高校校园网(PPPOE)解决方案.pdf
《高校校园网(PPPOE)解决方案.pdf》由会员分享,可在线阅读,更多相关《高校校园网(PPPOE)解决方案.pdf(17页珍藏版)》请在三一文库上搜索。
1、职教校园网技术方案 目录 1 概述 . 3 2 设计目标 . 3 2.1 需求分析 . 3 2.2 设计目标 . 4 3 技术方案 . 4 3.1 组网方案 . 4 3.1.1 网络模型 . 4 3.1.2 核心层 . 5 3.1.3 汇聚层 . 5 3.1.4 接入层 . 5 3.2 用户接入方式规划. 6 3.2.1 内网访问 . 6 3.2.2 外网访问 . 6 3.3 PPPoE认证 . 7 3.4 AAA技术 . 8 3.4.1 背景 . 8 3.4.2 概念介绍 . 8 3.4.3 AAA实现技术. 9 3.5 VLAN规划 9 3.6 IP 地址规划. 10 3.7 可靠性设计
2、. . 11 3.8 QOS 业务控制 12 3.8.1 QOS 实施策略 12 3.8.2 职教校园网QOS解决方案 . . 13 3.9 IPV6 预置 . 14 3.10 网络 ARP攻击防范 . . 15 3.10.1 什么是 ARP? . 15 3.10.2 什么是 ARP欺骗 ? . 15 3.10.3 如何防范 ARP欺骗? . . 15 3.10.4 如何防范大量ARP报文导致的DOS 攻击? 16 3.11 网络管理 . . 16 3.11.1 网管的必要性 . . 16 1概述 职业教育学院是经教育部批准, 由国家一流科研单位设立的高等院校。学院已 有近三十年的办学历史,为
3、国家培养了大批优秀科研人员和生产骨干。学院师资雄厚, 专职教师中有教授8 名、副教授44 名、博士6 名、硕士23 名,并长期聘有多位两院 院士和专家学者担任客座教授。 学院现有两个校区,教学生活设施齐全。建有教学大楼、实验大楼、科技开发楼、 图书馆、学术报告厅、培训楼和设备先进的数控加工培训中心、CAD/CAM 实验室、反求 工程实验室、传统机械加工培训中心、电机拖动实验室、自动控制实验室、计算机网 络实验室等大型实验室和实训基地。拥有高精度的数控机床、三座标测量仪、数字金 相显微镜、计算机站等一流仪器设备,配有UG 、IDEAS等大型设计、计算软件。 为了全面提升学院的信息化水平和满足教学
4、科研对信息化基础设施的需求,学院 拟部署新校园网络,实现各单位之间的信息互连,并实施统一的网络管理和安全策略, 实现信息化效率和安全的统一发展,为全院师生的学习、教学、科研、生活提供全方 位的信息服务。 2设计目标 2.1需求分析 根据对职教校园网的技术需求分析和现代校园网技术发展方向的研究,总结出以 下基本技术要点: 实现校园内部所有信息点的接入和汇聚; 校园通过统一的出口实现到Internet的连接; 可管理、可运营校园网发展趋势要求实现内网资源访问免费、外网资源访问计费 的认证计费管理模式; 考虑到校园规模和教学科研业务的未来扩展,采用核心、汇聚、接入三层的星型 拓扑来构建校园网; 根据
5、未来各单位和业务流量规模的发展需求,核心到汇聚层要具备万兆链路扩展 能力; 考虑到校园网和CERNET 新老骨干网的对接,要求网络核心层面具备IPV6 能力。 采用百兆到桌面的接入部署; 实施全面的QoS策略,确保对不同业务流量的服务质量; 网络要充分体现安全性,可靠性,先进性,开放性,可扩充性及优良的性价比。 2.2设计目标 基于以上对职教校园网基本需求的分析,本方案的设计目标是采用业界领先的网 络设备,在充分满足基本需求的同时,使整个网络具备易管理、可运营、高扩展性、 高可靠性、能进行高质量的多业务承载的特征,真正构建出一个高品质的新型校园网。 3技术方案 3.1组网方案 根据职教校园网的
