高校校园网PPPOE解决方案.docx

1、高校校园网PPPOE解决方案职教校园网技术案 1 概述职业教育学院是经教育部批准,由一流科研单位设立的高等院校。学院已有近三十年的办学历史，为培养了大批优秀科研人员和生产骨干。学院师资雄厚，专职教师中有教授8名、副教授44名、博士6名、硕士23名，并长期聘有多位两院院士和专家学者担任客座教授。学院现有两个校区，教学生活设施齐全。建有教学大楼、实验大楼、科技开发楼、图书馆、学术报告厅、培训楼和设备先进的数控加工培训中心、CAD/CAM实验室、反求工程实验室、传统机械加工培训中心、电机拖动实验室、自动控制实验室、计算机网络实验室等大型实验室和实训基地。拥有高精度的数控机床、三座标测量仪、数字金相显

2、微镜、计算机站等一流仪器设备，配有UG、IDEAS等大型设计、计算软件。为了全面提升学院的信息化水平和满足教学科研对信息化基础设施的需求，学院拟部署新校园网络，实现各单位之间的信息互连，并实施统一的网络管理和安全策略，实现信息化效率和安全的统一发展，为全院师生的学习、教学、科研、生活提供全位的信息服务。2 设计目标2.1 需求分析根据对职教校园网的技术需求分析和现代校园网技术发展向的研究，总结出以下基本技术要点：实现校园部所有信息点的接入和汇聚；校园通过统一的出口实现到Internet的连接；可管理、可运营校园网发展趋势要现网资源访问免费、外网资源访问计费的认证计费管理模式；考虑到校园规模和教

3、学科研业务的未来扩展，采用核心、汇聚、接入三层的星型拓扑来构建校园网；根据未来各单位和业务流量规模的发展需求，核心到汇聚层要具备万兆链路扩展能力；考虑到校园网和CERNET新老骨干网的对接，要求网络核心层面具备IPV6能力。采用百兆到桌面的接入部署；实施全面的QoS策略，确保对不同业务流量的服务质量；网络要充分体现安全性，可靠性，先进性，开放性，可扩充性及优良的性价比。2.2 设计目标基于以上对职教校园网基本需求的分析，本案的设计目标是采用业界领先的网络设备，在充分满足基本需求的同时，使整个网络具备易管理、可运营、高扩展性、高可靠性、能进行高质量的多业务承载的特征，真正构建出一个高品质的新型校

4、园网。3 技术案3.1 组网案根据职教校园网的当前状况和未来发展趋势，我们提供了全面的整体解决案，整个网络案突出层次化、模型化、高可靠性的原则，确保网络在具有高性能的同时具有良好的前瞻性和持续发展性。3.1.1 网络模型职教校园网包括的信息点数量较多，采用核心、汇聚、接入三层的网络层次，基本架构模型如图。3.1.2 核心层在典型的层次化模式中，组件间通过核心层互联，核心用作网络骨干。鉴于各组件都依赖核心进行连接，因此，核心必须速度很快且可靠性极高。现在的硬件加速系统具备以线速提供复杂业务的潜能。建议在网络核心采用“越简单越好”的法。最低的核心配置可降低配置复杂性，从而减少出现运行错误的几率。核

5、心层用于承担校园网各分布区域的子网互连。核心层是整个网络可用性和可靠性的关键，需要进行各关键设备和关键器件的冗余，由于核心层主要承担校园网各子网的互连和数据流量的融合和贯通，同时承担各单位到Internet的接入，故必须能满足大业务横向流量的性能要求，也要满足出纵向业务流量的性能和功能要求。基于以上的基本数据流量模型分析，采用1台BRAS设备和2台核心交换机组成的纵向横向设备分离的模型作为核心层的网络架构。其中，核心交换机通过和汇聚层设备组双星型网的式构建校园网各子网间的横向互连，由于校园网横向流量较大，且随着校园规模的扩展和业务的发展而快速增加，因此采用千兆链路来互连，并具备10GE链路平滑

6、扩展的能力。此外，双核心交换机之间通过两条10GE或者nGE链路捆绑式进行互联以实现VRRP心跳报文互通和业务数据流量的互通。为了实现各单位/部门到Internet和CERNET的接入，核心交换机通过GE链路直接和BRAS设备进行纵向连接，转发所有出校园网的数据流量。BRAS设备通过千兆链路和UTM或者流控等出口设备相连，最后通过多ISP接入Internet或者教育骨干网，保证校园网到广域网流量的可靠转发。3.1.3 汇聚层汇聚层主要承担校园网部各单位/部门的数据互通并汇聚流往核心层的数据。基于汇聚层冗余路由快速切换的考虑，各汇聚层交换机通过双归属链路和两台核心交换机进行连接，实现主备或者负荷

