【正文】 不同。6）網(wǎng)絡(luò)拓撲總體設(shè)計在校園網(wǎng)的建設(shè)中，網(wǎng)絡(luò)架構(gòu)的選擇具有舉足輕重的作用，組網(wǎng)架構(gòu)決定整個校園網(wǎng)絡(luò)的性能、可擴展性、可管理性、線纜布放、區(qū)域劃分等諸多關(guān)鍵因素，從目前的主流的組網(wǎng)架構(gòu)上看，每種組網(wǎng)架構(gòu)都具有優(yōu)點與缺點，關(guān)鍵是要選擇適合于學(xué)校自身特點的架構(gòu)，合理的組網(wǎng)架構(gòu)是一個優(yōu)秀校園網(wǎng)絡(luò)的基礎(chǔ)。本次XX學(xué)校基地校園網(wǎng)采用星形網(wǎng)絡(luò)結(jié)構(gòu)為主的三層結(jié)構(gòu)（核心層、匯聚層及接入層）。三層結(jié)構(gòu)是大型網(wǎng)絡(luò)常用的層次化網(wǎng)絡(luò)設(shè)計模型。核心層主要承擔(dān)高速數(shù)據(jù)交換的任務(wù)，同時要為各匯聚節(jié)點提供最佳傳輸通道；匯聚層的主要任務(wù)是把大量來自接入層的訪問路徑進行匯聚和集中，承擔(dān)路由聚合和訪問控制的任務(wù)。這就要求匯聚層設(shè)備必須具備良好的可擴展性，必須使用模塊化的體系結(jié)構(gòu)，可通過增加板卡提高端口密度，以便匯接更多的接入層設(shè)備；接入層的主要任務(wù)是完成用戶的接入，它直接和用戶連接，可能遭受ARP風(fēng)暴、MAC掃描、ICMP風(fēng)暴、帶寬攻擊等等攻擊方式，對安全性的要求很高，另一方面必須提供靈活的用戶管理手段。此種組網(wǎng)方案的結(jié)構(gòu)簡單，層次分明，便于管理；控制簡單，便于建網(wǎng)；網(wǎng)絡(luò)延遲時間較小，傳輸誤差較低。對于鏈路層的安全可考慮采用不同鏈路的主備主干光纜方式實現(xiàn)。XX學(xué)?；刂腔坌@信息網(wǎng)網(wǎng)絡(luò)拓撲示意見圖。XX智慧校園網(wǎng)絡(luò)拓撲示意圖下面就各個區(qū)域做詳細的設(shè)計。（2）核心層設(shè)計核心層：提供高速的三層交換骨干。l 核心層不進行終端系統(tǒng)的連接；l 核心層不實施影響高速交換性能的ACL等功能。1）網(wǎng)絡(luò)方案說明網(wǎng)絡(luò)核心區(qū)作為整個校園網(wǎng)的數(shù)據(jù)交換核心，是XX學(xué)?；匦^(qū)應(yīng)用系統(tǒng)可靠和高效率運行的基礎(chǔ)，因此建議在核心區(qū)配置兩臺吞吐量高、核心萬兆全分布式線速路由交換機，接入各個功能區(qū)域，下行萬兆光纖連接匯聚交換機，形成萬兆無阻塞線速轉(zhuǎn)發(fā)骨干網(wǎng)。核心設(shè)備采用多級交換架構(gòu)，即使用獨立的交換網(wǎng)板卡，可以為設(shè)備提供擴展的交換容量，多塊交換網(wǎng)板同時分擔(dān)業(yè)務(wù)流量；控制引擎和交換網(wǎng)板硬件相互獨立，并且配置冗余電源和冗余風(fēng)扇，最大程度的保障設(shè)備可靠性。兩臺核心設(shè)備互為備份，之間采用雙萬兆連接，區(qū)域匯聚設(shè)備雙歸屬上聯(lián)，其中任何一臺核心交換機或核心交換機上的板卡出現(xiàn)故障后，正常工作的核心交換機能夠立即接管故障核心交換機所有交換工作。