校园大二层(扁平化)网络改造方案

合集下载

构建扁平化校园网络

构建扁平化校园网络作者：李玉清来源：《科教导刊·电子版》2016年第29期摘要随着众多高等学校大规模扩招和多校区建设的推进，校园网的规模在快速地扩大，校园网也要越来越充分地支持各业务系统，一个高效率的基础网络和充分融合的数字化校园对高校教育事业发展的促进作用越来越明显。

高校的数字化校园建设需要基础网络具有高性能、高可用性、高可靠性和高安全性的特点。

校园网不仅要支持全校师生的上网，还要支持通用的网络应用，包括电子政务、网站、网络财务、电子消费和认证、分布式数据库等。

现有的高校基础网络越来越难以适应用户和应用快速的发展，常用的解决办法是设备升级，但是更换设备只能解决一时之需，所以，从调整网络结构和优化网络管理上提升网络的整体性能，是高校校园网正在面临的选择。

关键词 QinQ PPPoE 扁平化中图分类号：TP393.18 文献标识码：A1课题背景这种传统架构下，会带来如下关于应用和管理上的一些困难：（1）网络实际需求和设备功能经常错位对于靠近用户端的网络边缘设备，如接入和汇聚设备，功能相对单一，但却要提供比较多的功能，而对网络核心设备，其丰富的功能和强大的性能并没得到充分发挥，形成了事实上的网络设备功能和网络实际需求的错位。

（2）VLAN资源受限。

对于三层网络设备，单台设备支持4K个VLAN，这个容量不足以实现VLAN的细分和隔离，导致大量用户、应用出现在一个冲突域里，不能进行有效的隔离和保护，用户的应用之间会造成互相影响。

（3）难以做到基于用户的控制。

2 QinQ技术介绍QinQ技术适时出现其初衷是为了拓展802.1Q VLAN数量的限制，即在原有802.1Q VLAN 报文的基础上再打上一层802.1Q VLAN标签，实现标签嵌套，从而让QinQ协议下VLAN数量扩展到4K€？K个。

它的内外层标签可以分别代表不同分类，如内层标签代表用户，外层标签代表不同业务，从而实现对用户的隔离和应用数据的分类，基于这种隔离和分类，又可以实现对用户和业务的精细化控制，同时由于QinQ报文携带两层标签，在用户数据穿越运营商网络时，内部标签透明，因此也是一种简单的VPN，他可以作为核心MPLS VPN的延伸，从而实现低成本的点到点的VPN。

构建基于大二层扁平化网络架构下的教育实名认证校园网

参考文献
［１】小甜新．如何留住精彩网页［Ｊ】．电脑爱好者．２０１６（１８）
＜ｓｃｒｉｐｔ＞ｓｅｔＩｎｔｅｒｖａ１（“ Ｄｔｉｍｅ．ｉｎｎｅｒＨＴＭＬ＝ｎｅｗＤａｔｅ０．
【２】秋思．收藏一个网页只需一个文件［Ｊ】．电脑爱好者（普及
，
ｕｓｃｒｉｉｌｃｓ，ｔｅｍｐ，ｓｔｙｌｅ，ｓｃｉｒｐ￣等。文件夹使用按名称排列命令的时候，
同一大类文件排列一起。
的现象。如果设计中使用过多网站功能以及组件，在进行浏览的时候就比较分散用户的注意力，很难达到聚焦目光的效果。在具体的网页设计的时候，要和用户浏览习惯相结合。对于设计比较特殊的网页，就要避免出现模糊难懂的情况出现，网页的设计还是要以简
版）．２０１５（０５）
ｔｏＬｏｃａｌｅＳｔｒｉｎｇ０＋’ 星期
ｇｅｔＤａｙ０）； ”，１０００）；
‘ ＋’ 日一二三四五六
‘ ．ｃｈａｒＡｔ（ｎｅｗＤａｔｅ０．
［３】唐永明．浅议网页设计与制作［Ｊ】．科技信息．２０１６（２０）【４】花的神明．追寻网页上闪动的音乐【Ｊ］．电脑迷．２０１５（１２）
构建基于大二层扁平化网络架构下的教育实名认证校园网
姚正超长沙职业技术学院
摘要：《国家十三五规划纲要》明确提出拓展网络经济空间，构筑现代基础设施网络；同时，随着国家对职业教育重视程度的提升，高职院校正处于高速发展期。随着校园的扩大，老的校园网络存在结构复杂、运维难度大、成本高等缺点，已经无法满足日益增长的业务系统和网络用户的需求，亟待升级改造。在升级改造老网络时，绝大多数网络管理员为方便管理，不约而同地选择日趋完善的大二层扁平化网络

