锐捷宿舍网&校园网改造解决方案

《锐捷宿舍网&校园网改造解决方案》由会员分享，可在线阅读，更多相关《锐捷宿舍网&校园网改造解决方案（16页珍藏版）》请在装配图网上搜索。

1、实达锐捷网络高校宿舍网解决方案目 录一、高校宿舍网应用需求分析31.1 网络安全需求31.2 用户接入控制需求31.3 计费需求41.4 网络高性能需求41.5 网络管理需求4二、实达锐捷高校宿舍网解决方案52.1 方案拓扑图52.2 方案特点52.2.1 全方位的安全保证52.2.2 强大的用户接入控制62.2.3 超高的网络高性能62.2.4 灵活计费策略72.2.5 网络可控管理72.2.6 完善的IP地址管理解决方案82.2.7 全面控制代理服务器8三、高校校园网网络改造解决方案93.1 高校校园网现状93.2 高校校园网网络改造解决方案93.2.1 学生宿舍网的改造或建设93.2.2

2、 教工网的改造103.2.3 拨号网改造103.2.4 网络无线改造103.3 改造解决方案拓扑图113.4 实达锐捷高校校园网改造方案效果113.4.1 网络性能无瓶颈113.4.2 强大而灵活的接入控制123.4.3 网络安全保证133.4.4 有效控制代理服务器143.4.5 防止IP地址冲突143.4.6 灵活的计费策略153.4.7 集中式的统一管理16实达锐捷网络高校宿舍网解决方案一、高校宿舍网应用需求分析学生宿舍网应用特点：l 用户数多，扩展速度快：高等学校一般在校学生都比较多，且随着高校的扩招和合并，学生用户数会越来越大，一般都可能超过2万；l 网络应用复杂，流量大：学生主要使

3、用网络进行FTP文件传输、在线音乐、在线影视、网络游戏等流量巨大的网络应用；l 安全隐患大：学生是一个易接受新事物、喜欢尝试探索、好成就好攻击的“危险群体”；l 不易管理：学生用户中经常发生IP地址盗用、IP地址冲突、帐号盗用、设置代理服务器等令网络管理及维护人员非常头疼的问题。学生宿舍网面临的问题：l 用户数多，增长快；应用复杂，流量大，如何保证网络的性能？l 安全隐患大、不易管理，如何保证网络安全，如何保证不会滥用网络资源？1.1 网络安全需求l 非法站点访问过滤；l 恶意攻击的实时处理；l 非法言论的准确追踪(如何实现？)；l 记录访问日志提供完整审计；1.2 用户接入控制需求l 有效的

4、对用户进行接入控制，保证只有申请开通的合法用户才可以使用网络；l 能够对接入用户进行帐号与IP、MAC、端口等多元素绑定，以唯一确定用户身份同时准确定位；l 在宿舍区对学生用户进行多元素复合绑定，但是用户的帐号应该可以在计算中心、图书馆等公用机房漫游使用。1.3 计费需求l 系统支持包月、计时长、计流量、实时扣费以及卡业务计费功能；l 支持灵活计费，比如设置优惠时段、包月限最大时长、包月限最高流量，支持时长卡、流量卡、包月卡等多种卡业务；l 支持区分校内、国内、国际访问的流量计费；l 防止学生架设代理服务器，避免一个帐号多人同时使用。1.4 网络高性能需求l 认证计费效率高，对用户的认证和计费

5、不会对网络性能造成瓶颈；l 系统支持几万及以上用户同时在线并正常运行，用户不会感觉网络速度慢；1.5 网络管理需求l 需要方便的进行用户管理，包括开户、销户、资料修改和查询l 需要能对用户进行分级管理，认证计费系统需要支持远程登录的方式进行管理；l 需要能够对网络设备进行集中的统一管理；l 支持控制IP地址冲突，防止IP地址盗用、在一定程度上防止账号盗用；二、实达锐捷高校宿舍网解决方案2.1 方案拓扑图2.2 方案特点2.2.1 全方位的安全保证 事前的准确认证和身份定位：用户使用网络前，通过用户帐号与IP、MAC、交换机IP、端口、VLAN六元素的复合绑定，对用户进行准确的身份认证，其中帐号

6、与交换机以及接入端口的绑定，实现了准确的用户定位。 事中的实时处理：当网络中有对受保护的关键服务器或系统进行恶意攻击的时候，IDS入侵检测系统能够检测到发起攻击的源IP地址，通过S-SCP安全控制协议(是实达的私有协议吗？具体原理？)，IDS实时将攻击源IP通知S-Radius，S-Radius在在线用户表中找到源恶意攻击者，通过SNMP协议将恶意攻击者剔除下线。这一整个过程实现了全自动的实时处理。 事后的完整审计日志服务器记录有用户完整的访问记录，包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC、访问开始时间、访问结束时间、发送流量、接受流量等，结合日志管理查询系统，可以进行快速

