校园网出口解决方案样本.docx
《校园网出口解决方案样本.docx》由会员分享,可在线阅读,更多相关《校园网出口解决方案样本.docx(23页珍藏版)》请在冰点文库上搜索。
![校园网出口解决方案样本.docx](https://file1.bingdoc.com/fileroot1/2023-5/26/9fbdb710-f730-49f8-a13f-ff0a83c2c68d/9fbdb710-f730-49f8-a13f-ff0a83c2c68d1.gif)
校园网出口解决方案样本
校园出口设计处理方案
项目小组:
CRZ.FZU
小组组员:
詹长贵、陈志洲、荣融
校园出口设计处理方案
第一章校园网出口设计关键性
现在各高校对校园网建设很重视,大多数全部建成了一个能满足数字、语音、图像等多媒体信息和综合科研信息传输和处理需要千兆以太综合数字网。
校园网大全部采取了千兆以太网技术,百兆到桌面,网络结构为关键层、汇聚层和接入层三大部分。
伴随多种网络教育实践活动广泛开展,如网络办公、远程教学、科研工作、网上招生和在线培训考试等。
同时,校园网内部用户也需要对外网资源访问。
出口,在世界数字化得今天,是我们通往世界桥梁!
第二章目前校园网出口面临挑战
2.1多出口支持挑战
目前大部分中国高校校园网出口全部采取多出口架构,原因是:
(1)提升访问不一样网络资源速度。
和电信、网通等运行商互联仅在北京、上海、广州三地有交换中心,且带宽也不够高,这就给教育网访问公网,运行商网访问教育网带来瓶颈,需要采取多出口提升访问速度。
(2)处理线路备份问题,避免出现单出口单点故障。
多出口架构通常在实际应用中,需要出口设备支持多元素匹配策略路由功效,而且实际应用策略路由规则数有几百条。
早期或部分新出口设备,启用海量策略路由后,性能下降较多影响出口。
2.2NAT性能挑战
因为校园网大多采取私网地址,访问外网需要进行NAT网络地址换,即使有些高校拥有较多教育网只但经过网通、电信线路访问资源时仍然需要做,因为运行商分配地址有限,所以校园网出口设备需要做海量NAT,出口设备NAT性能决定校园上网速度关键原因。
NAT性能关键取决多个原因:
(1)NAT最大并发连接数;
(2)NAT新建连接速率;
(3)NAT吞吐能力。
2.3安全防御挑战
校园网出口区域是校园网“门户”,作为镇守校园网“门户”出口设备自然也成为安全第一关。
因为近几年网络带宽快速增加,网络威胁也展现快速增加态势,攻击、扫描、入侵、D0S攻击、蠕虫病毒攻击、恶意软件、垃圾邮件、还有多种P2P应用。
出口设备既要防范校外网络威胁进来,又要防范校内异常流量对出口设备造成破坏。
校园网络带宽越大,网络威胁可能造成危害也就越大,出口设备安全防御面临空前挑战。
2.4流量控制挑战
近几年,多种P2P应用(BT、电骡、迅雷、网络电视等)很丰富,这些应用占用了大量网络资源,出口带宽增加几乎永远无法满足这些应用胃口,正常应用带宽难以得到保障,所以很有必需对部分影响正常应用特定应用进行必需流量控制。
2.5内容审计挑战
边界设备需要为海量NAT统计日志以满足国家相关内容审计要求。
因为开启日志会严重影响性能,使得原来就难以负担海量NAT工作边界设备性能深入降低。
2.6高可靠挑战
校园网出口区域因为其特殊位置,所以校园网出口不可用会造成整个校园网成为一个信息孤岛,怎样确保出口设备高可靠,怎样确保出口网络线路可靠,也全部摆着校园网管理者面前。
2.7扩展挑战
校园网络快速扩展,出口设备背后支持用户数不停增加,即使很多校园骨干网络已经是万兆网络,但出口设备和校园骨干网接入仍然采取千兆线路,网络带宽瓶颈仍然存在二出口设备和骨干网采取万兆接口相连以处理带宽瓶颈需求,会在未来十二个月扩展中逐步出现出。
但若现有出口设备不支持万兆接口,恐怕就无法面对扩展挑战,现有出口设备投资无法得到长久回报。
3.选择拓扑方案
第四章方案分析
在出口布署了锐捷网络NPE网络出口引擎和流控设备;NPE确保了出口高性能。
流控设备对多种应用进行识别和基于应用带宽控制。
从架构上,全网锥形架构;实现效果是校内任何汇聚设备到出口只有1跳。
4.1双出口设计
设置Cernet(1G),电信ChinaNet(200M)。
提升了访问不一样网络资源速度,处理线路备份问题,避免出现单出口单点故障。
