校园网络升级改造解决方案.docx

校园网络升级改造解决方案目录1概述41.1 高教网络建设背景41.2 高校园区网络挑战52.2基础承载网场景71.1.1 教学场景71.1.2 办公场景81.1.3 宿舍场景82.2 校园网安全场景82.2.1 终端安全82.2.2 内网安全92.3 校园网运维场景92.3.1 即插即用，极速上线92.3.2 故障监测预警，智能运维102.3.3 策略随行一致体验102.3.4 运维管理的需求112.4 校园网运营场景112.4.1 精细化运营113极简以太全光方案123.1 方案简介123.1.1 方案拓扑结构123.1.2 以太全光网架构特点133.1.3 方案组件133.1.4 主要建设性能指标154174.1 综合布线概要一览表174.2 水平子系统（房间至楼层弱电间）设计184.3 楼层弱电间设计184.4 垂直子系统（楼层弱电问至楼宇汇聚机房）设计194.5 楼宇汇聚机房设计说明204.6 多媒体箱安装规范214.7 房间内布线示意224.7.1 中低密度房间234.7.2 大厅场景245高校各场景的网络设计245.1 基础承载网场景设计245.1.1 教学场景245.1.2 办公场景265.1.3 宿舍场景275.2 校园安全场景设计285.2.1 终端安全建设目标285.2.2 信息安全蔑设目标325.2.3 出口安全建设目标415.3 校园运维场景设计425.3.1 零配置，减少日常维护攵杂度425.3.2 简化Vlan配置部署425.3.3 入室交换机零配置入网和光链路检测425.3.4 网随人动策略隙行435.3.5 智慧运维管理平台445.3.6 多运营商有线无线统一认证计费运营设计495.3.7 校内校外认证融合运营设计495.3.8 学校精细化管理设计515.4 方案价值525.4.1 满足学校管理诉求，打消垄断顾虑525.4.2 提升用户体验525.4.3 运营商快速拓新536方案选型建议537.1 产品选型建议537.1.1 设备选型531概述1.1 高教网络建设背景教育部印发的教育信息化十年发展规划（20112020年）中强调信息化对于提高教育质量、构建人力资源强国具有重大意义。以教育信息化带动教育现代化，是我国教育事业发展的战略选择。教育部印发的教育信息化“十三五”规划中也强调“十三五”期间，坚持“四个全面”战略布局，牢固树立和贯彻落实创新、协调、绿色、开放、共享的发展理念，以“构建网络化、数字化、个性化、终身化的教育体系，建设人人皆学、处处能学、时时可学'的学习型社会，培养大批创新人才”为发展方向，按照“服务全局、融合创新、深化应用、完善机制”的原则，稳步推进教育信息化各项工作，更好地服务立德树人，更好地支撑教育改革和发展，更好地推动教育思想和理念的转变，更好地服务师生信息素养的提升，更好地促进学生的全面发展，推动形成基于信息技术的新型教育教学模式与教育服务供给方式，提升教育治理体系和治理能力现代化水平，形成与教育现代化发展目标相适应的教育信息化体系,充分发挥教育信息化对教育现代化的支持和引领作用。学校智慧校园建设是实现学校教育现代化的抓手和基础核心工作。1.2 高校园区网络挑战传统校园网方案设计无论是从管理、维护还是整合，均采用的是分布或分散式的模式，即管理层级过多、维护力量分散、功能和策略部署在接入层、资源整合采用多方沟通和协调。这种模式不但在现阶段让网络中心难以提升服务质量、提高服务响应率，而且会降低用户体验度，同时也无法应对无线校园乃至物联网浪潮所带来的挑战。在高教行业中，随着教学数字化的继续发展，原先采用的三层物理架构组网模型存在扩展性差、带宽升级麻烦、终端部署困难、弱电间安全隐患凸显等一系列问题，具体如下：D施工部署的问题随着业务增加，信息点位增多，业务无法灵活扩展，每增加一个业务/终端就需要从弱电井重新布线，导致桥架空间压力大。业务改造都要从桥架中理线麻烦成本高，废弃直接部署新网线导致桥架网线越来越多，不美观，桥架空间压力大。每次网络改造或上新业务都要全网改造，同时施工经常会弄断其他业务网线，影响正常业务开展。