万兆先进型校园网方案.docVIP

万兆校园网解决方案 　　 校园网是一个承载各种网络应用的平台。随着数字校园、网络教学等应用的深入发展，以及基于网络视频等大流量网络应用的快速发展，一些 服务器也已经开始广泛使用千兆网卡，这使得校园网骨干网升级为万兆成为一个迫切的需求。 　　下面我们按照结构、性能、接入、IP和应用五个方面来看如何部署万兆校园网络。 　　校园网结构分析 　　在核心层采用万兆交换机可以大大提高核心数据交换能力，而整个校园网络不仅需要保证各个接入点充足的带宽，而且需要拥有可管理且安全的网络服务，这样才能让整个校园网发挥最大的功用，成为整个校园的中枢神经。 　　在核心层，万兆核心交换机通过万兆链路分别与两台汇聚层的万兆上连交换机相连，构成万兆环网 设计，一旦其中一条万兆链路出现问题，另一条会立刻自动启用。在链路设计上，充分保障了关键区域网络的稳定可靠。 　　在对带宽需求比较大的教学场所或图书馆等汇聚层部署万兆骨干交换机，需要配备多个扩展槽，以满足未来的扩展需要，并实现万兆线卡的线速转发。汇聚层的其它地方则要部署千兆交换机。另外，网络设备还需要支持硬件 IPv6，为以后的平滑过渡做准备。 　　在接入层，网络接入交换机全部采用安全智能接入交换机，以提供强大的安全功能，从而在接入层对常见的 病毒和攻击进行防护。 　　校园网性能分析 　　万兆网络的高性能首先需要在核心层得到保障，因此，核心交换机的先进性、吞吐量和可靠性是校园网最重要的环节之一。万兆核心交换机至少需要支持3.2Tbps的背板处理能力，且具有1190Mbps以上的的包转发能力，还需要采用第二代Crossbar架构，以克服第一代Crossbar架构技术的局限性，从而达到质的提升。 　　另外，核心交换机需要采用ACL（ 访问控制）来实现病毒防护、安全过滤等功能。在核心交换机的ACL实现方面，需要采用硬件ASIC芯片，达到在保证安全的同时不影响网络性能的目的，同时实现整机数据端口级同步处理ACL/QOS.通过线卡芯片线速转发L2/L3/组播数据，实现从线卡到端口的全面分布式硬件设计，有效分流、缓解线卡ASIC芯片的负载压力，极大地提升交换机的整体数据处理能力，满足业务急剧增长的需要，保持网络的高性能无阻塞交换和网络安全防护，实现多数据多业务的全线速处理。 　　在可靠性方面，核心设备需要电源冗余、交换引擎冗余，另外，模块需要具备热拔插功能，以防止设备级单点故障。 　　校园网接入认证分析 　　以前校园网在设计时的立足点是让每个用户都可以无障碍地接入到网络中来，同时，尽量减少故障率。而现在，在保证无障碍接入的同时，校园网更加注重接入用户的认证，未经授权的网络接入和访问需要禁止。目前，在实现认证功能方面，最常采用的是802.1X技术，而以前常用的Web Portal或PPPoE认证方式，已逐步被淘汰。 　　由于校园网用户接入类型相对繁杂，包括生活区及教学区的固定接入、机房接入、图书馆接入以及无线接入等方式。网管人员可以通过账号、IP地址、 MAC地址、交换机、交换机端口等多元素灵活绑定，以满足复杂的应用需求。 　　在认证策略方面，可采取认证计费报文与业务数据分流技术。在认证通过后，业务数据流就旁路了。这样用户在整个 上网过程中，就避免了报文和 Radius服务器的交换，交换机也无须处理认证计费报文，从而保证了网络性能。在认证计费技术的实现上，每个接入交换机的每一个端口均相当于一个认证者，从而实现了分布认证，排除单点故障，同时克服了传统网关设备进行认证计费时造成的性能瓶颈。 　　校园网IP地址分析 　　在校园网运行中，由于用户自行随意分配IP地址，常会发生IP地址冲突、盗用和滥用的情况，这严重干扰了校园网的正常运行，也是 网络管理人员最头痛的问题。因此，如何解决IP地址冲突，并有效防止IP地址的盗用和滥用，是校园网建设中必须考虑的问题。 　　在接入客户端上启用端口+IP+ MAC绑定是解决IP地址问题的一个非常有效的方法。这就需要接入交换机能够支持硬件实现IP、MAC、端口绑定和IP+MAC绑定，并能实现端口反查功能，从而追查源IP、MAC访问以及恶意用户，有效地防止通过假冒源IP、MAC地址进行 网络攻击，进一步增强网络的安全性。 　　控制类似 ARP攻击，保护校园网络安全也是一个非常重要的工作。接入交换机需要支持ARP报文检测功能。交换机通过核对ARP报文中的源IP、MAC是否和端口安全规则一致，有效防止了安全端口上的ARP欺骗以及非法信息点冒充网络关键设备IP事件的发生。 　　校园网应用分析 　　一个完善的校园网络应该具备杜绝非法组播源、保证合法组播源正常应用的功能，同时还能够保障网络带宽合理有效地利用。 　　目前销售的交换机均支持IMGP源端口检查，能够有效杜绝全网