智慧校園網(wǎng)公共部分設(shè)計(jì)

第一節(jié)方案概述和選擇建議 2一、智簡(jiǎn)園區(qū)解決方案 2二、云管理園區(qū)解決方案 3三、方案選擇建議 3第二節(jié)智簡(jiǎn)園區(qū)方案（方案選擇一） 4一、方案組件簡(jiǎn)介 4二、網(wǎng)絡(luò)設(shè)計(jì) 6三、網(wǎng)絡(luò)管理設(shè)計(jì) 53四、網(wǎng)絡(luò)安全設(shè)計(jì) 149五、認(rèn)證系統(tǒng)設(shè)計(jì) 159六、上網(wǎng)行為管理與審計(jì) 166七、推薦設(shè)備型號(hào) 167第三節(jié)云管理園區(qū)方案（方案選擇二） 168一、基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì) 169二、網(wǎng)絡(luò)管理設(shè)計(jì) 170三、網(wǎng)絡(luò)安全設(shè)計(jì) 180四、認(rèn)證系統(tǒng)設(shè)計(jì) 181五、上網(wǎng)行為管理設(shè)計(jì) 182六、規(guī)格清單 183七、推薦設(shè)備型號(hào) 185第四節(jié)智慧校園網(wǎng)的方案特點(diǎn)總結(jié) 186一、高可靠無阻塞網(wǎng)絡(luò) 186二、全場(chǎng)景無線覆蓋 186三、用戶認(rèn)證精準(zhǔn)靈活 186四、高級(jí)別安全防護(hù) 187五、統(tǒng)一便捷管理 187第一節(jié)方案概述和選擇建議普教的網(wǎng)絡(luò)建設(shè)大多由市/區(qū)/縣的教育管理機(jī)構(gòu)（教育局、教委等）牽頭對(duì)區(qū)域內(nèi)各中小學(xué)進(jìn)行整體網(wǎng)絡(luò)規(guī)劃和部署。普教更強(qiáng)調(diào)區(qū)域范圍內(nèi)網(wǎng)絡(luò)服務(wù)均等性和教育資源的共享能力，因此對(duì)于普教網(wǎng)絡(luò)的集中管理和網(wǎng)絡(luò)可服務(wù)性有更高的要求。XX公司針對(duì)普教行業(yè)網(wǎng)絡(luò)建設(shè)提供兩種解決方案，分別為智簡(jiǎn)園區(qū)解決方案和云管理園區(qū)解決方案。一、智簡(jiǎn)園區(qū)解決方案1.管理平面部署在本地的園區(qū)網(wǎng)絡(luò)綜合解決方案，除基礎(chǔ)的網(wǎng)絡(luò)接入和管理功能外，還提供融合接入，敏捷運(yùn)維，安全協(xié)防等高級(jí)功能2.提供基于SDN的虛擬交換網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)資源池化，支持一網(wǎng)多用，大幅降低多業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)建設(shè)和部署成本3.適用場(chǎng)景為教育局/教委/大數(shù)據(jù)中心等自建網(wǎng)絡(luò)，擁有獨(dú)立教育城域網(wǎng)專線，中小學(xué)學(xué)校出口統(tǒng)一由教育局/教委/大數(shù)據(jù)中心為出口訪問Internet。二、云管理園區(qū)解決方案1.利用云計(jì)算技術(shù)，管理平面部署在XX公有云或自建私有云，通過友好的界面遠(yuǎn)程實(shí)現(xiàn)網(wǎng)絡(luò)規(guī)劃、部署和運(yùn)維，讓網(wǎng)絡(luò)管理化繁為簡(jiǎn)2.云管理平臺(tái)具有獨(dú)特的開放性，可對(duì)接豐富的教育行業(yè)信息化應(yīng)用，為智慧校園提供快速上線、靈活部署的網(wǎng)絡(luò)環(huán)境。3.適用場(chǎng)景為教育局/教委/大數(shù)據(jù)中心等統(tǒng)一建設(shè)網(wǎng)絡(luò)，無獨(dú)立教育城域網(wǎng)專線，中小學(xué)學(xué)校分別有獨(dú)立出口訪問Internet，業(yè)務(wù)，策略相對(duì)簡(jiǎn)單場(chǎng)景。三、方案選擇建議（一）智簡(jiǎn)園區(qū)方案功能齊全，產(chǎn)品成熟，適合用戶規(guī)模較大，業(yè)務(wù)環(huán)境復(fù)雜的場(chǎng)景，教育局/教委/大數(shù)據(jù)中心等自建網(wǎng)絡(luò)，擁有獨(dú)立教育城域網(wǎng)專線，（二）云管理園區(qū)方案適合規(guī)模不大，業(yè)務(wù)簡(jiǎn)單，成本訴求比較高的場(chǎng)景，在普教行業(yè)中作為敏捷園區(qū)方案的補(bǔ)充，無獨(dú)立教育城域網(wǎng)專線，中小學(xué)學(xué)校分別有獨(dú)立出口訪問Internet，業(yè)務(wù)，策略相對(duì)簡(jiǎn)單場(chǎng)景，云管理園區(qū)方案當(dāng)前版本為V1R19C10，適合以下場(chǎng)景：1.無需拓?fù)涔芾?.框式防火墻，NE路由器3.無IPv64.WLAN用戶僅需站點(diǎn)內(nèi)漫游，無全網(wǎng)漫游需求5.單站點(diǎn)AP數(shù)量不超過128臺(tái)6.所支持的產(chǎn)品型號(hào)及版本在《云管理園區(qū)解決方案規(guī)格清單》范圍內(nèi)第二節(jié)智簡(jiǎn)園區(qū)方案（方案選擇一）一、方案組件簡(jiǎn)介1.網(wǎng)絡(luò)層組件智簡(jiǎn)園區(qū)方案的網(wǎng)絡(luò)層部件主要包括交換機(jī)、路由器、防火墻、無線接入控制器（隨板AC）、無線接入點(diǎn)，iMaster-NCE控制器（1）交換機(jī)用于完成二三層網(wǎng)絡(luò)的數(shù)據(jù)報(bào)文交換。S系列交換機(jī)是XX公司面向園區(qū)網(wǎng)推出的新一代智能交換機(jī)，覆蓋核心、匯聚和接入功能，充分滿足園區(qū)靈活組網(wǎng)的需求。（2）路由器該網(wǎng)元在園區(qū)作為網(wǎng)絡(luò)出口設(shè)備主要提供WAN側(cè)的路由轉(zhuǎn)發(fā)能力。XX公司針對(duì)園區(qū)場(chǎng)景推出的路由器有AR系列企業(yè)路由器和NE系列高端路由器。（3）防火墻防火墻應(yīng)用于普教園區(qū)的網(wǎng)絡(luò)邊界。主要功能包括訪問控制和入侵防御。XX公司針對(duì)園區(qū)場(chǎng)景推出的USG系列防火墻集多種安全能力于一身，提供多功能一體化安全防護(hù)。（4）線接入控制器（隨板AC）無線接入控制器WAC主要功能負(fù)責(zé)AP和無線業(yè)務(wù)的管理。為了簡(jiǎn)化AP的管理，無線業(yè)務(wù)的配置和管理統(tǒng)一由無線接入控制器負(fù)責(zé)。（5）無線接入點(diǎn)無線接入點(diǎn)AP為無線終端提供網(wǎng)絡(luò)接入功能，是連接無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的橋梁。根據(jù)無線網(wǎng)絡(luò)架構(gòu)的不同，無線接入點(diǎn)又分為胖AP和瘦AP。胖AP不僅可以提供無線信號(hào)供無線終端接入，還能獨(dú)立完成無線業(yè)務(wù)的配置和管理功能。瘦AP除了提供無線終端接入外，基本不具備管控功能，無線業(yè)務(wù)的管控由無線接入控制器負(fù)責(zé)。2.管理層組件（1）iMaster-NCEiMaster-NCE作為智簡(jiǎn)園區(qū)的控制器，是網(wǎng)絡(luò)的自動(dòng)化引擎。支持網(wǎng)絡(luò)業(yè)務(wù)管理、網(wǎng)絡(luò)安全管理、用戶準(zhǔn)入管理、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)質(zhì)量分析、網(wǎng)絡(luò)應(yīng)用分析、告警和報(bào)表等特性，提供大數(shù)據(jù)分析的能力，同時(shí)提供開放的接口、支持與其他平臺(tái)集成。企業(yè)用戶可以通過iMaster-NCE在多租戶網(wǎng)絡(luò)中獨(dú)立開展業(yè)務(wù)開通配置、日常運(yùn)維等工作，實(shí)現(xiàn)規(guī)模設(shè)備的云化管理。同時(shí)iMaster–NCE可以實(shí)現(xiàn)通過SNMP方式的設(shè)備監(jiān)控。對(duì)于網(wǎng)絡(luò)中存在框式設(shè)備或者不支持被控制器納管的設(shè)備，也可以采用iMaster-NCESNMP的網(wǎng)管進(jìn)行監(jiān)控和管理。IMaster-NCE同步提供Underlay/Overlay網(wǎng)絡(luò)自動(dòng)化部署功能，配置自動(dòng)化模板，自動(dòng)下發(fā)配置，設(shè)備即插即用同時(shí)iMaster–NCE同樣可以作為認(rèn)證和策略服務(wù)器，配合控制器實(shí)現(xiàn)接入管控的自動(dòng)化，提供AAA認(rèn)證服務(wù)和業(yè)務(wù)隨行策略iMaster-NCE繼承網(wǎng)規(guī)工具，網(wǎng)規(guī)工具是網(wǎng)絡(luò)自動(dòng)化的一部分，主要功能是在無線AP的規(guī)劃，支持室內(nèi)、室外AP網(wǎng)絡(luò)規(guī)劃，包括現(xiàn)場(chǎng)環(huán)境規(guī)劃、AP布放、網(wǎng)絡(luò)信號(hào)仿真和生成網(wǎng)規(guī)報(bào)告等功能。（2）可選:CampusInsight（可選）CampusInsight網(wǎng)絡(luò)智能分析平臺(tái)，是網(wǎng)絡(luò)的智能分析引擎，為用戶網(wǎng)絡(luò)提供智能運(yùn)維服務(wù)。CampusInsight顛覆傳統(tǒng)聚焦資源狀態(tài)的監(jiān)控方式，將人工智能應(yīng)用于運(yùn)維領(lǐng)域，基于已有的運(yùn)維數(shù)據(jù)（設(shè)備性能指標(biāo)、終端日志等數(shù)據(jù)），通過大數(shù)據(jù)、人工智能算法及更多高級(jí)分析技術(shù)，將網(wǎng)絡(luò)中的用戶體驗(yàn)數(shù)字化，輔助客戶及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)問題，改善用戶體驗(yàn)。二、網(wǎng)絡(luò)設(shè)計(jì)（一）教育城域網(wǎng)總體架構(gòu)當(dāng)前，教育城域網(wǎng)構(gòu)建了教育局、學(xué)校的二級(jí)教育信息網(wǎng)絡(luò)平臺(tái)，是承載教育信息資源共享及教育信息管理等功能的區(qū)域網(wǎng)絡(luò)核心骨干平臺(tái)。教育城域網(wǎng)的典型組網(wǎng)拓?fù)淙缦拢航逃怯蚓W(wǎng)物理架構(gòu)1.從中小學(xué)園區(qū)網(wǎng)絡(luò)的角度看，教育城域網(wǎng)總體網(wǎng)絡(luò)架構(gòu)包括骨干網(wǎng)絡(luò)部分和校園園區(qū)網(wǎng)絡(luò)兩個(gè)部分。如下圖所示：教育城域網(wǎng)邏輯架構(gòu)第一部分為教育城域網(wǎng)骨干網(wǎng)，用以提供教育網(wǎng)/互聯(lián)網(wǎng)出口及相關(guān)單位的網(wǎng)絡(luò)流量傳輸，實(shí)現(xiàn)教育主管機(jī)構(gòu)以及各學(xué)校之間的互聯(lián)互通，統(tǒng)一互聯(lián)網(wǎng)訪問出口管理以及部署教育云平臺(tái)，實(shí)現(xiàn)教育資源的匯集和共享，教育管理信息的集中管理。第二部分為普教園區(qū)網(wǎng)，又叫校園網(wǎng)，主要指的是校內(nèi)的園區(qū)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，根據(jù)功能劃分為出口區(qū)、核心層、匯聚層、接入層、網(wǎng)絡(luò)管理等幾個(gè)部分。（1）校園出口區(qū)既負(fù)責(zé)對(duì)校園網(wǎng)用戶的統(tǒng)一接入，也負(fù)責(zé)將內(nèi)部的終端用戶接入到教育城域網(wǎng)、將外部用戶接入到校園網(wǎng)。出口除了要保證校園內(nèi)外的數(shù)據(jù)傳輸，還需要保證邊界安全。（2）網(wǎng)絡(luò)管理區(qū)對(duì)接入用戶進(jìn)行認(rèn)證，對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器等進(jìn)行管理的區(qū)域。包括告警管理、性能管理、故障管理、配置管理、安全管理等。（3）核心層核心層負(fù)責(zé)整個(gè)園區(qū)網(wǎng)的高速互聯(lián)，一般不部署具體的業(yè)務(wù)。核心網(wǎng)絡(luò)需要實(shí)現(xiàn)帶寬的高利用率和網(wǎng)絡(luò)故障的快速收斂。（4）匯聚層匯聚層將眾多的接入設(shè)備和大量用戶經(jīng)過一次匯聚后再接入到核心層，擴(kuò)展核心層接入用戶的數(shù)量。（5）接入層負(fù)責(zé)將各種終端接入到校園網(wǎng)絡(luò)，通常由以太網(wǎng)交換機(jī)組成，提供網(wǎng)線接入能力。在無線校園建設(shè)中，接入層還包括提供無線網(wǎng)絡(luò)的AP設(shè)備，由于需要接入的終端類型眾多，甚至包含各種類型的物聯(lián)傳感設(shè)備，因此，AP應(yīng)具備Wi-Fi，Zigbee，藍(lán)牙等無線接入能力。（6）終端應(yīng)用層包含校園網(wǎng)內(nèi)的各種終端設(shè)備，例如PC、筆記本電腦、打印機(jī)、傳真、手機(jī)、攝像頭、讀卡器、各類物聯(lián)傳感器等等。