《普教校园网络建设参考方案.doc》由会员分享,可在线阅读,更多相关《普教校园网络建设参考方案.doc(26页珍藏版)》请在三一办公上搜索。
1、普教校园网络建设参考方案校园网络系统建设方案目录第1章建设目标1第2章网络设计原则1带宽保障1有线无线一体化1安全可靠性1网络可控性2第3章计算机系统网络设计3大目湾学校校园网拓扑图设计3总体网络设计3核心交换层设计4核心交换机简介5接入层设计9校园无线网络设计10无线场景化部署10AP部署位置11无线AP供电方案12无线覆盖信号12工作频段与频点规划12基于用户、流量、频段的智能负载均衡13RIPT边缘智能感知技术保障上网不掉线16AP信号冗余16无线校园网使用控制17网络出口设计17安全17出口路由与上网行为管理17网络管理18第1章 建设目标数字化校园综合平台建设的总体目标是:利用先进成
2、熟的计算机技术、网络技术、数字视频监控技术、数字广播技术与数据库技术,通过科学合理的管理规范与完备通用的技术规范,基于统一的信息标准整合、集成各种信息资源,构建安全、可靠、可扩展、易维护的综合管理平台,保障校园一卡通业务、办公业务、教务网络管理系统、科研管理系统以及以数字图书馆为基础的多媒体网络教学资源系统等稳定高效运行、实现学校各项业务和管理工作的信息化;为广大师生提供简便、快捷的网络化信息服务。第2章 网络设计原则2.1 带宽保障学校信息化建设是一个庞大而且复杂的工程,为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高
3、带宽的特性,整网的核心交换要求能够提供无瓶颈的数据交换。2.2 有线无线一体化随着信息技术的飞速发展,教师和学生对校园网的依赖性相当之高,不仅有线网络要满足学校教学和办公需求,“随时随地获取信息”已成为广大师生们的新需求。因此学校迫切需要为广大教师、学生、行政管理人员、后勤人员打造一个具有打造一个具有技术前瞻性的无线校园网,与目前的有线网络进行无缝融合,提供优良的无线体验。2.3 安全可靠性设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,同时提供网络安全防范措施,保护内部网络和数据不被来自外网或内网的非法用户攻击,确保学校内部网络、各系统以及业务的安全稳定运行。2.4 网络可控性
4、校园网建好以后,只有进行有效的管理,网络才能有效、稳定的运行,并且发挥出校园网络的价值。所以校园网建设完成后,最重要是对使用者的管理,只有授权的使用者才能正常使用网络,对不允许上网的个人则限制进入网络。第3章 计算机系统网络设计3.1 大目湾学校校园网拓扑图设计大目湾学校网络拓扑设计3.2 总体网络设计大目湾学校数字化校园网建设主要包括基础骨干网络、无线网络及网络出口,实现有线、无线一体化。根据模块化、分层设计的理念,本次校园网的建设大致分为:核心交换区、接入交换区、校园网无线覆盖区、出口、网络使用管理与设备管理。n 接入交换机千兆到桌面,通过级联或堆叠的方式,简化实施管理和介绍光纤、设备投入
5、,一个弱电间内可以23台接入交换机级联或堆叠;n 接入交换机级联或堆叠后采用千兆光纤上连至核心交换机;n 教学和办公区共部署99个吸顶式无线AP;n 教师和学生宿舍区,每间宿舍部署1个墙面式AP,提供每间宿舍无线网络。共部署83个墙面式AP;n 核心机房部署1台无线控制器对学校所有AP进行控制、管理;n 出口部署防火墙设备保障学校网络安全;n 出口部署网关设备,实现网络出口路由和上网行为管理;n 部署1套网管软件,对学校网络设备进行统一监控、管理、配置。3.3 核心交换层设计核心交换区负责汇聚各个楼栋数据进行高性能数据转发,同时也负责与服务器区、校园网出口区之间的流量转发。核心交换机是一个高速
6、的二层和三层数据集中转发设备,设备需要提供较高的交换容量和包转发性能,以保证学校全网数据的正常、线速转发。核心交换机作为学校整网的网关,并提供DHCP动态地址分配服务。此次学校网络点位加上无线接入用户,考虑最大用户数为2000人,所以核心交换机需要具备较高的ARP表项和MAC地址表项,以满足学校全网用户的正常上网和数据转发。本次提供的核心交换机和线卡支持APR容量170K,MAC地址表项128K,充分满足学校大规模的业务需求。针对学校不同部门、区域、人员的访问控制,可以在核心交换机上启用针对性的访问控制策略,保障数据访问的安全性。3.3.1 核心交换机简介RG-S7805E一、 产品特性 性能
