Juniper MX960 BRAS 校园网技术方案 - 图文

第四军医大学 校园网网络系统升级

技术方案

北京市海淀区北四环中路211号

第四军医大学校园网网络升级项目

目 录

第一章 综 述 ................................................................................................................................... 6

1.1. 项目概述 ................................................................................................................ 6 1.2. 现状描述 ................................................................................................................ 6 1.3. 问题分析 ................................................................................................................ 9 1.4. 优化目标 .............................................................................................................. 11 1.4.1. 合理的网络结构 ........................................................................................... 14 1.4.2. 先进性和实用性 ........................................................................................... 14 1.4.3. 网络的可扩展性 ........................................................................................... 15 1.4.4. 网络的可靠性 ............................................................................................... 15 1.4.5. 网络的标准化 ............................................................................................... 15 1.4.6. 网络的可管理性 ........................................................................................... 15

第二章 网络方案建议及设计 ....................................................................................................... 17

2.1. 设计思路 .............................................................................................................. 17 2.2. 组网原则 .............................................................................................................. 20 2.3. 拓扑设计 .............................................................................................................. 23 2.3.1. 校园网逻辑架构设计 ................................................................................... 23 2.3.2. 扁平化两层架构和传统三层架构的比较 ................................................... 25 2.3.3. 总体架构规划 ............................................................................................... 28 2.4. 网络部署和业务控制方案................................................................................... 31 2.4.1. 用户的隔离、终结 ....................................................................................... 31 2.4.2. 用户的互访控制 ........................................................................................... 33

第 2页，共 107页

第四军医大学校园网网络升级项目

2.4.3. 有线无线一体化的实现 ............................................................................... 34 2.4.4. IPv4/IPv6双栈的实现 ................................................................................... 35 2.4.5. IPv6组播业务的部署 ................................................................................... 37 2.4.6. 用户的精细化管理和认证计费的实现 ....................................................... 37 2.4.7. 出口防火墙的部署 ....................................................................................... 43 2.4.8. SSL VPN的部署 ........................................................................................... 43 2.5. QoS服务质量保证设计 ....................................................................................... 47 2.5.1. QoS概述 ........................................................................................................ 47 2.5.2. 实现QoS的方法 .......................................................................................... 52 2.5.3. Juniper路由器的QoS实现 .......................................................................... 54 2.5.4. QoS的实施建议 ............................................................................................ 58 2.6. IPv6 ........................................................................................................................ 58 2.6.1. IPv6概述 ....................................................................................................... 58 2.6.2. IPv6对原有IPv4网络的影响 ...................................................................... 59 2.6.3. 第四军医大学校园网IPv6的部署.............................................................. 64 2.7. 校园网N平面解决方案 ...................................................................................... 65

第三章 网络安全方案 ................................................................................................................... 67

3.1. 网络设备安全 ...................................................................................................... 67 3.2. 网络管理系统的安全 .......................................................................................... 68 3.3. 网络业务的安全 .................................................................................................. 69 3.4. 数据传输的安全 .................................................................................................. 70 3.5. 用户网络的安全 .................................................................................................. 71

第 3页，共 107页

第四军医大学校园网网络升级项目

3.6. 安全实施建议 ...................................................................................................... 72

第四章 网络的可靠性 ................................................................................................................... 75

4.1. 设备的可靠性保证 .............................................................................................. 75 4.2. 网络结构的可靠性 .............................................................................................. 76 4.3. 链路的冗余保护 .................................................................................................. 77

第五章 网络的自愈与恢复 ........................................................................................................... 78

5.1. 概述 ...................................................................................................................... 78 5.2. Graceful Restart (平滑重启) .................................................................................. 79 5.3. OSPF快速收敛 ..................................................................................................... 81 5.4. BGP和转发层面的快速收敛分析 ....................................................................... 82

第六章 MX认证功能详解和应用分析........................................................................................ 83

6.1. 无需认证用户 ...................................................................................................... 83 6.2. PPPoE认证 ........................................................................................................... 85 6.3. WEB Portal认证 ................................................................................................... 89

第七章 方案特点 ........................................................................................................................... 96

