南京艺术学院校园网有线无线网络一体化设计方案

《南京艺术学院校园网有线无线网络一体化设计方案》由会员分享，可在线阅读，更多相关《南京艺术学院校园网有线无线网络一体化设计方案（38页珍藏版）》请在装配图网上搜索。

1、南京艺术学院校园网有线无线网络一体化设计方案2015年4月第一章综述41.1. 学院简介41.2. 校园网建设思路41.2.1. 合理的网络结构51.2.2. 先进性和实用性51.2.3. 网络的可扩展性51.2.4. 网络的可靠性61.2.5. 网络的标准化61.2.6. 网络的可管理性6第二章网络方案建议及设计72.1. 设计思路72.2. 网络架构总体设计概览72.3. 校园网络架构设计说明82.3.1. 网络物理结构互联设计说明82.4. 校园网基础网络架构设备选型92.4.1. 核心层交换机92.4.2. 汇聚层交换机112.4.3. 接入层交换机12第三章网络基础服务设计143.1

2、. 网络设备命名设计143.2. 交换网络设计153.3. VLAN划分153.4. VLAN划分示例153.5. 二层无环设计163.6. Spanning-Tree设计163.7. Trunk设计173.8. 链路聚合设计183.9. 路由设计183.10. 路由协议选择18第四章IP地址设计194.1. IP地址整体设计194.1.1. IP地址整体设计194.1.2. IP地址总体分配规则20第五章高可用设计205.1. 高可用设计原则205.2. 网络设备高可用215.3. 三层高可用215.3.1. 网关冗余215.3.2. 路由冗余225.4. 二层高可用225.4.1. 生成树

3、冗余22第六章SNM件定义网络-智能园区网解决方案说明236.1. 智能园区为管道方案236.1.1. 智能选路和故障恢复236.2. 流量分析和攻击保护方案26第七章无线设计方案297.1. 无线网络需求分析297.2. 基于WLAN)O络的移动多媒体业务需求297.2.1. 移动多媒体办公需求297.2.2. 移动多媒体教学需求297.2.3. 满足校园特点的安全和可靠性297.2.4. 高性能的IPv6和IPv4无线接入307.2.5. 基于个人用户的运营管理307.2.6. 满足生产、运营网络要求的运维和管理307.2.7. 支持用户全网漫游307.2.8. 灵活部署、易于扩展、高性价

4、比307.3. 无线网络设计原则317.4. 无线网络部署原则327.5. 无线覆盖方案设计327.5.1. 室内AP337.5.2. 室外AP337.6. 无线安全接入和认证方式34第八章方案特点378.1. 高可用性378.2. 高安全性378.3. 高度的开放性与标准化378.4. 易维护3711第一章综述1.1. 学院简介南京艺术学院是江苏省唯一的综合性艺术院校，也是我国独立建制创办最早并延续至今的高等艺术学府。其前身是1912年中国美术教育的奠基人刘海粟先生约同画友创办的上海图画美术院，1930年更名为上海美术专科学校，由蔡元培先生任上海美专董事局主席，并为校歌作词，题写校训、学训。

5、1922年，颜文楔先生在苏州创办了苏州美术专科学校。这两所中国最早的私立美术学校于1952年全国高等学校院系调整中与山东大学艺术系美术、音乐两科合并成为华东艺术专科学校，址于江苏无锡社桥。合并工作于12月8日完成，从此，这一天成为南京艺术学院的校庆日。1958年华东艺专迁校南京，址于丁家桥。同年6月更名为南京艺术专科学校。1959年定名为南京艺术学院，学制改为四年，从而完成了学校的本科建制。1967年迁址南京市虎踞北路15号。经过一个世纪的建设和发展，南京艺术学院经风雨而茁壮，历沧桑而弥坚，已发展成为在国内外卓有影响的综合性高等艺术学府。1.2. 校园网建设思路根据对校园网规模和网络需求的分析

6、，可以对网络的建设目标有更清晰的认识。网络建设应该向着易管理、可扩展、高可靠性的方向发展，满足日常的校园应用和教学开展需求同时为将来业务扩展提供良好的基础。针对网络以及应用平台的需求，结合我们在教育行业的先进经验，我们建议在网络建设时，重点考虑以下的几个方面，建设一张有线无线一体化平台的网络系统，满足日常业务开展的需求。网络系统设计必须适应各项应用和的需要，又可面向未来信息化发展的需要，必须是高质量的网络。在设计网络时，需要遵循以下原则：(1) 高可靠性：网络的稳定可靠是应用系统正常运行的关键，在网络设计中选用高可靠性的网络产品设备，充分考虑冗余、容错和备份能力，同时合理设计网络架构，制订可靠

7、的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的可靠运行。(2) 技术先进性：在保证满足基本业务应用的同时，又要体现出先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到网络应用的现状和未来发展趋势。(3) 高性能：骨干网络的性能是整个网络良好运行的基础，在设计中必须保障网络及设备的高吞吐能力，保证各种信息(数据、语音、图像)的高质量传输，才能使网络不成为业务开展的瓶颈。(4) 标准开放性：支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络之间的平滑连接互通，以及将来网络的扩展。(5) 可扩展性：根据未来业务的增

