XX校园扁平化改造技术建议书.docx
《XX校园扁平化改造技术建议书.docx》由会员分享,可在线阅读,更多相关《XX校园扁平化改造技术建议书.docx(28页珍藏版)》请在冰豆网上搜索。
XX校园扁平化改造技术建议书
XX大学校园网络认证管理改造方案建议书(BRAS)
一、项目背景
XXX大学是一所以法学为特色和优势,兼有文学、史学、哲学、经济学、管理学、教育学等多学科的“211工程”重点建设大学,直属于国家教育部。
学校现有XXX路和XXX路两个校区。
学校现有全日制在校生14770人,现有19个教学单位、10个校级科研机构。
学校先后与39个国家和地区的157所知名大学和机构建立了合作关系,每年通过多种合作交流项目派出近千名师生赴境外学习交流。
XXX大学由于校园网出口设备老化,致使网络出现速度慢、断网的现象,为了缓解这种情况,需要对校园网出口设备进行改造。
改造设备涉及防火墙、交换机、计费系统、计费网关、计费管理平台系统、日志查询系统和服务器、笔记本等。
本文仅对交换机改造方案进行说明。
二、项目需求
1.
2.
2.1网络业务分析
XXX大学校园网网络作为XXX大学统一规划的应用、业务、承载的平台,各院系可以在此平台上利用先进的网络技术建立各自的业务系统,网络能够实现信息资源共享和实时通信。
全网要求具备较高的智能性、较强的安全性、完备的管理和运营能力,网络整体要求提供业界领先的网络产品搭建优秀的新骨干网络承载系统。
当前XXX大学网络采用了传统的三层网络构建模式,即核心—汇聚—接入的三层架构,并且基本上都采用了以三层交换机为主的网络建设方案。
由于三层交换机具备高端口密度、高速的以太网接口和较强的交换性能,因此能够满足校园网建设的端口和带宽的要求,满足校园网在发展阶段的高带宽/内部互联互通的需求。
传统的校园网结构如下图所示:
在这种架构中,每个层面都分别承担了校园网的一部分功能,其业务功能划分模型如下所示:
●出口:
准出认证、计费、NAT日志;
●核心层:
提供高速接口,实现核心高速转发;
●汇聚层:
提供用户在校园网中的DHCP地址分配和用户的三层终结功能;在校园网中,除了提供IP单播报文的转发外,还必须能够支持组播功能,提供组播视频流的复制和下发。
另外,需要在汇聚层的三层接口上开启相应的ACL访问控制列表功能,QoS服务质量保障功能。
另外,随着IPv6在校园网的部署,还需要提供用户的IPv6功能,如无状态IPv6地址分配、IPv6单播和组播转发等;
●接入层:
负责用户的接入,相互的VLAN隔离,基于端口的上下行速率限制,同时,为了避免目前大量存在的ARP攻击问题,还必须在接入层交换机上开启DHCP侦听和ARP动态检测功能(三层交换机才能提供这一类的功能);
这种架构下,我们能发现存在这样一些问题:
●第一,校园网的每个层面都有做用户接入和控制,实现了一部分的功能;如接入设备提供端口隔离、VLAN等功能、汇聚设备则提供了三层网关、ACL控制、路由策略等功能,大量的设备也就意味着大量的配置,会给校园的管理员带来巨大的实施成本,同时这也就使得在校园网中部署新功能新应用变得非常困难,要考虑到各个层面设备的支持能力。
相应的,由于控制点的分散,导致出现问题后,故障点很难定位,恢复时间较长;处理一个故障往往涉及多个层面的多个设备。
●第二,能力强的设备,如核心设备,其功能反而越弱化;相反,靠近边缘的设备,如汇聚和接入层的设备,功能要求却很多,形成了校园网设备层次和能力层次的“倒挂”。
由于汇聚和接入层层面的设备档次较低,性能不高、稳定性较差、功能也不丰富,因此在实际部署时,经常出现问题,实现效果不好。
比如在校园网部署IPv6时,在汇聚层设备上通常对IPv6的支持较差,特别是在开启IPv6组播业务时,由于设备不支持基于硬件的IPv6组播流量复制转发,经常导致设备100%CPU,影响其他业务,甚至造成业务中断。