校园大二层扁平化网络改造方案

扁平化改造——实施步骤4
• 开始割接——依次每完成一台汇聚交换机的配置，就将其接在原核心交换机上的光纤移到核心路由器上，在确定汇聚交换机与核心路由器连通后，再完成该汇聚交换机下的接入交换机的配置，完成后，测试网络是否连通，确定无误后，保存设备配置。。
出口
核心交换机
MX960
汇聚1
汇聚2
汇聚3
汇聚4
（2）汇聚交换机版本过低。解决办法：（1）将汇聚交换机上联口的MTU值设置成大于104的任意值。
（2）升级交换机版本。
扁平化改造——常见故障2
• IP地址不在radius列表中：问题：用户认证时弹出IP地址不在radius列表中的提示，导致无法通过认证。原因：MX960 radius列表中用户在线状态与深澜radius列表不一致。解决办法：同时将MX960和深澜的radius用户踢下线，然后重新建立radius列表。
RG-NPE50E
MX960
深信服AC
IPS
防火墙
深澜认证
服务器区核心交换机 RG-S7610
生活一区
生活二区
院系楼
实验楼
逸夫楼
教学楼
本部
图书馆
扁平化改造——实施细节
• 在大二层环境里终端只能使用动态获取 IP 地址，如必须使用静态 IP 地址，可以通过两种方式实现。
• 多媒体教室、电子阅览室、实验室、机房——因这些环境的终端大多需要在同一个局域网环境中，因此不能采用Q-in-Q模式。比如多媒体中控必须是静态ip，教室pc必须获得同一ip，因此多媒体区域不能强制动态获取ip，需要进行dhcp绑定和arp绑定。
扁平化改造——整体试运行
• 在完成所有割接工作后，整体试运行，验证整体的功能及稳定性

扁平化架构校园网络建设与精细化管理

扁平化架构校园网络建设与精细化管理导读：通过对主校区核心交换机和主干链路进行更新和升级，采用扁平化的架构模式提升整体校园网的性能和可靠性。

利用BRAS设备作为全校师生统一认证和计费的网络设备，将用户管理、安全控制、业务控制等各种功能有机地集成在一起，实现包括有线和无线用户，覆盖校园宿舍、公共场所等不同区域多种接入认证统一管理。

关键词：校园网络建设；扁平化架构；精细化管职业类院校如果有2个或2个以上不同地域的校区，就需要解决跨校区教学管理、教育资源优化与共享等关键问题。

这就需要将多校区的网络进行整合，进行有线无线统一认证来实现用户的精细化管理。

校园网络架构正从复杂化的多层架构向扁平化架构方向发展。

扁平化的架构模式并非必须或一定就是物理联接层次上的减少，而是指网络逻辑层次的简化。

扁平化的网络有着更高的效率，也更有利于管理。

扁平化的核心区域由能力最强、功能最丰富的多业务控制网关，即运营商级的BRAS设备提供集中的业务控制和管理，在提供功能和业务时，发挥核心设备的高性能、稳定性、可靠性等优势。

一、多校区校园网络建设对主校区交换机和主干链路进行更新和升级（万兆骨干），整体提升校园网的性能，需在主校区新增1台认证网关以及1套认证计费系统，将现网中交换组网架构变为扁平化路由组网架构，建设一张多个校区统一的校园网，实现学校多校区用户的统一接入认证管理，多校区出口带宽的统一调度，以及多校区联合组网下业务的统一部署，并提供用户的精细化管理和差异化服务，给接入用户最优的上网体验。

主校区交换机在更新升级的同时，构成了校园网业务接入层。

接入交换机负责用户接入，实现每个用户之间的VLAN隔离，汇聚交换机负责VLAN数量扩展，核心交换机负责汇聚并透传所有用户报文到BRAS上终结。

（一）核心网络的高可靠设计当整网通过扁平化组网构建了强核心的网络，作为网络核心的BRAS设备的可靠性便成为了整个校园网高效稳定工作的关键。

BRAS设备可以通过以下设计来保证自身的稳定：一是设备自身的冗余设计。

校园数字化校园整网建设方案

中小学数字化校园网络升级改造解决方案日期：2020年5月目录1、背景概述 (4)1.1数字化校园建设背景 (4)1.2建设目标、原则、依据以及任务 (4)建设目标 (4)建设原则 (5)2、中小学数字化校园建设与应用概述 (5)2.1数字化校园概述 (5)2.2数字化校园的应用现状 (6)2.3数字化校园的发展阶段及趋势 (6)3、中小学新建校解决方案总体概述 (8)3.1方案拓扑 (8)3.2设计概要 (9)4、校园网基础网络设计 (9)4.1校园网基础平台设计 (9)4.1.1校园网核心骨干现状分析 (9)4.1.2网络大核心扁平化方案设计 (10)4.1.3扁平化设计的关键技术和价值点 (10)4.2出口设计 (10)4.2.1出口现状分析 (10)4.2.2出口部署方式 (12)4.2.3出口的关键技术和价值点 (14)4.3安全体系设计 (16)4.3.1校园网安全体系现状分析 (16)4.3.2数字化校园的安全设计 (17)4.3.3安全体系的关键技术和价值点 (18)4.4运维管理体系设计 (20)4.4.1数字化校园运维管理形势 (20)4.4.2网络运维管理服务 (21)4.4.3 IT运维管理服务的关键技术和价值点 (24)5无线网络设计 (24)5.1无线网络现状分析 (24)5.2无线网络场景化解决方案 (25)5.3无线校园网整体架构设计 (28)5.4无线校园网方案的关键技术和价值点 (28)6智能化网络设计 (31)6.1智能化网络业务现状分析 (31)6.2智能化网络整体设计 (31)6.2.1网络规划设计总体思路 (31)6.2.2网络结构设计 (32)7校园数据中心云平台设计 (33)7.1中小学数据中心的现状分析 (33)8数字化校园解决方案价值 (33)8.1“融合”提升教学质量、促进教育公平 (33)8.2“创新”简化学校运维管理、提升教学体验 (33)1、背景概述1.1数字化校园建设背景学校信息化能力建设是国家教育信息化的主阵地。

