高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案

高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案高校校園網(wǎng)整體解決方案高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共1頁，當(dāng)前為第1頁。第一部分前言：

高校校園網(wǎng)一直是國(guó)內(nèi)Internet發(fā)展的領(lǐng)頭羊。1994年7月，中國(guó)教育和科研計(jì)算機(jī)網(wǎng)CERNET示范工程啟動(dòng)。也就是同一年，清華北大等頂尖大學(xué)建成了自己的校園網(wǎng)，事實(shí)上這些網(wǎng)絡(luò)也是中國(guó)Internet的開端。高校校園網(wǎng)從1994年的啟動(dòng)建立到現(xiàn)在的13年間，無論是高校校園網(wǎng)的網(wǎng)絡(luò)技術(shù)，還是高校校園網(wǎng)的關(guān)注要點(diǎn)，大致可以分為三個(gè)階段。

第一階段是基礎(chǔ)設(shè)施建設(shè)時(shí)期，時(shí)間大約從1994年到2000年。這期間各種網(wǎng)絡(luò)技術(shù)在高校同時(shí)都有應(yīng)用：以太網(wǎng)技術(shù)，F(xiàn)DDI，ATM網(wǎng)絡(luò)技術(shù)。在這個(gè)階段，由于校園網(wǎng)應(yīng)用的技術(shù)比較繁雜，而且業(yè)務(wù)相對(duì)單一，因此，這一階段，主要關(guān)注網(wǎng)絡(luò)的連通性和兼容性，即如何保證校園網(wǎng)的連通，和各種不同網(wǎng)絡(luò)技術(shù)的兼容和融合。

第二階段是應(yīng)用平臺(tái)建設(shè)時(shí)期，時(shí)間大約是從2000年到2005年。這期間，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，各種應(yīng)用也開始出現(xiàn)并發(fā)展迅速，包括BBS、WWW、FTP、E-mail，以及近兩年流行的BT下載、視音頻業(yè)務(wù)等等，這些應(yīng)用都對(duì)帶寬提出了挑戰(zhàn)。另一個(gè)在此階段發(fā)展迅速的校園網(wǎng)應(yīng)用就是IPTV，更是被成為帶寬的殺手級(jí)應(yīng)用。與此同時(shí)，網(wǎng)絡(luò)技術(shù)--特別是以太網(wǎng)技術(shù)迅猛發(fā)展，1000M以太網(wǎng)已經(jīng)步入校園，萬兆標(biāo)準(zhǔn)也已經(jīng)公布。結(jié)合實(shí)際應(yīng)用和網(wǎng)絡(luò)技術(shù)來看，這個(gè)階段主要關(guān)注：帶寬和應(yīng)用。

第三個(gè)階段是信息資源建設(shè)時(shí)期。時(shí)間從2005年至今，乃至今后幾年時(shí)間內(nèi)。近兩年，萬兆以太網(wǎng)已經(jīng)開始在高校校園網(wǎng)中規(guī)?；瘧?yīng)用，下一代以太網(wǎng)標(biāo)準(zhǔn)也已經(jīng)確立為10萬兆標(biāo)準(zhǔn)。同時(shí)，隨著cernet2的啟動(dòng)，IPV6技術(shù)也已經(jīng)在校園網(wǎng)中實(shí)驗(yàn)并逐步應(yīng)用。當(dāng)基礎(chǔ)設(shè)施、應(yīng)用平臺(tái)建設(shè)之后，信息資源的豐富與否決定了校園網(wǎng)絡(luò)的真正價(jià)值。當(dāng)信息資源充分豐富后，人們的工作、學(xué)習(xí)、生活、娛樂完全離不開網(wǎng)絡(luò)，網(wǎng)絡(luò)的安全與可信又成為頭等重要的問題?？v觀這兩年整個(gè)網(wǎng)絡(luò)世界，安全事件頻發(fā)：沖擊波、震蕩波、ARP攻擊等等。所以，安全可信成為了高校校園網(wǎng)當(dāng)前關(guān)注的要點(diǎn)。

簡(jiǎn)單來說，對(duì)于校園網(wǎng)：豐富的應(yīng)用是關(guān)鍵，而穩(wěn)定可靠的網(wǎng)絡(luò)是基礎(chǔ)，完善的安全和管理手段是保障。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共1頁，當(dāng)前為第1頁。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共2頁，當(dāng)前為第2頁。第二部分高校校園網(wǎng)現(xiàn)狀分析：

前面簡(jiǎn)單回顧了高校校園網(wǎng)的發(fā)展歷程，這可以作為當(dāng)前校園網(wǎng)建設(shè)大方向的一個(gè)參考。下面結(jié)合高校校園網(wǎng)的建設(shè)，分析一下高校網(wǎng)絡(luò)建設(shè)中普遍存在的需求：

1、隨時(shí)隨地接入的需求

首先，高校師生對(duì)于網(wǎng)絡(luò)接入有著強(qiáng)烈的需求。原因有二：一方面，隨著近年來國(guó)家對(duì)高等教育的大力發(fā)展和支持，高校在校生人數(shù)普遍呈現(xiàn)上升趨勢(shì)。另一方面，是由于國(guó)家經(jīng)濟(jì)實(shí)力的增強(qiáng)，技術(shù)的發(fā)展帶來的低成本，導(dǎo)致電腦的普及率也越來越高（據(jù)不完全統(tǒng)計(jì)，在很多的高校，臺(tái)式/PC的擁有率可以達(dá)到70%）。

其次，在部分熱點(diǎn)區(qū)域，或者難以布線的區(qū)域需要一種切實(shí)可行的高性價(jià)比的接入方式。也就是采用無線作為補(bǔ)充或者備份。比如廣場(chǎng)/操場(chǎng)、體育館、閱覽室、會(huì)議室、階梯教室等，這些區(qū)域?qū)τ诠P記本用戶需要能夠提供接入服務(wù)，而這時(shí)有線接入是行不通的。又比如校內(nèi)的某棟較偏遠(yuǎn)的辦公樓或者某幾棟家屬樓，上網(wǎng)用戶有限，進(jìn)行獨(dú)立布線成本較高，所以，同樣需要進(jìn)行無線的接入方式。

簡(jiǎn)言之，網(wǎng)絡(luò)作為一個(gè)底層的平臺(tái)，需要師生能夠隨時(shí)隨地的方便的接入。這就強(qiáng)調(diào)有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的結(jié)合——適合無線網(wǎng)絡(luò)的地方用無線網(wǎng)絡(luò)，適合有線網(wǎng)絡(luò)的地方用有線網(wǎng)絡(luò)。當(dāng)然，兩者可以有一定的冗余，甚至部分區(qū)域會(huì)采用無線網(wǎng)絡(luò)進(jìn)行備份。目前，從全國(guó)來看，眾多的高校已經(jīng)在考慮，甚至已經(jīng)部署了無線網(wǎng)絡(luò)。但是仍然存在了無線設(shè)備帶機(jī)數(shù)不夠、安全性不足、無法很好的進(jìn)行用戶和設(shè)備管理的問題。

2、骨干網(wǎng)絡(luò)高性能、高穩(wěn)定可靠的需求

首先是高性能。高校校園網(wǎng)中用戶數(shù)在不斷增加，并且隨著網(wǎng)絡(luò)應(yīng)用技術(shù)的不斷豐富，高校校園網(wǎng)應(yīng)用也愈發(fā)復(fù)雜，例如FTP、VOD點(diǎn)播等大數(shù)據(jù)量的訪問，尤其目前流行的P2P的應(yīng)用產(chǎn)生了巨大的網(wǎng)絡(luò)流量，如何高速進(jìn)行網(wǎng)絡(luò)傳輸，對(duì)網(wǎng)絡(luò)設(shè)備的性能提出了很高的要求。實(shí)際情況中，依然有很多高校使用的骨干設(shè)備是集中式表查詢和集中式轉(zhuǎn)發(fā)模式的。很多時(shí)候，老師們抱怨網(wǎng)絡(luò)很慢，而設(shè)備性能不夠是其中一個(gè)很重要的原因。

