大学校园网网络优化建设方案详细.doc

. . . 大学校园网网络优化建设方案 / 目录第一章项目背景与建设原则 41.1项目背景 41.2整体网络设计原则 5第二章某大学校园网框架设计 72.1某大学校园网现状描述 72.2某大学校园网改造需求分析 82.3某大学校园网整体拓扑设计 92.4某大学校园网系统结构 9第三章某大学校园网硬件支撑平台设计 113.1某大学IPV4/IPV6全双栈环境建设 113.1.1某大学布署IP4/IPV6的技术分析 113.1.2某大学IPV4/IPV6双栈校园网的布署 123.1.3校园网骨干设备替换统计 143.1.4 某大学校园网分区详细设计（校本部） 153.1.5 某大学校园网分区详细设计（南校区） 243.1.6 某大学校园网分区详细设计（北校区） 273.1.7 IPV6用户接入方式设计 303.1.8 某大学IPv6网络出口设计 313.1.9 IPV4/IPV6 资源互访设计 343.1.10 某大学IPV4/IPV6地址规划 343.1.11某大学IPV4/ IPv6路由规划 373.2 某大学校园网可靠性设计 413.2.1某大学校园网的可靠性设计的技术分析 413.2.2某大学校园网的可靠性设计IRF2的部署 413.3 某大学无线校园网建设 423.3.1某大学无线校园网的技术选择 423.3.2某大学无线校园网的具体部署 42第四章安全可控的防御体系 444.1校园网安全问题分析 444.2数据中心安全防护 454.3校园网接入层安全防护 464.3.1某大学校园网ARP攻击安全防御 464.3.2校园网ARP攻击的防护措施 484.3.3某大学校园网环路检测 494.4可信管理——用户行为审计 514.4.1某大学校园网用户行为审计的技术： 514.4.2某大学校园网用户行为审计的具体布署 524.5出口安全防护 52第五章 QOS设计 545.1 QOS体系结构的选择 545.2 QOS的实现机制 555.3 QOS部署 585.3.1 QoS总体部署 585.3.2流量分类和标记 585.3.3拥塞管理的部署 595.3.4拥塞避免 605.3.5流量监管与流量整形 61第六章组播设计 646.1 组播模型选择 646.1.1 ASM模型 646.1.2 SSM模型 646.2 组播协议选择 646.2.1组播组管理协议选择 656.2.2组播路由协议选择 65第七章数字化校园网网络管理 677.1 数字化校园管理综述 677.2 集成化管理平台 677.2.1系统安全管理 677.2.2资源管理 697.2.3拓扑管理 707.2.4故障（告警/事件）管理 737.2.5告警深度关联分析与统计 747.2.6性能管理 787.2.7设备管理组件 807.3针对用户身份权限和计费运营的管理 817.3.1校园网用户认证管理需求分析 817.3.2校园网用户管理认证方案概述 82第八章投资估算 97第一章 项目背景与建设原则1.1项目背景由教育部组织申报的国家发改委2008年下一代互联网业务试商用与设备产业化专项项目“教育科研基础设施IPv6技术升级和应用示”已经由国家发改委正式批复立项。

项目由教育部统一组织管理，中国教育和科研计算机网CERNET网络中心（清华大学）具体承担协调工作建设容主要包括：校园网IPv6技术升级、IPv6网络支撑技术试商用、IPv6重大应用示与CNGI国际/国互联和高速网络服务到2010年底前，在接入CERNET和CNGI-CERNET2的基础上，将校园网升级到下一代互联网，建立安全、可控、可管和可运营的下一代校园网试商用环境，实现校园网用户的IPv6普遍访问和校园网信息资源的IPv6普遍服务，使其成为学校新一代教学和科研信息基础设施，继续支持下一代互联网的技术试验和应用示，为我国下一代互联网向深度和广度发展作出贡献建设容：1.在现有的校园网基础上，从网络主干（核心、汇聚）到接入层实现IPv4/IPv6技术升级，为用户提供IPv4/IPv6双栈网络服务，实现校园网用户的IPv6普遍访问和校园网信息资源的IPv6普遍服务2、建设一个具有300个以上用户规模的纯IPv6子网，为本单位以与本项目的其他单位开展下一代互联网关键技术试验和应用示提供试验环境3、建立可试商用的IPv4/IPv6校园网运行管理支撑系统，包括网络管理与安全监控系统、接入业务管理（包括认证和计费）系统，保证校园网运行的可管、可控和安全。

4、支持基于真实IPv6源地址的用户标识和认证服务、IPv4/IPv6过渡服务和可控组播服务等5、完成校园信息资源和应用系统IPv6升级，包括基本网络服务系统和校园信息系统，在校园网围逐步实现IPv6访问优先6、校园网重要信息资源和应用系统IPv6升级10个以上7、校园网网络管理与安全监控系统必须能够管理校园网所有的IPv6网络设备，并保持3个月以上运行记录8、校园网接入业务管理系统必须能够管理校园网所有IPv6用户的接入和计费，并保持3个月以上运行记录1.2整体网络设计原则在进行本次校园网网络系统规划设计时，主要应遵循以下原则：1、高性能：网络要求具有数据、图像、语音等多媒体实时通讯能力主干网应提供可保证的服务质量和充足的带宽采用最新科技，以适应大量数据传输以与多媒体信息的传输整个系统在国三到五年保持领先的水平，并具有长足的发展能力，以适应未来网络技术的发展2、高可靠性：网络系统是日常业务和各种应用系统的基础设施，应保证工作日和重点时期不间断运行整个网络应有足够的冗余，设备在发生故障时能以热插拔的方式在最短时间加以修复可靠性还应充分考虑网络系统的性价比，使整个网络具有一定的容错能力，减少单点故障。

