IPV6校园网设计版.docx
- 文档编号:18413658
- 上传时间:2023-08-16
- 格式:DOCX
- 页数:18
- 大小:253.87KB
IPV6校园网设计版.docx
《IPV6校园网设计版.docx》由会员分享,可在线阅读,更多相关《IPV6校园网设计版.docx(18页珍藏版)》请在冰点文库上搜索。
IPV6校园网设计版
IPv6校园网络的设计与实现
一网络需求分析
1.1功能要求
针对我们学校具体的使用环境,设置具体功能如下:
●宿舍楼:
用来下载视频、音频,浏览网页、视频,玩游戏,聊天
●图书馆:
内部电脑可以用来查询借阅情况、数据库、论文等,管理员可以查看图书整体的借阅情况,发布、更新消息,另外,图书馆中增设无线,以便学生上网
●实验楼:
浏览网页,大量查阅资料
●教学楼:
浏览网页,查阅资料,教务管理
●行政、财政楼:
发布消息、同步更新,学生交学杂费,学校总体的助奖学金以及财务管理等
●家属区:
用来下载视频、音频,浏览网页、视频,玩游戏,聊天
1.2性能要求
(1)校园网骨干网带宽升级。
伴随着信息化建设的深入,学校基本的教学教务管理、
科研管理、后勤管理、数字图书馆、视频服务系统、办公自动化系统和校园社区服务等业务系统在内的校园信息系统建设要求核心交换能够提供无瓶颈的数据交换,主干万兆已成为校园网发展的趋势。
我们学校校园网原有网络骨干是千兆,本次改造将提升到万兆。
(2)新的主干设备应能满足15,000用户接入访问的要求。
(3)校园网可靠性的提升。
由于整个网络需要长期不间断运行,设备的维护
工作比较困难,所以要求采用的核心设备应该是高可靠,免维护的高质量网络产品。
另外,要求骨干设备应具有很高的容错能力,不仅要有设备级的冗余性,还应配备冗余引擎和冗余电源,所有的设备接口模块可以进行热插拔更换。
(4)支持IP多目广播(Multicast)与服务质量(Qos)或服务类型(CoS),满足远
程教育的需要。
(5)校园网安全防护的提升。
校园网中同样有大量关于教学和档案管理的重要数据,
不论是被损坏、丢失还是被窃取,都将带来极大的损失,要求对ARP攻击、DHCP仿冒等要有效防御。
设备须支持防火墙、VLAN、数据加密等技术,具有防止和控制病毒传播的功能,对校园网的安全进行合理规划,有效防止各类安全事件。
(6)支持无线用户接入。
本次升级,在校园网新增无线网络设备,以扩大IPv6的接
入范围和接入手段。
1.3运行环境要求
支持windows、Linux操作系统,支持现在系统自带和用户安装的的应用软件以及可以实现资源共享。
1.4可扩充性和可维护性要求
考虑现有网络的平滑过度,使学校现有陈旧设备尽量保持较好的利用价值;选用产品应具有最佳性价比,又要充分考虑未来可能的应用,具有高扩展性。
对于核心层的网络设备,要求骨干交换机全面支持IM技术,具备强大和完整的第三层交换能力,支持双栈技术,支持视频点播、电视电话会议等宽带多媒体应用。
对于网络管理,要求采用智能化网络管理软件,实现对网络的自动监测和控制,用户界面应该友好并能进行常见的网络配置,支持虚拟网络功能。
二网络系统方案设计
2.1方案设计
2.1.1主要网络技术
IPv6作为构建网络的基础,在技术上有诸多优势,虽然IPv6是新的标准体系,但是它的架构仍然沿袭了TCP/IP体系,在路由和转发过程中,IPv6路由寻址思想与IPv4相同,采用最长地址匹配,选择最优路径。
IPv4的动态路由协议,经过扩展后可以在IPv6网络上运行,包括RIPng,ISISv6。
IPv6作为新的网络层协议,原有支持IPv4的链路层通过扩展可以方便地提供支持。
未来的很长一段时间之内,IP网络将是IPv4网络与IPv6网络的共存的网络。
现在从IPv4向IPv6过渡阶段提供了很多过渡技术来实现这个渐进过程。
这些过渡技术主要围绕着解决两类问题:
1IPv6孤岛互通技术----实现IPv6网络和IPv6网络的互通;
2IPv6和IPv4之间互通----实现两个不同网络之间互相访问资源。
目前基本过渡技术主要技术有双栈、隧道、NAT三种方式。
双栈是设备升级到IPv6的同时保留对IPv4支持,可以同时访问IPv4和IPv6设备。
其中包含双协议栈支持,应用程序依靠DNS地址解析返回的地址类型,来决定使用何种协议栈。
对于路由器来讲,双栈是指在一个路由器设备中维护IPv4和IPv6两套路由协议栈,使得路由器既能与IPv4主机也能与IPv6主机通信,分别支持独立的IPv4和IPv6路由协议,IPv4和IPv6路由信息按照各自的路由协议进行计算,维护不同的路由表。
IPv6数据报按IPv6路由协议得到的路由表转发,IPv4数据报按IPv4路由协议得到的路由表转发。
TCP/IP协议族体系结构中,在网络层,为了将IPv6初期的各个IPv6小网络孤岛连接在一起并最终形成
IPv6Internet,发挥Internet优势促进IPv6业务和应用的发展,就必须建立起IPv6互联中心。
在应用层必须建立成IPv6,IPv4双栈DNS服务系统,这样才能为网络的过渡技术提供业务连通基础。
图1表示了双协议栈的通信方式。
图1IPv4/v6双协议栈技术
2.1.2基于双栈技术的IPv6校园网络设计
在原有校园网基础上直接升级支持IPv6,所涉及因素比较复杂,需要考虑的内容也较多,一般而言需要购买新的双栈设备,少数设备可以通过升级软件直接支持双栈。
若核心设备可升级,则部署和业务互通方案类似新建校园网。
若增加新的双栈设备,则新建IPv6网与原来IPv4网在各自网内分别互通,与外部则分别经原核心连接的CERNET或新增设备所连接的CERNET2分别于外部IPv4和IPv6网络互通,校园网内部IPv4--IPv4、IPv6--IPv6业务分别利用新老校园网直接互通。
IPv4数据可以经由原有网络转发,IPv6数据经由新核心进行转发,如此以来可以高效地支持大容量IPv6数据的转发,而且业务支持性能比较高,不过成本相对比较昂贵。
数据转发路径可能一致,也可以不同。
当今的Cisco,华为等高端路由器和高端交换机采用网络处理技术,可以随时进行业务升级;中低端路由器具有成本低、特性丰富、IOS版本容易升级等优点,特别适合于组建教学科研网络。
在教学科研网上,可以运行多种IPv6路由协议、IPv6隧道技术和互通技术,支持6PE,GRE等多种IPv6隧道技术。
现在大多数网络采用优化的宽带IP网络结构,宽带IP网大多是采用分层结构,由核心层、汇聚层、接入层组成。
采用分层结构可以有效地隔离各个层次之间的相互影响,为每个层次的需求实现优化设计,提高整个校园网设计研究网络的灵活性、扩展性、有效性和可靠性。
各个层次的要求如下:
(1)核心层:
将多个汇聚层连接起来,为汇聚层网络提供数据的高速转发,同时实现与其他骨干网络的互联,高速IP数据出口。
骨干层网络结构重点考虑高速的交换能力、高带宽、高可靠性、良好的扩展能力、清晰的网络结构、多业务的支持能力,包括QOS保证、流量管理,提供IPv6隧道接口、IPv6/IPv4双栈通道等等。
(2)汇聚层:
完成本地业务的区域汇接,进行带宽和业务汇聚、收敛及分发,并进行用户管理,通过识别定位用户,实现基于用户的访问控制和带宽保证,以及提供安全保证和灵活的计费方式。
要求具有高端口密度、高性能、高容量、多技术支持,支持各种接入技术如以太网、ATM,CableModem等、安全控制、流量管理、多业务支持、计费管理,支持IPv6/IPv4双栈协议,允许两种网络长期共存。
(3)接入层:
通过各种接入技术和线路资源实现对用户的覆盖,并提供多业务的用户接入,必要时配合完成用户流量控制功能。
要求具有高性能、高容量、多技术支持、多业务支持、用户管理能力等,支持IPv6/IPv4双栈协议,校内任何信息点的用户都可以方便地访问IPv6或者IPv4资源。