7、完整的审计。2.2.2 强大的用户接入控制 入网即认证：用户只要使用网络既要进行身份认证，保证只有申请开户的合法用户才可以使用网络。 多元素复合绑定：可以对接入用户进行帐号与IP、MAC、交换机IP、端口、VLAN六元素的复合绑定。 灵活绑定实现帐号漫游：（可能有一些元素不能邦定）在对用户进行严格绑定的同时实现帐号的灵活漫游。比如：对学生用户，在宿舍区上网可以对其六元素进行严格的绑定的同时，实现该帐号在图书馆、计算中心等公用机房的漫游使用。（假如在宿舍区内同学借用他的账号呢？是否能用？）2.2.3 超高的网络高性能 最大程度上的分布式认证：每一个接入交换机的每一个端口即相当于一个认证者，实现了

8、最大程度的分布认证，既没有单点故障，同时克服了传统的网关设备进行认证计费造成的严重的性能瓶颈。 认证后旁路（认证后不管）：采取认证计费报文与业务数据分流技术，认证通过后，业务数据流就旁路了，并且在用户的整个上网过程中，没有报文和Radius服务器交换，实达锐捷安全交换机也无须处理认证计费报文，最大程度上的保证了网络性能。 Cache Server高速缓存：对于Web浏览的网络应用，发现有80%的用户访问20%的站点，重复的通过网络出口到互联网上的Web服务器下载数据，占用了大量的出口带宽。通过Web Cache Server的缓存技术，可以实现大量重复数据的本地高速访问。既提高了访问速度，同时

9、减少了网络出口的流量。 WEB重定向，Cache Server旁路设计：通过核心交换机STAR-S6808的Web重定向功能，可以对进入核心交换机准备通过出口访问的数据包中的80端口数据包重定向到Web Cache Server，有了Web重定向功能，使得Web Cache Server可以旁路设计，减轻了Web Cache Server的负担，提高的访问速度，同时减少了网络出口流量。 旁路日志记录：实达日志记录服务器采用端口镜像旁路设计思想，提高了日志记录的效率，无性能瓶颈。2.2.4 灵活计费策略 多种计费原型，系统支持包月、预收款、计时长、计流量、实时扣费、卡业务等多种计费原型 更可以自

10、定义计费策略可以自定义计费策略，包括包月限最大时长、包月限最高流量、设置优惠时段等 支持区分目标IP的流量计费可以实现对不同的目标IP段的资源采取不同的流量费率，如访问校内资源免费、访问国内Cernet资源0.05元/M，访问国际Internet资源1.00元/M。可为用户提供详细的“网络流量费用清单”。2.2.5 网络可控管理 集中统一的用户管理通过实达锐捷S-Radius宽带认证计费管理系统可以方便的进行开户、销户、修改用户密码、查询更改用户资料及设置；可以方便灵活定义或修改计费策略； 集中统一的设备管理通过StarView管理管理平台可以对设备进行集中的设备管理，包括网络拓扑发现、配置管

11、理、性能管理、事件管理。 集中统一的日志管理日志服务器记录有用户完整的访问记录，包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC、访问开始时间、访问结束时间、发送流量、接受流量等，通过日志管理查询系统，可以对日志进行管理和查询。2.2.6 完善的IP地址管理解决方案 防止IP地址冲突通过实达锐捷S-Radius对用户在认证时的IP属性校验，完全杜绝了IP地址冲突的发生，包括认证前IP不按要求设置就不予通过认证以及认证通过后更改IP地址立即下线。 防止IP地址盗用通过对用户帐号与IP地址绑定，为每个用户分配一个固定的IP地址，防止IP地址被他人盗用（静态地址分配）。 屏蔽非法DHCP

12、服务器在动态分配IP地址的应用中，一般采取在网络中心设置DHCP服务器，为网络中的用户动态分配IP地址，但是出于有意无意的原因，用户自己私自设置的IP地址会严重扰乱用户IP地址的获得，实达锐捷完善的IP地址管理解决方案能够很好的解决非法DHCP服务器问题（具体措施？）。2.2.7 全面控制代理服务器实达锐捷安全计费管理系统，可以有效的自动探测并屏蔽各种形式的代理服务器，包括单网卡代理，双网卡代理，终端服务代理或者HTTP、Socket等各种代理形式。三、高校校园网网络改造解决方案3.1 高校校园网现状高校校园网用户从整体上可以分为四大类，即学生用户、教工用户、拨号用户和无线网移动用户。其中学生

13、用户所在的子网，即宿舍网现在各大高校搞的是如火如凃，属于现在正需要建设的新网络，对于学生宿舍网的建设面临着两个问题：l 用户数多，增长快；应用复杂，流量大，如何保证网络的性能？l 安全隐患大、不易管理，如何保证网络安全，如何保证不会滥用网络资源？教工用户所在的教工子网相对来讲用户数较少，增长不会很快，教工用户较学生易于管理，同时最主要的是教工子网属于原有网络，目前的现状是不能有效地对用户进行身份认证和计费，从而不能有效地对用户进行很好地管理。高校有些教工住宅区离学校较远，或者原来有些老的宿舍楼布线难度大，这两种教工住宅区暂时还没有通过以太网联入校园网，为了能够满足这些用户的上网需求，采用的是拨

