中小學(xué)智慧校園網(wǎng)絡(luò)遷移策略

第一節(jié)傳統(tǒng)有線校園網(wǎng)絡(luò)遷移到有線無線一體化網(wǎng)絡(luò)方案 1第二節(jié)傳統(tǒng)有線無線分離網(wǎng)絡(luò)遷移到有線無線一體化網(wǎng)絡(luò)方案 4第三節(jié)有線無線一體化網(wǎng)絡(luò)遷移到虛擬化網(wǎng)絡(luò)&云管理方案 6第四節(jié)IPV4向IPv6網(wǎng)絡(luò)遷移方案 9網(wǎng)絡(luò)遷移前后應(yīng)滿足客戶的以下訴求：1.原有功能和方案的繼承；2.滿足與現(xiàn)網(wǎng)環(huán)境互聯(lián)互通及兼容性需求，包含終端設(shè)備，網(wǎng)絡(luò)設(shè)備，管理系統(tǒng)，應(yīng)用系統(tǒng)由于普教園區(qū)的主要由有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)兩部分組成，因此遷移策略也分為有線網(wǎng)絡(luò)遷移和無線網(wǎng)絡(luò)遷移兩部分。第一節(jié)傳統(tǒng)有線校園網(wǎng)絡(luò)遷移到有線無線一體化網(wǎng)絡(luò)方案圖1有線校園網(wǎng)向有線無線一體化方案演進一、傳統(tǒng)校園網(wǎng)現(xiàn)狀：傳統(tǒng)校園網(wǎng)僅有有線網(wǎng)絡(luò)，沒有無線網(wǎng)絡(luò)，交換機接口板為普通ASIC單板。部署模型如下：二、有線用戶業(yè)務(wù)網(wǎng)關(guān)：部署在傳統(tǒng)匯聚/核心交換機。三、認證網(wǎng)關(guān)：1.Portal+MAC認證：部署在網(wǎng)關(guān)傳統(tǒng)匯聚/核心交換機。2.802.1X+MAC認證：部署在接入交換機。四、遷移訴求：網(wǎng)絡(luò)需要部署無線業(yè)務(wù)。在原有有線網(wǎng)絡(luò)基礎(chǔ)上，增加部署無線網(wǎng)絡(luò)。五、遷移方案：將現(xiàn)有傳統(tǒng)有線網(wǎng)絡(luò)升級到敏捷園區(qū)有線無線深度融合，無線控制器AC作為一塊接口板融合到敏捷交換機中（隨板AC），具體如下：1.將網(wǎng)關(guān)位置的傳統(tǒng)交換機升級或更換為敏捷交換機，根據(jù)園區(qū)無線用戶數(shù)量選擇適當(dāng)數(shù)量ENP單板，使敏捷交換機具備無線AC的功能；2.將AP連接在接入/匯聚/核心交換機下，使無線網(wǎng)絡(luò)融入到傳統(tǒng)有線網(wǎng)絡(luò)中；3.配置AP的網(wǎng)關(guān)地址，dhcpoption43參數(shù)，配置AP的管理VLAN（一般在接入交換機上），AP可以獲取地址，可以注冊到AC；4.AC上配置無線相關(guān)配置，同時配置認證相關(guān)參數(shù)；5.配置隧道轉(zhuǎn)發(fā)模式；根據(jù)網(wǎng)絡(luò)的規(guī)模，可以分AP組配置不同的業(yè)務(wù)vlan劃分漫游域，可以做3層漫游，防止廣播域過大；遷移到敏捷園區(qū)后，方案部署如下：六、AP的網(wǎng)關(guān)：1.部署在匯聚或者核心交換機上，可以通過2層廣播或3層dhcpoption43的方式發(fā)現(xiàn)AC。2.部署AP的管理vlan、DHCPserver，AP可以獲取地址，注冊到AC。七、有線、無線用戶業(yè)務(wù)網(wǎng)關(guān)：統(tǒng)一部署在敏捷匯聚/核心交換機。八、認證網(wǎng)關(guān)：1.統(tǒng)一認證：有線用戶和無線用戶Portal+MAC認證點統(tǒng)一部署在敏捷匯聚/核心交換機。2.分開認證：有線用戶802.1X+MAC認證網(wǎng)關(guān)部署在接入交換機，無線用戶802.1X+MAC認證網(wǎng)關(guān)部署在敏捷匯聚/核心交換機。