【正文】 當(dāng)AP覆蓋區(qū)域受到外界強信號干擾時，無線控制器會控制AP自動切換到合適的工作信道以規(guī)避干擾信號當(dāng)覆蓋區(qū)域內(nèi)的某個AP發(fā)生。②全系無線產(chǎn)品支持IPv4和IPv6雙棧，為用戶提供和有線網(wǎng)近乎同等的應(yīng)用承載：l 無線交換機支持MLD Snooping，配合現(xiàn)有IPv6有線網(wǎng)絡(luò)，實現(xiàn)IPv6組播業(yè)務(wù)；l AP和無線控制器之間可以建立基于IPv6地址的隧道，多個無線控制器之間可以建立基于IPv6地址的隧道；l 支持IPv6管理特性。Frame Aggregation，幀聚合，通過把多個待發(fā)送的載荷聚合到一起，一次性發(fā)送，減小了多次報文發(fā)送所需的額外協(xié)議負(fù)荷，從而提高吞吐。無線信號在空間傳輸會因多徑等因素在接收側(cè)形成時延，如果后面的數(shù)據(jù)塊發(fā)送的過快的話，會和前一個數(shù)據(jù)塊的形成干擾，而GI就是用來規(guī)避這個干擾的。雙頻帶 (支持20/40M帶寬)，通過將兩個20MHz的帶寬綁定在一起組成一個40MHz通訊帶寬，在實際工作時可以作為兩個20MHz的帶寬使用，收發(fā)數(shù)據(jù)時既可以以40MHz的帶寬工作，也可以以單個20MHz帶寬工作，從而將速率提高一倍。2）方案特點本方案的特點如下：① IEEE 。為了提高無線網(wǎng)絡(luò)的可靠性，建議部署2臺1：1備份的無線控制器，無線控制器支持100毫秒業(yè)務(wù)備份，AP會同時和兩臺無線控制器建立CAPWAP鏈路，一臺作為主控制器，另外一臺作為備份控制器，但只有和主控制器建立的CAPWAP鏈路處于工作狀態(tài)。（2）1）部署方案本次設(shè)計的有線無線一體化方案為無線控制器＋“瘦”AP方案，無線控制器作為無線數(shù)據(jù)控制轉(zhuǎn)發(fā)中心，旁掛部署于網(wǎng)絡(luò)中心機房的核心交換機側(cè)，無線接入點則部署在校園內(nèi)的室內(nèi)公共區(qū)域。本次建設(shè)建議首先考慮室內(nèi)覆蓋，后續(xù)可對室外覆蓋進行規(guī)劃。用無線網(wǎng)絡(luò)覆蓋來解決相當(dāng)數(shù)量的移動設(shè)備同時訪問網(wǎng)絡(luò)的問題。l 采用非獨立的、可與有線網(wǎng)絡(luò)無縫對接的無線網(wǎng)絡(luò)結(jié)構(gòu)。l 全面的無線網(wǎng)絡(luò)支撐系統(tǒng)（包括無線網(wǎng)管、無線安全，無線計費，IPv6等），以避免無線設(shè)備及軟件之間的不兼容性或網(wǎng)絡(luò)管理的混亂而導(dǎo)致的問題。（1）設(shè)計目標(biāo)側(cè)重實際應(yīng)用，覆蓋校園內(nèi)公共區(qū)域，為教學(xué)和學(xué)習(xí)生活提供切實可用的無線網(wǎng)絡(luò)環(huán)境。無線局域網(wǎng)具有以下顯著特點：簡易性：WLAN網(wǎng)絡(luò)的安裝快速簡單，可極大的減少敷設(shè)管道及布線等繁瑣工作；靈活性：無線技術(shù)使得WLAN設(shè)備可以靈活的進行安裝并調(diào)整位置，使無線網(wǎng)絡(luò)達到有線網(wǎng)絡(luò)不易覆蓋的區(qū)域；綜合成本較低：一方面WLAN網(wǎng)絡(luò)減少了布線的費用，另一方面在需要頻繁移動和變化的動態(tài)環(huán)境中，無線局域網(wǎng)技術(shù)可以更好地保護已有投資。