下一代校园网建设方案课件

下一代校园网建设方案赛

尔

网

络

有

限

公

司技术服务业务2010年5月7日主要内容o

校园网建设现状与需求分析o

当前技术热点及发展影响o

新一代校园网的设计方案o

主要功能与系统的设计与实现目的与意义通过对当前校园网建设状况的调研和需求分析，结合当前网络信息技术的最新发展趋势和CERNET已有科研成果与解决方案，提出以IPv6为承载协议的可信、可控可管和可运营的多业务校园网的建设方案，为下一代校园网的建设提供参考与指导。当前的技术热点与发展趋势o

云计算o

物联网o

三网融合o

下一代互联网云计算o

是一种基于互联网的超级计算模式。是并行计算、分布式计算和网格计算的发展o

是将大量的计算、存贮等资源集中在一起以服务的形式向用户提供的商业模式。是BPO、ITO、ASP等的发展o

目的是将网络、计算、软件基础化成泛在的、便利的象水和电一样的社会基础服务o

提供三个层次的服务：IAAS->PAAS->SAASo

核心技术：虚拟化技术、分布式存贮与资源管理物联网o

IOT(InternetofThings)，通过射频识别（RFID）、红外感应器等传感设备，把物品与互联网连接起来，进行信息交换和通讯，以实现智能化识别、定位、跟踪、监控和管理的一种网络。o

是互联网自然的延伸与扩展n

Anytime,Anywhere,Anyone

Anythingo

智慧地球，感知中国n

全面感知、可靠传递、智能处理o

核心技术：RFID和WSN三网融合o

电信网、广播电视网和互联网的融合o

我国的两大阶段性目标：n

2010年至2012年o

重点开展广电和电信业务双向进入试点，探索形成保障三网融合规范有序开展的政策体系和体制机制。n

2013年至2015年o

总结推广试点经验，全面实现三网融合发展，普及应用融合业务。o

2008年3月提出NGB(NextGeneration

Broadcasting)n

采用自主创新的“高性能宽带信息网3TNet”核心技术n

主干带宽1000G以上，每户的接入带宽100Mn

提供高清晰电视、数字视音频节目、高速数据接入和话音等“三网融合”的“一站式”服务2010年IPv6试商用-国内运营商o

CNGI试商用项目将建设完成并进入部署阶段o

三大运营商为IPv6Ready做好准备n

中国电信o

完成了IPv4向IPv6过渡的技术调研、方案制定、设备终端测试o

IPv6城域网骨干、接入、业务、终端、IT系统等试点：长沙、无锡、广州、成都以及济南5个城市n

中国移动o

完成了PNAT标准的起草以及相关业务的演示，将利用PNAT技术展开IPv6部署的探索n

中国联通o

完成了技术调研以及厂家设备测试，正设计演进方案o

CERNET2CERNET目前已有的技术与成果o

技术n

Softwire（RFC4925）：IPv4overIPv6的隧道技术n

SAVI（RFC5210）：真实源IP地址认证技术n

IVI：IPv4/IPv6互通技术o

成果n

IPv4/IPv6综合一体化网络管理系统n

Blackboard教学系统n

校园多出口智能网络管理网关n

华南理工大学的数字化校园解决方案o

邮件系统，门户管理系统，信息发布与内容管理CMS，统一身份认证系统，网络管理系统，学生管理与服务系统，科研管理系统，就业管理与服务平台

etc.国内校园网的发展历史o

始于1995年，比国外晚15年左右，与CERNET的发展历程分不开o

四个阶段n

初期，1995-2000o

基础网络建设：10M/100M以主FDDI，ATM，同轴电缆，双绞线;网络基础应用为主：WEB，BBS，Email,FTPetc.n

发展期，2000-2005o

1000M以太网;网络应用建设:办公自动化n

成熟期:2005-2010o

千兆/万兆；数字化校园建设：教务，教学，一卡通，IDC建设n

下一代校园网：2010-2015o

为IPv6为特征，千兆/万兆，’建网’->’用网’、’管网’o

云计算，多网融合校园网建设存在的主要问题o

安全问题n

网络安全：ARP等攻击、蠕虫、病毒；IP地址/帐号盗用、私设DHCP和代理n

内容安全：过滤、屏蔽不良信息内容及网站，实时监测内容安全（如BBS)n

系统安全：无IDS/IPS或缺乏有效管理o

管理问题n

数据不统一n

应用不统一n

管理不统一o

可运营管理n

不重视运营与服务质量（SLA）校园化建设需求分析o

层次一：网络建设的需求n

网络访问（公网，教育网），可靠、可用和足够的带宽n

无线与有线结合随时随地上网的需求o

层次二：基础网络应用的需求（狭义校园网）n

BBS，Email，Web，网络存贮与计算o

层次三：数字化校园建设的需求（广义校园网）n

数字化教学：多媒体教学、教学资源库、网络教学系统、数字图书馆和虚拟实验室等n

数字化科研：计算资源、文献资源、科学数据库资源、科研设备资源和专家学者资源建设与共享n

数字化管理：教学管理、科研管理、人力资源管理、学生管理、财务管理、设备资源管理n

数字化生活：教育培训、科技成果转让与咨询，社区服务，网络文化服务下一代校园网的建设目标建设一个既能满足近期实际应用需求又具有一定技术先进性的，以IPv6为承载协议的，高速、安全、可用、可信、可控可管的新一代多业务校园网。有效支撑数字化校园的各种应用，促进校园网教学、科研工作的发展。主要特点o