在兩臺核心交換機都正常工作時能夠?qū)π^(qū)匯聚交互區(qū)域轉(zhuǎn)發(fā)過來的數(shù)據(jù)流量進行負載均衡，兩臺核心交換機同時承擔(dān)核心網(wǎng)絡(luò)數(shù)據(jù)交換工作。為了簡化網(wǎng)絡(luò)部署，簡化網(wǎng)絡(luò)管理，并提高故障恢復(fù)的速度，核心和各個功能分區(qū)建議采用虛擬交換架構(gòu)技術(shù)。兩臺核心交換機虛擬成一臺邏輯交換機，通過跨設(shè)備鏈路聚合與匯聚層設(shè)備互聯(lián)。2）安全規(guī)劃l 采用安全交換一體化架構(gòu)，核心交換機應(yīng)支持多業(yè)務(wù)安全板卡，以便簡化網(wǎng)絡(luò)拓撲、減少網(wǎng)絡(luò)單點故障，提高安全處理性能，方便后期擴展。本次部署IPS模塊，及時阻止各種針對系統(tǒng)漏洞的攻擊，屏蔽蠕蟲、病毒和間諜軟件，防御DOS及DDOS攻擊，阻斷或限制P2P應(yīng)用，完成應(yīng)用系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和系統(tǒng)性能保護的關(guān)鍵任務(wù)。l 本次需部署網(wǎng)絡(luò)流量分析功能模塊，以便管理員能了解網(wǎng)絡(luò)真實運行情況，減少故障隱患，優(yōu)化網(wǎng)絡(luò)鏈路。l 但是為了避免在核心區(qū)由于多區(qū)域之間安全策略的交叉而導(dǎo)致部署復(fù)雜，維護困難。核心區(qū)只提供高速轉(zhuǎn)發(fā)功能，各區(qū)域間的訪問控制策略在各區(qū)域邊界（出口路由器或匯聚交換機）實施。l 核心交換機支持高性能MPLS處理，可以有效隔離校園網(wǎng)各業(yè)務(wù)，減少各業(yè)務(wù)之間干擾，保證業(yè)務(wù)之間的安全性和可靠性3）設(shè)備間連接方式兩臺核心設(shè)備分別放置在網(wǎng)絡(luò)中心核心機房和圖書館核心機房，采用雙單模萬兆接口互聯(lián)，并且采用虛擬交換架構(gòu)技術(shù)虛擬成一臺邏輯設(shè)備。單臺匯聚交換機雙萬兆鏈路接入兩臺核心交換機，核心交換機與放置在相同核心機房的匯聚交換機采用多模萬兆互聯(lián)，與不同核心機房的匯聚交換機采用單模萬兆互聯(lián)。2條下行萬兆鏈路采用跨設(shè)備聚合技術(shù)虛擬成一條邏輯鏈路，從而簡化網(wǎng)絡(luò)部署提高故障恢復(fù)速度。（3）匯聚層設(shè)計匯聚層：作為接入層和核心層的分界層，匯聚層完成以下的功能：l 各功能分區(qū)IP地址或路由區(qū)域的匯聚；l 不同業(yè)務(wù)功能的匯聚；l 本功能區(qū)VLAN 間的路由；l 廣播域或組播域的邊界；l 在匯聚層實施功能區(qū)內(nèi)、功能區(qū)之間的安全訪問策略。1）網(wǎng)絡(luò)方案說明匯聚區(qū)是XX學(xué)?；匦@網(wǎng)絡(luò)承上啟下的關(guān)鍵，需要保證該層次網(wǎng)絡(luò)的可靠性。每個區(qū)域匯聚區(qū)部署1臺高端交換機，采用多引擎架構(gòu)架構(gòu)，并且配置冗余引擎、冗余電源和冗余風(fēng)扇，以保障設(shè)備的可靠性。區(qū)域匯聚交換機分別通過萬兆冗余鏈路接入到兩臺核心交換機，下行接入各個建筑單體的接入交換機，由于學(xué)生公寓組團單個建筑信息點數(shù)量眾多，所以建議在學(xué)生宿舍每個建筑中部署2臺樓宇匯聚交換機，每臺配置雙電源，提高樓宇匯聚節(jié)點的可靠性。