张锐文网络工程课程设计.doc

《张锐文网络工程课程设计.doc》由会员分享，可在线阅读，更多相关《张锐文网络工程课程设计.doc（44页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、软 件 学 院课程设计报告书课程名称 网络工程规划设计 设计题目 辽宁工程技术大学校园网规划方案 专业班级 网络13-1 学 号 姓 名 张锐文 指导教师 曲长波 2016 年 6 月 摘要本设计是为辽宁工程技术大学葫芦岛校区的尔雅楼、图书馆与宿舍C楼设计校园网，该校园网原有网络是在十年前设计，起初只有少数几个学院，随着葫芦岛校区规模的增加，现已有七个学院两万多师生，早先的单星网络结构已不能满足现今高速园区网的需求，为了增加园区流量速率、提高园区可靠性与稳定性、优化园区数据共享体验与统一园区无线网现通过优化园区拓扑结构、增加冗余设计、改造数据中心、重新规划无线网来升级改造校园网。在本次设计中将

2、园区按照三层拓扑结构进行规划，园区汇聚核心有主备冗余设计，对于园区汇聚层与核心层使用CSS技术实现横向虚拟化，利用VRRP协议检测设备故障信息进行主备切换。由于园区无线与有线网络需要统一管理，在园区使用802.1x 结合Portal 认证时要做到多终端共享认证秘钥。早先园区数据共享服务没有得到普遍应用，本设计以建设普适数据共享平台为目标改造园区数据中心。关键词：校园网 三层拓扑 冗余设计 多终端共享认证 普适数据共享平台目录绪论11 葫芦岛校区网络概述21.1 校园网背景分析21.2 校园网需求分析31.3 校园网建设目标42 葫芦岛校园网逻辑设计62.1 设计原则62.2 校园网逻辑架构设计

3、82.3 校园网实体架构设计92.4 校园网二层设计112.5 校园网三层设计152.6 可靠性设计182.7 数据中心设计192.8 WLAN设计203 校园网物理设计213.1 设备选型213.2 布线规划294 校园网系统测试304.1 连通性测试304.2 可靠性测试31总结32致谢33第 39 页绪论本次设计将极大地提高网络性能，在资金充裕的情况下使用更多的冗余设计，将园区汇聚层、核心层与出口层设计成双星双上上行链路，使园区更加可靠地运行，同时也通过主备同时工作进行负载均衡，突破了各层次交换瓶颈限制。对于校园网其主要特点就是用户多、流量大，本次设计中充分扩充了园区的出口与核心交换带宽

4、，为园区现在及未来发展提供足够的交换速率。对于用户接入认证通过在管理中心部署相应的认证服务器使用户能够便捷地多终端地接入园区网络。同时将园区的无线AP进行统一规划，极大地增加园区的可管性，使所有用户都能得到统一管理。园区将数据中心升级改造，建设资源共享平台，充分将园区网优势发挥，将大量的流量在园区内部实现交换，同时也减少了出口流量负载。通过本次设计，充分将网络工程规划与设计课程的思想运用到实际项目方案中。在此次设计中从需求分析到测试，从逻辑设计到物理设计将整个园区进行了重新规划，加深了对园区网络的理解，明白了各个模块设计对于园区规划方案的作用与意义。尤其在设计的物理选型中，学会了利用华为官网查

5、阅各种网络设备的参数与使用场景，知道了现在最先进设备达到的水平与课本中老旧设备的巨大差别，这是此次涉及最大的收获。在今后的学习工作中要及时关注行业领头公司的动态，尤其是我们计算机专业，这样才不会被高速发展的技术掩埋。1 葫芦岛校区网络概述1.1 校园网背景分析辽宁工程技术大学葫芦岛校区在校师生逾越两万人，其中园区占地156万平方米，现校区包含宿舍区（ABCDE楼）、教学区（尔雅楼、耘慧楼、静远楼）、公共区（行政楼、图书馆）等建筑，其中校园平面图如下所示：校园网是为学校师生提供快捷高效的教学、科研与综合信息服务的网络，随着校园网规模逐渐扩大，教学、科研对信息化的依赖越来越强，校园信息化的发展也越

