【正文】 層、匯聚層、核心交換層、數(shù)據(jù)管理層。造成校園的信息系統(tǒng)利用率低、操作繁瑣、管理維護困難等。智慧校園管理平臺規(guī)劃以“統(tǒng)一的數(shù)據(jù)標準、統(tǒng)一的技術(shù)路線、統(tǒng)一的業(yè)務(wù)規(guī)范、統(tǒng)一的組織管理”的原則進行設(shè)計。校園管理面向設(shè)備設(shè)施、日常辦公、信息傳送和校園安全的管理。1）、校園通信網(wǎng)絡(luò)的管理功能設(shè)計：以技術(shù)先進，經(jīng)濟合理的原則，建設(shè)高帶寬、高性能、高可靠、高穩(wěn)定的校園基礎(chǔ)網(wǎng)絡(luò)，并與行政區(qū)規(guī)劃的電信系統(tǒng)建設(shè)相銜接、相統(tǒng)一，滿足校園語音、視頻及今后數(shù)據(jù)通信業(yè)務(wù)需求，主要功能有語音通信網(wǎng)、校園業(yè)務(wù)網(wǎng)、移動通信網(wǎng)、綜合布線系統(tǒng)、計算機網(wǎng)絡(luò)組成。3）、校園廣播功能設(shè)計：體現(xiàn)校園信息的發(fā)布和信息傳達，達到“廣而告之”信息傳送目的。5）、視頻會議功能設(shè)計：主要是針對不同地方人員進行遠程會議溝通和聯(lián)系。7）、教務(wù)管理功能設(shè)計：體現(xiàn)管理者對校園教務(wù)的管理。校園教學管理主要是面向“學”管理，設(shè)計時考慮實現(xiàn)“學”的高效、便捷、科學、生動，體現(xiàn)教學工作的智能化、現(xiàn)代化、科學化。校園生活服務(wù)面向?qū)W生和教職工生活服務(wù)管理。主要有校園一卡通、電視廣播、信息發(fā)布、校園醫(yī)療、校園環(huán)境監(jiān)測系統(tǒng)功能。智慧校園管理平臺對各子系統(tǒng)資源的整合、優(yōu)化、分析并對校園組織和業(yè)務(wù)流程進行再造，推進校園制度創(chuàng)新、管理創(chuàng)新和服務(wù)創(chuàng)新，實現(xiàn)教育管理的信息化、決策的科學化、管理的規(guī)范化。智慧校園綜合管理平臺功能結(jié)構(gòu)圖1）、運維管理中心校園運維管理中心通過系統(tǒng)接口，把校園面向管理的系統(tǒng)、面向教學的系統(tǒng)、面向生活服務(wù)的系統(tǒng)進行有效集成，實現(xiàn)數(shù)據(jù)的異源異構(gòu)和數(shù)據(jù)共享，并統(tǒng)一界面進行綜合運維管理，提高系統(tǒng)的使用效率和降低系統(tǒng)維護成本。身份認證主要有目錄服務(wù)、用戶數(shù)據(jù)庫、實名身份認證、組織級用戶管理、電子證書等組成。提供統(tǒng)一的信息發(fā)布接口，規(guī)范的信息發(fā)布流程和安全的網(wǎng)絡(luò)支撐環(huán)境。4)、統(tǒng)一決策管理智慧校園綜合管理平臺利用對各子系統(tǒng)的集成和融合，依據(jù)各系統(tǒng)的數(shù)據(jù)進行匯總、分析和深度挖掘，形成數(shù)據(jù)倉庫，建設(shè)校園信息知識庫，對校園的運營管理和發(fā)展規(guī)劃，提供輔助決策數(shù)據(jù)支持。智慧校園綜合管理平臺結(jié)構(gòu)如下圖智慧校園綜合管理平臺系統(tǒng)結(jié)構(gòu)圖智慧校園綜合管理平臺由基礎(chǔ)設(shè)施、數(shù)據(jù)資源、基礎(chǔ)服務(wù)、應(yīng)用服務(wù)組成?