教育城域网 数据中心交换机 数据中心区 运维管理区 路由器 安全防御管理区 多业务 无线控制器 智慧防火墙 & 入侵防御系统 上网行为管理 WEB 应用防火墙 无线认证 网络核心区 汇聚交换机 无线管理区 网络接入区 互联网 核心业务系统 前端摄像头 接入交换机 有线和无线融合 有线和无线融合 有线和无线融合 用户终端 终端安全系统 监控机房 IP 广播

日志、审计系统 网络安全防御管 理 区 多业务 无线控制器 堡垒机 下 一代 防火墙 & 入侵防御系统 上网行为管 理 WEB 防火墙 + 防篡改软件 数据库审计 无线认证 网络核心区 汇聚交换机 无线管 理 区 网络接入区 互联网 虚拟化 私有云平台 OA\ 教务 \ 学务 \ 一卡通 \ 图书管 系统 前端摄像头 接入交换机 有线和无线融 合 有线和无线融

SSLVPN 综合多业务出口安全网关 出口负载均衡 100G 宿舍区汇聚 DMZ 区 网络管理中心 DDOS 安全防护 QINQ+ 大二层 计算机网络系统 数据中心 网络设计 核心区由两台数据中心级核心交换机构建，负责 整个数据中心上应用业务数据的高速交换。 每台核心交换机与校园网核心交换机 40G 互联， 共两条链路。 两台核心交换机之间部署虚拟化技术，对外提供 统一的

扩容方便、保护投资 随着业务的增加，当用户进行网络升级时，只需要增加新设备，而 不需要更改网络配置。平滑扩容，很好的保护了投资。 设备可靠性 可靠性的另一个重要方面是设备可靠性，核心区设备一般为框式设 备，在可靠性方面的要求包括：  支持主控单元的备份  支持电源模块的备份  支持模块化的风扇设计，支持单风扇失效 

护设施，提供互联网业 务访问能力；通过链路上联至教育网实现与各教育系统的数据交互，并通过边界防火墙进行必 要的网络防护。 2.核心区 网络核心区主要部署云平台核心交换机，网络核心区是整个网络的流量汇集地，来自外部 网络以及服务器集群的流量全部要经过网络核心区。网络和数据库审计系统双归属连接核心交 换机对网络及数据库流量做日志审计。部署安全隔离防火墙用于内外网数据交换，双归属连接 核心 两台核心交换机通过虚拟化技术组建网络集群，达到2N 冗余高可用效果，任何一台核心 交换机出现故障，不影响现有网络的正常运行。核心网络向上经综合安全网关设备接入现有运 营商网络，向下连接多个业务区介入交换机。 核心区由两台高端三层交换机构成，两台核心交换机之间通过4条40G链路三层互联。核心 区与leaf之间为三层路由互联，为保证功能子区的可靠性要求，接入层的每台Leaf设备通过双 链路连接到核心交换机。

XX 市信息管理学校智慧校园规划方案 图 Error: Reference source not found-20 核心区域组网 核心层是整网流量的汇聚点，因此核心设备要求要求有很高的转发容量、同时还要求有高密 度大带宽的接口，除此之外，还要求有大规格转发表项的学习和处理能力以应对网络不断发展的 要求。 基于目前园区网络的发展趋势，可采用高性能的 学校广播室： IP 网络广播系统的核心，实现定时打铃、背景音乐、考试英语听力播放等，及与 IP 网络广播终 端双向对讲、远程呼叫等功能，同时可监听广播系统播放的内容。 2） 教室区域：学校的核心区域，在每个教室设置 IP 网络广播终端，遥控操作，实现网络课件播放，具有快速定 位及复读、变速等语音室的功能。 3） 办公区：老师工作的场所，可以通过设置控制广播室中心广播，实现领导网上讲话及监听等功能。

