下一代校园网建设方案

下一代校园网建设方案赛尔网络有限公司技术服务业务2010年5月7日主要内容校园网建设现状与需求分析当前技术热点及发展影响新一代校园网的设计方案主要功能与系统的设计与实现目的与意义通过对当前校园网建设状况的调研和需求分析，结合当前网络信息技术的最新发展趋势和CERNET已有科研成果与解决方案，提出以IPv6为承载协议的可信、可控可管和可运营的多业务校园网的建设方案，为下一代校园网的建设提供参考与指导。当前的技术热点与发展趋势云计算物联网三网融合下一代互联网云计算是一种基于互联网的超级计算模式。是并行计算、分布式计算和网格计算的发展是将大量的计算、存贮等资源集中在一起以服务的形式向用户提供的商业模式。是BPO、ITO、ASP等的发展目的是将网络、计算、软件基础化成泛在的、便利的象水和电一样的社会基础服务提供三个层次的服务：IAAS-PAAS-SAAS核心技术：虚拟化技术、分布式存贮与资源管理物联网IOT(InternetofThings)，通过射频识别（RFID）、红外感应器等传感设备，把物品与互联网连接起来，进行信息交换和通讯，以实现智能化识别、定位、跟踪、监控和管理的一种网络。是互联网自然的延伸与扩展Anytime,Anywhere,AnyoneAnything智慧地球，感知中国全面感知、可靠传递、智能处理核心技术：RFID和WSN三网融合电信网、广播电视网和互联网的融合我国的两大阶段性目标：2010年至2012年重点开展广电和电信业务双向进入试点，探索形成保障三网融合规范有序开展的政策体系和体制机制。2013年至2015年总结推广试点经验，全面实现三网融合发展，普及应用融合业务。2008年3月提出NGB(NextGenerationBroadcasting)采用自主创新的“高性能宽带信息网3TNet”核心技术主干带宽1000G以上，每户的接入带宽100M提供高清晰电视、数字视音频节目、高速数据接入和话音等“三网融合”的“一站式”服务2010年IPv6试商用-国内运营商CNGI试商用项目将建设完成并进入部署阶段三大运营商为IPv6Ready做好准备中国电信完成了IPv4向IPv6过渡的技术调研、方案制定、设备终端测试IPv6城域网骨干、接入、业务、终端、IT系统等试点：长沙、无锡、广州、成都以及济南5个城市中国移动完成了PNAT标准的起草以及相关业务的演示，将利用PNAT技术展开IPv6部署的探索中国联通完成了技术调研以及厂家设备测试，正设计演进方案CERNET2CERNET目前已有的技术与成果技术Softwire（RFC4925）：IPv4overIPv6的隧道技术SAVI（RFC5210）：真实源IP地址认证技术IVI：IPv4/IPv6互通技术成果IPv4/IPv6综合一体化网络管理系统Blackboard教学系统校园多出口智能网络管理网关华南理工大学的数字化校园解决方案邮件系统，门户管理系统，信息发布与内容管理CMS，统一身份认证系统，网络管理系统，学生管理与服务系统，科研管理系统，就业管理与服务平台etc.国内校园网的发展历史始于1995年，比国外晚15年左右，与CERNET的发展历程分不开四个阶段初期，1995-2000基础网络建设：10M/100M以主FDDI，ATM，同轴电缆，双绞线;网络基础应用为主：WEB，BBS，Email,FTPetc.发展期，2000-20051000M以太网;网络应用建设:办公自动化成熟期:2005-2010千兆/万兆；数字化校园建设：教务，教学，一卡通，IDC建设下一代校园网：2010-2015为IPv6为特征，千兆/万兆，’建网’-’用网’、’管网’云计算，多网融合校园网建设存在的主要问题安全问题网络安全：ARP等攻击、蠕虫、病毒；IP地址/帐号盗用、私设DHCP和代理内容安全：过滤、屏蔽不良信息内容及网站，实时监测内容安全（如BBS)系统安全：无IDS/IPS或缺乏有效管理管理问题数据不统一应用不统一管理不统一可运营管理不重视运营与服务质量（SLA）校园化建设需求分析层次一：网络建设的需求网络访问（公网，教育网），可靠、可用和足够的带宽无线与有线结合随时随地上网的需求层次二：基础网络应用的需求（狭义校园网）BBS，Email，Web，网络存贮与计算层次三：数字化校园建设的需求（广义校园网）数字化教学：多媒体教学、教学资源库、网络教学系统、数字图书馆和虚拟实验室等数字化科研：计算资源、文献资源、科学数据库资源、科研设备资源和专家学者资源建设与共享数字化管理：教学管理、科研管理、人力资源管理、学生管理、财务管理、设备资源管理数字化生活：教育培训、科技成果转让与咨询，社区服务，网络文化服务下一代校园网的建设目标建设一个既能满足近期实际应用需求又具有一定技术先进性的，以IPv6为承载协议的，高速、安全、可用、可信、可控可管的新一代多业务校园网。