國家高速網路與計算中心 TWAREN VPLS與SSL-VPN 架構說明 報告人:莊博勝.

Slides:



Advertisements
Similar presentations
臺灣學術網路及教育 雲的發展現況及未來 國立中興大學計算機與資訊網路中心. 臺灣學術網路 發展歷程 現況 未來發展.
Advertisements

TANET竹苗區域網路中心 99年度成效報告 交通大學 資訊技術服務中心 ( ).
数据通信与计算机网络 第1讲 绪论 浙江万里学院 邵鹏飞.
网络互联基础解析.
地面通数据中心产品培训
2.4 计算机网络基础 什么是计算机网络? 计算机网络有哪些功能? 计算机网络的发展历史? 计算机网络体系结构的内容? 计算机网络如何分类?
第一章 概述 第二章 用户需求分析 第三章 现有网络分析 第四章 逻辑网络设计 第五章 网络设备选择 第六章 WAN接入设计
電腦網路 網路拓樸 6-1 網路的用途 6-7 網路傳輸媒介 6-2 網路的類型 6-8 常見的網路設備 6-3 網路的運作方式
實驗 9: 無線安全網路之建設.
中小型单位网络管理员面临的苦恼 工欲善其事,必先利其器 中小企业也需要: 网络管理软件 用户管理软件 移动办公矛盾凸显: 管理员
第 4 章 网络层.
计算机网络教程(第 2 版) 第 7 章 网络互连 课件制作人:谢希仁.
國家高速網路與計算中心 TWAREN服務介紹 2013/08/08 陳 敏.
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
台灣學術網路新世代網路骨幹實驗 報告 教育部電子計算機中心 九十一年六月十二日.
模块四 网络设备选型.
TANET IPV6 BUILD THE SERVICES ON THE NEXT GENERATION NETWORK
第10章 局域网与Internet互联 RCNA_T010.
计算机系统与网络技术 第14讲 局域网构建技术 讲课教师:常姗
Foundations of Computer Science Chapter 6 電腦網路
讲师介绍 徐一鸣老师, HCIE主考官, 路由交换领域专家
网络技术之六: 路由技术 22:00.
2017/4/6 课程整体设计 计算机组网技术 梁建华.
第3章 局域网互连 3.1 网络互连的层次 3.2 网络互连的设备 3.3 实例教学 3.4 VLAN路由配置 3.5 VPN互连远程局域网.
防救災資訊系統計畫 - 作業平台委外建置案 建置說明 三商電腦股份有限公司 謹製 中華民國九十四年三月.
第7章 企业网设计 天津大学 计算机科学与技术学院 饶国政 博士.
網路基本概念與設定方法 林文宗 資管系助理教授
网络地址转换(NAT) 及其实现.
网络添翼 数字校园 神州数码网络有限公司 岳大安.
尺規作圖的緣起.
Provisioning CERNET with Dark Fiber
網路概論.
TWAREN SSL-VPN建置與使用說明
網路入門 主講人:林義隆 教授 日期:
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
學校網路設備規畫與建置 報告人:莊斯凱.
計資中心教學研究組唐瑤瑤 電腦與網路 計資中心教學研究組唐瑤瑤
Server Load Balancing 飛雅高科技 李村.
淺談MPLS Professor Cheng-Mu Tsai Student Yu-Shin Chen
IPV6 DHCP Server 建置 陳家祿 楊世偉.
计算机网络原理 计算机与信息工程分院 周文峰.
本 章 重 點 18-1 Internet的由來與對生活的影響 18-2 Internet的服務與相關名詞簡介 18-3 IP位址表示法
Application-layer Overlay Networks
報告人:國立暨南國際大學 計算機與網路中心 吳坤熹 組長
远程诊断技术及设备 ---今日坐拥明日之选.
Windows 2003 server 進階介紹 麋鹿.
江西财经大学信息管理学院 《组网技术》课程组
LAN设计 LAN交换和无线 – 第一章.
第12章 远程访问、NAT技术.
劉大川1、陳一瑋2、 陳昌盛1 、林盈達1,2 1交通大學 計算機與網路中心 2交通大學網路測試中心 2008/10/20
台灣高品質學術研究網路 TaiWan Advanced Research and Education Network (TWAREN )
第二讲 网络基础与网络设备 主讲:史宝慧.
网络系统设计与网络处理器 主讲:华蓓 实验室:电一楼(安徽省计算与通讯软件重点实验室) 电话:
计算机网络技术及应用 制作:重庆大学 郭松涛.
第9章 信息安全.
傳輸控制協議 /互聯網協議 TCP/IP.
Smart Switch 智慧網路交換器 特色: 智慧網路交換器為24+2 port L2 Switch 並提供更簡易管理、更安全、更佳效能
第十七讲 网络系统的规划与设计.
指導教授:梁明章 A 許之青 國立高雄大學 2010/06/25
科学架设和优化校园组网结构 提升内部网络访问和管理水平
第4章 网络层.
教育部及其他單位專案計畫經費報支作業.
7.5 介质中的磁场 磁介质—— 放入磁场中能够显示磁性的物质 电介质放入外场 磁介质放入外场 反映磁介质对原场的影响程度
國立新港藝術高中申請TANet新世代網路連線計畫書
IP Layer Basics, Firewall, VPN, and NAT
TANet 100G RODAM 原理與架構 臺灣大學計資中心 游子興
TANet 100 架構說明及移轉說明 新竹服務部 溫德鈞 2016/05/27.
教育部及其他單位專案計畫經費報支作業.
報告人:國立暨南國際大學 計算機與網路中心 吳坤熹 組長
第 4 章 网络层.
Presentation transcript:

國家高速網路與計算中心 TWAREN VPLS與SSL-VPN 架構說明 報告人:莊博勝

TWAREN架構演進 – 第一代 Production Network Research Network Optical Network

Production Network TWAREN 台北 新竹 台南 台中 GSR 中央研究院 台灣大學 東華大學 C7609 中央大學 交通大學 清華大學 中興大學 暨南大學 中山大學 成功大學 中正大學 中央大學 台灣大學 TWAREN Optical Production Research 10GE STM-64/OC-192 STM-16/OC-48 GE C7609 GSR Production Network

Research Network TWAREN 台北 新竹 台南 台中 台灣大學 中央研究院 GSR 東華大學 中央大學 中正大學 Optical Production Research 10GE STM-64/OC-192 STM-16/OC-48 GE TWAREN ONS15600 GSR ONS15454 交通大學 中央大學 台灣大學 C7609 清華大學 中興大學 中央研究院 東華大學 中正大學 中山大學 成功大學 暨南大學 台北 新竹 台南 台中 Research Network

Optical Network TWAREN 台北 台南 新竹 台中 中央研究院 台灣大學 C7609 東華大學 C7609 GSR 10GE STM-64/OC-192 STM-16/OC-48 GE Optical Network Optical Production Research 中央研究院 台北 台灣大學 C7609 東華大學 (2) C7609 GSR C7609 ONS15454 (2) (2) ONS15454 ONS15454 (6) (2) 中正大學 中央大學 ONS15600 C7609 C7609 ONS15454 (2) (2) ONS15454 TWAREN ONS15454 ONS15454 交通大學 ONS15454 成功大學 C7609 (6) ONS15600 ONS15600 (6) 台南 (3) (3) C7609 (2) 新竹 GSR (2) ONS15454 GSR ONS15454 ONS15454 (4) (2) 中山大學 清華大學 中興大學 暨南大學 C7609 GSR C7609 C7609 C7609 (2) (2) 台中 (2) (2) ONS15454 ONS15454 ONS15454 ONS15454

TWAREN架構演進 – 第二代 Physical Topology Logical Topology VLAN Topology

Physical Topology 1/2

Physical Topology 2/2 科技大樓 新竹 台中 台南 台大 中研院 政大 宜大 東華 中央 暨南 花蓮 交大 中興 台東 6509 15454 6509 7609 7609 7609 東華 6509 15454 15454 15454 3750 7609 6509 15600 中央 15454 12816 15454 12816 7609 MOEcc 7609C 暨南 花蓮 科技大樓 7609 12816 12816 6509 3750 6509 交大 15454 15600 15454 7609C 新竹 台中 7609C 15454 7609 12816 NCHC NCHC 12816 6509 台南 15454 中興 NCHC 7609C 7609 台東 6509 12816 15454 12816 清華 15454 3750 6509 7609 15600 15454 15454 15454 STM64 STM16 10GE GE 6509 7609 6509 7609 6509 7609 中山 成大 中正

