《北京科技大学校园网技术建议书.doc》由会员分享,可在线阅读,更多相关《北京科技大学校园网技术建议书.doc(69页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、北京科技大学校园网改造技术建议书华为3com三康技术有限公司2004年4月目录1概述31.1校园网建设背景31.2 北京科技大学校园网建网需求分析41.2.1 一般建网需求41.2.2 北京科技大学建网需求51.3 整体建网原则92网络设计规范122.1 改造基本需求122.2 总体改造结、构业务设计122.3整体网络设计规范153总体网络设计183.1ATM网核心改造组网描述183.2以太网核心交换机改造组网描述213.3接入层设计方案243.4整体设计说明243.5业务流量说明263.6华为北京科技大学解决方案特点:273.6.1 完全的分布式的处理方式273.6.2 对于新特性的业务支持
2、力度IPv6283.6.3 量身定做的校园网内部服务器的负载均衡:283.6.4 基于复杂流的检测和控制293.6.5 出口路由器NE05策略路由的需求303.6.6 出口路由器的ACL的功能313.6.7 E系列接入层交换机323.6.8 QOS功能333.6.9 VPN的功能333.6.10 组播业务334北京科技大学详细网络设计354.1 IP地址规划和路由策略354.2 北京科技大学VLAN划分364.3 网管解决方案365核心网安全设计395.1、用户严格隔离395.2、用户唯一标识405.3、防止对DHCP服务器的攻击405.4、恶意用户追查405.5 网络管理安全设计415.6组
3、网安全性设计445.7出口运营商线路备份446组网核心设备介绍456.1Quidway S8500万兆核心路由交换机456.2 Quidway S6506R千兆路由交换机516.3 Quidway NetEngine 05 高端路由器536.4 Quidway S5000系列智能千兆以太网交换机556.5 Quidway E系列教育网以太网交换机606.6 Quidway Eudemon200(守护神)防火墙641概述1.1校园网建设背景根据 2003年的最新调查结果来看,我国目前的上网总人口已达12000万,其中校园用户占了32%,是最大的用户群。 另据华为公司市场部提供的资料,中国网民的普
4、及率是1.2%,但在大学生群体中的普及率是93%。目前87%学生在网吧上网,97%的学生用201校园卡打电话。同时,随着国家信息化工作的深入开展,提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键,尤其是高校校园网建设。在信息化的建设过程中,它的作用体现在如下几个方面: 1、校园网能促进教师和学生尽快提高应用信息技术的水平;信息技术学科的内容是发展的,它是一门应用型学科,因此,为了让学生学到实用的知识,必须给他们提供一个实践的环境,这个环境离不开校园网。 2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库,所以校园网是学校进行教学改革、推行素质教育
5、的一种必不可少的工具。3、校园网是学校现代化管理的基础,深入、全面的学校信息管理系统必须建立在校园网上。4、校园网提供了学校与外界交流的窗口,学校应将校园网与互联网联接,这也是学校信息化的要求,做到了这一步,通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。 教育即未来,作为国家最重要的战略工程,如何应用信息技术改造我们传统的教学和管理手段;如何加深学生对于信息化和信息技术的理解与了解;如何造就同时具备传统和信息双重文化的一代新人,已成为教育界当前最为紧迫的任务之一。信息技术的应用,势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑,并将全身心地为之努力。1.2 北京科技