4.2RSR-16E汇总出口数据
RSR-16E是锐捷企业和juniper企业合作,针对电信、政府、电力、金融、教育、企业等用户网络需求现实状况定制一款集高性能转发、高灵活性业务处理和高密度接入能力于一体高端多业务路由器。
4.2.1丰富业务支持能力
全方面VPN业务可满足最多用户需求,最大程度提升供给商收入;支持传统VPN同时,同时支持基于IP2层VPLS和3VPN RFC2547;IPSec和GRE等;
支持LLQ,对话音、视频及其它实时敏感性应用提供高质量确保;
按DLCI、VP、VC、VLAN、信道(DS0)和端口QoS;
分类、速率限制、整形、加权循环调度、严格优先级调度、加权随机早期检测、随机早期检测和数据包标识;
第2层(802.1p、CLP、DE)映射到第3层QoS(IPDSCP、MPLSEXP);
基于硬件IPv6性能、MPLSIPv6、IPv6overIPv4GRE隧道、IPv6/IPv4双栈;
强大组播支持包含IGMPv1/v2/v3、PIM-SM、PIM-DM、MLD、SSM、RP、MSDP、BSR和MPLS/BGPVPN中组播,以高效利用资源、传输高价值内容;
基于网络安全业务包含NAT和状态防火墙、和按VRFNAT和状态防火墙;
用于汇聚链路MLPPP、MLFR.15和MLFR.16,802.3ad;
利用Flow记帐、源级使用和目标级使用特征,可按应用和CoS资源使用灵活计费,和基于距离计费;
经过合作伙伴关系实现多厂商网络管了处理方案;
基于XMLScriptAPI便于第三方和内部OSS开发。
4.2.2广泛地提供业务
特征丰富RGNOS软件在平台上运行,确保一致业务,并使供给商可独立于连接或服务地域密度向全部用户推出全部业务;
可经过任何接入技术,包含ATM、FR、以太网和TDM连接;
支持不一样类型接口:
DS0到OC-192/STM-64;
降低运行成本;
可无缝迁移到更大平台,以适应网络增加。
4.2.3低投入高产出基础设施
业务构建可完全隔离控制层面、转发层面和业务层面,可在单一平台支持多个业务;
在尽可能降低资本开支和运行开支同时,最大程度提升收入;
将以前由NAT、状态型防火墙、IPSec和QoS等不一样设备实施功效整合到锐捷RSR-16E平台中;
在单一平台上提供多个业务使用户能够无须进行资本投资即可尝试很多不一样业务,从而扩展业务,深入拓展用户数量;
逻辑路由器支持供给商将一个路由器分割成多个管理域和路由域,方便使两个完全不一样机构共享一个基础设施。
4.2.4高可靠性
用于RE切换无中止切换,含有没有中止转发特征;
联机软件升级可实现无中止较小升级;
MPLSFRR确保流量能够快速地绕过故障;
MPLSTE路径控制用于路径优化,结合了可估计性能,可用于话音和视频等延迟敏感型业务;
LSPping等高级OA&M特征可用来排除MPLS故障;
支持GR(完美重启),可实现业务无中止重启IS-IS、BGP、OSPF、OSPFv3、LDP、RSVP、第2层VPN和第3层VPN;
模块化RGNOS软件可确保某一个模块发生故障时不会对整个操作系统产生影响;
4.2.5安全网络
高性能NAT、状态型防火墙、攻击检测和经过多业务PIC实现IPSec;
隔离路由层面和控制层面,可利用状态型防火墙保护控制层面;
Flow状态型数据包流监控带有标准flowdv5和v8统计,可全方面监控网络;
扩展性高过滤、单点发送RPF和速率限制可预防IP欺骗和DOS攻击;
高性能IPSec和MPLSIPSec含有数字证书支持特征,可深入加强安全性;
其它无处不在安全特征,如端口镜像、加密管理会话业务、安全隧道功效、安全远程登录和可配置权限等级及用户账户。
。
4.3RG-ACE3000——流控教授
RG-ACE应用控制引擎以DPI(DeepPacketInspect,深度包检测)技术为关键,支持软/硬件Bypass,提供了基于七层应用带宽管理和应用优化功效;在带宽管理方面,配适用户自定义带宽策略和RG-ACE关键带宽自动分配算法,能够为网络链路划分多个虚拟带宽通道,能够实现最大带宽限制、确保带宽、带宽租借、带宽配额、应用优先级、随机公平队列等一系列带宽管理功效,为用户提供了带宽管理、分析和优化一体化处理方案,能够有效检测和预防不正常应用对网络带宽资源非正常消耗,确保关键应用带宽,限制非业务应用带宽,改善和保障了整体网络应用服务质量。
4.3.1网络实时流量监控和分析
● 网络流量实时采集、监控和精细分析使得网络运行情况、应用情况、带宽使用情况等情况完全可视化
● 基于协议和基于IP地址(用户)两种类型实时流量分析器,提供访问源/目标IP地址、服务端口、应用协议、Session数和流量大小等具体信息。
4.3.2应用层自动识别和分类
● P2P应用:
Bittorrent、eMule、KAZAA、KURO、NAPSTER、EDONKEY、AUDIOGALAXY、EZPEER、KUGOO、GNUTELLA、VAGAA、SOULSEEK、POCO、PIGO等30多个P2P软件。
● IM应用:
MSN、Yahoo、ICQ、AOL、QQ、YAHOO、WEBIM、IRC、XMPP等10多个主流IM软件。
● 视频/Streaming应用:
新浪直播、搜狐直播、RTSP、SIP、PPSTREAM、PPLIVE、APPLEQTC、CCIPTV、QUICKTIME、REALPLAYER、MMS、QQlive、H.323等主流视频和流媒体应用。
● 网络游戏:
COUNTERSTRIKE、QUAKE1、DOOM3、QQGAME、CGA、SUBSPACE、XBOXLIVE、QUAKE-HALFLIFE、BATTLEFIELD1942、WOW、联众等网络游戏。
● 炒股软件:
大智慧证劵信息平台、天一证劵网上交易系统、华泰网上交易分析系统、证券之星等炒股软件。
● 企业办公、数据库和中间件:
HTTP、SMTP、POP3、IMAP、文件共享、FTP、SQLServer、Oracle、DB2、WebSphereMQ等企业关键应用。
● 为用户关键应用提供量身定做自定义特征码。
4.3.3网络流量控制管理
● 支持基于用户(源IP地址)、目标IP地址、时间、协议和应用等为参数进行灵活阻断和许可功效;
● 支持基于用户(源IP地址)、目标IP地址、时间、协议和应用等为参数进行上行和下行带宽控制;
● 支持基于用户(源IP地址)、目标IP地址、时间、协议和应用等为参数进行Session数量控制;
● 支持组对象配置,如定义用户组(IP组)、协议组(如P2P协议组、游戏组)对同一类型应用、相同等级用户进行带宽管理策略控制。
4.3.4流量整型和应用优化
● 支持自定义虚拟带宽通道、最大带宽限制、确保带宽、带宽租借、应用优先级和随机公平队列等一系列应用优化和带宽管理控制功效。
4.3.5提供丰富图表汇报分析和统计
● 提供十二个月内应用或协议流量纪录,并可生整天、周、月、季度、年时间段内应用及协议带宽使用统计汇报。
包含:
总带宽分析报表、应用带宽分析报表、基于协议带宽分析报表、基于协议和流量方向(进入/出去)带宽分析报表、基于应用和流量方向(进入/出去)带宽分析报表、基于IP地址带宽分析报表、用户自定义报表等等
4.3.6应用层防火墙
● 应用层防火墙能够识别并阻断黑客端口扫描和DoS攻击行为,支持经过Session数控制、带宽控制来提升网络可用性和安全性;
4.3.7集中化图形化管理平台
● 提供中英文图形化管理平台,能够用一台管理服务器集中管理网络上多台ACE设备。
图形化管理平台采取JAVA架构,能够适应于多种操作系统和服务器,用户只需利用浏览器即可远程访问管理服务器进行设备管理。
4.4NPE50——NAT转换高手
NPE50产品是锐捷网络企业针对网络出口实际需要开发专用设备,采取全新NP架构设计,主控板固化提供了3个光电复用10/100/1000M以太网口,带两个支持热拔插NMX模块插槽;NPE含有转发高性能,在启用NAT、ACL、PBR(策略路由)情况下,在通常情况报文流情况下(平均报文长度为500byte左右混合报文),双向能够达成8Gbps线速转发,每秒能够创建30万条以上NAT会话,在2GbpsNAT线速转发情况下,每秒仍然能够达成新建7万条NAT会话,达成200万条并发NAT会话,内嵌防火墙功效,含有强大设备本身抗攻击功效。
4.4.1优异硬件体系架构
采取双核NP硬件体系架构,NP内双核并行处理,性能倍增。
在主控板上固化提供了3个GE口,直接和NP连接,不占用背板带宽,达成线速转发。