6、发迅速，网络结构也越来越复杂，管理运维的难度不断加大，校园信息化建设面临着越来越多的挑战，现网采用的园区设计方案已不足以满足当今需求，建设一个更加快捷、方便与可靠的校园网迫在眉睫。通过对现网实际考察，发现现网的主要问题有接入带宽普遍偏低、学校无法直接管理学生访问网络都是有运营商控制、学校免费wlan少并且多数wlan由运营商收费管理、园区网对于学院的划分不清晰、校园网用户下载一些常用的专业软件与学习资料需要通过访问互联网或通过移动存储设备等。同时对于园区防攻击测试中发现校园网的安全访问策略也存在问题，对于一些内部个人攻击防范能力缺乏。1.2 校园网需求分析网络结构单一现网采用单链路单星拓扑结构

7、在遇到突发情况处理能力不足，一旦核心交换机出现问题，会造成整个园区网瘫痪，现网是为建校初期人数较少时设计，现校区已容纳万余师生，单核心链路在可靠性与带宽上也无法满足如今需求，故须通过流量分担与主备切换来增加园区核心交换带宽与园区可靠性。有线接入认证技术不一致现网在用户接入时使用的认证方式相互独立，有线网与无线网使用各自的接入身份认证方式，不同区域不尽相同，部分使用单密钥接入，有的使用帐号密码认证接入，且帐号也存在区别，有使用手机号也有使用学号。所以需要统一认证方式，并且能够做到一号多用，统一管理。用户管理混乱现网由于在基础规划时未在物理上分隔各学院，所以在网络管理上较混乱，增加了网络用户区分难

8、度，使学院单独管理更加困难，所以需要使用合理的规划方案来区分不同用户群体。设备老旧现网设备大部分都是建校初期投入使用，设备使用年限过长，有的设备在最初选择时就只能满足当时的业务要求，随着信息技术发展，大量的设备将要甚至已经被淘汰，无法满足现今业务需求，而更多新设备投入市场，对于校园网更须与时俱进，更新设备。接入层带宽不足现网普遍使用百兆接入技术，对于宿舍分布密集区域，百兆接入已不足以满足校园用户需求，需要增加接入带宽来改善用户体验。无线管理混乱现网AP均由运营商安装，各个运营商重复覆盖，分布不合理，管理不透明，使用各自的接入标准，不利于用户的体验，浪费资源，所以需要对园区wlan进行重新设计，

9、使用统一无线接入技术。无线接入认证技术混乱现网学生接入网络都是由运营商管理，学生通过运营商购买账号来接入网络，对于大学校园更应该使用统一管理，发挥园区网优势。由于使用多个运营商，各自的接入认证技术不同，用户身份管理混乱，相互之间没有联系，给统一管理校园网用户带来困难。园区数据共享普及率低现网未充分利用园区网资源共享的便利性，没有统一的园区资源共享数据中心，对于一些常用的普遍使用的软件与学习资料没有收入园区数据中心，校园网流量有绝大部分来自于此，如果充分将这些流量收入园区网内部，这样不仅可以减少园区出口流量负担还可以使用户更快速得到这些资源，所以需要建立一个数据共享平台来发挥园区网的这种优势。园

10、区出口单一现网采用的是单上行链路，出口只有一条移动网络，当一条链路出现问题后，园区将与外网隔绝，同时单条链路无法进行流量分担，制塞园区出口流量，所以需要进行冗余设计是，使用双上行出口来增加园区网可靠性，同时增加上行带宽来优化园区出口速率。1.3 校园网建设目标网络核心冗余设计校园网核心层使用的是一台核心交换机，在稳定性与可靠性上已不足以满足如今高速网络需求，需要在核心层设计相应的冗余链路，加入双核心主备切换技术，来实现园区的可靠、稳定传输，同时可以在双核心交换机加入流量分担来提高园区网的核心交换速率，使校园网达到高速稳定可靠的要求。网络出口冗余设计校园网出口流量只有一条运营商链路承担，在可靠性

11、与带宽上已不足以满足需求，需要增加电信、联通、教育网等多条不同运营商的线路，扩展园区出口，通过部署多功能的防火墙，对Internet的网络出口提供安全保障，增强校园内部网里的稳定性。同时需要对网络资源进行合理的管理与优化，包括流量控制与出口多线路的线路负载均衡，从而充分发挥学校的网络资源，提升内部网络用户的上网体验。 使用统一认证技术校园网用户较多，需要统一管理，使用同一套身份数据库来将不同终端不同区域的用户联系起来，在用户接入认证时每个用户使用自己同一账号分别登陆移动与固定终端，所以需要身份数据库有同一唯一主键来区分用户，实现多终端多地点一账号登陆。对于固定设备使用802.1x来接入园区网络

