華中科技大學(xué)東校區學(xué)生宿舍子網(wǎng)解決方案

　　說(shuō)明：

　　1.方案采用銳捷網(wǎng)絡(luò )提供的網(wǎng)絡(luò )設備進(jìn)行設計，充分遵循：

　　先進(jìn)性：采用先進(jìn)成熟的概念、技術(shù)和方法，能支撐各種現在與未來(lái)一段時(shí)期的主流網(wǎng)絡(luò )應用，又具有發(fā)展潛力，包括基礎方案、擴展方案和管理方案。

　　可行性：所設計的方案能夠充分考慮網(wǎng)絡(luò )教育的特點(diǎn)和應用對象的技術(shù)、資源、管理等方面的約束，并能很好地結合銳捷網(wǎng)絡(luò )產(chǎn)品特點(diǎn)進(jìn)行方案的設計。

　　靈活性：按照模塊化、層次化的原則設計網(wǎng)絡(luò )，網(wǎng)絡(luò )具有較好的伸縮性、可以根據網(wǎng)絡(luò )建設的不同階段靈活配置和擴展，具有能不斷吸收新技術(shù)、新方法的功能。

　　實(shí)用性：網(wǎng)絡(luò )易維護、易管理，可實(shí)施性好。

　　可靠性：能利用產(chǎn)品自身特色，保證網(wǎng)絡(luò )系統運行穩定可靠、高效。充分顯示先進(jìn)性等；

　　2.該設計方案并非實(shí)際已建設的實(shí)際案例。
　

　　一、 前言

　　隨著(zhù)Internet的迅猛發(fā)展及教育網(wǎng)絡(luò )基礎建設的全面實(shí)施，高校信息化、網(wǎng)絡(luò )化為學(xué)校的騰飛與發(fā)展創(chuàng )造了新的契機。為了進(jìn)一步推動(dòng)華中科技大學(xué)信息化的建設，擴大校園網(wǎng)的覆蓋面，改善東校區學(xué)生學(xué)習條件，為學(xué)生創(chuàng )造一個(gè)更為便利的學(xué)習環(huán)境，在已有校園網(wǎng)建設的基礎上，本文提出并討論本校東校區學(xué)生宿舍網(wǎng)建設解決方案。

　　華中科技大學(xué)東校區學(xué)生宿舍網(wǎng)本期工程的建設目標是，將學(xué)校新建的的15棟韻苑學(xué)生公寓共10694個(gè)信息點(diǎn)連入校園網(wǎng)，本期項目完成后，東校區的學(xué)生將和主校區一樣，每一個(gè)學(xué)生都可以在宿舍訪(fǎng)問(wèn)校園網(wǎng)并進(jìn)而訪(fǎng)問(wèn)Internet。

　　二、 需求分析

　　1． 核心交換設備要求具有強大的處理能力和良好的安全、可靠性、可擴展性；支持各種成熟技術(shù)，未來(lái)能平滑升級到萬(wàn)兆。

　　2． 接入層網(wǎng)絡(luò )設備需要支持基于MAC地址802.1X功能和基于端口802.1X功能，以此保證賬號的唯一性；同時(shí)，支持遠程telnet管理、mib-II及遠程開(kāi)關(guān)交換機端口功能；此外還要求適應大量用戶(hù)并發(fā)認證及復雜的工作環(huán)境等。

　　3． 要求能夠實(shí)現對用戶(hù)名、IP地址、MAC地址、交換機端口、交換機IP的同時(shí)綁定，以此杜絕非法用戶(hù)惡意盜用合法用戶(hù)的用戶(hù)名、密碼、IP和MAC等現象，確保計費工作。

　　4． 解決用戶(hù)私自架設代理服務(wù)器的現象。

　　5． 支持標準Radius認證計費，可連接多種接入設備。一方面要求設備支持802.1x認證方式；另一方面又要求系統支持基于時(shí)長(cháng)、流量以及包月的計費模式；從而為網(wǎng)絡(luò )管理提供完善、靈活、可定制的計費策略；同時(shí)還需要保證30000個(gè)以上用戶(hù)并行時(shí)網(wǎng)絡(luò )運營(yíng)的穩定和管理簡(jiǎn)便。

