文档项目一资源1职业技术学院新校区网络解决方案.docx
《文档项目一资源1职业技术学院新校区网络解决方案.docx》由会员分享,可在线阅读,更多相关《文档项目一资源1职业技术学院新校区网络解决方案.docx(47页珍藏版)》请在冰点文库上搜索。
文档项目一资源1职业技术学院新校区网络解决方案
星湘职业技术学院新校区网络解决方案
星湘职业技术学院新校区网络解决方案
1.建设背景
星湘职业技术学院设置有汽车工程学院、机械工程系、电气工程系、信息工程系、经济贸易管理系、现代艺术设计系和商贸旅游系等7个院系,开设有汽车运用、数控技术、机械制造与自动化、计算机网络技术培训等38个专业,建有国家级职业技能鉴定所和再就业培训基地。
在校学生近15000人,教职员工1200余人。
学院建设发展步入了快车道,到2014年,一座投资8亿元,占地850亩,建筑面积40万平方米的现代化校园将建立于星湘先导区,学院将建立成理念一流,管理一流,专业一流,师资一流,质量一流的省内外有影响力的高职院校。
2.网络拓扑结构
图1新校区网络拓扑结构
拓扑描述
本次新校区综合网络设计使用功能分区设计。
如图分为高速安全出口区、网络运维管理区、核心交换区、应用承载服务区、外设区、有线和无线交换接入区。
高速安全出口区:
主要建设有防火墙,流量控制,网络出口引擎三种设备组成,防火墙主要负责网络出口安全功能、流量控制主要负责上网流量分类,管理功能、网络出口引擎主要负载高速路由转发,智能选路功能。
外设区:
外设区主要功能是学校附加应用功能,新校区将部署热点缓存,文件共享柜等设备。
核心交换区:
核心层负责整个学校网络的数据交换,同时也是整个网络的路由交换中心,。
本次设计使用双核心,组建核心虚拟化,形成双核心两两互备,负载均衡的强大功能。
确保网络核心无单点故障。
以增强整体网络的容错和故障隔离能力。
网络运维管理区:
根据校方需求,分别配置认证计费系统和网络管理系统。
认证计费是对接入网络的用户进行认证并根据校方不同需求进行计费。
网络管理系统是对网络中所有硬件设备进行统一集中管理,配置网络拓扑,简单明了定位故障。
应用承载服务区:
根据新校区应用软件的需求,配置3台应用服务器组建虚拟化系统为大小应用分配合理资源,配置2台数据库服务器,配置后端光纤存储网络以及光纤存储用于数据高速存储。
同时配置一台备份设备,用于保护重要数据。
有线和无线交换网络接入区:
根据每栋楼信息点位的多少配置24口或者48口百兆接入交换机,同时配置千兆汇聚交换机,形成网络交换系统。
同时实现全校无线全网覆盖。
实现百兆桌面,千兆汇聚,万兆主干。
3.校园交换网络解决方案
3.1有线交换网络设计
有线网络交换系统设计的基础是全校信息网络信息点统计数据。
本次根据对学校实际信息统计为基础,考虑后续扩容空间,整体规划交换网络为三层架构:
核心层,汇聚层,接入层。
总体思想:
接入层负责全校所有信息点接入,包括有线接入和无线接入,具体分布根据信息统计表为准。
汇聚层负责楼栋信息点汇聚,负责与核心交换机相连。
核心层主要负责整体网络数据快速,稳定传输。
实现百兆桌面,千兆汇聚,万兆骨干。
本次新校区建设规划楼宇有:
实训楼(汽车工程学院、系机械系、电气工程系、现代设计艺术系、经济管理系、信息工程系、商贸旅游系)、学生活动中心、现代教育技术中心、图书馆及办公楼、公共教学楼4栋、体育馆、学生食堂、学生宿舍12栋。
每栋建设的信息点通过接入交换机汇聚到楼栋汇聚交换机,在由楼栋汇聚交换机光纤双链路上联到核心交换机,形成新校园网络交换系统。
如图2所示。
图2新校区有线交换网络设计
3.1.1核心层设计
网络核心交换设备的稳定和安全是整个网络交换的重点,因此核心交换机必须具备优良的性能和高可靠性,必须采用超大交换容量的交换背板,以保证任何情况下网络的每个端口均可具备全线速多层交换能力,能够保证传输带宽和数据传输优化等关键应用,从而为整个网络提供稳定和快速的基础。
