广州工程技术职业学院校园网流量整形方案.doc

广州工程技术职业学院 财政投资信息化项目 网络安全需求方案广州工程技术职业学院2009年信息化建设项目子项目4-校园网改造及流量整形方案项目编号：GZIT2009-F3-0308项目联系人：李盈余联系电话 录第一章 概述41.1项目名称41.2项目建设方案编制依据41.3项目总投资估算及来源51.4经济及社会效益5第二章 现状、必要性和需求分析72.1广州工程技术职业学院网络系统现状72.2广州工程技术职业学院流量分析82.4目前存在的问题92.5目前项目建设的必要性92.6目前需求分析10第三章 项目建设目标与任务123.1建设目标、原则123.1.1总体目标123.1.2系统设计原则123.1.3项目建设思路143.1.4系统建设与其他系统之间的关系153.2项目建设主要任务153.2.1项目建设任务、范围和规模153.2.2涉及采购设备或系统主要包括：153.2.2项目本期建设任务、范围和规模17第四章 项目本期的建设原则和技术路线204.1项目建设原则204.2技术路线21第五章 项目建设总体框架与流量整形部署设计235.1网络拓扑图235.2方案说明235.3 流量整形网关的部署245.3网络安全系统的实现效果25第七章 项目本期的投资估算26第八章 项目本期的建设进度27第九章 项目涉及产品技术参数要求28高端流量整形网关要求28中高端流量整形网关要求30高端防火墙要求32第33页/共33页第一章 概述1.1项目名称广州工程技术职业学院校园网改造及流量整形1.2项目建设方案编制依据广州工程技术职业学院是经广东省人民政府批准、国家教育部备案的广州市属普通高校，创办于 1964 年。该校以先进的教育理念、独特的办学思路、优秀的师资队伍、优雅的校园环境、鲜明的高职特色，致力于培养具有现代竞争意识和综合职业能力、全面素质，能适应二十一世纪经济发展需要的实用型技术人才。作为一所有着 42 年历史的公办高校，近年来，在不断的改革、超越和发展中打下了稳固的基础，积累了丰富的经验，逐步形成了知识、品格、才艺、技能四元并重的办学风格。以独特的思路和新颖的做法应对竞争，谋求突破，实现了跨越式发展，形成了 “ 万人学校，亿元资产，八大校区 ” 的强劲格局，取得了良好的经济效益和社会效益。学校设有环市东校区（校本部）、东川校区、从化校区、龙洞校区、黄埔校区、医学院校区等六个办学点。教学设备充足、基础设施完善，建有计算机网络、电工电子、制冷、汽修、语言、艺术设计等实验室以及服装车间、数控车间、机械车间、汽车检测与维修车间、电工操作室等实验室（实习车间）。拥有一支专业水平高、职业道德好、实践动手能力强、思想稳定、结构合理、数量充足的专兼教师队伍。引入竞争机制，实行目标管理、定期考核、优胜劣汰，通过各种途径和一系列措施建设了一支勤勉敬业、勇于开拓、乐于奉献、富有活力、具有创新能力的适应新世纪高等教育改革和发展的重点教师、学科带头人、中青年骨干教师和专业技术拔尖人才队伍。随着国家对高等办学的一贯重视，以及教育信息化的迅猛发展，广州工程技术职业学院目前已建设了完备的校园计算机网络基础架构，同时也建立了大量的校园教学应用系统，以满足开放教学和VOD视频等应用的需求。随着新网络应用的不断出现，特别是P2P应用的日益广泛，校园网等运营级网络的出口带宽受到严重冲击。互联网骨干运营企业如电信、网通等，网间的互访速度慢、时延大、丢包率高。而随着高校信息化建设的进一步发展，关键业务越来越依赖互联网，网络出口带宽逐渐成为各类应用的效率瓶颈。经过缜密的市场技术调研，同时参考其他学校关于该类项目有益的成功经验，需要建立一套完善的、符合校内师生实际需要的网络带宽监控和管理制度，保护校园网的关键应用，规范校园网用户的上网行为，实现对带宽资源的合理利用。1.3项目总投资估算及来源资金来源：广州市财政投资信息化项目资金；序号产品名称产品描述单价单位数量1高端流量整形网关6个千兆电口，2个千兆SFP光口。可实现对网络中各种流量进行管理、控制。