山西中北大学投资万兆校园网可行性分析报告.doc

《山西中北大学投资万兆校园网可行性分析报告.doc》由会员分享，可在线阅读，更多相关《山西中北大学投资万兆校园网可行性分析报告.doc（50页珍藏版）》请在咨信网上搜索。

1、2014年中北大学建设万兆校园网项目 山西信息规划设计院有限公司山西联通固定资产投资项目项目建议书项目名称：2014年中北大学建设万兆校园网项目申请单位：太原联通分公司申请时间：2014年12月目 录一、项目概述iii二、建设目标与任务v1、建设目标v2、建设原则ix三、网络现状及需求分析x1、网络现状x2、需求分析xiv四、项目建设方案xvi1、校园网基础结构改造设计方案xvi1.1 总体网络改造架构xvi1.2校园网基础区域网络规划xx1.3校园出口规划xxvii1.4数据中心网络规划xxvii2、校园网络运营平台技术方案xxix2.1有线网络运营平台技术方案xxix2.2无线网络运营平台

2、技术方案xxx2.3教学办公区域网络设计xxxi3、校园网网络改造技术方案xxxiii3.1WLAN部署规划xxxiii3.2VLAN规划xxxv3.3IP地址规划xxxix3.4路由规划xli3.5边界防御策略规划xli五、建设规模xli六、项目总投资及投资构成xlii1、项目总投资xlii2、投资构成xlii2.1网络及平台部分投资xlii2.2传送网部分投资xlvi2.3无线部分投资xlix七、收入及效益指标xlix1、收入测算xlix2014年中北大学建设万兆校园网项目 山西信息规划设计院有限公司一、 项目概述项目名称：2014年中北大学建设万兆校园网项目中北大学是一所由山西省人民政府

3、与国家国防科技工业局共建、山西省人民政府管理的多科性教学研究型大学。学校的前身是1941年八路军总司令部在太行抗日根据地创办的我党我军第一所兵工学校太行工业学校，历经太原机械学院、华北工学院，2004年6月经教育部批准更名为中北大学。 对于网络的建设，早在中北大学校园网建设始建于1994年，1998年接入教育网，并于2002年进行了二期建设，实现了“千兆主干、百兆桌面”的网络基本布局。但是校园网络至今已经使用了超过十年了，已经无法满足不断发展的校园信息化的需求，亟需进行网络升级改造。项目背景概述:中北大学的校园信息化网络建设至今，已经使用了超过十年，而近段时间以来，信息化技术、互联网技术发展迅

4、速，对于高校校园中的用户包括教学、娱乐、生活、交际都带来极大的变化，而且在可以预见的未来一段时间，这种激烈的改革性变化还将持续。为了更好服务于中北大学师生，“十二五”期间，中北大学信息化建设总体发展目标主要是做好以下几方面的工作：数字化校园建设的中长期目标如下图所示的数字校园的体系结构图，在这里，内圆是核心、是基础，外圆是在内圆的基础上提供的更进一步的服务。 从上图可以看出，数字校园可以分为五个层次：（1）“网络基础层”：网络是数字校园的基础设施，没有相应的网络基础设施，数字不能流动，就不可能形成数字的空间；（2）“网络基本服务层”：网络基本服务是数字流动的软件基础，包括域名服务、身份认证、目

5、录服务、网络安全、以及公共服务（如电子邮件、文件传输、Web发布）等；（3）“应用支撑层”：它主要处理业务逻辑，将各类数据按照业务的逻辑规范管理、组织起来，包括办公自动化系统、数字图书馆、管理信息系统和网络教学系统等，它们是数字校园的核心支持系统；（4）“信息服务层”：它主要处理用户逻辑，将规范化的数据按照用户的需要提取出来提供给用户，为用户提供服务，如后勤服务、信息查询、决策支持等；（5）“个性化门户（虚拟大学）”：它是数字校园的总入口，各类用户通过门户进入数字校园，可以获得与其身份相对应的信息与服务。为了满足上层的应用和服务的需求，“网络基础”部分的设计必须达到以下目标： 高性能校园内用户

6、数量多，并且教学信息化的发展需要更高性能的网络承载能力，校园骨干线路能力需要达到10G以上。 高稳定性校园网络承载业务关系着校内大量用户的工作、学习和生活，因此必须具备高稳定性，并且出现意外故障时候也能使用备用方案，保证业务的不中断运行。 灵活业务支撑能力校园网内具有多种业务，为了让业务间各自独立运行，相互不干扰，保证各个业务内的数据信息的安全性，网络必须可以采用各种灵活的虚拟化，让各个业务实现逻辑隔离，并且应用QoS策略，让业务实现质量管理。 可维护性校园网络涉及到多个不同的设备，并且数量众多，而学校信息中心维护团队人力极其有限，因此新升级后的校园网络应该具有较高的维护管理性，包括采用集中管