6、大学校园网建网需求分析1.2.1 一般建网需求北京科技大学的网络的建设主要是对于原ATM网络的改造,在实际的建设过程当中,应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性,如:校园网内部的服务器的访问,由于学生的访问的内容多样化决定,涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此处主要分析北京科技大学网络基础设施建设和网络运营方面相关的内容。北京科技大学校园网络建设从网络流量模型上看和企业网的流量模型相似,用户集中而网络流量大,但实际应用上还存在许多和企业网不同的地方。主要特点如下:1、 多出口的需求:典型的组网有中国教育和科研网(CERNET)出口和运营商网络出口。多出
7、口带来了以下两个需求:1) 多权限ISP需求。用户可通过不同的账号名或采用相同的账号,不同的域名认证,获得不同的上网权限。譬如做到用户不认证前能自由访问校园内部分服务器,采用“user163”登录,可实现Internet和校园网络自由访问,采用“usercrenet”登录,可访问CERNET和校园网。用户域名选择可通过WEB认证时用户通过选择WEB认证上的相应选择项进行选择。2) 多ISP分别计费的需求,对应不同的ISP,计费策略不一致。考虑到用户的以上的需求,需要在学校的内部提供不同的路由策略,即用户访问教育网的相关站点,通过CERNET的线路,而访问其他的网站如:新浪网、263等网站则选择
8、运营商的线路作为出口路由,这要求核心的交换机或出口路由器能够提供策略路由以支持该特性。2、用户管理的需求:1) 使用方便,存在WEB认证需求。要求能做到基于WEB的身份认证、多ISP选择、W用户费率查询、带宽动态调整(隐性需求)、多WEB界面(隐性需求)等。2) 需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。3) 对用户带宽进行控制的需求,要求设备能对用户的带宽进行控制,譬如限制为64K 、256K、512K、1M、2M、5M、10M等等级。3、多种教学方式并行的需求:随着校园网的信息化的发展,越来越的多教学方式依托于网络给学生提供多种的特色教学模式1) 多媒体教学。为了更好的为
9、学生提供全方面的教学资料,越来越的多学校在自己的内部局域网上面为学生提供多种教学资料,如:多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。2) VOD 点播业务实现,通过建立VOD视频服务器平台,利用交换机提供的组播功能,为北京科技大学的用户提供优质的视频效果,同时节省用户带宽。4、安全管理的需求:1) 校园用户接受新鲜事务的能力非常强,因此校园也成为黑客最多的场所之一,如何保障校园网络的安全成为建网时不得不考虑的问题,目前主要攻击手段有DOS,DDOS等2) 上网日志的需求,主要是配合公安机关保证社会的稳定和校园的安全6、组播业务的需求,特别是可控组播的需求将随着校园信息化的深入而
10、体现出来。7、华为网络负载均衡技术WebSwitch功能需求: 局域网负载平衡设主要用于实现服务器的高可用性服务(含校园网站的高可用性服务)以及内容分发服务中缓存服务器的负载平衡。数据中心通过提供网站高可用性服务,可以保证数据中心用户的前端应用系统的高可用性、高可扩展性和负载平衡,从而减少服务停顿时间,加强用户忠诚度和满意度。 1.2.2 北京科技大学建网需求北京科技大学校园网始建1998年,经过6年的不断发展,已经初具规模,成为学校教学和科研不可缺少的组成部分。为了加快北京科技大学信息化建设速度,学校决定改造校园网,提高校园网的性能,以满足学校广大教职员工和学生的网络需求。下面从校园现状和校
11、园网改造基本需求两方面进行介绍。一、 校园网现状l 校园网出口为独享交换100M光纤连到北京邮电大学,再与其它院校共享交换1000M网络带宽联到清华接入CERNET网。l 目前校园网主要可分为两个组成部分,一期ATM网络部分,主要通过主楼、综合楼、实验楼和图书馆4台3COM CoreBuilder7000设备组成622M AMT骨干环网,覆盖主楼、综合楼等10几个楼宇。后期千兆网络部分主要通过科技楼、新办公楼和新学生公寓1号楼内的3COM CoreBuilder9000、4007R和4007带三层交换的主干交换设备构成,以科技楼为核心,覆盖新办公楼、科技楼、51栋、逸夫教学楼、科技园以及新学生
