一、当前存在的问题

网络目前经常出现异常中断，导致学校的关键业务受到严重影响，而且故障出现后也很难准确定位及快速处理，网络恢复时间较长，造成网络较长时间中断。

根据对广外附设外语学校网络的检查及分析，目前造成网络中断的原因包括病毒感染造成网络流量异常增大，办公室内非网管小交换机私自接插网线，造成网络环路，出现广播风暴，宿舍区下载流量过大抢占整个学校上网带宽等等。

学校希望对现网校园网络进行改造、优化及升级，以满足学校数字化校园的建设需要。

二、广外附设外语学校网络拓扑现状

广外附设外语学校网络接入级数过多，比如教工饭堂到小学高教楼汇聚机房中间经过教工9栋、教工8栋，图书馆4级，教工6栋和16栋中间经过教工5栋、教工3栋2级接入到小学高教楼汇聚机房。

广外附设外语学校网络中各配线间交换机型号多样，比如8306房和4307房都是两台阿尔卡特朗讯OS6248堆叠再级连OS6250,一是不方便统一管理与配置，二是接在OS6250上的计算机访问校园网速度受限。

1.网络拓扑图

2.现有网络设备分布情况表

三、问题解决思路

针对前面列出的广外附设外语学校网络问题，主要解决思路如下：

1.调整、优化网络结构，减少网络层次，减少故障点。通过将学校网络划分为中学部、小学部、财务室、服务器区、黄华楼、多媒体课室与宿舍区七大部分，实行不同安全策略等级和不同的流量策略；网络架构采用核心＋汇聚＋接入三层架构，二、三、四、五级接入点全部通过新布设的光纤直接接入到核心或汇聚节点，成为一级接入点。

2.提高可靠性和稳定性，核心层、汇聚层全部采用双机热备，DNS/DHCP服务器使用2台服务器热备，重新归类每一配线间的现有交换机，使每一配线间的交换机使用同一型号进行堆叠，接入层采用双光纤链路接入到两台核心层或两台汇聚层设备。原来部门非网管的交换机 逐步替换为符合业界主流技术的网管型产品

3.全面建设无线网络。符合当前数字化校园的建设和移动终端的教学普及（平板、智能终端）的趋势。

4.加强网络安全建设。网络安全主要考虑服务器区域安全防护，认证系统建设，宿舍网安全防护。针对现在网络易出现的广播风暴问题，配置接入层交换机，启用广播风暴抑制功能，启用BPDU GUARD，启用DHCP SNOOPING，启用端口MAC地址限制等功能。

5.建设网管平台。部署一套功能丰富、实用型的网管平台，对现有的网络状况，包括设备、架构、管理等等因素进行科学的分析。

四、广外附设外语学校优化后网络拓扑图及前后网络特性对比

1.优化后网络拓扑图

2.优化前后网络特性对比表

五、具体实施

1.调整、优化网络结构，减少网络层次，减少故障点

将二层网络应用，改为三层路由网络。全网按区域、应用类型设立7大汇聚节点：中学部（兼做全网核心），小学部，教工宿舍区、多媒体课室、黄华楼、财务室（安全性考虑），服务器区（安全性考虑），汇聚层到核心层采用三层路由协议，接入层到汇聚层采用802.1Q ，各子网的网关设立在汇聚层设备上，避免单个业务系统（例如多媒体课室）、单个区域（例如教工宿舍区）的网络故障影响全网。

接入层改造，现有的网络之所以故障频发，很大原因是受限于校内综合布线光纤主干系统，接入层交换机是以多级级联的方式互联，生成树状态的计算导致网络抖动，接入层改造分为2个阶段：

第一阶段为综合布线改造：增加水平子系统，或楼间子系统的光纤链路，实现接入层设备双1G链路直接连入汇聚层；并且实现主干链路带宽扩容，汇聚层到核心为10G链路，服务器区域连入核心交换机也为10G链路。

