五步部署万兆校园网方案-网络建设解决方案.doc
五步部署万兆校园网方案 -网络建设解决方案 校园网是一个承载各种网络应用的平台。随着数字校园、网络教学等应用的深入发展,以及基于网络视频等大流量网络应用的快速发展,一些服务器也已经开始广泛使用千兆网卡,这使得校园网骨干网升级为万兆成为一个迫切的需求。 下面我们按照结构、性能、接入、 IP 和应用五个方面来看如何部署万兆校园网络。 校园网结构分析 在核心层采用万兆交换机可以大大提高核心数据交换能力,而整个校园网络不仅需要保证各个接入点充足的带宽,而且需要拥有可管理且安全的网络服务,这样才能让整个校园网发挥最大的功用,成为整个校园的中枢神经。 在核心层,万兆核心交换机通过万兆链路分别与两台汇聚层的万兆上连交换机相连,构成万兆环网设计,一旦其中一条万兆链路出现问题,另一条会立刻自动启用。在链路设计上,充分保障了关键区域网络的稳定可靠。 在对带宽需求比较大的教学场所或图书馆等汇聚层部署万兆骨干交换机,需要配备多个扩展槽,以满足未来的扩展 需要,并实现万兆线卡的线速转发。汇聚层的其它地方则要部署千兆交换机。另外,网络设备还需要支持硬件 IPv6,为以后的平滑过渡做准备。 在接入层,网络接入交换机全部采用安全智能接入交换机,以提供强大的安全功能,从而在接入层对常见的病毒和攻击进行防护。 校园网性能分析 万兆网络的高性能首先需要在核心层得到保障 ,因此,核心交换机的先进性、吞吐量和可靠性是校园网最重要的环节之一。万兆核心交换机至少需要支持3.2Tbps 的背板处理能力,且具有 1190Mbps 以上的的包转发能力,还需要采用第二代 Crossbar 架构,以克服第一代 Crossbar 架构技术的局限性,从而达到质的提升。 另外,核心交换机需要采用 ACL(访问控制)来实现病毒防护、安全过滤等功能。在核心交换机的 ACL 实现方面,需要采用硬件 ASIC 芯片,达到在保证安全的同时不影响网络性能的目的,同时实现整机数据端口级同步处理 ACL/QOS。通过线卡芯片线速转发 L2/L3/组播数据,实现从线卡到端口的全面分布式硬件设计,有效分流、缓解线卡 ASIC 芯片的负载压力,极大地提升交换机的整体数据处理能力,满足业务急剧增长的需要,保持网络的高性能无 阻塞交换和网络安全防护,实现多数据多业务的全线速处理。 在可靠性方面,核心设备需要电源冗余、交换引擎冗余,另外,模块需要具备热拔插功能,以防止设备级单点故障。 校园网接入认证分析 以前校园网在设计时的立足点是让每个用户都可以无障碍地接入到网络中来,同时,尽量减少故障率。而现在,在保证无障碍接入的同时,校园网更加注重接入用户的认证,未经授权的网络接入和访问需要禁止。目前,在实现认证功能方面,最常采用的是 802.1X 技术,而以前常用的 Web Portal 或 PPPoE 认证方式,已逐步被淘汰 。 由于校园网用户接入类型相对繁杂,包括生活区及教学区的固定接入、机房接入、图书馆接入以及无线接入等方式。网管人员可以通过账号、 IP 地址、 MAC地址、交换机、交换机端口等多元素灵活绑定,以满足复杂的应用需求。 在认证策略方面,可采取认证计费报文与业务数据分流技术。在认证通过后,业务数据流就旁路了。这样用户在整个上网过程中,就避免了报文和 Radius 服务器的交换,交换机也无须处理认证计费报文,从而保证了网络性能。在认证计费技术的实现上,每个接入交换机的每一个端口均相当于一个认证者,从而实现了 分布认证,排除单点故障,同时克服了传统网关设备进行认证计费时造成的性能瓶颈。 校园网 IP 地址分析 在校园网运行中,由于用户自行随意分配 IP 地址,常会发生 IP 地址冲突、盗用和滥用的情况,这严重干扰了校园网的正常运行,也是网络管理人员最头痛的问题。