学校智能化项目计算机网络系统设计方案
3.2.1、设计概述
稳定的计算机网络平台是学校数字化校园建设的基础，决定了学校未来数字化和信息化建设水平。

本次xxx中学的计算机网络系统的设备选型需在满足未来数字化校园建设的基础上具备前瞻性。

通过校园网络的建设实施，为构建教学管理、行政管理和电子书包、平安校园、数字图书馆等学校信息化应用系统打下基础，为学校的师生在计算机网络环境下开展教学、学习以及行政管理和领导决策提供先进的技术支持和管理手段。

3.2.2、设计目标
如何建设一个性能优越、运行稳定、稳定可靠、安全、管理方便的网络系统是xxx中学和我们要共同面对的问题。

仔细分析xxx中学数据网和设备网的需求，可以概括为以下几点：
1、应该具有完善的网络准入控制，禁止非法用户的接入。

解决网络接入混乱，任何人任何电脑只要在单位内插上网线都可以接入内网的问题，将网络安全隐患扼杀在摇篮之中。

2、应该具有合理分配网络带宽的策略。

可以解决网络带宽常常被一些非重要业务（如：P2P下载、网络电视、网络游戏等）长时间占用，个别用户大量吞食网络带宽造成网络访问速度慢的问题。

可以保障关键、重要业务的网络带宽需求，为教育教学工作提供良好的网络环境。

3、应该具有全面的网络应用控制策略。

可以对适合的用户开放合适的网络服务（如：即时通讯软件QQ/MSN、WEB、EMAIL、BT/迅雷P2P下载、网络电视、网络游戏、股票软件等）。

4、应该具有效的安全防御措施。

可以解决xxx中学数据网无法防御ARP病毒、SQL蠕虫、DHCP、DDos攻击等局域网常见威胁；网络出口设备具有防扫描、防攻击、防病毒、非法网站过滤、垃圾邮件处理等防火墙功能，可以保障内网用户的安全。

5、应该具有统一的软硬软管理平台，网络管理图形化、直观、简单。

解决了网络故障排查困难、故障定位难、解决慢，网络设备调试难，不方便远程控制等问题。

6、应该具有可以控制局域网广播风暴，可以控制非法组播，可以针对用户限速，可以限制同一Vlan的局域网用户互访，可以隔离网络安全风险等。

7、应该可以对全网运行状态进行实时监控，及时发现网络安全隐患采取有效措施；可以实现日志记录、日志分析、
网络审计等功能。

8、应该具有全方位的访问控制策略。

可以解决无法区分、控制局域网内部用户的访问流量的问题。

可以禁止学生用户访问设备网内老师的资源（如：试卷库），可以禁止所有一般用户访问综合楼重要资源等。

9、当网络拥有多条出口线路时，选路规划的不合理会造成上网慢、带宽资源浪费等问题。

提供一整套完善的智能选路体系来解决这些难题。

设备会自动分析多条线路的情况，选择最优线路，避免出现跨运营商访问、链路使用率低等问题，提高上网速度。

10、网络能够针对流媒体、HTTP下载及P2P下载数据进行优化。

它能够自动判断本网络中的热点资源，实现热点资源本地化读取，不仅为用户提供了如同内网般的极速体验，还因为削减重复数据流，节省出口带宽资源。

考虑以上需求，我们为xxx中学量身定做了一套数据网络方案。

为xxx中学建设一个全新、高速、安全、稳定、可靠、易管理的网络系统，将网络接入Internet，为xxx中学所有师生提供丰富的教育产学研资源及互联网资源，提供各种网络应用及服务（如：FTP、VPN、电子邮件、网页浏览、即时通信、远程登录等等），实现资源共享和统一管理。

3.2.3、系统详细设计
本方案计划将xxx中学数据网络系统分为两部分，一部
分是数据网，一部分是智能化设备网。

两套网络建设成为万兆骨干、同时千兆到桌面的高速交换网络系统。

核心层
网络中心节点及其它核心节点作为综合楼数据网络系统的心脏，必须提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保障。

另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。

网络中心将作为整个网络的核心层，它是数据处理中心和广域网通信中心，也是各种服务器和网管工作站集中的地方，设计采用2台高性能、全功能的数据中心级交换机，可以充分保证网络的高可用性、无故障全天候运行。