充分考虑设备冗余、路由冗余、链路冗余等技术,充分保障网络系统稳定性。
通过2台10万兆平台的高性能核心交换机构建全冗余支持100G骨干网络架构。
各区域汇聚设备采用万兆线路连接到骨干网络设备上,并可在将来扩充为多条万兆链路捆绑的方式,增大区域和骨干网络之间的带宽。
实现校内万兆骨干网络、千兆到楼宇、百兆到桌面的新一代校园网络架构。
在两台10万兆核心之间使用VSU虚拟化的部署方式,实现内部各系部网络的负载均衡和失效冗余,并且当内部网络发生故障时,通过双链路可以实现快速恢复,故障恢复时间达到毫秒级。
从而可以达到构建高速、高效、稳定校园网络的目标。
本次配置锐捷12000系列交换机,如图3所示。
单台配置双电源,单引擎,万兆接口卡,千兆接口卡等。
同时两台核心交换机组建核心虚拟交换系统,提高整体交换性能,确保核心高稳定,高可靠。
锐捷12000系列交换机具备特性如下:
统一交换,融合存储与以太网
RG-S12000CloudComputing系列面向下一代数据中心与云计算的交换机产品线可为服务器提供FCoE(FibreChanneloverEthernet)接入和以太网接入服务,从而帮助用户轻松整合异构的存储网和数据网,减少网络中的设备数量,既能真正实现数据中心网络架构的融合,又能充分保护用户既有投资。
图3RG12000交换机外观
构建无阻塞数据中心CLosNetwork
全线面向下一代数据中心与云计算的交换机产品线均为线速产品,符合数据中心流量“东西走向”的发展趋势,适用于大流量的下一代数据中心。
RG-S12000CloudComputing系列(核心)+RG-S6200系列(万兆接入)+RG-S6000(千兆接入)系列构建从接入到核心真正无阻塞的数据中心网络(ClosNetwork,起源:
贝尔实验室Clos先生设计,用于电话网络,实现无阻塞交换。
ClosNetwork的真正含义是实现整网的无阻塞,而非单一的基于某个产品的无阻塞。
)
RG-S12000CloudComputing系列在业内率先支持40G和100G标准模块,将40G/100G真正落地,帮助用户组建面向云计算的新一代数据中心无阻塞交换网络。
全面的数据中心虚拟化特性
支持业界领先的VSU2.0虚拟化技术,将多台物理设备虚拟化为一台逻辑设备,统一运行管理,大幅减少网络节点,降低网络运维管理人员工作量。
增加网络可靠性,实现50~200ms链路故障快速切换,保障关键业务不中断传输。
支持跨设备链路聚合,方便接入服务器/交换机实现双活链路上联,网络有效连接带宽成本增长。
锐捷网络还对已成熟应用的VSU虚拟化技术进行大幅技术升级:
所有高性能接口线卡上都集成了专用VSU硬件处理电路,并具备建立VSL(VirtualSwitchLink,虚拟交换链路)能力,提升用户选配设备灵活性;VSL最大链路带宽达到2.56T,高居业界第一,彻底消除虚拟交换成员间带宽瓶颈。
支持VRF虚拟化特性,实现数据中心网络一变多,保障多业务安全隔离。
支持IEEE802.1qbg标准定义的VEPA(VirtualEthernetPortAggregator,虚拟以太网端口聚合),能够将服务器虚拟机产生的数据流牵引到物理网络设备上进行“硬交换”,让虚拟机交换功能重新回归到网络设备,既解决了虚拟机流量无法监管、访问控制策略无法统一部署等问题,又消除传统“软交换”对服务器资源的占用,使下一代数据中心网络解决方案更好适应虚拟化计算环境。
支持虚拟机感知及安全策略自动迁移,有效实现大规模服务器虚拟化应用环境中虚拟机流量的安全控制策略统一部署,并通过数据中心网络管理平台配合数据中心交换机、虚拟机管理控制平台,实现虚拟主机全网范围内自由迁移时对应安全控制策略的同步迁移,消除服务器虚拟化环境中网络安全漏洞,减少网络维护工作量。
构建TRILL透明交换网络,为虚拟化云计算奠定基础
成长中的数据中心至少要面临三个网络方面的挑战:
更大的带宽、更灵活的组网和更简单的管理。
