h3c职业技术学院网络设计方案

广州XX职业技术学院校园网络设计方案
华三通信技术有限公司
2008年12月
目录
第1章概述 (3)
第2章系统建设需求 (3)
第3章网络平台建设方案 (4)
3.1 网络设计原则 (4)
3.2 网络层次化设计 (5)
3.3 校园网络总体结构 (6)
3.3.1 核心层设计 (7)
3.3.2 数据中心设计 (11)
3.3.3 汇聚层设计 (11)
3.3.4 网络出口设计 (14)
3.3.5 接入层设计 (17)
3.3.6 无线网络设计 (21)
3.4 网络安全性设计 (25)
3.4.1 重要安全区域隔离 (25)
3.4.2 出口带宽监管 (26)
3.4.3 网络安全保护 (26)
3.5 网络可靠性设计 (28)
3.5.1 物理设备和链路稳定性 (29)
3.5.1.1 网络结构的可靠性 (29)
3.5.1.2 设备级冗余性设计 (29)
3.5.1.3 链路冗余配置 (30)
3.5.2 数据链路层稳定性设计 (30)
3.5.2.1 网络部署MSTP (30)
3.5.2.2 生成树边缘端口 (31)
3.5.2.3 DLDP技术运用 (31)
3.5.3 网络层稳定性设计 (32)
3.6 网络管理设计 (32)
3.6.1 资源管理 (33)
3.6.2 拓扑管理 (34)
3.6.3 故障（告警/事件）管理 (35)
3.6.4 性能管理 (37)
3.6.5 图形化设备管理 (38)
3.6.6 集中配置管理 (38)
3.7 用户管理系统 (40)
3.8 方案总结及优势说明 (44)
第1章概述
广州XX职业技术学院（以下简称为XX学院）1999年3月经教育部批准成立，是中国XX总局唯一一所独立设置实施高等职业教育的全日制普通高等院校，是“国家示范性高等职业院校建设计划”2007年度立项建设院校之一。

根据国家示范性高等职业院校建设项目的要求，XX学院拟完善数字化校园网络平台，为数字化教学平台提供一个良好的支撑平台。

方案参考了学院《数字化校园网络平台项目（第一期）建设实施方案》内容。

在方案中，我们将根据校园网络平台建设要求，提出一个校园网络平台的建设目标和框架，并针对各个部分建设进行说明。

第2章系统建设需求
校园网络平台是校园数字化系统的运行基础，学院原有的网络平台无论是在网络的稳定性、业务适应用性、性能、安全以及可扩展性等方面已无法支撑学院系统的需求，更是无法达到国家示范性高等职院建设的要求，因此，学院的校园网络平台需要进行全面的升级，建设任务主要包括以下五大方面：
一、建设一个高可用的骨干网，这是网络平台建设最为重要及紧急任务之
一，骨干网的稳定性、性能和安全性将直接影响到校园网络的运行；
二、建设一个数据中心网络平台，为数字化业务系统提供一个高可用的接
入平台；
三、建设一个安全可控的网络出口，增强网络外界的安全防护以及校园网
用户的行为监管能力，提高出口带宽的使用效率；
四、完善校园网用户的接入和控制，通过部署用户认证、计费等措施对全
面提升对接入用户的控制，使用户接入规范化。

五、建设校园无线网络平台，提高网络接入的覆盖能力，校园用户更易于
使用学院资源。

第3章网络平台建设方案
3.1网络设计原则
广州XX职业技术学院校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学自动化，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。

学院网络建设遵循以下基本原则：
高带宽
学院网络是一个庞大而且复杂的网络，为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特，整网的核心交换要求能够提供无瓶颈的数据交换。

可增值性
学院网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。

所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。

可扩充性
考虑到学院用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩展功能，学院网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。

开放性
技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。

安全可靠性
设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。

3.2网络层次化设计
在校园园区网络整体设计中，采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置。

根据广州XX职业技术学院的网络分布情况，校园网共分成核心层、汇聚层和接入层三层。

1) 核心层
核心层是整个网络的骨干，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。

XX学院主校区设立整个校园网的核心层，同时，在新机场实训基地设立分核心。

对于XX学院主校园的核心层，必须提供高性能、高可靠的网络结构，推荐采用高可靠的多设备冗余的星型结构。

对于校园网核心层设备，应该在提供大容量、高性能L2/L3交换服务基础上，能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性，可为校园园区构建融合业务的基础网络平台，进而帮助用户实现IT资源整合的需求。

2) 汇聚层
汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关。

目前，XX学院在主校区共有15幢建筑物，新机场实训基地共有6幢建筑物。

XX学院汇聚层设立将根据现有的信息点分布，结合综合布线系统等多因素，一般而言，以建筑物/功能区为单位设立汇聚层，即每个单体建筑/功能区设立一个网络汇聚层，如数据中心和网络出口分别设于汇聚层，同时对于学生宿舍区，可以采用多幢学生宿舍共用1个网络汇聚层的方式。

