【正文】 平臺，提供軟件開發(fā)環(huán)境?；A(chǔ)硬件部份，建議通過網(wǎng)絡(luò)接入XX市政府云計算中心，獲取IAAS基礎(chǔ)設(shè)施服務(wù)(如“桌面云”服務(wù))，減少服務(wù)器和存儲硬件的投入。2)、數(shù)據(jù)資源服務(wù)提供數(shù)據(jù)交換、數(shù)據(jù)挖掘等數(shù)據(jù)的分析處理平臺。通過數(shù)據(jù)抽取、轉(zhuǎn)換、挖掘、裝載，形成系統(tǒng)的業(yè)務(wù)數(shù)據(jù)、操作數(shù)據(jù)、運維數(shù)據(jù)、管理數(shù)據(jù)、日志數(shù)據(jù)、決策數(shù)據(jù)等各類主題數(shù)據(jù)庫。為系統(tǒng)應(yīng)用提供數(shù)據(jù)的來源和應(yīng)用的基礎(chǔ)。3)、基礎(chǔ)服務(wù)為應(yīng)用提供管理運維、身份認證、工作流等服務(wù)及服務(wù)的組件的管理，包括身份登記、服務(wù)注冊等。4）、應(yīng)用服務(wù)是面向用戶的軟件應(yīng)用服務(wù)，提供業(yè)務(wù)管理、運維管理、統(tǒng)一門戶、統(tǒng)一認證、統(tǒng)一決策管理。高效的校園管理應(yīng)用體系中，包括校園通信網(wǎng)絡(luò)、安全監(jiān)控、建筑設(shè)備自動化、視頻會議、門戶網(wǎng)站、教務(wù)管理、OA辦公、信息安全管理、能源管理、資產(chǎn)管理、校園GIS等業(yè)務(wù)應(yīng)用系統(tǒng)，針對校園實際建設(shè)情況，作相應(yīng)詳略設(shè)計。（1）校園信息網(wǎng)絡(luò)總體設(shè)計1）技術(shù)需求校園信息網(wǎng)作為公用信息傳輸平臺，應(yīng)滿足NGN綜合業(yè)務(wù)要求，滿足國家下一代互聯(lián)網(wǎng)（CNGI）對網(wǎng)絡(luò)提出的要求，全網(wǎng)設(shè)備支持IPv6/v4雙棧協(xié)議。l 無線接入需求在全校范圍內(nèi)特別是圖書館、體育館、會議室等重點公共區(qū)域場所實現(xiàn)有線、無線全覆蓋。l 網(wǎng)絡(luò)安全性需求校園內(nèi)部網(wǎng)絡(luò)安全考慮，首先是公共資源的安全，如數(shù)據(jù)中心、圖書館要防止來自內(nèi)網(wǎng)的攻擊和安全事件；其次是各單位自身的數(shù)據(jù)安全需求；最后是用戶的接入管理；要建設(shè)一個安全、可靠、穩(wěn)定的出口來防止來自互聯(lián)網(wǎng)的攻擊。l 統(tǒng)一網(wǎng)絡(luò)管理平臺為了保障網(wǎng)絡(luò)安全、穩(wěn)定運行，簡化管理，必須對所有網(wǎng)絡(luò)設(shè)備的狀態(tài)、性能、配置、密碼、故障、安全事件、資產(chǎn)進行統(tǒng)一管理、監(jiān)控，使網(wǎng)絡(luò)管理者能及時、清楚的了解整個網(wǎng)絡(luò)的運行狀況。l 時鐘同步系統(tǒng)保證網(wǎng)絡(luò)上的各種設(shè)備如服務(wù)器、交換機、路由器具有統(tǒng)一的時間。