新一代数字化校园网建设解决方案

新一代数字化校园网建设解决方案CONTACTEMAILDIGITALCHINACOMTELMOBILE目录第一章、数字化校园的基本概念4第二章、新一代数字化校园网的特点5第三章、网络设计技术规范731、建设构想及需求分析7311、设计思想8312、实用性和集成性8313、标准性和开放性8314、先进性和实用性8315、成熟性和可靠性9316、可维护性和可管理性9317、可扩充性和兼容性10318、其他10第四章、网络技术方案设计1141、网络方案设计及拓扑图1142、核心层设计分析11421、核心技术万兆交换分析12422、核心技术IPV6分析13423、核心层设备性能分析14424、核心层设备选用依据15425、核心层选用设备分析1643、策略汇聚层设计分析20431、策略汇聚层选用设备分析2044、安全出口层设计分析21441、流控认证一体化设计22442、网络出口综合防御设计25443、校园网舆情监控设计2845、IPV6网络设计分析30451、IPV6网络接入30452、IPV6组播部署30453、IPV6安全38454、IPV6地址规划与部署4746、认证计费设计分析49461、融合统一8021X认证50462、无线用户WEBPORTAL认证52463、神州数码DCSM产品特点5447、无线接入设计分析56471、无线接入设计原则56472、无线校园网设计方案58第五章、售后服务及培训6651、概述6652、体系化的售后服务6653、神州数码培训体系74第六章、典型案例介绍7861、中国人民大学IPV6校园网7862、长沙理工大学IPV4/IPV6双栈校园网8063、延边大学IPV4/IPV6双栈校园网8264、上海应用技术学院校园网8565、山西大学工程学院无线校园网87第一章、数字化校园的基本概念数字校园是以网络为基础，利用先进的信息化手段和工具，实现从环境（包括设备、教室等）、资源（如图书、讲义、课件等）、到活动（包括教、学、管理、服务、办公等）的全部数字化，在传统校园的基础上构建一个数字空间以拓展现实校园的时间和空间维度，从而提升了传统校园的效率，扩展了传统校园的功能，最终实现教育过程的全面信息化。（引自清华大学计算机与信息管理中心沈培华主任）实施数字化校园工程的核心目标是充分利用信息技术，建立多层次、创新型、开放式的高等学校，提高办学的质量和效益。要以新的人才观、教学观和管理理论为指导，超越传统的高等教育模式，培养适应信息社会要求的创新型人才。具体来说在教学方面要利用多媒体、网络技术实现高质量教学资源、信息资源和智力资源的共享与传播，并同时促进高水平的师生互动，促进主动式、协作式、研究型的学习，从而形成开放、高效的教学模式，更好地培养学生的信息素养以及问题解决能力和创新能力。在科研方面要利用互联网促进科研资源和设备的共享，加快科研信息传播，促进国际性学术交流，开展网上合作研究，并且利用网络促进最新科研成果向教学领域的转化，以及科研成果的产业化和市场化，从而大大提高科研的创新水平和辐射力。在管理方面要利用信息技术实现职能信息管理的自动化，实现上下级部门之间更迅速便捷的沟通，实现不同职能部门之间的数据共享与协调，提高决策的科学性和民主性，减员增效，形成充满活力的新型管理机制。在公共服务体系方面要建立覆盖学校教学、科研、管理、生活等各个区域的宽带高速网络环境，提供面向全体师生的基本网络服务和正版软件服务；要建设高质量的数字化的图书馆、教学楼、艺术馆等；要在校园内建立电子身份及其认证系统，从而为学校高水平的教学、科研和管理等提供强有力的支撑。在学校社区服务方面要适应后勤社会化改革的需要开展各种网络化服务项目，包括电子商务、电子医疗等，为师生员工提供便捷、高效、集成、健康的生活和休闲娱乐服务，形成智能型的社区服务体系。第二章、新一代数字化校园网的特点伴随着万兆网络的大面积应用，同时以IPV6技术为核心的CERNET2也在全国如火如荼的建设中，及40G、100G标准的逐步成熟，校园网可用网络带宽已经得到了极大改善。但是新一代数字化校园网不仅仅是带宽的大幅提升，新的应用随之层出不穷，新的问题也不断涌现1、用户数量巨大。由于校区合并、扩大教育规模等因素，现在的高校学生数量增长了数倍，一般大学的学生数量达到了1万人4万人的规模。而由于网络已经深入到所有人的生活，网络终端计算机的价格持续下降，相当一部分学生都拥有计算机，甚至拥有笔记本电脑，再加上各种教学科研用的网络终端，高校校园网的网络用户数量也因此都在数万以上。2、用户类型复杂。企业或事业单位的网络用户都为办公用户，运营商面向住宅的接入网中的用户都为家庭用户，面向办公大楼的接入网用户都为企业用户。这些网络的用户环境都比较单一。但是高校校园网的用户类型却非常复杂，包括了全日制学生用户、在职学生用户、教职工家庭用户、教职工办公用户、院系办公用户、教育环境用户（如多媒体教室）、学习环境用户（如用于学习的计算机实验室、网络实验室）等等。3、管理策略复杂。包括用户管理策略和路由管理策略都很复杂。由于用户类型非常多，对每一类用户的安全权限不一样、网络服务质量不一样、计费策略不一样（如果计费运营），导致用户的管理策略非常复杂。另外，由于校园网普遍存在多个网络出口，不同的网络出口拥有不同的带宽、到不同的目的地址时的费用和响应速度也不一样（CERNET还有特别的免费目的地址），因此，在网络出口处的路由管理策略也比一般情况要复杂。