北师大信息主干网络方案
北京合成网络技术公司
系统集成部
2003年7月
一、北师大主干网整体架构
北师大主干网改造是北师大信息化建设的重点工程。它为北师大的应用系统包括ERP,网上教学,教育资源共享等系统提供了一个先进、可靠的网络平台。
北师大主干网是以校网络中心为核心,星型辐射连接学校所有教学楼二层全光纤交换的千兆以太网。主干采用光纤接入方式,光纤接入具有距离长、容量大、不容易受电磁干扰等优势,并且可以提供高速宽带的数据传输、能够充分满足数据、语音、视频的应用。北师大主干网有6个光缆汇接点,分别是数学楼、化学楼、物理楼、电子楼、图书馆和宿舍楼。以校主机房为中心,铺设大对数单模光缆到6个光缆汇接点,通过在这些汇接点设立光纤配线架,铺设小对数光缆(8芯)连接至就近的教学楼。校园内铺设的光缆全部采用(1+1)+2方式。其中两路光纤为主光纤,其中一路出现问题时另一路立即由备份状态变为激活状态提供线路的热备份;第三路、第四路是备份线路;用于在主线路出现问题时的冗余。
北师大主干网总体结构采用紧缩核心方式。即核心层和汇聚层都位于核心交换机上。网络结构分为核心层和接入层。核心层的网络交换设备位于校网络中心机房,接入层的网络交换设备分散位于各教学楼和学生楼,以及图书馆。
各层的主要功能如下:
核心层采用高速路由交换设备,为整个校园网提供高速路由及数据交换,并通过光纤与教学楼、学生宿舍及图书馆连接,所有的虚拟子网终结于核心交换机,并通过热备份路由协议(HSRP)提供可靠的连接。
接入层包括数学楼、化学、物理、电子楼、图书馆和宿舍楼,供桌面计算机和教学服务器的接入,为本地局域网提供高速的数据交换。
北师大主干网拓扑结构如下图所示。
二、北师大主干网网络技术
北师大干网采用了多种先进的网络技术。利用千兆以太网技术实现了主干的高速互联,利用冗余技术实现了网络连接的可靠性,利用子网及VLAN技术实现了同一校区的异地连接,利用防火墙及访问控制技术保证了信息网络的安全,利用三层交换技术实现了各VLAN间的高速路由。
1、 千兆以太网技术
目前,网络技术发展迅速,用户需求千差万别,厂商产品丰富多彩。但就其从用户网络的应用需求类型特点,网络技术的发展水平来说,通常目前主干网的技术策略有四种,即:快速以太网;FDDI;ATM;千兆以太网。快速以太网及FDDI主干带宽限于100M,对于校园局域网主干而言已不在考虑之列。
ATM交换骨干(OC-3 155Mbps或OC-12 622Mbps)网络设备的价格通常比较高,而且采用ATM势必需运用ATM以太网仿真技术,将会增加交换的延时并影响多媒体对服务质量的保证。
千兆以太网交换骨干技术特点是: 具有高速数据传输带宽(1Gbps),提供高速交换能力及多媒体应用对服务质量的要求;易于网络移植、易于维护;简单易于管理;具有良好的性能价格比。
2、 冗余技术
冗余技术的利用体现在两个方面:线路冗余和设备冗余。北师大主干网络从中心机房到各个光纤汇接点都铺设了两条大对数的光缆,从汇接点到各接入交换机都有备份线路,从而在线路。上实现了冗余设备冗余是指核心设备实现了冗余配置。中心机房放置了两台Cisco 6509,各接入层交换机或汇聚层交换机通过光纤分别与两台Cisco 6509相连,通过配置Cisco 6509的HSRP(热路由备份协议)及Spanning Tree(生成树)协议,实现了交换、路由的冗余,提高了系统的可靠性。
3、 子网及VLAN技术
北师大主干网采用的是统一的IP技术,在IP网中所有的网络设备都是用IP地址来进行标识的。由于本网络规模较大,网络设备较多,所以使用172.16.0.0/16这一B类保留地址段作为校内局域网络地址,通过划分VLAN和子网,分配给不同的教学楼和学生宿舍。
每个教学楼的设备数量一般不会超过1个C类的容量,也就是说每个教学楼最多可以有250台计算机同时使用,对于比较大的教学楼,超过1个C类的容量的单位则分配多段地址。同时为网络管理保留地址。网络管理保留地址主要的工作职能是负责管理北师大主干网的网络设备正常运转和设备调试,以及中心机房内的所有网络设备和服务器设备。
VLAN(虚拟局域网)是接入层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。
4、 三层交换技术
三层交换技术就是:二层交换技术加三层转发技术。它解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。
北师大主干网采用Cisco 6509的三层交换模块MSFC实现VLAN间的高速路由交换。
三、北师大主干网网络中心
网络中心是整个主干网的管理控制中心,位于校网络中心机房。校互联网出口和对外服务器系统如Email,WWW,DNS系统等均放在网络中心。网络中心的关键设备都实现了冗余备份,并对关键服务器进行了严格的安全保护。
