教育強區信息化的阿喀琉斯之踵
隨著教育信息化的發展越來越深入,教學、科研機構對于更多網絡資源的需求,以及數字化管理的需要,引發了數字化校園的建設高潮。同時校園數字化又促進了教學科研水平的提高與信息的共享。南山區目前是深圳市的教育、文化中心,不僅匯集了深圳市的主要高等院校,還有數量眾多的教育教學機構。雖然各教育單位自身的信息化水平較高,但是目前并沒有形成一個互聯互通、信息共享、統一部署、統一管理的格局,這種現狀不僅與南山區教育強區的形象并不符合,而且猶如阿喀琉斯之踵一般潛在制約著南山區教育的發展。因此,建設一張覆蓋全區教育教學機構的信息網絡已經迫在眉睫。
中興通訊的網絡建設整體處方
南山區電子政務外網采用萬兆以太網技術構建,具有豐富的光纖資源,并且萬兆以太網絡技術的應用已經十分成熟,因此本次教育信息網絡依然采用萬兆以太技術。在業務層面,利用MPLS VPN把政務外網業務和教育信息網業務安全隔離。
由于考慮到原有政務外網2臺核心交換機的負載壓力已經很大,承載了較多的業務,因此需要在區委核心機房另外增加1臺核心交換機,負責街道新增匯聚交換機業務的匯聚,并與原有2臺核心形成流量負載分擔和冗余備份,增強核心層的安全性;同時,為今后其他業務的上線提供預留的設備容量和板卡槽位。
各街道新增匯聚層萬兆路由交換機和原有的交換機采用2GE鏈路互聯,采用兩種冗余備份方式,第一:采用策略路由實現熱備份,同時實現負載均衡,分擔流量;第二:開啟VRRP協議進行冷備份。互為備份提高匯聚層的安全性和可靠性,解決原有的單點故障的隱患。新增街道匯聚交換機采用4芯光纖上行到區委新增核心交換機,萬兆鏈路作為主鏈路,再采用一條千兆光纖作為備用鏈路。今后其他應用系統網絡上線需要時,在街道辦事處再增加1臺匯聚交換機構成環網,同時街道匯聚交換機到區委核心交換機增加為雙萬兆鏈路互聯。
在24所學校各新增一臺核心路由交換機,實現各學校的統一管理與部署。一些老、舊的接入層交換機也進行替換,特別是在接入層交換機建議支持ACL功能,增強接入網絡的安全性。
建議在匯聚層,即每個街道辦各增加1臺萬兆MPLS路由交換機,采用萬兆鏈路上行到區委新增的核心交換機上,光纖采用各街道辦事處到區委的24芯光纖中的4芯。本次推薦采用中興通訊ZXR10 T64G萬兆MPLS路由交換機,該款設備采用基于多處理器分布式處理機制和Crossbar空分交換結構的體系結構,具備480Gbps的交換容量和357Mpps包轉發率;關鍵模塊均采用1:1冗余備份;可提供10GE、GE、FE等各種豐富的接口模塊,并全面支持IPv4、IPv6、MPLS、NAT、組播、QoS、帶寬控制。全面支持二、三層MPLS VPN;持VRRP/STP/RSTP/MSTP/LACP多種網絡可靠性保護技術。組網方案如下圖所示:
圖1 南山區教育信息網整體拓撲圖
圖2 教育信息網數據分流方式
方案閃光點:
1、數據網絡對MPLS的支持:MPLS VPN業務部署方案
對于南山教育信息網絡,建議采用三層MPLS VPN技術,在這個統一網絡上,可以劃分出多個MPLS VPN,每個VPN承載一種應用業務,這樣就實現了對不同業務的分離以及實施不同的優先級和Qos策略。建議采用教育局核心交換機、區委新增核心交換機作為P設備,街道作為PE設備,各學校核心交換機作為CE設備,具體規劃如下圖:
圖3 MPLS VPN流量規劃