这就造成校园网中出问题最多,维护工作量最大的是大量的接入层、汇聚层设备,导致维护工作量大、效果不好。
●第三,由于采用了三层交换设备,单台设备只能支持4KVLAN,无法实现VLAN的细分和隔离,从而导致大量的用户、应用处于同一个VLAN广域域内,没有有效的隔离措施和保障手段,相互之间的干扰和影响严重。
如目前在校园网中普遍存在的ARP病毒和DHCP仿冒等,导致终端接入网络的问题频发,管理员疲于奔命。
如果通过在接入层交换机上开启DHCP监听和动态ARP监测功能来避免这些问题,又会导致管理维护工作量大、配置复杂的问题,并且也加大了接入层设备的工作压力,降低了可靠性。
●第四,学校目前采用的认证方式为出口认证,即用户只有在需要访问internet网络的时候才需要对用户的身份进行控制,而用户接入内网即能获得IP地址并获得访问的权利,且用户与用户之间并未做隔离,导致学校里的安全问题频发,去年的一次大断网就是因为ARP攻击所造成的;而一旦学校加入了准入认证,那么又会存在用户如果访问外网,需要进行两次认证的尴尬,不仅降低了用户体验而且使得管理员的管理也非常麻烦。
以上这些问题将随着校园网规模的逐步扩大,多业务多应用的叠加,用户数的不断增加和流量的爆发式增长而显得越来越突出,最终导致校园网整体的稳定性可靠性降低,管理维护压力越来越大。
面对当前校园网存在的种种问题,解决问题的思路为改变校园网建设传统的思路和模式,而为了解决现网的这么多问题,绝对不是靠一项技术或者一种架构就能完美解决的,所以我们需要进行分析针对于不同场景,采用不同的网络模型架构,以打造一个更加适合XX学校的校园网络。
当前业界比较主流的校园网架构有两种:
扁平化架构及传统三层架构
所谓扁平化的网络架构,不是意味着网络物理层面变为两层,而是从网络中设备所承担的功能上区分,将网络划分为业务控制层和宽带接入层。
宽带接入层由汇聚和接入层设备构成,仅提供基本的用户高带宽接入功能和相互之间的VLAN二层隔离功能;业务控制层则由核心层设备构成,提供网络中的用户接入控制、业务功能实现等复杂功能。
从实际的校园网物理结构来看,网络的扁平化架构和业务功能划分如下所示。
这样的按照功能划分后,网络的层次更加清晰了,不同层次的设备各司其职,有利于全网的管理维护。
扁平化的网络架构带来了很多的优势:
●由能力最强,功能最丰富的核心设备提供集中的业务控制和管理,有利于功能和业务的部署。
同时,由于这些功能是由核心设备提供,因此能够确保在提供这些业务和功能时,同样具备较好的处理性能。
另外,核心设备的高可靠性也为这些应用和业务的部署提供了保障。
●由于汇聚/接入设备只是提供了二层透传和VLAN隔离这些基本的功能,不涉及到业务功能,因此在全网部署新业务和新应用时,无需考虑其是否支持。
同时,由于这些设备的功能要求简单,且数量众多,因此能够显著降低全网设备的投资和后期的使用维护费用,提高校园网的投资产出比。
另外,由于功能的弱化,从而使得这些设备的可靠性大大提高,有利于全网的稳定可靠运行。
●扁平化后的校园网更有利于今后的扩展:
业务功能只涉及到核心层设备,因此只需要考虑核心层设备是否能够支持这些业务特性即可。
对于汇聚和接入层这些边缘设备,仅需要考虑端口的扩充和上行带宽的增加即可。
校园网建设模式改变的另一个方面是在校园网实现精细化的管理控制。
传统的校园网是粗放型的网络,从网络应用管理控制的角度来说,只是满足了基本的网络互联互通的需求,但缺乏相应的审计和控制手段:
●用户只要接上网络,就能获得网络的使用权,整个访问过程没有针对性的记录、审计和控制,导致了网络的无序使用,校园网成了一个没有监控手段的“大网吧”。
●网络使用没有实名制,用户访问行为没有记录,出现问题无法追查;
●缺乏针对性的控制,网络带宽被大量占用,重要应用得不到带宽保障;
●用户之间互相影响,网络中的攻击泛滥,如ARP攻击/DHCP仿冒/IP仿冒;
●难以实现用户权限的控制,存在XX的访问;
