本方案是以局域网以太网技术为基础,建设智能化的校园网络。整个校园网络采用千兆主干,百兆交换到桌面,全线采用锐捷高性能网管交换机。
整个校园网设计为核心层和接入层两层结构,接入层交换机使用锐捷高性能的智能千兆交换机STAR-S21系列,通过光纤以千兆上联至网络中心的中心交换机。中心交换机采用锐捷新一代多业务万兆核心路由交换机RG-S6806E,该款交换机作为学校的核心交换机,具有极高的数据包转发能力和很好的扩展性。
同时为保证校园内部网络的安全,在路由器之后加入高性能防火墙,以便更好得保障网络和关键机密信息的安全。
针对用户需求,我们推荐在核心层采用采用锐捷网络的新一代多业务万兆核心路由交换机RG-S6806E。RG-S6806E具备以下功能:
强大数据处理设计(SPOH设计)
RG-S6800E的交换、路由、ACL、QOS等复杂功能通过硬件实现,避免了软件实现同样功能对数据高速处理的影响。
管理模块执行路由管理、网络管理、网络服务等任务,用户接口模块可以独立实现硬件路由、交换和组播功能;用户交换端口则独立实现硬件ACL和QOS功能,同步式处理设计(SPOH设计)极大地提高整机处理能力。
强大的扩展能力
RG-S6800E系列多业务万兆核心路由交换机目前提供1.6T/0.8T背板带宽,在不更换机箱的情况下,未来仅通过更换管理模块可以支持背板带宽扩展到3.2T/1.6T。
RG-S6800E系列多业务万兆核心路由交换机通过扩展高性能的多业务卡,可以支持策略路由、IPV6、MPLS、load balancing、NAT、VPN、Firewall、web cache redirect等功能。
高安全保障措施
物理安全
RG-S6800E提供冗余管理模块、冗余电源模块、各种模块热拔插等物理安全保障措施。
病毒和攻击防护
面对现在网络环境越来越多的网络病毒和攻击威胁,RG-S6800E提供强大的网络病毒和攻击防护能力:
提供对发往CPU的数据流进行流分类和流限速,避免病毒和攻击对CPU的影响;
提供基于SPOH技术的ACL功能;
支持防源IP地址欺骗、防DOS/DDOS攻击,防IP扫描等功能;
提供多端口同步监控技术,支持灵活的网络监控,提升网络监控能力。
设备管理安全
提供SSH的加密登陆和管理功能,避免管理信息明文传输引发的潜在威胁;
Telnet/Web登录的源IP限制功能,避免非法人员对网络设备的管理;
SNMPV3提供加密和鉴别功能:确保数据从合法的数据源发出(引擎ID);确保数据在传输过程中不被篡改(采用MD5和SHA认证协议);加密报文,确保数据的机密性(采用DES56加密协议)。
接入安全
硬件支持IP、MAC、端口绑定,提高用户接入控制能力;
支持802.1X技术,满足6元素绑定接入限制;
支持IGMP源端口检查,可有效控制非法组播源,提高网络安全;
IGMP V3支持通告主机希望接收的多播源的地址,避免非法的组播数据流占用网络带宽;
通过PVLAN(保护端口)隔离用户之间信息互通,不必占用VLAN资源;
端口MAC地址锁和端口MAC地址接入数量功能可以屏蔽非法主机的接入。
丰富的应用支持技术(QOS、组播)
RG-S6800E提供多种流分类技术和多种QOS技术,包括SP、WRR、CBQ、WFQ、CBWFQ、LLQ、WRED、CAR、Traffic Shaping、HOL、RSVP等,为各种应用的带宽保障提供需要的支持技术。
流分类:可以依据数据流的源/目的MAC地址、源/目的三层IP地址、三层协议(IP/IPX)、四层协议(UDP/TCP)、源/目的四层协议端口号、COS、TOS对数据流进行区分,实现2/3/4层的流分类功能。
数据标记:802.1p是二层协议,可以为数据提供8个级别的优先级标记;DSCP在三层的IP协议报文里进行优先级标记,可以提供64个级别的优先标记。
队列调度:严格优先级队列SP保证高优先级业务总是在低优先级业务之前处理;WRR是一种加权循环队列调度机制,首先处理高优先级,但在处理高优先级业务时,较低优先级的业务并没有被完全阻塞,而是按一定的比例同时进行。WFQ是加权公平队列,对所有的数据流进行排队,监控吞吐率,并根据发送的信息量分配权值。WFQ试图公平地为每个对话分配带宽,保证低带宽应用可以获得对接口的访问权,而不会被高带宽应用全部占用。
拥塞控制:WRED加权随机早期检测协议,可以设置各个数据流在拥塞发生之前自动丢失数据的阀值,避免较高优先级应用的拥塞丢失。HOL通过消除HOL阻塞确保最高可能的吞吐量;最大限度地减少包丢失,减少多路传输和广播流量拥塞。
