大二層按需構(gòu)建靈活的精細(xì)化的校園網(wǎng)絡(luò)

按需構(gòu)建靈活的、精細(xì)化的校園網(wǎng)絡(luò)議題傳統(tǒng)高校校園網(wǎng)絡(luò)分析新型校園網(wǎng)的目標(biāo)和思路新型校園網(wǎng)技術(shù)實現(xiàn)高校的煩惱

2

創(chuàng)新的壓力監(jiān)管的壓力管理的壓力高校高校校園網(wǎng)最關(guān)注的方面業(yè)務(wù)、應(yīng)用、用戶的承載能力政策和法律法規(guī)的要求管理維護(hù)工作量和難度這些方面是不同區(qū)域不同規(guī)模的學(xué)校所共同關(guān)注的，網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)部署模式?jīng)Q定了問題存在的必然性大車?yán)●R，小馬拉大車頭疼醫(yī)頭，腳痛醫(yī)腳核心層匯聚層接入層用戶接入相互隔離速率限制802.1X接入控制DHCP偵聽動態(tài)ARP檢測IPv4三層終結(jié)IPv6三層終結(jié)單播、組播控制ACLQoSVPN高速轉(zhuǎn)發(fā)傳統(tǒng)校園網(wǎng)“倒掛”的構(gòu)架現(xiàn)有校園網(wǎng)中經(jīng)常面臨的問題網(wǎng)絡(luò)病毒的傳播和感染，控制手法匱乏ARP欺騙帶來的大面積影響，控制手法匱乏網(wǎng)絡(luò)資源的公平性欠缺

——部分人下載占據(jù)大量出口帶寬，影響他人的網(wǎng)絡(luò)訪問和學(xué)習(xí)無法實現(xiàn)差異化的服務(wù)

——網(wǎng)絡(luò)層的簡單互通，無法針對不同群體用戶實現(xiàn)不同的服務(wù)管理維護(hù)工作量的增加，網(wǎng)段多故障過于分散扁平化精細(xì)化平臺化下一代校園網(wǎng)"新思路，新方法"扁平化用戶接入VLAN隔離IPv4/IPv6雙棧線速轉(zhuǎn)發(fā)IPv4/IPv6雙棧組播控制ACL、速率限制QoSVPN基于用戶的認(rèn)證接入和控制業(yè)務(wù)控制層寬帶接入層QinQVLAN隔離大車和小馬各司其職，各盡所長更高效更穩(wěn)定更省錢扁平化帶來的優(yōu)勢控制集中、部署簡單、擴展方便由能力最強，功能最豐富的核心設(shè)備提供業(yè)務(wù)控制和管理豐富的功能較好的性能穩(wěn)定、可靠匯聚/接入設(shè)備，則提供其力所能及的基本功能只提供基本的二層VLAN隔離功能無需支持新的業(yè)務(wù)和功能降低設(shè)備投資（數(shù)量眾多！）由于功能簡單，因此更加穩(wěn)定可靠全網(wǎng)投資的下降，運行成本（電力、空調(diào)）成本的大幅降低網(wǎng)絡(luò)架構(gòu)更易于擴展和管理精細(xì)化用戶可分、可離行為可控、可審應(yīng)用可知、可保精細(xì)化控制傳統(tǒng)的校園網(wǎng)是粗放型的網(wǎng)絡(luò)只是滿足了基本的網(wǎng)絡(luò)互聯(lián)互通的需求，但缺乏相應(yīng)的審計和控制手段用戶之間互相影響，網(wǎng)絡(luò)中的攻擊泛濫，如ARP攻擊/DHCP仿冒/IP仿冒；用戶只要接上網(wǎng)絡(luò)，就能獲得網(wǎng)絡(luò)的使用權(quán)，整個訪問過程沒有針對性的記錄、審計和基于用戶的控制，導(dǎo)致了網(wǎng)絡(luò)的無序使用網(wǎng)絡(luò)使用沒有實名制，用戶訪問行為沒有記錄，出現(xiàn)問題無法追查；缺乏針對性的控制，網(wǎng)絡(luò)帶寬被大量占用，重要應(yīng)用得不到帶寬保障；難以實現(xiàn)靈活的用戶控制、如基于身份、時間、位置等……用戶的精細(xì)化控制的手段基于邏輯接口實現(xiàn)每個接入端口在核心設(shè)備上對應(yīng)一個邏輯接口在接口上提供速率限制、訪問權(quán)限控制等能夠基于每個用戶實現(xiàn)基于用戶的身份，在用戶認(rèn)證時動態(tài)下發(fā)控制屬性，對用戶的訪問速率、權(quán)限等進(jìn)行控制能夠基于不同類型的接入方式開放/關(guān)閉相應(yīng)的業(yè)務(wù)功能由于AP的性能問題，建議關(guān)閉IPv4/IPv6multicast業(yè)務(wù)僅開放單播業(yè)務(wù)平臺化網(wǎng)絡(luò)中心業(yè)務(wù)控制層接入交換機MX960AMX960BMX960CInternetCernet用戶認(rèn)證帶寬/ACLRadiusPortal數(shù)據(jù)中心出口平臺化QinQ和地址規(guī)劃Vlan1-24Vlan1-24Vlan1-24增加外層標(biāo)簽1001增加外層標(biāo)簽1002增加外層標(biāo)簽100310011-2410021-2410031-24提供IPv4/IPv6雙棧的終結(jié)和控制功能無需IPv6支持無需IPv6支持IPv4address：/24IPv6address：2001:10ad::1/64基于WEBPortal（IPoE）的用戶接入認(rèn)證網(wǎng)絡(luò)中心業(yè)務(wù)控制層接入交換機MX960AMX960BMX960C認(rèn)證計費速率控制權(quán)限控制行為管理……InternetCernet用戶認(rèn)證帶寬/ACL流程：1，用戶側(cè)通過DHCP獲得IP地址，在MX上相應(yīng)生成demux用戶接口；2，用戶demux接口的默認(rèn)權(quán)限是特定的資源，當(dāng)訪問其他資源時，通過httpredirect重定向到portal頁面上；3，用戶在portal頁面上輸入用戶名和口令，認(rèn)證成功后，radius系統(tǒng)下發(fā)屬性，調(diào)用定義的訪問策略，對用戶的demux端口進(jìn)行控制，開放用戶特定的訪問權(quán)限；Radius+Portal網(wǎng)絡(luò)中用戶的統(tǒng)計和分析（僅DHCP，無需用戶認(rèn)證）IPv6組播情況統(tǒng)計—按照頻道統(tǒng)計校園網(wǎng)有線無線一體化的實現(xiàn)以MX為核心的有線無線一體化校園網(wǎng)SinglefabricusingVirtualChassistechnologyMXAccess

