1. 概述
随着计算机技术、通讯技术以及互联网技术的飞速发展，信息技术正在深刻地改变着高校的教学方式、学习方式、科研方式、管理方式与校园生活方式。以“数字化校园”为核心的高校信息化建设，成为新的历史时期高等教育现代化进程中的必然阶段。
数字化校园是以数字化信息和网络为基础，在计算机和网络技术上建立起来的对教学、科研、管理、生活服务等校园信息的收集、处理、整合、存储、传输和应用，使数字资源得到充分优化利用的一种虚拟教育环境。通过实现从环境、资源到应用的全部数字化，在传统校园基础上构建一个数字空间，以拓展现实校园的时间和空间维度，提升传统校园的运行效率，扩展传统校园的业务功能，最终实现教育过程的全面信息化，从而达到提高管理水平和效率的目的。
数字化校园数字校园建设本身是一个庞大而复杂的系统工程，而且是一个不断创新与发展的过程，所以各高校在实际建设的过程中表现出两个特点：循序渐进与个性化。
2. 项目背景
校园宽带网用户集中且网络流量大，关注网络的可运营和可管理特性，校园网建网需求如下：
1) 教师区、宿舍区用户对校园网、教育网、INTERNET的访问有相应的路由策略和相应的认证策略。
2) 校园网存在多个出口需求，校园网至少要提供中国教育科研网（CERNET）和网通宽带城域网两个出口。
3) 校园网安全性要求较高，要求设备能够实现用户识别和动态绑定功能如通过“用户名+IP+MAC+端口ID”三元组的动态绑定来识别用户。
4) 校园网WEB页面可实现以下功能：WEB认证、WEB多ISP选择、WEB用户费率查询WEB带宽动态调整等。
5) 校园网用户能实现多ISP权限选择。用户可通过不同的帐号或采用相同帐号的不同域名进行认证，以获得不同的权限，不同的权限对应不同的认证策略。
6) 校园网要求能实现帐号和端口绑定，限定帐号的使用端口。
7) 校园网要求实现NAT功能。因不同ISP（如网通城域网和教育网）到Internet的边界路由器只对本ISP的地址路由信任，如果校园网内分配的是教育网IP地址，校园网又是通过网通宽带城域网连接Internet，则从Internet返回的路由无法经网通城域网络返回校园网用户，这样将导致部分站点不可访问的问题。针对此情况需在校园网到网通城域网出口处做NAT，将教育网IP地址转化为城域网IP地址。
3. 项目原则
作为一个先进的多媒体校园网，需要完成包括图书情报信息、学校行政办公等综合业务信息管理系统，为广大教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作的先进平台。校园网覆盖整个学校校园，在网络性能上应该考虑以下几个要求：
1) 数据处理、通信处理能力强，响应速度快；
2) 网络运行安全性、可靠性高；
3) 系统易扩充，易管理，便于用户的增加；
4) 主干网支持多媒体、群体、图象接口应用，支持高性能数据库软件包的持续增长；
5) 系统开放性、互连性好；
6) 局域网既能方便远程用户的拨号接入，又能满足特殊用户高效地连入广域网，使用灵活；
7) 具有很强的分布式数据处理能力。
8) 在组建中，需要注意的设计原则有：
 坚持开放性，采用国际标准和通用标准；
 采用先进而成熟的技术；
 易于技术更新及网络扩展；
 实用，性价比高；
 统一规划，分布实施。
5. 设计方案
学校校园网络改造完成之后，应能满足以下原则：
5.1. 核心层
核心交换机建成后的必须能在网络层次结构、设备的引擎、电源、风扇等模块的冗余备份上保证网络运行的可靠性，保证不会因硬件单元故障，而导致网络连接失效、数据中断的严重后果。
实施原则：
 核心交换机对于关键部件，如引擎、电源、风扇等模块以冗余方式部署；
 核心交换机至汇聚层交换机之间采用万兆链路进行连接，从而形成核心到汇聚的万兆网络。
5.2. 汇聚层
实施原则：
 汇聚交换机采用动态路由协议与核心交换机之间形邻居关系，从而动态学习路由，减少人为手工操作及添加静态路由。
 汇聚交换机采用千兆光纤链路下联到接入层交换机。
5.3. 接入层
 每个配电间布置两台或两台以上接入交换机，一台连接终端准入计算机进行接入认证，另一台交换机不起用认证功能连接监控与打铃系统。
 接入层交换机使用高质量双绞线千兆部署到个人PC桌面。

