谁有建设校园网的计划?要求
赵鑫
描述:
1.该方案采用锐捷网络提供的网络设备进行设计,完全遵循:
先进:采用先进成熟的理念、技术和方法,能够支持目前和未来各类主流网络应用,具有发展潜力,包括基础方案、扩展方案和管理方案。
可行性:设计的方案能够充分考虑在线教育的特点和应用对象的技术、资源、管理等方面的约束,能够很好的结合锐捷网络产品的特点进行设计。
灵活性:网络按照模块化和层次化的原则设计。网络具有良好的可扩展性,可以根据网络建设的不同阶段灵活配置和扩展,具有不断吸收新技术和新方法的功能。
实用性:网络易于维护、管理和实施。
可靠性:可以利用产品自身的特性,保证网络系统稳定、可靠、高效的运行。充分体现先进性等。
2.设计方案并不是已经实际建成的实际案例。
一.前言
随着互联网的快速发展和教育网络基础设施的全面实施,高校的信息化和网络化为学校的腾飞和发展创造了新的机遇。为了进一步推进华中科技大学的信息化建设,扩大校园网的覆盖范围,改善东校区学生的学习条件,为学生创造更加便利的学习环境,在现有校园网建设的基础上,提出并探讨了我校东校区学生宿舍网络的建设方案。
华中科技大学东校区学生宿舍网络现阶段的建设目标是将新建的15云苑学生公寓* * 10694信息点接入校园网。这一期工程完成后,东校区的学生将可以接入校园网,然后在宿舍上网,就像主校区一样。
二、需求分析
1.核心交换设备要求处理能力强,具有良好的安全性、可靠性和可扩展性;支持各种成熟技术,未来平滑升级到万兆。
2.接入层网络设备需要支持基于MAC地址802.1X的功能和基于端口802.1X的功能,以保证账户的唯一性;同时支持远程telnet管理、mib-II和远程交换机端口功能;此外,还要求适应大量用户的并发认证和复杂的工作环境。
3.要求同时绑定用户名、IP地址、MAC地址、交换机端口和交换机IP,防止非法用户恶意窃取合法用户的用户名、密码、IP和MAC,保证计费工作。
4.解决用户私自设置代理服务器的现象。
5.支持标准Radius认证和计费,连接各种接入设备。一方面要求设备支持802.1x认证模式;另一方面,要求系统支持基于时长、流量、包月的收费模式;从而为网络管理提供完善、灵活、可定制的计费策略;同时需要保证3万多用户并行时网络运行的稳定性和简单的管理。
6.网络必须具有高可靠性和易管理的特点。
三、网络设计的原则
学生宿舍网络既有一般网络设计的特点,又有其特殊性。在规划学生宿舍网络建设时,除了一般网络的可靠性、稳定性、安全性等必要条件外,还应考虑所有信息点的可控性、高性能和关键服务的QoS保证。此外,在网络设计中,如何预留扩展空间,进行投资保护,以满足新应用的需求和信息的增长变化,也是学生宿舍网络建设需要考虑的关键因素。
本方案在充分考虑学生宿舍网络的多应用性和易管理性的同时,还遵循了以下原则:
1)高性能
构建宿舍网络的组网技术必须是高带宽组网技术;骨干交换设备必须支持线速交换,保证数据交换无阻塞;此外,从网络结构设计上,需要考虑一些高流量多媒体应用的分布式部署,以减少穿越骨干网的流量,提高网络性能。
2)关键业务服务的质量保证
宿舍网络中有各种各样的应用业务数据流。当网络流量处于峰值时,肯定会影响关键业务数据流的响应时间。对于多媒体服务,会出现口吃和图像马赛克。因此,一个高性能的网络仍然需要QOS保证。
3)信息点的可控性
宿舍网的信息点分布很广。与一般的企业网相比,宿舍网的用户流动性更强,管理难度更大。为了保证网络数据的有效利用,有必要对信息点进行控制。除了限制接入带宽之外,还必须提供基于用户的接入认证、授权和计费。为了不影响网络性能,信息点的控制应该分布在接入层设备上。
4)先进性
所选设备必须具有良好的可扩展性,当网络规模或带宽需要扩展时,能够以最小的成本满足新的需求。
5)可靠的稳定性
