萬(wàn)兆校園網(wǎng)部署策劃分析

 
　　校園網(wǎng)是一個(gè)承載各種網(wǎng)絡(luò)應(yīng)用的平臺(tái)。隨著數(shù)字校園、網(wǎng)絡(luò)教學(xué)等應(yīng)用的深入發(fā)展，以及基于網(wǎng)絡(luò)視頻等大流量網(wǎng)絡(luò)應(yīng)用的快速發(fā)展，一些服務(wù)器也已經(jīng)開始廣泛使用千兆網(wǎng)卡，這使得校園網(wǎng)骨干網(wǎng)升級(jí)為萬(wàn)兆成為一個(gè)迫切的需求。

下面我們按照結(jié)構(gòu)、性能、接入、IP和應(yīng)用五個(gè)方面來(lái)看如何部署萬(wàn)兆校園網(wǎng)絡(luò)。

校園網(wǎng)結(jié)構(gòu)分析

在核心層采用萬(wàn)兆交換機(jī)可以大大提高核心數(shù)據(jù)交換能力，而整個(gè)校園網(wǎng)絡(luò)不僅需要保證各個(gè)接入點(diǎn)充足的帶寬，而且需要擁有可管理且安全的網(wǎng)絡(luò)服務(wù)，這樣才能讓整個(gè)校園網(wǎng)發(fā)揮最大的功用，成為整個(gè)校園的中樞神經(jīng)。

在核心層，萬(wàn)兆核心交換機(jī)通過(guò)萬(wàn)兆鏈路分別與兩臺(tái)匯聚層的萬(wàn)兆上連交換機(jī)相連，構(gòu)成萬(wàn)兆環(huán)網(wǎng)設(shè)計(jì)，一旦其中一條萬(wàn)兆鏈路出現(xiàn)問(wèn)題，另一條會(huì)立刻自動(dòng)啟用。在鏈路設(shè)計(jì)上，充分保障了關(guān)鍵區(qū)域網(wǎng)絡(luò)的穩(wěn)定可靠。

在對(duì)帶寬需求比較大的教學(xué)場(chǎng)所或圖書館等匯聚層部署萬(wàn)兆骨干交換機(jī)，需要配備多個(gè)擴(kuò)展槽，以滿足未來(lái)的擴(kuò)展需要，并實(shí)現(xiàn)萬(wàn)兆線卡的線速轉(zhuǎn)發(fā)。匯聚層的其它地方則要部署千兆交換機(jī)。另外，網(wǎng)絡(luò)設(shè)備還需要支持硬件IPv6，為以后的平滑過(guò)渡做準(zhǔn)備。

在接入層，網(wǎng)絡(luò)接入交換機(jī)全部采用安全智能接入交換機(jī)，以提供強(qiáng)大的安全功能，從而在接入層對(duì)常見的病毒和攻擊進(jìn)行防護(hù)。

校園網(wǎng)性能分析

萬(wàn)兆網(wǎng)絡(luò)的高性能首先需要在核心層得到保障，因此，核心交換機(jī)的先進(jìn)性、吞吐量和可靠性是校園網(wǎng)最重要的環(huán)節(jié)之一。萬(wàn)兆核心交換機(jī)至少需要支持3.2Tbps的背板處理能力，且具有1190Mbps以上的的包轉(zhuǎn)發(fā)能力，還需要采用第二代Crossbar架構(gòu)，以克服第一代Crossbar架構(gòu)技術(shù)的局限性，從而達(dá)到質(zhì)的提升。

另外，核心交換機(jī)需要采用ACL（訪問(wèn)控制）來(lái)實(shí)現(xiàn)病毒防護(hù)、安全過(guò)濾等功能。在核心交換機(jī)的ACL實(shí)現(xiàn)方面，需要采用硬件ASIC芯片，達(dá)到在保證安全的同時(shí)不影響網(wǎng)絡(luò)性能的目的，同時(shí)實(shí)現(xiàn)整機(jī)數(shù)據(jù)端口級(jí)同步處理ACL/QOS.通過(guò)線卡芯片線速轉(zhuǎn)發(fā)L2/L3/組播數(shù)據(jù)，實(shí)現(xiàn)從線卡到端口的全面分布式硬件設(shè)計(jì)，有效分流、緩解線卡ASIC芯片的負(fù)載壓力，極大地提升交換機(jī)的整體數(shù)據(jù)處理能力，滿足業(yè)務(wù)急劇增長(zhǎng)的需要，保持網(wǎng)絡(luò)的高性能無(wú)阻塞交換和網(wǎng)絡(luò)安全防護(hù)，實(shí)現(xiàn)多數(shù)據(jù)多業(yè)務(wù)的全線速處理。

在可靠性方面，核心設(shè)備需要電源冗余、交換引擎冗余，另外，模塊需要具備熱拔插功能，以防止設(shè)備級(jí)單點(diǎn)故障。

校園網(wǎng)接入認(rèn)證分析

以前校園網(wǎng)在設(shè)計(jì)時(shí)的立足點(diǎn)是讓每個(gè)用戶都可以無(wú)障礙地接入到網(wǎng)絡(luò)中來(lái)，同時(shí)，盡量減少故障率。而現(xiàn)在，在保證無(wú)障礙接入的同時(shí)，校園網(wǎng)更加注重接入用戶的認(rèn)證，未經(jīng)授權(quán)的網(wǎng)絡(luò)接入和訪問(wèn)需要禁止。目前，在實(shí)現(xiàn)認(rèn)證功能方面，最常采用的是802.1X技術(shù)，而以前常用的Web Portal或PPPoE認(rèn)證方式，已逐步被淘汰。

