校園網(wǎng)是為學(xué)校師生提供教學(xué),、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)服務(wù)平臺。隨著信息技術(shù)的快速發(fā)展,,當(dāng)今的校園網(wǎng)功能已經(jīng)不再局限于只向師生提供網(wǎng)絡(luò)接入服務(wù),,許多弱電工程項目也融入到校園網(wǎng)建設(shè)當(dāng)中。南京信息職業(yè)技術(shù)學(xué)院校園信息化建設(shè)主要包括:
1,、校園樓宇房間內(nèi)部提供電話和計算機網(wǎng)絡(luò)接入業(yè)務(wù),,會議室與賓館區(qū)域增加電視業(yè)務(wù)。
2,、公共場所覆蓋校園無線網(wǎng),。
3、視頻監(jiān)控校園全覆蓋,。
基于EPON技術(shù)的校園網(wǎng)建設(shè)與改造方案,,通過PPPOE協(xié)議對上網(wǎng)用戶進行認證與計費,該方案不僅解決了校園信息資源共享中的安全問題,,而且通過與中國電信合作共建的方式,,實現(xiàn)電話、計算機網(wǎng)絡(luò)與電視業(yè)務(wù)的融合,。
方案設(shè)計
1,、樓宇內(nèi)部采用綜合化布線方案。
在綜合布線系統(tǒng)中,,信息插座和管理子系統(tǒng)(即中間配線架)之間的連接實現(xiàn)是水平子系統(tǒng)的功能,,水平干線的設(shè)計包括水平子系統(tǒng)的傳輸介質(zhì)與部件集成。選擇水平子系統(tǒng)的線纜,,要根據(jù)建筑物內(nèi)具體信息點的類型,、容量、帶寬和傳輸速率來確定,。從系統(tǒng)的兼容性和信息點的靈活互換性角度出發(fā),,水平子系統(tǒng)考慮采用同一種布線材料。超五類雙絞線用于語音傳輸和最高傳輸速率為1000Mbps的數(shù)據(jù)傳輸,,因為電話和網(wǎng)絡(luò)接口都執(zhí)行RJ標準(RegisteredJack:注冊插孔,,是美國電子工業(yè)協(xié)會和電信工業(yè)協(xié)會確立的一種以太網(wǎng)連接器的接口標準),,設(shè)計語音(電話)信息點與數(shù)據(jù)信息點均采用非屏蔽超五類雙絞線,從而方便樓宇內(nèi)部語音與數(shù)據(jù)端口功能的靈活切換,。
2,、與中國電信合作共同建設(shè),校園網(wǎng)寬帶接入采用EPON鏈路與PPPOE認證相結(jié)合,。
傳統(tǒng)交換式局域網(wǎng)采用三層模型架構(gòu),。在校園網(wǎng)改造過程中,利用原有校園網(wǎng)構(gòu)建校園業(yè)務(wù)網(wǎng),,主要提供認證計費服務(wù)數(shù)據(jù)庫,、服務(wù)器與存儲、聯(lián)網(wǎng)打印機資源和校園IP視頻監(jiān)控資源等,。
EPON(以太網(wǎng)無源光網(wǎng)絡(luò))是一種新型的光纖接入網(wǎng)技術(shù),,其典型的拓撲結(jié)構(gòu)為樹型,它采用點到多點結(jié)構(gòu),、無源光纖傳輸,,在以太網(wǎng)之上提供多種業(yè)務(wù)。在物理層采用了PON(無源光網(wǎng)絡(luò))技術(shù),,在數(shù)據(jù)鏈路層使用以太網(wǎng)協(xié)議,,利用PON的拓撲結(jié)構(gòu)實現(xiàn)了以太網(wǎng)的接入。因此,,它綜合了PON技術(shù)和以太網(wǎng)技術(shù)的優(yōu)點:低成本,、高帶寬、擴展性強,、靈活快速的服務(wù)重組,、與現(xiàn)有以太網(wǎng)的兼容性和方便的管理等特性,是目前以太網(wǎng)最佳的組網(wǎng)方式,。
圖1 EPON鏈路與PPPOE認證拓撲結(jié)構(gòu)
圖1是設(shè)計的校園網(wǎng)新的拓撲結(jié)構(gòu)圖,,其中,EPON鏈路主要由OLT(光線路終端),、POS(無源分光器)和ONU(光網(wǎng)絡(luò)單元)和組成,。
OLT放在中心機房,是EPON整個鏈路的控制中心,,OLT一方面承載各種業(yè)務(wù)的信號在局端進行匯聚,,按照一定的信號格式送入接入網(wǎng),以便向終端用戶傳輸,,另一方面將來自終端用戶的信號按業(yè)務(wù)類型分別送入各種業(yè)務(wù)網(wǎng)中,。POS(無源光纖分支器),是一個連接OLT和ONU的無源設(shè)備,它的功能是分發(fā)下行數(shù)據(jù)和集中上行數(shù)據(jù),。
