中层管理-大二层按需构建灵活的精细化的校园网络 精品.ppt

《中层管理-大二层按需构建灵活的精细化的校园网络 精品.ppt》由会员分享，可在线阅读，更多相关《中层管理-大二层按需构建灵活的精细化的校园网络 精品.ppt（55页珍藏版）》请在第一文库网上搜索。

1、按需构建灵活的、精细化的校园网络按需构建灵活的、精细化的校园网络议题议题 传统高校校园网络分析 新型校园网的目标和思路 新型校园网技术实现高校的烦恼 创新的压力 监管的压力 管理的压力 高校高校校园网最关注的方面高校校园网最关注的方面业务、应用、用户的承载能力政策和法律法规的要求管理维护工作量和难度这些方面是不同区域不同规模的学校所共同关注的，这些方面是不同区域不同规模的学校所共同关注的，网络架构和业务部署模式决定了问题存在的必然性网络架构和业务部署模式决定了问题存在的必然性大车拉小马，小马拉大车头疼医头，脚痛医脚核心层汇聚层接入层用户接入相互隔离速率限制802.1X接入控制DHCP侦听动态A

2、RP检测IPv4三层终结IPv6三层终结单播、组播控制ACLQoSVPN高速转发传统校园网传统校园网“倒挂倒挂”的构架的构架现有校园网中经常面临的问题现有校园网中经常面临的问题网络病毒的传播和感染，控制手法匮乏ARP欺骗带来的大面积影响，控制手法匮乏网络资源的公平性欠缺 部分人下载占据大量出口带宽，影响他人的网络访问和学习无法实现差异化的服务 网络层的简单互通，无法针对不同群体用户实现不同的服务管理维护工作量的增加，网段多故障过于分散扁平化扁平化精细化精细化平台化平台化下一代校园网新思路，新方法扁平化扁平化用户接入VLAN隔离IPv4/IPv6双栈线速转发IPv4/IPv6双栈组播控制ACL、

3、速率限制QoSVPN基于用户的认证接入和控制业务控制层宽带接入层QinQVLAN隔离大车和小马各司其职，各尽所长更高效更稳定更省钱扁平化带来的优势扁平化带来的优势 控制集中、部署简单、扩展方便由能力最强，功能最丰富的核心设备提供业务控制和管理丰富的功能较好的性能稳定、可靠汇聚/接入设备，则提供其力所能及的基本功能只提供基本的二层VLAN隔离功能无需支持新的业务和功能降低设备投资（数量众多！）由于功能简单，因此更加稳定可靠全网投资的下降，运行成本（电力、空调）成本的大幅降低网络架构更易于扩展和管理精细化精细化用户可分、可离行为可控、可审应用可知、可保精细化控制精细化控制传统的校园网是粗放型的网络

4、只是满足了基本的网络互联互通的需求，但缺乏相应的审计和控制手段 用户之间互相影响，网络中的攻击泛滥，如ARP攻击/DHCP仿冒/IP仿冒；用户只要接上网络，就能获得网络的使用权，整个访问过程没有针对性的记录、审计和基于用户的控制，导致了网络的无序使用网络使用没有实名制，用户访问行为没有记录，出现问题无法追查；缺乏针对性的控制，网络带宽被大量占用，重要应用得不到带宽保障；难以实现灵活的用户控制、如基于身份、时间、位置等用户的精细化控制的手段用户的精细化控制的手段 基于逻辑接口实现每个接入端口在核心设备上对应一个逻辑接口在接口上提供速率限制、访问权限控制等 能够基于每个用户实现基于用户的身份，在用

5、户认证时动态下发控制属性，对用户的访问速率、权限等进行控制 能够基于不同类型的接入方式开放/关闭相应的业务功能由于AP的性能问题，建议关闭IPv4/IPv6 multicast业务仅开放单播业务平台化平台化网络中心网络中心业务控制层业务控制层接入交换机接入交换机MX960 AMX960 BMX960 CInternetCernet用户认证用户认证带宽带宽/ACLRadiusPortal数据中心数据中心出口出口平台化平台化QinQ和地址规划和地址规划Vlan 1-24Vlan 1-24Vlan 1-24增加外层标签1001增加外层标签1002增加外层标签100310011-2410021-241