其次是穩(wěn)定可靠。一方面，未來的社會(huì)是信息的社會(huì)，當(dāng)前隨著校內(nèi)師生員工的工作、科研、學(xué)習(xí)、生活、娛樂越來越離不開網(wǎng)絡(luò)（例如：無紙化辦公、網(wǎng)絡(luò)教學(xué)、視頻會(huì)議和VOD點(diǎn)播、網(wǎng)上購(gòu)物等業(yè)務(wù)的開展），網(wǎng)絡(luò)的穩(wěn)定可靠性就顯得愈發(fā)重要——網(wǎng)絡(luò)隨便斷開幾小時(shí)也無所謂的歷史已經(jīng)過去了。另一方面，在應(yīng)用豐富的同時(shí)，網(wǎng)絡(luò)環(huán)境也變得異常惡劣。近兩年，安全攻擊事件呈指數(shù)級(jí)上升而所需要的知識(shí)卻越來越弱化，各種攻擊工具在網(wǎng)絡(luò)上可以隨手拈來。這也對(duì)網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)攻擊或者病毒泛濫情況下的穩(wěn)定可靠高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共3頁，當(dāng)前為第3頁。提出了挑戰(zhàn)。目前，在高校使用的設(shè)備中還存在大量早期采購(gòu)的設(shè)備，這些設(shè)備在啟用了安全規(guī)則情況下性能急劇下降--在受到網(wǎng)絡(luò)攻擊或病毒泛濫的時(shí)候，CPU利用率居高不下，設(shè)備穩(wěn)定性降低，很可能死機(jī)/宕機(jī)。

由此分析看來，隨著用戶數(shù)增加、應(yīng)用的復(fù)雜，導(dǎo)致網(wǎng)絡(luò)流量的飛速提升，需要保證多用戶、大流量情況下骨干的高帶寬，骨干設(shè)備的線速轉(zhuǎn)發(fā)；隨著師生日常對(duì)于網(wǎng)絡(luò)的依賴性的增強(qiáng)，和網(wǎng)絡(luò)環(huán)境的日趨惡劣，需要保證做到骨干網(wǎng)絡(luò)一定級(jí)別的穩(wěn)定可靠性（比如四個(gè)九-99.99%）。

3、出口區(qū)域?qū)π阅芎凸δ苄枨?/p>

對(duì)于出口，最主要有兩個(gè)方面的需求：

一方面，需要進(jìn)行多出口的策略部署，并且需要解決多出口部署下的性能問題。具體來說，NAT（地址轉(zhuǎn)換）就是上網(wǎng)速度慢的一個(gè)重要原因，另外設(shè)備啟用策略路由時(shí)，造成設(shè)備性能的下降，也影響整個(gè)出口的效能和穩(wěn)定性。究其根本，設(shè)備的性能是一個(gè)很大的原因（對(duì)于NAT（地址轉(zhuǎn)換）支持的優(yōu)劣，有兩個(gè)很重要的依據(jù)，那就是“并發(fā)會(huì)話數(shù)”和“新建會(huì)話數(shù)”）

另一方面，對(duì)于出口設(shè)備的功能也還是需要引起注意。比如，《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》在2005年11月23日公安部部長(zhǎng)辦公會(huì)議通過，并自2006年3月1日起已經(jīng)施行。（該規(guī)定簡(jiǎn)稱“82號(hào)令”）規(guī)定對(duì)用戶信息、用戶上網(wǎng)記錄、地址轉(zhuǎn)換記錄、設(shè)備狀態(tài)記錄等都有要求。一旦不符合日志要求，極可能面臨整頓或者關(guān)閉網(wǎng)絡(luò)的危機(jī)。

關(guān)于出口區(qū)域問題的分析，請(qǐng)?jiān)敿?xì)查看《銳捷網(wǎng)絡(luò)高教出口解決方案》中的分析。

4、來自網(wǎng)絡(luò)安全的需求

高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共4頁，當(dāng)前為第4頁。第一，高校面臨著嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)。越來越多的報(bào)道表明高校校園網(wǎng)已逐漸成為黑客的聚集地。這一方面是由于網(wǎng)絡(luò)病毒、黑客工具的泛濫，用戶安全意識(shí)的淡薄，而另一方面，高校學(xué)生——這群精力充沛的年輕一族對(duì)新鮮事物有著強(qiáng)烈的好奇心，他們有著探索的高智商和沖勁，卻缺乏全面思考的責(zé)任感。有關(guān)數(shù)字顯示，目前校園網(wǎng)遭受的惡意攻擊，90%來自高校網(wǎng)絡(luò)內(nèi)部，如何保障校園網(wǎng)絡(luò)的安全成為高校校園網(wǎng)絡(luò)建設(shè)時(shí)不得不考慮的問題。

第二，網(wǎng)絡(luò)安全一定是全方位的安全。首先，網(wǎng)絡(luò)出口、數(shù)據(jù)中心、服務(wù)器等重點(diǎn)區(qū)域要做到安全過濾；其次，不管接入設(shè)備，還是骨干設(shè)備，設(shè)備本身需要具備強(qiáng)大的安全防護(hù)能力，并且安全策略部署不能影響到網(wǎng)絡(luò)的性能，不造成網(wǎng)絡(luò)單點(diǎn)故障；最后，要充分考慮全局統(tǒng)一的安全部署，需要能夠從準(zhǔn)入控制，到對(duì)網(wǎng)絡(luò)安全事件進(jìn)行深度探測(cè)，到現(xiàn)有安全設(shè)備有機(jī)的聯(lián)動(dòng)，到對(duì)安全事件觸發(fā)源的準(zhǔn)確定位和根據(jù)身份進(jìn)行的隔離、修復(fù)措施，從而能對(duì)網(wǎng)絡(luò)形成一個(gè)由內(nèi)至外的整體安全構(gòu)架。

所以，在對(duì)出口等重點(diǎn)區(qū)域進(jìn)行安全部署的同時(shí)，要更加全面的考慮安全問題，讓整個(gè)網(wǎng)絡(luò)從設(shè)備級(jí)的安全上升一個(gè)臺(tái)階，擺脫僅僅局部加強(qiáng)某個(gè)單點(diǎn)的安全強(qiáng)度的手段。

5、方便運(yùn)營(yíng)管理的需求

首先，校園網(wǎng)需要進(jìn)行合理的運(yùn)營(yíng)。第一、校園網(wǎng)的投資較大，加上每年的維護(hù)成本，對(duì)于學(xué)校并不是一筆可以忽視的開支；第二、根據(jù)各校的情況，進(jìn)行合理的運(yùn)營(yíng)收費(fèi)，依靠市場(chǎng)化的手段能夠推動(dòng)校園網(wǎng)的運(yùn)作規(guī)范化和提高建設(shè)水平。當(dāng)然，學(xué)校不是運(yùn)營(yíng)商，運(yùn)營(yíng)的模式和業(yè)務(wù)流程并不清晰。而學(xué)校收費(fèi)和學(xué)生繳費(fèi)又是一對(duì)天然的矛盾，當(dāng)前不少學(xué)校采用的運(yùn)營(yíng)模式與高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共5頁，當(dāng)前為第5頁。學(xué)校實(shí)際的情況差距太大，無法有效杜絕學(xué)生逃避收費(fèi)等問題一直困擾著學(xué)校的網(wǎng)管人員。

