下一代校園網(wǎng)建設(shè)方案課件

1、下一代校園網(wǎng)建設(shè)方案賽 爾 網(wǎng) 絡(luò) 有 限 公 司技術(shù)服務(wù)業(yè)務(wù)2010年5月7日主要內(nèi)容校園網(wǎng)建設(shè)現(xiàn)狀與需求分析當前技術(shù)熱點及發(fā)展影響新一代校園網(wǎng)的設(shè)計方案主要功能與系統(tǒng)的設(shè)計與實現(xiàn)目的與意義 通過對當前校園網(wǎng)建設(shè)狀況的調(diào)研和需求分析，結(jié)合當前網(wǎng)絡(luò)信息技術(shù)的最新發(fā)展趨勢和CERNET已有科研成果與解決方案，提出以IPv6為承載協(xié)議的可信、可控可管和可運營的多業(yè)務(wù)校園網(wǎng)的建設(shè)方案，為下一代校園網(wǎng)的建設(shè)提供參考與指導(dǎo)。當前的技術(shù)熱點與發(fā)展趨勢云計算物聯(lián)網(wǎng)三網(wǎng)融合下一代互聯(lián)網(wǎng)云計算是一種基于互聯(lián)網(wǎng)的超級計算模式。是并行計算、分布式計算和網(wǎng)格計算的發(fā)展是將大量的計算、存貯等資源集中在一起以服務(wù)的形式向

2、用戶提供的商業(yè)模式。是BPO、ITO、ASP等的發(fā)展目的是將網(wǎng)絡(luò)、計算、軟件基礎(chǔ)化成泛在的、便利的象水和電一樣的社會基礎(chǔ)服務(wù)提供三個層次的服務(wù)：IAAS-PAAS-SAAS核心技術(shù)：虛擬化技術(shù)、分布式存貯與資源管理物聯(lián)網(wǎng)IOT (Internet of Things)，通過射頻識別（RFID）、紅外感應(yīng)器等傳感設(shè)備，把物品與互聯(lián)網(wǎng)連接起來，進行信息交換和通訊，以實現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡(luò)。是互聯(lián)網(wǎng)自然的延伸與擴展Anytime, Anywhere, Anyone Anything智慧地球，感知中國全面感知、可靠傳遞、智能處理核心技術(shù)：RFID和WSN三網(wǎng)融合電信網(wǎng)、廣播電

3、視網(wǎng)和互聯(lián)網(wǎng)的融合我國的兩大階段性目標：2010年至2012年重點開展廣電和電信業(yè)務(wù)雙向進入試點，探索形成保障三網(wǎng)融合規(guī)范有序開展的政策體系和體制機制。2013年至2015年總結(jié)推廣試點經(jīng)驗，全面實現(xiàn)三網(wǎng)融合發(fā)展，普及應(yīng)用融合業(yè)務(wù)。2008年3月提出NGB(Next Generation Broadcasting)采用自主創(chuàng)新的“高性能寬帶信息網(wǎng)3TNet”核心技術(shù)主干帶寬1000G以上，每戶的接入帶寬100M提供高清晰電視、數(shù)字視音頻節(jié)目、高速數(shù)據(jù)接入和話音等“三網(wǎng)融合”的“一站式”服務(wù)2010年IPv6試商用-國內(nèi)運營商CNGI試商用項目將建設(shè)完成并進入部署階段三大運營商為IPv6 Rea

4、dy做好準備中國電信完成了IPv4向IPv6過渡的技術(shù)調(diào)研、方案制定、設(shè)備終端測試IPv6城域網(wǎng)骨干、接入、業(yè)務(wù)、終端、IT系統(tǒng)等試點：長沙、無錫、廣州、成都以及濟南5個城市中國移動完成了PNAT標準的起草以及相關(guān)業(yè)務(wù)的演示，將利用PNAT技術(shù)展開IPv6部署的探索中國聯(lián)通完成了技術(shù)調(diào)研以及廠家設(shè)備測試，正設(shè)計演進方案CERNET2CERNET目前已有的技術(shù)與成果技術(shù)Softwire（RFC4925）：IPv4 over IPv6的隧道技術(shù)SAVI（RFC5210）：真實源IP地址認證技術(shù)IVI：IPv4/IPv6互通技術(shù)成果IPv4/IPv6綜合一體化網(wǎng)絡(luò)管理系統(tǒng)Blackboard教學(xué)系統(tǒng)

5、校園多出口智能網(wǎng)絡(luò)管理網(wǎng)關(guān)華南理工大學(xué)的數(shù)字化校園解決方案郵件系統(tǒng)，門戶管理系統(tǒng)，信息發(fā)布與內(nèi)容管理CMS，統(tǒng)一身份認證系統(tǒng)，網(wǎng)絡(luò)管理系統(tǒng)，學(xué)生管理與服務(wù)系統(tǒng)，科研管理系統(tǒng)，就業(yè)管理與服務(wù)平臺 etc.國內(nèi)校園網(wǎng)的發(fā)展歷史始于1995年，比國外晚15年左右，與CERNET的發(fā)展歷程分不開四個階段初期，1995-2000基礎(chǔ)網(wǎng)絡(luò)建設(shè)：10M/100M以主FDDI，ATM，同軸電纜，雙絞線;網(wǎng)絡(luò)基礎(chǔ)應(yīng)用為主：WEB，BBS，Email, FTP etc.發(fā)展期，2000-20051000M以太網(wǎng); 網(wǎng)絡(luò)應(yīng)用建設(shè): 辦公自動化成熟期: 2005-2010千兆/萬兆；數(shù)字化校園建設(shè)：教務(wù)，教學(xué)，一卡通

