本次安徽商贸校园网改造方案网络信息化建设中,用户都接入BRAS,采用扁平化的大二层网络,简化了网络结构,降低了网络的运维难度。同时采用堆叠、PPPoE、VLAN等技术,既增强了网络的可靠性,又成功消除了网络环路。
本次网络信息化建设中,使用千兆接入、万兆汇聚的方案,来支撑校园网流量的爆炸式增长,满足未来校园网虚拟化和云计算的带宽需求。无阻塞的网络架构保证校园网的业务质量。
本次网络信息化建设中使用先进的汇聚和核心层的架构,支持平滑升级,满足校园网未来5-10年持续发展需求;丰富的板卡覆盖多种场景,满足校园网未来业务扩展需求;同时通过多重冗余备份,保证校园网关键业务持续在线,提供网络可靠性。
无论是有线终端还是无线终端,本次解决方案提供了形式多样的接入认证技术。比如广泛适用于校园网的Portal认证,在学生宿舍区非常实用的PPPoE认证,适用于哑终端的MAC认证,以及802.1x认证。这些认证方案可适用于各种场景各种用户,为网络的智慧运营打下坚实基础。
使用BRAS设备接入用户,可实时探测用户状态,及时回收分配的IP地址资源,避免大量浪费IP地址。
本次网络信息化建设中使用BRAS实现强大灵活的认证计费功能,兼容现网的众多业务和流量模型的管理。满足网络PPPoE、Portal等多种接入认证的功能。认证通过后,满足对不同用户分配不同访问权限的功能。满足现网有线无线统一化认证与计费的要求,满足基于时间、基于区域、基于用户、基于访问目的地址等多种精细化计费要求。
本次网络信息化建设中提供安全管控的全系列产品,实现对网络和服务器资源的全面防护。并且建设IPv6,提供双栈过渡技术、隧道互联技术和地址转换技术保证IPv4到IPv6的平滑过渡。
下图我校校园网络逻辑架构拓扑图为:
宿舍网络出口区域各运营商(移动、联通、电信)的链路连接到交换机,通过交换机引入运营商的宽带链路至防火墙,三家运营商所提供出口总带宽不低于20G,后续根据出口带宽的使用情况增加带宽,以满足宿舍网用户的网络带宽需求。 部署高性能防火墙做双机热备进行负载分担,同时避免设备的单点故障,提高网络出口可靠性,实现用户的NAT、出口路由选路。同时防火墙配置IPS功能实现网络L1-L7层的网络攻击防护,配置防病毒模块实现对网络出口流量的病毒、木马等防护。 将原有办公网出口连接至防火墙出口上,实现宿舍网办公网的统一管理和维护。
(1)出口:由两台USG6650实现。USG6600为高性能出口防火墙网关设备,具备全面的网络安全防御能力,并且具有高性能的NAT功能。并且具备IPS、URL过滤等功能,两台分别连接外网,将不同运营商线路连接到不同设备种,以达到相互备份的作用。
(2)核心网关层: 核心层由两台BRASME60-X8组成。BRAS向全网用户下推各种认证,实现统一实名制管理。采用主备方式,用户的接入信息备份到备设备上。当主设备的链路、接口、单板或者整机出现故障时,能够快速将业务切换至备用设备。
(3)核心交换层:核心层采用敏捷交换机S12708将众多的接入设备和大量用户直接接入到核心层,核心层设备采用高可靠性的集群技术,将两台交换机从逻辑上整合成一台交换机。 敏捷交换机的业务板卡直接融合AC功能,可以对网络中的AP进行管控,实现后续扩容无线AP时候,无需再购买AC,实现有线无线深度融合接入、转发、管理。
(4)旁路部署2台认证计费系统做双机热备,同时与bras设备、各运营商的省认证计费平台对接,实现用户认证接入、账号转换(校内账号转为运营商账号),并对用户的账号、带宽策略进行管理控制下发。
(5)部署1台上网行为管理设备,实现与认证计费系统对接,对所有用户的上网行为日志进行审计与记录。 (6)部署1套日志统一管理平台系统,对BRAS、防护墙、上网行为审计设备、以及Linux/Windows主机等日志采集分析,并与出口防火墙联动,记录用户的NAT日志。
(1)办公网区域
对现有的教学区网络结构进行调整,现有的办公网核心双万兆链路分别上行至两台核心Bras设备,原有楼宇接入到办公网核心的链路保持不变。对办公网核心及接入交换机进行重新配置,通过Qinq技术细分出更多的vlan,实现每一个用户一个VLAN。
(2)宿舍网区域
目前整个校区的宿舍网进行整网改造,宿舍按照宿舍标准达到每个学生一个有线信息点。结合核心Bras设备及认证计费系统,通过QINQ技术,实现用户的精细化运营商选路、带宽策略控制等。
通过多运营商融合架构,宿舍网的学生用户通过BRAS认证后,进行运营商选择,购买的是哪一家运营商的增值服务,就从哪一家运营商的链路出口出去。校园网内,当师生用户通过BRAS认证后,使用校园网的资源,可以对学生的带宽进行适当的调控,保证老师办公等的带宽服务。师生使用校园无线网可以随时随地接入,经过BRAS统一认证后,可以享受各账户权限所享受的资源和带宽。在BRAS中,可以实现针对目的地址计费,实现校园网内部不计费,校园网外部计费,杜绝计费混乱。
基于扁平化网络架构的改造,需借助QinQ技术实现终端用户的精细化管理,因此需要每一个用户划分一个VLAN,由于普通的VLAN可用数量为4094个,无法满足一个用户一个VLAN。因此需要汇聚设备支持QINQ功能,核心设备能够终结QinQ Vlan和普通Vlan的功能。(QINQ:国际标准协议,支持vlan数为1676万个)。
通过每个用户一个vlan的划分,实现用户的二层隔离,避免了局域网常见的ARP攻击、广播风暴等常见的校园网问题。单个终端中毒,不会影响同一办公室或同一宿舍网终端,从用户接入端实现了用户的安全防护。