https://www.doczj.com/doc/8314158118.html,
目前,教育信息化已进入应用转型的关键时期。教育信息化建设初期,基
础设施是建设的重点。但是随着基础建设的基本成型、用户对教育信息化
理解的加深,教育行业信息化未来的发展方向已成为亟待解决的问题。
一直致力于教育信息化发展的H3C,也一直在思考着这个问题。而要解决
这个问题,首先需要清楚未来教育行业的发展趋势。H3C在与行业内用户
进行充分交流的基础上,总结出高教领域未来发展目标以及对于教育信息
化建设的要求。
首先,优势学科的建设已经成为未来教育行业用户工作的重点。而优势学
科的建设需要以大量的科技信息资源为依托,这就涉及到一个信息资源
共享的问题。第二,原创型、专利型前沿技术的研究,这是创办研究型大
学的基础。跨学科、跨领域的信息共享非常有利于在交叉学科的原创型研
究。第三、校企合作,科研成果产业化可以有效将其转化为社会生产力。
这就需要实现国际、国内相关学科的研究成果、科技信息的集中共享。第
四,教学方面的改进,更需要借助教育信息化的发展来实现。最后一点,
信息化的示范作用,可以有效对区域行业的信息化发展起到积极的引导和
推动作用。
基于以上认识,H3C将在教育信息化建设中将IToIP理念贯通其中。H3C认
为,以“应用、数据、IT基础资源整合”为核心的新一代数字化校园建设
正在起步,而IToIP理念正是针对教育信息化的这种全新需求而推出的战略
构想,它将“网络、安全、存储、通信、管理”整合为一个全新的数字化
校园解决方案,从而为师生的教学和生活提供更多的方便。而以个体校园
的内部资源整合为基础,对于实现国家跨地域大范围的教育资源互通共享
的目标,IToIP理念在可见的一个阶段内同样具有不可忽视的积极意义。
未来,H3C仍会一如既往的致力于教育信息化建设,以先进的技术、完善
的服务为教育行业用户提供完善的产品、解决方案支持,并携手用户一起
勾画未来教育信息化的蓝图。
携手用户 勾画教育信息化蓝图刊首语
H3C公司副总裁
舒松波
在网络应用环境和趋势发生变化的今天,中国的校园网建设正在从“万兆校园网”向“数字化校园网”过渡,在这一过渡期中,由于部门壁垒、应用分割、数据孤立而形成“信息孤岛”,已经成为各个大学普遍存在的问题,而无处不在的“信息孤岛”也是“数字化校园”建设目标的最大阻碍。对此,华为3Com公司(以下简称H3C)凭借自身的技术实力及创新能力,提出了IToIP理念,为教育信息化面临的新问题做出了切实可行的解决方案。
一个新的教育信息化建设时代正在来临。
IToIP是通过IP技术来实现存储、通信、计算资源整合以及统一管理调度,并能提供开放平台接口,满足合作伙伴及用户的个性化需求。IToIP 技术理念是H3C继2005年推出NGeN战略之后,在不断完善的IP产品线的基础上,针对用户对资源整合与业务架构优化需求的又一次全新突破。对于教育用户而言:构建基于一个开放的IP网络基础平台和IT架构,打造一条服务教育用户的全新价值链,其“融合、开放、价值链”的核心内涵会使得国内大多数高校所存在得“信息孤岛”的问题迎刃而解,承载着IToIP技术理念的校园网将把“网络、安全、存储、通信、管理”整合为一体,从而为师生的教学和生活提供更多的方便。
在“十一五”全国高校发展规划中,电子校务管理系统平台、远程教育、信息资料共享等多项功能都被集中整合在“教育信息化平台”上,消除以往由于部门条块分割而形成的数据孤立的“信息孤岛”现象,以提高现有资源的利用率,H3C凭借自身技术创新优势成功的突破了困扰教育信息化发展的瓶颈,在未来数字化校园的建设中,相信在世界的每一个角落,都能够看到H3C为教育信息化所带来的改变。
消除信息孤岛 构筑数字校园
刊首语
H3C 网络产品部总监
孙德和
IToIP与数字校园建设 05
IToIP与数字化校园
基础网络架构建设 08
专家视点
校园骨干网技术的发展分析自适应的无线网络IPv6校园网建设模式简析H3C数字图书馆解决方案
数字校园管理与优化 24
专家视点校园网络优化管理
N TA网流分析解决方案及其在校园网典型应用论校园多帐号系统的统一管理校园网络管理也疯狂
数字校园的安全防御 42
专家视点
构建IPS防护体系—应对P2P时代的挑战无线校园网的安全防御措施DHCP环境下校园网安全接入浅析数据安全及保护
数字校园的新技术与新应用 60
专家视点
多元化多业务IToIP实验室打造校企合作新模式IP视讯技术为数字校园建设添砖加瓦数字化校园中IP语音业务应用IPv6技术新发展
目录
Contents
IToIP与数字化校园数字化校园背景
近十年以来,全国高校经历了“九五”、“十五”、“211工程”“985工程”的建设,教育行业在各方面都取得了突飞猛进的发展。与此同时,以数字化校园为特征的教育信息化发展更为迅速,各种信息化应用正改变着老师和学生们的工作、学习、生活以及思维方式,引发了教育行业一场新的革命。学校基本的教学教务管理、科研管理、后勤管理、数字图书馆、视频服务系统、办公自动化系统和校园社区服务等应用系统的建设有了初步的规模,“一卡通”业务在很多学校也开始应用。在校师生的认识水平和技术水平上了一个台阶,对于信息化工具的使用已变成为一种自觉和自愿的行为,为“十一五”数字化校园的进一步发展打下坚实的基础。
根据国家及教育部“十一五”规划的总体目标与要求,高校信息化“十一五”规划的基本内容如下:完善校园网络基础设施建设,实现随时随地的上网,整体校园网络高速畅通、安全可信、稳定可靠;完善校园数据共享基础平台的建设,包括全校统一的信息资源库、统一的电子身份认证系统的建设;完善和创新网络教学服务平台,创建和创新网络学术研究创新环境,完善电子校务系统与校园网络文化建设,实现科研成果产业化,提高高校对区域行业的高科技辐射作用。