方案組件和簡(jiǎn)介網(wǎng)絡(luò)層組件管理層組件2.教育城域網(wǎng)物理網(wǎng)絡(luò)設(shè)計(jì)教育城域網(wǎng)在保障網(wǎng)絡(luò)連通的同時(shí)，還需要重點(diǎn)考慮網(wǎng)絡(luò)的可靠性，包括鏈路及網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、網(wǎng)絡(luò)自愈能力、網(wǎng)絡(luò)容量、響應(yīng)時(shí)間、網(wǎng)絡(luò)擴(kuò)展性、技術(shù)先進(jìn)性、性價(jià)比等等，基于以上考慮，XX育城域網(wǎng)總體網(wǎng)絡(luò)架構(gòu)劃分為三個(gè)層次：核心層、匯聚層和接入層，如下圖所示：網(wǎng)絡(luò)拓?fù)湔f明：（1）互聯(lián)網(wǎng)區(qū)：內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的邊界，用于實(shí)現(xiàn)內(nèi)部用戶接入到外網(wǎng)，外部用戶接入到內(nèi)部網(wǎng)絡(luò)，邊界部署2臺(tái)防火墻新增沙箱等安全設(shè)備，XXX和XXX分別為兩個(gè)出口，保障出口的高可靠性。（2）運(yùn)維管理區(qū)：增加統(tǒng)一網(wǎng)管，對(duì)全網(wǎng)設(shè)備進(jìn)行統(tǒng)一管理，并開啟分權(quán)分域，各學(xué)校管理員管理自己的設(shè)備；新增SDN控制器，對(duì)全網(wǎng)做統(tǒng)一認(rèn)證及業(yè)務(wù)隨行，用戶分組，網(wǎng)絡(luò)資源按照策略分配，不論用戶是在不同地點(diǎn)接入還是使用有線或無線網(wǎng)絡(luò)接入，享受相同的網(wǎng)絡(luò)資源配置，帶來業(yè)務(wù)隨身的優(yōu)質(zhì)網(wǎng)絡(luò)使用體驗(yàn)。（3）核心交換區(qū)：XXXX和XXXX為核心節(jié)點(diǎn)，保障核心節(jié)點(diǎn)的高可靠性，避免單點(diǎn)故障，XXXX作為全區(qū)所有教育資源應(yīng)用核心節(jié)點(diǎn)；（4）匯聚區(qū)XXXX+XXX+XXX+XXX（教育局）組成環(huán)網(wǎng)，其他5個(gè)街道辦上聯(lián)至XX，承載XX所校區(qū)的所有接入流量，完成數(shù)據(jù)匯聚交換的功能，保障未來業(yè)務(wù)發(fā)展的需要。（5）學(xué)校接入?yún)^(qū)：各學(xué)校部署高性能萬兆框式核心交換機(jī)設(shè)備，支持SDN新技術(shù)。設(shè)備通過萬兆單模光纖上行就近接入?yún)R聚區(qū)，下聯(lián)學(xué)校接入交換機(jī)，為有線無線用戶傳輸數(shù)據(jù)。3.基于VxLAN的城域網(wǎng)SDN方案設(shè)計(jì)（1）SDN業(yè)務(wù)范圍此項(xiàng)目SDN業(yè)務(wù)范圍針對(duì)學(xué)校教職工有線辦公業(yè)務(wù)網(wǎng)、視頻監(jiān)控業(yè)務(wù)網(wǎng)。如果后續(xù)有新業(yè)務(wù)需要?jiǎng)?chuàng)建虛擬專網(wǎng)，考慮再納入到SDN業(yè)務(wù)范圍。（2）SDN部署方案為保證城域網(wǎng)的可靠性、網(wǎng)絡(luò)擴(kuò)展性，采用SDN（軟件定義網(wǎng)絡(luò)）技術(shù)構(gòu)建教育城域網(wǎng)，通過在核心交換機(jī)接入SDN控制器方式實(shí)現(xiàn)部署。將網(wǎng)絡(luò)控制平臺(tái)集中，實(shí)現(xiàn)網(wǎng)絡(luò)集中管控，策略以用戶為中心進(jìn)行管理，滿足學(xué)校師生的用戶終端無論在何地、采用哪種接入方式都能擁有相同的網(wǎng)絡(luò)訪問策略和訪問權(quán)限，網(wǎng)絡(luò)接入策略能夠通過SDN控制器統(tǒng)一配置下發(fā)，對(duì)學(xué)校的用戶終端進(jìn)行統(tǒng)一的認(rèn)證管理。通過SDN控制器對(duì)校園網(wǎng)VXLAN業(yè)務(wù)實(shí)現(xiàn)自動(dòng)化部署。針對(duì)此業(yè)務(wù)場(chǎng)景需求，基于Vxlan技術(shù)構(gòu)建Overlay網(wǎng)絡(luò)，實(shí)現(xiàn)跨三層網(wǎng)絡(luò)的二層互通，網(wǎng)絡(luò)架構(gòu)如下：SDN邏輯架構(gòu)圖SDN控制器：實(shí)現(xiàn)網(wǎng)絡(luò)的認(rèn)證、授權(quán)與業(yè)務(wù)策略管理的核心，與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)完成用戶認(rèn)證和策略下發(fā)?；赩xLAN構(gòu)建Overlay網(wǎng)絡(luò)：城域網(wǎng)核心、匯聚交換機(jī)和學(xué)校核心交換機(jī)之間基于VxLAN技術(shù)構(gòu)建overlay網(wǎng)絡(luò)，實(shí)現(xiàn)跨三層網(wǎng)絡(luò)的二層互通。校園網(wǎng)匯聚和接入層設(shè)備采用不同的VLAN進(jìn)行接入位置的標(biāo)識(shí)，通過TRUNK的方式上行到校園網(wǎng)核心層，校園網(wǎng)核心層完成VLAN到VxLAN的映射，不同學(xué)校的核心層交換機(jī)網(wǎng)關(guān)之間建立VxLAN隧道，保證用戶相同體驗(yàn)，實(shí)現(xiàn)跨校區(qū)之間的業(yè)務(wù)隨行。通過構(gòu)建虛擬化專網(wǎng)，網(wǎng)絡(luò)建設(shè)成本大大降低；通過虛擬化專網(wǎng)，各專網(wǎng)業(yè)務(wù)實(shí)現(xiàn)安全邏輯隔離，安全性高；通過虛擬化專網(wǎng)實(shí)現(xiàn)多租戶專網(wǎng)，后續(xù)企業(yè)專網(wǎng)可靈活擴(kuò)展。（3）Underlay網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)Underlay網(wǎng)絡(luò)介紹虛擬化園區(qū)方案使用VXLAN技術(shù)采用MACinUDP的封裝方式在傳統(tǒng)的IP網(wǎng)絡(luò)上虛擬出一層邏輯網(wǎng)絡(luò)。Underlay網(wǎng)絡(luò)即為支撐上層邏輯網(wǎng)絡(luò)的傳統(tǒng)IP網(wǎng)絡(luò)。Underlay網(wǎng)絡(luò)對(duì)上層邏輯網(wǎng)絡(luò)的支撐主要可分為以下兩個(gè)方面：①為邏輯網(wǎng)絡(luò)提供路由可達(dá)的Underlay網(wǎng)絡(luò)，使經(jīng)過VXLAN封裝后的業(yè)務(wù)報(bào)文在VXLAN節(jié)點(diǎn)之間互通。構(gòu)建Underlay網(wǎng)絡(luò)的路由互通可以采用OSPF，ISIS等IP單播路由協(xié)議。由于在園區(qū)網(wǎng)絡(luò)中主要使用OSPF路由實(shí)現(xiàn)IP網(wǎng)絡(luò)互通，且OSPF路由技術(shù)比較成熟，網(wǎng)絡(luò)建設(shè)維護(hù)人員使用經(jīng)驗(yàn)豐富，因此Underlay網(wǎng)絡(luò)的路由互通推薦使用OSPF路由協(xié)議。采用控制器實(shí)現(xiàn)Underlay網(wǎng)絡(luò)路由域自動(dòng)編排時(shí)僅支持OSPF路由協(xié)議。②在虛擬化園區(qū)方案中VXLAN網(wǎng)絡(luò)使用BGPEVPN技術(shù)實(shí)現(xiàn)控制面功能，因此需要在VXLAN隧道端點(diǎn)的VTEP設(shè)備上運(yùn)行BGP路由協(xié)議。OSPF路由規(guī)劃設(shè)計(jì)Underlay網(wǎng)絡(luò)運(yùn)行OSPF路由為VXLAN構(gòu)建的虛擬網(wǎng)絡(luò)提供報(bào)文封裝后的Underlay網(wǎng)絡(luò)互通功能。因此，OSPF路由在Underlay網(wǎng)絡(luò)的部署范圍為Border設(shè)備和Edge設(shè)備，實(shí)現(xiàn)Border設(shè)備同Edge設(shè)備以及Edge設(shè)備間的路由互通。在虛擬化園區(qū)方案中Underlay網(wǎng)絡(luò)的OSPF路由配置通過控制器自動(dòng)完成。租戶管理員通過開啟Underlay路由自動(dòng)編排功能并在Underlay網(wǎng)絡(luò)資源中提前規(guī)劃好互通的IP網(wǎng)段，控制器自動(dòng)完成OSPF路由的編排并下發(fā)到Border和Edge設(shè)備，實(shí)現(xiàn)Underlay網(wǎng)絡(luò)的路由互通部署。Underlay網(wǎng)絡(luò)路由編排時(shí)會(huì)同時(shí)將設(shè)備上規(guī)劃的BGP協(xié)議的源接口（如Loopback0接口）的網(wǎng)段引入U(xiǎn)nderlay網(wǎng)絡(luò)OSPF區(qū)域，完成BGP協(xié)議源接口間的互通。教育城域網(wǎng)OSPF路由規(guī)劃教育城域網(wǎng)配置為OSPFArea0。城域網(wǎng)骨干節(jié)與街道辦匯聚和學(xué)校的核心交換機(jī)配置為一個(gè)OSPFArea中。BGP路由規(guī)劃設(shè)計(jì)虛擬化園區(qū)方案使用VXLAN技術(shù)完成虛擬網(wǎng)絡(luò)的構(gòu)建，在該方案中VXLAN隧道節(jié)點(diǎn)的VTEP設(shè)備（Border設(shè)備、Edge設(shè)備）同時(shí)運(yùn)行BGP路由協(xié)議，使用BGPEVPN技術(shù)實(shí)現(xiàn)VXLAN網(wǎng)絡(luò)控制面的功能，包括VXLAN隧道動(dòng)態(tài)建立，ARP/ND表項(xiàng)傳遞、路由信息傳遞等。部署B(yǎng)GP路由協(xié)議時(shí)，假設(shè)在一個(gè)園區(qū)內(nèi)部有n臺(tái)VTEP設(shè)備，那么建立的IBGP連接數(shù)就為n(n-1)/2。當(dāng)設(shè)備數(shù)目很多時(shí)，設(shè)備配置將十分復(fù)雜，而且配置后網(wǎng)絡(luò)資源和CPU資源的消耗都很大。在IBGP對(duì)等體間可以使用路由反射器解決以上問題，推薦將Border設(shè)備設(shè)置為路由反射器。在虛擬化園區(qū)方案中BGP路由的部署通過控制器自動(dòng)完成，創(chuàng)建Fabric網(wǎng)絡(luò)時(shí)選定設(shè)備的角色，并選擇是否為路由反射器就可以在Fabric網(wǎng)絡(luò)創(chuàng)建時(shí)完成BGP路由協(xié)議的部署。Underlay網(wǎng)絡(luò)的BGP路由協(xié)議規(guī)劃此項(xiàng)目BGP路由的編排只關(guān)注Border和Edge設(shè)備，在學(xué)校Edge和城域網(wǎng)出口Border之間通過Loopback口建立IBGP鄰居關(guān)系。兩個(gè)Border作為RR反射器；網(wǎng)絡(luò)中Border和所有的Edge設(shè)備作為VTEP，通過EVPN同步信息，自動(dòng)建立VxLAN隧道，完成VxLANFabric的構(gòu)建。（4）Fabric網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)①Fabric網(wǎng)絡(luò)規(guī)劃Fabric網(wǎng)絡(luò)雙出口方案設(shè)計(jì)圖如下：Fabric網(wǎng)絡(luò)雙出口方案整體方案：A.整體采用SDN解決方案，通過控制器實(shí)現(xiàn)一網(wǎng)多用、自動(dòng)化業(yè)務(wù)發(fā)放、業(yè)務(wù)隨行等功能。B.由于本項(xiàng)目網(wǎng)絡(luò)規(guī)模較大，出口核心位置較高，建議采用VxLAN分布式網(wǎng)關(guān)，校園核心交換機(jī)同時(shí)做VxLAN二層和三層網(wǎng)關(guān)，校園內(nèi)的流量本地轉(zhuǎn)發(fā)，效率更高，且避免集中式網(wǎng)關(guān)ARP表項(xiàng)瓶頸的問題，部署靈活，網(wǎng)絡(luò)可擴(kuò)展性強(qiáng)。C.區(qū)委核心、XX大廈核心作為Fabric的雙border；D.每個(gè)學(xué)校的核心交換機(jī)默認(rèn)作為Fabric的edge；E.xx、xx中學(xué)等節(jié)點(diǎn)作為VxLAN的透?jìng)鞴?jié)點(diǎn)；F.如果校園網(wǎng)絡(luò)接入設(shè)備滿足城域網(wǎng)SDN技術(shù)要求，可以作為Fabric的擴(kuò)展接入點(diǎn)實(shí)現(xiàn)校園內(nèi)二層網(wǎng)絡(luò)的自動(dòng)化配置下發(fā)。①Fabric接入規(guī)劃在虛擬化園區(qū)方案中，Edge設(shè)備作為VXLAN隧道的端點(diǎn)設(shè)備，負(fù)責(zé)將用戶流量接入Fabric網(wǎng)絡(luò)。Fabric接入設(shè)備的類型如圖，可以分為Fabric擴(kuò)展交換機(jī)、Fabric擴(kuò)展AP和終端。