Juniper MX960 BRAS 校园网技术方案
第四军医大学
校园网网络系统升级
技术方案
北京市海淀区北四环中路211号
目录
第一章综述 (6)
1.1. 项目概述 (6)
1.2. 现状描述 (6)
1.3. 问题分析 (9)
1.4. 优化目标 (11)
1.4.1. 合理的网络结构 (14)
1.4.2. 先进性和实用性 (14)
1.4.3. 网络的可扩展性 (15)
1.4.4. 网络的可靠性 (15)
1.4.5. 网络的标准化 (15)
1.4.6. 网络的可管理性 (15)
第二章网络方案建议及设计 (17)
2.1. 设计思路 (17)
2.2. 组网原则 (20)
2.3. 拓扑设计 (23)
2.3.1. 校园网逻辑架构设计 (23)
2.3.2. 扁平化两层架构和传统三层架构的比较 (25)
2.3.3. 总体架构规划 (28)
2.4. 网络部署和业务控制方案 (31)
2.4.1. 用户的隔离、终结 (31)
2.4.2. 用户的互访控制 (33)
2.4.3. 有线无线一体化的实现 (34)
2.4.4. IPv4/IPv6双栈的实现 (35)
2.4.5. IPv6组播业务的部署 (37)
2.4.6. 用户的精细化管理和认证计费的实现 (37)
2.4.7. 出口防火墙的部署 (43)
2.4.8. SSL VPN的部署 (43)
2.5. QoS服务质量保证设计 (47)
2.5.1. QoS概述 (47)
2.5.2. 实现QoS的方法 (52)
2.5.3. Juniper路由器的QoS实现 (54)
2.5.4. QoS的实施建议 (58)
2.6. IPv6 (58)
2.6.1. IPv6概述 (58)
2.6.2. IPv6对原有IPv4网络的影响 (59)
2.6.3. 第四军医大学校园网IPv6的部署 (64)
2.7. 校园网N平面解决方案 (65)
第三章网络安全方案 (67)
3.1. 网络设备安全 (67)
3.2. 网络管理系统的安全 (68)
3.3. 网络业务的安全 (69)
3.4. 数据传输的安全 (70)
3.5. 用户网络的安全 (71)
3.6. 安全实施建议 (72)
第四章网络的可靠性 (75)
4.1. 设备的可靠性保证 (75)
4.2. 网络结构的可靠性 (76)
4.3. 链路的冗余保护 (77)
第五章网络的自愈与恢复 (78)
5.1. 概述 (78)
5.2. Graceful Restart (平滑重启) (79)
5.3. OSPF快速收敛 (81)
5.4. BGP和转发层面的快速收敛分析 (82)
第六章MX认证功能详解和应用分析 (83)
6.1. 无需认证用户 (83)
6.2. PPPoE认证 (85)
6.3. WEB Portal认证 (89)
第七章方案特点 (96)
7.1. 高可用性 (96)
7.2. 高性能 (96)
7.3. 高安全性 (96)
7.4. 高度的开放性与标准化 (97)
7.5. 易维护 (97)
7.6. 业界最完整的MPLS VPN支持 (97)
7.7. 业界最完整的组播支持 (98)
7.8. 支持丰富的增值业务 (98)
7.9. 业界最为全面的IPv6功能 (98)
第八章J UNIPER售后服务和技术支持 (100)
8.1. Juniper全球售后服务支持中心 (100)
8.2. Juniper在中国售后服务支持网点 (100)
8.3. Juniper在中国的备品备件库 (101)
8.4. Juniper提供的全面技术支持具体内容 (102)
8.4.1. 支持服务 (102)
8.4.2. Juniper售后CASE支持 (104)
8.5. 用户故障处理流程 (107)
第一章综述
1.1.项目概述
全球信息化,这是一个不可阻挡的历史进程。这场信息化浪潮,不仅推动着世界经济的高速发展,也在引起人们生活习惯、工作方式、价值观念以及思维方式等诸多方面的深刻变革,从而进一步促进人类社会的巨大进步。
作为科教兴国的核心——教育,其信息化的建设更是显得尤为重要。从1993年,国家就开始着手建立中国教育科研网(CERNET)骨干网络,到后来的各省的教育信息化网络的建设,中国的教育信息化在经历着一个快速发展的时期。