7.1. 高可用性 .............................................................................................................. 96 7.2. 高性能 .................................................................................................................. 96 7.3. 高安全性 .............................................................................................................. 96 7.4. 高度的开放性与标准化 ...................................................................................... 97 7.5. 易维护 .................................................................................................................. 97 7.6. 业界最完整的MPLS VPN支持 ......................................................................... 97 7.7. 业界最完整的组播支持 ...................................................................................... 98 7.8. 支持丰富的增值业务 .......................................................................................... 98

第 4页，共 107页

第四军医大学校园网网络升级项目

7.9. 业界最为全面的IPv6功能 ................................................................................. 98

第八章 JUNIPER售后服务和技术支持 ...................................................................................... 100

8.1. Juniper全球售后服务支持中心 ......................................................................... 100 8.2. Juniper在中国售后服务支持网点 ..................................................................... 100 8.3. Juniper在中国的备品备件库 ............................................................................. 101 8.4. Juniper提供的全面技术支持具体内容 ............................................................. 102 8.4.1. 支持服务 ..................................................................................................... 102 8.4.2. Juniper售后CASE支持 ............................................................................. 104 8.5. 用户故障处理流程 ............................................................................................ 107

第 5页，共 107页

第四军医大学校园网网络升级项目

网络系统的稳定可靠是校园网络各个应用系统正常运行的保证，应采用高可靠性的网络产品和完备的网络备份策略，对于不同层次的设备和线路进行不同级别的可靠性设计，使网络具有故障自愈的能力。

1.4.5.网络的标准化

网络设计中所用的各种管理信令、接口规程、协议须符合国际标准。网络技术的选择上采用开放的标准技术，且适度前瞻。技术具备开放性和通用性，保证能在多厂家、多品牌设备的良好的互连互通。

1.4.6.网络的可管理性

随着网络规模的不断扩大和网络的不断复杂，网络的维护量随之增加。整个网络的可管理性变得尤为重要。因此，数据中心网络系统应当具有统一的可管理性，建立统一的网络管理平台。不仅实现对网络设备的管理，同时实现对网络策略的管理和不同协议的多级维护。

第 11页，共 87页

第四军医大学校园网网络升级项目

第二章 网络方案建议及设计

2.1.设计思路

当今网络的建设存在两种建设思路：路由式网络和交换式网络。路由式网络，一般其核心是由高、中端路由器构成的；而交换式网络，主要是通过三层交换机来构建。在讨论两种模式之前，让我们先来分析一下路由器和三层交换机的区别。

首先，让我们看看三层交换机的起源。早期的交换机为两层交换机，其没有VLAN的概念，所有的端口都处于一个广播域内，存在着广播风暴问题，尤其是对于大型的局域网，广播风暴经常造成网络拥塞，甚至网络变为不可用。为了减少广播风暴的危害，出现了VLAN的概念，必须把大型局域网按功能或地域等因素划他成一个一个的小局域网，尽量将广播控制在较小的范围内，隔离广播对其它VLAN的影响。但是，由于不同VLAN的隔离作用，当存在需要跨越VLAN的流量时，就需要具有路由功能的路由器，为了便于管理和降低成本，出现了带有简单路由功能的交换机，也就是三层交换机。三层交换机的路由功能通常比较简单，路由计算远没有路由器那么复杂。它用在局域网中的主要用途还是提供快速数据交换功能，满足局域网数据交换频繁的应用特点。

第三层交换具有以下特点：

? 主要用于大型局域网和小规模的城域网。

? 大型三层交换机采用ASIC技术，数据包的交换能力较强，交换能力往

往达到数十G，甚至上百G；

? 为了应付大型局域网的需要，具有一定的路由功能和控制能力； ? 较低的设计和生产成本，较少的考虑电信级的高可靠性设计；

? 除了必要的路由决定过程外，大部分数据转发过程由第二层交换处理，

三层交换往往采用集中转发；

? 路由软件设计简单，较少的运营商业务提供能力，较慢的路由收敛速度；

第 12页，共 87页

第四军医大学校园网网络升级项目

? 二层网络协议采用生成树协议（STP），基于二层之上的三层路由协议

IGP采用OSPF、IS-IS和RIP，BGP采用BGP4。

? 部分高档三层交换机集成了防火墙、IDS、4-7层交换等功能，简化了网

络设计，降低了管理压力；

? 端口相对较单一，主要是10M/100M/1000M/10G等不同类型的局域网端

口，端口密度较高，部分高档交换机为了满足广域网连接的需要，增加了部分广域网端口；

从三层交换机出现的背景和特点来看，它主要为了解决VLAN之间的互访问题，但是，由于局域网的特点，并没有太强的流量控制功能，对QoS、MPLS、流量采集、Internet路由和流量的特点考虑较少、接口类型单一，这些特点也是由它的应用环境决定的。

