模板
教程
环境
性能
功能
管理
华北水利水电学院新校区校园网规划与设计
1 校园网建设现状 华北水利水电学院是一所以工科为主,多学科协调发展的高等院校,现有在校生共计12000余名。学校于1999年1月接入 CERNET,经过近几年前三期的校园网建设,出口速率由最初的通过微波共享2M,2002年5月升级为1Gbps。华北水利水电学院老校区校园网以四号教学楼(网络中心所在楼)为中心,通过单模和多模光缆连接校内各办公楼、教学楼、家属楼、实验楼和学生宿舍楼等,实现了千兆到楼,百兆到桌面,连接校内所有建筑物的快速校园网络。目前老校区接入校园网的计算机主机数已达6千多台,信息点1万余个。 华北水利水电学院校园网现有AVAYAP882、AVAYA P333R、华为8505、华为6506、华为3526、华为3026、华为3526FM、华为5516F、华为2403H、华为3500、华为 2016、CISCO 2514路由器,BAY1100、BAY350、BAY450,博华网龙千兆防火墙、CISCO 4006、CISCO 3548、CISCO 3524等三百多台高、中、低档交换机,曙光TC-1700、HP LH4、HP LC3、Dell PE6650,Dell 2650,Dell2600,Dell1600sc,Dell PV770N NAS存储服务器,Dell2800,HP Proliant BL刀片服务器等一批高中档服务器。提供有域名服务、电子邮件服务、WWW服务、VOD服务、ftp数据存储服务等。除提供基本的网络应用功能外,还搭建了教学、教务、办公、课件开发、数字图书馆等一系列为教学、科研服务的平台。 2 目前校园网中存在的问题 经过近几年老校区的网络建设和运行,目前发现存在一些问题: 2.1网络可靠性差 由于网络结构中没有设备、电源、线路等的冗余和负载均衡,中心核心设备或分中心设备故障等问题出现直接导致了大面积的网络中断,影响网络的正常运行,且每次出现问题后网管人员需要作出相应响应,网络不具有自动愈合功能。 2.2网络安全性差 由于教学、办公、公共机房等的计算机管理责任不明确,以及管理不善,经常造成ip地址冲突、计算机感染病毒造成网络拥塞、国际流量异常以及资料泄密等安全事故,这些事件的发生严正影响了该校网络运行的安全性和可靠性。 2.3用户管理、认证效果差 虽然学生宿舍区应用了计费认证系统,但经过近一年的运行,并没有达到预期的效果。 2.4网络应用平台繁多和孤立 在校园网上运行有邮件系统一套,OA一套,教务管理系统一套,网络教学平台两套,课件开发平台一套、英语网络教学平台三套等一系列平台,但这些平台都彼此孤立和不能互相兼容,致使用户登陆每一个平台都需要输入不同的帐户和密码,特别是网络教学平台利用率极低,使投资浪费。 所以在新校区的网络建设上要彻底避免上述问题的产生,要进行统一的规划设计,彻底保证网络的安全性和稳定性。 3新校区校园网建设指导思想和目标 3.1新校区概况 由于该校发展需要,在2004年学校在郑州郑东新区龙子湖征地1770亩,用于建设新校区。目前已完成1-5#学生宿舍楼,1-4#教学楼,学生活动中心、教工活动中心等建筑物的建设,已入住2005级新生3000余人。根据《华北水利水电学院校园建设规划》“2007-2008年全部完成新校区工程建设和配套工程、校园绿化美化等主要工程”,“新校区是学校的办学主体,以普通本科生、研究生的培养和科学研究为主要功能”,“新校区的学生规模为18000人,总建筑面积492600平方米”以及“充分利用现代信息网络技术,加大基础设施建设力度,构建功能齐全、信息畅通的数字化校园”,新校区将布信息点2万多个。 3.2新校区网络需求分析 基本需求:为加快该校新校区的网络信息化建设,响应新校区校园网建设工程,满足该校信息化需求,保证高质量、高效率地为各个子网日常办公、多媒体教学、课件资源共享、E-MAIL、FTP、WEB信息发布、VOD视频点播、信息传递、共享文件打印机、宏观协调及科学决策服务,新校区网络主要实现新区网络中心到办公区,教学区、学生生活区以及教师生活区、实验场馆等地光纤高速接入校园网。 应用需求:新校区将来是办学主体,网络规模会比较大,用户数也会很多,并且会有很多依赖于校园网所运行的平台,例如一卡通系统,这些都对网络的性能、安全性、可靠性、稳定性提出了有很大的要求;由于网络管理的需要,对用户入网认证、网络监控管理,也都提出了需求;另外为满足重要应用优先的运行对QoS应用提出需求,而视频远程教学又对组播应用提出需求,下一代互联网应用则对ipv6部署也提出了需求。 3.3建设指导思想和原则 3.3.1先进性和成熟性 系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证该校网络建设的领先地位,网络主干设备选用高带宽的、千兆位及万兆位线速路由交换技术。 