2校园网出口解决方案.docx

1、2校园网出口解决方案校园出口设计解决方案项目小组：CRZ.FZU小组成员：詹长贵、陈志洲、荣融 校园出口设计解决方案第一章 校园网出口设计的重要性目前各高校对校园网的建设非常重视，大多数都建成了一个能满足数字、语音、图像等多媒体信息以及综合科研信息传输和处理需要的千兆以太综合数字网。校园网大都采用了千兆以太网技术，百兆到桌面，网络结构为核心层、汇聚层和接入层三大部分。随着各种网络教育实践活动的广泛开展，如网络办公、远程教学、科研工作、网上招生和在线培训考试等。同时，校园网内部用户也需要对外网资源的访问。出口，在世界数字化得今天，是我们通往世界的桥梁！第二章 当前校园网出口面临的挑战2.1 多出

2、口支持挑战 当前大部分国内高校校园网出口都采用多出口的架构, 原因是:(1) 提高访问不同网络资源的速度。和电信、网通等运营商互联仅在北京、上海、 广州三地有交换中心, 且带宽也不够高, 这就给教育网访问公网, 运营商网访问教育网带来瓶颈,需要采用多出口提高访问速度。(2) 解决线路备份问题, 避免出现单出口的单点故障。多出口的架构一般在实际应用中, 需要出口设备支持多元素匹配的策略路由功能, 而且实际应用的策略路由的规则数有几百条。早期或部分新的出口设备, 启用海量策略路由后,性能下降较多影响出口。2.2 NAT性能挑战 由于校园网大多采用私网地址, 访问外网需要进行NAT网络地址换, 即使

3、有些高校拥有较多教育网只但通过网通、电信线路访问资源时仍然需要做, 由于运营商分配的地址有限, 因此校园网出口设备需要做海量的NAT, 出口设备NAT性能决定校园上网速度的重要因素。 NAT性能主要取决几个因素:(1) NAT最大并发连接数；(2) NAT新建连接速率；(3) NAT吞吐能力。2.3 安全防御挑战 校园网出口区域是校园网的“ 门户” , 作为镇守校园网“ 门户” 的出口设备自然也成为安全的第一关。由于近几年网络带宽的迅速增长, 网络威胁也呈现快速增长态势, 攻击、扫描、入侵、D0S攻击、蠕虫病毒攻击、恶意软件、垃圾邮件、还有各种P2P应用。出口设备既要防范校外网络威胁进来, 又

4、要防范校内异常流量对出口设备造成破坏。校园网络带宽越大, 网络威胁可能造成的危害也就越大, 出口设备安全防御面临空前挑战。2.4 流量控制挑战近几年, 各种P2P应用（BT、电骡、迅雷、网络电视等）非常丰富, 这些应用占用了大量的网络资源, 出口带宽的增长几乎永远无法满足这些应用的胃口, 正常的应用带宽难以得到保障, 所以非常有必要对一些影响正常应用的特定应用进行必要的流量控制。2.5内容审计挑战边界设备需要为海量的NAT记录日志以满足国家相关内容的审计要求。由于开启日志会严重影响性能, 使得本来就难以承担海量NAT工作的边界设备性能进一步降低。2.6高可靠挑战校园网出口区域由于其特殊的位置,

5、 因此校园网出口的不可用会导致整个校园网成为一个信息的孤岛, 如何保证出口设备的高可靠, 如何保证出口网络线路可靠, 也都摆着校园网管理者的面前。2.7扩展挑战校园网络迅速扩展, 出口设备背后支持的用户数不断增长, 虽然很多校园骨干网络已经是万兆网络, 但出口设备与校园骨干网接入仍然采用千兆线路, 网络带宽瓶颈依然存在二出口设备与骨干网采用万兆接口相连以解决带宽瓶颈的需求,会在未来一年扩展中逐渐浮现出。但若现有出口设备不支持万兆接口, 恐怕就无法面对扩展的挑战, 现有出口设备投资无法得到长期回报。3.选择的拓扑方案第四章 方案分析 在出口部署了锐捷网络NPE网络出口引擎和流控设备；NPE保证了

