改造背景
中南民族大学校园网自2004年广泛应用以来,教学办公区一直使用人工ARP绑定方式认证,在此区域师生用户均不收费,学生区先后使用了两个厂商的网关型认证设备,按每月20元,不限制流量和上下行带宽包月,IP获取需要到服务大厅打印并手工配置,由认证网关进行ARP绑定。随着校园网的发展,绑定ARP认证给用户带来诸多不便,旧设备性能已远远无法满足用户量的增长,认证无法满足多种终端和操作系统的支持,无法提供IPv6的认证,设备不具备组网架构冗余和负载均衡等可靠性要求,以及与数字化校园统一身份认证集成、灵活的技术架构等管理方面的需要。
改造认证系统前,校园网完成了汇聚层升级,实现了汇聚层双万兆到核心,楼栋接入层双万兆到汇聚,接入层千兆到桌面,IP地址使用10段虚地址DHCP动态分配。这样一来,用户不用认证就可以自由访问园区网内资源和站点,只是访问互联网需要鉴权准出。
建设思路
认证系统的总原则是:在避免改动原有三层网络架构的基础上,以满足未来5~10年的性能趋势进行技术选型,兼顾无线网络、有线网络和IPv4/IPv6双栈的统一认证,支持丰富的终端类型,同时减轻管理维护的复杂度。
首先是保持现有网络三层架构,相当于直接排除了802.1X和PPPoE两种认证方式。802.1X不仅需要现有接入层和汇聚层交换机支持相应的功能,还需要在这些大量的交换机上做配置,工作量较大;PPPoE则要求把三层结构废除,重新配置成大二层网络,暂且不说大二层网络自身的缺点,仅是全网的大二层改造就是一项费时费力的工程。保持网络架构,能够最大可能地保证用户接入的可靠稳定,避免这一项改造对用户造成的持续影响,同时也降低本项工程自身的成本和复杂度。
其次是满足未来5~10年的性能,这要求该设备至少是10Gbps以上的业务接口,单台交换能力应在300Gbps以上,同时在线不少于12000用户。
再次是兼顾有线和无线、IPv4和IPv6的统一认证,有线网络的认证灵活性较大,支持的方式较多,无线网络则须考虑IPoE、无感知认证等方式,IPv4和IPv6双栈要求一次认证,同时获得双栈的网络地址,提升用户网络访问体验。
最后是管理维护,其复杂度和认证系统架构本身息息相关,认证系统部署在园区网中,是串接还是旁挂,影响着核心网络架构的修改,双机集群将保证认证系统自身的高可用性,此外还须兼顾办公室环境的局域网共享。除去了上述802.1X和PPPoE方式后,设备能支持的认证方式也所剩不多,在综合比较后,计划采用BRAS支持的L2TP方式。
方案设计
经过仔细的比较筛选和分析研判,中南民族大学最终选用了ME60设备作为认证网关的改造方案,图1为认证系统改造网络拓扑。
图1 认证系统改造网络拓扑
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。