论文部分内容阅读
湖南工程学院是一所有着55年办学历史的工程类大学,随着学校的扩招和学科设置的发展,新增校园1200亩,新校区与原有的二个校区通过光纤互联。校园网络工程建设项目的指导思想是:先进性、可靠性、安全性、可扩展性、开放性、经济性、可管理性、易维护性。目标是建立一个以先进的多层交换机与多条万兆以太网构成核心体系的高性能、高可靠性的三校区互连网络。
需求分析
原有的校园网络设备始建于1999年,几年来,网络业务种类和用户接入数量成几何级数增长,原有校园网在带宽、稳定性、覆盖率、管理手段和业务提供上存在不足。新校区建筑面积为20万平方米,包括教学行政区和学生公寓的网络建设。三校区之间距离为8公里,各校区通过校园网络高速互联实现统一的教学和办公系统。
数字化校园网建设的基础是网络布线与网络交换设备。从使用寿命考虑,网络布线为20年,网络交换设备至少6年。适度超期投入,既依赖开放标准也强调系统的整体性,能实现最大化投资效益和良好的运营、管理质量。
新的校园网络建设要实现:
先进性:核心交换机具备高密度的万兆端口,汇聚交换机有万兆上联端口,交换机满配置能实现线速转发,硬件实现ACL,Qos,组播等功能。
可靠性:核心、汇聚、接入都采用冗余连接,确保物理层、链路层、网络层运营稳定、可靠。
安全性:不以影响网络性能为代价,实现病毒和攻击的监测与防护;对用户实施接入控制,可精细的定义用户,赋予用户使用网络的功能和范围。
可扩展性:交换机的交换容量大,模块插槽多;应使用工业标准互联,建设网络尽可能不用厂商专有互联技术。
开放性:不仅仅网络设备能互联互通,网络用户管理功能与操作系统、应用层网关互通,能与防病毒系统连动。
经济性:非常好的投资保护能力和低的运营维护成本。
可管理性:所有设备支持标准的网管协议,使用网管软件进行统一管理,能够对传输流量实时观测,分类,统计,分析,为网络运行、控制、规划、升级提供可靠的依据。
易维护性:提供各种管理、监控、维护手段,自动分类报告各种预警和管理事件。
技术解决方案
明确了网络建设的原则,获取网络规模的具体数量,准确估算了未来3年的网络业务流量需求,用户经过反复比较、选型和论证,最后选定了ProCurve Networking by HP的自适用边缘架构企业网络设计理念及万兆以太网解决方案和产品。
ProCurve Networking By HP解决方案这种新理念以两个主要原则为基础:以集中的方式保持全面的网络控制,并将控制和智能推至连接用户的网络边缘。实现这些目标,使得网络基础设施架构将网络为中心转变为用户为中心成为可能。
核心设备采用了2台万兆核心路由交换机9408sl和1台万兆核心路由交换机9308m,4台万兆接入3层交换机3400cl,其中9308m和3400cl通过万兆线路分别接到两台9408sl,然后采用千兆线路进行冗余备份。中心的2台9408sl通过一条万兆线路和一条千兆线路互相连接,使用VRRP和生成树协议。
其余汇聚交换机5308xl和2824采用冗余千兆线路接入到核心设备,接入交换机使用2626和2650,采用冗余千兆线路接入到汇聚交换机,百兆到桌面。
所有的交换机都提供智能化的边缘控制,如802.1X接入认证。对于教学机房的网络接入,可将非智能化的交换机接入到5308xl,5308xl每个端口支持并发的多个802.1x用户认证。5308xl系列交换机中集成专利技术的IPS(入侵检测系统)技术组件,具有病毒抑制功能,这种技术并不是依靠病毒特征码进行病毒的识别,它无需外置IPS模块,而是根据类似蠕虫病毒的特性来进行病毒的划分,识别可路由vlan上的数据特性,可智能的进行病毒的抑制、阻断、防御,在不增加网络负担、管理复杂的前提下,将对病毒的反应所需的时间缩短到病毒出现的时间。