6、出口的高性能。流控设备对各种应用进行识别和基于应用的带宽控制。从架构上，全网锥形架构；实现的效果是校内任何汇聚设备到出口只有1跳。4.1 双出口设计设置Cernet（1G），电信ChinaNet（200M）。提高了访问不同网络资源的速度，解决线路备份问题, 避免出现单出口的单点故障。4.2 RSR-16E汇总出口数据RSR-16E是锐捷公司与juniper公司合作，针对电信、政府、电力、金融、教育、企业等用户网络需求现状定制的一款集高性能转发、高灵活性业务处理和高密度接入能力于一体的高端多业务路由器。4.2.1 丰富的业务支持能力 全面的 VPN 业务可满足最多的客户需求, 最大程度提高供应商

7、收入；支持传统的VPN同时，同时支持基于IP的2层VPLS与3的VPN RFC2547；IPSec和 GRE 等； 支持LLQ，对话音、视频及其他实时敏感性应用提供高质量的保证；按 DLCI、VP、VC、VLAN、信道 (DS0) 和端口 QoS；分类、速率限制、整形、加权循环调度、严格优先级调度、加权随机早期检测、随机早期检测和数据包标记；第 2 层 (802.1p、CLP、DE) 映射到第 3 层 QoS (IP DSCP、MPLS EXP)；基于硬件的 IPv6 性能、MPLS IPv6、IPv6 over IPv4 GRE 隧道 、IPv6/IPv4 双栈；强大的组播支持包括 IGMP

8、 v1/v2/v3、PIM-SM、 PIM-DM、MLD、SSM、RP、MSDP、BSR 以及 MPLS/BGP VPN 中的组播, 以高效利用资源、传输高价值内容；基于网络的安全业务包括 NAT 和状态防火墙、以及按 VRF 的 NAT 和状态防火墙；用于汇聚链路的 MLPPP、MLFR .15 和 MLFR .16, 802.3ad；利用 Flow 记帐、源级使用以及目的级使用特性, 可按应用和CoS 资源使用灵活计费, 以及基于距离的计费； 通过合作伙伴关系实现多厂商网络管理解决方案；基于 XML 的Script API 便于第三方和内部OSS 开发。4.2.2 广泛地提供业务特性丰富的

9、 RGNOS 软件在平台上运行, 确保一致的业务, 并使供应商可独立于连接或服务地区密度向所有用户推出所有业务；可通过任何接入技术, 包括 ATM、FR、以太网和TDM 连接；支持不同类型的接口：DS0 到 OC-192/STM-64；降低运营成本；可无缝迁移到更大的平台, 以适应网络的增长。4.2.3 低投入高产出的基础设施业务构建可完全隔离控制层面、转发层面和业务层面, 可在单一平台支持多种业务； 在尽可能降低资本开支和运营开支的同时, 最大限度提高收入； 将以前由NAT、状态型防火墙、IPSec 和 QoS 等不同设备执行的功能整合到锐捷RSR-16E平台中； 在单一平台上提供多种业务使

10、客户可以不必进行资本投资即可尝试许多不同的业务, 从而扩展业务, 进一步拓展用户数量； 逻辑路由器支持供应商将一个路由器分割成多个管理域和路由域, 以便使两个完全不同的机构共享一个基础设施。4.2.4高可靠性 用于 RE 切换的无中断切换, 具有无中断转发特性； 联机软件升级可实现无中断的较小升级；MPLS FRR 确保流量能够迅速地绕过故障；MPLS TE 路径控制用于路径优化, 结合了可预测的性能, 可用于话音和视频等延迟敏感型业务；LSP ping 等高级 OA&M 特性可用来排除 MPLS 的故障；支持GR（完美重启），可实现业务无中断重启 IS-IS、 BGP、OSPF、OSPFv3

11、、LDP、RSVP、第 2 层 VPN 和第 3 层 VPN；模块化 RGNOS 软件可确保某一个模块发生故障时不会对整个操作系统产生影响；4.2.5 安全网络 高性能NAT、状态型防火墙、攻击检测和通过多业务 PIC 实现的 IPSec；隔离路由层面和控制层面, 可利用状态型防火墙保护控制层面；Flow 状态型数据包流监控带有标准的 flowd v5 和 v8 记录, 可全面监控网络；扩展性高的过滤、单点发送 RPF 和速率限制可防止 IP 欺骗和 DOS 攻击；高性能 IPSec 和 MPLS IPSec 具有数字证书支持特性, 可进一步加强安全性；其他无处不在的安全特性, 如端口镜像、加

