梦之城官方网站_梦之城官方网站(欢迎您)

您所在的位置:梦之城官方网站 > 解决方案 > 教育网络

教育网络
Solution

教育网络解决方案

一、方案介绍

本方案围绕建设安全可靠、经济适用、可持续发展的校园网络进行设计,提供学校有线无线一体化解决方案。随着校园网络信息化的普及,人们越来越要求尽可能方便、快速、移动式的使用网络。因此,很多高校开始思考通过何种方式,能够使得在很多有线网络无法延伸到的场合,以及如大型教室、礼堂、会议室、图书馆体育场馆等场所,也同样能够访问校园网络。 所以提供良好可靠的有线校园网的同时,也要为校区提供全部的无线局域网信号覆盖,并提供各种接入业务,让学校师生体会到有线无线一体化网络的便捷之处。

二、需求分析

2.1 骨干网络需求分析

(1)核心交换层

     ●  核心交换网络建成一个高带宽、高稳定的核心网、万兆骨干网、千兆到桌面的校园网络架构。

     ●  核心网设备可平滑升级到100G平台,可实现10G、40G、100G的互联或者接入。

     ●  核心交换能有高安全性和冗余保护,防止整个校园网络出现故障。

(2)汇聚交换层

     ●  汇聚层交换分别汇总办公、教学、科研、图书馆、体育场馆、师生宿舍的流量,对于不同的区域按需做冗余网络。

     ●  配置DHCP服务器,按照统一规划、方便管理的原则对每个区域进行IP分配,并配置策略进行校园网络的特殊区域的访问控制。

(3)接入交换层

     ●  快速部署校内网络接入设备,识别不同设备终端类型,根据终端类型与防代理和AAA模块联动实现用户终端控制接入。

     ●  对现有接入交换机升级,提供千兆接入,选择具有完善的安全管理功能的接入交换机,实现从网络的最边缘即开始进行安全控制。

     ●  无线接入部署覆盖学校整个区域,设置统一认证的管理,满足无线校园网络的需求。

(4)综合出口网关改造

     ●  综合出口网关需要满足未来带宽扩容,应支持出口带宽≥5G,出口数≥2个。

     ●  综合出口网关需要满足5000人以上的NAT会话数条目,流量精细管理,基于用户认证账号的带宽分配,关键应用不中断。

     ●  需要实现用户可自主选择运营商注册账户,根据用户注册时选定的运营商选择对应运营商出口线路,即电信、联通、移动用户只能通过各自的出口访问互联网,教师用户访问互联网转向教师专用出口。

     ●  需要实现带宽共用功能,例如1位用户选择10M带宽资费,当该用户移动端和PC端同时上线时,该用户的带宽不能为20M,移动端和PC端应共用10M带宽。

2.2 无线网络需求分析

     ●  无线网络设备提供日常的无线应用,同时也应该充分考虑未来无线网络应用增长和安全的需求,建成覆盖服务区域内的无线校园网。

     ●  有线网络和无线网络可以互访,无线网络采用无感知认证和WEB认证两种方式,纳入统一认证计费平台管理。

     ●  无线网络提供如用户身份鉴别、访问控制、审计等安全管理功能。

     ●  无线网络方案设计易实施、美观、系统易管理,灵活支持未来基于WIFI的互联网应用。

     ●  配置无线网络管理系统,管理的对象包括所有的无线控制器AC和无线接入点AP,管理的功能包括配置管理、性能管理、故障管理、安全管理,并具有自动定期报表生成和发送功能。

     ●  信号要求宿舍区域的信号接收强度≥-65dBm;教室、会议室、图书馆、办公楼等区域的信号接收强度≥-70dBm。室外AP覆盖区域要求80%以上区域接收信号强度≥-75dBm,每个场所支持并发用户50个以上。

     ●  无线用户通过统一的认证系统实现多种基于用户或用户群的访问控制,接入控制策略实施、操作过程要方便、易用,即时生效。

2.3 网络安全需求分析

     ●  安全设备需要提供负载均衡,出口安全,行为审计,入侵检测,实时漏洞检测,WEB应用防护。

     ●  出口安全设备采用下一代防火墙,吞吐满足建设规划。

     ●  行为审计规范用户上网行为,规避言论违规。

     ●  入侵检测、实时漏洞检测主动防御网络攻击,保障校园网络的安全。

     ●  WEB防护设备保护校园对外业务系统安全,避免因网络攻击造成的不良影响。

三、网络设计原则

3.1 先进性设计

搭建校园网络平台时,交换设备应充分考虑当前和未来至少5年网络技术和规模的发展,使其具备良好的可扩展性。既要满足目前的使用需求和学校信息化发展规划,更应考虑未来在不改变主体架构的前提下,实现平滑升级和扩容。

3.2 可行性设计

此次校园网建设兼顾有线和无线办公,所设计的方案能够充分考虑该校的办公、教学、科研、图书馆、体育场馆、师生宿舍等各种场景。打造一体化校园网络满足大流量数据的上下传输及并发数的问题,不留下设计缺陷和设计漏洞。

3.3 灵活性设计

此次校园网的设计按照模块化、层次化的原则设计网络,网络具有较好的伸缩性,核心层预留拓展槽位,可以根据网络建设的不同阶段灵活配置和扩展。其次有线、无线一个网,统一认证、统一管理、统一运维,不仅接入网络方便灵活,而且管理网络也非常便捷。

