高校校园网整体解决方案

第一部分 前言：
高校校园网一直是国内Internet发展的领头羊。1994年7月，中国教育和科研计算机网CERNET示范工程启动。也就是同一年，清华北大等顶尖大学建成了自己的校园网，事实上这些网络也是中国Internet的开端。高校校园网从1994年的启动建立到现在的13年间，无论是高校校园网的网络技术，还是高校校园网的关注要点，大致可以分为三个阶段。
第一阶段是基础设施建设时期，时间大约从1994年到2000年。这期间各种网络技术在高校同时都有应用：以太网技术，FDDI，ATM网络技术。在这个阶段，由于校园网应用的技术比较繁杂，而且业务相对单一，因此，这一阶段，主要关注网络的连通性和兼容性，即如何保证校园网的连通，和各种不同网络技术的兼容和融合。
第二阶段是应用平台建设时期，时间大约是从2000年到2005年。这期间，随着网络技术的发展，各种应用也开始出现并发展迅速，包括BBS、WWW、FTP、E-mail，以及近两年流行的BT下载、视音频业务等等，这些应用都对带宽提出了挑战。另一个在此阶段发展迅速的校园网应用就是IPTV，更是被成为带宽的杀手级应用。与此同时，网络技术--特别是以太网技术迅猛发展，1000M以太网已经步入校园，万兆标准也已经公布。结合实际应用和网络技术来看，这个阶段主要关注：带宽和应用。
第三个阶段是信息资源建设时期。时间从2005年至今，乃至今后几年时间内。近两年，万兆以太网已经开始在高校校园网中规模化应用，下一代以太网标准也已经确立为10万兆标准。同时，随着cernet2的启动，IPV6技术也已经在校园网中实验并逐步应用。当基础设施、应用平台建设之后，信息资源的丰富与否决定了校园网络的真正价值。当信息资源充分丰富后，人们的工作、学习、生活、娱乐完全离不开网络，网络的安全与可信又成为头等重要的问题。纵观这两年整个网络世界，安全事件频发：冲击波、震荡波、ARP攻击等等。所以，安全可信成为了高校校园网当前关注的要点。
简单来说，对于校园网：丰富的应用是关键，而稳定可靠的网络是基础，完善的安全和管理手段是保障。

第二部分 高校校园网现状分析：
前面简单回顾了高校校园网的发展历程，这可以作为当前校园网建设大方向的一个参考。下面结合高校校园网的建设，分析一下高校网络建设中普遍存在的需求：
1、随时随地接入的需求
首先，高校师生对于网络接入有着强烈的需求。原因有二：一方面，随着近年来国家对高等教育的大力发展和支持，高校在校生人数普遍呈现上升趋势。另一方面，是由于国家经济实力的增强，技术的发展带来的低成本，导致电脑的普及率也越来越高（据不完全统计，在很多的高校，台式/PC的拥有率可以达到70%）。
其次，在部分热点区域，或者难以布线的区域需要一种切实可行的高性价比的接入方式。也就是采用无线作为补充或者备份。比如广场/操场、体育馆、阅览室、会议室、阶梯教室等，这些区域对于笔记本用户需要能够提供接入服务，而这时有线接入是行不通的。又比如校内的某栋较偏远的办公楼或者某几栋家属楼，上网用户有限，进行独立布线成本较高，所以，同样需要进行无线的接入方式。
简言之，网络作为一个底层的平台，需要师生能够随时随地的方便的接入。这就强调有线网络和无线网络的结合——适合无线网络的地方用无线网络，适合有线网络的地方用有线网络。当然，两者可以有一定的冗余，甚至部分区域会采用无线网络进行备份。目前，从全国来看，众多的高校已经在考虑，甚至已经部署了无线网络。但是仍然存在了无线设备带机数不够、安全性不足、无法很好的进行用户和设备管理的问题。
2、骨干网络高性能、高稳定可靠的需求
首先是高性能。高校校园网中用户数在不断增加，并且随着网络应用技术的不断丰富，高校校园网应用也愈发复杂，例如FTP、VOD点播等大数据量的访问，尤其目前流行的P2P的应用产生了巨大的网络流量，如何高速进行网络传输，对网络设备的性能提出了很高的要求。实际情况中，依然有很多高校使用的骨干设备是集中式表查询和集中式转发模式的。很多时候，老师们抱怨网络很慢，而设备性能不够是其中一个很重要的原因。
其次是稳定可靠。一方面，未来的社会是信息的社会，当前随着校内师生员工的工作、科研、学习、生活、娱乐越来越离不开网络（例如：无纸化办公、网络教学、视频会议和VOD点播、网上购物等业务的开展），网络的稳定可靠性就显得愈发重要——网络随便断开几小时也无所谓的历史已经过去了。另一方面，在应用丰富的同时，网络环境也变得异常恶劣。近两年，安全攻击事件呈指数级上升而所需要的知识却越来越弱化，各种攻击工具在网络上可以随手拈来。这也对网络设备在网络攻击或者病毒泛滥情况下的稳定可靠提出了挑战。目前，在高校使用的设备中还存在大量早期采购的设备，这些设备在启用了安全规则情况下性能急剧下降--在受到网络攻击或病毒泛滥的时候，CPU利用率居高不下，设备稳定性降低，很可能死机/宕机。
由此分析看来，随着用户数增加、应用的复杂，导致网络流量的飞速提升，需要保证多用户、大流量情况下骨干的高带宽，骨干设备的线速转发；随着师生日常对于网络的依赖性的增强，和网络环境的日趋恶劣，需要保证做到骨干网络一定级别的稳定可靠性（比如四个九-99.99%）。
3、出口区域对性能和功能需求
对于出口，最主要有两个方面的需求：
一方面，需要进行多出口的策略部署，并且需要解决多出口部署下的性能问题。具体来说，NAT（地址转换）就是上网速度慢的一个重要原因，另外设备启用策略路由时，造成设备性能的下降，也影响整个出口的效能和稳定性。究其根本，设备的性能是一个很大的原因（对于NAT（地址转换）支持的优劣，有两个很重要的依据，那就是“并发会话数”和“新建会话数”）
另一方面，对于出口设备的功能也还是需要引起注意。比如，《互联网安全保护技术措施规定》在2005年11月23日公安部部长办公会议通过，并自2006年3月1日起已经施行。（该规定简称“82号令”）规定对用户信息、用户上网记录、地址转换记录、设备状态记录等都有要求。一旦不符合日志要求，极可能面临整顿或者关闭网络的危机。
关于出口区域问题的分析，请详细查看《锐捷网络高教出口解决方案》中的分析。
4、来自网络安全的需求
第一，高校面临着严峻的网络安全形势。越来越多的报道表明高校校园网已逐渐成为黑客的聚集地。这一方面是由于网络病毒、黑客工具的泛滥，用户安全意识的淡薄，而另一方面，高校学生——这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心，他们有着探索的高智商和冲劲，却缺乏全面思考的责任感。有关数字显示，目前校园网遭受的恶意攻击，90%来自高校网络内部，如何保障校园网络的安全成为高校校园网络建设时不得不考虑的问题。
第二，网络安全一定是全方位的安全。首先，网络出口、数据中心、服务器等重点区域要做到安全过滤；其次，不管接入设备，还是骨干设备，设备本身需要具备强大的安全防护能力，并且安全策略部署不能影响到网络的性能，不造成网络单点故障；最后，要充分考虑全局统一的安全部署，需要能够从准入控制，到对网络安全事件进行深度探测，到现有安全设备有机的联动，到对安全事件触发源的准确定位和根据身份进行的隔离、修复措施，从而能对网络形成一个由内至外的整体安全构架。
所以，在对出口等重点区域进行安全部署的同时，要更加全面的考虑安全问题，让整个网络从设备级的安全上升一个台阶，摆脱仅仅局部加强某个单点的安全强度的手段。
5、方便运营管理的需求
首先，校园网需要进行合理的运营。第一、校园网的投资较大，加上每年的维护成本，对于学校并不是一笔可以忽视的开支；第二、根据各校的情况，进行合理的运营收费，依靠市场化的手段能够推动校园网的运作规范化和提高建设水平。当然，学校不是运营商，运营的模式和业务流程并不清晰。而学校收费和学生缴费又是一对天然的矛盾，当前不少学校采用的运营模式与学校实际的情况差距太大，无法有效杜绝学生逃避收费等问题一直困扰着学校的网管人员。
其次，有效的管理可以从用户管理和设备管理两方面来看。
对于用户管理，最重要的是能够实现事前的身份认证和准确定位、事中的实时处理、事后的完整日志审计。事前的认证和定位是指可严格实现用户身份识别，根据用户账号、密码、MAC地址、IP地址、交换机IP、交换机端口号、用户所在VLAN的灵活组合，来识别用户身份。将网络中的虚拟用户和生活中的真实用户相对应；事中的实时处理是指对于正在是用网络的用户，如果出现私自拨号上网、使用代理、更改IP地址等，认证计费系统会强制用户下线。对于感染病毒，出现安全事件的用户，结合全局安全通过安全联动来进行隔离、阻断和修复，以保证校园网的安全。事后的日志审计是指记录用户上网的详细信息（包括用户名、IP、MAC等）及完整的用户访问外网的记录（包括源IP、目的IP、源端口、目的端口、访问时间），一旦出现安全事件，可以进行快速完整的审计，迅速定位到个人。
对于设备管理，需要的是统一有效的网络管理系统。能够直观全面地监控整个网络和各种设备的运行状态，记录和深入分析网络流量，及时报告各种故障和性能问题，协助管理员找到故障的起源，并且对网络的性能变化和故障发生提前进行预测。
高校用户数和网络节点数众多，因此难以一体化管理众多的设备和用户，出现网络故障无法快速定位、IP地址盗用、IP地址冲突等问题日益严重，如何利用有限的人力物力对网络进行高效管理也成为学校考虑的着重点。
6、强大数据中心建设的需求
第一，众多高校仍然采用的是直接存储在服务器硬盘上的方式，也就是我们所说的直连存储（DAS）。这种方式存在众多的问题。1、不同的数据存储在不同服务器的硬盘上，造成有些服务器硬盘空间已满，而有些服务器硬盘空间却闲置。空间扩展比较困难，并且服务器之间无法进行空间共享。2、随着应用的不断丰富，访问量的增加，办公、教学、科研对网络的依赖，服务器的性能受到强烈的考验。最终可能成为性能的瓶颈。
第二、随着计算机信息系统的不断发展，用户的核心业务越来越依赖于信息系统的可靠运行，信息系统中的关键业务数据已经成为用户最为重要的资产。因此，对关键的业务数据进行备份保护刻不容缓。尤其美国911事件的发生，世界各地各行各业越发重视重要数据的备份和容灾。但是当前绝大多数国内高校，对于关键数据，比如财务资料、学籍/档案、学术论文等资料都还没有进行有效的备份或容灾。一旦数据毁坏/丢失，后果不堪设想。
也正是基于对存在问题的认识和目前各种应用带来的数据存储的实际需求，很多高校已经开始进行数据中心的建设，那么数据中心建设，应该达到怎样的目标？数据中心的存储设备应该如何选择？都是需要重点考虑的问题。
7、向IPv6过渡的需求
中国下一代互联网示范工程CNGI是实施我国下一代互联网发展战略的启步工程，由国家发改委、科技部、信产部、教育部、中科院等八部委联合领导。2001年，CERNET（中国教育与科研网）提出建设CERNET2计划。2003年12月，国家发改委批准了中国下一代互联网示范工程CNGI建设项目。经过两年多的建设，2006年10月，CERNET2通过了10个院士领衔的项目鉴定委员的鉴定验收，整体建设水平达到了世界领先水平。
可以预见的是IPv6是必然的趋势。而学校积极主动地应对IPv6，有利于提升学校的应用水平和科研水平，并为IPv6的真正大规模部署做好必要的技术储备。事实上，各个高校在网络改造，设备采购时候都在考虑对IPv6的支持了。并且大家都关心的问题是：在向IPv6过渡的阶段，如何充分利用现有设备，保护投资？该采用何种部署策略，保证应用的平滑过渡呢？

