xxx大学校园网技术建议书_第1页
xxx大学校园网技术建议书_第2页
xxx大学校园网技术建议书_第3页
xxx大学校园网技术建议书_第4页
xxx大学校园网技术建议书_第5页
已阅读5页,还剩139页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

XXXXX大学校园网建设技术建议书华为3COM技术有限公司2005年3月目录1概述411校园网建设背景412XXXXX大学校园网建网需求分析5121一般建网需求5122XXXXX大学建网需求6XXXXX大学的用户需求请自行添加。613整体建网原则72总体网络设计921核心改造组网描述922网络层次介绍103网络业务设计1331地址分配解决方式的选择1332S5600汇聚层交换机万兆的支持1333华为XXXXX大学解决方案特点14331完全的分布式的处理方式14332良好的互通性15333核心交换机先进的体系架构设计15334基于流攻击的防止。15335汇聚层强大的IRF扩展性能15336高可靠性汇聚层组网架构24337E系列接入层交换机25336QOS功能26337广播风暴的抑止27338组播业务2734XXXXX大学IPV6网络设计28341IPV6的优势28342整体设计29343IPV6运行模式设计3035网管解决方案334XXXXX大学用户管理及安全方案3741校园网用户认证管理需求分析3742校园网用户管理认证方案概述3843业务认证、授权管理描述38431认证选择设计8021X3844CAMS对用户上网认证的管理42441用户需求分析42442CAMS解决方案42443业务认证流程5544管理方案的坚定执行者E050、E026智能交换机57441端口IPMAC地址的绑定57442接入层防PROXY的功能57443MAC地址盗用的防止58444MAC地址反查,防攻击特性5845GUESTVLAN实现用户客户端的安全下载585核心网安全设计6051校园网BT业务限流量的解决方案6052多元绑定技术对XXXXX大学安全的应用65521校园网的安全特征65522绑定技术为XXXXX大学规划高安全的校园网。6753、防止对DHCP服务器的攻击71531PRIVATEVLAN71532访问控制列表71533新的命令7254、恶意用户追查7255防病毒攻击7256EAD全网安全联动解决方案7357网络管理安全设计7558组网安全性设计7859出口运营商线路备份796组网核心设备介绍8061QUIDWAYS8500系列万兆核心路由交换机8062QUIDWAYS6500系列高端多业务交换机8663服务器群万兆汇聚交换机S56009164QUIDWAYE系列教育网以太网交换机9565QUIDWAYS3026CPWR智能型以太网供电交换机10366QUIDWAYNETENGINE40系列通用交换路由器USR10767网管系统QUIDVIEW1127华为3COM公司售后保障体系11871两小时厂家上门服务11872服务组织结构11873服务及时性保障12074服务有效性保障121741724小时热线技术支持电话121742区域技术支持平台121743网上问题处理系统122744完善的实验平台122745高效快捷的备件系统122746技术支持网站与技术支持论坛123747完备的技术支持资料开发系统1238华为3COM认证培训体系介绍1249部分教育行业用户名单及案例129多业务高带宽解决方案清华大学美术学院131校园网高性能、综合管理解决方案北京邮电大学132深度业务检测解决方案北京外国语大学133高性能、高稳定、多级分层网络解决方案江南大学校园网134两校区大流量互联解决方案安徽大学135高可靠性校园环形网广东工业大学136多业务、新技术融合兰州理工大学数字化校园网137多校区互联、高带宽解决方案山东大学校园网138下一代高性能互联网骨干解决方案CERNET2骨干网建设139高性能、高带宽、高稳定巨型核心网解决方案广州大学城主干网140多校区、环形核心、超大校园网解决方案浙江大学校园网1411概述11校园网建设背景2004年7月20日,中国互联网络信息中心CNNIC在京发布“第十四次中国互联网络发展状况统计报告”。报告显示,截止到2004年6月30日,我国上网用户总数为8700万,比去年同期增长279,上网计算机达到3630万台。网络国际出口带宽增长飞速,总数达到539G,比去年同期增长1903。CN下注册的域名数、网站数分别达到38万和627万。8700万网民当中,教育的用户占有125,教育用户当中绝大部分的网民主体是来自于学生用户,报告中主要数据说明,前十年的发展取得丰硕成果,我国互联网事业正在持续快速的发展,并在普及应用上进入崭新的多元化应用阶段互联网的影响正逐步渗透到人们生产、生活、工作、学习的各个角落。同时,随着国家信息化工作的深入开展,提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键,尤其是高校校园网建设。在信息化的建设过程中,它的作用体现在如下几个方面1、校园网能促进教师和学生尽快提高应用信息技术的水平;信息技术学科的内容是发展的,它是一门应用型学科,因此,为了让学生学到实用的知识,必须给他们提供一个实践的环境,这个环境离不开校园网。