共享開放多校區(qū)互聯解決方案手冊20090316

1、共享開放的多校區(qū)互聯解決方案普教VT張杰2009-02-28目錄TOC o 1-5 h z HYPERLINK l bookmark2 前言3 HYPERLINK l bookmark4 建設原則4銳捷網絡解決方案5 HYPERLINK l bookmark6 骨干網絡設計5 HYPERLINK l bookmark8 統(tǒng)一安全設計6 HYPERLINK l bookmark16 出口網絡設計7總結1.0客戶證言茅校區(qū)校園網解決方秦前言隨著基礎教育從單一模式到多元化、優(yōu)質化的發(fā)展，越來越多的中小學開始了合并，通過合并重組，使教育資源達到最優(yōu)化，讓學生享受到均等的受教育機會！部分中小學由于地理位

2、置及教學資源的原因，學生越來越多，原校區(qū)的教室、宿舍等設施已無法滿足需要，很多學校都開始建立一個或多個分校區(qū)。合并后的多校區(qū)規(guī)模龐大，在校生分布在不同地點，如何對不同校區(qū)進行有效的內部管理，對教學、辦公、人事、物資、招生、學生學籍、數字圖書館等資源共享，成了急待解決的問題。利用信息技術特別是網絡技術，可為多校區(qū)大學管理提供有效的技術手段。如何在教育規(guī)?？焖僭鲩L、多校區(qū)中學迅速增加的趨勢下實行有序的管理，成為當前多校區(qū)信息化建設的關鍵?？蛻糇C言建設原則高速校園網校園網絡是所有應用的基礎平臺，為了支持數據、話音、視像多媒體的傳輸能力，要求全網無帶寬瓶頸，保證各種應用軟件的帶寬需求。高穩(wěn)定可靠性校園

3、網是各種應用的統(tǒng)一通信平臺，平均無故障時間以及故障恢復時間，要保持在一個可容忍的許可范圍之內。不但要考慮設備本身的冗余、容錯能力，還要從網絡架構的合理設計上，保障網絡的穩(wěn)定可靠運行。高安全制定統(tǒng)一的安全策略，整體考慮網絡平臺的安全性，構建全局安全網絡。保證關鍵數據不被非法竊取、篡改或泄漏，使數據具有極高的可信性。輕松使用易管理對于網絡的配置管理簡單方便，對網絡實行集中監(jiān)測、分權管理，并統(tǒng)一分配帶寬資源,選用先進的網絡管理平臺，實現對整網設備、端口的管理、流量統(tǒng)計分析，以及提供故障的自動報警。網絡穩(wěn)定是前提。穩(wěn)定不光是指網絡設備的穩(wěn)定，還要考慮網絡架構的穩(wěn)定。網絡安全要防范。安全的內容包括對網絡

4、病毒的防范、對網絡攻擊的防范以及保證接入用戶的安全。網絡管理要便捷。網絡管理既包括對于網絡設備的管理，同時也包括對網絡用戶的管理。網絡效率是保證。要提升網絡的利用效率，最大程度保護用戶的投資。銳捷網絡解決方案客戶證言10OEGEibjiMM在選擇網絡建設的方案時，根據學校規(guī)模大小、分校區(qū)的大小及數量、充分考慮到建網的前瞻性，給出一個相對合理的建議網絡拓撲及解決方案。骨干網絡設計二-口rg置旦!訂Lg111：】nilEHT麗骨干層之間根據當地線路條件，高速連接。建議采用租用裸光纖方式，以千兆或萬兆以太網方式進行連接。核心采用雙引擎RG-S8600交換機，采用雙電源雙風扇設計，從硬件設備上保證了核

5、心設備的穩(wěn)定可靠性。RG-S8600采用了全模塊化的設計思想，一共有6個模塊插槽，其中二個用戶管理模塊，剩余四個是用戶可用插槽，可以根據需要增加百兆、千兆、萬兆模塊，以滿足現在和以后的需要。隨著網絡應用的不斷豐富，核心交換機必然要提供更大的連接帶寬，主干網絡可能需要由千兆升級到萬兆，這就要求核心交換機的整體硬件架構是能夠支持萬兆的，也就是以萬兆的線速轉發(fā)為目的而設計的，即每一個用戶模塊的線卡帶寬必須大于等于20G（保證單萬兆口的線速轉發(fā)），RG-S8600系列萬兆核心路由交換機提供3.2T/1.6T背板帶寬，并支持將來更高帶寬的擴展能力，提供1190Mpps/595Mpps的數據轉發(fā)能力，每線

