大二层-按需构建灵活的精细化的校园网络课件

《大二层-按需构建灵活的精细化的校园网络课件》由会员分享，可在线阅读，更多相关《大二层-按需构建灵活的精细化的校园网络课件（55页珍藏版）》请在装配图网上搜索。

1、按需构建灵活的、精细化的校园网络按需构建灵活的、精细化的校园网络Copyright 议题议题 传统高校校园网络分析 新型校园网的目标和思路 新型校园网技术实现Copyright 高校的烦恼 创新的压力 监管的压力 管理的压力 高校Copyright 高校校园网最关注的方面高校校园网最关注的方面业务、应用、用户的承载能力政策和法律法规的要求管理维护工作量和难度这些方面是不同区域不同规模的学校所共同关注的，这些方面是不同区域不同规模的学校所共同关注的，网络架构和业务部署模式决定了问题存在的必然性网络架构和业务部署模式决定了问题存在的必然性Copyright 大车拉小马，小马拉大车头疼医头，脚痛医脚

2、核心层汇聚层接入层用户接入相互隔离速率限制802.1X接入控制DHCP侦听动态ARP检测IPv4三层终结IPv6三层终结单播、组播控制ACLQoSVPN高速转发传统校园网传统校园网“倒挂倒挂”的构架的构架Copyright 现有校园网中经常面临的问题现有校园网中经常面临的问题网络病毒的传播和感染，控制手法匮乏ARP欺骗带来的大面积影响，控制手法匮乏网络资源的公平性欠缺 部分人下载占据大量出口带宽，影响他人的网络访问和学习无法实现差异化的服务 网络层的简单互通，无法针对不同群体用户实现不同的服务管理维护工作量的增加，网段多故障过于分散Copyright 扁平化扁平化精细化精细化平台化平台化下一代

3、校园网新思路，新方法Copyright 扁平化扁平化用户接入VLAN隔离IPv4/IPv6双栈线速转发IPv4/IPv6双栈组播控制ACL、速率限制QoSVPN基于用户的认证接入和控制业务控制层宽带接入层QinQVLAN隔离大车和小马各司其职，各尽所长更高效更稳定更省钱Copyright 扁平化带来的优势扁平化带来的优势 控制集中、部署简单、扩展方便由能力最强，功能最丰富的核心设备提供业务控制和管理丰富的功能较好的性能稳定、可靠汇聚/接入设备，则提供其力所能及的基本功能只提供基本的二层VLAN隔离功能无需支持新的业务和功能降低设备投资（数量众多！）由于功能简单，因此更加稳定可靠全网投资的下降，

4、运行成本（电力、空调）成本的大幅降低网络架构更易于扩展和管理Copyright 精细化精细化用户可分、可离行为可控、可审应用可知、可保Copyright 精细化控制精细化控制传统的校园网是粗放型的网络只是满足了基本的网络互联互通的需求，但缺乏相应的审计和控制手段 用户之间互相影响，网络中的攻击泛滥，如ARP攻击/DHCP仿冒/IP仿冒；用户只要接上网络，就能获得网络的使用权，整个访问过程没有针对性的记录、审计和基于用户的控制，导致了网络的无序使用网络使用没有实名制，用户访问行为没有记录，出现问题无法追查；缺乏针对性的控制，网络带宽被大量占用，重要应用得不到带宽保障；难以实现灵活的用户控制、如基

5、于身份、时间、位置等Copyright 用户的精细化控制的手段用户的精细化控制的手段 基于逻辑接口实现每个接入端口在核心设备上对应一个逻辑接口在接口上提供速率限制、访问权限控制等 能够基于每个用户实现基于用户的身份，在用户认证时动态下发控制属性，对用户的访问速率、权限等进行控制 能够基于不同类型的接入方式开放/关闭相应的业务功能由于AP的性能问题，建议关闭IPv4/IPv6 multicast业务仅开放单播业务Copyright 平台化平台化网络中心网络中心业务控制层业务控制层接入交换机接入交换机MX960 AMX960 BMX960 CInternetCernet用户认证用户认证带宽带宽/A

6、CLRadiusPortal数据中心数据中心出口出口Copyright 平台化平台化Copyright QinQ和地址规划和地址规划Vlan 1-24Vlan 1-24Vlan 1-24增加外层标签1001增加外层标签1002增加外层标签100310011-2410021-2410031-24提供IPv4/IPv6双栈的终结和控制功能无需IPv6支持无需IPv6支持IPv4 address：IPv6 address：2001:10ad:1/64Copyright 基于基于WEB Portal（IPoE）的用户接入认证）的用户接入认证网络中心网络中心业务控制层业务控制层接入交换机接入交换机MX9

