校园大二层(扁平化)网络改造方案
构建扁平化校园网络
构建扁平化校园网络作者:李玉清来源:《科教导刊·电子版》2016年第29期摘要随着众多高等学校大规模扩招和多校区建设的推进,校园网的规模在快速地扩大,校园网也要越来越充分地支持各业务系统,一个高效率的基础网络和充分融合的数字化校园对高校教育事业发展的促进作用越来越明显。
高校的数字化校园建设需要基础网络具有高性能、高可用性、高可靠性和高安全性的特点。
校园网不仅要支持全校师生的上网,还要支持通用的网络应用,包括电子政务、网站、网络财务、电子消费和认证、分布式数据库等。
现有的高校基础网络越来越难以适应用户和应用快速的发展,常用的解决办法是设备升级,但是更换设备只能解决一时之需,所以,从调整网络结构和优化网络管理上提升网络的整体性能,是高校校园网正在面临的选择。
关键词 QinQ PPPoE 扁平化中图分类号:TP393.18 文献标识码:A1课题背景这种传统架构下,会带来如下关于应用和管理上的一些困难:(1)网络实际需求和设备功能经常错位对于靠近用户端的网络边缘设备,如接入和汇聚设备,功能相对单一,但却要提供比较多的功能,而对网络核心设备,其丰富的功能和强大的性能并没得到充分发挥,形成了事实上的网络设备功能和网络实际需求的错位。
(2)VLAN资源受限。
对于三层网络设备,单台设备支持4K个VLAN,这个容量不足以实现VLAN的细分和隔离,导致大量用户、应用出现在一个冲突域里,不能进行有效的隔离和保护,用户的应用之间会造成互相影响。
(3)难以做到基于用户的控制。
2 QinQ技术介绍QinQ技术适时出现其初衷是为了拓展802.1Q VLAN数量的限制,即在原有802.1Q VLAN 报文的基础上再打上一层802.1Q VLAN标签,实现标签嵌套,从而让QinQ协议下VLAN数量扩展到4K€?K个。
它的内外层标签可以分别代表不同分类,如内层标签代表用户,外层标签代表不同业务,从而实现对用户的隔离和应用数据的分类,基于这种隔离和分类,又可以实现对用户和业务的精细化控制,同时由于QinQ报文携带两层标签,在用户数据穿越运营商网络时,内部标签透明,因此也是一种简单的VPN,他可以作为核心MPLS VPN的延伸,从而实现低成本的点到点的VPN。
构建基于大二层扁平化网络架构下的教育实名认证校园网
参 考文 献
[ 1 】 小甜新 . 如何留住精彩网页 [ J 】 . 电脑爱好者 . 2 0 1 6 ( 1 8 )
<s c r i p t >s e t I n t e r va 1 (“ Dt i me . i n ne r H TM L=n e w Da t e 0.
【 2 】 秋思 . 收藏一个 网页只需一个文件 [ J 】 . 电脑爱好者 ( 普及
,
u s c r i i l c s , t e mp ,s t y l e , s c i r p  ̄等。文件夹使用按名称 排列命令 的时候 ,
同 一 大 类文 件 排 列 一 起 。
的现象。如果设计 中使用过 多网站 功能以及组件 ,在进行 浏览的时 候 就比较分散 用户的注意力 ,很难达 到聚焦 目光 的效 果。在 具体 的 网页设计的时候 ,要 和用户浏览 习惯相 结合。对于设计比较特 殊的 网页 ,就要避免出现模糊 难懂的情况 出现 ,网页的设计还是要 以简
版 ) . 2 0 1 5 ( 0 5 )
t o L o c a l e S t r i n g 0 +’ 星期
g e t Da y 0 ) ; ”, 1 0 0 0 ) ;
‘ +’ 日一二三四五六
‘ . c h a r A t ( n e w Da t e 0 .