第四军医大学校园网络是以计算机网络技术为基础的区域教育信息化集成应用系统。它是以计算机网络技术为基础、以网络教育资源与网络教育软件为核心、以构建现代教育和管理模式为目的、以提高教学与管理效益为根本、为第四军医大学教育信息化提供全方位服务的教育网络。
1.2.现状描述
随着教育信息化进一步深化,第四军医大学校园网络规模很大;同时互联网的发展又极为迅速,各种网络应用曾出不穷,这对校园网建设提出了更高的要求。
一方面,校园网的大部分用户是面向学校各级系统的,而目前校园网中大部分流量都是用户和应用系统使用造成的,尤其是大量使用多媒体文件共享及其它带宽密集型应用,从而消耗大量校园网带宽和教育科研网骨干网带宽。第四军医大学校园网也面临同样的问题,在网络应用不断扩展、网络用户不断增加、接入
系统不断扩充的情况下,网络拥塞存在现象。因此此次网络改造很重要的一个方面就是构建万兆带宽的校园骨干网络。
其次,网络流量中主要流量为各个应用系统和网络用户产生的流量,对于校园网的流量进行控制已经成为当务之急,现有的网络设备不具有如此精细颗粒度的流量控制能力。
另外,随着网络应用如远程教育、数字图书馆等新型业务的启动,网络需要能够承载视频、语音等综合业务,需要核心网络设备具备线速的组播和多业务承载能力,现有的网络设备也无法满足新型业务的需求。
同时,高校校园网作为一张运营级网络,IPv6、MPLS VPN的应用是将来的必然趋势,必须在第四军医大学校园网上提供良好的承载。
综上所述,正是在这样的背景下,建设高性能、高水平的第四军医大学信息化基础设施平台成为必然要求。
目前的网络拓扑情况如下图所示:
图:第四军医大学校园网拓扑现状
第四军医大学校园网目前主要采用了Cisco和锐捷的网络设备构建,Cisco 设备构成核心网,锐捷设备构成接入层。网络出口采用了自主开发的认证服务器系统、Allot流控设备和Juniper SRX3600防火墙。整体的网络拓扑比较清晰,从逻辑上分为了出口区域、核心交换层、汇聚层和接入层几个部分。
出口区域目前主要依赖Juniper SRX防火墙进行NAT和提供基本防护,Allot 流控设备可以对BT、eMule等P2P协议进行适当的阻拦。在出口区域的认证服务器主要通过自主开发的软件对内网用户的互联网访问进行认证。
核心交换层主要由Cisco 12000和两台Cisco C6509构成。对外,提供了互联网出口的设备联系;对内则对汇聚层的锐捷交换机形成了双星型连接,提供了高可靠的网络连接。
汇聚层,由两台锐捷S9606分别提供家属区和学生区的接入设备汇聚,一台Cisco 6509提供办公区的接入设备汇聚,一台锐捷5750提供IPv6网络的汇聚。在学生区,主要使用了802.1x认证方式,在家属区则采用IP和MAC绑定的方式实现接入控制。办公区通过代理服务器的方式进行认证。
接入层,主要由锐捷交换机构成。目前共有大约1万终端接入,其中本科学员主要访问Cernet资源,研究生大约2000人,可以进行Internet访问。此外,还有进修生、家属区、医院等大约4~5千用户访问。
1.3.问题分析
目前网络的拓扑比较清晰,但是存在的问题也是比较突出的,主要体现在以下几方面:
网络认证体系存在潜在问题
目前在家属区和学生区使用了不同的认证体系,在家属区采用的是比较简单的IP+MAC绑定的方案,而在学生区是比较复杂的802.1x方案。两者的客户体验区别很大,并且各自有其相应的问题。
IP+MAC绑定的方式在原理上比较简单,但是需要手工操作,在管理维护上比较复杂,客户需要变更上网计算机MAC地址时,必须进行申请。同时,对于
智能手机、PAD等移动终端接入时,必须通过路由器接入,无法对上网帐号的行为进行监管。
802.1x方案在高校中使用比较普遍,目前高校中的802.1x协议通常都是需要安装客户端的方式,通过客户端实现对802.1x协议的扩展。802.1x协议需要接入交换机对802.1x协议有比较完善的支持,对设备的档次要求较高。此外,由于客户端的存在,要求交换机可以和客户端及后台计费认证系统可以联动。从而,客户端、交换机和计费认证系统需要兼容。由于各厂家的协议并不开放,接入交换机无法互通,造成了交换机的选型锁定。另一方面,高校内计费认证的802.1x协议通过在计算机上安装客户端,实现了防止账号共享、多网卡等功能,但是,由于客户端的存在,使得拨号路由器无法使用,也就在学生宿舍无法实现智能终端的WLAN使用,对于新技术的应用和设备使用构成了非常大的障碍。第三问题是此前802.1x的客户端目前也被越来越多地破解,通过mentohust、OpenWRT等破解方案,原有的客户端控制能力已经失效,已经无法通过802.1x 来限制用户滥用网络。
