大學(xué)校園網(wǎng)匯報(bào)

西南石油大學(xué)校園網(wǎng)匯報(bào)材料邁普通信概況1234

提綱定制化解決方案邁普與教育最佳成功案例西南石油大學(xué)成都校區(qū)規(guī)劃總用地2048畝，其中已建成投入使用的一期工程合845畝，擴(kuò)建工程合1203畝。學(xué)校實(shí)際接入計(jì)算機(jī)上10000臺(tái)，一期網(wǎng)絡(luò)設(shè)備已經(jīng)部署Cisco、華為、銳捷等廠商設(shè)備，即將啟動(dòng)二期校園網(wǎng)建設(shè)。校園網(wǎng)現(xiàn)狀系統(tǒng)標(biāo)準(zhǔn)化和兼容性原則二期校園網(wǎng)建設(shè)時(shí)，網(wǎng)絡(luò)技術(shù)選擇、業(yè)務(wù)部署都必須保證和一期兼容；高可靠性設(shè)計(jì)二期校園網(wǎng)必須保證穩(wěn)定可靠，同時(shí)二期網(wǎng)絡(luò)可作為一期的災(zāi)備。高帶寬設(shè)計(jì)一期和二期核心交換機(jī)采用萬兆互聯(lián)，要求實(shí)現(xiàn)鏈路冗余和鏈路負(fù)載均衡。高安全設(shè)計(jì)二期校園網(wǎng)必須兼容一期認(rèn)證計(jì)費(fèi)系統(tǒng)，同時(shí)要實(shí)現(xiàn)從核心、匯聚、接入多層次安全防護(hù)，包括防DDOS、防ARP、防病毒等攻擊。校園網(wǎng)出口設(shè)計(jì)為了避免一期校園網(wǎng)單一出口存在的單點(diǎn)故障，二期校園網(wǎng)需要建設(shè)一個(gè)校園網(wǎng)出口，同時(shí)二期出口和一期出口互為備份。統(tǒng)一網(wǎng)管設(shè)計(jì)為了方便校園網(wǎng)的后期維護(hù)和管理，二期校園網(wǎng)的設(shè)備要求實(shí)現(xiàn)統(tǒng)一網(wǎng)管。二期校園網(wǎng)需求校園網(wǎng)總體方案骨干網(wǎng)設(shè)計(jì)骨干網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)網(wǎng)絡(luò)和路由設(shè)計(jì)二期校園網(wǎng)核心層采用兩臺(tái)電信級(jí)核心交換機(jī)MPS8900，與一期現(xiàn)有核心交換機(jī)采用萬兆互聯(lián)，構(gòu)成整個(gè)校園網(wǎng)萬兆核心網(wǎng)。在二期匯聚層采用S6800通過雙歸屬上行核心交換機(jī)。核心層和匯聚層都采用OSPF路由協(xié)議。骨干網(wǎng)可靠性設(shè)計(jì)網(wǎng)絡(luò)可靠性主要包括網(wǎng)絡(luò)架構(gòu)可靠性、設(shè)備可靠性兩個(gè)方面。一、網(wǎng)絡(luò)架構(gòu)可靠性網(wǎng)絡(luò)鏈路冗余網(wǎng)絡(luò)故障快速切換二、設(shè)備可靠性設(shè)備硬件冗余設(shè)備軟件可靠性設(shè)備自身抗攻擊性骨干網(wǎng)可靠性設(shè)計(jì)一、網(wǎng)絡(luò)架構(gòu)可靠性網(wǎng)絡(luò)鏈路冗余萬兆核心網(wǎng)采用OSPF協(xié)議和ECMP（等值路由）實(shí)現(xiàn)鏈路備份和負(fù)載均衡；骨干網(wǎng)可靠性設(shè)計(jì)一、網(wǎng)絡(luò)架構(gòu)可靠性網(wǎng)絡(luò)故障快速切換在校園網(wǎng)核心層和匯聚層啟用BFD（BidirectionalForwardingDetection,雙向轉(zhuǎn)發(fā)檢測），實(shí)現(xiàn)50毫秒級(jí)的鏈路故障檢測，并與上層OSPF路由協(xié)議聯(lián)動(dòng)，實(shí)現(xiàn)三層路由的快速收斂，縮短故障的切換時(shí)間。傳輸設(shè)備核心交換機(jī)ABFD切換時(shí)間小于50ms故障傳輸設(shè)備核心交換機(jī)BBFD是一套擴(kuò)展很好的公共鏈路檢測機(jī)制，用于快速檢測、監(jiān)控網(wǎng)絡(luò)中鏈路、虛鏈路的連通狀況。BFD技術(shù)和硬件OAM技術(shù)相結(jié)合，可以在大數(shù)據(jù)流狀態(tài)下實(shí)現(xiàn)50ms快速切換；BFD可以與靜態(tài)路由、RIP、

