万兆先进型校园网方案

万兆校园网解决方案校园网是一个承载各种网络应用的平台。随着数字校园、网络教学等应用的深入发展，以及基于网络视频等大流量网络应用的快速发展，一些服务器也已经开始广泛使用千兆网卡，这使得校园网骨干网升级为万兆成为一个迫切的需求。下面我们按照结构、性能、接入、IP和应用五个方面来看如何部署万兆校园网络。校园网结构分析在核心层采用万兆交换机可以大大提高核心数据交换能力，而整个校园网络不仅需要保证各个接入点充足的带宽，而且需要拥有可管理且安全的网络服务，这样才能让整个校园网发挥最大的功用，成为整个校园的中枢神经。在核心层，万兆核心交换机通过万兆链路分别与两台汇聚层的万兆上连交换机相连，构成万兆环网设计，一旦其中一条万兆链路出现问题，另一条会立刻自动启用。在链路设计上，充分保障了关键区域网络的稳定可靠。在对带宽需求比较大的教学场所或图书馆等汇聚层部署万兆骨干交换机，需要配备多个扩展槽，以满足未来的扩展需要，并实现万兆线卡的线速转发。汇聚层的其它地方则要部署千兆交换机。另外，网络设备还需要支持硬件IPv6，为以后的平滑过渡做准备。在接入层，网络接入交换机全部采用安全智能接入交换机，以提供强大的安全功能，从而在接入层对常见的病毒和攻击进行防护。校园网性能分析万兆网络的高性能首先需要在核心层得到保障，因此，核心交换机的先进性、吞吐量和可靠性是校园网最重要的环节之一。万兆核心交换机至少需要支持3.2Tbps的背板处理能力，且具有1190Mbps以上的的包转发能力，还需要采用第二代Crossbar架构，以克服第一代Crossbar架构技术的局限性，从而达到质的提升。另外，核心交换机需要采用ACL（访问控制）来实现病毒防护、安全过滤等功能。在核心交换机的ACL实现方面，需要采用硬件ASIC芯片，达到在保证安全的同时不影响网络性能的目的，同时实现整机数据端口级同步处理ACL/QOS.通过线卡芯片线速转发L2/L3/组播数据，实现从线卡到端口的全面分布式硬件设计，有效分流、缓解线卡ASIC芯片的负载压力，极大地提升交换机的整体数据处理能力，满足业务急剧增长的需要，保持网络的高性能无阻塞交换和网络安全防护，实现多数据多业务的全线速处理。在可靠性方面，核心设备需要电源冗余、交换引擎冗余，另外，模块需要具备热拔插功能，以防止设备级单点故障。校园网接入认证分析以前校园网在设计时的立足点是让每个用户都可以无障碍地接入到网络中来，同时，尽量减少故障率。而现在，在保证无障碍接入的同时，校园网更加注重接入用户的认证，未经授权的网络接入和访问需要禁止。目前，在实现认证功能方面，最常采用的是802.1X技术，而以前常用的Web Portal或PPPoE认证方式，已逐步被淘汰。由于校园网用户接入类型相对繁杂，包括生活区及教学区的固定接入、机房接入、图书馆接入以及无线接入等方式。网管人员可以通过账号、IP地址、 MAC地址、交换机、交换机端口等多元素灵活绑定，以满足复杂的应用需求。在认证策略方面，可采取认证计费报文与业务数据分流技术。在认证通过后，业务数据流就旁路了。这样用户在整个上网过程中，就避免了报文和 Radius服务器的交换，交换机也无须处理认证计费报文，从而保证了网络性能。在认证计费技术的实现上，每个接入交换机的每一个端口均相当于一个认证者，从而实现了分布认证，排除单点故障，同时克服了传统网关设备进行认证计费时造成的性能瓶颈。校园网IP地址分析在校园网运行中，由于用户自行随意分配IP地址，常会发生IP地址冲突、盗用和滥用的情况，这严重干扰了校园网的正常运行，也是网络管理人员最头痛的问题。因此，如何解决IP地址冲突，并有效防止IP地址的盗用和滥用，是校园网建设中必须考虑的问题。在接入客户端上启用端口+IP+ MAC绑定是解决IP地址问题的一个非常有效的方法。这就需要接入交换机能够支持硬件实现IP、MAC、端口绑定和IP+MAC绑定，并能实现端口反查功能，从而追查源IP、MAC访问以及恶意用户，有效地防止通过假冒源IP、MAC地址进行网络攻击，进一步增强网络的安全性。控制类似ARP攻击，保护校园网络安全也是一个非常重要的工作。接入交换机需要支持ARP报文检测功能。交换机通过核对ARP报文中的源IP、MAC是否和端口安全规则一致，有效防止了安全端口上的ARP欺骗以及非法信息点冒充网络关键设备IP事件的发生。