高校校园网设计方案

　第29卷　第1期　　2010年3月延安大学学报(自然科学版)

JournalofYananUniversity(NaturalScienceEdition)Vol.29　No.1Mar12010

高校校园网设计方案

张俊兰,郭金平,刘　翼

(延安大学数学与计算机科学学院,陕西延安摘　要:,。通过硬件升级提供一个高性能、。在出口线路做负载均衡、,无线网络。存储方面运用虚拟技术实现冗余备份,保证资料的安全性。通过IPv4与IPv6的双栈与隧道实现IPv4网向IPv6网的平滑过渡。关键词:校园网;骨干网;网络安全;网络管理;数据存储;IPv6

中图分类号:TP391　　文献标识码:A　　文章编号:10042602X(2010)0120028212

另一个在此阶段发展迅速的校园网应用就是IPTV,更是被认为带宽的杀手级应用。与此同时,网络技术———特别是以太网技术迅猛发展,1000M以太网已经步入校园,万兆标准也已经公布。结合实际应用和网络技术来看,这个阶段主要关注:带宽和应用。

第三个阶段是信息资源建设时期,时间从2005年至今,乃至今后几年时间内。近两年,万兆以太网已经开始在高校校园网中规模化应用,下一代以太网标准也已经确立为10万兆标准。同时,随着CERNET2的启动,IPv6技术也已经在校园网中实验

1　引言

高校校园网一直是国内Internet发展的领头羊。1994年7月,中国教育和科研计算机网CER2NET示范工程启动。也就是同一年,清华北大等顶

尖大学建成了自己的校园网,事实上这些网络也是中国Internet的开端

[1]

。高校校园网从1994年的启

动建立到现在的15年间,无论是高校校园网的网络技术,还是高校校园网的关注要点,大致可以分为三个阶段。

第一阶段是基础设施建设时期,时间大约从1994年到2000年。这期间各种网络技术在高校同

并逐步应用。当基础设施和应用平台建设之后,信息资源的丰富与否决定了校园网络的真正价值。当信息资源充分丰富后,人们的工作、学习、生活和娱乐完全离不开网络,网络的安全与可信又成为头等重要的问题。纵观这两年整个网络世界,安全事件频发:冲击波、震荡波、ARP攻击等等。所以,安全可信成为了高校校园网当前关注的要点。

简单来说,对于校园网:丰富的应用是关键,而稳定可靠的网络是基础,完善的安全和管理手段是保障。下面我们将针对校园网的现状进行分析,并且提出一个完善的校园网设计方案。

时都有应用:以太网技术、FDDI和ATM网络技术。在这个阶段,由于校园网应用的技术比较繁杂,而且业务相对单一。因此,该阶段主要关注网络的连通性和兼容性,即如何保证校园网的连通和各种不同网络技术的兼容和融合。

第二阶段是应用平台建设时期,时间大约是从2000年到2005年。这期间,随着网络技术的发展,

各种应用也开始出现并发展迅速,包括BBS、WWW、FTP、E-mail以及近两年流行的BT下载、视

音频业务等等

[2]

,这些应用都对带宽提出了挑战。

收稿日期:2010-01-07

作者简介:张俊兰(1953—),女,陕西绥德人,延安大学教授。

　　第1期　　　　　　　　　　　　　　　　　　　高校校园网设计方案29

2　高校校园网现状分析

前面简要回顾了高校校园网的发展历程,这可以作为当前校园网建设大方向的一个参考。下面结合高校校园网的建设,分析一下高校网络建设中普遍存在的需求:

211　随时随地接入的需求

生活和娱乐越来越离不开网络(例如:无纸化办公、网络教学、视频会议和VOD点播、网上购物等业务

[3]

的开展),网络的稳定可靠性就显得愈来重要———网络随便断开几小时也无所谓的历史已经过去了。另一方面,在应用丰富的同时,网络环境也变得异常恶劣。近两年,安全攻击事件呈指数级上升,各种攻击工具在网。。目前,,--在受到网络攻击或病毒泛滥的时候,CPU利用率

首先,高校师生对于网络接入有着强烈的需求。原因有二:一方面,随着近年来国家对高等教育的大力发展和支持,高校在校生人数普遍呈现上升趋势。另一方面,是由于国家经济实力的增强,带来的低成本,(不完全统计,达到80%)。

其次,在部分热点区域,或者难以布线的区域需要一种切实可行的高性价比的接入方式。也就是采用无线作为补充或者备份。比如广场、操场、体育馆、阅览室、会议室和阶梯教室等,这些区域对于笔记本用户需要能够提供接入服务,而这时有线接入是行不通的。又比如校内的某栋较偏远的办公楼或者某几栋家属楼,上网用户有限,进行独立布线成本较高。所以,同样需要进行无线的接入方式。

简言之,网络作为一个底层的平台,需要师生能够随时随地的方便的接入。这就强调有线网络和无线网络的结合———适合无线网络的地方用无线网络,适合有线网络的地方用有线网络。当然,两者可以有一定的冗余,甚至部分区域会采用无线网络进行备份。目前,从全国来看,众多的高校已经在考虑,甚至已经部署了无线网络。但是仍然存在了无线设备带机数不够、安全性不足、无法很好的进行用户和设备管理的问题。

