解决方案

嘉应大学校园网扩容解决方案

1.项目背景

嘉应学院是一所广东省直属本科院校,有着94年的办学历史。学院位于中国历史文化名城,客家人的聚居地,著名的文化之乡、华侨之乡—广东省梅州市。梅州在清朝时称嘉应州, 嘉应学院由此得名。学院现有普通全日制在校生11103人,成教类学生5878人,随着生源的增多,学校于2007年进行了校园网络的扩容。

2.用户需求分析

2.1 解决原有基于软件的认证计费系统兼容性及流量控制问题

原有的基于软件的认证计费系统是国内某网络设备厂商提供的。该认证计费系统在做基于802.1X的认证时,不兼容其它厂商设备,导致嘉应学院在购买设备时有很大的局限性。 另外,该认证计费系统不能对流量进行管理,无法控制BT下载等PtoP流量,导致在高峰值时,用户无法正常上网。

2.2 解决嘉应学院关于计费业务需求

实现为学生上网提供不同的计费方式(基于包月不限流、基于限流限时等方式),并提供完善的认证计费系统与接入层设备的配合使用,包括账号、MAC地址、IP地址、端口、VLAN、地理位置等多种元素自动绑定的灵活组合, 以唯一确定用户。同时能够对学生的上网时间做灵活的控制,具备上网业务的记录、查询和统计等功能。

2.3 解决原有网络出口设备对网络造成的瓶颈

嘉应学院原有网络出口设备是一台X86的防火墙,只提供百兆端口。在上网高峰期时,己处于满负载状态。由于新增宿舍楼信息点共有1500个左右,并且网络出口也进行了扩容,出口两条线路升级成千兆链路,同时增加了一条教育出口,这样整个学校网络出口有三条出口线路。 但原有防火墙无法满足两条千兆链路及6000个用户同时上网的业务需求,因此新增网络出口设备必须具备支持GE、FE等丰富的接口类型和高性能的NAT处理能力。

2.4 保证终端用户的单一接入性

目前很多宿舍采用一人申请账号,宿舍其它人员通过代理上网,学校无法控制上网用户的行为和流量,给学校管理和维护来带很大的困难。

2.5 网络核心设备的安全性和可靠性要求

原来的网络结构中,出口防火墙的可靠性比较差,经常出现高峰时段死机的现象。因此,客户对网络改造的出口设备提出了更高的安全性和可靠性。

3.嘉应学院校园网扩容项目

3.1 网络拓扑

3.2 关键设备

风云实业高性能Protium® D600全千兆防火墙; 风云实业高性能Galaxywind 6188BMG宽带认证计费网关; 风云实业高性能Tritium ® S8500系列万兆核心交换机; 风云实业Tritium ® S3000系列二层智能以太网交换机; 详细资料参见www.szforward.com以及产品手册。

3.3 GALAXYWIND 6188-BMG提供基于硬件平台的认证计费网关

Galaxywind 6188-BMG是基于硬件平台的认证计费网关,串联在防火墙与核心交换机之间,实现对整个网络的用户认证和出口流量控制。 该设备具有发生硬件故障时转换成非认证模式,同时发出告警的功能,满足用户对网络可靠性的技术要求。支持多样的认证方式(PPPOE、802.1X、WBE认证), 兼容目前市面上所有网络设备厂商的基于802.1X认证的数通设备。该设备在出口设备处属于透明模式,并不影响路由的选择及延时数据。

3.4 GALAXYWIND 6188-BMG提供多样性认证计费业务类型

Galaxywind 6188-BMG是风云实业自主研发的高性能千兆计费网关,根据嘉应学院的计费应用特点,及时响应并研发出针对嘉应学院的多种计费方式。 同时根据公安部对于上网行为的要求及记录,在计费网关上实现对所有的上网用户的行为记录及统计,满足公安部关于互联网的相关规定。

3.5 PROTIUM® D600提供千兆线路转发的NAT功能

Protium® D600采用基于NP(网络处理器)的分布式硬件转发和无阻塞交换矩阵的体系结构,具备电信级高可靠性,线速转发性能和完善的QoS机制。 Protium® D600支持100万并发连接,每秒处理20万新建连接;支持NAT并发连接数的限制、多线路备份、 NAT黑名单功能和风云实业公司独有的NAT线路探测技术,实现多线路之间的无缝切换。 Protium® D600支持GE、FE、POS等丰富的接口类型,所有接口线速转发,支持基于源、目的的策略路由, 实现不同ISP的数据流通过相应的链路传输的技术要求,同时达到线路备份的目的。

3.6 TRITIUM ® S3000支持基于MAC地址的绑定

风云实业Tritium ® S3026二层智能交换机支持802.1X功能,并且支持基于802.1X的信任MAC绑定(在启用802.1X端口下,自动绑定学习到的第一个MAC地址,做到一个端口对应一台PC), 解决了代理上网难以控制的问题;也实现了一旦发生网络攻击及违法行为,可以快速定位具体PC和个人的技术要求。

3.7 风云实业独有的安全策略提高自身安全和整个网络可靠性

ip local access-group(本地访问控制策略)是风云实业独有的安全策略机制。通过控制本地访问控制策略实现拒绝一切不可靠数据流对出口设备的访问, 有效的防御了互联网中对出口设备的DDos攻击。

4.综述

风云实业为嘉应中学量身定制的校园网解决方案,充分体现了高可靠、高安全、可管理的网络建设需求,满足用户对网络计费认证和安全控制的技术要求。 风云实业始终聆听客户心声、关注技术发展,倾心倾力与高校共同打造新一代高安全、易管理、可运营的高校园区网!