2）端口扩展问题多媒体教室从最初的有线网部署开始，随着教学改革，业务逐渐发展演进，从有线网->标准化考场专网->无线网->物联网，这造成每次业务的发展都需要上线一批终端，拉数根网线进教室；可以预见的是：未来进入教室的终端只会越来越多，需要扩展的接入点端口和网线数量会成为每次业务发展的阻碍。3）带宽升级问题随着大带宽业务需求（如录播、WlFI6等）出现，校园网络需要频繁升级。无线业务驱动高教校园网升级，校园无线每升级一次，就需要对现网的线路改造替换一次。传统以太网部署使用的是网线，网线分四类型、五类线、超五类线、六类线等不同类型，每次网络升级都需要更换整个网络线路，同样存在网络升级成本高的问题。4）终端准入问题随着信息化的不断深入，数字化终端接入网络的要求越来越多。现在教室普遍存在多网络，每张网络具有多个终端。传统以太网部署是将接入交换机放在弱电间，再铺设网线到教室终端。每个教室终端需要铺设一根网线，日益增多的教室终端导致需要海量的网线数量。回到了问题1描述的场景。5）弱电间安全问题弱电间堆放大量有源通信设备，存在消防安全隐患。传统的以太网部署需要将接入设备放置于弱电间，从而增加安全隐患。另外，受限于弱电间选址问题，弱电间环境普遍较差，轻则产生电磁干扰，重则影响网络设备使用寿命。6）网络安全问题为了保证校园网络安全，学校都会部署很多的安全设备，传统的安全设备只能阻断南北向的数据流量的安全问题，但是在内网出现安全问题后，很难校园网内部的攻击、病毒的传播，学校依然会收到安全协查通报，攻击/病毒等很难难阻断。7）校园网运营难问题校园网需要运营商/投资方联合运营，但是不少学校采用的运营商提供的运营模式与本学校的实际情况差距较大。学校不是运营商，运营经验不足，出现问题后设备的维护边界不清，导致相互推诿扯皮等问题。如何保障学校运营的顺利展开，采用什么样的计费策略、收费缴费流程、采用怎样的模式划定设备维护边界进行管理都是学校急需解决的问题。8）出口灵活扩容问题学校扩招、学生上网需求增加，新应用及技术驱动，带来带宽需求增加。同时随着有线无线同时运行，电脑、手机、Pad等终端使用带来出口设备认证并发需求增加。师生上网使用需求增加导致出口设备压力增大，设备故障风险直接影响全校网络运行，所以需要更加稳定的出口方案，同时满足未来随着业务发展可以灵活的扩容。高校各场景的建设需求2.1 基础承载网场景2.1.1 教学场景随着普通教室向标准化考场、多媒体教室进行改造，学校在业务迭代的过程中促进教室信息点持续增加，从传统的一个教室2-4个信息点（多媒体电脑、无线、视频监控）到现在新增云桌面、数字广播、大屏/黑板、电子班牌、物联网等6-12个信息点，教室的教学网络环境需要持续改造升级，要支持业务灵活扩展。同时越来越多的新建智慧教室、VR/AR教室、实训楼/实训室等新型教学环境，教学类业务对带宽和延迟需要越来越高：3D/VR/AR教室访问数据中心/云端资源需要无线提供高并发和大流量（WlFl6）的支撑VR教学的终端，单终端50"300Mbps,时延要低于8mso无线平板教学，单个终端需要3050Mbps的带宽，延迟要小于20ms；云机房/PC机房东西向、南北向并发流量大，对带宽和网络稳定性要求高一一进行镜像下发时，每个终端需要至少30MbPS带宽。60个设备同时访问SPOC、MOOC资源、PXE克隆、教学广播需要内部二层转发。主要教学应用对带宽的要求如下：业务类型终端数量接入带宽接入侧时延丢包率视频直播教室750M1.5Gbps20ms0.5%4K视频终端接入34个/教室50MbPS/终端20ms0.5%标清视频终端接入3050个/教室20MbPS/终端100ms0.5VR教室I-IOGbps8tns106互联网终端接入（手机、PAD等）3050个/教室20MbPS/终端20ms0.5%云VR终端接入3050个/教室300MbPSTGbps/终端8ms1062.1.2 办公场景行政人员办公经常面临工位频繁更换，信息点位不固定，甚至是大范围挪移，出现端口不够用的情况就只能使用傻瓜交换机级联拓展，存在发生环路引发网络运行不稳定的风险；而管理人员的办公室通常部署在每个楼层的末端，这种VIP办公室距离弱电间超过100In,就会造成拉线困难，同时VIP办公室要求施工简单，尽可能缩短工期，室内设备美观。