安捷信武漢辦網絡產品部改造總體思路把認證計費系統統一，有線無線一體化管理，簡化網絡結構，簡化維護管理。消除接入匯聚的二層環網。升級網絡帶寬，校園網全萬兆演進。全網IPv4/V6雙棧部署。為減少終端維護工作量，認證方式將不采用原有的802.1x模式，而采用PPPoE和Portal認證的混合模式，建議學生宿舍區、家屬區采用PPPoE接入模式；教學實驗、辦公區以及WLAN采用IPoE(MAC+Portal)模式。兩種模式可靈活選擇，也可同時在統一接入地點共存。改造過程平滑過渡，用戶無感知。改造后的網絡拓撲示意核心層采用兩臺ME60-X8高性能大容量BRAS，為全校無線和有線用戶提供統一用戶接入與核心路由轉發。整個網絡使用一套深瀾認證計費系統，與ME60對接，把認證計費模式統一起來。結束原來網絡中多套認證計費系統并存的現狀，簡化管理。核心交換機上行鏈路采用10GE冗余，兩臺ME60之間部署雙機熱備功能，使用VRRP實現快速切換，提高可靠性。本方案對接入層交換機基本無要求，開放性高，可利舊原有交換機，但是從安全考慮，盡可能在接入交換機部署Pvlan或端口隔離，阻止接入層二層直接互通。PPPoE認證計費方式討論辦公區，學生區，家屬區采用PPPOE認證模式。每用戶每VLAN或每樓棟每VLAN模式。對比原802.1X認證計費模式，改造后有如下優點。所有接入終端，都和網關建立點對點Session連接。認證通過后才能獲得IP地址。PPPOE不存在ARP機制，減少了網絡中的ARP問題。交換機完全作為二層透傳和端口收斂來用。無特殊需求，無需綁定任何廠家，只要支持交換機基本功能即可。每用戶每VLAN，完全解決了廣播風暴和環網問題。所有流量經過ME60，管理點集中化。可以控制每用戶流量帶寬及用戶業務優先級。計費策略多樣化（包月、按流量、按時長等多種策略組合）認證客戶端為操作系統自帶或綠色軟件客戶端。無程序兼容問題。天然具備IPV6業務演進能力。IPoE認證計費方式討論辦公區建議采用IPOE和PPPoE混合認證模式，每部門每VLAN或每院系每VLAN。無線接入采用IPoE認證模式。IPoE對比原Potal認證模式，改造后有如下優點：控制粒度可以精細到用戶級，可以統計用戶流量，控制用戶帶寬，控制用所戶訪問資源等。采用先MAC后Portal的認證方式，只需一次認證通過，下線后在后臺記錄其MAC地址，下次認證無需再在portal頁面輸入用戶名密碼，可實現無線終端的無感知認證。每部門劃分一個VLAN，廣播域控制在部門內。三層網關起在ME60上，所有跨三層訪問經過ME60。跨三層業務既做到準入，又做到準出。計費策略多樣化（包月、按流量、按時長等多種策略組合）辦公區服務器和用戶終端并存方案(認證方案)

BRAS

ME60匯聚交換機（可選）接入交換機普通用戶終端服務器終端需求場景：在一些院系存在一些服務器是靜態分配的IP地址對外開放，這些服務器是不需要認證的，而且他們跟本院系普通用戶終端公用一個交換機同一個VLAN，無法用位置信息區分，因此需要既保證普通用戶通過PPPoE或IPoE上線，還要保證服務器終端不用認證并使用固定IP，同時還要保證數據安全，防止地址被仿冒；解決方案：接入交換機打VLAN標識位置信息，也可通過匯聚交換機打VLAN，在連接BRAS的相應子接口上起IPoE認證，同時在AAA認證服務器上輸入服務器的MAC地址，在服務器網卡上電時會發起DHCP請求獲取IP，DHCP

Server既可以直接起在BRAS上也可以通過relay方式起在第三方服務器上，在server上配置MAC與IP地址的綁定，會分配固定的IP給服務器，同時BRAS會把MAC和VLAN信息送到AAA上進行認證，認證通過以后該服務器將被當作特殊的用戶來轉發數據流量。對于其他普通用戶，按照IPoE或PPPoE流程進行正常處理即可。如果中間有匯聚交換機，配置DHCP

