上海师范大学校园网技术建议书华为技术有限公司2008年11月目录目录 (1)1．概述 (2)1.1上海师范大学校区校园网建网需求分析 (2)1.2.1 一般建网需求 (2)1.2.2 上海师范大学校区建网需求 (4)1.3核心、汇聚建网原则 (4)2．总体网络设计 (7)2.1组网描述 (7)2.2业务访问说明 (9)3．上海师范大学详细网络设计 (10)3.1IP地址规划和路由策略 (10)3.2上海师范大学VLAN划分 (11)4．核心网安全设计 (12)4.1用户严格隔离 (12)4.2用户唯一标识 (12)4.3防止对DHCP服务器的攻击 (13)4.4组网安全性设计 (13)4.5出口运营商线路备份 (13)5．组网核心设备介绍 (15)5.1Q UIDWAY®S9300系列核心路由交换机 (15)5.2Q UIDWAY®N ET E NGINE 40全业务路由器 (18)6.教育行业用户名单 (24)1．概述随着国家信息化工作的深入开展，提高教育系统信息化水平成为当前工作的重点。

而校园网建设则是教育系统信息化建设的关键，尤其是高校校园网建设。

在信息化的建设过程中，它的作用体现在如下几个方面：1、校园网能促进教师和学生尽快提高应用信息技术的水平；信息技术学科的内容是发展的，它是一门应用型学科，因此，为了让学生学到实用的知识，必须给他们提供一个实践的环境，这个环境离不开校园网。

2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库，所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。

3、校园网是学校现代化管理的基础，深入、全面的学校信息管理系统必须建立在校园网上。

4、校园网提供了学校与外界交流的窗口，学校应将校园网与互联网联接，这也是学校信息化的要求，做到了这一步，通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。

教育即未来，作为国家最重要的战略工程，如何应用信息技术改造我们传统的教学和管理手段；如何加深学生对于信息化和信息技术的理解与了解；如何造就同时具备传统和信息双重文化的一代新人，已成为教育界当前最为紧迫的任务之一。

信息技术的应用，势必极大地推进教育手段和教育内容的革命性变革。

我们对此深信不疑，并将全身心地为之努力。

1.1 上海师范大学校区校园网建网需求分析1.2.1 一般建网需求上海师范大学校区的网络属于新建，在实际的建设过程当中，应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性，如：校园网内部的服务器的访问，由于学生的访问的内容多样化决定，涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。

此处主要分析上海师范大学网络基础设施建设和网络运营方面相关的内容。

上海师范大学校园网络建设从网络流量模型上看和企业网的流量模型相似，用户集中而网络流量大，但实际应用上还存在许多和企业网不同的地方。

主要特点如下：1、多出口的需求：典型的组网有中国教育和科研网（CERNET）出口和运营商网络出口。

多出口带来了以下两个需求：1)多权限ISP需求。

用户可通过不同的账号名或采用相同的账号，不同的域名认证，获得不同的上网权限。

譬如做到用户不认证前能自由访问校园内部分服务器，采用“user@163”登录，可实现Internet和校园网络自由访问，采用“user@crenet”登录，可访问CERNET和校园网。

用户域名选择可通过WEB认证时用户通过选择WEB认证上的相应选择项进行选择。

2)多ISP分别计费的需求，对应不同的ISP，计费策略不一致。

考虑到用户的以上的需求，需要在学校的内部提供不同的路由策略，即用户访问教育网的相关站点，通过CERNET的线路，而访问其他的网站如：新浪网、263等网站则选择运营商的线路作为出口路由，这要求核心的交换机或出口路由器能够提供策略路由以支持该特性。

2、用户管理的需求：1)使用方便，存在WEB认证需求。

要求能做到基于WEB的身份认证、多ISP选择、W用户费率查询、带宽动态调整（隐性需求）、多WEB界面（隐性需求）等。

2)需要解决账号和端口绑定问题。

通过此种方式限制账号的使用区域。

3)对用户带宽进行控制的需求，要求设备能对用户的带宽进行控制，譬如限制为64K 、256K、512K、1M、2M、5M、10M等等级。

3、多种教学方式并行的需求：随着校园网的信息化的发展，越来越的多教学方式依托于网络给学生提供多种的特色教学模式1)多媒体教学。

为了更好的为学生提供全方面的教学资料，越来越的多学校在自己的内部局域网上面为学生提供多种教学资料，如：多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。

2)VOD 点播业务实现，通过建立VOD视频服务器平台，利用交换机提供的组播功能，为上海师范大学的用户提供优质的视频效果，同时节省用户带宽。

4、安全管理的需求：1)校园用户接受新鲜事务的能力非常强，因此校园也成为黑客最多的场所之一，如何保障校园网络的安全成为建网时不得不考虑的问题，目前主要攻击手段有DOS，DDOS等2)上网日志的需求，主要是配合公安机关保证社会的稳定和校园的安全6、组播业务的需求，特别是可控组播的需求将随着校园信息化的深入而体现出来。

