准入管理
全网执行用户准入控制 用户账户统一使用LDAP存放管理 学生公寓有线访问使用802.1x 其他区域和无线访问使用Web-Portal 绑定用户账号、IP地址和MAC地址 实名制准入登录结合事后审计确保有据可查
无线接入
所有无线访问点通过控制器统一管理
无线网建设
2010年、2011年分两批建设了校园无线网，现有无线控制器2 台，无线AP 339个。 覆盖所有办公楼、教学楼、室外广场。 学生宿舍区与中国移动合作，移动建设无线网，免费提供一 个SSID给校园网使用，认证由学校统一管理。 支持802.11a/b/g/n，使用Web Portal方式认证 无线网无需登记，使 用上网帐号登录即可 只保留syslog认证记录
校园网结构
校园网的层次
校园网层次
出口设备：负责校园网与外部网络的连接和互通。通常为 防火墙、路由器等 核心交换层：连接区域交换机，负责主干数据的传输和路 由，具有较高的ip层数据转发能力，使用的设备为高端交 换机或路由器 区域交换层：负责连接区域内交换机，做区域内数据交换， 具有局域网间的数据交换能力和广播控制能力，通常为三 层交换机 楼内交换层：负责连接计算机，做局域网内数据交换，通 常具有终端的接入控制能力
我们使用了两台服务器，16G内存，共10T磁盘存储空间 一台作为前台任务分配器，兼做缓存，另一台只做缓存。 用户反应较好 下一步准备使用 端口镜像的旁路 方式
校园网有9台核心交换机，分为8个区域汇聚，分别万兆上联 双核心。取消了大部分性能低的三层设备 新校区光纤连接的楼100多栋。 在用交换机近700台，用开源软件做监控。
网络现状
万兆骨干双核心 有线无线全覆盖 IPv4/v6相融合 安全智能到边缘
网络现状
校园网主干由双核心分别通过万兆链路连接各汇聚 无线控制器通过万兆链路连接核心 内部路由协议为多区域OSPF OSPF v2 for IPv4 OSPF v3 for IPv6 全部链路都运行双协议栈 基于LDAP的用户身份认证实现网络准入控制
校园网概述
河南理工大学 现代教育技术中心网络工程部

校园网特点
校园网属于典型的园区网，涉及到多种网络技术， 以太网、IP、PPPoE、POS，双绞线、光缆、电磁波 校园网内包含多个局域网，具有局域网的所有特点 通常具有主干传输网，多个区域间互联互通 具有和大型网络相似的出口结构，如防火墙、NAT、 BGP路由 和电信运营商类似的网络管理方式
现有设备情况
教育网40G光传输设备一套 教育网NP80E路由器一台 校园网核心交换机9台 其他各类型交换机700台 无线控制器2台 无线AP 360台 万兆防火墙一台 服务器
2013-12-26
拓扑结构
内网全部三层设备连接详图

在用的教育网地址49152个，直接分配到用户。 有线网使用静态地址分配方式，先登记后使用。 无线网使用自动分配。 学生区分配96C，无线网16C，其余为办公区和家属区。 登记注册的网络用户近2万多人，最高在线接近1万（不包括 无线网） 校园网承载的特别应用： 一卡通、财务VPN
管理
2010年网络改造后取消了原有认证系统，只有少数学生宿舍 使用802.1x认证上网 目前采用先登记后上网的方式，自制程序自动绑定个人信息， 可自助更改。 在汇聚层交换机使用IP地址和MAC地址绑定的方式做上网验
证，一方面减轻arp广播的影响，另一方面做用户身份确证。
绑定方式不受二层交换机的影响，实现方便。
出口状态
三个出口各500M带宽 从核心上联的高速防火墙负责路由策略 按照NIC的WHOIS数据静态路由至三个出口 内部服务器策略路由至教育网出口 自动跟踪出口状态调整静态路由指向 流控设备限制每IP浏览和下载可用带宽
出口状态
网络管理
设备监控使用基于SNMP的监控 路由管理 出口带宽流量控制
扁平化网络结构
数据链路层数据转发基于MAC地址，数据报简单，效率高， 对设备性能要求低 基于IP数据包的路由对设备性能要求较高 局域网内数据交换减少，对网外数据交换增多 减少底层的路由功能设备，更多的使用交换设备，使网络 更加扁平化 注意广播的控制
发展历程
我校校园网始建于1996年 历经多次调整与改造 河南教育科研网焦作主节点 2010年教育网升级改造 为学校整体信息化建设提供坚实的基础
无线接入
IPv6
2004年使用隧道方式接入教育网，2010年通过升级后 的省教育网接入CERNET2。 全校使用双栈方式接入，主干使用OSPFv3，用户使 用无状态地址分配。
网络加速
主要是使用HTTP代理的方式做内容缓存加速。 在防火墙或者核心交换机上使用策略路由，把HTTP数据转到 代理服务器，实现对终端用户的透明化。 使用开源软件SQUID和 Apache Traffic Server 对视频网站需要使用插件 对缓存URL做特殊处理