学校多运营商方案技术报告.docVIP

浙江广厦技术学院校园网 多运营商方案 快威科技集团有限公司 2011年9月 目 录 第一章 概述 2 第二章 广厦技术学院校园网现状 3 2.1 广厦技术学院校园网网络现状 3 2.2广厦技术学院校园网网络拓扑现状 3 2.2 存在问题 3 2.2.1单点故障问题 3 2.2.2 校园网单一出口，单一业务 3 第三章 典型校园网多运营商接入 4 3.1 学生上网业务实现方式 4 3.2 不同运营商业务区分 4 3.3 汇聚层网络结构优化 4 3.4 核心层网络结构优化改造 5 第四章 广厦技术学院校园网多运营商接入优化 6 4.1网络优化方案 6 4.2 网络优化设备清单 6 第五章 配置规范化 7 4.1 设备的名称（以Cisco设备为例） 7 4.2 端口的描述 7 4.3 Vlan的名字 8 4.4 ACL的规范 8 4.5 无效配置的清理 9 第六章 二层网络结构优化 10 5.1 trunk的过滤 10 5.2.3 网络接入层直连用户端口优化 10 5.2.4 网络接入层下联中继端口优化 11 第七章 Vlan资源优化 12 6.1 QinQ原理介绍 12 6.2 QinQ在校园网中的实现 12 第七章 安全和审计 14 7.1 AAA部署 14 7.1.1 TACACS+ 认证方式 15 7.1.2 Radius 认证方式 16 7.2 SNMP协议的访问控制 17 7.3日志信息的记录 17 7.3.1全网时钟的同步 17 7.3.2 Syslog的集中处理和分析 18 7.4 Login banner的法律声明 19 7.5其他网络安全配置 19 7.5.1使用ACL限制病毒流量 20 7.5.2 L2安全性配置 20 7.5.3固定IP用户接入的安全控制 21 第一章 概述 随着行业重组中国电信、中国联通和中国移动拥有了全业务运营牌照,校园宽带接入网势必成为三家运营商精彩表演的竞技场,多运营商共同运营现象也必将越来越普遍。与学校运营相比,运营商凭借其带宽资源和成熟的网络服务质量,能够为学生提供更为充足的流量保证,使学生有机会根据服务质量和资费选择不同的运营商。1多运营商共存模式从技术标准看,有不同的宽带接入方式:PPPOE、802.1X、WEB和VPN等。不同的接入方式在组网特征和故障表现上会有一定的差异。 广厦技术学院对校园网的网上应用和用户数量的不断增长，对网络的实时性，可靠性要求越来越高，学校师生更倾向于灵活选择适合自己的宽带网络，多运营商共存于校园网成为必然趋势。 第二章 广厦技术学院校园网现状 2.1 广厦技术学院校园网网络现状 广厦技术学院校园宽带网目前使用的是中国电信的宽带业务，校园网络由金华电信负责运行和维护。学校internet出口为中国电信。学生上网主要采用中国电信数字校园闪讯套餐，教师上网既可以通过闪讯套餐上网，也可以通过DHCP获得私网地址做地址转换上网。目前广厦技术学院全部用户大概在8000左右。 2.2广厦技术学院校园网网络拓扑现状 （待定） 2.2 存在问题 2.2.1单点故障问题 由于目前广厦学生用户的业务都是承载于电信出口设备。当出口出现故障时将影响整个学校的学生用户对内网资源以及公网资源的正常访问(当设备出现故障不能运行时，用户同时不能访问内外网，并且没有恢复网络的临时解决方案)。后果是极其严重的，具有很大的潜在风险。 2.2.2 校园网单一出口，单一业务 目前广厦技术学院校园网只有电信出口，访问联通，移动网络资源时速度较慢，延迟很高，学生上网选择只有电信一种，业务比较单一。 第三章 典型校园网多运营商接入 为了满足学生自主灵活选择宽带套餐的需求，广厦技术学院考虑引入移动接入。由于不同运营商上网实现方式有可能不同，一个学生可能需要两个端口来满足电信、移动的上网业务，这需要每个运营商从接入层到核心层全部重新部署，造成资源的极大浪费。为了尽量减少接入层的改动，本方案依照金华电信PPPoE拨号上网模式，调整汇聚层和核心层的网络结构和配置，实现多运营商接入。 3.1 学生上网业务实现方式 学生上网业务采用PPPoE拨号方式实现。多运营商接入时，每个ISP需要配置各自的汇聚交换机，BRAS设备，运营商共享接入层端口资源和vlan资源，在汇聚层上进行分流，汇聚交换机上联不同运营商的BAS设备 3.2 不同运营商业务区分 因为接入层资源共享，每个学生只有一个vlan资源，为了能够区分该学生是采用哪个运营商的宽带服务的，可以通过部署802.1x+动态vlan技术来实现动态分配用户端口的归属vlan，但这需要接入交换机支持802.1x，同时要部署额外的radius服务器。另一种业务区分方法是通过账号domain来区分，拨号时账号带后缀，不同的运营商只对自己的domain做pad