GE口全部支持光电复用,不需要额外单独购置价格昂贵GE模块,节省投资,应用灵活方便。
模块化设计,NPE50-20支持2个NMX模块插槽,经过扩展能够支持达成7个光电复用GE口。
NPE50-40则支持4个NMX模块插槽,经过扩展能够支持到11个光电复用GE口
支持1+1冗余电源,确保系统可靠性。
支持USB应用,提供了2个标准USB插槽,采取USB2.0标准,兼容USB1.1标准。
支持USBFLASHMemory(U盘),可存放配置文件及日志文件,因其含有良好可移动性,可降低很多反复配置工作,大大降低系统维护工作量。
4.4.2高性能NAT
因为IPv4地址匮乏,NAT作为网络出口设备必备功效,伴随网络规模和出口带宽扩大,需要更高速NAT,锐捷NPE设备,采取NAT和REF(锐捷快速转发)高效配合,并充足利用流交换技术,实现高速NAT,NPE作为网络出口设备性能上不会成为瓶颈:
在启用NAT、ACL、PBR(策略路由)情况下,在通常情况报文流情况下(平均报文长度为500byte左右混合报文),双向能够达成8Gbps线速转发。
每秒高达30万条NAT新建连接会话。
在2GbpsNAT线速转发下,每秒达成新建7万条NAT会话。
并发达成200万条NAT会话数。
假如根据每个网络节点300条NAT会话,则能够同时支持快要7000台网络节点同时在线。
4.4.3多功效NAT
支持NAPT、NAT和路由混合使用,满足多种复杂网络地址计划;
支持NAT静态映射,向外提供WWW、Telnet、FTP等服务;
支持NATRe-routing和反向NAT;
提供NATALG功效,支持FTP、RTSP、MMS、H.323、SIP等特殊应用协议。
4.4.4快速ACL包过滤技术
NPE提供性能卓越ACL包过滤功效,支持标准和扩展ACL访问控制列表。
NPE采取优异流表处理技术,利用源IP、目标IP、源端口、目标端口、协议号等5个元素来定义一条流。
每秒能够处理和创建流数量达成10万条。
每个ACL包涵多个控制列表表项(ACE),NPE将ACL和流交换高效整合,实现ACL和ACE数目多少对于数据转发靠近零影响,有效提升网络出口设备数据包转发能力。
4.4.5高性能策略路由
依据用户制订策略路由,基于源接口愈加灵活数据包路由转发机制。
和功效强大ACL配合使用,能够依据报文源地址,目标地址,应用协议进行有效组合,实现策略路由。
NPE设备上,将策略路由和流交换高效整合,实现PBR规则数目多少对于数据转发靠近零影响,有效提升网络出口设备数据包转发能力。
4.4.5灵活流量控制
流量限制是预防一些用户或应用(如BT等P2P应用)占用过多网络资源,使用流量管理用户能够公平使用带宽。
对于部分常见DOS/DDOS攻击,在其它防御手段全部无效情况下,流量限制是一个简单直接方法。
NPE含有丰富流量控制功效:
带宽限制:
能够提供从基于接口带宽限速,到基于策略每用户带宽限制;
并发会话数限制:
基于策略或每用户并发会话数限制;
新建会话速率限制:
基于策略或每用户新建会话速率限制;
4.4.6完备日志管理
日志对于网络安全分析和安全设备管理很关键。
NPE针对多种网络攻击和安全威胁进行日志统计,采取统一格式,支持当地查看同时,还能够经过统一输出接口将日志发送到日志服务器,为用户事后分析、审计提供关键信息,NPE日志包含:
设备日志:
设备状态,系统事件日志
上网统计日志:
上网统计日志
攻击日志:
设备网络受到攻击日志信息
4.4.7NPE内嵌防火墙功效
NPE设备作为网络出口设备集成防火墙功效:
报文过滤:
报文过滤是防火墙最基础功效,依据安全策略对数据流进行检验,让正当流量经过,将非法流量阻止,从而达成访问控制目标。
状态检测:
对基于六元组来识别网络流量,并针对每条网络流量建立从二层至七层状态信息。
并基于这些状态信息进行多种丰富安全控制和更深粒度报文过滤。
TCP状态跟踪和检验:
跟踪转发TCP流量状态,阻断非法TCP状态迁移,过滤带有错误次序号TCP报文,有效预防TCP会话劫持,TCP重放等一类入侵。
特殊应用协议支持:
如FTP、H.323、MMS、RTSP、SIP等协议,这些协议数据通道是经过命令通道动态建立,其中端口是随机。
