当前位置:
稿源:计世网 
作者:版权所有者 
时间:2009-11-06 12:00:00 一、教育行业网络问题分析
当今校园网络还是都停留传统的网络架构,随着社会的化展,所以传统的网络架构远远不能够满足校园满的各种各样网络服务,目前校园网最关注的网络问题是,IP地址的管理繁琐与冲突,P2P的泛滥与控制,上网时段无法控制,网络的安全时刻受到威胁,网络需要安全控制,灵活的收费策略与运营,便捷的运维与排障,代理现象普遍,无法保证有效的运营收入。
二、D-Link网盟解决方案 新特性新产品
新特性
在这种应用现状的促使下,D-Link作为国内领先的网络产品供应商,提供局域网、广域网、宽带接入和无线网等全面网络解决方案,并一向本着高性能、高可靠性、简单易用的原则设计产品,得到了广大用户的认同。
随着D-Link对网络行业理解的深化和对新技术的孜孜不倦的追求。今年D-Link推出了针对校园网建设出现的新需求、新变化D-Link公司及时采用最新技术和理念,解决了二次认证,流量控制,高投资的网络实验室,无线网络等等一系列产品。
网盟(网聚业内厂家精髓、盟汇D-Link方案优势)是D-Link推出最佳的方案。
特点:D-Link网盟解决方案是高整合度 高性价比。
网盟解决方案系列产品的新技术为广大用户服务。
极易管理性,极高安全性,极高价值性,可运营。
新产品及解决方案
1、D-Link认证网盟计费解决方案
网盟解决方案的最大特色就是改变了以往学校采用单一厂家,不能保护好用户有投资的价值和无法实现内外流量区分,收费政策问题等的802.1x交换机以后在后期的网络扩容或改造中,由于厂家的802.1x接入层交换机只能与厂家配套的后台Radius AAA Billing进行配合才能实现对用户的接入控制与管理,从而导致学校在后期的网络设备选择性上无法找到更好的办法来替代原有厂家的设备,另外网络扩容中采用其余厂家交换设备的同时又无法做到与原先的Radius AAA Billing系统进行有效结合,而D-Link公司网盟解决方案的出现从根本上解决了当前困扰学校在方案设计及设备选型上的难题。
网盟方案可以完全融合各种厂家的交换设备进行有效的对用户进行接入认证管理与网络运营。网盟方案不仅融合了其余厂家交换设备进行管理与接入认证控制而且也贯穿了D-Link公司的各种产品系列并且做到把交换机、网管系统、IDS/IPS、BAS、客户端等进行有机的整合实现全网的联动,为用户提供一个更加智能及安全的网络环境。
1.1认证计费解决方案整合优势
• 独创的二次认证,整合802.1x+BAS客户端融为一体。
• 真正做到与各交换机厂家的802.1x完美结合、保护原有的投资。
• 强化802.1x内网的安全认证管理,BAS的可运营优势。
• 面向终端用户实现一次拨号,二次认证方案。
• 锁定“六大元素”可灵活绑定认证。
• 智能绿色客户端升级及检查版本。
• 结合与校园网的IDS/IPS及交换机网管系统进行智能联动,准确定位问题用户。
• 全面与校园的“一卡通”或银行实现接口,解决学生缴费问题。
• 灵活设置不同时段上网可控机制,杜绝学生长时间上网。
• 完全记录上网用户行为日志。
• 灵活支持“即时消息”、“广告消息”及通知发布。
1.2认证计费产品型号及网盟解决方案
DSA-4000/8000宽带接入网关
D-Link DSA-4000/8000宽带接入网关支持各种接入认证方式、支持PPPOE、802.1x、Web、Web+Client认证方式,同时与D-Link DRS-5000配合并结合802.1x交换机与绿色客户端软件实现独创的二次认证,实现多样化的管理及运营解决方案。
DRS-5000认证计费及管理运营平台
D-Link DRS-5000认证计费及管理运营平台以优秀的兼容性及卓越的可控制管理能力、实现802.1x、PPPOE、Web、Web+Client的不同方式认证,标准的Radius协议可与业内不同厂家支持Radius协议设备进行有效结合,从而实现灵活的可控制与管理。
