××大学出口改造方案.doc

大学出口改造方案1.需求分析1.1校园网开户率分析（至2015年）大学现有学生14000人，校园网开户数在09年底达到4000人、10年初上升到6400人，开户率约为46%，这个开户率在四川区域地方高校中属于较高水平。发展中的大学在未来的2-3年时间内，学生人数预计能够达到16000人并在未来5年将持续保持这个数量，根据现在的开户率计算未来2-3年将有7360人需要接入校园网。但是随着上网本、笔记本电脑的商业成本逐渐降低，校内学生的开户要求在5年内很可能超过46%的开户率，为了保证信息化投资的有效率和长远保护，在本次规划中建议将开户率设定在65%左右，那么未来5年可能接入校园网的开户人数将达到11000人左右。1.2校园网出口带宽分析（至2015年）大学现在的出口带宽为电信千兆链路，按照现有6400人的开户率，每个学生将分配到156.25Kb/s的带宽资源，至2015年通过出口链路扩容预计出口带宽扩充至2.5-3G，这样每个学生将分配到273Kb/s的带宽资源。在考虑到不是所有开户用户均同时接入网络产生流量的情况下，按照1：4的收敛比，现在每个同时上网的学生预计分配到625Kb/s的带宽资源，至2015年每个同时上网的学生预计分配到1M左右的出口带宽资源。就以现有的互联网应用来说，在线组播流媒体一路占用的带宽约为200Kb/s，在线网络游戏一路占用的带宽约为100Kb/s，那么1M的出口带宽意味着每个同时上网的学生能够同时浏览5路在线视频或者是同时玩10种互联网游戏，特别是当校内资源丰富后部分学生的访问将被限于校内，这样互联网出口带宽的实时分配率更加可观，完全能够满足学员未来的需要。2.面临的问题2.1互联网应用问题根据前面的计算，现在校园网内的开户用户在考虑并发情况下，每个用户实时应该能够分配到600Kb/s左右的出口带宽，对于正常的互联网应用来说应该是足够了的。可是由于校内用户大量使用BT、迅雷、电驴等P2P下载工具进行文件下载，导致互联网出口带宽被这类非法应用极大的占用。通过现场看到得带宽利用率来看，学生上网高峰期出口带宽利用率达到90%以上、甚至100%，大量的带宽资源被少量P2P应用占用，导致大部分合法用户得不到应有的出口带宽保障。P2P应用抢占互联网出口带宽的问题，从另一个角度看是符合互联网应用发展趋势的，也是符合互联网开放性模型的。对这个问题，强制的禁止不是最好的办法，特别是在园区网中，我们需要考虑的是如何在有限的出口带宽资源上对P2P应用进行合理的分配和限制监督，在保障关键业务和关键应用的基础上实行合理的监管。2.2准出认证计费问题大学校园网内现在采用的是城市热点的准出认证计费系统，对需要进行互联网访问的用户进行准出收费策略。而城市热点的计费网关从产品设计来看，数据转发模块和认证模块是整合的，这就意味着当用户入网高峰期时网关可能因为数据转发和认证请求过多而使得两个模块互相影响，导致用户认证失败或者是转发速率下降甚至设备死机造成断网。由于认证计费网关设备一般部署在网络出口的串接位置，因此主流的做法是对网关型设备的架构设计时采用转发和认证、计费模块分离的原则，通过独立的硬件来分别实现数据的转发和用户的认证请求接受。3.流量控制改造方案针对大学的网络出口现状，我们在进行用户投资保护的基础上，不改变原有的认证计费系统，仅在计费网关之下、核心交换机之上增加一台ACE3000流量控制引擎来实现对校内互联网应用和流量的统一管理和监控，而该款设备能够达到6G的双向吞吐量，支持最大的并发连接数400万，完全能够满足学院未来5年的出口扩展需要。3.1方案特点600+种应用协议准确识别l 能够准确识别包括P2P应用、炒股软件、流媒体、企业办公、网络游戏等在内的总共620种协议。l P2P应用：Bittorrent、eMule、KAZAA、KURO、NAPSTER 、EDONKEY、AUDIOGALAXY、EZPEER、KUGOO、GNUTELLA、VAGAA、SOULSEEK、POCO、PIGO等30多种P2P软件。l IM应用：MSN、Yahoo、ICQ、AOL、QQ、YAHOO、WEBIM、IRC、XMPP等10多种主流的IM软件。