下一代校園網(wǎng)建設(shè)方案課件

1、下一代校園網(wǎng)建設(shè)方案賽 爾 網(wǎng) 絡(luò) 有 限 公 司技術(shù)服務(wù)業(yè)務(wù)2010年5月7日主要內(nèi)容校園網(wǎng)建設(shè)現(xiàn)狀與需求分析當(dāng)前技術(shù)熱點(diǎn)及發(fā)展影響新一代校園網(wǎng)的設(shè)計(jì)方案主要功能與系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)目的與意義 通過對當(dāng)前校園網(wǎng)建設(shè)狀況的調(diào)研和需求分析，結(jié)合當(dāng)前網(wǎng)絡(luò)信息技術(shù)的最新發(fā)展趨勢和CERNET已有科研成果與解決方案，提出以IPv6為承載協(xié)議的可信、可控可管和可運(yùn)營的多業(yè)務(wù)校園網(wǎng)的建設(shè)方案，為下一代校園網(wǎng)的建設(shè)提供參考與指導(dǎo)。當(dāng)前的技術(shù)熱點(diǎn)與發(fā)展趨勢云計(jì)算物聯(lián)網(wǎng)三網(wǎng)融合下一代互聯(lián)網(wǎng)云計(jì)算是一種基于互聯(lián)網(wǎng)的超級計(jì)算模式。是并行計(jì)算、分布式計(jì)算和網(wǎng)格計(jì)算的發(fā)展是將大量的計(jì)算、存貯等資源集中在一起以服務(wù)的形式向

2、用戶提供的商業(yè)模式。是BPO、ITO、ASP等的發(fā)展目的是將網(wǎng)絡(luò)、計(jì)算、軟件基礎(chǔ)化成泛在的、便利的象水和電一樣的社會基礎(chǔ)服務(wù)提供三個(gè)層次的服務(wù)：IAAS-PAAS-SAAS核心技術(shù)：虛擬化技術(shù)、分布式存貯與資源管理物聯(lián)網(wǎng)IOT (Internet of Things)，通過射頻識別（RFID）、紅外感應(yīng)器等傳感設(shè)備，把物品與互聯(lián)網(wǎng)連接起來，進(jìn)行信息交換和通訊，以實(shí)現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡(luò)。是互聯(lián)網(wǎng)自然的延伸與擴(kuò)展Anytime, Anywhere, Anyone Anything智慧地球，感知中國全面感知、可靠傳遞、智能處理核心技術(shù)：RFID和WSN三網(wǎng)融合電信網(wǎng)、廣播電

3、視網(wǎng)和互聯(lián)網(wǎng)的融合我國的兩大階段性目標(biāo)：2010年至2012年重點(diǎn)開展廣電和電信業(yè)務(wù)雙向進(jìn)入試點(diǎn)，探索形成保障三網(wǎng)融合規(guī)范有序開展的政策體系和體制機(jī)制。2013年至2015年總結(jié)推廣試點(diǎn)經(jīng)驗(yàn)，全面實(shí)現(xiàn)三網(wǎng)融合發(fā)展，普及應(yīng)用融合業(yè)務(wù)。2008年3月提出NGB(Next Generation Broadcasting)采用自主創(chuàng)新的“高性能寬帶信息網(wǎng)3TNet”核心技術(shù)主干帶寬1000G以上，每戶的接入帶寬100M提供高清晰電視、數(shù)字視音頻節(jié)目、高速數(shù)據(jù)接入和話音等“三網(wǎng)融合”的“一站式”服務(wù)2010年IPv6試商用-國內(nèi)運(yùn)營商CNGI試商用項(xiàng)目將建設(shè)完成并進(jìn)入部署階段三大運(yùn)營商為IPv6 Rea