7、满足未来十年网络发展RG-S7805E产品支持业界最高性能的小包线速转发能力,包括最高密度板卡在内的所有板卡均可实现64字节小包线速转发,从容应对未来网络对高速转发不丢包的苛刻需求。(Virtual Switch Unit,虚拟交换单元)虚拟化技术,最大将4台物理设备虚拟化为一台逻辑设备,统一运行管理,大幅减少网络节点,降低网络运维管理人员工作量。增加网络可靠性,实现50200ms链路故障快速切换,保障关键业务不中断传输。支持跨设备链路聚合,方便接入服务器/交换机实现双活链路上联,网络有效连接带宽成本增长。 虚拟交换设备VSDRG-S7805E产品通过VSD(Virtual Switch De
8、vice,虚拟交换设备)技术可将一台设备虚拟化为多台虚拟设备,每台虚拟设备具有独立的配置管理界面、独立硬件资源分配(比如内存、TCAM、硬件转发表),可以独立重启而不影响其它的虚拟交换机。最大程度上为您实现网络资源的按需分配,可让核心交换机资源同时共享给多个区域或用户使用。另外,通过同时开启VSU ,可以实现网络资源的彻底池化 电信级的高可靠性设计RG-S7805E产品各关键部件均为冗余设计:主控引擎1+1冗余,风扇N+M冗余,电源模块1+1冗余,同时各冗余组件均支持热插拔,最大程度上提高整机的可靠性和可用性。支持热补丁和ISSU技术,可实现设备在线进行补丁升级。支持GR for OSPF/I
9、S-IS/BGP等,支持BFD for VRRP/OSPF/BGP4/ISIS/ISISv6/MPLS/静态路由等,实现各协议的快速故障检测机制,故障检测时间小于50ms。 多进程模块化操作系统从1998年起,锐捷网络就开始了模块化操作系统的研发投入,RG-S7805E产品软件平台基于新一代的RGOS ,支持全面的虚拟化能力和园区网特性。在多进程模块化、进程备份、热补丁等关键可用性指标上达到业界领先水平。 高效的绿色节能RG-S7805E产品采用40nm芯片工艺,相比传统90nm和65nm工艺更节能。内部系统低压供电设计,高效率模块化电源,供电系统效率更高。多核CPU支持动态功耗管理,全部光口
10、采用无PHY设计,降低光口功耗,全部以太网电口支持EEE高效节能标准,低负载时可节约功耗。智能风扇支持256级调速,精密温控,节能降噪;高温下可长期工作,适应恶劣环境,为您大幅度节省空调能耗。二、 技术参数技术参数参数描述产品型号RG-S7805E模块插槽5个(2个用于管理引擎模块)交换容量12 Tbps包转发速率5,400 Mpps设备虚拟化支持VSU3.0(Virtual Switch Unit,虚拟交换单元)支持VSD(Virtual Switch Device,虚拟交换设备)SDN支持OpenFlow 1.3L2 特性支持Jumbo Frame支持802.1Q支持STP、RSTP、MS
11、TP支持Super VLAN支持GVRP支持QinQ、灵活QinQ支持LLDPIPv4 特性支持静态路由、RIP、OSPF、IS-IS、BGP4支持VRRP支持等价路由支持策略路由支持GRE隧道IPv6 特性支持静态路由OSPFv3、BGP4+、IS-ISv6、MLDv1/v2支持VRRPv3支持等价路由支持策略路由支持手工隧道、自动隧道、ISATAP隧道、支持GRE隧道等组播支持IGMP v1,v2,v3支持IGMP Snooping支持IGMP Proxy支持PIM-DM、PIM-SM、PIM-SSM等组播路由协议支持MLD支持组播静态路由MPLS支持MPLS转发支持MPLS VPN/VP
12、LS支持VPWSACL支持标准、扩展、专家级ACL支持ACL 80支持IPv6 ACLQOS支持802.1p支持SP、WRR、DRR、SP+WRR、SP+DRR等队列调度机制支持RED/WRED支持基于出端口/入端口的限速支持HQoS可靠性主控板支持1+1冗余备份电源、风扇支持N+M冗余备份背板无源设计,避免单点故障各组件支持热插拔支持热补丁功能,可在线进行补丁升级支持ISSU支持GR for OSPF/IS-IS/BGP支持BFD for VRRP/OSPF/BGP4/ISIS/ISISv6/MPLS/静态路由等安全性支持NFPP(基础安全保护策略)支持CPP(CPU保护)支持DAI,端口安
