1、BBB 大學網絡整體設計方案H3C2010年3月 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document H3c簡介及在教育行業應用 5 HYPERLINK l bookmark6 o Current Document H3c公司簡介5 HYPERLINK l bookmark8 o Current Document H3C在教育行業6 HYPERLINK l bookmark10 o Current Document H3c教育行業典型案例 9 HYPERLINK l bookmark12 o Current Document 清華大學圖

2、書館 9 HYPERLINK l bookmark14 o Current Document 西安電子科技大學 10 HYPERLINK l bookmark16 o Current Document 中南大學 11 HYPERLINK l bookmark18 o Current Document 香港大學 11n無線網 11 HYPERLINK l bookmark20 o Current Document 系統概述13 HYPERLINK l bookmark22 o Current Document 設計依據13 HYPERLINK l bookmark24 o Current Doc

3、ument 系統需求14 HYPERLINK l bookmark26 o Current Document 系統設計原則及總體思路 15 HYPERLINK l bookmark28 o Current Document 設計原則15 HYPERLINK l bookmark30 o Current Document 設計思路17校本部網絡改造詳細設計 20 HYPERLINK l bookmark35 o Current Document 本部校園網網絡改造設計 20本部校園網出口改造設計 20 HYPERLINK l bookmark37 o Current Document 現狀分析及

4、改造目標 20 HYPERLINK l bookmark41 o Current Document 詳細設計21 HYPERLINK l bookmark45 o Current Document YYY校區信息網絡設計 22 HYPERLINK l bookmark47 o Current Document 校園信息網絡總體設計 22 HYPERLINK l bookmark49 o Current Document 技術需求 22 HYPERLINK l bookmark51 o Current Document 架構規劃 24 HYPERLINK l bookmark53 o Curre

5、nt Document 高可用園區規劃 25 HYPERLINK l bookmark55 o Current Document IPv6 園區規劃 26 HYPERLINK l bookmark57 o Current Document 網絡拓撲總體設計 26 HYPERLINK l bookmark61 o Current Document 核心層設計 27 HYPERLINK l bookmark63 o Current Document 網絡方案說明 27 HYPERLINK l bookmark65 o Current Document 安全規劃 27 HYPERLINK l boo

6、kmark67 o Current Document 設備間連接方式 28 HYPERLINK l bookmark69 o Current Document 設備選型 28 HYPERLINK l bookmark71 o Current Document 匯聚層設計 31 HYPERLINK l bookmark73 o Current Document 網絡方案說明 32 HYPERLINK l bookmark75 o Current Document 安全規劃 32 HYPERLINK l bookmark77 o Current Document 設備間連接方式 32 HYPERL

7、INK l bookmark79 o Current Document 設備選型 33 HYPERLINK l bookmark81 o Current Document 接入層設計 36 HYPERLINK l bookmark83 o Current Document 網絡方案說明 37 HYPERLINK l bookmark85 o Current Document 安全規劃 39 HYPERLINK l bookmark87 o Current Document 設備間連接方式 39 HYPERLINK l bookmark89 o Current Document 設備選型 39

8、HYPERLINK l bookmark91 o Current Document 數據中心區設計 42 HYPERLINK l bookmark93 o Current Document 網絡方案說明 42 HYPERLINK l bookmark95 o Current Document 安全規劃 43 HYPERLINK l bookmark97 o Current Document 設備選型 43 HYPERLINK l bookmark99 o Current Document 各個學院局域網設計 43 HYPERLINK l bookmark101 o Current Docume

9、nt 設計目標 43 HYPERLINK l bookmark103 o Current Document 實現方式 43 HYPERLINK l bookmark107 o Current Document 端點準入和 MPLS吉合 44 HYPERLINK l bookmark113 o Current Document IRF2虛擬交換架構設計 47 HYPERLINK l bookmark115 o Current Document 網絡設備虛擬交換構架介紹 47 HYPERLINK l bookmark117 o Current Document H3C IRF2 技術優點 48 H

10、YPERLINK l bookmark123 o Current Document 出口流量動態調度設計 49 HYPERLINK l bookmark127 o Current Document 有線無線一體化網絡設計 50 HYPERLINK l bookmark129 o Current Document 設計目標 50802.11N 覆蓋解決方案 51部署方案 51方案特點 51無線方案工程勘測 55無線安全 57供電問題 57認證方式及認證點選擇 58設備選型 58校園網整體安全設計 63設備內置安全特性： 64部署方案 64方案特點 66基層網絡安全 66網絡層安全解決方案 67I

11、PV6安全解決方案 68用戶端點準入防御解決方案 70方案說明 70部署建議 73安全管理中心 73方案需求分析 73方案部署 73YYY 校區數據傳輸專網設計 75數據傳輸專網網絡需求 75技術需求 76技術選型 76網絡詳細設計 76架構規劃 76網絡拓撲設計 77MPLS VPNBt 術78網絡安全 79設備選擇 81實現方式 81校園網絡統一管理中心設計 82數字化校園管理綜述 82集成化管理平臺 82系統安全管理 84資源管理 85拓撲管理 86故障（告警/事件）管理 88告警深度關聯分析與統計 89性能管理 93設備管理組件 96針對用戶身份權限和計費運營管理設計 97校園網用戶認

12、證管理需求分析 97校園網用戶管理認證方案 98業務認證、授權管理描述 98認證方式的比較 101CAMS 對用戶上網認證的管理 102無線業務管理 114用戶行為監管設計 115需求分析 115方案實現和部署 115網絡流量分析管理設計 116需求分析 116方案實現和部署 117IPV6 管理設計 120IP 地址及路由規劃 122IPv4網絡規劃 122IPv6網絡規劃 124組播與 QOS 規劃 127時鐘同步規劃 130方案優勢總結 130H3C 簡介及在教育行業應用H3C 公司簡介杭州華三通信技術有限公司 （簡稱 H3C ） ， 致力于 IP 技術與產品的研究、 開發、 生產、銷售

13、及服務。 2009 年， H3C 合同銷售額同比 2008 年增長 27% 。在國內 34 省市和海外多個國家或地區設有分支機構。目前公司有員工5000 余人，其中研發人員占 55 。2009 年全年情況：中國市場：2009 年 Q3 以太網交換機端口數市場份額40.9% ，排名第一（ IDC,2009 ） ；2009 年 Q3 企業級路由器（高中低端）臺數市場份額40.1% ，排名第一（ IDC,2009 ） ；截至 2009 年底， WLAN 產品 （AP ） 出貨量 60 萬臺， 連續兩年國內市場第一；截至 2009 年底， EAD 終端準入控制解決方案累計部署超過100 萬終端，規模最

14、大的應用系統超過12 萬終端；IP 智能監控成為平安工程第一品牌，截至09 年底承建超過 160 個平安城市。H3C 服務產品銷售較去年同期增長30% 。H3C 每年將銷售額的 15以上用于研發投入，在中國的北京、杭州、深圳以及印度的班加羅爾設有研發機構，在北京和杭州設有產品鑒定測試中心。目前， H3C 已申請專利超過 1600 件，其中85 是發明專利，年專利申請數在中國通信企業中位居前三。H3C 已參與中國通信標準化協會及IETF, SMTA, SPC, PCISG, Wi-Fi, USB, SNIA, VVCI 等國際標準組織。為構建以業務應用為中心的動態IT 架構， H3C 提出了 I

15、ToIP 理念。 基于 IP 技術標準提供統一 IT 基礎架構,具備“標準、融合、開放、增值”特征，基于IToIP 構建網絡、安全、存儲、 多媒體四大產品線，實現了從網絡設備供應商到 IToIP 整體解決方案供應商的戰略跨越，確立了牢固的市場領先地位。目前， H3C 在中國的交換機和企業級路由器市場市場份額排名第一，網絡安全設備市場份額排名第二，其中 IPS 產品市場排名第一， IP 存儲市場份額第一， IP 監控技術全球領先，已成為中國平安城市第一品牌。根植中國， H3C 始終以“為客戶創造價值”作為公司發展的源動力，不斷細分客戶需求，面向行業、 商業（中小企業） 、運營商三大客戶類型分別提

16、供量身定制的整體解決方案。服務于 70% 以上的中央部委、 90% 以上的“ 211 ”高校、四大銀行、全球最繁忙的機場之一首都機場、 自然環境最為惡劣的青藏鐵路、 國家最高藝術殿堂國家大劇院、 單體建筑面積最大的奧運項目國際會議中心及電信、網通、廣電等運營商市場。服務全球，通過與 3Com 、 NEC 等公司合作拓展國際市場，目前 H3C 的產品和解決方案已經覆蓋全球90 多個國家和地區。贏得包括香港地鐵、香港大學、香港中文大學，日本社保廳、多個市級政府網絡，俄羅斯國防部、 聯邦警察局、法國歐尚集團在內的眾多國際客戶。H3C 的愿景：成為全球IP 領域的領導者。H3C 的使命：以客戶需求為核

17、心，通過不斷的組織變革與管理改進，提供讓客戶滿意的產品和服務，保護客戶投資，持續為客戶創造最大價值。H3C 在教育行業承載教育 承載未來近年來， 我國教育信息化建設呈現如火如荼的發展態勢， 國家投入教育信息化總體市場規模每年已經達到 300 多億元人民幣，而且未來還將保持持續增長的態勢。作為專注于基于 IP 技術的網絡設備與應用的研究、開發、生產、銷售及服務，為全球用戶提供全系列 IP 網絡產品和全業務解決方案的專業 IT 廠商， H3C 長期致力于中國教育信息化建設，傾注了極大的精力。在國家“科教興國”戰略指引下， H3C 憑借專業的技術實力和業務積累，積極參與中國教育信息化建設，不斷創造新

18、的業績。H3C 基于 IP 技術標準提供統一IT 基礎架構，具備“標準、融合、開放、增值”特征，基于 IToIP 構建網絡、 安全、 存儲、 多媒體四大產品線， 確立了牢固的市場領先地位。 目前，H3C 在中國的交換機和企業級路由器市場市場份額排名第一，網絡安全設備 IPS 產品市場排名第一， IP 存儲市場份額第一， IP 監控技術全球領先，已成為中國平安城市第一品牌。攜手教育 共同發展教育信息化是一項龐大、 復雜的系統工程，不同區域、不同類型的校園發展不均衡，并同時存在大量對特定區域、 特定校園類型的個性化需求， 因此具有與其它行業截然不同的信息化特點。教育信息化一直是H3C 公司的關注重

19、點。 針對教育行業的個性化需求， H3C 推出了 IPv6校園網解決方案、教育城域網解決方案、網絡實驗室解決方案、一體化無線校園解決方案、平安校園解決方案、 IToIP 數字化圖書館解決方案等一系列解決方案。目前我們的產品已經成功應用到 90以上的211 高校，承建了超過80的新建教育城域網和120 多個大學城 /城域網/校校通，以及超過10000 余個中小學校園網。H3C 產品在教育行業的被廣泛應用：全系列萬兆核心交換機銷售超過2750 余臺；接入以太網交換機市場保有量超過30 萬余臺， 為教育行業用戶提供超過800 萬個信息點； 高端路由器教育教育行業市場累計銷售超過500 余臺， 中低端