提供电口的ByPass功能。￥400,000 台22中高端流量整形网关4个千兆电口。提供电口的ByPass功能。可实现对网络中各种流量进行管理、控制。￥288,000 台33高端千兆防火墙性能要求：吞吐量线速2G、并发连接数 2,000,000、每秒新建连接数 30,000物理要求：最大可用8个千兆接口,6个100/1000M以太网电口,2个COMBO千兆口（SFP/GT），双冗余电源 ￥380，000 台11.4经济及社会效益对于可运营的校园网来说，网络带宽资源显得尤为可贵。在缺乏流量整形技术的情况下，往往采用升级互联网出口的方法来尽量满足师生访问互联网需求。但是无论将带宽提高多少，访问速度仍然达不到用户的要求。究其原因，主要是一些非关键应用，如P2P应用，无限制地吞噬了大部分的带宽，使得正常的WEB访问，电子邮件收发，远程教学等应用受到了很大的影响。除此之外，一些病毒、网络攻击等异常流量，会造成网络突发性的拥塞。这就好比高速公路建设，路虽然拓宽了，但是上面的跑的车也在爆炸式的增加，所以道路只会越堵越厉害。通过本次项目建设可以为广州工程技术职业学院校园网的带来的价值：l 合理利用网络资源。避免因为网络带宽使用不当带来网络应用效率的低下以及带宽资源的浪费，保护用户投资。l 保护关键应用，发挥网络最大价值。实现应用流量的带宽管理，保障对应用访问的必须带宽。当各种网络应用同时进行时，就要保障关键性应用（如网络教学、Web、Email等）的使用效能，限制其它无关应用的带宽使用率。l 安全的增值。检测并控制网络扫描、蠕虫和DDoS 攻击；加强上网行为管理；保护网络关键资产，避免重要信息的非法泄露。l 加速网络应用，全面提高IT运营效率。保证用户在有限的带宽下运作，支持更多的网络应用，提高网络应用的响应时间。l 高可靠性保障。设备内置Bypass，在设备出现软硬件故障时快速自动切换到直通状态。l 网络规划管理。通过全面监视网络应用，用户可以获得一个全面的网络应用性能视图，便于用户网络的整体规划与优化。第二章 现状、必要性和需求分析2.1广州工程技术职业学院网络系统现状广州工程技术职业学院目前设有环市东校区（校本部）、东川校区、从化校区、龙洞校区、黄埔校区、医学院校区等六个办学点。其信息网络环境大致如下：整个校园信息化网络以环市东校区（校本部）作为网络中心，采用一台Cisco Catalyst 4503三层交换机作为其网络核心，各分支校区通过10M电信光纤（SDH）连接至核心交换机，以实现各校区对校园网内部应用系统的访问；同时从化和龙洞两大校区与校本部之间设立了防火墙；另外各校区都具有独立的Internet的访问出口，通过各自的外网防火墙来实现对各校区Internet访问的控制。从上图可以看出，广州工程技术职业学院网络结构比较复杂，六大校区就有五个校区有单独Internet出口，而且带宽资源也比较富裕。但是随着学生的不断增多，形形色色的网络应用充斥着整个校园网，网络拥塞现象暴露无遗。对于广州工程技术职业学院这么庞大的网络系统，没有一套合理、完善的网络流量管理体系，就会造成带宽资源的浪费，极大的降低了网络可用性。2.2广州工程技术职业学院流量分析广州工程技术职业学院互联网出口流量监测与分析上面这张图，是我们采用专业的测试工具，对广州工程技术职业学院校园网的其中一个Internet出口某一天流量进行测试、分析得出的结果。从这张图中我们可以看出，这条链路中有60%左右的流量是P2P流量，主要有BT、QQ Download（QQ的一种下载和文件交换协议）、MyseeTV（在线电影直播协议，类似于PPLive）、Edonkey（电驴）、XunLei（迅雷）、PPLive（一种在线电影直播协议）等等，协议的排名如下图所示：广州工程技术职业学院互联网出口应用流量排名2.4目前存在的问题1) 多种应用占用大量带宽，网络管理员无法分辨何种应用占用了多大带宽；2) 超过60的应用为音乐/视频播放、下载以及P2P协议，这60%流量几乎不会对网络运营者产生价值；3) 不能区分重要用户和普通用户，不能对关键客户提供有保障的带宽服务；4) 多线程下载影响带宽用者的公平性；5) 通过传统限制端口的方式限制新兴互联网应用，无法达到效果。