為了簡化網(wǎng)絡(luò)部署，簡化網(wǎng)絡(luò)管理，并提高故障恢復(fù)的速度，樓宇匯聚交換機采用虛擬交換架構(gòu)互聯(lián)，區(qū)域匯聚設(shè)備通過跨設(shè)備鏈路聚合與核心設(shè)備互聯(lián)。2）安全規(guī)劃l 為了防止各個部分之間非法訪問，導(dǎo)致竊取、破壞等攻擊，本次在匯聚層部署防火墻進行安全區(qū)域的隔離。l 后期還可以針對綜合辦公樓區(qū)部署網(wǎng)流分析功能，以便管理員能了解該區(qū)域網(wǎng)絡(luò)真實運行情況，減少該區(qū)域故障隱患，優(yōu)化網(wǎng)絡(luò)鏈路。l 安全部署采用安全交換一體化架構(gòu)，匯聚交換機集成防火墻板卡，以便簡化網(wǎng)絡(luò)拓撲、減少網(wǎng)絡(luò)單點故障，提高安全處理性能，方便后期擴展。l 在匯聚交換機部署高性能MPLS VPN處理，可以有效隔離辦公業(yè)務(wù)和教學(xué)等業(yè)務(wù)，減少各業(yè)務(wù)之間干擾，保證業(yè)務(wù)之間的安全性和可靠性。3）設(shè)備間連接方式區(qū)域匯聚設(shè)備與核心交換機連接方式見核心層設(shè)計。接入交換機采用雙單模千兆光纖上聯(lián)兩臺匯聚交換機，接入交換機同樣采用虛擬交換架構(gòu)技術(shù)，上聯(lián)的兩條鏈路采用跨設(shè)備鏈路聚合技術(shù)，虛擬成一條邏輯鏈路，簡化網(wǎng)絡(luò)部署。（4）接入層設(shè)計接入層：提供Layer2的網(wǎng)絡(luò)接入，通過VLAN劃分實現(xiàn)接入的隔離。在接入層設(shè)計時，應(yīng)考慮以下幾點：l 接入層接入端口規(guī)劃容量應(yīng)根據(jù)實際使用情況考慮擴展性,具備可堆疊特性；l 各功能分區(qū)的接入層相對獨立；l 不同類型的接入層應(yīng)各自分開，連接到對應(yīng)功能區(qū)的匯聚層。1）網(wǎng)絡(luò)方案說明各接入層設(shè)備采用就近原則匯聚。各個建筑樓宇對應(yīng)的匯聚點如下表：各建筑單體內(nèi)配線間部署接入交換機，提供辦公區(qū)域千兆或百兆接入、學(xué)生區(qū)域百兆接入交換機。VLAN終結(jié)在接入端口，限制廣播域范圍，較少廣播報文對網(wǎng)絡(luò)帶寬的消耗，并且還可以減少MAC、ARP等攻擊的范圍和影響。2）安全規(guī)劃l 通過VLAN劃分用戶，隔離不同權(quán)限的用戶，保證網(wǎng)絡(luò)訪問安全l 對于終端用戶采用終端準(zhǔn)入系統(tǒng)，對用戶進行身份確認，終端PC的健康檢測，用戶行為審計等，確保用戶不能非法訪問網(wǎng)絡(luò)，不攜帶病毒，不訪問非工作要求網(wǎng)站。3）設(shè)備間連接方式公共區(qū)域接入層雙鏈路千兆上聯(lián)至兩核心機房匯聚交換機，學(xué)生宿舍每棟樓單鏈路千兆上聯(lián)至就近學(xué)生宿舍區(qū)匯聚交換機。同一樓層配線間的接入交換機可采用堆疊上行，簡化網(wǎng)絡(luò)結(jié)構(gòu)，節(jié)約上行光纖資源。（5）數(shù)據(jù)中心區(qū)設(shè)計1）網(wǎng)絡(luò)方案說明服務(wù)器區(qū)運行的是在XX智慧校園網(wǎng)絡(luò)上的各種辦公教學(xué)業(yè)務(wù)系統(tǒng)服務(wù)器，該區(qū)域是整個數(shù)字化校園業(yè)務(wù)核心，因此對網(wǎng)絡(luò)的安全性、可靠性和可擴展性等方面有較高要求。