OK中南大學(xué)下一代校園網(wǎng)升級(jí)步步為營(yíng)

中南大下一代校園升級(jí)步為營(yíng)

2010-10-19作者：劉海韜黃家林黃煙波字體選擇：【大】【中】【小】最新推薦CERNET第十七屆學(xué)術(shù)年會(huì)將在長(zhǎng)...10-18新通知10-11CERNET第十七屆學(xué)術(shù)年會(huì)報(bào)到須知09-26壇09-13

CERNET第十七屆學(xué)術(shù)年會(huì)的最2010下一代互聯(lián)網(wǎng)發(fā)展和應(yīng)用論2008年8月國(guó)家正式啟動(dòng)了CNGI二的工程（下面簡(jiǎn)稱(chēng)CNGI2）隨著作為《教育科研基礎(chǔ)設(shè)施IPv6技術(shù)升級(jí)應(yīng)用示范項(xiàng)目項(xiàng)目之一《中南大學(xué)校園網(wǎng)技升級(jí)》項(xiàng)目的啟動(dòng)，中南大學(xué)的下一代校園網(wǎng)建設(shè)進(jìn)入了一個(gè)嶄新的階段。CNGI二建前園狀中南大學(xué)校園網(wǎng)從1995年開(kāi)始設(shè)，經(jīng)過(guò)十多年的建設(shè)與發(fā)展，校園網(wǎng)的規(guī)模與網(wǎng)絡(luò)應(yīng)用已達(dá)到較高水平校建連接分布在長(zhǎng)沙市區(qū)的校區(qū)和3個(gè)附醫(yī)院的跨城域的千兆光纖網(wǎng)，校園網(wǎng)絡(luò)以光纖、雙絞線(xiàn)、無(wú)線(xiàn)等方式基本覆蓋學(xué)校全部園區(qū)，信息資源得到了充分共享。校園網(wǎng)已成為學(xué)校的重要基礎(chǔ)設(shè)施，信息資源豐富，網(wǎng)絡(luò)應(yīng)用齊全，為教學(xué)科研、學(xué)科建設(shè)、人才培養(yǎng)、管理后勤提供全面的服務(wù)。行政業(yè)務(wù)管理系統(tǒng)、教學(xué)科研支撐系統(tǒng)、網(wǎng)絡(luò)教學(xué)系統(tǒng)、數(shù)字圖書(shū)館系統(tǒng)、“一卡通”系統(tǒng)等都已開(kāi)發(fā)應(yīng)用，提高了管理效率和教學(xué)科研水平。校園網(wǎng)現(xiàn)有光纖線(xiàn)路1,200公芯用戶(hù)數(shù)3IPv6用戶(hù)數(shù)2000；絡(luò)覆蓋信息點(diǎn)數(shù)萬(wàn)中棧信息點(diǎn)數(shù)1.5萬(wàn)園網(wǎng)IPv4出口總帶寬（中到CERNET的出口帶寬1000Mbps眾的出口帶寬交換流量達(dá)到9,000Gbytes/日，校外信息交換流量達(dá)到10,000Gbytes/日。校園網(wǎng)采用以環(huán)狀主干網(wǎng)為核心向邊緣星形擴(kuò)展的拓?fù)浣Y(jié)構(gòu)分核心層層接入層三層校園網(wǎng)主干采用千光纖成網(wǎng)狀拓?fù)渚W(wǎng)方案為IPv4采L3控制到匯聚的方式。由于支持的設(shè)備較少，IPv6網(wǎng)絡(luò)則采用簡(jiǎn)單的單星型結(jié)構(gòu)進(jìn)行擴(kuò)展。核心層設(shè)備共4臺(tái)其中臺(tái)Cisco7609路由器2臺(tái)Cisco6509路交換機(jī)1臺(tái)BigIron8000路交換機(jī)聚設(shè)備共9臺(tái)中臺(tái)華為S3552G交機(jī)臺(tái)Cisco6509路由交換機(jī)1臺(tái)Cisco4006交機(jī)2臺(tái)華為6506換機(jī)。接入層設(shè)備共550臺(tái)無(wú)純

