大學生宿舍子網解決方案

2019-11-04 21:26:52

字體：大中小

來源：轉載

供稿：網友

　　華中科技大學東校區學生宿舍網的建設目標是將學校新建的l5棟學生公寓共10，694個信息點連入校園網，進而訪問Internet。
　　
　　需求分析
　　l.核心交換設備要求具有強大的處理能力和良好的安全性、可靠性、可擴展性;支持各種成熟技術，未來能平滑升級到萬兆。
　　2.接入層網絡設備需要支持基于MAC地址802.1x功能和基于端口802.1x功能，以此保證賬號的惟一性.同時，支持遠程Te1net治理、mib-及遠程開關交換機端口功能;此外還要求適應大量用戶并發認證及復雜的工作環境等。
　　3.要求能夠實現對用戶名、ip地址、MAC地址、交換機端口、交換機IP的同時綁定，以此杜絕非法用戶惡意盜用合法用戶的用戶名、密碼、IP和MAC等現象，確保計費工作。
　　4.解決用戶私自架設代理服務器的現象。
　　5.支持標準Radius認證計費，可連接多種接入設備。一方面要求設備支持802.1x認證方式;另一方面又要求系統支持基于時長、流量以及包月的計費模式，從而為網絡治理提供完善、靈活、可定制的計費策略;同時還需要保證30，000個以上用戶并行時網絡運營的穩定和治理簡便。
　　6.網絡必須具備高可靠、易治理等特征。
　　
　　網絡設計原則
　　學生宿舍網既有一般網絡設計的特點，又有其非凡性，除了一般網絡所必需的可靠性、穩定性和安全性等條件外，在進行學生宿舍網建設規劃時，還應該考慮所有信息點的可控性、高性能以及要害業務的QoS保證等。另外在網絡設計中，如何預留擴展空間和進行投資保護，以滿足新應用的需求以及信息量增長和變化需要，也是學生宿舍網建設過程中需要重點考慮的因素。
　　在充分考慮學生宿舍網的多應用、易治理的同時，本方案同時還遵循如下原則:
　　
　　1.高性能
　　構建宿舍網的組網技術必須是高帶寬的組網技術。骨干交換設備必須支持線速交換，以保證無阻塞的數據交換;另外，從網絡結構設計上，需要考慮到一些高流量多媒體應用的分布式部署，以降低跨骨干網的流量，提高網絡的性能。
　　
　　2.要害業務服務質量保證
　　宿舍網中有各種各樣的應用業務數據流，當網絡流量處于高峰期時，必定會影響要害業務數據流的響應時間，對于多媒體業務來說就會有說話結巴、圖像馬賽克的情況。因此，高性能的網絡也還是需要QoS服務質量保證的。
　　
　　3，信息點可控性
　　宿舍網的信息點分布很廣，與一般企業網比較，宿舍網用戶的流動性大，比較難治理，為了保證網絡資料的有效利用，對信息點的可控性要求是必須的。除了對訪問帶寬限制，還必須提供基于用戶的接入認證、授權和計費。為了不影響網絡性能，應該在接入層設備分布式實現信息點的控制。
　　
　　4.先進性
　　所選的設備必須具有很好的擴展性，當網絡規模或帶寬需要擴展時，能夠以最小的代價滿足新的需求。
　　
　　5.可靠穩定性
　　可靠穩定的網絡平臺是應用業務系統得以實施和推廣的基石。網絡平臺的設計必須從設備、網絡拓撲結構、網絡技術等幾個方面保證網絡的可靠穩定性。
　　
　　6.安全性
　　宿舍網網絡平臺的安全，除了要保障網絡平臺的安全性，還需要在一定程度上保障應用業務系統和其它網絡資源的安全。網絡平臺應該從幾個方面保證網絡安全:1)設備本身的訪問安全;2)內部網之間資源訪問安全;3)路由系統的安全;4)互聯網訪問安全。
　　
　　網絡解決方案
　　針對用戶需求，我們采用了千兆骨干、百兆到桌面，整個網絡采用分布式三層交換構架，具有超高的帶寬和良好的可擴展、可治理性。
　　
　　核心層:在網絡核心層選用銳捷網絡(原實達網絡)自主研發的萬兆核心交換機RG-S6806。RG-S6806具有256G的交換容量、143M的包轉發率;最大可以支持8個萬兆/96個千兆/128個百兆端口;硬件本身采用分布式交換體系，用硬件實現多種復雜功能，具有良好的可擴展性和超高的交換性能，不但可以滿足目前的接入需求，同時也能滿足未來發展的需要。
　　
　　匯聚層:在樓棟匯聚層選用說捷網絡的STAR-S3550系列三層交換機。通過在樓棟做本地分布式三層交換，大大減少了骨干網的負擔。STAR-S3550系列交換機具有12.8/18.5Gbps的交換容量、6.6/10.1M的二、三層包轉發率，保證所有端口的線速轉發。同時，STAR-S3550還提供24/ 48個百兆電口、2個千兆擴展槽，通過L2 Trunk技術提供全雙工4G的主干帶寬。
　　
　　接入層:接入層選用銳捷網絡的支持802.1x的千兆智能交換機RG-S2126G/2150G。此款交換機具有超高的交換處理能力和超強的接入控制能力，同時，作為智能交換機，它不僅可以支持2-7層的智能交換，能識別各種應用流、數據流，如:視頻、語音等對網絡延時、抖動要求較高的應用，還具有全面的QoS保障體系，支持802.1P、DSCP數據標記技術，支持SP、WRR、CAR、WRED等隊列及阻塞控制技術，可以為用戶提供全程端到端的QoS保障。