2）設(shè)計要求l 網(wǎng)絡(luò)整體構(gòu)架整個網(wǎng)絡(luò)采用雙核心、匯聚（核心和匯聚層設(shè)備物理位置集中在核心機房）、接入三層構(gòu)架方式，每個匯聚點以萬兆雙鏈路上聯(lián)至核心節(jié)點，公共區(qū)域雙鏈路千兆上聯(lián)至兩核心機房匯聚交換機，學生宿舍每棟樓單鏈路千兆上聯(lián)至就近學生宿舍區(qū)匯聚交換機，提供辦公區(qū)域千兆或百兆、學生區(qū)域百兆接入；學院、圖書館實現(xiàn)雙萬兆連接至匯聚。l 整網(wǎng)路由規(guī)劃校園網(wǎng)全網(wǎng)采用OSPF路由協(xié)議l 網(wǎng)絡(luò)安全①邊界防護：在整個網(wǎng)絡(luò)的外部出口部署防火墻＋IPS設(shè)備，對出口流量進行管理、對應(yīng)用進行識別控制的目的，防止校園網(wǎng)絡(luò)帶寬濫用。出口安全可達到線速萬兆，支持校園網(wǎng)對帶寬的高速需求。②數(shù)據(jù)中心保護:網(wǎng)絡(luò)中心、圖書館兩個核心數(shù)據(jù)機房使用防火墻＋IPS重點進行保護。l 內(nèi)網(wǎng)控制和行為審計為保護校園骨干網(wǎng)絡(luò)，在每個分支的匯聚節(jié)點（包括大匯聚區(qū)域和服務(wù)器的匯聚區(qū)域）部署安全管理設(shè)備統(tǒng)一管理從不同匯聚節(jié)點收集的安全事件，并能夠自動輸出審計報告，全面掌握全網(wǎng)的安全狀況。l 對于公共機房、獨立內(nèi)部局域網(wǎng)的網(wǎng)絡(luò)接入要求對于學院、圖書館、公共機房、實驗室等有自己內(nèi)部管理系統(tǒng)的終端用戶，為保證接入校園網(wǎng)時的安全及網(wǎng)絡(luò)資源的正常使用，應(yīng)當具有防ARP病毒、防DHCP欺騙的功能，并且在這些區(qū)域內(nèi)采用嚴格的端點準入控制。l 無線網(wǎng)絡(luò)實現(xiàn)對校園內(nèi)無線上網(wǎng)的可管可控。無線網(wǎng)絡(luò)集中的策略管理，所有AP無需配置，策略可通過無線交換機統(tǒng)一下發(fā)；支持多種認證及計費技術(shù)（Portal、MAC）；有效的非法AP管理方案，AP在接入正常用戶的同時，可發(fā)現(xiàn)并將非法AP隔絕在網(wǎng)外。l 其它專網(wǎng)如果其它專網(wǎng)（油田專網(wǎng)的部分或全部，）要在校園信息網(wǎng)絡(luò)上運行，則考慮在校園網(wǎng)上提供VPN的方式來實現(xiàn)，校園網(wǎng)提供安全通道，但各應(yīng)用系統(tǒng)必須考慮自身的安全措施。l 網(wǎng)絡(luò)管理部署統(tǒng)一的網(wǎng)絡(luò)管理平臺，涵蓋拓撲、告警、性能和配置等管理功能，使網(wǎng)絡(luò)狀況一目了然，而且需要結(jié)合交換機和路由器設(shè)備，實現(xiàn)客戶所需的各種嚴格的訪問控制策略，從而構(gòu)成對網(wǎng)絡(luò)訪問的權(quán)限控制。網(wǎng)絡(luò)管理平臺除了管理傳統(tǒng)的路由器、交換機外，還可以對網(wǎng)絡(luò)中的無線、安全、語音、存儲、服務(wù)器、打印機、UPS等設(shè)備進行管理，實現(xiàn)設(shè)備資源的集中化管理；可以快速、準確地發(fā)現(xiàn)網(wǎng)絡(luò)資源，包括路由方式、ARP方式、IPSec VPN方式、網(wǎng)段方式等；支持設(shè)備面板管理，所見即所得的顯示設(shè)備的資產(chǎn)組成和運行狀態(tài)。3）架構(gòu)規(guī)劃XX學?；匦@網(wǎng)支撐平臺邏輯上以業(yè)務(wù)處理為核心，規(guī)劃為三個平面：業(yè)務(wù)流平面、安全防御平面和管控平面。