在运营商网络中,解决这类问题的办法是细致的用户隔离和精细化控制,如每个宽带用户(家庭)之间的隔离,不同的业务种类(上网和IPTV)之间的隔离和基于这些隔离后的控制等等。
校园网中也可以借鉴这些思路。
●首先,可以通过网络中的宽带接入层面实现VLAN的细分功能,VLAN的划分可以细致到每个接入层交换机的接入端口,这样能够实现任意端口之间的二层VLAN隔离功能,避免相互之间的干扰和影响,做到可细分、可隔离;当端口数量超过4K时,需要采用QinQ的方案实现VLAN支持能力的扩展,提供全网4Kx4K的VLAN支持。
●对用户的各种信息,如用户帐号、MAC地址、IP地址、上线时间及其访问行为的识别和记录,做到可跟踪、可追查;
●实现基于用户身份的行为控制,诸如可访问的资源权限、对网络带宽的占用等方面的控制,做到可控制、可管理;
●网络应用的精细化管理,实现完善的流量识别和控制能力,保障重要应用系统的网络承载,包括安全性、带宽保障、可靠性等方面,做到可识别、可保障。
2.2网络流量分析
XXX大学校园网网络的数据并发性,一般是呈现波峰波谷的,绝大多数情况下,存在高并发性访问的因素,除了周末或者夜间学生晚自修之后的时间,某些特殊的应用也有可能对负荷有突发要求,如使用空间数据,大范围数据搜索,视频方面的应用等。
这些流量的转移对于网络设备提出了较高的要求,必须要求汇聚、核心设备均支持万兆技术,并提供尽可能高的带宽和转发性能,同时如果在做了校园扁平化改造后所有流量都会经过核心设备如图所示:
2.3核心设备需求分析
核心交换机在XXX大学校园网中骨干设备担负着连接各个汇聚设备和部分接入的工作,同时通过骨干设备的互联,将分布在各物理位置的校园教学科研网、校园行政办公网络连接在一起形成一套完整的网络。
由于骨干层设备担负着整个网络的流量。
骨干设备和链路的稳定性将直接影响整个网络的可靠运行。
由于骨干设备在网络中核心的位置需要高性能,所有的功能部件(电源、系统总线、处理器模块、网络接口模块等)均可以热插拔和冗余热备份等特性。
完成网络骨干层高速数据交换、转发以及稳定性的要求。
骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种业务的高质量传输,才能使网络不成为宿舍网业务开展的瓶颈。
此外,为了方便管理,核心设备必须支持集中认证协议特性。
支持用户双栈IPv4/IPv6接入认证管理,校园用户业务流量在本设备集中控制,认证通过的用户实现受信而可控的三层业务访问,支持双栈IPv4/IPv6QinQ报文的终结,能够实现校园网用户在接入和汇聚层二层隔离。
支持部署授权ARP,结合DHCP分配流程实现可控的ARP学习和老化机制。
同时在线用户数量不少于30000人。
2.4XXX大学扁平化设计
改造后的XX学校校园网:
可以看到方案中为了减少对于现网设备的影响采用了旁挂部署的方式,将2台BRAS设备做了虚拟化后旁挂在核心设备上,用户通过QINQ+端口隔离的方式实现接入交换机每个端口的VLAN隔离以实现用户与用户之间的互相隔离可以看到,由于用户与用户之间因为VLAN及QINQ的存在实现了用户间的隔离,对于用户整个园区网就像一条一条的隧道,当用户需要接入网络并进行互联访问的时候,用户必须通过核心到BRAS设备的准入认证,当通过后才能进行访问,这样每个用户拥有独立的广播域,所以ARP攻击、仿冒网关攻击、广播风暴等对校园网有着巨大影响的攻击将不复存在。
保证了整个学校网络的可靠性,经过总结我们可以得到这种扁平化方式的好处。
好处:
1、用户与用户之间完全隔离,这样不会存在广播风暴、ARP攻击等问题;2、网络架构变得更加简单,可以看到下面的交换机仅仅承担了2层转发和隔离的功能,其配置非常简单,所有的功能都在核心层开启,那么对于校园网的管理仅仅只需要管理核心设备即可;3、当校园网出现问题将非常容易定位,由于每个用户都会记录其IP/MAC/外层VLAN/内层VLAN,很容易定位到独立的人。