办公网设备线路难以频繁改造，布线施工成难题。在办公室里除了需要满足高带宽要求外，还需要重点考虑数据的共享，老师会使用网上邻居进行数据共享，跨房间之间的打印机共享等业务，所以在办公网的设计规划中需要灵活划分业务隔离与共享。2.1.3 宿舍场景宿舍区域人数多、空间小、终端种类多、并发终端数量大，干扰较为严重。随着学生对上网网络质量和上网流量的需求越来越大，需要满足无线信号的全覆盖，同时提供优质的上网体验。2.2 校园网安全场景2.2.1 终端安全电脑、笔记本、手机等师生办公学习终端，打印机、刷卡器、监控等哑终端，电子班牌、智慧大屏、数字图书馆等公共上网终端，校园的各类型的业务终端井喷式增长。传统网络环境下一台IOT终端上线要经历IP申请、信息分配记录、找位置找端口、划分业务VLAN、配置访问策略、信息上线记录，到最后的上线联调，过程冗长终端上线效率低。同时，传统网络环境下对IoT终端的安全管控仍需要手动搜集MAC地址，再进行基于端口和MAC的绑定。或者将哑终端设置为免认证终端直接放通，这样就会存在用户私接入网以及不合法终端也能直接入网，存在被攻击、数据泄露的风险。传统校园网运维和安全存在着极大的麻烦和风险。校园物联网需要一个支持终端快速上线、安全隔离，人、物公用的易维护的好网络。222内网安全当前网络与信息安全领域，正面临着全新的挑战。一方面，伴随大数据和云计算时代的到来，安全问题正在变成一个大数据问题，高校校园网络及信息系统每天都在产生大量的安全数据，并且产生的速度越来越快。另一方面，校园面对的网络空间安全形势严峻，需要应对的攻击和威胁变得日益复杂，这些威胁具有隐蔽性强、潜伏期长、持续性强的特点。传统系统信息安全保障能力面临以下四个方面的问题：（1）不能及时识别信息安全事件当前，信息系统结构复杂，网络、安全设备较多，产生安全事件数量巨大，根据调查,至少95%以上的安全事件属于误报，真正存在的少量安全事件在海量的、不同结构的安全告警信息中难以有效识别发现。（2）威胁识别能力有限安全分析以人工方式为主，只能识别已知并且已描述的攻击，难以识别复杂的攻击，无法识别未知的攻击；安全事件之间存在横向和纵向方面（如不同空间来源、时间序列等）的关系未能得到综合分析，因此漏报严重，不能实时预测。一个攻击活动之后常常接着另外一个攻击活动，前一个攻击活动为后者提供基本条件；一个攻击活动在多个安全设备上产生了安全事件；多个不同来源的安全事件其实是一种协作攻击，这些都缺乏有效的综合分析；（3）安全预判能力有限，缺乏对抗能力安全运营以被动应急响应为主，难以对风险进行提前的评估与研判，总是疲于救火；为了切实加强信息系统安全保障能力，可以规划采用大数据技术来建设信息系统综合运维监控管理平台，实现大数据安全管理和数据中心信息安全违规检测。2.3 校园网运维场景231即插即用，极速上线在用户的设备上线和替换过程中当前遇到三个问题：问题一：设备替换对人是有要求的,无法说任意的人均能换设备，问题二：能替换的人少，因受限制于校园网面积大等问题，替换效率低下。问题三：学生也比较强势，如果断网时间长会投诉。针对上面的三个问题，自动化运维已经解决了其中的一部分问题了，但这个过程中有几个地方经常出错1 .接入模板不统一，不固定，渠道按自己理解的来制作，不是最佳实施方案，容易出现部署过程设备配置模板错误导致部署断网。2 .耗时长，容易出错，特别是每台设备的vlan,ip要修改。集成商人工刷配置，每个人的技术，素质都不固定，很容易出现工作马虎，配错，漏配的情况。3 .上架的时候可能拿错设备，接错口；另外传统网络在运维期间，由于各个接入设备的模板都不一样，在业务新入网时候需要更改接入设备的配置，对网络管理人员的运维能力还是有要求，特别是替换的时候，配置不同容易导致更换设备的时候配置错误引起断网。232故障监测预警，智能运维多网融合，设备激增，专业人手不足，高校运维团队常年保持人数不变，运维成本逐年增加。传统网络故障定位过程繁琐，且无法提前感知风险。并且在当今世界，万物都通过网络实现互联。