有效支撑数字化校园的各种应用，促进校园网教学、科研工作的发展。主要特点以IPv6协议为主要承载协议安全可信可控可管可运营多业务承载平台（多网合一）集中化、一体化、精细化的综合管理平台网络架构IPv6有线接入CERNET2IPv6无线控制器IPv6网络出口IPv6安全监测与流量管理IPv6无线接入IPv6边界路由器IPv6骨干网络出口核心汇聚接入校园网建设系统架构业务需求校园网综合管理与业务支撑平台（CNBOSS）数字化教学数字化科研数字化管理数字化生活向上支撑数字校园各业务系统高效运行基础设施有线网络无线网络网络出口数据中心认证管理资源管理网络管理运营管理向下支撑校园基础网络系统的稳定运行主要建设内容IPv6校园网建设基于SAVI的可信校园网建设基于IVI的IPv4/IPv6互通多业务支撑平台（MPLS）基于流的精细化流量管理三网融合应用多出口智能管理基于云计算的IDC建设校园综合管理运营平台IPv6校园网建设IPv6地址，2001:DA8::/32，可通过CERNET网络中心申请/48的地址DNS：AAAA记录方式，建立纯IPv6DNS服务器路由协议：BGP4+，与CERNET2主干网建立BGP连接OSPFv3所有设备支持IPv6功能应用的平滑迁移，媒体服务器基于IVI的IPv4/IPv6互通针对校内个别的IPv4子网，及校外的IPv4网络“IPv4与IPv6互通就是IPv6的杀手级应用”–李星老师语IVI技术是对SIIT和NAT-PT技术的改进是一种基于无状态的、可以透明实现IPv4与IPv6互访的新技术两种转换模式：无状态的1:1转换和有状态的1:NIVI网关已产品化IVI网关的部署两种部署方式：集中式与分布式，建议集中式部署CERNETCERNET2校园网（IPv4/IPv6）IVI网关IPv4IPv6基于SAVI的可信校园网建设常用的用户认证方式:是对用户身份的认证准入：802.1x准出：WebPortalSAVI:真实源地址认证，是对源IP地址的确认接入网真实源地址验证技术域内真实源地址验证技术域间真实源地址验证技术结合802.1X,WebPortal和SAVI的真实用户身份与真实地址认证绑定：端口，MAC地址，IP地址，UserID,权限实现源地址和用户身份可信SAVI实现模式基于接入网和域内(RFC3704:uRPF)真实源地址验证技术H3C和锐捷网络等厂商的交换机已支持SAVIDHCP-SLACC模式DHCP-ONLY模式SLAAC-ONLY模式STATIC-ONLY模式下联端口：VALIDATION属性上联端口：RATRUST属性上联端口：DHCPv6TRUST属性SAVI交换机IPv6路由器/三层交换机DHCPv6SAVI认证服务器基于MPLS多业务支撑平台物理的业务应用专网一卡通网、财务网、安防与视频监控网、有线网存在线路施工复杂、费用高、组网不灵活的缺点基于MPLS技术来实现多业务支撑平台高效转发，快速重路由支持L3VPN，L2VPN支持MPLSTE功能，实现IPQoS控制组建安全的虚拟专用实现全校只有一张物理网目前网络设备厂家的P和PE设备均可支持MPLS功能基于流的精细化流量管理基于流（IPFIX）的流量可视化源IP、目的IP、包数量、字节数、源端口、目的端口、协议、时间实时的统计与分析实现应用识别与网络行为分析‘Who,When,Where,What,How’可视化管理基于流量的准确计费统计分析与异常分析TopN排序：协议，用户，IP地址/IP地址段，校内/校外，国内/国际包大小，包数量多出口智能管理多出口智能路由功能运营商地址自动下载与同步多出口智能选路逆向服务器高效访问与智能DNS出口安全管理过滤与屏蔽(防火墙功能）防代理攻击与病毒检测内容安全监测流控功能分时管理P2P应用流量优先保障VIP应用SiSiCERNET2ISP2校园网网关基于云计算的校园数据中心建设数据、存贮、计算、应用的集中化与统一管理节约资源，提高效率三网融合应用校园网应该支持有线电视网络三网融合的趋势增加内容服务的要求融合的方向是IP网（一个网口解决一切）校园网内的内容转发：可控组播技术，P2P技术等华中理工大学的案例如下，采用P2P方式内容制作IPv6校园网内容转发电视电脑移动设备有线电视媒体服务器可控组播技术实现传统媒体广播方式的有效途径可控组播技术组播源可控组播组可控组播带宽可控组播用户可控组播应用的实时可视化H3C和锐捷均有相应解决方案校园综合管理运营平台集中、统一、全面、精细化管理主要功能用户管理：认证、计费、收费运营、SLA管理等网络管理：安全、性能、故障、配置管理等资源管理：设备、线路、带宽、存贮等业务管理：VPN，业务专网等基于赛尔公司现有IPv4/IPv6综合网络管理平台来实现谢谢！