中兴校园网解决方案

校园网的特点与需求　　随着因特网的快速普及与高速发展，校园网已经成为每个学校必备的信息基础设施之一，是学校提高教学、科研及管理水平的重要途径和手段，尤为国家对教育信息化的大力推进和支持，极大地鼓励学校积极参与对校园网建设。　　校园网，作为一种独特的模式，既具有一般企业网的特质，又有其特殊的地方。相同之处在于：作为集团用户，接入网络都需要具有一定的独立性和相当的可统计、可管理性的特性；较之一般的企业网，校园网又会面临更复杂的用户类型和业务需求，它不是单纯的办公网络，是一个承载教学、办公自动化、图 校园网的特点与需求 　　随着因特网的快速普及与高速发展，校园网已经成为每个学校必备的信息基础设施之一，是学校提高教学、科研及管理水平的重要途径和手段，尤为国家对教育信息化的大力推进和支持，极大地鼓励学校积极参与对校园网建设。 　　校园网，作为一种独特的模式，既具有一般企业网的特质，又有其特殊的地方。相同之处在于：作为集团用户，接入网络都需要具有一定的独立性和相当的可统计、可管理性的特性；较之一般的企业网，校园网又会面临更复杂的用户类型和业务需求，它不是单纯的办公网络，是一个承载教学、办公自动化、图书馆等多种业务和应用的平台，并且有部分网络资源用来经营，因此对投资回报有更高的要求。 当前校园网的主要特点： 　　网络吞吐能力高、速度快、系统规模大（多校区） 　　用户群庞大、多层次（教师、学生等） 　　用户接入方式多样（PPPoE、DHCP＋Web、802.1x、专线接入、WLAN等） 　　网络环境复杂、多网共存（教学网、科研网、办公网、无线网、学生宿舍网、教工家属网等） 　　数据类型多样（数据、语音、视频等） 　　数据业务复杂（网上点播、电子教室、财务、政务等） 　　用网时间集中、同时在线人数众多、流量巨大且分布时段不均 　　学生活跃、好奇、敢于尝试、攻击性强 　　计算机蠕虫、病毒泛滥 　　网络行为突发性高 　　开放的网络环境 　　新技术、新应用－技术先进（Cernet2、IPV6试验床） 　　盗版资源泛滥 　　有限的投入 　　校园网的主要需求： 　　高性能 　　高可靠性、高稳定性 　　高安全性 　　完善的QOS 　　强大的组播支持能力 　　多业务融合 　　可操作、易管理 　　灵活的计费策略 　　扩展能力强 　　投资保护－高性价比、平滑升级 　　通过构筑一个高速、安全、可靠、可扩充的网络，建立远程教育系统、多媒体点播系统、校园一卡通系统、电子图书馆系统等，实现校内信息的高度共享、传递，教学、科研、后勤、管理等各个领域的信息化，最终完成“数字化校园”设计目标。 　　校园网解决 　　校园网根据信息节点的规模可分：小型校园网（<100信息节点），中型校园网（100－300信息节点），大型校园网（>300信息节点），校校通工程（教育城域网）。 　　大型校园网解决方案 　　 　　如上图所示，一个大型的校园网不亚于运营商网络，甚至比运营商更为复杂、庞大。网络主要由核心层、骨干层、汇聚层、接入层组成，构筑了一个万兆主干的高速校园城域网。 核心层以太环网由万兆路由器组成，支持高性能的线速转发能力，具备强大的IPV4/IPV6路由支持能力，支持手工、自动配置隧道、6To4隧道、NAT-PT等IPv4－IPv6过渡技术、具备强大的新业务支持能力，支持MPLS TE功能，支持L2/L3 MPLS VPN功能，支持MPLS FRR功能，支持BFD功能，支持IGMP、DVMRP、PIM-SM/DM等多种组播协议，提供丰富的Qos特性，支持基于端口、MAC、VLAN、802.1p、DSCP、IP五元组、MPLS EXP等的复杂流分类，支持PQ、CQ、WFQ、WRED等多种拥塞管理和拥塞避免算法，支持ACL安全过滤特性，基于硬件的线速NAT，支持策略路由、负荷分担、统计等功能，支持VoIP业务，具备抗病毒能力，关键部件支持冗余备份，所有部件支持热拔插，便于维护。 　　骨干层采用机架式、模块化的高端万兆路由交换机，具备大容量、高性能的线速的L2/L3/L4交换能力，支持丰富的IPV4/IPV6单播、组播路由协议，支持V4-V6过渡技术，具备强大的安全功能，支持ACL过滤，提供基于用户、地址、应用以及端口的安全控制功能，支持BFD功能，支持uRPF、防DDos攻击、SSH2.0、802.1x接入与透传，VLAN与MAC、端口、IP绑定等，支持DHCP Snooping/Relay/Option 82 ，支持VBAS协议，支持MPLS、L2/L3 MPLS VPN、NAT、QOS、带宽控制、IPTV可控组播等高级功能，具备抗病毒机制，关键设备采用设备冗余，链路冗余设计。 　　