大二层-按需构建灵活的精细化的校园网络

速率、权限等进行控制
能够基于不同类型的接入方式开放/关闭相应的业务功能
由于AP的性能问题，建议关闭IPv4/IPv6 multicast业务 仅开放单播业务
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
平台化
MX960 A
出口
Internet Cernet
FW 核心交换机
上网业务数据 认证计费报文
接入控制： 帐号 + IP＋MAC＋端口 接入时段控制
汇聚交换机
交换机接入控制
……
接入交换机 接入交换机 认证客户端
…
Copyright © 2011 Juniper Networks, Inc.
…
www.juniper.net
接入控制技术——802.1X
网络中心 业务控制层
流程：
1， 用户侧通过DHCP获得IP地 址，在MX上相应生成demux用 户接口；
MX960 C 2，用户demux接口的默认权限
是特定的资源，当访问其他资源 时，通过http redirect重定向到 portal页面上； 3，用户在portal页面上输入用 户名和口令，认证成功后， radius系统下发属性，调用定义 的访问策略，对用户的demux端 口进行控制，开放用户特定的访 问权限；
传统校园网“倒挂”的构架
核心层
汇聚层
高速转发 IPv4三层终结 IPv6三层终结 单播、组播控制 ACL QoS VPN 用户接入 相互隔离 速率限制 802.1X接入控制 DHCP侦听 动态ARP检测
接入层
大车拉小马，小马拉大车 头疼医头，脚痛医脚
Copyright © 2011 Juniper Networks, Inc. www.juniper.net



只是满足了基本的网络互联互通的需求，但缺乏相应的审计和控制 手段 用户之间互相影响，网络中的攻击泛滥，如ARP攻击/DHCP仿冒 /IP仿冒； 用户只要接上网络，就能获得网络的使用权，整个访问过程没有针 对性的记录、审计和基于用户的控制，导致了网络的无序使用 网络使用没有实名制，用户访问行为没有记录，出现问题无法追查； 缺乏针对性的控制，网络带宽被大量占用，重要应用得不到带宽保 障； 难以实现灵活的用户控制、如基于身份、时间、位置等 ……
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
用户的精细化控制的手段
基于逻辑接口实现
每个接入端口在核心设备上对应一个逻辑接口 在接口上提供速率限制、访问权限控制等
能够基于每个用户实现
基于用户的身份，在用户认证时动态下发控制属性，对用户的访问
10GE with LAG
Access Layer
Single fabric using Virtual Chassis technology
PoE
PoE
MP-532 APs
10GbE servers
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
接入交换机
Copyright © 2011 Juniper Networks, Inc. www.juniper.net
网络中用户的统计和分析（仅DHCP，无需用户认证）
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
IPv6组播情况统计—按照频道统计
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
精细化
用户可分、可离 行为可控、可审 应用可知、可保
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
精细化控制
传统的校园网是粗放型的网络
CUG基于瘦客户端的应用案例
地大在其瘦客户端上开发了一些特性功能，如提供了用户多项出口 选择功能： 提供给学生自由自主的上网平台和环境，同时也提供了部分用户的 认证直接进入VPN，如图书馆；
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
现有校园网中经常面临的问题

