3D立体化建设和管理校园网

Download Report

Transcript 3D立体化建设和管理校园网 

3D立体化建设和管理新一代校园网
阎磊
Juniper在全球下一代教育科研网的广泛应用
R&E
Market
IP网方向
Big Internet
技术趋势
IPv4
Multiservice Next Generation Network
IPv4/IPv6
622M/GE/2.5G 接口
M40
AGS
GSR12000
7500/7200
1992
2
1998
IPv6
100GE 超高速接口
10G/40G 高速接口
M160
T640
T320
GSR12400
C7600
2002
M320
M120
MX960
T1600
CRS-1
2003
Copyright © 2009 Juniper Networks, Inc.
2004
2005
www.juniper.net
2006
2007
2008
CERNET2主干网拓扑结构
北邮
沈阳
长春
哈尔滨
北大
天津
北航
大连
北京
郑州
济南
兰州
西安
同济
复旦
合肥
成都
重庆
武汉
上海
南京
Juniper T640
Huawei NE80
Bitway BE12K
40G POS
10G POS
2.5G POS
GE Link
3
长沙
杭州
广州
Copyright © 2009 Juniper Networks, Inc.
厦门
www.juniper.net
CERNET2中国下一代教育科研网
CERNET2 IPv6骨干网已经形成
 IPv6的应用,如3Tnet
 MPLS的应用
 QoS的部署和实施
现在是各个学校建设新一代校园网的时候了
4
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
议题
传统校园网面临的问题分析
下一代校园网的目标和思路
具体的部署方案
5
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
目前校园网最关注的几个方面和面临的问题
业务、应用、
用户的承载
管理维护
工作量和
难度
政策和法
律法规的
要求
这些情况是不同区域不同规模的学校所共同面临的,
网络架构和业务部署模式决定了这些问题存在的必然性
6
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
传统校园网“倒挂”的构架
核心层
高速转发
IPv4三层终结
IPv6三层终结
单播、组播控制
ACL
QoS
MPLS
用户接入
相互隔离
速率限制
802.1X接入控制
DHCP侦听
动态ARP检测
汇聚层
接入层




7
一个业务功能需要多个业务层面共同配合实现
靠近边缘的设备的功能要求却很多;实现效果不好,性能也不高;
没有有效的隔离措施和保障手段,导致相互的干扰影响
校园网中设备(特别是边缘设备)的稳定性可靠性降低,管理维护压力越来
越大;
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
议题
传统校园网面临的问题分析
下一代校园网的目标和思路
具体的部署方案
8
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
下一代校园网的目标
精细化
高性能
下一代校园网
易管理
9
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
解决的思路
思路一:仍然采用传统校园网的三层架构模式,通过提高设备档
次的方式来满足日益增长的需求
 这是一种指标不治本的方案,原有模式的问题没有得到根本的解决
 网络中边缘设备数量众多,升级换代提高档次不现实
思路二:建设下一代校园网的新的思路:
 扁平化的校园网架构
 精细化的校园网管理
10
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
解决的思路---扁平化的网络
网络架构从复杂化向扁平化发展
 源自于运营商大规模网络发展的经验
 扁平化不是意味着网络物理层次的减少,而是网络逻辑层次的扁平
 扁平的网络有更高的效率,更有利于扩展
11
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
扁平化带来的优势
网络层次的清晰化
 将原来各个层次模糊的功能区分清晰化
 不同层次各司其职,有利于管理和维护
业务控制层
IPv4/IPv6双栈线速转发
IPv4/IPv6双栈组播控制
ACL、速率限制
QoS
MPLS
基于用户的认证接入控制
宽带接入层
QinQ
VLAN隔离
用户接入
VLAN隔离
12
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
扁平化带来的优势
用户/业务控制的集中化
 由能力最强,功能最丰富的核心设备提供集中的业务控制和管理
 有利于功能和业务的部署
 能够保证在提供功能和业务时,有较好的性能
 有利于发挥核心设备的稳定性可靠性的优势
 汇聚/接入设备,则提供其力所能及的基本功能
 一般只提供基本的二层VLAN隔离功能
 因此部署新的业务和功能时,无需考虑其是否支持
 有利于降低数量众多的汇聚/接入层设备投资
 由于功能简单,有利于这些设备的稳定可靠运行
 全网投资的下降,运行成本(电力、空调)成本的大幅降低
13
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
扁平化带来的优势
网络架构更易于扩展和管理
 校园网的功能划分清晰后,整个网络更有利于扩展
 核心层设备
 性能很强
 对新功能新业务能够提供良好的支持
 汇聚层和接入层
 只需要考虑接入端口的扩充、上行带宽的增加
 管理更加简单
14
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
解决的思路---精细化控制
传统的校园网是粗放型的网络







