【正文】 擴展性 地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴展時能保證地址疊合所需的連續(xù)性。 ? IP 地址規(guī)劃原則 IP 地址規(guī)劃的基本原則如下： 唯一性 一個 IP 網(wǎng)絡(luò)中不能有兩個主機采用相同的 IP地址。 設(shè)備的管理 VLAN 則使用普通 VLAN，為了方便管理員調(diào)試，為所有交換機劃分管理 VLAN 51。需要注意的是從 VLAN 只具有本地意義，在不同交換機上可以重復使用。這樣就可以實現(xiàn) VLAN 內(nèi)的資源精細控制。 具體為此交換機的每個端口劃分 VLAN 時，為連接項目組公共服務(wù)器的端口劃分主 VLAN 200；為連接項目 組成員電腦的端口劃分互通型從 VLAN 3；并預(yù)留10 個端口，將這 10 個端口劃分到隔離型從 VLAN 2，以便訪客使用。 科研區(qū)域使用 MUX VLAN 科研區(qū)域一般每一層樓為一個科研項目組，為每一個科研項目組分配一個VLAN，并定義為 MUX VLAN，劃分范圍為 200～ 500。 ? VLAN 規(guī)劃舉例 校園網(wǎng)中有學生宿舍的用戶和科研區(qū)域的用戶接入網(wǎng)絡(luò)， VLAN 規(guī)劃如下： 學生宿舍區(qū)域使用 QINQ VLAN 內(nèi)層 VLAN 分配 2～ 4094，接入層交換機的下行端口中，為每一個端口分配一個 VLAN，上行端口配置為 trunk，允許所有接入 VLAN 通過。 VLAN 需連續(xù)分配，以保證 VLAN 資源合理利用。 按照不同的管理區(qū)域劃分 VLAN,不僅方便隔離用戶，也方便日常維護。組播 VLAN 主要是用來解決當客戶端處于不同 VLAN 中時，上行的組播路由器必須在每個用戶 VLAN 復制一份組播流到接入組播交換機的問題。認證成功后，端口離開 Guest VLAN 加入用戶 VLAN，用戶可以訪問其特定的 網(wǎng)絡(luò)資源。 Guest VLAN 網(wǎng)絡(luò)中用戶在通過 等認證之前接入設(shè)備會把該端口加入到一個特定的 VLAN（即 Guest VLAN），用戶訪問該 VLAN 內(nèi)的資源不需要認證，只能訪問有限的網(wǎng)絡(luò)資源。如果科研項目或院系內(nèi)部也有訪問控制的需求，建議使用 MUX VLAN 技術(shù)，實現(xiàn) VLAN 內(nèi)部用戶部分互通，部分隔離。 QINQ VLAN 可以實現(xiàn)用戶的二層隔離，所有的用戶數(shù)據(jù)都會經(jīng)過 BRAS ME60，方便校園網(wǎng)的統(tǒng)一接入和管理。 在學校的宿舍區(qū)，建議為每個接入用戶劃分一個 VLAN，實現(xiàn)嚴格的端口隔離。管理 VLAN 要與用戶 VLAN 嚴格區(qū)分。 基于校園網(wǎng)內(nèi)擁有比較多不同的業(yè)務(wù)類型，并且不同類型網(wǎng)絡(luò)使用者也有很大差別，因此進行 VLAN 的合理規(guī)劃將可以幫助建設(shè)一個穩(wěn)定運作的教學合一的網(wǎng)絡(luò)。 ? VLAN 概述 VLAN（ Virtual Local Area Network）即虛擬局域網(wǎng)，是將一個物理的 LAN在邏輯上劃分成多個廣播域的通信技術(shù)。 FIT AP 在設(shè)備上不保存業(yè)務(wù)配置，而是每次啟動的時候從無線控制器動態(tài)加載業(yè)務(wù)配置，這樣可以有效避免設(shè)備丟失造成配置泄漏。 