第三部分 锐捷网络校园网解决方案概述：
锐捷网络作为业内领先的网络设备提供商和解决方案提供商，秉承在教育行业多年的经验，通过与广大高教用户的深入沟通、互动，根据上述校园网现状的分析，以及出现的问题与需求，提出了“安全、稳定、高速、可运营可管理”的可定制化的高校校园网解决方案。

一、骨干网络高性能、高稳定可靠
1、高稳定可靠性
骨干网最重要的就是稳定可靠性。影响骨干网稳定可靠的因素有很多，但是最主要的有三个方面：设备本身、网络架构、安全保障。只有这三个方面都没问题了，才会形成稳固健壮的骨干网络。
骨干网架构设计
网络核心作为全网的心脏，向学校的教学办公、学生宿舍以及各种应用系统（在线点播、电子邮件、WEB服务等）源源不断的提供安全稳定的信息血液，保证整个学校相关业务的可靠运行。因此，作为整个网络平台的神经中枢，网络核心层是全网数据传输的中心，不仅要保证7*24小时的稳定运行，各种应用服务器的数据能够被稳定可靠的传输，同时，还要协调全网的数据流量和访问策略，在提供信息服务的同时，保证网络中心自身的安全。

整网采用万兆多核心、万兆/千兆骨干、千兆/百兆到桌面的设计理念。高吞吐量，线速转发的核心路由器和三层交换机，所有关键器件的冗余，包括主控板、交换网板、电源等，支持板件的热插拔技术，保证了网络的高效运转。骨干设备双核心双链路，或者核心成环之后，相互之间互为容错备份，并在核心交换机中采用关键模块冗余设计（双电源冗余等）。核心和汇聚之间采用双链路连接，一旦数据传输的活动链路失效以后可以自动切换到另一条链路，保障数据的正常转发。这样，从全网架构上，核心层双链路交换系统不存在单点故障，是一种高级别交换完全冗余的容错方案，这样即使其中一条链路断线或一个主干交换机发生故障，都能在用户觉察不到的极短的时间内启用备份恢复数据传递，从而保证网络系统的高可靠性、稳定性的运行。

