按需構建靈活的、精細化的校園網絡議題傳統高校校園網絡分析新型校園網的目標和思路新型校園網技術實現高校的煩惱

2

創新的壓力監管的壓力管理的壓力高校高校校園網最關注的方面業務、應用、用戶的承載能力政策和法律法規的要求管理維護工作量和難度這些方面是不同區域不同規模的學校所共同關注的，網絡架構和業務部署模式決定了問題存在的必然性大車拉小馬，小馬拉大車頭疼醫頭，腳痛醫腳核心層匯聚層接入層用戶接入相互隔離速率限制802.1X接入控制DHCP偵聽動態ARP檢測IPv4三層終結IPv6三層終結單播、組播控制ACLQoSVPN高速轉發傳統校園網“倒掛”的構架現有校園網中經常面臨的問題網絡病毒的傳播和感染，控制手法匱乏ARP欺騙帶來的大面積影響，控制手法匱乏網絡資源的公平性欠缺

——部分人下載占據大量出口帶寬，影響他人的網絡訪問和學習無法實現差異化的服務

——網絡層的簡單互通，無法針對不同群體用戶實現不同的服務管理維護工作量的增加，網段多故障過于分散扁平化精細化平臺化下一代校園網"新思路，新方法"扁平化用戶接入VLAN隔離IPv4/IPv6雙棧線速轉發IPv4/IPv6雙棧組播控制ACL、速率限制QoSVPN基于用戶的認證接入和控制業務控制層寬帶接入層QinQVLAN隔離大車和小馬各司其職，各盡所長更高效更穩定更省錢扁平化帶來的優勢控制集中、部署簡單、擴展方便由能力最強，功能最豐富的核心設備提供業務控制和管理豐富的功能較好的性能穩定、可靠匯聚/接入設備，則提供其力所能及的基本功能只提供基本的二層VLAN隔離功能無需支持新的業務和功能降低設備投資（數量眾多！）由于功能簡單，因此更加穩定可靠全網投資的下降，運行成本（電力、空調）成本的大幅降低網絡架構更易于擴展和管理精細化用戶可分、可離行為可控、可審應用可知、可保精細化控制傳統的校園網是粗放型的網絡只是滿足了基本的網絡互聯互通的需求，但缺乏相應的審計和控制手段用戶之間互相影響，網絡中的攻擊泛濫，如ARP攻擊/DHCP仿冒/IP仿冒；用戶只要接上網絡，就能獲得網絡的使用權，整個訪問過程沒有針對性的記錄、審計和基于用戶的控制，導致了網絡的無序使用網絡使用沒有實名制，用戶訪問行為沒有記錄，出現問題無法追查；缺乏針對性的控制，網絡帶寬被大量占用，重要應用得不到帶寬保障；難以實現靈活的用戶控制、如基于身份、時間、位置等……用戶的精細化控制的手段基于邏輯接口實現每個接入端口在核心設備上對應一個邏輯接口在接口上提供速率限制、訪問權限控制等能夠基于每個用戶實現基于用戶的身份，在用戶認證時動態下發控制屬性，對用戶的訪問速率、權限等進行控制能夠基于不同類型的接入方式開放/關閉相應的業務功能由于AP的性能問題，建議關閉IPv4/IPv6multicast業務僅開放單播業務平臺化網絡中心業務控制層接入交換機MX960AMX960BMX960CInternetCernet用戶認證帶寬/ACLRadiusPortal數據中心出口平臺化QinQ和地址規劃Vlan1-24Vlan1-24Vlan1-24增加外層標簽1001增加外層標簽1002增加外層標簽100310011-2410021-2410031-24提供IPv4/IPv6雙棧的終結和控制功能無需IPv6支持無需IPv6支持IPv4address：/24IPv6address：2001:10ad::1/64基于WEBPortal（IPoE）的用戶接入認證網絡中心業務控制層接入交換機MX960AMX960BMX960C認證計費速率控制權限控制行為管理……InternetCernet用戶認證帶寬/ACL流程：1，用戶側通過DHCP獲得IP地址，在MX上相應生成demux用戶接口；2，用戶demux接口的默認權限是特定的資源，當訪問其他資源時，通過httpredirect重定向到portal頁面上；3，用戶在portal頁面上輸入用戶名和口令，認證成功后，radius系統下發屬性，調用定義的訪問策略，對用戶的demux端口進行控制，開放用戶特定的訪問權限；Radius+Portal網絡中用戶的統計和分析（僅DHCP，無需用戶認證）IPv6組播情況統計—按照頻道統計校園網有線無線一體化的實現以MX為核心的有線無線一體化校園網SinglefabricusingVirtualChassistechnologyMXAccess

Layer10GbEserversPoEPoE10GEwithLAGWLC-2800MP-532APsCUG全校有線無線一體化認證Aruba6000_masterAruba6000_EAruba6000_WAruba6000_NAC6000

