國家高速網路與計算中心 TWAREN VPLS與SSL-VPN 架構說明 報告人:莊博勝

TWAREN架構演進 – 第一代 Production Network Research Network Optical Network

Production Network TWAREN 台北 新竹 台南 台中 GSR 中央研究院 台灣大學 東華大學 C7609 中央大學 交通大學 清華大學 中興大學 暨南大學 中山大學 成功大學 中正大學 中央大學 台灣大學 TWAREN Optical Production Research 10GE STM-64/OC-192 STM-16/OC-48 GE C7609 GSR Production Network

Research Network TWAREN 台北 新竹 台南 台中 台灣大學 中央研究院 GSR 東華大學 中央大學 中正大學 Optical Production Research 10GE STM-64/OC-192 STM-16/OC-48 GE TWAREN ONS15600 GSR ONS15454 交通大學 中央大學 台灣大學 C7609 清華大學 中興大學 中央研究院 東華大學 中正大學 中山大學 成功大學 暨南大學 台北 新竹 台南 台中 Research Network

Optical Network TWAREN 台北 台南 新竹 台中 中央研究院 台灣大學 C7609 東華大學 C7609 GSR 10GE STM-64/OC-192 STM-16/OC-48 GE Optical Network Optical Production Research 中央研究院 台北 台灣大學 C7609 東華大學 (2) C7609 GSR C7609 ONS15454 (2) (2) ONS15454 ONS15454 (6) (2) 中正大學 中央大學 ONS15600 C7609 C7609 ONS15454 (2) (2) ONS15454 TWAREN ONS15454 ONS15454 交通大學 ONS15454 成功大學 C7609 (6) ONS15600 ONS15600 (6) 台南 (3) (3) C7609 (2) 新竹 GSR (2) ONS15454 GSR ONS15454 ONS15454 (4) (2) 中山大學 清華大學 中興大學 暨南大學 C7609 GSR C7609 C7609 C7609 (2) (2) 台中 (2) (2) ONS15454 ONS15454 ONS15454 ONS15454

TWAREN架構演進 – 第二代 Physical Topology Logical Topology VLAN Topology

Physical Topology 1/2

Physical Topology 2/2 科技大樓 新竹 台中 台南 台大 中研院 政大 宜大 東華 中央 暨南 花蓮 交大 中興 台東 6509 15454 6509 7609 7609 7609 東華 6509 15454 15454 15454 3750 7609 6509 15600 中央 15454 12816 15454 12816 7609 MOEcc 7609C 暨南 花蓮 科技大樓 7609 12816 12816 6509 3750 6509 交大 15454 15600 15454 7609C 新竹 台中 7609C 15454 7609 12816 NCHC NCHC 12816 6509 台南 15454 中興 NCHC 7609C 7609 台東 6509 12816 15454 12816 清華 15454 3750 6509 7609 15600 15454 15454 15454 STM64 STM16 10GE GE 6509 7609 6509 7609 6509 7609 中山 成大 中正

TWAREN Logical Topology

Research VLAN Topology NTU7609P ASCC7609P NDHU7609P TP7609C Switch TC7609C HC7609C TN7609C NCHU7609P NCNU7609P NTHU7609P HC7609P NCTU7609P CCU7609P TN7609P NCKU7609P NSYSU7609P TN12816R TP12816R TC12816P HC12816R NCU7609P TN12816P TP12816P TC12816R HC12816P NIU7609P TWAREN國際電路 TANet (MOEcc6509) TWGATE Internet ISP Peering ASCC APAN iBGP RR

TANet VLAN Topology One Subnet L2 VLAN TANet VLAN NTU6509 NCCU6509 NDHU6509 TP7609C L2 Switch TC7609C HC7609C TN7609C NCHU6509 NTHU6509 NCTU6509 CCU6509 NTTU6509 NCKU6509 NSYSU6509 NHLUE6509 TN7609P MOEcc6509 TC7609 HC7609 NCU6509 One Subnet L2 VLAN

