广西职业技术学院案例高校校园网整体解决方案_网络设备配置技术.doc_大学文库

高校校园网些体解决方案第一部分前言高校校园料一直是国内Internet发展的领头羊，199年T月，中国教育和科研计算机网CET示范工程启动。也凳是同一年，清华北大等项尖大学建成了自己的校园网，事实上这些网铬也是中国Internet的开端，高校校园网从1994年的启动建立到现在的13年间，无论是高校校园网的网络技术，还是高校校园网的关注要点，大致可以分为三个阶段。第一阶段是基陆设施建设时期，时何大钓从1994年到2000年。这期间各种网络技术在高校同时都有应用：以太网技术，F面I,ATN网络技术，在这个阶段。由于校园网应用的技术比较繁桑，而且业务相对单一。因此，这一阶段，主要关注网络的连通性和兼容性，即如何保证校园网的违通。和各种不月网络技术的兼容和融合。第二阶段是应月平台建设时期。时间大约是从2000年到2006年，这期间。随着料络找术的发展，各种应用也开始出现并发展遇速，包括B5,W,FTP、Ea山，以及近两年流行的盯下载、视音颜业务等等，这些应用都对带宽提出了桃战。另一个在此阶段发展迅速的校园网应川就是【PTV,更是被成为带宽的杀手级应用，与此同时，国络技术一特别是以太网技术迅猛发展，1000训以太网己经步入校国，万兆标准也己经公布。结合实际应用和网络技术米看，这个阶段主要关注，带宽和应用。第三个阶段是信息资源建设时期。时间从005年至今，乃至今后几年时间内。近两年，万兆以太网己经开始在高校校园网中规核化应用。下一代以太网标准也己经确立为10万宽标准。同时，随着cernet2的启动，IPV6技术也已经在校园网中实验并逐步应用。当基础设嫩、应用平台建设之后，信息资源的丰富与否决定了校园网格的真正价值。当信息资源充分丰富后，人门的工作、学习、生活、娱乐完全离不开网路，网络的安全与可信又成为头等重要的问题。纵观这两年整个网络世界，安全事件類发：冲击被、蔑荡波、即攻击等等。所以，安全可信成为了高校校园网当前关注的要点。简单来说，对于校同网：丰富的应用是关键，面稳定可靠的网路是基础，完善的安全和管理手段是保障，第二部分高校校园网现状分析：前而简单国顾了高校校园网的发展历程，这可以作为当前校园网建设大方向的一个参考。下面结合高校校园网的建设，分析一下高校网路建设中晋烟存在的需求

高校校园网整体解决方案第一部分前言：高校校园网一直是国内 Internet 发展的领头羊。1994 年 7 月，中国教育和科研计算机网 CERNET 示范工程启动。也就是同一年，清华北大等顶尖大学建成了自己的校园网，事实上这些网络也是中国 Internet 的开端。高校校园网从 1994 年的启动建立到现在的 13 年间，无论是高校校园网的网络技术，还是高校校园网的关注要点，大致可以分为三个阶段。第一阶段是基础设施建设时期，时间大约从 1994 年到 2000 年。这期间各种网络技术在高校同时都有应用：以太网技术，FDDI，ATM 网络技术。在这个阶段，由于校园网应用的技术比较繁杂，而且业务相对单一，因此，这一阶段，主要关注网络的连通性和兼容性，即如何保证校园网的连通，和各种不同网络技术的兼容和融合。第二阶段是应用平台建设时期，时间大约是从 2000 年到 2005 年。这期间，随着网络技术的发展，各种应用也开始出现并发展迅速，包括 BBS、WWW、FTP、E-mail，以及近两年流行的 BT 下载、视音频业务等等，这些应用都对带宽提出了挑战。另一个在此阶段发展迅速的校园网应用就是 IPTV，更是被成为带宽的杀手级应用。与此同时，网络技术--特别是以太网技术迅猛发展，1000M 以太网已经步入校园，万兆标准也已经公布。结合实际应用和网络技术来看，这个阶段主要关注：带宽和应用。第三个阶段是信息资源建设时期。时间从 2005 年至今，乃至今后几年时间内。近两年，万兆以太网已经开始在高校校园网中规模化应用，下一代以太网标准也已经确立为 10 万兆标准。同时，随着 cernet2 的启动，IPV6 技术也已经在校园网中实验并逐步应用。当基础设施、应用平台建设之后，信息资源的丰富与否决定了校园网络的真正价值。当信息资源充分丰富后，人们的工作、学习、生活、娱乐完全离不开网络，网络的安全与可信又成为头等重要的问题。纵观这两年整个网络世界，安全事件频发：冲击波、震荡波、ARP 攻击等等。所以，安全可信成为了高校校园网当前关注的要点。简单来说，对于校园网：丰富的应用是关键，而稳定可靠的网络是基础，完善的安全和管理手段是保障。第二部分高校校园网现状分析：前面简单回顾了高校校园网的发展历程，这可以作为当前校园网建设大方向的一个参考。下面结合高校校园网的建设，分析一下高校网络建设中普遍存在的需求：

