【正文】 山西信息 規(guī)劃 設(shè)計院 有限公司 xxvii 可保證 USG 上時刻保持最新的 IPS 簽名庫和病毒庫，使入侵防御和反病毒功能更有效。 針對有線不同運營商用戶上網(wǎng)的流量模型示意圖為： 2021 年中北大學(xué)建設(shè)萬兆校園網(wǎng)項目 山西信息 規(guī)劃 設(shè)計院 有限公司 xxviii 備注說明： 針對教師家屬樓區(qū)域，建議另外單獨配置有線家庭賬號，以把教師的辦公賬號和家庭賬號分開，以便更好管理，也方便教師把工作和家庭生活所進行的網(wǎng)絡(luò)需求分開。 網(wǎng)絡(luò)出口部署防火墻，其中需要起到的主要作用有： 安全防御 ： 防御來自互聯(lián)網(wǎng)的各種網(wǎng)絡(luò)威脅； 應(yīng)用流量控制： 針對互聯(lián)網(wǎng)進行流量控制，針對時間、用戶、應(yīng)用實施策略，比如在辦公時間內(nèi)限制 P2P流量，保障郵件、 WEB、視頻會議等辦公應(yīng)用。 ? 用戶認證規(guī)劃 WLAN 終端認證 IEEE 標準要求 WLAN 終端在準備連接到網(wǎng)絡(luò)時，必需進行 “ 身份驗證 ” 。 用戶身份驗證 WLAN 的鏈路層身份驗證主要有 Portal(DHCP+WEB)、 mac、 、 WAPI 等幾種認證方式。 在 WLAN 網(wǎng)絡(luò)中 SSID 也同樣可以承擔(dān)相應(yīng)的工作。 FIT AP 在設(shè)備上不保存業(yè)務(wù)配置，而是每次啟動的時候從無線控制器動態(tài)加載業(yè)務(wù)配置，這樣可以有效避免設(shè)備丟失造成配置泄漏。 在學(xué)校的宿舍區(qū)，建議為每個接入用戶劃分一個 VLAN，實現(xiàn)嚴格的端口隔離。認證成功后，端口離開 Guest VLAN 加入用戶 VLAN，用戶可以訪問其特定的 網(wǎng)絡(luò)資源。 ? VLAN 規(guī)劃舉例 校園網(wǎng)中有學(xué)生宿舍的用戶和科研區(qū)域的用戶接入網(wǎng)絡(luò)， VLAN 規(guī)劃如下： 學(xué)生宿舍區(qū)域使用 QINQ VLAN 內(nèi)層 VLAN 分配 2～ 4094，接入層交換機的下行端口中，為每一個端口分配一個 VLAN，上行端口配置為 trunk，允許所有接入 VLAN 通過。需要注意的是從 VLAN 只具有本地意義，在不同交換機上可以重復(fù)使用。 擴展性 地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴展時能保證地址疊合所需的連續(xù)性。這樣就可以實現(xiàn) VLAN 內(nèi)的資源精細控制。 VLAN 需連續(xù)分配，以保證 VLAN 資源合理利用。 Guest VLAN 網(wǎng)絡(luò)中用戶在通過 等認證之前接入設(shè)備會把該端口加入到一個特定的 VLAN（即 Guest VLAN），用戶訪問該 VLAN 內(nèi)的資源不需要認證，只能訪問有限的網(wǎng)絡(luò)資源。管理 VLAN 要與用戶 VLAN 嚴格區(qū)分。 AP 發(fā)現(xiàn) AC 的幾種機制優(yōu)劣對比如下： AP 發(fā)現(xiàn)并選擇 AC 方式優(yōu)劣勢對比表 方式 部署要求 優(yōu)勢 劣勢 適用網(wǎng)絡(luò) DHCP Option 43 DHCP Server 啟動Option 43 屬性 適用于 AP/AC 任 何組網(wǎng)中 對網(wǎng)絡(luò)有部署要求 大中型 WLAN 網(wǎng)絡(luò)， AP/AC DNS 部署 DNS Server；DHCP Server 支持Option 15 屬性 — — 二層或三層組網(wǎng) 二層廣播發(fā)現(xiàn) 無 對已有網(wǎng)絡(luò)沒有額外要求 僅能用于 AP/AC 二層組網(wǎng)中 小型 WLAN 網(wǎng)絡(luò)，AP/AC 二層組網(wǎng) AP 上預(yù)配置靜態(tài)AC 列表 AP 預(yù)配置 對已有網(wǎng)絡(luò)沒有額外要求 需要對 AP 逐一進行配置，工作量大；若 AC 的 IP 地址發(fā)生變化，則需要重新修改 AP 的配置 小型 WLAN 網(wǎng)絡(luò) ? 