212　骨干网络高性能、高稳定可靠的需求

居高不下,设备稳定性降低,很可能死机。

由此分析看来,随着用户数增加、应用的复杂,导致网络流量的飞速提升,需要保证多用户、大流量情况下骨干的高带宽,骨干设备的线速转发;随着师生日常对于网络的依赖性的增强,和网络环境的日趋恶劣,需要保证做到骨干网络一定级别的稳定可

靠性(比如四个九-99199%)。213　出口区域对性能和功能的需求

对于出口,最主要有两个方面的需求:

一方面,需要进行多出口的策略部署,并且需要解决多出口部署下的性能问题。具体来说,NAT(地址转换)就是上网速度慢的一个重要原因,另外设备启用策略路由时,造成设备性能的下降,也影响整个出口的效能和稳定性。究其根本,设备的性能是一个很大的原因(对于NAT(地址转换)支持的优劣,有两个很重要的依据,那就是“并发会话数”和

)。“新建会话数”

另一方面,对于出口设备的功能也还是需要引起注意。比如,《互联网安全保护技术措施规定》在2005年11月23日公安部部长办公会议通过,并自2006年3月1日起已经施行。(该规定简称“82号)规定对用户信息、令”用户上网记录、地址转换记

首先是高性能。高校校园网中用户数在不断增加,并且随着网络应用技术的不断丰富,高校校园网应用也愈来复杂,例如FTP、VOD点播等大数据量的访问

[3]

录、设备状态记录等都有要求。一旦不符合日志要求,极可能面临整顿或者关闭网络的危机。214　来自网络安全的需求

,尤其目前流行的P2P的应用产生了巨大

的网络流量,如何高速进行网络传输,对网络设备的性能提出了很高的要求。实际情况中,依然有很多高校使用的骨干设备是集中式表查询和集中式转发模式的。很多时候,用户们抱怨网速很慢,而设备性能不高是其中一个很重要的原因。

其次是稳定可靠。一方面,未来的社会是信息的社会,当前随着校内师生员工的工作、科研、学习、

第一,高校面临着严峻的网络安全形势。越来越多的报道表明,高校校园网已逐渐成为黑客的聚集地。这一方面是由于网络病毒和黑客工具的泛滥,用户安全意识的淡薄。而另一方面,高校学生———这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心,他们有着探索的高智商和冲劲,却缺乏

30

全面思考的责任感。有关数字显示,目前校园网遭受的恶意攻击,90%来自高校网络内部,如何保障校园网络的安全成为高校校园网络建设时不得不考虑的问题。

第二,网络安全一定是全方位的安全。首先,网络出口、数据中心、服务器等重点区域要做到安全过滤;其次,不管接入设备,还是骨干设备,设备本身需要具备强大的安全防护能力,并且安全策略部署不能影响到网络的性能,不造成网络单点故障;最后,要充分考虑全局统一的安全部署,需要能够从准入控制,到对网络安全事件进行深度探测,设备有机的联动,。

所以,在对出口等重点区域进行安全部署的同时,要更加全面的考虑安全问题,让整个网络从设备级的安全上升一个台阶,摆脱仅仅局部加强某个单点的安全强度的手段。215　方便运营管理的需求

的详细信息(包括用户名、IP、MAC等)及完整的用

户访问外网的记录(包括源IP、目的IP、源端口、目的端口、访问时间),一旦出现安全事件,可以进行快速完整的审计,迅速定位到个人。

对于设备管理,需要的是统一有效的网络管理系统。能够直观全面地监控整个网络和各种设备的运行状态,,及时报告各种故障和性能问题,,并且[5]

。

,因此难以一体,出现网络故障无法快速定位、IP地址盗用和IP地址冲突等问题日益严重,如何利用有限的人力物力对网络进行高效管理也成为学校考虑的着重点。216　强大数据中心建设的需求

第一,众多高校仍然采用的是直接存储在服务器硬盘上的方式,也就是我们所说的直连存储(DAS)。这种方式存在很多的问题:①不同的数据存储在不同服务器的硬盘上,造成有些服务器硬盘空间已满,而有些服务器硬盘空间却闲置。空间扩展比较困难,并且服务器之间无法进行空间共享。②随着应用的不断丰富,访问量的增加,办公、教学和科研对网络的依赖,服务器的性能受到强烈的考验。最终可能成为性能的瓶颈。

第二、随着计算机信息系统的不断发展,用户的核心业务越来越依赖于信息系统的可靠运行,信息系统中的关键业务数据已经成为用户最为重要的资产。因此,对关键的业务数据进行备份保护刻不容缓。尤其美国911事件的发生,世界各地各行各业越发重视重要数据的备份和冗灾。但是当前绝大多数国内高校,对于关键数据,比如财务资料、学籍、档案、学术论文等资料都还没有进行有效的备份或冗灾。一旦数据销毁、丢失,后果不堪设想。

也正是基于对存在问题的认识和目前各种应用带来的数据存储的实际需求,很多高校已经开始进行数据中心的建设,那么数据中心建设,应该达到怎样的目标,数据中心的存储设备应该如何选择,都是需要重点考虑的问题。217　向IPv6过渡的需求