7、控的方式，策略自动下发，网管集中展现等模型，简化网络运维工作量。 平滑演进能力校园网应该具有较高的平滑演进能力，能长期支撑业务发展变化的需要，网络的能力设计应该能够匹配未来十年的业务发展趋势。二、 建设目标与任务1、建设目标 校园网为学校师生提供快捷高效的教学、科研和综合信息服务。校园网既需要承载科研信息共享、多媒体教学、电子阅览、教学资料存储等教学相关的网络业务，也要承载行政和总务管理、教师办公、高校论坛等其他网络业务，因此对网络的性能、服务质量等要求极高。随着高校信息化的发展，网络中所承载内容的变化，以及接入终端的多样化，校园网的建设也面临着越来越多的新挑战。在设计中北大学新型大学校园网络

8、时，需要注意以下问题： 网络平台结构问题中北大学需要建设一个可以提供多个运营商共同运营的网络平台，以网络技术为依托建设一个公平竞争的网络服务平台，为校园师生提供不断优化的服务。计费要求灵活校园网中有学生、教师等多种不同角色，针对不同角色计费方法不同；基于学生和老师的作息时间，针对不同时间计费也会有所差别；用户访问校园内网资源、Internet资源和教育网资源时，也会涉及到不同的计费方法。其中需要实现的是：1)校内资源免费访问，包括校内提供的各类学习资源，教务系统等；2)学校的教师办公区域上网不计费；3)有线和无线的网络各个运营商账号相互之间不干扰；4)各个运营商可以根据自己的业务需求制定灵活的

9、收费策略； 网络稳定性问题校园网目前大多是传统的三层架构，结构相对复杂。网络容易生成环路，引起广播风暴；当产生ARP等网络攻击时，影响范围过大。传统校园网的接入层为百兆带宽，已经不能满足现有网络应用的高速传输需求。 网络管理问题接入场景复杂校园网有大量的固定资产（例如打印机、摄像头、IP电话等）需要接入网络，这些终端设备都需要稳定运行；学生宿舍、教师公寓等地点又会有大量PC接入网络；校园中访客众多，公共场所总会有访客频繁接入网络；由于学生和教师乐于尝试新技术，校园又是无线终端非常密集的场所。办公网络效率问题校园网中有大量的P2P及其他下载流量占用带宽，导致重要网络应用质量不高；有多个网络出口时

10、，经常会出现一个出口已经非常拥塞，另一出口占用率却很低的现象；特别针对教师办公区域，需要针对网络加强管理，提升网络使用效率。网络行为管理应教育部和公安部的相关要求，并本着对学生负责的理念，校园网需要提供网络行为管理的工具，对学生进行实名认证，对学生的上网行为进行约束，并对上网的行为能够监控记录，必要时进行回溯。IP地址分配问题校园网的办公网络目前使用效率很低的静态IP地址分配，对账号没有实现实名里，对接入用户缺乏有效的探测机制，地址回收效率也不高，需要建设实名认证，并根据账号动态分配地址，并加以管理的机制。 网络安全问题校园网的用户具有极强的网络技术以及好奇心，会不断尝试攻击校园网络；同时校园

11、网应用繁多，结构复杂，是网络攻击、网络病毒滋生扩散的温床。 IPv6的过渡问题校园网往往走在网络技术的最前线，作为网络技术发展的必然趋势，校园网更需要提前考虑IPV6的良好过渡。华为智慧校园网解决方案针对校园网面临的新挑战，华为提出了融合校园网解决方案来支持校园网的高速发展。华为校园网络解决方案有以下特点：万兆融合网络解决方案扁平化的大二层网络华为的校园网解决方案中，用户都接入BRAS，采用扁平化的大二层网络，简化了网络结构，降低了网络的运维难度。同时采用堆叠、VLAN等技术，既增强了网络的可靠性，又成功消除了网络环路。万兆无阻塞架构华为的校园网解决方案中，使用千兆接入、万兆汇聚的方案，来支撑