绿色智能客户端
D-Link绿色智能客户端软件兼容各种杀毒软件,客户端软件支持在线链路质量的检测及检测非法P2P下载软件。防止非法使用代理和其他工具,能够防止目前已知的各种代理方式
支持接收后台系统发送的即时消息、通知及广告内容、自动版本检查及自动下载升级具有系统漏洞检查、防火墙及入侵检测功能。
1.3认证计费典型网盟解决方案
802.1x+Bas二次认证计费解决方案
D-Link独创的二次认证解决,接入层可采用D-Link或其它厂商支持802.1x的switch,DSA-4000高可靠性接入网关位于网络出口部分并结合后台D-Link DRS-5000认证计费运营平台,实现一次拨号二次认证方案,用户可采用此方案针对内网资源免费,上外部网络收费的策略。
纯粹802.1x接入认证管理解决方案
D-Link纯粹802.1x接入认证解决方案,接入层可采用D-Link或其它厂商支持802.1x的switch,并结合后台D-Link DRS-5000认证计费运营平台,实现网络802.1x安全接入认证管理方案。
纯粹Bas接入认证计费运营解决方案
D-Link纯粹Bas接入认证计费运营解决方案,接入层可采用D-Link接入层系列交换机,并结合后台D-Link DRS-5000认证计费及管理运营平台,实现网络高可靠性的认证计费运营方案。
1.4D-Link认证计费主要特色
1、个性化的控制与管理,全面防范代理私接,对P2P应用限速或封杀,支持时段控制,支持基于帐号、组或全局的网络限速,支持TCP连接数和NAT Session数限制。
2、防范ARP病毒欺骗及Dos攻击,支持ACL列表过滤,防止病毒泛滥,并根本上杜绝了ip地址冲突。
3、“网盟“-DRS-100完整的用户上网日志及优秀的压缩算法。
4、“网盟”-DSA-4000/8000 路由或桥接模式均可,组网灵活。
5、各种网络元素自由、组合绑定,并可自动记录MAC地址并自动绑定。
6、用户自服务功能,方便冲值,用户自注册功能,方便开户。
7、各种优惠及丰富的计费方式,支持内外网区分计费及国内外的区分计费。
8、”网盟“绿色客户端软件,稳定性及兼容性极佳;自动检查客户端的版本号,强制升级,方便版本更新;丰富的认证不成功的提示信息,提醒用户排除故障及减少投诉。
9、”网盟“-绿色客户端全面支持即时消息、广播消息及广告的发布。
10、丰富的接口实现,IDS接口、一卡通接口、银行接口及短信网关的支持。
D-Link”网盟“方案的根本优势在于不受厂家交换机约束,为校园提供了一套可融合现有交换机及未来扩容的交换机并整合”网盟“的十大特点面向用户贡献了可运营可管理的综合解决方案。
1.5D-Link认证计费同业内主流厂商的对比
根本优势在于不受厂家交换机约束,为校园提供了一套可融合现有交换机及未来扩容的交换机整合。
2、D-Link网盟之全能策略流控系统解决方案
传统的组建校园网的方式都是采用,防火墙,路由器,IDS/IPS,流量控制等等,这样一来的结果就会导致用户投资成本高,设备管理难度大,故障点多。
现在D-Link整合这些设备特点、功能于一体推出DPF系列数据分析管理系统,DPF 系列-采用D-Link 自主开发的网络安全处理芯片,融合了强大P2P/IM 流量和会话管理控制,业务数据流带宽优化,动态QOS 调度,负载均衡和系统自备份,网络流量过滤和监控统计,网络用户接入认证管理,访问授权等多种技术,内置有业界最高性能的Firewall 的功能,全部功能应用都是基于policy 的灵活定制,可以全方位的保护企业和电信级的网络,迅速提升网络的有效性和安全可控性。DPF 系列使用的自主开发的网络安全专用集成电路芯片组,最高可以达到32Gbps 的网络数据处理能力,以确保提升网络整体安全的同时,不会成为网络的瓶颈,降低网络应用性能。DPF 系列全部采用硬件模块化的结构,用户可以根据实际需求选择购买适应的模块,或者在需要时升级购买,从而保护用户投资。
