大二层-按需构建灵活的精细化的校园网络

按需构建灵活的、精细化的校园网络Copyright©2011JuniperNetworks,Inc.©2011JuniperNetworks,Inc.©2011JuniperNetworks,Inc.高校校园网最关注的方面业务、应用、用户的承载能力政策和法律法规的要求管理维护工作量和难度这些方面是不同区域不同规模的学校所共同关注的，网络架构和业务部署模式决定了问题存在的必然性Copyright©2011JuniperNetworks,Inc.大车拉小马，小马拉大车头疼医头，脚痛医脚核心层汇聚层接入层用户接入相互隔离速率限制802.1X接入控制DHCP侦听动态ARP检测IPv4三层终结IPv6三层终结单播、组播控制ACLQoSVPN高速转发传统校园网“倒挂”的构架Copyright©2011JuniperNetworks,Inc.现有校园网中经常面临的问题网络病毒的传播和感染，控制手法匮乏ARP欺骗带来的大面积影响，控制手法匮乏网络资源的公平性欠缺——部分人下载占据大量出口带宽，影响他人的网络访问和学习无法实现差异化的服务——网络层的简单互通，无法针对不同群体用户实现不同的服务管理维护工作量的增加，网段多故障过于分散Copyright©2011JuniperNetworks,Inc.扁平化精细化平台化下一代校园网新思路，新方法Copyright©2011JuniperNetworks,Inc.双栈线速转发IPv4/IPv6双栈组播控制ACL、速率限制QoSVPN基于用户的认证接入和控制业务控制层宽带接入层QinQVLAN隔离大车和小马各司其职，各尽所长更高效更稳定更省钱Copyright©2011JuniperNetworks,Inc.扁平化带来的优势控制集中、部署简单、扩展方便由能力最强，功能最丰富的核心设备提供业务控制和管理丰富的功能较好的性能稳定、可靠汇聚/接入设备，则提供其力所能及的基本功能只提供基本的二层VLAN隔离功能无需支持新的业务和功能降低设备投资（数量众多！）由于功能简单，因此更加稳定可靠全网投资的下降，运行成本（电力、空调）成本的大幅降低网络架构更易于扩展和管理Copyright©2011JuniperNetworks,Inc.精细化用户可分、可离行为可控、可审应用可知、可保Copyright©2011JuniperNetworks,Inc.精细化控制传统的校园网是粗放型的网络只是满足了基本的网络互联互通的需求，但缺乏相应的审计和控制手段用户之间互相影响，网络中的攻击泛滥，如ARP攻击/DHCP仿冒/IP仿冒；用户只要接上网络，就能获得网络的使用权，整个访问过程没有针对性的记录、审计和基于用户的控制，导致了网络的无序使用网络使用没有实名制，用户访问行为没有记录，出现问题无法追查；缺乏针对性的控制，网络带宽被大量占用，重要应用得不到带宽保障；难以实现灵活的用户控制、如基于身份、时间、位置等……Copyright©2011JuniperNetworks,Inc.用户的精细化控制的手段基于逻辑接口实现每个接入端口在核心设备上对应一个逻辑接口在接口上提供速率限制、访问权限控制等能够基于每个用户实现基于用户的身份，在用户认证时动态下发控制属性，对用户的访问速率、权限等进行控制能够基于不同类型的接入方式开放/关闭相应的业务功能由于AP的性能问题，建议关闭IPv4/IPv6multicast业务仅开放单播业务Copyright©2011JuniperNetworks,Inc.©2011JuniperNetworks,Inc.©2011JuniperNetworks,Inc.双栈的终结和控制功能无需IPv6支持无需IPv6支持IPv4address：192.168.1.1/24IPv6address：2001:10ad::1/64Copyright©2011JuniperNetworks,Inc.（IPoE）的用户接入认证网络中心业务控制层接入交换机MX960AMX960BMX960C认证计费速率控制权限控制行为管理……InternetCernet用户认证带宽/ACL流程：1，用户侧通过DHCP获得IP地址，在MX上相应生成demux用户接口；2，用户demux接口的默认权限是特定的资源，当访问其他资源时，通过httpredirect重定向到portal页面上；3，用户在portal页面上输入用户名和口令，认证成功后，radius系统下发属性，调用定义的访问策略，对用户的demux端口进行控制，开放用户特定的访问权限；Radius+PortalCopyright©2011JuniperNetworks,Inc.