以CNGI-IPv6升级为契机构建下一代校园网
来源: 教育部科技发展中心 发布时间: 2011-07-27 访问次数:
字体:

文/林强 陆海


CNGI建设前的校园网


  2002年,同济大学开始全面建设校园网。由于学校多校区办学,有4个分校区,最远的分校区离主校区有30多公里,受到建设资金和跨城区光缆敷设等条件的限制,要想尽早实现校园网在所有校区的全覆盖,需要在建设机制和体制上进行创新。我们选择了和运营商全面合作,同济大学是全国最早和运营商开展全方位合作建设校园网的高校之一。2002年1月,同济大学和中国电信签订合作协议,由中国电信出资,双方合作建设和管理校园网,并于当年5月完成了校园网的一期建设。


  一期建设覆盖所有校区,主要楼宇全部接入校园网,分教学区和宿舍区:教学区每个房间设置1~2个信息点,约130栋大楼总计9500个信息点;宿舍区的每个房间基本设置了2个信息点,共70栋楼,约9000个房间,约20000个信息点。校园网主干由5台华为8016组成,每幢大楼使用华为3526实现汇聚,由华为3026或2403接入用户。校区之间千兆互联,楼宇千兆接入,千兆电信公网出口,以及300M教科网出口,总用户数达2万左右。改造前的原校园网拓扑图如图1所示。


  为保障整个校园网及校园网核心应用的高效、安全、可靠和可控,完善校园网保障和服务体系,十一五期间,网络中心陆续完成了以下建设项目。


  校园网公网出口带宽管理系统:实现对校园网公网出口流量的实时监控和必要的流量管理,确保公网出口的有序、稳定和可控。


  服务器负载均衡系统:提高或改善邮件系统、域名系统、统一身份认证系统等学校若干核心网络应用的访问能力和稳定可靠性。


  VPN(虚拟专网接入)系统:利用校园网的公网出口,实现校园网合法用户(在校教师和学生)在校外通过公网对校园网专用资源(图书资源、FTP资源、核心应用系统等)的实名认证访问。


  近年来,随着学校建设的发展和信息化建设的需要,校园网覆盖了学校所有楼宇,校园网的电信出口带宽也从1G扩充到四平校区2G、嘉定校区2G;教科网带宽从300M扩充到500M;并拥有近50C的公网地址和160个C的教科网地址。


校园网面临的问题和挑战


  随着校园信息化建设的发展和信息化应用的普及,2002年建设的校园网基础设施,不论是性能、带宽、技术等都已越来越不能满足学校发展的需要,主要问题包括:


  1.设备陈旧(绝大部分生产于2001年),故障渐多,软件和硬件都无法支持IPv6及应用(如:组播);


  2.网络结构不合理,主干链路冗余能力弱,路由复杂且核心设备存在单点故障;


  3.校区间互联带宽有限,对多媒体视频应用的推广形成瓶颈;


  4.网络管理存在盲区,不利于快速发现、诊断和处理问题。


  这里还存在一个学校和运营商在网络建设、使用等方面理念上的差异,运营商由于要考虑投资回报,是否有商业价值,技术是否成熟可靠等,对于新技术的应用非常谨慎,甚至消极。但学校不同,校园网除了要向全体师生提供信息化应用服务之外,也是一个非常好的网络新技术、新应用的探索和实验网络,就像中国教科网(CERNET)的存在,除了向高校提供网络接入服务外,更是网络新技术、新应用研究、建设和推广的实验网。
因此,除了在管理上要和运营商进行磨合之外,我们也希望能够和运营商一起探索一套双方紧密合作,符合校园网特点的建设、运营和管理模式,走出一条双赢的道路。


CNGI项目与校园网升级改造工程


  由国家发改委组织实施的下一代互联网业务试商用及设备产业化专项“教育科研基础设施IPv6技术升级和应用示范”项目于2008年12月正式启动,项目建设内容包括:对100所学校的校园网实现下一代互联网技术升级改造,用户总数达到100万人以上;研究完善面向校园网的试商用网络支撑技术和公共服务功能,为下一代互联网运营提供业务运营和网络管理平台;实现10项现有教育科研资源和应用的技术升级改造,新开发和推广10项教育科研重大应用示范;逐步扩充连接国际下一代互联网的线路带宽,增强国际出入口网络管理能力。同济大学作为子项目《教育科研基础设施IPv6技术升级和应用示范项目同济大学校园网IPv6技术升级》的承担者,借助这一项目的推动,开展了对下一代校园网络技术的研究和探索,携手运营商,完成同济大学校园网向下一代校园网的升级改造。


