浙江工业大学闪讯接入网络设计
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浙江工业大学闪讯接入网络设计
摘要:在我国,学校是处于影响整个社会深刻变革的中心地位,所以是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题。浙江电信针对学生用户接入闪讯平台,此闪讯客户端具有防代理、防一拖N的功能,可以进行一些必要的行为分析,完全可以满足省公安厅、教育厅的实名制要求,也能实现学校对学生上网进行安全管理的目的。本课题结合校园网建设的案例,研究校园网的作用、施工方案、施工工程,施工工艺。对今后的高带宽、高质量的宽带建设,有着积极的拖动作用。
关键词:交换机;调试;宽带;BRAS ;链路;注意事项
1 闪讯总体建设方案
1.1 学生如何认证上网
学生用户电脑终端插上宿舍内网线后,由电信BRAS分配私网IP地址,此时用户可以直接访问学校内网,采用WEB+Portal认证模式,对于用户感知而言,可以直接访问内网,同时可以通过BRAS三层互访。无需认证(也可以在用户初次打开WEB页面时,Portal强制推送特定WEB页面,在该WEB页面上需要输入帐号和密码,通过认证后才能访问学校内网)。为了保证用户高速访问内网,前期电信两个校区BRAS各有一条千兆链路上联到学校路由器,今后根据浙工大用户访问学校内网流量可进行链路扩容。
当学生用户访问Internet时,需要通过闪讯客户端进行PPPOE拨号认证,认证通过后由BRAS分配公网IP地址,用户可以访问Internet,同时在BRAS域内添加学校的内网IP地址,可以使用户访问公网的同时也可以访问学校的内网。由于考虑到用户的安全性,本次宿舍区网络改造采用VLAN隔离,每一个用户分配一个VLAN,核心交换机起QINQ,且做为二层交换机使用。
1.2 安全性和DNS问题
由于考虑到用户的安全性,本次宿舍区网络改造采用VLAN隔离,每一个用户分配一个VLAN,核心交换机起QINQ,且做为二层交换机使用。此次投入的设
备都是在电信大网中经过实战检验的设备,具有各种防攻击能力,如smurf、SYN flood攻击等,进行分层防御,能快速隔断病毒源。
关于DNS问题,本次电信投入两台DNS服务器,分别解决浙工大朝晖校区和屏峰校区的域名解析问题。在BRAS的域内将会配置本次新增的DNS服务器,学生用户登录网络时BRAS会分配本次电信新增的DNS地址,用户作域名解析首先会到新增的DNS服务器,如果是公网域名则直接解析,如果访问的是学校内部域名,则需要代理到学校的DNS上解析。
2 访问内网及互访问题
2.1 同一校区用户互访
学生访问学校内网及同一校区用户之间互访拓扑图如下:
图 1 同一校区用户拓扑图
浙工大朝晖校区和屏峰校区上联的电信局端BRAS,需要根据不同的应用,
设置三段不同的目的IP地址,分别为学校内网IP地址、本校区用户私网IP地址、另一校区用户私网IP地址。当用户访问学校内网时,BRAS根据用户访问的内网IP地址,通过路由转发,将该部分访问数据包转发到学校内网,如上图示意1所示。当用户访问本校区的用户时,由BRAS终结用户VLAN,再通过路由转发到需要访问的用户,如图2所示。
2.2 跨校区用户互访
跨校区用户互访网络拓扑图如下:
图 2 跨校区用户互访拓扑图
用户访问学校内网模式不变,如上图1所示。但是访问另一校区的用户时,电信两个校区的局端BRAS,每个校区分配一段固定的私网IP地址。如屏峰校区的用户访问朝晖校区的私网IP地址用户式,当BRAS根据目的IP地址判断,用户需要访问另一校区私网IP地址时,BRAS和核心交换机间做一个子接口,将通过该子接口下发到屏峰校区核心交换机,屏峰校区核心交换机和朝晖校区核心交换机通过二层透传,然后朝晖校区核心交换机和朝晖校区BRAS之间做同样的子接口,通过该子接口上联到朝晖校区BRAS,再由朝晖校区BRAS转发至朝晖校区的用户。反之,朝晖校区用户访问屏峰校区也是如此。
2.3 关于用户互访时的BRAS能力
ME60是采用NE40E/NE80E的硬件平台的宽带接入服务器产品,基于纯粹的路由器架构,ME60整机容量640G,单槽位容量20G,最大支持128K用户的接入,对于一些采用二次认证DHCP分配地址的情况,同一VLAN下的用户互访流量不需要进入板卡的转发平面,由该VLAN的网关直接将相关目的和源MAC地址在该VLAN里洪泛后,相应的PC客户端即可实现互访,对ME60的系统资源占用几乎为零;不同VLAN间互访是通过ME60上的VLAN网管进行路由转发,ME60的所有板卡均为线速板卡,即20G的转发容量能容忍64字节小报文达到20G的流速,而普通情况下的报文一般都在1500字节左右,所以对板卡的性能消耗也远小于极限情况下的小报文转发,对于1.5万的用户互访流量,ME60完全可以支撑其所需的容量与转发能力。除了常态下的访问以外,ME60还支持访问控制列表,可以在部分用户中病毒的情况下对病毒的流量进行限制,防止病毒流量阻塞端口影响正常的访问流量。需要注意的是,需要对每个VLAN的地址进行适当的规划,单个VLAN下用户不宜过多,以免广播域太大引起的广播风暴。
3 组网结构
3.1 朝晖校区
3.1.1 朝晖梦溪村
朝晖校区梦溪村共有7幢宿舍楼,中心机房位于4#楼。其中1-4#楼,每幢楼6层,每层26个房间,每个房间4个信息点,每幢楼的1楼东侧各有一个机房,用于汇聚该侧1-6楼,每楼13个房间的数据信息点。每幢楼的1楼东西两个机房,通过光缆上联至梦溪4#楼值班室机房内。网络拓扑图如下;
图3朝晖梦溪村拓扑图
其中2#楼1楼东西两个机房通过多模光缆上联至4#楼1楼值班室机房,1#、3#楼则只有东侧机房通过光缆上联到4#楼,西侧机房通过一根五类线级联到东侧机房。
其中梦溪村5、6、7#为3幢高层宿舍楼,每层有16或18个房间,每个房间3个数据信息点。每幢楼1楼有一个独立的机房,用户汇聚1楼的信息点,同时2-1一层的数据信息点各自汇聚到本楼层内的弱电井内。同时2-1一层个弱电井各有1根五类线上联到一层机房,一层机房通过光缆上联到梦溪村4#楼中心机房。网络拓扑如下:
五类线
图 4 一层机房上联梦溪村拓扑图
3.1.2 假山路A、B幢
朝晖校区外面假山路上还有两幢宿舍楼,分别为A幢和B幢。其中A幢有7层,每层30个房间,每个房间有一根五类线。每层楼内有一个墙柜汇聚本层所有信息点,同时1-7层墙柜,每个墙柜有一根五类线上联到二层墙柜,本次二层墙柜需要通过光缆上联至尚德园3#楼机房。网络拓扑图如下: