420 likes | 655 Views
锐捷高校校园网络整体解决方案. 行业资深顾问 刘福能 2006 年 3 月 9 日 湖南 · 长沙. 提纲. 高校校园网络建设现状. 面临的问题与挑战. 锐捷高校校园网络整体解决方案. “ 买车”阶段. “ 装货”阶段. “ 修路”阶段. 1994----2000. 2000----2005. 2005----. 高校校园网络发展历程. 网络技术. 10/100M 以太网、 FDDI 、 ATM. 1000M 以太网三层交换. 10G/40G/100G 以太网 IPv6. 关注要点. 安全与可信. 带宽与应用. 连通与兼容. 网络进程中的思考.
E N D
锐捷高校校园网络整体解决方案 行业资深顾问 刘福能2006年3月9日 湖南·长沙
提纲 • 高校校园网络建设现状 • 面临的问题与挑战 • 锐捷高校校园网络整体解决方案
“买车”阶段 “装货”阶段 “修路”阶段 1994----2000 2000----2005 2005---- 高校校园网络发展历程 网络技术 • 10/100M以太网、FDDI、ATM • 1000M以太网三层交换 • 10G/40G/100G以太网IPv6 关注要点 • 安全与可信 • 带宽与应用 • 连通与兼容
网络进程中的思考 教学、科研、管理、服务 尽在其中 网络平台是校园信息化的基础设施! 在规划建设、管理维护方面 是否尽如人意呢?
提纲 • 高校校园网络建设现状 • 面临的问题与挑战 • 锐捷高校校园网络整体解决方案
面临的问题与挑战 网络安全 问题 网络安全 问题 运营管理 问题 运营管理 问题 网络出口 设计问题 网络出口 设计问题 骨干网技术 与架构问题 骨干网技术 与架构问题 扩展与升级 问题 扩展与 升级问题 P2P流量 控制问题 P2P流量 控制问题 无线部署 问题 无线部署 问题
问题与挑战——如何构建校园骨干网? • 骨干设备不稳定! • 骨干链路不可靠! • 网络安全引起骨干网不稳定! • 如何构建一个高稳定可靠,同时兼备标准性、开放性、易管理性的校园骨干网络呢? 网络安全 问题 运营管理 问题 网络出口 设计问题 骨干网技术 与架构问题 骨干网技术 与架构问题 扩展与升级 问题 P2P流量 控制问题 无线部署 问题
问题与挑战——如何合理设计校园网出口? • 出口设备性能不够! • 出口线路可靠性不够! • 出口安全性不够! • 选择路由器还是防火墙? • 如何设计一个多出口负载分担冗余备份的高性能高安全的网络出口呢? 网络安全 问题 网络出口 设计问题 运营管理 问题 网络出口 设计问题 骨干网技术 与架构问题 P2P流量 控制问题 扩展与升级 问题 无线部署 问题
问题与挑战——如何实现网络平滑扩展升级? • 网络新建时设备如何选型?是否需要直接部署IPv6?如何部署? • 网络改造时,原有的线路和设备如何利用?如何在局部部署IPv6? • 面对IPv6的来临,我们应该有什么样的行动? 网络安全 问题 运营管理 问题 网络出口 设计问题 骨干网技术 与架构问题 P2P流量 控制问题 扩展与升级 问题 扩展与升级 问题 无线部署 问题
提纲 • 高校校园网络建设现状 • 面临的问题与挑战 • 锐捷高校校园网络解决方案
锐捷高校校园网解决方案 GSN全局 安全网络 解决方案 运营管理 解决方案 网络出口 设计方案 校园骨干网 构建方案 校园骨干网 构建方案 P2P流量 管理方案 扩展与升级 问题 无线网络 解决方案
校园骨干网构建技术选择 以太网 RPR 最成熟最主流的技术 兼容性和开放性最好 带宽和性能高 内外双环,可快速切换 优势 前期投入的性价比高 后期管理维护简单
校园骨干网构建技术选择 以太网 RPR 目前只有路由器支持 以太网及相关技术是最适合 校园骨干网建设的选择! 目前只能支持2.5G 劣势 前期设备+光纤投资成本高 后期管理维护复杂 兼容性和开放性较差 适用 场合 大型园区网 (校园网、企业网) 运营商网络
RG-S6806E 教学科研区域 RG-S6806E 图书馆区域 骨干网典型构建方案 图例: 服务器群区域 万兆链路 服务器 服务器 千兆光纤 千兆电缆 百兆电缆 RSR-08E/M10i RG-S6806E 校园网络 信息中心 核心区域 RG-WALL系列 RG-S6810E RG-S6810E 网络出口区域 RG-S6506 学生宿舍区域 RG-S6506 教工住宅区域 汇聚节点区域
稳定可靠的保障 网络的安全 可靠性保障 骨干网络 设备本身的 稳定可靠性 网络架构的 稳定可靠性
设备本身的稳定可靠 控制平面 协议的运行和控制 管理平面 管理接口,命令执行 数据平面 语音、数据、视频等传送平面 “三平面分离”通过相互隔离各个平面的异常问题而大幅度提升系统稳定性。
节点网络A OSPF Area A 网络架构的稳定可靠 服务器网络 OSPF Area E 服务器 服务器 RSR系列 RG-S6806E RG-WALL系列 OSPF Area 0 RG-S6810E RG-S6810E 节点网络D OSPF Area D 节点网络C OSPF Area C 节点网络B OSPF Area B