4、dy做好準(zhǔn)備中國電信完成了IPv4向IPv6過渡的技術(shù)調(diào)研、方案制定、設(shè)備終端測試IPv6城域網(wǎng)骨干、接入、業(yè)務(wù)、終端、IT系統(tǒng)等試點(diǎn)：長沙、無錫、廣州、成都以及濟(jì)南5個(gè)城市中國移動完成了PNAT標(biāo)準(zhǔn)的起草以及相關(guān)業(yè)務(wù)的演示，將利用PNAT技術(shù)展開IPv6部署的探索中國聯(lián)通完成了技術(shù)調(diào)研以及廠家設(shè)備測試，正設(shè)計(jì)演進(jìn)方案CERNET2CERNET目前已有的技術(shù)與成果技術(shù)Softwire（RFC4925）：IPv4 over IPv6的隧道技術(shù)SAVI（RFC5210）：真實(shí)源IP地址認(rèn)證技術(shù)IVI：IPv4/IPv6互通技術(shù)成果IPv4/IPv6綜合一體化網(wǎng)絡(luò)管理系統(tǒng)Blackboard教學(xué)系統(tǒng)

5、校園多出口智能網(wǎng)絡(luò)管理網(wǎng)關(guān)華南理工大學(xué)的數(shù)字化校園解決方案郵件系統(tǒng)，門戶管理系統(tǒng)，信息發(fā)布與內(nèi)容管理CMS，統(tǒng)一身份認(rèn)證系統(tǒng)，網(wǎng)絡(luò)管理系統(tǒng)，學(xué)生管理與服務(wù)系統(tǒng)，科研管理系統(tǒng)，就業(yè)管理與服務(wù)平臺 etc.國內(nèi)校園網(wǎng)的發(fā)展歷史始于1995年，比國外晚15年左右，與CERNET的發(fā)展歷程分不開四個(gè)階段初期，1995-2000基礎(chǔ)網(wǎng)絡(luò)建設(shè)：10M/100M以主FDDI，ATM，同軸電纜，雙絞線;網(wǎng)絡(luò)基礎(chǔ)應(yīng)用為主：WEB，BBS，Email, FTP etc.發(fā)展期，2000-20051000M以太網(wǎng); 網(wǎng)絡(luò)應(yīng)用建設(shè): 辦公自動化成熟期: 2005-2010千兆/萬兆；數(shù)字化校園建設(shè)：教務(wù)，教學(xué)，一卡通

6、，IDC建設(shè)下一代校園網(wǎng)：2010-2015為IPv6為特征，千兆/萬兆，建網(wǎng)-用網(wǎng)、管網(wǎng)云計(jì)算，多網(wǎng)融合校園網(wǎng)建設(shè)存在的主要問題安全問題網(wǎng)絡(luò)安全：ARP等攻擊、蠕蟲、病毒；IP地址/帳號盜用、私設(shè)DHCP和代理內(nèi)容安全：過濾、屏蔽不良信息內(nèi)容及網(wǎng)站，實(shí)時(shí)監(jiān)測內(nèi)容安全（如BBS)系統(tǒng)安全：無IDS/IPS或缺乏有效管理管理問題數(shù)據(jù)不統(tǒng)一應(yīng)用不統(tǒng)一管理不統(tǒng)一可運(yùn)營管理不重視運(yùn)營與服務(wù)質(zhì)量（SLA）校園化建設(shè)需求分析層次一：網(wǎng)絡(luò)建設(shè)的需求網(wǎng)絡(luò)訪問（公網(wǎng)，教育網(wǎng)），可靠、可用和足夠的帶寬無線與有線結(jié)合隨時(shí)隨地上網(wǎng)的需求層次二：基礎(chǔ)網(wǎng)絡(luò)應(yīng)用的需求（狹義校園網(wǎng)）BBS，Email，Web，網(wǎng)絡(luò)存貯與計(jì)算

