下一代校園網(wǎng)建設(shè)方案賽

爾

網(wǎng)

絡(luò)

有

限

公

司技術(shù)服務(wù)業(yè)務(wù)2010年5月7日主要內(nèi)容o

校園網(wǎng)建設(shè)現(xiàn)狀與需求分析o

當(dāng)前技術(shù)熱點及發(fā)展影響o

新一代校園網(wǎng)的設(shè)計方案o

主要功能與系統(tǒng)的設(shè)計與實現(xiàn)目的與意義通過對當(dāng)前校園網(wǎng)建設(shè)狀況的調(diào)研和需求分析，結(jié)合當(dāng)前網(wǎng)絡(luò)信息技術(shù)的最新發(fā)展趨勢和CERNET已有科研成果與解決方案，提出以IPv6為承載協(xié)議的可信、可控可管和可運營的多業(yè)務(wù)校園網(wǎng)的建設(shè)方案，為下一代校園網(wǎng)的建設(shè)提供參考與指導(dǎo)。當(dāng)前的技術(shù)熱點與發(fā)展趨勢o

云計算o

物聯(lián)網(wǎng)o

三網(wǎng)融合o

下一代互聯(lián)網(wǎng)云計算o

是一種基于互聯(lián)網(wǎng)的超級計算模式。是并行計算、分布式計算和網(wǎng)格計算的發(fā)展o

是將大量的計算、存貯等資源集中在一起以服務(wù)的形式向用戶提供的商業(yè)模式。是BPO、ITO、ASP等的發(fā)展o

目的是將網(wǎng)絡(luò)、計算、軟件基礎(chǔ)化成泛在的、便利的象水和電一樣的社會基礎(chǔ)服務(wù)o

提供三個層次的服務(wù)：IAAS->PAAS->SAASo

核心技術(shù)：虛擬化技術(shù)、分布式存貯與資源管理物聯(lián)網(wǎng)o

IOT(InternetofThings)，通過射頻識別（RFID）、紅外感應(yīng)器等傳感設(shè)備，把物品與互聯(lián)網(wǎng)連接起來，進(jìn)行信息交換和通訊，以實現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡(luò)。o

是互聯(lián)網(wǎng)自然的延伸與擴(kuò)展n

Anytime,Anywhere,Anyone

Anythingo

智慧地球，感知中國n

全面感知、可靠傳遞、智能處理o

核心技術(shù)：RFID和WSN三網(wǎng)融合o

電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)的融合o

我國的兩大階段性目標(biāo)：n

2010年至2012年o

重點開展廣電和電信業(yè)務(wù)雙向進(jìn)入試點，探索形成保障三網(wǎng)融合規(guī)范有序開展的政策體系和體制機(jī)制。n

2013年至2015年o

總結(jié)推廣試點經(jīng)驗，全面實現(xiàn)三網(wǎng)融合發(fā)展，普及應(yīng)用融合業(yè)務(wù)。o

2008年3月提出NGB(NextGeneration

Broadcasting)n

采用自主創(chuàng)新的“高性能寬帶信息網(wǎng)3TNet”核心技術(shù)n

主干帶寬1000G以上，每戶的接入帶寬100Mn

提供高清晰電視、數(shù)字視音頻節(jié)目、高速數(shù)據(jù)接入和話音等“三網(wǎng)融合”的“一站式”服務(wù)2010年IPv6試商用-國內(nèi)運營商o

CNGI試商用項目將建設(shè)完成并進(jìn)入部署階段o

三大運營商為IPv6Ready做好準(zhǔn)備n

中國電信o

完成了IPv4向IPv6過渡的技術(shù)調(diào)研、方案制定、設(shè)備終端測試o

IPv6城域網(wǎng)骨干、接入、業(yè)務(wù)、終端、IT系統(tǒng)等試點：長沙、無錫、廣州、成都以及濟(jì)南5個城市n

中國移動o

完成了PNAT標(biāo)準(zhǔn)的起草以及相關(guān)業(yè)務(wù)的演示，將利用PNAT技術(shù)展開IPv6部署的探索n

中國聯(lián)通o

完成了技術(shù)調(diào)研以及廠家設(shè)備測試，正設(shè)計演進(jìn)方案o

CERNET2CERNET目前已有的技術(shù)與成果o

技術(shù)n

Softwire（RFC4925）：IPv4overIPv6的隧道技術(shù)n

SAVI（RFC5210）：真實源IP地址認(rèn)證技術(shù)n

IVI：IPv4/IPv6互通技術(shù)o

成果n

IPv4/IPv6綜合一體化網(wǎng)絡(luò)管理系統(tǒng)n

Blackboard教學(xué)系統(tǒng)n

校園多出口智能網(wǎng)絡(luò)管理網(wǎng)關(guān)n

華南理工大學(xué)的數(shù)字化校園解決方案o

郵件系統(tǒng)，門戶管理系統(tǒng)，信息發(fā)布與內(nèi)容管理CMS，統(tǒng)一身份認(rèn)證系統(tǒng)，網(wǎng)絡(luò)管理系統(tǒng)，學(xué)生管理與服務(wù)系統(tǒng)，科研管理系統(tǒng)，就業(yè)管理與服務(wù)平臺

etc.國內(nèi)校園網(wǎng)的發(fā)展歷史o

始于1995年，比國外晚15年左右，與CERNET的發(fā)展歷程分不開o

四個階段n

初期，1995-2000o

基礎(chǔ)網(wǎng)絡(luò)建設(shè)：10M/100M以主FDDI，ATM，同軸電纜，雙絞線;網(wǎng)絡(luò)基礎(chǔ)應(yīng)用為主：WEB，BBS，Email,FTPetc.n