Edge設(shè)備下掛設(shè)備連接類型分為：Fabric擴(kuò)展AP、Fabric擴(kuò)展接入交換機(jī)和終端（PC、話機(jī)、啞終端、非Fabric擴(kuò)展接入交換機(jī)/AP）。A.Fabric擴(kuò)展AP場(chǎng)景（隨板AC）：AP為瘦AP模式，用戶網(wǎng)關(guān)設(shè)備作為WAC設(shè)備，對(duì)AP進(jìn)行管理。B.Fabric擴(kuò)展AP場(chǎng)景（獨(dú)立AC）：AP為瘦AP模式，旁掛獨(dú)立AC，對(duì)AP進(jìn)行管理，AC與Edge之間二層互通。C.Fabric擴(kuò)展接入交換機(jī)場(chǎng)景：設(shè)備可被控制器納管。通過控制器自動(dòng)部署該設(shè)備同Edge設(shè)備的策略聯(lián)動(dòng)功能，實(shí)現(xiàn)網(wǎng)絡(luò)接入策略執(zhí)行點(diǎn)從匯聚設(shè)備下移至接入設(shè)備，減輕匯聚設(shè)備的負(fù)擔(dān)。當(dāng)連接的為非Fabric擴(kuò)展接入交換機(jī)的交換設(shè)備時(shí)，需自行保證通過該交換設(shè)備同用戶相連時(shí)二層互通。D.終端（PC、話機(jī)、啞終端、非Fabric擴(kuò)展接入交換機(jī)/AP）場(chǎng)景：直接在Edge設(shè)備上進(jìn)行認(rèn)證，并接入Fabric網(wǎng)絡(luò)。Fabric接入組網(wǎng)圖在Fabric接入設(shè)備規(guī)劃時(shí)，依據(jù)不同的園區(qū)網(wǎng)絡(luò)不同的網(wǎng)絡(luò)架構(gòu)部署時(shí)可以根據(jù)表進(jìn)行相應(yīng)的部署。a.教職工有線辦公業(yè)務(wù)網(wǎng)場(chǎng)景完全由控制器進(jìn)行自動(dòng)化編排，控制器選擇端口接入的終端類型以及所屬的子網(wǎng)，配置自動(dòng)化下發(fā)到校園二層網(wǎng)絡(luò)。由于校園的接入和匯聚不支持SDN技術(shù)的設(shè)備，無法自動(dòng)化配置下發(fā)，需要人工配置，而且有線辦公網(wǎng)有IP地址溯源和業(yè)務(wù)隨行的訴求，存在授權(quán)VLAN的情況，因此校園匯聚設(shè)備需要以Untag的方式透?jìng)鳂I(yè)務(wù)VLAN，校園Edge設(shè)備接口配置前域PVIDVLAN，通過授權(quán)VLAN的方式實(shí)現(xiàn)有線辦公PC接入業(yè)務(wù)網(wǎng)絡(luò)。由于校園的接入和匯聚不支持SDN技術(shù)的設(shè)備，無法自動(dòng)化配置下發(fā)，需要人工配置，而且啞終端沒有業(yè)務(wù)隨行的訴求，不存在授權(quán)VLAN的情況，因此校園匯聚設(shè)備需要以Tag的方式透?jìng)鲉〗K端業(yè)務(wù)VLAN，校園Edge設(shè)備接口配置以Tag方式加入啞終端業(yè)務(wù)VLAN實(shí)現(xiàn)啞終端接入業(yè)務(wù)網(wǎng)絡(luò)。b.視頻監(jiān)控業(yè)務(wù)網(wǎng)場(chǎng)景完全由控制器進(jìn)行自動(dòng)化編排，控制器選擇端口接入的終端類型為攝像頭以及攝像頭所屬的VLAN，配置自動(dòng)化下發(fā)到校園二層網(wǎng)絡(luò)。由于校園的接入和匯聚不支持SDN技術(shù)的設(shè)備，無法自動(dòng)化配置下發(fā)，需要人工配置，而且攝像頭沒有業(yè)務(wù)隨行的訴求，不存在授權(quán)VLAN的情況，因此校園匯聚設(shè)備需要以Tag的方式透?jìng)鲾z像頭業(yè)務(wù)VLAN，校園Edge設(shè)備接口配置以Tag方式加入攝像頭業(yè)務(wù)VLAN實(shí)現(xiàn)接入視頻監(jiān)控業(yè)務(wù)網(wǎng)絡(luò)。（5）網(wǎng)絡(luò)服務(wù)資源規(guī)劃①VLAN/BD規(guī)劃在該方案中BD與VLAN的對(duì)應(yīng)關(guān)系為1:1，對(duì)應(yīng)一個(gè)VLAN，BD會(huì)在規(guī)劃的BD資源池中順序生成一個(gè)BD，因此對(duì)BD的具體規(guī)劃不需要關(guān)注，只需關(guān)注VLAN的規(guī)劃即可。BD資源池范圍的規(guī)劃應(yīng)滿足用戶VLAN數(shù)目的需要。VLAN規(guī)劃設(shè)計(jì)建議遵循如下原則：A.按照不同業(yè)務(wù)區(qū)域劃分不同的VLAN。B.同一業(yè)務(wù)區(qū)域按照具體的業(yè)務(wù)類型（如Web、APP、DB等）劃分不同的VLAN。C.VLAN編號(hào)建議連續(xù)分配，以保證VLAN資源合理利用。D.建議預(yù)留一定數(shù)目VLAN以方便后續(xù)擴(kuò)展。VLAN的分類通常有業(yè)務(wù)VLAN、管理VLAN和互聯(lián)VLAN，設(shè)計(jì)建議如下表所示：②IP地址規(guī)劃IP地址的規(guī)劃建議遵循如下原則：A.唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址。即使使用MPLS（MultiprotocolLabelSwitching，多協(xié)議標(biāo)記交換）或VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)）隔離，也建議不同VPNInstance（VRF）下不要使用相同的IP地址。B.連續(xù)性：同一業(yè)務(wù)的節(jié)點(diǎn)地址要連續(xù)，便于路由規(guī)劃和匯總。連續(xù)的地址便于路由聚合，可以減小路由表的大小，加快路由計(jì)算和收斂速率。比如，匯聚交換機(jī)下接入的網(wǎng)段可能有很多，在規(guī)劃的時(shí)候需要考慮路由聚合，這樣可以減少核心網(wǎng)絡(luò)的路由數(shù)。C.擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)無須新增地址段及路由條目。D.易維護(hù)：設(shè)備地址段、各業(yè)務(wù)地址段清晰區(qū)分，易于后續(xù)基于地址段實(shí)施統(tǒng)計(jì)監(jiān)控、安全防護(hù)等策略。好的IP地址規(guī)劃使每個(gè)地址具有實(shí)際含義，看到一個(gè)地址就可以大致判斷出該地址所屬的設(shè)備。IP地址的規(guī)劃可以與VLAN的規(guī)劃對(duì)應(yīng)起來。例如，IP地址的第三個(gè)字節(jié)與VLAN編號(hào)的后三位保持一致，這樣可以便于管理員記憶和管理。園區(qū)內(nèi)部的IP地址建議使用私網(wǎng)IP地址，在邊緣網(wǎng)絡(luò)通過NAT轉(zhuǎn)換成公網(wǎng)地址后接入公網(wǎng)。園區(qū)網(wǎng)中的DMZ區(qū)或Internet互聯(lián)區(qū)有少量設(shè)備使用公網(wǎng)IP。園區(qū)網(wǎng)的IP地址主要分為管理IP地址、互聯(lián)IP地址和業(yè)務(wù)IP地址，如下表所示。③DHCP規(guī)劃大中型園區(qū)需要規(guī)劃獨(dú)立的DHCPServer，DHCP的規(guī)劃建議如下：A.建議整個(gè)園區(qū)規(guī)劃一個(gè)DHCPServer來簡(jiǎn)化運(yùn)維；建議在接入層設(shè)備配置DHCPSnooping，能夠保證客戶端從合法的DHCPServer獲取IP地址，避免被非法攻擊B.IP地址分配提供兩種分配機(jī)制，網(wǎng)絡(luò)管理員可以根據(jù)網(wǎng)絡(luò)需求為不同的主機(jī)選擇不同的分配策略：動(dòng)態(tài)分配機(jī)制：為指定主機(jī)分配動(dòng)態(tài)IP地址。適用于主機(jī)需要臨時(shí)接入或者IP地址不足的場(chǎng)景，例如企業(yè)辦事處的出差員工便攜機(jī)、咖啡廳的移動(dòng)終端。靜態(tài)分配機(jī)制：為指定主機(jī)分配固定的IP地址。適用于對(duì)IP地址有特殊要求的主機(jī)，例如打印機(jī)等啞終端地址、DNSServer的地址，需要固定的IP地址。根據(jù)客戶端在線時(shí)間合理規(guī)劃租期，大中型園區(qū)場(chǎng)景中的辦公區(qū)在線時(shí)間長(zhǎng)，需要規(guī)劃較長(zhǎng)的租期。大中型園區(qū)DHCP服務(wù)器和園區(qū)主機(jī)不在同一個(gè)網(wǎng)段，需要網(wǎng)關(guān)開啟DHCP中繼功能。IP地址溯源，新一代網(wǎng)絡(luò)核心服務(wù)自動(dòng)化開通平臺(tái)能自動(dòng)、有效地管理訪問網(wǎng)絡(luò)的IP/MAC資源，實(shí)時(shí)提供更新數(shù)據(jù)，控制未授權(quán)IP/MAC地址訪問網(wǎng)絡(luò)，從而提高內(nèi)部網(wǎng)絡(luò)的安全性。（6）虛擬網(wǎng)絡(luò)規(guī)劃虛擬網(wǎng)絡(luò)的劃分：在虛擬化園區(qū)網(wǎng)絡(luò)方案中，每個(gè)虛擬網(wǎng)絡(luò)為一個(gè)VPN實(shí)例，一個(gè)虛擬網(wǎng)絡(luò)中可以包含多個(gè)子網(wǎng)，同一虛擬網(wǎng)絡(luò)內(nèi)的用戶之間默認(rèn)是可以互通，虛擬網(wǎng)絡(luò)之間的用戶默認(rèn)是路由隔離的。虛擬網(wǎng)絡(luò)的規(guī)劃可以依據(jù)以下原則：①獨(dú)立的業(yè)務(wù)部門作為一個(gè)虛擬網(wǎng)絡(luò)。同一業(yè)務(wù)部門內(nèi)用戶身份的差異導(dǎo)致的隔離要求不要通過虛擬網(wǎng)絡(luò)實(shí)現(xiàn)，可以通過基于用戶角色劃分的安全組的組間策略來管控。②虛擬網(wǎng)絡(luò)中子網(wǎng)的規(guī)劃在虛擬網(wǎng)絡(luò)中，Edge節(jié)點(diǎn)是業(yè)務(wù)數(shù)據(jù)從物理網(wǎng)絡(luò)進(jìn)入虛擬網(wǎng)絡(luò)的邊界點(diǎn)，根據(jù)用戶所屬的VLAN進(jìn)入虛擬網(wǎng)絡(luò)的不同子網(wǎng)。因此在設(shè)計(jì)網(wǎng)絡(luò)時(shí)，需要先規(guī)劃好物理網(wǎng)絡(luò)的VLAN和虛擬網(wǎng)絡(luò)子網(wǎng)的映射關(guān)系，同時(shí)配置有線用戶和無線用戶的VLAN。有線用戶報(bào)文根據(jù)VLAN直接入VXLAN虛擬網(wǎng)絡(luò)，無線用戶報(bào)文經(jīng)過CAPWAP隧道轉(zhuǎn)發(fā)至WAC（WAC可是Edge或Border節(jié)點(diǎn)），WAC解封裝CAPWAP報(bào)文后，再根據(jù)無線用戶所屬的VLAN進(jìn)入對(duì)應(yīng)的VXLAN網(wǎng)絡(luò)。由于虛擬網(wǎng)絡(luò)子網(wǎng)的接入一般會(huì)依賴用戶認(rèn)證技術(shù)，因此推薦將相同類型的終端加入同一子網(wǎng)。虛擬網(wǎng)絡(luò)子網(wǎng)的VLAN接入的方式兩種：靜態(tài)VLAN和動(dòng)態(tài)VLAN。虛擬業(yè)務(wù)網(wǎng)劃分本項(xiàng)目當(dāng)前劃分有線辦公虛擬網(wǎng)和視頻監(jiān)控虛擬網(wǎng)，后續(xù)也可以根據(jù)業(yè)務(wù)需要添加和創(chuàng)建新的虛擬網(wǎng)。（7）虛擬網(wǎng)絡(luò)互訪規(guī)劃本次項(xiàng)目學(xué)校視頻監(jiān)控虛擬網(wǎng)絡(luò)和有線辦公虛擬網(wǎng)絡(luò)默認(rèn)隔離。后續(xù)如有新增的虛擬網(wǎng)絡(luò)和有線辦公虛擬網(wǎng)絡(luò)互訪訴求，也可以編排虛擬網(wǎng)絡(luò)的互訪策略。實(shí)現(xiàn)虛擬網(wǎng)絡(luò)的互訪主要有兩種方式，在Fabric網(wǎng)絡(luò)內(nèi)互訪和通過防火墻設(shè)備進(jìn)行互訪。建議編排在Fabric網(wǎng)絡(luò)內(nèi)部互訪。虛擬網(wǎng)絡(luò)之間在Fabric網(wǎng)絡(luò)內(nèi)互訪的流量示意圖如圖1。在Fabric網(wǎng)絡(luò)內(nèi)實(shí)現(xiàn)的虛擬網(wǎng)絡(luò)互訪需要在設(shè)備上配置不同VN之間的路由引入，可通過邏輯網(wǎng)絡(luò)中VN互訪的配置實(shí)現(xiàn)。虛擬網(wǎng)絡(luò)之間在Fabric網(wǎng)絡(luò)內(nèi)互訪的流量示意圖（8）IP規(guī)劃設(shè)計(jì)方案①IP地址規(guī)劃方案有線辦公網(wǎng)PC接入采用自動(dòng)獲取固定IP地址方式，結(jié)合DHCP服務(wù)器實(shí)現(xiàn)。無線wifi建議采用動(dòng)態(tài)獲取IP地址的方式，保留現(xiàn)有方式不變。打印機(jī)、電子班牌、電子白板等啞終端設(shè)備建議采用靜態(tài)IP地址方式。視頻監(jiān)控建議采用靜態(tài)IP地址方式。②IP地址溯源有線辦公業(yè)務(wù)網(wǎng)固定IP地址獲取方式有線辦公業(yè)務(wù)網(wǎng)絡(luò)終端需要固定IP做溯源，通過集中式Radius和DHCP服務(wù)器實(shí)現(xiàn)。?教職工的辦公電腦首次接入網(wǎng)絡(luò)，在DHCP服務(wù)器臨時(shí)地址池拿地址，不做地址綁定；?Portal認(rèn)證成功后，Radius根據(jù)用戶賬號(hào)授權(quán)業(yè)務(wù)VLAN；?