第三章、计算机网络系统

XXX校园网络需求大体都可以分为教学办公、综合安防。网络设计应考虑稳定、扩展、安全等问题。教学办公网络中质量的稳定性和可靠性是要着重考虑的方面，综合安防视频监控图像、公共广播等低延迟是着重考虑的方面，学校应该结合自己的实际情况来考虑网络的结构以及安全问题。

校园网络在信息服务与应用方面应满足以下几个方面的需求：

1、校园网要求具有数据、图像、语音等多媒体实时通讯能力；

2、文件存储能力；

3、网络安全；

4、无线WIFI系统。

      3.1、校园网络分层设计

校园网络采用三层架构，分为核心层、汇聚层与接入层。

一、核心层是一个高速的交换式骨干,核心设计目标是使得交换分组所耗费的时间延时最小,核心层还对数据包/帧进行安全处理。核心层采用三层交换设备，根据内网需求划分数个Vlan和Vlan trunks，进行Vlan间路由和访问控制。核心层配置高端模块化三层交换机,可按需求扩展业务板块。

二、汇聚层在校园网络中，汇聚层是核心层和接入层之间的分界点，他以单元楼为单位，汇聚层的功能是对单元楼的边界进行定义。对数据包/帧的处理应该在这一层完成。在校园网络环境中，汇聚层可以包含下列一些功能：

1、单元楼的汇聚； 

2、将单元楼的访问连接到骨干； 

3、安全策略。

三、接入层交换机采用千兆交换机，每端口提供千兆速率接入能力，实现千兆到桌面。

      3.2 校园网络部署

一、网络管理中心部署核心交换机，通过万兆多模光纤与各教学楼互联。各教学楼的接入交换机汇聚整栋楼的网络节点。

二、汇聚交换机采用全光口交换机，配置万兆上行口，通过万兆多模光纤与网络管理中心核心交换机互联。

三、接入交换机采用全千兆24口交换机，AP全部采用24口POE交换机供电。无线网络采用Fit AP组网，并通过千兆POE交换机进行数据传输和供电。通过旁路部署无线控制器，对全网设备进行有线无线一体化管理和维护。

四、网络安全通过在出口部署一台防火墙进行安全防护，保障学校与教育网的网络安全隔离和互通。

五、防火墙与核心交换机之间部署一台上网行为管理设备，对学校的上网用户进行访问限制与记录，并形成日志。

       3.3、网络拓扑

       3.3.1、校园网络拓扑

        3.3.2、安防网络拓扑

       3.4、校园网络详细设计

XXXX校园核心网络使用1台三层多业务交换机，考虑到网络设备的稳定性，建议在核心交换机上配置冗余电源。核心交换机采用无单点故障设计，所有关键部件，如电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；可以在恶劣的环境下长时间稳定运行。

汇聚层负责处理路由选择域之间的信息重分配，并且通常是静态和动态路由选择协议之间的分界点。汇聚层也可以是远程站点访问企业网络的接入点。

可以将汇聚层汇总为提供基于策略连接的层。数据包的处理、过滤、路由总结、路由过滤、路由重新分配、VLAN间路由选择、策略路由和安全策略是汇聚层的一些主要功能。

本方案在各楼栋管理间内设置全光口汇聚交换机，在管理间内采用多模光纤直接与接入交换机互联，并通过万兆光纤与核心网络互联。

接入层提供网络的第一级接入功能，完成简单的二，三层交换。策略、Vlan功能都位于核心层。对于接入层设备，本案根据学校规划的实际情况，采用全千兆交换机不同接口密度的设备，在各楼的管理间均采用多模光纤直接与管理间汇聚交换机互联。

本次网络出口部署一台防火墙，用于基础的学校内部安全防护和学校与外界的安全访问，同时校园内网进行精细化的安全防护。出口区的防火墙可以实现将1台设备虚拟化为多台设备使用，可为每个端口配置1个虚拟防火墙资源，配合每条链路的业务应用情况针对性的部署安全策略。虚拟防火墙划分硬件资源(包括CPU、内存、存储空间)、支持网络虚拟化（如IP、VLAN、VRF资源）、实现对DoS/DDoS攻击、ARP欺骗攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击等安全防护。

XXXX校园无线网络作为有线网络的有力补充，在对有线网络无法很好覆盖的区域进行无线覆盖的，同时也要为该区域提供高性能，高稳定的无线覆盖。

在核心网上旁挂1台无线控制器与无线接入点，形成FIT的组网方式，无线架构不但能方便地实施二层漫游，而且非常有利于跨三层的漫游实现，集中式架构非常容易解决跨三层漫游的问题，漫游域不受子网的限制。可以让学校在规划无线网络时，无需过多考虑现有网络的规划，更多关注在无线信号的覆盖即可，这种方式大大简化了前期的网络规划，减少了网络规划成本。