12、校园网流量的爆炸式增长，满足未来校园网虚拟化和云计算的带宽需求。无阻塞的网络架构保证校园网的业务质量。华为通过先进的汇聚和核心层的架构，支持平滑升级，满足校园网未来5-10年持续发展需求；丰富的板卡覆盖多种场景，满足校园网未来业务扩展需求；同时通过多重冗余备份，保证校园网关键业务持续在线，实现99.999%可靠性设计。有线无线一体化运营华为设计的解决方案中，可最大限度重用用户已有的有线网络，将无线网络融入其中。运维管理非常方便，并且支持统一认证，全校园网漫游，同时可靠性极高，给用户最好的上网体验。多种接入技术无论是有线终端还是无线终端，华为都提供了形式多样的接入认证技术。比如广泛适用于校园网的

13、Portal认证，在学生宿舍区非常实用的PPPoE认证，适用于哑终端的MAC认证，以及802.1x认证。华为的认证方案可适用于各种场景各种用户，为网络的智慧运营打下坚实基础。使用BRAS设备接入用户，可实时探测用户状态，及时回收分配的IP地址资源，避免大量浪费IP地址。运营范围全覆盖无论是本校区用户，还是分校用户和远程接入的用户，华为都提供了各种融合接入的方案，稳定高效的访问远程资源和校园网的资源。认证计费解决方案华为使用ME60作为用户网关，实现了强大灵活的认证计费功能。兼容现网的众多业务和流量模型的管理。满足网络PPPoE、Portal等多种接入认证的功能。认证通过后，满足对不同用户分配不

14、同访问权限的功能。满足现网有线无线统一化认证与计费的要求，满足基于时间、基于区域、基于用户、基于访问目的地址等多种精细化计费要求。安全管控解决方案华为可提供安全管控的全系列产品，实现对网络和服务器资源的全面防护。优化运维解决方案华为提供针对链路和服务器的负载均衡方案，可优化用户的访问速率，进一步提升用户体验。使用eSight网管，可实现对校园网整网的拓扑管理、网络资源管理、性能管理、故障管理和配置管理。eSight提供强大的报表功能，为判断运维趋势、发现潜在问题提供了强有力的支持。 IPv6平滑演进方案华为全系列IPv6产品均为自主核心技术，提供双栈过渡技术、隧道互联技术和地址转换技术保证IP

15、v4到IPv6的平滑过渡。2、建设原则校园网是校园的教学信息共享平台，应本着以下原则进行建设： l超前性与实用性结合网络技术发展迅猛，如果设备缺乏先进性，设备可能很快落后甚至被淘汰，但也不能过分超前，以避免造成投资的浪费。为此，在网络建设中，需注意超前性与实用性结合，确保投资有效，使之能真正发挥出相应的作用。 l安全性与可靠性在校园网建设中，安全性是整个网络建设中的重中之重，要通过各种技术确保系统应用的安全性以及内容的安全性。同时，要求系统本身具有高度的可靠性，这样才能保证网络客户的应用 l可管理性网络管理是一个长期的投资，在网络建设中对网络可管理是一项重要的应用原则，通过选择全网的可管理性软

16、件，减少日常维护费用。 l可扩展性校园网络不但需要能够满足当前需要，随着后续教学方式的改变、技术的发展，未来网络需要承载更多的业务及提供更多的优质服务。所以，网络的可扩展性是网络建设中必须提前规划的重点。三、 网络现状及需求分析1、网络现状中北大学校园网建设始建于1994年，1998年接入教育网，并于2002年进行了二期建设，实现了“千兆主干、百兆桌面”的网络基本布局。十多年时间过去了，校园网发生了很大变化。目前，全校信息点达到25000多个，办公区联网计算机6000多台，学生区联网计算机20000多台，光纤长度10.247千米。校园网有教育网、中国联通、中国移动三个互联网出口，带宽共计350

17、Mbps。校园网连接到了全校所有教学、科研、管理部门、学生宿舍楼和教职工住宅，遍及学校各个地方。 中北大学网络现状校园网络主要覆盖三个区域：办公区、家属区和学生宿舍区。学生宿舍区楼宇基本都已进行综合布线。家属区中，西苑小区、新南区的所有楼宇都已进行综合布线，84小区、南苑小区、旧成教楼没有进行综合布线。单身教工宿舍有综合布线，但没有网络设备，也无法通过校园网访问因特网。办公区各楼均能上网，但基础线路情况各不相同。除教学主楼（11号楼）、实验大楼（9号教学楼）、无损楼，重点实验室、笃学楼、产业楼、8号教学楼、10号教学楼、图书馆、体馆西看台、工程训练中心进行了综合布线外，1号教学楼、工字楼（2号