网络病毒的传播和感染，控制手法匮乏 ARP欺骗带来的大面积影响，控制手法匮乏 网络资源的公平性欠缺
——部分人下载占据大量出口带宽，影响他人的网络访问和学习


பைடு நூலகம்
无法实现差异化的服务
——网络层的简单互通，无法针对不同群体用户实现不同的服务

管理维护工作量的增加，网段多故障过于分散
按需构建灵活的、精细化的校园网络
议题
传统高校校园网络分析
新型校园网的目标和思路
新型校园网技术实现
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
高校的烦恼
管理的压力
创新的压力
监管的压力
高校
Copyright © 2011 Juniper Networks, Inc.
更高效 更稳定
宽带接入层
QinQ VLAN隔离
更省钱
用户接入 VLAN隔离
大车和小马各司其职，各尽所长
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
扁平化带来的优势
控制集中、部署简单、扩展方便
由能力最强，功能最丰富的核心设备提供业务控制和管理 丰富的功能 较好的性能 稳定、可靠 汇聚/接入设备，则提供其力所能及的基本功能 只提供基本的二层VLAN隔离功能 无需支持新的业务和功能 降低设备投资（数量众多！） 由于功能简单，因此更加稳定可靠 全网投资的下降，运行成本（电力、空调）成本的大幅降低 网络架构更易于扩展和管理
Subscriber Interface VLAN Subscriber Interface
Port
Subscriber Interface VLAN Subscriber Interface
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
流量日志每隔5—10秒增量备份一次，保存在专门的备份目录里面，目前 保存时长是一年；
Copyright © 2011 Juniper Networks, Inc. www.juniper.net
用户认证进入不同的MPLS VPN
[edit] lab@CUG-MX960-RE1# show routing-instances ? Possible completions: DMTJS_GL_VPN Routing instance name ————多媒体教室VRF NMA_GL_VPN Routing instance name ————网管VR TSG_GL_VPN_700 Routing instance name ————图书馆VRF Unit_Server_Storage_VPN Routing instance name ————服务器存储的VRF Wireless_AP_GL_VPN Routing instance name ————无线AP/AC互联的VRF YKT_GL_VPN_902 Routing instance name ————一卡通VRF to_3A-Portal Routing instance name ————forward，做FBF的filter to_TSG_GL_VPN Routing instance name ————virtual-router，IPoE直接接入图书馆VPN to_dianxin Routing instance name ————forward，做FBF的filter to_jiaoyu Routing instance name ————forward，做FBF的filter to_wangtong Routing instance name ————forward，做FBF的filter 。。。。。。
www.juniper.net
校园网不再是“黑盒子”
多业务功 能支持
细致的 控制
用户相互 隔离 行为识 别追踪 远程实 时诊断
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
基于Netflow的精细化流量分析和计费功能
用户账单查询，上网时间及流量等内容，都区分了非优惠和优惠方式；
QinQ和地址规划
提供IPv4/IPv6双栈 的终结和控制功能 1001 1002 1003 1-24 1-24 1-24
无需IPv6支持 增加外层标签1001 增加外层标签1002 无需IPv6支持
增加外层标签1003
Vlan 1-24
Vlan 1-24
Vlan 1-24
IPv4 address：192.168.1.1/24 IPv6 address：2001:10ad::1/64
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
"新思路，新方法"
扁平化
精细化
下一代校园网
平台化
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
扁平化
业务控制层
IPv4/IPv6双栈线速转发 IPv4/IPv6双栈组播控制 ACL、速率限制 QoS VPN 基于用户的认证接入和控制
Radius
网络中心 业务控制层
用户认证
Portal
MX960 B
MX960 C
数据中心
接入交换机
Copyright © 2011 Juniper Networks, Inc. www.juniper.net
平台化
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
CUG全校有线无线一体化认证
Aruba 6000_master
Aruba 6000_E
Aruba 6000_W
Aruba 6000_N
AC6000 4台
AP
1200多台
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
基于每个用户的管理（仅DHCP，无需用户认证）
www.juniper.net
高校校园网最关注的方面
业务、应用 、用户的承 载能力
管理维护 工作量和 难度
政策和法 律法规的 要求
这些方面是不同区域不同规模的学校所共同关注的， 网络架构和业务部署模式决定了问题存在的必然性
Copyright © 2011 Juniper Networks, Inc. www.juniper.net
MX960上面建立了多种VPN，有VRF、VR、Forwarding； 地质大学目前正在部署“节能水电VRF”，管理全校水电信息；
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
接入控制技术——802.1X
计费管理系统
INTERNET SAM Server数 据库Server 用户Web自 助服务器
Copyright © 2011 Juniper Networks, Inc. www.juniper.net
基于WEB Portal（IPoE）的用户接入认证
MX960 A
Internet Cernet
Radius+Portal
认证 计费 速率控制 权限控制 行为管理 …… 用户认证
带宽/ACL MX960 B
计费的实现（基于时长、流量）
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
基于Netflow的精细化流量分析和计费功能
后台数据库，针对帐号及 Channel的复合记录
Copyright © 2011 Juniper Networks, Inc.
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
校园网有线无线一体化的实现
Copyright © 2011 Juniper Networks, Inc.
www.juniper.net
以MX为核心的有线无线一体化校园网
MX
WLC-2800