数字化校园解决方案建议书

学校IToIP数字化校园解决方案建议书
2011年11月
目录
1.需求分析 (4)
1.1.建设背景 (4)
1.2.建设需求 (8)
2.设计原则 (9)
3.整体设计 (11)
3.1.总体设计概述 (11)
3.2.层次化设计 (12)
3.3.核心交换机强大内置安全特性 (16)
3.4.基层网络安全-----教学区 (17)
3.4.1.端口＋IP＋MAC地址的绑定： (17)
3.4.2.接入层防Proxy的功能 (17)
3.4.3.MAC地址盗用的防止 (18)
3.4.4.防止对DHCP服务器的攻击 (18)
3.4.5.防止ARP的攻击 (19)
3.5.网络层安全解决方案 (20)
3.5.1.全面网络基础设施可靠性保证措施 (20)
3.5.2.组合丰富的VLAN功能进行业务隔离 (21)
3.5.3.配置防火墙和IPS进行网络区域的隔离............................. 错误!未定义书签。

3.5.
4.内网机密信息安全访问解决方案 ........................................ 错误!未定义书签。

3.6.用户层解决方案 (21)
3.6.1.配置全面的网络防病毒系统 (21)
3.6.2.采取用户端点准入防御解决方案 (22)
3.7.业务层解决方案 (26)
3.7.1.设备冗余及网络存储配置建议 (26)
3.7.2.漏洞扫描及安全评估系统的配置 (26)
3.7.3.应用系统开发中加强安全机制 (26)
3.8.无线网络安全 .............................................................................. 错误!未定义书签。

4.校园管理中心设计 (27)
4.1.数字化校园管理综述 (27)
4.2.集成化管理平台 (27)
4.2.1.系统安全管理 (29)
4.2.2.资源管理 (31)
4.2.3.拓扑管理 (32)
4.2.4.故障（告警/事件）管理 (35)
4.2.5.告警深度关联分析与统计 (36)
4.2.6.性能管理 (39)
4.2.7.设备管理组件 (42)
4.3.针对用户身份权限和计费运营的管理.......................................... 错误!未定义书签。

4.3.1.校园网用户认证管理需求分析............................................ 错误!未定义书签。

4.3.2.校园网用户管理认证方案概述............................................ 错误!未定义书签。

4.3.3.业务认证、授权管理描述 ................................................... 错误!未定义书签。

4.3.4.CAMS对用户上网认证的管理 ........................................... 错误!未定义书签。

4.4.网络状况与用户行为的审计管理 ................................................. 错误!未定义书签。

4.4.1.用户行为审计技术 .............................................................. 错误!未定义书签。

4.4.2.H3C用户行为审计解决方案............................................... 错误!未定义书签。

4.4.3.校园网络全局安全关联分析管理 ........................................ 错误!未定义书签。

5.方案特性总结 ......................................................................................... 错误!未定义书签。

1. 需求分析
1.1. 建设背景
当前，以数字化校园为特征的教育信息化发展更为迅速，各种信息化应用正改变着老师和学生们的工作、学习、生活以及思维方式，引发了教育行业一场新的革命。

学校基本的教学教务管理、科研管理、后勤管理、数字图书馆、视频服务系统、办公自动化系统和校园社区服务等应用系统的建设有了初步的规模，“一卡通”业务在很多学校也开始应用。

在校师生的认识水平和技术水平上了一个台阶，对于信息化工具的使用已变成为一种自觉和自愿的行为，为数字化校园的进一步发展打下坚实的基础。

根据国家及教育部规划的总体目标与要求，高中信息化规划的基本内容如下：完善校园网络基础设施建设，实现随时随地的上网，整体校园网络高速畅通、安全可信、稳定可靠；完善校园数据共享基础平台的建设，包括全校统一的信息资源库；完善和创新网络教学服务平台，创建和创新网络学术研究创新环境，完善电子校务系统与校园网络文化建设，实现科研成果产业化，提高高中对区域行业的基础教育辐射作用。

