校园大二层(扁平化)网络改造方案PPT课件

,三层网络结构,三层网络架构采用层次化模型设计，即将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。方便管理、提高网络性能。,二层网络结构,二层网络架构采用“收缩核心“设计，忽略汇聚层，核心层设备直接连接接入层设备。减轻维护负担，更容易监控网络状况。,大二层网络结构,帮助用户从传统的三层网络架构向二层网络架构转变。通过控制层面设备有效减少网络的物理和逻辑级联级数网络架构更清晰、更高效更易于管理和维护,精细化管理,实现用户之间/业务之间的有效隔离，避免相互之间的干扰和影响，做到可细分、可隔离;对用户的各种信息，如用户帐号、MAC地址、IP地址、接入位置、接入方式、上线时间及其访问行为的识别和记录，做到可跟踪、可审计;实现基于用户身份的行为控制，诸如可访问的资源权限、对网络带宽的占用等方面的控制，做到可细分、可控制;网络应用的精细化管理，实现完善的流量识别和控制能力，保障重要应用系统的网络承载，包括安全性、带宽保障、可靠性等方面，做到可识别、可保障;,网络逻辑架构和vlan细分,核心技术qinq,核心技术ipoe,扁平化改造前期统计,确认网络架构汇聚设备摸底是否支持qinq接入设备摸底是否支持vlan了解网络特殊环境有无静态地址环境了解光纤接口、数量接口类型、光纤资源是否足够绘制校园现有网络拓扑和网络点位统计表核心设备安装确认-空间及电源弱电间位置及钥匙确认,预计工时：1-3周,扁平化改造规划,规划用户终端使用的IP地址规划设备管理地址规划汇聚交换机上QinQ的外层标签规划接入交换机上QinQ的内层标签规划核心设备上物理接口及unit生成QINQ规划表,预计工时：1周,扁平化改造实施规划,改造测试改造前搭建模拟环境测试平滑过渡将核心路由器通过透明桥的方式部署在认证计费设备及原核心设备之间，照事先规划好的设计，逐步的将接入用户切到新核心路由器上面来无感知割接如果有备用的汇聚设备，可以在原有汇聚设备旁再加一台汇聚设备，新加的汇聚设备与核心路由器直接相连，实现切换一台接入，不影响其他接入实施周期根据楼宇数量，确定网络割接时间，楼宇分批次进行割接，平均1栋楼割接时间为1天。需注意事项：原有静态地址用户需要在割接后将电脑的地址改为DHCP方式实施时间避开寒暑假、开学前半个月，招生时间。,预计工时：2周-4周,扁平化改造认证对接,认证第一阶段,认证第二阶段,预计工时：1-2天,需注意事项：割接认证设备时，我们会协调认证设备厂商的备机到场,扁平化改造整体试运行,在完成所有割接工作后，整体试运行，验证整体的功能及稳定性解决试运行其间的用户问题完成项目相关资料的整理完成用户的使用培训,预计工时：2-4周,扁平化改造实施步骤1,核心路由器上架核心路由器大约600斤重，上架前需将板卡、电源、风扇全部卸掉，并用尺子衡量好耳朵螺丝孔与机柜螺丝孔的对应位置。上架时需至少两个人同时搬动设备，设备搬到相应位置时及时拧上螺丝，固定设备。上架完成后将板卡、电源、风扇安装到原位。,扁平化改造实施步骤2,将核心路由器接入网络，同时在部署认证服务器项目开始时，需将核心路由器版本进行升级。本着保证网络稳定的原则，如图所示先暂时将核心路由器接在原核心交换机下面,其他网络设备位置保持不变。,扁平化改造实施步骤3,配置核心路由器，搭建测试环境按照规划表完成核心路由器的版本升级及基本配置，其中与认证服务器的对接参数配置、路由、接口unit等。完成后，搭建测试环境，测试与核心与认证设备对接是否完全。,扁平化改造实施步骤4,开始割接依次每完成一台汇聚交换机的配置，就将其接在原核心交换机上的光纤移到核心路由器上，在确定汇聚交换机与核心路由器连通后，再完成该汇聚交换机下的接入交换机的配置，完成后，测试网络是否连通，确定无误后，保存设备配置。,扁平化改造实施步骤5,监控、财务、一卡通专网以及多媒体教室接入全网汇聚交换机接口配置为灵活QinQ。专网与办公网的内层标签、外层标签不相同，同一专网的内外层标签都配置成一致，使其处在同一二层广播域中，且与办公网的隔离开。,扁平化改造实施步骤6,调整核心设备位置待所有汇聚交换机全部移到MX960下后，开始调整核心设备的位置，将原有的核心交换机做为数据中心交换机部署在服务器区或者作为汇聚利旧，完成校园网扁平化改造过程。,扁平化改造实施细节,在大二层环境里终端只能使用动态获取IP地址，如必须使用静态IP地址，可以通过两种方式实现。多媒体教室、电子阅览室、实验室、机房因这些环境的终端大多需要在同一个局域网环境中，因此不能采用Q-in-Q模式。比如多媒体中控必须是静态ip，教室pc必须获得同一ip，因此多媒体区域不能强制动态获取ip，需要进行dhcp绑定和arp绑定。,铜陵学院扁平化改造结果展示,扁平化改造常见故障1,用户无法通过认证：问题：用户打开网页无法弹出portal认证页面原因：割接前用户使用的静态地址，无法拿到新地址，从而弹不出portal页面解决办法：把用户电脑静态IP地址改成动态获取。用户认证过后无法访问门户网站问题：用户认证通过后，访问百度等页面正常，像新浪、网易、淘宝等网页打不开。原因：（1）汇聚交换机上联口MTU值未调整。（2）汇聚交换机版本过低。解决办法：（1）将汇聚交换机上联口的MTU值设置成大于104的任意值。（2）升级交换机版本。,扁平化改造常见故障2,IP地址不在radius列表中：问题：用户认证时弹出IP地址不在radius列表中的提示，导致无法通过认证。原因：MX960radius列表中用户在线状态与深澜radius列表不一致。解决办法：同时将MX960和深澜的radius用户踢下线，然后重新建立radius列表。防代理上网问题处理问题：学校存在大量用户通过无线路由器代理上