2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩22頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索,南京大學(xué)網(wǎng)絡(luò)信息中心劉建峰ljf@nju.edu.cn2024/3/21,純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索,總體介紹以校園網(wǎng)的架構(gòu)模式及管理模式為研究對象,分析了目前校園網(wǎng)的架構(gòu)現(xiàn)狀及存在問題,提出了扁平化校園網(wǎng)架構(gòu)模式與精細(xì)化校園網(wǎng)管理方法,以及在南京大學(xué)校園網(wǎng)建設(shè)中的應(yīng)用。伴隨IT技術(shù)的不斷發(fā)展、CNGI項(xiàng)目的快速推進(jìn),高校針對校園網(wǎng)絡(luò)應(yīng)用需求正在不斷更新,傳統(tǒng)校園網(wǎng)架構(gòu)與管理模式正逐

2、步呈現(xiàn)出許多難以應(yīng)對的難題:攻擊與ARP類病毒的困擾,IPv4地址管理困難,無法實(shí)現(xiàn)用戶的精細(xì)化管理,原有相當(dāng)數(shù)量網(wǎng)絡(luò)設(shè)備無法支持IPv6協(xié)議,更無法實(shí)現(xiàn)校園網(wǎng)絡(luò)IPv6的組播,有線無線難于統(tǒng)一認(rèn)證與雙棧開通、無線網(wǎng)絡(luò)的用戶控制等等;因此,探索一個全新的校園網(wǎng)絡(luò)架構(gòu)體系以及相應(yīng)的管理模式是目前高校網(wǎng)絡(luò)管理者必須面對的一個緊迫課題。,2024/3/21,2,純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索,傳統(tǒng)架構(gòu)目前絕大多數(shù)高校校園網(wǎng)采用的是已交換

3、技術(shù)為主的經(jīng)典三層組網(wǎng)架構(gòu),分核心、匯聚、接入三層面組成,各層分別實(shí)現(xiàn)不同的業(yè)務(wù)功能。其中,接入層負(fù)責(zé)用戶的接入,相互的隔離,速率的限制,802.1X等接入功能的實(shí)現(xiàn),DHCP偵聽和ARP動態(tài)檢測(避免ARP攻擊),雙棧組播控制與分發(fā)等;匯聚層負(fù)責(zé)用戶的三層終結(jié)、路由,ACL、QoS功能實(shí)現(xiàn),雙棧組播控制與分發(fā);核心層負(fù)責(zé)全校(或校際)數(shù)據(jù)的高速路由數(shù)據(jù)交換,ACL、QoS功能實(shí)現(xiàn),雙棧組播控制與分發(fā)等。,2024/3/21,3,純路由

4、兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索,組網(wǎng)模式,2024/3/21,4,純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索,從組網(wǎng)模式可以看出:每個層面都在做用戶雙棧業(yè)務(wù)的接入和控制,協(xié)調(diào)實(shí)現(xiàn)部分的功能;核心層相對能力強(qiáng)的設(shè)備,功能相對弱化;越靠近用戶接入邊緣的設(shè)備,數(shù)量最多,功能要求卻很多,加上資金的限制,不可能具有較高的性能;此前建設(shè)并仍在運(yùn)行的接入設(shè)備,大部分不支持IPv6協(xié)議,更談不上對組播的支持;不同的用戶、應(yīng)用沒有有效的隔離措施和保障手段,導(dǎo)致相互

5、的干擾影響;隨著規(guī)模擴(kuò)大,功能的疊加,校園網(wǎng)中設(shè)備的穩(wěn)定性、可靠性大幅降低,管理維護(hù)壓力越來越大。會在校園網(wǎng)里頻頻發(fā)生此類現(xiàn)象:處理一個故障往往涉及多個層面的多個設(shè)備;出現(xiàn)問題后,很難定位,恢復(fù)時間較長;出問題最多,維護(hù)工作量最大的是接入層、匯聚層;難以部署新功能新應(yīng)用,IPv6多點(diǎn)組播性能較低等問題;難以實(shí)現(xiàn)細(xì)致的管理和控制。,2024/3/21,5,純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索,扁平化架構(gòu)參考運(yùn)營商大規(guī)模網(wǎng)絡(luò)發(fā)展的經(jīng)驗(yàn),網(wǎng)絡(luò)