7、層次三：數(shù)字化校園建設(shè)的需求（廣義校園網(wǎng)）數(shù)字化教學(xué)：多媒體教學(xué)、教學(xué)資源庫、網(wǎng)絡(luò)教學(xué)系統(tǒng)、數(shù)字圖書館和虛擬實(shí)驗(yàn)室等數(shù)字化科研：計(jì)算資源、文獻(xiàn)資源、科學(xué)數(shù)據(jù)庫資源、科研設(shè)備資源和專家學(xué)者資源建設(shè)與共享數(shù)字化管理：教學(xué)管理、科研管理、人力資源管理、學(xué)生管理、財(cái)務(wù)管理、設(shè)備資源管理數(shù)字化生活：教育培訓(xùn)、科技成果轉(zhuǎn)讓與咨詢，社區(qū)服務(wù)，網(wǎng)絡(luò)文化服務(wù)下一代校園網(wǎng)的建設(shè)目標(biāo) 建設(shè)一個(gè)既能滿足近期實(shí)際應(yīng)用需求又具有一定技術(shù)先進(jìn)性的，以IPv6為承載協(xié)議的，高速、安全、可用、可信、可控可管的新一代多業(yè)務(wù)校園網(wǎng)。有效支撐數(shù)字化校園的各種應(yīng)用，促進(jìn)校園網(wǎng)教學(xué)、科研工作的發(fā)展。主要特點(diǎn)以IPv6協(xié)議為主要承載協(xié)議安

8、全可信可控可管可運(yùn)營多業(yè)務(wù)承載平臺（多網(wǎng)合一）集中化、一體化、精細(xì)化的綜合管理平臺網(wǎng)絡(luò)架構(gòu)IPv6有線接入CERNET2IPv6無線控制器IPv6網(wǎng)絡(luò)出口IPv6安全監(jiān)測與流量管理IPv6無線接入IPv6邊界路由器IPv6骨干網(wǎng)絡(luò)出口核心匯聚接入校園網(wǎng)建設(shè)系統(tǒng)架構(gòu)業(yè)務(wù)需求校園網(wǎng)綜合管理與業(yè)務(wù)支撐平臺（CNBOSS）數(shù)字化教學(xué)數(shù)字化科研數(shù)字化管理數(shù)字化生活向上支撐數(shù)字校園各業(yè)務(wù)系統(tǒng)高效運(yùn)行基礎(chǔ)設(shè)施有線網(wǎng)絡(luò)無線網(wǎng)絡(luò)網(wǎng)絡(luò)出口數(shù)據(jù)中心認(rèn)證管理資源管理網(wǎng)絡(luò)管理運(yùn)營管理向下支撐校園基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運(yùn)行主要建設(shè)內(nèi)容IPv6校園網(wǎng)建設(shè)基于SAVI的可信校園網(wǎng)建設(shè)基于IVI的IPv4/IPv6互通多業(yè)務(wù)支撐平

9、臺（MPLS）基于流的精細(xì)化流量管理三網(wǎng)融合應(yīng)用多出口智能管理基于云計(jì)算的IDC建設(shè)校園綜合管理運(yùn)營平臺IPv6校園網(wǎng)建設(shè)IPv6 地址， 2001:DA8:/32，可通過CERNET網(wǎng)絡(luò)中心申請/48的地址DNS：AAAA記錄方式，建立純IPv6 DNS服務(wù)器路由協(xié)議：BGP4+，與CERNET2主干網(wǎng)建立BGP連接OSPFv3所有設(shè)備支持IPv6功能應(yīng)用的平滑遷移WWW，媒體服務(wù)器基于IVI的IPv4/IPv6互通針對校內(nèi)個(gè)別的IPv4子網(wǎng)，及校外的IPv4網(wǎng)絡(luò)“IPv4與IPv6互通就是IPv6的殺手級應(yīng)用” 李星老師語IVI技術(shù)是對SIIT和NAT- PT技術(shù)的改進(jìn)是一種基于無狀態(tài)的、

10、可以透明實(shí)現(xiàn)IPv4與IPv6互訪的新技術(shù)兩種轉(zhuǎn)換模式：無狀態(tài)的1:1轉(zhuǎn)換和有狀態(tài)的1:NIVI網(wǎng)關(guān)已產(chǎn)品化IVI網(wǎng)關(guān)的部署兩種部署方式：集中式與分布式，建議集中式部署CERNETCERNET2校園網(wǎng)（IPv4/IPv6）IVI網(wǎng)關(guān)IPv4IPv6基于SAVI的可信校園網(wǎng)建設(shè)常用的用戶認(rèn)證方式: 是對用戶身份的認(rèn)證準(zhǔn)入：802.1x準(zhǔn)出：Web PortalSAVI: 真實(shí)源地址認(rèn)證，是對源IP地址的確認(rèn)接入網(wǎng)真實(shí)源地址驗(yàn)證技術(shù)域內(nèi)真實(shí)源地址驗(yàn)證技術(shù)域間真實(shí)源地址驗(yàn)證技術(shù)結(jié)合802.1X, Web Portal和SAVI的真實(shí)用戶身份與真實(shí)地址認(rèn)證綁定：端口，MAC地址，IP地址，UserID