8、长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。(6) 可管理性：选用先进的网络管理平台，具有对设备、端口等的管理及流量统计分析，并可提供故障自动报警。(7) 安全性：制定统一的网络安全策略，整体考虑网络平台的安全性，包括端点接入安全、应用层安全防御等，做到业务数据的安全传递和网络设备不受非法攻击。(8) 经济性：在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。1.2.1. 合理的网络结构校园网网络的建设，需要制定一个合理的网络架构，提供稳定、可靠、高效和灵活的业

9、务承载平台，满足业务及应用的需求。1.2.2. 先进性和实用性网络设计应本着实用与先进的原则。一方面能满足校园日常应用系统的数据传输要求，为各信息点提供网络传输服务。另一方面，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术结合起来，充分考虑到应用的现状和未来发展趋势。1.2.3. 网络的可扩展性业务的发展对网络的需求是不断变化的，网络应用系统为了满足这些需求也会随之变化。面对不断变化的情况和需求，网络应当能够作出快速和有效的反应。因此，网络必须具备良好的可扩展性，应支持核心业务系统的不断扩展，适应未来业务的发展和变化。同时，网络结构应当能够变化，具有灵活的伸缩能力，网络

10、设备可以扩充和升级。网络的可扩展性也体现在网络设备的可扩展性和良好的性价比和投资保护。1.2.4. 网络的可靠性网络系统的稳定可靠是园区网络各个应用系统正常运行的保证，应采用高可靠性的网络产品和完备的网络备份策略，对于不同层次的设备和线路进行不同级别的可靠性设计，使网络具有故障自愈的能力。1.2.5. 网络的标准化网络设计中所用的各种管理信令、接口规程、协议须符合国际标准。网络技术的选择上采用开放的标准技术，且适度前瞻。技术具备开放性和通用性，保证能在多厂家、多品牌设备的良好的互连互通。1.2.6. 网络的可管理性随着网络规模的不断扩大和网络的不断复杂，网络的维护量随之增加。整个网络的可管理性

11、变得尤为重要。因此，数据中心网络系统应当具有统一的可管理性，建立统一的网络管理平台。不仅实现对网络设备的管理，同时实现对网络策略的管理和不同协议的多级维护。第二章网络方案建议及设计2.1. 设计思路校园网络的建设存在两种建设思路：路由式网络和交换式网络。路由式网络，一般其核心是由高、中端路由器构成的；而交换式网络，主要是通过三层交换机来构建。考虑到校园网络的可靠性、安全性、简单管理等要求，网络架构设计尽量简单，首先每栋楼宇内部每个楼层都设计有12个IDF弱电间，同时我们考虑到校园网络架构对可靠性、安全性的要求，针对于学生、教员、监控安保设备网等对网络的不同需求，结合当前整个校园网网络发展的方向

12、，我们建议整个网络结构首先划分为两个层次，业务接入层和业务控制层，业务接入层由接入层交换设备与汇聚层交换设备完成，业务控制层可以通过核心交换机、业务服务器、路由器或者防火墙等设备来完成，形成一张可扩展可伸缩，兼顾可靠性、安全性、业务可发展以及网络结构的一致性和简单性，网络互联物理架构采用三层结构，网络业务层采用扁平化架构，即业务控制层和业务接入层。2.2. 网络架构总体设计概览网络结构就像是建筑的根基。根基不好，则整个建筑不稳。网的优劣，将影响网络的各个方面，譬如安全、维护、管理等等。过去的网络，由于受到设备能力的限制素，网络结构的设计，往往根据设备来设计网络。而今天的网络，我们则应该根据应用

13、，根据是否更具备扩展性、是否更安全，是否更易于维护和管理来考虑。校园网络架构，根据业务和功能可以划分为业务控制层即核心层以及业务接入层即汇聚和接入层。物理上的连接方式仍然是三层架构，因为校园网络规模和楼宇比较分散，需要将接入层交换机归类按楼宇或地域进行集中汇聚，然后汇聚层再上联到核心层，这样既可以节约核心层交换机的端口，同时也可以理清网络物理架构，减轻核心设备的压力和成本开支。当然现在的扁平化两层架构和传统的三层架构其实从其根本上没有什么冲突，传统的三层将业务终结到核心或者汇聚层，而现在技术发展到今天，核心网络设备的功能和性能越来越强大足够承担核心和汇聚统一的功能，因此将原有传统的核心和汇聚组

14、合成业务控制层，减少网络层次结构更加清晰化，形成面向未来的扁平化两层架构，其扁平化的管理及安全控制相比较传统的三层会更加简单高效易于管理。还有对未来网络扩展综合来说业务层面扁平化是它带给用户的不仅仅是技术的先进性,性和经济性的考虑，更加有利于网络的全面完善的业务支持能力、提高网络处理性能和效率,提升网络整体的可靠性和管理维护的便利性。物理结构三层连接方式，接入、汇聚、核心，三层网络架构更清晰，成熟。参考物理三层网络架构设计网络拓扑概览如下图:校园园区网架构互联概览图五M交靛机千瓶修厩率总成黄玄 里KL出事冏 挂人届 鼻胃口收* 上联*汇M生府充搀蛇5辞机培互玳网脖教科网2.3. 校园网络架构设

