学校网络改造设计方案Word文档下载推荐.docx

1、网络拓扑校园网是为学校师生提供快捷高效的教学、科研和综合信息服务的网络，随着校园网规模越来越大，教学、科研对信息化的依赖越来越强，校园信息化的发展也越发迅速，网络结构也越来越复杂，管理运维的难度不断加大，校园信息化建设面临着越来越多的挑战。 首先，网络管理问题：拓扑图中校园网是传统的三层架构，网络结构相对复杂，汇聚层设备做三层网关，启用路由协议，与核心之间三层互通。同时，为了避免环路，接入层与汇聚层设备需要启用复杂的MSTP生成树协议，配置的复杂造成了管理的复杂，网络管理员需要熟知整网的状况以及每台设备的配置情况，以便在出现网络问题时能够快速定位。其次，拓扑图中无线网络覆盖后，网络运营问题：校

2、园网中有学生、教师等多种不同角色，针对不同角色计费方法不同，认证方式也不同，传统校园网为了加强对学生的管控力度，多采用802.1x认证，经过多年的实际运营，网管人员发现802.1x认证问题频出，不仅在接入交换机上启用，大量的接入设备配置复杂，而且1x客户端也很容易出问题，学生投诉不断。另外，网络维护问题：在此拓扑传统网络架构中，网络汇聚、接入设备众多网络运维管理人员的精力主要消耗在网络设备的功能配置、技术细节和繁琐的问题定位上，无法全面统筹整体网络及数据中心。2.1.2存在问题： 核心设备只有一台，冗余性不够。核心设备如果整机出现临时断电等意外情况，不能够无缝切换到冗余设备，保障用户无感知。

3、校园网接入交换机数量庞大，由于每台接入交换机都需要强大的安全和认证功能，所以每台接入交换机都需要复杂的配置和丰富的功能，那么每台接入设备都是需要精心维护的关键设备。密码管理、配置管理、权限管理都需要消耗管理员大量的精力。 准入控制集中在接入设备，随着校园网规模扩大，接入的维护变得很困难，且对维护人员的技能要求很高，导致成本很大。 校园有线网络仅供学校办公教学使用，没有建设无线网络，教职工不能够在校内实现自由的网上冲浪体验。 传统的校园网是粗放型的网络，只是满足了基本的网络互联互通的需求，但缺乏相应的审计和控制手段，用户之间互相影响，网络中的攻击泛滥，如ARP攻击/DHCP仿冒/IP仿冒；用户只

4、要接上网络，就能获得网络的使用权，整个访问过程没有针对性的记录、审计和基于用户的控制，导致了网络的无序使用，网络使用没有实名制，用户访问行为没有记录，出现问题无法追查；缺乏针对性的控制，网络带宽被大量占用，重要应用得不到带宽保障；难以实现灵活的用户控制、如基于身份、时间、位置等。2.2建设目标根据以上现状分析，随着网络教学信息化在校园逐渐普及，众多的师生拥有个人笔记本、pad和智能终端。师生在教室、实验室、图书馆、学术报告厅、会议室以及室外广场等场所需要访问学校的教学资源和Internet接入。WLAN无线网络，满足师生随时随地接入网络获取资源和信息的需求，从而进一步将学校、老师、学生以及教学

5、资源等更紧密的融合在一起。物联网被称为是世界信息产业革命的第三次浪潮，“Next Big Thing”。 越来越多的物联网设备通过RF-ID、蓝牙、Zigbee和Wi-Fi等连接方式连到网络上。根据预测，到2025年将有超过1000亿个物（不包括个人宽带用户）被连接起来。任何物体，在任何时间和任何地点都能连接到网络上，物联网正在深刻地影响着人们的生产和生活。在数据中心网络领域，随着服务器虚拟化技术的应用，数据中心内部VM的数量比原有的物理机发生数量级的变化，与之对应的虚拟机虚拟网卡的MAC地址数量也相应的增加，这对原有的LSW交换机的地址容量能力产生了很大冲击。在此背景下，Vxlan应运而生，

6、在实现数据中心租户之间业务隔离的同时，满足虚拟机在不同网络中灵活迁移的需求。而在中大型园区网络领域，随着数据网络规模的快速扩大，网络管理难度和复杂度持续提升，与此同时也产生了与数据中心网络类似的挑战和需求。Vxlan技术在园区网络中的应用，得以实现数据网络的统筹规划、数据运维的高度集中以及网络资源的充分共享。随时随地接入、万物物联、园区Vxlan等新技术的涌现，将使今后的网络面对越来越多的智能终端及物联网终端。有线网络、无线网络、物联网络的建设、维护必须大一统，因此面向泛在的承载是XXXXX网络建设的核心任务。2.2.1网络建设目标XXXX的网络建设总目标如下：v多网融合：构建一张能够承载有线

