万兆先进型校园网方案.pdf

1/7 万兆校园网解决方案 校园网是一个承载各种网络应用的平台。随着数字校园、网络教学等应用的深入发展，以及基于网络视频等大流量网络应用的快速发展，一些服务器也已经开始广泛使用千兆网卡，这使得校园网骨干网升级为万兆成为一个迫切的需求。下面我们按照结构、性能、接入、IP 和应用五个方面来看如何部署万兆校园网络。校园网结构分析 在核心层采用万兆交换机可以大大提高核心数据交换能力，而整个校园网络不仅需要保证各个接入点充足的带宽，而且需要拥有可管理且安全的网络服务，这样才能让整个校园网发挥最大的功用，成为整个校园的中枢神经。在核心层，万兆核心交换机通过万兆链路分别与两台汇聚层的万兆上连交换机相连，构成万兆环网设计，一旦其中一条万兆链路出现问题，另一条会立刻自动启用。在链路设计上，充分保障了关键区域网络的稳定可靠。在对带宽需求比较大的教学场所或图书馆等汇聚层部署万兆骨干交换机，需要配备多个扩展槽，以满足未来的扩展需要，并实现万兆线卡的线速转发。汇聚层的其它地方则要部署千兆交换机。另外，网络设备还需要支持硬件 IPv6，为以后的平滑过渡做准备。在接入层，网络接入交换机全部采用安全智能接入交换机，以提供强大的安全功能，从而在接入层对常见的病毒和攻击进行防护。校园网性能分析 万兆网络的高性能首先需要在核心层得到保障，因此，核心交换机的先进性、吞吐量和可靠性是校园网最重要的环节之一。万兆核心交换机至少需要支持3.2Tbps的背板处理能力，且具有1190Mbps 以上的的包转发能力，还需要采用第二代 Crossbar 架构，以克服第一代 Crossbar 架构技术的局限性，从而达到质的提升。另外，核心交换机需要采用 ACL（访问控制）来实现病毒防护、安全过滤等功能。在核心交换机的 ACL 实现方面，需要采用硬件 ASIC 芯片，达到在保证安全的同时不影响网络性能的目的，同时实现整机数据端口级同步处理ACL/QOS.通过线卡芯片线速转发 L2/L3/组播数据，实现从线卡到端口的全面分布式硬件设计，有效分流、缓解线卡 ASIC 芯片的负载压力，极大地提升交换机的整体数据处理能力，满足业务急剧增长的需要，保持网络的高性能无阻塞交换和网络安全防护，实现多数据多业务的全线速处理。在可靠性方面，核心设备需要电源冗余、交换引擎冗余，另外，模块需要具备热拔插功能，以防止设备级单点故障。校园网接入认证分析 以前校园网在设计时的立足点是让每个用户都可以无障碍地接入到网络中来，同时，尽量减少故障率。而现在，在保证无障碍接入的同时，校园网更加注重接入用户的认证，未经授权的网络接入和访问需要禁止。目前，在实现认证功能方面，最常采用的是 802.1X 技术，而以前常用的 Web Portal 或 PPPoE 认证方式，已逐步被淘汰。由于校园网用户接入类型相对繁杂，包括生活区及教学区的固定接入、机房接入、图书馆接入以及无线接入等方式。网管人员可以通过账号、IP 地址、MAC2/7 地址、交换机、交换机端口等多元素灵活绑定，以满足复杂的应用需求。在认证策略方面，可采取认证计费报文与业务数据分流技术。在认证通过后，业务数据流就旁路了。这样用户在整个上网过程中，就避免了报文和 Radius 服务器的交换，交换机也无须处理认证计费报文，从而保证了网络性能。在认证计费技术的实现上，每个接入交换机的每一个端口均相当于一个认证者，从而实现了分布认证，排除单点故障，同时克服了传统网关设备进行认证计费时造成的性能瓶颈。校园网 IP 地址分析 在校园网运行中，由于用户自行随意分配 IP 地址，常会发生 IP 地址冲突、盗用和滥用的情况，这严重干扰了校园网的正常运行，也是网络管理人员最头痛的问题。