15、计说明2.3.1. 网络物理结构互联设计说明校园网网络物理互联架构设计采用三层网络结构。校园网核心层采用两台高性能模块发交换机,提供整个校园网互联互通，运行三层路由协议，比如OSPF等，核心交换机配置冗余引擎，冗余转发，冗余电源以及散热系统。核心交换机提供丰富且高密度的千兆、万兆端口，用于连接服务器、汇聚或者接入层交换机。核心交换机能够支持跨机箱端口聚合能力，可以支持针对面向于核心交换机的外围网络设备进行跨机箱的端口聚合，提供高速、冗余的链路能力。校园网汇聚层交换机主要用于在楼宇接入层集中汇聚上联到核心，下联到IDF接入层交换机，楼宇汇聚交换机可以支持并提供丰富的千兆、万兆端口，并且支持三层高

16、级路由协议以及冗余电源系统。汇聚层交换机除具备基本的互联互通功能以外还需要能够支持主流的SDN技术，利用SDN术开展一些传统交换机不能尝试的功能以提高汇聚层交换机的价值。汇聚层交换机需要具备虚拟化/堆叠能力，能够支持本地和远程虚拟化，通过虚拟化技术可以将园区网中多台汇聚层交换机形成一张汇聚环网，提供跨设备的端口聚合连接核心交换机和接入层交换机，汇聚环网同时还可以保证网络架构的冗余性以及可靠性。汇聚层交换机通过万兆端口交叉冗余互联到校园网核心交换机，实现跨机箱端口聚合提高链路带宽利用率和可靠性，同时建议采用千兆冗余交叉互联到校园网接入层交换机，利用跨机箱的端口聚合能够提高可靠性和链路带宽。校园网

17、接入层交换机，主要提供给有线和无线终端接入，有线无线终端通过千兆链路与交换机进行互联，能够有效保障线速转发。接入层交换机需要具备虚拟化/堆叠技术，能够将IDF内部多台交换机进行物理虚拟化，虚拟化之后通过千兆链路冗余连接到汇聚层交换机并实施跨端口聚合的技术有效提高链路带宽和可靠性同时减少链路成本结合虚拟化/堆叠。接入层交换机具备基本的三层功能，比静态路由同时还需要提供堆叠虚拟化能力，二层生成树主要应用与接入层与终端之间的环路保护，可以通过BPDU滤控制器技术对接入层交换机物理端口实施一些安全保障，提高安全性避免环路和攻击导致网络瘫痪。2.4. 校园网基础网络架构设备选型2.4.1. 核心层交换机

18、核心层交换机建议采用机箱模块化交换机，支持冗余引擎、电源，业务板卡支持千兆和万兆端口，推荐使用博科的FASTIRONSX系列交换机，其中两种型号：8个业务才t位和16个业务槽位。FastIronSX系列设计用于实现最大的灵活性，可升级以增加PoE/PoE+、10GbE冗余管理、交换矩阵和电源。可扩展的FastIronSX系列有两种机箱式型号，可帮助企业和服务提供商降低成本，获得通用操作系统、共享接口和通用电源模块带来的运营优势。支持并具备丰富的业务板卡选择：24xi GbE光纤接口 (SXI24HF)24xlGbEPoE+端口 2noGbE 端口8nOGbE 端口(SX-FI24QPP)(SX

19、-FI2XG)(SX-Fk0XG)先进的BrocadeFastIron软件操作系统可支持一整套单播和组播路由协议，帮助用户构建特性全面的2层/3层网络。支持的路由协议包括RIPv1/v2、OSPFPIM-SM/DMBG环口EqualCostMulti-Path（ECMP,可提高网络性能。FastIronSX系列可通过高级路由软件（3层升级，以支持IPv4和IPv6路由）升级。FastIronSX系列为系统和PoE电源采用了独特的电源分配设计。机箱采用独立的系统和PoE电源子系统。与系统和PoE设备使用公用电源的模块化系统相比，这种设计能实现最佳的电源运行和配置，降低设备和长期管理成本。在Fas

20、tIronSX系列中，线路模块的PoE电路的功耗不会影响系统电源。同样，线路模块、交换机模块和管理模块的功耗也不会影响PoE电源。FastIronSX系列采用了可支持IPv6的管理和接口模块，可通过互连现有网络或不同网络中的IPv4和IPv6交换机来提供平滑的迁移路径。企业可以灵活选择在哪些站点上进行升级，部署支持IPv6的模块，使网络作好支持未来IPv6应用的准备，或者也可以进行全面的IPv6部署。2.4.2. 汇聚层交换机校园网汇聚层交换机需要考虑高密度的接口，千兆光纤接口与接入层连接，万兆上行,同时还可以考虑用40G接口进行堆叠或者上联。如果考虑千兆光纤接口与接入层交换机进行互联，同时万

21、兆上联以及40G接口堆叠，我们建议采用博科ICX6610-24F。BROCADEICX6610交换机采用堆栈式设计，可提供前所未有的高性能、可用性和灵活性一一兼具机柜式交换机的强大功能和堆栈式交换机的灵活性及经济高效性，重新定义了企业联网的经济性。每交换机4个冗余40Gbps堆栈端口、无缝的堆栈故障切换、交换机热插拔、双可热插拔电源及风扇可确保无与伦比的高可用性。BrocadeICX6610交换机可以通过4个标准的40GbpsQSF踹口堆叠起来，提供一个堆栈带宽高达320GbpSt勺全冗余虚拟机柜式背板交换机。BrocadeICX6610提供4个40Gbps高性能QSFPt栈端口（中间），并配

