【正文】 由于VPN的成員站點之間通常是通過非信任的Internet實現(xiàn)互連的，所以一般基于客戶端設(shè)備的VPN在實現(xiàn)時都引入某些安全機制保護站點之間跨Internet的客戶私有流量。運營商的設(shè)備對客戶的VPN來說是完全透明的。采用這種方式組建VPN無論對運營商或者是對客戶來說成本都是很高的，而且二層虛電路的業(yè)務(wù)提供的周期長，網(wǎng)絡(luò)管理人員需要進行大量的手工配置工作。專線VPN使用靜態(tài)的虛電路（如ATM PVC、FR PVC 等）連接客戶的站點，形成一個二層的VPN骨干網(wǎng)。l 采用冗余設(shè)計，提供冗余節(jié)點和冗余鏈路，提高網(wǎng)絡(luò)可靠性和加快網(wǎng)絡(luò)故障時的收斂速度，設(shè)計使用雙節(jié)點備份和雙歸屬鏈路；l 建議實施時調(diào)整OSPF協(xié)議參數(shù)（如LSA interval）、端口linkdown感應(yīng)時間、規(guī)劃網(wǎng)絡(luò)IP地址等，達到網(wǎng)絡(luò)最佳收斂效果；l 對于數(shù)據(jù)專網(wǎng)網(wǎng)絡(luò)，可以劃分多個area，核心層與匯聚層為area 0，匯聚層設(shè)備作為ABR，匯聚層與接入層之間規(guī)劃為非骨干區(qū)域，為NSSA區(qū)；l 區(qū)域間可使用路由聚合和路由過濾等手段來限制發(fā)布路由得數(shù)量，減少設(shè)備計算負擔。核心設(shè)備之間通過冗余的萬兆光纖鏈路相連，通過虛擬交換技術(shù)虛擬為一臺邏輯設(shè)備。并根據(jù)信息系統(tǒng)的具體情況，部署FW、IPS，網(wǎng)絡(luò)資源平臺管理系統(tǒng)。校園數(shù)據(jù)傳輸專網(wǎng)整體架構(gòu)圖2）網(wǎng)絡(luò)拓撲設(shè)計XX學?；氐臄?shù)據(jù)傳輸專網(wǎng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)為萬兆核心、千兆主干、千兆或百兆到桌面的架構(gòu)?？紤]到后端服務(wù)器的高可靠保障和業(yè)務(wù)壓力，服務(wù)器雙上行方式以不低于1G的帶寬鏈接到接入交換機。前端網(wǎng)絡(luò)采用雙核心、接入的二層構(gòu)架方式，接入層以雙鏈路上聯(lián)至核心節(jié)點，接入層已不低于1G的帶寬接入核心節(jié)點。（2）網(wǎng)絡(luò)詳細設(shè)計1）架構(gòu)規(guī)劃專網(wǎng)設(shè)計按照前端、后端方式。此設(shè)計中數(shù)據(jù)專網(wǎng)可以為各業(yè)務(wù)系統(tǒng)提供一個VLAN或VPN通道，為了保障網(wǎng)絡(luò)的安全性，各專用系統(tǒng)必須考慮系統(tǒng)自身的安全性和在接入到專網(wǎng)時使用防火墻等設(shè)備保護自身核心數(shù)據(jù)的安全性。本方案中推薦組合：VLAN+VRF，VRF+MPLS VPN。不易擴展，STP維護復雜、難以管理和定位，適合小型網(wǎng)絡(luò)；l 分布式ACL：需要嚴格的策略控制，靈活性差，可能配置錯誤，擴展性、管理性差，適合某些特定場合；l VRF/MPLS VPN：三層隔離技術(shù)，業(yè)務(wù)隔離性好，每個VPN獨立轉(zhuǎn)發(fā)表，擴展性好。