20、路由器 2300 余臺； 防火墻、 IPS等產品在教育行業累計銷售超過1000 余臺； IX 系列存儲產品在教育市場銷售超過 90 臺套，容量 1300T ；語音視訊產品累計銷售 1700 端口，用于高校校園網及普教城域網的建設。H3C 堅持面向教育的研發與產品技術：針對教育行業成立專門的研發隊伍，超過 340 名研發人員針對教育行業的特點進行相關的產品研發和解決方案的驗證工作；開發滿足校園網安全需求的 E 系列教育專用以太網交換機；開發具備完善運營管理特點的認證計費系統；開發適合于校園網大規模部屬的 FIT無線解決方案； 開發在線防護的高性能IPS 設備； 提供基于分布式轉發的 IPv6/v

21、4 雙棧核心交換機；開發適合教學特點的網絡實驗室解決方案；開發滿足教學科研需求的開放路由器、認證計費平臺。H3C 積極開展校企合作與服務： 150 多所高校開展了網絡學院合作，建設了超過160多家網絡學院；與北航、西安交大、復旦等高校聯合建設超過60 家網絡實驗室；培訓認證教師近 500 名，通過網絡學院累計培養在校學生1.5 萬名；在職業院校建設有170 多家華三網絡實訓基地，累計培養職業院校網絡專業人才3 萬余名；開發面向本科院校、職業學校的系列網絡技術培訓教材； 在覆蓋全國的技術服務隊伍中， 有專門面向全國教育行業客戶專業的技術服務團隊。全國超過300 家專門為教育行業服務的代理商隊伍。

22、 其中具有二級集成資質的合作伙伴超過60 家。面向教育 面向未來H3C 通過近十年的教育信息化工作，和各層面老師的不斷交流與探討，深刻認識到只有為校園信息化工作貢獻更多的價值，才能夠和這個行業緊密結合共同發展。 H3C 在教育行業將“創造校園 IT 新價值”作為自己的使命。解決方案創造校園 IT 新價值： H3C 多年在教育信息化中的實踐經驗，深刻理解學校的需求與發展趨勢， 至今為止， 已經為廣大院校提供數十個以上的細化解決方案， 并將其創新性的系統化為采用一個平臺、三個中心架構。這就是H3C IToIP 數字化校園解決方案。此外， H3C 基于標準開放的 IP 架構，整合校園網絡技術、多媒體

23、通信技術、存儲技術、管理技術，將用戶網絡建設成本、運營維護成本降至最低。合作開放創造校園 IT 新價值： H3C 提供更多的 IT 系統開放能力， 在教育行業尋求更多的開發合作伙伴， 共同為學校作出定制化的、 與校園上層業務緊密結合的合作方案， 形成多方共贏的價值鏈。優化服務創造校園 IT 新價值： H3C 依靠專業服務品牌 H3Care ，為廣泛的行業用戶提供專業、快捷、規范的服務，在全國建立了 30 個區域服務中心和區域備件系統，技術服務體系的專職人員規模超過300 人； 對于教育行業， H3C 結合行業特點， 優化服務內容，使用戶得到更有針對性的保障與服務。社會責任創造校園 IT 新價值

24、： H3C 為高校用戶提供優質解決方案與服務的前提是強烈的社會責任與使命感。 H3C 清楚的認識到，只有為廣大院校提供高質、環保的產品才能為學校提供持續的優質服務。聆聽客戶需求，關注技術發展，才能提供高質量的產品及解決方案。未來， H3C 在服務教育行業用戶的過程中， 將通過持續的管理變革和技術創新， 發展符合教育行業用戶需求的技術，推動中國教育信息化向更高層次發展。XXX 省市場的應用：H3C 作為中國教育行業的主導性解決方案供應商， H3C 承建了大量教育骨干網、 高校校園網、網絡實驗室、數字化圖書館等高校信息化建設項目，在XXX 省教育行業本科院校主要的應用如下：網絡產品（網絡產品中國市

25、場第一） ：H3C 公司服務于 XXX 省大部分高校， 并在 XXX 的近 20 多所本科院校及軍隊本科院校得到了大規模的應用， 2005 年-2008 年先后有 BBB 大學、 XXX 師范大學、 XXX 理工大學、XXX 醫學院、 XXX 民族大學、 XXX 農業大學、 XXX 省中醫學院、 XXX 財經大學等大多所本科院校在新校區項目中全網使用了 H3C 的網絡產品。 網絡產品已成為 XXX 省教育行業第一品牌。安全產品（安全中國市場第二） ：H3C 服務于 XXX 醫學院信息安全建設， 且目前 BBB 大學圖書館、 XXX 民族大學、 BBB大學思源圖書館、 XXX 省圖書館、 XXX

26、 中醫學院、 XXX 圖書館文化共享工程項目等多所本科院校都使用了 H3C 公司的網絡安全設備。存儲產品（ IP 存儲亞太市場第一） ：H3C 作為 IP 存儲的領導者， 為用戶提供了標準化、 高性能、 跨地域的全方位解決方案，目前 H3C 的 IP 存儲產品服務于XXX 理工大學信息中心、 XXX 市圖書館存儲系統、 XXX 省圖書館存儲系統、 XXX 理工大學津橋學院存儲系統、 XXX 省警官學院圖書館存儲系統、曲靖師范學院存儲系統、 XXX 財經商貿學院存儲系統、楚雄師范學院存儲系統、曲靖民族中 學存儲系統、 BBB 大學附中存儲系統、 XXX 煙草機械學校存儲系統等多種應用環境中都實

