《下一代校园网扁平化解决方案MX系列ppt课件》由会员分享,可在线阅读,更多相关《下一代校园网扁平化解决方案MX系列ppt课件(55页珍藏版)》请在金锄头文库上搜索。
1、下一代校园网扁平化解决方案 JuniperNetworks 高校校园网最关注的方面 传统的校园网建设模型 SP1 SP2 CERNET 出口层 防火墙 流控 认证计费网关 核心层 大容量三层交换 汇聚层 端口汇聚 三层交换 接入层 二层接入 串接太多的功能模块 增加维护难度和故障点 校园网边缘设备的稳定性可靠性低 数量多 管理维护工作量大 一个业务功能的实现需要在大量边缘设备的支持 不利于业务的部署 传统校园网 倒挂 的构架 核心层 汇聚层 接入层 用户接入相互隔离速率限制802 1X接入控制DHCP侦听动态ARP检测 IPv4三层终结IPv6三层终结单播 组播控制ACLQoSVPN 高速转发
2、 传统校园网 IPv6和组播的部署 SP1 SP2 CERNET 汇聚层 接入层 部署IPv6 SLAACorDHCPv6 汇聚层设备不支持DHCPv6怎么办 部署组播 边缘设备的组播性能如何 传统校园网 IPv6和组播的部署 IPv4 IPv6 IPv4出口网关 IPv6出口网关 在网络出口的控制网关没有用户的终端信息 会造成二次认证的问题 IPv4 IPv6 IPv4出口网关 IPv6出口网关 传统校园网 WLAN的部署 WLAN厂家一 WLAN厂家二 WLAN厂家三 通过多台服务器来实现WLAN的准入 增加了故障点 不利于扩展 数据库服务器 传统校园网 用户的精细化管理 传统的校园网是粗
3、放型的网络只是满足了基本的网络互联互通的需求 但缺乏相应的精细化管理手段用户只要接上网络 就能获得网络的使用权 整个访问过程没有针对性的记录 基于用户的控制 导致了网络的无序使用没有对用户接入信息的纪录 例如接入终端 接入位置 接入的业务有线orwlan 难以进行有效的定位溯源 缺乏针对性的控制 网络带宽被大量占用 重要应用得不到带宽保障 难以实现灵活的用户控制 如基于身份 时间 位置等 解决的思路 思路一 仍然采用传统校园网的交换架构模式 通过提高设备档次的方式来满足日益增长的需求这是一种指标不治本的方案 原有模式的问题没有得到根本的解决网络中边缘设备数量众多 升级换代提高档次不现实思路二
4、建设下一代校园网的新的思路 扁平化的校园网架构精细化的校园网管理实现灵活的用户管理和业务承载 Juniper下一代扁平化校园网解决方案 SP1 SP2 CERNET 核心层 大容量 高密度的用户管理设备 Session级PPPoE IPoE IPv4 v6 组播 带宽管理 虚拟专网 运营商级NAT等 汇聚层 VLAN QinQ穿透 接入层 二层接入 VLAN隔离 集中化用户业务控制 扁平化带来的优势 用户接入VLAN隔离 IPv4 IPv6双栈线速转发IPv4 IPv6双栈组播控制ACL 速率限制QoSVPN基于用户的认证接入和控制 业务控制层 宽带接入层 QinQVLAN隔离 网络架构从复杂
5、化向扁平化发展源自于运营商大规模网络发展的经验扁平化不是意味着网络物理层次的减少 而是网络逻辑层次的扁平扁平的网络有更高的效率扁平的网络更有利于扩展 扁平化带来的优势 业务的快速部署 核心 汇聚 Cernet2 边界路由器 接入 无需在接入和汇聚设备上进行复杂的配置 无需边缘设备支持 只需要在核心设备上部署DHCPv6 IPv6组播很容易实现1 4000的IPv6组播复制业务部署Cernet华东节点测试验证 VLAN VLAN DHCPv6 IPv6组播 扁平化带来的优势 认证计费服务器的旁路 SP1 SP2 CERNET 认证请求 用户信息收集 计费信息统计 用户认证 策略 带宽 访问权限
