南通大學(xué)網(wǎng)絡(luò)建設(shè)方案

南通大學(xué)校園網(wǎng)優(yōu)化

技術(shù)方案建議書

juniper

1NETWORKS

瞻博網(wǎng)絡(luò)

2010年10月

目錄

第一章綜述.....................................................................4

1.1.項(xiàng)目概述..........................................................4

1.2.建設(shè)目標(biāo)..........................................................5

1.2.1.合理的網(wǎng)絡(luò)結(jié)構(gòu)................................................7

1.2.2.先進(jìn)性和實(shí)用性................................................7

1.2.3.網(wǎng)絡(luò)的可擴(kuò)展性................................................7

1.2.4.網(wǎng)絡(luò)的可靠性..................................................8

1.2.5.網(wǎng)絡(luò)的標(biāo)準(zhǔn)化..................................................8

1.2.6.網(wǎng)絡(luò)的可管理性................................................8

第二章網(wǎng)絡(luò)方案建議及設(shè)計(jì).......................................................9

2.1.設(shè)計(jì)思路..........................................................9

2.2.組網(wǎng)原則.........................................................11

2.3.拓?fù)湓O(shè)計(jì).........................................................14

2.3.1.校園網(wǎng)設(shè)計(jì)..................................................14

2.32總體架構(gòu)規(guī)劃.................................................17

2.4.網(wǎng)絡(luò)部署和業(yè)務(wù)控制方案...........................................22

2.4.1.用戶的隔離、終結(jié).............................................22

2.4.2.用戶的互訪控制...............................................23

2.4.3.有線無線一體化的實(shí)現(xiàn).........................................24

2.4.4.IPv4/IPv6雙棧的實(shí)現(xiàn)..........................................25

2.4.5.IPv6組播業(yè)務(wù)的部署..........................................26

2.4.6.用戶的精細(xì)化管理的實(shí)現(xiàn).......................................27

2.4.7.用戶認(rèn)證計(jì)費(fèi)的實(shí)現(xiàn)...........................................30

2.4.8.簡化校園網(wǎng)維護(hù)管理工作量.....................................31

2.5.QoS服務(wù)質(zhì)量保證設(shè)計(jì)............................................32

2.5.1.QoS概述.....................................................32

2.5.2.實(shí)現(xiàn)QoS的方法...............................................36

2.5.3.基于QOS選路MPLSTrafficEngneering...................................................38

2.5.4.Juniper路由器的QoS實(shí)現(xiàn).....................................39

2.5.5.QoS的實(shí)施建議...............................................42

2.6.IPv6............................................................................................................................42

2.6.1.IPv6概述.....................................................42

2.6.2.IPv6對原有IPv4網(wǎng)絡(luò)的影響...................................43

2.6.3.南通大學(xué)校園網(wǎng)IPv6的部署...................................47

2.7.MPLSVPN...............................................................................................................48

2.7.1.三層MPLSVPN業(yè)務(wù)..........................................48

2.7.2.二層MPLSVPN業(yè)務(wù)..........................................49

2.7.3.VPLS.................................................................................................................51

2.7.4.不同介質(zhì)的二層VPN互聯(lián)......................................51

2.7.5.南通大學(xué)校園網(wǎng)MPLS/BGPVPN實(shí)施建議.......................52

第三章網(wǎng)絡(luò)安全方案............................................................55

3.1.網(wǎng)絡(luò)設(shè)備安全.....................................................55

3.2.網(wǎng)絡(luò)管理系統(tǒng)的安全...............................................56

3.3.網(wǎng)絡(luò)業(yè)務(wù)的安全...................................................57

3.4.數(shù)據(jù)傳輸?shù)陌踩?..................................................57

3.5.用戶網(wǎng)絡(luò)的安全...................................................58

3.6.安全實(shí)施建議.....................................................59

第四章網(wǎng)絡(luò)的可靠性............................................................61

4.1.設(shè)備的可靠性保證.................................................61

4.2.網(wǎng)絡(luò)結(jié)構(gòu)的可靠性.................................................62

4.3.鏈路的冗余保護(hù)...................................................62

4.4.MPLSLSP的可靠性...............................................62

第五章網(wǎng)絡(luò)的自愈與恢復(fù)........................................................66

5.1.概述.............................................................66

5.2.GracefulRestart（平滑重啟）..........................................66

5.3.OSPF快速收斂....................................................68

5.4.BGP和轉(zhuǎn)發(fā)層面的快速收斂分析....................................69

55MpLS/LDP的網(wǎng)絡(luò)快速收斂........................................70

第六章方案特點(diǎn).................................................................71

6.1.高可用性.........................................................71

6.2.高性能...........................................................71

6.3.高安全性.........................................................71

6.4.高度的開放性與標(biāo)準(zhǔn)化.............................................71

6.5.易維護(hù)...........................................................72

6.6.業(yè)界最完整的MPLSVPN支持.....................................72

6.7.業(yè)界最完整的組播支持.............................................72

6.8.支持豐富的增值業(yè)務(wù)..............................................72

6.9.業(yè)界最為全面的IPv6功能..........................................73

第一章綜述

1.1.項(xiàng)目概述

全球信息化，這是一個(gè)不可阻擋的歷史進(jìn)程。這場信息化浪潮，不僅推動(dòng)著

世界經(jīng)濟(jì)的高速發(fā)展，也在引起人們生活習(xí)慣、工作方式、價(jià)值觀念以及思維方

式等諸多方面的深刻變革，從而進(jìn)一步促進(jìn)人類社會(huì)的巨大進(jìn)步。

作為科教興國的核心一一教育，其信息化的建設(shè)更是顯得尤為重要。從1993

年，國家就開始著手建立中國教育科研網(wǎng)（CERNET）骨干網(wǎng)絡(luò)，到后來的各省

的教育信息化網(wǎng)絡(luò)的建設(shè)，中國的教育信息化在經(jīng)歷著一個(gè)快速發(fā)展的時(shí)期。

南通大學(xué)校園網(wǎng)絡(luò)是以計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)為基礎(chǔ)的區(qū)域教育信息化集成應(yīng)用

系統(tǒng)。它是以計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)為基礎(chǔ)、以網(wǎng)絡(luò)教育資源與網(wǎng)絡(luò)教育軟件為核心、

以構(gòu)建現(xiàn)代教育和管理模式為目的、以提高教學(xué)與管理效益為根本、為南通大學(xué)

教育信息化提供全方位服務(wù)的教育網(wǎng)絡(luò)。

隨著教育信息化進(jìn)一步深化，南通大學(xué)校園網(wǎng)絡(luò)規(guī)模很大；同時(shí)互聯(lián)網(wǎng)的發(fā)

展又極為迅速，各種網(wǎng)絡(luò)應(yīng)用曾出不窮，這對校園網(wǎng)建設(shè)提出了更高的要求。

一方面，校園網(wǎng)的大部分用戶是面向?qū)W校各級系統(tǒng)的，而目前校園網(wǎng)中大部

分流量都是用戶和應(yīng)用系統(tǒng)使用造成的，尤其是大量使用多媒體文件共享及其它

帶寬密集型應(yīng)用，從而消耗大量校園網(wǎng)帶寬和教育科研網(wǎng)骨干網(wǎng)帶寬，南通大學(xué)

校園網(wǎng)也面臨同樣的問題，在網(wǎng)絡(luò)應(yīng)用不斷擴(kuò)展、網(wǎng)絡(luò)用戶不斷增加、接入系統(tǒng)

不斷擴(kuò)充的情況下，網(wǎng)絡(luò)擁塞存在現(xiàn)象。因此此次網(wǎng)絡(luò)改造很重要的一個(gè)方面就

是構(gòu)建萬兆帶寬的校園骨干網(wǎng)絡(luò)。

其次，網(wǎng)絡(luò)流量中主要流量為各個(gè)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)用戶產(chǎn)生的流量，對于校

園網(wǎng)的流量進(jìn)行控制已經(jīng)成為當(dāng)務(wù)之急，現(xiàn)有的網(wǎng)絡(luò)設(shè)備不具有如此精細(xì)顆粒度

