文档介绍：校园网建设方案
总体概述及网络拓扑
在XXXX职业技术学院新校区校园网建设中,根据目前校园网的建设状况和未来发展趋势,提供全面的整体解决方案,整个网络方案突出层次化、模型化、高可靠性的原则,确保网络在具有高性能的同时具有良好的前瞻性和持续发展性。
网络系统分为核心层、汇聚层、接入层(有线/无线一体化)接入。网络拓扑规划见下图:
核心层
核心层部署两台高性能IPV6/IPV4路由交换机,双机热备、统一管理、统一路由转发;支持对校园内部不同区域间用户访问控制,如对办公、教学、生活、学生宿舍区域采取不同安全互访策略;部署两台无线控制器AC,双机热备,对全网AP进行管理和控制。由于校园网内横向流量较大,且随着校园规模的扩展和业务的发展而快速增加,因此采用双万兆链路来互连,保证海量数据在核心节点的无阻塞交换。
汇聚层
汇聚层主要承担各楼宇等子节点的流量汇聚。汇聚层交换机上联通过万兆链路分别同两台核心交换机连接,下行通过千兆/万兆链路和接入交换机连接。
接入层
接入层主要承担各信息点的接入。接入层要求为各信息点提供千兆带宽的接入,实现无阻塞快速的数据接入。接入层作为用户接入的认证点,提供防ARP攻击、配合客户端实现防代理、用户账号漫游及用户的多域认证的功能来实现校园网业务的灵活区分;IPV6技术已经普及,因此接入层应支持IPV6的多种特性,接入层通过千兆或万兆链路和汇聚层交换机互通。
无线
,实现学院全区域覆盖,在学生宿舍、学术报告厅、会议室等区域实现高密度、高带宽的无线接入,无线和有线网络实现统一认证计费与管理;提供无线网络的多种安全机制,如防ARP攻击、空口限速、动态黑名单、无线IDS、用户地址绑定、用户漫游审计等。
无线AP全部采用PoE方式供电,以减少强电实施成本,并能对PoE端口远程管理,进而实现远程对无响应的AP进行重启操作。
安全与管理
实现校园网内部部署用户认证计费、流量统计分析、设备管理及故障告警监控、无线环境监控、安全事件收集、安全风险分析、审计报表输出等软硬件,全面保障后期运维,减少维护成本。网络、安全、无线设备统一管理,可以和用户行为监控、安全风险分析协同工作,并结合用户认证系统,直接将安全风险定位到使用者。
实现学校各单位/的安全接入,避免安全隐患,在校园网出口部署多业务安全网关,通过高性能设备实现防火墙、VPN、NAT及日志审计、用户流量审计、用户行为审计、P2P行为控制等全面安全手段;为了防止外网流量对整个校园网内部的攻击,设备在核心交换机和互联网区之间部署,以提升整网的安全级别。
为保障数据中心服务器安全,在数据中心区域部署IPS/IDS与防火墙等数据中心安全系统设备,实现对服务器的漏洞保护、蠕虫攻击、病毒防护等全面安全手段。
网络系统设备清单数量
序号
设备名称
数量
设备配置要求
1
核心交换机
2台
单台配置: 主机、控制引擎、冗余电源、24个千兆电接口、10个万兆光接口、其中配置5个多模万兆光模块、5个单模万兆光模块
2
汇聚交换机1
3
单台配置:冗余热插拔电源、24个千兆光口、8万兆光口
总共配置:4个千兆单模光模块、34个千兆多模光模块、8个万兆单模光模块
3
汇聚交换机2
1台
单台配置:冗余热插拔电源、12个万兆光口;2个千兆光口、4个千兆电口
总共配置: 9个万兆多模光模块、2个万兆单模光模块、2个千兆多模光模块
4
千兆接入交换机1
6台
单台配置:24个千兆电口,1个以上千兆多模光口
千兆接入交换机2
3台
单台配置:24个千兆电口,1个以上万兆多模光口
千兆接入交换机3
20台
单台配置:48个千兆电口,1个以上千兆多模光口
千兆接入交换机4
6台
单台配置:48个千兆电口,1个以上万兆多模光口
千兆接入交换机5
8台
单台配置:24个千兆POE电口,1个以上千兆多模光口
千兆接入交换机6
8台
单台配置:24个千兆电口,1个以上千兆单模光口
5
数据中心交换机
1台
8个万兆接口,48个千兆线速电口,支持对数据中心服务器安全保护功能
6

2台
单台配置:至少350个license以上
7
室内型无线接入AP
117台
单台配置:室内双频AP 至少一个千兆电口
序号
设备名称
数量
设备配置要求
室外型无线接入AP
50台
单台配置:至少一个千兆电口配套无线室外安装附件
8
网络管理及认证计费系统
1套
配置管理设备(有线设备及无线设备)license不少600个,认证计费用户数不少于10000个
9
校园网安全监控、分析和响应系统
1套
安全监控分析及响应系统管理