前往顾页

高校多业务畅通领悟承载网研究与构建

时候:2018-03-24 23:40来源:知行网www.zhixing123.cn 编辑:麦田守望者

择要:针对高校聪明校园扶植需求,在阐发比较以后主流业务承载技术的根本上,以防火墙宁静域连络VLAN技术,基于假造化构建出一个公用的多业务畅通领悟承载收集,用于支撑不合场景下的校园智能化业务体系运行。

  跟着高校聪明校园扶植的进一步推动和深化,智能化业务体系逐步成为高校讲授科研、糊口办公、校务办理的首要根本支撑手段,其范围和利用程度在必然程度上衡量着高校信息化生长的水安然平静才气。在南开年夜学聪明校园扶植过程中,共打算了十余个需求经由过程公用收集支撑的智能化业务体系,按照其服从感化年夜体可以分为以下几类:讲授科研支撑类、宁静监控类、糊口办事类、通道门禁类、楼宇自控类、协同办公类和财务结算类。

  不合业务体系提出了不合的隔离和承载请求,比如视频监控体系不但需求年夜量存储视频文件,同时安防监控中间又有及时调取摄像头视频的需求,视频存储和及时调取对带宽的请求也不合。面对高校环境中复杂的业务体系,单一的承载手段无法支撑多样化的利用,需求按照实际利用处景供应多样化的业务承载才气。

  本文连络南开年夜学聪明校园扶植实际需求,在高机能收集宁静部系的支撑下,在用户数据校园网以外自力构建了一个跨校区的多业务畅通领悟承载网,以支撑多种需求收集支撑的智能化业务体系,并实现了各业务体系跨校区的互联与互通。

  技术线路比较与挑选

  凡是环境下,可以挑选两种不合的技术线路构建承载收集,一种体例是为每个业务体系构建一个公用的物理承载网,另外一种体例是在一个通用的收集上为各个业务体系构建逻辑承载网,也就是所谓的多业务畅通领悟承载。

  物理专网承载

  经由过程物理公用收集承载业务体系,即为每个业务构建一套公有支撑收集,包含自力的通信链路和收集装备。

  物理专网的长处在于对业务的隔离是绝对的隔离,不合物理收集之间不克不及以直接或直接的体例相连接,可以为业务体系起到最高级别的隔离庇护【1】。同时物理专网的带宽和装备只办事于所承载的业务体系,一般环境不会存在带宽和流量的瓶颈问题,也不会遭到其他业务体系对收集团体负载的影响。

  但对年夜多数业务体系来讲,流量模型较为牢固,流量远远达不到需求一套公用收集的程度;在高校的实际前提下,业务部分本身信息化技术气力无限,当收集和业务体系产生毛病时,仍需求信息化天性机能部分参与保护;部分公用业务体系仍借助校园网进行办理,需求校园网供应接入。同时,为智能化业务体系自力组建年夜量公用物理收集,必将使校园网变得愈来愈复杂,背叛了把智能化业务体系从校园网(公家部分)剥离并简化办理的初志,给保护事情带来不需求的坚苦。

  是以,为每个智能化业务体系构建自力的物理承载网,非论从扶植本钱、收集复杂程度还是后期保护来讲,都不再是一种经济的挑选。

  多业务畅通领悟承载

  经由过程构建逻辑收集进行业务承载和隔离,凡是的做法是在一个同一的IP收集上,分别出多个逻辑上相互自力、相互隔离的业务公用收集,实现不合业务的宁静同一承载,目前首要有假造局域网(Virtual Local Area Network,VLAN)、多和谈标签互换(Multi-Protocol Label Switching,MPLS)假造公用收集(Virtual Private Network,VPN)。

  1.传统的VLAN

  VLAN技术在数据链路层对收集进行逻辑隔离,构成假造的子网,从而隔离在假造子网上运行的业务体系。VLAN子网之间的通信,需求借助路由器或路由模块进行三层(即OSI参考模型的收集层,下同)转发。经由过程VLAN连络拜候节制列表(Access Control List,ACL)和路由过滤,可以在IP收集层(或数据链路层)进行业务的隔离,实现收集资本的整合和同一办理,是一种比较传统的业务承载和隔离体例。

  因为ACL和路由过滤建设复杂,实施难度年夜,特别是在多个三层核心互换装备的收集合,在采取有效办法对其进行简化之前,容易产生错误,是以必然程度上贫乏落地摆设的可实施性。在智能化业务体系较少的聪明校园扶植初期,可以采取在校园网上以VLAN连络ACL和路由过滤体例进行业务承载和隔离,但跟着业务体系的增加,会使收集建设变得复杂并难以节制。

