【正文】 非法業(yè)務的隔離、控制，具備在線主動抵御的能力；校園核心網絡自身集成安全防御能力，縮小攻擊、病毒在校園影響范圍；用戶接入網絡屏蔽用戶非法操作，隔離網絡攻擊；l 利用現有校園網絡資源，整合視訊業(yè)務，提供豐富的網絡辦公、教學IT服務；l 利用現有校園網絡資源，整合校園監(jiān)控業(yè)務，實現平安校園的統一管理；l 實現整個校園網絡的集中統一智能化管理。采用當今國內、國際上先進和成熟的計算機軟硬件技術，使信息化系統能夠最大限度地適應今后技術發(fā)展變化和業(yè)務發(fā)展變化的需要3. 實用性原則。7. 經濟性原則。1. 數字化校園建設是本校建設的重要部分，是一項基礎性、長期性和經常性的工作，其建設水平是本校整體辦學水平、學校形象和地位的重要標志。. 設計思路校本部的網絡升級改造的大原則是不改變原有的星型網絡結構，僅做設備的更新換代。由上可見校園網網絡的需求日益復雜，傳統網絡面臨很多問題無法解決。這樣，無論用戶從網絡何處接入，都要進行安全性檢查和認證，認證通過后由策略服務器統一下發(fā)配置使用戶獲得同樣的網絡資源訪問權限，大大提高了網絡接入的安全性和靈活性。MPLS L3VPN組網方式靈活、可擴展性好，并能夠方便地支持MPLS QoS和MPLS TE，因此得到越來越多的應用。各個片區(qū)網絡中，建議將接入交換機改造為千兆接入交換機H3C S512024PEI，無需升級即可實現基于硬件的IPv4和IPv6的全線速轉發(fā)，同時支持IPv6的ACL和網管，實現IPv4到IPv6的平滑升級；。增加流量分析和整形設備，掌握網絡帶寬真正使用情況，保障關鍵業(yè)務的帶寬，使出口帶寬資源合理有效分配，提高出口帶寬的有效利用。ACG8800最大并發(fā)會話數2M，整機處理能力4 Gbps，滿足BBB大學校本部近萬用戶的規(guī)模使用。l 時鐘同步系統保證網絡上的各種設備如服務器、交換機、路由器具有統一的時間。2)數據中心保護:網絡中心、圖書館兩個核心數據機房使用防火墻＋IPS重點進行保護。. 架構規(guī)劃BBB大學YYY新校區(qū)數字化校園支撐平臺邏輯上以業(yè)務處理為核心，規(guī)劃為三個平面：業(yè)務流平面、安全防御層面和管控層面。安全防御層面，規(guī)劃為層次化的滲透防御部署。園區(qū)網絡高可用性可以通過設備自身的關鍵部件冗余、協議的不間斷轉發(fā)技術以及網絡拓撲的鏈路和設備冗余設計來綜合保證：l 設備的可靠：雙主控、雙電源l 網絡的可靠：關鍵設備雙歸屬、重要鏈路手工聚合、服務器采用雙網卡l 協議的可靠：VRRP、防火墻HRPl 架構的可靠：重要設備冗余部署、流量路徑合理規(guī)劃l 應用的可靠：服務器健康檢查l 建議接入交換機上沒有VLAN重疊的規(guī)劃，管理簡單，并能控制廣播域影響；l 利用MSTP多實例特性，合理規(guī)劃VLAN與實例映射關系，實現業(yè)務流量的負載分擔；l 規(guī)劃多個VRRP組，實現匯聚三層網關的備份和負載分擔；為防止錯誤的配置或連接形成端口自環(huán)，可在交換機下行端口上開啟loopbackdetection功能，發(fā)生自環(huán)時有多種處理模式可供選擇；l 在邊緣與PC或服務器相連的端口配成邊緣端口，并啟動BPDU保護，端口狀態(tài)快速轉換和不接收BPDU報文；l 為了避免交換機頻繁收到TC報文而去頻繁刪除MAC和ARP表項，繼而引起CPU繁忙業(yè)務中斷的情況，建議屆時在交換機上開啟TC保護功能；l 為避免整網收到搶根報文而引起網絡強烈震蕩，在根橋與其它設備相連的端口上開啟root保護功能；l 匯聚與接入層交換機相連的端口避免配置trunk all，只允許使用的vlan通過，各個雙歸屬環(huán)用vlan隔開，防止一個環(huán)上的廣播泛到另一個環(huán)上去；通過浮動靜態(tài)路由和虛擬交換機技術，可以方便的實現不同業(yè)務的鏈路分擔，例如學生宿舍的流量通過上行鏈路進入到一臺核心交換機，辦公業(yè)務通過另外一條上行鏈路進入到另外一臺核心交換機。