某大学新校区建设及老校区改造网络设计方案
2013-07-05 网络 / IT运维网

 

1       设计原则与设计思想

1.1   实用性和经济性

系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设某大学的网络系统。

1.2   先进性和成熟性

既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证贵单位网络建设的领先地位,网络主干设备选用高带宽的、千兆位及万兆位线速路由交换技术。

1.3   可靠性和稳定性

在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。方案中涉及核心层设备,要求提供电源备份,模块的热插拔维护。核心层设备的系统模块,如电源模块等均能1+1冗余备份。在网络结构设计中,也考虑了一定的冗余和负载均衡,保证网络高可用性。

1.4   安全性和保密性

在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等,如划分VLAN、MAC地址绑定、802.1x、802.1d、802.1w、802.1s、VRRP、ACL、Port+IP+MAC绑定等。

1.5   可扩展性和易维护性

为了适应系统变化的要求,必须充分考虑以最简便的方法、最佳的投资,实现系统的扩展和维护,建议全线采用可网管产品,提供堆叠、集群功能,降低了人力资源的费用,提高网络的易用性、可管理性,同时又具有很好的可扩充性,实现网络的可维性。

1.6   结构化设计

结构化的设计思想是将整个网络划分成不同的层次,各个层次各司其职。对于某大学来说,网络由三个层次组成:1)接入层;2)汇聚层;3)核心层

接入层的功能:

1)   连接桌面PC,灵活扩展;

2)   做为网络接入安全控制和QOS策略实现的智能安全边缘点;

汇聚层的功能:

1)   承上启下,汇聚下挂设备的流量,高速无阻塞地转发给核心层设备;

2)   提供负载平衡、快速收敛和扩展性;

3)   完成路由选择;

4)   提供冗余;

5)   QOS实施;

核心层的功能:

1)   连接各汇聚设备

2)   提供路由管理、网络管理、网络服务

3)   快速收敛和扩展性

4)   完成高速转发

2       网络设计方案

2.1   设计方案介绍

作为业内领先的网络设备提供商和解决方案提供商,秉承在教育行业多年的经验,通过与广大高教用户的深入沟通、互动,根据上述校园网现状的分析,以及出现的问题与需求,提出了“安全、稳定、高速、可运营可管理”的可定制化的高校校园网解决方案。

针对此次某大学校园网建设的实际需求,我们为某大学量身定制了一套网络改造方案。改造后的拓扑图如图2-1:

图2-1 当前校园网网络拓扑图

整网采用四台RG-S6810E万兆核心交换机,在两个校区间组成了环形的架构,到每个汇聚交换机RG-7606和RG-S5750采用万兆骨干、千兆备份的方式,采用VRRP+MSTP的方式千兆链路可以负担一小部分的流量,接入设备使用了大量的S2100G安全智能接入交换机。

2.2   骨干网络的设计

骨干网最重要的就是稳定可靠性。影响骨干网稳定可靠的因素有很多,但是最主要的有三个方面:设备本身、网络架构、安全保障。只有这三个方面都没问题了,才会形成稳固健壮的骨干网络。

2.2.1   骨干网架构设计

网络核心作为全网的心脏,向学校的教学办公、学生宿舍以及各种应用系统(在线点播、电子邮件、WEB服务等)源源不断的提供安全稳定的信息血液,保证整个学校相关业务的可靠运行。因此,作为整个网络平台的神经中枢,网络核心层是全网数据传输的中心,不仅要保证7*24小时的稳定运行,各种应用服务器的数据能够被稳定可靠的传输,同时,还要协调全网的数据流量和访问策略,在提供信息服务的同时,保证网络中心自身的安全。