Snooping，防止地址仿冒。此外，服務器終端也可進行PPPoE認證，通過AAA實現IP和MAC綁定；優缺點：該方案優點在于安全性高，并可實現統一管控，缺點在于要在后臺配置MAC和IP的綁定，工作量較大。AAA認證計費系統辦公區服務器和用戶終端并存(靜態IP方案)

BRAS

ME60匯聚交換機接入交換機普通用戶終端服務器終端需求場景：對于服務器終端數量較多,且變動較大的場景，配置MAC地址工作量較大，可采用在服務器上配置靜態IP；解決方案：在BRAS和接入交換機之間插入三層匯聚交換機，采用二三層混跑模式。在下行口和上行口配置用戶VLAN并配置vlanif作為服務器終端的網關發布路由，服務器靜態配置局域網IP地址。對于二層撥號的用戶終端，交換機透傳到BRAS，對于三層交換的用戶終端，匯聚交換機作為網關根據路由表在上行方向進入VlanIF，并在BRAS相應Vlan子接口上配置網絡側地址或三層專線，可正常進行轉發，從安全考慮，在ME60的子接口上配置ACL，只允許配置的IP網段通過。優缺點：該方案優點在于后臺不需要配置IP和MAC的綁定關系，節省了工作量，缺點是對該區域缺乏管控，特別是在于普通用戶終端共享的情況下，無法保證IP地址不被冒用。AAA認證計費系統Vlan10（用戶和服務器混合接入VLAN）Vlan10（用戶二層透傳）Vlan20（三層路由轉發）辦公區IT設備共享方案BRAS

ME60匯聚交換機接入交換機普通用戶終端打印機/傳真機需求場景：對于辦公區的IT設備,例如打印機、傳真機等設備，需要對本區域的終端互聯并實現共享，同時對于外區域設備不可見；解決方案：認證方案：對于這些IT設備進行MAC接入認證，在后臺輸入MAC地址和VLAN，設備上電以后申請IP地址，如MAC匹配則認證通過并且下發策略，通過ACL限制只允許該區域所在的終端IP地址訪問，或者只允許特定的用戶訪問。該方案的優點在于安全可控，而缺點在于配置工作量較大；局域網方案：在一個區域通過接入交換機或者匯聚交換機將終端放到一個VLAN下，由該區域用戶自行規劃IP地址并實現共享，該IP網段在BRAS上不被識別因此也不會發布到學校網絡中去。用戶如果需要上線則可以進行PPPoE撥號或者將網卡改成DHCP方式獲取地址通過IPoE上線。該方案優點在于配置工作量小，符合辦公區老師的平時辦公習慣，缺點在于局域網缺乏隔離，存在原有的環網或ARP攻擊，而且只能在小范圍內共享，不能靈活進行配置。AAA認證計費系統校園業務專網方案數據中心核心BRAS

ME60-X8匯聚交換機利舊分布式BRAS

ME60-X3需求場景：校園內部存在許多專有業務系統，如一卡通系統、安防監控系統、多媒體系統等，這些系統需要專網承載，與普通接入用戶隔離；解決方案：采用虛擬專網方案，對于三層路由的部分，使用MPLS

VPN，對于二層交換匯聚的部分，使用VLAN進行隔離，在BRAS上配置網絡側子接口并實能MPLS

VPN功能。在各個虛擬專網下由業務部門自行規劃IP地址以及業務管理維護，如果需要互通的時候在核心路由器上通過VPN路由引入策略與公網路由進行互通。應用層IPv4和IPv6雙棧認證-PPPoEIPv6使用PPPoE接入，PPP認證 ME60上，IPv4和IPv6都配置為PPP認證

