南通大学网络建设方案

南通大学校园网优化

技术方案建议书juniper, NETWORKS瞻博网络2010年10月TOC\o"1-5"\h\z\o"CurrentDocument"第一章综述 4项目概述 4建设目标 5合理的网络结构 7先进性和实用性 7网络的可扩展性 7网络的可靠性 8网络的标准化 8网络的可管理性 8\o"CurrentDocument"第二章网络方案建议及设计 9\o"CurrentDocument"设计思路 9组网原则 11拓扑设计 14\o"CurrentDocument"校园网设计 14总体架构规划 17网络部署和业务控制方案 22\o"CurrentDocument"用户的隔离、终结 22用户的互访控制 23\o"CurrentDocument"有线无线一体化的实现 24\o"CurrentDocument"IPv4/IPv6双栈的实现 25\o"CurrentDocument"IPv6组播业务的部署 26\o"CurrentDocument"用户的精细化管理的实现 27\o"CurrentDocument"用户认证计费的实现 30简化校园网维护管理工作量 31QoS服务质量保证设计 32\o"CurrentDocument"QoS概述 32\o"CurrentDocument"实现QoS的方法 36\o"CurrentDocument"基于QOS选路MPLSTrafficEngneering 38\o"CurrentDocument"Juniper路由器的QoS实现 39\o"CurrentDocument"QoS的实施建议 42IPv6 42\o"CurrentDocument"IPv6概述 42\o"CurrentDocument"IPv6对原有IPv4网络的影响 43南通大学校园网IPv6的部署 47MPLSVPN 48\o"CurrentDocument"三层MPLSVPN业务 48\o"CurrentDocument"二层MPLSVPN业务 49\o"CurrentDocument"VPLS 51不同介质的二层VPN互联 51\o"CurrentDocument"南通大学校园网MPLS/BGPVPN实施建议 52\o"CurrentDocument"第三章网络安全方案 55\o"CurrentDocument"网络设备安全 55网络管理系统的安全 56网络业务的安全 57数据传输的安全 57用户网络的安全 58\o"CurrentDocument"安全实施建议 59\o"CurrentDocument"第四章网络的可靠性 61\o"CurrentDocument"设备的可靠性保证 61网络结构的可靠性 62链路的冗余保护 62\o"CurrentDocument"MPLSLSP的可靠性 62\o"CurrentDocument"第五章网络的自愈与恢复 66\o"CurrentDocument"概述 66\o"CurrentDocument"GracefulRestart（平滑重启） 66\o"CurrentDocument"BGP和转发层面的快速收敛分析 69\o"CurrentDocument"MPLS/LDP的网络快速收敛 70\o"CurrentDocument"第六章方案特点 71高可用性 71高性能 71高安全性 71高度的开放性与标准化 71易维护 72业界最完整的MPLSVPN支持 72业界最完整的组播支持 72支丰昌的增彳直业 72业界最为全面的IPv6功能 73第一章综述1.1.项目概述全球信息化，这是一个不可阻挡的历史进程。这场信息化浪潮，不仅推动着世界经济的高速发展，也在引起人们生活习惯、工作方式、价值观念以及思维方式等诸多方面的深刻变革，从而进一步促进人类社会的巨大进步。作为科教兴国的核心一一教育，其信息化的建设更是显得尤为重要。从1993年，国家就开始着手建立中国教育科研网（CERNET）骨干网络，到后来的各省的教育信息化网络的建设，中国的教育信息化在经历着一个快速发展的时期。南通大学校园网络是以计算机网络技术为基础的区域教育信息化集成应用系统。它是以计算机网络技术为基础、以网络教育资源与网络教育软件为核心、以构建现代教育和管理模式为目的、以提高教学与管理效益为根本、为南通大学教育信息化提供全方位服务的教育网络。随着教育信息化进一步深化，南通大学校园网络规模很大；同时互联网的发展又极为迅速，各种网络应用曾出不穷，这对校园网建设提出了更高的要求。一方面，校园网的大部分用户是面向学校各级系统的，而目前校园网中大部分流量都是用户和应用系统使用造成的，尤其是大量使用多媒体文件共享及其它带宽密集型应用，从而消耗大量校园网带宽和教育科研网骨干网带宽，南通大学校园网也面临同样的问题，在网络应用不断扩展、网络用户不断增加、接入系统不断扩充的情况下，网络拥塞存在现象。因此此次网络改造很重要的一个方面就是构建万兆带宽的校园骨干网络。其次，网络流量中主要流量为各个应用系统和网络用户产生的流量，对于校园网的流量进行控制已经成为当务之急，现有的网络设备不具有如此精细颗粒度的流量控制能力。另外，随着网络应用如远程教育、数字图书馆等新型业务的启动，网络需要能够承载视频、语音等综合业务，需要核心网络设备具备线速的组播和多业务承载能力，现有的网络设备也无法满足新型业务的需求。同时，高校校园网作为一张运营级网络，IPv6、MPLSVPN的应用是将来的必然趋势，必须在南通大学校园网上提供良好的承载。综上所述，正是在这样的背景下，建设高性能、高水平的南通大学信息化基础设施平台成为必然要求。12建设目标根据对南通大学校园网络需求的分析，可以对网络的建设目标有更清晰的认识。南通大学校园网建设应该向着高性能、精细化和易管理的方向发展。针对南通大学校园网环境的应用需求，结合我们在全球教育领域的先进经验，我们建议在网络建设时，重点考虑以下的几个方面，建设一张定位先进、适合南通大学自身特色的校园网。首先，是要建立一张满足校园网的性能要求，并具有良好的应用支撑能力的网络，包括以下几点：I、采用高性能的设备构架校园网络，作为校园的信息支撑平台；2、能够提供优异的校园应用支撑能力，同时保证网络性能的不下降。这一点尤为重要，特别是在校园网络承载大量的教科研应用系统的情况下，必须保证对应用系统具有良好的承载;3、通过高可靠的设备，构架稳定可靠的校园网络；4、设备具有较高的性价比，并提供可持续扩展的能力；从这些需求考虑，高性能路由器比三层交换机更适合作为校园网络的核心设备。第二，是要实现整个校园网真正的精细化管理，包括以下几个方面：1、针对校园网络，包括在校园网内部和到外部网络访问中有效的监视、记录和审计，实现对使用者身份（可与一卡通系统实现整合）、网络IP地址及其访问行为的识别和记录，做到可跟踪和可追查；2、能够对网络中的使用者，实现基于用户身份的行为控制，诸如可访问的资源权限、对网络带宽的占用等方面的控制，做到可控制、可管理；3、网络应用的精细化管理，实现完善的流量识别和控制能力，保障重要应用系统的网络承载，包括安全性、带宽保障、可靠性等方面，做到可识别、可保障；4、针对校园网络本身的管理，通过网络的层次化划分，简化网络逻辑架构，便于针对性的管理，同时也提高网络的可靠性和可扩展性。第三，校园网也需要考虑到以下几个方面：针对IPv6应用的逐步推广，需要针对IPv4/IPv6双栈环境提供相应的支撑；同时，结合此次校园网改造，需要实现完善的用户接入认证，结合一卡通系统，提供统一的身份认证系统和网络行为审计系统，配合新校区网络设备，实现用户上网实名制和网络行为审计功能。对于在校园网络中无线的覆盖，我们建议采用有线无线一体化的建设思想，实现统一的接入控制和认证方案，便于用户在不同环境中的应用，也便于全校实现统一的控制和业务策略。