图2-2 核心网络架构

整网采用万兆做核心、万兆/千兆骨干、百兆到桌面的设计理念。高吞吐量,线速转发的核心路由器和三层交换机,所有关键器件的冗余,包括主控板、交换网板、电源等,支持板件的热插拔技术,保证了网络的高效运转。骨干设备双核心双链路,相互之间互为容错备份,并在核心交换机中采用关键模块冗余设计(双电源冗余等)。核心和汇聚之间采用双链路连接,一旦数据传输的活动链路失效以后可以自动切换到另一条链路,保障数据的正常转发。这样,从全网架构上,核心层双链路交换系统不存在单点故障,是一种高级别交换完全冗余的容错方案,这样即使其中一条链路断线或一个主干交换机发生故障,都能在用户觉察不到的极短的时间内启用备份恢复数据传递,从而保证网络系统的高可靠性、稳定性的运行。

2.2.2   骨干网设备本身的电信级可靠性保障

图2-3 SPOH设计

领先的SPOH结构设计,基于硬件的同步式数据交换技术。针对不同数据行为对端口依赖性的不同而采用各自不同的处理方式来最大限度地提升整机处理能力。针对ACL、QOS等针对单独端口的数据行为,通过为ASIC芯片各端口增加独立的FFP(fast filter processor)模块进行硬件处理,各端口可以同步地进行硬件处理。L2/L3/组播等涉及不同端口之间数据处理行为,通过存放在线卡ASIC芯片的统一硬件查表项对所有端口进行统一处理,提供数据在不同端口之间的线速转发。

图2-4 第二代Crossbar硬件体系架构

多业务万兆核心路由交换机采用最先进的第二代Crossbar硬件体系架构。Buffered Crossbar技术克服第一代Crossbar架构技术的局限性,Buffered Crossbar架构内置了众多缓存,采用分布式调度,无需内部加速,可直接处理非定长包,充分发挥Crossbar芯片的交换效率和处理性能,从而使整个设备系统达到了电信级的高性能和高可靠性。

图2-5 三平面分离技术

核心路由交换机通过采用数据平面、控制平面、管理平面相互分离的结构模型,保证了数据处理不影响管理和控制,而在路由和环境复杂条件下,控制平面不影响管理平面,高度保证了系统的电信级可靠性。

2.2.3   理工大学骨干网络设计方案

校园网刚刚兴起的几年,随着网络平台的搭建,应用却没有及时跟上,对网络带宽的需要显得不是很重要,而随着近几年校园网应用的发展,越来越多的高带宽需求也呈逐渐上升的趋势,例如FTP、VOD点播等大数据量的访问,尤其目前流行的P2P的应用产生了巨大的网络流量,对网络的带宽占用越来越高,对于网络规模非常大的校园网来说,千兆主干早在两三年前就已经成为了主流,升级到万兆成了校园网骨干建设的重点需求,所以此次改造将采用万兆链路做骨干的方式。

综上所述,核心骨干设备将采用大交换容量、高密度插槽并支持万兆接口,此外还应支持SPOH、Crossbar和三平面分离等技术。设计采用四台RG-S6810E做网络核心,RG-S6810E采用2.4T大容量背板设计足够满足未来计算机数量大规模增加的需要,其采用了电信设备的可靠性设计,管理引擎和电源模块均支持冗余,支持万兆接口。

每个校区两台RG-S6810E间运行VRRP协议,实现了对下游设备的网关备份功能,通过运行MSTP实现了基于VLAN的负载分担技术,完美的保证了骨干的高性能和稳定性。汇聚交换机采用RG-7606和RG-S5750,支持万兆端口的扩展需要,每台汇聚交换机均采用万兆主干链路和千兆备份链路上行到两台RG-S6810E核心交换机。接入交换机建议选择S2100G系列,包括S2126G和S2150G,S2100G系列强大的安全功能,如防网关ARP欺骗、专家级ACL功能做到了接入的安全控制,每台S2100采用千兆光纤上行到汇聚层交换机。

全网采用现今最成熟、稳定的星形架构,采用核心-汇聚-接入三层架构,使网络性能发挥到了极致。

2.3   丰富的设备安全管理

提供SSHv1/v2的加密登陆和管理功能,在远程登录设备的时候发送的数据都是经过机密的,避免管理信息明文传输引发的潜在威胁。

Telnet/Web登录的源IP限制功能,限制只有合法IP的终端才能登陆管理设备,避免非法人员对网络设备的管理。

SNMPV3提供加密和鉴别功能,可以确保数据从合法的数据源发出,确保数据在传输过程中不被篡改,并且加密报文,确保数据的机密性。

2.4   网络规划设计方案

2.4.1   全网路由规划

在校园网主干网(核心层-汇聚层)上使用OSPF路由协议完成IP数据包的寻径和转发,OSPF能够快速收敛的一个关键原因是它使用了区。使用OSPF想达到的两个主要目标是:

●改善网络的可扩展性

●快速收敛

取得两个目标的关键是把网络分成更小的区,每个区由一个惟一的区号定义,这个区号配置在每一个路由器内。定义了相同区号的路由器接口成为相同区的组成部分。理想情况下,这些区号不是任意定义的。相反,应该选择区的边界以使不同区之间的流量最小。每个区应反映实际的交通模式而非地理或政治边界。如图2-6所示:将老校区的汇聚层设备定义一个区Area1,新校区的汇聚层设备定义一个区Area2,新老校区的核心层设备定义为一个区Area0。

图2-6 路由规划

2.4.2  多媒体应用流量技术

Ø  概述

目前网络中的流量可以区分为三大类,单播、多播和广播,多播流量由于具有为特定一组用户提供特定数据流的特性,最为适合视频会议、网络教学等校园网应用,业界对于网络多播技术的研究一直在不断地发展与进步中,目前得到广泛应用的多播技术主要有IGMP V1/V2、PIM-SM/DM、DVMRP等,近几年多播技术的研究又拥有了许多新的进展,其中最具有代表意义又适合在校园网部署的技术是IGMPV3和PIM-SSM两种多播技术。

Ø  IGMP V3

IGMP 的V3版本可以兼容V1/V2版本,在V1/V2版本的基础上,IGMPV3额外提供了非常重要的源过滤多播功能。支持IGMP V3的主机除了通告希望加入的多播组,同时还会通告希望接收的多播源地址,主机可以通过一个包括IP列表或一个排除IP列表来指明希望从哪些多播源接收到自己申请的多播流。

图2-7多播示意图

对于多播应用今后频繁和丰富的校园网而言,IGMP v3是非常重要的,因为IGMPV3可以避免同多播组不同地址服务器同时占用网络带宽的现象,同时可以避免非法的多播数据流占用网络带宽。

Ø  PIM-SSM

PIM-SSM(Source Specific Multicast:源特定多播)是对传统PIM-SM的扩展,是在PIM-SM基础上发展而来的一种更加优秀的多播技术,PIM-SSM使用多播组地址和多播源地址同时来标识一个多播通道,用户能直接从多播源服务器接收多播业务,抛弃了PIM-SM技术中共享树和汇合点RP的概念,避免多播源服务器把多播数据发送给RP后再下发给用户所带来的带宽浪费和RP瓶径问题。

      

图2-8 PIM-SSM协议

同样,对于多播应用今后极为频繁和丰富的校园网而言,,PIM-SSM结合IGMPv3可以很好地解决带宽浪费问题和RP的屏径问题,同样也可以避免非法的多播数据流占用网络带宽。为了在网络中实施PIM-SSM,要求网络和应用支持IGMP V3协议。

2.4.3   病毒防御

锐捷网络设备,能够提供病毒防御功能,使得某些特定病毒不能任意传播。主要提供以下几个功能:1)预防PC感染类似“冲击波”的病毒;2)如果某台机器感染病毒,能够实现中毒机器隔离,限制同一网段中病毒的传播。

实 例:

比如通过设置ACL防范Blaster(冲击波)病毒的传播和危害

access-list 101 deny tcp any any eq 135    

阻止感染病毒的PC向其它正常PC的135端口发布攻击代码

access-list 101 deny udp any any eq tftp

限制目标主机通过tftp下载病毒。

access-list 101 deny icmp any any

阻断感染病毒的PC向外发送大量的ICMP报文,防止其堵塞网络。

然后将其应用在相应网口,例如fa0/1

int fa0/1

ip access-group 101 in

这样即可阻断Blaster蠕虫病毒的传播。

前面也提到了,通过与安全策略平台联动即可实现当有新的病毒及攻击出现时,安全策略平台可以远程下发ACL至交换机。

2.4.4   其它安全实现

本方案中的所有交换机支持VLAN的划分,VLAN之间的相互访问只能通过三层路由,这样在三层交换机上就可以配置ACL(访问控制列表),对网络资源访问进行精确控制。

接入层交换机支持端口与MAC及IP地址的绑定,保证只有有效的指定设备才能访问网络资源。

3       方案特点HI-SMART

3.1    “H”-高性能

1.        万兆干线、千兆到楼层、百兆交换到桌面:核心层采用万兆技术,千兆链路到楼层,10/100M到桌面,构建全网无阻塞的校园网;

2.        先进的硬件结构设计:RG-S6810E背板带宽达到2.4T,使用了业界最先进的交换技术,如CPP实现了CPU的保护、SPOH技术提供了强大的ACL功能、策略路由及LPM(最长匹配)功能。

3.        分布式三层交换:在核心、汇聚层同时引入第三层交换,减轻核心交换机的压力,可有效减少广播包,并提高网络传输效率;

4.        板卡智能分布式处理:骨干交换机RG-S6810E和RG-S7600主管理模块执行路由管理、网络管理、网络服务等任务,用户接口模块可以独立实现路由、交换、ACL、QOS、收集用户信息等功能,这种分布式处理可以极大地提高整体处理能力;

3.2    “I”-智能化

1.        端到端的QoS由接入交换机到核心交换机,全面覆盖端口速率限制、应用流分类识别,关键业务流量带宽保证等多层交换质量保证;

2.        基于流的智能识别:全程基于交换机物理端口、MAC地址、IP地址、TCP/UDP端口号来区分同的业务流;

3.        基于流的带宽控制:全程基于交换机端口、MAC地址、IP地址、协议、应用组合进行带宽限速;

4.        服务器群负载均衡:智能甄别服务器处理能力,根据业务流量均衡各服务器的负载,构建高效数据仓库(Data Storage)和数据资源中心(Data Center);

3.3    “S”-扩展性

1.        模块化设计:可高效、灵活地实现‘统一规划、分布实施’的网络设计原则;

2.        公有协议设计:可实现跨厂商的兼容,开放性、扩展性强;

3.4    “M”-管理性

1.        中文化:中文化Web界面及内核,特别适合中国人使用;

2.        标准化:所有网络设备均支持标准的SNMP v1/v2/v3协议,可在一个网管工作上实现对全网的完整管理,并支持第三方网管软件无缝管理;

3.5   “A”-接入控制

全方位安全保证:支持IEEE 802.1X协议,基于标准协议的用户身份认证,为后前的入网认证系统打下良好的基础;

3.6    “R”-可靠性

1.        高可靠的冗余备份:骨干交换机提供802.1D、802.1W、802.1S链路级冗余、VRRP路由级冗余以及冗余引擎、冗余电源模块、冗余风扇等关键部件的冗余备份,保证网络系统的高可靠性;

2.        严格测试:经Smartbit等专业仪器严格测试,保证研发和生产阶段的可靠性;

3.        大量实践应用验证:经全国300多所高校大规模应用实际检验;

4.        冗余的网络拓扑结构设计:提升了网络的可靠性;

3.7    “T”–可信赖

自主研发、量身定制、大规模自主生产:通过同国内外芯片级厂商的良好合作,有效降低成本、提高性能。

4       网络后期规划

一个高性能、可管理、安全的网络平台,首先是前期合理的规划,然后是合理的使用和优化,同时最关键的是后期的扩展,才能是一个标准的安全可信下一代的网络。所以,我们在规划某大学网络的同时,考虑到后期的发展和应用,主要从以下几个方面进行。

4.1   IPV6应用

本方案中所采用的核心、汇聚交换机全面支持IPV6,目前我司全线三层交换产品是国内第一家通过“IPV6 READY”认证的厂家,可提供后期的IPV6应用,确保某大学实现IPV6的网络,与CERNET2接轨。

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换