创立标杆应用 中兴通讯打造西安石油大学新一代校园网

　　随着因特网的快速普及与高速发展，校园网已经成为每个学校必备的信息基础设施之一，是学校提高教学、科研及管理水平的重要途径和手段。较之一般的企业网，校园网面临更复杂的用户类型和业务需求，它不是单纯的办公网络，而是一个承载教学、办公自动化、图书馆等多种业务和应用的平台，并且有部分网络资源用来经营，因此对投资回报有更高的要求，也就对承建校园网络的团队提出了高要求。在西安石油大学新校区网络建设中，中兴通讯充分展现了成熟与专业。

　　一、新校区的网络原貌
\r\n 
\r\n　　具有50多年历史的西安石油大学是一所综合发展的教学科研型大学，学校积极开展科学研究工作，高度重视教学工作。西安石油大学户县新校区的网络互相隔离，没有一个安全的数据传输通道，因此各种业务数据无法实现跨楼层、跨地域的共享和利用，既是资源的极大浪费，又在很大程度上造成了信息传输不通畅、办公效率低下等影响，而西安石油大学又需要一个可靠、稳定的网络以满足信息化建设与发展规划的要求。为推动新校区的信息化建设，提高新校区的教学管理水平，西安石油大学决定建设新校区网络。通过建设楼层直达光路，构建全校整体网络，实现中心机房到楼宇、楼宇到楼层、楼层到桌面的全面互联。数据网络的建设服务于视频系统、语音系统、网站服务、数据存储等应用业务，作为业务系统的承载网部分。

　　石油大学一期网络建设将包含6栋公寓楼、一个生活服务区、2栋教学楼、3栋实验楼、教务中心、工程训练中心，体育系楼等，总建设信息点数7371个。石油大学提出的要求包括：

　　1.新校区的校园网，要有利于设备的统一运行、维护、管理和监控。网络建设需要满足信息中心对管理和控制功能的要求。设备选型应与老校区校园网和教育网设备兼容。

　　2.高带宽、高稳定性、高安全性，应能承载主要网络应用、有足够的满意度，尤其在网络设备故障率、系统维护、恶意攻击、病毒入侵、可扩展性方面达到要求。

　　3.性价比合理，主要性能指标突出。

二、全面“量身制网”

　　中兴通讯基于对教育行业网络构建的深入了解，充分考虑石油大学的现状与要求，为西安石油大学新校区网络工程量身定做了技术先进的综合网络整体解决方案。新校区网络结构采用分层星型扁平型结构，分为核心层、汇聚层、接入层；核心层位于实验楼C1的计算机中心，汇聚交换机放置于每座学生公寓楼，接入交换机放置于各个区域的楼层配线间；核心交换机采用中兴通讯的万兆核心路由交换机ZXR10 T160G，汇聚交换机采用中兴通讯的高性能三层交换机ZXR10 5952系列，接入交换机采用智能千兆交换机ZXR10 2952和ZXR10 2928，同时部署ZESR智能弹性环。

　　1、网络设计

　　整个网络分为核心层、汇聚层和接入层3个层次，可以看作是一个分级的星形网络，结构简单、易于扩展。网络拓扑如图1所示。

\r\n图1 西安石油大学新校区网络拓扑图

　　此方案结构层次清晰合理：
\r\n 
\r\n　　采用一台中兴ZXR10 T160G作为整个新校区校园的网络核心，核心交换机设备配置冗余电源和冗余主控管理模块。通过千兆光纤线路与老校区及工程训练中心等区域相连；并通过千兆光纤线路实现与1、2、3、4、5、6号学生公寓、教学楼B、实验中心、生活服务区、教学楼A、三栋实验楼、体育系楼等楼宇的连接。
\r\n 
\r\n　　新校区汇聚层总共配置多层万兆交换机ZXR10 5952七台，千兆光口连接核心，千兆电口连接接入交换机。在ZXR10 5952上面启用三层功能，部署ACL控制访问列表，控制互相访问。汇聚层设备全部支持光口千兆上行，直接通过千兆光纤连接到核心层，彻底消除带宽瓶颈。考虑到未来学校有万兆主干的要求，ZXR10 5952交换机支持4个万兆扩展槽，增加相应的模块后可以使网络主干链路平滑过渡到万兆。并且5952具备良好的IPV6支持能力，可使网络平滑升级到下一代。
\r\n 
\r\n　　接入交换机采用智能千兆交换机ZXR10 2928和ZXR10 2952安全智能以太网交换机，分别放置在各楼宇接入点。千兆连接汇聚，百兆到桌面。该系列交换机支持增强安全特性，支持基于业务流的过滤机制，对特征业务流P2P流量、视频流量、病毒包等实现优化控制，更好地满足了校园网对安全的高需求。在接入交换机上做IP+MAC+端口的控制访问规则，并做ARP攻击控制规则。