7、分担的可靠链路。由于各单位/部门部的局域网的业务流量很大，汇聚层需要有足够的带宽容量来支撑突发的海量数据并提供良好的QoS保障，因此采用千兆链路来构建汇聚层，并具备万兆链路的扩展能力。由于采用了到两台核心交换机的双归属链路，可以在两台核心交换机启用VRRP协议来实现缺省网关的保护（实现网资源访问），这样两条到核心层网资源缺省网关的链路处于主备工作状态。3.1.4 接入层接入层主要承担各信息点的接入。接入层要求为各信息点提供百兆带宽的接入，实现无阻塞快速的数据接入。接入层交换机通过千兆链路上连到所属子网的汇聚交换机上。为了在接入层就启用较好的防ARP攻击等策略，同时考虑到校园网的技术前瞻性，接入

8、层交换机采用具备ACL功能的智能二层交换机，并且通过千兆链路和汇聚层交换机互通。3.2 用户接入式规划3.2.1 网访问校园网的主要用途之一是承载师生和教职工家属等对网各类应用服务的访问，比如FTP服务、VOD点播、课件下载/上传、校园浏览/BBS等，因此校园网首先要保证所有信息点对部服务器区域的无阻塞访问。网访问流量模型如下：如图，用户依次经过接入、汇聚、核心交换机，并通过网防火墙的过滤后实现对网服务器的访问，整个路径可以采用二层网络式，主要通过二层VPN技术进行业务/单位/功能子网的隔离，并对不同VPN实施Qos来实现网访问流量的多业务承载，具体实施式参见下文VLAN规划和Qos规划。3.

9、2.2 外网访问校园网的另一主要用途是实现学生、教职工、家属对外网的访问，包括Internet和Cernet的访问。由于Internet接入是付费的，因此用户对外网特别是Internet的访问需要进行格的管理，实施针对用户的认证、授权、计费（AAA）管理，不仅能提升校园网使用的安全性，还能打造出可运营的新一代校园网，实现信息基础设施的良好投资回报率。外网访问流量模型如下：如图可见，用户对外网的访问三种基本数据流量：用户终端到BRAS的PPPoE报文流量，BRAS到AAA服务器之间的认证计费数据流量，认证通过后用户到外网的业务应用流量。具体流程参见下文的PPPoE认证和AAA技术。3.3 PPP

10、oE认证通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的式管理用户。PPPoE（Point-to-Point Protocol over Ethernet）协议允通过一个连接客户的简单以太网桥启动一个PPP对话。PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号（SESSION_

11、ID）。在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。在网络拓扑中，主机能与之通信的可能有不只一个网络设备。在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。 搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。优点：和原有窄带网络用户接入认证体系一致，计费精确，符合用户习惯，用户容易接受。PPP连接是点对点连接，克服了局域网共享连接病毒猖獗的有助于用户管理控制，可

12、为不同用户定制服务，分配各自的独享带宽，提供差异化运营服务。有助于提供平滑的QoS，可区分不同业务，有效管理出口流量，抑制P2P流量和病毒引起的突发流量。专用客户端支持防代理功能，可防止资费流失。运营商普遍采用PPPoE认证技术，因此，可以跟随运营商，享受后续的技术更新。在运营商普遍采用PPPoE实现家庭用户接入的情况下，校园网用户更容易适应这种式。3.4 AAA技术3.4.1 背景随着Internet的发展，越来越多的应用通过网络得以实现，拨号用户、专线用户以及各种商用业务的发展使Internet面临多挑战。如安全、有效、可靠的保证计算机网络信息资源存取及用户如以合法身份登陆、怎样授予相应的

13、权限，又怎样记录用户做过什么的过程成为任网络服务提供者需要考虑和解决的问题。正是基于此需求，AAA协议逐渐发展完善起来，成为很多网络设备解决该类问题的标准。3.4.2 概念介绍AAA指的是Authentication（认证）、Authorization（授权）、Accounting（计费）。自网络诞生以来，认证、授权以及计费体制（AAA）就成为其运营的基础。网络中各类资源的使用，需要由认证、授权和计费进行管理。认证（Authentication）：用户在使用网络系统中的资源时对用户身份的确认。这一过程通过与用户的交互获得身份信息（诸如：用户名-口令组合、生物特征获得等），然后提交给认证服务器；