TWAREN架構演進 – 第三代 VPLS Physical Topology VPLS Logical Topology

VPLS Physical Topology ONS15454 NTU7609V ASCC7609V NIU7609V NDHU7609V ONS15600 GE *3 GE *2 GE *2 GE *2 GSR12816 TP15600 NCU7609V GE *4 TP7609V NCHU7609V GE *3 GE *1 GE *3 GE *2 NCTU7609V MPLS Backbone 10GE TC15454 HC15600 HC7609V TC7609V GE *3 NTHU7609V NCNU7609V TN7609V GE *3 GE *2 TN15600 STM64 STM16 10GE GE *2 GE GE *3 GE *3 NSYSU7609V NCKU7609V CCU7609V

VPLS Logical Topology TP-7609V GE* n 10G HC-7609V TC-7609V TN-7609V NTU-7609V ASCC-7609V NIU-7609V NDHU-7609V NCU-7609V TP-7609V GE* n NCNU-7609V 10G HC-7609V TC-7609V 10GE NCTU-7609V NCHU-7609V TN-7609V NTHU-7609V GE*n NSYSU-7609V NCKU-7609V CCU-7609V 10G (via GSR ) GE (via ONS )

TWAREN IP Layer Topology(2008.Q2) NTHU-7609P NCU-7609P NTU-7609P NCTU-7609P ASCC-7609P HC-7609P TWAREN VPLS Big Layer 2 NDHU-7609P TN-7609P NIU-7609P NCHU-7609P NSYSU-7609P NCKU-7609P CCU-7609P TC-7609P NCNU-7609P

TWAREN 新服務 Multipoint to Multipoint Layer 2 VPN -在一個網路平台上提供多個虛擬私有網路， -讓跨地區的校園或辦公室網路連結模擬成在同一區 域網路 -針對跨地區的合作計畫或測試平台可提供彈性VPN 網路服務 User-Based SSL VPN接取服務 -針對不同的帳號認證，提供不同的VPN 網路連結 -提供學研界使用者可於不在單位時，仍可透過VPN 接取服務連回校園網路或工作單位使用內部資源。

多點Laye2 VPN與SSL-VPN使用時機 校本部與分校的校園網路連接 組織本部與分部的網路連接 醫院與醫院連結 建構測試網路平台 專屬網路建置(ex：防災網路、Native IPv6 網路)‏ 出差時，連回校內讀取圖書資源(ex：電子期刊)‏ 校園IP 不足時利用SSL-VPN 做IP 動態的分配 …

已申請服務之學校及研究單位 VPLS SSL-VPN 國家衛生研究院內網連接 水利署災防網路建置 中山大學與中央研究院網路Peering 台大醫院與雲林分院網路介接 成大醫院與斗六分院網路介接 國網中心內網連線 SSL-VPN 清華大學 東華大學 靜宜大學 國網中心 國家衛生研究院

Gigapop使用VPLS服務 連線架構(實體架構) VPN用戶 NTU-7609V ASCC-7609V NIU-7609V NDHU-7609V VPN用戶 NCU-7609V TP-7609V GE* n NCNU-7609V 10G HC-7609V TC-7609V 10GE NCTU-7609V NCHU-7609V TN-7609V NTHU-7609V GE*n VPN用戶 NSYSU-7609V NCKU-7609V CCU-7609V 10G (via GSR ) GE (via ONS )

Gigapop使用VPLS服務 連線架構(邏輯架構) VPN用戶 VPN用戶 TWAREN VPLS Big Layer 2 VPN用戶

連線單位使用VPLS服務實體連線架構 1/2 TWAREN TWAREN Research VPLS TANet 連線單位 Vlan 3 : VPLS vlan2 vlan1 Vlan 4 : SSL-VPN 3750P Via ISP or Dark-Fiber 802.1Q：allow vlan 1,2,3,4 連線單位

連線單位使用VPLS服務實體連線架構 2/2 TWAREN VPLS To 7609P or 6509 NTU7609V dot1Q Via ISP 連線單位A校區 NTU-3750P TWAREN VPLS NTU7609V NSYSU-3750P NSYSU7609V dot1Q Via ISP 連線單位B校區 To 7609P or 6509

