随着我国高校信息化建设的不断深入,各高校用于校园网建设的各种投入也在不断增大,一种新型的“以网养网”运营模式开始越来越受到高校用户青睐,那就是利用现有的网络获取未来发展的必要资源,然后再投入到网络运行保障和新一轮网络建设,以此实现高校校园网的良性循环和可持续性发展。
东北大学与锐捷网络(原实达网络)携手共建的二期骨干网改造工程,采用了锐捷网络“高校SAM系统解决方案”,全面满足了东北大学校园网“安全、计费、管理”的应用需求。该项目在规划、建设上为我国高校校园网建设提供了有益的参考,下面就向大家介绍该项目的建设情况。
项目背景介绍:
东北大学作为首批列入国家“211工程”重点大学,也是我国较早加入教育信息化建设队伍的高校之一。经过几年的信息化建设,学校的教学、科研、图书馆等部门的网络建设已基本完成。
在以前,东北大学部分学生宿舍楼采用网关式认证和计费的模式建设宿舍网,但是随着宿舍楼入网率的提高,在学生高峰上网期,明显感觉到用户身份认证和上网速度奇慢无比,交纳网费的学生对网络速度也感到非常的不满意。为了进一步推动校园网建设的发展,扩大校园网的覆盖面,改善学生的学习条件,为学生创造一个更为便利的学习环境,因此东北大学决定启动该校二期骨干网项目。
具体项目实施
关于此项目的具体组网方案的制定,东北大学主要提出了五个方面的需求:
第一,在网络接入层,网络设备需要支持基于MAC地址802.1X功能和基于端口802.1X功能,以此保证账号的唯一性;此外还要求适应大量用户并发认证及复杂的工作环境等。
第二,能够有效解决用户盗用问题。学校园明确提出要求能够做到计费系统能够绑定用户名字、IP和MAC和交换机端口,以有效防止了盗用现象。
第三,能够解决用户恶意篡改IP的现象。本科生宿舍网经常存在一些恶意的学生利用宿舍网随意篡改自己的IP,学校要求必须解决这个IP恶意篡改的现象。
第四,解决用户私自假设软件代理或硬件代理的现象。在本科生宿舍网中,普遍存在着通过WIN GATE/SYGATE等软件代理、或双网卡硬件代理进行一个用户带动周围多用户上网的现象,这为网络计费带来了很大的困难。
第五,支持标准Radius认证计费,可连接多种接入设备。学校要求系统支持基于时长、流量以及包月的计费模式;从而为网络管理提供完善、灵活、可定制的计费策略。
通过细致的规划和多次论证,东北大学二期骨干网的建设方案最终确定采用锐捷网络提供的SAM全网解决方案及网络设备
在核心层、汇聚层、接入层分别采用了锐捷交换机STAR-S6808、STAR-S3550及STAR-S2024M、STAR-S1926G+,解决了以前学校网络中存在的问题,从网络的安全、稳定性、扩展性以及可管理性上都有很大的提升,达到了预计的效果。
首先,东北大学二期骨干网在核心层采用锐捷网络STAR-S6808交换机构成双核心模型,给网络安全加上双保险, 消除了单核心交换机网络安全隐患。在构筑校园网双核心的时候,锐捷网络通过VRRP+802.1W+OSPF协议来实现,有效解决了故障时及时切换、负载均衡、快速收敛等问题,极好的保证了整个校园网络路由的健壮性和可靠性。STAR-S6808背板带宽高达256G,二/三层包转发速率可达173Mpps,具有448个快速以太网端口和116个千兆端口,8个扩展槽、多种模块,为东北大学宿舍子网提供了智能交换的整合方案,并可根据学院日后的需求灵活配置,构建弹性可扩展的网络。
为了保证活动中心汇聚交换机STAR-S6808下面的用户(二舍东、二舍南、四舍、五舍、一舍西、一舍南、九舍和七舍)可以高速的交换数据,这两台汇聚交换机做了链路聚合,可以通过两台汇聚交换机STAR-S6808半双工带宽达到2G,全双工带宽达到4G,这样保证了宿舍网内部数据的高速交换,同时减缓了核心交换机的数据交换负荷。
通过以上分析,采用双核心交换机和双汇聚交换机改造东北大学校园网,这样从网络的安全和稳定性解决了以前网络中存在的隐患,同时为将来的网络扩展留下了充分的余地。
