网站首页 关于向勋 新闻动态 产品展示 产品订购 成功案例 解决方案 联系我们
分类导航
思科成长型企业解决方案  (1)
病毒防护  (1)
反垃圾邮件  (1)
IPS  (1)
防火墙  (1)
WEB内容过滤  (1)
虚拟专用网(VPN)  (1)
无线移动  (1)
语音 VOIP  (1)
SSL VPN 解决方案  (1)
物流行业解决方案  (1)
入侵防护解决方案  (1)
互联网访问及防病毒方案  (1)
数据保密解决方案  (1)
网络视频监控系统解决方案  (1)
流量控制解决方案  (1)
链路负载均衡解决方案  (1)
服务器负载均衡解决方案  (1)
企业网解决方案  (1)
校园网解决方案  (1)
广域网解决方案  (1)
北信源上网行为管理解决方案  (1)
北信源某政府行业解决方案  (1)
最新文章
校园网解决方案
上海向勋网络科技有限公司   2011-02-24 15:19:20 作者:SystemMaster 来源: 文字大小:[][][]
 校园网解决方案

1.校园网特点分析
校园网是利用现代网络技术、多媒体技术及Internet技术等为基础建立起来的计算机网络,一方面联结学校内部子网和分散于校园各处的计算机,另一方面作为沟通学校校园内外部网络的桥梁。校园网为学校的教学、管理、办公、信息交流和通讯等提供综合的网络应用环境。校园网建设应以满足现有的应用系统以及未来一段时间内会出现的应用系统的需求为目标,使有限的资金为学校提供贴切而有效的服务。
校园网的应用系统可以总结为以下几个方面:

  1. 教学科研应用:辅助教师教学,提高教学手段
  2. 办公管理:改善办公条件,提高工作效率
  3. 通信服务:开放内外窗口,树立学校形象
  4. 其它服务:提供增值服务,方便师生生活

作为教育网络,为确保目前各种教育和科研应用以及校园管理和服务应用的要求,结合未来教育面向全社会和教育终身化的发展趋势,在技术设计上应遵循以下原则: 

1)经济合理的总拥有成本
合理的网络系统投入评价标准是网络系统的拥有成本,即网络系统从设计、实施、运行到再次升级这一生命周期所发生的财政投入:
前期设备成本+ 系统维护成本+系统运行成本。

2)高带宽、高性能 
随着网络技术的进步和应用的不断发展,越来越多的多媒体数据透过IP网络传输,只有基于大容量的网络通道结合带宽管理技术的网络才能成功地完成综合业务的传输,应选用易于扩展的高带宽、高性能的先进技术,如千兆位以太、WDM、10G以及先进的路由交换技术,从而既满足目前的需求,又充分考虑未来的发展。

3)高可靠性 
网络系统还应具有高可靠性,除了采用高可靠性的网络设备以外还应考虑物理层、数据链路层和网络层的冗余备份。    

4)可扩展性和可升级性 
系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。 

5)易管理、易维护
由于教育骨干网络系统规模庞大,应用丰富而复杂,需要网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品,以便于管理和维护。

6)高安全性
网络系统应具有良好的安全性。由于教育骨干网络为多个用户内部网提供互联并支持多种业务,要求能进行灵活有效的安全控制,同时还应支持虚拟专网,以提供多层次的安全选择。

7)QoS(质量服务)保证和多媒体应用支持 
教育在语音和视频等多媒体应用方面一直走在社会的前列,这类应用对服务质量的要求很高。QoS(质量服务)需要在网络的端到端进行全盘计划和实施,由于各接入网络和端设备的复杂性与多样性,骨干网必须尽可能地支持各种质量服务技术,特别是最新的技术如MPLS VPN和流量工程,以提供简洁透明的质量服务机制。由于网络中多媒体的应用,如Video Conference、VOD等越来越多,往往会占用大量的带宽资源。所以网络系统应能支持IP Multicast,以节省主干的带宽。对于骨干网络而言,需要对大量的多点广播组进行拓扑计算和路由计算,支持各种多点广播协议特别是多点广播路由协议以及高性能的路由能力非常必要的。

8)用户管理和控制
校园网络包括多种属性的网段和子网络,连接众多的终端用户,对不同类型的用户需实施不同的管理和控制。要求骨干网络能够控制不同子网络的互通和流量走向,接入网络能够实现终端用户控制。 