　　6． 網(wǎng)絡(luò )必須具備高可靠、易管理等特征。

　　三、 網(wǎng)絡(luò )設計原則

　　學(xué)生宿舍網(wǎng)既有一般網(wǎng)絡(luò )設計的特點(diǎn)，又有著(zhù)其特殊性，除了一般網(wǎng)絡(luò )所必需的可靠性、穩定性和安全性等條件外，在進(jìn)行學(xué)生宿舍網(wǎng)建設規劃時(shí)，還應該考慮所有信息點(diǎn)的可控性、高性能以及關(guān)鍵業(yè)務(wù)的QoS保證等。另外在網(wǎng)絡(luò )設計中，如何預留擴展空間和進(jìn)行投資保護，以滿(mǎn)足新應用的需求以及信息量增長(cháng)和變化需要，也是學(xué)生宿舍網(wǎng)建設過(guò)程中需要重點(diǎn)考慮的因素。

　　在充分考慮學(xué)生宿舍網(wǎng)的多應用、易管理的同時(shí)，本方案同時(shí)還遵循如下原則：

　　1） 高性能

　　構建宿舍網(wǎng)網(wǎng)絡(luò )的組網(wǎng)技術(shù)必須是高帶寬的組網(wǎng)技術(shù)；骨干交換設備必須支持線(xiàn)速交換，以保證無(wú)阻塞的數據交；另外從網(wǎng)絡(luò )結構設計上，需要考慮到一些高流量多媒體應用的分布式部署，以降低跨骨干網(wǎng)的流量，提高網(wǎng)絡(luò )的性能。

　　2） 關(guān)鍵業(yè)務(wù)服務(wù)質(zhì)量保證

　　宿舍網(wǎng)中有各種各樣的應用業(yè)務(wù)數據流，當網(wǎng)絡(luò )流量處于高峰期時(shí)，必定會(huì )影響關(guān)鍵業(yè)務(wù)數據流的響應時(shí)間，對于多媒體業(yè)務(wù)來(lái)說(shuō)就會(huì )有說(shuō)話(huà)結巴、圖像馬賽克的情況。因此高性能的網(wǎng)絡(luò )，也還是需要QOS服務(wù)質(zhì)量保證的。

　　3） 信息點(diǎn)可控性

　　宿舍網(wǎng)的信息點(diǎn)分布很廣，與一般企業(yè)網(wǎng)比較，宿舍網(wǎng)用戶(hù)的流動(dòng)性大，比較難管理，為了保證網(wǎng)絡(luò )資料的有效利用，對信息點(diǎn)的可控性要求是必須的。除了對訪(fǎng)問(wèn)帶寬限制，還必須提供基于用戶(hù)的接入認證、授權和計費。為了不影響網(wǎng)路性能，應該在接入層設備分布式實(shí)現信息點(diǎn)的控制。

　　4） 先進(jìn)性

　　所選的設備必須具有很好的擴展性，當網(wǎng)絡(luò )規?；驇捫枰獢U展時(shí)，能夠以最小的代價(jià)滿(mǎn)足新的需求。

　　5） 可靠穩定性

　　可靠穩定的網(wǎng)絡(luò )平臺，是應用業(yè)務(wù)系統得以實(shí)施和推廣的基石。網(wǎng)絡(luò )平臺的設計必須從設備、網(wǎng)絡(luò )拓撲結構、網(wǎng)絡(luò )技術(shù)等幾個(gè)方面保證網(wǎng)絡(luò )的可靠穩定性。

　　6） 安全性

　　宿舍網(wǎng)網(wǎng)絡(luò )平臺的安全，除了要保障網(wǎng)絡(luò )平臺的安全性，還需要在一定程度上保障應用業(yè)務(wù)系統和其它網(wǎng)絡(luò )資源的安全。網(wǎng)絡(luò )平臺應該從幾個(gè)方面保證網(wǎng)絡(luò )安全：1）設備本身的訪(fǎng)問(wèn)安全；2）內部網(wǎng)之間資源訪(fǎng)問(wèn)安全；3）路由系統的安全；3）互聯(lián)網(wǎng)訪(fǎng)問(wèn)安全。