网络中心的设备利用防火墙技术被分为内、外和DMZ三部分。其中内部网络安全级别最高,DMZ其次,外部网络安全级别最低。在策略上,安全级别高的网络可以访问级别低的网络。
网络管理系统、内部网络接入及网络服务器放在防火墙的内部,WWW服务器、DNS服务器、Email服务器放置在DMZ区,防火墙的外部端口则直接连至Internet。网络中心的拓扑结构如图所示。
由图可以看出,网络中心是北师大信息主干网的核心部分。网络中心通过防火墙(CISCO PIX)分为三个区域:安全区、公共访问区和、非安全区。通过防火墙的地址转换功能使内部网络能够访问国际互联网(Internet),也就是代理服务器功能(Proxy)。安全区域校园内部网内有两台核心交换机Catalyst 6509,防火墙(Cisco Pix525)设备。核心交换机对北师大信息主干网提供网络数据传输冗余机制,两台核心交换机互为热备份,保障网络环境能够不间断运行。防火墙将校园内部网安全区、公共访问区和、非安全区分别划分,建立一个整体的校园网安全机制。内部计费服务器为校园内部用户提供上网服务,并且设置安全认证机制(CA)保障合法用户的接入和用户计费系统。公共访问区由Web,Mail,DNS服务器组成。Web服务器提供学校的Web站点。Mail服务提供学校外部邮件的转发。DNS服务器向内网提供域名解析服务。非安全出口通过光纤与Internet连接,满足学生、老师上Internet的需求。
四、北师大主干网网络设备
北师大主干网网络设备选用的是思科系统公司(Cisco System,INC)的设备。思科公司世界领先的Intranet和Internet网络互联厂商,其设备和软件产品主要用于连接计算机网络系统。思科公司已成为公认的网络互联解决方案的领先厂商。其提供的解决方案是世界各地成千上万的公司、大学、企业和政府部门建立网间网的基础,用户遍及电信、金融、服务、零售等行业以及政府部门和教育机构等。目前互联网上80%以上的路由器是思科公司的产品。
北师大主干网选用思科公司的Catalyst 6509核心交换机,Catalyst 4006汇聚层交换机,Catalyst 3500XL及Catalyst 2900XL接入层交换机。防火墙产品为Cisco Pix 525,核心交换机 Catalyst 6509
Catalyst 6509交换机为校园网或企业网提供一个高性能、多层交换解决方案,专为需要千兆扩展、高度适用、多层交换的主从分布而服务器集中的应用环境设计。其设计宗旨是满足集中式主干/分布式主干和服务器群应用及对千兆位密度、数据和语音集成、可缩放性、高可用性和多层交换不断增加的需求。Catalyst 6509交换机作为Catalyst 5000系列和8500系列交换机的补充,继续提供主要配线间和网络主干的解决方案,以满足校园的内部网络(Intranet)、苛刻要求网络服务(如ERP)和网络语音应用。如果与Cisco IOS相结合,利用Cisco IOS广阔服务功能,Catalyst 6509具备强大的网络管理性,用户机动性,安全性,高度实用性和对多媒体的支持,可以提供支持高容量千兆位交换和多层智能所需的基础结构,进而有效地管理网络流量。
Catalyst 6509交换机背板交换带宽最高可达256 Gbps,多层交换能力最高可达150 Mpps,配有9个插槽,最多可配置384个10/100Mbps以太网、192个100FX快速以太网或130个千兆位以太网交换端口。
通过协议不相关的多点传送(PIM)、Internet群组管理协议(IGMP)、Cisco 群组管理协议(CGMP)和GARP多点传送注册协议(GMRP)提供有效的内部网多媒体和多点传送支持,支持关键任务应用的广泛服务质量(QoS)特性。
2、汇聚层交换机 Catalyst 4006
Cisco Catalyst 4006交换机为布线室和数据中心提供高性能、中等密度的、10/100/1000M以太网模块交换平台。利用业界领先的5500/5000系列的软件代码库,提供客户在布线室所需要的丰富的和经实践证明的特性,以获得大学联网的解决方案。经济有效的模块化6插槽机箱,为学校或分支机构的每一个用户提供汇合配线间的好处。
Catalyst 4006的功能包括可伸缩的交换、多达240个端口的10/100密度、多协议第三层 IP、IPX 和 IP 多点传送交换。新的Catalyst 4908G-L3 交换机,在一个固定配置产品包中提供园区主干网所需的高性能第三层。
Catalyst 4006机柜可提供六个插槽的模块化机柜,其中一个插槽预留给交换引擎,五个留给交换模块;两个电源架,可支持冗余(可选)、负载分担、容错的AC电源;一个可热插拔风扇托架。
