大学校园网络认证管理改造方案建议书BRASWord下载.docx
- 文档编号:14372855
- 上传时间:2022-10-22
- 格式:DOCX
- 页数:29
- 大小:2MB
大学校园网络认证管理改造方案建议书BRASWord下载.docx
《大学校园网络认证管理改造方案建议书BRASWord下载.docx》由会员分享,可在线阅读,更多相关《大学校园网络认证管理改造方案建议书BRASWord下载.docx(29页珍藏版)》请在冰豆网上搜索。
二、项目需求
1.
2.
2.1网络业务分析
XXX大学校园网网络作为XXX大学统一规划的应用、业务、承载的平台,各院系可以在此平台上利用先进的网络技术建立各自的业务系统,网络能够实现信息资源共享和实时通信。
全网要求具备较高的智能性、较强的安全性、完备的管理和运营能力,网络整体要求提供业界领先的网络产品搭建优秀的新骨干网络承载系统。
当前XXX大学网络采用了传统的三层网络构建模式,即核心—汇聚—接入的三层架构,并且基本上都采用了以三层交换机为主的网络建设方案。
由于三层交换机具备高端口密度、高速的以太网接口和较强的交换性能,因此能够满足校园网建设的端口和带宽的要求,满足校园网在发展阶段的高带宽/内部互联互通的需求。
传统的校园网结构如下图所示:
在这种架构中,每个层面都分别承担了校园网的一部分功能,其业务功能划分模型如下所示:
●出口:
准出认证、计费、NAT日志;
●核心层:
提供高速接口,实现核心高速转发;
●汇聚层:
提供用户在校园网中的DHCP地址分配和用户的三层终结功能;
在校园网中,除了提供IP单播报文的转发外,还必须能够支持组播功能,提供组播视频流的复制和下发。
另外,需要在汇聚层的三层接口上开启相应的ACL访问控制列表功能,QoS服务质量保障功能。
另外,随着IPv6在校园网的部署,还需要提供用户的IPv6功能,如无状态IPv6地址分配、IPv6单播和组播转发等;
●接入层:
负责用户的接入,相互的VLAN隔离,基于端口的上下行速率限制,同时,为了避免目前大量存在的ARP攻击问题,还必须在接入层交换机上开启DHCP侦听和ARP动态检测功能(三层交换机才能提供这一类的功能);
这种架构下,我们能发现存在这样一些问题:
●第一,校园网的每个层面都有做用户接入和控制,实现了一部分的功能;
如接入设备提供端口隔离、VLAN等功能、汇聚设备则提供了三层网关、ACL控制、路由策略等功能,大量的设备也就意味着大量的配置,会给校园的管理员带来巨大的实施成本,同时这也就使得在校园网中部署新功能新应用变得非常困难,要考虑到各个层面设备的支持能力。
相应的,由于控制点的分散,导致出现问题后,故障点很难定位,恢复时间较长;
处理一个故障往往涉及多个层面的多个设备。
●第二,能力强的设备,如核心设备,其功能反而越弱化;
相反,靠近边缘的设备,如汇聚和接入层的设备,功能要求却很多,形成了校园网设备层次和能力层次的“倒挂”。
由于汇聚和接入层层面的设备档次较低,性能不高、稳定性较差、功能也不丰富,因此在实际部署时,经常出现问题,实现效果不好。
比如在校园网部署IPv6时,在汇聚层设备上通常对IPv6的支持较差,特别是在开启IPv6组播业务时,由于设备不支持基于硬件的IPv6组播流量复制转发,经常导致设备100%CPU,影响其他业务,甚至造成业务中断。
这就造成校园网中出问题最多,维护工作量最大的是大量的接入层、汇聚层设备,导致维护工作量大、效果不好。
●第三,由于采用了三层交换设备,单台设备只能支持4KVLAN,无法实现VLAN的细分和隔离,从而导致大量的用户、应用处于同一个VLAN广域域内,没有有效的隔离措施和保障手段,相互之间的干扰和影响严重。
如目前在校园网中普遍存在的ARP病毒和DHCP仿冒等,导致终端接入网络的问题频发,管理员疲于奔命。