6、架構(gòu)正從復(fù)雜化的多層架構(gòu)向扁平化架構(gòu)方向發(fā)展。扁平化的架構(gòu)模式并非必須或一定就是物理聯(lián)接層次上的減少,而是指網(wǎng)絡(luò)邏輯層次的簡化。扁平化的網(wǎng)絡(luò)有著更高的效率也更有利于管理。,2024/3/21,6,純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索,扁平化組網(wǎng)模式,2024/3/21,7,純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索,扁平化的架構(gòu)的優(yōu)勢:將原先各個層次模糊的功能區(qū)分清晰化,各司其職,有利于管理、維護(hù)和業(yè)務(wù)的部署;實(shí)現(xiàn)用戶、業(yè)務(wù)控制的集中化 由能力最

7、強(qiáng)、功能最豐富的核心設(shè)備提供集中的業(yè)務(wù)控制和管理,在提供功能和業(yè)務(wù)時,發(fā)揮核心設(shè)備的高性能、穩(wěn)定性、可靠性等優(yōu)勢;匯聚、接入設(shè)備一般只需提供基本的二層VLAN隔離功能(充分保護(hù)了原有低端設(shè)備的建設(shè)投資),不涉及到業(yè)務(wù)功能,因此部署新的業(yè)務(wù)和功能時,無需考慮其是否支持,也無需考慮設(shè)備型號,有利于降低數(shù)量眾多的匯聚/接入層設(shè)備投資;功能劃分清晰后,整個網(wǎng)絡(luò)更有利于擴(kuò)展,核心層設(shè)備性能很強(qiáng),對新功能新業(yè)務(wù)能夠提供良好的支持,匯聚層和接入層只需

8、要考慮接入端口的擴(kuò)充、上行帶寬的增加。,2024/3/21,8,純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索,2024/3/21,9,目前在南京大學(xué),全網(wǎng)采用了以純路由為核心的兩層架構(gòu)模式,選用了以Juniper公司的 MX960作為核心路由器,華為交換機(jī)作為匯聚交換機(jī),神碼及H3C多廠商接入交換機(jī)作為接入,利用QinQ技術(shù)實(shí)現(xiàn)了扁平化架構(gòu)模式,并利用MX960實(shí)現(xiàn)精細(xì)化控制。用戶采用DHCP模式接入校園網(wǎng),自動獲取IPv4/IPv6雙棧地址,然

9、后通過BRAS撥號訪問校外網(wǎng)絡(luò)。,純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索,,2024/3/21,10,純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索,出口精細(xì)化管理我校目前有多條出口鏈路,采用負(fù)載均衡設(shè)備選路。針對部分服務(wù)器做智能DNS,進(jìn)行訪問加速,優(yōu)化外部訪問質(zhì)量。在出口流量控制設(shè)備上針對不同的用戶群制定不同的策略(對P2P類應(yīng)用進(jìn)行適當(dāng)抑制,對WEB訪問等常規(guī)應(yīng)用提供最小帶寬保證,對部分用戶進(jìn)行連接數(shù)上限限制),保證教學(xué)科研的網(wǎng)絡(luò)質(zhì)量。在

10、出口防火墻設(shè)備上除了進(jìn)行常規(guī)控制外,對部分只需要訪問外網(wǎng)功能的用戶制定單向訪問策略,大大減少被攻擊、被肉雞的可能性。,2024/3/21,11,純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索,網(wǎng)絡(luò)設(shè)備精細(xì)化管理集合網(wǎng)絡(luò)管理系統(tǒng),把校園網(wǎng)內(nèi)的可網(wǎng)管的交換機(jī)、路由器、無線等設(shè)備納入網(wǎng)絡(luò)管理綜合監(jiān)控平臺,定時輪巡采集數(shù)據(jù),收集交換機(jī)工作狀態(tài)、CPU、鏈路流量等,并自動記錄交換機(jī)的中斷、恢復(fù)時間,方便故障回溯;采集數(shù)據(jù),自動分析IP、MAC、端口對應(yīng)情