可靠稳定的网络平台是应用业务系统实施和推广的基石。网络平台的设计必须从设备、网络拓扑、网络技术等方面保证网络的可靠性和稳定性。
6)安全性
宿舍网络平台的安全除了网络平台的安全之外,还需要在一定程度上保证应用业务系统和其他网络资源的安全。网络平台要从几个方面保证网络安全:1)设备本身的接入安全;2)内部网之间资源访问的安全性;3)路由系统的安全性;3)上网安全。
第四,网络解决方案
根据用户需求,采用千兆主干,百兆到桌面,全网采用分布式三层交换架构。具有超高的带宽和良好的可扩展性和可管理性。具体网络拓扑见下图:
核心层:选用锐捷网络(原实达网络)自主研发的万兆核心交换机RG-S6806作为网络核心层。RG-S6806的交换容量为256G,包转发速率为143M。最多可支持8个10千兆/96千兆/128个100千兆端口;硬件本身采用分布式交换系统,由多种复杂的功能硬件实现,具有良好的可扩展性和超高的交换性能。既能满足当前的接入需求,又能满足未来发展的需求。
汇聚层:在汇聚层,我们选用锐捷网络的STAR-S3550系列三层交换机;通过楼内本地分布式三层交换,大大减轻了骨干网的负担。STAR-S3550系列交换机的交换能力为12.8/18.5Gbps,包转发速率为6.6/10.1M,保证了所有端口的线速转发。同时,STAR-S3550还提供24/48个100M端口和2个千兆扩展槽,并通过L2 Trunk技术提供全双工4G骨干带宽。
接入层:在接入层,我们选择锐捷网络支持的千兆智能交换机RG-s 2126g/2150g;该交换机具有超强的交换处理能力和超强的访问控制能力。同时,作为智能交换机,不仅可以支持2-7层智能交换,还可以识别各种应用流,视频、语音等对网络时延和抖动要求较高的数据流。还拥有完善的QoS保障体系,支持802.1P、DSCP数据标记技术、SP、WRR、CAR、WRED等排队和拥塞控制技术,可以为用户提供端到端的QoS保障。
安全计费:我们使用基于802.1x技术的SAM系统和接入层S2126G/S2150G交换机管理学生门禁。
锐捷网络提供的安全认证计费解决方案,选择接入交换机STAR-S2126G/S2150G进行认证计费,从而为学校提供四大关键服务:一是最大程度实现分布式认证,认证效率高;二是可以有效减轻宿舍楼交换机的负担;第三,可以有效、全面、彻底的控制接入用户;第四,具有良好的扩展性,为大规模的用户认证和计费提供了保障和技术基础。
网络管理:为了管理整个网络的设备,建议配置STAR View网络管理系统。
STAR View管理系统可以提供整个网络的拓扑结构,管理以太网中的任何通用IP设备和SNMP管理设备,并结合管理设备支持的SNMP管理、Telnet管理、Web管理和RMON管理,形成功能齐全的网络管理解决方案,实现从网络级到设备级的全方位网络管理。STAR View可以对全网的网络设备进行集中配置、监控和控制,自动检测网络拓扑,对网段和端口进行监控和控制,对网络流量进行统计和错误统计,对网络设备事件进行自动收集和管理等一系列全面细致的管理和监控。通过对网络的全面监控,网络管理员可以重构网络结构,使网络达到最佳效果。
动词 (verb的缩写)网络方案的特点
1高性能
千兆主干,100M交换到桌面:核心选择能支持10M技术的交换平台,主干采用千兆和100M交换到桌面,满足大容量和高速数据传输的需求。
复杂功能的硬件实现:核心RG-S6806不仅通过硬件实现三层路由和交换,还通过硬件实现ACL、QOS、策略路由等复杂功能的关键功能。融合的STAR-S3550还通过硬件实现了三层交换、ACL和QOS。特别是核心交换机RG-S6806设计了板卡智能分布式处理,用户接口模块可以独立实现路由、交换、ACL、QoS、QoS。