因此，如何解决 IP 地址冲突，并有效防止 IP 地址的盗用和滥用，是校园网建设中必须考虑的问题。在接入客户端上启用端口+IP+MAC 绑定是解决 IP 地址问题的一个非常有效的方法。这就需要接入交换机能够支持硬件实现 IP、MAC、端口绑定和IP+MAC 绑定，并能实现端口反查功能，从而追查源 IP、MAC 访问以及恶意用户，有效地防止通过假冒源 IP、MAC 地址进行网络攻击，进一步增强网络的安全性。控制类似 ARP 攻击，保护校园网络安全也是一个非常重要的工作。接入交换机需要支持 ARP 报文检测功能。交换机通过核对 ARP 报文中的源 IP、MAC是否和端口安全规则一致，有效防止了安全端口上的ARP 欺骗以及非法信息点冒充网络关键设备 IP 事件的发生。校园网应用分析 一个完善的校园网络应该具备杜绝非法组播源、保证合法组播源正常应用的功能，同时还能够保障网络带宽合理有效地利用。目前销售的交换机均支持 IMGP 源端口检查，能够有效杜绝全网非法组播源，严格限定 IGMP 组播流的进入端口。当 IGMP 源端口检查关闭时，从任何端口进入的视频流全是合法的，交换机会把它们转发到已注册的端口。而当 IGMP源端口检查打开时，只有从路由连接口进入的视频流才是合法的，交换机会把它们转发向已注册的端口，而从非路由连接口进入的视频流则会被视为非法端口进而被丢弃。另外，校园网还需要控制和过滤已知的网络病毒类型，保障正常网络资源的访问，这需要依靠 ACL 来实现。ACL 还要支持智能的防扫描功能，从而判断用户是否对网络进行扫描，如果结果超出定义值，交换机就会自动切断用户连接，从而保障网络的正常应用。实现智能控制网络应用，合理规划使用资源，需要网络对出现的新应用有探知能力。例如在校园网中盛行的 P2P 应用，如果不对其加以控制，其后果将是有效带宽被无限制地占用。因此，交换机需要支持对新应用的深度识别和控制，除硬件识别报文中的二层字段如 MAC 地址、三层字段 IP 地址、四层字段 TCP/UDP 端口号以外，还能硬件识别和控制报文内容，从而及时在接入层进行遏制，达到控制泛滥使用或不法网络应用流的目的。高品质的校园网络解决方案 3/7 网络核心层设备配置及方案说明：根据网络中心的设计原则，以提高核心设备的可靠性、可用性为目标，结合用户的具体要求，中心采用 NETGEAR 公司的企业级 GSM7352S 多层万兆兆以太网交换机。高性能价格比的 GSM7352S 提供 48 个 10/100/1000M 双绞线铜缆千兆端口和 8个千兆 GBIC 插槽（与后 8 个 10/100/1000M 电口共享），196Gbps 的交换能力和 137Mpps 的线速路由转发能力将充分满足日益增长的网络业务的性能需求，支持最大 8 台交换机的真正堆叠，最大提供 192 个千兆端口和 16 个 10G 万兆端口。GSM7352S 灵活的端口配配置为用户组建网络带来了最大的灵活性。GSM7300S 系列交换机支持 RIPv1v2、OSPF、SNMPv1v2v3、IGMP 监听、802.1x 端口认证等丰富的软件特性集，并提供了丰富的包过滤和优先级设置功能及增强 QoS 功能特性，可以进一步增强网络的安全性以及适应不同网络应用的需求，是构建中大型企业级网络中心的理想选择。核心层，汇聚层设备连接说明：网络中心的 GSM7352S 与汇聚层 GSM7312（GSM7324）交换机之间采用两条1000Mbps 链路相互之间进行连接。采用 NETGEAR 称为 Trunking 的链路聚合（Link Aggregation）技术，逻辑上交换机视 2 条物理链路为一条逻辑链路，这样交换机使用的 Spanning Tree 或者快速生成树协议（Rapid Spanning Tree 协议）不会将两台桥接的交换机多条物理链路所构成的环路中断。