  我们的升级改造工程分四个阶段完成:


  1) 新建校园网主干网,支持IPv4/IPv6双栈和组播,完善校园网主干的链路冗余体系,将部分链路纤冗余的校园网主干改造成缆全冗余结构;


  2) 改造教学区校区和重要楼宇的汇聚设备,升级教学区全网支持IPv4/IPv6双栈和组播;


  3) 宿舍区BRAS(宽带远程接入服务器)设备的改造,支持IPv4/IPv6双栈和组播;


  4) 高起点建设覆盖主要教学和公共区域的无线网。


  1. 校园网主干拓扑设计


  校园网主干是整个校园网稳定、可靠运行的基础,主干网必须要有很强的冗余能力,这个冗余包括了设备冗余、链路冗余、流量负载均衡等,同时支持冗余的协议要简单可靠,收敛快,配置简单方便。因此,我们选择新一代交换机虚拟技术(VSS-Virtual Switching System)构建支持IPv4/IPv6双栈、MPLS VPN、组播等特性的双万兆交换平台。


  同时凭借和运营商之间良好的合作关系,利用运营商城域网的光缆系统,各校区汇聚节点都通过缆冗余的方式链接主校区核心交换平台,以保障校园网校区之间物理链路的稳定可靠。核心交换节点的VSS(虚拟交换系统)技术可以在不配置冗余协议(如VRRP等)的情况下具备汇聚点设备和主干层设备在链路冗余、流量负载均衡等高可靠性、可用性特性。


  为了能够充分利用校园网电信高带宽出口资源和教科网免费地址列表的特性,同时能够根据出口带宽使用状况,动态控制两个出口的流量,我们在主干交换机和校园网边界路由器之间通过IS-IS动态路由协议,实现IPv4/IPv6路由的动态调控和管理。改造后的校园网拓扑图如图2所示。
整个校园主干网IPv6的技术升级工作比较复杂,由于牵涉的部门比较多,涉及电信、Cisco、华为、H3C以及上述厂商的集成商,超过5家厂商异种设备互联,涉及端口聚合协议、VSS协议、VRRP与OSPF协议透传等。在各方的通力配合下,克服各种技术、管理上的困难,顺利完成本次升级,为随后的升级积累了经验,也奠定了坚实的基础。


  2. 教学区汇聚节点的升级


  使用《教育科研基础设施IPv6技术升级和应用示范项目同济大学校园网IPv6技术升级》项目的国拨经费,对四平校区、南校区、嘉定校区、沪北校区和沪西校区汇聚节点、四平校区、嘉定校区图书馆等汇聚节点升级为H3C 7500系列高性能交换机,对桥梁馆等38幢大楼汇聚设备升级为H3C 5500系列智能交换机。受预算所限,未替换汇聚交换机的楼宇,其用户VLAN改为终结于校区汇聚节点,原楼内三层汇聚设备仅使用二层转发,保证了全部教学区楼宇IPv4/IPv6全覆盖。


  3. 宿舍区BRAS(宽带远程接入服务器)设备的改造


  在CNGI项目的推动下,经过学校与中国电信的充分协调和沟通,在宿舍区开展IPv4/IPv6双栈改造。根据宿舍区组网的特点,宿舍区的接入方式是全网PPPoE,使用QinQ技术将用户端口聚合后直接连接到B-RAS设备上,所有用户二层隔离。 由于宿舍区用户在逻辑上仅仅只和B-RAS设备有联系,因此在IPv6技术升级时仅需替换B-RAS设备。通过与电信协商,学生宿舍区选择了全面支持IPv4/IPv6双栈业务的华为新一代BRAS ME60 ,并通过配置在各校区的华为9300系列汇聚交换机接入宿舍区各楼宇的接入交换机,实现宿舍区网络全面升级支持IPv4/IPv6双栈。


  4. 基于802.11n无线网的建设


  随着学校信息化应用的不断深化,支持IPv4/IPv6双栈的校园无线网,作为校园有线网的重要补充,更在多媒体移动应用方面和今后的物联网、云计算环境方面成为不可缺少的重要网络基础平台,是下一代校园网的重要组成部分。


  同济大学校园无线网,是在原有的校园有线网的传输系统(主干、校区、楼宇光缆及汇聚设备)基础上架设的,将和有线校园网一起共同为全校师生提供更完善和方便的网络接入服务。总体建设目标是以现有有线校园网为依托,利用最新基于802.11n的无线网络技术,建设同济大学校园无线网,将校园网延伸到校内所有公共教学科研办公区域之中,实现这些区域与校园网及Internet的高速互联。


