3D 立体化建设和管理新一代校园网

1. 3D立体化建设和管理新一代校园网 阎磊

2. Juniper在全球下一代教育科研网的广泛应用 R&E Market Multiservice Next Generation Network Big Internet IP网方向 IPv4 IPv4/IPv6 IPv6 技术趋势 622M/GE/2.5G 接口 100GE 超高速接口 10G/40G 高速接口 M40 M160 T640 T320 M320 M120 MX960 T1600 GSR12000 GSR12400 AGS 7500/7200 CRS-1 C7600 2008 2005 2006 2007 2002 2003 2004 1992 1998

4. CERNET2中国下一代教育科研网 • CERNET2 IPv6骨干网已经形成 • IPv6的应用，如3Tnet • MPLS的应用 • QoS的部署和实施 现在是各个学校建设新一代校园网的时候了

5. 议题 • 传统校园网面临的问题分析 • 下一代校园网的目标和思路 • 具体的部署方案

6. 目前校园网最关注的几个方面和面临的问题 这些情况是不同区域不同规模的学校所共同面临的， 网络架构和业务部署模式决定了这些问题存在的必然性

7. 传统校园网“倒挂”的构架 • 一个业务功能需要多个业务层面共同配合实现 • 靠近边缘的设备的功能要求却很多；实现效果不好，性能也不高； • 没有有效的隔离措施和保障手段，导致相互的干扰影响 • 校园网中设备（特别是边缘设备）的稳定性可靠性降低，管理维护压力越来越大； 核心层 高速转发 IPv4三层终结 IPv6三层终结 单播、组播控制 ACL QoS MPLS 汇聚层 接入层 用户接入 相互隔离 速率限制 802.1X接入控制 DHCP侦听 动态ARP检测

8. 议题 • 传统校园网面临的问题分析 • 下一代校园网的目标和思路 • 具体的部署方案

9. 精细化 高性能 下一代校园网 易管理 下一代校园网的目标

10. 解决的思路 • 思路一：仍然采用传统校园网的三层架构模式，通过提高设备档次的方式来满足日益增长的需求 • 这是一种指标不治本的方案，原有模式的问题没有得到根本的解决 • 网络中边缘设备数量众多，升级换代提高档次不现实 • 思路二：建设下一代校园网的新的思路： • 扁平化的校园网架构 • 精细化的校园网管理

11. 解决的思路---扁平化的网络 • 网络架构从复杂化向扁平化发展 • 源自于运营商大规模网络发展的经验 • 扁平化不是意味着网络物理层次的减少，而是网络逻辑层次的扁平 • 扁平的网络有更高的效率，更有利于扩展

12. 扁平化带来的优势 • 网络层次的清晰化 • 将原来各个层次模糊的功能区分清晰化 • 不同层次各司其职，有利于管理和维护 业务控制层 IPv4/IPv6双栈线速转发 IPv4/IPv6双栈组播控制 ACL、速率限制 QoS MPLS 基于用户的认证接入控制 宽带接入层 QinQ VLAN隔离 用户接入 VLAN隔离

13. 扁平化带来的优势 • 用户/业务控制的集中化 • 由能力最强，功能最丰富的核心设备提供集中的业务控制和管理 • 有利于功能和业务的部署 • 能够保证在提供功能和业务时，有较好的性能 • 有利于发挥核心设备的稳定性可靠性的优势 • 汇聚/接入设备，则提供其力所能及的基本功能 • 一般只提供基本的二层VLAN隔离功能 • 因此部署新的业务和功能时，无需考虑其是否支持 • 有利于降低数量众多的汇聚/接入层设备投资 • 由于功能简单，有利于这些设备的稳定可靠运行 • 全网投资的下降，运行成本（电力、空调）成本的大幅降低

14. 扁平化带来的优势 • 网络架构更易于扩展和管理 • 校园网的功能划分清晰后，整个网络更有利于扩展 • 核心层设备 • 性能很强 • 对新功能新业务能够提供良好的支持 • 汇聚层和接入层 • 只需要考虑接入端口的扩充、上行带宽的增加 • 管理更加简单

15. 解决的思路---精细化控制 传统的校园网是粗放型的网络 • 只是满足了基本的网络互联互通的需求，但缺乏相应的审计和控制手段 • 用户之间互相影响，网络中的攻击泛滥，如ARP攻击/DHCP仿冒/IP仿冒； • 用户只要接上网络，就能获得网络的使用权，整个访问过程没有针对性的记录、审计和控制，导致了网络的无序使用 • 网络使用没有实名制，用户访问行为没有记录，出现问题无法追查； • 缺乏针对性的控制，网络带宽被大量占用，重要应用得不到带宽保障； • 难以实现用户权限的控制，存在未经授权的访问 • ……