IETF最新制定的TRILL(TransparentInterconnectionofLotsofLinks,多链接透明互联)标准协议,便一举解决了这三个问题。
TRILL引入类似IS-IS的路由机制,二层数据报文按最短路径转发,并引入TTL消除网络内二层环路,大幅增加网络稳定性。
数据中心内使用TRILL协议实现超大规模二层组网,可提升用户业务部署灵活性,并扩大虚拟机迁移范围。
TRILL组网下,所有数据流量基于SPF及ECMP实现快速转发,解决传统STP协议中存在的次优路径问题,并且不阻塞任何端口,带宽利用率提升至100%。
包括RG-S12000系列在内,锐捷网络全线新一代数据中心与云计算交换机产品均硬件芯片支持TRILL协议,全线产品通过TRILL协议通讯,可有效简化网络设计,提高网络可扩展性和弹性,并为构建一个大型的虚拟化云计算网络奠定基础。
绿色环保设计
RG-S12000系列支持对电源的智能管理功能,并采用了高效的电源系统架构设计(DC-DC电源转换模块)实现高达95%的电源转换效率有效节能。
独有的电源监控功能,保证用户可根据实际使用状况按需安装电源;可以支持单板顺序上电(降低单板同时上电带来的电源冲击,提高设备寿命,降低电磁辐射),可以控制单板下电,隔离故障/空闲单板,降低系统功耗。
智能风扇设计风,采用高效的温控调速调速风扇,支持无级调速。
系统可以自动收集单板温度,根据设备实际情况计算风扇调速曲线,并将调速命令下发到风扇框。
系统支持风扇状态监控(转速监控、故障告警等)可以根据环境温度、单板配置自动分区调速,降低设备功耗和运行噪声,有效降低环境噪音并延长风扇寿命。
RG-S12000系列支持能效以太网功能,遵守国际标准的IEEE802.3az,为用户减少电源消耗。
同时还支持内部端口的自动检测,当某槽位未配置接口板时,或者端口未连接线缆时候,系统可以自动关闭相应的内部端口,节省了整机功耗。
采用超低功耗芯片,数据中心交换机系列交换机在芯片选择时,大都采用65nm工艺设计的芯片,相比传统交换机,节省20%以上的能耗。
RG-S12000系列支持内部端口的自动检测,当某槽位未配置接口板时,或者端口未连接线缆时候,系统可以自动关闭相应的内部端口,节省了整机功耗。
采用超低功耗芯片,数据中心交换机系列交换机在芯片选择时,大都采用65nm工艺设计的芯片,相比传统交换机,节省20%以上的能耗。
电信级可靠性保护
1.无单点故障设计
采用无源背板避免机箱出现单点故障;所有关键器件,如引擎、电源、风扇和Crossbar等均采用冗余设计;双引擎切换时实现万兆数据业务不中断转发,有效保证网络稳定。
所有单板和电源模块支持热插拔功能,并且对其它单板上运行的业务无影响。
支持电源冗余,支持内置冗余电源模块和模块化风扇组件,所有接口板,电源模块以及风扇模块均可以热插拔而不影响设备的正常运行。
此外整机还支持电源和风扇的故障检测及告警,可以根据温度的变化自动调节风扇的转速,更好的适应数据中心的环境。
还具备设备级和链路级的多重可靠性保护。
采用过流保护、过压保护和过热保护技术。
2.弹性以太网技术
RG-S12000CloudComputing系列支持RERP技术(快速以太网环保护协议),融合了SDH故障自愈的高可靠性与以太网的经济性、高带宽等优势,在RERP网络上扩展支持IPv4/IPv6路由协议、MPLS功能,可以保障万兆线速业务情况下小于50ms的故障切换时间,保证语音、视频等实时业务不受网络收敛影响。
RG-S12000CloudComputing系列支持REUP技术,在扩展支持IPv4/IPv6路由协议、MPLS功能的情况下,保证双链路上联网络拓扑的业务毫秒级快速切换。
当网络上承载多业务、大流量的时候也不影响网络的收敛时间,保证业务的正常开展。
3.路由协议的高可靠保障