骨干网的安全的保证 SPOH、LPM+HDR 设备的安全 设备的安全 骨干设备私网路由、 OSPF路由MD5验证 路由的安全 路由的安全 • SNMPv3、SSH 管理的安全 管理的安全
校园骨干网的特点 骨干网络“安全可信” 网络架构可信 管理层面安全 网络设备可信 网络层面安全
锐捷高校校园网解决方案 GSN全局 安全网络 解决方案 运营管理 解决方案 网络出口 设计方案 网络出口 设计方案 校园骨干网 构建方案 扩展与升级 方案 P2P流量 管理方案 无线网络 解决方案
校园网络出口设备的选择 高端路由器 高性能防火墙 ASIC实现,NAT、策略路由功能强 包过滤、内容过滤、病毒及攻击检测方面优于路由器 对IPv6的支持已经非常好 优点 路由协议支持最完善,线速转发 接口类型丰富,支持多种线路
校园网络出口设备的选择 高端路由器 高性能防火墙 NAT多采用CPU或NP实现, 性能不如ASIC的路由器 可见,路由器、防火墙的定位 以及功能/性能各有侧重,共同组网, 效果最佳! 在一些新功能方面(如IPv6) 开发慢于路由器 不足 价格相对比较高 路由协议的支持相比路由器 支持的协议类型少,容量少 网络接口类型少
教学办公科研区用户访问教育网资源 1 学生用户区用户访问教育网资源 2 教学办公科研区用户访问非教育网资源 3 3 学生用户区访问非教育网资源 4 4 所有用户访问CERNET2资源 5 1 2 5 校园网络出口方案-负载均衡设计 Chinanet1 对外服务器群(DMZ) Chinanet2 S3550-12SFP/GT RG-S6806E RSR-08E/M10i 校园网络 信息中心 CERNET RG-WALL系列 CERNET2 RG-S6810E RG-S6810E RSR-04E/M7i 教学办公科研区 学生用户区
教学办公科研区用户访问教育网资源 1 学生用户区用户访问教育网资源 2 教学办公科研区用户访问非教育网资源 3 学生用户区访问非教育网资源 4 1 4 3 2 校园网络出口方案-冗余备份设计 Chinanet1 对外服务器群(DMZ) Chinanet2 RG-S2916G RG-S6806E RSR-08E/M10i 校园网络 信息中心 CERNET RG-WALL系列 CERNET2 RG-S6810E RG-S6810E RSR-04E/M7i 教学办公科研区 学生用户区
校园网络出口方案-设备的稳定性保障 • 基于可编程ASIC的系统平台(性能保障、可扩展业务) • 全球领先的模块化操作系统平台(可靠软件、可扩展业务) • 极具特色的平面分离设计(可靠硬件) • 多种优秀的网络稳定技术保障(可靠的网络) • 全球领先的IPV6应用和支持(满足未来) • 完善的安全特性(安全保障) RSR路由器系统平台是面向Internet应用而设计的
校园网络出口方案-出口设备分工协作 路由器 防火墙 • 启用基于源和目的强大的策略路由(ASIC硬件实现) • 启用NAT (ASIC硬件实现) ) • 在防火墙启用包过滤和内容过滤等主要的安全功能; • 在防火墙启用外网口、内网口、DMZ区; 两台设备各司其职, 发挥各自功能和性能的优势,最有效实现负载分担
校园网络出口设计特点 最合理的出口线路负载分担 最完美的出口线路相互备份 最稳定可靠的出口路由平台 最合理的出口设备分工协作
校园网 锐捷高校校园网解决方案 GSN全局 安全网络 解决方案 运营管理 解决方案 网络出口 设计方案 校园骨干网 构建方案 P2P流量 管理方案 扩展与升级 方案 扩展与升级 方案 无线网络 解决方案
IPv6-难得的创新机会 • 2005年10月:中共十六届五中全会将“自主创新”战略上升到与“改革开放”平行的高度。
IPv6-我们准备好了吗? • 锐捷网络全线三层交换机产品已经是业界公认的支持IPv6的可用的成熟产品,可与其他厂商的产品成功互联互通,并具备向全球提供标准化IPv6设备的能力和资格。 • 2005年9月16日:锐捷网络在国内率先成为全线三层交换机通过IPV6论坛全球公认的官方认证机构“IPv6 Ready”认证的网络厂商
IPv6-网络设备的支持 RG-S3760-12SFP/GT RG-S3760-48 RSR-08E/M10i RG-S6810E RG-S6806E RSR-04E/M7i RG-S3760-24 国内目前唯一一款采用ASIC实现IPv6的千兆多层交换机 教科网骨干上应用最广泛的IPv6核心路由器 国内第一款采用NP支持IPv6的万兆核心路由交换机
IPv6-操作系统的支持 • 不提供IPv6功能 • 需要打补丁,提供非常有限的IPv6功能,并且不易使用 • 需手工安装IPv6,核心协议支持好,功能不完善 • 默认安装,IPv6功能全面,2006年内发行
IPv6-CNGI驻地网建设正在进行时 • 获得一定国家资金资助,40万元左右; • 承建单位可通过该驻地网可连接CNGI核心网; • 承建单位具有参加CNGI项目驻地网试验以及有关的应用示范试验的权利。 申报截止日期:2006年3月15日 国家发展改革委关于启动下一代互 联网示范工程企业驻地网建设工作的通知
IPv4校园网向IPv6的过渡 IPv4 IPv6 双协议栈 协议转换 隧 道 其中隧道有很多种,到底什么样的过渡方式 是最适合高校校园网的呢?