2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库,所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。3、校园网是学校现代化管理的基础,深入、全面的学校信息管理系统必须建立在校园网上。4、校园网提供了学校与外界交流的窗口,学校应将校园网与互联网联接,这也是学校信息化的要求,做到了这一步,通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。教育即未来,作为国家最重要的战略工程,如何应用信息技术改造我们传统的教学和管理手段;如何加深学生对于信息化和信息技术的理解与了解;如何造就同时具备传统和信息双重文化的一代新人,已成为教育界当前最为紧迫的任务之一。信息技术的应用,势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑,并将全身心地为之努力。12XXXXX大学校园网建网需求分析121一般建网需求XXXXX大学的网络的建设主要是对于原校园网络的改造,改变原有校园网的带宽较小、性能低等原因。在实际的建设过程当中,应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性,如校园网内部的服务器的访问,由于学生的访问的内容多样化决定,涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此处主要分析XXXXX大学网络基础设施建设和网络运营方面相关的内容。XXXXX大学校园网络建设从网络流量模型上看和企业网的流量模型相似,用户集中而网络流量大,但实际应用上还存在许多和企业网不同的地方。主要特点如下1、多出口的需求典型的组网有中国教育和科研网(CERNET)出口和运营商网络出口。多出口带来了以下两个需求1多权限ISP需求。用户可通过不同的账号名或采用相同的账号,不同的域名认证,获得不同的上网权限。譬如做到用户不认证前能自由访问校园内部分服务器,采用“USER163”登录,可实现INTERNET和校园网络自由访问,采用“USERCRENET”登录,可访问CERNET和校园网。用户域名选择可通过WEB认证时用户通过选择WEB认证上的相应选择项进行选择。2多ISP分别计费的需求,对应不同的ISP,计费策略不一致。考虑到用户的以上的需求,需要在学校的内部提供不同的路由策略,即用户访问教育网的相关站点,通过CERNET的线路,而访问其他的网站如新浪网、263等网站则选择运营商的线路作为出口路由,这要求核心的交换机或出口路由器能够提供策略路由以支持该特性。2、用户管理的需求1使用方便,存在WEB认证需求。要求能做到基于WEB的身份认证、多ISP选择、W用户费率查询、带宽动态调整(隐性需求)、多WEB界面(隐性需求)等。2需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。3能够实现全网的安全管理,包括IP、MAC的盗用问题、防止接入用户的非法DHCPSERVER、PROXY等用户。4对于用户的上网行为能够实现实时的跟踪以及时候的追查。5对用户带宽进行控制的需求,要求设备能对用户的带宽进行控制,譬如限制为64K、256K、512K、1M、2M、5M、10M等等级。3、多种教学方式并行的需求随着校园网的信息化的发展,越来越的多教学方式依托于网络给学生提供多种的特色教学模式1多媒体教学。为了更好的为学生提供全方面的教学资料,越来越的多学校在自己的内部局域网上面为学生提供多种教学资料,如多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。2VOD点播业务实现,通过建立VOD视频服务器平台,利用交换机提供的组播功能,为XXXXX大学的用户提供优质的视频效果,同时节省用户带宽。4、安全管理的需求1校园用户接受新鲜事务的能力非常强,因此校园也成为黑客最多的场所之一,如何保障校园网络的安全成为建网时不得不考虑的问题,目前主要攻击手段有DOS,DDOS等2上网日志的需求,主要是配合公安机关保证社会的稳定和校园的安全6、组播业务的需求,特别是可控组播的需求将随着校园信息化的深入而体现出来。122XXXXX大学建网需求XXXXX大学的用户需求请自行添加。13整体建网原则早期的高校校园网主要是共用内部教育系统主机资源,共享简单数据库,多以二层交换为主,很少有三层应用,存在安全、可管理性较差、无业务增值能力等方面的问题。现在XXXXX大学校园网建设要实现内部全方位的数据共享,应用三层交换,提供全面的QOS保障服务,使网络安全可靠,从而实现教育管理、多媒体教学、图书馆管理自动化,而且还要通过INTERNET实现远程教学,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。基于对XXXXX大学校园网业务需求的深入理解,结合自身产品和技术特点,华为公司推出了了完善的XXXXX大学校园网解决方案,为XXXXX大学提供“高扩展、多业务、高安全”的精品网络。XXXXX大学网络建设遵循以下基本原则高带宽XXXXX大学网络是一个庞大而且复杂的网络,为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。