烽火網(wǎng)絡校園網(wǎng)解決方案

一、校園網(wǎng)背景分析

校園網(wǎng)是學校發(fā)展的重要基礎設施，是提高學校教學和科研水平不可缺少的支撐環(huán)境。校園網(wǎng)一方面它為學校提供各種本地網(wǎng)絡應用，另一方面它是溝通學校校園網(wǎng)內(nèi)外部網(wǎng)絡的橋梁。目前校園網(wǎng)有以下幾個顯著特點：

1、高速的局域網(wǎng)連接――校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡，因此園區(qū)局域網(wǎng)是該系統(tǒng)的建設重點，并且網(wǎng)絡信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡的一項基本要求；

2、信息結(jié)構(gòu)多樣化――校園網(wǎng)應用分為電子教學(多媒體教室、電子圖書館等)、辦公管理和遠程通訊(遠程教學、互聯(lián)網(wǎng)接入、FTP服務、聯(lián)網(wǎng)游戲等)三大部分內(nèi)容。數(shù)據(jù)類型復雜，不同類型數(shù)據(jù)對網(wǎng)絡傳輸有不同的質(zhì)量需求；

3、安全可靠――校園網(wǎng)中同樣有大量關于教學和檔案管理的重要數(shù)據(jù)，不論是被損壞、丟失還是被竊取，都將帶來極大的損失；

4、操作方便，易于管理――校園網(wǎng)面積大、接入復雜，網(wǎng)絡維護必須方便快捷，設備網(wǎng)管性強，方便網(wǎng)絡故障排除。

5、認證計費――學校對學生上網(wǎng)必須進行有效的控制和計費策略，保證網(wǎng)絡的利用率。

校園網(wǎng)網(wǎng)絡系統(tǒng)從結(jié)構(gòu)層次上分為核心層、匯聚層和接入層；從功能上基本可分為校園網(wǎng)絡中心、教學子網(wǎng)、辦公子網(wǎng)、宿舍區(qū)子網(wǎng)、圖書館子網(wǎng)等。根據(jù)校園網(wǎng)用戶數(shù)量的多少和網(wǎng)絡應用的情況，可以分為大型校園網(wǎng)、中型校園網(wǎng)、小型校園網(wǎng)三種。

基于上述校園網(wǎng)的特點，我們在設計校園網(wǎng)絡時必須充分考慮網(wǎng)絡的先進性、標準化和開放性、可靠性和可用性、靈活性和兼容性、實用性和經(jīng)濟性、安全性和保密性、擴展性和網(wǎng)絡的靈活性等特性，充分利用有限的投資，建設一個性價比比較高的綜合性網(wǎng)絡。

烽火網(wǎng)絡綜合考慮校園網(wǎng)特點，推出了一套高帶寬、高效率、宜擴容、高經(jīng)濟性的校園網(wǎng)解決方案。

二、網(wǎng)絡解決方案

1、大型校園網(wǎng)解決方案

大型校園網(wǎng)絡結(jié)構(gòu)復雜、用戶數(shù)量龐大、網(wǎng)絡應用繁多且流量大，網(wǎng)絡的通信系統(tǒng)大量涉及校際互連、網(wǎng)際互連等。對于如此復雜的網(wǎng)絡，必須充分考慮網(wǎng)絡的容量、網(wǎng)絡的安全性、冗余性和網(wǎng)絡的擴展性。因此烽火網(wǎng)絡采用層次化網(wǎng)絡拓撲結(jié)構(gòu)，如圖1所示：

核心層采用兩臺F-engine E600高性能萬兆核心路由交換機，雙核心結(jié)構(gòu)互相分擔網(wǎng)絡流量，互為備份，之間采用萬兆鏈路，保障了網(wǎng)絡核心的可靠性和冗余性，為整個校園網(wǎng)提供高速路由和數(shù)據(jù)轉(zhuǎn)發(fā)。校園網(wǎng)內(nèi)部服務器群以及網(wǎng)管PC通過千兆端口與E600千兆模塊高速連接。

匯聚層采用三層交換機F-engine S3500/S4603的GE端口與核心E600相連，提供1000M主干鏈路，之間可以互為備份，當一臺設備出現(xiàn)故障時，網(wǎng)絡流量可以從另一臺設備轉(zhuǎn)發(fā)。S3500/S4603提供高密度快速以太網(wǎng)和千兆以太網(wǎng)接口；支持完備和豐富的二/三層協(xié)議，等級服務、流處理、QoS保證機制以及強大的業(yè)務處理和認證計費等應用服務，適應各種復雜網(wǎng)絡的應用要求。