“十一五”是我国高等学校深化改革与全面发展的关键时期,各高校根据各自的实际情况,也相应地作了未来五年的校园网的发展规划,并提出了更高的要求:建设安全可靠的校园网络平台,优化整合现有数据信息资源,实现整个校园网络的集中统一智能化管理等。应该说,在“十一五”高校信息化发展战略中,信息技术将成为校园的一项核心生产力,成为校园教学科研各项核心业务的最有力的支撑点。H3C作为业界领先的IT产品与全业务解决方案提供商,对教育行业的各种业务及应用有着深刻的理解,在数字化校园建设方面也有着非常丰富的实践经验,特别是H3C提出的IToIP数字化校园解决方案,构建“安全可靠、整合开放、统一管理”的高校数字化校园。我们希望能够以此携手广大的教育行业用户共同迎接“十一五”期间教育信息化工作的挑战。
H3C数字化校园IToIP解决方案
建设一个“安全可靠、整合开放、统一管理”的高校数字化校园,首先要做的就是选择一个统一的协议,校园内的各种数据才能共享,业务才能兼容,资源才能整合;就如同我们都讲普通话,大家才能进行无障碍的沟通。在网络世界,TCP/IP是迄今为止应用最广泛、最成熟、最为开放、标准化程度最高的技术体系,具有简单、开放、灵活扩展、管理和互操作等一系列优势,已经成为当今互联网、电信网、政务网、企业网的主要承载技术。IP协议弹性强,能更好地适应IT网络的各种变化。例如,在校园网建设的早期,大多采用ATM作为校园网骨干,但由于设备比较昂贵以及兼容性等方面的问题,最终退出了校园网舞台,取而代之的是基于IP的网络架构;在存储技术领域,传统的FC技术存在兼容性和扩展性等方面的问题,基于IP 的存储能够更好地实现平台兼容性及业务扩展性,并可实现更灵活的数据服务定制。正是基于这样的潮流,H3C推出了IT On IP(简称IToIP)的理念及整体解决方案。
IT On IP就是基于统一的IP技术来构建IT系统。从技术的发展过程来看,从IP网络、到基于IP的通信、再到基于IP的存储和统一的IT资源管理,基于IP技术构建整个IT系统是IT系统发展的必然方向,H3C正沿此方向提供全面的产品及全业务解决方案。
高明军
IToIP与数字校园建设
(图1)以IP技术为核心的四大产品集群构成IToIP的支撑
IToIP架构对教育用户的价值在于,通过IP技术实现了通信、计算、存储资源整合,通过开放平台提供校园IT业务个性化及优化解决方案,通过IP智能管理中心实现了校园IT资源的全面、精细化管理,构建“安全可靠、整合开放、统一管理”的数字化校园。
基于H3C IToIP技术构架,我们列出了校园IToIP建设提纲,见图(2):
图(2)数字化校园建设提纲
IP自适应安全网络
H3C IToIP 自适应安全网络是一种面向业务的动态安全网络
模型,通过建设与整合各种网络部件的能力(终端、网络设备、安全设备、业务系统、管理控制系统等部件之间的协调联动)实现基于深度业务感知的弹性资源调整以及策略部署,这
些策略主要是安全、可靠性、业务优化等方面。通过这种动态网络模型,IP自适应安全网络可以提供安全可靠保证及校园业务定制能力,有效支撑校园IT业务承载,实现网络资源化及面向业务的架构。
目前,各高校都不同程度地实现了基于IP的校园信息化,建设了校园骨干网、校区互联网、教学办公网、学生宿舍网、图书馆网络等,有的学校还建设了覆盖整个校园的无线网络,从而满足了在校师生在校园内随时随地访问网络资源的需求。
随着各种业务及应用系统承载在校园网平台之上,对网络平台的安全可靠就有了可高的要求。首先是校园网络的边缘安全问题,即用户接入端的安全问题。H3C在接入端首推的三层接入
方案,可以在很大程度上实现用户之间或用户组之间的安全隔离;上网用户身份认证,在确保用户身份唯一之后,如何保证上网用户终端的安全性是广大网络管理人员面临比较头疼的问题。上网用户通过身份证后,如果能够对用户终端PC进行安全评估,如,防病毒库有没有更新,系统补丁有没有及时打上,
终端PC如果存在安全威胁,系统自动将用户隔离并进行修复,使其不影响其他用户。这正是H3C端点安全准入防御EAD所要
解决的问题。
其次是校园网边界的安全,即校园网出口安全保障。校园网络出口是实施网络安全的关键点。为了确保校园网内部不会受到外部安全威胁的干扰,我们不仅要在出口处部署SecPath防火墙系统进行安全过滤与隔离,而且还要对一些业务进行深层分
析,检测出网络病毒、各种渗透攻击、P2P应用等,这就要求
IToIP
视频产品系列
安全产品系列
路由器产品系列 交换机产品系列 WLAN产品系列
存储产品系列
语音产品系列
Neocean IX1000
网络存储系统
Neocean IX5000网络存储系统
H3C SecPath F1800-A
防火墙H3C SecEngine D200
入侵检测系统H3C SecPath 1000
安全网关H3C S9500系列万兆核心路由交换机
H3C S7500系列高端多业
务路由交换机无线局域网控制器/交换机WX4400/1200
H3C AR 46系列智能业务中心路由器IP自适应安全网络
业务自适应、弹性可靠
安全渗透网络
NetEngine 5000E 系列核心路由器TippingPoint IPS 主动式入侵抵御系统
ViewPoint ? 8220宽带可视电话
ViewPoint ? 8066-M
群组终端XE2000语音服务器
H3C VG21-08语音
网关
NBX
商务话音系统
IP通讯
IP集合通信
虚拟化存储
IP存储
H3C WA1208E-AGP 运营型AP
IToIP 与数字校园建设