的流量控制能力。

另外，隨著網(wǎng)絡(luò)應(yīng)用如遠(yuǎn)程教育、數(shù)字圖書館等新型業(yè)務(wù)的啟動(dòng)，網(wǎng)絡(luò)需要

能夠承載視頻、語音等綜合業(yè)務(wù)，需要核心網(wǎng)絡(luò)設(shè)備具備線速的組播和多業(yè)務(wù)承

載能力，現(xiàn)有的網(wǎng)絡(luò)設(shè)備也無法滿足新型業(yè)務(wù)的需求。

同時(shí)，高校校園網(wǎng)作為一張運(yùn)營級網(wǎng)絡(luò)，IPv6、MPLSVPN的應(yīng)用是將來的

必然趨勢，必須在南通大學(xué)校園網(wǎng)上提供良好的承載。

綜上所述，正是在這樣的背景下，建設(shè)高性能、高水平的南通大學(xué)信息化基

礎(chǔ)設(shè)施平臺(tái)成為必然要求。

12建設(shè)目標(biāo)

根據(jù)對南通大學(xué)校園網(wǎng)絡(luò)需求的分析，可以對網(wǎng)絡(luò)的建設(shè)目標(biāo)有更清晰的認(rèn)

識。南通大學(xué)校園網(wǎng)建設(shè)應(yīng)該向著高性能、精細(xì)化和易管理的方向發(fā)展。

針對南通大學(xué)校園網(wǎng)環(huán)境的應(yīng)用需求，結(jié)合我們在全球教育領(lǐng)域的先進(jìn)經(jīng)

驗(yàn)，我們建議在網(wǎng)絡(luò)建設(shè)時(shí)，重點(diǎn)考慮以下的幾個(gè)方面，建設(shè)一張定位先進(jìn)、適

合南通大學(xué)自身特色的校園網(wǎng)。

首先，是要建立一張滿足校園網(wǎng)的性能要求，并具有良好的應(yīng)用支撐能力的

網(wǎng)絡(luò)，包括以下幾點(diǎn)：

1、采用高性能的設(shè)備構(gòu)架校園網(wǎng)絡(luò)，作為校園的信息支撐平臺(tái)；

2、能夠提供優(yōu)異的校園應(yīng)用支撐能力，同時(shí)保證網(wǎng)絡(luò)性能的不下降。這一

點(diǎn)尤為重要，特別是在校園網(wǎng)絡(luò)承載大量的教科研應(yīng)用系統(tǒng)的情況下，

必須保證對應(yīng)用系統(tǒng)具有良好的承載；

3、通過高可靠的設(shè)備，構(gòu)架穩(wěn)定可靠的校園網(wǎng)絡(luò)；

4、設(shè)備具有較高的性價(jià)比，并提供可持續(xù)擴(kuò)展的能力；

從這些需求考慮，高性能路由器比三層交換機(jī)更適合作為校園網(wǎng)絡(luò)的核心設(shè)

備。

第二，是要實(shí)現(xiàn)整個(gè)校園網(wǎng)真正的精細(xì)化管理，包括以下幾個(gè)方面：

1、針對校園網(wǎng)絡(luò)，包括在校園網(wǎng)內(nèi)部和到外部網(wǎng)絡(luò)訪問中有效的監(jiān)視、記

錄和審計(jì)，實(shí)現(xiàn)對使用者身份（可與一卡通系統(tǒng)實(shí)現(xiàn)整合）、網(wǎng)絡(luò)IP地

址及其訪問行為的識別和記錄，做到可跟蹤和可追查；

2、能夠?qū)W(wǎng)絡(luò)中的使用者，實(shí)現(xiàn)基于用戶身份的行為控制，諸如可訪問的

資源權(quán)限、對網(wǎng)絡(luò)帶寬的占用等方面的控制，做到可控制、可管理；

3、網(wǎng)絡(luò)應(yīng)用的精細(xì)化管理，實(shí)現(xiàn)完善的流量識別和控制能力，保障重要應(yīng)

用系統(tǒng)的網(wǎng)絡(luò)承載，包括安全性、帶寬保障、可靠性等方面，做到可識

另k可保障；

4、針對校園網(wǎng)絡(luò)本身的管理，通過網(wǎng)絡(luò)的層次化劃分，簡化網(wǎng)絡(luò)邏輯架構(gòu)，

便于針對性的管理，同時(shí)也提高網(wǎng)絡(luò)的可靠性和可擴(kuò)展性。

第三，校園網(wǎng)也需要考慮到以下幾個(gè)方面：

?針對IPv6應(yīng)用的逐步推廣，需要針對IPv4/IPv6雙棧環(huán)境提供相應(yīng)的支

撐；

?同時(shí)，結(jié)合此次校園網(wǎng)改造，需要實(shí)現(xiàn)完善的用戶接入認(rèn)證，結(jié)合一卡

通系統(tǒng)，提供統(tǒng)一的身份認(rèn)證系統(tǒng)和網(wǎng)絡(luò)行為審計(jì)系統(tǒng)，配合新校區(qū)網(wǎng)

絡(luò)設(shè)備，實(shí)現(xiàn)用戶上網(wǎng)實(shí)名制和網(wǎng)絡(luò)行為審計(jì)功能。

?對于在校園網(wǎng)絡(luò)中無線的覆蓋，我們建議采用有線無線一體化的建設(shè)思

想，實(shí)現(xiàn)統(tǒng)一的接入控制和認(rèn)證方案，便于用戶在不同環(huán)境中的應(yīng)用，

也便于全校實(shí)現(xiàn)統(tǒng)一的控制和業(yè)務(wù)策略。

?校園網(wǎng)分別與電信運(yùn)營商、教育科研網(wǎng)等實(shí)現(xiàn)了互聯(lián)，相對于校園網(wǎng)內(nèi)

部帶寬，校園出口帶寬較小，大量內(nèi)部流量匯集到出口，形成了瓶頸，

存在網(wǎng)絡(luò)擁塞等情況，建議部署合適的校園出口防火墻設(shè)備。

?遠(yuǎn)程安全接入體系（校園統(tǒng)一安全門戶）的建立。

高性能易管理

7?快速定位故障和排錯(cuò)

?新應(yīng)用的部署

下一代校園網(wǎng).利于網(wǎng)絡(luò)未來的擴(kuò)展

精細(xì)化

?對用戶的深入控制

?基于用戶身份的控制

1.2.1.合理的網(wǎng)絡(luò)結(jié)構(gòu)

通過校園網(wǎng)的整合改造，形成合理的校園網(wǎng)絡(luò)架構(gòu)，提供穩(wěn)定、可靠、高效

和靈活的業(yè)務(wù)承載平臺(tái)，滿足高等教育豐富應(yīng)用的需求。

1.2.2.先進(jìn)性和實(shí)用性

網(wǎng)絡(luò)設(shè)計(jì)應(yīng)本著實(shí)用與先進(jìn)的原則。一方面能滿足校園網(wǎng)應(yīng)用系統(tǒng)的數(shù)據(jù)傳

輸要求，為各信息點(diǎn)提供網(wǎng)絡(luò)傳輸服務(wù)。另一方面，又要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)

性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)結(jié)合起來，充分考慮到校園

網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢。

1.2.3.網(wǎng)絡(luò)的可擴(kuò)展性

業(yè)務(wù)的發(fā)展對網(wǎng)絡(luò)的需求是不斷變化的，網(wǎng)絡(luò)應(yīng)用系統(tǒng)為了滿足這些需求也

會(huì)隨之變化。面對不斷變化的情況和需求，網(wǎng)絡(luò)應(yīng)當(dāng)能夠作出快速和有效的反應(yīng)。

因此，網(wǎng)絡(luò)必須具備良好的可擴(kuò)展性，應(yīng)支持核心業(yè)務(wù)系統(tǒng)的不斷擴(kuò)展，適應(yīng)未

