【正文】 和在接入到專網(wǎng)時使用防火墻等設備保護自身核心數(shù)據(jù)的安全性。在接入層，為了防止非法的用戶進入業(yè)務專網(wǎng)可采用以下措施：①對不同的業(yè)務區(qū)域劃分不同的vlan，也可使用虛擬防火墻進行安全區(qū)域劃分②關閉閑置的端口，在需要的時候才啟用，避免無關人員使用個人電腦通過此類端口訪問③采用端口隔離，確保訪問流量直接上行至核心層設備處理。（2）網(wǎng)絡詳細設計1）架構規(guī)劃專網(wǎng)設計按照前端、后端方式。前端網(wǎng)絡主要用于安防系統(tǒng)、一卡通、校園廣播、財務、醫(yī)保系統(tǒng)等系統(tǒng)的信息點接入，后端網(wǎng)絡鏈接專網(wǎng)各種應用的服務器區(qū)。前端網(wǎng)絡采用雙核心、接入的二層構架方式，接入層以雙鏈路上聯(lián)至核心節(jié)點，接入層已不低于1G的帶寬接入核心節(jié)點。后端網(wǎng)絡通過接入交換機鏈接各種應用服務器，分區(qū)分域的接入到核心設備?？紤]到后端服務器的高可靠保障和業(yè)務壓力，服務器雙上行方式以不低于1G的帶寬鏈接到接入交換機。同時鏈接服務器的前端需要放置防火墻、IPS等安全防護設備，對后端服務器進行2～7層安全防護。校園數(shù)據(jù)傳輸專網(wǎng)整體架構圖2）網(wǎng)絡拓撲設計學校的數(shù)據(jù)傳輸專網(wǎng)網(wǎng)絡拓撲結構為萬兆核心、千兆主干、千兆或百兆到桌面的架構。系統(tǒng)架構分為核心層、匯聚層、分布接入層。并根據(jù)信息系統(tǒng)的具體情況，部署FW、IPS，網(wǎng)絡資源平臺管理系統(tǒng)。雙核心節(jié)點設置在校園網(wǎng)絡中心IDC機房（內有校園網(wǎng)數(shù)據(jù)中心），專網(wǎng)和公用數(shù)據(jù)網(wǎng)的配線間公用，在考慮設備時，每個配線間以24個信息點為標準。核心設備之間通過冗余的萬兆光纖鏈路相連，通過虛擬交換技術虛擬為一臺邏輯設備。此外，按各區(qū)域內部結構，分別在各單體建筑物設置樓宇接入點，接入點使用二層交換機，接入交換機通過光纖分別接入2個核心，形成跨設備的鏈路聚合。l 采用冗余設計，提供冗余節(jié)點和冗余鏈路，提高網(wǎng)絡可靠性和加快網(wǎng)絡故障時的收斂速度，設計使用雙節(jié)點備份和雙歸屬鏈路；l 建議實施時調整OSPF協(xié)議參數(shù)（如LSA interval）、端口linkdown感應時間、規(guī)劃網(wǎng)絡IP地址等，達到網(wǎng)絡最佳收斂效果；l 對于數(shù)據(jù)專網(wǎng)網(wǎng)絡，可以劃分多個area，核心層與匯聚層為area 0，匯聚層設備作為ABR，匯聚層與接入層之間規(guī)劃為非骨干區(qū)域，為NSSA區(qū)；l 區(qū)域間可使用路由聚合和路由過濾等手段來限制發(fā)布路由得數(shù)量，減少設備計算負擔。3）MPLS VPN技術①傳統(tǒng)的VPN組網(wǎng)方式傳統(tǒng)的VPN主要采取兩種組網(wǎng)的方式：專線VPN和基于用戶端設備的安全VPN。專線VPN使用靜態(tài)的虛電路（如ATM PVC、FR PVC 等）連接客戶的站點，形成一個二層的VPN骨干網(wǎng)。VPN成員站點連接到運營商的邊界設備（PE），由運營商負責建立VPN成員站點之間的虛電路連接，客戶對屬于自己VPN的站點的路由進行自主的控制和管理。