Layer10GbEserversPoEPoE10GEwithLAGWLC-2800MP-532APsCUG全校有線無線一體化認(rèn)證Aruba6000_masterAruba6000_EAruba6000_WAruba6000_NAC6000

4臺AP1200多臺基于每個用戶的管理（僅DHCP，無需用戶認(rèn)證）PortVLANSubscriberInterfaceSubscriberInterfaceVLANSubscriberInterfaceSubscriberInterfaceCUG基于瘦客戶端的應(yīng)用案例地大在其瘦客戶端上開發(fā)了一些特性功能，如提供了用戶多項出口選擇功能：提供給學(xué)生自由自主的上網(wǎng)平臺和環(huán)境，同時也提供了部分用戶的認(rèn)證直接進(jìn)入VPN，如圖書館；計費的實現(xiàn)（基于時長、流量）基于Netflow的精細(xì)化流量分析和計費功能后臺數(shù)據(jù)庫，針對帳號及Channel的復(fù)合記錄校園網(wǎng)不再是“黑盒子”用戶相互隔離多業(yè)務(wù)功能支持細(xì)致的控制行為識別追蹤遠(yuǎn)程實時診斷基于Netflow的精細(xì)化流量分析和計費功能用戶賬單查詢，上網(wǎng)時間及流量等內(nèi)容，都區(qū)分了非優(yōu)惠和優(yōu)惠方式；流量日志每隔5—10秒增量備份一次，保存在專門的備份目錄里面，目前保存時長是一年；用戶認(rèn)證進(jìn)入不同的MPLSVPN[edit]lab@CUG-MX960-RE1#showrouting-instances?Possiblecompletions:DMTJS_GL_VPNRoutinginstancename————多媒體教室VRFNMA_GL_VPNRoutinginstancename————網(wǎng)管VRTSG_GL_VPN_700Routinginstancename————圖書館VRFUnit_Server_Storage_VPNRoutinginstancename————服務(wù)器存儲的VRFWireless_AP_GL_VPNRoutinginstancename————無線AP/AC互聯(lián)的VRFYKT_GL_VPN_902Routinginstancename————一卡通VRFto_3A-PortalRoutinginstancename————forward，做FBF的filterto_TSG_GL_VPNRoutinginstancename————virtual-router，IPoE直接接入圖書館VPNto_dianxinRoutinginstancename————forward，做FBF的filterto_jiaoyuRoutinginstancename————forward，做FBF的filterto_wangtongRoutinginstancename————forward，做FBF的filter