來業(yè)務(wù)的發(fā)展和變化。同時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)當(dāng)能夠變化，具有靈活的伸縮能力，網(wǎng)

絡(luò)設(shè)備可以擴(kuò)充和升級。

網(wǎng)絡(luò)的可擴(kuò)展性也體現(xiàn)在網(wǎng)絡(luò)設(shè)備的可擴(kuò)展性和良好的性價(jià)比和投資保護(hù)。

124.網(wǎng)絡(luò)的可靠性

網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是校園網(wǎng)絡(luò)各個(gè)應(yīng)用系統(tǒng)正常運(yùn)行的保證，應(yīng)采用高可

靠性的網(wǎng)絡(luò)產(chǎn)品和完備的網(wǎng)絡(luò)備份策略，對于不同層次的設(shè)備和線路進(jìn)行不同級

別的可靠性設(shè)計(jì)，使網(wǎng)絡(luò)具有故障自愈的能力。

125.網(wǎng)絡(luò)的標(biāo)準(zhǔn)化

網(wǎng)絡(luò)設(shè)計(jì)中所用的各種管理信令、接口規(guī)程、協(xié)議須符合國際標(biāo)準(zhǔn)。網(wǎng)絡(luò)技

術(shù)的選擇上采用開放的標(biāo)準(zhǔn)技術(shù)，且適度前瞻。技術(shù)具備開放性和通用性，保證

能在多廠家、多品牌設(shè)備的良好的互連互通。

1.2.6.網(wǎng)絡(luò)的可管理性

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)的不斷復(fù)雜，網(wǎng)絡(luò)的維護(hù)量隨之增加。整個(gè)

網(wǎng)絡(luò)的可管理性變得尤為重要。因此，數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)應(yīng)當(dāng)具有統(tǒng)一的可管理

性，建立統(tǒng)一的網(wǎng)絡(luò)管理平臺(tái)。不僅實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理，同時(shí)實(shí)現(xiàn)對網(wǎng)絡(luò)策

略的管理和不同協(xié)議的多級維護(hù)。

第二章網(wǎng)絡(luò)方案建議及設(shè)計(jì)

2.1.設(shè)計(jì)思路

當(dāng)今網(wǎng)絡(luò)的建設(shè)存在兩種建設(shè)思路：路由式網(wǎng)絡(luò)和交換式網(wǎng)絡(luò)。路由式網(wǎng)絡(luò),

一般其核心是由高、中端路由器構(gòu)成的；而交換式網(wǎng)絡(luò)，主要是通過三層交換機(jī)

來構(gòu)建。在討論兩種模式之前，讓我們先來分析一下路由器和三層交換機(jī)的區(qū)別。

首先，讓我們看看三層交換機(jī)的起源。早期的交換機(jī)為兩層交換機(jī)，其沒有

VLAN的概念，所有的端口都處于一個(gè)廣播域內(nèi)，存在著廣播風(fēng)暴問題，尤其是

對于大型的局域網(wǎng)，廣播風(fēng)暴經(jīng)常造成網(wǎng)絡(luò)擁塞，甚至網(wǎng)絡(luò)變?yōu)椴豢捎?。為了減

少廣播風(fēng)暴的危害，出現(xiàn)了VLAN的概念，必須把大型局域網(wǎng)按功能或地域等

因素劃他成一個(gè)一個(gè)的小局域網(wǎng)，盡量將廣播控制在較小的范圍內(nèi)，隔離廣播對

其它VLAN的影響。但是，由于不同VLAN的隔離作用，當(dāng)存在需要跨越VLAN

的流量時(shí)，就需要具有路由功能的路由器，為了便于管理和降低成本，出現(xiàn)了帶

有簡單路由功能的交換機(jī)，也就是三層交換機(jī)。三層交換機(jī)的路由功能通常比較

簡單，路由計(jì)算遠(yuǎn)沒有路由器那么復(fù)雜。它用在局域網(wǎng)中的主要用途還是提供快

速數(shù)據(jù)交換功能，滿足局域網(wǎng)數(shù)據(jù)交換頻繁的應(yīng)用特點(diǎn)。

第三層交換具有以下特點(diǎn)：

?主要用于大型局域網(wǎng)和小規(guī)模的城域網(wǎng)。

?大型三層交換機(jī)采用ASIC技術(shù)，數(shù)據(jù)包的交換能力較強(qiáng)，交換能力往

往達(dá)到數(shù)十G,甚至上百G；

?為了應(yīng)付大型局域網(wǎng)的需要，具有一定的路由功能和控制能力；

?較低的設(shè)計(jì)和生產(chǎn)成本，較少的考慮電信級的高可靠性設(shè)計(jì)；

?除了必要的路由決定過程外，大部分?jǐn)?shù)據(jù)轉(zhuǎn)發(fā)過程由第二層交換處理，

三層交換往往采用集中轉(zhuǎn)發(fā)；

?路由軟件設(shè)計(jì)簡單，較少的運(yùn)營商業(yè)務(wù)提供能力，較慢的路由收斂速度;

?二層網(wǎng)絡(luò)協(xié)議采用生成樹協(xié)議（STP）,基于二層之上的三層路由協(xié)議

IGP采用OSPF、IS-IS和RIP,BGP采用BGP4。

?部分高檔三層交換機(jī)集成了防火墻、IDS、4-7層交換等功能，簡化了網(wǎng)

絡(luò)設(shè)計(jì)，降低了管理壓力；

?端口相對較單一，主要是10M/100M/1000M/10G等不同類型的局域網(wǎng)端

口，端口密度較高，部分高檔交換機(jī)為了滿足廣域網(wǎng)連接的需要，增加

了部分廣域網(wǎng)端口；

從三層交換機(jī)出現(xiàn)的背景和特點(diǎn)來看，它主要為了解決VLAN之間的互訪

問題，但是，由于局域網(wǎng)的特點(diǎn)，并沒有太強(qiáng)的流量控制功能，對QoS、MPLS、

流量采集、Internet路由和流量的特點(diǎn)考慮較少、接口類型單一，這些特點(diǎn)也是

由它的應(yīng)用環(huán)境決定的。

而路由器則不同，它的設(shè)計(jì)初衷就是為了滿足不同類型的網(wǎng)絡(luò)連接，雖然也

適用于局域網(wǎng)之間的連接，但它的路由功能更多的體現(xiàn)在不同類型網(wǎng)絡(luò)之間的互

聯(lián)上，如局域網(wǎng)與廣域網(wǎng)之間的連接、不同協(xié)議的網(wǎng)絡(luò)之間的連接等。它最主要

的功能就是路由轉(zhuǎn)發(fā)，解決好各種復(fù)雜路由環(huán)境下的路徑計(jì)算和選擇，所以路由

器的路由功能通常非常強(qiáng)大，不僅適用于同種協(xié)議的局域網(wǎng)間，更適用于不同協(xié)

議的局域網(wǎng)與廣域網(wǎng)間。它的優(yōu)勢在于選擇最佳路由、負(fù)荷分擔(dān)、鏈路備份以及

和其他網(wǎng)絡(luò)進(jìn)行路由信息交換等功能。為了與各種類型的網(wǎng)絡(luò)連接，路由器的接

口類型非常豐富，而三層交換機(jī)則一般僅同類型的局域網(wǎng)接口，非常簡單。

路由器的特點(diǎn)：

?豐富的路由和控制功能，適用于復(fù)雜多變的大型網(wǎng)絡(luò)環(huán)境

?針對于Internet的流量特點(diǎn)設(shè)計(jì)，較強(qiáng)的流量控制功能

?隨基于MPLS、IPv6等技術(shù)的業(yè)務(wù)的強(qiáng)大支持能力

?強(qiáng)大的QoS功能，能提供差異化業(yè)務(wù)的基礎(chǔ)極強(qiáng)的高可用性設(shè)計(jì)，滿足

電信級的要求

?采用最新的路由器設(shè)計(jì)模型和理念，路由控制功能和數(shù)據(jù)轉(zhuǎn)發(fā)功能嚴(yán)格

分離，保證了路由器的可靠運(yùn)行，全分布式的包轉(zhuǎn)發(fā)設(shè)計(jì)保證了整個(gè)設(shè)

