領(lǐng)航高性能校園網(wǎng)

---高效.分層.安全.可控

JuniperNetworks

2007/11/4

Agenda校園網(wǎng)發(fā)展趨勢高性能校園網(wǎng)現(xiàn)狀概述高校信息化的深入發(fā)展，無紙化辦公的普及，使得網(wǎng)絡(luò)成為工作生活不可分割的一部分互聯(lián)網(wǎng)在提供了海量信息資源的同時，催生了各種應(yīng)用系統(tǒng)，占據(jù)了大量的網(wǎng)絡(luò)帶寬伴隨著互聯(lián)網(wǎng)的迅速發(fā)展，各種蠕蟲，攻擊，木馬惡意軟件等等涉及網(wǎng)絡(luò)安全的事情愈發(fā)的突出IPv6在國內(nèi)高校的發(fā)展相比歐美和日本相對緩慢……今后的發(fā)展方向核心網(wǎng)升級校園網(wǎng)整體安全I(xiàn)Pv6網(wǎng)絡(luò)逐步部署各種數(shù)據(jù)中心，網(wǎng)絡(luò)資源的整合……Agenda校園網(wǎng)發(fā)展趨勢高性能校園網(wǎng)高效的網(wǎng)絡(luò)結(jié)構(gòu)

Copyright?2007JuniperNetworks,Inc. ProprietaryandConfidential 6當(dāng)前校園網(wǎng)結(jié)構(gòu)匯聚層接入層核心層典型的三層結(jié)構(gòu)核心+匯聚+接入核心和匯聚采用三層交換機(jī)接入采用二層交換機(jī)今后校園網(wǎng)結(jié)構(gòu)網(wǎng)絡(luò)層次簡潔兩層網(wǎng)絡(luò)結(jié)構(gòu)核心層接入層接入層分校區(qū)核心層分校區(qū)校區(qū)間互聯(lián)扁平化網(wǎng)絡(luò)結(jié)構(gòu)利舊利舊核心層接入層接入層接入層接入層高效的網(wǎng)絡(luò)結(jié)構(gòu)高效的的網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)構(gòu)網(wǎng)絡(luò)結(jié)結(jié)構(gòu)扁扁平化化減少物物理和和邏輯輯級聯(lián)聯(lián)級數(shù)數(shù)，提提供更更加快快速的的數(shù)據(jù)據(jù)通道道擴(kuò)展核核心節(jié)節(jié)點(diǎn)壓縮掉掉匯聚聚節(jié)點(diǎn)點(diǎn)接入直直接面面向核核心，，從而而形成成扁平平化的的網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)構(gòu)扁平化化的前前提核心設(shè)設(shè)備需需要高高性能能和大大容量量高密度度以太太網(wǎng)口口用以以直接接下掛掛大量量的二二層設(shè)設(shè)備Juniper專門優(yōu)優(yōu)化的的純以以太網(wǎng)網(wǎng)核心心路由由器滿滿足校校園網(wǎng)MX系列列運(yùn)運(yùn)營營商商級級以以太太網(wǎng)網(wǎng)核核心心路路由由器器MX系列列三三個個型型號號MX960MX480MX240MX960轉(zhuǎn)發(fā)發(fā)引引擎擎和和板板卡卡交換換矩矩陣陣路由由引引擎擎線纜纜管管理理托托架架風(fēng)扇扇冷冷卻卻系系統(tǒng)統(tǒng)風(fēng)扇扇冷冷卻卻系系統(tǒng)統(tǒng)控制制指指示示面面板板空氣氣進(jìn)進(jìn)入入部部分分MX480MX240MX960/480/240---高性性能能和和大大容容量量互聯(lián)聯(lián)網(wǎng)網(wǎng)應(yīng)應(yīng)用用的的層層出出不不窮窮，，高高校校數(shù)數(shù)字字化化的的不不斷斷深深入入，，校校園園網(wǎng)網(wǎng)流流量量的的迅迅猛猛增增長長包轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)能能力力1200/600/300Mpps包轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)能能力力交換換能能力力960/480/240Gbps吞吐吐能能力力MX960/480/240---接口口密密度度樹樹立立了了業(yè)業(yè)界界新新標(biāo)標(biāo)桿桿高密密度度每板板卡卡40GE每板板卡卡4個10GE整機(jī)機(jī)接接口口整機(jī)機(jī)480/240/120個全全線線速速GE接口口整機(jī)機(jī)48/24/12個全全線線速速10GE接口口分層層的的業(yè)業(yè)務(wù)務(wù)網(wǎng)網(wǎng)絡(luò)絡(luò)Copyright?2007JuniperNetworks,Inc. ProprietaryandConfidential 