校園數(shù)據(jù)傳輸專網(wǎng)核心層交換機放置在校園中心機房；專網(wǎng)上各應(yīng)用系統(tǒng)的數(shù)據(jù)庫服務(wù)器群可采用直接連接或者通過交換機上行至核心層。因為其數(shù)據(jù)的特殊性，在設(shè)計專網(wǎng)時，要提高對網(wǎng)絡(luò)的安全性、可靠性和穩(wěn)定性的要求。部署統(tǒng)一的網(wǎng)絡(luò)管理平臺，涵蓋拓撲、告警、性能和配置等管理功能，使網(wǎng)絡(luò)狀況一目了然，實現(xiàn)設(shè)備資源的集中化管理；可以快速、準確地發(fā)現(xiàn)網(wǎng)絡(luò)資源，包括路由方式、ARP方式、IPSec VPN方式、網(wǎng)段方式等；支持設(shè)備面板管理，所見即所得的顯示設(shè)備的資產(chǎn)組成和運行狀態(tài)。專網(wǎng)上各應(yīng)用系統(tǒng)的數(shù)據(jù)庫服務(wù)器群可采用直接連接或者通過交換機上行至核心層。校園數(shù)據(jù)傳輸專網(wǎng)是一個完全獨立的網(wǎng)絡(luò)，因此數(shù)據(jù)在網(wǎng)絡(luò)平臺的傳輸過程相對比較安全，因為其數(shù)據(jù)的特殊性，在設(shè)計專網(wǎng)時，要充分滿足網(wǎng)絡(luò)的安全性、可靠性和穩(wěn)定性的設(shè)計要求。l 另外，還可以在交換機上部署服務(wù)器負載均衡模塊，可以提高服務(wù)器處理能力，降低服務(wù)器硬件投資成本，提高生產(chǎn)辦公效率。2）安全規(guī)劃l 由于服務(wù)器保存了校園網(wǎng)的關(guān)鍵業(yè)務(wù)，為了避免服務(wù)受到攻擊導致癱瘓或者數(shù)據(jù)泄密，需要提供全方位的多層次的保護?？紤]到當前服務(wù)器接入數(shù)量不多，因此將網(wǎng)絡(luò)匯聚層和接入層合并，未來隨著業(yè)務(wù)的擴展，可通過增加新的接入層交換機以提供更多的接入端口。（5）數(shù)據(jù)中心區(qū)設(shè)計1）網(wǎng)絡(luò)方案說明服務(wù)器區(qū)運行的是在XX智慧校園網(wǎng)絡(luò)上的各種辦公教學業(yè)務(wù)系統(tǒng)服務(wù)器，該區(qū)域是整個數(shù)字化校園業(yè)務(wù)核心，因此對網(wǎng)絡(luò)的安全性、可靠性和可擴展性等方面有較高要求。3）設(shè)備間連接方式公共區(qū)域接入層雙鏈路千兆上聯(lián)至兩核心機房匯聚交換機，學生宿舍每棟樓單鏈路千兆上聯(lián)至就近學生宿舍區(qū)匯聚交換機。VLAN終結(jié)在接入端口，限制廣播域范圍，較少廣播報文對網(wǎng)絡(luò)帶寬的消耗，并且還可以減少MAC、ARP等攻擊的范圍和影響。1）網(wǎng)絡(luò)方案說明各接入層設(shè)備采用就近原則匯聚。（4）接入層設(shè)計接入層：提供Layer2的網(wǎng)絡(luò)接入，通過VLAN劃分實現(xiàn)接入的隔離。3）設(shè)備間連接方式區(qū)域匯聚設(shè)備與核心交換機連接方式見核心層設(shè)計。l 安全部署采用安全交換一體化架構(gòu)，匯聚交換機集成防火墻板卡，以便簡化網(wǎng)絡(luò)拓撲、減少網(wǎng)絡(luò)單點故障，提高安全處理性能，方便后期擴展。2）安全規(guī)劃l 為了防止各個部分之間非法訪問，導致竊取、破壞等攻擊，本次在匯聚層部署防火墻進行安全區(qū)域的隔離。