领航高性能校园网---构建高效,安全,可控,分层的校园网-.ppt

领航高性能校园网 高效 分层 安全 可控JuniperNetworks2007 11 4 Agenda 校园网发展趋势高性能校园网 现状概述 高校信息化的深入发展 无纸化办公的普及 使得网络成为工作生活不可分割的一部分互联网在提供了海量信息资源的同时 催生了各种应用系统 占据了大量的网络带宽伴随着互联网的迅速发展 各种蠕虫 攻击 木马恶意软件等等涉及网络安全的事情愈发的突出IPv6在国内高校的发展相比欧美和日本相对缓慢 今后的发展方向 核心网升级校园网整体安全IPv6网络逐步部署各种数据中心 网络资源的整合 Agenda 校园网发展趋势高性能校园网 高效的网络结构 当前校园网结构 汇聚层 接入层 核心层 典型的三层结构核心 汇聚 接入核心和汇聚采用三层交换机接入采用二层交换机 今后校园网结构 网络层次简洁两层网络结构核心层接入层 接入层 分校区 核心层 分校区 校区间互联 扁平化网络结构 利旧 利旧 核心层 接入层 接入层 接入层 接入层 高效的网络结构 高效的网络结构 网络结构扁平化减少物理和逻辑级联级数 提供更加快速的数据通道扩展核心节点压缩掉汇聚节点接入直接面向核心 从而形成扁平化的网络结构扁平化的前提核心设备需要高性能和大容量高密度以太网口用以直接下挂大量的二层设备Juniper专门优化的纯以太网核心路由器满足校园网扁平化结构 MX系列运营商级以太网核心路由器 MX系列三个型号MX960MX480MX240 MX960 转发引擎和板卡 交换矩阵 路由引擎 线缆管理托架 风扇冷却系统 风扇冷却系统 控制指示面板 空气进入部分 MX480 MX240 MX960 480 240 高性能和大容量 互联网应用的层出不穷 高校数字化的不断深入 校园网流量的迅猛增长包转发能力1200 600 300Mpps包转发能力交换能力960 480 240Gbps吞吐能力 MX960 480 240 接口密度树立了业界新标杆 高密度每板卡40GE每板卡4个10GE整机接口整机480 240 120个全线速GE接口整机48 24 12个全线速10GE接口 分层的业务网络 多业务混载 职能网络没有分离 校园网现状教师办公OA网和学生网混杂使用增加单一物理网络的不安全性很多高校有分校区和主校区互联尤其分校区和主校区的财务等部门互联 一卡通单独的专用网络增加运行维护成本 分层网络 业务平面分离 教师办公OA网和学生网从管理和运行维护角度 应该将二者分离财务网络安全 独立的网络和分校区财务部门互联 提高效率一卡通网络安全 独立的网络降低运行维护成本 如何做到 Juniper逻辑路由器构建N平面网络 逻辑路由器 单台路由器可以划分出15台逻辑路由器和1台主路由器 路由器上的接口可以任意划分到任意的路由器中每个逻辑路由器都有自己的单独的路由表和转发表都使用ASICs来转发报文 因此这16台路由器接口都是线速转发 主路由器 逻辑路由器 主路由器 学生网 LR 0 教师网 LR 1 一卡通网 LR 2 财务专网 LR 3 V6实验网 LR 4 LR 5 主路由器 学生网 LR 0 教师网 LR 1 一卡通网 LR 2 财务专网 LR 3 V6实验网 LR 4 LR 5 N平面网络 L2SW 业务网络分层各业务网络之间完全隔离 在需要互通的业务网络之间配置严格的控制策略单一物理网络承载多业务良好的网络扩展性 极大的节省投资成本实施部署简单 节省运行维护成本 主路由器 学生网 LR 0 教师网 LR 1 一卡通网 LR 2 财务专网 LR 3 V6实验网 LR 4 LR 5 VLAN 600 VLAN 500 VLAN 400 VLAN 300 VLAN 600 VLAN 500 VLAN 400 VLAN 300 L2SW 学生用户 教师用户 全部用户 财务人员 MX核心节点 MX核心节点 MX核心节点 科研人员 终端到核心的安全解决方案 校园网安全概述 影响网络安全的因素设备尤其是核心设备自身的安全性 以及设备抗压力 攻击的能力用户终端的安全性用户滥用行为各种网络资源的限制和授权访问 路由器安全之道 模块化 成熟的JUNOS系统意味着很少的bug控制和转发分离路由平台在面临大流量的情况下 依然可以保持路由平台的稳定控制平面和转发平面之间内置防火墙进行过滤基于ASIC的数据包过滤 速率限制 采样等功能保证路由器的安全和城域网的安全通过ASIC执行安全控制功能 使得路由器在获得丰富功能的同时 性能不打折扣 从用户终端和用户行为方面解决安全问题 安全的网络接入网络的用户终端系统应该是无漏洞的接入网络的用户终端应该是干净的用户网络行为应该是规范的授权访问各种网络资源 Juniper统一接入控制 UAC 解决方案 UnifiedAccessControlSolution InfranetAgent IA 全面的企业整合 AAA认证服务器 Enforcers FirewallsIDPDXSwitches InfranetController IC 基于用户标识 网络标识和端点评估的全面的策略执行 IA保护认证过的客户端免受恶意的不安全的客户端的侵袭 主机安全检查个人防火墙 IPSECVPN引擎MSWindows单点登陆Mac和Linux无客户端的执行 用户认证 使用已有的AAA系统 决定用户的访问权限在InfranetEnforcer为端点提供访问集中的策略管理 将安全策略加载到端口和执行点集成的修复方案 灵活的流量控制 校园网可控性 良好网络控制体现在两个方面网络控制点的选择用户流量的控制 控制点 当前三层网络结构接入层接入层设备 品牌相对较多 该层面设备功能单一 控制功能有限 而且设备数量非常庞大 实施困难汇聚层核心层汇聚和核心层的设备 业务控制能力相对较强 但是就目前校园网的实际情况来看 各种控制功能不尽如人意 控制点 扁平化的二层网络结构接入层该层同样存在如前所述的问题 品牌相对较多 该层面设备功能单一 控制功能有限 而且设备数量非常庞大 实施困难核心层作为整个网络的控制层 设备数量少 实施简易核心设备的控制能力非常强 完全可以严格控制网络的能力由于从接入层直接到核心层之间经过的设备 都是起用二层功能 通过802 1qVLAN直接终结到核心路由器 因此子接口做为这些VLAN的默认网关 核心层 接入层 接入层 接入层 接入层 控制点的选择 网络控制点 流量控制 校园网流量现状绝大部分流量是学生使用产生极小部分流量是其他用户产生学生大量使用各种P2P应用 消耗了大量的校园网核心带宽和校园网有限的出口带宽因此校园网流量管理的关键 是对学生流量的管理 流量细分化管理 在核心路由器