腾冲县第八中学网络信息化建设方案.docx

1、腾冲县第八中学网络信息化建设方案腾冲县第八中学网络信息化建设方案 1 项目概述1.1 项目背景21世纪人类全面进入信息化时代，教育正在走向数字化、信息化。计算机、网络、多媒体技术已被越来越多的学校采用，成为教育教学的支撑技术。教育技术的现代化正在改变着教学手段、教学方法，必将带来教学内容、教学观念的更新，教育教学改革势在必行。因此，越来越多的学校对校园网建设跃跃欲试，希望藉此一步跨入数字时代。 1.2 现状分析学校目前主要硬件设备使用多年，随着办公自动化、网络多媒体教学、学生自主学习、电子图书馆、电子邮件、远程教育、校园一卡通工程等系统的逐步建设，目前园区网络的带宽已远远不能满足应用的需求，而

2、且设备老旧，故障率不断上升，给老师办公教学和学生学习实验带来极大的不便。主要有以下问题：1） 硬件基础设施老化现有设备大部分运行时间长，老化严重，故障率高，性能难以满足现有网络应用的需求。2） 应用系统缺乏目前学校某些部门缺乏信息化、数字化校园的新思维模式，很多的工作仍然未能摆脱烦琐的手工操作和信息传递，某些信息的传递不及时甚至是失真，为学校的管理和领导的决策带来了一定困难。3） 已建应用系统相互独立已建信息系统数据、编码不统一，造成各应用系统间相互独立，形成信息孤岛，资源不能共享，花巨资建立的应用系统不能发挥其效用，形成资源浪费。1.3 建设目标本次校园网改造工程建设目标是：采用1000Mb

3、ps光纤交换网络实现新老校区内部高速互联，光缆连接全校楼宇（办公楼，教学区、综合楼，实验楼）。核心机房设置配置两台核心交换机，各楼宇根据点位配置接入交换机，通过千兆光纤双上行到两台核心交换机上，通过接入交换机将学校的各种PC机、服务器、终端设备和局域网连接起来，整合现有的网络资源，改善与Internet/Cernet相连的网络性能。构建一个以计算机多层交换网络为框架，以网络基本应用、计算机多媒体辅助教学、电子化图书馆、教学管理办公自动化为平台的校园网，并逐步形成数字化校园网络。网络改造后实现以下功能（1）办公自动化基于Web综合管理信息系统，提供行政、人事、学籍、教学、后勤、财务管理、公文收发

4、管理、教师档案管理、学生档案管理、科技档案管理等，使学校日常办公无纸化，减少办公开支，提高办公效率。（2）网络多媒体教学将计算机多媒体视听引入课堂教学，使声音、图像、动画的普遍采用可以大大提高教学效果，使每一节课都能够得到有效的作用。（3）学生自主学习针对不同的学生，提供不同的教学内容，采取不同的教学手段。主要采用基于VOD、WEB及FTP的课件、光盘软件、Internet资源，学生可以根据自己的需要自由选择所需内容。（4）电子图书馆基于Web的图书音像资料供学生随时阅读，并与Internet连接，使图书馆得到进一步拓展，使学生能够得到近乎无限的网上资源。（5）电子邮件电子邮件是Interne

5、t上的一个最重要的应用，将为每一位教师和学生开设一个电子邮件账号，利用电子邮件学生可以和老师、同学及家长进行交流，同时也可以和国内外等地学校的学生进行交流。（6）远程教育实现校内外连通，师生在线、交互式学习、辅导、测验等功能。（7）校园移动计算采用有线和无线网络混合建构，方便学生、老师移动上网学习和办公。1.4 设计原则针对IT平台建设的基本要求和投入建设使用之后的用户实际问题，主要从如下几个方面重点考虑，构建一个可靠、安全、稳定、灵活的IT平台，助力IT资源可以真正的为企业服务。 可靠性，利用电信级产品构建一个高可靠的网络环境，保证整个网络的可靠运行，可靠性设计可以达到99.999，可以满足