無線網(wǎng)絡(luò)安全規(guī)劃 AP 防盜 安裝 AP 時安裝防盜鎖即可。 通常，以太網(wǎng)中管理 VLAN 和業(yè)務(wù) VLAN 分離。 共享密鑰式認證必需使用加密方式，要求每個 WLAN 終端都鏡頭配置和 AP完全一致的密鑰（ key）。 AP為無線接入點，建議在 BRAS 上配置地址池， AP 使用 DHCP 方式自動獲取IP 地址。 針對教學(xué)辦公區(qū)域的網(wǎng)絡(luò)，最重要的關(guān)注點是如何提升網(wǎng)絡(luò)使用效率，從而助力辦公效率的提升。 針對校園網(wǎng)絡(luò)中的非運營商賬號，用戶可以從學(xué)校信息中心獲得上網(wǎng)賬號，可以免費訪問學(xué)校的教學(xué)系統(tǒng)和教學(xué)資源。 反病毒功能實現(xiàn)對使用 HTTP、 SMTP、 POP3 協(xié)議傳輸?shù)奈募M行 病毒掃描，并根據(jù) AV 策略對帶病毒文件進行處理。 接收 BRAS 的數(shù)據(jù)，將校園內(nèi)網(wǎng)用的私網(wǎng) IP 地址轉(zhuǎn)換成公網(wǎng) IP，接入公網(wǎng)。 擴容方便、保護投資 隨著業(yè)務(wù)的增加，當用戶進行網(wǎng)絡(luò)升級時，只需要增加新設(shè)備，而不需要更改網(wǎng)絡(luò)配置。 匯聚層的兩臺交換機使用 CSS（ Cluster Switch System）技術(shù)，配置交換機集群，從邏 輯上組合成一臺交換機；接入層的兩臺交換機使用 iStack（ Intelligent Stack）技術(shù)，配置交換機堆疊，從邏輯上組合成一臺交換機。這樣既簡化了配置和管理，又提高了網(wǎng)絡(luò)的可靠性和擴 展能力。 匯聚層交換機通常使用 CSS（ Cluster Switch System）技術(shù)，將多臺交換機從邏輯上整合成一臺交換機。 核心層交換機通常使用 CSS（ Cluster Switch System）技術(shù)，將兩臺交換機從邏輯上整合成一臺交換機。 ? BRAS 設(shè)計規(guī)劃 BRAS 負責(zé)對校園網(wǎng)用戶的統(tǒng)一接入，并與認證服務(wù)器協(xié)同工作，對接入用戶進行認證，可以很方便的對校園網(wǎng)的所有用戶流量做統(tǒng)一管理監(jiān)控。 教學(xué)區(qū)和辦公區(qū)匯聚： 此類網(wǎng)絡(luò)流量壓力較小，網(wǎng)絡(luò)行為比較規(guī)范，因此建議按照區(qū)域建設(shè)四個匯聚節(jié)點。 匯聚層和接入層冗余設(shè)計，關(guān)鍵鏈路均采用 Trunk 鏈路，保證網(wǎng)絡(luò)的 可靠性。 網(wǎng)絡(luò)管理區(qū) 聯(lián)合 BRAS 對接入用戶進行認證，對網(wǎng)絡(luò)設(shè)備、服務(wù)器等進行管理的區(qū)域。 核心層 核心層負責(zé)整個園區(qū)網(wǎng)的高速互聯(lián)，一般不部署具體的業(yè)務(wù)。 安全性 校園網(wǎng)絡(luò)應(yīng)具備有效的安全控制。 四、 項目建設(shè)方案 校園網(wǎng)基礎(chǔ) 結(jié)構(gòu)改造設(shè)計方案 總體網(wǎng)絡(luò)改造架構(gòu) 校園網(wǎng)是一種用戶高密度的網(wǎng)絡(luò)，在有限的空間內(nèi)聚集了大量的終端和用戶。在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)中，如果主干道網(wǎng)絡(luò)設(shè)備出現(xiàn)問題，不單無法訪問外部網(wǎng)絡(luò)，連內(nèi)網(wǎng)服務(wù)器組也可能有訪問問題，將直接影響了日常辦公的穩(wěn)定性。 ? 網(wǎng)絡(luò)認證管理： 現(xiàn)網(wǎng)中缺乏精細化的網(wǎng)絡(luò)認證管理系統(tǒng)。 學(xué)校和多家線路運營商有合作，對外出口部署了包括移動、聯(lián)通、電信、Cer 等出口線路，并且起用了 IPv6 資源線路。 