学校 多运营商方案.docx
《学校 多运营商方案.docx》由会员分享,可在线阅读,更多相关《学校 多运营商方案.docx(23页珍藏版)》请在冰豆网上搜索。
学校多运营商方案
浙江广厦技术学院校园网
多运营商方案
快威科技集团有限公司
2011年9月
第一章概述
随着行业重组中国电信、中国联通和中国移动拥有了全业务运营牌照,校园宽带接入网势必成为三家运营商精彩表演的竞技场,多运营商共同运营现象也必将越来越普遍。
与学校运营相比,运营商凭借其带宽资源和成熟的网络服务质量,能够为学生提供更为充足的流量保证,使学生有机会根据服务质量和资费选择不同的运营商。
1多运营商共存模式从技术标准看,有不同的宽带接入方式:
PPPOE、802.1X、WEB和VPN等。
不同的接入方式在组网特征和故障表现上会有一定的差异。
广厦技术学院对校园网的网上应用和用户数量的不断增长,对网络的实时性,可靠性要求越来越高,学校师生更倾向于灵活选择适合自己的宽带网络,多运营商共存于校园网成为必然趋势。
第二章广厦技术学院校园网现状
2.1广厦技术学院校园网网络现状
广厦技术学院校园宽带网目前使用的是中国电信的宽带业务,校园网络由金华电信负责运行和维护。
学校internet出口为中国电信。
学生上网主要采用中国电信数字校园闪讯套餐,教师上网既可以通过闪讯套餐上网,也可以通过DHCP获得私网地址做地址转换上网。
目前广厦技术学院全部用户大概在8000左右。
2.2广厦技术学院校园网网络拓扑现状
(待定)
2.2存在问题
2.2.1单点故障问题
由于目前广厦学生用户的业务都是承载于电信出口设备。
当出口出现故障时将影响整个学校的学生用户对内网资源以及公网资源的正常访问(当设备出现故障不能运行时,用户同时不能访问内外网,并且没有恢复网络的临时解决方案)。
后果是极其严重的,具有很大的潜在风险。
2.2.2校园网单一出口,单一业务
目前广厦技术学院校园网只有电信出口,访问联通,移动网络资源时速度较慢,延迟很高,学生上网选择只有电信一种,业务比较单一。
第三章典型校园网多运营商接入
为了满足学生自主灵活选择宽带套餐的需求,广厦技术学院考虑引入移动接入。
由于不同运营商上网实现方式有可能不同,一个学生可能需要两个端口来满足电信、移动的上网业务,这需要每个运营商从接入层到核心层全部重新部署,造成资源的极大浪费。
为了尽量减少接入层的改动,本方案依照金华电信PPPoE拨号上网模式,调整汇聚层和核心层的网络结构和配置,实现多运营商接入。
3.1学生上网业务实现方式
学生上网业务采用PPPoE拨号方式实现。
多运营商接入时,每个ISP需要配置各自的汇聚交换机,BRAS设备,运营商共享接入层端口资源和vlan资源,在汇聚层上进行分流,汇聚交换机上联不同运营商的BAS设备
3.2不同运营商业务区分
因为接入层资源共享,每个学生只有一个vlan资源,为了能够区分该学生是采用哪个运营商的宽带服务的,可以通过部署802.1x+动态vlan技术来实现动态分配用户端口的归属vlan,但这需要接入交换机支持802.1x,同时要部署额外的radius服务器。
另一种业务区分方法是通过账号domain来区分,拨号时账号带后缀,不同的运营商只对自己的domain做pado相应,比如目前电信的闪讯账号带zsd.xy后缀,电信的BAS只响应带该后缀的pppoe拨号。
这样学生可以用同一个vlan,用不同的账号拨入不同运营商的BAS。
3.3汇聚层网络结构优化
目前广厦技术学院采用华为3COM设备作为汇聚交换机,用户通过单层vlan拨号上网,随着用户数量的不断增加,vlan资源很快就会耗尽。
本次优化建议引入QINQ技术,在汇聚交换机上封装外层vlan标签。
这里可以为不同的运营商分配不同的外层标签,实现业务区分。
3.4核心层网络结构优化改造
依据广厦技术学院校园网网络结构现状,移动需要部署自己BAS设备、radius服务器。
拓扑如下:
第四章广厦技术学院校园网多运营商接入优化
4.1网络优化方案
本次网络结构优化建议将汇聚交换机更换为具备灵活QinQ功能的交换机,可以为之后的vlan规划提供条件。