锐捷网络多年高端开发所形成的具有完全自主知识产权的统一操作系统RGNOS10.X，使锐捷的高端产品有相同的交换/路由特性、一致的安全功能，能够为用户提供相同的系统服务，并在产品功能、性能提升上具有一致性，同时也方便了用户对锐捷多款产品的统一管理。

安全保障
锐捷核心及全线网络产品支持丰富的安全防护能力，包括对各种攻击的防护能力，以及先进的CSS安全体系。具体将在第二节《有效的全局安全措施》中说明。

2、十万兆平台全面提升骨干网络
目前，万兆以太网，作为迄今为止投入应用的速率最高的网络技术, 已经大规模普及，并且能够切实解决目前校园网建设中存在的很多问题。但是，万兆应用的普及对产品和技术提出了更高的要求。校园网汇聚到核心的万兆线路的改造，就要求核心设备具有更高的万兆线速转发性能，以及更高的万兆端口密度来支撑大量汇聚设备的万兆链路上联。
而十万兆产品恰恰能够解决万兆普及带来的问题。基于对未来十万兆标准支持的考虑，锐捷网络开发的最新一代十万兆产品设备性能强大，完全满足甚至超出了校园网正常应用对设备的性能要求。十万兆还可以简单理解为10*万兆，加上设备所具有的高线卡带宽，这就足以支撑起每线卡的更高的端口密度。目前，每线卡万兆端口数可以高达16个。这将大大降低校内大量汇聚设备的万兆上联成本。
值得一提的是，IEEE 802.3高速研究小组已经开始100Gbps（十万兆）高速以太网的标准化制定工作，预计标准将在2009年出台。采用最新一代面向十万兆平台的产品，符合校园网建设中的保护投资和先进性的原则。在十万兆标准出台后，就可以直接升级到下一代以太网。

二、有效的全局安全措施
1、统一的身份准入控制及详细的日志审计
首先，能够安全认证到桌面。采用六元素的自动绑定、静态绑定、动态绑定相结合，可以确保用户入网时身份唯一，并且避免了IP冲突。
其次，实现了管理分级授权。不同职能的管理者使用同一套系统时可以得到不同的操作界面以及使用权限，避免了管理的安全隐患。
最后，详细的日志审计功能记录用户上网的详细信息（包括用户名、IP、MAC等）及完整的用户访问外网的记录（包括源IP、目的IP、源端口、目的端口、访问时间），一旦出现安全事件，可以进行快速完整的审计，迅速定位到个人。

2、设备本身具有的强大的安全防护能力
锐捷核心及全线网络产品支持丰富的安全防护能力，包括防DOS攻击 (Smurf、Synflood)，防IP扫描 (PingSweep)，防源IP地址欺骗 (Source IP Spoofing)、防ARP欺骗、防病毒、带宽控制等功能。
锐捷网络还在继承已有的设备安全防护能力的技术基础上，开发出了集多种强大安全功能于一体的CSS安全体系设计。
黑客对计算机网络构成的威胁大体可分为两种：一是对网络中设备的威胁,针对设备系统的漏洞或不足进行攻击,导致系统不能正常工作，甚至瘫痪。二是对网络中信息的威胁，以各种方式有选择地破坏,窃取网络中的数据信息。CSS安全体系正是通过从“系统”和“数据”两方面的安全技术来保护网络的安全。
CSS安全体系主要是通过硬件安全监控技术、硬件安全防护技术、丰富的设备安全管理保证系统的安全，通过硬件的隧道技术、认证技术、加密技术保护了网络设备传输的数据的安全。此外，还提供了万兆位的安全防护模块同时保护系统和数据。通过提供万兆位安全防护模块，可以对网络中的数据进行2-7层的安全监控防护。

3、GSN全局安全解决方案

GSN系统能够对全网的所有安全事件、网络病毒攻击行为、用户行为和用户主机安全信息进行深入分析和全局监控。通过这种实时全网侦测，可以在第一时间内将网络异常现象通过接入层隔离出网络，使得网络异常现象完全不影响核心网络；在发现安全问题后能自动对用户进行安全事件告警，并迅速根据用户身份选择将用户隔离到安全修复区域或自动阻断异常数据流。这一方案目前在包括集美大学在内的各高校取得了较好的应用效果，例证之一就是：盛极一时并造成巨大影响的熊猫烧香病毒，在这些学校都悄然无声。
此外，通过部署GSN全局安全，还能轻松的进行主机信息获取；实现主机完整性（HI）规则（通过一系列规则的定义，约定了对用户主机的准入标准）；利用先进的“免疫性”ARP防病毒防攻击技术，彻底解决ARP木马等病毒/攻击带来的网络中断事故的影响。

