安徽科技学院是一所省属全日制普通本科高等学校。学校创办于1950年，1965年开始举办本科教育，2005年2月，经教育部批准由安徽技术师范学院更名为安徽科技学院。学校位于蚌埠市东郊，交通便利，环境幽美。经过50多年的建设，学校已发展成为一所工、农、管、理、文、医、法、经等多学科协调发展的具有较强实力和鲜明特色的全日制综合性本科院校，为国家培养了大批高级应用型专门人才和优秀师资。现有工学院、管理学院、动物科学学院、生命科学学院、植物科学学院、外国语学院、理学院、文法学院、继续教育学院、体育教学部等10个教学机构。本科专业35个，专科专业25个。在校生近10000人，在职教职工710人，专任教师450人，其中，正、副教授180人，博士、硕士200多人，国家级、省级优秀教师和享受政府特殊津贴的教师22人，省级学科带头人培养对象和优秀中青年骨干教师40余人，特聘教授和外籍教师30多人。学校积极开展国际交流，先后与美国、加拿大、法国、韩国、日本、德国、澳大利亚等国家的高校进行交流协作；自1991年开始常年聘请外籍教师授课，经常向国外派遣进修人员和访问学者。

学校基础设施良好，办学条件优越。占地面积1200余亩，建筑面积20多万平方米；图书馆藏书近60万册，电子文献15万种，并配有现代化的电子阅览室；学校建有计算机校园网，与国际互联网链接；拥有数控中心、CAD 中心、分析测试中心、生物技术中心、计算机中心以及语音室、数字电路实验室等40多个设备先进的实验室和省级基础课实验教学示范中心，教学仪器设备总值3000多万元；校内教学基地总面积370亩，包括种植科技园、养殖科技园、食品科技园、花卉盆景园和中草药园等近20个专业性教学实习基地；建立了20多个省级教育实习基地和校外实践教学基地。办有公开发行的《安徽科技学院学报》和《安徽科技学院报》。

安徽科技学院在人才培养过程中，注重素质、注重实践、注重创新。学校大学生社会实践活动连续十二年受中宣部、教育部、团中央联合表彰，一大批学生在科技创新和社会实践中获国家和省级奖励。《人民日报》、中央电视台、安徽电视台等多家媒体作过专题报道。在近几年的毕业生中，有近40%在大、中专学校从事教育工作，30%左右的毕业生考取研究生和国家公务员，30%左右的毕业生在大、中企业从事经营管理和技术开发以及自主创业，一大批毕业生迅速地成长为年轻的学术带头人和工作骨干。我校毕业生综合素质高，知识结构优，实践能力强，敬业精神强，深受社会各界欢迎。近几年来毕业生就业率一直位居全省高校前列。全国各地及许多国家都活跃着安徽科技学院校友们的身影。

用户需求

根据安徽科技学院网络目前网络系统建设的实际需求，参考项目未来的可扩展性和可靠性，同时参考校园内相关建筑楼和场地规划图，结合实际勘察的现场情况，方案设计将根据此次网络改造所涉及的网络方案和设备，在这里先不考虑服务器的具体数量，只考虑具体信息点的个数。此次项目涉及到图书馆大楼二期网络扩建、西校区实验楼网络新建。

根据此次项目应用的特点，图书楼将作为重点考虑的场地，特别还要考虑图书馆的多媒体应用和查询，大数据量的息查询。所以，建议规划设计的新的网络大数据量应用区域要求是千兆主干，并且二层千兆交换到桌面。，信息点大致分布为：

网络汇聚：分布在图书馆楼、西校区；共需要配置4台12口光纤端口，并支持堆叠和丰富的路由协议，完全满足用户今后扩展需求。

接入层：

图书馆楼： 需要配置23台48个10/100MRJ-45端口，4个10/100/1000M 铜缆 RJ-45端口，4个 SFP 插槽，其中千兆光口接口数≥4，堆叠口。

西校区实验楼：需要配置22台48个10/100MRJ-45端口，4个10/100/1000M 铜缆 RJ-45端口，4个 SFP 插槽，其中千兆光口接口数≥4，堆叠口。

技术方案

如下图示，本方案总体的网络设计，作为方案的建设，此次主要设计为汇聚层和接入层的交换。骨干采用1000M 互联，其他地区仍采用二层10/100M 堆叠交换接入到桌面的方案设计;整体校园网络设计采用最具投资保护的高速网络基础架构，能充分支持下一代网络数据，话音以及视频集成的多业务网络平台。

