我校的校园网络升级改造工程(市财政局专项资金),经过近2个月 的紧张施工,于4月10日已全面竣工,现将本次改造情况概述如下:
一、 网络改造必要性
1、原有校园网络设备运行已经10年,所有网络设备均已老化,到了设备寿命的临界状态,大部分设备带病工作,时常出现过热死机、重启、断网现象,存在由于过热引起火灾等极大安全隐患。
2、原网络建设是在11年前的2006年,受当时技术瓶颈限制,网络带宽为百兆,且未部署流量整形设备、行为审计设备、入侵防御及防病毒等设备,重要数据库和系统主要设备没有冗灾备份措施,网络安全无法保证,不符合公安部82号令的硬性要求。
l 无流量整形设备导致如果有少部分用户通过软件下载,会导致其他人访问互联网很慢甚至断网。
l 无行为审计系统如果校园网内客户端在论坛等发表过激言论被问责时,我校网络设备无法定位客户端,造成不良影响,
l 无入侵防御及防病毒系统网络中服务器直接暴露在校园网络中,信息系统的数据存在极大安全隐患。
3、校园网络用户及应用的不断增加,特别是移动客户端的飞速增长,已不能满足需求。
4、随着客户端及应用的不断增长,大量的网络设备和服务导致现有的网络架构变得越来越复杂且难以维护,网络管理人员只能分别对单台物理设备进行维护,缺乏有效的统一管理、监控以及防病毒手段,增加了管理维护人员的工作量。
5、因机房建设时间较早,部分电气电缆老化严重,已成为机房火灾的隐患。同时由于信息业务的逐步发展,机房中逐年增加一些设备,导致设备排列混杂,电缆布放横七竖八,各类通信线缆不能分离,相互影响干扰,造成线路日常维护困难,易导致人为障碍等隐患。
6、设备分类、标签缺乏统一规范,设备上下连接关系、来龙去脉查找困难,不便于设备维护时快速定位。
二、 网络改造的建设目标
本次网络改造主要任务:更新校园网络核心设备;升级教学楼主干网络为万兆;升级教学楼教室及办公室为千兆桌面;部署90个教学班级及10个年级办公室高密度无线AP,达到两栋教学楼无线全覆盖;部署上网行为审计功能;部署云计算数据中心(私有云)。
1、计算机网络系统以满足全校 6000 师生的日常生活、工作为准则,要求在综合布线系统的基础上,以 IPv6/IPv4 为技术主体,构建高性能、高可用、高安全、易管理、可扩展的计算机网络系统,保证校内各种基于网络平台的数字化校园应用系统的正常运行以及高速访问互联网。
2、校园网的整体架构采用当前较为先进的技术,确保未来 5-8 年的业务支持能力;网络高度冗余、关键节点无单点故障,具备有效的容灾能力,以应对故障节点、故障链路、路由震荡所带来对业务的影响;校园网需要具备万兆骨干、千兆到桌面的能力,核心层支持 10G 以太网技术,以支持后续业务发展;核心层设备基于 T 比特交换平台,至少可以保证每户并发接入带宽不低于 20兆,接入层到汇聚层提供不低于 100 兆的每用户并发带宽,满足高清晰度电视、数字视音频节目、高速数据接入和话音等多媒体业务的开展。
3、校园网从核心层、汇聚层到接入层、从有线到无线、包括防火墙等全面支持 IPv4 和 IPv6 双栈,在校园网中需要实现可控组播,能够满足通辽第五中学校园未来 IPv6 相关应用的需求。
4、网络部署要求采用核心-汇聚-接入三层架构。主要的需求如下:
l 核心层:核心层主要考虑高交换容量,高可靠性,高带宽,充分为各级网络提供全 线速的通信交换,同时,在核心层要充分考虑到网络安全策略,安全规划设计;确保数据中心的安全性和高可靠性,能对数据进行入侵防护,对网络的性能, 实现智能分析和响应,一旦网络出现问题,可及时发现和解决。核心交换机采用十万兆级路由交换机,同时为了便于将来学校的发展需要,为了建设统一融合的数据中心,要求核心设备具有数据中心的特性,满足三网融合的需求,能够满足未来 5-10 年的应用需求求。