校园网大二层扁平化升级实践

Ｉ
Ｐｖ６、组播及物联网等业务在校园网中的部署流程，是适合大多数学校校园网建设的可选方案。关键词：校园网；扁平化；ＰＰＰｏＥ；Ｐｏｒｔａ］中图分类号：ＴＰ３９３文献标识码：Ａ文章编号：１６７１—１３５１（２０１７）０２—００６０—０４
近年来，国家对教育信息化的要求不断提高，信息化带动教育现代化已经成为我国教育事业科学发展的重要手段，“智慧校园”概念的提出更是为校园网建设进一步明确了新目标、新方向和高要求。为学校智慧校园建设提供稳定、高速的网络支撑已经成为校园网建设的基本标准。随着云计算、大数据相关业务的快速推进，校园网用户的网络应用需求也在随时更新与提升。新业务与新需求要求校园网具备高性能、精细化和易管理等特点。目前大多数学校校园网采用的是经典三层架构组网，即网络分为核心层、汇聚层和接人层三层。【１１这种三层架构存在的主要问题有：实现一个新的业务往往需要多个层面设备的配合；无有效的隔离措施和保障手段来避免网络终端及设备间的相互干扰；网络管理人员普遍面临的问题是：在三层架构下改善用户体验（例如实现平滑的网络认证、对用户差异化网络需求的灵活管理等工作）比较费事，效果也不好。在校园网管理和维护过程中，我们发现扁平化的大二层网络架构是解决上述问题的较好方案。下面我们以天水师范学院校园网建设为例，就校园网大二层扁平化升级过程中所涉及的方案设计、论证及实施过程中的相关问题进行探讨。
Ｍａｒ．，２０１７Ｖ０１．３７Ｎｏ．２
第３７卷第２期
校园网大二层扁平化升级实践
周文勤，温志贤，李德录
（天水师范学院信息化建设与管理中心，甘肃天水７４１００１）
摘要：信息化带动教育现代化已经成为我国教育事业科学发展的重要手段，“智慧校园”概念的提出更是为校园网建设进一步明确了新目标、新方向和高要求。扁平化的二层网络是将经典的三层结构按照学校业务模式划分为业务控制和业务接入两层，可以使校园网更具开放性和可扩展性。天水师范学院校园网大二层扁平化升级实践证明，大二层扁平化网络架构突破了传统三层网络架构的一些瓶颈，实现了校园网高性能、精细化和易管理的建设预期。大二层扁平化网络可以快速实现对校园网用户和设备的统一管理，同时简化了校园混合云、

校园网扁平化改造技术方案建议书

校园网扁平化改造方案建议书（BRAS）1 传统校园网架构瓶颈1.1 校园网发展历程回顾第一个阶段，可用的网络：随着大规模的PC部署，带来高校用户内部互联互通的需求，此阶段学校的重点集中在基础网络建设上，用户可以通过校园网访问内部互联互通，并可实现对INTERNET访问；第二个阶段，可控、可管的基础网络：随着校园网用户规模的不断扩大，以及互联网浪潮的兴起，校园上承载了越来越多的应用，校园网的安全问题也日益凸显，这一阶段，除了重视对基础网络的建设、基础网络带宽的扩容外，校园网的安全、可控是校园网的关注点；在这个阶段，校园网的基础架构已经建设完成；第三阶段：简单、可扩展的网络：随着移动互联网的兴起，移动无线终端的接入成为校园网建设的关注点，校园网向服务转型：更加注重终端用户的使用体验，并为各部门的业务建设提供支撑。

此阶段，学校更加注重网络运营的效率，以确保网络架构能够快速支持的变化（终端数量的变化、应用的变化）；目前，多数学校都处于第二阶段向第三阶段转型的过渡期；也随之暴露许多问题。

1.2 架构受限目前绝大多数高校校园网采用的是已交换技术为主的经典三层组网架构，分核心、汇聚、接入三层面组成，各层分别实现不同的业务功能。

其中，接入层负责用户的接入，相互的隔离，速率的限制，802.1X等接入功能的实现，DHCP侦听和ARP动态检测（避免ARP攻击），双栈组播控制与分发等；汇聚层负责用户的三层终结、路由，ACL、QoS功能实现，双栈组播控制与分发；核心层负责全校（或校际）数据的高速路由数据交换，ACL、QoS功能实现，双栈组播控制与分发等。

