【正文】 非法業(yè)務(wù)的隔離、控制，具備在線主動抵御的能力；校園核心網(wǎng)絡(luò)自身集成安全防御能力，縮小攻擊、病毒在校園影響范圍；用戶接入網(wǎng)絡(luò)屏蔽用戶非法操作，隔離網(wǎng)絡(luò)攻擊；l 利用現(xiàn)有校園網(wǎng)絡(luò)資源，整合視訊業(yè)務(wù)，提供豐富的網(wǎng)絡(luò)辦公、教學(xué)IT服務(wù)；l 利用現(xiàn)有校園網(wǎng)絡(luò)資源，整合校園監(jiān)控業(yè)務(wù)，實現(xiàn)平安校園的統(tǒng)一管理；l 實現(xiàn)整個校園網(wǎng)絡(luò)的集中統(tǒng)一智能化管理。采用當今國內(nèi)、國際上先進和成熟的計算機軟硬件技術(shù)，使信息化系統(tǒng)能夠最大限度地適應(yīng)今后技術(shù)發(fā)展變化和業(yè)務(wù)發(fā)展變化的需要3. 實用性原則。7. 經(jīng)濟性原則。1. 數(shù)字化校園建設(shè)是本校建設(shè)的重要部分，是一項基礎(chǔ)性、長期性和經(jīng)常性的工作，其建設(shè)水平是本校整體辦學(xué)水平、學(xué)校形象和地位的重要標志。. 設(shè)計思路校本部的網(wǎng)絡(luò)升級改造的大原則是不改變原有的星型網(wǎng)絡(luò)結(jié)構(gòu)，僅做設(shè)備的更新?lián)Q代。由上可見校園網(wǎng)網(wǎng)絡(luò)的需求日益復(fù)雜，傳統(tǒng)網(wǎng)絡(luò)面臨很多問題無法解決。這樣，無論用戶從網(wǎng)絡(luò)何處接入，都要進行安全性檢查和認證，認證通過后由策略服務(wù)器統(tǒng)一下發(fā)配置使用戶獲得同樣的網(wǎng)絡(luò)資源訪問權(quán)限，大大提高了網(wǎng)絡(luò)接入的安全性和靈活性。MPLS L3VPN組網(wǎng)方式靈活、可擴展性好，并能夠方便地支持MPLS QoS和MPLS TE，因此得到越來越多的應(yīng)用。各個片區(qū)網(wǎng)絡(luò)中，建議將接入交換機改造為千兆接入交換機H3C S512024PEI，無需升級即可實現(xiàn)基于硬件的IPv4和IPv6的全線速轉(zhuǎn)發(fā)，同時支持IPv6的ACL和網(wǎng)管，實現(xiàn)IPv4到IPv6的平滑升級；。增加流量分析和整形設(shè)備，掌握網(wǎng)絡(luò)帶寬真正使用情況，保障關(guān)鍵業(yè)務(wù)的帶寬，使出口帶寬資源合理有效分配，提高出口帶寬的有效利用。ACG8800最大并發(fā)會話數(shù)2M，整機處理能力4 Gbps，滿足BBB大學(xué)校本部近萬用戶的規(guī)模使用。l 時鐘同步系統(tǒng)保證網(wǎng)絡(luò)上的各種設(shè)備如服務(wù)器、交換機、路由器具有統(tǒng)一的時間。2)數(shù)據(jù)中心保護:網(wǎng)絡(luò)中心、圖書館兩個核心數(shù)據(jù)機房使用防火墻＋IPS重點進行保護。. 架構(gòu)規(guī)劃BBB大學(xué)YYY新校區(qū)數(shù)字化校園支撐平臺邏輯上以業(yè)務(wù)處理為核心，規(guī)劃為三個平面：業(yè)務(wù)流平面、安全防御層面和管控層面。安全防御層面，規(guī)劃為層次化的滲透防御部署。