《某大学校园网络建设方案建议书-华为公司内部培训设计资料.pdf》由会员分享,可在线阅读,更多相关《某大学校园网络建设方案建议书-华为公司内部培训设计资料.pdf(152页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、XXX大学校园网络建设方案建议书华为3com华为3com技术有限公司2005年 8 月XXX大学校园网络建设方案建议书华为3com目 录1.概述.51.1校园网建设背景.51.2 传统校园网络向下一代校园网络的转型.61.3 XXX大学YYY校区建网需求分析.91.3.1 一般建网需求.91.3.2 XXX大学YYY校区建网需求.II1.4 整体建网原则.122.XXX大学YYY校区网络整体设计综述.143.局品质IP核心网设计.163.1核心汇聚骨干网络设计.163.1.1 骨干网络架构的选择.163.1.2 XXX大学YYY校区骨干网设计.223.2 校园网出口功能设计.264.智能弹性接
2、入网络设计.354.1利 用 IRF技术实现可弹性扩展的接入网络.354.2利用三层到桌面的特性分担整网压力.445.安全可漫游可计费的WLAN解决方案.465.1概述.465.2 需求简析.465.3 网络建设方案.485.3.1 无线网络基础方案.495.3.2 覆盖解决方案:.535.3.3 室外覆盖.545.3.2 覆盖效果计算依据.556.安全渗透网络设计.576.1 骨干层安全防护.596.1.1IDS与防火墙、交换机联动保护核心数据和内部网络.596.1.2核心、汇聚交换机强大内置安全特性.606.1.3IPS技术进行深度安全防御(提升性方案).616.2 基层网络安全.626.
3、2.1 EAD端点准入防御.626.2.2 接入层交换机的内置安全特性.667.XXX大学语音视讯融合应用设计.697.IIP 电话系统建设.697.1.1 建设原则.697.1.2 XXX大学语音系统实施步骤.707.1.3I P 电话系统设计.717.1.4X E 的部署.767.1.5语 音质量与QoS部署.777.2视讯系统建设.807.2.1 视讯建设需求.807.2.2 华为3com 视讯系统简介.80机密文件2XXX大学校园网络建设方案建议书华为3com7.2.3 视讯组网方案.827.2.4 视讯系统的常用功能.838.XXX大学YYY校区网络系统综合管理.878.1 针对网元
4、和基础网络平台的管理.878.1.1 网元的管理需求.878.1.2 典型校园网解决方案.888.1.3 多厂商网络的管理.918.1.4 统一网管集成方案.918.1.5 Quidview 统一网管方案.928.2 针对用户身份权限和计费运营的管理.948.2.1 校园网用户认证管理需求分析.948.2.2 校园网用户管理认证方案概述.958.2.3 业务认证、授权管理描述.968.2.4 CAMS对用户上网认证的管理.998.3 网络状况与用户行为的审计管理.1138.3.1 用户行为审计技术.1148.3.2 华为3com 用户行为审计解决方案.1159.校区互联方案设计.1199.1
5、校区互联需求.1199.2 校区互联难点.1199.3 互联方式的选择.1209.4 互联方案.121*5 5.L耳Uljh1 110.IPv4/v6地址与路由方案规划.12410.1 IPv4地址规划.12410.2I Pv4路由规划.12610.3 IPv6网络规划.12710.3.1 IPv6 的优势.12710.3.2整 体设计.12810.3.3 IPv6运行模式设计.12910.3.4 XXX大学YYY校区IPv6网络技术的选择.13111.组播与QoS优化方案.13211.1 组播业务.13211.2 QoS 优化.13312.特殊功能子网的建设.13812.1 图书馆VPN远程
6、访问子网建设.13812.1.1 高校数字图书馆的应用需求.13812.1.2 校园网远程访问技术.13912.1.3 华为3Com高校电子图书馆远程访问方案.14312.1.4 如何保证高校电子图书馆远程访问的安全性.14412.2 多功能实验室子网建设.14612.2.1 典型实验室建设参考.14612.2.2 远程开放实验室建设.14912.2.3 面向下一代网络的多业务实验室意义所在.150机密文件3华为3comXXX大学校园网络建设方案建议书附录A 华为3com成功案例(略).152附录B 华为3com服务与培训计划(略).152附录C 华为3com公司简介(略).152附录D 本项
