大型校园网设计完整配置Word文档下载推荐.docx

大型校园网设计完整配置Word文档下载推荐.docx

《大型校园网设计完整配置Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《大型校园网设计完整配置Word文档下载推荐.docx（14页珍藏版）》请在冰豆网上搜索。

在楼宇内部采用5类双绞线，其100M连接状态100m、10M连接状态200m的传递距离能够满足室内布线的长度要求。

最后，以太网建网能够提供性价比高的网络带宽。

2.1.2路由技术

路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。

路由器具有在网络中传递数据时选择最佳路径的能力。

除了可以完成主要的路由任务，利用访问控制列表（AccessControlList，ACL），路由器还可以用来完成以路由器为中心的流量控制和过滤功能。

在本规划设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。

2.1.3交换技术

传统意义上的数据交换发生在OSI模型的第2层。

现代交换技术还实现了第3层交换和多层交换。

高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。

现代交换网络还引入了虚拟局域网（VirtualLAN，VLAN）的概念。

VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。

在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。

当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（VlanTrunkingProtocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。

然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。

这样，大大减轻了网络管理人员的工作负担和工作强度。

为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进行的。

园区网数据交换设备可以划分为三个层次：

核心层、会聚层、接入层。

在本规划设计中，也将采用这三层进行分开设计、配置。

2.2网络访问控制

2.3网络拓扑结构

因校园网具有统一管理的要求，故局部拓扑结构为星状，整个网络成树状结构，网络中心是网络树的树干，网络出口相当于树根。

教学区、宿舍区、网络中心的汇聚交换机为树干。

整体设计遵照网络的三层结构：

1）核心主干网：

对整个校园网进行控制管理，以及控制与外网的连接。

为网络的核心。

2）部门级网段：

此网络方案中，包括教学区、宿舍区、网络中心、行政办公区和图书馆，通过千兆多模光纤与核心交换机进行连接，受核心交换机的管理，同时此网段对自己的区域具有独自管理控制权。

根据自己负责区域的需求，为基层网段提供相关服务和管理。

3）基层网段：

采用星型结构，以达到网络结构简单，建网容易，配置灵活，易于扩展的要求。

同时，各站点只和中央节点相连接，便于集中控制和管理，易于汇集各终端的信息和进行用户间的信息交换。

2.4VLAN及IP规划

VLAN号

VLAN名称

IP网段

默认网关

说明

VLAN1

-------

192.168.0.0/24

192.168.0.254

管理VLAN

VLAN2

XZ

192.168.1.0/24

192.168.1.254

行政人员

VLAN3

JS

192.168.2.0/24

192.168.2.254

教职工

VLAN4

JXQ

192.168.3.0/24

192.168.3.254

教学区

VLAN5

FWQ

192.168.4.0/24

192.168.4.254

服务器群

VLAN6

WJS

192.168.5.0/24

192.168.5.254

微机室

3网络设备选型

3.1路由器的选择

3.1.1核心层

网络核心层是网络的中心，其功能是实现高性能的交换和传输。

因此核心层设备应该是高性能的交换机，可实现高速度的交换传输，以连接服务器等核心设备；

并且非常可靠，实现不间断工作。

S12700系列交换机是华为公司面向下一代园区网核心而专门设计开发的敏捷交换机。

该产品采用全可编程架构，灵活快速满足客户定制需求，助力客户平滑演进至SDN网络。

该产品基于华为公司首款以太网络处理器ENP，内置随板WLANAC无线局域网接入控制器，实现有线无线真正融合；

内置随板BRAS宽带远程接入服务器，提供精细化的用户和业务管理，支持iPCA网络包守恒算法，可对任意业务流随时随地逐点检测，助力客户对业务的精准管理。

该产品基于华为公司自主研发的通用路由平台VRP，在提供高性能的L2/L3层交换服务基础上，进一步融合了MPLSVPN、硬件IPv6、桌面云、视频会议等多种网络业务，提供不间断升级、不间断转发、CSS2交换网硬件集群主控1＋N备份、硬件Eth-OAM/BFD、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。