POS的部署相當(dāng)靈活,,由于是無源操作,幾乎可以適應(yīng)于所有環(huán)境,,一般一個POS的分線率為8和16,,并可以進行多級連接。
ONU(光網(wǎng)絡(luò)單元)位于遠端接入側(cè),,EPON中的ONU采用以太網(wǎng)協(xié)議,在通信過程中不需要進行協(xié)議轉(zhuǎn)換,,實現(xiàn)ONU對用戶數(shù)據(jù)的透明傳送,,保障從OLT到ONU之間高速的數(shù)據(jù)轉(zhuǎn)發(fā)[3]。校園網(wǎng)采用EPON網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點:
?、旁谠薪粨Q式三層結(jié)構(gòu)網(wǎng)絡(luò)基礎(chǔ)上易于升級改造,。在南京信息職業(yè)技術(shù)學(xué)院學(xué)生宿舍原先沒有布置局域網(wǎng)的情況下,設(shè)計直接建設(shè)EPON網(wǎng)絡(luò),;在辦公,、教學(xué)等原先已經(jīng)按照三層結(jié)構(gòu)布置局域網(wǎng)的情況下,原有接入層交換機可以繼續(xù)使用,。
?、葡鄬Τ杀镜停S護簡單,,容易擴展,,易于升級。從OLT端到ONU端之間僅有光纖,、POS等光無源器件,,無需租用機房、無需配備電源,、無需有源設(shè)備維護人員,,可有效節(jié)省建設(shè)和運營維護成本。采用單纖波分復(fù)用技術(shù)(下行1490nm,,上行1310nm),,僅需一根主干光纖和一個OLT。
?、悄軌蛱峁┍容^高的帶寬,。EPON目前可以提供上下行對稱的1.25Gb/s帶寬,并且隨著以太網(wǎng)技術(shù)的發(fā)展可以升級到10Gb/s,。
?、确?wù)范圍大。EPON作為一種點到多點網(wǎng)絡(luò),,以一種扇形的結(jié)構(gòu)節(jié)省有限的光纜資源,,能夠服務(wù)大量用戶,。
PPPOE(基于以太網(wǎng)的點到點連接協(xié)議),可以使以太網(wǎng)主機通過一個簡單的橋接設(shè)備連接到一個遠端的接入集中器上,。
通過PPPOE協(xié)議,,遠端接入設(shè)備能夠?qū)崿F(xiàn)對每個接入用戶的控制和計費。PPPOE由BRAS(寬帶接入服務(wù)器)配合Radius(遠程用戶撥號認證系統(tǒng))服務(wù)器實現(xiàn)對用戶的認證,、計費,。
使用PPPOE協(xié)議,BRAS設(shè)備必須位于用戶子網(wǎng)中或同一個VLAN(虛擬局域網(wǎng))中,,以確保二層廣播能夠正確使用,,在圖2中BRAS作為RadiusClient位于OLT與核心路由設(shè)備之間,到用戶之間是純二層鏈路,。Radius服務(wù)器位于校園業(yè)務(wù)網(wǎng)中,,設(shè)計校園每個用戶有一個上網(wǎng)用戶名,用戶名后面可以跟不同域名,,同一個用戶名加上不同域名構(gòu)成賬號(用戶名@域名)進行認證,,認證通過后根據(jù)域名采用虛擬路由技術(shù)進行不同的網(wǎng)絡(luò)路由。
采用PPPOE認證,,由于網(wǎng)絡(luò)接入設(shè)備只有在認證通過以后才能上網(wǎng),,AP(無線接入點)未經(jīng)認證與無線控制器之間數(shù)據(jù)不能交互,設(shè)計在認證計費系統(tǒng)中設(shè)置,,將所有AP設(shè)備設(shè)置為“直通”即免登錄的聯(lián)網(wǎng)方式,。采用PPPOE方式認證的優(yōu)點:
⑴有效控制網(wǎng)絡(luò)廣播風(fēng)暴:PPPOE上網(wǎng)方式由于采用二層認證,,所有鏈路設(shè)備都工作在二層,,故不存在網(wǎng)絡(luò)第三層廣播風(fēng)暴的問題。
?、朴行Х乐笰RP攻擊行為,。ARP攻擊一直是高校傳統(tǒng)局域網(wǎng)的安全威脅,通過采用PPPOE認證上網(wǎng)模式,,在用戶認證過程中上網(wǎng)主機獲取BRAS服務(wù)器(網(wǎng)關(guān))MAC地址不再使用ARP協(xié)議,,而是通過在認證發(fā)現(xiàn)階段的PADI報文和PADO報文的交換獲得MAC地址(物理地址),從而杜絕ARP攻擊行為的發(fā)生,。