7、目项目产品介绍(略).152机密文件4华为3 c o mXXX大学校园网络建设方案建议书1.概述1.1校园网建设背景2 0 0 4年1 2月,中国互联网络信息中心(C N N I C)在 京 发 布“第十四次中国互联网络发展状况统计报告”。报告显示,截止到20 0 4年1 2月3 1日,我国上网用户总数为94 0 0万,比去年同期增长27.9%,上网计算机达到4 1 6 0万台,同比增长 率1 4.6%;截止到20 0 4年1 2月3 1日,我国国际出口带宽的总容量为7 4 4 29M,与半年前相比增加了 20 4 8 8 M,增长率为3 8.0%,和去年同期相比增加1 7 3.5%,是1 9
8、97年1 0月第一次调查结果25.4 0 8 M的2929.4倍;C N下注册的域名数、网站数分别达到4 3万 和6 6.9万;94 0 0万网民当中,教育的用户占有1 3.0%,教育用户当中绝大部分的网民主体是来自于学生用户,报告中主要数据说明,前十年的发展取得丰硕成果,我国互联网事业正在持续快速的发展,并在普及应用上进入崭新的多元化应用阶段!互联网的影响正逐步渗透到人们生产、生活、工作、学习的各个角落。同时,随着国家信息化工作的深入开展,提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键,尤其是高校校园网建设。在信息化的建设过程中,它的作用体现在如下儿个方面
9、:1、校园网能促进教师和学生尽快提高应用信息技术的水平;信息技术学科的内容是发展的,它是一门应用型学科,因此,为了让学生学到实用的知识,必须给他们提供一个实践的环境,这个环境离不开校园网。2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库,所以校园网是学校进行教学改革、推行素质教育的种必不可少的工具。3、校园网是学校现代化管理的基础,深入、全面的学校信息管理系统必须建立在校园网上。4、校园网提供了学校与外界交流的窗口,学校应将校园网与互联网联接,这也是学校信息化的要求,做到了这一步,通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。机密文件5华为3comxxx大学校园网
10、络建设方案建议书教育即未来,作为国家最重要的战略工程,如何应用信息技术改造我们传统的教学和管理手段;如何加深学生对于信息化和信息技术的理解与了解;如何造就同时具备传统和信息双重文化的一代新人,已成为教育界当前最为紧迫的任务之一。信息技术的应用,势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑,并将全身心地为之努力。1.2传统校园网络向下一代校园网络的转型网络技术的发展已经深深影响了我们工作与生活,今天我们正享受着网络为我们带来的种种便利。您可曾想过未来的网络是什么样?无数专家学者为我们描述了美好的前景,究其本质是网络应用极大发展,为我们工作与生活的方方面面服务,一切都离不开网络,
11、总之是一个真正的数字化时代。为了迎接这样一个时代,校园网络做好准备吗?应该看到校园网络发展到今天已经遇到了巨大的挑战,网络的建设是为了上层应用服务,在现有的模式下,应用与基础网络平台仍然是以两个完全断裂的物理层面而存在,传统校园网络的功能缺陷正制约着应用的进一步发展,主要表现在:1、随着各种应用的日渐丰富,在现有网络资源的前提下,业务部署与网络资源的匹配矛盾日益尖锐,很难通过灵活有效的策略调整实现业务与网络的充分融合,用户对业务的体验感不佳,同时,新增业务的高效部署也使网络管理者面临巨大压力;2、网络平台缺乏智能性,与应用无关简化了网络的部署但同时无法对应用的细化进行有效支撑,不能够进行端到端
12、的高质量数据传输,这将导致网络资源的利用率极为低下,网络的建设、运营、管理成本大幅度上升;3、安全策略部署缺乏整体性和有效性,网络中的安全设备、部件多而庞杂,而各组件孤军作战,往往是传输安全、网络安全、数据安全、业务安全层面分离,难以有效兼顾,形成协同作战的能力;4、网络的管理控制功能薄弱,管理控制点分散,业务控制与网络控制缺乏相应的应用程序接口,业务应用层面与基础网络层面完全断裂,无法实现从业务到网络的系统化构建。机密文件6XXX大学校园网络建设方案建议书华为3com5、网络策略及业务策略部署灵活性偏差,导致网络及业务扩展能力下降,无法满足未来的种种新增应用高效部署与实现。如何创建一个灵活、