園區(qū)網(wǎng)絡(luò)高可用性可以通過設(shè)備自身的關(guān)鍵部件冗余、協(xié)議的不間斷轉(zhuǎn)發(fā)技術(shù)以及網(wǎng)絡(luò)拓撲的鏈路和設(shè)備冗余設(shè)計來綜合保證：l 設(shè)備的可靠：雙主控、雙電源l 網(wǎng)絡(luò)的可靠：關(guān)鍵設(shè)備雙歸屬、重要鏈路手工聚合、服務(wù)器采用雙網(wǎng)卡l 協(xié)議的可靠：VRRP、防火墻HRPl 架構(gòu)的可靠：重要設(shè)備冗余部署、流量路徑合理規(guī)劃l 應(yīng)用的可靠：服務(wù)器健康檢查l 建議接入交換機上沒有VLAN重疊的規(guī)劃，管理簡單，并能控制廣播域影響；l 利用MSTP多實例特性，合理規(guī)劃VLAN與實例映射關(guān)系，實現(xiàn)業(yè)務(wù)流量的負載分擔(dān)；l 規(guī)劃多個VRRP組，實現(xiàn)匯聚三層網(wǎng)關(guān)的備份和負載分擔(dān)；為防止錯誤的配置或連接形成端口自環(huán)，可在交換機下行端口上開啟loopbackdetection功能，發(fā)生自環(huán)時有多種處理模式可供選擇；l 在邊緣與PC或服務(wù)器相連的端口配成邊緣端口，并啟動BPDU保護，端口狀態(tài)快速轉(zhuǎn)換和不接收BPDU報文；l 為了避免交換機頻繁收到TC報文而去頻繁刪除MAC和ARP表項，繼而引起CPU繁忙業(yè)務(wù)中斷的情況，建議屆時在交換機上開啟TC保護功能；l 為避免整網(wǎng)收到搶根報文而引起網(wǎng)絡(luò)強烈震蕩，在根橋與其它設(shè)備相連的端口上開啟root保護功能；l 匯聚與接入層交換機相連的端口避免配置trunk all，只允許使用的vlan通過，各個雙歸屬環(huán)用vlan隔開，防止一個環(huán)上的廣播泛到另一個環(huán)上去；通過浮動靜態(tài)路由和虛擬交換機技術(shù)，可以方便的實現(xiàn)不同業(yè)務(wù)的鏈路分擔(dān)，例如學(xué)生宿舍的流量通過上行鏈路進入到一臺核心交換機，辦公業(yè)務(wù)通過另外一條上行鏈路進入到另外一臺核心交換機。核心層主要承擔(dān)高速數(shù)據(jù)交換的任務(wù)，同時要為各匯聚節(jié)點提供最佳傳輸通道；匯聚層的主要任務(wù)是把大量來自接入層的訪問路徑進行匯聚和集中，承擔(dān)路由聚合和訪問控制的任務(wù)。 核心層不進行終端系統(tǒng)的連接；216。. 安全規(guī)劃l 采用安全交換一體化架構(gòu)，核心交換機應(yīng)支持多業(yè)務(wù)安全板卡，以便簡化網(wǎng)絡(luò)拓撲、減少網(wǎng)絡(luò)單點故障，提高安全處理性能，方便后期擴展。. 設(shè)備選型核心設(shè)備選擇多級交換架構(gòu)的高可靠核心交換機——H3C 核心交換機S12500。l 獨立的控制引擎，提供強大的主控CPU系統(tǒng)，輕松處理各種協(xié)議報文及控制報文，并支持協(xié)議報文精細控制，為系統(tǒng)提供完善的抗協(xié)議報文攻擊的能力；l 獨立的檢測引擎，提供高可靠和高性能的FFDR（Fast Fault Detection and Restoration快速故障檢測及恢復(fù)）CPU系統(tǒng)，專門用于BFD、OAM等快速故障檢測，并與控制平面的協(xié)議實行聯(lián)動，支持快速保護切換和快速收斂，可以實現(xiàn)50ms的故障檢測，保障業(yè)務(wù)不中斷；l 獨立的維護引擎，智能化的EMS（Embedded Maintenance Subsystem嵌入式維護子系統(tǒng)） CPU系統(tǒng)，該CPU系統(tǒng)支持電源智能管理，可以支持單板順序上下電（降低單板同時上電帶來的電源沖擊，提高設(shè)備壽命，降低電磁輻射，降低系統(tǒng)功耗），設(shè)備在線狀態(tài)檢查。l 支持海量的ACL規(guī)則，匹配長度多達80Bytes，且滿足全線速轉(zhuǎn)發(fā)；可以對各種L2/IPv4/IPv6/MPLS報文及其字段組合進行精細的安全接入控制。l 單板隔離功能，可以將指定單板從轉(zhuǎn)發(fā)平面中隔離出來，不再參與轉(zhuǎn)發(fā)平面的轉(zhuǎn)發(fā)，但被隔離單板仍在控制平面中，可對其進行管理操作。