教職工的辦公電腦在業(yè)務(wù)VLAN對(duì)應(yīng)的DHCP服務(wù)器地址池拿地址，DHCP服務(wù)器做IP綁定，后續(xù)該IP只能給該教職工的辦公電腦使用；?教職工的辦公電腦后續(xù)再接入網(wǎng)絡(luò)直接Mac無感知授權(quán)到業(yè)務(wù)VLAN拿固定地址訪問網(wǎng)絡(luò)。?無線網(wǎng)絡(luò)不做固定IP溯源，通過用戶賬號(hào)（手機(jī)號(hào)、驗(yàn)證碼）溯源。DHCP服務(wù)器方案設(shè)計(jì)（第三方廠家功能，如有固定IP要求下使用）DHCP服務(wù)器需要具備如下的功能，滿足此項(xiàng)目教職工辦公網(wǎng)IP地址動(dòng)態(tài)分配和溯源的問題。?中文web界面管理?可視化IP地址集中管理?IP資產(chǎn)數(shù)據(jù)報(bào)表分析?高級(jí)DHCPOption參數(shù)應(yīng)用?IPv4、IPv6雙棧管理?高性能專業(yè)級(jí)DHCP服務(wù)器為滿足教職工訪問互聯(lián)網(wǎng)審計(jì)溯源的需要，在開啟DHCP的情況下不允許有線辦公設(shè)備IP地址隨意變動(dòng)，必須IP-MAC一一對(duì)應(yīng)，可以使用IP地址綁定推送功能，系統(tǒng)通過識(shí)別設(shè)備MAC地址，固定下發(fā)與MAC相對(duì)應(yīng)的的IP地址，同時(shí)對(duì)IP進(jìn)行實(shí)名制信息備注，提高IP地址管理的準(zhǔn)確性和規(guī)范性。綁定推送功能在效果上與使用靜態(tài)IP地址相同，同時(shí)在變更地址、更換上網(wǎng)設(shè)備、更換辦公地址等情況下，減少了網(wǎng)絡(luò)管理員手工輸入配置IP地址的工作量。自動(dòng)化的IP地址管理設(shè)備部署完畢后，有線辦公設(shè)備將摒棄傳統(tǒng)的手工設(shè)置固定IP地址的方式，全部采用自動(dòng)獲取IP地址的方式；可讓管理員有效管理有線辦公網(wǎng)，并能實(shí)現(xiàn)IP地址的有效分配、追蹤、回收、審計(jì)以達(dá)到對(duì)網(wǎng)絡(luò)可視性管理的目的。動(dòng)態(tài)實(shí)名的DHCP分配回收，系統(tǒng)通過IP、MAC、計(jì)算機(jī)名、操作系統(tǒng)、端口號(hào)五元素定位一個(gè)終端，隨機(jī)動(dòng)態(tài)分配時(shí)可以對(duì)MAC地址進(jìn)行實(shí)名制信息登記，通過MAC地址確定使用人，設(shè)備出現(xiàn)問題可以通過IP對(duì)設(shè)備進(jìn)行快速定位。功能視圖如下：4.城域網(wǎng)出口網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)（1）防火墻安全規(guī)劃1）安全區(qū)域規(guī)劃安全區(qū)域介紹：安全區(qū)域（SecurityZone），簡(jiǎn)稱為區(qū)域（Zone），是一個(gè)或多個(gè)接口所連網(wǎng)絡(luò)的集合，這些網(wǎng)絡(luò)中的用戶具有相同的安全屬性。大部分的安全策略都基于安全區(qū)域?qū)嵤?。通過安全區(qū)域，防火墻上劃分出了等級(jí)森嚴(yán)、關(guān)系明確的網(wǎng)絡(luò)，防火墻成為連接各個(gè)網(wǎng)絡(luò)的節(jié)點(diǎn)。防火墻通過安全區(qū)域來劃分網(wǎng)絡(luò)、標(biāo)識(shí)報(bào)文流動(dòng)的“路線”，當(dāng)報(bào)文在不同的安全區(qū)域之間流動(dòng)時(shí)，才會(huì)觸發(fā)安全檢查，并實(shí)施相應(yīng)的安全策略。安全區(qū)域之間默認(rèn)是隔離的。通常情況下，三個(gè)安全區(qū)域，分別是Trust、DMZ和Untrust：?Trust區(qū)域，該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度高，通常用來定義內(nèi)部用戶所在的網(wǎng)絡(luò)。?DMZ區(qū)域，該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度中等，通常用來定義內(nèi)部服務(wù)器所在的網(wǎng)絡(luò)。?Untrust區(qū)域，該區(qū)域代表的是不受信任的網(wǎng)絡(luò)，通常用來定義Internet等不安全的網(wǎng)絡(luò)。安全區(qū)域規(guī)劃：一般可以認(rèn)為園區(qū)內(nèi)網(wǎng)是安全的，安全威脅主要來自外界，所以把Internet劃分為Untrust區(qū)域，園區(qū)內(nèi)網(wǎng)劃分為Trust區(qū)域，在園區(qū)出口位置部署安全設(shè)備來做內(nèi)外網(wǎng)隔離，抵御外網(wǎng)威脅。數(shù)據(jù)中心區(qū)域一般劃分為DMZ區(qū)域，在DMZ區(qū)域部署防火墻來做園區(qū)內(nèi)網(wǎng)與數(shù)據(jù)中心各服務(wù)器之間的流量隔離。在園區(qū)虛擬化方案中，對(duì)于用戶網(wǎng)關(guān)位于Fabric網(wǎng)絡(luò)內(nèi)部時(shí)，F(xiàn)abric網(wǎng)絡(luò)外部網(wǎng)絡(luò)資源的每一個(gè)出口對(duì)應(yīng)防火墻上的一個(gè)三層的邏輯接口，在外部網(wǎng)絡(luò)資源的出口規(guī)劃時(shí)已經(jīng)根據(jù)具有相同安全策略的虛擬網(wǎng)絡(luò)按照不同的邏輯出口進(jìn)行劃分，因此在本方案中，可以直接根據(jù)外部網(wǎng)絡(luò)資源的接口進(jìn)行安全區(qū)域的劃分，每一個(gè)邏輯接口綁定一個(gè)安全區(qū)域。對(duì)于用戶網(wǎng)關(guān)位于Fabric網(wǎng)絡(luò)外部時(shí)，需要根據(jù)網(wǎng)關(guān)對(duì)應(yīng)的安全策略，將不同網(wǎng)關(guān)綁定相應(yīng)的安全區(qū)域。用戶網(wǎng)關(guān)位于Fabric網(wǎng)絡(luò)內(nèi)部時(shí)防火墻安全區(qū)域的劃分示意圖2）NAT規(guī)劃NAT（NetworkAddressTranslation）是一種地址轉(zhuǎn)換技術(shù)，支持將報(bào)文的源地址進(jìn)行轉(zhuǎn)換，也支持將報(bào)文的目的地址進(jìn)行轉(zhuǎn)換。對(duì)于園區(qū)網(wǎng)絡(luò)內(nèi)網(wǎng)使用私網(wǎng)地址時(shí)，若需要同Internet互通，需配置NAT功能。防火墻做出口設(shè)備時(shí)，NAT配置有以下規(guī)劃注意點(diǎn)：若內(nèi)網(wǎng)為私網(wǎng)IP地址時(shí)，用戶流量通過防火墻訪問互聯(lián)網(wǎng)時(shí)，需要采用源NAT技術(shù)將報(bào)文的源IP地址轉(zhuǎn)換成公網(wǎng)IP地址。推薦采用NAPT的方式，轉(zhuǎn)換時(shí)同時(shí)轉(zhuǎn)換地址和端口，實(shí)現(xiàn)多個(gè)私網(wǎng)地址共用一個(gè)或多個(gè)公網(wǎng)地址的地址轉(zhuǎn)換方式。適用于公網(wǎng)地址數(shù)量少，需要上網(wǎng)的私網(wǎng)用戶數(shù)量大的場(chǎng)景。若內(nèi)網(wǎng)服務(wù)器資源作為服務(wù)器端向公網(wǎng)用戶提供服務(wù)器端相關(guān)服務(wù)時(shí)，需要采用目的NAT技術(shù)將公網(wǎng)用戶的訪問流量對(duì)應(yīng)的目的IP和端口號(hào)轉(zhuǎn)換成服務(wù)器端在內(nèi)網(wǎng)環(huán)境的IP地址和端口號(hào)，完成服務(wù)提供。在防火墻雙機(jī)熱備主備模式下，如果NAT地址池中的地址與FW的上行接口的VRRP備份組地址在同一網(wǎng)段，那么外網(wǎng)返回的回程報(bào)文到達(dá)PE設(shè)備后，PE設(shè)備會(huì)廣播ARP報(bào)文請(qǐng)求NAT地址池中地址對(duì)應(yīng)的MAC地址。由于兩臺(tái)FW上有相同的NAT地址池配置，所以兩臺(tái)FW都會(huì)將自身上行接口的MAC地址回應(yīng)給PE設(shè)備。因此在這種場(chǎng)景下需在防火墻設(shè)備上配置NAT地址池與防火墻雙機(jī)熱備的狀態(tài)進(jìn)行綁定，僅讓雙機(jī)熱備的主設(shè)備應(yīng)答PE設(shè)備的ARP請(qǐng)求。（二）校園網(wǎng)物理網(wǎng)絡(luò)設(shè)計(jì)拓?fù)淦战绦@網(wǎng)網(wǎng)絡(luò)物理網(wǎng)絡(luò)又叫underlay網(wǎng)絡(luò)，由物理交換機(jī)，WLAN，防火墻等網(wǎng)絡(luò)設(shè)備構(gòu)成的物理基礎(chǔ)網(wǎng)絡(luò)，為虛擬網(wǎng)絡(luò)提供底層IP互通能力。智慧校園網(wǎng)的物理網(wǎng)絡(luò)拓?fù)鋱D如上圖所示，在學(xué)校機(jī)房部署出口區(qū)和核心層網(wǎng)絡(luò)設(shè)備，在教學(xué)樓部署匯聚層和接入層網(wǎng)絡(luò)設(shè)備，用以接入終端應(yīng)用層設(shè)備。1.出口區(qū)設(shè)計(jì)（學(xué)校自身有Internet出口）在智慧校園網(wǎng)出口區(qū)部署兩臺(tái)出口防火墻與教育城域網(wǎng)/Internet連接，互為備份有效避免單點(diǎn)設(shè)備和單鏈路故障。出口防火墻用以防御DoS/DDoS攻擊、ARP欺騙攻擊、TCP報(bào)文標(biāo)志位不合法攻擊、LargeICMP報(bào)文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊。2.核心層設(shè)計(jì)（學(xué)校自身無Internet出口，核心交換機(jī)作為連接教育城域網(wǎng)出口）核心區(qū)是整個(gè)網(wǎng)絡(luò)的樞紐，連接著網(wǎng)絡(luò)內(nèi)的各個(gè)區(qū)域。承擔(dān)了內(nèi)部數(shù)據(jù)流量和對(duì)外數(shù)據(jù)流量，在邏輯上成為可靠性、安全性設(shè)計(jì)的中心。核心交換機(jī)推薦采用具有高吞吐量性能的核心萬兆交換機(jī)，滿足64Tbps交換容量、19200Mpps包轉(zhuǎn)發(fā)率及至少8個(gè)業(yè)務(wù)槽位，滿足核心設(shè)備3-5年內(nèi)先進(jìn)性和可擴(kuò)展性。為保證可靠性，核心層采用2臺(tái)相同規(guī)格核心交換機(jī)連接各個(gè)區(qū)域，對(duì)內(nèi)完成業(yè)務(wù)數(shù)據(jù)的內(nèi)部交換，對(duì)外接入各系統(tǒng)訪問，形成萬兆無阻塞線速轉(zhuǎn)發(fā)骨干網(wǎng)。核心層設(shè)備與所有匯聚交換機(jī)直連，轉(zhuǎn)發(fā)各個(gè)教學(xué)樓之間的流量。核心層專注于數(shù)據(jù)轉(zhuǎn)發(fā)的穩(wěn)定可靠，功能配置應(yīng)盡量簡(jiǎn)單，并且和校園網(wǎng)的具體業(yè)務(wù)無關(guān)。核心層應(yīng)使用CSS2（ClusterSwitchSystem）技術(shù)，將兩臺(tái)交換機(jī)從邏輯上整合成一臺(tái)交換機(jī)，只要保證任意一框的一個(gè)主控板運(yùn)行正常，多框業(yè)務(wù)即可穩(wěn)定運(yùn)行。無線網(wǎng)絡(luò)的組網(wǎng)采用隨板AC的方式，部署在核心交換機(jī)上，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中的AP進(jìn)行管控，實(shí)現(xiàn)有線無線深度融合接入、轉(zhuǎn)發(fā)、管理。3.匯聚層設(shè)計(jì)匯聚層是一幢教學(xué)樓的匯聚點(diǎn)，匯聚層的設(shè)備用來轉(zhuǎn)發(fā)本區(qū)域用戶到其他區(qū)域用戶的橫向流量，同時(shí)發(fā)送本區(qū)域用戶流量到核心層。匯聚層將大量用戶接入到校園網(wǎng)中，模塊化擴(kuò)展接入核心層設(shè)備的用戶數(shù)量。匯聚層采用具有高帶寬、高端口密度、高轉(zhuǎn)發(fā)性能的交換機(jī)，用于支撐該匯聚層下各業(yè)務(wù)部門之間的流量。匯聚層交換機(jī)通常使用CSS（ClusterSwitchSystem）技術(shù)，將多臺(tái)交換機(jī)從邏輯上整合成一臺(tái)交換機(jī)。然后將匯聚層的CSS系統(tǒng)和核心層的CSS系統(tǒng)之間的多條鏈路捆綁，用來傳輸數(shù)據(jù)。這樣既簡(jiǎn)化了配置和管理，又提高了網(wǎng)絡(luò)的可靠性和擴(kuò)展能力。4.接入層設(shè)計(jì)接入層是最靠近終端用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，一般部署二層交換機(jī)。接入層除了需要部署豐富的二層特性外，還需要部署安全、可靠性等相關(guān)功能。同時(shí)，接入層需要具有高密度、高速率的端口，以支持更多的終端接入校園網(wǎng)絡(luò)。滿足不同接入要求：可能包括：不同類型終端的接入、不同接口速率的接入、對(duì)網(wǎng)絡(luò)質(zhì)量的不同要求的接入、其他一些要求，如PoE供電等。