S12700系列目前提供S12708、S12712两种产品形态。

S12708

产品特点

让网络更敏捷地为业务服务

●S12700内置高速灵活的以太网络处理器ENP，针对以太网专属设计。

凭借其灵活的报文处理及流量控制能力，深入贴近业务，满足现在及未来的各种挑战，助力客户构建弹性扩展的网络。

●在完全覆盖传统交换机能力基础上，S12700通过全可编程开放接口和自定义转发流程，满足企业定制化业务诉求。

企业既可以直接利用多层次的开放接口自主开发新的协议、功能，也可以将诉求交由厂商，与厂商共同开发完成，打造企业专属园区网络。

●ENP芯片采用全可编程架构，可以完全自定义流量的转发模式、转发行为和查找算法。

通过微码编程实现新业务，客户无需更换新的硬件，快速灵活，6个月即可上线。

而传统ASIC芯片采用固定的转发架构和转发流程，新业务无法快速部署，需要等待1～3年的硬件支持。

更敏捷地实现丰富业务特性

●S12700内置随板AC，无需额外购买AC硬件；

整机可管理4KAP，64K用户；

同时S12700也成为业界首款T-bitAC的核心交换机，解决外置AC处理性能瓶颈，从容面向高速无线时代。

●S12700内置随板BRAS，有线无线统一集中到随板BRAS上认证，屏蔽了接入层设备能力和接入方式的差异，支持PPPoE/802.1X/MAC/Portal等多种认证方式，支持对用户进行分组/分域/分时的管理，用户、业务可视可控，实现了从“以设备管理为中心”到“以用户管理为中心”的飞跃。

更敏捷地实现网络精准管理

●iPCA网络包守恒算法，改变了传统利用模拟流量做故障定位的检测模型，可对任意业务流随时随地逐点检测网络质量，无需额外开销；

可在1秒内立刻检测业务闪断性故障，检测直接精准到故障端口，实现从“粗放式运维”到“精准化运维”的大转变。

●SVF超级虚拟交换网，创新实现不仅将盒式交换机虚拟为框式交换机板卡，而且将AP虚拟为框式交换机的端口，使得原来“核心/汇聚+接入交换机+AP”的网络架构，虚拟化为一台设备进行管理，提供业界最简化网络管理方案。

●S12700把WLAN领域中“AC管理AP”的优秀实践应用到“核心交换机管理接入交换机”上，免除了接入交换机的繁琐配置，并利用CAPWAP隧道对接入交换机和AP进行统一管理，实现开局时接入交换机和AP的“零配置”。

业界领先的高规格板卡

●S12700采用自研ENP芯片，提供•百万级硬件表项规格，远超传统交换机：

高达1MMAC表项，3MFIB表项，满足广电、教育城域网核心等大路由应用；

高达1MNetstream表项，满足校园网、大型企业等需要精细化流表统计的应用需求。

●S12700每单板内置1.5G大缓存，确保突发流量不丢包，视频业务清晰流畅。

传统交换机每板一般内置4M缓存，无法满足高质量视频传输的要求。

●S12700支持48*10GE、8*100GE等高密线速线卡。

整机最大支持576个10GE端口，96个100GE端口，充分满足多媒体视频会议、数据访问等大带宽应用需求，保护用户的投资。

端到端的高可靠性设计

设备级：

CSS2交换网硬件集群技术

●S12700采用源自华为高端核心路由器已广泛成熟使用的背靠背集群，在继承CSS交换网集群技术的基础上，创新推出CSS2第二代集群交换机系统，即CSS2交换网硬件集群。

●CSS2采用交换网硬件通道互联，集群系统的控制报文和数据报文不需要经由业务板卡转发，而是直接通过交换网一次转发。

相对于传统业务口集群而言，不仅减少了软件故障可能带来的干扰，降低了板卡故障带来的风险，在时延上也大大缩减。

●CSS2创新支持主控1＋N备份，集群系统中只要保证任意一框的一个主控板运行正常，多框业务即可稳定运行。

相对于传统业务口集群系统，每个框至少要有一块主控单元运行正常的限制，进一步提高了集群系统的可靠性。

●CSS2采用集群不分裂架构，集群系统的控制报文和数据报文走独立的通道，即使所有交换网间链路均发生故障，控制报文也可通过主控板之间的控制通道在设备间互通，集群系统不会分裂。

