速度与安全始终是一对矛盾，这一矛盾在较大规模的高校校园网中体现得更明显：一方面，学校师生众多，网络面临的带宽挑战强烈；另一方面，随着网络应用的丰富，网络攻击日益增多，带宽越大，攻击造成的后果往往越严重。那么，如何在两者之间找到恰当的平衡点？对此问题的解决，华南理工大学最近建设的校园网项目具有一定的借鉴意义。

双重需求：带宽与安全

华南理工大学南校区现有网络用户已经超过1万人，网络计划容量为2.5万用户，要充分满足学校内部教学、科研、工作、生活所需要的高速、高安全、高性能网络系统要求，保证每一个上网端口都能够达到高速率，因此，整个网络系统核心层承受的压力非常大，万兆应用显然是必然之举。

另外，校园网一个典型的特征就是应用非常丰富，电影点播、在线音乐、视频聊天、大量软件下载等等，造成网络的负载非常重，而攻击网络的病毒不断泛滥，以及学生“好事者”也会有意地攻击网络，虽然他们往往并非为了某种“恶毒”的目的而攻击网络，而是出于好奇或者“表现”。如此繁重的网络一旦因攻击而造成瘫痪，损失将会是很大的。因此，作为校园网的管理方，网管希望网络能够稳定畅通地运行，不出现网络瘫痪或者计费系统故障等情况。

五层结构+万兆核心 

根据学校的实际情况，结合多年服务高校的经验，神州数码和华南理工大学最终确定这样的建设思路：在网络建设过程中，要把握一个重点、一个难点的解决，确保“一次路由，多次交换”、“路由等于交换”，并采用高核心设备和接入设备完成接入，才能使整个网络的建设更有生命力。因此神州数码网络应用了3台高性能的、具有电信级网络安全性能的核心路由交换机MG8，为整个网络提供了高速网络骨干交换子平台的核心交换，并采用了在信息中心放置2台MG8核心交换机的方式，组成一个双机热备份的核心交换机系统的解决方案。

神州数码DCRS-MG8提供了满足整个网络系统核心路由、交换的需要，以及提供所有模块实现热插拔、端口冗余、链路冗余、电源冗余、802.1W(802.1S)环路、散热冗余等安全解决方案。另外核心交换机系统为整个校园网提供核心的交换、路由，神州数码核心路由交换机MG8 提供1.28T的背板交换容量，实现L2/L3/L4多层包转发率480M、核心交换机最大可容纳模块数8个、1000M以太网端口数320个、10G以太网端口数32个等强大的、高带宽的网络接口连接，为现在校园网中所有教学楼、宿舍等楼栋内网络用户10G主干上联提供了条件。

此外，考虑到该项目网络规模的庞大，神州数码网络提出了五层管理方案结构，这五层分别为接入层、汇聚层、策略管理层、核心层和边界路由层。通过分层方案使网络有一个结构化的设计，针对每个层次进行模块化的分析，对统一管理和维护网络非常有帮助，也能够充分体现神州数码网络公司核心交换设备中的高背板交换处理能力。

在一期建设中，神州数码网络建议在新、老校区之间增加边界路由层，采用万兆连接，保证网络的畅通；新校区的两台核心路由交换机之间采用4条千兆链路，形成全双工8G的带宽；而新校区与大学城核心采用千兆连接，流量大时，可以通过链路聚合技术，将带宽增加到2G或者4G，保证网络的高速运转。

在网络二期建设中，网络扩容过程中只增加了万兆模块，将网络升级到万兆骨干，实现网络的平滑升级，保护用户的投资。

由内而外保障安全

面对目前复杂的校园网络安全环境，华南理工大学项目采用了神州数码网络的3D-SMP。3D-SMP（Dynamic Distributed Defense——Security Management Policy）又称“动态分布式防御安全管理策略”，它保留了神州数码网络原有的D2SMP解决方案的特点，增加了设备之间的联动能力，使网络的安全管理比以往更加周密，反应速度比以往更加迅速。

“动态”和“联动”是3D-SMP的两个核心的思想。“动态”是指3D-SMP可以针对不同的安全问题制定相应的策略，无论病毒什么时候、从什么网络中、哪个环节，以什么面目出现，系统都能调用安全策略体系当中的合适手段，阻止事故的进一步发展。“联动”是3D-SMP的精华，为解决信息安全孤岛的问题，神州数码网络研发了SAOP（Security association operation protocol）安全联动操作协议，SAOP协议具有良好的开放性和加密性，使得GSM、交换机、路由器、IDS和客户端等网络组件之间实现联动，牵一发而动全身。

在分布式的构建上，神州数码网络率先提出了基于用户的VLAN划分的策略。形象地说，校园网管理者可以在系统中设定小李、小陈、小张等同学属于“学生”的一个VLAN中，把老李、老陈、老张等老师设在另一个属于“教师”的VLAN中，而不用考虑这些人处在校园网中的哪个位置、是连到哪台交换机的哪个口上，系统都会自动帮助用户完成这些复杂的VLAN设定，有了这样一个“基于用户的VLAN”功能，可以非常方便的根据用户权限的差别划分一个个的“安全域”。因此，校园网管理者就可以基于不同的安全策略直接对不同的用户进行操作，即使用户移动了位置，他所连接的交换机端口变了，但他同样还是会在原来其所在的“安全域”中，对他的所有安全策略完全生效。如此一来，那些充满好奇心的学生也只能在其所在的“安全域”中活动，而无法进入学校的教师管理系统、财务管理系统等重要系统中，即使学生用户感染病毒，也能有效地控制在其所在的“安全域”中，不会影响整网的安全。

实现“动态分布式防御安全管理策略”依赖于神州数码网络基于高校校园网应用的全线网络产品：分布式安全管理主要集中在汇聚层和接入层，神州数码网络则可提供包括新推出的DCRS-5824GX、DCRS-5512GC、DCRS-3926S/3950S、DCS-2000E系列等在内的丰富网络产品，这些产品在具备出色性能的同时，更重要的是都支持多种认证接入方式，同时结合其认证计费系统DCBI-2000、DCBI-3000和网管系统LinkManager，可完成对用户接入认证的管理控制，帮助高校校园网实现运营。而目前神州数码网络产品在用户认证方面做得十分周到，通过灵活的用户信息多元绑定（帐户、密码、MAC地址、IP地址、交换机IP、接入端口、VLAN ID、DHCP SERVER等）技术，使得无论在校园网何处，都能准确识别用户身份，从而做到从设备管理到用户管理层面的安全。

此外，在抵御网络攻击方面，DCFW-1800S/E/G三个系列智能防御网关投入使用，其结合最新的网络安全技术以及基于NP架构的设计，可保障非法攻击止步于其之外，使整个校园网达到安全、有序的良好状态。