  本着高起点建设、一次规划、分布实施的原则,我们选择H3C的基于802.11n的无线网系统,一期建设600多个AP,主要完成在四平校区和嘉定校区的20幢教学科研大楼和两个图书馆的无线网建设。


  同时,基于中国电信网络在宿舍区建设无线网,为了方便学生使用,我们将电信认证体系引入校园网教学区,拥有宿舍区上网账号的学生可在宿舍区和教学区实现无线漫游,其具体认证过程如下:


  1) 用户通过标准的DHCP协议,通过教学区AC获取到规划的校园网学生专用无线用户IP地址;


  2) 用户打开浏览器,访问某个网站,发起HTTP请求;


  3) 教学区AC截获用户的HTTP请求,由于用户没有认证过,被强制指向宿舍区BRAS Portal(以下简称Portal);


  4) Portal向WLAN用户终端推送WEB认证页面;


  5) 用户在认证页面上填入上网帐号、密码等信息,提交到Portal;


  6) Portal接收到用户信息,向电信账务中心的Radius服务器(以下简称Radius服务器)发出用户信息查询请求;


  7) Radius服务器验证用户密码、查询用户信息后,向Portal返回查询结果;


  8) 如查询成功,Portal按照CHAP流程向教学区AC请求Challenge。如果查询失败,Portal直接返回提示信息给用户,流程结束;


  9) AC返回Challenge,包括Challenge ID和Challenge;


  10) Portal将密码和Challenge ID及Challenge做加密算法后生成的Challenge-Password,和帐号一起提交到AC,发起认证;


  11) AC将Challenge ID、Challenge、Challenge-Password和帐号一起送到Radius服务器进行认证;


  12) Radius服务器根据用户信息判断用户是否合法,如果成功,Radius服务器向AC返回认证成功报文,并携带协议参数,以及用户的相关业务属性给用户授权,如果失败,Radius向AC返回认证失败报文;


  13) AC返回认证结果给Portal;


  14) Portal服务器根据认证结果,推送认证结果页面,如果成功,推送定制的个性化页面,并将认证结果、套餐剩余时长、自服务选项填入页面,和门户网站一起推送给客户,同时启动正计时提醒,如果失败,页面提示用户失败原因;


  15) Portal回应AC收到认证结果报文。如果认证失败,则流程到此结束;


  16) 认证如果成功,AC发起计费开始请求给固网Radius服务器;


  17) Radius服务器回应计费开始响应报文,并将响应信息返回给AC,用户上线完毕,开始上网;


  18) 当AC收到下线请求时,向Radius服务器发计费结束报文。


  对于学生而言,教学区的校园无线网和宿舍区的运营商无线网实现无缝对接,避免由于网络架构、管理体制等问题而人为地隔离校园网,使校园网作为一个整体向学生提供服务。


IPv6网络的路由设计和地址管理


  同济大学校园网教学区IPv4网络采用静态路由+动态路由配置,所有用户地址通过校区汇聚节点静态指向各个楼宇。核心交换节点与校区汇聚节点之间通过IS-IS交换IPv4路由信息。教学区IPv6网络全网使用动态路由配置,全网使用IS-IS交换路由信息。目前设计采用单IS-IS instance同时进行IPv4与IPv6路由交换。由于IS-IS工作在链路层不容易被攻击,其LSP类型简单,复杂度低,收敛较OSPF快速且配置容易,非常适合同济大学校园网。


  1. IPv6地址规划


  同济大学CNGI-IPv6驻地网的全球单播地址段为2001:da8:8002::/48,目前向终端用户分配IPv6地址的方式为无状态地址自动分配。根据无状态地址自动分配协议的要求,需要为最终用户分配一个/64的前缀。为了使得核心层路由越少越好,先根据聚合原则按照地理位置划分地址:


  四平校区:2001:da8:8002:1000::/52
  嘉定校区:2001:da8:8002:2000::/52
  沪南校区:2001:da8:8002:3000::/52
  沪北校区:2001:da8:8002:4000::/52
  沪西校区:2001:da8:8002:5000::/52


  由于同济大学用户VLAN在各个校区唯一,因此根据各校区地址之下楼内汇聚交换机上的用户VLAN号继续划分地址,将VLAN号转换为16进制数字后填充进去(若转化后不足3位,则在前面添0补足),例如:


  A楼使用VLAN1469,1469的16进制表示为5BD,A楼位于四平校区,则该VLAN的IPv6地址段为2001:da8:8002:15bd::/64
通过参考RFC3627与draft-kohno-ipv6-prefixlen-p2p-01,我们最后决定使用/112长度的前缀作为设备互连地址前缀。考虑到校内的交换机等设备并不需要分配全球单播地址以及安全因素,我们根据RFC 4193选择FD00::/8的ULA用于同济大学校园网网络设备互连。所有教学区楼宇汇聚三层交换机与校区汇聚节点互联的地址段为FD00:FE:[校区地理位置标识+互联VLAN号的十六进制表示]::/112。


  校区地理位置标识规则为:四平校区为1,嘉定校区为2,沪南校区为3,沪北校区为4,沪西校区为5。在此段地址之下按照交换机上的汇聚互联VLAN号继续填充地址,将该VLAN号转换为16进制数字后填充进去(若转化后不足3位,则在前面添0补足)。例如A楼宇汇聚互联VLAN号为19,19的16进制表示为13,A楼位于四平校区,则该VLAN的IPv6互联地址段为FD00:FE:1013::/112。A的地址为FD00:FE:1013::2/112,四平校区汇聚节点地址为FD00:FE:1013::1/112。


  2. 用户IPv6地址分配方式


  1) 教学区地址分配


  目前IPv6地址的自动分配方式分为无状态和有状态两种。无状态地址分配通过接收RA来自动配置地址;有状态地址分配为DHCPv6方式。Windows仅在Vista以后支持DHCPv6,而XP仅仅支持无状态地址自动分配。从目前的实际情况考虑,采用无状态地址自动分配+无状态DHCPv6来为同济大学用户进行地址分配,通过无状态地址自动分配为用户分配IPv6地址,通过无状态DHCPv6为用户分配DNS。XP用户可以通过下载第三方DHCP客户端如dibbler来实现DHCPv6支持。


  H3C 7500E交换机配置无状态地址自动分配与无状态DHCPv6举例:


interface Vlan-interface1
 ipv6 address 2001:DA8:8002:wxyz::/64 eui-64
 undo ipv6 nd ra halt
 ipv6 nd autoconfig other-flag
  ipv6 dhcp relay server-address 2001:DA8:8002:wxyz::1
其中2001:DA8:8002:wxyz::1为一台支持DHCPv6 relay的服务器。


  2) 宿舍区地址分配


  由于目前通过PPPOE方式分配IPv6地址还无法实现,而学生上网仍必须使用PPPoE认证模式,因此在ME60接口下启用PPPoE与IPv6无状态地址自动分配同时工作的方式。用户在连入网络但未进行PPPoE拨号时通过IPv6无状态地址自动分配协议与无状态DHCPv6获得IPv6正式地址与IPv6 DNS访问支持IPv6的网站和应用服务,在需要使用IPv4时通过PPPoE方式拨号。这样既保留了原有上网认证模式又实现了IPv6学生宿舍区全覆盖。


  3. IPv6组播实现


  1) 教学区IPv6组播实现


  教学区IPv6组播的rp设置在各个楼宇汇聚/校区汇聚交换机上,通过3层向下分发组播流。由于教学区全网实现了二层端口隔离(s-vlan+p-vlan),通过配置适当的ACL,自然实现了组播流只能从upstream方向(楼宇/校区汇聚向接入交换机)向下传递,而无法由用户侧发起,保证了组播的可控性。


  2) 宿舍区IPv6组播实现


  目前同济大学宿舍区正在进行全网PON FTTH改造。在OLT侧引入专用IPv6组播设备,在运行初期由专用IPv6组播设备进行数据流复制,待OLT IPv6组播支持后实现OLT/ONU进行二层组播复制,减小专用IPv6组播设备压力。


今后的任务和挑战


  随着CNGI-IPv6同济大学校园网升级项目的完成,同济大学校园网已经具备了下一代校园网的雏形,从图3可以看出同济大学下一代校园网基本架构。


  我们认为,随着全球互联网IPv4地址的耗尽,以及物联网、云计算环境等应用的开展,下一代互联网IPv6技术及应用的研究,必将迎来更大的发展机遇。而校园网更是开展IPv6前瞻性应用研究、推广普及类应用、培育IPv6用户群最理想的环境,同时IPv6网络的安全、管理等问题,也是我们从事校园网管理工作人员今后长期需要面对的课题之一。


  (作者单位为同济大学网络中心)

相关信息
没有相关信息