4、网内、网外的流量非常大。在企业或事业单位很少见到1G出口带宽，100M出口带宽已经比较富余，但是在高校，1G带宽已经比较常见，往往还会有拥塞的现象。造成巨大流量的原因主要有在线用户数量大、学习和娱乐的多媒体资料在网络上交流频繁（包括网内和网外，大量采用P2P形式）、网格计算等科研需要。5、网络安全威胁性大。校园网的网络资源丰富、大量用户随时在线、互相之间访问频繁、网络管理者对用户终端管理权限小，这都给网络安全造成了巨大的威胁，据称90的垃圾邮件都来自高校校园网，由此可见高校校园网安全问题的难度。伴随着2006年ARP欺骗病毒的大规模爆发，高校网络管理者遭遇了前所未有的挑战。另外，学生的网络知识丰富、求知欲望很强，很难避免学生把校园网作为学习网络知识和安全知识的试验床，由此引发的安全问题更加难以防范。6、网络覆盖的地域范围宽广。学生数量的扩大和各校区的合并，使得校园网的地理覆盖范围往往超过上千亩，楼宇数量多大几百栋，校园内部的光纤长度达到几十公里。一般一个大学可能由5个以上的校区组成，各校区往往不在相邻地段，各校区间的光缆长度也达到十几或几十公里。从这个意义上来看，一个大学校园网的规模已经达到一个小城域网的规模。不仅仅是校区大，由于随时随地上网的需要，校园内每一个角落都将被无线网络覆盖，初期只覆盖会议中心等关键地区的无线网络将向更宽广的范围延伸。7、IPV6应用从小范围的实验网向大范围的全网支持IPV6应用过渡。原有的以ISATAP隧道、配置隧道为主的低速过渡模式已经不能满足约来越多的IPV6访问需求，建设高速双栈校园网已经成为不可逆转的趋势。8、新一代数字校园必然是节约型数字校园。中央指出“要加快建设资源节约型、环境友好型社会，大力发展循环经济，在全社会形成资源节约的增长方式和健康文明的消费模式”。这是我们党执政理念的重要升华和重大的理论创新，是推进高校管理实践创新、树立科学发展观、建设节约型校园的指南。教育资源是社会资源的重要组成部分，节约型社会呼唤节约型校园，建设节约型校园，不仅是学校自身发展的需要，更是高校应有的社会责任。第三章、网络设计技术规范31、建设构想及需求分析神州数码设计的多元融合通讯系统是一个以学校的应用驱动为基础的网络系统，学校的应用运作方式驱动着网络应用，而网络应用又驱动着专业的服务、网络管理以及网络的基础结构，在这个模型中，学校最为关心的是网络的应用。但是专业的服务、严谨的网络管理系统以及可靠的网络基础架构又是承载网络应用的基础。XXX大学校园网改造建设的总体目标是1、改造校园网计算机网络系统核心和汇聚部分，实现校区内各教室、实验室、教研用房、行政用房、学生宿舍等场所的计算机网络万兆、安全、高速、可靠互连。2、建立基于高性能的多媒体教学系统和以信息交换、信息发布和查询应用为主的网络应用基础环境，为校领导决策、日常行政管理、教学、科研提供先进的支持手段。3、建立网络环境下的全校办公自动化系统及各类管理信息系统，实现全校各类信息的集中管理、处理及信息共享。4、建立学校网络系统高效的QOS服务体系，实现针对每用户、每IP的安全有效地网络安全和应用控制。5、巩固和完善学校的身份认证系统，实现实名制的安全接入网络，提高舆情监控反应速度。6、校园网主要部分应能支持IPV6等下一代互联网标准。所有设备要求即购既满足。311、设计思想本方案的设计将在追求性能优越、经济实用的前提下，本着严谨、慎重的态度，从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计，力图使该系统真正成为符合学校真正需求的网络系统。从技术措施角度来讲，在系统的设计和实现中，神州数码公司将严格遵守以下原则312、实用性和集成性无论是系统的软硬件设计、还是集成，均应以适用为第一宗旨，在系统充分适应学院教学业务需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多，系统设计者必须能将各种先进的软硬件设备有效地集成在一起，使系统的各个组成部分能充分发挥作用，协调一致地进行高效工作。313、标准性和开放性只有支持标准性和开放性的系统，才能支持与其他开放型系统一起协同工作，在网络中采用的硬件设备及软件产品应支持国际工业标准或事实上的标准，以便能和不同厂家的开放型产品在同一网络中同时共存；通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。对于处于同一工作范围内的网络设备，要求硬件设备符合NEBS标准体系认证，保证运行设备不会对其他提供服务的设备造成负面影响，不会对人和环境造成伤害，降低火灾隐患。只有符合NEBS国际标准认证的核心网络设备，才能够满足以上的关键需求，符合学校的建设要求。314、先进性和实用性系统所有的组成要素均应充分地考虑其先进性。我们不能一味地追求实用而忽略先进，只有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大的系统性能和效益。学校是网络技术应用的先行者，在网络设计中，我们充分考虑校园网络设备对新技术标准的支持能力，例如IPV6、MPLSVPN等技术的支持。对于学校网络中心，大数据交换量需求的场合，建议使用高性能的万兆核心交换机满足服务器的负载均衡功能，满足学校用户的大数据量通讯的需求。