（另注：此處舉例使用A、B、C、D點與光纜系統(tǒng)中的交界點無關(guān)）。由于接入交換機具有MultiVRF CE功能，它可以根據(jù)本地的不同VLAN設(shè)置將其映射到MPLS VPN上，如圖中所示，D處一卡通系統(tǒng)作為局域網(wǎng)VLAN 11可以訪問整個一卡通系統(tǒng)，而C處局域網(wǎng)VLAN11可以映射到一卡通系統(tǒng)VPN11上。如上圖所示，一卡通、安防系統(tǒng)、廣播系統(tǒng)、醫(yī)保系統(tǒng)和財務(wù)系統(tǒng)都是通過以太網(wǎng)接入與校園信息網(wǎng)物理隔離的校園數(shù)據(jù)傳輸專網(wǎng)中，圖中假設(shè)D處有一卡通系統(tǒng)和廣播系統(tǒng)需要通過以太網(wǎng)接入校園數(shù)據(jù)傳輸專網(wǎng)，而C處有一卡通系統(tǒng)、安防系統(tǒng)和廣播系統(tǒng)需要通過以太網(wǎng)接入校園數(shù)據(jù)傳輸專網(wǎng)。核心層設(shè)備PE配置有千兆電口用于相關(guān)業(yè)務(wù)系統(tǒng)服務(wù)器使用；千兆光口用于連接接入層；萬兆光口核心互聯(lián)用于對實時數(shù)據(jù)訪問要求高的如安防系統(tǒng)的數(shù)據(jù)中心使用。針對安防系統(tǒng)還可以根據(jù)時間情況采用多播、廣播等技術(shù)手段進一步優(yōu)化提高傳輸效率。本方案配置的各片區(qū)的單體建筑接入交換機都支持作為CE接入MPLS主干網(wǎng)，尤其是它們都具有MultiVRF CE功能，允許將本地網(wǎng)絡(luò)不同的VLAN、線路、連接等映射到不同的骨干網(wǎng)VPN上。（對單一數(shù)據(jù)中心設(shè)計來說，這有利于多個業(yè)務(wù)使用同一個數(shù)據(jù)中心，便于數(shù)據(jù)集中；對分布式數(shù)據(jù)中心則無需考慮此問題）（3）設(shè)備選擇本方案的校園數(shù)據(jù)傳輸專網(wǎng)骨干網(wǎng)核心交換機上配置企業(yè)級版本路由軟件，完全支持各種MPLS協(xié)議功能。通過PE之間、PE和CE之間的路由交互，客戶的路由器可以知道屬于同一個VPN的網(wǎng)絡(luò)拓?fù)湫畔ⅰE之間屬于同一MPLS VPN的路由信息通過BGP協(xié)議承載進行交互。PE和CE之間的路由交換可以采用靜態(tài)路由，也可以采用RIP、OSPF、ISIS和BGP等動態(tài)的路由協(xié)議。BGP/MPLS VPN使用類似傳統(tǒng)路由的方式進行IP分組的轉(zhuǎn)發(fā)，在路由器接收到IP數(shù)據(jù)包以后，通過在轉(zhuǎn)發(fā)表查找IP數(shù)據(jù)包的目的地址，然后使用預(yù)先建立的LSP進行IP數(shù)據(jù)跨運營商骨干的傳送。學(xué)校校園數(shù)據(jù)傳輸專網(wǎng)屬于內(nèi)部網(wǎng)，具有高度的可信任、可控性和可管理性，僅僅是多種不同業(yè)務(wù)在同一個承載網(wǎng)絡(luò)運行，所以采用MPLS VPN的設(shè)計是最符合適宜的。