教育強區(qū)信息化的阿喀琉斯之踵
隨著教育信息化的發(fā)展越來越深入,教學、科研機構(gòu)對于更多網(wǎng)絡(luò)資源的需求,以及數(shù)字化管理的需要,引發(fā)了數(shù)字化校園的建設(shè)高潮。同時校園數(shù)字化又促進了教學科研水平的提高與信息的共享。南山區(qū)目前是深圳市的教育、文化中心,不僅匯集了深圳市的主要高等院校,還有數(shù)量眾多的教育教學機構(gòu)。雖然各教育單位自身的信息化水平較高,但是目前并沒有形成一個互聯(lián)互通、信息共享、統(tǒng)一部署、統(tǒng)一管理的格局,這種現(xiàn)狀不僅與南山區(qū)教育強區(qū)的形象并不符合,而且猶如阿喀琉斯之踵一般潛在制約著南山區(qū)教育的發(fā)展。因此,建設(shè)一張覆蓋全區(qū)教育教學機構(gòu)的信息網(wǎng)絡(luò)已經(jīng)迫在眉睫。
中興通訊的網(wǎng)絡(luò)建設(shè)整體處方
南山區(qū)電子政務(wù)外網(wǎng)采用萬兆以太網(wǎng)技術(shù)構(gòu)建,具有豐富的光纖資源,并且萬兆以太網(wǎng)絡(luò)技術(shù)的應(yīng)用已經(jīng)十分成熟,因此本次教育信息網(wǎng)絡(luò)依然采用萬兆以太技術(shù)。在業(yè)務(wù)層面,利用MPLS VPN把政務(wù)外網(wǎng)業(yè)務(wù)和教育信息網(wǎng)業(yè)務(wù)安全隔離。
由于考慮到原有政務(wù)外網(wǎng)2臺核心交換機的負載壓力已經(jīng)很大,承載了較多的業(yè)務(wù),因此需要在區(qū)委核心機房另外增加1臺核心交換機,負責街道新增匯聚交換機業(yè)務(wù)的匯聚,并與原有2臺核心形成流量負載分擔和冗余備份,增強核心層的安全性;同時,為今后其他業(yè)務(wù)的上線提供預(yù)留的設(shè)備容量和板卡槽位。
各街道新增匯聚層萬兆路由交換機和原有的交換機采用2GE鏈路互聯(lián),采用兩種冗余備份方式,第一:采用策略路由實現(xiàn)熱備份,同時實現(xiàn)負載均衡,分擔流量;第二:開啟VRRP協(xié)議進行冷備份。互為備份提高匯聚層的安全性和可靠性,解決原有的單點故障的隱患。新增街道匯聚交換機采用4芯光纖上行到區(qū)委新增核心交換機,萬兆鏈路作為主鏈路,再采用一條千兆光纖作為備用鏈路。今后其他應(yīng)用系統(tǒng)網(wǎng)絡(luò)上線需要時,在街道辦事處再增加1臺匯聚交換機構(gòu)成環(huán)網(wǎng),同時街道匯聚交換機到區(qū)委核心交換機增加為雙萬兆鏈路互聯(lián)。
在24所學校各新增一臺核心路由交換機,實現(xiàn)各學校的統(tǒng)一管理與部署。一些老、舊的接入層交換機也進行替換,特別是在接入層交換機建議支持ACL功能,增強接入網(wǎng)絡(luò)的安全性。
建議在匯聚層,即每個街道辦各增加1臺萬兆MPLS路由交換機,采用萬兆鏈路上行到區(qū)委新增的核心交換機上,光纖采用各街道辦事處到區(qū)委的24芯光纖中的4芯。本次推薦采用中興通訊ZXR10 T64G萬兆MPLS路由交換機,該款設(shè)備采用基于多處理器分布式處理機制和Crossbar空分交換結(jié)構(gòu)的體系結(jié)構(gòu),具備480Gbps的交換容量和357Mpps包轉(zhuǎn)發(fā)率;關(guān)鍵模塊均采用1:1冗余備份;可提供10GE、GE、FE等各種豐富的接口模塊,并全面支持IPv4、IPv6、MPLS、NAT、組播、QoS、帶寬控制。全面支持二、三層MPLS VPN;持VRRP/STP/RSTP/MSTP/LACP多種網(wǎng)絡(luò)可靠性保護技術(shù)。組網(wǎng)方案如下圖所示:
圖1 南山區(qū)教育信息網(wǎng)整體拓撲圖
圖2 教育信息網(wǎng)數(shù)據(jù)分流方式
方案閃光點:
1、數(shù)據(jù)網(wǎng)絡(luò)對MPLS的支持:MPLS VPN業(yè)務(wù)部署方案
對于南山教育信息網(wǎng)絡(luò),建議采用三層MPLS VPN技術(shù),在這個統(tǒng)一網(wǎng)絡(luò)上,可以劃分出多個MPLS VPN,每個VPN承載一種應(yīng)用業(yè)務(wù),這樣就實現(xiàn)了對不同業(yè)務(wù)的分離以及實施不同的優(yōu)先級和Qos策略。建議采用教育局核心交換機、區(qū)委新增核心交換機作為P設(shè)備,街道作為PE設(shè)備,各學校核心交換機作為CE設(shè)備,具體規(guī)劃如下圖:
圖3 MPLS VPN流量規(guī)劃
CE作為客戶邊緣設(shè)備,是客戶站點中連接骨干網(wǎng)絡(luò)的路由器或者交換機;VPN 業(yè)務(wù)的由PE設(shè)備實現(xiàn)。為了將一個VPN 的路由與其它VPN 的路由進行分離,PE為每個VPN 生成了一個分離的路由/轉(zhuǎn)發(fā)實例(VRF)。PE 路由器為每個有CE 路由器連接的VPN 生成一個VRF 表。任何屬于VPN 的客戶和站點只能訪問這個VPN的VRF 表。用戶接入MPLS VPN后,每個VPN用戶站點提供一個或多個CE與骨干網(wǎng)的PE連接,將連結(jié)PE-CE的物理接口、邏輯接口、甚至L2TP/IPSec隧道綁定到VRF上。在BGP/MPLS三層VPN網(wǎng)絡(luò)中,通過VPN的Route Target屬性來控制VPN路由信息在各Site 之間的發(fā)布和接收。VPN Export Route Target和Import Route Target的設(shè)置相互獨立,并且可以通過設(shè)置多個值,可以實現(xiàn)靈活的VPN間的互訪控制,通過這種方式可靈活的實現(xiàn)教育網(wǎng)用戶對于公共政務(wù)網(wǎng)資源的訪問。
CE上啟用靜態(tài)路由協(xié)議或RIP,OSPF,BGP等動態(tài)路由協(xié)議,并將相關(guān)的本地VPN路由信息傳送到PE上,PE根據(jù)VPN配置將路由信息映射到不同的VRF表中,打上標識,并通過IBGP協(xié)議與其他PE交換VPN路由信息。
IP數(shù)據(jù)包從CE設(shè)備發(fā)送至PE設(shè)備,PE設(shè)備根據(jù)VPF信息為數(shù)據(jù)包打上內(nèi)網(wǎng)標簽(用于標示VPN),再打上外網(wǎng)標簽(用于MPLS網(wǎng)絡(luò)的標簽交換),發(fā)送給P設(shè)備,P設(shè)備根據(jù)外網(wǎng)標簽進行轉(zhuǎn)發(fā),在倒數(shù)第二跳時彈出外網(wǎng)標簽,到達目的PE后,該PE根據(jù)自己的VRF轉(zhuǎn)發(fā)表項確定轉(zhuǎn)發(fā)端口,去掉內(nèi)網(wǎng)標簽,將IP數(shù)據(jù)報文發(fā)給相應(yīng)的CE。