6、卡提供高達200G的交換能力，滿足高密度的千兆/萬兆端口線速轉發(fā)，并且支持未來100G接口的擴展?？梢猿浞譂M足未來多校區(qū)的應用發(fā)展需求。統(tǒng)一安全設計目前校園網面臨的安全形勢越來越嚴峻，對校園網的業(yè)務提出了極大的挑戰(zhàn)，如何讓我們的網絡處于全面的安全防護內成為客戶關注的焦點客戶證言作為一套網絡訪問控制的解決方案，GSN可以幫助客戶實現從用戶身份管理、主機管理到網絡通信管理等多方面的功能。我們可以把GSN的網絡安全三部曲與乘坐飛機的過程做一個比較。用戶身份管理體系一一換登機牌換登機牌是乘坐飛機的第一步，這個過程是要保證乘機人身份的正確性，乘機人需要出示他的有效證件來證明他的身份。GSN采用了基于80

7、2.1X協(xié)議和Radius協(xié)議的身份驗證體系，通過與網絡交換機的聯動，實現了對于用戶訪問網絡的身份的控制。同時，可以采用用戶名、密碼、用戶IP、用戶MAC、認證交換機IP、認證交換機端口號等多達6個元素的靈活綁定，來保障用戶的身份正確性，更可以根據用戶身份的不同，來給用戶賦予靈活的網絡權限訪問控制，讓經濟艙”的用戶進不了“頭等艙”。端點防護體系一一安檢在完成換登機牌的值機過程后，乘客并不能直接登上飛機，還要經過一個很重要的過程，那就是安檢，在這個過程中，乘客的一些違禁物品如刀具、爆炸物等都將被沒收，以保障飛機飛行的安全性。在GSN全局安全網絡體系中，用戶完成了身份認證之后，將進行主機端點防護的

8、檢測和修復，簡單的說，就是對用戶用來上網的計算機的健康情況進行檢測，檢測內容包括用戶的軟件安裝情況、用戶的進程啟用情況、用戶的后臺服務運行情況、用戶的注冊表關鍵鍵值情況、用戶的Windows補丁更新情況、用戶的防病毒軟件運行情況，甚至用戶的外連接口（光驅、軟驅、USB接口等）啟用情況。通過對這些元素的檢測，GSN有效的保障了用戶的主機的健康性，避免中毒的主機進入網絡帶來病毒的瘋狂傳播，也及時的補全了主機的漏洞，避免用戶入網后遭到別的主機的攻擊。在對用戶的主機健康情況檢測完成后，GSN還能夠根據制定好的策略對用戶進行自動修復，來完善用戶主機健康。網絡通信防護體系一一機上安全防護客戶證言完成安檢之

9、后，乘客已經可以登機了，但這并不表示乘客可以在飛機上為所欲為，在飛機上需要遵守飛行過程中的安全規(guī)定，例如不許使用移動電話，不許吸煙等等。用戶在完成了身份認證和主機端點防護之后，就可以接入網絡了，但用戶在網絡中的行為依然受到GSN全局安全網絡系統(tǒng)的管理和規(guī)范。通過與專業(yè)入侵檢測設備IDS的聯動，GSN可以對用戶的網絡流量進行分析，并通過內置的安全事件庫對網路安全事件進行及時的檢測和上報，并通過后臺系統(tǒng)的聯動處理來自動的處理發(fā)生的網絡安全事件。而通過后臺服務器、網關設備、接入設備與客戶端的多重聯動而實現的ARP欺騙三重立體防御功能，更是GSN的拿手好戲，通過后臺服務器RG-SMP安全管理平臺作為可