業(yè)務(wù)流平面為多業(yè)務(wù)支撐的承載基礎(chǔ)。業(yè)務(wù)接口為經(jīng)過分類的不同類型應(yīng)用，連接經(jīng)過優(yōu)化的基礎(chǔ)通訊平臺，按照不同層次、不同技術(shù)的服務(wù)保障措施，實現(xiàn)用戶與數(shù)據(jù)中心之間、用戶與用戶之間的應(yīng)用交互。l 對于基礎(chǔ)平臺，經(jīng)過優(yōu)化處理，將對業(yè)務(wù)的靈活性、可控性、性能、可靠性起到提升的作用。設(shè)計內(nèi)容包括提升局部帶寬消除數(shù)據(jù)傳輸瓶頸，消除平臺單點故障提升網(wǎng)絡(luò)可用性，遷移IPv6技術(shù)提升業(yè)務(wù)的靈活性，部署MPLS VPN提升業(yè)務(wù)可控性。通過對基礎(chǔ)平臺實施WLAN功能拓展，提供更豐富的接入手段與移動業(yè)務(wù)。l 業(yè)務(wù)通過優(yōu)化設(shè)計，可實施兩種端到端服務(wù)質(zhì)量保障措施，其一為從園區(qū)內(nèi)部接入通過DSCP技術(shù)進行業(yè)務(wù)區(qū)分處理，將COS Mapping到校區(qū)骨干MPLS網(wǎng)的EXP值；其二為對關(guān)鍵業(yè)務(wù)在校區(qū)骨干上部署MPLS PE實現(xiàn)資源預(yù)留。l 而數(shù)據(jù)中心作為多業(yè)務(wù)部署的心臟，通過災(zāi)備的設(shè)計，規(guī)劃其可靠性、可管理性與可擴展性，實現(xiàn)面向業(yè)務(wù)的集中存儲、數(shù)據(jù)保護和多系統(tǒng)虛擬化，保障多業(yè)務(wù)系統(tǒng)與用戶之間的交互。安全防御層面，規(guī)劃為層次化的滲透防御部署。面向外網(wǎng)出口層、校園匯聚層、校園核心層、數(shù)據(jù)中心、用戶行為控制五個層面安全規(guī)劃設(shè)計。針對業(yè)務(wù)流的整個過程實現(xiàn)安全防護。管控層面針對業(yè)務(wù)流各個環(huán)節(jié)的相應(yīng)環(huán)節(jié)，包括設(shè)備資源、用戶資源、業(yè)務(wù)流量、業(yè)務(wù)隔離、安全信息進行整合管理，有效調(diào)整業(yè)務(wù)流的可用性和平滑性。通過多個環(huán)節(jié)之間的關(guān)聯(lián)管理，實現(xiàn)降低多業(yè)務(wù)支撐平臺運維的整體擁有成本。4）高可用園區(qū)規(guī)劃XX學?；刂腔坌@園區(qū)網(wǎng)絡(luò)作為實際業(yè)務(wù)的接入和承載體，必須具有高可用性。高可用性主要體現(xiàn)在以下幾個方面：l 保持網(wǎng)絡(luò)長時間的無故障運行；l 保證突發(fā)情況下的網(wǎng)絡(luò)可用性和可恢復(fù)性；l 惡劣環(huán)境條件下的網(wǎng)絡(luò)應(yīng)用；l 抵抗災(zāi)難。網(wǎng)絡(luò)建設(shè)高可用性設(shè)計，需要全方位多角度的對網(wǎng)絡(luò)可靠性給予充分保障。