；A(chǔ)硬件主要包括服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備等硬件設(shè)施，提供系統(tǒng)運行環(huán)境。支撐環(huán)境包括XML、SOA、ESB、BPM、SOAP等軟件平臺，提供軟件開發(fā)環(huán)境。2)、數(shù)據(jù)資源服務(wù)提供數(shù)據(jù)交換、數(shù)據(jù)挖掘等數(shù)據(jù)的分析處理平臺。為系統(tǒng)應(yīng)用提供數(shù)據(jù)的來源和應(yīng)用的基礎(chǔ)。4）、應(yīng)用服務(wù)是面向用戶的軟件應(yīng)用服務(wù)，提供業(yè)務(wù)管理、運維管理、統(tǒng)一門戶、統(tǒng)一認證、統(tǒng)一決策管理。（1）校園信息網(wǎng)絡(luò)總體設(shè)計1）技術(shù)需求校園信息網(wǎng)作為公用信息傳輸平臺，應(yīng)滿足NGN綜合業(yè)務(wù)要求，滿足國家下一代互聯(lián)網(wǎng)（CNGI）對網(wǎng)絡(luò)提出的要求，全網(wǎng)設(shè)備支持IPv6/v4雙棧協(xié)議。l 網(wǎng)絡(luò)安全性需求校園內(nèi)部網(wǎng)絡(luò)安全考慮，首先是公共資源的安全，如數(shù)據(jù)中心、圖書館要防止來自內(nèi)網(wǎng)的攻擊和安全事件；其次是各單位自身的數(shù)據(jù)安全需求；最后是用戶的接入管理；要建設(shè)一個安全、可靠、穩(wěn)定的出口來防止來自互聯(lián)網(wǎng)的攻擊。l 時鐘同步系統(tǒng)保證網(wǎng)絡(luò)上的各種設(shè)備如服務(wù)器、交換機、路由器具有統(tǒng)一的時間。l 整網(wǎng)路由規(guī)劃校園網(wǎng)全網(wǎng)采用OSPF路由協(xié)議l 網(wǎng)絡(luò)安全①邊界防護：在整個網(wǎng)絡(luò)的外部出口部署防火墻＋IPS設(shè)備，對出口流量進行管理、對應(yīng)用進行識別控制的目的，防止校園網(wǎng)絡(luò)帶寬濫用。②數(shù)據(jù)中心保護:網(wǎng)絡(luò)中心、圖書館兩個核心數(shù)據(jù)機房使用防火墻＋IPS重點進行保護。l 對于公共機房、獨立內(nèi)部局域網(wǎng)的網(wǎng)絡(luò)接入要求對于學院、圖書館、公共機房、實驗室等有自己內(nèi)部管理系統(tǒng)的終端用戶，為保證接入校園網(wǎng)時的安全及網(wǎng)絡(luò)資源的正常使用，應(yīng)當具有防ARP病毒、防DHCP欺騙的功能，并且在這些區(qū)域內(nèi)采用嚴格的端點準入控制。無線網(wǎng)絡(luò)集中的策略管理，所有AP無需配置，策略可通過無線交換機統(tǒng)一下發(fā)；支持多種認證及計費技術(shù)（Portal、MAC）；有效的非法AP管理方案，AP在接入正常用戶的同時，可發(fā)現(xiàn)并將非法AP隔絕在網(wǎng)外。l 網(wǎng)絡(luò)管理部署統(tǒng)一的網(wǎng)絡(luò)管理平臺，涵蓋拓撲、告警、性能和配置等管理功能，使網(wǎng)絡(luò)狀況一目了然，而且需要結(jié)合交換機和路由器設(shè)備，實現(xiàn)客戶所需的各種嚴格的訪問控制策略，從而構(gòu)成對網(wǎng)絡(luò)訪問的權(quán)限控制。