12、，对于移动端使用portal认证来接入AP，对于办公室的打印设备、通讯设备等无法安装客户端的使用mac认证接入网络。校园用户统一划分校园网用户多，不同学院混合居住，在物理上无法区分用户群体，所以需要在逻辑上划分不同学院，通过接入时的身份认证来将接入设备划入相应的vlan与子网，来达到区分用户群体的目标，实现学院的统一管理。校园网接入层设备更新校园网的接入层为百兆带宽，已经不能满足现有网络应用的高速传输需求。通过对校园网中部分使用年限过长或者功能比较差不符合网络演进技术的接入设备进行替换，确保校园网接入层设备运行稳定性与可靠性。替换后的网络设备应当充分支持IPv6、支持802.1X portal

13、 mac身份认证等技术。 校园网wlan改造校园网现使用的WLAN覆盖方案造成资源浪费与分布不均匀，对于原有的无线布置不能满足统一管理，此次校园网络建设，要在校园的重要区域，包括办公室，图书馆，教学区，操场，食堂，学生宿舍区等覆盖WLAN，实现无线的高速上网，并且能进行区域场景间的无缝漫游，同时需要支持统一的身份认证技术，实现用户一账号快速访问园区网络。 校园网数据中心升级校园网未普及使用局域网数据共享服务，大量资源需要访问互联网进行下载，此次设计要为校园网用户提供统一的数据共享平台，需要在数据中心构建相应的服务器来为校园网用户提供服务，来提供用户高速、可靠与稳定的数据共享服务，同时用户能够自

14、主的下载上传更新资源。校园网安全等级建设学校校园内网络使用用户众多，角色复杂，为了更好的保护网络，做好教学辅助的工作，网络必须满足合理的信息系统安全等级保护要求，具备高效的防攻击防窃取能力，维护网络的稳定与健康，满足系统免受来自个人拥有少数资源威胁源发起的恶意攻击的要求。 校园网运行维护建设学校用户众多需要建设一个统一化的网络管理平台来对用户进行不同策略的管理。包括对有线、无线的集中管理，对网络用户的身份识别，对网络流量的精准分析。网络维护管理系统需要可直观数据化、图形化的分析呈现能力，并可以兼容市场多数常用的网络设备，并支持不同网络设备供应商产品。 2 葫芦岛校园网逻辑设计2.1 设计原则葫

15、芦岛校园网是校区业务系统关键的基础平台，承担着校区所有信息化业务的通信传输，对校区业务稳定运营至关重要，应本着以下原则进行建设：l 稳定性、可靠性、可用性可靠性是校区网络最基本的关键诉求，包括：关键设备冗余、链路/网络冗余与重要业务模块冗余。关键设备冗余，包括支持单板热拔插、冗余控制模块、冗余电源。冗余网络设计，包括双机热备，链路冗余、链路聚合。校区网络提供多种冗余技术，以及高效、负载均衡的备份机制。 l l 安全性安全性是校区网络的基本诉求，包括物理空间的安全控制及网络的安全控制。除了专业的安全设备提供的专业安全防护，基础的网络设备也需要具备一定的网络安全能力，如防ARP攻击、防MAC等。

16、一方面通过安全部署保护医院内部信息安全，一方面满足等保要求帮助医院通过等级测评。 l l 先进性、可扩展性与实用性结合校区网络不但需要能够满足当前需要，随着后续业务发展，未来网络也需要承载更多丰富业务及提供更优质的服务。所以，网络的可扩展性是网络前期规划的重点。同时，采用先进的网络设备，保证一次建成后长期的平滑升级，保护投资； 不追求过分超前，避免造成投资浪费。为此，在网络建设中，需注意超前性与实用性结合，确保投资有效。在实用的前提下，系统尽可能地满足各类未来演进需求，适应主流技术的变化，以确保系统的先进性。 l 可维护、可管理性网络可管理性是校区网络易于运维的基础。校区运维管理人员应该从繁杂