从园区或分支机构场所的用户和设备到数据中心或云中的应用，网络拥有巨大潜力，可以不断优化调整，保护所有IT与业务流程，并提供洞察力。唯有借助基于意图的网络。这种网络能够捕捉业务意图，并在整个网络范围实施策略和网络状态感知，进行数据预测并建立流量模型，主动服务于网络运维工作。同样高校的网络建设也应该符合意图网络发展趋势。2.3.3策略随行一致体验传统网络状态下，用户移动，IP地址发生变化，当审计的时候，由于用户的IP地址不停变化，需要结合不同时间段内用户的IP地址情况综合去查，查询虽然可以实现，但是比较麻烦，达不到所见即所得的状态。近几年基于网络的业务爆炸式地增长，同时迎来无线网络的建设的浪潮，终端位置的移动接入成为常态，业务的灵活部署以及迁移成为刚需。以往的基于网络位置进行网络规划的方式无法满足现有复杂的业务场景。网络上承载的业务越来越多，后期会将视频监控、一卡通、数字广播、车辆出入系统等等纳入到整个网络的管理范围之内，当前的网络规划时按照一网一业务的策略去做，分别建设割裂的网络，无法统一管理和运维。由于无法实现网络端到端的统一策略部署，使得新的业务开展和优化比较困难。234运维管理的需求在传统的网络建设之后，运维管理很容易被大家所忽视，这样就造成了信息部门对IT物理环境及其中所有设备的运行状况没有统一、规范的管理，无法及时清楚的掌握IT系统运行状况和设备运行状态，无法做到对IT系统状况的统计和分析，不能及时发现潜在问题对业务系统的影响，维护工作基本上处于被动的救火队状态，不利于知识共享和知识积累。鉴于网络系统和业务系统的正常运行对学校业务的重要意义，信息化建设同时要立足于工具层面的保障和管理手段进行统一的监控和管理。从而改变现有的运维模式，结束被动救火的运维策略，从而对网络和系统故障提前预知、提前防范，在故障出现时第一时间快速反映、迅速定位，借助技术工具和不断提高运维人员自身的技术能力这两个方面相结合更好地保障网络环境和业务系统安全、稳定运行。2.4校园网运营场景2.4.1 精细化运营随着信息化的发展，基于学生大数据分析、自主可控安全管理的需要，传统运营商承建网络的方式已无法满足，更多学校希望按照自己的校园网建设标准建设内部网络方便统一管理和数据共享，但自己购买出口大带宽的方式又面临着每年巨大的资金投入，面对庞大的资金缺口，以及政策不允许运营商在学校垄断的要求下，更多的学校开始采用开放合作的方式,多方运营商通过合作与竞争提供更大的带宽和更灵活的资费供学生自由选择。 学校：公平引入多家运营商；保留学校对学生的管理权，实现大数据分析、资源共享； 学生：自主选择出口和套餐良好的入网和用网体验，高效的服务; 运营商：发展更多校园网用户，保障收益通过带宽换取更多学校资源；3极简以太全光方案3.1 方案简介以太（以太协议）全光（全光纤网络），即以光纤做为传播介质，通过光纤入室的部署方式，结合以太网的架构、组网，所构成的网络。其特殊点是，将有源接入交换机从楼层弱电井释放出来，通过光纤入室将全光接入交换机部署在每个房间里，房间的全光接入交换机与核心或者汇聚交换机全链路光纤部署，房间内的新增信息点位可以从房间光交换机就近接入，提升扩展效率，同时做到真正的1：1万兆/千兆入室。以太全光校园解决方案可以覆盖校园网络的接入层、汇聚/核心层和管理层。3.1.1 方案拓扑结构出口S % Q数据中心核心侧超聚合BoX超聚合BoX透明汇聚楼栋侧电话、打印机IOG出口路由RSR7 7-X室内多速率 交换机一光纤网线个人电脑枚装光AP塔面光AP墙面光AP安全态势感站群防护入侵防御堡垒机知BDS WG UAC IDP OAS认证计费SAM+身份中台SlD 综合运维RllL-7 核心交换机 ,N 18000办公室教室宿舍安全资源池SDN控制器恒星主机放装AP透明汇聚3.1.2 以太全光网架构特点极简太全光网络方案采用大二层结构，是新增了SDN控制器/以太全光服务器，服务器部署在核心机房。全光网络与传统以太网络的主要区别有三点：1、核心到接入层设备采用全光链路互联2、接入层设备从弱电间迁移到室内房间进行部署3、管理运维便捷性大幅提升，管理运维只需要管理两端（核心机房和末端房间），楼层弱电间采用无源透明汇聚设备，实现楼栋弱电间的免运维。