要速度、更要安全

校园网已经成为高等院校最重要的学习和生活设施。随着网络的高速发展，网络的安全问题日益突出。校园网一个典型的特征就是应用非常丰富，包括软件下载、视频点播等，造成网络的负载非常重，学校必须提供高带宽的网络来满足不断产生的需求，同时攻击网络的病毒不断泛滥，以及学生“好事者”也会有意地攻击网络，他们往往并非为了某种“恶毒”的目的来攻击网络，而是出于好奇或者“表现”。如此繁重的网络一旦因攻击而造成瘫痪，损失将会是很大的。因此，作为校园网的管理方――网管希望网络即便有人攻击也能安全无事，随时都可以屏蔽不老实的用户；校方希望安全运营，不会出现网络瘫痪或者计费系统故障。

华南理工：要速度，更要安全

华南理工大学大学城校区现有计算机网络用户已高达1万户以上，计算机网络计划容量为2万用户，要充分满足学校内部教学、科研、工作、生活所需要的高速、高安全、高性能网络系统要求，保证每一个上网端口都能够达到高速率，因而整个网络系统核心层承受的压力非常大，万兆应用显然是必然之举。这样庞大的一个网络，自然需要构建核心层、汇聚层、接入层三级结构，使之清晰便于管理，这也是教育行业的典型应用结构。通过分层思想使网络有一个结构化的设计，针对每个层次进行模块化的分析，对统一管理网络和维护非常有帮助，也能够充分体现神州数码网络公司核心交换设备高背板交换处理能力的优越性特点。

万兆设备打造高速网络核心

根据学校的实际情况，结合多年服务高校的经验，神州数码网络认为在网络建设过程中，要把握一个重点、一个难点的解决。重点是建设高速的网络，难点是建设可管理的安全网络；只有这样，才能将整个网络建设得更有生命力。

因此方案中采用3台神州数码高性能的、具有电信级网络安全性能的核心路由交换机MG8，提供整个高速网络骨干交换子平台的核心交换，采用网络中心放置3台神州数码MG8核心交换机组成一个环路热备份的核心交换系统解决方案。

神州数码MG8提供整个网络系统核心路由、交换的需要，所有模块实现热插拔、端口冗余、链路冗余、电源冗余、802.1W(802.1S)环路、散热冗余等安全解决方案，充分满足核心交换机具有的电信级网络安全。另外核心交换机系统为整个校园网提供核心的交换、路由，其性能非常高，神州数码核心路由交换机MG8 提供1.28Tpbs 的背板交换容量，实现L2/L3/L4多层包转发率是480MPPS，为核心交换机最大可容纳的模块数8个、最大1000M以太网端口数480个、最大10G以太网端口数32个并全部模块端口支持硬件IPv6等强大的、高带宽的网络接口连接，为目前校园网中所有教学、宿舍等楼栋内网络用户10G 主干上联提供了条件。

在一期的网络建设中，我们建议在新、老校区之间采用万兆链路做主干、千兆做备份技术连接，保证网络的高速畅通；新校区的三台核心之间采用4条千兆链路，如果流量大时，可以通过链路聚合技术将带宽增加到8G，保证网络的高速。

未来的二期网络扩容只需添加万兆模块，就可以将网络升级到万兆，而不再需要重新购置核心交换机，实现网络的平滑升级，保护用户的投资。

D2SMP方案打造由内而外的安全

面对规划容量为2万用户的校园网络，上网地点灵活多变，学生做为主要上网人群，其好奇心和极强的学习能力会对网络的安全造成威胁。相对于来自外部的网络威胁，华南理工大学主要面对的还是来自于校园网内部的安全隐患。

神州数码认为内部的安全性表现在两个方面：一方面是设备本身的安全性能。在设备本身的安全性方面，神州数码提供的核心路由交换设备具有电信级的安全性，拥有99.999%的可靠性，全年保证故障时间不超过5分钟，而冗余设计，保证了7×24小时的无故障运转；二是整个网络的安全防护能力。整个网络的安全防护方面，D2SMP是目前国内校园网方面最好的安全方案之一。

D2SMP是什么呢？它是“分布式安全域管理策略”的缩写。在神州数码网络提出的“分布式安全域管理策略”中，“安全域”是一个非常重要的概念。“安全域”是指具有不同网络风险的区域，也就是说把具有相同网络风险或相同安全权限的用户放到一起的一个逻辑域。“安全域”的提出主要就是为了通过多种手段解决网络内部安全的问题。在“安全域”的构建上，神州数码网络率先提出了基于用户的VLAN划分的策略。形象地说，校园网管理者可以在系统中设定小李、小陈、小张等同学设在属于“学生”的一个VLAN中，把老李、老陈、老张等老师设在另一个属于“教师”的VLAN中，而不用考虑这些人处在校园网中的哪个位置、是连到哪台交换机的哪个口上，系统都会自动帮助用户完成这些负责的VLAN设定，有了这样一个“基于用户的VLAN”功能，可以非常方便地根据用户权限的差别划分一个个的“安全域”。因此，华南理工大学校园网管理者就可以基于不同的安全策略直接对不同的用户进行操作，即使用户移动了位置，他所连接的交换机端口变了，但他同样还是会在原来其所在的“安全域”中，系统对他的所有安全策略完全生效。如此一来，那些充满好奇心的学生也只能在其所在的“安全域”中活动，而无法进入学校的教师管理系统、财务管理系统等重要系统中，即使学生用户感染病毒，也能有效地控制在其所在的“安全域”中，不会影响整网的安全。

实现“分布式安全域管理策略”依赖于神州数码网络基于高校校园网应用的全线网络产品。分布式安全管理主要集中在汇聚层和接入层，神州数码网络的DCRS-5512GC、DCRS-3926S、DCS-2000E系列交换机产品，在具备出色性能的同时，更重要的是都支持多种认证接入方式，同时结合神州数码认证计费系统DCBI-2000、DCBI-3000和网管系统LinkManager，可完成对用户接入认证的管理控制，帮助高校校园网实现运营。而目前神州数码网络产品在用户认证方面做得十分周到，通过灵活的用户信息多元绑定（帐户、密码、MAC地址、IP地址、交换机IP、接入端口、VLAN ID、DHCP SERVER等）技术，使得无论在校园网何处，都能准确识别用户身份，从而做到从设备管理到用户管理的层面。

内部的安全问题得到很好地解决后，外部的安全问题仍然不能忽视。在抵御网络的攻击方面，神州数码网络的DCFW-1800S/E/G三个系列智能防御网关值得一提，其结合最新的网络安全技术及基于NP架构的设计，可保障非法攻击止步于其之外，可谓一夫当关，万夫莫开。配合网内的“分布式安全域管理策略”，可使整个校园网由内到外显得安全、有序。这一安全解决方案出色地解决了校园网的安全问题，在实现网络高速运转的同时，解决了校园网的安全隐患。