。
4.2网络优化设备清单
设备型号
规格描述
数量
报价
C6509
核心出口交换
2
C6148板卡
48口GE接口板
4
C3500
24百兆端口以太口+4GE光接口
15
C2950(48口)
48百兆端口
172
SFP-L模块
单模10公里千兆以太网模块
34
4.3接入设备配置清单
表格1
宿舍楼
类型
功能
数量
1
学生(4线+1电话)
接入
14
汇聚
1
2
学生(4线+1电话)
接入
14
汇聚
1
3
学生(4线+1电话)
接入
14
汇聚
1
4
学生(4线+1电话)
接入
14
汇聚
1
5
学生(4线+1电话)
接入
14
汇聚
1
6
学生
接入
11
汇聚
1
7
学生
接入
11
汇聚
1
8
学生
接入
11
汇聚
1
9
学生(2线)
接入
9
汇聚
1
10
学生(2线)
接入
9
汇聚
1
11
学生(6线+1电话)
接入
14
汇聚
1
12
学生(6线+1电话)
接入
14
汇聚
1
14
学生(4线,无电话)
接入
12
汇聚
1
15
教师(4线,无电话)
接入
12
汇聚
1
第五章配置规范化
由于校园网的设备经过多期扩容,目前存在命名规则不统一的问题,对日常的维护造成的诸多不便,需要进行统一的规范。
4.1设备的名称(以Cisco设备为例)
设备的名称应体现设备的级别、地名、型号、序号和角色等信息。
命名规则:
ZSD-安装地点-型号-序号-2,3层
示例:
设备
设备名称
说明
校园网核心交换机6509
ZSD-XX-C6509-1-SW
XX代表安装地点
校园网4506交换机
ZSD-YY-C4506-1-SW
YY代表安装地点
地名使用设备实际安装点地名的首字母或全拼。
型号使用设备的实际型号,如7609、6509、4506、4006、3550、10720、7304、7401等。
对同一地点有两台或两台以上相同型号的设备,第2台及以后的设备在型号后加序号,如4506-2,3550-3等。
对6509或4006二、三层还没分开的设备,应在型号和序号的后面再加S或R加以区别。
4.2端口的描述
端口的描述:
该端口的用处、对端设备及端口、端口速度、添加和修改时间、链路的有效期,添加的人员等。
本次网优项目实施设备端口命名规范为:
端口类型
命名方式
用户端口
Username-rate
互联端口
Devicename-port
4.3Vlan的名字
VLAN命名统一,提高易读性和简化排错步骤。
其中:
VLAN用户标识或者是小区位置标识、VLAN类型(L3的VLAN、L2VLAN、DHCP、固定IP的PPPOE、设备互连VLAN等)、VLAN范围(本地还是非本地)等其他信息。
本次网优项目实施VLAN命名规范为:
VLAN类型
命名规则
DHCP接入
DHCP-宿舍楼名
固定IP接入
ZX-用户名
网管
WG-网管设备
互联VLAN
HL-对端设备
4.4ACL的规范
ACL(AccessControlList)即访问控制列表,用户和设备可以访问的那些现有服务和信息的列表。
它是用来保证系统安全性的一种手段。
是CiscoIOS所提供的一种访问控制技术。
ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。
使用适当的ACL可以帮助用户有效减少安全风险。
ACL的编号没有统一规划,每台交换机基本上都各自为政,同一ID的ACL在不同的设备上可能内容就不一样。
给维护人员增加了不少麻烦。
本次网优项目实施ACL命名规范为:
ACL的ID
用途
1-49
标准ACL,全市统一规划、统一分配,同一ID对应同一配置。
50-69
标准ACL,预留
70-99
标准ACL,只用于本机,不同交换机可以复用。
101-149
扩展ACL,全市统一规划、统一分配,同一ID对应同一配置。
150-169
扩展ACL,预留
170-199
扩展ACL,只用于本机,不同交换机可以复用。
防病毒的ACL建议统一采用扩展的ACL,便于后续维护:
ipaccess-listextendedAntiVirus
deny…..