客戶端不區分V4和V6。認證通過，V4和V6均可以訪問網絡（V4和V6共用一個PPPSeesion） ME60向RadiusServer上送流量時，通過不同的屬性區分，分別計費VlanQinQIPv6Radiusserver地址申請V6地址分配PPP認證認證通過進入認證后域認證通過網絡訪問網絡訪問V4流量，計費V6流量，不計費V6報文用戶信息V4報文二層報文地址申請V4地址分配IPv4和IPv6雙棧認證-IPoEIPv4和IPv6均采用IPoE接入，IPv4Web認證，IPv6不認證 ME60上，IPv4和IPv6都配置為Web認證，但v6從認證前域獲取v6地址，前域未限制v6訪問權限，所有v6可以正常訪問網絡 IPv4認證前無訪問權限；由于PC的MAC相同，v6/v4認為是同一個用戶（如果PC和BAS間有三層設備，relay時攜帶MAC信息） ME60向RadiusServer上送流量時，通過不同的屬性區分，分別計費注：1、圖中在BAS和PC間增加了三層設備，實際組網可以不存在2、采用IPoE方式接入時，可能存在用戶異常掉線時的場景。對此場景，ME60設備本身存在默認探測功能，即默認連續發送5個ARP探測包，每個包間隔30s，即150s檢測不到用戶，將用戶賬號強制下線；VlanQinQIPv6Radiusserver認證通過V4網絡訪問V6網絡訪問V4流量，計費V6流量，不計費V6報文用戶信息V4報文二層報文地址申請V6地址申請RelayWebserver地址分配認證通過Relay（攜帶PCMAC）V6地址分配已認證用戶，無需再次Web認證計費靈活性針對賬號有不同計費方式和費率比如有流量計費、時長計費、配額、包月等供老師、學生選擇針對位置區域有不同計費比如同樣賬號，但是教師在家屬區和教研室計費費率不同針對訪問目的地有不同計費比如去往教育網、運營商有不同費率針對時段有不同計費比如夜間12:30-7:00是一個費率，白天是另一個費率針對時間分段式的計費比如前30個小時不計費，后按時間計費，達到費用上限后，后續又免費多對一的計費比如導師帶的學生，統一計費在老師賬號下一對多的計費比如一個學生學習，計費分攤到本院系和學科院系中與認證計費服務器配合，BRAS設備可實現多種靈活性計費，如下：Radius服務器BAS計費服務器賬號+上下線時戳+上下行字節統計賬號+用戶組關聯關系+時長+字節流量+計費方式靈活度靠Radius服務器和計費服務器來支撐只對滿足條件（如目的地）的網絡流量進行統計并輸出，是BAS設備的需求校園網絡防攻擊部署建議L2匯聚交換機APRadius服務器WEB服務器計費服務器數據中心1、路由協議MD5認證2、CPCAR和攻擊溯源3、URPF1、CPCAR和攻擊溯源2、ARP防網關沖突、ARP防欺騙、ARP-Miss源抑制等3、DHCPSnooping綁定檢查，信任檢查，Request報文檢查….1、端口限速、阻斷2、MAC容量限制DHCPSnoopingMAC學習3、ARP嚴格學習，表項限制，

報文源抑制，表項檢查…4、TC保護，ROOT保護，

環路保護…宿舍樓1宿舍樓2AP教學樓1教學樓2攻擊方式攻擊子類防護措施流量攻擊環路風暴端口限速

端口阻斷僵尸網絡MAC攻擊虛假MACDHCPSnoopingMAC學習大量MACMAC容量限制ARP攻擊緩沖區溢出ARP嚴格學習

ARP表項限制拒絕服務攻擊ARP報文源抑制掃描攻擊ARPMiss報文抑制地址欺騙ARP表項檢查

網關沖突檢查DHCP攻擊中間人DHCPSnooping綁定檢查仿冒者DHCPSnooping信任檢查餓死攻擊MAC限制CHADDR值攻擊CHADDR檢查仿冒續租報文Request檢查拒絕服務攻擊報文限速IP攻擊源地址欺騙URPF路由協議攻擊大量路由報文兩級CPCARSTP協議攻擊偽造報文TC保護偽造配置BPDU保護錯誤配置ROOT保護鏈路擁塞/故障環路保護針對不同層級設備面臨的威脅，部署相應的防攻擊手段全方位防護人為惡意攻擊或者管理員誤操作BRAS接入交換機校內WLAN覆蓋方案

1）使用AP6010SN/DN完成教學樓、實驗室、宿舍、公寓等室內WLAN覆蓋；使用AP6510DN完成操場等室外場景覆蓋；采用雙頻AP，適配校園高密無線接入的需求（室內AP盡可能接POE接入交換機直接供電）