22、备了可热插拔的负载分担电源和风扇托架（左右两侧）。软件定义网络（SDN是一种强大而全新的网络模式，设计用于当前世界上要求最苛刻的网络环境，有望提供突破性的定制功能、可扩展性和效率。BrocadeICX6610可支持OpenFlow1.3协议，这种协议允许在OpenFlow控制器和支持OpenFlow的交换机之间进行通信，进而实现SDN利用这种方法，企业可以通过编程控制自己的网络，通过新的网络应用和服务把网络转变为创新平台。BrocadeICX6610能够以真正的混合端口模式支持OpenFlow。借助博科混合端口模式，企业可以在同一端口上同时部署传统的2/3层转发和OpenFlow。这种独特的功

23、能使网络管理员可以将OpenFlow逐步集成到现有网络中，利用SDN提供的编程控制功能来管理特定数据流，而其余流量仍和以前一样进行转发，进而提供了一条实用的SDN各径。BrocadeICX6610对OpenFlow的硬件支持使企业能够以线速运行这些功能。2.4.3. 接入层交换机接入层交换机需要考虑全千兆线速转发交换机，能够支持24/48个千兆以太网电口或者PO口用于有线和无线终端接入，同时需要具备4个千兆上行接口与汇聚交换机进行连接，在功能性方面需要满足基本的三层能力以及物理机箱虚拟化堆叠能力。我们推荐接入层交换机部署博科的ICX6430-24或者48口交换机，能够支持千兆接入和千兆上行同时

24、可选支持POW能。利用BrocadeICX6430和6450交换机，企业可以只购买当前所需的产品，然后在网络需求增长时轻松扩展用户端口和服务。博科提供灵活的软件授权选项，来在成本更低的端口上实现高级服务和出色性能，进而实现最有效的投资保护BrocadeICX6430和6450可通过相同的网络连接提供PoE电源并传输数据，因此为最新的边缘设备提供了一种单一线缆解决方案（见图4）。BrocadeICX交换机可兼容符合行业标准的IP语音（VoIP）设备及传统的IP电话。此外，这些交换机可支持PoE琳准（IEEE802.3at）,向每台设备提供Class4（30瓦）电源。这种先进的解决方案可以简化下一

25、代边缘设备的布线，如视频会议和VoIP电话、监控摄像头和802.11n无线接入点（AP）。PoE功能可以减少所需的电源插座和电源适配器数量，同时提高可靠性和布线灵活性。BrocadeICX6450可为所有端口提供PoE电源，而且在部署有第2套外置电源时可以为所有端口提供PoE+可选的BrocadeICX6400-EPS1500是一种外置电源装置，可为BrocadeICX交换机(BrocadeICX6430-C/6450-C和6430-24除外)提供额外的电源。它还可以用于实现系统电源冗余，增加PoE/PoE砌率预算，来支持更多的PoE/PoE喇口。每台BrocadeICX6400-EPS150

26、0最多可以连接到3台BrocadeICX6430和6450交换机。sFlow是一种基于标准的网络导出协议(RFC3176),可帮助化解网络管理员当前面临的许多挑战。通过将sFlow嵌入到BrocadeICX6450/6450-C交换机中，博科提供了一种可实现线速性能的“不间断(always-on)”技术。与依赖镜像端口、探针和Line-tap技术的传统网络监控解决方案相比，sFlow可大大降低实施成本。此外，sFlow还可以为网络中的所有端口提供全面的企业级监控功能。38第三章网络基础服务设计网络基础服务设计是网络详细设计的重要组成部分，包括网络设备命名设计、交换网络设计、路由设计、IP地址设

27、计网络设计和高可用性设计等。合理的网络基础服务设计，将满足校园网对网络环境的需要；并可以兼容现有网络基础服务部署，实现平滑迁移。同时,网络基础服务设计，也将为后续的网络功能区详细设计提供重要指导。3.1. 网络设备命名设计网络设备的命名规则设计如下：命名采用AAA-BBB-nn13个字符的命名规则。AAA3个字位代表位置，比如外网、设备网、数据中心等。BBB:3个字符代表网络设备所属的网络层次及设备类型。nn：2个字位代表同一种网络类型的设备编号。AAA代表位置标识如下:标识用途标识用途B11设备互联B12终端接入BBB网络设备所属的网络层次和设备类型标识:用途标识说明核心交换机CSWCore

28、Switch区域核心交换机ZCSZoneCoreSwitch区域汇聚交换机ZDSZoneDistributionSwitch接入交换机ASWAccessSwitch广域网接入路由器WRTWANRouter同城汇聚路由器ARTAggregationRouter防火墙FWLFirewall全局负载均衡设备GLBGlobalLoadBalance本地负载均衡设备LLBLocalLoadBalanceVPN网关VPNVirtualPrivateNetwork无线控制器WLCWirelessController无线接入点WAPWirelessAP入侵检测设备IDSIntrusionDetectionSy

29、stemVoice网关VGWVoiceGatewayVoice关守VGKVoiceGatekeeper防DDoSDSPDistributedDenialofServicePrevention带宽管理BWMBandwidthManagement3A认证设备AAAAuthentication,Authorization,Accounting表错误！文档中没有指定样式的文字。-13.2. 交换网络设计3.3. VLAN戈U分VLAN的统一规划，有利于未来VLAN的统一管理和维护。基于校园网的网络架构，我们将给出相应的VLA破IJ分建议。VLAN划分，需遵循以下原则：避免使用VLAN1基于网络的功能分

