原有的北師大校園網學生宿舍部分是典型的用三層交換機、二層交換機構架的網絡�����,不但性能有限����,而且也沒有提供豐富有效的治理手段。隨著學生上網的需求不斷增加���,更多業務的添加��,學生��、教職工接入網絡需要認證���、需要按流量�����、按時長或包月進行計費���;校園網的運行需要保證安全,防止地址的盜用��,將來還需要開展組播�����、語音�����、流媒體����、MPLS等業務�����。因此�����,目前的設備和組網方案已經難以滿足要求����,迫切希望對網絡進行改造和擴容�����,并期望能對整網進行有效的治理��,并能開發出更多業務�。
為此����,北京師范大學和華為公司合作,選用華為公司自主研發的匯集層三層交換機QuidwayS6506和認證計費軟件CAMS(綜合訪問治理服務器ComPRehensive access Management Server)���,并充分利用已有設備升級北師大校園網絡,使得整網交換性能得到極大提升的同時提供用戶治理��、業務治理和靈活計費策略��。以下我們就對北師大校園網的升級改造情況作一簡介�����。
原校園網概況
原有的北師大校園網主交換設備是一臺3COM的3550,上行通過一個硬件防火墻經過NAT轉換連接外部Internent網絡��。下行連接的是D-LINK的3624i和3225����,基本是一個宿舍樓一個3624i或3225����。3624i和3225下掛3624或1624����,用戶PC直接接在3624和1624上�����。以中低端三層交換機為核心的組網方案存在以下的局限性:
1��、主交換機已經不能滿足業務流量的需求�。
2����、無法限制每個用戶的帶寬�����,這樣多個用戶使用一個網關(如wingate)上網的情況就難以杜絕���,給學校運營帶來收入上的損失����,存在治理上的盲點����。
3、計費模式單一����,目前只能采用包月的計費方法���,難以根據不同用戶的個性化需求,定制計費模式�,如按時間���、流量或帶寬進行計費。
4�、 缺少一種有效的認證計費方案�����。以3層交換設備和專業認證計費軟件進行配合�����,對各類用戶進行高效規范的統一電子化治理���。目前網上的二層交換機��、三層交換機802.1x等認證模式���,沒有計費業務平臺��。
5、難以實現對整個校園網進行有效的統一治理�����。目前師大校園網采用配置靜態ip地址的方式,由于即使用戶使用本不屬于他的IP地址也可以正常上網��,所以經常會發生使用他人IP地址的情況��,給治理帶來不便��。
6���、由于基本上每個樓劃分為4個甚至更多的VLAN�,所有VLAN之間的數據交換都需要通過三層交換機,當樓層或樓宇之間的數據流量較大時�,輕易使三層交換機成為網絡瓶頸����。
華為的升級方案
華為的升級方案以匯集層三層交換機Quidway?S6506和認證計費軟件CAMS(綜合訪問治理服務器Comprehensive Access Management Server)為核心����。
其中��,Quidway?S6506是華為公司研發的高密度三層交換機,適合在校園網絡和大型園區網絡作為核心交換設備���,其系統背板帶寬128G,交換容量為64G���,整機轉發能力達48Mpps���;CAMS是華為適用網絡可治理��、可運營、可盈利的目標而開發的一款認證計費軟件,CAMS支持與路由器�����、以太網交換機�����、VoIP網關和接入服務器等網絡產品共同組網�����,完成終端用戶的認證���、授權�����、計費和權限治理�����,實現網絡的可治理�����、可增值�����,保證網絡和用戶信息的安全�����。北師大校園網增加Quidway?S6506和CAMS后,無論是性能還是運營治理能力都有了大幅度的提高���。規劃后的北師大校園網如下:
S6506提供強大的Qos/ACL能力,可以為校園網中每個用戶或某個宿舍樓的子網分配一定帶寬�,QOS/ACL和CAMS結合可以為根據用戶的實際需求���,采用靈活的計費方案,定制個性化的服務���;S6506支持最新的802.1x認證���,和CAMS結合可以提供完備的認證計費方案,實現網絡的可治理���、可增值��。
S6506下行的各個端口啟動802.1x認證����,各個宿舍樓層的PC必須通過802.1x客戶端進行認證,輸入用戶名和密碼��,S6506會通過CAMS服務器對用戶名和密碼進行認證���,假如認證通過�,用戶PC可以訪問外部網絡�����,同時CAMS服務器開始對用戶進行計費��。在802.1x認證通過后���,用戶要想訪問外部網絡,需要動態獲取IP地址��,由DHCP服務器統一分配。S6506的各個下行接口上配置DHCP中繼��,并啟動地址檢查功能���,假如不是通過DHCP動態獲取的合法IP地址���,而是隨便配置的IP地址,用戶將不能上網��。在S6506上還設置了訪問控制列表�����,限制每個用戶的帶寬最大為64Kbit/s�����,這就可以有效限制多臺機器通過一個網關(如wingate)上網的情況����。為了節省改造網絡的投資���,這次升級只增加了1臺S6506����,相當于S6506起到業務網關的作用����。S6506可以支持4,000用戶的認證���,CAMS系統可支持10,000用戶。隨著用戶數的增加����,可以增加1臺S6506,兩臺S6506進行業務分擔����,或者把802.1x、DHCP RELAY功能下移����,由S6506下掛的三層交換機、二層交換機實現認證�、DHCP RELA等功能,減輕S6506的負擔���。
當前�,校園網建設正呈現出類似于IP城域網的特點���,越來越注重網絡的運營治理能力�。北師大校園網的升級改造正是充分體現了這種趨勢、建設效果良好的典型案例�。據了解,除北師大校園網以外�,華為公司已經協助上海同濟大學、南開大學���、黑龍江大學等多家高校成功建設了“可運營����、可治理”的校園網�。