  2.MPLSVPN

  MPLSVPN是一种基于MPLS的VPN处理计划,操纵标签互换技术,经由过程标识表记标帜互换途径(Label Switching Path,LSP)实现多点到多点的连接,MPLSVPN收集布局如图1所示。在MPLSVPN收集合,骨干网核心(Provider,P)路由器以标签互换体例转发报文,在骨干网边沿(Provider Edge,PE)路由器上建立假造路由器假造路由转颁发(Virtual Routing Forwarding,VRF),PE装备经由过程VRF三层接口连接用户收集边沿(Custom Edge,CE)路由器,由CE卖力用户站点的接入【2】。VPN成员在VRF上定义,是由不合站点构成的调集,属于同一VPN的站点具有IP连通性,从而到达业务承载的目标,VPN站点之间可以按照业务需求进行有节制的互联或隔离【3】。

  MPLS VPN供应了数据、语音和视频等多种业务相畅通领悟的才气,是目前电信运营商所遍及采取的多业务畅通领悟承载体例,可以以较低的本钱矫捷实现各种场景的业务支撑。

  如同所有办理型共享收集,MPLS没有处理遍及存在的对受庇护的网元的不法拜候和外部抨击打击等宁静问题【4】。基于相对简朴的CE与PE路由器的路由,在措置复杂的路由环境时可能会具有必然难度。别的,如MPLS VPN对路由的依靠度比浅显IP收集更高,MPLS的标识表记标帜互换机制给路由和转发之间引入了新一层的直接性,会导致MPLSVPN路由层面的毛病难以阐发和解除【5】。单一的CE装备的毛病可能导致错误的路由信息,影响PE乃至收集团体办事的不变性。

  对用户而言,MPLS固然可以疾速进行业务的摆设,但对运营者来讲,在客观上存在必然程度的办理难度,特别在高校信息化扶植天性机能部分职员体例遍及紧缺的环境下,需求支出很年夜的办理本钱。

  承载网构建与摆设

  南开年夜学业务承载收集的构建,基于承载业务收集流量模型相对牢固的道理,采取扁平化的收集团体架构,经由过程“业务接入层-高密会聚层-核心收集层”三级“年夜二层”布局,操纵假造化技术,全冗余链路设想,构建出一个高可用、可靠、宁静及可扩展的多业务畅通领悟承载体系,并针对各种不合业务体系的利用处景,矫捷供应不合的业务承载和隔离计划。

  构建准绳

  1.高可用性准绳

  跟着智能化业务体系的增加,收集流量愈来愈年夜,高带宽支撑的业务体系比如视频监控等利用会破钞年夜量带宽,无序合作或集约办理无法保证收集办事质量,是以需求标准、节制业务体系对收集资本的占用,需求为不合实际需乞降利用处景打算不合的承载体例。

  2.高宁静性准绳

  不合业务体系之间必须实现有效的隔离,针对需务虚现有效的宁静分区,进行有效的宁静防护和办理,同时在业务宁静方面,经由过程宁静战略有效避免歹意抨击打击和病毒防备。

  3.高可靠性准绳

  需求包管高可靠性的数据传输通道,因链路或装备毛病导致收集拓扑产生转变时,承载收集团体应不受线路毛病和收集拓扑转变的影响,包管业务体系的一般运行。

  4.可扩展性准绳

  可以满足多种智能化业务体系的接入,疾速实现新业务的落地摆设,满足不合利用处景的业务体系守旧。

  摆设计划

  1.全冗余根本架构

  南开年夜学多业务畅通领悟承载网连络假造化技术,在收集架构的各层次均采纳了全冗余构建体例,全面实现业务的安端赖得住承载,如图2所示。

  业务接入层。在业务接入层,南开年夜学八里台校区采取单体楼作为一个接入单位,津南校区遵循综合布线标准把单体楼分别为多个接入单位(网格),别离会聚各自范围内的各业务体系信息点。业务接入层采取全千兆高机能互换机,全面保证接入才气,满足业务体系终端的高速接入需求;同时经由过程堆叠假造化为单一逻辑装备,简化办理。

  高密会聚层。在会聚层,按照南开年夜学讲授办公楼宇的地理漫衍,采取了高密度、高机能数据中间互换机,经由过程堆叠技术,在八里台校区构建出1个高密假造化组,在津南校区构建出7个高密假造组,别离会聚来自楼宇机房(网格)业务接入层的链路,并以二层体例转发业务体系的流量。