l 视频/Streaming应用：新浪直播、搜狐直播、RTSP、SIP、PPSTREAM、PPLIVE、APPLEQTC、CCIPTV、QUICKTIME、REALPLAYER、MMS、QQlive、H.323等主流的视频和流媒体应用。l 炒股软件：大智慧证劵信息平台、天一证劵网上交易系统、华泰网上交易分析系统、证券之星等炒股软件。网络流量实时监控、分析和控制l 网络流量的实时采集、监控和精细分析使得网络运行状况、应用情况、带宽使用情况等状况完全可视化l 基于协议和基于IP地址（用户）两种类型的实时流量分析器，提供基于源/目的IP地址、服务端口、应用协议、Session数以及流量大小等详细信息。l 支持基于用户（源IP地址）、目标IP地址、时间、协议和应用等为参数进行灵活的阻断与允许功能。包括：进行上行与下行带宽控制、进行Session数量控制等。l 支持组对象的配置，如定义用户组（IP组）、协议组（如P2P协议组、游戏组）对同一类型的应用、相同级别的用户进行带宽管理策略的控制。流量整型与应用优化l 支持自定义虚拟带宽通道、最大带宽限制、保证带宽、带宽租借、应用优先级以及随机公平队列等一系列的应用优化和带宽管理控制功能。l ACE能够对每种应用协议和每个IP或子网进行流量控制与带宽精细管理。如：对P2P下载及非关键应用进行精细化管理，确保网络带宽资源不被滥用。l 除此之外，ACE对设备支持的所有协议（包括analyzing_tcp、analyzing_udp、soft_bypass等特殊协议）都可以进行流量控制与阻断。强大的URL日志记录、完善的安全审计l 支持URL过滤功能，且不影响设备性能。l 支持上网五元组、HTTP访问的详细URL日志记录功能。l 支持与锐捷eLog日志系统、SAM身份认证系统的联动处理，直接进行基于用户身份的行为审计。提供丰富的图表报告分析和统计提供一年内的应用或协议流量纪录，并可生成天、周、月、季度、年时间段内的应用及协议的带宽使用统计报告。包括：总带宽分析报表、应用带宽分析报表、基于协议的带宽分析报表、基于协议和流量方向（进入/出去）的带宽分析报表、基于应用和流量方向（进入/出去）的带宽分析报表、基于IP地址的带宽分析报表、用户自定义报表等等。集中化的图形化管理平台提供中英文的图形化管理平台，可以用一台管理服务器集中的管理网络上的多台ACE设备。图形化管理平台采用JAVA架构，能够适应于各种操作系统和服务器，用户只需利用浏览器即可远程访问管理服务器进行设备管理。3.2方案优劣势l 能对校园网内现有流量进行监管和控制，保障关键也用和关键业务；l 控制P2P等非法应用的使用情况，提供校园网出口带宽的精细化管理；l 6G的吞吐量和400万的并发连接数满足学院未来5年的出口扩展；l ACE3000直接串接进出口区域，不改变现有的网络结构，部署方便；l 不改变认证计费系统和计费网关，对用户的使用没有任何影响；l 缺点是不能解决城市热点计费网关性能瓶颈问题，大规模用户认证和转发可能出现严重的单点故障。4.准出认证改造方案通过上面的方案优劣势分析，我们可以看出前一个方案并不能完全解决大学现有的出口挑战，城市热点的计费网关仍然是互联网出口一个严重的瓶颈和单点故障。为了保障学院未来的信息化业务发展和出口规划，我们建议采用准出认证改造方案，彻底的解决学院的出口挑战。取消城市热点计费网关的部署，改由ACE3000和锐捷网络精细化运营管理系统SAM来完成城市热点网关承担的准出认证计费功能，另外ACE3000仍然承担其原有的流量监管和控制功能。4.1方案特点继承了流量监管和控制特点在本方案中，ACE3000仍然承担了流量监管和控制的功能，也完全能够实现前一个方案中的所有优势和特点。独立的转发和认证模块l RG-ACE采用独立的硬件认证模块，用户大规模的认证请求不再影响设备的转发性能。l 硬件实现的DPI引擎，实现了特征库的应用协议数量和特征库复杂程度与性能的无关性，可以做到同时加载所有应用协议而不影响设备性能。高安全、高可靠性l 应用层防火墙能够识别并阻断黑客的端口扫描以及DoS攻击行为，支持通过Session数控制、带宽控制来提高网络可用性和安全性。l 硬件BYPASS告别“串接设备单点故障”。采用外置光旁路单元和内置电口旁路模块，当ACE掉电或发生故障，毫秒级的切换保证网络随时畅通。l 支持HA高可用性解决方案，实现2台ACE相互冗余备份。