上海师范大学校园网技术建议书11.docx
- 文档编号:8241562
- 上传时间:2023-01-30
- 格式:DOCX
- 页数:25
- 大小:163.72KB
上海师范大学校园网技术建议书11.docx
《上海师范大学校园网技术建议书11.docx》由会员分享,可在线阅读,更多相关《上海师范大学校园网技术建议书11.docx(25页珍藏版)》请在冰豆网上搜索。
上海师范大学校园网技术建议书11
上海师范大学校园网
技术建议书
华为技术有限公司
2008年11月
目录
目录1
1.概述2
1.1上海师范大学校区校园网建网需求分析2
1.2.1一般建网需求2
1.2.2上海师范大学校区建网需求4
1.3核心、汇聚建网原则4
2.总体网络设计7
2.1组网描述7
2.2业务访问说明9
3.上海师范大学详细网络设计10
3.1IP地址规划和路由策略10
3.2上海师范大学VLAN划分11
4.核心网安全设计12
4.1用户严格隔离12
4.2用户唯一标识12
4.3防止对DHCP服务器的攻击13
4.4组网安全性设计13
4.5出口运营商线路备份13
5.组网核心设备介绍15
5.1Quidway®S9300系列核心路由交换机15
5.2Quidway®NetEngine40全业务路由器18
6.教育行业用户名单24
1.概述
随着国家信息化工作的深入开展,提高教育系统信息化水平成为当前工作的重点。
而校园网建设则是教育系统信息化建设的关键,尤其是高校校园网建设。
在信息化的建设过程中,它的作用体现在如下几个方面:
1、校园网能促进教师和学生尽快提高应用信息技术的水平;信息技术学科的内容是发展的,它是一门应用型学科,因此,为了让学生学到实用的知识,必须给他们提供一个实践的环境,这个环境离不开校园网。
2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库,所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。
3、校园网是学校现代化管理的基础,深入、全面的学校信息管理系统必须建立在校园网上。
4、校园网提供了学校与外界交流的窗口,学校应将校园网与互联网联接,这也是学校信息化的要求,做到了这一步,通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。
教育即未来,作为国家最重要的战略工程,如何应用信息技术改造我们传统的教学和管理手段;如何加深学生对于信息化和信息技术的理解与了解;如何造就同时具备传统和信息双重文化的一代新人,已成为教育界当前最为紧迫的任务之一。
信息技术的应用,势必极大地推进教育手段和教育内容的革命性变革。
我们对此深信不疑,并将全身心地为之努力。
1.1上海师范大学校区校园网建网需求分析
1.2.1一般建网需求
上海师范大学校区的网络属于新建,在实际的建设过程当中,应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性,如:
校园网内部的服务器的访问,由于学生的访问的内容多样化决定,涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。
此处主要分析上海师范大学网络基础设施建设和网络运营方面相关的内容。
上海师范大学校园网络建设从网络流量模型上看和企业网的流量模型相似,用户集中而网络流量大,但实际应用上还存在许多和企业网不同的地方。
主要特点如下:
1、多出口的需求:
典型的组网有中国教育和科研网(CERNET)出口和运营商网络出口。
多出口带来了以下两个需求:
1)多权限ISP需求。
用户可通过不同的账号名或采用相同的账号,不同的域名认证,获得不同的上网权限。
譬如做到用户不认证前能自由访问校园内部分服务器,采用“user@163”登录,可实现Internet和校园网络自由访问,采用“user@crenet”登录,可访问CERNET和校园网。
用户域名选择可通过WEB认证时用户通过选择WEB认证上的相应选择项进行选择。
2)多ISP分别计费的需求,对应不同的ISP,计费策略不一致。
考虑到用户的以上的需求,需要在学校的内部提供不同的路由策略,即用户访问教育网的相关站点,通过CERNET的线路,而访问其他的网站如:
新浪网、263等网站则选择运营商的线路作为出口路由,这要求核心的交换机或出口路由器能够提供策略路由以支持该特性。
2、用户管理的需求:
1)使用方便,存在WEB认证需求。
要求能做到基于WEB的身份认证、多ISP选择、W用户费率查询、带宽动态调整(隐性需求)、多WEB界面(隐性需求)等。
2)需要解决账号和端口绑定问题。
通过此种方式限制账号的使用区域。
3)对用户带宽进行控制的需求,要求设备能对用户的带宽进行控制,譬如限制为64K、256K、512K、1M、2M、5M、10M等等级。
3、多种教学方式并行的需求:
随着校园网的信息化的发展,越来越的多教学方式依托于网络给学生提供多种的特色教学模式
1)多媒体教学。
为了更好的为学生提供全方面的教学资料,越来越的多学校在自己的内部局域网上面为学生提供多种教学资料,如:
多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。
2)VOD点播业务实现,通过建立VOD视频服务器平台,利用交换机提供的组播功能,为上海师范大学的用户提供优质的视频效果,同时节省用户带宽。
4、安全管理的需求:
1)校园用户接受新鲜事务的能力非常强,因此校园也成为黑客最多的场所之一,如何保障校园网络的安全成为建网时不得不考虑的问题,目前主要攻击手段有DOS,DDOS等
2)上网日志的需求,主要是配合公安机关保证社会的稳定和校园的安全
6、组播业务的需求,特别是可控组播的需求将随着校园信息化的深入而体现出来。
1.2.2上海师范大学校区建网需求
上海师范大学有两个校区共四个主节点和五个分节点。
主节点为:
徐汇信息办机房、徐汇一教5楼机房、奉贤图文8楼机房、奉贤老图书馆机房;分节点为:
徐汇计算中心、徐汇东校区、徐汇图书馆、徐汇行政楼、奉贤图书馆。
上海师范大学有三个Internet网络出口,分别为徐汇校区的1000M教科网出口(目前日常使用带宽为单向800M、双向1.5G以上)、1000M上海中小学校校通教育网出口和奉贤校区的20M电信出口(所有链路均为千兆光纤接口)。
具体需求:
●现有网络的容量,可靠性--建设后网络5-10年的容量,可靠性
●新的网络平台扩充后必然会引入安全问题,如何实现安全的控制及监控。
●新的网络平台对于业务主流技术的应用(包括VPN,IPV6,QOS等)
●对于用户的管理和计费,以及安全是否做充分的考虑
●其他业务系统的信息化互联,包括一卡通,数据中心等…
1.2核心、汇聚建网原则
早期的高校校园网主要是共用内部教育系统主机资源,共享简单数据库,多以二层交换为主,很少有三层应用,存在安全、可管理性较差、无业务增值能力等方面的问题。
现在上海师范大学校园网建设要实现内部全方位的数据共享,应用三层交换,提供全面的QoS保障服务,使网络安全可靠,从而实现教育管理、多媒体教学、图书馆管理自动化,而且还要通过Internet实现远程教学,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。
基于对上海师范大学校园网业务需求的深入理解,结合自身产品和技术特点,华为公司推出了了完善的上海师范大学校园网解决方案,为上海师范大学提供“可管理、可增值、可持续发展”的精品网络。
上海师范大学网络建设遵循以下基本原则:
高带宽
上海师范大学网络是一个庞大而且复杂的网络,为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。
可增值性
上海师范大学校园网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。
所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。
可扩充性
考虑到上海师范大学用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,上海师范大学校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
开放性
技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
安全可靠性
设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。
2.总体网络设计
2.1组网描述
上海师范大学校园核心层解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。
组网图如下所示:
解决方案网络分为三个层次,核心层、楼层汇聚层、接入层。
为实现校区内的高速互联,核心层采用4台华为公司核心路由交换机QuidwayS9312,采用10G接口互联,组成环网,构建了校园网络中心。
设计说明:
核心采用4台S9312核心交换机,主要是从核心的大容量转发、高可靠性角度考虑。
4台S9312负载分担连接多台服务器、所有汇聚交换机和出口路由器,部署业界先进的检测技术及保护技术,如BFDFORVRRP,smartlink,RRPP,确保网络s级的快速切换,保证业务不中断,最大实现网络的可靠性。
汇聚层采用全千兆S9303汇聚层交换机,保证带宽,避免在汇聚层形成瓶颈。
S9303交换机提供的三层功能可以有效屏蔽网络攻击,保证网络安全。
在服务器分布区,核心设备旁挂一台交换机,作为各种服务器端口汇聚,新增一台防火墙作为安全防范。
上海师范大学校区校园网核心层、汇聚层、接入层建设是要求从上海师范大学实际的应用出发,考虑到学生用户数量大、上网时间集中、突发流量较大等因素,华为在实际的建网的过程当中遵循了以下几点要求:
1)核心层交换机:
在建设的过程当中,应当充分考虑到核心交换机的交换性能,以及转发性能,华为S9312万兆核心交换机具12个业务插槽,最大可以支持4.8T的背板容量和2T的交换能力,设备包交换能力可以达到864Mpps,MAC地址表最大达到512K。
可以为用户提供强大的三层交换功能,目前对于万兆接口、IPv6等新技术均支持。
2)汇聚层交换机:
汇聚层在整网当中是接入层与核心层的桥梁,因此在网络的建设过程当中应当避免汇聚层的瓶颈问题,并应当留有足够的业务扩展能力。
我们在上海师范大学的网络设计当中采用S9303交换机作为汇聚层交换机,S9303交换机支持QinQ、灵活QinQ、VLAN交换等VLAN特性。
支持BPDUTunnel、GRE、VLL、MPLSL3VPN、VPLS等隧道功能,支持RRPP、STP、RSTP、MSTP等环网技术。
支持静态路由,RIPv1/v2,OSPFv2,ISIS,BGPv4等丰富的路由特性。
支持IGMPSnooping、IGMPProxy、静态组播、PIMSM、PIMDM、MSDP等组播功能.
