1、建设原则

　　随着曲阜中医药学校信息化的不断发展和应用水平的提高,网络中的数据和信息流会呈指数增长，需要网络有很好的可扩展性，并能随技术的发展不断升级。

　　可靠性：方案中涉及的设备，均采用高可靠性设计。提供电源分流和备份，模块的热插拔维护。

　　标准性和开放性：网络系统应该是一个开放型的网络,支持各种协议的互联。选用符合国际标准的系统和产品,保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。

　　先进性:为了支持数据、话音、视频多媒体的传输能力,在技术上要采用非常先进、成熟的网络技术来满足目前的网上应用需求,并考虑未来的发展。网络设备应选用高带宽的、先进的千兆位、线速、路由交换技术，能够承载和交换各种信息。

　　安全性：网络设计应具有良好的安全性考虑，通过各种网络安全措施，确保对网络资源的访问实现有效的安全策略，由于网络系统为多个用户内部网提供互联并将支持多种业务,网络系统应支持多种安全控制,以保证系统的安全性。安全性为了保证网络的安全和信息的安全，网络应构筑可靠的安全系统。在网络内部，利用中心路由交换机的路由控制、VLAN划分、物理端口/IP地址/MAC地址管理功能、协议管理等功能，实现局域网内部各子网和各用户之间的网络安全策略。

　　易管理和易维护性：完善的网络管理是是一个网络成功的重要保证，而能否建立起统一的网络管理平台对于简化管理程序，提高管理水平是至关重要的。整个网络系统的设备、安全性、数据流量、性能等得到很好的监视和控制，并可以进行远程管理和故障诊断。

　　2、建设目标

　　计算机网络系统设计必须要求按照统一规划、统一标准的原则，总体设计，提供一个技术先进、结构合理、安全可靠的综合网络平台，为网络信息的快速传递和各类应用系统建设提供有力保障。

　　建议采用模块化和可扩充的多层网络体系结构来解决网络设计的方面的挑战。多层网络的设计提供了很多优点。包括：

　　• 较强的扩充能力;
　　• 容错能力：部件更换，提供冗余网络服务;
　　• 可预测的流量模式：包括各种条件下(正常工作与故障条件)网络的各种行为。
　　• 与设备的冗余能力结合，如热插拔部件，可以提供更大的灵活性和网络增长的潜力。

　　3、系统结构

　　整个网络在传输层/网络层采用TCP/IP协议，各主干网络采用高速网络。网络采用典型的星型拓扑结构。核心、汇聚交换机具有预留插槽，方便网络扩充和升级。建成后的网络能满足办公、业务需求，实现网络资源共享，信息互动，并为系统计费、管理提供可靠的平台。

　　网络层次说明：

　　根据网络改造项目的需求分析，在网络的设计中，将采用多层次的网络体系结构。具体为三个层次：用户访问、分布层、核心层。

三层结构网络结构示意图

　　(1)核心层是网络互联的最高层次，主要是由核心交换机组成的网络中心应具有如下能力：

　　• 核心设备之间应该具有最高速的链路
　　• 比较粗的QoS控制粒度
　　• 最高的路由前缀
　　• 为网络其他模块提供互联

　　(2)分布层是核心层和接入层的连接模块，主要是由路由交换机组成，主要功能如下：

　　• 细到粗QoS粒度的转换
　　• 提供到核心的路由合并
　　• 提供到访问层的路由过滤

　　(3)用户访问层是面向最终用户的设备，主要由接入交换机和其它设备组成，主要功能如下：

　　• 提供高密度的用户端口
　　• 提供许可控制，包括：安全控制、QoS控制

　　采用多层网络的设计方法，必须依赖于利用网络的高弹性和扩充性。所谓的弹性指的是对故障的容忍度和故障情况下的恢复能力;所谓扩充性是指根据实际需要，可以在各个不同层次实现升级和扩充，实现对网络可控的、有序的优化。

　　4、网络说明

　　曲阜中医药学校有1号教学楼、2号教学楼、3号教学楼、办公楼、实验楼、宿舍区。

　　在核心机房部署两台核心交换机;办公区在每个楼部署一个汇聚交换机，与核心交换机通过千兆线路进行连接，楼层接入交换机采用千兆到桌面，通过千兆双绞线和汇聚交换机进行连接。办公区共部署5个汇聚交换机，通过千兆与核心进行相连，宿舍区部署楼内汇聚交换机，通过千兆光纤和核心交换机进行相连，使用室外无线覆盖。