1、随时随地接入的需求首先，高校师生对于网格接入有着强烈的需求。原因有二：一方面，随着近年来国家对高等教育的大力发展和支持，高校在校生人数普遍里现上升趋劳。另一方而，是由于国家经济实力的增强。技术的爱展带来的低成本，导致电脑的普及半也越来越高（据不完金统计，在很多的高校。台式/心的拥有率可以达到7作)。其次，在部分热点区域，或者难以布线的区域需要一种切实可行的高性价比的接入方式。也就是采用无线作为补充或者备份，比如广场/操场、体育馆、阀览室、会议室、阶梯教室等，这线区域对于笔记本用户需要能够提供接入服务，而这时有线接入是行不通的。又比如校内的某栋较偏运的办公极或者某几棒家属楼，上网用户有限，进行独立布线成本较高，所以，同样需要进行无线的接入方式，简言之，网络作为一个底层的平台，需要师生能够随时随地的方梗的接入。这就强调有线网络和无线网络的结合一一适合无线网络的地方用无线网路，适合有线网络的地方用有线国络。当然。两者可以有一定的沉余。甚至部分区域会果用无线网络进行备份。目前，从全国来看，众多的高校己经在考虑，甚至己经部署了无找网洛。但是仍然存在了无线设备替机数不够、安全性不足、无法很好的进行用户和设备管理的问愿。 2、骨干网络高性能、高稳定可靠的需求首先是高性能。高校校园网中用户数在不断增如，并且随着网络应用技术的不断丰富，高校校园网应用也愈发复桑，例如FTP、VC0点播等大数据量的访问，尤其口前流行的P四的应用产生了巨大的网格流量，如何高速进行网络传输。对网络设备的性能提出了很高的要求。实际情况中，依然有很多高校使用的骨干设备是集中式表查山和集中式转发核式的，很多时候。老师们抱怨网培很慢，面议备性能不够是其中一个很重要的原因：其次是意定可靠。一方面，表来的社会是信息的社会，当前随着校内师生员工的工作，科研、学习、生活、娱乐越来感离不开网路（例如：无纸化办公、网络教学、视顾会议和心点播、网上购物等业务的开展)，网铬的稳定可靠性就显得愈发重要一一网络随便断开几小时也无所谓的历史己经过去了。另一方面，在应用丰富的同时，网洛环境也麦得异常恶劣。近两年，安金攻击事件品指最级上升而所需要的知识却越来弱化，各种攻击工具在网络上可以随手盐来。这也对网络设备在网络攻击或者病毒泛滥情况下的稳定可靠提出了挑战。目前。在高校使用的设备中还存在大量早期采购的设备。这些设备在启用了发全规则情况下性能急顺下降一在受到网络攻击或病毒泛道的时候，C刊利用率屠高不下，设备稳定性降低，根可陵死机/宕机

