阐明:
1.计划选用锐捷网络供给的网络设备进行规划,充沛遵从:
先进性:选用先进老练的概念、技能和办法,能支撑各种现在与未来一段时期的干流网络运用,又具有开展潜力,包含根底计划、扩展计划和办理计划。
可行性:所规划的计划能够充沛考虑网络教育的特征和运用方针的技能、资源、办理等方面的束缚,并能很好地结合锐捷网络产品特征进行计划的规划。
灵敏性:依照模块化、层次化的准则规划网络,网络具有较好的伸缩性、能够依据网络建造的不同阶段灵敏装备和扩展,具有能不断吸收新技能、新办法的功用。
实用性:网络易维护、易办理,可施行性好。
牢靠性:能运用产品自身特征,确保网络体系运转安稳牢靠、高效。充沛显现先进性等;
2.该规划计划并非实践已建造的实践事例。
一、 前语
跟着Internet的迅猛开展及教育网络根底建造的全面施行,高校信息化、网络化为校园的腾飞与开展发明了新的要害。为了进一步推进华中科技大学信息化的建造,扩展校园网的掩盖面,改进东校区学生学习条件,为学生发明一个更为便当的学习环境,在已有校园网建造的根底上,本文提出并评论本校东校区学生宿舍网建造处理计划。
华中科技大学东校区学生宿舍网本期工程的建造方针是,将校园新建的的15栋韵苑学生公寓共10694个信息点连入校园网,本期项目完成后,东校区的学生将和主校区相同,每一个学生都能够在宿舍拜访校园网并从而拜访Internet。
二、 需求剖析
1. 中心交流设备要求具有强壮的处理才能和杰出的安全、牢靠性、可扩展性;支撑各种老练技能,未来能滑润升级到万兆。
2. 接入层网络设备需求支撑根据MAC地址802.1X功用和根据端口802.1X功用,以此确保账号的唯一性;一起,支撑长途telnet办理、mib-II及长途开关交流机端口功用;此外还要求习惯很多用户并发认证及杂乱的作业环境等。
3. 要求能够完成对用户名、IP地址、MAC地址、交流机端口、交流机IP的一起绑定,以此根绝不合法用户歹意盗用合法用户的用户名、暗码、IP和MAC等现象,确保计费作业。
4. 处理用户私自架起代理服务器的现象。
5. 支撑规范Radius认证计费,可衔接多种接入设备。一方面要求设备支撑802.1x认证方法;另一方面又要求体系支撑根据时长、流量以及包月的计费形式;从而为网络办理供给完善、灵敏、可定制的计费战略;一起还需求确保30000个以上用户并行时网络运营的安稳和办理简洁。
6. 网络有必要具有高牢靠、易办理等特征。
三、 网络规划准则
学生宿舍网既有一般网络规划的特征,又有着其特殊性,除了一般网络所必需的牢靠性、安稳性和安全性等条件外,在进行学生宿舍网建造规划时,还应该考虑一切信息点的可控性、高功用以及要害事务的QoS确保等。别的在网络规划中,怎么预留扩展空间和进行出资维护,以满意新运用的需求以及信息量增加和改变需求,也是学生宿舍网建造进程中需求要点考虑的要素。
在充沛考虑学生宿舍网的多运用、易办理的一起,本计划一起还遵从如下准则:
1) 高功用
构建宿舍网网络的组网技能有必要是高带宽的组网技能;主干交流设备有必要支撑线速交流,以确保无堵塞的数据交;别的从网络结构规划上,需求考虑到一些高流量多媒体运用的散布式布置,以下降跨主干网的流量,进步网络的功用。
2) 要害事务服务质量确保
宿舍网中有各式各样的运用事务数据流,当网络流量处于高峰期时,必定会影响要害事务数据流的呼应时刻,关于多媒体事务来说就会有说话结巴、图画马赛克的状况。因而高功用的网络,也仍是需求QOS服务质量确保的。
3) 信息点可控性
宿舍网的信息点散布很广,与一般企业网比较,宿舍网用户的流动性大,比较难办理,为了确保网络材料的有用运用,对信息点的可控性要求是有必要的。除了对拜访带宽约束,还有必要供给根据用户的接入认证、授权和计费。为了不影响网路功用,应该在接入层设备散布式完成信息点的操控。
4) 先进性
所选的设备有必要具有很好的扩展性,当网络规划或带宽需求扩展时,能够以最小的价值满意新的需求。
