大二層按需構(gòu)建靈活的精細(xì)化的校園網(wǎng)絡(luò)

按需構(gòu)建靈活的、精細(xì)化的校園網(wǎng)絡(luò)議題傳統(tǒng)高校校園網(wǎng)絡(luò)分析新型校園網(wǎng)的目標(biāo)和思路新型校園網(wǎng)技術(shù)實(shí)現(xiàn)高校的煩惱

2

創(chuàng)新的壓力監(jiān)管的壓力管理的壓力高校高校校園網(wǎng)最關(guān)注的方面業(yè)務(wù)、應(yīng)用、用戶的承載能力政策和法律法規(guī)的要求管理維護(hù)工作量和難度這些方面是不同區(qū)域不同規(guī)模的學(xué)校所共同關(guān)注的，網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)部署模式?jīng)Q定了問(wèn)題存在的必然性大車?yán)●R，小馬拉大車頭疼醫(yī)頭，腳痛醫(yī)腳核心層匯聚層接入層用戶接入相互隔離速率限制802.1X接入控制DHCP偵聽(tīng)動(dòng)態(tài)ARP檢測(cè)IPv4三層終結(jié)IPv6三層終結(jié)單播、組播控制ACLQoSVPN高速轉(zhuǎn)發(fā)傳統(tǒng)校園網(wǎng)“倒掛”的構(gòu)架現(xiàn)有校園網(wǎng)中經(jīng)常面臨的問(wèn)題網(wǎng)絡(luò)病毒的傳播和感染，控制手法匱乏ARP欺騙帶來(lái)的大面積影響，控制手法匱乏網(wǎng)絡(luò)資源的公平性欠缺

——部分人下載占據(jù)大量出口帶寬，影響他人的網(wǎng)絡(luò)訪問(wèn)和學(xué)習(xí)無(wú)法實(shí)現(xiàn)差異化的服務(wù)