permitipanyany
4.5无效配置的清理
网络设备在经过业务调整或割接后,往往会残留一些无用的配置语句。
无效配置会造成网络设备里的配置文件信息杂乱,降低配置文件可读性,影响网管效率,甚至还会给网络设备的安全和稳定性带来很大的隐患。
所以,在本次网络优化项目中需要对所有网络设备里的配置文件信息进行检查,主要清理下列的无效配置:
●无效的访问列表
●无效的VLANID
●无效的静态路由和网关设置
●缺省有害配置的清理
对于目前配置ACL或者路由指向到null0的网络设备中,ICMPunreachables将引起设备的高CPU利用率,在一些需要ICMPunreachable的环境中,我们可以采用ratelimiting来保证CPU利用率的控制:
ipicmprate-limitunreachable
第六章二层网络结构优化
5.1trunk的过滤
在交换机之间限制其他VLAN的透传,使用命令cleartrunk、或者是switchtrunkallowedvlan,通过该步骤,我们可以减少VLAN中不必要的广播扩散,减少收到影响的设备的范围;加快PVST的收敛速度;加快交换机广播寻址的速度;降低L2广播带来的高CPU利用率;
本次网优实施清理的原则如下:
1)本地“showvlan”不存在的vlan,全部在Trunk中清除
2)本地终结的vlan在连接上层交换机的Trunk上中清除
3)Trunk对端交换机上不存在的vlan全部在Trunk上中清除
4)vlan1全部在Trunk中清除
在具体进行trunk过滤之前,我们将和局方一起详细对每个trunk上的vlan使用情况进行统计和核对,确认无误后再进行配置,以确保网络业务的正常使用。
按下表进行统计:
设备名
端口
相联设备
trunk能过的vlan
配置命令:
Interfacemod/port
switchporttrunkpruningvlan_name
switchporttrunkallowedvlan_name
5.2.3网络接入层直连用户端口优化
网络接入层(主要是3550/2950),对于交换机上那些直连用户终端的端口(对端不是hub/switch)就可以启动port-fast和bpdu-guard功能。
Port-fast启动后端口可以直接由blocking状态转到forwarding状态,无须经过listening和learning状态,这样可以由45m左右的时间缩短到15m左右。
Bpdu-guard的功能是,防止端口收到bpdu数据包,直接连接终端用户的交换机端口正常状态下是不会收到bpdu数据包的(尽管会发送bpdu数据包);如果收到一定是用户把网络环起来了,或者用户中毒(一种病毒可以伪装成switch,发送prioty=0的bpdu包,抢夺所在vlan中spantreerootswitch的地位,一旦得逞,严重影响网络spantree);Bpdu-guard功能在端口上起用后,一旦该端口收到bpdu包后,就会立即disable或shutdown该端口。
CatSwitch-IOS(config)#spanning-treeportfastbpduguard
CatSwitch-IOS(config)#errdisablerecoverycausebpduguard
CatSwitch-IOS(config)#errdisablerecoveryinterval
5.2.4网络接入层下联中继端口优化
接入的交换机3550/2950上的非连接终端的端口上(连接小交换机或HUB或DSLAM机)为了防止个别用户环路了网络,或者病毒发bpdu数据包引起spantree问题,需要这类问题严重的交换机的端口上启动bpdufilter。
IOS命令
Router(config-if)#spanning-treebpdufilterenable
第七章Vlan资源优化
考虑到目前网络每个接入层交换机端口一个vlan,cisco4506上的vlan资源消耗很快,随着校园网规模的不断扩大,每台cisco4506上的vlan资源最终会耗尽。
