您所在的位置:首頁 > 解決方案 > 教育網絡

教育網絡
Solution

教育網絡解決方案

一、方案介紹

本方案圍繞建設安全可靠、經濟適用、可持續發展的校園網絡進行設計,提供學校有線無線一體化解決方案。隨著校園網絡信息化的普及,人們越來越要求盡可能方便、快速、移動式的使用網絡。因此,很多高校開始思考通過何種方式,能夠使得在很多有線網絡無法延伸到的場合,以及如大型教室、禮堂、會議室、圖書館體育場館等場所,也同樣能夠訪問校園網絡。 所以提供良好可靠的有線校園網的同時,也要為校區提供全部的無線局域網信號覆蓋,并提供各種接入業務,讓學校師生體會到有線無線一體化網絡的便捷之處。

二、需求分析

2.1 骨干網絡需求分析

(1)核心交換層

     ●  核心交換網絡建成一個高帶寬、高穩定的核心網、萬兆骨干網、千兆到桌面的校園網絡架構。

     ●  核心網設備可平滑升級到100G平臺,可實現10G、40G、100G的互聯或者接入。

     ●  核心交換能有高安全性和冗余保護,防止整個校園網絡出現故障。

(2)匯聚交換層

     ●  匯聚層交換分別匯總辦公、教學、科研、圖書館、體育場館、師生宿舍的流量,對于不同的區域按需做冗余網絡。

     ●  配置DHCP服務器,按照統一規劃、方便管理的原則對每個區域進行IP分配,并配置策略進行校園網絡的特殊區域的訪問控制。

(3)接入交換層

     ●  快速部署校內網絡接入設備,識別不同設備終端類型,根據終端類型與防代理和AAA模塊聯動實現用戶終端控制接入。

     ●  對現有接入交換機升級,提供千兆接入,選擇具有完善的安全管理功能的接入交換機,實現從網絡的最邊緣即開始進行安全控制。

     ●  無線接入部署覆蓋學校整個區域,設置統一認證的管理,滿足無線校園網絡的需求。

(4)綜合出口網關改造

     ●  綜合出口網關需要滿足未來帶寬擴容,應支持出口帶寬≥5G,出口數≥2個。

     ●  綜合出口網關需要滿足5000人以上的NAT會話數條目,流量精細管理,基于用戶認證賬號的帶寬分配,關鍵應用不中斷。

     ●  需要實現用戶可自主選擇運營商注冊賬戶,根據用戶注冊時選定的運營商選擇對應運營商出口線路,即電信、聯通、移動用戶只能通過各自的出口訪問互聯網,教師用戶訪問互聯網轉向教師專用出口。

     ●  需要實現帶寬共用功能,例如1位用戶選擇10M帶寬資費,當該用戶移動端和PC端同時上線時,該用戶的帶寬不能為20M,移動端和PC端應共用10M帶寬。

2.2 無線網絡需求分析

     ●  無線網絡設備提供日常的無線應用,同時也應該充分考慮未來無線網絡應用增長和安全的需求,建成覆蓋服務區域內的無線校園網。

     ●  有線網絡和無線網絡可以互訪,無線網絡采用無感知認證和WEB認證兩種方式,納入統一認證計費平臺管理。

     ●  無線網絡提供如用戶身份鑒別、訪問控制、審計等安全管理功能。

     ●  無線網絡方案設計易實施、美觀、系統易管理,靈活支持未來基于WIFI的互聯網應用。

     ●  配置無線網絡管理系統,管理的對象包括所有的無線控制器AC和無線接入點AP,管理的功能包括配置管理、性能管理、故障管理、安全管理,并具有自動定期報表生成和發送功能。

     ●  信號要求宿舍區域的信號接收強度≥-65dBm;教室、會議室、圖書館、辦公樓等區域的信號接收強度≥-70dBm。室外AP覆蓋區域要求80%以上區域接收信號強度≥-75dBm,每個場所支持并發用戶50個以上。