發(fā)展期，2000-2005o

1000M以太網(wǎng);網(wǎng)絡(luò)應(yīng)用建設(shè):辦公自動化n

成熟期:2005-2010o

千兆/萬兆；數(shù)字化校園建設(shè)：教務(wù)，教學(xué)，一卡通，IDC建設(shè)n

下一代校園網(wǎng)：2010-2015o

為IPv6為特征，千兆/萬兆，’建網(wǎng)’->’用網(wǎng)’、’管網(wǎng)’o

云計算，多網(wǎng)融合校園網(wǎng)建設(shè)存在的主要問題o

安全問題n

網(wǎng)絡(luò)安全：ARP等攻擊、蠕蟲、病毒；IP地址/帳號盜用、私設(shè)DHCP和代理n

內(nèi)容安全：過濾、屏蔽不良信息內(nèi)容及網(wǎng)站，實時監(jiān)測內(nèi)容安全（如BBS)n

系統(tǒng)安全：無IDS/IPS或缺乏有效管理o

管理問題n

數(shù)據(jù)不統(tǒng)一n

應(yīng)用不統(tǒng)一n

管理不統(tǒng)一o

可運營管理n

不重視運營與服務(wù)質(zhì)量（SLA）校園化建設(shè)需求分析o

層次一：網(wǎng)絡(luò)建設(shè)的需求n

網(wǎng)絡(luò)訪問（公網(wǎng)，教育網(wǎng)），可靠、可用和足夠的帶寬n

無線與有線結(jié)合隨時隨地上網(wǎng)的需求o

層次二：基礎(chǔ)網(wǎng)絡(luò)應(yīng)用的需求（狹義校園網(wǎng)）n

BBS，Email，Web，網(wǎng)絡(luò)存貯與計算o

層次三：數(shù)字化校園建設(shè)的需求（廣義校園網(wǎng)）n

數(shù)字化教學(xué)：多媒體教學(xué)、教學(xué)資源庫、網(wǎng)絡(luò)教學(xué)系統(tǒng)、數(shù)字圖書館和虛擬實驗室等n

數(shù)字化科研：計算資源、文獻(xiàn)資源、科學(xué)數(shù)據(jù)庫資源、科研設(shè)備資源和專家學(xué)者資源建設(shè)與共享n

數(shù)字化管理：教學(xué)管理、科研管理、人力資源管理、學(xué)生管理、財務(wù)管理、設(shè)備資源管理n

數(shù)字化生活：教育培訓(xùn)、科技成果轉(zhuǎn)讓與咨詢，社區(qū)服務(wù)，網(wǎng)絡(luò)文化服務(wù)下一代校園網(wǎng)的建設(shè)目標(biāo)建設(shè)一個既能滿足近期實際應(yīng)用需求又具有一定技術(shù)先進(jìn)性的，以IPv6為承載協(xié)議的，高速、安全、可用、可信、可控可管的新一代多業(yè)務(wù)校園網(wǎng)。有效支撐數(shù)字化校園的各種應(yīng)用，促進(jìn)校園網(wǎng)教學(xué)、科研工作的發(fā)展。主要特點o

以IPv6協(xié)議為主要承載協(xié)議o

安全可信o

可控可管o

可運營o

多業(yè)務(wù)承載平臺（多網(wǎng)合一）o

集中化、一體化、精細(xì)化的綜合管理平臺網(wǎng)絡(luò)架構(gòu)IPv6網(wǎng)絡(luò)出口CERNET2IPv6邊界路由器出口核心IPv6安全監(jiān)測與流量管理IPv6骨干網(wǎng)絡(luò)IPv6無線控制器匯聚接入IPv6有線接入IPv6無線接入校園網(wǎng)建設(shè)系統(tǒng)架構(gòu)業(yè)務(wù)需求數(shù)字化管理向上支撐數(shù)字校園各業(yè)務(wù)系統(tǒng)高效運行校園網(wǎng)綜合管理與業(yè)務(wù)支撐平臺（CNBOSS）向下支撐校園基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運行基礎(chǔ)設(shè)施主要建設(shè)內(nèi)容o

