项目一_资源1_职业技术学院新校区网络解决方案

项目一_资源1_职业技术学院新校区网络解决方案内容摘要：

击和控制设备，增强了设备网管的安全性。 SSH（ Secure Shell）和 SNMPv3 可以通过在 Tel 和 SNMP 进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备。 控制非法用户使用网络，保证合法用户合理化使用网络，如多元素绑定、端口安全、时间 ACL、基于数据流的带宽限速等 ，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。 强大的多业务支撑能力 支持 IPv IPv6 组播功能，包含丰富的组播协议。 比如 IGMP Snooping、 IGMP、 MLD、PIM、 PIM for IPv MSDP 等协议族，为 IPv4 网络、 IPv6 网络、 IPv4 和 IPv6 共存的网络提供了组播服务支持。 支持 IGMP 源端口和源 IP 检查功能，有效地杜绝非法的组播源，提高网络的安全性。 支持等价路由（ ECMP）等丰富的三层特性和业务特性，满足不同网络链路规划下的通信需要。 支持丰富的 MPLS VPN 功能。 智能侦测 MPLS 断网，智能选择冗余线路保持 MPLS VPN的连通性。 支持在三层 MPLS VPN 中作为 PE， MVRF 使用。 支持国际流量监控标准 IPFIX（ IP Flow Information Export），结合锐捷流量分析系统，IPFIX 技术可以对网络中的所有流量进行统计分析和异常检测，输出各种丰富的网络流量分析报表，包括：流量使用报表、历史报表、接口报表、可解析的主机地址、流量分析、变量显示等信息，能够帮助管理员在网络异常行为发生时快速分析出网络中存在的问题，为网络容量规划、网络应用监控 以及故障诊断等提供客观准确的决策依据。 完善的 QoS 策略 具备 MAC 流、 IP 流、应用流等多层流分类和流控制能力，实现精细的流带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。 以 DiffServ 标准为核心的 QoS 保障系统，支持 、 IP TOS、二到七层流过滤、 SP、WRR 等完整的 QoS 策略，实现基于全网系统多业务的 QoS 逻辑。 高可靠性 支持生成树协议 、 、 ，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链 路的负载均衡，合理使用网络通道，提供冗余链路利用率。 支持 VRRP 虚拟路由器冗余协议，有效保障网络稳定。 支持 RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功湖南工业职业技术学院 网络技术专业教学资源库 10 能，防止端口下因私接 Hub 等设备形成的环路而导致网络故障的现象。 支持 ERPS （ ），国际标准为核心以太网设计的二层链路冗余备份协议，其环路阻断以及链路恢复都集中在主控设备上进行 ,非主控设备直接向主控设备汇报自己的链路情况 ,无需经过其他非主控设备的处理 ,因此环路中断以及恢复时间比 STP 快。 基于以上区别 , ERPS 在 理想环境下的链路恢复能力能够达到百毫秒级。 在不启用 STP 的情况下，可以通过 REUP(Rapid Ether Uplink Protection Protocol)提供一个快速上链保护功能， REUP 使得用户在关闭 STP 的情况下，仍提供基本的链路冗余，同时提供比 STP 更快的毫秒级故障恢复。 支持 BFD，为各上层协议如路由协议， MPLS 等提供一种快速检测两台路由设备之间转发路径连通状态的方法，大大减少了上层协议在链路状态变化时的收敛时间。 接入层设计 接入区主要是负责本校区内的信息点互联起来，为各个信息点 提供 layer2 层接入功能。 使用百兆接入的全网管交换机，实现百兆用户到桌面。 接入层主要完成以下功能： 结合 web portal 认证系统，部署 协议，实现“入网身份认证，也可升级实现主机健康检查、网络安全事件监控与主动防御”。 通过 VLAN 定义实现业务划分。 实现 QoS，对数据包进行分类和标记。 