如果通过在接入层交换机上开启DHCP监听和动态ARP监测功能来避免这些问题,又会导致管理维护工作量大、配置复杂的问题,并且也加大了接入层设备的工作压力,降低了可靠性。
●第四,学校目前采用的认证方式为出口认证,即用户只有在需要访问internet网络的时候才需要对用户的身份进行控制,而用户接入内网即能获得IP地址并获得访问的权利,且用户与用户之间并未做隔离,导致学校里的安全问题频发,去年的一次大断网就是因为ARP攻击所造成的;
而一旦学校加入了准入认证,那么又会存在用户如果访问外网,需要进行两次认证的尴尬,不仅降低了用户体验而且使得管理员的管理也非常麻烦。
以上这些问题将随着校园网规模的逐步扩大,多业务多应用的叠加,用户数的不断增加和流量的爆发式增长而显得越来越突出,最终导致校园网整体的稳定性可靠性降低,管理维护压力越来越大。
面对当前校园网存在的种种问题,解决问题的思路为改变校园网建设传统的思路和模式,而为了解决现网的这么多问题,绝对不是靠一项技术或者一种架构就能完美解决的,所以我们需要进行分析针对于不同场景,采用不同的网络模型架构,以打造一个更加适合XX学校的校园网络。
当前业界比较主流的校园网架构有两种:
扁平化架构及传统三层架构
所谓扁平化的网络架构,不是意味着网络物理层面变为两层,而是从网络中设备所承担的功能上区分,将网络划分为业务控制层和宽带接入层。
宽带接入层由汇聚和接入层设备构成,仅提供基本的用户高带宽接入功能和相互之间的VLAN二层隔离功能;
业务控制层则由核心层设备构成,提供网络中的用户接入控制、业务功能实现等复杂功能。
从实际的校园网物理结构来看,网络的扁平化架构和业务功能划分如下所示。
这样的按照功能划分后,网络的层次更加清晰了,不同层次的设备各司其职,有利于全网的管理维护。
扁平化的网络架构带来了很多的优势:
●由能力最强,功能最丰富的核心设备提供集中的业务控制和管理,有利于功能和业务的部署。
同时,由于这些功能是由核心设备提供,因此能够确保在提供这些业务和功能时,同样具备较好的处理性能。
另外,核心设备的高可靠性也为这些应用和业务的部署提供了保障。
●由于汇聚/接入设备只是提供了二层透传和VLAN隔离这些基本的功能,不涉及到业务功能,因此在全网部署新业务和新应用时,无需考虑其是否支持。
同时,由于这些设备的功能要求简单,且数量众多,因此能够显著降低全网设备的投资和后期的使用维护费用,提高校园网的投资产出比。
另外,由于功能的弱化,从而使得这些设备的可靠性大大提高,有利于全网的稳定可靠运行。
●扁平化后的校园网更有利于今后的扩展:
业务功能只涉及到核心层设备,因此只需要考虑核心层设备是否能够支持这些业务特性即可。
对于汇聚和接入层这些边缘设备,仅需要考虑端口的扩充和上行带宽的增加即可。
校园网建设模式改变的另一个方面是在校园网实现精细化的管理控制。
传统的校园网是粗放型的网络,从网络应用管理控制的角度来说,只是满足了基本的网络互联互通的需求,但缺乏相应的审计和控制手段:
●用户只要接上网络,就能获得网络的使用权,整个访问过程没有针对性的记录、审计和控制,导致了网络的无序使用,校园网成了一个没有监控手段的“大网吧”。
●网络使用没有实名制,用户访问行为没有记录,出现问题无法追查;
●缺乏针对性的控制,网络带宽被大量占用,重要应用得不到带宽保障;
●用户之间互相影响,网络中的攻击泛滥,如ARP攻击/DHCP仿冒/IP仿冒;
●难以实现用户权限的控制,存在XX的访问;
在运营商网络中,解决这类问题的办法是细致的用户隔离和精细化控制,如每个宽带用户(家庭)之间的隔离,不同的业务种类(上网和IPTV)之间的隔离和基于这些隔离后的控制等等。
校园网中也可以借鉴这些思路。
●首先,可以通过网络中的宽带接入层面实现VLAN的细分功能,VLAN的划分可以细致到每个接入层交换机的接入端口,这样能够实现任意端口之间的二层VLAN隔离功能,避免相互之间的干扰和影响,做到可细分、可隔离;
