a8222021 发表于 2021-9-28 09:15:05

【案例】XX 学院SD-WAN解决方案

现状描述

学院现有两个校区(A 校区和 B 校区)。A 校区学生宿舍网络由电信承建;办公区互联网接入有电信 500M、教育网 100M 用于办公学习。B 校区互联网接入电信 100M 带宽用于办公学习。学校办公区带宽资源目前较紧张,没有通过合理调度与管控,对校内师生上网进行管理,无法充分利用网络资源与保障全校师生工作、学习用网。需要针对学校内网的上网行为管理、流量控制、行为日志审计等需求进行改造,提供一个更安全、更高效的上网环境。

需求分析

1、新生入学后,学校即为新生分配学号,即一卡通卡号(账号),该账号是学生在校园里的唯一身份标识,包括门禁系统,食堂就餐刷卡,水房买水,澡堂洗澡,图书馆借阅等,全部使用一卡通进行刷卡计费。运营商通过手机套餐的形式将宽带接入销售给学生,因此在运营商那里账务信息是手机号码,但学校希望学生通过学号相关信息上网,这样便于上网行为审计和作大数据分析。因此存在学校账号和运营商账号不一致问题需要解决。
2、目前 A 校区和 B 校区业务交互是通过 IPSeC VPN 方式来实现。此方案分公司虽然在数据安全性上有很好的保障,但是在传输的效率及稳定性上体验较差。
3、在日常工作中,学校实验室,多媒体教室需要设置能上互联网的白名单应用,其它教学机房禁止上互联网。还需要按照办公时间和非办公时间设置不同流量控制策略。
4、校园网需要检查共享上网的用户,针对这些用户做策略限制。
5、学校之前只有电信线路,近期新接入了教育网线路。有链路负载均衡的需求。
6、用户自己手工修改 DNS(不使用校园网提供的 DNS)导致流量调度策略失灵,同时导致访问内网资源要绕道外网,造成资源浪费。

通过了解北京 XX 学院现网情况及根据客户需求,本着为客户服务的宗旨及解决客户网络痛点问题,设计通过Panabit 的代拨解决方案、SD-WAN 解决方案,Panabit 多功能网关+Panalog 日志审计系统的整体解决方案,为客户提供更安全、更高效的网络,同时简化运维管理,提升客户效率的方案。

解决方案

北京 XX 学院共采用三台 Panabit 智能应用网关。其中,两台分别部署在 A 校区出口和 B 校区出口,主要用于公网 IP连接数管理、应用管控、负载均衡;另一台部署在学生宿舍出口,主要用于 PPPOE 代拨。两个校区之间通过 SD-WAN 线路实现互联互通。

北京 XX 学院网络拓扑如下:


一、PPPOE 代拨方案

学校的校园网是校内自己建设,自己维护;学生的宿舍区网络是由电信承建,采用 PPPoE 代拨的模式,校内用户采用同一套身份认证系统,学生在访问互联网时候,可以自由选择使用校园网或者电信代拨网络。

PPPoE 代拨流程

1、用户接入网络时候,通过弹出的 Portal 认证,输入校内的账号和密码,同时,选择对应的运营商
2、校内的 AAA 校验用户的校内账号的正确性,正确的话,验证通过,同时,把该用户对应运营商的相关信息发给代拨网关。
3、Panabit 代拨网关根据用户选择的服务通过代理接口将绑定的运营商账号发送给运营商 BRAS 进行 PPPoE 拨号认证;
4、账号都校验成功后,Panabit 将地址进行用户内网 IP 和代拨成功的 IP 数据进行一对一 NAT 转换,实现学生上网的功能。

PPPoE 代拨方案能够解决哪些问题

1、解决学校和运营商账号不一致问题。
运营商通过手机套餐的形式将宽带接入销售给学生,因此在运营商那里账务信息是手机号码,但学校希望学生通过学号相关信息上网,这样便于管理和作大数据分析。因此存在学校账号和运营商账号不一致问题。通过 Panabit 代拨轻松解决这个问题,在校内使用学校账号,而通过 Panabit 网关代拨后接入运营商 BRAS 时候自动转换成运营商 PPPoE 的账号信息。

