華中科大學(xué)生宿舍子網(wǎng)案例

2019-11-05 01:58:50

字體：大中小

供稿：網(wǎng)友

　　華中科技大學(xué)東校區(qū)學(xué)生宿舍網(wǎng)的建設(shè)目標(biāo)是將學(xué)校新建的的15棟韻苑學(xué)生公寓共10694個(gè)信息點(diǎn)連入校園網(wǎng)，建成后，每一個(gè)接入點(diǎn)都可以在宿舍訪問(wèn)校園網(wǎng)和Internet。

需求分析

1.核心交換設(shè)備要求具有強(qiáng)大的處理能力和良好的安全、可靠性、可擴(kuò)展性；支持各種成熟技術(shù)，未來(lái)能平滑升級(jí)到萬(wàn)兆。

2.接入層網(wǎng)絡(luò)設(shè)備需要支持基于MAC地址802.1x功能和基于端口802.1X功能，以此保證賬號(hào)的惟一性；同時(shí)，支持遠(yuǎn)程telnet治理、mib-Ⅱ及遠(yuǎn)程開(kāi)關(guān)交換機(jī)端口功能；此外還要求適應(yīng)大量用戶并發(fā)認(rèn)證及復(fù)雜的工作環(huán)境等。

3.要求能夠?qū)崿F(xiàn)對(duì)用戶名、ip地址、MAC地址、交換機(jī)端口、交換機(jī)IP的同時(shí)綁定，以此杜絕非法用戶惡意盜用合法用戶的用戶名、密碼、IP和MAC等現(xiàn)象，確保計(jì)費(fèi)工作。

4.解決用戶私自架設(shè)代理服務(wù)器的現(xiàn)象。

5.支持標(biāo)準(zhǔn)Radius認(rèn)證計(jì)費(fèi)，可連接多種接入設(shè)備。一方面要求設(shè)備支持802.1x認(rèn)證方式；另一方面又要求系統(tǒng)支持基于時(shí)長(zhǎng)、流量以及包月的計(jì)費(fèi)模式；從而為網(wǎng)絡(luò)治理提供完善、靈活、可定制的計(jì)費(fèi)策略；同時(shí)還需要保證3萬(wàn)個(gè)以上用戶并行時(shí)網(wǎng)絡(luò)運(yùn)營(yíng)的穩(wěn)定和治理簡(jiǎn)便。

6.網(wǎng)絡(luò)必須具備高可靠、易治理等特征。

網(wǎng)絡(luò)設(shè)計(jì)原則

學(xué)生宿舍網(wǎng)既有一般網(wǎng)絡(luò)的特點(diǎn)，又有其非凡性，除了一般網(wǎng)絡(luò)所必需的可靠性、穩(wěn)定性和安全性等要求外，在進(jìn)行學(xué)生宿舍網(wǎng)建設(shè)規(guī)劃時(shí)，還應(yīng)該考慮所有信息點(diǎn)的可控性、高性能以及要害業(yè)務(wù)的QoS保證等。另外，在網(wǎng)絡(luò)設(shè)計(jì)中，如何預(yù)留擴(kuò)展空間和進(jìn)行投資保護(hù)，以滿足新應(yīng)用的需求以及信息量增長(zhǎng)和變化需要，也是學(xué)生宿舍網(wǎng)建設(shè)過(guò)程中需要重點(diǎn)考慮的因素。

在充分考慮學(xué)生宿舍網(wǎng)的多應(yīng)用、易治理的同時(shí)，本文介紹的方案同時(shí)還遵循高性能、要害業(yè)務(wù)服務(wù)質(zhì)量保證、信息點(diǎn)可控性、先進(jìn)性、可靠穩(wěn)定性、安全性的原則。

網(wǎng)絡(luò)解決方案

針對(duì)用戶需求，本方案采用了千兆骨干、百兆到桌面，整個(gè)網(wǎng)絡(luò)采用分布式三層交換構(gòu)架。具有超高的帶寬和良好的可擴(kuò)展、可治理性（見(jiàn)圖）。

華中科大學(xué)生宿舍子網(wǎng)案例（圖一）

華中科技大學(xué)東校區(qū)學(xué)生宿舍網(wǎng)絡(luò)拓?fù)?

