网络升级设计原则

　　新疆大学在进行IPv6校园网升级设计时，主要遵循了以下原则：

　　1.高性能：网络要求具有数据、图像、语音等多媒体实时通讯能力。主干网应提供可保证的服务质量和充足的带宽。

　　2.高可靠性：网络系统是日常业务和各种应用系统的基础设施，应保证工作日和重点时期不间断运行。

　　3.标准化：所有网络设备都应符合有关国际标准以保证不同厂家网络设备之间的互操作性和网络系统的开放性。

　　4.可扩充性和可扩展性：所有网络设备不但满足当前需要，并在扩充模块后，满足可预见将来的需求。

　　5.易管理性：网络设备应易于管理，易于维护，操作简单，易学，易用，便于进行网络配置，发现故障。

　　6.安全性：在技术上提供先进的、可靠的、全面的安全方案和应急措施，确保系统万无一失。同时符合国家关于网络安全标准和管理条例。

　　7.灵活性及可扩展性：根据未来校园网环境的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。

网络升级建设

　　结合新疆大学校园建设，整个校园网络主要分为校本部、南校区、北校区。在本次校园网升级建设中，主要包括了以下建设内容：

　　1． 设备升级。新疆大学原有的在网设备是多年前的北电设备，不支持IPv4/IPv6双栈。本次改造后采用的核心设备是H3C的S9508E，汇聚设备是H3C的7503E，支持双栈，可以满足新大师生对CERNET和CNGI-CERNET2资源的同时访问。

　　2．校园网架构的改造。新疆大学原有网络架构基本采用二层网络架构模式，网络扩展性不强，办公区的广播风暴，病毒/Dos攻击等会直接影响到核心交换机的性能，对整网的网络性能影响较大。通过此次升级全网网络架构改造为三层架构。

　　3．校园网骨干网带宽升级。伴随着信息化建设的深入，学校基本的教学教务管理、科研管理、后勤管理、数字图书馆、视频服务系统、办公自动化系统和校园社区服务等业务系统在内的校园信息系统建设要求核心交换能够提供无瓶颈的数据交换，主干万兆已成为校园网发展的趋势。新疆大学校园网原有网络骨干是千兆，本次改造将提升到万兆。

　　4．校园网可靠性的提升。校园网现网存在部分HUB设备，不支持生成树协议，一旦发生环路，将导致该区域处于瘫痪状态，本次改造要求把环路对网络的破坏性降到最低。

　　5．校园网安全防护的提升。目前的接入层设备由于采购时间较早，不支持ARP攻击防御，不支持ACL以及环路检测等安全特性。对ARP攻击、DHCP仿冒等不能有效防御。本次改造需要对新大校园网的安全进行合理规划，有效的防止各类安全事件。

　　6．无线用户接入。本次升级，在校园网新增无线网络设备，以扩大IPv6的接入范围和接入手段。

　　7．应用系统IPv6升级。校园信息资源和应用系统IPv6升级，包括基本网络服务系统和校园信息系统，在校园网范围内逐步实现IPv6访问优先。

　　升级后的新疆大学网络分为核心层、汇聚层、接入层。核心层主要承担高速数据交换的任务，同时要为各汇聚节点提供最佳传输通道。在部署IPv6核心层设备时，要特别注意在双栈环境中的设备转发性能是否能够达到线速转发。新疆大学校本部核心层部署两台S9508E， 实现万兆双链路捆绑，保证核心设备间的高性能转发及冗余，实现汇聚设备的双链路上行，提高骨干链路可靠性。南校区核心层部署一台S9508E,上行万兆连接到校本部核心交换机。北校区核心层部署一台S7510E,上行万兆连接到校本部核心交换机。

　　汇聚层的主要任务是把大量来自接入层的访问路径进行汇聚和集中，承担路由聚合和访问控制的任务。这就要求汇聚层设备必须具备良好的可扩展性，必须使用模块化、分布式转发的体系结构，可通过增加板卡提高端口密度，以便汇接更多的接入层设备，并能提供良好的性能保障。在IPv6部署时，特别需要支持IPv6路由，转发等基本功能，同时要考虑将来IPv6 VRRP用来提供对用户的网关冗余。新疆大学3个校区分别都有学生区、家属区、办公区，对于办公区和学生区，按照楼宇内用户规模分为重要楼宇和非重要楼宇，对于重要楼宇，每个楼宇内部署S5528C-EI作为其汇聚交换机。对于非重要楼宇，按照区域部署S7503E/S7510E作为非重要楼宇的汇聚接入。

　　接入层的主要任务是完成用户的接入，它直接和用户连接，可能遭受ARP风暴、MAC扫描、ICMP风暴、带宽攻击等等攻击方式，对安全性的要求很高，另一方面必须提供灵活的用户管理手段。在部署IPv6网络时，首先要考虑接入层交换机支持对双栈用户进行认证，IPv6 HOST，IPv6 ACL等功能，同时，在IPv6中，用户可能遭受ND攻击，接入层交换机也需要支持ND防攻击的相关功能。在此次升级中，接入层设备采用的是支持IPv6管理并具有安全特性的产品E126A。