宿州學院網絡系統建設方案

1

目錄

第一章宿州學院項目總體概況5

1.1項目背景5

L2項目建設指導思想6

1.3項目概況8

1.4項目建設原則9

1.5項目建設目標10

第二章網絡系統建設方案總體設計11

2.1網絡系統設計原則11

2.2網絡系統需求分析12

2.3網絡系統設計標準及規范13

第三章網絡系統建設整體部署方案16

3.1網絡系統整體設計16

3.2網絡邏輯架構設計17

3.3網絡實體架構設計19

3.4VLAN規劃22

3.5IP地址規劃24

3.6DHCP規劃25

3.7網絡QoS設計26

3.8網絡安全26

3.8.1網絡出口安全設計26

3.8.2遠程訪問互聯安全28

3.8.3上網行為安全審計28

3.8.4應用入侵防御29

3.9網絡建設目標29

3.9.1極致高速的網絡體驗29

3.9.2無線全覆蓋，校區無線漫游30

3.9.3業務隨行的高體驗網絡30

3.9.4穩定安全的網絡30

第四章HPE系統集群部署介紹30

4.1IIPE8400系列實現的技術特色30

4.1.1總述30

4.1.2數字工作場所的功能和創新31

4.1.3先進的恢復能力和高可用性31

4.1.4強大的安全性和動態服務質量（QoS）32

4.1.5利用集成的有線/無線管理進行簡化32

4.2典型組網應用32

4.2.11:N冗余32

4.2.2協議熱備份33

4.2.3上/下行鏈路的冗余備份34

4.2.4通用虛擬化軟件架構34

4.2.5應用成熟的系統結構35

2

4.2.6簡化的多框分布式35

4.2.7豐富而穩定的功能支持36

4.2.7框式設備成員內的冗余保護36

4.2.8靈活的設備間連接36

第五章Fortinet下一代安全防御設計37

5.1安全態勢37

5.2邊界安全規劃38

5.2.1邊界防護概述38

5.2.2邊界防護安全設計38

5.3FortiGate-NGFW防火墻威脅防護方案39

5.4狀態流量檢測與數據包過濾41

5.5DMZ設計41

5.6日志報表42

5.7內網安全防護43

5.7.1DHCPSnooping44

5.7.2DAI-AR欺騙44

5.7.3A即限速45

5.7.4MAC泛洪45

5.7.5IPSourceGuard46

第六章網康上網行為管理部署介紹47

6.1系統描述47

6.2系統工作環境48

6.3系統監控49

6.3.1系統狀態50

6.3.2報警平臺50

6.3.3網絡活動52

6.3.4實時監控53

第七章ARUBA無線網絡技術部署設計54

7.1宿州學院總體設計54

7.1.1方案設計思路54

7.1.2總體網絡拓撲架構55

7.1.3WLAN與各子系統的詳細設計58

7.1.4網絡擴展與冗余設計59

7.1.5無線系統的IPv4和IPv6雙棧66

7.1.6無線射頻設計68

7.1.7SSID的設計83

7.1.8無線接入設計84

7.1.9無線安全控制設計86

7.1.10無線網絡安全設計93

7.1.11認證方案98

7.1.12無線網絡管理設計105

7.1.13智慧學院網無線擴展應用120

7.1.14無線智慧型校園網絡應用的場景設計126

7.2ARUBA典型成功案例介紹128

3

7.2.1ARUBA主要校園案例清單128

7.2.2Aruba助力廈門大學建立超大型無線學院129

7.2.3Aruba為大連理工大學打造亞洲最快的無線校園網130

7.2.4Aruba建設安全可靠的上海外國語大學無線網絡132

7.2.5上海理工大學采用Aruba無線校園網解決方案133

7.2.6Aruba助力上海大學打造大規模無線校園網136

7.2.7ARUBA助力賽爾建設IPV6無線校園138

第八章城市熱點寬帶認記計費方案139

8.1認證計費系統部署方式139

8.2認證網關功能介紹140

8.3針對校園設計的計費策略功能142

8.4控制策略143

8.5IPv6/v4雙棧146

8.6全業務接口147

8.7采集用戶訪問日志152

第九章網絡系統建設部署產品介紹152

9.1Dr.COM2166152

9.2網康NI720070155

9.3FortiGate-1500D158

9.4HPE8400核心交換機163

9.5HPE5400R匯聚交換機170

9.6HPE2530-48G接入交換機174

9.7AirWave180

9.8AP-205184

9.9AP-275190

9.10Aruba7200移動控制器系列194

9.11ArubaS1500移動接入交換機195

4

第一章宿州學院項目總體概況

1.1項目背景

智慧校園是高校信息化的高級形態，是對數字校園的進一步擴展與提升，它綜合運用云

計算、物聯網、移動互聯、大數據、智能感知、商業智能、知識管理、社交網絡等新興信息

技術，全面感知校園物理環境，智能識別師生群體的學習、工作情景和個體的特征，招學校

物理空間和數字空間有機銜接起來，為師生建立智能開放的教育教學環境和便利舒適的生活

環境，改變師生與學校資源、環境的交互方式，實現以人為本的個性化創新服務。相對于數

字校園，高校智慧校園有如下特征：

(1)互聯網絡高速泛在

網絡是信息時代的基礎，沒有網絡就無法實現教育信息化的絕大部分工作。智慧校園的

網絡基礎更強調移動互聯和物聯網，要為校園中人與人、人與物、物與物之間的全面互聯、

互通、互動，為各類隨時、隨地、隨需、隨意的應用提供寬帶、泛在的基礎網絡條件。

(2)智能終端廣泛應用

智能終端可以實現隨時隨地的普適計算、信息獲取與感知，己經成為高校師生日益普及

的隨身裝備。各種智能感應技術的廣泛應用，可以遠程使用、管理與控制的數字裝備已然普

遍，使得各種監測信息可以隨時獲得，人與物的互動成為現實，全面感知校園環境和師生活

動狀態成為智慧校園的物質基礎。

(3)團隊協作便利充分

有意識的大規模協作是展現人類智慈的重要基礎。通過統一通訊、日程共享和協同工作

等工具的支撐，為師生提供隨時隨地、統一集成、模式多樣的通訊與協作服務，支持個體與

群組的交流協作，支持線上線下的有機互動，讓學習討論從課上拓展到課下，讓協同研究從

實驗室拓展到網絡虛擬空間。

(4)集體知識共生共榮

對于以產生知識、傳播知識為己任的高校來說，支持知識的創造、傳播、管理和使用是

智慧校園的重要任務，也是其核心特征。通過為個人提供完善的知識存儲、分類與分享工具,

幫助個人將擁有的各種資料和信息變成更具價值的知識，實現知識的收集、消化吸收、分享

和創新；通過在學校建構支持團隊知識管理的知識系統，讓學校中的信息與知識透過獲得、

5

創造、分享、整合、記錄、存取、更新、創新等過程，不斷地回饋到知識系統內，形成不間

斷的學校智慧循環，提高學校整體智商，推動學校知識創新。

(5)業務應用智能融合

智慧校園的作用與功能最終要體現在學校的各項業務之中。必須揚棄數字校園業務分

割、相對封閉的信息化架溝，采用開放、整合、協同的信息化架構，基于云計算和大數據技

術實現對海量數據的存儲、計算與分析，通過“云”與“端”的結合廣泛吸納用戶的“智慧”

參與，在各項業務應用中實現個性定制、主動推送和智能推薦，推動實現智能融合、隨時隨

地、隨需隨意的個性化應用，推動從個人通訊、個人計算到個人創造的發展，從而充分發揮

智慧校園整體效能，大大提升基于IT的學習研究與管理決策能力。

(6)外部智慧融會貫通

高校已不是傳統意義上的象牙塔，現代大學必須與社會接軌。因此，智慧校園也不是孤

立的，需要和外部世界息息相通，通過與外部智糕的融會貫通，來推動學校的口I■持續創新發

展。比如，教師的學術活動必須和國內外同行進行廣泛交流，教學和科研只有融入到世界范

圍的學科發展環境中，才能創新和出一流的成果。乂如，學校通過兄弟院校間的互相學習、

交流、對比和借鑒，來把握高校改革和發展潮流與規律，發展本校的傳統與特色；通過了解

社會發展對于學校的需求，如就業需求、人才素質需求等，來調整學校專業設置、改進人才

培養模式；通過把握經濟社會發展趨勢、技術進步發展趨勢和教育變革發展趨勢，不斷優化

學校的發展規劃，促進學校持續快速發展.