校园网分别与电信运营商、教育科研网等实现了互联，相对于校园网内部带宽，校园出口带宽较小，大量内部流量汇集到出口，形成了瓶颈，存在网络拥塞等情况，建议部署合适的校园出口防火墙设备。远程安全接入体系（校园统一安全门户）的建立。高性能”•快速定位故障和排错•新应用的部署高性能”•快速定位故障和排错•新应用的部署_•利于网络未来的扩展下一代校园网易管理精细化•对用户的深入控制•基于用户身份的控制合理的网络结构通过校园网的整合改造，形成合理的校园网络架构，提供稳定、可靠、高效和灵活的业务承载平台，满足高等教育丰富应用的需求。先进性和实用性网络设计应本着实用与先进的原则。一方面能满足校园网应用系统的数据传输要求，为各信息点提供网络传输服务。另一方面，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术结合起来，充分考虑到校园网络应用的现状和未来发展趋势。网络的可扩展性业务的发展对网络的需求是不断变化的，网络应用系统为了满足这些需求也会随之变化。面对不断变化的情况和需求，网络应当能够作出快速和有效的反应。因此，网络必须具备良好的可扩展性，应支持核心业务系统的不断扩展，适应未来业务的发展和变化。同时，网络结构应当能够变化，具有灵活的伸缩能力，网络设备可以扩充和升级。网络的可扩展性也体现在网络设备的可扩展性和良好的性价比和投资保护。网络的可靠性网络系统的稳定可靠是校园网络各个应用系统正常运行的保证，应采用高可靠性的网络产品和完备的网络备份策略，对于不同层次的设备和线路进行不同级别的可靠性设计，使网络具有故障自愈的能力。的标准化网络设计中所用的各种管理信令、接口规程、协议须符合国际标准。网络技术的选择上采用开放的标准技术，且适度前瞻。技术具备开放性和通用性，保证能在多厂家、多品牌设备的良好的互连互通。1.2.6.网络的可管理性随着网络规模的不断扩大和网络的不断复杂，网络的维护量随之增加。整个网络的可管理性变得尤为重要。因此，数据中心网络系统应当具有统一的可管理性，建立统一的网络管理平台。不仅实现对网络设备的管理，同时实现对网络策略的管理和不同协议的多级维护。第二章网络方案建议及设计设计思路当今网络的建设存在两种建设思路：路由式网络和交换式网络。路由式网络,一般其核心是由高、中端路由器构成的；而交换式网络，主要是通过三层交换机来构建。在讨论两种模式之前，让我们先来分析一下路由器和三层交换机的区别。首先，让我们看看三层交换机的起源。早期的交换机为两层交换机，其没有VLAN的概念，所有的端口都处于一个广播域内，存在着广播风暴问题，尤其是对于大型的局域网，广播风暴经常造成网络拥塞，甚至网络变为不可用。为了减少广播风暴的危害，出现了VLAN的概念，必须把大型局域网按功能或地域等因素划他成一个一个的小局域网，尽量将广播控制在较小的范围内，隔离广播对其它VLAN的影响。但是，由于不同VLAN的隔离作用，当存在需要跨越VLAN的流量时，就需要具有路由功能的路由器，为了便于管理和降低成本，出现了带有简单路由功能的交换机，也就是三层交换机。三层交换机的路由功能通常比较简单，路由计算远没有路由器那么复杂。它用在局域网中的主要用途还是提供快速数据交换功能，满足局域网数据交换频繁的应用特点。第三层交换具有以下特点：主要用于大型局域网和小规模的城域网。大型三层交换机采用ASIC技术，数据包的交换能力较强，交换能力往往达到数十G,甚至上百G；为了应付大型局域网的需要，具有一定的路由功能和控制能力；较低的设计和生产成本，较少的考虑电信级的高可靠性设计；除了必要的路由决定过程外，大部分数据转发过程由第二层交换处理，三层交换往往采用集中转发；路由软件设计简单，较少的运营商业务提供能力，较慢的路由收敛速度;•二层网络协议采用生成树协议(STP),基于二层之上的三层路由协议IGP采用OSPF、IS-IS和RIP,BGP采用BGP4。部分高档三层交换机集成了防火墙、IDS、4-7层交换等功能，简化了网络设计，降低了管理压力；端口相对较单一，主要是10M/100M/1000M/10G等不同类型的局域网端口，端口密度较高，部分高档交换机为了满足广域网连接的需要，增加了部分广域网端口；从三层交换机出现的背景和特点来看，它主要为了解决VLAN之间的互访问题，但是，由于局域网的特点，并没有太强的流量控制功能，对QoS、MPLS、流量采集、Internet路由和流量的特点考虑较少、接口类型单一，这些特点也是由它的应用环境决定的。而路由器则不同，它的设计初衷就是为了满足不同类型的网络连接，虽然也适用于局域网之间的连接，但它的路由功能更多的体现在不同类型网络之间的互联上，如局域网与广域网之间的连接、不同协议的网络之间的连接等。它最主要的功能就是路由转发，解决好各种复杂路由环境下的路径计算和选择，所以路由器的路由功能通常非常强大，不仅适用于同种协议的局域网间，更适用于不同协议的局域网与广域网间。它的优势在于选择最佳路由、负荷分担、链路备份以及和其他网络进行路由信息交换等功能。为了与各种类型的网络连接，路由器的接口类型非常丰富，而三层交换机则一般仅同类型的局域网接口，非常简单。路由器的特点：丰富的路由和控制功能，适用于复杂多变的大型网络环境针对于Internet的流量特点设计，较强的流量控制功能随基于MPLS、IPv6等技术的业务的强大支持能力•强大的QoS功能，能提供差异化业务的基础极强的高可用性设计，满足电信级的要求•采用最新的路由器设计模型和理念，路由控制功能和数据转发功能严格分离，保证了路由器的可靠运行，全分布式的包转发设计保证了整个设备的性能。•新一代的大型路由器采用ASIC、分布式处理的实际思想，路由能力通常达到几百G,甚至几个T。我们从三层交换机和路由器的起源上进行了一个简要的分析，从上面的分析来看，三层交换机是带有简单路由功能的交换机。从提供服务的角度来考虑，南通大学校园网的建设目标是建设一个覆盖整个校园、具有远程教育功能的宽带网络和教育信息化网络平台，并实现宽带接入Internet服务提供商、中国教育和科研计算机网CERNET,这张网络上承载了大量的业务、应用和终端用户，应用复杂、用户众多。从这个意义上来讲，南通大学校园网就相当于一张运营商的城域网络，而且规模较大。在这张网上不是仅仅只需要进行以太接入，而是需要提供有差别的服务。对于这种不同类别的服务，需要硬件QoS的保证、需要有完备的MPLSVPN的功能、需要能够全面硬件化的支持IPv6、需要提供稳定而可控的Multicast的支持。并且这些服务的提供，应该是以不下降网络性能为前提条件。所有这些，只有在路由器上才能得到完备的支持。这一点，在运营商多年的运营经验上得到了证实。从业务功能支持的角度考虑，现有的交换机设备在端口数和带宽上能够满足现有应用的要求，但当网络承载的业务增多，需要对不同业务进行控制和QoS优化时，交换机的架构决定了开启这些高级功能之后设备性能会急剧下降，从而影响整个网络的使用。而路由器由于本身均采用了硬件支持QoS、IPv6、组播等功能，能够平滑的支持新的功能。综上所述，无论从理论上还是实践上来讲，考虑网络未来几年的发展和多业务承载能力，建议南通大学校园网采用路由器来构建校园网核心节点。22组网原则以以下几个方面的技术要求为基础：先进性：网络应采用业界先进的高端路由器，充分满足现在及将来网络、业务发展的需求，在未来几年内都不会过时。并采用先进成熟的通信和计算机技术进行组网。可扩充性：必须随着需求的变化，充分留有扩充余地。网络结构采用层次化的网络结构，利于网络的管理和维护，网络的稳定，网络的可扩展，同时尽量减少网络的层次，减少网络延时，提高网络性能。