46
3D 立 立立立立立立立立 立立立立 体一 阎阎

3D 立体化建设和管理新一代校园网

Embed Size (px)

DESCRIPTION

3D 立体化建设和管理新一代校园网. 阎磊. Juniper 在全球下一代教育科研网 的广泛应用. R&E Market. Multiservice Next Generation Network. Big Internet. IP 网方向. IPv4. IPv4/IPv6. IPv6. 技术趋势. 622M/GE/2.5G 接口. 100GE 超高速接口. 10G/40G 高速接口. M40. M160. T640. T320. M320. M120. MX960. T1600. GSR12 000. GSR124 00. AGS - PowerPoint PPT Presentation

Citation preview

Page 1: 3D 立体化建设和管理新一代校园网

3D立体化建设和管理新一代校园网阎磊

Page 2: 3D 立体化建设和管理新一代校园网

2 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

Juniper在全球下一代教育科研网的广泛应用

1992 2002

2005 2006 20072003

2004

GSR12400AGS

7500/7200

CRS-1

100GE 超高速接口

GSR12000

M40 T640 T1600MX960M160

IPv4 IPv4/IPv6

622M/GE/2.5G 接口 10G/40G 高速接口技术趋势

1998 2008

Big Internet Multiservice Next Generation NetworkIP网方向

R&E Market

T320 M320 M120

IPv6

C7600

Page 3: 3D 立体化建设和管理新一代校园网

3 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

Juniper T640

Huawei NE80

Bitway BE12K

10G POS2.5G POS

40G POS

CERNET2主干网拓扑结构

北京

北大

北航

北邮

西安

郑州

兰州

成都重庆 武汉

广州厦门

杭州长沙

南京

合肥

济南

天津

同济 复旦

上海

沈阳 长春 哈尔滨

大连

GE Link

Page 4: 3D 立体化建设和管理新一代校园网

4 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

现在是各个学校建设新一代校园网的时候了

CERNET2中国下一代教育科研网 CERNET2 IPv6骨干网已经形成

IPv6的应用,如 3Tnet MPLS的应用 QoS的部署和实施

Page 5: 3D 立体化建设和管理新一代校园网

5 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

议题 传统校园网面临的问题分析

下一代校园网的目标和思路

具体的部署方案

Page 6: 3D 立体化建设和管理新一代校园网

6 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

目前校园网最关注的几个方面和面临的问题

业务、应用、用户的承载

政策和法律法规的要求

管理维护工作量和难度

这些情况是不同区域不同规模的学校所共同面临的,网络架构和业务部署模式决定了这些问题存在的必然性

Page 7: 3D 立体化建设和管理新一代校园网

7 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

一个业务功能需要多个业务层面共同配合实现 靠近边缘的设备的功能要求却很多;实现效果不好,性能也不高; 没有有效的隔离措施和保障手段,导致相互的干扰影响 校园网中设备(特别是边缘设备)的稳定性可靠性降低,管理维护压力越来越大;