3.1.3 方案组件以太全光网络方案需要部署设备如下:出口RSR77-X,核心N18K,SDN控制器，radius（SAM）,portal（eportal）,核心侧彩光交换机，楼栋无源透明汇聚，RHL等。出口配置：出口采用两台RSR77-X出口路由器，通过HA的方式保障设备冗余，同时通过BRAC方案无需运营商开放对接AAA系统（认证计费授权系统），即可实现融合认证，智慧运营管理。核心设备配置：核心：部署在中心机房，核心（可以是VSU）可以采取整网三层架构/大二层/扁平化部署（本文采用扁平化架构进行描述），有线无线用户网关统一在核心设备上，配置成网关模式，核心设备进行集中认证（包括IX认证WEB认证，MAB认证）。DHCP服务器开在N18K上，有线和无线的IP地址获取都从N18K获取。核心汇聚设备：部署在中心机房，核心汇聚设备采用新型彩光交换机，可以依据入室房间数盒式彩光交换机或者核心交换机上插彩光交换板卡的方式，新型彩光交换机支持VSU组网方案，每个超聚合端口可以接入8个房间。SDN控制器/INC组件：INC组件作为组件形式部署在SDN控制器上，可以认为极光组件为SDN控制器的一个业务模块，用于管理零配置上线设备并下发配置模板。控制器可以配置业务网和业务子网，业务子网属于业务网。业务网可以是普通vlan也可以是SUPervlan（关联多个SUbvlan,泛接入的终端必须在同一个SUPerVIan下），业务网可以创建多个业务子网。汇聚设备配置：楼栋汇聚设备：采用无源透明汇聚设备部署在大楼的光纤汇聚节点（无源设备无需取电,也可以基于实际部署环境任意部署），透明汇聚设备支持双链路上行到中心机房的彩光交换机上，实现链路的冗余设计。接入交换机配置：室内全光交换机部署在房间内，通过光纤互联到全光汇聚交换机，室内全光设备空配置接入网络后，通过DHCP获取到设备的零配置管理IP地址，并发起CWmP零配置上线请求，SDN控制器/极光组件服务器通过配置模板给室内全光设备下发配置。AP配置：可以配置成分布式（推荐部署），也可以配置成集中式或者本地转发。AP的管理VLAN在supervlan外。AC配置：集中管理AP的配置。RADIUS和PORTAL服务器：SAM作为RADIUS服务器，ePortal做为PORTAL服务器。RADIUS服务器除了传统的认证功能外还需要将用户的分组信息同步给N18K。RnL一体化运维：通过RIIL实现全域资源监控和智能化运维。314主要建设性能指标3.141 出口层建设要求稳定性要求出口区域部署两台RSR77-X部署HA模式，确保出欧设备足够的性能和设备稳定性，单点故障切换及恢复用户无感知，后续增加板卡即可提高系统性能和容量，保护投资设备性能指标认证：（所有认证业务包括WEB认证、MAC认证、PPPOE认证、BRAC认证）：SIP5-X单卡,IW用户（终端）整机性能：RSR77-X最多支持8张SIP5-X的线卡，在分别4张接口卡和4张业务卡的情况下可以支持160G的带宽和4万在线用户数；3.142 .2核心层建设要求在核心/汇聚层，提供超宽汇聚、核心IOoG端口转发能力，支持有线无线的融合。在控制管理区，包含控制、分析、安全等组件，通过管控平台可实现光链路状态检测、全网统一运维、多网/多设备统一纳管等。3.143 汇聚层的建设要求在每个楼栋设置1-2台彩光交换机汇聚（盒式或框式，2台可集群部署增强系统可靠性）,从学校中心机房核心交换机到核心汇聚彩光交换机采用100G（向下兼容40G光纤链路互联,也可以根据实际需要规划25G/10G光纤链路互联）光纤鞋路互联。3.144 入室设备建设要求在多媒体教室&实训室&公共机房&办公室/中大型会议室按需部署1台或多台千兆/万兆上行的多口以太光交换机（4口/8口/161124口/48口可灵活选择），多口以太光交换机与楼栋以太全光汇聚采用千兆/万兆以太光纤互联互通（端口独享，上下行带宽对称）。