近年來，隨著我國高校信息化建設的不斷深入，高校網(wǎng)絡建設的規(guī)模也在不斷擴大，如何構(gòu)建高效、穩(wěn)定、易管理的萬兆校園網(wǎng)，增強校園網(wǎng)的安全性和可控性，已經(jīng)成為高等院校網(wǎng)絡管理人員面臨的重點課題。針對這些問題，國防科技大學在校園網(wǎng)改造工程項目中，選用了銳捷網(wǎng)絡“萬兆＋第二代SAM系統(tǒng)”的整體解決方案，建成了國內(nèi)領(lǐng)先的集高效、安全、穩(wěn)定、靈活、可控、易管理于一體的智能型萬兆校園網(wǎng)。該項目從規(guī)劃、設計到建設的整個過程，對于國內(nèi)高校校園網(wǎng)的建設具有良好的示范意義和借鑒作用。
前瞻：國防科技大醞釀校園網(wǎng)改造
座落在古城長沙的國防科學技術(shù)大學是一所直屬中央軍委的綜合性大學，是首批進入國家“211工程”和“985工程”建設并獲中央專項經(jīng)費支持的國家重點院校之一，擁有先進的教學、科研實驗條件和公共服務體系。為了貫徹落實科教興國和科技強軍的戰(zhàn)略決策，努力創(chuàng)建具有我軍特色的世界一流大學，國防科技大學決定對原有校園網(wǎng)進行改造。
經(jīng)過一系列的勘察、討論，國防科技大學專家結(jié)合自身需求對要實現(xiàn)的功能進行了細致的總結(jié)，以求最優(yōu)化的組網(wǎng)方案的出臺。專家們認為改造后的核心交換機要有萬兆擴展能力，除了引擎、電源可以冗余外，在設計上還保證具有高可靠性；在穩(wěn)定性上，要求在開啟大量ACL后核心交換機的性能基本不受影響，包轉(zhuǎn)發(fā)率依然線速；在易管理和可控性方面，需要做到無論交換機承載多大數(shù)據(jù)量，網(wǎng)管員可隨時登陸到設備上進行管理和維護，并且在不更換接入設備的情況下，能夠有效的對接入用戶進行全網(wǎng)控制；另外，還要解決用戶IP地址沖突問題，全程動態(tài)綁定用戶IP+MAC，以確保用戶在訪問網(wǎng)絡時身份唯一，要能夠區(qū)分用戶權(quán)限，并且使用戶訪問內(nèi)網(wǎng)不需要認證，而訪問外網(wǎng)需要認證；同時，能夠基于802.1X認證的前提下，實現(xiàn)用戶免手動安裝客戶端軟件，能夠有效記錄用戶上網(wǎng)的信息等等。
合力：國防科技大學與銳捷網(wǎng)絡共舞
毋庸置疑，國防科技大學此次校園網(wǎng)改造工程任務重大，經(jīng)過細致的規(guī)劃和多次論證，明確了此次校園網(wǎng)改造工程的具體要求和目標。作為服務商的銳捷網(wǎng)絡在深入、細致、透徹地了解了目標和要求的基礎(chǔ)上，為國防科技大學制定了完善的解決方案。

如圖所示，整個校園網(wǎng)分為三層架構(gòu)，全網(wǎng)采用銳捷新一代多業(yè)務萬兆核心路由交換機RG-S6810E，負責全網(wǎng)的數(shù)據(jù)交換，同時，其硬件策略路由功能為學校的出口規(guī)則提供了靈活的設置，此外核心交換機硬件的IPv6功能為學校接入CERNET2提供了無縫連接；北院采用銳捷全模塊化核心路由交換機STAR-S6808，負責北院的接入；在接入層設備不變的情況下，更換了現(xiàn)有的匯聚層設備，采用銳捷網(wǎng)絡安全智能多層交換機STAR-S3550-24和安全智能交換機STAR-S2126G。
RG-SAM系統(tǒng)的實施很好地解決了困擾學校已久的系列問題：極大程度的杜絕了用戶間IP地址沖突；不用在每臺機器上安裝客戶端軟件即可實現(xiàn)用戶的身份認證，大大減少了網(wǎng)管員的維護工作量；有效防止校園網(wǎng)與內(nèi)網(wǎng)的非法互連；全程動態(tài)的綁定IP、MAC地址，有效確保網(wǎng)絡安全；根據(jù)不同用戶的權(quán)限設定不同的訪問規(guī)則；強大的日志功能，為網(wǎng)管員的事后查詢提供充足的證據(jù)；讓網(wǎng)管老師足不出戶即可遠程判斷用戶不能上網(wǎng)的原因，解決了以往網(wǎng)管難、維護難的問題。
六位一體：校園網(wǎng)智能翱翔
國防科技大學此次校園網(wǎng)改造，建成了國內(nèi)領(lǐng)先的集高效、安全、穩(wěn)定、靈活、可控、易管理于一體的智能型萬兆校園網(wǎng)：
高效：銳捷網(wǎng)絡采用RG-S6810E新一代多業(yè)務萬兆核心路由交換機，整機可支持32個萬兆端口的線速轉(zhuǎn)發(fā)。
安全：銳捷網(wǎng)絡SAM系統(tǒng)與安全交換機結(jié)合，采用OPTION82的功能能夠全程動態(tài)自動綁定用戶的IP+MAC和交換機端口，確保用戶訪問網(wǎng)絡時身份唯一；根據(jù)不同用戶設定了不同的訪問權(quán)限；用戶在訪問內(nèi)網(wǎng)資源時不需要認證，訪問外網(wǎng)必須認證；能夠有效記錄用戶的上網(wǎng)行為，做到事后審計等，確保了信息的安全。
穩(wěn)定可靠：核心交換機除了具有引擎冗余、電源冗余、模塊可熱拔插之外，還具有SPOH、LPM+HDR以及三平面分離技術(shù)，確保核心交換機的穩(wěn)定性。其中，SPOH技術(shù)確保用戶在開啟大量ACL時，核心交換機性能基本不受影響，依然提供線速轉(zhuǎn)發(fā)的能力；三平面分離技術(shù)確保核心交換機在出現(xiàn)死機的情況下，網(wǎng)管員依然可以遠程登陸交換機查看導致死機的原因，對設備進行管理和維護。
可控:在匯聚層對用戶進行身份認證，確保對全網(wǎng)用戶進行有效控制。
易管理：不論用戶采用動態(tài)獲得IP還是靜態(tài)指定IP，該方案都能夠有效解決用戶IP地址沖突問題，減少網(wǎng)絡管理員的維護工作量。針對辦公區(qū)的特點，在基于802.1x認證技術(shù)的前提下，可讓用戶免手動安裝客戶端軟件，減少了客戶端的麻煩和管理員的維護工作量。
改建后的國防科技大學新一代萬兆校園網(wǎng)不僅在充分支持現(xiàn)有業(yè)務(視頻、語音和數(shù)據(jù))的基礎(chǔ)上，實現(xiàn)了對IPv6和MPLS、load balancing、NAT、VPN、Firewall、web cache redirect等各種功能的擴展支持，很好地滿足了學�，F(xiàn)有和未來的需求，而且在啟用策略路由功能后，各核心交換機的CPU利用率均小于3％。新建成的校園網(wǎng)絡在穩(wěn)定性、安全性、可運營管理等各方面都充分滿足了學校的需要，為國防科學技術(shù)大學信息化建設的發(fā)展演繹了精彩的一頁。

標簽： 安全 大數(shù)據(jù) 服務商 權(quán)限 網(wǎng)絡 網(wǎng)絡安全 問題 信息化 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。