首先,校园网需要进行合理的运营。第一、校园网的投资较大,加上每年的维护成本,对于学校并不是一笔可以忽视的开支;第二、根据各校的情况,进行合理的运营收费,依靠市场化的手段能够推动校园网的运作规范化和提高建设水平。当然,学校不是运营商,运营的模式和业务流程并不清晰。而学校收费和学生缴费又是一对天然的矛盾,当前不少学校采用的运营模式与学校实际的情况差距太大,无法有效杜绝学生逃避收费等问题一直困扰着学校的网管人员。

其次,有效的管理可以从用户管理和设备管理两方面来看:

对于用户管理,最重要的是能够实现事前的身份认证和准确定位、事中的实时处理、事后的完整日志审计。事前的认证和定位是指可严格实现用户身份识别,根据用户账号、密码、MAC地址、IP地址、交换机IP、交换机端口号和用户所在VLAN的灵活组合,来识别用户身份

[4]

。将网络中的虚拟用户和生

活中的真实用户相对应;事中的实时处理是指对于正在是用网络的用户,如果出现私自拨号上网、使用代理和更改IP地址等,认证计费系统会强制用户下线。对于感染病毒,出现安全事件的用户,结合全局安全通过安全联动来进行隔离、阻断和修复,以保证校园网的安全。事后的日志审计是指记录用户上网

中国下一代互联网示范工程CNGI是实施我国下一代互联网发展战略的启步工程,由国家发改委、科技部、信产部、教育部和中科院等八部委联合领导。2001年,CERNET(中国教育与科研网)提出建

　　第1期　　　　　　　　　　　　　　　　　　　高校校园网设计方案31

设CERNET2计划。2003年12月,国家发改委批准了中国下一代互联网示范工程CNGI建设项目。经过两年多的建设,2006年10月,CERNET2通过了10个院士领衔的项目鉴定委员的鉴定验收,整体建

关心的问题是:在向IPv6

过渡的阶段,如何充分利用现有设备,保护投资,该采用何种部署策略,保证应用的平滑过渡呢?

设水平达到了世界领先水平

[6]

。

3　高校校园网设计方案

我们通过与广大高教用户的深入沟通和互动,根据上述校园网现状的分析,以及出现的问题与需求,“安全、、可运营、可管理”的可,详见图1。

可以预见的是IPv6是必然的趋势。而学校积极主动地应对IPv6,有利于提升学校的应用水平和科研水平,并为IPv6的真正大规模部署做好必要的技术储备

[7]

。事实上,各个高校在网络改造,设备

采购时候都在考虑对IPv6的支持了。并且大家都

图1　校园网整体解决方案

图2　双核心设备热备份

311　骨干网络高性能、高稳定可靠31111　高稳定可靠性

骨干网最重要的就是稳定可靠性。影响骨干网稳定可靠的因素有很多,但是最主要的有三个方面:

32

设备本身、网络架构和安全保障

[8]

。只有这三个方心路由器和三层交换机,所有关键器件的冗余,包括主控板、交换网板和电源等,支持板件的热插拔技术,保证了网络的高效运转。骨干设备双核心双链路,或者核心成环之后,相互之间互为容错备份,并在核心交换机中采用关键模块冗余设计。核心和汇聚之间采用双链路连接,一旦数据传输的活动链路,保障数据的。,,核心层双链路交换是一种高级别交换完全冗余,,都能在用户觉察不到的极短的时间内启用备份恢复数据传递,从而保证网络系统的高可靠性和稳定性的运行,详见图3

。

面都没问题了,才会形成稳固健壮的骨干网络。

(1)骨干网架构设计网络核心作为全网的心脏,向学校的教学办公、学生宿舍以及各种应用系统(在线点播、电子邮件、WEB服务等

[2]

)源源不断的提供安全稳定的信息血

液,保证整个学校相关业务的可靠运行。因此,作为整个网络平台的神经中枢,网络核心层是全网数据传输的中心,不仅要保证7×24小时的稳定运行,各种应用服务器的数据能够被稳定可靠的传输,同时,还要协调全网的数据流量和访问策略,服务的同时,/,线速转发的核

图3　核心设备功能图解

　　(2)安全保障

Juniper网络核心及全线网络产品支持丰富的

的端口密度。目前,每线卡万兆端口数可以高达16个。这将大大降低校内大量汇聚设备的万兆上联成本。

值得一提的是IEEE80213高速研究小组已经

开始100Gbps(十万兆)高速以太网的标准化制定工作,预计标准将在2009年出台

[9]

安全防护能力,包括对各种攻击的防护能力,以及先进的安全体系。

31112　十万兆平台全面提升骨干网络

目前,万兆以太网,作为迄今为止投入应用的速率最高的网络技术,已经大规模普及,并且能够切实解决目前校园网建设中存在的很多问题

[8]

。采用最新一代

面向十万兆平台的产品,符合校园网建设中的保护投资和先进性的原则。在十万兆标准出台后,就可以直接升级到下一代以太网。312　有效的全局安全措施

31211　统一身份准入控制及详细日志审计

。但是,

万兆应用的普及对产品和技术提出了更高的要求。校园网汇聚到核心的万兆线路的改造,就要求核心设备具有更高的万兆线速转发性能,以及更高的万兆端口密度来支撑大量汇聚设备的万兆链路上联。

而十万兆产品恰恰能够解决万兆普及带来的问题。基于对未来十万兆标准支持的考虑,Juniper网络开发的最新一代十万兆产品设备性能强大,完全满足甚至超出了校园网正常应用对设备的性能要求。十万兆还可以简单理解为10万兆,加上设备所具有的高线卡带宽,这就足以支撑起每线卡的更高

首先,能够安全认证到桌面。采用六元素的自动绑定、静态绑定和动态绑定相结合,可以确保用户入网时身份唯一,并且避免了IP冲突

[10]

。

其次,实现了管理分级授权。不同职能的管理者使用同一套系统时可以得到不同的操作界面以及使用权限,避免了管理的安全隐患。

最后,详细的日志审计功能记录用户上网的详

　　第1期　　　　　　　　　　　　　　　　　　　高校校园网设计方案33

细信息(包括用户名、IP、MAC等)及完整的用户访问外网的记录(包括源IP、目的IP、源端口、目的端口、访问时间),一旦出现安全事件,可以进行快速完整的审计,迅速定位到个人

[10]

析和全局监控。通过这种实时全网侦测,可以在第一时间内将网络异常现象通过接入层隔离出网络,使得网络异常现象完全不影响核心网络;在发现安全问题后能自动对用户进行安全事件告警,并迅速根据用户身份选择将用户隔离到安全修复区域或自动阻断异常数据流。这一方案目前在包括集美大学,例证之一就是:,在这些学校都悄,还能轻松的进行主机

实现主机完整性(HI)规则(通过一系列规则的定义,约定了对用户主机的准入标准);利用先进的“免疫性”ARP防病毒防攻击技术,彻底解决ARP木马等病毒攻击带来的网络中断事故的影响。313　负载均衡、冗余备份的出口设计

。

31212　设备本身具有强大的安全防护能力

Juniper核心及全线网络产品支持丰富的安全

防护能力,包括防DOS攻击,防源IP地址欺骗、防ARP欺骗、防病毒和带宽控制等功能。

Juniper网络还在继承已有的设备安全防护能

力的技术基础上,开发出了集多种强大安全功能于一体的安全体系设计。胁大体可分为两种:,常工作,甚至瘫痪;,以各种方式有选择地破坏,窃取网络中的数据信息。安全体系正是通过从“系统”和“数据”两方面的安全技术来保护网络的安全。

安全体系主要是通过硬件安全监控技术、硬件安全防护技术和丰富的设备安全管理保证系统的安全,通过硬件的隧道技术、认证技术和加密技术保护了网络设备传输的数据的安全。此外,还提供了万兆位的安全防护模块同时保护系统和数据。通过提供万兆位安全防护模块,可以对网络中的数据进行2-7层的安全监控防护。31213　全局安全解决方案

由于中国教育科研网与一般的电信级运营网络不同,没有非常充裕的线路、设备冗余,有可能发生单点故障,对于校园网的稳定运行有一定的影响。同时,通过CERNET访问其他的公众网如CHINANET、GBNET等速率缓慢。随着校园网用户量增加和基于

校园网络的各种网络应用的展开,要求校园网络出口具有较高的网络带宽。原有单一的CERNET出口已不能满足,有必要进一步扩大带宽,通过当地网络服务提供商(ISP)开辟第二出口连入Internet是较好的解决途径,许多学校采用了教育网和电信(或联通、铁通等)第二出口的双出口方案,既可以保留教育网资源,同时可以增加带宽,提高了访问Internet资源的速度校园网出口解决方案,详见图5

。

“全局安全网络”是由安全交换机、安全管理平台、用户认证系统、网络入侵检测系统、安全修复系统等多重网络元素联合组成,能实现同一网络环境下的全局联动,使每个设备都发挥安全防护的作用。网络身份认证过程详见图4

。

图5　校园网出口解决方案

图4　网络身份认证过程

31311　超强的NAT、PBR性能

系统能够对全网的所有安全事件、网络病毒攻击行为、用户行为和用户主机安全信息进行深入分

当前,校园网出口面临的首要问题就是性能问

题。性能问题主要体现在出口设备启用NAT(地址

[4]

转换)和PBR(策略路由)功能的情况下。正是基

34

于对校园网出口高性能的考虑,校园网出口的网络引擎能够:

(1)在启用NAT、ACL、PBR(策略路由)的情况下,在通常情况报文流情况下(平均报文长度为500byte左右的混合报文),双向可以达到6Gbps的线速

(2)上网记录日志:上网记录日志(基于五元

组、NAT);

(3)攻击日志:设备网络受到攻击的日志信息。

安全设备完善的日志功能详见图7

。

转发,每秒高达20万条的NAT新建连接会话。在1Gbps的NAT线速转发下,每秒达到新建4万条NAT会话。

(2)达到200万条的并发NAT会话数。如果按

照每个网络节点200条NAT会话,则可以同时支持将近10000台的网络节点同时在线。

31312　及链路冗余备份

,流量区分和基于访问目的的出口控制。具体举例来说,可以将学生的流量和老师的流量制定不同的路由路径;在对外出口上,根据所访问的资源进行划分,教育网免费资源走CERNET出口,免费地址列表之外的都走网通或者电信出口,网络设备及链路的冗余备份详见图6

。

图7　安全设备完善的日志功能

总的来说,我们打造的高校校园网出口解决方案希望达到两方面的最终效果:

第一,对用户来说,提供最快的外网访问速度。任何的设备故障、链路问题对用户来说都是透明的,这中间的自动切换用户无法感知,也不用去理会。

第二,对于网络管理者而言,提供最高的可用性。不但提供强大的性能,而且在稳定可靠性方面的提升让管理维护变得简单。314　高度可运营、易管理的网络

31411　网络安全计费管理平台:告别运营难题

针对高校校园网络灵活运营的需求,我们的校园网解决方案设计出贴近校园用户需求的计费模式,不仅有计时长、包月等传统计费方式,还增加了按天计费方式,并以之为基础,设计了一次交费,分段开通的计费模式

图6　网络设备及链路的冗余备份

[5]

。例如,一个学生需要在3月

1日的时候开通,但是他3月5日的时候需要出去

实习2周,这时,用户完全可以在3月1日的时候选择开通5天,系统就只在这5天内扣除相应费用,到5日的时候系统会自动停用该帐号,直到用户再次

另一方面从可用性角度,实现了任何一台设备(任何一台防火墙或者任何一台网络出口引擎)的故障或者任何一条链路的瘫痪,都将使相应的流量自动切换到另外一台设备或者另外一条链路上。充分保证出口的可用性,时刻保持网络的互联互通。31313　完善的出口日志功能

选择开通。

其次,计费方案提供了完善的自助服务系统,简单明了的中文界面为用户提供了包括快捷注册,个人信息、密码进行修改,上网明细和交费记录及余额自助查询,在线充值和注销用户等功能服务。不但方便了终端用户缴费,同时也极大地减轻了管理者的管理和收费工作负担,有效缓解了学生缴费和学校收费的矛盾。

另外,为了给高校用户带来最优的应用体验,“想用户之所想”,提供了诸如“精细的接入时段管

针对各种网络攻击和安全威胁进行日志记录,采用统一的格式,支持本地查看的同时,还能够通过统一的输出接口将日志发送到日志服务器,为用户事后分析、审计提供重要信息,方案中所能提供的日志包括:

(1)设备日志:设备状态,系统事件日志;

　　第1期　　　　　　　　　　　　　　　　　　　高校校园网设计方案35

理”、“自动升级客户端”和“丰富的营帐及帐务功能”。还为学校提供了完善的流程化服务。网络计费解决方案预置了包括批量开户、收费通知、网上故障报修等在内的多种应用模版。这些看似简单的模版,是我们服务数百所高校用户的经验积累,通过将用户的需求以及用户反馈的先进经验进行积累,逐渐形成的一套立体化服务体系。需要注意的是,网络建成后,该服务体系还将对用户进行实时跟踪,及时了解用户需求并为用户提供网络系统定期排查服务,保障用户的网络轻松运行和持续运营。31412　无线用户接入管理

提高至2倍的总物理带宽和带机数。31413　全网设备统一管理

全网拓扑发现以及对事件、性能和日志的统一管理,可以方便的对全网设备统一管理,运筹帷幄决胜千里之外

[5]

。

315　无线网络满足随时随地接入

,依赖的原则就是:。在适合,将无线作为有线的,,甚至部分区域。无线部署有胖AP和瘦AP+无线交换机两种方式。具体应该视学

部署WLAN设备的时候,网络架构,可以随用户。WLAN:

(1)使用AP作为认证者(Authenticator)进行80211x认证

校情况而定,详见图8

。

使用AP作为认证者(Authenticator)进行80211x认证,无线用户接入网络时,首先向AP发送

身份验证请求,AP将相关信息重新封装后发送到身份验证服务器(如RG-SAM)进行验证。

(2)使用AP上联交换机作为认证者进行80211x认证

使用AP上联交换机作为认证者(Authentica2tor)时,用户首先接入无线网络,AP将用户的身份

图8　无线网络架构

验证请求透传给上联的80211x认证体交换机,再由认证体交换机将认证信息封装转发给身份验证服务

器(如RG-SAM)进行验证。

(3)在“瘦AP+无线交换机”解决方案中,使用

总结近几年来国内部分已经采用无线网络的高等院校在建设中出现的经验教训,对于无线的部署,我们需要着重关注的是:合理的物理部署与信道规划、无线的访问与传输安全、无线网络管理和漫游四个问题。

31511　合理的物理部署

无线交换机作为认证者

在“瘦AP+无线交换机”解决方案中,瘦AP不负责执行用户认证、数据加密等安全工作,而是由无线交换机来执行。使用无线交换机作为认证者(Authenticator)时,用户接入无线网络,瘦AP将用户的身份验证请求发送给无线交换机,再由无线交换机将认证信息封装转发给身份验证服务器进行验证。

