大学网络改造项目规划.docx

大学
网络改造项目规划
方案背景
错误!未定义书签。
网络现状
错误!未定义书签。
组网设计
一、 方案背景
针对国家中长期教育改革和发展规划纲要中的“加快教育信息基础设施 建设，把教育信息化纳入国家信息化发础下，重新部署两台 核心层设备。采用核心区域集中管控和认证管理的方式组网，提 出对现网最快的改造升级方式。方案具体拓扑图如下：
正聚交换机 C聚交换机
网线 万兆单模
正聚交换机
万兆多模
方案拓扑图
3. 1核心交换机升级
可在已有的架构上平滑升级，保护已有投资；
用户可有多种改造方式可供选择
更换核心，维持现有网络架构不变
更换核心，汇聚层网关上收到核心，接入分布式认证；
更换核心，网关/认证上收到核心
新业务快速上线，不需要大规模更换的设备；
DCRS-9816交换机提供采用32核CPU的管理板通过多核的 并发处理，。同时在转发面采用了分布式过滤技术。
提升网络认证性能
目前，DCRS-9816交换机可支持最大90000双栈终端同时在 线，用户认证上线的速率能达到1000人/秒以上。同时，集中认 证网关设备DCRS-9816交换机有三大类线卡，这些线卡的交换芯 片，通过该技术，可以灵活配比MAC、ARP、ND表项的容量，解 决了传统交换芯片表项容量固定，无法按照用户需求提供灵活的 容量定制。
提升整网网络管理效率
说明
接入汇聚设备用户隔 离
当前推荐采用VLAN隔离方 案；
哑终端、特权用户的 接入
采用MAC认证方式，SAM 建议特殊用户组，适用于哑终 端、特殊设备入网
免认证区域
将免认证区域划分到一个 VLAN内，并将该VLAN配置为免 认证VLAN
管理员认证后，区域 内所有的用户可直接上线
将免认证区域划分到一个 VLAN内，该区域通过一台三层 交换机接入到这个VLAN下
SAM上，限制N18K对应这 个区域的物理端口+VLAN,只允 许管理员上线（SAM下一个版本 支持）
管理员认证通过后，该区 域所有用户无需认证，直接上 线
特殊业务部门加入
需要同其他用户网段隔离 的特殊业务部门，可单独分配 一个SVI给此类部门，为其配 置单独的网段
3. 2 web Portal 软件
DCSM-RS是一套网络身份准入门户系统，配合锐捷网络的认
证计费系统，进行基于WEB方式的身份认证或者域认证。
为了满足针对无线用户实时安全监管的需要，方案可通过与 核心交换机认证网关、计费认证系统的配合，进行多个场景的用 户定位。可基于特定时间段或区域，例如学生在上课时段，校方 希望禁止学生在教室内上网，需要对该区域的用户进行网络屏 蔽。
传统Web认证场景中，是由交换机将所有http报文全部重 定向到服务器，这样迅雷等下载软件，QQ等社交程序也会被重 定向，并进行WEB认证跳转。这样就导致服务器大量的WEB认 证处理资源被浪费，最终无法为正常的认证用户提供服务。这里 我们利用了非页面访问无法解析http脚本文件的特性，避免服 务器收到非页面访问的http报文，实现对服务器的降噪功能。 确保Web认证的可行性、可用性。

当前校园网的认证、计费场景，归纳起来，有几种方式：
按时长计费（上线时长）
周期计费（包月、包天）
按流量计费（根据用户实际使用流量进行计费）
另外，针对用户不同的访问区域，也存在不同的计费方式，比如
校内流量免费、校外流量收费
教育网流量免费、运营商流量收费
国内流量免费、国际流量计费
不仅如此，通过自定义计费策略配置为用户提供灵活、强 大的计费策略配置，满足用户不同的计费要求；例如：周期、 流量、计时计费三种方式可以组合成一种或几种计费策略，还 提供周期不使用不扣费及复合分段计费等配置，为网络管理运 营提供多种计费方式加上包月限无线流量，包月计无线流量部 分。
而差异化的运营管理是的有一大价值，分区域精细化管 理，按照区域划分服务，不同的用户在不同的区域可以实现不 同的服务，实现了精细化管理的理念。例如：在教学区、宿舍 区和公共机房，分别是无线和有线接入，一个学生使用同一账 户可以使用不同接入控制和相应的计费策略。
认证原理：
802. IX认证
1、认证流程
工作站(Client)
交换机
Radius Server
EAPOL-Staxt ►
EAP-Request/Identity

EAP-Rjesponse/Identity
EAP-RequestMD5-CHAP *

EAP-Response/MD5-CHAP
A
EAP-Success
RADIUS Access-Request A
RADIUS