论文部分内容阅读
摘要:分析了高校建网需求,阐述了校园网核心层、汇聚层、接入层、用户认证管理和网管平台的设计,对校园网的IP规划和路由设计以及基于网络设备的安全措施进行论述。
关键词:校园网;万兆以太网;IPv6
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)15-30665-03
1 建网需求
1.1一般建网需求
校园网的建设涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。文章主要分析网络基础设施建设和网络运营方面相关的内容。校园网络建设从网络流量模型上看和企业网的流量模型相似,用户集中而网络流量大,但实际应用上还存在许多和企业网不同的地方。主要特点如下:
1.1.1多出口的需求:
典型的组网有中国教育和科研网(CERNET)出口和运营商网络出口。多出口带来了以下两个需求:
A.多权限ISP需求。用户可通过不同的账号名或采用相同的账号,不同的域名认证,获得不同的上网权限。譬如做到用户不认证前能自由访问校园内部分服务器,采用“user@163”登录,可实现Internet和校园网络自由访问,采用“user@cernet”登录,可访问CERNET和校园网。用户域名选择可通过WEB认证时用户通过选择WEB认证上的相应选择项进行选择。
B.多ISP分别计费的需求,对应不同的ISP,计费策略不一致。
1.1.2用户管理的需求:
使用方便,存在WEB认证需求。要求能做到基于WEB的身份认证、多ISP选择、用户费率查询、带宽动态调整(隐性需求)、多WEB界面(隐性需求)等。
需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。
对用户带宽进行控制的需求,要求设备能对用户的带宽进行控制,譬如限制为256K、512K、1M、2M、5M、10M等等级。
1.1.3以网养网的需求:
如何使现有网络具有自我造血机制成为高校普遍关心的问题,而只有具有自我造血机制才能使校园网络更好的发展,不断的完善。目前主要的措施有两个:
发行宽带上网卡,改变以前单一,高成本的收费模式。卡号类型主要有包月卡、包月限时长、时长卡三种类型,包月限流量卡作为一种备选解决方案。同时配合灵活的折扣方式,引导学生上网(如上课时间单价比夜晚高些)。
开展服务收费。高校拥有丰富的教育资源,并且是公众教育的主要支撑力量。基于网络开展有偿的资源提供正成为目前公众教育的主要形式。这样不仅盘活了现有资源,通过有偿服务推动公益教育的发展。
1.1.4安全管理的需求:
学生接受新鲜事务的能力非常强,因此校园也成为黑客最多的场所之一,如何保障校园网络的安全成为建网时不得不考虑的问题,目前主要攻击手段有DOS,DDOS等。
上网日志的需求,主要是配合公安机关保证社会的稳定和校园的安全。
1.1.5NAT的需求:
由于没有公网IP地址或地址不够,另外,因为教育网地址用户报文在通过运营商网络边界路由器时不被信任或运营商地址用户报文在通过教育网边界路由器时不被边界路由器信任,会造成部分Internet网站不可访问。解决此问题的措施需要在运营商或教育网其中一个出口做NAT,对此出口屏蔽内部路由。
1.1.6组播业务的需求,特别是可控组播的需求将随着校园信息化的深入而体现出来。
1.2建网具体需求
本次校园网建设工程,涉及到整个校园网。详细需求为:
A.在图书馆三楼设立中心机房安放两台核心万兆交换机;
B.一号楼和二号楼各需要2台48口千兆交换机通过一台万兆交换机汇聚后千兆接入校园网;四号楼需要3台48口千兆交换机通过一台万兆交换机汇聚后千兆接入校园网;研究生楼3个单元72套需要3台千兆交换机通过一台万兆交换机汇聚后千兆接入校园网;
C.学生公寓区一4大栋(每栋由2小栋采用“工”字形组成),每栋160间住房,共需56台24口百兆交换机,通过百兆光纤汇聚到高性能安全三层快速以太网交换机后再通过千兆光纤接入核心交换机;学生公寓区二5大栋,共需约70台24口交换机,也采用和公寓区一同样的方式完成校园网的接入;
D.家属区33栋共360户,每栋采用一台16端口交换机完成楼内的接入,最后通过光纤汇聚到一台高性能安全三层快速以太网交换机后再通过千兆光纤接入校园网;