例：多點對多點連線：國衛院架構 NHRI 台北 NHRI 交通大學 NHRI 清華大學 NHRI 台南 7609S NCTU-7609V ONS15454 ONS15600 Router TP7609V NTHU7609V TN7609V HC7609V TC7609V NHRI 清華大學 STM64 10GE TN15600 GE NHRI 台南 NCKU-7609V

SSL-VPN Outside Inside TN VPLS HC Internet Remote User TWAREN Backbone ASA-1 Internet ASA-2 連線學校 802.1Q TWAREN Backbone ASA-3 Outside Inside ASA-4 VPLS ASA-5 Cisco ACS Server 802.1Q 802.1Q ASA-6 DHCP Server 全國校園無線漫遊身份驗證系統 ASA-1 HC 各學校所屬認證系統 ASA-2

Gigapop使用SSL-VPN服務-1 VPLS GigaPoP學校使用者 RemoteUser先連入SSL-VPN輸入帳號密碼 SSL-VPN將帳號密碼轉給ACS查詢 ACS將帳號密碼轉給全國無線漫遊身份驗證系統查詢 認證成功透過DHCP Server取得學校IP 透過VPLS連回Gigapop學校 讀取學校圖書資源或透過TANet連往Internet Internet Remote User TWAREN Backbone TANET SSL VPN Cluster 全國校園無線漫遊身份驗證系統 POP 7609V VPLS TANET65 GigaPoP 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server Cisco ACS Server

Gigapop使用SSL-VPN服務-2 VPLS GigaPoP學校使用者 RemoteUser先連入SSL-VPN輸入帳號密碼 SSL-VPN將帳號密碼轉給ACS查詢 ACS將帳號密碼轉給全國無線漫遊身份驗證系統查詢 認證成功透過DHCP Server取得學校IP 透過VPLS連回Gigapop學校 讀取學校圖書資源或透過TANet連往Internet Internet Remote User TWAREN Backbone TANET SSL VPN Cluster 全國校園無線漫遊身份驗證系統 POP 7609V VPLS TANET65 GigaPoP 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server Cisco ACS Server

Gigapop使用SSL-VPN服務-3 VPLS GigaPoP學校使用者 RemoteUser先連入SSL-VPN輸入帳號密碼 SSL-VPN將帳號密碼轉給ACS查詢 ACS將帳號密碼轉給全國無線漫遊身份驗證系統查詢 認證成功透過DHCP Server取得學校IP 透過VPLS連回Gigapop學校 讀取學校圖書資源或透過TANet連往Internet Internet Remote User TWAREN Backbone TANET SSL VPN Cluster 全國校園無線漫遊身份驗證系統 POP 7609V VPLS TANET65 GigaPoP 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server Cisco ACS Server

Gigapop使用SSL-VPN服務-4 VPLS GigaPoP學校使用者 RemoteUser先連入SSL-VPN輸入帳號密碼 SSL-VPN將帳號密碼轉給ACS查詢 ACS將帳號密碼轉給全國無線漫遊身份驗證系統查詢 認證成功透過DHCP Server取得學校IP 透過VPLS連回Gigapop學校 讀取學校圖書資源或透過TANet連往Internet Internet Remote User TWAREN Backbone TANET SSL VPN Cluster 全國校園無線漫遊身份驗證系統 POP 7609V VPLS TANET65 GigaPoP 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server Cisco ACS Server

Gigapop使用SSL-VPN服務-5 VPLS GigaPoP學校使用者 RemoteUser先連入SSL-VPN輸入帳號密碼 SSL-VPN將帳號密碼轉給ACS查詢 ACS將帳號密碼轉給全國無線漫遊身份驗證系統查詢 認證成功透過DHCP Server取得學校IP 透過VPLS連回Gigapop學校 讀取學校圖書資源或透過TANet連往Internet Internet Remote User TWAREN Backbone TANET SSL VPN Cluster 全國校園無線漫遊身份驗證系統 POP 7609V VPLS TANET65 GigaPoP 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server Cisco ACS Server

