高校校园网整体解决方案

高校校园网整体解决方案内容摘要：

路断线或一个主干交换机发生故障，都能在用户觉察不到的极短的时间内启用备份恢复数据传递，从而保证网络系统的高可靠性、稳定性的运行。 锐捷网络多年高端开发所形成的具有完全自主知识产权的统一操作系统，使锐捷的高端产品有相同的交换 /路由特性、一致的安全功能，能够为用户提供相同的系统服务，并在产品功能、性 能提升上具有一致性，同时也方便了用户对锐捷多款产品的统一管理。 安全保障 锐捷核心及全线网络产品支持丰富的安全防护能力，包括对各种攻击的防护能力，以及先进的 CSS 安全体系。 具体将在第二节《有效的全局安全措施》中说明。 十万兆平台全面提升骨干网络 目前，万兆以太网，作为迄今为止投入应用的速率最高的网络技术 , 已经大规模普及，并且能够切实解决目前校园网建设中存在的很多问题。 但是，万兆应用的普及对产品和技术提出了更高的要求。 校园网汇聚到核心的万兆线路的改造，就要求核心设备具有更高的万兆线速转发性能，以 及更高的万兆端口密度来支撑大量汇聚设备的万兆链路上联。 而十万兆产品恰恰能够解决万兆普及带来的问题。 基于对未来十万兆标准支持的考虑，锐捷网络开发的最新一代十万兆产品设备性能强大，完全满足甚至超出了校园网正常应用对设备的性能要求。 十万兆还可以简单理解为 10*万兆，加上设备所具有的高线卡带宽，这就足以支撑起每线卡的更高的端口密度。 目前，每线卡万兆端口数可以高达 16 个。 这将大大降低校内大量汇聚设备的万兆上联成本。 值得一提的是， IEEE 100Gbps（十万兆）高速以太网的标准化 制定工 作，预计标准将在 2020 年出台。 采用最新一代面向十万兆平台的产品，符合校园网建设中的保护投资和先进性的原则。 在十万兆标准出台后，就可以直接升级到下一代以太网。 二、有效的全局安全措施 统一的身份准入控制及详细的日志审计 首先，能够安全认证到桌面。 采用六元素的自动绑定、静态绑定、动态绑定相结合，可以确保用户入网时身份唯一，并且避免了 IP 冲突。 其次，实现了管理分级授权。 不同职能的管理者使用同一套系统时可以得到不同的操作界面以及使用权限，避免了管理的安全隐患。 最后，详细的日志审计功 能记录用户上网的详细信息（包括用户名、 IP、 MAC等）及完整的用户访问外网的记录（包括源 IP、目的 IP、源端口、目的端口、访问时间），一旦出现安全事件，可以进行快速完整的审计，迅速定位到个人。 设备本身具有的强大的安全防护能力 锐捷核心及全线网络产品支持丰富的安全防护能力，包括防 DOS 攻击 (Smurf、Synflood)，防 IP 扫描 (PingSweep)，防源 IP 地址欺骗 (Source IP Spoofing)、防ARP 欺骗、防病毒、带宽控制等功能。 锐捷网络还在继承已有的设备安全防护能力的技术基础上，开发出了集多种强大安全功能于一体的 CSS 安全体系设计。 黑客对计算机网络构成的威胁大体可分为两种：一是对网络中设备的威胁 ,针对设备系统的漏洞或不足进行攻击 ,导致系统不能正常工作，甚至瘫痪。 二是对网络中信息的威胁，以各种方式有选择地破坏 ,窃取网络中的数据信息。 CSS 安全体系正是通过从 “系统 ”和 “数据 ”两方面的安全技术来保护网络的安全。 CSS安全体系主要是通过硬件安全监控技术、硬件安全防护技术、丰富的设备安全管理保证系统的安全，通过硬件的隧道 技术、认证技术、加密技术保护了网络设备传输的数据的安全。 此外，还提供了万兆位的安全防护模块同时保护系统和数据。 通过提供万兆位安全防护模块，可以对网络中的数据进行 27层的安全监控防护。 GSN全局安全解决方案 GSN系统能够对全网的所有安全事件、网络病毒攻击行为、用户行为和用户主机安全信息进行深入分析和全局监控。 通过这种实时全网侦测，可以在第一时间内将网络异常现象通过接入层隔离出网络，使得网络异常现象完全不影响核心网络；在发现安全问题后能自动对用户进行安全事件告警 ，并迅速根据用户身份选择将用户隔离到安全修复区域或自动阻断异常数据流。 这一方案目前在包括集美大学在内的各高校取得了较好的应用效果，例证之一就是：盛极一时并造成巨大影响的熊猫烧香病毒，在这些学校都悄然无声。 此外，通过部署 GSN 全局安全，还能轻松的进行主机信息获取；实现主机完整性（ HI）规则（通过一系列规则的定义，约定了对用户主机的准入标准）；利用先进的 “免疫性 ”ARP防病毒防攻击技术，彻底解决 ARP木马等病毒 /攻击带来的网络中断事故的影响。 三、负载均衡、冗余备份的出口设计 超强的 NAT、 PBR性能 当前，校园网出口面临的首要问题就是性能问题。 性能问题主要体现在出口设备启用 NAT（地址转换）和 PBR（策略路由）功能的情况下。 正是基于对校园网出口高性能的考虑，锐捷为校园网出口定制的网络出口引擎 NPE50系列能够： 1）在启用 NAT、 ACL、 PBR（策略路由）的情况下，在通常情况报文流情况下（平均报文长度为 500byte 左右的混合报文），双向可以达到 8Gbps 的线速转发。 每秒高达 30万条的 NAT新建连接会话。 在 2Gbps 的 NAT线速转发下，每秒达到新建 7万条 NAT会话。 2）达到 200 万条的并发 NAT 会话数。 如果按照每个网络节点 300 条 NAT 会话，则可以同时支持将近 7000台的网络节点同时在线。 出口线路自动负载均衡、出口设备的冗余备份及链路的冗余备份 一方面在流量的策略上，能够实现基于源头的流量区分和基于访问目的的出口控制。 具体举例来说，可以将学生的流量和老师的流量制定不同的路由路径；在对外出口上，根据所访问的资源进行划分，教育网免费资源走 CERNET 出口，免费地址列表之外的都走网通或者电信出口。 另一方面，从可用性 角度，实现了任何一台设备（任何一台防火墙或者任何一台网络出口引擎）的故障或者任何一条链路的瘫痪，都将使相应的流量自动切换到另外一台设备或者另外一条链路上。 充分保证出口的可用性，时刻保持网络的互联互通。 完善的出口日志功能 针对各种网络攻击和安全威胁进行日志记录，采用统一的格式，支持本地查看的同时，还能够通过统一的输出接口将日志发送到日志服务器，为用户事后分析、审计提供重要信息，方案中所能提供的日志包括： ）设备日志：设备状态，系统事件日志 2）上网记录日志：上 网记录日志（基于五元组。