D-Link DPF-500/2010E/6012E全能策略流控系统
2.1全能策略流控系统网盟解决方案部署
2.2D-Link DPF系列的产品优点
业务数据流优化和带宽管理
随着企业网内部的信息化程度的提高,VOIP,视频会议在企业内部使用,ERP 等应用系统的部署,企业网内业务流量不断增加。同时,不受控的网络下载,P2P 使用,以及蠕虫等都对网络有效带宽利用构成很大的冲击,直接影响业务的开展。不采取有效的优化控制措施,单纯增加网络带宽不能起到很好的效果,反而提高企业运营成本。D-Link 的DPF 产品部署在专网出口,网段出口,或网络的关键链路,能够提高业务数据优先级,控制无价值数据占用的带宽,从而确保企业业务的正常运转,降低企业运行成本。
P2P 流量控制和IM 管理
IM (Instant Message), P2P (Peer to Peer), RTSP,MMS 和网络游戏在现在的Internet 上的使用非常普遍和频繁, 因为IM 造成的泄密和影响工作,P2P 软件对有限带宽的肆意滥用,以及各种流媒体软件和网络游戏的泛滥,造成了现有网络的管理非常困难,而且带来了很多安全隐患
P2P 流量管理
以BT 为代表的P2P(点对点)互联网文件传输协议,由于其传输速度快,匿名与及文件查找方便等特点,成为了互联网用户传输和共享
大容量文件(尤其是影音文件)的首选。但P2P 的使用,不但占用巨大网络带宽和连接资源,严重影响其他用户的正常网络使用。另外,P2P 的使用还加剧了非授权文件或版权文件的扩散,对企业用户和版权作者带来了严重的安全问题和损失。为了帮客户应对日益严重的P2P带来的问题,DPF-Series 设备提供完备的P2P 的管理功能:
P2P 全局、组、用户等的限制与允许。
P2P 全局、组、用户等的带宽控制。
P2P 完善的流量统计。
P2P 全局、组、用户等的日志记录。
P2P 的日志信息在事件日志中查询
P2P 的流量信息可以在Traffic log 中查询
另外DPF 系统还可以针对一些特殊的网络应用进行识别和管理: RTSP (Real Time Streaming Protoco),MMS (Multimedia Messaging Service),以及FLASH GET 等进D-Link 对P2P 采用组合管理控制的方式,可以制定策略进行每个用户数据带宽监控,每个用户会话数控制,以及应用层的识别控制。除了对P2P 数据流进行有效控制外,违反策略的用户还将直接进入黑名单,管理员可以迅速发现P2P 的使用者,提高网络的有效利用率,降低企业安全风险。
DPF-series 是采用ASIC 芯片直接进行P2P 和IM 协议的内容识别,然后配合D-Link 独创的行为判断引擎,支持业内最为广泛的P2P 协议,并可以对各种P2P 流量和会话进行控制和统计。
P2P-TV 和实时流媒体应用管理
由于P2P 软件的广泛应用,当今网络上流行的多媒体业务和流媒体软件也都采用了这个P2P 的形式,这些流量因为是实时的而且要求的带宽更高,所以比P2P 更加抢占和滥用网络的有效带宽,DPF 系列产品根据这种网络应用需求,专门设定了针对P2P-TV 等P2P 流媒体的管理和控制。
DPF-series 可以支持多种P2P 实时流媒体网络应用的管理和控制:
IM(即时消息)
在IM 日益成为一个难以替代的交流工具的同时,这项技术也承受着安全方面的考验。非授权的IM 使用不但会降低企业的生产率,也可能会造成机密文件的泄漏。更为严重的是IM 漏洞、木马和病毒层出不穷,给企业用户的资料安全带来严重威胁。DPF-Series 可以非常精细地控制IM 的每个会话,提供了细致的IM 控制功能。