具体的设计步骤如下:
●主干系统的设计,指核心层和汇聚层
●接入系统的设计
●网络拓扑结构设计
基于双栈技术的IPv6校园网络设计如图2所示。
图2
升级后的学校网络拓扑结构如图所示,分为核心层、汇聚层、接入层。
核心层主要承担高速数据交换的任务,同时要为各汇聚节点提供最佳传输通道。
在部署IPv6核心层设备时,要特别注意在双栈环境中的设备转发性能是否能够达到线速转发。
在核心层部署两台cisco6506E,实现万兆双链路捆绑,保证核心设备间的高性能转发及冗余,实现汇聚设备的双链路上行,提高骨干链路可靠性。
汇聚层的主要任务是把大量来自接入层的访问路径进行汇聚和集中,承担路由聚合和访问控制的任务。
这就要求汇聚层设备必须具备良好的可扩展性,必须使用模块化、分布式转发的体系结构,可通过增加板卡提高端口密度,以便汇接更多的接入层设备,并能提供良好的性能保障。
在IPv6部署时,特别需要支持IPv6路由,转发等基本功能,同时要考虑将来IPv6VRRP(虚拟路由器冗余协议)用来提供对用户的网关冗余。
在汇聚层部署多台cisio3570汇聚层交换机。
接入层的主要任务是完成用户的接入,它直接和用户连接,可能遭受ARP风暴、MAC扫描、ICMP风暴、带宽攻击等攻击方式,对安全性的要求很高;另一方面必须提供灵活的用户管理手段。
在部署IPv6网络时,首先要考虑接入层交换机支持对双栈用户进行认证,IPv6HOST,IPv6ACL等功能,同时在IPv6中,用户可能遭受ND(邻居发现协议)攻击,接入层交换机也需要支持ND防攻击的相关功能。
在此次升级中,接入层设备采用的是支持IPv6管理并具有安全特性的cisco2960。
2.2提供的服务
建设一流的数字化网络环境、数字化资源、数字化教学与学习环境,实现数字化学习、教学、科研和管理,创建数字化的生活空间。
将本校建设成高速互联的数字化校园。
我校的下一代校园网建设,不能仅仅着眼于网络带宽的建设,而且应该极其强调建成以后网络的可管理性、安全性、扩展性和各级网络设备和链路的冗余性和可靠性。
比如安全性,作为网络应用一个很重要的方面,是需要重点考虑的部分,在保障数据传输安全的同时,还要同时加强网络安全、防病毒系统建设,保护校园网系统免受黑客攻击,防止非法的访问,为网络系统和应用提供安全的防护屏障。
服务主要包括IPv6/IPv4互访业务,及远端节点的接入,部署节点冗余设计等。
另外,根据实际应用,主要应用包括:
支持各种方式的Internet接入
支持各应用及文件服务器的接入
支持多点对多点的视频会议
支持多媒体的广播教学应用
支持图书馆管理系统
支持学校信息管理系统
能采用VLAN技术以提高流量控制,安全及防止网络风暴
2.3关键设备选型
核心层交换机:
cisco6500系列交换机
●提供安全的端到端融合网络服务。
●能够通过多种机箱配置和LAN/WAN/MAN接口提供可扩展的性能和端口密度,降低总体拥有成本。
●提供带插槽的机箱,以及多种集成式服务模块,包括数千兆位网络安全性、内容交换、语音和网络分析模块。
●使用了统一的模块和操作系统软件,形成了能够适应未来发展的体系结构。
●借助冗余路由与转发引擎之间的故障切换功能提高网络正常运行时间
●提供高达200Mbps的硬件Ipv6
汇聚层交换机:
cisco3750系列交换机
●易于使用—“即插即用”配置
●混合和匹配交换机类型—随您对网络的扩展而付费
●智能组播—为融合网络提高新效率水平
●支持IPV6
●标准PoE支持—顺畅地添加IP通信
●万兆位以太网支持—为千兆位以太网部署增加上行链路带宽
●管理选项
接入层交换机:
cisco2960系列交换机
●集成安全特性,包括网络准入控制(NAC)
●高级服务质量(QoS)和永续性
●为网络边缘提供智能服务