13、高效、集成的业务融合校园网络架构,已引起业界的共识。华 为3Com公司针对网络建设需求及现状提出下一代教育网络N G e N (N e x tG e n e r a t i o n e d u c a t i o n-N e t w o r k )的建设模式。NGeN是基于IP分组技术而不断演进的智能、安全、融合、可控的集成平台。以业务应用为主体,以完善的智能网络技术、立体安全技术和灵活的资源策略调度为基础,以高效管理控制为手段,面向行业用户提供端到端的高度融合的数据、语音、视频等多服务通信能力的网络实体。华 为3com公司从用户业务应用与网络、安全、管理的协作关系,将NGeN网络框架划分为四
14、个功能模块,分别为业务应用模块、管理控制模块、自适应基础网络功能模块、立体安全模块。1、自适应基础网络模块:与传统的网络层次模型不同,自适应业务网络模型不是一种流量模型(流量无法区分业务),而是一种业务模型(端到端业务保证)。它由高品质IP核心网及弹性智能接入网两部分组成。通过对关联内容的动态业务感知、控制、调整,以及网络设备、安全设备、管理系统之间的有机联动,保障网络资源的动态调整,实现对业务应用端到端的自适机密文件7华为3comLXXX大学校园网络建设方案建议书应功能。对于校园网,正如所有人关心的高品质的IP核心网一直都是规划重点,NGeN模型不仅仅关系核心网的高可靠性、核心设备之间的高带
15、宽,更关心它的各种业务流的高品质传送、高品质业务保证、业务高安全、业务高可靠、业务高性能可扩展、业务可管理可优化,比如万兆以太网技术部署到汇聚的解决方案。而智能弹性接入网对于校园网的重要性则包含了网络容量、网络性能的弹性扩展能力,业务的识别感知,用户身份的感知。比如我们将三层网络直接部署到桌面,避免核心网的性能压力;比如通过IRF技术实现单点设备逐步投资、平滑升级的方案,通过多种用户属性识别用户,并根据管理控制模块的策略限制其网络权限。这一点对于“不安分”的学生用户群尤为有效。2、管理控制模块:作为一个承上启下的模块,由基础网络管理中心、资源调度中心、业务管理中心、安全策略中心、用户管理中心、
16、媒体控制中心组成,所有管理控制中心以模块化的形式可任意的拆分与组合。每个管理控制中心提供开放的API接口,水平层面进行各管理控制中心间的联动,向上为业务应用模块的各类业务应用提供策略控制,向下通过调用自适应基础网络模块的资源响应业务应用对网络资源需求,实现业务应用与网络的高度融合。网络设备业务功能再出色,也只能作一个四肢发达头脑简单的人,而 有 着“大智慧”的网络,一定是依靠丰富强大的管理策略来实现的。而在校园网中,需要我们用智能管理手段来管理的内容远多于其他类型网络。从教学区到宿舍区,到办公区,再到实验室,每个区域的网络用户需求与行为都有很大不同,而网络资源不可能无限保障这样的需求,所以我们
17、要通过资源调度对各类网络进行协调,充分提高网络使用效率。3、业务应用模块:业务随用户需求而部署,强调业务实现的灵活性,通过的用管理控制模块的功能,对业务的实现提供最优化的保障,无论自适应基础网络、管理控制还是安全的联动,对于业务应用层均为透明。4、立体安全模块:作为与自适应基础网络模块、管理控制模块、业务应用模块垂直交叉的立体安全策略,从网络层次、时间和空间三个纬度,通过融合设备安全联动、线路安全保护、网络安全防御、用户安全控制、数据及业务安全控制等多个组件,向用户提供全方位、立体化的端到端集成安全防护和安全机密文件8华为3comx x x 大学校园网络建设方案建议书服务。随着校园网基础设施建
18、设的相对成熟,越来越多的管理者感觉到网络安全问题日趋加剧,安全问题不仅在原来校园网出口,更是在内部子网之间,内部用户之间。比如盗用、代理、私 设 DHCP、病毒,隐患几乎无处不在,所以我们需要把安全控制的技术“渗透”到校园网的每一个环节、每一个终端用户面前。网络中部署的安全设备不应只是一个门卫,而是组成一个统一管理的“人民战争”系统,可部署联动策略。校园网的管理中最让人头疼的就是人的管理,通过用户管理中心可以对其身份鉴权、授权,更要对其进行行为审计。华 为 3Com希望能够通过N GeN的不断完善,以最低的成本,建设智能高效、安全易用的融合网络,实现端到端高质量全业务融合与个性化定制,充分提高