E.三号楼、五号楼、六号楼、七号楼、八号楼等楼栋的信息点采用交换机的堆叠再分别通过千兆光纤接入校园网;
F.新建一台核心路由器,实现和校园网和CHINANET、CERNET的相连。
2 校园网网络建设方案概述
校园网网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。组网图如下所示:
2.1核心层:
本次方案用两台万兆核心交换机作为校园网的核心层。两个万兆交换机通过2GE链路捆绑相连。
核心万兆交换机应具备足够的业务槽位,较高的背板交换能力,满足所有接口线速转发的交换能力和与之相匹配的多层包转发能力。同时核心万兆交换机应具有良好的扩展性,还应具备良好的业务支持,如组播、MPLS VPN、IPv6、WEBSWTITCH、IDS和RPR等。因此我们可以根据校园网的发展增加相应的接口板和交换引擎,或根据需要增加WEBSWITCH、IDS等业务板持续的保证核心层的高性能。
2.2汇聚层:
选择合适的汇集设备对于校园网来说意义重大。因为,一台高性能的汇集设备不仅可以分担核心设备的压力,更能提高其所覆盖网络用户的数据交换效率,保证校园网的畅通无阻。汇聚设备选择的标准:A.性能强劲,能够分担核心设备的压力。B.业务支持丰富,考虑实际应用,汇聚交换机应能提供以下业务支持能力:等值路由能力;内置802.1x认证Server;完善的安全保障技术,有效抵抗各类网络攻击和病毒;万兆支持能力。本次组网,根据实际用户分布和数量,汇聚层交换机选择的全千兆(可扩展至万兆)或百兆智能三层交换机。通过提供高密度的GE/FE端口,为园区网提供GE/FE接口的汇聚和收敛功能,汇聚交换机不仅可以保证教学区、宿舍区大量的数据无阻交换,同时还可以通过特有的安全技术,流控技术,认证技术提高网络的质量,更好的提供网络服务。并且随着网络应用的增加,可选用相应扩展接口。教学区的汇聚交换机要求还可扩展至万兆接口,实现园区网在将来可从千兆骨干平滑过渡到万兆骨干,从而有效地保护了原有投资。
2.3接入层:
一个高性能的校园网除了核心、汇聚设备性能要求强劲之外,最重要的一环是数量最大的接入交换机。接入交换机不仅要求保证线速的交换,同时要提供良好的用户认证、管理和安全控制等功能,保证校园网管理策略的一致性。接入交换机通过用户上网身份认证,费用统计,防MAC地址、IP地址盗用,带宽控制,ACL管理,流分类等功能完成校园网的管理和运营,并且配合强大的处理能力,满足校园网流量大,数据交换频繁,业务开展较多的特点。
2.4路由器:
在校园网中,一般有两个公网出口:一个教育网出口和一个运营商出口。路由器通过配置,应该可以实现用户访问教育网时走教育网出口,访问公众网时走公众网出口;而当一个出口出现故障时能自动切换到另外一个出口,保证业务不中断。还可以通过配置让一部分用户只能访问教育网。
园区网中用户的访问量很大,而出口带宽又是有限的,经常出现用户无休止的占用出口的带宽资源,主要表现在使用各种下载软件和P2P(BT)软件占用带宽很严重,导致连接数的增加和流量的突然增大。容易引起出口瘫痪。因此路由器应能够基于IP头、UDP/TCP头,UDP/TCP内容进行识别,并确定是否进行相应的控制。
2.5用户认证管理
为统一的网络认证和管理,本次方案将选用成熟的管理软件作为全网的用户认证和管理的核心。管理软件采用平台化设计,具备用户认证、计费、LDAP、网关等多种功能模块,可以根据实际需要开展基于802.1x的认证管理或基于WEB的认证管理。而且以后可根据需要实现多种计费,开展二次运营。
2.6网管平台:
为提高网络管理的效率,减轻网络维护的压力,本次组网采用网管系统进行全网设备的统一管理。网络管理软件可以对数据通信设备如路由器、交换机等进行统一管理和维护,位于网络解决方案的管理层,能够实现网元管理和网络管理的功能。网络管理软件基于灵活的组件化结构,包括网元管理平台、拓扑发现、流量监管、面板管理、配置管理等,用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件,真正实现“按需建构”。
3 校园网的IP规划及路由设计
3.1IP地址规划