而路由器则不同，它的设计初衷就是为了满足不同类型的网络连接，虽然也适用于局域网之间的连接，但它的路由功能更多的体现在不同类型网络之间的互联上，如局域网与广域网之间的连接、不同协议的网络之间的连接等。它最主要的功能就是路由转发，解决好各种复杂路由环境下的路径计算和选择，所以路由器的路由功能通常非常强大，不仅适用于同种协议的局域网间，更适用于不同协议的局域网与广域网间。它的优势在于选择最佳路由、负荷分担、链路备份以及和其他网络进行路由信息交换等功能。为了与各种类型的网络连接，路由器的接口类型非常丰富，而三层交换机则一般仅同类型的局域网接口，非常简单。

路由器的特点：

? 丰富的路由和控制功能，适用于复杂多变的大型网络环境 ? 针对于Internet的流量特点设计，较强的流量控制功能 ? 随基于MPLS、IPv6等技术的业务的强大支持能力

? 强大的QoS功能，能提供差异化业务的基础极强的高可用性设计，满足

电信级的要求

第 13页，共 87页

第四军医大学校园网网络升级项目

? 采用最新的路由器设计模型和理念，路由控制功能和数据转发功能严格

分离，保证了路由器的可靠运行，全分布式的包转发设计保证了整个设备的性能。

? 新一代的大型路由器采用ASIC、分布式处理的实际思想，路由能力通

常达到几百G，甚至几个T。

我们从三层交换机和路由器的起源上进行了一个简要的分析，从上面的分析来看，三层交换机是带有简单路由功能的交换机。

从提供服务的角度来考虑，第四军医大学校园网的建设目标是建设一个覆盖整个校园、具有远程教育功能的宽带网络和教育信息化网络平台，并实现宽带接入Internet服务提供商、中国教育和科研计算机网CERNET，这张网络上承载了大量的业务、应用和终端用户，应用复杂、用户众多。从这个意义上来讲，第四军医大学校园网就相当于一张运营商的城域网络，而且规模较大。

在这张网上不是仅仅只需要进行以太接入，而是需要提供有差别的服务。对于这种不同类别的服务，需要硬件QoS的保证、需要有完备的MPLS VPN的功能、需要能够全面硬件化的支持IPv6、需要提供稳定而可控的Multicast的支持。并且这些服务的提供，应该是以不下降网络性能为前提条件。所有这些，只有在路由器上才能得到完备的支持。这一点，在运营商多年的运营经验上得到了证实。

从业务功能支持的角度考虑，现有的交换机设备在端口数和带宽上能够满足现有应用的要求，但当网络承载的业务增多，需要对不同业务进行控制和QoS优化时，交换机的架构决定了开启这些高级功能之后设备性能会急剧下降，从而影响整个网络的使用。而路由器由于本身均采用了硬件支持QoS、IPv6、组播等功能，能够平滑的支持新的功能。

综上所述，无论从理论上还是实践上来讲，考虑网络未来几年的发展和多业务承载能力，建议第四军医大学校园网采用路由器来构建校园网核心节点。

2.2.组网原则

第 14页，共 87页

第四军医大学校园网网络升级项目

以以下几个方面的技术要求为基础：

? 先进性：网络应采用业界先进的高端路由器，充分满足现在及将来网络、

业务发展的需求，在未来几年内都不会过时。并采用先进成熟的通信和计算机技术进行组网。

? 可扩充性：必须随着需求的变化，充分留有扩充余地。网络结构采用层

次化的网络结构，利于网络的管理和维护，网络的稳定，网络的可扩展，同时尽量减少网络的层次，减少网络延时，提高网络性能。

? 投资保护：选择性能价格比最好的设备，并考虑容量和性能配臵的灵活

性。

? 标准化和开放性：采用通用的国际标准和协议，不采用或尽量少采用厂

家特有的产品和功能。能与其它厂家的产品互连互通，能与各类宽带传输交换平台充分互联，能够承载和交换各种信息并将其接入公众用户。 ? 可靠性：利用物理链路备份和动态路由协议实现路由备份和负载分担，