園區(qū)網(wǎng)絡(luò)高可用性可以通過設(shè)備自身的關(guān)鍵部件冗余、協(xié)議的不間斷轉(zhuǎn)發(fā)技術(shù)以及網(wǎng)絡(luò)拓撲的鏈路和設(shè)備冗余設(shè)計來綜合保證：l 設(shè)備的可靠：雙主控、雙電源l 網(wǎng)絡(luò)的可靠：關(guān)鍵設(shè)備雙歸屬、重要鏈路手工聚合、服務(wù)器采用雙網(wǎng)卡l 協(xié)議的可靠：VRRP、防火墻HRPl 架構(gòu)的可靠：重要設(shè)備冗余部署、流量路徑合理規(guī)劃l 應(yīng)用的可靠：服務(wù)器健康檢查l 建議接入交換機上沒有VLAN重疊的規(guī)劃，管理簡單，并能控制廣播域影響；l 利用MSTP多實例特性，合理規(guī)劃VLAN與實例映射關(guān)系，實現(xiàn)業(yè)務(wù)流量的負載分擔；l 規(guī)劃多個VRRP組，實現(xiàn)匯聚三層網(wǎng)關(guān)的備份和負載分擔；為防止錯誤的配置或連接形成端口自環(huán)，可在交換機下行端口上開啟loopbackdetection功能，發(fā)生自環(huán)時有多種處理模式可供選擇；l 在邊緣與PC或服務(wù)器相連的端口配成邊緣端口，并啟動BPDU保護，端口狀態(tài)快速轉(zhuǎn)換和不接收BPDU報文；l 為了避免交換機頻繁收到TC報文而去頻繁刪除MAC和ARP表項，繼而引起CPU繁忙業(yè)務(wù)中斷的情況，建議屆時在交換機上開啟TC保護功能；l 為避免整網(wǎng)收到搶根報文而引起網(wǎng)絡(luò)強烈震蕩，在根橋與其它設(shè)備相連的端口上開啟root保護功能；l 匯聚與接入層交換機相連的端口避免配置trunk all，只允許使用的vlan通過，各個雙歸屬環(huán)用vlan隔開，防止一個環(huán)上的廣播泛到另一個環(huán)上去；通過浮動靜態(tài)路由和虛擬交換機技術(shù)，可以方便的實現(xiàn)不同業(yè)務(wù)的鏈路分擔，例如學生宿舍的流量通過上行鏈路進入到一臺核心交換機，辦公業(yè)務(wù)通過另外一條上行鏈路進入到另外一臺核心交換機。5）IPv6園區(qū)規(guī)劃作為數(shù)字化校園的一部分，IPv6網(wǎng)絡(luò)能力必不可少。進行IPv4園區(qū)規(guī)劃時，同時需要考慮IPv6網(wǎng)絡(luò)應(yīng)用。XX學校基地智慧校園園區(qū)網(wǎng)是一個全面支持IPv6的網(wǎng)絡(luò)，后續(xù)的部署也全部采用支持支持雙棧的交換機設(shè)備，三層設(shè)備上同時運行OSPFv2和OSPFv3兩套協(xié)議，盡管運行在同一個設(shè)備上，這兩套協(xié)議是互相獨立的。OSPFv3的邏輯拓撲圖（AREA規(guī)劃）和OSPFv2可以完全不同。6）網(wǎng)絡(luò)拓撲總體設(shè)計在校園網(wǎng)的建設(shè)中，網(wǎng)絡(luò)架構(gòu)的選擇具有舉足輕重的作用，組網(wǎng)架構(gòu)決定整個校園網(wǎng)絡(luò)的性能、可擴展性、可管理性、線纜布放、區(qū)域劃分等諸多關(guān)鍵因素，從目前的主流的組網(wǎng)架構(gòu)上看，每種組網(wǎng)架構(gòu)都具有優(yōu)點與缺點，關(guān)鍵是要選擇適合于學校自身特點的架構(gòu)，合理的組網(wǎng)架構(gòu)是一個優(yōu)秀校園網(wǎng)絡(luò)的基礎(chǔ)。本次XX學?；匦@網(wǎng)采用星形網(wǎng)絡(luò)結(jié)構(gòu)為主的三層結(jié)構(gòu)（核心層、匯聚層及接入層）。三層結(jié)構(gòu)是大型網(wǎng)絡(luò)常用的層次化網(wǎng)絡(luò)設(shè)計模型。