【正文】 山西信息 規(guī)劃 設(shè)計(jì)院 有限公司 xxvii 可保證 USG 上時(shí)刻保持最新的 IPS 簽名庫(kù)和病毒庫(kù)，使入侵防御和反病毒功能更有效。 針對(duì)有線不同運(yùn)營(yíng)商用戶上網(wǎng)的流量模型示意圖為： 2021 年中北大學(xué)建設(shè)萬兆校園網(wǎng)項(xiàng)目 山西信息 規(guī)劃 設(shè)計(jì)院 有限公司 xxviii 備注說明： 針對(duì)教師家屬樓區(qū)域，建議另外單獨(dú)配置有線家庭賬號(hào)，以把教師的辦公賬號(hào)和家庭賬號(hào)分開，以便更好管理，也方便教師把工作和家庭生活所進(jìn)行的網(wǎng)絡(luò)需求分開。 網(wǎng)絡(luò)出口部署防火墻，其中需要起到的主要作用有： 安全防御 ： 防御來自互聯(lián)網(wǎng)的各種網(wǎng)絡(luò)威脅； 應(yīng)用流量控制： 針對(duì)互聯(lián)網(wǎng)進(jìn)行流量控制，針對(duì)時(shí)間、用戶、應(yīng)用實(shí)施策略，比如在辦公時(shí)間內(nèi)限制 P2P流量，保障郵件、 WEB、視頻會(huì)議等辦公應(yīng)用。 ? 用戶認(rèn)證規(guī)劃 WLAN 終端認(rèn)證 IEEE 標(biāo)準(zhǔn)要求 WLAN 終端在準(zhǔn)備連接到網(wǎng)絡(luò)時(shí)，必需進(jìn)行 “ 身份驗(yàn)證 ” 。 用戶身份驗(yàn)證 WLAN 的鏈路層身份驗(yàn)證主要有 Portal(DHCP+WEB)、 mac、 、 WAPI 等幾種認(rèn)證方式。 在 WLAN 網(wǎng)絡(luò)中 SSID 也同樣可以承擔(dān)相應(yīng)的工作。 FIT AP 在設(shè)備上不保存業(yè)務(wù)配置，而是每次啟動(dòng)的時(shí)候從無線控制器動(dòng)態(tài)加載業(yè)務(wù)配置，這樣可以有效避免設(shè)備丟失造成配置泄漏。 在學(xué)校的宿舍區(qū)，建議為每個(gè)接入用戶劃分一個(gè) VLAN，實(shí)現(xiàn)嚴(yán)格的端口隔離。認(rèn)證成功后，端口離開 Guest VLAN 加入用戶 VLAN，用戶可以訪問其特定的 網(wǎng)絡(luò)資源。 ? VLAN 規(guī)劃舉例 校園網(wǎng)中有學(xué)生宿舍的用戶和科研區(qū)域的用戶接入網(wǎng)絡(luò)， VLAN 規(guī)劃如下： 學(xué)生宿舍區(qū)域使用 QINQ VLAN 內(nèi)層 VLAN 分配 2～ 4094，接入層交換機(jī)的下行端口中，為每一個(gè)端口分配一個(gè) VLAN，上行端口配置為 trunk，允許所有接入 VLAN 通過。需要注意的是從 VLAN 只具有本地意義，在不同交換機(jī)上可以重復(fù)使用。 擴(kuò)展性 地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性。這樣就可以實(shí)現(xiàn) VLAN 內(nèi)的資源精細(xì)控制。 VLAN 需連續(xù)分配，以保證 VLAN 資源合理利用。 Guest VLAN 網(wǎng)絡(luò)中用戶在通過 等認(rèn)證之前接入設(shè)備會(huì)把該端口加入到一個(gè)特定的 VLAN（即 Guest VLAN），用戶訪問該 VLAN 內(nèi)的資源不需要認(rèn)證，只能訪問有限的網(wǎng)絡(luò)資源。管理 VLAN 要與用戶 VLAN 嚴(yán)格區(qū)分。 