14、后者对身份信息与存储在数据库里的用户信息进行核对处理，然后根据处理结果确认用户身份是否正确。例如：网络接入服务器（NAS）能够识别接入的宽带用户。授权（Authorization）：网络系统授权用户以特定的式使用其资源。这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限，如授予的IP地址等。 计费（Accounting）：网络系统收集、记录用户对网络资源的使用，以便向用户收取资源使用费用，或者用于审计等目的。以互联网接入业务供应商ISP为例，用户的网络接入使用情况可以按流量或者时间被准确记录下来。认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一

15、定程度上有效地保障了合法用户的权益，又能有效地保障网络系统安全可靠地运行。3.4.3 AAA实现技术目前有多种AAA实现技术，每种技术都有其优缺点和不同的使用场景。比较流行的AAA技术有Kerberos、TACACS+、Radius、Diameter。当前最应用最多的AAA技术协议是Radius协议。Radius是IETF制定的标准，是一种完全开放的协议，分布源码格式，这样任安全系统和厂商都可以用。是目前最常用的认证计费协议之一，它简单安全，易于管理，扩展性好，所以得到广泛应用。3.5 VLAN规划采用虚拟局域网VLAN主要出于三个目的：用户隔离、提高网络效率；提供灵活的管理；提高系统安全性。

16、因此，规划VLAN时也应该综合考虑这三面的因素。接入层交换机可通过VLAN的启用来对单位/部门部的各信息点进行进一步归类，不仅可以实现部门的细分和隔离，还能有效的防止单位/部门部的广播风暴。同时，接入层交换机还可以通过ACL的启用来更加有效的对单位/部门部的信息点的互访及信息点对外网的访问进行控制，是数据流量在接入层就能够开始得到合理有效的控制。校园网不仅有科研单位/区域，老师办公区，电化教室，还包括学生宿舍、教工宿舍等，不通的区域有不同的数据流量模式，需要进行合理的隔离和子网划分。建议对不同区域的信息点和业务进行统一划分，分配不同的VLAN，以实现二层数据隔离，保障各区域的子网安全并限制各区

17、域数据流量的互相影响。由于汇聚层设备需要对下属接入交换机构成的各单位/部门进行区分，而对不同接入交换机上行的流量应该按单位/部门进行汇聚，如果接入层上部署PUPV（每用户每VLAN），那么可以采用基于策略的QinQ技术在汇聚层上将所有流量重新打上VLANID，此VLANID是基于单位/部门功能子网划分的。比如在接入层的每个功能子网部部署VLAN100n（n4096），而在汇聚层接入端口实施QinQ，根据功能子网将VLAN统一替换为VLAN19；这样能实现校园网各单位/部门之间、单位/部门的各办公室之间以及不同用户信息点之间的数据流量隔离和互通。而核心交换机可以基于QinQ的外层VLAN进行数据

18、交换，实现二层的VPN隔离。考虑到校园网对不同特性数据流量的统一承载，比如语音、数据、视频等，为了实现良好的业务隔离，保证不同业务的安全性和性能，可以将各特殊业务的VLAN进行统一规划，比如视频会议用VLAN10，IP用VLAN20，等等。所有的VLAN都在BRAS上进行终结，转入三层转发模式。VLAN规划如图：3.6 IP地址规划（1）概述网络地址、域名统一规划：由于IP地址及域名尚未确定，本次案中只简要提出IP分配及域名规划的原则。域名规划要注意层次性和一致性。部域名、外部域名要分别设置，能体现组织结构并易于管理。（2）IP地址分配的原则地址分配要遵循以下原则：简单性：地址的分配应该简单，

19、避免在主干上采用复杂的掩码式。连续性：为同一个网络区域分配连续的网络地址，便于采用SUMMARIZATION及CIDR(CLASSLESS INTER-DOMA IN ROUTING)技术缩减路由表的表项，提高路由器和三层交换机的处理效率。可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性。灵活性：地址分配不应该基于某个网络路由策略的优化案，应该便于多数路由策略在该地址分配案上实现优化。可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。安全性：网络应按工作容划分成不同网段即子网以便进行管理。（2）IP地址分配案路由器的管理地址采