27、現了穩定的運行。多媒體產品（監控成為平安城市第一品牌）：H3c在2006年進入監控產品領域，2007年就成為了平安城市工程第一品牌。 H3c的 多媒體產品應用于 XXX理工大學監控系統、 XXX理工大學津橋學院監控系統 、XXX中醫 學院監控系統、XXX愛因森職業技術學院監控系統監控系統H3C教育行業典型案例清華大學圖書館無線同絡服務器接入案例分析:清華大學圖書館系統由校圖書館及人文、 經管、法律、建筑、美術和醫學等六個專業圖 書館組成，建筑總面積約 41600平方米，閱覽座位2500余席。圖書館建有面向全國提供 服務的國內高校最大的鏡像服務基地，擁有各種服務器100多臺。H3C針對清華大學圖

28、書館提供了先進的、高性能的核心交換平臺，核心交換機采用S9508E-V高端交換機，功能及性能都處于領先。并支持 IRF2 （第二代智能彈性架構）技 術，將多臺高端設備虛擬化為一臺邏輯設備， 在可靠性、分布性和易管理性方面具有強大的 優勢，消除了單點故障，實現多條上行鏈路的負載分擔和互為備份，及簡化網絡拓撲管理。服務器交換機自帶萬兆接口擴展，核心到匯聚采用萬兆連接，大大提升了網絡性能。在無線建設方面采用大容量高性能 WX5004無線控制器，單控制器處理能力達到 8Gbps ,可管 理AP數量達到256個，實現了有線無線的一體化。整網采用IMC智能管理中心進行全網設備的統一管理。改造完成后的圖書館

29、網絡支持IPv6和萬兆介入，到桌面為千兆端口，無線網覆蓋全館,一站式”檢索，電子圖書館數字資源集成管理系統實現了對館內各類資源快捷方便的 資源遠程訪問系統使讀者在任何時間、任何地點均可方便地訪問電子資源。西安電子科技大學新校區接入案例分析：西安電子科技大學是教育部直屬的國家“211工程”的重點高校，是一所以電子信息科學為核心，涵蓋理工、管理和人文等學科的，有著光榮革命傳統的綜合大學。現有教職工5000余人，學生30000余人，教學用校區兩個， 即老校區和新校區。 老校區坐落在西安市 高新區東，占地900畝。新校區位于西安市長安區郭杜鎮，占地3000畝，兩校區相距13.5公里。西安電子科技大學的

30、新校區網絡建設采用了華三公司的網絡設備，并且在高端交換機中融合安全插卡。由防火墻插卡實現嵌入網絡的安全功能、實現各個內網安全區域間隔離，即擁有了準萬兆的防火墻性能，后續的擴展應用安全策略到新增的業務區域又無需添置單獨的 安全設備。西電新校區校園網建設涉及到新老校區建設的長遠規劃和建設，其宗旨是將校園網建設為具有高數字化、人文化、個性化、高品質的學習、工作和生活環境，并將學校信息化建設 提升到國內領先水平。 其目標是建設一個初步穩定安全可靠的網絡，實現新老校區高速互聯互通，整個系統全部支持IPv6 ,易于擴充、便于管理、方便用戶接入，符合網絡技術的發展趨勢。中南大學案例分析:中南大學為教育部直屬

31、的全國重點大學，是首批進入國家“211工程”的高校，也是國家“ 985工程”部省重點共建的高水平大學，學校有著近 5萬名在校師生。在網絡建設 方面，中南大學是湖南省高校CERNET網的唯一出口，同時該校擁有電信、網通互聯網出口達10個之多。中南大學利用H3c行為監管解決方案，在校園網出口部署高性能應用控制網關SecPath ACG8800 ，實現了對10個互聯網出口應用流量的精細化識別和控制，有效解決了之前的帶寬濫用問題；其次，中南大學通過流量分析功能，實時查看P2P/IM、網絡游戲等各種非關鍵上網業務的流量趨勢與分布，從而對網絡使用情況了然于胸。同時，ACG8800通過和認證服務器 CAMS

32、進行聯動，解決了原動態IP地址無法滿足學校“要求監管必須落實到具體用戶”的需求，實現了基于用戶名的應用流量監管，為“定位到用戶”提供了堅 實的技術支撐。解決了對充斥校園網的各種復雜的非關鍵業務流量（尤其是各種迅雷、BT、eMule等為代表的P2P流量）的監管問題，滿足近 5萬名師生的互聯網訪問需求，通過合理帶寬策 略設置，保證正常教學、辦公業務帶寬。香港大學11n無線網RadiusServerOHCPServer岫nmg白EMt Server案例分析：香港大學歷史悠久，校園信息化建設也一直是處于業界領先水平。但因建設起步較早， 且經過多次擴容建設，已有的無線校園網絡速度較慢，且眾多廠商設備各自