网络可靠性存在潜在风险
在网络出口区,使用了服务器作为认证网关,并且串接在网络中。由于服务器属于较低可靠性的设备,可靠性无法达到电信级,并且在实际部署中并没有采用双机热备的方式,对网络的可靠性构成了较大的威胁。此外,服务器运行通用操作系统,也容易受到操作系统漏洞和蠕虫病毒等的影响。
在纯IPv6区域没有采用高可靠设备作为核心交换机,而是采用了盒式交换机作为核心交换设备。
网络结构存在潜在问题
在目前的组网情况下,逻辑层次比较清晰,但是仍然存在进一步优化的空间。
目前的两台C6509作为校园网的核心交换平台,但是其负载较小,仅负责了路由表的维护和简单快速转发,除了提供了较高的可靠性外,并没有起到核心交换平台的作用。
网络出口的带宽管理具有优化潜力
网络出口的带宽目前主要由Allot的流控设备对带宽进行管理,在一定程度上可以控制P2P流量对于出口带宽的侵占。但是由于国内广泛使用的迅雷7已经开始加密,传统的P2P控制手段已经无法对其进行限制。因此,需要考虑新的方案对于网络出口带宽进行优化。
此外,由于学校和医院网站对公众服务日益增多,需要考虑在互联网出口拥塞的条件下保障网站对外服务的带宽保障。
网络对WLAN部署的支持
目前由于网络终端接入认证采用了802.1x的方式,对使用智能终端的方式接入存在很大的阻碍,因此网络改造后,需要提供用户友好型的WiFi认证方式。
1.4.优化目标
根据对第四军医大学校园网络的现状和潜在问题的分析,可以对网络的建设目标有更清晰的认识。第四军医大学校园网建设应该向着高性能、精细化和易管理的方向发展。
针对第四军医大学校园网环境的应用需求,结合在全球教育领域的先进经验,建议在网络优化时,重点考虑以下的几个方面,建设一张定位先进、适合四医大自身特色的校园网。
首先,是要建立一张满足校园网的性能要求,并具有良好的应用支撑能力的网络,包括以下几点:
1、采用高性能的设备构架校园网络,作为校园的信息支撑平台;
2、能够提供优异的校园应用支撑能力,同时保证网络性能的不下降。这一
点尤为重要,特别是在校园网络承载大量的教科研应用系统的情况下,
必须保证对应用系统具有良好的承载;
3、通过高可靠的设备,构架稳定可靠的校园网络;
4、设备具有较高的性价比,并提供可持续扩展的能力;
下一代校园网
高性能易管理
?快速定位故障和排错
?新应用的部署
?利于网络未来的扩展?对用户的深入控制
?基于用户身份的控制
第二,是要实现整个校园网真正的精细化管理,包括以下几个方面:
1、针对校园网络,包括在校园网内部和到外部网络访问中有效的监视、记录和审计,实现对使用者身份(可与一卡通系统实现整合)、网络IP 地址及其访问行为的识别和记录,做到可跟踪和可追查;
2、能够对网络中的使用者,实现基于用户身份的行为控制,诸如可访问的资源权限、对网络带宽的占用等方面的控制,做到可控制、可管理;
3、网络应用的精细化管理,实现完善的流量识别和控制能力,保障重要应用系统的网络承载,包括安全性、带宽保障、可靠性等方面,做到可识别、可保障;
4、针对校园网络本身的管理,通过网络的层次化划分,简化网络逻辑架构,便于针对性的管理,同时也提高网络的可靠性和可扩展性。
第三,校园网也需要考虑到以下几个方面:
●针对IPv6应用的逐步推广,需要针对IPv4/IPv6双栈环境提供相应的支
撑;
●同时,结合此次校园网改造,需要实现完善的用户接入认证,可考虑结
合一卡通系统,提供统一的身份认证系统和网络行为审计系统,配合新
校区网络设备,实现完整的用户上网实名制和网络行为审计功能。
●对于在校园网络中无线的覆盖,我们建议采用有线无线一体化的建设思
想,实现统一的接入控制和认证方案,便于用户在不同环境中的应用,
也便于全校实现统一的控制和业务策略。
●校园网分别与电信运营商、教育科研网等实现了互联,相对于校园网内
部带宽,校园出口带宽较小,大量内部流量汇集到出口,形成了瓶颈,
存在网络拥塞等情况,建议调整出口防火墙的策略,保障网站的带宽。
1.4.1.合理的网络结构
通过校园网的整合改造,形成合理的校园网络架构,提供稳定、可靠、高效和灵活的业务承载平台,满足高等教育丰富应用的需求。
1.4.