接入网设备全部采用百兆链路上连汇聚设备，以保证接入网连接汇聚网的带宽要求。 接入网作为用户终端接入校园网的接口，在为用户终端提供高速、方便的网络接入服务的同时，需要对用户终端进行入网认证、访问行为规范 控制，从而拒绝非法用户使用网络，保证合法用户合理使用网络资源，并有效防止和控制病毒传播和网络攻击。 当前的数据网安全正遭受严峻挑战，病毒、外部入侵（黑客）、拒绝服务攻击、内部的误用和滥用，以及各种灾难事故的发生，时刻威胁着网络的业务运转和信息安全。 但与此同时，大多数正在使用的网络安全系统都缺乏真正的全局防护能力。 当网络受到来自各方面的攻击时，整个网络系统的稳定性将无从谈起，可以看出，计算机网络的安全防护能力是影响网络系统稳定可靠性的重要因素之一，网络设备作为网络系统的基础平台，其安全防护能力显得尤为重要，尤 其是接入层交换机。 所以本次设计交换机具备安全功能如 图 5 所示。 湖南工业职业技术学院 网络技术专业教学资源库 11 图 5 RGS2600GI 系列 交换机 特性 接入交换机设计为锐捷百兆 RGS2600GI系列 交换机。 锐捷接入交换和认证计费系统在湖南本地高校具备众多案例。 已经得到客户广泛认可。 本次配置交换机如下： 24 口百兆接入交换机： RGS2628GI 48 口百兆接入交换机： RGS2652GI 这几款产品功能完全满足学校需求，性能和质量都通过国家权威测试机构（工业和信息化部电信传输研究所）的测试，并且还具备低功耗功能。 综合考虑选用锐捷产品。 本次 配置接入交换机除了上述安全功能外，还可与认证计费系统联动，体现特点如下： 接入交换机与计费认证系统联动，对接入用户的信息（用户名、 IP、 MAC、交换机端口等）自动进行绑定，保证用户身份的唯一性。 校园网中经常存在校园网帐号共享上网、代理、帐号盗用等情况，计费系统需要能够与接入交换机联动，在用户接入到校园网时，将校园网的帐号信息与交换机、 PC 的硬件信息进行绑定，最大程度保证用户入网身份唯一，保护账户安全，且审计可定位到人。 交换机与计费认证系统联动，实现用户对接入带宽的控制 需要跟接入交换机联动，根据用户相应 的计费策略，在接入网络时就实现带宽的分配控制。 在接入层实现带宽的控制，可以避免用户主动或者被动向校园网内发送大量数据包，造成内网资源的过度占用。 实现基于用户的策略下发，实在不同场景下的策略控制。 校园网用户使用网络的场景较多，学生需要在宿舍、图书馆等地访问，老师需要在教室、实验楼等使用，需要认证计费系统在认证时将针对该用户的策略下发到接入交换机上，实现不同场景下的策略控制，如学生只可以在宿舍、图书馆访问校园网，在教室内则拒绝登陆等。 无线交换网络设计 建设原则： 系统的先进性 － 采用国际最新的无线网络 科技，使其在无线领域具有较高的水平。 结合学院的实际业务，建立高可用性的无线系统。 功能的丰富性 – 系统应该具有丰富的无线应用功能，满足不同人员及访客的个性化应用需求。 湖南工业职业技术学院 网络技术专业教学资源库 12 系统的可扩展性 － 扩充方便，设置修改灵活，操作维护简单，系统构筑时间短，能够适应业务的快速变化。 实用性－系统将充分考虑实用性，以学院的实际需求为出发点，充分满足学院使用方便、系统管理方便的原则。 系统的可靠性 － 可靠性、稳定性是本系统一个非常重要的设计原则，必须采取有效的手段，保证整个系统的可靠稳定运行，并充分做到 7X24 的全天候服务 ，关键的设备和功能模块要做到双备份，实现多级的冗余设计，保证系统无单一故障点，达到电信运营要求水准，以最大限度的保护学院投资。 系统的共享性 – 充分利用现有各种系统的资源，充分利用有线传输以及数据 IP 网络，考虑节省长期运行成本。 规范性与开放性 － 能够与 TCP/IP、 Inter 系统、业务系统等直接或间接互联并集成合作。 系统的可维护性 – 在日常运行过程中，系统需提供对运行情况的监测和控制功能，从而保证系统的正常运行，强大的功能、友好的界面对系统进行维护是今后系统充分发挥效力的关键。 维护系统是为了 让系统更好的发挥功效。 系统的可管理性 － 提供统一的图形化管理工具，方便进行全面的管理。 用户认证采用多种接入方式为主，同时支持用户名 /密码认证方式，且要求能够与第三方IP 计费厂商的计费解决方案充分融合。 