（也可以統(tǒng)一認證）第二節(jié)傳統(tǒng)有線無線分離網(wǎng)絡(luò)遷移到有線無線一體化網(wǎng)絡(luò)方案圖2有線無線分離方案向有線無線一體化演進一、傳統(tǒng)園區(qū)現(xiàn)狀：有線無線網(wǎng)絡(luò)分離，獨立的無線控制器AC旁掛在網(wǎng)關(guān)交換機側(cè)，或者獨立的ACU2無線插卡插在交換機上（實際也相當(dāng)于旁掛在交換機側(cè)），實現(xiàn)對無線用戶管理。方案部署如下：二、有線無線用戶業(yè)務(wù)網(wǎng)關(guān)：1.部署在傳統(tǒng)匯聚/核心交換機2.無線業(yè)務(wù)一般部署直接轉(zhuǎn)發(fā)模型三、認證網(wǎng)關(guān)：1.有線用戶認證網(wǎng)關(guān)：部署在傳統(tǒng)網(wǎng)關(guān)交換機2.無線用戶認證網(wǎng)關(guān)：無線用戶數(shù)較多時，分布部署在AC四、遷移訴求：1.現(xiàn)有網(wǎng)絡(luò)性能瓶頸：無線用戶和無線業(yè)務(wù)增加2.簡化現(xiàn)有網(wǎng)絡(luò)部署3.統(tǒng)一管理和控制有線無線用戶4.統(tǒng)一部署有線無線用戶認證5.有線、無線用戶統(tǒng)一業(yè)務(wù)隨行的策略五、遷移方案：將現(xiàn)有有線無線分離網(wǎng)絡(luò)升級到敏捷園區(qū)有線無線深度融合，無線控制器AC作為一塊接口板融合到敏捷交換機中（隨板AC），具體如下：1.從網(wǎng)關(guān)交換機側(cè)去掉無線控制器AC設(shè)備（獨立AC或者無線ACU2插卡）；2.將傳統(tǒng)網(wǎng)關(guān)交換機升級或更換為敏捷交換機，根據(jù)園區(qū)無線用戶數(shù)量選擇適當(dāng)數(shù)量ENP單板；3.接入交換機、AP的部署可保持不變；4.修改APdhcpoption的配置，將AC地址指向隨板AC的地址，AP可以在隨板AC上線；5.隨板AC上配置無線相關(guān)配置，同時配置認證相關(guān)參數(shù)；6.配置隧道轉(zhuǎn)發(fā)模式；根據(jù)網(wǎng)絡(luò)的規(guī)模，可以分AP組配置不同的業(yè)務(wù)vlan劃分漫游域，可以做3層漫游，防止廣播域過大；遷移到敏捷園區(qū)方案部署如下：六、AP的網(wǎng)關(guān)：部署在匯聚或者核心交換機上，可以通過2層廣播或3層dhcpoption43的方式發(fā)現(xiàn)AC。七、有線、無線用戶業(yè)務(wù)網(wǎng)關(guān)：1.統(tǒng)一部署在敏捷匯聚/核心交換機。2.網(wǎng)關(guān)在匯聚時，無線部署直接轉(zhuǎn)發(fā)；網(wǎng)關(guān)在核心時，部署隧道轉(zhuǎn)發(fā)；建議部署隧道模式。八、認證網(wǎng)關(guān)：1.統(tǒng)一認證：有線用戶和無線用戶Portal+MAC認證點統(tǒng)一部署在敏捷匯聚/核心交換機。2.分開認證：有線用戶802.1X+MAC認證網(wǎng)關(guān)部署在接入交換機，無線用戶802.1X+MAC認證網(wǎng)關(guān)部署在敏捷匯聚/核心交換機。（也可以統(tǒng)一認證）第三節(jié)有線無線一體化網(wǎng)絡(luò)遷移到虛擬化網(wǎng)絡(luò)&云管理方案圖3有線無線一體化向云管理方案演進一、有線無線融合網(wǎng)絡(luò)現(xiàn)狀：有線無線融合網(wǎng)絡(luò)組網(wǎng)中，采用敏捷交換機的隨板AC作為無線控制點，同時對無線用戶進行認證；有線用戶可以在匯聚做認證或者統(tǒng)一在核心做認證；網(wǎng)絡(luò)通過VLAN或者業(yè)務(wù)隨行做隔離。二、遷移訴求：有線做虛擬化網(wǎng)絡(luò)改造，無線要配合有線做遷移改造。三、遷移方案：有線網(wǎng)絡(luò)先進行虛擬化遷移，再做無線網(wǎng)絡(luò)的修改：1.有線網(wǎng)絡(luò)的遷移，參考虛擬化園區(qū)遷移方案，先進行有線網(wǎng)絡(luò)的遷移；2.