一、校园网背景分析
校园网是学校发展的重要基础设施,是提高学校教学和科研水平不可缺少的支撑环境。校园网一方面它为学校提供各种本地网络应用,另一方面它是沟通学校校园网内外部网络的桥梁。目前校园网有以下几个显著特点:
1、高速的局域网连接――校园网的核心为面向校园内部师生的网络,因此园区局域网是该系统的建设重点,并且网络信息中包含大量多媒体信息,故大容量、高速率的数据传输是网络的一项基本要求;
2、信息结构多样化――校园网应用分为电子教学(多媒体教室、电子图书馆等)、办公管理和远程通讯(远程教学、互联网接入、FTP服务、联网游戏等)三大部分内容。数据类型复杂,不同类型数据对网络传输有不同的质量需求;
3、安全可靠――校园网中同样有大量关于教学和档案管理的重要数据,不论是被损坏、丢失还是被窃取,都将带来极大的损失;
4、操作方便,易于管理――校园网面积大、接入复杂,网络维护必须方便快捷,设备网管性强,方便网络故障排除。
5、认证计费――学校对学生上网必须进行有效的控制和计费策略,保证网络的利用率。
校园网网络系统从结构层次上分为核心层、汇聚层和接入层;从功能上基本可分为校园网络中心、教学子网、办公子网、宿舍区子网、图书馆子网等。根据校园网用户数量的多少和网络应用的情况,可以分为大型校园网、中型校园网、小型校园网三种。
基于上述校园网的特点,我们在设计校园网络时必须充分考虑网络的先进性、标准化和开放性、可靠性和可用性、灵活性和兼容性、实用性和经济性、安全性和保密性、扩展性和网络的灵活性等特性,充分利用有限的投资,建设一个性价比比较高的综合性网络。
烽火网络综合考虑校园网特点,推出了一套高带宽、高效率、宜扩容、高经济性的校园网解决方案。
二、网络解决方案
1、大型校园网解决方案
大型校园网络结构复杂、用户数量庞大、网络应用繁多且流量大,网络的通信系统大量涉及校际互连、网际互连等。对于如此复杂的网络,必须充分考虑网络的容量、网络的安全性、冗余性和网络的扩展性。因此烽火网络采用层次化网络拓扑结构,如图1所示:
核心层采用两台F-engine E600高性能万兆核心路由交换机,双核心结构互相分担网络流量,互为备份,之间采用万兆链路,保障了网络核心的可靠性和冗余性,为整个校园网提供高速路由和数据转发。校园网内部服务器群以及网管PC通过千兆端口与E600千兆模块高速连接。
汇聚层采用三层交换机F-engine S3500/S4603的GE端口与核心E600相连,提供1000M主干链路,之间可以互为备份,当一台设备出现故障时,网络流量可以从另一台设备转发。S3500/S4603提供高密度快速以太网和千兆以太网接口;支持完备和丰富的二/三层协议,等级服务、流处理、QoS保证机制以及强大的业务处理和认证计费等应用服务,适应各种复杂网络的应用要求。
在用户接入层网络设计上,烽火网络采用F-engine M8000多业务分组平台和F-engine S2000M/ S2205A二层交换机,采用最新ESR技术进行环网设计,如图1在接入层通过ESR环网可以把地理位置相当比较集中,用户接入量比较多的接入点组成一个100M或1000M ESR环。
整个校园网络做到了100Mbps到桌面,1000Mbps链路到主干、10000Mbps链路到核心。用户端采用ESR环网做保护,汇聚层采用双机双链路做保护,核心采用双机做备份和流量分担;是一个高可靠、高容量的校园网解决方案。
图1
2、中小型校园网解决方案
中小型校园网络结构相对比较简单、用户数量从几百到几千、网络的通信系统以内网交换和Internet连接为主。对于这种网络,即要充分考虑网络建设成本,还要考虑网络的扩展性和网络的安全性。烽火网络针对中小型校园网提出了如图2所示的解决方案。
在网络中心机房采用S4603或S3552,完成所有用户流量汇聚和数据转发。用户接入层采用M8000和S2000M/ S2205A组网,通过ESR环网可以把地理位置相对比较集中,用户接入量比较多的接入点如教学区、实验楼、行政楼组成一个环网。其它比较分散的节点通过光纤组成星型网络。S4603路由交换机在校园网核心层完成部分校园网内部Intranet访问和Internet访问路由转发、NAT地址转换和用户认证,以及外部用户访问校园网内部资源的路由转发。