IPv6子，IPv6覆率20%設(shè)可訪(fǎng)問(wèn)的IPv6息資源個(gè)別是DNSVIDEO、FTP服務(wù)。校園網(wǎng)主干拓?fù)浣Y(jié)構(gòu)圖1所。圖1二建設(shè)前校園網(wǎng)主拓?fù)鋱D校園網(wǎng)以獨(dú)立光纖（1Gbps）接入CERNET長(zhǎng)沙節(jié)點(diǎn)，駐地網(wǎng)以獨(dú)立光纖1Gbps）接入長(zhǎng)核心節(jié)點(diǎn)。校園網(wǎng)主干網(wǎng)上IPv4路由協(xié)議采用OSPFv2IPv6路協(xié)議采用靜態(tài)路由協(xié)議網(wǎng)支撐技術(shù)系統(tǒng)建設(shè)上配置了IPv4網(wǎng)系統(tǒng)及網(wǎng)絡(luò)管理系統(tǒng)計(jì)費(fèi)系統(tǒng)集身份認(rèn)證系統(tǒng)（CAMS）網(wǎng)絡(luò)安全管理及日志系統(tǒng)、網(wǎng)絡(luò)設(shè)備監(jiān)控系統(tǒng)等。IPv6升建方校園網(wǎng)整體以雙棧方式實(shí)現(xiàn)技術(shù)升級(jí)，以方式接入CERNET，時(shí)以純IPv6方式接入CNGI-CERNET2。對(duì)于別不能以雙棧方式覆蓋的區(qū)域，采ISATAP隧方式進(jìn)行接入條件成熟后雙棧方式接入建設(shè)一個(gè)小規(guī)模的純IPv6網(wǎng)供科研和IPv6重大應(yīng)用測(cè)試使用。校園網(wǎng)原有的千兆核心設(shè)備全部改為IPv4/IPv6棧萬(wàn)兆核心路由交換機(jī)，包括3臺(tái)H3CS9508和1臺(tái)RG8610。有的核心設(shè)備Cisco7609由支持雙棧，并且配置有雙FW模塊，則作為升級(jí)后的出口路由器使用Cisco7609和互的H3C9508之間以4個(gè)兆端口組成portgroup連，連接寬達(dá)到4000M。以前的Cisco6509等設(shè)則作為二層匯聚設(shè)備繼續(xù)使用區(qū)聚設(shè)備要更換為H3C5500EI和H3C5500-28F等持雙棧的具有高

速轉(zhuǎn)發(fā)能力的3層換機(jī)這些設(shè)備具有豐富的千兆接口可以根據(jù)需要擴(kuò)展到萬(wàn)兆這次升級(jí)對(duì)不具有千兆上行端口的接入交換機(jī)全部進(jìn)行了更換，累計(jì)更換接入交換機(jī)300余臺(tái)。學(xué)校的校園網(wǎng)建于90年代期，當(dāng)時(shí)主要采用小對(duì)數(shù)多模光纖，遠(yuǎn)遠(yuǎn)不能滿(mǎn)足目前絡(luò)高帶寬的應(yīng)用要求了提高整個(gè)網(wǎng)絡(luò)的可靠性校行了大部分樓宇的光纜改造和部分樓宇的綜合布線(xiàn)改造，對(duì)不滿(mǎn)足要求的樓宇的光纜重新鋪設(shè)大對(duì)數(shù)單模光纜。1.校園拓?fù)浞桨冈O(shè)計(jì)中南大學(xué)下一代校園網(wǎng)是一個(gè)跨城域的包含6個(gè)校網(wǎng)絡(luò)及個(gè)附屬醫(yī)院的較大規(guī)模的校園網(wǎng)絡(luò)，各校區(qū)之間以光纖互聯(lián)。考慮到冗余性、可靠性、穩(wěn)定性及易擴(kuò)展性，各主要校區(qū)之間的主干網(wǎng)設(shè)計(jì)為全連接網(wǎng)狀拓?fù)浣Y(jié)構(gòu)慮到校園網(wǎng)未來(lái)的高帶寬性能應(yīng)用校區(qū)之間以萬(wàn)兆或雙萬(wàn)兆互聯(lián)慮到校區(qū)內(nèi)部分樓棟的高清晰大容量視頻傳輸?shù)男枰餍^(qū)共配備萬(wàn)兆匯聚交換機(jī)臺(tái)。校區(qū)內(nèi)以星形拓?fù)溥M(jìn)行拓展，根據(jù)通信量的大小選用不同檔次的接入交換機(jī)需求有條件的樓棟以在匯聚層甚至接入層采用雙歸設(shè)計(jì)或雙鏈路均衡設(shè)計(jì)以獲得高可靠的網(wǎng)絡(luò)服務(wù)絡(luò)本覆蓋全部校園近200棟樓棟撲構(gòu)簡(jiǎn)圖如圖所。圖2CNGI升后校園網(wǎng)主干拓簡(jiǎn)圖2.地址劃方案