[ 3 】 唐永明 . 浅议 网页设计 与制作 [ J 】 . 科技信息 . 2 0 1 6 ( 2 0 ) 【 4 】 花的神明 . 追 寻网页上 闪动的音乐 【 J ] .电脑迷 . 2 0 1 5 ( 1 2 )
构建基于大二层扁平化 网络架构下的教育实名认证校 园网
姚正超 长沙职业技术学院
摘要 :《 国家十三五 规 划纲要》明确提 出拓展 网络 经济空间, 构 筑现 代基础 设施 网络 ; 同时, 随着国家对职 业教育重视 程度 的提 升, 高 职 院校 正处 于高速 发展 期 。 随着校 园的扩 大, 老的校 园网络存在 结构复杂、 运 维 难度 大、 成本 高等缺 点, 已经无法满足 日 益增 长的业 务系统 和 网络用户的需求 , 亟待 升级 改造 。 在升 级改 造老 网络 时, 绝大多数 网络 管理员为方便管理 , 不 约而同地 选择 日 趋 完善 的大二层扁平化 网络
校园大二层扁平化网络改造方案
扁平化改造——实施步骤4
• 开始割接——依次每完成一台汇聚交换机的配置,就将其接在原核心交换机上的光纤移到核心路 由器上,在确定汇聚交换机与核心路由器连通后,再完成该汇聚交换机下的接入交换机的配置, 完成后,测试网络是否连通,确定无误后,保存设备配置。。
出口
核心交换机
MX960
汇聚1
汇聚2
汇聚3
汇聚4
(2)汇聚交换机版本过低。 解决办法:(1)将汇聚交换机上联口的MTU值设置成大于104的任意值。
(2)升级交换机版本。
扁平化改造——常见故障2
• IP地址不在radius列表中: 问题:用户认证时弹出IP地址不在radius列表中的提示,导致无法通过认证。 原因:MX960 radius列表中用户在线状态与深澜radius列表不一致。 解决办法:同时将MX960和深澜的radius用户踢下线,然后重新建立radius列表。
RG-NPE50E
MX960
深信服AC
IPS
防火墙
深澜认证
服务器区核 心交换机 RG-S7610
生活一区
生活二区
院系楼
实验楼
逸夫楼
教学楼
本部
图书馆
扁平化改造——实施细节
• 在大二层环境里终端只能使用动态获取 IP 地址,如必须使用静态 IP 地址,可以通过两种方式实现。
• 多媒体教室、电子阅览室、实验室、机房——因这些环境的终端大多需要在同一个局域网环境中, 因此不能采用Q-in-Q模式。比如多媒体中控必须是静态ip,教室pc必须获得同一ip,因此多媒体 区域不能强制动态获取ip,需要进行dhcp绑定和arp绑定。
扁平化改造——整体试运行
• 在完成所有割接工作后,整体试运行,验证整体的功能及稳定性
扁平化架构校园网络建设与精细化管理
扁平化架构校园网络建设与精细化管理导读:通过对主校区核心交换机和主干链路进行更新和升级,采用扁平化的架构模式提升整体校园网的性能和可靠性。
利用BRAS设备作为全校师生统一认证和计费的网络设备,将用户管理、安全控制、业务控制等各种功能有机地集成在一起,实现包括有线和无线用户,覆盖校园宿舍、公共场所等不同区域多种接入认证统一管理。
关键词:校园网络建设;扁平化架构;精细化管职业类院校如果有2个或2个以上不同地域的校区,就需要解决跨校区教学管理、教育资源优化与共享等关键问题。
这就需要将多校区的网络进行整合,进行有线无线统一认证来实现用户的精细化管理。
校园网络架构正从复杂化的多层架构向扁平化架构方向发展。
扁平化的架构模式并非必须或一定就是物理联接层次上的减少,而是指网络逻辑层次的简化。
扁平化的网络有着更高的效率,也更有利于管理。
扁平化的核心区域由能力最强、功能最丰富的多业务控制网关,即运营商级的BRAS设备提供集中的业务控制和管理,在提供功能和业务时,发挥核心设备的高性能、稳定性、可靠性等优势。