网络中用户的统计和分析（仅DHCP，无需用户认证）Copyright©2011JuniperNetworks,Inc.组播情况统计—按照频道统计Copyright©2011JuniperNetworks,Inc.©2011JuniperNetworks,Inc.©2011JuniperNetworks,Inc.©2011JuniperNetworks,Inc.基于每个用户的管理（仅DHCP，无需用户认证）PortVLANSubscriberInterfaceSubscriberInterfaceVLANSubscriberInterfaceSubscriberInterfaceCopyright©2011JuniperNetworks,Inc.基于瘦客户端的应用案例地大在其瘦客户端上开发了一些特性功能，如提供了用户多项出口选择功能：提供给学生自由自主的上网平台和环境，同时也提供了部分用户的认证直接进入VPN，如图书馆；Copyright©2011JuniperNetworks,Inc.计费的实现（基于时长、流量）Copyright©2011JuniperNetworks,Inc.的精细化流量分析和计费功能后台数据库，针对帐号及Channel的复合记录Copyright©2011JuniperNetworks,Inc.校园网不再是“黑盒子”用户相互隔离多业务功能支持细致的控制行为识别追踪远程实时诊断Copyright©2011JuniperNetworks,Inc.的精细化流量分析和计费功能用户账单查询，上网时间及流量等内容，都区分了非优惠和优惠方式；流量日志每隔5—10秒增量备份一次，保存在专门的备份目录里面，目前保存时长是一年；Copyright©2011JuniperNetworks,Inc.[edit]lab@CUG-MX960-RE1#showrouting-instances?Possiblecompletions:DMTJS_GL_VPNRoutinginstancename————多媒体教室VRFNMA_GL_VPNRoutinginstancename————网管VRTSG_GL_VPN_700Routinginstancename————图书馆VRFUnit_Server_Storage_VPNRoutinginstancename————服务器存储的VRFWireless_AP_GL_VPNRoutinginstancename————无线AP/AC互联的VRFYKT_GL_VPN_902Routinginstancename————一卡通VRFto_3A-PortalRoutinginstancename————forward，做FBF的filterto_TSG_GL_VPNRoutinginstancename————virtual-router，IPoE直接接入图书馆VPNto_dianxinRoutinginstancename————forward，做FBF的filterto_jiaoyuRoutinginstancename————forward，做FBF的filterto_wangtongRoutinginstancename————forward，做FBF的filter。。。。。。MX960上面建立了多种VPN，有VRF、VR、Forwarding；地质大学目前正在部署“节能水电VRF”，管理全校水电信息；Copyright©2011JuniperNetworks,Inc.核心交换机汇聚交换机接入交换机…………接入控制：帐号+IP＋MAC＋端口接入时段控制认证计费报文上网业务数据认证客户端交换机接入控制用户Web自助服务器SAMServer数据库Server计费管理系统INTERNETFW接入交换机接入控制技术——802.1XCopyright©2011JuniperNetworks,Inc.、交换机彼此兼容性问题网络设备不兼容、扩展功能不兼容2、终端问题，不适应当今终端接入方式客户端不兼容，安全特性不兼容；3、计费策略问题旁挂架构没法对流量实施细分计费策略，无法提供复杂计费策略；只能按照时长计费，802.1X的流量统计都是基于交换机端口的；4、多节点的管理问题较为分散的控制点，不利于进行整网的运营管理及控制5、影响低端接入交换机运行的稳定性接入控制技术——802.1XCopyright©2011JuniperNetworks,Inc.接入控制技术——PPPoEserversradiusCernetBRAS设备Copyright©2011JuniperNetworks,Inc.接入控制技术——PPPoE1、专有客户端需求，不适应当今无客户接入方式2、PPPoE封装和