IM 部分功能限制使用(例如,仅对MSN, ICQ/AIM/Yahoo!有效)
IM 全局、组、用户等的限制与允许
IM 全局、组、用户等完善的日志记录
当启用 IM 的日志功能后,可以记录用户使用 IM 软件的一些信息,包括:
登录某种 IM 软件的时间
传输文件的时间和文件名
传输语音/视频的时间
登录信息在事件日志中查询,传输信息在流量日志中查询
DPF 系列产品可以支持广泛的IM 协议,如下图所示:
策略化控制
通过DPF-series 设备基于ASIC 的IM/P2P/L7 安全管理控制功能,用户可以根据安全策略定义网络中哪些用户,流量和服务可以使用IM/P2P/L7, 同时也可以进行这些流量的记录, 监控, 带宽限制等高级应用.实现网络的全面优化,并消除网络安全隐患。
基于策略的流量管理
通过D-Link DPF 系列产品,基于策略的配置,可以非常轻松的实现基于各种服务业务的带宽和服务优先级的控制, 可以根据每种网络应用服务的不同,制定不同的流量管理策略。
用户的认证、授权
DPF 系列产品可以通过本地或第三方用户认证和授权系统,对用户使用网络的合法性进行安全地身份认证,支持多种认证方式,包括web 认证、802.1x 的认证、第三方的RADIUS 服务器认证和第三方LDAP 服务器认证等方式,并通过授权用户的角色决定其访问网络的权限,网络服务质量,策略路由等属性;用户的身份认证的同时也可以对用户做绑定检查,对用户的PC 机的主机名,IP 地址,MAC 地址,VLAN ID,接入的虚拟端口号,接入的物理端口号的各种组合进行严格检查;DPF 系列产品并不只是在认证的时刻才对用户进行绑定检查,而是在用户访问网络的整个过程中,发出的和接收的每一个报文都做绑定检查,在结合会话状态检测功能后,可以完全杜绝在整个认证和访问过程中任何非法仿冒用户的行为。另外DPF 系列产品中还可以设置静态用户,该种用户不需要进行认证,而是开机后直接可以访问网络资源,在所有访问过程中都会进行严格的终端绑定检查,以保证用户的合法性。DPF 系统支持自动绑定功能和用户自动学习功能,这样可以减少管理员手工配置用户的工作量。
基于策略的认证控制
DPF 对于用户认证的方法,用户认证的授权和用户认证的计费都是基于策略进行组合的,根据实际网路的需要,我们可以定制多种用户认证和管理的策略针对不同的用户类型,不同的用户群组进行更加有效和有针对性地管理配置。DPF 采用的是非常灵活的基于安全策略的用户认证体制,不是所有接入网络的网络资源都需要认证,而是根据实际需要决定哪些需要进行用户认证,而且这些认证策略又可以和用户AAA 策略进行任意组合,提供非常灵活强大的用户认证管策略。例如:我们可以定制安全策略,让从IP 地址是10.0.0.5-10.0.0.9 的IP 范围在访问服务器10.0.0.10 的email 服务的时候需要进行WEB 认证,而10.0.0.5-10.0.0.9 的IP 范围在访问10.0.0.11 的WEB 服务的时候采用802.1x 认证,这时也就是说除了上述条件之外,其他所有的访问服务都可以不需要认证,只有符合上述安全策略的时候,用户就必须先进行合法认证,然后才能获得相应的网络服务。
用户授权功能
DPF 支持以下用户授权方式:
本地授权
RADIUS 服务器授权
LDAP 服务器授权
AceSEC 服务器授权(可选)
DPF 系列产品可以针对不同的用户组提供各种不同的授权策略,授权主要包括:
访问目的的授权,即授权用户可以访问哪些网络资源,不可以访问哪些网络资源,这个资源可以是某一个服务器,或某个IP 网段地址;
访问时间的授权,即授权用户什么时间可以访问哪些网络资源,什么时间不可以访问哪些网络资源;
访问带宽的授权,即授权用户以多大上行和下行带宽来访问网络;
访问类型的授权,即授权用户访问某个服务器的某种特定的服务,其他未授权的服务则禁止访问,比如,对Email 服务器的访问,只允许一般用户访问Email 服务,只有网管才能访问Email 服务器的其他服务(telnet,web 等);