　　
　　安全計費:采用銳捷網絡提供的安全認證計費解決方案結合接入層S2126G/S2150G交換機對學生接入控制進行治理。這樣一來就為學校提供了四個重點服務:一是可以最大程度上做到分布認證，認證效率高;二是可以有效減少宿舍樓棟交換機的負擔;三是能夠對接入用戶實行有效、全面、完整的控制;四是擴展性好，為大規模的用戶認證計費提供了保障和技術基礎。
　　
　　網絡治理:為了對整個網絡的設備進行治理，建議配置STAR View網管系統。STAR View治理系統能提供整個網絡的拓撲結構，能對以太網絡中的任何通用1P設備、SNMP治理型設備進行治理，結合治理設備所支持的SNMP治理、Telnet治理、Web治理、RMON治理等構成一個功能齊全的網絡治理解決方案，實現從網絡級到設備級的全方位的網絡治理。
　　
　　網絡方案特點
　　高性能
　　◆ 復雜功能硬件實現:核心的RG-S68O6硬件實現三層路由和交換，要害功能如ACL、QoS、策略路由等復雜功能均通過硬件實現。核心交換機RG-S68O6采用板卡智能分布式處理設計，用戶接口模塊可以獨立實現路由、交換、ACL、QoS、收集用戶信息等功能，這種分布式處理可以極大地提高整體處理能力。匯聚的STAR-S3550也是硬件實現三層交換、ACL以及QoS。
　　◆分布式三層交換:在匯聚層引入第三層交換，減輕核　心交換機的壓力，可有效減少廣播包，并提高網絡傳輸效率。
　　◆超高背板保證所有數據包線速轉發:本方案采用的核　心、匯聚、接入層交換機均具有超高的交換容量和二、三層　包轉發率，確保所有數據線速轉發。
　　
　　智能化
　　◆端到端的QoS.由接入交換機到匯聚到核，b，全面覆蓋端口速率限制、應用流分類識別，要害業務流量帶寬保證等多層交換質量保證。
　　◆ 基于流的智能識別:全程基于交換機物理端口、MAC 地址、1P地址、TCP/UDP端口號來區分同的業務流。
　　◆ 基于流的帶寬控制:全程基于交換機端口、MAC地址、1P地址、協議、應用組合進行帶寬限速。
　　
　　高安全
　　◆ 全局網絡安全:通過安全控制協議建立一種聯動機制，以Radius為核心，支持第三方的防火墻、IDS、安全交換機聯動起來，實現全局的網絡安全。
　　◆事前的準確認證和身份定位:用戶使用網絡前，通過用戶帳號與IP、MAC、交換機P、端口、VLAN六元素的復合綁定，對用戶進行準確的身份認證，其中帳號與交換機以及接入端口的綁定，實現了準確的用戶定位。
　　◆事中的實時處理:當網絡中有對受保護的要害服務器或系統進行惡意攻擊的時候，IDS入侵檢測系統能夠檢測到發起攻擊的源IP地址，通過S-SCP安全控制協議，IDS實時將攻擊源IP通知S-Radius，S-Radius在在線用戶表中找到源惡意攻擊者，通過SNMP協議將惡意攻擊者剔除下線。這一整個過程實現了全自動的實時處理。
　　◆事后的完整審計:日志服務器記錄有用戶完整的訪問記錄，包括源1P、目的1P、源端口、目的端口、源MAC、目的MAC、訪問開始時間、訪問結束時間、發送流量、接受流量等，結合日志治理查詢系統，可以進行快速完整的審計。
　　◆ 入網即認證:用戶只要使用網絡即要進行身份認證，保證只有申請開戶的合法用戶才可以使用網絡。
　　◆強大的接入控制:對接入用戶進行帳號與IP、MAC、交換機1P、端口、VLAN六元素的復合綁定同時實現帳號漫游。
　　
　　高可靠
　　◆鏈路級冗余備份及負載均衡:核心的RG-S6806和匯聚的STAR-S3550除了支持傳統的802.1d生成樹協議外，同時支持最新的802.lw,802.1s生成樹協議，在保證鏈路冗余的情況下，實現了兩個鏈路間的負載均衡。
　　◆要害部件冗余.RG-S6806提供冗余的治理交換引擎、冗余的電源等要害部件的冗余，配合銳捷先進的RAPS(銳捷自動保護系統)，實現系統高的穩定性和可靠性。

上一篇：安全VPN分支機構解決方案

下一篇：重慶長豐數據視頻融合VPN方案