2.先进性和实用性
网络设计应本着实用与先进的原则。一方面能满足校园网应用系统的数据传输要求,为各信息点提供网络传输服务。另一方面,又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术结合起来,充分考虑到校园网络应用的现状和未来发展趋势。
1.4.3.网络的可扩展性
业务的发展对网络的需求是不断变化的,网络应用系统为了满足这些需求也会随之变化。面对不断变化的情况和需求,网络应当能够作出快速和有效的反应。因此,网络必须具备良好的可扩展性,应支持核心业务系统的不断扩展,适应未来业务的发展和变化。同时,网络结构应当能够变化,具有灵活的伸缩能力,网络设备可以扩充和升级。
网络的可扩展性也体现在网络设备的可扩展性和良好的性价比和投资保护。
1.4.4.网络的可靠性
网络系统的稳定可靠是校园网络各个应用系统正常运行的保证,应采用高可靠性的网络产品和完备的网络备份策略,对于不同层次的设备和线路进行不同级别的可靠性设计,使网络具有故障自愈的能力。
1.4.5.网络的标准化
网络设计中所用的各种管理信令、接口规程、协议须符合国际标准。网络技术的选择上采用开放的标准技术,且适度前瞻。技术具备开放性和通用性,保证能在多厂家、多品牌设备的良好的互连互通。
1.4.6.网络的可管理性
随着网络规模的不断扩大和网络的不断复杂,网络的维护量随之增加。整个网络的可管理性变得尤为重要。因此,数据中心网络系统应当具有统一的可管理
性,建立统一的网络管理平台。不仅实现对网络设备的管理,同时实现对网络策略的管理和不同协议的多级维护。
第二章网络方案建议及设计
2.1.设计思路
当今网络的建设存在两种建设思路:路由式网络和交换式网络。路由式网络,一般其核心是由高、中端路由器构成的;而交换式网络,主要是通过三层交换机来构建。在讨论两种模式之前,让我们先来分析一下路由器和三层交换机的区别。
首先,让我们看看三层交换机的起源。早期的交换机为两层交换机,其没有VLAN的概念,所有的端口都处于一个广播域内,存在着广播风暴问题,尤其是对于大型的局域网,广播风暴经常造成网络拥塞,甚至网络变为不可用。为了减少广播风暴的危害,出现了VLAN的概念,必须把大型局域网按功能或地域等因素划他成一个一个的小局域网,尽量将广播控制在较小的范围内,隔离广播对其它VLAN的影响。但是,由于不同VLAN的隔离作用,当存在需要跨越VLAN 的流量时,就需要具有路由功能的路由器,为了便于管理和降低成本,出现了带有简单路由功能的交换机,也就是三层交换机。三层交换机的路由功能通常比较简单,路由计算远没有路由器那么复杂。它用在局域网中的主要用途还是提供快速数据交换功能,满足局域网数据交换频繁的应用特点。
第三层交换具有以下特点:
●主要用于大型局域网和小规模的城域网。
●大型三层交换机采用ASIC技术,数据包的交换能力较强,交换能力往
往达到数十G,甚至上百G;
●为了应付大型局域网的需要,具有一定的路由功能和控制能力;
●较低的设计和生产成本,较少的考虑电信级的高可靠性设计;
●除了必要的路由决定过程外,大部分数据转发过程由第二层交换处理,
三层交换往往采用集中转发;
●路由软件设计简单,较少的运营商业务提供能力,较慢的路由收敛速度;
●二层网络协议采用生成树协议(STP),基于二层之上的三层路由协议
IGP采用OSPF、IS-IS和RIP,BGP采用BGP4。
●部分高档三层交换机集成了防火墙、IDS、4-7层交换等功能,简化了网