13、全,IP Source Guard支持802.1x支持Portal认证、支持RADIUS和TACACS+用户登录认证支持uRPF支持登录认证、口令安全支持支持未知组播不送CPU、支持未知单播抑制支持SSHv2,为用户登录提供安全加密通道管理性支持Console/AUX Modem/Telnet/SSH2.0 命令行配置 支持FTP、TFTP、Xmodem、SFTP文件上下载管理 支持SNMP V1/V2c/V3 支持RMON 支持NTP时钟 支持故障后报警和自恢复 支持系统工作日志支持IPFIX流量分析尺寸(宽x深x高)(mm)442 x 595 x 219.5(5U)电源RG-PA600I:
14、90-180V 600W;180-264V 600WRG-PD600I:-40.5VDC-75VDC 600WRG-PA1600I-P:90-180V1200W;180-264V 1600WMTBF 200,000 hours温度工作温度:0 到 50存储温度:-40 到 70湿度工作湿度:10% 到 90% RH(无冷凝)存储湿度:5% 到 95% RH工作高度/海拔-5005000M3.4 接入层设计楼栋接入区主要是负责为楼栋内各个信息点提供2层接入功能,根据实际需求,本次学校全网共部署52台24口千兆接入交换机。接入交换机主要完成以下功能:n 接入交换机千兆到桌面,通过级联或堆叠方式,千
15、兆链路上连核心交换机。n 通过VLAN定义实现业务划分。n 实现QoS,对数据包进行分类和标记。n 接入网作为用户终端接入校园网的唯一接口,在为用户终端提供高速、方便的网络接入服务的同时,需要对用户终端进行入网认证、访问行为规范控制,从而拒绝非法用户使用网络,保证合法用户合理使用网络资源,并有效防止和控制病毒传播和网络攻击。3.5 校园无线网络设计3.5.1 无线场景化部署(一) 教学、办公楼等场景 l 教学、办公楼等无线网络主要用于老师教学、办公、上网、学生学习以及其它数字化应用。在教学楼环境,老师、学生等活动范围大,所以无线信号覆盖区域需要全面、无盲区。l 教学、,此次学校共部署99个室内
16、双频吸顶式无线AP(二) 宿舍楼场景 宿舍楼房间较密集,为减少AP之间的信号干扰和提高上网速率,每个宿舍部署86盒墙面式AP,使每个宿舍独享一个无线AP。墙面式AP提供有线接入网口,实现有线无线一体化接入。此次项目教师和学生宿舍区,每间宿舍部署1个墙面式AP,提供每间宿舍无线网络。共部署83个墙面式AP。3.5.2 AP部署位置(1) 吸顶式AP部署办公室、教学楼、阅览室、会议室等场景采用吸顶式无线。办公室、教学楼、小会议室使用的AP部署在走廊,考虑3个左右的办公室和教室使用1个无线AP;阅览室、大会议室部署在室内。AP部署位置如下图所示:(2) 墙面式AP部署宿舍楼区域每个宿舍部署1个86盒
17、墙面式AP,直接部署于宿舍86盒槽内,部署简单、方便。宿舍AP部署如下图所示:3.5.3 无线AP供电方案本次规划的无线校园网的AP采用POE交换机供电,无线AP就行接入楼道POE接入交换机,最大单端口支持30W供电。3.5.4 无线覆盖信号覆盖区域信号强度不低于-65dBm,信噪比SNR20。业务使用较为集中区域的接入速率应不低于140Mbps。3.5.5 工作频段与频点规划依照WLAN的国际规范和国际无线电管理委员会的标准, MHz,划分为14个子信道,每个子频道带宽为22 MHz, 最多有13个信道可用。频道分配如下图所示:在多个频道同时工作的情况下,为保证频道之间不互相干扰,要求两个频
18、道的中心频率间隔不能低于25 MHz。考虑参照北美标准设计的许多WLAN设备和终端(比如网卡)不能使用12、13信道做为学生信道,因此建议一般选用1/6/11信道。 ISM频段,可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。,理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。部署双频点的无线接入点,; 5GHz:更多的频谱资源-数量较多的不冲突频点,更少的干扰(蓝牙、微波炉),从40MHz信道绑定获得最高的性能,; :,、b/g的客户端;,大部分客户端不支持;、b/,降低性能。3.5.6
