1、1 规划背景1.1 规划对象七十七团中学坐落在昭苏盆地腹地,校园占地面积 亩。教学、生活设施齐全,总建筑面积约 万平方米。学校为 9 年一贯制学校,在校生 680 余名。教职工 100 余人。1.2 对象需求分析该校校园网的总体建设目标是:利用先进实用的计算机技术和网络通信技术,建成覆盖全校 、高速、高性能的计算机网络,实现网络在教学、管理和通信等方面的作用。具体包括以下几个方面: 建立一个以光纤为主干 、覆盖全校的宽带网,主干 1000M , 100M 至桌面。需要考虑网络运行的高效、可靠、安全以及管理的方便。 实现校园 Intranet 同第四师教育专线, Internet 的互连互通,校
2、内可以方便快捷地访问国内外消息,以满足信息查询、通信、资源共享、远程教学等需要。 建立网络教学系统,提供教师备课、课间制作、多媒体演示,学生多媒体交互式学习、网络考试、自动教学评估等功能。 建立基于网络的教育管理及自动化办公系统,包括行政、教学教务、科研、后勤财务等系统,以满足学校管理现代化的需要。具体功能为:(1)实现校内办公自动化,提高管理水平(2)提供信息服务(3)为教师提供良好的交流环境(4) 为学生提供良好的学习环境 22 网络总体规划2.1 网络技术选择2.1.1 总体技术从校园的建筑结构来说,一般以楼宇为单位,每个楼由多个楼层组成,整个楼可以作为一个相对独立的网络应用单元考虑,多
3、个功能相近的楼宇形成一个建筑群。这种建筑分布结构非常适合以太网技术的应用。首先,以太网时采用分组交换方式,一个交换机就是一个交换中心,可以很容易地组成星型或者树型的网络结构。在楼宇内部,每层楼通过一台二层交换机来连接该层信息点,整个楼用一台二层/三层交换机作为楼宇汇聚,多个楼宇再汇聚到核心骨干交换机上。楼层、楼宇、楼群与以太网的接入、汇聚、核心的树型结构有着很好的对应关系,网络结构层次清晰。其次,传输介质也适合了建网需要。在楼宇之间采用 1000M 光纤,保证了骨干网络的稳定可靠,不受外界电磁环境的干扰,覆盖距离大,能够覆盖全部校园。在楼宇内部采用5 类双绞线,其 100M 连接状态 100m
4、、10M 连接状态 200m 的传递距离能够满足室内布线的长度要求。最后,以太网建网能够提供性价比高的网络带宽。2.1.2 路由技术路由协议工作在 OSI 参考模型的第 3 层,因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务,利用访问控制列表(Access Control List,ACL) ,路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本规划设计中,内网用户不仅通过路由器接入因特网、内网用户之间也通过 3 层交换机上的路由功能进行数据包交换。32.1.3 交换技术传统意义上的数据交换发生在 OSI 模型的第
5、2 层。现代交换技术还实现了第 3 层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网(Virtual LAN,VLAN )的概念。VLAN 将广播域限制在单个 VLAN 内部,减小了各 VLAN 间主机的广播通信对其他 VLAN 的影响。在 VLAN 间需要通信的时候,可以利用 VLAN 间路由技术来实现。当网络管理人员需要管理的交换机数量众多时,可以使用VLAN 中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义所有 VL
