華南理工校園網(wǎng)項目解決方案

1、華南理工校園網(wǎng)項目解決方案校園網(wǎng)已經(jīng)成為高等院校最重要的學習和生活設施。隨著網(wǎng)絡的高速發(fā)展，網(wǎng)絡的安全問題日益突出。主要集中在兩個方面，一是象華南理工這樣的全國知名院校，師生數(shù)萬人，面臨著校園網(wǎng)帶寬的不斷挑戰(zhàn)，二是隨著網(wǎng)絡應用的豐富，黑客、病毒泛濫造成的一次次慘重代價，校園網(wǎng)的安全性受到前所未有的關注。校園網(wǎng)的建設和安全改造始終是一個熱點，在這方面神州數(shù)碼網(wǎng)絡為華南理工大學建設的校園網(wǎng)項目有許多值得借鑒的地方。 帶寬與安全 華南理工的雙重需求 華南理工大學南校區(qū)現(xiàn)有網(wǎng)絡用戶已經(jīng)超過10000人，網(wǎng)絡計劃容量為25000用戶，要充分滿足學校內(nèi)部教學、科研、工作、生活所需要的高速、高安全、高性能網(wǎng)

2、絡系統(tǒng)要求，保證每一個上網(wǎng)端口都能夠達到高速率，因而整個網(wǎng)絡系統(tǒng)核心層承受的壓力非常大，萬兆應用顯然是必然之舉。 另外，校園網(wǎng)一個典型的特征就是應用非常豐富，電影點播，在線音樂、視頻聊天、大量軟件下載等等，造成網(wǎng)絡的負載非常重，而攻擊網(wǎng)絡的病毒不斷泛濫，以及學生“好事者”也會有意的攻擊網(wǎng)絡，他們往往并非為了某種“惡毒”的目的來攻擊網(wǎng)絡，而是出于好奇或者“表現(xiàn)”。如此繁重的網(wǎng)絡一旦因攻擊而造成癱瘓，損失將會是很大的。因此，作為校園網(wǎng)的管理方，網(wǎng)管希望省事，即便有人攻擊也能安全無事，隨時都可以屏蔽不老實的用戶；校方希望安全運營，不會出現(xiàn)網(wǎng)絡癱瘓或者計費系統(tǒng)故障。 五層的結構+萬兆核心 根據(jù)學校的實

3、際情況，結合多年服務高校的經(jīng)驗，神州數(shù)碼網(wǎng)絡認為在網(wǎng)絡建設過程中，要把握一個重點、一個難點的解決，確保“一次路由，多次交換”、“路由等于交換”，并采用高核心設備和接入設備完成接入，才能將整個網(wǎng)絡建設的更有生命力。因此神州數(shù)碼網(wǎng)絡以3臺神州數(shù)碼高性能的、具有電信級網(wǎng)絡安全性能的核心路由交換機MG8，為網(wǎng)絡提供整個高速網(wǎng)絡骨干交換子平臺的核心交換，并采用信息中心放置2臺MG8核心交換機組成一個雙機熱備份的核心交換機系統(tǒng)解決方案。 神州數(shù)碼DCRS-MG8來提供整個網(wǎng)絡系統(tǒng)核心路由、交換的需要，所有模塊實現(xiàn)熱插拔、端口冗余、鏈路冗余、電源冗余、802.1W(802.1S)環(huán)路、散熱冗余等安全解決方案

4、，充分滿足核心交換機具有的電信級網(wǎng)絡安全。另外核心交換機系統(tǒng)為整個校園網(wǎng)提供核心的交換、路由，對其自身的性能也是非常高，神州數(shù)碼核心路由交換機MG8 提供1.28Tpbs 的背板交換容量，實現(xiàn)L2/L3/L4多層包轉發(fā)率是480MPPS，為核心交換機最大可容納的模塊數(shù)8個、最大1000M以太網(wǎng)端口數(shù)320個、最大10G 太網(wǎng)端口數(shù)32個等強大的、高帶寬的網(wǎng)絡接口連接，為現(xiàn)在校園網(wǎng)中所有教學樓、宿舍等樓棟內(nèi)網(wǎng)絡用戶10G 主干上聯(lián)提供了條件。 此外，考慮到該項目網(wǎng)絡規(guī)模的龐大，神州數(shù)碼網(wǎng)絡提出了五層的結構，分別為接入層、匯聚層、策略管理層、核心層和邊界路由層，通過構建清晰的層次結構，便于管理。通

