下一代校园网扁平化解决方案mx系列
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
传统校园网-WLAN的部署
IPv4
IPv4出口网关
数据库服务器
IPv6
IPv6出口网关
通过多台服务器来实现 WLAN的准入,增加了故障 点,不利于扩展
WLAN厂家一
WLAN厂家二
WLAN厂家三
传统校园网-用户的精细化管理
传统的校园网是粗放型的网络
▪ 只是满足了基本的网络互联互通的需求,但缺乏相应的精细化管理 手段
▪ 用户只要接上网络,就能获得网络的使用权,整个访问过程没有针 对性的记录、基于用户的控制,导致了网络的无序使用
▪ 没有对用户接入信息的纪录,例如接入终端,接入位置,接入的业 务有线or wlan,难以进行有效的定位溯源;
▪ 缺乏针对性的控制,网络带宽被大量占用,重要应用得不到带宽保 障;
▪ 难以实现灵活的用户控制、如基于身份、时间、位置等 ▪ ……
扁平化带来的优势
网络架构从复杂化向扁平化发展
– 源自于运营商大规模网络发展的经验 – 扁平化不是意味着网络物理层次的减少,而是网络逻辑层次的扁平 – 扁平的网络有更高的效率 – 扁平的网络更有利于扩展
业务控制层
IPv4/IPv6双栈线速转发 IPv4/IPv6双栈组播控制 ACL、速率限制
QoS
同一个用户有线接入or 无线接入
校内访问流量or校外访 问流量
客户端
L2接入网 大容量用户管理 设备
AAA服务器
数据库服务器 用户定制开发管理软 件
扁平化带来的优势-有线无线一体化管理
Portal Radius & CoA Client
WLAN AC
• MX提供用户管理功能 和业务控制及认证计费;
思路一:仍然采用传统校园网的交换架构模式,通过提高设备档 次的方式来满足日益增长的需求
▪ 这是一种指标不治本的方案,原有模式的问题没有得到根本的解决 ▪ 网络中边缘设备数量众多,升级换代提高档次不现实
思路二:建设下一代校园网的新的思路:
▪ 扁平化的校园网架构 ▪ 精细化的校园网管理 ▪ 实现灵活的用户管理和业务承载
JUNIPER下一代扁平化校园网解决方案
SP1
CERNET
SP2
核心层:大容量,高密度的用户管 理设备(Session级PPPoE/IPoE, IPv4/v6,组播,带宽管理,虚拟专 网,运营商级NAT等)
集中化用户业务控制
汇聚层:VLAN/QinQ穿透 边缘设备功能简单化
接入层:二层接入,VLAN隔离
• 通过Radius系统实现 AC与MX之间的联动
• 无线侧提供无线终端 接入,结合无线AC 实现无线侧的终端 802.1X的接入控制;
传统校园网-IPv6和组播的部署
SP1
CERNET
SP2
部署IPv6:SLAAC or DHCPv6? 汇聚层设备不支持DHCPv6怎么办? 部署组播:边缘设备的组播性能如何?
汇聚层
接入层
传统校园网-IPv6和组播的部署
IPv4
IPv4出口网关
IPv6
IPv6出口网关
在网络出口的控制网关没 有用户的终端信息,会造 成二次认证的问题!
▪ 复杂的计费策略 ▪ 特定流量免费,特定流量按照特定费率收费 ▪ 优惠时段
方案1:基于Flow采样的用户流量采集计费
▪ 可以记录用户每次访问的IP五元组信息,不仅可以用于计费, 可以用于更深层次的用户行为分析
▪ 需计费服务器支持Flow信息收集
方案2:基于服务的计费Service-based Accounting
汇聚层:端口汇聚,三层交换
接入层:二层接入
核心层 汇聚层 接入层
高速转发
IPv4三层终结 IPv6三层终结 单播、组播控制
ACL
QoS
VPN
用户接入
相互隔离
速率限制wk.baidu.com
802.1X接入控制 DHCP侦听 动态ARP检测
▪ 校园网边缘设备的稳定性可靠性低,数量多,管理维护工作量大; ▪ 一个业务功能的实现需要在大量边缘设备的支持,不利于业务的部署
下一代校园网扁平化解决方 案mx系列
业务、应用、 用户的承载能
力
管理维护工 作量和难度
政策和法律 法规的要求
这些方面是不同区域不同规模的学校所共同关注的, 网络架构和业务部署模式决定了问题存在的必然性
SP1
出口层:防火墙,流控,认证计费网关 核心层:大容量三层交换
CERNET
SP2
串接太多的功能模块,增加 维护难度和故障点
DHCPv6+ IPv6组播
VLAN
汇聚
VLAN
接入
扁平化带来的优势-认证计费服务器的旁路
SP1
CERNET
SP2
基于标准的Radius协 议,没有任何私有协议
认证请求,用户信息收 集,计费信息统计
用户认证,策略(带宽 ,访问权限)下发,计 费信息展现
计费服务器旁路后的灵活计费
校园网计费的特殊要求
▪ 基于每用户每Service的灵活计费 ▪ 在每个用户Session基础上,生成多个service session ▪ 可针对每个用户不同的访问目的地址,不同的应用类型计费
NAS-PORT-ID
NAS-PORT-TYPE
Service accounting PPPoE/IPoE
Session
用户名和密码 接入设备端口号/VLAN ID 校园网IP地址 对应MAC地址 IP地址使用时间记录
1、认证页面显示问题:分辨率、字体 等; 2、用户手指操作方便性问题; 3、多操作系统支持问题;
有线无线一体化解决方案: 对手持终端用户
WLAN AC
Radius & CoA Client
• AC通过802.1X方式实 现用户接入无线网络 接入控制和认证
• MX则提供了无线终端 的DHCP,并实现对 用户session的控制
• 通过MX提供IPoE方式 的用户接入和基于 Portal的用户认证
• 无线系统提供无线终 端接入,不做任何的 用户管理功能;
• 无线AC+AP可工作于 本地交换模式
有线无线一体化解决方案: 对手持终端用户
1、用户必须手动打开WEB浏览器才能 认证,否则只是拿了地址; 2、大量未经认证终端也能拿到IP地址 ,占用MX session资源;
VPN 基于用户的认证接入和控制
宽带接入层
QinQ VLAN隔离
用户接入 VLAN隔离
无需在接入和汇聚设备上进行复杂的配置,无需边缘设备支持, 只需要在核心设备上部署DHCPv6+IPv6组播
很容易实现1:4000的IPv6组播复制业务部署
▪ Cernet华东节点测试验证
Cernet2
边界路由器
核心