中南大學(xué)目前獲得的地有，分別為~55，~，，計(jì)個(gè)C類(lèi)址。校園網(wǎng)已經(jīng)覆蓋的樓棟數(shù)為142。IPv4地址的規(guī)劃方案原則上以C類(lèi)址為基本粒度向各樓棟進(jìn)行分配部分樓棟信息點(diǎn)多規(guī)劃了2個(gè)多個(gè)C類(lèi)地部分信息點(diǎn)較少的樓棟則根據(jù)就近原則被規(guī)劃到同一個(gè)C地址內(nèi)。對(duì)于有數(shù)據(jù)隔離和保密要求的應(yīng)用系統(tǒng)，還為之規(guī)劃了跨越校區(qū)的應(yīng)用系統(tǒng)Vlan，分配私有的地址段。的址規(guī)劃時(shí)考慮三大類(lèi)址：第一，公共服務(wù)器地址，如DNSWWW等網(wǎng)絡(luò)設(shè)備互聯(lián)地址和網(wǎng)絡(luò)設(shè)備的地。根據(jù)IETFIPv6工組的建議IPv6網(wǎng)絡(luò)設(shè)備互聯(lián)地址采/的地塊IPv6絡(luò)設(shè)備的LOOPBACK地址用128的址第二，用戶(hù)終端的業(yè)務(wù)地址；第三，由于目前網(wǎng)絡(luò)設(shè)備的IPv6信息的獲取和OSPFv3ROUTERID等要為IPv4地，所以即使是一個(gè)純IPv6網(wǎng)絡(luò)必須要求每個(gè)網(wǎng)絡(luò)設(shè)備擁有IPv4地。分配給學(xué)校的地為2001:250:4400::0/48和2001:DA8:D000::/48，共2段48位前綴的地址段。3.路由計(jì)中南大學(xué)校園網(wǎng)是一個(gè)跨城域的包含5個(gè)區(qū)網(wǎng)絡(luò)的較大規(guī)模的校園網(wǎng)絡(luò)之的主干網(wǎng)為網(wǎng)狀拓?fù)浣Y(jié)構(gòu)，校區(qū)內(nèi)以星形拓?fù)溥M(jìn)行拓展。基于此，我們選擇的路由方案為：(1)校園主干運(yùn)行OSPF協(xié)議，針對(duì)IPv4，分別運(yùn)行OSPFv2、OSPFv3，提高了網(wǎng)絡(luò)路由的冗余度和通信的可靠性。(2)各校網(wǎng)絡(luò)內(nèi)匯聚層和接入配置靜態(tài)路由協(xié),使區(qū)內(nèi)網(wǎng)絡(luò)路由簡(jiǎn)單穩(wěn)定。4.主干入(1)校園以純靜路由的方式接入CNGI-CERNET2主網(wǎng)。(2)接入核心節(jié)點(diǎn)為長(zhǎng)沙核心點(diǎn)，該節(jié)點(diǎn)擁有1臺(tái)T640路由器、1臺(tái)為NE80路由器和1臺(tái)Bitway12008由器，具有較豐富的接入端口資源及帶寬資源。