對于MPLS的客戶來說，運營商的MPLS網(wǎng)絡(luò)可以提供客戶需要的安全機制，以及組網(wǎng)的能力，VPN底層連接的建立、管理和維護主要由運營商負(fù)責(zé)，客戶運營其VPN的維護和管理都將比傳統(tǒng)的VPN解決方案簡單，也減低了企業(yè)在人員和設(shè)備維護上的投資和成本。同時MPLS VPN可以充分的利用MPLS技術(shù)的一些先進的特性，比如說MPLS 流量工程能力，MPLS的服務(wù)質(zhì)量保證，結(jié)合這些能力，MPLS VPN可以向客戶提供不同服務(wù)質(zhì)量等級的服務(wù)，也更容易實現(xiàn)跨運營商骨干網(wǎng)服務(wù)質(zhì)量的保證。②MPLS VPN MPLS技術(shù)提供了類似于虛電路的標(biāo)簽交換業(yè)務(wù)，這種基于標(biāo)簽的交換可以提供類似于幀中繼、ATM的網(wǎng)絡(luò)安全性。由于VPN的成員站點之間通常是通過非信任的Internet實現(xiàn)互連的，所以一般基于客戶端設(shè)備的VPN在實現(xiàn)時都引入某些安全機制保護站點之間跨Internet的客戶私有流量。運營商的設(shè)備對客戶的VPN來說是完全透明的。采用這種方式組建VPN無論對運營商或者是對客戶來說成本都是很高的，而且二層虛電路的業(yè)務(wù)提供的周期長，網(wǎng)絡(luò)管理人員需要進行大量的手工配置工作。專線VPN使用靜態(tài)的虛電路（如ATM PVC、FR PVC 等）連接客戶的站點，形成一個二層的VPN骨干網(wǎng)。l 采用冗余設(shè)計，提供冗余節(jié)點和冗余鏈路，提高網(wǎng)絡(luò)可靠性和加快網(wǎng)絡(luò)故障時的收斂速度，設(shè)計使用雙節(jié)點備份和雙歸屬鏈路；l 建議實施時調(diào)整OSPF協(xié)議參數(shù)（如LSA interval）、端口linkdown感應(yīng)時間、規(guī)劃網(wǎng)絡(luò)IP地址等，達到網(wǎng)絡(luò)最佳收斂效果；l 對于數(shù)據(jù)專網(wǎng)網(wǎng)絡(luò)，可以劃分多個area，核心層與匯聚層為area 0，匯聚層設(shè)備作為ABR，匯聚層與接入層之間規(guī)劃為非骨干區(qū)域，為NSSA區(qū)；l 區(qū)域間可使用路由聚合和路由過濾等手段來限制發(fā)布路由得數(shù)量，減少設(shè)備計算負(fù)擔(dān)。核心設(shè)備之間通過冗余的萬兆光纖鏈路相連，通過虛擬交換技術(shù)虛擬為一臺邏輯設(shè)備。并根據(jù)信息系統(tǒng)的具體情況，部署FW、IPS，網(wǎng)絡(luò)資源平臺管理系統(tǒng)。校園數(shù)據(jù)傳輸專網(wǎng)整體架構(gòu)圖2）網(wǎng)絡(luò)拓?fù)湓O(shè)計學(xué)校的數(shù)據(jù)傳輸專網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為萬兆核心、千兆主干、千兆或百兆到桌面的架構(gòu)?？紤]到后端服務(wù)器的高可靠保障和業(yè)務(wù)壓力，服務(wù)器雙上行方式以不低于1G的帶寬鏈接到接入交換機。前端網(wǎng)絡(luò)采用雙核心、接入的二層構(gòu)架方式，接入層以雙鏈路上聯(lián)至核心節(jié)點，接入層已不低于1G的帶寬接入核心節(jié)點。（2）網(wǎng)絡(luò)詳細設(shè)計1）架構(gòu)規(guī)劃專網(wǎng)設(shè)計按照前端、后端方式。