网络中心：网络交换核心仍以 CISCO 公司6509核心机箱式千兆以太网中心交换机（支持万兆）为中心，提供原来和此次建设的网络汇聚层和工作组接入层交换机的连接，同时负责连接网络的中心服务器以及对外出口防火墙设备，总体负责整个网络中所有主干连接，全局路由策略和处理，及应用服务器或互联网之间的数据交换。

网络汇聚：在图书馆楼，西校区实验楼内共设置了二个网络汇聚层，每个大楼配置了一台 CISCO 公司的CISCO3750 三层以太网交换机;提供主干上连核心交换机 CISCO7609 和各大楼内工作组接入层交换机的汇聚，总体负责各自区域的网络三层数据交换和路由收链，以及本区域的访问控制策略；

工作组接入交换：在图书馆楼和西校区实验楼的各楼层的接入层将配置 NETGEAR 公司下一代的堆叠式百兆三层交换机 FSM7352S 系列以太网交换机，高速率的客户端设备10/100Mbps 的百兆以太网端口连接和第二层数据交换，向上通过千兆连接中心交换机，采用多链路绑定实现冗余和增加带宽。同时丰富的安全特性可提供基于边缘接入的防护控制机制；

以下是 NETGEAR 网络拓扑结构示意图

图书馆网络拓扑图如下：

西校区实验楼网络拓扑图：

方案的设计特点与优势

先进的园区三层组网架构

全网采用核心层、汇聚层、接入层的三层架构组网方式。其中汇聚层采用三层交换的设计赋予了校园园区网络所需要的最大的吞吐量和灵活性----位于汇聚层的三层交换设计减轻了核心三层交换机的负荷， 使网络从接入层汇聚后就能将不同 VLAN 之间的路由将直接或就近处理转发，不再象以前设计的那样需要把全部路由集中到核心三层交换机来处理， 降低了网络风险，减少了网络收敛时间，增强了整体网络的处理性能，也分担了在核心交换机的路由信息交换和查询的所需的性能开销。

汇聚层 CISCO3750G 交换机包含了多种路由协议，如基于端口和 VLAN 的路由，静态/动态/等价路由，丰富的管理控制机制等；同时特殊的应用也能得到整个网络的端到端的 Qos 服务保证；

接入层采用 FSM7352S 三层交换机，不仅适用于大型网络环境，也保障所有数据包的从核心到边缘无阻塞的线速转发性能；使的与传统架构采用高昂费用，“头大脚轻”的高端三层核心交换机设计的网络相比，价格更经济，整体性能更优化。汇聚层的三层的网络体系架构是下一代网络支持多业务的保证，它为你的投资提供最好的保障。

先进的堆叠技术，确保网络整体最强性能

1．堆叠式三层交换机 FSM73XXS

接入层采用交换机 FSM73XX 具有强劲的 20Gbps 内置堆叠背板，4个千兆以太网端口比具有竞争性的产品提供了多2个的交换端口。

可以将接入层交换机轻易的扩展，最大8台 FSM73xxS 的交换机融为一体。堆叠后最大可提供384个
10/100M 端口和16个10/100/1000M 端口；千兆光纤端口用于汇聚层交换机和本地区域的部门网服务器的连接。多台堆叠后的交换机可通过单一的 IP 地址，在一个界面里就可以直接配置和升级整个堆叠组的交换机。简单，容易的配置和管理。提供了适合你校园园区网络所需的扩展性和高密度，大规模的边缘桌面接入。

（FSM7xxS 堆叠连接示意图）

全局的网络安全控制策略

随着近年来校园局域网络所面临着日益增多的黑客攻击，非法接入，广播病毒攻击等等令人头疼的问题和安全隐患。特别是那些没有专门 IT 网管的大/中型校园园区网络，不安全的和不稳定的网络将会严重影响整个校园的业务开展。全新设计的“高性能、高可靠、可堆叠”体系——是迎合未来和现在校园园区网络所需和所关注的和所面临问题的最佳解决方案的理想产品。