一、多校区校园网络建设对主校区交换机和主干链路进行更新和升级(万兆骨干),整体提升校园网的性能,需在主校区新增1台认证网关以及1套认证计费系统,将现网中交换组网架构变为扁平化路由组网架构,建设一张多个校区统一的校园网,实现学校多校区用户的统一接入认证管理,多校区出口带宽的统一调度,以及多校区联合组网下业务的统一部署,并提供用户的精细化管理和差异化服务,给接入用户最优的上网体验。
主校区交换机在更新升级的同时,构成了校园网业务接入层。
接入交换机负责用户接入,实现每个用户之间的VLAN隔离,汇聚交换机负责VLAN数量扩展,核心交换机负责汇聚并透传所有用户报文到BRAS上终结。
(一)核心网络的高可靠设计当整网通过扁平化组网构建了强核心的网络,作为网络核心的BRAS设备的可靠性便成为了整个校园网高效稳定工作的关键。
BRAS设备可以通过以下设计来保证自身的稳定:一是设备自身的冗余设计。
校园数字化校园整网建设方案
中小学数字化校园网络升级改造解决方案日期:2020年5月目录1、背景概述 (4)1.1数字化校园建设背景 (4)1.2建设目标、原则、依据以及任务 (4)建设目标 (4)建设原则 (5)2、中小学数字化校园建设与应用概述 (5)2.1数字化校园概述 (5)2.2数字化校园的应用现状 (6)2.3数字化校园的发展阶段及趋势 (6)3、中小学新建校解决方案总体概述 (8)3.1方案拓扑 (8)3.2设计概要 (9)4、校园网基础网络设计 (9)4.1校园网基础平台设计 (9)4.1.1校园网核心骨干现状分析 (9)4.1.2网络大核心扁平化方案设计 (10)4.1.3扁平化设计的关键技术和价值点 (10)4.2出口设计 (10)4.2.1出口现状分析 (10)4.2.2出口部署方式 (12)4.2.3出口的关键技术和价值点 (14)4.3安全体系设计 (16)4.3.1校园网安全体系现状分析 (16)4.3.2数字化校园的安全设计 (17)4.3.3安全体系的关键技术和价值点 (18)4.4运维管理体系设计 (20)4.4.1数字化校园运维管理形势 (20)4.4.2网络运维管理服务 (21)4.4.3 IT运维管理服务的关键技术和价值点 (24)5无线网络设计 (24)5.1无线网络现状分析 (24)5.2无线网络场景化解决方案 (25)5.3无线校园网整体架构设计 (28)5.4无线校园网方案的关键技术和价值点 (28)6智能化网络设计 (31)6.1智能化网络业务现状分析 (31)6.2智能化网络整体设计 (31)6.2.1网络规划设计总体思路 (31)6.2.2网络结构设计 (32)7校园数据中心云平台设计 (33)7.1中小学数据中心的现状分析 (33)8数字化校园解决方案价值 (33)8.1“融合”提升教学质量、促进教育公平 (33)8.2“创新”简化学校运维管理、提升教学体验 (33)1、背景概述1.1数字化校园建设背景学校信息化能力建设是国家教育信息化的主阵地。
校园网大二层扁平化升级实践
Pv6、组播及物联网等业务在校园网中的部署流程,是适合大多数学校校园网建设的可选方案。 关键词:校园网;扁平化;PPPoE;Porta] 中图分类号:TP393 文献标识码:A 文章编号:1671—1351(2017)02—0060—04
近年来,国家对教育信息化的要求不断提高, 信息化带动教育现代化已经成为我国教育事业科学 发展的重要手段,“智慧校园”概念的提出更是为 校园网建设进一步明确了新目标、新方向和高要 求。为学校智慧校园建设提供稳定、高速的网络支 撑已经成为校园网建设的基本标准。随着云计算、 大数据相关业务的快速推进,校园网用户的网络应 用需求也在随时更新与提升。新业务与新需求要求 校园网具备高性能、精细化和易管理等特点。目前 大多数学校校园网采用的是经典三层架构组网,即 网络分为核心层、汇聚层和接人层三层。【11这种三 层架构存在的主要问题有:实现一个新的业务往往 需要多个层面设备的配合;无有效的隔离措施和保 障手段来避免网络终端及设备间的相互干扰;网络 管理人员普遍面临的问题是:在三层架构下改善用 户体验(例如实现平滑的网络认证、对用户差异化 网络需求的灵活管理等工作)比较费事,效果也不 好。在校园网管理和维护过程中,我们发现扁平化 的大二层网络架构是解决上述问题的较好方案。下 面我们以天水师范学院校园网建设为例,就校园网 大二层扁平化升级过程中所涉及的方案设计、论证 及实施过程中的相关问题进行探讨。