18、教楼）、3号教学楼、4号教学楼、制图楼（5号教学楼）、德怀楼（7号教学楼）、校医院、老干部处、小白楼、科艺苑、4院办公楼、4院实验楼、后勤办公楼、旧图书馆、艺术系办公楼、软件学院、保卫处、幼儿园都没有进行综合布线，新添上网设备都需要重新布设网线才能联网，网络布局比较混乱。 办工区、教学区各楼宇联网情况楼宇名称是否综合布线是否光纤直联各楼层是否有交换机主干带宽信息点数教学主楼（11号楼）是是是1000M 1026实验大楼（9号教学楼）是是是1000M 480无损楼是是是100M 254重点实验室是是是1000M 128笃学楼是是是1000M 120产业楼是是是1000M 968号教学楼是否否10

19、0M 610号教学楼是是否1000M 24图书馆是是是1000M 582体馆西看台是否否100M 60工程训练中心是是否100M 961号教学楼否否否00工字楼（2号教楼）否否否100M 243号教学楼否否否004号教学楼否是否1000M 24制图楼（5号教学楼）否否否100M 28德怀楼（7号教学楼）否是否1000M 24校医园否是否100M 24老干部处否否否100M 12小白楼否否否100M 24科艺苑否是否1000M 244院办公楼否否否100M 244院实验楼否否否100M 24后勤办公楼否否否00旧图书馆否是否1000M 6艺术楼办公楼否否否100M 24保卫处否否否100M 24

20、幼儿园否否否100M 4办公区合计3162 中北大学网络安全现状校园网目前的安全措施比较薄弱，仅有一台天融信防火墙，能对服务器起到基本的防护作用，但对于各部门网站的防护、各应用系统数据库的防护、校园网内网的防护，功能很弱。校园网没有统一的病毒防护体系，用户经常出现由于中毒而不能正常使用计算机和网络的情况。 校园网中心机房现状校园网中心机房位于9号教学楼4层，机房面积约80平方米。校园网中心机房的核心交换机为CISCO7609（即将更新为锐捷的8610交换机），二级节点交换机主要采用CISCO3550-24和港湾交换机。二级节点交换机以1000兆速率连接到核心交换机，整个网络共划分VLAN87个

21、，由天融信防火墙将整个网络划分为三个区域，内网区域（包括办公区、联通管辖的区域学生公寓和教职工住宅）、外网区域和DMZ区域。用户访问教育网走教育网出口，用户访问教育网以外的资源自动路由到联通或移动出口。校园网中心机房内共有服务器35台，分别是WEB服务器3台；个人WEB服务器2台；DNS服务器2台；FTP服务器1台；邮件服务器2台（教职工和学生各1台，保证了全校每个教职工和学生都有1个邮箱，共有5万用户）；邮件网关1台；课件服务器2台；VOD服务器1台；新闻服务器1台；BBS服务器1台；网管服务器1台；ACM比赛服务器1台；综合教务管理系统服务器2台；电子校务服务器2台；干部学习服务器1台；科

22、技处服务器1台；防火墙日志服务器1台；代理服务器（仅代理联合网络通信有限公司管辖区域访问图书馆外部资源）1台；后勤办公信息化管理服务器2台；体育选课系统服务器1台；防毒服务器1台；本科生就业管理系统1台；视频监控服务器1台；GOOGLE搜索服务器1台；Blackboard课件服务器1台；学生资助管理服务器1台。这些服务器承担着中北大学绝大部分的教学、科研和管理任务。其中一半以上的服务器均为2002年左右购买，目前设备老化，已经不能满足校园网发展需要。为了校园网和网站服务器系统的安全，中北大学于2004年购买了3000用户的趋势防毒墙网络版杀毒软件来保护服务器和校园网用户，2005年购买了天融信

23、千兆多端口防火墙来保护整个校园网。为了阻止涉密信息的泄漏，2004年购买了美讯智安全邮件网关，现已更新为硕奇邮件网关。中北大学校园其中办公区域的网络拓扑图为：网络说明：现有网络为多级结构，包含核心、汇聚、接入层。网络服务器群通过防火墙实现网络隔离，对校内网用户提供 包括WEB、FTP、邮件、DNS、VOD、办公等服务。安全设备部署方面：校内出口处部署防病毒木马防火墙；在网络出口主干道上部署流量控制设备。学校和多家线路运营商有合作，对外出口部署了包括移动、联通、电信、Cernet等出口线路，并且起用了IPv6资源线路。另外宿舍区和教师家属区由于之前和联通签订的合同，外包给联通进行建设和维护。到了