校园网应用分析一个完善的校园网络应该具备杜绝非法组播源、保证合法组播源正常应用的功能，同时还能够保障网络带宽合理有效地利用。目前销售的交换机均支持IMGP源端口检查，能够有效杜绝全网非法组播源，严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时，从任何端口进入的视频流全是合法的，交换机会把它们转发到已注册的端口。而当IGMP源端口检查打开时，只有从路由连接口进入的视频流才是合法的，交换机会把它们转发向已注册的端口，而从非路由连接口进入的视频流则会被视为非法端口进而被丢弃。另外，校园网还需要控制和过滤已知的网络病毒类型，保障正常网络资源的访问，这需要依靠ACL来实现。ACL还要支持智能的防扫描功能，从而判断用户是否对网络进行扫描，如果结果超出定义值，交换机就会自动切断用户连接，从而保障网络的正常应用。实现智能控制网络应用，合理规划使用资源，需要网络对出现的新应用有探知能力。例如在校园网中盛行的P2P应用，如果不对其加以控制，其后果将是有效带宽被无限制地占用。因此，交换机需要支持对新应用的深度识别和控制，除硬件识别报文中的二层字段如MAC地址、三层字段IP地址、四层字段 TCP/UDP端口号以外，还能硬件识别和控制报文内容，从而及时在接入层进行遏制，达到控制泛滥使用或不法网络应用流的目的。高品质的校园网络解决方案 网络核心层设备配置及方案说明： 根据网络中心的设计原则，以提高核心设备的可靠性、可用性为目标，结合用户的具体要求，中心采用NETGEAR公司的企业级GSM7352S多层万兆兆以太网交换机。高性能价格比的 GSM7352S 提供48个10/100/1000M 双绞线铜缆千兆端口和8个千兆GBIC插槽（与后8个10/100/1000M 电口共享），196Gbps 的交换能力和137Mpps 的线速路由转发能力将充分满足日益增长的网络业务的性能需求，支持最大8台交换机的真正堆叠，最大提供192个千兆端口和16个10G万兆端口。GSM7352S 灵活的端口配配置为用户组建网络带来了最大的灵活性。GSM7300S 系列交换机支持 RIPv1v2、OSPF、SNMPv1v2v3、IGMP 监听、802.1x 端口认证等丰富的软件特性集，并提供了丰富的包过滤和优先级设置功能及增强 QoS 功能特性，可以进一步增强网络的安全性以及适应不同网络应用的需求，是构建中大型企业级网络中心的理想选择。核心层，汇聚层设备连接说明：网络中心的 GSM7352S 与汇聚层 GSM7312（GSM7324）交换机之间采用两条1000Mbps 链路相互之间进行连接。采用 NETGEAR 称为Trunking 的链路聚合 （Link Aggregation）技术，逻辑上交换机视 2条物理链路为一条逻辑链路，这样交换机使用的Spanning Tree 或者快速生成树协议（Rapid Spanning Tree协议）不会将两台桥接的交换机多条物理链路所构成的环路中断。当其中的多条物理链路中的任何一条出现故障中断时，交换机会自动将其隔离，数据在其它链路上进行传输，当链路故障恢复正常，恢复传输数据。Link Aggregation 技术是网络骨干交换机提高相互连接带宽，减少瓶颈，冗余链路的最佳技术选择。同时也是骨干核心交换机与边缘交换机的连接技术选择。汇聚层设备配置及方案说明： 汇聚层采用 NETGEAR 公司二层千兆交换机 GSM7312 或 GSM7324，负责每个楼片区的接入。GSM7312提供12个10/100/1000M千兆RJ-45端口（所有端口支持自协商和MDI/MDIX线缆自适应），12个 miniGBIC （SFP） 插槽可提供千兆光纤的连接（每一个1000Base-T 与对应的MiniGBIC端口共享使用，需另外购买千兆光纤SFP模块）。最为灵活的端口配置为用户组建网络带来了最大的灵活性。每交换机支持多达512条路由表项，VRRP（虚拟路由冗余协议），ICMP，RIP v1 和RIP v2路由信息协议，OSPF v2最短路径优先动态路由协议，并且还具有DHCP / BOOTP的中继能力。对于汇聚层到网络中心的连接，考虑到上行链路的负载，以及网络链路高可靠性的要求，我们建议采用两条千兆以太网的上连方式；每台汇聚交换机采用2个千兆线路采用以太网链路聚合技术（Link Aggregation）连接到网络中心的三层中心交换机。