20、用单独规划的loopback地址，交换机的管理地址采用特定三层接口的IP地址。设备配置名称采用A-BB-C-DDDD-EEE，A：楼栋；BB：楼层；C：产品类型（R代表路由器，S代表交换机，F代表防火墙，I代表入侵检测系统，E代表安全评估系统，A代表安全审计系统）；DDDD：设备型号，比如2826；EEE：如果有相同型号设备用数字区分。设备的管理地址：统一采用192.168.1.0/24这个网段作为设备管理地址使用,未分配完的地址保留以便于以后扩展。互联地址：192.168.4.0/24作为设备互联地址。业务地址如果各单位/部门存在互连互通的需求，则要保证其IP地址不能重叠，因此建议统一为各单

21、位/部门分配私网IP地址来配置各信息点，使各单位/部门的IP地址均不重叠。并通过在BRAS或者UTM设备上启用NAT技术和策略路由来实现对Internet的访问。3.7 可靠性设计可靠性和自愈能力包括设备冗余、模块冗余、链路冗余等要求: 1）设备冗余。在核心层等关键节点需要采用设备冗余，以避免星型组网式下一个核心故障而影响全网。双核心通过VRRP等协议进行配合，能在某台设备故障的情况下自动快速切换到另一个备用核心，保证整网业务不中断运行。2）模块冗余。主要设备的所有模块和环境部件应具备1+1或1：N热备份的功能。所有模块具备热插拔的功能,核心层设备对主控模块及关键部件应采取1+1的冗余。3）

22、链路冗余。在核心层和汇聚层采用了基于VRRP的式来实施双链路冗余，保证单段链路中断的情况下能继续提供可靠的数据转发。在校园网的UTM上采用多出口来实现到Internet的链路冗余，当个别链路故障时，出行流量可以自动切换到保护链路上。3.8 QOS业务控制校园网将支持多种多媒体运用，整网要有良好的QOS业务规划，已满足包括语音、视频在的多种业务应用系统对服务质量的不同需求，特别是对一些时效性要求很高的网络应用，系统要有很好的保证。本案在以下面保证服务质量：采用高性能、大容量的路由交换设备，保证数据的线速交换；采用高带宽的核心网络，消除瓶颈；支持丰富的QOS策略以及QOS保证技术。3.8.1 QO

23、S实施策略QoS案的设计实施，首先需要考虑选择合适的技术框架，也即服务模型。服务模型指的是一组端到端的QoS功能，目前有以下三种QoS服务模型：Best-Effort service尽力服务Integrated service（Intserv）综合服务Differentiated service（Diffserv）区分服务这三种服务模型中，只有Intserv与Diffserv这两种能提供多服务的QoS保障。从技术上看，Intserv需要网络对每个流均维持一个软状态，因此会导致设备性能的下降，或实现相同的功能需要更高性能的设备，另外，还需要全网设备都能提供一致的技术才能实现QoS。而Diffse

24、rv则没有这面的缺陷，且处理效率高，部署及实施可以分布进行，它只是在构建网络时，需要对网络中的路由器设置相应的规则，会使配置管理比较复杂。由于要承载数据、语音、视频等多种实时和非实时的业务，加之网络应用中突发海量数据流量对网络带宽的瞬间吞噬，这对网络设备的流量区分和调度能力是一个很大的考验。考虑到Diffserv模式具有处理效率高，部署和实施便的特点，同时以太网、IP网和MPLS网络对Diffserv模式的支持非常成熟和有效，在全网规划和实施Diffserv比较便，我们建议在案中选用Diffserv模式。总之，在职教校园网中，可以基于DiffServ框架，合理的利用一系列QOS功能组件，在网络

25、的边缘根据业务及应用的不同对数据报文进行流量监控及流分类，将报文分成优先级不同的几个业务等级，并根据分类结果对报文进行标记；在网络核心，根据报文中的业务等级标记，对报文进行一系列不同的操作，包括队列调度，流量整形，丢弃处理等，从而满足高优先级业务的服务质量，同时尽可能的保护了低优先级的业务。3.8.2 职教校园网QOS解决案校园网是一个集成了数据、语音、视频等多业务的跨区域、跨部门、跨链路的综合网络，不同的业务系统对网络服务的要求不同。在这个统一的网络平台上，应该保证对于不同的应用数据根据其具体要求提供相应的网络服务，并能在因故障导致网络资源稀缺时优先保证关键性业务数据的传输。根据应用系统对网