　　网络说明共分为核心层、汇聚层、接入层、安全部署、网络管理5块内容：

　　核心层说明：核心层由两台高性能核心交换机组成，核心交换机之间通过万兆进行相连，核心交换机部署成虚拟化系统，将物理上的两台设备逻辑成一台设备，方便管理，提高稳定性，与此同时，从汇聚交换机双上行链路进行跨设备的链路聚合，实现汇聚到核心2G的带宽。同时核心交换机的关键部件，如电源等支持冗余和热插拔。

　　核心交换机建议采用H3C S10500E产品，H3C S10500E面向数据中心技术的演进，推出了IRF2为代表的软件虚拟化技术，提供多台主机的协同工作、统一管理和不间断维护功能;IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF2所提供的高可靠性和无缝升级、扩展能力，也成为H3C用户增值服务的重要组成部分。H3C S10500E支持IPv4/IPv6双协议栈,支持多种隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案;H3C S10500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发;H3C S10500E已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段认证，是成熟商用的IPv6产品。H3C S10500E提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块，防止TCN、ARP等协议报文攻击，OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪;在管理平面，SNMPv3网管协议，SSH V2，基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面，支持IP、VLAN 、MAC和端口等多种组合精细绑定;支持uRPF单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。H3C S10500E还支持内置的高性能防火墙、异常流量清洗等模块，将专业的安全融入到交换机之中。

　　楼内汇聚说明：设置楼内汇聚交换机，采用千兆光纤和4个汇聚交换机连接。

　　楼内汇聚交换机建议采用H3C S5500交换机产品，H3C S5500交换机提供增强的ACL控制逻辑，支持超大容量的入方向和出方向ACL，并且支持基于VLAN的ACL下发，在简化用户配置过程的同时，避免了ACL资源的浪费。另外，S5500系列还将支持单播反向路径查找技术(uRPF)，原理是当设备的一个接口上收到一个数据包时，会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由，即验证了其真实性，如果不存在就将数据包删除，这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。

　　接入层说明：在办公区均采用全千兆交换机连接，千兆到桌面;宿舍区采用无线覆盖，千兆上行。

　　全千兆接入交换机采用E500交换机，H3C E528/E552系列教育网交换机是H3C公司长期跟踪教育行业用户需求定制开发的全千兆的以太网交换机，不仅可以满足校园网常见的安全，接入密度的需求，并且针对于IPv6技术发展的趋势以及校园网IPv6部署的落地，提供完善的解决方案，同时支持创新的IRF2(Intelligent Resilient Framework，智能弹性架构)技术，用户可以将多台E528/E552交换机连接，形成一个逻辑上的独立实体，从而为教育行业构建具备高可靠性、易扩展性和易管理性的千兆到桌面的新型智能网络。

　　安全部署：出口区部署UTM安全网关防范2-7层攻击及病毒H3C SecPath U200-M是H3C公司面向中小型企业/分支机构设计的新一代UTM(United Threat Management，统一威胁管理)设备，采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。在提供传统防火墙、VPN功能基础上，同时提供病毒防护、漏洞攻击防护、P2P/IM应用层流量控制和用户行为审计等安全功能。

　　H3C公司的SecPath U200-M不仅能够全面有效的保证用户网络的安全，还支持SNMP和TR-069网管方式，最大化减少设备运营成本和维护复杂性。

▲H3C SecPath U200-M统一威胁管理产品

　　网络管理：对网络设备进行统一管理，对网络性能进行分析，对网络故障可以快速定位。

　　网络管理采用H3C iMC智能管理平台，不仅为系统各业务组件的集成提供了包括统一权限控制、SOA框架、统一操作日志管理、各组件License控制、分布式安装等基本功能，而且还为用户提供了包括操作员管理、资源管理、拓扑管理、性能管理、告警管理、配置管理、Syslog管理、及操作日志管理等网络管理功能，以及资产管理、VLAN管理、ACL管理、虚拟化网络管理、安全控制中心、来宾接入管理、报表管理等基础业务功能。

　　认证计费采用H3C UAM及CAMS认证计费组件，基于“用户”、“服务”和“策略”三维关系进行设计，便于管理员理解和操作，解决了传统计费系统操作的复杂性。融合的多业务统一管理模型，支持基于RADIUS的接入业务的认证、授权、计费，内置支持纯包月、包月限时、包月限流量等易于管理的包月型计费方式，支持包月暂停的功能，可以使用户的包月截止日期顺延，并支持用户认证上网自动取消暂停。