33、為政，這不僅不利于對設備和用戶的統一管理，更無法實現師生高速訪問網絡、無縫漫游的需求。因此，香港大學計劃全面升級原校園無線網絡至802.11n網絡，打造統一管理、全校無縫漫游、高速的無線校園網。H3c有針對性地提出了基于 802.11n標準的有線無線一體化無線校園解決方案，方案 中采用了 WX6103、WX5002、WA2620E等一系列高品質無線產品，搭建了一套覆蓋全校、高達300M接入速率的無線網絡。通過 iMC智能管理中心搭建的統一網絡管理平臺，整個 無線網絡與有線網絡融為一體，方便了用戶對整個網絡的配置管理，同時升級后的無線校園網還可方便地與其他應用集成，為各種業務的開展打下了良好基礎

34、，還可支持IPv4/IPv6雙協議棧，有效降低了無線校園網的總體擁有成本（ TCO）。除此之外，該一體化無線校園網 方案更采取了無線控制器1 + 1冗余備份的方式，主備倒換僅需 100ms ,大大提高了香港大學無線校園網的可靠性。通過采用H3C提供的有線無線一體化校園網絡解決方案，香港大學實現了校園整網全 面升級，構建出統一管理、全校無縫漫游的高品質 802.11n無線網絡，并與有線網絡互為一 體，為全校師生提供了更為便捷的網絡服務。此次無線網絡升級部署超過上千只802.11nAP,是亞洲迄今為止最大的 802.11n無線校園網，再次體現出H3C在WLAN領域旗艦廠商的地位。系統概述BBB 大

35、學是我省唯一一所“211工程大學，”是我省高等教育的領頭羊、 排頭兵。 隨著 BBB大學 YYY 新校區的建設， 學校逐步將把教學、 辦公、學生宿舍等搬遷至YYY 新校區，洋浦校區將移交給XXX 學院。為了保障YYY 新校區能夠如期滿足 YYY 校區搬遷老生遷入、新生接待、實現正常辦公和教學，需要在學校整體搬遷之前實現YYY 新校區的網絡覆蓋，新老校區網絡的連通，及老校區網絡的升級改造工作。BBB 大學 YYY 校區位于 XXX 市 YYY 新城， 校區總建設規模約為 100 萬平方米， 分二期建設，第一期建設投資17 億元。按照規劃目標， BBB 大學 YYY 校區建成后，將成為強調歷史文化

36、厚重感和傳承感的 “人文校園” ， 體現充分利用自然地形、 因地制宜規劃建設的 “山水校園 ”以及適應現代化需要的信息化、網絡化、功能化的“數字化校園” 。數字化校園是以 IP 通信平臺為基礎，實現環境（特別是重點、敏感區域的視頻監控） 、資源（網絡資源、存儲資源、計算資源） 、到活動（網絡的開放架構對定制業務的支持）的全部數字化。 H3C 的 ITOIP 解決方案，以 IP 技術為標準技術，利用 SOA 開放架構實現對整體 IT 平臺的統一集成支撐。根據國家及教育部“十一五”規劃的總體目標與要求，高校信息化“十一五”規劃的基本內容如下：完善校園網絡基礎設施建設，實現隨時隨地的上網，整體校園網

37、絡高速暢通、安全可信、 穩定可靠；完善校園數據共享基礎平臺的建設，包括全校統一的信息資源庫、統一的電子身份認證系統的建設； 完善和創新網絡教學服務平臺， 創建和創新網絡學術研究創新環境， 完善電子校務系統與校園網絡文化建設， 實現科研成果產業化， 提高高校對區域行業的高科技輻射作用。應該說，在“十一五”高校信息化發展戰略中，信息技術將成為校園的一項核心生產力，成為校園教學科研各項核心業務的最有力的支撐點。設計依據為了保證系統的既能適應當今網絡技術的發展， 又具有極高的可靠性， 本方案設計遵從以下標準：設計采用的主要法規和標準高等學校管理信息標準 ；智能建筑設計標準 GB/T 50314-200

38、0 ；建筑與建設群綜合布線系統工程設計規劃 GB/T 50312-2007商業建筑通信基礎結構管理規范 EIA TIA 606商業建筑通信接地要求EIA TIA607信息系統通用布線標準EN 50173信息系統布線安裝標準EN 50174中華人民共和國公共安全行業標準GA 308 2001YD-T 5160-2007JGJ/T16-92DBJ08-47-95GB/T50312-2000GB50174-93GB2887-89GB9361-88GB6650-86SJ/T30003GB50054-95GB50714-93GB2887-89GA/T72-92GA/T75-92GA/T70-92GA10

39、208.1-89GB50169-92中華人民共和國公共安全行業標準中華人民共和國公共安全行業標準中華人民共和國公共安全行業標準中華人民共和國公共安全行業標準建設工程勘察設計管理條例國家強制性標準條文系統需求BBB 大學本次整體建設將整合本部校區和 YYY 校區的信息化資源，實現整個BBB 大學網絡的信息融合， 使校園內的各部門網絡互聯、 滿足各種應用業務、 搭建一個資源共享傳輸平臺。 本次網絡規劃對可靠性、 穩定性及安全性都提出了更高的要求， 網絡設計要充分考慮先進性、成熟性、可靠性、安全性、擴展性；可控、可管、可運營。、 校本部網絡升級改造BBB 大學校本部網絡經過多年建設， 目前以三臺思科

40、 C6509 作為核心環網， 接入了 30余棟的樓宇，接入交換機以百兆接入為主，而且接入層特性已經不能滿足目前層出不窮的ARP 攻擊、 DHCP 攻擊等各類安全威脅， 不能滿足 IPv6 網管特性，因此建議本部接入層設備應改造為以千兆接入為主， 并且支持 802.1x 認證和 IPv6 網管特性， 徹底解決網絡接入安全， ，相應的匯聚設備也需要升級，需要滿足大規模信息點匯聚流量轉發，支持萬兆上行擴展，滿足未來5 年的教學和辦公應用；對于校本部的出口部分，未來整個BBB 大學的 CERNET 、 CERNET2 出口（包括校本部和 YYY 校區）都在校本部；另外校本部和YYY 校區分別有100M