OSPF、IS-IS、BGP、MPLS-LSP、VRRP等相關(guān)聯(lián)，實(shí)現(xiàn)50ms以內(nèi)的狀態(tài)切換二、設(shè)備可靠性設(shè)備硬件冗余

新一代的電信級(jí)核心交換機(jī)真正采用全冗余設(shè)計(jì)，尤其是采用主控和交換分離設(shè)計(jì)，交換引擎沒有集成在主控板上，而是采用獨(dú)立的數(shù)據(jù)轉(zhuǎn)發(fā)架構(gòu)，真正實(shí)現(xiàn)了控制平面和數(shù)據(jù)轉(zhuǎn)發(fā)平面的物理分離，減少了控制平面對于數(shù)據(jù)轉(zhuǎn)發(fā)平面的影響，避免主控板故障倒換時(shí)影響到數(shù)據(jù)交換業(yè)務(wù)，真正實(shí)現(xiàn)“0”丟包、“0”斷網(wǎng)。骨干網(wǎng)可靠性設(shè)計(jì)雙主控引擎雙交換引擎電信級(jí)交換機(jī)-S8900/S6800二、設(shè)備可靠性設(shè)備軟件可靠性

核心交換機(jī)軟件要求采用模塊化設(shè)計(jì)，支持熱補(bǔ)丁、NSF（不間斷轉(zhuǎn)發(fā)）、GR（優(yōu)雅重啟）等高可靠功能。骨干網(wǎng)可靠性設(shè)計(jì)熱補(bǔ)丁技術(shù)——不復(fù)位設(shè)備的前提下，在線修改軟件BUG或增加新特性；用戶能方便的加載/激活/去激活/運(yùn)行/刪除補(bǔ)丁單元。二、設(shè)備可靠性設(shè)備自身安全性