1.2項目建設指導思想

信息化是將信息作為構成某一系統、某一領域的基本要素、并對該系統、該領域中信息

的生成、分析、處理、傳遞和利用所進行的有意義活動的總稱。信息社會的高度發展要求教

育必須改革以滿足培養面向信息化社會創新人才的需求，教育信息化是將信息作為教育系統

的一種基本構成要素，并在教育的各個領域廣泛地利用信息技術，促進教育現代化的過程。

《國家信息化發展戰略綱要》

《綱要》指出，當今世界，信息技術創新口新月異，以數字化、網絡化、智能化為特征

的信息化浪潮蓬勃興起。全球信息化進入全面滲透、跨界融合、加速創新、引領發展的新階

段。網絡化協同創新體系全面形成，電子政務支撐國家治理體系和治理能力現代化堅實有力，

信息化成為驅動現代化建設的先導力量。

6

《國家中長期教育改革和發展規劃綱要(2010-2020年)》

提高高等教育質量、遑升科學研究水平，深入開展平安校園、文明校園、綠色校園、和

諧校園創建活動，為師生創造安定有序、和諧融洽、充滿活力的工作、學習、生活環境。

《教育信息化十年發展規劃(2011-2020年)》

提出教育信息化工作方針：面向未來，育人為本、應用驅動，共建共享、統籌規劃，分

類推進、深度融合，引領創新。

教育信息化“十三五”規劃

以“構建網絡化、數字化、個性化、終身化的教育體系，建設'人人皆學、處處能學、

時時可學'的學習型社會，按照''服務全局、融合創新、深化應用、完善機制”原則。

節約型校園建設管理

2007年10月，中華人民共和國第十屆全國人民代表大會常務委員會第三十次會議正式

修訂通過《中華人民共和國節約能源法》，2008年國家又相繼頒布《民用建筑節能條例》

和《公共機構節能條例》，為建筑節能監管體系的建設提供有力的法律法規和政策支持。2008

年4月，建設部出臺《國家機關辦公建筑及大型公共建筑分項能耗數據采集技術導則》等五

項導則，用以指導大型公共建筑分項能耗數據采集系統的建設。國家建設部與國家教育部也

于2008年5月共同制定了《高等學校節約型校園建設管理與技術導則》，為節約型校園建

設的規劃、設計、建設、管理、教育普及等各階段環節提供管理與技術指導。

設計和建設要具有一定的超前性，要高于現在發達地區一流學校的設施標準，并結合教

育部數字校園信息化標準的設計架進行設計與建設，如下圖所示。設計和建設要充分體現以

人為本的教育理念。智慧化系統是校園基礎設施的一個重要組成部分，是一個現代化學校的

主要標志之一，因而新校將按照設計完善、功能實用、技術先進和運行穩定的原則，整體設

計、整體施工，整體實施宿州學院智慧化校園。

建成的智慧校園是以校園局域網絡為基礎平臺，構建成的一套科學、便捷、穩定、有效

的，能滿足學校智慧化管理、智慧化教學和智慧化學習的綜合系統。

7

教育部數字校園信息化標準頂層設計架構

加斷多哪悻室隗/、一ff機、電子白板、智能手H1、一卡通、快拍儀、栽夠備、高速閱卷機監控、學生診斷器

羯骸(Andrcid)|

PC版保轆血PAD版（windows環弱

教育H一閭網版）教育公桌面僖戶懶

敦醞g網時運營真面系第威系一運營

91^轆決策支持系觀

教學公共眼堯平臺學生學習公共躺平臺教好專業成長系發平臺教育公共削喻平臺

解部轆自主學習即娜容習轆■合即

就Jffl曬海堂教以印轆

全自動智舞錄播磁精品翩分享初躁奴考吹圖蹄聯嘲

網絡幽會小造作岐1ft嬲HJg轆富含甘酮

旨翩譽裁成長誨袋融成長記錄裝錠自眠堤

網蜩卷系燒家校互通器伏購物收費系楨

生一認證管理系觀（4A管理平臺）|

昭宜琪四

屣醴口

硬件接口肥1、中間件接口、第三

智能展中心

期R門戶份類檢判知識弓津，教據分析、挖亮）

儺玲

OracleSqlServer

，填旃平,般管酮

校園信息化標準頂層設計架構圖

1.3項目概況

學校名稱：宿州學院，約1.8萬人，創辦時間1949年，公立高校

學校地址：安徽省宿州市汴河中路49號（西區）創辦時間1949年

主管部門：安徽省人民政府