在用戶接入層網(wǎng)絡設計上，烽火網(wǎng)絡采用F-engine M8000多業(yè)務分組平臺和F-engine S2000M/ S2205A二層交換機，采用最新ESR技術進行環(huán)網(wǎng)設計，如圖1在接入層通過ESR環(huán)網(wǎng)可以把地理位置相當比較集中，用戶接入量比較多的接入點組成一個100M或1000M ESR環(huán)。

整個校園網(wǎng)絡做到了100Mbps到桌面，1000Mbps鏈路到主干、10000Mbps鏈路到核心。用戶端采用ESR環(huán)網(wǎng)做保護，匯聚層采用雙機雙鏈路做保護，核心采用雙機做備份和流量分擔；是一個高可靠、高容量的校園網(wǎng)解決方案。

圖1

2、中小型校園網(wǎng)解決方案

中小型校園網(wǎng)絡結(jié)構(gòu)相對比較簡單、用戶數(shù)量從幾百到幾千、網(wǎng)絡的通信系統(tǒng)以內(nèi)網(wǎng)交換和Internet連接為主。對于這種網(wǎng)絡，即要充分考慮網(wǎng)絡建設成本，還要考慮網(wǎng)絡的擴展性和網(wǎng)絡的安全性。烽火網(wǎng)絡針對中小型校園網(wǎng)提出了如圖2所示的解決方案。

在網(wǎng)絡中心機房采用S4603或S3552，完成所有用戶流量匯聚和數(shù)據(jù)轉(zhuǎn)發(fā)。用戶接入層采用M8000和S2000M/ S2205A組網(wǎng)，通過ESR環(huán)網(wǎng)可以把地理位置相對比較集中，用戶接入量比較多的接入點如教學區(qū)、實驗樓、行政樓組成一個環(huán)網(wǎng)。其它比較分散的節(jié)點通過光纖組成星型網(wǎng)絡。S4603路由交換機在校園網(wǎng)核心層完成部分校園網(wǎng)內(nèi)部Intranet訪問和Internet訪問路由轉(zhuǎn)發(fā)、NAT地址轉(zhuǎn)換和用戶認證，以及外部用戶訪問校園網(wǎng)內(nèi)部資源的路由轉(zhuǎn)發(fā)。

如果網(wǎng)絡中數(shù)據(jù)流量比較大，接入用戶比較多時，可以在核心設備S4603/ S3552下面通過S3101或S3528進行連接。用戶的大量流量先匯聚到S3101/S3528上進行處理，然后需要上傳的流量才轉(zhuǎn)發(fā)到核心S4603/S3552上，通過兩級處理有效的分擔核心層設備的流量，避免所有用戶的流量都經(jīng)過核心層，減輕核心層設備的工作壓力，提高網(wǎng)絡的工作效率和性能。

圖2

三、方案特點

本校園網(wǎng)解決方案中采用了烽火網(wǎng)絡最先進的萬兆核心路由交換設備和ESR環(huán)網(wǎng)技術，為各種校園網(wǎng)絡提供了強大的業(yè)務支持能力和可靠的網(wǎng)絡保障。本方案具有以下顯著的特點：

1、智能業(yè)務感知和流量控制

烽火網(wǎng)絡多業(yè)務分組平臺和二三層交換機提供強大的業(yè)務感知和流量控制能力，能夠?qū)崟r收集網(wǎng)絡流量和應用數(shù)據(jù)吞吐量等準確信息，并提供使用情況報告，從而了解學生上網(wǎng)的情況，并基于此對于相關上網(wǎng)應用進行有效控制。通過業(yè)務感知和控制功能，可主動實現(xiàn)對學生分配寬帶線路的策略，專門限制某些流量的吞吐量，或者使用整形技術將其移動到高峰以外的時間處理，以提高高峰期的性能，防止網(wǎng)絡瓶頸，提高網(wǎng)絡利用率和可靠性。如跟蹤用戶數(shù)據(jù)，并按照使用的協(xié)議和處理的應用進行分類控制。

