论文部分内容阅读
湖南工程学院校园网络拓扑图
方案的实施,满足了大学校园网络应用的需求,解决了全网用户的安全认证要求,能根据用户的特征由网络管理人员给予个性化的服务,实施针对用户的安全策略,而且不用考虑用户处在校园网络中的哪个位置、接入到哪个交换机的端口上。
用户概况:
湖南工程学院是一所有着55年办学历史的工程类大学,随着学校的扩招和学科设置的增多,新增校园面积1200亩,新校区与原有的二个校区通过光纤互联。校园网络工程建设项目的指导思想是:先进性、可靠性、安全性、可扩展性、开放性、经济性、可管理性、易维护性,目标是建立一个以先进的多层交换机与多条万兆以太网构成核心体系的高性能、高可靠性的三校区互连网络。
湖南工程学院创建于1951年,坐落于湖南省湘潭市,占地面积1811多亩,现有校舍面积39.2万平方米,固定资产原值4.5亿元。校园育人环境良好,是省“园林式单位”和“文明高等学校”。现有在职职工1157人,其中专任教师657人,教授、副教授264人,博士、硕士265人。学员共有本科专业34个,涵盖了5个学科门类,形成了以工为主,工、管、文、理、经多学科协调发展,本科教育为主,其它教育形式为辅的办学的格局,全日制普通在校学生达11785人。
原有的校园网络设备始建于1999年,几年来,网络业务种类和用户接入数量成几何级数增长,目前三个校区需要通过校园网络高速互联实现统一的教学和办公系统,原有校园网的硬件基础设施和网络结构已不能满足日益增加的用户需要,其主要表现在:
1、网络结构不合理:
校园网络的结构和方案是2000年规划和设计的,大多采用的是二层结构,核心设备压力很大,特别是随着目前上网用户剧增,校园网络常表现不稳定,需要重新进行规划和设计,使整个校园网络和结构更趋合理,网络更趋稳定。
2、校园网络内部运行带宽略显不足
学院的网络骨干和到大部分楼宇链路设施都是在2000年设计和选型的,校园网经过近四年的发展,信息节点的剧增,网络应用服务的增加,网络资源的丰富,特别是像多媒体的应用、数字图书资源、网络课件等很多网络应用都需要很大的带宽,使得整个网络的带宽明显不足,无法满足应用需求。
3、主要设备老化
由于学院网络是在2000年前建设的,核心交换机为思科的6006,而该款设备已经停产,即使想对该设备进行升级都很困难;像很多汇聚设备都是二层设备,接入设备还有一些非网管设备,这些设备已经不能满足现有的应用需求,同时很多设备都出现端口损坏,造成广播风暴,给正常的网络应用带来很大问题,也造成了整个校园网络的不稳定。
4、网络安全管理乏力
当前网络蠕虫、网络病毒及黑客攻击事件层出不穷,加上校园网独有的开放性,以及校园网用户强大的求知欲望和探索欲望,使得校园网络经常处于内外夹击的状态。目前湖南工程学院的校园网只是仅通过一台防火墙防御外来的攻击,对于关键数据和应用未能再有其它的安全保障,网络安全管理又显得乏力。因此考虑一些必要的安全解决方案,保证校园网络的可信运行也是势在必行。
总之,现有的网络性能与用户现实要求仍有较大差距,必须对校园网络进行整个的升级改造。
预期目标
新的校园网络建设要实现:
先进性:核心交换机具备高密度的万兆端口,汇聚交换机有万兆上联端口,交换机满配置能实现线速转发,硬件实现ACL,Qos,组播等功能。
可靠性:核心、汇聚、接入都采用冗余连接,确保物理层、链路层、网络层运营稳定、可靠。
安全性:不以影响网络性能为代价,实现病毒和攻击的监测与防护;对用户实施接入控制,可精细地定义用户,赋予用户使用网络的功能和范围。
可扩展性:交换机的交换容量大,模块插槽多;应使用工业标准互联,建设网络尽可能不用厂商专有互联技术。
开放性:网络设备能互联互通,网络用户管理功能与操作系统、应用层网关互通,能与防病毒系统连动。
经济性:非常好的投资保护能力和低的运营维护成本。
可管理性:所有设备支持标准的网管协议,使用网管软件进行统一管理,能够对传输流量实时观测,分类,统计,分析,为网络运行、控制、规划、升级提供可靠的依据。
易维护性:提供各种管理、监控、维护手段,自动分类报告各种预警和管理事件。
技术解决方案
明确了网络建设的原则,获取网络规模的具体数量,准确估算了未来3年的网络业务流量需求,用户经过反复比较、选型和论证,最后选定了ProCurve Networking by HP的自适用边缘架构企业网络设计理念及万兆以太网解决方案和产品。
ProCurve Networking By HP解决方案这种新理念以两个主要原则为基础:以集中的方式保持全面的网络控制,并将控制和智能推至连接用户的网络边缘。实现这些目标,使得网络基础设施架构将网络为中心转变为用户为中心成为可能。
所有的交换机都提供智能化的边缘控制,如802.1X接入认证。对于教学机房的网络接入,可将非智能化的交换机接入到5308xl,5308xl每个端口支持并发的多个802.1x用户认证。5308xl系列交换机中集成专利技术的IPS(入侵检测系统)技术组件,具有病毒抑制功能,这种技术并不是依靠病毒特征码进行病毒的识别,它无需外置IPS模块,而是根据类似蠕虫病毒的特性来进行病毒的划分,识别可路由vlan上的数据特性,可智能的进行病毒的抑制、阻断、防御,在不增加网络负担、管理复杂程度的前提下,缩短对病毒的反应时间。
网络的管理和用户接入控制采用ProCurve Networking By HP 的 IDM 解决方案,实现中心命令 (ProCurve Manager Plus 和 IDM) 以及边缘控制(智能化边缘设备,支持802.1x或基于MAC地址、基于Web的用户认证)。
方案点评:
该校园网络的建成能有效地支持多媒体应用,集文本、语音、视频传输为一体,并有机地与湖南工程学院现
有校区网络相结合,为湖南工程学院数字化校园提供了非常可靠的通信基础平台。