7、、无线、物联网及5G的综合网络，使得园区网络能够满足园区内各种数据终端及传感设备在任意位置的接入需求。v结构先进：整体架构在性能、容量、高可靠及技术运用等方面上满足未来5年的整体发展需求。v按需扩展：整体网络架构能够基于覆盖区域、终端数量、业务需求实现按需扩展，无需对架构进行调整。vIPV6：校园网全面进行IPV6改造使校园终端接入可实现IPV4和IPV6的自由选择接入。IPv6除了一劳永逸地解决了地址短缺问题以外，还考虑了在IPv4中解决不好的其它问题，主要是端到端IP连接、服务质量（QoS）、安全性、组播（Multicast）、移动性、即插即用等。 IPv6的推广应用势必影响到校园网的发展

8、。校园网突出的特点是学校内有众多的计算机上网，用户密集，网络流量较大，网络应用多且复杂，多媒体应用占相当大的比重，对安全性要求较高。 一般校园网都因为IP地址不足而存在大量的私有地址，为实现对外部网的访问和网间的互联，不得不在网络中部署大量的NAT设备。在这种网络结构下，NAT设备往往成为网络的瓶颈，而且有些应用是无法穿透NAT的，例如经过加密的数据包以及一些不使用UDP和TCP协议头的数据包，因此严重制约了校园网内一些重要的应用，如多媒体应用和P2P应用。并且伴随着网络规模的扩大和网络速率的提高，NAT设备将不断提高建网成本。v实现校园网络的统一认证，计费，管理等问题加强网络的安全能力。总体

9、而言，校园网是一种用户高密度的网络，在有限的空间内聚集了大量的终端和用户。扁平化大二层网络的设计注重的是三个“易”：易管理，易部署，易维护。易管理：整体简化了网络结构，网络中大量的接入、汇聚作为逻辑二层设备只需要做简单的vlan划分、端口隔离配置即可，不需要过多管理，核心设备作三层网关，启用路由、认证、安全相关功能，日常维护中，管理员只需要维护核心设备即可，大大降低网络的运维难度，简化工作量。易部署：无论是有线用户还是无线用户，无论是采用802.1x认证还是portal认证，认证点统一集中在核心，部署方便快捷。同时，大量的接入、汇聚设备配置基本类似，一些专注在教育行业的厂商也推出了快速配置工具

10、用于批量设备上线时的快速配置下发，利用配置工具，操作过程简便。易维护：网络结构的简化带来维护工作的简化，设备配置的简化必然会大幅度降低设备出问题的概率。从另一方面看，校园网的维护，需要在网络出现问题时能够快速定位，在网络管理层面上，需要把用户和端口对应起来，明确用户是从哪个端口接入上网，利用supervlan+subvlan技术，可以轻松定位用户到具体的端口。易拓展：物联网的快速繁殖是现代信息化的必然结果，校园网络建设拥有高带宽承载5G网络和物联网设备的能力。2.2.2数据中心网络建设目标需要解决的是数据中心内部的网络扩展问题，通过大规模二层网络和VLAN延伸，实现虚拟机在数据中心内部的大范围

11、迁移。由于数据中心内的大二层网络都要覆盖多个接入交换机和核心交换机，随着数据中心多中心的部署，虚拟机的跨数据中心迁移、灾备，跨数据中心业务负载分担等需求，使得网络的扩展不仅是在数据中心的边界为止，还需要考虑跨越数据中心机房的区域，为以后延伸到同城备份中心、远程灾备中心。三、总体框架设计3.1简述新增两台BARS设备重新整改网络架构将新增两台BARS配置成为整个园区网络的核心、另外配置一台核心交换机设备让原核心交换机形成设备、链路的双重冗余，同时原核心设备降为整个园区的网络汇聚设备，配置虚拟化，对校园骨干网络进行升级改造，适应更高速的网络需求和更可靠的冗余需求，二是新增认证计费等安全设备，适应大

12、二层下网络安全和认证的要求。同时面对IPV6的逐步进入校园生活，将在网络大二层架构完善后将整网形成IPV4和IPV6的自由接入，对全校网络自上而下进行网络地址改造。3.2整体详细网络设计3.2.1整改后网络拓扑 网络二层架构如拓扑图所示，在网络整改后我们将XXXX网络详细划分区域，层次更加分明也满足等级保护的分区分域的理念，具体分为外联区、核心区、数据中心区域、学校管理区、安全运维审计服务区、汇聚层、接入层。改造原则为物理架构依旧为三层网络结构，不破坏学院前期的信息化投入，也使网络具有更优秀的拓展能力，逻辑架构直接将传统网络化为大二层网络架构。整体采用大二层结构设计，多个逻辑区域各司其职，用户

13、全部在核心上认证，汇聚、接入设备不需要维护复杂的网络协议，层次清晰，架构稳定，方便管理，易于扩展和维护。3.2.2网络架构设计详解3.2.2.1外联区 外联区域新增两台下一代高性能防火墙，替换原先的网络出口中的深信服防火墙，达到设备的冗余和链路的冗余安全，同时面对大流量的校园内外网的访问，增加设备的吞吐量是必要的，解决网络在防火墙处的拥塞问题，也增加相应的入侵防御的功能模块。前期XXXX前期出口防火墙为单台低性能设备防火墙，在前期信息化建设中设备使用年限较长，性能已经不能满足业务发展的要求，在此次建设中进行出口防火墙的替换，增强出口安全性及高可用性。3.2.2.2核心区新增一台核心交换机设备，

