版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領
文檔簡介
按需構(gòu)建靈活的、精細化的校園網(wǎng)絡議題傳統(tǒng)高校校園網(wǎng)絡分析新型校園網(wǎng)的目標和思路新型校園網(wǎng)技術實現(xiàn)高校的煩惱
2
創(chuàng)新的壓力監(jiān)管的壓力管理的壓力高校高校校園網(wǎng)最關注的方面業(yè)務、應用、用戶的承載能力政策和法律法規(guī)的要求管理維護工作量和難度這些方面是不同區(qū)域不同規(guī)模的學校所共同關注的,網(wǎng)絡架構(gòu)和業(yè)務部署模式?jīng)Q定了問題存在的必然性大車拉小馬,小馬拉大車頭疼醫(yī)頭,腳痛醫(yī)腳核心層匯聚層接入層用戶接入相互隔離速率限制802.1X接入控制DHCP偵聽動態(tài)ARP檢測IPv4三層終結(jié)IPv6三層終結(jié)單播、組播控制ACLQoSVPN高速轉(zhuǎn)發(fā)傳統(tǒng)校園網(wǎng)“倒掛”的構(gòu)架現(xiàn)有校園網(wǎng)中經(jīng)常面臨的問題網(wǎng)絡病毒的傳播和感染,控制手法匱乏ARP欺騙帶來的大面積影響,控制手法匱乏網(wǎng)絡資源的公平性欠缺——部分人下載占據(jù)大量出口帶寬,影響他人的網(wǎng)絡訪問和學習無法實現(xiàn)差異化的服務——網(wǎng)絡層的簡單互通,無法針對不同群體用戶實現(xiàn)不同的服務管理維護工作量的增加,網(wǎng)段多故障過于分散扁平化精細化平臺化下一代校園網(wǎng)"新思路,新方法"扁平化用戶接入VLAN隔離IPv4/IPv6雙棧線速轉(zhuǎn)發(fā)IPv4/IPv6雙棧組播控制ACL、速率限制QoSVPN基于用戶的認證接入和控制業(yè)務控制層寬帶接入層QinQVLAN隔離大車和小馬各司其職,各盡所長更高效更穩(wěn)定更省錢扁平化帶來的優(yōu)勢控制集中、部署簡單、擴展方便由能力最強,功能最豐富的核心設備提供業(yè)務控制和管理豐富的功能較好的性能穩(wěn)定、可靠匯聚/接入設備,則提供其力所能及的基本功能只提供基本的二層VLAN隔離功能無需支持新的業(yè)務和功能降低設備投資(數(shù)量眾多!)由于功能簡單,因此更加穩(wěn)定可靠全網(wǎng)投資的下降,運行成本(電力、空調(diào))成本的大幅降低網(wǎng)絡架構(gòu)更易于擴展和管理精細化用戶可分、可離行為可控、可審應用可知、可保精細化控制制傳統(tǒng)的校園園網(wǎng)是粗放放型的網(wǎng)絡絡只是滿足了了基本的網(wǎng)網(wǎng)絡互聯(lián)互互通的需求求,但缺乏乏相應的審審計和控制制手段用戶之間互互相影響,,網(wǎng)絡中的的攻擊泛濫濫,如ARP攻擊/DHCP仿冒/IP仿冒;用戶只要接接上網(wǎng)絡,,就能獲得得網(wǎng)絡的使使用權(quán),整整個訪問過過程沒有針針對性的記記錄、審計計和基于用用戶的控制制,導致了了網(wǎng)絡的無無序使用網(wǎng)絡使用沒沒有實名制制,用戶訪訪問行為沒沒有記錄,,出現(xiàn)問題題無法追查查;缺乏針對性性的控制,,網(wǎng)絡帶寬寬被大量占占用,重要要應用得不不到帶寬保保障;難以實現(xiàn)靈靈活的用戶戶控制、如如基于身份份、時間、、位置等……用戶的精細細化控制的的手段基于邏輯接接口實現(xiàn)每個接入端端口在核心心設備上對對應一個邏邏輯接口在接口上提提供速率限限制、訪問問權(quán)限控制制等能夠基于每每個用戶實實現(xiàn)基于用戶的的身份,在在用戶認證證時動態(tài)下下發(fā)控制屬屬性,對用用戶的訪問問速率、權(quán)權(quán)限等進行行控制能夠基于不不同類型的的接入方式式開放/關閉相應的的業(yè)務功能能由于AP的性能問題題,建議關關閉IPv4/IPv6multicast業(yè)務僅開放單播播業(yè)務平臺化網(wǎng)絡中心業(yè)務控制層層接入交換機機MX960AMX960BMX960CInternetCernet用戶認證帶寬/ACLRadiusPortal