17、的运维工作中抽出身来，更多的关注业务应用与创新。校区网络提供低成本、简单有效的统一网管，对校区内有线无线网络进行统一管理，提供可视化的网络拓扑、网络状态监控、故障事件实时预警与告警、网络流量统计等。校园网是一种用户高密度的网络，在有限的空间内聚集了大量的终端与用户。校园网注重的是网络的简单可靠、易部署、易维护。 辽宁工程技术大学大学的校园网改造以星型结构为主，遵循如下原则： l 层次化 将校园网络划分为核心层、汇聚层、接入层。每层功能清晰，架构稳定，易于扩展与维护。 l 模块化 将校园网络中的每个区域或者每个功能区划分为一个模块，模块内部的调整涉及范围小，易于进行问题定位。 l 冗余性 关键设

18、备采用双节点冗余设计；关键链路采用 Trunk 方式冗余备份或者负载分担；关键设备的电源、主控板等关键部件冗余备份。提高了整个网络的可靠性。 l 安全性 校园网络应具备有效的安全控制。接入网络的设备要进行统一认证，同时按接入用户身份、按权限进行分区逻辑隔离。对特别重要的业务采取物理隔离。对进出校园网的流量要进行识别、过滤，确保网络安全。 l 可管理性与可维护性 为了易于管理，可选择适用于全网的网管软件来管理网络。为了便于维护，应尽可能选取集成度高、模块可通用的产品。2.2 校园网逻辑架构设计校园网的逻辑架构分为以下几个部分。n 校园出口 校园出口区域既负责对校园网用户的统一接入，也负责将内部的

19、终端用户接入到公网、将外部用户接入到内网。出口除了要保证校园内外的数据传输，还需要保证边界安全。 n 数据中心 部署服务器与应用系统的区域。为校园网内部与外部用户提供数据与应用服务。同时建立一个软件与学习资源共享平台，用于园区内普遍访问流量的集中存储共享。n 网络管理区 对网络设备、服务器等进行管理的区域。包括告警管理、性能管理、故障管理、配置管理、安全管理等。 n 核心层 核心层负责整个园区网的高速互联，一般不部署具体的业务。核心网络需要实现带宽的高利用率与网络故障的快速收敛。 n 汇聚层 汇聚层将众多的接入设备与大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。 n 接入层

20、负责将各种终端接入到校园网络，通常由以太网交换机组成。对于某些终端，可能还要增加特定的接入设备，例如无线接入的 AP 设备。 n 终端应用层 包含校园网内的各种终端设备，例如 PC、笔记本电脑、打印机、 、手机、摄像头等等。2.3 校园网实体架构设计对应逻辑架构，校园网的物理架构如图 2-2 所示，其中每个深色区域表示一个按照地理位置划分的VLAN区域，每个实线框下的网段表示一个大区域对应的网段，具体细化在子网规划中，其中虚线框表示园区中存在但本次设计不涉及的区域。网络组网结构说明： n 校园出口 由 USG 实现。USG 为高性能出口防火墙网关设备，具备全面的网络安全防御能力，并且具有高性能

21、的 NAT 功能；同时华为 USG 能针对校园出口多线路实现多线路负载，以提高校园网络多线路资源的利用率。 n 核心层 核心层由核心交换机模块组成。核心交换机承载全网所有的流量，利用虚拟化技术，建立逻辑隔离的网络通道，实现不同业务之间无干扰地稳定运行。 核心层设备建议采用多机集群模式来增加稳定性。 n 数据中心 部署服务器与应用系统的区域。为校园网内部与外部用户提供数据与应用服务，为园区内部用户提供告高速的资源共享平台服务。 n 网络管理区 包含计费服务器，DHCP 服务器，Portlal服务器等，对内网用户进行认证与管理。同时部署 eSight 网管系统，对网络设备、服务器等进行管理，功能包

22、括告警管理、性能管理、故障管理、配置管理、安全管理等。n DMZ区 DMZ 区主要提供外网的合法访问。包括提供公共用户访问的公开网站，以及对应的 APP 服务。对出差的内部员工的访问，部署 SVN 设备，提供 SSL VPN 的安全访问。分校区与总部之间的互联，可以使用 IPSec VPN 建立互联隧道。 n 汇聚层 汇聚层将众多的接入设备与大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。 n 接入层 由接入交换机与 AP 组成，提供校园用户有线与无线的各类终端实现网络接入。 该组网具有以下特点： 网络架构各个区域模块化，基础网络、数据中心网络、新校区网络均可独立维护。 以核心

