大二层按需构建灵活的精细化的校园网络

按需构建灵活的、精细化的校园网络议题传统高校校园网络分析新型校园网的目标和思路新型校园网技术实现高校的烦恼

2

创新的压力监管的压力管理的压力高校高校校园网最关注的方面业务、应用、用户的承载能力政策和法律法规的要求管理维护工作量和难度这些方面是不同区域不同规模的学校所共同关注的，网络架构和业务部署模式决定了问题存在的必然性大车拉小马，小马拉大车头疼医头，脚痛医脚核心层汇聚层接入层用户接入相互隔离速率限制802.1X接入控制DHCP侦听动态ARP检测IPv4三层终结IPv6三层终结单播、组播控制ACLQoSVPN高速转发传统校园网“倒挂”的构架现有校园网中经常面临的问题网络病毒的传播和感染，控制手法匮乏ARP欺骗带来的大面积影响，控制手法匮乏网络资源的公平性欠缺

——部分人下载占据大量出口带宽，影响他人的网络访问和学习无法实现差异化的服务

——网络层的简单互通，无法针对不同群体用户实现不同的服务管理维护工作量的增加，网段多故障过于分散扁平化精细化平台化下一代校园网"新思路，新方法"扁平化用户接入VLAN隔离IPv4/IPv6双栈线速转发IPv4/IPv6双栈组播控制ACL、速率限制QoSVPN基于用户的认证接入和控制业务控制层宽带接入层QinQVLAN隔离大车和小马各司其职，各尽所长更高效更稳定更省钱扁平化带来的优势控制集中、部署简单、扩展方便由能力最强，功能最丰富的核心设备提供业务控制和管理丰富的功能较好的性能稳定、可靠汇聚/接入设备，则提供其力所能及的基本功能只提供基本的二层VLAN隔离功能无需支持新的业务和功能降低设备投资（数量众多！）由于功能简单，因此更加稳定可靠全网投资的下降，运行成本（电力、空调）成本的大幅降低网络架构更易于扩展和管理精细化用户可分、可离行为可控、可审应用可知、可保精细化控制传统的校园网是粗放型的网络只是满足了基本的网络互联互通的需求，但缺乏相应的审计和控制手段用户之间互相影响，网络中的攻击泛滥，如ARP攻击/DHCP仿冒/IP仿冒；用户只要接上网络，就能获得网络的使用权，整个访问过程没有针对性的记录、审计和基于用户的控制，导致了网络的无序使用网络使用没有实名制，用户访问行为没有记录，出现问题无法追查；缺乏针对性的控制，网络带宽被大量占用，重要应用得不到带宽保障；难以实现灵活的用户控制、如基于身份、时间、位置等……用户的精细化控制的手段基于逻辑接口实现每个接入端口在核心设备上对应一个逻辑接口在接口上提供速率限制、访问权限控制等能够基于每个用户实现基于用户的身份，在用户认证时动态下发控制属性，对用户的访问速率、权限等进行控制能够基于不同类型的接入方式开放/关闭相应的业务功能由于AP的性能问题，建议关闭IPv4/IPv6multicast业务仅开放单播业务平台化网络中心业务控制层接入交换机MX960AMX960BMX960CInternetCernet用户认证带宽/ACLRadiusPortal数据中心出口平台化QinQ和地址规划Vlan1-24Vlan1-24Vlan1-24增加外层标签1001增加外层标签1002增加外层标签100310011-2410021-2410031-24提供IPv4/IPv6双栈的终结和控制功能无需IPv6支持无需IPv6支持IPv4address：/24IPv6address：2001:10ad::1/64基于WEBPortal（IPoE）的用户接入认证网络中心业务控制层接入交换机MX960AMX960BMX960C认证计费速率控制权限控制行为管理……InternetCernet用户认证带宽/ACL流程：1，用户侧通过DHCP获得IP地址，在MX上相应生成demux用户接口；2，用户demux接口的默认权限是特定的资源，当访问其他资源时，通过httpredirect重定向到portal页面上；3，用户在portal页面上输入用户名和口令，认证成功后，radius系统下发属性，调用定义的访问策略，对用户的demux端口进行控制，开放用户特定的访问权限；Radius+Portal网络中用户的统计和分析（仅DHCP，无需用户认证）IPv6组播情况统计—按照频道统计校园网有线无线一体化的实现以MX为核心的有线无线一体化校园网SinglefabricusingVirtualChassistechnologyMXAccess

Layer10GbEserversPoEPoE10GEwithLAGWLC-2800MP-532APsCUG全校有线无线一体化认证Aruba6000_masterAruba6000_EAruba6000_WAruba6000_NAC6000