Gigapop使用SSL-VPN服務-6 VPLS GigaPoP學校使用者 RemoteUser先連入SSL-VPN輸入帳號密碼 SSL-VPN將帳號密碼轉給ACS查詢 ACS將帳號密碼轉給全國無線漫遊身份驗證系統查詢 認證成功透過DHCP Server取得學校IP 透過VPLS連回Gigapop學校 讀取學校圖書資源或透過TANet連往Internet Internet Remote User TWAREN Backbone TANET SSL VPN Cluster 全國校園無線漫遊身份驗證系統 POP 7609V VPLS TANET65 GigaPoP 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server Cisco ACS Server

連線學校使用SSL-VPN服務-1 VPLS RemoteUser先連入SSL-VPN輸入帳號密碼 連線學校使用者 SSL-VPN將帳號密碼轉給ACS查詢 ACS將帳號密碼轉給全國無線漫遊身份驗證系統查詢 認證成功透過DHCP Server取得學校IP 圖書資源 連線學校使用者 學校所屬 骨幹路由器 Internet Remote User TWAREN Backbone POP 3750 SSL VPN Cluster 全國校園無線漫遊身份驗證系統 POP 7609V VPLS TANET65 802.1Q 802.1Q TANET 7609V DHCP Server Cisco ACS Server

連線學校使用SSL-VPN服務-2 VPLS 透過VPLS連回Gigapop學校 連線學校使用者 讀取學校圖書資源或透過TANet連往Internet 圖書資源 連線學校使用者 學校所屬 骨幹路由器 Internet 增加1個vlan tag Remote User TWAREN Backbone 802.1Q via ISP POP 3750 802.1Q SSL VPN Cluster 全國校園無線漫遊身份驗證系統 POP 7609V VPLS TANET65 802.1Q 802.1Q TANET 7609V DHCP Server Cisco ACS Server

非連線單位學校使用SSL-VPN服務-1 已接入各Gigapop機房的學校，使用TANet或TWAREN服務者 透過放置於各Gigapop機房的Cisco 3750P進行VLAN分流 尚未接入Gigapop機房的學校 可新增一條專線(ISP線路或Dark Fiber)進入各Gigapop機房，再連入VPLS網路 新增的專線，也可申請使用TWAREN連線服務，或其他TWAREN加值應用，所有服務，皆可放置於各Gigapop機房的Cisco 3750P進行VLAN分流

非連線單位學校使用SSL-VPN服務-2 VPLS 非連線學校使用者 Internet 非連線單位學校 Internet 學校所屬資源 非連線單位學校 學校所屬 路由器 Internet Internet Remote User 新增ISP線路or Dark Fiber Twaren Backbone 學校既有往Internet出口線路 SSL VPN Cluster 全國校園無線漫遊身份驗證系統 POP 7609V VPLS 7609P 802.1Q 802.1Q 7609V DHCP Server Cisco ACS Server

學校使用SSL VPN準備工作 學校需準備… 國網對應工作 1 IP pool範圍 設定於DHCP server 2 學校內部所有網段Prefix 將該校routing設定於ASA 3 線路調整或新增連線至VPLS骨幹 (連線學校:既有連接於PoP3750線路增加第三個vlan id) (非連線學校需新增線路連接PoP7609V) 設定學校所屬VPLS vlan id 調整PoP3750及PoP7609V之vlan id 連接學校線路於PoP7609V 4 是否加入校園無線漫遊認證機制 是 否 新增該校的Group於ACS ASA直接與該校認證伺服器進行認證 5 學校規劃該校SSL登入Portal 將該校Portal內容設定於ASA 6 SSL Client透過學校出Internet是否需進行NAT，若需要請將IP pool於出口路由器或防火牆設定NAT

歡迎大家踴躍使用VPLS與SSL-VPN服務

Thanks http://www.nchc.org.tw http://www.twaren.net http://noc.twaren.net