9)符合国际标准
选用符合国际标准的系统和产品,可以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。

2. Extreme校园网络解决方案 
校园网络建设中的网络结构主要分成以下3个层次:核心骨干层、汇聚层和接入层。在这3个层次的网络设计中,由于应用性质的不同,对网络设备的要求也不相同。 

作为覆盖整个校园范围的园区网络,它要承载校园内各种应用的数据流传输、负责所有信息点的接入。由于覆盖面大,可能遭遇的安全问题、可靠性问题的概率更高。另外,作为承载多种业务的共有数据传输平台,如何更好的实现网络资源的调配、保证各种应用的合理带宽使用就成为网络建设的一个重点。 

由于校园网信息点的地理分布比较范围比较大,因此校园网可以采用2种主要网络结构:双星型网络(图一)和环型网络结构(图二)。当然,也可以根据自己的实际需要将2种网络结构融合在一起使用。 


双星形网络拓扑结构 


环形网络拓扑结构 

在校园网络建设中,我们推荐在网络的骨干层采用Extreme网络公司的全新一代万兆核心交换机BlackDiamond 10808或Aspen 8810构建一个高性能、高带宽的万兆级数据交换平台。若考虑到资金投入的限制,可以采用Extreme网络公司的BlackDiamond 68xx系列千兆线速交换机构建一个千兆级别的数据交换平台。利用Extreme网络设备支持的跨模块端口捆绑技术,可以很方便的实现网络带宽的扩容。

在各楼宇的核心(即网络的汇聚层)采用Extreme网公司的Alpine38xx系列多层交换机以及summit X450和summit i系列交换机组建网络的汇聚层。 
在接入层,我们推荐用户采用Extreme网络公司的summit 200系列多层以太网交换机完成用户的接入。而对于普通用户,我们建议采用国产的二层交换机,以降低成本。 

3.Extreme 解决方案的特色与优势 

1)网络的高可靠性 
Extreme 公司的校园网络解决方案从设备的高可靠性、对应用的高保障性和链路的高可靠性方面都给出了全面的解决方案。它不仅传统的IEEE802.3ad、VRRP、OSPF-ECMP等标准协议提供的可靠性功能,而且还提供诸如:ESRP、EAPS和Hitless failover等高级可靠性技术,为网络提供全面的可靠性保证。 

在网络的核心层、汇聚层和接入层使用的网络设备都支持电源冗余备份配置。

  1. 所有的核心层设备全冗余无单点故障设计。BlackDiamond10808、Aspen8810和BlackDiamond 68xx系列产品均为全冗余设计,支持电源、风扇、管理模块、交换引擎的冗余配置,无任何单点故障。 
     
  2. Hitless Failover 攻击保证交换机在任何情况下均无中断运行。Extreme 独有的hitless Failover 技术保证交换机在升级并启用新版本软件、主备用主控模块切换、或更换其它模块时,均可保证网络继续保持工作,无任何数据流中断的发生。 
     
  3. 新一代万兆交换机BlackDiamond10808、Aspen8810采用自愈式硬件及软件设计,进一步提供系统的容错能力。硬件采用具备ECC能力的内存,智能电路的电源系统,模块是否插紧的监控能力。系统软件产品采用最可靠的模块化Unix操作系统,具有进程死锁发现,重启,进程保护,独立进程内存等技术。由于采用模块化的多进程系统软件,单一进程的故障不会导致整个设备系统的瘫痪,从而保证全面的可靠性。

EAPS技术为物理冗余的网络提供二层小于50毫秒的收敛能力。通过EAPS技术,可以实现在进行链路切换的的时候,不会导致上层路由协议的动荡,从而保证数据流的连续、可靠运行传输。 

2)网络的安全性 
Extreme的校园网络解决方案从用户接入和设备两个层面为用户提供了全面的网络安全保证。Extreme的网络设备支持所有的传统安全技术:ACL、VLAN、IP地址与MAC地址绑定、MAC地址与端口绑定等,为了给用户提供更为全面的网络安全保证,Extreme设备还支持如下的安全特性:

  1. 支持用户接入人证功能。Extreme公司的所有网络设备都支持基于WEB的用户认证技术和IEEE802.1X+EAP标准。通过该功能,网络系统可以控制用户是否能够接入网络和如何使用网络资源,无论用户的终端设备设备是否配置了正确的IP地址,只有使用设备的用户拥有合法的用户帐号才能接入网络,否则,用户是无法接入网络系统的。这样就可以将非法用户屏蔽在网络之外,减少网络收到黑客攻击的可能性。
     
  2. 将用户接入认证功能与第三方的网络安全技术(如:sygate)相结合,网络系统可以在对用户合法性进行认证的同时,还可以对用户使用的终端设备的安全性进行检查,确定终端系统是否存在安全漏洞(如是否安装了最新的“补丁”),若终端系统存在安全漏洞,网络系统将可以强制终端设备进行漏洞修补,然后才允许终端和用户接入到网络。这样就可以大大降低网络受到病毒攻击的概率。 
     