可增值性XXXXX大学校园网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。可扩充性考虑到XXXXX大学用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,XXXXX大学校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。安全可靠性设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。2总体网络设计21核心改造组网描述XXXXX大学校园核心层解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。组网图如下所示如图所示,XXXXX大学的校园网改造主要目的是将整个校园网的性能、带宽进行全网的改造,包括学生宿舍区以及教学区的网络改造,网络整体分为三个层次核心层、汇聚层、接入层。为实现校区内的高速互联,核心层分别由3个核心节点组成,包括教学区区域、学生宿舍区、服务器群,每个节点采用一台S8500万兆核心交换机作为核心节点,承担着核心节点下所接入的数据信息,考虑到服务器群相对接入信息点数量较少,主要承担服务器群的接入访问,因此建议采用S8505万兆交换机。三个核心之间采用万兆相连,进而形成坚实的“铁三角”;汇聚层设在每个教学楼上,每个教学楼设置一个汇聚节点,汇聚层为高性能“小核心”型交换机,根据各个楼的配线间的数量不同,可以分别采用1台或是2台汇聚层交换机进行汇聚,建议采用华为3COMS5600作为楼层汇聚交换机;接入层就是每个楼的接入交换机,接入层交换机的选择仍然非常中要,考虑到接入层交换机的对于终端用户接入的控制起着非常重要的作用,因此建议采用安全性、控制性较高的设备,我们在此建议采用华为3COME050/E026接入交换机作为楼层接入交换机,E050/E026分别为48/24口交换机,用户可以根据接入信息点的数量灵活选择不同的产品,满足实际信息点数量的需求。22网络层次介绍在核心层,核心层主要采用三个骨干节点,分别为网络中心核心交换机(教学区),服务器群核心交换机,学生宿舍区核心交换机,此次网络的改造主要是为了实现骨干网带宽的提升,由原来的千兆骨干网带宽提升至万兆,网络内部采用动态路由协议OSPF,环网的构成进一步大大提高了网络的可靠性,同时华为S8512万兆交换机其背板容量18T,交换容量720G,包转发率432MPPS,具有14个插槽,包括12个业务插槽,S8505背板容量750G,交换容量300G,包转发率180MPPS,进一步满足大型节点高数据量转发的特点完全满足骨干节点的需求,整个改造后的IP网络与校园网核心交换机之间采用10GE的带宽相连大大扩大的原有的带宽,S8500万兆核心交换机采用CROSSBAR体系结构所有端口均线速转发。核心层的重点应当中重点考虑如何提高核心的组网架构,因此在实际的应用的过程当中建议采用环形的方式,如上图所示,铁三角的模式进一步提高了核心网的安全性以及稳定性。在汇聚层,由于宿舍区存在密集度高的大量用户,为了保证数据传输和交换的效率,现在各个楼内设置三层楼内汇聚层。楼内汇聚层设备不但分担了核心设备的部分压力,同时提高了网络的安全性。我们建议楼内汇聚采用QUIDWAYS5600万兆核心交换机。QUIDWAYS5600系列全千兆智能弹性交换机支持华为3COM创新的IRF(INTELLIGENTRESILIENTFRAMEWORK)技术,能够实现用户网络的高度弹性智能扩展。利用IRF技术,用户可以将多台设备通过堆叠接口连接起来组成一个联合设备(FABRIC),并将这些设备看作单一设备进行管理和使用,降低了管理成本,同时实现按需购买、平滑扩容,在网络升级时最大限度地保护已有投资。同时S5600支持万兆上联最大程度的提高了汇聚层与核心交换机之间的带宽扩展需求。在接入层,接入层是直接与用户相连的设备,因此,在实际的应用的过程当中我们建议采用华为3COME050/E026产品,由于楼内布线采用千兆铜缆布线,所以建议通过在E050/E026上配置千兆电接口与楼内核心交换机S5600进行链接,这样将会进一步扩大带宽。华为3COME050/E026具有48/24个固定的10/100M自适应以太网接口,2个扩展插槽,背板容量185G/128G,包转发率655MPPS可以实现所有端口的线速转发,支持各种类型的上行接口,支持堆叠。华为E系列接入层交换机具有强大的业务特性,可以支持256个标准的VLAN,VLANID均可达4096个并能够提供强大的业务功能如8021X认证、动态ACL、动态VLAN、防止PROXY等功能。支持8021X认证,其高性价比的特性可满足用户对于强业务、高性价比的组网要求用户认证、计费管理出口处采用华为3COM专业用户认证计费设备MA5200作为全网出口计费设备,MA5200具有强大的认证功能,可以实现按流量计费、支持多种计费策略,同时可以实现监控全网的出口流量,同时其旁挂式的方式大大提高了网络的安全性,避免了在出口产生流量瓶颈的问题,本次组网采用CAMS综合管理软件实行全网的用户认证和计费管理。详细介绍参加第三章。网管平台为提高网络管理的效率,减轻网络维护的压力,本次组网采用QUIDVIEW网管系统进行全网设备的统一管理。QUIDVIEW网络管理软件是华为3COM公司对数据通信设备如路由器、交换机等进行统一管理和维护的网管产品,位于网络解决方案的管理层,能够实现网元管理和网络管理的功能。