投资保护：选择性能价格比最好的设备，并考虑容量和性能配置的灵活性。标准化和开放性：采用通用的国际标准和协议，不采用或尽量少采用厂家特有的产品和功能。能与其它厂家的产品互连互通，能与各类宽带传输交换平台充分互联，能够承载和交换各种信息并将其接入公众用户。可靠性：利用物理链路备份和动态路由协议实现路由备份和负载分担，保证网络互通性安全；关键部件冗余配置，保证单节点的可靠性。可管理性：采用统一的网络及业务管理系统。•安全性：在设备选型上充分考虑设备抗攻击的能力。在满足上述一般网络设计要求的基础上，南通大学校园网还需要满足营运级的可靠性、QoS、扩展性、网络互联、通信协议、网管与安全等方面的要求：1）可靠性核心层路由设备的所有模块和环境部件应具备1+1或1：N热备份的功能，切换时间足够小。所有模块具备热插拔的功能。系统具备99.999%以上的可用性。网络的结构设计应提供足够的路由冗余功能，以便在线路和设备出现故障的情况下数据流应能寻找其他路径到达目的地址。在一个足够复杂的网络环境中，网络连接发生变化时，路由表的收敛时间应足够小。2）拥塞控制与服务质量保障拥塞控制和服务质量保障（QoS）是数据通信网的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样，网络的数据流量突发是不可避免的,因此，网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。3）业务分类按照经验，一般要求网络设备应支持4-5种以上业务分类。当用户终端不提供业务分类信息时，网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类。4）接入速率控制接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。5）通信协议的支持以支持TCP/IP协议为主。设备商应提供服务营运级别的网络通信软件和网际操作系统。支持RIPv2、OSPF、IS-IS等多种国际标准的域内路由协议。支持BGP-4等标准的域间路由协议，保证与其他IP网络的可靠互联。支持MPLS标准及相关应用。应支持丰富的组播协议。6）网络管理与安全体系支持整个网络系统各种网络设备的统一网络管理。支持故障管理、记帐管理、配置管理、性能管理和安全管理五大功能，即FCAPS五个方面的功能。支持系统级的管理，包括系统分析、系统规划等；支持基于策略的管理，对策略的修改能够立即反应到所有相关设备中。网络设备支持多级管理权限，支持集中的RADIUS,TACACS+等认证、授权和审计的机制。支持安全监控和控制机制，当发现存在安全漏洞和遭到攻击时，应及时通知网络管理人员，并应自动采取适当的措施予以保护。23拓扑设计2.3.1.校园网设计网络结构就像是建筑的根基。根基不好，则整个建筑不稳。网络结构的优劣,将影响网络的各个方面，譬如安全、维护、管理等等。过去的网络，由于受到设备能力的限制等因素，网络结构的设计，往往根据设备来设计网络。而今天的网络，我们则应该根据应用，根据是否更具备扩展性、是否更安全，是否更易于维护和管理来考虑。基于Juniper对下一代互联网的认知以及对南通大学校园网的理解，我们认为新一代的南通大学校园网应该以适应教育信息化需求为最终目的，简化和优化网络结构，简化管理层次，清晰业务流程，形成一个大容量、高可靠性、宽带化、有严格服务质量和安全保证，具有丰富的信息资源，能够承载多种应用系统，提供覆盖地域广泛的宽带接入，适应整个教育行业信息化发展需要的下一代互联网，是南通大学校园网改造项目的目标。校园网整体发展的趋势是向着层次清晰化，整体架构扁平化的方向发展，如下所示，按照网络层次清晰化的目标，按照网络中不同的功能定位，实现二三层网络分离，构建物理和逻辑层次清晰的三层路由网络（核心业务控制层面）和二层宽带接入网（宽带业务接入层面）。核心的业务控制层面提供了统一的用户终结和业务控制功能。通过控制层面设备的大容量、少节点、广覆盖，有效减少网络的物理和逻辑级联级数，网络架构更加清晰，效率更高。同时核心节点的高性能和丰富的功能特性也保障了在整个网络中能够提供统一高效的业务控制能力，实现管理控制的集中化。宽带接入层包括了网络的汇聚和接入层没，用于负责用户和业务的接入和二层VLAN的隔离，而不再提供用户终结和业务控制方面的能力，有利于减轻这个层面设备的压力，提高整体网络的可靠性。同时，网络结构扁平化有利于网络中故障和问题的判断和处理，网络更易于管理和维护，同时也有利于网络的扩展和保护投资。采用扁平化两层架构和传统三层架构的比较如下:扁平化网络架构传统三层网络架构网络架构描述网络按照功能进行区分，划分为核心的业务控制层面和边缘的宽带接入层面两个部分网络按照层次进行区分，划分为核心层、汇聚层和接入层三个层次构架设计依据按照网络层次清晰化的目标，按照网络中不同的功能定位，实现二三层网络分离，构建物理和逻辑层次清晰的三层路由网络（业务控制层面）和二层宽带接入网（宽带业务接入层面）早期的园区交换网络架构中，由于核心设备端口密度、处理性能的限制，不能直接实现与接入层交换机的连接，因此增加了一层网络汇聚层设备，通过汇聚层设备实现一部分接入交换机汇聚后，再上联到核心设备要优/.通过控制层面设备的大容量、少节点、广覆盖，有效减少网络的物理和逻辑级联级数，网络架构更加清晰，效率更高；网络的层次越少，网络的结构和功能越清晰；.实现二三层网络分离，构建物理和逻辑层次清晰的三层路由网络（业务控制层面）和二层宽带接入网（业务接入层面）。.宽带接入层负责用户和业务的接入和二层VLAN的隔离，业务控制层面负责用户和业务的终结和相应的控制功能，更有利于网络的管理、维护，也更.对核心和汇聚设备的端口密度和性能要求较低；用户和业务可以终结在边缘的三层交换机上，也可以终结在汇聚或核心设备上，因此对单台设备的整体的性能和业务控制能力要求较低；.传统的三层架构在企业网市场应用较广；

有利于网络中故障和问题的判断和处理；管理控制集中化；.网络结构扁平化，网络易于管理和维护，同时也有利于保护投资；.网络中的控制功能统一由业务控制层的设备实现，一般为高端路由器产品，从而能够提供更强大的处理性能、更丰富的功能特性和更好的业务支持能力，如MPLS、IPv6、QoS等;因此更有利于在网络中统一开展新的业务和应用，对今后的业务支持能力更强；.采用高性能的网络设备构建清晰的网络业务控制层面，实现集中的业务提供和控制；提供统一的业务控制与管理维护；.由于接入层设备直接接入到核心设备，因此可以通过一些特性，如快速的VRRP或者双链路的RTG功能，实现接入层设备双链路上行的ms级的线路备份和保护的问题，对业务不产生任何影响；.网络的安全控制更加容易统一和实现.由于业务控制集中在控制层面，从而便于安全策略的统一控制和实现，为不同用户和不同业务提供不同等级的安全服务。.大大减少专业技术人员的配比和维护量.由于业务控制集中在控制层面，从而不需要配比太多的专业技术人员进行维护，从而也将减少网络维护的工作量。主要需求.对业务控制层面的设备要求较高，要求有较强的业务处理性能、较高的端口密度、丰富的业务功能特性；.业务汇聚层面的设备需要支持高级的MPLSFRR、NSR、.更多的网络层次，导致网络效率的下降，对于机房、电力、空调、光路等资源的消耗更大；.业务终结的层次不清晰，由于不同层次的设备支持的业务BFD、ISSU和GR等特性，才能够实现网络业务控制层面设备本身和网络的高可靠性和可用性等方面的要求。特性的不同，因此不同的用户和业务可能分别终结在接入层、汇聚层甚至核心层，导致整个网络的维护管理界面混乱，非常不利于整个网络的管理维护和故障定位排除；.