宿州學院網(wǎng)絡系統(tǒng)建設方案

1

目錄

第一章宿州學院項目總體概況5

1.1項目背景5

L2項目建設指導思想6

1.3項目概況8

1.4項目建設原則9

1.5項目建設目標10

第二章網(wǎng)絡系統(tǒng)建設方案總體設計11

2.1網(wǎng)絡系統(tǒng)設計原則11

2.2網(wǎng)絡系統(tǒng)需求分析12

2.3網(wǎng)絡系統(tǒng)設計標準及規(guī)范13

第三章網(wǎng)絡系統(tǒng)建設整體部署方案16

3.1網(wǎng)絡系統(tǒng)整體設計16

3.2網(wǎng)絡邏輯架構設計17

3.3網(wǎng)絡實體架構設計19

3.4VLAN規(guī)劃22

3.5IP地址規(guī)劃24

3.6DHCP規(guī)劃25

3.7網(wǎng)絡QoS設計26

3.8網(wǎng)絡安全26

3.8.1網(wǎng)絡出口安全設計26

3.8.2遠程訪問互聯(lián)安全28

3.8.3上網(wǎng)行為安全審計28

3.8.4應用入侵防御29

3.9網(wǎng)絡建設目標29

3.9.1極致高速的網(wǎng)絡體驗29

3.9.2無線全覆蓋，校區(qū)無線漫游30

3.9.3業(yè)務隨行的高體驗網(wǎng)絡30

3.9.4穩(wěn)定安全的網(wǎng)絡30

第四章HPE系統(tǒng)集群部署介紹30

4.1IIPE8400系列實現(xiàn)的技術特色30

4.1.1總述30

4.1.2數(shù)字工作場所的功能和創(chuàng)新31

4.1.3先進的恢復能力和高可用性31

4.1.4強大的安全性和動態(tài)服務質量（QoS）32

4.1.5利用集成的有線/無線管理進行簡化32

4.2典型組網(wǎng)應用32

4.2.11:N冗余32

4.2.2協(xié)議熱備份33

4.2.3上/下行鏈路的冗余備份34

4.2.4通用虛擬化軟件架構34

4.2.5應用成熟的系統(tǒng)結構35

2

4.2.6簡化的多框分布式35

4.2.7豐富而穩(wěn)定的功能支持36

4.2.7框式設備成員內的冗余保護36

4.2.8靈活的設備間連接36

第五章Fortinet下一代安全防御設計37

5.1安全態(tài)勢37

5.2邊界安全規(guī)劃38

5.2.1邊界防護概述38

5.2.2邊界防護安全設計38

5.3FortiGate-NGFW防火墻威脅防護方案39

5.4狀態(tài)流量檢測與數(shù)據(jù)包過濾41

5.5DMZ設計41

5.6日志報表42

5.7內網(wǎng)安全防護43

5.7.1DHCPSnooping44

5.7.2DAI-AR欺騙44

5.7.3A即限速45

5.7.4MAC泛洪45

5.7.5IPSourceGuard46

第六章網(wǎng)康上網(wǎng)行為管理部署介紹47

6.1系統(tǒng)描述47

6.2系統(tǒng)工作環(huán)境48

6.3系統(tǒng)監(jiān)控49

6.3.1系統(tǒng)狀態(tài)50

6.3.2報警平臺50

6.3.3網(wǎng)絡活動52

6.3.4實時監(jiān)控53

第七章ARUBA無線網(wǎng)絡技術部署設計54

7.1宿州學院總體設計54

7.1.1方案設計思路54

7.1.2總體網(wǎng)絡拓撲架構55

7.1.3WLAN與各子系統(tǒng)的詳細設計58

7.1.4網(wǎng)絡擴展與冗余設計59

7.1.5無線系統(tǒng)的IPv4和IPv6雙棧66

7.1.6無線射頻設計68

7.1.7SSID的設計83

7.1.8無線接入設計84

7.1.9無線安全控制設計86

7.1.10無線網(wǎng)絡安全設計93

7.1.11認證方案98

7.1.12無線網(wǎng)絡管理設計105

7.1.13智慧學院網(wǎng)無線擴展應用120

7.1.14無線智慧型校園網(wǎng)絡應用的場景設計126

7.2ARUBA典型成功案例介紹128

3

7.2.1ARUBA主要校園案例清單128

7.2.2Aruba助力廈門大學建立超大型無線學院129

7.2.3Aruba為大連理工大學打造亞洲最快的無線校園網(wǎng)130

7.2.4Aruba建設安全可靠的上海外國語大學無線網(wǎng)絡132

7.2.5上海理工大學采用Aruba無線校園網(wǎng)解決方案133

7.2.6Aruba助力上海大學打造大規(guī)模無線校園網(wǎng)136

7.2.7ARUBA助力賽爾建設IPV6無線校園138

第八章城市熱點寬帶認記計費方案139

8.1認證計費系統(tǒng)部署方式139

8.2認證網(wǎng)關功能介紹140

8.3針對校園設計的計費策略功能142

8.4控制策略143

8.5IPv6/v4雙棧146

8.6全業(yè)務接口147

8.7采集用戶訪問日志152

第九章網(wǎng)絡系統(tǒng)建設部署產(chǎn)品介紹152

9.1Dr.COM2166152

9.2網(wǎng)康NI720070155

9.3FortiGate-1500D158

9.4HPE8400核心交換機163

9.5HPE5400R匯聚交換機170

9.6HPE2530-48G接入交換機174

9.7AirWave180

9.8AP-205184

9.9AP-275190

9.10Aruba7200移動控制器系列194

9.11ArubaS1500移動接入交換機195

4

第一章宿州學院項目總體概況

1.1項目背景

智慧校園是高校信息化的高級形態(tài)，是對數(shù)字校園的進一步擴展與提升，它綜合運用云

計算、物聯(lián)網(wǎng)、移動互聯(lián)、大數(shù)據(jù)、智能感知、商業(yè)智能、知識管理、社交網(wǎng)絡等新興信息

技術，全面感知校園物理環(huán)境，智能識別師生群體的學習、工作情景和個體的特征，招學校

物理空間和數(shù)字空間有機銜接起來，為師生建立智能開放的教育教學環(huán)境和便利舒適的生活

環(huán)境，改變師生與學校資源、環(huán)境的交互方式，實現(xiàn)以人為本的個性化創(chuàng)新服務。相對于數(shù)

字校園，高校智慧校園有如下特征：

(1)互聯(lián)網(wǎng)絡高速泛在

網(wǎng)絡是信息時代的基礎，沒有網(wǎng)絡就無法實現(xiàn)教育信息化的絕大部分工作。智慧校園的

網(wǎng)絡基礎更強調移動互聯(lián)和物聯(lián)網(wǎng)，要為校園中人與人、人與物、物與物之間的全面互聯(lián)、

互通、互動，為各類隨時、隨地、隨需、隨意的應用提供寬帶、泛在的基礎網(wǎng)絡條件。

(2)智能終端廣泛應用

智能終端可以實現(xiàn)隨時隨地的普適計算、信息獲取與感知，己經(jīng)成為高校師生日益普及

的隨身裝備。各種智能感應技術的廣泛應用，可以遠程使用、管理與控制的數(shù)字裝備已然普

遍，使得各種監(jiān)測信息可以隨時獲得，人與物的互動成為現(xiàn)實，全面感知校園環(huán)境和師生活

動狀態(tài)成為智慧校園的物質基礎。

(3)團隊協(xié)作便利充分

有意識的大規(guī)模協(xié)作是展現(xiàn)人類智慈的重要基礎。通過統(tǒng)一通訊、日程共享和協(xié)同工作

等工具的支撐，為師生提供隨時隨地、統(tǒng)一集成、模式多樣的通訊與協(xié)作服務，支持個體與

群組的交流協(xié)作，支持線上線下的有機互動，讓學習討論從課上拓展到課下，讓協(xié)同研究從

實驗室拓展到網(wǎng)絡虛擬空間。

(4)集體知識共生共榮

對于以產(chǎn)生知識、傳播知識為己任的高校來說，支持知識的創(chuàng)造、傳播、管理和使用是

智慧校園的重要任務，也是其核心特征。通過為個人提供完善的知識存儲、分類與分享工具,

幫助個人將擁有的各種資料和信息變成更具價值的知識，實現(xiàn)知識的收集、消化吸收、分享

和創(chuàng)新；通過在學校建構支持團隊知識管理的知識系統(tǒng)，讓學校中的信息與知識透過獲得、

5

創(chuàng)造、分享、整合、記錄、存取、更新、創(chuàng)新等過程，不斷地回饋到知識系統(tǒng)內，形成不間

斷的學校智慧循環(huán)，提高學校整體智商，推動學校知識創(chuàng)新。

(5)業(yè)務應用智能融合

智慧校園的作用與功能最終要體現(xiàn)在學校的各項業(yè)務之中。必須揚棄數(shù)字校園業(yè)務分

割、相對封閉的信息化架溝，采用開放、整合、協(xié)同的信息化架構，基于云計算和大數(shù)據(jù)技

術實現(xiàn)對海量數(shù)據(jù)的存儲、計算與分析，通過“云”與“端”的結合廣泛吸納用戶的“智慧”

參與，在各項業(yè)務應用中實現(xiàn)個性定制、主動推送和智能推薦，推動實現(xiàn)智能融合、隨時隨

地、隨需隨意的個性化應用，推動從個人通訊、個人計算到個人創(chuàng)造的發(fā)展，從而充分發(fā)揮

智慧校園整體效能，大大提升基于IT的學習研究與管理決策能力。

(6)外部智慧融會貫通

高校已不是傳統(tǒng)意義上的象牙塔，現(xiàn)代大學必須與社會接軌。因此，智慧校園也不是孤

立的，需要和外部世界息息相通，通過與外部智糕的融會貫通，來推動學校的口I■持續(xù)創(chuàng)新發(fā)

展。比如，教師的學術活動必須和國內外同行進行廣泛交流，教學和科研只有融入到世界范

圍的學科發(fā)展環(huán)境中，才能創(chuàng)新和出一流的成果。乂如，學校通過兄弟院校間的互相學習、

交流、對比和借鑒，來把握高校改革和發(fā)展潮流與規(guī)律，發(fā)展本校的傳統(tǒng)與特色；通過了解

社會發(fā)展對于學校的需求，如就業(yè)需求、人才素質需求等，來調整學校專業(yè)設置、改進人才

培養(yǎng)模式；通過把握經(jīng)濟社會發(fā)展趨勢、技術進步發(fā)展趨勢和教育變革發(fā)展趨勢，不斷優(yōu)化

學校的發(fā)展規(guī)劃，促進學校持續(xù)快速發(fā)展.

1.2項目建設指導思想

信息化是將信息作為構成某一系統(tǒng)、某一領域的基本要素、并對該系統(tǒng)、該領域中信息

的生成、分析、處理、傳遞和利用所進行的有意義活動的總稱。信息社會的高度發(fā)展要求教

育必須改革以滿足培養(yǎng)面向信息化社會創(chuàng)新人才的需求，教育信息化是將信息作為教育系統(tǒng)

的一種基本構成要素，并在教育的各個領域廣泛地利用信息技術，促進教育現(xiàn)代化的過程。

《國家信息化發(fā)展戰(zhàn)略綱要》

《綱要》指出，當今世界，信息技術創(chuàng)新口新月異，以數(shù)字化、網(wǎng)絡化、智能化為特征

的信息化浪潮蓬勃興起。全球信息化進入全面滲透、跨界融合、加速創(chuàng)新、引領發(fā)展的新階

段。網(wǎng)絡化協(xié)同創(chuàng)新體系全面形成，電子政務支撐國家治理體系和治理能力現(xiàn)代化堅實有力，

信息化成為驅動現(xiàn)代化建設的先導力量。

6

《國家中長期教育改革和發(fā)展規(guī)劃綱要(2010-2020年)》

提高高等教育質量、遑升科學研究水平，深入開展平安校園、文明校園、綠色校園、和

諧校園創(chuàng)建活動，為師生創(chuàng)造安定有序、和諧融洽、充滿活力的工作、學習、生活環(huán)境。

《教育信息化十年發(fā)展規(guī)劃(2011-2020年)》

提出教育信息化工作方針：面向未來，育人為本、應用驅動，共建共享、統(tǒng)籌規(guī)劃，分

類推進、深度融合，引領創(chuàng)新。

教育信息化“十三五”規(guī)劃

以“構建網(wǎng)絡化、數(shù)字化、個性化、終身化的教育體系，建設'人人皆學、處處能學、

時時可學'的學習型社會，按照''服務全局、融合創(chuàng)新、深化應用、完善機制”原則。

節(jié)約型校園建設管理

2007年10月，中華人民共和國第十屆全國人民代表大會常務委員會第三十次會議正式

修訂通過《中華人民共和國節(jié)約能源法》，2008年國家又相繼頒布《民用建筑節(jié)能條例》

和《公共機構節(jié)能條例》，為建筑節(jié)能監(jiān)管體系的建設提供有力的法律法規(guī)和政策支持。2008

年4月，建設部出臺《國家機關辦公建筑及大型公共建筑分項能耗數(shù)據(jù)采集技術導則》等五

項導則，用以指導大型公共建筑分項能耗數(shù)據(jù)采集系統(tǒng)的建設。國家建設部與國家教育部也

于2008年5月共同制定了《高等學校節(jié)約型校園建設管理與技術導則》，為節(jié)約型校園建

設的規(guī)劃、設計、建設、管理、教育普及等各階段環(huán)節(jié)提供管理與技術指導。

設計和建設要具有一定的超前性，要高于現(xiàn)在發(fā)達地區(qū)一流學校的設施標準，并結合教

育部數(shù)字校園信息化標準的設計架進行設計與建設，如下圖所示。設計和建設要充分體現(xiàn)以

人為本的教育理念。智慧化系統(tǒng)是校園基礎設施的一個重要組成部分，是一個現(xiàn)代化學校的

主要標志之一，因而新校將按照設計完善、功能實用、技術先進和運行穩(wěn)定的原則，整體設

計、整體施工，整體實施宿州學院智慧化校園。

建成的智慧校園是以校園局域網(wǎng)絡為基礎平臺，構建成的一套科學、便捷、穩(wěn)定、有效

的，能滿足學校智慧化管理、智慧化教學和智慧化學習的綜合系統(tǒng)。

7

教育部數(shù)字校園信息化標準頂層設計架構

加斷多哪悻室隗/、一ff機、電子白板、智能手H1、一卡通、快拍儀、栽夠備、高速閱卷機監(jiān)控、學生診斷器

羯骸(Andrcid)|

PC版保轆血PAD版（windows環(huán)弱

教育H一閭網(wǎng)版）教育公桌面僖戶懶

敦醞g網(wǎng)時運營真面系第威系一運營

91^轆決策支持系觀

教學公共眼堯平臺學生學習公共躺平臺教好專業(yè)成長系發(fā)平臺教育公共削喻平臺

解部轆自主學習即娜容習轆■合即

就Jffl曬海堂教以印轆

全自動智舞錄播磁精品翩分享初躁奴考吹圖蹄聯(lián)嘲

網(wǎng)絡幽會小造作岐1ft嬲HJg轆富含甘酮

旨翩譽裁成長誨袋融成長記錄裝錠自眠堤

網(wǎng)蜩卷系燒家?；ネㄆ鞣徫锸召M系楨

生一認證管理系觀（4A管理平臺）|

昭宜琪四

屣醴口

硬件接口肥1、中間件接口、第三

智能展中心

期R門戶份類檢判知識弓津，教據(jù)分析、挖亮）

儺玲

OracleSqlServer

，填旃平,般管酮

校園信息化標準頂層設計架構圖

1.3項目概況

學校名稱：宿州學院，約1.8萬人，創(chuàng)辦時間1949年，公立高校

學校地址：安徽省宿州市汴河中路49號（西區(qū)）創(chuàng)辦時間1949年

主管部門：安徽省人民政府

宿州學院是安徽省省屬全日制普通本科院校，坐落在歷史文化古城宿州市，是該市唯一

一所本科高校，前身是創(chuàng)辦于1949年的皖北宿縣區(qū)師范學校，1983年升格更名為宿州師范

?？茖W校，2004年升格更名為宿州學院，2008年獲得學士學位授予權，2014年順利通過了

教育部本科教學工作合格評估，2015年成功獲批為安徽省地方應用型高水平大學立項建設

單位。

校園占地1146畝，預留用地1160畝，建筑面積44.47萬平方米，教學科研儀器設備總

值17185萬元。圖書館面積3.46萬平方米，館藏圖書279.7萬冊，其中紙質圖書106.7萬

冊，期刊993種。設有15個二級學院，59個普通本科專業(yè)，涵蓋工、管、理、文、經(jīng)、藝、

教七大學科門類，全日制止校生17360人，成人教育生3692人。有專任教師720余人，其

8

中正高58人、副高218人。

14項目建設原則

根據(jù)學校建設的全局和全面工作需要出發(fā)，考慮部門的地理分布和通信條件。整體規(guī)劃

智慧化校園建設方案，對系統(tǒng)的目標、總體結構、服務功能、經(jīng)費預算、建設步驟等重大問

題做出規(guī)劃。本次建設遵循以下原則：

1.以需求定應用，以應用選平臺，整體設計，整體施工，整體實施

建設應該經(jīng)過詳細地需求調研和分析，定出相應的應用，然后做出初步總體方案設計,

修改完善后做出詳細總體方案設計和總體實施方案。在此基礎上完成系統(tǒng)集成、系統(tǒng)驗收

和系統(tǒng)運行等階段。

2.先進性、開放性和標準化相結合

由于智慧化校園中的應用系統(tǒng)較多，各應用系統(tǒng)間的集成、運行應協(xié)調、統(tǒng)一和規(guī)范，

效果上是一個完整的運行系統(tǒng)，而不是各應用子系統(tǒng)的簡單堆砌。

采用符合國際標準的、成熟的技術，兼顧網(wǎng)絡技術的發(fā)展方向，選擇模塊化、可擴充的

網(wǎng)絡產(chǎn)品，所選網(wǎng)絡產(chǎn)品應盡可能在較長時間內保持應月的高性能和高效率，延長系統(tǒng)的技

術壽命周期，以使投資發(fā)揮最大的效益。

3.結構合埋，局效實用，針對性強

在通信網(wǎng)絡、資源配置、系統(tǒng)服務和網(wǎng)絡管理上有良好的分層設計，使網(wǎng)絡結構清晰，

便于使用、管理和維護。系統(tǒng)應具有實用性和高效率，要支持寬帶多媒體業(yè)務，例如網(wǎng)絡教

學、多媒體網(wǎng)絡教室、多功能教室、視頻廣播、視頻直播、會議電視、IP電話、遠程教學、

實時錄播等應川。

4.穩(wěn)定、可靠和安全

該系統(tǒng)是貴陽一中金塔學校進行教學、生活、科研、口常行政管理和對外交流的基礎設

施，并且還來自各地的學生，影響范圍較大，因此要求整個系統(tǒng)有很高的可靠性，以此建

起穩(wěn)定、實用的應用環(huán)境。還應充分重視網(wǎng)絡設備和系統(tǒng)平臺數(shù)據(jù)的安全性；網(wǎng)絡設備、布

線系統(tǒng)應安全可靠地安裝布設，注意防止自然和人為的破壞，對網(wǎng)絡系統(tǒng)應嚴格地管理，并

通過防火墻和有效設置權限等方法加強系統(tǒng)平臺和數(shù)據(jù)的安全。

5.可擴展性

9

網(wǎng)絡建設要考慮到用全光網(wǎng)絡結構適應將來的發(fā)展，具有可擴展性，便于以后平滑升級

到萬兆網(wǎng)。方便無縫升級，

1.5項目建設目標

此次網(wǎng)絡建設是新建有線及無線網(wǎng)絡。要求完成全方位立體式無線覆蓋，讓學生僅可以

在尢線覆蓋區(qū)域隨時隨地、尢拘束的連接到網(wǎng)絡，外來來賓可以順暢的訪問宿州學院網(wǎng)絡資

源。

建成的系統(tǒng)應突出：

無線網(wǎng)絡一體化全覆蓋

?側重實際應用，覆蓋全校區(qū)域，為學習、生活、交流提供切實可用的、穩(wěn)定的有

線無線網(wǎng)絡環(huán)境。

?采取先進通行的協(xié)議標準：目前無線局域網(wǎng)普遍采用802.11系列標準，無線局域

網(wǎng)提供802.Un,802.Uac標準的聯(lián)網(wǎng)支持,可以匹配802.Ua、802.11b、

802.11g、802.1In,802.1lac無線設備，提供可供實際應用的穩(wěn)定網(wǎng)絡通訊服

務。

?實現(xiàn)室內無線網(wǎng)絡的合理布建：考慮室內實現(xiàn)無線網(wǎng)絡的不同情況和特點以及目

前學生筆記本用戶數(shù)量日益增多的情況，應采取合理的布網(wǎng)方式滿足現(xiàn)在以及未

來發(fā)展的需要。

?由于本次項目是要對校區(qū)內建筑進行無線覆蓋，所需AP的數(shù)量較多，因此，要使

用瘦AP體系架構的無線網(wǎng)絡解決方案，通過控制器對所有AP進行集中式管理。

?AP具有自動調整射頻參數(shù)的能力。

?部署的無線網(wǎng)絡能夠支持頻譜分析的功能.