6、当前状况和未来发展趋势,我们提供了全面的整体解决方案, 整个网络方案突出层次化、模型化、高可靠性的原则,确保网络在具有高性能的同时 具有良好的前瞻性和持续发展性。 3.1.1网络模型 职教校园网包括的信息点数量较多,采用核心、汇聚、接入三层的网络层次,基 本架构模型如图。 3.1.2核心层 在典型的层次化模式中,组件间通过核心层互联,核心用作网络骨干。鉴于各组 件都依赖核心进行连接,因此,核心必须速度很快且可靠性极高。现在的硬件加速系 统具备以线速提供复杂业务的潜能。建议在网络核心采用“越简单越好”的方法。最 低的核心配置可降低配置复杂性,从而减少出现运行错误的几率。 核心层用于承担校园网各分
7、布区域的子网互连。核心层是整个网络可用性和可靠 性的关键,需要进行各关键设备和关键器件的冗余,由于核心层主要承担校园网内各 子网的互连和数据流量的融合和贯通,同时承担各单位到Internet的接入,故必须能 满足大业务横向流量的性能要求,也要满足出纵向业务流量的性能和功能要求。 基于以上的基本数据流量模型分析,采用1 台 BRAS设备和 2 台核心交换机组成的 纵向横向设备分离的模型作为核心层的网络架构。 其中,核心交换机通过和汇聚层设备组双星型网的方式构建校园网内各子网间的 横向互连,由于校园网内横向流量较大,且随着校园规模的扩展和业务的发展而快速 增加,因此采用千兆链路来互连,并具备10G
8、E链路平滑扩展的能力。此外,双核心交 换机之间通过两条10GE或者 nGE链路捆绑方式进行互联以实现VRRP心跳报文互通 和业务数据流量的互通。 为了实现各单位/ 部门到 Internet和 CERNET 的接入,核心交换机通过GE链路直 接和 BRAS设备进行纵向连接,转发所有出校园网的数据流量。BRAS设备通过千兆链路 和 UTM 或者流控等出口设备相连,最后通过多ISP 接入 Internet或者教育骨干网,保 证校园网到广域网流量的可靠转发。 3.1.3汇聚层 汇聚层主要承担校园网内部各单位/ 部门的数据互通并汇聚流往核心层的数据。基 于汇聚层冗余路由快速切换的考虑,各汇聚层交换机通过
9、双归属链路和两台核心交换 机进行连接,实现主备或者负荷分担的可靠链路。 由于各单位 / 部门内部的局域网的业务流量很大,汇聚层需要有足够的带宽容量来 支撑突发的海量数据并提供良好的QoS 保障,因此采用千兆链路来构建汇聚层,并具 备万兆链路的扩展能力。 由于采用了到两台核心交换机的双归属链路,可以在两台核心交换机启用VRRP 协 议来实现缺省网关的保护(实现内网资源访问),这样两条到核心层内网资源缺省网 关的链路处于主备工作状态。 3.1.4接入层 接入层主要承担各信息点的接入。接入层要求为各信息点提供百兆带宽的接入, 实现无阻塞快速的数据接入。接入层交换机通过千兆链路上连到所属子网的汇聚交换
10、 机上。为了在接入层就启用较好的防ARP攻击等策略,同时考虑到校园网的技术前瞻 性,接入层交换机采用具备ACL 功能的智能二层交换机,并且通过千兆链路和汇聚层 交换机互通。 3.2用户接入方式规划 3.2.1内网访问 校园网的主要用途之一是承载师生和教职工家属等对内网各类应用服务的访问, 比如 FTP服务、 VOD点播、课件下载/上传、校园网站浏览/BBS等,因此校园网首先要 保证所有信息点对内部服务器区域的无阻塞访问。内网访问流量模型如下: 如图,用户依次经过接入、汇聚、核心交换机,并通过内网防火墙的过滤后实现 对内网服务器的访问,整个路径可以采用二层网络方式,主要通过二层VPN技术进行 业
11、务 / 单位 / 功能子网的隔离,并对不同VPN实施 Qos 来实现内网访问流量的多业务承 载,具体实施方式参见下文VLAN规划和 Qos规划。 3.2.2外网访问 校园网的另一主要用途是实现学生、教职工、家属对外网的访问,包括Internet 和 Cernet 的访问。由于Internet接入是付费的,因此用户对外网特别是Internet的 访问需要进行严格的管理,实施针对用户的认证、授权、计费(AAA )管理,不仅能提 升校园网使用的安全性,还能打造出可运营的新一代校园网,实现信息基础设施的良 好投资回报率。外网访问流量模型如下: 如图可见,用户对外网的访问三种基本数据流量:用户终端到BR