传统校园网“倒挂”的构架

核心层

汇聚层

接入层 用户接入相互隔离速率限制802.1X接入控制DHCP侦听动态 ARP检测

IPv4三层终结IPv6三层终结单播、组播控制ACLQoSMPLS

高速转发

Page 8: 3D 立体化建设和管理新一代校园网

8 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

议题 传统校园网面临的问题分析

下一代校园网的目标和思路

具体的部署方案

Page 9: 3D 立体化建设和管理新一代校园网

9 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

下一代校园网的目标

下一代校园网

高性能

易管理

精细化

Page 10: 3D 立体化建设和管理新一代校园网

10 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

解决的思路 思路一:仍然采用传统校园网的三层架构模式,通过提高设备档次的方式来满足日益增长的需求

这是一种指标不治本的方案,原有模式的问题没有得到根本的解决 网络中边缘设备数量众多,升级换代提高档次不现实

思路二:建设下一代校园网的新的思路: 扁平化的校园网架构 精细化的校园网管理

Page 11: 3D 立体化建设和管理新一代校园网

11 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

解决的思路 ---扁平化的网络 网络架构从复杂化向扁平化发展

源自于运营商大规模网络发展的经验 扁平化不是意味着网络物理层次的减少,而是网络逻辑层次的扁平 扁平的网络有更高的效率,更有利于扩展

Page 12: 3D 立体化建设和管理新一代校园网

12 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

扁平化带来的优势 网络层次的清晰化

将原来各个层次模糊的功能区分清晰化 不同层次各司其职,有利于管理和维护

用户接入VLAN隔离

IPv4/IPv6双栈线速转发IPv4/IPv6双栈组播控制ACL、速率限制QoSMPLS基于用户的认证接入控制

业务控制层

宽带接入层 QinQVLAN隔离

Page 13: 3D 立体化建设和管理新一代校园网

13 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

扁平化带来的优势 用户 /业务控制的集中化

由能力最强,功能最丰富的核心设备提供集中的业务控制和管理 有利于功能和业务的部署 能够保证在提供功能和业务时,有较好的性能 有利于发挥核心设备的稳定性可靠性的优势

汇聚 /接入设备,则提供其力所能及的基本功能 一般只提供基本的二层 VLAN隔离功能 因此部署新的业务和功能时,无需考虑其是否支持 有利于降低数量众多的汇聚 /接入层设备投资 由于功能简单,有利于这些设备的稳定可靠运行

全网投资的下降,运行成本(电力、空调)成本的大幅降低

Page 14: 3D 立体化建设和管理新一代校园网

14 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

扁平化带来的优势 网络架构更易于扩展和管理

校园网的功能划分清晰后,整个网络更有利于扩展 核心层设备

性能很强 对新功能新业务能够提供良好的支持

汇聚层和接入层 只需要考虑接入端口的扩充、上行带宽的增加

管理更加简单

Page 15: 3D 立体化建设和管理新一代校园网

15 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

解决的思路 ---精细化控制传统的校园网是粗放型的网络

只是满足了基本的网络互联互通的需求,但缺乏相应的审计和控制手段

用户之间互相影响,网络中的攻击泛滥,如 ARP 攻击 /DHCP 仿冒 /IP 仿冒;

用户只要接上网络,就能获得网络的使用权,整个访问过程没有针对性的记录、审计和控制,导致了网络的无序使用

网络使用没有实名制,用户访问行为没有记录,出现问题无法追查;

缺乏针对性的控制,网络带宽被大量占用,重要应用得不到带宽保障;

难以实现用户权限的控制,存在未经授权的访问 ……

Page 16: 3D 立体化建设和管理新一代校园网

16 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

校园网精细化管理能够达到的目标 实现用户之间 /业务之间的有效隔离,避免相互之间的干扰和影响,做到可细分、可隔离;

对用户的各种信息,如用户帐号、MAC 地址、 IP 地址、上线时间及其访问行为的识别和记录,做到可跟踪、可追查;

实现基于用户身份的行为控制,诸如可访问的资源权限、对网络带宽的占用等方面的控制,做到可控制、可管理;

网络应用的精细化管理,实现完善的流量识别和控制能力,保障重要应用系统的网络承载,包括安全性、带宽保障、可靠性等方面,做到可识别、可保障;

Page 17: 3D 立体化建设和管理新一代校园网

17 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

怎样实现校园的扁平化和精细化? 核心设备要求 =性能 +功能 +精细化管理的特性 三层交换机

性能有限, IPv6性能相对于 IPv4而言有大幅度的下降 最大仅支持 4096个 VLAN,不满足精细化 VLAN 划分的要求 不支持 QinQ终结功能,无法实现 VLAN扩展 不支持硬件的 IPv6组播功能 不支持基于用户的接入管理功能 ……

只有高性能多业务路由器才能胜任下一代校园网核心任务

Page 18: 3D 立体化建设和管理新一代校园网

18 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

议题 传统校园网面临的问题分析

下一代校园网的目标和方向

具体的部署方案

Page 19: 3D 立体化建设和管理新一代校园网

19 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

校园网方案:核心层改造实现目标

核心层

物理结构:三层(核心、汇聚、接入)

汇聚层

接入层

• 新 IPv6/IPv4核心

Page 20: 3D 立体化建设和管理新一代校园网

20 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

校园网方案:核心层改造实现目标

核心层

物理结构:三层(核心、汇聚、接入)

汇聚层

接入层

Page 21: 3D 立体化建设和管理新一代校园网

21 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

校园网方案:核心层改造实现目标

核心层

物理结构:三层(核心、汇聚、接入)

