网络升级设计原则
新疆大学在进行IPv6校园网升级设计时,主要遵循了以下原则:
1.高性能:网络要求具有数据、图像、语音等多媒体实时通讯能力。主干网应提供可保证的服务质量和充足的带宽。
2.高可靠性:网络系统是日常业务和各种应用系统的基础设施,应保证工作日和重点时期不间断运行。
3.标准化:所有网络设备都应符合有关国际标准以保证不同厂家网络设备之间的互操作性和网络系统的开放性。
4.可扩充性和可扩展性:所有网络设备不但满足当前需要,并在扩充模块后,满足可预见将来的需求。
5.易管理性:网络设备应易于管理,易于维护,操作简单,易学,易用,便于进行网络配置,发现故障。
6.安全性:在技术上提供先进的、可靠的、全面的安全方案和应急措施,确保系统万无一失。同时符合国家关于网络安全标准和管理条例。
7.灵活性及可扩展性:根据未来校园网环境的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和现有设备的调整。
网络升级建设
结合新疆大学校园建设,整个校园网络主要分为校本部、南校区、北校区。在本次校园网升级建设中,主要包括了以下建设内容:
1. 设备升级。新疆大学原有的在网设备是多年前的北电设备,不支持IPv4/IPv6双栈。本次改造后采用的核心设备是H3C的S9508E,汇聚设备是H3C的7503E,支持双栈,可以满足新大师生对CERNET和CNGI-CERNET2资源的同时访问。
2.校园网架构的改造。新疆大学原有网络架构基本采用二层网络架构模式,网络扩展性不强,办公区的广播风暴,病毒/Dos攻击等会直接影响到核心交换机的性能,对整网的网络性能影响较大。通过此次升级全网网络架构改造为三层架构。
3.校园网骨干网带宽升级。伴随着信息化建设的深入,学校基本的教学教务管理、科研管理、后勤管理、数字图书馆、视频服务系统、办公自动化系统和校园社区服务等业务系统在内的校园信息系统建设要求核心交换能够提供无瓶颈的数据交换,主干万兆已成为校园网发展的趋势。新疆大学校园网原有网络骨干是千兆,本次改造将提升到万兆。
4.校园网可靠性的提升。校园网现网存在部分HUB设备,不支持生成树协议,一旦发生环路,将导致该区域处于瘫痪状态,本次改造要求把环路对网络的破坏性降到最低。
5.校园网安全防护的提升。目前的接入层设备由于采购时间较早,不支持ARP攻击防御,不支持ACL以及环路检测等安全特性。对ARP攻击、DHCP仿冒等不能有效防御。本次改造需要对新大校园网的安全进行合理规划,有效的防止各类安全事件。
6.无线用户接入。本次升级,在校园网新增无线网络设备,以扩大IPv6的接入范围和接入手段。
7.应用系统IPv6升级。校园信息资源和应用系统IPv6升级,包括基本网络服务系统和校园信息系统,在校园网范围内逐步实现IPv6访问优先。
升级后的新疆大学网络分为核心层、汇聚层、接入层。核心层主要承担高速数据交换的任务,同时要为各汇聚节点提供最佳传输通道。在部署IPv6核心层设备时,要特别注意在双栈环境中的设备转发性能是否能够达到线速转发。新疆大学校本部核心层部署两台S9508E, 实现万兆双链路捆绑,保证核心设备间的高性能转发及冗余,实现汇聚设备的双链路上行,提高骨干链路可靠性。南校区核心层部署一台S9508E,上行万兆连接到校本部核心交换机。北校区核心层部署一台S7510E,上行万兆连接到校本部核心交换机。
汇聚层的主要任务是把大量来自接入层的访问路径进行汇聚和集中,承担路由聚合和访问控制的任务。这就要求汇聚层设备必须具备良好的可扩展性,必须使用模块化、分布式转发的体系结构,可通过增加板卡提高端口密度,以便汇接更多的接入层设备,并能提供良好的性能保障。在IPv6部署时,特别需要支持IPv6路由,转发等基本功能,同时要考虑将来IPv6 VRRP用来提供对用户的网关冗余。新疆大学3个校区分别都有学生区、家属区、办公区,对于办公区和学生区,按照楼宇内用户规模分为重要楼宇和非重要楼宇,对于重要楼宇,每个楼宇内部署S5528C-EI作为其汇聚交换机。对于非重要楼宇,按照区域部署S7503E/S7510E作为非重要楼宇的汇聚接入。