QUIDVIEW网络管理软件基于灵活的组件化结构,包括网元管理平台、广域网管理系统、局域网管理系统、资源管理系统等,用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件,真正实现“按需建构”。3网络业务设计31地址分配解决方式的选择根据XXXXX大学的用户特点,考虑到网络中心的维护工作量,这里我们建议采用动态DHCP的方式进行IP地址分配。考虑到IP地址的管理比较繁琐,在实际的应用的过程当中建议可以与CAMS配合,实现IP地址分配至用户的方式进行IP地址的管理。32S5600汇聚层交换机万兆的支持从网络的整体结构上我们可以看出整个网络的设计是采用核心万兆环网,核心与汇聚、汇聚与接入之间均采用千兆的方式,接入与最终用户之间采用百兆的方式进行互通,整个网络的瓶颈在核心与汇聚之间的连接存在瓶颈,随着网络接入用户的不断扩大,汇聚与接入之间可以采用万兆的方式进行互联。华为3COMS5600汇聚层交换机,交换容量192/240G,包转发率66/102MPPS可支持2个万兆接口上行,用户无需任何投资,可以直接购买10GE模块,可直接插到汇聚层S5600交换机上就可以实现万兆带宽的升级,原上联GE接口可以作为下联接口用。整体组网如下所示核心与汇聚层之间直接采用万兆的带宽将汇聚层存在的带宽瓶颈问题彻底解决,S5600汇聚层万兆交换机可为用户提前做好万兆升级的准备,减少用户投资。33华为XXXXX大学解决方案特点华为XXXXX大学教育网组网解决方案的优点有以下几点331完全的分布式的处理方式S8500为用户提供完全的分布式的处理方式,XXXXX大学的校园网内部的数据量是非常大的,因此主交换机是否能够做到线速关系到整个网络的是否会发生拥塞。华为S8512背板交换容量18T够做到所有GE接口的双向的线速,华为公司的S8512的性能指标是经过完整的测试,而业界厂家在指标宣称上面往往与给最终提供给用户的不一致。而用户又由于测试仪器的限制无法确认实际配置的性能,这一点在华为公司是绝对不会出现的。再次,分布式的转发,对于S8500路由查找是非常有益的补充。因为S8500的路由查找模式为最长匹配。这样就可以避免校园网内外的非法用户利用专门的攻击软件来攻击中心交换机,因为这种攻击是通过不断变换自己的本网断内的IP地址,来不断消耗主控处理板的CPU处理能力,直到彻底使主控处理板的CPU丧失处理能力,整个机器瘫掉。但是S8500是根据最长匹配来查找路由的,是针对网断进行路由的。所以当攻击者进行攻击时,S8512只能造成该接口板的业务能力处理下降,但是对于整机没有多大影响。这是我们选则S8500的作为核心交换的非常重要的原因。332良好的互通性S8500具有良好的互通性,S8500支持标准的路由协议,包括OSPF、BGP4、ISIS、RIP等路由协议,在实际的开局中与FOUNDRY、思科、EXREME等多种厂家均能够实现互通,在华南理工大学、山东大学等用户都得到实际的应用验证。333核心交换机先进的体系架构设计网络的背板技术经历了共享式、缓存式等发展,CROSSBAR技术被公认为最为完美的一种设计方式,华为3COM公司S8505交换机采用背板采用分布式CROSSBAR的技术,整机的转发不存在任何的瓶颈问题,同时,S8505可实现背板容量的平滑升级,除背板采用CROSSBAR的方式,在接口板上,华为3COM公司S8505万兆核心交换机采用分布式CROSSBAR的技术,即在每个业务单板上面也同样采用CROSSBAR的技术,端口与端口之间的转发均有可直达的端到端转发通道,使得端口之间的转发不存在在任何瓶颈,大大提高了核心交换机的整机转发性能。334基于流攻击的防止。华为3COM所采用产品S8500、S5600等三层转发模式均为最长路由匹配技术。这样就可以避免校园网内外的非法用户利用专门的攻击软件进行的一些基于流的共计,因为这种攻击是通过不断变换自己的本网断内的IP地址,来不断消耗主控处理板的CPU处理能力,直到彻底使主控处理板的CPU丧失处理能力,整个机器瘫掉。S8500是根据最长匹配来查找路由的,是针对网断进行路由的。所以当攻击者进行攻击时,不会造成S8500业务能力处理下降,对于整机没有影响影响。这是我们选则S8500的作为核心交换的非常重要的原因。335汇聚层强大的IRF扩展性能S5600可以支持强大的IRF特性,可以扩大汇聚层与核心层之间的带宽以及可靠性,其相关技术如下路由的热备份相对于传统的设备组网,IRF提供了真正的单播路由协议和组播路由协议的热备份。并且用户不需要花一半的投资专门用在备份设备上面,IRF中所有的设备都实际参与业务运行。IRF是在提供业务的同时进行备份。DRR实现了路由协议热备份的技术,做到了同一个FABRIC中各个UNIT上路由信息的严格同步,并且在其中一个或多个UNIT出现故障的时候,其它UNIT可以照常运行并迅速接管故障UNIT的功能,此时,域内路由协议不会随之出现中断,二/三层转发流量和业务也不会出现中断,从而实现了真正意义上的不中断路由协议、不中断业务的故障保护和设备切换功能。IRF的分布式弹性路由链路的备份分布式的聚合技术进一步消除了聚合设备单点失效的问题,提高了聚合链路的可用性。