l 汇聚层:汇聚层主要考虑到做为各个楼栋的二层广播报文的终结,同时是核心层和接入层的中间层,起承上启下的作用,需要转发整栋楼的数据报文,所以为了考虑到将来的信息点扩展和将来应用的扩展,在数据交换速度要求高的地方需要汇聚设备具有万兆转发的能力,在数据交换速度要求一般的地方的汇聚设备具有千兆转发的能力。同时需要部署 ACL、路由等三层应用功能,同时需要有防止常见网络攻击比如 DDOS 等攻击的功能。
l 接入层:接入层为用户提供数据的接入,本次网络设计要求采用1000M 交换到桌面, 以满足未来 5-10 年的扩展需求。同时为了满足网络安全的设计需要,需要接入层能够和本次项目中的安全管理平台系统进行联动,对用户的终端接入安全进行控制,只有满足安全规则的用户才能够接入到网络里面。
l 出口区域: 出口需要满足公安部 82 号令的要求,对用户上网日志进行记录和审查;同时需要具有 NAT 转换和应用控制的功能。
l 统一网络管理:网络系统平台配套 IMC 管理软件,可实时监测网络状态(包括设备 CPU 使用率、内存使用率、链路状况等)、及时发出故障告警、准确定位网络故障、定期输出网络维护日志、实现有线网络统一化管理,减少网络管理成本。
l 网络安全防护:具有网络安全防护功能。
l 无线网络部分:教室和办公室高密度无线AP,能满足70个用户同时使用,具有无线控制管理功能,采用 PoE远程供电方式。
l 云数据中心:云安全访问控制区:通过融合安全网关NGFW设备提供云内安全、边界安全防护能力。同时针对未来与来自不同环境下的系统、平台对接。云业务应用区:通过“服务器+虚拟化”的组合,考虑利用服务器空闲的硬盘部署分布式存储,形成计算、存储一体化的资源池环境。管理和服务区:集中部署整个云环境中的管理环境,如云管理平台、运维平台、安全管理平台等。备份存储区:专用的云内备份区域,保障云内数据、业务的高 可靠性。
5、对机房机柜及综合布线实施整治改造,达到标准机房要求。
三、 项目改造内容
1.更换出口路由器、核心交换机;
2.增加防火墙、上网行为管理设备;
3.更换至善楼、齐贤楼东、齐贤楼西的汇聚交换机和接入交换机;
4.更换慎思楼、求是楼、体育场、笃行楼、计算机教室接入交换机;
5.教师办公室用千兆六类线缆替换掉现有的百兆线缆,教室内铺设了4条六类千兆网线,为以后的数字广播及电子考勤做了预留。
6.每间教室部署无线网络系统节点;年级办公室部署了无线网络。
7.部署了云计算数据中心。
8.部署了网络智能管理平台和无线管理平台
9.机房建设和配电。
l 校园网络改造
目前我校网络改造采用万兆网络核心交换机对原有网络核心交换机进行更换升级,改造完成后实现了网络设备之间主干万兆链接,本次项目教师办公室重新部署了6类网线,教室内增加了部分六类网线,从分支机房到办公终端的互联链路实现千兆互联,达到信息化系统业界先进水平,按我校改造后的网络架构,核心交换机留有冗余接口,能实现平滑升级,可在未来8到10年内确保校园网络的链路状态、设备先进性方面处于行业领先水平。
l 校园服务器存储改造
安装部署服务器存储,搭建本地私有云,这样可以对我们原有的服务器资源进行整合,原有人事管理、考勤管理、阅卷、学籍管理、固定资产管理等系统处于各自为政的局面,设备分散,每台服务器只能处理一个系统业务,改造后,可以将以上五个系统放置到新部署云平台内,采用虚拟化技术,对每个系统所需要的资源进行按需分配,最大化利用了设备资源,除此以外还可以实现虚拟服务器的热备份,如果其中一个系统出现故障,云计算系统可以自动虚拟出来故障系统所需要的资源,自动部署,保障了业务系统的持续运行,数据方面,我们采购了专业的存储系统,可实现数据备份,在新建的存储系统我们采用了虚拟化存储技术,对存储数据的硬盘实现备份,新建的25T存储中,数据硬盘在坏掉4块盘情况下仍然保持可用状态,并且保证数据不会丢失,解决了我校目前数据存储的难题。