12、公寓1号楼等楼宇。l 全校共布设3000多个网络信息点,已开设账户达7000多户。其中学生约5000户,教职工约2000户。l 目前我校千兆以太主干网线路连接情况:联接北京邮电大学的100M光纤接到校园网外部路由器(cisco3640)的交换100M外部接口,路由器内部接口亦为交换100M接口,它连线与防火墙的外部接口连线在同一个交换机上。防火墙是软件防火墙(checkpoint4.0),硬件操作平台为HPBL180工作站,它配有两个100M网卡,是透明式控制方式,防火墙的默认路由指向cisco3640内部接口地址,它的内部网口串接城市热点的计费网关,该网关是一个2U的硬件设备,配有两个100
13、M接口,一个接防火墙,另一个接校园网核心交换机(3com CoreBuilder9000)。具体连接参见北京科技大学网络拓扑图。l 目前校园网内部路由情况是:中心路由器为3COM CoreBuilder9000交换机,它的缺省路由指向防火墙的内部端口地址。还有3COM4007R、3COM4007、3COMNBII、CISCO2511和CABLE MODEM 设备CISCO 7223。其中CISCO路由器与中心路由器采用静态路由连接;其余的与中心路由器采用OSPF动态路由协议连接。l 目前校园网安全机制有:趋势服务器/客户端计算机病毒防治软件一套;邮件服务器防病毒网关一套,该病毒网关的采用金山防
14、病毒引擎。l 校园网现有管理软件为HP Open View 和3COMTracent。软件版本陈旧,功能老化,许多新的网络设备都无法测控。l 校园网中心服务器都接在核心交换机(3COM CoreBuilder9000)上。主要服务器及硬件平台信息如下表所示:服务器名称硬件平台操作系统WWWHP LH6000WIN2000 SERVER主DNSHP R380HP_UNIX辅DNSHP R380HP_UNIXE-MAILHP L2000HP_UNIXFTPHP L2000HP_UNIXOAHP N4000HP_UNIXORACLEHP N4000HP_UNIX计费自服务HP LH6000WIN20
15、00 SERVERDHCPHP E45WIN2000 SERVER网管HP B2000HP_UNIXl 目前校园网络运行状况:平均在线机数3500左右,校园网正常出口平均带宽30Mb/s左右。ATM网速度慢,校园网内部速度也不够快。访问CERNET速度一般,访问中国电信网速度较慢。二、网络改造基本需求l 结合我校要推行校园一卡通建设,及现有ATM网结构已完成历史使命的原因,我校决定将原有ATM网改造成千兆以太网。要求改造后的网络百兆交换到桌面,要做到与现有千兆以太网良好的有机结合,布局合理。原ATM网楼宇的信息点数大致如下表所示。楼宇名称信息点数楼宇名称信息点数主楼240文法楼24理化楼120
16、实验楼120图书馆240新教室楼96综合楼120金物楼144管理楼144计算中心24自动化所24逸夫馆48博士后楼24矿研所72北库24保卫处24院士楼48l 主干网部分要求分析出口带宽不高的原因,提高校园网出口带宽,最高出口带宽要达到90Mb/s以上,更换防火墙和外部路由器,外部路由器出口要有两个以上。l 网络改造采用何种品牌的设备不限,要求性能稳定可靠,功能齐全,性价比高,同时要与现有品牌的兼容,便于网络管理。l 今后几年内北京科技大学将有大批新楼宇建成,其中大部分是学生公寓,还有几座办公教学楼宇。届时校园网信息点将突破10000点。l 随着校园网规模的不断扩大,全网络安全问题变得更加重要
17、,需尽快采取有效措施,防止来自内网和外网的攻击,目前校园网已设病毒防治系统,还应配备入侵检测系统,主机漏洞检测系统以及防邮件垃圾等设施,防火墙应有DMZ方式控制,同时在校园网结构上进行调整,确保网络安全。l 提高网络管理水平,增加网络故障快速检测能力。l 校园网络应具备的其他功能(如:视频会议、远程教学、IP电话、资源共享等)。原ATM组网图如下所示:1.3 整体建网原则早期的高校校园网主要是共用内部教育系统主机资源,共享简单数据库,多以二层交换为主,很少有三层应用,存在 安全、可管理性较差、无业务增值能力 等方面的问题。现在北京科技大学校园网建设要实现内部全方位的数据共享,应用三层交换,提供