備的性能。

?新一代的大型路由器采用ASIC、分布式處理的實(shí)際思想，路由能力通

常達(dá)到幾百G,甚至幾個(gè)T。

我們從三層交換機(jī)和路由器的起源上進(jìn)行了一個(gè)簡要的分析，從上面的分析

來看，三層交換機(jī)是帶有簡單路由功能的交換機(jī)。

從提供服務(wù)的角度來考慮，南通大學(xué)校園網(wǎng)的建設(shè)目標(biāo)是建設(shè)一個(gè)覆蓋整個(gè)

校園、具有遠(yuǎn)程教育功能的寬帶網(wǎng)絡(luò)和教育信息化網(wǎng)絡(luò)平臺(tái)，并實(shí)現(xiàn)寬帶接入

Internet服務(wù)提供商、中國教育和科研計(jì)算機(jī)網(wǎng)CERNET,這張網(wǎng)絡(luò)上承載了大

量的業(yè)務(wù)、應(yīng)用和終端用戶，應(yīng)用復(fù)雜、用戶眾多。從這個(gè)意義上來講，南通大

學(xué)校園網(wǎng)就相當(dāng)于一張運(yùn)營商的城域網(wǎng)絡(luò)，而且規(guī)模較大。

在這張網(wǎng)上不是僅僅只需要進(jìn)行以太接入，而是需要提供有差別的服務(wù)。對

于這種不同類別的服務(wù)，需要硬件QoS的保證、需要有完備的MPLSVPN的功

能、需要能夠全面硬件化的支持IPv6、需要提供穩(wěn)定而可控的Multicast的支持。

并且這些服務(wù)的提供，應(yīng)該是以不下降網(wǎng)絡(luò)性能為前提條件。所有這些，只有在

路由器上才能得到完備的支持。這一點(diǎn)，在運(yùn)營商多年的運(yùn)營經(jīng)驗(yàn)上得到了證實(shí)。

從業(yè)務(wù)功能支持的角度考慮，現(xiàn)有的交換機(jī)設(shè)備在端口數(shù)和帶寬上能夠滿足

現(xiàn)有應(yīng)用的要求，但當(dāng)網(wǎng)絡(luò)承載的業(yè)務(wù)增多，需要對不同業(yè)務(wù)進(jìn)行控制和QoS

優(yōu)化時(shí)，交換機(jī)的架構(gòu)決定了開啟這些高級功能之后設(shè)備性能會(huì)急劇下降，從而

影響整個(gè)網(wǎng)絡(luò)的使用。而路由器由于本身均采用了硬件支持QoS、IPv6、組播等

功能，能夠平滑的支持新的功能。

綜上所述，無論從理論上還是實(shí)踐上來講，考慮網(wǎng)絡(luò)未來幾年的發(fā)展和多業(yè)

務(wù)承載能力，建議南通大學(xué)校園網(wǎng)采用路由器來構(gòu)建校園網(wǎng)核心節(jié)點(diǎn)。

22組網(wǎng)原則

以以下幾個(gè)方面的技術(shù)要求為基礎(chǔ)：

?先進(jìn)性：網(wǎng)絡(luò)應(yīng)采用業(yè)界先進(jìn)的高端路由器，充分滿足現(xiàn)在及將來網(wǎng)絡(luò)、

業(yè)務(wù)發(fā)展的需求，在未來幾年內(nèi)都不會(huì)過時(shí)。并采用先進(jìn)成熟的通信和

計(jì)算機(jī)技術(shù)進(jìn)行組網(wǎng)。

?可擴(kuò)充性：必須隨著需求的變化，充分留有擴(kuò)充余地。網(wǎng)絡(luò)結(jié)構(gòu)采用層

次化的網(wǎng)絡(luò)結(jié)構(gòu)，利于網(wǎng)絡(luò)的管理和維護(hù)，網(wǎng)絡(luò)的穩(wěn)定，網(wǎng)絡(luò)的可擴(kuò)展,

同時(shí)盡量減少網(wǎng)絡(luò)的層次，減少網(wǎng)絡(luò)延時(shí)，提高網(wǎng)絡(luò)性能。

?投資保護(hù)：選擇性能價(jià)格比最好的設(shè)備，并考慮容量和性能配置的靈活

性。

?標(biāo)準(zhǔn)化和開放性：采用通用的國際標(biāo)準(zhǔn)和協(xié)議，不采用或盡量少采用廠

家特有的產(chǎn)品和功能。能與其它廠家的產(chǎn)品互連互通，能與各類寬帶傳

輸交換平臺(tái)充分互聯(lián)，能夠承載和交換各種信息并將其接入公眾用戶。

?可靠性：利用物理鏈路備份和動(dòng)態(tài)路由協(xié)議實(shí)現(xiàn)路由備份和負(fù)載分擔(dān)，

保證網(wǎng)絡(luò)互通性安全；關(guān)鍵部件冗余配置，保證單節(jié)點(diǎn)的可靠性。

?可管理性：采用統(tǒng)一的網(wǎng)絡(luò)及業(yè)務(wù)管理系統(tǒng)。

?安全性：在設(shè)備選型上充分考慮設(shè)備抗攻擊的能力。

在滿足上述一般網(wǎng)絡(luò)設(shè)計(jì)要求的基礎(chǔ)上，南通大學(xué)校園網(wǎng)還需要滿足營運(yùn)級

的可靠性、QoS、擴(kuò)展性、網(wǎng)絡(luò)互聯(lián)、通信協(xié)議、網(wǎng)管與安全等方面的要求：

1）可靠性

核心層路由設(shè)備的所有模塊和環(huán)境部件應(yīng)具備1+1或1：N熱備份的功能，

切換時(shí)間足夠小。所有模塊具備熱插拔的功能。系統(tǒng)具備99.999%以上的可用性。

網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計(jì)應(yīng)提供足夠的路由冗余功能，以便在線路和設(shè)備出現(xiàn)故障的

情況下數(shù)據(jù)流應(yīng)能尋找其他路徑到達(dá)目的地址。在一個(gè)足夠復(fù)雜的網(wǎng)絡(luò)環(huán)境中，

網(wǎng)絡(luò)連接發(fā)生變化時(shí)，路由表的收斂時(shí)間應(yīng)足夠小。

2）擁塞控制與服務(wù)質(zhì)量保障

擁塞控制和服務(wù)質(zhì)量保障（QoS）是數(shù)據(jù)通信網(wǎng)的重要品質(zhì)。由于接入方式、

接入速率、應(yīng)用方式、數(shù)據(jù)性質(zhì)的豐富多樣，網(wǎng)絡(luò)的數(shù)據(jù)流量突發(fā)是不可避免的,

因此，網(wǎng)絡(luò)對擁塞的控制和對不同性質(zhì)數(shù)據(jù)流的不同處理是十分重要的。

3）業(yè)務(wù)分類

按照經(jīng)驗(yàn)，一般要求網(wǎng)絡(luò)設(shè)備應(yīng)支持4-5種以上業(yè)務(wù)分類。當(dāng)用戶終端不提

供業(yè)務(wù)分類信息時(shí)，網(wǎng)絡(luò)設(shè)備應(yīng)根據(jù)用戶所在網(wǎng)段、應(yīng)用類型、流量大小等自動(dòng)

對業(yè)務(wù)進(jìn)行分類。

4）接入速率控制

接入本網(wǎng)絡(luò)的業(yè)務(wù)應(yīng)遵守其接入速率承諾。超過承諾速率的數(shù)據(jù)將被丟棄或

標(biāo)以最低的優(yōu)先級。

5）通信協(xié)議的支持

以支持TCP/IP協(xié)議為主。設(shè)備商應(yīng)提供服務(wù)營運(yùn)級別的網(wǎng)絡(luò)通信軟件和網(wǎng)