网络的管理和用户接入控制采用ProCurve Networking By HP 的 IDM 解决方案,实现中心命令 (ProCurve Manager Plus 和 IDM) 以及边缘控制(智能化边缘设备,支持802.1x或基于MAC地址、基于Web的用户认证)。
ProCurve Identity Driven Manager 软件动态管理网络设备,提供适当和优化的网络访问。它根据用户、位置和时间自动将安全性、访问和性能设置应用于网络基础设施架构设备。IDM 与 RADIUS 验证服务器一起管理有线和无线连接,能够使用已有目录管理功能。
IDM通过自动配置智能化的边缘设备实现中心命令,为每个人或组提供个性化的服务。它通过确保交换机和接入点特性在网络边缘做出正确的决策和实施策略来提供边缘控制。这样就能够轻松地管理和促进:
访问控制-基于用户的业务需要。
访问权限-根据教师、学生或行政人员个人及其小组的联系,日期、时间、位置、应用和服务。
策略实施-按用户、按会话实施。
ProCurve Manager Plus 是一个全面、基于 Windows 的网络管理解决方案,IDM是 ProCurve Manager Plus的附加模块。它使网络管理人员能够发现、配置、监视 ProCurve 设备以及排除设备的故障,提供配置管理、VLAN 管理、深入的流量监视、组和策略管理、以及自动软件更新等高级特性。
运行效果
该项目从2005年9月开始实施。经过湖南工程学院,中国惠普有限公司和集成商中谷集团的共同努力,目前已经初步实施完成,进入了试运行阶段。
方案的实施,满足了大学校园网络应用的需求,解决了全网用户的安全认证要求,能根据用户的特征由网络管理人员给予个性化的服务,实施针对用户的安全策略,而且不用考虑用户处在校园网络中的哪个位置、接入到哪个交换机的端口上。
核心交换机9408sl和9308m提供硬件IPV6功能,保证未来网络的需求;其余交换机由惠普公司提供全球统一标准的终生免费硬件保修和软件免费升级,现有的投入能获得最大的保护。
需求分析
原有的校园网络设备始建于1999年,几年来,网络业务种类和用户接入数量成几何级数增长,原有校园网在带宽、稳定性、覆盖率、管理手段和业务提供上存在不足。新校区建筑面积为20万平方米,包括教学行政区和学生公寓的网络建设。三校区之间距离为8公里,各校区通过校园网络高速互联实现统一的教学和办公系统。
数字化校园网建设的基础是网络布线与网络交换设备。从使用寿命考虑,网络布线为20年,网络交换设备至少6年。适度超期投入,既依赖开放标准也强调系统的整体性,能实现最大化投资效益和良好的运营、管理质量。
新的校园网络建设要实现:
先进性:核心交换机具备高密度的万兆端口,汇聚交换机有万兆上联端口,交换机满配置能实现线速转发,硬件实现ACL,Qos,组播等功能。
可靠性:核心、汇聚、接入都采用冗余连接,确保物理层、链路层、网络层运营稳定、可靠。
安全性:不以影响网络性能为代价,实现病毒和攻击的监测与防护;对用户实施接入控制,可精细的定义用户,赋予用户使用网络的功能和范围。
可扩展性:交换机的交换容量大,模块插槽多;应使用工业标准互联,建设网络尽可能不用厂商专有互联技术。
开放性:不仅仅网络设备能互联互通,网络用户管理功能与操作系统、应用层网关互通,能与防病毒系统连动。
经济性:非常好的投资保护能力和低的运营维护成本。
可管理性:所有设备支持标准的网管协议,使用网管软件进行统一管理,能够对传输流量实时观测,分类,统计,分析,为网络运行、控制、规划、升级提供可靠的依据。
易维护性:提供各种管理、监控、维护手段,自动分类报告各种预警和管理事件。
技术解决方案