TWAREN Logical Topology

Research VLAN Topology NTU7609P ASCC7609P NDHU7609P TP7609C Switch TC7609C HC7609C TN7609C NCHU7609P NCNU7609P NTHU7609P HC7609P NCTU7609P CCU7609P TN7609P NCKU7609P NSYSU7609P TN12816R TP12816R TC12816P HC12816R NCU7609P TN12816P TP12816P TC12816R HC12816P NIU7609P TWAREN國際電路 TANet (MOEcc6509) TWGATE Internet ISP Peering ASCC APAN iBGP RR

TANet VLAN Topology One Subnet L2 VLAN TANet VLAN NTU6509 NCCU6509 NDHU6509 TP7609C L2 Switch TC7609C HC7609C TN7609C NCHU6509 NTHU6509 NCTU6509 CCU6509 NTTU6509 NCKU6509 NSYSU6509 NHLUE6509 TN7609P MOEcc6509 TC7609 HC7609 NCU6509 One Subnet L2 VLAN

TWAREN架構演進 – 第三代 VPLS Physical Topology VPLS Logical Topology

VPLS Physical Topology ONS15454 NTU7609V ASCC7609V NIU7609V NDHU7609V ONS15600 GE *3 GE *2 GE *2 GE *2 GSR12816 TP15600 NCU7609V GE *4 TP7609V NCHU7609V GE *3 GE *1 GE *3 GE *2 NCTU7609V MPLS Backbone 10GE TC15454 HC15600 HC7609V TC7609V GE *3 NTHU7609V NCNU7609V TN7609V GE *3 GE *2 TN15600 STM64 STM16 10GE GE *2 GE GE *3 GE *3 NSYSU7609V NCKU7609V CCU7609V

VPLS Logical Topology TP-7609V GE* n 10G HC-7609V TC-7609V TN-7609V NTU-7609V ASCC-7609V NIU-7609V NDHU-7609V NCU-7609V TP-7609V GE* n NCNU-7609V 10G HC-7609V TC-7609V 10GE NCTU-7609V NCHU-7609V TN-7609V NTHU-7609V GE*n NSYSU-7609V NCKU-7609V CCU-7609V 10G (via GSR ) GE (via ONS )

TWAREN IP Layer Topology(2008.Q2) NTHU-7609P NCU-7609P NTU-7609P NCTU-7609P ASCC-7609P HC-7609P TWAREN VPLS Big Layer 2 NDHU-7609P TN-7609P NIU-7609P NCHU-7609P NSYSU-7609P NCKU-7609P CCU-7609P TC-7609P NCNU-7609P

TWAREN 新服務 Multipoint to Multipoint Layer 2 VPN -在一個網路平台上提供多個虛擬私有網路, -讓跨地區的校園或辦公室網路連結模擬成在同一區 域網路 -針對跨地區的合作計畫或測試平台可提供彈性VPN 網路服務 User-Based SSL VPN接取服務 -針對不同的帳號認證,提供不同的VPN 網路連結 -提供學研界使用者可於不在單位時,仍可透過VPN 接取服務連回校園網路或工作單位使用內部資源。

多點Laye2 VPN與SSL-VPN使用時機 校本部與分校的校園網路連接 組織本部與分部的網路連接 醫院與醫院連結 建構測試網路平台 專屬網路建置(ex:防災網路、Native IPv6 網路)‏ 出差時,連回校內讀取圖書資源(ex:電子期刊)‏ 校園IP 不足時利用SSL-VPN 做IP 動態的分配 …

已申請服務之學校及研究單位 VPLS SSL-VPN 國家衛生研究院內網連接 水利署災防網路建置 中山大學與中央研究院網路Peering 台大醫院與雲林分院網路介接 成大醫院與斗六分院網路介接 國網中心內網連線 SSL-VPN 清華大學 東華大學 靜宜大學 國網中心 國家衛生研究院

Gigapop使用VPLS服務 連線架構(實體架構) VPN用戶 NTU-7609V ASCC-7609V NIU-7609V NDHU-7609V VPN用戶 NCU-7609V TP-7609V GE* n NCNU-7609V 10G HC-7609V TC-7609V 10GE NCTU-7609V NCHU-7609V TN-7609V NTHU-7609V GE*n VPN用戶 NSYSU-7609V NCKU-7609V CCU-7609V 10G (via GSR ) GE (via ONS )