30、区划分VLAN范围，各个功能分区VLANID允许复用对于每个功能区内部，再基于不同的用途进一步划分VLAN网络设备上只定义需要使用的VLAN尽可能避免使用VLANID为1000以后的VLAN根据楼层划分VLAN3.4.VLAN划分示例VLANID说明1保留100-150设备互联200-250终端接入300-350交换机带外管理500-550无线终端PO限备接入600-700设备互联800-900测试1100以上保留3.5 .二层无环设计在分区的交换域中，多台物理分布层交换机都可通过堆叠或虚拟化技术便简化成一台逻辑设备，同时同一交换域中的接入层交换机到核心交换机之间的多条链路连接可以采用链路捆绑

31、的方式，将多条物理链路进行跨设备的链路聚合（DLA）,从而变成了一条逻辑链路，增加带宽的同时也提高了可靠性。如下图，采用虚拟化技术后，分布层的两个设备成为了一个单一的逻辑设备，接入设备直接连接到虚拟设备。这个简化后的组网可以不再需要使用二层生成树协议（建议作为备份方式），简化了网络配置。同时依靠跨设备的链路聚合，在成员出现故障时不再依赖二层生成树协议（建议作为备份方式）的收敛，提高了网络性能和可靠性。无二层环路网络在32所数据中心做如下部署:3.6 .Spanning-Tree设计生成树协议是二层管理协议，通过有选择性地阻塞网络冗余链路来消除二层环路，同时具备链路的备份功能。生成树协议和其他协

32、议一样，是随着网络的不断发展而不断更新换代。IEEE802.1D:STP协议IEEE802.1w：快速生成树（RSTPIEEE802.1S:多生成树MSTP（多实例STP）L2 Trunk- - - 分布层 接入层 终端接入考虑设备兼容性的因素，建议32所的生成树使用IEEE802.1S,多生成树MST附议。区域汇聚交换机设备之间，区域汇聚交换机与接入层之间采用L2Trunk互联接入层设备与终端之间使用VLANAccess接入主机各功能区的区域汇聚层交换机，为接入VLAN的设备提供缺省网关，作为二层交换网络的边界，需要控制每个VLAN生成树协议的根，确保生成树的根位于区域汇聚交换机，而不是接入

33、交换机动态网关协议（VRRP/HSRP的主/备地址的分布，与生成树协议根桥的部署相一致，MST主根优先级定义为4096,MS怖根优先级定义为8192对服务器、客户端直接接入的端口，定义BPDUGuardBPDUFilter,优化接入端口的配置建议在所有光纤端口上启用单向链路检测（UDLD）,应对网络设备互连的单向链路故障，Loopguard在RP（designatedport）接口启用，不启用RootGuard特性3.7. Trunk设计Trunk设计，需遵循以下原则：Trunk统一采用dot1q协议Trunk两端的native-vlan致Trunk中只允许需要的VLAN被TrunkingTr

34、unk两端接口的Speed和Duplex设为一致Trunk在数据中心各个功能分区的部署位置核心交换机和接入交换机之间的链路核心交换机之间链路3.8. 链路聚合设计链路聚合设计，需遵循以下原则：链路聚合内的所有端口都使用相同协议LACP并使用Active模式链路聚合内的所有端口都必须配置到相同的接入Vlan中，或者配置到具有相同Vlan许可列表和相同nativeVlan的Trunk中链路聚合中所有端口的速率和Duplex设为一致链路聚合连接端口上启用EtherChannelGuard功能，防止链路聚合的误配置链路聚合在数据中心各个功能分区的部署位置核心交换机和接入交换机之间的链路核心交换机之间链

35、路3.9. 路由设计3.10. 路由协议选择对路由协议的选择，需要从以下几个方面进行考虑：可扩展性支持路由隔离协议开放性可平滑迁移性卜表对企业主流各个路由协议做了简要的比较分析:路由协议优点需要注意的问题OSPF?开放的路由协议?支持中等规模的网络?路由收敛较快?对数据路径的控制手段较弱?路由负载均衡能力弱静态路由?配置简单?不适合大规模网络?容易形成路由环路根据不同路由协议的特点，建议：采用静态路由结合的方式定义（包括浮动静态路由）第四章IP地址设计IP地址规划，对IP地基于对业务发展的需求，考虑未来业务的发展需要，需要制定址的分配和使用提供指导。411P地址整体设计基于以上原则，在整个企业

36、内部，根据国际互联网RFC1918地址使用标准，采用标准的私有IP地址。RFC1918私有地址空间由以下几部分组成：10.0.0.010.255.255.255（1个A类地址，含224=16,777,216个地址）172.16.0.0172.31.255.255（16个B类地址，含220=1,048,576个地址）192.168.0.0192.168.255.255（1个B类地址，216=65,536个地址）上述三部分地址空间将分别分配在32所嘉定园区网络.4.1.1.IP地址整体设计遵循RFC1918地址规范，采用私有地址段作为32所的IP地址空间。IP地址整体划分方案如下:IP地址范围地址

