当前位置:文档之家› 高校校园网(PPPOE)解决方案

高校校园网(PPPOE)解决方案

职教校园网技术方案目录1 概述 (3)2 设计目标 (3)2.1 需求分析 (3)2.2 设计目标 (4)3 技术方案 (4)3.1 组网方案 (4)3.1.1 网络模型 (4)3.1.2 核心层 (5)3.1.3 汇聚层 (5)3.1.4 接入层 (5)3.2 用户接入方式规划 (6)3.2.1 内网访问 (6)3.2.2 外网访问 (6)3.3 PPPoE认证 (7)3.4 AAA技术 (8)3.4.1 背景 (8)3.4.2 概念介绍 (8)3.4.3 AAA实现技术 (9)3.5 VLAN规划 (9)3.6 IP地址规划 (10)3.7 可靠性设计 (11)3.8 QOS业务控制 (12)3.8.1 QOS实施策略 (12)3.8.2 职教校园网QOS解决方案 (13)3.9 IPV6预置 (14)3.10 网络ARP攻击防范 (15)3.10.1 什么是ARP? (15)3.10.2 什么是ARP欺骗? (15)3.10.3 如何防范ARP欺骗? (15)3.10.4 如何防范大量ARP报文导致的DOS攻击? (16)3.11 网络管理 (16)3.11.1 网管的必要性 (16)1 概述××职业教育学院是经教育部批准,由国家一流科研单位设立的高等院校。

学院已有近三十年的办学历史,为国家培养了大批优秀科研人员和生产骨干。

学院师资雄厚,专职教师中有教授8名、副教授44名、博士6名、硕士23名,并长期聘有多位两院院士和专家学者担任客座教授。

学院现有两个校区,教学生活设施齐全。

建有教学大楼、实验大楼、科技开发楼、图书馆、学术报告厅、培训楼和设备先进的数控加工培训中心、CAD/CAM实验室、反求工程实验室、传统机械加工培训中心、电机拖动实验室、自动控制实验室、计算机网络实验室等大型实验室和实训基地。

拥有高精度的数控机床、三座标测量仪、数字金相显微镜、计算机站等一流仪器设备,配有UG、IDEAS等大型设计、计算软件。

为了全面提升学院的信息化水平和满足教学科研对信息化基础设施的需求,学院拟部署新校园网络,实现各单位之间的信息互连,并实施统一的网络管理和安全策略,实现信息化效率和安全的统一发展,为全院师生的学习、教学、科研、生活提供全方位的信息服务。

2 设计目标2.1 需求分析根据对职教校园网的技术需求分析和现代校园网技术发展方向的研究,总结出以下基本技术要点:实现校园内部所有信息点的接入和汇聚;校园通过统一的出口实现到Internet的连接;可管理、可运营校园网发展趋势要求实现内网资源访问免费、外网资源访问计费的认证计费管理模式;考虑到校园规模和教学科研业务的未来扩展,采用核心、汇聚、接入三层的星型拓扑来构建校园网;根据未来各单位和业务流量规模的发展需求,核心到汇聚层要具备万兆链路扩展能力;考虑到校园网和CERNET新老骨干网的对接,要求网络核心层面具备IPV6能力。

采用百兆到桌面的接入部署;实施全面的QoS策略,确保对不同业务流量的服务质量;网络要充分体现安全性,可靠性,先进性,开放性,可扩充性及优良的性价比。

2.2 设计目标基于以上对职教校园网基本需求的分析,本方案的设计目标是采用业界领先的网络设备,在充分满足基本需求的同时,使整个网络具备易管理、可运营、高扩展性、高可靠性、能进行高质量的多业务承载的特征,真正构建出一个高品质的新型校园网。

3 技术方案3.1 组网方案根据职教校园网的当前状况和未来发展趋势,我们提供了全面的整体解决方案,整个网络方案突出层次化、模型化、高可靠性的原则,确保网络在具有高性能的同时具有良好的前瞻性和持续发展性。

3.1.1 网络模型职教校园网包括的信息点数量较多,采用核心、汇聚、接入三层的网络层次,基本架构模型如图。

3.1.2 核心层在典型的层次化模式中,组件间通过核心层互联,核心用作网络骨干。

鉴于各组件都依赖核心进行连接,因此,核心必须速度很快且可靠性极高。

现在的硬件加速系统具备以线速提供复杂业务的潜能。

建议在网络核心采用“越简单越好”的方法。

最低的核心配置可降低配置复杂性,从而减少出现运行错误的几率。

核心层用于承担校园网各分布区域的子网互连。

核心层是整个网络可用性和可靠性的关键,需要进行各关键设备和关键器件的冗余,由于核心层主要承担校园网内各子网的互连和数据流量的融合和贯通,同时承担各单位到Internet的接入,故必须能满足大业务横向流量的性能要求,也要满足出纵向业务流量的性能和功能要求。

基于以上的基本数据流量模型分析,采用1台BRAS设备和2台核心交换机组成的纵向横向设备分离的模型作为核心层的网络架构。

其中,核心交换机通过和汇聚层设备组双星型网的方式构建校园网内各子网间的横向互连,由于校园网内横向流量较大,且随着校园规模的扩展和业务的发展而快速增加,因此采用千兆链路来互连,并具备10GE链路平滑扩展的能力。