宿州學院是安徽省省屬全日制普通本科院校，坐落在歷史文化古城宿州市，是該市唯一

一所本科高校，前身是創辦于1949年的皖北宿縣區師范學校，1983年升格更名為宿州師范

?？茖W校，2004年升格更名為宿州學院，2008年獲得學士學位授予權，2014年順利通過了

教育部本科教學工作合格評估，2015年成功獲批為安徽省地方應用型高水平大學立項建設

單位。

校園占地1146畝，預留用地1160畝，建筑面積44.47萬平方米，教學科研儀器設備總

值17185萬元。圖書館面積3.46萬平方米，館藏圖書279.7萬冊，其中紙質圖書106.7萬

冊，期刊993種。設有15個二級學院，59個普通本科專業，涵蓋工、管、理、文、經、藝、

教七大學科門類，全日制止校生17360人，成人教育生3692人。有專任教師720余人，其

8

中正高58人、副高218人。

14項目建設原則

根據學校建設的全局和全面工作需要出發，考慮部門的地理分布和通信條件。整體規劃

智慧化校園建設方案，對系統的目標、總體結構、服務功能、經費預算、建設步驟等重大問

題做出規劃。本次建設遵循以下原則：

1.以需求定應用，以應用選平臺，整體設計，整體施工，整體實施

建設應該經過詳細地需求調研和分析，定出相應的應用，然后做出初步總體方案設計,

修改完善后做出詳細總體方案設計和總體實施方案。在此基礎上完成系統集成、系統驗收

和系統運行等階段。

2.先進性、開放性和標準化相結合

由于智慧化校園中的應用系統較多，各應用系統間的集成、運行應協調、統一和規范，

效果上是一個完整的運行系統，而不是各應用子系統的簡單堆砌。

采用符合國際標準的、成熟的技術，兼顧網絡技術的發展方向，選擇模塊化、可擴充的

網絡產品，所選網絡產品應盡可能在較長時間內保持應月的高性能和高效率，延長系統的技

術壽命周期，以使投資發揮最大的效益。

3.結構合埋，局效實用，針對性強

在通信網絡、資源配置、系統服務和網絡管理上有良好的分層設計，使網絡結構清晰，

便于使用、管理和維護。系統應具有實用性和高效率，要支持寬帶多媒體業務，例如網絡教

學、多媒體網絡教室、多功能教室、視頻廣播、視頻直播、會議電視、IP電話、遠程教學、

實時錄播等應川。

4.穩定、可靠和安全

該系統是貴陽一中金塔學校進行教學、生活、科研、口常行政管理和對外交流的基礎設

施，并且還來自各地的學生，影響范圍較大，因此要求整個系統有很高的可靠性，以此建

起穩定、實用的應用環境。還應充分重視網絡設備和系統平臺數據的安全性；網絡設備、布

線系統應安全可靠地安裝布設，注意防止自然和人為的破壞，對網絡系統應嚴格地管理，并

通過防火墻和有效設置權限等方法加強系統平臺和數據的安全。

5.可擴展性

9

網絡建設要考慮到用全光網絡結構適應將來的發展，具有可擴展性，便于以后平滑升級

到萬兆網。方便無縫升級，

1.5項目建設目標

此次網絡建設是新建有線及無線網絡。要求完成全方位立體式無線覆蓋，讓學生僅可以

在尢線覆蓋區域隨時隨地、尢拘束的連接到網絡，外來來賓可以順暢的訪問宿州學院網絡資

源。

建成的系統應突出：

無線網絡一體化全覆蓋

?側重實際應用，覆蓋全校區域，為學習、生活、交流提供切實可用的、穩定的有

線無線網絡環境。

?采取先進通行的協議標準：目前無線局域網普遍采用802.11系列標準，無線局域

網提供802.Un,802.Uac標準的聯網支持,可以匹配802.Ua、802.11b、

802.11g、802.1In,802.1lac無線設備，提供可供實際應用的穩定網絡通訊服

務。

?實現室內無線網絡的合理布建：考慮室內實現無線網絡的不同情況和特點以及目

前學生筆記本用戶數量日益增多的情況，應采取合理的布網方式滿足現在以及未

來發展的需要。

?由于本次項目是要對校區內建筑進行無線覆蓋，所需AP的數量較多，因此，要使

用瘦AP體系架構的無線網絡解決方案，通過控制器對所有AP進行集中式管理。

?AP具有自動調整射頻參數的能力。

?部署的無線網絡能夠支持頻譜分析的功能.