三种模式均可以保证全网统一的80211x认证,整体网络认证统一。一般来说,单路的AP支持802111a/b/g协议的带机数是30-50人。具体数

由于无线网络采用无线电波进行传输,因此,无线网络的品质与所部署位置、电磁干扰、信道规划有直接的关系。首先应根据用户调查,了解人群在需要部署的区域的活动习惯,并根据该习惯总结出每个区域同时在线上网的人数和上网带宽需求情况,然后根据该数据的高与低,决定在该区域部署无线接入点设备的数量、信道规划和具体位置。并且对于重点区域,比如会议室、相关办公室进行辐射信号的测试和调整。

31512　无线访问与传输的安全

量视环境而定,视频、BT等大流量应用会导致带机数降低,普通上网应用可以满足最多的带机数,我们的AP产品采用先进的双路硬件架构,一台AP相当于两台AP的性能,这样在投资不变的前提下,可以

相比较有线网络对网线的可信而言,无线网络依靠空中的无线电频谱信道载频来传输,如果发生

36

了安全事件,很难被立刻发觉。结合在近几年针对无线网络安全问题的研究中,已经诞生了大量的新技术,与已经建成的无线网络在部分高校的使用中,对安全问题的大量宝贵经验,可以总结如下:

首先,灵活利用SSID技术。SSID是无线网卡与AP用来通信的首个验证码,默认由无线接入点在空中以明文的形式广播,很容易被截获并入侵网络,带来安全的隐患问题。但如果通过限制它的广播,就可以解决这类问题的发生。

其次,对无线用户进行有效的准入控制。这在运营管理部分给与了解决方案。

最后,利用64/128位WEP()术,至少可以挡住,,。31513　无线网络管理

网络设计的目标。一个成功的存储区域网设计,应该保证在实施后能够满足校园网对存储设备性能和容量方面的要求,能够满足数据的高可用性和抗灾的要求,能够提供强大的数据管理功能,能够满足数据备份的要求,能够满足未来数据与业务增长的要求,还要具有较高的性价比31612　数据分级存储

[9]

。

,(、光盘库、磁带库)中,。数据迁移的规则是可以人为控制的———根据数据的访问频率、保留时间、容量和性能要求等因素确定的最佳存储策略。在分级数据存储结构中,磁带库等成本较低的存储资源用来存放访问频率较低的信息,而磁盘或磁盘阵列等成本高、速度快的设备,用来存储经常访问的重要信息。

数据分级存储的工作原理是基于数据访问的局部性。通过将不经常访问的数据自动移到存储层次中较低的层次,释放出较高成本的存储空间给更频繁访问的数据,可以获得更好的总体性价比。31613　基于IPSAN的网络集中存储

通过集中的网络管理,对无线网络的所有设备进行合法的注册,并对所有合法用户注册,并分配不同的权限,并与相应的无线设备动态捆绑,极大的提高整个无线网络用户上网的合理性。

首先,对设备的管理是网络管理的重要部分。所有网络设备遵循统一的、标准的管理协议和兼容性,并满足集中和统一管理的功能需要,使得网络中心管理人员可以在网管工作站随时观察每一台网络设备的工作状态。

其次,对环境的管理是更深层次的网络管理。建成后的无线网络,能满足网络中心管理人员在网管工作站直观、详尽的了解每个无线设备附近区域的环境状态,譬如是否存在信道干扰,信道负载负荷等等。

31514　用户的漫游

对于校园网的核心存储架构,我们建议采用以局域网为核心的集中存储系统结构。以数据和存储为中心可以极大地保护用户的投资,有效利用存储空间,降低用户管理费用,从而确保整体拥有成本最低。降低管理难度,维护数据管理的统一性。提高了电子化数据管理的可靠性。数据的集中化管理,能够确保数据的一致性和完整性,保证电子化数据的可靠性。

以数据和存储为中心必然对整个存储系统性能有很高的要求,设计方案选用集中式、高性能、大容量和智能化的存储区域网(StorageAreaNetwork,简称SAN)来构建新一代计算中心存储环境。SAN一改过去以服务器为中心的存储模式,以数据存储为中心,采用伸缩的网络拓扑结构,通过IP连接方式,提供SAN内部任意节点之间的多路可选择的数据交换,并且将数据存储管理集中在相对独立的局域网内

[4]

漫游网络可分为物理层漫游、链路层漫游、网络层漫游和应用层漫游。在国内多数高校的WLAN网络建设中,对无线网络的漫游还停留在物理层和链路层漫游的水平,这两部分的漫游仅能解决局部的漫游问题,对于网络层漫游(跨网段的移动IP访问)和应用层漫游(跨认证体的用户认证不中断,不用重认证)却往往没有考虑,在面向未来的无线网络中,将会承载多种主体应用,必须实现对网络层和应用层的漫游。

316　智能高效的数据中心设计31611　存储系统设计

。SAN的最终目标是实现在异构环境中最

大限度的数据共享和可管理性。存储区域网是未来存储系统发展的方向。31614　存储虚拟化

构建一个成功的存储区域网,第一步和最重要的一步是存储网络本身的设计。首先应该明确存储

存储虚拟化是一个抽象的定义,它并不能够明确地指导用户怎么去比较产品及其功能。这个定义

　　第1期　　　　　　　　　　　　　　　　　　　高校校园网设计方案37

只能用来描述一类广义的技术和产品。存储虚拟化同样也是一个抽象的技术,几乎可以应用在存储的所有层面:文件系统、文件、块、主机、网络和存储设备等等。

SNIA的存储网络字典里是这样定义的:虚拟

IPv6Intranet网络,从而可以充分利用IPv6的诸多优

势,如QoS保证。但由于IPv6网络之间有可能不是相互连通的,因此还会使用隧道。在IPv6平台上实现丰富的业务加快了IPv6的实施。但仍将有大量的传统IPv4业务存在,许多节点也仍然是双栈节点。

