令大连海事大学感到骄傲的事情有很多。不仅是它那悠久的历史，不仅是它被国际海事组织认定为“享有国际声誉”海事院校的荣耀，不仅是江泽民同志亲笔写下的校名……这一切在今天看来已经成为过去。如今，海大在校园网建设中率先成功地应用了万兆以太网技术和产品，此事正成为海大新的骄傲。

由锐捷网络承建的海大万兆校园网成功运行已有半年多，用户方对网络在稳定性、安全性、可运营管理等方面的表现非常满意。海大新一代万兆校园网具备高容量的网络吞吐量和对各种业务的完善支持，除实现对现有业务(视频、语音和数据)的良好支持外，还实现了对IPv6和MPLS、load balancing、NAT、VPN、Firewall、web cache redirect等业务功能的扩展支持，满足了学校现有和未来的不同应用需求。

升级势在必行

据大连海事大学网络信息中心运行主管李志淮介绍，升级以前，海大校园网以光纤连接了全校近70栋楼宇，覆盖了90%的教学办公场所和75%的学生宿舍。当时，大连海事大学共布有2万多个网络端口，其中约1.2万多个布线端口连通了网络设备，共接入计算机6千多台，有固定注册用户约6000人。如此的网络规模，却还是满足不了学校日益增长的网络应用需求。

此外，通过对海大网络现状和应用业务的分析，锐捷网络发现海大原有网络采用的是千兆骨干网。在网络结构中，核心层和汇聚层设备采用的都是比较低端和落后的产品，均不具备ACL功能，从而制约了校园网的扩展能力，更无能力对病毒和黑客进行有效的防范和杜绝。

同时还发现，海大校园网络所运行的核心设备采用的是OSPF协议，而汇聚设备采用的是RIP协议和静态路由协议。象这样多种协议混合使用，无法实现真正意义上的OSPF上路由冗余备份的功能。分析其原因，也正是“低端、落后”设备不具备OSPF协议所致。

更重要的是，海大原有的网络使用了不同品牌的网络设备，管理起来非常困难。网络无法进行统一管理是大连海事大学急需解决的问题之一。

为了解决校园网存在的诸多问题，海大决定对校园网络进行“万兆”改造，并认为此举迫在眉睫。

“七要”必不可少

作出改造决定的同时，用户方提出了“大连海事大学校园网万兆改造的建设思路”，明确要求改造后的网络要做到“七要”：

要适应高校的网络特点要求：用户数量庞大，网络应用复杂，不能在终端上限制网络用户行为，只能在网络设备上解决网络问题。

要能够达到轻载要求：低负载、高带宽，简单有效。

要具有先进的技术性：支持线速转发，具备高密度的万兆端口，核心设备支持T级以上的背板设计，硬件实现ACL、QoS、组播等功能。

要稳定、可靠：确保物理层、链路层、网络层在病毒环境下的稳定可靠。

要有强有力的安全机制：不以牺牲网络性能为代价，实现病毒和攻击的防护、用户接入控制及路由协议安全。

要易于管理：具备网络拓朴发现、网络设备集中统一管理、性能监视和预警及分类查看管理事件的能力。

要能实现弹性扩展：包括背板带宽、交换容量、转发能力、端口密度及业务能力的可扩展。

从何“切入”很重要

根据原有网络存在的问题及用户提出的要求，锐捷网络主要从核心设备、线路和路由协议三个方面着手“切入”，进行海大校园网的万兆升级改造。

核心设备采用了2台万兆核心交换机RG-S6810E和6台万兆核心交换机RG-S6806E。其中，6台RG-S6806E通过万兆线路分别连接到2台RG-S6810E上，然后采用千兆线路进行冗余备份。中心的2台RG-S6810E通过两条万兆线路互相连接，通过IEEE 802.3ad 进行链路捆绑，从而把整个校园网提升到万兆骨干，同时具有充分的扩展能力。

在线路改造方面，把以前核心和汇聚采用的千兆线路连接，改为核心的RG-S6810E和RG-S6806E采用万兆线路连接，而千兆则为备份连接。目的不言而喻，以防万兆万一失效，千兆立刻可以备份启用，达到100％的线路安全和可靠性。

在路由协议改造方面，以前校园网路由协议较多，管理维护复杂。本次万兆网络的改造，便根据学校需要，在整个校园网全部运行OSPF协议。

技术整合成亮点

针对大连海事大学校园网的现状和新的应用需求，本着“万兆骨干，百兆到桌面”的原则，锐捷网络提出了一套完整的解决之道，并在方案中运用了双核心设计和分布式路由设计理念。

通过双核心技术，不但可以让设备进行冗余备份，而且还可以进行中心数据通信负载均衡，从而使中心设备减轻负荷，保证核心层的稳定性和可靠性。同时，运用2台核心交换机通过802.3ad进行链路聚合，达到了40G带宽。

而分布式路由设计理念的体现，主要在于把2台核心设备RG-S6810E和6台汇聚产品RG-S6806E，通过OSPF动态路由协议，形成了整个网络路由。目的是尽量把路由分布到各个楼宇群的千兆路由交换机上，从而减轻核心设备的路由负担。

效果实在看得见

方案的实施，不仅满足了现代大学校园网对网络应用的需求，而且还解决了以往在网络管理方面存在的一些问题。具体表现如下：

对病毒可以进行有效控制。楼宇核心、楼宇群汇聚和核心产品都具有病毒防范功能。比如针对以前典型的冲击波病毒，采用屏蔽ICMP报文、然后屏蔽相应病毒端口的做法。

全网接入统一认证。利用方案中提供的全网接入统一认证技术，保证了只有合法授权的用户才能使用内部或外部网络，而且还能对网络的使用情况进行审计。

实现了基于用户的带宽分配。在方案中配置的末端交换机，可以支持静态带宽分配和动态带宽分配。特别是基于用户的动态带宽分配（配合认证管理系统），可以根据不同类型用户分配预定的带宽，为网络带宽资源的合理规划提供有力的技术基础，其控制带宽为100K。

端口与MAC地址及IP地址绑定。汇聚层交换机、接入层交换机实现端口与MAC地址、IP地址的灵活绑定，明显提升了网络访问的安全性。

对于IP地址冲突的管理。方案中提供的IP地址冲突管理技术杜绝了IP地址冲突、盗用、滥用的情况发生。

全程监管网络。网络管理系统可以让网络管理人员对不同厂商的网络设备进行监控和管理，除了能够自动发现标准的SNMP设备外，还可以发现非SNMP设备，甚至是HUB设备。同时，系统还能够将二层设备、三层设备统一在一幅拓扑图中显示。