?無線網絡具有而可靠性

?AP需采用IEEE802.3af遠程供電：綜合布線工程需要實施所有無線信息點到本地有

線網設備間，綜合布線不應毀損目前樓內裝修，要求美觀得體，符合布線相關標

準，合理安排施工時間，做到不影響學校的正常辦公、教學和科研。

高性能數據處理能力

以需求定應用，以應用選平臺，整體設計，整體施工，整體實施，由于參與網絡應用的

師牛數量多,而口信息中包含大量多媒體信息,因此大容量、高速率的數據處理能力是網絡

10

的一項重要要求，并保證實現多媒體應用和網絡教學等功能。

協調、統一和規范

建設應該經過詳細地需求調研和分析，定出相應的應用，然后做出初步總體方案設計，

修改完善后做出詳細總體方案設計和總體實施方案。在此基礎上完成系統集成、系統驗收和

系統運行等階段。

穩定、可靠和安全

智慧化校園中不論是網絡還是應用系統都應該運行穩定、可靠。網絡中存有大量教學和

管理的重要數據，它們是管理和教學的重要基礎支撐數據，不論是被損壞、丟失還是被竊取,

都將帶來極大的損失，因此要保證整個系統的安全性。

操作方便，易于管理

校園網面向不同知識層次的教師、學生和辦公人員，應用和管理應簡便易行，界面友好，

不宜太過專業化。

第二章網絡系統建設方案總體設計

2.1網絡系統設計原則

采用成熟、先進的技術和設計思想，運用現有的系統集成的技術路線，強調系統先進、

實用、開放、安全、使用方便和易于擴充等特點，突出系統功能的完善，實現辦公現代化、

信息資源化、傳輸網絡化和決策科學化。

1.實用性：系統建設符合業務規范總體要求，滿足管理職能的需求，為提高管理

決策的及時性和準確性提供高質量的信息服務，增強對運行的協調和監控能力。

2.操作性；人性化的設計，保證網絡管理人員和使用人員能快速的使用網絡。

3.可靠性：將要建設的網絡將是高可靠性，達到24小時不間斷，無故障，穩定運

行，網絡的局部問題不會影響大網絡的運行。

4.可擴充性：方便系統和支撐平臺的升級，滿足用戶對信息需求不斷變化的需要，

以及系統投資建設的長期性效益。

5.可管理性：整個網絡將采用集中式管理，能夠監控網絡的運行，并具有防范非法

DHCP服務器和ARP攻擊的功能。所有交換機需要支持網絡管理，并可以通過網絡

11

管理軟件監測網絡設備的運行狀態，利用有限的人力物力對宿舍樓網絡進行高效

管理。

6.安全性：宿舍樓內有眾多的網絡用戶，安全問題影響廣泛，如何能夠建成?個安

全可靠的宿舍網絡也是本次需要重點考慮的，網絡內劃分眾多的VLAN,接入交換

機支持端口安全和防ARP攻擊等功能，保證網絡用戶的安全。

7.先進性：符合計算機技術發展趨勢，采用先進成熟的技術，堅持技術的開放性，

易于技術更新。

8.靈活性：通過采用結構化、模塊化的設計形式，滿足系統及用戶各種不同的需求,

適應不斷變革口的要求。

9.規范性：采用的技術標準要遵循國際標準和國家標準與規范，保證系統發展的延

續和可靠性。

10.系統性：項目的開發必須按系統工程的管理方法，分階段、有計劃的統一組織實

施。

11.綜合性：以滿足系統目標與功能為目標，保證總體方案的設計合理，滿足用戶的

需求，同時便于系統使用過程中的維護，以及今后系統的二次開發與移植。

2.2網絡系統需求分析

具體功能需求：

（1）綜合的統一管理平臺

根據目前校園信息化建設的發展趨勢，建設的智慧校園要求建成一個集信息匯

集、資源共享、應用整合和綜合運營為一體的統一管理平臺，能提供數據集成、

流程集成、用尸界面集成等服務，改變各應用系統資源的孤立和封閉的局面，實

現區域或校園數據資源的共享，避免重復投資，從整體上提升教育信息化建設水

平。

（2）面向校園管理的應用

利用現代信息技術，實現對校園的基礎設施和口常管理應用進行統一規劃、設計、

建設和運營，從校園的通信網絡、安全防范、日常辦公、信息安全、能源資產管

理等方面實現對校園管理的服務支撐。

（3）面向校園生活的應用

12

作為校園活動的主體一一教師和學生，除了學習在校園，還要生活在校園。所以,

完善的校園生活服務是必須具備的，建設的智慧校園要能滿足校園師生在日常生

活中的用水、用電，食宿、消費、信息查詢、圖書借閱、醫療健康等應用服務。

2.3網絡系統設計標準及規范

宿遷學院網絡系統設計完全符合國家網絡建設的相關標準和規范。

1.網絡標準與規范

?RFC1661：ThePoint-to-PointProtocol(PPP)

?RFC1990：ThePPPMultilinkProtocol(MP)