第二阶段改造，增加一台核心层设备，在小学部和宿舍区各增加两台汇聚层设备，原来有部分非网管的低端交换机，要逐步更换升级为可网管的交换机。

将各配线间的接入层交换机重新调配为堆叠连接模式，学校网络设备为分批采购的原有，导致现有接入层交换机新旧型号不一致，无法做背板堆叠，即使在同一配线间也存在着级联的连接方式，通过把接入交换机进行归类整合，配置为堆叠模式再上联汇聚层设备，减少网络层次并且可以单一IP管理，减少故障点。

2.校园办公区域的无线网络的建设

目前学校网络发生故障，经常是因为接入用户不受控的接入网络，二层环路导致广播风暴而影响全网网络，在办公区域由于综合布线信息点不足，给老师办公室增配来了集线器(HUB)，但实践证明是一个故障点，考虑到未来的数字化校园的建设，以及移动终端的教学普及率（平板、智能终端），建议在部分教师办公室撤销集线器，改部署集中控制型的无线网络，需要安排无线测试，测试无线覆盖和功能（测试后需提交书面的测试报告，作为项目今后建设的依据）。

增加一台无线控制器，负责对整个无线网络的认证管理、加密管理、入侵检测、用户无缝漫游、RF管理等功能；无线AP覆盖教师办公室，数量为每一间要覆盖的教师办公室一个。

3.网络安全的建设

网络安全主要考虑2个方面，

服务器区域的安全防护，在网络核心层增加两台服务器专用防护UTM（统一威胁管理设备），要有满足业务需要的万兆/千兆接口，通过配置安全策略（防病毒、入侵防御、访问控制等）实现对学校关键应用业务的保护。（原来的考虑是在现有的FG3600防火墙设立DMZ区，下挂1台全千兆三层交换机，但现有的FG36000 已经过保修，如果同时兼任网络出口设备和服务器防御，性能上是无法达到要求，而且存在单点故障，新购的UTM防火墙除了可以防护服务器区，还能预留业务端口做为FG3600网络出口业务的备用，一旦出口设备故障服务器区域的防火墙还可以切换为网络出口的网关设备，不会影响学校的业务开展）。

全网部署一套认证系统，对应台式机、笔记本电脑采用802.1X或WEB portal 认证，对应平板电脑、智能终端采用WEB portal 认证 ，对于打印机等终端采用基于MAC的认证，全网实现实名认证上网，今后可以与数字化校园的一卡通等系统LDAP对接，需要安排认证系统测试，结合现有的网络系统和未来要上的无线网络系统，进行功能测试（测试后需提交书面的测试报告，作为项目今后建设的依据）。

教工宿舍区域，由于教工广泛使用无线路由器，IP地址私自设立，并且终端电脑易受互联网上的病毒、木马等恶意程序的影响，导致影响到网络。因此在教工区域独立设立汇聚层三层交换机，网关设立在该汇聚设备上，发生故障时很容易定位问题，而且局部故障不会扩散影响到全网，通过WEB portal网络认证系统，教工宿舍的无线路由就必须工作在网桥模式，IP地址将接受指定的DHCP分配，避免了以前无线路由器工作在路由模式下NAT私自分配地址，无法追踪定位最终用户(PC)的问题，从而实现对教工宿舍区域的网络的控制和管理。

学校的DNS服务和DHCP服务是关键业务，目前都属于单点故障，建议用2台服务器来实施， DNS配置为master-slave形式，DHCP配置为failover形式。确保DNS和DHCP服务的高可靠性

4.网管平台的建设

目前学校网络没有一个统一的管理平台，而且全网的设备是分批购买，长期以来没有进行软件版本、系统配置维护，导致网络设备运行状况混乱，网络故障出现后无法准确定位和排查，建议部署一套功能丰富、实用型的网管平台，需要安排功能测试（测试后需提交书面的测试报告，作为项目今后建设的依据），对现有的网络状况，包括设备、架构、管理等等因素进行科学的分析，做为本次网络改造/优化/升级的基本依据。

并达到以下功能要求，

兼容管理现有的网络设备‘

能生成全网的拓扑结构，；

具备批量采集全网设备的基本信息的功能，做为网络维护的依据

具备批量升级维护交换机版本和配置的功能，实现对原有网络的优化，减少故障点，并减轻网管今后工作负担；

能对网络的性能、日志、流量等情况进行实时监控；

能采集归类网络设备的日志，便于故障排查。