作为校园网络的整体方案设计，我们将遵循分层次和分级别防御控制：

接入层：第三级接入层控制策略;将有效的抵御 ARP 攻击防御（端口、MAC、IP 地址绑定）；端口速率限制， 广播攻击防御（广播抑制）；;802.1X 用户接入认证明和安全的网络设备管理等等层面的控制策略；

汇聚层：第二级本区域除了负责 VLAN 创建和路由之外，还负责控制区域内外 ACL 访问控制；

核心层：第一级全局控制，将以全局访问控制为主，对第二，三级控制的补充，还负责对互联网部分的安全访问和策略路由。

那么首先让我们先来关注下可以解决的校园网络面临的主要问题：

1）设备管理 

设备管理安全性—— 一般来讲，许多用户对于网络设备的安全最简单的印象和概念是需要去修改设备的管理员帐号和口令，对于这些管理上的简单常识问题是容易解决的。而现在，对于一些大/中/小型应用及网络结构复杂的网络中，由于在前期网络建设过程中，从核心到边缘接入层的大多数设备本身就不具备实现安全保护的功能特性。比如在大型企业，园区和校园网络里，这将会是非常的麻烦和辣手的，因为你的网络将要随时面临着恶意/非恶意的人使用从互联网上免费下载的攻击和扫描工具来干扰你的网络设备的正常使用，比如“中间人”攻击，非法进入交换机管理界面，窃取交换机用户名/密码/管理 IP 地址等等，信息侦听探测，窃取修改管理数据，出厂恢复你交换机的配置等等。

NETGEAR FSM73xxS 系列交换机通过 Secure Sockets Layer （SSLv3）来安全 WEB GUI 图形化界面的配置;也都能通过 Secured Shell （SSH ）安全远程的命令行配置；通过 SNMPv3 来安全网管系统的管理。

SNMPv3 网管协议增加了安全的内容，对网管信息进行加密（DES，3DES），并提供机密性和完整性的校验机制。 SNMPv3 还允许基于管理员的用户的认证和接入控制， 可以为每一个 SNMP 管理用户建立特别帐号，并根据这些用户帐号授予权限（读/写），以实现校园局域网络的安全管理。

2）攻击防御

比如 ARP 攻击，作为边缘的防护，智能安全交换机可以提供静态的端口绑定，结合核心交换机一起，抵御ARP 的攻击；另外，采用广播攻击等病毒的攻击可让你的网络完全处于瘫痪状态，电脑就象被交换机完全屏蔽掉而无法工作。除此之外，BT 下载等大量消耗网络带宽的资源，堵塞你数据传输的带宽等，都可以通过安全的措施来防御，如广播抑制，端口速率限制。

推荐采用的网络设备从上至下都遵循了“安全”为重心； 所推荐的交换机都是可以提供全局的访问控制策略的配置，可基于 IP 地址，源/目的地址，端口，协议等。ACL 和 QoS 的增强特性可以提供基于应用流的流量限制。

3）用户认证

接入安全性对于大/中型校园网络， IT 网管人员是无法确定哪些是合法使用网络的用户，哪些是非法的 PC 接入，对于那些没有任何控制能力的有线网络设备，使的商业/企业网络能轻易的让非法享用或盗取网络资源。

NETGEAR FSM73XXS 系列支持完整的 802.1X + Radius network login 功能，配合 NETGEAR 在中国的 802.1X 客户端软件及 Radius Server 软件，可实现用户名与客户端 IP 地址，客户端 MAC 地址，所接交换机的管理 IP 地址（NAS IP Address），交换机端口及端口 VLAN ID 的灵活绑定。为接入端提供了安全，灵活的身份验证和控制手段。我们在中国的 802.1X 客户端软件及 Radius Server 软件是具有完全的计费功能的。另外，具备交换机端口/MAC/IP 地址绑定和多种层次（L2/3/4）的 ACL 安全访问控制功能。

显著的价值

具有非常诱惑的方案设计，强大的三层/二层交换机的功能。可靠，安全的预设计，减少了维护和管理的需求，使用 NETEGAR 交换机的解决方案可为你获得高的投资回报，并且提供了理想的高可靠，安全的、集合语音，视频和数据传输的网络体系。

应用效果

项目自立项起，经过产品选型、技术方案等方面严格把关和重重考验，美国网件公司最终中标。本项目因采用设备数量众多，在当地产生了有一定的影响力，特此 NETGEAR 公司也专派工程师现场协助实施，并完成对用户培训工作。

相关产品