数字校园是以IP通信平台为基础,实现环境(特别是重点、敏感区域的视频监控)、资源（网络资源、存储资源、计算资源）、到活动（网络的开放架构对定制业务的支持）的全部数字化，利用标准的ITOIP解决方案，以IP技术为标准技术，利用SOA开放架构实现对整体IT平台的统一集成支撑。

建设安全可靠的校园网络平台
⏹具备网络结构优化能力——校园网的整体架构具备更有效的容灾能力，以应对故障节点、
故障链路、路由震荡所带来对业务的影响；而随着万兆校园核心网的普及，应用对带宽新的要求，校园网需要具备万兆到汇聚的升级能力、以及关键业务千兆到桌面的能力；
⏹具备网络业务拓展能力——校园业务可平滑向下一代网络迁移，向IPv6迁移兼容现有校园
组网环境，IPv6完全由分布式硬件完成，保护投资；校园业务可以随时随地使用，校园业务可以基于移动漫游环境，移动漫游环境无需管理者手工干预
⏹具备安全渗透防御能力——校园网出口具备攻击、非法业务的隔离、控制，具备在线主动
抵御的能力；校园核心网络自身集成安全防御能力，缩小攻击、病毒在校园影响范围；用户接入网络屏蔽用户非法操作，隔离网络攻击
建立数据服务中心优化整合现有数据信息资源
⏹解决教学、科研、办公业务数据海量增长，数据无法整合管理的问题
⏹解决数据爆炸性增长，成本要求不断降低的问题
⏹解决各种灾难对信息系统影响的问题
⏹解决分校区跨广域的数据访问的问题
⏹解决跨系统数据迁移和灾难备份困难的问题
⏹解决借助厂家提供专业的存储咨询和服务的问题
建立媒体服务中心实现视频、语音多媒体服务资源
⏹利用现有校园网络资源，整合语音业务，降低校内语音通信成本；
⏹利用现有校园网络资源，整合视讯业务，提供丰富的网络办公、教学IT服务；
⏹利用现有校园网络资源，整合校园监控业务，实现平安校园的统一管理；
实现整个校园网络的集中统一智能化管理
数字化校园是建立在一系列IT资源的基础上，诸如校园网带宽资源、教学办公数据的资源、计算资源、网络多媒体通信资源等，针对这些资源需要关联化的管理，资源的整合，才能将利用IT系统服务校园信息化的价值最大化。

应该说，在“十一五”中等学校信息化发展战略中，信息技术将成为校园的一项核心生产力，成为校园教学科研各项核心业务的最有力的支撑点。

结合学校的信息化发展现状与其在“十一五”期间的趋势，IToIP数字化校园解决方案从整体来看致力于两个层面促进中等学校信息化的发展。

其一是硬件平台的建设，即基于IP技术的校园网络平台建设。

方案针对现有校园网的网络架构提出优化方案，利用核心网优化与接入网优化的技术使其能够更好支撑数字化校园的上层业务；随着数字化校园横向业务不断发展，尤其是在国家CNGI项目在中等学校落地的背景下，在中等学校用户移动终端的普及与移动业务的出现背景下，方案提出两个重点业务拓展方案，即IPv6校园网与无线校园网，来适应数字化校园的这一转型；关于校园网的安全防护长期以来都是校园CIO高度关注的工作，而校园网络的安全问题也在变化，方案紧密围绕校园网络安全防御的三个重点环节（出口、核心、接入）与最新的安全问题，提出了安全渗透防御的架构，携手中等院校共同迎接安全防护的挑战。

其二是应用平台的建设，主要是三个中心的建设。

校园数据中心：目前在校园网中，存储资源依附于应用和服务器，分散在校园网络不同的地方，由于各种原因，一些信息无法共享，导致了资源的浪费，同时也导致了依附于其上的数据无法共享，所以在校园中建设统一的数据服务中心，是校园网信息实现统一共享的重要手段。

校园媒体中心：是利用三网合一技术，通过多媒体的方式服务于数字化校园用户的系统。

中等院校具有环境开放性和人员流动性的特点，需要对校园进行安全监控实现和谐校园的目标；多校区的建设往往导致领导、师生沟通不方便，而通过IP语音、IP视讯技术的视频会议、远程教学、IP电话、招生热线等方案将有效解决这些问题，并促进整体数字化
校园的发展。