——網(wǎng)絡(luò)層的簡(jiǎn)單互通，無(wú)法針對(duì)不同群體用戶實(shí)現(xiàn)不同的服務(wù)管理維護(hù)工作量的增加，網(wǎng)段多故障過(guò)于分散扁平化精細(xì)化平臺(tái)化下一代校園網(wǎng)"新思路，新方法"扁平化用戶接入VLAN隔離IPv4/IPv6雙棧線速轉(zhuǎn)發(fā)IPv4/IPv6雙棧組播控制ACL、速率限制QoSVPN基于用戶的認(rèn)證接入和控制業(yè)務(wù)控制層寬帶接入層QinQVLAN隔離大車和小馬各司其職，各盡所長(zhǎng)更高效更穩(wěn)定更省錢扁平化帶來(lái)的優(yōu)勢(shì)控制集中、部署簡(jiǎn)單、擴(kuò)展方便由能力最強(qiáng)，功能最豐富的核心設(shè)備提供業(yè)務(wù)控制和管理豐富的功能較好的性能穩(wěn)定、可靠匯聚/接入設(shè)備，則提供其力所能及的基本功能只提供基本的二層VLAN隔離功能無(wú)需支持新的業(yè)務(wù)和功能降低設(shè)備投資（數(shù)量眾多?。┯捎诠δ芎?jiǎn)單，因此更加穩(wěn)定可靠全網(wǎng)投資的下降，運(yùn)行成本（電力、空調(diào)）成本的大幅降低網(wǎng)絡(luò)架構(gòu)更易于擴(kuò)展和管理精細(xì)化用戶可分、可離行為可控、可審應(yīng)用可知、可保精細(xì)化控制傳統(tǒng)的校園網(wǎng)是粗放型的網(wǎng)絡(luò)只是滿足了基本的網(wǎng)絡(luò)互聯(lián)互通的需求，但缺乏相應(yīng)的審計(jì)和控制手段用戶之間互相影響，網(wǎng)絡(luò)中的攻擊泛濫，如ARP攻擊/DHCP仿冒/IP仿冒；用戶只要接上網(wǎng)絡(luò)，就能獲得網(wǎng)絡(luò)的使用權(quán)，整個(gè)訪問(wèn)過(guò)程沒(méi)有針對(duì)性的記錄、審計(jì)和基于用戶的控制，導(dǎo)致了網(wǎng)絡(luò)的無(wú)序使用網(wǎng)絡(luò)使用沒(méi)有實(shí)名制，用戶訪問(wèn)行為沒(méi)有記錄，出現(xiàn)問(wèn)題無(wú)法追查；缺乏針對(duì)性的控制，網(wǎng)絡(luò)帶寬被大量占用，重要應(yīng)用得不到帶寬保障；難以實(shí)現(xiàn)靈活的用戶控制、如基于身份、時(shí)間、位置等……用戶的精細(xì)化控制的手段基于邏輯接口實(shí)現(xiàn)每個(gè)接入端口在核心設(shè)備上對(duì)應(yīng)一個(gè)邏輯接口在接口上提供速率限制、訪問(wèn)權(quán)限控制等能夠基于每個(gè)用戶實(shí)現(xiàn)基于用戶的身份，在用戶認(rèn)證時(shí)動(dòng)態(tài)下發(fā)控制屬性，對(duì)用戶的訪問(wèn)速率、權(quán)限等進(jìn)行控制能夠基于不同類型的接入方式開(kāi)放/關(guān)閉相應(yīng)的業(yè)務(wù)功能由于AP的性能問(wèn)題，建議關(guān)閉IPv4/IPv6multicast業(yè)務(wù)僅開(kāi)放單播業(yè)務(wù)平臺(tái)化網(wǎng)絡(luò)中心業(yè)務(wù)控制層接入交換機(jī)MX960AMX960BMX960CInternetCernet用戶認(rèn)證帶寬/ACLRadiusPortal數(shù)據(jù)中心出口平臺(tái)化QinQ和地址規(guī)劃Vlan1-24Vlan1-24Vlan1-24增加外層標(biāo)簽1001增加外層標(biāo)簽1002增加外層標(biāo)簽100310011-2410021-2410031-24提供IPv4/IPv6雙棧的終結(jié)和控制功能無(wú)需IPv6支持無(wú)需IPv6支持IPv4address：/24IPv6address：2001:10ad::1/64基于WEBPortal（IPoE）的用戶接入認(rèn)證網(wǎng)絡(luò)中心業(yè)務(wù)控制層接入交換機(jī)MX960AMX960BMX960C認(rèn)證計(jì)費(fèi)速率控制權(quán)限控制行為管理……InternetCernet用戶認(rèn)證帶寬/ACL流程：1，用戶側(cè)通過(guò)DHCP獲得IP地址，在MX上相應(yīng)生成demux用戶接口；2，用戶demux接口的默認(rèn)權(quán)限是特定的資源，當(dāng)訪問(wèn)其他資源時(shí)，通過(guò)httpredirect重定向到portal頁(yè)面上；3，用戶在portal頁(yè)面上輸入用戶名和口令，認(rèn)證成功后，radius系統(tǒng)下發(fā)屬性，調(diào)用定義的訪問(wèn)策略，對(duì)用戶的demux端口進(jìn)行控制，開(kāi)放用戶特定的訪問(wèn)權(quán)限；Radius+Portal網(wǎng)絡(luò)中用戶的統(tǒng)計(jì)和分析（僅DHCP，無(wú)需用戶認(rèn)證）IPv6組播情況統(tǒng)計(jì)—按照頻道統(tǒng)計(jì)校園網(wǎng)有線無(wú)線一體化的實(shí)現(xiàn)以MX為核心的有線無(wú)線一體化校園網(wǎng)SinglefabricusingVirtualChassistechnologyMXAccess

Layer10GbEserversPoEPoE10GEwithLAGWLC-2800MP-532APsCUG全校有線無(wú)線一體化認(rèn)證Aruba6000_masterAruba6000_EAruba6000_WAruba6000_NAC6000