我们还要在出口处部署深度安全防御系统Tipping Point IPS。只有实现防火墙系统与主动入侵防御系统(IPS)的紧密配合,才能真正实现校园网内部的安全保障。
最后,为了管理和应用优化,需要将整个网络由一个黑盒子的网络变成为一个白盒子的网络。校园网络需要具备一定的透明性,需要对大规模的网络流量进行分析,通过实时的状态信息收集和历史的统计信息分析,了解网络的流量分布,作为实施各种优化措施和QoS方案的基础,保证核心关键业务的运行。这就是H3C NTA网流分析解决方案。
通过上述一系列的技术与管理手段,能最大限度地保证整个校园网络系统的安全稳定及用户业务的不中断,构建“安全可靠”的自适应安全校园网络。
IP存储
目前在校园网中,存储资源依附于应用和服务器,分散在校园网络不同的地方,由于各种原因,一些信息无法共享,导致了资源的浪费,同时也导致了依附于其上的数据无法共享,所以在校园中采用统一的存储系统,是校园网信息实现统一共享的重要手段。
数据资源的存储也存在着标准的选择问题。基于H3C IToIP构架,以开放的IP标准实现校园的数据信息存储是校园信息化建设的最重要的举措。理由如下:建设校园网统一存储,最终的实现方式是校园数据中心的建设。通过校园数据中心的建设,实现了存储、计算资源的整合,实现了数据资源的共享,最终为数据与应用系统的融合提供平台支撑。
校园数据中心的建设不同于其他行业,它是分布式区域数据中心的建设,这一特点既是高校管理模式的需要,也是实现异地容灾备份的需要。同时,不同区域的数据分布式多物理位置存放可满足校园应用对资料高速访问的需求,即大多数的应用需要对于数据的高速并发访问。那么在多数据中心的建设需求下,基于IP 技术将大大降低数据和存储资源的整合难度,并极大的降低总体拥有成本。
IP集合通信
在传统的校园网络当中,校园计算机网络、模拟电话网络、模拟视频监控网络都是各自独立的网络。它们沿着不同的技术路线发展而来,网络、终端、标准、协议、功能等都彼此不同,彼此的网络相互割裂,资源无法共享,各种通信模式无法互通,更勿论整合。IP集合通信改变了校园中通讯系统分割的孤岛状态,利用当前
的开放架构技术,基于目前广泛部署的IP网络,实现了音频、
视频及数据等多种通信模式的整合、实时通信业务与非实时消
息业务的整合、通信技术功能与办公及业务流程的整合。同时
基于开放架构和标准接口,实现业务动态生成及部署。
H3C V2oIP解决方案,能够为用户提供丰富的语音视频通信业
务,满足校园网用户不同的通信需求。
H3C基于IP的校园视频监控系统,也可以非常容易地部署在现
有的校园网络当中,实现视频监控与IP网络的整合。
IP智能管理
IT管理系统的发展趋势是标准化、智能化、统一平台、面向业
务。H3C业务软件产品提供了一个统一的平台架构,将网络管
理、业务管理、用户管理、策略管理等各个部分深度融合,
使各个模块能够互相协调和配合,达到统一面向业务的目的。
这些模块之间的有机组合与分工,形成了IP智能管理中心的框
架。
近几年,随着高校扩招、合并以及大学城的建设的盛行,校园
网建设规模的不断增大,网络设备相应也是越来越多,要将分
布在校园中不同地方的设备管理监控起来,必须选择一套智能
化的网络管理平台。
H3C Quidview网络管理系统采用分布式、组件化、跨平台的开
放体系结构,用户通过选择安装不同的业务组件,可以实现设
备管理、拓扑管理、告警管理、性能管理、软件升级管理、配
置文件管理、VPN监视与部署等多种管理功能。通过Quidview
系统平台可以实现整个校园网络的可视化,建设易于管理的校
园网络平台。
另外,结合用户认证计费系统CAMS、用户端点接入防御系统EAD、网流分析系统NTA以及日志分析审计系统Xlog,形成一
个校园网络安全智能统一管理中心,通过各系统的协调配合,
确保校园网络内部各种业务及应用系统安全可靠地运行。
总结
在面向未来的五到十年的教育信息化的发展浪潮中,将学校的
教学、科研、管理和服务等各项活动全面整合到信息化、数字
化的网络环境中,会是高校信息化建设的主要目标。
H3C的IToIP技术框架,采用以IP为代表的、标准和开放的技
术,构建“安全可靠、整合开放、统一管理”的数字化校园,
必将对高校数字化教学、数字化管理、数字化科研以及师生的
数字化生活带来更为深广的影响。?
IToIP与数字校园建设
随着遍布全球的互联网络技术的发展和普及,数字技术正在改变人类所赖以生存的社会环境,带来了人类生活和工作方式的巨大变化,成为推动社会发展的强大动力。作为培养和造就新世纪人才的校园,也面临同样社会发展的变化趋势,必将引起教育的深刻变革,使教育思想、观念、模式、方法、手段等发生了变化。“数字化校园”则是以校园网为背景的集教、学、管理、娱乐为一体的一种新型数字化的工作、学习、生活环境。
随着校园网络建设发展进入一个新的时期,在构建校园网基础架构时经常面临着一些关键问题,这些问题已经成了现阶段数字校园建设的核心问题。比如:在现阶段高等教育管理体制改革的快速推进下,大学新校区不断扩展,这样一来新并入的校园的网络如何能与主校园的骨干校园网更好地连接;各高校有线网络部署相对成熟时,无线校园覆盖将会是今后数字校园的一种发展趋势。但是由于无线技术自身的特点和校园内错综复杂的环境,我们建设之前必须思考无线网的规划有效性、维护成本,以及如何充分发挥无线网的优势提升数字校园的价值;在校园内构建校园网IPV6平台如何对校园网络基础架构建设起到的积极作用,以及如何提升数字校园的价值。
其实我们仔细思考可以发现,基础网络架构建设看似平常,但它就像一座建筑的地基一样,关系到数字校园核心应用及整体水平,所以上述的那些方面都是我们不得不思考的问题。
?
