校园网优化设备需求分析报告1、学校网络概况我校现有的网络出口带宽为电信200M（2条100M线路），教育网10M。

在教育网出口部署CISCO5504防火墙1台，在电信出口部署斐讯3400防火墙1台，分别与路由器H3C 6604连接，并部署 2166认证计费系统和P2P流量设备用于优化校园网络，在西校区部署高性能万兆交换机H3C S10508作为核心交换机，校园一卡通系统、校园监控系统、中苑、艺术系等7个系统、院系均使用HP5406作为汇聚交换机，共7台HP5406交换机与核心交换机H3C S10508连接，藏学楼、家属区1号-6号、单身楼、鑫苑均使用H3C 5800交换机作为接入交换机与核心交换机H3C 10508连接，东校区部署万兆交换机H3C 7508E作为核心交换机，与西校区核心以双链路方式进行连接，文科楼、理科楼均使用H3C 5800交换机作为汇聚交换机，图书馆、信息楼、南苑3号、北苑1号等院系均使用HP5406作为汇聚交换机，共5台HP5406交换机与核心交换机H3C 7508E连接，服务器区采用H3C 5800C作为汇聚交换机，与西校区核心以双链路方式进行连接。

2、存在问题及解决方案：2.1、网络带宽优化我校现有的网络出口带宽为电信200M（2条100M线路），教育网10M。

截至2014年3月份，注册用户数到达了6297人，有效用户数为3089人，同时在线人数至少为400人，按照人均带宽使用量为60K计算，带宽需要达到192M，随着上网人数增加，浏览网页、观看视频、下载文件等需求增加，出口带宽将会无法满足上网需求，可对出口带宽进行相应增加。

2.2、网络出口优化我校现有的网络出口没有专门的出口业务保障设备，而是在教育网出口部署了1台CISCO5540的防火墙设备，在电信出口部署了1台斐讯3400的防火墙设备，两台设备均为早期购买，性能达不到现有网络架构的需求，首先，IP地址转换功能和出口安全防护功能都由同一设备承担，加大了设备的负载（目前该设备承载已经超过了90%），同时还不能发挥设备的优势性能。

其次，由于每个设备只负责一个运营商的链路，在出口路由方面不能起到智能选路的功能，网络带宽利用率低，不能真正利用现有的带宽资源，有时访问教育网资源的用户会选择从电信出口然后再去访问教育网，而不是直接从教育网出口访问教育网资源，同样有些用户要访问电信网址，而偏偏又从教育出口出去再访问电信网址，促使访问网页慢、网页打不开等情况。

另外也不能起到链路负载均衡的功能，在上网高峰时段，有时电信网出口已经承担了很多用户的访问请求，而教育网出口却只有很少用户的访问。

我校现有的网络出口带宽为电信200M（2条100M线路），教育网10M。

截至2014年3月份，注册用户数到达了6297人，有效用户数为3089人，平均每个用户的带宽为69.61Kb。

应用方面网络电视与视频占到了总带宽的79.02%，出口带宽已远远不能满足目前的应用需求，解决方案如下：1、在网络出口部署出口引擎，提高访问不同网络资源的速度，解决线路备份问题，避免出现单出口的单点故障。

2、部署链路负载均衡解决在多链路环境的实际应用中，链路没有更好的进行负载分担，可更有效的利用有限的校园网出口带宽。

3、部署网络出口加速缓存系统（cache），能够针对流媒体、HTTP下载及P2P下载数据进行优化，自动判断本网络中的热点资源，实现热点资源本地化读取，不仅为用户提供了如同内网的般极速体验，还因为削减重复数据流，节省了大量的出口带宽资源。

2.3、网络安全优化1、随着校园网络规模的急剧膨胀，网络用户的快速增长，尤其是校园网络所面对的使用群体的特殊性（拥有一定的网络知识，具备强烈的好奇心和求知欲、法律意识及纪律却相对淡漠）校园网络安全已成为不容忽视的问题，因我校原来的出口防火墙（原有cisco5504）其在性能上已经不能满足目前日益增长的网络需求，原有的防火墙已达不到对现在校园网络安全的要求，必须对其进行更换，提高网络安全性。

部署新的防火墙对网络分区、应用系统内部安全策略、应用系统之间的安全策略、客户端与服务器之间的安全策略、客户端之间的安全策略、预防恶意代码的安全策略、网络设备自身安全策略、访问控制策略部署位置等步骤进行详细规划完善我校的网络安全。

2、部署网络入侵检测（IPS），实时捕获内外网之间传输的数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并记录有关事件，阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、DDoS等攻击和恶意行为，并对分布在网络中的各种P2P、IM等非关键业务进行有效管理，实现对网络应用、网络基础设施和网络性能的全面保护。

3、在服务器区前端部署一台防火墙，对内网服务器进行安全保护。

2.4、网络基础优化随着学校业务不断增加，学校核心交换设备与接入交换设备已进行更换，而汇聚部分还是沿用原有交换设备，已成为整个网络的瓶颈，无法满足需求，我们建议将原有部分汇聚交换机（HP5402）进行更换。