此外,双核心交换机之间通过两条10GE或者n×GE链路捆绑方式进行互联以实现VRRP心跳报文互通和业务数据流量的互通。

为了实现各单位/部门到Internet和CERNET的接入,核心交换机通过GE链路直接和BRAS设备进行纵向连接,转发所有出校园网的数据流量。

BRAS设备通过千兆链路和UTM或者流控等出口设备相连,最后通过多ISP接入Internet或者教育骨干网,保证校园网到广域网流量的可靠转发。

3.1.3 汇聚层汇聚层主要承担校园网内部各单位/部门的数据互通并汇聚流往核心层的数据。

基于汇聚层冗余路由快速切换的考虑,各汇聚层交换机通过双归属链路和两台核心交换机进行连接,实现主备或者负荷分担的可靠链路。

由于各单位/部门内部的局域网的业务流量很大,汇聚层需要有足够的带宽容量来支撑突发的海量数据并提供良好的QoS保障,因此采用千兆链路来构建汇聚层,并具备万兆链路的扩展能力。

由于采用了到两台核心交换机的双归属链路,可以在两台核心交换机启用VRRP协议来实现缺省网关的保护(实现内网资源访问),这样两条到核心层内网资源缺省网关的链路处于主备工作状态。

3.1.4 接入层接入层主要承担各信息点的接入。

接入层要求为各信息点提供百兆带宽的接入,实现无阻塞快速的数据接入。

接入层交换机通过千兆链路上连到所属子网的汇聚交换机上。

为了在接入层就启用较好的防ARP攻击等策略,同时考虑到校园网的技术前瞻性,接入层交换机采用具备ACL功能的智能二层交换机,并且通过千兆链路和汇聚层交换机互通。

3.2 用户接入方式规划3.2.1 内网访问校园网的主要用途之一是承载师生和教职工家属等对内网各类应用服务的访问,比如FTP服务、VOD点播、课件下载/上传、校园网站浏览/BBS等,因此校园网首先要保证所有信息点对内部服务器区域的无阻塞访问。

内网访问流量模型如下:如图,用户依次经过接入、汇聚、核心交换机,并通过内网防火墙的过滤后实现对内网服务器的访问,整个路径可以采用二层网络方式,主要通过二层VPN技术进行业务/单位/功能子网的隔离,并对不同VPN实施Qos来实现内网访问流量的多业务承载,具体实施方式参见下文VLAN规划和Qos规划。

3.2.2 外网访问校园网的另一主要用途是实现学生、教职工、家属对外网的访问,包括Internet 和Cernet的访问。

由于Internet接入是付费的,因此用户对外网特别是Internet的访问需要进行严格的管理,实施针对用户的认证、授权、计费(AAA)管理,不仅能提升校园网使用的安全性,还能打造出可运营的新一代校园网,实现信息基础设施的良好投资回报率。

外网访问流量模型如下:如图可见,用户对外网的访问三种基本数据流量:用户终端到BRAS的PPPoE报文流量,BRAS到AAA服务器之间的认证计费数据流量,认证通过后用户到外网的业务应用流量。

具体流程参见下文的PPPoE认证和AAA技术。

3.3 PPPoE认证通过PPPoE(Point-to-Point Protocol over Ethernet)协议,服务提供商可以在以太网上实现PPP协议的主要功能,包括采用各种灵活的方式管理用户。

PPPoE(Point-to-Point Protocol over Ethernet)协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。

PPPoE的建立需要两个阶段,分别是搜寻阶段(Discovery stage)和点对点对话阶段(PPP Session stage)。

当一台主机希望启动一个PPPoE对话,它首先必须完成搜寻阶段以确定对端的以太网MAC地址,并建立一个PPPoE的对话号(SESSION_ID)。

在PPP协议定义了一个端对端的关系时,搜寻阶段是一个客户-服务器的关系。

在搜寻阶段的进程中,主机(客户端)搜寻并发现一个网络设备(服务器端)。

在网络拓扑中,主机能与之通信的可能有不只一个网络设备。

在搜寻阶段,主机可以发现所有的网络设备但只能选择一个。

当搜索阶段顺利完成,主机和网络设备将拥有能够建立PPPoE的所有信息。

搜索阶段将在点对点对话建立之前一直存在。

一旦点对点对话建立,主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。

优点:和原有窄带网络用户接入认证体系一致,计费精确,符合用户习惯,用户容易接受。

PPP连接是点对点连接,克服了局域网共享连接病毒猖獗的有助于用户管理控制,可为不同用户定制服务,分配各自的独享带宽,提供差异化运营服务。

有助于提供平滑的QoS,可区分不同业务,有效管理出口流量,抑制P2P流量和病毒引起的突发流量。

专用客户端支持防代理功能,可防止资费流失。

运营商普遍采用PPPoE认证技术,因此,可以跟随运营商,享受后续的技术更新。

在运营商普遍采用PPPoE实现家庭用户接入的情况下,校园网用户更容易适应这种方式。

3.4 AAA技术3.4.1 背景随着Internet的发展,越来越多的应用通过网络得以实现,拨号用户、专线用户以及各种商用业务的发展使Internet面临许多挑战。

如何安全、有效、可靠的保证计算机网络信息资源存取及用户如何以合法身份登陆、怎样授予相应的权限,又怎样记录用户做过什么的过程成为任何网络服务提供者需要考虑和解决的问题。

正是基于此需求,AAA协议逐渐发展完善起来,成为很多网络设备解决该类问题的标准。

3.4.2 概念介绍AAA指的是Authentication(认证)、Authorization(授权)、Accounting(计费)。

自网络诞生以来,认证、授权以及计费体制(AAA)就成为其运营的基础。

网络中各类资源的使用,需要由认证、授权和计费进行管理。

认证(Authentication):用户在使用网络系统中的资源时对用户身份的确认。

这一过程通过与用户的交互获得身份信息(诸如:用户名-口令组合、生物特征获得等),然后提交给认证服务器;后者对身份信息与存储在数据库里的用户信息进行核对处理,然后根据处理结果确认用户身份是否正确。

相关主题