《基于qinq技术的高校校园网研究》由会员分享,可在线阅读,更多相关《基于qinq技术的高校校园网研究(6页珍藏版)》请在金锄头文库上搜索。
1、1基于 QinQ 技术的高校校园网研究陈卫民 湖南城市学院网络信息中心, 湖南益阳, 413000摘摘要要:近几年来,高校校园网规模的不断扩大,以及网络业务的不断拓展,给校园网的管理和安全带来了一系列新问题,针对此现象,本文提出基于 QinQ 技术的校园网建设思路,通过 VLAN 空间的拓展和对业务数据的分流,达到改善校园网的目的。关关键键词词:校园网、QinQ 技术、VLANResearch of University Campus Network based on QinQ technologyChen Weimin Network Information Center, Hunan Ci
2、ty University, Yiyang, Hunan, 413000AbstractAbstract: In recent years, The campus continues to expand the size of the network, and network business continues to expand, to the campus network management and security of a series of new questions, for this phenomenon, this paper QinQ technology campus
3、network based on the thinking of building, through the VLAN space Expansion and diversion of business data to achieve the purpose of improving the campus network.Keywords: Campus network, QinQ technology, VLAN.0 引言随着信息与计算机技术的迅速发展和中国教育信息化的不断推进,高校信息化的程度越来越高。校园网作为高校信息化的基础设施,不仅推动了教育思想和教学手段的改革,而且通过先进的计算机
4、技术和网络技术,构建了一个全方位的数字空间,为大学校园提供了丰富的信息载体,实现了校园内信息资源的数字化和共享。然而,由于近几年来跨越式的发展,高校校园网规模不断扩大,上网人数急剧增加,致使VLAN数目捉襟见肘,IP冲突、ARP病毒、广播风暴泛滥,给校园网安全带来严重威胁。同时,各种网络业务的开展,如数字安防监控、数字广播、IPTV、P2P等,如何识别这些业务并适当分流,达到提升校园网性能,已成为急需解决的问题。1 QinQ 技术1.1 QinQ 简介QinQ 最初主要是为拓展 VLAN 的数量空间而产生的,它是在原有的 802.1Q 报文的基础上又增加一层 802.1Q 标签实现,使 VLA
5、N 数量增加到 4K*4K,随着城域网的发展以及运营商精细化运作的要求,QinQ 的双层标签又有了进一步的使用场景,它的内外层标签可2以代表不同的信息,如内层标签代表用户,外层标签代表业务,这样可以有效地实现用户精确定位和业务分流。另外,QinQ 报文带着两层 TAG 穿越运营商网络,内层 TAG 透明传送,也是一种简单、实用的 VPN 技术1-2。1.2 QinQ 报文格式在 802.1Q 的标签之上再打一层 802.1Q 标签构成 QinQ 格式。图 1 对普通 802.1Q 和QinQ 帧格式进行了比较。从中可以看出,QinQ 帧格式比 802.1Q 帧格式多了一层 802.1Q标记,这
6、个标记长度为 4 个字节,包含了两个字节的标签协议标识(ETPID) ,和两个字节的标签控制信息。ETPID 是 IEEE 定义的以太网编码标记,用于标记该帧的类型,目前 IEEE 规定802.1Q 帧的值为 0x8100。Priority 占 3 比特位,用于指明帧的优先级,可以表示 8 种优先级,主要用于当交换机阻塞时优先发送哪个数据包。CFI 占 1 比特位,主要用于总线型的以太网与 FDDI、令牌环网交换数据时的帧格式。VLAN ID 占 12 比特位,指明 VLAN 的ID,一共可以表示 4096 个。图 1 802.1Q 与 QinQ 帧格式1.3 QinQ 封装和终结QinQ 封
7、装是指如何把单层 802.1Q 报文转换为双层 QinQ 报文。根据不同的封装依据,QinQ 可以分为几种不同类型,包括基于端口的 QinQ 和基于流的 QinQ 两大类,另外,还可以在路由子接口上进行特殊 QinQ 封装。QinQ 终结主要是指对 QinQ 报文的双层 TAG 进行识别,然后根据后续的转发行为对双层 TAG 进行剥离或继续传送。在核心网边缘,QinQ 终结一般在路由子接口上执行,即QinQ Termination 子接口。QinQ 终结子接口和普通的 VLAN 子接口类似,普通 VLAN 子接口对单层 VLAN 进行识别和终结,QinQ 终结子接口对双层 VLAN 进行识别和
8、终结,QinQ 终结子接口根据用户 VLAN ID 的终结情况通常分为两种:明确的 QinQ 终结子接口和模糊的 QinQ 终结子接口。2 QinQ 技术的应用2.1 校园网络环境目前,湖南城市学院校园网拓扑结构如图 1 所示,校园网采用“三层”结构,即核心层3S8512、汇聚层 S6506R、接入层 S3100 系列;网络出口由路由器 SR6602、防火墙 SG-6000-G3510 承担;采用 H3C CAMS 综合访问管理服务器提供 802.1X 认证;采用 DHCP 服务器自动分配 IP 地址给用户。图 2 湖南城市学院校园网拓扑结构2.2 QinQ 部署2.2.1 VLAN ID 划
