浙江工业大学闪讯接入网络设计.doc

浙江工业大学闪讯接入网络设计 摘 要：在我国，学校是处于影响整个社会深刻变革的中心地位，所以是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题。 关键词：交换机 ；调试 ；宽带 ；BRAS ；链路 ；注意事项 1 闪讯总体建设方案 1.1 学生如何认证上网 学生用户电脑终端插上宿舍内网线后，由电信BRAS分配私网IP地址，此时用户可以直接访问学校内网，采用WEB+Portal认证模式，对于用户感知而言，可以直接访问内网，同时可以通过BRAS三层互访。无需认证（也可以在用户初次打开WEB页面时，Portal强制推送特定WEB页面，在该WEB页面上需要输入帐号和密码，通过认证后才能访问学校内网）。为了保证用户高速访问内网，前期电信两个校区BRAS各有一条千兆链路上联到学校路由器，今后根据浙工大用户访问学校内网流量可进行链路扩容。 当学生用户访问Internet时，需要通过闪讯客户端进行PPPOE拨号认证，认证通过后由BRAS分配公网IP地址，用户可以访问Internet，同时在BRAS域内添加学校的内网IP地址，可以使用户访问公网的同时也可以访问学校的内网。 由于考虑到用户的安全性，本次宿舍区网络改造采用VLAN隔离，每一个用户分配一个VLAN，核心交换机起QINQ，且做为二层交换机使用。1.2 安全性和DNS问题 由于考虑到用户的安全性，本次宿舍区网络改造采用VLAN隔离，每一个用户分配一个VLAN，核心交换机起QINQ，且做为二层交换机使用。此次投入的设备都是在电信大网中经过实战检验的设备，具有各种防攻击能力，如smurf、SYN flood攻击等，进行分层防御，能快速隔断病毒源。 关于DNS问题，本次电信投入两台DNS服务器，分别解决浙工大朝晖校区和屏峰校区的域名解析问题。在BRAS的域内将会配置本次新增的DNS服务器，学生用户登录网络时BRAS会分配本次电信新增的DNS地址，用户作域名解析首先会到新增的DNS服务器，如果是公网域名则直接解析，如果访问的是学校内部域 名，则需要代理到学校的DNS上解析。 2 访问内网及互访问题 2.1 同一校区用户互访 学生访问学校内网及同一校区用户之间互访拓扑图如下：图 1 同一校区用户拓扑图 浙工大朝晖校区和屏峰校区上联的电信局端BRAS，需要根据不同的应用，设置三段不同的目的IP地址，分别为学校内网IP地址、本校区用户私网IP地址、另一校区用户私网IP地址。当用户访问学校内网时，BRAS根据用户访问的内网IP地址，通过路由转发，将该部分访问数据包转发到学校内网，如上图示意1所示。当用户访问本校区的用户时，由BRAS终结用户VLAN，再通过路由转发到需要访问的用户，如图2所示。2.2 跨校区用户互访 跨校区用户互访网络拓扑图如下： 图 2 跨校区用户互访拓扑图 用户访问学校内网模式不变，如上图1所示。但是访问另一校区的用户时，电信两个校区的局端BRAS，每个校区分配一段固定的私网IP地址。如屏峰校区的用户访问朝晖校区的私网IP地址用户式，当BRAS根据目的IP地址判断，用户需要访问另一校区私网IP地址时，BRAS和核心交换机间做一个子接口，将通过该子接口下发到屏峰校区核心交换机，屏峰校区核心交换机和朝晖校区核心交换机通过二层透传，然后朝晖校区核心交换机和朝晖校区BRAS之间做同样的子接口，通过该子接口上联到朝晖校区BRAS，再由朝晖校区BRAS转发至朝晖校区的用户。反之，朝晖校区用户访问屏峰校区也是如此。2.3 关于用户互访时的BRAS能力 ME60是采用NE40E/NE80E的硬件平台的宽带接入服务器产品，基于纯粹的路由器架构，ME60整机容量640G，单槽位容量20G，最大支持128K用户的接入，对于一些采用二次认证DHCP分配地址的情况，同一VLAN下的用户互访流量不需要进入板卡的转发平面，由该VLAN的网关直接将相关目的和源MAC地址在该VLAN里洪泛后，相应的PC客户端即可实现互访，对ME60的系统资源占用几乎为零；不同VLAN间互访是通过ME60上的VLAN网管进行路由转发，ME60的所有板卡均为线速板卡，即20G的转发容量能容忍64字节小报文达到20G的流速，而普通情况下的报文一般都在1500字节左右，所以对板卡的性能消耗也远小于极限情况下的小报文转发，对于1.5万的用户互访流量，ME60完全可以支撑其所需的容量与转发能力。除了常态下的访问以外，ME60还支持访问控制列表，可以在部分用户中病毒的情况下对病毒的流量进行限制，防止病毒流量阻塞端口影响正常的访问流量。需要注意的是，需要对每个VLAN的地址进行适当的规划，单个VLAN下用户不宜过多，以免广播域太大引起的广播风暴。 3 组网结构 3.1 朝晖校区3.1.1