教育城域网技术方案建议书

教育城域网技术方案建议书内容摘要：

地址学习数目限制和 MAC 地址与端口绑定实现。 支持用户分级管理和口令保护，支持 MAC 地址学习数目限制、 MAC 地址与端口绑定、端口隔离、 MAC 地址黑洞；支持防止 DoS 攻击功能。 具有丰富的 QoS 特性，支持基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、端口、协议的 L2~L7 复杂流分类，充分保障了复杂网络对于 QoS 规则的要求。 在本次组网中非常适合从事汇聚层面的工作。 出口路由 设计 出口路由 采用 MSR5040，由于部分区县汇聚需要使用 VPN 连接中心区网络，我们为 MSR5040 配置了高性能的数据加密插卡，为 VPN 网络提供了更高的安全性能，同时 MSR 系列路由器独有的多业务扩展能力为教 育城域网用户今后的语音扩展等业务提供支持，最大程度的保护用户的投资，此外， MSR5040 还具备防毒卡的扩展能力，可以为教育网中心网络的病毒防护提供更多的选择。 3 网络业务设计 路由设计 路由协议选择及设计建议 选择何种路由协议，对于最大程度的发挥网络的效能具有重要意义，因此本次 XX教育局城域网中心网络 网络建设的路由协议的选择也就十分重要。 路由协议选择原则 在大型网络中，选择适当的路由协议是非常重要的。 目前常用的路由协议有多种，如 RIP、 OSPF、 ISIS、 BGP、 PIM 等等。 不同的路由协议有各自 的特点，分别适用于不同的条件之下。 12 选择适当的路由协议需要考虑以下因素： 1）路由协议的开放性：开放性的路由协议保证了不同厂商都能对本路由协议进行支持，这不仅保证了目前网络的互通性，而且保证了将来网络发展的扩充能力和选择空间。 2）网络的拓扑结构 ：网络拓扑结构直接影响协议的选择。 例如 RIP 这样比较简单的路由协议不支持分层次的路由信息计算，对复杂网络的适应能力较弱。 路由协议还必须支持网络拓扑的变化，在拓扑发生变化时，无论是对网络中的路由本身，还是网络设备的管理都要使影响最小。 3）网络节点数量：不同的协议对 于网络规模的支持能力有所不同，需要按需求适当选择，有时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。 对于本网络，在选择路由协议时不能只看眼前，还要充分考虑今后的扩展性 4）与其他网络的互连要求：通过划分成相对独立管理的网络区域，可以减少网络间的相关性，有利于网络的扩展，路由协议要能支持减少网络间的相关性，是通常划分为一个自治系统（ AS），在 AS之间需要采用适当的区域间路由协议。 必要时还要考虑路由信息安全因素和对路由交换的限制管理。 5）管理和安全上的要求：通常要求在可以满足功能需求的情况下尽可能 简化管理。 但有时为了实现比较完善的管理功能或为了满足安全的需要，例如对路由的传播和选用提出一些人为的要求，就需要路由协议对策略的支持。 本网络路由协议的选择 考虑到协议的通用性、标准性以 XX教育局城域网中心网络 网络系统的网络规模，建议在本次网络建设中选择 OSPF 作为未来网络动态路由协议，选择 OSPF 主要有以下几个原因： 1．标准开放性及成熟性 OSPF 是开放的标准协议，受到广大厂家设备及组织的支持，也是目前网络构建中用得最多的协议，也是在企业网中应用最广泛的 IGP 协议；因此其性能是经受过考验及验证的。 2. 扩展能力分域功能非常适合网络扩展 13 OSPF 提供分域功能一方面保证路由转发效率，另一方面要提供很好的网络扩展能力。 当然路由协议的选择也必须考虑本系统的整体规划，本次方案选择的 S7500E 产品具有丰富的路由协议支持能力，单播、多播路由协议包括 OSPF、 RIP、 PIM 等都提供很好的支持，因此可以适应本系统的路由协议的选择。 VLAN的划分 划分 VLAN的必要性 VLAN 是建立在各种交换技术基础之上的。 所谓交换实质上只是物理网络上的一个控制点，它由软件进行管理，所以允许用户利用软件功能灵活地配置资源，管 理网络。 利用交换设备中的虚网功能，不必改变网络的物理基础，即可重新配置网络。 