专家视点
姓名:贾卓生 性别:男 毕业院校:北京交通大学 职称:高级工程师职务:信息中心主任 北京交通大学通信与信息技术专业毕业,高级工程师。现担任信息中心主任、信息办主任。研究领域:
计算机技术与应用:计算机网络、数据库软件工程:网络与数据库软件系统现代教育技术:远程教育、教学辅助设计荣誉:
北京市优秀教师称号、获国家级优秀成果二等奖、铁道部北京交通大学詹天佑科技奖;任中国计算机用户协会网络应用分会副理事长,教育部教育信息化理事会常任理事。
基础网络架构建设
校园骨干网技术的发展分析
随着高等教育管理体制改革的快速推进,近几年各地高校迅速扩建,多校区大学在全国已经是普遍的现象。合并后的多校区大学规模庞大,在校生规模常常达到数万人,并且分布在同一城市相隔数十公里的不同地点,如何有效的对多校区进行管理成为困扰高校管理者的主要问题之一。
在欧美等发达国家,多校区大学都是依靠网络来连接和管理。如美国加州大学有9个各自独立的校区,他们之间通过发达的网络将图书馆、办公室、学生宿舍处处联通,而且与全美的信息网络系统相连接。 通过建设校园骨干网将各个校区互连,可以将不同校区之间的行政、财务、教学、后勤、人事管理集中在一个系统内,树立"一个大学"的意识;通过一套校园网络可以减少不同校区之间学科设置和管理的重复,降低成本;不同校区之间能够实现网上课件的下载共享,在不同的校区精彩讲座、活动能够实现实时连接收看,并进行图书馆语音、视讯的点播等功能,使原本差异明显的校园文化在网络上融为一体。多校区骨干网络的建设对高校在管理和教学两个层面都起到了巨大的支撑作用。
对于如何建设单个校区的校园网,各高校都已经有丰富的经验,但是如何将多个校区进行骨干相连,这是个新出现的课题,下面我们来对几种常见校园骨干网技术进行分析。高速简单连接技术(二层生成树、三层路由)
所谓高速,是指高校租用运营商的裸光纤资源,利用各校区已有的高端交换机,通过增加长距离光口模块的方式,将其连接在一起,其连接带宽一般为千兆,也可以轻松升级到万兆骨干带宽。对所有的高校骨干网建设来说,裸光纤和高速带宽都已经成为共识。
所谓简单,是指其组网采用二、三层的网络技术,从网络结构上来看,就是将原有分校区的核心层变为一个汇聚层,再连接到主校区的核心层交换机。
同时如果是三个或三个以上的校区,一般会采用多校区之间裸光纤首尾相接成环的方式,防止某一段线路故障造成整个网络的中断。
组网技术究竟是采用二层的生成树技术还是三层的路由技术,很多人都发表过不同的看法,但是考虑到校园骨干网究其根本是个承载网,二层的承载技术与三层的承载技术相比,二层相当于仅仅缩短了距离,并不对报文信息进行三层的修改,所适用的范围更广,因此很多高校都采用二层的STP/MSTP技术来组建校园骨干环网。
高速简单连接技术实现成本低,管理习惯与单校区相比基本不变,在过去的几年中被广泛采用。但是随着校园网业务的不断丰富,简单连接技术故障恢复时间长的缺点也日益突出,在骨干网发生故障时,不管是通过三层路由,还是通过二层生成树协议,都需要几秒到几十秒时间才能恢复。根据故障恢复时间对业务影响的分析,如果中断时间超过2秒,语音会话和专线连接业务就会全部中断。因此采用高速简单连接技术的骨干网无法满足IP语音、IP视频教学等实时业务的要求。
殷光磊
基础网络架构建设
快速收敛技术(快速环网保护协议、快速路由收敛)
与高速简单连接技术相比,快速收敛技术同样租用裸光纤资源,采用千兆/万兆高速互连,区别在于采用了二、三层技术都是快速收敛的,例如二层采用RRPP(Rapid Ring Protection Protocol)技术,三层采用快速路由收敛技术,可以在网络出现故障时实现快速收敛,快速恢复业务。
RRPP是一个专门应用于以太网环的链路层协议。它在以太网环完整时能够防止数据环路引起的广播风暴,而当以太网环上一条链路断开时能迅速启用备份链路以恢复环网上各个节点之间的通信通路。和STP协议相比,RRPP协议具有拓扑收敛速度快(低于200毫秒)和收敛时间与环网上节点数无关的优点。根据分析,如果网络中断时间在50毫秒到200毫秒之间,对连接来说丢失的概率小于5%,对信令来说没有影响,因此RRPP能够在网络故障时保护绝大多数的网络连接不中断。
除快速的业务保护以外,RRPP还是一个低成本的实现方案,并不需要更换硬件,可以通过升级软件,在已有的千兆/万兆以太网口上实现快速业务保护。
快速路由收敛技术的故障恢复时间一般不超过1秒钟,比RRPP 要长,并且三层的承载技术比二层承载技术适用范围小,因此快速路由收敛的用户主要集中在运营商。
硬件环网保护技术(弹性分组环)
实践证明,如果网络故障恢复时间不超过50毫秒,所有的网络连接都不会中断,对于实时语音业务来说,50毫秒以内的时间间隔人耳几乎无法分辩出来,对于实时的视频业务,50毫秒的间隔时间人的眼睛也分辩不出来(电影每秒24帧)。因此我们需要的是故障恢复时间在50毫秒以内的技术,同时因为是承载网,我们希望这个技术是二层的。
RPR(Resilient Packet Ring)弹性分组数据环技术是IEEE 802.17工作组标准化的一种新的MAC层技术,是工作在OSI协议栈第二层的介质访问控制(MAC)协议。RPR集IP的智能化、以太网的经济性和光纤环网的高带宽效率、可靠性于一体,提供硬件环网保护,故障自愈时间小于50毫秒。
对于50毫秒故障保护好处我们已经很清楚,除此以外,RPR还具有时延小、不占用环上节点处理资源的优势。举例来说,如果采用路由技术组网,当数据在环上传输的时候,每到一个节点,都需要穿越节点内部的背板总线或交换网板,经过路由的计算查找以及队列调度,再从出口发送出去,就像是汽车在高速公路上每到一个城市,都要从高速公路上下来,进入市区,加油、问路后再回到高速公路,向下一个城市前进。如果采用
RPR技术组网,因为RPR采用目的地址剥离技术,汽车会不出高速公路,在服务区进行加油后继续前进,只有到了目的城市汽车才会下高速公路。这里的高速公路服务区就相当于RPR接口板,市区相当于节点设备的背板和引擎,RPR环上数据在传送过程中不进入中间节点设备的背板和交换引擎,因此不占用环上经过节点的处理资源,并且时延也达到最小。
从带宽方面来说,目前主要的网络设备供应商都可以提供10G、2.5G和GE的RPR接口,用户可以按照自己的需求来选择。
同时RPR是内外环同时传送数据,环上两个节点间单向的最大可用带宽能达到20G,比路由或二层技术传送效率要高。
从上面的技术分析可以看出,真正能够满足校园骨干网要求的技术是故障恢复时间在50毫秒以内的RPR技术,能够在故障发生时不影响任何业务,因此对于规划了IP语音或视频教学的高校用户,我们建议采用RPR技术组建校园网骨干。
如果学校当前对50毫秒故障恢复的需求并不迫切,我们建议采用故障恢复时间在200毫秒以内的RRPP技术,它能够在网络故障时保持绝大部分的连接不中断,同时又不需要额外的硬件投资。待今后有RPR需求时,可以通过增加RPR接口板的方式实现从200毫秒到50毫秒的升级。?