络设计,降低了管理压力;
●端口相对较单一,主要是10M/100M/1000M/10G等不同类型的局域网端
口,端口密度较高,部分高档交换机为了满足广域网连接的需要,增加
了部分广域网端口;
从三层交换机出现的背景和特点来看,它主要为了解决VLAN之间的互访问题,但是,由于局域网的特点,并没有太强的流量控制功能,对QoS、MPLS、流量采集、Internet路由和流量的特点考虑较少、接口类型单一,这些特点也是由它的应用环境决定的。
而路由器则不同,它的设计初衷就是为了满足不同类型的网络连接,虽然也适用于局域网之间的连接,但它的路由功能更多的体现在不同类型网络之间的互联上,如局域网与广域网之间的连接、不同协议的网络之间的连接等。它最主要的功能就是路由转发,解决好各种复杂路由环境下的路径计算和选择,所以路由
器的路由功能通常非常强大,不仅适用于同种协议的局域网间,更适用于不同协议的局域网与广域网间。它的优势在于选择最佳路由、负荷分担、链路备份以及和其他网络进行路由信息交换等功能。为了与各种类型的网络连接,路由器的接口类型非常丰富,而三层交换机则一般仅同类型的局域网接口,非常简单。
路由器的特点:
●丰富的路由和控制功能,适用于复杂多变的大型网络环境
●针对于Internet的流量特点设计,较强的流量控制功能
●随基于MPLS、IPv6等技术的业务的强大支持能力
●强大的QoS功能,能提供差异化业务的基础极强的高可用性设计,满足
电信级的要求
●采用最新的路由器设计模型和理念,路由控制功能和数据转发功能严格
分离,保证了路由器的可靠运行,全分布式的包转发设计保证了整个设
备的性能。
●新一代的大型路由器采用ASIC、分布式处理的实际思想,路由能力通
常达到几百G,甚至几个T。
我们从三层交换机和路由器的起源上进行了一个简要的分析,从上面的分析来看,三层交换机是带有简单路由功能的交换机。
从提供服务的角度来考虑,第四军医大学校园网的建设目标是建设一个覆盖整个校园、具有远程教育功能的宽带网络和教育信息化网络平台,并实现宽带接
入Internet服务提供商、中国教育和科研计算机网CERNET,这张网络上承载了大量的业务、应用和终端用户,应用复杂、用户众多。从这个意义上来讲,第四军医大学校园网就相当于一张运营商的城域网络,而且规模较大。
在这张网上不是仅仅只需要进行以太接入,而是需要提供有差别的服务。对于这种不同类别的服务,需要硬件QoS的保证、需要有完备的MPLS VPN的功能、需要能够全面硬件化的支持IPv6、需要提供稳定而可控的Multicast的支持。并且这些服务的提供,应该是以不下降网络性能为前提条件。所有这些,只有在路由器上才能得到完备的支持。这一点,在运营商多年的运营经验上得到了证实。
从业务功能支持的角度考虑,现有的交换机设备在端口数和带宽上能够满足现有应用的要求,但当网络承载的业务增多,需要对不同业务进行控制和QoS 优化时,交换机的架构决定了开启这些高级功能之后设备性能会急剧下降,从而影响整个网络的使用。而路由器由于本身均采用了硬件支持QoS、IPv6、组播等功能,能够平滑的支持新的功能。
综上所述,无论从理论上还是实践上来讲,考虑网络未来几年的发展和多业务承载能力,建议第四军医大学校园网采用路由器来构建校园网核心节点。
2.2.组网原则
以以下几个方面的技术要求为基础:
先进性:网络应采用业界先进的高端路由器,充分满足现在及将来网络、业务发展的需求,在未来几年内都不会过时。并采用先进成熟的通信和
计算机技术进行组网。