大学校园网络认证管理改造方案可行性分析报告（bras）.docVIP

大学校园网络认证管理改造方案建议书（BRAS） 项目背景 XXX大学是一所以法学为特色和优势，兼有文学、史学、哲学、经济学、管理学、教育学等多学科的“211工程”重点建设大学，直属于国家教育部。学校现有路和路两个校区。学校现有全日制在校生14770人，现有19个教学单位10个校级科研机构。学校先后与39个国家和地区的157所知名大学和机构建立了合作关系， 每年通过多种合作交流项目派出近千名师生赴境外学习交流。—汇聚—接入的三层架构，并且基本上都采用了以三层交换机为主的网络建设方案。由于三层交换机具备高端口密度、高速的以太网接口和较强的交换性能，因此能够满足校园网建设的端口和带宽的要求，满足校园网在发展阶段的高带宽/内部互联互通的需求。传统的校园网结构如下图所示： 在这种架构中，每个层面都分别承担了校园网的一部分功能，其业务功能划分模型如下所示： 出口：准出认证、计费、NAT日志； 核心层：提供高速接口，实现核心高速转发； 汇聚层：提供用户在校园网中的DHCP地址分配和用户的三层终结功能；在校园网中，除了提供IP单播报文的转发外，还必须能够支持组播功能，提供组播视频流的复制和下发。另外，需要在汇聚层的三层接口上开启相应的ACL访问控制列表功能，QoS服务质量保障功能。另外，随着IPv6在校园网的部署，还需要提供用户的IPv6功能，如无状态IPv6地址分配、IPv6单播和组播转发等； 接入层：负责用户的接入，相互的VLAN隔离，基于端口的上下行速率限制，同时，为了避免目前大量存在的ARP攻击问题，还必须在接入层交换机上开启DHCP侦听和ARP动态检测功能（三层交换机才能提供这一类的功能）； 这种架构下，我们能发现存在这样一些问题： 第一，校园网的每个层面都有做用户接入和控制，实现了一部分的功能；如接入设备提供端口隔离、VLAN等功能、汇聚设备则提供了三层网关、ACL控制、路由策略等功能，大量的设备也就意味着大量的配置，会给校园的管理员带来巨大的实施成本，同时这也就使得在校园网中部署新功能新应用变得非常困难，要考虑到各个层面设备的支持能力。相应的，由于控制点的分散，导致出现问题后，故障点很难定位，恢复时间较长；处理一个故障往往涉及多个层面的多个设备。 第二，能力强的设备，如核心设备，其功能反而越弱化；相反，靠近边缘的设备，如汇聚和接入层的设备，功能要求却很多，形成了校园网设备层次和能力层次的“倒挂”。由于汇聚和接入层层面的设备档次较低，性能不高、稳定性较差、功能也不丰富，因此在实际部署时，经常出现问题，实现效果不好。比如在校园网部署IPv6时，在汇聚层设备上通常对IPv6的支持较差，特别是在开启IPv6组播业务时，由于设备不支持基于硬件的IPv6组播流量复制转发，经常导致设备100% CPU，影响其他业务，甚至造成业务中断。这就造成校园网中出问题最多，维护工作量最大的是大量的接入层、汇聚层设备，导致维护工作量大、效果不好。 第三，由于采用了三层交换设备，单台设备只能支持4K VLAN，无法实现VLAN的细分和隔离，从而导致大量的用户、应用处于同一个VLAN广域域内，没有有效的隔离措施和保障手段，相互之间的干扰和影响严重。如目前在校园网中普遍存在的ARP病毒和DHCP仿冒等，导致终端接入网络的问题频发，管理员疲于奔命。如果通过在接入层交换机上开启DHCP监听和动态ARP监测功能来避免这些问题，又会导致管理维护工作量大、配置复杂的问题，并且也加大了接入层设备的工作压力，降低了可靠性。 第四，学校目前采用的认证方式为出口认证，即用户只有在需要访问internet网络的时候才需要对用户的身份进行控制，而用户接入内网即能获得IP地址并获得访问的权利，且用户与用户之间并未做隔离，导致学校里的安全问题频发，去年的一次大断网就是因为ARP攻击所造成的；而一旦学校加入了准入认证，那么又会存在用户如果访问外网，需要进行两次认证的尴尬，不仅降低了用户体验而且使得管理员的管理也非常麻烦。 以上这些问题将随着校园网规模的逐步扩大，多业务多应用的叠加，用户数的不断增加和流量的爆发式增长而显得越来越突出，最终导致校园网整体的稳定性可靠性降低，管理维护压力越来越大。 面对当前校园网存在的种种问题，解决问题的思路为改变校园网建设传统的思路和模式，而为了解决现网的这么多问题，绝对不是靠一项技术或者一种架构就能完美解决的，所以我们需要进行分析针对于不同场景，采用不同的网络模型架构，以打造一个更加适合XX学校的校园网络。 当前业界比较主流的校园网架构有两种：扁平化架构及传统三层架构 所谓扁平化的网络架构，不是意味着网络物理层面变为两层，而是从网络中设备所承担的功能上区分，将网络划分为业务控制层和宽带接入层。宽带接入层由汇聚和接入层设备构成，仅提供基本的用户高带宽接入功能