華南理工校園網項目解決方案

領測軟件測試網

　　 

校園網已經成為高等院校最重要的學習和生活設施。隨著網絡的高速發展，網絡的安全問題日益突出。

主要集中在兩個方面，一是象華南理工這樣的全國知名院校，師生數萬人，面臨著校園網帶寬的不斷挑戰，二是隨著網絡應用的豐富，黑客、病毒泛濫造成的一次次慘重代價，校園網的安全性受到前所未有的關注。校園網的建設和安全改造始終是一個熱點，在這方面神州數碼網絡為華南理工大學建設的校園網項目有許多值得借鑒的地方。

帶寬與安全 華南理工的雙重需求

華南理工大學南校區現有網絡用戶已經超過10000人，網絡計劃容量為25000用戶，要充分滿足學校內部教學、科研、工作、生活所需要的高速、高安全、高性能網絡系統要求，保證每一個上網端口都能夠達到高速率，因而整個網絡系統核心層承受的壓力非常大，萬兆應用顯然是必然之舉。

另外，校園網一個典型的特征就是應用非常豐富，電影點播，在線音樂、視頻聊天、大量軟件下載等等，造成網絡的負載非常重，而攻擊網絡的病毒不斷泛濫，以及學生“好事者”也會有意的攻擊網絡，他們往往并非為了某種“惡毒”的目的來攻擊網絡，而是出于好奇或者“表現”。如此繁重的網絡一旦因攻擊而造成癱瘓，損失將會是很大的。因此，作為校園網的管理方，網管希望省事，即便有人攻擊也能安全無事，隨時都可以屏蔽不老實的用戶；校方希望安全運營，不會出現網絡癱瘓或者計費系統故障。

五層的結構+萬兆核心

根據學校的實際情況，結合多年服務高校的經驗，神州數碼網絡認為在網絡建設過程中，要把握一個重點、一個難點的解決，確�！耙淮温酚�，多次交換”、“路由等于交換”，并采用高核心設備和接入設備完成接入，才能將整個網絡建設的更有生命力。因此神州數碼網絡以3臺神州數碼高性能的、具有電信級網絡安全性能的核心路由交換機MG8，為網絡提供整個高速網絡骨干交換子平臺的核心交換，并采用信息中心放置2臺MG8核心交換機組成一個雙機熱備份的核心交換機系統解決方案。

神州數碼DCRS-MG8來提供整個網絡系統核心路由、交換的需要，所有模塊實現熱插拔、端口冗余、鏈路冗余、電源冗余、802.1W(802.1S)環路、散熱冗余等安全解決方案，充分滿足核心交換機具有的電信級網絡安全。另外核心交換機系統為整個校園網提供核心的交換、路由，對其自身的性能也是非常高，神州數碼核心路由交換機MG8 提供1.28Tpbs 的背板交換容量，實現L2/L3/L4多層包轉發率是480MPPS，為核心交換機最大可容納的模塊數8個、最大1000M以太網端口數320個、最大10G 太網端口數32個等強大的、高帶寬的網絡接口連接，為現在校園網中所有教學樓、宿舍等樓棟內網絡用戶10G 主干上聯提供了條件。

此外，考慮到該項目網絡規模的龐大，神州數碼網絡提出了五層的結構，分別為接入層、匯聚層、策略管理層、核心層和邊界路由層，通過構建清晰的層次結構，便于管理。通過分層思想使網絡有一個結構化的設計，針對每個層次進行模塊化的分析，對統一管理網絡和維護非常有幫助，也能夠充分體現神州數碼網絡公司的核心交換設備的高背板交換處理能力的優越性特點。

在一期的建設中，神州數碼網絡建議在新、老校區之間增加邊界路由層，采用萬兆連接，保證網絡的暢通；新校區的兩臺核心之間采用4條千兆鏈路，形成全雙工8 G的帶寬；而新校區與大學城核心采用千兆連接，如果流量大時，可以通過鏈路聚合技術，將帶寬增加到2G或者4G，保證網絡的高速。