AP 發(fā)現(xiàn) AC 的幾種機制優(yōu)劣對比如下： AP 發(fā)現(xiàn)并選擇 AC 方式優(yōu)劣勢對比表 方式 部署要求 優(yōu)勢 劣勢 適用網(wǎng)絡(luò) DHCP Option 43 DHCP Server 啟動Option 43 屬性 適用于 AP/AC 任 何組網(wǎng)中 對網(wǎng)絡(luò)有部署要求 大中型 WLAN 網(wǎng)絡(luò)， AP/AC DNS 部署 DNS Server；DHCP Server 支持Option 15 屬性 — — 二層或三層組網(wǎng) 二層廣播發(fā)現(xiàn) 無 對已有網(wǎng)絡(luò)沒有額外要求 僅能用于 AP/AC 二層組網(wǎng)中 小型 WLAN 網(wǎng)絡(luò)，AP/AC 二層組網(wǎng) AP 上預(yù)配置靜態(tài)AC 列表 AP 預(yù)配置 對已有網(wǎng)絡(luò)沒有額外要求 需要對 AP 逐一進行配置，工作量大；若 AC 的 IP 地址發(fā)生變化，則需要重新修改 AP 的配置 小型 WLAN 網(wǎng)絡(luò) ? 無線網(wǎng)絡(luò)安全規(guī)劃 AP 防盜 安裝 AP 時安裝防盜鎖即可。 漫游切換需要保證 SSID 相同，即兩臺 AP 切換區(qū)域需要配置相同的 SSID。業(yè)務(wù) VLAN 應(yīng)根據(jù)實際業(yè)務(wù)需要與SSID 匹配映射關(guān)系，映射關(guān)系有 1: 1:N、 N: N:N 四種， AC 設(shè)備終結(jié) VLAN部署。 在 WLAN 網(wǎng)絡(luò)中 SSID 也同樣可以承擔相應(yīng)的工作。 通常，以太網(wǎng)中管理 VLAN 和業(yè)務(wù) VLAN 分離。重點實驗室等安全性要求較高的場所，使用 認證，保障網(wǎng)絡(luò)安全。 華為可以提供的用戶接入認證方式非常豐富，這里推薦針對不同用戶，使用不同認證方式。 用戶身份驗證 WLAN 的鏈路層身份驗證主要有 Portal(DHCP+WEB)、 mac、 、 WAPI 等幾種認證方式。 共享密鑰式認證必需使用加密方式，要求每個 WLAN 終端都鏡頭配置和 AP完全一致的密鑰（ key）。在這種方式下，接入點并未驗證工作站的真實身份，工作站以 MAC 地址作為身份證明，這種驗證方式可以讓所有符合 標準的終端都可以接入到 WLAN 網(wǎng)絡(luò)中來。 開放系統(tǒng)認證是 IEEE 標準要求必備的一種方法，是最簡單的認證算法，即不認證。 ? 用戶認證規(guī)劃 WLAN 終端認證 IEEE 標準要求 WLAN 終端在準備連接到網(wǎng)絡(luò)時，必需進行 “ 身份驗證 ” 。 AP為無線接入點，建議在 BRAS 上配置地址池， AP 使用 DHCP 方式自動獲取IP 地址。 校園網(wǎng)網(wǎng)絡(luò)改造技術(shù)方案 ? 無線設(shè)備 IP 地址規(guī)劃 AC用于管理 AP，如果在網(wǎng)絡(luò)中需要部署獨立 AC,IP 地址一般通過靜 態(tài)手工配置。 NAT： 2021 年中北大學建設(shè)萬兆校園網(wǎng)項目 山西信息 規(guī)劃 設(shè)計院 有限公司 xxx 在出口處部署 Cache 緩存系統(tǒng)，針對常用的互聯(lián)網(wǎng)熱點資源，進行本地緩存，從而達到降低互聯(lián)網(wǎng)出口壓力的目的，同時也能提升內(nèi)網(wǎng)用戶使用體驗。 網(wǎng)絡(luò)出口部署防火墻，其中需要起到的主要作用有： 安全防御 ： 防御來自互聯(lián)網(wǎng)的各種網(wǎng)絡(luò)威脅； 應(yīng)用流量控制： 針對互聯(lián)網(wǎng)進行流量控制，針對時間、用戶、應(yīng)用實施策略，比如在辦公時間內(nèi)限制 P2P流量，保障郵件、 WEB、視頻會議等辦公應(yīng)用。 針對教學辦公區(qū)域的網(wǎng)絡(luò)，最重要的關(guān)注點是如何提升網(wǎng)絡(luò)使用效率，從而助力辦公效率的提升。在校內(nèi)網(wǎng)的 SSID 內(nèi)， BRAS 會識別教師賬號，提供自由訪問內(nèi)網(wǎng)資源以及免費互2021 年中北大學建設(shè)萬兆校園網(wǎng)項目 山西信息 規(guī)劃 設(shè)計院 有限公司 xxix 聯(lián)網(wǎng)資源。 