說明：

　　1.方案采用銳捷網絡提供的網絡設備進行設計，充分遵循：

　　先進性：采用先進成熟的概念、技術和方法，能支撐各種現(xiàn)在與未來一段時期的主流網絡應用，又具有發(fā)展?jié)摿?，包括基礎方案、擴展方案和管理方案。

　　可行性：所設計的方案能夠充分考慮網絡教育的特點和應用對象的技術、資源、管理等方面的約束，并能很好地結合銳捷網絡產品特點進行方案的設計。

　　靈活性：按照模塊化、層次化的原則設計網絡，網絡具有較好的伸縮性、可以根據(jù)網絡建設的不同階段靈活配置和擴展，具有能不斷吸收新技術、新方法的功能。

　　實用性：網絡易維護、易管理，可實施性好。

　　可靠性：能利用產品自身特色，保證網絡系統(tǒng)運行穩(wěn)定可靠、高效。充分顯示先進性等；

　　2.該設計方案并非實際已建設的實際案例。
　

　　一、 前言

　　隨著Internet的迅猛發(fā)展及教育網絡基礎建設的全面實施，高校信息化、網絡化為學校的騰飛與發(fā)展創(chuàng)造了新的契機。為了進一步推動華中科技大學信息化的建設，擴大校園網的覆蓋面，改善東校區(qū)學生學習條件，為學生創(chuàng)造一個更為便利的學習環(huán)境，在已有校園網建設的基礎上，本文提出并討論本校東校區(qū)學生宿舍網建設解決方案。

　　華中科技大學東校區(qū)學生宿舍網本期工程的建設目標是，將學校新建的的15棟韻苑學生公寓共10694個信息點連入校園網，本期項目完成后，東校區(qū)的學生將和主校區(qū)一樣，每一個學生都可以在宿舍訪問校園網并進而訪問Internet。

　　二、 需求分析

　　1． 核心交換設備要求具有強大的處理能力和良好的安全、可靠性、可擴展性；支持各種成熟技術，未來能平滑升級到萬兆。

　　2． 接入層網絡設備需要支持基于MAC地址802.1X功能和基于端口802.1X功能，以此保證賬號的唯一性；同時，支持遠程telnet管理、mib-II及遠程開關交換機端口功能；此外還要求適應大量用戶并發(fā)認證及復雜的工作環(huán)境等。

　　3． 要求能夠實現(xiàn)對用戶名、IP地址、MAC地址、交換機端口、交換機IP的同時綁定，以此杜絕非法用戶惡意盜用合法用戶的用戶名、密碼、IP和MAC等現(xiàn)象，確保計費工作。

　　4． 解決用戶私自架設代理服務器的現(xiàn)象。

　　5． 支持標準Radius認證計費，可連接多種接入設備。一方面要求設備支持802.1x認證方式；另一方面又要求系統(tǒng)支持基于時長、流量以及包月的計費模式；從而為網絡管理提供完善、靈活、可定制的計費策略；同時還需要保證30000個以上用戶并行時網絡運營的穩(wěn)定和管理簡便。

　　6． 網絡必須具備高可靠、易管理等特征。

　　三、 網絡設計原則

　　學生宿舍網既有一般網絡設計的特點，又有著其特殊性，除了一般網絡所必需的可靠性、穩(wěn)定性和安全性等條件外，在進行學生宿舍網建設規(guī)劃時，還應該考慮所有信息點的可控性、高性能以及關鍵業(yè)務的QoS保證等。另外在網絡設計中，如何預留擴展空間和進行投資保護，以滿足新應用的需求以及信息量增長和變化需要，也是學生宿舍網建設過程中需要重點考慮的因素。

　　在充分考慮學生宿舍網的多應用、易管理的同時，本方案同時還遵循如下原則：

　　1） 高性能

　　構建宿舍網網絡的組網技術必須是高帶寬的組網技術；骨干交換設備必須支持線速交換，以保證無阻塞的數(shù)據(jù)交；另外從網絡結構設計上，需要考慮到一些高流量多媒體應用的分布式部署，以降低跨骨干網的流量，提高網絡的性能。

　　2） 關鍵業(yè)務服務質量保證

　　宿舍網中有各種各樣的應用業(yè)務數(shù)據(jù)流，當網絡流量處于高峰期時，必定會影響關鍵業(yè)務數(shù)據(jù)流的響應時間，對于多媒體業(yè)務來說就會有說話結巴、圖像馬賽克的情況。因此高性能的網絡，也還是需要QOS服務質量保證的。

　　3） 信息點可控性

　　宿舍網的信息點分布很廣，與一般企業(yè)網比較，宿舍網用戶的流動性大，比較難管理，為了保證網絡資料的有效利用，對信息點的可控性要求是必須的。除了對訪問帶寬限制，還必須提供基于用戶的接入認證、授權和計費。為了不影響網路性能，應該在接入層設備分布式實現(xiàn)信息點的控制。