1、随时随地接入的需求首先，高校师生对于网络接入有着强烈的需求。原因有二：一方面，随着近年来国家对高等教育的大力发展和支持，高校在校生人数普遍呈现上升趋势。另一方面，是由于国家经济实力的增强，技术的发展带来的低成本，导致电脑的普及率也越来越高（据不完全统计，在很多的高校，台式/PC 的拥有率可以达到 70%）。其次，在部分热点区域，或者难以布线的区域需要一种切实可行的高性价比的接入方式。也就是采用无线作为补充或者备份。比如广场/操场、体育馆、阅览室、会议室、阶梯教室等，这些区域对于笔记本用户需要能够提供接入服务，而这时有线接入是行不通的。又比如校内的某栋较偏远的办公楼或者某几栋家属楼，上网用户有限，进行独立布线成本较高，所以，同样需要进行无线的接入方式。简言之，网络作为一个底层的平台，需要师生能够随时随地的方便的接入。这就强调有线网络和无线网络的结合——适合无线网络的地方用无线网络，适合有线网络的地方用有线网络。当然，两者可以有一定的冗余，甚至部分区域会采用无线网络进行备份。目前，从全国来看，众多的高校已经在考虑，甚至已经部署了无线网络。但是仍然存在了无线设备带机数不够、安全性不足、无法很好的进行用户和设备管理的问题。 2、骨干网络高性能、高稳定可靠的需求首先是高性能。高校校园网中用户数在不断增加，并且随着网络应用技术的不断丰富，高校校园网应用也愈发复杂，例如 FTP、VOD 点播等大数据量的访问，尤其目前流行的 P2P 的应用产生了巨大的网络流量，如何高速进行网络传输，对网络设备的性能提出了很高的要求。实际情况中，依然有很多高校使用的骨干设备是集中式表查询和集中式转发模式的。很多时候，老师们抱怨网络很慢，而设备性能不够是其中一个很重要的原因。其次是稳定可靠。一方面，未来的社会是信息的社会，当前随着校内师生员工的工作、科研、学习、生活、娱乐越来越离不开网络（例如：无纸化办公、网络教学、视频会议和 VOD 点播、网上购物等业务的开展），网络的稳定可靠性就显得愈发重要——网络随便断开几小时也无所谓的历史已经过去了。另一方面，在应用丰富的同时，网络环境也变得异常恶劣。近两年，安全攻击事件呈指数级上升而所需要的知识却越来越弱化，各种攻击工具在网络上可以随手拈来。这也对网络设备在网络攻击或者病毒泛滥情况下的稳定可靠提出了挑战。目前，在高校使用的设备中还存在大量早期采购的设备，这些设备在启用了安全规则情况下性能急剧下降--在受到网络攻击或病毒泛滥的时候，CPU 利用率居高不下，设备稳定性降低，很可能死机/宕机

由此分析看来，随着用户数增加，应用的复杂，导致网格流量的飞速提升，需要保证多用户，大流量情况下骨干的高带宽，骨干设备的线速转发：随着师生日常对于网储的依赖性的增强。和网络环境的日趋恶劣，雷要保证做到骨干网络一定级测的稳定可靠性（比知四个九-99.99%). 3、出口区域对性能和功能需求对于出口，最主要有两个方面的需求：一方面，需要进行多出口的策略部署，并且需要解决多出口部署下的性能月愿。具体来说，T(地址转换)就是上网速度慢的一个重要原因，另外设备启用策略路由时，造成设备性能的下降，也影响整个出口的效能和稳定性。究其根本，设备的性能是一个很大的凰因 (对于XAT(地址转换)支特的优劣，有两个很重要的依据，那就是“并发会话数”和“新建会话数”) 另一方面。对于出口设备的功能也还是需要引起注意。比如。《互联网发全保护技术措储规定)在2005年11月因日公安部部长办公会议通过，并白2006年3月1日起已经行。 (该线定简称“2号令”)规定对用户信息、用户上网记录、地址转换记录、设备状态记录等都有要求。一旦不符合日志要求。极可能面临整领成者关闭网洛的危机。美于出口区线刊题的分析，请详细查看《悦镜网络高教出口解读方案》中的分析。 4,米白网格安全的需求第一，高校面临着严峻的网络安全形势。越来越多的报道表明高校校园网已逐渐成为黑客的聚集地。这一方面是由于网洛病毒、黑客工具的泛滥，用户安全意识的液薄，而另一方而，高校学生一一这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心，他们有着探素的高智商和冲劲，却缺乏全面思考的责任级。有关数字显示，目前校园网道受的瑟意度击，90% 来自高校网络内部，如何保障校园网络的安全成为高校校园网路建设时不得不考虑的问题，第二，网络安全一定是全方位的安全。首先，网铬出口，数据中心，服务墨等重点区域要做到安全过滤：其次，不管後入设备，还是骨干设备，议备本身需要具备强大的安全防护能力，并且安全策略部著不能影响到网路的性能，不迹成网络单点故障：最后，要充分考虑全局统一的安全部署。需要修够从准入控制。到树网格安全事件进行深度探测，到现有安全设备有机的联动，到对安全事件触发源的准确定位和根据身卧进行的隔离、修复错菌，从而能对网络形成一个由内至外的整体安全构架。所以，在对出口等重点区域进行安全部署的同时，要更加全面的考虑安全月题，让整个网络从设备级的安全上升一个台阶，摆脱仅仅同部加强某个单点的安全强度的手段

