2007/12/19

D-Link为新乡职业技术学院打造数字化校园

随着信息技术的发展,信息化在校园工作和生活中的渗透程度日渐加深,应用越来越丰富,校园内信息点数量飞速增长。此外,教育行业正在经历着巨大的变革与挑战,多媒体课件、远程教学、网络图书馆等现代化教学手段,也为教育行业实现再次飞跃提供了新的思路和发展方向。作为校园管理系统与现代化教学的支撑平台,网络基础设施的建设越来越为重要,而新的发展和需求也对校园网的建设提出了更高的要求:要能保证校园网络核心层的高稳定性和足够的速率带宽;面对日益严重的安全问题,要有完备的针对外部威胁的防护手段以及应对内部安全威胁的自动化管理机制;随着新的应用不断产生,要具有高的性能确保强大的处理能力和高扩展性;要能对整个网络进行管理,并降低管理强度;要能将校园网用户的上网行为控制在一定的范围内。  

打造数字化校园,提升办学层次  
目前,由于经济的快速发展,国内职业技术教育越来越受到重视,而数字化校园的建设已成为职业技术学院提高教学质量所必需的技术手段。为提高学校的数字信息化水平,给社会输送更多高素质技术人才,河南省最大的职业技能教育基地新乡职业技术学院提出了“打造数字化校园,提升办学层次”的数字化校园建设整体目标和规划方案。
 

新乡职业技术学院是全国知名的职业技能教育基地、职业技能鉴定基地和职业技能竞赛基地,学校由原来的新乡市一、二、三技校合并组成,正处于发展壮大的关键时期。利用现代网络技术建设校园网,从而充分发挥校园网络的信息优势、资源优势,实行网络办公、教务管理、学生管理,实现数字化校园成为当务之急。  

新建的校园网将覆盖新乡职业技术学院的办公楼、教学楼、图书馆、实训工厂、学生宿舍、教工生活区等场所。根据实际情况,学校网络规划部门提出了数字化校园的建设将基于“整体规划,分步实施,重点建设,突出应用,可管理,可运营”的要求。在经过对多家厂商所提方案的仔细论证后,国际著名网络设备和解决方案提供商D-Link提出的解决方案获得了新乡职业技术学院的认可。  

千兆骨干,万兆核心  
在D-Link为新乡职业技术学院提出的解决方案中,校园网的建设按照千兆骨干和100M 交换到桌面的方式进行整体网络系统的建设和规划,以建成一个高性能、高可用、高安全、可运营、可管理、易维护、可增值的智能安全网络为目标。目前,万兆校园网正在成为国内校园网建设的重要选择,因此在该方案中,核心层采用了D-Link最新的万兆核心交换机,这使得该校园网在今后可以平滑升级到万兆网络,从而能充分满足新乡职业技术学院对未来发展的需要。  
   
新乡职业技术学院的校园网分为教学办公区和学生生活区两个部分,在网络结构的设计上,采用了传统的星型层次结构,网络主要分为三层:核心层、汇聚层和接入层。核心层主要负责三层数据交换,采用了全新一代D-Link DES-8506万兆机箱式核心路由交换机。该交换机背板带宽高达3.2Tbps,包转发速率最大为952Mpps,具备L2/L3/L4线速交换能力,可保证不同VLAN之间的数据有效转换。DES-8506基于先进的模块化理念进行设计,采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构。可提供10GE、GE、FE等各种丰富的接口模块,并全面支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能。采用该交换机,可使校园网提供更大的带宽和更强大的处理能力,并可以大大简化网络结构,进一步降低网络建设成本。
 

在汇聚层,采用了D-Link的下一代交换机DGS-3627,负责部分安全策略控制、接入交换机上连线路汇聚,并基本上把VLAN终结在本地,完成区域数据的三层交换等。该交换机具有高密度的千兆端口、支持SFP、可选配的10G上连和先进的软件功能。接入层则采用了D-Link DHS-3626可网管交换机,提供了到桌面的100M连接和接入安全控制策略。该交换机可提供24个10/100M端口及2个千兆Combo接口。
 