41、 和 500M 的電信出口，需要做到兩個出口的負載分擔， 充分利用現有的出口帶寬資源。 因此對于校本部的出口部分，需要增加高性能出口路由器和萬兆防火墻，滿足高性能的 NAT 轉換、多出口的策略選錄、多出口互為備份、智能DNS 解析的要求。、 YYY 新校區網絡建設YYY 新校區要建設兩張大網，一張網是公用信息傳輸平臺的校園信息網，另一張網是對安全性要求高、與INTERNET 隔離的數據傳輸專網，同時承載一卡通、安防、財務、醫保、園區廣播、園區智能控制等業務。因此，在設計網絡時要充分考慮高帶寬、高安全性和服務質量（ QOS ）保證。、 實現兩個校區用戶的統一身份認證。、 實現兩個校區公共區域的

42、802.11n 無線覆蓋，作為有線網絡的有效補充。總結本次 BBB 大學網絡整體的建設需求如下：具備網絡結構優化能力校園網的整體架構具備更有效的容災能力， 以應對故障節點、 故障鏈路、路由震蕩所帶來對業務的影響； 校園網需要具備萬兆到匯聚的能力、 以及關鍵業務千兆到桌面的能力；具備網絡業務拓展能力校園業務可平滑向下一代網絡遷移，向 IPv6 遷移兼容現有校園網環境， IPv6 完全由分布式硬件完成，保護投資；校園業務可以隨時隨地使用，校園業務可以基于移動漫游環境，移動漫游環境無需管理者手工干預；具備安全滲透防御能力校園網出口具備攻擊、 非法業務的隔離、 控制， 具備在線主動抵御的能力； 校園核

43、心網絡自身集成安全防御能力， 縮小攻擊、 病毒在校園影響范圍；用戶接入網絡屏蔽用戶非法操作，隔離網絡攻擊；利用現有校園網絡資源，整合視訊業務，提供豐富的網絡辦公、教學 IT 服務；利用現有校園網絡資源，整合校園監控業務，實現平安校園的統一管理；實現整個校園網絡的集中統一智能化管理。系統設計原則及總體思路設計原則按照數字化校園建設理念， BBB 大學將建設統一的校園數據中心（物理地點位于信息專業教學樓校園網絡管理中心內） ，實現全部業務系統（財務系統外）統一的、基于 IP 方式的數據存儲。BBB 大學校園網應該是高速、可控、相對開放、服務完善、資源豐富、交互特征明顯的網絡體系。為大容量的教學資源

44、庫、課件資源庫、 WEB 、 E-MAIL 、 FTP 、 BBS 、視頻服務器、 數據庫服務器、 各種流媒體和各種應用平臺提供有力的支持。 以及用于滿足日常教學、管理等工作，如電子校務系統、教學系統、學生管理系統、辦公自動化系統、數字圖書館、校園廣播、多媒體教學及音視頻點播、視頻會議及網上直播以及其他信息化業務應用需求。統一性原則。 結合校園的整體建設情況， 對包括建筑智能化在內的數字化校園進行整體規劃，應用 “統一平臺、統一標準、統一網絡” 的總體指導思想進行設計、建設和實施。先進性原則。 采用當今國內、 國際上先進和成熟的計算機軟硬件技術， 使信息化系統能夠最大限度地適應今后技術發展變化

45、和業務發展變化的需要實用性原則。總體規劃要把滿足未來幾年實際應用需求、 逐步實現數字校園作為第一要素進行考慮。可擴充、可維護性原則。根據發展的要求，信息化規劃必須具有一定的擴展能力，留有升級的余地，對此將采用結構化、開放的、易于擴展的體系結構， 保證可擴充性，適應持續發展需要。可靠性原則。信息化系統對采用的技術、產品等要求其具有很高的可靠性。安全性原則。對于一個大型的計算機網絡系統， 安全性對于保證系統長期不間斷的穩定運行尤其重要。經濟性原則。 規劃首先應在減少重復建設、 避免資源浪費的前提下進行； 在滿足應用需求的目標下，盡量選用性能價格比優的設備。資源數字化原則： 資源數字化的程度反映了各

46、個系統的應用水平， 也代表了校園綜合信息平臺的建設程度。 在數字化校園中， 已有的非數字化資源需要數字化， 新的 資源經過數字化加入數據平臺中， 因此需要建立起長期的數字資源集成的體制和機制。信息標準化原則： 在數字化校園的建設中應遵循一定的標準， 特別是公共信息的標準。 各部門在建設信息管理系統時， 只有遵循統一的信息標準， 才能使不同部門建設的應用系統之間數據相互流通共享。此外， BBB 大學數字化校園建設應遵循“總體規劃、分步實施、立足現狀、適度超前”的總體設計原則， 采取標準化、 統一數據庫、 面向全局的綜合應用方式， 以即 “統一數據庫，統一標準， 統一開發平臺， 統一用戶管理， 統