11、況,并納入數(shù)據(jù)庫備查;采集交換機(jī)日志,只能分析交換機(jī)異常情況,包括cpu異常、網(wǎng)關(guān)沖突、回路檢測等。,2024/3/21,12,純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索,針對用戶的精細(xì)化用戶通過DHCP獲取地址的過程中,提供了用戶接入網(wǎng)絡(luò)的豐富的信息(用戶PC的接入時間、用戶PC所處的交換機(jī)端口、用戶PC的MAC地址、用戶PC獲取的IP地址),這些信息可以幫助網(wǎng)絡(luò)管理者準(zhǔn)確定位某臺PC在何時/從何處連接進(jìn)網(wǎng)絡(luò),上線/下線的時間,通過IP地

12、址,可以明確直接地定位到用戶上網(wǎng)的地點(diǎn),到終端,統(tǒng)計(jì)分析不同區(qū)域的用戶的網(wǎng)絡(luò)使用習(xí)慣,在存儲在數(shù)據(jù)庫中作為歷史記錄有據(jù)可查。,2024/3/21,13,2024/3/21,14,2024/3/21,15,純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索,針對用戶的精細(xì)化通過Netflow的采集和分析,能夠?qū)⒕W(wǎng)絡(luò)中大量的、不可識別的流量,統(tǒng)計(jì)分析成清晰的、基于源IP地址和目的IP地址間傳輸?shù)膯蜗驍?shù)據(jù)包流,每個數(shù)據(jù)流具有共同的傳輸層源、目的端口號,并且

13、能夠統(tǒng)計(jì)數(shù)據(jù)流的流量信息 ,幫助管理者掌握校園網(wǎng)內(nèi)的流量特征和用戶行為特征,感知用戶的應(yīng)用類型和使用習(xí)慣,及時采取措施,應(yīng)對異常流量的攻擊。,2024/3/21,16,純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索,針對用戶的精細(xì)化由于全網(wǎng)采用了兩層的架構(gòu),校園網(wǎng)絡(luò)管理員可以遠(yuǎn)程針對校園網(wǎng)內(nèi)的任意一個接入層交換機(jī)端口實(shí)施端口鏡像,針對特殊用戶問題,無需管理員趕赴現(xiàn)場排查,極大地方便了管理與服務(wù)。,2024/3/21,17,純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)

14、模式的探索,針對用戶的精細(xì)化路由器+QinQ可以實(shí)現(xiàn)多層次的用戶速率控制及權(quán)限控制的策略。在任意一個邏輯接口(等同一個物理接口)上實(shí)現(xiàn)速率限制、訪問權(quán)限控制,因此可以提供針對全校任意接入?yún)^(qū)域或用戶單獨(dú)的策略管理。針對全校的無線接入部分,盡管每個AP只能劃分在一個VLAN中,但由于策略是v針對無線用戶的,我們設(shè)置基于用戶的每個IP的速率控制,即便有用戶使用了P2P類高帶寬的應(yīng)用,仍然可以確保此AP提供上其他用戶的穩(wěn)定服務(wù);能夠基于不同類

15、型的用戶開放/關(guān)閉相應(yīng)的業(yè)務(wù)功能,由于AP的性能問題,可針對性關(guān)閉IPv4/IPv6 multicast業(yè)務(wù),僅開放單播業(yè)務(wù)。,2024/3/21,18,純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索,該模式可以保障大量前期投入建設(shè)的不能支持IPv6協(xié)議特別是IPv6組播的普通交換機(jī)實(shí)現(xiàn)雙棧并組播功能。通過路由器進(jìn)行IPv6組播信號的硬件復(fù)制和下發(fā)。,2024/3/21,19,2024/3/21,20,純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索,對于校園網(wǎng)

16、內(nèi)的任意一個接入層交換機(jī)端口,都能夠在網(wǎng)絡(luò)核心提供基于邏輯接口的IPv6上下行速率限制,2024/3/21,21,純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索,南京大學(xué)改用以純路由為核心的兩層扁平化架構(gòu),實(shí)現(xiàn)了全網(wǎng)的精細(xì)化管理,新校區(qū)整體投資降低,同時還保障了老校區(qū)前期大量低端接入交換機(jī)的投資,網(wǎng)絡(luò)運(yùn)行高效、穩(wěn)定,大大減少維護(hù)工作量,解決了地址分配、網(wǎng)絡(luò)帶寬、IPv6組播、網(wǎng)絡(luò)不可控等問題,我們正在不斷摸索,期望逐步建立一個更加高性能、可管理、可

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論