16. 校园网精细化管理能够达到的目标 实现用户之间/业务之间的有效隔离，避免相互之间的干扰和影响，做到可细分、可隔离； 对用户的各种信息，如用户帐号、MAC地址、IP地址、上线时间及其访问行为的识别和记录，做到可跟踪、可追查； 实现基于用户身份的行为控制，诸如可访问的资源权限、对网络带宽的占用等方面的控制，做到可控制、可管理； 网络应用的精细化管理，实现完善的流量识别和控制能力，保障重要应用系统的网络承载，包括安全性、带宽保障、可靠性等方面，做到可识别、可保障；

17. 怎样实现校园的扁平化和精细化？ • 核心设备要求=性能+功能+精细化管理的特性 • 三层交换机 • 性能有限，IPv6性能相对于IPv4而言有大幅度的下降 • 最大仅支持4096个VLAN，不满足精细化VLAN划分的要求 • 不支持QinQ终结功能，无法实现VLAN扩展 • 不支持硬件的IPv6组播功能 • 不支持基于用户的接入管理功能 • …… • 只有高性能多业务路由器才能胜任下一代校园网核心任务

18. 议题 • 传统校园网面临的问题分析 • 下一代校园网的目标和方向 • 具体的部署方案

19. 校园网方案：核心层改造实现目标 • 物理结构：三层（核心、汇聚、接入） • 新IPv6/IPv4核心 核心层 汇聚层 接入层

20. 校园网方案：核心层改造实现目标 • 物理结构：三层（核心、汇聚、接入） 核心层 汇聚层 接入层

21. 校园网方案：核心层改造实现目标 • 物理结构：三层（核心、汇聚、接入） 核心层 汇聚层 接入层

22. 1001 1002 1003 1-24 1-24 1-24 网络的逻辑架构和VLAN划分 增加外层标签1001 增加外层标签1002 增加外层标签1003 Vlan 1-24 Vlan 1-24 Vlan 1-24

23. 1003 1002 1001 1-24 1-24 1-24 用户的终结和控制 提供IPv4/IPv6双栈 的终结和控制功能 无需IPv6支持 增加外层标签1001 无需IPv6支持 增加外层标签1002 增加外层标签1003 Vlan 1-24 Vlan 1-24 Vlan 1-24 IPv4 address：192.168.1.1/24 IPv6 address：2001:10ad::1/64

24. 特殊业务（如一卡通系统）的部署 Bridge-domain

25. IPv6：组播的应用 • 部署模式概述 • 由CERNET2通过到校园网的IPv6链路，实现组播数据流的下发 • 通过校内的设备实现组播信号的复制和下发

26. IPv6组播的实现 • MX核心路由器能够实现基于硬件的IPv6组播复制，支持每板卡4000并发用户同时在线观看视频节目 • Cernet华东华北节点测试验证 • 无需汇聚接入设备支持IPv6组播 Cernet2 边界路由器 核心 汇聚 接入

27. 对于校园网内的任意一个接入层交换机端口，都能够在网络核心实时提供端口流量镜像到Sniffer服务器，而无需管理员赶赴现场对于校园网内的任意一个接入层交换机端口，都能够在网络核心实时提供端口流量镜像到Sniffer服务器，而无需管理员赶赴现场 基于逻辑接口的实时监控 Sniffer MX 960 Client Client

28. 校园网实名制和计费功能的实现 • 实名制是校园网精细化发展的方向 • 能够做到用户身份和网络行为的一一对应 • 能够做到基于用户角色的控制 • 能够实现用户访问网络的计费功能 • 能够提供审计功能，做到有据可查 • MX系列核心路由器支持用户管理功能，在作为核心路由器的同时，提供用户接入网络时的认证、控制和计费功能

29. MX系列路由器用户管理特性 • 融合了核心路由器和宽带接入路由器的特性，将高性能/高端口密度和用户管理特性合而为一 • 通过校园核心网改造，同时实现校园网精细化管理和相应的用户接入认证、计费和控制功能 • 实现方案 • DHCP+Portal，通过demux用户接口进行控制 • PPP实现，通过PPP subinterface进行控制 • 单机箱支持64000并发用户 Subscriber Interface VLAN Subscriber Interface Port Subscriber Interface VLAN Subscriber Interface

30. 基于PPPoE的用户接入认证 Carrier IPv4 and IPv6 Network 校内二层网络 VLAN 校园网中原有的二层设备 • 客户端与MX之间为二层通道 • 通过客户端实现到与MX的PPPoE拨号 • 通过PPPoE，实现认证、计费、控制 • 支持IPv6 Over PPPoE