6、实际的办公、业务等的要求。 安全性，网络设计的各个环节，融合了网络安全、应用安全、接入安全、终端安全、数据安全等各个方面，可以很好的满足网络高安全的要求。 管理性，网络设计考虑了日后的网络管理，每个环节的设计都考虑了业务开展的便利性，使得网络可以真正的为企业服务，为后续业务的开展奠定了良好的基础。 集成性，从用户的实际需要考虑对IT资源的每个环节进行设计，保证了网络在日后交付使用的时候，可以更好的满足业务变化的要求，充分考虑了业务变化性的特点，进行了网络弹性设计，使得IT技术贴近用户。本次校园网改造将从校园网建设的需求出发，以学校的教学、试验、办公管理体系为主导，建设安全可靠可管理可控制的校园

7、信息化网络!根据学校的现状和进一步的需求目标、特点及实现的功能与技术要求，对总体方案的设计、网络设备选型、采用的技术路线及工程实施的过程，均充分考虑项目方案的实用性、经济性、先进性及可扩展性（保护现有投资，可平滑升级）。尤其注重了网络设备的安全可靠、易维护、易操作。突出了计算机、网络及多媒体技术对教育过程的实用与好用，综合考虑了项目中各子系统相对独立性与关联性，方案设计能够体现出其1+12的效果。具体的实施原则如下：1）好的开放性和可扩展性校园网络应具有的开放性，这种开放性依靠标准化实现，使符合标准的计算机系统很容易进行网络的互连。因此在网络建设中，网络体系结构和通信协议应选择广泛使用的国际标

8、准，使得校园网成为一个完全开放式的网络环境。在校园网络平台建设中，尽量采取成熟先进的网络技术，统一的网络标准和主流的网络设备，使得网络结构更易于扩展、升级和维护。2） 校园网软件平台的针对性校园网的应用和服务的对象是学校的教师、学生。这就要求校园网软件平台的建设应以教学为核心，建立起一个在技术上具有先进性，在教学过程的各阶段应用上具有灵活性、多样性和针对性的数字化校园网。3）高度的安全性和可靠性对于网络系统，应确保系统运行可靠，对关键部位提供容错能力，同时建立完善的安全管理体系。4） 经济实用性盲目地追求技术，会建成一个不稳定、不成熟产品的实验台。单纯高性能，只会带来难以承受的高额投资。所以，

9、网络系统建设应采用成熟、适用、实用、好用的技术，力争以最小的投资得到最大的满足。2 网络建设方案2.1 概述现代教育过程的四要素为：教师、学生、教学内容及教育技术。以计算机、网络、多媒体集成的现代教育技术，对教育过程的支持，随着教育信息化的发展，显得越来越重要。因此，项目建设的指导方针为：（1） 以应用为主，为校领导决策、业务管理、教学保障和管理提供服务；（2） 采用成熟先进的技术，实用、够用，又留有发展余地；（3） 统一标准，逐步建设，充分考虑四期工程规划及网络的扩展性；（4） 充分重视网络系统和信息的安全；（5） 在限定的时间和要求内，降低费用的支出，提高系统的性能价格比；（6） 组织各方

10、面的力量，网络通信系统、网络资源系统同步建设；2.1.1 项目技术要求（1） 采用先进成熟的网络技术；（2） 统一技术规范、标准和方案，统一设备选性，统一组织实施；（3） 网络系统采用三层架构，采用TCP/IP协议栈，采用统一的客户端应用软件；（4） 网络系统采用全交换网络，主干1000Mbps，核心层、接入层采用冗余连接，千兆到桌面；（5） 网络系统按部门、业务划分VLAN，网络多层交换采用802.1Q虚拟干道协议、802.1D生成树协议、802.1X认证协议和802.1P优先队列排序；（6） 采用接入认证综合管理系统对接入用户进行认证及计费；（7） 网络系统必须满足标准化的要求，以实现开放