?無線網(wǎng)絡具有而可靠性

?AP需采用IEEE802.3af遠程供電：綜合布線工程需要實施所有無線信息點到本地有

線網(wǎng)設備間，綜合布線不應毀損目前樓內裝修，要求美觀得體，符合布線相關標

準，合理安排施工時間，做到不影響學校的正常辦公、教學和科研。

高性能數(shù)據(jù)處理能力

以需求定應用，以應用選平臺，整體設計，整體施工，整體實施，由于參與網(wǎng)絡應用的

師牛數(shù)量多,而口信息中包含大量多媒體信息,因此大容量、高速率的數(shù)據(jù)處理能力是網(wǎng)絡

10

的一項重要要求，并保證實現(xiàn)多媒體應用和網(wǎng)絡教學等功能。

協(xié)調、統(tǒng)一和規(guī)范

建設應該經(jīng)過詳細地需求調研和分析，定出相應的應用，然后做出初步總體方案設計，

修改完善后做出詳細總體方案設計和總體實施方案。在此基礎上完成系統(tǒng)集成、系統(tǒng)驗收和

系統(tǒng)運行等階段。

穩(wěn)定、可靠和安全

智慧化校園中不論是網(wǎng)絡還是應用系統(tǒng)都應該運行穩(wěn)定、可靠。網(wǎng)絡中存有大量教學和

管理的重要數(shù)據(jù)，它們是管理和教學的重要基礎支撐數(shù)據(jù)，不論是被損壞、丟失還是被竊取,

都將帶來極大的損失，因此要保證整個系統(tǒng)的安全性。

操作方便，易于管理

校園網(wǎng)面向不同知識層次的教師、學生和辦公人員，應用和管理應簡便易行，界面友好，

不宜太過專業(yè)化。

第二章網(wǎng)絡系統(tǒng)建設方案總體設計

2.1網(wǎng)絡系統(tǒng)設計原則

采用成熟、先進的技術和設計思想，運用現(xiàn)有的系統(tǒng)集成的技術路線，強調系統(tǒng)先進、

實用、開放、安全、使用方便和易于擴充等特點，突出系統(tǒng)功能的完善，實現(xiàn)辦公現(xiàn)代化、

信息資源化、傳輸網(wǎng)絡化和決策科學化。

1.實用性：系統(tǒng)建設符合業(yè)務規(guī)范總體要求，滿足管理職能的需求，為提高管理

決策的及時性和準確性提供高質量的信息服務，增強對運行的協(xié)調和監(jiān)控能力。

2.操作性；人性化的設計，保證網(wǎng)絡管理人員和使用人員能快速的使用網(wǎng)絡。

3.可靠性：將要建設的網(wǎng)絡將是高可靠性，達到24小時不間斷，無故障，穩(wěn)定運

行，網(wǎng)絡的局部問題不會影響大網(wǎng)絡的運行。

4.可擴充性：方便系統(tǒng)和支撐平臺的升級，滿足用戶對信息需求不斷變化的需要，

以及系統(tǒng)投資建設的長期性效益。

5.可管理性：整個網(wǎng)絡將采用集中式管理，能夠監(jiān)控網(wǎng)絡的運行，并具有防范非法

DHCP服務器和ARP攻擊的功能。所有交換機需要支持網(wǎng)絡管理，并可以通過網(wǎng)絡

11

管理軟件監(jiān)測網(wǎng)絡設備的運行狀態(tài)，利用有限的人力物力對宿舍樓網(wǎng)絡進行高效

管理。

6.安全性：宿舍樓內有眾多的網(wǎng)絡用戶，安全問題影響廣泛，如何能夠建成?個安

全可靠的宿舍網(wǎng)絡也是本次需要重點考慮的，網(wǎng)絡內劃分眾多的VLAN,接入交換

機支持端口安全和防ARP攻擊等功能，保證網(wǎng)絡用戶的安全。

7.先進性：符合計算機技術發(fā)展趨勢，采用先進成熟的技術，堅持技術的開放性，

易于技術更新。

8.靈活性：通過采用結構化、模塊化的設計形式，滿足系統(tǒng)及用戶各種不同的需求,

適應不斷變革口的要求。

9.規(guī)范性：采用的技術標準要遵循國際標準和國家標準與規(guī)范，保證系統(tǒng)發(fā)展的延

續(xù)和可靠性。

10.系統(tǒng)性：項目的開發(fā)必須按系統(tǒng)工程的管理方法，分階段、有計劃的統(tǒng)一組織實

施。

11.綜合性：以滿足系統(tǒng)目標與功能為目標，保證總體方案的設計合理，滿足用戶的

需求，同時便于系統(tǒng)使用過程中的維護，以及今后系統(tǒng)的二次開發(fā)與移植。

2.2網(wǎng)絡系統(tǒng)需求分析

具體功能需求：

（1）綜合的統(tǒng)一管理平臺

根據(jù)目前校園信息化建設的發(fā)展趨勢，建設的智慧校園要求建成一個集信息匯

集、資源共享、應用整合和綜合運營為一體的統(tǒng)一管理平臺，能提供數(shù)據(jù)集成、

流程集成、用尸界面集成等服務，改變各應用系統(tǒng)資源的孤立和封閉的局面，實

現(xiàn)區(qū)域或校園數(shù)據(jù)資源的共享，避免重復投資，從整體上提升教育信息化建設水

平。

（2）面向校園管理的應用

利用現(xiàn)代信息技術，實現(xiàn)對校園的基礎設施和口常管理應用進行統(tǒng)一規(guī)劃、設計、

建設和運營，從校園的通信網(wǎng)絡、安全防范、日常辦公、信息安全、能源資產(chǎn)管

理等方面實現(xiàn)對校園管理的服務支撐。

（3）面向校園生活的應用

12

作為校園活動的主體一一教師和學生，除了學習在校園，還要生活在校園。所以,

完善的校園生活服務是必須具備的，建設的智慧校園要能滿足校園師生在日常生

活中的用水、用電，食宿、消費、信息查詢、圖書借閱、醫(yī)療健康等應用服務。

2.3網(wǎng)絡系統(tǒng)設計標準及規(guī)范

宿遷學院網(wǎng)絡系統(tǒng)設計完全符合國家網(wǎng)絡建設的相關標準和規(guī)范。

1.網(wǎng)絡標準與規(guī)范

?RFC1661：ThePoint-to-PointProtocol(PPP)