3.4 实用性设计

对现有校园网络深入调研,充分考虑已有资源合理利用,新建网络的同时将原有网络作为冗余网络,不仅利用现有资源,也保证了该校校园网络的安全性。学生宿舍全采用无线部署,综合布线一次到位,方便了学生客户端的接入。

3.5 可靠性设计

网络可靠性方面采用提供负载均衡,出口安全,行为审计,入侵检测,实时漏洞检测,WEB应用防护等功能保障网络的可靠性,实现内外网访问需先认证,后访问原则,充分保障了网络的可靠稳定性。

三、网络设计

3.1 核心层的设计

校园网的核心层交换机部署在校园核心机房中,汇聚校园各个区域之间的用户流量。作为整个网络平台的神经中枢,不仅要保证7*24小时的稳定运行,各种应用服务器的数据能够被稳定可靠的传输到终端系统,同时还要协调全网的数据流量和访问策略,在提供信息服务的同时,保证网络中心自身的安全。 校园网设计为核心层部署两台核心交换机,在核心交换机上部署多个万兆光口满足整个校园各个区域汇聚的需要,这样可实现流量负载均衡和快速转发,避免了单台核心设备的负载太重而导致的网络性能问题。同时部署出口防火墙和WEB防火墙,对全网核心数据流进行实时安全防护。出口路由器和核心交换机作为OSPF的区域, 保证核心网络到出口的互联互通。

3.2 汇聚层的设计

在校园网络汇聚层的设计中,分区域在办公楼、教学楼、图书馆和师生宿舍分别部署汇聚交换机,下行满足各个区域接入交换机的接入,上行采用10GE光链路接入核心层,在教学网络为了避免节点故障,可以冗余备份方式来避免单点故障,网络协议自动感知故障后对网络流量进行动态调整,实现流量的快速切换。汇聚层和核心层之前采用静态路由协议,保证网络互通和简单,其次在汇聚层上部署DHCP,为校园网络的接入客户端分配合适的IP地址。

3.3 接入层的设计

接入层采用有线和无线的综合接入方式,在学校的区域楼道内部署PoE交换机,教室、办公室、电子阅览室搭载墙面式AP,既满足了无线网络的接入,也提供了有线办公接口,方便学校各种客户端的接入。对于像体育馆、图书馆、报告厅等场所采用面板式和吸顶式AP结合,满足高密度的无线接入保证了整个校园网络的良好的可用性。

3.4 网络安全的设计

对于此次校园网络的建设,我们强调打造安全校园网络,对于安全方面的设计是本次网络规划的重点内容。我们采用针对区域进行VLAN划分,对与不同用户、不同应用加以的QoS保证。 出口安全设备采用下一代防火墙,吞吐满足建设规划,防御外部网络带来的各种攻击。部署行为审计规范用户上网行为,规避校园言论违规。入侵检测、实时漏洞检测主动防御网络攻击,保障校园网络的安全。 WEB防护设备保护校园对外业务系统安全,避免因网络攻击造成的不良影响。 对于无线网络接入的安全需求,由于接入用户比较复杂,网络应用不尽相同。我们采用WEP机密、WPA认证、802.1X认证、EAP-TLS扩展认证、VLAN划分技术,可提供完备的安全防御能力。 网络建设的认证系统要能够实现校园网和运营商之间网络的认证进行对接,实现用户采用一套账号(校园网账号)、一次认证完成校园网和运营商网络的认证。支持在同一基础网络平台上进行多家运营商的运营。上网用户使用校园网帐号可全网认证,平滑切换运营商而无需更改网络配置和接入线路。

四、方案优势

在整个校园网络的整体规划中,采用了层次化的设计方案,结构清晰,方便进行网络维护和管理。有线无线一体化网络极大的方便了校园用户的接入。其次校园网络的每个层次中都配置了相应的策略,保证了校园网络的可用性。在安全性方面,出口设计采用防火墙和入侵防御、安全审计系统来保证数据系统的安全。内网部署划分VLAN,部署ACL和QoS,阻截无权限用户对关键数据系统的访问。另一方面,通过合理VLAN的划分,缩小每种业务的广播域,减小因数据的过度广播造成对带宽资源的浪费,保证网络系统的资源有效的利用。方案中所采取的技术与产品从经济性、实用性、扩展性的原则来设计网络,满足校园现在办公与未来几年的拓展。

五、典型组网

5.1 校园建设网络拓扑

六、实现的需求

(1)建设校园有线无线一体化网络,满足不同终端的接入需求,极大方便了教学办公;

(2)建设的网络充分利用原有网络资源,部署网络结构合理,技术先进,具有高可靠性和可扩展性;

(3)校内所有计算机连接到网络中,要求网络能支持多路并发多媒体信息的传输,以支持远程教学;

(4)核心层、汇聚层都采用冗余设计,避免校园网络单点故障;

(5)校园服务器千兆接入核心交换机,解决服务器接入瓶颈;

(6)通过划分VLAN,部署ACL和QoS,保证了不同的需求的服务质量;

(7)统一的IP规划,保证网络的清晰,方便校园网络后期运维管理;

(8)能对每个用户的使用情况能进行事后审计,方便跟踪查询;

(9)部分教学要求优先保证固定带宽,教学网络满足共享数据的需求;

(10)网络管理系统功能完善,操作简便,方便网络的管理维护;

(11)网络统一认证,自主选择运营商,满足校园不同用户的需求;

(12)网络部署防火墙、入侵防御、安全审计保证校园网络的安全;

(13)全系统配备有灵活的升级和扩容功能,保证未来几年校园发展的需求。

  • 官方微信
Baidu
sogou