11、性、可扩展性；（8） 重要部件、文挡要有备份，保证系统365天24小时运转；（9） 重视数据的安全与保密，建立完善的网络安全管理系统。2.2 有线网络方案设计校园网是各种应用的统一通信平台，平均无故障时间以及故障恢复时间，要保持在一个可容忍的许可范围之内。在这种前提下，主干设备应有一定的冗余度，这种冗余度不单只是设备级的，也应该考虑物理线路，数据链路层、网络层以及应用层的容错能力。该主干网在方案上有二个重点：主干网技术策略；主干交换机的基本要求。 主干网技术的基本要求可概括为：千兆传输距离550m以内采用50/125多模光缆；千兆传输距离大于550m、小于5000m采用9/125单模光缆；百兆

12、传输距离2000m以内采用50/125多模光缆；百兆传输距离大于2000m采用9/125单模光缆。2.2.1 有线网络组网方案按照网络分层设计的原则：整个网络采用扁平化设计理念，分成核心层、接入层、出口区域几个部分。整个网络的建设方案如图1所示： 出口区域部署一台综合安全网关，按照同时在线1200人的规模设计，考虑到校园网用户对带宽超级利用性，整个网络的出口采用千兆设计，千兆出口网关、千兆流控，满足整个学校未来10年内的发展需要。另外，出口区域结合整个网络的安全认证系统，可实现基于用户实名的准出控制，满足大规模用户使用。实现基于实名的NAT日志、URL日志、上网时间等，满足公安部82号令的要求

13、；实现基于用户实名的带宽控制；另外，网络出口区域部署VPN，让校领导、老师出差不在学校，通过在互联网上建立VPN隧道，访问校园网络应用系统，完成审批流程等。 核心层：核心层采用模块化万兆交换机，支持40G/100G端口扩展，满足未来网络发展需求，启用三层转发功能，和接入层设备提供冗余链路，使得整个网络的路由交换运行无阻。同时内外业务资源、如服务器区和一些重要的终端可以直接接入到核心层，满足高性能的要求，同时支持主控和业务口CSS集群技术，将多台设备虚拟化为一台逻辑设备，在可靠性、交换效率、灵活性和易管理性方面提高性能。 接入层：接入层由千兆交换机和无线接入交换机等接入设备构成，可以满足不同终端

14、的接入要求，接入交换机通过千兆光纤直接连接到核心交换机上，实现和核心层的互访。设备选型上要实现方便灵活接入的同时保障网络带宽。提供的QinQ技术保证了每端口每VLAN的设计，在终端管理上提供了良好的技术保证。按照网络高可靠的设计原则： 核心网络采用双平面组网，可以最大程度上保证网络的100可靠。 核心设备采用双引擎设计，接入层采用双归属主备链路。 网络设备秉承电信级可靠性设计理念：单板热插拔、电源冗余、风扇热插拔等。高可靠的模型是根据组网方案来统一考虑的，主要的高可靠的手段有：A/B双平面、双机模式、主备模式、链路冗余、设备结构冗余等。为了保障校园网络的高可靠性，采用双平面和主备等冗余结构，核

15、心设备采用2台核心交换机设备，设备间采用2条线路连接，实现双机热备和负荷分担，提高设备的利用率和网络的安全。接入交换机分别采用双链路接入核心交换机。保障链路冗余和链路带宽。2.2.2 核心层设计方案设计要点：提供高速的三层交换骨干。核心层不进行终端系统的连接。核心层不实施影响高速交换性能的ACL等功能 网络核心区作为整个校园网的数据交换核心，是教育应用系统可靠和高效率运行的基础，在核心区配置华为高吞吐量核心万兆全分布式线速路由交换机S7706，接入各个功能区域，下行千兆光纤连接接入交换机，形成千兆无阻塞线速转发骨干网。核心设备采用分布式交换架构，通过独立的控制引擎、检测引擎、维护引擎为系统提供