18、全面的QoS保障服务,使网络安全可靠,从而实现教育管理、多媒体教学、图书馆管理自动化,而且还要通过Internet实现远程教学,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。基于对北京科技大学校园网业务需求的深入理解,结合自身产品和技术特点,华为公司推出了了完善的北京科技大学校园网解决方案,为北京科技大学提供“可管理、可增值、可持续发展”的精品网络。北京科技大学网络建设遵循以下基本原则:高带宽北京科技大学网络是一个庞大而且复杂的网络,为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核
19、心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。可增值性北京科技大学校园网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。可扩充性考虑到北京科技大学用户数量和业务种类发展的不确定性,尤其目前按照20的配置方式,要求对于核心交换机与汇聚交换机具有强大的扩展功能,北京科技大学校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准,避免个
20、别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。 安全可靠性设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。2网络设计规范2.1 改造基本需求:总体来说目前北京科技大学校园网改造基本需求为:1 现有的ATM网络结构已经完成历史使命,希望能够改造到千兆以太网。2 主干部分出口带宽不高,内部上网比较慢3 学校新增应用系统如:“一卡通”、“安全监控”等应用系统的扩展4 校园网络其他功能的扩展(如:
21、视频会议、远程教学、IP电话、资源共享等)。5 提高网络管理水平,提高网络的故障快速检测能力。6 对于学校不同应用(校办、学籍管理等)的规划。2.2 总体改造结、构业务设计:1) 主流的网络体系结构北京科技大学校园园区面积很大,从目前的情况看来对于学校新增校区的信息点的接入,按照传统的星星结构的方式将会在学校内部产生大量的布线等工程而引起的施工等问题,为了解决因布线而产生的不必要的工程问题,在网络的最初布线过程当中应当充分考虑到学校后期的新大楼的信息点的接入问题。因此要求能够提供主流的网络体系结构。华为3com针对北京科技大学校园网的建设为用户量身设计网络体系结构,根据目前北京科技大学的网络现
22、状,结合学校内部的整体建筑结构,建议在学校选择几个信息点数相对教密集的地方分散性的构建骨干节点,对于原有的几个骨干节点考虑到重新布线带来的工程问题,建议保持不变,全校以学生公寓、综合楼、图书馆、主楼、图书馆、实验楼、科技楼、采矿楼、办公楼为主节点,就近形成环行网,对于新增大楼的信息点可以选择就近的接入点接入从而尽可能的减少因信息点的新增而带来的施工问题。2) 对于用户上网类型的区分。目前北京科技大学校园网整体的上网用户群复杂包含:学生、教职工、三产公司、物业管理等各方面的需求所以在实际的网络规划过程当中应当充分考虑到相关问题,在实际的应用过程当中应当格局具体情况进行区分,各用户群的访问控制应提
23、前设计好网络规划的情况。下面对不同用户的上网规划进行区分分析规划1 教职工上网对于在校教职工的上网的需求可以分为两种情况:在学校上班时所使用的网络,对于家里家属上网的情况。教职工在学校上班的情况。考虑到老师需要使用办公软件工作同时又需要对外网的相关信息进行查询所以建议老师上班的时候既可以对外网进行访问又可以通过内网实现办公。考虑到外网的安全隐患较多,可以在出口交换机上通过ACL列表的形式来禁止外界用户访问内部网络,这样可以完全的防止外界非法用户的进入。教职工家属上网情况。考虑到教职工在家里上网存在上外网和上内网两种情况,因此对于上外网的情况可以采用直接接入的情况,对于教职工在家里访问学校内部资
