大二层建设方案

思恒科技

科学服务教育

产品服务社会

1

以安徽水利水电职业技术学院为例，在建设时需要考虑投资保护和升级需要的核心设备，现在学校网络规模日益扩大的基础上，需要进行升级和管理设计，以满足目前学校信息化需要。

此方案一是新增核心交换机设备，配置虚拟化，对校园骨干网络进行升级改造，适应更高速的网络需求和更可靠的冗余需求，二是新增认证计费等安全设备，适应大二层下网络安全和认证的要求。

同时为满足教师教学和日常网上冲浪的需要，计划对校内所有办公区域进行无线信号全部覆盖，实现真正意义上完整的信息化办公。

大二层网络解决方案，具体表现如下：

“易”运维

1、路由上收

传统的校园网建设，普遍会采用三层组网结构，采用MSTP+VRRP+OSPF的方案，设备配置复杂，出现问题排错困难。

如采用大二层的网络结构，路由上收到核心，使用VSF+PortChannel技术进行组网，所有的配置全部集中到核心设备上，在接入端只需要进行vlan划分的配置。

2、VSF虚拟化

随着学校在IP网络上部署的应用越来越多，学校的学习生活、教学等对于网络依赖程度越来越高，网络成为学校正常运转的最基本因素之一。

网络一旦故障，就如同断电缺水一般，其负面影响不可估量。同时随着业务应用发展，业务系统将显得越发脆弱，仅仅几秒的网络中断就会造成如多媒体录播系统的中断、OA檔传输重传、视频会议的中断等，进而引发一系列的连锁效应。

因此，网络永续性对学校信息化建设的成功变得越来越重要。DCN不间断转发的网络环境，实现网络99.999%以上的稳定电信级高可靠性，同时将故障恢复时间控制在100ms以内。

3、链路的高可靠和虚拟化

VSF(VIRTUAL SWITCH FRAMEWORK)是将两台核心设备虚拟化成一台设备，从而达到高可靠易管理的网络要求，VSF保证链路上的高可靠体现在多个方面。

“易”安全

1、VLAN隔离

安全功能上收到核心，接入交换机可以采用低配置产品，只需要支持简单的vlan划分即可，为防止接入端用户相互访问攻击，需要进行隔离，隔离后所有东西向流量必须经过核心转发。

用户定位解决两类问题：网络攻击溯源、设备原因用户断网补偿。

VLAN隔离&定位方案：接入交换机每个端口一个vlan，核心做supervlan。

内网安全防护主要是解决三类安全问题：ARP欺骗，DHCP欺骗，广播风暴。

ARP欺骗又分为三类：1、伪造网关欺骗其它终端；２、冒充其他终端欺骗网关；３、冒充其它终端欺骗第三方终端。

针对内网安全的防护，可以在核心和接入分别配置，如下功能解决问题：

“易”演进

近年来，软件定义网络（SDN）作为一种新型网络创新架构被认为是下一代网络变革的重要方向，SDN接口协议标准OpenFlow市场接受度也愈发增加。

SDN所做的事是将网络设备上的控制权分离出来，由集中的控制器管理，无须依赖底层网络设备（路由器、交换机、防火墙），屏蔽了来自底层网络设备的差异。而控制权是完全开放的，用户可以自定义任何想实现的网络路由和传输规则策略，从而更加灵活和智能。

进行SDN改造后，无需对网络中每个节点的路由器反复进行配置，网络中的设备本身就是自动化连通的。只需要在使用时定义好简单的网络规则即可。如果你不喜欢路由器自身内置的协议，可以通过编程的方式对其进行修改，以实现更好的数据交换性能。

方案整体价值:

PART

1

可扩展的核心设备，配置VSF虚拟化，数倍提升网络带宽，千兆到桌面保障网络数据处理能力的高效性；

PART

2

802.11ac wave2千兆级无线最新技术，可以媲美有线网络传输速率；

PART

03

路由上收功能和认证上收功能，接入交换机支持基础VLAN功能即可，同时无需配置安全和认证功能，节省网络维护的复杂性和管理员大量的精力；

PART

04

SDN业务自定义网络技术，灵活处理网络突发需求。

构建全方位新型教育生态链，做数字智能教育综合管理平台

打造专业数字智能个性化教育平台，做教育全产业链综合运营商