RG-S12000CloudComputing系列支持OSPF/IS-IS/BGP的优雅重启技术(GracefulRestart),提供毫秒级的切换时间;支持ECMP/WCMP,可帮助用户使用多条链路,不仅增加了传输带宽,并且可以无时延无丢包地备份失效链路的数据传输,实现流量的负载均衡及冗余备份;支持动态路由协议、跨板端口聚合、虚拟路由冗余协议(VRRP)等保护机制,有效保证全网高速可靠运行。
全面的IPv6解决方案
RG-S12000CloudComputing系列线卡分布式实现IPv6业务硬件处理,支持万兆IPv6业务线速转发。
全面支持IPv6协议族及编址结构,支持ND(邻居发现)、ICMPv6、PathMTUDiscovery、DNSv6、DHCPv6等IPv6特性。
RG-S12000CloudComputing系列全面支持IPv6静态路由、RIPng、OSPFv3、BGP4+等IPv6单播路由协议,支持MLDv1/v2、MLDSnooping、PIM-SMv6等IPv6组播特性,为用户提供完善的IPv4/IPv6解决方案。
RG-S12000CloudComputing系列支持丰富的IPv4向IPv6过渡技术,包括:
IPv6手工隧道、自动隧道、6to4隧道、ISATAP隧道等隧道技术,保证IPv4网络向IPv6网络的平滑过渡。
RG-S12000CloudComputing系列支持丰富的IPv6管理特性,支持SNMPv6、Ping/Traceroutev6、IPv6TACACS+/RADIUS、Telnet/SSHv6、NTPv6,满足纯IPv6网络设备管理的需要。
IPFIX流量透明化方案
RG-S12000CloudComputing系列交换机在业内率先支持最新一代国际流量监控标准IPFIX(IPFlowInformationExport),符合国际标准发展趋势,并向下兼容Netflowv9。
IPFIX多业务模块采用高性能的NP平台,支持万兆业务流量的监控。
结合锐捷流量分析系统,IPFIX技术可以对网络中的所有流量进行统计分析和异常检测,输出各种丰富的网络流量分析报表,包括:
流量使用报表、历史报表、接口报表、可解析的主机地址、流量分析、变量显示等信息,能够帮助管理员在网络异常行为发生时快速分析出网络中存在的问题,为网络容量规划、网络应用监控以及故障诊断等提供客观准确的决策依据,实现真正的网络流量可视化。
IPFIX多业务模块作为独立业务灵活扩展到锐捷交换机中,采用独立的硬件平台,保证在多业务模块进行维护或故障的情况下,核心设备数据业务正常转发,保证了核心设备的高可靠。
应用数据安全防护
锐捷网络防火墙模块是业内第一款真正的超万兆高性能防火墙模块,可应用于RG-S12000CloudComputing系列交换机。
集成了防火墙、应用安全域、虚拟防火墙和NAT地址转换等一系列功能,将网络与安全设备进行真正的融合,提升了核心交换的安全控制能力,为用户的业务结合其网络提供全面的安全防护。
锐捷网络防火墙模块能提供外部攻击防范、内网安全、状态检测等功能有效的保证网络的安全。
实时检测各种网络业务连接状态,并提供邮件告警、攻击日志、流日志和网络管理监控等功能,协助用户进行网络管理。
其产品与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。
3.1.2汇聚层设计
汇聚层是楼栋的信息汇聚点,是连接接入层和核心层的网络设备,为接入层提供数据的汇聚\传输\管理\分发处理,汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等。
通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层.汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。
汇聚交换机需要提供高密度的GE光\电接口,汇聚接入交换机的流量,上行支持万兆,通过10GE接口连接到核心交换机。
同样汇聚交换机采用链路聚合技术将光接口进行捆绑,然后分别连接核心交换机和接入交换机。