网络的安全是至关重要的，对网络安全隐患的预防、以及在网络出现安全问题时的快速定位和控制是校园网络建设中应该首要考虑的问题，在网络方案中提供解决的方式和手段。在某些情况下，宁可牺牲系统的部分功能也必须保护系统的安全，所以在网络设备的选择上要考虑设备的安全和稳定性等方面的需求。315、成熟性和可靠性作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构和产品应在实际应用中能经过较长时间的考验，在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案，并得到较多的第三方开发商和用户在全球范围的广泛支持和使用。同时，应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品，以适应系统未来的发展需要。可靠性也是衡量一个计算机应用系统的重要标准之一。在系统网络环境中单独设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、安全性及稳定性，使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施，如对关键应用和主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作，达到每周7X24小时工作的要求。通过选择先进体系结构的硬件设备，使校园网络系统满足5个9的可靠性，使每年的系统维护时间缩短在536分钟之内。一个高可用性的系统才能使用户的投资真正得到回报。316、可维护性和可管理性整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护。对复杂和庞大的网络，要求有强有力的网络管理手段，以便合理的管理网络资源，监视网络状态及控制网络的运行。因此，网络所选网络设备应支持SNMP、RMON、SMON等协议，并支持IPV4/6的各种网络管理协议，管理员通过网管工作站就能方便地进行网络管理、维护甚至修复。在设计和实现计算机应用系统时，必须充分考虑整个系统的便于维护性，以使系统在万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。317、可扩充性和兼容性网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理联接、产品支持等方面具有扩充与升级换代的可能，采用的产品要遵循通用的工业标准，以便不同类型的设备能方便灵活地联接入网并满足系统规模扩充的要求。特别是在IPV6的支持方面一定要做到国际领先地位，IPV6是网络发展的必然方向，现在已经开始大规模的商用，所以在设备的选择上要着重考虑对IPV6的支持程度和先进性。为了使所实现系统能够在应用发生变化的情况下保护原有开发投资，在设计系统时，应将系统按功能做成模块化的，可根据需要增加和删减功能模块。318、其他在系统集成的设计过程中，决定性的因素还有很多，需要结合用户需求综合考虑。例如，网络数据流量的估计是网络所需带宽的重要依据，以信息服务系统为例，其工作方式主要分为局域网内部工作站对网络服务器上的信息资源的访问和远程计算机对本局域网网络服务器上信息资源的访问两种。由于局域网内工作站对网络服务器的访问有可能造成网络最大的数据流量，使服务器和网络设备之间的连接成为系统瓶颈口，使网络发生拥塞，因此需要对这一数据流量进行一个大致的估计，以便按照估计在服务器和工作站之间配置容量相当的网络设备和通讯带宽。遵从了如上的设计原则，选择技术先进，经济实用、适应性强、可靠性高、可扩展性好的设备，从而使系统具有较高的性能价格比，真正满足学校的应用需求。第四章、网络技术方案设计41、网络方案设计及拓扑图42、核心层设计分析核心交换层是整个网络的交换核心，其关键特征包括核心交换层功能完成高速数据交换；核心交换层组成产品高端万兆硬件IPV6/V4双栈路由交换机；核心交换层核心技术分析线速交换、万兆、10万兆、硬件IPV6、99999稳定性、丰富扩展能力；421、核心技术万兆交换分析万兆以太网技术的研究始于1999年底，当时成立了IEEE8023AE工作组，并于2002年6月正式发布8023AE10GIGAETHERNET标准。其结构标准如图物理层在物理层，8023AE大体分为两种类型，一种为与传统以太网连接速率为10GBPS的“LANPHY”，另一种为连接SDH/SONET速率为958464GBPS的“WANPHY”。每种PHY分别可使用10GBASES（850NM短波）、10GBASEL（1310NM长波）、10GBASEE（1550NM长波）三种规格，最大传输距离分别为300M、10KM、40KM，其中LANPHY还包括一种可以使用DWDM波分复用技术的“10GBASELX4”规格。WANPHY与SONETOC192帧结构的融合，可与OC192电路、SONET/SDH设备一起运行，保护传统基础投资，使运营商能够在不同地区通过城域网提供端到端以太网。传输介质层8023AE目前支持9UM单模、50UM多模和625UM多模三种光纤，而对电接口的支持规范10GBASECX4目前正在讨论之中，尚未形成标准。数据链路层8023AE继承了8023以太网的帧格式和最大/最小帧长度，支持多层星型连接、点到点连接及其组合，充分兼容已有应用，不影响上层应用，进而降低了升级风险。