保证网络互通性安全；关键部件冗余配臵，保证单节点的可靠性。 ? 可管理性：采用统一的网络及业务管理系统。 ? 安全性：在设备选型上充分考虑设备抗攻击的能力。

在满足上述一般网络设计要求的基础上，第四军医大学校园网还需要满足营运级的可靠性、QoS、扩展性、网络互联、通信协议、网管与安全等方面的要求：

1) 可靠性

核心层路由设备的所有模块和环境部件应具备1+1或1：N热备份的功能，切换时间足够小。所有模块具备热插拔的功能。系统具备99.999%以上的可用性。

网络的结构设计应提供足够的路由冗余功能，以便在线路和设备出现故障的情况下数据流应能寻找其他路径到达目的地址。在一个足够复杂的网络环境中，网络连接发生变化时，路由表的收敛时间应足够小。

2) 拥塞控制与服务质量保障

第 15页，共 87页

第四军医大学校园网网络升级项目

当用户通过身份认证后，即可通过SSL VPN系统获得对应自己角色的各类应用系统的访问权限，如下所示：

通过Juniper SSL VPN提供的完善的SSO单点登录功能，用户在进入这些应用系统时，可以无需再输入帐号进行认证，而直接访问。

第 46页，共 107页

第四军医大学校园网网络升级项目

2.5.QoS服务质量保证设计

2.5.1.QoS概述

随着网络应用的不断扩展、网路内容的不断丰富，QoS越来越重要。为了建立一个能够承载多种业务的网络，在网络设计及实施中应充分考虑到QoS在网络中的应用，以及其对业务所能产生的影响。

服务等级（CoS）可以通过定义将不同类型的业务定义成为不同的等级，从而对这些不同的等级实施相应的处理以提供不同的延迟、抖动及丢弃等技术指标。

通常情况下，IP网络对数据包路由是相对独立的，不保证任何的端到端的吞吐能力，这些类型的网络所提供的服务一般被称作“尽力而为”服务。这类业

第 47页，共 107页

第四军医大学校园网网络升级项目

务的好坏与网络设备及网络链路有关，一般情况下，对大多数IP应用来说，其结果是可以接受的。但是，对于第四军医大学校园网的应用，某些实时应用提出了比“尽力而为”服务更高的通信质量要求，尤其是在网络发生阻塞时。将不同应用的业务划分为不同的等级，实施相应的处理，可以确保不同类型的应用在任何时候都正常工作。

在一个网络中，通常需要以下的三个部分来完成端到端的QoS：

－网元（路由器、交换机等设备）支持QoS，提供对列调度、流量整形等功能。

－信令技术来协调端到端之间的网元，为报文提供QoS。 －QoS控制和管理端到端之间的报文在一个网络上的发送。 而每个网元应能够提供如下功能：

? 业务分类，对不同类别的数据业务提供不同的处理。当用户终端不提供

业务分类或流分类信息时，网络设备应能根据用户所在网段、应用类型、流量大小等自动对业务进行分类。

? 队列管理和调度，满足不同应用要求的不同服务质量及等级。具有先进

的队列机制进行拥塞控制，对不同类别的业务进行不同的处理，包括时延的不同和丢包率的不同。

? 流量监控及流量整形限制以及调整业务输出的速率。接入本网络的业务

应遵守其接入速率承诺，超过承诺速率的数据将有被丢弃和标以最低的

第 48页，共 107页

第四军医大学校园网网络升级项目

优先级两种处理方式。对于IP业务应能根据策略进行流分类等保证业务QoS。

? 管理控制用来确定是否允许用户信息流使用网络资源。 服务模型

服务模型是指一组端到端的QoS功能，通常QoS提供以下三种服务模型： ? 最努力服务（Best-Effort）

最努力服务是一个单一的服务模型，也是最简单的服务模型。应用程序可以在任何时候发出任意数量的业务信息，无需要事先获得批准，也不需要通知网络。对最努力服务来说，网络只是尽可能大的发送数据，但是对延迟、可靠性等方面的指标不作任何保证。最努力服务是现在Interent上的缺省服务模型，其适用于绝大多数网络应用，如FTP、Email等。

