華中科技大學(xué)東校區(qū)學(xué)生宿舍子網(wǎng)解決方案

　　說明：

　　1.方案采用銳捷網(wǎng)絡(luò)提供的網(wǎng)絡(luò)設(shè)備進(jìn)行設(shè)計(jì)，充分遵循：

　　先進(jìn)性：采用先進(jìn)成熟的概念、技術(shù)和方法，能支撐各種現(xiàn)在與未來一段時(shí)期的主流網(wǎng)絡(luò)應(yīng)用，又具有發(fā)展?jié)摿ΓɑA(chǔ)方案、擴(kuò)展方案和管理方案。

　　可行性：所設(shè)計(jì)的方案能夠充分考慮網(wǎng)絡(luò)教育的特點(diǎn)和應(yīng)用對象的技術(shù)、資源、管理等方面的約束，并能很好地結(jié)合銳捷網(wǎng)絡(luò)產(chǎn)品特點(diǎn)進(jìn)行方案的設(shè)計(jì)。

　　靈活性：按照模塊化、層次化的原則設(shè)計(jì)網(wǎng)絡(luò)，網(wǎng)絡(luò)具有較好的伸縮性、可以根據(jù)網(wǎng)絡(luò)建設(shè)的不同階段靈活配置和擴(kuò)展，具有能不斷吸收新技術(shù)、新方法的功能。

　　實(shí)用性：網(wǎng)絡(luò)易維護(hù)、易管理，可實(shí)施性好。

　　可靠性：能利用產(chǎn)品自身特色，保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行穩(wěn)定可靠、高效。充分顯示先進(jìn)性等；

　　2.該設(shè)計(jì)方案并非實(shí)際已建設(shè)的實(shí)際案例。
　

　　一、 前言

　　隨著Internet的迅猛發(fā)展及教育網(wǎng)絡(luò)基礎(chǔ)建設(shè)的全面實(shí)施，高校信息化、網(wǎng)絡(luò)化為學(xué)校的騰飛與發(fā)展創(chuàng)造了新的契機(jī)。為了進(jìn)一步推動(dòng)華中科技大學(xué)信息化的建設(shè)，擴(kuò)大校園網(wǎng)的覆蓋面，改善東校區(qū)學(xué)生學(xué)習(xí)條件，為學(xué)生創(chuàng)造一個(gè)更為便利的學(xué)習(xí)環(huán)境，在已有校園網(wǎng)建設(shè)的基礎(chǔ)上，本文提出并討論本校東校區(qū)學(xué)生宿舍網(wǎng)建設(shè)解決方案。

　　華中科技大學(xué)東校區(qū)學(xué)生宿舍網(wǎng)本期工程的建設(shè)目標(biāo)是，將學(xué)校新建的的15棟韻苑學(xué)生公寓共10694個(gè)信息點(diǎn)連入校園網(wǎng)，本期項(xiàng)目完成后，東校區(qū)的學(xué)生將和主校區(qū)一樣，每一個(gè)學(xué)生都可以在宿舍訪問校園網(wǎng)并進(jìn)而訪問Internet。

　　二、 需求分析

　　1． 核心交換設(shè)備要求具有強(qiáng)大的處理能力和良好的安全、可靠性、可擴(kuò)展性；支持各種成熟技術(shù)，未來能平滑升級到萬兆。

　　2． 接入層網(wǎng)絡(luò)設(shè)備需要支持基于MAC地址802.1X功能和基于端口802.1X功能，以此保證賬號的唯一性；同時(shí)，支持遠(yuǎn)程telnet管理、mib-II及遠(yuǎn)程開關(guān)交換機(jī)端口功能；此外還要求適應(yīng)大量用戶并發(fā)認(rèn)證及復(fù)雜的工作環(huán)境等。

　　3． 要求能夠?qū)崿F(xiàn)對用戶名、IP地址、MAC地址、交換機(jī)端口、交換機(jī)IP的同時(shí)綁定，以此杜絕非法用戶惡意盜用合法用戶的用戶名、密碼、IP和MAC等現(xiàn)象，確保計(jì)費(fèi)工作。

　　4． 解決用戶私自架設(shè)代理服務(wù)器的現(xiàn)象。

　　5． 支持標(biāo)準(zhǔn)Radius認(rèn)證計(jì)費(fèi)，可連接多種接入設(shè)備。一方面要求設(shè)備支持802.1x認(rèn)證方式；另一方面又要求系統(tǒng)支持基于時(shí)長、流量以及包月的計(jì)費(fèi)模式；從而為網(wǎng)絡(luò)管理提供完善、靈活、可定制的計(jì)費(fèi)策略；同時(shí)還需要保證30000個(gè)以上用戶并行時(shí)網(wǎng)絡(luò)運(yùn)營的穩(wěn)定和管理簡便。

