极进网络教育行业解决方案

 

1.1        网络方案设计

为了满足用户视频、音频以及大规模数据库访问的应用和网络不间断性运行的要求，我们建议的网络方案为冗余高带宽网络方案。在中心配置2台具有强大的第二、三层交换能力的核心交换机，处理整个网络交换和路由，并通过千兆聚合技术连接各分中心汇聚和接入交换机。

网络拓扑结构图如下：

1.1.1  高可靠性设计

Extreme 公司的网络解决方案从设备的高可靠性、对应用的高保障性和链路的高可靠性方面都给出了全面的解决方案。它不仅支持传统的IEEE802.3ad、VRRP、OSPF-ECMP等标准协议提供的可靠性功能，而且还提供诸如：ESRP、EAPS和Hitless failover等高级可靠性技术，为网络提供全面的可靠性保证。

l  所有的核心层设备全冗余无单点故障设计

l  Hitless Failover 攻击保证交换机在任何情况下均无中断运行。

l  新一代万兆交换机BlackDiamond10808、BlackDiamond8810采用自愈式硬件及软件设计，进一步提供系统的容错能力。

1.1.2  高安全性设计

Extreme的网络解决方案从用户接入和设备两个层面为用户提供了全面的网络安全保证。Extreme的网络设备支持所有的传统安全技术：ACL、VLAN、IP地址与MAC地址绑定、MAC地址与端口绑定等，为了给用户提供更为全面的网络安全保证，Extreme设备还支持如下的安全特性：

l 支持用户接入认证功能。Extreme公司的所有网络设备都支持基于WEB的用户认证技术和IEEE802.1X+EAP标准。这样就可以将非法用户屏蔽在网络之外，减少网络收到黑客攻击的可能性。

l 将用户接入认证功能与第三方的网络安全技术（如：segate）相结合，网络系统可以在对用户合法性进行认证的同时，还可以对用户使用的终端设备的安全性进行检查，确定终端系统是否存在安全漏洞（如是否安装了最新的“补丁”），若终端系统存在安全漏洞，网络系统将可以强制终端设备进行漏洞修补，然后才允许终端和用户接入到网络。这样就可以大大降低网络受到病毒攻击的概率。

l Extreme公司的用户接入认证技术可以将通过认证的用户动态分配到特定的VLAN中，通过对VLAN的控制，最终实现对用户可使用网络资源的控制。

l Extreme公司提供的基于WEB的用户认证方式，大大降低了实施用户接入技术的复杂性，用户的终端设备上无需安装特定的客户端软件即可完成用户的接入认证。通过单端口上多用户接入认证技术，可以保证用户接入认证技术的广泛应用以及在异构网络上的实施。

l 支持终端设备的接入控制。通过Extreme网络设备上的MAC地址锁定和MAC地址限制功能，网络系统可以控制非法设备的接入，进一步提高网络的安全性。

l 强制使用DHCP的能力。在网络覆盖范围日益扩大和网络结构日益复杂的今天，越来越多的网络通过DHCP方式来实现IP地址的分配，通过DHCP的使用，系统管理员可以更好的实现网络的优化与管理，降低网络管理的复杂度。但网络可能出现的无管理下的静态配置IP地址，将导致IP地址的不可管理性，并会导致因IP地址冲突而带来的网络不可用的问题。利用Extreme 网络设备独有的的ARP Learning Disable功能，系统管理员可以针对性地强制网络设备上的某些端口连接的终端设备必须使用DHCP获得的IP地址，否则终端设备不能够接入网络，进而保证网络的安全性。

l 内置的防范攻击能力。Extreme公司的网络设备都内置了对DOS攻击、DDOS攻击技术，大大提高了设备抗攻击的能力。

l 使用IPDA subnet Forwarding和LPM转发技术。大大提高了网络系统抗击病毒攻击的能力，提高了网络系统的可靠性，并最终保证了网络的高性能和高扩展性。

1.1.3  QOS设计

多媒体应用得以在新一代网络上实施的重要基础为带宽的大幅扩展和采用硬件包处理技术的设备性能的提高。由于多媒体应用对延迟和抖动的敏感性以及IP网络本身的尽力而为的特点，在保证带宽和性能的基础上，网络平台好要具有良好的QoS保证能力。

Extreme网络产品提供多种带宽管理方式和策略，不管是核心层、汇聚层还是接入层接入交换机均具有基于物理端口、MAC地址、IP地址、TCP端口等实施带宽控制策略和流量分类管理的能力。