10
基础网络架构建设
自适应的无线网络
想象一下这样一个无线校园网:学生们一边坐在草地上,惬意地喝着饮料,一边通过无线网络自由地与专家、老师进行网上讨论、访问图书馆电子资源;课堂上老师和学生可通过手持无线设备进行自由沟通和交流;奥运会比赛的时候,通过无线,全校所有师生可实时在校内任何地方看到赛事直播.....
这样一个美好的无线校园网的实现,需要一个强有力的无线网络来支撑。当前校园无线网络的规模越来越大,从覆盖范围看,无线从校园局部覆盖扩展到了整个校园内的覆盖,包括室内、室外马路、操场等的覆盖;从无线AP的数量看,也从最初的几个发展到几十个甚至上百个AP。规模的扩大带来了一系列的问题,比如无线设备的部署问题,众多的AP如何进行信道调整、功率调节,AP上的流量如何进行负载分担,如何探测非法AP的接入等等,这许多问题都给无线校园网的部署带来了新的挑战。H3C推出的无线交换机+“瘦”AP+CAMS+无线智能集中网管的自适应无线校园组网方案,在部署、管理以及安全等方面提供了自适应的整体解决方案,很好地解决了无线网络面临的各种问题。
下面比较一下传统无线校园网组网方式以及自适应无线校园网组网方案的区别。
传统无线校园网组网方式
采用FAT AP(“胖”AP)+认证计费系统+网管系统的组网,示意图如下:在这种FAT AP组网模式中,AP通过L2交换机连接到有线网络,所有的相关功能都在AP自身上面来完成,因此称为“FAT” AP,包括动态密钥生成、L2漫游切换、认证终结等。这样对于AP自身的处理能力要求就比较高,需要能够承担起复杂业务,而功能升级是通过升级AP本身的软件版本来实现。
FAT AP的组网特点如下:
AP自身功能较强大,动态密钥生成、L2漫游切换、认证终结等功能都可以在AP自身上完成;
由网管软件对全网AP进行统一集中管理;
802.1x认证终结可以由AP自身来完成也可以由L2/L3交换机或AC来完成,WEB认证可以由L3交换机或AC来完成,配合后台的认证计费系统进行包月计费,或者是基于时长或流量的计费;
由于FAT AP自身的原理特点,它通常适用于规模较小、仅仅是数据接入业务需求的WLAN网络组建,或者是一些局部应用WLAN网络进行热点覆盖的项目。
自适应无线校园网组网方式
FAT AP无线网络只适用于简单的无线校园网初级阶段,即AP
相对较少或者业务需求较简单的校园网环境,但如果校园网的
图1 FAT AP组网模式
黄志远
基础网络架构建设
下在AP分布密集的场所,如阶梯教室、学术报告厅等,接入人数多,AP数量也多,相应的信道调节的工作量也大,自适应信道调节功能,给予无线AP校园网部署更大的智能化,当一个AP加入到已有的无线网络中时,会通过射频探测技术自动检测信道设置,并选择一个和当前信道不相互干拢的信道,免除了手动设置的麻烦,避免了手动设置的失误;此外,各个无线AP还会自动调节相应的功率,使得各个AP信号功率覆盖范围正好能充满整个室内空间。
除此之外,通过无线网管系统,还可根据AP的放置位置和附
近的障碍物情况动态刷新覆盖情况,以及自动计算和部属AP 摆放的位置等。
自适应安全
常规的无线网络安全,是通过诸如MAC过滤,SSID的设置,802 .1X认证以及WEP/AES加密等技术,来保护数据的安全,H3C的自适应无线校园网方案,除了具有传统无线校园网中的安全措施外,还具有其它很多传统无线校园网不具有的自适应
安全措施,例如,无线AP会扫描物理空间以保证没有非法的未经授权的AP接入网络,如果发现有非法AP,无线系统会自动告警,并对非法AP进行隔离,使未通过认证的用户无法通过该AP访问网络,同时调整合法AP的射频功率和信道设置使其能够正常工作,不受非法AP影响。另外可对非法AP进行攻击,在漫游域内由无线交换机决定使用某一个专门AP发攻击
包,此时这个AP就不转发网络流量。也可设定第三方的友好AP,此时第三方的AP可免于被攻击。
另外,每个无线AP都支持两个无线交换机上行互为备份,当其中一个发生故障时快速切换到另外一个无线交换机,保证用户数据不丢失。
图2 FIT AP组网模式
业务或网络符合下列任何特征之一,则应该考虑部署FIT AP解决方案:
安全性要求较高,需要根据用户名对权限进行区分 校园网结构复杂,不适合改造现有网络结构 AP数目过多
需要对无线射频(RF)环境实施监控
有分校区等需要通过无线接入并统一管理 将来扩展无线 IP 语音(VoIP)业务
FIT AP的组网模式是采用FIT AP+ Wireless Switch + 无线网管软件 + 认证计费系统实现组网;无线交换机可以配合认证计费系统实现802.1x和WEB Portal的认证和计费。
FIT AP的组网模式通过将AP上的功能“剥离”出来集中到“Wireless Switch”(无线交换机)上来处理,包括动态密钥生成、认证的终结等,减轻了单个AP的负担和成本;同时,因为增加了Wireless Switch和无线网管系统,Wireless Switch 配合FIT AP能够实现更多的增值业务功能。
下面介绍一下自适应无线校园网组网方式的几个优点所在:
自适应信道调整
传统的无线网络部署,为避免信道之间的互相干扰,需要事前设计好各个AP的信道,并对AP进行逐个配置,同时也要调节AP相应的功率,使其能覆盖到整个需要覆盖的空间。试想一
1
基础网络架构建设
自适应无线漫游
学生可以漫游到校园网的任何一个角落,不用更改配置,也不用重新认证,照常上网。无线交换机之间的配置互相同步,使用户完全感觉不到在漫游,感觉不到接入点AP产生了变化,也感觉不到接入交换机产生了变化。同时,FIT AP方案支持三层的漫游,学校可在校园内开展无线语音业务,由于支持三层漫游,即使是一边在校内跑步一边打电话,也不会影响到通话质量。同时,FIT AP支持802.11e无线QoS标准,可将不同的业务映射到不同的输出队列,保证语音、视频等高优先级应用的服务质量。
自适应负荷分担
图书馆等一些场所,用户数密集,无线AP接入的用户数较多,相应的AP负荷也较大。此时可通过增加覆盖同一区域的AP数量来提高密集用户区域的用户带宽性能,使每台AP都负担一部分用户。H3C FIT AP的负载均衡,可根据用户数的不同,来均衡每个AP上的用户,当两台AP之间挂接的用户数相差4个以上时,新用户接入时会接入到挂接用户数少的AP,否则,用户是随机分配的。
自适应配置下载变更