?RFC1990：ThePPPMultilinkProtocol(MP)

?RFC1994：PPPChallengeHandshakeAuthenticationProtocol(CHAP)

?RFC791：InternetProtocol.(IP)

?RFC792：InternetControlMessageProtocol(ICMP)

?RPC793：TRANSMISSIONCONTROLPROTOCOL(TCP)

?RFC768：UserDalagramProtocol(UDP)

?RFC826：AnEthernetAddressResolutionProtocol(ARP)

?RFC2328：OSPFVersion2

?RFC1793：ExtendingOSPFtoSupportDemandCircuits

?RFC1771:：ABorderGatewayProtocol4(BGP-4)

?RFC1965：AutonomousSystemConfederationsforBGP

?RFC1966：BGPRouteReflection

?RFC1997：BGPCommunityAttribute

?RFC2439：BGPRouteFlapDamping

?RFC2138：RemoteAuthenticationDialInUserService(RADIUS)

?RFC2139：RADIUSAccounting

?RFC2784：GenericRooutingEncapsulation

?RFC2401：SecurityArchitechurefortheInternetProtocol

?RFC1157：SimpleNetworkManagementProtocol(SNMP)

?RFC2474：DSFieldintheIPv4andIPv6Headers

?RFC2475：AnArchitectureforDifferentiatedService

?RFC2615：POS

?IEEE802.3u：lOOBase規(guī)范

?IEEE802.3z：l()00Base-X(GBI。規(guī)范

?IEEE802.3ac：10G規(guī)范

?IEEE802.IQ/IP：VirtualBridgedLocalAreaNetworks

?IEEE802.3ad：LinkAggregation

?IEEE802.17：RPR

13

2.國家安全標準與參考規(guī)范

?GB/T18336-2001

?GB/T18019-1999

?GB/T18020-1999

?UL1950

?EN41003

?AS/NZS3260

?AS/NZS3548ClassA

?CSAClassA

?FCCClassA

?EN60555-2

?VCCI(ClassII)

?抗干擾性

?IEC10()042(ESO)

?IEC100043(輻射敏感性)

《建筑與建筑群綜合布線系統(tǒng)工程設計規(guī)范》GB/T50311-2000

《建筑與建筑群綜合布線系統(tǒng)工程驗收規(guī)范》GB/T50312-2000

《大樓通信綜合布線系統(tǒng)總規(guī)范》YD/T926.1-97

《民用建筑電氣設計規(guī)范》JGJ/T16-92

《民用建筑電氣設計規(guī)范》JCJ/T16-2000

《民用建筑電氣設計規(guī)范》JGJ16-2008

《民用建筑物電信布線標注》EIA/TIA-568

《安全防范工程程序與要求》GA/T75-94

《電子計算機房設計規(guī)范》GB50174-93

《計算站場地安全要求》GB9361-88

《電子計算機機房設計規(guī)范》GB50174-93

《電子計算機場地通用規(guī)范》GB/T2887-2000

《計算機機房用活動地板技術條件》GB6650-86

《計算機機房用抗靜電活動地板技術條件》SJ/T10796-1996

《電氣裝置工程施工及驗收規(guī)范》GBJ232-82

《安全防范系統(tǒng)通用圖形符號》GA/T74-94

《安全防范系統(tǒng)通JIJ圖形符號》(GA/T75-2000)