而传统业务口集群技术，控制报文和数据报文都是通过业务板间的链路进行转发，一旦集群间链路故障，数据报文和控制报文都会丢失，集群系统的设备无法互通，造成集群分裂。

网络级：

端到端的硬件保护倒换技术

●S12700支持硬件Eth-OAM、BFD等链路检测技术，及G.8032、智能以太保护协议SEP等标准/兼容标准的链路倒换技术，提供端到端50ms硬件级倒换，打造反应最迅速、业务最可靠园区。

防火墙USG6650

最精准的应用访问控制

全面创新的下一代环境感知和访问控制。

通过应用、内容、时间、用户、威胁和位置六个维度的组合，全局感知日益增多的应用层威胁。

业界最多的6000+应用识别，细粒度实现应用层安全防护。

丰富的报表将业务状态、网络环境、安全态势、用户行为等可视化展现，让用户全方位感知，安全运营

深度融合的下一代内容安全。

通过解析引擎合并，将安全能力与应用识别深度融合，防范借助应用进行的恶意代码植入、网络入侵、数据窃取、APT攻击等破坏行为。

最简单的安全管理

根据应用场景提供策略模板，实现策略快速部署。

根据网络中的实际流量和应用的风险，遵循最小权限控制原则，自动生成策略优化建议。

分析策略命中率，发现冗余、失效的策略，有效控制策略规模，简化管理。

最高的性能体验

专用软硬件平台架构，IAE单次解析引擎。

智能感知应用信息后，全安全特性并行处理。

内容检测硬件加速，提升应用层防护效率，保障全安全特性开启下的万兆最佳性能。

最全面的未知威胁防护

遍布全球的安全中心，丰富的可疑样本来源。

在云端采用沙箱技术，在模拟环境中监控可疑样本的运行行为，高效发现未知威胁。

发现未知威胁后自动提取威胁特征，并迅速将特征同步到设备侧，有效防范零日攻击。

3.1.2汇聚层

汇聚层设备选用三台S5700-LI精简型千兆以太网交换机系列（以下简称S5700-LI），是华为公司自主研发的绿色节能的以太网交换机，提供灵活的全千兆接入以及万兆上行端口。

该系列交换机基于新一代高性能硬件和华为公司统一的VRP（VersatileRoutingPlatform）软件平台，具有创新AHM（AdvancedHibernationManagement高级休眠）节能，智能iStack堆叠，灵活的以太组网，多样的安全控制等特点，为用户提供绿色、易管理、易扩展、低成本的千兆到桌面的解决方案。

此外，华为公司针对一些特定的应用场景和客户需求，定制开发了电池交换机、CSFP交换机、单面维护交换机等特色款型，以满足不同客户的需要，请参考相关网页。

该设备通过1000Base-SX光纤上联核心交换机，形成网络的高速骨干。

可以提供路由、多层交换等功能，满足三层交换的要求。

可以满足服务器群的高密度、高速率的接入需要，也可以满足因特网接入的需求。

3.1.3接入层

接入层交换机放置于楼层的设备间，用于终端用户的接入。

能够提供高密度的接入，对环境的适应力要强，运行稳定，采用10/100M自适应的普通交换机即可，10台华为S1026T，可堆叠，通过UPLINK端口上联二层交换C3750，实现500个信息点100M到桌面的接入。

S1026T交换机有24个10/100M自适应端口，2个1000M接口，交换技术避免了使用集线器时多个用户共享网段造成的冲突和拥塞，大大提升了网络性能。

4.5医院无线网络设计

4.5.1无线网络架构选型

融合的无线网络架构

基于现有有线网络，通过扩展POE交换机搭建无线网络，有线无线充分融合，对医院有线网络建设质量以及医疗信息化都要较高要求。

优点：

保护投资，降低无线网络初次建设成本;

