校园网解决方案Y要点.ppt

* 校园网不再是“黑盒子” 用户相互隔离 多业务功能支持 细致的控制 行为识别追踪 远程实时诊断 南京大学仙林校区 图书馆 基础试验楼 （共4个汇聚） 西区（扩展） 公共教学楼 学生宿舍区 A B C 安保中心 校医院 第一学生 组团 第一、二食堂 第二学生 组团 国际学院 体育馆 北区（扩展） 东区（扩展） 第三学生 组团（扩展） 网络中心 汇聚 数据中心 大学生活动中心 校史博物馆 档案馆 气象 监测站 天文系馆 鼓楼校区 核心控制层 宽带接入层 地质大学MX 用户管理案例 Radius/CoA Server PC with Client 流程： 1， 用户侧PC通过客户端发起连接请求，客户端通过option60等属性携带用户名/密码/MAC等信息； 2，MX将这些信息以Radius形式封装，并发给radius系统进行认证； 3，认证成功后，radius系统下发CoA属性，调用定义的访问策略，对用户的demux端口进行控制； 总结 新一代校园网：结合目前实际状况和发展需求的逐步完善 基于网络需求发展和设备发展的平滑演进 高性能—核心功能与用户控制功能的融合 易管理—网络架构清晰，统一的业务控制层面+网络接入层面 精细化—提供完善的用户接入控制和管理 类似于从地方分管向着中央集中管理的方向发展 无线AP不需要802.1X功能，简化了成本和管理维护需求 仅是提供了一个无线的二层通道，类似于交换机提供的有线二层通道 无线链路上可以平滑支持IPv6 实现了有线无线一体化的认证方案和后台认证计费系统 * Copyright ? 2009 Juniper Networks, Inc. 高校校园网/数据中心的建设思路 议题 传统校园网面临的问题分析 下一代校园网的目标和思路 具体的部署方案 一个业务功能需要多个业务层面共同配合实现 靠近边缘的设备的功能要求却很多；实现效果不好，性能也不高； 没有有效的隔离措施和保障手段，导致相互的干扰影响 校园网中设备（特别是边缘设备）的稳定性可靠性降低，管理维护压力越来越大； 传统校园网“倒挂”的构架 核心层 汇聚层 接入层 用户接入 相互隔离 速率限制 802.1X接入控制 DHCP侦听 动态ARP检测 IPv4三层终结 IPv6三层终结 单播、组播控制 ACL QoS MPLS 高速转发 议题 传统校园网面临的问题分析 下一代校园网的目标和思路 具体的部署方案 解决的思路---扁平化的网络 网络架构从复杂化向扁平化发展 源自于运营商大规模网络发展的经验 扁平化不是意味着网络物理层次的减少，而是网络逻辑层次的扁平 扁平的网络有更高的效率，更有利于扩展 扁平化带来的优势 网络层次的清晰化 将原来各个层次模糊的功能区分清晰化 不同层次各司其职，有利于管理和维护 用户接入 VLAN隔离 IPv4/IPv6双栈线速转发 IPv4/IPv6双栈组播控制 ACL、速率限制 QoS MPLS 基于用户的认证接入控制 业务控制层 宽带接入层 QinQ VLAN隔离 解决的思路---精细化控制 传统的校园网是粗放型的网络 只是满足了基本的网络互联互通的需求，但缺乏相应的审计和控制手段 用户之间互相影响，网络中的攻击泛滥，如ARP攻击/DHCP仿冒/IP仿冒； 用户只要接上网络，就能获得网络的使用权，整个访问过程没有针对性的记录、审计和控制，导致了网络的无序使用 网络使用没有实名制，用户访问行为没有记录，出现问题无法追查； 缺乏针对性的控制，网络带宽被大量占用，重要应用得不到带宽保障； 难以实现用户权限的控制，存在未经授权的访问 …… 校园网精细化管理能够达到的目标 实现用户之间/业务之间的有效隔离，避免相互之间的干扰和影响，做到可细分、可隔离； 对用户的各种信息，如用户帐号、MAC地址、IP地址、上线时间及其访问行为的识别和记录，做到可跟踪、可追查； 实现基于用户身份的行为控制，诸如可访问的资源权限、对网络带宽的占用等方面的控制，做到可控制、可管理； 网络应用的精细化管理，实现完善的流量识别和控制能力，保障重要应用系统的网络承载，包括安全性、带宽保障、可靠性等方面，做到可识别、可保障； 怎样实现校园的扁平化和精细化？ 核心设备要求=性能+功能+精细化管理的特性 三层交换机 性能有限，IPv6性能相对于IPv4而言有大幅度的下降 最大仅支持4096个VLAN，不满足精细化VLAN划分的要求 不支持QinQ终结功能，无法实现VLAN扩展 不支持硬件的IPv6组播功能 不支持基于用户的接入管理功能 …… 只有高性能多业务路由器才能胜任下一代校园网核心任务 议题 传统校园网面临的问题分析 下一代校园网的目标