區(qū)域匯聚交換機分別通過萬兆冗余鏈路接入到兩臺核心交換機，下行接入各個建筑單體的接入交換機，由于學生公寓組團單個建筑信息點數(shù)量眾多，所以建議在學生宿舍每個建筑中部署2臺樓宇匯聚交換機，每臺配置雙電源，提高樓宇匯聚節(jié)點的可靠性。1）網(wǎng)絡(luò)方案說明匯聚區(qū)是XX學?；匦@網(wǎng)絡(luò)承上啟下的關(guān)鍵，需要保證該層次網(wǎng)絡(luò)的可靠性。2條下行萬兆鏈路采用跨設(shè)備聚合技術(shù)虛擬成一條邏輯鏈路，從而簡化網(wǎng)絡(luò)部署提高故障恢復速度。l 核心交換機支持高性能MPLS處理，可以有效隔離校園網(wǎng)各業(yè)務(wù)，減少各業(yè)務(wù)之間干擾，保證業(yè)務(wù)之間的安全性和可靠性3）設(shè)備間連接方式兩臺核心設(shè)備分別放置在網(wǎng)絡(luò)中心核心機房和圖書館核心機房，采用雙單模萬兆接口互聯(lián)，并且采用虛擬交換架構(gòu)技術(shù)虛擬成一臺邏輯設(shè)備。l 但是為了避免在核心區(qū)由于多區(qū)域之間安全策略的交叉而導致部署復雜，維護困難。本次部署IPS模塊，及時阻止各種針對系統(tǒng)漏洞的攻擊，屏蔽蠕蟲、病毒和間諜軟件，防御DOS及DDOS攻擊，阻斷或限制P2P應(yīng)用，完成應(yīng)用系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和系統(tǒng)性能保護的關(guān)鍵任務(wù)。兩臺核心交換機虛擬成一臺邏輯交換機，通過跨設(shè)備鏈路聚合與匯聚層設(shè)備互聯(lián)。在兩臺核心交換機都正常工作時能夠?qū)π^(qū)匯聚交互區(qū)域轉(zhuǎn)發(fā)過來的數(shù)據(jù)流量進行負載均衡，兩臺核心交換機同時承擔核心網(wǎng)絡(luò)數(shù)據(jù)交換工作。核心設(shè)備采用多級交換架構(gòu)，即使用獨立的交換網(wǎng)板卡，可以為設(shè)備提供擴展的交換容量，多塊交換網(wǎng)板同時分擔業(yè)務(wù)流量；控制引擎和交換網(wǎng)板硬件相互獨立，并且配置冗余電源和冗余風扇，最大程度的保障設(shè)備可靠性。l 核心層不進行終端系統(tǒng)的連接；l 核心層不實施影響高速交換性能的ACL等功能。XX智慧校園網(wǎng)絡(luò)拓撲示意圖下面就各個區(qū)域做詳細的設(shè)計。對于鏈路層的安全可考慮采用不同鏈路的主備主干光纜方式實現(xiàn)。這就要求匯聚層設(shè)備必須具備良好的可擴展性，必須使用模塊化的體系結(jié)構(gòu)，可通過增加板卡提高端口密度，以便匯接更多的接入層設(shè)備；接入層的主要任務(wù)是完成用戶的接入，它直接和用戶連接，可能遭受ARP風暴、MAC掃描、ICMP風暴、帶寬攻擊等等攻擊方式，對安全性的要求很高，另一方面必須提供靈活的用戶管理手段。三層結(jié)構(gòu)是大型網(wǎng)絡(luò)常用的層次化網(wǎng)絡(luò)設(shè)計模型。6）網(wǎng)絡(luò)拓撲總體設(shè)計在校園網(wǎng)的建設(shè)中，網(wǎng)絡(luò)架構(gòu)的選擇具有舉足輕重的作用，組網(wǎng)架構(gòu)決定整個校園網(wǎng)絡(luò)的性能、可擴展性、可管理性、線纜布放、區(qū)域劃分等諸多關(guān)鍵因素，從目前的主流的組網(wǎng)架構(gòu)上看，每種組網(wǎng)架構(gòu)都具有優(yōu)點與缺點，關(guān)鍵是要選擇適合于學校自身特點的架構(gòu)，合理的組網(wǎng)架構(gòu)是一個優(yōu)秀校園網(wǎng)絡(luò)的基礎(chǔ)。