數位化校園網解決方案

***xx學院

高等院校數位化校園網解決方案

***xx科技公司

***x年1月

目錄一、高校學生***x網建設現狀

據調查，在使用internet上網的使用者中學生佔了25%，這些使用者都集中在校園網內部或者學校外面的網咖。由於學校上網使用者密度大，已經越來越成為學校或者運營商關注的乙個熱點。

2023年後，國內高校的校園網建設開始延伸到教學樓、學生***x以及教師家屬區，其中呈**性增長的是學生***x區。

建設可運營、易管理的學生***x網，將學生從周邊的網咖拉回管理規範的學生***x，從而實現以網養網的目的，對大部分高校都應該是乙個非常緊迫的課題。

● 使用者數多，擴充套件速度快

高等學校一般在校學生都比較多，且隨著高校的擴招和合併，學生使用者數會越來越大，一般都可能超過2萬；

● 網路應用複雜，流量大

學生主要使用網路進行ftp檔案傳輸、****、**影視、網路遊戲等流量巨大的網路應用；

● 安全隱患大

學生是乙個易接受新事物、喜歡嘗試探索、好成就好攻擊的「危險群體」；

● 不易管理

學生使用者中經常發生ip位址盜用、ip位址衝突、帳號盜用、設定**伺服器等令網路管理及維護人員非常頭疼的問題。

● 逃避收費

學生群體的特點以及經濟條件相對較差，使得高校學生使用者千方百計地逃避收費，給運營收益帶來了極大的壓力；

● 接入要可控

如何保證只有申請開戶的合法使用者才可接入網路？

● 系統要安全

如何做到準確的身份認證、快速審計定位、防病毒、防各種攻擊？

● 網路要高效

如何在大使用者數大流量情況下，保證網路效率，無效能瓶頸？

● 如何運營收費

如何合理、靈活計費，如何避免收費盲點？（**伺服器）

● 如何輕鬆管理

如何進行裝置管理、使用者管理、如何保證資源不被濫用？（ip位址盜用、mac盜用、帳號盜用）

● 需要有效地對學生進行接入控制，保證只有申請開通的合法使用者才可以使用網路；

● 能夠對接入使用者進行帳號與ip、mac、埠等多元素繫結，以唯一確定使用者身份，同時做到準確定位；

● 能夠靈活限定帳號漫遊的範圍；

● 能夠對使用者的接入上網時間段做靈活的控制；

● 對病毒的傳播蔓延有控制手段；

● 防止對裝置、對系統、對其它合法使用者惡意攻擊；

● 能有上網源記錄，當出現安全事件時能協助審計快速定位；

● 認證計費效率高，對使用者的認證和計費不會對網路效能造成瓶頸；

● 系統支援幾萬及以上使用者同時**並正常執行，使用者不會感覺網路速度慢；

● 系統支援計天、包月、計時長、卡業務等計費功能；

● 支援靈活計費，比如計天當天不使用不扣費、一次繳費自助分段開通等；

● 防止學生架設**伺服器，避免乙個帳號多人同時使用。

● 需要方便的進行使用者管理，包括開戶、銷戶、資料修改和查詢

● 需要能對使用者進行分級管理，認證計費系統需要支援遠端登入的方式進行管理；

● 需要能夠對網路裝置進行集中的統一管理；

● 需要有效解決ip位址衝突問題

● 需要有效解決ip位址盜用問題

● 需要有效解決賬號盜用問題

● 需要有效控制學生私自架設**伺服器

遵循網路的層次化、模組化的設計思想，我們採用核心、區域匯聚、樓棟匯聚、接入的四級網路架構，採用萬兆核心、千兆到樓棟、百兆交換到桌面，為使用者提供高速的資料交換。

網路的發展趨勢是「智慧型到邊緣、安全到桌面」，結合學生***x子網應用複雜，安全隱患大，所以在網路結構設計上採用分布式三層交換、分布式acl、分布式認證，最大程度的提高網路的效能、效率和安全性；

在資金允許的情況下，最好在樓棟一級採用三層交換機，因為樓棟一級採用三層交換有如下好處：

1. 分流區域匯聚/核心資料處理能力、降低核心路由交換壓力。

2. 更好抑制廣播風暴、提公升網路效能。

3. 終結各vlan資訊、增強核心路由管理能力。

4. 網路層次結構更加完善、可彙總路由，降低核心路由表項。

5. 安全性更高，更強的預防和控制，對網路攻擊、病毒和破壞盡量控制在邊緣完成。

6. 擴充套件性更強、快速定位故障點、更易於管理。

7. 各接入層內部通訊量大，實現了本地三層交換。

網路拓撲結構

網路規劃設計說明

本次江西科技師範學院學生***x網路建設是數位化校園網中乙個重要的組成部分，在前期的校園網中已經通過***網路提供的rg-sam安全認證管理系統，構建了一套完整的數位化校園網認證體系架構。本次的學生***x網建設中將公用這套rg-sam安全認證管理系統，實現學生***x網的統一認證、統一管理、統一計費、統一運營。本次學生***x網建設採用典型的核心層、匯聚層、接入層分布式交換設計模型，在每棟學生***x各使用一台三層交換機作為樓棟匯聚的核心，樓棟三層交換機通過千兆單模光纖連線到校園網中。