核心層：在網(wǎng)絡(luò)核心層選用銳捷網(wǎng)絡(luò)（原實(shí)達(dá)網(wǎng)絡(luò)）自主研發(fā)的萬(wàn)兆核心交換機(jī)RG-S6806。

匯聚層：在樓棟匯聚層我們選用銳捷網(wǎng)絡(luò)的STAR-S3550系列三層交換機(jī)。

接入層：接入層我們選用銳捷網(wǎng)絡(luò)的支持802.1x的千兆智能交換機(jī)RG-S2126G/2150G。

安全計(jì)費(fèi)：方案選用基于802.1x技術(shù)的SAM系統(tǒng)結(jié)合接入層S2126G/S2150G交換機(jī)對(duì)學(xué)生接入控制進(jìn)行治理。

網(wǎng)絡(luò)治理：為了對(duì)整個(gè)網(wǎng)絡(luò)的設(shè)備進(jìn)行治理，建議配置STAR View網(wǎng)管系統(tǒng)。

網(wǎng)絡(luò)方案特點(diǎn)

高性能

千兆主干，百兆交換到桌面：核心選用可支持萬(wàn)兆技術(shù)的交換平臺(tái)，主干采用千兆，百兆交換到桌面，滿足大容量、高速率的數(shù)據(jù)傳輸。

復(fù)雜功能硬件實(shí)現(xiàn):核心的RG-S6806不僅硬件實(shí)現(xiàn)三層路由和交換,其他要害功能,如ACL、QoS、策略路由等復(fù)雜功能均通過(guò)硬件實(shí)現(xiàn)，匯聚的STAR-S3550也是硬件實(shí)現(xiàn)三層交換、ACL以及QoS，非凡是核心交換機(jī)RG-S6806采用板卡智能分布式處理設(shè)計(jì)，用戶接口模塊可以獨(dú)立實(shí)現(xiàn)路由、交換、ACL、QoS、收集用戶信息等功能，這種分布式處理可以極大地提高整體處理能力。

分布式三層交換：在匯聚層引入第三層交換，減輕核心交換機(jī)的壓力，可有效減少?gòu)V播包，并提高網(wǎng)絡(luò)傳輸效率；

超高背板保證所有數(shù)據(jù)包線速轉(zhuǎn)發(fā)：本方案采用的核心、匯聚、接入層交換機(jī)均具有超高的交換容量和二、三層包轉(zhuǎn)發(fā)率，確保所有數(shù)據(jù)線速轉(zhuǎn)發(fā)。

分布式認(rèn)證、認(rèn)證報(bào)文與業(yè)務(wù)數(shù)據(jù)流分離：基于802.1x的銳捷安全認(rèn)證治理系統(tǒng)，由每一個(gè)接入層的安全交換機(jī)承擔(dān)對(duì)接入用戶的認(rèn)證，采用認(rèn)證報(bào)文與業(yè)務(wù)數(shù)據(jù)流分離技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)的高速傳輸無(wú)瓶頸。

智能化

端到端的QoS：由接入交換機(jī)到匯聚到核心，全面覆蓋端口速率限制、應(yīng)用流分類識(shí)別，要害業(yè)務(wù)流量帶寬保證等多層交換質(zhì)量保證；

基于流的智能識(shí)別：全程基于交換機(jī)物理端口、MAC地址、IP地址、TCP/UDP端口號(hào)來(lái)區(qū)分同的業(yè)務(wù)流；

基于流的帶寬控制：全程基于交換機(jī)端口、MAC地址、IP地址、協(xié)議、應(yīng)用組合進(jìn)行帶寬限速；

高安全

全局網(wǎng)絡(luò)安全：通過(guò)安全控制協(xié)議建立一種聯(lián)動(dòng)機(jī)制，以Radius為核心，支持第三方的防火墻、IDS、安全交換機(jī)聯(lián)動(dòng)起來(lái)，實(shí)現(xiàn)全局的網(wǎng)絡(luò)安全；

事前的準(zhǔn)確認(rèn)證和身份定位：用戶使用網(wǎng)絡(luò)前，通過(guò)用戶賬號(hào)與IP、MAC、交換機(jī)IP、端口、VLAN六元素的復(fù)合綁定，對(duì)用戶進(jìn)行準(zhǔn)確的身份認(rèn)證，其中，賬號(hào)與交換機(jī)以及接入端口的綁定，實(shí)現(xiàn)了準(zhǔn)確的用戶定位。