14、配置虚拟化，对校园骨干网络进行升级改造，交换机的背板带宽更高，数据转发能力更强，提升校园网络的健硕性，同时将原本核心交换机下降为网络逻辑上的汇聚交换机，新增两台新核心BARS设备进行整网的网络业务承载，路由上收功能使得核心维护路由表，做三层转发，终结ARP，汇聚及接入配置简化，减少运维工作量。同时拥有独特的网络功能：网络承载功能:负责终结用户的PPPoE（Point-to-PointPotocol Over Ethernet,是一种以太网上传送PPP会话的方式）连接、汇聚用户的流量功能;二是控制实现功能:与认证系统、计费系统和客户管理系统及服务策略控制系统相配合实现用户接入的认证、计费和管理功

15、能；面向宽带网络应用的新型接入网关。它是宽带接入网的骨干网之间的桥梁，提供基本的接入手段和宽带接入网的管理功能。它位于网络的边缘，提供宽带接入服务、实现多种业务的汇聚与转发，能满足不同用户对传输容量和带宽利用率的要求。也会将在新核心及网络部署网络地址的双栈协议，形成全网的网络地址的改造。3.2.2.3学校管理区网络集中管理区域的划分，绝对是为了简化运维节省人力物理的必然选择。随着信息化的快速发展，多种多样的设备层出不穷。尤其在学校的这种极度需求的方式，每一次信息化的建设有可能就存在设备的过度使用也造成资源的浪费。本次设计网络管理区域部署相应的网络管理软件，集中式管理信息化的各项设备。3.2.2

16、.4数据中心区域原数据中心依旧接入原网络核心和新增的网络的S12712设备，做双万兆链路上行。保证链路和数据中心的出口安全。新增一台双栈资源管理系统旁路部署解决校内资源业务IPv6升级及HTTPS和HTTP2等问题，落实国家 “推进互联网协议第六版（IPv6）规模部署行动计划”，使平台所有应用服务支持IPv6。3.2.2.5安全运维审计服务区安全运维审计区的出现必定是保证整体网络的安全性，此次在安全运维审计服务区中所有设备均采用千兆旁挂连接的方式，防止主干网络节点数过多影响网络流量转发的通畅，其次就是减少故障节点的产生。此次项目设计中网络安全基本按照网络等级保护二级进行规划设计。本次业务安全体

17、系建设在大二层网络架构基础上进行适当优化，加强对服务器的安全防护，基本满足等保二级防护要求。具体说明如下：部署web应用审计系统，针对WEB应用的攻击行为进行防护，防止SQL注入、跨站脚本、网页被篡改等攻击。出口防火墙部署入侵防御模块，准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，对业务服务器提供主动的、实时的防护。部署堡垒机，通过该设备限制运维人员对业务服务器及数据进行操作，同时对操作的过程进行日志保留。日志审计系统能够实时不间断地采集汇聚企业中不同厂商不同种类的网络设备、主机、操作系统、用户业务系统的日志信息，协助用户进行分析及合规审计，及时、有效的发现异常

18、事件及审计违规。数据库审计能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警，对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部数据库网络行为记录，提高数据资产安全。上网行为管理能够帮助互联网用户控制和管理对互联网的使用。其包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。利旧原先网络中的上网行为管理减少设备投入和资源浪费。3.2.2.6汇聚区、接入区接入层及汇聚层在此次整网大二层改造成不改变原本的物理架构，保证前期信息化建设的投入。但在逻辑

19、上原本的三层网络结构变为二层网络结构，即全网地址均由BARS设备进行配置分发，所有接入层、汇聚层设备在逻辑上变成传统的二层设备，只承担终端设备的接入及信息传输通道的作用。3.2.3网络大二层建设的优势路由上收扁平化：BARS核心设备作三层网关，终结ARP，启用路由协议，核心层设备功能丰富、性能强大、可以更好的满足校园网发展需求。接入、汇聚全部为纯二层配置，负责二层转发，维护工作简单，采购成本低廉。认证上收集中化：BARS核心设备作为集中认证网管，终结认证，完成策略统一下发，接入层不需要启用认证，核心设备根据需要选择基于端口或者vlan启用802.1x认证、portal认证活着免认证。有线无线一体化：有线无线统一认证，无线认证同样终结在核心，AC只需要管理AP，不需要同时做认证功能，解决了异构网络环境需要管理多套认证计费平台的问题。批量配置自动化：大二层架构，大量接入设备基本上配置相同，结合配置自动下发工具，在短时间内自动完成对接入设备的配置下发，大大减轻现场实施人员的工作量。用户定位精确化：与传统方案只能定位到接入交换机不同，大二层方案，可以直接定位用户到接入交换机的端口，满足的精确定位的需求。