l 校园无线网部署
本次无线网络改造涉及齐贤楼、至善楼无线网络,校园内这两栋楼的无线网络环境已全覆盖。
l iMC智能管理平台
“网络三分靠建设,七分靠管理”,对于一个拥有一定规模数据中心的用户来说,管理永远是一个大“问题”。投入大量如服务器类、网络类、安全类等IT基础设施;同时,信息网络技术的应用层次不断深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,因此本次改造建设了高效、稳定、综合的网络管理平台缓解我校维护人员的工作压力,快速定位校园网络系统障碍点,解决网络故障。
l 机房建设与配电管理
针对我校核心机房的现状,本次机房增加了强电列头柜、更换了机房的入户主干电缆,新浦了机房防静电陶瓷地板,并将至善楼的主干链路由原来的网线互联,通过部署万兆光纤,改为了万兆主干链路,解决了我校机房及综合布线存在的安全隐患。
对于机房设备和机柜布线整理,主要采取了以下方法:
n 机房机柜和设备整治
对机柜进行编号。根据机房机柜摆放布局,将机柜进行分区编号。
n 光纤尾纤整理
架设专用的尾纤槽,更换现有尾纤,要求进入同一机柜的尾纤长度统一,减少多余尾纤长度。尾纤进入光配后,将同一机柜或同一方向的尾纤进行分组绑扎,并用软套管保护,使得光纤分配整齐、有序。
n 网线整理
在机柜上方走线架上和网络机柜内部使用叠压式网线固线器,使得网线布放美观有序。
n 电源线整理
电源电缆按照市电、UPS电源电缆分开布放、电源电缆和信号线缆分离的原则进行布放和整理。实现走线布线整齐,避免交叉。
n 设备和线缆标签管理
为了便于设备和线缆管理,制定机柜、设备和线缆标签管理规范,对设备标签和线缆标签制定了统一的格式,以适应下一步信息化管理的需求。
四、 结束语
拥有一个高水准的校园信息系统,必将促进校园信息化应用向更高层次应用发展。计算机网络技术的发展,引发了学校各项工作的深刻变革。高性能校园网的建设大大提高了学校的管理水平,为师生员工更好地进行教学、科研等提供了先进的平台,极大地推动了学校的信息化建设。同时进一步利用这个平台有效整合学校内部资源,以信息化促进学校内外部业务统一、流程优化。随着校园网基础建设的加强及学校信息化程度的提高,学校管理将会更科学合理,紧跟信息时代步伐。
附:重要接入数据:
1、齐贤楼高一、高二1-6层各办公室无线连接名、密码分别是
一层 1F-teather/12341234
二层 2F-teather/12341234
三层 3F-teather/12341234
四层 4F-teather/12341234
五层 5F-teather/12341234
六层 6F-teather/12341234 。
2、至善楼高三2-5楼办公室无线联接名、密码分別为:
二楼 zs-2f-teather/12341234。
三楼 zs-3f-teather/12341234。
四楼 zs-4f-teather/12341234。
五楼 zs-5f-teather/12341234。
3、齐贤楼,至善楼所有各层楼道无线联接名、密码均为:
edu-teater /12341234
4、报告厅、东阶梯教室、西阶梯教室无线连接名分别是:
BGT 无密码 ; jtjs 无密码
网络拓扑图
2018年4月12日