本站原创摘 要 :本文以肇庆电大校园网为例,描述了构建高性能校园网的目标和方案,应用关键的路由交换技术极大提高了建设高性能校园网的效能性,整体提升了校园网的安全性,增大了网络运维、怎么写作和集中管理的灵活性.
关 键 词 :校园网 路由交换技术 应用 虚拟局域网
中图分类号:TN393.18 文献标识码:A 文章编号:1007-9416(2013)03-0111-02
1.引言
肇庆电大在九十年代末建立了校园网并运行怎么写作至今,期间更换提升了一些关键网络设备和技术.随着学校的发展加快,信息化的需求加大,高新网络技术及应用的出现和开放教育改革正加速朝着网络教学、远程教学、教育资源共享的方向发展.使得原有的校园网显现出了在高效能性、高可靠性、高稳定性、高安全性、易管理性等方面问题,就促使目前学校在对校园网及其信息应用进行不断的升级改造和完善架构,本文将以构建肇庆电大高性能校园网为案例探讨路由交换技术的应用.
2.技术方案
要建立一个可扩展的、高速的、充分冗余的、基于统一架构标准的网络,设计配置路由交换模式的校园网.要充分发挥利用路由交换的高性能管理,满足大容量、高速率的数据通信传输,能对网络的各种信息数据处理充分,有利于将来网络的扩充、维护和管理.为后来建设移动校园与教育信息资源平台的信息化工作,提供优质性能怎么写作的物理网络.
根据学校原有网络状况,以及建设目标要求,校园网主干采用分布式三层网络结构,抛弃四层或五层局域网体系结构减少了网络层次.网络的三个层次各司其职,管理智能化,提高管理效率.学校校园网主干带宽全部为1000Mbps,实施网络路由管理,有效地控制网络风暴避免了二层广播的安全威胁,实现跨虚拟局域网的网络连接,为网络安全提供了强有力的保障.核心层交换机采用高性能路由交换机,采用最新成熟的设备产品型号,必须具有完备的局域网体系的相关产品与强大的怎么写作和支持能力.从核心、汇聚到接入交换机全部通过静态路由相连,接入交换机上划分若干个虚拟局域网.在网络汇聚点要避免使用小设备(交换机的吞吐量要大,支持的接口数目要多),测试确认路由交换机在网络环境中必须同时支持所有端口的线速路由.实现每台交换机策略性网络管理和宏观网络管理,改进风险管理.
3.路由交换技术的应用
路由交换技术将第二层交换机和第三层路由器两者的优势结合成为一个有机的整体,具有以相对低的代价获得传输性能上十分高的能力.可伸缩的线速路由吞吐量,减少延迟/消除抖动,支持实时、多媒体的网络业务应用系统,集中的网络管理,成本更低.最大限度地解决了校园网内子网的分散性和用户的杂乱性,解决了校园网络管理上的重大难题.
3.1 实现路由交换技术
校园网核心层级是学校网络中心,提供负载平衡、快速收敛和扩展性,连接各汇聚设备,完成数据流的高速转发.主要安装部署校园网的核心设备,并预留将来与校本部以外的几个教学点的通信接口.
校园网汇聚层级是学校建筑物的主干结点,在主干网节点上安装的交换机位于网络的第二层,它向上与网络中心的主干交换机相连,向下与各楼层的交换机相连,汇聚接入层设备的流量,高速无阻塞地转发给核心层设备.校园网按地域设置了几条干线光缆,从网络中心辐射到几个主要建筑楼,并在二级主干节点处端接.
校园网接入层级是学校建筑物楼内的交换机(节点),也可以是直接连接终端设备,作为网络接入安全控制和QOS策略实现的边缘点,实现接入用户的802.1x认证.
校园网络管理系统原则是,技术管理为主,行政管理为辅.在行政管理上,安排有网络管理经验的网络技术人员,专职负责校园网设备的配置和管理,信息定期收集统计和分析,性能和安全性监控.在技术管理上,精选专业级别的网络管理软件及设备,要求部署安装在网管中心,由此提升整体的校园网的管理水平.