方案要点
作为扁平化方案,所有的用户流量都会上至BRAS设备,所以必须保证核心BRAS设备的可靠性,同时还需要提供简便的配置方案。
扁平化方案中在XX学校原有认证基础上加入了准入认证,为了保证对现网用户的使用情况不做改变,完成准入准出的对接,完成准入准出认证的联动,不影响用户的使用习惯。
如何保障后台RADIUS的可靠性,当认证计费系统故障时需要有一套有效的方案保障整套系统的可靠性。
BRAS可靠性
核心设备需具有虚拟化功能,将两台设备虚拟成为逻辑的一台设备能够实现统一的IP地址规划、统一的管理、跨设备的链路聚合等,而传统方式采用VRRP协议,不仅配置麻烦,而且其心跳探测报文间隔时间长,无法完成实时的故障切换,同时由于VRRP是一个冷备协议,协议本生无法实现链路和用户流量的负载分担,只能由人手工设置,极大的增加了配置和网络规划的难度。
如图:
准入及准出如何配合
首先我们为什么会有准入及准出,准入的目的很明显,需要对于接入内网的用户进行实名制的审计、而准出则是对访问外网的用户进行实名制审计及计费。
而由于学校场景的特殊性,校内网访问不计费、校外访问计费、IPv6不计费等特性,导致实际准入及准出是两个认证计费过程即准入认证不计费、准出认证计费。
而2次认证势必会造成用户上网变得麻烦,所以我们需要与准出的3A进行配合,实现准入准出的一体化,整个过程如下:
当用户进行准入认证时,用户的认证信息将到深澜的3A系统完成准入认证的验证,而这个过程中将不会产生任何计费信息。
在通过准入认证的同时,深澜服务器将生成一个以源IP地址为账户名及密码的用户。
当用户访问互联网时,将会在出口网关触发未知源IP认证,这次认证为自动触发,对于用户无感知,在认证后将对两次认证结果进行绑定,实现用户准入准出认证一体化。
如图
RADIUS的可靠性
目前深澜的3A系统提供2种方式的备份机制
1.主备模式:
在BRAS的3A系统指向中可以有2套3A的地址指向主备3A系统,当主3A系统坏了后,BRAS检测到3A系统不可达后将自动切换到备3A系统上运行;而在平时主3A和备3A也将实时同步用户信息,实现用户信息的实时备份,用户在主3A系统坏掉后切换到备3A无需再次认证。
2.逃生模式:
深澜3A系统还能提供一种逃生模式,在逃生模式下当3A系统宕机,深澜3A系统将自动开启逃生模式,而这个时候3A系统将不提供认证审核及计费请求,即用户无论采用什么账户名密码均可登陆网络,保障了网络的持续可用性。
校园应用和业务承载
新一代的校园网需要提供对业务和应用更好的支持,如IPv6的组播功能,在目前汇聚和接入层设备不能提供很好支持的情况下,完全可以由核心设备实现IPv6组播流的复制功能,如下如所示。
在这种情况下,由于复制节点是在核心设备上,对核心设备的IPv6复制性能有较高的要求;同时核心复制后,组播流量会占用校园网的骨干带宽,由于目前校园网的骨干带宽都已升级到万兆,因此对骨干网带宽不会产生大的影响。
对于校园网中的一卡通、背景音乐、广播系统、宿舍门禁系统等,需要在校园网统一的物理平台上提供逻辑上隔离的网络平面。
这可以通过在校园网平台上划分各自独立的VPN来实现。
即在业务控制层通过不同的VPN技术(如MPLSL3VPN、VPLS、逻辑路由器等),实现各个业务的VPN划分和相互之间的隔离;而在网络的宽带接入层面,则结合不同业务之间VLAN的划分,实现相互之间的隔离。
对于用户接入校园网,可以通过接入认证实现用户的实名制访问和精细化管理。
接入认证由核心设备来实现,提供给用户基于WEBPortal的认证页面。
●当用户接入网络后,无需认证即可访问部分校内资源,如主页和mail服务器等;
●而当用户通过http协议访问外网资源时,能够自动重定向到Portal认证页面上,实现用户的用户名和密码的验证。