智能管理中心：狭义上的校园网络管理就是通过SNMP技术对校园网络的硬件单元进行有效控制，而校园智能管理则强调是全面性与联动性，协同处理网络设备、网络用户、网络应用、数据信息之间的关联问题，例如一个用户是否有权限使用哪些网络、这个用户使用的应用对整个数字化的影响有多大……，对于整体数字化校园的管理应当提供分析数据与报告，支撑校园CIO的决策并降低校园管理的整体拥有成本。

两个层次的建设并不是割裂的，联系的枢纽就是智能管理中心，它把硬件系统与应用系统紧密结合在一起，针对硬件资源、应用资源动态调配与控制，实现对数字化校园整体业务的有效支撑，满足“十一五”对中等学校信息化发展的需要。

校园网在“十五”期间实现了高带宽、广覆盖、可运营、可管理的数字化校园平台；实现了学校基本的教学、科研、管理和服务系统的信息化。

通过这一平台实现了网络教学系统、数字化图书馆系统、网络实验室系统、管理信息系统、办公自动化系统、社区服务系统、一卡通系统等上层应用。

从网络建设的特征来看，主要聚焦于：万兆校园网改造、升级，学生宿舍区、新校区网络建设，认证、计费、管理及网络安全的建设。

但是随着国家对教育的重视，中等学校信息化的发展日新月异，更多的应用系统不断推出，对网络的可用性、可控性、安全性以及业务支撑能力要求也变得越来越高。

那么校园网建设工作也需要作出针对性的调整。

H3C设计全新的基于纯IP技术的网络平台来满足中等学校校园网的需求变化。

面向网络资源的有效、高效利用，从网络架构方面提供优化方案，使得校园核心网、接入网具有更高的可靠性和可控性，同时使得网络结构与布局在结合实际业务分布的前提下更加合理。

数字校园业务的发展必然离不开两个方向，其一是IPv6，其二是移动性。

这既是IP通信技术发展的方向，也是数字校园应用的发展方向。

满足这个发展，首要前提就是让校园网络平台能够具备相关技术支撑能力，即构建IPv6校园网与无线校园网。

不论是对校园网的优化还是对校园网业务的横向拓展，都是基于校园网是安全有序的。

需要从纵向三个维度对所有影响校园安全的隐患、非法行为进行渗透防御与控制。

校园网管理是随着校园网络的发展历程而变迁的。

校园网的发展经历了最初的计算机房、万兆校园网、数字化校园网等几个阶段，校园网络的管理也从最初的设备管理时代、发展到网络管理时代，再到用户和业务管理时代。

今天的数字化校园已经不再是网络建设，实际上已经朝着资源建设进行转型。

那么数字化校园的管理如何针对网络平台资源、用户资源、数据资源、媒体资源进行统一、有机配置与控制？
建立数字化校园的智能管理中心将是答案！
智能管理中心主要面向四个类别的资源进行统筹管理。

由于过去的校园网并不复杂，能够对网元单位进行配置、发现拓扑结构、触发管理事件、收集日志就够了。

但是今天和未来的数字化校园应用与资源是复杂的，是关联的，一个不能根据资源变化而智能调整的管理系统是无法满足发展需要的。

这种联动要从动态的网络中发现变化、分析应用在网络中运行效果如何、用户在网络中都做了哪些事情……，再根据这些动态信息进行统一资源调配。

1.2. 建设需求
学校由诸多楼宇构成。

由于目前的网络结构存在不少单点故障，而且学生入网人数不断增加，导致网络常处于拥堵状态，同时网络缺乏统一管理、网络安全薄弱等问题。

随着学校信息化的快速发展，现有网络已经不能满足学校信息化建设要求。

因此学校决定对现有网络进行升级改造，主要包括以下几部分内容：
1、将现有网络主干从百兆升级为千兆网络，以满足数据、视频、语音等对网络带宽的
要求。

2、将接入层交换机更换为智能化交换机，然后结合认证、计费管理系统对上网人员进
行认证、计费管理。

3、建设校园数据中心，将一卡通系统、校园信息平台、WEB/MAIL/FTP等服务器放置于
数据中心，然后对校园所有服务器采用集中存储系统。

4、采用防火墙对校园数据中心、校园网管中心、校园办公网、互联网、教育网进行逻
辑区域的划分，采用访问控制策略对各个区域进行安全防护，并且要求对校园内部网实现四到七层的安全防护。

