1、,校园网概述,河南理工大学 现代教育技术中心网络工程部,校园网属于典型的园区网,涉及到多种网络技术,以太网、IP、PPPoE、POS,双绞线、光缆、电磁波 校园网内包含多个局域网,具有局域网的所有特点 通常具有主干传输网,多个区域间互联互通 具有和大型网络相似的出口结构,如防火墙、NAT、BGP路由 和电信运营商类似的网络管理方式,校园网特点,校园网结构,校园网的层次,出口设备:负责校园网与外部网络的连接和互通。通常为防火墙、路由器等 核心交换层:连接区域交换机,负责主干数据的传输和路由,具有较高的ip层数据转发能力,使用的设备为高端交换机或路由器 区域交换层:负责连接区域内交换机,做区域内数
2、据交换,具有局域网间的数据交换能力和广播控制能力,通常为三层交换机 楼内交换层:负责连接计算机,做局域网内数据交换,通常具有终端的接入控制能力,校园网层次,数据链路层数据转发基于MAC地址,数据报简单,效率高,对设备性能要求低 基于IP数据包的路由对设备性能要求较高 局域网内数据交换减少,对网外数据交换增多 减少底层的路由功能设备,更多的使用交换设备,使网络更加扁平化 注意广播的控制,扁平化网络结构,我校校园网始建于1996年 历经多次调整与改造 河南教育科研网焦作主节点 2010年教育网升级改造 为学校整体信息化建设提供坚实的基础 校园网有9台核心交换机,分为8个区域汇聚,分别万兆上联双核心
3、。取消了大部分性能低的三层设备 新校区光纤连接的楼100多栋。 在用交换机近700台,用开源软件做监控。,发展历程,万兆骨干双核心 有线无线全覆盖 IPv4/v6相融合 安全智能到边缘,网络现状,校园网主干由双核心分别通过万兆链路连接各汇聚 无线控制器通过万兆链路连接核心 内部路由协议为多区域OSPF OSPF v2 for IPv4 OSPF v3 for IPv6 全部链路都运行双协议栈 基于LDAP的用户身份认证实现网络准入控制,网络现状,2019/11/30,现有设备情况,教育网40G光传输设备一套 教育网NP80E路由器一台 校园网核心交换机9台 其他各类型交换机700台 无线控制器
4、2台 无线AP 360台 万兆防火墙一台 服务器,内网全部三层设备连接详图,拓扑结构,在用的教育网地址49152个,直接分配到用户。 有线网使用静态地址分配方式,先登记后使用。 无线网使用自动分配。 学生区分配96C,无线网16C,其余为办公区和家属区。 登记注册的网络用户近2万多人,最高在线接近1万(不包括无线网) 校园网承载的特别应用:一卡通、财务VPN,三个出口各500M带宽 从核心上联的高速防火墙负责路由策略 按照NIC的WHOIS数据静态路由至三个出口 内部服务器策略路由至教育网出口 自动跟踪出口状态调整静态路由指向 流控设备限制每IP浏览和下载可用带宽,出口状态,出口状态,设备监控
5、使用基于SNMP的监控 路由管理 出口带宽流量控制,网络管理,2010年网络改造后取消了原有认证系统,只有少数学生宿舍使用802.1x认证上网 目前采用先登记后上网的方式,自制程序自动绑定个人信息,可自助更改。 在汇聚层交换机使用IP地址和MAC地址绑定的方式做上网验证,一方面减轻arp广播的影响,另一方面做用户身份确证。 绑定方式不受二层交换机的影响,实现方便。,管理,全网执行用户准入控制 用户账户统一使用LDAP存放管理 学生公寓有线访问使用802.1x 其他区域和无线访问使用Web-Portal 绑定用户账号、IP地址和MAC地址 实名制准入登录结合事后审计确保有据可查,准入管理,所有无
6、线访问点通过控制器统一管理,无线接入,2010年、2011年分两批建设了校园无线网,现有无线控制器2台,无线AP 339个。 覆盖所有办公楼、教学楼、室外广场。 学生宿舍区与中国移动合作,移动建设无线网,免费提供一个SSID给校园网使用,认证由学校统一管理。 支持802.11a/b/g/n,使用Web Portal方式认证 无线网无需登记,使用上网帐号登录即可 只保留syslog认证记录,无线网建设,无线接入,2004年使用隧道方式接入教育网,2010年通过升级后的省教育网接入CERNET2。 全校使用双栈方式接入,主干使用OSPFv3,用户使用无状态地址分配。,IPv6,主要是使用HTTP代理的方式做内容缓存加速。 在防火墙或者核心交换机上使用策略路由,把HTTP数据转到代理服务器,实现对终端用户的透明化。 使用开源软件SQUID和Apache Traffic Server 对视频网站需要使用插件对缓存URL做特殊处理,网络加速,我们使用了两台服务器,16G内存,共10T磁盘存储空间 一台作为前台任务分配器,兼做缓存,另一台只做缓存。 用户反应较好 下一步准备使用 端口镜像的旁路 方式,