4臺AP1200多臺基于每個用戶的管理（僅DHCP，無需用戶認證）PortVLANSubscriberInterfaceSubscriberInterfaceVLANSubscriberInterfaceSubscriberInterfaceCUG基于瘦客戶端的應用案例地大在其瘦客戶端上開發了一些特性功能，如提供了用戶多項出口選擇功能：提供給學生自由自主的上網平臺和環境，同時也提供了部分用戶的認證直接進入VPN，如圖書館；計費的實現（基于時長、流量）基于Netflow的精細化流量分析和計費功能后臺數據庫，針對帳號及Channel的復合記錄校園網不再是“黑盒子”用戶相互隔離多業務功能支持細致的控制行為識別追蹤遠程實時診斷基于Netflow的精細化流量分析和計費功能用戶賬單查詢，上網時間及流量等內容，都區分了非優惠和優惠方式；流量日志每隔5—10秒增量備份一次，保存在專門的備份目錄里面，目前保存時長是一年；用戶認證進入不同的MPLSVPN[edit]lab@CUG-MX960-RE1#showrouting-instances?Possiblecompletions:DMTJS_GL_VPNRoutinginstancename————多媒體教室VRFNMA_GL_VPNRoutinginstancename————網管VRTSG_GL_VPN_700Routinginstancename————圖書館VRFUnit_Server_Storage_VPNRoutinginstancename————服務器存儲的VRFWireless_AP_GL_VPNRoutinginstancename————無線AP/AC互聯的VRFYKT_GL_VPN_902Routinginstancename————一卡通VRFto_3A-PortalRoutinginstancename————forward，做FBF的filterto_TSG_GL_VPNRoutinginstancename————virtual-router，IPoE直接接入圖書館VPNto_dianxinRoutinginstancename————forward，做FBF的filterto_jiaoyuRoutinginstancename————forward，做FBF的filterto_wangtongRoutinginstancename————forward，做FBF的filter

。。。。。。MX960上面建立了多種VPN，有VRF、VR、Forwarding；地質大學目前正在部署“節能水電VRF”，管理全校水電信息；核心交換機匯聚交換機接入交換機…………接入控制：帳號+IP＋MAC＋端口接入時段控制認證計費報文上網業務數據認證客戶端交換機接入控制用戶Web自助服務器SAMServer數據庫Server計費管理系統INTERNETFW接入交換機接入控制技術——802.1X1、交換機彼此兼容性問題網絡設備不兼容、擴展功能不兼容2、終端問題，不適應當今終端接入方式客戶端不兼容，安全特性不兼容；3、計費策略問題旁掛架構沒法對流量實施細分計費策略，無法提供復雜計費策略；只能按照時長計費，802.1X的流量統計都是基于交換機端口的；4、多節點的管理問題較為分散的控制點，不利于進行整網的運營管理及控制5、影響低端接入交換機運行的穩定性接入控制技術——802.1X接入控制技術——PPPoEserversradius認證計費CernetBRAS設備接入控制技術——PPPoE1、專有客戶端需求，不適應當今無客戶接入方式2、PPPoE封裝和解封裝，帶來效率的降低；3、組播的天然缺陷，非純IP報文，組播支持不好；接入控制技術——網關WEB認證Cernet網關認證系統AC控制器接入控制技術——網關WEB認證1、只是在出口網關位置實現控制；2、無法感知和解決內網的安全問題；3、無法對內網用戶進行精細化的控制；4、基于優化的PC架構，無法實現性能的提升，已為運營商所棄用。接入控制技術——IPoE方式提供ALL-IN-ONE融合的認證功能DHCPv4DHCPv6DHCP+Portal認證PPPoE認證報文觸發認證L2TP認證PPPoEv4PPPoEv6IPv4overL2TPIPv6overL2TPIPv4PTSPIPv6PTSP02010304基于WEBPortal（IPoE）的用戶接入認證網絡中心業務控制層接入交換機全面的校園網精細化管理方案MX960AMX960BMX960C認證計費速率控制權限控制行為管理……InternetCernet用戶認證帶寬/ACL流程：1，用戶側通過DHCP獲得IP地址，在MX上相應生成demux用戶接口；2，用戶demux接口的默認權限是特定的資源，當訪問其他資源時，通過httpredirect重定向到portal頁面上；3，用戶在portal頁面上輸入用戶名和口令，認證成功后，radius系統下發屬性，調用定義的訪問策略，對用戶的demux端口進行控制，開放用戶特定的訪問權限；Radius+Portal校園網實名制和計費功能的實現實名制是校園網精細化發展的方向能夠做到用戶身份和網絡行為的一一對應能夠做到基于用戶角色的控制能夠實現用戶訪問網絡的計費功能能夠提供審計功能，做到有據可查MX系列核心路由器支持用戶管理功能，在作為核心路由器的同時，提供用戶接入網絡時的認證、控制和計費功能核心路由用戶管理MX部署方案A物理結構：三層（核心、匯聚、接入）核心層匯聚層接入層校園網業務控制層部署方案B物理結構：三層（核心、匯聚、接入）核心層匯聚層接入層部署方案C物理結構：三層（核心、匯聚、接入）核心層匯聚層接入層QinQ和地址規劃Vlan1-24Vlan1-24Vlan1-24增加外層標簽1001增加外層標簽1002增加外層標簽100310011-2410021-2410031-24提供IPv4/IPv6雙棧的終結和控制功能無需IPv6支持無需IPv6支持IPv4address：/24IPv6address：2001:10ad::1/64海量配置的自動生成校園網采用了VLAN細分的方式大量的VLAN帶來了大量的配置基于模板的auto-configIPv6的實名制和精細化控制SLAAC（簡單、兼容）PPPoE（實名制、精細控制認證、客戶端）DHCP（實名制、精細控制，如何兼容）MXsupportDHCPv6IPv6組播的實現MX核心路由器能夠實現基于硬件的IPv6組播復制，支持每板卡4000并發用戶同時在線觀看視頻節目Cernet華東北節點測試驗證無需匯聚接入設備支持IPv6組播核心匯聚