AP零配置安装,本身不保存任何安全信息,所有信息,比如image软件和配置文件等通过Wireless Switch向AP下发,并可对AP的各项配置参数如射频信道、功率进行自动分配,极大地节省了大规模WLAN网络管理和维护成本,管理员不用再一个个去手工更改AP的配置,只需要在无线交换机上作统一更改即可。自适应网络拓朴
传统无线校园网中AP通过将802.1x认证点起在自身或上行链路的有线交换机上实现认证接入;然而在大规模的WLAN网络中,AP的接入地点数量众多而分散,配置工作繁重,而且采用这种方式无疑将改变已有有线网络的配置;而自适应无线校园网方案中其AP与Wireless Switch之间通过隧道方式通信,认证点起在Wireless Switch之上,而Wireless Switch可以处于网络的任何位置(通常是核心机房),Wireless Switch与AP之间的连接可以是直连方式,也可以是一个二层网络或三层网络(见图3),无需对原有网络进行任何修改,适合于大规模地部署
校园无线网络。
图3:自适应网络拓朴
通过以上的介绍可以看出,部署自适应无线校园网方案将会使
学校在建设无线校园网时如虎添翼,一个“无线校园,无限沟
通,无忧安全”的自适应无线校园网必将有效地对学校的教
学、科研以及师生的日常生活方式产生积极作用,对学校的教
学模式、教学理念及教学管理产生深远的影响。?
基础网络架构建设
IPv6校园网建设模式简析
中国下一代互联网示范项目CNGI(China Next Generation Internet)由国家发展改革委员会牵头,会同信息产业部、科学技术部、中国工程院、国家自然科学基金委员会、教育部等8大部委联合发起的国家级专项。CNGI核心网络建设目标是通过大规模IPv6网络建设的部署实施及商用探索,在未来的几年内,中国将成为以IPv6为基础的下一代网络领域的领先国家。Cernet2从2004年主干网正式开通依赖的稳定运行为下一步的应用试验奠定了基础,为更多的学校提供了一个基于IPv6技术的互联平台,使得各学校具备了自身NGI领域课题研究的先决条件。
因此教育IPv6 CPN驻地网将是目前一个建设的重点。驻地网(CPN)主要指接入单位内部的网络,即指用户终端至网络运营商(ISP)接入节点之间所包含的网络设备,由完成通信和控制功能的用户驻地布线系统组成。本文将围绕在目前的驻地网(校园网)如何构建IPv6网络平台,从构建模式上将会有几种类型,每种类型各自的特点适合什么样的环境进行详细阐述,希望能够和大家进行交流探讨。由于篇幅原因暂不对其他CPN建设要点进行分析。
教育IPv6 CPN的建设模式
全双栈模式
拓扑简述:所有驻地网三层设备均为IPv4/v6双栈设备。为了实现IPv6驻地网,新增1台IPv6出口路由器。 IPv6出口路由器通过GE链路连接原有双栈核心交换机。
实现原理:
驻地网(校园网)中部署双协议栈网络是最理想的方法,如图所示。其中IPv4网络部分与原有校园网IPv4部分融合。这样对于新建的驻地网(校园网)中双栈用户可以同时访问IPv6和IPv4网络。对于双栈终端,IPv4网关和IPv6网关均部署在汇聚3层交换机上。驻地网内所有三层设备由于均是双栈设备,既运行IPv4路由协议也运行IPv6路由协议。不同协议的数据转发路径可能一致,也可以不同。
双栈模式优点:
从技术角度这是最理想的方案,不必为不同类型的用户单独部署网络配置,开销小,管理简单、IPv4和IPv6的逻辑界面清晰。
双栈模式缺点:
由于驻地网原有的网络实际上都是IPv4网络,要建设全双栈网络,必须将原有
周延
1
基础网络架构建设
网络设备淘汰弃用,投资过大,并有不同程度的设备资源浪费。实际上这种模式只适合新建的网络,并不适合所有的情况。
ISATAP隧道
随着IPv6技术的推广,现有的IPv4网络中将会出现越来越多的IPv6主机,ISATAP隧道技术为这种应用提供了一个较好的解决方案。ISATAP隧道是点到点的自动隧道技术,通过在IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。
使用ISATAP隧道时,IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的地址:ISATAP地址。ISATAP地址格式为:Prefix(64bit):0:5EFE:IPv4ADDR (IPv4ADDR即隧道端点的IPv4源地址,形式为a.b.c.d 或者xxxx:xxxx,其中xxxx:xxxx是由32位IPv4源地址a.b.c.d转化而来的32位16进制表示)。通过这个嵌入的IPv4地址就可以自动建立隧道,完成
IPv6报文的传送。
ISATAP隧道可以用于在IPv4网络中IPv6路由器—IPv6路由器、主机—路由器的连接。由于不要求隧道节点具有全球唯一的IPv4地址,可以用于内部私有网络中各双栈主机进行IPv6通信,所以ISATAP隧道适用于在IPv4网络中的IPv6主机之间的通信或IPv4网络中IPv6主机接入到IPv6网络的通信(如下图所示)。如果是内部主机之间通讯,路由器的作用就是给主机自动分配ISATAP地址,主机利用得到的地址与其他主机通信。
在IPv6网络的建设初期,出于投资的考
虑,可能很难实现对原有IPv4网络整体
ISATAP隧道的地址格式
主机—路由器的ISATAP隧道应用
图3. 主机—路由器ISATAP隧道配置举例
升级至IPv6/IPv4双栈的模式,因此多采用将驻地网的汇聚层或出口设备(如,路由器)首先升级至双栈的模式,而汇聚层设备以下仍保持原有的IPv4网络。为实现位于IPv4驻地网内部的双栈主机与其他IPv6网络的通信,或IPv6主机之间的通信,即可采用ISATAP主机—路由器的隧道部署方式。
首先在ISATAP路由器上完成ISATAP隧道的配置(具体配置略),然后在主机上进行相应配置。主机上配置ISATAP隧道非常简单:以Windows XP操作系统为例,在Windows XP上,ISATAP隧道的伪接口通常为接口2,只要在该接口上配置ISATAP路由器的IPv4地址(图中为1.1.1.1)即可完成主机侧的配置。先看看这个ISATAP接口的信息:
C:\>ipv6 if 2
Interface 2: Automatic Tunneling Pseudo-Interface Guid {48FCE3FC-EC30-E50E-F1A7-71172AEEE3AE} does not use Neighbor Discovery
does not use Router Discovery routing preference 1