这些应用端口动态变化，可使用web访问的TCP 80端口。如P2P应用；6) 扩大出口带宽也不能解决问题，同时会急剧增加运营成本。P2P、多线程下载等应用的“贪婪性”特点，会尽可能用尽带宽。7) 由于应用不断丰富，需要的出口带宽也越来越多；而传统的IP网络，是一个“尽力而为”的努力员工，它不会为不同重要性应用提供优先级服务；同时，当前普遍缺乏网络应用监测工具，更谈不上控制应用控制；于是我们看到不断有用户抱怨：OA系统半天打不开，VOIP电话音质抖动好厉害！2.5目前项目建设的必要性目前国内同类型院校及各类型职业学校实践教学设施均以信息可视化为发展目的。广州工程技术职业学院现有的教学设施也有相当部分在经历了近十年的不断改造和更新，其教学功能和控制技术也在进步。实现的教学功能及教学使用模式在满足日益增长的教学使用量、教学理念的更新、教学方法的改进以及更为先进的学习评价方法的需求。实施网络教学平台工程的核心目标是充分利用信息技术，建立多层次、创新型、开放式的学校，提高办学的质量和效益。以新的人才观、教学观和管理理论为指导，培养适应信息社会要求的创新型人才。使用现代化教学手段组建的包含多媒体网络教学、现代数字化校园、网上教学平台等现代教学和信息化系统最忌信息交流不畅，更具体一点，即缺少信息交流、资源共享的一个中心场所。通过信息技术建立面向21世纪的现代教学平台，将现代计算机网络技术与传统教学手段相结合的模式，结合两者的优点，最大限度的发挥已有网络及应用的资源建立起多媒体远程教育平台。通过稳固而安全的Intranet/Internet网络是实现实行高质量的教学过程，通过全新的学习和交流方式，使学员最大限度的体会到传统教育的直接和生动，真正实现“以培养高技能人才为目标，以服务为宗旨，以就业为导向”的办学理念，需要提供一个稳定的、高效的、安全的网络和信息平台。因此，对广州工程技术职业学院校园网网络流量整形的实施，为全校师生提供一个快速稳定的网络基础平台已是刻不容缓。2.6目前需求分析校园网络是企业网和商业网络的混合应用。在学生宿舍区则是企业网和商业网的混合应用模式，学生宿舍区主要以收发电子邮件、聊天、视频点播、互动游戏和P2P下载为主，这部分用户有着区别于传统校园网教学区用户的需求，他们类似于商业用户群，对网络提出高可靠与高稳定、便于维护管理、区分内外网计费等要求；教工家属区则属于典型的商业网应用，业务流量主要为访问Internet，与运营商开展的宽带小区业务没有本质区别。基于以上多层次的用户需求，合理而有效地利用出口带宽的资源是建立“可运营”校园网络的基本要求之一，校园网的出口带宽管理面临以下挑战：l 如何给关键的科研教学的网络需求可靠的带宽保障？l 如何有效的控制非关键的应用（如P2P下载、音乐/视频文件共享等）大量的耗费带宽？l 如何针对不同的内部网络（如学生宿舍区和办公区）和外部网络（如教育网内外）实施不同的带宽策略？广州工程技术职业学院目前迫切需要解决的问题包括：l 查明现有网络应用流量分布状况；l 保障上网、外网邮箱等正常HTTP类应用，提高用户体验效果，减少用户投诉；l 限制网络无关应用，防止非关键业务占用过多带宽；保证带宽分配的公平性，无论是关键应用还是非关键应用。第三章 项目建设目标与任务3.1建设目标、原则3.1.1总体目标广州工程职业学院学院目前各个校区都有专线作为Internet出口，需加强对出口流量的管理和监控，提高全校网络的可用性和安全性。此次网络改造的目的在于使学院网络管理人员能够清晰直观的分期校园网内各种应用的类型，以及它们对校园网带宽的占用情况。制定符合学院使用的流量管理策略，保证校园内大的关键应用在网络中稳定、畅通。整合网络资源，加强边界防御。3.1.2系统设计原则校园网网络系统建设遵循统一规划、分步实施的指导思想，工程的设计必须在考虑到满足当前需求的同时，充分考虑到将来整个网络系统的投资保护和长期需要。