智慧校园基础网络升级改造项目技术方案Word格式.docx
《智慧校园基础网络升级改造项目技术方案Word格式.docx》由会员分享,可在线阅读,更多相关《智慧校园基础网络升级改造项目技术方案Word格式.docx(297页珍藏版)》请在冰点文库上搜索。
3.9.4 敏捷网络和SDN网络关系 98
3.10 寰创移动智慧校园网服务特点 100
3.10.1 WiFi无线网络创新定制能力 100
3.10.2 全局无线资源管理 100
3.10.3 完善的Qos保证体系 100
3.10.4 专为宿舍环境定制的绿色环保AP 101
第二章 技术参数 102
4.1 核心设备 102
4.2 网络设备 107
第三章 产品清单 110
第四章 产品介绍 112
6.1 出口安全网关USG6600系列 112
6.2 深信服上网行为管理AC-8000 117
6.3 核心交换机S12700系列 119
6.4 核心交换机S7700系列 126
6.5 CloudEngine6800系列数据中心交换机 132
6.6 汇聚交换机S6720系列 134
6.7 汇聚交换机S5720-EI系列 143
6.8 接入交换机E600系列 149
6.9 接入交换机S5700系列 152
6.10 POE接入交换机S5100-24GT2GS-PW 160
6.11 无线接入控制器ENAX-GC4000-22A 163
6.12 11ac高密式AP(双频)N3000-TA4025 170
6.13 11ac面板式AP(双频)N3000-WA6125 173
6.14 11ac吸顶式AP(双频)N3000-TA2025ac 177
6.15 11ac室外一体化AP(双频)N3000-OA5025 182
第五章 机房方案 187
7.1 机房建设系统概述 187
7.2 设计依据 188
7.3 系统设计方案 188
7.3.1 机房装饰 188
7.3.2 供配电系统 190
7.3.3 接地及防雷系统 193
7.3.4 UPS不间断电源系统 196
7.3.5 空调系统 197
7.3.6 机房建设配置单 201
第六章 实施方案 204
8.1 施工依据 204
8.2 施工条件 205
8.3 项目主要目标 205
8.4 施工组织能力 207
8.4.1 组织结构图 207
8.4.2 项目人员组织计划和分组 207
8.4.3 工程项目管理 209
8.5 施工进度及控制措施 214
8.5.1 工程进度计划 214
8.5.2 工程前期准备计划表 217
8.5.3 影响工期的因素 219
8.6 进度保证措施 219
8.7 施工质量控制措施和技术措施 221
8.7.1 工程项目施工质量的组织保证和质量承诺 221
8.7.2 工程项目施工前期质量准备工作 221
8.7.3 施工过程质量控制 222
8.7.4 施工项目验收及交付 223
8.7.5 施工项目质量监督管理 223
8.7.6 关键过程的质量控制 224
8.7.7 质量控制点 224
8.7.8 质量事故处理 225
8.7.9 施工质量事故的防范 225
8.7.10 项目部强调并要求达到的技术标准 225
8.8 安全生产的保障措施及技术措施 226
8.9 文明施工措施 227
第七章 综合布线 229
9.1 系统概述 229
9.2 产品选型 229
9.3 设计原则 229
9.4 系统设计依据 230
9.5 项目需求分析 231
9.6 系统设计说明 232
9.6.1 布线系统结构说明 232
9.6.2 工作区子系统设计说明 233
9.6.3 水平子系统设计说明 233
9.6.4 垂直干线子系统设计说明 234
9.6.5 管理间子系统设计说明 235
9.6.6 设备间子系统设计说明 235
9.6.7 建筑群子系统设计说明 235
9.6.8 系统冗余 236
9.7 综合布线标签规范 236
9.7.1 设备标签规范 236
9.7.2 信息点标签规范 236
9.7.3 线缆标签 237
第八章 项目验收 238
10.1 工程验收原则及范围 238
10.1.1 验收原则和依据 238
10.1.2 验收内容和范围 238