三、负载均衡、冗余备份的出口设计

1、超强的NAT、PBR性能
当前，校园网出口面临的首要问题就是性能问题。性能问题主要体现在出口设备启用NAT（地址转换）和PBR（策略路由）功能的情况下。正是基于对校园网出口高性能的考虑，锐捷为校园网出口定制的网络出口引擎NPE50系列能够：
1）在启用NAT、ACL、PBR（策略路由）的情况下，在通常情况报文流情况下（平均报文长度为500byte左右的混合报文），双向可以达到8Gbps的线速转发。每秒高达30万条的NAT新建连接会话。在2Gbps的NAT线速转发下，每秒达到新建7万条NAT会话。
2）达到200万条的并发NAT会话数。如果按照每个网络节点300条NAT会话，则可以同时支持将近7000台的网络节点同时在线。
2、出口线路自动负载均衡、出口设备的冗余备份及链路的冗余备份
一方面在流量的策略上，能够实现基于源头的流量区分和基于访问目的的出口控制。具体举例来说，可以将学生的流量和老师的流量制定不同的路由路径；在对外出口上，根据所访问的资源进行划分，教育网免费资源走CERNET出口，免费地址列表之外的都走网通或者电信出口。

另一方面，从可用性角度，实现了任何一台设备（任何一台防火墙或者任何一台网络出口引擎）的故障或者任何一条链路的瘫痪，都将使相应的流量自动切换到另外一台设备或者另外一条链路上。充分保证出口的可用性，时刻保持网络的互联互通。

3、完善的出口日志功能
针对各种网络攻击和安全威胁进行日志记录，采用统一的格式，支持本地查看的同时，还能够通过统一的输出接口将日志发送到日志服务器，为用户事后分析、审计提供重要信息，方案中所能提供的日志包括：
1）设备日志：设备状态，系统事件日志
2）上网记录日志：上网记录日志（基于五元组、NAT）
3）攻击日志：设备网络受到攻击的日志信息

总的来说，锐捷打造的高校校园网出口希望达到两方面的最终效果：
第一、对用户来说，提供最快的外网访问速度。任何的设备故障/链路问题对用户来说都是透明的，这中间的自动切换用户无法感知，也不用去理会。
第二、对于网络管理者而言，提供最高的可用性。不但提供强大的性能，而且在稳定可靠性方面的提升让管理维护变得简单。

四、高度可运营、易管理的网络
1、SAM安全计费管理平台：告别运营难题
针对高校校园网络灵活运营的需求，锐捷网络SAMⅡ校园网解决方案开发出贴近校园用户需求的计费模式，不仅有计时长、包月等传统计费方式，还增加了计天计费方式，并以之为基础，设计了一次交费，分段开通的计费模式。例如，一个学生需要在6月1日的时候开通，但是他6月10日的时候需要出去实习2周，这时，用户完全可以在6月1日的时候选择开通10天，系统就只在这10天内扣除相应费用，到10日的时候系统会自动停用该帐号，直到用户再次选择开通。
其次，SAMⅡ提供了完善的自助服务系统，简单明了的中文界面为用户提供了包括快捷注册，个人信息、密码进行修改，上网明细、交费记录及余额自助查询，在线充值、注销用户等功能服务。不但方便了终端用户缴费，同时也极大地减轻了管理者的管理和收费工作负担，有效缓解了学生缴费和学校收费的矛盾。
另外，为了给高校用户带来最优的应用体验，SAMⅡ“想用户之所想”， 提供了诸如“精细的接入时段管理”、“自动升级客户端”、“丰富的营帐及帐务功能”。还为学校提供了完善的流程化服务。SAMⅡ解决方案预置了包括批量开户、收费通知、网上故障报修等在内的多种应用模版。这些看似简单的模版，是锐捷网络服务数百所高校用户的经验积累，锐捷网络通过将用户的需求以及用户反馈的先进经验进行积累，逐渐形成的一套立体化服务体系。需要注意的是，网络建成后，该服务体系还将对用户进行实时跟踪，及时了解用户需求并为用户提供网络系统定期排查服务，保障用户的网络轻松运行和持续运营。
2、无线用户接入管理
部署WLAN设备的时候，无需改动任何的有线网络架构，可以随时扩展AP来增加无线用户。WLAN用户接入认证可分为三种模式：
1）、使用AP作为认证者（Authenticator）进行802.1X认证；
使用AP作为认证者（Authenticator）进行802.1X认证，无线用户接入网络时，首先向AP发送身份验证请求，AP将相关信息重新封装后发送到身份验证服务器（如RG-SAM）进行验证。
2）、使用AP上联交换机作为认证者进行802.1x认证；
使用AP上联交换机作为认证者（Authenticator）时，用户首先接入无线网络，AP将用户的身份验证请求透传给上联的802.1x认证体交换机，再由认证体交换机将认证信息封装转发给身份验证服务器（如RG-SAM）进行验证。
3）、在“瘦AP+无线交换机”解决方案中，使用无线交换机作为认证者。
在“瘦AP+无线交换机”解决方案中，瘦AP不负责执行用户认证、数据加密等安全工作，而是由无线交换机来执行。使用无线交换机作为认证者（Authenticator）时，用户接入无线网络，瘦AP将用户的身份验证请求发送给无线交换机，再由无线交换机将认证信息封装转发给身份验证服务器进行验证。
三种模式均可以保证全网统一的802.1X认证，整体网络认证统一。一般来说，单路的AP支持802.11a/b/g协议的带机数是30－50人。具体数量视环境而定，视频、BT等大流量应用会导致带机数降低，普通上网应用可以满足最多的带机数，锐捷的AP产品采用先进的双路硬件架构，一台AP相当于两台AP的性能，这样在投资不变的前提下，可以提高至2倍的总物理带宽和带机数。
3、全网设备统一管理
全网拓扑发现以及对事件、性能、日志的统一管理，可以方便的对全网设备统一管理，运筹帷幄决胜千里之外。
五、无线网络满足随时随地接入
为了达到随时随地接入的目标，依赖的原则就是：对有线网络和无线网络进行有机融合。在适合无线网络的地方建设无线网络，将无线作为有线的补充。当然，两者可以有一定的冗余，甚至部分区域会全面采用无线网络进行线路备份。无线部署有胖AP和瘦AP+无线交换机两种方式。具体应该视学校情况而定。