由于校園網(wǎng)用戶接入類型相對(duì)繁雜，包括生活區(qū)及教學(xué)區(qū)的固定接入、機(jī)房接入、圖書館接入以及無(wú)線接入等方式。網(wǎng)管人員可以通過(guò)賬號(hào)、IP地址、 MAC地址、交換機(jī)、交換機(jī)端口等多元素靈活綁定，以滿足復(fù)雜的應(yīng)用需求。

在認(rèn)證策略方面，可采取認(rèn)證計(jì)費(fèi)報(bào)文與業(yè)務(wù)數(shù)據(jù)分流技術(shù)。在認(rèn)證通過(guò)后，業(yè)務(wù)數(shù)據(jù)流就旁路了。這樣用戶在整個(gè)上網(wǎng)過(guò)程中，就避免了報(bào)文和 Radius服務(wù)器的交換，交換機(jī)也無(wú)須處理認(rèn)證計(jì)費(fèi)報(bào)文，從而保證了網(wǎng)絡(luò)性能。在認(rèn)證計(jì)費(fèi)技術(shù)的實(shí)現(xiàn)上，每個(gè)接入交換機(jī)的每一個(gè)端口均相當(dāng)于一個(gè)認(rèn)證者，從而實(shí)現(xiàn)了分布認(rèn)證，排除單點(diǎn)故障，同時(shí)克服了傳統(tǒng)網(wǎng)關(guān)設(shè)備進(jìn)行認(rèn)證計(jì)費(fèi)時(shí)造成的性能瓶頸。

校園網(wǎng)IP地址分析

在校園網(wǎng)運(yùn)行中，由于用戶自行隨意分配IP地址，常會(huì)發(fā)生IP地址沖突、盜用和濫用的情況，這嚴(yán)重干擾了校園網(wǎng)的正常運(yùn)行，也是網(wǎng)絡(luò)管理人員最頭痛的問(wèn)題。因此，如何解決IP地址沖突，并有效防止IP地址的盜用和濫用，是校園網(wǎng)建設(shè)中必須考慮的問(wèn)題。

在接入客戶端上啟用端口+IP+ MAC綁定是解決IP地址問(wèn)題的一個(gè)非常有效的方法。這就需要接入交換機(jī)能夠支持硬件實(shí)現(xiàn)IP、MAC、端口綁定和IP+MAC綁定，并能實(shí)現(xiàn)端口反查功能，從而追查源IP、MAC訪問(wèn)以及惡意用戶，有效地防止通過(guò)假冒源IP、MAC地址進(jìn)行網(wǎng)絡(luò)攻擊，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性。

控制類似ARP攻擊，保護(hù)校園網(wǎng)絡(luò)安全也是一個(gè)非常重要的工作。接入交換機(jī)需要支持ARP報(bào)文檢測(cè)功能。交換機(jī)通過(guò)核對(duì)ARP報(bào)文中的源IP、MAC是否和端口安全規(guī)則一致，有效防止了安全端口上的ARP欺騙以及非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備IP事件的發(fā)生。

校園網(wǎng)應(yīng)用分析

一個(gè)完善的校園網(wǎng)絡(luò)應(yīng)該具備杜絕非法組播源、保證合法組播源正常應(yīng)用的功能，同時(shí)還能夠保障網(wǎng)絡(luò)帶寬合理有效地利用。

目前銷售的交換機(jī)均支持IMGP源端口檢查，能夠有效杜絕全網(wǎng)非法組播源，嚴(yán)格限定IGMP組播流的進(jìn)入端口。當(dāng)IGMP源端口檢查關(guān)閉時(shí)，從任何端口進(jìn)入的視頻流全是合法的，交換機(jī)會(huì)把它們轉(zhuǎn)發(fā)到已注冊(cè)的端口。而當(dāng)IGMP源端口檢查打開時(shí)，只有從路由連接口進(jìn)入的視頻流才是合法的，交換機(jī)會(huì)把它們轉(zhuǎn)發(fā)向已注冊(cè)的端口，而從非路由連接口進(jìn)入的視頻流則會(huì)被視為非法端口進(jìn)而被丟棄。

另外，校園網(wǎng)還需要控制和過(guò)濾已知的網(wǎng)絡(luò)病毒類型，保障正常網(wǎng)絡(luò)資源的訪問(wèn)，這需要依靠ACL來(lái)實(shí)現(xiàn)。ACL還要支持智能的防掃描功能，從而判斷用戶是否對(duì)網(wǎng)絡(luò)進(jìn)行掃描，如果結(jié)果超出定義值，交換機(jī)就會(huì)自動(dòng)切斷用戶連接，從而保障網(wǎng)絡(luò)的正常應(yīng)用。

實(shí)現(xiàn)智能控制網(wǎng)絡(luò)應(yīng)用，合理規(guī)劃使用資源，需要網(wǎng)絡(luò)對(duì)出現(xiàn)的新應(yīng)用有探知能力。例如在校園網(wǎng)中盛行的P2P應(yīng)用，如果不對(duì)其加以控制，其后果將是有效帶寬被無(wú)限制地占用。因此，交換機(jī)需要支持對(duì)新應(yīng)用的深度識(shí)別和控制，除硬件識(shí)別報(bào)文中的二層字段如MAC地址、三層字段IP地址、四層字段 TCP/UDP端口號(hào)以外，還能硬件識(shí)別和控制報(bào)文內(nèi)容，從而及時(shí)在接入層進(jìn)行遏制，達(dá)到控制泛濫使用或不法網(wǎng)絡(luò)應(yīng)用流的目的。