6、AN。然后通过 VTP 协议将 VLAN 定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次:核心层、会聚层、接入层。在本规划设计中,也将采用这三层进行分开设计、配置。2.2 网络访问控制2.3 网络拓扑结构因校园网具有统一管理的要求,故局部拓扑结构为星状,整个网络成树状结构,网络中心是网络树的树干,网络出口相当于树根。教学区、宿舍区、网络中心的汇聚交换机为树干。整体设计遵照网络的三层结构:4核心层汇聚层接入层核心主干网网络中心部门级网段
7、 :区域管理基层网段终端用户1) 核心主干网:对整个校园网进行控制管理,以及控制与外网的连接。为网络的核心。2) 部门级网段:此网络方案中,包括教学区、宿舍区、网络中心、行政办公区和图书馆,通过千兆多模光纤与核心交换机进行连接,受核心交换机的管理,同时此网段对自己的区域具有独自管理控制权。根据自己负责区域的需求,为基层网段提供相关服务和管理。3) 基层网段:采用星型结构,以达到网络结构简单,建网容易,配置灵活,易于扩展的要求。同时,各站点只和中央节点相连接,便于集中控制和管理,易于汇集各终端的信息和进行用户间的信息交换。2.4 VLAN 及 IP 规划VLAN 号 VLAN 名称 IP 网段
8、默认网关 说明VLAN1 - 192.168.0.0/24 192.168.0.254 管理 VLANVLAN2 XZ 192.168.1.0/24 192.168.1.254 行政人员VLAN3 JS 192.168.2.0/24 192.168.2.254 教职工VLAN4 JXQ 192.168.3.0/24 192.168.3.254 教学区VLAN5 FWQ 192.168.4.0/24 192.168.4.254 服务器群VLAN6 WJS 192.168.5.0/24 192.168.5.254 微机室53 网络设备选型3.1 路由器的选择3.1.1 核心层网络核心层是网络的中心
9、,其功能是实现高性能的交换和传输。因此核心层设备应该是高性能的交换机,可实现高速度的交换传输,以连接服务器等核心设备;并且非常可靠,实现不间断工作。S12700 系列交换机是华为公司面向下一代园区网核心而专门设计开发的敏捷交换机。该产品采用全可编程架构,灵活快速满足客户定制需求,助力客户平滑演进至SDN 网络。该产品基于华为公司首款以太网络处理器 ENP,内置随板 WLAN AC 无线局域网接入控制器,实现有线无线真正融合;内置随板 BRAS 宽带远程接入服务器,提供精细化的用户和业务管理,支持 iPCA 网络包守恒算法,可对任意业务流随时随地逐点检测,助力客户对业务的精准管理。该产品基于华为
10、公司自主研发的通用路由平台 VRP,在提供高性能的 L2/L3 层交换服务基础上,进一步融合了 MPLS VPN、硬件 IPv6、桌面云、视频会议等多种网络业务,提供不间断升级、不间断转发、CSS2 交换网硬件集群主控 1N 备份、硬件 Eth-OAM/BFD、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO) 。S12700 系列目前提供 S12708、S12712 两种产品形态。S127086产品特点让网络更敏捷地为业务服务 S12700 内置高速灵活的以太网络处理器 ENP,针对以太网专属设计。凭借其灵活的报文处理及流量控
11、制能力,深入贴近业务,满足现在及未来的各种挑战,助力客户构建弹性扩展的网络。 在完全覆盖传统交换机能力基础上,S12700 通过全可编程开放接口和自定义转发流程,满足企业定制化业务诉求。企业既可以直接利用多层次的开放接口自主开发新的协议、功能,也可以将诉求交由厂商,与厂商共同开发完成,打造企业专属园区网络。 ENP 芯片采用全可编程架构,可以完全自定义流量的转发模式、转发行为和查找算法。通过微码编程实现新业务,客户无需更换新的硬件,快速灵活,6 个月即可上线。而传统 ASIC 芯片采用固定的转发架构和转发流程,新业务无法快速部署,需要等待 13 年的硬件支持。更敏捷地实现丰富业务特性 S127
