学校网络改造设计方案.pdfVIP

学校网络改造设计方案

一、概述

XXXX

学校目前已经建成一套较为完整的传统三层网络系统，随着校园建设规模得

扩大及信息化建设的不断发展，取得相应成绩但在发展中也存在些许问题。本次

方案设计将立足当前，着眼未来，采用“以需求为导向，以应用促发展，统一规

划，资源共享”的思路，针对学校核心网络区域进行升级改造，认证、计费、安

全等方面需求做整体考虑，统一规划，建设一个以学院业务为核心，技术先进、

扩展性强、高稳定、高性能、覆盖广的大二层网络平台，以满足教学办公、学生

学习、上网及生活需要。

二、项目需求

校园使用多路运营商链路承载校内所有互联网出口带宽，网络出口使用深信

服防火墙，统一抵御由互连网带给校园内的安全。核心交换机型号使用华为园区

核心交换机S12712，CLOS架构设计，有效保证管理、控制、数据三平面物理分

离，每个平面互不影响，确保数据转发的可靠性，目前运行情况良好，作为在建

设时即考虑投资保护和升级需要的核心设备。有线无线高度融合覆盖，核心配置

随板AC管理，配置城市热点认证设备进行有效认证，保证终端访问安全。现在

学校网络规模日益扩大的基础上，需要进行升级和管理设计，以满足目前学校信

息化需要。

2.1现网剖析

2.1.1现网拓扑

网络拓扑：

网络拓扑

校园网是为学校师生提供快捷高效的教学、科研和综合信息服务的网络，随

着校园网规模越来越大，教学、科研对信息化的依赖越来越强，校园信息化的发

展也越发迅速，网络结构也越来越复杂，管理运维的难度不断加大，校园信息化

建设面临着越来越多的挑战。

首先，网络管理问题：拓扑图中校园网是传统的三层架构，网络结构相对复

杂，汇聚层设备做三层网关，启用路由协议，与核心之间三层互通。同时，为了

避免环路，接入层与汇聚层设备需要启用复杂的MSTP生成树协议，配置的复杂

造成了管理的复杂，网络管理员需要熟知整网的状况以及每台设备的配置情况，

以便在出现网络问题时能够快速定位。

其次，拓扑图中无线网络覆盖后，网络运营问题：校园网中有学生、教师等

多种不同角色，针对不同角色计费方法不同，认证方式也不同，传统校园网为了

加强对学生的管控力度，多采用802.1x认证，经过多年的实际运营，网管人员

发现802.1x认证问题频出，不仅在接入交换机上启用，大量的接入设备配置复

杂，而且1x客户端也很容易出问题，学生投诉不断。

另外，网络维护问题：在此拓扑传统网络架构中，网络汇聚、接入设备众多

网络运维管理人员的精力主要消耗在网络设备的功能配置、技术细节和繁琐的问

题定位上，无法全面统筹整体网络及数据中心。

2.1.2存在问题：

核心设备只有一台，冗余性不够。核心设备如果整机出现临时断电等意

外情况，不能够无缝切换到冗余设备，保障用户无感知。

校园网接入交换机数量庞大，由于每台接入交换机都需要强大的安全和

认证功能，所以每台接入交换机都需要复杂的配置和丰富的功能，那么每台

接入设备都是需要精心维护的关键设备。密码管理、配置管理、权限管理都

需要消耗管理员大量的精力。

准入控制集中在接入设备，随着校园网规模扩大，接入的维护变得很困

难，且对维护人员的技能要求很高，导致成本很大。

校园有线网络仅供学校办公教学使用，没有建设无线网络，教职工不能

够在校内实现自由的网上冲浪体验。

传统的校园网是粗放型的网络，只是满足了基本的网络互联互通的需求，

但缺乏相应的审计和控制手段，用户之间互相影响，网络中的攻击泛滥，如

ARP攻击/DHCP仿冒/IP仿冒；用户只要接上网络，就能获得网络的使用权，

整个访问过程没有针对性的记录、审计和基于用户的控制，导致了网络的无

序使用，网络使用没有实名制，用户访问行为没有记录，出现问题无法追查；

缺乏针对性的控制，网络带宽被大量占用，重要应用得不到带宽保障；难以

实现灵活的用户控制、如基于身份、时间、位置等。

2.2建设目标

根据以上现状分析，随着网络教学信息化在校园逐渐普及，众多的师生拥有

个人笔记本、pad和智能终端。师生在教室、实验室、图书馆、学术报告厅、会

议室以及室外广场等场所需要访问学校的教学资源和Internet接入。WLAN无线

网络，满足师生随时随地接入网络获取资源和信息