《民用建筑電纜工程技術規(guī)范》

14

《電信動力環(huán)境及總配線架集中監(jiān)控系統(tǒng)技術規(guī)范書》

《通信局（站）電源系統(tǒng)總技術要求》YD/T1051-2000

《通信電源和空調集中監(jiān)控系統(tǒng)技術要求》YDN023-96

《民用建筑閉路監(jiān)視電視系統(tǒng)工程技術規(guī)范》GB50198-94

《電信交換設備耐過電壓和過電流能力》ITU-TK.20

《通信局（站）圖像集中監(jiān)控系統(tǒng)技術要求》YD-T1623-2007

《工業(yè)企業(yè)共用天線電視系統(tǒng)設計規(guī)范》GBJ120-88

《工業(yè)企業(yè)通信接地設計規(guī)范》GBJ79-85

《建筑與建筑群綜合布線工程設計規(guī)范》CECS72-2001

《通信系統(tǒng)機房設計》GBKJ-90

《智能建筑設計標準》GB/T50314-2000

《智能建筑設計標準》GB/T50314-2006

《通信局（站）接地設計暫行技術規(guī)范》YDJ26-89

《智能建筑弱電工程設計施工圖集》GBJT-471

《調音臺基本特性測量方法》GB9003

《電工電子產(chǎn)品基本環(huán)境試驗規(guī)則》GB2421/22/23.1/23.2

《電網(wǎng)電源供電的家用和類似?般用途電子及有關設備的安全要求》GB8898-88

《教通信接地設計規(guī)范》GBJ-79-85

《工業(yè)企業(yè)通信設計規(guī)范》GBJ42-81

《利用建筑物金屬體做防雷及接地裝置安裝》86SD566

《信息設備安全及電氣設備安全》GIM943-95

《電子設備雷擊保護法》GB7450-87

《電氣設備安全》GB10292-88

《建筑及建筑群綜合布線工程設“規(guī)范》GB/T50311-2000

《信息技術開放系統(tǒng)互連網(wǎng)絡層安全協(xié)議》GB/T17963

《計算機信息系統(tǒng)安全》GA216.1-1999

《計算機軟件開發(fā)規(guī)范》GB8566-88

《安全防范工程技術規(guī)范》GB50348-2004

《建筑物電子信息系統(tǒng)防雷技術規(guī)范》GB50343-2004

《安全防范系統(tǒng)雷電浪涌防護技術要求》GA/T670-2006

15

《民用建筑電線電纜防火設計規(guī)程》【)GJ08-93-2002

《綜合布線系統(tǒng)工程設計規(guī)范》GB50311-2007

《入侵報警系統(tǒng)工程設計規(guī)范》GB50394-2007

《計算機軟件質量保證計劃規(guī)范》GBT-12504

《電力設備接地設計技術規(guī)程》SDJ8-98

《半導體器件分W器件和集成電路總規(guī)范》GB4589.1-89

《氣象信息系統(tǒng)雷擊電磁執(zhí)沖防護規(guī)范》QX3-2000

《建筑物防雷設施安裝》991)562

《移動通信基站防雷與接地設計規(guī)范》YD5068-98

《通信工程電源系統(tǒng)防雷技術規(guī)定》YD5078-98

第三章網(wǎng)絡系統(tǒng)建設整體部署方案

3.1網(wǎng)絡系統(tǒng)整體設計

校園網(wǎng)是一種用戶高密度的網(wǎng)絡，在有限的空間內娶集了大量的終端和用戶。校園網(wǎng)注

重的是網(wǎng)絡的簡單可靠、易部署、易維護，所以我們采用大二層的網(wǎng)絡架構，實現(xiàn)網(wǎng)絡的扁

平化，同時提高網(wǎng)絡的穩(wěn)定性和冗余性，通過二層安全技術有效的隔離攻擊來達到提升網(wǎng)絡

安全性的目的。

易管理：扁平化的大二層網(wǎng)絡，整體簡化了網(wǎng)絡結構，網(wǎng)絡中大量的接入、匯聚作為

邏輯二層設備只需要做簡單的vlan劃分、端口隔離配置即可，不需要過多管理，核心設備

作三層網(wǎng)關，啟用路由、認證、安全相關功能，日常維護中，管理員只需要維護核心設備即

可，大大降低了網(wǎng)絡的運維難度，簡化了工作量。

易部署：大二層網(wǎng)絡，無論是有線用戶還是無線用戶，無論是采用802.lx認證還是

portal認證，認證點統(tǒng)一集中在核心，部署方便快捷。同時，在大二層的環(huán)境中，大量的

接入、匯聚設備配置基本類似，一些專注在教育行業(yè)的廠商也推出了快速配置工具用于批量

設備上線時的快速配置下發(fā)，利用配置工具，操作過程簡便，之前需要耗時幾天的部署工作

在2個小時內即可完成。

易維護：網(wǎng)絡結構的簡化將帶來維護工作的簡化，設備配置的簡化必然會大幅度降低

16

設備出問題的概率。從另一方面看，校園網(wǎng)的維護，需要在網(wǎng)絡出現(xiàn)問題時能夠快速定位,

在網(wǎng)絡管理層面上，需要把用戶和端口對應起來，明確用戶是從哪個端口接入上網(wǎng)，大二層

架構中，利用supervlan+subvlan技術，可以輕松定位用戶到具體的端口。

宿遷學院校園網(wǎng)絡以星型結構為主，遵循如下原則：

層次化

將校園網(wǎng)絡劃分為核心層、匯聚層、接入層。每層功能清晰，架構穩(wěn)定，易于擴展和維

護。

模塊化

將校園網(wǎng)絡中的每個區(qū)域或者每個功能區(qū)劃分為一個模塊，模塊內部的調整涉及范圍

小，易于進行問題定位。

冗余性

關鍵設備采用雙節(jié)點冗余設計：關錦鏈路采用Trunk.vrrp方式冗余備份或者負載分擔：

關鍵設備的電源、主控板等關鍵部件冗余備份。提高了整個網(wǎng)絡的可靠性。

安全性

校園網(wǎng)絡應具備有效的安全控制。接入網(wǎng)絡的設備要進行統(tǒng)一認證，同時按接入用戶身

份、按權限進行分區(qū)邏輯隔離。對特別重要的業(yè)務采取物理隔離。對進出校園網(wǎng)的流量要進

行識別、過濾，確保網(wǎng)絡安全。

可管理性和可維護性

為了易于管理，可選擇適用于全網(wǎng)的網(wǎng)管軟件來管理網(wǎng)絡。為了便于維護，應盡可能選

取集成度高、模塊可通用的產(chǎn)品。

3.2網(wǎng)絡邏輯架構設計

如下圖所示，校園網(wǎng)的邏輯架構分為以下幾個部分。

17

,

匯聚、接入層

應用層

圖：校園網(wǎng)邏輯架構圖

?校園出口

校園出口區(qū)域既負責對校園網(wǎng)用戶的統(tǒng)一接入，也負責將內部的終端用戶接入到

公網(wǎng)、將外部用戶接入到內網(wǎng)。出口除了要保證校園內外的數(shù)據(jù)傳輸，還需要保證邊

界安全。

?數(shù)據(jù)中心

部署服務器和應用系統(tǒng)的區(qū)域。為校園網(wǎng)內部和外部用戶提供數(shù)據(jù)和應用服務。

?網(wǎng)絡管理區(qū)

聯(lián)合城市熱點計費網(wǎng)關對接入用戶進行認證，對網(wǎng)絡設備、服務器等進行管理的

區(qū)域。包括告警管理、性能管理、故障管理、配置管理、安全管理等。

?核心層

核心層負責整個園區(qū)網(wǎng)的高速互聯(lián)，一般不部署具體的業(yè)務。核心網(wǎng)絡需要實現(xiàn)

帶寬的高利用率和網(wǎng)絡故隙的快速收斂。

?匯聚層、接入層

18

我們采用大二層的網(wǎng)絡架構，我們匯聚層不部署網(wǎng)絡路由協(xié)議，實現(xiàn)網(wǎng)絡的簡

易性，達到網(wǎng)絡的快速收斂，匯聚層將眾多的接入設備和大量用戶經(jīng)過一次匯聚后

再接入到核心層，擴展核心層接入用戶的數(shù)量，同時對于某些終端，可能還要增加

特定的接入設備，例如無線接入的AP設備。

?終端應用層

包含校園網(wǎng)內的各種終端設備，例如PC、筆記本電腦、打印機、傳真、手機、攝

像頭等等。

?傳統(tǒng)網(wǎng)絡與大二層網(wǎng)絡架構的區(qū)別

功能對比表傳統(tǒng)架構扁平化大二層架構

Ctt]

安全功能而芟無

接入層

認證功能而交無

ARP管理而笠無

匯聚層

路由管理而要無

安全功能而芟而芟

egg

路由管理而芟而美

核心層

認證功能無而交

ARP管理無而芟

圖：傳統(tǒng)網(wǎng)絡與大二層網(wǎng)絡架構對比圖

大二層網(wǎng)絡與傳統(tǒng)的三層網(wǎng)絡降低了接入層的設備壓力，提高了設備轉發(fā)效率，簡

化的網(wǎng)絡結構，從而降低網(wǎng)絡成本；從服務質量層面上說簡化了Qos部署，使網(wǎng)絡質量得到

有效的管理和控制。

3.3網(wǎng)絡實體架構設計

為實現(xiàn)宿州學院網(wǎng)架構穩(wěn)定，網(wǎng)絡層次清晰，支持長期平滑演進，建議整網(wǎng)統(tǒng)一規(guī)劃,

采用分層架構設計?、鏈路備份、易擴展、網(wǎng)絡集中管控'滿足業(yè)務長遠發(fā)展需求。

對應邏銀架構，校園網(wǎng)的物理架構如下圖所示：

19

互聯(lián)網(wǎng)

