泉州校园网整体解决方案

泉州校园网整体解决方案内容摘要：

E厦门 PE （ L A C ）泉州 L NSL 2 T P 隧道普通用户拨号后通过 M P L S V P N接入泉州校区固定 IP 用户通过L 2 T P 接入泉州校区 以华大为例 华大厦门分校区终端访问泉州校区校园网可以两种方式： L2TP 接入方式： 在实验机房和办公室等接入相对较频繁，可信任度也较高的区域。 固定用户通过L2TP 接入泉州校区。 厦门分校区的固定 IP 用户采用就近的一台 BRAS 最为 LAC 设备，用户通过 PPP 连接到 LAC， LAC 随即与 LNS 建立 L2TP 隧道和电路，在 LNS 与校园网之间建立中继，并互相指定明细路由；厦门分 校区的固定 IP 用户就可以接入到泉州校区。 系统设计方案 第 16 页 MPLS VPN 接入方式： 校内普通用户拨号后通过 MPLS VPN 接入泉州校区。 用 MPLS VPN 实现互联，通过 MPLS 核心网络，互联的两端网络分别就进接入 PE 节点，中间通过高校安全的 MPLS技术实现，这种方式是目前的主流实现方式，可以提供丰富的安全和质量可控服务，基于分组机制的网络技术使得互联带宽可以轻松地扩充到 1G 以上。 通过 MPLS VPN 和 L2TP 隧道，保证厦门校区用户可获得与泉州校区完全相同的网络接入方式。 统一的 AAA 平台使得师生可以在两个校区之间自由漫 游，享受完全一致的网络体验。 中国电信强大的 MPLS 核心网络和 CN2 网络，保证两个校区之间的数据通信和信息共享完全无阻隔，两个城市之间零距离。 方案的实现 以华侨大学校园网为例，讨论方案是如何实现的。 （ 1）用户接入 所有用户采用 PPPoE 的方式接入校园网和互联网，每个用户一个账号，每个账号 系统设计方案 第 17 页 同时只允许一台电脑使用。 （ 2）接入账号 由于具有差异化的资费需求，考虑到实际经济承受能力，为部分学生提供非包月上网资费标准，同时学校要求上互联网的时候不允许同时访问校园网，因此为每个校内用户提供双域名账号的方式。 网络接入账号格式为“用户名” +“ @” +“域名”，通过不同的域名来区分学生和教职工及访问的网络范围。 帐号拨号方式 ,并根据后缀方式不同控制上网时间及访问内外网的控制。 以华大和陶瓷学院为例： 华侨大学 ①教师外网： 帐号 @ ②教师内网： 帐号 @ ③学生外网 : 帐号 @ ④学生内网 : 帐号 @ （ 3）数据路由 当用户拨号后， BRAS 自动把用户放到一个 VPN 内，用户不能与同一台 BRAS 上的其他用户直接通信，所有的访问流量将通过（ SR）分流到校园网内或者行为控制设备。 行为控制设备的规则由校方进行配置，运营商和校方同时具备查询日志的权限。 （ 4） IP 地址分配 当用户使用校园网后缀的账号拨入网络时， BRAS 为用户分配 10 网段的 IP 地址，只能访问校园网；用互联网后缀的账号拨入网络时， BRAS 为用户分配公网 IP 地址 ，只能访问互联网。 访问互联网 在 SR7609 上配置默认路由，指向作为 VPN 出口的二级核心 GSR 设备接口。 为了避免私网地址的流量发往城域网，在 SR 接口的出方向做 ACL，禁止私网源地址流量流出。 SR7609 通过引入静态路由把这些前缀公告给 BRAS。 系统设计方案 第 18 页 访问校园网 在 SR7609 上配置往华大 6509 中继口的静态路由，把校园网流量引导过去。 为了避免公网地址的流量发往校园网，在 SR 接口的出方向做 ACL，只允许私网为源地址的流量流出。 SR7609 通过引入静态路由把这些前缀公告给 BRAS。 （ 5）访问控制 通过 AAA 服务 器向 BRAS 下发 filterid 属性来实现对学生上网时间段的控制，目前需要配置两个模板，如下表： 模板名 用途 LMT_8_24 工作日限制 824 点可上网，周末不限制 LMT_FREE 不限制时间 具体哪些学生需要限制上网时间段由校方决定，可以在辅助管理系统上自行配置。 