  3. Extreme公司的用户接入认证技术可以将通过认证的用户动态分配到特定的VLAN中,通过对VLAN的控制,最终实现对用户可使用网络资源的控制。 
     
  4. Extreme公司提供的基于WEB的用户认证方式,大大降低了实施用户接入技术的复杂性,用户的终端设备上无需安装特定的客户端软件即可完成用户的接入认证。通过单端口上多用户接入认证技术,可以保证用户接入认证技术的广泛应用以及在异构网络上的实施。 
     
  5. 支持终端设备的接入控制。通过Extreme网络设备上的MAC地址锁定和MAC地址限制功能,网络系统可以控制非法设备的接入,进一步提高网络的安全性。 
     
  6. 强制使用DHCP的能力。在现代校园网络覆盖范围日益扩大和网络结构日益复杂的今天,越来越多的校园网络通过DHCP方式来实现校园内部IP地址的分配,通过DHCP的使用,系统管理员可以更好的实现网络的优化与管理,降低网络管理的复杂度。但校园内部可能出现的无管理下的静态配置IP地址,将导致IP地址的不可管理性,并会导致因IP地址冲突而带来的网络不可用的问题。利用Extreme 网络设备独有的的ARP Learning Disable功能,系统管理员可以针对性地强制网络设备上的某些端口连接的终端设备必须使用DHCP获得的IP地址,否则终端设备不能够接入网络,进而保证网络的安全性。 
     
  7. 内置的防范攻击能力。Extreme公司的网络设备都内置了对DOS攻击、DDOS攻击技术,大大提高了设备抗攻击的能力。 
     
  8. 使用IPDA subnet Forwarding和LPM转发技术。正如大家所了解的,传统三层交换机使用基于流表的方式(IP Host Forwarding)来完成数据包的快速转发。基于流表的快速转发机制要求为每个目的地建立一个转发表项,而流表的建立方式,使得每个新数据流的第一个数据包必须经过CPU进行处理,当网络上出现扫描攻击的时候,会导致流表的快速溢出,引起CPU负载快速上升,并最终导致网络设备性能下降,使得整个网络不能进行正常的数据包传输。通过使用IPDA subnet Forwarding和LPM转发技术,可以大大缩减快速转发表的大小,提高每条快速转发表表项覆盖的范围,从而很好地解决了流表溢出所带来的问题,大大提高了网络系统抗击病毒攻击的能力,提高了网络系统的可靠性,并最终保证了网络的高性能和高扩展性。

Extreme 公司的网络设备采用专门的硬件来完成ACL的处理,保证了用户在使用ACL进行安全控制的同时还能实现全线速的数据包转发能力。利用Extreme 公司的强大ACL功能,用户可以实现以下安全控制保证:

    1. 根据不同用户的IP源/目的/子网地址、第4层源/目的端口、协议类型等决定每个用户可以访问的网络。
    2. 可限制TCP连接为单向方式。
    3. 路由访问策略。控制对BGP、OSPF、RIP、DVMRP、PIM/DM广播和可信赖的源地址的限制。
    4. ICMP响应控制。对ICMP的重定向、port unreachable等功能进行控制。
    5. 同步速率限制(SYN rate limiting)。在服务器负载平衡的transparent和translational模式下,限制试图与服务器建立连接的次数。
    6. 在BlackDiamond 10808上,ACL可以对数据包前120字节内的任何内容进行识别,而该识别能力已经可以作到对数据包中的具体负载进行分析,因此可以完成类似与防火墙的包分析功能,实现对P2P应用(如BT下载)的控制。
    7. 在新一代万兆交换机BlackDiamond 10808和Aspen 8810上使用IF…..THEN….ELSE格式进行ACL的组合,保证了ACL具有更好的逻辑性和控制性。

3)网络的服务质量 
多媒体应用得以在新一代校园网络上实施的重要基础为带宽的大幅扩展和采用硬件包处理技术的设备性能的提高。由于多媒体应用对延迟和抖动的敏感性以及IP网络本身的尽力而为的特点,在保证带宽和性能的基础上,网络平台好要具有良好的QoS保证能力。 

Extreme网络产品提供多种带宽管理方式和策略,不管是核心层、汇聚层还是接入层接入交换机均具有基于物理端口、MAC地址、IP地址、TCP端口等实施带宽控制策略和流量分类管理的能力。 