其次，有效的管理可以從用戶管理和設(shè)備管理兩方面來看。

對(duì)于用戶管理，最重要的是能夠?qū)崿F(xiàn)事前的身份認(rèn)證和準(zhǔn)確定位、事中的實(shí)時(shí)處理、事后的完整日志審計(jì)。事前的認(rèn)證和定位是指可嚴(yán)格實(shí)現(xiàn)用戶身份識(shí)別，根據(jù)用戶賬號(hào)、密碼、MAC地址、IP地址、交換機(jī)IP、交換機(jī)端口號(hào)、用戶所在VLAN的靈活組合，來識(shí)別用戶身份。將網(wǎng)絡(luò)中的虛擬用戶和生活中的真實(shí)用戶相對(duì)應(yīng)；事中的實(shí)時(shí)處理是指對(duì)于正在是用網(wǎng)絡(luò)的用戶，如果出現(xiàn)私自撥號(hào)上網(wǎng)、使用代理、更改IP地址等，認(rèn)證計(jì)費(fèi)系統(tǒng)會(huì)強(qiáng)制用戶下線。對(duì)于感染病毒，出現(xiàn)安全事件的用戶，結(jié)合全局安全通過安全聯(lián)動(dòng)來進(jìn)行隔離、阻斷和修復(fù)，以保證校園網(wǎng)的安全。事后的日志審計(jì)是指記錄用戶上網(wǎng)的詳細(xì)信息（包括用戶名、IP、MAC等）及完整的用戶訪問外網(wǎng)的記錄（包括源IP、目的IP、源端口、目的端口、訪問時(shí)間），一旦出現(xiàn)安全事件，可以進(jìn)行快速完整的審計(jì)，迅速定位到個(gè)人。

對(duì)于設(shè)備管理，需要的是統(tǒng)一有效的網(wǎng)絡(luò)管理系統(tǒng)。能夠直觀全面地監(jiān)控整個(gè)網(wǎng)絡(luò)和各種設(shè)備的運(yùn)行狀態(tài)，記錄和深入分析網(wǎng)絡(luò)流量，及時(shí)報(bào)告各種故障和性能問題，協(xié)助管理員找到故障的起源，并且對(duì)網(wǎng)絡(luò)的性能變化和故障發(fā)生提前進(jìn)行預(yù)測(cè)。

高校用戶數(shù)和網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)眾多，因此難以一體化管理眾多的設(shè)備和用戶，出現(xiàn)網(wǎng)絡(luò)故障無法快速定位、IP地址盜用、IP地址沖突等問題日益嚴(yán)重，如何利用有限的人力物力對(duì)網(wǎng)絡(luò)進(jìn)行高效管理也成為學(xué)校考慮的著重點(diǎn)。

6、強(qiáng)大數(shù)據(jù)中心建設(shè)的需求

高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共6頁，當(dāng)前為第6頁。第一，眾多高校仍然采用的是直接存儲(chǔ)在服務(wù)器硬盤上的方式，也就是我們所說的直連存儲(chǔ)（DAS）。這種方式存在眾多的問題。1、不同的數(shù)據(jù)存儲(chǔ)在不同服務(wù)器的硬盤上，造成有些服務(wù)器硬盤空間已滿，而有些服務(wù)器硬盤空間卻閑置?？臻g擴(kuò)展比較困難，并且服務(wù)器之間無法進(jìn)行空間共享。2、隨著應(yīng)用的不斷豐富，訪問量的增加，辦公、教學(xué)、科研對(duì)網(wǎng)絡(luò)的依賴，服務(wù)器的性能受到強(qiáng)烈的考驗(yàn)。最終可能成為性能的瓶頸。

第二、隨著計(jì)算機(jī)信息系統(tǒng)的不斷發(fā)展，用戶的核心業(yè)務(wù)越來越依賴于信息系統(tǒng)的可靠運(yùn)行，信息系統(tǒng)中的關(guān)鍵業(yè)務(wù)數(shù)據(jù)已經(jīng)成為用戶最為重要的資產(chǎn)。因此，對(duì)關(guān)鍵的業(yè)務(wù)數(shù)據(jù)進(jìn)行備份保護(hù)刻不容緩。尤其美國(guó)911事件的發(fā)生，世界各地各行各業(yè)越發(fā)重視重要數(shù)據(jù)的備份和容災(zāi)。但是當(dāng)前絕大多數(shù)國(guó)內(nèi)高校，對(duì)于關(guān)鍵數(shù)據(jù)，比如財(cái)務(wù)資料、學(xué)籍/檔案、學(xué)術(shù)論文等資料都還沒有進(jìn)行有效的備份或容災(zāi)。一旦數(shù)據(jù)毀壞/丟失，后果不堪設(shè)想。

也正是基于對(duì)存在問題的認(rèn)識(shí)和目前各種應(yīng)用帶來的數(shù)據(jù)存儲(chǔ)的實(shí)際需求，很多高校已經(jīng)開始進(jìn)行數(shù)據(jù)中心的建設(shè)，那么數(shù)據(jù)中心建設(shè)，應(yīng)該達(dá)到怎樣的目標(biāo)？數(shù)據(jù)中心的存儲(chǔ)設(shè)備應(yīng)該如何選擇？都是需要重點(diǎn)考慮的問題。

7、向IPv6過渡的需求

中國(guó)下一代互聯(lián)網(wǎng)示范工程CNGI是實(shí)施我國(guó)下一代互聯(lián)網(wǎng)發(fā)展戰(zhàn)略的啟步工程，由國(guó)家發(fā)改委、科技部、信產(chǎn)部、教育部、中科院等八部委聯(lián)合領(lǐng)導(dǎo)。2001年，CERNET（中國(guó)教育與科研網(wǎng)）提出建設(shè)CERNET2計(jì)劃。2003年12月，國(guó)家發(fā)改委批準(zhǔn)了中國(guó)下一代互聯(lián)網(wǎng)示范工程CNGI建設(shè)項(xiàng)目。經(jīng)過兩年多的建設(shè)，2006年10月，CERNET2通過了10個(gè)院士領(lǐng)銜的項(xiàng)目鑒定委員的鑒定驗(yàn)收，整體建設(shè)水平達(dá)到了世界領(lǐng)先水平。

高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共7頁，當(dāng)前為第7頁?？梢灶A(yù)見的是IPv6是必然的趨勢(shì)。而學(xué)校積極主動(dòng)地應(yīng)對(duì)IPv6，有利于提升學(xué)校的應(yīng)用水平和科研水平，并為IPv6的真正大規(guī)模部署做好必要的技術(shù)儲(chǔ)備。事實(shí)上，各個(gè)高校在網(wǎng)絡(luò)改造，設(shè)備采購(gòu)時(shí)候都在考慮對(duì)IPv6的支持了。并且大家都關(guān)心的問題是：在向IPv6過渡的階段，如何充分利用現(xiàn)有設(shè)備，保護(hù)投資？該采用何種部署策略，保證應(yīng)用的平滑過渡呢？高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共2頁，當(dāng)前為第2頁。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共3頁，當(dāng)前為第3頁。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共4頁，當(dāng)前為第4頁。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共5頁，當(dāng)前為第5頁。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共6頁，當(dāng)前為第6頁。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共7頁，當(dāng)前為第7頁。第三部分銳捷網(wǎng)絡(luò)校園網(wǎng)解決方案概述：

銳捷網(wǎng)絡(luò)作為業(yè)內(nèi)領(lǐng)先的網(wǎng)絡(luò)設(shè)備提供商和解決方案提供商，秉承在教育行業(yè)多年的經(jīng)驗(yàn)，通過與廣大高教用戶的深入溝通、互動(dòng)，根據(jù)上述校園網(wǎng)現(xiàn)狀的分析，以及出現(xiàn)的問題與需求，提出了“安全、穩(wěn)定、高速、可運(yùn)營(yíng)可管理”的可定制化的高校校園網(wǎng)解決方案。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共8頁，當(dāng)前為第8頁。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共8頁，當(dāng)前為第8頁。一、骨干網(wǎng)絡(luò)高性能、高穩(wěn)定可靠