10.2 工程验收前检查 238
10.2.1 环境检查 238
10.2.2 设备及器材开箱检查 239
10.2.3 设备安装 239
10.2.4 安装电缆走道(或槽道) 240
10.3 线缆布放验收 241
13.3.1 网线的敷设 241
13.3.2 电源线的敷设 242
13.3.3 接地线的敷设 242
13.3.4 尾纤的敷设 242
10.4 有源器件安装验收 243
10.5 无源器件安装验收 243
10.6 天线安装验收 243
10.7 电源检查验收 244
10.8 防雷接地验收 245
10.9 标签验收 245
10.9.1 信号覆盖电平 245
10.9.2 信噪比测试 245
10.9.3 Ping包测试 246
10.9.4 同AP下用户隔离测试 246
10.9.5 WEB认证时间及成功率 246
10.9.6 系统吞吐量与接入带宽测试 246
10.10 技术文件和备件的移交 246
第九章 运维方案 247
11.1 运维服务体系 247
11.1.1 总部运维服务机构 247
11.1.2 运维服务组织架构 247
11.1.3 办事处组织架构 248
11.2 运维设计方案 249
11.2.1 运维服务流程 249
11.2.2 产品备件服务 251
11.2.3 重大事件保障 251
11.2.4 驻地服务 251
11.2.5 网络管理子系统监控 252
11.2.6 网络定期巡检 252
11.2.7 运维服务总结 253
11.2.8 运维文档更新 253
11.2.9 运维技术培训 253
第十章 运营方案 255
12.1 多运营商接入方案 255
12.2 “综合运营”模式保障 255
12.3 项目建设期的运营介入 256
12.4 试运营的全员推广 257
12.5 正式运营业务和内容的双层渗透 258
第十一章 合作模式 260
13.1 建设周期 260
13.2 投资模式 260
13.3 投资资金保障 261
13.4 双方责任及义务 261
第十二章 寰创方案及优势 263
14.1 从信息化到移动智慧的跃迁 263
14.2 移动一站式学工服务平台 264
14.2.1 平台建设目标 264
14.2.2 平台建设内容 265
14.2.3 平台使用效果 272
14.3 教育大数据教辅服务平台 273
14.3.1 平台建设目标 273
14.3.2 平台建设方案 275
14.3.3 平台使用效果 285
14.4 智慧物联网综合服务平台 286
14.4.1 平台建设目标 286
14.4.2 平台建设内容 287
14.4.3 平台使用效果 289
14.5 教育云服务平台 290
14.5.1 平台建设目标 291
14.5.2 平台建设内容 291
14.6 学校管理综合服务平台 294
14.6.1 平台建设目标 294
14.6.2 平台建设内容 294
14.7 家长校友综合服务平台 297
14.9.1 平台建设目标 297
14.9.2 平台建设内容 297
第一章建设方案
3.1现状分析
Ø
网络出口需要优化
目前学校出口使用普通的防火墙作为出口,出口没有实施流量负载均衡和带宽限制机制,不能很好地提高网络资源利用率,一方面浪费网络资源,另一方面对用户的使用体验也不佳。
网络结构需要优化
现在网络为早期三层组网架构,网络纵向层级多处重复嵌套,管理型差。
网络横向之间缺乏隔离和管控机制,容易造成广播风暴,引发ARP攻击,对于病毒的的传播扩散缺乏有效隔离。
网络没有一个清晰的架构当网络发生故障时对故障的的快速定位、恢复使用造成一定得难度。
故而整体网络的可靠性、安全性、稳定性、管理性都难以满足现有信息化教学需求。
设备老化严重
校园内的核心、汇聚、接入设备的使用年限都比较长,有的设备甚至已经超过正常的使用年限,随着目前信息技术的迅猛发展,当前已经不能满足业务承载的需要。
需要到目前校园网中超时服役的网络设备或者技术上满足不了信息化需求的设备更换。
网络骨干需要提高
现网中主要的干道还采用千兆线路,核心也是采用几条千兆线路做并行传输。
在信息化技术云计算和大数据技术迅猛发展的当下,千兆的骨干网络已经完全不能适应业务发展的要求。