6. 实施方案
6.1设计结构

 使用高性能交换机替换原有作为核心接入交换机;
 原有作为服务器区汇聚交换机，对服务器区实现热备功能。
 可通过部署使用万兆光模块与汇聚交换机进行互联，以实现万兆核心至汇聚网络。
6.1.1. 路由设计
考虑到全网目前已经采用OSPF路由协议，为保证全网路由的一致性和可达性，建议核心交换机上继续运行OSPF动态路由协议在全网配置统一的IGP路由协议。
6.2. 接入设备设计
6.2.1. 技术设计
 命名规则
由于学校设备较多，有一套好的命名规则会大大的提高管理效率。
网络设备命名方式，为了更加便于记忆和管理，在学校本次网络建设中，网络设备编号采用统一的编码规则，要能反映设备所在设备间的位置和设备的类型。设备编号共分为4个域：
{Organization}-{Location}-{DeviceType}-{No.}
设备编号简要说明如下：
Organization：代表一个单位，4～6个字母或数字，
Location：代表设备的地理位置，4～6个字母或数字
DeviceType：代表具体设备型号，3～10个字母或数字；
No：可选编码，代表设备编号，两位数字，以区别同一个地方有多个相同设备。
 编码定义
组织标识：用于表示学校设备管理使用的IP范围，采用INTERNET上的保留地址。
设备地点及标识：用于表示各个设备地点标识。
网络地址空间：范围是1－251，254为管理网关，252-253备用。
 VLAN规划
VLAN作用
在校园的整个网络规划当中，VLAN 的划分是非常重要的部分，很好的利用VLAN技术的功能，能起到事半功倍的效果，对整个网络的性能也是事关重要的。主要突出为以下几点：
VLAN 划分，可以避免广播风暴，在医院网络尤为突出，在多媒体、视频点播等很容易引起广播信息；划分之后，VLAN 是广播只在子网中进行，不会做无意义的广播，消除了广播风暴产生的条件。
VLAN 划分，可以增加网络的安全性，在不同的VLAN之间不能随意通讯，只限与本子网间通讯，不会对其他的子网产生干扰。要进行访问，需要通过三层交换，这样信息流就得到相当好的控制。
网络管理系统采用完全独立的IP子网和VLAN，实现更加安全的对所有网络设备进行管理。建立VLAN 和IP 子网的对应关系。
提高管理效率，实现虚拟的工作组，减少站点的移动和改变的开销。
VLAN 间的子网访问，可以在三层交换机上实现，子网间的通讯也可以在汇聚上实行，分流核心交换机的三层交换，优化了组网。
VLAN命名规则
 VLAN命名方式，为了更加便于记忆和管理，VLAN命名统一采用楼号+楼层表述方式；
比如VLAN 11就是1栋1层楼使用的vlan号

6.3. 认证系统部署实施
(1) 搭建数据库管理平台。（大约2小时）
(2) 配置我方平台，数据通道，以及计费策略等。（大约1小时）
(3) 导出帐号，作帐号信息的格式修改，导入我方数据库。（大约1小时）
(4) 交换机修改radius认证，以及接入启用802.1X。（由工程师调试）
(5) 后期培训平台搭建、平台管理配置步骤，以及提供操作手册。

6.4. 统一管理平台
6.4.1. 产品介绍
统一管理中心作为安全解决方案的中心，实现对整个网络的安全监控和管理，是大中型企业网络安全管理最佳方案。
网络规模不断升级和扩大，安全设备在网络中得到大量部署，管理人员在管理安全设备和安全策略时，总是会遇到设备无法统一管理、策略无法集中配置、日志和流量无法全面及时的分析、权限分散无法集中和分级进行管理等难题，往往只能通过对每个单独设备的管理，通过单纯的设备日志查看来进行逐个分析；
常规的网管软件可以对实现设备网络级的管理，但是无法对安全事件进行分析，管理员无法及时准确的了解网络中的安全状况，更加无法实现对网络的统一安全管理。
DPtech UMC实现了网络安全可视化管理，能对全网进行安全策略集中管理、统一日志收集和分析、软件集中升级等功能，并可以支持分级管理，方便灵活的定制管理权限。UMC将原本分布在网络中各自独立的安全设备进行统一的管理和监控，对网络事件进行专业深入的统计分析，并通过丰富的报表展示网络安全状态，形成一个集统计分析和管理配置于一体的安全管理解决方案。
7. 工程界面
7.1. 说明
工程界面是指施工方与客户方在工程材料和工作内容上的职责划分，目的是明确双方的责任和义务，避免因职责界定不清对工程实施造成不良影响。如果合同中有明确说明，按合同执行。如果合同中未明确，依照通信网络行业惯例制订如下工程界面划分：
7.2. 工程材料界面
客户：
1) 安装环境，防雷、防水、接地、空调等装置；
2) 传输设备、MDF/ODF/DDF配线架及端子；
3) UPS电源、直流和交流电源柜；
4) 电源柜到机柜之间的电源线和插排；
5) 建筑接地装置到机柜之间的接地线和接头；
6) 安装设备的机柜及所需的支撑件（如托盘、滑道）等。
7) 配线架到设备间的连线和接头，如网线、尾纤、E1电缆等。
施工方：
1) 工程实施所需工具，如网线钳、改锥等；
供货方：
1) 按合同要求提供货物；
7.3. 工作界面
客户：
1) 完成机房装修，设备安装位置符合通风和空间等环境要求；
2) 完成电源柜和UPS的安装；
3) 完成电源柜到设备机柜之间的电源线布放和连接；
4) 完成建筑接地装置到设备机柜之间的接地线布放和连接；
5) 确定设备的安装位置，安装符合要求的机柜；
6) 协助办理施工方出入证件；
7) 与施工方共同开箱验货；
8) 广域网线路调试，运营商资源协调；
9) 客户内部资源协调；
10) 提供方案制定和工程实施所需信息，审核施工方提交的方案；
11) 配合施工方进行硬件安装、软件调试和网络割接；
12) 对工程进行验收。
施工方：
1) 制定实施方案，获得客户认可后方可实施；
2) 与客户共同开箱验货；
3) 设备安装上架，加电；
4) 配线架到设备间或设备之间的连线布放和连接，设备到电源插排的连接；粘贴设备标签和线缆标签。
5) 软件配置、调试，网络割接；
6) 配合客户对工程进行测试和验收；