与传统的以太网不同，8023AE仅仅支持全双工方式，而不支持单工和半双工方式，不采用CSMA/CD机制；8023AE不支持自协商，可简化故障定位，并提供广域网物理层接口。422、核心技术IPV6分析IPV4最大的问题就是地址空间的不足。截止2005年，IPV4地址已分配了80。预计20072010年，IPV4地址将耗尽。虽然有一些技术延缓了IPV4地址缺乏对应用带来的影响，但治标不治本。比如NAT技术，采用IP端口号对应内部IP的方法，这样限制了P2P等应用，转发效率大大降低，同时真实的原IP被临时的端口号所取代，也就无法进行身份确定。IPV4的路由效率低。由于一开始IPV4地址在世界各地分配的严重不平衡，造成很多地区获得的地址根本不连续，这样的地址无法在路由表中做聚合优化，这迫使IPV4网络上的路由表常常非常庞大，三层转发效率低下。IPV4地址配置管理复杂。由于IPV4地址的缺乏和地址层次设计上的问题，使做IPV4地址规划时总是捉襟见肘，即使有DHCP这样自动获取IP地址的方法，但实际上仍然是要严格的规划的。IPV4可扩展性较差。IPV4设计时，可以携带各种扩展选项的只有IP报头中的OPTION域，组播、QOS、安全等特性都依赖于OPTION域IPV4的移动性差。本就地址很匮乏的IPV4，在移动性方面注定毫无建树。IPV6提供了巨大的地址空间。IPV6采用128BIT表示一个IP地址，那么可分配地址数为340,282,366,920,938,463,463,374,607,431,768,211,456个，如此庞大的地址空间会衍生出很多便利的应用网络上每个设备和接口都可获得唯一的地址，这样IPV6地址可以作为网络用户身份标识；不光是我们现在理解上的网络设备，就联我们常见的各种条形码都可能被IPV6地址所取代，再通过无线技术，使我们未来的生活更加便利。IPV6提高了路由效率和性能。IPV6地址的合理规划和128BIT地址空间所带来的良好层次，使IPV6网络便于路由汇聚，从而减少路由表项。再加上其固定长度IP包头的设计和根本不需要NAT的优势，都使IPV6的三层路由转发性能大大提升。IPV6设计上保证了其强大的扩展性。IPV6可以有很多扩展头，只受包长限制，不受数量限制。IPV6地址自动配置、即插即用。IPV6支持BOOTP和DHCP这种有状态的地址自动配置，也同时支持无状态地址自动配置，即自动配置服务器只分配一个地址前缀，设备自身通过自己的MAC地址生成后64位接口ID。IPV6还支持自动重配置功能，这样网络设备移动到哪里都可以自动配置好地址，实现即插即用。IPV6提供了增强的安全和QOS特性。IPV6的设计很自然的就可以在扩展报头中实现IPSEC。还可以在IPV6报头中增加流标签域，强化QOSMOBILEIPV6技术，从而大大提高移动特性IPV6庞大的地址空间，良好的层次设计和地址自动分配技术，通过代理转交和隧道技术，使网络设备可以不中断无线网络链接的情况下从一个地方移动到另外一个地方。423、核心层设备性能分析每当提及网络设备性能的时候，很多人总认为背板带宽、背板带宽交换容量、包转发率越高越好，这完全是一个误区真正评价一台设备性能好的依据为线速转发，或者说在所有端口100利用率的时候仍然没有任何数据包丢失。背板带宽交换容量、包转发率本身对于一个机箱式核心交换机而言完全是所有模块的一个叠加值，所以这并不能真实地反映设备的实际性能，如果考察设备的性能，那么必须从交换背板、单个模块到背板的带宽、交换架构、芯片等方面考虑。当今网络设备制造领域所涉及的网络芯片技术、网络协议等发展迅速、日新月异，我们认为，规划网络时必须结合用户的实际情况，同时要考虑一些前瞻性的技术。关于核心交换机的选择，就需要结合项目实际以及用户目前实际需求，同时考虑未来网络存续期间业务拓展对于核心设备的扩展性要求，在此前提下要该核心交换机能够提供全线速转发。决定网络交换设备性能的关键在于背板、芯片，设备所具备的一些底层次的功能（如VLAN、LAG等）也是由芯片（包处理器）决定的。背板技术这里所说的背板准确点讲应该是交换架构（SWITCHFABRIC），不仅仅是狭义上的机箱背面竖立的交换机线路板。现在主流的背板技术是采用CROSSBAR或者CROSSPOINT架构。背板带宽/交换容量主要是由FABRIC芯片，也就是我们常说的交换矩阵芯片决定的，除非换掉FABRIC芯片否则交换容量无法升级，背板带宽/交换容量对于系统的影响不是很大，它的主要作用就像一条高速公路上有多少车道，但是如果用户只有一辆车仅跑一条车道，这就是浪费。交换芯片在网络设备制造厂商业界，交换机的芯片要么自主研发，要么采用商用芯片，即交换芯片厂商的，如网络芯片领域全球排名第一的BROADCOM，CISCO/3COM/NORTEL/神州数码等很多厂商的产品就采用该公司芯片，采用同一个芯片厂商同一型号的芯片生产的网络设备性能肯定是一样的。采用业界主流商用芯片可以有效地降低网络设备制造厂商网络产品在芯片层面的缺陷风险，因为这些主流商用芯片采用的厂家比较多，如果存在缺陷的话必须加大研发力度解决，时间长了问题相对于二流芯片厂商BUG问题较少。上图为DCRS9816交换机交换矩阵结构，9816共有8块ASIC交换矩阵芯片，每块线卡与每个交换矩阵之间的带宽是单向50GBPS，普通线卡（短卡）连接4块交换矩阵，单向带宽200GBPS，支持20个万兆接口，2个100G接口线速转发，超级线卡连接8块交换矩阵，单向带宽400GBPS，支持40个万兆接口，4个100G接口。