數(shù)據(jù)中心出口平臺化QinQ和地址規(guī)劃劃Vlan1-24Vlan1-24Vlan1-24增加外層標標簽1001增加外層標標簽1002增加外層標標簽100310011-2410021-2410031-24提供IPv4/IPv6雙棧的終結(jié)和控控制功能無需IPv6支持無需IPv6支持IPv4address:/24IPv6address:2001:10ad::1/64基于于WEBPortal(IPoE)的的用用戶戶接接入入認認證證網(wǎng)絡絡中中心心業(yè)務控制層接入交換機MX960AMX960BMX960C認證計費速率控制權(quán)限控制行為管理……InternetCernet用戶認證帶寬/ACL流程:1,用戶側(cè)通通過DHCP獲得IP地址,在MX上相應生成demux用戶接口;2,用戶demux接口的默認權(quán)權(quán)限是特定的的資源,當訪訪問其他資源源時,通過httpredirect重定向到portal頁面上;3,用戶在portal頁面上輸入用用戶名和口令令,認證成功功后,radius系統(tǒng)下發(fā)屬性性,調(diào)用定義義的訪問策略略,對用戶的的demux端口口進進行行控控制制,,開開放放用用戶戶特特定定的的訪訪問問權(quán)權(quán)限限;;Radius+Portal網(wǎng)絡絡中中用用戶戶的的統(tǒng)統(tǒng)計計和和分分析析((僅僅DHCP,無無需需用用戶戶認認證證))IPv6組播播情情況況統(tǒng)統(tǒng)計計—按照照頻頻道道統(tǒng)統(tǒng)計計校園園網(wǎng)網(wǎng)有有線線無無線線一一體體化化的的實實現(xiàn)現(xiàn)以MX為核核心心的的有有線線無無線線一一體體化化校校園園網(wǎng)網(wǎng)SinglefabricusingVirtualChassistechnologyMXAccessLayer10GbEserversPoEPoE10GEwithLAGWLC-2800MP-532APsCUG全校校有有線線無無線線一一體體化化認認證證Aruba6000_masterAruba6000_EAruba6000_WAruba6000_NAC60004臺AP1200多臺基于每每個用用戶的的管理理(僅僅DHCP,無需需用戶戶認證證)PortVLANSubscriberInterfaceSubscriberInterfaceVLANSubscriberInterfaceSubscriberInterfaceCUG基于瘦客客戶端的的應用案案例地大在其其瘦客戶戶端上開開發(fā)了一一些特性性功能,,如提供供了用戶戶多項出出口選擇擇功能::提供給學學生自由由自主的的上網(wǎng)平平臺和環(huán)環(huán)境,同同時也提提供了部部分用戶戶的認證證直接進進入VPN,如圖書書館;計費的實實現(xiàn)(基基于時長長、流量量)基于Netflow的精細化化流量分分析和計計費功能能后臺數(shù)據(jù)據(jù)庫,針針對帳號號及Channel的復合記記錄校園網(wǎng)不不再是““黑盒子子”用戶相互互隔離多業(yè)務功功能支持持細致的控控制行為識別別追蹤遠程實時時診斷基于Netflow的精細化化流量分分析和計計費功能能用戶賬單單查詢,,上網(wǎng)時時間及流流量等內(nèi)內(nèi)容,都都區(qū)分了了非優(yōu)惠惠和優(yōu)惠惠方式;;流量日志每每隔5—10秒增量備份份一次,保保存在專門門的備份目目錄里面,,目前保存存時長是一一年;用戶認證進進入不同的的MPLSVPN[edit]lab@CUG-MX960-RE1#showrouting-instances?Possiblecompletions:DMTJS_GL_VPNRoutinginstancename————多媒體教室室VRFNMA_GL_VPNRoutinginstancename————網(wǎng)管VRTSG_GL_VPN_700Routinginstancename————圖書館VRFUnit_Server_Storage_VPNRoutinginstancename—————服務器存儲儲的VRFWireless_AP_GL_VPNRoutinginstancename—————無線AP/AC互聯(lián)的VRFYKT_GL_VPN_902Routinginstancename——————一卡通VRFto_3A-PortalRoutinginstancename——————forward,做FBF的filterto_TSG_GL_VPNRoutinginstancename——————virtual-router,IPoE直接接入圖圖書館VPNto_dianxinRoutinginstancename——————forward,做FBF的filterto_jiaoyuRoutinginstancename——————forward,做FBF的filterto_wangtongRoutinginstancename——————forward,做FBF的filter。。。。。。。MX960上面建立了了多種VPN,有VRF、VR、Forwarding;地質(zhì)大學目目前正在部部署“節(jié)能能水電VRF”,管理全全校水電信信息;核心交換機機匯聚交換機機接入交換機機…………接入控制::帳號+IP+MAC+端口接入入時時段段控控制制認證證計計費費報報文文上網(wǎng)網(wǎng)業(yè)業(yè)務務數(shù)數(shù)據(jù)據(jù)認證證客客戶戶端端交換機接入控制用戶戶Web自助助服服務務器器SAMServer數(shù)據(jù)據(jù)庫庫Server計費費管管理理系系統(tǒng)統(tǒng)INTERNETFW接入入交交換換機機接入入控控制制技技術術———802.1X1、交交換換機機彼彼此此兼兼容容性性問問題題網(wǎng)絡絡設設備備不不兼兼容容、、擴擴展展功功能能不不兼兼容容2、終終端端問問題題,,不不適適應應當當今今終終端端接接入入方方式式客戶戶端端不不兼兼容容,,安安全全特特性性不不兼兼容容;;3、計計費費策策略略問問題題旁掛掛架架構(gòu)構(gòu)沒沒法法對對流流量量實實施施細細分分計計費費策策略略,,無無法法提提供供復復雜雜計計費費策策略略;;只能能按按照照時時長長計計費費,,802.1X的流流量量統(tǒng)統(tǒng)計計都都是是基基于于交交換換機機端端口口的的;;4、多多節(jié)節(jié)點點的的管管理理問問題題較為為分分散散的的控控制制點點,,不不利利于于進進行行整整網(wǎng)網(wǎng)的的運運營營管管理理及及控控制制5、影響響低低端端接接入入交交換換機機運運行行的的穩(wěn)穩(wěn)定定性性接入入控控制制技技術術———802.1X接入入控控制制技技術術———PPPoEserversradius認證證計計費費CernetBRAS設備備接入入控控制制技技術術———PPPoE1、專專有有客客戶戶端端需需求求,,不不適適應應當當今今無無客客戶戶接接入入方方式式2、PPPoE封裝裝和和解解封封裝裝,,帶帶來來效效率率的的降降低低;;3、組組播播的的天天然然缺缺陷陷,,非非純純IP報文文,,組組播播支支持持不不好好;;接入入控控制制技技術術———網(wǎng)關關WEB認證證Cernet網(wǎng)關關認認證證系系統(tǒng)統(tǒng)AC控制器接入控制制技術——網(wǎng)關WEB認證1、只是在在出口網(wǎng)網(wǎng)關位置置實現(xiàn)控控制;2、無法感感知和解解決內(nèi)網(wǎng)網(wǎng)的安全全問題;;3、無法對對內(nèi)網(wǎng)用用戶進行行精細化化的控制制;4、基于優(yōu)優(yōu)化的PC架構(gòu),無無法實現(xiàn)現(xiàn)性能的的提升,,已為運運營商所所棄用。。