需要在核心层、汇聚层甚至接入层之间运行STP或者动态路由协议，实现线路的备份和保护功能，其收敛的时间在秒级，对于关键的业务和应用会产生影响；.从网络运行维护角度看，目前的传统网络是依照多层、多级、分步集中的设计方式建立的。网络初期规模较小，投资费用和运行维护费用所占的比重较少，但随着网络的不断发展，运行维护成本会出现成倍的增长。现在的扁平化两层架构和传统的三层架构其实从其根本上没有什么冲突，传统的三层将业务终结到核心或者汇聚层，而现在技术发展到今天，核心网络设备的功能和性能越来越强大足够承担核心和汇聚统一的功能，因此将原有传统的核心和汇聚组合成业务控制层，减少网络层次结构更加清晰化，形成面向未来的扁平化两层架构（核心业务控制层+用户接入层），其扁平化的管理及安全控制相比较传统的三层会更加简单高效易于管理。综合来说扁平化是未来网络发展的方向和趋势，它代表着网络向下一代NGN扁平化IP演进的方向，因此它带给用户的不仅仅是技术的先进性，还有对未来投资的保护，更加有利于网络的全面完善的业务支持能力、提高网络处理性能和效率，提升网络整体的可靠性和管理维护的便利性。在此次校园网改造中，我们建议按照扁平化的设计思路，建设一张高性能、高可靠、层次清晰、易于扩展、易于维护的校园网络。2.32总体架构规划我们建议在南通大学中，构建以网络中心的两台MX960核心路由器作为整个网络的核心节点，构建成整个校区的双星型网络互联架构。在核心网设备之间互联时，采用万兆以太网的方式实现各个节点之间的互联，并且可以按照实际的带宽需求增加对应节点之间的链路，从而实现带宽的有效增加。在今后100GE成为标准后，核心设备可以平滑过渡到100GE的互联，实现网络和处理性能的平滑升级，满足今后业务发展的需求。链路负载均衡器校内路由无线网核心馆核心1捷S7606一R通核心锐捷S5750JuniperM10i边界路由用秀教学核心钟秀教学核链路负载均衡器校内路由无线网核心馆核心1捷S7606一R通核心锐捷S5750JuniperM10i边界路由用秀教学核心钟秀教学核心锐徒S8610 悦拢S8610启秀图书 钟秀图书德核心 恰核心宿舍核心锐捷S8610中国电信中国教科网Pv4中国移动g教学核心锐捷S861Q主隹驶区图例：千兆多模光纤 —万兆多模光纤同时，针对核心网高可靠性的要求，建议核心路由器之间，通过MPLS流量工程的FRR快速重路由功能，能够实现50ms的故障切换机制。在这种情况下，MPLS为每个链路和节点提供单独的迂回路由进行保护，在建立标记交换路径时，每个节点负责为每条链路或节点计算保护路径，一旦某个链路或节点发生故障，立即由其直接上游节点检测到，然后在该路由器上把流量立即切换到迂回路径，从而充分满足了关键应用对网络高可靠性的需求。相对于采用RPR必须通过专用的硬件环网来实现50ms的切换，MPLSFRR最为廉价，也最具扩展性，并且与底层使用的通道无关，是园区网建设的最佳选择。汇聚和接入部分共同构成了校园网的宽带接入层面。在校园的汇聚和接入部分，大量采用了交换机来提供校园网内用户和应用系统/服务器等的接入。南通大学用户数量大，汇聚和接入层设备的数量较多，在部署是需要考虑到网络结构的合理性和便于管理维护的特性。从网络的业务控制角度出发，以便于网络管理为目的，可以将网络划分为两个大的层次：业务控制层和业务接入层。控制层的目的主要用于实施对不同业务的网络资源的需要，如带宽控制，安全控制，VPN控制等，即三层的业务/用户控制网络；而业务接入层只用于实现业务/用户接入，即二层的接入网络。这样划分的一个优点在于：控制层做为智能大脑，其控制整个网络能够提供的服务和功能；接入层只是作为连接的通道，将末端的服务器和终端连接到网络中来。对于园区网内，连接的通道主要通过VLAN或物理接口的方式。一般来讲，智能大脑数量较少，易于管理和业务的部署，以及便于升级；而接入虽然数目众多，但其功能简单，只在初期部署需要进行少量配置。整个网络在扩展性上和可管理性上都非常的强大。业务控制层从网络的实际层次来看，即可以有一层构成，也可以由多层次构成。网络层次的选择，取决于网络设备的能力、结合光纤部署的情况、以及控制点部署的需求来决定。当设备的容量不够大或处理的能力不够强，或控制点需要分布在不同的区域以便于控制，则可以考虑采用多层结构，譬如两层一业务控制层的核心层和边缘层。如图所示：校内路由业务控制层宽带接入层一•k通核心锐校内路由业务控制层宽带接入层一•k通核心锐捷S5750宿舍核心锐捷S8610出馆核心，MS7606启秀教学核心钟秀教学核心锐捷S8610 脱晓S8610腐秀图书 钟秀图书tn核心 馆核心对于汇聚层设备的上联，我们建议采用就近接入的方式提供汇聚交换机到网络核心层设备的上联。汇聚交换机均通过双星型连接的方式就近上联到核心路由器上，提供10GEx2或者GEx2的上联带宽。而接入层交换机则就近采用GE链路接入到汇聚交换机上。对教学区,我们建议:现有设备进行二层化改造，构建教学区网络的宽带接入层，并通过VLAN和QinQ实现用户之间二层的隔离；建议在接入层设备上为每个端口分配独立的内层VLAN标签，在启秀、钟秀校区核心的S8610上打上相应的外层标签；通过核心路由器提供用户接入网络时的DHCP地址分配功能，并且实现基于portal页面的用户接入网络认证和计费功能；实现用户接入校园网即认证和控制的功能，校内资源不收费，国内、国际资源按照不同资费策略计费；对于校园中的无线网络:与教学区相同，无线网核心连接到核心路由上，实现有线无线一体化架构同样通过核心路由器提供DHCP和基于portal页面的用户接入网络认证功能；无线用户不需要二次认证，采用和有线方式下同样的帐号和认证模式，用户通过无线接入时（通过Radius标准的NAS-PORT-TYPE属性），后台系统将判断用户是否具备无线访问权限，并且按照预先设定的计费方案进行计费；此时的无线控制器仅需要提供瘦AP的频率、功率等的控制，而无需提供其他功能；对于一卡通部分,各个学校有不同的处理方案,均可作为参考:一种方案是一卡通网络和校园网物理上是两张单独的网络，通过SSLVPN,防火墙、IPS等设备实现安全的，基于策略的互通；（如中国矿大）另外一种方案是同一张物理网络，在网络的汇聚和接入部分通过VLAN实现隔离，在网络的核心路由器上通过VRF或者逻辑路由器LR实现相互之间的隔离；（如南大）。对于图书馆,各个学校也有不同的处理方案可供参考:一种方案是与教学区相同，全部三层功能也业务功能都由核心设备完成，此时需要实现图书馆原有设备的二层化改造；这种方式下，图书馆的接入同样能够实现精细化的管理和用户接入网络的认证计费和控制功能；另外一种方案是图书馆仍保持原状，校园网只是提供了与图书馆之间的高带宽互联；图书馆的用户由图书馆自己管理；对于宿舍部分:宿舍的用户密集、并发量大、使用时间集中、流量大；建议对宿舍网络的用户提供相应的接入控制手段，提供宿舍区用户接入网络时的认证计费和控制功能；建议在宿舍区提供PPPoE认证，主要考虑到PPPoE适合于宿舍区的应用，windows自带客户端，使用方便，能够有效简化维护工作量，同时PPPoE在很多高校宿舍网有大规模的应用案例。2.4.网络部署和业务控制方案用户的隔离、终结在南通大学校园网中，为了避免用户之间的相互影响，可以通过网络中汇聚层和接入层交换机的VLAN划分，实现不同用户、不同应用之间的二层隔离。VLAN的细分可以实现不同的用户与业务之间的逻辑隔离，便于实现细粒度的流量管理、控制功能，同时也避免了用户、业务之间的相互影响，如ARP欺骗等问题。在选择控制的细粒度时，在网络的接入层面，用户/业务之间的隔离需要通过VLAN来实现。这要求网络中的二层设备能够支持标准的802.1QVLAN,将不同用户的VLAN通过TRUNK的方式上联。这种方式下，需要考虑的是接入交换机的以下几个功能：VLAN功能的支持支持的可划分的VLAN数量VLANID的范围目前对于主流的接入交换机而言，都能够支持标准的802.1Q的VLAN功能，并且都能够支持1K以上的VLAN数量支持，很多交换机可以支持到4K的VLAN数量，VLANID范围为l-4Ko采用802.1QVLAN实现用户隔离时，随着用户数量进一步增加，汇聚交换机4KVLAN也不能满足时，可以通过QinQ的方式实现VLAN数量的有效扩展。采用QinQ方式时，需要汇聚层交换机的支持。即接入层交换机为隔离不同的用户/应用打上第一层标签，而接入层的上联的汇聚层交换机则为不同的接入