配置灵活性和模块化优势使 Catalyst 4006交换机提供一套全面、可扩展的10/100/1000Mbt以太网交换机模块,这些模块目前提供可热插拔、即插即用的校园网智能,从而可轻松、灵活地扩展,以适应将来日益增长的网络需求。目前有四种不同的Catalyst 4000 系列模块可供选用,它们可混合使用并相互匹配,适应广泛的布线室或数据中心应用。
1、 接入层交换机Catalyst 3500
Catalyst 3500 XL 系列产品是一个可伸缩的可堆叠 10/100 和千兆位以太网交换机系列,提供一流的性能、可管理性和灵活性以及无与伦比的投资保护。该系列低成本、高性能的交换解决方案提供与语音和IP电话支持集成的下一代可堆叠的交换。它允许从单一IP地址管理所有 Cisco 交换端口,并为互连的交换机提供一个保护珍贵桌面端口的独立高速堆叠总线。
Catalyst 3500 XL 系列产品具有的产品特性如下:
l 10.8 Gbps的交换主干,最高转发速率每秒钟740万个数据包,最大转发带宽5.4 Gbps,跨所有10/100端口提供线速性能。
l 内置的千兆位以太网端口适合插入各种GBIC收发器,包括Cisco GigaStack GBIC、1000BaseSX和1000BaseLX/LH GBIC。
l 低成本的2端口Cisco GigaStack GBIC通过在菊花链连接中提供1 Gbps的连接,或者在专用的交换机到交换机连接中提供2 Gbps的连接,提供广泛的高度可配置的堆叠和性能选项。
l Cisco交换机集群技术允许用户使用基于标准的以太网、快速以太网和千兆位以太网介质组建一个由16个Catalyst 3500 XL、2900 XL和1900交换机组成的单一IP地址管理网络,而不受它们的地理位置的限制。
l 250个基于端口的VLAN或ISL/802.1Q中继
l 支持Fast EtherChannel
l 支持SNMP, Telnet, RMON(历史、事件、报警、统计),CWSI网管和基于(CLI)的带外,嵌入式Cisco Visual Switch Manager,基于Web的界面的管理
4、防火墙Cisco PIX 525
Cisco Secure PIX防火墙是Cisco防火墙家族中的专用防火墙设施。Cisco Secure PIX防火墙提供强大的安全,而不影响网络性能。产品线可以扩展满足广泛的客户需求和3个容量许可级别。Cisco Secure PIX防火墙是其防火墙市场中的领先产品。Cisco Secure PIX防火墙提供全面的防火墙保护,对外部世界完全隐藏了内部网体系结构。通过Cisco Secure PIX防火墙可以建立使用IPSec标准的虚拟专网(VPN)连接。Cisco Secure PIX防火墙加强了内部网、外部网链路和 Internet之间的安全访问。
Cisco PIX具有的产品特性如下:
l 实时嵌入式操作系统
l 位于 Intranet 和 Internet 访问路由器之间,并包括以太网、快速以太网、令牌环网或FDDI LAN 连接选项
l 保护方案基于自适应安全算法(ASA),可确保最高的安全性
l 最多支持 250,000个同时连接
l URL 过滤
l 直接代理,提高处理速度
l HP OpenView 集成
l 图形用户界面简化了配置和管理
l 通过电子邮件和寻呼机提供报警和告警通知
l 通过专用链路加密卡提供 VPN 支持
l 符合委托技术评估计划(TTAP),经过了美国安全事务处(NSA)的认证,同时通过中国公安部安全检测中心的认证
五、北师大主干网网络管理系统
北师大主干网采用了Cisco公司的网管产品Cisco Works2000,主要管理网络中的Cisco设备的配置参数,在网管工作站上对所有网络设备配置进行备份,一旦设备出现故障,配置丢失,可以迅速得恢复配置,缩短故障排除时间。
CiscoWorks2000主要的功能及特点如下:
l 易于使用的图形用户界面
l 方便的集中图形化配置Cisco公司的网络设备
l 实时网络设备的性能监视
l Cisco Works 2000即可以单独做为网管产品使用,也可以与HP OpenView Network Node Manager等网管平台紧密集成:CiscoWorks2000的图形用户界面(GUI)已经集成在 NNM的GUI之上,可以在 NNM的菜单窗口中直接调用所有CiscoWorks2000的功能;CiscoWorks2000的事件处理功能集成在 NNM的事件浏览器(EventBrowser)中。
CiscoWorks 是一个基于 SNMP 的网络管理应用系统,它能集成到几种流行的网络管理平台,如IBM NetView for AIX、Sun 工作站(SunOS 和 Solaris)上的 Sun Domain Manager、以及Sun 或 HP 系统上的 HP OpenView。CiscoWorks 是建立在工业标准平台上,能监控设备状态,方便地维护配置信息,查找故障。