24、现在已经过了十年的合同签订期，设备老化严重，功能缺失，并且无法实现WLAN的覆盖。2、需求分析中北大学现有网络建设于2006年，经过这几年网络信息的高速发展，相对应的网络结构设计有需要升级和改造的地方，以满足不断发展的教育网络应用需求，以便更好服务于学校师生和公共用户。对于中北大学现有网络，主要有以下几个方面需要进行重点改造： 网络承载速率：现有网络主要为100Mbps/1000Mbps承载，对于园区拥有5万以上的上网师生用户来说，承载能力严重不足，并且随着教育信息化的不断发展，各种教学应用的使用，网络教学的方式变化，对网络的速率承载能力必定会提出更高的要求，因此现有网络急需进行速率升级。学校

25、网络建设定型之后，改动升级工作就会带来很大的工作量，并且影响较大，因此进行升级改造工作一定要能服务于未来5年甚至10年的学校教学业务所需。鉴于现在网络应用发展迅速，教育信息化的发展趋势有云化、视频化、远程化等，各种教学 应用都对网络速率有较高要求，因此建议学校网络核心建设为10G以上核心。在接入网方面，现在千兆到桌面与百兆到桌面的方案应用在成本上已经相差不大，为了更好满足未来学校教育的发展，建议可以建设到千兆到桌面的速率能力。 网络认证管理：现网中缺乏精细化的网络认证管理系统。对于办公区域上网还采用比较原始的人工申请，静态IP地址分配，没有账号认证过程。账号的认证是网络管理和网络效率优化提升的

26、前提，做好了认证管理，那么再进行的包括流量管理、权限管理、网络质量分析、网络行为分析、服务资源管理、计费管理等等细化管理才能有效进行。各项的针对学校网络的细化管理，各种网络服务优化，都是以做好网络认证管理为前提的。因此建议学校建设可精细化的，统一的网络用户认证管理系统。 网络结构改进；现在中北大学网络缺乏集中的上层汇聚点，各个接入单位直接汇总到核心层，带来的是核心层的端口压力，并且由于中北大学校园面积大，缺乏必要的汇聚点一方面是带来线路的额外投资，另外是带来网络传输交换效率的下降。因此校园网络改造必须增加合理的校园区域上层汇聚节点。另外网络的出口结构上，外部采用多线路出口，但是内部主干道为单一

27、线路，如果出现故障点，将直接影响整个网络的用户。在现有网络结构中，如果主干道网络设备出现问题，不单无法访问外部网络，连内网服务器组也可能有访问问题，将直接影响了日常办公的稳定性。因此建议对内网网络结构进行改造。为了实现更好的整网精细化管理的同时，降低网络维护工作量，建议使用整网使用扁平化结构，网络主干道采用冗余节点部署，以增强网络的健壮性。 网络无线建设：现在智能终端的应用是发展的必然趋势，现在子啊日常的上网活动中各种用户已经广泛采用智能终端上网，可以预见的是，未来教学活动中也会不断采用智能终端进行辅助，因此现在校园网络中，无线覆盖是必然的建设需求。为了让内网用户拥有更好的上网体验，同时也是为

28、了更好地进行整网的统一管理，建议在建设无线规划时，实现有线无线一体化设计。 网络安全改进目前校园中中缺乏网络安全保护能力，无法应对越来越复杂的互联网威胁。并且针对互联网缺乏行为管控设备，无法针对网络内容实现有效规范。并且随着数字化校园规划中的各类校园教学应用的升级，建设的信息中心也需要加强应用层次的安全防御。四、 项目建设方案1、校园网基础结构改造设计方案1.1 总体网络改造架构校园网是一种用户高密度的网络，在有限的空间内聚集了大量的终端和用户。校园网注重的是网络的简单可靠、易部署、易维护。因此在校园网中，拓扑结构最好以星型结构为主。基于星型结构的校园网设计，遵循如下原则：层次化将校园网络划分

29、为BRAS、核心层、汇聚层、接入层。每层功能清晰，架构稳定，易于扩展和维护。模块化将校园网络中的每个区域或者每个功能区划分为一个模块，模块内部的调整涉及范围小，易于进行问题定位。冗余性关键设备采用双节点冗余设计；关键链路采用Trunk方式冗余备份或者负载分担；关键设备的电源、主控板等关键部件冗余备份。提高了整个网络的可靠性。安全性校园网络应具备有效的安全控制。接入网络的设备要进行统一认证，同时按接入用户身份、按权限进行分区逻辑隔离。对特别重要的业务采取物理隔离。对进出校园网的流量要进行识别、过滤，确保网络安全。可管理性和可维护性为了易于管理，可选择适用于全网的网管软件来管理网络。为了便于维护，