多口以太光交换机支持通过下行千兆以太网电口连接房间内的有线设备，通过自身的1G2.5G/5GPOE或POE+连接需要受电的WIFI6F放装AP/WIFI6F高密AP/P0E摄像头实现有线无线一体化与多业务子网终端融合接入部署。在领导办公室&多人多终端办公室/小型会议室部署带光口（光口支持彩光模块）上行WIFi6面板AP（本地独立供电）与楼栋透明汇聚设备互联互通，实现有线无线一体化无线覆盖部署。在规则型集中办公区/学生宿舍/教师单身公寓/学校下辖招待所/酒店等环境，部署支持普通光模块的光面板AP（自带1/4/8个千兆下行电和2.5G上行光口）与全光的星空主机互联互通，光面板AP支持通过本地独立供电或光电混合缆集中供电，全光恒星主机通过自带的上行万兆接口通过全光主楼栋以太全光汇聚下行光口互联互通，实现有线无线一体化无线覆盖部署。3.145 .5运维环境设备要求业务及设备管理：通过软件定义网络的（SDN）控制器进行对前端多口以太全光交换机进行入网管理；通过软件定义网络的（SDN）控制器进行对前端入网的哑终端进行智能精准入网管控；通过软件定义网络的（SDN）控制器和校园集中承载网关配合进行多业务子网融合承载与互访可视化控制与管理。业务监控运维：通过乐享IT运维产品实现对园区网络实现全域资源监控，从机房动环、网络、服务器到应用服务的全域资源监控。对业务系统的监控可以实现，对高校业务发生故障后可以快速定位故障是网络的问题还是应用的问题，实现故障的定界和定位。系统也集成了网络配置备份、自动化任务等运维工具，用于提升运维效率。同时运营管理构建了面向师生用户的服务流程，为师生用户提供IT故障报修和IT资源申请服务，为管理者提供服务管理数据；极简光综合布线设计4.1 综合布线概要一览表序号系统说明设备/线路要点1中心机房N/A核心交换机和传统架构一致2园区主干光缆中心机房一楼宇汇聚机房的线路主干光纤和传统架构一致3楼宇汇聚机房部署汇聚交换机和光配架透明汇聚设备透明汇聚设备光口数量二楼宇房间数量=光纤芯数。上联的合路口支持双链路上行到中心机房连接彩光交换机。4楼宇垂直子系统楼宇汇聚机房一楼层弱电间的布线大对数单模光缆大对数单模光缆到每个楼层弱电间5楼层弱电间楼层弱电间无需部署有源设备。如果空间局促，也可以采用壁挂机柜等方式来部署ODF架。大对数单模光缆一光配架一皮纤通过光配架，将大对数单模光缆跳转为皮线光纤通向各房间。6楼宇水平子系统楼层弱电间一房间的布线皮线光纤选择双芯皮线光纤即可，匹配彩光模块。考虑到冗余和备份，实际工程中建议做适当预留。（光混缆场景部署光电混合缆到房间）7房间弱电接入点皮线光纤布放到房间内，可以选择在多媒体箱落地（大房间），或者86多媒体箱安装小型化交换机或86暗盒安装光口面板AP如果采用多媒体箱，需要增加多媒体箱到信息点的布线（网线）；如果房间内仅2-3个信息点且集中在一起，则无需暗盒落地（小房间）额外布线，直接从光口面板AP的有线口接网线到电脑网口即可4.2 水平子系统（房间至楼层弱电间）设计1）水平子系统部署皮纤，皮线光缆内光纤采用G.657小弯曲半径光纤，执行标准：YD/T1997-2009接入网用碟形引入光缆。2）楼层所有设计光纤入室的房间均需敷设皮线光缆至楼层弱电间。3）皮纤建议采用2芯或4芯，实际连接入室交换机设备，其中彩光模块需要两芯。4）楼层弱电间一侧皮纤端接头宜采用LC或SC,与ODF光配架匹配。5）入室多媒体箱一侧皮纤端接头采用LC,与入室小型化交换机光模块匹配。6）皮线光缆敷设长度可以远大于90米，但水平布线（皮纤）+垂直布线（主干光缆）总长度不得超过2.5公里。7）水平桥架部分的规格可以根据皮纤布放数量做适当调整，转弯半径不宜过小。8）皮线光缆敷设具体设计施工标准可参考GB50311-2016综合布线规范。布线示意图如图所示：水平子系统设计示意图4.3 楼层弱电间设计1）楼层弱电间仅需部署ODF光配架即可。2） ODF光配架可以放置于标准落地机柜内，如空间紧张，也可以采用壁挂式机柜或壁挂设备箱安装。3） ODF光配架为无源设备，无需考虑通风、散热、供电等设计。4）为保障可靠性，ODF光配架两端的尾纤应当采用热熔。5）应确保所有入室皮纤至少有两芯和主干光缆熔接连通。