承诺信息速率:CAR可以为重要的数据流设定固定的带宽,如果设定的带宽合理,满足该数据流的需求,就可以保证重要数据流的正常转发。
提供多种组播支持技术,包括IGMP snooping、IGMP、PIM(SSM、SM、DM),DVMRP,保证了网络中提供组播服务时的带宽合理占用。
支持领先的万兆以太网技术(IEEE802.3AE、IEEE802.3AK)
万兆以太网采用了IEEE802.3以太网媒体访问控制(MAC)协议、IEEE802.3以太网帧格式,以及IEEE802.3帧的最大和最小尺寸。万兆以太网是以太网在速度和距离方面的进步,采用全双工技术,不需要应用低速的、半双工的CSMA/CD协议。在其他方面,万兆以太网保留了初期以太网模型的精髓,因而可以和现有以太网环境无缝融合,支持客户已有应用。
RG-S6800E提供目前主流的四种万兆局域网传输标准:10GBASE-R、10GBASE-W、10GBASE-LX4、10GBASE-CX4,四种传输标准在数据链路层以上都相同,差别在于物理层。10GBASE-R和10GBASE-CX4用于传统的以太网环境,10GBASE-R采用光纤作为传输介质,10GBASE-CX4采用同轴铜缆作为传输介质,而10GBASE-W可与OC-192电路、SONET/SDH设备一起运行,保护传统基础投资,使运营商能够在不同地区通过城域网提供端到端以太网。10GBSE-LX4则使用WDM波分复用技术进行数据传输。
支持L2 VPN(QINQ)
RG-S6800E支持Service Provider vlan(Double Tagging、VLAN tunnel),允许对交换数据进行二次VLAN标识,外层标识用于创建VPN,提供链路选择,内层标识用于标识业务VLAN信息,实现在以太网环境中的L2 VPN,解决了传统以太网环境无法提供数据传输安全控制的问题。
锐捷网络校校通解决方案特点:
1、极高的网络管理功能
本方案全线采用锐捷增强网管型交换机,可以通过多种网络管理方式,方便的、有效的管理到最终的每一个端口。
2、高的规模扩展能力
可通过中心交换机RG-S6806E的全模块化设计和接入层交换机STAR-S21系列的堆叠,方便有效地扩展端口数量,有效地扩展网络的规模。
3、高的用户接入控制功能
本方案采用的RG-S6806E、STAR-S21系列交换机具有很好的对数据包中的MAC地址的控制和过滤功能,可以通过设置静态MAC地址锁、动态MAC地址锁和MAC地址过滤等功能,达到对接入用户的有效控制。
4、高性能的多媒体、视频点播效果
本方案中RG-S6806E、STAR-S21系列交换机均支持组播协议IGMP,完全保证在整个网络中高性能的多媒体、视频点播效果。为日后提供VOD视频点播打下基础,如图:
正如图中所示,不支持组播的网络,即使网络有足够的带宽,提供VOD功能的服务器也会因同时处理越来越多个用户的请求而最终难以应付。而支持IGMP协议的交换机就不一样了,服务器只需发送一份,交换机就会根据用户的分组情况,组播到相应的端口。这种情况下,不需要限制用户同时操作的数量。
5、高的数据安全性和广播风暴抑制能力
本方案中RG-S6806E、STAR-S21系列交换机均支持Port Vlan和802.1Q Tag Vlan,可以通过划分Vlan来保证网络中数据的安全性,同时有效抑制广播风暴。
6、高的带宽和冗余性能
本方案中RG-S6806E、STAR-S21系列交换机均支持标准的L2 Trunk技术,可以选择通过绑定多个端口达到更高的网络带宽,同时提供良好的冗余。
7、极高的网络传输带宽
整个校园网采取千兆到楼宇,100兆交换到桌面设计,具有极高的网络传输带宽。
8、三层路由交换
通过中心交换机RG-S6806E的三层交换功能,实现基于IP的三层交换能力,通过划分子网VLAN和设置访问规则,可极大程度上提高网络传输性能和安全特性,极大方便用户对网络进行管理。
9、高的安全性
通过采用锐捷网络独创的分类算法(Classification Algorithm)设计的新一代安全产品——第三类防火墙RG-WALL100,采用锐捷支持扩展的状态检测(Stateful Inspection)技术,具备高性能的网络传输功能;同时在启用动态端口应用程序(如VoIP, H323等)时,可提供强有力的安全信道。高速性能不受策略数和会话数多少的影响,产品安装前后丝毫不会影响网络速度;同时,RG-WALL在内核层处理所有数据包的接收、分类、转发工作,因此不会成为网络流量的瓶颈。另外,RG-WALL100具有入侵监测功能,可判断攻击并且提供解决措施,且入侵监测功能不会影响防火墙的性能。