37、容量地址分配10.28.0.0/-10.29.255.2552B10.34.0.0/-10.39.255.2556B10.42.0.0/-10.48.255.2557B10.52.0.0/-10.63.255.25512B10.65.0.0/-10.70.255.2556B10.72.0.0/-10.79.255.2558B10.80.0.0/-10.87.255.2558B10.88.0.0/-10.95.255.2558B10.96.0.0/-10.100.255.2555B10.128.0.010.129.255.2552B10.134.0.010.139.255.2556B10.142

38、.0.010.148.255.2557B10.152.0.010.163.255.25512B10.165.0.010.170.255.2557B10.172.0.010.187.255.25516B10.190.0.010.199.255.25510B10.217.0.010.219.255.2553B战略预留10.221.0.010.223.255.2553B战略预留10.227.0.010.230.255.2554B战略预留10.232.0.010.242.0.010.239.255.25510.255.255.2558B14B战略预留战略预留4.1.2.IP地址总体分配规则在IP地址使

39、用过程中，总体需要遵循以下分配规则：服务器的地址段中，服务器和终端地址从低到高分配，网关从高到低分配VRR画关：从最高位开始，由高到低服务器/接入用户：从最低位开始，由低到高分配网络设备互连和网络设备的Loopback管理地址采用单独的地址段网络设备互连地址，考虑临时加入网络监控工具的可能性，使用29位掩码，地址从低到高分配同类设备互连，编号小的设备取奇地址，编号大的设备取偶地址不同层次的设备互连，靠近网络核心的设备取奇地址，远离网络核心的设备取偶地址网络设备的Loopback管理地址，使用32位掩码，地址从高到低分配二层设备管理地址掩码为26位，即255.255.255.192第五章高可用设

40、计5.1. 高可用设计原则根据校园网的业务特性，校园网承载着日常办公和互联网访问的实时数据，所以对网络可用性和安全性的要求较高。在进行网络设计时，主要从网络架构高可用，网络设备高可用，网络线路高可用和的角度进行考虑，并实现极高网络冗余能力和网络运行稳定性：充分发挥网络的扩展能力以及网络产品优异的冗余特性实现。不仅避免“单点故障”，而且对于发生概率极小的两点甚至多点同时发生的故障也能一定程度上保证各级网络系统的正常运转。5.2. 网络设备高可用建议在核心设备选型上，采用高性能和高可靠的网络设备用来保证数据中心网络整体的高可用性。电源冗余核心设备采用双电源模块，每块电源支持两路电源输入，充分利用重

41、机房的双路供电服务。同一机箱内的两块电源模块一般支持两种工作模式：两个电源模块各分担机箱所需电源容量的一半如果一个电源模块失败，由另一个电源模块提供全部的电源。两个电源模块最大可分担机箱所需电源容量的大部分，如果一个电源模块失败，另一个电源模块能提供全部的容量，并可根据容量情况适当关闭板卡。引擎冗余核心交换路由设备配置双引擎，并采用多种切换方式支持双引擎之间的无缝切换。业务板卡冗余网络设备机箱内端口模块冗余的通用原则建议如下：关键连接要在两块板卡上保留接口。关键设备的板卡应有50%B口/板卡处于冗余状态。5.3. 三层高可用5.3.1. 网关冗余结合网关设备的冗余为接入设备提供了具有高可靠性的

42、网关，冗余网关技术主要有以下三种：VRRP虚拟路由器冗余协议VRRP(VirtualRouterRedundancyProtocol)将一组路由器构成一台虚拟路由器，把发送到虚拟路由器的数据包动态分配到某一台VRRP路由器上。使用VRRP提高了默认网关的可用性而无需在每个终端主机上配置动态路由或路由发现协议。5.3.2. 路由冗余网络物理链路的冗余设计为路由协议选择备份连接提供了基础。当设备或连接因故障中断时，路由协议会自动重新计算网络路径，并使用正常的连接保障数据通讯。5.4. 二层高可用5.4.1. 生成树冗余交换区域的可靠性通过STP实现。被STP阻断的逻辑链路在线路或设备出现故障的情况

43、下可以自动释放，形成新的拓扑结构，保证网络数据的正常传输。汇聚2第六章sNca件定义网络-智能园区网解决方案说明6.1. 智能园区为管道方案建议采用SDN软件定义网络的技术，在现有校园网中部署支持SDN的汇聚交换机，结合SDN控制器和相应的智能应用，构建扁平化架构园区网络中的智能化管道。6.1.1. 智能选路和故障恢复建议在园区网络白汇聚层部署BrocadeSDN换机，实现双星型链路上联到园区网中的双核心节点，并提供与接入交换机的互联。同时，需要在网络中部署BrocadeBVCSDN制器,一方面通过openflow1.3实现与SDM匚聚交换机之间的交互，同时也可以通过Netconf等协议实现与

44、目前网络核心节点设备之间的互通。如图所示：BVCSDN控制器netconfVLAN1001-2000汇聚nBrocadeBVCSDN控制器是基于Opendaylight开源SDN$制器项目的商业化版本，提供了丰富的南向接口（如openflow、BGP-LSNetconf、YANGsnmp等）,开放的RESTfulAPI北向接口，能够实现与多厂家设备之间的互通，并提供了高可靠性、丰富的应用和完善的技术支持体系。BROCADEWATTACONTROLLER%TbpalogyNodesTopologyYANGUIRefreshVyattavRouter5600EMSNPathiExplorerhos