1、高穩(wěn)定可靠性

骨干網(wǎng)最重要的就是穩(wěn)定可靠性。影響骨干網(wǎng)穩(wěn)定可靠的因素有很多，但是最主要的有三個(gè)方面：設(shè)備本身、網(wǎng)絡(luò)架構(gòu)、安全保障。只有這三個(gè)方面都沒問題了，才會(huì)形成穩(wěn)固健壯的骨干網(wǎng)絡(luò)。

骨干網(wǎng)架構(gòu)設(shè)計(jì)

網(wǎng)絡(luò)核心作為全網(wǎng)的心臟，向?qū)W校的教學(xué)辦公、學(xué)生宿舍以及各種應(yīng)用系統(tǒng)（在線點(diǎn)播、電子郵件、WEB服務(wù)等）源源不斷的提供安全穩(wěn)定的信息血液，保證整個(gè)學(xué)校相關(guān)業(yè)務(wù)的可靠運(yùn)行。因此，作為整個(gè)網(wǎng)絡(luò)平臺(tái)的神經(jīng)中樞，網(wǎng)絡(luò)核心層是全網(wǎng)數(shù)據(jù)傳輸?shù)闹行?，不僅要保證7*24小時(shí)的穩(wěn)定運(yùn)行，各種應(yīng)用服務(wù)器的數(shù)據(jù)能夠被穩(wěn)定可靠的傳輸，同時(shí)，還要協(xié)調(diào)全網(wǎng)的數(shù)據(jù)流量和訪問策略，在提供信息服務(wù)的同時(shí)，保證網(wǎng)絡(luò)中心自身的安全。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共9頁，當(dāng)前為第9頁。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共9頁，當(dāng)前為第9頁。整網(wǎng)采用萬兆多核心、萬兆/千兆骨干、千兆/百兆到桌面的設(shè)計(jì)理念。高吞吐量，線速轉(zhuǎn)發(fā)的核心路由器和三層交換機(jī)，所有關(guān)鍵器件的冗余，包括主控板、交換網(wǎng)板、電源等，支持板件的熱插拔技術(shù)，保證了網(wǎng)絡(luò)的高效運(yùn)轉(zhuǎn)。骨干設(shè)備雙核心雙鏈路，或者核心成環(huán)之后，相互之間互為容錯(cuò)備份，并在核心交換機(jī)中采用關(guān)鍵模塊冗余設(shè)計(jì)（雙電源冗余等）。核心和匯聚之間采用雙鏈路連接，一旦數(shù)據(jù)傳輸?shù)幕顒?dòng)鏈路失效以后可以自動(dòng)切換到另一條鏈路，保障數(shù)據(jù)的正常轉(zhuǎn)發(fā)。這樣，從全網(wǎng)架構(gòu)上，核心層雙鏈路交換系統(tǒng)不存在單點(diǎn)故障，是一種高級(jí)別交換完全冗余的容錯(cuò)方案，這樣即使其中一條鏈路斷線或一個(gè)主干交換機(jī)發(fā)生故障，都能在用戶覺察不到的極短的時(shí)間內(nèi)啟用備份恢復(fù)數(shù)據(jù)傳遞，從而保證網(wǎng)絡(luò)系統(tǒng)的高可靠性、穩(wěn)定性的運(yùn)行。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共10頁，當(dāng)前為第10頁。銳捷網(wǎng)絡(luò)多年高端開發(fā)所形成的具有完全自主知識(shí)產(chǎn)權(quán)的統(tǒng)一操作系統(tǒng)RGNOS10.X，使銳捷的高端產(chǎn)品有相同的交換/路由特性、一致的安全功能，能夠?yàn)橛脩籼峁┫嗤南到y(tǒng)服務(wù)，并在產(chǎn)品功能、性能提升上具有一致性，同時(shí)也方便了用戶對(duì)銳捷多款產(chǎn)品的統(tǒng)一管理。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共10頁，當(dāng)前為第10頁。安全保障

銳捷核心及全線網(wǎng)絡(luò)產(chǎn)品支持豐富的安全防護(hù)能力，包括對(duì)各種攻擊的防護(hù)能力，以及先進(jìn)的CSS安全體系。具體將在第二節(jié)《有效的全局安全措施》中說明。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共11頁，當(dāng)前為第11頁。2、十萬兆平臺(tái)全面提升骨干網(wǎng)絡(luò)

目前，萬兆以太網(wǎng)，作為迄今為止投入應(yīng)用的速率最高的網(wǎng)絡(luò)技術(shù),已經(jīng)大規(guī)模普及，并且能夠切實(shí)解決目前校園網(wǎng)建設(shè)中存在的很多問題。但是，萬兆應(yīng)用的普及對(duì)產(chǎn)品和技術(shù)提出了更高的要求。校園網(wǎng)匯聚到核心的萬兆線路的改造，就要求核心設(shè)備具有更高的萬兆線速轉(zhuǎn)發(fā)性能，以及更高的萬兆端口密度來支撐大量匯聚設(shè)備的萬兆鏈路上聯(lián)。

而十萬兆產(chǎn)品恰恰能夠解決萬兆普及帶來的問題?；趯?duì)未來十萬兆標(biāo)準(zhǔn)支持的考慮，銳捷網(wǎng)絡(luò)開發(fā)的最新一代十萬兆產(chǎn)品設(shè)備性能強(qiáng)大，完全滿足甚至超出了校園網(wǎng)正常應(yīng)用對(duì)設(shè)備的性能要求。十萬兆還可以簡(jiǎn)單理解為10*萬兆，加上設(shè)備所具有的高線卡帶寬，這就足以支撐起每線卡的更高的端口密度。目前，每線卡萬兆端口數(shù)可以高達(dá)16個(gè)。這將大大降低校內(nèi)大量匯聚設(shè)備的萬兆上聯(lián)成本。

值得一提的是，IEEE802.3高速研究小組已經(jīng)開始100Gbps（十萬兆）高速以太網(wǎng)的標(biāo)準(zhǔn)化制定工作，預(yù)計(jì)標(biāo)準(zhǔn)將在2009年出臺(tái)。采用最新一代面向十萬兆平臺(tái)的產(chǎn)品，符合校園網(wǎng)建設(shè)中的保護(hù)投資和先進(jìn)性的原則。在十萬兆標(biāo)準(zhǔn)出臺(tái)后，就可以直接升級(jí)到下一代以太網(wǎng)。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共11頁，當(dāng)前為第11頁。二、有效的全局安全措施

1、統(tǒng)一的身份準(zhǔn)入控制及詳細(xì)的日志審計(jì)

首先，能夠安全認(rèn)證到桌面。采用六元素的自動(dòng)綁定、靜態(tài)綁定、動(dòng)態(tài)綁定相結(jié)合，可以確保用戶入網(wǎng)時(shí)身份唯一，并且避免了IP沖突。

其次，實(shí)現(xiàn)了管理分級(jí)授權(quán)。不同職能的管理者使用同一套系統(tǒng)時(shí)可以得到不同的操作界面以及使用權(quán)限，避免了管理的安全隱患。

最后，詳細(xì)的日志審計(jì)功能記錄用戶上網(wǎng)的詳細(xì)信息（包括用戶名、IP、MAC等）及完整的用戶訪問外網(wǎng)的記錄（包括源IP、目的IP、源端口、目的端口、訪問時(shí)間），一旦出現(xiàn)安全事件，可以進(jìn)行快速完整的審計(jì)，迅速定位到個(gè)人。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共12頁，當(dāng)前為第12頁。2、設(shè)備本身具有的強(qiáng)大的安全防護(hù)能力

銳捷核心及全線網(wǎng)絡(luò)產(chǎn)品支持豐富的安全防護(hù)能力，包括防DOS攻擊(Smurf、Synflood)，防IP掃描(PingSweep)，防源IP地址欺騙(SourceIPSpoofing)、防ARP欺騙、防病毒、帶寬控制等功能。

銳捷網(wǎng)絡(luò)還在繼承已有的設(shè)備安全防護(hù)能力的技術(shù)基礎(chǔ)上，開發(fā)出了集多種強(qiáng)大安全功能于一體的CSS安全體系設(shè)計(jì)。