在网络规划中,IP地址方案的设计至关重要,好的IP地址方案不仅可以减少网络负荷,还能为以后的网络再扩展打下良好的基础。
3.1.1地址编制原则
A.唯一性原则
唯一性是IP地址在TCP/IP协议中最基本的要求,是IP地址的基本特征和IP地址编制的重要依据。校园网内部每个子网络所使用的IP地址的网络地址字段必须是唯一的,同一个子网络中的IP地址中包含的主机地址字段也必须是唯一的。
B.连续性原则
在层次化结构的网络中为各个节点划分连续的IP地址区间,便于实现路径叠合等优化IP地址的分配技术,简化路由表数据,提高路由算法的计算效率和动态路由的快速收敛,能有效利用地址空间。
C.扩展性原则
IP地址编制要兼顾网络规模扩展的要求,为各个节点预留足够的IP地址扩展区间时,应考虑对网络在用地址的继承性,满足路由协议的要求、实现IP地址编用的平滑连接等,这是保证网络扩展和有序管理的重要条件。
D.规范性原则
网络内各节点的网络互联设备和局域网内主要设备等采用规范的地址编制技术和方法,是网络互联互通和提高网络管理效率的有效措施。
E.标准化原则
遵循有关TCP/IP协议标准来规划IP地址,是网络建设的重要原则。
3.1.2 IP地址编制方法
A.完全二叉树分配法
网络中各级子网IP地址的编制,是从完全二叉树地址空间中某一子树的根开始,逐级向下地将该子树下的从属子树分配给各级子网和其下级子网,同级子网均以同样方法分配同根的二叉树。网络互连IP地址和用户主机IP地址,都是从本级子网的从属子树地址空间中分配。采用这一IP地址的编制技术,既避免了各级子网IP地址的重叠,又保证了各级子网IP地址空间的连续性。
B.分布式的地址空间预留技术
分布式的地址空间预留技术是指给按层次划分的各级子网IP地址预留空间,当由于网络扩展需要IP地址扩展时,可使扩展的IP地址空间与在用的IP地址空间连续,使网络继续保持其最简的路由表数据结构,保证了IP地址的平滑扩展。
C.无类域间路由(CIDR)编址技术
无类域间路由CIDR(Classless Interdomain Routing)编址技术使用了可变长子网掩码VLSM(VARIABLE-lengthSubnetMask)技术和完全二叉树地址分配技术,可根据网络和主机的分布状况,灵活地选择不同的子网掩码屏蔽位长度,动态地分配网络地址标志位和主机地址标志位长度,不仅能有效地提高IP地址空间利用率,而且使路由表数据更加简化。
3.1.3校园网IP地址规划
考虑到公有IP地址紧缺、校园网内信息点较多的实际情况,对的学生宿舍区IP地址规划采取分配固定的C类私有IP的方式。在防火墙上使用NAT(Network Address Translation)网络地址转换协议,将内部自行定义的私有IP地址转换为Internet公网上可识别的公有IP地址。
将整个网络按照不同的汇聚点划分为若干个区,每个区分若干个C类私有IP地址,然后再按变长子网掩码技术方案划分IP地址。
3.2路由设计
对于双星型结构来说,内部路由可以采用OSPF V2,。内部路由在层次上可以分为两层:骨干路由层和接入层,毫无疑问,将双核心设计为骨干路由区域,负责告诉、稳定地转发数据包。区域的划分如图所示。
骨干路由层原则上采用OSPF V2,OSPF V2适用于自治域内的路由规划,有较强的域内路由分区和负载分担的功能,更重要的是它是一种开放的标准,各种厂家的设备均支持,不必担心不同厂家设备之间的路由协议的兼容问题。
接入层路由采用默认路由。
4 路由器解决方案
考虑到统一网管的需求,使用与交换机同一品牌的路由器。
路由器应选择基于分布式的网络处理器硬件转发和无阻塞交换技术,具备优异的扩展能力,可以通过软件平滑升级的方式支持IPv6。核心路由器强大的IP业务处理能力和三层交换机低成本以太交换能力,可提供更丰富的业务、更灵活的组网和更理想的性价比。核心路由器是IP骨干网和IP城域网向宽带化、安全化、业务化发展的重要源动力。
对于核心路由器,其产品应满足如下特点
A.分布式第五代路由器
第五代路由器采用了业界高性能网络处理器技术,充分继承了第四代全分布式硬件处理的架构,有机地结合了软件的灵活性和硬件的高性能,即提供线速转发性能,又具备快速良好的业务升级和扩展能力,最大限度地保证用户投资,加速IP网络向宽带化、安全化、业务化、智能化方向发展。