　　2、Qos保证

　　中兴通讯ZXR10系列交换机提供以下Qos功能：
\r\n 强大业务感知能力
\r\n 支持L2～L7的复杂流分类
\r\n 支持基于端口、VLAN、802.1P、DSCP、 MPLS EXP优先级
\r\n 支持CAR功能
\r\n 支持三色带宽保证
\r\n 流量监管、流量整形
\r\n 支持PQ、CQ、WFQ、WRED等多种拥塞管理和拥塞避免算法
\r\n 支持流镜像、流量统计、SFLOW
\r\n 保障教学和管理正常稳定运行

　　3、网络隔离

　　采用802.1Q VLAN的方式对网络进行隔离。例如，如果需要宿舍楼的信息点允许上网，可以把宿舍楼需要上网的信息点划分成一个VLAN，在核心交换机允许这个VLAN和安全网关互相通信，并在安全网关上做允许使用网络的控制访问列表。

　　对于同一IP地址网段的用户，采用二层的VLAN技术，将特定的用户划分在不同用户组群内，对这些组群的访问权限进行有效控制和管理，如行政楼网段网段内的领导人员、管理部门、财务部门，其他人员等都可以划分在不同的VLAN中，禁止他们之间直接的相互访问，而对于某些共用部分，如一些服务器等，可以将该服务器划分在多个VLAN中，实现共享。

　　本项目中的所有中兴通讯交换机支持基于IEEE 802.1Q的VLAN，支持QinQ技术。可以实现VLAN信息的跨越交换机的透传。可以将办公楼内处于不同楼层，不同交换机下的多个PC组建成一个虚拟的局域网。不同的局域网可以通过三层交换技术做控制访问限制。

　　4、网络安全保障
\r\n 所有交换机支持PORT＋VLAN ＋IP＋MAC的绑定，保证用户的安全
\r\n 支持基于端口、VLAN的用户地址数目限制
\r\n 完善的ACL，提供基于VLAN、以太网类型、用户MAC、IP地址、应用以及端口的安全控制功能，支持基于时间的ACL功能
\r\n 支持VLAN隔离功能，控制对用户资源的访问
\r\n 支持PVLAN、UpLink Port的端口隔离方式，隔离用户的之间的直接访问
\r\n 支持基于AAA和802.1x的用户接入认证方式（可以实现用户的认证、授权、计费）
\r\n 支持生成树根保护（Rood Guard）、BPDU攻击保护、ARP攻击保护（具备多种ARP防护策略）
\r\n 支持DHCP Snooping/Relay、Dynamic ARP Inspection功能，防止用户私接DHCP Server，防止IP地址冲突、IP地址盗用
\r\n 支持DHCP Option 82，VBAS功能，支持用户和端口、接入交换机等元素绑定功能，提供对用户的端口反查、对上网信息的反溯和追查功能
\r\n 设备具备抗病毒、防攻击能力（DOS/DDOS攻击、ARP攻击、端口扫描、源路由攻击、IP碎片攻击、DNS/ICMP/RIP/SYN攻击等）
\r\n 支持安全联动功能，支持动态策略下发、支持IDS联动功能、支持IDS日志，保护全网的安全
\r\n 具备完善的日志功能，支持向日志服务器导出，具备日志冗余功能
\r\n 利用数据容灾技术，保护关键数据
\r\n 支持容错技术，如双机备份、故障恢复、双电源备份等
\r\n 采用分布控制、统一管理的原则，利用中兴通讯统一网管技术对全网进行设备的同一管理

　　5、组播支持

　　组播适合于一到多的传输环境，同时也可适用多到多、多到一的情况。组播可以广泛应用于电视节目播放，网络会议，远程教学等。在西安石油大学组网方案中，如果要实现组播业务，需要二层交换机支持IGMP Snooping，核心层和汇聚层的三层交换机支持组播组管理协议（IGMP）和组播路由协议（如DVRMP、PIM/DM、MOSPF）。中兴通讯组网方案中的二层交换机均支持IGMP Snooping，三层交换机支持DVRMP或PIM/DM组播路由协议。

　　三、新网络的六大突出特点

　　1、面向应用的网络解决方案

　　中兴通讯的系列网络产品能够很好满足校园网中的不同应用，可以对Email、FTP、网页浏览、视频会议、视频广播、视频点播、VoIP等各种应用类型分配各自所需的网络带宽，保证各种应用的服务质量(QoS)。

　　2、提供全面的运营支持

　　教育网正由非运营性网络向运营性网络进行演变，中兴通讯教育网解决方案中通过UAS系列产品及3A服务器和Portel服务器的配合，可实现完善的用户管理，完成对用户的认证、授权，并可提供按时间、按流量、按内容的计费策略，实现教育网络的增殖。

