随着国家大力发展职业教育,职教规模逐渐增大,师生的数量不断增加,教学内容与教学手段不断丰富,校企合作与实训课程等业务开展如火如荼。在这样的环境下,对学校的资源进行整合,实现资源大集中是发展趋势,解决了当前校园信息化建设存在的业务没有拉通、信息流程割裂、资源重复投入等问题。
云计算的思想很好的解决了这些问题,它是一种新的IT资源提供模式,帮学校以新的方式组织割裂的信息,按需向各部门、各院系交付定制化的服务,消除IT短板。这种模式的出现,校园网成为用户获取资源的通道,传统校园网面临了新的要求。
需求与挑战
业务部门的安全隔离
业务服务的集中化,是将OA、教学、财务、各部门内数据等业务系统集中。校园网络作为统一的承载平台,需要对不同的业务进行通道划分和用户识别,实现校园网的动态授权和差异化控制策略。
云计算对性能、可靠、管理提出了更高的要求
通道的作用是提供用户访问资源的管道,其易用性体现在三个方面:首先是高速,用户能够无阻塞的访问服务;其次是可靠,用户能够随时访问,通道发生故障也不会影响用户使用;再然后是易管理,管理人员能够从繁琐的管理中脱离出来,将精力放到业务的建设中去。
无线接入的要求
多种智能终端的使用、信息的随时随地获取对校园无线接入提出了要求,但伴随着无线用户规模剧增、信号干扰、覆盖不到位、大流量业务的开展、上行带宽不足等问题逐一暴露,无线校园网的优化成为迫在眉睫的问题。
支持IPv6的要求
一方面是IPv4地址已经基本无地址池可分配,一方面是不断增长的终端对IP地址的需求,传统NAT解决方法又面临管理复杂,应用限制等问题,IPv6的引入势在必行。
出口的安全性
校园网出口是数字校园最宝贵、最稀缺的资源,每年会付出数十万真是上百万的经费租用链路,由于存在资源争用的情况,重要业务和重要使用者的往往得不到服务质量保障。另一层面,出口是安全威胁的必经之路,成为校园安全防御工作的重点区域。
校园网解决方案
H3C根据校园网的业务发展及云趋势的研究成果,对校园网的方案设计从业务隔离、无线接入、IPv6、出口安全几个维度进行了革新,同时兼顾方案的高性能、高可靠和易管理的特点。
校园不同业务的通道隔离
H3C创新性的提出了虚拟园区网的概念,通过将VPN与VLAN映射,将校园网划分为多个逻辑隔离的通道,虚拟通道既能达到与物理通道等同的安全保证,也可灵活控制某条虚拟通道中的业务对其他虚拟通道的访问。
校园云通道的部署
通道的建设起于用户接入、止于网络核心,H3C引入网络虚拟化技术IRF2简化云通道的部署。通过将多台设备虚拟化为一台设备,消除了生成树和VRRP等协议,大大简化了网络拓扑,从而减轻网络管理工作量。虚拟化后的设备都能参与工作,提升了通道的转发性能,且发生故障时能在毫秒级别自愈,保证系统的可靠性。
无线校园2.0
在无线速度上,802.11n可提供最大300M的接入速率,H3C提供目前业界性能最高的万兆无线控制器,最高处理能力可达40G。
在信号覆盖上,H3C针对无线在学生宿舍、图书馆、教室等高密区域遇到的干扰问题,通过降低用户和AP功率、优化不同楼层信道、优化天线、过滤干扰、优化接入速率、降低低速用户影响等方式对无线校园网进行全面优化。
在天线部署上,H3C推出了特有的“定制美化天线”部署方案,将具有特定外观的美化天线在宿舍内安装,结合双频的多通道覆盖,有效的解决了学生宿舍无线部署中的各类顽症。
在无线安全上,H3C采用ASIC+多核CPU架构来提升无线安全。针对链路层的Flood、Null data等由专业芯片防护,针对网络层的ARP欺骗等由AC来完成。另外,通过对802.11i和中国安全标准WAPI的支持,全面提升无线校园的安全性。
IPv6接入
IPv6的部署除了在设备上要求能够识别并处理IPv6协议族外,在IPv6校园安全及IPv6用户管理方面可借鉴IPv4校园的经验,并作出改善。
在IPv4/IPv6双栈环境中,各种攻击漏洞依然存在,问题的根源大多与非法主机接入有关,清华大学提出的SAVI技术(源地址认证提高)是一个很好的解决方案。通过在有线和无线网络中部署SAVI,校园IPv6地址再也不能被客户端随意修改或者被黑客控制,减少校园信息化管理的风险。
针对用户的接入管理则采取IPv6 WEB认证的方式。H3C的认证系统采用标准的Radius协议作为系统核心协议,屏蔽了各种接入方式的差异,可适配各种网络环境,达到单点登录的目的。
基于角色的出口统一管理
基于角色的多业务整合
面对校园网出口的多种业务需求,包括网络异常流量分析、区分业务优先级的带宽管理、安全防御攻击、用户上网行为审计管理、运营计费管理、多IPS出口负载均衡管理提供了整合型的解决方案。解决方案基于用户的身份和角色,从“看”、“疏”、“防”、“审”、“营”、“优”六个维度,将错综复杂的校园网出口管理要求实现了综合管理。
高性能、可弹性扩容的方案
解决方案依托于SecBlade技术实现集成式安全部署,将性能从“千兆级”提升至“超万兆级”,在用户规模不断扩大时,平滑扩容提升处理能力,不会因为产品性能形态固定而无法保护投资。同时不同的组件可分期部署,避免投资压力。
稳定可靠的管理方案
SecBlade集成式部署方案将原有校园网出口多种设备的多故障点降至最低,即使在SecBlade板卡出现故障时,逃生功能实现业务流量的二层回退,业务不中断。
基于角色的校园网出口统一管理方案,利用SecBlade技术将校园网出口的多个管理环节进行整合,以强大的处理性能、平滑扩容能力、极高的可靠性,为校园网出口管理提供全新的技术实现方式,有效的帮助学校提升用户整体使用满意度。
H3C校园网解决方案优势
Ø 基于MPLS VPN的校园通道隔离技术:基于VPN的隔离技术具有业务隔离性高、扩展性好、技术成熟等优点,同时部署时极大减少了ACL策略的控制,降低了出错的可能性和安全漏洞;
Ø 基于IRF的网络虚拟化技术:部署了虚拟化的网络结构简单,便于简化校园网方案的设计,提升校园网可靠性和使用效率,简化管理复杂度;
Ø 无线校园2.0:H3C针对无线校园建设过程中遇到的主要问题给出了全面解决方案,包括有线无线一体化方案,端到端的802.11n覆盖方案,无线接入高密度抗干扰方案,无线信号覆盖优化方案,端到端的IPv6方案等;
Ø SAVI技术:有线的SAVI技术升级正如火如荼,而无线用户同样需要认证。无线接入设备必须能够了解每一个用户的在线状态,了解其对应的MAC、密钥等信息。H3C实现了对无线网络的SAVI,实现IPv6绑定、AP间用户漫游记MAC地址的安全防护等。
Ø 基于角色的出口统一管理:基于用户的身份和角色,从“看”、“疏”、“防”、“审”、“营”、“优”六个维度,将错综复杂的校园网出口管理要求实现了综合管理