大二层-按需构建灵活的精细化的校园网络

按需构建灵活的、精细化的校园网络Copyright©2022JuniperNetworks,Inc.

议题传统

高校校园网

络

分析新型校园网的目

标

和思路新型校园网技

术实现Copyright©2022JuniperNetworks,Inc.高校的

烦恼创

新的

压

力监

管的

压

力管理的

压

力高校Copyright©2022JuniperNetworks,Inc.高校校园网最关注的方面

业务、应用、

用户的承载

能力政策和法律法规的

要求管理维护工作量和

难度这些方面是不同区域不同规模的学校所共同关注的，网络架构和业务部署模式决定了问题存在的必然性Copyright©2022JuniperNetworks,Inc.

核心层汇聚层接入层

大车拉小马，小马拉大车

头疼医头，脚痛医脚用户接入相互隔离速率限制802.1X

接入控制DHCP

侦听动态

ARP

检测VPN高速转发

IPv4

三层终结

IPv6

三层终结

单播、组播控制

ACL

QoS传统校园网

“

倒挂

”

的构架Copyright©2022JuniperNetworks,Inc.现有校园网中经常面临的问题

网

络

病毒的

传

播和感染，控制手法

匮

乏

ARP

欺

骗带

来的大面

积

影响，控制手法

匮

乏

网

络资

源的公平性欠缺

——

部分人下

载

占据大量出口

带宽

，影响他人的网

络访问

和学

习

无法

实现

差异化的服

务

——

网

络层

的

简单

互通，无法

针对

不同群体用

户实现

不同的服

务

管理

维护

工作量的增加，网段多故障

过

于分散Copyright©2022JuniperNetworks,Inc.扁平化精

细

化下一代校园网

平台化"

新思路，新方法

"Copyright©2022JuniperNetworks,Inc.IPv4/IPv6

双栈线速转发IPv4/IPv6

双栈组播控制扁平化

业务控制层宽带接入层

ACL

、速率限制

QoS

VPN

基于用户的认证接入和控制

QinQ

VLAN

隔离

用户接入

VLAN

隔离大车和小马各司其职，各尽所长更高效更稳定更省钱Copyright©2022JuniperNetworks,Inc.扁平化带来的优势控制集中、部署简单、扩展方便

由能力最强，功能最丰富的核心设备提供业务控制和管理

丰富的功能

较好的性能

稳定、可靠

汇聚

/

接入设备，则提供其力所能及的基本功能

只提供基本的二层

VLAN

隔离功能

无需支持新的业务和功能

降低设备投资（数量众多！）

由于功能简单，因此更加稳定可靠

全网投资的下降，运行成本（电力、空调）成本的大幅降低

网络架构更易于扩展和管理Copyright©2022JuniperNetworks,Inc.精细化用户可分、可离行为可控、可审应用可知、可保Copyright©2022JuniperNetworks,Inc.

精细化控制传统的校园网是粗放型的网络

只是满足了基本的网络互联互通的需求，但缺乏相应的审计和控制手段用户之间互相影响，网络中的攻击泛滥，如

ARP

攻击

/DHCP

仿冒/IP

仿冒；用户只要接上网络，就能获得网络的使用权，整个访问过程没有针对性的记录、审计和基于用户的控制，导致了网络的无序使用网络使用没有实名制，用户访问行为没有记录，出现问题无法追查；缺乏针对性的控制，网络带宽被大量占用，重要应用得不到带宽保障；难以实现灵活的用户控制、如基于身份、时间、位置等……Copyright©2022JuniperNetworks,Inc.用户的精细化控制的手段基于逻辑接口实现

每个接入端口在核心设备上对应一个逻辑接口

在接口上提供速率限制、访问权限控制等能够基于每个用户实现

基于用户的身份，在用户认证时动态下发控制属性，对用户的访问

速率、权限等进行控制能够基于不同类型的接入方式开放

/

关闭相应的业务功能

由于

AP

的性能问题，建议关闭

IPv4/IPv6

multicast

业务

仅开放单播业务Copyright©2022JuniperNetworks,Inc.平台化

网络中心业务控制层接入交换机MX960

AMX960

BMX960

CInternet

Cernet用户认证带宽/

CALRadiusPortal数据中心出口Copyright©2022JuniperNetworks,Inc.平台化10011-2410021-2410031-24QinQ

和地址

规

划Vlan

1-24Vlan1-24 Vlan1-24 Copyright©2022JuniperNetworks,Inc.增加外层标签

1001增加外层标签

1002增加外层标签

1003提供

IPv4/IPv6

双栈的终结和控制功能无需

IPv6

支持

无需

IPv6

支持 IPv4address： IPv6address：2022:10ad::1/64Copyright©2022JuniperNetworks,Inc.