交换机再打上一层外层标签，用于识别不同的接入层交换机，从而形成2个VLAN标签最大4Kx4K的VLAN支持。DA幽SA(6B)ETYPENestedVLANTAD(28)ETYPEUserVLANTAGOB1ETYPE的DjrtTA61500B)FCS(4B)图1-2封装了外层VSNTag的报文在采用这种方式时，一方面需要汇聚交换机支持QinQ的功能，还需要核心路由器同时提供QinQ的终结和控制功能，从而大大提高了对密集用户的隔离和接入控制的支持。另外，由于采用了双层标签来标识信息点或用户，边缘交换机的配置可以完全一致，如均为『24,这一点非常有利于网络今后的故障分析和维护，且有利于减少大量接入层设备的配置工作量。2.42用户的互访控制在扁平化网络架构中，用户和服务器都是终结在核心的业务控制层面上，实现统一的地址规划管理和控制。如下图所示，服务器和客户端均需要通过核心路由器实现三层的终结和相应的控制。客户端访问服务器的流量将经过核心路由器。这种方式带来的优势是控制层面集中，对用户和网络中流量的控制能力更强,管理维护更加简化。这种方式相应的要求是核心设备的处理能力要足够强，并能够提供大量用户的并发终结。同时要求提供所有端口的全线速转发，从而不会导致网络性能的下降。另外这种方式下，对于终结在同一台核心路由器上的客户端和服务器的互访流量对汇聚到核心之间的带宽占用也有所增加。由于整个校园网汇聚和核心之间都采用了万兆的互联，因此这部分带宽的占用也基本对网络整体的带宽不会产生影响。此外，这种方式下，用户之间的互访，如文件共享或打印机共享，均可以通过三层方式实现，即基于IP地址的共享来实现。2.4.3.有线无线一体化的实现当采用扁平化的网络架构方案时，无线的部署可以和有线网络一样，都只是提供一个校园网的接入通道，所有的控制功能均由校园网的业务控制层面实现，从而实现真正意义上的有线无线一体化校园网。和交换机等有线网络设备一样，无线AP仅是提供了一个无线的二层通道，这类似于交换机提供的有线二层通道。在无线二层通道上可以支持IPoE/L2Tp

报文，能够提供DHCP接入，L2Tp认证等机制，从而简化了无线网络设备的成本和管理维护需求。在网络核心的业务控制层设备上，可以实现在用户通过WLAN实现接入时,向radius系统发送相应的属性信息，实现对用户无线接入的识别，并进行相应的控制或计费策略。通过NAS-Port-Type属性，MX可以通知后台的系统，用户是从无线方式接入,

从而实现区别于有线方式的针对性的控制2.4.4.IPv4/IPv6双栈的实现IPv6是今后网络的发展方向，下一代互联网的发展趋势就是IPv6网络。对南通大学校园网络而言，作为一张教学科研网络，除了支撑目前的教学、行政、生产等网络应用外，很重要的一块就是需要为科研业务提供一个良好的网络平台，特别是对一些新的业务和应用的支持。在具体的IPv6实现中，应采用IPv4/IPv6双栈的方案，即在南通大学校园网上同时提供IPv4/IPv6的终结和业务支持。校园网内的用户可以通过IPv6无状态

地址分配的方案获得IPv6地址，简化的用户IPv6地址分配过程。用户终端无需安装任何客户端软件，只需要enableIPv6功能即可。提供IPv4/IPv6双栈的终结和控制功能IPv4address提供IPv4/IPv6双栈的终结和控制功能IPv4address：/24IPv6address：2001:10ad::1/64这种方式下，要求网络的核心路由器提供完善的IPv6业务功能和基于硬件的IPv6转发性能，并能够满足大量VLAN或者QinQ划分情况下的IPv6无状态地址分配功能。对汇聚层和接入层交换机而言，由于只提供了二层VLAN隔离的功能，因此可以没有IPv6功能和性能上的要求。PV6组播业务的部署在校园网中，随着多媒体教学和今后Cemet2的应用越来越丰富，对网络的组播功能和性能的要求越来越高，特别是IPv6组播功能。对于网络中接入用户的组播复制功能，在部署的初期阶段，可以利用核心路由器基于硬件的IPv6复制能力，实现组播流量的复制和下发。在这种方式下，IPv6的组播流量均通过核心路由器来实现复制和下发，而汇聚和接入交换机仅需提供二层透传的功能即可，无需支持IPv6的组播功能。由于校园网骨干带宽比较充足，因此能够满足组播流量的带宽需求。需要考虑的是核心路由器必须具备基于硬件的较强的IPv6组播复制性能，才能满足大规模部署时大量用户并发时的组播复制要求。接入用户的精细化管理的实现从校园网发展的方向看，目前的粗放式管理的方式已经不适应校园网今后的发展需求。目前，通过三层交换机组建的校园网，从网络应用管理控制的角度来说，只是满足了基本的网络互联互通的需求，但缺乏相应的基于用户的控制手段。用户只要接上网络，就能获得网络的使用权，整个访问过程没有针对性的记录、审计和控制，导致了网络的无序使用。校园网的发展趋势是精细化管理，一方面，针对网络中的使用者，实现基于用户身份的行为控制，诸如可访问的资源权限、对网络带宽的占用等方面的控制,做到可控制、可管理。另外，针对网络中的应用，实现完善的流量识别和控制能力，保障重要应用系统的网络承载，包括安全性、带宽保障、可靠性等方面，做到可识别、可保障。采用路由器架构的校园网，能够满足校园网精细化管理的需求：MX系列路由器能够提供细粒度的VLAN划分和QinQ终结能力，单块板卡即支持32KVLAN的终结，从而能够对校园网中的不同用户、不同应用进行更加细化的二层隔离和有针对性的控制；MX系列路由器通过基于硬件的业务识别和控制功能，能够实现在同一张网络平台上多业务的融合和高性能的处理。如1Pv4/IPv6双栈的承载，IPv6组播流量的高密度复制转发，MPLSVPN的应用，基于用户/应用的QoS服务质量保障等。从而提供一张能够真正承载今后高校信息系统发展的网络平台；MX系列路由器能够平滑支持用户接入控制功能，从而在校园网内部提供基于用户身份信息的精细化控制管理功能，对每个用户的网络访问权限和带宽进行细致的控制和实时的记录和审计，实现对使用者身份（可与一卡通系统实现整合）、网络IP地址及其访问行为的识别和记录，做到可跟踪和可追查。采用MX系列高性能路由器作为南通大学的核心网业务控制设备，能够实现用户接入网络的精细化管理功能，MX为用户接入提供的DHCP流程中集成了认证模块，能够实现在用户PC接入网络获取IP地址的同时，就能够同步记录下用户的MAC地址、所在的具体位置（精确到交换机端口，包括内层VLANID和外层VLANID）、接入网络的时间、获取的IP地址等多种信息，并对每个用户细致的访问权限、上下行速率的控制，从而实现用户接入网络的可识别、可管理、可控制，而这个过程用户没有任何感知。获取的信息如下图所示：(()ia((()ia(d・，：ab«i：：mmac；❷・，，；同时，通过接入网络时的信息获取，能够实现一些数据统计，如在线用户数，用户请求接入网络数、用户与物理位置的对应等信息，从而能够提供相应的统计报表，如下所示：mmod««(dm(u)xa(d«*khj-ox