总结近几年来国内部分已经采用无线网络的高等院校在建设中出现的经验教训，对于无线的部署，我们需要着重关注的是：合理的物理部署与信道规划、无线的访问/传输安全、无线网络管理和漫游四个问题。
1、 合理的物理部署
由于无线网络采用无线电波进行传输，因此，无线网络的品质与所部署位置、电磁干扰、信道规划有直接的关系。首先应根据用户调查，了解人群在需要部署的区域的活动习惯，并根据该习惯总结出每个区域同时在线上网的人数和上网带宽需求情况，然后根据该数据的高与低，决定在该区域部署无线接入点设备的数量、信道规划和具体位置。并且对于重点区域，比如会议室、相关办公室进行辐射信号的测试和调整。
2、 无线访问/传输的安全
相比较有线网络对网线的可信而言，无线网络依靠空中的无线电频谱信道载频来传输，如果发生了安全事件，很难被立刻发觉。结合在近几年针对无线网络安全问题的研究中，已经诞生了大量的新技术，与已经建成的无线网络在部分高校的使用中，对安全问题的大量宝贵经验，可以总结如下：
首先，灵活利用SSID技术。SSID是无线网卡与AP用来通信的首个验证码，默认由无线接入点在空中以明文的形式广播，很容易被截获并入侵网络，带来安全的隐患问题。但如果通过限制它的广播，就可以解决这类问题的发生。
其次，对无线用户进行有效的准入控制。这在运营管理部分给与了解决方案。
最后，利用64/128位WEP（有线等效加密）技术，至少可以挡住98%的网络攻击，对于高校的网络管理和维护人员而言，配置简单灵活。
3、 无线网络管理
通过集中的网络管理，对无线网络的所有设备进行合法的注册，并对所有合法用户注册，并分配不同的权限，并与相应的无线设备动态捆绑，极大的提高整个无线网络用户上网的合理性。
首先，对设备的管理是网络管理的重要部分。所有网络设备遵循统一的、标准的管理协议和兼容性，并满足集中、统一管理的功能需要，使得网络中心管理人员可以在网管工作站随时观察每一台网络设备的工作状态。
其次，对环境的管理是更深层次的网络管理。建成后的无线网络，能满足网络中心管理人员在网管工作站直观、详尽的了解每个无线设备附近区域的环境状态，譬如是否存在信道干扰，信道负载负荷等等。
4、 用户的漫游
漫游网络可分为物理层漫游、链路层漫游、网络层漫游和应用层漫游。在国内多数高校的WLAN网络建设中，对无线网络的漫游还停留在物理层和链路层漫游的水平，这两部分的漫游仅能解决局部的漫游问题，对于网络层漫游（跨网段的移动IP访问）和应用层漫游（跨认证体的用户认证不中断、不用重认证）却往往没有考虑，在面向未来的无线网络中，将会承载多种主体应用，必须实现对网络层和应用层的漫游。