12、00 内置随板 AC,无需额外购买 AC 硬件;整机可管理 4K AP,64K 用户;同时 S12700 也成为业界首款 T-bit AC 的核心交换机,解决外置 AC 处理性能瓶颈,从容面向高速无线时代。 S12700 内置随板 BRAS,有线无线统一集中到随板 BRAS 上认证,屏蔽了接入层设备能力和接入方式的差异,支持 PPPoE/802.1X/MAC/Portal等多种认证方式,支持对用户进行分组/分域/ 分时的管理,用户、业务可视可控,实现了从“以设备管理为中心”到“以用户管理为中心”的飞跃。更敏捷地实现网络精准管理 iPCA 网络包守恒算法,改变了传统利用模拟流量做故障定位的检测模
13、型,可对任意业务流随时随地逐点检测网络质量,无需额外开销;可在1 秒内立刻检测业务闪断性故障,检测直接精准到故障端口,实现从“粗放式运维”到“精准化运维”的大转变。 SVF 超级虚拟交换网,创新实现不仅将盒式交换机虚拟为框式交换机板卡,而且将 AP 虚拟为框式交换机的端口,使得原来“核心/汇聚+接入交换机+AP”的网络架构,虚拟化为一台设备进行管理,提供业界最简化网络管理方案。 S12700 把 WLAN 领域中“AC 管理 AP”的优秀实践应用到“核心交换机管理接入交换机”上,免除了接入交换机的繁琐配置,并利用CAPWAP 隧道对接入交换机和 AP 进行统一管理,实现开局时接入交换机和AP
14、的“零配置” 。业界领先的高规格板卡 S12700 采用自研 ENP 芯片,提供 百万级硬件表项规格,远超传统交换机:高达 1M MAC 表项,3M FIB 表项,满足广电、教育城域网核心等大路由应用;高达 1MNetstream 表项,满足校园网、大型企业等需要精细化流表统计的应用需求。 S12700 每单板内置 1.5G 大缓存,确保突发流量不丢包,视频业务清晰流畅。传统交换机每板一般内置 4M 缓存,无法满足高质量视频传输的要求。7 S12700 支持 48*10GE、8*100GE 等高密线速线卡。整机最大支持576 个 10GE 端口,96 个 100GE 端口,充分满足多媒体视频会
15、议、数据访问等大带宽应用需求,保护用户的投资。端到端的高可靠性设计设备级:CSS2 交换网硬件集群技术 S12700 采用源自华为高端核心路由器已广泛成熟使用的背靠背集群 ,在继承 CSS 交换网集群技术的基础上,创新推出 CSS2 第二代集群交换机系统,即 CSS2 交换网硬件集群。 CSS2 采用交换网硬件通道互联,集群系统的控制报文和数据报文不需要经由业务板卡转发,而是直接通过交换网一次转发。相对于传统业务口集群而言,不仅减少了软件故障可能带来的干扰,降低了板卡故障带来的风险,在时延上也大大缩减。 CSS2 创新支持主控 1N 备份,集群系统中只要保证任意一框的一个主控板运行正常,多框业
16、务即可稳定运行。相对于传统业务口集群系统,每个框至少要有一块主控单元运行正常的限制,进一步提高了集群系统的可靠性。 CSS2 采用集群不分裂架构,集群系统的控制报文和数据报文走独立的通道,即使所有交换网间链路均发生故障,控制报文也可通过主控板之间的控制通道在设备间互通,集群系统不会分裂。而传统业务口集群技术,控制报文和数据报文都是通过业务板间的链路进行转发,一旦集群间链路故障,数据报文和控制报文都会丢失,集群系统的设备无法互通,造成集群分裂。网络级:端到端的硬件保护倒换技术 S12700 支持硬件 Eth-OAM、BFD 等链路检测技术,及 G.8032、智能以太保护协议 SEP 等标准/ 兼