为了能充分利用vlan资源,并考虑到交换机每个端口需要隔离,本次优化对用户做普通QinQ技术,提高网络的扩展性。
6.1QinQ原理介绍
QinQ是指将用户内层vlantag封装在外层vlantag中,使报文带着两层vlantag穿越网络。
在网络中,报文只根据外层vlantag进行传播,用户内层vlantag被屏蔽。
设备提供的端口QinQ特性,可以给报文打两层vlantag,从而最多可以提供4094X4094个vlan,满足网络对VLAN数量的需求。
由于QinQ的实现是基于802.1Q协议中的trunk端口概念,要求隧道上的设备都必须支持802.1Q协议,所以QinQ只适用于企业网或小规模的城域网。
QinQ主要可以解决如下几个问题:
1)缓解日益紧缺的公网vlanID资源问题;
2)用户可以规划自己的私网vlanID,不会导致和公网vlanID冲突;
3)为小型城域网或企业网提供一种较为简单的二层VPN解决方案。
6.2QinQ在校园网中的实现
本次优化对接入层交换机端口vlan不做改动,在cisco4506下联口打外层vlantag,按每层宿舍楼一个外层的原则。
拓扑图如下:
外层vlan规划原则:
外层vlan从1000开始往后分,建议后两位分别为楼号和楼层好,入1011表示1号楼的1楼。
第七章安全和审计
7.1AAA部署
为了管理方便,应该设置具有不同访问和管理权限的用户帐户和相应的密码。
对操作权限,可以设置以下几类用户:
1)全局超级用户级别---对所有网络设备拥有安全的权限,市局的系统管理员才拥有这样的权限。
2)县市局超级用户级别---只对自己管理范围内的网络设备拥有完全的权限,县市局的系统管理员拥有这样的权限。
3)限制配置的用户级别---对网络设备拥有部分权限,比如可以进行端口配置和vlan的设置,进行日常的开户操作等,但不能修改一些敏感数据,如enable的口令、路由协议的参数等。
4)可以在使用AAA中的授权方式来控制每个用户的权限和访问级别。
通过在设备中定义不同级别的privilege属性,来区分不同的用户权限。
privilegeconfigurelevel5interface
privilegeinterfacelevel5shutdown
privilegeexeclevel5showiproute
privilegeexeclevel5configureterminal
privilegeexeclevel5showrunning-config
5)只读级别---对网络设备只拥有只读的权限。
一般情况下,出于网络测试等的需要,可以在单命令的基础上给这类用户授予基本的连通性测试命令,比如:
ping、traceroute、showiproute等。
为了便于管理,对帐户的密码也需要进行相应的设置,比如设置密码的有效期,如1个月,要求系统管理员每个月都修改一次,否则密码就失效,每个人都自己管理自己的密码,这样就可以大大降低应长时间使用同一密码而带来的安全隐患。
另外,对非本局人员的帐户,在设置密码时可根据需要设定期限并限制其更改密码,这样即可以保证非本局人员的施工需要,并确保施工结束后及时收回密码。
7.1.1TACACS+认证方式
cisco公司推荐使用TACACS+,因为CISCOSECUREACS在NT,UNIX或者第三方的软件中比较容易实现。
TACACS+的特征包括:
一些命令使用方法和系统使用方法的详细条目,MD5的编码方法和在验证、验证程序上的管理控制验。
在下面的例子子中,系统的登陆和进入特权模式使用了TACACS+服务器做为验证和本地验证的反馈,如果这个服务器是不可靠的。
这个重要的后门离开了大多数的网络。
下面各项显示了TACACS+的命令设置:
:
settacacsserverserverIPprimary
settacacsserverserverIP
!
---Redundantserversarepossible.可以设置多余的服务器
settacacsattempts3
!