((m(u)((m(u)«mhj◎心I.[・~|用户认证计费的实现在校园网中，通过部署JuniperMX960作为核心路由器，无需增加额外的硬件模块，就能够实现灵活的用户接入网络认证功能。单台MX960能够提供并发64000以上在线用户的能力，提供PPPoE和基于Portal等多种认证方式，从而实现真正的基于用户帐号和其他相关信息（位置信息、时间信息）等的用户认证、控制、计费功能。我们不建议采用在出口部署代理型认证网关的方案，主要原因如下：'只能实现出校园网时的认证'只能依赖于源IP地址判断用户是否已认证，容易遭受仿冒源地址攻击■只能通过是否有流量来判断用户是否下线，容易误判、计费不准确■性能是瓶颈，且不支持IPv6、组播等特性我们建议在校园网（有线+无线）提供Portal认证'与目前用户的使用习惯一致

在接入校园网网络时可以提供认证计费和控制，用户可以免费访问校内资源，需要访问其他资源时自动重定向到Portal上认证我们建议在宿舍区提供PPPoE认证：宿舍用户可以免费访问校内资源，访问其他资源时需要先进行PPPoE认证同时，建议在校内部署学校自己的Radius认证计费服务器'能够配合核心路由器，提供认证计费功能用户的角色和访问权限、业务支持、上下行速率等的控制都是由radius下发属性实现的，因此必须有学校自己控制的radius系统Raidus系统可以与运营商通过标准的Radius接口，实现相互之间的对接功能。制制理控控管证费率限的对接功能。制制理控控管证费率限为认计速权行全面的校园网精细化管理方案1.用户侧通过DHCP狭存IP地址，在MX上相应生成demux用户接口：2,用户demux接口的默认权限是特定的资源，当访问其他资源时，通过httpredirect重定向到portal页面上：3,用户在portal页面上除入用户名和口令，认证成功后，radius系统下发属性，调用定义的访问策略，对用户的demux端口进行控制，开放用户特定的访问权限：简化校园网维护管理工作量对于校园网内的任意一个接入层交换机端口，都能够在网络核心实时提供端口流量镜像到Sniffer服务器，而无需管理员赶赴现场。如下所示:2.5.QOS服务质量保证设计QoS概述随着网络应用的不断扩展、网路内容的不断丰富，QoS越来越重要。为了建立一个能够承载多种业务的网络，在网络设计及实施中应充分考虑到QoS在网络中的应用，以及其对业务所能产生的影响。服务等级（CoS）可以通过定义将不同类型的业务定义成为不同的等级，从而对这些不同的等级实施相应的处理以提供不同的延迟、抖动及丢弃等技术指标。通常情况下，IP网络对数据包路由是相对独立的，不保证任何的端到端的吞吐能力，这些类型的网络所提供的服务一般被称作“尽力而为”服务。这类业务的好坏与网络设备及网络链路有关，一般情况下，对大多数IP应用来说，其结果是可以接受的。但是，对于南通大学校园网的应用，某些实时应用提出了比“尽力而为”服务更高的通信质量要求，尤其是在网络发生阻塞时。将不同应用的业务划分为不同的等级，实施相应的处理，可以确保不同类型的应用在任何时候都正常工作。在一个网络中，通常需要以下的三个部分来完成端到端的QoS：-网元（路由器、交换机等设备）支持QoS,提供对列调度、流量整形等功能。一信令技术来协调端到端之间的网元，为报文提供QoS。一QoS控制和管理端到端之间的报文在一个网络上的发送。而每个网元应能够提供如下功能：业务分类，对不同类别的数据业务提供不同的处理。当用户终端不提供业务分类或流分类信息时，网络设备应能根据用户所在网段、应用类型、流量大小等自动对业务进行分类。队列管理和调度，满足不同应用要求的不同服务质量及等级。具有先进的队列机制进行拥塞控制，对不同类别的业务进行不同的处理，包括时延的不同和丢包率的不同。流量监控及流量整形限制以及调整业务输出的速率。接入本网络的业务应遵守其接入速率承诺，超过承诺速率的数据将有被丢弃和标以最低的优先级两种处理方式。对于IP业务应能根据策略进行流分类等保证业务QoSo管理控制用来确定是否允许用户信息流使用网络资源。服务模型服务模型是指一组端到端的QoS功能，通常QoS提供以下三种服务模型:■最努力服务（Best-Effort）最努力服务是一个单一的服务模型，也是最简单的服务模型。应用程序可以在任何时候发出任意数量的业务信息，无需要事先获得批准，也不需要通知网络。对最努力服务来说，网络只是尽可能大的发送数据，但是对延迟、可靠性等方面的指标不作任何保证。最努力服务是现在Interent上的缺省服务模型，其适用于绝大多数网络应用，如FTP、Email等。集成服务（IntServ）IntServ是一个综合服务模型，其可以满足多种QoS需求。这种服务模型在发送业务前需要向网络申请特定的服务。这个请求是通过信令来完成的，应用程序首先通知网络其自身的流量参数和需要的特定服务质量请求，包括带宽、延迟等。应用程序一般在收到网络的确认信息后才开始发送业务。同时，应用程序发出的业务应控制在流量参数描述的范围以内。网络在收到应用程序的资源请求后执行资源分配检查（管理控制），即基于应用程序的资源申请和网络现有的资源情况，判断是否为应用程序分配资源。一旦网络确认为应用程序的业务分配了资源，则只要应用程序的报文控制在流量参数描述的范围内，网络将承诺满足应用程序的QoS需求。而网络将为每个流维持一个状态，并基于这个状态执行业务的分类、流量整形、排队及调度，来实现对应用程序的承诺。区分服务（DiffServ）DiffServ是一个多服务模型，其可以满足不同的QoS需求。与IntServ不同，DiffServ不需要信令支持，即应用程序在发送业务之前不需要通知网络。对DiffServ来说，网络不需要为每个流维持单独的状态，其根据每个报文指定的QoS来提供特定的服务。可以通过不同的方式来指定业务的QoS,如IP优先级位、源地址、目的地址等。网络通过这些信息来对业务进行分类、流量整形、流量管理及排队等操作。从技术方案的角度来说，建议应合理的部署组播及QoS协议，尽早地将其考虑到网络的整体建设中去，以避免将来不必要的资源浪费。可以通过如下方式在本网中实施QoS保证：一通过基于IP优先级位的业务分类对不同的业务流予以区分。一通过排队方式来保证业务的带宽及延迟等参数。一通过RED/WRED方式对不同的业务信息进行处理。一利用带宽速率限制根据需要提供相应的带宽等。几种队列技术特性的比较如下表：队列数优点缺点FIFO11、不需要配置，易于使用。2、处理简单，处理延迟小。1、所有报文同等对待，报文到来的次序决定了报文可占用的带宽、报文的延迟、报文的丢失。2、对不配合的数据源（如UDP报文发送）无约束力，不配合的数据源会造成配合的数据源（如TCP报文发送）带宽受损失。3、对时间敏感的实时应用（如VoIP）的延迟得不到保证。PQ4可对不同业务的数据提供绝对的优先，对时间敏感的实时应用（如VoIP）的延迟可以得到保证。对优先业务的报文的带宽占用可以绝对优先。处理速度较快。1、需配置；2、如果不对高优先级的报文的带宽加限制，会造成低优先级的报文得不到带宽。WRR17可对不同业务的报文按比例分配带宽。1＞需配置；