17、容标准的链路倒换技术,提供端到端 50ms 硬件级倒换,打造反应最迅速、业务最可靠园区。防火墙USG6650最精准的应用访问控制8全面创新的下一代环境感知和访问控制。通过应用、内容、时间、用户、威胁和位置六个维度的组合,全局感知日益增多的应用层威胁。业界最多的 6000+应用识别,细粒度实现应用层安全防护。丰富的报表将业务状态、网络环境、安全态势、用户行为等可视化展现,让用户全方位感知,安全运营深度融合的下一代内容安全。通过解析引擎合并,将安全能力与应用识别深度融合,防范借助应用进行的恶意代码植入、网络入侵、数据窃取、APT 攻击等破坏行为。最简单的安全管理根据应用场景提供策略模板,实现策略快
18、速部署。根据网络中的实际流量和应用的风险,遵循最小权限控制原则,自动生成策略优化建议。分析策略命中率,发现冗余、失效的策略,有效控制策略规模,简化管理。最高的性能体验专用软硬件平台架构, IAE 单次解析引擎。智能感知应用信息后,全安全特性并行处理。内容检测硬件加速,提升应用层防护效率,保障全安全特性开启下的万兆最佳性能。最全面的未知威胁防护遍布全球的安全中心,丰富的可疑样本来源。在云端采用沙箱技术,在模拟环境中监控可疑样本的运行行为,高效发现未知威胁。发现未知威胁后自动提取威胁特征,并迅速将特征同步到设备侧,有效防范零日攻击。93.1.2 汇聚层汇聚层设备选用三台S5700-LI精简型千兆以
19、太网交换机系列(以下简称S5700-LI) ,是华为公司自主研发的绿色节能的以太网交换机,提供灵活的全千兆接入以及万兆上行端口。该系列交换机基于新一代高性能硬件和华为公司统一的VRP(Versatile Routing Platform)软件平台,具有创新AHM(Advanced Hibernation Management高级休眠)节能,智能iStack堆叠,灵活的以太组网,多样的安全控制等特点,为用户提供绿色、易管理、易扩展、低成本的千兆到桌面的解决方案。 此外,华为公司针对一些特定的应用场景和客户需求,定制开发了电池交换机、CSFP交换机、单面维护交换机等特色款型,以满足不同客户的需要,
20、请参考相关网页。该设备通过 1000Base-SX 光纤上联核心交换机,形成网络的高速骨干。可以提供路由、多层交换等功能,满足三层交换的要求。可以满足服务器群的高密度、高速率的接入需要,也可以满足因特网接入的需求。103.1.3 接入层接入层交换机放置于楼层的设备间,用于终端用户的接入。能够提供高密度的接入,对环境的适应力要强,运行稳定,采用 10/100M 自适应的普通交换机即可,10 台华为 S1026T,可堆叠,通过 UPLINK 端口上联二层交换 C3750,实现 500 个信息点 100M 到桌面的接入。S1026T 交换机有 24 个 10/100M 自适应端口, 2 个 1000
21、M 接口,交换技术避免了使用集线器时多个用户共享网段造成的冲突和拥塞,大大提升了网络性能。4.5 医院无线网络设计4.5.1 无线网络架构选型融合的无线网络架构基于现有有线网络,通过扩展 POE 交换机搭建无线网络,有线无线充分融合,对医院有线网络建设质量以及医疗信息化都要较高要求。 优点:保护投资,降低无线网络初次建设成本;无线有线完全融合,充分利用现有网络资源 缺点:部署时需要改动现有网络结构,对原网络进行调整,增加初次部署复杂度;随着无线网络带宽以及传输数据的增加,无线网络可能会给有线网络设备造成额外的压力独立无线网络架构无线传输网络独立建设,新建无线网络与有线网络之间,通过核心交换机实
22、现互联互通。 优点:无线网络不增加有线网络设备转发压力,不对有线网络流量造成影响;可为关键区域(比如门诊区) 提供独立的备份链路;无线网络核心与有线网络核心直接相连,可支持数据高速转发部署简单,不影响现有网络拓扑结构;无线网络和有线网络之间通过防火墙隔离,安全性好。 缺点:无线网络初次建设成本较高 11医院无线网络规划还应考虑如下因素,以便根据具体情况综合决策 要支持 802.11a/b/g/n,满足医学影像资料传输需求 推荐采用瘦 AP、全网集中控制、简化网络管理、增强控制力度 无线网络核心层通过动态或静态路由协议与原有线网络互联互通 通过 AC 集中控制 AP,设置参数并添加部分集中控制安