CE作為客戶邊緣設備,是客戶站點中連接骨干網絡的路由器或者交換機;VPN 業務的由PE設備實現。為了將一個VPN 的路由與其它VPN 的路由進行分離,PE為每個VPN 生成了一個分離的路由/轉發實例(VRF)。PE 路由器為每個有CE 路由器連接的VPN 生成一個VRF 表。任何屬于VPN 的客戶和站點只能訪問這個VPN的VRF 表。用戶接入MPLS VPN后,每個VPN用戶站點提供一個或多個CE與骨干網的PE連接,將連結PE-CE的物理接口、邏輯接口、甚至L2TP/IPSec隧道綁定到VRF上。在BGP/MPLS三層VPN網絡中,通過VPN的Route Target屬性來控制VPN路由信息在各Site 之間的發布和接收。VPN Export Route Target和Import Route Target的設置相互獨立,并且可以通過設置多個值,可以實現靈活的VPN間的互訪控制,通過這種方式可靈活的實現教育網用戶對于公共政務網資源的訪問。
CE上啟用靜態路由協議或RIP,OSPF,BGP等動態路由協議,并將相關的本地VPN路由信息傳送到PE上,PE根據VPN配置將路由信息映射到不同的VRF表中,打上標識,并通過IBGP協議與其他PE交換VPN路由信息。
IP數據包從CE設備發送至PE設備,PE設備根據VPF信息為數據包打上內網標簽(用于標示VPN),再打上外網標簽(用于MPLS網絡的標簽交換),發送給P設備,P設備根據外網標簽進行轉發,在倒數第二跳時彈出外網標簽,到達目的PE后,該PE根據自己的VRF轉發表項確定轉發端口,去掉內網標簽,將IP數據報文發給相應的CE。
在組建BGP/MPLS VPN 網絡時,在每個PE 路由器上必須運行MP-BGP ( MPLS VPN 中PE之間使用MP-BGP)在PE 之間進行VPN 路由的學習和通告,MP-BGP繼承了BGP 協議要求在同一個路由域中運行IBGP 的對等體之間進行全連接以在路由域內通告BGP 路由,當VPN 中的PE 數量很大時,這種IBGP 全連接的數量會很大,有嚴重的N 平方問題和可擴展性問題,為了改善這種狀況,可以使用路由反射器來解決;但本次項目PE數量較少,無需指定路由反射器。
2、 數據網絡對IPV6的支持
隨著國家教育部組織全國100所重點院校接入CERNET2網絡,高校校園網首先推行向IPv6網過渡已是必然的趨勢。而學校積極主動地應對IPv6,有利于提升學校的應用水平和科研水平,并為IPv6的真正大規模部署做好必要的技術儲備。現有的IPv4網絡是一個巨大的網絡,只有是保護已有投資基礎上的IPv6部署才是一個好的部署方案。網絡中的不同設備分別在不同的層次上。在部署IPv6時,要避免對已有的設備浪費,避免影響已有的用戶和網絡,保護已有投資。IPv6的業務是影響IPv6應用的一個重要因素。在部署IPv6設備時,要保證已有的IP業務,使得其平滑的過渡到IPv6的網絡中。另外,在開發IPv6的設備的同時,應該開展IPv6業務的研究。IPv6和IPv4間良好的過渡機制也會方便IPv6的部署。在開發和研究IPv6的設備時,應該提供完善的過渡機制,盡可能的方便IPv4和IPv6之間的訪問。根據上述因素,對IPv6的部署應該從邊緣開始逐步過渡到核心,要提供平滑的網絡過渡策略。因此,建議本次教育信息的核心、匯聚設備支持IPv6,以及v4/v6過渡策略。
根據本次南山區教育信息網的具體情況以及業務規劃,對IPV6的部署可遵循如下原則:
采取逐步過渡的策略,初期可考慮小范圍部署IPv6試驗網,將IPv6試驗網直接接入核心交換機,在IPv6網絡和現有的IPv4網絡之間通過核心交換機實現雙棧路由,實現兩個網絡的互通。
