您的位置: 网界网 > 周报全文 > 正文

[周报全文]网络是“酿”出来的——阿尔卡特助力河北农大校园网二期工程

2004年02月23日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:网络是“酿”出来的——阿尔卡特助力河北农大校园网二期工程

标签
    网络是“酿”出来的

    ——阿尔卡特助力河北农大校园网二期工程


    法国是世界葡萄酒之乡,各种驰名干邑都是酿酒师的精心杰作。作为一流的IT厂商,阿尔卡特天生就继承了法国酿造专家的传统,不同的是,美酒换成了网络,但倾注的心血都是一样的。


    学校的品位

    河北农业大学校园网始建于1999年,现已初具规模。根据学校建设发展需要,校园网需在原有的基础上进行改造和扩建。网络改造和扩建视校区建筑竣工情况分期进行。本期工程主要涉及西校区将竣工的A、B、C、D四栋实验楼和学生公寓分中心及东校区综合楼、图书馆网络中心等。

    河北农大在1999年完成的一期校园网建设中曾经采用了阿尔卡特的交换机,经过4年的运行和使用,其突出的可靠性和虚网灵活性得到了学校的好评,因此在本次扩容中校方坚持把可靠性和虚网的灵活性作为网络建设的主要目标。另外,针对网络技术的发展,学校对网络的扩展性、安全性、智能性及可管理性等都提出了极高的要求。为此,学校再次与阿尔卡特公司进行合作,采用了以阿尔卡特新一代Omni系列交换机为基础的解决方案,进行二期校园网络的扩容工程。

    法国人的绝活

    阿尔卡特主张将运营商级的可靠性带进校园网络,为达到运营商级的99.999%的高可靠性,在设计网络和构建基础设施时必须考虑多方面的问题。在设备级的层面上意味着所有的系统部件,包括管理处理器和交换矩阵必须支持热插拔和故障切换,而这一切对用户而言都是透明的。

    今天,尽管绝大多数的设备制造商都可以提供热插拔的管理模块,但阿尔卡特能够保证在管理模块热插拔或故障切换时实现持续交换和路由运行。这种持续运行意味着在系统发生故障自动恢复期间不会影响用户的连接,因为所有的连接在系统恢复期间仍然可以保持。此外,智能的持续交换甚至可以在系统恢复期间建立新的连接,确保所有用户任何时间都可以访问网络资源。

    阿尔卡特提供的可靠性不仅仅局限于网络的核心层和汇聚层交换机,而且在接入层的堆栈式固定端口交换机上也一样可以通过加插双管理模块和环行堆栈而实现高可靠性,因此阿尔卡特把可靠性从网络的核心层、汇聚层扩展到了网络的接入层,从而实现了真正的全网可靠性。

    学校在核心节点使用的交换机是OmniSwitch 8800。这款交换机是阿尔卡特公司面向10G技术而设计的新一代交换机,它突破了传统交换机的通道带宽限制,可以为每个接口槽位提供32G的通道连接中央交换矩阵,所以可以支持真正意义的线速万兆交换,整机的交换容量可以达到512G,无论是第二层还是第三层的交换吞吐率都可以达240M包每秒。

    灵活的虚网策略

    灵活的虚网功能是阿尔卡特Omni系列交换机的一大特点,其中基于网络地址或物理地址的虚网策略可以支持网络用户的自由移动。当用户的物理位置发生改变的时候,网络无需任何人为的干预可以自动地跟踪适应用户的移动,而且将移动后的用户加入其原有的虚网中。

    一般意义上讲,为了增加移动性,势必会对网络的安全性带来一定的削减,这就是大家通常在校园网中碰到的移动和安全不可兼得。不过阿尔卡特率先提出了校园网中移动和安全相统一的解决方案,也就是用户认证的虚网技术(A-VLAN)。

    在用户通过认证过程后,交换机赋予用户访问一个或者多个VLAN的能力。VLAN访问的许可是赋予用户而不是访问的设备。A-VLAN可以使用标准的AAA系统如RADIUS和LDAP目录服务器。A-VLAN技术的关键在于同时结合了认证和授权,因此需要AAA服务器。交换机可以使用强大的双重认证—认证可以采用用户本身,包括用户所知道的东西或者所拥有的东西,如大多数基于Token的系统,日益增加的生物认证系统和PKI(包括智能卡)系统都可支持RADIUS接口。

    A-VLAN技术在交换机的端口提供园区网级别的安全性,一旦用户通过认证,用户将得到线速的局域网性能。A-VLAN技术通过在交换机端口控制网络访问,为安全的网络基础设施增添了边缘的控制。如果没有A-VLAN技术,未授权的用户可以通过交换机端口随意地访问网络(802.1X就属于这种情况),而对于某些网络,这是一个重大的安全威胁。

    尽管阿尔卡特也支持标准的802.1X,但是由于A-VLAN具有802.1X无法比拟的功能,尤其是其可以支持用户端不预装任何客户软件,仅通过标准的HTTP或HTTPS方式完成认证,所以最后校方还是把A-VALN作为网络中同时满足移动和安全功能的手段。

    安全的弦不能松

    在学校的网络建设中,阿尔卡特提出了“缺省安全性”的概念。就是当交换机送到用户端时,所有的出厂参数都保证交换机处于最安全的状态。另外,阿尔卡特在针对学校用户的接入访问上(+本站微信networkworldweixin),可以通过定制的安全策略进行多种访问控制。OmniSwitch交换机可以提供多种基于绑定方式的虚网策略,如:端口+MAC、端口+IP、端口+协议、端口+MAC+协议、 端口+MAC+IP等规则,可以有效地防止在校园网内部发生地址盗用。

    扫描是校园网络中非常常见的安全隐患,学生出于好奇心从网上下载一些扫描软件,而后就在校园网络中加以试验,这些扫描软件的使用往往会导致网络设备的处理能力大幅下降,甚至是宕机。阿尔卡特在OmniSwitch交换机中增加了抗扫描攻击的能力。

    如果交换机发现网络上有可疑的数据流或端口请求,则可以根据数据流的特征判断是否为扫描攻击,从而保证在网络受到真正的攻击之前将相关的链接强行中断,并将该攻击的发起者列入黑名单。除了抗扫描功能外,OmniSwitch交换机还对各种已知的攻击和蠕虫病毒作了大量的测试,以便将此类攻击对校园网络的影响降到最低点。

    以往很少有某一个设备厂商在网络管理中强调安全性,但是阿尔卡特看到了在管理方面网络设备存在着众多安全隐患,所以在OmniSwitch中不仅支持SSH、SSL、SNMPv3等安全加密功能,而且还提出了分权管理的功能。

    为了便于学校管理,阿尔卡特提出了OmniVista网络管理解决方案。OmniVista允许管理员通过单个平台监控网络活动,进行设备配置,诊断每台设备,并管理整个网络。另外,阿尔卡特还为用户提供了一套免费的图形化网管工具—Web View,它可以通过任何标准的浏览器对任何交换机实现图形化的管理,而且图形化的用户界面与中央网管OmniVista完全一致。


    编辑点评

    把运营商级的可靠性带入校园网,对学校而言还是比较新颖的。通过和学校沟通发现,当今大型高校校园网对于网络基础设施的可靠性、安全性、智能性和可管理性都提出了近乎运营级的要求。

    目标用户:大学

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]