从组网模式可以看出：每个层面都在做用户双栈业务的接入和控制，协调实现部分的功能；核心层相对能力强的设备，功能相对弱化；越靠近用户接入边缘的设备，数量最多，功能要求却很多，加上资金的限制，不可能具有较高的性能；此前建设并仍在运行的接入设备，大部分不支持IPv6协议，更谈不上对组播的支持；不同的用户、应用没有有效的隔离措施和保障手段，导致相互的干扰影响；随着规模扩大，功能的叠加，校园网中设备的稳定性、可靠性大幅降低，管理维护压力越来越大。

下一代校园网扁平化解决方案mx系列

AC与MX共同实现用户接入控制和管理，并通过Radius实现联动
有线无线一体化解决方案: 对手持终端用户
MX960的Firewall和运营商级NAT功能(MS-DPC)
DHCPv4DHCPv6
IPoE+Portal认证
PPPoE认证
报文触发认证
L2TP认证
PPPoEv4PPPoEv6
IPv4 over L2TPIPv6 over L2TP
性能指标
02
Carrier IPv4 and IPv6 Network
VLAN
校园网中原有的二层设备
MX IPv4/IPv6 Edge Router
客户端与BRAS之间为二层点到点通道通过客户端实现到与BRAS的PPPoE拨号通过PPPOE的PPPv4，实现IPv4地址的分配通过PPPoE的PPPv6，实现IPv6地址的分配
有线无线一体化解决方案: 对手持终端用户
Radius &CoA Client
WLAN AC
AC通过802.1X方式实现用户接入无线网络接入控制和认证MX则提供了无线终端的DHCP，并实现对用户session的控制通过Radius系统实现AC与MX之间的联动
无线侧提供无线终端接入，结合无线AC实现无线侧的终端802.1X的接入控制；此时无线侧必须工作在集中转发模式；无线侧为手持终端提供专用的SSID
无线系统提供无线终端接入，不做任何的用户管理功能；无线AC+AP可工作于本地交换模式
扁平化带来的优势-有线无线一体化管理
1、用户必须手动打开WEB浏览器才能认证，否则只是拿了地址；2、大量未经认证终端也能拿到IP地址，占用MX session资源；
1、认证页面显示问题：分辨率、字体等；2、用户手指操作方便性问题；3、多操作系统支持问题；

校园网机房扁平化

１保留原区域汇聚设备机房，．将其作为
Ｄ数据中心机房的建设，逐步达到信息化网络区域汇聚的无源汇聚点。将各个楼宇接能力的控制更灵活方便，使得网络传输的ＩＣ人设备机房上联到原区域汇聚设备机房的多负载能力得到了有效的增强。通过核心交基础设施物理上集中管理，各种资源统一模光纤改造成单模光纤，再新敷设若干根从换设备的集中和负载平衡的调节，某校原分配，网络结构更加优化，同时也为使用ＩＣ机房到区域汇聚机房的单模光纤（Ｓ光纤网络核心汇聚需要６台交换设备的工作，现ＢＡ宽带接入认证系统）打下基础。固ＲＳ（芯数应大于各个楼字到区域汇聚机房的单模在只需由４台核心交换设备即可承担，而富
校发展提供有用的决策支持，让校园网用为网络传输信道的无源汇聚点，这样在校热量非常大，保持机房的工作温度相对稳
户充分享受信息化成果，则是我们的工作园网物理区域里只有两类放置交换设备的定是保障网络设备运行的关键因素。因此目标。由于受到建设资金的影响，早期校园机房——Ｉｃｓ机房和楼道汇聚与宽带接入机必须考虑通风降温措施。另外这类机房平
网络也从高速发展期步入稳健成长期。保心汇聚交换机的传输光纤全部更新为单模用户数量较少并且均在楼内，因此交换机障网络运行和增强服务成为当前的工作重光纤，原中心机房与原区域核心汇聚机房所需的电源可以直接使用市电。而这类机点，而如何满足师生日益增强的信息化需或新的汇聚点之间铺设足够多芯数的单模房通常相对封闭，机房建筑结构的保温性求，为教学和科研提供多元化的服务，为学光纤，使得原核心机房或新的汇聚点建成也较好，由此导致机房的网络设备累积发