　　6． 網(wǎng)絡(luò)必須具備高可靠、易管理等特征。

　　三、 網(wǎng)絡(luò)設(shè)計(jì)原則

　　學(xué)生宿舍網(wǎng)既有一般網(wǎng)絡(luò)設(shè)計(jì)的特點(diǎn)，又有著其特殊性，除了一般網(wǎng)絡(luò)所必需的可靠性、穩(wěn)定性和安全性等條件外，在進(jìn)行學(xué)生宿舍網(wǎng)建設(shè)規(guī)劃時(shí)，還應(yīng)該考慮所有信息點(diǎn)的可控性、高性能以及關(guān)鍵業(yè)務(wù)的QoS保證等。另外在網(wǎng)絡(luò)設(shè)計(jì)中，如何預(yù)留擴(kuò)展空間和進(jìn)行投資保護(hù)，以滿足新應(yīng)用的需求以及信息量增長和變化需要，也是學(xué)生宿舍網(wǎng)建設(shè)過程中需要重點(diǎn)考慮的因素。

　　在充分考慮學(xué)生宿舍網(wǎng)的多應(yīng)用、易管理的同時(shí)，本方案同時(shí)還遵循如下原則：

　　1） 高性能

　　構(gòu)建宿舍網(wǎng)網(wǎng)絡(luò)的組網(wǎng)技術(shù)必須是高帶寬的組網(wǎng)技術(shù)；骨干交換設(shè)備必須支持線速交換，以保證無阻塞的數(shù)據(jù)交；另外從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)上，需要考慮到一些高流量多媒體應(yīng)用的分布式部署，以降低跨骨干網(wǎng)的流量，提高網(wǎng)絡(luò)的性能。

　　2） 關(guān)鍵業(yè)務(wù)服務(wù)質(zhì)量保證

　　宿舍網(wǎng)中有各種各樣的應(yīng)用業(yè)務(wù)數(shù)據(jù)流，當(dāng)網(wǎng)絡(luò)流量處于高峰期時(shí)，必定會(huì)影響關(guān)鍵業(yè)務(wù)數(shù)據(jù)流的響應(yīng)時(shí)間，對于多媒體業(yè)務(wù)來說就會(huì)有說話結(jié)巴、圖像馬賽克的情況。因此高性能的網(wǎng)絡(luò)，也還是需要QOS服務(wù)質(zhì)量保證的。

　　3） 信息點(diǎn)可控性

　　宿舍網(wǎng)的信息點(diǎn)分布很廣，與一般企業(yè)網(wǎng)比較，宿舍網(wǎng)用戶的流動(dòng)性大，比較難管理，為了保證網(wǎng)絡(luò)資料的有效利用，對信息點(diǎn)的可控性要求是必須的。除了對訪問帶寬限制，還必須提供基于用戶的接入認(rèn)證、授權(quán)和計(jì)費(fèi)。為了不影響網(wǎng)路性能，應(yīng)該在接入層設(shè)備分布式實(shí)現(xiàn)信息點(diǎn)的控制。

　　4） 先進(jìn)性

　　所選的設(shè)備必須具有很好的擴(kuò)展性，當(dāng)網(wǎng)絡(luò)規(guī)?；驇捫枰獢U(kuò)展時(shí)，能夠以最小的代價(jià)滿足新的需求。

　　5） 可靠穩(wěn)定性

　　可靠穩(wěn)定的網(wǎng)絡(luò)平臺(tái)，是應(yīng)用業(yè)務(wù)系統(tǒng)得以實(shí)施和推廣的基石。網(wǎng)絡(luò)平臺(tái)的設(shè)計(jì)必須從設(shè)備、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)技術(shù)等幾個(gè)方面保證網(wǎng)絡(luò)的可靠穩(wěn)定性。

　　6） 安全性

　　宿舍網(wǎng)網(wǎng)絡(luò)平臺(tái)的安全，除了要保障網(wǎng)絡(luò)平臺(tái)的安全性，還需要在一定程度上保障應(yīng)用業(yè)務(wù)系統(tǒng)和其它網(wǎng)絡(luò)資源的安全。網(wǎng)絡(luò)平臺(tái)應(yīng)該從幾個(gè)方面保證網(wǎng)絡(luò)安全：1）設(shè)備本身的訪問安全；2）內(nèi)部網(wǎng)之間資源訪問安全；3）路由系統(tǒng)的安全；3）互聯(lián)網(wǎng)訪問安全。