12、密管理会话业务、安全隧道功能、安全远程登录和可配置的权限级别及用户账户。4.3 RG-ACE3000 流控专家RG-ACE应用控制引擎以DPI（Deep Packet Inspect，深度包检测）技术为核心，支持软/硬件Bypass，提供了基于七层应用的带宽管理和应用优化功能；在带宽管理方面，配合用户自定义的带宽策略以及RG-ACE的核心带宽自动分配算法，可以为网络链路划分多个虚拟带宽通道，能够实现最大带宽限制、保证带宽、带宽租借、带宽配额、应用优先级、随机公平队列等一系列带宽管理功能，为客户提供了带宽管理、分析和优化的一体化解决方案，能够有效的检测和防止不正常应用对网络带宽资源的非正常消耗，

13、保证关键应用带宽，限制非业务应用带宽，改善和保障了整体网络应用的服务质量。4.3.1 网络实时流量监控与分析 网络流量的实时采集、监控和精细分析使得网络运行状况、应用情况、带宽使用情况等状况完全可视化 基于协议和基于IP地址（用户）两种类型的实时流量分析器，提供访问的源/目的IP地址、服务端口、应用协议、Session数以及流量大小等详细信息。4.3.2 应用层自动识别和分类 P2P应用：Bittorrent、eMule、KAZAA、KURO、NAPSTER 、EDONKEY、AUDIOGALAXY、EZPEER、KUGOO、GNUTELLA、VAGAA、SOULSEEK、POCO、PIGO等

14、30多种P2P软件。 IM应用：MSN、Yahoo、ICQ、AOL、QQ、YAHOO、WEBIM、IRC、XMPP等10多种主流的IM软件。 视频/Streaming应用：新浪直播、搜狐直播、RTSP、SIP、PPSTREAM、PPLIVE、APPLEQTC、CCIPTV、QUICKTIME、REALPLAYER、MMS、QQlive、H.323等主流的视频和流媒体应用。 网络游戏：COUNTERSTRIKE 、QUAKE1 、DOOM3、QQGAME、CGA、SUBSPACE 、XBOXLIVE 、QUAKE-HALFLIFE 、BATTLEFIELD1942、WOW、联众等网络游戏。 炒股

15、软件：大智慧证劵信息平台、天一证劵网上交易系统、华泰网上交易分析系统、证券之星等炒股软件。 企业办公、数据库与中间件：HTTP、SMTP、POP3、IMAP、文件共享、FTP、SQL Server、Oracle、DB2、WebSphere MQ等企业的关键应用。 为用户关键应用提供量身定做的自定义特征码。4.3.3 网络流量控制管理 支持基于用户（源IP地址）、目标IP地址、时间、协议和应用等为参数进行灵活的阻断与允许功能； 支持基于用户（源IP地址）、目标IP地址、时间、协议和应用等为参数进行上行与下行带宽控制； 支持基于用户（源IP地址）、目标IP地址、时间、协议和应用等为参数进行Sess

16、ion数量控制； 支持组对象的配置，如定义用户组（IP组）、协议组（如P2P协议组、游戏组）对同一类型的应用、相同级别的用户进行带宽管理策略的控制。4.3.4 流量整型与应用优化 支持自定义虚拟带宽通道、最大带宽限制、保证带宽、带宽租借、应用优先级以及随机公平队列等一系列的应用优化和带宽管理控制功能。4.3.5 提供丰富的图表报告分析和统计 提供一年内的应用或协议流量纪录，并可生成天、周、月、季度、年时间段内的应用及协议的带宽使用统计报告。包括：总带宽分析报表、应用带宽分析报表、基于协议的带宽分析报表、基于协议和流量方向（进入/出去）的带宽分析报表、基于应用和流量方向（进入/出去）的带宽分析报

17、表、基于IP地址的带宽分析报表、用户自定义报表等等4.3.6 应用层防火墙 应用层防火墙能够识别并阻断黑客的端口扫描以及DoS攻击行为，支持通过Session数控制、带宽控制来提高网络可用性和安全性；4.3.7 集中化的图形化管理平台 提供中英文的图形化管理平台，可以用一台管理服务器集中的管理网络上的多台ACE设备。图形化管理平台采用JAVA架构，能够适应于各种操作系统和服务器，用户只需利用浏览器即可远程访问管理服务器进行设备管理。4.4 NPE50 NAT转换高手NPE50产品是锐捷网络公司针对网络出口实际需要开发的专用设备，采用全新NP架构设计，主控板固化提供了3个光电复用的10/100/