黑客對(duì)計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)成的威脅大體可分為兩種：一是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅,針對(duì)設(shè)備系統(tǒng)的漏洞或不足進(jìn)行攻擊,導(dǎo)致系統(tǒng)不能正常工作，甚至癱瘓。二是對(duì)網(wǎng)絡(luò)中信息的威脅，以各種方式有選擇地破壞,竊取網(wǎng)絡(luò)中的數(shù)據(jù)信息。CSS安全體系正是通過從“系統(tǒng)”和“數(shù)據(jù)”兩方面的安全技術(shù)來保護(hù)網(wǎng)絡(luò)的安全。

CSS安全體系主要是通過硬件安全監(jiān)控技術(shù)、硬件安全防護(hù)技術(shù)、豐富的設(shè)備安全管理保證系統(tǒng)的安全，通過硬件的隧道技術(shù)、認(rèn)證技術(shù)、加密技術(shù)保護(hù)了網(wǎng)絡(luò)設(shè)備傳輸?shù)臄?shù)據(jù)的安全。此外，還提供了萬兆位的安全防護(hù)模塊同時(shí)保護(hù)系統(tǒng)和數(shù)據(jù)。通過提供萬兆位安全防護(hù)模塊，可以對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行2-7層的安全監(jiān)控防護(hù)。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共12頁，當(dāng)前為第12頁。3、GSN全局安全解決方案高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共13頁，當(dāng)前為第13頁。GSN系統(tǒng)能夠?qū)θW(wǎng)的所有安全事件、網(wǎng)絡(luò)病毒攻擊行為、用戶行為和用戶主機(jī)安全信息進(jìn)行深入分析和全局監(jiān)控。通過這種實(shí)時(shí)全網(wǎng)偵測(cè)，可以在第一時(shí)間內(nèi)將網(wǎng)絡(luò)異?，F(xiàn)象通過接入層隔離出網(wǎng)絡(luò)，使得網(wǎng)絡(luò)異?，F(xiàn)象完全不影響核心網(wǎng)絡(luò)；在發(fā)現(xiàn)安全問題后能自動(dòng)對(duì)用戶進(jìn)行安全事件告警，并迅速根據(jù)用戶身份選擇將用戶隔離到安全修復(fù)區(qū)域或自動(dòng)阻斷異常數(shù)據(jù)流。這一方案目前在包括集美大學(xué)在內(nèi)的各高校取得了較好的應(yīng)用效果，例證之一就是：盛極一時(shí)并造成巨大影響的熊貓燒香病毒，在這些學(xué)校都悄然無聲。

此外，通過部署GSN全局安全，還能輕松的進(jìn)行主機(jī)信息獲?。粚?shí)現(xiàn)主機(jī)完整性（HI）規(guī)則（通過一系列規(guī)則的定義，約定了對(duì)用戶主機(jī)的準(zhǔn)入標(biāo)準(zhǔn)）；利用先進(jìn)的“免疫性”ARP防病毒防攻擊技術(shù)，徹底解決ARP木馬等病毒/攻擊帶來的網(wǎng)絡(luò)中斷事故的影響。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共13頁，當(dāng)前為第13頁。三、負(fù)載均衡、冗余備份的出口設(shè)計(jì)高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共14頁，當(dāng)前為第14頁。1、超強(qiáng)的NAT、PBR性能

當(dāng)前，校園網(wǎng)出口面臨的首要問題就是性能問題。性能問題主要體現(xiàn)在出口設(shè)備啟用NAT（地址轉(zhuǎn)換）和PBR（策略路由）功能的情況下。正是基于對(duì)校園網(wǎng)出口高性能的考慮，銳捷為校園網(wǎng)出口定制的網(wǎng)絡(luò)出口引擎NPE50系列能夠：

1）在啟用NAT、ACL、PBR（策略路由）的情況下，在通常情況報(bào)文流情況下（平均報(bào)文長(zhǎng)度為500byte左右的混合報(bào)文），雙向可以達(dá)到8Gbps的線速轉(zhuǎn)發(fā)。每秒高達(dá)30萬條的NAT新建連接會(huì)話。在2Gbps的NAT線速轉(zhuǎn)發(fā)下，每秒達(dá)到新建7萬條NAT會(huì)話。

2）達(dá)到200萬條的并發(fā)NAT會(huì)話數(shù)。如果按照每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)300條NAT會(huì)話，則可以同時(shí)支持將近7000臺(tái)的網(wǎng)絡(luò)節(jié)點(diǎn)同時(shí)在線。

2、出口線路自動(dòng)負(fù)載均衡、出口設(shè)備的冗余備份及鏈路的冗余備份

一方面在流量的策略上，能夠?qū)崿F(xiàn)基于源頭的流量區(qū)分和基于訪問目的的出口控制。具體舉例來說，可以將學(xué)生的流量和老師的流量制定不同的路由路徑；在對(duì)外出口上，根據(jù)所訪問的資源進(jìn)行劃分，教育網(wǎng)免費(fèi)資源走CERNET高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共15頁，當(dāng)前為第15頁。出口，免費(fèi)地址列表之外的都走網(wǎng)通或者電信出口。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共14頁，當(dāng)前為第14頁。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共15頁，當(dāng)前為第15頁。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共16頁，當(dāng)前為第16頁。另一方面，從可用性角度，實(shí)現(xiàn)了任何一臺(tái)設(shè)備（任何一臺(tái)防火墻或者任何一臺(tái)網(wǎng)絡(luò)出口引擎）的故障或者任何一條鏈路的癱瘓，都將使相應(yīng)的流量自動(dòng)切換到另外一臺(tái)設(shè)備或者另外一條鏈路上。充分保證出口的可用性，時(shí)刻保持網(wǎng)絡(luò)的互聯(lián)互通。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共16頁，當(dāng)前為第16頁。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共17頁，當(dāng)前為第17頁。3、完善的出口日志功能

針對(duì)各種網(wǎng)絡(luò)攻擊和安全威脅進(jìn)行日志記錄，采用統(tǒng)一的格式，支持本地查看的同時(shí)，還能夠通過統(tǒng)一的輸出接口將日志發(fā)送到日志服務(wù)器，為用戶事后分析、審計(jì)提供重要信息，方案中所能提供的日志包括：

1）設(shè)備日志：設(shè)備狀態(tài)，系統(tǒng)事件日志

2）上網(wǎng)記錄日志：上網(wǎng)記錄日志（基于五元組、NAT）

3）攻擊日志：設(shè)備網(wǎng)絡(luò)受到攻擊的日志信息高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共17頁，當(dāng)前為第17頁?？偟膩碚f，銳捷打造的高校校園網(wǎng)出口希望達(dá)到兩方面的最終效果：

第一、對(duì)用戶來說，提供最快的外網(wǎng)訪問速度。任何的設(shè)備故障/鏈路問題對(duì)用戶來說都是透明的，這中間的自動(dòng)切換用戶無法感知，也不用去理會(huì)。

第二、對(duì)于網(wǎng)絡(luò)管理者而言，提供最高的可用性。不但提供強(qiáng)大的性能，而且在穩(wěn)定可靠性方面的提升讓管理維護(hù)變得簡(jiǎn)單。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共18頁，當(dāng)前為第18頁。四、高度可運(yùn)營(yíng)、易管理的網(wǎng)絡(luò)