接入层的主要任务是完成用户的接入,它直接和用户连接,可能遭受ARP风暴、MAC扫描、ICMP风暴、带宽攻击等等攻击方式,对安全性的要求很高,另一方面必须提供灵活的用户管理手段。在部署IPv6网络时,首先要考虑接入层交换机支持对双栈用户进行认证,IPv6 HOST,IPv6 ACL等功能,同时,在IPv6中,用户可能遭受ND攻击,接入层交换机也需要支持ND防攻击的相关功能。在此次升级中,接入层设备采用的是支持IPv6管理并具有安全特性的产品E126A。
关键技术应用
目前由IPv4网络向IPv6网络发展的技术演进有多种选择,例如隧道技术、双栈技术、NATPT技术。经过比较,新疆大学校园网升级采用了双栈技术进行建设,采用同时支持IPv6/IPv4的网络设备进行组网建设,使得校园网平台同时支持两种业务流的承载和互通。
新疆大学IPv6校园网
NATPT技术主要实现IPv4/IPv6协议的转换,用于IPv4终端访问IPv6资源或是IPv6终端访问IPv4资源。在新疆大学的部分区域目前无法覆盖IPv6, 对于这些区域的用户可以通过NATPT技术,使其能访问IPv6下的资源。
IRF2是智能弹性架构,当两台核心交换机利用IRF2技术被成功虚拟成一台设备后,在端口容量扩大一倍的同时,实现了通过一个管理界面进行统一管理,同时,对整个网络的架构产生了极大的简化,原本需要通过MSTP或者路由等技术隔离的环网变成点到点的链接,相应的网络故障收敛时间也由原来的秒级降低为毫秒级。通过对校本部两台核心交换机S9500E配置了IRF2,使校园骨干网的可靠性得到提升,保障了业务的连续性。
校园网用户在自行连接线路时,很可能产生网络环路,这些都会引发广播风暴,使网络不能正常应用。因此,就必须要求有效监测手段能够快速地发现环路,通知网管对其采取措施。端口环回检测则可以用于发现交换机任一个端口下的环路,有效并及时地解决用户环路故障。需要注意的是,和stp不同,loopback-detection主要用于发现交换机一个端口下的环路,比如下接hub或者自环的情况, 而stp主要用于避免不同端口之间相连形成的环路。
在校园网中,ARP攻击是目前最为常见的一种攻击手段。攻击者可以发送伪造ARP 报文进行欺骗,导致网络中的其他主机(包括网关)维护的IP-MAC地址转换映射表被恶意篡改,由于所有的网络通信最终都需要使用IP-MAC地址转换映射表,因此ARP 欺骗可以造成内部网络的混乱,让被欺骗的计算机无法正常访问内外网,让网关无法和客户端正常通信。
新疆大学在此次网络升级中采用的ARP攻击防御手段是:在接入交换机上实现ARP入侵检测,即对ARP报文进行内容有效性检查,对于没有通过检查的报文进行丢弃处理。在网络核心交换机上部署ARP欺骗防御策略,避免网关设备的ARP表被污染。这种方法依靠接入交换机的ARP入侵检测功能和核心交换机的ARP欺骗防御策略来全面防御ARP欺骗攻击,防御效果较好。
新疆大学将充分利用CNGI-CERNET2已取得的重大成果,建立安全、可控、可管和可运营的下一代校园网试商用环境,将IPv6技术的应用在校园网中进一步推广,扩大IPv6用户群和应用的范围,推动IPv6试商用的快速发展。同时新疆大学将充分发挥CERNET新疆主节点的作用,为新疆院校提供IPv6接入的硬件设施以及技术指导,带动新疆院校IPv6技术的应用,为我国下一代互联网向深度和广度发展作出贡献。
(作者单位为新疆大学网络中心)
文章来源:《中国教育网络》杂志2010年8月刊
原创文章,作者:中国IPv6网,如若转载,请注明出处:https://www.ipv6s.com/basis/application/20100811475.html