北京科技大学校园网技术项目建议书

北京科技大学校园网技术项目建议书内容摘要：

下所示： 主楼节点主要负责保卫处、自动化所、理化楼、计算中心、金物楼、管理楼、文法楼 7 个点的接入，完 成各节点之间的相互访问，其三层互通由主楼中心节点S8505 三层交换机完成互通。 整体组网说明： 解决方案网络分为三个层次，核心层、汇聚层、接入层。 为实现校区内的高速互联，核心层由图书馆节点、主楼节点构成，对于这两个节点的接入是采取二层的组网方式，其汇聚层的减少大大降低了网络当中在汇聚层有可能会产生流量瓶颈的问题。 对于实验楼与综合楼的接入可以考虑到这两个节点处信息点数量较少，可能存在的流量相对较少，建议采用 S6506R 核心交换机作为该节点的核心设备，同时与主楼、图书馆处的核心交换机 S8505 相又构成了三层的网 络。 园区骨干网的组网主要是在主楼、图书馆、综合楼、实验楼四个节点构成环行网络采用动态路由协议 OSPF，环网的构成进一步大大提高了网络的可靠性，同时华为 S8505 万兆交换机其 750G 背板容量进一步满足大型节点高数据量转发的特点完全满足骨干节点的需求，整个改造后的 ATM 网络与校园网核心交换机之间采用 10GE 的带宽相连大大扩大的原有的带宽，原校园网核心交换机 CB9000可进一步使用 S8512 替换，同样采用 10GE 接口与改造后的 ATM 网相连进一步扩大骨干网的带宽。 进而提升整网的可靠性以及高带宽性，对于未来业务的扩 展有更好的支持。 以太网核心交换机改造组网描述 网络运行问题分析： 目前北京科技大学网络的整体运行较慢，以太网目前的核心网络组网如下图所示： 原因分析： 核心出口串连引起拥塞， 从目前的核心出口部分可以看出，在出口部分有设备：防火墙、计费主机、出口路由器三个设备，均为百兆因此上行流量在经过每一台设备的时候都会产生不同程度的带宽浪费因此实际上真正出口的流量将无法达到百兆的线速带宽，因此将会产生一定的出口流量的影响，因而将会进一步影响出口的带宽。 计费主机部分因为要处理大量的计费、认证信息将会进一步影响带宽。 由于出口防火墙为软件防火墙，其处理的速度依赖于主机的性能以及软件平台的处理因此在防火墙处也同样存在这严重的带宽瓶颈。 核心设备 CB9000 的带宽瓶颈 由于根据前期的用户反映在 CB9000 以上测试带宽的可以达到很高，但在CB9000 以下测试出口带宽无法超过 30M 的带宽，在核心交换机 CB9000 上可能会存在严重的瓶颈，从整个组网结构上来分析，不难看出 CB9000 其承担着科技楼内部的三层交换以及出口流量的接入，同时还承担着学生宿舍区的出口流量的接入、办公楼出口流量的接入以及原 ATM 网的出口流量的接入因此其承担的 流量非常大，从目前看来 CB9000 核心交换机的转发性能已经无法满足整个校园网核心的要求，再加上对于原有的 ATM 网进行改造以后也无法实现万兆的接入，改造核心势在必行。 改造后的校园核心网络： 由于改造后 Cer 的出口为 100M 出口再加上 Iner（网通运营商）出口总带宽已经完全超过 100M 带宽因此出口路由器以及防火墙等设备接口需要更新进一步扩大出口带宽减少网络瓶颈。 其整体组网图如下所示： 如图所示，改造后核心交换机采用 S8512 核心交换机作为整个校园网络的核心交换机，出口路由器以及防火墙均采用千兆 GE 方式进行组网，考虑到要与改造后的 ATM 网相连建议核心交换机通过 10GE 接口分别与改造后的 ATM 网的图书馆节点、主楼节点相连进而进一步扩大主干的带宽。 同时考虑到网络中心处安全性的要求可以在核心采用一台 S5024 作为服务器群的接入交换机同时可以形成ZDM（停火区）进而提高网络的可靠性，计费系统的带宽要求进一步提高，以防止其成为全网的带宽瓶颈。 核心交换机 S8512 其强大的性能完全可以承担北京科技大学整个校园网的核心交换机，背板容量 ,包转发率 432Mpps，其丰富的接口类型以及高密度的单板完全可为用户提供 强大的扩展空间。 Eudemon200 专业防火前其强大的性能以及丰富的业务特性可以配合华为 S5024实现 DMZ区进而提高网络中心的可靠性， Eudemon200 可提供千兆光纤接口，同时可提供千兆线速 NAT 转换。 