由此分析看来，随着用户数增加、应用的复杂，导致网络流量的飞速提升，需要保证多用户、大流量情况下骨干的高带宽，骨干设备的线速转发；随着师生日常对于网络的依赖性的增强，和网络环境的日趋恶劣，需要保证做到骨干网络一定级别的稳定可靠性（比如四个九-99.99%）。 3、出口区域对性能和功能需求对于出口，最主要有两个方面的需求：一方面，需要进行多出口的策略部署，并且需要解决多出口部署下的性能问题。具体来说，NAT（地址转换）就是上网速度慢的一个重要原因，另外设备启用策略路由时，造成设备性能的下降，也影响整个出口的效能和稳定性。究其根本，设备的性能是一个很大的原因（对于 NAT（地址转换）支持的优劣，有两个很重要的依据，那就是“并发会话数”和“新建会话数”）另一方面，对于出口设备的功能也还是需要引起注意。比如，《互联网安全保护技术措施规定》在 2005 年 11 月 23 日公安部部长办公会议通过，并自 2006 年 3 月 1 日起已经施行。（该规定简称“82 号令”）规定对用户信息、用户上网记录、地址转换记录、设备状态记录等都有要求。一旦不符合日志要求，极可能面临整顿或者关闭网络的危机。关于出口区域问题的分析，请详细查看《锐捷网络高教出口解决方案》中的分析。 4、来自网络安全的需求第一，高校面临着严峻的网络安全形势。越来越多的报道表明高校校园网已逐渐成为黑客的聚集地。这一方面是由于网络病毒、黑客工具的泛滥，用户安全意识的淡薄，而另一方面，高校学生——这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心，他们有着探索的高智商和冲劲，却缺乏全面思考的责任感。有关数字显示，目前校园网遭受的恶意攻击，90% 来自高校网络内部，如何保障校园网络的安全成为高校校园网络建设时不得不考虑的问题。第二，网络安全一定是全方位的安全。首先，网络出口、数据中心、服务器等重点区域要做到安全过滤；其次，不管接入设备，还是骨干设备，设备本身需要具备强大的安全防护能力，并且安全策略部署不能影响到网络的性能，不造成网络单点故障；最后，要充分考虑全局统一的安全部署，需要能够从准入控制，到对网络安全事件进行深度探测，到现有安全设备有机的联动，到对安全事件触发源的准确定位和根据身份进行的隔离、修复措施，从而能对网络形成一个由内至外的整体安全构架。所以，在对出口等重点区域进行安全部署的同时，要更加全面的考虑安全问题，让整个网络从设备级的安全上升一个台阶，摆脱仅仅局部加强某个单点的安全强度的手段

S,方便运营管理的需求首先，校园网需要进行合理的运营。第一、校园网的投资较大，加上每年的维护成本，对于学校并不是一笔可以忽视的开支：第二，根据各校的情况，进行合理的运营收费。依靠市场化的于段能够推动校园料的运作规范化和提高建设水平。当然，学校不是运营商，运营的模式和业务流程并不清晰。而学校收贵和学生撒费又是一对天然的子盾，当前不少学校采用的运营核式与学校实际的情况差距太大，无法有效杜绝学生递避牧费等问题一直困扰着学校的网管人员其次，有效的管理可以从用户管理和设备管理两方面来看：对于用户管理，最重要的是能够实现事前的身份认正和准确定位，事中的实时处理、事后的完整日志审计，事前的认证和定位是指可严格实现用户身份误别，根据用户账号、密到、 C地址、IP地址、交换机P、交换机端口号、用户所在1A战的灵话组合，来识别用户身份，将网格中的虚数用户和生活中的真实用户相对应：事中的实时处理是指对于正在是月网络的用户，如果出现私白援号上网、使用代理、更改P地址等，认证计费系统会强制用户下线。对于感染剩毒，出现安全事件的用户，结合全局安全通过安全联动来进行隔离、阻断和修复，以保证校园网的安全，事后的目志审计是指记录用户上网的详细信息（包括川户名、 IP、C等)及完整的用户访问外网的记录（包括源P、目的IP、源瑞口，目的瑞口、访问时何)，一且出现安全事件，可以进行快速完整的审计，迅速定位到个人对于设备管理，需要的是统一有效的网络管理系统。能够直观全面地监控整个网洛和各种设备的运行状态，记录和深入分析网洛流量，及时报告各种故障和性能问思，协助管理员找到故障的起源，并且对网络的性能变化和故障发生提前进行预测。高校用户数和网络节点数众多，因此难以一体化管理众多的设备和用户，出现网络故障无法快速定位、P地址盗用、P地址冲突等问题日益严重，如何利用有限的人力物力对网蜂进行高效管理也成为学校考虑的着重点。 6、强大数据中心建设的需求第一，众多高校仍然深用的是直接存储在展务器硬盘上的方式，也就是我门所说的直连存储《S)。这种方式存在众多的问题。【、不同的数据存储在不同服务器的硬盘上，迹成有些服务器硬盘空问己满，而有些服务器硬登空问却闲置。空间扩展比较困难，并且服务墨之间无法进行空间共享。2、随着应用的不断丰富，访问量的增加，办公、教学、科研对网络的依赖，服务器的性能受到强到的考验。最终可能成为性能的瓶颈。第二，随着计算机信息系饶的不断发展，用户的核心业务越来越依规于信息系统的可靠