访问优先级的授权,即授权用户访问某个网络资源的时候,在DPF 系统的优先级,在发生网络拥塞的时候,优先级高的用户发送的报文被优先发送出DPF 系统;
用户可以同时发起的会话(session)数的授权,这个功能可以限制用户过渡占用网络资源,同时也可以有效的降低局域网用户在感染病毒或木马后,对整个网络的影响,从而减少从局域网内部发起网络攻击的几率。
用户黑名单和告警,系统自动检测和统计所有用户的流量和会话数,一旦用户的网络访问超过正常水平,可以自动把用户加入黑名单,进行惩罚,并产生告警日志。
基于用户的安全策略。
不同于一般的网络安全策略控制,DPF 可以直接针对用户和用户组进行安全策略定制,这样可以非常直观地进行基于用户的安全管理和访问控制。例如:我们可以轻松定制从用户A 到用户B 之间不可以进行ping 服务,而从用户B 到用户A 可以进行ping 服务,但是带宽只能是100K。
另外用户组的引入为用户管理提供非常方便的分类管理的策略,我们可以任意定制不同类型的用户组,而且每个用户拥有他们自己独立的认证,授权,计费和安全策略。在网络流量管理的时候我们还可以采用群组带宽管理策略,这样可以使一个组内的所有用户都受到一个总带宽的限制,然后每个用户又可以在此基础上进行各自带宽的限制。关于基于用户的网络流量管理,可以参考基于用户的流量管理和审计功能的进一步描述。
基于用户和IP 的流量管理和审计DPF 系列产品提供了强大的用户信息统计,不光是对认证和静态用户统计,还可以对不需要认证的用户进行统计,这就需要配置想要统计的用户的 IP 地址范围。同时可以限制用户的带宽和连接数,也可以为这些用户绑定黑名单功能。这样也可以控制不需要认证的用户对网络的访问情况。
在DPF 系列产品中可以定制以下的基于用户或者IP 流量管理策略:
上行带宽
下行带宽
可以实现基于用户群组的带宽管理
网络服务优先级
作为源的连接数
作为目的的连接数
基于黑名单管理的单位时间内最大流量
基于黑名单的超出流量的惩罚机制
因为当今网络中存在多种用户,有些用户可能会使用多线程下载工具或者P2P(如BT, Emule)等软件长时间占用带宽,造成网络资源的恶意占用,影响其他用户和业务的正常使用。所以我们在定制用户管理策略的时候,会预先定制不同的QoS:包括用户的上行带宽,下行带宽,优先级, 会话连接数目等。一旦用户接入网络并通过认证,这时用户就会自动获得这一系列的服务质量属性。
内部网络防御
相对于外网防御,内部网络防御主要是对内部一些重要网络资源进行保护,防止内部的非法访问,防止内部感染了网络病毒的用户从网络内部影响整个内部网络的业务。另外就是针对内部用户和网络资源进行有效的管理,控制和监视。由于种种原因可能有些无意或者恶意的安全隐患直接从内部网络发起的,如:内部某个用户因为感染了网络病毒; 因为内部网络的安全区域可能没有启用象外部网络安全区域那么严格的安全策略检查,这时可能会对内部网络造成影响,DPF 系统会对内部网络进行以下的控制:
1. 内部用户的会话发起速度检测和限制,一旦发现内部用户不正常,可以控制和限制它对内部网络的影响。
2. 对内部网络进行严格的源检查,因为攻击包多数是伪装,它是无法通过合法源检查。
3. 对内部网络进行实时安全策略调整,根据不正常现象检测进行实时策略实施以避免攻击形成。
4. 通过启动基于安全区域的防火墙功能,设立相应的判别攻击行为的门限值,并设置日志告警策略,DPF 系统在发现内网攻击行为之后,可以通过向网管员发送Email 的方式主动发出告警,同时在日志记录中详细记录该攻击的信息。
多数据链路均衡和备份
DPF 设备具有强大的链路侦测和备份功能,支持多个上联链路/ISP 连接方式,同时对各个链路进行实时的链路侦测和分析,一旦发现链路故障,立即进行实时的链路切换备份,保证数据通信业务的流畅和稳定。