出口路由器 NE05 包转发率高达 同时可提供丰富的业务特性如： IPV策略路由、 IPsec、 L2tp、 MPLS VPN 等满足用户的不同需求。 对于原有的 CB9000 核心交换机可以采用的将其下移至作为科技楼的汇聚层交换机，这样对于科技楼内部的三成互访完全可以直接在 CB9000 汇聚层交换机上来完成， 进一步减少网络核心交换机 S8512 的压力以提高整个网络的网络带宽。 接入层设计方案 此次接入层建议采用华为 3 公司 E050/E026SI 接入层交换机作为学校的接入层交换机。 E050/E0260SI 接入层交换机具有固定的 48/24 个 10/100M 自适应的以太网接口同时具有两个扩展插槽，支持各种类型的上行接口，支持堆叠，所有端口全部实现速转发。 华为 E 系列接入层交换机具有强大的业务特性，可以支持 256/128 个标准的 VLAN，并能够提供强大的业务功能：如 认证、 IP地址绑定、动态 ACL、 动态 Vlan、防止 Proxy 等功能。 整体设计说明 北京科技大学网络建设是要求从北京科技大学实际的应用出发，考虑到整体校园网数量大、上网时间集中、突发流量较大等因素，华为 3 在实际的在建网的过程当中遵循了以下几点要求： 万兆核心节点交换机 S8500：因北京科技大学校园网流量较大因此在建设的过程当中，应当充分考虑到核心交换机的交换性能，以及转发性能，华为 3 S8512 万兆核心交换机具有 14 个插槽， 12 个业务插槽，具有强大的可扩展性。 S8512 全分布式的处理方式，所有端口线速转发，背板容量 ，包转发率432Mpps，最大可以支持 290GE 的线速转发，可以为用户提供强大的三层交换功能。 S8505 万兆核心交换机对于图书馆、主楼等节点完全可以满足用户的需求，其 750G 的背板容量以及丰富的接口单板完全可以满足未来业务扩展的需求。 同时对于万兆接口、 IPv6 等新技术均支持。 千兆核心节点交换机 S6506R：对于综合楼、实验楼等相对信息点数量较少的节点可以采用 S6506R 核心千兆交换机作为节点设备，华为 3S6506R 核心交换机背板容量 128G，包转发率 48Mpps 完全可以满足节点的要求，同时考虑到后期节点数量有可能会进一步扩大，华为 S6506R 有 6 个业务插槽可支持高密度 GE接口板，完全可以满足用户的扩展需求。 对于未来主干的升级，华为 S6506R 可平滑升级到万兆骨干，因此用户无需对于该节点的进一步扩展而担心。 出口路由器：考虑到北京科技大学的公网出口有两个，用户根据不同的目的IP 地址而选择不同的出口线路；因此要求出口路由器具有强大的策略路由的功能，以及基于硬件的 ACL 列表功能，华为 NE05 高端路由器，具有强大的路由功能以及业务功能；最多可以支持 20 万条 BGP 路由；每块接口板可以支持 5K 条策略，完全满足复杂的骨干网节点以及大型局域网的出口路由的需求。 可支持强大的策略路由功能，支持硬件的 ACL 列表，支持 IPV6 技术。 接入层交换机：华为 E 系列接入层交换机是针对教育行业特点量身定做的交换机，具有丰富的业务特性，其强大的业务特性以及高性能完全可以满足用户的需求，针对北京科技大学校园网的建设可以采用 E026－ SI 24口交换机和 E050 48口交换机灵活堆叠满足不同信息点的需求。 千兆硬件防火墙：考虑到原出口防火墙为软件防火墙，其在网络当中将会存在严重的瓶颈，因此在此次 网络的改造过程当中建议将出口部分的防火墙进行改造，采用 Eudemon200 应将防火墙取代原出口部分的软件防火墙以进一步提高出口部分的处理能力，华为 Eudemon200 硬件防火墙采用专业的硬件 ASIC 芯片实现出口数据的硬件的处理，而不会因为业务的繁忙而影响其处理性能，从而到大大提高了整个网络的安全性以及高性能性。 网管平台。 华为 QuidView系列产品支持统一的网管平台，通过华为 Quidview网管软件可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。 