| 出版日期:2002-12-23 总期号:1179 本年期号:96 |
|
 |
最大化利用资源
用Enterasys网络产品构建上海教育城域网 陈 义 上海市教育城域网络要为整个上海中小学提供一个先进、开放、实用的网络。该网络必须承担整个上海市教育单位的内部数据通信,为Internet、CERNET提供连接通道。在该方案中,Enterasys公司的X-Pedition系列交换式路由器以及Matrix多层交换机在满足高带宽、QoS等基本要求的情况下,还提供电视会议、远程教育等组播应用。 该项目依托本市电信现有的IP城域网,设立了1个中心节点,通过100M链路连接上海电信IP网。19个分中心节点,通过10M链路连接上海电信IP网。各中心、分中心分别下连相应的学校。同时,在教育城域网中心设置唯一Internet出口,分别连接教育网CERNET和电信163网络,其它分中心及学校不具有Internet出口。 市中心由Enterasys公司X-Pedition系列ER16/SSR 8600构成,其主要任务是为整个网络提供交换、路由骨干,完成各个汇聚层数据流的中央汇聚及分流。同时,网络中心还负担与CERNET、公共网络的连接。在网络中心还为各种教育数据库服务器及DNS服务器、Email服务器、Web服务器等提供高速连接。 各个区中心及DMZ则选择SSR8000第四层交换式路由器作为中心设备。 支持多点组播 由于电信骨干网基于MPLS-VPN结构,路由功能完全由电信骨干虚拟路由器完成。因此,多点组播的支持需要骨干网络的配合。 Enterasys第四层交换路由器SSR提供DVMRP-tunnel方式,对多点组播进行支持。DVMR-tunnel的目的是为了在不支持组播协议的IP网络上来提供组播支持的功能。 
上海市教育城域网总体结构拓扑图 由于电信宽带骨干网采用MPLS-VPN技术,目前还不支持组播业务,因此,此MPLS-VPN骨干网可视作为由多个虚拟路由器组成的、但不支持组播功能的IP网络。在SSR中配置DVMRP隧道后,组播数据即可通过SSR、MPLS-VPN骨干网在服务器及用户计算机之间传输。 统一资源调配 随着Internet指数级的增长,IP地址的短缺已日渐明显,使用NAT可以解决这个问题,SSR的NAT能力是一个线速的,利用硬件实现的功能,Enterasys的SSR 8600均支持硬件NAT。通过NAT,接入单位可以有它们自已的内部IP地址,这既减少了学校的费用,也为学校内部规划IP的自由。Enterasys支持动态NAT和静态NAT两种方式。NAT使中心可以为地市提供更灵活的地址分配,减少了每个单位占用的IP地址数和网络中的路由表的大小。 另外,该方案保证了数据出入口的一致性,即某请求数据包从某一网关入口进入教育网后,响应数据仍从该网关接口输出,这样可以保证资源利用的有效性。 SSR可同时支持4 条默认路由,并且可以通过轮转法实现多个默认路由之间的负荷均衡,当启用基于主机流的交换方式时,可以有效地实现上述数据出入口一致性的要求。 立体防护网络安全 X-Pedition、Matrix系列可以划分4096个VLAN并通过数据包头中的数据链路层(MAC)、网络层(IP、IPX)和传输层(TCP、UDP、RTP、Sock)的信息进行访问控制,可以充分的保证各个VLAN之间的安全性,而且可以防止不必要和不符合访问策略的网络访问。 ER16、SSR 8600/8000提供了2/3/4层的访问控制列表,其ACL表项可达20,000条记录,完全满足整个网络的需求,这种ACL功能启用后,不会对整个网络的交换路由能力有任何影响。从IP包过滤技术来看,可以完全替代防火墙的功能。 ER16、SSR8600/8000具有端口-MAC地址捆绑功能,可以对网络设备的非法使用。基于ARP协议的IP地址-MAC地址捆绑功能,可以有效地防止IP地址的盗用,保护合法用户的权利。 此外,ER16、SSR 8600/8000内置的DDOS防护策略。DOS攻击是目前IP网络黑客攻击最常用的手段,DDOS防护功能启用后,SSR可以以线速对到达的数据包进行智能检测,发现可能的攻击隐患并进行有效的抵制。 |
||||||||||||||||||||||||||||