Mar.,2017 V01.37 No.2
第37卷第2期
校园网大二层扁平化升级实践
周文勤,温志贤,李德录
(天水师范学院信息化建设与管理中心,甘肃天水741001)
摘要:信息化带动教育现代化已经成为我国教育事业科学发展的重要手段,“智慧校园”概念的提出更是 为校园网建设进一步明确了新目标、新方向和高要求。扁平化的二层网络是将经典的三层结构按照学校业务模式 划分为业务控制和业务接入两层,可以使校园网更具开放性和可扩展性。天水师范学院校园网大二层扁平化升级 实践证明,大二层扁平化网络架构突破了传统三层网络架构的一些瓶颈,实现了校园网高性能、精细化和易管理 的建设预期。大二层扁平化网络可以快速实现对校园网用户和设备的统一管理,同时简化了校园混合云、
校园网扁平化改造技术方案建议书
校园网扁平化改造方案建议书(BRAS)1 传统校园网架构瓶颈1.1 校园网发展历程回顾第一个阶段,可用的网络:随着大规模的PC部署,带来高校用户内部互联互通的需求,此阶段学校的重点集中在基础网络建设上,用户可以通过校园网访问内部互联互通,并可实现对INTERNET访问;第二个阶段,可控、可管的基础网络:随着校园网用户规模的不断扩大,以及互联网浪潮的兴起,校园上承载了越来越多的应用,校园网的安全问题也日益凸显,这一阶段,除了重视对基础网络的建设、基础网络带宽的扩容外,校园网的安全、可控是校园网的关注点;在这个阶段,校园网的基础架构已经建设完成;第三阶段:简单、可扩展的网络:随着移动互联网的兴起,移动无线终端的接入成为校园网建设的关注点,校园网向服务转型:更加注重终端用户的使用体验,并为各部门的业务建设提供支撑。
此阶段,学校更加注重网络运营的效率,以确保网络架构能够快速支持的变化(终端数量的变化、应用的变化);目前,多数学校都处于第二阶段向第三阶段转型的过渡期;也随之暴露许多问题。
1.2 架构受限目前绝大多数高校校园网采用的是已交换技术为主的经典三层组网架构,分核心、汇聚、接入三层面组成,各层分别实现不同的业务功能。
其中,接入层负责用户的接入,相互的隔离,速率的限制,802.1X等接入功能的实现,DHCP侦听和ARP动态检测(避免ARP攻击),双栈组播控制与分发等;汇聚层负责用户的三层终结、路由,ACL、QoS功能实现,双栈组播控制与分发;核心层负责全校(或校际)数据的高速路由数据交换,ACL、QoS功能实现,双栈组播控制与分发等。
从组网模式可以看出:每个层面都在做用户双栈业务的接入和控制,协调实现部分的功能;核心层相对能力强的设备,功能相对弱化;越靠近用户接入边缘的设备,数量最多,功能要求却很多,加上资金的限制,不可能具有较高的性能;此前建设并仍在运行的接入设备,大部分不支持IPv6协议,更谈不上对组播的支持;不同的用户、应用没有有效的隔离措施和保障手段,导致相互的干扰影响;随着规模扩大,功能的叠加,校园网中设备的稳定性、可靠性大幅降低,管理维护压力越来越大。
下一代校园网扁平化解决方案mx系列
有线无线一体化解决方案: 对手持终端用户
MX960的Firewall和运营商级NAT功能(MS-DPC)
DHCPv4DHCPv6
IPoE+Portal认证
PPPoE认证
报文触发认证
L2TP认证
PPPoEv4PPPoEv6
IPv4 over L2TPIPv6 over L2TP
性能指标
02
Carrier IPv4 and IPv6 Network