3）架構(gòu)規(guī)劃XX學校基地校園網(wǎng)支撐平臺邏輯上以業(yè)務(wù)處理為核心，規(guī)劃為三個平面：業(yè)務(wù)流平面、安全防御平面和管控平面。業(yè)務(wù)接口為經(jīng)過分類的不同類型應(yīng)用，連接經(jīng)過優(yōu)化的基礎(chǔ)通訊平臺，按照不同層次、不同技術(shù)的服務(wù)保障措施，實現(xiàn)用戶與數(shù)據(jù)中心之間、用戶與用戶之間的應(yīng)用交互。設(shè)計內(nèi)容包括提升局部帶寬消除數(shù)據(jù)傳輸瓶頸，消除平臺單點故障提升網(wǎng)絡(luò)可用性，遷移IPv6技術(shù)提升業(yè)務(wù)的靈活性，部署MPLS VPN提升業(yè)務(wù)可控性。l 業(yè)務(wù)通過優(yōu)化設(shè)計，可實施兩種端到端服務(wù)質(zhì)量保障措施，其一為從園區(qū)內(nèi)部接入通過DSCP技術(shù)進行業(yè)務(wù)區(qū)分處理，將COS Mapping到校區(qū)骨干MPLS網(wǎng)的EXP值；其二為對關(guān)鍵業(yè)務(wù)在校區(qū)骨干上部署MPLS PE實現(xiàn)資源預(yù)留。安全防御層面，規(guī)劃為層次化的滲透防御部署。針對業(yè)務(wù)流的整個過程實現(xiàn)安全防護。通過多個環(huán)節(jié)之間的關(guān)聯(lián)管理，實現(xiàn)降低多業(yè)務(wù)支撐平臺運維的整體擁有成本。高可用性主要體現(xiàn)在以下幾個方面：l 保持網(wǎng)絡(luò)長時間的無故障運行；l 保證突發(fā)情況下的網(wǎng)絡(luò)可用性和可恢復性；l 惡劣環(huán)境條件下的網(wǎng)絡(luò)應(yīng)用；l 抵抗災(zāi)難。園區(qū)網(wǎng)絡(luò)高可用性可以通過設(shè)備自身的關(guān)鍵部件冗余、協(xié)議的不間斷轉(zhuǎn)發(fā)技術(shù)以及網(wǎng)絡(luò)拓撲的鏈路和設(shè)備冗余設(shè)計來綜合保證：l 設(shè)備的可靠：雙主控、雙電源l 網(wǎng)絡(luò)的可靠：關(guān)鍵設(shè)備雙歸屬、重要鏈路手工聚合、服務(wù)器采用雙網(wǎng)卡l 協(xié)議的可靠：VRRP、防火墻HRPl 架構(gòu)的可靠：重要設(shè)備冗余部署、流量路徑合理規(guī)劃l 應(yīng)用的可靠：服務(wù)器健康檢查l 建議接入交換機上沒有VLAN重疊的規(guī)劃，管理簡單，并能控制廣播域影響；l 利用MSTP多實例特性，合理規(guī)劃VLAN與實例映射關(guān)系，實現(xiàn)業(yè)務(wù)流量的負載分擔；l 規(guī)劃多個VRRP組，實現(xiàn)匯聚三層網(wǎng)關(guān)的備份和負載分擔；為防止錯誤的配置或連接形成端口自環(huán)，可在交換機下行端口上開啟loopbackdetection功能，發(fā)生自環(huán)時有多種處理模式可供選擇；l 在邊緣與PC或服務(wù)器相連的端口配成邊緣端口，并啟動BPDU保護，端口狀態(tài)快速轉(zhuǎn)換和不接收BPDU報文；l 為了避免交換機頻繁收到TC報文而去頻繁刪除MAC和ARP表項，繼而引起CPU繁忙業(yè)務(wù)中斷的情況，建議屆時在交換機上開啟TC保護功能；l 