接入控制制技術——IPoE方式提供ALL-IN-ONE融合的認認證功能能DHCPv4DHCPv6DHCP+Portal認證PPPoE認證報文觸發(fā)認證L2TP認證PPPoEv4PPPoEv6IPv4overL2TPIPv6overL2TPIPv4PTSPIPv6PTSP02010304基于WEBPortal(IPoE)的用戶接入入認證網(wǎng)絡中心業(yè)務控制層接入交換機全面的校園網(wǎng)網(wǎng)精細化管理理方案MX960AMX960BMX960C認證計費速率控制權(quán)限控制行為管理……InternetCernet用戶認證帶寬/ACL流程:1,用戶側(cè)通通過DHCP獲得IP地址,在MX上相應生成demux用戶接口;2,用戶demux接口的默認權(quán)權(quán)限是特定的的資源,當訪訪問其他資源源時,通過httpredirect重定向到portal頁面上;3,用戶在portal頁面上輸入用用戶名和口令令,認證成功功后,radius系統(tǒng)下發(fā)屬性性,調(diào)用定義義的訪問策略略,對用戶的的demux端口進行控制制,開放用戶戶特定的訪問問權(quán)限;Radius+Portal校園網(wǎng)實名制制和計費功能能的實現(xiàn)實名制是校園園網(wǎng)精細化發(fā)發(fā)展的方向能夠做到用用戶身份和和網(wǎng)絡行為為的一一對對應能夠做到基基于用戶角角色的控制制能夠?qū)崿F(xiàn)用用戶訪問網(wǎng)網(wǎng)絡的計費費功能能夠提供審審計功能,,做到有據(jù)據(jù)可查MX系列核心路路由器支持持用戶管理理功能,在在作為核心心路由器的的同時,提提供用戶接接入網(wǎng)絡時時的認證、、控制和計計費功能核心路由用戶管理MX部署方案A物理結(jié)構(gòu)::三層(核核心、匯聚聚、接入))核心層匯聚層接入層校園網(wǎng)業(yè)務務控制層部署方案B物理結(jié)構(gòu)::三層(核核心、匯聚聚、接入))核心層匯聚層接入層部署方案C物理結(jié)構(gòu)::三層(核核心、匯聚聚、接入))核心層匯聚層接入層QinQ和地址規(guī)劃劃Vlan1-24Vlan1-24Vlan1-24增加外層標標簽1001增加外層標標簽1002增加外層標標簽100310011-2410021-2410031-24提供IPv4/IPv6雙棧的終結(jié)和控控制功能無需IPv6支持無需IPv6支持IPv4address:/24IPv6address:2001:10ad::1/64海量配置的的自動生成成校園網(wǎng)采用用了VLAN細分的方式式大量的VLAN帶來了大量量的配置基于模板的的auto-configIPv6的實名制和和精細化控控制SLAAC(簡單、兼容)PPPoE(實名制、精細控制認證、客戶端)DHCP(實名制、精細控制,如何兼容)MXsupportDHCPv6IPv6組播的實現(xiàn)現(xiàn)MX核心路由器器能夠?qū)崿F(xiàn)現(xiàn)基于硬件件的IPv6組播復制,,支持每板板卡4000并發(fā)用戶同同時在線觀觀看視頻節(jié)節(jié)目Cernet華東北節(jié)點點測試驗證證無需匯聚接接入設備支支持IPv6組播核心匯聚Cernet2邊界路由由器接入以MX為核心的有線線無線一體化化校園網(wǎng)SinglefabricusingVirtualChassistechnologyMXAccessLayer10GbEserversPoEPoE10GEwithLAGWLC-2800MP-532APsCUG全校有線無線線一體化認證證AP和AC建立二層隧道道,用戶所有有DHCP報文經(jīng)AP和AC6000透傳至MX960,從而獲取相相應地址(流流程跟有線IPoE一致);MX960上建立WirelessVRF,負責所有AP和AC之間的互通;;讓無線用戶戶流量在專用用VPN里面?zhèn)鬏?,跟跟普通有線業(yè)業(yè)務流量隔離離開;MX960負責所有無線線用戶的IPoE接入認證,策策略下發(fā);AC6000根據(jù)接入AP和SSID,將不同AP/SSID用戶劃入相應應上行子接口口;WirelessVRFL2tunnelTrunk可靠性的保證證:多機箱動動態(tài)分擔MX960-1匯聚交換機匯聚交換機MX960-2可靠性的保證證:多機箱虛虛擬化匯聚交換機匯聚交換機MX960VirtualChassis一卡通、科研研專網(wǎng)的承載載N平面是指在同同一個物理平平臺上構(gòu)建出出多個邏輯上上完全獨立的的網(wǎng)絡平臺,,這些網(wǎng)絡平平臺和主網(wǎng)絡絡平臺具有相相同的功能系統(tǒng)C系統(tǒng)A系統(tǒng)B江西高校應用用案例高校應用案例例高校應用案例例9、靜夜夜四無無鄰,,荒居居舊業(yè)業(yè)貧。。。