45、t:00:0：29:Se:b4:12openflaw：52239030536host:00;50:56:c0-:00:06在采用该架构时，默认会通过SDNg制器下发流表到汇聚层交换机，按照特定的规则将用户流量分配到两台核心设备上，如下所示:BVCSDN控制器netconf，七一.M河BVC控制器中流表定义举例如下:10220trueopenflow:52239030536:4020009instructions00openflow:52239030536:10此时交换机中的流表如下：labovs-1:$sudoovs-ofctldump-flowsbr-1NXST_FLOWreply(xid=

46、0x4):cookie=0x8,duration=48.421s,table=0,n_packets=0,n_bytes=0,idle_age=48,priority=200,in_port=4,dl_vlan=10actions=output:2cookie=0x9,duration=4.862s,table=0,n_packets=0,n_bytes=0,idle_age=4,priority=200,in_port=4,dl_vlan=20actions=output:1当某台核心设备出现异常时，BVC控制器通过侦测机制发现设备异常，将下发流表，更改汇聚交换机的转发路径如下:labovs

47、-1:$sudoovs-ofctldump-flowsbr-1NXST_FLOWreply(xid=0x4):cookie=0x8,duration=344.553s,table=0,n_packets=0,n_bytes=0,idle_age=344,priority=200,in_port=4,dl_vlan=10actions=output:2cookie=0x9,duration=300.994s,table=0,n_packets=0,n_bytes=0,idle_age=300,hard_age=2,priority=200,in_port=4,dl_vlan=20actions=

48、output:2BVC SDN控制器netcorif同时，BVC控制器将通过Netconf协议，在运行正常的核心设备上增加相应的配置，允许VLAN20的用户接入、分配地址、身份认证和路由发布等。完成整个故障的闭环处理。6.2. 流量分析和攻击保护方案BrocadeBVCSDN控制器提供了VTM应用，能够通过SDN换机，提供网络内部的流量分析、优化和攻击防护功能，如下所示：PortalBrocade Flaw OplimizerUI实现流程为：1. 汇聚层SDN换机?发送Sflow流分析数据2. sFlow采集器?采集来自汇聚层交换机的Sflow数据3. BrocadeSDN应用程序?分析并管理

49、Sflow流数据，实现应用分析和攻击流量识别?提供策略管理的用户界面和RESTAPIs接口，实现与控制器之间的对接4. SDN制器?编辑OpenFlow1.3策略?实现与汇聚层设备之间的对接，下发相应的流表对特定的数据流进行控制（如限速、丢弃或重定向等）用户通过VTM应用的WE酬面，能够实时获得园区网智能管道内的应用信息，对攻击流量自动识别并通过openflow下发特定的流表，对特定的数据流进行相应的控制，包括限速、丢弃或重定向等。当攻击流量消失后，会自动回收该条流表，保障正常流量得到正常的转发。Vcfummrlc Haw MorhcarICMP Pin.HlgdDanlHM-iDn伸i中中

50、4 0.2434.13L JHhIO.24IB.I3I*0 Oh JT HTr*j*E- Trand Tr5K * -第七章无线设计方案7.1. 无线网络需求分析随着校园网络信息化的普及，人们越来越要求尽可能方便、快速、移动式的使用网络，同时，随着笔记本电脑的普以及无线网卡产品的价格逐步降低，越来越多的人拥有无线网络客户端产品，学校需要能够使得在很多有线网络无法延伸到的场合，以及如大型教室、礼堂、会议室、图书馆体育场馆等场所，也同样能够访问校园网络，最大程度延伸网络半径，真正让网络渗透到校园的每个角落。7.2. 基于WLA丽络的移动多媒体业务需求7.2.1. 移动多媒体办公需求当在学校举行大型

51、活动时，可以通过无线网络提供视频直播和为无线数码相机提供即拍即传业务。7.2.2. 移动多媒体教学需求随着教育教学的扩展，已有的固定课堂模式已不能满足现有学生学习的需求，无线校园网需要能够提供广大师生任何时间、任何地点的接入教学网络，提供课堂远程教学、师生视频交互平台、师生视频会议等需求。7.2.3. 满足校园特点的安全和可靠性南京艺术学院校园无线网的目标是建设一个可收费的、可运营网络，这样的定位对可靠性、安全、加密和非授权用户的控制提出了更明确的要求： 支持精确的无线入侵、射频干扰、非法AP定位和隔离 支持无线频谱分析，保证校园射频层面的安全 冗余的多服务控制保证校园复杂接入环境的安全无线接

52、入 同时支持端到端的网络可靠性保证技术。7.2.4. 高性能的IPv6和IPv4无线接入现在建设高校无线网络，除了要考虑对现有IPv4网络终端的无线接入，满足当前高校师生对无线网络的需求外；又要支持高性能的IPv6的用户接入，以适应网络发展趋势，并保护网络投资。7.2.5. 基于个人用户的运营管理无线网络系统需要支持运营管理功能，能够根据单个用户实现用户管理，包括：认证、计费、安全控制、QoS制等。7.2.6. 满足生产、运营网络要求的运维和管理校园无线网络规模大、环境复杂，因此无线网络系统应该支持高效的运营网络级的管理功能，方便未来无线网络的运维管理室内、室外、Mesh系统一体化控制：所有A