為避免整網(wǎng)收到搶根報文而引起網(wǎng)絡(luò)強烈震蕩，在根橋與其它設(shè)備相連的端口上開啟root保護功能；l 匯聚與接入層交換機相連的端口避免配置trunk all，只允許使用的vlan通過，各個雙歸屬環(huán)用vlan隔開，防止一個環(huán)上的廣播泛到另一個環(huán)上去；通過浮動靜態(tài)路由和虛擬交換機技術(shù)，可以方便的實現(xiàn)不同業(yè)務(wù)的鏈路分擔，例如學生宿舍的流量通過上行鏈路進入到一臺核心交換機，辦公業(yè)務(wù)通過另外一條上行鏈路進入到另外一臺核心交換機。進行IPv4園區(qū)規(guī)劃時，同時需要考慮IPv6網(wǎng)絡(luò)應(yīng)用。OSPFv3的邏輯拓撲圖（AREA規(guī)劃）和OSPFv2可以完全不同。本次XX學?；匦@網(wǎng)采用星形網(wǎng)絡(luò)結(jié)構(gòu)為主的三層結(jié)構(gòu)（核心層、匯聚層及接入層）。核心層主要承擔高速數(shù)據(jù)交換的任務(wù)，同時要為各匯聚節(jié)點提供最佳傳輸通道；匯聚層的主要任務(wù)是把大量來自接入層的訪問路徑進行匯聚和集中，承擔路由聚合和訪問控制的任務(wù)。此種組網(wǎng)方案的結(jié)構(gòu)簡單，層次分明，便于管理；控制簡單，便于建網(wǎng)；網(wǎng)絡(luò)延遲時間較小，傳輸誤差較低。XX學校基地智慧校園信息網(wǎng)網(wǎng)絡(luò)拓撲示意見圖。（2）核心層設(shè)計核心層：提供高速的三層交換骨干。1）網(wǎng)絡(luò)方案說明網(wǎng)絡(luò)核心區(qū)作為整個校園網(wǎng)的數(shù)據(jù)交換核心，是XX學?；匦^(qū)應(yīng)用系統(tǒng)可靠和高效率運行的基礎(chǔ)，因此建議在核心區(qū)配置兩臺吞吐量高、核心萬兆全分布式線速路由交換機，接入各個功能區(qū)域，下行萬兆光纖連接匯聚交換機，形成萬兆無阻塞線速轉(zhuǎn)發(fā)骨干網(wǎng)。兩臺核心設(shè)備互為備份，之間采用雙萬兆連接，區(qū)域匯聚設(shè)備雙歸屬上聯(lián)，其中任何一臺核心交換機或核心交換機上的板卡出現(xiàn)故障后，正常工作的核心交換機能夠立即接管故障核心交換機所有交換工作。為了簡化網(wǎng)絡(luò)部署，簡化網(wǎng)絡(luò)管理，并提高故障恢復的速度，核心和各個功能分區(qū)建議采用虛擬交換架構(gòu)技術(shù)。2）安全規(guī)劃l 采用安全交換一體化架構(gòu)，核心交換機應(yīng)支持多業(yè)務(wù)安全板卡，以便簡化網(wǎng)絡(luò)拓撲、減少網(wǎng)絡(luò)單點故障，提高安全處理性能，方便后期擴展。l 本次需部署網(wǎng)絡(luò)流量分析功能模塊，以便管理員能了解網(wǎng)絡(luò)真實運行情況，減少故障隱患，優(yōu)化網(wǎng)絡(luò)鏈路。核心區(qū)只提供高速轉(zhuǎn)發(fā)功能，各區(qū)域間的訪問控制策略在各區(qū)域邊界（出口路由器或匯聚交換機）實施。單臺匯聚交換機雙萬兆鏈路接入兩臺核心交換機，核心交換機與放置在相同核心機房的匯聚交換機采用多模萬兆互聯(lián)，與不同核心機房的匯聚交換機采用單模萬兆互聯(lián)。（3）匯聚層設(shè)計匯聚層：作為接入層和核心層的分界層，匯聚層完成以下的功能：l 各功能分區(qū)IP地址或路由區(qū)域的匯聚；l 不同業(yè)務(wù)功能的匯聚；l 本功能區(qū)VLAN 間的路由；l 廣播域或組播域的邊界；l 在匯聚層實施功能區(qū)內(nèi)、功能區(qū)之間的安全訪問策略。