如果网络中数据流量比较大,接入用户比较多时,可以在核心设备S4603/ S3552下面通过S3101或S3528进行连接。用户的大量流量先汇聚到S3101/S3528上进行处理,然后需要上传的流量才转发到核心S4603/S3552上,通过两级处理有效的分担核心层设备的流量,避免所有用户的流量都经过核心层,减轻核心层设备的工作压力,提高网络的工作效率和性能。
图2
三、方案特点
本校园网解决方案中采用了烽火网络最先进的万兆核心路由交换设备和ESR环网技术,为各种校园网络提供了强大的业务支持能力和可靠的网络保障。本方案具有以下显著的特点:
1、智能业务感知和流量控制
烽火网络多业务分组平台和二三层交换机提供强大的业务感知和流量控制能力,能够实时收集网络流量和应用数据吞吐量等准确信息,并提供使用情况报告,从而了解学生上网的情况,并基于此对于相关上网应用进行有效控制。通过业务感知和控制功能,可主动实现对学生分配宽带线路的策略,专门限制某些流量的吞吐量,或者使用整形技术将其移动到高峰以外的时间处理,以提高高峰期的性能,防止网络瓶颈,提高网络利用率和可靠性。如跟踪用户数据,并按照使用的协议和处理的应用进行分类控制。
2、学生上网认证和计费
烽火网络接入层交换机支持IEEE802.1X认证,通过IEEE802.1X认证可以对学生上网进行控制,避免非法用户接入。同时S4603和E300/E600支持Radius计费功能,能基于流量和时长对学生上网进行计费。
3、完善的网络病毒及网络攻击防范策略
由于校园网是一个比较复杂的独特的网络,内外网用户数量繁多、各种网络应用频繁发生,各种网络病毒和网络攻击时时刻刻都可能发生。针对此类情况,烽火网络从核心层到接入层实施各种防范措施。核心层E600主控制卡RPM提供流量控制、速率限制和包过滤功能,具有超强控制能力,可以过滤各种网络病毒、非法包和网络攻击。三层交换机能自动的抑制网络中的广播风暴;抗击TCP、UDP、ICMP等类型的DOS攻击;自动防止端口扫描;过滤冲击波、震荡波等致命的网络病毒。M8000和S2000M可通过分析网络流量、自动过滤非法数据,使得设备对大量扫描予以防护和拒绝。通过对网络流量的检查、管理和监控,有效管理网络安全,使整个网络拥有“自动免疫”的安全机能。烽火网络交换机和核心路由器还支持用户帐号、IP地址、MAC地址、接入端口等多元素进行灵活绑定,可限制接入用户接入的上下行速率和网络链接等,对用户访问进行的最大程度的严格控制,
4、高智能,多业务接入的网络
烽火网络多业务分组平台可承载数据、TDM和视频业务的高可靠性传输。采用M8000可以实现校园网内部电话的连接,无需再铺设电话线;充分保护了网络资源和节约投资费用。同时烽火网络交换机支持IGMPv3,支持的组播条数可达500条,完全满足校园网今后对流媒体业务点播的需求。
5、高性能、高可靠、高可扩展的网络
核心设备E600提供了900Gbps无阻塞交换能力,在一个机框内它可以提供168个线速千兆接口或14个线速万兆接口。保障了网络的高性能和扩展性。所有关键部件(交换模块、路由模块,电源模块)做了冗余设计,支持在线热插拔,可以从性能、可靠性等方面为大型校园网提供了强有力的保障。
6、ESR接入环网
在校园网解决方案用户接入层采用基于ITU-T X.87标准的ESR技术组成环网结构,可实现50毫秒保护倒换,很好解决了环网广播风暴抑制和链路或设备故障快速倒换。同时环网还可以节约光纤资源,避免了星型光纤直驱方式下的大量光纤资源消耗。
7、方便易行的网络管理
烽火网络所有IP数据设备支持多种方式网络管理功能,可通过Web浏览器、Telnet、SNMP、RMON等方式有效地对网络设备进行管理和配置。通过烽火网络WView网管平台可以对全网设备实现配置管理、故障管理、安全管理、性能管理等功能。通过网管系统可以实现远程线路故障诊断定位(精度1米),为庞大的校园网网管工作人员网络故障排除节约大量时间;
烽火网络二三层交换机还支持统一集群网管,一个IP地址可对500台交换机统一管理,为校园网节约宝贵的IP资源。