某高校园区网改造规划设计
摘要:
随着信息化技术的不断发展,各行各业的发展已离不开网络信息化建设的需求。校园应用的网络需求也在不断升级,搭建高性能、高可靠的校园网络通道,成为支撑教育数字化转型的必要举措。某高校为更好推进数字化转型,提高教学体验,决定对校园网络进行整体升级改造。目标是建立一张高性能、高可靠、可运营、可管理的智能网络。*年*月,我作为项目负责人,负责组织实施了该校园网络升级改造项目,工期4个月,耗资*万。项目主要涉及网络出口优化,网络整体改造,无线网络规划部署、认证管理与网络运维管理改造等方面。项目建设完成后,通过无线信号覆盖、区域网络运行情况、移动终端接入认证等功能测试,均达到设计要求,顺利通过验收。投入使用以来运行稳定,教职工和学生普遍反映网速明显变快,网络稳定性提高。
背景
互联网技术的发展给各行各业带来深刻变革,某高校顺应形势,不断进行教育信息化转型,近年来开展了网课、云课堂等新的教学方式,对网络系统依赖性越来越强,网络流量与日俱增,链路越来越拥挤,师生普遍反映上网速度慢,近1年以来,网络多次发生故障,导致业务系统卡顿,直播课程时常中断,为解决上述问题,改善网线路质量,提高教
学体验,加强与分校的沟通联系,保障重要应用连续、不中断,该校决定对网络进行升级改造。根据调研和对现网架构问题分析,发现目前主要存在以下问题:
1.原有网络架构为百兆接入千兆骨干,带宽已不能满足需求,迫切需要升级。
2.无线网络未经过整体规划,AP型号复杂,散乱分布,信号覆盖不好,不能进行统一管理,无线上网体验感差,管理难度大。
3.该校共有2个校区,各自通过一条互联网专线连接互联网,彼此不能互联互通,资源共享不便,且总校和分校各需维护一套认证系统,管理不便。
4.网络出口有2G电信链路和500M联通链路,无法进行有效负载均衡,大部分流量均通过电信出口访问互联网,联通出口利用率不高。
5.缺乏有效的对上网行为管控手段,p2p软件等占用较大带宽,视频直播、云课堂等主要业务带宽得不到保证。
根据上述调研总结的问题,结合该校现有网络架构,从如下几个方面,对现网进行了升级改造和优化。
一.网络整体改造
该校原有网络带宽已不能满足需求,需要对设备替换并重新设计,考虑因校区面积广、楼宇众多,网络架构选用三层架构,每个楼层布置接入交换机,每栋楼设置一个汇聚交
换机连接核心。在进行详细业务需求调研和技术分析后,确定了对采用千兆接入,40G骨干的三层整体网络架构。接入层选用华为s5730标准型以太网接入交换机,提供48个千兆以太网接口,满足楼宇内大量用户接入。支持堆叠功能,将每个楼层接入交换机堆叠,方便管理,通过万兆上行接口连接至汇聚交换机。汇聚层选用华为s6720系列交换机,提供大量万兆接口连接及40G上行口。核心层选用华为S12700系列交换机,配备40G接口,连接所有汇聚交换机及出口,并支持100G口扩展,方便未来平滑升级。因项目资金有限,核心交换机仅配置一台,为保证高可靠运行,配置双主控、双交换板,双电源,多风扇。
针对总校和分校资源共享和统一管理问题,决定将分校网络连接至总校,统一网络出口,方便统一认证和各类安全管理。因距离仅有20公里,选择裸光纤互联,分校区核心交换机通过1个40G端口互联连接至总校核心交换机,以保证分校获得良好的上网体验。
二、无线网络设计
为了节省成本和简化管理本次无线网络与有线网络共用核心和汇聚交换机,在核心交换机上增加一块无线控制器业务板卡,实现有线无线一体化管理。接入层采用华为S5700 系列 POE 交换机,为前端AP 供
电,连接至汇聚交换机,实现整网的有线无线一体化接入。
由于校园无线网络的覆盖范围较大,前端需要进行考虑了互联互通和资源共享的问题
覆盖的无线场所包括教师办公区域、会议室、图书馆等公共区域、学生宿舍、教书宿舍等众多区域,无线设备的数量更是达到了700 多个。为了便于后续的无线运维以及无线网络优化,采用AC+瘦AP 的组网方式。考虑到不同区域需求,在无线设备的选型方面,本次采用三种类型的无线AP,分别为:室外 AP、室内高密 AP、室内墙面AP。其中室外采用华为室外AP, 具备防水防尘功能,适应室外恶劣环境,支持远距离覆盖。室内会议室、教室等人员密集的大空间采用华为高密AP, 配置智能天线,支持 1000人接入,能有效减少AP 部署数量,防止同频干扰。室内小办公室、宿舍等采用墙面 AP,保障每个角落信号无死角覆盖,并通过后端的运维软件对AP 的发射功率进行调整,很好地避免房间之间的信道干扰等问题。最后配置无线控制器AC 对所有AP 进行统一管理、配置下发,也能保障无线用户在整个园区网实现无缝漫游。
三、认证管理
我们针对不同的业务场景采取不同的认证方式,以保证无线业务的安全接入。针对有线的PC接入,我们规划使用华为802.l X 的认证方式来满足安全的业务接入,用户通过在客户端输入用户名密码的形式进行验证,客户端在对终端的用户名密码以及系统是否打补丁和安装杀毒软件等安全
检查以后进行放行,实现网络的安全接入。
针对各种移动终端设备,我们规划通过PORTAL认证方式来进行认证,用户移动终端连接到相应的无线信号以后,通过后端的PORTAL 服务器推送不同的认证页面,用户以及访客通过不同的域账号策略接入不同的网络以后,通过分配不同的I P地址实现对校园内部不同网络的访问,访客用户接入无线网络以后只能对互联网进行访问。
四、网络出口优化
由于现有出口是电信和联通双链路,但无法有效负载均衡,导致联通链路利用率较低,本次决定在出口增加部署负载均衡设备。我们选择了性价比高、管理界面更简单的深信服负载均衡硬件设备,实现出口多链路负载均衡,充分把两条链路利用起来,缓解了用户上网慢的问题。
另外,针对P2P 流量抢占带宽问题,我们在核心交换机和出口路由器串联一台华为ASG-D系列上网行为管理产品,对校园网内部流量进行精细化的应用控制和网络日志全面审计功能。对P2P 下载、游戏等业务进行流量限制,加强对教学区和办公区的带宽保障。并将其与认证平台对接,实现认证用户能实时的和ASG中的上网行为记录进行绑定和同步,实现对无线用户上网行为的实时记录以及事后溯源。
五、网络运维和管理改造

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。