19、我国教育产业的核心竞争力。N G e N 中的具体技术点以及在校园网中如何得以部署,本建议书将在下面按照N G e N 的构建思想、组成模块一一作出针对性的设计,以先进、合理的解决方案,优质的服务和X X X 大学用户共同迎接下一代教育网络的挑战。1.3 XXX大学YYY校区建网需求分析1.3.1 一般建网需求XXX大 学 YYY校区的网络的建设主要是对于原校园网络的改造,改变原有校园网的带宽较小、性能低等原因。在实际的建设过程当中,应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性,如:校园网内部的服务器的访问,由于学生的访问的内容多样化决定,涉及到基础网络设施的建设和业务应用平台建设
20、两个不同的层面。此处主要分析XXX大 学 YYY校区网络基础设施建设和网络运营方面相关的内容。XXX大 学 YYY校区校园网络建设从网络流量模型上看和企业网的流量模型相似,用户集中而网络流量大,但实际应用上还存在许多和企业网不同的地方。主要特点如下:1、多出口的需求:典型的组网有中国教育和科研网(CERNET)出口和运营商网络出口。多出口带来了以下两个需求:机密文件9华为3comXXX大学校园网络建设方案建议书I)多权限ISP需求。用户可通过不同的账号名或采用相同的账号,不同的域名认证,获得不同的上网权限。譬如做到用户不认证前能自由访问校园内部分服务器,采 用“u s e r 1 6 3”登录
21、,可 实 现In t e r n e t和校园网络自由访问,采 用“u s e r c r e n e t”登录,可访问CER N ET和校园网。用户域名选择可通过WEB认证时用户通过选择WEB认证上的相应选择项进行选择。2)多ISP分别计费的需求,对应不同的ISP,计费策略不一致。考虑到用户的以上的需求,需要在学校的内部提供不同的路由策略,即用户访问教育网的相关站点,通 过CER N ET的线路,而访问其他的网站如:新浪网、2 6 3等网站则选择运营商的线路作为出口路由,这要求核心的交换机或出口路由器能够提供策略路由以支持该特性。2、用户管理的需求:1)使用方便,存 在WEB认证需求。要求能
22、做到基于WEB的身份认证、多ISP选择、W用户费率查询、带宽动态调整(隐性需求)、多WEB界面(隐性需求)等。2)需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。3)能够实现全网的安全管理,包括:IP、M A C的盗用问题、防止接入用户的非法DHCP Se r v e r、Pr o x y等用户。4)对于用户的上网行为能够实现实时的跟踪以及时候的追查。5)对用户带宽进行控制的需求,要求设备能对用户的带宽进行控制,譬如限制为 6 4 K、2 5 6 K、5 1 2 K、IM、2 M、5 M、1 0 M 等等级。3、多种教学方式并行的需求:随着校园网的信息化的发展,越来越的多教学方式依
23、托于网络给学生提供多种的特色教学模式1)多媒体教学。为了更好的为学生提供全方面的教学资料,越来越的多学校在自己的内部局域网上面为学生提供多种教学资料,如:多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。2)V0 D点播业务实现,通过建立V0 D视频服务器平台,利用交换机提供的组播功能,为XXX大 学Y Y Y校区的用户提供优质的视频效果,同时机密文件10华为3comXXX大学校园网络建设方案建议书节省用户带宽。4、安全管理的需求:1)校园用户接受新鲜事务的能力非常强,因此校园也成为黑客最多的场所之一,如何保障校园网络的安全成为建网时不得不考虑的问题,目前主要攻击手段有DOS,DDOS
24、等2)上网日志的需求,主要是配合公安机关保证社会的稳定和校园的安全6、组播业务的需求,特别是可控组播的需求将随着校园信息化的深入而体现出来。1.3.2 XXX大 学 YYY校区建网需求XXX大学YYY校区网络和NGeN的发展都将是一个较长期的过程,在NGeN模式下,XXX大 学 YYY校区网络的建设区别于传统的仅仅按照流量模型的建网方式。基于多年服务广大教育用户的经验,华 为 3com 认为下一代XXX大 学 YYY校区网络除应具备NGeN模型智能、安全、融合、可控四大特征之外,还应满足五个方面的特定需求。第一,下一代教育网要具有更“高”带宽,如采用万兆核心和汇聚,百兆/千兆到桌面。实际上,很
25、多高校已经按照这一模式建设网络了。这是因为校园网的业务越来越丰富,带宽要求越来越高。第二,下一代教育网要求“全”设备。校园网的丰富性决定了不可能单一设备构建校园网。从产品方面,不仅包括交换机、路由器、防火墙、ID S等产品,还包括无线网、VoIP、视讯系统等。另外,业务系统也是教育网中的重要部分。从这个层面来讲,一个能够提供下一代教育网解决方案的公司一定是一个全设备的公司,满足教育网需求的一定高度融合、高端集成的方案。第三,下一代教育网体现在IP 技术的“变革”上。以前的校园网是IPv4的,下一代教育网一定是IPv4和 IPv6双栈共存的。值得一提的是,这一定是一个逐步过渡的过程,不可能一步到
26、位。但是从未来IP 协议的发展趋势来看,IPv6的机密文件II华为3comx x x 大学校园网络建设方案建议书比重越来越大。第四,要具有“运营”网特征。下一代教育网络的方案一定是一个充分考虑到运营管理特性的方案,随着校园网规模越来越大,要求下一代教育网络应该是一个按照电信级设计的网络,充分强调多种用户接入、控制手段与网络滚动发展就显得相当的重要。第五,要 支 持“多”教育科研业务。带宽越来越高,设备种类越来越丰富,IP v 6 的比重越来越大,教育网的运营、管理、安全都做了之后,也就为建设校园网的目的奠定了基础,网络能够智能承载教学、科研等非常多样的业务。以上五个方面经过细化,我们在方案中将
27、通过高品质I P 核心网设计,智能弹性接入网设计,安全渗透防护设计,Voice&Video over IP 设计,校区互联模块设计,网元、用户、审计全方位管理,IP v 6 网络规划,组播业务规划,全网Q oS 优化,I P 地址与路由规划,特殊功能子网(图书馆、实验室)设计等针对XXX大 学 YYY校区网络进行全面规划建议。1.4整体建网原则早期的高校校园网主要是共用内部教育系统主机资源,共享简单数据库,多以二层交换为主,很少有三层应用,存 在 安全、可管理性较差、无业务增值能力 等方面的问题。现 在 XXX大学YYY校区校园网建设要实现内部全方位的数据共享,应用三层交换,提供全面的QoS保
28、障服务,使网络安全可靠,从而实现教育管理、多媒体教学、图书馆管理自动化,而且还要通过In te rn e t实现远程教学,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。基于对XXX大学YYY校区校园网业务需求的深入理解,结合自身产品和技术特点,华为公司推出了了完善的XXX大 学 YYY校区校园网解决方案,为 XXX大学YYY校 区 提 供“高扩展、多业务、高安全”的精品网络。XXX大 学YYY校区网络建设遵循以下基本原则:机密文件12华为3comXXX大学校园网络建设方案建议书高带宽XXX大 学 YYY校区网络是一个庞大而且复杂的网
29、络,为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。可增值性XXX大学YYY校区校园网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。可扩充性考虑到XXX大 学 YYY校区用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,XXX大 学 YYY校区校园网络要建设成完整统一、组网灵活、易
30、扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。安全可靠性设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。机密文件13X X X 大学校园网络建设方案建议书华为3com2.XXX大学YYY校区网络整体设计综述XXX大 学 YYY校区网络解决方案总体设计以高性能、高可靠性、高安全性、良好
31、的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技VPN远程用户机术的先进性、成熟性,并采用模块化的设计方法。组网图如下所示:SecPathWOOFSecPathlOOOFS5600S8500S8500大楼2 s5600大楼NS5600AP2750AP2750S3900S3900S3900S8500 S8500InternetCERNETCERNET2管理娠务中心IDS MCU GK WX4400AP2750大褛1 85600 实验室子网XXX大 学 YYY校区网络主要目的是将新校区网络的性能、带宽、主要网络业务进行全网的建设。网络设计主要包含高品质IP 核心网模块、智能弹性接