在隨板AC上配置控制器地址，隨板AC注冊到控制器，控制器上可以導(dǎo)入AP作為配置開局用，其他無線配置需要通過跳轉(zhuǎn)隨板AC的WEB網(wǎng)管進行配置；3.Edge作為AP的網(wǎng)關(guān)，配置AP的dhcpserver，同時配置option43指向作為Border的隨板AC；4.配置接入交換機給AP打管理VLAN，同時放通管理VLAN，AP可以正常申請地址、注冊；AP的注冊流程走underlay網(wǎng)絡(luò)；5.在隨板AC上配置用戶網(wǎng)關(guān)，無線流量capwap隧道轉(zhuǎn)發(fā)模式，直接隧道轉(zhuǎn)發(fā)至Border，不入VxLAN；6.可以根據(jù)不同的Edge節(jié)點配置用戶業(yè)務(wù)VLAN，劃分漫游域做3層漫游，防止廣播域過大；7.AP的license要做轉(zhuǎn)換，將傳統(tǒng)的APlicense按轉(zhuǎn)換規(guī)則轉(zhuǎn)換成控制器管理的license，遷移后，無線AP的license在控制器統(tǒng)一管理；遷移到集中式VxLAN網(wǎng)關(guān)方案部署如下：四、AP的網(wǎng)關(guān)：部署在匯聚交換機上，通過3層dhcpoption43的方式發(fā)現(xiàn)AC。五、用戶業(yè)務(wù)網(wǎng)關(guān)：統(tǒng)一部署在核心交換機。六、認證網(wǎng)關(guān)：有線用戶：部署在Edge節(jié)點，可以通過策略聯(lián)動，將接入交換機上的用戶引流至匯聚的Edge認證；無線用戶：在核心的Border設(shè)備做認證；注：無線實際不是虛擬化部署，還是保留原來的隧道轉(zhuǎn)發(fā)模式。第四節(jié)IPV4向IPv6網(wǎng)絡(luò)遷移方案IPv6相對IPv4網(wǎng)絡(luò)作了有效的總結(jié)和改進，其中顯而易見的優(yōu)勢有：·海量地址，滿足爆炸式的用戶的增長，如PAD、家庭網(wǎng)絡(luò)、移動終端；·簡單的IP頭，易于聚合，易于提高路由效率；·良好的QOS特性，有效地支持IP語音、視頻的業(yè)務(wù)開展；·自動配置，即插即用，易于管理；·更好地支持mobileIP，等等。但由于IPv4應(yīng)用范圍廣、時間長、IPv4協(xié)議向IPv6協(xié)議過度是一個長期復(fù)雜的過程。在過渡過程中，IPv4與IPv6必然是共存的。因此，校園網(wǎng)在推進IPv6網(wǎng)絡(luò)建設(shè)的同時，更要將IPv6很好地融入于IPv4中，時期能夠共存使用、共享資源。當(dāng)前IPv4到IPv6的過渡技術(shù)主要有三種：IPv4/IPv6雙棧，隧道技術(shù)和地址轉(zhuǎn)換技術(shù)。1.IPv4/IPv6雙協(xié)議棧技術(shù)，指的是在網(wǎng)絡(luò)設(shè)備上同時開啟IPv4和IPv6的協(xié)議棧，包括路由器、交換機、AP、安全設(shè)備和主機等。IPv4與IPv6都是基于統(tǒng)一物理平臺實現(xiàn)應(yīng)用，需要加載TCP和UDP網(wǎng)絡(luò)傳輸層協(xié)議，以此實現(xiàn)IPv4網(wǎng)絡(luò)節(jié)點與IPv6網(wǎng)絡(luò)節(jié)點之間的互通。將IPv6網(wǎng)絡(luò)節(jié)點加入到IPv4協(xié)議棧中，網(wǎng)絡(luò)可以同時收發(fā)兩種協(xié)議的數(shù)據(jù)報文，使用IPv4協(xié)議棧和IPv4站點通信，使用IPv6協(xié)議棧與IPv6站點通信，最終實現(xiàn)兩者互聯(lián)互通。圖4IPv4/IPv6雙棧技術(shù)2.隧道技術(shù)：將IPv4流量封裝在IPv6隧道中，或者將IPv6流量封裝在IPv4隧道中。適用于在IPv4傳輸網(wǎng)絡(luò)中實現(xiàn)IPv6孤島之間的互通，或者在IPv6傳輸網(wǎng)絡(luò)中實現(xiàn)IPv4孤島之間的互通。部署隧道技術(shù)的設(shè)備（一般是隧道端點）需支持雙棧及相應(yīng)的隧道技術(shù)。僅適用于實現(xiàn)孤島互通的臨時狀態(tài)，并不適用于長期、穩(wěn)定的業(yè)務(wù)形態(tài)。圖5IPv6隧道技