对于简易网管、安全接入和灵活计费等问题,在二期工程中也是重中之中:
宿舍的楼栋接入层全部采用锐捷网络增强网管型交换机STAR-S1924G+,该交换机通过多种网络管理方式,可以方便、有效地管理每一个断口。另外,锐捷网络提供的安全认证计费解决方案选择在接入交换机STAR-S1924G+上做认证计费,这样一来就为学校提供了是个重点服务:一是可以最大程度上做到分布认证,认证效率高;二是可以有效减少宿舍楼栋交换机的负担;三是能够对接入用户实行有效、全面、完整的控制;四是扩展性好,为大规模的用户认证计费提供了保障和技术基础。
此外,宿舍网络中心还选用了锐捷网络的专用网管软件StarView,实现了在网络中心对所有交换机进行集中配置和管理,把分布安装在不同地点的交换机及其配置、维护、升级等工作,全面管理起来,极大地提高了网络的综合管理能力。
项目设计特点
1、双核心网络架构保证高稳定。在本方案中采用了两个双核心模型,对网络的安全性与可靠性都有很高的提升。其中,VRRP协议主要是负责双核心交换机和双汇聚交换机中的某台交换机出现故障的时候,网络系统的虚拟网关能够快速切换;802.1W协议则保证了网络设备出现故障时,网络设备能够在3—4秒时间内能够快速收敛成功;OSPF协议主要保证了整个校园网络的路由表能够快速收敛,并具有负载均衡的功能,这样极好地保证了整个校园网络路由的稳定性和可靠性。
2、健全的安全机制提升系统安全性。STAR-SAM系统通过与防火墙、入侵监测系统IDS、安全接入交换机联动,实现了事前对接入用户的准确认证、事中的实时处理以及事后的完整审计为整个网络系统提供全面的安全保障。
3、大规模用户接入控制能力。STAR-SAM系统与锐捷网络安全接入交换机的配合可以实现对用户账号与IP、MAC、接入交换机IP、接入端口、VLAN ID六元素的任意绑定,提供强大而灵活的用户身份认证功能。此外,锐捷网络STAR-S1924G+交换机具有对数据包中的MAC地址高效控制和过滤功能,可以通过设置静态MAC地址锁、动态MAC地址锁和MAC地址过滤等功能,达到对接入用户的有效控制。
4、完美的解决IP地址冲突问题。STAR-SAM系统提供一套完满的静态IP和动态IP冲突的解决方案,可以限制用户使用固定的IP地址、限制只能使用DHCP动态获得IP地址、限制只能是静态设置IP地址,通过认证时的账号与IP地址绑定以及IP属性校验,使得IP冲突不再发生。
5、完善强大的认证计费体系。锐捷网络提供的认证计费系统,可以实现包月性计费、计时长、计流量、预付费、卡业务等多种计费策略,支持账号唯一性认证和账号到期自动停用,具备打印账单功能;全面满足了学校对认证计费系统安全、灵活、易管理、高速和可靠等五个方面的要求。
6、轻松运营管理。方案通过StarView实现对网络硬件设备的有效管理与维护,通过STAR-SAM系统将网络的设备管理、用户管理、计费管理以及日志管理集中在同一个平台,实现轻松的运营管理和维护。从整体而言,建成的校园网能够实现对标准的网管设备的轻松管理;日志管理实现对日志数据的管理和查询,通过源IP、源MAC、目的IP、源端口、目的端口等单个或多个组合的关键字进行快速查询,实现完整审计,以保障网络和信息的安全。
项目实施效果评估
为了进一步了解该项目建成后的运行情况,锐捷网络回访了东北大学网络中心相关负责人,了解到,锐捷网络产品STAR-S6808、S3550系列、S2024M和S1924G+,及认证计费SAM系统已经正式投入了使用,运行稳定,测试情况非常好,认证成功率高,完全解决了该校提出的“安全、计费、管理、高速和可靠”五个问题,学生用户及网络中心老师对该系统都非常满意。整套方案具有良好的功能和性能指标,同时具有极高的安全性和可靠性,是一个完整的高性价比的计费系统解决方案。网络中心负责人还特别指出,锐捷网络完善的802.1X安全接入认证技术以及完善的网管和计费功能是东北大学选择锐捷网络的主要原因。
(转载自赛迪网)
|