汇聚层采用高性能端口密集型的L3路由交换机，支持L2/L3线速转发，支持完善的路由协议，支持RIP1/2、OSPFv2、BGP-4、IS-IS等路由协议，支持IGMP、DVMRP、PIM-SM/DM等组播协议，支持VLAN、LACP、STP/RSTP/MSTP等丰富的二层协议，支持基于端口、MAC、VLAN的802.1x远端/本地认证和透传，支持MAC、VLAN、端口的绑定，支持MAC地址限制功能，支持DHCP Snooping/Relay/Option 82，支持VBAS协议，支持IGMP Snooping/IPTV可控组播，支持集群管理协议，支持强大的安全和Qos功能，支持二层到七层的流分类、流线速和过滤功能，支持基于VLAN、二层、三层、四层以及混合ACL，支持基于时间段的ACL，支持多种队列调度算法，支持WRED拥塞避免和端口流量整形，支持CAR、支持广播风暴抑制，具备抗病毒、防攻击能力。 　　接入层采用固定接口和模块化接口结合的快速以太网交换机，具备光纤接入能力，支持L2的全线速交换，支持VLAN、LACP、STP/RSTP/MSTP等丰富的二层协议，支持端口隔离功能，支持单端口环路检测功能，支持基于端口、MAC的802.1x远端/本地认证和透传，支持MAC、VLAN、端口的绑定，支持MAC地址限制功能，支持VBAS协议，支持IGMP Snooping/IPTV可控组播，支持集群管理协议，支持802.1p协议，支持基于端口的优先级功能，支持802.3x流量控制，支持端口速率限制功能，支持广播风暴抑制，具备线路自动检测/诊断功能，支持SNMP统一网管，具备CPU保护功能，防攻击。 　　中小型校园网解决方案 　　 　　中小型校园网不象大型的校园网那样具有广大的地域分布性，信息节点相对较少，功能需求相对比较集中，主要特点如下： 　　千兆/万兆主干、百兆交换到桌面 　　关键设备采用设备冗余，链路冗余设计 　　对各个职能部门进行合理的VLAN划分，控制网络资源访问 　　利用强大的ACL功能进行用户的访问控制 　　提供完善的Qos服务质量保证功能，保证教学和管理正常稳定运行 　　对于部门较大的可以采用三层交换机进行部门接入汇聚 　　提供完善的802.1x可控用户接入解决方案，支持用户帐户与IP、MAC、VLAN、端口等多元素绑定，支持防用户私设Proxy，控制用户资源的合理使用 　　提供完善灵活的用户计费策略 　　支持DHCP Snooping、DHCP Relay，防止私接DHCP Server，防止IP地址盗用、冲突 　　支持用户地址数目限制 　　提供强大的NAT功能　　 　　采用硬件防火墙提供安全的防护 　　采用统一网管对网络设备进行管理和监控 　　高效、稳定、可靠、安全、开放、可扩展、易管理 教育城域网解决方案 　　 　　随着国家对“校校通”工程的推进，利用先进的技术，将各高校、教委、各中小学通过计算机网络连接起来，实现教育信息化的需求越来越紧迫。教育城域网可以采用千兆或万兆作为网络核心来提高整个网络的吞吐量，市教委核心骨干网络采用高性能、机架式、模块化的高端路由交换机，具备大容量、高性能的线速的L2/L3/L4交换能力，支持丰富的单播/组播路由协议，具备强大的安全功能，支持ACL过滤机制，支持MPLS、二层、三层MPLS VPN、NAT、QOS、带宽控制、可控组播等高级功能，具备抗病毒机制，关键设备采用设备冗余，链路冗余设计。根据实际的物理资源和地域分布，采用不同的方式将学校接入城域网；对于较近的学校，可以利用光纤就近直接接入城域网；对于无法直接接入城域网的学校，可以利用运营商网络进行接入；对于边远地区的学校可以利用微波等手段接入城域网。各学校按照各自的规模构建相应的校园网。网络中心采用统一网管对网络设备进行全网的管理和监控，对外出口采用硬件防火墙对全网进行安全防护，保证数据的安全和完整性。 　　 校园网解决方案的特点 　　1）接入方式多样性，具备PPPOE、DHCP＋WEB、802.1x、专线固定IP接入、WLAN无线接入、VPN接入等接入能力 　　2）支持多ISP接入，接入教育网Cernet、Cernet2、运营商Internet网络 　　3）具备完善的地址策略，采用公网、私网灵活混合组网形式，在校园网出口可以采用基于硬件的NAT方式解决学校公网IP地址不足 　　4）支持Triple Play多业务融合，实现数据（DATA）、语音（VOIP）、视频（VOD）的承载。 　　