26、络需求分析，业务可分为以下几类：非实时类：包括资料传输、办公自动化系统及WEB服务等，数据流量大、突发性强、对实时性要求较低，但要求能够可靠传输；准实时类：动态路由协议控制报文、VPN通道控制维护报文、视频业务控制报文等，数据流量不大、对延迟要求较高，过大的延迟将影响到路由收敛的速度和业务运行的效率；实时类：语音、视频业务对延迟要求高，随机性强，并且一定要保证带宽。根据以上需求，网络传输的服务质量可以包括三项参数：延迟、抖动和带宽。具体到各项业务的转发处理过程中，可以通过转发优先权和转发带宽这两个控制参数来调整各项业务的实际服务质量：为视频、语音业务赋予最高的转发优先权，并分配较高的带宽；为准

27、实时类业务赋予较高的转发优先权，并分配较低的带宽；为非实时类业务赋予最低的转发优先权，并分配最高的带宽。以上配置使各项业务能够按需得到各自的与其业务相匹配的服务质量，既保证了视频业务的实时性，也保证了非实时类业务的可靠性。根据以上规则，其它业务也可以根据其自身的需求，同样通过控制转发优先权和转发带宽，而得到其所需要的服务质量。为了达到以上对业务服务质量控制的要求，根据Intserv和DiffServ两类QoS模型的成熟性、可扩展性和可控制性的特点，我们建议整个网络的QoS模型采用成熟的差别服务DiffServ模型式进行构建，要区分不同的服务并提供质量保障：1）首先需要区分不同服务的数据，即利用

28、ACL、VLAN ID、IP地址、TCP端口、UDP端口、TOS字段等对数据流进行分类识别；2）在线路上采用带宽分配、优先级控制、队列调度等QOS控制技术保证各类应用数据的有效传输。具体实现如下图所示：QoS区分服务由图可见，在校园网的转发优先权业务规划中，考虑到全网语音、视频扩展的需要和覆盖面广、互通要求高的特点，因此建议全网各楼层的单位/部门局域网对不同业务采用统一的VLAN，例如VLAN20为实时业务，VLAN10为准实时业务，其他VLAN为非实时业务。在各单位/部门局域网的二层交换机或三层交换机的端口分配相应的VLAN后接入，映射802.1P或直接按照设定的优先级进行转发。汇聚层交换在

29、根据单位/部门重新映射VLAN ID后，同样根据报文的802.1P字段或直接按照设定的优先级进行转发。核心交换机同样根据报文的802.1P字段或直接按照设定的优先级进行转发。BRAS实现VLAN的终结，并将根据接收报文的802.1P字段或TOS/DSCP字段中的QoS标记来做区分服务的转发，并可根据策略为报文的后续三层转发提供QOS标记。3.9 IPV6预置根据IPV6发展前途和必然性的考虑，校园网完全应该对即将来临的IPV6业务做好准备，预置IPV6应该遵循以下原则：现有的IPv4网络是一个巨大的网络，只有是保护已有投资基础上的IPv6布署才是一个好的布署案。网络中的不同路由器分别在不同的层

30、次上。在布署IPv6时，要避免对已有的设备浪费，避免影响已有的用户和网络，保护用户的投资。IPv6的业务是影响IPv6应用的一个重要因素。在布署IPv6设备时，要保证已有的IP业务，使得其平滑的过渡到IPv6的网络中。IPv6和IPv4间良好的过渡机制也会便IPv6的布署。在进行网络建设时，应该提供完善的过渡机制，尽可能的便IPv4和IPv6之间的访问。根据上述因素，结合职教校园网的现有状况，首先应该要求在核心层的BRAS设备和核心交换机上具备IPV6功能，以满足未来接入基于IPV6的专用骨干网和Internet。3.10 网络ARP攻击防3.10.1 什么是ARP?ARP（Address R

31、esolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。3.10.2 什么是ARP欺骗?从影响网络连接通畅的式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对网PC的网关欺骗。第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路

32、由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。3.10.3 如防ARP欺骗？对于ARP欺骗的防可以通过以下的手段：1、在用户端计算机上绑定交换机网关的IP和MAC地址。将网关IP和MAC地址绑定成静态不可修改,这样就不会出现ARP欺骗了。防假网关。2、在接入交换机上配置ACL对端口作ARP报文监测，只允网关设备才能够发送网关的ARP报文。防假网关，防ARP表的欺骗。3、动态ARP检查是根据用户配置的ARP访问控制列表(ACLs)来进行ARP包的合法性验证。通过把交换机的连接用户的端口设为untrust端口，并设置ARP ACLs，来阻止所有宣告自己为网关地址的MAC的ARP请求和应答，从而保护了正确的网关IP-MAC地址配对。对于交换机上联与交换机之间的端口需要设为trust端口允真正的网关进行ARP请求和