XX學?；刂腔坌@園區(qū)網(wǎng)是一個全面支持IPv6的網(wǎng)絡(luò)，后續(xù)的部署也全部采用支持支持雙棧的交換機設(shè)備，三層設(shè)備上同時運行OSPFv2和OSPFv3兩套協(xié)議，盡管運行在同一個設(shè)備上，這兩套協(xié)議是互相獨立的。5）IPv6園區(qū)規(guī)劃作為數(shù)字化校園的一部分，IPv6網(wǎng)絡(luò)能力必不可少。網(wǎng)絡(luò)建設(shè)高可用性設(shè)計，需要全方位多角度的對網(wǎng)絡(luò)可靠性給予充分保障。4）高可用園區(qū)規(guī)劃XX學?；刂腔坌@園區(qū)網(wǎng)絡(luò)作為實際業(yè)務(wù)的接入和承載體，必須具有高可用性。管控層面針對業(yè)務(wù)流各個環(huán)節(jié)的相應(yīng)環(huán)節(jié)，包括設(shè)備資源、用戶資源、業(yè)務(wù)流量、業(yè)務(wù)隔離、安全信息進行整合管理，有效調(diào)整業(yè)務(wù)流的可用性和平滑性。面向外網(wǎng)出口層、校園匯聚層、校園核心層、數(shù)據(jù)中心、用戶行為控制五個層面安全規(guī)劃設(shè)計。l 而數(shù)據(jù)中心作為多業(yè)務(wù)部署的心臟，通過災(zāi)備的設(shè)計，規(guī)劃其可靠性、可管理性與可擴展性，實現(xiàn)面向業(yè)務(wù)的集中存儲、數(shù)據(jù)保護和多系統(tǒng)虛擬化，保障多業(yè)務(wù)系統(tǒng)與用戶之間的交互。通過對基礎(chǔ)平臺實施WLAN功能拓展，提供更豐富的接入手段與移動業(yè)務(wù)。l 對于基礎(chǔ)平臺，經(jīng)過優(yōu)化處理，將對業(yè)務(wù)的靈活性、可控性、性能、可靠性起到提升的作用。業(yè)務(wù)流平面為多業(yè)務(wù)支撐的承載基礎(chǔ)。網(wǎng)絡(luò)管理平臺除了管理傳統(tǒng)的路由器、交換機外，還可以對網(wǎng)絡(luò)中的無線、安全、語音、存儲、服務(wù)器、打印機、UPS等設(shè)備進行管理，實現(xiàn)設(shè)備資源的集中化管理；可以快速、準確地發(fā)現(xiàn)網(wǎng)絡(luò)資源，包括路由方式、ARP方式、IPSec VPN方式、網(wǎng)段方式等；支持設(shè)備面板管理，所見即所得的顯示設(shè)備的資產(chǎn)組成和運行狀態(tài)。l 其它專網(wǎng)如果其它專網(wǎng)（油田專網(wǎng)的部分或全部，）要在校園信息網(wǎng)絡(luò)上運行，則考慮在校園網(wǎng)上提供VPN的方式來實現(xiàn)，校園網(wǎng)提供安全通道，但各應(yīng)用系統(tǒng)必須考慮自身的安全措施。l 無線網(wǎng)絡(luò)實現(xiàn)對校園內(nèi)無線上網(wǎng)的可管可控。l 內(nèi)網(wǎng)控制和行為審計為保護校園骨干網(wǎng)絡(luò)，在每個分支的匯聚節(jié)點（包括大匯聚區(qū)域和服務(wù)器的匯聚區(qū)域）部署安全管理設(shè)備統(tǒng)一管理從不同匯聚節(jié)點收集的安全事件，并能夠自動輸出審計報告，全面掌握全網(wǎng)的安全狀況。