這種分布式交換設計模型，既保證了每棟學生***x能通過三層交換機高速安全的接入到校園網中，同時也通過樓棟三層匯聚交換機將整個學生***x網分割成了多個安全管理區域，當部分樓棟出現網路攻擊或安全事件時，樓棟三層匯聚交換機可以將各種安全隱患和網路攻擊隔離在最小的區域中，提高了整個校園網的穩定性和抗攻擊能麗。在學生***x網接入層使用rg-s2126s智慧型安全交換機，rg-s2126s作為目前安全功能最強大的一款接入交換機，通過內在的多種安全機制可有效防止和控制病毒傳播和網路流量攻擊，控制非法使用者使用網路，保證合法使用者合理化地使用網路，如埠安全、埠隔離、專家級acl、時間acl、埠arp報文合法性檢查、基於資料流的頻寬限速、六元素繫結等等，保證江西科技師範學院數位化校園網對訪問者進行控制、限制非授權使用者通訊的需求。

樓棟匯聚交換機：必須提供全線速的資料交換，保證接入節點和核心節點資料交換的暢通無阻，同時當網路流量較大時，能夠對關鍵業務的服務質量提供保障，並且最好能夠提供本地的三層交換。

所以樓棟交換機建議採用***的千兆智慧型三層交換機rg-s3760-24/48，star-s3760-24/ 48是兩款全線速安全智慧型多層交換機，該交換機硬體支援多層交換，提供二到七層的智慧型的流分類和完善的服務質量（qos）以及組播管理特性，支援完善的路由協議，並可以根據網路實際使用環境，實施靈活多樣的安全控制策略，可有效防止和控制病毒傳播和網路攻擊，控制非法使用者使用網路，保證合法使用者合理使用網路資源，充分保障網路安全和網路合理化使用和運營。

接入交換機提供使用者的直接接入，為了滿足日益興起的**、音訊應用，需要接入層裝置支援良好的qos，以達到與匯聚以及核心裝置一起提供端到端的服務質量（qos）保證；另外需要具備vlan和acl功能實現資訊保安和對病毒的控制；最後，接入層交換機需要做到良好的接入控制能力，保證網路的接入可控和有效管理。

所以接入交換機建議採用***的智慧型安全交換機rg-s2126s，rg-s2126s，是一款全線速可堆疊的安全智慧型交換機，在提供智慧型的流分類、完善的服務質量（qos）和組播應用管理特性同時，並可以根據網路實際使用環境，實施靈活多樣的安全控制策略，可有效防止和控制病毒傳播和網路攻擊，控制非法使用者使用網路，保證合法使用者合理使用網路資源，充分保障網路安全和網路合理化使用和運營。

目前認證目前比較常見的有三種：pppoe、web portal、802.1x，我們一起來比較一下。

首先是pppoe技術，它的優點是應用模式和原有的**撥號是一致的，接受起來比較容易。缺點就是ppp到ethernet封裝效率低，在認證發現階段有大量的廣播嚴重影響效率，同時組播開展困難，比如**點播是很難實現的。還有一點就是需要客戶端軟體，而且bas裝置容易造成單點故障。

關於web portal，它的最大優點是不需要特殊的客戶端軟體，而缺點是7層應用，這樣對裝置的要求就相對高，對使用者控制弱或幾乎是不可控制，還有一點是易用性差，任何應用都必須web認證，認證前獲取ip位址造成浪費。關於802.1x，它的優點是二層協議，認證效率高，有效降低組網成本，便於對使用者做控制，對組播支援好，認證流和資料流實現完全分離。

而它的缺點是需要客戶端軟體，還有就是不是技術本身的缺點，只能針對流經nas裝置的流量進行統計。第三點就是現有裝置的相容問題。綜合比較來看，三種技術都有其各自的優點和缺點，見下表：

802.1x認證的突出特點是：實現簡單、認證效率高、安全可靠，同時消除了網路認證計費的效能瓶頸和單點故障。

另外，在二層上實現使用者認證，大大降低了整個網路的建網成本。很高興在前一段時間川大的老師們也對這些技術做了比較，且我們和他們的結論是相同的。所以沒有任何一種技術是十全十美的，但對於校園網路來講，802.

1x 認證是最合適的。基於802.1x的認證技術必將成為校園網路運營的主流技術。

數位化校園網解決方案

H3C數位化中小學校園網解決方案

9 3校園網解決方案

高校校園網安全解決方案

數位化校園網解決方案

H3C數位化中小學校園網解決方案

9 3校園網解決方案

高校校園網安全解決方案

相關推薦