●基于用户的帐号、接入的方式(有线接入或者无线接入)、接入的时段等条件,确定用户的访问权限、速率以及计费策略等。
如当用户是通过WLAN接入,则限制其上下行速率,只允许开启单播,而禁止组播服务,避免无线AP因组播流量过大而导致当机。
●同时,通过用户接入网络的认证过程,能够对用户接入网络的信息进行统计,获得诸如用户上下线时间、PCMAC地址、获得的IP地址、用户帐号、用户接入位置等信息,从而可以做到准确定位和追踪、能够统计分析不同区域的用户的网络使用习惯,并且实现网络使用历史信息的有据可查。
●对校园网中部署的业务的使用情况能够做到统计分析,如校园网中的IPv6组播使用情况。
优化了校园网的管理维护
从校园网的管理维护角度出发,新的校园网架构下,管理的中心是整个网络的业务控制层面的设备,即核心层设备;而网络中数量最多的汇聚层和接入层设备,由于功能单一,配置简单,甚至接入层交换机的VLAN配置都可以完全相同,这样就能够大大简化流程边缘层面设备的管理和维护。
同样,由于在汇聚和接入层进行了细致的VLAN划分,因此对于校园网内的任意一个接入层交换机端口,都能够在网络核心实时提供端口流量镜像到Sniffer服务器进行分析和处理,而无需管理员赶赴现场。
三、扁平化认证设计说明
3.
随着校园网应用规模和范围的不断拓宽,对校园网的安全提出了更高的要求。
一方面要保护校园网应用系统的资源不容易受到攻击,另一方面要保证校园网信息只能是校园网合法用户使用,另外还要有效阻止校园网信息不被篡改、滥用,确保信息数据的可用性、完整性、一致性。
解决上述问题,较为有效、现实的解决方案是对校园网施行用户认证。
校园网准入认证按照认证点和技术区分可以分为:
分布式认证:
基于802.1x技术、WEBPortal认证技术;集中式认证:
WEBPortal认证技术、IPoE技术、PPPoE技术。
我们建议在新校区、全校网络改造:
优选分布式portal认证或分布式802.1x认证(权衡安全性或易用性),对于老校区改造:
优选集中式WEBPortal认证。
针对XXX大学的实际情况,我们建议采用H3C集中portal认证解决方案。
本项目采用H3C的SR88-X不仅可以实现校园用户的集中准入认证,而且可以和城市热点等主流准出认证计费系统配合,实现校园用户的准入准出系统联动,从而达到单点登录的目的,进而大大提升校园用户的上网体验。
这几种认证方式的优缺点比较如下:
3.1802.1x认证:
IEEE802.1X定义了基于端口的网络接入控制协议(portbasednetworkaccesscontrol),其中端口可以是物理端口,也可以是逻辑端口。
802.1X通过EAP帧承载认证信息进行认证。
设备和认证服务器之间通过RADIUS报文进行通信。
PAE(portaccessentity)认证机制中负责处理算法和协议的实体。
802.1x认证的优缺点如下:
3.2WebPORTAL认证:
Portal认证又称为强制WEB认证,以其新业务支撑能力强大、无需安装客户软件、与组网设备无关等特点,受到越来越多用户的欢迎。
Portal认证业务可以为管理者提供方便的管理功能,如要求所有的用户都到门户网站去认证,门户网站可以开展广告、信息服务、个性化的业务等,为信息传播提供一个良好的载体。
Portal认证协议主要应用于的基于WEB的宽带接入认证系统中,完成用户的认证和授权。
整个Portal认证过程涉及到了PortalServer,BAS和AAA服务器。
Portal认证工作原理:
未认证用户在访问网络时,可以直接访问为用户免费开放的资源,当用户要使用网络中的收费资源时,设备会将用户的http请求重定向到Portal门户网站,用户必须在门户网站进行认证,只有认证通过后才可以访问这些资源。
Portal认证的工作流程如下图所示:
认证流程:
1、用户通过IE访问需要授权的网络资源,设备发现用户还没有通过认证则强制到Portal,PortalServer将WEB页面强推给用户,提示用户需要进行认证。
2、用户在WEB页面中输入用户名密码并提交认证,PortalServer将认证信息发送给设备,设备将用户信息转换为Radius报文发送到AAA服务器进行认证。
3、AAA服务器对用户信息进行验证,确认无误后,下发认证通过报文以及相应的权限控制信息给设备,设备放开用户的上网权限,同时AAA服务器开始进行计费。
4、上网期间,用户PC和PortalServer定时发送心跳报文交互,以确保用户没有因异常原因下线。
5、用户下线时,PortalServer收到用户下线请求并通知设备,AAA服务器终止计费并通知设备断开用户。
PORTAL功能特点
Ø不需要安装客户端软件
相对于其他的认证方式,Portal认证通过网页即可实现认证,无需安装客户端。
不但减少了用户机器的负担,而且方便了上网用户的使用,同时管理者也不用逐一为每个上网用户安装和升级客户端软件,极大减轻管理难度。
Ø可对在线用户进行实时检测
用户认证通过后,PortalServer和用户之间采用心跳机制保持通信,当终端用户的机器出现异常时,比如:
死机、网络断线、异常关闭浏览器等情况出现时,PortalServer就可以及时发现用户侧的问题,并通知设备将此终端用户下线并且停止计费;同时PortalServer支持开启或者关闭心跳,也可以设置心跳的间隔和心跳超时时长,这种功能使心跳检测更加灵活,大大提高了计费精度和对复杂的网络的适应能力。
Ø具有按用户接入端口分组的功能,可为不同组用户提供不同的配置
Portal认证可以根据用户所在交换机的端口以及用户所在的IP地址池,将用户划分为不同的组,每个组都可以设置不同的认证主页、不同的认证方式,从而方便对不同的用户进行管理。
同时PORTAL所有的认证页面都使用了JSP技术,管理员可以根据不同用户群的特点,定制特色认证页面,极大提高用户使用满意度。
Ø支持二次地址分配和NAT功能
为了减少公网IP地址资源的浪费,PORTAL通过与设备的配合,使用户在认证前使用的是私网IP,认证成功后再分配公网IP,从而保证了公网IP地址的更加合理的应用。
如果用户的IP地址经过了NAT转换,再经过PORTAL服务进行认证,PORTAL服务器支持开启NAT功能,可以为用户下载一个APPLET,获取用户的实际IP地址,再通过设备进行认证。
Ø支持认证窗口的最小化功能
用户在认证通过后,Portal支持在线窗口可以最小化到任务栏,以减少对用户上网的影响。
Ø防止窗口过滤的功能
很多上网用户出于安全的考虑或者防止网上的垃圾广告,会安装个人防火墙或者窗口过滤工具,来防止IE弹出窗口。
如果用户的IE开启了窗口过滤的功能,Portal在弹出认证成功窗口时,会进行窗口过滤的检测,从而防止由于窗口过滤而无法认证成功的情况。
Portal认证的优缺点如下:
3.3IPOE认证:
IPoE技术是由DSL论坛WT-146推荐的一种新形式的接入认证方式,它是基于DHCP协议转换为RADIUS认证报文来实现用户接入认证与控制。
1、运营商传统的工作流程,分配地址前先验证用户信息,用户通过验证之后才能获得IP地址。
用户信息可以是MAC地址、VLANid、或者是circuitnumber。
2、基于实名制认证的改进工作流程,用户上线就分配IP地址,之后用户再通过web/客户端的方式使用用户名和密码来进行验证,通过验证之后方能连接外网。
IPOE的优缺点如下:
3.4PPPoE认证
PPPoE认证流程如下:
PPPoE有两个阶段:
Discovery阶段和PPPSession阶段,具体如下:
l Discovery阶段
当一个主机开始PPPoE进程的时候,它必须先识别接入端的以太网MAC地址,建立PPPoE的SessionID。
这就是Discovery阶段的目的。
Discovery阶段结束时服务器和主机
升级会员 