l S12500產(chǎn)品滿足材料環(huán)保與安全性的歐盟RoHS標準。匯聚區(qū)是BBB大學(xué)YYY校區(qū)網(wǎng)絡(luò)承上啟下的關(guān)鍵，需要保證該層次網(wǎng)絡(luò)的可靠性。. 設(shè)備間連接方式。 全面的MPLS、VPLS業(yè)務(wù)能力H3C S7500E所有產(chǎn)品均支持MultiVRF特性，可以作為MCE設(shè)備使用；支持三層的MPLS VPN和二層的MPLS VPN（Martini、Kompella）；支持MPLS OAM特性，方便用戶的管理和維護；與H3C MPLS VPN Manager配合，實現(xiàn)圖形化的MPLS部署與維護。 EAD端點準入防護技術(shù)H3C S7500E支持大容量的Portal認證功能，可以在數(shù)千用戶的局域網(wǎng)中做為EAD網(wǎng)關(guān)設(shè)備，為全網(wǎng)用戶提供EAD安全認證功能；可以在大中型的校園網(wǎng)中擔(dān)任匯聚/核心設(shè)備的同時，為學(xué)生宿舍區(qū)的認證計費提供Portal認證功能。 增強的ACL特性H3C S7500E系列產(chǎn)品支持強大的ACL能力：支持標準和擴展ACL；支持基于VLAN的ACL，方便用戶配置，節(jié)省ACL資源；支持出方向和入方向的ACL，滿足金融等行業(yè)訪問權(quán)限嚴格控制的需求。簡化了管理過程，降低管理成本，并可根據(jù)實際需求平滑擴容網(wǎng)絡(luò)容量。 智能彈性架構(gòu)H3C S5800交換機支持IRF2（第二代智能彈性架構(gòu)）技術(shù)，在擴展性、可靠性、整體架構(gòu)和可用性方面具有強大的優(yōu)勢，主要體現(xiàn)在四個方面：擴展性：IRF技術(shù)允許交換機利用互聯(lián)電纜實現(xiàn)多臺設(shè)備的擴展；具有即插即用、單一IP管理，同步升級的優(yōu)點，同時大大降低系統(tǒng)擴展的成本。H3C S58系列交換機提供增強的ACL控制邏輯，支持超大容量的入方向和出方向ACL，并且支持基于VLAN的ACL下發(fā)，在簡化用戶配置過程的同時，避免了ACL資源的浪費。當網(wǎng)絡(luò)上承載多業(yè)務(wù)、大流量的時候也不影響網(wǎng)絡(luò)的收斂時間，保證業(yè)務(wù)的正常開展。在接入層設(shè)計時，應(yīng)考慮以下幾點：216。 各功能分區(qū)的接入層相對獨立；216。 出色的管理性H3C S58系列交換機支持豐富的管理接口，例如Console、帶外網(wǎng)口、USB口，支持SNMPv1/v2/v3，支持Open View等通用網(wǎng)管平臺以及iMC智能管理中心。252。分布性：通過分布式鏈路聚合技術(shù)，實現(xiàn)多條上行鏈路的負載分擔(dān)和互為備份，從而提高整個網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率。樓宇匯聚設(shè)備采用H3C S580032F三層千兆兆交換機。 電信級高可靠性設(shè)計H3C S7500E采用無單點故障設(shè)計，所有關(guān)鍵部件，如主控板、交換網(wǎng)、電源和風(fēng)扇等采用冗余設(shè)計；無源背板避免了機箱出現(xiàn)單點故障；所有單板和電源模塊支持熱插拔功能；H3C S7500E系列可以在惡劣的環(huán)境下長時間穩(wěn)定運行，％的電信級可靠性。 