(3)校園核心與長(zhǎng)沙核心節(jié)點(diǎn)間距離近，接入線(xiàn)路可以按需供應(yīng)。(4)IPv4網(wǎng)保持現(xiàn)有的千兆接入方式不變。5.應(yīng)用統(tǒng)建設(shè)與遷移當(dāng)下一代校園網(wǎng)建設(shè)達(dá)到一定程度的時(shí)候下一代互聯(lián)網(wǎng)的應(yīng)用系統(tǒng)和資源建設(shè)就變得更為重要此學(xué)校也將加大應(yīng)用系統(tǒng)和網(wǎng)絡(luò)資源的建設(shè)力度前采用兩種方式進(jìn)行系統(tǒng)建設(shè)和遷移于持雙棧作的系統(tǒng)雙棧方式進(jìn)行系統(tǒng)部署于不能支持IPv6協(xié)議的系統(tǒng)，以反向代理的方式讓?xiě)?yīng)用系統(tǒng)也能面向IPv6網(wǎng)進(jìn)行服務(wù)。已完成的系統(tǒng)包括DNS系統(tǒng)，系、郵系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、文件傳輸系統(tǒng)、視頻服務(wù)系統(tǒng)、數(shù)字圖書(shū)館、招生服務(wù)系統(tǒng)、遠(yuǎn)程教育系統(tǒng)、教學(xué)管理系統(tǒng)、就業(yè)指導(dǎo)系統(tǒng)等。另外學(xué)校還建立了一個(gè)IPv6主網(wǎng)站，用于IPv6識(shí)普及、用戶(hù)培養(yǎng)和網(wǎng)絡(luò)推廣。6.純IPv6網(wǎng)建設(shè)在現(xiàn)有的設(shè)備條件下，通過(guò)建立跨越整個(gè)校園網(wǎng)的二層，在此基礎(chǔ)上連接接入交換機(jī)的純IPv6節(jié)而形成一個(gè)輯上獨(dú)立的純IPv6網(wǎng)式可根據(jù)需要增加網(wǎng)絡(luò)規(guī)模和覆蓋區(qū)域，利于純IPv6網(wǎng)的擴(kuò)展。另外，學(xué)校的“下一代互聯(lián)網(wǎng)技術(shù)研究中心”實(shí)驗(yàn)室通過(guò)OSPFv3將大量的純IPv6節(jié)點(diǎn)接入到現(xiàn)網(wǎng)中基于純網(wǎng)的科研和實(shí)驗(yàn)。升級(jí)實(shí)施五步走下一代校園網(wǎng)整體建設(shè)工作非常繁雜及到了幾乎所有的網(wǎng)絡(luò)通信設(shè)備戶(hù)和部分光纖線(xiàn)路。為了讓升級(jí)過(guò)程平滑過(guò)渡用影響最小，我們制定了先核心再邊緣主干后分支、先IPv4后IPv6、按區(qū)分步實(shí)施、按時(shí)保質(zhì)的總體原則。第一步各區(qū)內(nèi)的核心路由換機(jī)用新的萬(wàn)兆路由交換機(jī)替換行ospfv2協(xié)。新核心設(shè)備先以千兆互聯(lián)，全部更換完畢后再調(diào)整到萬(wàn)兆互聯(lián)。第二步分校區(qū)將所有樓宇的匯設(shè)備逐一更換并連接至新核心使影響最小校區(qū)內(nèi)新核心設(shè)備與老的核心設(shè)備之間以VlanTrunk的方式連接，便于將下行的線(xiàn)路轉(zhuǎn)移到新的核心設(shè)備上。樓棟內(nèi)的匯聚設(shè)備的更換也按照同樣的方法進(jìn)行，這樣對(duì)單個(gè)Vlan用戶(hù)的影響時(shí)間控制在數(shù)分鐘以?xún)?nèi)有的匯聚設(shè)備更換完畢之后然成了新的網(wǎng)絡(luò)核心，原有的核心設(shè)備就可以下線(xiàn)或者降級(jí)使用。第三步，分校區(qū)逐臺(tái)更換接入交換機(jī)。第四步，待v4全切完畢，行穩(wěn)定后，全網(wǎng)部署OSPFv3，實(shí)現(xiàn)用戶(hù)的雙棧接入。

