中小型校园网络结构相对比较简单、用户数量从几百到几千、网络的通信系统以内网交换和Internet连接为主。对于这种网络,即要充分考虑网络建设成本,还要考虑网络的扩展性和网络的安全性。网络针对中小型校园网提出了如图2所示的解决方案。
在网络中心机房采用S4603或S3552,完成所有用户流量汇聚和数据转发。用户接入层采用M8000和S2000M/ S2205A组网,通过ESR环网可以把地理位置相对比较集中,用户接入量比较多的接入点如教学区、实验楼、行政楼组成一个环网。其它比较分散的节点通过光纤组成星型网络。S4603路由交换机在校园网核心层完成部分校园网内部Intranet访问和Internet访问路由转发、NAT地址转换和用户认证,以及外部用户访问校园网内部资源的路由转发。 如果网络中数据流量比较大,接入用户比较多时,可以在核心设备S4603/ S3552下面通过S3101或S3528进行连接。用户的大量流量先汇聚到S3101/S3528上进行处理,然后需要上传的流量才转发到核心S4603/S3552上,通过两级处理有效的分担核心层设备的流量,避免所有用户的流量都经过核心层,减轻核心层设备的工作压力,提高网络的工作效率和性能。
本校园网解决方案中采用了网络最先进的万兆核心路由交换设备和ESR环网技术,为各种校园网络提供了强大的业务支持能力和可靠的网络保障。本方案具有以下显著的特点:
1、智能业务感知和流量控制 网络多业务分组平台和二三层交换机提供强大的业务感知和流量控制能力,能够实时收集网络流量和应用数据吞吐量等准确信息,并提供使用情况报告,从而了解学生上网的情况,并基于此对于相关上网应用进行有效控制。通过业务感知和控制功能,可主动实现对学生分配宽带线路的策略,专门限制某些流量的吞吐量,或者使用整形技术将其移动到高峰以外的时间处理,以提高高峰期的性能,防止网络瓶颈,提高网络利用率和可靠性。如跟踪用户数据,并按照使用的协议和处理的应用进行分类控制。 2、学生上网认证和计费 网络接入层交换机支持IEEE802.1X认证,通过IEEE802.1X认证可以对学生上网进行控制,避免非法用户接入。同时S4603和E300/E600支持Radius计费功能,能基于流量和时长对学生上网进行计费。 3、完善的网络病毒及网络攻击防范策略 由于校园网是一个比较复杂的独特的网络,内外网用户数量繁多、各种网络应用频繁发生,各种网络病毒和网络攻击时时刻刻都可能发生。针对此类情况,烽火网络从核心层到接入层实施各种防范措施。核心层E600主控制卡RPM提供流量控制、速率限制和包过滤功能,具有超强控制能力,可以过滤各种网络病毒、非法包和网络攻击。三层交换机能自动的抑制网络中的广播风暴;抗击TCP、UDP、ICMP等类型的DOS攻击;自动防止端口扫描;过滤冲击波、震荡波等致命的网络病毒。M8000和S2000M可通过分析网络流量、自动过滤非法数据,使得设备对大量扫描予以防护和拒绝。通过对网络流量的检查、管理和监控,有效管理网络安全,使整个网络拥有“自动免疫”的安全机能。烽火网络交换机和核心路由器还支持用户帐号、IP地址、MAC地址、接入端口等多元素进行灵活绑定,可限制接入用户接入的上下行速率和网络链接等,对用户访问进行的最大程度的严格控制。 4、高智能,多业务接入的网络 网络多业务分组平台可承载数据、TDM和视频业务的高可靠性传输。采用M8000可以实现校园网内部电话的连接,无需再铺设电话线;充分保护了网络资源和节约投资费用。同时烽火网络交换机支持IGMPv3,支持的组播条数可达500条,完全满足校园网今后对流媒体业务点播的需求。 5、高性能、高可靠、高可扩展的网络 核心设备E600提供了900Gbps无阻塞交换能力,在一个机框内它可以提供168个线速千兆接口或14个线速万兆接口。保障了网络的高性能和扩展性。所有关键部件(交换模块、路由模块,电源模块)做了冗余设计,支持在线热插拔,可以从性能、可靠性等方面为大型校园网提供了强有力的保障。 6、ESR接入环网 在校园网解决方案用户接入层采用基于ITU-T X.87标准的ESR技术组成环网结构,可实现50毫秒保护倒换,很好解决了环网广播风暴抑制和链路或设备故障快速倒换。同时环网还可以节约光纤资源,避免了星型光纤直驱方式下的大量光纤资源消耗。 7、方便易行的网络管理 网络所有IP数据设备支持多种方式网络管理功能,可通过Web浏览器、Telnet、SNMP、RMON等方式有效地对网络设备进行管理和配置。通过烽火网络WView网管平台可以对全网设备实现配置管理、故障管理、安全管理、性能管理等功能。通过网管系统可以实现远程线路故障诊断定位(精度1米),为庞大的校园网网管工作人员网络故障排除节约大量时间; 烽火网络二三层交换机还支持统一集群网管,一个IP地址可对500台交换机统一管理,为校园网节约宝贵的IP资源。