24、源的情况可以采用通过VPN的方式进行接入,并分配给每个老师一个帐号这样可以实现老师安全的访问学校内网资源。2 学生上网考虑到学校内网相关资源的安全性问题,建议学生用户上网只能够访问外网资源,同时考虑到高校学生技术水平较高,“好动”学生较多因此在学生宿舍区的管理上可以采用多种方式如:IP端口的绑定、Proxy的限制、或是限时上网等手段进行管理。3 学生与老师共享资源对于学生与老师的共享资源部分,如:电子课件、图书馆资源、多媒体教学课件等可以采用设置单独服务器群的方式进行资源的共享,同时在核心交换机上通过设定不同的ACL策略来实现不同用户的访问接入。4 三产公司等内部校办企业。对于三产公司等用户的
25、资源的访问,学校可以根据用户可以访问的资源在核心交换机上通过ACL的进行访问权限的限制,对于每个单位群体可以单独通过1个VLAN id号码进行接入,以实现安全隔离以及内部互访的需求5 物业管理等部门的访问。对于物业管理等相关部门的网络访问,对于内部外租写字楼等部门可以直接建议只允许访问外网,而不允许访问内部校园网的资源。学校内部用户也不允许通过校园内部网访问三产公司的相关资源以上是对于不同类别用户的上网方式的划分,这样既可以解决相关用户的上网需求又可以提高整网的安全性,进而提高整个网络的稳定性、可靠性。3) 应用系统的需求。根据目前学校的需求,北京科技大学应用系统的需求主要分为以下几点:行政系
26、统应用(校办、财务等)、学籍管理系统(学生处)、一卡通(饭卡、取款卡的统一)。针对学校的行政系统考虑到安全性要求较高可以采用对与行政系统的应用只对部分学校用户开放,设置单独的VLAN,以实现安全隔离,对于学籍管理系统也可以同样采取这样的方式来进行管理设计。对于一卡通的改造可以采用设置单独的VLAN,同时为了保证一卡通的带宽可以在全网当中的设备设计单独的Qos实现全网的带宽保证。4) 未来的会议电视、视频会议的支持IP网络的发展迅猛,越来越多的应用被搬到了以太网上,因此此次北京科技大学的网络整体设计需要考虑到未来的视频会议以及流媒体等相关的应用的扩展。华为核心交换机以及出口路由器均支持强大的Qo
27、s功能,可以实现按不同端口、不同业务进行Qos的设定从而实现全网对于视频、IP电话的支持。5) 网络的安全。网络的安全是网络最为重要的一个方面,在北京科技大学网络设计方案当中应当充分考虑,对于监控方面的安全措施,可以采用直接提供单独光纤给监视设备。应用系统安全方面为防止外来以及内部的攻击可以采取多种的安全措施来解决。内部在出口部分设置防火墙防止外部的攻击,同时对于服务器群可以采取设置DMZ区来有效的隔离外界攻击。同时配置IDS入侵检测设备来防止外界的基于应用层病毒等攻击。对于学校内部的攻击可以采取对于学生等群体的接入层采用IP地址、VLAN、MAC、端口等五元组当中的任意三元组的绑定,以防止内
28、部的ARP、IP地址欺骗等相关攻击。2.3整体网络设计规范综上所述北京科技大学的校园网改造整体网络设计应遵循以下设计规范:从图中可以看出北京科技大学校园网的设计规范可以分为以技术规范和管理规范,从管理规范上来说可以分为应用层、网络层、物理层;从技术规范上来说,在不同的管理层上都要求对应的技术做支撑,整个网络的设计都要求能够有较好的安全性和可管理性。1 从技术规范上来看在物理层要求具有合理的光纤布线方式。从学校的地理分布的信息点的多少来设定固定的骨干节点,同时将各骨干节点链接形成环行和星型网络的混合型组网如下图所示:图中可以看出,学校的8个骨干节点在校园内部构成了两个环网,外测为大环,内侧为小环
29、,不同颜色的区域内部如果建设新大楼或是新增信息点都可以选择最近的骨干节点接入,从目前的地理分布来看学生公寓负责接入的地理领域较为广泛,建议在学生公寓北部,增加光收发模块,以避免后期在该处增加节点而引起施工问题。2 对于目前主流技术的支持。考虑到网络的发展非常迅猛,因此在建网的过程当中要求充分考虑到网络的可扩展性以及相关前沿技术的支持性,从目前网络的规划,要求核心采用万兆主干网的方式,要求对于目前的主流交换机技术如:万兆、IPv6、MPLS VPN等技术均能够支持,同时考虑到对未来的语音视频的支持要求能够提供良好的Qos保障能力。3 整体网络应用层的支持以及相关业务区分。北京科技大学整体校园网的