三平面安全保障機制H3C S7500E提供完善的安全防護機制，可從控制、管理、轉(zhuǎn)發(fā)三平面全面保障網(wǎng)絡(luò)的安全：在控制平面，內(nèi)置協(xié)議報文攻擊識別模塊，防止TCN、ARP等協(xié)議報文攻擊，OSPF/BGP/ISIS路由協(xié)議采用MD5驗證，防止非法路由更新報文導(dǎo)致的網(wǎng)絡(luò)癱瘓；在管理平面，SNMPv3網(wǎng)管協(xié)議，SSH V2，、AAA/Radius的用戶身份認證以及分級的用戶權(quán)限管理保證了設(shè)備管理的安全性；在轉(zhuǎn)發(fā)平面，支持IP、VLAN 、MAC和端口等多種組合精細綁定；支持uRPF單播反向路徑轉(zhuǎn)發(fā)，防止非法流量訪問網(wǎng)絡(luò)，采用最長匹配逐包轉(zhuǎn)發(fā)機制，有效抵御病毒的攻擊。252。. 設(shè)備選型區(qū)域匯聚交換機選擇高可靠，高性能的多引擎高端萬兆交換機——H3C S7500E系列，以保證校園網(wǎng)辦公教學(xué)的正常運行。區(qū)域匯聚交換機分別通過萬兆冗余鏈路接入到兩臺核心交換機，下行接入各個建筑單體的接入交換機，由于學(xué)生公寓組團1和2單個建筑信息點數(shù)量眾多，所以建議在學(xué)生宿舍每個建筑中部署2臺樓宇匯聚交換機，每臺配置雙電源，提高樓宇匯聚節(jié)點的可靠性。 各功能分區(qū)IP地址或路由區(qū)域的匯聚；216。l 支持以太網(wǎng)OAM，提供多種設(shè)備級和網(wǎng)絡(luò)級的故障檢測手段。每個端口可以精確地對所有流向該端口的各個業(yè)務(wù)流進行精確的帶寬分配和流量整形，轉(zhuǎn)發(fā)平面的精確調(diào)度確保支持Ingress方向的分布式緩存，有效共享和利用分布在各線卡上的緩存空間，提供更好的緩存效果。4) 數(shù)據(jù)中心級可靠性保障l S12500提供專用FFDR（Fast Fault Discovery and Restore－快速故障檢測及恢復(fù)）CPU系統(tǒng)，專門用于BFD、OAM等快速故障檢測，并與控制平面的協(xié)議實行聯(lián)動，支持快速保護切換和快速收斂。S12500是中國國內(nèi)第一款100G平臺交換機，支持未來40GE和100GE以太網(wǎng)標準，整機可以提供576個萬兆端口，提供業(yè)界密度最高的萬兆接入能力；面對下一代數(shù)據(jù)中心突發(fā)流量，創(chuàng)新的采用了“分布式入口緩存”技術(shù)，可以實現(xiàn)數(shù)據(jù)在萬兆線速下的200ms緩存，滿足數(shù)據(jù)中心、高性能計算等網(wǎng)絡(luò)突發(fā)流量的要求；為了滿足數(shù)據(jù)中心級網(wǎng)絡(luò)高可靠、高可用、虛擬化的要求，S12500采用創(chuàng)新IRF2（第二代智能彈性架構(gòu)）設(shè)計，將多臺高端設(shè)備虛擬化為一臺邏輯設(shè)備，同時支持獨立的控制引擎、檢測引擎、維護引擎，為系統(tǒng)提供強大的控制能力和50ms的高可靠保障。l 本次需部署網(wǎng)流分析功能模塊，以便管理員能了解網(wǎng)絡(luò)真實運行情況，減少故障隱患，優(yōu)化網(wǎng)絡(luò)鏈路。. 網(wǎng)絡(luò)方案說明網(wǎng)絡(luò)核心區(qū)作為YYY校區(qū)整個校園網(wǎng)的數(shù)據(jù)交換核心，是BBB大學(xué)YYY校區(qū)應(yīng)用系統(tǒng)可靠和高效率運行的基礎(chǔ)，因此建議在核心區(qū)配置兩臺吞吐量高、核心萬兆全分布式線速路由交換機，接入各個功能區(qū)域，下行萬兆光纖連接匯聚交換機，形成萬兆無阻塞線速轉(zhuǎn)發(fā)骨干網(wǎng)。此種組網(wǎng)方案的結(jié)構(gòu)簡單，層次分明，便于管理；控制簡單，便于建網(wǎng)；網(wǎng)絡(luò)延遲時間較小，傳輸誤差較低。進行IPv4園區(qū)規(guī)劃時，同時需要考慮IPv6網(wǎng)絡(luò)應(yīng)用。針對業(yè)務(wù)流的整個過程實現(xiàn)安全防護。