采用這種方式組建VPN無論對運營商或者是對客戶來說成本都是很高的，而且二層虛電路的業(yè)務提供的周期長，網(wǎng)絡管理人員需要進行大量的手工配置工作。對于基于客戶端設備的（CE Based）VPN，VPN的功能全部在客戶端的設備中實現(xiàn)。運營商的設備對客戶的VPN來說是完全透明的。客戶可以通過購買相應的VPN設備或者在現(xiàn)有的路由器、網(wǎng)關或者甚至是PC機上安裝相應的VPN功能軟件就可以開始獨立構建基于客戶端設備的VPN。由于VPN的成員站點之間通常是通過非信任的Internet實現(xiàn)互連的，所以一般基于客戶端設備的VPN在實現(xiàn)時都引入某些安全機制保護站點之間跨Internet的客戶私有流量。這個解決方案的最大缺點就是客戶需要購買、配置和維護昂貴的VPN網(wǎng)關設備，同時也意味著需要高素質的網(wǎng)絡管理人員對VPN網(wǎng)關設備和整個VPN網(wǎng)絡進行有效的管理和維護，相應也會帶來網(wǎng)絡成本的上升。②MPLS VPN MPLS技術提供了類似于虛電路的標簽交換業(yè)務，這種基于標簽的交換可以提供類似于幀中繼、ATM的網(wǎng)絡安全性。同時相對于傳統(tǒng)的VPN技術來說，MPLS VPN可以實現(xiàn)底層標簽自動的分配，在業(yè)務的提供上比傳統(tǒng)的VPN技術更廉價，更快速。同時MPLS VPN可以充分的利用MPLS技術的一些先進的特性，比如說MPLS 流量工程能力，MPLS的服務質量保證，結合這些能力，MPLS VPN可以向客戶提供不同服務質量等級的服務，也更容易實現(xiàn)跨運營商骨干網(wǎng)服務質量的保證。同時MPLS VPN還可以向客戶提供傳統(tǒng)基于路由技術VPN無法提供的業(yè)務種類，比如像支持VPN地址空間復用。對于MPLS的客戶來說，運營商的MPLS網(wǎng)絡可以提供客戶需要的安全機制，以及組網(wǎng)的能力，VPN底層連接的建立、管理和維護主要由運營商負責，客戶運營其VPN的維護和管理都將比傳統(tǒng)的VPN解決方案簡單，也減低了企業(yè)在人員和設備維護上的投資和成本?；贛PLS的VPN可以作為傳統(tǒng)的基于二層專線的VPN、純三層的IP VPN和隧道方式的VPN的替代技術，在現(xiàn)階段可以作為傳統(tǒng)VPN技術的有效補充。學校校園數(shù)據(jù)傳輸專網(wǎng)屬于內部網(wǎng)，具有高度的可信任、可控性和可管理性，僅僅是多種不同業(yè)務在同一個承載網(wǎng)絡運行，所以采用MPLS VPN的設計是最符合適宜的。③Layer3 MPLS VPNLayer3 MPLS VPN是一種基于路由方式的MPLS VPN解決方案，ITEF RFC2547中對這種VPN技術進行了描述，MPLS Layer3 VPN也被稱作是BGP/MPLS VPNs。BGP/MPLS VPN使用類似傳統(tǒng)路由的方式進行IP分組的轉發(fā)，在路由器接收到IP數(shù)據(jù)包以后，通過在轉發(fā)表查找IP數(shù)據(jù)包的目的地址，然后使用預先建立的LSP進行IP數(shù)據(jù)跨運營商骨干的傳送。為了使運營商的路由器可以感知客戶網(wǎng)絡的可達性信息，運營商的邊界路由器（PE）和客戶端路由器（CE）進行路由信息的交互。PE和CE之間的路由交換可以采用靜態(tài)路由，也可以采用RIP、OSPF、ISIS和BGP等動態(tài)的路由協(xié)議。