Alteon

NG6400

系列

Fortinet3700

系列

AAA

Dr.Com

核心出口

程EiS

CPPM

二層匯聚

?校園出口

由防火墻和負載均衡設備組成，面性能出口防火墻網(wǎng)關設備，具備全面的網(wǎng)絡安全

防御能力，并且具有高性能的NAT功能；同時負載均衡設備能針對校園出口多線路實現(xiàn)多

線路負載，以提高校園網(wǎng)絡多線路資源的利用率和可靠性，當出現(xiàn)單臺設備故障或者

單節(jié)點故障時，會自動在仍然運行的網(wǎng)絡設備重新分發(fā)負載，來提升網(wǎng)絡的可靠

性。

?核心層

核心層由核心交換機、3A設備和行為管理設備組成。核心交換機承載全網(wǎng)所有的

流量，利用虛擬化技術，建立邏輯隔離的網(wǎng)絡通道，實現(xiàn)不同業(yè)務之間無干擾地穩(wěn)定

運行，通過3A認證設備對接入網(wǎng)絡的人員進行認證、授權、審計；通過行為管埋設

20

備，來控制網(wǎng)絡環(huán)境，凈化網(wǎng)絡空間。

核心層設備采用多機集群堆疊模式來增加穩(wěn)定性。

?服務器區(qū)域

部署服務器和應用系統(tǒng)的區(qū)域。為校園網(wǎng)內部和外部用戶提供數(shù)據(jù)和應用服務。

包含DHCP服務器，Portlal服務器等，聯(lián)合城市熱點網(wǎng)絡計費網(wǎng)關對內網(wǎng)用戶進行認

證和管理。同時部署網(wǎng)管系統(tǒng)，對網(wǎng)絡設備、服務器等進行管理，功能包括告警管理、

性能管理、故障管理、配置管理、安全管理等。該區(qū)域還可提供外網(wǎng)的合法訪問。包

括提供公共用戶訪問的公開網(wǎng)站，以及對應的APP服務。對出差的內部員工的訪問，

部署SVN設備，提供SSLVPN的安全訪問。

?無線控制區(qū)

無線控制區(qū)部署相應的無線控制器對ap進行集中管理和配置，采用

master-local的架構,提高系統(tǒng)冗余性，做到無縫切換。

?匯聚層、接入層

我們采用大二層的網(wǎng)絡架構，我們匯聚層不部署網(wǎng)絡路由協(xié)議，實現(xiàn)網(wǎng)絡的簡易

性，達到網(wǎng)絡的快速收斂，匯聚層將眾多的接入設備和大量用戶經(jīng)過一次匯聚后再接入

到核心層，擴展核心層接入用戶的數(shù)最，同時對于?某些終端，可能還要增加特定的接入

設備，例如無線接入的AP設備。

網(wǎng)絡組網(wǎng)結構說明：

?樓宇有線接入網(wǎng)絡，通過光纜匯聚到匯聚交換機，再到核心交換機

?宿舍，餐廳，廣場的無線覆蓋方面采用Aruba室內AP205和室外AP275產(chǎn)品，支持

壁掛和吸頂兩種安裝方式，針對餐廳和廣場等高密接入場景。

?所有AP統(tǒng)一采用POE供電，POE交換機可采用ArubaS1500系列，可免去電源供電

不方便，安全可靠。

?所有樓宇上聯(lián)至匯聚交換機，再10G上聯(lián)至核心交換機；核心交換機與移動，聯(lián)通，

電信帶寬互聯(lián)。

?HPE8400系列具備統(tǒng)一用戶管理功能，實現(xiàn)5級Qos精細化流量控制，可有效控制

Internet出口帶寬，降低出口成本，同時優(yōu)先調度視頻語音，保障業(yè)務高質量體

驗。

?宿州學院無線覆蓋部署ArubaAC7240統(tǒng)一管控所有AP。

21

?通過ArubaAirWave網(wǎng)管統(tǒng)一管理宿州學院網(wǎng)絡。

?通過Dr.com計費審計實現(xiàn)統(tǒng)一認證。

?通過Fortinel下一代防火墻ForliGaleNG150。系列實現(xiàn)全網(wǎng)的安全防護

?通過使用Radware的AlleonNG6400系列實現(xiàn)三個運營商的互聯(lián)，智能InBound,

OutBound負載均衡。

?使用網(wǎng)康NI7200-70系列產(chǎn)品實現(xiàn)對用戶行為的審計，以及對應用協(xié)議的帶寬占比

進行優(yōu)化。

該組網(wǎng)具有以下特點：

?路由上收扁平化：核心設備作三層網(wǎng)關，終結ARP,啟用路由協(xié)議，核心層設

備功能豐富、性能強大、可以更好的滿足校園網(wǎng)發(fā)展需求。接入、匯聚全部為純

二層配置，負責二層轉發(fā)，維護工作簡單，采購成本低廉。

?認證上收集中化：核心設備作為集中認證網(wǎng)管，終結認證，完成策略統(tǒng)一下

發(fā)，接入層不需要啟用認證，核心設備根據(jù)需要選擇基于端口或者vlan啟用

802.lx認證、portal認證活著免認證。

?有線無線一體化：有線無線統(tǒng)一認證，無線認證同樣終結在核心，AC只需要管

理AP,不需要同時做認證功能，解決了異構網(wǎng)絡環(huán)境需要管理多套認證計費平臺

的問題。

?批量配置自動化：大二層架構，大量接入設備基本上配置相同，結合配置自動

下發(fā)工具，在短時間內自動完成對接入設備的配置下發(fā)，大大減輕現(xiàn)場實施人員

的工作量。

?用戶定位精確化：與傳統(tǒng)方案只能定位到接入交換機不同，大二層方案，可以

直接定位用戶到接入交換機的端口，滿足的精確定位的需求。

3.4VLAN規(guī)劃

VLAN是將LAN內的設備邏輯地而不是物理地劃分為一個個網(wǎng)段，從而實現(xiàn)在?個LAN

內隔離廣播域的技術。當網(wǎng)絡規(guī)模越來越龐大時，局部網(wǎng)絡出現(xiàn)的故障會影響到整個網(wǎng)絡，

VLAN的出現(xiàn)可以將網(wǎng)絡故障限制在VLAN范圍內，增強了網(wǎng)絡的健壯性。

在本次整個網(wǎng)絡規(guī)劃當中，VLAN的劃分是非常重要的部分，很好的利用VLAN技術的功

能，能起到事半功倍的效果，對整個網(wǎng)絡的性能也是事關重要的。主要突出為以下幾點：

22

VLAN劃分，可以避免廣播風暴，在骨干網(wǎng)絡中尤為突出，在多媒體、視頻點播等很容

易引起廣播信息；劃分之后，VLAN是廣播只在子網(wǎng)中進行，不會做無意義的廣播，消除了

廣播風暴產(chǎn)生的條件。

VLAN劃分，可以增加網(wǎng)絡的安全性，在不同的VLAN之間不能隨意通訊，只限與本子

網(wǎng)間通訊，不會對其他的子網(wǎng)產(chǎn)生干擾。要進行訪問，需要通過三層交換，這樣信息流就得

到相當好的控制。

網(wǎng)絡管理系統(tǒng)采用完全獨立的IP子網(wǎng)和YLA\,實現(xiàn)更加安全的對所有網(wǎng)絡設備進行

管理。建立VLAN和IP子網(wǎng)的對應關系。

提高管理效率，實現(xiàn)虛擬的工作組，減少站點的移動和改變的開銷。

VLAN間的子網(wǎng)訪問，可以在三層交換機上實現(xiàn)，子網(wǎng)間的通訊也可以在匯聚設備上

實行，分流核心交換機的三層交換，優(yōu)化了組網(wǎng)。

根據(jù)以往網(wǎng)絡管理經(jīng)監(jiān)和骨干網(wǎng)絡網(wǎng)絡建設的實際情況，方案建議在骨干網(wǎng)絡VLAN劃分規(guī)

劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為VLAN范圍劃分。這樣劃分

VLAN的好處有：

1.方便管理

為「更好的進行YLAN規(guī)劃的實施，因此在網(wǎng)絡實施前期，要對網(wǎng)絡中不同區(qū)域的VLAN

設置進行詳細的規(guī)劃，細化到接入層網(wǎng)絡，這樣在骨干網(wǎng)絡這樣大型的校園網(wǎng)絡中如果以用

戶群體來劃分,LAN的話，避免由于前期配置設備時復雜煩瑣，而且由于相同的用戶群體可

能在不同的物理位置，導致造成整個宿州學院校區(qū)網(wǎng)絡中VLAN劃分復雜，減輕管理和后期

維護。所以方案建議骨干網(wǎng)絡劃分VLAN方式前進行詳盡規(guī)劃，這樣既可以減少廣播域，又

達到劃分VLAN,方便管理的效果，對于后期網(wǎng)絡維護和升級具有十分現(xiàn)實的意義。

2.易于實施。

按群體劃分VLAN在工程實施中就十分的方便，不會造成VLAN劃分復雜失誤而使得網(wǎng)絡

出現(xiàn)不通的現(xiàn)象，便于工程快速實施和網(wǎng)絡中心整體規(guī)劃。

3.VLAN間路由采用三層交換設備進行VLAN路由。

以便不同VLAN間進行訪問，對于重要網(wǎng)絡資源，需要進行權限訪問的時候，建議采用

專家級ACL（可同時基于VLAN號、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端口號、時間

靈活組合限定的硬件ACL）來進行訪問權限設定，保障重要數(shù)據(jù)不被非法訪問。

VLAN規(guī)劃的基本原則：

?區(qū)分業(yè)務VLAN、管理VLAN和互聯(lián)VLAN

23

?按照業(yè)務區(qū)域劃分不同的VLAN

?同一業(yè)務區(qū)域按照具體的業(yè)務類型（如：Web、APP、DB）劃分不同的VLAN

?VLAN需連續(xù)分配，以保證VLAN資源合理利用

?預留一定數(shù)目VLAN方便后續(xù)擴展

3.5IP地址規(guī)劃

IP地址的合理規(guī)劃師網(wǎng)絡設計中的重要一環(huán)，IP地址規(guī)劃的好壞，影響到網(wǎng)絡路由協(xié)

議算法的效率，網(wǎng)絡的性能、拓展、管理也必將直接影響到網(wǎng)絡應用的進一步發(fā)展。

IP地址分配原則

IP地址空間分配，要與網(wǎng)絡拓撲層次結構相適應，既要有效的利用地址空間，又要體

現(xiàn)網(wǎng)絡的可拓展性和靈活性，同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡中的路由聚類，減

少路由器或三層交換中路由表的長度，同時還要考慮到網(wǎng)絡地址的可管理性。具體分配時要

遵循以下原則：

唯一性：一個IP地址網(wǎng)絡不能有兩個主機采用相同的IP地址。

簡單性：地址分配應簡單易于管理，降低網(wǎng)絡拓展的復雜性，簡化路由表項。

連續(xù)性：連續(xù)地址在層次結構網(wǎng)絡中易于進行路徑疊合，大大縮減路由表，提高路由

算法效率。

可拓展性：地址分配在每?個層次上都要留有余量，在網(wǎng)絡規(guī)模拓展時能保證地址疊

合所需的連續(xù)性。

靈活性：地址分配應具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。

IP地址基本分類

Loopback地址

為了方便管理，會為每一臺路由器創(chuàng)建一個Loopback接口，并在該接口上單獨指定一

個IP地址作為管理地址。Loopback地址務必使用32位掩碼的地址。最后一位是奇數(shù)的表

示路由器，是偶數(shù)的表示交換機，越是核心的設備，Loopback地址越小。

互聯(lián)地址

互聯(lián)地址是指兩臺網(wǎng)絡設備相互連接的接口所需要的地址，互聯(lián)地址務必使用30位掩

碼的地址。核心設備使用較小的一個地址，互聯(lián)地址通常要聚合后發(fā)布，在規(guī)劃時要充分考

慮使用連續(xù)的可聚合地址，

24

業(yè)務地址

業(yè)務地址是連接在以太網(wǎng)上的各種服務器、主機所使用的地址以及網(wǎng)關的地址，業(yè)務地

址規(guī)劃時所有的網(wǎng)關地址統(tǒng)i使用相同的末位數(shù)字，如：.254都是表示網(wǎng)關。

內部的IP地址

建議使用私網(wǎng)IP地址，在邊緣網(wǎng)絡通過NAT轉換成公網(wǎng)地址后接入公網(wǎng)。匯聚交換機

下接入的網(wǎng)段可能有很多，在規(guī)劃的時候需要考慮路由是可以聚合的，這樣可以減少核心網(wǎng)

絡的路由數(shù)目。

3.6DHCP規(guī)劃

為了簡化IP地址管理，網(wǎng)絡系統(tǒng)建設方案使用DHCP服務器為終端分配IP地址，每個

DHCP網(wǎng)段應保留部分靜態(tài)IP供服務器等設備使用。

DHCP部署基本架構不意圖

DHCP部署基本架構

?在宿州學院校區(qū)的數(shù)據(jù)中心機房或服務器區(qū)部署獨立的DHCPServer。

?在核心網(wǎng)關部署DHCPRelay指向DHCPServer統(tǒng)一分配地址。

DHCP部署基本原則

?固定IP地址段和動態(tài)分配IP地址段保持連續(xù)。

?按照業(yè)務區(qū)域進行DHCP地址的劃分，便于統(tǒng)一管理及問題定位。

?DHCP需要跨網(wǎng)段獲得IP地址時，啟動DHCPRelay功能。

?啟動DHCP安全功能，禁止非法DHCPServer的架設和非法用戶的接入。

25

3.7網(wǎng)絡QoS設計

為確保宿州學院校區(qū)網(wǎng)絡中各種應用的正常開展，必須采取全面而系統(tǒng)的QoS設計(提

供端到端QoS服務)，以俁證重要的數(shù)據(jù)流在網(wǎng)絡發(fā)生擁塞時獲得有保證的吞吐量和最低的

延時，比如在網(wǎng)絡發(fā)生擁塞時必須首先保證?卡通和門禁系統(tǒng)的數(shù)據(jù)的優(yōu)先傳輸；為了保證

端到端的服務質量，因此要求端到端數(shù)據(jù)流經(jīng)的所有網(wǎng)絡設備都支持實施的QoS策略，本次

網(wǎng)絡架構中的各種交換機都支持豐富的QoS功能，能確保重要業(yè)務最不受延遲或丟棄，同時

又充分利用現(xiàn)有的帶寬以保證網(wǎng)絡的高效運行。

在本次網(wǎng)絡架構設計中，由于服務端資源集中于服務器區(qū)域，為保證全網(wǎng)的Q