AP 發(fā)現(xiàn) AC 的幾種機(jī)制優(yōu)劣對(duì)比如下： AP 發(fā)現(xiàn)并選擇 AC 方式優(yōu)劣勢(shì)對(duì)比表 方式 部署要求 優(yōu)勢(shì) 劣勢(shì) 適用網(wǎng)絡(luò) DHCP Option 43 DHCP Server 啟動(dòng)Option 43 屬性 適用于 AP/AC 任 何組網(wǎng)中 對(duì)網(wǎng)絡(luò)有部署要求 大中型 WLAN 網(wǎng)絡(luò)， AP/AC DNS 部署 DNS Server；DHCP Server 支持Option 15 屬性 — — 二層或三層組網(wǎng) 二層廣播發(fā)現(xiàn) 無 對(duì)已有網(wǎng)絡(luò)沒有額外要求 僅能用于 AP/AC 二層組網(wǎng)中 小型 WLAN 網(wǎng)絡(luò)，AP/AC 二層組網(wǎng) AP 上預(yù)配置靜態(tài)AC 列表 AP 預(yù)配置 對(duì)已有網(wǎng)絡(luò)沒有額外要求 需要對(duì) AP 逐一進(jìn)行配置，工作量大；若 AC 的 IP 地址發(fā)生變化，則需要重新修改 AP 的配置 小型 WLAN 網(wǎng)絡(luò) ? 無線網(wǎng)絡(luò)安全規(guī)劃 AP 防盜 安裝 AP 時(shí)安裝防盜鎖即可。 通常，以太網(wǎng)中管理 VLAN 和業(yè)務(wù) VLAN 分離。 共享密鑰式認(rèn)證必需使用加密方式，要求每個(gè) WLAN 終端都鏡頭配置和 AP完全一致的密鑰（ key）。 AP為無線接入點(diǎn)，建議在 BRAS 上配置地址池， AP 使用 DHCP 方式自動(dòng)獲取IP 地址。 針對(duì)教學(xué)辦公區(qū)域的網(wǎng)絡(luò)，最重要的關(guān)注點(diǎn)是如何提升網(wǎng)絡(luò)使用效率，從而助力辦公效率的提升。 針對(duì)校園網(wǎng)絡(luò)中的非運(yùn)營(yíng)商賬號(hào)，用戶可以從學(xué)校信息中心獲得上網(wǎng)賬號(hào)，可以免費(fèi)訪問學(xué)校的教學(xué)系統(tǒng)和教學(xué)資源。 反病毒功能實(shí)現(xiàn)對(duì)使用 HTTP、 SMTP、 POP3 協(xié)議傳輸?shù)奈募M(jìn)行 病毒掃描，并根據(jù) AV 策略對(duì)帶病毒文件進(jìn)行處理。 接收 BRAS 的數(shù)據(jù)，將校園內(nèi)網(wǎng)用的私網(wǎng) IP 地址轉(zhuǎn)換成公網(wǎng) IP，接入公網(wǎng)。 擴(kuò)容方便、保護(hù)投資 隨著業(yè)務(wù)的增加，當(dāng)用戶進(jìn)行網(wǎng)絡(luò)升級(jí)時(shí)，只需要增加新設(shè)備，而不需要更改網(wǎng)絡(luò)配置。 匯聚層的兩臺(tái)交換機(jī)使用 CSS（ Cluster Switch System）技術(shù)，配置交換機(jī)集群，從邏 輯上組合成一臺(tái)交換機(jī)；接入層的兩臺(tái)交換機(jī)使用 iStack（ Intelligent Stack）技術(shù)，配置交換機(jī)堆疊，從邏輯上組合成一臺(tái)交換機(jī)。這樣既簡(jiǎn)化了配置和管理，又提高了網(wǎng)絡(luò)的可靠性和擴(kuò) 展能力。 匯聚層交換機(jī)通常使用 CSS（ Cluster Switch System）技術(shù)，將多臺(tái)交換機(jī)從邏輯上整合成一臺(tái)交換機(jī)。 核心層交換機(jī)通常使用 CSS（ Cluster Switch System）技術(shù)，將兩臺(tái)交換機(jī)從邏輯上整合成一臺(tái)交換機(jī)。 ? BRAS 設(shè)計(jì)規(guī)劃 BRAS 負(fù)責(zé)對(duì)校園網(wǎng)用戶的統(tǒng)一接入，并與認(rèn)證服務(wù)器協(xié)同工作，對(duì)接入用戶進(jìn)行認(rèn)證，可以很方便的對(duì)校園網(wǎng)的所有用戶流量做統(tǒng)一管理監(jiān)控。 教學(xué)區(qū)和辦公區(qū)匯聚： 此類網(wǎng)絡(luò)流量壓力較小，網(wǎng)絡(luò)行為比較規(guī)范，因此建議按照區(qū)域建設(shè)四個(gè)匯聚節(jié)點(diǎn)。 