32、入网模块、安全可漫游可计费的无线网模块、安全渗透网络模块、语音视讯融合应用模块、网络系统综合管理、校区互联模块、IPv4/v6地址与路由模块、组播与QoS优化模块、特殊功能子网模块等共十个主要部分。本章节主要对主体网络拓扑结构进行简述,关于详细功能和业务特性的实现请参看后续章节的具体内容。XXX大 学 YYY校区网络分成三个层次,即核心一汇聚一接入的模式。核心网由4 台万兆核心交换机S8500组成万兆以太网环,提供高可靠性的物理结构,同时依靠路由协议实现数据流的均衡和备份。汇聚层主要由支持IRF特性的万兆机密文件14华为3comx x x 大学校园网络建设方案建议书路由交换机S5600作为每个
33、楼宇的汇聚交换机,通过双万兆分别上联不同的核心交换机。在充分提升性能的基础上,增加网络的可靠性、可用性。接入层通过部署支持IRF智能弹性堆叠的S3900实 现 G E 上行、F E 三层功能到桌面的解决方案。一则可实现完全弹性、平滑的基础网络扩容,二则通过三层功能的下移,释放、降低核心层、汇聚层设备的性能压力和组网成本。在网络出口通过部署防火墙 和 高 端 N E 系列路由器的双机方案实现新校区访问Internet、Cernet、Cernet2网络和远程个人VPN接入、新老校区互联的解决方案。在学校的重要数据资源比如DM Z区域的对外服务,ID C的财物、教务等数据服务器群,我们建议部署基 于
34、 SPN(安全渗透网络技术)的防火墙、IDS、IPS、安全特性的交换机实现整个网络及关键区域的安全防护。最终通过管理服务中心的管理组件Quidview.CAMS、XLog实现对整个XXX大 学 YYY校区网络基础网元平台、语音视讯业务、用户行为与计费、审计等全部网络业务进行综合有效的管理。机密文件15华为3comXXX大学校园网络建设方案建议书3.高品质IP核心网设计XXX大 学 YYY校区高 品 质 IP 核心网主要实现各种业务流的高品质传送,高品质业务保证、业务高安全、业务高可靠、业务高性能可扩展、业务可管理可优化是其五大基本要素,其中高品质业务保证是最核心的要求。高 品 质 IP 核心网
35、需要具备深度业务感知能力,基于深度业务感知实现核心网的资源调整,主要是 QOS、安全及流量工程策略。本章我们针对IP 核心网的设计将主要针对核心、汇聚网络骨干网架构、校园网络出口设计、校 园 网 ServerFarm区三个部分的结构和功能。当然这些区域不可避免涉及到安全、管理等功能模块,但这些内容将不是本章的重点。3.1 核心汇聚骨干网络设计3.1.1 骨干网络架构的选择校园网的建设中,网络架构的选择具有举足轻重的作用,组网架构决定整个校园网络的性能、可扩展性、可管理性、线缆布放、区域划分等诸多关键因素,从目前的主流的组网架构上看,每种组网架构都具有优点与缺点,关键是要选择适合于学校自身特点的
36、架构,合理的组网架构是一个优秀校园网络的基础。选择合理的组网架构考虑因素众多,并且一旦实施了某种类型的组网架构,就意味着将长期影响校园网的建设,因此组网架构的选择成为困扰校园网建设者们的一个难题,本文从技术角度出发,探讨了校园网中常见的几种组网架构的优缺点,为校园网的建设者选择合理架构提供参考。选择方法关键因素排序法在选择组网架构时,通常要考虑的因素有流量分布、路由规划、线缆走向、功能区域划分、设备管理、网络应用等等,甚至还要考虑网络协议支持,如 IPv6部署区域,IPv4/IPv6共存区域等。在这些因素中,根据学校的实际情况选取一些关键性因素,如已经进行了光纤布放的学校,线缆走向可能会成为选
37、择校园网机密文件16华为3comxxx大学校园网络建设方案建议书整体架构的关键因素。通常情况下,网络架构的选择应该优先满足关键性因素,其他因素作为参考指标。对比法在儿种主流架构中,通过对学校自身特点的归纳总结,对比每种架构对于学校特点与需求的满足度,从中选择最合适的组网架构。逐步建设法校园网的建设是个逐步的、长期的过程。在初期建设中,有可能校园网只是覆盖了有限区域,此时可以选择一些相当简单的架构。在后期建设中,可以根据实际情况调整为最合理结构,采用这种方式应注意校园网建设的长期规划,同时也要选择长期的合作伙伴和国际标准技术组网,初期建设不应对后期发展有所局限。经验借鉴法虽然没有方案可以适合所有