業(yè)務(wù)接口為經(jīng)過分類的不同類型應(yīng)用，連接經(jīng)過優(yōu)化的基礎(chǔ)通訊平臺，按照不同層次、不同技術(shù)的服務(wù)保障措施，實現(xiàn)用戶與數(shù)據(jù)中心之間、用戶與用戶之間的應(yīng)用交互。l 對于公共機房、獨立內(nèi)部局域網(wǎng)學(xué)院的網(wǎng)絡(luò)接入要求信息學(xué)院、軟件學(xué)院、圖書館、現(xiàn)教中心公共機房、實驗室等有自己內(nèi)部管理系統(tǒng)的終端用戶，為保證接入校園網(wǎng)時的安全及網(wǎng)絡(luò)資源的正常使用，應(yīng)當具有防ARP病毒、防DHCP欺騙的功能，并且在這些區(qū)域內(nèi)采用嚴格的端點準入控制。l 新老校區(qū)互聯(lián)和出口新老校區(qū)互連：YYY校區(qū)是老校區(qū)網(wǎng)絡(luò)的一個延伸，在YYY新區(qū)網(wǎng)絡(luò)建成以后，新老校區(qū)網(wǎng)絡(luò)的融合將是非常關(guān)鍵的，因此在設(shè)計時考慮通過YYY校區(qū)兩臺核心交換機分別和老校區(qū)科學(xué)館、文淵樓兩臺核心互聯(lián)來實現(xiàn)新老校區(qū)的融合，構(gòu)成4節(jié)點核心骨干網(wǎng)。ACG8800同時支持多路網(wǎng)絡(luò)上行、下行的檢測，支持在不同的方向上應(yīng)用不同的應(yīng)用控制策略；支持與標準Radius服務(wù)器的聯(lián)動，實現(xiàn)IP到用戶應(yīng)用監(jiān)測與控制；支持對可識別的協(xié)議提供基于用戶、時間、地域、應(yīng)用等的綜合組合進行控制，包括告警、限速、干擾、阻斷等控制策略；具有完善的日志輸出，提供基于用戶、時間、應(yīng)用等的流量與流向分析報告功能，同時提供靈活的自定義報表輸出；支持行為審計功能，提供對WEB應(yīng)用、FTP應(yīng)用、Email應(yīng)用、數(shù)據(jù)庫應(yīng)用等的審計；支持網(wǎng)管軟件統(tǒng)一網(wǎng)管，支持SNMPvSNMPv2C、SNMPv3；支持CONSOLE、TELNET、WEB等管理方式。. 詳細設(shè)計出口部署2臺H3C 開放多核路由器SR6616，互為線路和路由備份，SR6616采用多核多線程處理器、全分布式處理架構(gòu)，路由引擎和業(yè)務(wù)引擎硬件分離，所有引擎上控制平面和業(yè)務(wù)平面分離，確保系統(tǒng)全速運行時業(yè)務(wù)和控制互不干擾，主備倒換時不丟包，業(yè)務(wù)不中斷；各業(yè)務(wù)引擎可獨立完成NAT、IPSec、Netstream等業(yè)務(wù)的分布式處理，提高系統(tǒng)的整體業(yè)務(wù)能力，消除傳統(tǒng)高端路由器通過專門的業(yè)務(wù)板處理所造成的高成本；支持分布式的SSL VPN處理，提供遠程安全接入功能。匯聚層可將S551C3550改造為H3C S550028FEI，提供24個千兆SFP端口的同時，支持4端口萬兆的擴展，可實現(xiàn)未來萬兆骨干網(wǎng)絡(luò)的平滑升級。接入用戶通過網(wǎng)絡(luò)邊緣的CE/MCE設(shè)備接入，認證通過后集中策略服務(wù)器根據(jù)認證用戶名下發(fā)策略把用戶端口加入到相應(yīng)的VLAN中，通過VLAN接口與VPN的綁定關(guān)系，把用戶加入到相應(yīng)的VPN中去；服務(wù)器端根據(jù)應(yīng)用和訪問用戶的不同，也把數(shù)據(jù)分配到相應(yīng)的VPN中傳輸，并且PE設(shè)備會為每個VPN建立獨立的轉(zhuǎn)發(fā)表項，各VPN進行獨立的數(shù)據(jù)轉(zhuǎn)發(fā)，這樣就為用戶到服務(wù)器提供了一種端到端業(yè)務(wù)傳輸通道，把不同用戶、不同應(yīng)用的數(shù)據(jù)橫向隔離開來，保證數(shù)據(jù)傳