     ●  無線用戶通過統一的認證系統實現多種基于用戶或用戶群的訪問控制,接入控制策略實施、操作過程要方便、易用,即時生效。

2.3 網絡安全需求分析

     ●  安全設備需要提供負載均衡,出口安全,行為審計,入侵檢測,實時漏洞檢測,WEB應用防護。

     ●  出口安全設備采用下一代防火墻,吞吐滿足建設規劃。

     ●  行為審計規范用戶上網行為,規避言論違規。

     ●  入侵檢測、實時漏洞檢測主動防御網絡攻擊,保障校園網絡的安全。

     ●  WEB防護設備保護校園對外業務系統安全,避免因網絡攻擊造成的不良影響。

三、網絡設計原則

3.1 先進性設計

搭建校園網絡平臺時,交換設備應充分考慮當前和未來至少5年網絡技術和規模的發展,使其具備良好的可擴展性。既要滿足目前的使用需求和學校信息化發展規劃,更應考慮未來在不改變主體架構的前提下,實現平滑升級和擴容。

3.2 可行性設計

此次校園網建設兼顧有線和無線辦公,所設計的方案能夠充分考慮該校的辦公、教學、科研、圖書館、體育場館、師生宿舍等各種場景。打造一體化校園網絡滿足大流量數據的上下傳輸及并發數的問題,不留下設計缺陷和設計漏洞。

3.3 靈活性設計

此次校園網的設計按照模塊化、層次化的原則設計網絡,網絡具有較好的伸縮性,核心層預留拓展槽位,可以根據網絡建設的不同階段靈活配置和擴展。其次有線、無線一個網,統一認證、統一管理、統一運維,不僅接入網絡方便靈活,而且管理網絡也非常便捷。

3.4 實用性設計

對現有校園網絡深入調研,充分考慮已有資源合理利用,新建網絡的同時將原有網絡作為冗余網絡,不僅利用現有資源,也保證了該校校園網絡的安全性。學生宿舍全采用無線部署,綜合布線一次到位,方便了學生客戶端的接入。

3.5 可靠性設計

網絡可靠性方面采用提供負載均衡,出口安全,行為審計,入侵檢測,實時漏洞檢測,WEB應用防護等功能保障網絡的可靠性,實現內外網訪問需先認證,后訪問原則,充分保障了網絡的可靠穩定性。

三、網絡設計

3.1 核心層的設計

校園網的核心層交換機部署在校園核心機房中,匯聚校園各個區域之間的用戶流量。作為整個網絡平臺的神經中樞,不僅要保證7*24小時的穩定運行,各種應用服務器的數據能夠被穩定可靠的傳輸到終端系統,同時還要協調全網的數據流量和訪問策略,在提供信息服務的同時,保證網絡中心自身的安全。 校園網設計為核心層部署兩臺核心交換機,在核心交換機上部署多個萬兆光口滿足整個校園各個區域匯聚的需要,這樣可實現流量負載均衡和快速轉發,避免了單臺核心設備的負載太重而導致的網絡性能問題。同時部署出口防火墻和WEB防火墻,對全網核心數據流進行實時安全防護。出口路由器和核心交換機作為OSPF的區域, 保證核心網絡到出口的互聯互通。

3.2 匯聚層的設計

在校園網絡匯聚層的設計中,分區域在辦公樓、教學樓、圖書館和師生宿舍分別部署匯聚交換機,下行滿足各個區域接入交換機的接入,上行采用10GE光鏈路接入核心層,在教學網絡為了避免節點故障,可以冗余備份方式來避免單點故障,網絡協議自動感知故障后對網絡流量進行動態調整,實現流量的快速切換。匯聚層和核心層之前采用靜態路由協議,保證網絡互通和簡單,其次在匯聚層上部署DHCP,為校園網絡的接入客戶端分配合適的IP地址。

