电信1001马一鸣浙江工业大学校园接入网络设计.doc

浙江工业大学闪讯接入网络设计 班级：电信1001 姓名：马一鸣 学号：201126100214 目录 1 闪讯总体建设方案 3 1.1 学生如何认证上网 3 1.2 安全性和DNS问题 4 2 访问内网及互访问题 5 2.1 同一校区用户互访 5 2.2 跨校区用户互访 6 2.3 关于用户互访时的BRAS能力 6 3 组网结构 7 3.1 朝晖校区 3.1.1 朝晖梦溪村 7 3.1.2 假山路A、B幢 9 3.2 屏峰校区 10 4 产品选型 12 4.1 楼宇交换机 12 4.2 核心汇聚交换机 13 总结 13 参考文献 14 摘 要：在我国，学校是处于影响整个社会深刻变革的中心地位，所以是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题。浙江电信针对学生用户接入闪讯平台，此闪讯客户端具有防代理、防一拖N的功能，可以进行一些必要的行为分析，完全可以满足省公安厅、教育厅的实名制要求，也能实现学校对学生上网进行安全管理的目的。本课题结合校园网建设的案例，研究校园网的作用、施工方案、施工工程，施工工艺。对今后的高带宽、高质量的宽带建设，有着积极的拖动作用。 关键词：交换机 ；调试 ；宽带 ；BRAS ；链路 ；注意事项 1 闪讯总体建设方案 1.1 学生如何认证上网 学生用户电脑终端插上宿舍内网线后，由电信BRAS分配私网IP地址，此时用户可以直接访问学校内网，采用WEB+Portal认证模式，对于用户感知而言，可以直接访问内网，同时可以通过BRAS三层互访。无需认证（也可以在用户初次打开WEB页面时，Portal强制推送特定WEB页面，在该WEB页面上需要输入帐号和密码，通过认证后才能访问学校内网）。为了保证用户高速访问内网，前期电信两个校区BRAS各有一条千兆链路上联到学校路由器，今后根据浙工大用户访问学校内网流量可进行链路扩容。 当学生用户访问Internet时，需要通过闪讯客户端进行PPPOE拨号认证，认证通过后由BRAS分配公网IP地址，用户可以访问Internet，同时在BRAS域内添加学校的内网IP地址，可以使用户访问公网的同时也可以访问学校的内网。 由于考虑到用户的安全性，本次宿舍区网络改造采用VLAN隔离，每一个用户分配一个VLAN，核心交换机起QINQ，且做为二层交换机使用。 1.2 安全性和DNS问题 由于考虑到用户的安全性，本次宿舍区网络改造采用VLAN隔离，每一个用户分配一个VLAN，核心交换机起QINQ，且做为二层交换机使用。此次投入的设备都是在电信大网中经过实战检验的设备，具有各种防攻击能力，如smurf、SYN flood攻击等，进行分层防御，能快速隔断病毒源。 关于DNS问题，本次电信投入两台DNS服务器，分别解决浙工大朝晖校区和屏峰校区的域名解析问题。在BRAS的域内将会配置本次新增的DNS服务器，学生用户登录网络时BRAS会分配本次电信新增的DNS地址，用户作域名解析首先会到新增的DNS服务器，如果是公网域名则直接解析，如果访问的是学校内部域 名，则需要代理到学校的DNS上解析。 2 访问内网及互访问题 2.1 同一校区用户互访 学生访问学校内网及同一校区用户之间互访拓扑图如下： 图 1 同一校区用户拓扑图 浙工大朝晖校区和屏峰校区上联的电信局端BRAS，需要根据不同的应用，设置三段不同的目的IP地址，分别为学校内网IP地址、本校区用户私网IP地址、另一校区用户私网IP地址。当用户访问学校内网时，BRAS根据用户访问的内网IP地址，通过路由转发，将该部分访问数据包转发到学校内网，如上图示意1所示。当用户访问本校区的用户时，由BRAS终结用户VLAN，再通过路由转发到需要访问的用户，如图2所示。 2.2 跨校区用户互访 跨校区用户互访网络拓扑图如下： 图 2 跨校区用户互访拓扑图 用户访问学校内网模式不变，如上图1所示。但是访问另一校区的用户时，电信两个校区的局端BRAS，每个校区分配一段固定的私网IP地址。如屏峰校区的用户访问朝晖校区的私网IP地址用户时，当BRAS根据目的IP地址判断，用户需要访问另一校区私网IP地址时，BRAS和核心交换机间做一个子接口，将通过该子接口下发到屏峰校区核心交换机，屏峰校区核心交换机和朝晖校区核心交换机通过二层透传，然后朝晖校区核心交换机和朝晖校区BRAS之间做同样的子接口，通过该子接口上联到朝晖校区BRAS，再由朝晖校区BRAS转发至朝晖校区的用户。反之，朝晖校区用户访问屏峰校区也是如此。 2.3 关于用户互访时的BRAS能力  ME60是采用NE40E/NE80E的硬件平台的宽带接入