对于校园园区网的汇聚层设备，应该能够承载校园园区的多种融合业务，能够融合IPv6、网络安全、流量分析等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，能够承载校园园区融合业务的需求。

3) 接入层
提供网络的第一级接入功能，完成二层接入，并实现对终端接入的安全控制，包括ARP防御、IP/MAC/端口绑定以及POE等高级功能。

在XX校园网中，接入层采用千兆及百兆到桌面的接入模式，对于数据传输
量较大或重要区域采用千兆到桌面的方案，如综合办公、图书馆等，其它的为百兆接入，同时，无线AP接入采用POE方式进行设备的供电。

接入层设备以选择二层交换机为主，设备应具有灵活的扩展能力，支持堆叠，具有强安全性，可以实现IP、MAC、端口的绑定，支持802.1x 认证，支持DHCP Snooping ，防止非法DHCP接入和ARP攻击。

3.3校园网络总体结构
校园网络平台将采用层次化通用结构设计，采用核心层、汇聚层和接入层三层架构，包括网络骨干、数据中心、网络出口、网络接入、无线网络等五大部分。

网络骨干由核心层和汇聚层组网，骨干网采用高可靠性组网，核心层配置两台高端核心交换机，汇聚层设备通过双千兆链路实现与核心层设备的互联，网络骨干全面支持IPv6，并提供万兆扩展能力。

校园网设立数据中心，实现各业务系统服务器的集中部署，数据中心网络平台独立建设，配置2台模块化交换机设备，为服务器提供高性能、高可靠、可扩展性的接入平台，同时，通过核心交换机内置高性能的防火墙模块提供安全保护。

网络出口实现校园网络与外部网络的互联，包括与教育科、互联网的互联，网络出口需实现校园网与外部网络的隔离，网络出口配置1台路由器设备实现与外部网络互联，同时提供地址转换等服务，配置应用控制网关，实现出口带宽的管理，并对校园网用户实现行为审计等功能。

网络接入层提供校园网用户的接入，并实现网络接入的安全防御，如ARP 攻击防护，同时，结合用户管理系统实现对接入用户认证、计费等管理。

为实现校园网络接入的灵活性，提高网络的覆盖，校园网将实现办公楼、图书馆、实验室、运动场馆等公共区域的无线网络覆盖，无线网采用智能的Fit AP组网。

为便于网络的管理和维护，校园网还将建设1套网络管理系统，实现对校园网络平台设备的统一管理，网络管理应具有拓扑、故障、性能、配置和图形化设备管理等功能，为了实现更为方便的通过远程方式对网络的状态进行监控和维护，网络系统采用B/S架构。

同时，为加强对接入用户的控制和管理，系统还部署用户认证、计费管理系统。

3.3.1核心层设计
XX学院主校区设立整个校园网的核心层，同时，在新机场实训基地设立分核心。

对于XX学院主校园的核心层，必须提供高性能、高可靠的网络结构，推荐采用高可靠的多设备冗余的星型结构。

核心层配置2台高端交换机作为核心交换机，两台交换机之间通过万兆链路进行互联，形成双机复用，在两台中心交换机之间启用VRRP协议，这样在其中一台出现故障的时候，业务可以自动切换到另外一台。

选用的核心交换机是从可靠性、性能、业务特性、安全特性以及可扩展性等多个方面进行综合考虑。

在可靠性方面，核心交换机应达到99.99%的高可靠性，采用全模块化设计，电源、风扇、引擎、业务模块等均可实现热插拔，支持电源、引擎等关键部件的1+1冗余热备份，支持VRRP、路由优雅（GR）等高可靠性协议，实现核心层的业务不间断转发。

在性能方面，核心交换机应采用Crossbar交换矩阵，采用全分布式转发，
支持万兆、千兆等高速以太网接口，所有接口实现线速转发,保障校园网多种业务进行并发交换。

在业务特性方面，核心交换机支持丰富的QoS特性，可保障重要业务得到优先转发；支持IPv6，可平稳过渡到下一代网络；并且支持内置防火墙、内置无线控制器等多种业务功能插卡，可以进行灵活的部署，实现业务的扩展和融合。

在安全性方面，核心交换机应既能保障自身的运行安全，也能通过一些安全机制保障所承载业务的安全。

基于上述因素，我们建议核心交换机采用H3C S7510E高端交换机。

H3C S7500E系列产品是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络推出的新一代高端多业务路由交换机，该产品基于H3C自主知识产权的Comware V5操作系统，融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术。