適度考慮擴(kuò)展性提供安全特性簡(jiǎn)化網(wǎng)絡(luò)部署和管理有線網(wǎng)絡(luò)的接入層設(shè)備是交換機(jī)下行鏈路：一般選擇自適應(yīng)千兆電口，對(duì)外提供RJ45形式接口，可以匹配絕大多數(shù)接入設(shè)備，并預(yù)留一定數(shù)量的空余端口以便于后續(xù)增加新設(shè)備。當(dāng)一個(gè)點(diǎn)的接入設(shè)備較多時(shí)，交換機(jī)采用堆疊方式，各交換機(jī)相互協(xié)同，邏輯上形成一臺(tái)設(shè)備，可在不改變網(wǎng)絡(luò)拓?fù)涞那闆r下提供更多的接入端口。接入層交換機(jī)堆疊上行鏈路：由于匯聚層配置兩臺(tái)相同規(guī)格交換機(jī)，因此接入層上行鏈路采用鏈路聚合或者雙歸上行方式，大大增強(qiáng)了上行鏈路的可靠性。無線網(wǎng)絡(luò)的接入層設(shè)備是AP上行鏈路：AP與接入交換機(jī)上行對(duì)接，一般采用自適應(yīng)千兆電口，并且接入交換機(jī)如支持POE功能，可以直接通過網(wǎng)線為AP供電，簡(jiǎn)化布線工作。如需增強(qiáng)可靠性，可考慮鏈路聚合或者雙上行方式。5.VLAN規(guī)劃設(shè)計(jì)（1）VLAN概述VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是將一個(gè)物理的LAN在邏輯上劃分成多個(gè)廣播域的通信技術(shù)。VLAN內(nèi)的主機(jī)間可以直接通信，而VLAN間不能直接互通，從而將廣播報(bào)文限制在一個(gè)VLAN內(nèi)?；谛@網(wǎng)內(nèi)擁有比較多不同的業(yè)務(wù)類型，并且不同類型網(wǎng)絡(luò)使用者也有很大差別，因此進(jìn)行VLAN的合理規(guī)劃將可以幫助建設(shè)一個(gè)穩(wěn)定運(yùn)作的教學(xué)合一的網(wǎng)絡(luò)。（2）按功能劃分VLAN在校園網(wǎng)絡(luò)中，可以按功能將VLAN劃分為以下幾種：1）管理VLAN網(wǎng)絡(luò)中的交換機(jī)需要?jiǎng)澐止芾鞻LAN，在管理VLAN中配置IP地址，以便日常維護(hù)。管理VLAN要與用戶VLAN嚴(yán)格區(qū)分。2）業(yè)務(wù)VLAN業(yè)務(wù)VLAN指為終端接入用戶劃分的VLAN，針對(duì)校園網(wǎng)中不同區(qū)域，VLAN劃分方法不同。建議為每一接入交換機(jī)劃分一個(gè)VLAN，并設(shè)置端口隔離，實(shí)現(xiàn)配置的簡(jiǎn)化和用戶間的隔離。XX公司敏捷校園網(wǎng)采用策略聯(lián)動(dòng)的方式對(duì)接入交換機(jī)進(jìn)行管理，在校園網(wǎng)中，接入層設(shè)備數(shù)量眾多且位置分布廣，若在每個(gè)接入層設(shè)備上部署NAC認(rèn)證和用戶訪問策略，工作量巨大且策略調(diào)整不靈活。通過策略聯(lián)動(dòng)，核心S12700E作為控制設(shè)備對(duì)用戶進(jìn)行統(tǒng)一認(rèn)證和管理用戶的訪問策略，并聯(lián)動(dòng)接入交換機(jī)，使其僅執(zhí)行用戶的訪問策略，從而既實(shí)現(xiàn)了對(duì)用戶訪問網(wǎng)絡(luò)的控制，又簡(jiǎn)化了接入設(shè)備的配置和管理。VLAN可以根據(jù)多種原則組合劃分，如以下舉例：3）按照邏輯區(qū)域劃分VLAN范圍：例如：?核心網(wǎng)絡(luò)區(qū)：100～199?服務(wù)器區(qū)：200～999，預(yù)留1000～1999?接入網(wǎng)絡(luò)：2000～3499?業(yè)務(wù)網(wǎng)絡(luò)：3500～39994）按照地理區(qū)域劃分VLAN范圍例如：?接入網(wǎng)絡(luò)A的地理區(qū)域使用2000～2199?接入網(wǎng)絡(luò)B的地理區(qū)域使用2200～23995）按照人員結(jié)構(gòu)劃分VLAN范圍例如：?接入網(wǎng)絡(luò)A地理區(qū)域A部門使用2000～2009?接入網(wǎng)絡(luò)B地理區(qū)域B部門使用2010～20196）按照業(yè)務(wù)功能劃分VLAN范圍（當(dāng)采用業(yè)務(wù)隨行之后，VLAN無需與人員身份關(guān)聯(lián)，故可以不再考慮該因素）例如：?Web服務(wù)器區(qū)域：200～299?APP服務(wù)器區(qū)域：300～399?DB服務(wù)器區(qū)域：400～4996.IP地址規(guī)劃設(shè)計(jì)IP地址規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型網(wǎng)絡(luò)必須對(duì)IP地址進(jìn)行統(tǒng)一規(guī)劃。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展和管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展?？紤]到網(wǎng)絡(luò)擴(kuò)展性，在規(guī)劃園區(qū)IP地址時(shí)主要以易管理為主要目標(biāo)。原則上服務(wù)器，特殊終端設(shè)備（打卡機(jī)、打印服務(wù)器、IP視頻監(jiān)控設(shè)備等）和生產(chǎn)設(shè)備建議采用靜態(tài)IP。辦公用設(shè)備建議使用DHCP動(dòng)態(tài)獲取，如辦公用PC、IP電話等。（1）園區(qū)IP地址的的分類如下：1）管理地址：VLANIF地址作為管理IP，建議網(wǎng)關(guān)下的所有二層交換機(jī)使用同一網(wǎng)段。Loopback地址作為管理IP，Loopback地址掩碼統(tǒng)一為32位。堆疊或集群系統(tǒng)建議預(yù)留兩個(gè)管理IP以方便其靈活選擇。2）互聯(lián)地址：互聯(lián)地址是指兩臺(tái)網(wǎng)絡(luò)設(shè)備相互連接的接口所需要的地址?；ヂ?lián)地址務(wù)必使用30位掩碼的地址。核心設(shè)備使用較小的一個(gè)地址，互聯(lián)地址通常要聚合后發(fā)布，在規(guī)劃時(shí)要充分考慮使用連續(xù)的可聚合地址。3）業(yè)務(wù)地址：業(yè)務(wù)地址是連接在以太網(wǎng)上的各種服務(wù)器、主機(jī)所使用的地址以及網(wǎng)關(guān)的地址，業(yè)務(wù)地址規(guī)劃時(shí)所有的網(wǎng)關(guān)地址統(tǒng)一使用相同的末位數(shù)字，如：.254都是表示網(wǎng)關(guān)。每一類子業(yè)務(wù)的地址范圍要清晰區(qū)分，每一類子業(yè)務(wù)的服務(wù)器和客戶端的地址范圍也要清晰區(qū)分。每一類業(yè)務(wù)終端地址連續(xù)，可聚合?？紤]廣播域范圍及規(guī)劃的簡(jiǎn)易程度，建議為每個(gè)業(yè)務(wù)地址段預(yù)留掩碼為24位的地址段，如果業(yè)務(wù)終端超出200，再為其順延一個(gè)掩碼為24位的地址段。4）園區(qū)網(wǎng)內(nèi)部的IP地址：匯聚交換機(jī)下接入的網(wǎng)段可能有很多，在規(guī)劃的時(shí)候需要考慮路由是可以聚合的，這樣可以減少核心網(wǎng)絡(luò)的路由數(shù)目。5）業(yè)務(wù)隨行的IP地址：業(yè)務(wù)隨行方案中安全組的規(guī)劃非常重要。IP地址規(guī)劃對(duì)于靜態(tài)資源類安全組的配置也存在重要的影響。相同用途接口、主機(jī)或服務(wù)器的IP地址規(guī)劃至同一網(wǎng)段中，可以大幅簡(jiǎn)化安全組的配置。例如，所有網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備接口的互聯(lián)IP地址雖然通過子網(wǎng)掩碼分隔成多了網(wǎng)段（/30、/30等），但是如果在IP地址規(guī)劃時(shí)為設(shè)備接口IP地址預(yù)留了一個(gè)統(tǒng)一的網(wǎng)段（/16），在配置代表網(wǎng)絡(luò)接口的安全組時(shí)就非常方便。（2）網(wǎng)關(guān)位置選擇：網(wǎng)關(guān)作為園區(qū)網(wǎng)絡(luò)二層交換、三層路由的分界點(diǎn)，其部署位置可以根據(jù)網(wǎng)絡(luò)規(guī)模和業(yè)務(wù)需要而靈活設(shè)置。1）網(wǎng)關(guān)選擇在匯聚層：對(duì)于經(jīng)典的三層結(jié)構(gòu)，通用的作法是將網(wǎng)關(guān)設(shè)置在匯聚層。這樣二層廣播范圍適中，接入的終端數(shù)量及對(duì)網(wǎng)關(guān)設(shè)備的ARP/MAC等表項(xiàng)要求也比較合適。2）網(wǎng)關(guān)選擇在核心層：對(duì)于有些場(chǎng)景中希望對(duì)園區(qū)內(nèi)的訪問行為集中管控，或存在大范圍跨設(shè)備的VLAN部署（例如無線漫游、虛機(jī)遷移、VoiceVLAN、基于用戶身份的VLAN分配等業(yè)務(wù)），會(huì)將網(wǎng)關(guān)直接部署在核心層。這種場(chǎng)景所有的終端均以核心層設(shè)備作為網(wǎng)關(guān)，對(duì)核心層設(shè)備的ARP、MAC、用戶數(shù)等規(guī)格要求較高；同時(shí)網(wǎng)關(guān)設(shè)在核心層，廣播域較大，需要采取其他手段來減小廣播域，例如端口隔離或?yàn)槊總€(gè)端口劃分一個(gè)VLAN等方式，如果VLAN規(guī)格與終端數(shù)量有差距，也可能需要部署QinQVLAN。7.IP路由設(shè)計(jì)路由設(shè)計(jì)力求結(jié)構(gòu)簡(jiǎn)單、涉及的協(xié)議單一，部署盡量少的策略。（1）園區(qū)內(nèi)部路由協(xié)議選擇：建議采用匯聚交換機(jī)作為路由和交換的分界點(diǎn)，這樣只需要在匯聚交換機(jī)和核心交換機(jī)上配置路由，大量的接入交換機(jī)只做二層交換，配置簡(jiǎn)單，減少配置維護(hù)工作量。園區(qū)網(wǎng)內(nèi)選擇IGP，IGP可以動(dòng)態(tài)感知網(wǎng)絡(luò)拓?fù)渥兓⒓皶r(shí)收斂，而且現(xiàn)在的網(wǎng)絡(luò)設(shè)備性能足夠滿足IGP運(yùn)行。所以建議選擇動(dòng)態(tài)路由協(xié)議。多種IGP中，優(yōu)先選擇OSPF，由于OSPF的多種特性更適合園區(qū)特性，對(duì)大型、小型網(wǎng)絡(luò)均能適應(yīng)，大多數(shù)管理員也非常熟悉OSPF，所以推薦在園區(qū)內(nèi)部部署OSPF。除了網(wǎng)絡(luò)合并的場(chǎng)景，園區(qū)網(wǎng)中部署多種路由協(xié)議大多是為了在路由域邊界處靈活設(shè)置Cost值來進(jìn)行路徑選擇。建議園區(qū)內(nèi)部署OSPF一種IGP即可。（2）OSPF設(shè)計(jì)：以當(dāng)前設(shè)備性能及現(xiàn)有成熟案例評(píng)估，OSPF可容納1000臺(tái)路由器，單區(qū)域至少可容納100臺(tái)設(shè)備。這些規(guī)格已經(jīng)滿足當(dāng)前大部分園區(qū)網(wǎng)的要求。以網(wǎng)關(guān)部署在匯聚層的場(chǎng)景為例，將核心層和出口區(qū)之間的骨干區(qū)域部署在Area0中，出口路由器作為ASBR和ABR，核心交換機(jī)為ABR。每個(gè)匯聚交換機(jī)和核心交換機(jī)組網(wǎng)部署為不同的OSPF區(qū)域，分別是Area1、Area2、AreaN。校園網(wǎng)OSPF路由設(shè)計(jì)（3）BGP設(shè)計(jì)校園網(wǎng)出口設(shè)備與教育城域網(wǎng)之間運(yùn)行BGP，僅引入默認(rèn)路由即可。校園網(wǎng)BGP路由設(shè)計(jì)1）AS編號(hào)的規(guī)劃：由于教育城域網(wǎng)中都是專有私網(wǎng)，所以BGP使用私有的AS編號(hào)。2）兩臺(tái)出口路由器之間運(yùn)行BGP協(xié)議，以Loopback接口地址建立IBGP鄰居。保證只要有外網(wǎng)路徑可達(dá)，無論企業(yè)內(nèi)部設(shè)備流量上送到哪臺(tái)出口設(shè)備，都可以正常尋址。3）普教園區(qū)網(wǎng)內(nèi)僅運(yùn)行IGP協(xié)議（通常使用OSPF），不運(yùn)行BGP協(xié)議；由于OSPF的路由表較BGP路由表小很多，兩臺(tái)出口路由器僅通告缺省路由給內(nèi)部網(wǎng)絡(luò)（通過IGP通告），不將BGP路由對(duì)園區(qū)內(nèi)網(wǎng)設(shè)備進(jìn)行通告。8.QoS規(guī)劃設(shè)計(jì)在校園網(wǎng)絡(luò)中，由于業(yè)務(wù)類型較多，不同類型業(yè)務(wù)對(duì)網(wǎng)絡(luò)質(zhì)量要求不同。某些關(guān)鍵業(yè)務(wù)，例如多媒體互動(dòng)教學(xué)業(yè)務(wù)，既需要保證流量帶寬要求，也需要保證傳輸時(shí)延要求。在多業(yè)務(wù)共存的校園網(wǎng)絡(luò)中需要采用QoS技術(shù)對(duì)關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)質(zhì)量進(jìn)行差異化保障。針對(duì)帶寬、時(shí)延、抖動(dòng)、丟包率等要求，QoS可以通過優(yōu)先級(jí)映射、流量監(jiān)管、流量整形、隊(duì)列調(diào)度、擁塞避免等技術(shù)提升網(wǎng)絡(luò)服務(wù)質(zhì)量，滿足用戶在有限的資源限制情況下，獲得多業(yè)務(wù)部署的最佳體驗(yàn)。