主导阶段:IPv6占据主导地位,具备全球范围内的连通性,IPv6平台上。网,。

Pv4IP6的过程中,一定要过渡到IPv6的过渡策略,考虑产品和方案平滑升级到IPv6的能力,保护投资。31712　过渡策略

化———通过将一个(或多个)目标(Target)服务或功能与其它附加的功能集成,统一提供有用的全面功能服务。典型的虚拟化包括如下一些情况:屏蔽系统的复杂性,增加或集成新的功能,仿真、整合或分解现有的服务功能等。虚拟化是作用在一个或者多个实体上的,服务的。

31615　,由于其系统与数据的特殊性,通常将其系统分别安装在两台服务器上,数据库存放在稳定的、可靠的核心存储设备上,两台运行管理系统的服务器之间实施集群系统,以确保校园网的管理系统的持续可用。由于目前的作为初期的存储项目,建议先采用企业级的智能存储系统作为校园网的数据中心。31616　冗灾系统的实现

由于IPv6刚刚起步,很多标准还不完善,很多技术还没有经过大范围、大流量的考验。IPv6技术现在正处于完善的阶段。因此,在建设IPv6网络初期,应当选择具有升级能力的网络设备,比如以NP或ASIC为处理器实现的IPv6技术等

[7]

。

应当考虑与现有IPv4网络的互通性。由于IPv4网络资源丰富,上面有很多业务,因此要考虑

怎样在IPv6网络上访问IPv4网络的资源。

应当选择响应速度快、服务好的厂商。由于IPv6还处于发展期,会出现很多新功能,新技术,因

推荐采用基于存储的冗灾技术,可以通系统内置的复制功能来保证远程冗灾系统,同时支持同步与异步的工作方式。

317　IPv6的分阶段分步骤平滑过渡

IPv6的技术优势是明显的,但是IPv6应用所面

此设备的版本升级必然比较频繁。同时用户可能根据自己的实际情况,对设备厂家提出一些特色需求。为此应当选择响应速度、服务好的厂商。

应当不要选用有私有协议、专利技术的厂家设备。这些厂家的设备不能很好的和其他厂家的设备互通。为以后升级、扩容造成很大麻烦。31713　IPv4/IPv6过渡方案

临的一个重要问题就是如何部署IPv6网络。目前的Internet网络以IPv4为主导,不可能一次性地将网络的所有设备升级为IPv6,可以肯定的是,一定是分步骤分阶段的进行部署实施31711　过渡阶段

IPv4到IPv6的过渡是从网络边缘向核心演进,IPv4和IPv6会在较长时间内共存:

[7]

。为此IPv6必

须提供多种过渡技术来解决部署问题。随着Internet网络在全球范围内的迅速扩大,应用日益增加,IP地址即将耗尽的矛盾更加突出,同时为解决IPv4的设计缺陷,国际互联网工程任务组开发了新一代Internet协议IPv6,但由于IPv4与IPv6之间存在着很大的差异,同时存在众多基于IPv4协议的网络及应用,因此,要用新的IPv6代替

起始阶段:所有网络基于IPv4,Internet上都是纯IPv4设备,使用NAT缓解IPv4地址紧张。

初级阶段:引入IPv6Intranet,提供IPv6接入等服务。IPv4网络中出现若干IPv6孤岛,不同的IPv6孤岛使用自动或人工配置的隧道通过IPv4网络连接起来“IPv6-in-IPv4”。

共存阶段:IPv6得到较大规模的应用,出现了骨干的IPv6Internet网络,在IPv6平台上引入了大量的业务。IPv6业务可以通过IPv6Internet网络与

旧的IPv4必然存在一个过渡时期

[7]

。针对上述问

题我们研究了两种过渡机制,详见图9和图10。

最理想的选择是,利用支持双栈技术的多业务万兆核心路由交换机作为骨干校园网IPv4/IPv6过渡设备。实现同时与IPv6网和IPv4网的互通。此方案同时支持IPv6/IPv4两种业务流,不影响目前学校主要的IPv4业务,满足学校在IPv6应用时的

38

过渡网络环境

。

31714　IPv6试验网规划建议

(1)网络环境的真实性

任何新应用的示范和推广首先是市场行为,均必须在具体的实际市场实践中摸索和发展,并得到市场的检验。因此为了更好的完成这一过程,我们的IPv6实验网必须尽可能的贴近真实环境,只有这,让新的应用业务,并取得成功。

I,也,只有在真实的环境中得,才能为我们的决策提供良好的论据。

(2)网络环境的真实性涉及到两个方面问题

首先,IPv6公共资源平台中的设备必须是可实

图9　IPv6网改造方案-

隧道

际商用的成熟产品。

其次,IPv6公共资源平台的网络环境必须尽可能的贴近于真实的园区网环境,不仅仅只局限在软件模拟环境中,必须包含园区网的基本元素—交换机。这样,我们的IPv6的科研和应用开发一直处在一个真实的环境中,将来在市场上可以以最小的风险,快速通过市场的检验,并获得成功。