2.4.安全设计
如同需要用锁来保证有形的财产的安全一样,计算机和数据网也需要一种保护信息安全的防犯物。
在一个互连网络中,安全性既重要又困难。
说它重要,是因为信息具有显著的价值——信息可以被直接买卖,也可以通过间接地使用信息创造出可获得高利润的新的产品或服务。
说它困难,是因为安全性意味着既要了解正参加合作的用户、计算机、服务和网络在何时相互依赖以及如何相互依赖,还要了解网络硬件和协议的技术细节。
从广义上讲,术语“网络安全性”和“信息安全性”是指能够确保网络上的信息和服务不被非授权的用户所使用。
安全性意味着:
数据的完整性,防止对计算机资源的非授权地随意访问,防止随意地窃听或偷窥以及随便地打断服务。
当然,如同不能保证物理财产针对犯罪来说的绝对安全,也没有网络的绝对安全。
由于信息的飘忽不定和难以捕捉,保护像信息这样的资源一般比提供物理的安全性更加困难。
数据完整性(即保护信息不被非授权的改变)是关键;数据可用性(即保证外来者不能通过使网络业务流饱和来阻止对数据的合法访问)也是个关键。
因为信息在通过网络时可以被复制,必须防止数据被非授权的监听。
也就是,网络安全性也必须包括保护隐私。
西安电子科技大学为园区网络,有大量的网络用户。
同时和外网互联,必然有很多不安全的因素。
为保证网络的安全可靠,我们结合西安电子科技大学的实际情况、运用恰当的技术提出整体的层次化解决方案。
2.4.1部署防火墙
防火墙是设置在内部网络与Internet之间的一个或一组系统,用以实施两个网络间的访问控制和安全策略。
狭义上防火墙指安装了防火墙软件的主机或和路由系统;广义上还包括整个网络的安全策略和安全行为。
防火墙技术属于被动防卫型,它通过在网络边界上建立一个网络通信监控系统来保护内部网络安全的目的,其功能是按照设定的条件对通过的信息进行检查和过滤。
防火墙是实施组织的网络安全策略、保护内部信息的第一道屏障,其作用主要有:
保护功能拒绝非授权访问、保护网络系统和私人及敏感信息不受侵害。
连接功能作为内部网络与Internet之间的单一连接点。
管理功能实施统一的安全策略,检查网络使用情况,进行流量控制等。
防火墙有三个属性:
所有进出内部网的数据包必须经过它;仅被本地安全策略所授权的数据包才能通过它;防火墙本身对攻击必须具有免疫能力。
在西安电子科技大学和外网的连接中,我们推荐使用硬件防火墙。
防火墙在内外网络连接中起两个作用:
1)利用访问控制列表(AccessControlList,ACL)实施安全防护防火墙操作系统IOS通过访问控制列表(ACL)技术支持包过滤防火墙技术,根据事先确定的安全策略建立相应的访问列表,可以对数据包、路由信息包进行拦截与控制,可以根据源/目的地址、协议类型、TCP端口号进行控制。
这样,我们就可以在Intranet上建立第一道安全防护墙,屏蔽对内部网Intranet的非法访问。
2)利用地址转换(NetworkAddressTranslation,NAT)实现安全保护防火墙另外一个强大功能就是内外地址转换。
进行IP地址转换由两个好处:
其一是隐藏内部网络真正的IP地址,这可以使黑客(hacker)无法直接攻击内部网络,因为它不知道内部网络的IP地址及网络拓扑结构;另一个好处是可以让内部网络使用自己定义的网络地址方案,而不必考虑与外界地址冲突的情况。
地址转换(NAT)技术运用在内部主机与外部主机之间的互相访问的时候,当内部访问者想通过路由器外出时,路由器首先对其进行身份认证----通过访问列表(ACL)核对其权限,如果通过,则对其进行地址转换,使其以一个对外公开的地址访问外部网络;当外部访问者想进入内部网时,路由器同样首先核对其访问权限,然后根据其目的地址(外部公开的地址),将其数据包送到经过地址转换的相应的内部主机。
2.4.2局域网内部安全策略