QoS采用Diff-Serv模型，其核心思想是為不同類型的流量提供有差別的服務(wù)，主要分為接入層業(yè)務(wù)識(shí)別、核心層DiffServ部署二個(gè)方面。QoS規(guī)劃設(shè)計(jì)接入層業(yè)務(wù)識(shí)別：接入交換機(jī)作為邊界交換機(jī)，在UNI（UserNetworkInterface）側(cè)需要擔(dān)負(fù)數(shù)據(jù)流的識(shí)別、分類以及流標(biāo)記的工作，而在NNI（NetworkNodeInterface）側(cè)需要擔(dān)負(fù)不同應(yīng)用數(shù)據(jù)流的擁塞管理、擁塞避免、流量整形等工作。在實(shí)際部署的時(shí)候，接入交換機(jī)上不同的端口接入了不同的終端，在接入交換機(jī)上可以給這些不同的業(yè)務(wù)分配不同的優(yōu)先級(jí)，之后，在網(wǎng)絡(luò)中按設(shè)定的優(yōu)先級(jí)進(jìn)行調(diào)度。核心層Diffserv調(diào)度：核心層設(shè)備端口信任DSCP（或者802.1P），基于接入層標(biāo)識(shí)的QoS參數(shù)，通過隊(duì)列調(diào)度、流量整形、擁塞避免等方式實(shí)施QoS策略，保證高優(yōu)先級(jí)業(yè)務(wù)優(yōu)先獲得調(diào)度。9.有線無線融合設(shè)計(jì)（1）傳統(tǒng)的園區(qū)網(wǎng)絡(luò)方案中，有線、無線網(wǎng)絡(luò)都是分開規(guī)劃、部署和管理的，造成了煙囪式的割裂系統(tǒng)。這種組網(wǎng)方式存在如下問題：1）AC設(shè)備不管是獨(dú)立AC還是AC插卡，都需要另行采購硬件設(shè)備2）無線流量存在迂回，無線帶寬受到限制3）有線用戶和無線用戶策略控制點(diǎn)不一致，管理平面相互獨(dú)立XX公司推出的ENP交換機(jī)自帶隨板AC功能，具有WLAN業(yè)務(wù)處理功能，也就是說部署一臺(tái)ENP交換機(jī)即可同時(shí)具備AC功能，實(shí)現(xiàn)有線無線一體化部署和管理。ENP芯片支持商用ASIC的基本有線網(wǎng)絡(luò)報(bào)文識(shí)別、處理和轉(zhuǎn)發(fā)能力，以及多核CPU的可編程能力，兩者功能的結(jié)合完美的解決了有線無線設(shè)備融合的訴求，不僅可以處理傳統(tǒng)的有線報(bào)文，而且通過編程可以實(shí)現(xiàn)對(duì)CAPWAP的識(shí)別和處理能力，而且一塊ENP的單引擎硬件架構(gòu)簡(jiǎn)單，成本低廉。（2）有線無線融合技術(shù)使用框式設(shè)備的一塊板卡，實(shí)現(xiàn)了對(duì)有線和無線設(shè)備、用戶的融合管理，相較于傳統(tǒng)的交換機(jī)加獨(dú)立AC或交換機(jī)加框式AC插卡，具有如下優(yōu)勢(shì)：1）節(jié)省投資資本2）提升轉(zhuǎn)發(fā)容量3）融合管理界面4）用戶策略和管理統(tǒng)一5）高可靠性6）擴(kuò)容靈活單個(gè)普教園區(qū)的AP數(shù)量一般不超過500個(gè)，因此有線無線融合設(shè)計(jì)中建議采用二層網(wǎng)絡(luò)部署，簡(jiǎn)化組網(wǎng)，便于運(yùn)維和管理。有線無線融合方案有線無線融合管理點(diǎn)部署：在核心層部署攜帶ENP板卡的框式交換機(jī)，作為有線無線融合管理點(diǎn)，有線無線業(yè)務(wù)直接接入ENP板卡。用戶DHCPServer部署：由于單個(gè)普教園區(qū)用戶較少，以核心層設(shè)備作為DHCPServer，部署簡(jiǎn)單。可靠性部署：核心層設(shè)備使用集群以提高設(shè)備間備份。用戶管理部署：?無線用戶使用802.1x認(rèn)證，認(rèn)證點(diǎn)部署在核心層融合管理點(diǎn)上。?有線用戶如果對(duì)接入安全要求較高則部署802.1x認(rèn)證，如果要求不高建議使用Portal認(rèn)證，認(rèn)證點(diǎn)也部署在核心層融合管理點(diǎn)上。轉(zhuǎn)發(fā)模型部署：?無線流量隧道方式集中轉(zhuǎn)發(fā)，便于對(duì)無線流量的集中控制。?有線流量本地轉(zhuǎn)發(fā)，部署方便快捷。10.無線網(wǎng)絡(luò)可靠性設(shè)計(jì)為了提高普教城域網(wǎng)中各學(xué)校無線網(wǎng)絡(luò)的整體可靠性，設(shè)計(jì)采用無線控制器N+1備份方案，實(shí)現(xiàn)可靠性提升和建設(shè)成本的優(yōu)化。具體部署方式為，在每個(gè)學(xué)校的校園網(wǎng)中部署一臺(tái)主用無線控制器（隨板AC），在教育城域網(wǎng)上部署一臺(tái)無線控制器設(shè)備（WAC-backup），與各學(xué)校無線控制器形成N+1備份機(jī)制。當(dāng)某個(gè)中小學(xué)校的無線控制器故障后，由遠(yuǎn)端的教育城域網(wǎng)上的備用無線控制器接管該學(xué)校的AP，保證師生仍能正常訪問網(wǎng)絡(luò)業(yè)務(wù)不影響正常的教學(xué)工作。在主備AC之間開啟雙鏈路備份功能后，AP上線時(shí)分別與主用AC和備用AC都建立CAPWAP鏈路。在雙鏈路備份狀態(tài)下的AP在主用AC上顯示為nomal狀態(tài)，在備用AC上顯示為standby狀態(tài)。當(dāng)主備AC都正常工作時(shí)，AP只在主用AC上工作，所有配置在主用AC上下發(fā)，備用AC上不下發(fā)任何配置。當(dāng)由于故障、網(wǎng)絡(luò)等問題發(fā)生導(dǎo)致主用AC不可用時(shí)，通過雙鏈路備份機(jī)制，AP通過echo探測(cè)檢測(cè)到與主用AC鏈路中斷，此時(shí)AP與備用AC的CAPWAPecho報(bào)文中攜帶主鏈路標(biāo)記，使備用AC上AP狀態(tài)由standby狀態(tài)切換為nomal狀態(tài)，備用AC即給AP下發(fā)配置，減少業(yè)務(wù)所受影響。當(dāng)主用AC恢復(fù)正常后，AP檢查到與主用AC鏈路恢復(fù)，在回切開關(guān)開啟的情況下，會(huì)在較短的內(nèi)由備用AC切換到主用AC上，業(yè)務(wù)不受影響，回切開關(guān)關(guān)閉，則AP不切回主用AC，主用AC上顯示為standby狀態(tài)，在備用AC上顯示normal狀態(tài)。AC備份方案三、網(wǎng)絡(luò)管理設(shè)計(jì)在普教園區(qū)的網(wǎng)絡(luò)管理中，XX公司建議當(dāng)前以iMaster-NCE提供網(wǎng)絡(luò)管理各項(xiàng)功能。以iMaster-NCE作為普教園區(qū)的控制器，提供網(wǎng)絡(luò)業(yè)務(wù)管理、網(wǎng)絡(luò)安全管理、用戶準(zhǔn)入管理、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)質(zhì)量分析、網(wǎng)絡(luò)應(yīng)用分析、告警和報(bào)表等特性，提供大數(shù)據(jù)分析等能力，同時(shí)提供開放的接口、支持與其他平臺(tái)集成。校園網(wǎng)管理員可以通過iMaster-NCE獨(dú)立開展業(yè)務(wù)開通配置、日常運(yùn)維等工作，實(shí)現(xiàn)規(guī)模設(shè)備的云化管理。主要實(shí)現(xiàn)如下功能：1.網(wǎng)絡(luò)設(shè)備即插即用：當(dāng)控制器和待安裝設(shè)備（如交換機(jī)，AP等）之間網(wǎng)絡(luò)可達(dá)時(shí)，提前在控制器上錄入設(shè)備的licens、ESN等信息，并完成預(yù)配置，當(dāng)網(wǎng)絡(luò)設(shè)備上電后設(shè)備會(huì)自動(dòng)向控制器發(fā)起注冊(cè)。雙方通過證書完成校驗(yàn)后，控制器實(shí)現(xiàn)對(duì)設(shè)備的納管并將業(yè)務(wù)數(shù)據(jù)主動(dòng)下發(fā)到設(shè)備，使設(shè)備能正常使用。2.網(wǎng)絡(luò)業(yè)務(wù)監(jiān)控：通過控制器界面實(shí)現(xiàn)對(duì)學(xué)校無線網(wǎng)絡(luò)、防火墻、交換機(jī)、出口路由器等設(shè)備的設(shè)備情況，流量趨勢(shì)實(shí)現(xiàn)監(jiān)控；對(duì)防火墻的運(yùn)行，?對(duì)于無線網(wǎng)絡(luò)，實(shí)現(xiàn)TOP流量設(shè)備/SSID/終端等維度的監(jiān)控；支持對(duì)無線網(wǎng)絡(luò)的設(shè)備列表，單設(shè)備資源占用情況（CPU、內(nèi)存），故障告警列表監(jiān)控?對(duì)于防火墻，支持站點(diǎn)，單設(shè)備的設(shè)備信息，應(yīng)用流量和應(yīng)用分類Top流量的監(jiān)控?對(duì)于出口防火墻（AR），支持站點(diǎn)，單設(shè)備的設(shè)備信息，應(yīng)用流量和應(yīng)用分類Top流量的監(jiān)控?對(duì)于交換機(jī)，支持站點(diǎn)，單設(shè)備的設(shè)備信息，應(yīng)用流量和應(yīng)用分類Top流量的監(jiān)控3.支持網(wǎng)絡(luò)業(yè)務(wù)維護(hù)?支持AP，交換機(jī)等設(shè)備的批量升級(jí)?支持設(shè)備的證書管理，包括篩選、查看、導(dǎo)出以及向設(shè)備提交新證書等4.提供移動(dòng)運(yùn)維APP，支持移動(dòng)端開局使用的功能，包括掃碼錄入設(shè)備、快速部署、掃碼部署、管理SSID部署、掃碼替換、現(xiàn)場(chǎng)驗(yàn)收等。5.提供日志管理功能，查看管理員登錄安全日志、操作日志及系統(tǒng)運(yùn)行日志。并支持與第三方日志服務(wù)器通過syslog進(jìn)行對(duì)接，向其發(fā)送日志信息。對(duì)于網(wǎng)絡(luò)中存在框式設(shè)備或者不支持被控制器納管的設(shè)備，可以采用iMaster-NCE進(jìn)行監(jiān)控和管理，作為控制器的補(bǔ)充部分，實(shí)現(xiàn)通過SNMP方式的設(shè)備監(jiān)控。iMaster-NCE提供如下功能：1.報(bào)表管理：iMaster-NCE支持周期執(zhí)行報(bào)表任務(wù)、即時(shí)查看編輯報(bào)表；生成的報(bào)表支持導(dǎo)出為PDF、Excel、Word等常見文件格式。iMaster-NCEt預(yù)集成了豐富的報(bào)表模板，可以滿足常見的網(wǎng)絡(luò)運(yùn)維報(bào)表需求。提供從多個(gè)維度對(duì)報(bào)表數(shù)據(jù)進(jìn)行分析的能力，用戶可以通過拖拽快速、靈活地對(duì)數(shù)據(jù)進(jìn)行大數(shù)據(jù)量的復(fù)雜查詢處理，并且以一種直觀而易懂的形式展現(xiàn)。?OLAP報(bào)表支持定制和查看OLAP報(bào)表，用戶可以根據(jù)需要通過調(diào)整報(bào)表的行列位置、設(shè)置條件格式、篩選字段、調(diào)整圖表展現(xiàn)等方式更直觀的查看和分析報(bào)表數(shù)據(jù)，生成的報(bào)表支持導(dǎo)出為PDF或Excel或Word格式。?周期任務(wù)管理器用戶可以通過設(shè)定運(yùn)行周期創(chuàng)建周期報(bào)表。在“周期報(bào)表”界面用戶可以查看所有的周期報(bào)表以及狀態(tài)，同時(shí)可以進(jìn)行周期任務(wù)的執(zhí)行、編輯或刪除等操作。在“歷史報(bào)表”界面，用戶可以查看周期任務(wù)下的歷史報(bào)表和生成狀態(tài)，同時(shí)可以進(jìn)行周期報(bào)表的下載、中斷或刪除等操作。2.角色管理（分權(quán)分域）：通過設(shè)置角色的“管理對(duì)象”和“操作”屬性，iMaster-NCE支持分權(quán)分域管理，即只允許用戶將權(quán)限范圍內(nèi)的操作下發(fā)到網(wǎng)元。只有Administrators角色下的用戶或者擁有“用戶管理”權(quán)限的用戶具備為其他用戶分權(quán)分域的操作權(quán)限。?分域是指將網(wǎng)絡(luò)中的管理對(duì)象分配給不同的角色，使每個(gè)角色擁有的管理對(duì)象范圍不盡相同。通過分域，可以實(shí)現(xiàn)不同運(yùn)維部門的人員管理不同范圍內(nèi)的網(wǎng)絡(luò)對(duì)象。?分權(quán)是指將對(duì)管理對(duì)象的操作分配給不同的角色，使每個(gè)角色擁有的操作權(quán)限不盡相同。通過分域基礎(chǔ)上的分權(quán)，可以實(shí)現(xiàn)同一區(qū)域不同職責(zé)（崗位/運(yùn)維部門）的管理人員，對(duì)區(qū)域內(nèi)管理對(duì)象可執(zhí)行的操作權(quán)限不同。iMaster-NCE的分權(quán)分域管理實(shí)現(xiàn)了網(wǎng)絡(luò)設(shè)備和功能的統(tǒng)一管理，基于設(shè)備為單位實(shí)現(xiàn)分域管理，基于設(shè)備上的功能進(jìn)行分配權(quán)限。（一）Underlay網(wǎng)絡(luò)運(yùn)維1.