19、基于用户、流量、频段的智能负载均衡某个共同区域内,可能发生这样的问题:大部分终端全部接入某个AP,而相邻的AP则很少用户选择,这就造成了AP之间的负载不均衡,部分AP过载,部分AP空载的情况。所以WLAN网络需要一种方法来实现在网络中(多个AP间)均衡地分担无线用户的负载,这是保证无线接入的性能和Qos的关键。这种技术一般被称为WLAN网络负载均衡技术。智能负载均衡功能首先能够区分相邻AP之间共同覆盖区域,实时准确地发现负载均衡组,其次利用准确的负载均衡的算法,最后有效的控制“过载”无线用户的离开。从而实现。AP通过如下智能负载均衡技术,可以准确有效地在WLAN网络中平衡用户的负载,充分地保证
20、每个无线用户的性能和带宽。1. 频谱导航技术(BandSelect)AP支持检测客户端是否自带双频网卡,如果是,当超过一定差异时,启动频段间负载均衡,。随着双频终端越来越多,除了传统的迅驰笔记本外,iPad 2、New iPad、iPhone 5都已经使用双频网卡,频谱导航技术能够讲负载引导到较少人使用,较少干扰的5GHz频段上,提升AP使用效率。2. 支持基于用户会话数、流量、用户数的负载均衡算法智能负载均衡技术可以让用户灵活地选择基于用户会话数、用户数或流量的负载均衡,满足用户不同的WLAN应用需求。用户还可以灵活地选择是否使能负载均衡。3. 智能地隐藏高负载AP当一些AP的负载过高时,通
21、过智能负载均衡技术可以维持已存在的无线用户会话,而把这些AP对新的接入用户进行隐藏,从而让新的接入用户只能够发现和接入到负载较小的AP上。这样可以平滑地进行负载均衡控制,而又可以保证用户快速地接入到网络中。一个有效的WLAN网络负载均衡方法必须系统化地综合了如下的关键技术: 实时准确地发现负载均衡组; 负载均衡的算法; 能够有效地控制无线用户的离开或接入到AP其过程及原理如下:1实时准确发现负载均衡组AP能够实时跟踪无线客户端位置,当一个AP听到来自某个无线用户的扫描信号,将向AC通告自己发现了某个无线用户。AC将以该无线用户的MAC地址为索引,纪录哪些AP听到了该用户的信号。为了保证这些信息
22、的实时准确,通过老化机制,系统可以将过期的纪录老化掉。有了这样的信息,根据某个无线用户的MAC地址查询到的AP列表,就对应了在特定时刻和特定位置下,能够为该用户提供WLAN接入服务的AP。由于无线客户端的扫描过程是非常频繁的,所以很自然地确保系统可以实时地跟踪无线用户的位置变化,根据特定用户MAC地址查询到的AP列表就是实时动态的负载均衡组。整个过程完全是自动的,不需要用户手工配置负载均衡组。为了保证系统的性能,减少AP和AC间的通讯负荷,AP还可以只在自己听到的无线用户信息发生变化时,才通知AC刷新信息。2负载均衡条件判断当无线用户确定了自己要关联到某个AP后,将向该AP发起关联请求,该请求
23、将被AP发送到AC上进行集中处理。运行在AC上的负载均衡算法首先要判断是否需要进行负载均衡控制。负载均衡要求:当前AP的负载超出用户预设置的阈值并且负载均衡组的负载不均衡。用户可以选择设置是按照用户流量还是用户数进行负载均衡控制,只有负载超出了一定阈值,系统才启动负载均衡控制。此外,只有负载均衡组成员的负载不均衡时,系统才进行负载均衡。这时系统会根据预先实时学习的用户信息,动态地计算出当前的负载均衡组成员,即当前哪些AP可以为该用户提供接入服务。然后比较这些AP当前的负载,如果当前AP的负载超出均衡组中负载最轻的AP,并且满足了指定值,那么就意味着当前AP的负载过高,需要设法把新的接入用户平衡
24、到其他AP中,而不是在本AP上提供接入服务。3.5.7 RIPT边缘智能感知技术保障上网不掉线当AP发现AC故障宕机后,会快速切换为智能模式继续进行数据转发,不影响用户使用体验,真正保证无线网络永不中断。 3.5.8 AP信号冗余基于无线网管系统实现AP间信号的冗余,当其中一台AP故障后,周边的其他AP自动调整发射功率,覆盖该AP的区域,确保该AP内的无线终端设备正常接入无线网络。 3.5.9 无线校园网使用控制学校无线网络需要对学校领导、老师、访客和学生不同的使用权限,对于学校无线网络的使用管理,通过象山教育局身份认证平台进行统一身份认证。3.6 网络出口设计3.6.1 安全学校网络出口部署
