华中科技大学东校区学生宿舍网的建设目标是将学校新建的l5栋学生公寓共10,694个信息点连入校园网,进而访问Internet。
需求分析
l.核心交换设备要求具有强大的处理能力和良好的安全性、可靠性、可扩展性;支持各种成熟技术,未来能平滑升级到万兆。
2.接入层网络设备需要支持基于MAC地址802.1x功能和基于端口802.1x功能,以此保证账号的惟一性.同时,支持远程Te1net管理、mib-||及远程开关交换机端口功能;此外还要求适应大量用户并发认证及复杂的工作环境等。
3.要求能够实现对用户名、IP地址、MAC地址、交换机端口、交换机IP的同时绑定,以此杜绝非法用户恶意盗用合法用户的用户名、密码、IP和MAC等现象,确保计费工作。
4.解决用户私自架设代理服务器的现象。
5.支持标准Radius认证计费,可连接多种接入设备。一方面要求设备支持802.1x认证方式;另一方面又要求系统支持基于时长、流量以及包月的计费模式,从而为网络管理提供完善、灵活、可定制的计费策略;同时还需要保证30,000个以上用户并行时网络运营的稳定和管理简便。
6.网络必须具备高可靠、易管理等特征。
网络设计原则
学生宿舍网既有一般网络设计的特点,又有其特殊性,除了一般网络所必需的可靠性、稳定性和安全性等条件外,在进行学生宿舍网建设规划时,还应该考虑所有信息点的可控性、高性能以及关键业务的QoS保证等。另外在网络设计中,如何预留扩展空间和进行投资保护,以满足新应用的需求以及信息量增长和变化需要,也是学生宿舍网建设过程中需要重点考虑的因素。
在充分考虑学生宿舍网的多应用、易管理的同时,本方案同时还遵循如下原则:
1.高性能
构建宿舍网的组网技术必须是高带宽的组网技术。骨干交换设备必须支持线速交换,以保证无阻塞的数据交换;另外,从网络结构设计上,需要考虑到一些高流量多媒体应用的分布式部署,以降低跨骨干网的流量,提高网络的性能。
2.关键业务服务质量保证
宿舍网中有各种各样的应用业务数据流,当网络流量处于高峰期时,必定会影响关键业务数据流的响应时间,对于多媒体业务来说就会有说话结巴、图像马赛克的情况。因此,高性能的网络也还是需要QoS服务质量保证的。
3,信息点可控性
宿舍网的信息点分布很广,与一般企业网比较,宿舍网用户的流动性大,比较难管理,为了保证网络资料的有效利用,对信息点的可控性要求是必须的。除了对访问带宽限制,还必须提供基于用户的接入认证、授权和计费。为了不影响网络性能,应该在接入层设备分布式实现信息点的控制。
4.先进性
所选的设备必须具有很好的扩展性,当网络规模或带宽需要扩展时,能够以最小的代价满足新的需求。
5.可靠稳定性
可靠稳定的网络平台是应用业务系统得以实施和推广的基石。网络平台的设计必须从设备、网络拓扑结构、网络技术等几个方面保证网络的可靠稳定性。
6.安全性
宿舍网网络平台的安全,除了要保障网络平台的安全性,还需要在一定程度上保障应用业务系统和其它网络资源的安全。网络平台应该从几个方面保证网络安全:1)设备本身的访问安全;2)内部网之间资源访问安全;3)路由系统的安全;4)互联网访问安全。
网络解决方案
针对用户需求,我们采用了千兆骨干、百兆到桌面,整个网络采用分布式三层交换构架,具有超高的带宽和良好的可扩展、可管理性。
核心层:在网络核心层选用锐捷网络(原实达网络)自主研发的万兆核心交换机RG-S6806。RG-S6806具有256G的交换容量、143M的包转发率;最大可以支持8个万兆/96个千兆/128个百兆端口;硬件本身采用分布式交换体系,用硬件实现多种复杂功能,具有良好的可扩展性和超高的交换性能,不但可以满足目前的接入需求,同时也能满足未来发展的需要。
汇聚层:在楼栋汇聚层选用说捷网络的STAR-S3550系列三层交换机。通过在楼栋做本地分布式三层交换,大大减少了骨干网的负担。STAR-S3550系列交换机具有12.8/18.5Gbps的交换容量、6.6/10.1M的二、三层包转发率,保证所有端口的线速转发。同时,STAR-S3550还提供24/ 48个百兆电口、2个千兆扩展槽,通过L2 Trunk技术提供全 双工4G的主干带宽。