　　四、 網(wǎng)絡(luò)解決方案

　　針對用戶需求，我們采用了千兆骨干、百兆到桌面，整個(gè)網(wǎng)絡(luò)采用分布式三層交換構(gòu)架。具有超高的帶寬和良好的可擴(kuò)展、可管理性。具體網(wǎng)絡(luò)拓?fù)湟娤聢D：

　　核心層：在網(wǎng)絡(luò)核心層選用銳捷網(wǎng)絡(luò)（原實(shí)達(dá)網(wǎng)絡(luò)）自主研發(fā)的萬兆核心交換機(jī)RG-S6806。RG-S6806具有256G的交換容量，143M的包轉(zhuǎn)發(fā)率；最大可以支持8個(gè)萬兆/96個(gè)千兆/128個(gè)百兆端口；硬件本身采用分布式的交換體系，且多種復(fù)雜功能硬件實(shí)現(xiàn)，具有良好的可擴(kuò)展性和超高的交換性能。不但可以滿足目前的接入需求，同時(shí)也可以滿足未來發(fā)展的需要。

　　匯聚層：在樓棟匯聚層我們選用銳捷網(wǎng)絡(luò)的STAR-S3550系列三層交換機(jī)；通過在樓棟做本地分布式三層交換，大大減少了骨干網(wǎng)的負(fù)擔(dān)。STAR-S3550系列交換機(jī)具有12.8/18.5Gbps的交換容量，6.6/10.1M的二、三層包轉(zhuǎn)發(fā)率，保證所有端口的線速轉(zhuǎn)發(fā)。同時(shí)STAR-S3550還提供24/48個(gè)百兆電口、2個(gè)千兆擴(kuò)展槽，通過L2 Trunk技術(shù)提供全雙工4G的主干帶寬。

　　接入層：接入層我們選用銳捷網(wǎng)絡(luò)的支持802.1x的千兆智能交換機(jī)RG-S2126G/2150G；此款交換機(jī)具有超高的交換處理能力和超強(qiáng)的接入控制能力，同時(shí)作為智能交換機(jī)，它不僅可以支持2－7層的智能交換，能識(shí)別各種應(yīng)用流、數(shù)據(jù)流如視頻、語音等對網(wǎng)絡(luò)延時(shí)、抖動(dòng)要求較高的應(yīng)用；還具有全面的QoS保障體系，支持802.1P、DSCP數(shù)據(jù)標(biāo)記技術(shù)，支持SP、WRR、CAR、WRED等隊(duì)列及擁塞控制技術(shù)，可以為用戶提供全程端到端的QoS保障。

　　安全計(jì)費(fèi)：我們采用基于802.1x技術(shù)的SAM系統(tǒng)結(jié)合接入層S2126G/S2150G交換機(jī)對學(xué)生接入控制進(jìn)行管理。

　　銳捷網(wǎng)絡(luò)提供的安全認(rèn)證計(jì)費(fèi)解決方案選擇在接入交換機(jī)STAR-S2126G/S2150G上做認(rèn)證計(jì)費(fèi)，這樣一來就為學(xué)校提供了四個(gè)重點(diǎn)服務(wù)：一是可以最大程度上做到分布認(rèn)證，認(rèn)證效率高；二是可以有效減少宿舍樓棟交換機(jī)的負(fù)擔(dān)；三是能夠?qū)尤胗脩魧?shí)行有效、全面、完整的控制；四是擴(kuò)展性好，為大規(guī)模的用戶認(rèn)證計(jì)費(fèi)提供了保障和技術(shù)基礎(chǔ)。

　　網(wǎng)絡(luò)管理：為了對整個(gè)網(wǎng)絡(luò)的設(shè)備進(jìn)行管理，建議配置STAR View網(wǎng)管系統(tǒng)。