第五步，將家屬區(qū)等未由學(xué)校運(yùn)維的網(wǎng)絡(luò)以隧道方式接入到IPv6網(wǎng)?，F(xiàn)化房竣為了更好地滿(mǎn)足學(xué)校發(fā)展的需要助南大學(xué)新校區(qū)建設(shè)的機(jī)會(huì)校新校區(qū)規(guī)劃建設(shè)了新的網(wǎng)絡(luò)中心機(jī)房，主機(jī)房面積約1000方米UPS電池及配電室約220平方。機(jī)房按照GB-T2887-2000電計(jì)算機(jī)場(chǎng)地通用規(guī)范》等國(guó)家標(biāo)準(zhǔn)和規(guī)范進(jìn)行設(shè)計(jì)和施工。建設(shè)內(nèi)容包括了供配電系統(tǒng)、空調(diào)新風(fēng)系統(tǒng)雷接地系統(tǒng)綜合布線(xiàn)系統(tǒng)、機(jī)房監(jiān)控及門(mén)禁系統(tǒng)。主機(jī)房?jī)?nèi)按照功能進(jìn)行分區(qū)為6大能區(qū)能區(qū)設(shè)置獨(dú)立交換柜和電源回路。機(jī)房總體供電容量為，用雙回路供電，并設(shè)計(jì)有移動(dòng)發(fā)電機(jī)接口。機(jī)房設(shè)備采用雙路UPS供電，UPS容為200KVA×2機(jī)房采用精密空調(diào)進(jìn)行環(huán)境濕溫度控制，以靜壓下送風(fēng)上回風(fēng)方式工作風(fēng)統(tǒng)保證室內(nèi)空氣潔凈持室內(nèi)空氣的健康品質(zhì)的同時(shí)可以維持機(jī)房的正壓機(jī)房綜合布線(xiàn)統(tǒng)以橋架系統(tǒng)為依托用上走線(xiàn)方式機(jī)監(jiān)控系統(tǒng)實(shí)現(xiàn)了對(duì)機(jī)房供配電系統(tǒng)空新系統(tǒng)機(jī)環(huán)境濕度溫度的檢測(cè)及控制同時(shí)實(shí)現(xiàn)了入侵報(bào)警、水浸報(bào)警、視頻監(jiān)控、門(mén)禁控制等功能。主機(jī)房已于2009年10月竣，房搬遷也于2009年11月成。近一年的運(yùn)行表明，一個(gè)恒溫恒可監(jiān)控?zé)o人守的現(xiàn)代化電子信息系統(tǒng)機(jī)房能夠很好地滿(mǎn)足學(xué)校信息化工作發(fā)展的需要。后工環(huán)相隨著下一代校園網(wǎng)的深入建設(shè)園網(wǎng)用戶(hù)的雙棧接入已變得極為容易前關(guān)鍵問(wèn)題是如何管理和利用IPv6網(wǎng)。由于時(shí)間上的原因，針對(duì)下一代互聯(lián)網(wǎng)的安全技術(shù)和措施的研究還不夠深入安產(chǎn)品也有普及從用戶(hù)的角度上來(lái)說(shuō)盡很方便地接入到了下一代互聯(lián)網(wǎng)但是對(duì)下一代互聯(lián)的認(rèn)識(shí)還比較膚淺慮到這些因素我們將從以下幾個(gè)方面開(kāi)展工作。1.大力展針對(duì)下一代互聯(lián)網(wǎng)身及基于下一代互聯(lián)網(wǎng)的應(yīng)用的研究工作。進(jìn)一步加強(qiáng)IPv6安防御體系的研究，為I網(wǎng)路的安全可靠運(yùn)行提供保證。主要集中在兩方面的研究：一方面是出口的安全，另一方面是接入安全。2.加強(qiáng)戶(hù)的培養(yǎng)工作。通過(guò)養(yǎng)讓用戶(hù)對(duì)下一代互聯(lián)網(wǎng)有正確的認(rèn)識(shí)，即下一代互聯(lián)網(wǎng)并不是現(xiàn)有互聯(lián)網(wǎng)的補(bǔ)充，而必然是未來(lái)所依賴(lài)的必將完全替代現(xiàn)有網(wǎng)絡(luò)的互聯(lián)網(wǎng)。

3.進(jìn)一加強(qiáng)和加快應(yīng)用系統(tǒng)遷移工作多種類(lèi)的應(yīng)用系統(tǒng)為網(wǎng)提供服務(wù)；已經(jīng)遷移的系統(tǒng)，要改造得更好。要實(shí)現(xiàn)對(duì)IPv6網(wǎng)的優(yōu)先訪(fǎng)問(wèn)。4.配合目總體規(guī)劃，部署IPv6應(yīng)用示范項(xiàng)目并試用。5.加強(qiáng)于下一代互聯(lián)網(wǎng)的物網(wǎng)的研究。要加快下一代互聯(lián)網(wǎng)的發(fā)展步伐，研究并實(shí)施基于下一代互聯(lián)網(wǎng)的關(guān)鍵應(yīng)用是一個(gè)重要推力。從IPv6協(xié)議的特性和物聯(lián)網(wǎng)的需求來(lái)看，下一代