为提升新乡职业技术学院校园网的可控性,构建起对全网的实时流量管理和行为控管,D-Link在该校园网络的核心层出口部署了集成有NAT路由器、防火墙、IPS(入侵检测与防御系统)、流量控制系统等多个高级功能的全能策略流量控制系统DPF-2010E。该设备通过对P2P的控制,可以有效的保证学校出口带宽的合理利用。
 

在该解决方案中,还采用了D-Link D-Vision统一网管软件来管理网络中的所有D-Link设备。该网管软件可管理所有基于SNMP(v1/v2/v3)的网络设备,完成多厂商网络产品的设置工作。而通过管理地图功能可以模拟整个网络的分布和配置情况,快速查询网络中的设备运行情况,其先进的设备故障告警和友好的故障位置指示功能,可以方便网管人员及时发现和处理设备故障。  

安全与性能并重  
作为网络核心层的交换机不仅仅是交换数据的核心,还要具备专业安全产品的性能,抵抗对交换机本身的各种攻击。DES-8506万兆路由核心交换机支持ACL安全过滤机制,可提供基于用户、地址、应用以及端口级的安全控制功能,并支持IPSec、MPLS VPN特性。同时,支持基于端口不同优先级对列和基于流的入口和出口带宽限制、uRPF、防DDOS攻击、SSH2.0安全管理、802.1x接入认证及透传以及VLAN ID与MAC地址、端口号、IP地址捆绑等安全功能。此外,DES-8506还具备完善的抗病毒机制,可以为网络运营提供全面的安全保证。  
而在新乡职业技术学院校园网中所采用的DGS-3627和DHS-3626交换机也都具有强大的安全特性。DGS-3627没有采用一般交换机常用的捷径式主机流工作方式,而是采用最新的最长匹配的转发方式,因此具备天然预防新一类攻击的能力,可使交换机不受病毒或攻击的影响,确保无中断运行。DHS-3626则能有效控制接入端设备产生的一些意外的数据包(以及病毒)对核心交换机的冲击,还能有效阻止部分跨VLAN的数据交换和病毒在内部网络的扩散。另外,该交换机具有对IP、MAC、端口三大元素的绑定功能,这也可以从根本上防御ARP欺骗病毒的危害。
 

另外,目前P2P的使用以及各种网络病毒的感染传播和攻击等常常会导致网络资源的极大消耗,使得许多关键应用无法正常进行。针对越来越多的来自L7应用层的攻击和入侵以及P2P、IM等应用大行其道的状况,仅依赖传统的安全机制和设备来应对显得非常被动与乏力。为此,在新乡职业技术学院的校园网中部署了D-Link DPF-2010E全能策略流控系统。该产品采用了L7应用层深层次包分析技术,可以精确有效的识别出多种P2P应用。由于使用了专用集成电路芯片组,DPF-2010E拥有最高可达32Gbps的网络数据处理能力,可确保在提升网络整体安全的同时,不会降低网络应用的性能。通过DPF-2010E的Policy菜单,用户可以灵活制定各种策略,可以针对IP、子网、用户、用户组,也可以在不同的时间段执行不同的控制策略,还可以对用户网络使用行为进行控制。例如允许用户用MSN聊天但不允许传文件或视频,允许Web浏览而不允许发帖子和Email等。结合DPF-2010E内置的状态防火墙防范DDOS攻击等其它安全功能,可以使网络中的一切可能的不安全、不健康的应用尽在管理者的掌握之中。  

新乡职业技术学院数字化校园网自投入使用后,一直在稳定的运行,各项功能运转正常。该学院认为:D-Link所提供的校园网解决方案充分把握了他们的需求,实施效果良好,为教师、学生的工作和学习创造了一个便利、有效的网络环境。 
Baidu
sogou