分布式三层交换:汇聚层引入三层交换,可以减轻核心交换机的压力,有效减少广播包,提高网络传输效率;
超高背板保证所有数据包以线速转发:该方案使用的核心层、汇聚层和接入层交换机在第2层和第3层具有超高的交换能力和包转发速率,保证所有数据线高速转发。
分布式认证,认证报文和业务数据流分离:基于802.1X的锐捷安全认证管理系统,其中各接入层的安全交换机承担接入用户的认证,采用认证报文和业务数据流分离技术,实现无瓶颈的高速网络传输。
2智能
端到端QoS:从接入交换机到汇聚到核心,全面覆盖端口速率限制、应用流分类识别、关键业务流量带宽保障等多层交换质量保障;
基于流量的智能识别:基于交换机的物理端口、MAC地址、IP地址、TCP/UDP端口号区分相同的流量流;
基于流量的带宽控制:基于交换机端口、MAC地址、IP地址、协议和应用组合限制带宽;
3安全性高
全球网络安全:通过安全控制协议建立联动机制,以Radius为核心,支持第三方防火墙、IDS、安全交换机联动,实现全球网络安全;
提前精准认证和身份定位:在用户使用网络之前,通过用户账号与IP、MAC、交换机IP、端口、VLAN的复合绑定,对用户进行精准认证,其中账号与交换机、接入端口的绑定实现了用户精准定位。
实时处理:当网络中受保护的关键服务器或系统出现恶意攻击时,IDS入侵检测系统可以检测到攻击的源IP地址,通过S-SCP安全控制协议,IDS会实时通知S-Radius攻击源IP,S-Radius会在在线用户列表中找到源恶意攻击者,并通过SNMP协议将恶意攻击者从离线中清除。整个过程实现了全自动实时处理。
事后完整审计:日志服务器记录用户完整的访问记录,包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC、访问开始时间、访问结束时间、发送流量、接收流量等。结合日志管理查询系统,可以进行快速完整的审计。
接入网络时的身份验证:用户只要使用网络就要进行身份验证,保证只有申请开户的合法用户才能使用网络。
强大的访问控制:将账号与IP、MAC、交换机IP、端口、VLAN结合,实现账号同时漫游;
4高可靠性
链路级冗余备份和负载均衡:核心的RG-S6806和融合的STAR-S3550不仅支持传统的802.1d生成树协议,还支持最新的802.1w和802.1s生成树协议,从而在保证链路冗余的同时实现两条链路之间的负载均衡。
关键部件冗余:RG-S6806提供冗余管理交换引擎、冗余电源等关键部件冗余,配合RAPS(锐捷自动保护系统)实现系统的高稳定性和可靠性。
RG-S6806提供冗余管理交换引擎、冗余电源等关键部件的冗余,配合RAPS(锐捷自动保护系统)实现系统的高稳定性和可靠性。
严格测试:所选设备经过Smartbit等专业仪器的严格测试,确保在R&D和生产阶段的可靠性;
5易于管理
三张图:简单明了的设备管理图、拓扑状态图、流量分析图,最大限度减少网管工作量;
中国文化:中国文化界面和核心,特别适合中国人;
一站式:可以在一项网管工作中实现全网的完整管理,支持第三方网管软件的无缝管理。
圆满解决IP地址冲突和IP地址盗用:锐捷S-Radius认证用户时的IP属性验证,彻底杜绝了IP地址冲突的发生,包括认证前未按要求设置IP则认证不通过,认证后更改IP地址立即下线;将用户账号与IP地址绑定,给每个用户分配一个固定的IP地址,防止IP地址被他人盗用。
审查小组:
锐捷网络产品事业部
北京赛迪信息评估有限公司
点评:方案需求分析到位,准确分析了学生宿舍网络应用系统的特点。技术方案设计体现了先进、安全、可扩展、可管理、易操作的特点,采用了“千兆主干、百兆到桌面”的先进设计理念和分布式三层交换网络架构。必须指出的是,在方案设计中要注意先进性和实用性的结合,做好与现有网络系统的整合,这是校园网建设特点的基本要求。