18、1000M以太网口，带两个支持热拔插的NMX模块插槽；NPE具备转发高性能，在启用NAT、ACL、PBR（策略路由）的情况下，在通常情况的报文流情况下（平均报文长度为500byte左右的混合报文），双向可以达到8Gbps的线速转发，每秒可以创建30万条以上的NAT会话，在2Gbps的NAT线速转发情况下，每秒仍然可以达到新建7万条的NAT会话，达到200万条的并发NAT会话，内嵌防火墙功能，具有强大的设备自身抗攻击功能。4.4.1 先进的硬件体系架构 采用双核NP硬件体系架构，NP内双核并行处理，性能倍增。 在主控板上固化提供了3个GE口，直接和NP连接，不占用背板带宽，达到线速转发。 GE口

19、都支持光电复用，不需要额外单独购买价格昂贵的GE模块，节省投资，应用灵活方便。 模块化设计，NPE50-20支持2个NMX模块插槽，通过扩展可以支持达到7个光电复用的GE口。NPE50-40则支持4个NMX模块插槽，通过扩展可以支持到11个光电复用的GE口 支持1+1的冗余电源，保证系统的可靠性。支持USB的应用，提供了2个标准USB插槽，采用USB2.0的标准，兼容USB1.1标准。支持USB FLASH Memory（U盘），可存储配置文件及日志文件，因其具有良好的可移动性，可减少许多重复的配置工作，大大减少系统维护的工作量。4.4.2 高性能NAT 由于IPv4地址的匮乏，NAT作为网络

20、出口设备必备功能，随着网络规模和出口带宽的扩大，需要更高速的NAT，锐捷NPE设备，采用NAT与REF（锐捷快速转发）高效配合，并充分利用流交换技术，实现高速NAT，NPE作为网络出口设备性能上不会成为瓶颈： 在启用NAT、ACL、PBR（策略路由）的情况下，在通常情况报文流情况下（平均报文长度为500byte左右的混合报文），双向可以达到8Gbps的线速转发。 每秒高达30万条的NAT新建连接会话。在2Gbps的NAT线速转发下，每秒达到新建7万条NAT会话。 并发达到200万条的NAT会话数。如果按照每个网络节点300条NAT会话，则可以同时支持将近7000台的网络节点同时在线。4.4.3

21、 多功能NAT 支持NAPT、NAT以及路由的混合使用，满足各种复杂的网络地址规划； 支持NAT静态映射，向外提供WWW、Telnet、FTP等服务； 支持NAT Re-routing和反向NAT； 提供NAT ALG功能，支持FTP、RTSP、MMS、H.323、SIP等特殊应用协议。4.4.4 快速ACL包过滤技术 NPE提供性能卓越的ACL包过滤功能，支持标准和扩展的ACL访问控制列表。NPE采用先进的流表处理技术，利用源IP、目的IP、源端口、目的端口、协议号等5个元素来定义一条流。每秒可以处理和创建的流数量达到10万条。 每个ACL包涵多个控制列表表项（ACE），NPE将ACL和流交

22、换高效整合，实现ACL和ACE数目多少对于数据转发接近零影响，有效的提高网络出口设备的数据包转发能力。4.4.5 高性能策略路由 根据用户制订的策略路由，基于源接口更加灵活的数据包路由转发机制。与功能强大的ACL配合使用，可以根据报文的源地址，目的地址,应用协议进行有效组合，实现策略路由。 NPE设备上，将策略路由与流交换高效整合，实现PBR规则数目多少对于数据转发接近零影响，有效的提高网络出口设备的数据包转发能力。4.4.5 灵活的流量控制 流量限制是防止某些用户或者应用（如BT等P2P应用）占用过多的网络资源，使用流量管理用户能够公平使用带宽。对于一些常见的DOS/DDOS攻击，在其他防御

23、手段都无效的情况下，流量限制是一个简单直接的方式。NPE具有丰富的流量控制功能： 带宽限制：可以提供从基于接口的带宽限速，到基于策略的每用户的带宽限制； 并发会话数限制：基于策略的或者每用户的并发会话数限制； 新建会话速率限制：基于策略的或者每用户的新建会话速率限制；4.4.6 完备的日志管理 日志对于网络安全的分析和安全设备的管理非常重要。NPE针对各种网络攻击和安全威胁进行日志记录，采用统一的格式，支持本地查看的同时，还能够通过统一的输出接口将日志发送到日志服务器，为用户事后分析、审计提供重要信息，NPE日志包括： 设备日志：设备状态，系统事件日志 上网记录日志：上网记录日志 攻击日志：设