30、建设是一个复杂的多业务、多需求的网络因此在网络的建设过程当中应当正对用户的不同需求给出针对性的解决方案,总体业务流程如图所示:从图中可以看出整个校园网内部的不同用户的业务访问流程示意图,下面分别描述:1 家属区用户上网只允许访问外网的信息,对于老师在家里访问学校内部校园网资源的情况,可以在老师与出口路由器之间建立VPN通道通过用户名密码认证作为安全的手段2 学生上网只要求访问外网的信息,对于校内的部分资源可以向学生开放。3 教职工具有同时内网外网访问的权限,而外网无法访问内网信息,可以在核心交换机上通过ACL来进行设定,以提高网络安全性4 学校一卡通接入点可以设置单独的VLAN,并设定独立的Q
31、os策略,提高一卡通用户的安全性和可靠性。5 财务、学籍管理等重要部门可以在校内通过划分VLAN的方式进行安全划分,同时严格与其他部门做逻辑隔离。6 安全监控部门可以采用拉独立光纤的方式作为全网的监控点的链接。7 出差人员如果要求访问学校内部资源可以采用VPN 的方式进行接入,同时给用户用户名密码,作为认证手段。3总体网络设计3.1ATM网核心改造组网描述北京科技大学校园核心层解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。组网图如下所示:从图中可以看出,此次改造采用将原有的3COM
32、的CB7000替换,同时主干采用万兆的带宽以扩大校园骨干网的带宽,同时在节点与接入层之间直接将原有的155M带宽升级至千兆带宽,进而实现千兆到楼层百兆到桌面的设计。图中楼宇之间的布线均采用千兆单模光纤互联实现千兆到楼层,楼内布线均采用六类线实现百兆到桌面的设计思想。根据原ATM网的整体网络架构,基本上可以分为四个节点,包括主楼节点、图书馆节点、综合楼节点、实验楼节点,根据各个节点的信息点的接入设备的数量以及相关的流向分析,建议不同节点采用不同档次的设备,其具体流量分析如下:节点流量分析从图中可以看出,目前在目前需要改造的网络当中图书馆以及主楼两个节点下接的信息点数较多,因此在网络的实际的应用的
33、过程当中建议将该两个节点设置为骨干节点,采用性能较高的设备,因此建议在图书馆以及主楼节点采用华为S8505万兆核心交换机作为该骨干节点的设备。图书馆节点组网图如下所示:图书馆节点采用S8505核心交换机作为整个节点的核心交换机,其采用星型结构分别与下属的6个接入点相连,接入点有:院士楼、博士后楼等接入点较少的地方可以直接采用1台华为E026SI或E050设备采用千兆模块直接与核心相连,对于新教室楼、矿研楼等信息点数较多的地方可以采用接入层交换机E050、E026-SI堆叠的方式以扩大信息点的数量。图书馆内部信息点的接入均采用千兆电接口的方式进行接入,楼宇之间的互联均采用千兆单模光纤实现互联。主
34、楼节点组网图:主楼节点与图书馆节点部分基本类似图书馆节点, 组网图如下所示:主楼节点主要负责保卫处、自动化所、理化楼、计算中心、金物楼、管理楼、文法楼7个点的接入,完成各节点之间的相互访问,其三层互通由主楼中心节点S8505三层交换机完成互通。整体组网说明:解决方案网络分为三个层次,核心层、汇聚层、接入层。为实现校区内的高速互联,核心层由图书馆节点、主楼节点构成,对于这两个节点的接入是采取二层的组网方式,其汇聚层的减少大大降低了网络当中在汇聚层有可能会产生流量瓶颈的问题。对于实验楼与综合楼的接入可以考虑到这两个节点处信息点数量较少,可能存在的流量相对较少,建议采用S6506R核心交换机作为该节
35、点的核心设备,同时与主楼、图书馆处的核心交换机S8505相又构成了三层的网络。园区骨干网的组网主要是在主楼、图书馆、综合楼、实验楼四个节点构成环行网络采用动态路由协议OSPF,环网的构成进一步大大提高了网络的可靠性,同时华为S8505万兆交换机其750G背板容量进一步满足大型节点高数据量转发的特点完全满足骨干节点的需求,整个改造后的ATM网络与校园网核心交换机之间采用10GE的带宽相连大大扩大的原有的带宽,原校园网核心交换机CB9000可进一步使用S8512替换,同样采用10GE接口与改造后的ATM网相连进一步扩大骨干网的带宽。进而提升整网的可靠性以及高带宽性,对于未来业务的扩展有更好的支持。
36、3.2以太网核心交换机改造组网描述网络运行问题分析:目前北京科技大学网络的整体运行较慢,以太网目前的核心网络组网如下图所示:原因分析:1) 核心出口串连引起拥塞,从目前的核心出口部分可以看出,在出口部分有设备:防火墙、计费主机、出口路由器三个设备,均为百兆因此上行流量在经过每一台设备的时候都会产生不同程度的带宽浪费因此实际上真正出口的流量将无法达到百兆的线速带宽,因此将会产生一定的出口流量的影响,因而将会进一步影响出口的带宽。计费主机部分因为要处理大量的计费、认证信息将会进一步影响带宽。由于出口防火墙为软件防火墙,其处理的速度依赖于主机的性能以及软件平台的处理因此在防火墙处也同样存在这严重的带