3、标准化：所有网络设备都应符合有关国际标准以保证不同厂家网络设备之间的互操作性和网络系统的开放性4、可扩充性和可扩展性：所有网络设备不但满足当前需要，并在扩充模块后，满足可预见将来的需求网络设计要考虑本期网络系统应用和今后网络的发展，便于向更新技术的升级与衔接要留有扩充余量，包括端口数量和带宽的升级能力5、易管理性：网络设备应易于管理，易于维护，操作简单，易学，易用，便于进行网络配置，发现故障6、安全性：网络系统的数据和文件多数要求具有高度的安全性，因此，网络系统本身要有较高的安全性，对使用的信息进行严格的权限管理，在技术上提供先进的、可靠的、全面的安全方案和应急措施，确保系统万无一失同时符合国家关于网络安全标准和管理条例7、实用性：系统建设首先要从系统的实用性角度出发，满足不同用户信息服务的实际需要，具有很高的性能价格比，能为多种应用系统提供强有力的支持平台；同时应很好地利用现有设备资源，保护用户的已有投资8、标准开放性：支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于保证与其它网络(如公共数据网、外联机构其它网络)之间的平滑连接互通，以与将来网络的扩展。

并且，IPv6协议仍然在不断的发展，采购的设备应能够对后续的IPv6协议进行支持9、灵活性与可扩展性：根据未来校园网环境的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整整体网络设计需要满足某大学校园网建设所需的高性能、高可靠、多业务承载特性以外，还应满足整体网络安全的需要，提供优质的校园网服务达到教育部对本次建设提出的校园网IPv6用户的普遍访问的目标第二章 某大学校园网框架设计2.1某大学校园网现状描述图1: 某大学现有网络拓扑说明： 1．校本部：核心层是两台北电Nortel8610，两台核心交换机之间4路GE链路捆绑，核心层与汇聚层千兆光纤连接汇聚层有：校本部家属区（Nortel1412G），校本部宿舍区(Nortel8603)办公区千兆光纤链路直连到校本部核心交换机2．南校区：核心层是一台北电Nortel8610，与校本部核心交换机Nortel8610通过1000M光纤连接核心层与汇聚层千兆光纤连接汇聚层有南校区宿舍区(Nortel1612G) ，办公区千兆光纤链路直连到南校区核心交换机3．北校区：核心层是一台北电Nortel8610，与校本部核心交换机Nortel8610通过100M光纤连接。

核心层与汇聚层千兆光纤连接汇聚层有北校区宿舍区(Nortel1612G)，北校区办公区(Nortel8603)，北校区家属区(S3026V)核心层交换机到汇聚层交换机千兆多模光纤互联接入层上行千兆多模互联,下行百兆4．认证计费：校本部、南校区、北校区的宿舍区采用802.1x协议进行认证，后台服务器部署安腾认证计费软件，实现对全校宿舍区和家属区的认证、管理和计费5．校园网出口：校园网出口是一台华为NE80，NE80作为教育城域网的主干节点某大学是全疆CERNET的总出口，是中国教育和科研网CERNET在西北地区的重要汇聚点2.2某大学校园网改造需求分析根据某大学校园网的总体网络架构规划，整个校园网络主要分为校本部、南校区、北校区当前某大学的网络承载的主要是用于教学，办公，学生上网，视频等数据某大学IPV6网络建设国拨资金下发设备到位后，将改造成IPV4/IPV6同时支持的下一代校园网，同时通过本校配套资金对全网进行改造，项目建设的需求包括以下容：1． 设备功能要求必须支持IPV4/IPV6目前新大的在网设备是多年前的北电设备，不支持IPV4/IPV6双栈本次改造后采用的设备应能满足某大学IPV4/IPV6双栈的功能，可以满足新大师生对Cernet和Cernet2资源的同时访问。

2．校园网架构的改造某大学原有网络架构部分采用三层架构，但多数采用二层网络架构模式网络扩展性不强，办公区的广播风暴，病毒/Ddos攻击等会直接影响到核心交换机的性能，对整网的网络性能影响较大3．校园网骨干网带宽升级伴随着信息化建设的深入，学校基本的教学教务管理、科研管理、后勤管理、数字图书馆、视频服务系统、办公自动化系统和校园社区服务等业务系统在的校园信息系统建设要求核心交换能够提供无瓶颈的数据交换，主干万兆已成为校园网发展的趋势目前某大学的校园网骨干是千兆，本次改造将提升到万兆4．校园网可靠性的提升校园网现网存在部分HUB设备，不支持生成树协议，一旦发生环路，将导致该区域处于瘫痪状态，本次改造要求把环路对网络的破坏性降到最低5．校园网安全防护的提升目前的接入层设备由于采购时间较早，不支持ARP攻击防御，不支持ACL等安全特性对ARP攻击、DHCP仿冒等不能有效防御本次改造需要对新大校园网的安全进行合理规划，有效的防止各类安全事件6．校园网流量不可控网络流量无法控制和精细化管理,对用户上网行为无法审计7．无线用户接入困难校园网没有布署无线设备，无线IPV4/IPV6移动终端无法接入到校园网中。

2.3某大学校园网整体拓扑设计2.4某大学校园网系统结构某大学校园网规划采用自顶向下的设计思路，从网络三层架构出发，分解要点，逐一细化设计以先进的网络技术和管理手段，推动新大校园网整体信息化水平建设，实现学校信息化软硬平台整体性能提升，达到高校信息化建设业领先水平第三章 某大学校园网硬件支撑平台设计。