采用兩臺高端交換機做為服務(wù)器的匯聚設(shè)備，分別通過萬兆冗余鏈路接入到兩臺核心交換機。考慮到當(dāng)前服務(wù)器接入數(shù)量不多，因此將網(wǎng)絡(luò)匯聚層和接入層合并，未來隨著業(yè)務(wù)的擴展，可通過增加新的接入層交換機以提供更多的接入端口。服務(wù)器匯聚設(shè)備采用分布式轉(zhuǎn)發(fā)架構(gòu)，并且配置冗余引擎、冗余電源和冗余風(fēng)扇，以保障設(shè)備的可靠性。2）安全規(guī)劃l 由于服務(wù)器保存了校園網(wǎng)的關(guān)鍵業(yè)務(wù)，為了避免服務(wù)受到攻擊導(dǎo)致癱瘓或者數(shù)據(jù)泄密，需要提供全方位的多層次的保護。l 建議采用安全交換一體化架構(gòu)，部署防火墻模塊進行2~4層的訪問控制，通過核心層的IPS模塊進行4~7層應(yīng)用層攻擊、網(wǎng)絡(luò)病毒的防御。l 另外，還可以在交換機上部署服務(wù)器負載均衡模塊，可以提高服務(wù)器處理能力，降低服務(wù)器硬件投資成本，提高生產(chǎn)辦公效率。XX學(xué)?；匦@數(shù)據(jù)傳輸專網(wǎng)是一個與校園信息網(wǎng)絡(luò)物理隔離的專網(wǎng)，用于承載安防系統(tǒng)、一卡通、校園廣播、財務(wù)、醫(yī)保系統(tǒng)等園區(qū)智能化系統(tǒng)。校園數(shù)據(jù)傳輸專網(wǎng)是一個完全獨立的網(wǎng)絡(luò)，因此數(shù)據(jù)在網(wǎng)絡(luò)平臺的傳輸過程相對比較安全，因為其數(shù)據(jù)的特殊性，在設(shè)計專網(wǎng)時，要充分滿足網(wǎng)絡(luò)的安全性、可靠性和穩(wěn)定性的設(shè)計要求。核心層采用雙核心，每個單體建筑中部署一臺三層交換機作為接入層交換機通過不同物理路由上連至IDC匯聚設(shè)備，確保業(yè)務(wù)網(wǎng)絡(luò)的高可靠和高穩(wěn)定性。專網(wǎng)上各應(yīng)用系統(tǒng)的數(shù)據(jù)庫服務(wù)器群可采用直接連接或者通過交換機上行至核心層。（1）數(shù)據(jù)傳輸專網(wǎng)網(wǎng)絡(luò)需求如果業(yè)務(wù)系統(tǒng)（部分或全部）要在數(shù)據(jù)傳輸專網(wǎng)網(wǎng)絡(luò)上運行，則考慮在數(shù)據(jù)傳輸專網(wǎng)提供安全通道，但自身的安全措施由各業(yè)務(wù)系統(tǒng)進行設(shè)計。部署統(tǒng)一的網(wǎng)絡(luò)管理平臺，涵蓋拓撲、告警、性能和配置等管理功能，使網(wǎng)絡(luò)狀況一目了然，實現(xiàn)設(shè)備資源的集中化管理；可以快速、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)資源，包括路由方式、ARP方式、IPSec VPN方式、網(wǎng)段方式等；支持設(shè)備面板管理，所見即所得的顯示設(shè)備的資產(chǎn)組成和運行狀態(tài)。1）技術(shù)需求專門設(shè)計一個與校園信息網(wǎng)絡(luò)物理隔離的專網(wǎng)，用于承載安防系統(tǒng)、一卡通、校園廣播、財務(wù)、醫(yī)保系統(tǒng)等園區(qū)智能化系統(tǒng)。