校园大二层(扁平化)网络改造方案

1、扁平化网络架构介绍 及相关实施经验分享 张布凡 2017 用户接入 相互隔离 速率限制 dhcp侦听 动态arp检测 高速转发 核心层 汇聚层 ipv4三层终结 路由协议 acl qos 接入层 三层网络架构采用层次化模型设计，即将复杂的网络设 计分成几个层次，每个层次着重于某些特定的功能，这样就能 够使一个复杂的大问题变成许多简单的小问题。 方便管理、提高网络性能。 用户接入 相互隔离 速率限制 dhcp侦听 动态arp检测 高速转发 ipv4三层终结 acl qos 核心层 接入层 二层网络架构采用“收缩核心“设计，忽略汇聚层，核心层 设备直接连接接入层设备。 减轻维护负担，更容易监控网络

2、状况。 用户接入 vlan隔离 ipv4/ipv6双栈线速转发 acl、速率限制 qos vpn 基于用户的认证接入和控制 业务控制层 宽带接入层qinq vlan隔离 帮助用户从传统的三层网络架构向二层网络架构转变。 通过控制层面设备有效减少网络的物理和逻辑级联级数 网络架构更清晰、更高效 更易于管理和维护 做到可细 分、可隔离; 做到可跟踪、可审计; 做到可细分、可控制; 做到可识别、可保 障; 确认网络架构 汇聚设备摸底是否支持qinq 接入设备摸底是否支持vlan 了解网络特殊环境有无静态地址环境 了解光纤接口、数量接口类型、光纤 资源是否足够 绘制校园现有网络拓扑和网络点位统计表 核

3、心设备安装确认-空间及电源 弱电间位置及钥匙确认 预计工时：1-3周 规划用户终端使用的ip地址 规划设备管理地址 规划汇聚交换机上qinq的外 层标签 规划接入交换机上qinq的内 层标签 规划核心设备上物理接口及 unit 生成qinq规划表 预计工时：1周 改造测试改造前搭建模拟环境测试 平滑过渡将核心路由器通过透明桥的方式部署在认证计费设备 及原核心设备之间，照事先规划好的设计，逐步的将接入用户切到 新核心路由器上面来 无感知割接如果有备用的汇聚设备，可以在原有汇聚设备旁再 加一台汇聚设备，新加的汇聚设备与核心路由器直接相连，实现切 换一台接入，不影响其他接入 实施周期根据楼宇数量，确

4、定网络割接时间，楼宇分批次进行 割接，平均1栋楼割接时间为1天。 需注意事项：原有静态地址用户需要在割接后将电脑的地址改为 dhcp方式 实施时间避开寒暑假、开学前半个月，招生时间。 预计工时：2周-4周 认证第一阶段 认证第二阶段 预计工时：1-2天 需注意事项：割接认证设备 时，我们会协调认证设备厂 商的备机到场 预计工时：2-4周 核心路由器上架核心路由器大约600斤重，上架前需将板卡、电源、风扇全部卸掉，并 用尺子衡量好耳朵螺丝孔与机柜螺丝孔的对应位置。上架时需至少两个人同时搬动设备，设 备搬到相应位置时及时拧上螺丝，固定设备。上架完成后将板卡、电源、风扇安装到原位。 将核心路由器接入

5、网络，同时在部署认证服务器项目开始时，需将核心路由器版本进行 升级。本着保证网络稳定的原则，如图所示先暂时将核心路由器接在原核心交换机下面,其他 网络设备位置保持不变。 配置核心路由器，搭建测试环境按照规划表完成核心路由器的版本升级及基本配置，其 中与认证服务器的对接参数配置、路由、接口unit等。完成后，搭建测试环境，测试与核心 与认证设备对接是否完全。 开始割接依次每完成一台汇聚交换机的配置，就将其接在原核心交换机上的光纤移到核 心路由器上，在确定汇聚交换机与核心路由器连通后，再完成该汇聚交换机下的接入交换机 的配置，完成后，测试网络是否连通，确定无误后，保存设备配置。 监控、财务、一卡通

6、专网以及多媒体教室接入全网汇 聚交换机接口配置为灵活qinq。专网与办公网的内层标签、 外层标签不相同，同一专网的内外层标签都配置成一致， 使其处在同一二层广播域中，且与办公网的隔离开。 调整核心设备位置待所有汇聚交换机全部移到mx960下后，开始调整核心设备的位置，将 原有的核心交换机做为数据中心交换机部署在服务器区或者作为汇聚利旧，完成校园网扁平化改 造过程。 在大二层环境里终端只能使用动态获取 ip 地址，如必须使用静态 ip 地址，可以通过两种方式 实现。 多媒体教室、电子阅览室、实验室、机房因这些环境的终端大多需要在同一个局域网环 境中，因此不能采用q-in-q模式。比如多媒体中控必

7、须是静态ip，教室pc必须获得同一ip， 因此多媒体区域不能强制动态获取ip，需要进行dhcp绑定和arp绑定。 用户无法通过认证： 问题：用户打开网页无法弹出portal认证页面 原因：割接前用户使用的静态地址，无法拿到新地址，从而弹不出portal页面 解决办法：把用户电脑静态ip地址改成动态获取。 用户认证过后无法访问门户网站 问题：用户认证通过后，访问百度等页面正常，像新浪、网易、淘宝等网页打不开。 原因：（1）汇聚交换机上联口mtu值未调整。 （2）汇聚交换机版本过低。 解决办法：（1）将汇聚交换机上联口的mtu值设置成大于104的任意值。 （2）升级交换机版本。 ip地址不在radius列表中： 问题：用户认证时弹出ip地址不在radius列表中的提示，导致无法通过认证。 原因：mx960 radius列表中用户在线状态与深澜radius列表不一致。 解决办法：同时将mx960和深澜的radius用户踢下线，然后重新建立radius列表。 防代理上网问题处理 问题：学校存在大量用户通过无线路由器代理上网，导致认证服务器上