14、号上网的形式。无线接入具有灵活移动的特点，无线用户是通过无线网卡连到无线AP接入校园网的，无线网络最大的一个问题就是安全接入问题。3.2 高校校园网网络改造解决方案3.2.1 学生宿舍网的改造或建设因为学生宿舍网具有用户数多，增长快；应用复杂，流量大；安全隐患大、不易管理等特点，所以需要保证网络安全的同时，需要保证网络的性能。实达锐捷网络提出的解决方案是采用分布式认证，同时认证计费报文与业务数据流分流的实达锐捷安全计费管理系统解决网络性能瓶颈问题，该系统支持用户帐号与IP、MAC、接入交换机IP、端口、Vlan ID等六元素的复合绑定，解决准确的身份认证问题。3.2.2 教工网的改造教工子网相

15、对几万学生的宿舍网来讲用户数较少，增长也不会很快，教工用户较学生易于管理，同时最主要的是教工原有网络的交换机设备均不支持最新的802.1X协议，所以在不改变网络结构和不更换交换机的情况下，在网络中心增加一台实达锐捷STAR-BAS1001设备，采用BAS的Web portal+S-Radius的认证计费方式。3.2.3 拨号网改造拨号网络面临的一个问题是对用户的开户、销户、用户资料的查询、计费策略的建立与更改、收费及帐单等没有的一个很好的平台，非常的不方便。这种拨号入网的方式用户端只需要一个Modem，网络中心只需要增加一台拨号服务器，利用拨号服务器对Radius的支持，结合实达锐捷宽带认证计

16、费管理系统S-Radius实现对拨号用户的认证计费。3.2.4 网络无线改造无线接入具有灵活移动的特点，但是无线网络最大的一个问题就是安全接入问题，事实上，802.1X最初就是专门针对无线接入问题由IEEE推出的标准，实达锐捷S-Radius通过与802.1X的完美结合，很好地解决了对无线用户接入认证和计费问题。3.3 改造解决方案拓扑图3.4 实达锐捷高校校园网改造方案效果3.4.1 网络性能无瓶颈实达锐捷安全接入交换机基于802.1X开发，与S-Radius结合一起，实现对接入用户的认证计费，最大的特色就是分布式认证、认证报文与业务数据分离，对网络性能无瓶颈。如图3-1。图3-1 认证流与

17、数据流分离3.4.2 强大而灵活的接入控制实达锐捷安全接入交换机与S-Radius结合在一起，可以对接入用户实行强大而灵活的接入控制，不仅可以对用户帐号、IP、MAC、接入交换机IP、接入端口、Vlan ID等六元素完全绑定，而且可以实现帐号的灵活漫游。如图3-2。图3-2 强大而灵活的绑定3.4.3 网络安全保证入网即认证， “万丈高楼地基要牢”，我们在OSI七层模型的网络层及以下保证了网络的接入安全；“不设防的城市为其设防”，保证所有接入校园网络的用户都是到网络中心申请开户的合法用户，同时，形成详细的用户上网记录。如图3-3。图3-3 入网即认证3.4.4 有效控制代理服务器只要是对用户进

18、行收费，特别是学生用户就会千方百计设置代理服务器，逃避收费，实达锐捷S-Radius宽带认证计费管理系统可以自动探测并屏蔽代理服务器，避免收费盲点。如图3-5。图3-5 代理服务器的自动探测与屏蔽3.4.5 防止IP地址冲突 解决静态IP冲突问题IP和账号绑定l 认证前滥用IP，不予通过认证l 认证通过后更改IP，立即下线 解决动态IP冲突问题客户IP属性校验l 认证前设置成静态：不予通过认证l 认证通过后由动态改为静态，立即下线如图3-6，图3-7。图3-6 帐号与IP地址的绑定图3-7 限制用户只能是动态获得IP地址3.4.6 灵活的计费策略实达锐捷S-Radius认证计费系统不仅支持包月、计时长、计流量、实时扣费以及卡业务计费功能，同时支持用户自定义计费策略，比如包月加限流量，包月加限时长，设置优惠时段等等。如图3-8。图3-8 灵活的计费策略3.4.7 集中式的统一管理通过实达锐捷S-Radius宽带认证计费管理系统实现了对学校的学生用户、教工用户、拨号用户、无线网移动用户的集中式的统一管理，包括统一开户、销户、制定计费策略、缴费、在线用户查看、用户统一的Web自助服务等等，极大程度上减轻了网络中心网管老师的工作量，极大程度上提高了工作效率。如图3-9。图3-9 集中式的统一管理16实达网络科技有限公司 第 页 共 16 页 www.i-