接入层设备配置及方案说明： 根据典型大型校园网配线间的设计原则，以提高网络的可管理性，可靠性、可扩充性为目标，采用NETGEAR公司 FSM728TS/FS752TS以太网交换机作为接入层的交换机，向下可提供线速的10/100M端口作为信息点的接入，向上可采用千兆端口与汇聚交换机GSM7312或GSM734进行连接。FS728TS（或FS752TS）智能网管交换机作为二级工作组交换机，向下可提供线速的10/100M端口作为信息点的接入，向上可采用千兆端口与中心交换FSM73xxS进行连接。 FS728TS（FS752TS）提供24（48）个10/100M端口，4个10/100/1000M UTP端口和2个1000Base-X SFP光纤端口（支持1000Base-Sx1000Base-LX千兆SFP模块），2个堆叠口，最大可以支持8台交换机堆叠，每个堆叠最大提供192个端口。FS7xxTS交换机具有12.8Gbps/17.6Gbps的背板交换能力，丰富的软件功能，为校园网工作组的接入提供了最佳的选择。NETGEARFS7xxTS 系列交换机支持简单明了的 WEB 页面配置方式，具有丰富的安全特性802.1x ，端口双向速率限制，端口 MAC 地址绑定，GUEST vlan，端口镜像，支持 SNMP v1，v2，v3无线及 VPN 设备说明：以SSL 312 VPN设备作为远程出差用户访问校园网的SSL 终结设备。远程用户无需安装，维护任何V PN客户端软件，只需要使用IE浏览器就可以实现高效，安全的远程VPN数据访问 对于远程教学站点，可以采用IPSEC VPN方式，实现网络网络的远程安全数据访问。 基于IEEE802.11g标准的108Mbps无线局域网企业级接入点WG302，用来提供如会议室等场所的无线网络连接。WG302支持802.1Q功能，最大支持8个VLAN, 用户无论漫游到何地，都可以连接到自己本部门的vlan，获取相应的权限。NETGEAR公司企业级的无线局域网接入点WG302是可支持IEEE802.1x及WPA高安全、天线可拆卸、支持SNMP网络管理、可用以太网远程供电且具备多种工作模式的新型无线局域网接入点产品。 方案备选产品：汇聚层交换机： GSM7324 FSM7328S FSM7352S 接入层交换机：FSM726POE供电交换机：FS7326P 无线AP： WAG302 WAG102 WG1025、大型高可靠性校园网组网方案大型规模的校园网，网络核心的设备的作用十分重要，为保证网络核心设备的稳定，不中断的提供服务，我们通常会采用虚拟路由热备技术（VRRP）。如下图所示：VRRP 将局域网的一组路由器，如图中的 SW-1和 SW-2 组织成一个虚拟的路由器。这个虚拟的路由器拥有自己的 IP 地址192.168.0.3，称为路由器的虚拟 IP 地址。同时，物理路由器 SW-1，SW-2 也有自己的 IP 地址（如SW-1 的 IP 地址为192.168.0.1，SW-2的 IP 地址为192.168.0.2）。局域网内的主机仅仅知道这个虚拟路由器的IP 地址192.168.0.3，而并不知道备份组内具体路由器的 IP 地址。在配置时，将局域网主机的默认网关设置为该虚拟路由器的 IP 地址192.168.0.3。于是，网络内的主机就通过这个虚拟的路由器来与其它网络进行通信，实际的数据处理由备份组内 Master 路由器执行。如果备份组内的 Master 路由器出现故障时，备份组内的其它 Backup 路由器将会接替成为新的Master，继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。VRRP 通过多台路由器实现冗余，任何时候只有一台路由器为主路由器，其他的为备份路由器。路由器间的切换对用户是完全透明的，用户不必关心具体过程，只要把缺省路由器设为虚拟路由器的IP地址即可。通过 VRRP 技术还可以实现核心网络设备负载均衡，例如 SW-1 在 vlan 1，3，5中为主路由，在vlan2，4，6中为备份路由。而 SW-2在 vlan2，4，6中为主路由，在vlan1，3，5中为备份路由。这样就可以实现正常工作时候 SW-1转发vlan1，3，5的数据流量，SW-2 转发vlan2，4，6的数据流