S7510E具有10个槽位，其中8个为业务模块插槽，并支持丰富的接口模块，如万兆、千兆、百兆等类型接口，可根据网络规模实现在线扩展。

S7510E具有高转发性能，整机具有1152Gbps交换容量、773Mpps转发性能，同时，S7510E采用全分布式转发，并采用最长匹配、逐包转发的处理机制，保证业务的高速率转发。

S7510E中配置的所有接口均可实现线速转发。

选用的H3C S7500E交换机具有以下特点：
<一>、丰富的业务，适应融合业务网络发展趋势
⏹全面的MPLS业务能力
H3C S7500E所有产品均支持VRF-Lite特性，可以做为MCE设备使用；支持三层的MPLS VPN和二层的MPLS VPN（Martini、Kompella），可扩展支持VPLS 技术；支持MPLS OAM特性，方便用户的管理和维护；与H3C MPLS VPN Manager 配合，实现图形化的MPLS部署与维护。

⏹线速的IPv4/IPv6业务能力
H3C S7500E支持IPv4/IPv6双协议栈,支持多种6to4隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；H3C S7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3C S7500E已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段金色认证，是成熟商用的IPv6产品。

⏹有线无线一体化，有源无源一体化
H3C S7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QOS和对IPV6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。

H3C S7500E是业界最高密度的以太网无源光网络（EPON）设备，单台最大可接入10240个FTTH用户；H3C S7500E是高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。

⏹支持Portal认证
H3C S7500E支持大容量的Portal认证功能，可以在数千用户的局域网中作为EAD网关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。

<二>、灵活的配置，适应各种应用场景
⏹配线间融合业务网络的最佳选择
H3C S7500E针对配线间的需求定制开发了SA板卡，单台设备可以提供480个千兆线速接口和4个万兆线速接口。

H3C S7500E支持端点准入防御解决方案，解决终端安全问题；内置2800W电源直接提供PoE功能，对IP语音和无线接入提供良好的支持。

⏹政府电力城域网边缘和汇聚的最佳选择
H3C S7500E支持VRF-Lite特性，为用户提供高可靠高性能的MCE设备；通过配置Salience VI-Turbo引擎，可以提供集中式MPLS业务功能，适合在城域网边缘作为高性价PE设备使用；通过配置EA类板卡，可以提供分布式线速的MPLS业务功能，适合在城域网汇聚层作为高性能的PE使用。

⏹IPv6网络的最佳选择
H3C S7500E所有Salience VI引擎都可以提供集中式IPv6功能，H3C S7500E 针对IPv4/IPv6高性能的要求还开发了分布式IPv4/IPv6转发的SC板卡，在整机满配置状态下实现线速无收敛，为高校用户提供了高性能低成本的双栈汇聚核心设备，同时也满足其他行业用户IPv6 Ready的需求。

<三>、全方位的安全保障，抵御多种网络安全威胁
⏹三平面安全保障机制
H3C S7500E提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块，防止TCN、ARP等协议报文攻击，OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3网管协议，SSH V2，基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在转发平面，支持IP、VLAN 、MAC和端口等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。

⏹有线无线全面支持EAD
H3C S7500E是EAD端点准入防御解决方案的重要组成部分，S7500E可以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。

H3C S7500E既支持有线终端用户的EAD，也支持无线终端用户的EAD，能够做到终端安全防范无漏洞。

⏹增强的ACL特性
H3C S7500E系列产品支持强大的ACL能力：支持标准和扩展ACL；支持基于VLAN的ACL，方便用户配置，节省ACL资源；支持出方向和入方向的ACL，每板最大可支持9K条ACL，满足金融等行业访问权限严格控制的需求。

<四>、电信级的高可靠性，保障用户业务长期稳定运行
⏹电信级高可靠性设计
H3C S7500E采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3C S7500E系列可以在恶劣的环境下长时间稳定运行，达到99.999％的电信级可靠性。

⏹多业务高可靠性运行
H3C S7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议，提供小于200ms的环网故障保护；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级快速切换。

通过上述技术，H3C S7500E 可以在承载多业务的情况下不间断运行，实现业务的永续。

支持热补丁技术
H3C S7500E能够在不重启设备的前提下，通过热补丁技术，在线修改软件BUG，增加新的业务特性。

H3C S7500E提供控制补丁单元状态切换的用户命令，使用户能够方便的加载、激活、去激活、运行或删除补丁单元。

通过热补丁技术，降低了设备需要重启的次数，为客户提供更长的网络正常工作时间。

3.3.2数据中心设计
为实现对校园网服务器统一管理和控制，同时考虑到扩展性，服务器的接入独立配置交换机实现，为保证服务器接入的高可用性，配置2台全千兆三层路由交换机，数据中心交换机通过VRRP协议实现互为热备和负载分担。