3)出口路由器:
考虑到上海师范大学的公网出口有两个,用户可以自由的选择不同的线路作为自己的出口线路;因此要求出口路由器具有强大的策略路由的功能,以及基于硬件的ACL列表功能,华为NE40高端路由器,具有强大的路由功能以及业务功能;NE40基于分布式的硬件转发和无阻塞交换技术,具备电信级可靠性、线速转发性能、完善的QoS机制、丰富的业务处理能力、优异的扩展能力。
NE40具备核心路由器所需的强大IP业务处理能力,同时融合了三层以太交换能力,具有丰富的IP边缘业务特性,包括以太网交换处理、PE、隧道和流队列等,支持以太网时钟。
凭借NE40全面的业务支持能力,可实现IP运营级业务的可靠承载,IPv4向IPv6的平滑过渡。
NE40有机地结合了软件的灵活性和硬件的高性能,即提供线速转发性能,又具备快速良好的业务升级和扩展能力。
2.2业务访问说明
1)不同用户访问公网:
用户可以根据自己的需求,选择不同的运营商来进行公网的访问,出口路由器根据用户的访问策略进行策略路由,如图所示:
不同的ISP用户在经过NE40的时候,NE40会根据用户所在的ISP服务商来做策略路由,将用户送到自己选择的出口线路上。
2)校内三层互访:
对于同在一个校园内部的学生之间的互访可以直接通过局域网的内部交换机来完成内部之间的互访,对于同属于一个汇聚层交换机S9303下的用户,两个用户之间的互访可以直接在汇聚层交换机S9303上来完成,而对于跨汇聚层交换机的用户只见的额互访可以通过核心交换机S9312来完成,S9312强大的三层交换功能完全可以胜任任何突发流量以及高集中用户上网时段的三层交换,为用户提供高速高带宽的用户接入。
3)基于流攻击的防止。
华为公司所采用产品NE40、S9312、S9303等三层转发模式均为最长路由匹配技术。
这样就可以避免校园网内外的非法用户利用专门的攻击软件进行的一些基于流的共计,因为这种攻击是通过不断变换自己的本网断内的IP地址,来不断消耗主控处理板的CPU处理能力,直到彻底使主控处理板的CPU丧失处理能力,整个机器瘫掉。
S9312是根据最长匹配来查找路由的,是针对网断进行路由的。
所以当攻击者进行攻击时,不会造成S9312业务能力处理下降,对于整机没有影响影响。
4)VPN业务规划
目前针对学校的主要业务是宽带业务、门禁业务等,VPN的规划是在汇聚层节点以上部署PE功能,核心节点作为P设备,可以采用二层或者三层VPN,按照每个业务采用一类VPN部署。
学校内不存在VPN用户之间的访问需求,主要需求都是针对后台服务器以及出口的访问,同时VPN也没有跨域的需求(不存在学校和其他网络之间的VPN业务访问),总的来说VPN的LSP路径从汇聚设备开始,在核心设备终结。
对用户侧采用一类业务一类VLAN,对于宽带业务部署QINQ(打外层标签),在汇聚设备上通过ACL识别业务,把VLAN按照类通过子接口放入VRF中。
3.上海师范大学详细网络设计
3.1IP地址规划和路由策略
IP地址的合理规划是校园网网络设计中的重要一环,大型计算机网络必须对IP地址进行统一规划并得到实施。
IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。
IP地址分配原则
考虑到学校的学生宿舍的固定性,为保证对于上网学生的可查询性,且考虑到10.xxx.xxx.xxx私网地址不存在短缺等因素,建议上海师范大学的IP地址采用静态IP地址接入的方式进行建设。
要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。
具体分配时要遵循以下原则:
唯一性:
一个IP网络中不能有两个主机采用相同的IP地址;
简单性:
地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表项
连续性:
连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率
可扩展性:
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性
灵活性:
地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。
主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。
当校园网以私网地址分配或采用混合网络地址接入时,要求校园网提供地址变换功能,过滤掉私网地址。
上海师范大学校园网IP地址规划方案
1)IP地址的设计
内部地址的分配原则是按建筑物进行的,视用户的数量,1/4、1/2、整个私网的划分。
对于相对固定不变的教学区采用静态分配IP地址,为防止地址盗用,采用IP地址与端口、地址绑定,对于流动性大、用户人数多、用户增长快的学生区采用动态分配IP地址,采用ByPort的Vlan,小范围地限制地址盗用问题。
静态IP地址对于用户来说可以实现对应物理位置的查询,对全网的IP地址与物理位置的对应有全面、可靠的管理。
2)中心交换机支持静态或动态的IP地址分配,并支持动态IP地址分配方式下DHCP-Relay功能,DHCPSERVER可安放在园区内部。
3)对于固定IP地址用户,需要针对标识符(MAC地址)设定保留IP地址。
3.2上海师范大学VLAN划分
通常采用包月方式,同时需要实现帐号和端口绑定的功能,故采用一个用户一个VLAN,并限制一个VLAN下同时接入的用户数量。
2、对一层楼一个VLAN
①本层楼的内部互访无须经过三层交换机,优化了组网。
③这种划分方式中,因为对用户能实现动态的VLAN+MAC+IP绑定,可对用户发动的伪造攻击报文进行合法性检查和过滤,具有一定的网络安全性保障。
3、不同VLAN间的互访,必须经过三层交换机进行转发。
4.核心网安全设计
网络安全是任何一个网络建设时首先要考虑的重要问题,上海师范大学校园网的环境更加复杂,学生的技术水平都较高,好奇心比较强,校园网的网络安全更加值得关注。
TCP/IP网络本身就存在很多安全漏洞,很容易被一些恶意用户利用并实施攻击,或非法占用网络资源,侵犯其它用户的合法利益,甚至导致整个网络系统崩溃。
任何一个网络设备都必需首先具备足够的自我保护和防范能力,华为的交换机和路由器等网络设备在安全性方面有丰富实用的功能,大体可分为两类,一类是自身防攻击措施,另一类是用户安全保证措施。
4.1用户严格隔离
方法一:
用Vlan隔离。
在楼道以太网交换机上按端口划分Vlan,每个用户占用一个Vlan。
方法二:
利用PVlan技术。
在楼道交换机上划分PVlan,使用户端口之间不能通信,用户端口只能和Uplink口通信。
方法三:
使用以太网MUX设备。
该类设备将接入层交换机的端口分为两类:
上行口Uplink和用户端口。
用户端口之间不能通信,Uplink口可以和所有端口通信。
4.2用户唯一标识
一般的边缘路由器对于用户上行报文,只根据目的IP地址进行转发,不做源地址检查,这是出现网络和用户安全性问题的根本原因所在。
对于静态IP地址分配方案,接入层交换机可在操作界面中实现用户的VLANID+IP+MAC绑定关系的指定;对于动态IP地址分配方案,在IP地址动态分配后,接入层交换机可实现用户的VLANID+IP+MAC的绑定。
VLAN信息由设备构造,不可仿冒,可作为用户上网的唯一标识。
4.3防止对DHCP服务器的攻击
使用DHCPServer动态分配IP地址会存在两个问题:
一是DHCPServer假冒,用户将自己的计算机设置成DHCPServer后会与局方的DHCPServer冲突;二是用户DHCPSmurf,用户使用软件变换自己的MAC地址,大量申请IP地址,很快将DHCP的地址池耗光。
由于DHCP是通过二层广播包起作用的,故在二层严格隔离用户,可防止DHCPServer假冒。
为解决DHCPSmurf,在以太网接入时,对用户划分Vlan,由汇聚层交换机控制一个Vlan下申请的最大IP地址数,当该Vlan的IP地址数目达到限制值后,拒绝新的DHCP申请。
Vlan的划分可根据学校的实际情况灵活掌握。
4.4组网安全性设计
网络当中,线路的备份非常重要,上海师范大学的网络的设计当中,我们建议在汇聚层与核心层之间的2GE捆绑的上行可以在采用扩大带宽的同时实现线路上的备份,当其中一条线路出现故障,其余的一条线路可以实现线路的接替。