3.3.2高性能 系统建设应始终贯彻面向应用,注重实效的方针,保证系统具有足够的数据传输带宽,并为可预计的业务提供足够的系统容量和提供QOS,COS服务品质,建设新校区的高性能网络系统,保护该校的投资。 3.3.3可靠性和稳定性 在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。方案中涉及核心层设备,要求提供电源备份,模块的热插拔维护。核心层设备的系统模块,如交换引擎、电源模块等均能1+1冗余备份。在网络结构设计中,也考虑了一定的冗余和负载均衡,保证网络高可用性。 3.3.4安全性和保密性 在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等,如划分VLAN、MAC地址绑定、802.1x、802.1d、802.1w、802.1s、VRRP、 ACL、PORT+IP+MAC绑定等。 3.3.5可扩展性和可管理性 为了适应系统变化的要求,必须充分考虑以最简便的方法、最佳的投资,实现系统的扩展和维护,所以全线采用可网管产品,提供堆叠、集群功能,降低人力资源的费用,提高网络的易用性、可管理性,同时又具有很好的可扩充性,实现网络的可维性。 3.3.6结构化设计 接入层:连接各端末设备,做为网络智能安全接入和策略的边缘。 汇聚层:连接学生宿舍和教师宿舍的接入设备,提供负载平衡、快速收敛和扩展性,完成路由选择,提供冗余。 核心层:连接各汇聚设备或接入设备和服务器群设备?提供路由管理、网络服务、网络管理、数据高速交换、快速收敛和扩展性,完成高速转发。 3.4建设目标和未来校园网发展方向 华北水利水电学院新校区网络建设在实用的前提下,在保护投资及长远性考虑原则下,在技术上、系统能力上要保持五年左右的先进性。采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。 结合实际建网情况和前期网络建设,在充分研究了目前国内外网络界对校园网设计所采用的各种网络主干技术,并充分考虑到技术发展的主流和趋势后,选择万兆以太网为目标,IPV6协议为基本协议框架构建新校区的网络建设,设计“核心层之间万兆链路,核心层到汇聚层千兆主干、百兆交换桌面”的网络拓扑结构,核心层和汇聚层硬件实现IPV6。考虑到校园网管理的智能化和校园网发展的良性循环,要求能够通过统一的用户管理平台实现基于802.1X 协议的全分布式校园安全认证计费目标。整个网络能够实现:高性能、高可靠性、高稳定性、高安全性、可运营、可管理、可增值的智能安全网络。 经过未来几年的努力,校园网作为整个信息化建设的重要基础设施,将建成一个高速、开放、先进、智能的计算机信息网络平台[1]。在将来,华北水利水电学院的校园将是一个网络化、数字化、智能化有机结合的新型校园。 4新校区校园网规划和设计 4.1方案拓扑设计 方案设计以千兆以太网技术为基础,万兆以太网为目标,采用“主干万兆,支干千兆,百兆交换桌面”的三层设计思路,分为核心层、汇聚层、接入层。核心层设计2台高性能万兆核心路由交换机,和分中心的万兆高性能交换机组成全冗余的万兆双链路,保证了校园网的高速数据路由交换,并且具有很好的可扩展性。 整个网络分中心由6个分中心构成,每个分中心部署一台万兆高性能交换机,每台万兆设备和核心设备之间两条万兆链路实现负载均衡的同时完成链路的备份,为了更好的加强整个网络架构的稳定性和健壮性,每个分中心之间进行千兆链路的连接,从而完成链路更好备份需求。 汇聚层部署IPV4/IPV6双栈硬件转发路由交换机通过千兆链路实现和各个核心层分中心的互连,构建新校区高性能、高稳定、高可靠的 IPV4/IPV6双栈汇聚层网络。各楼栋汇聚层采用全千兆IPV6路由交换机分流核心数据压力并终结各VLAN信息。接入层全部采用千兆智能安全交换机,实现接入安全控制。 核心层的万兆链路以及汇聚层的千兆链路连接可以轻松提供高速数据包吞吐量和高可用性;并采用OSPF协议更是保证了园区骨干网的服务不中断时间,而且核心设备的可热插拔接口模块、管理模块冗余和电源冗余也提供了进一步的可靠性保证。 新校区部署管理平台和认证计费平台,从而完成新校区全网的用户管理、设备管理和日志管理等。 上述的高速网络配置的部分功能特性,为新校区高带宽应用(如视频流和IP组播)提供了高可用性和高性能的理想解决方案。 整个链路网络拓扑见图1: 图1华北水利水电学院新校区网络拓扑图 4.2设备和系统选型 设备的选型是网络设计当中非常关键的部分,严格的选型可以达到最佳的效果,即系统相对独立,升级简便,组网方式灵活,以保护现有投资和未来的发展。