在选用的数据中心交换机时，我们充分考虑到应具备以下功能和特性：
在可靠性方面，数据中心交换机支持VRRP热备份协议，为服务器提供可靠的接入。

在性能方面，数据中心交换机所有端口线速转发，保障图书馆多种业务进行并发交换。

在业务特性方面，数据中心交换机支持丰富的QoS特性，可保障重要业务得到优先转发；支持IPv6，可平稳过渡到下一代网络。

在安全性方面，数据中心交换机具有安全机制保障所承载业务的安全。

在可扩展性方面，数据中心交换机应采用模块化设备，支持高密度、高带宽接口，在业务系统不断增长时，可通过增加业务模块来满足服务器接入需求。

基于上述因素，我们建议数据中心交换机采用H3C S7502E高端交换机。

S7510E具有4个槽位，其中2个为业务模块插槽，并支持丰富的接口模块，如万兆、千兆、百兆等类型接口，可根据网络规模实现在线扩展。

S7502E具有高转发性能，整机具有192Gbps交换容量、143Mpps转发性能，同时，S7502E采用全分布式转发，并采用最长匹配、逐包转发的处理机制，保证业务的高速率转发。

S7502E中配置的所有接口均可实现线速转发。

3.3.3汇聚层设计
汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关。

选用的汇聚交换机应具备以下功能和特性：
在可靠性方面，汇聚交换机支持路由协议平滑重启，支持RSTP、MSTP生成树协议，支持2层的快速切换，确保与核心交换机组网的可靠性，在性能方面，汇聚交换机所有端口线速转发，包括万兆接口，保障多种业务进行并发交换。

在业务特性方面，汇聚交换机支持丰富的QoS特性，可保障重要业务得到优先转发；支持IPv6，可平稳过渡到下一代网络。

在安全性方面，汇聚交换机具有安全机制保障所承载业务的安全。

基于以上要求，我们建议汇聚交换机选用H3C的S5500－EI，S5500－EI系列交换机具有以下特点：
1、高扩展性保护投资
随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条集群10GE链路将是我们的未来发展方向。

H3C S5500-EI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力，尽力保护用户投资。

IPv4到IPv6的演变是以太网发展的大势所趋，网络设备对于IPv6的支持不仅是简单的可用就行，而是需要达到商用的标准，S5500-EI已经通过了国际最权威的IPv6 Ready第二阶段认证，而且通过了信息产业部严格的IPv6入网测试。

这个系列产品是基于硬件的IPv4/IPv6双栈平台，支持丰富的IPv4和IPv6三层路由协议、组播协议和策略路由机制，实现IPv4到IPv6的平滑升级。

2、完备的安全控制策略
H3C S5500-EI系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。

H3C S5500-EI交换机支持集中式MAC地址认证、802.1x认证、PORTAL认证，支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QoS、ACL）的动态下发；支持配合H3C公司的CAMS系统
对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。

H3C S5500-EI系列交换机提供增强的ACL控制逻辑，支持超大容量的入端口和出端口ACL，并且支持基于VLAN的ACL下发，在简化用户配置过程的同时，避免了ACL资源的浪费。

另外，S5500-EI系列还将支持单播反向路径查找技术（uRPF），原理是当设备的一个接口上收到一个数据包时，会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由，即验证了其真实性，如果不存在就将数据包删除，这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。

7VM海岸线网络安全资讯站
3、多重可靠性保护
S5500-EI系列交换机还具备设备级和链路级的多重可靠性保护。

所有机型都支持内置的双冗余电源，其中S5500-28F-EI支持可插拔的冗余电源模块，也就是说我们可以根据实际环境的需要灵活配置交流或直流电源模块，此外整机还支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速，这些设计使我们这款盒式交换机具备了机柜式交换机的高可靠性。

除了设备级可靠性以外，还支持丰富的链路可靠性以外，还支持丰富的链路可靠性技术，比如华三通信独创的RRPP快速环网保护机制。

当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展。

4、多业务支持能力
支持PoE（Power over Ethernet）技术，通过以太网对所连接的设备（如IP Phone, Wireless AP等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。

支持Voice VLAN技术，交换机通过识别端口的语音流，将对应的接入端口加入Voice VLAN （专用语音VLAN）中，为语音流量提供专门通道，并自动下发优先级规则保证语音流的优先传输来保证通话质量。

同时通过设置Voice VLAN安全特性，只允许语音流量通过，可以有效防止突发数据流量对Voice VLAN内的语音流量的冲击。

H3C S5500-EI系列交换机支持MCE功能，可以有效解决多VPN网络带来的用户数据安全与网络成本之间的矛盾，它使用CE设备本身的VLAN接口编号与网络内的VPN进行绑定，并为每个VPN创建和维护独立的路由转发表（Multi-VRF）。