明确了网络建设的原则,获取网络规模的具体数量,准确估算了未来3年的网络业务流量需求,用户经过反复比较、选型和论证,最后选定了ProCurve Networking by HP的自适用边缘架构企业网络设计理念及万兆以太网解决方案和产品。
ProCurve Networking By HP解决方案这种新理念以两个主要原则为基础:以集中的方式保持全面的网络控制,并将控制和智能推至连接用户的网络边缘。实现这些目标,使得网络基础设施架构将网络为中心转变为用户为中心成为可能。
核心设备采用了2台万兆核心路由交换机9408sl和1台万兆核心路由交换机9308m,4台万兆接入3层交换机3400cl,其中9308m和3400cl通过万兆线路分别接到两台9408sl,然后采用千兆线路进行冗余备份。中心的2台9408sl通过一条万兆线路和一条千兆线路互相连接,使用VRRP和生成树协议。
其余汇聚交换机5308xl和2824采用冗余千兆线路接入到核心设备,接入交换机使用2626和2650,采用冗余千兆线路接入到汇聚交换机,百兆到桌面。
所有的交换机都提供智能化的边缘控制,如802.1X接入认证。对于教学机房的网络接入,可将非智能化的交换机接入到5308xl,5308xl每个端口支持并发的多个802.1x用户认证。5308xl系列交换机中集成专利技术的IPS(入侵检测系统)技术组件,具有病毒抑制功能,这种技术并不是依靠病毒特征码进行病毒的识别,它无需外置IPS模块,而是根据类似蠕虫病毒的特性来进行病毒的划分,识别可路由vlan上的数据特性,可智能的进行病毒的抑制、阻断、防御,在不增加网络负担、管理复杂的前提下,将对病毒的反应所需的时间缩短到病毒出现的时间。
网络的管理和用户接入控制采用ProCurve Networking By HP 的 IDM 解决方案,实现中心命令 (ProCurve Manager Plus 和 IDM) 以及边缘控制(智能化边缘设备,支持802.1x或基于MAC地址、基于Web的用户认证)。
ProCurve Identity Driven Manager 软件动态管理网络设备,提供适当和优化的网络访问。它根据用户、位置和时间自动将安全性、访问和性能设置应用于网络基础设施架构设备。IDM 与 RADIUS 验证服务器一起管理有线和无线连接,能够使用已有目录管理功能。
IDM通过自动配置智能化的边缘设备实现中心命令,为每个人或组提供个性化的服务。它通过确保交换机和接入点特性在网络边缘做出正确的决策和实施策略来提供边缘控制。这样就能够轻松地管理和促进:
访问控制-基于用户的业务需要。
访问权限-根据教师、学生或行政人员个人及其小组的联系,日期、时间、位置、应用和服务。
策略实施-按用户、按会话实施。
ProCurve Manager Plus 是一个全面、基于 Windows 的网络管理解决方案,IDM是 ProCurve Manager Plus的附加模块。它使网络管理人员能够发现、配置、监视 ProCurve 设备以及排除设备的故障,提供配置管理、VLAN 管理、深入的流量监视、组和策略管理、以及自动软件更新等高级特性。
运行效果
该项目从2005年9月开始实施。经过湖南工程学院,中国惠普有限公司和集成商中谷集团的共同努力,目前已经初步实施完成,进入了试运行阶段。
方案的实施,满足了大学校园网络应用的需求,解决了全网用户的安全认证要求,能根据用户的特征由网络管理人员给予个性化的服务,实施针对用户的安全策略,而且不用考虑用户处在校园网络中的哪个位置、接入到哪个交换机的端口上。
核心交换机9408sl和9308m提供硬件IPV6功能,保证未来网络的需求;其余交换机由惠普公司提供全球统一标准的终生免费硬件保修和软件免费升级,现有的投入能获得最大的保护。