核心交換機(jī)作為網(wǎng)絡(luò)核心，必須具備CPU保護(hù)機(jī)制、強(qiáng)大的ACL、抗DDOS攻擊、多級(jí)安全登錄認(rèn)證等功能，以保證核心交換機(jī)的穩(wěn)定運(yùn)行。骨干網(wǎng)可靠性設(shè)計(jì)S8900和S6800支持獨(dú)創(chuàng)的多核多級(jí)多層的CPU保護(hù)機(jī)制，該保護(hù)機(jī)制采用檢測-排序-分類-過濾的處理技術(shù)，首先在業(yè)務(wù)板卡上檢測丟棄非法報(bào)文，并對需要主控卡處理的報(bào)文排序；在主控卡上對報(bào)文分類設(shè)定優(yōu)先級(jí)和流量限制，優(yōu)先處理鏈路控制、路由控制數(shù)據(jù)等高優(yōu)先級(jí)的報(bào)文，從而避免對CPU的沖擊，維護(hù)網(wǎng)絡(luò)的穩(wěn)定。多核多級(jí)多層CPU保護(hù)機(jī)制接入網(wǎng)設(shè)計(jì)對于接入端口數(shù)量在400-500個(gè)左右的教學(xué)樓，可直接將接入桌面的二層交換機(jī)（24/48端口）通過千兆光纖匯聚到三層匯聚交換機(jī)S6800。20棟和21棟學(xué)生公寓接入端口數(shù)量龐大，其中20棟6層樓每層要接入521個(gè)端口，21棟6層樓每層要接入600個(gè)端口。建議學(xué)生公寓的每層樓部署一臺(tái)樓層匯聚交換機(jī)S4100/4200，通過千兆電/光匯聚樓層接入交換機(jī)。樓層匯聚交換機(jī)通過多條千兆光纖（鏈路聚合）和匯聚交換機(jī)S6800互聯(lián)。校園網(wǎng)出口設(shè)計(jì)二期設(shè)計(jì)新的校園網(wǎng)出口。部署新的防火墻、流控設(shè)備實(shí)現(xiàn)與一期校園網(wǎng)出口互為備份；防火墻和核心交換機(jī)之間啟用KeepAlive機(jī)制探測對端設(shè)備狀態(tài)，通過浮動(dòng)路由實(shí)現(xiàn)鏈路故障切換；網(wǎng)絡(luò)安全設(shè)計(jì)校園網(wǎng)面臨的安全風(fēng)險(xiǎn)主要是非法終端接入、網(wǎng)絡(luò)病毒攻擊以及惡意用戶攻擊等幾個(gè)方面，我們建議采用分層次的一體化安全機(jī)制。攻擊防護(hù)深度檢測訪問控制加密傳輸接入認(rèn)證用戶管理行為審計(jì)應(yīng)用控制接入控制解決方案安全防護(hù)解決方案流量分析解決方案接入端點(diǎn)安全防護(hù)核心網(wǎng)絡(luò)安全加固核心網(wǎng)絡(luò)數(shù)據(jù)檢測邁普技術(shù)解決方案流量分析應(yīng)用分析日志管理帶寬管理接入控制解決方案接入認(rèn)證用戶管理行為審計(jì)應(yīng)用控制網(wǎng)絡(luò)安全設(shè)計(jì)一、接入控制解決方案網(wǎng)絡(luò)安全設(shè)計(jì)安全管理區(qū)系統(tǒng)補(bǔ)丁服務(wù)器防病毒服務(wù)器MyPowerS4100F認(rèn)證服務(wù)器MyPowerS6800MyPowerS4100F匯聚交換機(jī)網(wǎng)絡(luò)出口MyPowerS3200千兆接入交換機(jī)GE邁普接入交換機(jī)接入用戶GE非法用戶對不起，你不能通過認(rèn)證合法用戶歡迎使用網(wǎng)絡(luò)！邁普接入交換機(jī)802.1X認(rèn)證一、接入控制解決方案——接入認(rèn)證網(wǎng)絡(luò)安全設(shè)計(jì)一、接入控制解決方案——安全檢測安全管理區(qū)系統(tǒng)補(bǔ)丁服務(wù)器防病毒服務(wù)器MyPowerS4100F認(rèn)證服務(wù)器MyPowerS6800邁普匯聚交換機(jī)網(wǎng)絡(luò)出口MyPowerS3200千兆接入交換機(jī)GE邁普接入交換機(jī)接入用戶GE非健康用戶：未安裝殺毒軟件或未更新病毒庫；未安裝系統(tǒng)補(bǔ)丁程序等健康用戶：安裝殺毒軟件已更新病毒庫；已安裝系統(tǒng)補(bǔ)丁程序邁普接入交換機(jī)對不起，你不能通過安全認(rèn)證，只能夠訪問安全管理區(qū)，進(jìn)行補(bǔ)丁升級(jí)歡迎使用網(wǎng)絡(luò)！802.1X認(rèn)證網(wǎng)絡(luò)安全設(shè)計(jì)一、接入控制解決方案——ARP攻擊防御監(jiān)控方式

