某市高专校园网建设项目

　　一、 项目概述

　　随着以计算机网络为支撑平台的各类科研生产管理应用系统的不断推陈出新，带宽需求的不断增长，网络覆盖面的不断扩大，强化网络安全管理需求的日益迫切、设备老化等原因，2010年8月完成了对某市高专校园网的建设。

　　建设后的新网络采用分层次架构，核心层采用2台H3C-S9505E交换机，汇聚层采用6台H3C-S5500-EI交换机，设备之间采用三层虚接口地址互连，接入层采用120台H3C-S2403/S3552二层交换机。路由协议采用ospf路由协议。

　　改造后的网络拓扑图如下：

二、 项目建设目标、需求和实施内容

　　2.1　建设目标

　　建立一个能够有效支撑业务发展的网络平台，在统筹考虑某市高专校园网业务需求和发展的基础上，兼顾远期发展目标，为在校师生构建一个高效、稳定、安全可靠的学习办公的网络。

　　2.2　建设需求

　　1) 网络建设以电信所在某市高专机房为中心;

　　2) 新建园区内网络设备全部采用国产设备;

　　3) 对现有服务器群进行统一整合和防护，并放置到防火墙后，与所有接入客户端逻辑上隔离，对服务器区域进行安全防护;

　　4) 新建网络按部门、业务需求重新划分VLAN;

　　5) IP地址采用10.X.X.X网段，合理进行分配;

　　6) 汇聚层实现VLAN隔离;

　　7) 核心、汇聚设备之间启用OSPF路由协议;

　　8) 合理划分安全域，并在核心防火墙上部署相应的访问控制策略;

　　2.3　建设实施内容

　　1) 新核心网络搭建;

　　2) 新旧网络对接与服务器群梳理迁移;

　　3) 园区楼层内接入交换机安装调试;

　　4) 实现基于用户的接入安全策略部署;

　　5) 实现可控软件的管理;

　　6) 实施VLAN之间访问控制;

　　7) 完成数据中心防火墙部署及访问控制策略配置;

　　8) 完成IMC平台及配套网管服务组件安装。

　　三、 技术解决方案

　　项目实施分为两个阶段：网络核心构建阶段和网络安全部署阶段。

　　1、整个校园网主要分为两个区域：学生宿舍区和教学办公区，宿舍和办公教学区进行vlan隔离;设计为双上行出口。在每台核心交换的前端部署防火墙对全网进行保护;

　　2、在服务器群的前端部署IPS(入侵防御系统)对学校的应用服务器进行保护，在IPS上有两对业务流，一对为学生上Internet的上网流量，另一对为师生访问校内应用服务器的流量;

　　3、办公教学区(含无线覆盖区域)访问外网无需进行拨号认证，可以随时访问教育网和公网;

　　4、学生宿舍访问Internet需要采用PPPOE进行拨号认证，认证计费平台是利用电信现在的平台;

　　5、在两台H3C SecPath F1000-E 防火墙和两台S9505E上分别作VRRP，实现虚拟路由冗余，主备切换，保障网络的稳定性;在两台S9505E之间作链路聚合;

　　6、在汇聚交换机S5500EI与核心交换机S9505E中为三层交换网络，启用OSPF路由协议，根据修改COST 值，定义数据报文流向;

　　7、在各楼道交换机(S2403)划分业务vlan，范围为内层vlan 1000-3000,此vlan作为学生业务;并建立DHCP;在核心设备S9505E-2设备光纤接入电信机房上允许通过外层vlan 392-398.;在此设备上使用QINQ;

　　8、学生教工均DHCP获取IP地址，在出口方向均采用缺省路由;

　　9、在H3C SecPath F1000-E建立L2TP VPN，方便在外出差的员工可以通过VPN访问内网;

　　10、之前的WLAN也接入现网通过S9505E-2到达电信机房，并使用之前的vlan 4。

　　四、 效益实现

　　某市高专校园网建设已经圆满完成，实现如下预期目标：

　　1. 在高专校园网网络整体设计中，采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置。

　　2. 对办公、教学和学生宿舍区提供融合的基础网络管理和基本接入管理，对学生区访问外网进行Portal认证。

　　3. 实现网络的安全统一部署。

2016年01月