38、学校的校园网建设,“他山之石可以攻玉”,其他学校的经验教训对于本校的校园网建设有较多借鉴作用,同时应注重选择经验丰富的合作伙伴。总之,校园网的建设是一个多种因素综合考虑,对比取舍的过程。众多组网架构究竟有哪些优缺点呢?3.1.1.1单星型结构所谓单星型结构就是一台核心设备,树状组网的架构,如下图所示。这种架构最大的优点是设备投资较少,网络管理、用户管理、服务器资源通常情况下统一放置,集中管理。这种组网架构较适合于小型校园网建设,校园网建设初期或者校园网中某学院网络的建设,也适合于校园网设备管理较为集中的学校,对于中到大型校园网并不适合。机密文件17华为3comXXX大学校园网络建设方案建议书优
39、点:网络设备投资较少 网络实施简单、管理简单,架构清晰缺点:网络可靠性低,核心设备故障将影响整个网络,建议核心设备选择具有电信级可靠性的设备,并且所有关键部件均冗余配置 网络性能低,核心设备性能决定了整网性能,核心设备负担较重,建议汇聚层设备应该选择具有三层处理能力的设备,分担核心部分三层处理能力 网络扩展性低,核心设备扩展能力决定了整个网络的扩展能力,建议核心设备选型时考虑设备剩余插槽数、端口密度等指标参数 设备间都是点到点连接,不利于带宽动态调节、业务流量合理分配 布线成本较高,从中心机房布放光纤到汇聚点,再从汇聚点覆盖校园网覆盖的所有区域,布线初期应尽量覆盖到所有区域,后期新增加节点光纤
40、可以就近布放到附件的节点 校园网的流量更多表现为横向流量,而这种组网是典型的树状组网,不同区域间的流量转发需要核心设备参与处理机密文件18华为3comXXX大学校园网络建设方案建议书3.1.1.2双星型结构双星型结构通常在网络中心部署两台核心设备,汇聚节点采用双归方式连接到两台核心设备上,每个汇聚节点也可以双机部署。可以合理安排VLAN边界,分担三层处理能力,对于在核心设备上终结的VLAN可以起用VR R P,提供网关冗余。建议网络管理、用户管理、服务器资源统一放置,集中管理。双星型结构在校园网中较为常见,适合于中到大型的学校和管理相对集中的学校,不适合规模较大的校园、有多个校区的学校、结构较
41、为松散或者网络由多个机构管理的学校。优点:网络设备投资相对较少 网络实施简单、管理简单、建议由统一机构管理 可靠性较高,单台核心设备故障对网络影响较小缺点:布线成本较高,双归连接需要占用双倍光纤资源,为保证网络可靠性,双归连接核心的光缆应沿着不同的路径布放,否则不能有效保证物理链路的可靠性。机密文件19华为3com5 XXX大学校园网络建设方案建议书 扩展不易,每增加一个新的汇聚节点,都要改变组网结构和路由规划 设备间都是点到点连接,因为路由协议的局限性,存在某条链路过载而其他链路空闲的状况,不利于带宽动态调节、业务流量合理分配 儿乎所有流量都需要核心设备处理,核心设备压力较大,可以考虑两台核
42、心设备分担处理3.1.1.3网状/半网状结构网状/半网状结构通常在网络核心部署多台核心设备,核心设备间采用网状或者不完全的网状连接,如下图所示。每个区域的核心设备可以采用双归连接或者单连接到相应的校园网核心设备上,建议网络管理、用户管理统-放置,集中管理;服务器资源可以分散放置,相关部门管理。J Tn网状/半网状结构在大型校园网中较为常见,适合于规模较大的学校和结构松散、管理相对分散的学校。优点:支持网络规模较大 可靠性较高,局部区域设备故障对网络影响较小 较为符合校园网流量分布机密文件20华为3com5 XXX大学校园网络建设方案建议书 可以结合校园网设备分布情况,合理规划光纤路由,减少光纤
43、布放量,增强物理链路可靠性 不同机构管理不同区域,统一的机构管理校级资源,符合学校行政划分,职责清晰 局部升级扩容较容易实施、有利于校园网分期建设缺点:核心扩展不易,增加一个新的核心节点,要改变组网结构和路由规划 网络设备投资较大 网络结构较复杂,维护成本较高总结几种主流方案的简单对比如下表所示:对比项网状/半网状双星型单核心性能较好一般差扩展性一般差差带宽利用率较好差差可靠性较好较好差:.路由处理较好一般差路由层次较少较少较少时 延(时延抖动)较少较大较少流量模型符合程度好一般一般适合规模大型中到大型小到中型适合管理类型松散管理、多个管理机构集中管理、单一管理机构集中管理、单一管理机构设备成
44、本较高较低低线路成本高高低机密文件21华为3comXXX大学校园网络建设方案建议书3.1.2XXX大 学YYY校区骨干网设计XXX大学YYY校区核心层解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。同时根据我们3.1.1小节的分析结果,建议骨干网结构采用网状结构。组网图如下所示:如图所示,XXX大 学YYY校区核心层分为3大类区域,即办公、教学等楼宇子网,专用功能子网(图书馆子网、实验室子网),管理服务中心。出于各个子网的性能和可靠性的考虑,建议核心层采用万兆环网组网结构,由S850