6、，IDC建設(shè)下一代校園網(wǎng)：2010-2015為IPv6為特征，千兆/萬兆，建網(wǎng)-用網(wǎng)、管網(wǎng)云計算，多網(wǎng)融合校園網(wǎng)建設(shè)存在的主要問題安全問題網(wǎng)絡(luò)安全：ARP等攻擊、蠕蟲、病毒；IP地址/帳號盜用、私設(shè)DHCP和代理內(nèi)容安全：過濾、屏蔽不良信息內(nèi)容及網(wǎng)站，實時監(jiān)測內(nèi)容安全（如BBS)系統(tǒng)安全：無IDS/IPS或缺乏有效管理管理問題數(shù)據(jù)不統(tǒng)一應(yīng)用不統(tǒng)一管理不統(tǒng)一可運營管理不重視運營與服務(wù)質(zhì)量（SLA）校園化建設(shè)需求分析層次一：網(wǎng)絡(luò)建設(shè)的需求網(wǎng)絡(luò)訪問（公網(wǎng)，教育網(wǎng)），可靠、可用和足夠的帶寬無線與有線結(jié)合隨時隨地上網(wǎng)的需求層次二：基礎(chǔ)網(wǎng)絡(luò)應(yīng)用的需求（狹義校園網(wǎng)）BBS，Email，Web，網(wǎng)絡(luò)存貯與計算

7、層次三：數(shù)字化校園建設(shè)的需求（廣義校園網(wǎng)）數(shù)字化教學(xué)：多媒體教學(xué)、教學(xué)資源庫、網(wǎng)絡(luò)教學(xué)系統(tǒng)、數(shù)字圖書館和虛擬實驗室等數(shù)字化科研：計算資源、文獻資源、科學(xué)數(shù)據(jù)庫資源、科研設(shè)備資源和專家學(xué)者資源建設(shè)與共享數(shù)字化管理：教學(xué)管理、科研管理、人力資源管理、學(xué)生管理、財務(wù)管理、設(shè)備資源管理數(shù)字化生活：教育培訓(xùn)、科技成果轉(zhuǎn)讓與咨詢，社區(qū)服務(wù)，網(wǎng)絡(luò)文化服務(wù)下一代校園網(wǎng)的建設(shè)目標 建設(shè)一個既能滿足近期實際應(yīng)用需求又具有一定技術(shù)先進性的，以IPv6為承載協(xié)議的，高速、安全、可用、可信、可控可管的新一代多業(yè)務(wù)校園網(wǎng)。有效支撐數(shù)字化校園的各種應(yīng)用，促進校園網(wǎng)教學(xué)、科研工作的發(fā)展。主要特點以IPv6協(xié)議為主要承載協(xié)議安

8、全可信可控可管可運營多業(yè)務(wù)承載平臺（多網(wǎng)合一）集中化、一體化、精細化的綜合管理平臺網(wǎng)絡(luò)架構(gòu)IPv6有線接入CERNET2IPv6無線控制器IPv6網(wǎng)絡(luò)出口IPv6安全監(jiān)測與流量管理IPv6無線接入IPv6邊界路由器IPv6骨干網(wǎng)絡(luò)出口核心匯聚接入校園網(wǎng)建設(shè)系統(tǒng)架構(gòu)業(yè)務(wù)需求校園網(wǎng)綜合管理與業(yè)務(wù)支撐平臺（CNBOSS）數(shù)字化教學(xué)數(shù)字化科研數(shù)字化管理數(shù)字化生活向上支撐數(shù)字校園各業(yè)務(wù)系統(tǒng)高效運行基礎(chǔ)設(shè)施有線網(wǎng)絡(luò)無線網(wǎng)絡(luò)網(wǎng)絡(luò)出口數(shù)據(jù)中心認證管理資源管理網(wǎng)絡(luò)管理運營管理向下支撐校園基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運行主要建設(shè)內(nèi)容IPv6校園網(wǎng)建設(shè)基于SAVI的可信校園網(wǎng)建設(shè)基于IVI的IPv4/IPv6互通多業(yè)務(wù)支撐平