15
只是满足了基本的网络互联互通的需求,但缺乏相应的审计和控制
手段
用户之间互相影响,网络中的攻击泛滥,如ARP攻击/DHCP仿冒
/IP仿冒;
用户只要接上网络,就能获得网络的使用权,整个访问过程没有针
对性的记录、审计和控制,导致了网络的无序使用
网络使用没有实名制,用户访问行为没有记录,出现问题无法追查;
缺乏针对性的控制,网络带宽被大量占用,重要应用得不到带宽保
障;
难以实现用户权限的控制,存在未经授权的访问
……
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
校园网精细化管理能够达到的目标
实现用户之间/业务之间的有效隔离,避免相互之间的干扰和影
响,做到可细分、可隔离;
对用户的各种信息,如用户帐号、MAC地址、IP地址、上线时
间及其访问行为的识别和记录,做到可跟踪、可追查;
实现基于用户身份的行为控制,诸如可访问的资源权限、对网
络带宽的占用等方面的控制,做到可控制、可管理;
网络应用的精细化管理,实现完善的流量识别和控制能力,保
障重要应用系统的网络承载,包括安全性、带宽保障、可靠性
等方面,做到可识别、可保障;
16
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
怎样实现校园的扁平化和精细化?
核心设备要求=性能+功能+精细化管理的特性
三层交换机