此設(shè)計中數(shù)據(jù)專網(wǎng)可以為各業(yè)務(wù)系統(tǒng)提供一個VLAN或VPN通道，為了保障網(wǎng)絡(luò)的安全性，各專用系統(tǒng)必須考慮系統(tǒng)自身的安全性和在接入到專網(wǎng)時使用防火墻等設(shè)備保護自身核心數(shù)據(jù)的安全性。本方案中推薦組合：VLAN+VRF，VRF+MPLS VPN。不易擴展，STP維護復(fù)雜、難以管理和定位，適合小型網(wǎng)絡(luò)；l 分布式ACL：需要嚴(yán)格的策略控制，靈活性差，可能配置錯誤，擴展性、管理性差，適合某些特定場合；l VRF/MPLS VPN：三層隔離技術(shù)，業(yè)務(wù)隔離性好，每個VPN獨立轉(zhuǎn)發(fā)表，擴展性好。校園數(shù)據(jù)傳輸專網(wǎng)核心層交換機放置在校園中心機房；專網(wǎng)上各應(yīng)用系統(tǒng)的數(shù)據(jù)庫服務(wù)器群可采用直接連接或者通過交換機上行至核心層。因為其數(shù)據(jù)的特殊性，在設(shè)計專網(wǎng)時，要提高對網(wǎng)絡(luò)的安全性、可靠性和穩(wěn)定性的要求。部署統(tǒng)一的網(wǎng)絡(luò)管理平臺，涵蓋拓?fù)洹⒏婢?、性能和配置等管理功能，使網(wǎng)絡(luò)狀況一目了然，實現(xiàn)設(shè)備資源的集中化管理；可以快速、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)資源，包括路由方式、ARP方式、IPSec VPN方式、網(wǎng)段方式等；支持設(shè)備面板管理，所見即所得的顯示設(shè)備的資產(chǎn)組成和運行狀態(tài)。專網(wǎng)上各應(yīng)用系統(tǒng)的數(shù)據(jù)庫服務(wù)器群可采用直接連接或者通過交換機上行至核心層。校園數(shù)據(jù)傳輸專網(wǎng)是一個完全獨立的網(wǎng)絡(luò)，因此數(shù)據(jù)在網(wǎng)絡(luò)平臺的傳輸過程相對比較安全，因為其數(shù)據(jù)的特殊性，在設(shè)計專網(wǎng)時，要充分滿足網(wǎng)絡(luò)的安全性、可靠性和穩(wěn)定性的設(shè)計要求。l 另外，還可以在交換機上部署服務(wù)器負(fù)載均衡模塊，可以提高服務(wù)器處理能力，降低服務(wù)器硬件投資成本，提高生產(chǎn)辦公效率。2）安全規(guī)劃l 由于服務(wù)器保存了校園網(wǎng)的關(guān)鍵業(yè)務(wù)，為了避免服務(wù)受到攻擊導(dǎo)致癱瘓或者數(shù)據(jù)泄密，需要提供全方位的多層次的保護?？紤]到當(dāng)前服務(wù)器接入數(shù)量不多，因此將網(wǎng)絡(luò)匯聚層和接入層合并，未來隨著業(yè)務(wù)的擴展，可通過增加新的接入層交換機以提供更多的接入端口。（5）數(shù)據(jù)中心區(qū)設(shè)計1）網(wǎng)絡(luò)方案說明服務(wù)器區(qū)運行的是在智慧校園網(wǎng)絡(luò)上的各種辦公教學(xué)業(yè)務(wù)系統(tǒng)服務(wù)器，該區(qū)域是整個數(shù)字化校園業(yè)務(wù)核心，因此對網(wǎng)絡(luò)的安全性、可靠性和可擴展性等方面有較高要求。3）設(shè)備間連接方式公共區(qū)域接入層雙鏈路千兆上聯(lián)至兩核心機房匯聚交換機，學(xué)生宿舍每棟樓單鏈路千兆上聯(lián)至就近學(xué)生宿舍區(qū)匯聚交換機。