DCRS9816交换机能够整机支持320个线速万兆接口，32个线速10万兆端口。424、核心层设备选用依据根据对核心层技术及核心层设备性能的分析，我们总结核心层设备选用的依据是1、千兆端口、万兆端口线速转发，在满配ACL后仍能线速转发；2、兼容NEBS标准的高可靠性，支持引擎、交换矩阵、电源、风扇冗余，支持不间断转发技术3、支持可商用的IPV6特性，确保下一代互联网平滑过渡4、支持高密度千兆、万兆接口，支持10万兆扩展能力5、支持环网技术，提供电信级收敛速度6、支持大容量RIB（路由表）和FIB（转发表），能够直接面对大规模用户的三层交换业务7、支持多业务模块的扩展，满足未来数据中心的复杂应用8、高安全性，能够抵御来自内外网的各种攻击425、核心层选用设备分析根据上述分析，因此我们在此次网络设计中选用神州数码新一代十万兆旗舰产品的DCRS9800。DCRS9800路由交换机率先通过最为苛刻的国际IPV6READY第二阶段认证。DCRS9800路由交换机支持基于ASIC的分布式硬件IPV6转发方式，可以在本地实现IPV6报文的处理，并可在接口模块内部及模块与背板间实现IPV6报文的线速转发，避免了集中式转发的瓶颈和时延问题，为IPV6真正走向大规模商用提供了有力保障。DCRS9800系列交换机是神州数码最高端的N100G高端平台设计的多业务IPV6核心路由交换机，DCRS9800神州数码网络公司自主研发的新一代超高性能高密度核心路由交换机产品，为超大规模多业务复杂的电子政务网络、企业网络、电信网络提供了具有超大容量、超高密度、多业务模块化的全新一代通信核心；同时作为超高性能核心路由交换机产品，DCRS9800系列路由交换机率先通过国际IPV6READY第二阶段增强版认证，神州数码网络是国内第一家通过该认证的厂商。DCRS9800系列高端多业务IPV6路由交换机提供了12槽到20槽的多种产品，具备单卡最大可支持961000M端口或1610G端口；具备NT比特的背板带宽，并支持将来更高带宽的扩展能力，支持十万兆级线速转发；具备全方位的IPV4/IPV6安全防范体系；具备稳定的核心保障机制和运营商级别的可靠性；具备业界最领先的多业务的IPV6、组播、MPLS等技术；具备绿色的节能环保设计理念；为您构建“四高高密度、高性能、高安全性、高稳定性一多多业务性一绿绿色的节能环保性”的数据网络处理平台提供了无与伦比的有力保障。主要特色超高密度，卓越性能DCRS9800具备NT比特的背板带宽，并支持将来更高带宽的扩展能力；拥有着先进的十万兆以太网支持技术；支持所有端口的跨板线速转发；支持更多的端口配置，最大可支持961000M端口或3210G端口，根据需要可灵活支持全长的大卡和半长的小卡；满足核心层设备高密度、高吞吐量的要求，为城域和广域的应用提供了针对性的解决措施，可以简化网络结构、降低网络建设成本。同时通过智能灵活的性能资源调度机制FLEXRESOURCE来提供更高的性能资源影响交换机性能的因素有很多CPU、内存、MAC表、IP地址表、路由表、ACL表等等。这些资源都是有代价的，它们是交换机成本的重要组成部分。所以说，能不能在有限的成本范围内，最大限度地提高交换机资源的利用率，就成为提升性能的有效之道针对这个用户需求，神州数码网络的FLEXRESOURCE（柔性资源调度）可利用多项技术，动态调整、回收和再分配交换机资源,从而成倍地提高了核心交换机资源的利用率，支撑起更大规模的网络。FLEXRESOURCE目前支持FLEXLPM,FLEXL3,FLEXARP等细分技术。完备机制，保障安全DCRS9800系列具有业界最全面的IPV4和IPV6安全防范设计，极有效地保障了超大规模、多业务、复杂流量访问网络的安全稳定性多维CPU保护技术，有效区分进入CPU的协议报文和攻击报文SMAC技术可有效地基于MAC层防范各种攻击；SARP安全ARP技术可有效防止ARP的各种攻击和欺骗；SNDP安全NDP技术可有效防止IPV6NDP的各种攻击和欺骗；SICMP（安全ICMP）技术可有效防止PINGDOS攻击，灵活防止黑客利用ICMPUNREACHABLE攻击第三方的行为；BPDUGUARD技术可有效防止非法BPDU报文的攻击；先进的LPM技术可有效防止“冲击波”病毒、“ZERODAY”病毒、“SQLSLAMMERWARM”病毒等；IPV4DHCPSNOOPING/IPV6DHCPSNOOPING技术可有效防止DHCP报文的攻击；IPV4URPF/IPV6URPF技术可有效防止基于源IPV4地址IPV6欺骗的网络攻击；IPV4/IPV6DCSCM可有效防止组播源和组播客户端的攻击；黑洞路由技术可有效防止路由环路、路由黑洞对DCSM的支持可有效达到在多种网络环境下，自动隔离风险用户、保证网络顺畅运行的目的；强大的多维ACLDCRS9800系列拥有增强的IPV4/IPV6可扩展安全性ACL。可基于时间段、端口、VLAN接口、协议、IP、MAC、IPMAC等设置IPV4/IPV6安全策略，在不同的时间段自动切换为不同的策略。安全配置随时、随需而动；智能化流量控制，可灵活根据用户需要进行基于ACL的流量分类、流量统计、流量重定向等。