方案适用范围 原有校园网改造和新的校园网的建设。 校园网策略部署 （ 1）楼道及园区交换机 ① 该方案中的楼道交换机可采用现网通用的华为 /中兴的二层交换机。 ② 楼道交换机安全策略：  楼道交换机用户之间在用户端口配置 CVLAN 进行隔离；  园区交换机透传用户 CVLAN；  楼道和园区交换机登录控制参考城域网内对应层面交换机配置要求；  用户和网管通过不同 VLAN 实现隔离。 （ 2）校园网汇聚交换机  校园网汇聚交换机与校园内网交换机二层 VLAN 互联，透传 BRAS 和校园内网交换机互联VLAN；  校园网汇聚交换机配置 QinQ，汇聚交换机至园区交换机互联端口配置 PVLAN，每个园区分 系统设计方案 第 19 页 配 CVLAN 段；  校园网汇聚交换机至 BAS 中继配置二层 trunk 方式，透传用户的 QinQVLAN、校园宽带网二层交换机管理 VLAN BAS 和校园内网交换机互联 VLAN 6； （ 3） BAS  终结用户 PPPoE 认证请求；  作为 DHCP 服务器，为学生分配公网或私网 IP；  配置访问互联网帐号域和访问校园网帐号域，互联网帐号域学生获得公网 IP 地址，通过BRAS 普通路由至互联网；访问校园网帐号域关联校园网虚拟 VPN，获得校园网私网 IP 访问校园内网；  建立与校园内网交换机互联 VLAN 通道，建立校园网虚拟 VPN，并配置私网 IP 地址池。 当接驳帐号带访问校园网后缀域名时，以静态路由方式，通过校园内网交换机互联 VLAN 通道访问校园内网；  终结楼道交换机管理 VLAN；  配置域名和端口绑定策略。 （ 4）校园内网交换机  配置与 BAS 互联逻辑 VLAN 及互联 IP 地址；  配置学生用户私网 IP 地址段的回程路由指向与 BAS 互联的逻辑 VLAN。 开通所需要的资源 （ 1）新增校园网汇聚交换机至城域网 BAS的 1000M 电路 该电路用于学生宽带 PPPoE 通道、二层交换机网管通道，同时通过该通道迂回学生访问校园内网资源流量至校园网内。 （ 2）校园宽带网楼道、园区及汇聚二层交换机网管 IP 地址 该 IP 地址由网络操作维护中心分配。 （ 3）学生校园宽带使用的 IP 地址池 根据校园宽带业务发展的预期规模，按照 1： 的收敛比例 规划公网 IP 地址数量，在业务开通准备阶段向网络操作维护中心申请。 （ 4）校园内网交换机与 BAS 互联 VLAN通道的互联 IP 根据校园内网交换机 VLAN 使用情况调整，互连 VLAN 的 IP 地址采用点对点 IP 地址段，该 IP 地址由学校进行规划和分配。 （ 5）校园网内相关资源所在 IP 地址段和校园网内网 IP 地址段 系统设计方案 第 20 页 该资源由政企客户部和县区局前端部门向校方申请。 校园网全方位安全解决方案 网络健壮性 Si SiLAN AD SL 2+ W iF i EPON接入控制层接入汇聚层  接入汇聚层以上设备所在机房均按照电信级机房要求建设，环境温湿度、建筑强度、电力供应具有保证  接入汇聚层以上设 备采用了全面的设备级备份技术，包括双主控双电源双上行等  接入控制层的 BRAS 设备采用了可靠的技术方案，主备板倒换时能够确保用户不掉线，业务不中断； BRAS 还能够支持双机热备份，确保单台设备宕机不影响业务  接入控制层到 BRAS 均采取了中继多链路捆绑，双归属等中继备份方案，确保不会出现大面积的单点障碍  大容量接入的 ADSL 2+设备和 EPON 设备均支持多主控板、多电源和多上行中继保护；并且采用了电信级的接入网机房标准，确保设备在优良的环境中运行 系统设计方案 第 21 页 用户追踪 校园接入网校园核心网校园核心网 In te r n e tB RAS 校园网用户通过 PPPoE 接入网络；接 入网全程 VLAN 隔离，避免二层窃听和攻击；使用 CHAP 鉴权协议，确保密码不会被截取； PPPoE 协议本身具有 ARP 攻击免疫能力；支持用户账号和物理接入位置的捆绑。 每个用户一个 VLAN，配合 QinQ 技术，确保用户的物理接入信息能够逐层传递到接入控制层设备。 