学校宿舍网络改造实施方案

学校宿舍网络改造实施方案一、背景分析。

随着信息技术的快速发展，学校宿舍网络已经成为学生学习和生活的重要组成部分。

然而，由于学校宿舍网络设施老化、带宽不足、信号覆盖不全等问题，已经无法满足学生日益增长的网络使用需求。

因此，为了提升学校宿舍网络的质量和稳定性，我们制定了学校宿舍网络改造实施方案。

二、改造目标。

1. 提升网络带宽，通过升级网络设备和扩大带宽，实现网络速度的提升，满足学生高清视频、在线游戏等需求。

2. 改善信号覆盖，对学校宿舍区域进行全面覆盖，消除盲区，确保网络信号稳定。

3. 提高网络安全性，加强网络安全防护措施，防范网络攻击和信息泄露。

4. 提升网络稳定性，优化网络结构，减少网络故障和断网情况，保障学生正常上网需求。

三、改造方案。

1. 升级网络设备，替换老化的路由器、交换机等网络设备，提高网络传输效率和稳定性。

2. 扩大带宽，与运营商合作，增加宽带接入点，提升网络带宽，满足学生日常上网需求。

3. 安装WIFI覆盖设备，在学校宿舍楼内外安装WIFI覆盖设备，确保全面覆盖，消除信号盲区。

4. 强化网络安全防护，部署防火墙、入侵检测系统等网络安全设备，加强网络安全防护，保障学生网络信息安全。

5. 完善网络管理，建立完善的网络管理系统，实时监控网络设备运行状态，及时发现和处理网络故障。

四、实施步骤。

1. 制定改造计划，根据学校宿舍网络实际情况，制定详细的改造计划，明确改造目标和时间节点。

2. 设备采购和布线，购买新的网络设备，进行布线和安装工作，确保设备正常运行。

3. 网络改造实施，按照计划，进行网络设备升级、带宽扩充、WIFI覆盖设备安装等改造工作。

4. 网络安全防护加固，部署网络安全设备，加固网络安全防护，确保网络安全稳定。

5. 网络管理系统建设，建设网络管理系统，实现对网络设备的实时监控和管理。

五、预期效果。

经过学校宿舍网络改造实施方案的实施，预计将取得以下效果：1. 网络带宽提升，满足学生日常上网需求。

大二层按需构建灵活的精细化的校园网络课件

根据网络需求，将交换机端口划分为不同的VLAN，实现网络隔离和安全性。
VS
VLAN管理
通过配置VLAN接口IP地址和管理VLAN 的路由，实现VLAN之间的通讯和管理。
配置静态路由和动态路由协议
静态路由
配置静态路由，实现不同VLAN之间的通讯，以及校园网与外部网络的通讯。
OSPF协议
配置OSPF协议，实现动态学习路由信息，优化网络路由路径，提高网络性能和可靠性。
ห้องสมุดไป่ตู้
未来发展趋势和研究方向
发展趋势
网络功能虚拟化：随着虚拟化技术的不断发展，未来校园网将逐渐实现网络功能虚拟化，大二层网络架构将更好地支持虚拟化环境下的网络管
理和优化。
5G融会发展：5G技术的不断普及和应用，将为校园网带来新的发展机遇和挑战，大二层网络架构将更好地与5G技术融会发展，满足校园网日益增长的需求。
网络设备的状态监控
实时监控网络设备的状态，包括端口状态、流量情况等，当出现特殊情况时及时告警并处理，保证网络的稳定运行。
实施网络安全策略
访问控制策略
通过制定访问控制策略，限制用户对敏锐资源的访问权限，防止未经授权的访问和恶意攻
击。
安全审计策略
定期对网络进行安全审计，发现潜伏的安全隐患和漏洞，及时进行处理和修复。
实时监控网络流量，分析流量行为和特点，为优化网络性能提供数据支持。通过分析流量数据，可以发现潜伏的网络瓶颈和优化点，进而调整网络配置和结构。
故障处理与恢复
当出现网络故障时，应快速定位并处理故障。通过实施故障处理机制，可以缩短故障恢复时间，减少对业务的影响。同时，应制定应急预案，以应对可能出现的严重故障或安全事件。
实施QoS策略和流量控制

校园网扁平化改造设计

校园网扁平化改造设计作者：袁学松来源：《电脑知识与技术》2020年第22期摘要：本文针对校园网传统三层架构运行中存在的问题，应用扁平化网络结构理念对网络架构和认证计费方式进行了重新设计，同时对学校有线和无线网络如何改造给出了方案。

关键词：校园网;扁平化;改造中图分类号：TP311文献标识码：A文章编号：1009-3044（2020）22-0239-02开放科学（资源服务）标r码（OSID）：1 引言安徽师范大学校园网基础设施大规模建设始于2003年，校园网络主干线路采用千兆光纤、百兆到桌面。

整个网络承载了全校校内网络资源访问及互联网资源的访问、校园一卡通系统、智能水电系统、办公网络、多媒体教学网络、标准化考场网络、各类实验室和机房网络的互联等各类业务系统。

经过十多年的发展和运行，校内的汇聚、接人设备的使用年限都比较长，部分甚至已经超过了正常使用周期，很多设备处于无维保状态。

很多网络设备间基础环境较差，线路老化、标识不清。

室内信息点分布不合理，线路质量参差不齐，人为造成了很多网络故障点，造成容易掉线、网络不稳定。

校园无线由于覆盖不足而造成信号不好等。

这些都极大地影响了用户的使用效果。

校领导多次提出有线不掉线，无线能泛在的要求。

为此，作为校园网建设和管理部门，必须行动起来，做好网络改造工作。

2 网络架构和存在问题2.1网络架构校园网的网络架构如图1所示，采用核心、汇聚和接人三层网络架构建设，通过多台H3C 7506核心交换设备组成网络核心设备。

采用核心交换设备上的“无线控制业务板卡+放装AP”的方式，组成校园无线网络。

有线、无线网络覆盖了赭山校区、花津校区、皖江学院、教職工公寓、附属中学等区域。

2.2 存在的问题目前，学校校园网的拓扑比较清晰，但是存在的问题也是比较突出的，主要体现在以下几个方面：1）网络架构中存在的问题学校校园网采用传统的三层网络架构，网络中存在着大量的汇聚、接人交换机，核心层为H3C三层路由交换设备，主要提供快速数据交换功能，满足局域网数据交换频繁的应用特点。