　　4） 先進性

　　所選的設備必須具有很好的擴展性，當網絡規(guī)?；驇捫枰獢U展時，能夠以最小的代價滿足新的需求。

　　5） 可靠穩(wěn)定性

　　可靠穩(wěn)定的網絡平臺，是應用業(yè)務系統(tǒng)得以實施和推廣的基石。網絡平臺的設計必須從設備、網絡拓撲結構、網絡技術等幾個方面保證網絡的可靠穩(wěn)定性。

　　6） 安全性

　　宿舍網網絡平臺的安全，除了要保障網絡平臺的安全性，還需要在一定程度上保障應用業(yè)務系統(tǒng)和其它網絡資源的安全。網絡平臺應該從幾個方面保證網絡安全：1）設備本身的訪問安全；2）內部網之間資源訪問安全；3）路由系統(tǒng)的安全；3）互聯(lián)網訪問安全。

　　四、 網絡解決方案

　　針對用戶需求，我們采用了千兆骨干、百兆到桌面，整個網絡采用分布式三層交換構架。具有超高的帶寬和良好的可擴展、可管理性。具體網絡拓撲見下圖：

　　核心層：在網絡核心層選用銳捷網絡（原實達網絡）自主研發(fā)的萬兆核心交換機RG-S6806。RG-S6806具有256G的交換容量，143M的包轉發(fā)率；最大可以支持8個萬兆/96個千兆/128個百兆端口；硬件本身采用分布式的交換體系，且多種復雜功能硬件實現(xiàn)，具有良好的可擴展性和超高的交換性能。不但可以滿足目前的接入需求，同時也可以滿足未來發(fā)展的需要。

　　匯聚層：在樓棟匯聚層我們選用銳捷網絡的STAR-S3550系列三層交換機；通過在樓棟做本地分布式三層交換，大大減少了骨干網的負擔。STAR-S3550系列交換機具有12.8/18.5Gbps的交換容量，6.6/10.1M的二、三層包轉發(fā)率，保證所有端口的線速轉發(fā)。同時STAR-S3550還提供24/48個百兆電口、2個千兆擴展槽，通過L2 Trunk技術提供全雙工4G的主干帶寬。

　　接入層：接入層我們選用銳捷網絡的支持802.1x的千兆智能交換機RG-S2126G/2150G；此款交換機具有超高的交換處理能力和超強的接入控制能力，同時作為智能交換機，它不僅可以支持2－7層的智能交換，能識別各種應用流、數(shù)據(jù)流如視頻、語音等對網絡延時、抖動要求較高的應用；還具有全面的QoS保障體系，支持802.1P、DSCP數(shù)據(jù)標記技術，支持SP、WRR、CAR、WRED等隊列及擁塞控制技術，可以為用戶提供全程端到端的QoS保障。

　　安全計費：我們采用基于802.1x技術的SAM系統(tǒng)結合接入層S2126G/S2150G交換機對學生接入控制進行管理。

　　銳捷網絡提供的安全認證計費解決方案選擇在接入交換機STAR-S2126G/S2150G上做認證計費，這樣一來就為學校提供了四個重點服務：一是可以最大程度上做到分布認證，認證效率高；二是可以有效減少宿舍樓棟交換機的負擔；三是能夠對接入用戶實行有效、全面、完整的控制；四是擴展性好，為大規(guī)模的用戶認證計費提供了保障和技術基礎。

　　網絡管理：為了對整個網絡的設備進行管理，建議配置STAR View網管系統(tǒng)。

　　STAR View管理系統(tǒng)能提供整個網絡的拓撲結構，能對以太網絡中的任何通用IP設備、SNMP管理型設備進行管理，結合管理設備所支持的SNMP管理、Telnet管理、Web管理、RMON管理等構成一個功能齊全的網絡管理解決方案，實現(xiàn)從網絡級到設備級的全方位的網絡管理。STAR View可以對整個網絡上的網絡設備進行集中式的配置、監(jiān)視和控制，自動檢測網絡拓撲結構，監(jiān)視和控制網段和端口，以及進行網絡流量的統(tǒng)計和錯誤統(tǒng)計，網絡設備事件的自動收集和管理等一系列綜合而詳盡的管理和監(jiān)測。通過對網絡的全面監(jiān)控，網絡管理員可以重構網絡結構，使網絡達到最佳效果。

　　五、 網絡方案特點

　　1 高性能

　　千兆主干，百兆交換到桌面：核心選用可支持萬兆技術的交換平臺，主干采用千兆，百兆交換到桌面，滿足大容量、高速率的數(shù)據(jù)傳輸。

　　復雜功能硬件實現(xiàn):核心的RG-S6806不僅硬件實現(xiàn)三層路由和交換, 關鍵功能, 如ACL、QOS、策略路由等復雜功能均通過硬件實現(xiàn)，匯聚的STAR-S3550也是硬件實現(xiàn)三層交換、ACL以及QoS，特別是核心交換機RG-S6806采用板卡智能分布式處理設計，用戶接口模塊可以獨立實現(xiàn)路由、交換、ACL、QOS、收集用戶信息等功能，這種分布式處理可以極大地提高整體處理能力。

