“万兆＋ＳＡＭ”给校园网插上飞翔的翅膀

如何构建高效、稳定、易管理的万兆校园网，增强校园网的灵活性和可控性，已经成为高等院校网络管理人员面临的首要问题。针对这些问题，国防科技大学在校园网改造工程项目中，选用了锐捷网络“万兆＋第二代SAM系统”的解决方案，建成了集高效、安全、稳定、灵活、可控和易管理于一体的智能型万兆校园网。

高瞻远瞩：国防科技大学酝酿校园网改造

座落在古城长沙的国防科学技术大学是一所直属中央军委的综合性大学，是首批进入国家“211工程”和“985工程”建设并获中央专项经费支持的全国重点院校之一，拥有先进的教学、科研实验条件和公共服务体系，学校计算机网络分别与国家教育科研网、国际互联网和全军军事训练信息网互联。日前，为了贯彻落实科教兴国和科技强军战略决策，努力创建具有我军特色的世界一流大学，国防科技大学决定对原有校园网进行改造。

经过一系列的勘察、讨论，国防科技大学专家结合自身需求对要实现的功能进行了细致的总结，以求最优化的组网方案的出台。专家们认为：改造后的核心交换机要有万兆扩展能力，除了引擎、电源可以冗余外，在设计上还要保证具有高可靠性；在稳定性上，要求在开启大量ACL后核心交换机的性能基本不受影响，包转发率依然线速；在易管理和可控性方面，需要做到无论交换机承载多大数据量，网管员可随时登录到设备上进行管理和维护，并且在不更换接入设备的情况下，能够有效地对接入用户进行全网控制；另外，还要解决用户IP地址冲突问题，全程动态绑定用户IP+MAC，以确保用户在访问网络时身份唯一，要能够区分用户权限，并且使用户访问内网不需要认证，而访问外网需要认证；同时，能够在基于802.1X认证的前提下，实现用户免手动安装客户端软件，能够有效记录用户上网信息等等。

双剑合壁：国防科技大学与锐捷网络共舞

毋庸置疑，国防科技大学此次校园网改造工程任务重大，前述的要求和目标，使锐捷网络有的放矢，进行了细致到位的分析后，制定了完善的解决方案。

如下图所示，整个校园网分为三层架构，全网采用锐捷新一代多业务万兆核心路由交换机RG-S6810E，负责全网的数据交换；北院采用锐捷全模块化核心路由交换机STAR-S6808；在接入层设备不变的情况下，更换了现有的汇聚层设备，采用锐捷网络安全智能多层交换机STAR-S3550-24和安全智能交换机STAR-S2126G。

SAM解决方案是在高效、稳定的网络为前提的情况下实施的，解决了困扰老师已久的问题：极大程度地杜绝了用户间IP地址冲突；不用在每台机器上安装客户端软件即可实现用户的身份认证，大大减少了网管员的维护工作量；有效防止校园网与军网的非法互联；全程动态地绑定IP、MAC地址，有效确保网络安全；根据不同用户的权限设定不同的访问规则；强大的日志功能，为网管员的事后查询提供充足的证据；让网管老师足不出户即可远程判断用户不能上网的原因，解决了以往网管难、维护难的问题。

六位一体：校园网智能翱翔

国防科技大学此次校园网改造，建成了集高效、安全、稳定、灵活、可控和易管理于一体的智能型万兆校园网，“万兆+SAM”的精彩演绎，为国防科技大学校园网插上智能的翅膀，使之尽情翱翔。

高效：锐捷网络采用RG-S6810E新一代多业务万兆核心路由交换机，整机可支持32个万兆端口的线速转发。

安全：锐捷网络SAM与安全交换机结合，采用OPTION82的功能能够全程动态自动绑定用户的IP+MAC和交换机端口，确保用户访问网络时身份唯一；根据不同用户设定了不同的访问权限；用户在访问内网资源时不需要认证，访问外网必须认证；能够有效记录用户的上网行为，做到事后审计等，确保了信息的安全。

稳定：核心交换机除了具有引擎冗余、电源冗余和模块可热拔插之外，还具有SPOH、LPM+HDR以及三平面分离技术，确保核心交换机的稳定性。

灵活：SPOH技术确保用户在开启大量ACL时，核心交换机性能基本不受影响，依然提供线速转发的功能。

可控：在汇聚层对用户进行身份认证，确保对全网用户进行有效控制。

易管理：不论用户采用动态获得IP还是静态指定IP，该方案都能够有效解决用户IP地址冲突问题，减少网络管理员的维护工作量。针对办公区的特点，在基于802.1Ｘ认证技术的前提下，可让用户免手动安装客户端软件，减少了客户端的麻烦和管理员的维护工作量。三平面分离技术确保核心交换机在出现死机的情况下，网管员依然可以远程登录交换机查看导致死机的原因，对设备进行管理和维护。