这样大大提高了网络组网的可靠性,进而提高全网的可靠性。
4.5出口运营商线路备份
对于上海师范大学来说虽然存在不同的学生用户选择不同的ISP的服务商,但是在实际的应用当中可能会产生ISP服务商线路终端的问题,因此学校可以在出口路由器上配置备份策略,当一个ISP服务商的线路出现问题的情况下,可以选择有限级较低的策略从其他的ISP出口上网实现ISP线路的备份。
主备方式:
徐汇A上行端口下一跳静态路由配置为徐汇B,备份路由启动其它上行端口,可以配合ACL(五元组),正常流量统一从徐汇B出口,异常时通过徐汇A出口
策略可以在核心设备上部署,访问电信从奉贤出口,其他选择徐汇出口
负载分担:
徐汇A和徐汇B出口都配置等价路由,采用负载分担方式承载,某条链路故障时,则流量全部转移到正常的链路上承载。
策略可以在核心设备上部署,访问电信从奉贤出口,其他选择徐汇出口
5.组网核心设备介绍
5.1Quidway®S9300系列核心路由交换机
产品概述
Quidway®S9300系列路由交换机(以下简称S9300)是基于新一代的硬件平台和华为公司统一的VRP®(VersatileRoutingPlatform)平台而推出的下一代以太网汇聚交换机,提供超大容量、高密度、模块化体系架构,提供二、三层线速转发能力,具有强大组播功能,VLAN交换功能,完善的QoS保障、有效的安全管理机制和电信级高可靠设计,满足城域以太网和企业园区网对Multi-Play业务承载的组网需求,为运营商和企业网提供强大的网络交换能力,支持IP专线、VPN、IPTV、IPv6等多种服务。
为了降低运营成本,满足节能减排需求,S9300作为新一代的交换机采用了多种绿色节能的创新技术,大幅降低设备能耗、减小噪声污染。
产品外观
S9303S9306S9312
S9300系列包括S9303、S9306、S9312三款产品形态,均采用前维护设计。
三款产品除了外形尺寸、线卡数目、交换容量等指标不同外,其他特性均保持一致。
产品特点
●先进的多平面系统架构
S9300采用分布式的转发控制架构,整个系统被分为五个逻辑平面,包括电源、时钟、设备管理、转发控制四个控制平面和一个数据转发平面,五个平面分别使用不同的背板总线,相互独立,协同工作。
●绿色节能环保
S9300系列交换机基于绿色环保理念设计,左后风道散热方式提高机框的走线效率、智能风扇分区调速以及端口自动休眠功能降低整机平均功耗、小颗粒模块化电源设计减少运营商初期投资、归一化的模块化设计节省维护成本;
●电信级高可靠性设计
S9300系列交换机所有核心部件均采用冗余设计,主控模块SRU/MCU支持1+1的工作模式,集中监控模块CMU支持1:
1的备份工作模式,4个电源模块支持2+2的负荷分担工作模式,风扇模块使用双层备份方案,支持单风扇失效(单风扇出现故障情况下,系统仍可保持正常运行)。
除此之外,Quidway®S9300系列软件系统基于华为公司VRP平台的模块化设计,确保了主机系统软件的可靠性,并且支持端口捆绑、SmartLink、RRPP、OAM、BFD、FRR等链路保护倒换协议,提高整个网络的可靠性。
●超大容量交换平台
作为新一代的路由交换平台,Quidway®S9300系列交换机最大可以支持4.8T的背板容量和2T的交换能力,设备包交换能力可以达到864Mpps,MAC地址表最大达到512K。
●弹性可扩展的硬件结构
S9300系列交换机交换容量可以扩展到3.84T,槽位带宽可以扩展到480Gbps,单框接口密度可以扩展到288个10GE,MAC地址数可以扩展到1M。
●层次化QoS
S9300系列交换机支持双速三色和单速双色标记器,层次化的流量监管,提供基于用户组的流量监控以及组内用户间的带宽统计复用,从而提供更精细的带宽管理。
支持SR、WRR、SP+WRR、DWRR等调度算法,解决TriplePlay和VPN模式下不同业务的服务质量问题。
支持基于端口、COS和VLAN进行流量整形功能,有效提高IPTV视频的质量。
●丰富的二三层业务特性
S9300系列交换
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 上海师范大学 校园网 技术 建议书 11