2、學生上網(wǎng)認證和計費

烽火網(wǎng)絡接入層交換機支持IEEE802.1X認證，通過IEEE802.1X認證可以對學生上網(wǎng)進行控制，避免非法用戶接入。同時S4603和E300/E600支持Radius計費功能，能基于流量和時長對學生上網(wǎng)進行計費。

3、完善的網(wǎng)絡病毒及網(wǎng)絡攻擊防范策略

由于校園網(wǎng)是一個比較復雜的獨特的網(wǎng)絡，內(nèi)外網(wǎng)用戶數(shù)量繁多、各種網(wǎng)絡應用頻繁發(fā)生，各種網(wǎng)絡病毒和網(wǎng)絡攻擊時時刻刻都可能發(fā)生。針對此類情況，烽火網(wǎng)絡從核心層到接入層實施各種防范措施。核心層E600主控制卡RPM提供流量控制、速率限制和包過濾功能，具有超強控制能力，可以過濾各種網(wǎng)絡病毒、非法包和網(wǎng)絡攻擊。三層交換機能自動的抑制網(wǎng)絡中的廣播風暴；抗擊TCP、UDP、ICMP等類型的DOS攻擊；自動防止端口掃描；過濾沖擊波、震蕩波等致命的網(wǎng)絡病毒。M8000和S2000M可通過分析網(wǎng)絡流量、自動過濾非法數(shù)據(jù)，使得設備對大量掃描予以防護和拒絕。通過對網(wǎng)絡流量的檢查、管理和監(jiān)控，有效管理網(wǎng)絡安全，使整個網(wǎng)絡擁有“自動免疫”的安全機能。烽火網(wǎng)絡交換機和核心路由器還支持用戶帳號、IP地址、MAC地址、接入端口等多元素進行靈活綁定，可限制接入用戶接入的上下行速率和網(wǎng)絡鏈接等，對用戶訪問進行的最大程度的嚴格控制， 

4、高智能，多業(yè)務接入的網(wǎng)絡

烽火網(wǎng)絡多業(yè)務分組平臺可承載數(shù)據(jù)、TDM和視頻業(yè)務的高可靠性傳輸。采用M8000可以實現(xiàn)校園網(wǎng)內(nèi)部電話的連接，無需再鋪設電話線；充分保護了網(wǎng)絡資源和節(jié)約投資費用。同時烽火網(wǎng)絡交換機支持IGMPv3，支持的組播條數(shù)可達500條，完全滿足校園網(wǎng)今后對流媒體業(yè)務點播的需求。

5、高性能、高可靠、高可擴展的網(wǎng)絡

核心設備E600提供了900Gbps無阻塞交換能力，在一個機框內(nèi)它可以提供168個線速千兆接口或14個線速萬兆接口。保障了網(wǎng)絡的高性能和擴展性。所有關鍵部件（交換模塊、路由模塊，電源模塊）做了冗余設計，支持在線熱插拔，可以從性能、可靠性等方面為大型校園網(wǎng)提供了強有力的保障。

6、ESR接入環(huán)網(wǎng)

在校園網(wǎng)解決方案用戶接入層采用基于ITU-T X.87標準的ESR技術組成環(huán)網(wǎng)結(jié)構(gòu)，可實現(xiàn)50毫秒保護倒換，很好解決了環(huán)網(wǎng)廣播風暴抑制和鏈路或設備故障快速倒換。同時環(huán)網(wǎng)還可以節(jié)約光纖資源，避免了星型光纖直驅(qū)方式下的大量光纖資源消耗。

7、方便易行的網(wǎng)絡管理

烽火網(wǎng)絡所有IP數(shù)據(jù)設備支持多種方式網(wǎng)絡管理功能，可通過Web瀏覽器、Telnet、SNMP、RMON等方式有效地對網(wǎng)絡設備進行管理和配置。通過烽火網(wǎng)絡WView網(wǎng)管平臺可以對全網(wǎng)設備實現(xiàn)配置管理、故障管理、安全管理、性能管理等功能。通過網(wǎng)管系統(tǒng)可以實現(xiàn)遠程線路故障診斷定位（精度1米），為龐大的校園網(wǎng)網(wǎng)管工作人員網(wǎng)絡故障排除節(jié)約大量時間；

烽火網(wǎng)絡二三層交換機還支持統(tǒng)一集群網(wǎng)管，一個IP地址可對500臺交換機統(tǒng)一管理，為校園網(wǎng)節(jié)約寶貴的IP資源。