30、应尽可能选取集成度高、模块可通用的产品。 逻辑架构校园出口校园出口区域既负责对校园网用户的统一接入，也负责将内部的终端用户接入到公网、将外部用户接入到内网。出口除了要保证校园内外的数据传输，还需要保证边界安全。核心层核心层负责整个园区网的高速互联，一般不部署具体的业务。核心网络需要实现带宽的高利用率和网络故障的快速收敛。汇聚层汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。接入层负责将各种终端接入到校园网络，通常由以太网交换机组成。对于某些终端，可能还要增加特定的接入设备，例如无线接入的AP设备。终端应用层包含校园网内的各种终端设备，例如PC、笔记本电脑

31、、打印机、传真、手机、摄像头等等。数据中心部署服务器和应用系统的区域。为校园网内部和外部用户提供数据和应用服务。网络管理区联合BRAS对接入用户进行认证，对网络设备、服务器等进行管理的区域。包括告警管理、性能管理、故障管理、配置管理、安全管理等。 物理架构网络组网描述：网络出口：采用两台USG防火墙作为出口，承载多网络线路，启用USG上的链路均衡和智能选路功能，发挥多线路资源的优势，提升内网用户上网体验。网络核心：采用BRAS ME60对内网所有的用户实现统一的认证管理，BRAS采用双机热备模式部署（具体认证模式参照下文中的业务解决方案中的认证计费内容）；交换核心采用集群模式部署；整体网络核心

32、实现40G核心，满足未来10年校园教育信息化发展需要；数据中心：数据中心单独规划，为建设高效云教育数据中心预留规划，数据中心通过单独的防火墙接入核心层中，核心交换机可用虚拟化为数据中心接入提供单独接入区域；DMZ区：对外的公共服务单独设置，提升服务效率同时，也将增强网络的健壮性；网络管理区：部署包括整网管理相关系统，包括AAA、DHCP、Portal等，也包括整网的运维系统eSight；汇聚：汇聚采用万兆速率部署，在有条件的地方实现虚拟集群化模式；接入：接入速率下行实现千兆到桌面，并且为无线AP的接入提供POE接口，简化无线部署；无线：无线部署与有线是实现一体化。包括用户认证管理、整体网络运维

33、、硬件部署，让无线彻底融合入有线的整体框架设计中。网络改造价值：网络架构清晰，基础网络、数据中心网络、新校区网络均可独立维护。以核心节点为“根”的星型分层拓扑，架构稳定，易于扩展和维护。各部门和功能分区模块清晰，模块内部调整涉及范围小，易于进行问题定位。汇聚层和接入层冗余设计，关键链路均采用Trunk链路，保证网络的可靠性。支持各种终端接入，统一认证，一张IP网络承载所有业务。网络融化统一，包含网络有线无线、安全与通信的融合；支持分支接入、远程接入、外部用户访问等各种外联场景。1.2校园网基础区域网络规划校园基础区域网络是整个校园网络的枢纽，连接着校园网的各个区域。承担了内部数据流量和对外数据

34、流量，在逻辑上成为可靠性、安全设计的中心。1.1.1 网络汇聚点规划根据中北大学校园平面图，初步建议汇聚节点的设置如下：说明：网络核心：部署在信息中心机房，随着信息业务系统的升级，原有的机房空间可能不够，可以增加机房，但是在逻辑上是形成一个中心。一个网络信息中心的设计有利于发挥资源的整合优势，并且有利于统一管理和维护。由于教学区、办公区的流量内容和行为特征与学生宿舍区、教师家属区差异较大，因此建议汇聚节点分为两类。教学区和办公区汇聚： 此类网络流量压力较小，网络行为比较规范，因此建议按照区域建设四个汇聚节点。学生宿舍区和教师家属区汇聚：学生宿舍区是流量压力最大的区域，按照目前情况，建议每5栋学