教育信息網中考慮到各過渡方式的優缺點,建議采用IPv4/IPv6雙棧過渡策略。用戶接入重點采用雙棧方式,在初期也可采用隧道方式,然后逐漸過渡到雙棧方式。
中興通訊作為國內最大的通訊設備提供商和方案提供商為IPv6網絡提供了全面的解決方案。
根據教育網的實際情況,中興通訊給出如下幾種IPv6實驗網解決方案:
根據上面的分析,中興通訊推薦先建IPv6實驗網后改造整個網絡的建網思路。
•建網思路:
這種實驗網的主要目的是驗證網絡過渡中可能的幾種應用,同時驗證教育的各種業務移植是否有問題。應當首選以路由器為主要設備進行組網;一方面路由器以網絡處理器或通用CPU為硬件平臺,具有靈活升級的能力,便于校園網業務的隨時開發隨時升級。另一方面,路由器功能齊全,接口豐富,便于驗證各種應用。中興通訊推出2種方案。
方案1 :簡單實用,投資小,適合普通院校計劃投資資金較少的項目。可滿足1000以下用戶的接入如下圖:
圖4 IPv6實驗網解決方案 1
方案2 : 增加匯聚層,由匯聚交換機完成IPv6用戶之間互訪的路由交換。適合稍大型的IPv6實驗網的建設。比如:IPv6網絡實驗樓,實驗區等。可滿足1000-5000用戶的接入如下圖:
圖5 IPv6實驗網解決方案 2
如圖:本實驗網方案可以實現以下幾種數據的交互。
•本地IPv6用戶通過IPv6實驗網絡訪問外部IPv6用戶
方案說明:普通的IPV6包轉發功能,只需要在GER上起普通的IPv6協議,完成IPv6的數據包轉發。
•本地IPv6用戶通過ipv4網絡訪問外部ipv4用戶
方案說明:GER起NAT-PT功能,實現內部IPv6用戶通過v4網絡訪問外部ipv4用戶。
•本地IPv6用戶通過IPv4網絡訪問外部IPv6孤島用戶
方案說明:通過在GER路由器上配置6to4BGP隧道,或直接通過配手工配置(6in 4 )的隧道, 或在GER上配GRE 隧道,均可實現,看實際應用需求。
•外部ipv4用戶通過v4網絡訪問內部IPv6站點
方案說明:GER起NAT-PT功能,實現內部IPv6用戶通過v4網絡訪問外部ipv4用戶。
•外部IPv6孤島用戶通過v4網絡訪問內部IPv6站點
方案說明:通過在GER路由器上配置6to4隧道,或直接通過配手工配置(6in 4 )的隧道, 或在GER上配GRE 隧道,均可實現,看實際應用需求。
•外部IPv6用戶通過v6網絡訪問內部IPv6站點
方案說明:普通的IPV6包轉發功能,只需要在GER上起普通的IPv6協議,完成IPv6的數據包轉發
•本校園網IPv4用戶通過IPv6網絡訪問外部IPv6用戶。
方案說明: 本校園網IPv4用戶訪問外部IPv6用戶,可以在GER路由器上起NAT-PT業務,
•本校園網IPv4用戶和IPv6實驗網用戶之間實現互訪。
圖6 IPv6實驗網功能描述
針對南山教育信息網的路由規劃方案
路由協議部署建議
基于對于南山教育信息網絡和路由協議分析,中興通訊建議南山教育信息網絡使用OSPF的路由協議進行規劃。OSPF非常適于中型、大型網絡的組網,擴展性好,也是當今網絡規劃中被廣泛使用的設計方法。
下面是南山教育信息網絡路由的設計方案。
1、采用OSPF區域分層設計思想,教育局核心到街道匯聚交換機劃分為OSPF骨干區域(BACKBONE)。
2、非骨干OSPF區域包含:每個街道辦與其下面連接的各學校核心設備。其中,area1為教育局的局域網,8個街道辦分別為area2- area9。