需要建设一张万兆到楼,千兆到桌面的骨干网。
网络健壮性性差
目前网络设备的核心节点一般都为单台设备,包括认证网关、网络出口防火墙、核心交换机等。
一旦核心设备出现故障,将给整网或者大片区域造成网络无法使用的致命风险。
网络管理维护性差
目前网络中使用的网络设备由不同厂商提供,网络管理无法统一完善。
认证计费、安全设计、路由交换系统之间无协同性,若设备更换或者配置更换将会涉及到很多工作。
对于网络管理和维护来说对于网络管理和维护来说极其不方便,增加工作量之外还容易产生纰漏。
宿舍、办公网络隔裂
目前校园中宿舍部分的网络由运营商布设并运营,教学办公区域的网络由学校管理维护,两张网络相互隔裂,无法互联互通,满足不了校园信息化统一张网络需求。
无线网络覆盖差
校内无线网络还是运营商早期覆盖的,采用的设备老旧,技术不支持最新802.11ac技术,设备性能差,另外覆盖方案多采用室分方式布设,AP数量有限,满足不了校园逐日增长的用户需求。
另外无线为运营商运营,无法满足智慧校园有线无线融合,统一认证需求。
3.2建设目标
互联网出口安全及优化
校园网络出口租用不同运营商如联通、电信、移动、教育网多条不同运营商的线路资源,通过部署多功能的防火墙,可以达到对一方面对网络资源的流量控制、多条链路负载均衡相互备份等方面做资源的管理和优化,另一方面互联网的网络出口提供安全保障,增强校园内部网里的稳定性,从而整体提升内部网络用户的上网体验。
网络行为审计和非法追溯
校园网络的用户众多,角色纷繁,为了更好的管理网络,做好信息化教学辅助的工作,满足公安部相关网络安全的法律法规要求,校园网络必须建立上网行为审计机制,要具备高效的非法追溯功能,做到网络的稳定、健康、安全。
有线无线融合一张网络
为了更好的满足当下信息化智慧校园,达到学生、教师随时随地的上网办公、学习需求,建立统一一张有线、无线融合的网络,共享校园网络教学等相关资源。
网络认证管理的改造
认证安全在网络管理中作为最为重要的部分之一,现有网络的认证平台不够全面,不能很好保障整体网络的安全性、稳定性。
此次对整体网络的认证管理平台进行改造,实现全网有线、无线统一认证管理平台,建立扁平化网络架构,在校园内通过学号、教工号、手机号等方式相关实现高效的实名制认证,提升整体网络的可靠性、使用性和管理性。
网络骨干网络升级
此次网络改造需要对贵州广播电视大学(贵州职业技术学院)校园网的核心、汇聚等网络设备进行适当的升级改造,使得校园网拓扑架构次清晰,可靠稳定,使之具备良好的可扩展性;
增强对组播、网络流控制等方面的支持,优化网络路由、增强网络的安全性。
接入层设备升级改造
目前网络中大部分接入设备还是百兆为主并且不支持POE供电,已经无法满足现有网络高速传输千兆到桌面的需求。
本次网络改造将通过对校园网中老旧的接入设备更换、并新增POE接入交换机以便为无线AP统一供电,绿色安全可靠。
全校WLAN覆盖
整个校园使用WALN覆盖以支持智能移动终端的接入是一个必要需求。
此次校园网络建设,要在校园的重要区域,包括办公室,图书馆,教学区,操场,食堂,学生宿舍区等覆盖Wi-Fi,实现无线的高速上网,并且在整个校园区域场达到用户无感知的漫游切换。
校区间高可靠VPN网络互联建设
不同校区间采用专业的VPN网关设备,通过在VPN网关设备上启用动态多点VPN机制,从而建设一套高安全、高可靠的多校区之间的VPN网络,从而实现各校区之间的网络安全互连互通,由于院部的VPN网关设备在整个VPN网络中的全局位置和重要作用,所以可以考虑双机高可靠部署
3.3方案概述
3.3.1理念概述
针对校园网面临的新挑战,寰创提供的智慧校园基础网络解决方案来支持校园网的高速发展。
智慧校园的设计理念包括:
灵活的网络方案
²
万兆无阻塞架构
寰创校园网解决方案中,使用万兆到楼、千兆到桌面方案,来支撑未来信息化校园网流量的爆炸式增长,使用无阻塞网络架构,确保校园网络各种业务需求,满足未来校园网虚拟化和云计算的带宽要求。
通过先进边的扁平化大二层架构,支持网络平滑升级,通过多重冗余备份,保证校园网关键业务持续运行,实现99%可靠性设计。
满足校园网未来5-10年持续发展需求;
大二层扁平化网络
寰创校园网解决方案中,采用大二层扁平化的网络架构,简化了网络结构,降低了网络的运维成本。