VLAN終結(jié)在接入端口，限制廣播域范圍，較少廣播報文對網(wǎng)絡(luò)帶寬的消耗，并且還可以減少MAC、ARP等攻擊的范圍和影響。1）網(wǎng)絡(luò)方案說明各接入層設(shè)備采用就近原則匯聚。（4）接入層設(shè)計接入層：提供Layer2的網(wǎng)絡(luò)接入，通過VLAN劃分實現(xiàn)接入的隔離。3）設(shè)備間連接方式區(qū)域匯聚設(shè)備與核心交換機連接方式見核心層設(shè)計。l 安全部署采用安全交換一體化架構(gòu)，匯聚交換機集成防火墻板卡，以便簡化網(wǎng)絡(luò)拓?fù)?、減少網(wǎng)絡(luò)單點故障，提高安全處理性能，方便后期擴展。2）安全規(guī)劃l 為了防止各個部分之間非法訪問，導(dǎo)致竊取、破壞等攻擊，本次在匯聚層部署防火墻進行安全區(qū)域的隔離。區(qū)域匯聚交換機分別通過萬兆冗余鏈路接入到兩臺核心交換機，下行接入各個建筑單體的接入交換機，由于學(xué)生公寓組團單個建筑信息點數(shù)量眾多，所以建議在學(xué)生宿舍每個建筑中部署2臺樓宇匯聚交換機，每臺配置雙電源，提高樓宇匯聚節(jié)點的可靠性。1）網(wǎng)絡(luò)方案說明匯聚區(qū)是學(xué)校校園網(wǎng)絡(luò)承上啟下的關(guān)鍵，需要保證該層次網(wǎng)絡(luò)的可靠性。2條下行萬兆鏈路采用跨設(shè)備聚合技術(shù)虛擬成一條邏輯鏈路，從而簡化網(wǎng)絡(luò)部署提高故障恢復(fù)速度。l 核心交換機支持高性能MPLS處理，可以有效隔離校園網(wǎng)各業(yè)務(wù)，減少各業(yè)務(wù)之間干擾，保證業(yè)務(wù)之間的安全性和可靠性3）設(shè)備間連接方式兩臺核心設(shè)備分別放置在網(wǎng)絡(luò)中心核心機房和圖書館核心機房，采用雙單模萬兆接口互聯(lián)，并且采用虛擬交換架構(gòu)技術(shù)虛擬成一臺邏輯設(shè)備。l 但是為了避免在核心區(qū)由于多區(qū)域之間安全策略的交叉而導(dǎo)致部署復(fù)雜，維護困難。本次部署IPS模塊，及時阻止各種針對系統(tǒng)漏洞的攻擊，屏蔽蠕蟲、病毒和間諜軟件，防御DOS及DDOS攻擊，阻斷或限制P2P應(yīng)用，完成應(yīng)用系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和系統(tǒng)性能保護的關(guān)鍵任務(wù)。兩臺核心交換機虛擬成一臺邏輯交換機，通過跨設(shè)備鏈路聚合與匯聚層設(shè)備互聯(lián)。在兩臺核心交換機都正常工作時能夠?qū)π^(qū)匯聚交互區(qū)域轉(zhuǎn)發(fā)過來的數(shù)據(jù)流量進行負(fù)載均衡，兩臺核心交換機同時承擔(dān)核心網(wǎng)絡(luò)數(shù)據(jù)交換工作。核心設(shè)備采用多級交換架構(gòu)，即使用獨立的交換網(wǎng)板卡，可以為設(shè)備提供擴展的交換容量，多塊交換網(wǎng)板同時分擔(dān)業(yè)務(wù)流量；控制引擎和交換網(wǎng)板硬件相互獨立，并且配置冗余電源和冗余風(fēng)扇，最大程度的保障設(shè)備可靠性。l 核心層不進行終端系統(tǒng)的連接；l 核心層不實施影響高速交換性能的ACL等功能。