際操作系統(tǒng)。

支持RIPv2、OSPF、IS-IS等多種國際標(biāo)準(zhǔn)的域內(nèi)路由協(xié)議。

支持BGP-4等標(biāo)準(zhǔn)的域間路由協(xié)議，保證與其他IP網(wǎng)絡(luò)的可靠互聯(lián)。

支持MPLS標(biāo)準(zhǔn)及相關(guān)應(yīng)用。

應(yīng)支持豐富的組播協(xié)議。

6）網(wǎng)絡(luò)管理與安全體系

支持整個(gè)網(wǎng)絡(luò)系統(tǒng)各種網(wǎng)絡(luò)設(shè)備的統(tǒng)一網(wǎng)絡(luò)管理。

支持故障管理、記帳管理、配置管理、性能管理和安全管理五大功能，即

FCAPS五個(gè)方面的功能。

支持系統(tǒng)級的管理，包括系統(tǒng)分析、系統(tǒng)規(guī)劃等；支持基于策略的管理，對

策略的修改能夠立即反應(yīng)到所有相關(guān)設(shè)備中。

網(wǎng)絡(luò)設(shè)備支持多級管理權(quán)限，支持集中的RADIUS、TACACS+等認(rèn)證、授

權(quán)和審計(jì)的機(jī)制。

支持安全監(jiān)控和控制機(jī)制，當(dāng)發(fā)現(xiàn)存在安全漏洞和遭到攻擊時(shí)，應(yīng)及時(shí)通知

網(wǎng)絡(luò)管理人員，并應(yīng)自動(dòng)采取適當(dāng)?shù)拇胧┯枰员Ｗo(hù)。

23拓?fù)湓O(shè)計(jì)

2.3.1.校園網(wǎng)設(shè)計(jì)

網(wǎng)絡(luò)結(jié)構(gòu)就像是建筑的根基。根基不好，則整個(gè)建筑不穩(wěn)。網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)劣,

將影響網(wǎng)絡(luò)的各個(gè)方面，譬如安全、維護(hù)、管理等等。過去的網(wǎng)絡(luò)，由于受到設(shè)

備能力的限制等因素，網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)，往往根據(jù)設(shè)備來設(shè)計(jì)網(wǎng)絡(luò)。而今天的網(wǎng)

絡(luò)，我們則應(yīng)該根據(jù)應(yīng)用，根據(jù)是否更具備擴(kuò)展性、是否更安全，是否更易于維

護(hù)和管理來考慮。

基于Juniper對下一代互聯(lián)網(wǎng)的認(rèn)知以及對南通大學(xué)校園網(wǎng)的理解，我們認(rèn)

為新一代的南通大學(xué)校園網(wǎng)應(yīng)該以適應(yīng)教育信息化需求為最終目的，簡化和優(yōu)化

網(wǎng)絡(luò)結(jié)構(gòu)，簡化管理層次，清晰業(yè)務(wù)流程，形成一個(gè)大容量、高可靠性、寬帶化、

有嚴(yán)格服務(wù)質(zhì)量和安全保證，具有豐富的信息資源，能夠承載多種應(yīng)用系統(tǒng)，提

供覆蓋地域廣泛的寬帶接入，適應(yīng)整個(gè)教育行業(yè)信息化發(fā)展需要的下一代互聯(lián)

網(wǎng)，是南通大學(xué)校園網(wǎng)改造項(xiàng)目的目標(biāo)。校園網(wǎng)整體發(fā)展的趨勢是向著層次清晰

化，整體架構(gòu)扁平化的方向發(fā)展，如下所示，按照網(wǎng)絡(luò)層次清晰化的目標(biāo)，按照

網(wǎng)絡(luò)中不同的功能定位，實(shí)現(xiàn)二三層網(wǎng)絡(luò)分離，構(gòu)建物理和邏輯層次清晰的三層

路由網(wǎng)絡(luò)（核心業(yè)務(wù)控制層面）和二層寬帶接入網(wǎng)（寬帶業(yè)務(wù)接入層面）。

核

心

網(wǎng)

接

入

網(wǎng)

核心的業(yè)務(wù)控制層面提供了統(tǒng)一的用戶終結(jié)和業(yè)務(wù)控制功能。通過控制層面

設(shè)備的大容量、少節(jié)點(diǎn)、廣覆蓋，有效減少網(wǎng)絡(luò)的物理和邏輯級聯(lián)級數(shù)，網(wǎng)絡(luò)架

構(gòu)更加清晰，效率更高。同時(shí)核心節(jié)點(diǎn)的高性能和豐富的功能特性也保障了在整

個(gè)網(wǎng)絡(luò)中能夠提供統(tǒng)一高效的業(yè)務(wù)控制能力，實(shí)現(xiàn)管理控制的集中化。

寬帶接入層包括了網(wǎng)絡(luò)的匯聚和接入層沒，用于負(fù)責(zé)用戶和業(yè)務(wù)的接入和二

層VLAN的隔離，而不再提供用戶終結(jié)和業(yè)務(wù)控制方面的能力，有利于減輕這

個(gè)層面設(shè)備的壓力，提高整體網(wǎng)絡(luò)的可靠性。同時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)扁平化有利于網(wǎng)絡(luò)

中故障和問題的判斷和處理，網(wǎng)絡(luò)更易于管理和維護(hù)，同時(shí)也有利于網(wǎng)絡(luò)的擴(kuò)展

和保護(hù)投資。

采用扁平化兩層架構(gòu)和傳統(tǒng)三層架構(gòu)的比較如下:

扁平化網(wǎng)絡(luò)架構(gòu)傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)

網(wǎng)網(wǎng)絡(luò)按照功能進(jìn)行區(qū)分，劃分網(wǎng)絡(luò)按照層次進(jìn)行區(qū)分，劃分

絡(luò)架構(gòu)為核心的業(yè)務(wù)控制層面和邊緣的為核心層、匯聚層和接入層三個(gè)層

描述寬帶接入層面兩個(gè)部分次

構(gòu)按照網(wǎng)絡(luò)層次清晰化的目標(biāo)，早期的園區(qū)交換網(wǎng)絡(luò)架構(gòu)中，

架設(shè)計(jì)按照網(wǎng)絡(luò)中不同的功能定位，實(shí)現(xiàn)由于核心設(shè)備端口密度、處理性能

依據(jù)二三層網(wǎng)絡(luò)分離，構(gòu)建物理和邏輯的限制，不能直接實(shí)現(xiàn)與接入層交

層次清晰的三層路由網(wǎng)絡(luò)（業(yè)務(wù)控?fù)Q機(jī)的連接，因此增加了一層網(wǎng)絡(luò)

制層面）和二層寬帶接入網(wǎng)（寬帶匯聚層設(shè)備，通過匯聚層設(shè)備實(shí)現(xiàn)

業(yè)務(wù)接入層面）一部分接入交換機(jī)匯聚后，再上聯(lián)

到核心設(shè)備

1.通過控制層面設(shè)備的大容量、1.對核心和匯聚設(shè)備的端口密

少節(jié)點(diǎn)、廣覆蓋，有效減少網(wǎng)度和性能要求較低；用戶和業(yè)

要優(yōu)

3絡(luò)的物理和邏輯級聯(lián)級數(shù)，網(wǎng)務(wù)可以終結(jié)在邊緣的三層交

絡(luò)架構(gòu)更加清晰，效率更高；換機(jī)上，也可以終結(jié)在匯聚或

網(wǎng)絡(luò)的層次越少，網(wǎng)絡(luò)的結(jié)構(gòu)核心設(shè)備上，因此對單臺(tái)設(shè)備

和功能越清晰；的整體的性能和業(yè)務(wù)控制能

2.實(shí)現(xiàn)二三層網(wǎng)絡(luò)分離，構(gòu)建物力要求較低；

理和邏輯層次清晰的三層路由2.傳統(tǒng)的三層架構(gòu)在企業(yè)網(wǎng)市

網(wǎng)絡(luò)（業(yè)務(wù)控制層面）和二層場應(yīng)用較廣；

寬帶接入網(wǎng)（業(yè)務(wù)接入層面）。

3.寬帶接入層負(fù)責(zé)用戶和業(yè)務(wù)的

接入和二層VLAN的隔離，業(yè)