建稳定的 骨干传输网将经过汇聚和接入层过滤的用户流量进行高效的传输；当用户流量的目的地址是外网时， 出口层次提供各项互联网的访问策略和准出控制，并且对用户的互联网应用进行精细化的控制。  核心区域设计 随着学校在 IP 网络上部署的各种应用系统增多，学校的学习生活、教学等对于网络依赖程度 越来越高，网络成为学校正常运转的最基本因素之一。因此，网络永续性对学校信息化建设的成功 变得越来 安全控制策略防：设置指定的内网用户只能访问指定的外网服务器的服务；设置外网用户只能 访问我内网固定某 ip 或某个端口，实现网络单向访问。 2. 外网安全防护：防御来自外网的 DDoS、冲击波、蠕虫病毒攻击。 2.1.2.2 核心区域设计 随着学校在 IP 网络上部署的各种应用系统增多，学校的学习生活、教学等对于网络依赖程度 越来越高，网络成为学校正常运转的最基本因素之一。网络一旦故障，就如同断电缺水一般，其负 面影响不

建稳定的 骨干传输网将经过汇聚和接入层过滤的用户流量进行高效的传输；当用户流量的目的地址是外网时， 出口层次提供各项互联网的访问策略和准出控制，并且对用户的互联网应用进行精细化的控制。  核心区域设计 随着学校在 IP 网络上部署的各种应用系统增多，学校的学习生活、教学等对于网络依赖程度 越来越高，网络成为学校正常运转的最基本因素之一。因此，网络永续性对学校信息化建设的成功 变得越来 安全控制策略防：设置指定的内网用户只能访问指定的外网服务器的服务；设置外网用户只能 访问我内网固定某 ip 或某个端口，实现网络单向访问。 2. 外网安全防护：防御来自外网的 DDoS、冲击波、蠕虫病毒攻击。 2.1.2.2 核心区域设计 随着学校在 IP 网络上部署的各种应用系统增多，学校的学习生活、教学等对于网络依赖程度 越来越高，网络成为学校正常运转的最基本因素之一。网络一旦故障，就如同断电缺水一般，其负 面影响不

业务板实现静态清洗。如下图所示： 出口防 DDOS 方案 348 XX 大学智慧校园项目规划方案 入侵防护解决方案 互联网核心区系统、云平台虚拟业务系统等区域直接面临来自互联网的安全攻击， 因此在核心交换机上旁路部署两台 IPS，实现安全入侵防护功能。 在核心交换机上旁路部署 IPS，实现核心区的 IPS 深度防御；IPS 针对应用流量做 深度分析与检测，配合攻击特征知识库和用户规则，可以有效检测并实时阻断隐藏在 协议进行病毒的检测和清除，在网关处有效限制病毒随互联网访问、远程运维等途径 进入到云平台当中，同时能防止病毒在云平台内传播扩散。 边界隔离安全设计 1.业务区边界安全设计 业务区是云平台的核心区，业务区署了大量服务器和存储系统，云平台的业务系 统和数据都在该区内，是进行安全防范的重点。 业务区根据业务类型不同，可划分为公用业务区、专有业务区、虚拟资源区、物 理资源区、开发测试区等功能

乐、考试英语听力播放等，及与 IP 网络 广播终端双向对讲、远程呼叫等功 能，同时可监听广播系统播放的内容。 湖北交通职业技术学院绿色智慧校园建设与应用项目规划方 －182 2. 教室区域：学校的核心区域，在每个教室设置 IP 网络广播终端， 遥控操作，实现网络课件播放，具 有快速定位及复读、变速等语音室的功 能。 3. 广播通知：领导办公室可进行广播对讲或喊话可以通过设置控制 教学、办公等提供优质的 信息化服务，同时实现学校自主分区域、分时段、分权限的可控可管。对 湖北交通职业技术学院绿色智慧校园建设与应用项目规划方 －200 整体网络有如下的整体设计思路： 核心区域：采用高性能的核心设备，且冗余部署，保障整个校园网的 高性能、可靠性和安全性。采用扁平化组网方式，简化校园网的运维管理 以及用户体验；有线无线在核心统一认证管理； 出口区域：出口区域设计出口网关设备。出口网关设备除了具有强大