IPv4/v6地址与路由模块、组播与QoS优化模块,行为审计等主要部分。
1.3.2. 数字化校园网络平台
设计全新的基于纯IP技术的网络平台来满足校园网的需求变化。面向网络资源的有效、高效利用,从网络架构方面提供优化方案,使得校园核心网、接入网具有更高的可靠性和可控性,同时使得网络结构与布局在结合实际业务分布的前提下更加合理。数字校园业务的发展必然离不开两个方向,其一是IPv6,其二是移动性。这既是IP通信技术发展的方向,也是数字校园应用的发展方向。满足这个发展,首要前提就是让校园网络平台能够具备相关技术支撑能力,即构建IPv6校园网与无线校园网。不论是对校园网的优化还是对校园网业务的横向拓展,都是基于校园网是安全有序的。需要从纵向三个维度对所有影响校园安全的隐患、非法行为进行渗透防御与控制。
1 网络整体为环网结构
2 行政办公楼汇聚点(根据光纤部署情况确定) 3 一号教学楼汇聚点(根据光纤部署情况确定) 4 实验楼汇聚点(根据光纤部署情况确定) 5 女生宿舍汇聚点(根据光纤部署情况确定) 6 冗余一个汇聚点
7 核心及出口设备全部位于行政办公楼 8 汇聚接入设备位于各弱电井 9 网管平台位于行政办公楼
10 各子系统的数据平台位于数据中心,使用数据中心核心交换与网络核心互联
1.3.3. 校园数据中心
伴随着信息化建设的深入,包括图书馆、教务、校园门户、邮件等业务系统在内的校园信息系统建设日趋完善。为了满足信息系统对于存储容量和数据保护的需求,校园信息部门都会采用存储区域网络、备份平台,灾难备份和恢复等数据存储和保护技术。
我们建议采用标准的IP SAN架构的存储设备来搭建存储平台,实现海量的存储容量,并且为以后的容量扩展预留空间。利用IP SAN标准化和易于管理的特性,避免兼容性问题,降低整体拥有成本(TCO)。在存储平台上提供备份、连续数据保护、灾难备份等不同级别的数据保护手段,满足所有应用系统的要求。
校园数据服务中心方案特点
高性能:数据中心核心交换万兆到核心,满足数据访问大流量 高可靠:数据中心双核心保证数据传输可靠性
11
高安全:位于核心的防火墙与入侵防御系统
1.3.4. 校园智能管理中心
校园网管理是随着校园网络的发展历程而变迁的。校园网的发展经历了最初的计算机房、万兆校园网、数字化校园网等几个阶段,校园网络的管理也从最初的设备管理时代、发展到网络管理时代,再到用户和业务管理时代。
数字化校园的管理针对网络平台资源、用户资源、数据资源、媒体资源进行统一配置与控制。智能管理中心主要面向四个类别的资源进行统筹管理。
营口高级中学数字化校园解决方案的整体优势:
? 实现校园统一系统标准——利用统一信息标准、统一应用标准、统一集成标准,解决重建设轻
标准、缺乏IT系统的标准化和集成整和的问题,解决异构IT资源难以整合的问题; ? 实现校园数字业务定制——建设统一数据中心、建立统一业务中心、构见随需而动的智能系统,
解决数字化校园重网络轻应用- 路多车少的问题
? 实现统一校园IT资源管理——建设智能管理中心、整合IT资源统一管理,建立灵活完善的数
据管理能力、建立完整网络资源管理、建立统一媒体管理。 ? 实现统一信息安全管理——建立统一安全管理中心,完成网络层、业务层、数据层、用户层安
全管理,解决重建设轻维护和缺乏整体安全部署方法的问题 2. IP 校园网络平台
一般,校园园区网络规模比较大,接入节点数目比较多,各院系的数据在网络上的传输也必须保证端到端的安全,各院系、各部门间的业务隔离需求就显得比较迫切,随着各校园业务的快速增长,校园网络的扩展性也应该比较强。针对校园园区网络建设的这些特点,提出了校园园区的IP智能安全渗透网络方案,该方案包括层次化设计、高可靠性设计。校园IP网络平台还包括网络安全性设计、IPv6网络设计,我们将在后续章节重点阐述。
2.1. 层次化设计
在校园园区网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。典型的校园园区网络结构环网:汇聚层、核心层。接入层接到汇聚环点。
1) 接入层:提供网络的第一级接入功能,完成简单的二、三层交换,安全、Qos和POE功能都位于这一层。对于校园园区网的接入层设备,建议采用千兆接入的方式,应该具有线速交换、虚
12
拟化技术以及高级QoS策略等功能。
2) 汇聚层:汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关;对于校园园区网的汇聚层设备,应该能够承载校园园区的多种融合业务,能够融合IPv6、网络安全等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,能够承载校园园区融合业务的需求。
3) 核心层:网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。对于校园园区网核心层,必须提供高性能、高可靠的网络结构,推荐采用高可靠的虚拟化技术,虚拟防火墙技术,连接出口采用链路负载均衡技术。对于校园园区网核心层设备,应该在提供大容量、高性能L2/L3交换服务基础上,能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性,可为校园园区构建融合业务的基础网络平台,进而帮助用户实现IT资源整合的需求。
2.2. 高可靠性
数字化校园网高可靠设计