16、强大的控制能力和高可靠保障为了简化网络部署，简化网络管理，并提高故障恢复的速度，核心层需支持采用虚拟交换架构技术，通过跨设备链路聚合与汇聚层设备互联。1) 设备需支持运营级，满足学校业务不间断的需求； 2) 核心设备支持引擎冗余、电源冗余、业务线卡热插拔；支持虚拟交换技术，保证核心的高融合和高可靠性；3) 核心设备支持模块化软件操作系统平台，便于多业务扩展支持，支持操作系统的免费升级，全面支持IPv6；4）核心设备具有较强的自我防御机制为此，本次建设选用华为S7700作为腾冲第一职业高级中学的的核心交换机，S7700系列是华为公司面向下一代企业网络架构而推出的新一代高端智能路由交换机。该产品基

17、于华为公司智能多层交换的技术理念，在提供稳定、可靠、安全的高性能L2L4层交换服务基础上，进一步提供MPLS VPN、业务流分析、完善的QOS策略、可控组播、资源负载均衡、一体化安全等智能业务优化手段，同时具备超强扩展性和可靠性。S7700系列广泛适用于园区网络和数据中心网络，可对无线、话音、视频和数据融合网络进行先进的控制，帮助企业构建交换路由一体化的端到端融合网络。 128G槽位带宽，100GE Ready 480个万兆端口，24个40GE端口 创新的CSS交换网集群 硬件级以太OAM/BFD 左后风道，高密布线S7700系列提供S7703、S7706、S7712三种产品形态。2.2.3

18、接入层设计方案千兆到桌面接入，根据接入密度选择型号。24口接入或48口接入。校园网目前的业务应用主要为桌面办公系统，教学课件系统；互联网业务，网络间要在接入层必须对必要的业务划分VLAN，VLAN划分的方法可以基于端口、基于用户的业务等。为了满足VLAN的灵活划分及对终端安全的控制，接入交换机应具备强2层特性，支持防止DOS、ARP攻击功能、ICMP防攻击，支持IP、MAC、端口、VLAN的组合绑定。同时只能智能节能功能，通过匹配端口Link Down/Up、光模块在位/不在位、配置Shut Down/Undo Shut Down、空闲时段、繁忙时段等应用场景，达到应用中大幅度提高动态节能技术

19、应用比例，节省设备耗电量的目的。应具备能效以太网（EEE）、端口能量检测、CPU动态调频、设备休眠等技术已实现设备智能低功耗设计。点位设计如下：建筑楼层房间数点位数合计24口交换机数量48口交换机数量实验楼18166011271438164714实验楼1102066112132631020综合楼151058112714371441020教学楼（白色）1612441128163816教学楼（粉色）16124811261236124612合计55共部署48口接入交换机5台，24口交换机5台，汇聚交换机46台，覆盖全校约300个信息点。为保证接入网络的安全可靠，本次配置建议使用华为S5700-LI系

20、列交换机，S5700-LI系列企业交换机（以下简称S5700-LI），是华为公司自主研发的新一代绿色节能的二层全千兆以太网交换机，提供灵活的全千兆以太网接入端口、丰富的业务特性，支持EEE节能特性，支持整机休眠功能，可以为用户提供绿色、易管理、易扩展、低成本的千兆到桌面的解决方案。S5700-LI能基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息，实现复杂流分类功能。S5700-LI支持基于流的双速三色限速功能，每端口支持8个优先级队列，支持WRR、DRR、PQ、WRRPQ、DRR+PQ多种队列调度算法，有效地保证话音

21、、视频和数据业务质量。S5700-LI提供多种安全保护功能。支持DoS（Denial of Service）类防攻击、网络的防攻击、用户的防攻击等功能。其中DoS类防攻击主要包括SYN Flood、Land、Smurf、ICMP Flood。网络的防攻击主要是指STP的BPDU/Root攻击。用户的防攻击涉及DHCP仿冒攻击、中间人攻击、IP/MAC Spoofing 攻击、DHCP request flood、改变 CHADDR 值的 DoS 攻击等等。S5700-LI支持通过建立和维护DHCP Snooping 绑定表，侦听接入用户的MAC/IP 地址、租用期、VLAN-ID、接口等信息，