25、防火墙设备,保护网络学校内部网络不受外部网络的病毒攻击和入侵行为。防火墙实现基于用户、资源、应用的访问控制。可以与身份认证系统对接,实现一体化策略配置,可视化安全管理更加快捷高效。可实现防火墙、VPN、UTM多业务高性能防护。支持防病毒、IPS、流控、Web过滤的高性能处理。支持DoS/DDoS攻击防护,支持MAC和IP绑定功能,支持智能防范蠕虫病毒技术、ARP攻击防护、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范等等网络攻击防护。支持双机状态热备功能,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份,支持自动同步特征库和策略库,支持
26、双配置文件。3.6.2 出口路由与上网行为管理学校网络出口部署出口网关设备,满足学校高容量上网出口需求。出口网关设备具备路由、上网行为管理和流控功能。实现学校高速上网、上网日志管理与审计、人员及业务的流量管理。(1) 流量识别,精细管理应用控制引擎可精确识别上千种应用(例如,P2P应用、即时通讯、流媒体、网络游戏、炒股软件、办公应用等)。通过对P2P应用的压缩控制,可有效降低P2P应用对出口网络带宽的占用率,提高其余业务的带宽使用率,有效提速。(2) 关键应用,持续保障通过对关键用户/关键应用的识别,将其置于独立的VIP通道,有效保障关键用户/关键应用的带宽不受其他应用的影响。(3) 高性能、
27、高稳定网络出口首先,配备高性能的硬件。保证高稳定性。锐捷所有出口产品均支持硬件BYPASS,在掉电、重启、设备故障等突发情况下,出口始终能保持通畅。最后,高性能NAT、PBR(策略路由),彻底解决了基础转发性能问题。而且在内嵌高性能DPI引擎作用下,协议识别和策略执行将不会影响到性能。3.7 网络管理学校部署网管平台,对学校所有网络设备进行统一配置、管理、监控和告警,管理员全局掌握学校整网情况,快速发现和定位故障。1) 拓扑呈现拓扑管理展示了被管理网络的真实情况,直观的为网管人员提供了全网布局情况和设备运行情况,采用Flash技术动态的展现全网设备和连线状态,绚丽界面保证了客户的真实感体验,不
28、同设备类型之间采用不同的图标进行区分,系统还可通过自动布局功能自动调整网络拓扑图,完善展现效果,也可以由用户手动添加或布局控制,并通过拓扑图上呈现的丰富的设备、告警、流量信息,实时的检视网络运行的全貌;可以直接在拓扑图上查找用户关注的设备和链路节点,进行点击获取更加详细的信息;用户还可以将拓扑图保存或者直接导出,为管理提供依据和便利;2) 链路信息可通过链路信息查看功能实时了解网络链路双向的速率、丢包率、错包率、单播包速率、广播包速率,帮助管理员实时了解网络流量情况,分析网络问题;3) 网络应用分析可分别从设备角度和软件的角度对网内设备使用的软件及版本情况进行分析,清晰展示当前网内设备软件版本
29、、设备型号和安装数量,为用户整体的网络规划提供依据。在分批实施的网络中,管理员可以清楚的了解锐捷设备有几个软件版本在网内应用,每个版本的使用数量是多少,并可进一步查看各个版本分别对应的是哪些设备,如果有必要可以对这一批设备进行批量版本升级,保持网内版本统一性。4) TOP N的分析呈现对网络设备关键参数采用进行TOP N的方式进行呈现,提升管理员对危险设备的关注度。在此直接给出CPU利用率、内存利用率、接口带宽利用率等几个重要指标的TOP N视图,在系统的首页给用户一个直接的呈现,可以根据该排序信息确定关注设备,进而对网络故障进行定位。5) 危险设备汇总对网内存在风险设备进行集中呈现,管理员无需多个功能点间进行切换,对网内存在风险的设备一目了然的进行查看。6) 网络听诊器可定期对网内设备执行连通状态检查,直观呈现设备连通状态。设备的连通状态是设备能够提供服务的基本信息,通过定期执行设备连通状态的检查,并生成连通性检查报告,管理员可以下载查验连通状态报告,对无人值守时的网络连通状态进行分析。7) 故障告警系统可通过告警模块实时接收网络监控过程中产生的故障,并通过告警过滤将管理员关注的设备以及告警信息通过邮件、短信、声音等方式发送到管理员手中,让管理员第一时间关注到自己所关心的告警,及时进行解决;