出口安全可達到線速萬兆，支持校園網(wǎng)對帶寬的高速需求。2）設(shè)計要求l 網(wǎng)絡(luò)整體構(gòu)架整個網(wǎng)絡(luò)采用雙核心、匯聚（核心和匯聚層設(shè)備物理位置集中在核心機房）、接入三層構(gòu)架方式，每個匯聚點以萬兆雙鏈路上聯(lián)至核心節(jié)點，公共區(qū)域雙鏈路千兆上聯(lián)至兩核心機房匯聚交換機，學生宿舍每棟樓單鏈路千兆上聯(lián)至就近學生宿舍區(qū)匯聚交換機，提供辦公區(qū)域千兆或百兆、學生區(qū)域百兆接入；學院、圖書館實現(xiàn)雙萬兆連接至匯聚。l 統(tǒng)一網(wǎng)絡(luò)管理平臺為了保障網(wǎng)絡(luò)安全、穩(wěn)定運行，簡化管理，必須對所有網(wǎng)絡(luò)設(shè)備的狀態(tài)、性能、配置、密碼、故障、安全事件、資產(chǎn)進行統(tǒng)一管理、監(jiān)控，使網(wǎng)絡(luò)管理者能及時、清楚的了解整個網(wǎng)絡(luò)的運行狀況。l 無線接入需求在全校范圍內(nèi)特別是圖書館、體育館、會議室等重點公共區(qū)域場所實現(xiàn)有線、無線全覆蓋。高效的校園管理應(yīng)用體系中，包括校園通信網(wǎng)絡(luò)、安全監(jiān)控、建筑設(shè)備自動化、視頻會議、門戶網(wǎng)站、教務(wù)管理、OA辦公、信息安全管理、能源管理、資產(chǎn)管理、校園GIS等業(yè)務(wù)應(yīng)用系統(tǒng)，針對校園實際建設(shè)情況，作相應(yīng)詳略設(shè)計。3)、基礎(chǔ)服務(wù)為應(yīng)用提供管理運維、身份認證、工作流等服務(wù)及服務(wù)的組件的管理，包括身份登記、服務(wù)注冊等。通過數(shù)據(jù)抽取、轉(zhuǎn)換、挖掘、裝載，形成系統(tǒng)的業(yè)務(wù)數(shù)據(jù)、操作數(shù)據(jù)、運維數(shù)據(jù)、管理數(shù)據(jù)、日志數(shù)據(jù)、決策數(shù)據(jù)等各類主題數(shù)據(jù)庫?；A(chǔ)硬件部份，建議通過網(wǎng)絡(luò)接入XX市政府云計算中心，獲取IAAS基礎(chǔ)設(shè)施服務(wù)(如“桌面云”服務(wù))，減少服務(wù)器和存儲硬件的投入。操作系統(tǒng)包括Windows、linux、Unix,Ios等操作系統(tǒng)平臺，提供軟件操作環(huán)境。1）、基礎(chǔ)設(shè)施服務(wù)包括基礎(chǔ)硬件、操作系統(tǒng)、支撐環(huán)境。主要有資產(chǎn)情況分析、教學效果評價分析、人力資源分析、教研成果評價分析等組成。校園門戶除提供校園日常信息發(fā)布外，還提供校園資源搜索引擎，實現(xiàn)校園文檔、視頻、教輔、圖書等資源的檢索和資源下載服務(wù)。3)、統(tǒng)一信息門戶門戶是整個管理平臺的總?cè)肟?，實現(xiàn)跨平臺，跨系統(tǒng)數(shù)據(jù)資源的優(yōu)化和聚合。2）、統(tǒng)一身份認證建設(shè)全校統(tǒng)一的身份認證中心CA，對用戶資源的集中存儲和管理，訪問權(quán)限的集中控制和管理，保證用戶電子身份的唯一性、安全性、便捷性。智慧校園綜合管理平臺是整個校園的信息資源中心和組織管理中心，它的功能主要是對校園各子系統(tǒng)的綜合運維管理、統(tǒng)一信息門戶、統(tǒng)一身份認證、統(tǒng)一決策管理。