22、解决 DHCP 用户的IP 和端口跟踪定位问题。同时，对不符合绑定表项的非法报文（ARP欺骗报文、擅自修改IP地址等）直接丢弃，有效防止黑客或攻击者通过ARP报文实施园区网常见的“中间人”攻击。利用DHCP Snooping 的信任端口特性还可以保证DHCP Server 的合法性。S5700-LI支持ARP表项严格学习功能，可以防止因ARP欺骗攻击将交换机ARP表项占满，导致正常用户无法上网。同时，支持IP Source Check 特性，防止包括MAC 欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒带来的DOS攻击。S5700-LI支持集中式MAC地址认证和802.1x 认证，支持用户

23、账号、IP、MAC、VLAN、端口、客户端是否安装病毒防范等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QoS、ACL）的动态下发。S5700-LI支持基于端口的源MAC地址学习限制功能，有效防止用户源MAC欺骗冲击设备MAC表项，导致正常用户无法学到MAC表而泛洪的问题等。2.2.4 接入层网络隔离在接入层必须对必要的业务划分VLAN，VLAN划分的方法可以基于端口、基于用户的业务等。图1 接入层VLAN划分组网示意图 所提供接入交换机具有灵活的VLAN划分方法； 可以有效的防止ARP等二层攻击； 同时支持QinQ技术，可以突破4K个VLAN的限制，为将来网络的合理改造以及扩容

24、打下坚实的基础。采用QinQ技术可以提供每用户每VLAN的组网方式，将VLAN终结在核心层上。图2 采用QinQ技术隔离终端QinQ技术采用嵌套VLAN技术，突破了4K VLAN的限制，无论何种接入设备都可以满足整个网络可靠性、安全的设计，同时每个终端一个VLAN的设计方式保证了二层方式的终端是隔离的，防止了广播风波、ARP病毒等对局域网危害很大的不安全因素的蔓延。采用这种方式的组网可以大大提高整网的可靠性和安全性，使得网络对二层设备的依赖降低，并且有助于降低建设成本，因为所有的终端访问都必须经过汇聚交换，这样的网络设计非常方便网络的管理、控制，避免因为流量的过渡分散造成的安全失控。2.2.5

25、 出口设计考虑到外网攻击很多，在出口部署安全网关，对内外网进行安全隔离，进行NAT转换和路由，同时防火墙提供攻击防范和url过滤等功能，对外网来的攻击进行防御。安全网关设备实现如下功能：1) 安全隔离：安全网关的安全隔离是基于安全区域，这样的设计模型为用户在实际使用统一安全网关的时候提供了十分良好的管理模型。华为统一安全网关提供了基于安全区域的隔离模型，每个安全区域可以按照网络的实际组网加入任意的接口，因此统一安全网关的安全管理模型是不会受到网络拓扑的影响。2) 防DDOS：安全网关产品根据数据报文的特征，以及Dos攻击的不同手段，可以针对ICMP Flood、SYN Flood、UDP Fl

26、ood等各种Dos攻击手段进行Dos攻击的防御。3) URL过滤功能：能提供URL黑、白名单功能；支持前缀匹配，后缀匹配，关键字匹配等；支持用户自定义URL功能，可自定义分类以及自定义URL；URL过滤响应方式可以设置为禁止或允许，禁止方式下支持返回页面通知，页面内容可自定义；支持URL访问日志记录，支持日志归并；URL分类大类43个，小类127个，URL特征库数量6500万条；支持URL热点库功能，且热点库支持升级。4) 防火墙NAT转换：在IPV4，由于公网IP少，需要防火墙提供NAT地址转换，实现对公网的业务访问需求。需要支持包括源IP地址转换、目的IP地址转换、端口地址转换、静态IP地