4臺(tái)AP1200多臺(tái)基于每個(gè)用戶的管理（僅DHCP，無(wú)需用戶認(rèn)證）PortVLANSubscriberInterfaceSubscriberInterfaceVLANSubscriberInterfaceSubscriberInterfaceCUG基于瘦客戶端的應(yīng)用案例地大在其瘦客戶端上開(kāi)發(fā)了一些特性功能，如提供了用戶多項(xiàng)出口選擇功能：提供給學(xué)生自由自主的上網(wǎng)平臺(tái)和環(huán)境，同時(shí)也提供了部分用戶的認(rèn)證直接進(jìn)入VPN，如圖書館；計(jì)費(fèi)的實(shí)現(xiàn)（基于時(shí)長(zhǎng)、流量）基于Netflow的精細(xì)化流量分析和計(jì)費(fèi)功能后臺(tái)數(shù)據(jù)庫(kù)，針對(duì)帳號(hào)及Channel的復(fù)合記錄校園網(wǎng)不再是“黑盒子”用戶相互隔離多業(yè)務(wù)功能支持細(xì)致的控制行為識(shí)別追蹤遠(yuǎn)程實(shí)時(shí)診斷基于Netflow的精細(xì)化流量分析和計(jì)費(fèi)功能用戶賬單查詢，上網(wǎng)時(shí)間及流量等內(nèi)容，都區(qū)分了非優(yōu)惠和優(yōu)惠方式；流量日志每隔5—10秒增量備份一次，保存在專門的備份目錄里面，目前保存時(shí)長(zhǎng)是一年；用戶認(rèn)證進(jìn)入不同的MPLSVPN[edit]lab@CUG-MX960-RE1#showrouting-instances?Possiblecompletions:DMTJS_GL_VPNRoutinginstancename————多媒體教室VRFNMA_GL_VPNRoutinginstancename————網(wǎng)管VRTSG_GL_VPN_700Routinginstancename————圖書館VRFUnit_Server_Storage_VPNRoutinginstancename————服務(wù)器存儲(chǔ)的VRFWireless_AP_GL_VPNRoutinginstancename————無(wú)線AP/AC互聯(lián)的VRFYKT_GL_VPN_902Routinginstancename————一卡通VRFto_3A-PortalRoutinginstancename————forward，做FBF的filterto_TSG_GL_VPNRoutinginstancename————virtual-router，IPoE直接接入圖書館VPNto_dianxinRoutinginstancename————forward，做FBF的filterto_jiaoyuRoutinginstancename————forward，做FBF的filterto_wangtongRoutinginstancename————forward，做FBF的filter