Extreme产品设计的追求目标之一就是为在以太网和IP技术上提供稳定的QoS能力，其核心层和汇聚层产品的每端口控制队列最少也达到8个，从而可实施粒度更为精细的带宽控制。

1.1.4  高性能设计

网络的高性能是所有网络的设计者和使用者所追求的目标，因此网络的性能通常也成为选择网络产品的重要依据。

其实，网络技术发展到今天，几乎所有网络厂商的产品都可实现‘线速’交换和路由。但是，一个成功的网络不但要能对简单的普通信息传输提供无阻塞的交换，它还必须在一些苛刻的应用环境下表现出应有的性能。比如，当网络中出现病毒攻击、启用ACL等防护措施时，当网络传输不同重要等级的流量并实施QoS机制时、当网络繁忙、但必须对重要通信活动提供优先服务时，当网络对多种通讯技术（如：单播、组播）、多种协议提供同时服务时，大部分的网络产品就不能提供满意的性能。因此，必须综合全面地考核网络产品在上述复杂环境下的性能特性。

作为高端3层交换技术的领导者，Extreme的每一款产品都代表着业内的最高水平。Extreme产品的高性能得到了众多国际知名评测机构的认可。大量的测试结果表明，Extreme的交换机无论在单播、组播、启用ACL、QoS，在100M、1000M、10000M交换、路由时都表现出杰出的性能。

著名的第三方测试机构Tolly Group和ZD Labs对Extreme 和其他公司主流产品进行过多方面的测试比较，大量测试结果表明，Extreme的所有交换机的高性能的特点的确是业内当之无愧的领先者，不论是在单播、组播、启用ACL、QoS，在100M、1000M、10000M交换、路由等各种苛刻的环境下都表现出比竞争对手更为杰出的性能。

 

2     

2.1   架构设计

传统模式的无线部署，通常会采用胖AP模式，或者几种转发模式，前者对于深层次的运维管理会存在很多问题，例如不能集中统计客户端接入情况，不能分析客户分布情况，同时当AP故障时需要重新配置等等；后者因为数据流会集中转发到中心控制器（以下简称为AC），所以会造成总部的资源消耗和分支机构资源的限制；

 

Extreme特有的“按需部署“模式，可以很好的解决用户此种新兴的需求。针对无线部署需求，我们提供如下的架构设计：

 

2.2   涉及组件

Extreme为使用WLAN覆盖现有有线基础设施提供了一种安全、可扩展、经济有效的解决方案，该方案针对的是运行于一个以上建筑、多个楼层的企业网络，以及所需室外区域等需要大量访问点的场所。组网方案如下图所示：

Extreme无线解决方案组件包括：

u  无线控制器：对所有无线接入点（AP）进行集中控制，并管理与这些接入点有关的无线客户端设备的网络分配。每台高端控制器支持高达1000个接入点，通过部署多控制器，可以支持更多接入点。支持双电源冗余，冗余高可用性配置，自动故障切换。

u  无线接入点（AP）：在要求无线服务的任意地点提供射频的企业级双频接入点设备，支持802.11a/b/g/n/ac标准，接入速率可达最高可达1.7Gbps；控制器自动检测和实施新接入点设备配置，完全即插即用功能，动态射频管理和以太网电源使部署更简单。带内置或外置天线，基于标准的外接天线接口，可以与业界标准的天线无缝的集成。同时还有室外接入点，支持IP65防护等级，防尘防水。

u  无线管理套件：可实现集中管理，图形化界面管理所有无线局域网设备。可实现故障检测、性能监控、入侵检测等功能；

u  POE（以太网供电）设备，通过该设备可以实现对无线AP的远端供电。

 

 

2.2.1.1 AP冗余设计

为了避免因单个无线AP故障，导致该AP无线覆盖范围出现盲区，极进无线网络解决方案提供了DRM（动态射频管理），通过DRM为AP提供了自动均衡用户负载和故障切换功能，通过自动增强信号来避免单个接入点故障引起的信号覆盖问题，进一步提高了网络性能和可靠性。

 

2.2.1.2 覆盖区域

           

         图例：无线AP位置                 图例：无线信号覆盖范围

 

 

2.3       真正的有线无线一体化安全

Extreme是业内唯一一家将有线网络和无线网络安全融合在一起的厂商，通过内置在有线和无线网路产品中的安全网络功能，可以实现，终端无论是通过有线网络接入还是无线网络接入，系统均可以基于用户名、MAC地址、IP地址或IP地址段，进行动态的安全识别和访问资源控制，从而真正的实现网络统一安全；

并且可以与IPS, WIPS and SIEM进行深度整合，实现多层次的安全防护。