5、方便运营管理的需求首先，校园网需要进行合理的运营。第一、校园网的投资较大，加上每年的维护成本，对于学校并不是一笔可以忽视的开支；第二、根据各校的情况，进行合理的运营收费，依靠市场化的手段能够推动校园网的运作规范化和提高建设水平。当然，学校不是运营商，运营的模式和业务流程并不清晰。而学校收费和学生缴费又是一对天然的矛盾，当前不少学校采用的运营模式与学校实际的情况差距太大，无法有效杜绝学生逃避收费等问题一直困扰着学校的网管人员。其次，有效的管理可以从用户管理和设备管理两方面来看。对于用户管理，最重要的是能够实现事前的身份认证和准确定位、事中的实时处理、事后的完整日志审计。事前的认证和定位是指可严格实现用户身份识别，根据用户账号、密码、 MAC 地址、IP 地址、交换机 IP、交换机端口号、用户所在 VLAN 的灵活组合，来识别用户身份。将网络中的虚拟用户和生活中的真实用户相对应；事中的实时处理是指对于正在是用网络的用户，如果出现私自拨号上网、使用代理、更改 IP 地址等，认证计费系统会强制用户下线。对于感染病毒，出现安全事件的用户，结合全局安全通过安全联动来进行隔离、阻断和修复，以保证校园网的安全。事后的日志审计是指记录用户上网的详细信息（包括用户名、 IP、MAC 等）及完整的用户访问外网的记录（包括源 IP、目的 IP、源端口、目的端口、访问时间），一旦出现安全事件，可以进行快速完整的审计，迅速定位到个人。对于设备管理，需要的是统一有效的网络管理系统。能够直观全面地监控整个网络和各种设备的运行状态，记录和深入分析网络流量，及时报告各种故障和性能问题，协助管理员找到故障的起源，并且对网络的性能变化和故障发生提前进行预测。高校用户数和网络节点数众多，因此难以一体化管理众多的设备和用户，出现网络故障无法快速定位、IP 地址盗用、IP 地址冲突等问题日益严重，如何利用有限的人力物力对网络进行高效管理也成为学校考虑的着重点。 6、强大数据中心建设的需求第一，众多高校仍然采用的是直接存储在服务器硬盘上的方式，也就是我们所说的直连存储（DAS）。这种方式存在众多的问题。1、不同的数据存储在不同服务器的硬盘上，造成有些服务器硬盘空间已满，而有些服务器硬盘空间却闲置。空间扩展比较困难，并且服务器之间无法进行空间共享。2、随着应用的不断丰富，访问量的增加，办公、教学、科研对网络的依赖，服务器的性能受到强烈的考验。最终可能成为性能的瓶颈。第二、随着计算机信息系统的不断发展，用户的核心业务越来越依赖于信息系统的可靠