六、智能高效的数据中心设计
1、 存储系统设计
构建一个成功的存储区域网，第一步和最重要的一步是存储网络本身的设计。首先应该明确存储网络设计的目标。一个成功的存储区域网设计，应该保证在实施后能够满足校园网对存储设备性能和容量方面的要求，能够满足数据的高可用性和抗灾的要求，能够提供强大的数据管理功能，能够满足数据备份的要求，能够满足未来数据与业务增长的要求，还要具有较高的性价比。
2、 数据分级存储
数据分级存储，是指数据客体存放在不同级别的存储设备（磁盘、磁盘阵列、光盘库、磁带库）中，通过分级存储管理软件实现数据客体在存储设备之间的自动迁移。数据迁移的规则是可以人为控制的--根据数据的访问频率、保留时间、容量、性能要求等因素确定的最佳存储策略。在分级数据存储结构中，磁带库等成本较低的存储资源用来存放访问频率较低的信息，而磁盘或磁盘阵列等成本高、速度快的设备，用来存储经常访问的重要信息。
数据分级存储的工作原理是基于数据访问的局部性。通过将不经常访问的数据自动移到存储层次中较低的层次，释放出较高成本的存储空间给更频繁访问的数据，可以获得更好的总体性价比。
3、 基于IP SAN的网络集中存储
对于校园网的核心存储架构，我们建议采用以数据和存储为核心的集中存储系统结构。以数据和存储为中心可以极大地保护用户的投资，有效利用存储空间，降低用户管理费用，从而确保整体拥有成本最低。降低管理难度，维护数据管理的统一性。提高了电子化数据管理的可靠性。数据的集中化管理，能够确保数据的一致性和完整性，保证电子化数据的可靠性。
以数据和存储为中心必然对整个存储系统性能有很高的要求，设计方案选用集中式、高性能、大容量、智能化的存储区域网(Storage Area Network，简称SAN)来构建新一代计算中心存储环境。SAN一改过去以服务器为中心的存储模式，以数据存储为中心，采用伸缩的网络拓扑结构，通过IP连接方式，提供SAN内部任意节点之间的多路可选择的数据交换，并且将数据存储管理集中在相对独立的局域网内。SAN的最终目标是实现在异构环境中最大限度的数据共享和可管理性。存储区域网是未来存储系统发展的方向。
4、 存储虚拟化
存储虚拟化是一个抽象的定义，它并不能够明确地指导用户怎么去比较产品及其功能。这个定义只能用来描述一类广义的技术和产品。存储虚拟化同样也是一个抽象的技术，几乎可以应用在存储的所有层面：文件系统、文件、块、主机、网络、存储设备等等。
SNIA的存储网络字典里是这样定义的：虚拟化——通过将一个（或多个）目标(Target)服务或功能与其它附加的功能集成，统一提供有用的全面功能服务。典型的虚拟化包括如下一些情况：屏蔽系统的复杂性，增加或集成新的功能，仿真、整合或分解现有的服务功能等。虚拟化是作用在一个或者多个实体上的，而这些实体则是用来提供存储资源或服务的。
5、 3.1.5 高可用系统
对于校园网中最为重要的管理系统，由于其系统与数据的特殊性，通常将其系统分别安装在两台服务器上，数据库存放在稳定的、可靠的核心存储设备上，两台运行管理系统的服务器之间实施集群系统，以确保校园网的管理系统的持续可用。由于目前的作为初期的存储项目，建议先采用企业级的智能存储系统作为校园网的数据中心。
6、 冗灾系统的实现
推荐采用RG-iS6000基于存储的冗灾技术，可以通过RS-iS6000系统内置的复制功能来保证远程冗灾系统，同时支持同步与异步的工作方式。