18多業(yè)業(yè)務(wù)務(wù)混混載載，，職職能能網(wǎng)網(wǎng)絡(luò)絡(luò)沒沒有有分分離離校園園網(wǎng)網(wǎng)現(xiàn)現(xiàn)狀狀教師師辦辦公公OA網(wǎng)和和學(xué)學(xué)生生網(wǎng)網(wǎng)混混雜雜使使用用增加加單單一一物物理理網(wǎng)網(wǎng)絡(luò)絡(luò)的的不不安安全全性性很多多高高校校有有分分校校區(qū)區(qū)和主主校校區(qū)區(qū)互互聯(lián)聯(lián)尤其其分分校校區(qū)區(qū)和和主主校校區(qū)區(qū)的的財財務(wù)務(wù)等等部部門門互互聯(lián)聯(lián)………一卡卡通通單單獨(dú)獨(dú)的的專專用用網(wǎng)網(wǎng)絡(luò)絡(luò)增加運(yùn)行維護(hù)護(hù)成本分層網(wǎng)絡(luò)-業(yè)務(wù)平面分離離教師辦公OA網(wǎng)和學(xué)生網(wǎng)從管理和運(yùn)行行維護(hù)角度,應(yīng)該將二者分分離財務(wù)網(wǎng)絡(luò)安全,獨(dú)立的網(wǎng)絡(luò)和分校區(qū)財務(wù)務(wù)部門互聯(lián),提高效率一卡通網(wǎng)絡(luò)安全,獨(dú)立的網(wǎng)絡(luò)降低運(yùn)行維護(hù)護(hù)成本……如何做到?Juniper邏輯路由器構(gòu)構(gòu)建N平面網(wǎng)絡(luò)邏輯路由器單臺路由器可可以劃分出15臺邏輯路由器器和1臺主路由器，，路由器上的的接口可以任任意劃分到任任意的路由器器中每個邏輯路由由器都有自己己的單獨(dú)的路路由表和轉(zhuǎn)發(fā)發(fā)表都使用ASICs來轉(zhuǎn)發(fā)報文，，因此這16臺路由器接口口都是線速轉(zhuǎn)轉(zhuǎn)發(fā)主路由器邏輯路由器主路由器學(xué)生網(wǎng):LR#0教師網(wǎng):LR#1一卡通網(wǎng):LR#2財務(wù)專網(wǎng):LR#3V6實驗網(wǎng):LR#4。。。:LR#5主路由器學(xué)生網(wǎng):LR#0教師網(wǎng):LR#1一卡通網(wǎng):LR#2財務(wù)專網(wǎng):LR#3V6實驗網(wǎng):LR#4。。。:LR#5N平面網(wǎng)絡(luò)L2SW業(yè)務(wù)網(wǎng)絡(luò)分層層各業(yè)務(wù)網(wǎng)絡(luò)之之間完全隔離離,在需要互通的的業(yè)務(wù)網(wǎng)絡(luò)之之間配置嚴(yán)格格的控制策略略單一物理網(wǎng)絡(luò)絡(luò)承載多業(yè)務(wù)務(wù)良好的網(wǎng)絡(luò)擴(kuò)擴(kuò)展性,極大的節(jié)省投投資成本實施部署簡單單,節(jié)省運(yùn)行維護(hù)護(hù)成本主路由器學(xué)生網(wǎng):LR#0教師網(wǎng):LR#1一卡通網(wǎng):LR#2財務(wù)專網(wǎng):LR#3V6實驗網(wǎng):LR#4。。。:LR#5VLAN#600VLAN#500VLAN#400VLAN#300VLAN#13VLAN#12VLAN#11VLAN#10VLAN#600VLAN#500VLAN#400VLAN#300VLAN#13VLAN#12VLAN#11VLAN#10L2SW學(xué)生用戶教師用戶全部用戶財務(wù)人員MX核心節(jié)點(diǎn)MX核心節(jié)點(diǎn)MX核心節(jié)點(diǎn)科研人員。。。終端到核心的的安全解決方方案Copyright?2007JuniperNetworks,Inc. ProprietaryandConfidential 23校園網(wǎng)安全概概述影響網(wǎng)絡(luò)安全全的因素設(shè)備尤其是核核心設(shè)備自身身的安全性,以及設(shè)備抗壓壓力/攻擊的能力用戶終端的安安全性用戶濫用行為為各種網(wǎng)絡(luò)資源源的限制和授授權(quán)訪問……路由器安全之之道模塊化,成熟的JUNOS系統(tǒng)意味著很很少的bug控制和轉(zhuǎn)發(fā)分分離路由平臺在面面臨大流量的的情況下，依依然可以保持持路由平臺的的穩(wěn)定控制平面和轉(zhuǎn)轉(zhuǎn)發(fā)平面之間間內(nèi)置防火墻墻進(jìn)行過濾基于ASIC的數(shù)據(jù)包過濾濾/速率限制/采樣等功能保保證路由器的的安全和城域域網(wǎng)的安全通過ASIC執(zhí)行安全控制制功能，使得得路由器在獲獲得豐富功能能的同時，性性能不打折扣扣從用戶終端和和用戶行為方方面解決安全全問題安全的網(wǎng)絡(luò)接入網(wǎng)絡(luò)的用用戶終端系統(tǒng)統(tǒng)應(yīng)該是無漏漏洞的接入網(