IPv6校園網(wǎng)建設(shè)o

基于SAVI的可信校園網(wǎng)建設(shè)o

基于IVI的IPv4/IPv6互通o

多業(yè)務(wù)支撐平臺（MPLS）o

基于流的精細(xì)化流量管理o

三網(wǎng)融合應(yīng)用o

多出口智能管理o

基于云計算的IDC建設(shè)o

校園綜合管理運營平臺IPv6校園網(wǎng)建設(shè)o

IPv6地址，

2001:DA8::/32，可通過CERNET網(wǎng)絡(luò)中心申請/48的地址o

DNS：AAAA記錄方式，建立純IPv6DNS服務(wù)器o

路由協(xié)議：n

BGP4+，與CERNET2主干網(wǎng)建立BGP連接n

OSPFv3o

所有設(shè)備支持IPv6功能o

應(yīng)用的平滑遷移n

WWW，媒體服務(wù)器基于IVI的IPv4/IPv6互通o

針對校內(nèi)個別的IPv4子網(wǎng)，及校外的IPv4網(wǎng)絡(luò)o

“IPv4與IPv6互通就是IPv6的殺手級應(yīng)用”–李星老師語o

IVI技術(shù)是對SIIT和NAT-PT技術(shù)的改進(jìn)o

是一種基于無狀態(tài)的、可以透明實現(xiàn)IPv4與IPv6互訪的新技術(shù)o

兩種轉(zhuǎn)換模式：無狀態(tài)的1:1轉(zhuǎn)換和有狀態(tài)的1:No

IVI網(wǎng)關(guān)已產(chǎn)品化IVI網(wǎng)關(guān)的部署o

兩種部署方式：集中式與分布式，建議集中式部署CERNET2CERNETIVI網(wǎng)關(guān)IPv4IPv6校園網(wǎng)（IPv4/IPv6）基于SAVI的可信校園網(wǎng)建設(shè)o

常用的用戶認(rèn)證方式:是對用戶身份的認(rèn)證n

準(zhǔn)入：802.1xn

準(zhǔn)出：WebPortalo

SAVI:

真實源地址認(rèn)證，是對源IP地址的確認(rèn)n

接入網(wǎng)真實源地址驗證技術(shù)n

域內(nèi)真實源地址驗證技術(shù)n

域間真實源地址驗證技術(shù)o

結(jié)合802.1X,WebPortal和SAVI的真實用戶身份與真實地址認(rèn)證n

綁定：端口，MAC地址，IP地址，UserID,權(quán)限o

實現(xiàn)源地址和用戶身份可信SAVI實現(xiàn)模式o

基于接入網(wǎng)和域內(nèi)(RFC3704:uRPF)真實源地址驗證技術(shù)o

H3C和銳捷網(wǎng)絡(luò)等廠商的交換機(jī)已支持SAVISAVI認(rèn)證服務(wù)器DHCPv6IPv6路由器/三層交換機(jī)上聯(lián)端口：DHCPv6TRUST屬性上聯(lián)端口：RATRUST屬性SAVI交換機(jī)下聯(lián)端口：VALIDATION屬性DHCP-ONLY模式SLAAC-ONLY模式DHCP-SLACC模式STATIC-ONLY模式基于MPLS多業(yè)務(wù)支撐平臺o

物理的業(yè)務(wù)應(yīng)用專網(wǎng)n

一卡通網(wǎng)、財務(wù)網(wǎng)、安防與視頻監(jiān)控網(wǎng)、有線網(wǎng)n

存在線路施工復(fù)雜、費用高、組網(wǎng)不靈活的缺點o

基于MPLS技術(shù)來實現(xiàn)多業(yè)務(wù)支撐平臺n

高效轉(zhuǎn)發(fā)，快速重路由n

支持L3VPN，

L2VPNn

支持MPLSTE功能，實現(xiàn)IPQoS控制n

組建安全的虛擬專用o

實現(xiàn)全校只有一張物理網(wǎng)o

目前網(wǎng)絡(luò)設(shè)備廠家的P和PE設(shè)備均可支持MPLS功能基于流的精細(xì)化流量管理o

基于流（IPFIX）的流量可視化n

源IP、目的IP、包數(shù)量、字節(jié)數(shù)、源端口、目的端口、協(xié)議、時間n

實時的統(tǒng)計與分析o

實現(xiàn)應(yīng)用識別與網(wǎng)絡(luò)行為分析n

‘Who,When,Where,What,How’可視化管理o

基于流量的準(zhǔn)確計費o

統(tǒng)計分析與異常分析o

TopN排序：協(xié)議，用戶，IP地址/IP地址段，校內(nèi)/校外，國內(nèi)/國際o

包大小

，包數(shù)量多出口智能管理o

多出口智能路由功能n

運營商地址自動下載與同步n

多出口智能選路n

逆向服務(wù)器高效訪問與智能DNSo

出口安全管理n

過濾與屏蔽(防火墻功能）n

防代理n

攻擊與病毒檢測CERNET2校園網(wǎng)n

內(nèi)容安全監(jiān)測網(wǎng)關(guān)o

流控功能ISP2n

分時管理P2P應(yīng)用流量n

優(yōu)先保障VIP應(yīng)用基于