  核心收集层。核心收集层采取了两台多业务宁静网关作为承载网核心装备和各业务体系终端的三层网关,别离摆设于八里台校区与津南校区。在摆设上,采取SCF经由过程量路裸光纤把两台机框及板卡假造成一台逻辑装备,在不增加办理复杂度的根本上实现了高可靠性,包管了装备的冗余和高可用,并经由过程在核心上建设宁静域情势实现不合业务间的宁静隔离。

  收集团体“业务接入层-高密会聚层-核心收集层”的连接全数采取冗余链路互联,不合物理链路别离连接至不合的物理装备或板卡,形玉成方位冗余,任一高密装备或核心装备板卡产生硬件停机毛病的环境下,仍可包管团体收集的一般运行。

  2.基于宁静域和VLAN的业务承载和隔离

  在业务承载网的逻辑架构上,借助了防火墙宁静域之间缺省建设下相互隔离的特性,每个智能化业务体系分派一个宁静域,并按照业务体系的范围与实际需求,在同一个宁静域内再次经由过程VLAN的体例来隔离播送域,从而实现业务的承载和隔离,如图3所示。不合业务体系之间如有相互拜候的需求,则经由过程设置域间ACL的体例来实现细粒度的互访。

  3.基于场景的业务承载

  第一,三层承载场景。年夜多数智能化业务体系均需求经由过程三层进行承载,比如一卡通、门禁、仪器共享平台等,终端漫衍于黉舍各讲授办公楼宇。三层承载首要按照其终端的数量、地理漫衍和将来生长需求,为各业务体系各构建宁静域,并为宁静域别离分别一个或多个二层VLAN或三层接口。在需求相互拜候的业务体系之间,经由过程ACL来实现互访。

  第二,二层承载场景。经由过程二层承载的业务体系首要有合作银行在校内的对账结算和医保报销等体系。银行结算和医保报销是大众办事在高校内的延长,其收集自成体系,体系的接口或网关IP地点的建设和节制把握在银行和医保办理单位本身的技术部分,一般仅经由过程二层VLAN的体例进行承载和数据对接。

  第三,二层、三层异化承载场景。校园视频监控体系是2、三层异化承载的典范利用处景。视频监控体系在安防监控中间及时调剂各监控地区视频的同时,需求把监控视频质料不间断存储到永久物理介质以备检索。校园视频监控摄像头在校园中漫衍广、数量多,对带宽请求高,如果完整经由过程核心装备进行转发,会影响到核心装备的机能,进而影响到收集团体对其他业务的办事质量。在视频监控体系承载的计划设想上,采取了二层、三层异化的体例,视频的同一调剂及及时监控的摄像头数量较为无限,流量较小,且需求轮询调剂漫衍在校园各处的摄像头,采取三层进行转发。而对视频的存储,则以二层VLAN体例直接在高密会聚层(各组团会聚互换机假造组)把流量转发给存储阵列,避免存储流量上升到三层核心进行转发,降落核心装备负载。

  基于宁静域与VLAN技术构建公用的多业务畅通领悟承载网,在物理上分离了校园网公家部分(传统的数据网)与业务体系公用部分(一般称为办理网或装备网);经由过程同一个物理收集实现了资本整合,便于公道、充分地操纵收集装备和带宽,晋升拜候速率和办事质量;全冗余构建体例,包管了链路畅达和数据宁静性;并为各种业务体系供应适合其需求的场景化收集接入环境,在一个收集、一套体系实现了多种业务的有机畅通领悟承载,有效降落保护本钱,可以或许便利地新增体系或扩年夜范围;多业务畅通领悟的承载才气,将为高校讲授科研、糊口办公和校务办理供应全面的根本收集支撑和保证。

  (作者单位为南开年夜学信息化扶植与办理办公室)

  参考文献:

  [1]贺安荣.操纵假造化技术实现利用宁静隔离拜候[J].中邦交通信息化,2013,6:124-125

  [2]黄向农,赵琼,吴焕忠,罗必定.三层MPLSVPN搭建多业务校园网[J].中国教诲收集.2014,9:31-33

  [3]陈琳.基于MPLS的VPN技术在数字化校园中的应用与研究[D].焦作:河南理工年夜学,2009

  [4]徐奇.校园网的信息宁静部系与关头技术研究[D].上海:上海交通年夜学,2009

  [5]韩来权,汪晋宽,王兴伟.基于可编程路由技术的MPLS单标签分传播输算法[J].通信学报,2014,5:155-159

来源:中国教诲收集作者:张四海 林初建
顶一下
(0)
0%
踩一下
(0)
0%
------分开线----------------------------
标签(Tag):多业务畅通领悟承载网
------分开线----------------------------
颁发评论
请自发遵循互联网相关的政策法规,严禁公布色情、暴力、革命的谈吐。
评价:
神色:
考证码:点击我更换图片
猜你感兴趣