运行，信息系统中的关健业务数据已经成为用户最为重要的资产。因此，对关键的业务数据进行备粉保护刻不容缓。尤其美国91山事件的发生，世界各地各行各业越发重程重要数据的备份和容灾。但是当前绝大多数国内高校，对于关键数据，比如财务货料、学箱/档案、学术论文等资料都还没有进行有效的备份或容灾。一且数据毁坏/丢失，后果不塔设想也正是基于对存在同愿的认识和目前各种应用带来的数据存储的实际需求，很多高校己经开始进行数据中心的建设，即么数据中心建设，应该达到怎样的目标？数据中心的存储设备应该如何遗择？都是需要重点考虑的月题。 7,向1Py6过渡的需求中国下一代互联网示范工程G1是实施我国下一代互联网发展战略的启步工程，由国家发改委、科技部、信产部、教育部、中科院等八部委联合领导，2001年，QFT(中国教育与科研网)提出建设CEET2计划。2003年12月，国家发改委批准了中国下一代互联网示范工程CNG1建设项目。经过两年多的建设，2006年10月，CEET2通过了10个院土领衔的项目签定委员的鉴定险收，整体建设水平达到了世界领先水平。可以预见的是IPV6是必燃的趋势。而学校积极主动地应对I6,有利于提升学校的应用水平和科研水平，并为6的真正大规模部署做好必要的技术结备。事实上，各个高校在网络改违，设备采购时候都在考虑对IPv6的支持了，并且大家都关心的问题是：在向IP6 过波的阶段，如何充分利用现有设各，保护投资？该采用何种部署策略，保证应用的平滑过度呢？第三部分锐捷网络校园网解决方案概述：悦捷网洛作为业内额先的网洛设备提供商和解流方案提供商，乘承在教有行业多年的经险，通过与广大高教川户的深入沟通、互动，根据上述校园料现状的分析，以及出现的问题与需求。提出了“安全、稳定、高速、可运营可管理”的可定制化的高校校园网解决方案：

运行，信息系统中的关键业务数据已经成为用户最为重要的资产。因此，对关键的业务数据进行备份保护刻不容缓。尤其美国 911 事件的发生，世界各地各行各业越发重视重要数据的备份和容灾。但是当前绝大多数国内高校，对于关键数据，比如财务资料、学籍/档案、学术论文等资料都还没有进行有效的备份或容灾。一旦数据毁坏/丢失，后果不堪设想。也正是基于对存在问题的认识和目前各种应用带来的数据存储的实际需求，很多高校已经开始进行数据中心的建设，那么数据中心建设，应该达到怎样的目标？数据中心的存储设备应该如何选择？都是需要重点考虑的问题。 7、向 IPv6 过渡的需求中国下一代互联网示范工程 CNGI 是实施我国下一代互联网发展战略的启步工程，由国家发改委、科技部、信产部、教育部、中科院等八部委联合领导。2001 年，CERNET（中国教育与科研网）提出建设 CERNET2 计划。2003 年 12 月，国家发改委批准了中国下一代互联网示范工程 CNGI 建设项目。经过两年多的建设，2006 年 10 月，CERNET2 通过了 10 个院士领衔的项目鉴定委员的鉴定验收，整体建设水平达到了世界领先水平。可以预见的是 IPv6 是必然的趋势。而学校积极主动地应对 IPv6，有利于提升学校的应用水平和科研水平，并为 IPv6 的真正大规模部署做好必要的技术储备。事实上，各个高校在网络改造，设备采购时候都在考虑对 IPv6 的支持了。并且大家都关心的问题是：在向 IPv6 过渡的阶段，如何充分利用现有设备，保护投资？该采用何种部署策略，保证应用的平滑过渡呢？第三部分锐捷网络校园网解决方案概述：锐捷网络作为业内领先的网络设备提供商和解决方案提供商，秉承在教育行业多年的经验，通过与广大高教用户的深入沟通、互动，根据上述校园网现状的分析，以及出现的问题与需求，提出了“安全、稳定、高速、可运营可管理”的可定制化的高校校园网解决方案