概述隨著網(wǎng)絡(luò)規(guī)模的不斷增長(zhǎng)、網(wǎng)絡(luò)應(yīng)用的不斷推廣、業(yè)務(wù)越來越多樣化，大量路由器、交換機(jī)、WLAN等被廣泛的應(yīng)用于網(wǎng)絡(luò)，教育局信息中心及學(xué)校IT維護(hù)人員面對(duì)網(wǎng)絡(luò)管理和運(yùn)維中遇到的問題和挑戰(zhàn)，需要一套高效、統(tǒng)一的網(wǎng)管進(jìn)行支撐，遵循ITIL規(guī)范，提供融合、開放的運(yùn)維平臺(tái)，實(shí)現(xiàn)對(duì)有線無線網(wǎng)絡(luò)以及用戶的統(tǒng)一管理。廠商網(wǎng)絡(luò)管理系統(tǒng)NMS需要提供整體運(yùn)維管理解決方案。可實(shí)現(xiàn)服務(wù)器、存儲(chǔ)、交換機(jī)、路由器、WLAN、防火墻、基站、核心網(wǎng)、統(tǒng)一通信、智真、視頻監(jiān)控等設(shè)備和虛擬化資源、應(yīng)用系統(tǒng)的統(tǒng)一管理，為校園網(wǎng)絡(luò)ICT系統(tǒng)提供自動(dòng)化部署，可視化故障診斷、智能容量分析等功能，能有效幫助校園網(wǎng)絡(luò)提高運(yùn)維效率、降低運(yùn)維成本，保障ICT系統(tǒng)穩(wěn)定運(yùn)行。管理方案設(shè)計(jì)全網(wǎng)有線、無線網(wǎng)絡(luò)統(tǒng)一、可視化管理，包括統(tǒng)一拓?fù)?、統(tǒng)一告警、性能、統(tǒng)一報(bào)表等基本功能，滿足網(wǎng)絡(luò)的基本運(yùn)維需求?？煞謾?quán)分域，基于每個(gè)學(xué)校給予管理權(quán)限控制，確保網(wǎng)絡(luò)的管理分工與安全。分級(jí)網(wǎng)絡(luò)管理，實(shí)現(xiàn)運(yùn)維安全和大規(guī)模網(wǎng)絡(luò)管理的能力?？梢詫?shí)現(xiàn)跨地區(qū)上下分層式管理，基于分層管理訴求，聚焦分層網(wǎng)絡(luò)運(yùn)維職能，上下分級(jí)各司其職，實(shí)現(xiàn)統(tǒng)一的拓?fù)涔芾?、統(tǒng)一的資源管理、分層式的告警管理、全網(wǎng)匯聚Portal、統(tǒng)一的用戶認(rèn)證管理。零配置部署管理，支持拓?fù)溟_局和設(shè)備標(biāo)識(shí)開局，從網(wǎng)絡(luò)規(guī)劃、離線配置文件制作、設(shè)備布線上電、網(wǎng)絡(luò)規(guī)劃調(diào)整、開局以及故障設(shè)備替換等，提供了端到端設(shè)備運(yùn)維能力，提高了運(yùn)維人員效率。WLAN全生命周期的管理，可視規(guī)劃、三步開通業(yè)務(wù)、360°監(jiān)控到基于搜索的一鍵式故障診斷的WLAN全生命周期管理，幫助用戶高效部署和管理無線網(wǎng)絡(luò)。移動(dòng)化運(yùn)維管理，用戶可以在移動(dòng)終端上進(jìn)行無線網(wǎng)絡(luò)管理，包括360監(jiān)控、故障診斷等功能。用戶可以通過NMSMobile實(shí)現(xiàn)隨時(shí)隨地、掌控網(wǎng)絡(luò)。網(wǎng)絡(luò)管理系統(tǒng)基于組件化的設(shè)計(jì)，功能組件可以按照需求選擇，可以滿足網(wǎng)絡(luò)的擴(kuò)容和升級(jí)帶來的新的管理需求，保護(hù)現(xiàn)網(wǎng)投資。2.需求分析網(wǎng)絡(luò)管理系統(tǒng)的需求如下：廠商網(wǎng)絡(luò)管理系統(tǒng)NMS需要提供整體運(yùn)維管理解決方案。可實(shí)現(xiàn)服務(wù)器、存儲(chǔ)、交換機(jī)、路由器、WLAN、防火墻、基站、核心網(wǎng)、統(tǒng)一通信、智真、視頻監(jiān)控等設(shè)備和虛擬化資源、應(yīng)用系統(tǒng)的統(tǒng)一管理，為校園網(wǎng)絡(luò)ICT系統(tǒng)提供自動(dòng)化部署，可視化故障診斷、智能容量分析等功能，能有效幫助校園網(wǎng)絡(luò)提高運(yùn)維效率、降低運(yùn)維成本，保障ICT系統(tǒng)穩(wěn)定運(yùn)行?？梢詾椴煌墓芾韱T設(shè)置不同的用戶名、密碼，并限制管理員的管理權(quán)限和管理范圍，實(shí)現(xiàn)分域、分權(quán)管理?？梢蕴峁┙粨Q機(jī)零配置部署，零配置部署是在校園網(wǎng)絡(luò)現(xiàn)網(wǎng)部署交換機(jī)設(shè)備，當(dāng)設(shè)備規(guī)劃完成后，無需網(wǎng)絡(luò)管理員到安裝現(xiàn)場(chǎng)對(duì)設(shè)備進(jìn)行軟件調(diào)試，在設(shè)備滿足空配置的條件下，設(shè)備上電后即可自動(dòng)連接到指定的管理設(shè)備，加載指定的配置文件、設(shè)備軟件大包、補(bǔ)丁文件等系統(tǒng)文件，實(shí)現(xiàn)設(shè)備的開局?？梢蕴峁┰O(shè)備配置備份、還原、對(duì)比能力?？梢蕴峁┩?fù)洹⒏婢⑿阅鼙O(jiān)控、設(shè)備軟件升級(jí)等基本運(yùn)維能力。對(duì)于網(wǎng)絡(luò)中的AC、FATAP、FITAP、移動(dòng)終端等無線設(shè)備進(jìn)行集中管理，同時(shí)可獲取無線相關(guān)信息和配置。可通過物理位置、設(shè)備類型等多種視圖，將規(guī)模巨大的無線接入設(shè)備進(jìn)行有效分組，也可通過網(wǎng)絡(luò)使用質(zhì)量進(jìn)行分組匯聚，如低速用戶、高丟包率AP、高掉線率AP等。支持有線設(shè)備與無線設(shè)備的一體化拓?fù)涔芾?。用戶可按照多種管理層次，創(chuàng)建將有線設(shè)備和無線業(yè)務(wù)融合在一起的多層次拓?fù)鋱D，并支持建筑平面圖形的導(dǎo)入。系統(tǒng)支持AC、AP、Station、空口流量等統(tǒng)計(jì)，并可提供多種圖形、表格、報(bào)表展示。系統(tǒng)支持多種無線特有告警，包括隧道告警、工作模式告警、操作狀態(tài)告警、信息告警、配置告警、Station狀態(tài)告警、非法設(shè)備及入侵檢測(cè)告警。能查看其下掛的FITAP設(shè)備基本信息和詳細(xì)列表，對(duì)AC設(shè)備MAC模式、國(guó)家代碼等無線業(yè)務(wù)參數(shù)進(jìn)行配置，提供Radio策略、服務(wù)策略、故障管理、性能監(jiān)控等管理功能。能夠查看AP下掛的移動(dòng)終端信息，對(duì)FATAP設(shè)備的國(guó)家代碼、在線移動(dòng)終端信息、終端時(shí)間間隔等無線業(yè)務(wù)參數(shù)進(jìn)行配置，提供Radio策略、服務(wù)策略、故障管理、性能監(jiān)控等管理功能。能夠查看AP下掛的移動(dòng)終端信息，對(duì)FITAP在線狀態(tài)、AP使用模板、所在AC設(shè)備、MAC模式等無線業(yè)務(wù)參數(shù)進(jìn)行配置，提供Radio策略、服務(wù)策略、BSS信息瀏覽、故障管理、性能監(jiān)控等管理功能。系統(tǒng)支持批量進(jìn)行AC軟件版本顯示、AC設(shè)備軟件版本升級(jí)恢復(fù)、AC設(shè)備配置文件備份恢復(fù)等操作。支持對(duì)移動(dòng)終端的信息進(jìn)行查看，包括MAC地址、信號(hào)強(qiáng)度、發(fā)射速率集、RSSI、SSID、使用信道、所在AP設(shè)備等、所在Radio等等。同時(shí)可以查看終端的漫游軌跡及時(shí)間。支持統(tǒng)一的Radio策略配置、服務(wù)策略配置以及配置批量下發(fā)等等。系統(tǒng)支持自定義各信號(hào)范圍使用顏色，設(shè)置信號(hào)衰減范圍內(nèi)的顏色，在位置拓?fù)渲酗@示FITAP的RF覆蓋范圍。支持通過模板的方式對(duì)設(shè)備進(jìn)行批量管理，使用戶快速完成網(wǎng)絡(luò)配置，用戶可以將某個(gè)策略文件快速下發(fā)到其它設(shè)備。能查看各移動(dòng)終端的全部漫游記錄，使管理員隨時(shí)了解最終接入用戶的情況，并對(duì)其接入軌跡進(jìn)行審計(jì)。能夠?qū)崟r(shí)檢測(cè)和顯示非法AP等無線設(shè)備，了解其設(shè)備信息和位置，并可以設(shè)置相關(guān)的防范策略。具備無線入侵檢測(cè)管理功能具備。配置庫提供全網(wǎng)設(shè)備的配置文件管理，可以提供即時(shí)和周期的配置文件備份，支持對(duì)已備份的配置文件進(jìn)行基線化、恢復(fù)和比較功能。支持網(wǎng)絡(luò)運(yùn)行設(shè)備的配置變化檢查，一旦配置發(fā)生變化，立刻以告警方式通知管理員關(guān)注提供運(yùn)維APP。提供一鍵式網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)，直觀地顯示當(dāng)前網(wǎng)絡(luò)狀態(tài)的健康度。支持一鍵式自動(dòng)化運(yùn)維，當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，可直接導(dǎo)出運(yùn)維問題結(jié)論，并作出基本參數(shù)的調(diào)整對(duì)無線網(wǎng)絡(luò)進(jìn)行優(yōu)化。3.部署方案NMS的部署方式一般有兩種，集中和分級(jí)?？筛鶕?jù)項(xiàng)目建設(shè)進(jìn)度選擇方案，在AP數(shù)量不超過10000臺(tái)時(shí)，可以集中單臺(tái)部署NMS，當(dāng)AP數(shù)量超過10000臺(tái)時(shí)，集中式的管理模式，已經(jīng)超出了單系統(tǒng)（單系統(tǒng)最大10000臺(tái)）的承載管理能力，因此使用分級(jí)部署方式更為適合，本次校園網(wǎng)絡(luò)也采用分級(jí)式部署方案。具體方案為，對(duì)各個(gè)教學(xué)辦公和宿舍的AP管理進(jìn)行劃分，保障一期1萬余個(gè)AP被至少2個(gè)下級(jí)網(wǎng)管管理，下級(jí)網(wǎng)管負(fù)責(zé)管理設(shè)備，如零配置開局、配置下發(fā)、監(jiān)控、配置備份等，同時(shí)，上級(jí)網(wǎng)管負(fù)責(zé)匯總查看多個(gè)下級(jí)網(wǎng)管的數(shù)據(jù)，并可以進(jìn)行管理員權(quán)限分配，但上級(jí)網(wǎng)管不具體負(fù)責(zé)設(shè)備的管理。NMS分級(jí)網(wǎng)管方案，實(shí)現(xiàn)上級(jí)網(wǎng)管對(duì)下級(jí)網(wǎng)管的統(tǒng)一監(jiān)控和一體化運(yùn)維。上級(jí)網(wǎng)管添加下級(jí)網(wǎng)管后，系統(tǒng)自動(dòng)將下級(jí)網(wǎng)管資源同步到上級(jí)網(wǎng)管，上級(jí)網(wǎng)管本身具備了拓?fù)?、資源、告警等特性能力，從而能夠?qū)ο录?jí)網(wǎng)管資源數(shù)據(jù)進(jìn)行匯聚呈現(xiàn)。在上級(jí)網(wǎng)管操作界面能直接跳轉(zhuǎn)到下級(jí)網(wǎng)管，針對(duì)具體的資源對(duì)象，跳轉(zhuǎn)到下級(jí)網(wǎng)管進(jìn)行細(xì)致化操作。統(tǒng)一的拓?fù)涔芾碓贜MS上級(jí)網(wǎng)管拓?fù)涔芾硪晥D界面，能夠直觀的監(jiān)控到所添加的下級(jí)網(wǎng)管的資源狀態(tài)。在下級(jí)網(wǎng)管的子網(wǎng)視圖中，選中某個(gè)設(shè)備執(zhí)行右鍵菜單功能，可直接跳轉(zhuǎn)到下級(jí)網(wǎng)管，查看設(shè)備的詳細(xì)信息。統(tǒng)一的資源管理NMS上級(jí)網(wǎng)管會(huì)自動(dòng)同步所添加下級(jí)網(wǎng)管的資源數(shù)據(jù)，并統(tǒng)一展現(xiàn)在資源管理界面，系統(tǒng)自動(dòng)同步下級(jí)網(wǎng)管數(shù)據(jù)，當(dāng)下級(jí)網(wǎng)管資源有狀態(tài)變更時(shí)，都能及時(shí)反應(yīng)到上級(jí)網(wǎng)管上，實(shí)現(xiàn)了對(duì)下級(jí)網(wǎng)管的統(tǒng)一監(jiān)控。統(tǒng)一的告警管理上級(jí)網(wǎng)管關(guān)注關(guān)鍵告警，支持用戶定制告警呈現(xiàn)，在上級(jí)網(wǎng)管直接對(duì)告警進(jìn)行管清除和確認(rèn)。全網(wǎng)portal匯聚匯聚全網(wǎng)關(guān)鍵指標(biāo)，統(tǒng)一監(jiān)控。統(tǒng)一的用戶認(rèn)證管理上級(jí)網(wǎng)管支持用戶、角色維護(hù)，自動(dòng)同步下級(jí)網(wǎng)管的角色信息，不同下級(jí)網(wǎng)管角色重復(fù)會(huì)自動(dòng)合并處理，上級(jí)網(wǎng)管的安全授權(quán)和下級(jí)網(wǎng)管保持一致。4.可靠性方案單機(jī)版本可靠性方案 NMS有單獨(dú)的維護(hù)工具，能夠提供備份策略定制、手工備份和手工恢復(fù)的功能，備份內(nèi)容包括系統(tǒng)運(yùn)行時(shí)的配置文件和數(shù)據(jù)庫數(shù)據(jù)通過維護(hù)工具的備份策略設(shè)置，提供定時(shí)備份功能。通過手工恢復(fù)，將網(wǎng)管恢復(fù)到備份前的狀態(tài)，保證使用網(wǎng)管的安全可靠性。雙機(jī)版本可靠性方案 NMS高可用系統(tǒng)可提供雙機(jī)熱備和倒換的全新功能。