? 集成服务（IntServ）

IntServ是一个综合服务模型，其可以满足多种QoS需求。这种服务模型在发送业务前需要向网络申请特定的服务。这个请求是通过信令来完成的，应用程序首先通知网络其自身的流量参数和需要的特定服务质量请求，包括带宽、延迟等。应用程序一般在收到网络的确认信息后才开始发送业务。同时，应用程序发出的业务应控制在流量参数描述的范围以内。

网络在收到应用程序的资源请求后执行资源分配检查（管理控制），即基于应用程序的资源申请和网络现有的资源情况，判断是否为应用程序分配资源。一旦网络确认为应用程序的业务分配了资源，则只要应用程序的报文控制在流量参

第 49页，共 107页

第四军医大学校园网网络升级项目

数描述的范围内，网络将承诺满足应用程序的QoS需求。而网络将为每个流维持一个状态，并基于这个状态执行业务的分类、流量整形、排队及调度，来实现对应用程序的承诺。

? 区分服务（DiffServ）

DiffServ是一个多服务模型，其可以满足不同的QoS需求。与IntServ不同，DiffServ不需要信令支持，即应用程序在发送业务之前不需要通知网络。对DiffServ来说，网络不需要为每个流维持单独的状态，其根据每个报文指定的QoS来提供特定的服务。可以通过不同的方式来指定业务的QoS，如IP优先级位、源地址、目的地址等。网络通过这些信息来对业务进行分类、流量整形、流量管理及排队等操作。

从技术方案的角度来说，建议应合理的部署组播及QoS协议，尽早地将其考虑到网络的整体建设中去，以避免将来不必要的资源浪费。

可以通过如下方式在本网中实施QoS保证：

－通过基于IP优先级位的业务分类对不同的业务流予以区分。 －通过排队方式来保证业务的带宽及延迟等参数。 －通过RED/WRED方式对不同的业务信息进行处理。 －利用带宽速率限制根据需要提供相应的带宽等。 几种队列技术特性的比较如下表： 队列数 优点 缺点 第 50页，共 107页

第四军医大学校园网网络升级项目

在这个设计中，采用了高端的核心路由器作为核心设备，而没有采用传统的核心交换机，其主要原因在2.1节已经论述。

由于目前的网络在高峰时间下行流量会跑满，因此建议新租用一条10M带宽用于学校网站的互联网访问。同时，可以在出口防火墙上单独建立一个虚拟防火墙来对新建线路提供带宽和安全保障。

2.4.网络部署和业务控制方案

2.4.1.用户的隔离、终结

在第四军医大学校园网中，为了避免用户之间的相互影响，可以通过网络中汇聚层和接入层交换机的VLAN划分，实现不同用户、不同应用之间的二层隔离。

VLAN的细分可以实现不同的用户与业务之间的逻辑隔离，便于实现细粒度的流量管理、控制功能，同时也避免了用户、业务之间的相互影响，如ARP欺骗等问题。

在选择控制的细粒度时，在网络的接入层面，用户/业务之间的隔离需要通过VLAN来实现。这要求网络中的二层设备能够支持标准的802.1Q VLAN，将不同用户的VLAN通过TRUNK的方式上联。这种方式下，需要考虑的是接入交换机的以下几个功能：

? VLAN功能的支持

? 支持的可划分的VLAN数量

第 31页，共 107页

第四军医大学校园网网络升级项目

? VLAN ID的范围

目前对于主流的接入交换机而言，都能够支持标准的802.1Q的VLAN功能，并且都能够支持1K以上的VLAN数量支持，很多交换机可以支持到4K的VLAN数量，VLAN ID范围为1-4K。

采用802.1Q VLAN实现用户隔离时，随着用户数量进一步增加，汇聚交换机4K VLAN也不能满足时，可以通过QinQ的方式实现VLAN数量的有效扩展。

采用QinQ方式时，需要汇聚层交换机的支持。即接入层交换机为隔离不同的用户/应用打上第一层标签，而接入层的上联的汇聚层交换机则为不同的接入交换机再打上一层外层标签，用于识别不同的接入层交换机，从而形成2个VLAN标签最大4K x 4K的VLAN支持。