业务流量说明 业务流量流程如下图 所示： 不同用户访问公网：用户在访问不同的网站的时候，出口路由器将会根据用户的目的 IP 地址来做不同的策略路由器，选择不同的运营商来进行公网的访问，出口路由器根据用户的访问策略进行策略路由，如图所示：不同的 ISP 用户（网通、 Cer）在经过 NE05 的时候， NE05 会根据用户所在的 ISP 服务商来做策略路由，将用户送到自己选择的出口线路上。 校内三层互访：对于同在一个校园内部的学生之间的互访可以直接通过局域网的内部交换机来完成内部之间的互访，如图三层互访示意图所示：对于同属于一个汇聚层交换机 S6506R 下的用 户，两个用户之间的互访可以直接在汇聚层交换机 S650R 上来完成，而对于跨汇聚层交换机的用户只见的额互访可以通过核心交换机 S8512 来完成， S8512 强大的三层交换功能完全可以胜任任何突发流量以及高集中用户上网时段的三层交换，为用户提供高速高带宽的用户接入。 基于流攻击的防止。 华为 3 所采用产品 NE0 S851 S6503 等三层转发模式均为最长路由匹配技术。 这样就可以避免校园网内外的非法用户利用专门的攻击软件进行的一些基于流的共计，因为这种攻击是通过不断变换自己的本网断内的 IP 地址，来不断消耗主控处理 板的 CPU 处理能力，直到彻底使主控处理板的 CPU 丧失处理能力，整个机器瘫掉。 S8512 是根据最长匹配来查找路由的，是针对网断进行路由的。 所以当攻击者进行攻击时，不会造成 S8512 业务能力处理下降，对于整机没有影响影响。 这是我们选则 S8512 的作为核心交换的非常重要的原因。 华为北京科技大学解决方案特点： 华为北京科技大学教育网组网解决方案的优点有以下几点： 完全的分布式的处理方式 S8512 为用户提供完全的分布式的处理方式，北京科技大学的校园网内部的数据量是非常大的，因此主交换机是否能够做 到线速关系到整个网络的是否会发生拥塞。 华为 S8512 背板交换容量 够做到所有 GE 接口的双向的线速，华为公司的 S8512 的性能指标是经过完整的测试，而业界厂家在指标宣称上面往往与给最终提供给用户的不一致。 而用户又由于测试仪器的限制无法确认实际配置的性能，这一点在华为公司是绝对不会出现的。 针对用户要求在实际的组网方面采用户为的 12GE 接口板提供高速的双向的线速的速率，完全不会产生带宽瓶颈。 再次 ,分布式的转发，对于 S8512 路由查找是非常有益的补充。 因为 S8512的路由查找模式为最长匹配。 这样就可以避免校 园网内外的非法用户利用专门的攻击软件来攻击中心交换机，因为这种攻击是通过不断变换自己的本网断内的IP 地址，来不断消耗主控处理板的 CPU 处理能力，直到彻底使主控处理板的 CPU丧失处理能力，整个机器瘫掉。 但是 S8512 是根据最长匹配来查找路由的，是针对网断进行路由的。 所以当攻击者进行攻击时， S8512 只能造成该接口板的业务能力处理下降，但是对于整机没有多大影响。 这是我们选则 S8512 的作为核心交换的非常重要的原因。 对于新特性的业务支持力度 IPv6 数据通信的技术的发展的迅速的，所以在北京科技大学的 校园网的建设的过程当中应当充分考虑到网络的延续性以及网络对于未来新业务的支持力度，如：IPv6 技术，随着 Inter 网的迅速的发展，目前国内的 IP 地址的数量越来越不够使用，这就迫使我们需要进一步扩大 IPv6 的协议的支持，目前各高校正在学校内部的部分局域网实验 IPv6 的技术，再如： MPLS VPN 的技术目前好多的运营商都在兴建自己的 VPN 线路。 在北京科技大学的建网的过程当中希望能够考虑到网络的延续性以及相关的技术的支持性，以便于网络的建设的发展。 传统的路由设备在增加新的业务特性的时候，必须通过更换单板等硬 件升级的方式来实现，这样对于用户来说，是一笔极大的浪费。 华为公司充分考虑到用户的相关的需求，因此 NE05 的核心交换机对于新业务 MPLS VPN、 IPv6 等技术均可支持。 量身定做的校园网内部服务器的负载均衡： 北京科技大学的校园网络的建设是一个全新的网络建设，因此在实际的建设的过程当中希望能够考虑的网络的应用以及相关的业务特性，如：内部的服务。