4台AP1200多台基于每个用户的管理（仅DHCP，无需用户认证）PortVLANSubscriberInterfaceSubscriberInterfaceVLANSubscriberInterfaceSubscriberInterfaceCUG基于瘦客户端的应用案例地大在其瘦客户端上开发了一些特性功能，如提供了用户多项出口选择功能：提供给学生自由自主的上网平台和环境，同时也提供了部分用户的认证直接进入VPN，如图书馆；计费的实现（基于时长、流量）基于Netflow的精细化流量分析和计费功能后台数据库，针对帐号及Channel的复合记录校园网不再是“黑盒子”用户相互隔离多业务功能支持细致的控制行为识别追踪远程实时诊断基于Netflow的精细化流量分析和计费功能用户账单查询，上网时间及流量等内容，都区分了非优惠和优惠方式；流量日志每隔5—10秒增量备份一次，保存在专门的备份目录里面，目前保存时长是一年；用户认证进入不同的MPLSVPN[edit]lab@CUG-MX960-RE1#showrouting-instances?Possiblecompletions:DMTJS_GL_VPNRoutinginstancename————多媒体教室VRFNMA_GL_VPNRoutinginstancename————网管VRTSG_GL_VPN_700Routinginstancename————图书馆VRFUnit_Server_Storage_VPNRoutinginstancename————服务器存储的VRFWireless_AP_GL_VPNRoutinginstancename————无线AP/AC互联的VRFYKT_GL_VPN_902Routinginstancename————一卡通VRFto_3A-PortalRoutinginstancename————forward，做FBF的filterto_TSG_GL_VPNRoutinginstancename————virtual-router，IPoE直接接入图书馆VPNto_dianxinRoutinginstancename————forward，做FBF的filterto_jiaoyuRoutinginstancename————forward，做FBF的filterto_wangtongRoutinginstancename————forward，做FBF的filter

。。。。。。MX960上面建立了多种VPN，有VRF、VR、Forwarding；地质大学目前正在部署“节能水电VRF”，管理全校水电信息；核心交换机汇聚交换机接入交换机…………接入控制：帐号+IP＋MAC＋端口接入时段控制认证计费报文上网业务数据认证客户端交换机接入控制用户Web自助服务器SAMServer数据库Server计费管理系统INTERNETFW接入交换机接入控制技术——802.1X1、交换机彼此兼容性问题网络设备不兼容、扩展功能不兼容2、终端问题，不适应当今终端接入方式客户端不兼容，安全特性不兼容；3、计费策略问题旁挂架构没法对流量实施细分计费策略，无法提供复杂计费策略；只能按照时长计费，802.1X的流量统计都是基于交换机端口的；4、多节点的管理问题较为分散的控制点，不利于进行整网的运营管理及控制5、影响低端接入交换机运行的稳定性接入控制技术——802.1X接入控制技术——PPPoEserversradius认证计费CernetBRAS设备接入控制技术——PPPoE1、专有客户端需求，不适应当今无客户接入方式2、PPPoE封装和解封装，带来效率的降低；3、组播的天然缺陷，非纯IP报文，组播支持不好；接入控制技术——网关WEB认证Cernet网关认证系统AC控制器接入控制技术——网关WEB认证1、只是在出口网关位置实现控制；2、无法感知和解决内网的安全问题；3、无法对内网用户进行精细化的控制；4、基于优化的PC架构，无法实现性能的提升，已为运营商所弃用。接入控制技术——IPoE方式提供ALL-IN-ONE融合的认证功能DHCPv4DHCPv6DHCP+Portal认证PPPoE认证报文触发认证L2TP认证PPPoEv4PPPoEv6IPv4overL2TPIPv6overL2TPIPv4PTSPIPv6PTSP02010304基于WEBPortal（IPoE）的用户接入认证网络中心业务控制层接入交换机全面的校园网精细化管理方案MX960AMX960BMX960C认证计费速率控制权限控制行为管理……InternetCernet用户认证带宽/ACL流程：1，用户侧通过DHCP获得IP地址，在MX上相应生成demux用户接口；2，用户demux接口的默认权限是特定的资源，当访问其他资源时，通过httpredirect重定向到portal页面上；3，用户在portal页面上输入用户名和口令，认证成功后，radius系统下发属性，调用定义的访问策略，对用户的demux端口进行控制，开放用户特定的访问权限；Radius+Portal校园网实名制和计费功能的实现实名制是校园网精细化发展的方向能够做到用户身份和网络行为的一一对应能够做到基于用户角色的控制能够实现用户访问网络的计费功能能够提供审计功能，做到有据可查MX系列核心路由器支持用户管理功能，在作为核心路由器的同时，提供用户接入网络时的认证、控制和计费功能核心路由用户管理MX部署方案A物理结构：三层（核心、汇聚、接入）核心层汇聚层接入层校园网业务控制层部署方案B物理结构：三层（核心、汇聚、接入）核心层汇聚层接入层部署方案C物理结构：三层（核心、汇聚、接入）核心层汇聚层接入层QinQ和地址规划Vlan1-24Vlan1-24Vlan1-24增加外层标签1001增加外层标签1002增加外层标签100310011-2410021-2410031-24提供IPv4/IPv6双栈的终结和控制功能无需IPv6支持无需IPv6支持IPv4address：/24IPv6address：2001:10ad::1/64海量配置的自动生成校园网采用了VLAN细分的方式大量的VLAN带来了大量的配置基于模板的auto-configIPv6的实名制和精细化控制SLAAC（简单、兼容）PPPoE（实名制、精细控制认证、客户端）DHCP（实名制、精细控制，如何兼容）MXsupportDHCPv6IPv6组播的实现MX核心路由器能够实现基于硬件的IPv6组播复制，支持每板卡4000并发用户同时在线观看视频节目Cernet华东北节点测试验证无需汇聚接入设备支持IPv6组播核心汇聚