每次接入均由 AAA 服务器对 IP 地址、接入位置、账号、时间等进行记录。 BRAS 把每次用户在线的信息发送到 AAA 系统中进行记录，尽管校园网内部不计费，但是仍然有免费话单存在，因此可以随时随地根据 IP 地址反向追踪到用户账号及所在的物理位置。 用户访问 inter 进行了二次 web 验证和记账，进一步确保信息的准确性。 用户直接分配公网 IP 地址，不需 NAT 地址转换，可以随时根据互联网服务器反馈的地址追踪到校内用户账号及所在物理位置，不受应用的限制。 攻击防范 Intern et校园网流量监测流量过滤攻击流量 干净流量 系统设计方案 第 22 页  PPPoE 接入的网络天生具备抵抗 ARP 攻击的能力。  从接入控制层到用户终端的全程二层流量隔离杜绝了广播类的二次网络攻击。  流量监测仪实时监测从 inter 流入校园网的流量，当发现网内用户被攻击时，自动把流量牵引到流量过滤器上，从而达到保护网内用户免受攻击的目的。 网络统 一管理  网络设备管理  综合网络管理系统为学校网络管理中心及电信公司提供网络的实时监控、性能分析等需求。  闭环故障和用户申告工单管理机制实现网络管理的可控性。  用户管理  通过每用户一账号的方式提供全网用户管理能力，电信公司实现批量账号开通，单个受理等方式，并报送校方备案。 校方通过维护终端可随时对任何账号进行激活 /去激活，设置访问时间控制等各种管理操作。  用户行为管理  上网行为控制设备的管理客户端可以为学校提供上下线日志、行为、流量等的后续追踪，也可以实时对用户的网页行为、文件、邮件及其他多种涉及安全的行为进行 精细化控制。 校园网安全解决方案产品选型（以中兴为例） ZXSEC US 统一安全网关 校园网络面临主动或被动的攻击行为是来自防火墙内部的，校园网内部攻击，传统防火墙无法发现内部网络中的攻击行为。 传统防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代 系统设计方案 第 23 页 码，比如针对 WEB 服务的 Code Red 蠕虫等。 难以识别复杂的网络攻击行为没有详细的日志信息，以协助后续调查和取证工作的开展。 网络出口的传统防火墙不能对上网行为进行实时检测和阻断，不能对基于应用层的协议进行细粒度检测 ，防火墙只能静态的被动的检测，对于大量的应用层协议的攻击和 DDOS 攻击无能为力。 没有详细的日志记录，事前不能有效的检测、事中不能实时动态的控制和阻断异常行为、事后也没有详细的日志记录进行跟踪攻击源和攻击意图，不能提供有效的追查依据。 ZXSEC US 统一安全网关具有防火墙、 VPN 功能、防病毒、放垃圾邮件、 Web 内容过滤、流量控制带宽管理、应用控制、 HA 高可用性、服务器负载均衡、广域网加速功能。 ZXSEC US 统一安全网关具有 27 层基于应用层安全防御功能，是下一代网络安全防御的首选产品，丰富的功能和高性能处 理是 ZXSEC US 统一安全网关的重要特点。 ZXSEC US 统一安全网关功能特点： ZXSEC US 统一安全网关具有如下功能特点： （ 1）防火墙功能：通过网络访问控制策略防护各安全域的各类网络威胁。 （ 2） VPN 功能：（ IPSEC VPN,SSL VPN）同时提供两种 VPN 接入方式，并且能对 SSL VPN 加密内容进行病毒查杀检测， Web 页面内容和邮件内容过滤， IPS 异常行为有效拦截控制。 从而为用户建立一个绿色 VPN 通道，确保 VPN 两端的相对安全。 （ 3）防病毒功能：网络防病毒网关，将互联网病毒和非信任区域 病毒隔离在防火墙之外。 这样结合数据交换中心病毒防护，终端桌面网络防毒系统，形成了立体病毒防御体系，保障内网没有病毒滋生的环境。 （ 4） IPS 入侵防御功能：时时在线更新 IPS 特征库，拦截异常访问流量和恶意行为。 （ 5） Web 内容过滤功能：可通过搜索引擎关键字和 URL 进行过滤，提供站点分类，可对不同分类的敏感信息进行分。