河南大学扁平化校园网建设改造探讨
来源:河南大学 作者:郭栋 发表于:2016.09.30 1745浏览
从2013年6月开始,河南大学在进行了前期调研、方案论证、设备测试、设备选型等一系列工作后,对校园网进行了一系列升级改造。目前已完成全校有线网络的升级,部分区域无线网络的部署,校园网主干全部实现万兆互联,出口部署了高性能的安全出口网关等。经过改造升级,优化了网络结构,提高了网络的安全性与稳定性。
一、校园网升级改造前后对比
1、升级改造之前的校园网核心
图1 河南大学原校园网拓补图
问题及不足:网络架构不合理;用户体验差,不灵活;安全性能低;稳定性不够;网络设备陈旧;缺少无线部署,不能满足移动办公需求。
2、现网核心拓扑及优势
图2 河南大学现校园网拓扑图
(1)架构优势
新的校园网网络架构主要采用扁平化的大二层网络架构,从最底层的用户到核心BRAS采用二层架构,核心之间进行虚拟集群,不仅比传统三层架构网具有更高效的数据处理和转发能力,也使得网络扩展变得简洁明了。
(2)稳定优势
新的校园网架构中,链路上采用双链路或四链路链路聚合,设备上采用双设备进行冗余,技术上采用虚拟堆叠、热备、快速检测等技术,使得校园网更加稳定。
(3)性能优势
升级改造后校园网面貌焕然一新,从硬件到软件进行了大升级。运用性能强劲、技术先进的软硬件,极大的提高了数据处理和转发能力,使校园网的运行更加快捷、高效。
(4)安全优势
安全设备性能提高:升级之后,采用两台企业级安全网关作为出口,性能强悍。不断更新的数据库更能为内网提供更多的安全保护,让病毒威胁无机可趁。
用户端口隔离:现校园网采用QinQ技术使得每个用户一个VLAN,避免大量用户同处一个冲突域,让用户的管理、控制更加精确。
(5)管理优势
校园网升级改造后,增加了网络智能管理平台,使得校园网管理变得轻松、方便、快捷。通过管理平台,可以及时的发现、诊断和处理故障,使校园网更加健康稳定的运行。
图3 网络智能管理平台
图4 网管平台网络管理示例
二、大二层扁平化改造过程中的主要技术
1、扁平化大二层网络架构
传统意义上的网络采用三层架构,汇聚+核心采用三层链路,运行动态或静态路由协议,并采用生成树等协议进行冗余备份,这样不仅使得网络的利用率低下,也使得网络核心数据处理转发能力大大降低。
图5 扁平化大二层网络架构
扁平化大二层网络架构让网络建设变得简单,易操作。采用扁平化二层架构,用户管理及流量转发统一由核心BRAS处理,实现精细和集中化。交换核心采用虚拟技术和链路聚合,实现全网核心双活架构,高性能,高效能,高智能。针对特殊三层网络,在核心交换网络集群旁挂使用三层架构,达到网络资源的充分利用。
2、虚拟集群交换系统
集群交换系统CSS是将多台物理核心交换机聚合成单台逻辑核心交换机使用的一种技术方式,这使得双归(或多归)链路到多台设备时的多个独立的链路变成了到一个逻辑设备的一组聚合链路,因而无需部署MSTP来避免环路,同时又增加了带宽。
图6 虚拟集群交换系统
系统具有以下优势:(1)高可靠性,设备、链路冗余;(2)强大的网络扩展能力,扩展端口数、带宽和处理能力;(3)简化配置和管理。
3、VRRP双机热备
VRRP虚拟路由冗余协议,是一种冗余容错协议,通过一定的机制来保证当主机的下一跳设备出现故障时,可以及时将业务切换到其他设备,从而保持通讯的连续性和可靠性。
BFD是一套全网统一的检测机制,用于快速检测、监控网络中链路或者IP路由的转发连通状况。对相邻设备直接链路故障提供轻负荷、短持续时间的检测;用单一的机制对任何介质、任何协议层进行实时检测,并支持不同的检测时间与开销。
图7 VRRP双机热备
4、QinQ双层VLAN标签
QinQ技术是一项扩展VLAN空间的技术,通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的功能。由于报文有两层802.1Q Tag,即802.1Q-in-802.1Q,所以称之为QinQ协议。
具有以下优势:(1)扩展VLAN,对用户进行隔离和标识不再受到限制;(2)QinQ内外层标签可以代表不同的信息,更利于业务的部署。
图8 QinQ双层VLAN标签
三、用户的接入和认证
用户经二层接入校园网,BRAS在其接口终结用户信息,得到用户数据。在路由可达的情况下,用户到RADIUS服务器上进行身份认证。认证通过后,RADIUS服务器反馈用户信息给BRAS,BRAS检查之后回馈给用户,并为其下发业务属性,放开网络访问权限。
1、IPoE用户的接入及认证
IPoE接入指通过DHCP报文触发、ARP报文触发、IP报文触发等方式接入ME60的用户接入方式。这种接入方式下,用户PC无需安装客户端拨号软件、无需拨号、直接打开浏览器进行上网认证。IPoE接入用户使用Web+Portal认证方式进行认证。
IPoE+Portal认证流程为:用户通过DHCP方式从BRAS获取地址。BRAS收到用户上网访问请求后,把用户强制重定向到Portal认证服务器,用户通过输入用户名/密码进行RADIUS认证。认证通过后,BRAS对用户进行放行,用户可以进行正常的上网访问请求。
2、PPPoE用户的接入及认证
PPPoE接入是指用户通过PPP拨号器拨号接入ME60的链路接入技术,用户通过PPP协议与ME60进行信息交互。PPPoE用户通过PPPoE协议进行认证。
认证流程为:用户通过拨号客户端接入校园网,输入用户名/密码进行认证;BRAS把用户的认证信息反馈给RADIUS认证服务器进行认证。认证通过后,RADIUS服务器反馈认证成功信息给BRAS,BRAS给用户放行,用户可以进行正常上网。
3、哑终端用户的接入及认证
哑终端是指像打印机、服务器一类不能采用交互式认证进行认证上网的一类用户,其多使用固定地址,采用绑定认证方式进行认证上网。
认证流程为:用户使用BRAS为其指定的固定地址接入到校园网;BRAS收到用户的信息后,和本地的认证信息进行比较,如果是合法用户,则对其放行。
4、无感知用户的接入及认证
无感知认证主要针对无线接入用户,通过深澜认证计费系统实施的一种在用户端看来是透明的认证方式来对用户进行认证上网。
认证流程为:当用户首次接入无线网络并且通过认证后,认证计费服务器会采集用户的MAC信息,从而和用户的用户名/密码进行绑定,并存放于MAC认证表里;当用户再次接入无线网络时,认证计费服务器把用户的MAC等信息和MAC认证表里的数据进行对比认证,如果符合条件,则认为该用户为合法用户,直接使用户通过认证,不需要再进行输入用户名/密码来认证。
(本文据河南大学郭栋老师在“2016年河南省教育科研网第一期网络管理员培训会议”上的分享报告整理而成,已经本人审阅。)