在充分保证系桃稳文性的同时，为整双核出月-5505 个网修风铁充分的设备双引擊，双电海无余备份，馆烛故汇数到核心规链琴障情况下的静换时服务器双机热各 010 间，确保线园网各种应用服务的正需开展州0-事的5 我裤雪区蛙学生留峡 R2a 整网采用万兆多核心，万兆/千兆骨干、千兆/百宽到桌面的设计理念。高吞吐量，线速转发的核心路由卷和三层交换机，所有关键整件的沉余，包括主控板、交换料板、电源等，支持板件的热插按技术，保证了网络的高效运转。骨干设备双核心双链路。或者核心成环之后，相互之阿互为容错备份，并在核心交换机中采用关键模块元余设计〔双电源沉余等)。核心和汇聚之间采用双链路连接，一且数据传输的活动时路失效以后可以自动切换到另一条替路，保障数据的正常转发。这样，从全网架构上，核心层双链路交换系统不存在单点截障，是一种高级别交换完全沉余的容情方案，这样即使其中一条结落断线或一个主干交换机发生故障，都能在用户觉靠不到的极短的时间内启用备份核复数据传递，从而保正网络系统的高可靠性，稳定性的运行。采用锐捷自主开发的统一探作系城平台RGNOS10.X为软件系饰 HTIP FTP TELNET SSH 抓统日志 USB IGMP.DVMRP.PIM VPN DHCP NIP 系线图服务管理 15 快建转发高级安全特性服务质量保证 Elberndt RERP SIPRSTPMSTP RLDP Super-vlan PEan Q inQ 锐捷网络多年高瑞开发所形成的具有完全白主知识产权的统一操作系统WS1QX,使锐捷的高端产品有相同的交换/路由特性、一政的安全功能，能够为用户提供相同的系统服务，并在产品功能、性能提升上具有一数性，同时也方便了用户对锐捷多款产品的统一管理，安全保障锐捷楼心及全线网路产品支持丰富的度全防护能力，包括对客种攻击的防护魔力，以及

先进的C5S安全体系。具体将在第二节《有效的全局安全情施》中说明。 2,十万兆平台全面提升骨干网络目前，万光以太网，作为迄今为止授入应用的速率最高的网路技术，已经大规模普及，并且能第切实解决目前校问网建设中存在的很多问恶。但是，万兆应用的普及对产品和技术提出了更高的要求。校园网汇聚到核心的万兆线溶的改造，就要求核心设备具有更高的万兆线速转发性能，以及更高的万兆端口密度来支排大量汇聚设答的万兆链路上联。而十万兆产品恰恰能够解决万尧普及带米的问题。基于对未米十万夷标准支持的考虑，锐捷网络开发的最新一代十万兆产品设备性能强大，完全满足甚至超出了校园网正常应用对设备的性能要求。十万光还可以简单理解为1O*万光，加上设客所具有的高钱卡带宽，这就足以支撑起每线卡的更高的端口密度，目前，每线卡万光端口数可以高达6个。这将大大降低校内大量汇聚设备的万宽上联成本，值得一提的是，1EE802.3高速研究小组已经开始100Cps(十万兆)高速以太网的标准化制定工作，预计标准将在200的年出台。采用最新一代面向十万兆平台的产品，符合校园网建设中的保护投货和先进性的原则。在十万兆标准出台后，藏可以直接升级到下一代以太网二、有效的全同安全情随 1、统一的身份准入控制及详细的日志审计首先，能够安全认证到桌面，采用六元素的自动绑定，静态绑定、动态佛定相站合，可以确保用户入网时身份唯一，并且避免了P冲突。其次，实现了管理分级授权，不月职能的管理者使用同一套系统时可以得到不同的操作界面以及使川权限，莲免了管理的安全隐患，最后，详细的日志串计功逢记录用户上网的详细信息（包括用户名、P、C等）及完整的用户访日外网的记录（包括源P、目的[P、源璃口、目的璃口、访付时间），一且出现安全事件，可以进行快速完整的审计，遇速定位到个人。 2、设备本身具有的强大的安全防护能力锐捷核心及全线网络产品支特韦富的安全防护能力，包括防O5攻击⑤auf, Synflood),斯IP扫指Ping5eep),新薄1P地址(SourceIPSpoofing、防A图默骗、防病毒、带宽控制等功能。悦捷网路还在维承已有的设答安全防护能力的技术基留上，开发出了集多种强大安全功能于一体的CS5安全体系设计