CiscoWorks 功能如下:
1、自动安装管理器(AutoInstall Manager)
能通过使用相邻的路由器来远程安装一个新的路由器,这种功能使安装任务更加自动化、更加简单。
与 NetView 的接口
CiscoWorks NetView Interface 是一个单独的产品,它提供CiscoWorks网络管理系统与IBM NetView 之间的双向通讯,并能通过 Runcmd 来访问 CiscoWorks 的应用软件。
2、配置管理(Configuration Management)
可以访问网络中本地与远程 Cisco 设备的配置文件,并在必要时分析和编辑它们。同时能够比较数据库中两个配置文件的内容,以及将设备当前使用的配置和数据库中上一次的配置进行比较。
设备管理(Device Management)
创建并维护一个数据库,其中包括所有网络硬件、软件、操作级别、负责维护设备的人员以及相关的场地。
设备监控(Device Monitor)
监控网络设备以获得有关网络状态的信息。轮询获得的信息被存放在数据库中,可以用于以后的评估和分析。
通用命令管理器(Global Command Manager)和通用命令调度器(Global Command Scheduler)
通过调度器,可以在任何时候对某一设备成某一组设备创建和执行系统命令。
3、性能监控(Performance Monitor)
查看有关设备的状态信息,包括缓冲区、CPU 负载、可用内存和使用的协议与接口。
4、离线网络分析(Off-Line Network Analysis)
收集网络的历史数据,用于进行性能和通信量的分析。集成的 Sybase SQL 关系数据库服务器存储 SNMP MIB 变量,用户能使用这些变量来创建查询和生成图表。
5、路径工具(Path Tool)
查看并分析任意两个设备之间的路径,分析路径的使用效率,收集出错数据。
6、进程管理器(Process Manager)
启动或停止与 CiscoWorks 相关的进程,包括下列一些精灵进程(daemon):Log(nmlogd)、Polling(nmpolld)、Event Logger(nmeventd)、Device Monitor(nmdevmond)。查看下列一些精灵进程的状态:System Log(syslogd)、Sybase Server(dataserver)、TACACS(xtacacsd)。
7、实时图形(Real-Time Graph)
通过使用图形功能来查看设备的状态信息,比如路由器的性能指标(缓冲区空间、CPU 负载、可用内存),协议通信(IP、ICMP、SNMP、TCP、UDP、AppleTalk、DECnet IV、IPX、VINES、XNS)。
8、安全管理器(Security Manager)
通过设置权限来防止未授权人员访问 CiscoWorks 系统和网络设备,这样只有合法用户才能进行类似配置路由器、删除数据库设备信息、定义轮询过程等工作。
9、软件设备管理器(Software Device Manager)
动态更新 Cisco 路由器的系统软件或微代码(microcode)。
10、显示命令(Show Commands)
仿真 EXEC 来显示Cisco路由器的命令。通过这些命令可以查看包括 Cisco 路由器、通信服务器在内的 SNMP 设备数据,这些数据包括软件版本、缓冲区、设备接口、通信量、ARP、IP 路由等。
11、用户使用Internet的管理
通过代理服务器用户帐号管理系统和网管系统的IP管理来实现对学校员工和学生使用Internet的控制与管理。
六、主干网安全策略
随着Internet的开放性和商业化的不断完善,促使Internet迅猛的发展。但开放性却带来了系统入侵等安全性问题,网络安全得到了越来越多的重视。基于TCP/IP 协议并采用了Internet的 通信标准和Web信息流通模式的校园网(Intranet)也面临同样的问题,因此人们需要一个更安全的Internet。作为基于Internet技术的信息平台,北师大网络的安全性问题显得非常重要。
网络安全问题主要包括以下几个层次:
层次一:物理安全
物理安全主要包含主机硬件和物理线路的安全问题,主要由硬件设备及机房的设计来保证,即关键设备或部件采取冗余设计。
层次二:网络安全
网络安全是指网络层面的安全,该层次的安全主要由网络拓扑结构设计及网络协议的选用来保证,通过设计双链路或有冗余性网络结构,使整个网络不会由于局部的故障而导致瘫痪
层次三:系统安全