在組建BGP/MPLS VPN 網(wǎng)絡(luò)時,在每個PE 路由器上必須運行MP-BGP ( MPLS VPN 中PE之間使用MP-BGP)在PE 之間進行VPN 路由的學習和通告,MP-BGP繼承了BGP 協(xié)議要求在同一個路由域中運行IBGP 的對等體之間進行全連接以在路由域內(nèi)通告BGP 路由,當VPN 中的PE 數(shù)量很大時,這種IBGP 全連接的數(shù)量會很大,有嚴重的N 平方問題和可擴展性問題,為了改善這種狀況,可以使用路由反射器來解決;但本次項目PE數(shù)量較少,無需指定路由反射器。
2、 數(shù)據(jù)網(wǎng)絡(luò)對IPV6的支持
隨著國家教育部組織全國100所重點院校接入CERNET2網(wǎng)絡(luò),高校校園網(wǎng)首先推行向IPv6網(wǎng)過渡已是必然的趨勢。而學校積極主動地應(yīng)對IPv6,有利于提升學校的應(yīng)用水平和科研水平,并為IPv6的真正大規(guī)模部署做好必要的技術(shù)儲備。現(xiàn)有的IPv4網(wǎng)絡(luò)是一個巨大的網(wǎng)絡(luò),只有是保護已有投資基礎(chǔ)上的IPv6部署才是一個好的部署方案。網(wǎng)絡(luò)中的不同設(shè)備分別在不同的層次上。在部署IPv6時,要避免對已有的設(shè)備浪費,避免影響已有的用戶和網(wǎng)絡(luò),保護已有投資。IPv6的業(yè)務(wù)是影響IPv6應(yīng)用的一個重要因素。在部署IPv6設(shè)備時,要保證已有的IP業(yè)務(wù),使得其平滑的過渡到IPv6的網(wǎng)絡(luò)中。另外,在開發(fā)IPv6的設(shè)備的同時,應(yīng)該開展IPv6業(yè)務(wù)的研究。IPv6和IPv4間良好的過渡機制也會方便IPv6的部署。在開發(fā)和研究IPv6的設(shè)備時,應(yīng)該提供完善的過渡機制,盡可能的方便IPv4和IPv6之間的訪問。根據(jù)上述因素,對IPv6的部署應(yīng)該從邊緣開始逐步過渡到核心,要提供平滑的網(wǎng)絡(luò)過渡策略。因此,建議本次教育信息的核心、匯聚設(shè)備支持IPv6,以及v4/v6過渡策略。
根據(jù)本次南山區(qū)教育信息網(wǎng)的具體情況以及業(yè)務(wù)規(guī)劃,對IPV6的部署可遵循如下原則:
采取逐步過渡的策略,初期可考慮小范圍部署IPv6試驗網(wǎng),將IPv6試驗網(wǎng)直接接入核心交換機,在IPv6網(wǎng)絡(luò)和現(xiàn)有的IPv4網(wǎng)絡(luò)之間通過核心交換機實現(xiàn)雙棧路由,實現(xiàn)兩個網(wǎng)絡(luò)的互通。
教育信息網(wǎng)中考慮到各過渡方式的優(yōu)缺點,建議采用IPv4/IPv6雙棧過渡策略。用戶接入重點采用雙棧方式,在初期也可采用隧道方式,然后逐漸過渡到雙棧方式。
中興通訊作為國內(nèi)最大的通訊設(shè)備提供商和方案提供商為IPv6網(wǎng)絡(luò)提供了全面的解決方案。
根據(jù)教育網(wǎng)的實際情況,中興通訊給出如下幾種IPv6實驗網(wǎng)解決方案:
根據(jù)上面的分析,中興通訊推薦先建IPv6實驗網(wǎng)后改造整個網(wǎng)絡(luò)的建網(wǎng)思路。
•建網(wǎng)思路:
這種實驗網(wǎng)的主要目的是驗證網(wǎng)絡(luò)過渡中可能的幾種應(yīng)用,同時驗證教育的各種業(yè)務(wù)移植是否有問題。應(yīng)當首選以路由器為主要設(shè)備進行組網(wǎng);一方面路由器以網(wǎng)絡(luò)處理器或通用CPU為硬件平臺,具有靈活升級的能力,便于校園網(wǎng)業(yè)務(wù)的隨時開發(fā)隨時升級。另一方面,路由器功能齊全,接口豐富,便于驗證各種應(yīng)用。中興通訊推出2種方案。