核心層主要承擔高速數據交換的任務，同時要為各匯聚節(jié)點提供最佳傳輸通道；匯聚層的主要任務是把大量來自接入層的訪問路徑進行匯聚和集中，承擔路由聚合和訪問控制的任務。 核心層不進行終端系統的連接；216。. 安全規(guī)劃l 采用安全交換一體化架構，核心交換機應支持多業(yè)務安全板卡，以便簡化網絡拓撲、減少網絡單點故障，提高安全處理性能，方便后期擴展。. 設備選型核心設備選擇多級交換架構的高可靠核心交換機——H3C 核心交換機S12500。l 獨立的控制引擎，提供強大的主控CPU系統，輕松處理各種協議報文及控制報文，并支持協議報文精細控制，為系統提供完善的抗協議報文攻擊的能力；l 獨立的檢測引擎，提供高可靠和高性能的FFDR（Fast Fault Detection and Restoration快速故障檢測及恢復）CPU系統，專門用于BFD、OAM等快速故障檢測，并與控制平面的協議實行聯動，支持快速保護切換和快速收斂，可以實現50ms的故障檢測，保障業(yè)務不中斷；l 獨立的維護引擎，智能化的EMS（Embedded Maintenance Subsystem嵌入式維護子系統） CPU系統，該CPU系統支持電源智能管理，可以支持單板順序上下電（降低單板同時上電帶來的電源沖擊，提高設備壽命，降低電磁輻射，降低系統功耗），設備在線狀態(tài)檢查。l 支持海量的ACL規(guī)則，匹配長度多達80Bytes，且滿足全線速轉發(fā)；可以對各種L2/IPv4/IPv6/MPLS報文及其字段組合進行精細的安全接入控制。l 單板隔離功能，可以將指定單板從轉發(fā)平面中隔離出來，不再參與轉發(fā)平面的轉發(fā)，但被隔離單板仍在控制平面中，可對其進行管理操作。l S12500產品滿足材料環(huán)保與安全性的歐盟RoHS標準。匯聚區(qū)是BBB大學YYY校區(qū)網絡承上啟下的關鍵，需要保證該層次網絡的可靠性。. 設備間連接方式。 全面的MPLS、VPLS業(yè)務能力H3C S7500E所有產品均支持MultiVRF特性，可以作為MCE設備使用；支持三層的MPLS VPN和二層的MPLS VPN（Martini、Kompella）；支持MPLS OAM特性，方便用戶的管理和維護；與H3C MPLS VPN Manager配合，實現圖形化的MPLS部署與維護。 EAD端點準入防護技術H3C S7500E支持大容量的Portal認證功能，可以在數千用戶的局域網中做為EAD網關設備，為全網用戶提供EAD安全認證功能；可以在大中型的校園網中擔任匯聚/核心設備的同時，為學生宿舍區(qū)的認證計費提供Portal認證功能。 增強的ACL特性H3C S7500E系列產品支持強大的ACL能力：支持標準和擴展ACL；支持基于VLAN的ACL，方便用戶配置，節(jié)省ACL資源；支持出方向和入方向的ACL，滿足金融等行業(yè)訪問權限嚴格控制的需求。簡化了管理過程，降低管理成本，并可根據實際需求平滑擴容網絡容量。 智能彈性架構H3C S5800交換機支持IRF2（第二代智能彈性架構）技術，在擴展性、可靠性、整體架構和可用性方面具有強大的優(yōu)勢，主要體現在四個方面：擴展性：IRF技術允許交換機利用互聯電纜實現多臺設備的擴展；具有即插即用、單一IP管理，同步升級的優(yōu)點，同時大大降低系統擴展的成本。