设备选择
在校园网的网络结构确定之后,设备的选择和配置也是非常重要的。校园网既与一般的局域网有许多相同之处,又与普通的局域网有许多不同的特点。因此在确定设备的配置和选型时要根据校园网的实际需求和近二、三年的扩展。其中,最重要的是交换机、路由器以及服务器的选择。选择的原则是在满足校园网的需求基础上,综合考虑设备的功能、性能、可靠性、服务和价格。
路由器 由于目前高档交换机均具有路由的功能,因此可以只在校园网出口处配置一台或两台路由器,以便与外网相连。路由器可选择Cisco 3640。Cisco Router是目前能够提供完善的流量采集源的网络设备。它为我们提供了两种方式:IP Accouting和NetFlow。IP Accounting统计提供了四种信息包括源IP、目的IP、包数、字节数。NetFlow提供更为详细的统计信息。
交换机 交换机是网络中的核心设备,对网络的功能、性能、速度、带宽和可靠性等方面影响很大。
主交换机的容量应满足校园网对带宽和近期扩展的要求,即应具有几十个G的背板和几十 Mpps的路由吞吐量,并可提供足够多的千兆以太网接口和10/100M端口,具有四层交换能力。
思科(Cisco)和凯创(Cabletron,现为Enterasys)都是世界知名品牌,其高端交换机产品基本上可以满足上述要求。如Cisco 6509 和Enterasys SSR8600等。
从两者功能、性能和价格等综合因素,在经费有一定限制的情况下,选择凯创的产品似乎更为有利,如主交换机选择Enterasys X-PEDITION 8600 交换路由器(Cabletron SSR8600),这主要有以下方面考虑:
⒈ 优秀的功能和性能。X-PEDITION 8600 具有64Gbps(全双工)无阻塞交换矩阵背板,30Mpps路由吞吐量,可提供60个千兆以太网接口或120个10M/100M端口,支持10Gig、光纤网络等先进技术,具备线速第四层应用数据流交换功能,并支持HSSI、FDDI、ATM和串行WAN接口以及语音和视频的多点组播,还可以对应用优先级的划分进行精确控制,这些基本上可以满足大学校园网的要求。
⒉ 良好的性能/价格比。X-PEDITION 8600 的价格低廉,在一期工程实际接入20Gbps左右时的报价,两台X-PEDITION 8600的价格几乎接近Cisco 6509(128Gbps背板)一台的价格,这实在具有相当的诱惑力。这就是说,X-PEDITION 8600的性能/价格比高。
⒊ 网络中使用两台SSR8600可大幅度提高网络性能。采用三星结构的校园网如果在主结点和分结点配备两台X-PEDITION 8600,那么对于地域上划分为两个或多个校区的校园网,对当前的需求和近二三年的扩展都是相当合理和有利的。采用这种三星结构并使用两台X-PEDITION 8600(另一星使用X-PEDITION 2100),可以实现分布式动态交换,达到负载均衡的目的,同时,也为低成本异地存储方案提供了便利的条件。
因为X-PEDITION 8600和Cisco 6509(128Gbps背板)的档次差不多,如上述方案中选用Cisco 6509(128Gbps背板),那么费用就会提高几十万元。
⒋ 服务承诺。在购买了备品服务的情况下,凯创公司把交换机的主要备件均保存在北京,并与集成商共同承诺在交换机故障发生后48小时内予以更换。
除了主交换机之外,校园网中还需要配备大量的楼端交换机。楼端交换机可选用与主交换机相同的产品。
服务器 大学校园网的应用服务的类型是很多的。在服务器配备上当然可以采取集中式或分布式。但从安全、处理速度、I/O能力和便于管理的角度考虑,还是采用分布式的方式较好。这样,校园网的所有服务可使用8~10台服务器。对于数据库服务器,考虑采用集群方式。由于校园网应用的数据量很大,因此数据库服务器应选择2CPU以上的较高档小型机或4CPU以上的高档PC服务器。其他服务器可根据实际应用选择。因绝大部分大学校园网都选择的是Sun公司的产品。而且Sun的产品也比较便宜,因此小型机选择Sun的产品为好,这便于兄弟院校间应用软件的交流与共享。
PC服务器IBM、HP、康柏等都可选用,康柏的价格相对比较便宜。当然国产产品如浪潮等也可以选用,这要根据经费的情况决定。
网络安全设计
方案采用的网络卫士防火墙既支持Internet网络的主要服务(如Web、E-mail、FTP、Telnet等)和基于TCP协议的所有应用程序,又支持UDP一类的非连接协议的应用程序。而且,还支持Real Audio、VDOLive和Internet Phone这样的多媒体应用程序,使用防火墙后不会出现服务失效的负作用。
该产品也支持对公开服务器的安全保护。为适应越来越多的用户向Internet提供服务时对服务器保护的需要,它采用分别保护的策略对用户上网的对外服务器实施保护,它可以将一个端口配置成SSN,即把对外服务器作为一个独立网络处理,对外服务器既是内部网的一部分,又与内部网关完全隔离。SSN方法提供的安全性要比传统的DMZ方法好得多,因为SSN与外部网之间有防火墙保护,SSN与内部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。一旦SSN遭破坏,内部网络仍处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露在攻击之下。
Internet用户通过一次性认证方式就可以通过防火墙访问内部网络,由于采用一次性口令认证机制,即使窃听者在网络上截取到口令,也无法通过这个口令与内部网建立连接。防火墙可以提供用户级权限控制,提供流量统计与控制功能,提供双机热备份与负载均衡,提供防火墙日志、审计,提供对防火墙配置规则测试的功能,支持防火墙系统支持与其他厂家的路由器或交换机互连互通,支持透明接入与透明连接,不影响原有网络设计和配置,支持本地和远程管理两种方式,支持命令行和GUI方式的管理和配置。