23、全策略4.5.2 AP 架构的部署选择WLAN 网络在部署过程中,根据不同的需求有多种实现形式,根据网络架构分为:自治式架构(即 FAT AP 或胖 AP 架构)和集中式架构(即 FIT AP 或瘦 AP 架构)两种架构。 胖 AP 架构AP 实现所有无线接入功能,不需要 AC 设备形态。WLAN 早期广泛采用自治式架构,随着企业大量部署 AP 后,对这些 AP进行配置、升级软件等管理工作将给用户带来很高的操作成本,管理成本提高,自治式架构应用逐步减少 瘦 AP 架构该架构通过无线控制器(AC)集中管理、控制多个 AP。所有无线接入功能由 AP 和 AC 共同完成:AC 完成网络具有重要意义的
24、功能,例如移动管理、身份验证、VLAN 划分、射频资源管理、无线 IDS(Intrusion Detection Systems)和数据包转发等。AP 完成无线空口的控制,例如无线信号发射与探测响应、数据加密解密、数据传输确认、空口数据优先级管理等。此架构下 AP 和 AC 间采用 CAPWAP 隧道协议进行通讯,AC 与 AP间可以是直连或者穿越 Layer 2、Layer 3 网络。CAPWAP 信息12在 AP 与 AC 间交互时可以使用 DTLS 加密机制,保证通信的安全性。集中式的瘦 AP 架构是目前大中小型企业 WLAN 方案的主要架构,便于集中管理、集中认证和实施安全策略。这两种
25、网络结构的适用场景比较下所示:项目 胖 AP 架构 瘦 AP 架构适用场景 微型企业、个人 新生方式,增强管理,适用于大、中、小型企业安全性 传统加密、认证方式,普通安全性在传统认证方式的基础上增加基于用户位置的安全策略,高安全性网络管理 各 AP 都要加载配置文件AC 上统一配置,AP 本身零配置,维护简单用户管理 类似有线,根据 AP接入的有线端口区分权限虚拟专用组方式,根据用户名区分权限,使用灵活WLAN 组网规模L2 漫游,适合小规模组网L2、 L3 漫游,拓扑无关性,适合大规模组网增值业务能力 实现简单数据接入 可扩展丰富业务4.6 无线网络解决方案本方案建议采用 FIT AP 组网
26、,无线控制器采用随板 AC,AP 部署到需覆盖信号的各个区域,比如住院大楼,门诊大楼等。华为提供室内放装型,室分型和室外型三种 AP,以满足医院不同场景的信号覆盖需求。134.6.1 无线医疗架构不同医院现有有线网络架构的差异,使得各医院的 WLAN 网络建设存在一定的差异。根据 WLAN 无线网建设对现有网络的叠加的影响程度,整体可以分为两个场景:不改变有线网,WLAN 无线网在现有网络上叠加;新建分院或者有线网改造和 WLAN 无线网建设同部进行。4.6.2 有线网改造+WLAN 无线网建设WLAN 无线网建设和有线网改造同时进行,有线采用 802.1x 认证,无线采用Portal/IPO
27、E 认证,打造有线无线一体化、统一认证和管理的一体化无线医院方案。新建医院或者有线改造和无线 WLAN 网络建设同步进行时,推荐整体解决方案如下图所示。 园区核心: 核心层推荐采用华为S12700交换机。其独创的CSS2集群,数据跨框1次交换,21us最低跨框时延,仅为业界平均时延的60%。且CSS2交换14网集群支持1+N冗余备份,增加核心层设备的可靠性。 网络改造的关键在于“统一认证,集中管理” ,在医院出口部署华为融合统一用户管理特性的高性能交换机S12700。有线接入采取802.1x认证技术,无线接入采用Portal认证技术,所有认证工作通过宽带业务网关完成。 S12700交换机的可编