23、节点为“根”的星型分层拓扑，架构稳定，易于扩展与维护。 各部门与功能分区模块清晰，模块内部调整涉及范围小，易于进行问题定位。 汇聚层与接入层冗余设计，关键链路均采用 Trunk 链路，保证网络的可靠性。 支持各种终端接入，统一认证，一张 IP 网络承载所有业务。 出口部署边界防御，保证网络安全。 支持分支接入、远程接入、外部用户访问等各种外联场景。2.4 校园网二层设计l VLAN概述 VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接互通，从而将广播报文限制

24、在一个VLAN内。基于校园网内拥有比较多不同的业务类型，并且不同类型网络使用者也有很大差别，因此进行VLAN的合理规划将可以帮助建设一个稳定运作的教学合一的网络。 l 按区域划分VLAN 在校园网络中，可以按功能将VLAN划分为以下几种： l 宿舍楼VLAN本次设计宿舍区为C楼，对于宿舍接入用户，对于园区内流量交换主要在同学院之间，而同一学院大部分集中在同一楼层上，流量也集中在同层之间，所以宿舍按照每栋每层一个VLAN划分，即4（C1C4）*6（16层）*1个VLAN教学楼VLAN本次设计教学区为尔雅楼，尔雅楼作为教学区，网络用户园区内流量交换主要集中在同一办公室或同一教室，同时为了管理方便，

25、现将教学楼按照楼层划分VLAN，即4（一四楼）*1个VLAN公共区VLAN本次设计公共区为图书馆，本校图书馆分为现刊阅览室、过刊阅览室、借阅室14，这按照图书种类划分的，资源共享也是在一个区域内，所以图书馆的VLAN按照阅览室划分，即6*1个VLAN管理区VLAN管理中心划分一个VLAN，同时能够访问园区其他VLAN数据中心VLAN数据中心划分一个VLAN，同时园区用户能够访问数据中心的软件学习资料分享平台l VLAN规划原则 VLAN划分的基本原则如下： a. 要严格区分业务VLAN与管理VLAN。 b. 按照不同的管理区域划分VLAN,不仅方便隔离用户，也方便日常维护。 c. 同一区域也要

26、按照不同的业务类型来划分VLAN,比如按照不同的接入方式来划分VLAN。 d. VLAN需连续分配，以保证VLAN资源合理利用。 e. 预留一定数目VLAN方便后续扩展。 l VLAN局部规划校园网中学生宿舍拓扑如下图所示：学生宿舍C1-1楼学生宿舍C1-1楼区域VLAN规划如下： C1-1区域为VLAN 200 C1-2区域为VLAN 201LSW10 LSW9 LSW11 LSW12 与接入用户连接端口配置为access接口上行口设置为为trunk链路，允许所有VLAN通过汇聚层所有端口配置为trunk链路允许所有VLAN通过，在核心层配置VLANIF，为三层交换提供服务。校园网学工部VL

27、AN拓扑如下：校园网学工部校园网学工部业务VLAN规划如下：由于在很多区域中都存在学工部业务，在地理区域上不相邻，通信需要跨核心层，现将学工部分配VLAN 12，配置如下：LSW4 与 LSW5 中与 学工部电脑 CLIENT3 CLIENT4相连的端口配置为access接口，上行端口配置为trunk链路，LSW2 LSW3 上下行端口 LSW1下行端口配置为trunk链路，在LSW1配置VLANIF，提供三层交换服务。l VLAN整体规划l 园区各区域VLAN具体配置参照宿舍区配置，园区VLAN划分表如下：楼栋或部门分层VLAN服务部门财务处10后勤部11学工部12教务处13等1499数据中

28、心100管理中心101其他102109图书馆现刊110过刊111借阅1112借阅2113借阅3114借阅4115保留116199C楼C1-1200C1-2201C1-3202C1-4203C1-5204C1-6205C2206211c3212217保留218299尔雅楼1300230133024303保留304329DMZ校园网中VLAN 1099 划分给学校的服务部门校园网中VLAN 100109 划分为管理中心数据中心等公共服务中心校园网中VLAN 110199 划分为图书馆区域及其他公共活动区域校园网中VLAN 200299 划分为住宿区域校园网中VLAN 300329 划分给教学区域校