在链路1(ISP1)和链路2(ISP2)正常情况下,内部网络通过链路1 和链路2 与Internet 相连,链路1 和链路2 之间互为备份关系,DPF 设备把内部网络上的数据业务流量均衡在链路1 和链路2 上。在DPF 设备上启用IP 侦测功能,实时检测链路1 和链路2 的连通状态,一旦任意一条链路出现异常,而另外一条链路是正常的,那么DPF 设备把所有业务流量实时切换到正常链路上。如果检测到发生故障的链路又恢复正常,那么DPF 设备会自动把流量重新分布在两条正常的链路上。
3、D-Link 网络原理实验室解决方案
传统建设网络实验室,需要选择购买某一个网络设备厂商的产品,只能培养出单一产品的网络工程师,同时原理性的实验并不能很好的掌握,搭建一个网络环境也比较繁琐,设备如果出现问题,当时也不能很好的解决,各各厂家的命令都不同,如果很好的了解,需要学校花费大量的资金购买各各厂商设备。
针对高校中所遇到的问题,D-Link在2007年推出了网络原理实验设备就可以解决,学校建设网络实验室中遇到的所有问题。
D-Link网络实验设备给学校提供培养各方面的网络人才一个很好的平台,采用了IPv6 Ready内建 IPv6 下一代网络通信协议,提供多项 IPv6 实验操作课题Scalability 扩充弹性 单一平台 3 人同步上线操作,多平台结合形成大型实验环境Plug and Play 随插即用 简易安装、免设定的操作平台,无需外接 PC 或其它网络设备Command Line Tool 支持以 Linux 命令,进行实验操作TCP/IP 仿真实验环境实验过程具实际运作非仿真,建构和执行网络服务简易快速如 Routing, DNS, DHCP, NAT, Firewall….等),内建 Ethereal 数据包分析工具,提供预设状态快速复原功能。
3.1D-Link网络原理实验设备优点:
不需进行繁琐的实验软硬件环境设定,可依自己的教学需求设计出相关实验,备妥充足教学工具以辅助教学(教学幻灯片、实验指导书等),可以让教师省去教学中非关键的细节,让教师能将心力集中于原理教学、实务现象的解释及经验传承等师生互动。
抽象的网络理论皆可由D-Link实操中得到验证,因此可提高学生学习动机、培养问题解决能力及增加未来学习的自信心D-Link可架构出多样的网络环境,且可放心大胆做任何实验,因此经由D-Link可增进创造力及增广学习范围。
真实执行,真实呈现结果
应用性
以最普遍性的开放式操作系统的学习环境(内嵌式Linux),学习过程可同时学习网络原理与Linux的基本操作,可建构出网络各种服务环境例如:Routing、DNS、VPN、DHCP、NAT、Firewall…等等。
多适性
适合多种网络课程的使用。
3.2网络实验室构成
4.D-Link网盟无线解决方案
随着Internet的高速发展,局域网也越来越普及,不仅公司、企业、事业单位建立了局域网,许多办公室、家庭里面的小型局域网也纷纷的出现。这种局域网一般都是需要综合布线的有线网络,它的出现解决了人们网络联通的问题,大大提高了办公效率,并且数据传输速率也日趋加快,但同时也存在着许多问题。
有线局域网大多将基础布线和设备隐蔽在墙壁之内或者埋在地下,因此综合布线将是非常令人头痛的事情。设计线路的走向、开挖布线槽、敷设线路、调试……等等,既耗费人力财力又浪费大量时间。不但如此,布线之后的线路维护、线路监测等事情更是费时费力。而且,这种传统的有线网络不能摆脱线路的束缚,不能根据实际情况随意的改变网络的结构,更不能实现现代化移动办公的需要,也就不能进一步提高网络办公的工作效率。
4.1无线网络方案优点:
无线局域网的出现使有线网络所遇到的问题迎刃而解,它可以使用户任意对有线网络进行扩展和延伸。只是在有线网络的基础上通过无线接入器、无线网桥、无线网卡等无线设备使无线通信得以实现。在不进行传统的布线的同时,提供有线局域网的所有功能,并能够随着用户的需要随意的更改扩展网络,实现移动应用。