Chinanet1 Chinanet2 CERNET IPv6驻地网方案-新建区域-双栈方式 图例: StarView GSN系统 SAM系统 内部服务器 万兆链路 千兆光纤 千兆电缆 百兆电缆 RG-WALL1500 RG-S6806E 实现简单,互通性好; 双栈节点可以同时与IPv6和IPv4互通; 对各种应用支持; 允许应用逐渐从IPv4过渡到IPv6; RSR-08E/M10i CERNET2 RSR-04E/M7i S6810E S6810E S3760-12SFP/GT RG-S6806E 学生宿舍区域 RG-S6806E 教学科研办公区域 WWW FTP VOD DNS RG-S3760-12SFP/GT RG-S3760-12SFP/GT S3760-24 S3760-48 S2100系列 S3760-48 各教学科研办公楼栋 各学生宿舍楼栋
Chinanet1 Chinanet2 CERNET IPv6驻地网方案-改造区域-隧道方式 图例: StarView GSN系统 SAM系统 内部服务器 万兆链路 千兆光纤 千兆电缆 百兆电缆 RG-WALL1500 服务器群交换机 充分利用现有设备组网; 骨干设备无需升级; 额外配置隧道,效率有所降低; RSR-08E/M10i CERNET2 RSR-04E/M7i 核心交换机 核心交换机 S3760-12SFP/GT 学生宿舍区域 教学科研办公区域 WWW FTP VOD DNS RG-S3760-12SFP/GT RG-S3760-12SFP/GT 二层交换机 二层交换机 二层交换机 二层交换机 各教学科研办公楼栋 各学生宿舍楼栋
为什么不考虑用NAT-PT转换方式 • 地址转换方式将使未来的IPv6网络部分地失去端到端的连接性; • 无论转换在何处实现都会使网络的整体性能下降; • 一些关键的应用尚不能很好的支持; 因此,建议慎用这种接入模式! NAT-PT/SIIT应用示意图 NAT-PT/SIIT协议栈
面临的问题与挑战回顾 GSN全局 安全网络 解决方案 网络安全 问题 运营管理 解决方案 运营管理 问题 网络出口 设计方案 网络出口 设计问题 校园骨干网 构建方案 骨干网技术 与架构问题 扩展与升级 方案 扩展与升级 问题 P2P流量 管理方案 P2P流量 控制问题 无线部署 问题 无线网络 解决方案
CERNET Chinanet1 Chinanet2 RG-S6806E 教学科研区域 RG-S6806E 图书馆区域 RG-S6506 行政办公区域 锐捷高校校园网整体解决方案 图例: 万兆链路 WWW E-Mail DNS StarView GSN系统 SAM系统 内部服务器 千兆光纤 千兆电缆 百兆电缆 RG-P-780 广场无线区域 S3550-12SFP/GT RG-S6806E RG-NTD_2 校园网络 信息中心 RG-NTD_1 RSR-08E/M10i/M7i RG-WALL1500 RG-P-780 CERNET2 S3750-48 RSR-04E/M7i/M7i S6810E_1 S6810E_2 S2126S S3760-12SFP/GT 各行政办公楼 S3760-24 S3760-48 RG-S6506 学生宿舍区域 RG-S6506 教工住宅区域 IPv6试验网区域 RG-WG54P 室内无线覆盖 RG-IPS系列 STAR-S3550-24 RG-S5750系列 S3550-12SFP/GT RG-S3550-12SFP/GT S5750 S2126G S2150G S1926G+ S1908+ S2126G S2150G S2150G S1916+ 各教工住宅楼栋 图书馆各楼层 各学生宿舍楼栋 各教学、科研楼
锐捷高校校园网解决方案效果 GSN全局 安全网络 解决方案 全局安全的 校园网络 负载均衡冗余备份的网络出口 网络出口 设计方案 运营管理 解决方案 校园骨干网 构建方案 稳定可靠的 校园骨干网 可运营易管理 的平台 P2P流量 管理方案 扩展与升级 方案 平滑升级到下一代网络 无线网络 解决方案 P2P流量可控管理 安全可信无线网络
面向未来,锐捷希望与您携手共建 安全可信校园新网络!