47、一門戶”及 “集中設備、集中管理、 集中應用”的指導思想進行規劃、設計及實施。并應緊密結合BBB 大學教學特色，將教學、實踐和應用有機整合。數字化校園建設是本校建設的重要部分，是一項基礎性、長期性和經常性的工作，其建設水平是本校整體辦學水平、學校形象和地位的重要標志。數字化校園以網絡和環境建設作為基礎。提供先進、 快速、 暢通的網絡和計算機環境，需要保證未來5-10 年信息化建設的不斷穩定發展。數字化校園以教學和實訓應用為目標。逐步實現學習、教學、實訓、管理等各種業務應用的數字化，創建高度信息化的校園教育環境。數字化校園以信息資源建設作為核心。以豐富的信息資源保證活力和發展。字化校園以管理體制

48、作為保證，建設并不斷完善信息化管理的各種規章制度及人才培養。設計思路1、校本部的網絡升級改造的大原則是不改變原有的星型網絡結構，僅做設備的更新換 代。2、而YYY校區新校區項目，是一個網絡規模大，其應用和復雜度也很高的園區網絡 項目。對一個大型園區來說， 通常會包括很多不同的部門或用戶群組在同時使用網絡，網絡上承載著各種不同的復雜教學應用。分離學生上網、院系辦公、教學管理、外部科研院所業務，分布在不同大樓里的辦公室需要能夠共享資源，同時對 Internet出口、郵件、公告等共 享服務進行集中控制管理。對于有業務和應用隔離需求的用戶來說，傳統的物理網絡隔離方案已無法滿足需求：網絡重復建設、分散管

49、理、 安全策略難部署、無法提供統一的應用服務等，都大大增加了用戶 在網絡投資、建設和運維、管理方面的負擔。物理隔商傳統業務與承載關系圖網絡的安全復用問題， 校園各個院系，各個業務之間有隔離需求， 需要對物理網絡 進行安全的復用。動態授權問題，各個信息接入點要求能夠根據接入者的身份進行動態的資源授權， 實現動態資源分配。資源共享問題，大型的數字園區建設要求數據大集中，以數據中心方式對各個院系、師生、公眾提高服務，需要解決資源的共享問題。由上可見校園網網絡的需求日益復雜，傳統網絡面臨很多問題無法解決。因此對于YYY新校區本方案將采用虛擬化設計，在同一張物理承載網上，邏輯劃分不 同業務系統，界定其隔

50、離與共享的關系；建立統一的的數據中心，實現業務的數據整合管 理；利用網絡平臺對多業務的區分，實現不同業務端到端的、不同優先等級的處理。建立 統一的數字化校園支撐平臺管控中心；實現對設備、用戶、業務、安全等多系統的集成化、 關聯化管理；實現集中管理，智能化管理，從而降低綜合擁有成本；增加管理系統的開放 性，以實現管理系統對數字化校園上層應用的無縫集成。因此虛擬化解決方案可以有效的解決網絡資源的安全復用，解決校園中各個院系、師生的安全隔離。如下圖所示:設備的蝴化若的蝴化，道道的虛執化物理費源虛擬化設計示意圖虛擬化數字校園網整體解決方案中，集中解決了下面三個重要問題：1）網絡接入控制：確保接入用戶的

51、合法性和安全性，并能夠控制用戶的訪問權限；可以通過部署端點準入控制系統，整合孤立的單點防御系統，加強對用戶的集中管理，統一實施校園安全策略，提高網絡終端的主動抵抗能力。未通過認證的用戶，被禁止接入網 絡資源；通過認證而未通過安全健康檢查的用戶，被限制只能訪問“隔離區”資源，在這里升級病毒庫、打補丁、卸載非法軟件等。通過安全認證的用戶，由統一的策略管理服務器根據用戶的身份授權其訪問相應的網絡資源，并進行實時的安全狀態監測。PE:VLAN對囪7PWvlani 1VPN1VLAN22VPN 2VLAN33VPN 3VLAN4 4VPN 4用戶名：密碼下發WLAN用戶名1:空碼VLAN11用戶名2：密

52、碼VLAN22用戶名3:密碼VLAN33用戶名4：空碼VLAN44訪問權限動態下發其中VPN表示校園業務，將用戶屬于某個組，對這個組進行VPN訪問的授權，也就是將特定的資源授權給特定的用戶。這樣，無論用戶從網絡何處接入， 都要進行安全性檢查和認證，認證通過后由策略服務器統一下發配置使用戶獲得同樣的網絡資源訪問權限，大大 提高了網絡接入的安全性和靈活性。業務邏輯隔離：確保用戶群組獲得正確的資源和網絡流量的安全隔離；對校園網內共用一個物理網絡傳輸各種應用數據的橫向邏輯隔離需求， 業界提供了三個 非常適合于典型園區網絡設計的解決方案：VLANVLAN 是一種二層邏輯用戶分組技術， 已廣泛應用并為各廠

53、商設備所支持， 這種方案配 置靈活、簡單、易用性好。但由于其擴展性差、收斂速度慢、故障定位和管理復雜等缺點， 使之只適用與非常小型的分支網絡或網絡邊緣的接入層。VRF-VRFVRF-VRF 方案利用了設備的虛擬路由轉發功能，來進行園區內部用戶的邏輯分組。配置接口與 VRF 的對應關系建立端到端的數據隔離通道，支持三層路由、不必擔心與其他封閉組的地址重疊、支持多點用戶接入。但這種方案在增加用戶或業務時需要手工調整配置、用戶和終端的可移動性差，適用于業務、網絡都相對非常固定的中小型網絡。MPLS VPN從業務隔離的靈活性、配置/ 管理復雜度、擴展性、組網對設備的要求等多方面對比，MPLS L3VP