　　四、 網(wǎng)絡(luò )解決方案

　　針對用戶(hù)需求，我們采用了千兆骨干、百兆到桌面，整個(gè)網(wǎng)絡(luò )采用分布式三層交換構架。具有超高的帶寬和良好的可擴展、可管理性。具體網(wǎng)絡(luò )拓撲見(jiàn)下圖：

　　核心層：在網(wǎng)絡(luò )核心層選用銳捷網(wǎng)絡(luò )（原實(shí)達網(wǎng)絡(luò )）自主研發(fā)的萬(wàn)兆核心交換機RG-S6806。RG-S6806具有256G的交換容量，143M的包轉發(fā)率；最大可以支持8個(gè)萬(wàn)兆/96個(gè)千兆/128個(gè)百兆端口；硬件本身采用分布式的交換體系，且多種復雜功能硬件實(shí)現，具有良好的可擴展性和超高的交換性能。不但可以滿(mǎn)足目前的接入需求，同時(shí)也可以滿(mǎn)足未來(lái)發(fā)展的需要。

　　匯聚層：在樓棟匯聚層我們選用銳捷網(wǎng)絡(luò )的STAR-S3550系列三層交換機；通過(guò)在樓棟做本地分布式三層交換，大大減少了骨干網(wǎng)的負擔。STAR-S3550系列交換機具有12.8/18.5Gbps的交換容量，6.6/10.1M的二、三層包轉發(fā)率，保證所有端口的線(xiàn)速轉發(fā)。同時(shí)STAR-S3550還提供24/48個(gè)百兆電口、2個(gè)千兆擴展槽，通過(guò)L2 Trunk技術(shù)提供全雙工4G的主干帶寬。

　　接入層：接入層我們選用銳捷網(wǎng)絡(luò )的支持802.1x的千兆智能交換機RG-S2126G/2150G；此款交換機具有超高的交換處理能力和超強的接入控制能力，同時(shí)作為智能交換機，它不僅可以支持2－7層的智能交換，能識別各種應用流、數據流如視頻、語(yǔ)音等對網(wǎng)絡(luò )延時(shí)、抖動(dòng)要求較高的應用；還具有全面的QoS保障體系，支持802.1P、DSCP數據標記技術(shù)，支持SP、WRR、CAR、WRED等隊列及擁塞控制技術(shù)，可以為用戶(hù)提供全程端到端的QoS保障。

　　安全計費：我們采用基于802.1x技術(shù)的SAM系統結合接入層S2126G/S2150G交換機對學(xué)生接入控制進(jìn)行管理。

　　銳捷網(wǎng)絡(luò )提供的安全認證計費解決方案選擇在接入交換機STAR-S2126G/S2150G上做認證計費，這樣一來(lái)就為學(xué)校提供了四個(gè)重點(diǎn)服務(wù)：一是可以最大程度上做到分布認證，認證效率高；二是可以有效減少宿舍樓棟交換機的負擔；三是能夠對接入用戶(hù)實(shí)行有效、全面、完整的控制；四是擴展性好，為大規模的用戶(hù)認證計費提供了保障和技術(shù)基礎。