每個區(qū)域匯聚區(qū)部署1臺高端交換機，采用多引擎架構(gòu)架構(gòu)，并且配置冗余引擎、冗余電源和冗余風扇，以保障設(shè)備的可靠性。為了簡化網(wǎng)絡(luò)部署，簡化網(wǎng)絡(luò)管理，并提高故障恢復的速度，樓宇匯聚交換機采用虛擬交換架構(gòu)互聯(lián)，區(qū)域匯聚設(shè)備通過跨設(shè)備鏈路聚合與核心設(shè)備互聯(lián)。l 后期還可以針對綜合辦公樓區(qū)部署網(wǎng)流分析功能，以便管理員能了解該區(qū)域網(wǎng)絡(luò)真實運行情況，減少該區(qū)域故障隱患，優(yōu)化網(wǎng)絡(luò)鏈路。l 在匯聚交換機部署高性能MPLS VPN處理，可以有效隔離辦公業(yè)務(wù)和教學等業(yè)務(wù)，減少各業(yè)務(wù)之間干擾，保證業(yè)務(wù)之間的安全性和可靠性。接入交換機采用雙單模千兆光纖上聯(lián)兩臺匯聚交換機，接入交換機同樣采用虛擬交換架構(gòu)技術(shù)，上聯(lián)的兩條鏈路采用跨設(shè)備鏈路聚合技術(shù)，虛擬成一條邏輯鏈路，簡化網(wǎng)絡(luò)部署。在接入層設(shè)計時，應(yīng)考慮以下幾點：l 接入層接入端口規(guī)劃容量應(yīng)根據(jù)實際使用情況考慮擴展性,具備可堆疊特性；l 各功能分區(qū)的接入層相對獨立；l 不同類型的接入層應(yīng)各自分開，連接到對應(yīng)功能區(qū)的匯聚層。各個建筑樓宇對應(yīng)的匯聚點如下表：各建筑單體內(nèi)配線間部署接入交換機，提供辦公區(qū)域千兆或百兆接入、學生區(qū)域百兆接入交換機。2）安全規(guī)劃l 通過VLAN劃分用戶，隔離不同權(quán)限的用戶，保證網(wǎng)絡(luò)訪問安全l 對于終端用戶采用終端準入系統(tǒng)，對用戶進行身份確認，終端PC的健康檢測，用戶行為審計等，確保用戶不能非法訪問網(wǎng)絡(luò)，不攜帶病毒，不訪問非工作要求網(wǎng)站。同一樓層配線間的接入交換機可采用堆疊上行，簡化網(wǎng)絡(luò)結(jié)構(gòu)，節(jié)約上行光纖資源。采用兩臺高端交換機做為服務(wù)器的匯聚設(shè)備，分別通過萬兆冗余鏈路接入到兩臺核心交換機。服務(wù)器匯聚設(shè)備采用分布式轉(zhuǎn)發(fā)架構(gòu)，并且配置冗余引擎、冗余電源和冗余風扇，以保障設(shè)備的可靠性。l 建議采用安全交換一體化架構(gòu)，部署防火墻模塊進行2~4層的訪問控制，通過核心層的IPS模塊進行4~7層應(yīng)用層攻擊、網(wǎng)絡(luò)病毒的防御。XX學校基地校園數(shù)據(jù)傳輸專網(wǎng)是一個與校園信息網(wǎng)絡(luò)物理隔離的專網(wǎng)，用于承載安防系統(tǒng)、一卡通、校園廣播、財務(wù)、醫(yī)保系統(tǒng)等園區(qū)智能化系統(tǒng)。核心層采用雙核心，每個單體建筑中部署一臺三層交換機作為接入層交換機通過不同物理路由上連至IDC匯聚設(shè)備，確保業(yè)務(wù)網(wǎng)絡(luò)的高可靠和高穩(wěn)定性。