1、SAM安全計(jì)費(fèi)管理平臺(tái)：告別運(yùn)營(yíng)難題

針對(duì)高校校園網(wǎng)絡(luò)靈活運(yùn)營(yíng)的需求，銳捷網(wǎng)絡(luò)SAMⅡ校園網(wǎng)解決方案開發(fā)出貼近校園用戶需求的計(jì)費(fèi)模式，不僅有計(jì)時(shí)長(zhǎng)、包月等傳統(tǒng)計(jì)費(fèi)方式，還增加了計(jì)天計(jì)費(fèi)方式，并以之為基礎(chǔ)，設(shè)計(jì)了一次交費(fèi)，分段開通的計(jì)費(fèi)模式。例如，一個(gè)學(xué)生需要在6月1日的時(shí)候開通，但是他6月10日的時(shí)候需要出去實(shí)習(xí)2周，這時(shí)，用戶完全可以在6月1日的時(shí)候選擇開通10天，系統(tǒng)就只在這10天內(nèi)扣除相應(yīng)費(fèi)用，到10日的時(shí)候系統(tǒng)會(huì)自動(dòng)停用該帳號(hào)，直到用戶再次選擇開通。

其次，SAMⅡ提供了完善的自助服務(wù)系統(tǒng)，簡(jiǎn)單明了的中文界面為用戶提供了包括快捷注冊(cè)，個(gè)人信息、密碼進(jìn)行修改，上網(wǎng)明細(xì)、交費(fèi)記錄及余額自助查詢，在線充值、注銷用戶等功能服務(wù)。不但方便了終端用戶繳費(fèi)，同時(shí)也極大地減輕了管理者的管理和收費(fèi)工作負(fù)擔(dān)，有效緩解了學(xué)生繳費(fèi)和學(xué)校收費(fèi)的矛盾。

另外，為了給高校用戶帶來最優(yōu)的應(yīng)用體驗(yàn)，SAMⅡ“想用戶之所想”，提供了諸如“精細(xì)的接入時(shí)段管理”、“自動(dòng)升級(jí)客戶端”、“豐富的營(yíng)帳及帳務(wù)功能”。還為學(xué)校提供了完善的流程化服務(wù)。SAMⅡ解決方案預(yù)置了包括批量開戶、收費(fèi)通知、網(wǎng)上故障報(bào)修等在內(nèi)的多種應(yīng)用模版。這些看似簡(jiǎn)單的模版，是銳捷網(wǎng)絡(luò)服務(wù)數(shù)百所高校用戶的經(jīng)驗(yàn)積累，銳捷網(wǎng)絡(luò)通過將用戶的需求以及用戶反饋的先進(jìn)經(jīng)驗(yàn)進(jìn)行積累，逐漸形成的一套立體化服務(wù)體系。需要注意的是，網(wǎng)絡(luò)建成后，該服務(wù)體系還將對(duì)用戶進(jìn)行實(shí)時(shí)跟蹤，及時(shí)了解用戶需求并為用戶提供網(wǎng)絡(luò)系統(tǒng)定期排查服務(wù)，保障用戶的網(wǎng)絡(luò)輕松運(yùn)行和持續(xù)運(yùn)營(yíng)。

2、無線用戶接入管理

部署WLAN設(shè)備的時(shí)候，無需改動(dòng)任何的有線網(wǎng)絡(luò)架構(gòu)，可以隨時(shí)擴(kuò)展AP來增加無線用戶。WLAN用戶接入認(rèn)證可分為三種模式：

1）、使用AP作為認(rèn)證者（Authenticator）進(jìn)行802.1X認(rèn)證；

高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共19頁，當(dāng)前為第19頁。使用AP作為認(rèn)證者（Authenticator）進(jìn)行802.1X認(rèn)證，無線用戶接入網(wǎng)絡(luò)時(shí)，首先向AP發(fā)送身份驗(yàn)證請(qǐng)求，AP將相關(guān)信息重新封裝后發(fā)送到身份驗(yàn)證服務(wù)器（如RG-SAM）進(jìn)行驗(yàn)證。

2）、使用AP上聯(lián)交換機(jī)作為認(rèn)證者進(jìn)行802.1x認(rèn)證；

使用AP上聯(lián)交換機(jī)作為認(rèn)證者（Authenticator）時(shí)，用戶首先接入無線網(wǎng)絡(luò)，AP將用戶的身份驗(yàn)證請(qǐng)求透?jìng)鹘o上聯(lián)的802.1x認(rèn)證體交換機(jī)，再由認(rèn)證體交換機(jī)將認(rèn)證信息封裝轉(zhuǎn)發(fā)給身份驗(yàn)證服務(wù)器（如RG-SAM）進(jìn)行驗(yàn)證。

3）、在“瘦AP+無線交換機(jī)”解決方案中，使用無線交換機(jī)作為認(rèn)證者。

在“瘦AP+無線交換機(jī)”解決方案中，瘦AP不負(fù)責(zé)執(zhí)行用戶認(rèn)證、數(shù)據(jù)加密等安全工作，而是由無線交換機(jī)來執(zhí)行。使用無線交換機(jī)作為認(rèn)證者（Authenticator）時(shí)，用戶接入無線網(wǎng)絡(luò)，瘦AP將用戶的身份驗(yàn)證請(qǐng)求發(fā)送給無線交換機(jī)，再由無線交換機(jī)將認(rèn)證信息封裝轉(zhuǎn)發(fā)給身份驗(yàn)證服務(wù)器進(jìn)行驗(yàn)證。

三種模式均可以保證全網(wǎng)統(tǒng)一的802.1X認(rèn)證，整體網(wǎng)絡(luò)認(rèn)證統(tǒng)一。一般來說，單路的AP支持802.11a/b/g協(xié)議的帶機(jī)數(shù)是30－50人。具體數(shù)量視環(huán)境而定，視頻、BT等大流量應(yīng)用會(huì)導(dǎo)致帶機(jī)數(shù)降低，普通上網(wǎng)應(yīng)用可以滿足最多的帶機(jī)數(shù)，銳捷的AP產(chǎn)品采用先進(jìn)的雙路硬件架構(gòu)，一臺(tái)AP相當(dāng)于兩臺(tái)AP的性能，這樣在投資不變的前提下，可以提高至2倍的總物理帶寬和帶機(jī)數(shù)。

3、全網(wǎng)設(shè)備統(tǒng)一管理

全網(wǎng)拓?fù)浒l(fā)現(xiàn)以及對(duì)事件、性能、日志的統(tǒng)一管理，可以方便的對(duì)全網(wǎng)設(shè)備統(tǒng)一管理，運(yùn)籌帷幄決勝千里之外。

高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共20頁，當(dāng)前為第20頁。五、無線網(wǎng)絡(luò)滿足隨時(shí)隨地接入

為了達(dá)到隨時(shí)隨地接入的目標(biāo)，依賴的原則就是：對(duì)有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)進(jìn)行有機(jī)融合。在適合無線網(wǎng)絡(luò)的地方建設(shè)無線網(wǎng)絡(luò)，將無線作為有線的補(bǔ)充。當(dāng)然，兩者可以有一定的冗余，甚至部分區(qū)域會(huì)全面采用無線網(wǎng)絡(luò)進(jìn)行線路備份。無線部署有胖AP和瘦AP+無線交換機(jī)兩種方式。具體應(yīng)該視學(xué)校情況而定。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共18頁，當(dāng)前為第18頁。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共19頁，當(dāng)前為第19頁。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共20頁，當(dāng)前為第20頁。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共21頁，當(dāng)前為第21頁。總結(jié)近幾年來國(guó)內(nèi)部分已經(jīng)采用無線網(wǎng)絡(luò)的高等院校在建設(shè)中出現(xiàn)的經(jīng)驗(yàn)教訓(xùn)，對(duì)于無線的部署，我們需要著重關(guān)注的是：合理的物理部署與信道規(guī)劃、無線的訪問/傳輸安全、無線網(wǎng)絡(luò)管理和漫游四個(gè)問題。