智慧校園網(wǎng)絡(luò)拓?fù)涫疽鈭D下面就各個區(qū)域做詳細的設(shè)計。對于鏈路層的安全可考慮采用不同鏈路的主備主干光纜方式實現(xiàn)。這就要求匯聚層設(shè)備必須具備良好的可擴展性，必須使用模塊化的體系結(jié)構(gòu)，可通過增加板卡提高端口密度，以便匯接更多的接入層設(shè)備；接入層的主要任務(wù)是完成用戶的接入，它直接和用戶連接，可能遭受ARP風(fēng)暴、MAC掃描、ICMP風(fēng)暴、帶寬攻擊等等攻擊方式，對安全性的要求很高，另一方面必須提供靈活的用戶管理手段。三層結(jié)構(gòu)是大型網(wǎng)絡(luò)常用的層次化網(wǎng)絡(luò)設(shè)計模型。6）網(wǎng)絡(luò)拓?fù)淇傮w設(shè)計在校園網(wǎng)的建設(shè)中，網(wǎng)絡(luò)架構(gòu)的選擇具有舉足輕重的作用，組網(wǎng)架構(gòu)決定整個校園網(wǎng)絡(luò)的性能、可擴展性、可管理性、線纜布放、區(qū)域劃分等諸多關(guān)鍵因素，從目前的主流的組網(wǎng)架構(gòu)上看，每種組網(wǎng)架構(gòu)都具有優(yōu)點與缺點，關(guān)鍵是要選擇適合于學(xué)校自身特點的架構(gòu)，合理的組網(wǎng)架構(gòu)是一個優(yōu)秀校園網(wǎng)絡(luò)的基礎(chǔ)。智慧校園園區(qū)網(wǎng)是一個全面支持IPv6的網(wǎng)絡(luò)，后續(xù)的部署也全部采用支持支持雙棧的交換機設(shè)備，三層設(shè)備上同時運行OSPFv2和OSPFv3兩套協(xié)議，盡管運行在同一個設(shè)備上，這兩套協(xié)議是互相獨立的。5）IPv6園區(qū)規(guī)劃作為數(shù)字化校園的一部分，IPv6網(wǎng)絡(luò)能力必不可少。網(wǎng)絡(luò)建設(shè)高可用性設(shè)計，需要全方位多角度的對網(wǎng)絡(luò)可靠性給予充分保障。4）高可用園區(qū)規(guī)劃智慧校園園區(qū)網(wǎng)絡(luò)作為實際業(yè)務(wù)的接入和承載體，必須具有高可用性。管控層面針對業(yè)務(wù)流各個環(huán)節(jié)的相應(yīng)環(huán)節(jié)，包括設(shè)備資源、用戶資源、業(yè)務(wù)流量、業(yè)務(wù)隔離、安全信息進行整合管理，有效調(diào)整業(yè)務(wù)流的可用性和平滑性。面向外網(wǎng)出口層、校園匯聚層、校園核心層、數(shù)據(jù)中心、用戶行為控制五個層面安全規(guī)劃設(shè)計。l 而數(shù)據(jù)中心作為多業(yè)務(wù)部署的心臟，通過災(zāi)備的設(shè)計，規(guī)劃其可靠性、可管理性與可擴展性，實現(xiàn)面向業(yè)務(wù)的集中存儲、數(shù)據(jù)保護和多系統(tǒng)虛擬化，保障多業(yè)務(wù)系統(tǒng)與用戶之間的交互。通過對基礎(chǔ)平臺實施WLAN功能拓展，提供更豐富的接入手段與移動業(yè)務(wù)。l 對于基礎(chǔ)平臺，經(jīng)過優(yōu)化處理，將對業(yè)務(wù)的靈活性、可控性、性能、可靠性起到提升的作用。業(yè)務(wù)流平面為多業(yè)務(wù)支撐的承載基礎(chǔ)。網(wǎng)絡(luò)管理平臺除了管理傳統(tǒng)的路由器、交換機外，還可以對網(wǎng)絡(luò)中的無線、安全、語音、存儲、服務(wù)器、打印機、UPS