4.4 垂直子系统（楼层弱电间至楼宇汇聚机房）设计1）各楼层弱电间至楼宇汇聚机房的垂直子系统采用大对数单模光缆。2）光缆光纤芯数应当大于该楼层皮纤数量，确保所有皮纤光路均能顺利上行到汇聚机房。（如楼层房间数量15,则采用24芯光缆，如楼层房间数量37,则采用48芯光缆；如楼层房间数量85,则采用96芯光缆，以此类推）垂直子系统设计说明如图所示：楼宇汇聚机房垂直子系统楼层弱电间大对数单模光缆无源光纤镂架#1光轩妣楼栋透明汇 聚设备大对政单模光缆大对政单模光缆垂直子系统说明4.5 楼宇汇聚机房设计说明架构部署设计：采用透明汇聚方案时，楼栋内可采用1-2个机柜集中放置透明汇聚设备，采用单模光纤跳线互联透明汇聚设备，采用双上联冗余设计要考虑楼栋骨干光缆的芯数冗余数量。整体部署方案如图所示：光纤跳线4.6 多媒体箱安装规范多媒体箱外观图光纤入室多媒体信息箱设计和安装关键点：D光纤入室多媒体信息箱分塑料外壳和金属外壳二种，有暗装式和明装两大类，其壳体务必完整无缺。对于新建项目，建议采用暗装。2）光纤入室多媒体信息箱需具备表面散热孔以利于设备散热。3）考虑到入室线缆的位置和管理上的方便，光纤入室多媒体信息箱一般安装在房间入口或套间门厅等处。按照施工规范，箱体底部离地面高应为30Cnr50cm。4）光纤入室多媒体信息箱内应配套220v市电接口用于设备供电。多媒体箱安装示意图多媒体箱安装示意图多媒体箱安装示意图4.7 房间内布线示意室内网络布线可参考GB50311-2016综合布线系统工程设计规范中的相关章节。区别是本方案室内双绞线的汇集点为室内多媒体箱而非楼层弱电间。高密度房间下图为室内综合布线示意图，该方案适合室内信息点数大于4个的房间。室内综合布线示意图室内综合布线示意图4.7.1 中低密度房间对于点位数较少（W4个）且功能相同，布局临近的房间，如诊室，普通病房，连续的独立小办公室等，可以采用一套多媒体信息箱实现光纤入室部署以降低建设和维护成本。如图所示。对于套间结构的房间，该方法同样适用。（具体走线可以参考住宅的布线方案）室内综合布线示意图4.7.2 大厅场景针对公共大厅自助机接入等场景，由于无法确定最终自助机的数量和具体摆放位置，故对大厅内各具备摆放条件的连续墙面，应设计预留光纤面板插座和足量的电源插座。以供日后自助机安装部署使用。5高校各场景的网络设计5.1 基础承载网场景设计5.1.1 教学场景楼栋部署示意图教室内部署示意图部署方式：每栋教学楼部署多台无源的透明汇聚设备，上行双冗余光纤链路到中心机房的核心汇聚彩光交换机上，下行通过万兆光纤到所有房间，教室/实训室内部署1-2台极简多速率交换机作为室内交换机，连接所有IP终端，可以实现全校一张全光网，校园多业务泛载永无忧。1：1以太全光进教室，网络灵活扩展一劳永逸，教室独享光纤性能。方案价值：光纤入室，不占桥架空间，业务就近接入，灵活扩展；百G到楼、万兆入室，1次部署，10年无忧，满足多媒体教室、智慧教室、VR/AR教室、云实训室等所有类型教室对于带宽的要求；提供8/16/24等不同端口形态的静音交换机，且支持2.5GPOE端口，连接WlFl6设备充分发挥WlFl6性能；支持SDN管理，设备即插即用，极大减轻运维工作量；采用成熟以太网协议，天然支持二层广播和组播流量，广播示教等业务更流畅；云机房、PC机房，镜像下发，PXE克隆等高流量业务无带宽瓶颈，更好支撑教学。无源汇聚设备的安装，解决弱电间的管理维护等问题，同时实现核心到接入间的点到点5.1.2办公场景部署方式：网络结构：每栋办公楼部署多台全光楼栋无源透明汇聚设备，通过光纤到所有办公室；大办公室：部署1台极简多速率交换机连接所有IP终端，大型办公室桌面可以部署业界首款自带理线架的办公桌面交换机进行扩展。VIP办公室：部署1台有线无线一体化的墙面AP,光AP采用彩光模块；方案价值：光纤直达办公室多速率交换机，接入终端可以弹性扩展，避免私接乱拉；提供4/8/16/24等不同端口形态的静音交换机，且支持2.5GPOE端口，连接WIFI6设备充分发挥WIFI6性能；支持SDN管理，设备即插即用，极大减轻运维工作量；VIP办公室部署墙面AP,美观、施工简单，有线无线一体化，体验有保障；采用成熟以太网协议，打印机/文件共享等业务二层共享无障碍无源汇聚设备的安装，解决弱电间的管理维护等问题，同时实现核心到接入间的点到点透传，带宽无损，无分光。