。。。。。。MX960上面建立了多種VPN，有VRF、VR、Forwarding；地質(zhì)大學(xué)目前正在部署“節(jié)能水電VRF”，管理全校水電信息；核心交換機(jī)匯聚交換機(jī)接入交換機(jī)…………接入控制：帳號(hào)+IP＋MAC＋端口接入時(shí)段控制認(rèn)證計(jì)費(fèi)報(bào)文上網(wǎng)業(yè)務(wù)數(shù)據(jù)認(rèn)證客戶端交換機(jī)接入控制用戶Web自助服務(wù)器SAMServer數(shù)據(jù)庫(kù)Server計(jì)費(fèi)管理系統(tǒng)INTERNETFW接入交換機(jī)接入控制技術(shù)——802.1X1、交換機(jī)彼此兼容性問(wèn)題網(wǎng)絡(luò)設(shè)備不兼容、擴(kuò)展功能不兼容2、終端問(wèn)題，不適應(yīng)當(dāng)今終端接入方式客戶端不兼容，安全特性不兼容；3、計(jì)費(fèi)策略問(wèn)題旁掛架構(gòu)沒(méi)法對(duì)流量實(shí)施細(xì)分計(jì)費(fèi)策略，無(wú)法提供復(fù)雜計(jì)費(fèi)策略；只能按照時(shí)長(zhǎng)計(jì)費(fèi)，802.1X的流量統(tǒng)計(jì)都是基于交換機(jī)端口的；4、多節(jié)點(diǎn)的管理問(wèn)題較為分散的控制點(diǎn)，不利于進(jìn)行整網(wǎng)的運(yùn)營(yíng)管理及控制5、影響低端接入交換機(jī)運(yùn)行的穩(wěn)定性接入控制技術(shù)——802.1X接入控制技術(shù)——PPPoEserversradius認(rèn)證計(jì)費(fèi)CernetBRAS設(shè)備接入控制技術(shù)——PPPoE1、專有客戶端需求，不適應(yīng)當(dāng)今無(wú)客戶接入方式2、PPPoE封裝和解封裝，帶來(lái)效率的降低；3、組播的天然缺陷，非純IP報(bào)文，組播支持不好；接入控制技術(shù)——網(wǎng)關(guān)WEB認(rèn)證Cernet網(wǎng)關(guān)認(rèn)證系統(tǒng)AC控制器接入控制技術(shù)——網(wǎng)關(guān)WEB認(rèn)證1、只是在出口網(wǎng)關(guān)位置實(shí)現(xiàn)控制；2、無(wú)法感知和解決內(nèi)網(wǎng)的安全問(wèn)題；3、無(wú)法對(duì)內(nèi)網(wǎng)用戶進(jìn)行精細(xì)化的控制；4、基于優(yōu)化的PC架構(gòu)，無(wú)法實(shí)現(xiàn)性能的提升，已為運(yùn)營(yíng)商所棄用。接入控制技術(shù)——IPoE方式提供ALL-IN-ONE融合的認(rèn)證功能DHCPv4DHCPv6DHCP+Portal認(rèn)證PPPoE認(rèn)證報(bào)文觸發(fā)認(rèn)證L2TP認(rèn)證PPPoEv4PPPoEv6IPv4overL2TPIPv6overL2TPIPv4PTSPIPv6PTSP02010304基于WEBPortal（IPoE）的用戶接入認(rèn)證網(wǎng)絡(luò)中心業(yè)務(wù)控制層接入交換機(jī)全面的校園網(wǎng)精細(xì)化管理方案MX960AMX960BMX960C認(rèn)證計(jì)費(fèi)速率控制權(quán)限控制行為管理……InternetCernet用戶認(rèn)證帶寬/ACL流程：1，用戶側(cè)通過(guò)DHCP獲得IP地址，在MX上相應(yīng)生成demux用戶接口；2，用戶demux接口的默認(rèn)權(quán)限是特定的資源，當(dāng)訪問(wèn)其他資源時(shí)，通過(guò)httpredirect重定向到portal頁(yè)面上；3，用戶在portal頁(yè)面上輸入用戶名和口令，認(rèn)證成功后，radius系統(tǒng)下發(fā)屬性，調(diào)用定義的訪問(wèn)策略，對(duì)用戶的demux端口進(jìn)行控制，開(kāi)放用戶特定的訪問(wèn)權(quán)限；Radius+Portal校園網(wǎng)實(shí)名制和計(jì)費(fèi)功能的實(shí)現(xiàn)實(shí)名制是校園網(wǎng)精細(xì)化發(fā)展的方向能夠做到用戶身份和網(wǎng)絡(luò)行為的一一對(duì)應(yīng)能夠做到基于用戶角色的控制能夠?qū)崿F(xiàn)用戶訪問(wèn)網(wǎng)絡(luò)的計(jì)費(fèi)功能能夠提供審計(jì)功能，做到有據(jù)可查MX系列核心路由器支持用戶管理功能，在作為核心路由器的同時(shí)，提供用戶接入網(wǎng)絡(luò)時(shí)的認(rèn)證、控制和計(jì)費(fèi)功能核心路由用戶管理MX部署方案A物理結(jié)構(gòu)：三層（核心、匯聚、接入）核心層匯聚層接入層校園網(wǎng)業(yè)務(wù)控制層部署方案B物理結(jié)構(gòu)：三層（核心、匯聚、接入）核心層匯聚層接入層部署方案C物理結(jié)構(gòu)：三層（核心、匯聚、接入）核心層匯聚層接入層QinQ和地址規(guī)劃Vlan1-24Vlan1-24Vlan1-24增加外層標(biāo)簽1001增加外層標(biāo)簽1002增加外層標(biāo)簽100310011-2410021-2410031-24提供IPv4/IPv6雙棧的終結(jié)和控制功能無(wú)需IPv6支持無(wú)需IPv6支持IPv4address：/24IPv6address：2001:10ad::1/64海量配置的自動(dòng)生成校園網(wǎng)采用了VLAN細(xì)分的方式大量的VLAN帶來(lái)了大量的配置基于模板的auto-configIPv6的實(shí)名制和精細(xì)化控制SLAAC（簡(jiǎn)單、兼容）PPPoE（實(shí)名制、精細(xì)控制認(rèn)證、客戶端）DHCP（實(shí)名制、精細(xì)控制，如何兼容）MXsupportDHCPv6IPv6組播的實(shí)現(xiàn)MX核心路由器能夠?qū)崿F(xiàn)基于硬件的IPv6組播復(fù)制，支持每板卡4000并發(fā)用戶同時(shí)在線觀看視頻節(jié)目Cernet華東北節(jié)點(diǎn)測(cè)試驗(yàn)證無(wú)需匯聚接入設(shè)備支持IPv6組播核心匯聚