37、宽瓶颈。2) 核心设备CB9000的带宽瓶颈由于根据前期的用户反映在CB9000以上测试带宽的可以达到很高,但在CB9000以下测试出口带宽无法超过30M的带宽,在核心交换机CB9000上可能会存在严重的瓶颈,从整个组网结构上来分析,不难看出CB9000其承担着科技楼内部的三层交换以及出口流量的接入,同时还承担着学生宿舍区的出口流量的接入、办公楼出口流量的接入以及原ATM网的出口流量的接入因此其承担的流量非常大,从目前看来CB9000核心交换机的转发性能已经无法满足整个校园网核心的要求,再加上对于原有的ATM网进行改造以后也无法实现万兆的接入,改造核心势在必行!改造后的校园核心网络:由于改造后
38、Cernet的出口为100M出口再加上Inernet(网通运营商)出口总带宽已经完全超过100M带宽因此出口路由器以及防火墙等设备接口需要更新进一步扩大出口带宽减少网络瓶颈。其整体组网图如下所示:如图所示,改造后核心交换机采用S8512核心交换机作为整个校园网络的核心交换机,出口路由器以及防火墙均采用千兆GE方式进行组网,考虑到要与改造后的ATM网相连建议核心交换机通过10GE接口分别与改造后的ATM网的图书馆节点、主楼节点相连进而进一步扩大主干的带宽。同时考虑到网络中心处安全性的要求可以在核心采用一台S5024作为服务器群的接入交换机同时可以形成ZDM(停火区)进而提高网络的可靠性,计费系统
39、的带宽要求进一步提高,以防止其成为全网的带宽瓶颈。核心交换机S8512其强大的性能完全可以承担北京科技大学整个校园网的核心交换机,背板容量1.8T,包转发率432Mpps,其丰富的接口类型以及高密度的单板完全可为用户提供强大的扩展空间。Eudemon200专业防火前其强大的性能以及丰富的业务特性可以配合华为S5024实现DMZ区进而提高网络中心的可靠性,Eudemon200可提供千兆光纤接口,同时可提供千兆线速NAT转换。出口路由器NE05包转发率高达1.6Mpps同时可提供丰富的业务特性如:IPV6、策略路由、IPsec、L2tp、MPLS VPN等满足用户的不同需求。对于原有的CB9000
40、核心交换机可以采用的将其下移至作为科技楼的汇聚层交换机,这样对于科技楼内部的三成互访完全可以直接在CB9000汇聚层交换机上来完成,进一步减少网络核心交换机S8512的压力以提高整个网络的网络带宽。3.3接入层设计方案此次接入层建议采用华为3com公司 E050/E026-SI接入层交换机作为学校的接入层交换机。E050/E0260-SI接入层交换机具有固定的48/24个10/100M自适应的以太网接口同时具有两个扩展插槽,支持各种类型的上行接口,支持堆叠,所有端口全部实现速转发。华为E系列接入层交换机具有强大的业务特性,可以支持256/128个标准的VLAN,并能够提供强大的业务功能:如80
41、2.1X认证、IP地址绑定、动态ACL、动态Vlan、防止Proxy等功能。3.4整体设计说明 北京科技大学网络建设是要求从北京科技大学实际的应用出发,考虑到整体校园网数量大、上网时间集中、突发流量较大等因素,华为3com在实际的在建网的过程当中遵循了以下几点要求:1) 万兆核心节点交换机S8500:因北京科技大学校园网流量较大因此在建设的过程当中,应当充分考虑到核心交换机的交换性能,以及转发性能,华为3com S8512万兆核心交换机具有14个插槽,12个业务插槽,具有强大的可扩展性。S8512全分布式的处理方式,所有端口线速转发,背板容量1.8T,包转发率432Mpps,最大可以支持290
42、GE的线速转发,可以为用户提供强大的三层交换功能。S8505万兆核心交换机对于图书馆、主楼等节点完全可以满足用户的需求,其750G的背板容量以及丰富的接口单板完全可以满足未来业务扩展的需求。同时对于万兆接口、IPv6等新技术均支持。2) 千兆核心节点交换机S6506R:对于综合楼、实验楼等相对信息点数量较少的节点可以采用S6506R核心千兆交换机作为节点设备,华为3comS6506R核心交换机背板容量128G,包转发率48Mpps完全可以满足节点的要求,同时考虑到后期节点数量有可能会进一步扩大,华为S6506R有6个业务插槽可支持高密度GE接口板,完全可以满足用户的扩展需求。对于未来主干的升级
