首页 > 学院 > 网络通信 > 正文

华中科大学生宿舍子网案例

2019-11-05 01:58:50
字体:
来源:转载
供稿:网友

  华中科技大学东校区学生宿舍网的建设目标是将学校新建的的15栋韵苑学生公寓共10694个信息点连入校园网,建成后,每一个接入点都可以在宿舍访问校园网和Internet。

需求分析

1.核心交换设备要求具有强大的处理能力和良好的安全、可靠性、可扩展性;支持各种成熟技术,未来能平滑升级到万兆。

2.接入层网络设备需要支持基于MAC地址802.1x功能和基于端口802.1X功能,以此保证账号的惟一性;同时,支持远程telnet治理、mib-Ⅱ及远程开关交换机端口功能;此外还要求适应大量用户并发认证及复杂的工作环境等。

3.要求能够实现对用户名、ip地址、MAC地址、交换机端口、交换机IP的同时绑定,以此杜绝非法用户恶意盗用合法用户的用户名、密码、IP和MAC等现象,确保计费工作。

4.解决用户私自架设代理服务器的现象。

5.支持标准Radius认证计费,可连接多种接入设备。一方面要求设备支持802.1x认证方式;另一方面又要求系统支持基于时长、流量以及包月的计费模式;从而为网络治理提供完善、灵活、可定制的计费策略;同时还需要保证3万个以上用户并行时网络运营的稳定和治理简便。

6.网络必须具备高可靠、易治理等特征。

网络设计原则

学生宿舍网既有一般网络的特点,又有其非凡性,除了一般网络所必需的可靠性、稳定性和安全性等要求外,在进行学生宿舍网建设规划时,还应该考虑所有信息点的可控性、高性能以及要害业务的QoS保证等。另外,在网络设计中,如何预留扩展空间和进行投资保护,以满足新应用的需求以及信息量增长和变化需要,也是学生宿舍网建设过程中需要重点考虑的因素。

在充分考虑学生宿舍网的多应用、易治理的同时,本文介绍的方案同时还遵循高性能、要害业务服务质量保证、信息点可控性、先进性、可靠稳定性、安全性的原则。

网络解决方案

针对用户需求,本方案采用了千兆骨干、百兆到桌面,整个网络采用分布式三层交换构架。具有超高的带宽和良好的可扩展、可治理性(见图)。

华中科大学生宿舍子网案例(图一)

华中科技大学东校区学生宿舍网络拓扑

核心层:在网络核心层选用锐捷网络(原实达网络)自主研发的万兆核心交换机RG-S6806。

汇聚层:在楼栋汇聚层我们选用锐捷网络的STAR-S3550系列三层交换机。

接入层:接入层我们选用锐捷网络的支持802.1x的千兆智能交换机RG-S2126G/2150G。

安全计费:方案选用基于802.1x技术的SAM系统结合接入层S2126G/S2150G交换机对学生接入控制进行治理。

网络治理:为了对整个网络的设备进行治理,建议配置STAR View网管系统。

网络方案特点

高性能

千兆主干,百兆交换到桌面:核心选用可支持万兆技术的交换平台,主干采用千兆,百兆交换到桌面,满足大容量、高速率的数据传输。

复杂功能硬件实现:核心的RG-S6806不仅硬件实现三层路由和交换,其他要害功能,如ACL、QoS、策略路由等复杂功能均通过硬件实现,汇聚的STAR-S3550也是硬件实现三层交换、ACL以及QoS,非凡是核心交换机RG-S6806采用板卡智能分布式处理设计,用户接口模块可以独立实现路由、交换、ACL、QoS、收集用户信息等功能,这种分布式处理可以极大地提高整体处理能力。

分布式三层交换:在汇聚层引入第三层交换,减轻核心交换机的压力,可有效减少广播包,并提高网络传输效率;

超高背板保证所有数据包线速转发:本方案采用的核心、汇聚、接入层交换机均具有超高的交换容量和二、三层包转发率,确保所有数据线速转发。

分布式认证、认证报文与业务数据流分离:基于802.1x的锐捷安全认证治理系统,由每一个接入层的安全交换机承担对接入用户的认证,采用认证报文与业务数据流分离技术,实现网络的高速传输无瓶颈。

智能化

端到端的QoS:由接入交换机到汇聚到核心,全面覆盖端口速率限制、应用流分类识别,要害业务流量带宽保证等多层交换质量保证;

基于流的智能识别:全程基于交换机物理端口、MAC地址、IP地址、TCP/UDP端口号来区分同的业务流;

基于流的带宽控制:全程基于交换机端口、MAC地址、IP地址、协议、应用组合进行带宽限速;

高安全

全局网络安全:通过安全控制协议建立一种联动机制,以Radius为核心,支持第三方的防火墙、IDS、安全交换机联动起来,实现全局的网络安全;

事前的准确认证和身份定位:用户使用网络前,通过用户账号与IP、MAC、交换机IP、端口、VLAN六元素的复合绑定,对用户进行准确的身份认证,其中,账号与交换机以及接入端口的绑定,实现了准确的用户定位。

事中的实时处理:当网络中有对受保护的要害服务器或系统进行恶意攻击的时候,IDS入侵检测系统能够检测到发起攻击的源IP地址,通过S-SCP安全控制协议,IDS实时将攻击源IP通知S-Radius,S-Radius在在线用户表中找到源恶意攻击者,通过SNMP协议将恶意攻击者剔除下线。这一整个过程实现了全自动的实时处理。

事后的完整审计:日志服务器记录有用户完整的访问记录,包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC、访问开始时间、访问结束时间、发送流量、接受流量等,结合日志治理查询系统,可以进行快速完整的审计。

入网即认证:用户只要使用网络,就要进行身份认证,保证只有已经申请开户的合法用户才可以使用网络。

强大的接入控制:对接入用户进行账号与IP、MAC、交换机IP、端口、VLAN六元素的复合绑定同时实现账号漫游;

高可靠

链路级冗余备份及负载均衡:核心的RG-S6806和汇聚的STAR-S3550除了支持传统的802.1d生成树协议外,同时支持最新的802.1w、802.1s生成树协议,在保证链路冗余的情况下,实现了两个链路间的负载均衡。

要害部件冗余:RG-S6806提供冗余的治理交换引擎、冗余的电源等要害部件的冗余,配合锐捷先进的RAPS(锐捷自动保护系统),实现系统高的稳定性和可靠性。

RG-S6806提供冗余的治理交换引擎、冗余的电源等要害部件的冗余,配合锐捷先进的RAPS(锐捷自动保护系统),实现系统高的稳定性和可靠性。严格测试:所选设备经Smartbit等专业仪器严格测试,保证研发和生产阶段的可靠性;

易治理

三张图:简单、清楚的设备治理图、拓扑状态图和流量分析图将网络治理工作量降到最低;

中文化:中文化界面及内核,非凡适合中国人;

一站式:可在一个网管工作上实现对全网的完整治理,并支持第三方网管软件无缝治理。

完满解决IP地址冲突和IP地址盗用:锐捷S-Radius对用户进行认证时的IP属性校验,完全杜绝了IP地址冲突的发生,包括认证前IP不按要求设置的不予通过认证以及认证通过后更改IP地址立即剔除下线;对用户账号与IP地址绑定,为每个用户分配一个固定的IP地址,防止IP地址被他人盗用。


发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表