　　STAR View管理系統(tǒng)能提供整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，能對以太網(wǎng)絡(luò)中的任何通用IP設(shè)備、SNMP管理型設(shè)備進(jìn)行管理，結(jié)合管理設(shè)備所支持的SNMP管理、Telnet管理、Web管理、RMON管理等構(gòu)成一個(gè)功能齊全的網(wǎng)絡(luò)管理解決方案，實(shí)現(xiàn)從網(wǎng)絡(luò)級到設(shè)備級的全方位的網(wǎng)絡(luò)管理。STAR View可以對整個(gè)網(wǎng)絡(luò)上的網(wǎng)絡(luò)設(shè)備進(jìn)行集中式的配置、監(jiān)視和控制，自動(dòng)檢測網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，監(jiān)視和控制網(wǎng)段和端口，以及進(jìn)行網(wǎng)絡(luò)流量的統(tǒng)計(jì)和錯(cuò)誤統(tǒng)計(jì)，網(wǎng)絡(luò)設(shè)備事件的自動(dòng)收集和管理等一系列綜合而詳盡的管理和監(jiān)測。通過對網(wǎng)絡(luò)的全面監(jiān)控，網(wǎng)絡(luò)管理員可以重構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)，使網(wǎng)絡(luò)達(dá)到最佳效果。

　　五、 網(wǎng)絡(luò)方案特點(diǎn)

　　1 高性能

　　千兆主干，百兆交換到桌面：核心選用可支持萬兆技術(shù)的交換平臺(tái)，主干采用千兆，百兆交換到桌面，滿足大容量、高速率的數(shù)據(jù)傳輸。

　　復(fù)雜功能硬件實(shí)現(xiàn):核心的RG-S6806不僅硬件實(shí)現(xiàn)三層路由和交換, 關(guān)鍵功能, 如ACL、QOS、策略路由等復(fù)雜功能均通過硬件實(shí)現(xiàn)，匯聚的STAR-S3550也是硬件實(shí)現(xiàn)三層交換、ACL以及QoS，特別是核心交換機(jī)RG-S6806采用板卡智能分布式處理設(shè)計(jì)，用戶接口模塊可以獨(dú)立實(shí)現(xiàn)路由、交換、ACL、QOS、收集用戶信息等功能，這種分布式處理可以極大地提高整體處理能力。

　　分布式三層交換：在匯聚層引入第三層交換，減輕核心交換機(jī)的壓力，可有效減少廣播包，并提高網(wǎng)絡(luò)傳輸效率；

　　超高背板保證所有數(shù)據(jù)包線速轉(zhuǎn)發(fā)：本方案采用的核心、匯聚、接入層交換機(jī)均具有超高的交換容量和二、三層包轉(zhuǎn)發(fā)率，確保所有數(shù)據(jù)線速轉(zhuǎn)發(fā)。

　　分布式認(rèn)證、認(rèn)證報(bào)文與業(yè)務(wù)數(shù)據(jù)流分離：基于802.1X的銳捷安全認(rèn)證管理系統(tǒng)，由每一個(gè)接入層的安全交換機(jī)承擔(dān)對接入用戶的認(rèn)證，采用認(rèn)證報(bào)文與業(yè)務(wù)數(shù)據(jù)流分離技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)的高速傳輸無瓶頸。

　　2 智能化

　　端到端的QoS：由接入交換機(jī)到匯聚到核心，全面覆蓋端口速率限制、應(yīng)用流分類識(shí)別，關(guān)鍵業(yè)務(wù)流量帶寬保證等多層交換質(zhì)量保證；

　　基于流的智能識(shí)別：全程基于交換機(jī)物理端口、MAC地址、IP地址、TCP/UDP端口號來區(qū)分同的業(yè)務(wù)流；
　　基于流的帶寬控制：全程基于交換機(jī)端口、MAC地址、IP地址、協(xié)議、應(yīng)用組合進(jìn)行帶寬限速；

　　3 高安全

　　全局網(wǎng)絡(luò)安全：通過安全控制協(xié)議建立一種聯(lián)動(dòng)機(jī)制，以Radius為核心，支持第三方的防火墻、IDS、安全交換機(jī)聯(lián)動(dòng)起來，實(shí)現(xiàn)全局的網(wǎng)絡(luò)安全；

　　事前的準(zhǔn)確認(rèn)證和身份定位：用戶使用網(wǎng)絡(luò)前，通過用戶帳號與IP、MAC、交換機(jī)IP、端口、VLAN六元素的復(fù)合綁定，對用戶進(jìn)行準(zhǔn)確的身份認(rèn)證，其中帳號與交換機(jī)以及接入端口的綁定，實(shí)現(xiàn)了準(zhǔn)確的用戶定位。