核心層主要承擔高速數(shù)據(jù)交換的任務(wù)，同時要為各匯聚節(jié)點提供最佳傳輸通道；匯聚層的主要任務(wù)是把大量來自接入層的訪問路徑進行匯聚和集中，承擔路由聚合和訪問控制的任務(wù)。這就要求匯聚層設(shè)備必須具備良好的可擴展性，必須使用模塊化的體系結(jié)構(gòu)，可通過增加板卡提高端口密度，以便匯接更多的接入層設(shè)備；接入層的主要任務(wù)是完成用戶的接入，它直接和用戶連接，可能遭受ARP風暴、MAC掃描、ICMP風暴、帶寬攻擊等等攻擊方式，對安全性的要求很高，另一方面必須提供靈活的用戶管理手段。此種組網(wǎng)方案的結(jié)構(gòu)簡單，層次分明，便于管理；控制簡單，便于建網(wǎng)；網(wǎng)絡(luò)延遲時間較小，傳輸誤差較低。對于鏈路層的安全可考慮采用不同鏈路的主備主干光纜方式實現(xiàn)。XX學校基地智慧校園信息網(wǎng)網(wǎng)絡(luò)拓撲示意見圖。XX智慧校園網(wǎng)絡(luò)拓撲示意圖下面就各個區(qū)域做詳細的設(shè)計。（2）核心層設(shè)計核心層：提供高速的三層交換骨干。l 核心層不進行終端系統(tǒng)的連接；l 核心層不實施影響高速交換性能的ACL等功能。1）網(wǎng)絡(luò)方案說明網(wǎng)絡(luò)核心區(qū)作為整個校園網(wǎng)的數(shù)據(jù)交換核心，是XX學?；匦^(qū)應(yīng)用系統(tǒng)可靠和高效率運行的基礎(chǔ)，因此建議在核心區(qū)配置兩臺吞吐量高、核心萬兆全分布式線速路由交換機，接入各個功能區(qū)域，下行萬兆光纖連接匯聚交換機，形成萬兆無阻塞線速轉(zhuǎn)發(fā)骨干網(wǎng)。核心設(shè)備采用多級交換架構(gòu)，即使用獨立的交換網(wǎng)板卡，可以為設(shè)備提供擴展的交換容量，多塊交換網(wǎng)板同時分擔業(yè)務(wù)流量；控制引擎和交換網(wǎng)板硬件相互獨立，并且配置冗余電源和冗余風扇，最大程度的保障設(shè)備可靠性。兩臺核心設(shè)備互為備份，之間采用雙萬兆連接，區(qū)域匯聚設(shè)備雙歸屬上聯(lián)，其中任何一臺核心交換機或核心交換機上的板卡出現(xiàn)故障后，正常工作的核心交換機能夠立即接管故障核心交換機所有交換工作。在兩臺核心交換機都正常工作時能夠?qū)π^(qū)匯聚交互區(qū)域轉(zhuǎn)發(fā)過來的數(shù)據(jù)流量進行負載均衡，兩臺核心交換機同時承擔核心網(wǎng)絡(luò)數(shù)據(jù)交換工作。為了簡化網(wǎng)絡(luò)部署，簡化網(wǎng)絡(luò)管理，并提高故障恢復(fù)的速度，核心和各個功能分區(qū)建議采用虛擬交換架構(gòu)技術(shù)。兩臺核心交換機虛擬成一臺邏輯交換機，通過跨設(shè)備鏈路聚合與匯聚層設(shè)備互聯(lián)。2）安全規(guī)劃l 采用安全交換一體化架構(gòu)，核心交換機應(yīng)支持多業(yè)務(wù)安全板卡，以便簡化網(wǎng)絡(luò)拓撲、減少網(wǎng)絡(luò)單點故障，提高安全處理性能，方便后期擴展。本次部署IPS模塊，及時阻止各種針對系統(tǒng)漏洞的攻擊，屏蔽蠕蟲、病毒和間諜軟件，防御DOS及DDOS攻擊，阻斷或限制P2P應(yīng)用，完成應(yīng)用系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和系統(tǒng)性能保護的關(guān)鍵任務(wù)。