校园网是一个承载各种网络应用的平台。随着数字校园、网络教学等应用的深入发展,以及基于网络视频等大流量网络应用的快速发展,一些服务器也已经开始广泛使用千兆网卡,这使得校园网骨干网升级为万兆成为一个迫切的需求。
下面我们按照结构、性能、接入、IP和应用五个方面来看如何部署万兆校园网络。
校园网结构分析
在核心层采用万兆交换机可以大大提高核心数据交换能力,而整个校园网络不仅需要保证各个接入点充足的带宽,而且需要拥有可管理且安全的网络服务,这样才能让整个校园网发挥最大的功用,成为整个校园的中枢神经。
在核心层,万兆核心交换机通过万兆链路分别与两台汇聚层的万兆上连交换机相连,构成万兆环网设计,一旦其中一条万兆链路出现问题,另一条会立刻自动启用。在链路设计上,充分保障了关键区域网络的稳定可靠。
在对带宽需求比较大的教学场所或图书馆等汇聚层部署万兆骨干交换机,需要配备多个扩展槽,以满足未来的扩展需要,并实现万兆线卡的线速转发。汇聚层的其它地方则要部署千兆交换机。另外,网络设备还需要支持硬件IPv6,为以后的平滑过渡做准备。
在接入层,网络接入交换机全部采用安全智能接入交换机,以提供强大的安全功能,从而在接入层对常见的病毒和攻击进行防护。
校园网性能分析
万兆网络的高性能首先需要在核心层得到保障,因此,核心交换机的先进性、吞吐量和可靠性是校园网最重要的环节之一。万兆核心交换机至少需要支持3.2Tbps的背板处理能力,且具有1190Mbps以上的的包转发能力,还需要采用第二代Crossbar架构,以克服第一代Crossbar架构技术的局限性,从而达到质的提升。
另外,核心交换机需要采用ACL(访问控制)来实现病毒防护、安全过滤等功能。在核心交换机的ACL实现方面,需要采用硬件ASIC芯片,达到在保证安全的同时不影响网络性能的目的,同时实现整机数据端口级同步处理ACL/QOS.通过线卡芯片线速转发L2/L3/组播数据,实现从线卡到端口的全面分布式硬件设计,有效分流、缓解线卡ASIC芯片的负载压力,极大地提升交换机的整体数据处理能力,满足业务急剧增长的需要,保持网络的高性能无阻塞交换和网络安全防护,实现多数据多业务的全线速处理。
在可靠性方面,核心设备需要电源冗余、交换引擎冗余,另外,模块需要具备热拔插功能,以防止设备级单点故障。
校园网接入认证分析
以前校园网在设计时的立足点是让每个用户都可以无障碍地接入到网络中来,同时,尽量减少故障率。而现在,在保证无障碍接入的同时,校园网更加注重接入用户的认证,未经授权的网络接入和访问需要禁止。目前,在实现认证功能方面,最常采用的是802.1X技术,而以前常用的Web Portal或PPPoE认证方式,已逐步被淘汰。
由于校园网用户接入类型相对繁杂,包括生活区及教学区的固定接入、机房接入、图书馆接入以及无线接入等方式。网管人员可以通过账号、IP地址、 MAC地址、交换机、交换机端口等多元素灵活绑定,以满足复杂的应用需求。
在认证策略方面,可采取认证计费报文与业务数据分流技术。在认证通过后,业务数据流就旁路了。这样用户在整个上网过程中,就避免了报文和 Radius服务器的交换,交换机也无须处理认证计费报文,从而保证了网络性能。在认证计费技术的实现上,每个接入交换机的每一个端口均相当于一个认证者,从而实现了分布认证,排除单点故障,同时克服了传统网关设备进行认证计费时造成的性能瓶颈。
校园网IP地址分析
在校园网运行中,由于用户自行随意分配IP地址,常会发生IP地址冲突、盗用和滥用的情况,这严重干扰了校园网的正常运行,也是网络管理人员最头痛的问题。因此,如何解决IP地址冲突,并有效防止IP地址的盗用和滥用,是校园网建设中必须考虑的问题。
在接入客户端上启用端口+IP+ MAC绑定是解决IP地址问题的一个非常有效的方法。这就需要接入交换机能够支持硬件实现IP、MAC、端口绑定和IP+MAC绑定,并能实现端口反查功能,从而追查源IP、MAC访问以及恶意用户,有效地防止通过假冒源IP、MAC地址进行网络攻击,进一步增强网络的安全性。
控制类似ARP攻击,保护校园网络安全也是一个非常重要的工作。接入交换机需要支持ARP报文检测功能。交换机通过核对ARP报文中的源IP、MAC是否和端口安全规则一致,有效防止了安全端口上的ARP欺骗以及非法信息点冒充网络关键设备IP事件的发生。
校园网应用分析
一个完善的校园网络应该具备杜绝非法组播源、保证合法组播源正常应用的功能,同时还能够保障网络带宽合理有效地利用。
目前销售的交换机均支持IMGP源端口检查,能够有效杜绝全网非法组播源,严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流全是合法的,交换机会把它们转发到已注册的端口。而当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机会把它们转发向已注册的端口,而从非路由连接口进入的视频流则会被视为非法端口进而被丢弃。
另外,校园网还需要控制和过滤已知的网络病毒类型,保障正常网络资源的访问,这需要依靠ACL来实现。ACL还要支持智能的防扫描功能,从而判断用户是否对网络进行扫描,如果结果超出定义值,交换机就会自动切断用户连接,从而保障网络的正常应用。
实现智能控制网络应用,合理规划使用资源,需要网络对出现的新应用有探知能力。例如在校园网中盛行的P2P应用,如果不对其加以控制,其后果将是有效带宽被无限制地占用。因此,交换机需要支持对新应用的深度识别和控制,除硬件识别报文中的二层字段如MAC地址、三层字段IP地址、四层字段 TCP/UDP端口号以外,还能硬件识别和控制报文内容,从而及时在接入层进行遏制,达到控制泛滥使用或不法网络应用流的目的。