EUI-64 embedded IPv4 address: 0.0.0.0 router link-layer address: 0.0.0.0
preferred link-local fe80::5efe:1.1.1.2, life infinite link MTU 1280 (true link MTU 65515) current hop limit 128
reachable time 27500ms (base 30000ms) retransmission interval 1000ms
DAD transmits 0
default site prefix length 48
基础网络架构建设
# 可以看到已经自动生成了一个ISATAP格式的link-local地址(fe80::5efe:1.1.1.2)。我们需要设置这个接口所对应的ISATAP路由器的IPv4地址:
C:\>ipv6 rlu 2 1.1.1.1
# 只需要一条命令,这就完成了主机的配置,此时这个ISATAP接口的信息变为:
C:\>ipv6 if 2
Interface 2: Automatic Tunneling Pseudo-Interface Guid {48FCE3FC-EC30-E50E-F1A7-71172AEEE3AE} does not use Neighbor Discovery uses Router Discovery routing preference 1
EUI-64 embedded IPv4 address: 1.1.1.2 router link-layer address: 1.1.1.1
preferred global 2000::5efe:1.1.1.2, life 29d23h53m18s/6d23h53m18s (public) preferred link-local fe80::5efe:1.1.1.2, life infinite link MTU 1500 (true link MTU 65515) current hop limit 64
reachable time 29000ms (base 30000ms) retransmission interval 1000ms DAD transmits 0
default site prefix length 48
根据上述的配置方法,配置ISATAP隧道非常方便,只需要知道ISATAP路由器的IPv4地址就可以完成。(注:这种方法的不足之处是当主机重启后,上述配置会丢失,即ISATAP隧道将中断。)因此可以采用另外一种配置方式:
# 进入网络配置命令行NETSH下
C:\ >netsh
#到 `netsh interface' 命令行下
netsh>interface
#到 `netsh interface ipv6'命令行下
netsh interface> ipv6
#到 `netsh interface ipv6 isatap'命令行下
netsh interface ipv6>isatap
#设置ISATAP路由器的地址
netsh interface ipv6 isatap>set router 1.1.1.1
(注:使用这种方式配置,主机重启后相关配置依然存在,不影响ISATAP隧道的建立和使用。)
1
基础网络架构建设
6to4隧道
和ISATAP隧道一样,6to4隧道也是一种自动构造隧道的方式。6to4隧道是点到多点的自动隧道,主要用于将多个IPv6孤岛通过IPv4网络连接到IPv6网络。6to4隧道通过IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。6to4隧道采用特殊的地址:6to4地址,它以2002开头,后面跟着32位的IPv4地址转化的32位16进制表示,构成一个48位的6to4前缀2002:IPv4ADDR::/48。
6to4隧道只能将前缀为2002::/16的网络连接起来,但在IPv6网络中也会使用像2001::/16这样的非6to4网络地址。为了使这些地址可达,必须有一台6to4路由器作为网关转发到IPv6网络的报文,从而实现6to4网络(地址前缀以2002开始)与IPv6网络的互通,这台路由器就叫做6to4中继(6to4 Relay)路由器。
6to4隧道的作用就是解决孤立的IPv6站点、IPv6子网,在没有Internet提供商提供IPv6服务的情况下的与其他孤立的IPv6站点、IPv6主干网内部站点之间的通信问题。通常在这种情况下,隧道是建立在IPv6子网或者IPv6站点的边界路由器上。起点在源站点的边界路由器上、终点在目的站点的边界路由器上。
因此在实际网络中,这种隧道可以很好地解决IPv6的分支网络间通过IPv4网络建立6to4隧道实现互联。而且由于可以实现6to4 Relay的功能,使得6to4隧道可以在更加复杂的IPv6路由环境下提供IPv6孤岛间的通信。
需要注意的是,因为6to4地址是自动从站点的IPv4地址派生出来的,因此如果
需要6to4隧道穿越IPv4公网时(如,现
6to4隧道的地址格式
6to4隧道的应用
主机—路由器的6to4隧道应用
在的Internet),就要求每个6to4节点必须具有一个全球唯一的IPv4地址。但是通常校园网中主机和出口路由器之间建立隧道,跨越公网的可能性比较小。
基础网络架构建设
还有一种运用模式,如下图所示。与ISATAP隧道的典型应用场景类似,6to4隧道也能提供主机—路由器的隧道部署方式。此时,只要6to4主机与6to4路由器的IPv4路由可达即可实现隧道,并不要求必须是全球唯一的IPv4地址。
首先在6to4路由器上完成6to4隧道的配置(具体配置略),然后在主机上进行相应配置。依然以Windows XP操作系统为例,在Windows XP上,6to4隧道的伪接口通常为接口3。
# 进入网络配置命令行NETSH下
C:\ >netsh
#到 `netsh interface' 命令行下
netsh>interface
#到 `netsh interface ipv6'命令行下
netsh interface> ipv6
#到 `netsh interface ipv6 6to4'命令行下
netsh interface ipv6 >6to4
#设置6to4隧道地址
netsh interface ipv6 6to4>add address 3 2002:201:102::1
