常长，对于某些市场竞争来说，这样长的周期等应用开发出来，市场机会也基本丧失。新一代扁平化除了基础网络架构之外，还基于SDN的理念，提供集中控制的controller，以及软件定义能力，通过controller上层接口开放，允许第三方进行增值开发，可以满足用户个性化、定制化、可编程的需求，为用户提供量身打造的专业和精准的高品质服务。IPv6校园网建设采用逐步过渡的策略部署IPv6网络。首先完成IPv6网络接入到教育CNGI网络的目的，其次根据现有学校驻地网内的实际情况，应用双栈技术和各种过渡技术，在不影响现有IPv4园区网主体拓扑结构的条件下，使得驻地网中需要部署IPv6网络的地方能够通过各种隧道技术，随时方便地接入CNGI骨干网。无线网建设无线覆盖设计随着移动设备的广泛普及，无线Wi-Fi网络日渐成为目前主流网络接入手段，越来越多关键业务在无线网络上运行，比如网络课堂、无线选课系统等等与教学强相关的业务。加之近年来物联网的普及，各种移动应用爆炸式增长，超大规客户端数量，并发连接数，对无线网络都提出了更高的要求。WLAN网络已从片面追求连接和覆盖演进到以高容量接入、应用驱动网络为目标进行部署。尽可能多的允许无线客户端接入并保证其关键业务应用的体验。无线覆盖、带宽设计原则如何交付一张真正可用的WLAN网络，从规划设计、部署应用、网络优化、到最后的管理运