wǎng)網(wǎng)絡(luò)的的用戶戶終端端應(yīng)該該是干干凈的的用戶網(wǎng)網(wǎng)絡(luò)行行為應(yīng)應(yīng)該是是規(guī)范范的授權(quán)訪訪問各各種網(wǎng)網(wǎng)絡(luò)資資源……Juniper統(tǒng)一接接入控控制(UAC)解決方方案UnifiedAccessControlSolutionInfranetAgent(IA)全面的的企業(yè)業(yè)整合合AAA認(rèn)證服服務(wù)器器Enforcers––FirewallsIDPDXSwitchesInfranetController(IC)基于用用戶標(biāo)標(biāo)識，，網(wǎng)絡(luò)絡(luò)標(biāo)識識和端端點(diǎn)評評估的的全面面的策策略執(zhí)執(zhí)行IA保護(hù)認(rèn)證過的客戶端免受惡意的不安全的客戶端的侵襲。主機(jī)安安全檢檢查個人防防火墻墻/IPSECVPN引擎MSWindows單點(diǎn)登登陸Mac和Linux無客戶戶端的的執(zhí)行行用戶認(rèn)認(rèn)證(使用已已有的的AAA系統(tǒng))決定用用戶的的訪問問權(quán)限限在InfranetEnforcer為端點(diǎn)點(diǎn)提供供訪問問集中的的策略略管理理，將將安全全策略略加載載到端端口和和執(zhí)行行點(diǎn)集成的的修復(fù)復(fù)方案案靈活的的流量量控制制Copyright?2007JuniperNetworks,Inc. ProprietaryandConfidential 28校園網(wǎng)網(wǎng)可控控性良好網(wǎng)網(wǎng)絡(luò)控控制體體現(xiàn)在在兩個個方面面網(wǎng)絡(luò)控控制點(diǎn)點(diǎn)的選選擇用戶流流量的的控制制控制點(diǎn)點(diǎn)當(dāng)前三三層網(wǎng)網(wǎng)絡(luò)結(jié)結(jié)構(gòu)接入層層接入層層設(shè)備備，品品牌相相對較較多，，該層層面設(shè)設(shè)備功功能單單一，，控制制功能能有限限，而而且設(shè)設(shè)備數(shù)數(shù)量非非常龐龐大，，實施施困難難匯聚層層核心層層匯聚和和核心心層的的設(shè)備備，業(yè)業(yè)務(wù)控控制能能力相相對較較強(qiáng)，，但是是就目目前校校園網(wǎng)網(wǎng)的實實際情情況來來看，，各種種控制制功能能不盡盡如人人意控制點(diǎn)點(diǎn)扁平化化的二二層網(wǎng)網(wǎng)絡(luò)結(jié)結(jié)構(gòu)接入層層該層同同樣存存在如如前所所述的的問題題，品品牌相相對較較多，，該層層面設(shè)設(shè)備功功能單單一，，控制制功能能有限限，而而且設(shè)設(shè)備數(shù)數(shù)量非非常龐龐大，，實施施困難難核心層層作為整整個網(wǎng)網(wǎng)絡(luò)的的控制制層，，設(shè)備備數(shù)量量少，，實施施簡易易核心設(shè)設(shè)備的的控制制能力力非常常強(qiáng)，，完全全可以以嚴(yán)格格控制制網(wǎng)絡(luò)絡(luò)的能能力由于從從接入入層直直接到到核心心層之之間經(jīng)經(jīng)過的的設(shè)備備，都都是起起用二二層功功能，，通過過802.1qVLAN直接終終結(jié)到到核心心路由由器，，因此此子接接口做做為這這些VLAN的默默認(rèn)認(rèn)網(wǎng)網(wǎng)關(guān)關(guān)核心心層層接入入層層接入入層層接入入層層接入入層層控制制點(diǎn)點(diǎn)的的選選擇擇網(wǎng)絡(luò)絡(luò)控控制制點(diǎn)點(diǎn)流量量控控制制校園園網(wǎng)網(wǎng)流流量量現(xiàn)現(xiàn)狀狀絕大大部部分分流流量量是是學(xué)學(xué)生生使使用用產(chǎn)產(chǎn)生生極小小部部分分流流量量是是其其他他用用戶戶產(chǎn)產(chǎn)生生學(xué)生生大大量量使使用用各各種種P2P應(yīng)用用，，消消耗耗了了大大量量的的校校園園網(wǎng)網(wǎng)核核心心帶帶寬寬和和校校園園網(wǎng)網(wǎng)有有限限的的出出口口帶帶寬寬因此此校校園園網(wǎng)網(wǎng)流流量量管管理理的的關(guān)關(guān)鍵鍵，，是是對對學(xué)學(xué)生生流流量量的的管管理理流量量細(xì)細(xì)分分化化管管理理在核核心心路路由由器器上上對對每每用用戶戶進(jìn)進(jìn)行行相相對對精精細(xì)細(xì)的的流流量量監(jiān)監(jiān)管管和和控控制制基于于應(yīng)應(yīng)用用類類型型http/email/voip等進(jìn)進(jìn)行行分分類類對于于每每個個