11、, 權(quán)限實(shí)現(xiàn)源地址和用戶身份可信SAVI實(shí)現(xiàn)模式基于接入網(wǎng)和域內(nèi)(RFC3704:uRPF)真實(shí)源地址驗(yàn)證技術(shù)H3C和銳捷網(wǎng)絡(luò)等廠商的交換機(jī)已支持SAVIDHCP-SLACC模式DHCP-ONLY模式SLAAC-ONLY模式STATIC-ONLY模式下聯(lián)端口：VALIDATION屬性上聯(lián)端口：RA TRUST屬性上聯(lián)端口：DHCPv6 TRUST屬性SAVI交換機(jī)IPv6路由器/三層交換機(jī)DHCPv6SAVI認(rèn)證服務(wù)器基于MPLS多業(yè)務(wù)支撐平臺物理的業(yè)務(wù)應(yīng)用專網(wǎng)一卡通網(wǎng)、財(cái)務(wù)網(wǎng)、安防與視頻監(jiān)控網(wǎng)、有線網(wǎng)存在線路施工復(fù)雜、費(fèi)用高、組網(wǎng)不靈活的缺點(diǎn)基于MPLS技術(shù)來實(shí)現(xiàn)多業(yè)務(wù)支撐平臺高效轉(zhuǎn)發(fā)，快速

12、重路由支持L3 VPN， L2VPN支持MPLS TE功能，實(shí)現(xiàn)IP QoS控制組建安全的虛擬專用實(shí)現(xiàn)全校只有一張物理網(wǎng)目前網(wǎng)絡(luò)設(shè)備廠家的P和PE設(shè)備均可支持MPLS功能基于流的精細(xì)化流量管理基于流（IPFIX）的流量可視化源IP、目的IP、包數(shù)量、字節(jié)數(shù)、源端口、目的端口、協(xié)議、時(shí)間實(shí)時(shí)的統(tǒng)計(jì)與分析實(shí)現(xiàn)應(yīng)用識別與網(wǎng)絡(luò)行為分析Who, When, Where, What, How可視化管理基于流量的準(zhǔn)確計(jì)費(fèi)統(tǒng)計(jì)分析與異常分析 Top N排序：協(xié)議，用戶，IP地址/IP地址段，校內(nèi)/校外，國內(nèi)/國際包大小 ，包數(shù)量多出口智能管理多出口智能路由功能運(yùn)營商地址自動下載與同步多出口智能選路逆向服務(wù)器高效訪問與智能DNS出口安全管理過濾與屏蔽(防火墻功能）防代理攻擊與病毒檢測內(nèi)容安全監(jiān)測流控功能分時(shí)管理P2P應(yīng)用流量優(yōu)先保障VIP應(yīng)用CERNET2ISP2校園網(wǎng)網(wǎng)關(guān)基于云計(jì)算的校園數(shù)據(jù)中心建設(shè)數(shù)據(jù)、存貯、計(jì)算、應(yīng)用的集中化與統(tǒng)一管理節(jié)約資源，提高效率三網(wǎng)融合應(yīng)用校園網(wǎng)應(yīng)該支持有線電視網(wǎng)絡(luò)三網(wǎng)融合的趨勢增加內(nèi)容服務(wù)的要求融合的方向是IP網(wǎng)（一個(gè)網(wǎng)口解決一切）校園網(wǎng)內(nèi)的內(nèi)容轉(zhuǎn)發(fā)：可控組播技術(shù)，P2P技術(shù)等華中理工大學(xué)的案例如下，采用P2P方式內(nèi)容制作IPv6校園網(wǎng)內(nèi)容轉(zhuǎn)發(fā)電視電腦移動設(shè)備有線電視媒體服務(wù)器可控