BGP/MPLS VPN的解決方案支持對等方式的VPN網(wǎng)絡結構。PE之間屬于同一MPLS VPN的路由信息通過BGP協(xié)議承載進行交互。PE路由器使用LSP進行路由轉發(fā)，對于運營商路由器P并不需要知道客戶VPN網(wǎng)絡的信息，這種透明可以有效的減小P路由器的負擔，提高網(wǎng)絡的擴展性和業(yè)務開展的靈活性。通過PE之間、PE和CE之間的路由交互，客戶的路由器可以知道屬于同一個VPN的網(wǎng)絡拓撲信息。BGP/MPLS VPNs 可以解決基于純IP Layer3 VPN無法實現(xiàn)的一些功能，主要有：支持地址重疊，即同時支持使用公有地址的客戶端設備和私有地址的客戶端設備，或者多個VPN使用同一個地址空間；支持重疊VPN，即一個站點可以同時屬于多個VPN，很好的解決了數(shù)據(jù)集中管理，同時亦適用分布式數(shù)據(jù)管理。（對單一數(shù)據(jù)中心設計來說，這有利于多個業(yè)務使用同一個數(shù)據(jù)中心，便于數(shù)據(jù)集中；對分布式數(shù)據(jù)中心則無需考慮此問題）（3）設備選擇本方案的校園數(shù)據(jù)傳輸專網(wǎng)骨干網(wǎng)核心交換機上配置企業(yè)級版本路由軟件，完全支持各種MPLS協(xié)議功能。在本方案中，這些交換機作為P或PE設備使用。本方案配置的各片區(qū)的單體建筑接入交換機都支持作為CE接入MPLS主干網(wǎng)，尤其是它們都具有MultiVRF CE功能，允許將本地網(wǎng)絡不同的VLAN、線路、連接等映射到不同的骨干網(wǎng)VPN上。未來校園數(shù)據(jù)傳輸專網(wǎng)承載的業(yè)務包括一卡通、安防系統(tǒng)、廣播系統(tǒng)、醫(yī)保系統(tǒng)和財務系統(tǒng)等，其中除安防系統(tǒng)需要傳遞實時數(shù)據(jù)，并且數(shù)據(jù)量較大外（單路視頻碼流2Mbps），其余系統(tǒng)數(shù)據(jù)量都在Kbps級別，因此百兆接入，千兆上聯(lián)，對于一個單體建筑足夠，并且鏈路資源仍有大量冗余。針對安防系統(tǒng)還可以根據(jù)時間情況采用多播、廣播等技術手段進一步優(yōu)化提高傳輸效率。接入層設備CE配置有百兆電口用于為各業(yè)務系統(tǒng)提供接入；千兆光口分別用于上聯(lián)至2個核心機房的核心設備。核心層設備PE配置有千兆電口用于相關業(yè)務系統(tǒng)服務器使用；千兆光口用于連接接入層；萬兆光口核心互聯(lián)用于對實時數(shù)據(jù)訪問要求高的如安防系統(tǒng)的數(shù)據(jù)中心使用。（4）實現(xiàn)方式學校數(shù)據(jù)傳輸專網(wǎng)MPLS VPN原理圖本方案為所有單體建筑配置的接入交換機滿足作為MPLS CE的功能要求。如上圖所示，一卡通、安防系統(tǒng)、廣播系統(tǒng)、醫(yī)保系統(tǒng)和財務系統(tǒng)都是通過以太網(wǎng)接入與校園信息網(wǎng)物理隔離的校園數(shù)據(jù)傳輸專網(wǎng)中，圖中假設D處有一卡通系統(tǒng)和廣播系統(tǒng)需要通過以太網(wǎng)接入校園數(shù)據(jù)傳輸專網(wǎng)，而C處有一卡通系統(tǒng)、安防系統(tǒng)和廣播系統(tǒng)需要通過以太網(wǎng)接入校園數(shù)據(jù)傳輸專網(wǎng)。