7、60 AMX960 BMX960 C认证计费速率控制权限控制行为管理InternetCernet用户认证用户认证带宽带宽/ACL流程：1，用户侧通过DHCP获得IP地址，在MX上相应生成demux用户接口；2，用户demux接口的默认权限是特定的资源，当访问其他资源时，通过http redirect重定向到portal页面上；3，用户在portal页面上输入用户名和口令，认证成功后，radius系统下发属性，调用定义的访问策略，对用户的demux端口进行控制，开放用户特定的访问权限；Radius+PortalRadius+PortalCopyright 网络中用户的统计和分析（仅网络中用户的统

8、计和分析（仅DHCP，无需用户认证），无需用户认证）Copyright IPv6组播情况统计组播情况统计按照频道统计按照频道统计Copyright 校园网有线无线一体化的实现校园网有线无线一体化的实现Copyright 以以MX为核心的有线无线一体化校园网为核心的有线无线一体化校园网Single fabric using Virtual Chassis technologyMXAccess Layer10GbE serversPoEPoE10GE with LAGWLC-2800MP-532 APsCopyright CUG全校有线无线一体化认证全校有线无线一体化认证Aruba 6000_ma

9、sterAruba 6000_EAruba 6000_WAruba 6000_NAC6000 4台AP 1200多台Copyright 基于每个用户的管理（仅基于每个用户的管理（仅DHCP，无需用户认证），无需用户认证）PortVLANSubscriberInterfaceSubscriberInterfaceVLANSubscriberInterfaceSubscriberInterfaceCopyright CUG基于瘦客户端的应用案例基于瘦客户端的应用案例地大在其瘦客户端上开发了一些特性功能，如提供了用户多项出口选择功能：提供给学生自由自主的上网平台和环境，同时也提供了部分用户的认证直接

10、进入VPN，如图书馆；Copyright 计费的实现（基于时长、流量）计费的实现（基于时长、流量）Copyright 基于基于Netflow的精细化流量分析和计费功能的精细化流量分析和计费功能后台数据库，针对帐号及Channel的复合记录Copyright 校园网不再是校园网不再是“黑盒子黑盒子”用户相互用户相互隔离隔离多业务功多业务功能支持能支持细致的细致的控制控制行为识行为识别追踪别追踪远程实远程实时诊断时诊断Copyright 基于基于Netflow的精细化流量分析和计费功能的精细化流量分析和计费功能用户账单查询，上网时间及流量等内容，都区分了非优惠和优惠方式；流量日志每隔510秒增量备

11、份一次，保存在专门的备份目录里面，目前保存时长是一年；Copyright 用户认证进入不同的MPLS VPNeditlabCUG-MX960-RE1#show routing-instances?Possible completions:DMTJS_GL_VPN Routing instance name 多媒体教室VRF NMA_GL_VPN Routing instance name 网管VR TSG_GL_VPN_700 Routing instance name 图书馆VRF Unit_Server_Storage_VPN Routing instance name 服务器存储的VRF

12、 Wireless_AP_GL_VPN Routing instance name 无线AP/AC互联的VRF YKT_GL_VPN_902 Routing instance name 一卡通VRF to_3A-Portal Routing instance name forward，做FBF的filter to_TSG_GL_VPN Routing instance name virtual-router，IPoE直接接入图书馆VPN to_dianxin Routing instance name forward，做FBF的filter to_jiaoyu Routing instance

13、 name forward，做FBF的filter to_wangtong Routing instance name forward，做FBF的filter 。MX960上面建立了多种VPN，有VRF、VR、Forwarding；地质大学目前正在部署“节能水电VRF”，管理全校水电信息；Copyright 核心交换机核心交换机汇聚交换机汇聚交换机接入交换机接入交换机接入控制：接入控制：帐号帐号+IPMAC端口端口接入时段控制接入时段控制认证计费报文认证计费报文上网业务数据上网业务数据认证客户端认证客户端交换机接入控制交换机接入控制用户用户Web自自助服务器助服务器SAM Server数数据库

14、据库Server计费管理系统计费管理系统INTERNETFW接入交换机接入交换机接入控制技术接入控制技术802.1XCopyright 1、交换机彼此兼容性问题网络设备不兼容、扩展功能不兼容2、终端问题，不适应当今终端接入方式客户端不兼容，安全特性不兼容；3、计费策略问题旁挂架构没法对流量实施细分计费策略，无法提供复杂计费策略；只能按照时长计费，802.1X的流量统计都是基于交换机端口的；4、多节点的管理问题较为分散的控制点，不利于进行整网的运营管理及控制5、影响低端接入交换机运行的稳定性接入控制技术接入控制技术802.1XCopyright 接入控制技术接入控制技术PPPoEserversr

15、adius认证 计费CernetBRAS设备设备Copyright 接入控制技术接入控制技术PPPoE1、专有客户端需求，不适应当今无客户接入方式2、PPPoE封装和解封装，带来效率的降低；3、组播的天然缺陷，非纯IP报文，组播支持不好；Copyright 接入控制技术接入控制技术网关网关WEB认证认证Cernet网关认证系统网关认证系统AC控制器控制器Copyright 接入控制技术接入控制技术网关网关WEB认证认证1、只是在出口网关位置实现控制；2、无法感知和解决内网的安全问题；3、无法对内网用户进行精细化的控制；4、基于优化的PC架构，无法实现性能的提升，已为运营商所弃用。Copyrig