DA (6B) SA (6B) ETYPE (2B) Nested VLAN TAG (2B) ETYPE (2B) User VLAN TAG (2B) ETYPE (2B) DATA (0~1500B) FCS (4B) 图：封装了外层VLAN Tag的报文格式

在采用这种方式时，一方面需要汇聚交换机支持QinQ的功能，还需要核心路由器同时提供QinQ的终结和控制功能，从而大大提高了对密集用户的隔离和接入控制的支持。

第 32页，共 107页

第四军医大学校园网网络升级项目

1001100210031-241-241-24增加外层标签1001增加外层标签1002增加外层标签1003Vlan1-24Vlan1-24Vlan1-24

另外，由于采用了双层标签来标识信息点或用户，边缘交换机的配置可以完全一致，如均为1-24，这一点非常有利于网络今后的故障分析和维护，且有利于减少大量接入层设备的配置工作量。

2.4.2.用户的互访控制

在扁平化网络架构中，用户和服务器都是终结在核心的业务控制层面上，实现统一的地址规划管理和控制。如下图所示，服务器和客户端均需要通过核心路由器实现三层的终结和相应的控制。客户端访问服务器的流量将经过核心路由器。这种方式带来的优势是控制层面集中，对用户和网络中流量的控制能力更强，管理维护更加简化。

第 33页，共 107页

第四军医大学校园网网络升级项目

这种方式相应的要求是核心设备的处理能力要足够强，并能够提供大量用户的并发终结。同时要求提供所有端口的全线速转发，从而不会导致网络性能的下降。

另外这种方式下，对于终结在同一台核心路由器上的客户端和服务器的互访流量对汇聚到核心之间的带宽占用也有所增加。由于整个校园网汇聚和核心之间都采用了万兆的互联，因此这部分带宽的占用也基本对网络整体的带宽不会产生影响。此外，这种方式下，用户之间的互访，如文件共享或打印机共享，均可以通过三层方式实现，即基于IP地址的共享来实现。

2.4.3.有线无线一体化的实现

当采用扁平化的网络架构方案时，无线的部署可以和有线网络一样，都只是提供一个校园网的接入通道，所有的控制功能均由校园网的业务控制层面实现，从而实现真正意义上的有线无线一体化校园网。

第 34页，共 107页

第四军医大学校园网网络升级项目

和交换机等有线网络设备一样，无线AP仅是提供了一个无线的二层通道，这类似于交换机提供的有线二层通道。在无线二层通道上可以支持IPoE/L2TP报文，能够提供DHCP接入，L2TP认证等机制，从而简化了无线网络设备的成本和管理维护需求。

在网络核心的业务控制层设备上，可以实现在用户通过WLAN实现接入时，向radius系统发送相应的属性信息，实现对用户无线接入的识别，并进行相应的控制或计费策略。

通过NAS-Port-Type属性，MX可以通知后台的系统，用户是从无线方式接入，从而实现区别于有线方式的针对性的控制 2.4.4.IPv4/IPv6双栈的实现

IPv6是今后网络的发展方向，下一代互联网的发展趋势就是IPv6网络。对第四军医大学校园网络而言，作为一张教学科研网络，除了支撑目前的教学、行

第 35页，共 107页

第四军医大学校园网网络升级项目

政、生产等网络应用外，很重要的一块就是需要为科研业务提供一个良好的网络平台，特别是对一些新的业务和应用的支持。

在具体的IPv6实现中，应采用IPv4/IPv6双栈的方案，即在第四军医大学校园网上同时提供IPv4/IPv6的终结和业务支持。校园网内的用户可以通过IPv6无状态地址分配的方案获得IPv6地址，简化的用户IPv6地址分配过程。用户终端无需安装任何客户端软件，只需要enable IPv6功能即可。

提供IPv4/IPv6双栈的终结和控制功能1001100210031-241-241-24无需IPv6支持增加外层标签1001增加外层标签1002增加外层标签1003无需IPv6支持Vlan1-24Vlan1-24Vlan1-24IPv4 address：192.168.1.1/24IPv6 address：2001:10ad::1/64