由于聚合成员可以位于系统的不同设备上,这样即使某些成员所在的设备整个出现故障,也不会导致聚合链路完全失效,其它正常工作的UNIT会继续管理和维护剩下的聚合端口的状态。这对于核心交换系统和要求高质量服务的网络环境意义重大。IRF数据报文数据报文链路故障分布式链路聚合(DLA)DLA技术允许IRF网络核心外的其他交换机等设备以多宿主的方式接入IRF网络核心,极大提高了全网的可用性。通过多条聚合链路流向IRF网络核心的流量将均匀分布在聚合链路上,当某一条聚合链路失效时,DLA能够将流量自动重新分布到其余聚合链路以实现链路的弹性备份和提高网络可靠性。高性能由于IRF设备是由多个支持IRF特性的单机设备堆叠而成的,IRF设备的交换容量和端口数量就是IRF内部所有单机设备交换容量和端口数量的总和。因此,IRF技术能够通过多个单机设备的堆叠,轻易的将设备的核心交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。IRF扩展性IRF技术最大支持八台设备的堆叠,用户可以按照自身的需要购买IRF交换机。由于业务的需要,如果用户需要扩展网络的容量,只需要堆叠更多的IRF交换机,就可以达到扩容的目的。IRF技术极大的保护了用户以前的投资,提高用户的投资效率。分布式设备管理支持IRF技术的多台设备可以被看成是一台统一的设备来管理。用户将一个FABRIC当成一台整体设备进行管理高效的配置管理IRF技术最多可以连接8台设备组成一个FABRIC,无论是管理特性、还是转发特性,在用户看来,FABRIC就像是一台设备在运行。组成FABRIC的每台设备具有相同的桥MAC地址,单一管理IP地址和三层转发地址。用户无论通过何种方式(CONSOLE口、TELNET、SNMP)连接到FABRIC内的一台设备上,对FABRIC的配置只需要执行一次,FABRIC内的所有设备都将得到配置。1234IRF软件版本升级相对于以前的简单堆叠,对堆叠体内多台单机进行软件升级的操作将要执行多次,而IRF交换机,通过WEB网管,用户只需要执行一次操作,就可以实现FABRIC内所有UNIT的软件的自动升级。设备的热插拔组成FABRIC的设备可以任意的插入和拔出,而不会影响当前FABRIC的正常运行。当一台设备通过堆叠线接入到一个正在运行的FABRIC内,原有的FABRIC就会检测到新的设备,同时验证新设备是否可以加入到FABRIC,如果验证通过,新加入的设备将会得到原有的全局配置信息和转发信息,同时将自己设备特有的配置和转发信息散发到FABRIC内,经过短暂的信息交互后,新加入的设备就可以参与转发了。而这个过程丝毫没有影响原有设备转发过程。当然,这个过程也可以是两个现有的FABRIC进行合并,现有的转发不会受到影响。当从FABRIC断开一台或者多台UNIT,和该设备相关的配置、转发信息将被从剩余的设备内删除,从而不会造成转发失败。同时,分离出去的UNIT可能会自己形成一个新的FABRIC,由于FABRIC内所有的配置都是相同的,如果原来配置有三层接口,分离出去的FABRIC可能会和原来的FABRIC发生IP地址冲突,即在网络中不同的设备上有相同的IP地址配置。为了避免这种情况发生,IRF使用RESILIENTARP技术,探测FABRIC发生分离的UNIT之间是否存在IP地址冲突,如果存在,则把其中之一的设备降为二层设备使用,避免冲突而引起网络路由的振荡。分布式二层协议组成IRF的多台交换机就像一台设备在运行,当然这也包括很多协议的运行。IRF交换机支持的多数协议,例如RSTP、IGMPSNOOPING、LACP等,这些协议都是分布运行在FABRIC内的各个设备上,每个设备独立运行协议,与外部协议实体进行交互;同时为了保持IRF作为一个整体运行,UNIT之间完成必要的信息交互。在外界看来,组成IRF的各个设备好像是一个协议实体在运行,而在内部,各个协议分布运行在IRF的各个设备上,每个设备都独立承担本设备的协议计算,协议在FABRIC内负载分担运行,这样不仅提高了设备的利用率,同时,由于是分布式运行,每台设备上只需要保留本UNIT的信息,任何一台设备上不需要FABRIC完整的协议状态信息,节省了大量的设备间备份操作。另外,FABRIC内任何UNIT发生故障,由于协议分别独立运行,相互之间的依赖关系不强,只需要简单操作,就可以恢复设备的正常运转。传统堆叠IGMP报文运行在IRF交换机上的IGMPSNOOPING,每个UNIT都只维护本UNIT上的路由器端口、主机端口,但是并不关心其它UNIT上的端口号。如果本设备接收到IGMP主机加入报文,表明该设备需要转发多播数据,本UNIT就向FABRIC内其它UNIT发送一份通知消息,告诉FABRIC内其它UNIT需要向此UNIT转发数据,如果该设备以后再次收到相同组播组的主机加入消息,就不会再通知FABRIC其它UNIT了。实现按需转发IGMP报文,在FABRIC内减少IGMP协议报文的拥塞冲突。IRFHOST4HOST3HOST1HOST2UNIT1UNIT3UNIT4UNIT2IGMP主机加入报文数据流ROUTERIRF堆叠设备中IGMP报文分布式转发FABRIC内的设备通过堆叠口连接在一起,堆叠的连接方式可以是多种多样的串行连接、环形连接以及星型连接。如果采用环形连接,而且报文需要从FABRIC内其它UNIT转发出去,那么收到报文的UNIT一般会有两条路径选择将报文转发到出端口所在的UNIT上。