H3C S58系列交換機提供增強的ACL控制邏輯，支持超大容量的入方向和出方向ACL，并且支持基于VLAN的ACL下發(fā)，在簡化用戶配置過程的同時，避免了ACL資源的浪費。當網絡上承載多業(yè)務、大流量的時候也不影響網絡的收斂時間，保證業(yè)務的正常開展。在接入層設計時，應考慮以下幾點：216。 各功能分區(qū)的接入層相對獨立；216。 出色的管理性H3C S58系列交換機支持豐富的管理接口，例如Console、帶外網口、USB口，支持SNMPv1/v2/v3，支持Open View等通用網管平臺以及iMC智能管理中心。252。分布性：通過分布式鏈路聚合技術，實現多條上行鏈路的負載分擔和互為備份，從而提高整個網絡架構的冗余性和鏈路資源的利用率。樓宇匯聚設備采用H3C S580032F三層千兆兆交換機。 電信級高可靠性設計H3C S7500E采用無單點故障設計，所有關鍵部件，如主控板、交換網、電源和風扇等采用冗余設計；無源背板避免了機箱出現單點故障；所有單板和電源模塊支持熱插拔功能；H3C S7500E系列可以在惡劣的環(huán)境下長時間穩(wěn)定運行，％的電信級可靠性。 三平面安全保障機制H3C S7500E提供完善的安全防護機制，可從控制、管理、轉發(fā)三平面全面保障網絡的安全：在控制平面，內置協議報文攻擊識別模塊，防止TCN、ARP等協議報文攻擊，OSPF/BGP/ISIS路由協議采用MD5驗證，防止非法路由更新報文導致的網絡癱瘓；在管理平面，SNMPv3網管協議，SSH V2，、AAA/Radius的用戶身份認證以及分級的用戶權限管理保證了設備管理的安全性；在轉發(fā)平面，支持IP、VLAN 、MAC和端口等多種組合精細綁定；支持uRPF單播反向路徑轉發(fā)，防止非法流量訪問網絡，采用最長匹配逐包轉發(fā)機制，有效抵御病毒的攻擊。252。. 設備選型區(qū)域匯聚交換機選擇高可靠，高性能的多引擎高端萬兆交換機——H3C S7500E系列，以保證校園網辦公教學的正常運行。區(qū)域匯聚交換機分別通過萬兆冗余鏈路接入到兩臺核心交換機，下行接入各個建筑單體的接入交換機，由于學生公寓組團1和2單個建筑信息點數量眾多，所以建議在學生宿舍每個建筑中部署2臺樓宇匯聚交換機，每臺配置雙電源，提高樓宇匯聚節(jié)點的可靠性。 各功能分區(qū)IP地址或路由區(qū)域的匯聚；216。l 支持以太網OAM，提供多種設備級和網絡級的故障檢測手段。每個端口可以精確地對所有流向該端口的各個業(yè)務流進行精確的帶寬分配和流量整形，轉發(fā)平面的精確調度確保支持Ingress方向的分布式緩存，有效共享和利用分布在各線卡上的緩存空間，提供更好的緩存效果。4) 數據中心級可靠性保障l S12500提供專用FFDR（Fast Fault Discovery and Restore－快速故障檢測及恢復）CPU系統，專門用于BFD、OAM等快速故障檢測，并與控制平面的協議實行聯動，支持快速保護切換和快速收斂。S12500是中國國內第一款100G平臺交換機，支持未來40GE和100GE以太網標準，整機可以提供576個萬兆端口，提供業(yè)界密度最高的萬兆接入能力；面對下一代數據中心突發(fā)流量，創(chuàng)新的采用了“分布式入口緩存”技術，可以實現數據在萬兆線速下的200ms緩存，滿足數據中心、高性能計算等網絡突發(fā)流量的要求；為了滿足數據中心級網絡高可靠、高可用、虛擬化的要求，S12500采用創(chuàng)新IRF2（第二代智能彈性架構）設計，將多臺高端設備虛擬化為一臺邏輯設備，同時支持獨立的控制引擎、檢測引擎、維護引擎，為系統提供強大的控制能力和50ms的高可靠保障。