信息中心紧扣教育信息化2.0行动计划，立足“三性四群五工程”的办学定位和发展思路，全方位、深层次、整体推进学校教育信息
化进程。2019年10月通过校企合作的方式完成新一期的校园基础网络建设。

    校园网架构整体采用层次化设计，利用IPv4/v6、无线、扁平化及SDN技术，搭建了一整套有线无线一体化的网络承载平台。项目完
成后，出口带宽提升至20.1GBps，校园网信息点总数达到12000余个，用户数超1万； 无线网络采用802.11ac WAVE2和802.11ax技术
标准实现双频无线网络的全覆盖，无线接入点数达到3600余个；同时实现IPv6下一代校园网覆盖全校，所有校园网用户都可在保持原
入网方式不变的基础上接入新一代IPv6校园网，同时享有现有IPv4互联网和基于IPv6的下一代互联网的双重访问能力。 核心区域网络
架构拓扑如下图所示。

    本期校园网最核心的能力在于通过SDN网络驱动器Director实现校园网的智能管理，对移动用户、固定用户及各类终端进行识别，
按照用户所属的用户组，或者终端所代表的一类应用进行标记后下发策略。网络中的用户和终端可在任意位置获得统一的网络使用
权限,实现网络资源的动态部署。

    通过SDN控制器控制DHCP服务器实现同一用户组内终端或用户只能获取指定网段内的IP地址，根据实际情况可以指定每一终端获
取固定的IP地址。“IP即用户”的价值在于将用户和IP实现一一对应，针对IP的控制同时就实现了针对用户的控制，便于快速用户审
计,“网段即业务”的价值在于将IP地址网段和校园网络用户组或业务进行耦合，对于用户组或业务的控制直接通过该对应的IP网段实
现即可达成，一条ACL便可以实现业务之间的隔离。

    柔性网络架构的引入将传统网络状态转变为无状态方式，针对用户和终端而言整个网络无状态，其核心就是位、址分离， 可以实
现用户或终端的即插即用、权限随行，用户IP地址和位置不相关，让同一IP可以在任意位置接入，包括有线网络、 无线网络之间做
漫游， 不需更改任何配置。

    网络架构在基础网络层面将整个网络设备按照角色进行分类，分别为Spine设备、leaf设备、Access设备，各类设备的配置完全统一，
将整网设备的配置文件简化成3份，由Director平台统一管理，并自动下发，让自动化部署真正成为最简单的网络部署方式。

    校园网安全按照信息安全网络安全法、等级保护以及最新的安全技术发展趋势要求，紧密围绕着校园外网、校园内网信息系统进行安
全体系建设，并建立健全安全治理、安全管理、安全防护、标准规范、技术支撑队伍、安全基础设施等信息化安全保障体系，为信息系
统安全可靠运行提供了坚强支撑。

（1）在出口路由器后端双机部署下一代防火墙，对互联网出口进行全方位的L2-L7层的防护，对网络流量进行安全清洗。

（2）建立安全中心用于部署安全管理及分析系统，在核心交换机部署潜伏威胁探针将全网数据流量引入安全中心。在安全中心旁路部署
安全感知平台，包含流量威胁发现、威胁分析平台、高级文件样本检测等安全分析系统，对探针发送的数据进行全面的安全检查，实现
安全大数据分析，并通过可视化的形式呈现针对内网关键业务资产的攻击与潜在威胁；部署一套终端安全管理平台，管理教师办公PC、
服务器主机安装的安全客户端，实现终端访问控制、安全域隔离、终端杀毒等功能，并且可以与安全感知平台联动实现终端隔离；部署
堡垒机监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，实现集中报警、及时处理及审计定责。

（3）在核心交换机上旁挂上网行为管理，实现对网络出口的应用监控、流量监控及行为审计等功能。并在安全中心部署上网行为感知平
台（UBA），对已有的上网行为管理的审计数据进行大数据分析和数据建模，实现对于学生网贷、沉迷网络、高危事件感知等分析级预
警功能。

（4）在DMZ区部署一台VPN设备，实现教师移动办公及远程运维安全接入，并对图书馆资源进行远程安全发布，满足等级保护对于身
份鉴别和链路加密的要求。在对外发布信息的WEB区部署一台WAF，对来自Web应用程序客户端的各类请求进行内容检测和验证，确保
其安全性与合法性，对非法的请求予以实时阻断，为Web应用提供防护。

    数据中心机房采用华为FusionModule2000智能微模块3.0方案进行部署。华为模块化数据中心机房以“数字化、智能化、网络化”
理念，提供“简单、高效、可靠”的智能模块化数据中心解决方案，采用高集成设计，集成了机柜、供配电、制冷、布线和管理等
所有子系统。