。。。。。。MX960上面建立了多種VPN，有VRF、VR、Forwarding；地質(zhì)大學(xué)目前正在部署“節(jié)能水電VRF”，管理全校水電信息；核心交換機匯聚交換機接入交換機…………接入控制：帳號+IP＋MAC＋端口接入時段控制認(rèn)證計費報文上網(wǎng)業(yè)務(wù)數(shù)據(jù)認(rèn)證客戶端交換機接入控制用戶Web自助服務(wù)器SAMServer數(shù)據(jù)庫Server計費管理系統(tǒng)INTERNETFW接入交換機接入控制技術(shù)——802.1X1、交換機彼此兼容性問題網(wǎng)絡(luò)設(shè)備不兼容、擴展功能不兼容2、終端問題，不適應(yīng)當(dāng)今終端接入方式客戶端不兼容，安全特性不兼容；3、計費策略問題旁掛架構(gòu)沒法對流量實施細(xì)分計費策略，無法提供復(fù)雜計費策略；只能按照時長計費，802.1X的流量統(tǒng)計都是基于交換機端口的；4、多節(jié)點的管理問題較為分散的控制點，不利于進(jìn)行整網(wǎng)的運營管理及控制5、影響低端接入交換機運行的穩(wěn)定性接入控制技術(shù)——802.1X接入控制技術(shù)——PPPoEserversradius認(rèn)證計費CernetBRAS設(shè)備接入控制技術(shù)——PPPoE1、專有客戶端需求，不適應(yīng)當(dāng)今無客戶接入方式2、PPPoE封裝和解封裝，帶來效率的降低；3、組播的天然缺陷，非純IP報文，組播支持不好；接入控制技術(shù)——網(wǎng)關(guān)WEB認(rèn)證Cernet網(wǎng)關(guān)認(rèn)證系統(tǒng)AC控制器接入控制技術(shù)——網(wǎng)關(guān)WEB認(rèn)證1、只是在出口網(wǎng)關(guān)位置實現(xiàn)控制；2、無法感知和解決內(nèi)網(wǎng)的安全問題；3、無法對內(nèi)網(wǎng)用戶進(jìn)行精細(xì)化的控制；4、基于優(yōu)化的PC架構(gòu)，無法實現(xiàn)性能的提升，已為運營商所棄用。接入控制技術(shù)——IPoE方式提供ALL-IN-ONE融合的認(rèn)證功能DHCPv4DHCPv6DHCP+Portal認(rèn)證PPPoE認(rèn)證報文觸發(fā)認(rèn)證L2TP認(rèn)證PPPoEv4PPPoEv6IPv4overL2TPIPv6overL2TPIPv4PTSPIPv6PTSP02010304基于WEBPortal（IPoE）的用戶接入認(rèn)證網(wǎng)絡(luò)中心業(yè)務(wù)控制層接入交換機全面的校園網(wǎng)精細(xì)化管理方案MX960AMX960BMX960C認(rèn)證計費速率控制權(quán)限控制行為管理……InternetCernet用戶認(rèn)證帶寬/ACL流程：1，用戶側(cè)通過DHCP獲得IP地址，在MX上相應(yīng)生成demux用戶接口；2，用戶demux接口的默認(rèn)權(quán)限是特定的資源，當(dāng)訪問其他資源時，通過httpredirect重定向到portal頁面上；3，用戶在portal頁面上輸入用戶名和口令，認(rèn)證成功后，radius系統(tǒng)下發(fā)屬性，調(diào)用定義的訪問策略，對用戶的demux端口進(jìn)行控制，開放用戶特定的訪問權(quán)限；Radius+Portal校園網(wǎng)實名制和計費功能的實現(xiàn)實名制是校園網(wǎng)精細(xì)化發(fā)展的方向能夠做到用戶身份和網(wǎng)絡(luò)行為的一一對應(yīng)能夠做到基于用戶角色的控制能夠?qū)崿F(xiàn)用戶訪問網(wǎng)絡(luò)的計費功能能夠提供審計功能，做到有據(jù)可查MX系列核心路由器支持用戶管理功能，在作為核心路由器的同時，提供用戶接入網(wǎng)絡(luò)時的認(rèn)證、控制和計費功能核心路由用戶管理MX部署方案A物理結(jié)構(gòu)：三層（核心、匯聚、接入）核心層匯聚層接入層校園網(wǎng)業(yè)務(wù)控制層部署方案B物理結(jié)構(gòu)：三層（核心、匯聚、接入）核心層匯聚層接入層部署方案C物理結(jié)構(gòu)：三層（核心、匯聚、接入）核心層匯聚層接入層QinQ和地址規(guī)劃Vlan1-24Vlan1-24Vlan1-24增加外層標(biāo)簽1001增加外層標(biāo)簽1002增加外層標(biāo)簽100310011-2410021-2410031-24提供IPv4/IPv6雙棧的終結(jié)和控制功能無需IPv6支持無需IPv6支持IPv4address：/24IPv6address：2001:10ad::1/64海量配置的自動生成校園網(wǎng)采用了VLAN細(xì)分的方式大量的VLAN帶來了大量的配置基于模板的auto-configIPv6的實名制和精細(xì)化控制SLAAC（簡單、兼容）PPPoE（實名制、精細(xì)控制認(rèn)證、客戶端）DHCP（實名制、精細(xì)控制，如何兼容）MXsupportDHCPv6IPv6組播的實現(xiàn)MX核心路由器能夠?qū)崿F(xiàn)基于硬件的IPv6組播復(fù)制，支持每板卡4000并發(fā)用戶同時在線觀看視頻節(jié)目Cernet華東北節(jié)點測試驗證無需匯聚接入設(shè)備支持IPv6組播核心匯聚