?RFC1994：PPPChallengeHandshakeAuthenticationProtocol(CHAP)

?RFC791：InternetProtocol.(IP)

?RFC792：InternetControlMessageProtocol(ICMP)

?RPC793：TRANSMISSIONCONTROLPROTOCOL(TCP)

?RFC768：UserDalagramProtocol(UDP)

?RFC826：AnEthernetAddressResolutionProtocol(ARP)

?RFC2328：OSPFVersion2

?RFC1793：ExtendingOSPFtoSupportDemandCircuits

?RFC1771:：ABorderGatewayProtocol4(BGP-4)

?RFC1965：AutonomousSystemConfederationsforBGP

?RFC1966：BGPRouteReflection

?RFC1997：BGPCommunityAttribute

?RFC2439：BGPRouteFlapDamping

?RFC2138：RemoteAuthenticationDialInUserService(RADIUS)

?RFC2139：RADIUSAccounting

?RFC2784：GenericRooutingEncapsulation

?RFC2401：SecurityArchitechurefortheInternetProtocol

?RFC1157：SimpleNetworkManagementProtocol(SNMP)

?RFC2474：DSFieldintheIPv4andIPv6Headers

?RFC2475：AnArchitectureforDifferentiatedService

?RFC2615：POS

?IEEE802.3u：lOOBase規范

?IEEE802.3z：l()00Base-X(GBI。規范

?IEEE802.3ac：10G規范

?IEEE802.IQ/IP：VirtualBridgedLocalAreaNetworks

?IEEE802.3ad：LinkAggregation

?IEEE802.17：RPR

13

2.國家安全標準與參考規范

?GB/T18336-2001

?GB/T18019-1999

?GB/T18020-1999

?UL1950

?EN41003

?AS/NZS3260

?AS/NZS3548ClassA

?CSAClassA

?FCCClassA

?EN60555-2

?VCCI(ClassII)

?抗干擾性

?IEC10()042(ESO)

?IEC100043(輻射敏感性)

《建筑與建筑群綜合布線系統工程設計規范》GB/T50311-2000

《建筑與建筑群綜合布線系統工程驗收規范》GB/T50312-2000

《大樓通信綜合布線系統總規范》YD/T926.1-97

《民用建筑電氣設計規范》JGJ/T16-92

《民用建筑電氣設計規范》JCJ/T16-2000

《民用建筑電氣設計規范》JGJ16-2008

《民用建筑物電信布線標注》EIA/TIA-568

《安全防范工程程序與要求》GA/T75-94

《電子計算機房設計規范》GB50174-93

《計算站場地安全要求》GB9361-88

《電子計算機機房設計規范》GB50174-93

《電子計算機場地通用規范》GB/T2887-2000

《計算機機房用活動地板技術條件》GB6650-86

《計算機機房用抗靜電活動地板技術條件》SJ/T10796-1996

《電氣裝置工程施工及驗收規范》GBJ232-82

《安全防范系統通用圖形符號》GA/T74-94

《安全防范系統通JIJ圖形符號》(GA/T75-2000)