基于QinQ协议的校园网扁平化改造设计中期报告

基于QinQ协议的校园网扁平化改造设计中期报告一、项目背景随着校园网的不断发展，越来越多的学生和教职工需要在校内进行高速、安全、稳定的网络访问。

然而传统的校园网架构存在着一些问题，如层次过深、冗余节点较多、网络抖动较大等，导致网络性能和用户体验无法得到有效提升。

为了解决这些问题，本项目提出了基于QinQ协议的校园网扁平化改造设计方案，旨在优化校园网的架构和性能，提高用户体验。

二、项目目标本项目的目标是实现校园网的扁平化改造，具体目标包括：1. 构建统一的二层网络，减少层次深度和冗余节点，提高网络性能和稳定性；2. 提高网络安全性，采用VLAN隔离等措施，保障用户信息安全；3. 提高网络带宽利用率，通过QinQ协议实现多租户网络，满足各单位的需求，提高网络资源利用效率；4. 提高运维效率，通过网络自动化和故障隔离机制实现网络快速响应和自动恢复。

三、项目方案设计1.网络架构设计本项目将采用扁平化网络架构，即将传统的多层网络转变为统一的二层网络。

在二层网络中，所有交换机都处于同等地位，这样可以减少网络抖动和层次深度，提高网络性能和稳定性。

2.VLAN隔离为了保障用户信息安全，本项目将采用VLAN隔离技术，将用户分为不同的虚拟局域网，实现彼此隔离，防止信息泄露和攻击。

3.QinQ协议本项目将采用QinQ协议实现多租户网络。

QinQ协议利用了802.1Q 协议的VLAN标签，在VLAN标签中再插入一个VLAN标签，从而实现了对多个租户的支持。

通过QinQ协议，可以实现不同单位之间的网络隔离，并满足各单位的需求。

4.网络自动化和故障隔离机制本项目将采用网络自动化技术和故障隔离机制，提高网络的运维效率。

网络自动化技术可以实现网络的快速响应和自动化配置，故障隔离机制可以自动隔离故障节点，提高故障处理效率。

四、项目计划本项目的计划如下：1.项目启动和需求分析（1周）2.网络架构设计和VLAN隔离实现（2周）3.QinQ协议实现和网络自动化配置（3周）4.故障隔离机制实现和性能测试（2周）5.项目验收和总结（1周）五、项目预算本项目预算如下：硬件：100万元软件：20万元人员费用：50万元总计：170万元六、参考文献[1] “深入浅出QinQ(文章),” InfoQ, 2017.[2] “解析校园网扁平化架构(文章),” CSDN, 2019.。

学校网线改造工程施工方案

学校网线改造工程施工方案一、前言随着信息化教育的发展，学校网线的承载能力逐渐成为一个亟待解决的问题。

在此背景下，为了提高学校网络的稳定性和速度，学校网线改造工程成为了必不可少的一环。

本文将针对学校网线改造工程进行详细的施工方案介绍，以确保施工过程安全、顺利、高效地进行。

二、施工前准备1. 项目立项：在进行学校网线改造工程前，需要对整个项目进行立项，确定预算、工程范围、工期等基本信息。

必要时可以进行前期调研，了解学校现有网络的情况，以便确定改造的方向和重点。

2. 施工计划编制：根据项目的实际情况，制定合理的施工计划。

在制定施工计划时，需要考虑到学校的课程安排、学生考试等特殊情况，避免施工过程对学校正常运行造成影响。

3. 施工人员组织：确定施工所需的具体人员数量和配备，并进行培训，确保施工人员具备足够的技术水平和施工经验。

4. 施工材料准备：根据施工需要，准备好所需的网线材料、工具设备等。

5. 安全措施落实：施工期间需遵守国家关于安全生产的相关规定，做好安全保障措施，确保施工过程中安全生产。

三、施工方案1. 施工地点：确定改造的范围，包括教室、办公室、图书馆等各个区域。

根据实际情况，确定施工的先后顺序和时间节点。

2. 网线敷设：根据学校实际情况和需求，选取合适的网线材料，确保网络改造后能够满足学校的需求。

在敷设网线的过程中，需要考虑布线的美观性和易于维护性。

3. 设备接入：在网线敷设完成后，需要进行设备接入测试，确保设备能够正常接入网络，并能够进行正常的使用。

4. 设备调试：对接入的设备进行调试和优化，确保设备的性能和稳定性。

5. 动线规划：在进行网线改造的同时，需要对网络动线进行规划，保证网络的布局合理，敷设路径清晰，便于日后的维护和管理。

6. 施工验收：施工完成后，进行验收测试，确保改造后的网络能够正常使用，符合学校的需求。

四、施工流程管理1. 施工进度管理：按照施工计划进行施工，严格控制施工进度，确保项目能够按时完成。

基于大二层架构的校园网升级改造——以河南财政金融学院象湖校区为例

第33卷第2期2019年4月河南财政税务高等专科学校学报Journal of Henan College of Finance ＆Taxation Vol.33.No.2Apr.2019［收稿日期］2019－02－09［基金项目］河南省高等学校重点科研项目（19A520014）［作者简介］程飞（1981—），男，河南汤阴人，河南财政金融学院实验师，工学硕士，研究方向为计算机网络；罗伟（1982—），男，河南新蔡人，河南财政金融学院高级实验师，工学硕士，研究方向为网络安全、大数据。