其中3是6to4隧道的伪接口,这相当于在路由器上配置隧道口IPv6地址#配置静态路由使PC有到2002::/16的网段
netsh interface ipv6 6to4>add route 2002::/16 3
配置完成后可以看到PC上6to4端口状态如下:
C:\>ipv6 if 3
Interface 3: 6to4 Tunneling Pseudo-Interface Guid {A995346E-9F3E-2EDB-47D1-9CC7BA01CD73} does not use Neighbor Discovery does not use Router Discovery routing preference 1
preferred global 2002:201:102::1, life infinite (manual) link MTU 1280 (true link MTU 65515) current hop limit 128
reachable time 37500ms (base 30000ms) retransmission interval 1000ms DAD transmits 0
default site prefix length 48
注:使用这种方式配置,主机重启后相关配置依然存在,不影响6to4隧道的建立和使用。
配置静态路由的作用是给主机指明到隧道的路由,跟ISATAP的不同,ISATAP主机的地址是自动从路由器获得的、IPv6的网络地址(前64位)与路由器一致,而6to4主机地址是配置获得的,且网络地址与路由器不同,所以必须指定路由。
1
基础网络架构建设
小结
通过与ISATAP主机—路由器隧道相比,6to4主机—路由器隧道在主机上的配置还是相对复杂一些,要求在6to4的主机上配置6to4地址和IPv6路由。操作者必须对IPv6有一定的配置经验,并且能够合理地规划大量用户端的6to4格式IPv6地址。
隧道模式优点:
保护原有投资(不用把原有设备升级换代),原有网络拓扑和路由几乎无需调整,客户端只要简单设置即可访问全球IPv6资源。使用隧道完成的主机—路由器隧道,在主机的配置比较简便易行,只需要确定隧道对端路由器接口的IPv4地址即可,同时对于主机的要求是必须都要有IPv4地址。因此对于用户端而言,配置方面与原有的IPv4环境差异不大,不需为网络中的所有成员重新做地址分配和规划。这种技术非常适合于在一个企业网和校园网中使用,尤其在IPv4仍然是网络主宰的今天。
隧道模式缺点:
隧道技术属于过渡技术,不是最终的理想方案;隧道两端点设备需要花费额外的系统开销。但属于在原有IPv4网络平滑支撑IPv6业务的有效手段。
IPv6透传模式
拓扑简述:
原有网络建设已经成熟稳定,所有驻地网三层设备均为IPv4设备。为了实现IPv6驻地网,新增1台IPv6出口路由器。IPv6出口路由器通过GE链路连接原有IPv4核心交换机。
实现原理:
对于双栈终端,IPv4网关部署在汇聚3层IPv4交换机上。驻地网内所有三层设备由于均是IPv4设备,不能完成对IPv6报文的转发,所以需要把所有含有IPv6终端的VLAN在接入交换机上行方向均设置为802.1q Trunk链路,并把这些VLAN包含于Trunk 。这样做的目的是为了让原有IPv4三层设备将IPv6报文透传到IPv6路由器上,IPv6客户端的网关地址设置为新增IPv6路由器的地址。当IPv4报文时正常转发,IPv4网关将IPv4非广播报文终结,当IPv6报文时则当作VLAN内广播报文透传到上层交换机,直到出口路由器接收到这些IPv6报文,进行统一的全局转发。可以在IPv6路由器上启用抑止广播报文的功能或者删除IPv4协议栈,接收IPv4广播后丢弃惑不处理,部分解决下面由于trunk多个VLAN导致路由器需要处理大量过多IPv4不相关报文的问题。
透传模式优点:
保护原有投资(不用把原有设备升级换代),变向实现类似双栈网络的效果。
透传模式缺点:
对于存在IPv6终端的子网,几乎所有IPv6报文都要类似广播方式影响整个驻地网,占用网络资源、带来一定的安全隐患,原有网络的设置需要较大调整。
基础网络架构建设
附加模式拓扑简述:
原有网络建设已经成熟稳定,所有驻地网三层设备均为IPv4设备。为了实现IPv6驻地网,新增1台IPv6出口路由器。 IPv6出口路由器通过GE链路连接新增双栈交换机,再由双栈交换机把原有接入交换机新配置的上行链路进行汇聚(原有上行链路不变),这条链路需要Trunk所有拥有IPv6终端的VLAN。
实现原理:
对于双栈终端,IPv4网关部署在汇聚3层IPv4交换机上。驻地网内所有三层设备由于均是IPv4设备,不能完成对IPv6报文的转发,所以将原有二层交换机双归属到上层IPv4和IPv6路由交换机。需要把IPv6客户端的网关地址设置为新增IPv6交换机的地址。在新增IPv6交换机上可以不必配置IPv4地址以避免驻地网IPv4报文占用IPv6资源。
附加模式优点:
开销小,管理简单、IPv4和IPv6的逻辑界面清晰,原有网络拓扑和路由几乎无需调整,客户端只要简单设置即可访问全球IPv6资源。
附加模式缺点:
由于原有网络接入交换机剩余上行端口数量和接入交换机到新
增IPv6交换机之间的光纤链路资源不确定,即便有剩余资源,
也需要补充投资。所以此方案可行性不大,可能只有特殊的、小规模的网络适合,在此仅作为一种理论方案探讨。
建议与总结
驻地网建设应当充分考虑原有IPv4网络的情况:
原有设备无法淘汰、链路资源不够丰富、对原有网络的设置不应有大幅调整,这些都是建设IPv6 CPN的重要基础条件。
每个驻地网内部的情况并不统一
有些学校是属于新校区建设,可以考虑直接建设为全双栈模式,适当兼顾只支持IPv4协议栈的终端;对于老校区的原有不支持IPv6的网络建议通过逐步改造的方式来实现CPN,比如先采用隧道模式允许用户访问CERNET2,逐步将不支持IPv6的设备进行换代升级;对于其他的网络可以参考附加模式和透传模式。
出口路由器配置做最大幅度的优化
理论上每个驻地网IPv6出口路由器需要1个上行端口,1个下行端口就完全可实现基本的驻地网。更多端口的扩展性可以利用驻地网内部新增全千兆双栈交换机的方式实现,这样对于内部的IPv6路由可以由高性能的交换机实现,而且可以大幅降低驻地网建设的成本。是否需要这些扩展,是由每个驻地网单位根
据实际情况来决定。?
基础网络架构建设