28、程单板内置无线AC功能(Natvie AC) ,有线无线统一转发、统一控制、统一管理,实现有线无线真正融合,且无需在单独购买AC板卡。 AP 设备: 室内或者室外场景推荐选择放装型设备,减少无线布线的繁琐。AP设备采用POE供电,就近接入接入交换机,对于报告厅等高密场景推荐使用3*3MIMO设备或者11ac设备以提高单台AP容量。 室内AP推荐AP6010DN,室外AP推荐AP6510DN。 接入交换机: 接入层新增千兆POE接入交换机,满足AP供电以及WLAN 11n/11ac对接入带宽的需求。 接入交换机推荐选择华为S5700-24TP-PWR-SI和S5700-48TP-PWR-SI。4
29、.6.3 无线 AP 部署方案室内放装:AP 布放在所规划的安装点,接入交换机放在弱电井内,提供 AP 的 POE 供电,同时做接入层汇聚到上层交换机。153.2 服务器的选择在校园网络中一般提供 WWW、文件、打印和邮件等服务,使用单一的服务器系统无法应付高峰时的数据访问,通过多台服务器分担这些负载是比较经济可行的。所以我们选择了几种服务器:教学资源服务器、办公自动化服务器、Web 服务器和邮件服务器、 以及数据库服务器。可以选择 3 台 hp 刀片式服务器虚拟多台服务器使用。3.3 传输设备的选择3.3.1 介质在主干线上选择光纤传输,各楼层子网采用光纤传输。信息点采用 5 类非双绞线传输
30、。163.3.2 楼间楼间连接选用室外 6 芯多模光纤,室外 6 芯单模光纤。其中,单模光纤因纤芯很小(约 410um) ,只传输主模态,这样可完全避免模态色散,使得传输频带很宽,传输容量大,这种光纤适用于大容量、长距离的光纤通信(最长距离可达 15KM) 。但采用单模光纤不得不采用激光器件(很昂贵) ,所以要根据学校的承受能力来选择。多模光纤不需采用昂贵的激光器件,但传统的多模光纤支持的距离不超过 550m,新型的多模光纤OM3,可以使千兆以太网的支持距离延长到 1000m。所以,光纤选择如下:楼间的距离(m) 采用光纤种类500 Om2 类多模光纤500 到 1000 米之间 Om3 多模
31、光纤1000 米 6 芯单模光纤3.3.3 设备间利用配线架,分别连接光纤和双绞线。4 网络管理软件4.1 网元管理软件eSight 网管软件eSight 是华为企业网络产品线面向企业市场推出的 IP+IT 统一网络管理系统,遵循ITIL 规范,为企业和合作伙伴提供融合、开放的运维平台,实现对企业资源、业务以及用户的统一管理。产品特点可以概括为 5 个 any。17 任何厂家可管/ Any Vendor 预置多厂家设备IP设备管理能力:Huawei、Cisco、HP 开放平台,客户/管理人员可自定制需要管理的厂家设备 任何设备可管 / Any Device 统一管理路由器、交换、接入路由器、W
32、LAN等网络设备 可监控服务器、IT打印机、工作站等IT设备 默认可监控支持SNMP协议的所有设备 任何业务可视 /Any Service 网络业务可视化管理,降低运维技能要求:MPLS/IPSec/WLAN RF等视图 网络质量可视化监控,保障企业IT应用体验:可视化SLA与设备NQA的完美配合 网络流量可视化,精细化管理企业带宽应用 有线无线一体化,实现了有线网络和无线网络的融合管理。 端到端的VPN业务的监控和故障诊断 数据中心全网虚拟资源和物理设备间拓扑关系的展示;感知虚拟变更,动态的调整虚拟机的物理网络策略 任何策略可控 /Any Policy 网络层设备策略批量控制,终端接入认证,用户接入认证,全方位策略控制,保障企业网络安全 任何客户可用 / Any Customer 多版本、多组件模式,任何客户可用,按需选择,降低运维投入 3 分级网管,满足企业总部-分支运维模式
