“万兆+SAM”:演绎国防科技大学精彩网络
2018-06-11 来源:
近年来,随着我国高校信息化建设的不断深入,高校网络建设的规模也在不断扩大,如何构建高效、稳定、易管理的万兆校园网,增强校园网的安全性和可控性,已经成为高等院校网络管理人员面临的重点课题。针对这些问题,国防科技大学在校园网改造工程项目中,选用了锐捷网络“万兆+第二代SAM系统”的整体解决方案,建成了国内领先的集高效、安全、稳定、灵活、可控、易管理于一体的智能型万兆校园网。该项目从规划、设计到建设的整个过程,对于国内高校校园网的建设具有良好的示范意义和借鉴作用。
前瞻:国防科技大酝酿校园网改造
座落在古城长沙的国防科学技术大学是一所直属中央军委的综合性大学,是首批进入国家“211工程”和“985工程”建设并获中央专项经费支持的国家重点院校之一,拥有先进的教学、科研实验条件和公共服务体系。为了贯彻落实科教兴国和科技强军的战略决策,努力创建具有我军特色的世界一流大学,国防科技大学决定对原有校园网进行改造。
经过一系列的勘察、讨论,国防科技大学专家结合自身需求对要实现的功能进行了细致的总结,以求最优化的组网方案的出台。专家们认为改造后的核心交换机要有万兆扩展能力,除了引擎、电源可以冗余外,在设计上还保证具有高可靠性;在稳定性上,要求在开启大量ACL后核心交换机的性能基本不受影响,包转发率依然线速;在易管理和可控性方面,需要做到无论交换机承载多大数据量,网管员可随时登陆到设备上进行管理和维护,并且在不更换接入设备的情况下,能够有效的对接入用户进行全网控制;另外,还要解决用户IP地址冲突问题,全程动态绑定用户IP+MAC,以确保用户在访问网络时身份唯一,要能够区分用户权限,并且使用户访问内网不需要认证,而访问外网需要认证;同时,能够基于802.1X认证的前提下,实现用户免手动安装客户端软件,能够有效记录用户上网的信息等等。
合力:国防科技大学与锐捷网络共舞
毋庸置疑,国防科技大学此次校园网改造工程任务重大,经过细致的规划和多次论证,明确了此次校园网改造工程的具体要求和目标。作为服务商的锐捷网络在深入、细致、透彻地了解了目标和要求的基础上,为国防科技大学制定了完善的解决方案。
如图所示,整个校园网分为三层架构,全网采用锐捷新一代多业务万兆核心路由交换机RG-S6810E,负责全网的数据交换,同时,其硬件策略路由功能为学校的出口规则提供了灵活的设置,此外核心交换机硬件的IPv6功能为学校接入CERNET2提供了无缝连接;北院采用锐捷全模块化核心路由交换机STAR-S6808,负责北院的接入;在接入层设备不变的情况下,更换了现有的汇聚层设备,采用锐捷网络安全智能多层交换机STAR-S3550-24和安全智能交换机STAR-S2126G。
RG-SAM系统的实施很好地解决了困扰学校已久的系列问题:极大程度的杜绝了用户间IP地址冲突;不用在每台机器上安装客户端软件即可实现用户的身份认证,大大减少了网管员的维护工作量;有效防止校园网与内网的非法互连;全程动态的绑定IP、MAC地址,有效确保网络安全;根据不同用户的权限设定不同的访问规则;强大的日志功能,为网管员的事后查询提供充足的证据;让网管老师足不出户即可远程判断用户不能上网的原因,解决了以往网管难、维护难的问题。
六位一体:校园网智能翱翔
国防科技大学此次校园网改造,建成了国内领先的集高效、安全、稳定、灵活、可控、易管理于一体的智能型万兆校园网:
高效:锐捷网络采用RG-S6810E新一代多业务万兆核心路由交换机,整机可支持32个万兆端口的线速转发。
安全:锐捷网络SAM系统与安全交换机结合,采用OPTION82的功能能够全程动态自动绑定用户的IP+MAC和交换机端口,确保用户访问网络时身份唯一;根据不同用户设定了不同的访问权限;用户在访问内网资源时不需要认证,访问外网必须认证;能够有效记录用户的上网行为,做到事后审计等,确保了信息的安全。
稳定可靠:核心交换机除了具有引擎冗余、电源冗余、模块可热拔插之外,还具有SPOH、LPM+HDR以及三平面分离技术,确保核心交换机的稳定性。其中,SPOH技术确保用户在开启大量ACL时,核心交换机性能基本不受影响,依然提供线速转发的能力;三平面分离技术确保核心交换机在出现死机的情况下,网管员依然可以远程登陆交换机查看导致死机的原因,对设备进行管理和维护。
可控:在汇聚层对用户进行身份认证,确保对全网用户进行有效控制。
易管理:不论用户采用动态获得IP还是静态指定IP,该方案都能够有效解决用户IP地址冲突问题,减少网络管理员的维护工作量。针对办公区的特点,在基于802.1x认证技术的前提下,可让用户免手动安装客户端软件,减少了客户端的麻烦和管理员的维护工作量。
改建后的国防科技大学新一代万兆校园网不仅在充分支持现有业务(视频、语音和数据)的基础上,实现了对IPv6和MPLS、load balancing、NAT、VPN、Firewall、web cache redirect等各种功能的扩展支持,很好地满足了学校现有和未来的需求,而且在启用策略路由功能后,各核心交换机的CPU利用率均小于3%。新建成的校园网络在稳定性、安全性、可运营管理等各方面都充分满足了学校的需要,为国防科学技术大学信息化建设的发展演绎了精彩的一页。
标签: 安全 大数据 服务商 权限 网络 网络安全 问题 信息化 用户
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。