Gigapop使用VPLS服務 連線架構(邏輯架構) VPN用戶 VPN用戶 TWAREN VPLS Big Layer 2 VPN用戶

連線單位使用VPLS服務實體連線架構 1/2 TWAREN TWAREN Research VPLS TANet 連線單位 Vlan 3 : VPLS vlan2 vlan1 Vlan 4 : SSL-VPN 3750P Via ISP or Dark-Fiber 802.1Q:allow vlan 1,2,3,4 連線單位

連線單位使用VPLS服務實體連線架構 2/2 TWAREN VPLS To 7609P or 6509 NTU7609V dot1Q Via ISP 連線單位A校區 NTU-3750P TWAREN VPLS NTU7609V NSYSU-3750P NSYSU7609V dot1Q Via ISP 連線單位B校區 To 7609P or 6509

例:多點對多點連線:國衛院架構 NHRI 台北 NHRI 交通大學 NHRI 清華大學 NHRI 台南 7609S NCTU-7609V ONS15454 ONS15600 Router TP7609V NTHU7609V TN7609V HC7609V TC7609V NHRI 清華大學 STM64 10GE TN15600 GE NHRI 台南 NCKU-7609V

SSL-VPN Outside Inside TN VPLS HC Internet Remote User TWAREN Backbone ASA-1 Internet ASA-2 連線學校 802.1Q TWAREN Backbone ASA-3 Outside Inside ASA-4 VPLS ASA-5 Cisco ACS Server 802.1Q 802.1Q ASA-6 DHCP Server 全國校園無線漫遊身份驗證系統 ASA-1 HC 各學校所屬認證系統 ASA-2

Gigapop使用SSL-VPN服務-1 VPLS GigaPoP學校使用者 RemoteUser先連入SSL-VPN輸入帳號密碼 SSL-VPN將帳號密碼轉給ACS查詢 ACS將帳號密碼轉給全國無線漫遊身份驗證系統查詢 認證成功透過DHCP Server取得學校IP 透過VPLS連回Gigapop學校 讀取學校圖書資源或透過TANet連往Internet Internet Remote User TWAREN Backbone TANET SSL VPN Cluster 全國校園無線漫遊身份驗證系統 POP 7609V VPLS TANET65 GigaPoP 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server Cisco ACS Server

Gigapop使用SSL-VPN服務-2 VPLS GigaPoP學校使用者 RemoteUser先連入SSL-VPN輸入帳號密碼 SSL-VPN將帳號密碼轉給ACS查詢 ACS將帳號密碼轉給全國無線漫遊身份驗證系統查詢 認證成功透過DHCP Server取得學校IP 透過VPLS連回Gigapop學校 讀取學校圖書資源或透過TANet連往Internet Internet Remote User TWAREN Backbone TANET SSL VPN Cluster 全國校園無線漫遊身份驗證系統 POP 7609V VPLS TANET65 GigaPoP 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server Cisco ACS Server

Gigapop使用SSL-VPN服務-3 VPLS GigaPoP學校使用者 RemoteUser先連入SSL-VPN輸入帳號密碼 SSL-VPN將帳號密碼轉給ACS查詢 ACS將帳號密碼轉給全國無線漫遊身份驗證系統查詢 認證成功透過DHCP Server取得學校IP 透過VPLS連回Gigapop學校 讀取學校圖書資源或透過TANet連往Internet Internet Remote User TWAREN Backbone TANET SSL VPN Cluster 全國校園無線漫遊身份驗證系統 POP 7609V VPLS TANET65 GigaPoP 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server Cisco ACS Server

Gigapop使用SSL-VPN服務-4 VPLS GigaPoP學校使用者 RemoteUser先連入SSL-VPN輸入帳號密碼 SSL-VPN將帳號密碼轉給ACS查詢 ACS將帳號密碼轉給全國無線漫遊身份驗證系統查詢 認證成功透過DHCP Server取得學校IP 透過VPLS連回Gigapop學校 讀取學校圖書資源或透過TANet連往Internet Internet Remote User TWAREN Backbone TANET SSL VPN Cluster 全國校園無線漫遊身份驗證系統 POP 7609V VPLS TANET65 GigaPoP 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server Cisco ACS Server