53、P均工作在同一Controller群组（cluster）管理下，可在全网范围内实现无缝漫游、设备定位、自动射频管理和安全控制可分级的一体化网络管理系统：有线、无线网络管理相结合，集中与分布式管理相结合，为运营维护提供高效率和低成本。7.2.7. 支持用户全网漫游校园无线网络应支持用户全网快速、安全、无缝漫游，保证用户在园区移动过程中可以保证IP地址不变、网络连接不间断、应用会话不间断，从而保证用户网络应用在移动中的不间断性。7.2.8. 灵活部署、易于扩展、高性价比为方便校园网络的部署和未来维护的方便性，校园无线网络应具有灵活部署、易于扩展的特性，支持无线接入点的即插即用功能。当然，校园无线网

54、络要具有良好的性价比。7.3. 无线网络设计原则为了确保建设一套完全符合用户需求并具有良好拓展性的优秀网络系统，以保护网络拥有者的投资，在本网络设计上严格按照以下无线网络设计原则进行设计：引先进性所选产品及其组网技术必须达到国际先进水平，并具备适当的技术前瞻性；不高性能所选产品硬件设计上严格依据业界同等技术最高性能标准进行设计；所选产品软件开发必须采用优化的平台进行开发；所选产品必须经过严格的功能和性能测试，并达到标准；引高可用性提供多种故障恢复和冗余备份机制；提供各种网络负载分担机制；设备需具有一定程度的智能特性，以提高网络的可用性；刁可管理性设备必须提供界面友好、易于操作的管理方式；为网络

55、管理者提供多种易于使用的故障定位手段；对用户的接入提供灵活、安全的管理手段；引安全性必须对无线用户提供全面的安全接入保护能力；对无线网络中存在的不安全因素具有发现和告警（或抵御）机制；引可扩展性设备必须具备技术前瞻性和向后兼容性；组网灵活，易于扩展；司开放性设备功能研发尽可能遵循国际标准的协议；可根据客户应用需求开放必要的应用接口；经济性和实用性所选产品具有较高的性价比；在符合用户需求的前提下选择性能合适的产品。7.4. 无线网络部署原则通过分析和实践，南京艺术学院WLAN勺成功实现必须考虑多方面因素，这样才能确保在WLA丽络上实现数据、多媒体传输。WLAN网络的原理决定了WLAN勺系统不可能

56、象GSM!（统或者3G系统那样建立确保的可以提供语音、多媒体的链路，所以，我们在设计的过程中应该考虑如下一些方面，这样才能确保我们的实现，总体的设计原则如下在部署多媒体网络之前，需要有预先的设计和规划，确保WLAN）O络的容量和覆盖程度适合多媒体的传递；需要提供完善的QoS机制，已保证多媒体的优先传输；针对多媒体的特点，在无线控制层面需要对无线特性进行控制，比如功率的协商、多媒体准入控制能力、多媒体包的转发机制等；需要提供基于WLAN/1制的电池节电方法，以保证WiFi多媒体终端的可用性；无线多媒体系统的安全如何保证；无线多媒体系统的快速漫游机制以保证多媒体系统切换对多媒体的影响；天线的选取和

57、AP的部署方法。7.5. 无线覆盖方案设计本次无线网络部署利用现有有线网络进行拓展，核心部分采用光纤捆绑连接至无线控制器，利用核心交换机进行客户端地址分配，无线控制器采用N+1的部署方式提高冗余。7.5.1. 室内AP室内AP的选择需要考虑三个方面网络工作频段考虑到园区接入密度和多媒体吞吐量的要求，建议采用双频802.11a/g/n/ac的AP,在2.4G上主要提供单频11g的终端、手机等的接入，在5G上主要实现笔记本电脑和平板电脑的接入网络容量和性能南京艺术学院的无线网络是以提供学校应用为最终目标而建设的网络平台。为了满足学校多媒体业务，包括视频、语音等方面的需求，带宽需求则是一切业务的首要

58、基础。所以本次室内将部署cisco支持802.11n技术的AP,支持在2.4G和5G频段下实现802.11n技术。同时支持802.11AC满足高吞吐大容量的接入，完全可以满足各种多媒体业务的需求。利用MIMO（多输入多输出技术）、MRC（最大合并比）、数据包聚合等技术还提供远超传统AP的高稳定性的网络。目前我们室内采用两种AP的组合一种是支持1.3G吞吐的三个空间流的AP,另一种是支持867M吞吐的两个空间流的AP,同时他们在传统2.4G频段下分别可支持450M和300M吞吐完全满足使用需求。AP安装由于南京艺术学院校园建筑结构美观复杂，所以为了不破坏建筑内部的装修环境思科提供了AP外观简洁（

59、白色方形）且最厚处厚度仅有3.3厘米的厚度很适合在允许的区域内安装在天花板顶部或墙壁上。这样既不影响建筑外观对安装位置也没有环境要求。7.5.2. 室外AP本次方案在空旷的室外广场和休息区部署802.11N的室外AP并配置防雷装置，室外AP具有良好的环境适应能力通过独立的供电模块完全裸露在室外安装，可以贴墙也可以抱杆安7.6. 无线安全接入和认证方式由于无线信号的空间泄漏特性，以及802.11技术的普及，随之而来的无线网络安全问题也被广大用户普遍关注。如何在保证802.11WLAN的高带宽，便利访问的同时，增加强有力的安全特性？业界的厂商纷纷研究发展了802.11技术，增强了无线局域网安全的各个方面，并促成了诸如802.1x/EAP,802.11i,WPA/WPA等