营口高级中学网络属中型校园园区网络,推荐采用千兆接入组网模型。为用户提供千兆到桌面的接入服务,整网核心配置虚拟化技术,网络故障收敛速度快、易于管理和维护。VLAN终结在接入端口,限制广播域范围,较少广播报文对网络带宽的消耗。从接入层开始即可进行快速三层交换,利用网络中存在的等价多路径实现业务流量的负载分担。
网络按照分层、模块化的思路进行设计和规划,根据业务、区域等规划因素进行模块化区域划分,每个区域有自己的汇聚核心与网络核心相连。网络各层设备都为三层设备,支持OSPF。在接入层设备上提供千兆端口接入,支持语音和POE。 接入层千兆双归属到汇聚层设备,提供链路冗余备份,利用存在的链路实现流量负载分担。区域汇聚核心间提供千兆链路连接,双机备份和加速路由收敛。汇聚层千兆双归属到网络核心,根据实际带宽需要也可千兆链路捆绑双上行到核心,核心提供的虚拟化技术可以使两台交换机虚拟化成一台进行路由转发和管理,而且主控业务板支持热插拔,不会因为虚拟化时,单台设备故障引起整个接入业务中断。两台核心设备间通过万兆捆绑链路连接,完成高速数据交换和双机热备份。
2.3. IP地址
IPv4地址规划
IP地址的合理规划是网络设计中的重要一环,大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。IP地址规划必须考虑到今后和其他院系互联后的地址冲突问题,建议参考全校的统一地址规划。
IP地址分配原则
13
IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则: ? 唯一性:一个IP网络中不能有两个主机采用相同的IP地址;
? 简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表项
? 连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效
率
? 可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连
续性
? 灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。
主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。
当校园网以私网地址分配或采用混合网络地址接入时,要求校园网提供地址变换功能,过滤掉私网地址。
IP地址规划方案
地址编码规范 建议校园网的IP地址进行严格的编码,每位代表不同的含义。其编码规则(举例如下)为: 通过地址标识可以清楚地区分出IP地址地来源,便于路由汇聚和访问控制。从上表中我们也可以看出,通过我们的规划,我们能从IP地址分析出IP地址的来源、用途等,这将为网络的维护带来方便。
具体的IP地址定义将结合实际情况确定。
中心交换机支持静态或动态的IP地址分配,并支持动态 IP 地址分配方式下DHCP-Relay功能,DHCP SERVER可安放在园区内部。
对于固定IP地址用户,需要针对标识符(MAC地址)设定保留IP地址。
2.4. 组播与QoS
2.4.1. 组播业务
通过标准的组播协议完成用户的组播管理,设备可以支持丰富的组播协议,包括ICMP、PIM-SM、PIM-DM、MSDP等组播协议,可支持丰富的业务,包括视频点播、流媒体点播,可支持各种流
14
媒体终端以及组播源的种类。并可以并通过HGMP协议将各楼道交换机也纳入到组播实现中。通过这种机制,使得整个网络的流量做到最优,有效的保证了多媒体业务:
公共广播系统 校园电视台系统 大屏幕显示系统 信息发布系统
网络教学:使用视频和通讯设备实现一点对多点或点对点的交互式异地远端教学,实现学生和教师的实时交流,学生还可随时进行学习点播和查询。
对于IPv6的业务开展,对于IPv6流媒体的访问同样可以采用IPv6组播协议进行IPv6业务的开展,通过核心、汇聚IPv6协议的支持,可以在全网开展IPv6业务,确保IPv6组播业务能够很好的开展,便于IPv6业务的丰富、提高。
2.4.2. QoS优化
校园网络的发展日新月异,IP融合是大势所趋,校园网上语音、视讯等新应用的不断出现,对校园网络的服务质量也提出了新的要求,例如VoIP等实时业务就对报文的传输延迟有较高要求,如果报文传送延时太长,将是用户所不能接受的(相对而言,E-Mail和FTP业务对时间延迟并不敏感)。为了支持具有不同服务需求的语音、视频以及数据等业务,要求网络能够区分出不同的通信,进而为之提供相应的服务,QoS(Quality of Service,服务质量)技术的出现便致力于解决这个问题。现实情况是,大家都认为QoS非常重要,却极少在校园网中实施QoS,QoS已经成为校园网中IP融合的技术瓶颈,一方面是以往校园网应用远远没有像今天这样丰富,QoS部署的急迫性并没有被大家所重视,另一方面是在传统组网模式下,特别是在校园网这种复杂的网络环境下,QoS整网部署并不那么容易。本文依据DiffServ模型,分析了在各类已建成的校园网中部署QoS的典型方案。
QoS部署策略
从已建成的各种类型的校园网的组网来看,最为典型的是核心层,汇聚层,接入层的组网模式,往上行的流量会比较大,带宽较高,接入层和汇聚层设备众多。
在校园网中,结合DifferServ理论,我们针对业务的QOS功能有对应的设计方法, ? 报文的分类和标识:这是所有QOS的基础,报文分类的清晰度,直接影响后续QOS实现的功
15