当没有某些类别的报文时，能自动增加现存类别的报文可占的带宽。处理速度较快。2、会引入时延和抖动WFQ用户决定1、配置容易。2、可以保护配合的数据源(如TCP报文发送)的带宽。3、可以使延迟的抖动减小。4、可以减小数据量小的交互式应用的延迟。5、可以为不同优先级的流分配不同的带宽。6、当流的数目减少时，能自动增加现存流可占的带宽。1、占用较多CPU资源，处理速度比PQ、CQ要慢。2、不能定制比例实现QoS的方法IETF的第一个支持每一流QoS保证的业务模型是IntServ,它要求沿着边到边通道的相对复杂的分类、排队和调度结构(CQS)。DiffServ被看作IntServ的对应结构，是一种粗糙颗粒度的QoS模型，通常提供两至三个会聚业务级。而MPLS能为InterServ和DiffServ建立CQS结构，并能支持业务量的清晰构成的非短路由。实际上在一个网络中QOS的部署需要进行详细的分工实现最高的效率。因为QOS的保证需要大量的处理。本次工程的QOS实现中，可以通过JuniperM系列路由器对MPLS的强大支持实现基于QOS的选路，通过Juniper路由器基于硬件的COS机制实现每一跳的CQSo在Juniper网络公司的路由器上，CoS机制作为分组转发操作的一部分。缺省情况下，路由器将所有输出业务放置到一个FIFO队列中，其基于加权循环处理对分组进行传输，在阻塞发生时，通过RED对传输队列头部的分组进行丢弃处理。对于宽带IP网，C0S/Q0S的应用应在网络设计的开始便应予以细致的考虑，即要考虑与当前业务需求的结合、网络的状况，又要考虑到将来业务及网络的发展。我们将积极地与宽带IP网组织及运行部门积极配合，对CoS/QoS的设计及应用可能性进行分析与设计。基于MPLS的网络应该将不同的QOS功能分布到边缘和核心的LER。这种分布方式是建立在如下的假设之上的：边缘速度较低、流量较小可以进行较多的处理，而核心速度高、通过的流量大只能进行较少的处理，这是最为有效和可扩展的模型。实现QOS需要以下三步。首先，在进入边缘LER上设置阈值，并且设置决定进入流量的服务等级的参数。这样，边缘的LER作了大部分需要大量使用处理器的工作，根据与用户的协议对分组进行分类。边缘LER同时提供带宽管理。第二，核心设备管理在边缘设置完成的COS。第三，出口的边缘LER,设置速率阈值。这些阈值可以帮助防治网络发生拥塞和数据丢失。下面仅以视频业务应用为例，对宽带IP网中的CoS应用予以说明：首先，如果应用程序能够对其发出的业务分组进行特殊处理，即，可以设置特殊的IP优先级位，如010,则，可对网络中的所有骨干/汇聚/接入路由器进行适当的配置，使其为具有该优先级位的业务进行优先服务，如保证带宽，降低排队时延等。若应用程序不能设置特殊的IP优先级位(缺省值为000),通过其连接到的接入路由器上的TOS重写功能，根据数据包头的第3/4层信息将数据包分配到不同的优先级队列(SourceIP,DestinationIP,SourcePort,DestinationPort,TOS,IPProtocal),在该端口输入业务进行优先服务，同时对IP优先级位进行重写，在其它路由器上对重写的IP优先级位进行识别并进行优先服务，以实现CoS。而接入层的路由器可以提供强大的byhop整形和管制。在网络的接入层完成业务标记分类和流量管理，为网络骨干层的QoS处理提供了基础保证。基于QOS选路MPLSTrafficEngneering虽然MPLS并不是主要的QOS机制，但是对于现今IP网络的QOS实现来说，MPLS是非常重要的实现工具。MPLS提供了在任意非最短路径上转发分组和在非标签交换域之间的仿真高速隧道能力。MPLS通过显式的路由能力给IP网络带来的了强大的流量工程能力。在普通的IGP路由中，IGP协议不考虑带宽的可用性及链路状态信息。这可能会产生某些链路的过度使用而某些链路则利用率不足。在一个全面范围的IP网络中，服务供应商可以使用MPLS解决这引起问题。为了将校园网的流量拥塞降到最低，JuniperMPLS支持IGP协议的流量工程扩展，OSPF-TE,ISIS-TE。这些扩展在路由更新口提供了额外的链路状态信息如保留的带宽，可用的带宽及新和力。这种流量工程(TrafficEngneering)的能力使得业务提供者可以实现在其网络中对QOS敏感业务和尽力而为业务传输的优化分配。另外，MPLS还能支持计量、管制、标记、排队和调度等行为，其支持范围从细粒度的IntServ到会聚粒度的DiffServ,并能在网络中同时进行支持它们。基于MPLS的TRAFFICENGINEERING,可以将源地址、应用类型作为依据进行优选路由选择，避免在整个网络中出现某些路径流量过载，而同时有些路径的带宽没有被利用的情况。MPLS与OSPF,ISIS以及RSVP相结合，当网络正常运行时，某些高优先级的应用可以通过EXPLICIT_ROUTE进行数据转发，一旦此路径发生故障，这些应用的数据流可以通过预先设定的其他EXPLICIT_ROUTE,或是动态由路由协议生成的路由进行转发。尤其是对于特殊的流量类型例如：语音的传输可通过减少路由器Hop的数量和延迟以保证语音高质量服务的要求。Trafficengineering能够控制一个网络中的路由，减少拥塞并提高有效性。1P网络中有多条路径可到达目的地，仅仅依赖路由协议如OSPF,某些路径会发生拥塞，而同时某些路径没有得到充分利用。MPLS可以使管理者明确地配置静态的LSP,在特定的路径上传送数据，将来MPLS将自动建立明确路径来对流量进行均衡传送。

Juniper路由器的QoS实现以下以图例的方式说明Juniper路由器QoS体系结构和包转发流程中CoS操做。Juniper路由器COS的处理流程如下图所示,Juniper系列路由器QoS的功能流程图BA=BA=BehaviorAggregateMF=MuttiflddFC二ForwardingClassPLP=PacketLossPriorttyLIE=LogicalInterfaceC8F=CoSBasedForwardinqJUNOSCoS的功能可透过下列一系列机制实现。通过单独或组合的方式设定这些机制，以定义特殊的服务项目。下面将简要介绍Juniper路由器所具有的CoS功能。分类MX上的10GE/GE端口支持层次化QoS。管理人员可以将业务分配到不同转发类（FC）,然后将该转发类分配到一个输出对列中去以获得不同的服务等级。不同的业务可以被汇集到相同的FC以获得相同的处理等级。管理人员可以参考ToS区域的IP优先级位信息、DSCP,IEEE802.Ip,及MPLSEXP信息将不同的业务分配到相应的FC中去。当然，管理人员也可以基于过滤器，综合考虑多种因素将业务分配至不同的FC。Policing我们可用流量管制功能以管制当数据流量总量超出的情形，其可标明或丢弃非原订的数据流量。接口管制器对于接口管制与VPN第二层的入口管制特别有用。所有进入接口的数据流量都可经过管制。最具弹性的管制方法是指定一个管制器，作为防火墙筛选器，因为这么做使您能够非常有选择性地辨识被管制的数据流量。管制器定义流量超过管制器的规格时，该采取什么行动。超过时的动作可能是丢弃该流量、或是将该流量指派成一个特定的转发类别，或是，将流量里的PLP设定为ioPLP位是路由器内部的通知讯息，可以被RED用来于拥塞时在输出队列增加流量被丢弃的机率，并因此保住其它比较重要的流量。PLP信息也可以重写优先级字段，以确保其LSB设定为1。转发策略转发策略可以使管理人员基于某些特定的路由或其他方面的的因素来改变数据包的FC或下一跳。JUNOS软件目前支持基于CoS的转发（CBF）来改变数据包的下一跳，这一应用尤其是在三层VPN中具有很大的意义。当提供商希望为某一VPN用户提供更好的保证服务时，其可以通过CBF将该用户业务映射到某条LSP上进行传输，以获得保证的服务，而对其他业务只提供最努力服务。管理人员也可以通过基于策略的转发来修改数据包的FC值，或者通过分类的覆盖来改变FC的值以获得不同的服务等级。队列调度机制当一个FC被分配到一个输出对列后，需要对输出接口实施调度操作。