5、在全网部署统一的网管系统，能够实现对网络设备、安全设备、无线设备进行统一
的管理与维护。

2. 设计原则
早期的中等学校校园网主要是共用内部教育系统主机资源，共享简单数据库，简单三层交换，二层无限制交换为主，很少有对网络的结构，性能等进行合理的规划和优化，存在安全、可管理性较差、无业务增值能力等方面的问题。

现在学校校园网建设要实现内部全方位的数据共享，精细划分不同的应用工作区域实现端终接入管理，三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学自动化，而且还要通过Internet实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。

基于对学校校园网业务需求的深入理解，结合自身产品和技术特点，我们推出了了完善的学校校园网解决方案，为学校提供“高扩展、多业务、高安全”的精品网络。

学校网络建设遵循以下基本原则：
高带宽
学校网络是一个庞大而且复杂的网络，为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特，整网的核心交换要求能够提供无瓶颈的数据交换。

可增值性
学校网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。

所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。

可扩充性
考虑到学校用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩展功能，学校网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。

开放性
技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好
的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。

安全可靠性
设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。

3. 整体设计
3.1. 总体设计概述
学校具体网络楼宇布局如下拓扑：
以上为学校各个楼宇网络布局，网络机房部署在就业喽，就业楼到各办公楼，教学楼，高中楼通过光缆进行部署，接入本楼宇接入交换机。

学校网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。

组网图如下所示：
学校网络主要目的是将网络的性能、带宽、主要网络业务进行全网的建设。

网络设计主要包含高品质IP核心网、智能弹性接入网、网络系统综合管理、出口系统接入网等主要部分。

3.2. 层次化设计
在校园园区网络整体设计中，采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置。

典型的校园园区网络结构可以分成两层：接入层、核心层。

同时部署互联网出口区。

1) 接入层：提供网络的第一级接入功能，完成简单的二、三层交换，安全、Qos和POE功能都位于这一层。

对于校园园区网的接入层设备，建议采用千兆三层接入的方式，应该具有线速三层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。

本次推荐采用H3C S5120-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品，具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。

支持IPv4/IPv6硬件双栈及线速转发，使客户能够从容应对即将带来的IPv6时代；除此以外，其出色的安全性，可靠性和多业务支持能力使其成为大型企业网络和园区网的接入的第一选择。

S5120-24P-EI，提供24个10/100/1000Base-T以太网端口，实现千兆到桌面，并且具备万兆扩展能力。

此设备可以为网络提供更多的智能特性，如基于策略的VLAN、支持基于端口／流／MAC／VLAN镜像、增强的ACL和端口安全功能等；并且支持EAD（端点准入检测）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全
措施整合为一个联动的安全体系，此设备本身为三层交换机，可讲二层直接终结在接入层，路由方式连接核心交换机。

对于学校学生机房上网这块的部署，采用S5120接入交换机可满足千兆到桌面的接入需求，满足学生机房机器高速互联网的访问。

2) 核心层：网络的骨干，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。

对于核心层，必须提供高性能、高可靠的网络结构，推荐采用高可靠的RRPP/RPR环网结构或多设备冗余的星型结构。

对于园区网核心层设备，应该在提供大容量、高性能L2/L3交换服务基础上，能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性，可为校园园区构建融合业务的基础网络平台，进而帮助用户实现IT资源整合的需求。