通過圖中的設置，只要把接入交換機作為CE使用，一卡通系統(tǒng)VPN11和廣播系統(tǒng)VPN12就能實現(xiàn)接入。由于接入交換機具有MultiVRF CE功能，它可以根據(jù)本地的不同VLAN設置將其映射到MPLS VPN上，如圖中所示，D處一卡通系統(tǒng)作為局域網(wǎng)VLAN 11可以訪問整個一卡通系統(tǒng)，而C處局域網(wǎng)VLAN11可以映射到一卡通系統(tǒng)VPN11上。其他各業(yè)務系統(tǒng)也是如此實現(xiàn)。（另注：此處舉例使用A、B、C、D點與光纜系統(tǒng)中的交界點無關）。無線局域網(wǎng)（WLAN）技術于20世紀90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網(wǎng)絡的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡。無線局域網(wǎng)具有以下顯著特點：簡易性：WLAN網(wǎng)絡的安裝快速簡單，可極大的減少敷設管道及布線等繁瑣工作；靈活性：無線技術使得WLAN設備可以靈活的進行安裝并調整位置，使無線網(wǎng)絡達到有線網(wǎng)絡不易覆蓋的區(qū)域；綜合成本較低：一方面WLAN網(wǎng)絡減少了布線的費用，另一方面在需要頻繁移動和變化的動態(tài)環(huán)境中，無線局域網(wǎng)技術可以更好地保護已有投資。同時，由于WLAN技術本身就是面向數(shù)據(jù)通信領域的IP傳輸技術，因此可直接通過百兆自適應網(wǎng)口和學校內部Intranet相連，從體系結構上節(jié)省了協(xié)議轉換器等相關設備；擴展能力強：WLAN網(wǎng)絡支持多種拓撲結構及平滑擴容，可以十分容易地從小容量傳輸系統(tǒng)平滑擴展為中等容量傳輸系統(tǒng)。（1）設計目標側重實際應用，覆蓋校園內公共區(qū)域，為教學和學習生活提供切實可用的無線網(wǎng)絡環(huán)境。l 采取通行的網(wǎng)絡協(xié)議標準：，因此校園，以提供可供實際應用穩(wěn)定的、高速的移動網(wǎng)絡通訊服務，同時兼顧多種類型應用和將來的投資保護，。l 全面的無線網(wǎng)絡支撐系統(tǒng)（包括無線網(wǎng)管、無線安全，無線計費，IPv6等），以避免無線設備及軟件之間的不兼容性或網(wǎng)絡管理的混亂而導致的問題。l 保證網(wǎng)絡訪問的安全性。l 采用非獨立的、可與有線網(wǎng)絡無縫對接的無線網(wǎng)絡結構。l 覆蓋范圍要求a、有線網(wǎng)絡使用不便或受限的室內空間：校園內一些室內場所空間較大，會產(chǎn)生許多人同時接入網(wǎng)絡的需求，采用有線的方式只能提供少量接口，不能滿足要求。用無線網(wǎng)絡覆蓋來解決相當數(shù)量的移動設備同時訪問網(wǎng)絡的問題。主要包括圖書館、體育場館、學術交流中心、各教學樓等；b、有線網(wǎng)絡無法接入的室外場所：校園內一些場所很難實現(xiàn)網(wǎng)絡有線接入，采用無線方式可以實現(xiàn)覆蓋大范圍室外空間的無線網(wǎng)絡接入。本次建設建議首先考慮室內覆蓋，后續(xù)可對室外覆蓋進行規(guī)劃。l 安全、認證、計費和管理要求：要與計費系統(tǒng)對接，實現(xiàn)針對用戶計費、管理、控制功能。