2、解决学生跨运营商访问校内服务器问题
在传统的 PPPoE 中继场景下,学生用户获取到的是上级运营商分配的 IP 地址,此时学生访问学校服务器需要先从相应的运营商再路由到校园网,由于运营商之间路由的问题,经常会发生访问校内服务器卡顿,延时大问题。通过北京派网软件有限公司7 / 13Panabit 网关代拨,终端用户获取到的是校园网分配的校内IP 地址,可以直接访问到校内服务器,提升学生的体验感。

3、实现实名准入
所有网络终端,在访问互联网时,全部通过 Panabit 下发的 Protal 页面进行 web 认证,再由 Radius 校验账号、密码、绑定运营商套餐情况等信息以后,决定学生能不能上网、如何上网,在便于学校对学生互联网访问进行管理的同时,也满足《网络安全法》中,对于实名制上网的要求。

4、实现实名制审计
PPPoE 代拨方案中,学生使用校内 IP 地址,通过 Panabit网关代拨后成为运营商的 IP 地址后进行一对一 NAT 转换。因此,学生上网的 NAT 日志,账号日志、访问外网的 URL 日志等均可以在校内进行完整的保留,且日志保留时间可以远大于 180 天,完全满足《公安部 82 号令》日志审计的需求。

5、防私接管理
Panabit 网关可以协助运营商检测出同一个帐号下有多少台电脑以及手机等移动终端设备共享着上网;能自动分析并获取用户登录帐号,辨别出其中的非法共享行为;能对非法共享行为用弹出警告、网页阻挡、智能限速等引导方式;基于综合多种检测方法,使用户无法逃避。Panabit 共享检测技术主要有 TTL 检测、时钟漂移、IP 包头 Identification轨迹检测、应用特征检测、cookie 检测。 共享用户识别后,运营商可以设定个性化资费套餐,如设置为“共享用户三台不管控,四台以上管控”,可自由设置管控阀值,灵活方便;

二、SD-WAN 解决方案

Panabit 具有自主研发的广域网加速隧道协议 iWAN。原有的一些隧道协议并非针对 SD-WAN 场景设计,很多特性无法适配广域网上多重 NAT 场景,在稳定性和重连能力上均有很大缺失。iWAN 对比传统 VPN 有如下优势:


针对 B 校区和 A 校区内网互访的需求,目前本项目采用Panabit 多应用系统(含 SDWAN 技术方案)的解决方案来进行网络优化并提升网络可用性和稳定性,如上图所示。就项目拓扑及部署进行如下概述:

1. 总部 POP 点:A 校区多家 isp 专线接入,Panabit 设备作为出口网关,同时作为 SD-WAN 服务端,与核心交换机进行内网路由转发,总部运维人员可通过 SD-WAN 对分支的Panabit 或其它服务器进行统一管理,保证了整体网络稳定性及可控性。

2.分支节点:B 校区 Panabit 设备部署在出口,开启NAT 转换、路由转发、流量控制、DNS 管控等功能,同时也作为 A 校区的 SD-WAN 客户端,与 A 校区 SD-WAN 服务端 POP点之间进行数据的交互。分支所有用户访问校本部资源的流量均通过 Panabit 的 SD-WAN 快速组网技术实现,其他流量则通过互联网访问。此外,在校本部部署一台 Panalog 日志审计大数据系统,收集并存储本部及各分支研究院的日志数据,分支的日志数据也可通过 SD-WAN 传输到校本部的日志服务器。


fanbuz 发表于 2021-9-28 09:54:46

对代拨还有点不懂,有配置步骤吗?
页: [1]
查看完整版本: 【案例】XX 学院SD-WAN解决方案