　　網(wǎng)絡(luò )管理：為了對整個(gè)網(wǎng)絡(luò )的設備進(jìn)行管理，建議配置STAR View網(wǎng)管系統。

　　STAR View管理系統能提供整個(gè)網(wǎng)絡(luò )的拓撲結構，能對以太網(wǎng)絡(luò )中的任何通用IP設備、SNMP管理型設備進(jìn)行管理，結合管理設備所支持的SNMP管理、Telnet管理、Web管理、RMON管理等構成一個(gè)功能齊全的網(wǎng)絡(luò )管理解決方案，實(shí)現從網(wǎng)絡(luò )級到設備級的全方位的網(wǎng)絡(luò )管理。STAR View可以對整個(gè)網(wǎng)絡(luò )上的網(wǎng)絡(luò )設備進(jìn)行集中式的配置、監視和控制，自動(dòng)檢測網(wǎng)絡(luò )拓撲結構，監視和控制網(wǎng)段和端口，以及進(jìn)行網(wǎng)絡(luò )流量的統計和錯誤統計，網(wǎng)絡(luò )設備事件的自動(dòng)收集和管理等一系列綜合而詳盡的管理和監測。通過(guò)對網(wǎng)絡(luò )的全面監控，網(wǎng)絡(luò )管理員可以重構網(wǎng)絡(luò )結構，使網(wǎng)絡(luò )達到最佳效果。

　　五、 網(wǎng)絡(luò )方案特點(diǎn)

　　1 高性能

　　千兆主干，百兆交換到桌面：核心選用可支持萬(wàn)兆技術(shù)的交換平臺，主干采用千兆，百兆交換到桌面，滿(mǎn)足大容量、高速率的數據傳輸。

　　復雜功能硬件實(shí)現:核心的RG-S6806不僅硬件實(shí)現三層路由和交換, 關(guān)鍵功能, 如ACL、QOS、策略路由等復雜功能均通過(guò)硬件實(shí)現，匯聚的STAR-S3550也是硬件實(shí)現三層交換、ACL以及QoS，特別是核心交換機RG-S6806采用板卡智能分布式處理設計，用戶(hù)接口模塊可以獨立實(shí)現路由、交換、ACL、QOS、收集用戶(hù)信息等功能，這種分布式處理可以極大地提高整體處理能力。

　　分布式三層交換：在匯聚層引入第三層交換，減輕核心交換機的壓力，可有效減少廣播包，并提高網(wǎng)絡(luò )傳輸效率；

　　超高背板保證所有數據包線(xiàn)速轉發(fā)：本方案采用的核心、匯聚、接入層交換機均具有超高的交換容量和二、三層包轉發(fā)率，確保所有數據線(xiàn)速轉發(fā)。

　　分布式認證、認證報文與業(yè)務(wù)數據流分離：基于802.1X的銳捷安全認證管理系統，由每一個(gè)接入層的安全交換機承擔對接入用戶(hù)的認證，采用認證報文與業(yè)務(wù)數據流分離技術(shù)，實(shí)現網(wǎng)絡(luò )的高速傳輸無(wú)瓶頸。

　　2 智能化

　　端到端的QoS：由接入交換機到匯聚到核心，全面覆蓋端口速率限制、應用流分類(lèi)識別，關(guān)鍵業(yè)務(wù)流量帶寬保證等多層交換質(zhì)量保證；

　　基于流的智能識別：全程基于交換機物理端口、MAC地址、IP地址、TCP/UDP端口號來(lái)區分同的業(yè)務(wù)流；
　　基于流的帶寬控制：全程基于交換機端口、MAC地址、IP地址、協(xié)議、應用組合進(jìn)行帶寬限速；

　　3 高安全

　　全局網(wǎng)絡(luò )安全：通過(guò)安全控制協(xié)議建立一種聯(lián)動(dòng)機制，以Radius為核心，支持第三方的防火墻、IDS、安全交換機聯(lián)動(dòng)起來(lái)，實(shí)現全局的網(wǎng)絡(luò )安全；

　　事前的準確認證和身份定位：用戶(hù)使用網(wǎng)絡(luò )前，通過(guò)用戶(hù)帳號與IP、MAC、交換機IP、端口、VLAN六元素的復合綁定，對用戶(hù)進(jìn)行準確的身份認證，其中帳號與交換機以及接入端口的綁定，實(shí)現了準確的用戶(hù)定位。

　　事中的實(shí)時(shí)處理：當網(wǎng)絡(luò )中有對受保護的關(guān)鍵服務(wù)器或系統進(jìn)行惡意攻擊的時(shí)候，IDS入侵檢測系統能夠檢測到發(fā)起攻擊的源IP地址，通過(guò)S-SCP安全控制協(xié)議，IDS實(shí)時(shí)將攻擊源IP通知S-Radius，S-Radius在在線(xiàn)用戶(hù)表中找到源惡意攻擊者，通過(guò)SNMP協(xié)議將惡意攻擊者剔除下線(xiàn)。這一整個(gè)過(guò)程實(shí)現了全自動(dòng)的實(shí)時(shí)處理。

