五步部署万兆校园网方案-网络建设解决方案 .pdfVIP

五步部署万兆校园网方案-网络建设解决方案

校园网是一个承载各种网络应用的帄台。随着数字校园、网络教学等应用的深

入发展,以及基于网络视频等大流量网络应用的快速发展,一些服务器也已经开始广

泛使用千兆网卡,这使得校园网骨干网升级为万兆成为一个迫切的需求。

下面我们按照结构、性能、接入、IP和应用五个方面来看如何部署万兆校园网

络。

校园网结构分析

在核心层采用万兆交换机可以大大提高核心数据交换能力,而整个校园网络不

仅需要保证各个接入点充足的带宽,而且需要拥有可管理且安全的网络服务,这样才

能让整个校园网发挥最大的功用,成为整个校园的中枢神经。

在核心层,万兆核心交换机通过万兆链路分别与两台汇聚层的万兆上连交换机

相连,构成万兆环网设计,一旦其中一条万兆链路出现问题,另一条会立刻自动启

用。在链路设计上,充分保障了关键区域网络的稳定可靠。

在对带宽需求比较大的教学场所或图书馆等汇聚层部署万兆骨干交换机,需要

配备多个扩展槽,以满足未来的扩展需要,并实现万兆线卡的线速转发。汇聚层的其

它地方则要部署千兆交换机。另外,网络设备还需要支持硬件IPv6,为以后的帄滑

过渡做准备。

在接入层,网络接入交换机全部采用安全智能接入交换机,以提供强大的安全功

能,从而在接入层对常见的病毒和攻击进行防护。

校园网性能分析

万兆网络的高性能首先需要在核心层得到保障,因此,核心交换机的先进性、吞

吐量和可靠性是校园网最重要的环节之一。万兆核心交换机至少需要支持3.2Tbps

的背板处理能力,且具有1190Mbps以上的的包转发能力,还需要采用第二代

Crossbar架构,以克服第一代Crossbar架构技术的局限性,从而达到质的提升。

另外,核心交换机需要采用ACL:访问控制:来实现病毒防护、安全过滤等功能。

在核心交换机的ACL实现方面,需要采用硬件ASIC芯片,达到在保证安全的同时不

影响网络性能的目的,同时实现整机数据端口级同步处理ACL/QOS。通过线卡芯片

线速转发L2/L3/组播数据,实现从线卡到端口的全面分布式硬件设计,有效分流、

缓解线卡ASIC芯片的负载压力,极大地提升交换机的整体数据处理能力,满足业务

急剧增长的需要,保持网络的高性能无阻塞交换和网络安全防护,实现多数据多业务

的全线速处理。

在可靠性方面,核心设备需要电源冗余、交换引擎冗余,另外,模块需要具备热

拔插功能,以防止设备级单点故障。

校园网接入认证分析

以前校园网在设计时的立足点是让每个用户都可以无障碍地接入到网络中来,

同时,尽量减少故障率。而现在,在保证无障碍接入的同时,校园网更加注重接入用

户的认证,未经授权的网络接入和访问需要禁止。目前,在实现认证功能方面,最常

采用的是802.1X技术,而以前常用的WebPortal或PPPoE认证方式,已逐步被淘

汰。

由于校园网用户接入类型相对繁杂,包括生活区及教学区的固定接入、机房接

入、图书馆接入以及无线接入等方式。网管人员可以通过账号、IP地址、MAC地

址、交换机、交换机端口等多元素灵活绑定,以满足复杂的应用需求。

在认证策略方面,可采取认证计费报文与业务数据分流技术。在认证通过后,业

务数据流就旁路了。这样用户在整个上网过程中,就避免了报文和Radius服务器的

交换,交换机也无须处理认证计费报文,从而保证了网络性能。在认证计费技术的实

现上,每个接入交换机的每一个端口均相当于一个认证者,从而实现了分布认证,排

除单点故障,同时克服了传统网关设备进行认证计费时造成的性能瓶颈。

校园网IP地址分析

在校园网运行中,由于用户自行随意分配IP地址,常会发生IP地址冲突、盗用

和滥用的情况,这严重干扰了校园网的正常运行,也是网络管理人员最头痛的问题。

因此,如何解决IP地址冲突,并有效防止IP地址的盗用和滥用,是校园网建设中必

须考虑的问题。

在接入客户端上启用端口+IP+MAC绑定是解决IP地址问题的一个非常有效的

方法。这就需要接入交换机能够支持硬件实现IP、MAC、端口绑定和IP+MAC绑定,

并能实现端口反查功能,从而追查源IP、MAC访问以及恶意用户,有效地防止通过假

冒源IP、MAC地址进行网络攻击,进一步增强网络的安全性。

控制类似ARP攻击,保护校园网络安全也是一个非常重要的工作。接入交换机

需要支持ARP报文检测功能。交换机通过核对ARP报文