針對 WLAN 網(wǎng)絡(luò)運營平臺，流量模型示意圖為： 說明： 在 WLAN 設(shè)置不 同的 SSID，利用 SSID 之間的隔離性，為用戶區(qū)分不同的運營商流量。 針對有線不同運營商用戶上網(wǎng)的流量模型示意圖為： 2021 年中北大學建設(shè)萬兆校園網(wǎng)項目 山西信息 規(guī)劃 設(shè)計院 有限公司 xxviii 備注說明： 針對教師家屬樓區(qū)域，建議另外單獨配置有線家庭賬號，以把教師的辦公賬號和家庭賬號分開，以便更好管理，也方便教師把工作和家庭生活所進行的網(wǎng)絡(luò)需求分開。 針對校園網(wǎng)絡(luò)中的非運營商賬號，用戶可以從學校信息中心獲得上網(wǎng)賬號，可以免費訪問學校的教學系統(tǒng)和教學資源。 NIP 還可以與防火墻進行聯(lián)動，針對具體的網(wǎng)絡(luò)應(yīng)用部署保護策略。使用 NIP 保護企業(yè)內(nèi)部信息系統(tǒng)（數(shù)據(jù)庫、 DNS 服務(wù)器、 Web 服務(wù)器、 eMail 服務(wù) 器等）的安全。 Inter上的安全服務(wù)中心能夠給 USG提供 IPS簽名庫和病毒庫在線升級，2021 年中北大學建設(shè)萬兆校園網(wǎng)項目 山西信息 規(guī)劃 設(shè)計院 有限公司 xxvii 可保證 USG 上時刻保持最新的 IPS 簽名庫和病毒庫，使入侵防御和反病毒功能更有效。 反病毒功能實現(xiàn)對使用 HTTP、 SMTP、 POP3 協(xié)議傳輸?shù)奈募M行 病毒掃描，并根據(jù) AV 策略對帶病毒文件進行處理。 當數(shù)據(jù)中心使用 數(shù)據(jù)中心 交換機作為核心樞紐，具有如下優(yōu)勢： 本方案中，將防火墻部署在數(shù)據(jù)中心的出口處，配置基本的防火墻功能、入侵防御功能、反病毒攻擊功能和 URL 過濾功能。 而隨著服務(wù)器的性能提升， GE 網(wǎng) 卡逐步升級到 10GE 網(wǎng)卡，數(shù)據(jù)中心對網(wǎng)絡(luò)交換機的性能要求也相應(yīng)的提升了 10倍。 USG 能承載多網(wǎng)絡(luò)出口，對多網(wǎng)絡(luò)出口實現(xiàn)智能的流量負載分擔， 隨著教育信息化的發(fā)展，教育云數(shù)據(jù)中心是校園網(wǎng)絡(luò)的發(fā)展趨勢。 接收 BRAS 的數(shù)據(jù)，將校園內(nèi)網(wǎng)用的私網(wǎng) IP 地址轉(zhuǎn)換成公網(wǎng) IP，接入公網(wǎng)。 合作伙伴 /訪客與校園 DMZ 區(qū)域的訪問控制，實現(xiàn)合作伙伴 /訪客與校園 DMZ區(qū)域的安全隔離。 新校區(qū)與校園本部的訪問控制，實現(xiàn)新校區(qū)和校園本部內(nèi)網(wǎng)業(yè)務(wù)的安全隔離。 BRAS 部署時采用主備方式，用戶的接入信 息備份到備設(shè)備上，當主設(shè)備的鏈路、接口、單板或者整機出現(xiàn)故障時，能夠快速將業(yè)務(wù)切換至備用設(shè)備。 擴容方便、保護投資 隨著業(yè)務(wù)的增加，當用戶進行網(wǎng)絡(luò)升級時，只需要增加新設(shè)備，而不需要更改網(wǎng)絡(luò)配置。 快速的故障收斂 鏈路故障收斂時間可以控制在 10ms 以下，大大降低了網(wǎng)絡(luò)鏈路 /節(jié)點的故障對業(yè)務(wù)的影響。 簡化配置和管理 交換機集群或堆疊形成后，兩臺物 理交換機虛擬成為一臺邏輯交換機，用戶可以通過任何一臺成員設(shè)備登錄堆疊系統(tǒng)，對堆疊系統(tǒng)所有成員設(shè)備進行統(tǒng)一配置和管理。 