大二层-按需构建灵活的精细化的校园网络.ppt

基于逻辑接口实现 每个接入端口在核心设备上对应一个逻辑接口 在接口上提供速率限制、访问权限控制等 能够基于每个用户实现 基于用户的身份，在用户认证时动态下发控制属性，对用户的访问速率、权限等进行控制 能够基于不同类型的接入方式开放/关闭相应的业务功能 由于AP的性能问题，建议关闭IPv4/IPv6 multicast业务 仅开放单播业务 实名制是校园网精细化发展的方向 能够做到用户身份和网络行为的一一对应 能够做到基于用户角色的控制 能够实现用户访问网络的计费功能 能够提供审计功能，做到有据可查 MX系列核心路由器支持用户管理功能，在作为核心路由器的同时，提供用户接入网络时的认证、控制和计费功能 核心交换机 汇聚交换机 接入交换机 …… … … 接入控制： 帐号 + IP＋MAC＋端口 接入时段控制 认证计费报文 上网业务数据 认证客户端 交换机接入控制 用户Web自助服务器 SAM Server数据库Server 计费管理系统 INTERNET FW 接入交换机 接入控制技术——802.1X 1、交换机彼此兼容性问题 网络设备不兼容、扩展功能不兼容 2、终端问题，不适应当今终端接入方式 客户端不兼容，安全特性不兼容； 3、计费策略问题 旁挂架构没法对流量实施细分计费策略，无法提供复杂计费策略； 只能按照时长计费，802.1X的流量统计都是基于交换机端口的； 4、多节点的管理问题 较为分散的控制点，不利于进行整网的运营管理及控制 5、影响低端接入交换机运行的稳定性 接入控制技术——802.1X 接入控制技术——PPPoE servers radius 认证 计费 Cernet BRAS设备 接入控制技术——PPPoE 1、专有客户端需求，不适应当今无客户接入方式 2、PPPoE封装和解封装，带来效率的降低； 3、组播的天然缺陷，非纯IP报文，组播支持不好； 接入控制技术——网关WEB认证 Cernet 网关认证系统 AC控制器 接入控制技术——网关WEB认证 1、只是在出口网关位置实现控制； 2、无法感知和解决内网的安全问题； 3、无法对内网用户进行精细化的控制； 4、基于优化的PC架构，无法实现性能的提升，已为运营商所弃用。 接入控制技术——IPoE方式 提供ALL-IN-ONE融合的认证功能 DHCPv4 DHCPv6 DHCP+Portal认证 PPPoE认证 报文触发认证 L2TP认证 PPPoEv4 PPPoEv6 IPv4 over L2TP IPv6 over L2TP IPv4 PTSP IPv6 PTSP 02 01 03 04 基于WEB Portal（IPoE）的用户接入认证 网络中心 业务控制层 接入交换机 全面的校园网精细化管理方案 MX960 A MX960 B MX960 C 认证 计费 速率控制 权限控制 行为管理 …… Internet Cernet 用户认证 带宽/ACL 流程： 1， 用户侧通过DHCP获得IP地址，在MX上相应生成demux用户接口； 2，用户demux接口的默认权限是特定的资源，当访问其他资源时，通过http redirect重定向到portal页面上； 3，用户在portal页面上输入用户名和口令，认证成功后，radius系统下发属性，调用定义的访问策略，对用户的demux端口进行控制，开放用户特定的访问权限； Radius+Portal 校园网实名制和计费功能的实现 核心路由 用户管理 MX 部署方案A 物理结构：三层（核心、汇聚、接入） 核心层 汇聚层 接入层 校园网业务控制层 部署方案B 物理结构：三层（核心、汇聚、接入） 核心层 汇聚层 接入层 部署方案C 物理结构：三层（核心、汇聚、接入） 核心层 汇聚层 接入层 QinQ和地址规划 Vlan 1-24 Vlan 1-24 Vlan 1-24 增加外层标签1001 增加外层标签1002 增加外层标签1003 1001 1-24 1002 1-24 1003 1-24 提供IPv4/IPv6双栈 的终结和控制功能 无需IPv6支持 无需IPv6支持 IPv4 address：/24 IPv6 address：2001:10ad::1/64 海量配置的自动生成 校园网采用了VLAN细分的方式 大量的VLAN带来了大量的配置 基于模板的auto-config IPv6的实名制和精细化控制 SLAAC（简单、兼容） PPPoE（实名制、精细控制认证、客户端） DHCP（实名制、精细控制，如何兼容） MX support DHCPv6 IPv6组播的实现 MX核心路由器能够实现基于硬件的IPv6组播复制，支持每板卡4000并发用户同时在线观看视频节目 Cernet