通过调度器，管理人员可以对对列的许多参数进行定义，包括传输速率、缓存大小、优先级、RED丢弃策略等。JUNOS路由器可以支持两种模式的排队优先级，即严格优先级和交替优先级。在严格优先级中，随时发送最高优先级的业务量，以保证高优先级业务量的延迟特性，其余优先级排队则按轮流方式进行服务；在交替优先级中，轮流发送各优先级的业务量，但保证更多地发送高优先级的业务量。流量拥塞管理RED是一种避免拥塞的方法，它允许路由器在对列变满之前对数据包进行丢弃操作。如果不具备该机制，传输对列一旦变满就开始对数据包进行丢弃，这样可能产生某些不利的影响，如，被传输的包总是那些最早在排队的包，而这时重发请求可能早被发出了，这样便引起了更大的拥塞。RED则在拥塞真正发生前便对其发生的可能性进行预测，然后一随机的方式对位于对列最前端的数据包进行丢弃操作。这种随机的方式可以保证没有某个特定的会话期被持续的影响。标记ToS字段、DSCP、IEEE-802.lp、或EXP位可以在任何对外队列上进行重写。选择重写这些字段的数值时，必须考虑网络中其它路由器的分类行为。例如,假使您正在重写EMS的DSCP,所选择的码点必须符合用来确认EMS应用在网络中其它路由器上的码点。QOS的实施建议JuniperMX由器具有非常强大并灵活的QoS机制，以满足南通大学校园网在MPLSVPN环境下不同业务的需要。JuniperMX上的以太网端口10GE/GE都支持完善的QoS特性。这很适合于南通大学校园网络的需要。下面就根据南通大学校园网中的业务的需求，讨论如何进行QoS的实施。.在现有的南通大学校园网中，将存在着多种不同业务。这样首先在连接业务服务器的下联端口上，优先保证关键业务的需要。.在不同的VPN内，其内部都有着不同的业务。这就要求在VPN内同样需要保证不同应用对于时延和带宽的要求。如果应用系统服务器分布在同一个vlan内，这时候就需要下联交换机的GE/10GE端口支持pervlan的QoS。从上面的分析来看，对于校园网的业务，需要在GE/10GE端口上支持VLAN、端口和MPLSVPN这样多极的层次化QoS。而本次采用的Juniper的MX路由器上都支持该特性，能够最大程度上满足南通大学校园网不同业务应用的需要和QoS的保证。2.6.IPV62.6.1.IPv6概述近年来互联网在教育领域得到了空前发展，教育行业对信息资源的开发和利用进入一个全新阶段，最近新一代互联网技术IPv6在教育行业的应用已经小范围展开。从二十世纪九十年代末起，在相关部委科技计划的支持下，一批IPv6关键技术研究课题作为国家重大专项立项，并陆续取得了突破性成果，为我国开展以IPv6为基础核心协议的下一代互联网的研究奠定了较好的基础。与此同时，我国相关研究机构、高校、厂商及运营商也已陆续开始跟踪与关注IPv6技术发展，投入IPv6技术研发，并相继建成IPv6试验床及实验网络。由于很多客观因素的限制，目前很多高校的IPv6试验床是基于仿真环境的，有些是基于各种隧道技术的，虽然可以提供一定情况下的IPv6环境，但是相对于真实IPv6环境来说，很多基于IPv6的研究工作是无法有效进行的，如IPv6核心技术研发、协议标准制定、组网、测试、应用示范和商业模式等各个研究方向。南通大学校园网通过本次工程后，将是真实的IPv6网络，可以为校内科研机构和用户提供真实IPv6,使得他们在IPv6平台的支持下进行基于IPv6的各种课题研究工作。PV6对原有IPv4网络的影响说了很多IPv6的优点，最终反映到用户端就是各种业务，下面详细分析IPv6应用的诸多优点。IPv6对传统IPv4业务的影响概括的表现在如下方面，这些业务包括：远程应用业务宽带接入业务视频点播业务WLAN业务网络游戏业务VoIPv6业务位置服务与智能交通业务IPv6MPLSVPN下面详细说明(1)远程应用服务■远程教育IPv6的贡献点：现有的远程教育应用仍然属于完全的C/S结构，对于服务器的配置要求比较高，而且管理配置复杂，IPv6可以实现C/S结构+P2P结构的混合结构。也就是，应用服务器紧紧起到连接建立阶段和连接断开阶段的“中间人”角色，负责认证、计费等，而在师生双方建立连接后，就不再经过服务器转发数据，实现P2P连接，减轻服务器的负担，保证不因服务器性能瓶颈影响用户使用质量。■远程会议IPv6的贡献点：现有的远程会议应用无法给用户终端分配固定的1P地址，因此也无法保证用户“永远在线”，而IPv6可以很容易地做到这一点，“永远在线”为用户带来的便利可能是无法想象的，用户可能因为突发事件而需要召开临时紧急会议，这种便利可能会为用户挽回巨大的经济损失。现有的远程会议终端多为固定终端，但由于IPv6的地址资源极其丰富，完全可以实现网通的便携式终端，使“永远在线''具有实际价值。IPv6的安全特性可以有效地在网络层保证用户的数据安全。■远程医疗IPv6的贡献点：♦现有远程医疗可能仅仅局限于远程的诊断，而无法实现远程的治疗，而由于IPv6地址资源极其丰富，所有的电子设备如：收款机、诊断仪器、治疗设备等都可以实现IP化，从而使病人的情况随时被专家掌握、诊断、治疗，实现从收费、诊断、处方、治疗等各个环节全过程的数字化、电子化，极大地提高人们能够享受的医疗服务水平。■远程监控IPv6的贡献点：♦现有IP化的远程监控虽然在技术上可以实现，但是却无法进行大规模推广应用，由于远端摄像头要24小时在线并占用IPv4地址，所以必然面临扩展性问题，同时其监控端往往是PC,监控者必须坐在PCMonitor前面才能随时监控。但IPv6可以使其监控端摆脱PC的束缚，利用任何可以想象到的电子设备实时监控远端的情况，可以是手机、手表、车载电子设备等。（2）宽带接入服务宽带接入服务包括：xDSL接入业务FTTx+LAN接入业务无线宽带（WLAN）接入业务IPv6的贡献点：♦帮助用户实现“永远在线”，实现IPv6地址和用户的绑定，在地址合理规划的情况下，实现IPv6地址电话号码化，极大提高用户管理的效率，同时可以实现用户的业务定制，通过对TCP/UDP端口的管理，将不同的应用包装成增值业务。如普通用户只有WWW和DNS等必须的权限，而高级用户可以使用FTP、VoIP等应用。（3）视频点播IPv6的贡献点：♦传统的VOD仅仅意味着上网看电影，但是IPv6将VOD的内容涵盖扩大化，一切可以借助流媒体技术实现的内容都可以包装成为VOD的服务，比如用户通过VOD观看某个新开楼盘的实况，某个商场正在进行的促销活动等等。♦传统的VOD终端往往是PC,IPv6可以使用户摆脱PC的束缚，在一切可以想象的电子设备上实现VOD的服务(4)WLAN/CDMA1X/GPRS网通IPIPv6的贡献点:通过对网通终端赋予固定的IPv6地址，可以将IPv6地址和用户标识进行绑定，结合网通IPv6技术，可以向用户提供各种增值服务，如根据用户是否在漫游收取不同的费用。IPv6将使一切电子设备成为互联网终端，普及WLAN/CDMA1X/3G的使用，扩大用户和市场的覆盖面。(5)网络游戏IPv6的贡献点：传统网络游戏是基于BS结构或者CS结构的，虽然BS结构或者CS结构的网络游戏由于技术和服务优势仍将处于主导地位,但未来比可避免的将会出现P2P结构的网络游戏，加速实现网络游戏的产业化，培养一大批游戏爱好者、游戏职业玩家，它将成为宽带接入的一种增值服务。IPv6将使一切电子设备成为网络游戏终端，普及网络游戏，促进游戏产业的繁荣。VbIPv6IPv6的贡献点：IPv6的安全特性可以有效地在网络层保证用户的数据安全；IPv6地址的有效规划可以使运营商有效识别用户终端的位置(用户是否漫游)，区分用户呼叫(市话、长途)，按照不同的呼叫区间进行收费。(7)位置