（1）數(shù)據(jù)傳輸專網(wǎng)網(wǎng)絡(luò)需求如果業(yè)務(wù)系統(tǒng)（部分或全部）要在數(shù)據(jù)傳輸專網(wǎng)網(wǎng)絡(luò)上運行，則考慮在數(shù)據(jù)傳輸專網(wǎng)提供安全通道，但自身的安全措施由各業(yè)務(wù)系統(tǒng)進行設(shè)計。1）技術(shù)需求專門設(shè)計一個與校園信息網(wǎng)絡(luò)物理隔離的專網(wǎng)，用于承載安防系統(tǒng)、一卡通、校園廣播、財務(wù)、醫(yī)保系統(tǒng)等園區(qū)智能化系統(tǒng)。核心層采用雙核心，接入層交換機通過不同物理路由上連至雙核心，確保業(yè)務(wù)網(wǎng)絡(luò)的高可靠和高穩(wěn)定性。2）技術(shù)選型校園園區(qū)虛擬化技術(shù)比較：l 二層VLAN：二層隔離技術(shù)，在三層終結(jié)。支持多種靈活的接入方式，配置管理簡單、支持QoS，能夠滿足大型復雜園區(qū)的應(yīng)用。二三層隔離的融合，安全性高，避免大量的ACL配置問題，直觀、易維護、易擴展。在接入層，為了防止非法的用戶進入業(yè)務(wù)專網(wǎng)可采用以下措施：①對不同的業(yè)務(wù)區(qū)域劃分不同的vlan，也可使用虛擬防火墻進行安全區(qū)域劃分②關(guān)閉閑置的端口，在需要的時候才啟用，避免無關(guān)人員使用個人電腦通過此類端口訪問③采用端口隔離，確保訪問流量直接上行至核心層設(shè)備處理。前端網(wǎng)絡(luò)主要用于安防系統(tǒng)、一卡通、校園廣播、財務(wù)、醫(yī)保系統(tǒng)等系統(tǒng)的信息點接入，后端網(wǎng)絡(luò)鏈接專網(wǎng)各種應(yīng)用的服務(wù)器區(qū)。后端網(wǎng)絡(luò)通過接入交換機鏈接各種應(yīng)用服務(wù)器，分區(qū)分域的接入到核心設(shè)備。同時鏈接服務(wù)器的前端需要放置防火墻、IPS等安全防護設(shè)備，對后端服務(wù)器進行2～7層安全防護。系統(tǒng)架構(gòu)分為核心層、匯聚層、分布接入層。雙核心節(jié)點設(shè)置在校園網(wǎng)絡(luò)中心IDC機房（內(nèi)有校園網(wǎng)數(shù)據(jù)中心），專網(wǎng)和公用數(shù)據(jù)網(wǎng)的配線間公用，在考慮設(shè)備時，每個配線間以24個信息點為標準。此外，按各區(qū)域內(nèi)部結(jié)構(gòu)，分別在各單體建筑物設(shè)置樓宇接入點，接入點使用二層交換機，接入交換機通過光纖分別接入2個核心，形成跨設(shè)備的鏈路聚合。3）MPLS VPN技術(shù)①傳統(tǒng)的VPN組網(wǎng)方式傳統(tǒng)的VPN主要采取兩種組網(wǎng)的方式：專線VPN和基于用戶端設(shè)備的安全VPN。VPN成員站點連接到運營商的邊界設(shè)備（PE），由運營商負責建立VPN成員站點之間的虛電路連接，客戶對屬于自己VPN的站點的路由進行自主的控制和管理。對于基于客戶端設(shè)備的（CE Based）VPN，VPN的功能全部在客戶端的設(shè)備中實現(xiàn)。客戶可以通過購買相應(yīng)的VPN設(shè)備或者在現(xiàn)有的路由器、網(wǎng)關(guān)或者甚至是PC機上安裝相應(yīng)的VPN功能軟件就可以開始獨立構(gòu)建基于客戶端設(shè)備的VPN。這個解決方案的最大缺點就是客戶需要購買、配置和維護昂貴的VPN網(wǎng)關(guān)設(shè)備，同時也意味著需要高素質(zhì)的網(wǎng)