所以为了满足学校目前的需求,立足长远发展,网络设备的选型除了依据提出的需求外,还需遵循上面的原则。 根据知名品牌主流网络产品性能、功能和技术,结合网络应用实际情况和发展趋势,网络方案中的交换机设备和网络平台选用以下系列产品。 4.2.1核心层设备选择 在本方案中,中心交换机采用锐捷网络RG-S6810E万兆核心交换机作为整个校园网核心层的双核心交换机,该款万兆交换机完全可以满足组网要求。RG-S6810E万兆核心交换机具有1.6Tbps的背板带宽,10个插槽,万兆端口密度为32个,二、三层转发速率为572Mpps。可配置冗余电源模块及管理引擎模块,而且所有模块支持热插拔,提高了系统的可靠性和可用性。 RG-S6810E万兆核心交换机是锐捷网络专门针对园区网骨干和中高密度接入一体的高速局域网络,提供一个高性能、多层交换解决方案,其设计宗旨是满足主干/分散和服务器集合环境对千兆位密度、可伸宿性、高可用性及多层交换不断增加的需求,是大中型网络核心骨干交换机的理想选择。 对于核心层各个分中心而言,采用同样支持万兆的高性能路由交换机RG-S6806E作为核心层分中心的交换机,完成各个分中心业务的汇聚交换处理,达到整个核心层的稳定运行。 4.2.2汇聚设备选择 本方案汇聚层交换机采用锐捷网络RG-S3760-12SFP/GT全千兆交换机。RG-S3760-12SFP/GT最多支持12个千兆端口,具有48Gbps的背板带宽,二、三层包转发率达到18Mpps。RG-S3760-12SFP/GT支持冗余电源接口,需要另外配置专门的冗余电源模块提供电源。RG-S3760-12SFP/GT对于IPV6的全面支持,满足新校区的全面部署IPV6网络的可能性。该款交换机完全可以满足组网要求。 4.2.3接入设备选择 接入层交换机选择锐捷网络STAR-S2100G系列千兆交换机。STAR-S2100G系列千兆交换机是全线速可堆叠千兆智能交换机,可以配置百兆、千兆模块或堆叠模块。STAR-S2126G可实现与STAR-S2150G的混合堆叠,最多可以实现8个设备进行堆叠。STAR- S2100G系列千兆交换机可以实现支持802.1x的五元素绑定认证,包括用户名、PC机IP地址、PC机MAC地址、接入交换机IP地址、接入交换机端口号元素。提供智能的流分类和完善的服务质量(QoS)以及组播管理特性,并可以实施灵活多样的ACL访问控制,支持基于用户的带宽控制。 4.2.4安全认证系统 全网安全认证系统选择锐捷网络RG-SAM,实现全网用户的接入控制、安全认证管理,并可以提供增值的上网计费的管理。 4.2.5网管平台系统 全网网络设备管理系统选择锐捷网络STARVIEW,实现全网网络设备的集中统一管理、配置、拓扑发现、故障排除等管理。 4.3无线网络的部署 无线网络作为有线网络的补充,为部分布线较困难的区域和需要移动办公、学习的用户提供全面、无缝的网络覆盖。拟在校内建立3-10个无线AP基站,覆盖校内全部区域。 4.4新老校区的连接 新老校区通过租用或买断通信光缆的方式,通过单模光纤千兆或万兆互联,使新老校区可以资源互享和共享,另外还要在新校区再建立一个到教育网的节点。另外新老校区的办公语音电话、校内有线电视节目、视频电话会议等都可通过该线路传输、互联。 4.5新校区ip地址规划 如果有充足的ip地址,则可以给每个入网计算机分配一个固定的ip地址,但若地址不够,则可规划入网计算机使用动态IP地址分配,用户访问网络需要进行身份认证,在没有认证或认证不通过的情况下用户计算机获得是内网ip地址,如10.0.0.5,仅能访问特定的服务器或网段,而通过身份认证的则获得公有ip,如202.196.155.5,可以访问校内所有资源和互联网,并开始计费。 4.6运行模式规划 新校区网络调试和试运行期间不收费,学生通过学号或自己的测试账号可以在宿舍、室外(通过无线)、公共机房等体验、测试校园网络。试运行结束后学生无须开户,教工以工号作为账号登陆校园网。新校区网络中心设至少3名工作人员负责日常的网络维护和管理及值班,另需招聘10名学生作为勤工俭学协助工作人员指导用户使用网络和解决网络问题。 4.7用户计费模式规划 用户计费采用多种计费方式,如包月、包天(账号名为位置编号),计时(账号名为学号,每生一个账户)等,包月和包天比较适合宿舍中有电脑的用户,时时计时比较适合在公共机房上网的用户。其中对包月、包天用户要进行IP+MAC+PORT+设备IP+帐户等多方面信息绑定进行认证。缴费方式,采用一卡通方式或冲值卡冲值等方式。 6总结 校园网要能很好地应用与发展,很大程度上取决于设计方案(包括组网技术、拓扑结构、IP及路由规划、设备选型等)的设计实施成功与否。本文从校园网工程的实际出发,从理论、设计、实现等多方面阐述了校园网设计实施方案。 (责任编辑:城尘)