无线有线完全融合，充分利用现有网络资源

缺点：

部署时需要改动现有网络结构，对原网络进行调整，增加初次部署复杂度；

随着无线网络带宽以及传输数据的增加，无线网络可能会给有线网络设备造成额外的压力

独立无线网络架构

无线传输网络独立建设，新建无线网络与有线网络之间，通过核心交换机实现互联互通。

无线网络不增加有线网络设备转发压力，不对有线网络流量造成影响；

可为关键区域（比如门诊区）提供独立的备份链路；

无线网络核心与有线网络核心直接相连，可支持数据高速转发部署简单，不影响现有网络拓扑结构；

无线网络和有线网络之间通过防火墙隔离，安全性好。

无线网络初次建设成本较高

医院无线网络规划还应考虑如下因素，以便根据具体情况综合决策

要支持802.11a/b/g/n，满足医学影像资料传输需求

推荐采用瘦AP、全网集中控制、简化网络管理、增强控制力度

无线网络核心层通过动态或静态路由协议与原有线网络互联互通

通过AC集中控制AP，设置参数并添加部分集中控制安全策略

4.5.2AP架构的部署选择

WLAN网络在部署过程中，根据不同的需求有多种实现形式，根据网络架构分为：

自治式架构（即FATAP或胖AP架构）和集中式架构（即FITAP或瘦AP架构）两种架构。

胖AP架构

AP实现所有无线接入功能，不需要AC设备形态。

WLAN早期广泛采用自治式架构，随着企业大量部署AP后，对这些AP进行配置、升级软件等管理工作将给用户带来很高的操作成本，管理成本提高，自治式架构应用逐步减少

瘦AP架构

该架构通过无线控制器（AC）集中管理、控制多个AP。

所有无线接入功能由AP和AC共同完成：

AC完成网络具有重要意义的功能，例如移动管理、身份验证、VLAN划分、射频资源管理、无线IDS（IntrusionDetectionSystems）和数据包转发等。