29、园网整体规划如下：对于按照地理区域划分（宿舍区、教学区等）的VLAN配置按照局部规划中学生宿舍C1-1楼区域VLAN规划方案配置；对于按照业务划分（学工部、后勤部等）的VLAN配置按照局部规划中校园网学工部业务VLAN规划方案配置；2.5 校园网三层设计划分IP地址 在校园网络中，校园网中部分可被外网访问的区域使用公网IP地址，对外提供服务；其他区域由管理中心的DHCP服务器划分相应私有地址，为校园网内部用户跨区域（VLAN）访问提供三层数据交换服务；校园网内部需要访问互联网时，通过NAT服务器进行地址转换访问外网。 IP地址规划原则 IP地址规划的基本原则如下： l 唯一性 一个IP网络中不

30、能有两个主机采用相同的IP地址。 l 连续性 连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。 l 扩展性 地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。 l 实意性 好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大致判断出该地址所属的设备 IP地址规划校园网按照区域与业务划分IP地址，每个区域划分一个A类网段，然后按照各区域业务将网段逐级划分，本次设计校园网子网划分具体如下表：楼栋或部门分层起始IP结束IP网段服务部门财务处后勤部学工部教务处等数据中心管理中心图书馆现刊过刊借阅1借阅2借阅3借阅4保留C楼C1-1C1-

31、2C1-3C1-4C1-5C1-6C2c3保留10.62.36.0尔雅楼1234保留DMZ公网地址校园网按照楼栋分配一个掩码为16位的网段，然后然后楼栋下属的业务部门进一步划分，如宿舍区按照楼层划分，其中宿舍用户数计算如下：一层用户数=30（一层宿舍数）*4（人数）*2（有线设备+无线设备）=240考虑到可扩展性需要预留一部分地址，所以一层可划分一个网络号为23位的网段；教学区按照楼层划分后可进一步按照实验室，办公室继续划分；学校的各个服务部门如学生处、教务处划分一个网络号为22位的网段；管理中心与数据中心分配一个网络号为16位的网段。DHCP设计本次设计对于绝大部分用户使用动态分配，只有少数

32、的特殊用户与固定设备使用静态配置。其中由于不同VLAN使用不同网段，所以采用DHCP中继方案实现不同VLAN网段的的ip地址动态分配。设计方案 每个DHCP网段保留部分静态地址作为网络设备与服务器使用 静态地址与动态地址段保持连续 按照业务区域划分的不同VLAN与网段进行DHCP管理 DHCP服务器要支持IPV6，使园区网具有可扩展性 DHCP服务器应有冗余设计，在服务器故障时能够迅速切换，保障园区的高可靠性2.6 可靠性设计校园网中网络不可能一直按照理想情况运行，随时可能出现突发情况，可靠性性设计十分必要。可靠性是衡量所设计网络的一个重要指标，也是网络设计的一个主要部分，其中可靠性设计包含网

33、络设备可靠性、链路可靠性与组网可靠性。设备可靠性设计为使用设备更加可靠运行，不仅需要硬件设备内部冗余设计，还需要在软件基础上进行故障检测。设备可靠性由硬件本身的冗余设计决定，设备若要达到电信5个9可靠性，需要采取下列技术措施： 主控1:1备份 交换网1+1/1:1两种方式 DC电源1+1备份；AC电源1+1/2+2备份 模块化的风扇设计，高端配置支持单风扇失效 无源背板，高可靠性 独立的设备监控单元，与主控解耦 所有模块支持热插拔 完善的告警功能 设备管理1:1备份 链路可靠性设计设备在出现故障时需要通过相应的网络协议来感知结点设备故障，发现后自动进行动态故障恢复，从而实现链路热备份。其中链路

34、可靠性主要可以通过trunk技术、iStack技术、环路冗余技术、光纤故障检测技术等来保证。链路可靠性设计方案 本设计接入层与汇聚层采用倒三角形链路，由于存在二层环路，使用SmartLink协议破环。 本设计汇聚层与核心层采用口字型链路，在核心层交换机使用VRRP+BFD协议检测链路故障并进行主备切换。 核心层与汇聚层使用CSS横向虚拟技术保证链路可靠性 对于上行链路使用trunk链路保证链路可靠性。 在接入层与汇聚层交换机之间由于距离较远，需要使用光纤链路，所以需要使用光纤故障检测协议DLDP来汇报故障结点，从而发现光纤的单通故障。2.7 数据中心设计数据中心为园区内提供高速的资源共享服务为