汇聚层

接入层

Page 22: 3D 立体化建设和管理新一代校园网

22 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

网络的逻辑架构和 VLAN划分

Vlan 1-24 Vlan 1-24 Vlan 1-24

增加外层标签 1001

增加外层标签 1002

增加外层标签 1003

1001 1-241002 1-241003 1-24

Page 23: 3D 立体化建设和管理新一代校园网

23 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

用户的终结和控制

Vlan 1-24 Vlan 1-24 Vlan 1-24

增加外层标签 1001

增加外层标签 1002

增加外层标签 1003

1001 1-241002 1-241003 1-24

提供 IPv4/IPv6双栈的终结和控制功能

无需 IPv6 支持

无需 IPv6 支持

IPv4 address: 192.168.1.1/24IPv6 address: 2001:10ad::1/64

Page 24: 3D 立体化建设和管理新一代校园网

24 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

特殊业务(如一卡通系统)的部署

Bridge-domain

Page 26: 3D 立体化建设和管理新一代校园网

26 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

IPv6组播的实现

核心

汇聚

Cernet2

边界路由器

接入

MX核心路由器能够实现基于硬件的 IPv6组播复制,支持每板卡4000 并发用户同时在线观看视频节目

Cernet 华东华北节点测试验证 无需汇聚接入设备支持 IPv6组播

Page 27: 3D 立体化建设和管理新一代校园网

27 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

基于逻辑接口的实时监控 对于校园网内的任意一个接入层交换机端口,都能够在网络核心实时提供端口流量镜像到 Sniffer 服务器,而无需管理员赶赴现场

MX 960

Client Client

Sniffer

Page 28: 3D 立体化建设和管理新一代校园网

28 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

校园网实名制和计费功能的实现 实名制是校园网精细化发展的方向

能够做到用户身份和网络行为的一一对应 能够做到基于用户角色的控制 能够实现用户访问网络的计费功能 能够提供审计功能,做到有据可查

MX 系列核心路由器支持用户管理功能,在作为核心路由器的同时,提供用户接入网络时的认证、控制和计费功能核

心路由

用户管理

MX

Page 29: 3D 立体化建设和管理新一代校园网

29 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

MX系列路由器用户管理特性 融合了核心路由器和宽带接入路由器的特性,将高性能 /高端口密度和用户管理特性合而为一

通过校园核心网改造,同时实现校园网精细化管理和相应的用户接入认证、计费和控制功能

实现方案 DHCP+Portal,通过 demux用户接口进行控制 PPP实现,通过 PPP subinterface 进行控制 单机箱支持 64000 并发用户

Port

VLAN

Subscriber

Interface

Subscriber

Interface

VLAN

Subscriber

Interface

Subscriber

Interface

Page 30: 3D 立体化建设和管理新一代校园网

30 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

基于 PPPOE的用户接入认证

Carrier IPv4 and IPv6 Network

VLAN校园网中原有的二层设备

• 客户端与 MX 之间为二层通道• 通过客户端实现到与 MX的 PPPoE 拨号• 通过 PPPoE,实现认证、计费、控制• 支持 IPv6 Over PPPoE

校内二层网络

Page 31: 3D 立体化建设和管理新一代校园网

31 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

基于WEB Portal的用户接入认证

网络中心业务控制层

接入交换机

全面的校园网精细化管理方案 MX960 A

MX960 B MX960 C

认证计费速率控制权限控制行为管理……

InternetCernet

用户认证

带宽 /ACL

流程:1, 用户侧通过 DHCP 获得 IP地址,在MX 上相应生成demux用户接口;

2,用户 demux接口的默认权限是特定的资源,当访问其他资源时,通过 http redirect 重定向到 portal 页面上;

3,用户在 portal 页面上输入用户名和口令,认证成功后, radius 系统下发属性,调用定义的访问策略,对用户的demux 端口进行控制,开放用户特定的访问权限;

Radius

SRC+Portal

Page 32: 3D 立体化建设和管理新一代校园网

32 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

用户访问行为的获取和分析 原有校园网中大量的流量,对于管理员而言,难以识别,无法感知具体的应用类型和资源占用情况;

通过 Netflow的采集和分析,能够将网络中大量的、不可识别的流量,统计分析成清晰的、基于源 IP 地址和目的 IP 地址间传输的单向数据包流:

掌握校园网内的流量特征和用户行为特征 感知用户的应用类型和使用习惯 及时采取措施,应对异常流量的攻击

Page 33: 3D 立体化建设和管理新一代校园网

33 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

校园网不再是“黑盒子”