VLAN
校园网中原有的二层设备
MX IPv4/IPv6 Edge Router
客户端与BRAS之间为二层点到点通道通过客户端实现到与BRAS的PPPoE拨号通过PPPOE的PPPv4,实现IPv4地址的分配通过PPPoE的PPPv6,实现IPv6地址的分配
有线无线一体化解决方案: 对手持终端用户
Radius &CoA Client
WLAN AC
AC通过802.1X方式实现用户接入无线网络接入控制和认证MX则提供了无线终端的DHCP,并实现对用户session的控制通过Radius系统实现AC与MX之间的联动
无线侧提供无线终端接入,结合无线AC实现无线侧的终端802.1X的接入控制;此时无线侧必须工作在集中转发模式;无线侧为手持终端提供专用的SSID
无线系统提供无线终端接入,不做任何的用户管理功能;无线AC+AP可工作于本地交换模式
扁平化带来的优势-有线无线一体化管理
1、用户必须手动打开WEB浏览器才能认证,否则只是拿了地址;2、大量未经认证终端也能拿到IP地址,占用MX session资源;
1、认证页面显示问题:分辨率、字体等;2、用户手指操作方便性问题;3、多操作系统支持问题;
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
确认网络架构 汇聚设备摸底——是否支持qinq 接入设备摸底——是否支持vlan 了解网络特殊环境——有无静态地址环境 了解光纤接口、数量——接口类型、光纤 资源是否足够
• • •
绘制校园现有网络拓扑和网络点位统计表 核心设备安装确认-空间及电源 弱电间位置及钥匙确认
• • •
规划用户终端使用的IP地址 规划设备管理地址 规划汇聚交换机上QinQ的外 层标签
流控行为管理设 备 认证计费设备 Srun(透明)
新加核心路由器 (透明桥)
•
无感知割接——如果有备用的汇聚设备,可以在原有汇聚设备旁再 加一台汇聚设备,新加的汇聚设备与核心路由器直接相连,实现切
换一台接入,不影响其他接入
• 实施周期——根据楼宇数量,确定网络割接时间,楼宇分批次进行 割接,平均1栋楼割接时间为1天。 • 需注意事项:原有静态地址用户需要在割接后将电脑的地址改为 DHCP方式 • 实施时间避开寒暑假、开学前半个月,招生时间。
核心层
高速转发
汇聚层
IPv4三层终结 路由协议 ACL QoS 用户接入 相互隔离 速率限制 DHCP侦听 动态ARP检测
接入层
三层网络架构采用层次化模型设计,即将复杂的网络设 计分成几个层次,每个层次着重于某些特定的功能,这样就能 够使一个复杂的大问题变成许多简单的小问题。 方便管理、提高网络性能。
境中,因此不能采用Q-in-Q模式。比如多媒体中控必须是静态ip,教室pc必须获得同一ip,
因此多媒体区域不能强制动态获取ip,需要进行dhcp绑定和arp绑定。
•
用户无法通过认证:
问题:用户打开网页无法弹出portal认证页面 原因:割接前用户使用的静态地址,无法拿到新地址,从而弹不出portal页面 解决办法:把用户电脑静态IP地址改成动态获取。
宽带接入层
QinQ VLAN隔离 用户接入 VLAN隔离
• • • •
帮助用户从传统的三层网络架构向二层网络架构转变。 通过控制层面设备有效减少网络的物理和逻辑级联级数 网络架构更清晰、更高效 更易于管理和维护
做到可细
分、可隔离;
做到可跟、可审计;
做到可细分、可控制;
做到可识别、可保 障;
• • • • •
•
用户认证过后无法访问门开。
原因:(1)汇聚交换机上联口MTU值未调整。
(2)汇聚交换机版本过低。 解决办法:(1)将汇聚交换机上联口的MTU值设置成大于104的任意值。 (2)升级交换机版本。
•
IP地址不在radius列表中:
RG-NPE50E
深澜认证
深信服AC
服务器区核 心交换机 RG-S7610 IPS 防火墙