网络中心业务控制层基于

WEB

Portal

（

IPoE

）的用户接入认证

MX960

AMX960

BInternet

Cernet带宽

/ACL 流程： 1，用户侧通过DHCP获得IP地 址，在MX上相应生成demux用 户接口；MX960C2，用户demux接口的默认权限 是特定的资源，当访问其他资源 时，通过.redirect重定向到 portal页面上； 3，用户在portal页面上输入用 户名和口令，认证成功后， radius系统下发属性，调用定义 的访问策略，对用户的demux端 口进行控制，开放用户特定的访 问权限；Radius+Portal

认证

用户认证

计费

速率控制

权限控制

行为管理

……

接入交换机Copyright©2022JuniperNetworks,Inc.网

络

中用

户

的

统计

和分析（

仅

DHCP

，无需用

户认证

）Copyright©2022JuniperNetworks,Inc.IPv6

组播情况统计

—

按照频道统计Copyright©2022JuniperNetworks,Inc.校园网有线无线一体化的实现Copyright©2022JuniperNetworks,Inc.以

MX

为

核心的有

线

无

线

一体化校园网Single

fabric

using

Virtual

Chassis

technologyMXAccessLayer10GbE

serversPoEPoE10GE

with

LAGWLC-2800MP-532

APsCopyright©2022JuniperNetworks,Inc.CUG

全校有线无线一体化认证

Aruba

6000_master

Aruba

6000_E

Aruba

6000_W

Aruba

6000_NAC6000

4

台AP1200

多台Copyright©2022JuniperNetworks,Inc.基于

每

个用

户

的管理（

仅

DHCP

，无需用

户认证

）PortVLANSubscriber

InterfaceSubscriber

InterfaceVLANSubscriber

InterfaceSubscriber

InterfaceCopyright©2022JuniperNetworks,Inc.CUG

基于瘦客户端的应用案例

地大在其瘦客户端上开发了一些特性功能，如提供了用户多项出口

选择功能：

提供给学生自由自主的上网平台和环境，同时也提供了部分用户的

认证直接进入

VPN

，如图书馆；Copyright©2022JuniperNetworks,Inc.计费

的

实现

（基于

时长

、流量）Copyright©2022JuniperNetworks,Inc.基于

Netflow

的精细化流量分析和计费功能后台数据库，针对帐号及

Channel

的复合记录Copyright©2022JuniperNetworks,Inc.校园网不再是

“

黑盒子

”用户相互

隔离多业务功

能支持细致的

控制行为识别追踪远程实时诊断Copyright©2022JuniperNetworks,Inc.基于

Netflow

的精细化流量分析和计费功能用户账单查询，上网时间及流量等内容，都区分了非优惠和优惠方式；流量日志每隔

5—10

秒增量备份一次，保存在专门的备份目录里面，目前保存时长是一年；Copyright©2022JuniperNetworks,Inc.用户认证进入不同的

MPLS

VPN

[edit]

lab@CUG-MX960-RE1#

show

routing-instances

?

Possible

completions:

DMTJS_GL_VPN

Routing

instance

name

————

多媒体教室

VRF

NMA_GL_VPN

Routing

instance

name

————

网管

VR

TSG_GL_VPN_700

Routing

instance

name

————

图书馆

VRF

Unit_Server_Storage_VPN

Routing

instance

name

————

服务器存储的

VRF

Wireless_AP_GL_VPN

Routing

instance

name

————

无线

AP/AC

互联的

VRF

YKT_GL_VPN_902

Routing

instance

name

————

一卡通

VRF

to_3A-Portal

Routing

instance

name

————

forward

，做

FBF

的

filter

to_TSG_GL_VPN

Routing

instance

name

————

virtual-router

，

IPoE

直接接入图书馆

VPN

to_dianxin

Routing

instance

name

————

forward

，做

FBF

的

filter

to_jiaoyu

Routing

instance

name

————

forward

，做

FBF

的

filter

to_wangtong

Routing

instance

name

————

forward

，做

FBF

的

filter

。。。。。。

MX960

上面建立了多种

VPN

，有

VRF

、

VR

、

Forwarding

；

地质大学目前正在部署

“

节能水电

VRF”

，管理全校水电信息；核心交换机

汇聚交换机

………Copyright©2022JuniperNetworks,Inc.…

认证客户端用户

Web

自

助服务器SAM

Server

数

据库

Server计费管理系统INTERNET

FW

上网业务数据接入控制：

帐号

+

IP

＋

MAC

＋端口

接入时段控制

接入交换机

认证计费报文交换机接入控制

接入交换机接入控制技术

——802.1XCopyright©2022JuniperNetworks,Inc.3

、计费策略问题旁挂架构没法对流量实施细分计费策略，无法提供复杂计费策略；只能按照时长计费，

802.1X

的流量统计都是基于交换机端口的；4

、多节点的管理问题较为

分散的控制点，不利于

进

行整网的运

营

管理及控制5

、

影响低端接入交

换

机运行的

稳

定性

接入控制技术

——802.1X1

、交换机彼此兼容性问题网络设备不兼容、扩展功能不兼容2

、终端问题，不适应当今终端接入方式客户端不兼容，安全特性不兼容；Copyright©2022JuniperNetworks,Inc.serversradius认证