在每个楼栋汇聚节点部署一台汇聚交换机,每台汇聚交换机通过2条万兆单模光纤分别上行连接至2台核心交换机,实现单台双万兆上行,即通过2条光纤进行链路备份,同时通过核心、汇聚端到端的链路聚合技术将上行双万兆链路捆绑,带宽倍增,减少网络收敛比。
汇聚交换机至各区域接入交换机采用千兆双绞线互联。
同时每台汇聚交换机配置双电源,确保楼栋汇聚交换稳定工作。
本次新校区汇聚交换机使用锐捷RG-S5750-E系列。
如图4所示。
图4RG-S5750-E系列交换机外观
RG-S5750-E系列交换机是锐捷网络推出的融合了高性能、高安全、多业务的新一代三层交换机。
全千兆的端口形态,加上可扩展的高密度万兆端口,提供1:
1全线速多层交换,特别适合高带宽、高性能和灵活扩展的大型网络汇聚层,中型网络核心,以及数据中心服务器群的接入使用。
业界领先的虚拟交换单元技术(VirtualSwitchUnit),可以简化您对网络的管理,提升您网络架构的稳定性。
不仅如此,RG-S5750-E系列出众的安全性能和丰富的防攻击功能,全方位的保障您的网络安全,为您带来非凡的极速网络体验。
同时满足不同楼栋接入交换机连接汇聚交换机的接口需求和接口类型需求。
特性如下:
高性能
万兆端口为“千兆汇聚,万兆核心”提供可能,适应了网络应用高速发展,网络带宽不断增加的需要。
而万兆端口的可扩展性既方便用户现在使用万兆网络,也方便用户后续升级网络到万兆。
IPv4/IPv6双协议栈多层交换
硬件支持IPv4/IPv6双协议栈多层线速交换,硬件区分和处理IPv4、IPv6协议报文,可根据IPv6网络的需求规划网络或者维持网络现状,提供灵活的IPv6网络通信方案。
支持丰富的IPv4路由协议,包括静态路由、RIP、OSPF、BGP4等,满足不同网络环境中用户选择合适的路由协议灵活组建网络。
支持丰富的IPv6路由协议,包括静态路由、RIPng、OSPFv3、BGP4+等,不论是在升级现有网络至IPv6网络,还是新建IPv6网络,都可灵活选择合适的路由协议组建网络。
灵活完备的安全策略
具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击,如预防DoS攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等,还网络一片绿色。
支持基于硬件的IPv6ACL,即使在IPv4网络内有IPv6用户,也可轻松在网络边缘实现对IPv6用户的访问控制,既可允许网络内IPv4/IPv6用户并存,也可以对IPv6用户的访问权限进行控制,比如限制对网络敏感资源的访问等。
业界领先的硬件CPU保护机制:
特有的CPU保护策略(CPP技术),对发往CPU的数据流,进行流区分和优先级队列分级处理,并根据需要实施带宽限速,充分保护CPU不被非法流量占用、恶意攻击和资源消耗,保障了CPU安全,充分保护了交换机的安全。
硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定,严格限定端口上的用户接入或交换机整机上的用户接入问题。
支持DHCPsnooping,可只允许信任端口的DHCP响应,防止私设DHCPServer的欺骗;并在DHCP监听的基础上,通过动态监测ARP和检查用户的IP,直接丢弃不符合绑定表项的非法报文,有效防范ARP欺骗和用户源IP地址的欺骗问题。
基于源IP地址控制的Telnet设备访问控制,避免非法人员和黑客恶意攻击和控制设备,增强了设备网管的安全性。
SSH(SecureShell)和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备。
控制非法用户使用网络,保证合法用户合理化使用网络,如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。
强大的多业务支撑能力