1、DHCPSnooping2、ARP報(bào)文限速3、兼容性最好認(rèn)證方式

1、802.1x擴(kuò)展2、客戶端靜態(tài)綁定3、存在兼容性風(fēng)險(xiǎn)安全管理區(qū)系統(tǒng)補(bǔ)丁服務(wù)器行為分析服務(wù)器MyPowerS4100F認(rèn)證服務(wù)器MyPoweS6800MyPowerS4100F匯聚交換機(jī)網(wǎng)絡(luò)出口MyPowerS3200千兆接入交換機(jī)GE邁普接入交換機(jī)GE用戶上網(wǎng)行為記錄，文件拷貝和訪問管理邁普接入交換機(jī)訪問外網(wǎng)記錄統(tǒng)計(jì)統(tǒng)一的行為分析，對文件的管理接入用戶網(wǎng)絡(luò)安全設(shè)計(jì)一、接入控制解決方案——用戶行為審計(jì)多功能用戶管理名錄網(wǎng)絡(luò)安全設(shè)計(jì)一、接入控制解決方案——用戶管理一、接入控制解決方案——接入兼容性方案標(biāo)準(zhǔn)802.1X認(rèn)證解決方案---匯聚終結(jié)標(biāo)準(zhǔn)802.1X認(rèn)證解決方案---邊緣終結(jié)網(wǎng)絡(luò)安全設(shè)計(jì)我要安裝一些軟件，游戲、聊天、視頻，警告！禁止安裝軟件，如有需要請和管理員聯(lián)系嚴(yán)格控制終端應(yīng)用一、接入控制解決方案——應(yīng)用控制網(wǎng)絡(luò)安全設(shè)計(jì)流量分析解決方案流量分析應(yīng)用分析日志管理帶寬管理二、流量分析解決方案網(wǎng)絡(luò)安全設(shè)計(jì)應(yīng)用程序占用帶寬排名在線IP和會(huì)話數(shù)統(tǒng)計(jì)在線IP和會(huì)話數(shù)統(tǒng)計(jì)流量統(tǒng)計(jì)、分析數(shù)據(jù)二、流量分析解決方案——流量分析網(wǎng)絡(luò)安全設(shè)計(jì)日志記錄日志信息二、流量分析解決方案——日志管理網(wǎng)絡(luò)安全設(shè)計(jì)智能識(shí)別、精細(xì)控制3000+協(xié)議識(shí)別定期特征碼更新加密數(shù)據(jù)總帶寬控制每IP/協(xié)議帶寬控制應(yīng)用分析、識(shí)別技術(shù)：限制BT、QQ、MSN等非法軟件使用保障工作類軟件的服務(wù)質(zhì)量（帶寬）將寶貴的帶寬資源應(yīng)用在工作上，保證工作效率清晰了解網(wǎng)絡(luò)上各種應(yīng)用的使用網(wǎng)絡(luò)的情況協(xié)議控制識(shí)別二、流量分析解決方案——應(yīng)用分析網(wǎng)絡(luò)安全設(shè)計(jì)