匯聚層和接入層冗余設(shè)計(jì)，關(guān)鍵鏈路均采用 Trunk 鏈路，保證網(wǎng)絡(luò)的 可靠性。 網(wǎng)絡(luò)管理區(qū) 聯(lián)合 BRAS 對(duì)接入用戶進(jìn)行認(rèn)證，對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器等進(jìn)行管理的區(qū)域。 核心層 核心層負(fù)責(zé)整個(gè)園區(qū)網(wǎng)的高速互聯(lián)，一般不部署具體的業(yè)務(wù)。 安全性 校園網(wǎng)絡(luò)應(yīng)具備有效的安全控制。 四、 項(xiàng)目建設(shè)方案 校園網(wǎng)基礎(chǔ) 結(jié)構(gòu)改造設(shè)計(jì)方案 總體網(wǎng)絡(luò)改造架構(gòu) 校園網(wǎng)是一種用戶高密度的網(wǎng)絡(luò)，在有限的空間內(nèi)聚集了大量的終端和用戶。在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)中，如果主干道網(wǎng)絡(luò)設(shè)備出現(xiàn)問題，不單無法訪問外部網(wǎng)絡(luò)，連內(nèi)網(wǎng)服務(wù)器組也可能有訪問問題，將直接影響了日常辦公的穩(wěn)定性。 ? 網(wǎng)絡(luò)認(rèn)證管理： 現(xiàn)網(wǎng)中缺乏精細(xì)化的網(wǎng)絡(luò)認(rèn)證管理系統(tǒng)。 學(xué)校和多家線路運(yùn)營(yíng)商有合作，對(duì)外出口部署了包括移動(dòng)、聯(lián)通、電信、Cer 等出口線路，并且起用了 IPv6 資源線路。 校園網(wǎng)中心機(jī)房?jī)?nèi)共有服務(wù)器 35 臺(tái)，分別是 WEB 服務(wù)器 3 臺(tái)；個(gè)人 WEB服務(wù)器 2 臺(tái)； DNS 服務(wù)器 2 臺(tái)； FTP 服務(wù)器 1 臺(tái)；郵件服務(wù)器 2 臺(tái)（教職工和學(xué)生各 1 臺(tái)，保證了全校每個(gè)教職工和學(xué)生都有 1 個(gè)郵箱，共有 5 萬用戶）；郵件網(wǎng)關(guān) 1 臺(tái)；課件服務(wù)器 2 臺(tái)； VOD 服務(wù)器 1 臺(tái)；新聞服務(wù)器 1 臺(tái)； BBS 服務(wù)器 1 臺(tái) ；網(wǎng)管服務(wù)器 1 臺(tái)； ACM 比賽服務(wù)器 1 臺(tái)；綜合教務(wù)管理系統(tǒng)服務(wù)器 2臺(tái)；電子校務(wù)服務(wù)器 2 臺(tái)；干部學(xué)習(xí)服務(wù)器 1 臺(tái)；科技處服務(wù)器 1 臺(tái)；防火墻日志服務(wù)器 1 臺(tái)；代理服務(wù)器（僅代理聯(lián)合網(wǎng)絡(luò)通信有限公司管轄區(qū)域訪問圖書館外部資源） 1 臺(tái)；后勤辦公信息化管理服務(wù)器 2 臺(tái)；體育選課系統(tǒng)服務(wù)器 1臺(tái)；防毒服務(wù)器 1 臺(tái)；本科生就業(yè)管理系統(tǒng) 1 臺(tái)；視頻監(jiān)控服務(wù)器 1 臺(tái)； GOOGLE搜索服務(wù)器 1 臺(tái)； Blackboard 課件服務(wù)器 1 臺(tái)；學(xué)生資助管理服務(wù)器 1 臺(tái)。 辦公區(qū)各樓均能上網(wǎng)，但基礎(chǔ)線路情況各不相同。十多年時(shí)間過去了，校園網(wǎng)發(fā)生了很大變化。 ? IPv6 平滑演進(jìn)方案 華為全系列 IPv6 產(chǎn)品均為自主核心技術(shù) ，提供雙棧過渡技術(shù)、隧道互聯(lián)技術(shù)和地址轉(zhuǎn)換技術(shù)保證 IPv4 到 IPv6 的平滑過渡。 ? 兼容現(xiàn)網(wǎng)的眾多業(yè)務(wù)和流量模型的管理。 ? 有線無線一體化運(yùn)營(yíng) 華為設(shè)計(jì)的解決方案中，可最大限度重用用戶已有的有線網(wǎng)絡(luò)，將無線網(wǎng)絡(luò)融入其中。 ? 網(wǎng)絡(luò)安全問題 校園網(wǎng)的用戶具有極強(qiáng)的網(wǎng)絡(luò)技術(shù)以及好奇心，會(huì)不斷嘗試攻擊校園網(wǎng)絡(luò)；同時(shí)校園網(wǎng)應(yīng)用繁多，結(jié)構(gòu)復(fù)雜，是網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒滋生擴(kuò)散的溫床。 ? 計(jì)費(fèi)要求 靈活 校園網(wǎng)中有學(xué)生、教師等多種不同角色，針對(duì)不同角色計(jì)費(fèi)方法不同；基于學(xué)生和老師的作息時(shí)間，針對(duì)不同時(shí)間計(jì)費(fèi)也會(huì)有所差別；用戶訪問校園內(nèi)網(wǎng)資源、 Inter 資源和教育網(wǎng)資源時(shí)，也會(huì)涉及到不同的計(jì)費(fèi)方法。 ? 高穩(wěn)定性 校園網(wǎng)絡(luò)承載業(yè)務(wù)關(guān)系著校內(nèi)大量用戶的工作、學(xué)習(xí)和生活，因此必須具備高穩(wěn)定性，并且出現(xiàn)意外故障時(shí)候也能使用備用方案，保證業(yè)務(wù)的不中斷運(yùn)行。 七、 收入及效益指標(biāo) ...................................................................................................... xlii 收入測(cè)算 ..........................................................................................................................XLII 2021 年中北大學(xué)建設(shè)萬兆校園網(wǎng)項(xiàng)目 山西信息 規(guī)劃 設(shè)計(jì)院 有限公司 iii 一、 項(xiàng)目 概述 項(xiàng)目名稱： 2021 年 中北大學(xué)建設(shè)萬兆校園網(wǎng) 項(xiàng)目 中北大學(xué)是一所由山西省人民政府與國(guó)家國(guó)防科技工業(yè)局共建、山西省人民政府管理的多科性教學(xué)研究型大學(xué)。 ..................................................................................... 錯(cuò)誤 !未定義書簽。 為了滿足上層的應(yīng)用和服務(wù)的需求，“網(wǎng)絡(luò)基礎(chǔ)”部分的設(shè)計(jì)必須達(dá)到以下2021 年中北大學(xué)建設(shè)萬兆校園網(wǎng)項(xiàng)目 山西信息 規(guī)劃 設(shè)計(jì)院 有限公司 v 目標(biāo)： ? 高性能 校園內(nèi)用戶數(shù)量多，并且教學(xué)信息化的發(fā)展需要更高性能的網(wǎng)絡(luò)承載能力，校園骨干線路能力需要達(dá)到 10G 以上。 在設(shè)計(jì)中北大學(xué)新型大學(xué)校園網(wǎng)絡(luò)時(shí)，需要注意以下問題： ? 網(wǎng)絡(luò)平臺(tái)結(jié)構(gòu)問題 中北大學(xué)需要建設(shè)一個(gè)可以提供多個(gè)運(yùn)營(yíng)商共同運(yùn)營(yíng)的網(wǎng)絡(luò)平臺(tái)，以網(wǎng)絡(luò)技術(shù)為依托建設(shè)一個(gè)公平競(jìng)爭(zhēng)的網(wǎng)絡(luò)服務(wù)平臺(tái)，為校園師生提供不斷優(yōu)化的服務(wù)。 