校園網(wǎng)中心機房內(nèi)共有服務(wù)器 35 臺，分別是 WEB 服務(wù)器 3 臺；個人 WEB服務(wù)器 2 臺； DNS 服務(wù)器 2 臺； FTP 服務(wù)器 1 臺；郵件服務(wù)器 2 臺（教職工和學(xué)生各 1 臺，保證了全校每個教職工和學(xué)生都有 1 個郵箱，共有 5 萬用戶）；郵件網(wǎng)關(guān) 1 臺；課件服務(wù)器 2 臺； VOD 服務(wù)器 1 臺；新聞服務(wù)器 1 臺； BBS 服務(wù)器 1 臺 ；網(wǎng)管服務(wù)器 1 臺； ACM 比賽服務(wù)器 1 臺；綜合教務(wù)管理系統(tǒng)服務(wù)器 2臺；電子校務(wù)服務(wù)器 2 臺；干部學(xué)習(xí)服務(wù)器 1 臺；科技處服務(wù)器 1 臺；防火墻日志服務(wù)器 1 臺；代理服務(wù)器（僅代理聯(lián)合網(wǎng)絡(luò)通信有限公司管轄區(qū)域訪問圖書館外部資源） 1 臺；后勤辦公信息化管理服務(wù)器 2 臺；體育選課系統(tǒng)服務(wù)器 1臺；防毒服務(wù)器 1 臺；本科生就業(yè)管理系統(tǒng) 1 臺；視頻監(jiān)控服務(wù)器 1 臺； GOOGLE搜索服務(wù)器 1 臺； Blackboard 課件服務(wù)器 1 臺；學(xué)生資助管理服務(wù)器 1 臺。 辦公區(qū)各樓均能上網(wǎng)，但基礎(chǔ)線路情況各不相同。十多年時間過去了，校園網(wǎng)發(fā)生了很大變化。 ? IPv6 平滑演進方案 華為全系列 IPv6 產(chǎn)品均為自主核心技術(shù) ，提供雙棧過渡技術(shù)、隧道互聯(lián)技術(shù)和地址轉(zhuǎn)換技術(shù)保證 IPv4 到 IPv6 的平滑過渡。 ? 兼容現(xiàn)網(wǎng)的眾多業(yè)務(wù)和流量模型的管理。 ? 有線無線一體化運營 華為設(shè)計的解決方案中，可最大限度重用用戶已有的有線網(wǎng)絡(luò)，將無線網(wǎng)絡(luò)融入其中。 ? 網(wǎng)絡(luò)安全問題 校園網(wǎng)的用戶具有極強的網(wǎng)絡(luò)技術(shù)以及好奇心，會不斷嘗試攻擊校園網(wǎng)絡(luò)；同時校園網(wǎng)應(yīng)用繁多，結(jié)構(gòu)復(fù)雜，是網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒滋生擴散的溫床。 ? 計費要求 靈活 校園網(wǎng)中有學(xué)生、教師等多種不同角色，針對不同角色計費方法不同；基于學(xué)生和老師的作息時間，針對不同時間計費也會有所差別；用戶訪問校園內(nèi)網(wǎng)資源、 Inter 資源和教育網(wǎng)資源時，也會涉及到不同的計費方法。 ? 高穩(wěn)定性 校園網(wǎng)絡(luò)承載業(yè)務(wù)關(guān)系著校內(nèi)大量用戶的工作、學(xué)習(xí)和生活，因此必須具備高穩(wěn)定性，并且出現(xiàn)意外故障時候也能使用備用方案，保證業(yè)務(wù)的不中斷運行。 七、 收入及效益指標 ...................................................................................................... xlii 收入測算 ..........................................................................................................................XLII 2021 年中北大學(xué)建設(shè)萬兆校園網(wǎng)項目 山西信息 規(guī)劃 設(shè)計院 有限公司 iii 一、 項目 概述 項目名稱： 2021 年 中北大學(xué)建設(shè)萬兆校園網(wǎng) 項目 中北大學(xué)是一所由山西省人民政府與國家國防科技工業(yè)局共建、山西省人民政府管理的多科性教學(xué)研究型大學(xué)。 ..................................................................................... 錯誤 !未定義書簽。 為了滿足上層的應(yīng)用和服務(wù)的需求，“網(wǎng)絡(luò)基礎(chǔ)”部分的設(shè)計必須達到以下2021 年中北大學(xué)建設(shè)萬兆校園網(wǎng)項目 山西信息 規(guī)劃 設(shè)計院 有限公司 v 目標： ? 