在校园无线局域网内可以使用一个或几个无线交换机(最多可以使用4台)来管理大量的AP或者用于混合有线/无线局域网。当AP的增加时,就可增加无线交换机而形成一个大型的集中管理系统。由于扩展简便,支持下一代高速AP的千兆速率和支持企业范围内网间漫游的三层路由,DWS-3024/3026提供一个架构,简化并且一体化了一个特别复杂的WLAN环境,轻松的为将来的技术升级准备了一个现有的网络。
4.2 无线局域网具有传统有线网络无法比拟的特点:
1.灵活性,不受线缆的限制,可以随意增加和配置工作站;
2.低成本,无线局域网不再需要大量的工程布线,同时节省了线路维护的费用;
3.移动性,不受时间、空间的限制,用户可在网络中漫游;
4.易安装,对于有线网络来说,无线局域网的组建、配置和维护更为容易。
5.通信范围不受环境条件的限制,网络传输覆盖范围大大的拓展,室外可以传输几十公里、室内可以传输数十、几百米。在网络数据传输方面也有与有线网络等效的安全加密措施。
4.3D-Link DWS-3024/DWS-3026二层千兆无线交换机
D-Link DWS-3024/DWS-3026 二层千兆无线交换机为商业环境中的无线网络应用进行了最优化。通过这些设备,商业用户可以拥有高性能的 ,安全的,并且可管理和升级的一体化有线/无线局域网交换模式。通过combo SFP,可选10G连接的开放式插槽1以及基于以太网供电和冗余电源(RPS),这些千兆无线交换机使企业能轻易的升级到下一代802.11n无线局域网,无线设备的应用简便并且不受物理位置的影响,对安全的无线移动性和策略的执行提供集中管理。
DWS-3024/DWS-3026千兆无线交换机是巩固安全,管理带宽和维护整个无线网络智能化的核心单元。除了在用户漫游时监视用户身份和维持他们的认证外,这些无线交换机还能配置和控制无线接入点的其他方面,包括RF信道和电源管理,无线流量分段,AP漫游和负载平衡,非法AP检测和AP访问安全。
4.4D-Link DWL-8500无线接入点/网桥
符合802.11a/b/g标准,信息吞吐量高达一般802.11b产品的15倍
支持64/128/152位WEP及WPA TKIP、PSK最新无线安全标准
支持POE以太用供电
支持802.1q VLAN
支持802.1x用户认证安全标准
配合DWS-3000系统交换机使用,可达成无缝漫游
三、D-Link设备整合网盟解决方案
(采用DES-6500做为核心,DSA-8000与DRS-5000做认证DAG-3000E做数据分析系统,百兆交换机到做桌面,基于802.1X的认证)
方案说明:
1.Internet网关接入
Internet入口使用D-Link防火墙做透明模式透传到路由器,路由器支持多WAN口多线路,防火墙可以设置策略,保护内部网络,使重要的数据免受威胁。在加上D-link流量控制设备,可以控制校园网内部用户对网络资源的滥用,P2P流量占用了大量的网络带宽,减少了大学网络运营成本,保证了校园网的应用。
2.局域网核心部分
核心采用的是在网络核心层,D-Link高性能的万兆核心路由交换机DES-6500担当网络骨干。DES-6500交换机具有352G的超大背板容量,使得其所有端口均具备全线速交换能力,该交换机的9个插槽能提供高密度端口,能支持完整的网络介质多链路聚合特性,高达480Gbps交换容量支持L2/L3线速交换,容错能力包含了可热插拔的线路卡和冗余备份电源,服务质量(Qos)/服务类别(Cos)的保障措施,完整的用户访问安全管理,全面的网络管理功能。高性能和弹性灵活的设计。核心交换接入认证计费设备,能够支持PPPOE、DHCP+WEB及802.1x认证计费设备,承担全网的计费,担负着每一台客户端计费工作。