2.5、网络管理优化随着校园网的不断成长，越来越多的需要对IT资源进行监控和管理，随之而来的就是维护人员工作量激增，而我校信息网络中心由于专业人手不足，又必须控制诸多复杂的IT架构以及庞大的业务应用和系统，为了解决IT系统顺畅的运行，避免各种各样的业务系统故障和瓶颈，低成本，实现高效益、高满意度的IT运维目标，因些购买一套网络运维管理系统已是我校校园网发展的必然趋势。

网络运维管理系统可以帮助我信息网络中心提高管理效率，节约管理成本可以帮助信息网络中心管理人员和维护人员发现网络、系统和业务中的潜在问题和威胁，为校园网的运行带来可靠的保障。

2.6、数据安全优化校园信息化未来的是向信息优化、整合资源、整合技术实现数据资源共享方向发展，容灾网关在整合资源、整合技术和实现数据共享上充分发挥自身优势，将校园园数据中心以往的其它品牌存储系统通过整合虚拟化满足院校业务发展的技术需求，实现存储数据不丢失、数据存取不中断、数据远程容灾等多种阶段需求。

2.7、其他系统优化2.7.1、电源保障优化我校网络中心机房现有的设备除一卡通系统外其他设备都没有接入现有的UPS系统，现有的UPS系统只能保障一卡通设备约1个小时，机房内其他设备机柜为12台，为了能使机房内的设备获得高“可利用率”，并为其创造优良的运行环境，同时在停电状况下可以及时的处理和停止一些关键业务系统，以保障系统不因为停电而造成系统瘫痪、硬件损坏、应用数据丢失等隐患，同时根据以后业务的发展需要，按照每个机柜满载复核为 4.5Kw计算，我们建议在增加一套模块化60Kva后备式UPS系统，待机时长4小时，即可满足机房内现有需求，又可满足设备的可扩展性。

2.7.2、网站集群系统搭建校内网络化信息发布平台，承载各部门和院属各单位等网站的网站群体系；按照网络化信息发布平台设定的网站群内容框架结构，建设网站群主站和各部门、院属各党群系统子站，完成网站资源整合，完成应用系统资源及监控系统的整合；建立网站群建设与运行管理所需标准规范体系；培养网站群运维队伍，构造网站群管理与支撑环境；提供技术支持，保障网站群可持续发展。

建设站群系统软件，就是将各站点连为一体，支持全部站点的统一管理，将现有的各职能部门的信息联系起来，使得同一组织内各个站点之间不再互相孤立。

以统一的门户协同为来访者提供服务。

来访者可以方便地通过一站式服务平台统一获得信息和服务。

站点群管理是实现统一权限分配、统一导航和检索、消除“信息黑洞”和“信息孤岛”的基础。

统一开发供各部门共享共用网站集群的软、硬件资源，共享共用的网站管理系统、互动交流系统。

网站群管理系统支持主站与子站的站群式管理，系统架构基于主流的内容管理，平台应符合J2EE标准，应基于最流行的开发架构（AJAX + Struts + Spring + Hibernate），系统支持分布式部署，可7*24小时不间断运行。

平台能够支持Windows、Linux 操作系统；支持SQL Server 2000及以上版本、Oracle、Sybase、MySQL、IBM DB2等多种主流数据库系统；可以支持Tomcat、Apache、WebSphere、WebLogic等应用服务器；网站系统可在操作系统、数据库、应用服务器之间的平滑迁移。

3、此次优先解决的问题：1、在网络出口处部署出口网关、负载均衡及网络出口加速缓存（CACHE），对校园网络出口进行整体优化；1）、在网络出口部署出口引擎，提高访问不同网络资源的速度，解决线路备份问题，避免出现单出口的单点故障。

2）、部署链路负载均衡解决在多链路环境的实际应用中，链路没有更好的进行负载分担，可更有效的利用有限的校园网出口带宽。

扩展网络设备的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。

3）、部署网络出口加速缓存系统（cache），能够针对流媒体、HTTP下载及P2P下载数据进行优化，自动判断本网络中的热点资源，实现热点资源本地化读取，不仅为用户提供了如同内网的般极速体验，还因为削减重复数据流，节省了大量的出口带宽资源。

2、因我校原来的出口防火墙（原有cisco5504）其在性能上已经不能满足目前日益增长的网络需求，原有的防火墙已达不到对现在校园网络安全的要求，必须对其进行更换，提高网络安全性，因此将原有出口防火墙（原有cisco5504）进行更换，并部署网络入侵检测（IPS），提高网络安全性，实现对网络应用、网络基础设施和网络性能的全面保护。

3、因目前服务器区无防火墙导致服务器区经常受到来自网络的攻击或人为的攻击，因此有必要在服务器区边界部署专用硬件防火墙，保障系统可靠性；在防火墙上部署严格的安全控制策略，对客户端和服务器之间的访问进行严格的管理4、中心机房原设计30个机柜，目前网络中心机房安装机柜15台，其中11台机柜安装有网络设备，经过统计，每个机柜设备（装满）瞬间启动最大功率在4.5KW,每个机柜设备正常运行功率在2.5 KW, 该机房设备启动时峰值功率为67.5KW，按照80%的带载量计算，需要配置的UPS主机实际带载量不应小于84.4KW根据目前机房供电系统的现状，增加一套模块化100KVA UPS系统，待机时长2小时，即可满足机房内现有需求，又可满足设备的可扩展性。