Gigapop使用SSL-VPN服務-5 VPLS GigaPoP學校使用者 RemoteUser先連入SSL-VPN輸入帳號密碼 SSL-VPN將帳號密碼轉給ACS查詢 ACS將帳號密碼轉給全國無線漫遊身份驗證系統查詢 認證成功透過DHCP Server取得學校IP 透過VPLS連回Gigapop學校 讀取學校圖書資源或透過TANet連往Internet Internet Remote User TWAREN Backbone TANET SSL VPN Cluster 全國校園無線漫遊身份驗證系統 POP 7609V VPLS TANET65 GigaPoP 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server Cisco ACS Server

Gigapop使用SSL-VPN服務-6 VPLS GigaPoP學校使用者 RemoteUser先連入SSL-VPN輸入帳號密碼 SSL-VPN將帳號密碼轉給ACS查詢 ACS將帳號密碼轉給全國無線漫遊身份驗證系統查詢 認證成功透過DHCP Server取得學校IP 透過VPLS連回Gigapop學校 讀取學校圖書資源或透過TANet連往Internet Internet Remote User TWAREN Backbone TANET SSL VPN Cluster 全國校園無線漫遊身份驗證系統 POP 7609V VPLS TANET65 GigaPoP 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server Cisco ACS Server

連線學校使用SSL-VPN服務-1 VPLS RemoteUser先連入SSL-VPN輸入帳號密碼 連線學校使用者 SSL-VPN將帳號密碼轉給ACS查詢 ACS將帳號密碼轉給全國無線漫遊身份驗證系統查詢 認證成功透過DHCP Server取得學校IP 圖書資源 連線學校使用者 學校所屬 骨幹路由器 Internet Remote User TWAREN Backbone POP 3750 SSL VPN Cluster 全國校園無線漫遊身份驗證系統 POP 7609V VPLS TANET65 802.1Q 802.1Q TANET 7609V DHCP Server Cisco ACS Server

連線學校使用SSL-VPN服務-2 VPLS 透過VPLS連回Gigapop學校 連線學校使用者 讀取學校圖書資源或透過TANet連往Internet 圖書資源 連線學校使用者 學校所屬 骨幹路由器 Internet 增加1個vlan tag Remote User TWAREN Backbone 802.1Q via ISP POP 3750 802.1Q SSL VPN Cluster 全國校園無線漫遊身份驗證系統 POP 7609V VPLS TANET65 802.1Q 802.1Q TANET 7609V DHCP Server Cisco ACS Server

非連線單位學校使用SSL-VPN服務-1 已接入各Gigapop機房的學校,使用TANet或TWAREN服務者 透過放置於各Gigapop機房的Cisco 3750P進行VLAN分流 尚未接入Gigapop機房的學校 可新增一條專線(ISP線路或Dark Fiber)進入各Gigapop機房,再連入VPLS網路 新增的專線,也可申請使用TWAREN連線服務,或其他TWAREN加值應用,所有服務,皆可放置於各Gigapop機房的Cisco 3750P進行VLAN分流

非連線單位學校使用SSL-VPN服務-2 VPLS 非連線學校使用者 Internet 非連線單位學校 Internet 學校所屬資源 非連線單位學校 學校所屬 路由器 Internet Internet Remote User 新增ISP線路or Dark Fiber Twaren Backbone 學校既有往Internet出口線路 SSL VPN Cluster 全國校園無線漫遊身份驗證系統 POP 7609V VPLS 7609P 802.1Q 802.1Q 7609V DHCP Server Cisco ACS Server

學校使用SSL VPN準備工作 學校需準備… 國網對應工作 1 IP pool範圍 設定於DHCP server 2 學校內部所有網段Prefix 將該校routing設定於ASA 3 線路調整或新增連線至VPLS骨幹 (連線學校:既有連接於PoP3750線路增加第三個vlan id) (非連線學校需新增線路連接PoP7609V) 設定學校所屬VPLS vlan id 調整PoP3750及PoP7609V之vlan id 連接學校線路於PoP7609V 4 是否加入校園無線漫遊認證機制 是 否 新增該校的Group於ACS ASA直接與該校認證伺服器進行認證 5 學校規劃該校SSL登入Portal 將該校Portal內容設定於ASA 6 SSL Client透過學校出Internet是否需進行NAT,若需要請將IP pool於出口路由器或防火牆設定NAT

歡迎大家踴躍使用VPLS與SSL-VPN服務

Thanks http://www.nchc.org.tw http://www.twaren.net http://noc.twaren.net