高性能 校園內(nèi)用戶數(shù)量多，并且教學(xué)信息化的發(fā)展需要更高性能的網(wǎng)絡(luò)承載能力，校園骨干線路能力需要達到 10G 以上。 在設(shè)計中北大學(xué)新型大學(xué)校園網(wǎng)絡(luò)時，需要注意以下問題： ? 網(wǎng)絡(luò)平臺結(jié)構(gòu)問題 中北大學(xué)需要建設(shè)一個可以提供多個運營商共同運營的網(wǎng)絡(luò)平臺，以網(wǎng)絡(luò)技術(shù)為依托建設(shè)一個公平競爭的網(wǎng)絡(luò)服務(wù)平臺，為校園師生提供不斷優(yōu)化的服務(wù)。 IP 地址分配問題 校園網(wǎng)的辦公網(wǎng)絡(luò)目前使用效率很低的靜態(tài) IP 地址分配，對賬號沒有實現(xiàn)實名里，對接入用戶缺乏有效的探測機制，地址回收效率也不高，需要建設(shè)實名認證，并根據(jù)賬號動 態(tài)分配地址，并加以管理的機制。 華為通過先進的匯聚和核心層的架構(gòu)，支持平滑升級，滿足校園網(wǎng)未來 510年持續(xù)發(fā)展需求；豐富的板卡覆蓋多種場景，滿足校園網(wǎng)未來業(yè)務(wù)擴展需求；同時通過多重冗余備份，保證校園網(wǎng)關(guān)鍵 業(yè)務(wù)持續(xù)在線，實現(xiàn) %可靠性設(shè)計。 認證計費解決方案 2021 年中北大學(xué)建設(shè)萬兆校園網(wǎng)項目 山西信息 規(guī)劃 設(shè)計院 有限公司 ix 華為使用 ME60 作為用戶網(wǎng)關(guān)，實現(xiàn)了強大靈活的認證計費功能。 eSight 提供強大的報表功能，為判斷運維趨勢、發(fā)現(xiàn)潛在問題提供了強有力的支持。 三、 網(wǎng)絡(luò) 現(xiàn)狀及需求分析 網(wǎng)絡(luò) 現(xiàn)狀 中北大學(xué)校園網(wǎng)建設(shè)始建于 1994 年， 1998 年接入教育網(wǎng)，并于 2021 年進行了二期建設(shè)，實現(xiàn)了 “千兆主干、百兆 桌面 ”的網(wǎng)絡(luò)基本布局。單身教工宿舍有綜合布線，但沒有網(wǎng)絡(luò)設(shè)備，也無法通過校園網(wǎng)訪問因特網(wǎng)。用戶訪問教育網(wǎng)走教育網(wǎng)出口，用戶訪問教育網(wǎng)以外的資源自動路由到聯(lián)通或移動出口。 安全設(shè)備部署方面：校內(nèi)出口處部署防病毒木馬防火墻；在網(wǎng)絡(luò)出口主干道上部署流量控制設(shè)備。 在接入網(wǎng)方面，現(xiàn)在千兆到桌面與百兆到桌面的方案應(yīng)用在成本上已經(jīng)相差不大，為了更好滿足未來學(xué)校教育的發(fā)展，建議可以建設(shè)到千兆到桌面的速率能力。 另外網(wǎng)絡(luò)的出口結(jié)構(gòu)上，外部采用多線路出口，但是內(nèi)部主干道為單一線路，如果出現(xiàn)故障點，將直接影響整個網(wǎng)絡(luò)的用戶。并且隨著數(shù)字化校園規(guī)劃中的各類校園教學(xué)應(yīng)用的升級，建設(shè)的信息中心也需要加強應(yīng)用層次的安全防御。提高了整個網(wǎng)絡(luò)的可靠性。出口除了要保證校園內(nèi)外的數(shù)據(jù)傳輸，還需要保證邊界安全。為校園網(wǎng)內(nèi)部和外部用戶提供數(shù)據(jù)和應(yīng)用服務(wù)。 各部門和功能分區(qū)模塊清晰，模塊內(nèi)部調(diào)整涉及范圍小，易于進行問題定位。 由于教學(xué)區(qū)、辦公區(qū)的流量內(nèi)容和行為特征與學(xué)生宿舍區(qū)、教師家屬區(qū)差異較大，因此建議匯聚節(jié)點分為兩類。 對稱性設(shè)計 網(wǎng)絡(luò)的對稱性便于業(yè)務(wù)部署，拓撲直觀，便于設(shè)計和分析。核心層設(shè)備需要具有高帶寬、高轉(zhuǎn)發(fā)性能，否則將無法支撐企業(yè)內(nèi)外部的業(yè)務(wù)流量。 匯聚層具有高帶寬、高端口密度、高轉(zhuǎn)發(fā)性能等特點，用于支撐該匯聚層下各業(yè)務(wù)