Extreme产品设计的追求目标之一就是为在以太网和IP技术上提供稳定的QoS能力,其核心层和汇聚层产品的每端口控制队列最少也达到8个,从而可实施粒度更为精细的带宽控制。

通过Extreme公司的IP-TDM技术,可以在网络中定义类似专线的数据通道,保证应用的延迟可控制在固定的数值之内。总之,Extreme公司通过提供完善的QoS保证机制来保障现代校园网作为多业务的同一传输平台,Extreme公司的网络解决方案可以为用户提供以下QoS保障能力:

  1. 非常高的物理QOS队列。BlackDiamod 10808万兆模块支持每板卡128个物理队列,8个出口队列,Aspen8810、BlackDiamond 68xx系列、Alpine 38xx系列和summit i系列交换机则支持每端口8个队列。更多的队列意味着更细的业务类别区别。8个队列意味着8个不同优先级带宽保证的业务类别。 
     
  2. 业务最强的分组分类能力。BlackDiamond 10808能够根据IP数据包前120字节的任一位或组合进行分类。Aspen8810、BlackDiamond 68xx系列、Alpine 38xx系列和summit i系列交换机也能处理到前80字节,因此可以实现最细的业务分类能力,轻易区分不同类型的流量。 
     
  3. 全Diff-Serv标准的分组分类能力。两个交换机均能支持全64个级别的Diffserv分类、重写(remark)标准及8个802.1p分类重写(remark)标准。保证QOS的全网实施且与其它厂家兼容。 
     
  4. 业界唯一的最小带宽保证,最高带宽限速能力。每个QOS队列均能保证最小的保证带宽,及最高的允许带宽,及最高的突发带宽。最小带宽保证低优先级的流量不被“饿死”,最高带宽保证该类流量不超量使用,最高突发带宽允许在网络没有瓶颈时可以以最高带宽使用,达到最高的性能。 
     
  5. 通过Extreme公司的IP-TDM技术,可以在网络中定义类似专线的数据通道,保证应用的延迟可控制在固定的数值之内,从而为IP电话、视频会议、视频监控和实时控制等应用的顺利开展提供良好的保证能力。 
     
  6. 自动QOS映射能力,简化QOS的全网部署。QOS部署要求全网内实施,也就是说QOS起自客户PC,终于服务器,因此接入层交换机还需识别来自PC的QOS标识,然后自动映射到相应的队列,BlackDiamond 10808具备QOS自动映射能力。这样,所有的QOS配置仅需在网络边缘通过网管实施QOS策略。 
     
  7. Extreme的QOS处理,包括识别,分类,标记,重写,队列,调度,限速在内,均为ASIC处理,保证不引入额外的时延。 
     
  8. 通过组合QOS及web/802.1x认证技术,根据不同的用户名指定不同的QOS及带宽等级。

4)网络的可扩展性和灵活性 
信息技术、网络技术的迅猛发展使得新技术层出不穷,设备的更新速度越来越快。因此,实用性强、可扩展、可升级,可在不淘汰现有硬件的条件下能够升级支持未来新技术,对于用户来讲,非常重要。Extreme设备提供了业界领先的灵活性和可扩展性,具体表现在: 

硬件方面

  1. 交换机端口密度和种类的可扩充性:Extreme提供了丰富的产品系列,从核心的骨干设备、中规模的汇聚设备到边缘的接入设备,均有多种容量的机箱选择,可根据网络当前和未来的规模灵活选择。其丰富的多系列产品,提供灵活的交换机端口、槽位、机箱规模和其交换容量的选择性,其中端口配置数量为业内最大,不但可满足当前所有用户的配置要求,同时可满足未来扩展的要求。 
     
  2. 大容量的MAC地址表、路由表 
     
  3. 支持最长掩码匹配路由(LPM)或子网查找技术(IPDA) 
     
  4. BlackDiamond 10808采用业界唯一的T-Flex可编程ASIC技术,保证同一平台将支持新的协议,能够快速升级、更新和支持新技术、新标准,而并不需更换和淘汰硬件,不需要昂贵的硬件升级,从而提供了革命性的投资保护能力。Extreme公司首创的可编程ASIC技术不但提供普通ASIC的高性能,同时具有软件+CPU的灵活性和拓展性,开创了交换技术的新时代。该ASIC可以线速支持几乎所有现有的和新兴的标准:
      1. l     MPLS (多协议标记交换)
      2. l     NAT (网络地址转换)
      3. l     GRE IP-in-IP分组隧道
      4. l     6to4 IPv6到IPv4分组转换
      5. l     IPv6在IPv4中的分组隧道
      6. l     Q-in-Q多标记以太网帧(IEEE工作项目)
      7. l     Ether-in-Ether帧结构
      8. l     HVPLS (IETF工作项目)
      9. l     MPLS承载的以太网 (EoMPLS)
      10. l     组播隧道 (PIM, MSDP等) 
         