在西安电子科技大学网络工程和今后各种应用系统的建设过程中,在局域网上我们可以根据不同部门、不同业务类别划分VLAN,通过把不同系统划分在不同VLAN的方式,将各系统完全隔离,实现对跨系统访问的控制,既保证了安全性,也提高了可管理性。
1)VLAN技术
VLAN技术用以实现对整个局域网的集中管理和安全控制。
CISCO局域网交换机的一大优势是具备跨交换机的VLAN(虚网)划分和VLAN路由功能。
虚网是将一个物理上连接的网络在逻辑上完全分开,这种隔离不仅是数据访问的隔离,也是广播域的隔离,就如同是物理上完全分离的网络一样,是一种安全的防护。
通过VLAN路由实现对跨部门访问的控制,既保证了安全性,也提高了可管理性。
2)VLANRouting原理
每一个VLAN都具有一个标识,不同的VLAN标识亦不相同,交换机在数据链路层上可以识别不同的VLAN标识,但不能修改该VLAN标识,只有VLAN标识相同的端口才能形成桥接,数据链路层的连接才能建立,因而不同VLAN的设备在数据链路层上是无法连通的。
VLANRouting技术是在网络层将VLAN标识进行转换,使得不同的VLAN间可以沟通,而此时基于网络层、传输层甚至应用层的安全控制手段都可运用,诸如Access-list(访问列表限制)、FireWall(防火墙)、TACACS+等,VLANRouting技术使我们获得了对不同VLAN间数据流动的强有力控制。
3)MAC地址过滤策略
在内部网中还可以利用Cisco交换机的MAC地址过滤功能对局域网的访问提供链路层的安全控制。
MAC地址过滤能进一步实现对局域网的安全控制。
CISCO局域网交换机具有MAC址过滤功能,通过在交换机上对每个端口进行配置,可以禁止或允许特定MAC地址的源站点或目的站点,从而实现各站点之间的访问控制。
由于每块网卡有唯一的MAC地址,是固定不变的,只允许特定MAC地址的工作站通过特定的端口进行访问,所以对MAC地址的访问控制实际上就是对指定工作站这一物理设备的访问控制,由于MAC地址的不可改变,与对IP地址的过滤相比,具有更高的安全性。
2.4.3拨号访问安全控制
从确保网络访问的安全出发,路由器对所有远程拨号访问连接都由Radius设置AAA(AuthenticationAuthorizationAccount,即认证、授权、记帐)级安全控制,防止法用户的访问。
同时,在计费服务器上,也提供Radius认证方式,两者可以配合使用。
(也可以只采用计费服务器上的Radius认证)
具体的实现细节如下:
在网络中配置一台安装CiscoSecure软件的服务器,CiscoSecure软件使用Radius(RemoteAuthenticationDial-inUserService)协议提供对网络的安全控制,并对成功连接到网络的用户的操作进行记录。
对于远程拨号访问,配置PPP协议提供的CHAP(ChallengeHandshakeAuthorizationProtocol)认证协议,该协议是一个基于标准的认证服务,而且在传输过程中使用加密保护,与在传输用户ID和口令时不使用加密的PAP协议相比,具有更大的安全性,可用西电校园网设计方案校园网建设方案供用户ID和口令在传输线上的安全保护。
RADIUS提供的AAA级安全控制首先根据用户名和口令识别在本网络中是否允许该用户访问,从而决定是否建立连接;其次对经过认证连接到网络的用户授予相应的网络服务级别,提供访问的限制;最后保留用户在本网络中的所有操作记录(日志),这些记录的内容包括用户网络地址、用户名、所使用的服务、日期和时间以及用于计帐的连接时间、连接位置、数据传输量、开始时间和停止时间等。
AAA在Client/Server体系中允许在一个中心数据库中存储所有的安全信息,在一台装有CiscoSecure软件的安全服务器上通过对数据库的修改和维护就可方便地对整个系统进行很好的安全控制。