用户相互隔离

多业务功能支持 细致的

控制

行为识别追踪

远程实时诊断

Page 34: 3D 立体化建设和管理新一代校园网

34 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

清华大学校园网出口

Page 35: 3D 立体化建设和管理新一代校园网

35 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

南京大学仙林校区

图书馆

基础试验楼

(共4个汇聚)西区(扩展)

公共教学楼

学生宿舍区

A B

C

安保中心

校医院

第一学生组团

第一、二食堂

第二学生组团

国际学院

体育馆

北区(扩展)东区(扩展)

第三学生组团(扩展)

网络中心汇聚

数据中心

大学生活动中心

校史博物馆

档案馆

气象监测站

天文系馆

鼓楼校区

核心控制层

宽带接入层

Page 36: 3D 立体化建设和管理新一代校园网

36 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

山东大学的网络架构

Page 37: 3D 立体化建设和管理新一代校园网

37 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

东南大学 -L2TP---PPPOE---PORTAL

CERNET

网通出口

电信出口

CERNET2

VR

RP

四牌楼校区

九龙湖校区

PPPoE

L2TP

L2TP

Page 38: 3D 立体化建设和管理新一代校园网

38 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

青岛海洋大学网络架构

汇聚层

接入层

核心层

CERNET

IPv4网络

IPv6网络

IP隧道

GE链路

CERNET2

• 通过在核心部署一台 MX960 立刻实现了 IPv6

Page 39: 3D 立体化建设和管理新一代校园网

39 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

中国矿业大学

SiSiSiSi SiSiSiSiSiSiSiSi

老校区 6509 计算机学院 6810E 计算机学院实验室信电学院 6810E教学 3区 6806E 行政办公大楼 6810E

电信 Cernet 网通

NetScreen-5200

SiSi

流控

……

服务器群

SA 6500

E120

SRC2000

Cernet2

IPv6 Router

Page 40: 3D 立体化建设和管理新一代校园网

40 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

南京理工大学

C6513 C6513

C6509 C6509C6509C6509 C4506 C4506 C4506 C4506

E320-A E320-B

校园网 宿舍网

Page 41: 3D 立体化建设和管理新一代校园网

41 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

地质大学MX 用户管理案例

Radius/CoAServer

PC with Client

流程:1, 用户侧 PC通过客户端发起连接请求,客户端通过option60 等属性携带用户名 / 密码 /MAC 等信息;

2,MX将这些信息以 Radius形式封装,并发给 radius 系统进行认证;

3,认证成功后, radius 系统下发 CoA 属性,调用定义的访问策略,对用户的 demux 端口进行控制;

Page 42: 3D 立体化建设和管理新一代校园网

42 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

哈尔滨工业大学网络结构

E120

EX4200 VC

IDP800

SA6500

二校区办公网

一校区办公网

一校区公寓及住宅网

二校区公寓及住宅网

科学园办公网

EX4200 VC

接入控制区数据中心

教学区 宿舍及住宅区

万兆光纤千兆光纤千兆双绞线

MX960 MX960

MX960 MX960

教育网出口 联通出口 2电信出口联通出口 1

无线网

Page 43: 3D 立体化建设和管理新一代校园网

43 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

安徽工业大学安徽工业大学网络拓扑结构图

MX960 AMX960 B MX960 C

…… ……

新校区 老校区6509

MX960

汇聚交换机

接入交换机万兆链路千兆链路

Page 44: 3D 立体化建设和管理新一代校园网

44 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

南通大学中国电信

中国教科网 Pv4

教学核心锐捷 S8610

启秀教学核心锐捷 S8610

钟秀教学核心锐捷 S8610

钟秀图书馆核心

启秀图书馆核心

图书馆核心锐捷 S7606

一卡通核心锐捷 S5750

链路负载均衡器

中国移动

图例:千兆多模光纤千兆单模光纤万兆多模光纤边界路由

主校区西区

中国教科网 IPv6

IPS

Juniper M10i

宿舍核心锐捷 S8610

无线网核心

业务控制层

宽带接入层

Page 45: 3D 立体化建设和管理新一代校园网

45 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

总结 新一代校园网:结合目前实际状况和发展需求的逐步完善 基于网络需求发展和设备发展的平滑演进

高性能—核心功能与用户控制功能的融合 易管理—网络架构清晰,统一的业务控制层面 +网络接入层面 精细化—提供完善的用户接入控制和管理

Page 46: 3D 立体化建设和管理新一代校园网