基于大二层架构的校园网升级改造———以河南财政金融学院象湖校区为例程飞，罗伟（河南财政金融学院现代教育技术中心，河南郑州451464）［摘要］随着信息化技术的不断发展，传统的三层网络架构已经无法满足信息化应用的需求。

新兴的大二层网络架构，可以实现业务控制与业务接入两层架构，使校园网具备更好的开放性与扩展性，提高网络的安全性和可靠性，有效满足各单位信息化应用的需求。

［关键词］校园网；大二层网络架构；网络扁平化［中图分类号］TP393.18［文献标识码］A ［文章编号］1008－5793（2019）02－0093－04一、引言近些年，国家高度重视教育信息化工作，先后印发了《教育信息化十年发展规划（2011－2020年）》《教育信息化“十三五”规划》《教育信息化2．0行动计划》，旨在积极推进“互联网+教育”发展，加快教育现代化和教育强国建设。

高等院校作为教育信息化发展的先行者，以教育信息化带动教育现代化为目标，扎实推进智慧校园建设。

校园网是智慧校园建设的基础，稳定、高速、可靠、冗余扩展的网络体系架构是校园网适应智慧校园建设发展的基石。

目前，大多数高等院校校园网采用的是传统的三层架构网络体系，即核心层、汇聚层和接入层三层，这种架构在很长一段时间内满足了各高校的信息化需求。

但随着信息技术的不断发展，传统的三层架构网络已经不能满足信息化应用的需求，主要表现为，上线一个新业务需要变更校园网中核心层、汇聚层和接入层三层网络设备的相关配置，方可满足使用需求；一卡通等跨楼宇的专用业务无法实现统一、便捷管理；校园网运维工作繁重。

利用无线AC改造大二层无线网络

我校现有网络拓扑
我校为什么考虑大二层？
客户端维护工作量大
用户不同的桌面系统，安装不同的专用用客户端/升级等用户认证感知差，整个网络使用体验不不方便网页认证具有兼容性与便捷性提出设想：有线网络实施portal认证，实现portal二次身份认证。

Â
Â
Â
Â
改造方案选择
分布式部署模式统统一大二层模式大层模式
改造方案具体实施
AC旁挂核心
用户IPv4网关启至AC C上
用户IPv6网关下移至至各楼幢汇聚
改ห้องสมุดไป่ตู้方案效果
网络运行稳定，外外维压力减轻有线、无线网络认有线线网络认认证界面统一认证界面统设备性能要求降低低
总结
依托原有设备，投依托原有设备投入低投改造前后利弊选择择网络与用户维护的的难度降低
利用无线AC改造扁扁平化大二层网络
----案例分享
信息与教育技术中心王继涛
大二层网络优势与特点
网络结构简化建设成本降低运维简单
扁平大二层改造的难点
原设计理念与扁平计念与扁平大二层网络矛盾大络设备生命周期与改改造成本
我校为什么考虑大二层？
核心层改造不久无线网络使用核心设备设计原理理
谢谢
信息与教育技术中心王继涛 Email：wangjitao@