CiscoSecure软件由一个Daemon和一个GUI两部分组成。
Daemon的操作依赖于两个文件,一个用于定义所有的系统参数的控制文件和一个包含了网络用户所有认证和授权信息的数据库文件。
GUI提供给系统管理员用于维护认证和授权信息等,网络用户可被分配到具有一系列相同参数的组,GUI使系统管理员能够修改网络中任一组和任一用户的认证和授权参数。
网络访问的安全控制过程如下:
首先,当用户使用PPP协议对网络进行拨号访问时,访问服务器将通过CHAP协议输入的用户名和口令送到RADIUS服务器,由RADIU协议根据数据库的信息进行认证,并把认证结果传回访问服务器。
如认证成功,访问服务器将与远端建立连接,否则中断连接。
认证成功后访问服务器向RADIUS服务器送出授权请求,服务器根据数据库信息将该用户所具有的访问权限的描述传回访问服务器,提供更多的安全控制。
这些访问控制信息包括该用户的访问控制列表,指定该用户可使用的服务以及该用户会话可延续的时间等。
最后访问服务器会将用户在网络中的每一个操作记录到RADIUS服务器中。
三关键设备选型说明
3.1交换机
所用的各种类型的交换机性能如下表:
交换机
核心层
汇聚层
接入层
产品名称
思科WS-C6506-E
思科WS-C3750G-48TS-S
思科WS-C2960G-24TC-L
产品图片
产品价格
¥27999
¥27167
¥7778
交换机类型
千兆以太网交换机
千兆以太网交换机
企业级交换机
传输速率
10/100/1000Mbps
10/100/1000Mbps
10/100/1000Mbps
应用层级
四层
三层
二层
交换方式
存储-转发
存储-转发
存储-转发
背板带宽
480Gbps
32Gbps
32Gbps
包转发率
243Mpps
38.7Mpps
35.7Mpps
端口结构
固定端口
固定端口
固定端口
内存
1G
128MB
64MB
MAC地址表
64K
12288K
8K
VLAN功能
支持
支持
支持
传输模式
全双工
全双工
全双工
网管功能
CiscoWorks2000,RMON,增强交换端口分析器(ESPAN),SNMP,Telnet,BOOTP,TFTP
SNMP,CLI,Web
Web浏览器,SNMP,CLI
堆叠功能
不可堆叠
能堆叠
不可堆叠
接口数量
32个
48个
20个
接口类型
DS0到OC-48100BASE-FX
10/100/1000POE1000Base-FX/SX
10/100Base-T,10/100/1000Base-Tx/SFP
电源电压
220
200-240V
100-240V
额定功率
DC,6000;AC,4000W
160W
75W
3.2路由器
路由器
有线
无线
产品名称
锐捷RSR-08E-BASE-DC
TP-LINKTL-WR941N
产品图片
产品价格
¥480000
¥249
路由器类型
高端企业级路由器
SOHO无线路由器
传输速率
10/100/1000Mbps
270Mbps
端口结构
模块化
路由器包转发率
16MPPS
网络协议
IPV4/IPV6,OSPF,IS-IS,BGP,RIPv2,静态路由,IGMPv3,PIM-DM/SM,SDP,DVMRP,RP,PIM-SSM
IEEE802.11n,IEEE802.11g,IEEE802.11b,IEEE802.3,IEEE802.3u,CSMA/CA,CSMA/CD,TCP/IP,DHCP,ICMP,NAT,PPPoE
路由器网管功能
警管和整形、基于VLAN/VC/VP/DLCI/接口/捆绑的排队、基于级别的排队和优先级分配、WRED
简洁易懂的Web管理界面
VPN功能
支持
支持
QoS功能
支持
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IPV6 校园网 设计