35、生宿舍设定一个汇聚节点；教师家属区流量压力也是属于较大区域，建议每8栋宿舍设定一个汇聚节点。每个汇聚节点部署双设备冗余，通过10G链路与网络核心互联，再通过核心区域连通互联网。1.1.2 详细组网规划 校园基础网络整体规划校园基础网络区域建议采用BRAS、核心层、汇聚层和接入层的架构模型，具有如下的优势：逻辑二层设计基础网络部分逻辑上采用了扁平化的大二层结构，接入用户都在BRAS上接入，不需要维护复杂的网络架构与协议。层次化设计有BRAS、核心层、汇聚层、接入层，每层功能清晰，架构稳定，易于扩展和维护。模块化设计每一个模块为一个学院楼、教学楼或一个学生宿舍，模块内部调整涉及范围小，定位问题也容

36、易。冗余性设计双节点冗余性设计，适当的冗余性提高可靠性，过度的冗余不便于运行维护。对称性设计网络的对称性便于业务部署，拓扑直观，便于设计和分析。 BRAS设计规划BRAS负责对校园网用户的统一接入，并与认证服务器协同工作，对接入用户进行认证，可以很方便的对校园网的所有用户流量做统一管理监控。由于BRAS部署在核心层之上，汇总校园网全网用户流量，需要具有高带宽、高转发性能，无阻塞转发数据。同时BRAS需要有强大的认证计费功能，才能满足校园网的大用户量、高并发连接数、多样化计费的需求。BRAS汇总全网用户流量，是数据转发的枢纽，通常需要部署两台BRAS，采用主备方式，用户的接入信息备份到备设备上。

37、当主设备的链路、接口、单板或者整机出现故障时，能够快速将业务切换至备用设备。 核心层虚拟化设计规划核心层部署校园的核心设备，连接所有的汇聚交换机，转发各个教学楼或学生宿舍之间的流量。核心层需要采用全连接结构，保持核心层设备的配置尽量简单，并且和校园网的具体业务无关。核心层设备需要具有高带宽、高转发性能，否则将无法支撑企业内外部的业务流量。核心层交换机通常使用CSS（Cluster Switch System）技术，将两台交换机从逻辑上整合成一台交换机。同时可在堆叠后的系统上划分VS，将堆叠后的系统再划分为多台逻辑交换机。每台逻辑交换机独立工作，在业务功能上等同于一台独立的传统物理交换机，可以在

38、不同的逻辑交换机上按照用户需要部署不同的业务。例如，可以将一台逻辑交换机应用在校园基础网络的核心层，将另一台逻辑交换机应用在校园数据中心。这样可以在保障业务隔离性和安全性的前提下，最大限度地利用现有资源，提高网络业务的可配置性和可管理性。 汇聚层设计规划汇聚层是一个学院、一幢教学楼或一幢学生宿舍的汇聚点，汇聚层的设备用来转发本区域用户到其他区域用户的横向流量，同时发送本区域用户流量到核心层。汇聚层将大量用户接入到互联的网络中，模块化扩展接入核心层设备的用户数量。汇聚层具有高带宽、高端口密度、高转发性能等特点，用于支撑该汇聚层下各业务部门之间的流量。汇聚层交换机通常使用CSS（Cluster S

39、witch System）技术，将多台交换机从逻辑上整合成一台交换机。然后将汇聚层的CSS系统和核心层的CSS系统之间的多条链路捆绑，用来传输数据。这样既简化了配置和管理，又提高了网络的可靠性和扩展能力。汇聚层交换机可以直接配置插卡式AC,对网络中的AP进行管控，实现有线无线融合接入。 接入层设计规划接入层是最靠近终端用户的网络，为用户提供各种接入方式，一般部署二层设备，双归属到汇聚层两个不同的交换机。接入层除了需要部署丰富的二层特性外，还需要部署安全、可靠性等相关功能。接入层需要具有高密度、高速率的端口，以支持更多的终端接入校园网络。接入层交换机通常使用iStack（Intelligent

40、Stack）技术，将多台交换机从逻辑上整合成一台交换机。这样既简化了配置和管理，又提高了网络的可靠性和扩展能力。1.1.3 可靠性设计规划本解决方案中，网络可靠性由双设备、链路冗余来保证。 传统可靠性方案传统的可靠性方案是STP（Spanning Tree Protocol），该方案通过阻塞环路中的某条链路来实现二层数据帧的无环转发。现代网络中很多应用对中断时间极为敏感，而且带宽极大，这种传统的可靠性方案已经不适用于现代网络。收敛时间传统的STP技术收敛速度慢，在故障发生时，故障收敛时间10秒；虽然采用RSTP进行优化，但收敛时间任是秒级，秒级的业务中断，无法适应现在的很多网络应用。链路利用率

41、低由于有一个上行链路被阻塞，此链路的带宽无法利用，总带宽利用率只有50%；虽然MSTP基于VLAN进行优化，但使用MSTP又会导致配置复杂，日常维护非常困难。配置维护复杂，网络故障率高每个接入交换机和汇聚交换机都需要运行STP协议，随着接入交换机的增加，交换机需要处理的STP也越来越复杂，会导致可靠性问题。 集群+堆叠的无环网络方案基于STP方案有以上这些缺点，我们推荐采用集群+堆叠的无环网络方案来替代传统方案。汇聚层的两台交换机使用CSS（Cluster Switch System）技术，配置交换机集群，从逻辑上组合成一台交换机；接入层的两台交换机使用iStack（Intelligent S

42、tack）技术，配置交换机堆叠，从逻辑上组合成一台交换机。将接入层交换机和汇聚层交换机之间的多条链路捆绑，用来传输数据。相对传统方案，这个方案有以下优势：高可靠性堆叠系统的成员设备之间冗余备份；堆叠支持跨设备的链路聚合功能，实现跨设备的链路冗余备份。以单链路故障率为1小时/1千小时为例，增加到两条链路，就可以将故障率降低到3.6秒/1千小时，可靠性从3个9提高到6个9。简化配置和管理交换机集群或堆叠形成后，两台物理交换机虚拟成为一台逻辑交换机，用户可以通过任何一台成员设备登录堆叠系统，对堆叠系统所有成员设备进行统一配置和管理。逻辑网络也变得简洁，不再需要配置和维护STP等协议。快速的故障收敛链

43、路故障收敛时间可以控制在10ms以下，大大降低了网络链路/节点的故障对业务的影响。带宽利用率高采用链路Trunk的方式，带宽利用率可以达到100%。扩容方便、保护投资随着业务的增加，当用户进行网络升级时，只需要增加新设备，而不需要更改网络配置。平滑扩容，很好的保护了投资。BRAS部署时采用主备方式，用户的接入信息备份到备设备上，当主设备的链路、接口、单板或者整机出现故障时，能够快速将业务切换至备用设备。 设备可靠性可靠性的另一个重要方面是设备可靠性，核心区设备一般为框式设备，在可靠性方面的要求包括：支持主控单元的备份支持电源模块的备份支持模块化的风扇设计，支持单风扇失效支持所有模块的热插拔1.

44、1.4 安全性规划设计校园出口之间部署防火墙设备，主要解决如下几个安全问题：校园内、外网之间的访问控制，实现校园内、外网的安全隔离。新校区与校园本部的访问控制，实现新校区和校园本部内网业务的安全隔离。出差员工与校园DMZ区域的访问控制，实现出差员工与校园DMZ区域的安全隔离。合作伙伴/访客与校园DMZ区域的访问控制，实现合作伙伴/访客与校园DMZ区域的安全隔离。USG实现针对不同用户、不同应用的精细化流量控制策略，提升内容网络的使用效率，提升用户的上网体验；USG实现对内网的应用实现精细化管理，对网络非法行为如黄赌毒等实现封堵，让教育网络使用规范化，打造和谐校园；BRAS与校园出口之间部署AS

45、G设备，主要解决如下几个安全问题：使用ASG对校园内部用户的上网行为实现管理和记录，实现非法行为的溯源；使用ASG对校园内网用户实现上网行为的数据分析，以帮助更好实现网络使用管理规范；1.3校园出口规划校园网的USG负责内外网用户的数据交互。接收BRAS的数据，将校园内网用的私网IP地址转换成公网IP，接入公网。接收校园外部访问的流量，接入校园内网的DMZ区域，为公网用户提供服务。USG能承载多网络出口，对多网络出口实现智能的流量负载分担，1.4数据中心网络规划随着教育信息化的发展，教育云数据中心是校园网络的发展趋势。教育云数据中心对于网络的灵活行、高速性要求是非常重要的。而随着服务器的性能提升，GE网卡逐步升级到10GE网卡，数据中心对网络交换机的性能要求也相应的提升了10倍。因此无论是服务器接入还是TOR上行汇聚，核心交换机的对线卡的转发性能、端口密度要求急剧提升。 当数据中心使用数据中心交换机作为核心枢纽，具有如下优势：本方案中，将防火墙部署在数据中心的出口处，配置基本的防火墙功能、入侵防御功能、反病毒攻击功能和URL过滤功能。入侵防御功能可以深度感知并检测流经的数据流量，发现攻击后能及时阻断，对应用层攻击的防御效果显著。反病毒功能实现对