先进的 CSS 安全体系。具体将在第二节《有效的全局安全措施》中说明。 2、十万兆平台全面提升骨干网络目前，万兆以太网，作为迄今为止投入应用的速率最高的网络技术,已经大规模普及，并且能够切实解决目前校园网建设中存在的很多问题。但是，万兆应用的普及对产品和技术提出了更高的要求。校园网汇聚到核心的万兆线路的改造，就要求核心设备具有更高的万兆线速转发性能，以及更高的万兆端口密度来支撑大量汇聚设备的万兆链路上联。而十万兆产品恰恰能够解决万兆普及带来的问题。基于对未来十万兆标准支持的考虑，锐捷网络开发的最新一代十万兆产品设备性能强大，完全满足甚至超出了校园网正常应用对设备的性能要求。十万兆还可以简单理解为 10*万兆，加上设备所具有的高线卡带宽，这就足以支撑起每线卡的更高的端口密度。目前，每线卡万兆端口数可以高达 16 个。这将大大降低校内大量汇聚设备的万兆上联成本。值得一提的是，IEEE802.3 高速研究小组已经开始 100Gbps（十万兆）高速以太网的标准化制定工作，预计标准将在 2009 年出台。采用最新一代面向十万兆平台的产品，符合校园网建设中的保护投资和先进性的原则。在十万兆标准出台后，就可以直接升级到下一代以太网。二、有效的全局安全措施 1、统一的身份准入控制及详细的日志审计首先，能够安全认证到桌面。采用六元素的自动绑定、静态绑定、动态绑定相结合，可以确保用户入网时身份唯一，并且避免了 IP 冲突。其次，实现了管理分级授权。不同职能的管理者使用同一套系统时可以得到不同的操作界面以及使用权限，避免了管理的安全隐患。最后，详细的日志审计功能记录用户上网的详细信息（包括用户名、IP、MAC 等）及完整的用户访问外网的记录（包括源 IP、目的 IP、源端口、目的端口、访问时间），一旦出现安全事件，可以进行快速完整的审计，迅速定位到个人。 2、设备本身具有的强大的安全防护能力锐捷核心及全线网络产品支持丰富的安全防护能力，包括防 DOS 攻击(Smurf、 Synflood)，防 IP 扫描(PingSweep)，防源 IP 地址欺骗(SourceIPSpoofing)、防 ARP 欺骗、防病毒、带宽控制等功能。锐捷网络还在继承已有的设备安全防护能力的技术基础上，开发出了集多种强大安全功能于一体的 CSS 安全体系设计

厘客对计算机网路构成的威助大体可分为两种：一是对网路中设备的威胁，针对设备系饶的漏洞成不足进行攻击，导致系统不能正常工作，甚至魔疾。二是对国络中信息的成肺，以各种方式有速择地破环，窃取网洛中的数据信息。C55安全体系正是通过从“系统和 “数据”两方面的安全技术米保护网络的安全， C©S安全体系主要是通过缓件安全蓝控技术、硬件安全防护技术、丰富的设备安全管理保证系统的安全，通过硬件的隆道技术，认证技术，加密技术保护了网络设备传输的慧据的安全。此外，还提供了万兆位的安全防护模块同时保护系统和数据。通过提供万兆位安全防护横块。可以对网络中的数据进行2-7层的安全监挖防护。 3,GSN全局安全解决方案 GSN2.1系统工作原理 ①用户使用网格前，首先由接人交膜机+RG-SAM 划其运行身最认证。由心-SAM检查用户身桥，融清或王艳用户的接入请求。 G-IDS 网阳5P学习用户的身自、主机环境等信取 RG-SHP 并物制定好的H第路下发R阳5U客户编： ①0SU附周户上通行州检春，为有检春萄果及销同ROS湖PW务卷： RG-SEP RG-SAM 只0s时料安全事特进行检测集。安全事作根告的民sP,并由eGsP反领至AG sP。 52100系列面民GsP然反被的家全事件进街授一管理梅安全事件联至用户， ⑦民G-s材P封每个用户的州检两结果和安伞事作进行处理。生域相恼的深略，并卜发草交装们话行RG-SU的用户C 执7。系统能够对全网的所有安全事件、网络病毒攻击行为、用户行为和用户主机安全信息进行深入分析和全局监控。通过这种实时全网使测，可以在第一时间内将网格异常现象通过接入层隔离出网络，使得网络异常现象完全不影响核心网路：在发现安全问题后能自动对用户选行安全事件告警，并迅速根据用户身份选择将用户隔离到安全修复区域域自动阳斯异常数据流，这一方案目简在包括集美大学在内的各高校取得了较好的应用效果。例证之一就是：盛极一时并迹成巨大影响的嫁猫烧香病毒，在这些学校都悄然无声。此外，通过部署GS器全局安全，还能轻松的进行主机信息获取：实现主机完整性() 规则（通过一系列规则的定文，的定了对用户主机的准入标准片利用先进的“免疫性”炉防病毒防攻击技术，阿底解决即木马等病毒/攻击带来的网络中断事故的影响。三、负载均衡、冗余备份的出口设计

广西职业技术学院 案例 高校校园网整体解决方案_网络设备配置技术

广西职业技术学院案例高校校园网整体解决方案_网络设备配置技术