IRF在进行转发时,会选择一条距离出端口所在UNIT最近的路径转发。这种最短路径的转发方式,比起单向的转发,不仅效率高,而且可以起到负载分担的作用。IRF技术完全实现了报文的分布式转发,无论是二层报文交换,还是三层报文的路由,都能够做到分布式转发。分布式的转发最大限度地利用了FABRIC内UNIT的带宽。二层转发在FABRIC内每台UNIT上,有足够的二层转发表项,指导报文在本地完成交换,而无需再经过第三方的处理。当FABRIC内一台UNIT接收到转发报文,通过查找自己的二层转发表,就可以得到转发的出端口,这个端口可以是本地端口,也可以其IGMP通用查询报文数据流它UNIT上的端口。如果出端口是本UNIT上的端口,则直接交换出去;如果是其它UNIT上的端口,则通过堆叠口转发到相应的UNIT上,再交换出去。但是无论端口是在本地,还是在其它UNIT上,转发过程只需要一次查询二层转发表,就可以被交换出去。在FABRIC内任何UNIT接收到转发报文,都会在本UNIT上进行源MAC地址学习,就像其它任何交换机所作的一样;但是,无论FABRIC内有多少台设备,IRF交换机必须表现的像一台交换机在工作一样,那么,在一台UNIT上学习的二层转发表项,FABRIC内的其它UNIT也必须有,否则,报文就会在VLAN内广播。为了实现FABRIC内二层分布式转发,而且IRF内的交换机表现的象一台设备一样,当一台UNIT新学习到MAC表项以及用户配置的MAC表项,都需要同步到FABRIC内的其它设备上。当FABRIC发生变化,例如加入一台新的UNIT,新的UNIT需要获取原FABRIC的转发表项,同时将自己的转发表项同步到原FABRIC内。如果有UNIT离开,则需要把和此UNIT相关的表项从FABRIC内删除掉。三层转发同二层转发类似,IRF交换机实现了分布式的三层转发,即FABRIC上任意一个UNIT都有完整的三层转发能力,当它收到待转发的三层报文时,可以通过查询本UNIT的三层转发表得到报文的出接口以及下一跳,然后将报文从正确的出接口送出去,这个出接口可以在本UNIT上也可以在其它UNIT上,因为FABRIC始终是作为一台设备进行工作的,任何一个UNIT上的接口都是FABRIC上的接口,将报文从一个UNIT送到另外一个UNIT是一个纯内部实现,对外界是完全屏蔽的,即对于三层报文来说,不管它在FABRIC内部穿过了多少UNIT,在跳数上只增加1,即表现为只经过了一个网络设备,在FABRIC内部的报文传递是不会改变报文的三层属性的。因此对于外界设备来说,FABRIC始终就是一台设备。ROUTER1ROUTER2ROUTER3ROUTER4IP报文数据流UNIT1UNIT3UNIT4UNIT2IRF分布式三层转发不管转发出端口是在本地,还是在FABRIC内其它设备上,通过在本地一次查找路由转发表,报文就可以实现三层转发任务。相对于集中式的转发,减少了对单台设备的依赖,同时减轻设备的转发负载。组播转发组播数据转发是影响网络带宽的祸首,如何合理有效的处理组播数据转发是困扰业界的一个难题。同传统的堆叠技术和多台单机互联设备相比,使用IRF技术堆叠的设备,可以做到按需转发组播数据报文,减少设备间组播数据流量。IRF交换机将三层组播转发表和分布式IGMPSNOOPING有机的结合后,产生了交换上引导组播数据转发的二三层结合的组播数据转发表。该组播转发表只维护本UNIT上的用户出端口和FABRIC内其他UNIT上出端口的UNIT号,而且只记录出端口所在的UNIT号,并不关心具体的端口号。这种高效的转发表从根本上解决了组播数据占用带宽的问题,保证了设备间只有一份报文传送。传统堆叠的组播数据转发IRFSERVERHOST5HOST4HOST3HOST1HOST2UNIT1UNIT3UNIT4UNIT2UNIT4UNIT1HOST5SOURCEUNIT2上的转发表组播数据流图9IRF的组播数据转发336高可靠性汇聚层组网架构HOST5如图所示,在实际的应用过程当中建议采用两台楼层汇聚交换机跨设备捆绑与核心交换机形成带宽、线路上的负荷分担、链路扩展,两台S5600交换机之间采用IRF技术形成一个单一的UNIT,同时又实现链路的跨设备捆绑进而实现链路的带宽扩大,再者当任何两台设备之间的链路出现问题,IRF都能构确保整个网络的安全、稳定。337E系列接入层交换机1端口IP地址的绑定对于学生宿舍区的用户上网的安全性非常重要,华为E050/E026可以实现端口IP地址的绑定关系,一般的8021X的认证的采用的是MACIP地址的绑定关系,但是由于学校学生毕业流动的缘故,PC机的MAC地址会不断的发生变化,学生的PC机随机的发生变化使得学校无法对整网进行维护,而且无法防止学生IP地址欺骗的攻击,因此建议学校采用IP地址端口的绑定关系,如每个宿舍分配一个IP地址,当用户通过8021X客户端认证通过以后用户便可以实现IP地址端口用户ID的绑定,这种方式具有很强的安全特性防DOS的攻击,防止用户的IP地址的欺骗,对于更改IP地址的用户(IP地址欺骗的用户)可以实现强制下线。2动态VLAN的功能对于位置移动的用户(有便携机),可以采用动态VLAN的技术来实现,用户的的VLAN是和用户的ID号对应的,用户可以通过不同地理位置的接入点上网,用户认证的过程当中,RADUIS服务器会根据用户的ID号对应到用户所属的VLAN当中。