当端口数量超过4K时,需要采用QinQ的方案实现VLAN支持能力的扩展,提供全网4Kx4K的VLAN支持。
●对用户的各种信息,如用户帐号、MAC地址、IP地址、上线时间及其访问行为的识别和记录,做到可跟踪、可追查;
●实现基于用户身份的行为控制,诸如可访问的资源权限、对网络带宽的占用等方面的控制,做到可控制、可管理;
●网络应用的精细化管理,实现完善的流量识别和控制能力,保障重要应用系统的网络承载,包括安全性、带宽保障、可靠性等方面,做到可识别、可保障。
2.2网络流量分析
XXX大学校园网网络的数据并发性,一般是呈现波峰波谷的,绝大多数情况下,存在高并发性访问的因素,除了周末或者夜间学生晚自修之后的时间,某些特殊的应用也有可能对负荷有突发要求,如使用空间数据,大范围数据搜索,视频方面的应用等。
这些流量的转移对于网络设备提出了较高的要求,必须要求汇聚、核心设备均支持万兆技术,并提供尽可能高的带宽和转发性能,同时如果在做了校园扁平化改造后所有流量都会经过核心设备如图所示:
2.3核心设备需求分析
核心交换机在XXX大学校园网中骨干设备担负着连接各个汇聚设备和部分接入的工作,同时通过骨干设备的互联,将分布在各物理位置的校园教学科研网、校园行政办公网络连接在一起形成一套完整的网络。
由于骨干层设备担负着整个网络的流量。
骨干设备和链路的稳定性将直接影响整个网络的可靠运行。
由于骨干设备在网络中核心的位置需要高性能,所有的功能部件(电源、系统总线、处理器模块、网络接口模块等)均可以热插拔和冗余热备份等特性。
完成网络骨干层高速数据交换、转发以及稳定性的要求。
骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种业务的高质量传输,才能使网络不成为宿舍网业务开展的瓶颈。
此外,为了方便管理,核心设备必须支持集中认证协议特性。
支持用户双栈IPv4/IPv6接入认证管理,校园用户业务流量在本设备集中控制,认证通过的用户实现受信而可控的三层业务访问,支持双栈IPv4/IPv6QinQ报文的终结,能够实现校园网用户在接入和汇聚层二层隔离。
支持部署授权ARP,结合DHCP分配流程实现可控的ARP学习和老化机制。
同时在线用户数量不少于30000人。
2.4XXX大学扁平化设计
改造后的XX学校校园网:
可以看到方案中为了减少对于现网设备的影响采用了旁挂部署的方式,将2台BRAS设备做了虚拟化后旁挂在核心设备上,用户通过QINQ+端口隔离的方式实现接入交换机每个端口的VLAN隔离以实现用户与用户之间的互相隔离可以看到,由于用户与用户之间因为VLAN及QINQ的存在实现了用户间的隔离,对于用户整个园区网就像一条一条的隧道,当用户需要接入网络并进行互联访问的时候,用户必须通过核心到BRAS设备的准入认证,当通过后才能进行访问,这样每个用户拥有独立的广播域,所以ARP攻击、仿冒网关攻击、广播风暴等对校园网有着巨大影响的攻击将不复存在。
保证了整个学校网络的可靠性,经过总结我们可以得到这种扁平化方式的好处。
好处:
1、用户与用户之间完全隔离,这样不会存在广播风暴、ARP攻击等问题;
2、网络架构变得更加简单,可以看到下面的交换机仅仅承担了2层转发和隔离的功能,其配置非常简单,所有的功能都在核心层开启,那么对于校园网的管理仅仅只需要管理核心设备即可;
3、当校园网出现问题将非常容易定位,由于每个用户都会记录其IP/MAC/外层VLAN/内层VLAN,很容易定位到独立的人。
方案要点
作为扁平化方案,所有的用户流量都会上至BRAS设备,所以必须保证核心BRAS设备的可靠性,同时还需要提供简便的配置方案。
扁平化方案中在XX学校原有认证
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 大学校园 网络 认证 管理 改造 方案 建议书 BRAS