校园大二层(扁平化)网络改造方案

•
规划接入交换机上QinQ的内 层标签
•
规划核心设备上物理接口及 unit
•
生成QINQ规划表
ISP
Cernet
出口防火墙
• •
改造测试——改造前搭建模拟环境测试 平滑过渡——将核心路由器通过透明桥的方式部署在认证计费设备 及原核心设备之间，照事先规划好的设计，逐步的将接入用户切到 新核心路由器上面来
接入1 接入层 汇聚层 。。。。。。
原核心设备
接入2
•
认证第一阶段
•
认证第二阶段
•
需注意事项：割接认证设备 时，我们会协调认证设备厂 商的备机到场
•
核心路由器上架——核心路由器大约600斤重，上架前需将板卡、电源、风扇全部卸掉，并 用尺子衡量好耳朵螺丝孔与机柜螺丝孔的对应位置。上架时需至少两个人同时搬动设备，设 备搬到相应位置时及时拧上螺丝，固定设备。上架完成后将板卡、电源、风扇安装到原位。
•
用户认证过后无法访问门户网站
问题：用户认证通过后，访问百度等页面正常，像新浪、网易、淘宝等网页打不开。
原因：（1）汇聚交换机上联口MTU值未调整。
（2）汇聚交换机版本过低。 解决办法：（1）将汇聚交换机上联口的MTU值设置成大于104的任意值。 （2）升级交换机版本。
•
IP地址不在radius列表中：
核心层
高速转发
汇聚层
IPv4三层终结 路由协议 ACL QoS 用户接入 相互隔离 速率限制 DHCP侦听 动态ARP检测
接入层
三层网络架构采用层次化模型设计，即将复杂的网络设 计分成几个层次，每个层次着重于某些特定的功能，这样就能 够使一个复杂的大问题变成许多简单的小问题。 方便管理、提高网络性能。
问题：用户认证时弹出IP地址不在radius列表中的提示，导致无法通过认证。 原因：MX960 radius列表中用户在线状态与深澜radius列表不一致。 解决办法：同时将MX960和深澜的radius用户踢下线，然后重新建立radius列表。
•
防代理上网问题处理
问题：学校存在大量用户通过无线路由器代理上网，导致认证服务器上记录的流量精确不到每一个用
确认网络架构 汇聚设备摸底——是否支持qinq 接入设备摸底——是否支持vlan 了解网络特殊环境——有无静态地址环境 了解光纤接口、数量——接口类型、光纤 资源是否足够
• • •
绘制校园现有网络拓扑和网络点位统计表 核心设备安装确认-空间及电源 弱电间位置及钥匙确认
• • •
规划用户终端使用的IP地址 规划设备管理地址 规划汇聚交换机上QinQ的外 层标签
宽带接入层
QinQ VLAN隔离 用户接入 VLAN隔离
• • • •
帮助用户从传统的三层网络架构向二层网络架构转变。 通过控制层面设备有效减少网络的物理和逻辑级联级数 网络架构更清晰、更高效 更易于管理和维护
做到可细
分、可隔离;
做到可跟踪、可审计;
做到可细分、可控制;
做到可识别、可保 障;
• • • • •
境中，因此不能采用Q-in-Q模式。比如多媒体中控必须是静态ip，教室pc必须获得同一ip，
因此多媒体区域不能强制动态获取ip，需要进行dhcp绑定和arp绑定。
•
用户无法通过认证：
问题：用户打开网页无法弹出portal认证页面 原因：割接前用户使用的静态地址，无法拿到新地址，从而弹不出portal页面 解决办法：把用户电脑静态IP地址改成动态获取。
MX960
汇聚交换机
办公外层标签2000 专网外层标签4000 办公外层标签2001 专网外层标签4000
接入交换机
办公vlan2-49 专网vlan 100 办公vlan2-49 专网vlan 100
•
调整核心设备位置——待所有汇聚交换机全部移到MX960下后，开始调整核心设备的位置，将 原有的核心交换机做为数据中心交换机部署在服务器区或者作为汇聚利旧，完成校园网扁平化改 造过程。
核心层
高速转发 IPv4三层终结 ACL QoS
接入层
用户接入 相互隔离 速率限制 DHCP侦听 动态ARP检测
二层网络架构采用“收缩核心“设计，忽略汇聚层，核心层
设备直接连接接入层设备。
减轻维护负担，更容易监控网络状况。
业务控制层
IPv4/IPv6双栈线速转发 ACL、速率限制 QoS VPN 基于用户的认证接入和控制
•
将核心路由器接入网络，同时在部署认证服务器——项目开始时，需将核心路由器版本进行 升级。本着保证网络稳定的原则，如图所示先暂时将核心路由器接在原核心交换机下面,其他 网络设备位置保持不变。
出口
核心交换机
MX960
•
பைடு நூலகம்
配置核心路由器，搭建测试环境——按照规划表完成核心路由器的版本升级及基本配置，其 中与认证服务器的对接参数配置、路由、接口unit等。完成后，搭建测试环境，测试与核心 与认证设备对接是否完全。
•
开始割接——依次每完成一台汇聚交换机的配置，就将其接在原核心交换机上的光纤移到核 心路由器上，在确定汇聚交换机与核心路由器连通后，再完成该汇聚交换机下的接入交换机 的配置，完成后，测试网络是否连通，确定无误后，保存设备配置。。
出口
核心交换机
MX960
汇聚1
汇聚2
汇聚3
汇聚4
汇聚5
汇聚6
•
监控、财务、一卡通专网以及多媒体教室接入——全网汇 聚交换机接口配置为灵活QinQ。专网与办公网的内层标签 、外层标签不相同，同一专网的内外层标签都配置成一致 ，使其处在同一二层广播域中，且与办公网的隔离开。
RG-NPE50E
深澜认证
深信服AC
服务器区核 心交换机 RG-S7610 IPS 防火墙
MX960
生活一区
生活二区
院系楼
实验楼
逸夫楼
教学楼
本部
图书馆
•
在大二层环境里终端只能使用动态获取 IP 地址，如必须使用静态 IP 地址，可以通过两种方式 实现。
•
多媒体教室、电子阅览室、实验室、机房——因这些环境的终端大多需要在同一个局域网环
流控行为管理设 备 认证计费设备 Srun(透明)
新加核心路由器 (透明桥)
•
无感知割接——如果有备用的汇聚设备，可以在原有汇聚设备旁再 加一台汇聚设备，新加的汇聚设备与核心路由器直接相连，实现切
换一台接入，不影响其他接入
• 实施周期——根据楼宇数量，确定网络割接时间，楼宇分批次进行 割接，平均1栋楼割接时间为1天。 • 需注意事项：原有静态地址用户需要在割接后将电脑的地址改为 DHCP方式 • 实施时间避开寒暑假、开学前半个月，招生时间。
户。
原因：用户通过无线路由器联网后，同一台无线路由器下上网用户的流量在认证服务器上无法区分。 解决办法：在DHCP服务器上通过option55字段对无线路由器进行屏蔽，使无线路由器无法获取到IP 地址。