七、IPv6的分阶段分步骤平滑过渡
IPv6的技术优势是明显的，但是IPv6应用所面临的一个重要问题就是如何部署IPv6网络。目前的Internet网络以IPv4为主导，不可能一次性地将网络的所有设备升级为IPv6，可以肯定的是，一定是分步骤分阶段的进行部署实施。为此IPv6必须提供多种过渡技术来解决部署问题。
1、 过渡阶段
IPv4到IPv6的过渡是从网络边缘向核心演进，IPv4和IPv6会在较长时间内共存
起始：所有网络基于IPv4，Internet上都是纯IPv4设备，使用NAT缓解IPv4地址紧张
初级阶段：引入IPv6 Intranet，提供IPv6接入等服务。IPv4网络中出现若干IPv6孤岛，不同的IPv6孤岛使用自动或人工配置的隧道通过IPv4网络连接起来“IPv6-in-IPv4”
共存阶段：IPv6得到较大规模的应用，出现了骨干的IPv6 Internet网络，在IPv6平台上引入了大量的业务。IPv6业务可以通过IPv6 Internet网络与IPv6 Intranet网络，从而可以充分利用IPv6的诸多优势，如Qos保证。但由于IPv6网络之间有可能不是相互连通的，因此还会使用隧道。在IPv6平台上实现丰富的业务加快了IPv6的实施。但仍将有大量的传统IPv4业务存在，许多节点也仍然是双栈节点。
主导阶段：IPv6占据主导地位，具备全球范围内的连通性，所有的业务都运行在IPv6平台上。网络结构得以简化，维护也更加容易。
总之，在从IPv4升级到IP6的过程中，一定要注意从IPv4过渡到IPv6的过渡策略，考虑产品和方案平滑升级到IPv6的能力，保护投资。
2、 过渡策略
由于IPv6刚刚起步，很多标准还不完善，很多技术还没有经过大范围、大流量的考验。IPv6技术现在正处于完善的阶段。因此，在建设IPv6网络初期，应当选择具有升级能力的网络设备，比如以NP或ASIC为处理器实现的IPv6技术等。
应当考虑与现有IPv4网络的互通性。由于IPv4网络资源丰富，上面有很多业务，因此要考虑怎样在IPv6网络上访问IPv4网络的资源。
应当选择响应速度快、服务好的厂商。由于IPv6还处于发展期，会出现很多新功能，新技术，因此设备的版本升级必然比较频繁。同时用户可能根据自己的实际情况，对设备厂家提出一些特色需求。为此应当选择响应速度、服务好的厂商。
应当不要选用有私有协议、专利技术的厂家设备。这些厂家的设备不能很好的和其他厂家的设备互通。为以后升级、扩容造成很大麻烦。
3、 锐捷IPv4/IPv6过渡方案

最理想的选择是，利用支持双栈技术的多业务万兆核心路由交换机（如RG-S8600系列）作为骨干校园网IPv4/v6过渡设备。实现同时与IPv6网和IPv4网的互通。此方案同时支持IPv6/ IPv4两种业务流，不影响目前学校主要的IPv4业务，满足学校在IPv6应用时的过渡网络环境。
IPv4/IPv6共存开通建议：
1、 校园网内部V6-V6、V4-V4业务，通过双栈设备实现业务的互连，不涉及IPv6协议与IPv4协议的转换，与普通单网络业务转发模型类似；
2、 校园网内部V6-V4业务互通，利用核心路由交换机作为协议转换设备，运行NAT-PT协议进行转换；
3、 校园网V6业务-外部V4业务互通，利用核心路由交换机作为协议转换设备，进行校园网IPv6业务与外部IPv4业务的互通；
4、 校园网V6业务与外部IPv6孤岛业务互连，建议在设备实现手工隧道或6TO4隧道，穿越IPv4网络。
4、 IPv6试验网规划建议
网络环境的真实性
任何新应用的示范和推广首先是市场行为，均必须在具体的实际市场实践中摸索和发展，并得到市场的检验。因此为了更好的完成这一过程，我们的IPv6实验网必须尽可能的贴近真实环境，只有这样我们才能实现资源利用率的最大化，让新的应用业务以最小的代价通过市场的检验，并取得成功。
另外，IPv6的相关科研和应用发展的推动，也需要依赖于环境的真实性，只有在真实的环境中得到的测试数据才能有说服力，才能为我们的决策提供良好的论据。
网络环境的真实性涉及到两个方面：
首先IPv6公共资源平台中的设备必须是可实际商用的成熟产品。
其次，IPv6公共资源平台的网络环境必须尽可能的贴近于真实的园区网环境，不仅仅只局限在软件模拟环境中，必须包含园区网的基本元素—交换机。这样，我们的IPv6的科研和应用开发一直处在一个真实的环境中，将来在市场上可以以最小的风险，快速通过市场的检验，并获得成功。

IPv6设备的性能
目前市场上支持IPv6的网络产品大多数都是通过软件实现IPv6技术，通过软件实现IPv6技术使得CPU成为了一个瓶颈，性能受到限制，这在很大程度上制约了基于IPv6的应用的发展和推广。
因此在我们的IPv6实验网的建设中，应该突破这一瓶颈，建议采用硬件实现IPv6技术的成熟产品，从而在性能上保障IPv6技术的科研，应用发展的需要。

要具有一定的规模
应用的发展和推动，必须要有一定的规模的环境来检验，这样更具有说服力和广泛的适应性，并能得到广泛的认可和持续的推广。
首先，作为大学IPv6实验网，必须要具有一定的规模建设，以最少的代价将IPv6实验网铺设到尽可能多的院系或科研机构。
其次，应用群体也要具有一定的规模。学校在这方面可以说具有先天的优势，目前重点高校的在校师生往往有数万人，是很大的一个规模应用的群体。

高校校园网及网络设备配置整体解决方案