事中的實(shí)時(shí)處理：當(dāng)網(wǎng)絡(luò)中有對(duì)受保護(hù)的要害服務(wù)器或系統(tǒng)進(jìn)行惡意攻擊的時(shí)候，IDS入侵檢測(cè)系統(tǒng)能夠檢測(cè)到發(fā)起攻擊的源IP地址，通過(guò)S-SCP安全控制協(xié)議，IDS實(shí)時(shí)將攻擊源IP通知S-Radius，S-Radius在在線用戶表中找到源惡意攻擊者，通過(guò)SNMP協(xié)議將惡意攻擊者剔除下線。這一整個(gè)過(guò)程實(shí)現(xiàn)了全自動(dòng)的實(shí)時(shí)處理。

事后的完整審計(jì)：日志服務(wù)器記錄有用戶完整的訪問(wèn)記錄，包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC、訪問(wèn)開(kāi)始時(shí)間、訪問(wèn)結(jié)束時(shí)間、發(fā)送流量、接受流量等，結(jié)合日志治理查詢系統(tǒng)，可以進(jìn)行快速完整的審計(jì)。

入網(wǎng)即認(rèn)證:用戶只要使用網(wǎng)絡(luò)，就要進(jìn)行身份認(rèn)證，保證只有已經(jīng)申請(qǐng)開(kāi)戶的合法用戶才可以使用網(wǎng)絡(luò)。

強(qiáng)大的接入控制：對(duì)接入用戶進(jìn)行賬號(hào)與IP、MAC、交換機(jī)IP、端口、VLAN六元素的復(fù)合綁定同時(shí)實(shí)現(xiàn)賬號(hào)漫游；

高可靠

鏈路級(jí)冗余備份及負(fù)載均衡：核心的RG-S6806和匯聚的STAR-S3550除了支持傳統(tǒng)的802.1d生成樹(shù)協(xié)議外，同時(shí)支持最新的802.1w、802.1s生成樹(shù)協(xié)議，在保證鏈路冗余的情況下，實(shí)現(xiàn)了兩個(gè)鏈路間的負(fù)載均衡。

要害部件冗余:RG-S6806提供冗余的治理交換引擎、冗余的電源等要害部件的冗余，配合銳捷先進(jìn)的RAPS（銳捷自動(dòng)保護(hù)系統(tǒng)），實(shí)現(xiàn)系統(tǒng)高的穩(wěn)定性和可靠性。

RG-S6806提供冗余的治理交換引擎、冗余的電源等要害部件的冗余，配合銳捷先進(jìn)的RAPS（銳捷自動(dòng)保護(hù)系統(tǒng)），實(shí)現(xiàn)系統(tǒng)高的穩(wěn)定性和可靠性。嚴(yán)格測(cè)試：所選設(shè)備經(jīng)Smartbit等專業(yè)儀器嚴(yán)格測(cè)試，保證研發(fā)和生產(chǎn)階段的可靠性；

易治理

三張圖：簡(jiǎn)單、清楚的設(shè)備治理圖、拓?fù)錉顟B(tài)圖和流量分析圖將網(wǎng)絡(luò)治理工作量降到最低；

中文化：中文化界面及內(nèi)核，非凡適合中國(guó)人；

一站式：可在一個(gè)網(wǎng)管工作上實(shí)現(xiàn)對(duì)全網(wǎng)的完整治理，并支持第三方網(wǎng)管軟件無(wú)縫治理。

完滿解決IP地址沖突和IP地址盜用：銳捷S-Radius對(duì)用戶進(jìn)行認(rèn)證時(shí)的IP屬性校驗(yàn)，完全杜絕了IP地址沖突的發(fā)生，包括認(rèn)證前IP不按要求設(shè)置的不予通過(guò)認(rèn)證以及認(rèn)證通過(guò)后更改IP地址立即剔除下線；對(duì)用戶賬號(hào)與IP地址綁定，為每個(gè)用戶分配一個(gè)固定的IP地址，防止IP地址被他人盜用。

上一篇：Hanaro電信與Force10網(wǎng)絡(luò)公司為將來(lái)做準(zhǔn)備

下一篇：襄樊教育城域網(wǎng)應(yīng)用案例