非常高興問答你的問題,。

首先我正好在學校網(wǎng)絡部門工作，校園網(wǎng)絡和家庭網(wǎng)絡需求完全不一樣,，應用多,，需求雜。

我們原來學校采用的是傳統(tǒng)三層網(wǎng)絡架構(gòu),，但暴露出來的問題很多,，比如二層VLAN里的ARP病毒，用戶直接IP可達容易病毒互相傳染,，沒有入網(wǎng)準入機制,，進去校園就能接入網(wǎng)絡等等。

經(jīng)過網(wǎng)絡改造后,，學院采用了扁平化的網(wǎng)絡架構(gòu),，這種架構(gòu)從接入直接到核心，跳過了匯聚層,，用戶VLAN隔離,，類似家庭網(wǎng)絡架構(gòu)，針對校園機房,，打印機共享采取單獨措施,，從而避免用戶，VLAN之間的攻擊,。

一,、通過全網(wǎng)集中網(wǎng)關、集中認證設計的扁平化網(wǎng)絡架構(gòu),，擺脫了校園網(wǎng)繁瑣的三級網(wǎng)絡管理,，實現(xiàn)整個校園的扁平化網(wǎng)絡結(jié)構(gòu),。校園只需要管理“一臺”核心，使得后期網(wǎng)絡運維管理工作更加的聚焦,。

二,、穩(wěn)定可靠的互聯(lián)網(wǎng)出口區(qū)域

出口區(qū)域采用“疏、堵,、控”的整體方案設計,，提供高性能的萬兆出口路由以及NAT和萬兆安全防護，解決了帶寬資源瓶頸問題,，上網(wǎng)日志審計問題以及用戶訪問體驗問題,，改善互聯(lián)網(wǎng)出口上網(wǎng)體驗，充分利用帶寬資源,，實現(xiàn)基于用戶身份的出口路由選路,，讓校內(nèi)互聯(lián)網(wǎng)用戶能夠自主地選擇不同運營商歸屬的同時使用對應的運營商鏈路，并實現(xiàn)基于用戶身份的實名身份審計,，貼合法律法規(guī)要求,，做到互聯(lián)網(wǎng)出口的安全,、高速,、可控。

三,、 分場景的無線部署方案,，建設更好的無線校園網(wǎng)

根據(jù)學校不用的建筑場景和應用場景采用針對性的無線覆蓋方案，真正實現(xiàn)每個區(qū)域的最優(yōu)部署,，為師生提供一個高質(zhì)量的無線校園網(wǎng),。

四、 統(tǒng)一的網(wǎng)絡身份認證方案,，提升入網(wǎng)體驗

整個校園內(nèi)有線,、無線，校內(nèi),、校外統(tǒng)一的身份認證體系,，以及適合無線網(wǎng)絡的多種認證方式（web、無感知,、二維碼和短信認證）為校園提供了靈活多樣方便快捷的網(wǎng)絡認證,，為臺式電腦、平板電腦,、智能手機等多類型終端提供靈活的接入手段,。

五、上網(wǎng)實現(xiàn)準入實名制機制,，服務器采用DMZ區(qū)域,，相關的安全設備和流控都進行詳細的策略配置,。建立詳細的訪客管理制度。具體可參考相關校園等級保護要求,。