12、AS的 PPPoE报文 流量, BRAS到 AAA服务器之间的认证计费数据流量,认证通过后用户到外网的业务应 用流量。具体流程参见下文的PPPoE认证和 AAA技术。 3.3PPPoE认证 通过 PPPoE (Point-to-Point Protocol over Ethernet)协议,服务提供商可以 在以太网上实现PPP协议的主要功能,包括采用各种灵活的方式管理用户。 PPPoE (Point-to-Point Protocol over Ethernet)协议允许通过一个连接客户 的简单以太网桥启动一个PPP对话。 PPPoE的建立需要两个阶段,分别是搜寻阶段(Discovery st
13、age)和点对点对话 阶段( PPP Session stage)。当一台主机希望启动一个PPPoE对话,它首先必须完成 搜寻阶段以确定对端的以太网MAC 地址,并建立一个PPPoE的对话号( SESSION_ID )。 在 PPP协议定义了一个端对端的关系时,搜寻阶段是一个客户- 服务器的关系。在 搜寻阶段的进程中,主机(客户端)搜寻并发现一个网络设备(服务器端)。在网络 拓扑中,主机能与之通信的可能有不只一个网络设备。在搜寻阶段,主机可以发现所 有的网络设备但只能选择一个。当搜索阶段顺利完成,主机和网络设备将拥有能够建 立 PPPoE的所有信息。 搜索阶段将在点对点对话建立之前一直存在。一
14、旦点对点对话建立,主机和网络 设备都必须为点对点对话阶段虚拟接口提供资源。 优点: 和原有窄带网络用户接入认证体系一致,计费精确,符合用户习惯,用户容易接 受。 PPP连接是点对点连接,克服了局域网共享连接病毒猖獗的 有助于用户管理控制,可为不同用户定制服务,分配各自的独享带宽,提供差异 化运营服务。 有助于提供平滑的QoS ,可区分不同业务,有效管理出口流量,抑制P2P流量和病 毒引起的突发流量。 专用客户端支持防代理功能,可防止资费流失。 运营商普遍采用PPPoE认证技术,因此,可以跟随运营商,享受后续的技术更新。 在运营商普遍采用PPPoE实现家庭用户接入的情况下,校园网用户更容易适应这
15、种方 式。 3.4AAA技术 3.4.1背景 随着 Internet的发展,越来越多的应用通过网络得以实现,拨号用户、专线用户 以及各种商用业务的发展使Internet面临许多挑战。如何安全、有效、可靠的保证计 算机网络信息资源存取及用户如何以合法身份登陆、怎样授予相应的权限,又怎样记 录用户做过什么的过程成为任何网络服务提供者需要考虑和解决的问题。正是基于此 需求, AAA协议逐渐发展完善起来,成为很多网络设备解决该类问题的标准。 3.4.2概念介绍 AAA指的是 Authentication(认证)、 Authorization(授权)、 Accounting (计 费)。自网络诞生以来,
16、认证、授权以及计费体制(AAA )就成为其运营的基础。网络 中各类资源的使用,需要由认证、授权和计费进行管理。 认证( Authentication):用户在使用网络系统中的资源时对用户身份的确认。 这一过程通过与用户的交互获得身份信息(诸如:用户名 -口令组合、 生物特征获得等) , 然后提交给认证服务器;后者对身份信息与存储在数据库里的用户信息进行核对处理, 然后根据处理结果确认用户身份是否正确。例如:网络接入服务器(NAS )能够识别接 入的宽带用户。 授权( Authorization):网络系统授权用户以特定的方式使用其资源。这一过程 指定了被认证的用户在接入网络后能够使用的业务和拥