IP 地址分配問題 校園網(wǎng)的辦公網(wǎng)絡(luò)目前使用效率很低的靜態(tài) IP 地址分配，對(duì)賬號(hào)沒有實(shí)現(xiàn)實(shí)名里，對(duì)接入用戶缺乏有效的探測(cè)機(jī)制，地址回收效率也不高，需要建設(shè)實(shí)名認(rèn)證，并根據(jù)賬號(hào)動(dòng) 態(tài)分配地址，并加以管理的機(jī)制。 華為通過先進(jìn)的匯聚和核心層的架構(gòu)，支持平滑升級(jí)，滿足校園網(wǎng)未來 510年持續(xù)發(fā)展需求；豐富的板卡覆蓋多種場(chǎng)景，滿足校園網(wǎng)未來業(yè)務(wù)擴(kuò)展需求；同時(shí)通過多重冗余備份，保證校園網(wǎng)關(guān)鍵 業(yè)務(wù)持續(xù)在線，實(shí)現(xiàn) %可靠性設(shè)計(jì)。 認(rèn)證計(jì)費(fèi)解決方案 2021 年中北大學(xué)建設(shè)萬兆校園網(wǎng)項(xiàng)目 山西信息 規(guī)劃 設(shè)計(jì)院 有限公司 ix 華為使用 ME60 作為用戶網(wǎng)關(guān)，實(shí)現(xiàn)了強(qiáng)大靈活的認(rèn)證計(jì)費(fèi)功能。 eSight 提供強(qiáng)大的報(bào)表功能，為判斷運(yùn)維趨勢(shì)、發(fā)現(xiàn)潛在問題提供了強(qiáng)有力的支持。 三、 網(wǎng)絡(luò) 現(xiàn)狀及需求分析 網(wǎng)絡(luò) 現(xiàn)狀 中北大學(xué)校園網(wǎng)建設(shè)始建于 1994 年， 1998 年接入教育網(wǎng)，并于 2021 年進(jìn)行了二期建設(shè)，實(shí)現(xiàn)了 “千兆主干、百兆 桌面 ”的網(wǎng)絡(luò)基本布局。單身教工宿舍有綜合布線，但沒有網(wǎng)絡(luò)設(shè)備，也無法通過校園網(wǎng)訪問因特網(wǎng)。用戶訪問教育網(wǎng)走教育網(wǎng)出口，用戶訪問教育網(wǎng)以外的資源自動(dòng)路由到聯(lián)通或移動(dòng)出口。 安全設(shè)備部署方面：校內(nèi)出口處部署防病毒木馬防火墻；在網(wǎng)絡(luò)出口主干道上部署流量控制設(shè)備。 在接入網(wǎng)方面，現(xiàn)在千兆到桌面與百兆到桌面的方案應(yīng)用在成本上已經(jīng)相差不大，為了更好滿足未來學(xué)校教育的發(fā)展，建議可以建設(shè)到千兆到桌面的速率能力。 另外網(wǎng)絡(luò)的出口結(jié)構(gòu)上，外部采用多線路出口，但是內(nèi)部主干道為單一線路，如果出現(xiàn)故障點(diǎn)，將直接影響整個(gè)網(wǎng)絡(luò)的用戶。并且隨著數(shù)字化校園規(guī)劃中的各類校園教學(xué)應(yīng)用的升級(jí)，建設(shè)的信息中心也需要加強(qiáng)應(yīng)用層次的安全防御。提高了整個(gè)網(wǎng)絡(luò)的可靠性。出口除了要保證校園內(nèi)外的數(shù)據(jù)傳輸，還需要保證邊界安全。為校園網(wǎng)內(nèi)部和外部用戶提供數(shù)據(jù)和應(yīng)用服務(wù)。 各部門和功能分區(qū)模塊清晰，模塊內(nèi)部調(diào)整涉及范圍小，易于進(jìn)行問題定位。 由于教學(xué)區(qū)、辦公區(qū)的流量?jī)?nèi)容和行為特征與學(xué)生宿舍區(qū)、教師家屬區(qū)差異較大，因此建議匯聚節(jié)點(diǎn)分為兩類。 對(duì)稱性設(shè)計(jì) 網(wǎng)絡(luò)的對(duì)稱性便于業(yè)務(wù)部署，拓?fù)渲庇^，便于設(shè)計(jì)和分析。核心層設(shè)備需要具有高帶寬、高轉(zhuǎn)發(fā)性能，否則將無法支撐企業(yè)內(nèi)外部的業(yè)務(wù)流量。 匯聚層具有高帶寬、高端口密度、高轉(zhuǎn)發(fā)性能等特點(diǎn)，用于支撐該匯聚層下各業(yè)務(wù)