5）具备完善的802.1x解决方案： 　　支持基于端口/VLAN和MAC的802.1x认证方式 　　支持本地认证和远端认证 　　支持用户帐户与用户IP、MAC、接入交换机桥MAC、端口、VLAN、DHCP Server等多元素的静态或动态自动绑定，防IP、MAC地址盗用 　　支持认证前后的动态ACL下发，允许用户认证前访问部分有限资源，实现免客户端下发、上网自助服务等 　　支持用户自助解绑定功能，控制解绑定次数，实现用户的漫游 　　支持防代理、双网卡、双IP、会话Session数目限制，控制用户资源的合理使用 　　支持基于用户策略控制功能，如带宽保证 　　支持对用户地址属性监测功能，禁止用户私自更改IP地址属性 　　支持基于时间段的上网认证功能 　　支持客户端软件的自动升级 　　支持对用户认证失败和下线提示信息反馈功能 　　支持用户查看上网时间和剩余时间功能 　　6）支持灵活的计费策略 　　支持包月、时长或有限时长包月、流量或有限流量包月、预付时长、预付流量、实时扣费、卡业务、封顶、增值服务等计费方式，网络管理员同时可以自定义计费策略，如设置优惠时段、对不同的用户、不同的增值服务类型可采用不同的计费策略和资费等。 　　支持包月、包日方式时，对于当月、当日没有认证使用情况不计费，依次顺延 　　支持包月情况下，根据不同开户日期，采用不同的当月资费标准。 　　支持Keepalive报文，支持中间记帐报文、开机记帐报文等，避免用户呆死、交换机死机情况的计费信息丢失。 　　支持网管、计费平台的二次开发功能 7）人性化的自助服务平台 　　修改密码 　　余额查询 　　上网查询 　　上网充值 　　解绑定设置 　　客户端软件下载 　　个性化服务 　　8）完善的Qos保证 　　强大业务感知能力 　　支持L2～L7的复杂流分类 　　支持基于端口、VLAN、802.1P、DSCP、 MPLS EXP优先级 　　支持CAR功能 　　支持三色带宽保证 　　流量监管、流量整形 　　支持PQ、CQ、WFQ、WRED等多种拥塞管理和拥塞避免算法 　　支持流镜像、流量统计、SFLOW 　　保障教学和管理正常稳定运行 　　9）全网组播能力的支持 　　支持IGMP、DVMRP、PIM-SM/DM等多种组播协议 　　支持中兴IPTV可控组播管理方案 　　保障教育视频、音频等组播内容的高质量传输 　　节省带宽 　　10）可靠的安全保障 　　支持PORT＋VLAN ＋IP＋MAC的绑定，保证用户的安全 　　支持基于端口、VLAN的用户地址数目限制 　　完善的ACL，提供基于VLAN、以太网类型、用户MAC、IP地址、应用以及端口的安全控制功能，支持基于时间的ACL功能 　　支持VLAN隔离功能，控制对用户资源的访问 　　支持PVLAN、UpLink Port的端口隔离方式，隔离用户的之间的直接访问 　　支持基于802.1x的用户接入认证方式 　　支持DHCP Snooping/Relay、Dynamic ARP Inspection功能，防止用户私接DHCP Server，防止IP地址冲突、IP地址盗用 　　支持DHCP Option 82，VBAS功能，支持用户和端口、接入交换机等元素绑定功能，提供对用户的端口反查、对上网信息的反溯和追查功能 　　设备具备抗病毒、防攻击能力（DOS/DDOS攻击、端口扫描、源路由攻击、IP碎片攻击、DNS/ICMP/RIP/SYN攻击等） 　　支持安全联动功能，支持动态策略下发、支持IDS联动功能、支持IDS日志，保护全网的安全 　　配置硬件防火墙，实施相应的策略控制，保障内网的安全 　　具备完善的日志功能，支持向日志服务器导出，具备日志冗余功能 　　利用数据容灾技术，保护关键数据不受破坏 　　支持容错技术，如双机备份、故障恢复、双电源备份等 　　采用分布控制、统一管理的原则，利用中兴统一网管技术对全网进行设备的同一管理 　　11）完善的分级分权管理（中兴统一网管平台） 　　高效的中兴统一网管平台 　　图形化中文操作界面，方便使用 　　支持分权分级的网络管理 　　支持设备的拓扑管理（拓扑建立、设备浏览、设备面板） 　　支持对网络设备的实时监控，支持声光、Email、短信告警、 　　支持完善的日志管理 　　支持实时性能统计与报表生成 　　支持集群网管，自动拓扑生成、批量配置、批量更新