第六章項目建設(shè)內(nèi)容智慧校園綜合管理平臺是在校園網(wǎng)絡(luò)基礎(chǔ)上，利用先進的信息技術(shù)、計算機技術(shù)對教學、科研、管理和服務(wù)的所有信息資源進行整合和集成，構(gòu)建統(tǒng)一的用戶管理、統(tǒng)一的資源管理和統(tǒng)一權(quán)限管理，達到資源的共享和業(yè)務(wù)的協(xié)同。功能設(shè)計時體現(xiàn)校園生活的便捷、健康服務(wù)。主要有多媒體智能教室、遠程教育系統(tǒng)、虛擬實驗室、電子考場、實訓教學、職業(yè)認證等功能。8）、校園OA辦公管理功能設(shè)計：對校園行政辦公文件、教輔資料等進行信息化管理。6）、校園門戶功能設(shè)計：體現(xiàn)校園信息的發(fā)布和查詢及校園的宣傳。4）、智能樓宇功能設(shè)計：主要是建設(shè)樓宇自控功能，實現(xiàn)樓宇設(shè)備管理信息化、效率的高效化。2)、校園安全監(jiān)控的功能設(shè)計：維護校園的教學次序，保障校園的安全，以便“事前監(jiān)控、事后查證”。結(jié)合XX校園情況，主要規(guī)劃以下管理功能。以“綜合運維管理、統(tǒng)一信息門戶、統(tǒng)一身份認證、統(tǒng)一管理決策”四大內(nèi)容開展詳細設(shè)計，深度體現(xiàn)校園高效的管理、科學的決策、智能的服務(wù)，滿足校園信息化、智能化、科學化的發(fā)展之路。智慧校園綜合管理平臺的建設(shè)就是為了打破“信息孤島”，實現(xiàn)校園內(nèi)資源的有效配置和高效利用，提高教學、科研、管理、服務(wù)等工作效率。傳統(tǒng)的校園內(nèi)各應(yīng)用系統(tǒng)數(shù)據(jù)標準不一、平臺相互獨立，從而形成“信息孤島”。4）、統(tǒng)一決策管理：為管理者提供決策分析數(shù)據(jù)支持。2）、統(tǒng)一身份認證：面向教師、學生、管理者的統(tǒng)一認證管理。XX智慧校園感知層主要有視頻監(jiān)控系統(tǒng)的攝像機、樓宇系統(tǒng)前端控制器、資產(chǎn)管理系統(tǒng)RFID、圖書館二維碼等采集模塊組成。216。 網(wǎng)絡(luò)層網(wǎng)絡(luò)層包括互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、教育網(wǎng)、油田專網(wǎng)、校園網(wǎng)，通過這些網(wǎng)絡(luò)所采用的諸如IP技術(shù)、寬帶無線技術(shù)、光網(wǎng)絡(luò)技術(shù)將來自感知層的數(shù)據(jù)傳輸至服務(wù)平臺?；A(chǔ)平臺層建議接入XX市政府云計算中心，可以把市政府云計算平臺提供的云計算、虛擬化、云存儲等服務(wù)作為智慧校園基礎(chǔ)平臺?；A(chǔ)平臺層需要實現(xiàn)資源的集中化、規(guī)?；?，能夠?qū)崿F(xiàn)對各類異構(gòu)軟硬件基礎(chǔ)資源的兼容和資源的動態(tài)流轉(zhuǎn)，同時將靜態(tài)、固定的硬件資源進行調(diào)度，形成資源池。216。主要包括面向校園管理類的服務(wù)系統(tǒng)、面向教學類的智能應(yīng)用系統(tǒng)、面向校園生活類的服務(wù)系統(tǒng)組成。智慧校園總體技術(shù)架構(gòu)圖216。第五章系統(tǒng)整體設(shè)計此項目設(shè)計嚴格遵循國家、