相對傳統(tǒng)方案，這個方案有以下優(yōu)勢： 高可靠性 堆疊系統(tǒng)的成員設(shè)備之間冗余備份；堆疊支持跨設(shè)備的鏈路聚合功能，實現(xiàn)跨設(shè)備的鏈路冗余備份。 匯聚層的兩臺交換機使用 CSS（ Cluster Switch System）技術(shù)，配置交換機集群，從邏 輯上組合成一臺交換機；接入層的兩臺交換機使用 iStack（ Intelligent Stack）技術(shù)，配置交換機堆疊，從邏輯上組合成一臺交換機。 配置維護復雜，網(wǎng)絡(luò)故障率高 每個接入交換機和匯聚交換機都需要運行 STP 協(xié)議，隨著接入交換機的增加，交換機需要處理的 STP 也越來越復雜，會導致可靠性問題。 收斂時間 傳統(tǒng)的 STP技術(shù)收斂速度慢，在故障發(fā)生時，故障收斂時間 10 秒；雖然采用 RSTP 進行優(yōu)化，但收斂時間任是秒級，秒級的業(yè)務(wù)中斷，無法適應(yīng)現(xiàn)在的很多網(wǎng)絡(luò)應(yīng)用。 ? 傳統(tǒng)可靠性方案 傳統(tǒng)的可靠性方案是 STP（ Spanning Tree Protocol），該方案通過阻塞環(huán)路中的某條鏈路來實現(xiàn)二層數(shù)據(jù)幀的無環(huán)轉(zhuǎn)發(fā)。這樣既簡化了配置和管理，又提高了網(wǎng)絡(luò)的可靠性和擴 展能力。 接入層需要具有高密度、高速率的端口，以支持更多的終端接入校園網(wǎng)絡(luò)。 ? 接入層設(shè)計規(guī)劃 接入層是最靠近終端用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，一般部署二層設(shè)備，雙歸屬到匯聚層兩個不同的交換機。這樣既簡化了配置和管理，又提高了網(wǎng)絡(luò)的可靠性和擴展能 力。 匯聚層交換機通常使用 CSS（ Cluster Switch System）技術(shù)，將多臺交換機從邏輯上整合成一臺交換機。匯聚層將大量用戶接入到互聯(lián)的網(wǎng)絡(luò)中，模塊化擴展接入核心層設(shè)備的用戶數(shù)量。這樣可以在保障業(yè)務(wù)隔離性和安全性的前提下，最大限度地利用現(xiàn)有資源，提高網(wǎng)絡(luò)業(yè)務(wù)的可配置性和可管理性。每臺邏輯交換機獨立工作，在業(yè)務(wù)功能上等同于一臺獨立的傳統(tǒng)物理交換機，可以在不同的邏輯交換機上按照用戶需要部署不同的業(yè)務(wù)。 核心層交換機通常使用 CSS（ Cluster Switch System）技術(shù)，將兩臺交換機從邏輯上整合成一臺交換機。 核心層需要采用全連接結(jié)構(gòu)，保持核心層設(shè)備的配置盡量簡單，并且和校2021 年中北大學建設(shè)萬兆校園網(wǎng)項目 山西信息 規(guī)劃 設(shè)計院 有限公司 xxii 園網(wǎng)的具體業(yè)務(wù)無關(guān)。當主設(shè)備的鏈路、接口、單板或者整機出現(xiàn)故障時，能夠快速將業(yè)務(wù)切換至備用設(shè)備。同時 BRAS 需要有強大的認證計費功能，才能滿足校園網(wǎng)的大用戶量、高并發(fā)連接數(shù)、多樣化計費的需求。 ? BRAS 設(shè)計規(guī)劃 BRAS 負責對校園網(wǎng)用戶的統(tǒng)一接入，并與認證服務(wù)器協(xié)同工作，對接入用戶進行認證，可以很方便的對校園網(wǎng)的所有用戶流量做統(tǒng)一管理監(jiān)控。 2021 年中北大學建設(shè)萬兆校園網(wǎng)項目 山西信息 規(guī)劃 設(shè)計院 有限公司 xxi 冗余性設(shè)計 雙節(jié)點冗余性 設(shè)計，適當?shù)娜哂嘈蕴岣呖煽啃?，過度的冗余不便于運行維護。 層次化設(shè)計 有 BRAS、核心層、匯聚層、接入層，每層功能清晰，架構(gòu)穩(wěn)定，易于擴展和維護。 每個