6、下发 计费信息展现 基于标准的Radius协议 没有任何私有协议 计费服务器旁路后的灵活计费 校园网计费的特殊要求复杂的计费策略特定流量免费 特定流量按照特定费率收费优惠时段方案1 基于Flow采样的用户流量采集计费可以记录用户每次访问的IP五元组信息 不仅可以用于计费 可以用于更深层次的用户行为分析需计费服务器支持Flow信息收集方案2 基于服务的计费Service basedAccounting基于每用户每Service的灵活计费在每个用户Session基础上 生成多个servicesession可针对每个用户不同的访问目的地址 不同的应用类型计费 扁平化带来的优势 用户精细化管理和定位
7、大容量用户管理设备 AAA服务器 数据库服务器 用户定制开发管理软件 客户端 L2接入网 PPPoE IPoESession 用户名和密码接入设备端口号 VLANID校园网IP地址对应MAC地址IP地址使用时间记录 NAS PORT ID NAS PORT TYPE 同一个用户有线接入or无线接入 Serviceaccounting 校内访问流量or校外访问流量 扁平化带来的优势 有线无线一体化管理 与MX提供有线用户的管理功能类似 Portal Radius CoAClient WLANAC MX提供用户管理功能和业务控制及认证计费 通过MX提供IPoE方式的用户接入和基于Portal的用户
8、认证 无线系统提供无线终端接入 不做任何的用户管理功能 无线AC AP可工作于本地交换模式 有线无线一体化解决方案 对手持终端用户 1 用户必须手动打开WEB浏览器才能认证 否则只是拿了地址 2 大量未经认证终端也能拿到IP地址 占用MXsession资源 1 认证页面显示问题 分辨率 字体等 2 用户手指操作方便性问题 3 多操作系统支持问题 AC与MX共同实现用户接入控制和管理 并通过Radius实现联动 Radius CoAClient WLANAC AC通过802 1X方式实现用户接入无线网络接入控制和认证MX则提供了无线终端的DHCP 并实现对用户session的控制通过Radius
9、系统实现AC与MX之间的联动 无线侧提供无线终端接入 结合无线AC实现无线侧的终端802 1X的接入控制 此时无线侧必须工作在集中转发模式 无线侧为手持终端提供专用的SSID 有线无线一体化解决方案 对手持终端用户 MX960的Firewall和运营商级NAT功能 MS DPC Juniper扁平化解决方案 DHCPv4DHCPv6 IPoE Portal认证 PPPoE认证 报文触发认证 L2TP认证 PPPoEv4PPPoEv6 IPv4overL2TPIPv6overL2TP IPv4PTSPIPv6PTSP 02 01 03 04 方案 1IPOE WEBPortal认证的解决方案 网
10、络中心业务控制层 接入交换机 全面的校园网精细化管理方案 MX960A MX960B MX960C InternetCernet 用户认证 带宽 ACL 流程 1 用户侧通过DHCP获得IP地址 在MX上相应生成demux用户接口 2 用户demux接口的默认权限是特定的资源 当访问其他资源时 通过httpredirect重定向到portal页面上 3 用户在portal页面上输入用户名和口令 认证成功后 radius系统下发属性 调用定义的访问策略 对用户的demux端口进行控制 开放用户特定的访问权限 Radius Portal IPoE WEBPortal分析 无需客户端的认证 便于灵活
11、部署 简化认证操作需要实现终端与BRAS之间的二层化改造用户接上网线即可实现IP地址的分配通过IE浏览器即可实现用户的认证接入不存在任何兼容性的问题使用方便 简单 不需要任何帮助在运营商的WLAN网络中大量用到可以基于WEB页面实现用户的认证和动态的业务选择功能配合VLAN的细分 实现用户之间的二层隔离 避免相互影响控制方式BRAS基于每个用户动态生成DSI 动态用户接口 基于这个DSI进行相应的控制速率限制 访问权限 流量统计等 MX对IPOE的支持 支持IPv4 IPv6的DHCP接入方式支持DHCPRelay支持COA下发策略在各大学有成熟的部署案例 后附案例统计 性能指标纯IPv4环境