沒有管理可視管理基于應(yīng)用的帶寬管理二、流量分析解決方案——帶寬管理網(wǎng)絡(luò)安全設(shè)計(jì)安全防護(hù)解決方案攻擊防護(hù)深度檢測訪問控制加密傳輸三、安全防護(hù)方案網(wǎng)絡(luò)安全設(shè)計(jì)信息竊取DoS攻擊木馬/間諜軟件蠕蟲病毒完善安全機(jī)制全面防御DoS攻擊關(guān)鍵服務(wù)器保護(hù)數(shù)據(jù)包過濾連接狀態(tài)檢測深度內(nèi)容檢測動(dòng)態(tài)端口偵測SYN/SYNflood代理LandAttack/ArpSpoof//IPFragmentAttack等攻擊防護(hù)基于源/目的協(xié)議速率限制SYNFlood攻擊防護(hù)切斷網(wǎng)絡(luò)世界中的安全威脅各種攻擊一網(wǎng)打盡三、安全防護(hù)方案——攻擊防護(hù)網(wǎng)絡(luò)安全設(shè)計(jì)報(bào)文檢測狀態(tài)匹配鏈路層網(wǎng)絡(luò)層傳輸層數(shù)據(jù)檢測MAC地址檢測IP地址檢測服務(wù)類型檢測數(shù)據(jù)內(nèi)容符合攻擊特征的數(shù)據(jù)丟棄，并且在一段時(shí)間內(nèi)拒絕接收相同類型的報(bào)文。正常報(bào)文，重新轉(zhuǎn)發(fā)。有效防護(hù)注入式攻擊三、安全防護(hù)方案——深度檢測網(wǎng)絡(luò)安全設(shè)計(jì)Internet外網(wǎng)DMZ區(qū)防火墻內(nèi)網(wǎng)服務(wù)器接入?yún)^(qū)內(nèi)網(wǎng)接入?yún)^(qū)IDSIPS流量控制防火墻路由器日志服務(wù)器入侵防御IPS：防御外網(wǎng)的攻擊深層次報(bào)文檢測日志查詢病毒/木馬防護(hù)路由器：策略路由、動(dòng)態(tài)負(fù)載高性能的NAT轉(zhuǎn)發(fā)防DDos攻擊具備入侵檢測防護(hù)Internet流量控制：流量分析應(yīng)用控制帶寬管理QOS服務(wù)質(zhì)量用戶行為審計(jì)防火墻：區(qū)域控制狀態(tài)檢測攻擊防護(hù)入侵檢測IDS：病毒檢測網(wǎng)絡(luò)攻擊檢測異常行為報(bào)警四、邁普整體安全解決方案——出口網(wǎng)絡(luò)解決方案網(wǎng)絡(luò)安全設(shè)計(jì)核心網(wǎng)絡(luò)內(nèi)網(wǎng)服務(wù)器區(qū)認(rèn)證系統(tǒng)認(rèn)證終端認(rèn)證終端IDS管理中心智能網(wǎng)管系統(tǒng)流量分析計(jì)費(fèi)系統(tǒng)智能網(wǎng)管：網(wǎng)管平臺(tái)聯(lián)動(dòng)策略下發(fā)日志匯總審計(jì)網(wǎng)絡(luò)性能評估網(wǎng)絡(luò)優(yōu)化流量分析：流量分析匯總協(xié)議分析匯總應(yīng)用分析匯總突發(fā)流量報(bào)警入侵檢測：網(wǎng)絡(luò)攻擊檢測病毒/木馬特征檢測異常流量報(bào)警日志報(bào)表審計(jì)認(rèn)證計(jì)費(fèi)系統(tǒng)：用戶認(rèn)證審計(jì)權(quán)限下發(fā)用戶管理IP＋MAC自動(dòng)綁定時(shí)間/流量計(jì)費(fèi)用戶行為檢測智能聯(lián)動(dòng)：主動(dòng)安全防御智能安全檢測四、邁普整體安全解決方案——內(nèi)網(wǎng)安全防護(hù)解決方案網(wǎng)絡(luò)安全設(shè)計(jì)統(tǒng)一網(wǎng)管全面的基礎(chǔ)資源管理靈活方便的拓?fù)涔δ苤悄艿母婢芾矸奖阋子玫男阅芄芾碇悄芑呐渲煤蛙浖芾砭W(wǎng)絡(luò)兼容性二期校園網(wǎng)采用通用組網(wǎng)技術(shù)和標(biāo)準(zhǔn)協(xié)議；骨干層采用OSPF+BFD，匯聚層OSPF+BFD，接入層采用二層VLAN；ARP防御采用DHCPSNOOPING技術(shù)；業(yè)務(wù)兼容性接入認(rèn)證采用802.1X標(biāo)準(zhǔn)協(xié)議；統(tǒng)一網(wǎng)管采用SNMP協(xié)議；校園網(wǎng)兼容性邁普推出融合通信系統(tǒng)（UC），集成視頻、語音、數(shù)據(jù)（即時(shí)消息等）于一體。能夠?yàn)槲髂鲜痛髮W(xué)提供全新的校園應(yīng)用。校