湖南工业大学
校园宽带接入技术方案
中国联通公司株洲市分公司
二零一零年四月
第一部分 湖南工业大学宽带校园网建设
需求分析
湖南工业大学是一所具有50年办学历史的多科性大学。其前身为株洲工学院,自2000年起,学校实行省部共建、以省为主的管理体制;2003年获得硕士学位授予权;2004年完成湖南城市建设学校和湖南省财会学校的整体接收;2006年经教育部批准由株洲工学院升格为湖南工业大学。2008年被教育部评定为本科教学工作水平优秀高校;2009年获得外国留学生招收资格。 学校位于中部老工业基地、湖南工业重镇、“两型社会”建设实验区——株洲市,是株洲惟一的多科性大学。
学校现有5个校区,占地面积4069亩,馆藏图书313万册;固定资产总值126544万元;教学仪器设备总值18180万元;教学用计算机2649台,多媒体教室和语音实验室座位8332个;拥有较先进的计算机网络服务体系,建有标准的塑胶田径运动场、体育馆及满足体育教学需要的各类运动场地。
有教职员工2581人,其中教授243人,副教授834人,博士155人,硕士662人,博士生导师10人,硕士生导师128人,享受“国务院政府特殊津贴”专家18人;全国优秀教师5人,省优秀中青年专家1人,省级教学名师5人,湖南省优秀教学团队3个,省优秀教师3人,省级青年教师教学能手8人;有15人进入省“121人才工程”和“百人工程”,有5人进入省学科带头人行列;聘有两院院士6人,聘请国内外大学和企业界兼职教授46人,形成了一支师德高尚、业务精湛、结构合理的高水平师资队伍。
学校正高举中国特色社会主义伟大旗帜,深入贯彻落实科学发展观,以“厚德博学,和而不同”为校训,“明德、精业、求实、创新”为校风,以“八项坚持”为办学思路,以“大学意识、大局意识、质量意识、竞争意识、服务意识、创新意识”为基础凝练核心价值观,狠抓“六项工作”,立足湖南,面向全国,主动服务湖南新型工业化和中国包装现代化,努力培养厚基础、宽口径、强能力、高素质、具有创新精神和实践能力的应用型高级专门人才,力争把学校建设成为国内知名、省属先进、特色鲜明的高水平教学型大学,并逐步向教学研究型大学转型。为了便于在校大学生的学习,湖南湖南工业大学为学生提供了互联网接入服务。目前接入互联网的学生人数为10000人,同时在线人数约5000左右,互联网出口带宽为100M,学生通过宽带服务器的PPPOE认证系统连接互联网。为了引导学生健康使用互联网,建设绿色的校园网环境,同时遵从公安部82号令,记录互联网接入用户的上网行为日志,湖南湖南工业大学提出了上网行为管理需求。
客户需求分析
湖南工业大学河西校区,分别有教学区、办公区、家属区,为便于网络管理、校区的环境美观,学校需要将三大片区的宽带网线统一使用一台,互联网出口使用同一个出口。 一、使用1000M光缆将校区连接成一个大的校园网;
二、学生区、教学区、教工宿舍区都使用一套的五类线连接。
三、整个校区使用同一个核心路由设备出口,连接到株洲电信运营商的互联网出口。 四、? 所有学生接入互联网必须通过校园网宽带认证服务器的认证; 五、? 入网学生身份识别,可以定位相关互联网行为的执行人,便于发生安全事件后快捷、
精准的定位问题责任人;
六、? 完整记录学生的互联网行为、内容信息,包括浏览的网页、搜索引擎中搜索的关键
字、论坛中发帖的内容等;
七、? 过滤黄、赌、毒等不良网站,引导学生正确的互联网行为,保护学生身心健康; 八、? 实现学生互联网行为的分级分权管理,相关监管部门可以制定学生上网行为管控策
略,校方管理和审计人员可以查询用户的上网日志信息;
客户需求实现的价值
通过此次宽带校园网的建设,实现如下价值提升。
一、实现校园形成一个跨区域的网络,避免学校的二次投资建设。
二、实现教学办公、电子图书馆、课件资源、学生公寓宽带的覆盖,由助于协同实现网
络化教学。
三、实现统一的网络出口,有助于网络安全的控制。
项目实施的原则
一、总体规划,分步实施;
二、增加网络接入点,层层网络接入; 三、共享网络资源,实现互联网资源共享; 四、实现行为管理工作的流程化、制度化