35、园区外提供有限的资源访问服务，本园区主要服务资源包含对外公开的各学院门户网站、各个组织单位的数据存储服务与供园区用户使用的资源共享平台。本次设计主要是对园区原有的数据中心进行升级改造，将园区的数据中心集中管理并提供有效的安全保护手段，同时新增适合校园用户使用的资源共享平台。数据中心设计原则模块化考虑的业务的调整与发展，网络结构与系统结构要模块化、易于扩展。高可靠网络设计采用冗余网络设计，实现关键设备、链路冗余；关键设备选用高可靠性产品，可实现单板。模块热插拔，控制模块设计冗余、电源冗余。安全隔离数据中心具备有效的安全控制，按业务、按权限进行分区逻辑隔离，对特别重要的业务采取物理隔离。以服务器为

36、中心的业务、ip存储备份、管理网络等多个网络进行逻辑隔离，管理网络采取物理隔离。可靠性与可维护性网络应当具有良好的可靠性。为了便于维护，应进可能选取集中度高、模块可通用产品。数据中心设计方案 在层次结构上使用两层设计，选用高速数据中心专用交换机作为顶层交换机并使用冗余链路保证数据中心的可靠性 数据中心出口使用专用防火墙配置相应的访问控制列表来限制对数据中心不同业务的访问 在底层使用高速交换机将数据中心的接入设备连接，划分VLAN做好相应的二层业务隔离，对于不同业务可以针对流量使用不同带宽的底层接入交换机 对于web业务使用扁平部署方式即可，对于数据业务要考虑流量并发设计，对于计算业务由于要求不

37、高可适当缩减设计 数据中心要布置好防毒防病毒库，有较高的抵御攻击能力，完备的访问控制手段 配合访问控制划分好相应的ip地址，做好三层业务的隔离 对于访问数据中心的用户做好跟踪审计，保证园区数据安全，同时做好数据备份，防止突发数据丢失问题 对于关键链路要做冗余设计保证园区的可靠性依照如上方案具体规划如下图：2.8 WLAN设计校园网用户众多，几乎所有用户都需要使用移动终端，在宿舍、教室、图书馆等室内区域都要配备好全覆盖的AP，满足园区移动上网的需求。对于宿舍用户要满足单用户4Mbps 的接入带宽需求，同时能够满足99% 的宿舍用户并发访问。对于图书馆用户只需满足单用户1Mbps 的接入带宽需求，

38、同时能够满足10% 的图书馆用户并发访问。对于教学楼用户要满足用户4Mbps 的接入带宽需求，普通教室区域满足50%用户并发访问，而在办公区域与实验室区域要满足99% 用户查阅网上资料需求。各区域AP布置如下表：区域类别布置位置单个AP覆盖空间接入带宽（Mbps）宿舍单排宿舍走廊每5个宿舍1个AP4并排宿舍走廊每10个宿舍1个AP4教学区阶梯教室室内每1个多媒体教室1个AP4普通教室（并排）走廊每8个教室1个AP4办公室室内每1个办公室1个AP4实验室室内每1个实验室1个AP4图书馆阅览室室内每个阅览室1个AP1借阅室室内每个借阅室1个Ap1校园WLAN设计方案 使用IEEE 802.11n

39、协议 AP发现AC技术使用DHCP Option 43 发现AC 身份认证采用Portal+PSK 网页强推认证方式使移动设备更加方便接入网络 在安全上采用无线IDS来检测非法移动用户，将非法用户及时上报给网络管理，从而及时发现安全问题 在数据中心布置相应的DHCP服务器来为无线设备分配ip地址 采用FIT AP 集中架构，在二层设备上集成AC 3 校园网物理设计3.1 设备选型出口防火墙随着高校的不断扩招，教育网络内部，高校的师生规模往往在几万人，接入的信息节点丰富多样，高峰时期师生的突发及高流量访问需求量大，对出口设备要求性能高。老的安全网关设备无法适应快速增长的带宽需求以及海量的并发访问

