大学网络方案.doc

*大学网络改造方案*大学网络改造项目规划目 录一、方案背景3二、网络现状4三、组网设计6一、 方案背景针对国家中长期教育改革和发展规划纲要中的“加快教育信息基础设施建设，把教育信息化纳入国家信息化发展整体战略，加快终端设施普及，推进数字化校园建设，实现多种方式接入互联网”要求，对*大学将“以需求为导向，以提高学校核心竞争力为目标”作为信息智能化校园建设的战略目标。校园网发展的几个阶段第一个阶段，可用的网络：随着大规模的PC部署，带来高校用户内部互联互通的需求，此阶段学校的重点集中在基础网络建设上，用户可以通过校园网访问内部互联互通，并可实现对INTERNET访问；第二个阶段，可控、可管的基础网络：随着校园网用户规模的不断扩大，以及互联网浪潮的兴起，校园上承载了越来越多的应用，校园网的安全问题也日益凸显，这一阶段，除了重视对基础网络的建设、基础网络带宽的扩容外，校园网的安全、可控是校园网的关注点；在这个阶段，校园网的基础架构已经建设完成；第三阶段：简单、可扩展的网络：随着移动互联网的兴起，移动无线终端的接入成为校园网建设的关注点，校园网向服务转型：更加注重终端用户的使用体验，并为各部门的业务建设提供支撑。此阶段，学校更加注重网络运营的效率，以确保网络架构能够快速支持的变化（终端数量的变化、应用的变化）； 目前，多数学校都处于第二阶段向第三阶段转型的过渡期；二、 网络现状*大学是一所以矿业工程为特色的高校，是国家教育部教学工作水平评估优秀高校，是服务国家特殊需求“煤矿事故应急救援与影响控制”博士层次人才培养项目的唯一一所高校,是 “十二五”期间重点建设的特色应用型本科高校。在60多年的办学历程中，学校始终践行“厚德博学、强吾兴邦”的校训，铸就了“自强不息、创业创新”的办学精神，培养出了10万余名优秀人才，为区域经济和我国煤炭工业的发展做出了突出的贡献，被誉为“煤炭工业的脊梁”。经过多年的发展建设已经发展为数万学生的超大规模的学校。*大学现有网络现有网络问题：1. 网络设备设备运行时间比较长；2. 人数增长快，认证系统已经跟不上人员终端的增长模式三、 方案设计针对现有问题。在保证网络整体架构基础下，重新部署两台核心层设备。采用核心区域集中管控和认证管理的方式组网，提出对现网最快的改造升级方式。方案具体拓扑图如下：方案拓扑图3.1 核心交换机升级可在已有的架构上平滑升级，保护已有投资；用户可有多种改造方式可供选择更换核心，维持现有网络架构不变更换核心，汇聚层网关上收到核心，接入分布式认证；更换核心，网关/认证上收到核心新业务快速上线，不需要大规模更换的设备； DCRS-9816 交换机提供采用32核CPU的管理板通过多核的并发处理，。同时在转发面采用了分布式过滤技术。提升网络认证性能目前，DCRS-9816交换机可支持最大90000双栈终端同时在线，用户认证上线的速率能达到1000人/秒以上。同时，集中认证网关设备DCRS-9816交换机有三大类线卡，这些线卡的交换芯片，通过该技术，可以灵活配比MAC、ARP、ND表项的容量，解决了传统交换芯片表项容量固定，无法按照用户需求提供灵活的容量定制。提升整网网络管理效率说明接入汇聚设备用户隔离当前推荐采用VLAN隔离方案；哑终端、特权用户的接入采用MAC认证方式，SAM建议特殊用户组，适用于哑终端、特殊设备入网免认证区域将免认证区域划分到一个VLAN内，并将该VLAN配置为免认证VLAN管理员认证后，区域内所有的用户可直接上线将免认证区域划分到一个VLAN内，该区域通过一台三层交换机接入到这个VLAN下SAM上，限制N18K对应这个区域的物理端口+VLAN，只允许管理员上线（SAM下一个版本支持）管理员认证通过后，该区域所有用户无需认证，直接上线特殊业务部门加入需要同其他用户网段隔离的特殊业务部门，可单独分配一个SVI给此类部门，为其配置单独的网段3.2 web Portal软件DCSM-RS是一套网络身份准入门户系统，配合锐捷网络的认证计费系统，进行基于WEB方式的身份认证或者域认证。为了满足针对无线用户实时安全监管的需要，方案可通过与核心交换机认证网关、计费认证系统的配合，进行多个场景的用户定位。可基于特定时间段或区域，例如学生在上课时段，校方希望禁止学生在教室内上网，需要对该区域的用户进行网络屏蔽。传统Web认证场景中, 是由交换机将所有http报文全部重定向到服务器，这样迅雷等下载软件，QQ等社交程序也会被重定向，并进行WEB认证跳转。这样就导致服务器大量的WEB认证处理资源被浪费，最终无法为正常的认证用户提供服务。这里我们利用了非页面访问无法解析http脚本文件的特性，避免服务器收到非页面访问的http报文，实现对服务器的降噪功能。确保Web认证的可行性、可用性。3.3 计费系统当前校园网的认证、计费场景，归纳起来，有几种方式：1. 按时长计费（上线时长）2. 周期计费（包月、包天）3. 按流量计费（根据用户实际使用流量进行计费）另外，针对用户不同的访问区域，也存在不同的计费方式，比如1. 校内流量免费、校外流量收费2. 教育网流量免费、运营商流量收费3. 国内流量免费、国际流量计费不仅如此，通过自定义计费策略配置为用户提供灵活、强大的计费策略配置，满足用户不同的计费要求；例如：周期、流量、计时计费三种方式可以组合成一种或几种计费策略，还提供周期不使用不扣费及复合分段计费等配置，为网络管理运营提供多种计费方式加上包月限无线流量，包月计无线流量部分。而差异化的运营管理是的有一大价值，分区域精细化管理，按照区域划分服务，不同的用户在不同的区域可以实现不同的服务，实现了精细化管理的理念。例如：在教学区、宿舍区和公共机房，分别是无线和有线接入，一个学生使用同一账户可以使用不同接入控制和相应的计费策略。认证原理：802.1X认证1、认证流程2、认证流程说明客户端：对应锐捷的RG-SU认证客户端。NAS：根据客户端当前的认证状态控制其与网络的连接状态。在客户端与服务器之间，该设备扮演着中介者的角色：从客户端要求用户名，核实从服务器端的认证信息，并且转发给客户端。Radius Server：对应锐捷的SAM认证计费系统，该系统为用户提供认证服务。认证服务器保存了用户名及密码，以及相应的授权信息，一台服务器可以对多台认证者提供认证服务，这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的记帐数据。Web认证1、 认证流程2、 认证流程说明用户打开IE，访问某个网站，发起HTTP请求。NAS截获用户的HTTP请求，由于用户没有认证过，就强制到Portal服务器。并在强制Portal URL中加入相关参数，具体参数参考CHAP认证。Portal服务器向用户终端推送WEB认证页面。用户在认证页面上填入帐号、密码等信息，提交到Portal服务器。Portal将帐号与密码提交到NAS，发起认证。NAS将帐号和密码一起送到中央RADIUS用户认证服务器，由中央RADIUS用户认证服