主、備站點(diǎn)服務(wù)器的軟硬件配置要求完全一致，通過Veritas遠(yuǎn)程熱備份技術(shù)，實(shí)現(xiàn)主、備站點(diǎn)數(shù)據(jù)實(shí)時(shí)同步，并動(dòng)態(tài)監(jiān)視NMS的運(yùn)行狀態(tài)。當(dāng)主服務(wù)器發(fā)生硬件故障、操作系統(tǒng)故障、網(wǎng)管關(guān)鍵應(yīng)用故障或心跳線路故障時(shí)，系統(tǒng)會(huì)自動(dòng)倒換到備份服務(wù)器。5.日常運(yùn)維管理分工考慮到園區(qū)網(wǎng)絡(luò)規(guī)模和管理人員結(jié)構(gòu)，可設(shè)置多個(gè)管理員分別管理不同區(qū)域，或者有不同的功能管理權(quán)限（如部分管理員不能管理無線設(shè)備之類），做鑒權(quán)控制。網(wǎng)管系統(tǒng)的賬戶鑒權(quán)有3種方案可選：本地認(rèn)證方式、RADIUS認(rèn)證、LDAP認(rèn)證。為實(shí)現(xiàn)對(duì)網(wǎng)管系統(tǒng)本身的安全控制，可對(duì)賬戶本身、賬戶登錄管理和一系列其他的安全策略，來保證網(wǎng)絡(luò)管理的安全、有序。因當(dāng)前已在建立統(tǒng)一用戶基礎(chǔ)數(shù)據(jù)交換平臺(tái)，可復(fù)用該數(shù)據(jù)源資源，與NMS網(wǎng)管系統(tǒng)對(duì)接。網(wǎng)管系統(tǒng)支持用戶創(chuàng)建、刪除、修改功能，通過用戶名及其密碼唯一確定了相應(yīng)的網(wǎng)管用戶的登錄和操作管理權(quán)限。其中用戶密碼使用AES128位算法加密，并存儲(chǔ)在數(shù)據(jù)庫中。針對(duì)用戶安全提供了可配置的安全管理策略，策略設(shè)置后對(duì)系統(tǒng)所有的帳戶生效。包括以下功能：（1）帳號(hào)安全策略–設(shè)置帳戶名最小長(zhǎng)度要求。–設(shè)置帳戶登錄失敗鎖定策略。–設(shè)置長(zhǎng)期不使用帳戶停用策略。（2）密碼策略–設(shè)置密碼最小長(zhǎng)度要求。–設(shè)置歷史密碼策略。–設(shè)置密碼中同一字符出現(xiàn)次數(shù)限制。–設(shè)置密碼中包含特殊字符限制。–設(shè)置密碼修改最短間隔要求。–設(shè)置密碼過期強(qiáng)制修改策略。訪問控制管理，可以對(duì)用戶的登錄時(shí)間、系統(tǒng)訪問IP地址范圍進(jìn)行控制。6.日常運(yùn)維方案資源管理網(wǎng)管對(duì)設(shè)備的管理，包括提供子網(wǎng)的管理方式，用戶可以根據(jù)實(shí)際設(shè)備的物理位置，劃分不同的子網(wǎng)對(duì)設(shè)備進(jìn)行區(qū)域管理。提供自定義分組的管理方式，用戶可以將多臺(tái)設(shè)備劃入一個(gè)分組，以簡(jiǎn)化后續(xù)對(duì)這些設(shè)備的批量操作。同時(shí)針對(duì)園區(qū)用戶提供用戶對(duì)設(shè)備的配置、查詢功能，提供用戶對(duì)設(shè)備機(jī)框、單板、子卡及端口的查詢功能。添加設(shè)備添加設(shè)備作為網(wǎng)管管理的基礎(chǔ)，用戶可通過多種方式完成網(wǎng)管添加設(shè)備的過程。支持三種方式的設(shè)備添加方式：自動(dòng)發(fā)現(xiàn)設(shè)備、手工創(chuàng)建單個(gè)設(shè)備、手工批量導(dǎo)入設(shè)備。自動(dòng)發(fā)現(xiàn)設(shè)備自動(dòng)發(fā)現(xiàn)支持多種協(xié)議和多種發(fā)現(xiàn)方式，并且支持設(shè)置發(fā)現(xiàn)任務(wù)并進(jìn)行對(duì)發(fā)現(xiàn)任務(wù)進(jìn)行統(tǒng)一管理。具體支持以下四種發(fā)現(xiàn)方式。以網(wǎng)段方式發(fā)現(xiàn)（簡(jiǎn)單）：根據(jù)指定的SNMP協(xié)議信息在指定的IP網(wǎng)段中發(fā)現(xiàn)并添加設(shè)備；以網(wǎng)段方式發(fā)現(xiàn)（復(fù)雜）：根據(jù)指定的協(xié)議（SNMP協(xié)議或其他協(xié)議）信息在指定的IP網(wǎng)段中發(fā)現(xiàn)并添加設(shè)備；以ARP方式發(fā)現(xiàn)：通過設(shè)備ARP表自動(dòng)搜索可管理的網(wǎng)絡(luò)設(shè)備；以路由方式發(fā)現(xiàn)：通過設(shè)備路由表自動(dòng)搜索可管理的網(wǎng)絡(luò)設(shè)備；手工創(chuàng)建單個(gè)設(shè)備SNMP接入方式：用戶可以手動(dòng)輸入設(shè)備IP地址，設(shè)定設(shè)備的SNMP參數(shù)，實(shí)現(xiàn)將單個(gè)設(shè)備添加到網(wǎng)管。手工批量導(dǎo)入設(shè)備SNMP接入方式：用戶可以以文件方式導(dǎo)入設(shè)備IP地址、SNMP參數(shù)信息，實(shí)現(xiàn)批量添加設(shè)備功能。支持在線設(shè)備和離線設(shè)備的添加。設(shè)備/子網(wǎng)管理設(shè)備/子網(wǎng)管理包括以下功能：查詢?cè)O(shè)備/子網(wǎng)支持設(shè)置查詢條件查詢所關(guān)注的設(shè)備/子網(wǎng)。創(chuàng)建/修改/刪除子網(wǎng)通過創(chuàng)建子網(wǎng)，可以將設(shè)備添加到創(chuàng)建的子網(wǎng)進(jìn)行分類管理。當(dāng)子網(wǎng)信息變更時(shí)，可以修改子網(wǎng)的屬性。當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整，不再需要NMS管理某些子網(wǎng)，可以刪除這些子網(wǎng)。查看子網(wǎng)信息支持查看子網(wǎng)的基本信息。查看設(shè)備信息支持查看設(shè)備的基本信息和協(xié)議信息。調(diào)整設(shè)備所屬子網(wǎng)或者子網(wǎng)所屬子網(wǎng)當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變動(dòng)時(shí)，可以根據(jù)實(shí)際情況，調(diào)整設(shè)備/子網(wǎng)，以便正確的體現(xiàn)設(shè)備、子網(wǎng)之間的關(guān)系。分組管理設(shè)備分組基于不同的監(jiān)控運(yùn)維場(chǎng)景需要，用戶可以使用設(shè)備分組管理功能將需要維護(hù)監(jiān)控的設(shè)備放入一個(gè)分組當(dāng)中。場(chǎng)景1：路由器設(shè)備和交換機(jī)設(shè)備，都要采集CPU內(nèi)存信息，路由器作為骨干設(shè)備為及時(shí)發(fā)現(xiàn)設(shè)備異常，需要將路由器設(shè)備的性能采集周期設(shè)置相對(duì)交換機(jī)短一些，這個(gè)時(shí)候可以使用預(yù)置的路由器和交換機(jī)分組，基于分組做監(jiān)控設(shè)置；場(chǎng)景2：某塊接入園區(qū)網(wǎng)正在做割接，可以根據(jù)設(shè)備名稱（設(shè)備命名按照規(guī)范命名）建立分組，將該區(qū)域設(shè)備放入一個(gè)分組，在割接的時(shí)間段內(nèi)，屏蔽該區(qū)域上報(bào)的告警系統(tǒng)預(yù)置設(shè)備類別分組：如路由器、交換機(jī)等；支持按照設(shè)備名稱、類型、所屬子網(wǎng)、廠商、IP地址、類別、備注、資產(chǎn)管理人，自定義設(shè)備分組；設(shè)備增加完成后能夠按照預(yù)置和自定義設(shè)備分組自動(dòng)分組；接口分組基于不同的監(jiān)控運(yùn)維場(chǎng)景需要，用戶可以使用接口分組管理功能將需要維護(hù)監(jiān)控的設(shè)備接口放入一個(gè)分組當(dāng)中。場(chǎng)景1：網(wǎng)絡(luò)中設(shè)備接口很多，重點(diǎn)需要關(guān)注影響網(wǎng)絡(luò)運(yùn)維的接口，可以使用預(yù)置的有鏈路接口分組，只對(duì)有鏈路的接口做流量性能數(shù)據(jù)采集；場(chǎng)景2：某片網(wǎng)絡(luò)區(qū)域用戶大面積反饋上網(wǎng)慢經(jīng)常掉線，可以針對(duì)這個(gè)區(qū)域網(wǎng)絡(luò)出接口，接口別名或描述建立接口分組，對(duì)這個(gè)部分接口做重點(diǎn)的監(jiān)控，采集數(shù)據(jù)做針對(duì)性分析；系統(tǒng)預(yù)置鏈路接口分組；支持按照設(shè)備類型、設(shè)備類別、設(shè)備分組、設(shè)備IP、設(shè)備別名、設(shè)備名稱、設(shè)備備注、資產(chǎn)管理人、接口速率、有鏈路、接口別名、接口名稱、接口管理狀態(tài)、接口IP，自定義接口分組；設(shè)備接口同步完成后能夠按照預(yù)置和自定義接口分組自動(dòng)分組；設(shè)備資源提供用戶瀏覽、查詢?cè)O(shè)備名稱、IP地址、類型、軟件版本、廠商、同步完成時(shí)間、維保時(shí)間、投入使用時(shí)間、維保到期時(shí)間、創(chuàng)建網(wǎng)元時(shí)間、時(shí)區(qū)、資產(chǎn)管理人、資產(chǎn)編號(hào)、購買日期、備注、設(shè)備所屬分組等信息。提供導(dǎo)入、導(dǎo)出設(shè)備資源、導(dǎo)入設(shè)備信息、設(shè)置/恢復(fù)網(wǎng)元不管理功能；提供用戶批量配置SNMP參數(shù)、Telnet參數(shù)、NetConf參數(shù)等功能，批量同步設(shè)備的功能，批量設(shè)置時(shí)區(qū)功能，批量移動(dòng)設(shè)備到子網(wǎng)的功能；提供用戶修改和批量修改設(shè)備備注、維保字段等信息的功能；提供查詢?cè)O(shè)備實(shí)體數(shù)據(jù)功能；提供定位到拓?fù)涔芾聿榭丛撛O(shè)備的功能。機(jī)框資源提供用戶對(duì)設(shè)備機(jī)框資源的查詢、導(dǎo)出功能，及對(duì)機(jī)框備注進(jìn)行修改功能。單板資源提供用戶對(duì)設(shè)備單板資源的查詢、導(dǎo)出功能，及對(duì)單板備注進(jìn)行修改的功能。子卡資源提供用戶對(duì)設(shè)備子卡資源的查詢、導(dǎo)出功能，及對(duì)子卡備注進(jìn)行修改的功能。端口資源提供用戶對(duì)設(shè)備端口資源的查詢、導(dǎo)出功能，及對(duì)端口備注進(jìn)行修改的功能。7.零配置部署 零配置部署是在校園現(xiàn)網(wǎng)部署交換機(jī)設(shè)備，當(dāng)設(shè)備規(guī)劃完成后，無需網(wǎng)絡(luò)管理員到安裝現(xiàn)場(chǎng)對(duì)設(shè)備進(jìn)行軟件調(diào)試，在設(shè)備滿足空配置的條件下，設(shè)備上電后即可自動(dòng)連接到指定的管理設(shè)備，加載指定的配置文件、設(shè)備軟件大包、補(bǔ)丁文件等系統(tǒng)文件，實(shí)現(xiàn)設(shè)備的開局。（1）基于網(wǎng)管平臺(tái)，網(wǎng)絡(luò)規(guī)劃、配置文件制作、網(wǎng)絡(luò)部署管理和網(wǎng)絡(luò)運(yùn)維集成在同一平臺(tái)上，實(shí)現(xiàn)統(tǒng)一的自動(dòng)化管理。（2）包含圖形化配置文件自動(dòng)生成工具；配置文件基于拓?fù)潢P(guān)系匹配。（3）以每個(gè)根設(shè)備直連的子網(wǎng)為一個(gè)部署區(qū)域，支持多區(qū)域并行管理，可以達(dá)到千臺(tái)設(shè)備同時(shí)上線。（4）支持MAC/ESN白名單，防范設(shè)備誤接、私接。（5）部署后，配置定時(shí)備份，故障設(shè)備可以用無配置的新設(shè)備進(jìn)行快速替換。8.拓?fù)涔芾硗負(fù)涔芾硪酝負(fù)鋱D的方式直觀顯示被管網(wǎng)元及其之間的連接關(guān)系和狀態(tài)，用戶可以通過瀏覽拓?fù)湟晥D把握全網(wǎng)設(shè)備的層次結(jié)構(gòu)和運(yùn)行狀態(tài)。術(shù)語說明網(wǎng)元拓?fù)涔芾淼暮诵膯挝?，用來?biāo)識(shí)被管理的設(shè)備。在拓?fù)湟晥D中，不同的圖標(biāo)代表各種網(wǎng)元類型。子網(wǎng)按照某種原則（如按地域或按設(shè)備類型劃分）將一個(gè)比較大的網(wǎng)絡(luò)結(jié)構(gòu)分解為幾個(gè)相對(duì)較小的網(wǎng)絡(luò)結(jié)構(gòu)，以便網(wǎng)絡(luò)管理。鏈路標(biāo)識(shí)通信設(shè)備之間的物理或者邏輯連接。瀏覽拓?fù)鋱D拓?fù)浣缑嫔戏殖勺髽溆覉D的方式，對(duì)拓?fù)鋵?duì)象通過子網(wǎng)進(jìn)行分層展示。提供全屏、自適應(yīng)屏幕等拓?fù)鋱D整體、局部觀測(cè)的能力。顯示網(wǎng)元、鏈路的告警狀態(tài)。支持明、暗兩種主題皮膚切換，富媒體Tips展現(xiàn)效果。提供鏈路標(biāo)簽展現(xiàn)接口流量等性能采集數(shù)據(jù)的能力。提供對(duì)MP-Group捆綁鏈路的父子關(guān)系展示、鏈路狀態(tài)監(jiān)控能力。支持查看全網(wǎng)VLAN數(shù)據(jù)，支持在鏈路上直觀呈現(xiàn)端口允許通過的VLAN，支持VLAN路徑呈現(xiàn)。拓?fù)鋱D操作支持拓?fù)鋱D的縮放、圖片導(dǎo)出、圖片打印、設(shè)置背景