无线星空方案无线星空方案的部署方式：每栋宿舍楼集中部署多台无线恒星主机，承载120-300间宿舍无线，通过光电混合缆到所有宿舍光AP,光AP连接所有IP终端；方案价值：恒星主机管理所有光AP,做统一配置和优化，无线干扰小，体验优；恒星主机光电混合直通光AP,中间无需任何有源设备和机箱，AP升级直接替换即可，方便扩展；光AP自带1/4/8个有线网口，根据宿舍区域人数或有线端口需求随需扩展；天然以太协议族，使用POE协议和AP协商供电，独立对AP进行上下电管理企业级AP,认证、网优、漫游体验佳5.2校园安全场景设计521终端安全建设目标521.1面向物联网络设计多业务承载校园网建设分为有线部分建设，无线部分建设，包括物联承载网建设，极简以太全光解决方案采用了物理网络虚拟化的设计，学校可选择统一新建一张多业务承载网，在这一张网上承载N种多业务，对于无法改造的老校区也可选择接入、汇聚继续利旧现有校园网及链路,在核心层建立独立的物联网承载网关，这样既能保证快速业务开通，也能减少物联网投入，同时能保证物联网业务的相对独立，和安全隔离；建设可根据资金预算分为多期或一步到位；例如第一期建设校园网基础网络核心平台、物联网核心平台，包含物联网网关和物联网统一管理服务，物联承载专网的链路和接入汇聚利用校园网设备和链路；第二期，可建设专用的无线物联网（例如5G、LORA）；或建设专用的物联网光纤链路，新接入一期建设的物联网核心平台；或从规划之初，如果经费足够，建议建设两张隔离的学习办公校园网、物联多业务承载专网，保障管理和安全的独立性；所以极简以太全光方案能够很好的满足一张物理网络承载校园网有线、无线、专网业务,亦能非常平滑的过渡到校园网、物联网、科研网这样的多网共存的理想规划，整体灵活可落地。5.2.1.2泛载网接入通过在物理网络上虚拟不同的业务网方式可实现泛载网，可实现门禁、消防、节能平台等各种未来物联网业务的统一承载，不需要区分物理位置任意接入，不关心接入端口、Vlan信息，通过图形化界面实现三分钟即可快速生成虚拟网络，提高效率、保证安全隔离的同时,降低物理设备、链路的投入。Hu9q(X构建虚拟专网可视化界面无票提前规划战口、配置设保端无需到业务现场操作创建业务网只祟3步521.3终端即插即用极简以太全光通过室内交换机标准化、模板化配置，实现IP及业务，不依赖于部署位置和VLAN、端口，从而实现终端的泛载即插即用特性；SffieW0»WBta0nuE>>o*aw"3iTIy.i.原有采用手攻写ma<11P的方稣变成科融隼IdflnaC三R8*tl3HURM酬QMou>m9UHM:智能收集信息 自动收集终端信息、自动绑定IP+MAC 一键审批即入网，终端即插即用 运维工作量降低99%极简以太全光解决方案支持哑终端任意端口任意vlan下接入，且静态IP地址的哑终端无需收集mac地址，终端信息自动在SDN控制器上显示（可查看终端上线时间、MAC地址厂商、接入位置等），在SDN控制器上进行审批即可入网。SDN控制器还可以通过IP点阵图的方式进行IP地址管理，静态IP地址资源使用一目了然。521.4快速审批安全入网传统网络方案物联网终端缺乏易用的安全管理机制，为实现全网的安全及审计，在极简以太全光解决方案中，无需手工绑定，只需要在在待审批页面终端准入管控操作，可以查看到未审批通过的终端，管理员可以手动审批或设置自动审批。控制器审批通过的终端，会往交换机下发静态ARP绑定表项。这个时候物联网终端可以上网，物联网终端准入管控入网成功。ONC一键准入管控实现秒级入网可视化操作界面针对业务箫求，一键开启终端准入管控终端识别及分类：依靠的智能终端识别技术增强型指纹特征库识别、有监督的机器学习静态模型、无监督的机器学习模型能够识别目前高教园区网中常见的20类物联终端，并机器自动学习新的终端类型，解决高教园区网络中物联终端管理盲区，来判断终端分类、终端上线状态，从以前被动响应到可以主动发现问题，及时处理。rs