43、,华为S6506R可平滑升级到万兆骨干,因此用户无需对于该节点的进一步扩展而担心。3) 出口路由器:考虑到北京科技大学的公网出口有两个,用户根据不同的目的IP地址而选择不同的出口线路;因此要求出口路由器具有强大的策略路由的功能,以及基于硬件的ACL列表功能,华为NE05 高端路由器,具有强大的路由功能以及业务功能;最多可以支持20万条BGP路由;每块接口板可以支持5K条策略,完全满足复杂的骨干网节点以及大型局域网的出口路由的需求。可支持强大的策略路由功能,支持硬件的ACL列表,支持IPV6技术。4) 接入层交换机:华为E系列接入层交换机是针对教育行业特点量身定做的交换机,具有丰富的业务特性,其
44、强大的业务特性以及高性能完全可以满足用户的需求,针对北京科技大学校园网的建设可以采用E026SI 24口交换机和E050 48口交换机灵活堆叠满足不同信息点的需求。5) 千兆硬件防火墙:考虑到原出口防火墙为软件防火墙,其在网络当中将会存在严重的瓶颈,因此在此次网络的改造过程当中建议将出口部分的防火墙进行改造,采用Eudemon200应将防火墙取代原出口部分的软件防火墙以进一步提高出口部分的处理能力,华为Eudemon200硬件防火墙采用专业的硬件ASIC芯片实现出口数据的硬件的处理,而不会因为业务的繁忙而影响其处理性能,从而到大大提高了整个网络的安全性以及高性能性。6) 网管平台。华为Quid
45、View系列产品支持统一的网管平台,通过华为Quidview网管软件可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。3.5业务流量说明业务流量流程如下图所示:1) 不同用户访问公网:用户在访问不同的网站的时候,出口路由器将会根据用户的目的IP地址来做不同的策略路由器,选择不同的运营商来进行公网的访问,出口路由器根据用户的访问策略进行策略路由,如图所示:不同的ISP用户(网通、Cernet)在经过NE05的时候,NE05会根据用户所在的ISP服务商来做策略路由,将用户送到自己选择的出口线路上。2) 校内三层互访:对于同在一个校园内部的学生之间的互访可以直接通过局域网的内部交换
46、机来完成内部之间的互访,如图三层互访示意图所示:对于同属于一个汇聚层交换机S6506R下的用户,两个用户之间的互访可以直接在汇聚层交换机S650R上来完成,而对于跨汇聚层交换机的用户只见的额互访可以通过核心交换机S8512来完成,S8512强大的三层交换功能完全可以胜任任何突发流量以及高集中用户上网时段的三层交换,为用户提供高速高带宽的用户接入。3) 基于流攻击的防止。华为3com所采用产品NE05、S8512、S6503等三层转发模式均为最长路由匹配技术。这样就可以避免校园网内外的非法用户利用专门的攻击软件进行的一些基于流的共计,因为这种攻击是通过不断变换自己的本网断内的IP地址,来不断消耗
47、主控处理板的CPU处理能力,直到彻底使主控处理板的CPU丧失处理能力,整个机器瘫掉。S8512是根据最长匹配来查找路由的,是针对网断进行路由的。所以当攻击者进行攻击时,不会造成S8512业务能力处理下降,对于整机没有影响影响。这是我们选则S8512的作为核心交换的非常重要的原因。3.6华为北京科技大学解决方案特点:华为北京科技大学教育网组网解决方案的优点有以下几点:3.6.1 完全的分布式的处理方式S8512为用户提供完全的分布式的处理方式,北京科技大学的校园网内部的数据量是非常大的,因此主交换机是否能够做到线速关系到整个网络的是否会发生拥塞。华为S8512背板交换容量1.8T够做到所有GE接口的双向的线速,华为公司的S8512的性能指标是经过完整的测试,而业界厂家在指标宣称上面往往与给最终提供给用户的不一致。而用户又由于测试仪器的限制无法确认实际配置的性能,这一点在华为公司是绝对不会出现的。针对用户要求在实际的组网方面采用户为的12GE接口板提供高速的双向的线速的速率,完全不会产生带