H3C校园网解决方案--官方语言可借鉴资料.docxVIP

H3C校园网解决方案--官方语言可借鉴 校园网解决方案 随着国家大力发展职业教育，职教规模逐渐增大，师生的数量不断增加，教学内容与教学手段不断丰富，校企合作与实训课程等业务开展如火如荼。在这样的环境下，对学校的资源进行整合，实现资源大集中是发展趋势，解决了当前校园信息化建设存在的业务没有拉通、信息流程割裂、资源重复投入等问题。 云计算的思想很好的解决了这些问题，它是一种新的IT资源提供模式，帮学校以新的方式组织割裂的信息，按需向各部门、各院系交付定制化的服务，消除IT短板。这种模式的出现，校园网成为用户获取资源的通道，传统校园网面临了新的要求。 需求与挑战 业务部门的安全隔离 业务服务的集中化，是将OA、教学、财务、各部门内数据等业务系统集中。校园网络作为统一的承载平台，需要对不同的业务进行通道划分和用户识别，实现校园网的动态授权和差异化控制策略。 云计算对性能、可靠、管理提出了更高的要求 通道的作用是提供用户访问资源的管道，其易用性体现在三个方面：首先是高速，用户能够无阻塞的访问服务；其次是可靠，用户能够随时访问，通道发生故障也不会影响用户使用；再然后是易管理，管理人员能够从繁琐的管理中脱离出来，将精力放到业务的建设中去。 无线接入的要求 多种智能终端的使用、信息的随时随地获取对校园无线接入提出了要求，但伴随着无线用户规模剧增、信号干扰、覆盖不到位、大流量业务的开展、上行带宽不足等问题逐一暴露，无线校园网的优化成为迫在眉睫的问题。 支持IPv6的要求 一方面是IPv4地址已经基本无地址池可分配，一方面是不断增长的终端对IP地址的需求，传统NAT解决方法又面临管理复杂，应用限制等问题，IPv6的引入势在必行。 出口的安全性 校园网出口是数字校园最宝贵、最稀缺的资源，每年会付出数十万真是上百万的经费租用链路，由于存在资源争用的情况，重要业务和重要使用者的往往得不到服务质量保障。另一层面，出口是安全威胁的必经之路，成为校园安全防御工作的重点区域。 校园网解决方案 H3C根据校园网的业务发展及云趋势的研究成果，对校园网的方案设计从业务隔离、无线接入、IPv6、出口安全几个维度进行了革新，同时兼顾方案的高性能、高可靠和易管理的特点。整体方案设计图如下： 校园不同业务的通道隔离 H3C创新性的提出了虚拟园区网的概念，通过将VPN与VLAN映射，将校园网划分为多个逻辑隔离的通道，虚拟通道既能达到与物理通道等同的安全保证，也可灵活控制某条虚拟通道中的业务对其他虚拟通道的访问。 校园云通道的部署 通道的建设起于用户接入、止于网络核心，H3C引入网络虚拟化技术IRF2简化云通道的部署。通过将多台设备虚拟化为一台设备，消除了生成树和VRRP等协议，大大简化了网络拓扑，从而减轻网络管理工作量。虚拟化后的设备都能参与工作，提升了通道的转发性能，且发生故障时能在毫秒级别自愈，保证系统的可靠性。 无线校园2.0 在无线速度上，802.11n可提供最大300M的接入速率，H3C提供目前业界性能最高的万兆无线控制器，最高处理能力可达40G。 在信号覆盖上，H3C针对无线在学生宿舍、图书馆、教室等高密区域遇到的干扰问题，通过降低用户和AP功率、优化不同楼层信道、优化天线、过滤干扰、优化接入速率、降低低速用户影响等方式对无线校园网进行全面优化。 在天线部署上，H3C推出了特有的“定制美化天线”部署方案，将具有特定外观的美化天线在宿舍内安装，结合双频的多通道覆盖，有效的解决了学生宿舍无线部署中的各类顽症。 在无线安全上，H3C采用ASIC+多核CPU架构来提升无线安全。针对链路层的Flood、Null data等由专业芯片防护，针对网络层的ARP欺骗等由AC来完成。另外，通过对802.11i和中国安全标准WAPI的支持，全面提升无线校园的安全性。 IPv6接入 IPv6的部署除了在设备上要求能够识别并处理IPv6协议族外，在IPv6校园安全及IPv6用户管理方面可借鉴IPv4校园的经验，并作出改善。 在IPv4/IPv6双栈环境中，各种攻击漏洞依然存在，问题的根源大多与非法主机接入有关，清华大学提出的SAVI技术（源地址认证提高）是一个很好的解决方案。通过在有线和无线网络中部署SAVI，校园IPv6地址再也不能被客户端随意修改或者被黑客控制，减少校园信息化管理的风险。 针对用户的接入管理则采取IPv6 WEB认证的方式。H3C的认证系统采用标准的Radius协议作为系统核心协议，屏蔽了各种接入方式的差异，可适配各种网络环境，达到单点登录的目的。 基于角色的出口统一管理 基于角色的多业务整合 面对校园网出口的多种业务需求，包括网络异常流量分析、区分业务优先级的带宽管理、安全防御攻击、用户上网行为审计管理、运营计费管理、多IPS