　　事后的完整審計：日志服務(wù)器記錄有用戶(hù)完整的訪(fǎng)問(wèn)記錄，包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC、訪(fǎng)問(wèn)開(kāi)始時(shí)間、訪(fǎng)問(wèn)結束時(shí)間、發(fā)送流量、接受流量等，結合日志管理查詢(xún)系統，可以進(jìn)行快速完整的審計。
　　入網(wǎng)即認證:用戶(hù)只要使用網(wǎng)絡(luò )即要進(jìn)行身份認證，保證只有申請開(kāi)戶(hù)的合法用戶(hù)才可以使用網(wǎng)絡(luò )。

　　強大的接入控制：對接入用戶(hù)進(jìn)行帳號與IP、MAC、交換機IP、端口、VLAN六元素的復合綁定同時(shí)實(shí)現帳號漫游；

　　4 高可靠

　　鏈路級冗余備份及負載均衡：核心的RG-S6806和匯聚的STAR-S3550除了支持傳統的802.1d生成樹(shù)協(xié)議外，同時(shí)支持最新的802.1w、802.1s生成樹(shù)協(xié)議，在保證鏈路冗余的情況下，實(shí)現了兩個(gè)鏈路間的負載均衡。

　　關(guān)鍵部件冗余: RG-S6806提供冗余的管理交換引擎、冗余的電源等關(guān)鍵部件的冗余，配合銳捷先進(jìn)的RAPS（銳捷自動(dòng)保護系統），實(shí)現系統高的穩定性和可靠性。

　　RG-S6806提供冗余的管理交換引擎、冗余的電源等關(guān)鍵部件的冗余，配合銳捷先進(jìn)的RAPS（銳捷自動(dòng)保護系統），實(shí)現系統高的穩定性和可靠性。

　　嚴格測試：所選設備經(jīng)Smartbit等專(zhuān)業(yè)儀器嚴格測試，保證研發(fā)和生產(chǎn)階段的可靠性；

　　5 易管理

　　三張圖：簡(jiǎn)單、清晰的設備管理圖、拓撲狀態(tài)圖和流量分析圖將網(wǎng)絡(luò )管理工作量降到最低；

　　中文化：中文化界面及內核，特別適合中國人使用；

　　一站式：可在一個(gè)網(wǎng)管工作上實(shí)現對全網(wǎng)的完整管理，并支持第三方網(wǎng)管軟件無(wú)縫管理。

　　完滿(mǎn)解決IP地址沖突和IP地址盜用：銳捷S-Radius對用戶(hù)進(jìn)行認證時(shí)的IP屬性校驗，完全杜絕了IP地址沖突的發(fā)生，包括認證前IP不按要求設置的不予通過(guò)認證以及認證通過(guò)后更改IP地址立即剔除下線(xiàn)；對用戶(hù)帳號與IP地址綁定，為每個(gè)用戶(hù)分配一個(gè)固定的IP地址，防止IP地址被他人盜用。

　　評審小組：
　　銳捷網(wǎng)絡(luò )產(chǎn)品事業(yè)部
　　北京賽迪信息評測有限公司

　　評語(yǔ)：方案的需求分析到位，較準確地分析了學(xué)生宿舍網(wǎng)絡(luò )應用系統的特點(diǎn)，在技術(shù)方案設計上體現了先進(jìn)性、安全性、可擴展、可管理、易運營(yíng)等特點(diǎn)，采用了先進(jìn)的“千兆骨干、百兆到桌面”的設計例念和分布式三層交換網(wǎng)絡(luò )構架。必須指出的是，在方案設計是應該注意先進(jìn)性和實(shí)用性的結合，并做好與現有網(wǎng)絡(luò )系統的融合，這是校園網(wǎng)建設特點(diǎn)所基本要求的。