54、N 技術最適合應用在大、中型園區內進行業務邏輯隔離。MPLS L3VPN 原是廣泛應用于服務提供商VPN 解決方案中基于PE 的技術，它使用BGP 在服務提供商骨干網上發布VPN 路由，使用 MPLS 在服務提供商骨干網上轉發 VPN報文。 MPLS L3VPN 組網方式靈活、可擴展性好，并能夠方便地支持MPLS QoS 和 MPLSTE ，因此得到越來越多的應用。在 BBB 大學 YYY 新區園區中，我們使用交換機搭建這樣一個MPLS VPN 網絡，承載所有業務的傳輸數據，并進行安全隔離。接入用戶通過網絡邊緣的 CE/MCE 設備接入，認證通過后集中策略服務器根據認證用戶名下發策略把用戶端口

55、加入到相應的 VLAN 中，通過 VLAN 接口與 VPN 的綁定關系，把用戶加入到相應的 VPN 中去；服務器端根據應用和訪問用戶的不同， 也把數據分配到相應的 VPN 中傳輸， 并且 PE 設備會為每個VPN 建立獨立的轉發表項，各VPN 進行獨立的數據轉發，這樣就為用戶到服務器提供了一種端到端業務傳輸通道， 把不同用戶、 不同應用的數據橫向隔離開來， 保證數據傳輸的私密性和安全性。統一應用：能夠為各群組提供正確的服務，并進行集中的管理和策略控制。傳統物理隔離網絡造成的一個后果， 必然導致安全策略分別部署、 管理復雜度增加、 應 用服務器需要重復部署且數據同步困難， 本方案中各種虛擬化技術

56、的綜合應用， 有效解決了 以上難題。在校園虛擬化解決方案中， 我們為用戶提供集中的數據中心服務、 統一的 Internet/ 廣域網出口、統一的網絡監控/管理軟件，提高資源的利用率、降低管理復雜度：校園內所有用戶共享統一的 Internet/ 廣域網接口，通過虛擬防火墻、 NAT 多實例等部署方案，為不同群組的用戶和業務提供靈活的安全策略服務;集中的數據中心，通過計算虛擬化、存儲虛擬化、虛擬安全等技術，屏蔽底層硬件服務器、存儲設備間的差異，根據業務使用分配資源；統一的網絡管理、監控軟件，通過專門的管理VPN,實現對整網資源的配置管理和對各種業務流量的監控、規劃。3、總體規劃目標根據以上分析，B

57、BB大學數字化校園規劃目標為：建立一個彈性的、可控的、面向教學與科研等多業務的支撐平臺，保障校園數字化業 務的高可用性與服務質量，滿足至少五年校園信息化的可持續發展支撐。校本部網絡改造詳細設計本部校園網網絡改造設計校本部目前共有科學館 304、文淵樓715、北院計算中心3間核心機房，核心機房之間 均有光纜直接連接，可劃分為科學館片區網絡、文淵樓片區網絡和北院片區網絡。各個片區網絡中，建議將接入交換機改造為千兆接入交換機H3C S5120-24P-EI ,無需升級即可實現基于硬件的IPv4和IPv6的全線速轉發，同時支持IPv6的ACL和網管，實現IPv4到IPv6的平滑升級；安全特性上支持對試

58、圖接入網絡的用戶進行802.1x認證。可以在交換機上對 802.1x客戶端的版本和有效性進行驗證，防止未經認證的用戶登錄網絡；支 持Secure Shell V2 (SSH V2 )特性可以提供安全的信息保障和強大的認證功能，以保護以 太網交換機不受諸如IP地址欺詐、明文密碼截取等等攻擊。匯聚層可將 S5516、C3550改造為H3C S5500-28F-EI ,提供24個千兆SFP端口的 同時，支持4端口萬兆的擴展，可實現未來萬兆骨干網絡的平滑升級。S5500-28F-EI同樣無需升級即可實現基于硬件的 IPv4和IPv6的全線速轉發，支持 DHCP Snooping ,防止欺 騙的DHCP

59、服務器。本部校園網出口改造設計現狀分析及改造目標BBB大學校本部現有網絡拓撲：請根據學校實際情況畫出拓撲圖目前出口現狀及問題分析如下：1、無邊界路由器，校本部科學館CISCO6509還承擔了校園網出口路由器的功能，科學館CISCO6509核心交換機負載過大，影響了校園網骨干網絡的穩定；2、出口流量整形和行為審計校園網出口沒有流量整形控制和行為審計系統， 對于出現濫用網絡帶寬的情況和存在的安全隱患無法控制，在出現安全事件時無法追查到個人。因此本次出口改造的目標如下：1、校園網邊界路由器，改善和提高出口性能，滿足到 CERNET （帶寬將升至1G）和公眾網（目前有中國電信100M ）多廣域出口的路

60、由策略要求。 CERNET2 （ IPv6 節點）仍使用 CISCO12404 做單一出口。2、增加一臺高性能防火墻，從而提高出口的安全性、可靠性和出口帶寬。3、增加流量分析和整形設備，掌握網絡帶寬真正使用情況，保障關鍵業務的帶寬，使出口帶寬資源合理有效分配，提高出口帶寬的有效利用。4、增加出口流量控制和上網行為（內容）審計系統，實現實時高速的對網絡上傳輸的數據流進行采集、分析、審計、備份和還原，并進行實時阻斷、報警和安全聯動，防止內部網絡敏感信息的泄漏以及非法信息的傳播。詳細設計、出口部署2 臺 H3C 開放多核路由器 SR6616 ，互為線路和路由備份， SR6616 采用多核多線程處理器