務(wù)控制層面負(fù)責(zé)用戶和業(yè)務(wù)的

終結(jié)和相應(yīng)的控制功能，更有

利于網(wǎng)絡(luò)的管理、維護(hù)，也更

有利于網(wǎng)絡(luò)中故障和問題的判

斷和處理；管理控制集中化；

4.網(wǎng)絡(luò)結(jié)構(gòu)扁平化，網(wǎng)絡(luò)易于管

理和維護(hù)，同時(shí)也有利于保護(hù)

投資；

5.網(wǎng)絡(luò)'中的控制功能統(tǒng)一由業(yè)務(wù)

控制層的設(shè)備實(shí)現(xiàn)，一般為高

端路由器產(chǎn)品，從而能夠提供

更強(qiáng)大的處理性能、更豐富的

功能特性和更好的業(yè)務(wù)支持能

力，如MPLS、IPv6、QoS等；

因此更有利于在網(wǎng)絡(luò)中統(tǒng)一開

展新的業(yè)務(wù)和應(yīng)用，對今后的

業(yè)務(wù)支持能力更強(qiáng)；

6.采用高性能的網(wǎng)絡(luò)設(shè)備構(gòu)建清

晰的網(wǎng)絡(luò)業(yè)務(wù)控制層面，實(shí)現(xiàn)

集中的業(yè)務(wù)提供和控制；提供

統(tǒng)一的業(yè)務(wù)控制與管理維護(hù)；

7.由于接入層設(shè)備直接接入到核

心設(shè)備，因此可以通過一些特

性，如快速的VRRP或者雙鏈

路的RTG功能，實(shí)現(xiàn)接入層設(shè)

備雙鏈路上行的ms級的線路

備份和保護(hù)的問題，對業(yè)務(wù)不

產(chǎn)生任何影響；

8.網(wǎng)絡(luò)的安全控制更加容易統(tǒng)一

和實(shí)現(xiàn)

9.由于業(yè)務(wù)控制集中在控制層

面，從而便于安全策略的統(tǒng)一

控制和實(shí)現(xiàn)，為不同用戶和不

同業(yè)務(wù)提供不同等級的安全服

務(wù)。

10.大大減少專業(yè)技術(shù)人員的配比

和維護(hù)量

11.由于業(yè)務(wù)控制集中在控制層

面，從而不需要配比太多的專

業(yè)技術(shù)人員進(jìn)行維護(hù)，從而也

將減少網(wǎng)絡(luò)維護(hù)的工作量。

1.對業(yè)務(wù)控制層面的設(shè)備要求較1.更多的網(wǎng)絡(luò)層次，導(dǎo)致網(wǎng)絡(luò)效

要募

高，要求有較強(qiáng)的業(yè)務(wù)處理性率的下降，對于機(jī)房、電力、

能、較高的端口密度、豐富的空調(diào)、光路等資源的消耗更

業(yè)務(wù)功能特性；大；

2.業(yè)務(wù)匯聚層面的設(shè)備需要支持2.業(yè)務(wù)終結(jié)的層次不清晰，由于

高級的MPLSFRR、NSR、不同層次的設(shè)備支持的業(yè)務(wù)

BFD、ISSU和GR等特性，才特性的不同，因此不同的用戶

能夠?qū)崿F(xiàn)網(wǎng)絡(luò)業(yè)務(wù)控制層面設(shè)和業(yè)務(wù)可能分別終結(jié)在接入

備本身和網(wǎng)絡(luò)的高可靠性和可層、匯聚層甚至核心層，導(dǎo)致

用性等方面的要求。整個(gè)網(wǎng)絡(luò)的維護(hù)管理界面混

亂，非常不利于整個(gè)網(wǎng)絡(luò)的管

理維護(hù)和故障定位排除；

3.需要在核心層、匯聚層甚至接

入層之間運(yùn)行STP或者動(dòng)態(tài)

路由協(xié)議，實(shí)現(xiàn)線路的備份和

保護(hù)功能，其收斂的時(shí)間在秒

級，對于關(guān)鍵的業(yè)務(wù)和應(yīng)用會(huì)

產(chǎn)生影響；

4.從網(wǎng)絡(luò)運(yùn)行維護(hù)角度看，目前

的傳統(tǒng)網(wǎng)絡(luò)是依照多層、多

級、分步集中的設(shè)計(jì)方式建立

的。網(wǎng)絡(luò)初期規(guī)模較小，投資

費(fèi)用和運(yùn)行維護(hù)費(fèi)用所占的

比重較少，但隨著網(wǎng)絡(luò)的不斷

發(fā)展，運(yùn)行維護(hù)成本會(huì)出現(xiàn)成

倍的增長。

現(xiàn)在的扁平化兩層架構(gòu)和傳統(tǒng)的三層架構(gòu)其實(shí)從其根本上沒有什么沖突，傳

統(tǒng)的三層將業(yè)務(wù)終結(jié)到核心或者匯聚層，而現(xiàn)在技術(shù)發(fā)展到今天，核心網(wǎng)絡(luò)設(shè)備

的功能和性能越來越強(qiáng)大足夠承擔(dān)核心和匯聚統(tǒng)一的功能，因此將原有傳統(tǒng)的核

心和匯聚組合成業(yè)務(wù)控制層，減少網(wǎng)絡(luò)層次結(jié)構(gòu)更加清晰化，形成面向未來的扁

平化兩層架構(gòu)（核心業(yè)務(wù)控制層+用戶接入層），其扁平化的管理及安全控制相

比較傳統(tǒng)的三層會(huì)更加簡單高效易于管理。

綜合來說扁平化是未來網(wǎng)絡(luò)發(fā)展的方向和趨勢，它代表著網(wǎng)絡(luò)向下一代

NGN扁平化IP演進(jìn)的方向，因此它帶給用戶的不僅僅是技術(shù)的先進(jìn)性，還有對

未來投資的保護(hù)，更加有利于網(wǎng)絡(luò)的全面完善的業(yè)務(wù)支持能力、提高網(wǎng)絡(luò)處理性

能和效率，提升網(wǎng)絡(luò)整體的可靠性和管理維護(hù)的便利性。

在此次校園網(wǎng)改造中，我們建議按照扁平化的設(shè)計(jì)思路，建設(shè)一張高性能、

高可靠、層次清晰、易于擴(kuò)展、易于維護(hù)的校園網(wǎng)絡(luò)。

2.32總體架構(gòu)規(guī)劃

我們建議在南通大學(xué)中，構(gòu)建以網(wǎng)絡(luò)中心的兩臺(tái)MX960核心路由器作為整

個(gè)網(wǎng)絡(luò)的核心節(jié)點(diǎn)，構(gòu)建成整個(gè)校區(qū)的雙星型網(wǎng)絡(luò)互聯(lián)架構(gòu)。

在核心網(wǎng)設(shè)備之間互聯(lián)時(shí)，采用萬兆以太網(wǎng)的方式實(shí)現(xiàn)各個(gè)節(jié)點(diǎn)之間的互

聯(lián)，并且可以按照實(shí)際的帶寬需求增加對應(yīng)節(jié)點(diǎn)之間的鏈路，從而實(shí)現(xiàn)帶寬的有

效增加。在今后100GE成為標(biāo)準(zhǔn)后，核心設(shè)備可以平滑過渡到100GE的互聯(lián)，

實(shí)現(xiàn)網(wǎng)絡(luò)和處理性能的平滑升級，滿足今后業(yè)務(wù)發(fā)展的需求。

中國電信能路負(fù)載均衡器

圖例：

JuniperM10i千兆多模光纖-------

.中國教科網(wǎng)IP'