精细化的安全运营管理系统l 支持高可用集群技术，可以有效地解决单服务器的性能限制，实现故障的快速转移，保证服务的高可用性以及灵活的扩展性。同时，高可用集群技术可实现多台服务器之间的信息同步，可以支持跨区域的帐号漫游、容灾及不间断的系统运营质量；l 从用户实践中抽取出若干专门适用于高校行业的大量丰富的统计报表，为运营管理提供可视化功能支持；l 支持多业务统一认证，通过配置可以实现802.1X、VPN接入、Web、无线接入等多种接入方式，使同一个用户可以通过不同的服务接入，保证管理运营能基于服务类型的精细化管理；l 用户和账户互相独立，多个用户可以关联同一个账户，业务应用模式更为丰富；l 灵活的预开户和预销户管理，在预开户和预销户的帐号不但能承载用户信息，实现统一开户和统一销户管理，而且不占用实际用户授权数，这可为运营管理者节省系统投资费用，更加有效的使用系统；l 用户能根据使用需要，在原本提供信息基础上，自助添加用户的基本信息字段和自助服务信息字段，从而实现个性化管理的要求；l 通过设置的预置邮件服务，实现系统自助服务功能，如用户密码找回、审核注册用户信息，可以节省系统管理员的大量日常维护工作。l 简单清晰的用户上网明细信息，用户可以通过自助网络服务查询个人上网明细信息和个人账务流水，实现明明白白消费，同时可大量减少系统管理员的服务工作量；l 支持账户透支以及信用额度设置，能让账户的管理日趋完整和正规化，账户金额可以在信用额度限制下透支，既保证了用户记账的方便灵活性，又为网络运营管理提供了新的账户管理形式；l 支持集团用户，方便对独立机房、院校的分级综合管理；l 强大的数据导出功能，所有报表均支持Excel格式导出，方便数据在系统外核对，可为其他系统和单位提供支持数据；l 通过自定义计费策略配置为用户提供灵活、强大的计费策略配置，能够满足用户不同的计费要求。例如：周期、流量、计时计费三种方式可以组合成一种或几种计费策略，为网络管理运营提供多种计费方式；l 支持分区域精细化管理，按照区域划分服务，不同的用户在不同的区域可以实现不同的服务，实现了精细化管理的理念。例如：在教学区和宿舍区，一个学生使用同一账户可以使用不同接入服务和相应的计费策略；l 强大而灵活的绑定设置，有线方面可以实现用户帐号、用户IP、用户MAC、NAS IP、NAS Port的绑定，无线方面可以实现帐号、用户MAC、NASIP、SSID、AP MAC等绑定，最大程度上保证了用户入网身份唯一；l 支持屏蔽代理服务器功能，还可限制屏蔽二次拨号，保障内网安全；l 功能强大而灵活的接入时段控制，一天24小时独立控制，对节假日、周末、平常三个层次分别区分控制，可以通过一次设置保证全年的时段控制；l 人性化的消息提示和记录功能，包括系统广告、个性信息、认证失败原因信息、用户下线原因记录与提示、自动欠费预通知等功能；l 限制用户认证客户端程序的类型和版本号，自动升级认证客户端程序，防客户端破解；l 支持卡充值模式，充值卡配合用户卡以及提供的公用服务功能可以实现用户的完全自助管理；l 精细安全的权限和组管理，保证管理员权限的同时，提供了灵活的权限定制方式，可实现分级管理，权限细化到第三级菜单；l 强大的日志功能，可记录和查询RADIUS服务日志、系统日志、管理员操作日志、用户WEB自助服务日志、账单服务器日志等，实现事后的审计；l 集成的WEB网管功能，可对网络中的NAS设备和IP网段进行统一的管理；l 用户WEB自助服务功能，用户可通过WEB自助服务页面，进行个人资料的查询、密码修改、上网明细查询、缴费记录查询以及在线预注册和在线账号充值；l 配合RG-NTD支持针对基于用户身份的边界分类流量（国际国内上下行）计费，方便实施对P2P流量的管理；l 丰富的二次开发接口，方便与一卡通等业务系统的集成；l 支持LDAP协议，方便实施用户身份信息的统一集中管理；l 兼容华三、思科等主流厂商的802.1x接入交换机，保护用户投资；l 实时短消息功能，方便管理员与在线用户的沟通与信息发布；l 针对用户组、用户的BACL功能，在绑定策略下还可以实现不同区域的上网漫游；4.2方案优劣势l 能对校园网内现有流量进行监管和控制，保障关键也用和关键业务；l 控制P2P等非法应用的使用情况，提供校园网出口带宽的精细化管理；l