1、合理的物理部署

由于無線網(wǎng)絡(luò)采用無線電波進(jìn)行傳輸，因此，無線網(wǎng)絡(luò)的品質(zhì)與所部署位置、電磁干擾、信道規(guī)劃有直接的關(guān)系。首先應(yīng)根據(jù)用戶調(diào)查，了解人群在需要部署的區(qū)域的活動(dòng)習(xí)慣，并根據(jù)該習(xí)慣總結(jié)出每個(gè)區(qū)域同時(shí)在線上網(wǎng)的人數(shù)和上網(wǎng)帶寬需求情況，然后根據(jù)該數(shù)據(jù)的高與低，決定在該區(qū)域部署無線接入點(diǎn)設(shè)備的數(shù)量、信道規(guī)劃和具體位置。并且對(duì)于重點(diǎn)區(qū)域，比如會(huì)議室、相關(guān)辦公室進(jìn)行輻射信號(hào)的測(cè)試和調(diào)整。

2、無線訪問/傳輸?shù)陌踩?/p>

相比較有線網(wǎng)絡(luò)對(duì)網(wǎng)線的可信而言，無線網(wǎng)絡(luò)依靠空中的無線電頻譜信道載頻來傳輸，如果發(fā)生了安全事件，很難被立刻發(fā)覺。結(jié)合在近幾年針對(duì)無線網(wǎng)絡(luò)安全問題的研究中，已經(jīng)誕生了大量的新技術(shù)，與已經(jīng)建成的無線網(wǎng)絡(luò)在部分高校的使用中，對(duì)安全問題的大量寶貴經(jīng)驗(yàn)，可以總結(jié)如下：

首先，靈活利用SSID技術(shù)。SSID是無線網(wǎng)卡與AP用來通信的首個(gè)驗(yàn)證碼，默認(rèn)由無線接入點(diǎn)在空中以明文的形式廣播，很容易被截獲并入侵網(wǎng)絡(luò)，帶來安全的隱患問題。但如果通過限制它的廣播，就可以解決這類問題的發(fā)生。

其次，對(duì)無線用戶進(jìn)行有效的準(zhǔn)入控制。這在運(yùn)營(yíng)管理部分給與了解決方案。

最后，利用64/128位WEP（有線等效加密）技術(shù)，至少可以擋住98%的網(wǎng)絡(luò)攻擊，對(duì)于高校的網(wǎng)絡(luò)管理和維護(hù)人員而言，配置簡(jiǎn)單靈活。

3、無線網(wǎng)絡(luò)管理

通過集中的網(wǎng)絡(luò)管理，對(duì)無線網(wǎng)絡(luò)的所有設(shè)備進(jìn)行合法的注冊(cè)，并對(duì)所有合法用戶注冊(cè)，并分配不同的權(quán)限，并與相應(yīng)的無線設(shè)備動(dòng)態(tài)捆綁，極大的提高整個(gè)無線網(wǎng)絡(luò)用戶上網(wǎng)的合理性。

首先，對(duì)設(shè)備的管理是網(wǎng)絡(luò)管理的重要部分。所有網(wǎng)絡(luò)設(shè)備遵循統(tǒng)一的、標(biāo)準(zhǔn)的管理協(xié)議和兼容性，并滿足集中、統(tǒng)一管理的功能需要，使得網(wǎng)絡(luò)中心高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共22頁，當(dāng)前為第22頁。管理人員可以在網(wǎng)管工作站隨時(shí)觀察每一臺(tái)網(wǎng)絡(luò)設(shè)備的工作狀態(tài)。

其次，對(duì)環(huán)境的管理是更深層次的網(wǎng)絡(luò)管理。建成后的無線網(wǎng)絡(luò)，能滿足網(wǎng)絡(luò)中心管理人員在網(wǎng)管工作站直觀、詳盡的了解每個(gè)無線設(shè)備附近區(qū)域的環(huán)境狀態(tài)，譬如是否存在信道干擾，信道負(fù)載負(fù)荷等等。

4、用戶的漫游

漫游網(wǎng)絡(luò)可分為物理層漫游、鏈路層漫游、網(wǎng)絡(luò)層漫游和應(yīng)用層漫游。在國(guó)內(nèi)多數(shù)高校的WLAN網(wǎng)絡(luò)建設(shè)中，對(duì)無線網(wǎng)絡(luò)的漫游還停留在物理層和鏈路層漫游的水平，這兩部分的漫游僅能解決局部的漫游問題，對(duì)于網(wǎng)絡(luò)層漫游（跨網(wǎng)段的移動(dòng)IP訪問）和應(yīng)用層漫游（跨認(rèn)證體的用戶認(rèn)證不中斷、不用重認(rèn)證）卻往往沒有考慮，在面向未來的無線網(wǎng)絡(luò)中，將會(huì)承載多種主體應(yīng)用，必須實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層和應(yīng)用層的漫游。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共21頁，當(dāng)前為第21頁。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共22頁，當(dāng)前為第22頁。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共23頁，當(dāng)前為第23頁。六、智能高效的數(shù)據(jù)中心設(shè)計(jì)

1、存儲(chǔ)系統(tǒng)設(shè)計(jì)

構(gòu)建一個(gè)成功的存儲(chǔ)區(qū)域網(wǎng)，第一步和最重要的一步是存儲(chǔ)網(wǎng)絡(luò)本身的設(shè)計(jì)。首先應(yīng)該明確存儲(chǔ)網(wǎng)絡(luò)設(shè)計(jì)的目標(biāo)。一個(gè)成功的存儲(chǔ)區(qū)域網(wǎng)設(shè)計(jì)，應(yīng)該保證在實(shí)施后能夠滿足校園網(wǎng)對(duì)存儲(chǔ)設(shè)備性能和容量方面的要求，能夠滿足數(shù)據(jù)的高可用性和抗災(zāi)的要求，能夠提供強(qiáng)大的數(shù)據(jù)管理功能，能夠滿足數(shù)據(jù)備份的要求，能夠滿足未來數(shù)據(jù)與業(yè)務(wù)增長(zhǎng)的要求，還要具有較高的性價(jià)比。

2、數(shù)據(jù)分級(jí)存儲(chǔ)

數(shù)據(jù)分級(jí)存儲(chǔ)，是指數(shù)據(jù)客體存放在不同級(jí)別的存儲(chǔ)設(shè)備（磁盤、磁盤陣列、光盤庫(kù)、磁帶庫(kù)）中，通過分級(jí)存儲(chǔ)管理軟件實(shí)現(xiàn)數(shù)據(jù)客體在存儲(chǔ)設(shè)備之間的自動(dòng)遷移。數(shù)據(jù)遷移的規(guī)則是可以人為控制的--根據(jù)數(shù)據(jù)的訪問頻率、保留時(shí)間、容量、性能要求等因素確定的最佳存儲(chǔ)策略。在分級(jí)數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)中，磁帶庫(kù)等成本較低的存儲(chǔ)資源用來存放訪問頻率較低的信息，而磁盤或磁盤陣列等成本高、速度快的設(shè)備，用來存儲(chǔ)經(jīng)常訪問的重要信息。

數(shù)據(jù)分級(jí)存儲(chǔ)的工作原理是基于數(shù)據(jù)訪問的局部性。通過將不經(jīng)常訪問的數(shù)據(jù)自動(dòng)移到存儲(chǔ)層次中較低的層次，釋放出較高成本的存儲(chǔ)空間給更頻繁訪問的數(shù)據(jù)，可以獲得更好的總體性價(jià)比。

3、基于IPSAN的網(wǎng)絡(luò)集中存儲(chǔ)

對(duì)于校園網(wǎng)的核心存儲(chǔ)架構(gòu)，我們建議采用以數(shù)據(jù)和存儲(chǔ)為核心的集中存儲(chǔ)系統(tǒng)結(jié)構(gòu)。以數(shù)據(jù)和存儲(chǔ)為中心可以極大地保護(hù)用戶的投資，有效利用存儲(chǔ)空間，降低用戶管理費(fèi)用，從而確保整體擁有成本最低。降低管理難度，維護(hù)數(shù)據(jù)管理的統(tǒng)一性。提高了電子化數(shù)據(jù)管理的可靠性。數(shù)據(jù)的集中化管理，能夠確保數(shù)據(jù)的一致性和完整性，保證電子化數(shù)據(jù)的可靠性。

