高杰欣
【摘 要】学校改造后的技术方案实际上是一个全冗余的网络结构,从核心到边界,任何一个单点的故障都不会影响其他设备的运行,允许将所有设备分散在主机房和容灾机房两个不同地理位置同时运行,极大地保障了架构的健壮性和可用性。 【期刊名称】《中国教育网络》
poco2007【年(卷),期】2014(000)009
【总页数】3页(P36-38)
【作 者】磷肥与复肥高杰欣
武汉十五中张飞跃【作者单位】为中南民族大学网络技术中心
【正文语种】中 文
学校改造后的技术方案实际上是一个全冗余的网络结构,从核心到边界,任何一个单点的故障都不会影响其他设备的运行,允许将所有设备分散在主机房和容灾机房两个不同地理位置同时运行,极大地保障了架构的健壮性和可用性。
中南民族大学校园网自2004年广泛应用以来,教学办公区一直使用人工ARP绑定方式认证,在此区域师生用户均不收费,学生区先后使用了两个厂商的网关型认证设备,按每月20元,不限制流量和上下行带宽包月,IP获取需要到服务大厅打印并手工配置,由认证网关进行ARP绑定。随着校园网的发展,绑定ARP认证给用户带来诸多不便,旧设备性能已远远无法满足用户量的增长,认证无法满足多种终端和操作系统的支持,无法提供IPv6的认证,设备不具备组网架构冗余和负载均衡等可靠性要求,以及与数字化校园统一身份认证集成、灵活的技术架构等管理方面的需要。 改造认证系统前,校园网完成了汇聚层升级,实现了汇聚层双万兆到核心,楼栋接入层双万兆到汇聚,接入层千兆到桌面,IP地址使用10段虚地址DHCP动态分配。这样一来,用户不用认证就可以自由访问园区网内资源和站点,只是访问互联网需要鉴权准出。
认证系统的总原则是:在避免改动原有三层网络架构的基础上,以满足未来5~10年的性
能趋势进行技术选型,兼顾无线网络、有线网络和IPv4/IPv6双栈的统一认证,支持丰富的终端类型,同时减轻管理维护的复杂度。
首先是保持现有网络三层架构,相当于直接排除了802.1X和PPPoE两种认证方式。802.1X不仅需要现有接入层和汇聚层交换机支持相应的功能,还需要在这些大量的交换机上做配置,工作量较大;PPPoE则要求把三层结构废除,重新配置成大二层网络,暂且不说大二层网络自身的缺点,仅是全网的大二层改造就是一项费时费力的工程。保持网络架构,能够最大可能地保证用户接入的可靠稳定,避免这一项改造对用户造成的持续影响,同时也降低本项工程自身的成本和复杂度。
其次是满足未来5~10年的性能,这要求该设备至少是10Gbps以上的业务接口,单台交换能力应在300Gbps以上,同时在线不少于12000用户。
塑化再次是兼顾有线和无线、IPv4和IPv6的统一认证,有线网络的认证灵活性较大,支持的方式较多,无线网络则须考虑IPoE、无感知认证等方式,IPv4和IPv6双栈要求一次认证,同时获得双栈的网络地址,提升用户网络访问体验。
最后是管理维护,其复杂度和认证系统架构本身息息相关,认证系统部署在园区网中,是串接还是旁挂,影响着核心网络架构的修改,双机集将保证认证系统自身的高可用性,此外还须兼顾办公室环境的局域网共享。除去了上述802.1X和PPPoE方式后,设备能支持的认证方式也所剩不多,在综合比较后,计划采用BRAS支持的L2TP方式。
经过仔细的比较筛选和分析研判,中南民族大学最终选用了ME60设备作为认证网关的改造方案,图1为认证系统改造网络拓扑。
两台ME60-X3作为全网的有线和无线的统一认证网关,物理结构上是串接在网络中的,相对于旧认证网关而言,在整个改造过程中ME60更像旁挂在网络中。每个ME60通过Virtual port-channel双万兆链路与Nexus7000核心交换相连,对于核心交换而言是看见两个ME60设备。ME60之间进行集方式连接和配置,分别启用相同IP的loopback地址作为用户使用的LNS地址,将该LNS的默认路由等值指向两个ME60各自实际的LNS地址,实现所有认证拨入请求均衡的连接到两个ME60,任一ME60因故停止能够确保ME60集内的会话接管和用户体验。
用户在校园网内任一接入层连接网络,首先获取一个10段虚地址,该虚地址在有线网络上
不用认证可直接访问校园网资源和所有校园应用,在无线网络上则需通过IPoE认证。拨入L2TP认证,可以使用操作系统自带的VPN连接客户端(Windows、Linux、Macos均有),认证后所有请求均从ME60上发起;还可使用专用的免安装客户端,该客户端确保园区内网络路由从认证前获取的地址发起,而不走隧道,兼顾网络灵活与效率。两种认证方式均获取IPv4和IPv6双栈地址,其中IPv4是获取另一个10段虚地址,IPv6获取实地址。认证成功后,用户访问互联网通过ME60发起连接,IPv6的互联网请求通过核心交换直接送出,IPv4的互联网请求通过两个NPE送出。拨入IPoE认证,允许选择无感知方式,当第一次认证成功后,下次使用同一个移动终端则无须再认证,每个IPoE的会话状态只存在于一个ME60设备,若一个ME60因故停止,无感知认证则可在用户未察觉情况下再次完成验证并继续上网,未勾选无感知认证的用户则需重新验证。
NPE在边界网络中是两个独立的设备,实现网络地址转换和智能选路等功能,通过认证的IPv4上网请求走任一NPE都会做NAT,因此数据包不管从哪一个NPE出去,都会从同一个NPE回来,实现源进源出,平时由两个NPE分担全部的出口流量负载,任一NPE若因故停止,也能无缝地由另一台完全接管。
进坑村
用户在接入校际互联的其他高校连接校园网,不管是无线还是有线,也会先获取所在高校分配的10段虚IP,该IP由各高校事先所约定好,每校连续且不重复的8个B地址段,从这8个B的10段虚地址无需过各自的边界即可直接互联互通。对有线的校际漫游接入,等同于在更大的校园网拨本校的LNS;对无线的校际漫游接入,则只需在他校发布SSID,通过SSID上联到自校的无线控制器并获取IP。有线和无线的校际漫游认证均是将用户和流量引入了自校的网络,不会占用其他学校的边界出口流量,不存在用户信息的跨库认证,也就不用担心各自学校用户隐私的泄漏或数据不一致,有线用户通过L2TP的所有上网信息通过隧道传回也不存在被监听的问题。
用户在公众互联网若担心上下行数据传输安全,或需要使用只有校园网才能访问的资源,则可用操作系统自带客户端拨L2TP进入校园网,这一操作无异于SSL VPN或其他VPN接入校园网。在NPE上映射3条线路的3个实IP给LNS,利用NPE的智能DNS解析功能将3个IP对应为一个域名,从公众网进行校园网认证,使用该LNS域名进行连接,会自动匹配相应的运营商线路,以获取最佳的线路体验,验证成功后,所有的网络访问流量将通过隧道传入校园网,从校园网出口完成所有网络访问,最后再从隧道传回给用户。虽然这种方式因L2TP隧道损耗了网络访问体验,但对办公安全、特殊资源访问却能非常便捷的兼顾。
局域表面等离子体共振网络的改造难免会影响用户的使用,大多会选择午夜进行停机割接,对技术人员的实施压力是很大的,尤其对于割接后可能出现的各种问题,更是牵一发而动全身,往往还面临回退的窘境。