24、备网络受到攻击的日志信息4.4.7 NPE内嵌防火墙功能 NPE设备作为网络出口设备集成防火墙功能： 报文过滤：报文过滤是防火墙最基本的功能，根据安全策略对数据流进行检查，让合法的流量通过，将非法的流量阻止，从而达到访问控制的目的。 状态检测：对基于六元组来识别网络流量，并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤。 TCP状态跟踪与检查：跟踪转发TCP流量的状态，阻断非法的TCP状态迁移，过滤带有错误顺序号的TCP报文，有效防止TCP会话劫持，TCP重放等一类的入侵。 特殊应用协议支持：如FTP、H.323、MMS、RTSP、SI

25、P等协议，这些协议的数据通道是通过命令通道动态建立的，其中的端口是随机的。如果简单地打开所有可能的端口，但这样就大大降低了防火墙的安全性。NPE能够根据用户定制的策略来对这些特殊应用建立状态，并进行端口侦测，并解析出建立数据通道的端口，建立数据通道的连接，这样属于数据通道的数据流就能够穿过NPE，并且不会打开更多额外的端口。 攻击防御:：基于状态检测，NPE可以防御的各种网络攻击包括：IP畸形包攻击、IP假冒、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、ping flood、UDP Flood等。 内容过滤：NPE能够针对URL地址进

26、行灵活地分类，并应用到各种策略上，实现基于用户策略的URL访问过滤。以后还将支持与内容过滤服务器的联动来提供更深粒度的网络内容过滤。4.4.8 提供设备硬件和软件的高可靠性 管理控制引擎和转发引擎完全分离：更好的稳定性、更稳定的性能、更容易实现可靠的服务特性 关键装置的冗余： 5条PCI总线冗余 电源冗余 双启动映像文件 双配置文件 关键部件热拔插：电源热拔插、风扇热拔插、模块热拔插 模块化软件设计： 某个软件模块出错，不会让机器崩溃， 软件的复杂度降低 支持软件在线升级 将问题隔离在软件模块内 多种备份机制 支持VRRP、VRRP+ 支持链路备份机制 支持路由备份 采用标准的CLI配置界面，

27、降低学习和使用成本，给维护带来极大的方便。第五章 实现的技术5.1 NAT技术电信提供的互联网出口提供16个公网IP。需要通过NAT技术解决校内用户对外部网络的访问需求，且实现在电信提供的互联网出口发布对外的WEB等服务。NAT属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。5.2 PPTP VPN技术针对在校园网外的老师及同学们，当需要访问校园网资源时，可以使用PPTP V

28、PN技术来实现访问。点对点通道协议（Point to Point TunnelingProtocol简称 PPTP)的协议。它是由微软公司支持的。在2003server中可以使用的。使用用户级别的 PPP 身份验证方法和用于数据加密的 Microsoft 点对点加密 (MPPE)。用户在家中可通过拨号的方式进入校内网。 PPTP的工作原理：一般网络协议的工作方法是进行数据包（Data Packet)的交换包是由要发送的数据加上协议特定的控制信息组成。对于用户来说关心的只是需要传送的数据，对于附加的控制信息并不重要。PPTP的工作方式是在TCP/IP包中封装原始包(nativepacket),例

29、如IPX包，包括控制信息在内的整个IPX包都将成为TCP/IP包的“数据，然后它通过Internet进行传输。另一端的软件打开包去除增加的PPTP控制信息还原成IPX包并发送给IPX协议进行常规处理。这一过程叫做通道(tunneling)。使用PPTP节省了大量长途电话或长途的专线费用。据一般估计可节省2040的费用，对于有大量长途拨入的网络甚至可以节省6080的费用。使用PPTP对于原有的网络安全性并没有大的破坏，因为原有LAN的广泛的安全检查照样进行，其实PPTP对于网络用户是透明的。另外它还通过压缩、数据加密等手段保证了网络的安全性。5.3策略路由技术在路由器进行包转发决策过程中，通常是根据所接受的包的目的地址进行的。路由器根据包的目的地址查找路由表，从而作出相应的最优路由转发决策。当欲使某些包由其他路径而不是明确的最短路径路由时，就可以启用策略路由，即按照我们具体需要来决定数据包的路由。基于策略路由有如下几种方式，即：基于源IP地址的策略路由;基于