31. 认证 计费 速率控制 权限控制 行为管理 …… 基于WEB Portal的用户接入认证 全面的校园网精细化管理方案 MX960 A Internet Cernet Radius 网络中心 业务控制层 流程： 1， 用户侧通过DHCP获得IP地址，在MX上相应生成demux用户接口； 2，用户demux接口的默认权限是特定的资源，当访问其他资源时，通过http redirect重定向到portal页面上； 3，用户在portal页面上输入用户名和口令，认证成功后，radius系统下发属性，调用定义的访问策略，对用户的demux端口进行控制，开放用户特定的访问权限； 用户认证 带宽/ACL SRC+Portal MX960 B MX960 C 接入交换机

32. 用户访问行为的获取和分析 • 原有校园网中大量的流量，对于管理员而言，难以识别，无法感知具体的应用类型和资源占用情况； • 通过Netflow的采集和分析，能够将网络中大量的、不可识别的流量，统计分析成清晰的、基于源IP地址和目的IP地址间传输的单向数据包流： • 掌握校园网内的流量特征和用户行为特征 • 感知用户的应用类型和使用习惯 • 及时采取措施，应对异常流量的攻击

33. 校园网不再是“黑盒子” 多业务功能支持 细致的控制 用户相互隔离 行为识别追踪 远程实时诊断

34. 清华大学校园网出口

35. 安保中心 数据中心 网络中心 汇聚 学生宿舍区 校医院 第一、二食堂 第一学生 组团 国际学院 第三学生 组团（扩展） 体育馆 第二学生 组团 东区（扩展） 北区（扩展） 大学生活动中心 南京大学仙林校区 鼓楼校区 A B 核心控制层 C 公共教学楼 校史博物馆 宽带接入层 图书馆 档案馆 基础试验楼 （共4个汇聚） 西区（扩展） 气象 监测站 天文系馆

36. 山东大学的网络架构

37. L2TP PPPoE CERNET CERNET2 网通出口 VRRP 电信出口 L2TP 东南大学-L2TP---PPPoE---Portal 九龙湖校区 四牌楼校区

38. CERNET CERNET2 青岛海洋大学网络架构 GE链路 IP隧道 IPv4网络 核心层 IPv6网络 汇聚层 接入层 • 通过在核心部署一台MX960立刻实现了IPv6

39. 中国矿业大学 电信 Cernet 网通 SA 6500 NetScreen-5200 服务器群 Cernet2 流控 IPv6 Router E120 SRC2000 …… 计算机学院实验室 老校区6509 教学3区6806E 计算机学院6810E 信电学院6810E 行政办公大楼6810E

40. 南京理工大学 E320-A E320-B C6513 C6513 C6509 C6509 C4506 C6509 C6509 C4506 C4506 C4506 校园网 宿舍网

41. 地质大学MX 用户管理案例 Radius/CoA Server 流程： 1， 用户侧PC通过客户端发起连接请求，客户端通过option60等属性携带用户名/密码/MAC等信息； 2，MX将这些信息以Radius形式封装，并发给radius系统进行认证； 3，认证成功后，radius系统下发CoA属性，调用定义的访问策略，对用户的demux端口进行控制； PC with Client

42. 电信出口 教育网出口 联通出口1 联通出口2 MX960 MX960 MX960 MX960 哈尔滨工业大学网络结构 万兆光纤 千兆光纤 千兆双绞线 数据中心 IDP800 接入控制区 EX4200 VC SA6500 EX4200 VC E120 教学区 宿舍及住宅区 无线网 一校区 公寓及住宅网 二校区 公寓及住宅网 科学园 办公网 一校区 办公网 二校区 办公网

43. 安徽工业大学 MX960 安徽工业大学网络拓扑结构图 汇聚交换机 接入交换机 万兆链路 老校区 新校区 千兆链路 6509 MX960 C MX960 B MX960 A …… ……

44. 图例： 千兆多模光纤 千兆单模光纤 万兆多模光纤 南通大学 中国电信 链路负载均衡器 Juniper M10i 中国教科网IPv6 中国教科网Pv4 边界路由 中国移动 业务控制层 宽带接入层 宿舍核心 锐捷S8610 教学核心 锐捷S8610 主校区西区 IPS 无线网核心 图书馆核心 锐捷S7606 一卡通核心 锐捷S5750 启秀教学核心 锐捷S8610 钟秀教学核心 锐捷S8610 钟秀图书 馆核心 启秀图书 馆核心

45. 总结 • 新一代校园网：结合目前实际状况和发展需求的逐步完善 • 基于网络需求发展和设备发展的平滑演进 • 高性能—核心功能与用户控制功能的融合 • 易管理—网络架构清晰，统一的业务控制层面+网络接入层面 • 精细化—提供完善的用户接入控制和管理