以數(shù)據(jù)和存儲(chǔ)為中心必然對(duì)整個(gè)存儲(chǔ)系統(tǒng)性能有很高的要求，設(shè)計(jì)方案選用集中式、高性能、大容量、智能化的存儲(chǔ)區(qū)域網(wǎng)(StorageAreaNetwork，簡(jiǎn)稱SAN)來構(gòu)建新一代計(jì)算中心存儲(chǔ)環(huán)境。SAN一改過去以服務(wù)器為中心的存儲(chǔ)模式，以數(shù)據(jù)存儲(chǔ)為中心，采用伸縮的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過IP連接方式，提供SAN內(nèi)部任意節(jié)點(diǎn)之間的多路可選擇的數(shù)據(jù)交換，并且將數(shù)據(jù)存儲(chǔ)管理集中在相對(duì)獨(dú)立的局域網(wǎng)內(nèi)。SAN的最終目標(biāo)是實(shí)現(xiàn)在異構(gòu)環(huán)境中最大限度的數(shù)據(jù)共享和可管理性。存儲(chǔ)區(qū)域網(wǎng)是未來存儲(chǔ)系統(tǒng)發(fā)展的方向。

4、存儲(chǔ)虛擬化

存儲(chǔ)虛擬化是一個(gè)抽象的定義，它并不能夠明確地指導(dǎo)用戶怎么去比較產(chǎn)品及其功能。這個(gè)定義只能用來描述一類廣義的技術(shù)和產(chǎn)品。存儲(chǔ)虛擬化同樣高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共24頁，當(dāng)前為第24頁。也是一個(gè)抽象的技術(shù)，幾乎可以應(yīng)用在存儲(chǔ)的所有層面：文件系統(tǒng)、文件、塊、主機(jī)、網(wǎng)絡(luò)、存儲(chǔ)設(shè)備等等。

SNIA的存儲(chǔ)網(wǎng)絡(luò)字典里是這樣定義的：虛擬化——通過將一個(gè)（或多個(gè)）目標(biāo)(Target)服務(wù)或功能與其它附加的功能集成，統(tǒng)一提供有用的全面功能服務(wù)。典型的虛擬化包括如下一些情況：屏蔽系統(tǒng)的復(fù)雜性，增加或集成新的功能，仿真、整合或分解現(xiàn)有的服務(wù)功能等。虛擬化是作用在一個(gè)或者多個(gè)實(shí)體上的，而這些實(shí)體則是用來提供存儲(chǔ)資源或服務(wù)的。

5、3.1.5高可用系統(tǒng)

對(duì)于校園網(wǎng)中最為重要的管理系統(tǒng)，由于其系統(tǒng)與數(shù)據(jù)的特殊性，通常將其系統(tǒng)分別安裝在兩臺(tái)服務(wù)器上，數(shù)據(jù)庫(kù)存放在穩(wěn)定的、可靠的核心存儲(chǔ)設(shè)備上，兩臺(tái)運(yùn)行管理系統(tǒng)的服務(wù)器之間實(shí)施集群系統(tǒng)，以確保校園網(wǎng)的管理系統(tǒng)的持續(xù)可用。由于目前的作為初期的存儲(chǔ)項(xiàng)目，建議先采用企業(yè)級(jí)的智能存儲(chǔ)系統(tǒng)作為校園網(wǎng)的數(shù)據(jù)中心。

6、冗災(zāi)系統(tǒng)的實(shí)現(xiàn)

推薦采用RG-iS6000基于存儲(chǔ)的冗災(zāi)技術(shù)，可以通過RS-iS6000系統(tǒng)內(nèi)置的復(fù)制功能來保證遠(yuǎn)程冗災(zāi)系統(tǒng)，同時(shí)支持同步與異步的工作方式。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共23頁，當(dāng)前為第23頁。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共24頁，當(dāng)前為第24頁。高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共25頁，當(dāng)前為第25頁。七、IPv6的分階段分步驟平滑過渡

IPv6的技術(shù)優(yōu)勢(shì)是明顯的，但是IPv6應(yīng)用所面臨的一個(gè)重要問題就是如何部署IPv6網(wǎng)絡(luò)。目前的Internet網(wǎng)絡(luò)以IPv4為主導(dǎo)，不可能一次性地將網(wǎng)絡(luò)的所有設(shè)備升級(jí)為IPv6，可以肯定的是，一定是分步驟分階段的進(jìn)行部署實(shí)施。為此IPv6必須提供多種過渡技術(shù)來解決部署問題。

1、過渡階段

IPv4到IPv6的過渡是從網(wǎng)絡(luò)邊緣向核心演進(jìn)，IPv4和IPv6會(huì)在較長(zhǎng)時(shí)間內(nèi)共存

起始：所有網(wǎng)絡(luò)基于IPv4，Internet上都是純IPv4設(shè)備，使用NAT緩解IPv4地址緊張

初級(jí)階段：引入IPv6Intranet，提供IPv6接入等服務(wù)。IPv4網(wǎng)絡(luò)中出現(xiàn)若干IPv6孤島，不同的IPv6孤島使用自動(dòng)或人工配置的隧道通過IPv4網(wǎng)絡(luò)連接起來“IPv6-in-IPv4”

共存階段：IPv6得到較大規(guī)模的應(yīng)用，出現(xiàn)了骨干的IPv6Internet網(wǎng)絡(luò)，在IPv6平臺(tái)上引入了大量的業(yè)務(wù)。IPv6業(yè)務(wù)可以通過IPv6Internet網(wǎng)絡(luò)與IPv6Intranet網(wǎng)絡(luò)，從而可以充分利用IPv6的諸多優(yōu)勢(shì)，如Qos保證。但由于IPv6網(wǎng)絡(luò)之間有可能不是相互連通的，因此還會(huì)使用隧道。在IPv6平臺(tái)上實(shí)現(xiàn)豐富的業(yè)務(wù)加快了IPv6的實(shí)施。但仍將有大量的傳統(tǒng)IPv4業(yè)務(wù)存在，許多節(jié)點(diǎn)也仍然是雙棧節(jié)點(diǎn)。

主導(dǎo)階段：IPv6占據(jù)主導(dǎo)地位，具備全球范圍內(nèi)的連通性，所有的業(yè)務(wù)都運(yùn)行在IPv6平臺(tái)上。網(wǎng)絡(luò)結(jié)構(gòu)得以簡(jiǎn)化，維護(hù)也更加容易。

總之，在從IPv4升級(jí)到IP6的過程中，一定要注意從IPv4過渡到IPv6的過渡策略，考慮產(chǎn)品和方案平滑升級(jí)到IPv6的能力，保護(hù)投資。

2、過渡策略

由于IPv6剛剛起步，很多標(biāo)準(zhǔn)還不完善，很多技術(shù)還沒有經(jīng)過大范圍、大流量的考驗(yàn)。IPv6技術(shù)現(xiàn)在正處于完善的階段。因此，在建設(shè)IPv6網(wǎng)絡(luò)初期，應(yīng)當(dāng)選擇具有升級(jí)能力的網(wǎng)絡(luò)設(shè)備，比如以NP或ASIC為處理器實(shí)現(xiàn)的IPv6技術(shù)等。

高校校園網(wǎng)及網(wǎng)絡(luò)設(shè)備配置整體解決方案全文共26頁，當(dāng)前為第26頁。應(yīng)當(dāng)考慮與現(xiàn)有IPv4網(wǎng)絡(luò)的互通性。由于IPv4網(wǎng)絡(luò)資源豐富，上面有很多業(yè)務(wù)，因此要考慮怎樣在IPv6網(wǎng)絡(luò)上訪問IPv4網(wǎng)絡(luò)的資源。

應(yīng)當(dāng)選擇響應(yīng)速度快、服務(wù)好的廠商。由于IPv6還處于發(fā)展期，會(huì)出現(xiàn)很多