认证服务器采用了计费消息旁路机制提高了整个认证系统的效率和可靠性,Radius Server专门负责用户认证和授权,而另外一个计费引擎进程(accteng)则负责计费信息入库和实时扣费等操作,同时采用消息队列也对增加了系统对计费信息的缓存。无线交换机与AP连接可以做到无线网络集中管理一体化的可扩展有线/无线网络架构,简便而有弹性的网络应用,安全管理,带宽和电源管理,局域网管理,安全 和多功能管理,无线选用的是带有POE供电室外AP支持增强型802.11g,传输速率高达54/108Mbps,通过无线覆盖整栋楼,可以做到真正的无线漫游,同时满足一些无线上网师生高速的上网需求又可以做到认证上网。
教学楼工作区接入层
汇聚层采用的是D-Link35系列带有802.1X可虚拟堆叠的二层交换机支持骨干网及中央高速服务器组成多层网络结构,接入层交换机高密度的千兆端口上连10/100Base-TX自适应端口到桌面,拥有以太网,快以太网,连以太等多种物理端口。为整个校园网络的全面互连能力带来保证。
网络原理实验室
网络原理实验室选用的是以 Linux Networking 为基础的全方位网络实验教学平台的D-Link设备,它可以满足单一平台 3 人同步上线操作,多平台结合形成大型实验环境。简易安装、免设定的操作平台无需外接 PC 或其它网络设备支持以 Linux 命令进行实验操作。TCP/IP 仿真实验环境,实验过程具实际运作非仿真,建构和执行网络服务简易快速。内建 Ethereal 数据包分析工具,提供预设状态快速复原功能。
方案特点:
先进性:即建立一个开放的、高性能、易管理的计算机网络系统。实用性,本方案是建立一个具有现代化管理、流控、计费手段的信息系统,提高业务能力和工作效率的要求。经济性,选择的设备也是性能价格比最优,同时兼顾与已有设备的互联能力。
方案采用了经济、高效的二层网络结构,将汇聚层和接入层合并为一层,实现了边缘到核心的直接通信,提高了网络传输速度和运行质量,优化网络布局的同时降低了网络建设成本。
网络核心采用DES-6500高性能的万兆交换机,保证网络系统在任何情况下都能够保持高速、持续、稳定运行,丰富的网络接口类型不仅能够实现与教育网的远程连接,而且满足了校园师生多元化的网络应用需求。
无论是核心层交换机DES-6500、还是边缘层交换机DES-3526,突出的“性价比”优势,是学校实现经济组网的理想选择。
边缘层设备DES-3526具有出色的扩展能力,可实现按需堆叠,为发展迅速的校园网络提供了广阔的升级空间,避免了重复建设,从而有效保护用户投资。
方案引入了802.1x安全认证标准,软、硬件结合,综合安全认证计费管理系统,独创的二次认证,从而实现对接入用户的精确、智能管理。系统的体系结构具有良好的可扩展性,结合业内厂家802.1x交换机实现帐号与IP、MAC、端口、Vlan等各种元素的灵活绑定认证与控制,动态自动绑定各种元素的认证机制,无需人工繁琐设置。
采用标准Radius协议、扩展Radius协议和D-Link网络针对校园网安全运营特点所扩展的增强型802.1x协议,用于实现对标准/增强型的802.1x、PPPoE、Web+DHCP的认证计费授权等功能。
P2P流量控制,P2P行为和非法代理分析,基于策略的流量管理,学生上网的认证、授权,基于学生用户的安全策略功能,基于学生用户和IP的流量管理和统计功能.内部网络防御,多数据链路均衡和备份。
四、总结
网盟解决放案是为教育行业量身定制,重点在解决目前教育行业一些困惑的问题,认证计费软硬的应用,可以做到二次认证,无线交换机统一管理AP的功能,数据分析与管理系统对整个网络流量的管控,网络实验室设备解决了单一产品的网络和师,可以让学校老是由真正培训养出各方面的网络人才,网盟方案做到了高整合度 高性价比 同时解决了管理网络人员的重多的维护工作。
原标题:友讯D-Link 教育行业网盟解决方案
来源:计世网