40、量，容易造成触控访问拥塞。高校的出口，同时有都IPv4教育网，IPv6教育网与Internet三张网络的需求，由于网络初期发展建设的原因，缺少同时支持IPv4、IPv6协议栈的网关设备。高校内部资源有教学科研的服务器等，对外也提供部分业务，需要安全隔离防护。所以在高校教育网络出口部署高端防火墙USG9500，可满足校园网几万师生高峰期同时访问的并发量。作为IPv4、IPv6双协议栈安全网关，可以替代原有设备，并在未来带宽增加时，通过扩展业务板插卡，线性提升业务处理性能。通过划分不同安全域，实现服务器资源的隔离与保护，防范互联网的安全威胁。同时USG9500具备全面的防护功能，集传统防火墙、VP

41、N、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身，一机多能，简化部署，提高管理效率。产品外形：产品部分参数：出口路由器校园网用户众多，园区出口带宽需要达到万兆带宽，现选用华为ME60-X8 路由器作为园区出口路由，此路由器除在带宽上满足园区需求外还能在多级可靠性设计保证业务平稳可靠的运行：设备级： ME60采用了控制平面与交换平面相分离的架构，独立的总线系统，完全独立的控制通道与转发通道，同时采用分布式硬件转发，各关键部件均支持冗余热备份与热拔插。网络级： 软件基于华为高可靠性的VRP 路由平台，提供了丰富的可靠性，如支持BFD、RRPP、VRRP、NSF、NSR、FRR等

42、技术。另外，ME60还支持通过跨板trunk技术进行链路保护，构筑端到端的高可靠性保护的稳固网络。产品外形：产品部分参数：SS12704部署在校园网核心。S12700支持统一用户管理，客户无需额外购买BRAS硬件，减少建网投资；整机支持64K用户管理，满足海量用户接入；支持多级H-QoS，实现精细化的用户/业务管理。S12700实现有线无线真正融合，即统一的设备管理、统一的用户管理与统一的业务管理，提供一致的用户体验。本次设计中，该交换机可在如下几个方面满足设计需求：交换容量冗余设计主控、交换网板、电源、风扇框（前后及左后风道）虚拟化 支持CSS2交换网硬件集群，集群主控1+N备份无线管理 支

43、持随板AC，支持AP接入控制、AP域管理与AP配置模板管理支持射频模板管理、统一静态配置与集中动态管理支持WLAN基本业务、QoS、安全与用户管理用户管理支持有线无线统一用户管理支持PPPoE、802.1X、MAC、Portal认证方式支持基于流量与时长计费方式VLAN 支持Access、Trunk、Hybrid方式支持LNP链路类型自协商支持default VLAN支持VLAN 交换环网技术支持STP(IEEE 802.1d)，RSTP(IEEE 802.1w)与MSTP(IEEE 802.1s)可靠性 支持LACP、支持跨设备E-Trunk支持VRRP、BFD for VRRP支持 BFD

44、 for BGP/IS-IS/OSPF/静态路由产品外形：S7700智能路由交换机可以作为大型企业园区汇聚交换机设备，组建高可靠、业务易扩展、易管理的企业园区网络。S7700 系列广泛适用于园区网络、数据中心核心/汇聚节点，可对无线、话音、视频与数据融合网络进行先进的控制，帮助企业构建交换路由一体化的端到端融合网络。 S5700 系列以太网交换机（以下简称 S5700），是华为公司为满足大带宽接入与以太多业务汇聚而推出的新一代绿色节能的全千兆高性能以太交换机。它基于新一代高性能硬件与华为公司统一的 VRP(Versatile Routing Platform）平台，具备大容量、高可靠（双电源插槽与硬件级以太 OAM）、高密度千兆端口，可提供万兆上行，支持 EEE 能效以太网与 iStack 智能堆叠，充分满足企业用户的园区网接入、汇聚、IDC 千兆接入以及千兆到桌面等多种应用场景。 AP7050DE是华为发布的支持802.11ac wave2标准的无线接入点，内置智能天线，同时支持44 MIMO与四条空间流，整机速率2.53Gbps，适用于高校、大型园区等室内覆盖场景。防火墙在园区资金充裕的情况下使用USG9500防火墙能够使园区数据中心更加安全，也可以选择与园区出口共用防火墙。核心交换机校园网对于带宽的追求