计费接入控制技术

——PPPoE

CernetBRAS

设备Copyright©2022JuniperNetworks,Inc.接入控制技术

——PPPoE1

、专有客户端需求，不适应当今无客户接入方式2

、

PPPoE

封装和解封装，带来效率的降低；3

、组播的天然缺陷，非纯

IP

报文，组播支持不好；Copyright©2022JuniperNetworks,Inc.接入控制技术

——

网关

WEB

认证

Cernet网

关认证

系

统AC

控制器Copyright©2022JuniperNetworks,Inc.接入控制技术

——

网关

WEB

认证1

、只是在出口网关位置实现控制；2

、无法感知和解决内网的安全问题；3

、无法对内网用户进行精细化的控制；4

、基于优化的

PC

架构，无法实现性能的提升，已为运营商所弃用。Copyright©2022JuniperNetworks,Inc.接入控制技术

——IPoE

方式Copyright©2022JuniperNetworks,Inc.提供

ALL-IN-ONE

融合的

认证

功能DHCP+Portal

认证DHCPv4DHCPv6L2TP

认证IPv4

over

L2TPIPv6

over

L2TPPPPoE

认证PPPoEv4PPPoEv6报文触发

认证IPv4

PTSPIPv6

PTSP0103

0204基于

WEB

Portal

（

IPoE

）的用户接入认证

网络中心业务控制层接入交换机 Copyright©2022JuniperNetworks,Inc.全面的校园网精细化管理方案MX960

A认证计费速率控制权限控制行为管理……Internet

Cernet 流程： 1，用户侧通过DHCP获得IP地 址，在MX上相应生成demux用 户接口；MX960C2，用户demux接口的默认权限 是特定的资源，当访问其他资源 时，通过.redirect重定向到portal

页面上；3

，用户在

portal

页面上输入用户名和口令，认证成功后，radius

系统下发属性，调用定义的访问策略，对用户的

demux

端口进行控制，开放用户特定的访问权限；

用户认证

带宽

/ACLRadius+Portal

MX960

BCopyright©2022JuniperNetworks,Inc.校园网实名制和计费功能的实现实名制是校园网精细化发展的方向

能够做到用户身份和网络行为的一一对应

能够做到基于用户角色的控制

能够实现用户访问网络的计费功能

能够提供审计功能，做到有据可查MX

系列核心路由器支持用户管理功能，在作为核心路由器的同时，提供用户接入网络时的认证、控制和计费功能核心路

由用

户

管

理MXCopyright©2022JuniperNetworks,Inc.部署方案

A物理结构：三层（核心、汇聚、接入）核心层汇聚层

接入层校园网业务控制层Copyright©2022JuniperNetworks,Inc.部署方案

B物理结构：三层（核心、汇聚、接入）核心层汇聚层

接入层Copyright©2022JuniperNetworks,Inc.部署方案

C物理结构：三层（核心、汇聚、接入）核心层汇聚层

接入层10011-2410021-2410031-24QinQ

和地址

规

划Vlan

1-24Vlan1-24 Vlan1-24 Copyright©2022JuniperNetworks,Inc.增加外层标签

1001增加外层标签

1002增加外层标签

1003提供

IPv4/IPv6

双栈的终结和控制功能无需

IPv6

支持

无需

IPv6

支持 IPv4address： IPv6address：2022:10ad::1/64Copyright©2022JuniperNetworks,Inc.海量配置的自

动

生成校园网采用了

VLAN

细

分的方式大量的

VLAN

带

来了大量的配置基于模板的

auto-configCopyright©2022JuniperNetworks,Inc.IPv6

的

实

名制和精

细

化控制SLAAC

（简

单

、兼容）PPPoE

（实名制、精细控制认

证、客户端）DHCP

（实名制、

精细控制，如何兼

容）Copyright©2022JuniperNetworks,Inc.MX

support

DHCPv6Copyright©2022JuniperNetworks,Inc.IPv6

组播的实现MX

核心路由器能够实现基于硬件的

IPv6

组播复制，支持每板卡4000

并发用户同时在线观看视频节目

Cernet

华东北节点测试验证无需汇聚接入设备支持

IPv6

组播核心汇聚Cernet2边界路由器接入Copyright©2022JuniperNetworks,Inc.以

MX

为

核心的有

线

无

线

一体化校园网Single

fabric

using

Virtual

Chassis

technologyMXAccessLayer10GbE

se