　　3、高性能、高可靠、高安全

　　中兴通讯的全系列网络产品均可实现二、三层全线速交换，充分保证网络的高性能要求；而高中端产品都可实现电源、控制模块和交换矩阵的冗余备份，并在方案中充分考虑网络设备和链路的冗余，保障教育网络的高可靠性要求；通过高中低端网络产品的配合，可实现完善的基于策略的访问控制，并结合其强大的VPN功能，全面保证校园网络及信息的安全性。

　　4、开放性、兼容性、可扩展性

　　中兴通讯的系列网络产品全部按照电信设备理念来设计，坚持开发、互通、标准的设计思想，支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，充分保证了教育网同其它网络之间的平滑连接互通，以及将来网络的扩展。

　　中兴通讯全系列网络产品均采用模块化设计，根据未来教育网业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整，充分保护了用户的投资。

　　5、完善的接入手段

　　中兴通讯的全系列网络产品可提供各种网络接入手段，可提供10G/GE/FE以太网接入，POS 2.5G/622M/155M接入，ATM 2.5G/622M/155M接入，E1/E3/DDN/FR接入，ADSL/VDSL接入，WLAN无线接入等。能针对教育网络不同的网络现状提供灵活的接入手段。

　　6、完善的管理和维护功能

　　中兴通讯的全系列产品能够实现统一的网络管理，ZXNM01网络管理系统能实现故障管理、告警管理、设备管理、网络管理和业务管理等功能，可对网络实行集中监测、分权管理，并统一进行资源分配，并提供流量统计分析和故障自动报警，为网管决策提供依据。除了教育基础网络建设方案中兴通讯有完整的解决方案外，中兴通讯还有一些有特色的教育解决方案，如无线校园网、VOIP教育网等。

　　四、中兴通讯“NGCN” 平滑演进新一代校园网

　　校园作为一个庞大而集中的用户群越来越喜爱网络带来的便捷，但是，传统校园网建设方式，又使得其在新时期，面临了新的挑战：

 网络覆盖面以及峰值承受能力有限，制约了多数成员对网络的使用
\r\n 部分网络资源重复建设，但又不能很好的共享和互补
\r\n 无法接入和共享下一代IP网络资源，如CERNET2等
\r\n 缺乏有效管理模式，导致校园运营的资费流失

　　随着网络病毒、P2P应用、网络游戏等新事物的诞生，如何使校园网的各种资源免遭人为攻击和侵占也成为越来越令人头痛的问题。为解决传统校园网建设的弊端，迎接新时期的挑战，中兴通讯推出新一代的校园网“NGCN”解决方案。基于中兴通讯的园区网方案将为西安石油大学建一个业务拓展灵活，运营维护可把握的现代校园网架构，基本架构如图2所示：

\r\n图2 中兴通讯“NGCN”基本架构图

　　目前，大多数高校都拥有自己的IP数据网络，但话音业务一般仍然通过租用电信的固网资源，导致IP网络利用率不高，校园业务单一。而开放的IP数据网具有天然接纳各种业务的优势，所以，调整IP承载网络，使其有能力很好的承载语音、数据、视频等各种形式的应用，是释放网络潜力的首要方向。

　　中兴通讯建议西安石油大学在网络的调整建设中，应重点考虑先用具有MPLS VPN支持能力以及完善的QoS服务机制的高端产品，将这些先进设备担任核心网络的建设，同时，将原有组网中升级新功能受限的设备下移置汇聚或接入点是不错的选择。MPLS VPN是目前各种VPN承载技术中最为成熟和先进的方式，配合QoS机制，可以有效实现不同业务和网络间的安全隔离，以及多业务的服务质量保证。

　　再者，由于IPV6应用实验将在各个高校逐步开展，核心设备必须有能力承担IPV6网络的顺利的接入，这也是网络调整地考虑重点之一。中兴通讯ZXR10系列新一代万兆MPLS路由交换机、以及GER等系列双栈路由器是组建校园骨干网的理想选择，ZXR10系列交换机和路由器采用先进的Crossbar+ NP技术，具有大容量的无阻塞交换能力，满足校园网骨干建设的需求，全面支持二、三层MPLS VPN，以及各种IPV6过渡技术，先进的设计理念保障承载网的持续平滑升级。

“NGCN”解决方案特点：
\r\n ZXR10系列产品支持下一代网络技术，实现万兆、IPv6核心校园网
\r\n 有线、无线（WIFI）双平面实现校园网地面、空中的立体覆盖
\r\n 多种技术技术打造安全校园网
\r\n 支持多种主流认证计费方式
\r\n 防Proxy功能避免资费流失
\r\n 简单易操作的校园运营管理平台
\r\n 丰富的业务产品支持