下一代校园网扁平化解决方案MX系列

下一代校园网扁平化解决方案,JuniperNetworks,高校校园网最关注的方面,传统的校园网建设模型,SP1,SP2,CERNET,出口层：防火墙，流控，认证计费网关,核心层：大容量三层交换,汇聚层：端口汇聚，三层交换,接入层：二层接入,串接太多的功能模块,增加维护难度和故障点,校园网边缘设备的稳定性可靠性低，数量多,管理维护工作量大;一个业务功能的实现需要在大量边缘设备的支持,不利于业务的部署,传统校园网“倒挂”的构架,核心层,汇聚层,接入层,用户接入相互隔离速率限制802.1X接入控制DHCP侦听动态ARP检测,IPv4三层终结IPv6三层终结单播、组播控制ACLQoSVPN,高速转发,传统校园网-IPv6和组播的部署,SP1,SP2,CERNET,汇聚层,接入层,部署IPv6:SLAACorDHCPv6?汇聚层设备不支持DHCPv6怎么办？部署组播:边缘设备的组播性能如何?,传统校园网-IPv6和组播的部署,IPv4,IPv6,IPv4出口网关,IPv6出口网关,在网络出口的控制网关没有用户的终端信息，会造成二次认证的问题！,IPv4,IPv6,IPv4出口网关,IPv6出口网关,传统校园网-WLAN的部署,WLAN厂家一,WLAN厂家二,WLAN厂家三,通过多台服务器来实现WLAN的准入，增加了故障点，不利于扩展,数据库服务器,传统校园网-用户的精细化管理,传统的校园网是粗放型的网络只是满足了基本的网络互联互通的需求，但缺乏相应的精细化管理手段用户只要接上网络，就能获得网络的使用权，整个访问过程没有针对性的记录、基于用户的控制，导致了网络的无序使用没有对用户接入信息的纪录，例如接入终端，接入位置，接入的业务有线orwlan，难以进行有效的定位溯源；缺乏针对性的控制，网络带宽被大量占用，重要应用得不到带宽保障；难以实现灵活的用户控制、如基于身份、时间、位置等,解决的思路,思路一：仍然采用传统校园网的交换架构模式，通过提高设备档次的方式来满足日益增长的需求这是一种指标不治本的方案，原有模式的问题没有得到根本的解决网络中边缘设备数量众多，升级换代提高档次不现实思路二：建设下一代校园网的新的思路：扁平化的校园网架构精细化的校园网管理实现灵活的用户管理和业务承载,Juniper下一代扁平化校园网解决方案,SP1,SP2,CERNET,核心层：大容量，高密度的用户管理设备（Session级PPPoE/IPoE，IPv4/v6，组播，带宽管理，虚拟专网,运营商级NAT等）,汇聚层：VLAN/QinQ穿透,接入层：二层接入，VLAN隔离,集中化用户业务控制,边缘设备功能简单化,扁平化带来的优势,用户接入VLAN隔离,IPv4/IPv6双栈线速转发IPv4/IPv6双栈组播控制ACL、速率限制QoSVPN基于用户的认证接入和控制,业务控制层,宽带接入层,QinQVLAN隔离,网络架构从复杂化向扁平化发展源自于运营商大规模网络发展的经验扁平化不是意味着网络物理层次的减少，而是网络逻辑层次的扁平扁平的网络有更高的效率扁平的网络更有利于扩展,扁平化带来的优势-业务的快速部署,核心,汇聚,Cernet2,边界路由器,接入,无需在接入和汇聚设备上进行复杂的配置，无需边缘设备支持，只需要在核心设备上部署DHCPv6+IPv6组播很容易实现1:4000的IPv6组播复制业务部署Cernet华东节点测试验证,VLAN,VLAN,DHCPv6+IPv6组播,扁平化带来的优势-认证计费服务器的旁路,SP1,SP2,CERNET,认证请求，用户信息收集，计费信息统计,用户认证，策略（带宽，访问权限）下发，计费信息展现,基于标准的Radius协议，没有任何私有协议,计费服务器旁路后的灵活计费,校园网计费的特殊要求复杂的计费策略特定流量免费，特定流量按照特定费率收费优惠时段方案1：基于Flow采样的用户流量采集计费可以记录用户每次访问的IP五元组信息，不仅可以用于计费，可以用于更深层次的用户行为分析需计费服务器支持Flow信息收集方案2：基于服务的计费Service-basedAccounting基于每用户每Service的灵活计费在每个用户Session基础上,生成多个servicesession可针对每个用户不同的访问目的地址,不同的应用类型计费,扁平化带来的优势-用户精细化管理和定位,大容量用户管理设备,AAA服务器,数据库服务器,用户定制开发管理软件,客户端,L2接入网,PPPoE/IPoESession,用户名和密码接入设备端口号/VLANID校园网IP地址对应MAC地址IP地址使用时间记录,NAS-PORT-ID,NAS-PORT-TYPE,同一个用户有线接入or无线接入,Serviceaccounting,校内访问流量or校外访问流量,扁平化带来的优势-有线无线一体化管理,与MX提供有线用户的管理功能类似,Portal,Radius&CoAClient,WLANAC,MX提供用户管理功能和业务控制及认证计费；通过MX提供IPoE方式的用户接入和基于Portal的用户认证,无线系统提供无线终端接入，不做任何的用户管理功能；无线AC+AP可工作于本地交换模式,有线无线一体化解决方案:对手持终端用户,1、用户必须手动打开WEB浏览器才能认证，否则只是拿了地址；2、大量未经认证终端也能拿到IP地址，占用MXsession资源；,1、认证页面显示问题：分辨率、字体等；2、用户手指操作方便性问题；3、多操作系统支持问题；,AC与MX共同实现用户接入控制和管理，并通过Radius实现联动,Radius&CoAClient,WLANAC,AC通过802.1X方式实现用户接入无线网络接入控制和认证MX则提供了无线终端的DHCP，并实现对用户session的控制通过Radius系统实现AC与MX之间的联动,无线侧提供无线终端接入，结合无线AC实现无线侧的终端802.1X的接入控制；此时无线侧必须工作在集中转发模式；无线侧为手持终端提供专用的SSID,有线无线一体化解决方案:对手持终端用户,MX960的Firewall和运营商级NAT功能(MS-DPC),Juniper扁平化解决方案,DHCPv4DHCPv6,IPoE+Portal认证,PPPoE认证,报文触发认证,L2TP认证,PPPoEv4PPPoEv6,IPv4overL2TPIPv6overL2TP,IPv4PTSPIPv6PTSP,02,01,03,04,方案-1IPOE+WEBPortal认证的解决方案,网络中心业务控制层,接入交换机,全面的校园网精细化管理方案,MX960A,MX960B,MX960C,InternetCernet,用户认证,带宽/ACL,流程：1，用户侧通过DHCP获得IP地址，在MX上相应生成demux用户接口；2，用户demux接口的默认权限是特定的资源，当访问其他资源时，通过httpredirect重定向到portal页面上；3，用户在portal页面上输入用户名和口令，认证成功后，radius系统下发属性，调用定义的访问策略，对用户的demux端口进行控制，开放用户特定的访问权限；,Radius,Portal,IPoE+WEBPortal分析,无需客户端的认证，便于灵活部署，简化认证操作需要实现终端与BRAS之间的二层化改造用户接上网线即可实现IP地址的分配通过IE浏览器即可实现用户的认证接入不存在任何兼容性的问题使用方便、简单，不需要任何帮助在运营商的WLAN网络中大量用到可以基于WEB页面实现用户的认证和动态的业务选择功能配合VLAN的细分，实现用户之间的二层隔离，避免相互影响控制方式BRAS基于每个用户动态生成DSI（动态用户接口）基于这个DSI进行相应的控制速率限制、访问权限、流量统计等,MX对IPOE的支持,支持IPv4/IPv6的DHCP接入方式支持DHCPRelay支持COA下发策略在各大学有成熟的部署案例（后附案例统计）性能指标纯IPv4环境下每板卡支持32Ksession整机支持250KsessionIPv4/IPv6环境下每板卡支持32Ksession整机支持80Ksession（100%双栈环境，即每用户同时开启IPv4和IPv6session）,方案2-PPPoE（IPv4/IPv6）,CarrierIPv4andIPv6Network,VLAN,校园网中原有的二层设备,MXIPv4/IPv6EdgeRouter,客户端与BRAS之间为二层点到点通道通过客户端实现到与BRAS的PPPoE拨号通过PPPOE的PPPv4，实现IPv4地址的分配通过PPPoE的PPPv6，实现IPv6地址的分配,校内二层网络,Radius,PPPoE方式分析,PPPoE方式同样适合于大规模用户接入部署使用需要实现终端与BRAS之间的二层化改造客户需要客户端拨入方式（对于IPv6，windowsXP不支持，需要升级到Win7）用户通过拨号到BRAS，实现PPPoE认证和IP地址获取运营商大规模使用的参考学生宿舍网中也有大量应用案例PPP通道实现了用户之间的隔离，避免了相互干扰控制方式基于每个用户动态生成一个PPPoE会话BRAS基于这个PPPoE会话进行相应的控制速率限制、访问权限、IPv6组播复制，流量统计等,MX设备对PPPOE的支持,功能支持支持完整PPPOE功能支持PPPOEforIPv4和PPPOEforIPv6支持标准Radius协议性能支持纯IPv4环境下，每板卡支持32K，整机支持220KIPv4/IPv6双栈环境下，每板卡支持32K，整机支持80K,方案3-L2TP方案,网络中心业务控制层,L2TP,出口BRAS,L2TP方式分析,L2TP方式无需对现有校园网络进行任何改造，适合于平滑支持对用户的认证控制可以部署在校园出口或者校园内部用户通过拨号到BRAS的IPv4地址，实现L2TP认证和IPv4/IPv6双栈的地址获取Windows自带客户端，安装使用方便，无需额外维护对于校外用户，同样通过L2TP提供远程接入到校内网络的功能有运营商大规模使用的参考，校园网应用不多控制方式基于每个用户动态生成一个L2TP会话BRAS基于这个L2TP会话进行相应的控制速率限制、访问权限、组播复制、流量统计等,MX设备对L2TP的支持,支持LAC/LNS支持双栈IPv4环境下每板卡支持32Ksession，整机支持60K双栈环境下，每板卡支持32Ksession，整机支持60K,方案-4PTSP协议-packet-triggeredsubscribersandpolicycontrol,网络中心业务控制层,接入交换机,MX960A,MX960B,MX960C,InternetCernet,用户认证,带宽/ACL,流程：1，用户侧通过DHCP获得IP地址，地址分配工作并非由MX设备完成，可能是下游设备，可能是固定IP2，客户IP流量进入MX设备，根据配置触发PTSP流程，默认只使用缺省policy，所有流量将重定向到WEBportal上3，用户在portal页面上输入用户名和口令，认证成功后，radius系统下发属性，调用定义的访问策略，对用户策略行控制，开放用户特定的访问权限；,Radius,SRC+Portal,方案4-PTSP协议实施分析,基于报文触发的用户管理技术适合于客户端的地址并非在MX设备本身产生（地址可能由下游设备分配，或者为固定IP地址，或者SSLVPN的地址）支持IPv4和IPv6需要配置MS-DPC同IPOE相比，需要使用Juniper专用的策略控制下发硬件SRC国内没有部署案例，国外DTAC（泰国电信）在无线网络中大规模部署性能支持纯IPv4环境下，每块MS-DPC支持100K用户，整机支持400K用户,四种方案的汇总,IPOE方案-无需客户端支持，需要二层到核心层，双栈支持PPPOE方案-需要客户端支持，需要二层到核心层，支持双栈以上两种方案在运营商和校园网都有比较成熟的应用，也可以混合使用L2TP方案-需要客户端支持，不需要二层到核心层，支持双栈运营商使用，校园网使用不多PTSP方案-无需客户端支持，无需二层到核心层，需要专用SRC设备，支持双栈,业务可靠性保证方案一（PADOdelay）,BRAS响应延时机制：备用BRAS接收到用户PADI信息后延迟响应（PADODelay），用户先收到主用BRAS响应，与主用BRAS建立连接。当主用链路或主用BRAS发生故障时，用户重新拨号，与备用BRAS建立连接。2台BRAS互为主备，即对于一部分用户，BRAS-1主用，BRAS-2备用；对于另一部分用户则反过来。这样可以充分利用SW双上行链路。需要为备份预留地址池。无需私有协议,应用较多.,BRAS-1,SW,CR-1,CR-2,BRAS-2,业务可靠性保证：多机箱虚拟化VC,汇聚交换机,汇聚交换机,MX960VirtualChassis,2台MX组成1台逻辑设备全业务、有状态的热冗余用户侧LAG链路可采用主/主或主/备模式无需预留地址池,SW,LAG,VC,VCPLink,VC:VirtualChassis,CR-1,CR-2,MX-1VC-M,MX-2VC-B,可靠性的保证：多机箱虚拟化VC,同厂商BRAS之间的备份Juniper（续）,故障1情况下去程流量走MX-2，再负载分担到2条上行链路回程流量到达MX-1的，走VCP链路经MX-2到用户；回程流量到达MX-2的直接到用户,SW,LAG,VC,VCPLink,VC:VirtualChassis,1,CR-1,CR-2,MX-1VC-M,MX-2VC-B,同厂商BRAS之间的备份Juniper（续）,故障2和3同时发生情况下去程流量以负载分担方式到达两台MX；到达MX-1的流量经VCP链路到达MX-2，再负载分担到2条上行链路；到达MX-2的流量直接负载分担到2条上行链路回程流量全部经MX-2到用户,SW,LAG,VC,VCPLink,VC:VirtualChassis,3,2,CR-1,CR-2,MX-1VC-M,MX-2VC-B,同厂商BRAS之间的备份Juniper（续）,故障4（主机箱VC-M宕机）情况下MX-2将成为主机箱（VC-M），去程和回程流量均走MX-2用户无需重新拨号,SW,LAG,VC,VCPLink,VC:VirtualChassis,4,X,X,X,CR-1,CR-2,MX-1VC-M,MX-2VC-B,网络平面虚拟化,N平面是指在同一个物理平台上构建出多个逻辑上完全独立的网络平台，这些网络平台和主网络平台具有相同的功能,系统C,系统A,系统B,部署方案A,核心层,物理结构：三层（核心、汇聚、接入）,汇聚层,接入层,校园网业务控制层,部署方案B,核心层,物理结构：三层（核心、汇聚、接入）,汇聚层,接入层,部署方案C,核心层,物理结构：三层（核心、汇聚、接入）,汇聚层,接入层,