采用SVF、CSS2、istack等技术,消除网络环路问题并增强了网络的可靠性,健壮性。
有线、无线一体化
寰创设计的解决方案中,可最大限度重用现有有线网络,增加无线网络覆盖。
简化运维管理,实现有线无线统一认证,全校园网无感知漫游切换,提高网络可靠性,提升用户的上网体验。
多种认证方式统一管理
寰创都提供了形式多样的接入认证技术。
无论是有线PC还是无线移动终端,都可以位置提供合理的认证方案。
如广泛应用于校园网的Portal认证,802.1x认证,智慧APP认证。
寰创的认证方案可适用于各种场景各种用户,为网络的运营打下坚实基础。
统一认证计费解决方案
寰创使用认证网关实现了强大灵活的认证计费功能。
满足用户Portal、APP等多种接入认证的功能。
满足现网有线无线一体化认证与计费的要求。
认证通过后,满足对不同身份用户分配不同访问权限的功能。
可靠的安全管控解决方案
寰创可提供安全管控的全系列产品,实现对网络和服务器资源的全面防护。
优化运维解决方案
寰创提供针对链路和服务器的负载均衡方案,用户流量控制,提升用户体验。
寰创网络管理子系统网管,可实现对校园网整网的拓扑管理、网络资源管理、性能管理、故障管理和配置管理。
寰创网络管理子系统提供强大的报表功能,为判断运维趋势、发现潜在问题提供了强有力的支持。
IPv6平滑演进方案
全系列IPv6产品,支持双栈过渡技术、隧道互联技术和地址转换技术保证IPv4到IPv6的平滑过渡。
3.3.2设计原则
校园网是校园信息化教育建设的基础,应按照以下原则建设:
先进性与实用性结合,网络技术发展迅猛,如果设备缺乏先进性,设备可能很快落后甚至被淘汰,但也不能过分超前,以避免造成投资的浪费。
因此在网络建设中,需把握好先进性与实用性结合,使之能真正发挥出相应的作用。
安全性
在智慧校园建设过程中,安全性是最为重要的课题之一,要通过各种手段保障校园网各系统的应用和内容安全。
可靠性
要求系统本身具有高度的可靠性,这样才能保证网络客户的应用稳定运行。
可扩展性
校园网络建设之初,网络的可扩展性是网络建设中必须提前规划,不仅要满足现有网络的需求,还要能够满足未来5-10年的校园网络需求。
可管理性
网络管理是一个长期工作,在网络建设中对网络可管理是一项重要的应用原则,通过选择全网的可管理性软件,减少运维人员日常维护费用。
3.3.3总体设计
3.3.3.1网络结构设计原则
校园网是一种用户高密度的网络,在有限的空间内聚集了大量的终端和用户。
校园网注重的是网络的简单安全、可靠、灵活、稳定。
贵州广播电视大学(贵州职业技术学院)的校园网改造以星型结构为主,遵循如下原则:
层次化
将校园网络划分为认证计费、核心层、汇聚层、接入层。
每层功能清晰,架构稳定,易于扩展和维护。
模块化
将校园网络中的每个区域或者每个功能区划分为一个模块,模块内部的调整涉及范围小,易于进行问题定位。
冗余性
关键设备采用双节点冗余设计;
关键链路采用Trunk方式冗余备份或者负载均衡;
关键设备的电源、主控板等关键部件冗余备份。
提高了整个网络的可靠性。
安全性
校园网络应具备有效的安全控制。
接入网络的设备要进行统一认证,同时按接入用户身份、按权限进行分区逻辑隔离。
对特别重要的业务采取物理隔离。
对进出校园网的流量要进行识别、过滤,确保网络安全。
可管理性和可维护性
为了易于管理,可选择适用于全网的网管软件来管理网络。
为了便于维护,应尽可能选取集成度高、模块可通用的产品。
3.3.3.2网络逻辑架构设计
智慧校园基础网络逻辑架构如下图所示:
校园出口
校园出口区域既负责对校园网用户的统一接入,也负责将内部的终端用户接入到公网、将外部用户接入到内网。
出口除了要保证校园内外的数据传输,还需要保证边界安全。
数据中心
部署服务器和应用系统的区域。
为校园网内部和外部用户提供数据和应用服务。
网络管理区
结合认证计费服务器对接入用户进行认证,对网络设备、服务器等进行管理的区域。
包括告警管理、性能管理、故障管理、配置管理、安全管理等。
DMZ区域
部署学校对外的网站、邮件等服务器,保证内网数据安全的前提下提供外网访问等服务。
核心层
核心层负责整个园区网的高速互联,一般不部署具体的业务。