AP完成无线空口的控制，例如无线信号发射与探测响应、数据加密解密、数据传输确认、空口数据优先级管理等。

此架构下AP和AC间采用CAPWAP隧道协议进行通讯，AC与AP间可以是直连或者穿越Layer2、Layer3网络。

CAPWAP信息在AP与AC间交互时可以使用DTLS加密机制，保证通信的安全性。

集中式的瘦AP架构是目前大中小型企业WLAN方案的主要架构，便于集中管理、集中认证和实施安全策略。

这两种网络结构的适用场景比较下所示：

项目

适用场景

微型企业、个人

新生方式，增强管理，适用于大、中、小型企业

安全性

传统加密、认证方式，普通安全性

在传统认证方式的基础上增加基于用户位置的安全策略，高安全性

网络管理

各AP都要加载配置文件

AC上统一配置，AP本身零配置，维护简单

用户管理

类似有线，根据AP接入的有线端口区分权限

虚拟专用组方式，根据用户名区分权限，使用灵活

WLAN组网规模

L2漫游，适合小规模组网

L2、L3漫游，拓扑无关性，适合大规模组网

增值业务能力

实现简单数据接入

可扩展丰富业务

4.6无线网络解决方案

本方案建议采用FITAP组网，无线控制器采用随板AC，AP部署到需覆盖信号的各个区域，比如住院大楼，门诊大楼等。

华为提供室内放装型，室分型和室外型三种AP，以满足医院不同场景的信号覆盖需求。

4.6.1无线医疗架构

不同医院现有有线网络架构的差异，使得各医院的WLAN网络建设存在一定的差异。

根据WLAN无线网建设对现有网络的叠加的影响程度，整体可以分为两个场景：

不改变有线网，WLAN无线网在现有网络上叠加；

新建分院或者有线网改造和WLAN无线网建设同部进行。

4.6.2有线网改造+WLAN无线网建设

WLAN无线网建设和有线网改造同时进行，有线采用802.1x认证，无线采用Portal/IPOE认证，打造有线无线一体化、统一认证和管理的一体化无线医院方案。

新建医院或者有线改造和无线WLAN网络建设同步进行时，推荐整体解决方案如下图所示。

●园区核心：

●核心层推荐采用华为S12700交换机。

其独创的CSS2集群，数据跨框1次交换，21us最低跨框时延，仅为业界平均时延的60%。

且CSS2交换网集群支持1+N冗余备份，增加核心层设备的可靠性。

●网络改造的关键在于“统一认证，集中管理”，在医院出口部署华为融合统一用户管理特性的高性能交换机S12700。

有线接入采取802.1x认证技术，无线接入采用Portal认证技术，所有认证工作通过宽带业务网关完成。

●S12700交换机的可编程单板内置无线AC功能（NatvieAC），有线无线统一转发、统一控制、统一管理，实现有线无线真正融合，且无需在单独购买AC板卡。

●AP设备：

●室内或者室外场景推荐选择放装型设备，减少无线布线的繁琐。

AP设备采用POE供电，就近接入接入交换机，对于报告厅等高密场景推荐使用3*3MIMO设备或者11ac设备以提高单台AP容量。

●室内AP推荐AP6010DN，室外AP推荐AP6510DN。

●接入交换机：

●接入层新增千兆POE接入交换机，满足AP供电以及WLAN11n/11ac对接入带宽的需求。

●接入交换机推荐选择华为S5700-24TP-PWR-SI和S5700-48TP-PWR-SI。

4.6.3无线AP部署方案

室内放装：

AP布放在所规划的安装点，接入交换机放在弱电井内，提供AP的POE供电，同时做接入层汇聚到上层交换机。

3.2服务器的选择

在校园网络中一般提供WWW、文件、打印和邮件等服务，使用单一的服务器系统无法应付高峰时的数据访问，通过多台服务器分担这些负载是比较经济可行的。

所以我们选择了几种服务器：

教学资源服务器、办公自动化服务器、Web服务器和邮件服务器、以及数据库服务器。

可以选择3台hp刀片式服务器虚拟多台服务器使用。

3.3传输设备的选择

3.3.1介质

在主干线上选择光纤传输，各楼层子网采用光纤传输。

信息点采用5类非双绞线传输。

3.3.2楼间

楼间连接选用室外6芯多模光纤，室外6芯单模光纤。

其中，单模光纤因纤芯很小（约4~10um），只传输主模态，这样可完全避免模态色散，使得传输频带很宽，传输容量大，这种光纤适用于大容量、长距离的光纤通信（最长距离可达15KM）。

但采用单模光纤不得不采用激光器件（很昂贵），所以要根据学校的承受能力来选择。

多模光纤不需采用昂贵的激光器件，但传统的多模光纤支持的距离不超过550m，新型的多模光纤——OM3，可以使千兆以太网的支持距离延长到1000m。

所以，光纤选择如下：

楼间的距离（m）

采用光纤种类

<

500

Om2类多模光纤

500到1000米之间

Om3多模光纤

〉1000米

6芯单模光纤

3.3.3设备间

利用配线架，分别连接光纤和双绞线。

4网络管理软件

4.1网元管理软件

eSight网管软件

eSight是华为企业网络产品线面向企业市场推出的IP+IT统一网络管理系统，遵循ITIL规范，为企业和合作伙伴提供融合、开放的运维平台，实现对企业资源、业务以及用户的统一管理。

产品特点可以概括为5个any。

●任何厂家可管/AnyVendor

●预置多厂家设备IP设备管理能力：

Huawei、Cisco、HP

●开放平台，客户/管理人员可自定制需要管理的厂家设备

●任何设备可管/AnyDevice

●统一管理路由器、交换、接入路由器、WLAN等网络设备

●可监控服务器、IT打印机、工作站等IT设备

●默认可监控支持SNMP协议的所有设备

●任何业务可视/AnyService

●网络业务可视化管理，降低运维技能要求：

MPLS/IPSec/WLANRF等视图

●网络质量可视化监控，保障企业IT应用体验：

可视化SLA与设备NQA的完美配合

●网络流量可视化，精细化管理企业带宽应用

●有线无线一体化，实现了有线网络和无线网络的融合管理。

●端到端的VPN业务的监控和故障诊断

●数据中心全网虚拟资源和物理设备间拓扑关系的展示；

感知虚拟变更，动态的调整虚拟机的物理网络策略

●任何策略可控/AnyPolicy

●网络层设备策略批量控制，终端接入认证，用户接入认证，全方位策略控制，保障企业网络安全

●任何客户可用/AnyCustomer

●多版本、多组件模式，任何客户可用，按需选择，降低运维投入

●分级网管，满足企业总部-分支运维模式