（2）1）部署方案本次設計的有線無線一體化方案為無線控制器＋“瘦”AP方案，無線控制器作為無線數(shù)據(jù)控制轉發(fā)中心，旁掛部署于網(wǎng)絡中心機房的核心交換機側，無線接入點則部署在校園內的室內公共區(qū)域。11n Fit AP和無線控制器之間既可以在同一個網(wǎng)段，也可以不在同一個網(wǎng)段，它們之間通過CAPWAP協(xié)議自動建立隧道（該隧道基于UDP，可以穿越三層網(wǎng)絡），結合有線交換機的接入功能，這樣就非常容易部署有線無線一體化接入方案。為了提高無線網(wǎng)絡的可靠性，建議部署2臺1：1備份的無線控制器，無線控制器支持100毫秒業(yè)務備份，AP會同時和兩臺無線控制器建立CAPWAP鏈路，一臺作為主控制器，另外一臺作為備份控制器，但只有和主控制器建立的CAPWAP鏈路處于工作狀態(tài)。當主控制器異常down機時，備份控制器和主控制器之間的心跳檢測機制可以保證在100毫秒之內檢測到主設備的異常，并通知AP將主控制器CAPWAP鏈路切換，保證控制信號的不間斷傳送。2）方案特點本方案的特點如下：① IEEE 。主要應用到的技術包含如下：MIMO，多入多出，在鏈路的發(fā)送端和接收端都采用多副天線，是將多徑傳播變?yōu)橛欣蛩?，從而在不增加帶寬的情況下，成倍地提高通信系統(tǒng)的容量和頻譜利用率，以達到WLAN系統(tǒng)速率的提升。雙頻帶 (支持20/40M帶寬)，通過將兩個20MHz的帶寬綁定在一起組成一個40MHz通訊帶寬，在實際工作時可以作為兩個20MHz的帶寬使用，收發(fā)數(shù)據(jù)時既可以以40MHz的帶寬工作，也可以以單個20MHz帶寬工作，從而將速率提高一倍。Short Guard Interval(GI)，短保護間隔，射頻芯片在使用OFDM調制方式發(fā)送數(shù)據(jù)時，整個幀是被劃分成不同的數(shù)據(jù)塊進行發(fā)送的，為了數(shù)據(jù)傳輸?shù)目煽啃?，?shù)據(jù)塊之間會有GI，用以保證接收側能夠正確的解析出各個數(shù)據(jù)塊。無線信號在空間傳輸會因多徑等因素在接收側形成時延，如果后面的數(shù)據(jù)塊發(fā)送的過快的話，會和前一個數(shù)據(jù)塊的形成干擾，而GI就是用來規(guī)避這個干擾的。11a/g的GI時長為800us，而Short GI時長為400us，在使用Short GI的情況下，可提高10%的速率。Frame Aggregation，幀聚合，通過把多個待發(fā)送的載荷聚合到一起，一次性發(fā)送，減小了多次報文發(fā)送所需的額外協(xié)議負荷，從而提高吞吐。SM Power Save，主要考慮在MIMO中如何通過關閉天線來節(jié)約電源。②全系無線產(chǎn)品支持IPv4和IPv6雙棧，為用戶提供和有線網(wǎng)近乎同等的應用承載：l 無線交換機支持MLD Snooping，配合現(xiàn)有IPv6有線網(wǎng)絡，實現(xiàn)IPv6組播業(yè)務；l AP和無線控制器之間可以建立基于IPv6地址的隧道，多個無線控制器之間可以建立基于IPv6地址的隧道；l 支持IPv6管理特性。③智能射頻管理：每個AP上電時，無線控制器會根據(jù)AP的鄰居關系動態(tài)調整AP工作的信道和發(fā)射功率，在保證覆蓋的前提下保證AP間的干擾最小。當AP覆蓋區(qū)域受到外界強信號干擾時，無線控制器會控制AP自動切換到合適的工作信道以規(guī)避干擾信號當覆蓋區(qū)域內的某個AP