行业技术前线＃普教城域网之MSC＋SMP！

传统普教城域网存在的问题

1、无认证管控，终端随意接入网络并访问城域网，安全隐患大，城域网出口带宽严重不足；

2、无法区分师生身份，业务系统使用混乱。

3、IP地址滥用、IP地址冲突，影响业务的正常运行，若采取IP/MAC绑定，工作量大，老师移动办公不方便

4、无实名审计信息，难以真正满足审计要求，出现安全事件，难以定位到人。

新组网方案功能点

应对传统城域网存在的缺陷问题，究竟采用N18k+MSC+SMP+elog组网方案能解决什么问题呢？解决问题如下：

1、对接入用户实现准出认证，对不同用户组实现权限管理，同时实现SMP以及ELOG认证日志记录

2、对用户精细化流控，对用户上网行为实时记录，对终端URL审计

3、认证平台实现自助服务，终端可登陆自助平台执行自助修改密码等操作

4、认证平台故障逃生，当认证服务器宕机，用户可逃生上网

5、整个城域网内需满足上网的师生超过1.5万规模，可支持大规模用户终端认证接入。

改造前网络部署

改造前，该城域网是典型的三层网络架构，即核心-汇聚-接入。同一城域网下各所学校拥有自己的接入与汇聚设备，各学校再通过运营商网络三层汇聚到城域网汇聚上。城域网汇聚也是通过三层路由与核心设备对接。

对于这样的城域网络，需要实现集中认证、流控、实名审计，若按照常用方式改造，将带来不便以及风险，例如：

1、若采用普教城域网方案，各学校采用EG作为出口认证设备，则认证较为分散，NAS设备不利于集中管理。

2、如按照传统扁平化集中认证方案，需要将用户网关和DHCP Server上收至核心设备，网络改动太大，需要冒很大风险

改造后网络部署

该方案如图所示，改造后的网络多了旁挂的N18k设备、MSC设备，服务器区多了elog服务器与SMP服务器。其余网络结构保持核心-汇聚-接入三层不做任何改动。

实现方式如下：

1、采用N18k作为认证网关设备旁挂在核心设备上，进行三层准出认证，同时将所有有线包括后期无线的用户数据在核心设备上引流，数据引流至N18k实现统一准出认证

2、服务器区部署身份认证系统SMP服务器，与认证网关设备对接，实现用户身份合法性校验，合法用户可认证成功并访问网络。

3、N18k作为认证网关设备，搭配MSC线卡。将核心设备引流过来的数据引流至MSC线卡，MSC线卡实现对用户数据流控后将用户数据引流回N18k，N18k将来自MSC线卡的数据引流回到核心设备进行正常路由选路。

4、服务器区部署日志审计系统elog服务器，对全区上网用户行为实名审计。

新组网方式适用场景

N18k+MSC+SMP+elog组网方案的适用的普教城域网场景

1、要求保持城域网三层架构不变

2、需实现集中实名认证需求

3、需认证的用户规模大，一般在1.5w以上

4、实现上网行为审计需求

5、用户访问网络需实现实名流控需求

加入我们