高校校园网(PPPOE)解决方案

职教校园网技术方案

目录

1 概述 (3)

2 设计目标 (3)

2.1 需求分析 (3)

2.2 设计目标 (4)

3 技术方案 (4)

3.1 组网方案 (4)

3.1.1 网络模型 (4)

3.1.2 核心层 (5)

3.1.3 汇聚层 (5)

3.1.4 接入层 (5)

3.2 用户接入方式规划 (6)

3.2.1 内网访问 (6)

3.2.2 外网访问 (6)

3.3 PPPoE认证 (7)

3.4 AAA技术 (8)

3.4.1 背景 (8)

3.4.2 概念介绍 (8)

3.4.3 AAA实现技术 (9)

3.5 VLAN规划 (9)

3.6 IP地址规划 (10)

3.7 可靠性设计 (11)

3.8 QOS业务控制 (12)

3.8.1 QOS实施策略 (12)

3.8.2 职教校园网QOS解决方案 (13)

3.9 IPV6预置 (14)

3.10 网络ARP攻击防范 (15)

3.10.1 什么是ARP? (15)

3.10.2 什么是ARP欺骗? (15)

3.10.3 如何防范ARP欺骗？ (15)

3.10.4 如何防范大量ARP报文导致的DOS攻击？ (16)

3.11 网络管理 (16)

3.11.1 网管的必要性 (16)

1 概述

××职业教育学院是经教育部批准,由国家一流科研单位设立的高等院校。学院已有近三十年的办学历史，为国家培养了大批优秀科研人员和生产骨干。学院师资雄厚，专职教师中有教授8名、副教授44名、博士6名、硕士23名，并长期聘有多位两院院士和专家学者担任客座教授。

学院现有两个校区，教学生活设施齐全。建有教学大楼、实验大楼、科技开发楼、图书馆、学术报告厅、培训楼和设备先进的数控加工培训中心、CAD/CAM实验室、反求工程实验室、传统机械加工培训中心、电机拖动实验室、自动控制实验室、计算机网络实验室等大型实验室和实训基地。拥有高精度的数控机床、三座标测量仪、数字金相显微镜、计算机站等一流仪器设备，配有UG、IDEAS等大型设计、计算软件。

为了全面提升学院的信息化水平和满足教学科研对信息化基础设施的需求，学院拟部署新校园网络，实现各单位之间的信息互连，并实施统一的网络管理和安全策略，实现信息化效率和安全的统一发展，为全院师生的学习、教学、科研、生活提供全方位的信息服务。

2 设计目标

2.1 需求分析

根据对职教校园网的技术需求分析和现代校园网技术发展方向的研究，总结出以下基本技术要点：

实现校园内部所有信息点的接入和汇聚；

校园通过统一的出口实现到Internet的连接；

可管理、可运营校园网发展趋势要求实现内网资源访问免费、外网资源访问计费的认证计费管理模式；

考虑到校园规模和教学科研业务的未来扩展，采用核心、汇聚、接入三层的星型拓扑来构建校园网；

根据未来各单位和业务流量规模的发展需求，核心到汇聚层要具备万兆链路扩展能力；

考虑到校园网和CERNET新老骨干网的对接，要求网络核心层面具备IPV6能力。

采用百兆到桌面的接入部署；

实施全面的QoS策略，确保对不同业务流量的服务质量；

网络要充分体现安全性，可靠性，先进性，开放性，可扩充性及优良的性价比。

2.2 设计目标

基于以上对职教校园网基本需求的分析，本方案的设计目标是采用业界领先的网络设备，在充分满足基本需求的同时，使整个网络具备易管理、可运营、高扩展性、高可靠性、能进行高质量的多业务承载的特征，真正构建出一个高品质的新型校园网。

3 技术方案

3.1 组网方案

根据职教校园网的当前状况和未来发展趋势，我们提供了全面的整体解决方案，整个网络方案突出层次化、模型化、高可靠性的原则，确保网络在具有高性能的同时具有良好的前瞻性和持续发展性。

3.1.1 网络模型

职教校园网包括的信息点数量较多，采用核心、汇聚、接入三层的网络层次，基本架构模型如图。

3.1.2 核心层

在典型的层次化模式中，组件间通过核心层互联，核心用作网络骨干。鉴于各组件都依赖核心进行连接，因此，核心必须速度很快且可靠性极高。现在的硬件加速系统具备以线速提供复杂业务的潜能。建议在网络核心采用“越简单越好”的方法。最低的核心配置可降低配置复杂性，从而减少出现运行错误的几率。

核心层用于承担校园网各分布区域的子网互连。核心层是整个网络可用性和可靠性的关键，需要进行各关键设备和关键器件的冗余，由于核心层主要承担校园网内各子网的互连和数据流量的融合和贯通，同时承担各单位到Internet的接入，故必须能满足大业务横向流量的性能要求，也要满足出纵向业务流量的性能和功能要求。

基于以上的基本数据流量模型分析，采用1台BRAS设备和2台核心交换机组成的纵向横向设备分离的模型作为核心层的网络架构。

其中，核心交换机通过和汇聚层设备组双星型网的方式构建校园网内各子网间的横向互连，由于校园网内横向流量较大，且随着校园规模的扩展和业务的发展而快速增加，因此采用千兆链路来互连，并具备10GE链路平滑扩展的能力。此外，双核心交换机之间通过两条10GE或者n×GE链路捆绑方式进行互联以实现VRRP心跳报文互通和业务数据流量的互通。

为了实现各单位/部门到Internet和CERNET的接入，核心交换机通过GE链路直接和BRAS设备进行纵向连接，转发所有出校园网的数据流量。BRAS设备通过千兆链路和UTM或者流控等出口设备相连，最后通过多ISP接入Internet或者教育骨干网，保证校园网到广域网流量的可靠转发。

3.1.3 汇聚层

汇聚层主要承担校园网内部各单位/部门的数据互通并汇聚流往核心层的数据。基于汇聚层冗余路由快速切换的考虑，各汇聚层交换机通过双归属链路和两台核心交换机进行连接，实现主备或者负荷分担的可靠链路。

由于各单位/部门内部的局域网的业务流量很大，汇聚层需要有足够的带宽容量来支撑突发的海量数据并提供良好的QoS保障，因此采用千兆链路来构建汇聚层，并具备万兆链路的扩展能力。

由于采用了到两台核心交换机的双归属链路，可以在两台核心交换机启用VRRP协议来实现缺省网关的保护（实现内网资源访问），这样两条到核心层内网资源缺省网关的链路处于主备工作状态。

3.1.4 接入层

接入层主要承担各信息点的接入。接入层要求为各信息点提供百兆带宽的接入，实现无阻塞快速的数据接入。接入层交换机通过千兆链路上连到所属子网的汇聚交换机上。为了在接入层就启用较好的防ARP攻击等策略，同时考虑到校园网的技术前瞻