Zhao Xin
Descripción:
1 Esta solución está diseñada utilizando equipos de red proporcionados por Ruijie Networks y cumple totalmente con:
p>
Avanzado: utilizando conceptos, tecnologías y métodos avanzados y maduros, puede admitir varias aplicaciones de red convencionales actuales y futuras y tiene potencial de desarrollo, incluidas soluciones básicas, soluciones de expansión y soluciones de gestión.
Viabilidad: la solución diseñada puede considerar plenamente las características de la educación en línea y las limitaciones técnicas, de recursos, de gestión y de otro tipo del objeto de la aplicación, y puede combinarse bien con las características de los productos de Ruijie Network para el diseño.
Flexibilidad: La red está diseñada según los principios de modularidad y jerarquía. La red tiene buena escalabilidad, se puede configurar y ampliar de manera flexible según las diferentes etapas de la construcción de la red y tiene la capacidad de absorber continuamente nuevas tecnologías y métodos.
Practicidad: La red es fácil de mantener, gestionar e implementar.
Fiabilidad: Las características del propio producto se pueden utilizar para garantizar el funcionamiento estable, fiable y eficiente del sistema de red. Refleja plenamente la naturaleza avanzada, etc.
2. El plano de diseño no es un caso real que realmente haya sido construido.
1. Prólogo
Con el rápido desarrollo de Internet y la plena implementación de la infraestructura de la red educativa, la informatización y la creación de redes de colegios y universidades han creado nuevas oportunidades para el despegue. y desarrollo de las escuelas. Con el fin de promover aún más la construcción de informatización de la Universidad de Ciencia y Tecnología de Huazhong, ampliar la cobertura de la red del campus, mejorar las condiciones de aprendizaje de los estudiantes del Campus Este y crear un entorno de aprendizaje más conveniente para los estudiantes, basado en la construcción de la red del campus existente. , propusimos y discutimos nuestro plan de construcción para la red de dormitorios de estudiantes en el campus este de la escuela.
El objetivo actual de la construcción de la red de dormitorios de estudiantes del Campus Este de la Universidad de Ciencia y Tecnología de Huazhong es conectar los 15 apartamentos para estudiantes de Yunyuan * * 10694 recién construidos con la red del campus. Una vez finalizada esta fase del proyecto, los estudiantes del Campus Este podrán acceder a la red del campus y a Internet en sus dormitorios, al igual que el campus principal.
II. Análisis de requisitos
1. El equipo de conmutación central requiere sólidas capacidades de procesamiento, buena seguridad, confiabilidad y escalabilidad, y puede actualizarse sin problemas a 10,000 en el futuro; billones.
2. El equipo de red de la capa de acceso debe admitir funciones 802.1X basadas en direcciones MAC y funciones 802.1X basadas en puertos para garantizar la unicidad de la cuenta. También admite administración remota de telnet, mib-II y; conmutadores remotos; función de puerto; además, también es necesario adaptarse a la autenticación concurrente de una gran cantidad de usuarios y entornos de trabajo complejos.
3. Es necesario vincular el nombre de usuario, la dirección IP, la dirección MAC, el puerto del conmutador y la IP del conmutador al mismo tiempo para evitar que usuarios ilegales roben maliciosamente los nombres de usuario, las contraseñas, la IP y la MAC de. usuarios legítimos y garantizar la facturación.
4. Resuelva el problema de los usuarios que configuran servidores proxy de forma privada.
5. Admite autenticación y contabilidad Radius estándar y conecta varios dispositivos de acceso. Por un lado, se requiere que el dispositivo admita el modo de autenticación 802.1x; por otro, que el sistema admita un modelo de cobro basado en la duración, el tráfico y la suscripción mensual, proporcionando así una solución completa, flexible y personalizable; estrategia de cobro para la gestión de la red y, al mismo tiempo, se requiere garantizar que más de 30.000 usuarios Estabilidad y gestión sencilla del funcionamiento de la red en paralelo.
6. La red debe ser altamente confiable y fácil de administrar.
3. Principios del diseño de redes
Las redes de dormitorios de estudiantes tienen tanto las características del diseño de redes generales como sus particularidades. Al planificar la construcción de una red de residencias de estudiantes, además de las condiciones necesarias como confiabilidad, estabilidad y seguridad de la red general, también se deben considerar la controlabilidad, el alto rendimiento y la garantía de QoS de los servicios clave de todos los puntos de información. Además, en el diseño de la red, cómo reservar espacio de expansión y proteger la inversión para satisfacer las necesidades de nuevas aplicaciones y el crecimiento y los cambios de la información también son factores clave que deben considerarse en la construcción de la red de dormitorios de estudiantes.
Si bien considera plenamente la multiaplicación y la fácil gestión de la red de dormitorios de estudiantes, esta solución también sigue los siguientes principios:
1) Alto rendimiento
la tecnología de red utilizada para construir una red de dormitorio debe ser una tecnología de red de gran ancho de banda; el equipo de conmutación troncal debe admitir la conmutación de velocidad de línea para garantizar el intercambio de datos sin bloqueo, además, desde el diseño de la estructura de la red, la implementación distribuida es alta; -Es necesario considerar el tráfico de aplicaciones multimedia para reducir el tráfico que pasa a través de la red troncal y mejorar el rendimiento de la red.
2) Garantía de calidad de los servicios comerciales clave
Existen varios flujos de datos comerciales de aplicaciones en la red de dormitorios. Cuando el tráfico de la red está en su punto máximo, definitivamente afectará el tiempo de respuesta de los flujos de datos comerciales críticos. En el caso de los servicios multimedia, pueden producirse tartamudeos y mosaicos de imágenes. Por lo tanto, una red de alto rendimiento todavía requiere garantías de QOS.
3) Controlabilidad de los puntos de información
Los puntos de información de la red de dormitorios están ampliamente distribuidos. En comparación con las redes empresariales generales, los usuarios de las redes compartidas son más móviles y más difíciles de gestionar. Para garantizar la utilización eficaz de los datos de la red, es necesario controlar los puntos de información. Además de limitar el ancho de banda de acceso, también se debe proporcionar autenticación, autorización y contabilidad del acceso basado en el usuario. Para no afectar el rendimiento de la red, el control de los puntos de información debe distribuirse en los equipos de la capa de acceso.
4) Avanzado
El equipo seleccionado debe tener una buena escalabilidad. Cuando sea necesario ampliar la escala de la red o el ancho de banda, pueda satisfacer nuevas necesidades al mínimo costo.
5) Estabilidad confiable
Una plataforma de red confiable y estable es la piedra angular de la implementación y promoción de sistemas comerciales de aplicaciones. El diseño de la plataforma de red debe garantizar la confiabilidad y estabilidad de la red desde aspectos como el equipo, la topología de la red y la tecnología de la red.
6) Seguridad
Además de la seguridad de la plataforma de red, la seguridad de la plataforma de red del dormitorio también debe garantizar la seguridad del sistema empresarial de aplicaciones y otros recursos de la red para hasta cierto punto. La plataforma de red debe garantizar la seguridad de la red desde varios aspectos: 1) seguridad de acceso del propio dispositivo; 2) seguridad de acceso a recursos entre intranets; 3) seguridad del sistema de enrutamiento;
Cuarto, soluciones de red
Según las necesidades del usuario, se adopta la red troncal Gigabit y 100 M hasta el escritorio, y toda la red adopta una arquitectura de conmutación distribuida de tres capas. Tiene un ancho de banda ultraalto y buena escalabilidad y capacidad de administración. La topología de red específica se muestra en la siguiente figura:
Capa central: el conmutador central 10G RG-S6806 desarrollado independientemente por Ruijie Networks (anteriormente Shida Networks) se selecciona como la capa central de la red. La capacidad de conmutación del RG-S6806 es 256G y la velocidad de reenvío de paquetes es 143M. Puede admitir hasta 8 puertos de 10 Gigabit/96 Gigabit/128 de 100 Gigabit; el hardware en sí adopta un sistema de conmutación distribuido, que se implementa mediante una variedad de hardware funcional complejo y tiene buena escalabilidad y rendimiento de conmutación ultraalto. No sólo puede satisfacer las necesidades de acceso actuales, sino también las necesidades del desarrollo futuro.
Capa de agregación: en la capa de agregación, elegimos los conmutadores de tres capas de la serie STAR-S3550 de Ruijie Networks; a través de la conmutación local distribuida de tres capas en el edificio, la carga sobre la red troncal se reduce considerablemente. La capacidad de conmutación de los conmutadores de la serie STAR-S3550 es de 12,8/18,5 Gbps y la velocidad de reenvío de paquetes es de 6,6/10,1 M, lo que garantiza el reenvío a velocidad de línea de todos los puertos. Al mismo tiempo, STAR-S3550 también proporciona puertos 24/48 100M y ranuras de expansión de 2 Gigabit, y proporciona ancho de banda troncal 4G full-duplex a través de la tecnología L2 Trunk.
Capa de acceso: en la capa de acceso, elegimos el conmutador inteligente Gigabit RG-s 2126g/2150g compatible con Ruijie Networks. Este conmutador tiene súper capacidades de procesamiento de conmutación y súper capacidades de control de acceso. Al mismo tiempo, como conmutador inteligente, no solo puede admitir conmutación inteligente de capa 2 a 7, sino también identificar varios flujos de aplicaciones, como video, voz y otros flujos de datos que requieren un alto retardo y fluctuación de la red. También cuenta con un completo sistema de garantía de QoS, compatible con 802.1P, tecnología de marcado de datos DSCP, SP, WRR, CAR, WRED y otras tecnologías de control de congestión y colas, que pueden proporcionar a los usuarios una garantía de QoS de extremo a extremo.
