流量域概念下多校区模块化组网实践-现代教育技术中心-南通大学.ppt

我校校园网运行管理所面临的挑战 现代教育技术中心 1. 对传统建网模式的思考 3.基于流量域的多校区组网实践 4.效果与展望 2.流量域概念的建立 流量域概念下的多校区模块化组网实践 对传统建网模式的思考 1. 现代教育技术中心 涂中群 1.对传统建网模式的思考 目前，学校四校区校园网以24芯光纤互连，校园网光缆总长达120公里；核心路由器2台，核心交换机13台，汇聚交换机27台，接入交换机1118台；校园网教科网出口带宽1000Mbps，电信网出口带宽1000Mbps；拥有教科网C类IP地址112个，电信网C类地址1个；全校网络信息点数达4.64万个（其中教学科研1.9万多个，学生公寓2.7万多个），入网计算机1.25万台（其中教学科研管理计算机约0.73万台，学生公寓学生自备计算机约0.52万台）；网络注册用户和邮箱用户3.7万户，其中，每个教师分别有100-500M邮箱空间和100-500M邮箱存储空间，每个学生分别有50M邮箱空间和50M邮箱存储空间；网络服务器50台，教学资源网络存储系统容量21T，学术资源网络存储系统容量16T；网上安全管理系统有IPS安全防护系统、网络版杀毒软件、垃圾邮件过滤系统、身份认证系统、网关计费审计系统。 1.对传统建网模式的思考 新校区 市政府 工农路 钟秀 校区 文峰校区 启秀校区 世纪大道 崇川路 城山路 南大街 青年路 人民路 麦客隆 装备站 虹桥路 洪江路 陆洪闸 通启路 园林路 原有线路 城域网 外环路 桃园路 啬园路 体育馆 南通大学光纤骨干网 新铺线路 网络速度慢 校园网出口拥塞 计费网关过载崩溃 防火墙过载 P2P 软件滥用带宽 垃圾邮件 网络攻击、病毒泛滥 缺乏监控手段 QoS 部署效果差 2005年南通大学校园核心骨干网拓扑示意 每个校区都采用一台网络核心层设备，每个校区的教学办公、学生公寓、图书馆、一卡通等流量都通过这台核心设备来进行数据交换和转发，由于不能很好的区分识别这些不同的流量类型和应用需求，难以制定相关的有针对性的路由、带宽和安全策略。 管理策略难以到位 攻击行为极易蔓延 网络故障排除困难 1.对传统建网模式的思考 传统的互连型校园网络架构更多地把自己看成为一个通道，因此当某个子网，特别是学生公寓出现网络病毒爆发、发生网络攻击行为时，往往会直接影响到教学科研、行政办公、图书馆、一卡通等其他网络业务的正常运行，严重时全网瘫痪，甚至造成难以估量的损失。 管理策略难以到位 攻击行为极易蔓延 网络故障排除困难 1.对传统建网模式的思考 多校区网络同时在线人数众多、系统规模大且多业务并存（教学、科研、办公、无线、学生宿舍、教工家属等）；加之分布时段不均，用网时间集中突发、接入方式多样（PPPoE、DHCP＋Web、802.1x、专线接入、WLAN 等）；再加之数据来源复杂（资料查询、网上点播、多媒体教室、财务、一卡通等）、类型多样（数据、语音、视频等），这些特点使得简单互联型的网络模式故障定位复杂，运维难度增加。 管理策略难以到位 攻击行为极易蔓延 网络故障排除困难 1.对传统建网模式的思考 流量域概念的建立 2. 现代教育技术中心 涂中群 流 量 域 从校园网的角度，它可以是指整个校园网，也可以是组成校园网的教学科研、行政办公、图书馆、学生公寓等各个子网，甚至某个网上应用系统也可称之为流量域。 在某个网络的作用范围内，把其中具有内部联系的相关网络行为、流量因素等归在一起构成的一个独立的领域，或者称之为一个模块。 2.流量域概念的建立 流量域的特征: (1)流量特征相似; (2)应用方向明确; (3)需要避免冲突; (4) 可以通过路由策略引导。 我们把满足这些条件的网络称为校园网中的“流量域”。 2.流量域概念的建立 城域网的流量域模式 宽带IP城域网结构模型 这样就形成了一个个以路由器为中心呈放射状连接、互不干扰而又有机联系的流量域，从而突破了传统网络以设备划分结构的方式，使各不同的网络独立，便于实现其特定的网络需求。 接入层则由低端交换机和低端路由器组成 汇聚层由高性能的三层交换机组成 核心层由高性能的路由器组成 2.流量域概念的建立 主要完成城域网内部信息的高速传送与交换，实现与其它网络的互联互通 主要完成信息的汇聚与分发 为用户提供具体的接入手段 宽带城域网在网络中还提供了第二层的VLAN隔离，使安全性得到保障 VLAN的安全性，使得只有在用户局域网内的计算机才能互相访问，而非用户局域网内的计算机则无法通过非正常途径访问用户的计算机。如果要从网外访问，则必须通过正常的路由和安全体系。即使黑客想利用底层的漏洞进行破坏也几乎是不可能的。