支持IPv4、IPv6组播功能,包含丰富的组播协议。
比如IGMPSnooping、IGMP、MLD、PIM、PIMforIPv6、MSDP等协议族,为IPv4网络、IPv6网络、IPv4和IPv6共存的网络提供了组播服务支持。
支持IGMP源端口和源IP检查功能,有效地杜绝非法的组播源,提高网络的安全性。
支持等价路由(ECMP)等丰富的三层特性和业务特性,满足不同网络链路规划下的通信需要。
支持丰富的MPLSVPN功能。
智能侦测MPLS断网,智能选择冗余线路保持MPLSVPN的连通性。
支持在三层MPLSVPN中作为PE,MVRF使用。
支持国际流量监控标准IPFIX(IPFlowInformationExport),结合锐捷流量分析系统,IPFIX技术可以对网络中的所有流量进行统计分析和异常检测,输出各种丰富的网络流量分析报表,包括:
流量使用报表、历史报表、接口报表、可解析的主机地址、流量分析、变量显示等信息,能够帮助管理员在网络异常行为发生时快速分析出网络中存在的问题,为网络容量规划、网络应用监控以及故障诊断等提供客观准确的决策依据。
完善的QoS策略
具备MAC流、IP流、应用流等多层流分类和流控制能力,实现精细的流带宽控制、转发优先级等多种流策略,支持网络根据不同的应用、以及不同应用所需要的服务质量特性,提供服务。
以DiffServ标准为核心的QoS保障系统,支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑。
高可靠性
支持生成树协议802.1D、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率。
支持VRRP虚拟路由器冗余协议,有效保障网络稳定。
支持RLDP,可快速检测链路的通断和光纤链路的单向性,并支持端口下的环路检测功能,防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。
支持ERPS(G.8032),国际标准为核心以太网设计的二层链路冗余备份协议,其环路阻断以及链路恢复都集中在主控设备上进行,非主控设备直接向主控设备汇报自己的链路情况,无需经过其他非主控设备的处理,因此环路中断以及恢复时间比STP快。
基于以上区别,ERPS在理想环境下的链路恢复能力能够达到百毫秒级。
在不启用STP的情况下,可以通过REUP(RapidEthernetUplinkProtectionProtocol)提供一个快速上链保护功能,REUP使得用户在关闭STP的情况下,仍提供基本的链路冗余,同时提供比STP更快的毫秒级故障恢复。
支持BFD,为各上层协议如路由协议,MPLS等提供一种快速检测两台路由设备之间转发路径连通状态的方法,大大减少了上层协议在链路状态变化时的收敛时间。
3.1.3接入层设计
接入区主要是负责本校区内的信息点互联起来,为各个信息点提供layer2层接入功能。
使用百兆接入的全网管交换机,实现百兆用户到桌面。
接入层主要完成以下功能:
结合webportal认证系统,部署802.1.X协议,实现“入网身份认证,也可升级实现主机健康检查、网络安全事件监控与主动防御”。
通过VLAN定义实现业务划分。
实现QoS,对数据包进行分类和标记。
接入网设备全部采用百兆链路上连汇聚设备,以保证接入网连接汇聚网的带宽要求。
接入网作为用户终端接入校园网的接口,在为用户终端提供高速、方便的网络接入服务的同时,需要对用户终端进行入网认证、访问行为规范控制,从而拒绝非法用户使用网络,保证合法用户合理使用网络资源,并有效防止和控制病毒传播和网络攻击。
当前的数据网安全正遭受严峻挑战,病毒、外部入侵(黑客)、拒绝服务攻击、内部的误用和滥用,以及各种灾难事故的发生,时刻威胁着网络的业务运转和信息安全。
但与此同时,大多数正在使用的网络安全系统都缺乏真正的全局防护能力。
当网络受到来自各方面的攻击时,整个网络系统的稳定性将无从谈起,可以看出
升级会员 