B.业务丰富
高品质QoS能力,实现智能业务感知,提供先进的队列调度算法、SARED拥塞控制算法,精确保证不同业务的带宽、时延和抖动,满足不同用户、不同业务等级的“区分服务”要求。
基于分布式硬件处理,具备高性能的业务能力,提供全面的MPLS VPN业务,胜任高性能P/PE应用,提供高品质、安全和多层次的MPLS VPN解决方案;提供高性能组播能力;提供千兆线速NAT等各种业务。
具备快速良好的扩展能力,通过软件升级即可平滑支持IPv6和未来新业务,是未来网络可持续发展的条件,是未来IP电信网(IPTN)的重要基石。
C.灵活的组网能力
拥有从64k到10G速率接口,支持RPR环网技术,提供丰富的协议功能,能够应对各种复杂组网,满足IP城域网、骨干网、运营支撑网的组网需求。
提供报文过滤、流量采样、端口镜像、安全日志等各种安全措施,是构建高安全可维护网络的最佳设备。
D.高可靠性
各关键部件包括路由处理系统、交换网系统、时钟系统、电源、管理总线全部为冗余热备份,实现基于状态的热切换;所有组件支持热插拔;采用无源背板设计;提供热补丁技术,实现软件完全平滑升级;支持动态路由协议、MPLS流量工程,提供IP/MPLS快速重路由、接口自动保护切换(MSP)、虚拟路由冗余协议(VRRP)、RPR自愈环网(IPS)等保护机制,具备快速路由备份(FRB:Fast Routing Backup)特色功能,有效保证了全网运行的高速可靠。
5 基于网络设备的安全措施
网络安全是任何一个网络建设时首先要考虑的重要问题,校园网的环境更加复杂,学生的好奇心比较强,并且有不少学生的技术水平比较高,校园网的网络安全更加值得关注。
TCP/IP网络本身就存在很多安全漏洞,很容易被一些恶意用户利用并实施攻击,或非法占用网络资源,侵犯其它用户的合法利益,甚至导致整个网络系统崩溃。任何一个网络设备都必需首先具备足够的自我保护和防范能力,交换机和路由器等网络设备在安全性方面应具有丰富实用的功能,大体可分为两类,一类是自身防攻击措施,另一类是用户安全保证措施。
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
关键词:校园网;万兆以太网;IPv6
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)15-30665-03
1 建网需求
1.1一般建网需求
校园网的建设涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。文章主要分析网络基础设施建设和网络运营方面相关的内容。校园网络建设从网络流量模型上看和企业网的流量模型相似,用户集中而网络流量大,但实际应用上还存在许多和企业网不同的地方。主要特点如下:
1.1.1多出口的需求:
典型的组网有中国教育和科研网(CERNET)出口和运营商网络出口。多出口带来了以下两个需求:
A.多权限ISP需求。用户可通过不同的账号名或采用相同的账号,不同的域名认证,获得不同的上网权限。譬如做到用户不认证前能自由访问校园内部分服务器,采用“user@163”登录,可实现Internet和校园网络自由访问,采用“user@cernet”登录,可访问CERNET和校园网。用户域名选择可通过WEB认证时用户通过选择WEB认证上的相应选择项进行选择。
B.多ISP分别计费的需求,对应不同的ISP,计费策略不一致。
1.1.2用户管理的需求:
使用方便,存在WEB认证需求。要求能做到基于WEB的身份认证、多ISP选择、用户费率查询、带宽动态调整(隐性需求)、多WEB界面(隐性需求)等。
需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。
对用户带宽进行控制的需求,要求设备能对用户的带宽进行控制,譬如限制为256K、512K、1M、2M、5M、10M等等级。
1.1.3以网养网的需求:
如何使现有网络具有自我造血机制成为高校普遍关心的问题,而只有具有自我造血机制才能使校园网络更好的发展,不断的完善。目前主要的措施有两个:
发行宽带上网卡,改变以前单一,高成本的收费模式。卡号类型主要有包月卡、包月限时长、时长卡三种类型,包月限流量卡作为一种备选解决方案。同时配合灵活的折扣方式,引导学生上网(如上课时间单价比夜晚高些)。
开展服务收费。高校拥有丰富的教育资源,并且是公众教育的主要支撑力量。基于网络开展有偿的资源提供正成为目前公众教育的主要形式。这样不仅盘活了现有资源,通过有偿服务推动公益教育的发展。
1.1.4安全管理的需求:
学生接受新鲜事务的能力非常强,因此校园也成为黑客最多的场所之一,如何保障校园网络的安全成为建网时不得不考虑的问题,目前主要攻击手段有DOS,DDOS等。
上网日志的需求,主要是配合公安机关保证社会的稳定和校园的安全。
1.1.5NAT的需求:
由于没有公网IP地址或地址不够,另外,因为教育网地址用户报文在通过运营商网络边界路由器时不被信任或运营商地址用户报文在通过教育网边界路由器时不被边界路由器信任,会造成部分Internet网站不可访问。解决此问题的措施需要在运营商或教育网其中一个出口做NAT,对此出口屏蔽内部路由。
1.1.6组播业务的需求,特别是可控组播的需求将随着校园信息化的深入而体现出来。
1.2建网具体需求
本次校园网建设工程,涉及到整个校园网。详细需求为:
A.在图书馆三楼设立中心机房安放两台核心万兆交换机;
B.一号楼和二号楼各需要2台48口千兆交换机通过一台万兆交换机汇聚后千兆接入校园网;四号楼需要3台48口千兆交换机通过一台万兆交换机汇聚后千兆接入校园网;研究生楼3个单元72套需要3台千兆交换机通过一台万兆交换机汇聚后千兆接入校园网;
C.学生公寓区一4大栋(每栋由2小栋采用“工”字形组成),每栋160间住房,共需56台24口百兆交换机,通过百兆光纤汇聚到高性能安全三层快速以太网交换机后再通过千兆光纤接入核心交换机;学生公寓区二5大栋,共需约70台24口交换机,也采用和公寓区一同样的方式完成校园网的接入;
D.家属区33栋共360户,每栋采用一台16端口交换机完成楼内的接入,最后通过光纤汇聚到一台高性能安全三层快速以太网交换机后再通过千兆光纤接入校园网;
E.三号楼、五号楼、六号楼、七号楼、八号楼等楼栋的信息点采用交换机的堆叠再分别通过千兆光纤接入校园网;
F.新建一台核心路由器,实现和校园网和CHINANET、CERNET的相连。
2 校园网网络建设方案概述
校园网网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。组网图如下所示:
2.1核心层:
本次方案用两台万兆核心交换机作为校园网的核心层。两个万兆交换机通过2GE链路捆绑相连。
核心万兆交换机应具备足够的业务槽位,较高的背板交换能力,满足所有接口线速转发的交换能力和与之相匹配的多层包转发能力。同时核心万兆交换机应具有良好的扩展性,还应具备良好的业务支持,如组播、MPLS VPN、IPv6、WEBSWTITCH、IDS和RPR等。因此我们可以根据校园网的发展增加相应的接口板和交换引擎,或根据需要增加WEBSWITCH、IDS等业务板持续的保证核心层的高性能。
2.2汇聚层:
选择合适的汇集设备对于校园网来说意义重大。因为,一台高性能的汇集设备不仅可以分担核心设备的压力,更能提高其所覆盖网络用户的数据交换效率,保证校园网的畅通无阻。汇聚设备选择的标准:A.性能强劲,能够分担核心设备的压力。B.业务支持丰富,考虑实际应用,汇聚交换机应能提供以下业务支持能力:等值路由能力;内置802.1x认证Server;完善的安全保障技术,有效抵抗各类网络攻击和病毒;万兆支持能力。本次组网,根据实际用户分布和数量,汇聚层交换机选择的全千兆(可扩展至万兆)或百兆智能三层交换机。通过提供高密度的GE/FE端口,为园区网提供GE/FE接口的汇聚和收敛功能,汇聚交换机不仅可以保证教学区、宿舍区大量的数据无阻交换,同时还可以通过特有的安全技术,流控技术,认证技术提高网络的质量,更好的提供网络服务。并且随着网络应用的增加,可选用相应扩展接口。教学区的汇聚交换机要求还可扩展至万兆接口,实现园区网在将来可从千兆骨干平滑过渡到万兆骨干,从而有效地保护了原有投资。
2.3接入层:
一个高性能的校园网除了核心、汇聚设备性能要求强劲之外,最重要的一环是数量最大的接入交换机。接入交换机不仅要求保证线速的交换,同时要提供良好的用户认证、管理和安全控制等功能,保证校园网管理策略的一致性。接入交换机通过用户上网身份认证,费用统计,防MAC地址、IP地址盗用,带宽控制,ACL管理,流分类等功能完成校园网的管理和运营,并且配合强大的处理能力,满足校园网流量大,数据交换频繁,业务开展较多的特点。
2.4路由器:
在校园网中,一般有两个公网出口:一个教育网出口和一个运营商出口。路由器通过配置,应该可以实现用户访问教育网时走教育网出口,访问公众网时走公众网出口;而当一个出口出现故障时能自动切换到另外一个出口,保证业务不中断。还可以通过配置让一部分用户只能访问教育网。
园区网中用户的访问量很大,而出口带宽又是有限的,经常出现用户无休止的占用出口的带宽资源,主要表现在使用各种下载软件和P2P(BT)软件占用带宽很严重,导致连接数的增加和流量的突然增大。容易引起出口瘫痪。因此路由器应能够基于IP头、UDP/TCP头,UDP/TCP内容进行识别,并确定是否进行相应的控制。
2.5用户认证管理
为统一的网络认证和管理,本次方案将选用成熟的管理软件作为全网的用户认证和管理的核心。管理软件采用平台化设计,具备用户认证、计费、LDAP、网关等多种功能模块,可以根据实际需要开展基于802.1x的认证管理或基于WEB的认证管理。而且以后可根据需要实现多种计费,开展二次运营。
2.6网管平台:
为提高网络管理的效率,减轻网络维护的压力,本次组网采用网管系统进行全网设备的统一管理。网络管理软件可以对数据通信设备如路由器、交换机等进行统一管理和维护,位于网络解决方案的管理层,能够实现网元管理和网络管理的功能。网络管理软件基于灵活的组件化结构,包括网元管理平台、拓扑发现、流量监管、面板管理、配置管理等,用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件,真正实现“按需建构”。
3 校园网的IP规划及路由设计
3.1IP地址规划
在网络规划中,IP地址方案的设计至关重要,好的IP地址方案不仅可以减少网络负荷,还能为以后的网络再扩展打下良好的基础。
3.1.1地址编制原则
A.唯一性原则
唯一性是IP地址在TCP/IP协议中最基本的要求,是IP地址的基本特征和IP地址编制的重要依据。校园网内部每个子网络所使用的IP地址的网络地址字段必须是唯一的,同一个子网络中的IP地址中包含的主机地址字段也必须是唯一的。
B.连续性原则
在层次化结构的网络中为各个节点划分连续的IP地址区间,便于实现路径叠合等优化IP地址的分配技术,简化路由表数据,提高路由算法的计算效率和动态路由的快速收敛,能有效利用地址空间。
C.扩展性原则
IP地址编制要兼顾网络规模扩展的要求,为各个节点预留足够的IP地址扩展区间时,应考虑对网络在用地址的继承性,满足路由协议的要求、实现IP地址编用的平滑连接等,这是保证网络扩展和有序管理的重要条件。
D.规范性原则
网络内各节点的网络互联设备和局域网内主要设备等采用规范的地址编制技术和方法,是网络互联互通和提高网络管理效率的有效措施。
E.标准化原则
遵循有关TCP/IP协议标准来规划IP地址,是网络建设的重要原则。
3.1.2 IP地址编制方法
A.完全二叉树分配法
网络中各级子网IP地址的编制,是从完全二叉树地址空间中某一子树的根开始,逐级向下地将该子树下的从属子树分配给各级子网和其下级子网,同级子网均以同样方法分配同根的二叉树。网络互连IP地址和用户主机IP地址,都是从本级子网的从属子树地址空间中分配。采用这一IP地址的编制技术,既避免了各级子网IP地址的重叠,又保证了各级子网IP地址空间的连续性。
B.分布式的地址空间预留技术
分布式的地址空间预留技术是指给按层次划分的各级子网IP地址预留空间,当由于网络扩展需要IP地址扩展时,可使扩展的IP地址空间与在用的IP地址空间连续,使网络继续保持其最简的路由表数据结构,保证了IP地址的平滑扩展。
C.无类域间路由(CIDR)编址技术
无类域间路由CIDR(Classless Interdomain Routing)编址技术使用了可变长子网掩码VLSM(VARIABLE-lengthSubnetMask)技术和完全二叉树地址分配技术,可根据网络和主机的分布状况,灵活地选择不同的子网掩码屏蔽位长度,动态地分配网络地址标志位和主机地址标志位长度,不仅能有效地提高IP地址空间利用率,而且使路由表数据更加简化。