《民用建筑電纜工程技術規范》

14

《電信動力環境及總配線架集中監控系統技術規范書》

《通信局（站）電源系統總技術要求》YD/T1051-2000

《通信電源和空調集中監控系統技術要求》YDN023-96

《民用建筑閉路監視電視系統工程技術規范》GB50198-94

《電信交換設備耐過電壓和過電流能力》ITU-TK.20

《通信局（站）圖像集中監控系統技術要求》YD-T1623-2007

《工業企業共用天線電視系統設計規范》GBJ120-88

《工業企業通信接地設計規范》GBJ79-85

《建筑與建筑群綜合布線工程設計規范》CECS72-2001

《通信系統機房設計》GBKJ-90

《智能建筑設計標準》GB/T50314-2000

《智能建筑設計標準》GB/T50314-2006

《通信局（站）接地設計暫行技術規范》YDJ26-89

《智能建筑弱電工程設計施工圖集》GBJT-471

《調音臺基本特性測量方法》GB9003

《電工電子產品基本環境試驗規則》GB2421/22/23.1/23.2

《電網電源供電的家用和類似?般用途電子及有關設備的安全要求》GB8898-88

《教通信接地設計規范》GBJ-79-85

《工業企業通信設計規范》GBJ42-81

《利用建筑物金屬體做防雷及接地裝置安裝》86SD566

《信息設備安全及電氣設備安全》GIM943-95

《電子設備雷擊保護法》GB7450-87

《電氣設備安全》GB10292-88

《建筑及建筑群綜合布線工程設“規范》GB/T50311-2000

《信息技術開放系統互連網絡層安全協議》GB/T17963

《計算機信息系統安全》GA216.1-1999

《計算機軟件開發規范》GB8566-88

《安全防范工程技術規范》GB50348-2004

《建筑物電子信息系統防雷技術規范》GB50343-2004

《安全防范系統雷電浪涌防護技術要求》GA/T670-2006

15

《民用建筑電線電纜防火設計規程》【)GJ08-93-2002

《綜合布線系統工程設計規范》GB50311-2007

《入侵報警系統工程設計規范》GB50394-2007

《計算機軟件質量保證計劃規范》GBT-12504

《電力設備接地設計技術規程》SDJ8-98

《半導體器件分W器件和集成電路總規范》GB4589.1-89

《氣象信息系統雷擊電磁執沖防護規范》QX3-2000

《建筑物防雷設施安裝》991)562

《移動通信基站防雷與接地設計規范》YD5068-98

《通信工程電源系統防雷技術規定》YD5078-98

第三章網絡系統建設整體部署方案

3.1網絡系統整體設計

校園網是一種用戶高密度的網絡，在有限的空間內娶集了大量的終端和用戶。校園網注

重的是網絡的簡單可靠、易部署、易維護，所以我們采用大二層的網絡架構，實現網絡的扁

平化，同時提高網絡的穩定性和冗余性，通過二層安全技術有效的隔離攻擊來達到提升網絡

安全性的目的。

易管理：扁平化的大二層網絡，整體簡化了網絡結構，網絡中大量的接入、匯聚作為

邏輯二層設備只需要做簡單的vlan劃分、端口隔離配置即可，不需要過多管理，核心設備

作三層網關，啟用路由、認證、安全相關功能，日常維護中，管理員只需要維護核心設備即

可，大大降低了網絡的運維難度，簡化了工作量。

易部署：大二層網絡，無論是有線用戶還是無線用戶，無論是采用802.lx認證還是

portal認證，認證點統一集中在核心，部署方便快捷。同時，在大二層的環境中，大量的

接入、匯聚設備配置基本類似，一些專注在教育行業的廠商也推出了快速配置工具用于批量

設備上線時的快速配置下發，利用配置工具，操作過程簡便，之前需要耗時幾天的部署工作

在2個小時內即可完成。

易維護：網絡結構的簡化將帶來維護工作的簡化，設備配置的簡化必然會大幅度降低

16

設備出問題的概率。從另一方面看，校園網的維護，需要在網絡出現問題時能夠快速定位,

在網絡管理層面上，需要把用戶和端口對應起來，明確用戶是從哪個端口接入上網，大二層

架構中，利用supervlan+subvlan技術，可以輕松定位用戶到具體的端口。

宿遷學院校園網絡以星型結構為主，遵循如下原則：

層次化

將校園網絡劃分為核心層、匯聚層、接入層。每層功能清晰，架構穩定，易于擴展和維

護。

模塊化

將校園網絡中的每個區域或者每個功能區劃分為一個模塊，模塊內部的調整涉及范圍

小，易于進行問題定位。

冗余性

關鍵設備采用雙節點冗余設計：關錦鏈路采用Trunk.vrrp方式冗余備份或者負載分擔：

關鍵設備的電源、主控板等關鍵部件冗余備份。提高了整個網絡的可靠性。

安全性

校園網絡應具備有效的安全控制。接入網絡的設備要進行統一認證，同時按接入用戶身

份、按權限進行分區邏輯隔離。對特別重要的業務采取物理隔離。對進出校園網的流量要進

行識別、過濾，確保網絡安全。

可管理性和可維護性

為了易于管理，可選擇適用于全網的網管軟件來管理網絡。為了便于維護，應盡可能選

取集成度高、模塊可通用的產品。

3.2網絡邏輯架構設計

如下圖所示，校園網的邏輯架構分為以下幾個部分。

17

,

匯聚、接入層

應用層

圖：校園網邏輯架構圖

?校園出口

校園出口區域既負責對校園網用戶的統一接入，也負責將內部的終端用戶接入到

公網、將外部用戶接入到內網。出口除了要保證校園內外的數據傳輸，還需要保證邊

界安全。

?數據中心

部署服務器和應用系統的區域。為校園網內部和外部用戶提供數據和應用服務。

?網絡管理區

聯合城市熱點計費網關對接入用戶進行認證，對網絡設備、服務器等進行管理的

區域。包括告警管理、性能管理、故障管理、配置管理、安全管理等。

?核心層

核心層負責整個園區網的高速互聯，一般不部署具體的業務。核心網絡需要實現

帶寬的高利用率和網絡故隙的快速收斂。

?匯聚層、接入層

18

我們采用大二層的網絡架構，我們匯聚層不部署網絡路由協議，實現網絡的簡

易性，達到網絡的快速收斂，匯聚層將眾多的接入設備和大量用戶經過一次匯聚后

再接入到核心層，擴展核心層接入用戶的數量，同時對于某些終端，可能還要增加

特定的接入設備，例如無線接入的AP設備。

?終端應用層

包含校園網內的各種終端設備，例如PC、筆記本電腦、打印機、傳真、手機、攝

像頭等等。

?傳統網絡與大二層網絡架構的區別

功能對比表傳統架構扁平化大二層架構

Ctt]