DCRS9800系列除了保障访问网络的安全性外还提供了IPV4/IPV6网络管理监控的灵活安全性支持IPV4/IPV6的SYSLOG支持IPV4/IPV6的HTTP和SSL的结合支持IPV4/IPV6的SNMP的用户IP安全检查支持IPV4/IPV6的TELNET用户名和密码的RADIUS认证支持IPV4/IPV6的SSH支持用户权限设置可以采用RADIUS服务器的SHELL管理支持可根据需要定时重启功能。硬件保护，柔性调度DCRS9800系列的诸多设计可充分保障核心稳定“交换引擎CPU核心保护”可有效防止各类非法协议攻击导致核心设备交换引擎瘫痪；双引擎板间心跳技术保证大流量业务流不被淹没，快速处理不中断；端口环路检测可避免MAC地址在端口上环回而导致链路瘫痪；先进的FLASHECC的自动纠错避免了版本升级过程中出错的可能性；先进的内存ECC的自动纠错保障了设备运行的稳定性；完善的IPV4/IPV6QOS技术保障了网络的稳定性；支持先进的多配置管理。同时，还提供了运营商级的稳定性DCRS9800系列路由交换机对所有关键部件都采用了冗余备份的设计方案电源冗余、交直流冗余、管理模块冗余、链路冗余、FLASH冗余、无需升级的可选软件版本和可选配置管理等，所有单板、电源模块、风扇盘等都支持热插拔并且DCRS9800系列路由交换机的交流电源采取多路24路电网供电电源工作时负载均衡，大大提高了电源的稳定和可靠。同时双引擎HA技术，保证在主引擎出现故障时，备份引擎自动接管交换机设备变成主引擎；从而保证交换机的稳定可靠运行。业务丰富，一机多能支持领先的IPV6业务DCRS9800系列支持丰富的IPV6实现技术，并基于ASIC的分布式全线速硬件IPV6转发方式，能够满足不同规模的IPV6应用。分布式硬件IPV6转发方式，可以在本地实现IPV6报文的处理，并可在接口模块内部及模块与背板间实现IPV6报文的线速转发，避免了集中式转发的瓶颈和时延问题；同时，作为国内唯一一家通过IPV6READY第二阶段增强版认证的路由交换机增加了更安全的邻居发现（ND）信息、增加了认证封装安全负载、避免了受到路由头RH0攻击的影响、避免了使用IPV6任播地址的限制、完善了无状态地址分配的协议交互过程；为IPV6能真正在大规模商用环境提供了安全有力的保障。支持强大复杂的组播业务DCRS9800系列支持强大的组播实现技术，不仅支持IPV4组播，还支持领先的IPV6组播。并基于ASIC的分布式全线速硬件IPV4/IPV6组播转发方式，能够满足不同规模的IPV4/IPV6应用。同时提供以PIMSM、PIMDM、PIMSSM、IGMPV1/V2/V3等为主，配以MSDP、ANYCASTRP、IGMPPROXY、静态组播路由、边界组播、MULTCASTVLAN、IGMPSNOOPING等为辅的多套IPV4组播解决方案；提供以PIMSMV6、PIMDMV6、PIMSSMV6、MLDV1/V2为主，配以IPV6ANYCAST泛播RP、IPV6静态组播路由、IPV6边界组播、IPV6MULTCASTVLAN、IPV6组播隧道等为辅的多套IPV6组播解决方案。满足了业务复杂的电信级别的IPV4/IPV6组播业务解决方案的需求。支持全线速的MPLSVPN业务DCRS9800系列支持全面的LDP功能和BGP/MPLSVPN功能的同时，还支持MPLSVPN访问公网功能，实现专网通信的同时，可以无阻隔地访问公网，保障了业务的多样性，可同时作为PE、P。同时还可根据需要支持版本升级扩展功能，极大地保护了用户的投资。节能设计，绿色环保DCRS9800系列交换机采取了最新进的节能环保技术，拥有着业界最先进的电源自动可控技术，在同级别产品中绝对拥有最低的功耗；拥有着多块温度传感器；拥有着业界最先进的风扇自动调速技术，在节能环保的同时也大大保护了用户的投资。并且，低功率意味着低散热，可让长期运行的核心网络设备的系统稳定性大大增强。全新架构，独步业界DCRS9808提供了12个插槽。DCRS9816提供了20个插槽。DCRS9800系列产品采用全分布式、模块化的体系结构设计，并在业内首家推出长短线卡组合模式，同时通过CF卡提供更灵活快速的USB升级方式。DCRS9800系列外观43、策略汇聚层设计分析策略汇聚层起着承上启下的作用，是保证整个业务能否执行的关键。策略汇聚层功能提供路由，策略执行能力（流量整型等）；策略汇聚层组成产品汇聚层万兆IPV6/V4双栈路由硬件交换机；策略汇聚层核心技术分析多千兆口支持，支持万兆上联，QOS，L3L4层交换；431、策略汇聚层选用设备分析汇聚层是校园各个区域数据的汇聚中心，分担核心层的压力，同时需要为各个区域数据提供快速的数据交换平台，另外充分考虑目前校园网的需求及未来几年的扩展，我们建议选用神州数码DCRS7604做为万兆大汇聚设备；DCRS5950做为万兆小汇聚。提供基于领先技术的卓越性能和可靠性。提供万兆、千兆等丰富的网络接口，在未来的应用中可以直接扩展到万兆及IPV6的应用。DCRS7604万兆路由交换机，提供12TBPS可扩24TBPS背板带宽，640GBPS交换容量，476MPPS包转发速率，DCRS7600系列路由交换机为丰富多变的企业网络、精准苛刻的电信网络提供了无与伦比的下一代IP通信新核心。DCRS7600系列路由交换机完善的IPV6特性、出色的安全体系设计、优良高效的网络管理、先进的万兆功能以及运营商级的可靠性，不仅保证了IPV6/V4复杂网络的安全和稳定，同时帮助您的企业切实提升商务效率和竞争力、显著缩减总体拥有成本，成为您构建下一代网络的主力军。