10、信的第三方，來向網關設備和客戶端提供可信的ARP信息，避免了由ARP協(xié)議本身的漏洞帶來的ARP欺騙現象的發(fā)生,解決了網絡管理人員的一大難題。出口網絡設計出口是整個多校區(qū)網絡的門戶，所以出口的安全設計對全網的安全至關重要。目前多校區(qū)出口面臨的挑戰(zhàn)也是越來越大：設出口是整個多校區(qū)網絡的門戶，所以出口的安全設計對全網的安全至關重要。目前多校區(qū)出口面臨的挑戰(zhàn)也是越來越大：學生的考試成績被篡改學生的資料被非法泄露，并被犯罪分子利用對家長進行敲詐學生或老師在網上發(fā)表一些不恰當言論，對他人進行人身攻擊學生經常上一些黃色網站中心服務器被黑客控制對其他目標發(fā)動攻擊無法記錄或者記錄不全用戶的訪問日志，出了安全時間

11、之后無法定位到人或單位，從而釀成安全事件客戶證言關鍵應用質量無法保證，如學籍管理、視頻會議、OA、VoIP、電子郵件、網頁瀏覽。關鍵用戶的網絡帶寬無法得到有效的保障。如何解決上述問題，是每一個網絡規(guī)劃者必須要考慮的問題。銳捷針對多校區(qū)校園網出口的復雜情況也提供了全面的解決方案。高效的NAT轉發(fā)網絡攻擊、網絡病毒的日益猖獗，網絡日志和安全功能成為出口設備基本功能，對于傳統(tǒng)的網絡出口設備而言，在啟用NAT同時，還啟用安全、抗攻擊、防病毒、日志等功能，會使設備性能將大幅下降，無法滿足網絡出口需求，成為網絡瓶頸；NPE（NetworkoutPutEngine，網絡出口引擎）系列產品是銳捷網絡公司針對網

12、絡出口實際需要開發(fā)的專用備，采用全新NP架構設計，主控板固化提供了3個光電復用的10/100/1000M以太網口，帶兩個支持熱拔插的NMX模塊插槽；NPE具備轉發(fā)高性能，在啟用NAT、ACL、PBR（策略路由）的情況下，在通常情況的報文流情況下（平均報文長度為500byte左右的混合報文），雙向可以達到8Gbps的線速轉發(fā)，每秒可以創(chuàng)建30萬條以上的NAT會話，在2Gbps的NAT線速轉發(fā)情況下，每秒仍然可以達到新建7萬條的NAT會話，達到200萬條的并發(fā)NAT會話，內嵌防火墻功能，具有強大的設備自身抗攻擊功能。有效的網絡應用管理客戶證言網絡管理者要把好網絡的脈搏，清楚網絡的狀況，就有必要在出

13、口區(qū)域：1）對應用進行識別，能夠看到具體的IM（即時通信）、P2P（BT、Edonkey等）、FTP等應用；2）掌控基于應用的和基于用戶的流量，這樣就能合理的分配資源、有計劃的規(guī)劃網絡的發(fā)展。RG-ACE應用控制引擎，讓應用完全可視。您想了解多校區(qū)出口到底承載了哪些應用？這些應用如何分布？或者,您還想了解多校區(qū)的某個IP在訪問哪些應用？多校區(qū)中某種應用到底有哪些用戶在使用，用得怎么樣，一切都能展現在您眼前！應用(TOTAL)FFLhfOR8ReaM8ilM3RBM8!lBSSMMM*ifiO電百efO*Chh卜卜4百卜卜上卜卜卜，卜卜匕卜上卜g88S88SSS!ESSSEESS88E28SSS

14、EgEiTMlf3iimPlFJi-lEin：R=EIr用二s-UEFU.C?-1：汀沖加二FTPtEUif?昭冃：可Jj.SSyKHSDvlMiBWOdHriS14料：Clji.聽問l!c*1V誼hermKiii4ni百*IH氣JtnrrTm客戶證言完美的日志功能在多校區(qū)出口部署一套日志系統(tǒng)RG-eLog，通過跟防火墻或路由器的配合,能夠詳細記錄包過濾日志、NAT日志、代理日志、URL過濾日志、入侵檢測日志、設備工作狀況日志、用戶訪問統(tǒng)計日志、集群日志、設備管理日志，以及什么時間段、通過什么IP地址和端口訪問了什么目標IP地址和端口。如果在防火墻上啟用了NAT，則可以記錄轉換前的地址和轉換后的地址。如果在防火墻上啟用URL過濾