6、0031-24提供IPv4/IPv6双栈的终结和控制功能无需IPv6支持无需IPv6支持IPv4 address：192.168.1.1/24IPv6 address：2001:10ad:1/64基于基于WEB Portal（IPoE）的用户接入认证）的用户接入认证网络中心网络中心业务控制层业务控制层接入交换机接入交换机MX960 AMX960 BMX960 C认证计费速率控制权限控制行为管理InternetCernet用户认证用户认证带宽带宽/ACL流程：1， 用户侧通过DHCP获得IP地址，在MX上相应生成demux用户接口；2，用户demux接口的默认权限是特定的资源，当访问其他资源时，

7、通过http redirect重定向到portal页面上；3，用户在portal页面上输入用户名和口令，认证成功后，radius系统下发属性，调用定义的访问策略，对用户的demux端口进行控制，开放用户特定的访问权限；Radius+PortalRadius+Portal网络中用户的统计和分析（仅网络中用户的统计和分析（仅DHCP，无需用户认证），无需用户认证）IPv6组播情况统计组播情况统计按照频道统计按照频道统计校园网有线无线一体化的实现校园网有线无线一体化的实现以以MX为核心的有线无线一体化校园网为核心的有线无线一体化校园网Single fabric using Virtual Chass

8、is technologyMXAccess Layer10GbE serversPoEPoE10GE with LAGWLC-2800MP-532 APsCUG全校有线无线一体化认证全校有线无线一体化认证Aruba 6000_masterAruba 6000_EAruba 6000_WAruba 6000_NAC6000 4台AP 1200多台基于每个用户的管理（仅基于每个用户的管理（仅DHCP，无需用户认证），无需用户认证）PortVLANSubscriberInterfaceSubscriberInterfaceVLANSubscriberInterfaceSubscriberInterf

9、aceCUG基于瘦客户端的应用案例基于瘦客户端的应用案例地大在其瘦客户端上开发了一些特性功能，如提供了用户多项出口选择功能：提供给学生自由自主的上网平台和环境，同时也提供了部分用户的认证直接进入VPN，如图书馆；计费的实现（基于时长、流量）计费的实现（基于时长、流量）基于基于Netflow的精细化流量分析和计费功能的精细化流量分析和计费功能后台数据库，针对帐号及Channel的复合记录校园网不再是校园网不再是“黑盒子黑盒子”用户相互用户相互隔离隔离多业务功多业务功能支持能支持细致的细致的控制控制行为识行为识别追踪别追踪远程实远程实时诊断时诊断基于基于Netflow的精细化流量分析和计费功能的精

10、细化流量分析和计费功能用户账单查询，上网时间及流量等内容，都区分了非优惠和优惠方式；流量日志每隔510秒增量备份一次，保存在专门的备份目录里面，目前保存时长是一年；用户认证进入不同的MPLS VPNeditlabCUG-MX960-RE1# show routing-instances ?Possible completions: DMTJS_GL_VPN Routing instance name 多媒体教室VRF NMA_GL_VPN Routing instance name 网管VR TSG_GL_VPN_700 Routing instance name 图书馆VRF Unit_Se

11、rver_Storage_VPN Routing instance name 服务器存储的VRF Wireless_AP_GL_VPN Routing instance name 无线AP/AC互联的VRF YKT_GL_VPN_902 Routing instance name 一卡通VRF to_3A-Portal Routing instance name forward，做FBF的filter to_TSG_GL_VPN Routing instance name virtual-router，IPoE直接接入图书馆VPN to_dianxin Routing instance nam