这种方式下，要求网络的核心路由器提供完善的IPv6业务功能和基于硬件的IPv6转发性能，并能够满足大量VLAN或者QinQ划分情况下的IPv6无状态地址分配功能。对汇聚层和接入层交换机而言，由于只提供了二层VLAN隔离的功能，因此可以没有IPv6功能和性能上的要求。

第 36页，共 107页

第四军医大学校园网网络升级项目

2.4.5.IPv6组播业务的部署

在校园网中，随着多媒体教学和今后Cernet2的应用越来越丰富，对网络的组播功能和性能的要求越来越高，特别是IPv6组播功能。对于网络中接入用户的组播复制功能，在部署的初期阶段，可以利用核心路由器基于硬件的IPv6复制能力，实现组播流量的复制和下发。

在这种方式下，IPv6的组播流量均通过核心路由器来实现复制和下发，而汇聚和接入交换机仅需提供二层透传的功能即可，无需支持IPv6的组播功能。由于校园网骨干带宽比较充足，因此能够满足组播流量的带宽需求。需要考虑的是核心路由器必须具备基于硬件的较强的IPv6组播复制性能，才能满足大规模部署时大量用户并发时的组播复制要求。

Cernet2边界路由器核心汇聚接入

2.4.6.用户的精细化管理和认证计费的实现

第 37页，共 107页

第四军医大学校园网网络升级项目

从校园网发展的方向看，目前的粗放式管理的方式已经不适应校园网今后的发展需求。目前，通过三层交换机组建的校园网，从网络应用管理控制的角度来说，只是满足了基本的网络互联互通的需求，但缺乏相应的基于用户的控制手段。用户只要接上网络，就能获得网络的使用权，整个访问过程没有针对性的记录、审计和控制，导致了网络的无序使用。

校园网的发展趋势是精细化管理，一方面，针对网络中的使用者，实现基于用户身份的行为控制，诸如可访问的资源权限、对网络带宽的占用等方面的控制，做到可控制、可管理。另外，针对网络中的应用，实现完善的流量识别和控制能力，保障重要应用系统的网络承载，包括安全性、带宽保障、可靠性等方面，做到可识别、可保障。

采用路由器架构的校园网，能够满足校园网精细化管理的需求：

? MX系列路由器能够提供细粒度的VLAN划分和QinQ终结能力，单块

板卡即支持16K VLAN的终结，从而能够对校园网中的不同用户、不同应用进行更加细化的二层隔离和有针对性的控制；

? MX系列路由器通过基于硬件的业务识别和控制功能，能够实现在同一

张网络平台上多业务的融合和高性能的处理。如IPv4/IPv6双栈的承载，IPv6组播流量的高密度复制转发，MPLS VPN的应用，基于用户/应用的QoS服务质量保障等。从而提供一张能够真正承载今后高校信息系统发展的网络平台；

? MX系列路由器能够平滑支持用户接入控制功能，从而在校园网内部提

供基于用户身份信息的精细化控制管理功能，对每个用户的网络访问权

第 38页，共 107页

第四军医大学校园网网络升级项目

限和带宽进行细致的控制和实时的记录和审计，实现对使用者身份（可与一卡通系统实现整合）、网络IP地址及其访问行为的识别和记录，做到可跟踪和可追查。

采用MX系列高性能路由器作为第四军医大学的核心网业务控制设备，能够实现用户接入网络的精细化管理功能，MX为用户接入提供的DHCP流程中集成了认证模块，能够实现在用户PC接入网络获取IP地址的同时，就能够同步记录下用户的MAC地址、所在的具体位置（精确到交换机端口，包括内层VLAN ID和外层VLAN ID）、接入网络的时间、获取的IP地址等多种信息，并对每个用户细致的访问权限、上下行速率的控制，从而实现用户接入网络的可识别、可管理、可控制，而这个过程用户没有任何感知。获取的信息如下图所示：

同时，通过PC接入网络时的信息获取，能够实现一些数据统计，如在线用户数，用户请求接入网络数、用户与物理位置的对应等信息，从而能够提供相应的统计报表，如下所示：

第 39页，共 107页

第四军医大学校园网网络升级项目

对于校园网内部大量的终端而言，需要有相应的控制手段来实现对用户的网络接入控制、认证和计费等方面功能。Juniper的用户认证计费解决方案提供了

第 40页，共 107页

本文来源：https://www.bwwdw.com/article/a0x2.html