中國教科網(wǎng)Pv4千兆單模光纖-------

邊界路由萬兆多模光纖

中國移動(dòng)g

校內(nèi)路由

教學(xué)核心宿舍核心

銳捷S861Q銳捷S8610

由館核心

她S7606

一卜通核心

銳捷S5750

啟秀教學(xué)核心鐘秀教學(xué)核心

啟蘇圖書鐘秀圖書

銳捷S8610悅捷S8610

館核心坨核心

同時(shí)，針對核心網(wǎng)高可靠性的要求，建議核心路由器之間，通過MPLS流量

工程的FRR快速重路由功能，能夠?qū)崿F(xiàn)50ms的故障切換機(jī)制。在這種情況下，

MPLS為每個(gè)鏈路和節(jié)點(diǎn)提供單獨(dú)的迂回路由進(jìn)行保護(hù)，在建立標(biāo)記交換路徑

時(shí)，每個(gè)節(jié)點(diǎn)負(fù)責(zé)為每條鏈路或節(jié)點(diǎn)計(jì)算保護(hù)路徑，一旦某個(gè)鏈路或節(jié)點(diǎn)發(fā)生故

障，立即由其直接上游節(jié)點(diǎn)檢測到，然后在該路由器上把流量立即切換到迂回路

徑，從而充分滿足了關(guān)鍵應(yīng)用對網(wǎng)絡(luò)高可靠性的需求。

相對于采用RPR必須通過專用的硬件環(huán)網(wǎng)來實(shí)現(xiàn)50ms的切換，MPLSFRR

最為廉價(jià)，也最具擴(kuò)展性，并且與底層使用的通道無關(guān)，是園區(qū)網(wǎng)建設(shè)的最佳選

擇。

匯聚和接入部分共同構(gòu)成了校園網(wǎng)的寬帶接入層面。在校園的匯聚和接入部

分，大量采用了交換機(jī)來提供校園網(wǎng)內(nèi)用戶和應(yīng)用系統(tǒng)/服務(wù)器等的接入。南通

大學(xué)用戶數(shù)量大，匯聚和接入層設(shè)備的數(shù)量較多，在部署是需要考慮到網(wǎng)絡(luò)結(jié)構(gòu)

的合理性和便于管理維護(hù)的特性。

從網(wǎng)絡(luò)的業(yè)務(wù)控制角度出發(fā)，以便于網(wǎng)絡(luò)管理為目的，可以將網(wǎng)絡(luò)劃分為兩

個(gè)大的層次：業(yè)務(wù)控制層和業(yè)務(wù)接入層。

控制層的目的主要用于實(shí)施對不同業(yè)務(wù)的網(wǎng)絡(luò)資源的需要，如帶寬控制，安

全控制，VPN控制等，即三層的業(yè)務(wù)/用戶控制網(wǎng)絡(luò)；而業(yè)務(wù)接入層只用于實(shí)現(xiàn)

業(yè)務(wù)/用戶接入，即二層的接入網(wǎng)絡(luò)。

這樣劃分的一個(gè)優(yōu)點(diǎn)在于：控制層做為智能大腦，其控制整個(gè)網(wǎng)絡(luò)能夠提供

的服務(wù)和功能；接入層只是作為連接的通道，將末端的服務(wù)器和終端連接到網(wǎng)絡(luò)

中來。對于園區(qū)網(wǎng)內(nèi)，連接的通道主要通過VLAN或物理接口的方式。一般來

講，智能大腦數(shù)量較少，易于管理和業(yè)務(wù)的部署，以及便于升級；而接入雖然數(shù)

目眾多，但其功能簡單，只在初期部署需要進(jìn)行少量配置。整個(gè)網(wǎng)絡(luò)在擴(kuò)展性上

和可管理性上都非常的強(qiáng)大。

業(yè)務(wù)控制層從網(wǎng)絡(luò)的實(shí)際層次來看，即可以有一層構(gòu)成，也可以由多層次構(gòu)

成。網(wǎng)絡(luò)層次的選擇，取決于網(wǎng)絡(luò)設(shè)備的能力、結(jié)合光纖部署的情況、以及控制

點(diǎn)部署的需求來決定。當(dāng)設(shè)備的容量不夠大或處理的能力不夠強(qiáng)，或控制點(diǎn)需要

分布在不同的區(qū)域以便于控制，則可以考慮采用多層結(jié)構(gòu)，譬如兩層一業(yè)務(wù)控制

層的核心層和邊緣層。如圖所示：

校內(nèi)路由

業(yè)務(wù)控制層

寬帶接入層

教學(xué)核心宿舍核心

銳捷S86iq銳槌S8610

主校區(qū)西區(qū)

無線網(wǎng)核心

I竹館核心

1捷S7606

一卡通核心

銳捷S5750

啟秀教學(xué)核心鐘秀教學(xué)核心

啟秀圖書鐘秀圖書

銳裝S8610銳捷S8610

市核心館核心

對于匯聚層設(shè)備的上聯(lián)，我們建議采用就近接入的方式提供匯聚交換機(jī)到網(wǎng)

絡(luò)核心層設(shè)備的上聯(lián)。匯聚交換機(jī)均通過雙星型連接的方式就近上聯(lián)到核心路由

器上，提供10GEx2或者GEx2的上聯(lián)帶寬。而接入層交換機(jī)則就近采用GE

鏈路接入到匯聚交換機(jī)上。

對教學(xué)區(qū),我們建議:

?現(xiàn)有設(shè)備進(jìn)行二層化改造，構(gòu)建教學(xué)區(qū)網(wǎng)絡(luò)的寬帶接入層，并通過

VLAN和QinQ實(shí)現(xiàn)用戶之間二層的隔離；

■建議在接入層設(shè)備上為每個(gè)端口分配獨(dú)立的內(nèi)層VLAN標(biāo)簽，在

啟秀、鐘秀校區(qū)核心的S8610上打上相應(yīng)的外層標(biāo)簽；

■通過核心路由器提供用戶接入網(wǎng)絡(luò)時(shí)的DHCP地址分配功能，并

且實(shí)現(xiàn)基于portal頁面的用戶接入網(wǎng)絡(luò)認(rèn)證和計(jì)費(fèi)功能；

?實(shí)現(xiàn)用戶接入校園網(wǎng)即認(rèn)證和控制的功能，校內(nèi)資源不收費(fèi)，國內(nèi)、

國際資源按照不同資費(fèi)策略計(jì)費(fèi)；

對于校園中的無線網(wǎng)絡(luò):

■與教學(xué)區(qū)相同，無線網(wǎng)核心連接到核心路由上，實(shí)現(xiàn)有線無線一體

化架構(gòu)

■同樣通過核心路由器提供DHCP和基于portal頁面的用戶接入網(wǎng)絡(luò)

認(rèn)證功能；

■無線用戶不需要二次認(rèn)證，采用和有線方式下同樣的帳號和認(rèn)證模

式，用戶通過無線接入時(shí)（通過Radius標(biāo)準(zhǔn)的NAS-PORT-TYPE

屬性），后臺(tái)系統(tǒng)將判斷用戶是否具備無線訪問權(quán)限，并且按照預(yù)

先設(shè)定的計(jì)費(fèi)方案進(jìn)行計(jì)費(fèi)；

■此時(shí)的無線控制器僅需要提供瘦AP的頻率、功率等的控制，而無

需提供其他功能；

對于一卡通部分,各個(gè)學(xué)校有不同的處理方案,均可作為參考:

■一種方案是一卡通網(wǎng)絡(luò)和校園網(wǎng)物理上是兩張單獨(dú)的網(wǎng)絡(luò)，通過

SSLVPN,防火墻、IPS等設(shè)備實(shí)現(xiàn)安全的，基于策略的互通；（如

中國礦大）

■另外一種方案是同一張物理網(wǎng)絡(luò)，在網(wǎng)絡(luò)的匯聚和接入部分通過

VLAN實(shí)現(xiàn)隔離，在網(wǎng)絡(luò)的核心路由器上通過VRF或者邏輯路由

器LR實(shí)現(xiàn)相互之間的隔離；（如南大）。

對于圖書館,各個(gè)學(xué)校也有不同的處理方案可供參考:

■一種方案是與教學(xué)區(qū)相同，全部三層功能也業(yè)務(wù)功能都由核心設(shè)備

完成，此時(shí)需要實(shí)現(xiàn)圖書館原有設(shè)備的二層化改造；這種方式下，

圖書館的接入同樣能夠?qū)崿F(xiàn)精細(xì)化的管理和用戶接入網(wǎng)絡(luò)的認(rèn)證

計(jì)費(fèi)和控制功能；

■另外一種方案是圖書館仍保持原狀，校園網(wǎng)只是提供了與圖書館之

間的高帶寬互聯(lián)；圖書館的用戶由圖書館自己管理；

對于宿舍部分:

■宿舍的用戶密集、并發(fā)量大、使用時(shí)間集中、流量大；建議對宿舍

網(wǎng)絡(luò)的用戶提供相應(yīng)的接入控制手段，提供宿舍區(qū)用戶接入網(wǎng)絡(luò)時(shí)

的認(rèn)證計(jì)費(fèi)和控制功能；

■建議在宿舍區(qū)提供PPPoE認(rèn)證，主要考慮到PPPoE適合于宿舍區(qū)

的應(yīng)用，windows自帶客戶端，使用方便，能夠有效簡化維護(hù)工作

量，同時(shí)PPPoE在很多高校宿舍網(wǎng)有大規(guī)模的應(yīng)用案例。

24網(wǎng)絡(luò)部署和業(yè)務(wù)控制方案

2.4.1.用戶的隔離、終結(jié)

在南通大學(xué)校園網(wǎng)中，為了避免用戶之間的相互影響，可以通過網(wǎng)絡(luò)中匯聚

層和接入層交換機(jī)的VLAN劃分，實(shí)現(xiàn)不同用戶、不同應(yīng)用之間的二層隔離。

VLAN的細(xì)分可以實(shí)現(xiàn)不同的用戶與業(yè)務(wù)之間的邏輯隔離，便于實(shí)現(xiàn)細(xì)粒度

的流量管理、控制功能，同時(shí)也避免了用戶、業(yè)務(wù)之間的相互影響，如ARP欺

騙等問題。

在選擇控制的細(xì)粒度時(shí)，在網(wǎng)絡(luò)的接入層面，用戶/業(yè)務(wù)之間的隔離需要通過

VLAN來實(shí)現(xiàn)。這要求網(wǎng)絡(luò)中的二層設(shè)備能夠支持標(biāo)準(zhǔn)的802.1QVLAN,將不

同用戶的VLAN通過TRUNK的方式上聯(lián)。這種方式下，需要考慮的是接入交

換機(jī)的以下幾個(gè)功能：

?VLAN功能的支持

?支持的可劃分的VLAN數(shù)量

?VLANID的范圍

目前對于主流的接入交換機(jī)而言，都能夠支持標(biāo)準(zhǔn)的802.1Q的VLAN功能，

并且都能夠支持1K以上的VLAN數(shù)量支持，很多交換機(jī)可以支持到4K的VLAN

數(shù)量，VLANID范圍為1-4K。

采用802.1QVLAN實(shí)現(xiàn)用戶隔離時(shí)，隨著用戶數(shù)量進(jìn)一步增加，匯聚交換

機(jī)4KVLAN也不能滿足時(shí)，可以通過QinQ的方式實(shí)現(xiàn)VLAN數(shù)量的有效擴(kuò)展。

采用QinQ方式時(shí)，需要匯聚層交換機(jī)的支持。即接入層交換機(jī)為隔離不同

的用戶/應(yīng)用打上第一層標(biāo)簽，而接入層的上聯(lián)的匯聚層交換機(jī)則為不同的接入

交換機(jī)再打上一層外層標(biāo)簽，用于識別不同的接入層交換機(jī)，從而形成2個(gè)

VLAN標(biāo)簽最大4Kx4K的VLAN支持。

DASAETYPENestedVLANTAGETYPEUserVLANTAGETYPED/STAFCS

網(wǎng)網(wǎng)C2B)am61500B)(4B)

圖1-2封裝了外層VLANTag的報(bào)文

在采用這種方式時(shí)，一方面需要匯聚交換機(jī)支持QinQ的功能，還需要核心

路由器同時(shí)提供QinQ的終結(jié)和控制功能，從而大大提高了對密集用戶的隔離和

接入控制的支持。

增加外層標(biāo)簽1002

另外，由于采用了雙層標(biāo)簽來標(biāo)識信息點(diǎn)或用戶，邊緣交換機(jī)的配置可以完

全一致，如均為124,這一點(diǎn)非常有利于網(wǎng)絡(luò)今后的故障分析和維護(hù)，且有利

于減少大量接入層設(shè)備的配置工作量。

2.4.2.用戶的互訪控制

在扁平化網(wǎng)絡(luò)架構(gòu)中，用戶和服務(wù)器都是終結(jié)在核心的業(yè)務(wù)控制層面上，實(shí)

現(xiàn)統(tǒng)一的地址規(guī)劃管理和控制。如下圖所示，服務(wù)器和客戶端均需要通過核心路

由器實(shí)現(xiàn)三層的終結(jié)和相應(yīng)的控制?？蛻舳嗽L問服務(wù)器的流量將經(jīng)過核心路由

器。這種方式帶來的優(yōu)勢是控制層面集中，對用戶和網(wǎng)絡(luò)中流量的控制能力更強(qiáng),

管理維護(hù)更加簡化。

這種方式相應(yīng)的要求是核心設(shè)備的處理能力要足夠強(qiáng)，并能夠提供大量用戶

的并發(fā)終結(jié)。同時(shí)要求提供所有端口的全線速轉(zhuǎn)發(fā)，從而不會(huì)導(dǎo)致網(wǎng)絡(luò)性能的下

降。

另外這種方式下，對于終結(jié)在同一臺(tái)核心路由器上的客戶端和服務(wù)器的互訪

流量對匯聚到核心之間的帶寬占用也有所增加。由于整個(gè)校園網(wǎng)匯聚和核心之間

都采用了萬兆的互聯(lián)，因此這部分帶寬的占用也基本對網(wǎng)絡(luò)整體的帶寬不會(huì)產(chǎn)生

影響。此外，這種方式下，用戶之間的互訪，如文件共享或打印機(jī)共享，均可以

通過三層方式實(shí)現(xiàn)，即基于IP地址的共享來實(shí)現(xiàn)。

2.4.3.有線無線一體化的實(shí)現(xiàn)

當(dāng)采用扁平化的網(wǎng)絡(luò)架構(gòu)方案時(shí)，無線的部署可以和有線網(wǎng)絡(luò)一樣，都只是

提供一個(gè)校園網(wǎng)的接入通道，所有的控制功能均由校園網(wǎng)的業(yè)務(wù)控制層面實(shí)現(xiàn)，

從而實(shí)現(xiàn)真正意義上的有線無線一體化校園網(wǎng)。

和交換機(jī)等有線網(wǎng)絡(luò)設(shè)備一樣，無線AP僅是提供了一個(gè)無線的二層通道，

這類似于交換機(jī)提供的有線二層通道。在無線二層通道上可以支持IP0E/L2TP

報(bào)文，能夠提供DHCP接入，L2Tp認(rèn)證等機(jī)制，從而簡化了無線網(wǎng)絡(luò)設(shè)備的成

本和管理維護(hù)需求。

在網(wǎng)絡(luò)核心的業(yè)務(wù)控制層設(shè)備上，可以實(shí)現(xiàn)在用戶通過WLAN實(shí)現(xiàn)接入時(shí),

向radius系統(tǒng)發(fā)送相應(yīng)的屬性信息，實(shí)現(xiàn)對用戶無線接入的識別，并進(jìn)行相應(yīng)的

控制或計(jì)費(fèi)策略。

2.4.4.IPv4/IPv6雙棧的實(shí)現(xiàn)

IPv6是今后網(wǎng)絡(luò)的發(fā)展方向，下一代互聯(lián)網(wǎng)的發(fā)展趨勢就是IP