五、任何行为管理的操作中实现标准的工作化流程,在已有机构里包括权限分发,策略
模板制定,策略下发,策略回收。
六、在新建机构时包含设备模型化,操作规范化。
七、实现上网行为管理的分级分权,实现审计方法的简易化。
八、快速部署,透明部署,使学生感知不到上网行为管理设备的部署,实现用户身份的
透明识别。
九、快速配置,快速查询,迅速筛选有价值信息,精准定位安全事件源。 十、安全、可靠,有效的行为管理系统:
十一、 作为在链路中串入的设备,必须实现自身安全,自身可靠,原有链路可靠,以
及审计后果的有效性。
十二、 行为管理的长期可持续:
十三、 利用设备标准的,频繁的,持续的更新服务,使得审计工作可持续性的发展,
保证长期有效的安全。
第二部分 项目技术实施和解决方案
根据客户提出来的各种需求,并且结实际情况,为贵学校提供下列综合业务解决方案。
方案的特点
1、传输速率快
在校区互连部分,采用组建全光高速网络,数据在网络中传输时延小、时延抖动小。满足当前语音、传真、数据、图像等媒体的传输的要求。
2、稳定性高
光纤全网采用二纤双环结构,其多通道保护技术确保任意两个节点间多路径连接,保证线路恢复时间小于50ms,网络强大的自愈功能大大提高了系统的可用性和承载业务的安全性。
3、扩展性强
在为进行用户网络接入设计建设过程中,都进行了冗余设计。根据用户的需求,可以随时为用户升级扩展。
4、技术先进、质量可靠
将宽带校园网与运营商先进、高速和可靠的通信网相连,提供稳定、优质的上网质量。
5、节约成本
除业务所需的必要硬件设备及已有用户线路外,用户基本不用承担其他网络建设费用,最大限度降低用户一次性投资成本。
6、维护简单、快捷
由于网络结构中没有过多的协议转换设备和接口转换设备,因此网络故障点少,故障查询容易,维护简单。
宽带解决方案
为构建一个完整的校园互联网,实现宽带信息点准确和高带宽地接入互联网,实现高速访问,让用户共享信息和资源,体会宽带所带来的无穷乐趣。
宽带网络拓扑图如下:
方案解决步骤
整体校园宽带网络建设构架采用集中式设备汇聚出口,校区的信息点接入采用EPON技术进行网络组网,在汇聚交换机接入所有的OLT设备,OLT通过分光器,连接若干OUN,再通过ONU下挂2层交换机设备,各个宽带用户通过2层楼层交换机进行连接。
在整个接入层的设备和网络设备配置,采用统一的2层透传,用户采用PPPOE拨号,Radius认证的方式进行上网。
主要的组网重点,是宽带网络的分网进行接入认证。在汇聚三层交换机上,实现网络的流入分流,采用不同的帐号进行认证。
在三层交换机上,使用两个出口,一个接运营商的网络,汇聚到运营商的宽带认证服务器上;另一个出口接到校园网的城市热点接入服务器上,用户校园网宽带用户的认证接入。 上网行为管理实现
上网行为管理设备部署说明
整个互联网行为管理管理系统采用按照统一规划、统一部署、统一管理、个性应用的思路进行搭建。
工作模式:
在Internet接入区域的链路上部署1台上网行为管理设备。物理部署模式为透明串接,以保证完全的审计管控效果。行为管理服务器支持网关、透明桥接、代理模式的灵活切换,可以适应不同环境,或者将来网络变更后的投资不受损失。 管理模式:
为了屏蔽安全管理的漏洞,建议外网用户接入区与运行管理区分离,因此对互联网行为管理设备建议采用带外管理的方式进行管理。管理员必须在运行管理区对该设备通过独立的管理口进行设备的管理,普通接入用户不能通过该设备的桥口地址进行管理,也无法和带外管理区进行网络的互通,完全遵循了管理网和接入网安全隔离的设计原则,同时也降低了安全管理的风险。
同时支持串口命令行管理,通过底层命令配置、调试设备。 用户身份识别:
确定用户身份是行为审计的基础。行为管理服务器支持多种用户识别方式,其中包括本地Web认证、AD认证、LDAP认证、RADIUS认证、PPPOE认证账号识别。
由于本项目学生是通过PPPOE账号认证连接互联网的,并且,ICG部署在汇聚交换机与宽带认证服务器之间,因此ICG可以截获学生的PPPOE认证账号信息,并自动与学
湖南工业大学校园网技术解决方案
