传统普教城域网存在的问题
1、无认证管控,终端随意接入网络并访问城域网,安全隐患大,城域网出口带宽严重不足;
2、无法区分师生身份,业务系统使用混乱。
3、IP地址滥用、IP地址冲突,影响业务的正常运行,若采取IP/MAC绑定,工作量大,老师移动办公不方便
4、无实名审计信息,难以真正满足审计要求,出现安全事件,难以定位到人。
新组网方案功能点
应对传统城域网存在的缺陷问题,究竟采用N18k+MSC+SMP+elog组网方案能解决什么问题呢?解决问题如下:
1、对接入用户实现准出认证,对不同用户组实现权限管理,同时实现SMP以及ELOG认证日志记录
2、对用户精细化流控,对用户上网行为实时记录,对终端URL审计
3、认证平台实现自助服务,终端可登陆自助平台执行自助修改密码等操作
4、认证平台故障逃生,当认证服务器宕机,用户可逃生上网
5、整个城域网内需满足上网的师生超过1.5万规模,可支持大规模用户终端认证接入。
改造前网络部署
改造前,该城域网是典型的三层网络架构,即核心-汇聚-接入。同一城域网下各所学校拥有自己的接入与汇聚设备,各学校再通过运营商网络三层汇聚到城域网汇聚上。城域网汇聚也是通过三层路由与核心设备对接。
对于这样的城域网络,需要实现集中认证、流控、实名审计,若按照常用方式改造,将带来不便以及风险,例如:
1、若采用普教城域网方案,各学校采用EG作为出口认证设备,则认证较为分散,NAS设备不利于集中管理。
2、如按照传统扁平化集中认证方案,需要将用户网关和DHCP Server上收至核心设备,网络改动太大,需要冒很大风险
改造后网络部署
该方案如图所示,改造后的网络多了旁挂的N18k设备、MSC设备,服务器区多了elog服务器与SMP服务器。其余网络结构保持核心-汇聚-接入三层不做任何改动。
实现方式如下:
1、采用N18k作为认证网关设备旁挂在核心设备上,进行三层准出认证,同时将所有有线包括后期无线的用户数据在核心设备上引流,数据引流至N18k实现统一准出认证
2、服务器区部署身份认证系统SMP服务器,与认证网关设备对接,实现用户身份合法性校验,合法用户可认证成功并访问网络。
3、N18k作为认证网关设备,搭配MSC线卡。将核心设备引流过来的数据引流至MSC线卡,MSC线卡实现对用户数据流控后将用户数据引流回N18k,N18k将来自MSC线卡的数据引流回到核心设备进行正常路由选路。
4、服务器区部署日志审计系统elog服务器,对全区上网用户行为实名审计。
新组网方式适用场景
N18k+MSC+SMP+elog组网方案的适用的普教城域网场景
1、要求保持城域网三层架构不变
2、需实现集中实名认证需求
3、需认证的用户规模大,一般在1.5w以上
4、实现上网行为审计需求
5、用户访问网络需实现实名流控需求
加入我们
领取专属 10元无门槛券
私享最新 技术干货