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

确认网络架构汇聚设备摸底——是否支持qinq 接入设备摸底——是否支持vlan 了解网络特殊环境——有无静态地址环境了解光纤接口、数量——接口类型、光纤资源是否足够
• • •
绘制校园现有网络拓扑和网络点位统计表核心设备安装确认-空间及电源弱电间位置及钥匙确认
• • •
规划用户终端使用的IP地址规划设备管理地址规划汇聚交换机上QinQ的外层标签
流控行为管理设备认证计费设备 Srun(透明)
新加核心路由器 (透明桥)
•
无感知割接——如果有备用的汇聚设备，可以在原有汇聚设备旁再加一台汇聚设备，新加的汇聚设备与核心路由器直接相连，实现切
换一台接入，不影响其他接入
• 实施周期——根据楼宇数量，确定网络割接时间，楼宇分批次进行割接，平均1栋楼割接时间为1天。 • 需注意事项：原有静态地址用户需要在割接后将电脑的地址改为 DHCP方式 • 实施时间避开寒暑假、开学前半个月，招生时间。
核心层
高速转发
汇聚层
IPv4三层终结路由协议 ACL QoS 用户接入相互隔离速率限制 DHCP侦听动态ARP检测
接入层
三层网络架构采用层次化模型设计，即将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。方便管理、提高网络性能。
境中，因此不能采用Q-in-Q模式。比如多媒体中控必须是静态ip，教室pc必须获得同一ip，
因此多媒体区域不能强制动态获取ip，需要进行dhcp绑定和arp绑定。
•
用户无法通过认证：
问题：用户打开网页无法弹出portal认证页面原因：割接前用户使用的静态地址，无法拿到新地址，从而弹不出portal页面解决办法：把用户电脑静态IP地址改成动态获取。
宽带接入层
QinQ VLAN隔离用户接入 VLAN隔离
• • • •
帮助用户从传统的三层网络架构向二层网络架构转变。通过控制层面设备有效减少网络的物理和逻辑级联级数网络架构更清晰、更高效更易于管理和维护
做到可细
分、可隔离;
做到可跟、可审计;
做到可细分、可控制;
做到可识别、可保障;
• • • • •
•
用户认证过后无法访问门开。
原因：（1）汇聚交换机上联口MTU值未调整。
（2）汇聚交换机版本过低。解决办法：（1）将汇聚交换机上联口的MTU值设置成大于104的任意值。（2）升级交换机版本。
•
IP地址不在radius列表中：
RG-NPE50E
深澜认证
深信服AC
服务器区核心交换机 RG-S7610 IPS 防火墙
MX960
生活一区
生活二区
院系楼
实验楼
逸夫楼
教学楼
本部
图书馆
•
在大二层环境里终端只能使用动态获取 IP 地址，如必须使用静态 IP 地址，可以通过两种方式实现。
•
多媒体教室、电子阅览室、实验室、机房——因这些环境的终端大多需要在同一个局域网环
•
规划接入交换机上QinQ的内层标签
•
规划核心设备上物理接口及 unit
•
生成QINQ规划表
ISP
Cernet
出口防火墙
• •
改造测试——改造前搭建模拟环境测试平滑过渡——将核心路由器通过透明桥的方式部署在认证计费设备及原核心设备之间，照事先规划好的设计，逐步的将接入用户切到新核心路由器上面来
MX960
汇聚交换机
办公外层标签2000 专网外层标签4000 办公外层标签2001 专网外层标签4000
接入交换机
办公vlan2-49 专网vlan 100 办公vlan2-49 专网vlan 100
•
调整核心设备位置——待所有汇聚交换机全部移到MX960下后，开始调整核心设备的位置，将原有的核心交换机做为数据中心交换机部署在服务器区或者作为汇聚利旧，完成校园网扁平化改造过程。
户。
原因：用户通过无线路由器联网后，同一台无线路由器下上网用户的流量在认证服务器上无法区分。解决办法：在DHCP服务器上通过option55字段对无线路由器进行屏蔽，使无线路由器无法获取到IP 地址。
核心层
高速转发 IPv4三层终结 ACL QoS
接入层
用户接入相互隔离速率限制 DHCP侦听动态ARP检测
二层网络架构采用“收缩核心“设计，忽略汇聚层，核心层
设备直接连接接入层设备。
减轻维护负担，更容易监控网络状况。
业务控制层
IPv4/IPv6双栈线速转发 ACL、速率限制 QoS VPN 基于用户的认证接入和控制
问题：用户认证时弹出IP地址不在radius列表中的提示，导致无法通过认证。原因：MX960 radius列表中用户在线状态与深澜radius列表不一致。解决办法：同时将MX960和深澜的radius用户踢下线，然后重新建立radius列表。
•
防代理上网问题处理
问题：学校存在大量用户通过无线路由器代理上网，导致认证服务器上记录的流量精确不到每一个用
•
将核心路由器接入网络，同时在部署认证服务器——项目开始时，需将核心路由器版本进行升级。本着保证网络稳定的原则，如图所示先暂时将核心路由器接在原核心交换机下面,其他网络设备位置保持不变。
出口
核心交换机
MX960
•
配置核心路由器，搭建测试环境——按照规划表完成核心路由器的版本升级及基本配置，其中与认证服务器的对接参数配置、路由、接口unit等。完成后，搭建测试环境，测试与核心与认证设备对接是否完全。
接入1 接入层汇聚层。。。。。。
原核心设备
接入2
•
认证第一阶段
•
认证第二阶段
•
需注意事项：割接认证设备时，我们会协调认证设备厂商的备机到场
•
核心路由器上架——核心路由器大约600斤重，上架前需将板卡、电源、风扇全部卸掉，并用尺子衡量好耳朵螺丝孔与机柜螺丝孔的对应位置。上架时需至少两个人同时搬动设备，设备搬到相应位置时及时拧上螺丝，固定设备。上架完成后将板卡、电源、风扇安装到原位。
•
开始割接——依次每完成一台汇聚交换机的配置，就将其接在原核心交换机上的光纤移到核心路由器上，在确定汇聚交换机与核心路由器连通后，再完成该汇聚交换机下的接入交换机的配置，完成后，测试网络是否连通，确定无误后，保存设备配置。。
出口
核心交换机
MX960
汇聚1
汇聚2
汇聚3
汇聚4
汇聚5
汇聚6
•
监控、财务、一卡通专网以及多媒体教室接入——全网汇聚交换机接口配置为灵活QinQ。专网与办公网的内层标签、外层标签不相同，同一专网的内外层标签都配置成一致，使其处在同一二层广播域中，且与办公网的隔离开。