暨南大學研究所宿網建置案
合勤網路交換器成功案例
整合網路電話與資料網路,建立穩定、高效、易管理的宿網!
1. 本案基本背景與架構
為因應逐年成長的網路流量以及網路應用的增加,該校計網中心正計畫逐步調整原有的網路架構,淘汰當前不適用的網路設備,並將傳統類比電話更換網路電話,建置一套資料與網路語音整合的網路環境。
本案例首要工作就是規劃一套整合資料與網路電話的網路架構:將暨南大學新建立的男女生研究生宿網以及VoIP網路整合在一起,並將目前的星狀網路架構調整為環狀網路架構,以此來因應目前日益加重的網路需求,並且增加網路相關的應用與降低計網中心的管理成本。
2. 本案例使用的設備
| GS-2200-24 | L2+網路交換器(24埠Gigabit乙太網路交換器 (多4組Combo埠)) 產品介紹:http://download.zytpe.com.tw/zyxel/product/prod_detail.php?no=0000968 |
| MES-3528 | L2+ 智慧型網路交換器(都會高速乙太網路交換器) 產品介紹:http://download.zytpe.com.tw/zyxel/product/prod_detail.php?no=0000953 |
| ES-3124PWR | L2+ PoE交換器(24埠10/100M PoE 乙太網路交換器(多2個Gigabit埠及2組Combo埠)) 產品介紹:http://download.zytpe.com.tw/zyxel/product/prod_detail.php?no=0000003 |
網路架構說明:
合勤提供一套三層式架構有效改善網路品質:
- 利用GS2200-24 L2+交換器提供的56Gbps無阻斷交換核心以及41.7Mpps百萬個封包的資料轉送速率與限速效能來分擔核心路由器部分的工作,以此增加核心路由器的效率。
- 利用MES-3528 L2+交換器及分別來管理資料網路以及利用ES-3124PWR L2+PoE交換器管理網路電話,並藉由ES-3124PWR網路供電的功能,達到靈活佈建網路電話的需求。
3. 合勤產品優勢
本次案例,合勤交換器利用以下功能來改善宿網的品質並整合網路電話環境:
A. 迴圈防護 (Loop Guard)
功能:在網路產生迴圈時,將有問題的網路埠立即關閉。
例如 暨南大學的學生宿舍每個人都擁有一個專有的網路埠供學生上網,然而學生往往會因為插錯網路埠,造成網路迴路,並直接衝擊宿網的運作,嚴重時還會癱瘓整個網路。
這種情形經常發生在宿網的網路環境中,造成學校的運作中心不小的困擾,而合勤網路交換器設備擁有 loop guard 功能,能在宿網產生迴路時,將有問題的網路埠立即關閉,即時降低對宿網其他使用者的影響。
B. 過濾網路上非法之ARP封包(ARP Inspection)
功能: 過濾並阻絕有問題的ARP封包。
有些學生會作怪,會利用像是網路剪刀(NetCut)等的程式修改自己網路閘道的位置,而合勤的網路設備也可以針對這類的 (ARP)的攻擊 來做阻絕的動作。
C. 完整、多層次保護-靜態IP/MAC綁定(P- MAC binding)
功能: 過濾並阻絕有問題的ARP封包。
為避免學生不當的使用網路,該校便算中心對於學校宿網也有若干管制, 使用者的電腦與IP必須互綁在一起,且也有限制網路一天的使用量,而這部分的需求也可藉由合勤科技網路交換器IP- MAC binding 的功能達成, 不當的使用,例如 學生偷改IP,這個機制就會啟動,自動關閉有問題的IP。
D. DHCP SNOOPING
功能:阻絕有問題的設備。
例如 學員在宿網接錯了IP分享器的網路埠,將wan port 接至 Lan port,如此一來 導致IP 分享器亂發IP,加重宿網的負擔,利用合勤網路交換器 DHCP SNOOP 的功能,便能有效將有問題的設備阻絕於網路之外。
E. Cli command 與 Offline 編輯
功能:
a. 所有設定皆可以用 command 設定,設定檔以文字檔顯示,可做 offline 編輯用記事本等工
具進行設定 (Cisco like command)
b. 可用 Windows Host Script 編寫 script file 自動去對 Switch下 command 進行排程執行或啟用/關閉 ACL。
線上編輯設定會讓設定立即生效,因此若有設定變更是在指定的時間之後才套用,比如說:學校在 2011/7/10 凌晨03:00 要變更原本學生使用的 VLAN。若設定可離線編輯(因為設定檔是純文字檔格式,有些設備其設定檔為 binary file 無法離線編輯)則套用時不需人員介入,可透過事先編輯後由網管軟體派送設定,且 cisco like command邏輯易於了解、使用。
F. Classifier 與 Policy (Traffic Manipulation)
<L2 Switch 可做 L3 Switch 才可執行的功能>
功能:
a. 依據規則控制可使用頻寬、優先權及 VID
b. ACL 控管,可依據所有 L2, L3 的資訊進行定義
ACL控管:
在 L2 Switch 上可防止非法使用者存取非允許 server 或資訊。比如說:學生與宿舍管理室電腦連接到同一 L2 Switch 下,學生僅能存取管理 server 的 HTTP 服務,但不得存取。一般來說,這需要 L3 設備或在 Server 加 firewall才能做得到,然而合勤L2 Switch便可做到。
4. 效益:整合網路電話與資料網路,建立穩健、高效、易管理的宿網。
A.管理方面:
計網中心十分忙碌,原有的網路架構在出現問題時,小至學員插錯網路埠或是偷改IP位址等等,電算中心的人員都必須派員進行查修,無形之中大幅增加了人力資源的支出。
而合勤科技網路交換器設備提供的智慧型網管功能,經實際運作後,證明能有效減少問題的產生並將問題集中在該區,就算發生問題,也不會影響到整個網路的運作,進而降低了計網中心的管理成本。
B. 網路電話應用方面:
本次案例的網路交換器,全部設備都具備QoS -頻寬管理功能,因此網路電話不會因網路資料量過大而造成瞬斷或停擺,有效維持網路電話的語音品質,並且在網路電話客戶端提供自動供電等功能(ES-3124PWR 能輸出高達700w電力,符合各類PoE設備的需要),大大增加網路電話建置的靈活度,降低建置成本。