17、有的权限,如授予的IP 地址等。 计费( Accounting ):网络系统收集、记录用户对网络资源的使用,以便向用户 收取资源使用费用,或者用于审计等目的。以互联网接入业务供应商ISP 为例,用户 的网络接入使用情况可以按流量或者时间被准确记录下来。 认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记 录。这样既在一定程度上有效地保障了合法用户的权益,又能有效地保障网络系统安 全可靠地运行。 3.4.3AAA实现技术 目前有多种AAA 实现技术,每种技术都有其优缺点和不同的使用场景。比较流行 的 AAA技术有 Kerberos 、TACACS+ 、Radius 、Diam
18、eter 。当前最应用最多的AAA技术协 议是 Radius 协议。 Radius 是 IETF 制定的标准,是一种完全开放的协议,分布源码格式,这样任何安 全系统和厂商都可以用。是目前最常用的认证计费协议之一,它简单安全,易于管理, 扩展性好,所以得到广泛应用。 3.5VLAN规划 采用虚拟局域网VLAN主要出于三个目的:用户隔离、提高网络效率;提供灵活的 管理;提高系统安全性。因此,规划VLAN时也应该综合考虑这三方面的因素。 接入层交换机可通过VLAN的启用来对单位/ 部门内部的各信息点进行进一步归类, 不仅可以实现部门的细分和隔离,还能有效的防止单位/ 部门内部的广播风暴。同时, 接入
19、层交换机还可以通过ACL的启用来更加有效的对单位/ 部门内部的信息点的互访及 信息点对外网的访问进行控制,是数据流量在接入层就能够开始得到合理有效的控制。 校园网内不仅有科研单位/ 区域,老师办公区,电化教室,还包括学生宿舍、教工 宿舍等,不通的区域有不同的数据流量模式,需要进行合理的隔离和子网划分。建议 对不同区域的信息点和业务进行统一划分,分配不同的VLAN ,以实现二层数据隔离, 保障各区域的子网安全并限制各区域数据流量的互相影响。 由于汇聚层设备需要对下属接入交换机构成的各单位/ 部门进行区分,而对不同接 入交换机上行的流量应该按单位/ 部门进行汇聚,如果接入层上部署PUPV (每用户
20、每 VLAN ),那么可以采用基于策略的QinQ技术在汇聚层上将所有流量重新打上VLANID , 此 VLANID 是基于单位 / 部门功能子网划分的。比如在接入层的每个功能子网内部部署 VLAN100 n(n4096),而在汇聚层接入端口实施QinQ,根据功能子网将VLAN统一替 换为 VLAN1 9;这样能实现校园网内各单位/ 部门之间、单位/ 部门的各办公室之间以 及不同用户信息点之间的数据流量隔离和互通。 而核心交换机可以基于QinQ的外层 VLAN进行数据交换,实现二层的VPN隔离。 考虑到校园网对不同特性数据流量的统一承载,比如语音、数据、视频等,为了 实现良好的业务隔离,保证不同
21、业务的安全性和性能,可以将各特殊业务的VLAN进行 统一规划,比如视频会议用VLAN10 ,IP 电话用 VLAN20 ,等等。 所有的 VLAN都在 BRAS 上进行终结,转入三层转发模式。 VLAN规划如图: 3.6IP 地址规划 (1)概述 网络地址、域名统一规划:由于IP 地址及域名尚未确定,本次方案中只简要提出 IP 分配及域名规划的原则。域名规划要注意层次性和一致性。内部域名、外部域名要 分别设置,能体现组织结构并易于管理。 (2)IP 地址分配的原则 地址分配要遵循以下原则: 简单性:地址的分配应该简单,避免在主干上采用复杂的掩码方式。 连续性:为同一个网络区域分配连续的网络地址
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 高校 校园网 PPPOE 解决方案
链接地址:https://www.31doc.com/p-5620130.html