MX960
生活一区
生活二区
院系楼
实验楼
逸夫楼
教学楼
本部
图书馆
•
在大二层环境里终端只能使用动态获取 IP 地址,如必须使用静态 IP 地址,可以通过两种方式 实现。
•
多媒体教室、电子阅览室、实验室、机房——因这些环境的终端大多需要在同一个局域网环
•
规划接入交换机上QinQ的内 层标签
•
规划核心设备上物理接口及 unit
•
生成QINQ规划表
ISP
Cernet
出口防火墙
• •
改造测试——改造前搭建模拟环境测试 平滑过渡——将核心路由器通过透明桥的方式部署在认证计费设备 及原核心设备之间,照事先规划好的设计,逐步的将接入用户切到 新核心路由器上面来
MX960
汇聚交换机
办公外层标签2000 专网外层标签4000 办公外层标签2001 专网外层标签4000
接入交换机
办公vlan2-49 专网vlan 100 办公vlan2-49 专网vlan 100
•
调整核心设备位置——待所有汇聚交换机全部移到MX960下后,开始调整核心设备的位置,将 原有的核心交换机做为数据中心交换机部署在服务器区或者作为汇聚利旧,完成校园网扁平化改 造过程。
户。
原因:用户通过无线路由器联网后,同一台无线路由器下上网用户的流量在认证服务器上无法区分。 解决办法:在DHCP服务器上通过option55字段对无线路由器进行屏蔽,使无线路由器无法获取到IP 地址。
核心层
高速转发 IPv4三层终结 ACL QoS
接入层
用户接入 相互隔离 速率限制 DHCP侦听 动态ARP检测
二层网络架构采用“收缩核心“设计,忽略汇聚层,核心层
设备直接连接接入层设备。
减轻维护负担,更容易监控网络状况。
业务控制层
IPv4/IPv6双栈线速转发 ACL、速率限制 QoS VPN 基于用户的认证接入和控制
问题:用户认证时弹出IP地址不在radius列表中的提示,导致无法通过认证。 原因:MX960 radius列表中用户在线状态与深澜radius列表不一致。 解决办法:同时将MX960和深澜的radius用户踢下线,然后重新建立radius列表。
•
防代理上网问题处理
问题:学校存在大量用户通过无线路由器代理上网,导致认证服务器上记录的流量精确不到每一个用
•
将核心路由器接入网络,同时在部署认证服务器——项目开始时,需将核心路由器版本进行 升级。本着保证网络稳定的原则,如图所示先暂时将核心路由器接在原核心交换机下面,其他 网络设备位置保持不变。
出口
核心交换机
MX960
•
配置核心路由器,搭建测试环境——按照规划表完成核心路由器的版本升级及基本配置,其 中与认证服务器的对接参数配置、路由、接口unit等。完成后,搭建测试环境,测试与核心 与认证设备对接是否完全。
接入1 接入层 汇聚层 。。。。。。
原核心设备
接入2
•
认证第一阶段
•
认证第二阶段
•
需注意事项:割接认证设备 时,我们会协调认证设备厂 商的备机到场
•
核心路由器上架——核心路由器大约600斤重,上架前需将板卡、电源、风扇全部卸掉,并 用尺子衡量好耳朵螺丝孔与机柜螺丝孔的对应位置。上架时需至少两个人同时搬动设备,设 备搬到相应位置时及时拧上螺丝,固定设备。上架完成后将板卡、电源、风扇安装到原位。
•
开始割接——依次每完成一台汇聚交换机的配置,就将其接在原核心交换机上的光纤移到核 心路由器上,在确定汇聚交换机与核心路由器连通后,再完成该汇聚交换机下的接入交换机 的配置,完成后,测试网络是否连通,确定无误后,保存设备配置。。
出口
核心交换机
MX960
汇聚1
汇聚2
汇聚3
汇聚4
汇聚5
汇聚6
•
监控、财务、一卡通专网以及多媒体教室接入——全网汇 聚交换机接口配置为灵活QinQ。专网与办公网的内层标签 、外层标签不相同,同一专网的内外层标签都配置成一致 ,使其处在同一二层广播域中,且与办公网的隔离开。