随着学校对现代信息化建设的投入越来越大,越来越多的业务已经承载在校园网中为学生老师提供大量的应用。这些业务系统对于学校来说虽然是一个相对开放的网络,但是学校并不是一个天然的网吧,需要对任何接入的终端用户实施有效的管理,目前校园一般具有两种管理策略:基于身份认证的准入管理和基于身份认证的准出管理,两者功能不一,前者通过身份验证授权用户访问校园网,实现了入网即认证,而后者则授权用户访问internet,并配合流控及计费完成学校对于用户的精细化管理。很显然基于身份认证的准出管理无法保障校园内网的安全性,所以要做到有效的校内安全管理,准入认证必不可少,H3C通过对高校准入认证的问题提出了自己的扁平化方案。
挑战:
校园安全一直是各高校信息部门最为关注的问题,这些安全问题大量来自与ARP攻击、ND攻击等,同时也面临着校园用户在外或在内BBS论坛上发标非法言论或其他网络违规行为,解决这一问题最好的解决方案就是做用户之间的隔离,同时做实名制的接入认证。但是由于802.1q vlan仅仅只支持4K个用户VLAN所以使得在每个用户隔离上遇到了瓶颈,同时由于对于学校的入口—–接入交换机,大量的设备意味着需要大量的配置及管理,这将消耗太多的人力和时间成本。
解决方案及价值实现
H3C充分了解用户的需求,并提出了自己的扁平化认证解决方案,很好的满足了用户安全管理、简单运维等需求。方案如图:[y1]
安全的基准PUPV:
方案中利用了QINQ的双层VLAN特性,将接入层设备的用户VLAN嵌套在外层VLAN中,实现了4K*4K个用户VLAN的扩展,使得能很好的满足学校用户与用户之间隔离的需求,从根本上断绝了ARP/ND攻击保障了校园网络的安全性。
全面的接入认证技术
H3C扁平化方案中采用的BRAS设备支持目前最全面的认证技术,无论学校原有的认证技术是Portal、PPPoE、IPoE、或者MAC认证,其都能给予良好的支持,使得用户在改造中能够实现平滑的切换。
简化配置:
在传统方案中,如果学校需要添加接入认证,那么必须在校园网的入口,即接入交换机上进行认证的配置,而学校的接入交换机成百上千,给予管理员太大的工作量,极大增加了管理成本,而扁平化方案中,所有的配置全部集中到核心的BRAS设备上,大大简化了网络配置,真正打造极简网络架构。
IPv6简单升级
对于老校区的改造,升级IPv6一直是一件痛苦的事情,传统方式学校需要对于接入或者汇聚进行升级以获得设备对于双栈协议的支持,而大量的接入与汇聚改造不仅增加了设备的采购成本,同时重新配置如此庞大的设备也让学校运维人员望而却步,而在集中式认证的组网方式下,所有的汇聚、接入均处于一个大二层的环境,实现了IPv6的自然透传。这样不仅节约了用户的成本,还使得用户配置大大简化,极好的契合了目前高校的需求。
准入准出统一认证
当校园添加了准入认证以后与原有的认证系统(准出认证)将形成两套不同的认证模式(校园网内不计费,访问外网计费);传统的模式将部署两台不同的认证设备,而H3C扁平化技术提供的ITA特性让网络的简化发挥到了极致,ITA功能能够对于用户的流量进行区分,针对于不同目的IP地址访问的流量设置不同的计费、限速策略,真正实现准入准出一体化。
该文观点仅代表作者,本站仅提供信息存储空间服务,转载请注明出处。若需了解详细的安防行业方案,或有其它建议反馈,欢迎联系我们。