　　分布式三層交換：在匯聚層引入第三層交換，減輕核心交換機的壓力，可有效減少廣播包，并提高網絡傳輸效率；

　　超高背板保證所有數(shù)據(jù)包線速轉發(fā)：本方案采用的核心、匯聚、接入層交換機均具有超高的交換容量和二、三層包轉發(fā)率，確保所有數(shù)據(jù)線速轉發(fā)。

　　分布式認證、認證報文與業(yè)務數(shù)據(jù)流分離：基于802.1X的銳捷安全認證管理系統(tǒng)，由每一個接入層的安全交換機承擔對接入用戶的認證，采用認證報文與業(yè)務數(shù)據(jù)流分離技術，實現(xiàn)網絡的高速傳輸無瓶頸。

　　2 智能化

　　端到端的QoS：由接入交換機到匯聚到核心，全面覆蓋端口速率限制、應用流分類識別，關鍵業(yè)務流量帶寬保證等多層交換質量保證；

　　基于流的智能識別：全程基于交換機物理端口、MAC地址、IP地址、TCP/UDP端口號來區(qū)分同的業(yè)務流；
　　基于流的帶寬控制：全程基于交換機端口、MAC地址、IP地址、協(xié)議、應用組合進行帶寬限速；

　　3 高安全

　　全局網絡安全：通過安全控制協(xié)議建立一種聯(lián)動機制，以Radius為核心，支持第三方的防火墻、IDS、安全交換機聯(lián)動起來，實現(xiàn)全局的網絡安全；

　　事前的準確認證和身份定位：用戶使用網絡前，通過用戶帳號與IP、MAC、交換機IP、端口、VLAN六元素的復合綁定，對用戶進行準確的身份認證，其中帳號與交換機以及接入端口的綁定，實現(xiàn)了準確的用戶定位。

　　事中的實時處理：當網絡中有對受保護的關鍵服務器或系統(tǒng)進行惡意攻擊的時候，IDS入侵檢測系統(tǒng)能夠檢測到發(fā)起攻擊的源IP地址，通過S-SCP安全控制協(xié)議，IDS實時將攻擊源IP通知S-Radius，S-Radius在在線用戶表中找到源惡意攻擊者，通過SNMP協(xié)議將惡意攻擊者剔除下線。這一整個過程實現(xiàn)了全自動的實時處理。

　　事后的完整審計：日志服務器記錄有用戶完整的訪問記錄，包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC、訪問開始時間、訪問結束時間、發(fā)送流量、接受流量等，結合日志管理查詢系統(tǒng)，可以進行快速完整的審計。
　　入網即認證:用戶只要使用網絡即要進行身份認證，保證只有申請開戶的合法用戶才可以使用網絡。

　　強大的接入控制：對接入用戶進行帳號與IP、MAC、交換機IP、端口、VLAN六元素的復合綁定同時實現(xiàn)帳號漫游；

　　4 高可靠

　　鏈路級冗余備份及負載均衡：核心的RG-S6806和匯聚的STAR-S3550除了支持傳統(tǒng)的802.1d生成樹協(xié)議外，同時支持最新的802.1w、802.1s生成樹協(xié)議，在保證鏈路冗余的情況下，實現(xiàn)了兩個鏈路間的負載均衡。

　　關鍵部件冗余: RG-S6806提供冗余的管理交換引擎、冗余的電源等關鍵部件的冗余，配合銳捷先進的RAPS（銳捷自動保護系統(tǒng)），實現(xiàn)系統(tǒng)高的穩(wěn)定性和可靠性。

　　RG-S6806提供冗余的管理交換引擎、冗余的電源等關鍵部件的冗余，配合銳捷先進的RAPS（銳捷自動保護系統(tǒng)），實現(xiàn)系統(tǒng)高的穩(wěn)定性和可靠性。

　　嚴格測試：所選設備經Smartbit等專業(yè)儀器嚴格測試，保證研發(fā)和生產階段的可靠性；

　　5 易管理

　　三張圖：簡單、清晰的設備管理圖、拓撲狀態(tài)圖和流量分析圖將網絡管理工作量降到最低；

　　中文化：中文化界面及內核，特別適合中國人使用；

　　一站式：可在一個網管工作上實現(xiàn)對全網的完整管理，并支持第三方網管軟件無縫管理。

　　完滿解決IP地址沖突和IP地址盜用：銳捷S-Radius對用戶進行認證時的IP屬性校驗，完全杜絕了IP地址沖突的發(fā)生，包括認證前IP不按要求設置的不予通過認證以及認證通過后更改IP地址立即剔除下線；對用戶帳號與IP地址綁定，為每個用戶分配一個固定的IP地址，防止IP地址被他人盜用。

　　評審小組：
　　銳捷網絡產品事業(yè)部
　　北京賽迪信息評測有限公司

　　評語：方案的需求分析到位，較準確地分析了學生宿舍網絡應用系統(tǒng)的特點，在技術方案設計上體現(xiàn)了先進性、安全性、可擴展、可管理、易運營等特點，采用了先進的“千兆骨干、百兆到桌面”的設計例念和分布式三層交換網絡構架。必須指出的是，在方案設計是應該注意先進性和實用性的結合，并做好與現(xiàn)有網絡系統(tǒng)的融合，這是校園網建設特點所基本要求的。