Contabilidad de seguridad: Utilizamos el sistema SAM basado en tecnología 802.1x y el switch de capa de acceso S2126G/S2150G para gestionar el control de acceso de los estudiantes.
La solución de contabilidad y autenticación de seguridad proporcionada por Ruijie Networks selecciona el conmutador de acceso STAR-S2126G/S2150G para la autenticación y la contabilidad, proporcionando así a la escuela cuatro servicios clave: primero, lograr la autenticación distribuida en la mayor medida posible. alta eficiencia de autenticación; en segundo lugar, puede reducir efectivamente la carga de los conmutadores de dormitorios; en tercer lugar, puede controlar de manera efectiva, integral y exhaustiva el acceso de los usuarios; en cuarto lugar, tiene buena escalabilidad y proporciona autenticación de usuarios a gran escala y garantía de contabilidad y base técnica;
Gestión de red: Para poder gestionar los equipos de toda la red se recomienda configurar el sistema de gestión de red STAR View.
El sistema de administración STAR View puede proporcionar la topología de toda la red, administrar cualquier dispositivo IP común y dispositivos de administración SNMP en Ethernet, y combinar la administración SNMP, la administración Telnet, la administración web y la administración RMON admitidas por dispositivo de administración, formando una solución de administración de red completamente funcional para lograr una administración de red integral desde el nivel de red hasta el nivel de dispositivo. STAR View puede configurar, monitorear y controlar centralmente dispositivos de red en toda la red, detectar automáticamente la topología de la red, monitorear y controlar segmentos y puertos de la red, realizar estadísticas y estadísticas de errores en el tráfico de la red y recopilar y administrar automáticamente eventos de dispositivos de red y una serie. de gestión y seguimiento integral y minucioso. Mediante un monitoreo integral de la red, los administradores de red pueden reconstruir la estructura de la red para lograr los mejores resultados.
Características de la solución de red verb (abreviatura de verbo)
1 Alto rendimiento
Red troncal Gigabit, conmutación de 100 M a escritorio: la selección de núcleos puede admitir tecnología de 10 M Plataforma de conmutación , la red troncal utiliza conmutación Gigabit y 100M al escritorio para satisfacer las necesidades de gran capacidad y transmisión de datos de alta velocidad.
Implementación de hardware de funciones complejas: el núcleo RG-S6806 no solo implementa enrutamiento y conmutación de tres capas a través de hardware, sino que también implementa funciones clave de funciones complejas como ACL, QOS y enrutamiento de políticas a través de hardware. El STAR-S3550 integrado también implementa conmutación de tres capas, ACL y QOS a través de hardware. En particular, el conmutador central RG-S6806 está diseñado con procesamiento distribuido inteligente en la placa, y el módulo de interfaz de usuario puede implementar de forma independiente enrutamiento, conmutación, ACL, QoS y QoS.
Conmutación distribuida de tres capas: la introducción de conmutación de tres capas en la capa de agregación puede reducir la presión sobre los conmutadores centrales, reducir efectivamente los paquetes de transmisión y mejorar la eficiencia de transmisión de la red;
El backplane ultra alto garantiza que todos los paquetes de datos se reenvíen a la velocidad de la línea: los conmutadores de capa central, capa de agregación y capa de acceso utilizados en esta solución tienen capacidades de conmutación y velocidades de reenvío de paquetes ultra altas en las capas 2 y 3, lo que garantiza una alta Acelerar el reenvío de todas las líneas de datos.
Autenticación distribuida, separación de mensajes de autenticación y flujos de datos comerciales: sistema de gestión de autenticación de seguridad de Ruijie basado en 802.1X, en el que los conmutadores de seguridad en cada capa de acceso son responsables de la autenticación de los usuarios de acceso, utilizando mensajes de autenticación y Tecnología de separación del flujo de datos empresariales para lograr una transmisión de red de alta velocidad sin cuellos de botella.
2 Inteligencia
QoS de extremo a extremo: desde conmutadores de acceso hasta agregación y núcleo, cobertura integral de conmutación multicapa, como limitación de velocidad de puerto, identificación de clasificación de tráfico de aplicaciones y garantías clave de ancho de banda del tráfico empresarial Garantía de calidad;
Identificación inteligente basada en el tráfico: distingue el mismo flujo de tráfico según el puerto físico, la dirección MAC, la dirección IP y el número de puerto TCP/UDP del conmutador;
p>
Ancho de banda basado en el control del tráfico: limite el ancho de banda según el puerto del conmutador, la dirección MAC, la dirección IP, el protocolo y la combinación de aplicaciones;
3 Alta seguridad
Seguridad de red global: Establecer un mecanismo de vinculación a través de protocolos de control de seguridad para Radius es el núcleo y admite la vinculación de firewalls, IDS y conmutadores seguros de terceros para lograr la seguridad de la red global;
Autenticación precisa y posicionamiento de identidad por adelantado: Antes los usuarios usan la red, la cuenta de usuario y la IP, MAC y la IP del conmutador. La vinculación compuesta de puertos y VLAN permite una autenticación precisa del usuario. La vinculación de cuentas a conmutadores y puertos de acceso permite un posicionamiento preciso del usuario.