如上所示，网络整体架构采用星型设计模式并遵循分区模块化思路。

从架构上，网络监控承载基础平台分为核心层、接入层两层架构，核心层完成各模块各分区之间的快速数据交流，接入层交换机为终端提供快速连接通道。

分区角度看，可分为核心骨干区域、业务接入区域。

以下将整体方案分为核心层设计、接入层设计等方面进行描述。

本次推荐在中心机房部署2台H3C S7503E核心交换机，下连各个楼宇的汇聚交换机。

核心层采用2台华三公司S7503E模块化高端路由交换机构建。

核心交换机延伸到双核心，利用IRF2智能弹性架构虚拟化技术，将两台设备虚拟化为1台逻辑上的设备，不需要配置复杂的MSTP+VRRP协议，即可实现毫秒级的快速收敛。

充分提高网络平台的稳定性，为各项业务提供稳固监视的交换平台。

另外，核心交换机配合双汇聚的设计模式，同时汇聚交换机也部署IRF2技术，形成核心—汇聚端到端的虚拟化，简化网络拓扑结构，维护的IP数量、逻辑设备数量减少一半，便于后期的管理维护。

使用智能弹性架构(intelligent resilient framework, IRF)虚拟化技术，用户可以将多台设备连接，“横向整合”起来组成一个“联合设备”，并将这些设备看作单一设备进行管理和使用。

多个盒式设备整合类似于一台机架式设备，多台框式设备的整合相当于增加了槽位，虚拟化整合后的设备组成了一个逻辑单元，在网络中表现为一个网元节点，管理简单化、配置简单化、可跨设备链路聚合，极大简化网络架构，同时进一步增强冗余可靠性。

网络虚拟交换技术为核心网络建设提供了一个新标准，定义了新一代网络架构，使得各网络都能够使用这种灵活的架构，能够帮助高校在构建永续和高度可用的状态化网络的同时，优化网络资源的使用。

网络虚拟化技术将在数据中心端到端总体设计中发挥重要作用。

S7503E具有全面的MPLS、VPLS业务能力，支持Multi-VRF特性，可以作为MCE设备使
用；支持三层的MPLS VPN和二层的MPLS VPN（Martini、Kompella）；支持MPLS OAM特性，方便用户的管理和维护；与H3C MPLS VPN Manager配合，实现图形化的MPLS部署与维护。

全面支持VPLS，VLL，支持1K VPLS实例，4K VLL，还支持分层VPLS以及QINQ+VPLS 接入方式，提供端到端2层VPN接入方案，支持MPLS/VPLS全线速转发，满足VPLS规模部署要求。

H3C S7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。

H3C S7500E是业界最高密度的以太网无源光网络（EPON）设备，单台最大可接入10240个FTTH用户；H3C S7500E是高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。

H3C S7500E支持大容量的Portal认证功能，可以在数千用户的局域网中做为EAD网关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。

3) 互联网出口区：目前已接入互联网专线100M，核心交换机采用S7503E，互联网出口区域设备就需配置一台高速转发路由器设备，本次推荐采用H3C MSR50-40路由器，MSR（Multiple Services Routers）多业务开放路由器是杭州华三通信技术有限公司（以下简称“H3C”）专门面向行业分支机构和大中型企业而推出的新一代网络产品。

MSR先进的软件结构与硬件平台，能够在最小的投资范围内为企业边缘网络提供一体化解决方案，更能充分满足未来业务扩展的多元化应用需求，符合企业IT建设的现状与趋势。

企业信息架构正在由C/S模式向B/S模式转变，MSR具备高数据转发能力与高加密能力，很好的解决了转变过程中凸现的网络带宽压力与安全隐患，保障企业关键业务流可以高速、机密的通过广域网传输。

MSR集数据安全、语音通信、视频交互、业务定制等功能于一体，能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点，不仅能够最大程度的避免网络中多设备繁杂异构问题，而且极大降低了企业网络建设的初期投资与长期运维成本。

针对企业用户日益个性化的应用需求，MSR领先集成了可以定制开发的高性能开放业务平台，任何人都可以基于该平台开发自身需要的高级网络业务，企业用户只需安装软件便能在网络中方便的部署相应业务，节省了购置各类高昂专用网络设备的投资。