采用虚网功能，网络性能可以获得较大的改善： ，有效地分割通信量，因而能更好地利用带宽，提高网络总的吞吐量。 布线，因为虚网技术是从逻辑角度而非物理角度来划分子网的，所以采用虚网技术能减轻系统的扩容压力，将迁移费用降至最小。 ，增加网络的安全性和保密性。 虚拟网络的安全策略采用的主要协议为 ，此协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。 ，但与传统的局域网协议所不同的是，虚拟局域网能限制广播的区域，从而节省网络带宽。 ，用封装的办法支法支持不同的网络协议络协议，如 SNMP、 NMP、 IPX、 TCP//IP、 等，兼容性非常好性非常好。 “虚网中继”， VLAN Trunking 特有技术的采用也 14 成成为了必然。 必然。 简而言之 ， VLAN Trunking 主要是通过一条高速全双工通道来实现将将一个 LAN Switch 端口所划分的不同 VLAN 与其它 LAN Switch 中各自相应的VLAN 成员进行线路复用连接的技术。 VLAN Trunking 技术的采用，既节省了信道数据量，又提高了可靠性，并便于管理及方便连接，提高了整个网络吞吐量和性能指标。 其原理如下图所示： V1 V2 V3 V4V1 V2 V4 V1V1 V2 V32 0 0 Mb p sB a n d w i d th2 0 0 M bp sB a nd w i dt hVL AN 1 t o VL AN 4VL AN 2 t o VL AN 2 V L A N T r u n k in g 技 术 如果采用 VLAN trunking 的技术，则 V V V3均可通过一条全双工的 100Mbps，即 200Mbps 的速率与上级 LAN Switch 进行互通并经过位于树根部的 路由器进行路由与其它的 VLAN 进行通讯。 VLAN trunking 技术的优点在于采用一条高速通道连接，提高了通道的使用效率，如在，如在 V2， V3 无数据量的情况下， V1 可以独占此 100M带宽；并且可以使得线路的连接变得简单，从而大大提高可靠性与易维护性。 划分 VLAN的方法 H3C 公司的 E 系列 接入交换机不仅能够支持标准的 VLAN，还能实现端口之间的隔离。 我们可以使用 E系列 支持的 PVLAN（ primaryvlan）这个特性，一方面实现用户 15 之间的隔离，另一方面可以为三层交换机节省 VLAN 资源。 E系列 可以屏蔽下面的 VLAN划分，仅向三层交换机提供一个 VLAN 信息，在边缘交换机实现了端口可以同时属于多个 Vlan； 如图所示：其中端口 1为 uplink 端口，端口 2， 3， 4为接入端口； Vlan 1：包含端口： 1， 2， 3， 4， 5 Vlan 2：包含端口： 1， 2 Vlan 3：包含端口： 1， 3， 4 Vlan 4：包含端口： 1， 5 2 4 51vlan 1vlan 3vlan 2 vlan 43 设计中采用了几个 secondary vlan 包含在一个 primary VLAN 中的方式，给用户提供了灵活的配置方式。 如果用户希望实现二层 报文的隔离，可以采用了为每个用户分配一个 secondary vlan 的方式，每个 vlan 中只包含用户连接的 port 和 uplink port；如果希望实现用户之间二层报文的互通，可以将用户连接的端口划入同一个VLAN 中；同时创建 primary vlan，该 vlan 包含所有 secondary vlan 中包含的端口和 uplink 端口，这样对上层交换机来说，可以认为下层交换机中只有一个 primary vlan，用来标识设备，而不必关心 primary VLAN 中的端口实际所属的 VLAN，简化了配置，节省了 VLAN 资源。 primary vlan 中的所有端口都不是 的 trunk 端口，包括与其它交换机相连的 uplink 口。 