?、欠乐笽P地址沖突。PPPOE接入方采用動態(tài)分配IP地址,,不存在用戶自行更改IP地址而產(chǎn)生地址沖突的問題,。
⑷支持QOS(服務(wù)質(zhì)量),方便管理,。采用PPPOE接入方式支持QOS業(yè)務(wù),,對不同的上網(wǎng)用戶進行不同的流量控制和計費策略,能夠?qū)崿F(xiàn)基于時間或流量的上網(wǎng)計費以及基于帳號的用戶管理,。
?、捎行У刈柚共《韭雍途W(wǎng)絡(luò)盜號的安全威脅。PPPOE協(xié)議是把PPP(點對點)協(xié)議移植到以太網(wǎng)上應(yīng)用的一種協(xié)議,,用戶之間在邏輯上互不相通,,這種點對點通信可有效防范網(wǎng)上病毒、木馬和蠕蟲感染其它用戶的機器,。此外,,網(wǎng)絡(luò)監(jiān)聽軟件通常是利用以太網(wǎng)的廣播特性或ARP協(xié)議來實現(xiàn)監(jiān)聽,而采用PPPOE認證接入方式,,網(wǎng)絡(luò)用戶間通信是點對點通信,不適合監(jiān)聽軟件的工作環(huán)境,。
IPTV(交互式網(wǎng)絡(luò)電視)是一種集合寬帶有線電視網(wǎng),、互聯(lián)網(wǎng)、多媒體,、通訊等多種技術(shù)于一體,,面向家庭用戶提供的包括數(shù)字電視在內(nèi)的多種交互式服務(wù),用戶在家中應(yīng)用IP機頂盒加普通電視機就可以享受到IPTV所提供的電視業(yè)務(wù),。與傳統(tǒng)的數(shù)字機頂盒相比,,IP機頂盒實現(xiàn)了視頻、語音,、數(shù)據(jù)三者的融合,,即三網(wǎng)融合業(yè)務(wù)。
在會議室,、賓館等區(qū)域,,一個房間內(nèi)部至少有三個RJ-45端口,一個端口接電話,,連接PSTN(公共交換電話網(wǎng)),;一個端口用于用戶電腦連接,通過上網(wǎng)賬號用戶可以訪問Internet或者校園業(yè)務(wù)網(wǎng),;還有一個端口連接機頂盒,,機頂盒與電視機相連,用戶使用中國電信分配的賬號(用戶名@ITV)直接收看電視節(jié)目,,IPTV的認證計費服務(wù)由中國電信管理,。
IP監(jiān)控系統(tǒng)設(shè)計
IP監(jiān)控是以IP網(wǎng)絡(luò)攝像機及其編碼器為硬件核心設(shè)備,視頻信號從前端便被編碼壓縮,并以網(wǎng)絡(luò)為傳輸載體,,基于TCP/IP協(xié)議,,采用流媒體技術(shù)實現(xiàn)視頻數(shù)據(jù)在網(wǎng)絡(luò)上傳輸,并通過網(wǎng)絡(luò)及軟件來實現(xiàn)對整個監(jiān)控系統(tǒng)的調(diào)用,、存儲和控制等功能,。IP監(jiān)控系統(tǒng)具有前端一體化、傳輸網(wǎng)絡(luò)化,、處理數(shù)字化,、管理智能化及系統(tǒng)集成化的特點,能夠滿足大容量,、大跨度的應(yīng)用需求,。
原有的校園網(wǎng)經(jīng)過改造后,運用原有二層和三層交換設(shè)備組建的交換式局域網(wǎng)供IP監(jiān)控系統(tǒng)使用,。設(shè)計將IP攝像機連接接入層交換機,,視頻存儲設(shè)備直接連接核心交換,保障IP攝像機數(shù)據(jù)能夠快速,、實時地傳輸?shù)酱鎯υO(shè)備上,。校園網(wǎng)安防管理人員通過EPON鏈路使用user@njcit類型的上網(wǎng)賬號登陸,訪問校園業(yè)務(wù)網(wǎng)的視頻監(jiān)控資源:可以直接根據(jù)IP視頻攝像機的IP地址訪問指定攝像機的實時監(jiān)控視頻,;也可以遠程連接視頻存儲服務(wù)器查看之前的視頻內(nèi)容,。
基于EPON與PPPOE技術(shù)的校園網(wǎng)改造項目方案設(shè)計與實施,保留了原有校園網(wǎng)主干設(shè)備與信息資源,,解決了傳統(tǒng)交換式局域網(wǎng)存在的網(wǎng)絡(luò)安全威脅,,在保障校園網(wǎng)安全的同時,實現(xiàn)了信息資源共享,,通過與中國電信共同建設(shè)的模式,,不僅減少了網(wǎng)絡(luò)建設(shè)與改造的開支,而且實現(xiàn)了電話,、計算機網(wǎng)絡(luò)與電視業(yè)務(wù)的融合,。