16、ht 接入控制技术接入控制技术IPoE方式方式Copyright 提供提供ALL-IN-ONE融合的认证功能融合的认证功能DHCPv4DHCPv6DHCP+Portal认证PPPoE认证报文触发认证L2TP认证PPPoEv4PPPoEv6IPv4 over L2TPIPv6 over L2TPIPv4 PTSPIPv6 PTSP02010304Copyright 基于基于WEB Portal（IPoE）的用户接入认证）的用户接入认证网络中心网络中心业务控制层业务控制层接入交换机接入交换机全面的校园网精细化管理方案MX960 AMX960 BMX960 C认证计费速率控制权限控制行为管理Inte

17、rnetCernet用户认证用户认证带宽带宽/ACL流程：1，用户侧通过DHCP获得IP地址，在MX上相应生成demux用户接口；2，用户demux接口的默认权限是特定的资源，当访问其他资源时，通过http redirect重定向到portal页面上；3，用户在portal页面上输入用户名和口令，认证成功后，radius系统下发属性，调用定义的访问策略，对用户的demux端口进行控制，开放用户特定的访问权限；Radius+PortalCopyright 校园网实名制和计费功能的实现校园网实名制和计费功能的实现 实名制是校园网精细化发展的方向能够做到用户身份和网络行为的一一对应能够做到基于用户角

18、色的控制能够实现用户访问网络的计费功能能够提供审计功能，做到有据可查 MX系列核心路由器支持用户管理功能，在作为核心路由器的同时，提供用户接入网络时的认证、控制和计费功能核心路由用户管理MXCopyright 部署方案部署方案A 物理结构：三层（核心、汇聚、接入）核心层核心层汇聚层汇聚层接入层接入层校园网业务控制层校园网业务控制层Copyright 部署方案部署方案B 物理结构：三层（核心、汇聚、接入）核心层核心层汇聚层汇聚层接入层接入层Copyright 部署方案部署方案C 物理结构：三层（核心、汇聚、接入）核心层核心层汇聚层汇聚层接入层接入层Copyright QinQ和地址规划和地址规划

19、Vlan 1-24Vlan 1-24Vlan 1-24增加外层标签1001增加外层标签1002增加外层标签100310011-2410021-2410031-24提供IPv4/IPv6双栈的终结和控制功能无需IPv6支持无需IPv6支持IPv4 address：IPv6 address：2001:10ad:1/64Copyright 海量配置的自动生成海量配置的自动生成 校园网采用了VLAN细分的方式 大量的VLAN带来了大量的配置 基于模板的auto-configCopyright IPv6的实名制和精细化控制的实名制和精细化控制SLAAC（简单、兼容）PPPoE（实名制、精细控制认证、客户

20、端）DHCP（实名制、精细控制，如何兼容）Copyright MX support DHCPv6 Copyright IPv6组播的实现组播的实现 MX核心路由器能够实现基于硬件的IPv6组播复制，支持每板卡4000并发用户同时在线观看视频节目Cernet华东北节点测试验证 无需汇聚接入设备支持IPv6组播核心核心汇聚汇聚Cernet2边界路由器边界路由器接入接入Copyright 以以MX为核心的有线无线一体化校园网为核心的有线无线一体化校园网Single fabric using Virtual Chassis technologyMXAccess Layer10GbE serversPo

21、EPoE10GE with LAGWLC-2800MP-532 APsCopyright CUG全校有线无线一体化认证全校有线无线一体化认证AP和AC建立二层隧道，用户所有DHCP报文经AP和AC6000透传至MX960，从而获取相应地址（流程跟有线IPoE一致）；MX960上建立Wireless VRF，负责所有AP和AC之间的互通；让无线用户流量在专用VPN里面传输，跟普通有线业务流量隔离开；MX960负责所有无线用户的IPoE接入认证，策略下发；AC6000根据接入AP和SSID，将不同AP/SSID用户划入相应上行子接口；WirelessVRFL2 tunnelTrunkCopyright 可靠性的保证：多机箱动态分担可靠性的保证：多机箱动态分担MX960-1汇聚交换机汇聚交换机MX960-2Copyright 可靠性的保证：多机箱虚拟化可靠性的保证：多机箱虚拟化汇聚交换机汇聚交换机MX960 Virtual ChassisCopyright 一卡通、科研专网的承载一卡通、科研专网的承载N平面是指在同一个物理平台上构建出多个逻辑上完全独立的网络平台，这些网络平台和主网络平台具有相同的功能系统C系统A系统BCopyright 江西高校应用案例江西高校应用案例Copyright 高校应用案例高校应用案例Copyright 高校应用案例高校应用案例