当其中的多条物理链路中的任何一条出现故障中断时，交换机会自动将其隔离，数据在其它链路上进行传输，当链路故障恢复正常，恢复传输数据。Link Aggregation 技术是网络骨干交换机提高相互连接带宽，减少瓶颈，冗余链路的最佳技术选择。同时也是骨干核心交换机与边缘交换机的连接技术选择。汇聚层设备配置及方案说明：汇聚层采用 NETGEAR 公司二层千兆交换机 GSM7312 或 GSM7324，负责每个楼片区的接入。GSM7312 提供 12 个 10/100/1000M 千兆 RJ-45 端口（所有端口支持自协商和 MDI/MDIX 线缆自适应），12 个 miniGBIC（SFP）插槽可提供千兆光纤的连接（每一个 1000Base-T 与对应的 MiniGBIC 端口共享使用，需另外购买千兆光纤 SFP 模块）。最为灵活的端口配置为用户组建网络带来了最大的灵活性。每4/7 交换机支持多达 512 条路由表项，VRRP（虚拟路由冗余协议），ICMP，RIP v1 和RIP v2 路由信息协议，OSPF v2 最短路径优先动态路由协议，并且还具有 DHCP/BOOTP 的中继能力。对于汇聚层到网络中心的连接，考虑到上行链路的负载，以及网络链路高可靠性的要求，我们建议采用两条千兆以太网的上连方式；每台汇聚交换机采用 2 个千兆线路采用以太网链路聚合技术（Link Aggregation）连接到网络中心的三层中心交换机。接入层设备配置及方案说明：根据典型大型校园网配线间的设计原则，以提高网络的可管理性，可靠性、可扩充性为目标，采用 NETGEAR 公司 FSM728TS/FS752TS 以太网交换机作为接入层的交换机，向下可提供线速的 10/100M 端口作为信息点的接入，向上可采用千兆端口与汇聚交换机 GSM7312 或 GSM734 进行连接。FS728TS（或 FS752TS）智能网管交换机作为二级工作组交换机，向下可提供线速的 10/100M 端口作为信息点的接入，向上可采用千兆端口与中心交换 FSM73xxS 进行连接。FS728TS（FS752TS）提供 24（48）个 10/100M 端口，4 个 10/100/1000M UTP端口和 2 个 1000Base-X SFP 光纤端口（支持 1000Base-Sx1000Base-LX 千兆 SFP模块），2 个堆叠口，最大可以支持 8 台交换机堆叠，每个堆叠最大提供 192 个端口。FS7xxTS 交换机具有 12.8Gbps/17.6Gbps 的背板交换能力，丰富的软件功能，为校园网工作组的接入提供了最佳的选择。NETGEARFS7xxTS 系列交换机支持简单明了的 WEB 页面配置方式，具有丰富的安全特性802.1x，端口双向速率限制，端口 MAC 地址绑定，GUEST vlan，端口镜像，支持 SNMP v1，v2，v3 无线及 VPN 设备说明：以 SSL 312 VPN 设备作为远程出差用户访问校园网的 SSL 终结设备。远程用户无需安装，维护任何 V PN 客户端软件，只需要使用 IE 浏览器就可以实现高效，安全的远程 VPN 数据访问 对于远程教学站点，可以采用 IPSEC VPN 方式，实现网络网络的远程安全数据访问。基于 IEEE802.11g 标准的 108Mbps 无线局域网企业级接入点 WG302，用来提供如会议室等场所的无线网络连接。WG302支持802.1Q功能，最大支持8个VLAN,用户无论漫游到何地，都可以连接到自己本部门的 vlan，获取相应的权限。NETGEAR 公司企业级的无线局域网接入点 WG302 是可支持 IEEE802.1x 及WPA 高安全、天线可拆卸、支持 SNMP 网络管理、可用以太网远程供电且具备多种工作模式的新型无线局域网接入点产品。