为适应新世纪教育发展的需要、推动大学的教育网络化进程,建立一个高带宽、高速率的数字化校园网络势在必行。
一、校园网现状
北京工商大学的东区和西区的部分单位已相继建成局域网。西区计算中心位于教一楼的四、五层,三个教室建成了三套多媒体视听网络教学系统,系统为Hiclass,共有150个终端。东区计算中心位于耕耘楼配楼三层,已建成100兆交换以太网,10兆到桌面,系统为Windows NT和Novell,共140台。西区图书馆已建成局域网,10兆共享以太网,系统为Window NT,共12个终端,需要用光纤接入校园网。东区图书馆已建成10兆交换以太网,系统为Windows NT,共24个终端,光纤到楼。信息工程学院位于耕耘楼七层的学生气房,为10兆共享以太网,系统为Windows NT和Novell,100个终端。机械自动化学院位于耕耘楼配楼四层的学生气房,10兆共享以太网,系统为Windows NT,40个终端。
为此,工商大学需要建网的单位有教学区的耕耘楼、化工楼、教一楼、教学实验楼、图书馆以及综合楼、外事楼、科教楼。
二、网络规划与设备配置
1. 交换机配置
交换机的选型在一定程度上和我们采用的网络拓扑结构有关。考虑到北京工商大学有东、西两个校区,而且科教楼(东区)和综合楼(西区)信息点较多,我们建议采用环型和星型结合的网络拓扑结构。这样一来不但从布线的成本上可以节省开支,而且骨干链路也实现了冗余。学校将来要重点建设的图书馆系统在这次工程中仅提供了交换机,同时配置了三层交换机,为将来的图书馆建设提供了较大的灵活性。
网络中心(耕耘楼配楼)及耕耘楼主楼配置智能交换路由器XP-8600(SmartSwitch Router 8600,包括16个插槽机箱、1个交换矩阵卡、标准风扇)、SSR-PS-16智能交换路由器8600交流电源、SSR-CM3-128智能交换路由器8000/8600 的128MB内存的控制模块。同时采用的还有SSR-HTX32-16和 SSR-GSX31-04快速以太网模块、VH-4802快速以太网治理独立交换机、VHIM1000-S1TX 1个端口的 1000Base T上行链路调制器、VH-2402SM上行链路独立交换机、VHIM1000-S1TX调制器。
东、西图书馆网络系统配置VH-2402第2、3层独立交换机、VHIM-2GSX-L3三层上行链路模块。由于在本次招标项目中对图书馆建设不做考虑,仅提供交换设备,因此我们建议均采用VH-2402L3路由交换机、边缘三层交换,因为图书馆的应用往往是仅次于网络中心的。
科教楼配置XP2100智能交换路由器2100、VH-2402SM上行链路独立交换机、VH-STACK Vertical Horizon 可堆栈式交换机模块、VHIM1000-S1SX Vertical Horizon 系列上行链路调制器、VH-4802快速以太网治理独立交换机、VHIM1000-S1SX Vertical Horizon 系列上行链路调制器。
采用XP2100可与网络中心、综合楼XP-8600连接成环状结构,实现物理和逻辑上的双冗余, 提供丰富的千兆端口,为连接到骨干的二级单位提供了扩展性,采取就近原则,西区的二级单位直接接入XP2100,节省了布线费用,减轻了XP-8600负载。XP-8600作为出口交换机,它提供的工作应该是高速的路由转发,这样才能体现它的价值,对于内部的访问控制将由具有与它同样功能的XP-2100来完成。2台VH-2402堆叠和1台VH-4802分别放置在不同的楼层满足高信息点数的需求。
综合楼配置智能交换路由器XP-8600(SmartSwitch Router 8600)、SSR-PS-16智能交换路由器8600交流电源、SSR-CM3-128智能交换路由器8000/8600 的128MB内存的控制模块、SSR-RS-ENT智能交换路由器系统支撑软件、SSR-GTX32-04千兆以太网模块、VH-4802快速以太网治理独立交换机。
XP-8600作为东区的核心交换机,它与东区的XP-2100、XP-8600环路连接,同时提供东区二级单位的连接,节省布线的费用。
教学实验楼、外事楼、教一楼配置VH-4802快速以太网治理独立交换机和VHIM1000-S1SX Vertical Horizon 系列上行链路调制器,每楼1台VH-4802均以千兆连接到综合楼。阶梯教室、化工楼配置VH-2402SM上行链路独立交换机等。每楼1台VH-2402分别以千兆连接到耕耘楼和科教楼。
2. 网络安全
Enterasys公司的网络卫士防火墙既支持Internet网络的主要服务(如Web、E-mail、FTP、Telnet等)和基于TCP协议的所有应用程序,又支持UDP一类的非连接协议的应用程序。而且,还支持Real Audio、VDOLive和Internet Phone这样的多媒体应用程序,使用防火墙后不会出现服务失效的负作用。
该产品也支持对公开服务器的安全保护。
为适应越来越多的用户向Internet提供服务时对服务器保护的需要,网络卫士防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它可以将一个端口配置成SSN,即把对外服务器作为一个独立网络处理,对外服务器既是内部网的一部分,又与内部网关完全隔离。SSN方法提供的安全性要比传统的DMZ方法好得多,因为SSN与外部网之间有防火墙保护,SSN与内部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。一旦SSN遭破坏,内部网络仍处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露在攻击之下。
Internet用户通过一次性认证方式就可以通过防火墙访问内部网络,由于采用一次性口令认证机制,即使窃听者在网络上截取到口令,也无法通过这个口令与内部网建立连接。防火墙可以提供用户级权限控制,提供流量统计与控制功能,提供双机热备份与负载均衡,提供防火墙日志、审计,提供对防火墙配置规则测试的功能,支持防火墙系统支持与其他厂家的路由器或交换机互连互通,支持透明接入与透明连接,不影响原有网络设计和配置,支持本地和远程治理两种方式,支持命令行和GUI方式的治理和配置。
(Enterasys公司供稿)