这样学校便携机使用者能够方便的使用学校的网络资源,同时学校有能够对移动用户进行管理监控。华为E050接入层交换机可以为用户提供强大的动态VLAN功能切实可行的为用户提供丰富的业务功能。3接入层防PROXY的功能考虑到大学学生的技术性较强,在实际的应用的过程当中应当充分考虑到学生的PROXY的使用,对于PROXY的防止,华为3COM公司E050配合华为3COM公司的8021X的客户端,一旦检测到用户PC机上存在两个活动的IP地址(不论是单网卡还是双网卡),E050将会下发指令将该用户直接踢下线。4IP地址盗用的防止在校园网的应用当中IP地址的盗用是最为经常的一种非法手段,用户在认证通过以后将自己获取的IP地址进行修改,然后在进行一些非法操作,在XXXXX大学的网络的设计当中我们针对该问题,在接入层交换机上提供防止IP地址盗用的功能,用户在更改IP地址后,8021X客户端与E050配合,直接将用户下线,其下线功能是由E050来实现的,不依赖于8021X客户端,因此对于学生自己从网上下载的8021X的客户端来说,E050仍然可以对其进行有效的控制。336QOS功能QOS对于网络的应用来说是非常重要的,考虑到学校未来要增加多种的业务,如流媒体点播、视频点播等,这要求全网能够提供强大的QOS的功能,华为3COM的S8500、S5600全网产品可以为用户提供丰富的QOS保证,华为3COM公司支持QOS技术中的PQ/CQ/WFQ/LLQ/CBWFQ等转发队列优先保证机制,所携带的IP地址段、TOS值、源端口号等均可实现业务的保证,同时可以针对不同的接入层交换机端口或是不同业务进行端口的限速,以提高全网的QOS业务的保证。同时S8500以及S5600可实现基于业务类型的流领控制功能,如基于端口、IP、VLAN等带宽管理以及优先权的分配,可实现带宽管理最小粒度为8K。337广播风暴的抑止华为3COMS8500、S5600、E系列接入交换机均可以实现基于端口的广播风暴抑止功能,可支持同一VLAN内的风暴抑止功能,可以有效的抑止局域网内部的广播风暴,确保网络的安全稳定。338组播业务QUIDWAYS8500、S5600、E050通过标准的组播协议完成用户的组播管理,S8505、S5600均可以支持丰富的组播协议,包括ICMP、PIMSM、PIMDM、MSDP等组播协议,可支持丰富的业务,包括视频点播、流媒体点播,可支持各种流媒体终端以及组播源的种类。并可以并通过HGMP协议将各楼道交换机也纳入到组播实现中。由S5600完成对其下挂的汇聚交换机以及楼道交换机的组播用户进行报文复制和发送。通过这种机制,使得整个网络的流量做到最优,有效的保证了视频点播、网络电视、会议电视、视频游戏等视频业务的开展,通过组播实现的视频业务有会议电视利用网络和数字视像技术实现异地会议的交互传输和控制。付费视频按节目收费的视讯节目。视频点播交互式电视的一部分,它使用户可以随意选择所需的视讯节目,并可随意地控制节目播出(如快进、快倒、暂停等)。网络教学使用视频和通讯设备实现一点对多点或点对点的交互式异地远端教学,实现学生和教师的实时交流,学生还可随时进行学习点播和查询。XXXXX大学组播业务示意图如图所示全网可以采用OSPF路由协议,组播协议建议采用PIMSM组播协议,华为3COM汇聚层交换机采用以及核心交换机均支持丰富的组播协议,相关组播数据可以在交换机端口进行复制广播。同时,对于无视频流需求端口无需要进行复制。S5600、S8500均支持可控组播,可控制的组播源的地址,可确保对终端用户的控制。对于IPV6的业务开展,对于IPV6流媒体的访问同样可以采用IPV6组播协议进行IPV6业务的开展,通过核心、汇聚IPV6协议的支持,可以在全网开展IPV6业务,确保IPV6组播业务能够很好的开展,便于IPV6业务的丰富、提高。34XXXXX大学IPV6网络设计341IPV6的优势IPV6的发展是从1992年开始的,经过了12年的发展时间,IPV6的标准体系已经基本完善,在这个过程中,IPV6逐步优化了协议体系结构,为业务发展创造机会,归纳起来IPV6的优势包括如下几个特点地址充足IPV6产生的初衷主要是针对IPV4地址短缺问题,即从IPV4的32BIT地址,扩展到了IPV6的128BIT地址,充分解决地址匮乏问题。同时IPV6地址是有范围的,包括链路本地地址、站点本地地址和任意播地址,这也进一步增加地址应用的扩展性。简单是美简化固定的基本报头,采用64比特边界定位,取消IP头的校验和域等措施,以提高网络设备对IP报文的处理效率。扩展为先引入灵活的扩展报头,按照不同协议要求增加扩展头种类,按照处理顺序合理安排扩展头的顺序,其中网络设备需要处理的扩展头在报文头的前部,而需要宿端处理的扩展头在报文头的尾部。层次区划IPV6极大的地址空间使层次性的地址规划成为可能,同时国际标准中已经规定了各个类型地址的层次结构,这样既便于路由快速查找址格式更具层次性,也有利于路由聚合,缩减IPV6路由表大小,降低网络地址规划的难度。即插即用IPV6引入自动配置以及重配置技术,对于IP地址等信息实现自动增删更新配置,提高IPV6的易管理性。贴身安全IPV6集成了IPSEC,用于网络层的认证与加密,为用户提供端到端安全,使用起来比IPV4简单、方便,可以在迁移到IPV6时同步发展IPSEC。QOS考虑新增流标记域,为源宿端快速处理实时业务提供可能,有利于低性能的业务终端支持IPV6的语音、视频等应用。