在网络中心的设备选型和结构设计上考虑整体网络的高性能和高可靠性。

具体来说核心节点的交换机有两个基本要
求：1）高密度端口情况下，还能保持各端口的线速转发；2）关键模块必须冗余，如管理引擎、电源、风扇。

由于xxx中学数据网建设将采用万兆技术，因此需要考虑到核心设备对万兆的支持能力。

同时，核心交换机配置硬件的负载均衡功能，从而实现服务器群的负载均衡和防火墙等安全设备的集群。

新一代的数据中心交换机具有超高交换容量和二/三层包转发速率，可提供高速无阻塞的交换，强大的路由功能、数据中心网络功能和安全智能技术，是大型园区网络骨干交换机的理想选择。

综上所述，在本方案中，核心交换机拟采用多业务万兆数据中心级交换机。

核心交换机可支持策略路由、IPV6等协议，并可支持MPLS、负载均衡等丰富的业务功能，满足灵活而复杂的不同应用环境的需求，可以根据用户的需求灵活配置，灵活构建弹性可扩展的有线无线一体化网络。

接入层
接入层网络由部署在综合楼的楼层配线间内的接入层交换机以及无线AP接入交换机组成，接入层网络满足各种用户客户端的接入需要，包括有线设备和无线局域网设备，而且能够实现客户化的接入策略，业务QOS保证，用户接入访问控制等等。

楼层交换节点采用千兆智能堆叠交换机，提供智能的流
分类和完善的QoS特征。

为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管，最大化满足高速、融合、安全的园区网新需求。

无线AP接入交换机具有POE功能，可以在为无线AP提供网络接入的同时，提供馈电功能，因此无需为AP就近布放电源插座，极大地方便了无线局域网的部署。

本方案中各接入交换机通过千兆链路直接上联到校园网核心交换机，对下联的桌面设备提供千兆连接，为各类用户提供高速的交换性能。

无线网络
根据综合布线系统的信息点部署，物理分布和实际网络结构特点，建议选用业界领先的集中无线网络解决方案，架构统一，系统管理，可准确定位，高效运营，能全面满足老师学生对无线网络的需求。

802.11ac被芯片厂商、无线局域网系统供应商以及各种终端用户组织定义为首选技术路线，802.11ac Wave 1的1.3 Gbps（物理层速率）显著超过了450 Mbps的802.11n最大数据速率。

802.11ac技术可大幅度提升无线局域网的吞吐量，支持低延时要求的语音和视频等服务，减少功耗，且可以后向兼容802.11n模式。

本次项目的硬件部分主要包括无线控制器和802.11ac 无线接入点（AP）组成，系统能够对现有的各应用及业务系
统进行整合，利用无线通讯技术，引入新的信息服务与管理理念，结合资源管理，将综合楼所有业务系统之间无缝连接，建立一个智能化无线系统。

无线访问点部署在各楼层覆盖区域，同时，室外型AP实现对大楼前部分区域的覆盖，无线控制器AC部署在机房，整个系统协同工作，实现无线信号的转发、控制、覆盖、定位、安全接入和监控、维护、管理。

根据应用需求，校园无线网采用瘦AP无线网络解决方案，整体是由“瘦AP＋无线控制器＋POE供电设备＋无线集中网管”的组网方案。

其中，瘦AP完成终端的无线接入，无线控制器完成接入策略、认证方式、功率控制等。

通过无线控制器对无线AP进行集中管理，达到统一运维、管理的目的。

其中瘦AP实现无线信号的处理，而AP管理、加密、漫游等功能全部集中到AC进行，这样可以简化整个网络的管理，提高设备的工作效率。

无线控制器作为统一集中管理无线AP的设备，要求具有大容量、高性能、简单部署、扩展性强等优点，便于用户使用和后期扩容。

建议部署1台无线控制器（或AC板卡），实现对无线AP的统一控制管理，并做到1+1的冗余备份，其中任何一台无线控制器出现故障，都会切换到备份无线控制器上。

而当主控制器恢复后，无线AP将自动回切到主控制器上，确保无线业务不中断。