12、下每板卡支持32Ksession整机支持250KsessionIPv4 IPv6环境下每板卡支持32Ksession整机支持80Ksession 100 双栈环境 即每用户同时开启IPv4和IPv6session 方案2 PPPoE IPv4 IPv6 CarrierIPv4andIPv6Network VLAN 校园网中原有的二层设备 MXIPv4 IPv6EdgeRouter 客户端与BRAS之间为二层点到点通道通过客户端实现到与BRAS的PPPoE拨号通过PPPOE的PPPv4 实现IPv4地址的分配通过PPPoE的PPPv6 实现IPv6地址的分配 校内二层网络 Radius PPPo
13、E方式分析 PPPoE方式同样适合于大规模用户接入部署使用需要实现终端与BRAS之间的二层化改造客户需要客户端拨入方式 对于IPv6 windowsXP不支持 需要升级到Win7 用户通过拨号到BRAS 实现PPPoE认证和IP地址获取运营商大规模使用的参考学生宿舍网中也有大量应用案例PPP通道实现了用户之间的隔离 避免了相互干扰控制方式基于每个用户动态生成一个PPPoE会话BRAS基于这个PPPoE会话进行相应的控制速率限制 访问权限 IPv6组播复制 流量统计等 MX设备对PPPOE的支持 功能支持支持完整PPPOE功能支持PPPOEforIPv4和PPPOEforIPv6支持标准Radi
14、us协议性能支持纯IPv4环境下 每板卡支持32K 整机支持220KIPv4 IPv6双栈环境下 每板卡支持32K 整机支持80K 方案3 L2TP方案 网络中心业务控制层 L2TP 出口BRAS L2TP方式分析 L2TP方式无需对现有校园网络进行任何改造 适合于平滑支持对用户的认证控制可以部署在校园出口或者校园内部用户通过拨号到BRAS的IPv4地址 实现L2TP认证和IPv4 IPv6双栈的地址获取Windows自带客户端 安装使用方便 无需额外维护对于校外用户 同样通过L2TP提供远程接入到校内网络的功能有运营商大规模使用的参考 校园网应用不多控制方式基于每个用户动态生成一个L2TP会
15、话BRAS基于这个L2TP会话进行相应的控制速率限制 访问权限 组播复制 流量统计等 MX设备对L2TP的支持 支持LAC LNS支持双栈IPv4环境下每板卡支持32Ksession 整机支持60K双栈环境下 每板卡支持32Ksession 整机支持60K 方案 4PTSP协议 packet triggeredsubscribersandpolicycontrol 网络中心业务控制层 接入交换机 MX960A MX960B MX960C InternetCernet 用户认证 带宽 ACL 流程 1 用户侧通过DHCP获得IP地址 地址分配工作并非由MX设备完成 可能是下游设备 可能是固定IP
16、2 客户IP流量进入MX设备 根据配置触发PTSP流程 默认只使用缺省policy 所有流量将重定向到WEBportal上3 用户在portal页面上输入用户名和口令 认证成功后 radius系统下发属性 调用定义的访问策略 对用户策略行控制 开放用户特定的访问权限 Radius SRC Portal 方案4 PTSP协议实施分析 基于报文触发的用户管理技术适合于客户端的地址并非在MX设备本身产生 地址可能由下游设备分配 或者为固定IP地址 或者SSLVPN的地址 支持IPv4和IPv6需要配置MS DPC同IPOE相比 需要使用Juniper专用的策略控制下发硬件 SRC国内没有部署案例 国外DTAC 泰国电信 在无线网络中大规模部署性能支持纯IPv4环境下 每块MS DPC支持100K用户 整机支持400K用户 四种方案的汇总 IPOE方案 无需客户端支持 需要二层到核心层 双栈支持PPPOE方案 需要客户端支持 需要二层到核心层 支持双栈以上两种方案在运营商和校园网都有比较成熟的应用 也可以混合使用L2TP方案 需要客户端支持 不需要二层到核心层 支持双栈运营商使用 校园网使用不