27、址转换、IP地址池转换等；支持扩展NAT功能，可实现单个公网IP的无限地址转换；考虑到FTP、H.323、SIP等它们报文的数据部分可能包含IP地址或端口信息，需要支持FTP、H.323、SIP等各种应用协议。5) 路由：支持静态路由、路由策略、策略路由、RIP、OSPF、BGP、MPLS、ISIS等路由协议6) 高可靠性：支持HRP（Huawei Redundancy Protocol）协议实现双机热备份功能，包括主备备份（Active/Standby）和负载分担（Active/Active）两种方式。HRP负责在主/备设备之间备份关键配置命令和会话表状态信息，从而确保主用设备出现故障时能由

28、备份设备平滑地接替工作。2.3 无线网络的设计方案2.3.1 概述有线网络建设经过改造后，已初具规模， 1000Mbps光缆敷设到全校大部分的楼宇。如何将网络延伸到校园的每一个角落，为学生和教师提供一个随时、随地使用网络的环境，是摆在我们面前的重要任务。无线接入技术与光纤接入、ADSL接入、以太网接入等技术相比，具有投资少，建网周期短、提供业务快等优势。在无线接入领域中，固定无线接入正走向成熟，其应用步伐不断加快。而其中无线局域网技术又以其提供方便、快捷的组网方式等优势，倍受瞩目。 因此，我们采用有线网络与无线网络（802.11b、802.11g）融合的策略，将网络应用延伸到各个办公室、多媒体

29、教室、校园活动场所等空间，提供教学视频的无线上传及下载，方便教学工作的开展。2.3.2 无线基本概念2.3.3.1 网络架构模型WLAN网络在部署过程中，根据不同的需求有多种实现形式，根据网络架构分为： 自治式架构（即FAT AP或胖AP） 集中式架构（即FIT AP或瘦AP）自治式架构和集中式架构两种网络结构比较如表1-2所示。表1-1 自治式架构和集中式架构比较表项目自治式架构集中式架构适用场景微型企业、个人新生方式，增强管理安全性传统加密、认证方式，普通安全性基于用户位置的安全策略，高安全性网络管理每AP需要单独下发配置文件AC上统一配置，AP本身零配置，维护简单用户管理类似有线，根据A

30、P接入的有线端口区分权限虚拟专用组方式，根据用户名区分权限，使用灵活WLAN组网规模L2漫游，适合小规模组网L2、L3漫游，拓扑无关性，适合大规模组网增值业务能力实现简单数据接入可扩展丰富业务自治式架构该架构下AP实现所有无线接入功能，不需要AC设备形态，如图1-2所示。图1-2 WLAN自治式架构图WLAN早期广泛采用自治式架构，随着企业大量部署AP后，对这些AP进行配置、升级软件等管理工作将给用户带来很高的操作成本，管理成本提高，自治式架构应用逐步减少。集中式架构该架构通过无线控制器（AC）集中管理、控制多个AP，如图1-3所示。所有无线接入功能由AP和AC共同完成： AC完成网络具有重要

31、意义的功能，例如移动管理、身份验证、VLAN划分、射频资源管理、无线IDS（Intrusion Detection Systems）和数据包转发等。 AP完成无线空口的控制，例如无线信号发射与探测响应、数据加密解密、数据传输确认、空口数据优先级管理等等。图1-3 WLAN集中式架构图AP和AC间采用CAPWAP隧道协议进行通讯，AC与AP间可以是直连或者穿越Layer 2、Layer 3网络。CAPWAP协议是基于UDP传输层的应用层协议，协议传递的信息分为两类：控制信息和数据信息。 控制信息负责AC与AP之间的管理的交互操作，包括AP自动发现AC、AC对AP进行安全认证、AP从AC获取软件版本、AP从AC获取配置等等。 数据信息是封装后转发的无线数据。两类信息分别使用不同的UDP端口号。CAPWAP信息在AP