3.3 接入層的設計

接入層采用有線和無線的綜合接入方式,在學校的區域樓道內部署PoE交換機,教室、辦公室、電子閱覽室搭載墻面式AP,既滿足了無線網絡的接入,也提供了有線辦公接口,方便學校各種客戶端的接入。對于像體育館、圖書館、報告廳等場所采用面板式和吸頂式AP結合,滿足高密度的無線接入保證了整個校園網絡的良好的可用性。

3.4 網絡安全的設計

對于此次校園網絡的建設,我們強調打造安全校園網絡,對于安全方面的設計是本次網絡規劃的重點內容。我們采用針對區域進行VLAN劃分,對與不同用戶、不同應用加以的QoS保證。 出口安全設備采用下一代防火墻,吞吐滿足建設規劃,防御外部網絡帶來的各種攻擊。部署行為審計規范用戶上網行為,規避校園言論違規。入侵檢測、實時漏洞檢測主動防御網絡攻擊,保障校園網絡的安全。 WEB防護設備保護校園對外業務系統安全,避免因網絡攻擊造成的不良影響。 對于無線網絡接入的安全需求,由于接入用戶比較復雜,網絡應用不盡相同。我們采用WEP機密、WPA認證、802.1X認證、EAP-TLS擴展認證、VLAN劃分技術,可提供完備的安全防御能力。 網絡建設的認證系統要能夠實現校園網和運營商之間網絡的認證進行對接,實現用戶采用一套賬號(校園網賬號)、一次認證完成校園網和運營商網絡的認證。支持在同一基礎網絡平臺上進行多家運營商的運營。上網用戶使用校園網帳號可全網認證,平滑切換運營商而無需更改網絡配置和接入線路。

四、方案優勢

在整個校園網絡的整體規劃中,采用了層次化的設計方案,結構清晰,方便進行網絡維護和管理。有線無線一體化網絡極大的方便了校園用戶的接入。其次校園網絡的每個層次中都配置了相應的策略,保證了校園網絡的可用性。在安全性方面,出口設計采用防火墻和入侵防御、安全審計系統來保證數據系統的安全。內網部署劃分VLAN,部署ACL和QoS,阻截無權限用戶對關鍵數據系統的訪問。另一方面,通過合理VLAN的劃分,縮小每種業務的廣播域,減小因數據的過度廣播造成對帶寬資源的浪費,保證網絡系統的資源有效的利用。方案中所采取的技術與產品從經濟性、實用性、擴展性的原則來設計網絡,滿足校園現在辦公與未來幾年的拓展。

五、典型組網

5.1 校園建設網絡拓撲

六、實現的需求

(1)建設校園有線無線一體化網絡,滿足不同終端的接入需求,極大方便了教學辦公;

(2)建設的網絡充分利用原有網絡資源,部署網絡結構合理,技術先進,具有高可靠性和可擴展性;

(3)校內所有計算機連接到網絡中,要求網絡能支持多路并發多媒體信息的傳輸,以支持遠程教學;

(4)核心層、匯聚層都采用冗余設計,避免校園網絡單點故障;

(5)校園服務器千兆接入核心交換機,解決服務器接入瓶頸;

(6)通過劃分VLAN,部署ACL和QoS,保證了不同的需求的服務質量;

(7)統一的IP規劃,保證網絡的清晰,方便校園網絡后期運維管理;

(8)能對每個用戶的使用情況能進行事后審計,方便跟蹤查詢;

(9)部分教學要求優先保證固定帶寬,教學網絡滿足共享數據的需求;

(10)網絡管理系統功能完善,操作簡便,方便網絡的管理維護;

(11)網絡統一認證,自主選擇運營商,滿足校園不同用戶的需求;

(12)網絡部署防火墻、入侵防御、安全審計保證校園網絡的安全;

(13)全系統配備有靈活的升級和擴容功能,保證未來幾年校園發展的需求。

  • 官方微信
湖北快3今日开奖结果