移动便捷MOBILEIPV6增强了移动终端的移动特性、安全特性、路由特性,降低了网络部署的难度和投资,为用户提供了永久在线的服务。IPV6的上述特点充分迎合了未来网络向IP融合统一的发展方向,并提升IP网络的可运营可管理性。342整体设计XXXXX大学IPV6网络的建设主要是为了在目前的校园网内部建设IPV6环境,使得学生对IPV6网络进行访问,同时逐步在IPV6网络当中开展IPV6业务,如组播、FTP、流媒体等业务,进而提高IPV6网络的用户数量,扩大IPV6应用。华为S8500、S5600等三层交换机可实现IPV6的支持,可以支持静态IPV6路由、支持基于硬件的IPV6转发,可实现IPV6到IPV4以及IPV4到IPV6等隧道技术,其整体的IPV6升级方案如下图所示INTERNET2CERNET2IPV6服务IPV4USERIPV4USERS8512S5600E050/E026E050/E026IPV6USER核心汇聚接入IPV6USERIPV6USER双栈双栈双栈NATPT如图所示,在同一台接入层交换机下可能存在不同的用户有V6用户也有V4用户,对于V4与V4用户的互通,或是V6与V6用户的互通可以直接通过核心交换机来实现,而对于两个跨V4网的V6孤岛之间的互联可以通过隧道技术来实现,通过两个V6边界路由之间建立隧道的方式进行互访,边界路由交换机S8500以及汇聚层交换机S5600都采用双栈运行的模式,对于V6用户访问V4的资源方式,可以采用ALG或是NPATPT的方式来实现,将V6的和V4的报文头进行互译,从而实现V6与V4用户的互通。华为S8500支持6TO4或4TO6等方式完全可以满足用户的需求。343IPV6运行模式设计在整个IPV6网当中可以运行多种IPV6相关业务,因此将会出现以下相关技术,如6TO4、4TO6、双栈等多种方式,如图所示,全网的资源实验访问可分为以下几种IPV4IPV6IPV4与IPV6之间的相互互通是非常重要的,在实际的应用的过程当中华为3COM采用NAT转换的方式进行互通,在IPV4用户访问IPV6的资源时,由于IPV6的IP地址丰富,可以采用一个IPV4对应一个IPV6的地址,进行转换;而IPV6用户访问IPV4的资源时,由于IPV4的地址资源相对有限,可以按照收敛比采取多对一动态的转换的方式进行互通,其基本的实现方式如下IPV6用户在访问PV4的用户时,在边界路由器上进行NAT转换,过程是将IP的报头取出,改为IPV4的报头,与IPV4的用户进行互通;同样IPV4用户访问IPV6的用户时,当经过边界路由器的时候,边界路由器会将IPV4的包取出,更改为IPV6的报文格式在IPV6的网络内部实现IPV6之间的互通。IPV6IPV4IPV6同样在IPV6网络的建设过程当中将会存在IPV6的孤岛跨IPV4进行互访的情况。华为3COM可以支持跨IPV4网络的IPV6孤岛的互通,可支持在多个边界路由器上(必须以双栈的方式进行运行。)进行手工的配置隧道,该隧道对于最终的用户来说是不可见的,如图所示当一个IPV6的包经过边界路由器的时候边界路由器会将IPV6的报文封装为IPV4的包在隧道种进行传送,当报文到达对防的时候,在边界路由器上进行解封装,还原出原IP6的包,从而实现互通。对于终端的PC机用户来说也可以实现网络的访问,PC机终端会携带IPV6请求包向IPV6接口发出请求,该报文通过IPV4网络时将会直接封装为IPV4包,当到达IPV6接口时,将还原为IPV6包,当接口得到IPV6请求时,会返回其请求的前缀,报文同样被封装为IPV4包,当到达终端IPV6主机时,会直接还原为IPV6包,并将前缀直接分给终端主机,终端主机结合自己的后缀,自动配置好IPV6地址,进而实现PC机终端与边界路由器之间的6TO4隧道。双栈模式华为3COMNE40路由器支持双栈方式的运行,即一台路由器可实现同时处理IPV4以及IPV6两种方式,如下图所示在由同一个物理网络当中同时存在两种模式的IP网络,即IPV6网络与IPV4网络,IPV6用户之间可实现互通,同时IPV4用户亦可在同一张网络当中实现互通,这样每个点的用户即可以通过核心路由器之间进行IPV4的互通,也可以通过核心路由器NE40进行IPV6的互通,进行IPV6的相关实验。华为NE40可完全实现双栈的运行方式,满足用户的各种需求。35网管解决方案根据网络实际情况可采用华为QUIDVIEW网管系统。特性该系统采用开放式结构设计,严格遵守标准的SNMP协议(RFC1157),主要使用RFC1213定义的MIB信息,具有投资省、使用灵活、易于移植等特点使用灵活QUIDVIEW系统的使用方式非常灵活,既可以作为设备级的应用程序集成到已有的网管平台(如HPOPENVIEW、RADIUMSNMS、SNMPC、NETMANAGER)中进行网络级管理,又可以作为独立的应用程序执行进行设备级管理。同时可以根据用户需求进行接口的开放。支持WEB方式基于WEB的管理是网管方式的一次革命,其主要优势在于基于WEB的管理允许网络管理人员使用任一种浏览器在网络的任何节点上方便迅速地配置、控制及监视网络。在WEBSERVER上安装了网管软件后,其它网管机器不用预装网管软件,只须安装了WEB浏览器并且设备能上网,就

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论