　　5、网络扩展性

　　通过如上的网络结构设备与规划，在特定区域预留相应数量的接入端口，并给出相应的vlanID，可以为将来园区网络中的各种应用(如一卡通系统等)提供一个稳固的网络基础，使得其有一个良好的运行环境;在此基础上通过本网络中高性能的核心交换设备也为第三方网络模块(如无线、数字广播、IP监控等)提供一个开放性的接口平台，增强各个网络之间的互操作性。

　　7.1.1无线网络扩展性：

　　无线控制器，采用独立式外置控制器WX6100系列，与信息网核心交换机互联，单个无线控制器模块最大可管理640个AP。

　　无线AP，本次工程全为室内覆盖，根据实际需求，室内AP采用Fit AP，选用H3C WA2600，与无线控制器组成无线网，室内AP连接到最近的访问层交换机，并由访问层的POE交换机进行供电，配置外置天线和安装套件。

　　采用H3C IMC WSM无线业务管理器实现对无线网的管理，通过WSM无线业务管理器，用户可以获得全面的无线业务管理能力，实现AC设备、FAT AP设备、FIT AP设备、移动终端等无线设备的集中管理，轻松实现设备配置管理功能，并提供资源分组、无线拓扑功能，对全网无线设备进行直观有效的组织，对网络部署和设备状态一目了然，策略模板等功能实现网络和设备的批量配置，提升效率，降低维护工作量，降低维护成本。

　　5.1.1 频率规划

　　目前针对WLAN来讲，2.4G具有3具不重叠的信道，针对5.8G具有5个不重叠信道，但由于网络用户具有一定的不确定性，故网络覆盖时所需要的WLAN网络空间都要进行2.4G与5.8G的频率覆盖，从网络规划的角度出发，主要考虑2.4G与5.8G二个频率的覆盖设计，针对2.4G的频率的信号衰减模型主要采用如下：PathLoss(dB) = 46 +10* n*Log D(m)，而对于5.8G的信号衰减模型：PathLoss(dB) = 32.4+20*lg f[MHz]+ 20*lgd[KM] +a * d[KM]，以上二信号衰减模型进行网络的设计，到具体网络实施时要进行工勘与优化，而对于信道主要采用1、6、11三个信道交错使用，具体的面覆盖逻辑示意图如下：

▲图1.WLAN2.4G信道规划示意图

　　5.1.2 频率复用

▲图2.无线覆盖示意图

　　针对频率复用的设计与实现主要侧重于重叠区域，考虑到802.11技术中目前业界主要采用DCF的仲裁，这样会导致从网络实施的角度出发，没有办法做到像GSM、3G网络的控制力度，从技术原理的角度出发，没有办法实现很好的频率复用，只能被动做些负载均衡的功能。每个AP具有600Mbps、450Mbps、300Mbps、 54Mbps、48Mbps、36Mbps、18Mbps等的覆盖范围，对于300Mbps的覆盖范围不重叠，对于300Mbps与54Mbps就可能进行重叠，可以根据网络侧的负载功能进行实现一定程度的频率复用功能，从网络规划的角度出发，WLAN基本上、下行无线链路复用的处理问题，因为目前都是DCF方式，而从只能结合业务目标实现网络覆盖效果，具体网络使用效果使用负载均衡功能进行实现。

　　负载均衡的功能实现具体原理如下：

　　1. 根据负载均衡的配置确定负载均衡的模式、SSID、其他参与负载均衡的AP的标识、用户数或流量的阀值等进行一定的初始化;

　　2. 确定本AP的2个射频模块连接的STA用户数量和流量;

　　3. 通过UDP协议以私有方式定时进行AP间通讯。先进行握手，成功后才进行数据的交换，获取参与负载均衡的AP的负载信息。

　　4. 当有STA要接入时，根据其工作频率，比较本AP上该射频下的负载和其他AP的指定SSID下的用户数或流量，以及负载均衡的SSID绑定接口的速率集，决定STA能否接入。同时要注意到若用户数已达到AP某个SSID的最大用户数，则该AP的SSID不允许再接入STA.

　　5.1.3 AP容量规划

　　从业界实现的DCF方式来看，没有一个最大用户数的限制，目前业界各个厂商的每个AP最大的用户默认限制一般为64个用户;但由于无线信道传输的特殊性，300Mbps带宽中，用于控制帧和管理帧占用了很大带宽，所以1Mbps/用户按22用户进行规划;2Mbps/用户按11用户进行规划;

　　H3C WA2600产品可同时支持11a和11g两个频段，即在实际使用中可提供两张无线网络，解决场馆等高密度场景下的无线接入问题。