性能有限,IPv6性能相对于IPv4而言有大幅度的下降
最大仅支持4096个VLAN,不满足精细化VLAN划分的要求
不支持QinQ终结功能,无法实现VLAN扩展
不支持硬件的IPv6组播功能
不支持基于用户的接入管理功能
……
只有高性能多业务路由器才能胜任下一代校园网核心任务
17
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
议题
传统校园网面临的问题分析
下一代校园网的目标和方向
具体的部署方案
18
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
校园网方案:核心层改造实现目标
物理结构:三层(核心、汇聚、接入)
•新IPv6/IPv4核心
核心层
汇聚层
接入层
19
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
校园网方案:核心层改造实现目标
物理结构:三层(核心、汇聚、接入)
核心层
汇聚层
接入层
20
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
校园网方案:核心层改造实现目标
物理结构:三层(核心、汇聚、接入)
核心层
汇聚层
接入层
21
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
网络的逻辑架构和VLAN划分
1001
1002
1003
1-24
1-24
1-24
增加外层标签1001
增加外层标签1002
增加外层标签1003
Vlan 1-24
22
Vlan 1-24
Vlan 1-24
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
用户的终结和控制
提供IPv4/IPv6双栈
的终结和控制功能
1001
1002
1003
1-24
1-24
1-24
无需IPv6支持
增加外层标签1001
无需IPv6支持
增加外层标签1002
增加外层标签1003
Vlan 1-24
23
Vlan 1-24
Vlan 1-24
IPv4 address:192.168.1.1/24
IPv6 address:2001:10ad::1/64
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
特殊业务(如一卡通系统)的部署
Bridge-domain
24
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
IPv6:组播的应用
部署模式概述
 由CERNET2通过到校园网的IPv6链路,实现组播数据流的下发
 通过校内的设备实现组播信号的复制和下发
25
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
IPv6组播的实现
MX核心路由器能够实现基于硬件的IPv6组播复制,支持每板卡
4000并发用户同时在线观看视频节目
 Cernet华东华北节点测试验证
无需汇聚接入设备支持IPv6组播
Cernet2
边界路由器
核心
汇聚
接入
26
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
基于逻辑接口的实时监控
对于校园网内的任意一个接入层交换机端口,都能够在网络核心
实时提供端口流量镜像到Sniffer服务器,而无需管理员赶赴现场
Sniffer
MX 960
Client
Client
27
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
校园网实名制和计费功能的实现
实名制是校园网精细化发展的方向
 能够做到用户身份和网络行为的一一对应
 能够做到基于用户角色的控制
 能够实现用户访问网络的计费功能
 能够提供审计功能,做到有据可查
MX系列核心路由器支持用户管理功能,在作为核心路由器的同时,
提供用户接入网络时的认证、控制和计费功能
核心
路由
28
用户
管理
Copyright © 2009 Juniper Networks, Inc.
MX
www.juniper.net
MX系列路由器用户管理特性
融合了核心路由器和宽带接入路由器的特性,将高性能/高端口密
度和用户管理特性合而为一
通过校园核心网改造,同时实现校园网精细化管理和相应的用户
接入认证、计费和控制功能
实现方案
 DHCP+Portal,通过demux用户接口进行控制
 PPP实现,通过PPP subinterface进行控制
Subscriber
Interface
VLAN
 单机箱支持64000并发用户
Subscriber
Interface
Port
Subscriber
Interface
VLAN
Subscriber
Interface
29
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
基于PPPOE的用户接入认证
Carrier
IPv4 and IPv6
Network
校内二层
网络
VLAN
校园网中原有
的二层设备
•客户端与MX之间为二层通道
•通过客户端实现到与MX的PPPoE拨号
•通过PPPoE,实现认证、计费、控制
•支持IPv6 Over PPPoE
30
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
基于WEB Portal的用户接入认证
全面的校园网精细化管理方案
MX960 A
Internet
Cernet
Radius
认证
计费
速率控制
权限控制
行为管理
……
网络中心
业务控制层
用户认证
SRC+Portal
流程:
1, 用户侧通过DHCP获得IP地
址,在MX上相应生成demux用
户接口;
带宽/ACL
MX960 B
MX960 C 2,用户demux接口的默认权限
是特定的资源,当访问其他资源
时,通过http redirect重定向到
portal页面上;
3,用户在portal页面上输入用
户名和口令,认证成功后,
radius系统下发属性,调用定义
的访问策略,对用户的demux端
口进行控制,开放用户特定的访
问权限;
31
接入交换机
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
用户访问行为的获取和分析
原有校园网中大量的流量,对于管理员而言,难以识别,无法感
知具体的应用类型和资源占用情况;
通过Netflow的采集和分析,能够将网络中大量的、不可识别的流
量,统计分析成清晰的、基于源IP地址和目的IP地址间传输的单
向数据包流:
 掌握校园网内的流量特征和用户行为特征
 感知用户的应用类型和使用习惯
 及时采取措施,应对异常流量的攻击
32
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
校园网不再是“黑盒子”
多业务功
能支持
细致的
控制
用户相互
隔离
行为识
别追踪
远程实
时诊断
33
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
清华大学校园网出口
34
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
南京大学仙林校区
数据中心
鼓楼校区
安保中心
学生宿舍区
校医院
A
第一、二食
堂
第一学生
组团
第二学生
组团
B
核心控制层
C
公共教学楼
网络中心
汇聚
第三学生
组团(扩
展)
国际学院
大学生活
动中心
宽带接入层
图书馆
校史博物馆
体育馆
档案馆
西区(扩展)
气象
监测站
北区(扩展)
东区(扩展)
天文系馆
35
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
山东大学的网络架构
36
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
东南大学-L2TP---PPPOE---PORTAL
PPPoE
CERNET2
L2TP
VRRP
九龙湖校区
CERNET
网通出口
L2TP
电信出口
四牌楼校区
37
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
青岛海洋大学网络架构
CERNET
CERNET2
GE链路
IP隧道
IPv4网络
核心层
IPv6网络
汇聚层
接入层
•通过在核心部署一台MX960立刻实现了IPv6
38
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
中国矿业大学
电信
网通
Cernet
SA 6500
NetScreen-5200
服务器群
Cernet2
流控
IPv6 Router
E120
Si
SRC2000
……
Si
教学3区6806E
39
Si
老校区6509
Si
Si
Si
计算机学院6810E
Copyright © 2009 Juniper Networks,
Inc. www.juniper.net 行政办公大楼6810E
信电学院6810E
Si
计算机学院实验室
南京理工大学
E320-A
E320-B
C6513
C6513
C6509
C6509
C4506
C6509
C6509
校园网
40
Copyright © 2009 Juniper Networks, Inc.
C4506
C4506
C4506
宿舍网
www.juniper.net
地质大学MX 用户管理案例
Radius/CoA
Server
流程:
1, 用户侧PC通过客户端发起
连接请求,客户端通过option60
等属性携带用户名/密码/MAC等
信息;
2,MX将这些信息以Radius形
式封装,并发给radius系统进行
认证;
3,认证成功后,radius系统下
发CoA属性,调用定义的访问策
略,对用户的demux端口进行控
制;
41
PC with Copyright
Client
© 2009 Juniper Networks, Inc.
www.juniper.net
哈尔滨工业大学网络结构
教育网出口 联通出口1
电信出口
万兆光纤
千兆光纤
联通出口2
千兆双绞线
数据中心
IDP800
接入控制区
EX4200 VC
MX960
MX960
SA6500
EX4200 VC
E120
MX960
MX960
教学区
42
宿舍及住宅区
科学园
一校区
二校区
办公网
办公网
办公网
一校区
二校区
公寓及住宅网
公寓及住宅网
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
无线网
安徽工业大学
MX960
安徽工业大学网络拓扑结构图
汇聚交换机
接入交换机
万兆链路
老校区
新校区
MX960 B
MX960 A
MX960 C
……
43
Copyright © 2009 Juniper Networks, Inc.
千兆链路
6509
……
www.juniper.net
南通大学
中国电信
链路负载均衡器
Juniper M10i
中国教科网Pv4
中国教科网IPv6
边界路由
图例:
千兆多模光纤
千兆单模光纤
万兆多模光纤
中国移动
业务控制层
宽带接入层
宿舍核心
锐捷S8610
教学核心
锐捷S8610
主校区西区
无线网核心
IPS
图书馆核心
锐捷S7606
一卡通核心
锐捷S5750
启秀教学核心
44
锐捷S8610
钟秀教学核心
锐捷S8610
Copyright © 2009 Juniper Networks, Inc.
启秀图书
www.juniper.net
馆核心
钟秀图书
馆核心
总结
新一代校园网:结合目前实际状况和发展需求的逐步完善
基于网络需求发展和设备发展的平滑演进
 高性能—核心功能与用户控制功能的融合
 易管理—网络架构清晰,统一的业务控制层面+网络接入层面
 精细化—提供完善的用户接入控制和管理
45
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net