1.2.2 上海师范大学校区建网需求上海师范大学有两个校区共四个主节点和五个分节点。

主节点为：徐汇信息办机房、徐汇一教5楼机房、奉贤图文8楼机房、奉贤老图书馆机房；分节点为：徐汇计算中心、徐汇东校区、徐汇图书馆、徐汇行政楼、奉贤图书馆。

上海师范大学有三个Internet网络出口，分别为徐汇校区的1000M教科网出口（目前日常使用带宽为单向800M、双向1.5G以上）、1000M上海中小学校校通教育网出口和奉贤校区的20M电信出口（所有链路均为千兆光纤接口）。

具体需求：●现有网络的容量，可靠性－－建设后网络5－10年的容量，可靠性●新的网络平台扩充后必然会引入安全问题，如何实现安全的控制及监控。

●新的网络平台对于业务主流技术的应用（包括VPN,IPV6,QOS等）●对于用户的管理和计费，以及安全是否做充分的考虑●其他业务系统的信息化互联，包括一卡通，数据中心等…1.2 核心、汇聚建网原则早期的高校校园网主要是共用内部教育系统主机资源，共享简单数据库，多以二层交换为主，很少有三层应用，存在安全、可管理性较差、无业务增值能力等方面的问题。

现在上海师范大学校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学、图书馆管理自动化，而且还要通过Internet实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。

基于对上海师范大学校园网业务需求的深入理解，结合自身产品和技术特点，华为公司推出了了完善的上海师范大学校园网解决方案，为上海师范大学提供“可管理、可增值、可持续发展”的精品网络。

上海师范大学网络建设遵循以下基本原则：高带宽上海师范大学网络是一个庞大而且复杂的网络，为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特，整网的核心交换要求能够提供无瓶颈的数据交换。

可增值性上海师范大学校园网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。

所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。

可扩充性考虑到上海师范大学用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩展功能，上海师范大学校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。

开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。

安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。

2．总体网络设计2.1组网描述上海师范大学校园核心层解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。

组网图如下所示：解决方案网络分为三个层次，核心层、楼层汇聚层、接入层。

为实现校区内的高速互联，核心层采用4台华为公司核心路由交换机Quidway S9312，采用10G 接口互联，组成环网，构建了校园网络中心。

设计说明：核心采用4台S9312核心交换机，主要是从核心的大容量转发、高可靠性角度考虑。

4台S9312负载分担连接多台服务器、所有汇聚交换机和出口路由器，部署业界先进的检测技术及保护技术，如BFD FOR VRRP, smartlink，RRPP，确保网络s级的快速切换，保证业务不中断，最大实现网络的可靠性。

汇聚层采用全千徐汇信息办机房奉贤图文8楼机房中国教科网校校通网络中国电信教科网、校校通出口路由器电信出口路由器NE40NE40流控日志服务器防火墙防火墙服务器群服务器群S9312S9303徐汇一教5楼机房奉贤老图书馆机房徐汇计算中心徐汇东校区徐汇图书馆奉贤图书馆徐汇行政楼S9303 S9303S9303 S9303 S9303S9312S9312S9312兆S9303汇聚层交换机，保证带宽，避免在汇聚层形成瓶颈。

S9303交换机提供的三层功能可以有效屏蔽网络攻击，保证网络安全。

在服务器分布区，核心设备旁挂一台交换机，作为各种服务器端口汇聚，新增一台防火墙作为安全防范。

上海师范大学校区校园网核心层、汇聚层、接入层建设是要求从上海师范大学实际的应用出发，考虑到学生用户数量大、上网时间集中、突发流量较大等因素，华为在实际的建网的过程当中遵循了以下几点要求：1)核心层交换机：在建设的过程当中，应当充分考虑到核心交换机的交换性能，以及转发性能，华为 S9312万兆核心交换机具12个业务插槽，最大可以支持4.8T的背板容量和2T的交换能力，设备包交换能力可以达到864Mpps， MAC地址表最大达到512K。

可以为用户提供强大的三层交换功能，目前对于万兆接口、IPv6等新技术均支持。

2)汇聚层交换机：汇聚层在整网当中是接入层与核心层的桥梁，因此在网络的建设过程当中应当避免汇聚层的瓶颈问题，并应当留有足够的业务扩展能力。

我们在上海师范大学的网络设计当中采用S9303交换机作为汇聚层交换机，S9303交换机支持QinQ、灵活QinQ、VLAN 交换等VLAN特性。