3.1.3校园网IP地址规划
考虑到公有IP地址紧缺、校园网内信息点较多的实际情况,对的学生宿舍区IP地址规划采取分配固定的C类私有IP的方式。在防火墙上使用NAT(Network Address Translation)网络地址转换协议,将内部自行定义的私有IP地址转换为Internet公网上可识别的公有IP地址。
将整个网络按照不同的汇聚点划分为若干个区,每个区分若干个C类私有IP地址,然后再按变长子网掩码技术方案划分IP地址。
3.2路由设计
对于双星型结构来说,内部路由可以采用OSPF V2,。内部路由在层次上可以分为两层:骨干路由层和接入层,毫无疑问,将双核心设计为骨干路由区域,负责告诉、稳定地转发数据包。区域的划分如图所示。
骨干路由层原则上采用OSPF V2,OSPF V2适用于自治域内的路由规划,有较强的域内路由分区和负载分担的功能,更重要的是它是一种开放的标准,各种厂家的设备均支持,不必担心不同厂家设备之间的路由协议的兼容问题。
接入层路由采用默认路由。
4 路由器解决方案
考虑到统一网管的需求,使用与交换机同一品牌的路由器。
路由器应选择基于分布式的网络处理器硬件转发和无阻塞交换技术,具备优异的扩展能力,可以通过软件平滑升级的方式支持IPv6。核心路由器强大的IP业务处理能力和三层交换机低成本以太交换能力,可提供更丰富的业务、更灵活的组网和更理想的性价比。核心路由器是IP骨干网和IP城域网向宽带化、安全化、业务化发展的重要源动力。
对于核心路由器,其产品应满足如下特点
A.分布式第五代路由器
第五代路由器采用了业界高性能网络处理器技术,充分继承了第四代全分布式硬件处理的架构,有机地结合了软件的灵活性和硬件的高性能,即提供线速转发性能,又具备快速良好的业务升级和扩展能力,最大限度地保证用户投资,加速IP网络向宽带化、安全化、业务化、智能化方向发展。
B.业务丰富
高品质QoS能力,实现智能业务感知,提供先进的队列调度算法、SARED拥塞控制算法,精确保证不同业务的带宽、时延和抖动,满足不同用户、不同业务等级的“区分服务”要求。
基于分布式硬件处理,具备高性能的业务能力,提供全面的MPLS VPN业务,胜任高性能P/PE应用,提供高品质、安全和多层次的MPLS VPN解决方案;提供高性能组播能力;提供千兆线速NAT等各种业务。
具备快速良好的扩展能力,通过软件升级即可平滑支持IPv6和未来新业务,是未来网络可持续发展的条件,是未来IP电信网(IPTN)的重要基石。
C.灵活的组网能力
拥有从64k到10G速率接口,支持RPR环网技术,提供丰富的协议功能,能够应对各种复杂组网,满足IP城域网、骨干网、运营支撑网的组网需求。
提供报文过滤、流量采样、端口镜像、安全日志等各种安全措施,是构建高安全可维护网络的最佳设备。
D.高可靠性
各关键部件包括路由处理系统、交换网系统、时钟系统、电源、管理总线全部为冗余热备份,实现基于状态的热切换;所有组件支持热插拔;采用无源背板设计;提供热补丁技术,实现软件完全平滑升级;支持动态路由协议、MPLS流量工程,提供IP/MPLS快速重路由、接口自动保护切换(MSP)、虚拟路由冗余协议(VRRP)、RPR自愈环网(IPS)等保护机制,具备快速路由备份(FRB:Fast Routing Backup)特色功能,有效保证了全网运行的高速可靠。
5 基于网络设备的安全措施
网络安全是任何一个网络建设时首先要考虑的重要问题,校园网的环境更加复杂,学生的好奇心比较强,并且有不少学生的技术水平比较高,校园网的网络安全更加值得关注。
TCP/IP网络本身就存在很多安全漏洞,很容易被一些恶意用户利用并实施攻击,或非法占用网络资源,侵犯其它用户的合法利益,甚至导致整个网络系统崩溃。任何一个网络设备都必需首先具备足够的自我保护和防范能力,交换机和路由器等网络设备在安全性方面应具有丰富实用的功能,大体可分为两类,一类是自身防攻击措施,另一类是用户安全保证措施。
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。