每个 port 的 PVID 就是它所属 secondary vlan 的 ID； uplink 端口的 PVID 是 primary vlan 的 ID； 16 我们建议在接入交换机上根据各个部门之间的逻辑关系进行灵活的 VLAN 划分。 可以让一个楼层对应于一个 PVLAN，楼层内的不同部门分属不同的 Sencondary VLAN。 这种划分方式中，可以对用户能实现动态的 VLAN+MAC+IP 绑定，可对用户发动的伪造攻击报文进行合法 性检查和过滤，具有一定的网络安全性保障。 不同 VLAN 间的互访，必须经过三层交换机进行转发。 VLAN规划 我们建议按 不同的业务使用主体来 规划整个 XX 教育局城域网中心网络 的 VLAN 资源。 如：学生宿舍 学生宿舍 教师、校管理人员等。 为了减小广播域，建议 VLAN 终结在 汇聚层 的三层交换机上，每个 VLAN 内的主机数量原则上不要超过 250 台，建议每个 VLAN 内的 PC 机数量控制在 50 台以内。 VLAN 的划分可以依据不同的业务部门进行也可以依据用户所处网络的物理结构进行，后者主要是从网络性能角度出发，而前者还兼顾了 网络安全性可控性的需要。 根据实际业务部门办公环境的分布情况来看，在大部分情况下，两者实现了重合，而对于少数由于办公地点不同，隔离在不同汇集点的相同业务部门，我们则推荐第一种方式。 将端口分配给 VLAN 的方式有两种，分别是静态的和动态的。 静态 VLAN： 形成静态 VLAN 过程是将端口强制性地分配给 VLAN 的过程。 确定哪些端口属于哪些特定的 VLAN，然后将 VLAN 静态映射到端口。 这是将端口映射到 VLAN 的一种最通用的方法。 对于学生宿舍，教师办公等用户相对集中的区域，建议采用这种部署方式，将 VLAN 部署在用户对应 的汇聚交换机端口上。 动态 VLAN： 我们知道， VLAN 常常被规划用于对 “ 资源访问权限 ” 的分组，不同的 VLAN 具有不同的访问权限，每个 VLAN 内有一个 IP 地址网段，不同的 VLAN/IP 地址段的用户，具有不同的访问资源的权限。 用户权限数据一般存储在 CAMS 或接入认证系统 UAM（后 17 台综合访问管理服务器）中， CAMS 根据用户端的权限归类，在认证通过之后向二层交换机作动态的 VLAN ID 下发配置。 此时，二层交换机要支持 VLAN 的动态配置功能（ H3C 全系列交换机支持）。 从广播控制角度出发，为了保障网络的高可用和高 性能，我们建议在进行具体VLAN 规划时，同一个广播域内（一个 VLAN）的通信主机不要超过 250 台，最好控制在 50 台以内，对于主机数量超过 50 的业务部门，我们通过二层隔离，三层交换的方式来解决。 管理 VLAN： 作为特殊 VLAN 的典型，建议保留 VLAN1 作为管理 VLAN，管理 VLAN 覆盖到全网的每一台交换机，但在第三层接口上，需要与其他业务 VLAN 进行有效的隔离。 网管工作站建议另外设置一个 VLAN，例如 VLAN ID=4000,VLAN4000 与 VLAN1 在第三层上相通，同时，部分业务 VLAN 可以访问 VLAN4000，从而实现网管的分布式监控布局。 VLAN1和 VLAN4000 的第三层路由接口处设置访问控制列表，只有特定的主机或者只有网管VLAN 可以直接访问每一台设备，其他均在过滤之列。 对于服务器建议单独设置在一个 VLAN 中。 业务 VLAN 可以按照部门的类别进行划分，每个部门划分一个 VLAN，部门人数超过 50 名的应该划分为两个 VLAN，以保证交换的性能，业务 VLAN 的命名建议采用VLAN100 作为第一个业务 VLAN，然后按照数字序列进行划分，一直到 VLAN123。 本次 建议 在 XX 教育局城域网中心网络 网络中 采用 静态 VLAN 划分方案 来部署。 组播业务 H3C S7500E 、 S75 S5500 SI、 S5100 EI 系列 通过标准的组播协议完成用户的组播管理， 上述产品 均可以支持丰富的组播协议，包括 ICMP、 PIM－ SM、 PIM－ DM、 MSDP等组播协议，可支持丰富的业务，包括视频点播、流媒体点播，可支持各种流媒体终端以及组播源的。