接入层:接入层选用锐捷网络的支持802.1x的千兆智能 交换机RG-S2126G/2150G。此款交换机具有超高的交换处理 能力和超强的接入控制能力,同时,作为智能交换机,它不 仅可以支持2-7层的智能交换,能识别各种应用流、数据流, 如:视频、语音等对网络延时、抖动要求较高的应用,还具 有全面的QoS保障体系,支持802.1P、DSCP数据标记技术,支持SP、WRR、CAR、WRED等队列及阻塞控制技术,可以为用户提供全程端到端的QoS保障。
安全计费:采用锐捷网络提供的安全认证计费解决方案结合接入层S2126G/S2150G交换机对学生接入控制进行管理。这样一来就为学校提供了四个重点服务:一是可以最大程度上做到分布认证,认证效率高;二是可以有效减少宿舍楼栋交换机的负担;三是能够对接入用户实行有效、全面、完整的控制;四是扩展性好,为大规模的用户认证计费提供了保障和技术基础。
网络管理:为了对整个网络的设备进行管理,建议配置STAR View网管系统。STAR View管理系统能提供整个网络的拓扑结构,能对以太网络中的任何通用1P设备、SNMP管理型设备进行管理,结合管理设备所支持的SNMP管理、Telnet管理、Web管理、RMON管理等构成一个功能齐全的网络管理解决方案,实现从网络级到设备级的全方位的网络管理。
网络方案特点
高性能
◆ 复杂功能硬件实现:核心的RG-S68O6硬件实现三层路由和交换,关键功能如ACL、QoS、策略路由等复杂功能均通过硬件实现。核心交换机RG-S68O6采用板卡智能分布式处理设计,用户接口模块可以独立实现路由、交换、ACL、QoS、收集用户信息等功能,这种分布式处理可以极大地提高整体处理能力。汇聚的STAR-S3550也是硬件实现三层交换、ACL以及QoS。
◆分布式三层交换:在汇聚层引入第三层交换,减轻核
心交换机的压力,可有效减少广播包,并提高网络传输效率。
◆超高背板保证所有数据包线速转发:本方案采用的核
心、汇聚、接入层交换机均具有超高的交换容量和二、三层
包转发率,确保所有数据线速转发。
智能化
◆端到端的QoS.由接入交换机到汇聚到核,b,全面覆 盖端口速率限制、应用流分类识别,关键业务流量带宽保证 等多层交换质量保证。
◆ 基于流的智能识别:全程基于交换机物理端口、MAC 地址、1P地址、TCP/UDP端口号来区分同的业务流。
◆ 基于流的带宽控制:全程基于交换机端口、MAC地 址、1P地址、协议、应用组合进行带宽限速。
高安全
◆ 全局网络安全:通过安全控制协议建立一种联动机 制,以Radius为核心,支持第三方的防火墙、IDS、安全交换 机联动起来,实现全局的网络安全。
◆事前的准确认证和身份定位:用户使用网络前,通过 用户帐号与IP、MAC、交换机P、端口、VLAN六元素的复合 绑定,对用户进行准确的身份认证,其中帐号与交换机以及 接入端口的绑定,实现了准确的用户定位。
◆事中的实时处理:当网络中有对受保护的关键服务器 或系统进行恶意攻击的时候,IDS入侵检测系统能够检测到发 起攻击的源IP地址,通过S-SCP安全控制协议,IDS实时将攻击源IP通知S-Radius,S-Radius在在线用户表中找到源恶意攻击者,通过SNMP协议将恶意攻击者剔除下线。这一整个过程实现了全自动的实时处理。
◆事后的完整审计:日志服务器记录有用户完整的访问记录,包括源1P、目的1P、源端口、目的端口、源MAC、目的MAC、访问开始时间、访问结束时间、发送流量、接受流量等,结合日志管理查询系统,可以进行快速完整的审计。
◆ 入网即认证:用户只要使用网络即要进行身份认证,保证只有申请开户的合法用户才可以使用网络。
◆强大的接入控制:对接入用户进行帐号与IP、MAC、交换机1P、端口、VLAN六元素的复合绑定同时实现帐号漫游。
高可靠
◆链路级冗余备份及负载均衡:核心的RG-S6806和汇聚的STAR-S3550除了支持传统的802.1d生成树协议外,同时支持最新的802.lw,802.1s生成树协议,在保证链路冗余的情况下,实现了两个链路间的负载均衡。
◆关键部件冗余.RG-S6806提供冗余的管理交换引擎、冗余的电源等关键部件的冗余,配合锐捷先进的RAPS(锐捷自动保护系统),实现系统高的稳定性和可靠性。