方案1 :簡單實用,投資小,適合普通院校計劃投資資金較少的項目。可滿足1000以下用戶的接入如下圖:
圖4 IPv6實驗網(wǎng)解決方案 1
方案2 : 增加匯聚層,由匯聚交換機完成IPv6用戶之間互訪的路由交換。適合稍大型的IPv6實驗網(wǎng)的建設(shè)。比如:IPv6網(wǎng)絡(luò)實驗樓,實驗區(qū)等。可滿足1000-5000用戶的接入如下圖:
圖5 IPv6實驗網(wǎng)解決方案 2
如圖:本實驗網(wǎng)方案可以實現(xiàn)以下幾種數(shù)據(jù)的交互。
•本地IPv6用戶通過IPv6實驗網(wǎng)絡(luò)訪問外部IPv6用戶
方案說明:普通的IPV6包轉(zhuǎn)發(fā)功能,只需要在GER上起普通的IPv6協(xié)議,完成IPv6的數(shù)據(jù)包轉(zhuǎn)發(fā)。
•本地IPv6用戶通過ipv4網(wǎng)絡(luò)訪問外部ipv4用戶
方案說明:GER起NAT-PT功能,實現(xiàn)內(nèi)部IPv6用戶通過v4網(wǎng)絡(luò)訪問外部ipv4用戶。
•本地IPv6用戶通過IPv4網(wǎng)絡(luò)訪問外部IPv6孤島用戶
方案說明:通過在GER路由器上配置6to4BGP隧道,或直接通過配手工配置(6in 4 )的隧道, 或在GER上配GRE 隧道,均可實現(xiàn),看實際應(yīng)用需求。
•外部ipv4用戶通過v4網(wǎng)絡(luò)訪問內(nèi)部IPv6站點
方案說明:GER起NAT-PT功能,實現(xiàn)內(nèi)部IPv6用戶通過v4網(wǎng)絡(luò)訪問外部ipv4用戶。
•外部IPv6孤島用戶通過v4網(wǎng)絡(luò)訪問內(nèi)部IPv6站點
方案說明:通過在GER路由器上配置6to4隧道,或直接通過配手工配置(6in 4 )的隧道, 或在GER上配GRE 隧道,均可實現(xiàn),看實際應(yīng)用需求。
•外部IPv6用戶通過v6網(wǎng)絡(luò)訪問內(nèi)部IPv6站點
方案說明:普通的IPV6包轉(zhuǎn)發(fā)功能,只需要在GER上起普通的IPv6協(xié)議,完成IPv6的數(shù)據(jù)包轉(zhuǎn)發(fā)
•本校園網(wǎng)IPv4用戶通過IPv6網(wǎng)絡(luò)訪問外部IPv6用戶。
方案說明: 本校園網(wǎng)IPv4用戶訪問外部IPv6用戶,可以在GER路由器上起NAT-PT業(yè)務(wù),
•本校園網(wǎng)IPv4用戶和IPv6實驗網(wǎng)用戶之間實現(xiàn)互訪。
圖6 IPv6實驗網(wǎng)功能描述
針對南山教育信息網(wǎng)的路由規(guī)劃方案
路由協(xié)議部署建議
基于對于南山教育信息網(wǎng)絡(luò)和路由協(xié)議分析,中興通訊建議南山教育信息網(wǎng)絡(luò)使用OSPF的路由協(xié)議進行規(guī)劃。OSPF非常適于中型、大型網(wǎng)絡(luò)的組網(wǎng),擴展性好,也是當今網(wǎng)絡(luò)規(guī)劃中被廣泛使用的設(shè)計方法。
下面是南山教育信息網(wǎng)絡(luò)路由的設(shè)計方案。
1、采用OSPF區(qū)域分層設(shè)計思想,教育局核心到街道匯聚交換機劃分為OSPF骨干區(qū)域(BACKBONE)。
2、非骨干OSPF區(qū)域包含:每個街道辦與其下面連接的各學校核心設(shè)備。其中,area1為教育局的局域網(wǎng),8個街道辦分別為area2- area9。