因為其數(shù)據(jù)的特殊性，在設(shè)計專網(wǎng)時，要提高對網(wǎng)絡(luò)的安全性、可靠性和穩(wěn)定性的要求。核心層采用雙核心，接入層交換機通過不同物理路由上連至雙核心，確保業(yè)務(wù)網(wǎng)絡(luò)的高可靠和高穩(wěn)定性。校園數(shù)據(jù)傳輸專網(wǎng)核心層交換機放置在校園中心機房；專網(wǎng)上各應(yīng)用系統(tǒng)的數(shù)據(jù)庫服務(wù)器群可采用直接連接或者通過交換機上行至核心層。2）技術(shù)選型校園園區(qū)虛擬化技術(shù)比較：l 二層VLAN：二層隔離技術(shù)，在三層終結(jié)。不易擴展，STP維護復(fù)雜、難以管理和定位，適合小型網(wǎng)絡(luò)；l 分布式ACL：需要嚴格的策略控制，靈活性差，可能配置錯誤，擴展性、管理性差，適合某些特定場合；l VRF/MPLS VPN：三層隔離技術(shù)，業(yè)務(wù)隔離性好，每個VPN獨立轉(zhuǎn)發(fā)表，擴展性好。支持多種靈活的接入方式，配置管理簡單、支持QoS，能夠滿足大型復(fù)雜園區(qū)的應(yīng)用。本方案中推薦組合：VLAN+VRF，VRF+MPLS VPN。二三層隔離的融合，安全性高，避免大量的ACL配置問題，直觀、易維護、易擴展。此設(shè)計中數(shù)據(jù)專網(wǎng)可以為各業(yè)務(wù)系統(tǒng)提供一個VLAN或VPN通道，為了保障網(wǎng)絡(luò)的安全性，各專用系統(tǒng)必須考慮系統(tǒng)自身的安全性和在接入到專網(wǎng)時使用防火墻等設(shè)備保護自身核心數(shù)據(jù)的安全性。在接入層，為了防止非法的用戶進入業(yè)務(wù)專網(wǎng)可采用以下措施：①對不同的業(yè)務(wù)區(qū)域劃分不同的vlan，也可使用虛擬防火墻進行安全區(qū)域劃分②關(guān)閉閑置的端口，在需要的時候才啟用，避免無關(guān)人員使用個人電腦通過此類端口訪問③采用端口隔離，確保訪問流量直接上行至核心層設(shè)備處理。（2）網(wǎng)絡(luò)詳細設(shè)計1）架構(gòu)規(guī)劃專網(wǎng)設(shè)計按照前端、后端方式。前端網(wǎng)絡(luò)主要用于安防系統(tǒng)、一卡通、校園廣播、財務(wù)、醫(yī)保系統(tǒng)等系統(tǒng)的信息點接入，后端網(wǎng)絡(luò)鏈接專網(wǎng)各種應(yīng)用的服務(wù)器區(qū)。前端網(wǎng)絡(luò)采用雙核心、接入的二層構(gòu)架方式，接入層以雙鏈路上聯(lián)至核心節(jié)點，接入層已不低于1G的帶寬接入核心節(jié)點。后端網(wǎng)絡(luò)通過接入交換機鏈接各種應(yīng)用服務(wù)器，分區(qū)分域的接入到核心設(shè)備?？紤]到后端服務(wù)器的高可靠保障和業(yè)務(wù)壓力，服務(wù)器雙上行方式以不低于1G的帶寬鏈接到接入交換機。同時鏈接服務(wù)器的前端需要放置防火墻、IPS等安全防護設(shè)備，對后端服務(wù)器進行2～7層安全防護。校園數(shù)據(jù)傳輸專網(wǎng)整體架構(gòu)圖2）網(wǎng)絡(luò)拓撲設(shè)計XX學(xué)?；氐臄?shù)據(jù)傳輸專網(wǎng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)為萬兆核心、千兆主干、千兆或百兆到桌面的架構(gòu)。系統(tǒng)架構(gòu)分為核心層、匯聚層、分布接入層。并根據(jù)信息系統(tǒng)的具體情況，部署FW、IPS，網(wǎng)絡(luò)資源平臺管理系統(tǒng)。雙核心節(jié)點設(shè)置在校園網(wǎng)絡(luò)中心IDC機房（內(nèi)有校園網(wǎng)數(shù)據(jù)中心），專網(wǎng)和公用數(shù)據(jù)網(wǎng)的配線間公用，在考慮設(shè)備時，每個配線間以24個信息點為標(biāo)準(zhǔn)。核心設(shè)備之間通過冗余的萬兆光纖鏈路相連，通過虛擬交換技術(shù)虛擬為一臺邏輯設(shè)備。此外，按各區(qū)域內(nèi)部結(jié)構(gòu)，分別在各單體建筑物設(shè)置樓宇接入點，接入點使用二層交換機，接入交換機通過光纖分別接入2個核心，形成跨設(shè)備的鏈路聚合。l 采用冗余設(shè)計，提供冗余節(jié)點和冗余鏈路，提高網(wǎng)絡(luò)可靠性和加快網(wǎng)絡(luò)故障時的收斂速度，設(shè)計使用雙節(jié)點備份和雙歸屬鏈路；l 建議實施時調(diào)整OSPF協(xié)議參數(shù)（如LSA interval）、端口linkdown感應(yīng)時間、規(guī)劃網(wǎng)絡(luò)IP地址等，達到網(wǎng)絡(luò)最佳收斂效果；l 對于數(shù)據(jù)專網(wǎng)網(wǎng)絡(luò)，可以劃分多個area，核心層與匯聚層為area 0，匯聚層設(shè)備作為ABR，匯聚層與接入層之間規(guī)劃為非骨干區(qū)域，為NSSA區(qū)；l 區(qū)域間可使用路由聚合和路由過濾等手段來限制發(fā)布路由得數(shù)量，減少設(shè)備計算負擔(dān)。3）MPLS VPN技術(shù)①傳統(tǒng)的VPN組網(wǎng)方式傳統(tǒng)的VPN主要采取兩種組網(wǎng)的方式：專線VPN和基于用戶端設(shè)備的安全VPN。專線VPN使用靜態(tài)的虛電路（如ATM PVC、FR PVC 等）連接客戶的站點，形成一個二層的VPN骨干網(wǎng)。VPN成員站點連接到運營商的邊界設(shè)備（PE），由運營商負責(zé)建立VPN成員站點之間的虛電路連接，客戶對屬于自己VPN的站點的路由進行自主的控制和管理。采用這種方式組建VPN無論對運營商或者是對客戶來說成本都是很高的，而且二層虛電路的業(yè)務(wù)提供的周期長，網(wǎng)絡(luò)管理人員需要進行大量的手工配置工作。對于基于客戶端設(shè)備的（CE Based）VPN，VPN的功能全部在客戶端的設(shè)備中實現(xiàn)。運營商的設(shè)備對客戶的VPN來說是完全透明的?？蛻艨梢酝ㄟ^購買相應(yīng)的VPN設(shè)備或者在現(xiàn)有的路由器、網(wǎng)關(guān)或者甚至是PC機上安裝相應(yīng)的VPN功能軟件就可以開始獨立構(gòu)建基于客戶端設(shè)備的VPN。由于VPN的成員站點之間通常是通過非信任的Internet實現(xiàn)互連的，所以一般基于客戶端設(shè)備的VPN在實現(xiàn)時都引入某些安全機制保護站點之間跨Internet的客戶私有流量。這個解決方案的最大缺點就是客戶需要購買、配置和維護昂貴的VPN網(wǎng)關(guān)設(shè)備，同時也意味著需要高素質(zhì)的網(wǎng)