安全功能而芟無

接入層

認證功能而交無

ARP管理而笠無

匯聚層

路由管理而要無

安全功能而芟而芟

egg

路由管理而芟而美

核心層

認證功能無而交

ARP管理無而芟

圖：傳統網絡與大二層網絡架構對比圖

大二層網絡與傳統的三層網絡降低了接入層的設備壓力，提高了設備轉發效率，簡

化的網絡結構，從而降低網絡成本；從服務質量層面上說簡化了Qos部署，使網絡質量得到

有效的管理和控制。

3.3網絡實體架構設計

為實現宿州學院網架構穩定，網絡層次清晰，支持長期平滑演進，建議整網統一規劃,

采用分層架構設計?、鏈路備份、易擴展、網絡集中管控'滿足業務長遠發展需求。

對應邏銀架構，校園網的物理架構如下圖所示：

19

互聯網

Alteon

NG6400

系列

Fortinet3700

系列

AAA

Dr.Com

核心出口

程EiS

CPPM

二層匯聚

?校園出口

由防火墻和負載均衡設備組成，面性能出口防火墻網關設備，具備全面的網絡安全

防御能力，并且具有高性能的NAT功能；同時負載均衡設備能針對校園出口多線路實現多

線路負載，以提高校園網絡多線路資源的利用率和可靠性，當出現單臺設備故障或者

單節點故障時，會自動在仍然運行的網絡設備重新分發負載，來提升網絡的可靠

性。

?核心層

核心層由核心交換機、3A設備和行為管理設備組成。核心交換機承載全網所有的

流量，利用虛擬化技術，建立邏輯隔離的網絡通道，實現不同業務之間無干擾地穩定

運行，通過3A認證設備對接入網絡的人員進行認證、授權、審計；通過行為管埋設

20

備，來控制網絡環境，凈化網絡空間。

核心層設備采用多機集群堆疊模式來增加穩定性。

?服務器區域

部署服務器和應用系統的區域。為校園網內部和外部用戶提供數據和應用服務。

包含DHCP服務器，Portlal服務器等，聯合城市熱點網絡計費網關對內網用戶進行認

證和管理。同時部署網管系統，對網絡設備、服務器等進行管理，功能包括告警管理、

性能管理、故障管理、配置管理、安全管理等。該區域還可提供外網的合法訪問。包

括提供公共用戶訪問的公開網站，以及對應的APP服務。對出差的內部員工的訪問，

部署SVN設備，提供SSLVPN的安全訪問。

?無線控制區

無線控制區部署相應的無線控制器對ap進行集中管理和配置，采用

master-local的架構,提高系統冗余性，做到無縫切換。

?匯聚層、接入層

我們采用大二層的網絡架構，我們匯聚層不部署網絡路由協議，實現網絡的簡易

性，達到網絡的快速收斂，匯聚層將眾多的接入設備和大量用戶經過一次匯聚后再接入

到核心層，擴展核心層接入用戶的數最，同時對于?某些終端，可能還要增加特定的接入

設備，例如無線接入的AP設備。

網絡組網結構說明：

?樓宇有線接入網絡，通過光纜匯聚到匯聚交換機，再到核心交換機

?宿舍，餐廳，廣場的無線覆蓋方面采用Aruba室內AP205和室外AP275產品，支持

壁掛和吸頂兩種安裝方式，針對餐廳和廣場等高密接入場景。

?所有AP統一采用POE供電，POE交換機可采用ArubaS1500系列，可免去電源供電

不方便，安全可靠。

?所有樓宇上聯至匯聚交換機，再10G上聯至核心交換機；核心交換機與移動，聯通，

電信帶寬互聯。

?HPE8400系列具備統一用戶管理功能，實現5級Qos精細化流量控制，可有效控制

Internet出口帶寬，降低出口成本，同時優先調度視頻語音，保障業務高質量體

驗。

?宿州學院無線覆蓋部署ArubaAC7240統一管控所有AP。

21

?通過ArubaAirWave網管統一管理宿州學院網絡。

?通過Dr.com計費審計實現統一認證。

?通過Fortinel下一代防火墻ForliGaleNG150。系列實現全網的安全防護

?通過使用Radware的AlleonNG6400系列實現三個運營商的互聯，智能InBound,

OutBound負載均衡。

?使用網康NI7200-70系列產品實現對用戶行為的審計，以及對應用協議的帶寬占比

進行優化。

該組網具有以下特點：

?路由上收扁平化：核心設備作三層網關，終結ARP,啟用路由協議，核心層設

備功能豐富、性能強大、可以更好的滿足校園網發展需求。接入、匯聚全部為純

二層配置，負責二層轉發，維護工作簡單，采購成本低廉。

?認證上收集中化：核心設備作為集中認證網管，終結認證，完成策略統一下

發，接入層不需要啟用認證，核心設備根據需要選擇基于端口或者vlan啟用

802.lx認證、portal認證活著免認證。

?有線無線一體化：有線無線統一認證，無線認證同樣終結在核心，AC只需要管

理AP,不需要同時做認證功能，解決了異構網絡環境需要管理多套認證計費平臺

的問題。

?批量配置自動化：大二層架構，大量接入設備基本上配置相同，結合配置自動

下發工具，在短時間內自動完成對接入設備的配置下發，大大減輕現場實施人員

的工作量。

?用戶定位精確化：與傳統方案只能定位到接入交換機不同，大二層方案，可以

直接定位用戶到接入交換機的端口，滿足的精確定位的需求。

3.4VLAN規劃

VLAN是將LAN內的設備邏輯地而不是物理地劃分為一個個網段，從而實現在?個LAN

內隔離廣播域的技術。當網絡規模越來越龐大時，局部網絡出現的故障會影響到整個網絡，

VLAN的出現可以將網絡故障限制在VLAN范圍內，增強了網絡的健壯性。

在本次整個網絡規劃當中，VLAN的劃分是非常重要的部分，很好的利用VLAN技術的功

能，能起到事半功倍的效果，對整個網絡的性能也是事關重要的。主要突出為以下幾點：

22

VLAN劃分，可以避免廣播風暴，在骨干網絡中尤為突出，在多媒體、視頻點播等很容

易引起廣播信息；劃分之后，VLAN是廣播只在子網中進行，不會做無意義的廣播，消除了

廣播風暴產生的條件。