12月月-2212月月-22Friday,December23,202210、雨中黃葉葉樹,燈下下白頭人。。。09:27:5409:27:5409:2712/23/20229:27:54AM11、以我獨獨沈久,,愧君相相見頻。。。12月-2209:27:5409:27Dec-2223-Dec-2212、故人人江海海別,,幾度度隔山山川。。。09:27:5409:27:5409:27Friday,December23,202213、乍乍見見翻翻疑疑夢夢,,相相悲悲各各問問年年。。。。12月月-2212月月-2209:27:5509:27:55December23,202214、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā),,舊舊國國見見青青山山。。。。23十十二二月月20229:27:55上上午午09:27:5512月月-2215、比不了得就就不比,得不不到的就不要要。。。十二月229:27上上午12月-2209:27December23,202216、行動出成果果,工作出財財富。。2022/12/239:27:5509:27:5523December202217、做做前前,,能能夠夠環(huán)環(huán)視視四四周周;;做做時時,,你你只只能能或或者者最最好好沿沿著著以以腳腳為為起起點點的的射射線線向向前前。。。。9:27:55上午午9:27上午午09:27:5512月-229、沒有失失敗,只只有暫時時停止成成功!。。12月-2212月-22Friday,December23,202210、很多事情努努力了未必有有結(jié)果,但是是不努力卻什什么改變也沒沒有。。09:27:5509:27:5509:2712/23/20229:27:55AM11、成功就是是日復一日日那一點點點小小努力力的積累。。。12月-2209:27:5509:27Dec-2223-Dec-2212、世間成事事,不求其其絕對圓滿滿,留一份份不足,可可得無限完完美。。09:27:5509:27:5509:27Friday,December23,202213、不不知知香香積積寺寺,,數(shù)數(shù)里里入入云云峰峰。。。。12月月-2212月月-2209:27:5509:27:55December23,202214、意意志志堅堅強強的的人人能能把把世世界界放放在在手手中中像像泥泥塊塊一一樣樣任任意意揉揉捏捏。。23十十二二月月20229:27:55上上午午09:27:5512月月-2215、楚塞三三湘接,,荊門九九派通。。。。十二月229:27上午午12月-2209:27December23,202216、少年十五五二十時,,步行奪得得胡馬騎。。。2022/12/239:27:5509:27:5523Dece
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 石油建設工程合同范例
- 中寧滴灌帶采購合同范例
- 產(chǎn)品家具銷售合同范例
- 合同范例范例蓋房
- 鋼廠鐵屑采購合同范例
- 工廠干活合同范例
- 鋁扣板供貨合同范例
- 勞務砌墻拆墻合同范例
- 景區(qū)收入抵押合同范例
- 倉庫小車出售合同范例
- 學校傳染病控制課件
- 福建省泉州市2023-2024學年高一上學期期末質(zhì)檢英語試題(解析版)
- 2024秋期國家開放大學??啤督ㄔO法規(guī)》一平臺在線形考(形成性作業(yè)一至五)試題及答案
- 中華人民共和國民法典(總則)培訓課件
- 第三單元第1課 標志設計 課件 2024-2025學年人教版(2024)初中美術七年級上冊
- 蘇教版(2024新版)七年級上冊生物期末模擬試卷 3套(含答案)
- 腫瘤物理消融治療新進展
- 《數(shù)字信號處理(第2版)》本科全套教學課件
- 專題10 特殊的平行四邊形中的最值模型之胡不歸模型(原卷版)
- 賽力斯招聘在線測評題
- 2024秋五年級英語上冊期末專項突破閱讀三回答問題人教PEP
評論
0/150
提交評論