为用户提供安全的 WLAN 接入方式，保护合法用户的认证和数据信息，防止非法用户的入侵。 新校区 WLAN 系统业务类型： 通过 WLAN 接入方式，无线网络设备能够支持为 WLAN 用户提供丰富的数据业务类型，主要包括： (1) 支持互联网无线宽带接入 WLAN 为用户访问 Inter 提供了一种宽带接入方式。 通过 WLAN 接入设备，用户能够高速使用 WWW， FTP， Email 等各种 Inter 业务。 (2) 支持虚拟专用网业务 (VPN) 移动办公者可以通过 WLAN 接入方式，高速访问校园内部网络资源，如校园内部网页，内部邮件系统，内部文件系统等。 (3) 支持多媒体数据业务 WLAN 接入方式为用户使用多媒体应用（如视频点播、数字视频广播、视频会议、远程医疗、远程购物、远程监控、远程教学等）提供支持。 (4) 支持基于 WLAN 的增值业务 基于 WLAN 接入方式的的数据业务可以和现有的数据业务结合，如 VOIP 语音应用，短消 息服务，移动电子邮件，移动个人理财，娱乐天地，位置服务，游戏等。 无线网络设计是本次新校区建设的亮度，设计思路：全校设计，重点覆盖。 湖南工业职业技术学院 网络技术专业教学资源库 13 如图 6 所示。 长 沙 职 业 技 术 学 院 无 线 网 络 拓 扑 图图 例 ：万 兆 单 模 光 纤千 兆 光 纤千 兆 六 类 网 线P O E 千 兆 接 入 交 换 机核 心 交 换 机（ 虚 拟 化 交 换 系 统 ）公 共 教 学 楼宿 舍 ， 实 训 楼无 线 室 内 A P无 线 室 内 A P宿 舍 楼 专 用无 线 控 制 器其 他 楼 宇 专 用无 线 控 制 器图 书 馆 及 办 公 ， 等特 殊 教 育 大 楼楼 栋 汇 聚 交 换 机无 线 室 外 A P无 线 室 内 A P无 线 室 外 A P无 线 室 内 A P无 线 室 外 A P无 线 室 外 A PP O E 千 兆 接 入 交 换 机P O E 千 兆 接 入 交 换 机P O E 千 兆 接 入 交 换 机楼 栋 汇 聚 交 换 机楼 栋 汇 聚 交 换 机 楼 栋 汇 聚 交 换 机 图 6 星湘职院校园网无线拓扑结构 新校区无线由无线 AP，无线 POE 交换机，无线控制器组成。 无线 AP 由于教育应用现代化，无线终端设备种类多种多样包括：无线手机、平板和无线笔记本。 这些接入设备对信号覆盖强度和无线信道都有要求。 本次使用锐捷 RGAP320I无线 AP，如图 7 所示。 图 7 RGAP320I 无线 AP RGAP320I是锐捷网络推出的 搭载 “ Xsense” 灵动天线的 无线接入点（ AP）产品。 业界领先的 “ Xsense” 灵动天线，跨越式的提升了 AP 的覆盖性能，保障了移动智能终端最优的接入效果。 不仅如此，高达 600Mbps 的最大传输速率也使得 RGAP320I能够轻松满足各种无线业务的承载使用。 而且该产品还充分考虑了无线网络安全、射频控制、移动访问、服务质量保证、无缝漫游等重要因素，配合锐捷网络 WS 系列无线控制器产品，完成无线用户数据转发、安全和访问控制。 RGAP320I采用双路双频设计，可支持同时工作在。 湖南工业职业技术学院 网络技术专业教学资源库 14 该产品呈壁挂式，可安全方便地安装于墙壁、天花板等各种位置。 RGAP320I产品可支持本地供电与远程以太网供电模式，可根据客户现场供电环境进行灵活选择，特别适合部署在大型校园、企业办公、医院、运营热点等环境。 无线 AP 特性： Xsense：会思考的灵动天线 65536 种天线路径选择，覆盖无死角 锐捷网络创新研发的 Xsense 灵动天线矩阵架构， RGAP320I内置高达 16根阵列天线，并能够动态选择不同的天线组合，支持最高 65536 种组合方案，彻底解决传统天线 存在覆盖盲区的弱点。 无论在任何角落， Xsense 都能定制出一条最适合移动智能终端当前位置的天线路径，真正实现全面覆盖，绝无死角。 全自动调节，让信号随你而 “ 动 ”。 无论终端如何移动，都有最佳的信号路径跟随，这是 Xsense 灵动天线技术带来的革命性改变。 无需人工干预， Xsense 凭借其强大的运算性能，可以在 1 毫秒内完成 300 次指向终端的信号路径切换，即便在快速奔跑状态下也能保证。