---Thisisthedefault.设置超时值5是默认的
settacacskeykey
!
---MD5encryptionkey.
settacacstimeout15
!
---系统设置的超时值为15,系统默认为5
setauthenticationlogintacacsenable
setauthenticationenabletacacsenable
setauthenticationloginlocalenable
setauthenticationenablelocalenable
!
---最后两条命令是默认的,他们允许回退
我们可以在交换机中使用TACACS+实现对每个用户或用户组的授权,但是这个推荐还是比较困难的,在这个范围内几乎全部的用户都有自己的个人需求。
涉及到交换机的列表:
使用证明,授权和一些更多的条目。
最后这些条目命令会提供个人使用者的审计信息。
配置模板:
IOS:
aaanew-model
aaaauthenticationlogindefaulttacacs+linenone
aaaauthenticationenabledefaulttacacs+enablenone
aaaauthorizationcommands15defaulttacacs+none
aaaaccountingexecdefaultstart-stoptacacs+
aaaaccountingcommands1defaultstart-stoptacacs+
aaaaccountingcommands15defaultstart-stoptacacs+
tacacs-serverhost#.#.#.#
tacacs-servertimeout3
tacacs-serverkeyyour_key
CatOS
setauthenticationloginlocalenable
setauthenticationlogintacacsenable
settacacsserver#.#.#.#
settacacskeyyour_key
7.1.2Radius认证方式
RADIUS(RemoteAuthenticationDialInUserService)协议,原先的目的是为拨号用户进行认证和计费。
后来经过多次改进,形成了一项通用的认证计费协议。
RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(NetAccessServer)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。
RADIUS协议认证机制灵活,可以采用PAP、CHAP或者Unix登录认证等多种方式。
RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。
配置模板:
IOS:
aaanew-model
aaaauthenticationlogindefaultradiuslocal
aaaauthenticationloginno_radiusenable
aaaauthenticationpppdefaultif-neededradius
aaaauthorizationnetworkradius
aaaaccountingexecstart-stopradius
aaaaccountingnetworkstart-stopradius
radius-serverhost#.#.#.#auth-port1645acct-port1646
radius-serverkeyyour_key
linecon0
exec-timeout00
loginauthenticationno_radius
CatOS:
setauthenticationloginlocalenable
setauthenticationloginradiusenable
setradiusserver#.#.#.#auth-port1645acct-port1646primary
setradiuskeyyour_key
7.2SNMP协议的访问控制
SNMP协议是一个标准的网络管理协议,SNMP服务器可以通过获取设备的配置信息和修改设备配置信息,建议在网络设备上配置ACL和SNMP相关参数来避免SNMP带来的安全隐患。
在snmp协议中增加access-list列表,这样只允许固定的ip地址能采集snmp信息(如网管软件ciscoworks2000),防止别的用户安装网管软件后能采集到snmp信息.
配置模板:
IOS命令
access-list4permit172.16.2.100
snmp-servercommunityro4
CatOS命令
Console>(enable)setippermit172.20.52.32255.255.255.224snmp
7.3日志信息的记录
7.3.1全网时钟的同步
大量的日志、事件、故障信息都依赖于网络设备的时钟,为了保证全网设备的时钟同步,建议在网络中配置NTP服务器,别的设备配置为NTP客户端,保证全网设备时钟同步。
全地区时钟的同步:
全地区统一的NTP(networktimeprotocol)server的建立、NTP全网的实施、以及NTP的加密等。
目前很多网络设备上的时钟大都没有设置过的,“showclock”发现许多时间都是1993年,有些设备的时间虽然设置过和当前时间一致,但设备重启动后,时间又恢复到日历寄存器的初始值。
这样混乱的设备时钟使得设备的日志的时间信息也同样的混乱。
给运维人员判断故障发生时间带来不小的困难。
在金华电信城域网的核心设备上启用NTP的Server,在全网的Cisco设备上启用NTPclient,并配置MD5的加密和NTP源地址
升级会员 