云南大学校园网

一、 项目背景介绍

云南大学具有八十余年的历史，是中国西部建立最早的综合性大学之一。1946年，英国《简明大不列颠百科全书》把云南大学列为中国十五所世界著名大学之一。

云南大学宿舍网建设改造，信息点数共计15000多个。为了使广大学生更方便、快捷的联入Internet，提高学习和工作效率，学校决定建设本部学生宿舍宽带网并进行计费认证改造。最终实现网络资源共享、方便学生生活学习，提高学习效率；同时，网络要能够实现灵活的安全认证计费功能，真正做到“以网养网”。

二、 方案概述

针对以上的需求，在设计上主要采用了以下思路：

基于802.1X的分布式端口认证+用户边界的流量计费作为宿舍网络运营的基础；

采用高性能路由器的架构来保证出口的性能和可靠性；

通过部署万兆核心多业务路由交换机构成全冗余、稳定可靠的骨干网络；

结合网管平台、SAM系统、安全接入交换机来保证网络的可管理性以及网内的安全防护。通过前期细致的规划及多次的同校方的技术论证，云南大学宿舍网络建设方案最终确定采用了锐捷网络提供的网络设备及解决方案。具体如下：

三、 方案特点介绍

核心层：采用十万兆核心路由交换机RG-S8606作为核心交换平台，为校园网扩展更高（100G）的带宽，更高密度的万兆（10*10G端口）应用提供了平滑的升级功能。

汇聚层：按楼宇片区的物理结构设计，每个片区设计一台万兆路由交换机RG-S5750（可扩展万兆上联）高性能IPv6汇聚交换机；共计9台设备，通过千兆双链路捆绑分别连接到核心RG-S8606，构成全冗余的骨干网络。对下采用千兆与接入层设备相连，充分保证网络线路的带宽需求，真正达到校园网内部的高速数据交换。汇聚片区包括:东二院片区、东二院冶金公寓片区、东陆园11栋片区、东陆园7栋片区、鼎新片区。

接入层：采用安全智能交换机RG-2100G系列，采用堆叠设计，通过千兆单模光纤或千兆六类网线上联到楼宇片区的汇聚层设备。

出口：采用高性能出口路由器NPE50。锐捷NPE设备，采用NAT与REF（锐捷快速转发）高效配合，并充分利用流交换技术，实现高速NAT，NPE作为网络出口设备性能上不会成为瓶颈，NPE针对各种网络攻击和安全威胁进行日志记录，采用统一的格式，支持本地查看的同时，还能够通过统一的输出接口将日志发送到日志服务器，为用户事后分析、审计提供重要信息，NPE50内置防火墙的功能，具备报文过滤、状态检测、防御攻击和内容过滤等防火墙的功能。

稳定性设计：RG-S8600系列万兆核心路由交换机主机支持冗余的管理模块、冗余的电源模块、各种模块热拔插等安全稳定保障技术。主机液晶显示屏可直接显示交换机名、CPU利用率、内存利用率、管理模块与线卡温度、风扇和电源工作状态、持续工作时间等，提供及时的设备关键状态查看，提升系统安全稳定的维护能力。主机实时检测CPU的使用状态，并提供业界领先的硬件CPU保护技术（CPP，Control  Plane Policy），CPP技术对发往CPU的数据进行流区分和流限速，避免非法攻击包对CPU的攻击和资源消耗。

认证计费系统设计：通过在后台布署RG-SAM管理认证管理系统，实现全校人员入网的身份认证、绑定、以及根据不同人员的需求进行多种计费等功能，SAM结合交换机实现的六元素绑定、基于用户身份的漫游、一次缴费，多段开通、LDAP的支持、批量开户，缴费等功能确保了宿舍网络的运营和管理实现智能化、透明化、流程化。并实现了学校要求的学生使用教育网免费，电信、网通网络资源收费的计费策略。

四、 应用总结

锐捷网络为云南大学提供的整体解决方案不仅为学校量身定制了符合学校发展、管理和运营需求的宿舍网络，满足了学校对于宿舍网络高安全、高性能、高可靠性，可管理、可扩展性的需要，满足了广大师生的迫切需求，大大提升了学校的整体网络环境，为下阶段IPv6在宿舍网络的大规模部署构建了良好的硬件网络平台，加快了云南大学教育信息化的进程。