在網絡二期建設時，網絡擴容過程中只增加了萬兆模塊，將網絡升級到萬兆骨干，實現網絡的平滑升級，保護用戶的投資。

3D-SMP 由內而外的安全

面對目前復雜的校園網絡安全環境，華南理工大學項目采用了神州數碼網絡的3D-SMP。3D-SMP（Dynamic Distributed Defense——Security Management Policy）是目前國內校園網方面最好的安全方案之一，又稱“動態分布式防御安全管理策略”。 3D-SMP保留了神州數碼網絡原有的D2SMP解決方案的特點，增加了設備之間的聯動能力，使網絡的安全管理比以往更加周密，反映的速度比以往更加迅速。

“動態”和“聯動”是3D-SMP的兩個核心的思想�！皠討B”是指3D-SMP可以針對不同的安全問題制定相應的策略，無論病毒什么時候、從什么網絡中哪個環節，以什么面目出現，系統都能調用安全策略體系當中的合適手段，阻止事故的進一步發生�！奥搫印笔�3D-SMP的精華，為解決信息安全孤島的問題，神州數碼網絡研發了SAOP（Security association operation protocol）安全聯動操作協議，SAOP協議具有良好的開放性和加密性，使得GSM、交換機、路由器、IDS和客戶端等網絡組件之間實現聯動，牽一發而動全身。

在分布式的構建上，神州數碼網絡率先提出了基于用戶的VLAN劃分的策略。形象地說，校園網管理者可以在系統中設定小李、小陳、小張等同學屬于“學生”的一個VLAN中，把老李、老陳、老張等老師設在另一個屬于“教師”的VLAN中，而不用考慮這些人處在校園網中的哪個位置、是連到哪臺交換機的哪個口上，系統都會自動幫助用戶完成這些復雜的VLAN設定，有了這樣一個“基于用戶的VLAN”功能，可以非常方便的根據用戶權限的差別劃分一個個的“安全域”。因此，校園網管理者就可以基于不同的安全策略直接對不同的用戶進行操作，即使用戶移動了位置，他所連接的交換機端口變了，但他同樣還是會在原來其所在的“安全域”中，對他的所有安全策略完全生效。如此一來，那些充滿好奇心的學生也只能在其所在的“安全域”中活動，而無法進入學校的教師管理系統、財務管理系統等重要系統中，即使學生用戶感染病毒，也能有效地控制在其所在的“安全域”中，不會影響整網的安全。

實現“動態分布式防御安全管理策略”依賴于神州數碼網絡基于高校校園網應用的全線網絡產品：分布式安全管理主要集中在匯聚層和接入層，神州數碼網絡則可提供包括新推出的DCRS-5824GX、DCRS-5512GC、DCRS-3926S/3950S、DCS-2000E系列等在內的豐富網絡產品，這些產品在具備出色性能的同時，更重要的是都支持多種認證接入方式，同時結合其認證計費系統DCBI-2000、DCBI-3000和網管系統LinkManager，可完成對用戶接入認證的管理控制，幫助高校校園網實現運營。而目前神州數碼網絡產品在用戶認證方面做的十分周到，通過靈活的用戶信息多元綁定（帳戶、密碼、MAC地址、IP地址、交換機IP、接入端口、VLAN ID、DHCP SERVER等）技術，使得無論在校園網何處，都能準確識別用戶身份，從而做到從設備管理到用戶管理的層面。

與此同時，在抵御網絡的攻擊方面，神州數碼網絡的DCFW-1800S/E/G三個系列智能防御網關值得一提，其結合最新的網絡安全技術及基于NP架構的設計，可保障非法攻擊止步于其之外，可謂一夫當關，萬夫莫開，使整個校園網顯得安全、有序。

文章來源于領測軟件測試網 http://www.kjueaiud.com/