校园网已渐渐成为与高校师生学习、生活息息相关的重要设施。随着时间的推移，校园网开始出现问题，校园网管理人员的烦恼也随之而来。

众所周知，校园网一个典型特征就是应用非常丰富，电影点播，在线音乐、视频聊天、大量软件下载等待，再加上很多高校扩招，师生动辄数万人，如此种种，造成网络的负载非常重，校园网带宽面临的挑战可想而知；此外，攻击网络的病毒不断泛滥，以及学生“好事者”也会有意地攻击网络，他们往往并非为了某种“恶毒”的目的来攻击网络，而是出于好奇或者“表现”。任务如此繁重的网络一旦因攻击而造成瘫痪，损失将会是很大的。

总体来说，目前很多校园网面临的问题主要集中在两个方面，一是带宽，二是安全。华南理工也不例外。

打造万兆核心交换能力

华南理工大学现有计算机网络用户已高达5000-10000户，计算机网络计划容量为20000用户。要充分满足学校内部教学、科研、工作、生活所需要的高速、高安全、高性能网络系统要求，保证每一个上网端口都能够达到高速率，整个网络系统核心层承受的压力之大可想而知，万兆应用显然是必然之举。

项目承建方神州数码针对这样庞大的一个网络，提出了五层的结构，分别为接入层、汇聚层、策略管理层、核心层和边界路由层。通过构建清晰的层次结构，不仅使校方达到便于管理的目的，而且针对每个层次可以进行模块化分析，对统一管理网络和维护非常有帮助。神州数码网络公司核心交换设备高背板交换处理能力的优越性在此得到了充分体现。

根据学校的实际情况，结合多年服务高校的经验，神州数码网络认为在网络建设过程中，要把握一个重点、一个难点的解决，即确保“一次路由，多次交换”、“路由等于交换”，并采用高核心设备和接入设备完成接入，才能将整个网络建设得更有生命力。

因此神州数码采用3台具有电信级网络安全性能的核心路由交换机MG8，提供整个高速网络骨干交换子平台的核心交换；采用信息中心放置2台MG8核心交换机组成一个双机热备份的核心交换机系统解决方案。

神州数码DCRS-MG8用来提供整个网络系统核心路由、交换的需要，所有模块实现热插拔、端口冗余、链路冗余、电源冗余、802.1W(802.1S)环路、散热冗余等安全功能，充分发挥了核心交换机具有的电信级网络安全性能。

另外，由于核心交换机系统要为整个校园网提供核心的交换、路由，对其自身的性能要求是非常高的，神州数码核心路由交换机MG8 提供1.28Tbps 的背板交换容量，实现L2/L3/L4多层包转发率是480MPPS，为核心交换机最大可容纳的模块数8个、最大1000M以太网端口数320个、最大10G以太网端口数32个等强大的、高带宽的网络接口连接，为现在校园网中所有教学楼、宿舍等楼群内网络用户10G主干上联提供了条件。

在一期的建设中，神州数码网络建议在新、老校区之间增加边界路由层，采用万兆连接，保证网络的畅通；新校区的两台核心设备之间采用4条千兆链路，形成全双工8G的带宽；而新校区与大学城核心采用千兆利连接，如果流量大时，可以通过链路聚合技术，将带宽增加到2G或者4G，保证网络的高速。

未来的网络二期扩容只需添加万兆模块，就可以将网络升级到万兆，而不再需要重新购置核心交换机，便可以实现网络的平滑升级，达到保护用户投资的目的。

支持IPv4/IPv6

网络的核心设备 MG8提供丰富的 IPv6 功能集，允许用户开始向 IPv6 的升级过程。IPv6 实施方案保留了许多 IPv4 的基本属性；同时提供全新的能力、更高的灵活性并能够应对从 IPv4 继承来的主要挑战，其中包括用户增长，服务质量以及安全性。核心设备 MG8的 IPv6 特性集包括为提供平滑升级和支持双堆栈环境而设计的特性。

网络中数据流易管理

SFlow（RFC 3176）是基于标准的最新网络流量监控协议，能够解决当前网络管理人员面临的很多问题。SFlow已经成为一项线速运行的“永远在线”技术，利用嵌入到网络交换机ASIC芯片中的功能，实时监控网络中的数据流量。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比，SFlow能够明显地降低实施费用，同时使实施面向每一个端口的全企业网络监视解决方案成为可能。

3D-SMP方案打造“内外兼固”的安全网络

安全性表现在两个方面，一方面是设备本身的安全性能，另一方面是整个网络的安全防护能力。在设备本身的安全性方面，神州数码提供的核心路由交换设备，具有电信级的安全性，拥有99.999%的可靠性，保证全年故障时间不超过5分钟;而冗余设计，保证了7×24小时的无故障运转。在整个网络的安全防护方面，3D-SMP是目前国内校园网方面最好的安全方案之一。

3D-SMP（Dynamic Distributed Defense--Security Management Policy），又称“动态分布式防御安全管理策略”。 3D-SMP保留了神州数码网络原有的D2SMP解决方案的特点，增加了设备之间的联动能力，使网络的安全管理比以往更加周密，反应的速度比以往更加迅速。

3D-SMP有两个核心的思想，即“动态”和“联动”。“动态”是指3D-SMP可以针对不同的安全问题制定相应的策略，无论病毒什么时候、从什么网络中、哪个环节、以什么面目出现，系统都能调用安全策略体系当中的合适手段，阻止事故的进一步发生。“联动”是3D-SMP的精华，为解决信息安全孤岛的问题，神州数码网络研发了SAOP（Security association operation protocol）安全联动操作协议，SAOP协议具有良好的开放性和加密性，使得GSM、交换机、路由器、IDS和客户端等网络组件之间实现联动，牵一发而动全身。当来自于网外的攻击出现时，IDS侦测并确认之后，将通知防火墙断开相应端口，迫使网外用户无法访问网络；而当IDS侦测到内部用户的电脑出现非法访问或者类似于病毒广播等行为时，将通过DCBI向用户发出通知，严重情况下，DCBI将联动接入交换机，关闭端口，强制用户下线，从而保护整个网络的安全稳定运行。

实现“动态分布式防御安全管理策略”有赖于神州数码网络基于高校校园网应用的全线网络产品。分布式安全管理主要集中在汇聚层和接入层，神州数码网络可提供包括新推出的DCRS-5824GX、DCRS-5512GC、DCRS-3926S/3950S、DCS-2000E系列在内的丰富网络产品。这些产品在具备出色性能的同时，更重要的是都支持多种认证接入方式；同时结合其认证计费系统DCBI-3000、DCBA-3000W和网管系统LinkManager，可完成对用户接入认证的管理控制，帮助高校校园网实现运营。而目前神州数码网络产品在用户认证方面做的十分周到，通过灵活的用户信息多元绑定（帐户、密码、MAC地址、IP地址、交换机IP、接入端口、VLAN ID、DHCP SERVER等）技术，使得无论在校园网何处，都能准确识别用户身份，从而做到从设备管理到用户管理的层面。

采用了这样一套方案，使得华南理工在几次周边院校发生病毒危害时，受到的影响很小，充分体现了3D-SMP的优势，它使整个校园网显得安全、有序。