9、臺（MPLS）基于流的精細化流量管理三網(wǎng)融合應(yīng)用多出口智能管理基于云計算的IDC建設(shè)校園綜合管理運營平臺IPv6校園網(wǎng)建設(shè)IPv6 地址， 2001:DA8:/32，可通過CERNET網(wǎng)絡(luò)中心申請/48的地址DNS：AAAA記錄方式，建立純IPv6 DNS服務(wù)器路由協(xié)議：BGP4+，與CERNET2主干網(wǎng)建立BGP連接OSPFv3所有設(shè)備支持IPv6功能應(yīng)用的平滑遷移WWW，媒體服務(wù)器基于IVI的IPv4/IPv6互通針對校內(nèi)個別的IPv4子網(wǎng)，及校外的IPv4網(wǎng)絡(luò)“IPv4與IPv6互通就是IPv6的殺手級應(yīng)用” 李星老師語IVI技術(shù)是對SIIT和NAT- PT技術(shù)的改進是一種基于無狀態(tài)的、

10、可以透明實現(xiàn)IPv4與IPv6互訪的新技術(shù)兩種轉(zhuǎn)換模式：無狀態(tài)的1:1轉(zhuǎn)換和有狀態(tài)的1:NIVI網(wǎng)關(guān)已產(chǎn)品化IVI網(wǎng)關(guān)的部署兩種部署方式：集中式與分布式，建議集中式部署CERNETCERNET2校園網(wǎng)（IPv4/IPv6）IVI網(wǎng)關(guān)IPv4IPv6基于SAVI的可信校園網(wǎng)建設(shè)常用的用戶認證方式: 是對用戶身份的認證準入：802.1x準出：Web PortalSAVI: 真實源地址認證，是對源IP地址的確認接入網(wǎng)真實源地址驗證技術(shù)域內(nèi)真實源地址驗證技術(shù)域間真實源地址驗證技術(shù)結(jié)合802.1X, Web Portal和SAVI的真實用戶身份與真實地址認證綁定：端口，MAC地址，IP地址，UserID

11、, 權(quán)限實現(xiàn)源地址和用戶身份可信SAVI實現(xiàn)模式基于接入網(wǎng)和域內(nèi)(RFC3704:uRPF)真實源地址驗證技術(shù)H3C和銳捷網(wǎng)絡(luò)等廠商的交換機已支持SAVIDHCP-SLACC模式DHCP-ONLY模式SLAAC-ONLY模式STATIC-ONLY模式下聯(lián)端口：VALIDATION屬性上聯(lián)端口：RA TRUST屬性上聯(lián)端口：DHCPv6 TRUST屬性SAVI交換機IPv6路由器/三層交換機DHCPv6SAVI認證服務(wù)器基于MPLS多業(yè)務(wù)支撐平臺物理的業(yè)務(wù)應(yīng)用專網(wǎng)一卡通網(wǎng)、財務(wù)網(wǎng)、安防與視頻監(jiān)控網(wǎng)、有線網(wǎng)存在線路施工復(fù)雜、費用高、組網(wǎng)不靈活的缺點基于MPLS技術(shù)來實現(xiàn)多業(yè)務(wù)支撐平臺高效轉(zhuǎn)發(fā)，快速

12、重路由支持L3 VPN， L2VPN支持MPLS TE功能，實現(xiàn)IP QoS控制組建安全的虛擬專用實現(xiàn)全校只有一張物理網(wǎng)目前網(wǎng)絡(luò)設(shè)備廠家的P和PE設(shè)備均可支持MPLS功能基于流的精細化流量管理基于流（IPFIX）的流量可視化源IP、目的IP、包數(shù)量、字節(jié)數(shù)、源端口、目的端口、協(xié)議、時間實時的統(tǒng)計與分析實現(xiàn)應(yīng)用識別與網(wǎng)絡(luò)行為分析Who, When, Where, What, How可視化管理基于流量的準確計費統(tǒng)計分析與異常分析 Top N排序：協(xié)議，用戶，IP地址/IP地址段，校內(nèi)/校外，國內(nèi)/國際包大小 ，包數(shù)量多出口智能管理多出口智能路由功能運營商地址自動下載與同步多出口智能選路逆向服務(wù)器高效訪問與智能DNS出口安全管理過濾與屏蔽(防火墻功能）防代理攻擊與病毒檢測內(nèi)容安全監(jiān)測流控功能分時管理P2P應(yīng)用流量優(yōu)先保障VIP應(yīng)用CERNET2ISP2校園網(wǎng)網(wǎng)關(guān)基于云計算的校園數(shù)據(jù)中心建設(shè)數(shù)據(jù)、存貯、計算、應(yīng)用的集中化與統(tǒng)一管理節(jié)約資源，提高效率三網(wǎng)融合應(yīng)用校園網(wǎng)應(yīng)該支持有線電視網(wǎng)絡(luò)三網(wǎng)融合的趨勢增加內(nèi)容服務(wù)的要求融合的方向是IP網(wǎng)（一個網(wǎng)口解決一切）校園網(wǎng)內(nèi)的內(nèi)容轉(zhuǎn)發(fā)：可控組播技術(shù)，P2P技術(shù)等華中理工大學(xué)的案例如下，采用P2P方式內(nèi)容制作IPv6校園網(wǎng)內(nèi)容轉(zhuǎn)發(fā)電視電腦移動設(shè)備有線電視媒體服務(wù)器可控