5) 牢靠安稳性
牢靠安稳的网络渠道,是运用事务体系得以施行和推行的柱石。网络渠道的规划有必要从设备、网络拓扑结构、网络技能等几个方面确保网络的牢靠安稳性。
6) 安全性
宿舍网网络渠道的安全,除了要确保网络渠道的安全性,还需求在必定程度上确保运用事务体系和其它网络资源的安全。网络渠道应该从几个方面确保网络安全:1)设备自身的拜访安全;2)内部网之间资源拜访安全;3)路由体系的安全;3)互联网拜访安全。
四、 网络处理计划
针对用户需求,咱们选用了千兆主干、百兆到桌面,整个网络选用散布式三层交流构架。具有超高的带宽和杰出的可扩展、可办理性。详细网络拓扑见下图:
中心层:在网络中心层选用锐捷网络(原实达网络)自主研制的万兆中心交流机RG-S6806。RG-S6806具有256G的交流容量,143M的包转发率;最大能够支撑8个万兆/96个千兆/128个百兆端口;硬件自身选用散布式的交流体系,且多种杂乱功用硬件完成,具有杰出的可扩展性和超高的交流功用。不光能够满意现在的接入需求,一起也能够满意未来开展的需求。
会聚层:在楼栋会聚层咱们选用锐捷网络的STAR-S3550系列三层交流机;经过在楼栋做本地散布式三层交流,大大削减了主干网的担负。STAR-S3550系列交流机具有12.8/18.5Gbps的交流容量,6.6/10.1M的二、三层包转发率,确保一切端口的线速转发。一起STAR-S3550还供给24/48个百兆电口、2个千兆扩展槽,经过L2 Trunk技能供给全双工4G的主干带宽。
接入层:接入层咱们选用锐捷网络的支撑802.1x的千兆智能交流机RG-S2126G/2150G;此款交流机具有超高的交流处理才能和超强的接入操控才能,一起作为智能交流机,它不只能够支撑2-7层的智能交流,能辨认各种运用流、数据流如视频、语音等对网络延时、颤动要求较高的运用;还具有全面的QoS确保体系,支撑802.1P、DSCP数据标记技能,支撑SP、WRR、CAR、WRED等行列及拥塞操控技能,能够为用户供给全程端到端的QoS确保。
安全计费:咱们选用根据802.1x技能的SAM体系结合接入层S2126G/S2150G交流机对学生接入操控进行办理。
锐捷网络供给的安全认证计费处理计划挑选在接入交流机STAR-S2126G/S2150G上做认证计费,这样一来就为校园供给了四个要点服务:一是能够最大程度上做到散布认证,认证功率高;二是能够有用削减宿舍楼栋交流机的担负;三是能够对接入用户实施有用、全面、完好的操控;四是扩展性好,为大规划的用户认证计费供给了确保和技能根底。
网络办理:为了对整个网络的设备进行办理,主张装备STAR View网管体系。
STAR View办理体系能供给整个网络的拓扑结构,能对以太网络中的任何通用IP设备、SNMP办理型设备进行办理,结合办理设备所支撑的SNMP办理、Telnet办理、Web办理、RMON办理等构成一个功用彻底的网络办理处理计划,完成从网络级到设备级的全方位的网络办理。STAR View能够对整个网络上的网络设备进行集中式的装备、监督和操控,主动检测网络拓扑结构,监督和操控网段和端口,以及进行网络流量的计算和过错计算,网络设备事情的主动搜集和办理等一系列归纳而翔实的办理和监测。经过对网络的全面监控,网络办理员能够重构网络结构,使网络到达最佳作用。
五、 网络计划特征
1 高功用
千兆主干,百兆交流到桌面:中心选用可支撑万兆技能的交流渠道,主干选用千兆,百兆交流到桌面,满意大容量、高速率的数据传输。
杂乱功用硬件完成:中心的RG-S6806不只硬件完成三层路由和交流, 要害功用, 如ACL、QOS、战略路由等杂乱功用均经过硬件完成,会聚的STAR-S3550也是硬件完成三层交流、ACL以及QoS,特别是中心交流机RG-S6806选用板卡智能散布式处理规划,用户接口模块能够独立完成路由、交流、ACL、QOS、搜集用户信息等功用,这种散布式处理能够极大地进步全体处理才能。
散布式三层交流:在会聚层引进第三层交流,减轻中心交流机的压力,可有用削减播送包,并进步网络传输功率;
超高背板确保一切数据包线速转发:本计划选用的中心、会聚、接入层交流机均具有超高的交流容量和二、三层包转发率,确保一切数据线速转发。
散布式认证、认证报文与事务数据流别离:根据802.1X的锐捷安全认证办理体系,由每一个接入层的安全交流机承当对接入用户的认证,选用认证报文与事务数据流别离技能,完成网络的高速传输无瓶颈。
2 智能化
端到端的QoS:由接入交流机到会聚到中心,全面掩盖端口速率约束、运用流分类辨认,要害事务流量带宽确保等多层交流质量确保;
根据流的智能辨认:全程根据交流机物理端口、MAC地址、IP地址、TCP/UDP端口号来区别同的事务流;
根据流的带宽操控:全程根据交流机端口、MAC地址、IP地址、协议、运用组合进行带宽限速;
3 高安全
大局网络安全:经过安全操控协议树立一种联动机制,以Radius为中心,支撑第三方的防火墙、IDS、安全交流机联动起来,完成大局的网络安全;
事前的精确认证和身份定位:用户运用网络前,经过用户帐号与IP、MAC、交流机IP、端口、VLAN六元素的复合绑定,对用户进行精确的身份认证,其间帐号与交流机以及接入端口的绑定,完成了精确的用户定位。
事中的实时处理:当网络中有对受维护的要害服务器或体系进行歹意进犯的时分,IDS侵略检测体系能够检测到建议进犯的源IP地址,经过S-SCP安全操控协议,IDS实时将进犯源IP告诉S-Radius,S-Radius在在线用户表中找到源歹意进犯者,经过SNMP协议将歹意进犯者除掉下线。这一整个进程完成了全主动的实时处理。
往后的完好审计:日志服务器记载有用户完好的拜访记载,包含源IP、意图IP、源端口、意图端口、源MAC、意图MAC、拜访开端时刻、拜访完毕时刻、发送流量、承受流量等,结合日志办理查询体系,能够进行快速完好的审计。
入网即认证:用户只需运用网络即要进行身份认证,确保只要请求开户的合法用户才能够运用网络。
强壮的接入操控:对接入用户进行帐号与IP、MAC、交流机IP、端口、VLAN六元素的复合绑定一起完成帐号周游;
4 高牢靠
链路级冗余备份及负载均衡:中心的RG-S6806和会聚的STAR-S3550除了支撑传统的802.1d生成树协议外,一起支撑最新的802.1w、802.1s生成树协议,在确保链路冗余的状况下,完成了两个链路间的负载均衡。
要害部件冗余: RG-S6806供给冗余的办理交流引擎、冗余的电源等要害部件的冗余,合作锐捷先进的RAPS(锐捷主动维护体系),完成体系高的安稳性和牢靠性。
RG-S6806供给冗余的办理交流引擎、冗余的电源等要害部件的冗余,合作锐捷先进的RAPS(锐捷主动维护体系),完成体系高的安稳性和牢靠性。
严厉测验:所选设备经Smartbit等专业仪器严厉测验,确保研制和出产阶段的牢靠性;
5 易办理
三张图:简略、明晰的设备办理图、拓扑状态图和流量剖析图将网络办理作业量降到最低;
中文化:中文化界面及内核,特别合适中国人运用;
一站式:可在一个网管作业上完成对全网的完好办理,并支撑第三方网管软件无缝办理。
完美处理IP地址抵触和IP地址盗用:锐捷S-Radius对用户进行认证时的IP特色校验,彻底根绝了IP地址抵触的产生,包含认证前IP不按要求设置的不予经过认证以及认证经往后更改IP地址当即除掉下线;对用户帐号与IP地址绑定,为每个用户分配一个固定的IP地址,避免IP地址被别人盗用。
评定小组:
锐捷网络产品事业部
北京赛迪信息评测有限公司
评语:计划的需求剖析到位,较精确地剖析了学生宿舍网络运用体系的特征,在技能计划规划上表现了先进性、安全性、可扩展、可办理、易运营等特征,选用了先进的“千兆主干、百兆到桌面”的规划例念和散布式三层交流网络构架。有必要指出的是,在计划规划是应该留意先进性和实用性的结合,并做好与现有网络体系的交融,这是校园网建造特征所基本要求的。