以IPv6协议为主要承载协议o

安全可信o

可控可管o

可运营o

多业务承载平台（多网合一）o

集中化、一体化、精细化的综合管理平台网络架构IPv6网络出口CERNET2IPv6边界路由器出口核心IPv6安全监测与流量管理IPv6骨干网络IPv6无线控制器汇聚接入IPv6有线接入IPv6无线接入校园网建设系统架构业务需求数字化管理向上支撑数字校园各业务系统高效运行校园网综合管理与业务支撑平台（CNBOSS）向下支撑校园基础网络系统的稳定运行基础设施主要建设内容o

IPv6校园网建设o

基于SAVI的可信校园网建设o

基于IVI的IPv4/IPv6互通o

多业务支撑平台（MPLS）o

基于流的精细化流量管理o

三网融合应用o

多出口智能管理o

基于云计算的IDC建设o

校园综合管理运营平台IPv6校园网建设o

IPv6地址，

2001:DA8::/32，可通过CERNET网络中心申请/48的地址o

DNS：AAAA记录方式，建立纯IPv6DNS服务器o

路由协议：n

BGP4+，与CERNET2主干网建立BGP连接n

OSPFv3o

所有设备支持IPv6功能o

应用的平滑迁移n

WWW，媒体服务器基于IVI的IPv4/IPv6互通o

针对校内个别的IPv4子网，及校外的IPv4网络o

“IPv4与IPv6互通就是IPv6的杀手级应用”–李星老师语o

IVI技术是对SIIT和NAT-PT技术的改进o

是一种基于无状态的、可以透明实现IPv4与IPv6互访的新技术o

两种转换模式：无状态的1:1转换和有状态的1:No

IVI网关已产品化IVI网关的部署o

两种部署方式：集中式与分布式，建议集中式部署CERNET2CERNETIVI网关IPv4IPv6校园网（IPv4/IPv6）基于SAVI的可信校园网建设o

常用的用户认证方式:是对用户身份的认证n

准入：802.1xn

准出：WebPortalo

SAVI:

真实源地址认证，是对源IP地址的确认n

接入网真实源地址验证技术n

域内真实源地址验证技术n

域间真实源地址验证技术o

结合802.1X,WebPortal和SAVI的真实用户身份与真实地址认证n

绑定：端口，MAC地址，IP地址，UserID,权限o

实现源地址和用户身份可信SAVI实现模式o

基于接入网和域内(RFC3704:uRPF)真实源地址验证技术o

H3C和锐捷网络等厂商的交换机已支持SAVISAVI认证服务器DHCPv6IPv6路由器/三层交换机上联端口：DHCPv6TRUST属性上联端口：RATRUST属性SAVI交换机下联端口：VALIDATION属性DHCP-ONLY模式SLAAC-ONLY模式DHCP-SLACC模式STATIC-ONLY模式基于MPLS多业务支撑平台o

物理的业务应用专网n

一卡通网、财务网、安防与视频监控网、有线网n

存在线路施工复杂、费用高、组网不灵活的缺点o

基于MPLS技术来实现多业务支撑平台n

高效转发，快速重路由n

支持L3VPN，

L2VPNn

支持MPLSTE功能，实现IPQoS控制n

组建安全的虚拟专用o

实现全校只有一张物理网o

目前网络设备厂家的P和PE设备均可支持MPLS功能基于流的精细化流量管理o

基于流（IPFIX）的流量可视化n

源IP、目的IP、包数量、字节数、源端口、目的端口、协议、时间n

实时的统计与分析o

实现应用识别与网络行为分析n

‘Who,When,Where,What,How’可视化管理o

基于流量的准确计费o

统计分析与异常分析o

TopN排序：协议，用户，IP地址/IP地址段，校内/校外，国内/国际o

包大小

，包数量多出口智能管理o

多出口智能路由功能n

运营商地址自动下载与同步n

多出口智能选路n

逆向服务器高效访问与智能DNSo

出口安全管理n

过滤与屏蔽(防火墙功能）n

防代理n

攻击与病毒检测CERNET2校园网n

内容安全监测网关o

流控功能ISP2n

分时管理P2P应用流量n

优先保障VIP应用基于