假如简单地打开全部可能端口,但这么就大大降低了防火墙安全性。
NPE能够依据用户定制策略来对这些特殊应用建立状态,并进行端口侦测,并解析出建立数据通道端口,建立数据通道连接,这么属于数据通道数据流就能够穿过NPE,而且不会打开更多额外端口。
攻击防御:
:
基于状态检测,NPE能够防御多种网络攻击包含:
IP畸形包攻击、IP假冒、TCP劫持入侵、SYNflood、Smurf、PingofDeath、Teardorp、Land、pingflood、UDPFlood等。
内容过滤:
NPE能够针对URL地址进行灵活地分类,并应用到多种策略上,实现基于用户策略URL访问过滤。
以后还将支持和内容过滤服务器联动来提供更深粒度网络内容过滤。
4.4.8提供设备硬件和软件高可靠性
管理控制引擎和转发引擎完全分离:
愈加好稳定性、更稳定性能、更轻易实现可靠服务特征
关键装置冗余:
5条PCI总线冗余
电源冗余
双开启映像文件
双配置文件
关键部件热拔插:
电源热拔插、风扇热拔插、模块热拔插
模块化软件设计:
某个软件模块犯错,不会让机器瓦解,
软件复杂度降低
支持软件在线升级
将问题隔离在软件模块内
多个备份机制
支持VRRP、VRRP+
支持链路备份机制
支持路由备份
采取标准CLI配置界面,降低学习和使用成本,给维护带来极大方便。
第五章实现技术
5.1NAT技术
电信提供互联网出口提供16个公网IP。
需要经过NAT技术处理校内用户对外部网络访问需求,且实现在电信提供互联网出口公布对外WEB等服务。
NAT属接入广域网(WAN)技术,是一个将私有(保留)地址转化为正当IP地址转换技术,它被广泛应用于多种类型Internet接入方法和多种类型网络中。
原因很简单,NAT不仅完美地处理了lP地址不足问题,而且还能够有效地避免来自网络外部攻击,隐藏并保护网络内部计算机。
5.2PPTPVPN技术
针对在校园网外老师及同学们,当需要访问校园网资源时,能够使用PPTPVPN技术来实现访问。
点对点通道协议(PointtoPointTunnelingProtocol简称PPTP)协议。
它是由微软企业支持。
在server中能够使用。
使用用户等级PPP身份验证方法和用于数据加密Microsoft点对点加密(MPPE)。
用户在家中可经过拨号方法进入校内网。
PPTP工作原理:
通常网络协议工作方法是进行数据包(DataPacket)交换包是由要发送数据加上协议特定控制信息组成。
对于用户来说关心只是需要传送数据,对于附加控制信息并不关键。
PPTP工作方法是在TCP/IP包中封装原始包(nativepacket),比如IPX包,包含控制信息在内整个IPX包全部将成为TCP/IP包“数据",然后它经过Internet进行传输。
另一端软件打开包去除增加PPTP控制信息还原成IPX包并发送给IPX协议进行常规处理。
这一过程叫做通道(tunneling)。
使用PPTP节省了大量长途电话或长途专线费用。
据通常估量可节省20%~40%费用,对于有大量长途拨入网络甚至能够节省60%~80%费用。
使用PPTP对于原有网络安全性并没有大破坏,因为原有LAN广泛安全检验照样进行,其实PPTP对于网络用户是透明。
另外它还经过压缩、数据加密等手段确保了网络安全性。
5.3策略路由技术
在路由器进行包转发决议过程中,通常是依据所接收包目标地址进行。
路由器依据包目标地址查找路由表,从而作出对应最优路由转发决议。
当欲使一些包由其它路径而不是明确最短路径路由时,就能够启用策略路由,即根据我们具体需要来决定数据包路由。
基于策略路由有以下多个方法,即:
基于源IP地址策略路由;基于数据包大小策略路由;基于应用策略路由;经过缺省路由平衡负载。
依据实际情况我们需要特定如邮件等服务器接收和发送包路径是经过CERNET,所以选择是基于源IP地址策略路由。
5.4IPv6overGRE隧道技术
现在,外网大部分还使用IPV4地址作为数据传输,但校园网中已经开始布署IPV6。
阶段,IPv4仍然占有主导地位,v6网络是部分孤岛,绝大部分应用仍基于IPv4。
此时,大量采取隧道技术将各IPv6孤岛互联。
隧道(tunnel)是指将一个协议封装到另一个协议中。
在隧道入口处,将被封装协议封装入封装协议,在隧道出口处