l 本次需部署網(wǎng)絡(luò)流量分析功能模塊，以便管理員能了解網(wǎng)絡(luò)真實運行情況，減少故障隱患，優(yōu)化網(wǎng)絡(luò)鏈路。l 但是為了避免在核心區(qū)由于多區(qū)域之間安全策略的交叉而導(dǎo)致部署復(fù)雜，維護困難。核心區(qū)只提供高速轉(zhuǎn)發(fā)功能，各區(qū)域間的訪問控制策略在各區(qū)域邊界（出口路由器或匯聚交換機）實施。l 核心交換機支持高性能MPLS處理，可以有效隔離校園網(wǎng)各業(yè)務(wù)，減少各業(yè)務(wù)之間干擾，保證業(yè)務(wù)之間的安全性和可靠性3）設(shè)備間連接方式兩臺核心設(shè)備分別放置在網(wǎng)絡(luò)中心核心機房和圖書館核心機房，采用雙單模萬兆接口互聯(lián)，并且采用虛擬交換架構(gòu)技術(shù)虛擬成一臺邏輯設(shè)備。單臺匯聚交換機雙萬兆鏈路接入兩臺核心交換機，核心交換機與放置在相同核心機房的匯聚交換機采用多模萬兆互聯(lián)，與不同核心機房的匯聚交換機采用單模萬兆互聯(lián)。2條下行萬兆鏈路采用跨設(shè)備聚合技術(shù)虛擬成一條邏輯鏈路，從而簡化網(wǎng)絡(luò)部署提高故障恢復(fù)速度。（3）匯聚層設(shè)計匯聚層：作為接入層和核心層的分界層，匯聚層完成以下的功能：l 各功能分區(qū)IP地址或路由區(qū)域的匯聚；l 不同業(yè)務(wù)功能的匯聚；l 本功能區(qū)VLAN 間的路由；l 廣播域或組播域的邊界；l 在匯聚層實施功能區(qū)內(nèi)、功能區(qū)之間的安全訪問策略。1）網(wǎng)絡(luò)方案說明匯聚區(qū)是XX學?；匦@網(wǎng)絡(luò)承上啟下的關(guān)鍵，需要保證該層次網(wǎng)絡(luò)的可靠性。每個區(qū)域匯聚區(qū)部署1臺高端交換機，采用多引擎架構(gòu)架構(gòu)，并且配置冗余引擎、冗余電源和冗余風扇，以保障設(shè)備的可靠性。區(qū)域匯聚交換機分別通過萬兆冗余鏈路接入到兩臺核心交換機，下行接入各個建筑單體的接入交換機，由于學生公寓組團單個建筑信息點數(shù)量眾多，所以建議在學生宿舍每個建筑中部署2臺樓宇匯聚交換機，每臺配置雙電源，提高樓宇匯聚節(jié)點的可靠性。為了簡化網(wǎng)絡(luò)部署，簡化網(wǎng)絡(luò)管理，并提高故障恢復(fù)的速度，樓宇匯聚交換機采用虛擬交換架構(gòu)互聯(lián)，區(qū)域匯聚設(shè)備通過跨設(shè)備鏈路聚合與核心設(shè)備互聯(lián)。2）安全規(guī)劃l 為了防止各個部分之間非法訪問，導(dǎo)致竊取、破壞等攻擊，本次在匯聚層部署防火墻進行安全區(qū)域的隔離。l 后期還可以針對綜合辦公樓區(qū)部署網(wǎng)流分析功能，以便管理員能了解該區(qū)域網(wǎng)絡(luò)真實運行情況，減少該區(qū)域故障隱患，優(yōu)化網(wǎng)絡(luò)鏈路。l 安全部署采用安全交換一體化架構(gòu)，匯聚交換機集成防火墻板卡，以便簡化網(wǎng)絡(luò)拓撲、減少網(wǎng)絡(luò)單點故障，提高安全處理性能，方便后期擴展。l 在匯聚交換機部署高性能MPLS VPN處理，可以有效隔離辦公業(yè)務(wù)和教學等業(yè)務(wù)，減少各業(yè)務(wù)之間干擾，保證業(yè)務(wù)之間的安全性和可靠性。3）設(shè)備間連接方式區(qū)域匯聚設(shè)備與核心交換機連接方式見核心層設(shè)計。接入交換