方案备选产品：汇聚层交换机：GSM7324 FSM7328S FSM7352S 接入层交换机：FSM726 POE 供电交换机：FS7326P 无线 AP：WAG302 WAG102 WG102 5、大型高可靠性校园网组网方案 大型规模的校园网，网络核心的设备的作用十分重要，为保证网络核心设备的稳定，不中断的提供服务，我们通常会采用虚拟路由热备技术（VRRP）。如下图所示：5/7 VRRP 将局域网的一组路由器，如图中的 SW-1 和 SW-2 组织成一个虚拟的路由器。这个虚拟的路由器拥有自己的 IP 地址 192.168.0.3，称为路由器的虚拟 IP 地址。同时，物理路由器 SW-1，SW-2 也有自己的 IP 地址（如 SW-1 的 IP 地址为 192.168.0.1，SW-2 的 IP 地址为 192.168.0.2）。局域网内的主机仅仅知道这个虚拟路由器的 IP 地址 192.168.0.3，而并不知道备份组内具体路由器的 IP 地址。在配置时，将局域网主机的默认网关设置为该虚拟路由器的 IP 地址192.168.0.3。于是，网络内的主机就通过这个虚拟的路由器来与其它网络进行通信，实际的数据处理由备份组内 Master 路由器执行。如果备份组内的 Master 路由器出现故障时，备份组内的其它 Backup 路由器将会接替成为新的 Master，继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。VRRP 通过多台路由器实现冗余，任何时候只有一台路由器为主路由器，其他的为备份路由器。路由器间的切换对用户是完全透明的，用户不必关心具体过程，只要把缺省路由器设为虚拟路由器的 IP 地址即可。通过 VRRP 技术还可以实现核心网络设备负载均衡，例如 SW-1 在 vlan 1，3，5 中为主路由，在 vlan2，4，6 中为备份路由。而 SW-2 在 vlan2，4，6 中为主路由，在 vlan1，3，5 中为备份路由。这样就可以实现正常工作时候 SW-1 转发vlan1，3，5 的数据流量，SW-2 转发 vlan2，4，6 的数据流量。如果任意一台核心交换机发生故障，另外一台交换机会接管它，并继续提供网络服务。这种不间断的网络服务对于大中型网络是至关重要的。支持 VRRP 的设备：GSM7352S GSM7328S GSM7328FS GSM7324 GSM7312 6、NETGEAR 校园网方案的竞争优势 NETGEAR 公司校园网解决方案要优势主要有：完整、丰富且全面的网络方案 NETGEAR 推荐的校园网络系统解决方案，无论是从高性能的局域网建设，还是到基于宽带接入及基于 Internet 的增强性服务，从有线到无线连接，以及对远程拨号用户和 VPN 技术的支持，NETGEAR 都有一套完整的解决方案。系统成熟，可靠。高效率、低成本 NETGEAR 的校园网方案都具有高性能如主干千兆，10/100M 交换到每一个用6/7 户的特点，同时由于其端到端的 1000Base-T 产品线，使得其同时也拥有低成本的特点，符合中国目前中小学建设校园网的实际情况。高可扩充性、易用性 NETGEAR 的网络设备简单易用，十分适合目前中小学校园网建设对网络设备管理的需求。高安全 NETGEAR 的网络设备支持如端口与 MAC 捆绑，IEEE 802.1x 基于端口的安全访问控制、交换机管理用户的集中 Radius 认证等各种安全技术，满足校园网的要求。高可靠性 NETGAER 公司的产品具有很好的品质，拥有 99.999%的可靠性，可确保网络长时间最健康的运行。7/7