重庆某高校校园网建设整体解决方案(含安全、计费)

重庆某高校

校园网建设整体解决方案

目录

1概述1 2整体网络建设方案1

2.1网络整体架构1

2.2核心骨干网2

2.2.1核心层设计2

2.2.2汇聚层设计2

2.2.3接入层设计3

2.3无线校园网4

2.3.1场景化覆盖4

2.3.2智能负载均衡8

2.3.3无线网络优化9

2.3.4可靠性设计10

2.4校园网计费13

2.4.1计费方案设计13

2.4.2BRAS部署方案13

2.4.3校园网计费方案15

2.5校园网防代理20

2.5.1防共享原理20

2.5.2防共享实现效果22

2.5.3技术优势25

2.6校园网安全防护26

2.6.1安全域划分26

2.6.2上网行为管理27

2.6.3实时漏洞分析28

2.6.4异常流量检测29

2.6.5文件上传检测30

2.6.6僵尸网络检测31

2.6.7分析攻击类型32

2.6.8安全日志汇总33

2.6.9敏感页面保护35

2.6.10服务器底层漏洞防护36

2.6.11网站防篡改37 3方案价值40

3.1构架极安全的校园无线网40

3.1.1接入安全40

3.1.2上网安全41

3.1.3内网安全42

3.2体验极佳的无线网络42

3.2.1全校无缝漫游42

3.2.2高速上网体验43

3.2.3网络缓存加速43

3.3全光敏捷极简扁平化网络43

3.3.1超级高可靠性网络43

3.3.2极简运维管理44

3.3.3随心所欲的运维管理44 4设备简介45

4.1华为核心交换机S1270045

4.2华为BRAS网关ME60-X846

4.3华为大容量OLT MA5800T48

4.4华为远端MDU MA562649

4.5桌面终端MA587149

4.6深信服上网行为管理50

4.7深信服下一代应用防火墙50

4.8信锐无线控制器NAC-760050

4.9信锐面板AP NAP-3600-P51

4.10信锐吸顶AP NAP-360052

4.11信锐室外AP NAP-780053

1概述

本次方案建设包括重庆人文科技学院、重庆工商大学派斯学院、重庆民生职业技术学院三所高校的校园网，通过建设一套完整的无线网络、有线网络一体化的现代化网络，不仅为广大师生提供高吞吐、高并发的校园网络，同时也打造高安全、高可靠性、管理极简的下一代校园网。

本次校园网建设包括原有线网络升级改造、新建有线网络和无线网络，既要考虑兼容性，又要考虑部署、维护的便利性，以及控制最佳建设成本。

2整体网络建设方案

2.1网络整体架构

本次校园无线网络建设采用AC集群+ FIT AP模式进行组网，采用“3+1”的部署模式，学校AC对全校各区域所有各类型的AP进行统一集中管理，再通过中心AC对三所学校的AC进行统一集中管理和冗余备份，实现无线网的简易维护。

2.2核心骨干网

2.2.1核心层设计

核心层部署校园的核心设备，连接所有的汇聚交换机，转发各个教学楼或学生宿舍之间的流量。

核心层需要采用全连接结构，保持核心层设备的配置尽量简单，并且和校园网的具体业务无关。核心层设备需要具有高带宽、高转发性能，否则将无法支撑企业内外部的业务流量。

本次建设核心层建议采用华为敏捷交换机S12700，并使用CSS2（Cluster Switch System）集群技术，将两台交换机从逻辑上整合成一台交换机。CSS2技术支持主控1＋N备份，集群系统中只要保证任意一框的一个主控板运行正常，多框业务即可稳定运行。相对于传统业务口集群系统，每个框至少要有一块主控单元运行正常的限制。通过集群+堆叠的无环网络方案保障网络可靠，再通过设备本身99.999%的电信级可靠综合保障校园网应用的稳定运行。

华为S12700敏捷交换机负责对校园网用户的统一接入，业务板卡直接融合BRAS功能，与认证服务器协同工作，对接入用户进行认证，可以很方便的对校园网的所有用户流量做统一管理监控。有强大的认证计费功能，才能满足校园网的大用户量、高并发连接数、多样化计费的需求。

2.2.2汇聚层设计

对于宿舍区网络：

汇聚层是一幢学生宿舍的汇聚点，汇聚层的设备用来转发本区域用户到其他区域用户的横向流量，同时发送本区域用户流量到核心层。汇聚层将大量用户接入到互联的网络中，模块化扩展接入核心层设备的用户数量。

汇聚层具有高带宽、高端口密度、高转发性能等特点，用于支撑该汇聚层下各业务部门之间的流量。

本次建设可直接利旧现有有线网络，宿舍区新建有线部分，可通过华为敏捷分布式AP直接进行有线无线覆盖。

对于办公区网络：

采用全光网络（GPON）部署方式，中心机房部署OLT设备作为大容量汇聚点，每个办公楼楼层不再部署汇聚交换机，而用无源分光器代替。OLT设备用来转发教师办公的横向流量，并将纵向流量转发到核心交换机。

采用大容量OLT汇聚和无源分光的方式，可以有效的节省汇聚机房空间，减少电源、空调等配套设施的成本；还能提高业务配置和故障处理速度，从而降低运维成本。

2.2.3接入层设计

教室和办公楼接入层设计规划：

本项目根据学校对教室和办公楼区域有线、无线网络独立组网的诉求，在教室和办公楼采用GPON全光接入方案，实现光纤到桌面。

办公楼/教室的有线网络采用10G-GPON方式，下行有效带宽为8.8G，桌面终端（ONU）采用MA6871，提供4个千兆网口。分光比按1:8设计，每个ONU端口平均可提供的带宽为：8800/8/4=275M，并行度为用户上网并行度和占空比的综合，行业内参考值0.3，实际每端口可提供的带宽为275/0.3=916M

办公楼/教室的无线AP接入采用GPON方式，下行有效带宽为2300G，ONU采用带POE功能的MA5626，提供8/24个FE口。分光比按1:4设计，每个AP可提供的带宽为：2300/4/8(24)≈24-72M。在阶梯教室、音乐厅、图书馆等高密场景可部署8端口ONU，带宽可达72M，以保障用户体验。

宿舍楼接入层设计规划：

接入层是最靠近终端用户的网络，为用户提供各种接入方式，一般部署二层设备，双归属到汇聚层两个不同的交换机。接入层除了需要部署丰富的二层特性外，还需要部署安全、可靠性等相关功能。

接入层需要具有高密度、高速率的端口，以支持更多的终端接入校园网络。

接入层交换机通常使用iStack（Intelligent Stack）技术，将多台交换机从逻辑上整合成一台交换机。这样既简化了配置和管理，又提高了网络的可靠性和扩展能力。

无线接入AP设备建议如下：