实现校园网络安全保障与风险管理,部署合适的安全产品和防御系统、完善的系统加固处理、良好的安全管理措施及快速的安全事件响应.主要是通过多种安全技术的综合应用来部署网络安全系统,①防火墙的部署;②入侵检测系统的部署;③漏洞扫描系统的部署;④防病毒系统的部署;⑤备份系统的部署;⑥过滤不良网络信息等其它安全手段.
3.2 关键交换设备部署应用
在本高性能校园网的构建中,校园内网用户不仅通过路由器接入因特网、内网用户之间也通过第三层交换机上的路由功能进行数据包交换,采用分布式三层进行分开设计、配置,分别采用专线连接到因特网和电路交换到校园网两种方式实现远程访问需求.
核心交换机是采用第三层高性能交换机,担当校园网主干的局域网路由器,用其第三层转发功能取代传统的局域网路由器.提供了极高的核心交换能力和路由,通过第三层高性能的交换消除了在核心的路由器瓶颈,并保留现有的子网络结构.提供了一个强壮的、可伸缩性的网络结构,并结合了灵活的虚拟局域网支持、组播怎么写作、多协议路由和具有RMON及巡回分析端口的网络管理.第三层高性能交换机具有良好的虚拟网络支持能力,可以跨越各个建筑物的地理限制,在全校范围内建立必要的虚拟网络,从而为网络的应用、管理和维护带来极大的便利.网络中心用的高性能怎么写作器直接连接到核心交换机的千兆以太网端口上,以解决可能会出现的瓶颈问题.核心交换机采用最新改进的ASIC制造技术,提供线速的第二层和第三层通信数据转发,并采用先进的基于策略的怎么写作,支持实时、多媒体网络业务.汇聚接入交换机配置网管千兆交换机,用于按地域将连续IP地址划分子网,建立虚拟局域网.
3.3 在安全上的应用
路由交换技术为构建高性能校园网提供安全方面的应用,实现提供了安全层划分机制,兼顾了高性能和低风险的特点.应用三层网络分割界限,来区隔流量并提供深层防御机制.把校园网划分为多个虚拟局域网,每个虚拟局域网代表一个子网.应用虚拟局域网技术限制了广播域(broadcastdomain)的作用范围,对设备管理进行逻辑分组,在不同子网之间实施各异的访问控制机制,确定设备与虚拟局域网之间的对应关系,划定不同的访问机制,方便了网络管理.应用网络过滤控制机制,是基本的防火墙和访问控制列表(ACL).实施安全策略和系统需求规定了过滤规则,对网络中的数据流进行允许或禁止通过操作.
同时,采用二层控制机制,包括虚拟局域网访问控制列表、私有虚拟局域网和二层防火墙,对网络流量保持有效的分隔,在物理网络和依赖虚拟网络接口的虚拟化环境中实现,还通过使用端口配置文件和可运用于虚拟机的安全区达到风险控制的目的.虚拟局域网访问控制列表的功能应用,可以用在二层的物理交换/路由设备上.虚拟局域网访问控制列表可以过滤同一个虚拟局域网上多个设备之间桥接的流量,而不一定只被用于进出虚拟局域网的路由流量.通过定义虚拟局域网访问控制列表来阻止特定类型的流量(UDP、TCP等)或端口,虚拟局域网访问控制列表就能有目的性地阻止进出各个主机的流量.根据管理的不同要求,虚拟局域网访问控制列表可以与特定的接口联系起来,或者更广泛地用于整个虚拟局域网,可以实施最小权限粒度流量控制.私有虚拟局域网的端口流量控制功能应用保障了网络安全,端口划分为混杂端口、社区端口、隔离端口三种.私有虚拟局域网粗略分隔二层流量,而非精细控制,支持用作于深层防御,且打破子网广播域.
4.结语
确定网络构建技术方案是关键,本方案特点是具有突出性能的同时,又有效地节约了整体造价,又能简单完美地维护与扩展.基于路由交换技术的采用以其高效的性能和优良的性价比得到了认可,能不断提高解决网络对需求与资源应用增长速度的支持能力.