12、e forward，做FBF的filter to_jiaoyu Routing instance name forward，做FBF的filter to_wangtong Routing instance name forward，做FBF的filter 。MX960上面建立了多种VPN，有VRF、VR、Forwarding；地质大学目前正在部署“节能水电VRF”，管理全校水电信息；核心交换机核心交换机汇聚交换机汇聚交换机接入交换机接入交换机接入控制：接入控制：帐号帐号 + IPMAC端口端口接入时段控制接入时段控制认证计费报文认证计费报文上网业务数据上网业务数据认证客户端认证客户端交换机接入

13、控制交换机接入控制用户用户Web自自助服务器助服务器SAM Server数数据库据库Server计费管理系统计费管理系统INTERNETFW接入交换机接入交换机接入控制技术接入控制技术802.1X1、交换机彼此兼容性问题网络设备不兼容、扩展功能不兼容2、终端问题，不适应当今终端接入方式客户端不兼容，安全特性不兼容；3、计费策略问题旁挂架构没法对流量实施细分计费策略，无法提供复杂计费策略；只能按照时长计费，802.1X的流量统计都是基于交换机端口的；4、多节点的管理问题较为分散的控制点，不利于进行整网的运营管理及控制5、影响低端接入交换机运行的稳定性接入控制技术接入控制技术802.1X接入控制技

14、术接入控制技术PPPoEserversradius认证 计费CernetBRAS设备设备接入控制技术接入控制技术PPPoE1、专有客户端需求，不适应当今无客户接入方式2、PPPoE封装和解封装，带来效率的降低；3、组播的天然缺陷，非纯IP报文，组播支持不好；接入控制技术接入控制技术网关网关WEB认证认证Cernet网关认证系统网关认证系统AC控制器控制器接入控制技术接入控制技术网关网关WEB认证认证1、只是在出口网关位置实现控制；2、无法感知和解决内网的安全问题；3、无法对内网用户进行精细化的控制；4、基于优化的PC架构，无法实现性能的提升，已为运营商所弃用。接入控制技术接入控制技术IPoE方

15、式方式提供提供ALL-IN-ONE融合的认证功能融合的认证功能DHCPv4DHCPv6DHCP+Portal认证PPPoE认证报文触发认证L2TP认证PPPoEv4PPPoEv6IPv4 over L2TPIPv6 over L2TPIPv4 PTSPIPv6 PTSP02010304基于基于WEB Portal（IPoE）的用户接入认证）的用户接入认证网络中心网络中心业务控制层业务控制层接入交换机接入交换机全面的校园网精细化管理方案MX960 AMX960 BMX960 C认证计费速率控制权限控制行为管理InternetCernet用户认证用户认证带宽带宽/ACL流程：1， 用户侧通过DHC

16、P获得IP地址，在MX上相应生成demux用户接口；2，用户demux接口的默认权限是特定的资源，当访问其他资源时，通过http redirect重定向到portal页面上；3，用户在portal页面上输入用户名和口令，认证成功后，radius系统下发属性，调用定义的访问策略，对用户的demux端口进行控制，开放用户特定的访问权限；Radius+Portal校园网实名制和计费功能的实现校园网实名制和计费功能的实现 实名制是校园网精细化发展的方向能够做到用户身份和网络行为的一一对应能够做到基于用户角色的控制能够实现用户访问网络的计费功能能够提供审计功能，做到有据可查 MX系列核心路由器支持用户管理功能，在作为核心路由器的同时，提供用户接入网络时的认证、控制和计费功能核心路由用户管理MX部署方案部署方案A 物理结构：三层（核心、汇聚、接入）核心层核心层汇聚层汇聚层接入层接入层校园网业务控制层校园网业务控制层部署方案部署方案B 物理结构：三层（核心、汇聚、接入）核心层核心层汇聚层汇聚层接入层接入层部署方案部署方案C 物理结构：三层（核心、汇聚、接入）核心层核心层汇聚层汇聚层接入层接入层Qin