DCRS7600系列路由交换机率先通过最为苛刻的国际IPV6READY第二阶段认证。第二阶段认证被IPV6官方权威机构认定为金牌认证。神州数码与2008年全国首家通过IPV6金牌增强型认证，紧接着又全球首家通过IPV6的DHCPV6认证。标志着中国企业自主研发的IPV6技术已经领航世界。同时，DCRS7600系列所采取的网络操作系统DCNOS已经取得中国软件著作权保护。其管理模块、电源模块不仅支持冗余备份还支持负载均衡，板卡、电源、风扇均支持热插拔，可以随时监控各个部件的工作温度，再加上强大MVTE特性以及各种HA设计，为DCRS7600系列提供了电信运营商级的可靠性。柔性化智能化的交换机资源调度技术FLEXRESOURCE，为核心设备支撑更大规模的网络提供了有力保障。极具特色的安全功能，增强ACLX功能，应用层安全机制SECAPP，各种防攻击、防病毒手段如SARP,SICMP,SBUFFER,ANTISWEEP,CPU核心保护机制和绿色通道机制等，共同构建起强大的安全核心。DCRS5950交换机是神州数码网络推出的盒式高性能硬件IPV6万兆路由交换机，该系列交换机采用硬件ASIC芯片实现IPV4与IPV6双协议栈，可全线速转发IPV4/IPV6的2/3层数据包，在IPV6方面处于业界领先的地位。该款产品支持丰富的IPV6隧道协议，可灵活实现IPV4网络与IPV6网络的互连互通，且支持IPV6版本的RIPNG，OSPFV3等动态路由协议，可用于部署大型IPV6网络。该交换机支持千兆下联，万兆上联，端口组合非常灵活，万兆核心交换机的技术应用在固定式交换机上，而高度只有1U，充分体现了汇聚产品高性能、小型化、灵活的趋势。在性能和功能方面DCRS5950交换机能够满足大型网络的组网需求，并具备丰富的智能和安全特性，特别适合于作为大型校园网、企业网、IPV4/IPV6城域网的汇聚设备，以及中小型网络的核心设备。44、安全出口层设计分析校园网出口是改善和提高校园网用户体验的重点区域，校园网出口是校园局域网与INTERNET连接的唯一通道，其稳定性、安全性、高性能等特点都是值得关注的关键性指标。随着用户规模的爆炸式扩张，校园网出口在已经多次升级的情况下仍然不能满足用户的需求。在节约成本与提高用户体验这对矛盾的前提下，不升级运营商高资费的出口线路带宽，转而提高出口线路的有效利用率和关键业务的带宽保障是一个行之有效的办法。校园网出口的一些现象来自外部网络的DOS攻击、病毒、恶意扫描防不胜防。P2P应用大行其道，蚕食出口带宽，上网速度不堪忍受，师生怨声载道。出口链路众多，多链路负载均衡和策略路由充满挑战。带宽扩容，原有的路由器、防火墙超负荷运行并发连接回话激增，NAT网关频繁死机出口日志记录不详，检索复杂，面对公安机关的反查要求力不从心。IPV6网络出口缺乏安全防护手段，跨栈攻击一触即发校园网出口需求分析通过对校园网出口面临的一些问题的深入分析，我们将校园网出口建设的需求归纳如下出口设备需要具备高处理性能、高吞吐量，为满足CERNET出口的接入需求，设备应当具备万兆吞吐能力。高安全性能，能够有效阻止来自外部网络的各种攻击、病毒、扫描。能够精确识别各种应用层流量，限制非法流量，保证关键业务的服务质量。针对不同的网络对象实施精细化带宽策略，带宽管理能够精确到用户。出口多链路能够支持高性能负载均衡和策略路由，集成各大ISP路由表。提供详细的出口访问日志记录，并实现智能反查。设备尽量精简，杜绝“糖葫芦”式臃肿出口能够实现IPV4/IPV6双栈安全过滤，解决CERNET2出口安全软肋神州数码网络解决方案，通过在校园网络出口部署DCFW系列多核安全网关、DCFS系列流量整形网关，解决了出口的网络安全问题及流量控制问题，配合DCBINETLOG上网行为审计系统，可以提供详细的上网行为日志记录，同时，通过DCSM认证管理平台与以上设备想互动，可以实现更加强大的流量控制与上网行为管理功能，比如基于用户的流量控制、基于实名的行为审计等功能。神州数码网络一站式出口解决方案主要有三大特色441、流控认证一体化设计堵疏结合，精细管理，实现流控认证一体化出口采用DCFS8800万兆应用层流量整形网关，基于多核处理器架构，支持最大12个千兆端口或2个万兆接口，双向20GBPS混合包吞吐量，控制各种应用的带宽，保证关键应用，抑制非关键应用，可针不同的源IP（组）和时间段，在所分配的带宽管道内，对其应用实现不同的流量带宽限制、或者是禁止使用。本产品部署后，方案特点如下带宽决策支持统计、监控和分析校园网各种应用所占的带宽比例，为校园网的用途和下一步的规划提供科学依据。通过对网络上的流量数据进行监控和分析，量化地了解当前网络中各种应用流量所占的比例、以及各应用的流量各是多少，从而得知用户的网络最主要的用途是什么。带宽宏观管理限制每个用户的上网带宽，自动采取平均分配带宽的优化算法，确保带宽资源分配的公平性和合理性；不同用户组分配不同带宽，即可轻松实现区分服务。非法应用抑制有效控制各种应用所占带宽，保证关键应用，抑制不希望的应用，如下图所示，为DCFS8800流量控制策略加载前后，迅雷流量所占用的带宽对比。内网节点预警监控内网每个节点的实时出流量、实时入流量的大小，可用来判断内网节点是否存在攻击行为、中病毒等问题。