　　事中的實(shí)時(shí)處理：當(dāng)網(wǎng)絡(luò)中有對受保護(hù)的關(guān)鍵服務(wù)器或系統(tǒng)進(jìn)行惡意攻擊的時(shí)候，IDS入侵檢測系統(tǒng)能夠檢測到發(fā)起攻擊的源IP地址，通過S-SCP安全控制協(xié)議，IDS實(shí)時(shí)將攻擊源IP通知S-Radius，S-Radius在在線用戶表中找到源惡意攻擊者，通過SNMP協(xié)議將惡意攻擊者剔除下線。這一整個(gè)過程實(shí)現(xiàn)了全自動(dòng)的實(shí)時(shí)處理。

　　事后的完整審計(jì)：日志服務(wù)器記錄有用戶完整的訪問記錄，包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC、訪問開始時(shí)間、訪問結(jié)束時(shí)間、發(fā)送流量、接受流量等，結(jié)合日志管理查詢系統(tǒng)，可以進(jìn)行快速完整的審計(jì)。
　　入網(wǎng)即認(rèn)證:用戶只要使用網(wǎng)絡(luò)即要進(jìn)行身份認(rèn)證，保證只有申請開戶的合法用戶才可以使用網(wǎng)絡(luò)。

　　強(qiáng)大的接入控制：對接入用戶進(jìn)行帳號與IP、MAC、交換機(jī)IP、端口、VLAN六元素的復(fù)合綁定同時(shí)實(shí)現(xiàn)帳號漫游；

　　4 高可靠

　　鏈路級冗余備份及負(fù)載均衡：核心的RG-S6806和匯聚的STAR-S3550除了支持傳統(tǒng)的802.1d生成樹協(xié)議外，同時(shí)支持最新的802.1w、802.1s生成樹協(xié)議，在保證鏈路冗余的情況下，實(shí)現(xiàn)了兩個(gè)鏈路間的負(fù)載均衡。

　　關(guān)鍵部件冗余: RG-S6806提供冗余的管理交換引擎、冗余的電源等關(guān)鍵部件的冗余，配合銳捷先進(jìn)的RAPS（銳捷自動(dòng)保護(hù)系統(tǒng)），實(shí)現(xiàn)系統(tǒng)高的穩(wěn)定性和可靠性。

　　RG-S6806提供冗余的管理交換引擎、冗余的電源等關(guān)鍵部件的冗余，配合銳捷先進(jìn)的RAPS（銳捷自動(dòng)保護(hù)系統(tǒng)），實(shí)現(xiàn)系統(tǒng)高的穩(wěn)定性和可靠性。

　　嚴(yán)格測試：所選設(shè)備經(jīng)Smartbit等專業(yè)儀器嚴(yán)格測試，保證研發(fā)和生產(chǎn)階段的可靠性；

　　5 易管理

　　三張圖：簡單、清晰的設(shè)備管理圖、拓?fù)錉顟B(tài)圖和流量分析圖將網(wǎng)絡(luò)管理工作量降到最低；

　　中文化：中文化界面及內(nèi)核，特別適合中國人使用；

　　一站式：可在一個(gè)網(wǎng)管工作上實(shí)現(xiàn)對全網(wǎng)的完整管理，并支持第三方網(wǎng)管軟件無縫管理。

　　完滿解決IP地址沖突和IP地址盜用：銳捷S-Radius對用戶進(jìn)行認(rèn)證時(shí)的IP屬性校驗(yàn)，完全杜絕了IP地址沖突的發(fā)生，包括認(rèn)證前IP不按要求設(shè)置的不予通過認(rèn)證以及認(rèn)證通過后更改IP地址立即剔除下線；對用戶帳號與IP地址綁定，為每個(gè)用戶分配一個(gè)固定的IP地址，防止IP地址被他人盜用。

　　評審小組：
　　銳捷網(wǎng)絡(luò)產(chǎn)品事業(yè)部
　　北京賽迪信息評測有限公司

　　評語：方案的需求分析到位，較準(zhǔn)確地分析了學(xué)生宿舍網(wǎng)絡(luò)應(yīng)用系統(tǒng)的特點(diǎn)，在技術(shù)方案設(shè)計(jì)上體現(xiàn)了先進(jìn)性、安全性、可擴(kuò)展、可管理、易運(yùn)營等特點(diǎn)，采用了先進(jìn)的“千兆骨干、百兆到桌面”的設(shè)計(jì)例念和分布式三層交換網(wǎng)絡(luò)構(gòu)架。必須指出的是，在方案設(shè)計(jì)是應(yīng)該注意先進(jìn)性和實(shí)用性的結(jié)合，并做好與現(xiàn)有網(wǎng)絡(luò)系統(tǒng)的融合，這是校園網(wǎng)建設(shè)特點(diǎn)所基本要求的。