l 本次需部署網流分析功能模塊，以便管理員能了解網絡真實運行情況，減少故障隱患，優(yōu)化網絡鏈路。. 網絡方案說明網絡核心區(qū)作為YYY校區(qū)整個校園網的數據交換核心，是BBB大學YYY校區(qū)應用系統可靠和高效率運行的基礎，因此建議在核心區(qū)配置兩臺吞吐量高、核心萬兆全分布式線速路由交換機，接入各個功能區(qū)域，下行萬兆光纖連接匯聚交換機，形成萬兆無阻塞線速轉發(fā)骨干網。此種組網方案的結構簡單，層次分明，便于管理；控制簡單，便于建網；網絡延遲時間較小，傳輸誤差較低。進行IPv4園區(qū)規(guī)劃時，同時需要考慮IPv6網絡應用。針對業(yè)務流的整個過程實現安全防護。業(yè)務接口為經過分類的不同類型應用，連接經過優(yōu)化的基礎通訊平臺，按照不同層次、不同技術的服務保障措施，實現用戶與數據中心之間、用戶與用戶之間的應用交互。l 對于公共機房、獨立內部局域網學院的網絡接入要求信息學院、軟件學院、圖書館、現教中心公共機房、實驗室等有自己內部管理系統的終端用戶，為保證接入校園網時的安全及網絡資源的正常使用，應當具有防ARP病毒、防DHCP欺騙的功能，并且在這些區(qū)域內采用嚴格的端點準入控制。l 新老校區(qū)互聯和出口新老校區(qū)互連：YYY校區(qū)是老校區(qū)網絡的一個延伸，在YYY新區(qū)網絡建成以后，新老校區(qū)網絡的融合將是非常關鍵的，因此在設計時考慮通過YYY校區(qū)兩臺核心交換機分別和老校區(qū)科學館、文淵樓兩臺核心互聯來實現新老校區(qū)的融合，構成4節(jié)點核心骨干網。ACG8800同時支持多路網絡上行、下行的檢測，支持在不同的方向上應用不同的應用控制策略；支持與標準Radius服務器的聯動，實現IP到用戶應用監(jiān)測與控制；支持對可識別的協議提供基于用戶、時間、地域、應用等的綜合組合進行控制，包括告警、限速、干擾、阻斷等控制策略；具有完善的日志輸出，提供基于用戶、時間、應用等的流量與流向分析報告功能，同時提供靈活的自定義報表輸出；支持行為審計功能，提供對WEB應用、FTP應用、Email應用、數據庫應用等的審計；支持網管軟件統一網管，支持SNMPvSNMPv2C、SNMPv3；支持CONSOLE、TELNET、WEB等管理方式。. 詳細設計出口部署2臺H3C 開放多核路由器SR6616，互為線路和路由備份，SR6616采用多核多線程處理器、全分布式處理架構，路由引擎和業(yè)務引擎硬件分離，所有引擎上控制平面和業(yè)務平面分離，確保系統全速運行時業(yè)務和控制互不干擾，主備倒換時不丟包，業(yè)務不中斷；各業(yè)務引擎可獨立完成NAT、IPSec、Netstream等業(yè)務的分布式處理，提高系統的整體業(yè)務能力，消除傳統高端路由器通過專門的業(yè)務板處理所造成的高成本；支持分布式的SSL VPN處理，提供遠程安全接入功能。匯聚層可將S551C3550改造為H3C S550028FEI，提供24個千兆SFP端口的同時，支持4端口萬兆的擴展，可實現未來萬兆骨干網絡的平滑升級。接入用戶通過網絡邊緣的CE/MCE設備接入，認證通過后集中策略服務器根據認證用戶名下發(fā)策略把用戶端口加入到相應的VLAN中，通過VLAN接口與VPN的綁定關系，把用戶加入到相應的VPN中去；服務器端根據應用和訪問用戶的不同，也把數據分配到相應的VPN中傳輸，并且PE設備會為每個VPN建立獨立的轉發(fā)表項，各VPN進行獨立的數據轉發(fā)，這樣就為用戶到服務器提供了一種端到端業(yè)務傳輸通道，把不同用戶、不同應用的數據橫向隔離開來，保證數據傳