VLAN劃分，可以增加網絡的安全性，在不同的VLAN之間不能隨意通訊，只限與本子

網間通訊，不會對其他的子網產生干擾。要進行訪問，需要通過三層交換，這樣信息流就得

到相當好的控制。

網絡管理系統采用完全獨立的IP子網和YLA\,實現更加安全的對所有網絡設備進行

管理。建立VLAN和IP子網的對應關系。

提高管理效率，實現虛擬的工作組，減少站點的移動和改變的開銷。

VLAN間的子網訪問，可以在三層交換機上實現，子網間的通訊也可以在匯聚設備上

實行，分流核心交換機的三層交換，優化了組網。

根據以往網絡管理經監和骨干網絡網絡建設的實際情況，方案建議在骨干網絡VLAN劃分規

劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為VLAN范圍劃分。這樣劃分

VLAN的好處有：

1.方便管理

為「更好的進行YLAN規劃的實施，因此在網絡實施前期，要對網絡中不同區域的VLAN

設置進行詳細的規劃，細化到接入層網絡，這樣在骨干網絡這樣大型的校園網絡中如果以用

戶群體來劃分,LAN的話，避免由于前期配置設備時復雜煩瑣，而且由于相同的用戶群體可

能在不同的物理位置，導致造成整個宿州學院校區網絡中VLAN劃分復雜，減輕管理和后期

維護。所以方案建議骨干網絡劃分VLAN方式前進行詳盡規劃，這樣既可以減少廣播域，又

達到劃分VLAN,方便管理的效果，對于后期網絡維護和升級具有十分現實的意義。

2.易于實施。

按群體劃分VLAN在工程實施中就十分的方便，不會造成VLAN劃分復雜失誤而使得網絡

出現不通的現象，便于工程快速實施和網絡中心整體規劃。

3.VLAN間路由采用三層交換設備進行VLAN路由。

以便不同VLAN間進行訪問，對于重要網絡資源，需要進行權限訪問的時候，建議采用

專家級ACL（可同時基于VLAN號、以太網類型、MAC地址、IP地址、TCP/UDP端口號、時間

靈活組合限定的硬件ACL）來進行訪問權限設定，保障重要數據不被非法訪問。

VLAN規劃的基本原則：

?區分業務VLAN、管理VLAN和互聯VLAN

23

?按照業務區域劃分不同的VLAN

?同一業務區域按照具體的業務類型（如：Web、APP、DB）劃分不同的VLAN

?VLAN需連續分配，以保證VLAN資源合理利用

?預留一定數目VLAN方便后續擴展

3.5IP地址規劃

IP地址的合理規劃師網絡設計中的重要一環，IP地址規劃的好壞，影響到網絡路由協

議算法的效率，網絡的性能、拓展、管理也必將直接影響到網絡應用的進一步發展。

IP地址分配原則

IP地址空間分配，要與網絡拓撲層次結構相適應，既要有效的利用地址空間，又要體

現網絡的可拓展性和靈活性，同時能滿足路由協議的要求，以便于網絡中的路由聚類，減

少路由器或三層交換中路由表的長度，同時還要考慮到網絡地址的可管理性。具體分配時要

遵循以下原則：

唯一性：一個IP地址網絡不能有兩個主機采用相同的IP地址。

簡單性：地址分配應簡單易于管理，降低網絡拓展的復雜性，簡化路由表項。

連續性：連續地址在層次結構網絡中易于進行路徑疊合，大大縮減路由表，提高路由

算法效率。

可拓展性：地址分配在每?個層次上都要留有余量，在網絡規模拓展時能保證地址疊

合所需的連續性。

靈活性：地址分配應具有靈活性，以滿足多種路由策略的優化，充分利用地址空間。

IP地址基本分類

Loopback地址

為了方便管理，會為每一臺路由器創建一個Loopback接口，并在該接口上單獨指定一

個IP地址作為管理地址。Loopback地址務必使用32位掩碼的地址。最后一位是奇數的表

示路由器，是偶數的表示交換機，越是核心的設備，Loopback地址越小。

互聯地址

互聯地址是指兩臺網絡設備相互連接的接口所需要的地址，互聯地址務必使用30位掩

碼的地址。核心設備使用較小的一個地址，互聯地址通常要聚合后發布，在規劃時要充分考

慮使用連續的可聚合地址，

24

業務地址

業務地址是連接在以太網上的各種服務器、主機所使用的地址以及網關的地址，業務地

址規劃時所有的網關地址統i使用相同的末位數字，如：.254都是表示網關。

內部的IP地址

建議使用私網IP地址，在邊緣網絡通過NAT轉換成公網地址后接入公網。匯聚交換機

下接入的網段可能有很多，在規劃的時候需要考慮路由是可以聚合的，這樣可以減少核心網

絡的路由數目。

3.6DHCP規劃

為了簡化IP地址管理，網絡系統建設方案使用DHCP服務器為終端分配IP地址，每個

DHCP網段應保留部分靜態IP供服務器等設備使用。

DHCP部署基本架構不意圖

DHCP部署基本架構

?在宿州學院校區的數據中心機房或服務器區部署獨立的DHCPServer。

?在核心網關部署DHCPRelay指向DHCPServer統一分配地址。

DHCP部署基本原則

?固定IP地址段和動態分配IP地址段保持連續。

?按照業務區域進行DHCP地址的劃分，便于統一管理及問題定位。

?DHCP需要跨網段獲得IP地址時，啟動DHCPRelay功能。

?啟動DHCP安全功能，禁止非法DHCPServer的架設和非法用戶的接入。

25

3.7網絡QoS設計

為確保宿州學院校區網絡中各種應用的正常開展，必須采取全面而系統的QoS設計(提

供端到端QoS服務)，以俁證重要的數據流在網絡發生擁塞時獲得有保證的吞吐量和最低的

延時，比如在網絡發生擁塞時必須首先保證?卡通和門禁系統的數據的優先傳輸；為了保證

端到端的服務質量，因此要求端到端數據流經的所有網絡設備都支持實施的QoS策略，本次

網絡架構中的各種交換機都支持豐富的QoS功能，能確保重要業務最不受延遲或丟棄，同時

又充分利用現有的帶寬以保證網絡的高效運行。

在本次網絡架構設計中，由于服務端資源集中于服務器區域，為保證全網的Q