  5. 可拓展的可编程流量统计(包括CLEAR-Flow, sFlow和NetFlow功能) 
     
  6. 同一台设备支持多种功能(2、3、4、~ 7层),并不增加成本 
     
  7. 虚拟交换机/虚拟路由器技术:Extreme BlackDiamond10808支持在一台交换机中可以划分出多个彼此完全独立的虚拟交换机或虚拟路由器(VS/VR),每个VR/VS彼此完全隔离、可以使用重叠的地址空间(IP地址)或重叠VLAN ID,可以使用相同的或不同的路由协议,每个VS/VR使用各自的硬件和软件资源,比如,独立的系统进程、独立的内存空间、独立的路由表、MAC地址表。不同的VR/VS之间不能交换任何信息。通过使用VR/VS,可以建立单独的管理网络或单独的客户网络,同时保证任何一个虚拟网络中的问题不会给其它虚拟网络带来负面影响。

软件方面

  1. 所有Extreme I系列交换机都基于相同的底层硬件平台,是用相同的ASIC来实现硬件的二、三、四层交换,也使用相同的软件(固件),因此用户可以非常方便地扩充网络端到端的软件特性,例如QoS,路由、ACL、Security、可堆叠的VLAN,802.1x,速率整形、速率限制,VLAN汇聚等,在用户的需求不断变化、增长的情况下,仍能充分地满足用户需求。同时,ExtremeWare(Extreme交换机的固件)也在不断地发展,以适应不断变化的用户需求,这对于全网使用相同软件的网络系统来说,也具备非常方便、优秀的可扩充性。
     
  2. Extreme EXOS采用基于Unix内核的新型模块化操作系统,能够加载单个功能组件(如OSPF)或软件补丁,而不会破坏其它软件模块的运行,从而最大限度地保证了设备的在线时间。
     
  3. 提供了XML标记接口。XML提供了一种理想的机器间接口语言,可以从客户定义的脚本和工具中简便地、可扩展地管理交换机。用户不仅可以更加简便地实现和调试脚本,而且XML可以隔离不同版本之间的CLI变化,从而保证第三方工具可以简便地适应未来软件版本,而不需全面进行重新处理。 
     
  4. EXOS在业内率先使最终用户能够量身定制系统的命令行界面,满足运行网络的各种要求。通过使用流行的TCL脚本语言,用户可以创建自己的定制命令和宏命令。例如备份配置文件到远程的FTP站点,检查已知的关键服务器的健康状况,使用QoS配置宏命令等等,从而可以大大增强用户有效运行可靠网络的能力。

5)网络的高性能
网络的高性能是所有网络的设计者和使用者所追求的目标,因此网络的性能通常也成为选择网络产品的重要依据。 

其实,网络技术发展到今天,几乎所有网络厂商的产品都可实现‘线速’交换和路由。但是,一个成功的网络不但要能对简单的普通信息传输提供无阻塞的交换,它还必须在一些苛刻的应用环境下表现出应有的性能。比如,当网络中出现病毒攻击、启用ACL等防护措施时,当网络传输不同重要等级的流量并实施QoS机制时、当网络繁忙、但必须对重要通信活动提供优先服务时,当网络对多种通讯技术(如:单播、组播)、多种协议提供同时服务时,大部分的网络产品就不能提供满意的性能。因此,必须综合全面地考核网络产品在上述复杂环境下的性能特性。 

作为高端3层交换技术的领导者,Extreme的每一款产品都代表着业内的最高水平。Extreme产品的高性能得到了众多国际知名评测机构的认可。大量的测试结果表明,Extreme的交换机无论在单播、组播、启用ACL、QoS,在100M、1000M、10000M交换、路由时都表现出杰出的性能。 

著名的第三方测试机构Tolly Group和ZD Labs对Extreme 和其他公司主流产品进行过多方面的测试比较,大量测试结果表明,Extreme的所有交换机的高性能的特点的确是业内当之无愧的领先者,不论是在单播、组播、启用ACL、QoS,在100M、1000M、10000M交换、路由等各种苛刻的环境下都表现出比竞争对手更为杰出的性能。

版权所有:上海向勋网络科技有限公司    电 话:021-60518476  传真:021-34681690 
地址:上海市益文路101号2号楼209室     沪ICP备11004828号