領(lǐng)航高性能校園網(wǎng)-構(gòu)建高效,安全,可控,分層的校園網(wǎng)-

1、領(lǐng)航高性能校園網(wǎng) -高效.分層.安全.可控Juniper Networks2007/11/4Agenda校園網(wǎng)發(fā)展趨勢高性能校園網(wǎng)現(xiàn)狀概述高校信息化的深入發(fā)展，無紙化辦公的普及，使得網(wǎng)絡(luò)成為工作生活不可分割的一部分互聯(lián)網(wǎng)在提供了海量信息資源的同時，催生了各種應(yīng)用系統(tǒng)，占據(jù)了大量的網(wǎng)絡(luò)帶寬伴隨著互聯(lián)網(wǎng)的迅速發(fā)展，各種蠕蟲，攻擊，木馬惡意軟件等等涉及網(wǎng)絡(luò)安全的事情愈發(fā)的突出IPv6在國內(nèi)高校的發(fā)展相比歐美和日本相對緩慢今后的發(fā)展方向核心網(wǎng)升級校園網(wǎng)整體安全IPv6網(wǎng)絡(luò)逐步部署各種數(shù)據(jù)中心，網(wǎng)絡(luò)資源的整合Agenda校園網(wǎng)發(fā)展趨勢高性能校園網(wǎng)高效的網(wǎng)絡(luò)結(jié)構(gòu)Copyright 2007 Juniper

2、 Networks, Inc. Proprietary and Confidential6當(dāng)前校園網(wǎng)結(jié)構(gòu)匯聚層接入層核心層典型的三層結(jié)構(gòu)核心+匯聚+接入核心和匯聚采用三層交換機接入采用二層交換機今后校園網(wǎng)結(jié)構(gòu)網(wǎng)絡(luò)層次簡潔兩層網(wǎng)絡(luò)結(jié)構(gòu)核心層接入層接入層分校區(qū)核心層分校區(qū)校區(qū)間互聯(lián)扁平化網(wǎng)絡(luò)結(jié)構(gòu)利舊利舊核心層接入層接入層接入層接入層高效的網(wǎng)絡(luò)結(jié)構(gòu)高效的網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)扁平化減少物理和邏輯級聯(lián)級數(shù)，提供更加快速的數(shù)據(jù)通道擴展核心節(jié)點壓縮掉匯聚節(jié)點接入直接面向核心，從而形成扁平化的網(wǎng)絡(luò)結(jié)構(gòu)扁平化的前提核心設(shè)備需要高性能和大容量高密度以太網(wǎng)口用以直接下掛大量的二層設(shè)備Juniper專門優(yōu)化的純以太網(wǎng)核心

3、路由器滿足校園網(wǎng)扁平化結(jié)構(gòu)MX系列運營商級以太網(wǎng)核心路由器MX系列三個型號MX960MX480MX240MX960轉(zhuǎn)發(fā)引擎和板卡交換矩陣路由引擎線纜管理托架風(fēng)扇冷卻系統(tǒng)風(fēng)扇冷卻系統(tǒng)控制指示面板空氣進入部分MX480MX240MX960/480/240-高性能和大容量互聯(lián)網(wǎng)應(yīng)用的層出不窮，高校數(shù)字化的不斷深入，校園網(wǎng)流量的迅猛增長包轉(zhuǎn)發(fā)能力1200/600/300Mpps包轉(zhuǎn)發(fā)能力交換能力960/480/240Gbps吞吐能力MX960/480/240-接口密度樹立了業(yè)界新標(biāo)桿高密度每板卡40GE每板卡4個10GE整機接口整機480/240/120個全線速GE接口整機48/24/12個全線速10

4、GE接口分層的業(yè)務(wù)網(wǎng)絡(luò)Copyright 2007 Juniper Networks, Inc. Proprietary and Confidential18多業(yè)務(wù)混載，職能網(wǎng)絡(luò)沒有分離校園網(wǎng)現(xiàn)狀教師辦公OA網(wǎng)和學(xué)生網(wǎng)混雜使用增加單一物理網(wǎng)絡(luò)的不安全性很多高校有分校區(qū)和主校區(qū)互聯(lián)尤其分校區(qū)和主校區(qū)的財務(wù)等部門互聯(lián)一卡通單獨的專用網(wǎng)絡(luò)增加運行維護成本分層網(wǎng)絡(luò)-業(yè)務(wù)平面分離教師辦公OA網(wǎng)和學(xué)生網(wǎng)從管理和運行維護角度,應(yīng)該將二者分離財務(wù)網(wǎng)絡(luò)安全,獨立的網(wǎng)絡(luò)和分校區(qū)財務(wù)部門互聯(lián),提高效率一卡通網(wǎng)絡(luò)安全,獨立的網(wǎng)絡(luò)降低運行維護成本如何做到?Juniper邏輯路由器構(gòu)建N平面網(wǎng)絡(luò)邏輯路由器單臺路由器可以劃

5、分出15臺邏輯路由器和1臺主路由器，路由器上的接口可以任意劃分到任意的路由器中每個邏輯路由器都有自己的單獨的路由表和轉(zhuǎn)發(fā)表都使用ASICs來轉(zhuǎn)發(fā)報文，因此這16臺路由器接口都是線速轉(zhuǎn)發(fā)主路由器邏輯路由器主路由器 學(xué)生網(wǎng):LR#0 教師網(wǎng):LR#1一卡通網(wǎng):LR#2財務(wù)專網(wǎng):LR#3V6實驗網(wǎng):LR#4。:LR#5主路由器學(xué)生網(wǎng):LR#0 教師網(wǎng):LR#1一卡通網(wǎng):LR#2財務(wù)專網(wǎng):LR#3V6實驗網(wǎng):LR#4。:LR#5N平面網(wǎng)絡(luò)L2SW業(yè)務(wù)網(wǎng)絡(luò)分層各業(yè)務(wù)網(wǎng)絡(luò)之間完全隔離,在需要互通的業(yè)務(wù)網(wǎng)絡(luò)之間配置嚴(yán)格的控制策略單一物理網(wǎng)絡(luò)承載多業(yè)務(wù)良好的網(wǎng)絡(luò)擴展性,極大的節(jié)省投資成本實施部署簡單,節(jié)省運行