45、0系列万兆路由交换机4台完成互联,对于各个楼宇实际上由于内部信息点规模普遍为中小规模,所以建议采用S5600系列作为汇聚层交换产品。为了充分提升汇聚层到核心层的骨干带宽,建议每台汇聚设备通过2条10GE链路上联,同时处于对可靠性的考虑,建 议2条链路分别连接不同的核心层设备。而且尽量将不同楼宇的上联链路分配到不同的核心设备上。建议通过OSPF的ECMP特性保障2条上行链路的流量负载均衡。本 次XXX大学YYY校区网设计中,我们非常关注方案的可靠性,因为在学机密文件22XXX大学校园网络建设方案建议书华为3com校网络中教学的业务是最关键的业务,而本项目就是教学楼的网络,所以可靠性的设计非常关键
46、。从网络设备的可靠性上我们选择可靠性可以达到99.999%的电信级产品,其关键部件可支持冗余配置,比如电源、风扇、管理引擎。从方案的角度设计,由于核心交换机均是10GE环网互联,网络拓扑具有极强的稳定性,同时可以监控一条链路发生故障时可以及时切换到可用链路上。经过1呼 磨 续 的VR呼 台分 布 式 业 务 处 理 和 转 发1主控板1+1冗余(主备、负荷分担)电源1+1冗余无源背板所 有 组 件(单板.电源、Hot swapping板内、板间链路聚合路由协议ECMPMSTP 实现 VLAN型载均衡和备份VRRP软件不中断升级电信级99.999%可靠性整个系统是由主控板上的中心Crossbar
47、+接口板内Crossbar+共享内存包处理器组成的三级分布式交换结构。这种分布式的业务处理和交换架构不但提高了系统交换容量的可扩展性、业务可扩展性,同时也避免了业务过分集中和依赖于某种单板,消除了业务处理的瓶颈,有效地隔离网络故障,极大提高了系统的可靠性。S8500可以配置1块 或2块主控板。两块主控板可以工作在主备方式(Master Slave)或 负 荷 分 担(Load Balancing)方式。两块主控板之间具有进行实时状态备份和同步的通信通道、主备指示和控制信号、心跳信号以提供可靠平滑的热备份。S8500可以配置一个或两个电源模块。当配置两个电源模块时,两个模块工作在均流模式(负荷分
48、担),当其中一个电源模块故障,会自动隔离,正常的电机密文件23华为3comx x x大学校园网络建设方案建议书源模块负责给整个系统供电。电源模块支持双路电源供电。S85O5采用一个由4个风扇组成的风扇框;S8508采用一个由6个风扇组成的风扇框;S8512采用两个风扇框,每个风扇框由4个风扇组成。单个风扇的损坏不影响整个系统的散热性能,同时系统进行报警信号,以便及时更换。系统实时监测各单板温度,自动控制风扇转速,风扇转速分为100%、75%、50%三档。当设备温度较低时,系统自动把风扇转速降低,这样不仅延长了风扇寿命、提高系统的可靠性,也显著降低了设备噪声。S8500的背板主要由PCB、信号连
49、接器和电源连接器组成,上面没有任何有源器件,为100%无源设计,避免单点故障,大大提高系统可靠性。所有单板、电源模块、风扇框均支持热插拔(Hot swapping)S8500支持IEEE 802.3ad链路聚合(Link Aggregation),系统提供31个聚合组,每组支持多达8个端口的聚合。不但支持板内链路聚合,也支持跨板链路聚合。对于可靠性要求高的链路,可以配置成跨板链路聚合,这样同时实现了链路冗余保护和单板冗余保护,消除了单点故障。S8500支持的域内OSPF、域间BGP路由协议均支持多达4条等价路由的负载均衡(E C M P),且收敛速度快,保证了网络路由的稳定性和可靠性。MSTP
50、可以将不同的流映射到不同的生成树中,避免流量间干扰,便于网络维护MSTP实现基于VLAN的负载均衡和冗余备份MSTP可以与VRRP配合使用,同时实现VLAN网关备份与流量分担。根保护和双根冗余:MSTP支持BPDU保护、根保护,从而增强网络稳定性,防止非法BPDU报文攻击。VRRP实现三层的负载均衡和冗余备份,当主机的主接口路由器坏掉时,可以及时由备用接口路由器来代替,从而确保通讯的连续性和可靠性。VRRP组对外虚拟同一个IP地址&同一个MAC地址。不中断业务的平滑升级。S8500支持对O S软件进行不中断业务的平滑升级(Up-gradable/Down-gradable)当需要升级时,可以按