(3)IPv6设备的性能

目前,市场上支持IPv6的网络产品大多数都是通过软件实现IPv6技术,通过软件实现IPv6技术使得CPU成为了一个瓶颈,性能受到限制,这在很大程度上制约了基于IPv6的应用的发展和推广。

因此,在我们的IPv6实验网的建设中,应该突破这一瓶颈,建议采用硬件实现IPv6技术的成熟产品,从而在性能上保障IPv6技术的科研,应用发展的需要。

(4)应用群体要具有一定的规模

应用的发展和推动,必须要有一定的规模的环境来检验,这样更具有说服力和广泛的适应性,并能得到广泛的认可和持续的推广。

首先,作为大学IPv6实验网,必须要具有一定的规模建设,以最少的代价将IPv6实验网铺设到尽可能多的院系或科研机构。

其次,应用群体也要具有一定的规模。学校在这方面可以说具有先天的优势,目前重点高校的在校师生往往有数万人,是很大的一个规模应用的群体。

图10　IPv6网改造方案-双栈

IPv4/IPv6共存开通建议:

(1)校园网内部v6-v6、v4-v4业务,通过双栈

设备实现业务的互连,不涉及IPv6协议与IPv4协议的转换,与普通单网络业务转发模型类似;

(2)校园网内部v6-v4业务互通,利用核心路由交换机作为协议转换设备,运行NAT-PT协议进行转换;

(3)校园网v6业务-外部v4业务互通,利用核心路由交换机作为协议转换设备,进行校园网IPv6业务与外部IPv4业务的互通;

(4)校园网v6业务与外部IPv6孤岛业务互连,建议在设备实现手工隧道或6to4隧道,穿越IPv4网络。

4　结束语

通过对高校校园网的发展现状进行分析,针对

　　第1期　　　　　　　　　　　　　　　　　　　高校校园网设计方案39

高校校园网的低稳定性、低可靠性、低管理性和低安全性以及难以向IPv6网过渡,提出了一个高效校园网设计方案。通过硬件升级提供一个高性能、高可靠的骨干网络,例如使用Juniper公司万兆核心设备;运用身份控制以及日志审计提高网络安全性,在这里我们也推荐使用Juniper公司的安全产品,因为其可以提供完美的日志审计功能;在出口线路做负载均衡、冗余备份增加网络可靠性,在网络出口处使用双核心设备,运用HSRP技术实现热备份;在网络内使用相对应的管理平台实现网络可管理性,对每,,通过在校园内布设无线AP络;,保证资料的安全性;通过IPv4与IPv6的双栈与隧道实现IPv4网向IPv6网的平滑过渡。

参考文献:

[1]TsanenbaumAS.计算机网络[M]13版1熊桂喜,王小

[2]朱理森,张守连1计算机网络应用技术[M]1北京:专利

文献出版社,20011

[3]赵志囡1计算机网络中的服务[J]1现代情报,2006

(11):17-191

[4]杨家海1网络管理原理与实现技术[M]1北京:清华大

学出版社,20001

[5]DouglasComer,《InternetworkingWithTCP/IPVolⅠ:

Principles,protocols,and》[M].FourthEdi2tion,onicsindustry,20011[6]]版1北京:电子工业出版

2003[7,1IPv4到IPv6的过渡策略及其测试[J]1

贵州工业大学学报(自然科学版),2001(2):10-141

[8]崔亚峰,刘邦奇.校园网建设纲要[N]1计算机世界日

报,1999161211

[9]AndrewS.Tanenbaum,《ComputerNetworks》[M].ThirdE2

dition,Prentice-HallInternational,Inc,19971

[10]王倩宜,李润娥,李庭晏1统一用户管理和身份认证服务

的设计与实现[J]1实验技术与管理,2004(3):27-291

[责任编辑　贺小林]

虎,译1清华大学出版社,19981

ThePlanforCampusNetworkofUniversity

ZHANGJun2Lan,GUOJin2Ping,LIUYI

(CollegeofMathematicsComputerScience,YananUniversity,Yanan716000,China)

Abstract:Basedontheanalysisofthedevelopmentofthecampusnetwork,aplanofcampusnetworkhavebeende2signed.Inordertoprovideahigh-performance、highlyreliablebackbonenetworkbyhardwareupgrades,theuseoftheidentityofcontrolandauditlogstoimprovenetworksecurity,intheexportlinetodoloadbalancing,redun2dantbackuptoincreasenetworkreliability,theuseofthenetworkcorrespondingtothenetworkmanagementplat2formmanageability,wirelessnetworkuserscanbeanywherewithinthecampusnetworktoconnecttonetworks,storagevirtualizationtechnologytouseredundantbackuptoensuredatasecurity,theIPv6networktoachievenet2workIPv4smoothtransitionbythedual-stackIPv4andIPv6tunnel.

Keywords:campusnetwork;backbonenetwork;networksecurity;networkmanagement;datastorage;IPv6