核心网络需要实现带宽的高利用率和网络故障的快速收敛。
汇聚层
汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层,扩展核心层接入用户的数量。
接入层
负责将各种终端接入到校园网络,通常由千兆接入交换机、POE接入交换机、无线AP等组成。
终端应用层
包含校园网内的各种终端设备,例如PC、笔记本电脑、手机、打印机、传真、监控等等。
3.3.3.3网络物理架构设计
智慧校园基础网络的物理架构如下图所示:
网络组网结构说明:
由USG下一代防火墙实现。
USG为高性能出口防火墙网关设备,具备全面的网络安全防御能力,并且具有高性能的NAT功能;
同时华为USG能针对校园出口多线路实现多线路负载,以提高校园网络多线路资源的利用率。
核心层
核心层由核心交换机组成。
认证计费向全网用户下推各种认证,实现统一实名制管理。
核心交换机承载全网所有的流量,利用虚拟化技术,建立逻辑隔离的网络通道,实现不同业务之间无干扰地稳定运行。
核心层设备建议采用多机集群模式来增加稳定性。
包含认证计费服务器,私有云平台服务器等,联合智能网关组对内网用户进行认证和管理。
同时部署寰创网络管理子系统网管系统,对网络设备、服务器等进行管理,功能包括告警管理、性能管理、故障管理、配置管理、安全管理等。
DMZ区
DMZ区主要提供外网的合法访问。
包括提供公共用户访问的公开网站,以及对应的APP服务。
对出差的内部员工的访问,部署SVN设备,提供SSLVPN的安全访问。
分校区和总部之间的互联,可以使用IPSecVPN建立互联隧道。
汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层,扩展核心层接入用户的数量。
由接入交换机和AP组成,提供校园用户有线和无线的各类终端实现网络接入。
该组网具有以下特点:
网络架构各个区域模块化,基础网络、数据中心网络、新校区网络均可独立维护。
以核心节点为“根”的星型分层拓扑,架构稳定,易于扩展和维护。
各部门和功能分区模块清晰,模块内部调整涉及范围小,易于进行问题定位
汇聚层和接入层冗余设计,关键链路均采用Trunk链路,保证网络的可靠性。
支持各种终端接入,统一认证,一张IP网络承载所有业务。
出口部署边界防御,保证网络安全。
支持分支接入、远程接入、外部用户访问等各种外联场景。
3.3.4基础区域网络规划
校园基础区域网络是整个校园网络的枢纽,覆盖整个校区,连接着校园网的各个区域。
承担了内部数据流量和对外数据流量,在逻辑上成为可靠性、安全设计的中心。
3.3.4.1整体规划
校园基础网络区域建议采用认证计费、核心层、汇聚层和接入层的架构模型,具有如下的优势:
逻辑二层设计
基础网络部分逻辑上采用了扁平化的大二层结构,接入用户都在核心交换机上接入,不需要维护复杂的网络架构与协议。
层次化设计
有认证计费服务器、核心层、汇聚层、接入层,每层功能清晰,架构稳定,易于扩展和维护。
模块化设计
每一个模块为一个学院楼、教学楼或一个学生宿舍,模块内部调整涉及范围小,便于问题快速定位
冗余性设计
节点冗余性设计,适当的冗余性提高可靠性,过度的冗余不便于运行维护。
对称性设计
网络的对称性便于业务部署,拓扑直观,便于设计和分析。
贵州广播电视大学(贵州职业技术学院)校园网基础区物理架构拓扑图为:
3.3.4.2核心层规划
核心层部署校园的核心设备,连接所有的汇聚交换机,转发各个教学楼或学生宿舍之间的流量。
核心层需要采用全连接结构,保持核心层设备的配置尽量简单,并且和校园网的具体业务无关。
核心层设备需要具有高带宽、高转发性能,否则将无法支撑企业内外部的业务流量。
核心层采用敏捷交换机使用CSS2(ClusterSwitchSystem)技术,将两台交换机从逻辑上整合成一台交换机。
这种技术支持主控1+N备份,集群系统中只要保证任意一框的一个主控板运行正常,多框业务即可稳定运行。
相对于传统业务口集群系统,每个框至少要有一块主控单元运行正常的限制。
通过集群+堆叠的无环网络方案保障网络可靠,再通过设备本身99%的电信级可靠综合保障校园网应用的稳定运行。
智能网关组块负责对校园网用户的统一接入,并与认证服务器协同工作,对接
升级会员 