5、過分層思想使網(wǎng)絡有一個結構化的設計，針對每個層次進行模塊化的分析，對統(tǒng)一管理網(wǎng)絡和維護非常有幫助，也能夠充分體現(xiàn)神州數(shù)碼網(wǎng)絡公司的核心交換設備的高背板交換處理能力的優(yōu)越性特點。 在一期的建設中，神州數(shù)碼網(wǎng)絡建議在新、老校區(qū)之間增加邊界路由層，采用萬兆連接，保證網(wǎng)絡的暢通；新校區(qū)的兩臺核心之間采用4條千兆鏈路，形成全雙工8 G的帶寬；而新校區(qū)與大學城核心采用千兆連接，如果流量大時，可以通過鏈路聚合技術，將帶寬增加到2G或者4G，保證網(wǎng)絡的高速。 在網(wǎng)絡二期建設時，網(wǎng)絡擴容過程中只增加了萬兆模塊，將網(wǎng)絡升級到萬兆骨干，實現(xiàn)網(wǎng)絡的平滑升級，保護用戶的投資。 3D-SMP 由內(nèi)而外的安全 面對目前復雜

6、的校園網(wǎng)絡安全環(huán)境，華南理工大學項目采用了神州數(shù)碼網(wǎng)絡的3D-SMP。3D-SMP（Dynamic Distributed DefenseSecurity Management Policy）是目前國內(nèi)校園網(wǎng)方面最好的安全方案之一，又稱“動態(tài)分布式防御安全管理策略”。 3D-SMP保留了神州數(shù)碼網(wǎng)絡原有的D2SMP解決方案的特點，增加了設備之間的聯(lián)動能力，使網(wǎng)絡的安全管理比以往更加周密，反映的速度比以往更加迅速。 “動態(tài)”和“聯(lián)動”是3D-SMP的兩個核心的思想。“動態(tài)”是指3D-SMP可以針對不同的安全問題制定相應的策略，無論病毒什么時候、從什么網(wǎng)絡中哪個環(huán)節(jié)，以什么面目出現(xiàn)，系統(tǒng)都能調(diào)用安

7、全策略體系當中的合適手段，阻止事故的進一步發(fā)生。“聯(lián)動”是3D-SMP的精華，為解決信息安全孤島的問題，神州數(shù)碼網(wǎng)絡研發(fā)了SAOP（Security association operation protocol）安全聯(lián)動操作協(xié)議，SAOP協(xié)議具有良好的開放性和加密性，使得GSM、交換機、路由器、IDS和客戶端等網(wǎng)絡組件之間實現(xiàn)聯(lián)動，牽一發(fā)而動全身。 在分布式的構建上，神州數(shù)碼網(wǎng)絡率先提出了基于用戶的VLAN劃分的策略。形象地說，校園網(wǎng)管理者可以在系統(tǒng)中設定小李、小陳、小張等同學屬于“學生”的一個VLAN中，把老李、老陳、老張等老師設在另一個屬于“教師”的VLAN中，而不用考慮這些人處在校園網(wǎng)中

8、的哪個位置、是連到哪臺交換機的哪個口上，系統(tǒng)都會自動幫助用戶完成這些復雜的VLAN設定，有了這樣一個“基于用戶的VLAN”功能，可以非常方便的根據(jù)用戶權限的差別劃分一個個的“安全域”。因此，校園網(wǎng)管理者就可以基于不同的安全策略直接對不同的用戶進行操作，即使用戶移動了位置，他所連接的交換機端口變了，但他同樣還是會在原來其所在的“安全域”中，對他的所有安全策略完全生效。如此一來，那些充滿好奇心的學生也只能在其所在的“安全域”中活動，而無法進入學校的教師管理系統(tǒng)、財務管理系統(tǒng)等重要系統(tǒng)中，即使學生用戶感染病毒，也能有效地控制在其所在的“安全域”中，不會影響整網(wǎng)的安全。 實現(xiàn)“動態(tài)分布式防御安全管理策

9、略”依賴于神州數(shù)碼網(wǎng)絡基于高校校園網(wǎng)應用的全線網(wǎng)絡產(chǎn)品：分布式安全管理主要集中在匯聚層和接入層，神州數(shù)碼網(wǎng)絡則可提供包括新推出的DCRS-5824GX、DCRS-5512GC、DCRS-3926S/3950S、DCS-2000E系列等在內(nèi)的豐富網(wǎng)絡產(chǎn)品，這些產(chǎn)品在具備出色性能的同時，更重要的是都支持多種認證接入方式，同時結合其認證計費系統(tǒng)DCBI-2000、DCBI-3000和網(wǎng)管系統(tǒng)LinkManager，可完成對用戶接入認證的管理控制，幫助高校校園網(wǎng)實現(xiàn)運營。而目前神州數(shù)碼網(wǎng)絡產(chǎn)品在用戶認證方面做的十分周到，通過靈活的用戶信息多元綁定（帳戶、密碼、MAC地址、IP地址、交換機IP、接入端口、VLAN ID、DHCP SERVER等）技術，使得無論在校園網(wǎng)何處，