如下图所示，通过双击认为“有问题”的某台主机的地址，可看该主机详细会话情况。带宽二级管理这是DCFS系列产品的独有的管道复用技术，不仅可以针对每个用户实现带宽的管理，而且同时也可对不同种网络应用协议进行带宽管理。（例如在限制每用户的带宽不超过256K的同时，还可以同时限制针对总体上限制BT的总带宽不超过10M）特色应用跟踪升级网络应用的识别率高、针对中国本地特色应用能进行精确识别。国内本地化应用识别强，可识别600余种应用，对于新出现的应用，我们提供对新的网络应用识别的按需定制升级服务。认证、流控联动DCFS系列产品是业界首个将身份认证与流量整形完美结合产品，支持用户身份认证、带宽授权、灵活计费和用户审计功能，与神州数码DCSM认证中心配合，实现了应用识别与用户身份的联动绑定，可将对网络应用的阻断、限制策略与用户名、用户组一一对应，实现个性化的上网服务。实际运营时，我们可以制定如下规则的用户策略认证用户名应用控制策略计费策略曹操阻断所有P2P应用保障魔兽世界256KBPS带宽不限制其他带宽时长计费刘备限制迅雷为1MBPS带宽限制电驴为512KBPS带宽不限制其他带宽有限时长计费孙权保障不低于2MBPS的在线视频带宽保障SKYPE不低于128KBPS带宽流量计费诸葛亮上班时间保障大智慧128KBPS带宽包月计费张飞不限制任何应用，总带宽不高于2MBPSCERNET流量不计费非CERNET流量包月计费精兵简政，优化出口拓扑由于DCFS产品结合了认证网关和流控网关的功能，网络出口就不需要再额外串接网关型计费设备，避免了过多的网络设备在出口串接，形成故障点和带宽瓶颈的问题。442、网络出口综合防御设计综合防御，净化出口，安全接入多面手根据总体拓扑所示，在流量管理与各ISP线路之间布置神州数码终结者多核超万兆安全网关。神州数码DCFW1800E10G安全网关专为万兆位流量的网络服务运营商、超大型校园网、数据中心等骨干网络而设计,设备采用16核64位嵌入式处理器和高速交换总线技术（如下图），实现了芯片级的硬件加解密、QOS流量管理，避免了传统ASIC和NP安全系统新建连接能力和流量控制能力弱的弊病。通过扩展LICENSE，终结者安全网关还可以支持高达1GBPS的防病毒过滤，高达8000万地址容量的URL过滤以及强大的IPS功能。神州数码终结者万兆安全网关采用多核处理器架构，在实际工作中，每个核心可以在相对节能的方式下运行，牺牲单个核心的运算速度，但多颗核心协同处理任务，以达到性能倍增的目的。校园网出口部署“终结者”后，整体效能提升如下多出口接驳游刃有余高校校园网一般至少存在3个出口，如教育网（带宽1G、25G或10G）、中国联通（带宽100M、200M）、中国电信（带宽100M、200M），DCFW1800E10G安全网关支持完善的链路负载均衡能力，根据各个出口的负荷压力进行优化分担和链路备份。由于我国各大运营商之间存在严重的带宽瓶颈，单一的负载均衡功能并不能有效提升用户的上网质量，不恰当的负载分担策略反而会造成较大的网络延迟（如将访问电信网站的请求负载分担到联通出口），因此，神州数码终结者安全网关内置了强大的策略路由引擎，集成各大ISP路由表，可以实现智能路由选择，在计费策略允许的情况下，确保用户通过最快路径到达目的站点。高性能NAT迅捷如风多出口的局面对出口设备的吞吐能力提出了严峻要求，而NAT则是这个环节的重中之中，据统计当网络中在线用户达到1万时，新建连接大约为17万，校园网由于有CERNET线路存在，连接数略低于此水平，神州数码DCFW1800E10G安全网关最高支持1000万并发连接，每秒处理新建TCP连接超过25万，UDP新建连接超过50万，完全能够满足这种大规模的校园网出口访问环境。在实际部署时，CERNET出口一般采用采用桥接或路由模式，INTERNET出口采用NAT模式，对于不采用教育网地址的校园网环境，CERNET出口也需要部署NAT。由于目前公有地址资源紧张，很多高校不希望采用公网地址池的方式部署NAT，针对这种需求，终结者安全网关支持完善的单地址NAT技术，通过神州数码独创的6元组复用技术，确保单地址的端口资源不被耗尽，保障了单地址NAT的正常运行，帮助学校有效节省公网地址。安全防护服务，随需而动面对与日俱增的校园网出口安全威胁，DCFW1800E10G“终结者”安全网关集成了全方位的安全防护手段，支持吞吐量高达20GBPS的状态检测安全过滤，有效保护内部服务器和用户。目前很多校园网用户因为访问挂马网页或下载带毒附件而中毒，“终结者”可支持高达1GBPS流量的防病毒过滤，通过升级LICENSE，可集成卡巴斯基反病毒引擎（40万病毒库），配置防病毒引擎后，用户访问挂马网站、下载病毒附件都会被自动过滤，解决困扰校园网用户已久的病从“口”入问题。“终结者”还可以通过LICENSE升级支持IPS功能，实现网络出口的动态防御。病毒库与IPS特征码都可以通过神州数码网站（HTTP/UPDATE1DCNETWORKSCOMCN）动态或手工升级，校园网出口安全防护将随需而动。封堵IPV6安全短板，无懈可击随着CNGI一期、二期项目的实施，诸多高校建立的IPV6校园网，拥有自己的CERNET2出口，但是对于IPV6出口的安全威胁防范却仅仅局限于IPV6ACL，更有很多校园网呈现了IPV4出口层层设防，IPV6出口大门洞开的现象，结果攻击者“曲径通幽”，通过IPV6网络入侵校园，进而攻击IPV4校园网