6、維護成本主路由器學(xué)生網(wǎng):LR#0 教師網(wǎng):LR#1一卡通網(wǎng):LR#2財務(wù)專網(wǎng):LR#3V6實驗網(wǎng):LR#4。:LR#5VLAN#600VLAN#500VLAN#400VLAN#300VLAN#13VLAN#12VLAN#11VLAN#10VLAN#600VLAN#500VLAN#400VLAN#300VLAN#13VLAN#12VLAN#11VLAN#10L2SW學(xué)生用戶教師用戶全部用戶財務(wù)人員MX核心節(jié)點MX核心節(jié)點MX核心節(jié)點科研人員。終端到核心的安全解決方案Copyright 2007 Juniper Networks, Inc. Proprietary and Confidential

7、23校園網(wǎng)安全概述影響網(wǎng)絡(luò)安全的因素設(shè)備尤其是核心設(shè)備自身的安全性,以及設(shè)備抗壓力/攻擊的能力用戶終端的安全性用戶濫用行為各種網(wǎng)絡(luò)資源的限制和授權(quán)訪問路由器安全之道模塊化,成熟的JUNOS系統(tǒng)意味著很少的bug控制和轉(zhuǎn)發(fā)分離路由平臺在面臨大流量的情況下，依然可以保持路由平臺的穩(wěn)定控制平面和轉(zhuǎn)發(fā)平面之間內(nèi)置防火墻進行過濾基于ASIC的數(shù)據(jù)包過濾/速率限制/采樣等功能保證路由器的安全和城域網(wǎng)的安全通過ASIC執(zhí)行安全控制功能，使得路由器在獲得豐富功能的同時，性能不打折扣從用戶終端和用戶行為方面解決安全問題安全的網(wǎng)絡(luò)接入網(wǎng)絡(luò)的用戶終端系統(tǒng)應(yīng)該是無漏洞的接入網(wǎng)絡(luò)的用戶終端應(yīng)該是干凈的用戶網(wǎng)絡(luò)行為應(yīng)該是

8、規(guī)范的授權(quán)訪問各種網(wǎng)絡(luò)資源Juniper 統(tǒng)一接入控制(UAC)解決方案Unified Access Control SolutionInfranet Agent (IA)全面的企業(yè)整合AAA 認(rèn)證服務(wù)器Enforcers FirewallsIDPDXSwitchesInfranet Controller (IC)基于用戶標(biāo)識，網(wǎng)絡(luò)標(biāo)識和端點評估的全面的策略執(zhí)行IA 保護認(rèn)證過的客戶端免受惡意的不安全的客戶端的侵襲。主機安全檢查個人防火墻/IPSEC VPN引擎MS Windows 單點登陸Mac 和Linux 無客戶端的執(zhí)行用戶認(rèn)證 (使用已有的 AAA 系統(tǒng))決定用戶的訪問權(quán)限在Infra

9、net Enforcer為端點提供訪問集中的策略管理，將安全策略加載到端口和執(zhí)行點集成的修復(fù)方案靈活的流量控制Copyright 2007 Juniper Networks, Inc. Proprietary and Confidential28校園網(wǎng)可控性良好網(wǎng)絡(luò)控制體現(xiàn)在兩個方面網(wǎng)絡(luò)控制點的選擇用戶流量的控制控制點當(dāng)前三層網(wǎng)絡(luò)結(jié)構(gòu)接入層接入層設(shè)備，品牌相對較多，該層面設(shè)備功能單一，控制功能有限，而且設(shè)備數(shù)量非常龐大，實施困難匯聚層核心層匯聚和核心層的設(shè)備，業(yè)務(wù)控制能力相對較強，但是就目前校園網(wǎng)的實際情況來看，各種控制功能不盡如人意控制點扁平化的二層網(wǎng)絡(luò)結(jié)構(gòu)接入層該層同樣存在如前所述的問題，

10、品牌相對較多，該層面設(shè)備功能單一，控制功能有限，而且設(shè)備數(shù)量非常龐大，實施困難核心層作為整個網(wǎng)絡(luò)的控制層，設(shè)備數(shù)量少，實施簡易核心設(shè)備的控制能力非常強，完全可以嚴(yán)格控制網(wǎng)絡(luò)的能力由于從接入層直接到核心層之間經(jīng)過的設(shè)備，都是起用二層功能，通過802.1q VLAN直接終結(jié)到核心路由器，因此子接口做為這些VLAN的默認(rèn)網(wǎng)關(guān)核心層接入層接入層接入層接入層控制點的選擇網(wǎng)絡(luò)控制點流量控制校園網(wǎng)流量現(xiàn)狀絕大部分流量是學(xué)生使用產(chǎn)生極小部分流量是其他用戶產(chǎn)生學(xué)生大量使用各種P2P應(yīng)用，消耗了大量的校園網(wǎng)核心帶寬和校園網(wǎng)有限的出口帶寬因此校園網(wǎng)流量管理的關(guān)鍵，是對學(xué)生流量的管理流量細(xì)分化管理在核心路由器上對每用戶進行相對精細(xì)的流量監(jiān)管和控制基于應(yīng)用類型http/email/voip等進行分類對于每個應(yīng)用流量進行流量監(jiān)管對于每個