2）統一AC部署和管理，方便校內跨AP漫游；在核心層ME60上旁掛AC6605，并實現N+1冗余備份。

3）ME60下增加熱點交換機實現AP接入；AC與AP二層互聯，以保證AP可以零配置使用； 4）無線用戶的接入認證：終端采用IPoE方式接入認證，AC二層接入，AC下發業務VLAN到AP；無線終端和AC建立無線鏈路關聯，鏈路關聯不做認證；認證和計費都由BRAS完成。5）用戶數據轉發方式：集中轉發（隧道轉發）：用戶數據封裝在CAPWAP隧道中，AC下發業務VLAN到AP，因為AC會將用戶VLAN切換成原始注冊VLAN，此時用戶漫游業務VLAN不變。本地轉發：用戶數據經接入交換機直接轉發，無線AP基于SSID添加VLAN（一般可配置每層樓一個VLAN，如果接入接入交換機，也只是透傳，不改變報文VLAN）;匯聚層需要考慮靈活QinQ來避免添加外層VLAN；此時ME60上支持用戶變VLAN，以支持跨AP漫游

混合區域無線區域有線區域核心層AAA服務器匯聚層接入層新建熱點接入交換機CernetAC6605如何做到平滑切換我們的切換改造不是一蹴而就的，而是分布實施，做到影響范圍最小，用戶無感知。改造初期，ME60可以采取旁掛方式，接在某核心交換機上。改造可以分布進行。例如：當前需要對Z-X-C720下掛用戶改造，可以先把其下掛每個匯聚交換機進行改造。1、先把D6-5750×2用戶地址收上來，在ME60建立地址池。2、在D6-5750×2上劃分一個VLAN，該VLAN在ME60上終結。3、D6-5750×2下掛用戶啟用QinQ。改造后，

D6-5750×2下所有用戶通過PPPOE方式在ME60接入，流量在ME60終結。整個過程網絡其它部分無感知。總之思路就是把原來交換機業務慢慢捋出來，切到ME60上。ME60產品介紹特性ME60-X3ME60-X8ME60-X16交換容量1.08Tbps1.44Tbps2.56Tbps轉發能力/槽40G200G200G槽位數3LPU,2MPU8LPU,2SRU,1SFU16LPU,2MPU,

4SFU

高度4U14U32UFIB1M1M1M單板用戶數32KPPPoE/IPoE32KPPPoE/IPoE32KPPPoE/IPoE整機用戶數96KPPPoE/IPoE256KPPPoE/IPoE256KPPPoE/IPoE基本配置功耗222W374W498WME60ME60-X3ME60-X8ME60-X16X后面的數字代表業務槽位數，目前可以提供單槽位20G、40G、100G單板，后續規劃可以升級到240G。40G目前為性價比最高。主控1＋1備份，交換網2+1備份。每槽位用戶接入數32K并發。整機上線速率1K/s。支持PPPOE雙棧、IPOE雙棧、PPPOE和IPOE混合雙棧。業務單板分類:BSU（用戶接入側）、MSU(網絡側);靈活插卡類（BSUF）、固定接口類(BSUI);高隊列規格（每單板256K、64K）、低規格隊列（每端口8個）。支持DAA功能必須選用高規格隊列單板硬件隊列的作用－》HQoS高性能：支持256K隊列，確保32K用戶實現8業務完美調度靈活的應用和業務傳送：小顆粒帶寬管理、策略調序、優先級排序NEWSubscriberIDVoIPVideoInternetAppsInternetHDTVGamingSpecialAPPSOther雙機(多機)熱備IPCoreVRRPVRRPME60匯聚交換機終端可以從2個BRAS上線，默認從主BRAS上線，主用BRAS故障，終端不掉線，從備BRAS接入。主備選擇采用VRRP實現。終端信息通過私有協議備份主備控制采用VRRP協議，VRRP基于Port+Vlan的粒度控制主備狀態；ME60和終端交互會話的源MAC采用VRRP的虛擬MAC地址；當發生主備切換時，通過發送免費ARP切換上行流量；部署VRRP+PeerBFD可以加快故障檢測，提高倒換性能；VRRP可以跟蹤網絡側鏈路進行故障切換VRRP可以跟蹤CGN單板進行故障切換；雙機故障倒換過程IPCoreDest：/16Nexthop：(優選)Nexthop：a.正常情況IPCoreb.發生鏈路故障后快速切換1ME60-1ME60-1IPCoreME60-1M