Procesamiento en tiempo real: cuando se produce un ataque malicioso en un servidor o sistema de claves protegido en la red, el sistema de detección de intrusiones IDS puede detectar la dirección IP de origen del ataque a través del control de seguridad S-SCP. protocolo, IDS notificará en tiempo real los ataques de S-Radius a la IP de origen. S-Radius encontrará el atacante malicioso de origen en la lista de usuarios en línea y eliminará al atacante malicioso fuera de línea a través del protocolo SNMP. Todo el proceso realiza un procesamiento totalmente automático en tiempo real.
Auditoría posterior a la finalización: el servidor de registro registra el registro de acceso completo del usuario, incluida la IP de origen, la IP de destino, el puerto de origen, el puerto de destino, la MAC de origen, la MAC de destino, la hora de inicio del acceso, la hora de finalización del acceso y el envío. tráfico, recibir tráfico, etc. Combinado con el sistema de consulta de gestión de registros, se puede realizar una auditoría rápida y completa.
Verificación de identidad al acceder a la red: los usuarios deben someterse a una verificación de identidad siempre que utilicen la red para garantizar que solo los usuarios legítimos que soliciten abrir una cuenta puedan utilizar la red.
Potente control de acceso: combine la cuenta con IP, MAC, switch IP, puerto y VLAN para lograr roaming simultáneo de cuentas;
4 Alta confiabilidad
Copia de seguridad de redundancia a nivel de enlace y equilibrio de carga: el RG-S6806 central y el STAR-S3550 convergente no solo admiten el protocolo de árbol de expansión tradicional 802.1d, sino también los últimos protocolos de árbol de expansión 802.1w y 802.1s, lo que garantiza la redundancia de enlaces. rest puede lograr el equilibrio de carga entre los dos enlaces al mismo tiempo.
Redundancia de componentes clave: RG-S6806 proporciona gestión redundante de motores de conmutación, fuentes de alimentación redundantes y otras redundancias de componentes clave, y coopera con RAPS (Sistema de protección automática Ruijie) para lograr una alta estabilidad y confiabilidad del sistema.
RG-S6806 proporciona redundancia de componentes clave, como motores de conmutación de gestión redundantes y fuentes de alimentación redundantes, y coopera con RAPS (Sistema de protección automática Ruijie) para lograr una alta estabilidad y confiabilidad del sistema.
Pruebas estrictas: el equipo seleccionado ha sido probado rigurosamente por instrumentos profesionales como Smartbit para garantizar la confiabilidad en las etapas de I+D y producción.
5 es fácil de administrar
<; p>Tres Zhangtu: diagrama de administración de dispositivos simple y claro, diagrama de estado de topología y diagrama de análisis de tráfico para minimizar la carga de trabajo de administración de la red;Cultura china: interfaz y núcleo cultural chino, especialmente adecuado para los chinos;
One-stop: puede lograr una administración completa de toda la red en un solo trabajo de administración de red y admite una administración perfecta de software de administración de red de terceros.
Solución satisfactoria para los conflictos de direcciones IP y el robo de direcciones IP: la verificación de atributos de IP de Ruijie S-Radius al autenticar a los usuarios elimina por completo la aparición de conflictos de direcciones IP, incluida la falla en la autenticación si la IP no está configurada como se requiere antes. autenticación, cambie la dirección IP después de la autenticación y desconéctese inmediatamente; vincule la cuenta del usuario con la dirección IP y asigne una dirección IP fija a cada usuario para evitar que otros roben la dirección IP.
Equipo de revisión:
División de productos de red Ruijie
Beijing CCID Information Assessment Co., Ltd.
Comentarios: El análisis de los requisitos de la solución es en su lugar, analizó con precisión las características del sistema de aplicación de la red de dormitorios de estudiantes. El diseño de la solución técnica refleja las características de avanzada, segura, escalable, manejable y fácil de operar, y adopta el concepto de diseño avanzado de "red troncal Gigabit, 100 M a escritorio" y arquitectura de red de conmutación distribuida de tres capas. Cabe señalar que en el diseño del esquema se debe prestar atención a la combinación de avance y practicidad, y se debe realizar bien la integración con el sistema de red existente. Este es un requisito básico para las características de la construcción de la red del campus. .