因此,如何解决 IP 地址冲突,并有效防止 IP 地址的盗用和滥用,是校园网建设中必须考虑的问题。 在接入客户端上启用端口 +IP+ MAC 绑定是解决 IP 地址问题的一个非常有效的方法。这就需要接入交换机能够支持硬件实现 IP、 MAC、端口绑定和 IP+MAC绑定,并能实现端口反查功能,从而追查源 IP、 MAC 访问以及恶意用户,有效地防止通过假冒源 IP、 MAC 地址进行网络攻击,进一步增强网络的安全性。 控制类似 ARP 攻击,保护校园网络安全也是一个非常重要的工作。接入交换机需要支持 ARP 报文检测功能。交换机通过核对 ARP 报文中的源 IP、 MAC 是否和端口安全规则一致,有效防止了安全端口上的 ARP 欺骗以及非法信息点冒充网络关键设备 IP 事件的发生。 校园网应用分析 一个完善的校园网络应该具备杜绝非法组播源、保证合法组播源正常应用的功能,同时还能够保 障网络带宽合理有效地利用。 目前销售的交换机均支持 IMGP 源端口检查,能够有效杜绝全网非法组播源,严格限定 IGMP 组播流的进入端口。当 IGMP 源端口检查关闭时,从任何端口进入的视频流全是合法的,交换机会把它们转发到已注册的端口。而当 IGMP 源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机会把它们转发向已注册的端口,而从非路由连接口进入的视频流则会被视为非法端口进而被丢弃。 另外,校园网还需要控制和过滤已知的网络病毒类型,保障正常网络资源的访问,这需要依靠 ACL 来实现。 ACL 还 要支持智能的防扫描功能,从而判断用户是否对网络进行扫描,如果结果超出定义值,交换机就会自动切断用户连接,从而保障网络的正常应用。 实现智能控制网络应用,合理规划使用资源,需要网络对出现的新应用有探知能力。例如在校园网中盛行的 P2P 应用,如果不对其加以控制,其后果将是有效带宽被无限制地占用。因此,交换机需要支持对新应用的深度识别和控制,除硬件识别报文中的二层字段如 MAC 地址、三层字段 IP 地址、四层字段 TCP/UDP端口号以外,还能硬件识别和控制报文内容,从而及时在接入层进行遏制,达到控制泛滥使用或不法 网络应用流的目的。 选型推荐 方案一:采用锐捷的全系列解决方案 核心万兆交换机:锐捷 RG-S8610 核心交换机 汇聚层万兆上连交换机:锐捷 RG-S6506 交换机、 RG-S5750 交换机 汇聚层千兆交换机:锐捷 RG-S3760 交换机 接入层交换机:锐捷 RG-S2100 交换机 方案点评 锐捷公司在校园网领域耕耘多年,对校园网的需求理解很到位,设备在校园网业界颇受好评。而且锐捷在 IPv6 和硬件 ASIC 方面颇有建树,其 SAM 认证计费客户端功能细腻,最大 程度上满足了客户需要。依靠锐捷的产品提出的方案,性价比极高,能很好地达到用户的标准。 方案二:采用 H3C 的全系列解决方案 核心万兆交换机: H3C S9508 核心交换机 汇聚层万兆上连交换机: H3C S7503 交换机、 S5600 交换机 汇聚层千兆交换机: H3C S3600 交换机 接入层交换机: H3C S3100 交换机或者 S2026 交换机 方案点评 这套方案将 H3C S9500 系列核心交换机部署在了显著的位置, IPv4 和 IPv6双协议栈为即将到来的 IPv6 做好了准备。 H3C 解决方案突出的特点是高性能和高吞吐量。 H3C 这几年在各个行业均有不俗表现,市场占有率也一路飙升,因此,这套方案也将传承 H3C 的一贯品质,为用户带来满意的应用体验。