9、分如表 1 所示,对不同用户或业务使用不同的 VLAN ID,然后根据 VLAN ID 范围,对不同用户或业务打上相应的外层标签进行分流。表 1 湖南城市学院 VLAN ID 和外层标签划分表用户或业务名称VLAN ID外层标签交换机管理2-10学生11-5002000教师501-7002100办公701-9002200其它2.2.2 添加 BRAS 设备BRAS(Broadband Remote Access Server,宽带远程接入服务器)是用来完成各种宽带接入方式的宽带网络用户的接入、认证、计费、控制、管理的网络设备,是宽带网络可运营、可管理的基石。我们采用华为公司的MA5200G。位
10、于核心层 S8512 和路由器 SR6602 之间。2.2.3 相关设备配置相关设备的具体配置,参考了相关资料3-7,并结合实际情况进行的。41. 接入层交换机vlan 11 to 500 /* 全局配置 VLANinterface ethernet 1/0/1 /* 用户接入端口配置port access vlan 11interfacer ethernet 1/0/2port access vlan 12interfacer ethernet 1/0/3port access vlan 13interface gigabitethernet 1/1/1 /* 与汇聚层连接端口配置descr
11、iption to-S6506R-1/0/1port link-type trunkport trunk permit vlan all2 汇聚层交换机配置interface gigabitethernet 1/0/1 /* 连接接入层交换机端口配置description to-xuesheng-1dong-1/1/1port link-type hybridport hybrid vlan 2 tagged port hybrid vlan 2000 2200 untaggedundo port hybrid vlan 1vlan-vpn vid 2000raw-vlan-id inboun
12、d 11 to 500vlan-vpn vid 2200raw-vlan-id inbound 701 to 900vlan-vpn enableinterface gigabitethernet 1/0/48 /* 连接核心层 S8512 端口配置description to-S8512-1/0/1port link-type trunkport trunk permit vlan 2 2000 2100 2200 3 核心层交换机配置interface gigabitethernet 1/0/1 /* 连接汇聚层 S6506R 端口配置description to-S6506R-1/0/4
13、8vlan-vpn able5port link-type hybridport hybrid permit vlan 2 taggedport hybrid permit vlan 2000 2100 2200 untaggedinterface gigabitethernet 1/0/12 /* 连接 BRAS 端口配置description to-MA5200-1/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 2 2000 2100 22004 MA5200G 配置interface gi
14、gabitethernet 1/1 /* 连接 S8512 端口配置description to S8512-1/0/12interface gigabitethernet 1/1.2000 description to S8512-1/0/12user-vlan 11 500 qinq-vlan 2000basaccess-type layer2-subscriberauthentication-method dot1x interface gigabitethernet 1/1.2100 description to S8512-1/0/12user-vlan 501 700 qinq-v
15、lan 2100basaccess-type layer2-subscriberauthentication-method dot1x interface gigabitethernet 1/1.2200 description to S8512-1/0/12user-vlan 701 900 qinq-vlan 2200basaccess-type layer2-subscriberauthentication-method dot1xinterface gigabitethernet 1/3 /* 连接路由器端口配置description to SR6602ip address 192.1
16、68.7.1 255.255.255.03 QinQ 部署效果采用 QinQ 之后,采用流量分析工具分析,广播流量明显减小,成功抑制了广播风暴,6提升了网络安全。同时,通过 sneefer 软件来接收和发送数据包,可以看到:不同用户或业务,成功地插入了不同的外层标签,实现了用户、业务之间的分流。4 结束语本文分析了目前高校因规模扩大、业务增多而存在的问题,以湖南城市学院校院网为例,给出了基于 QinQ 的校园网建设方案,希望会有助于我国高校校园网的建设,进而为我国迅速发展的高等教育事业出一份力。参考文献参考文献:1华为技术有限公司,QinQ 技术白皮书,2007.2IEEE,Std 802.1ad,2006 Edition,IEEE Standards for Local and Metropolitan Are