设计及实施应充分遵循以下原则：l 网络技术先进性和实用性原则工程学院校园网建设采用的流量整形技术，具有一定的前瞻性，符合一定时期内网络通信技术发展的趋势，并在今后一定的时期内处于领先地位。网络系统设计必须遵循先进性和成熟性。由于IT行业的技术更新换代很快，为了保证网络能够满足今后一段时间内应用的发展，在选择网络技术和设备时不仅要考虑先进性，也要考虑技术的成熟性，同时更要考虑接入业务的特点等多方面的因素。所以选择网络技术和设备时不要去追求最新最好，应该遵循先进性和实用性相结合，并找出其中的平衡点。l 采用标准化、开放的网络技术整个网络系统在结构上实现真正开放，全部采用或符合有关国际标准，使网络具有良好的开放性和兼容性。开放的系统可以使用户自由地选择不同厂家的计算机、网络设备及操作系统，构成真正的跨软硬件平台的系统。网络的设计基于国际标准，网络设备采用标准的接口和规范的协议，满足用户的不同需求并充分利用软硬件资源，保证系统运行的安全可靠，并具有较长的使用生命周期，以适应其业务不断发展的需要，有效地保护用户投资的长期效益。l 网络高可靠性原则学校校园网已经成为学校信息化的基础平台，是数字化校园的网络基础，所以对网络的稳定可靠运行要求特别高，对数据传输的实时性的要求，对网络的传输环节要求很高。因而要求，一方面选用的网络设备具有相当高的可靠性，要达到电信级标准，具备99.999%的可靠性；另一方面，在网络设计中要采用切实有效的系统备份、系统安全、数据安全和网络安全措施，以保障网络的高可靠性和安全性。l 网络可扩充性因为目前的网络方案是基于满足当前需求的，随着用户应用规模的不断扩大，网络应可以方便地进行扩充容量以支持更多的用户和应用；随着网络技术的不断发展，网络必须能够平稳地过渡到新的技术和设备。为了保护用户的投资，本方案中的网络设备在将来网络升级或再投资的情况下，能够随时通过增加网络设备或模块来对现有设备进行升级和扩充，并能把替换下来的设备应用到分支或边缘网络上。本方案充分考虑到未来网络升级的平稳衔接，保证网络通讯介质、网络设计核心的向后兼容性。l 安全性和保密性在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，充分考虑安全性，针对学校的各种应用，有多种的保护机制。 l 网络实现的高性价格比原则建设一个高效的网络，充分优化网络结构，尽量减少网络数据流通环节，减少网络中非业务的网络消耗，充分利用网络中的每一台设备和线路，包括备份设备和链路，在确保各级业务部门实时网上业务正常运行的条件下，尽量节省网络的建设和运行成本。新建的数据通信网络，要在满足网络各项性能指标的前提下，尽可能节约网络建设的投资，保护原有设备的投资，使整个网络的具有较高的性能价格比。在满足基本需求的条件下，如网络的可靠性、安全性、性能和一定的可扩展性等，尽可能降低网络改造的费用。网络技术和设备的选择以满足需要为原则，不追求超过需求的“档次”。l 网络的可管理性良好的组织和管理对网络的正常运转和高效使用有很大帮助，网络应该能够提供方便、灵活、有力的工具对网络进行集中式的有效管理和控制。方便的监控、良好的管理界面、完备的系统记录都能使管理员在不改变系统运行的情况下对网络系统进行检测、修改及故障恢复等管理维护工作。网络系统中的所有设备均应是可管理的，支持远程监控和故障的过程诊断和恢复，并可通过网管软件方便地监控网络运行的实时情况，对出现的问题及时处理和解决。3.1.3项目建设思路1）有效识别各种流量系统能够有效识别出网络常见的应用类，包括BT，迅雷，PPlive网络视频等流行的P2P应用。2）灵活地制定的策略建立多个用户组，把相同特征的用户规划到一个组，不同用户组分配不同带宽，即可轻松实现区分服务保证关键应用，抑制不希望的应用。限制每个用户的上网带宽，针对不同的用户组、不同时间段和不同网络应用控制带宽使用量。3）保留统计数据统计、监控和分析网络上各种应用所占的带宽比例，为网络的用途和下一步的规划提供科学依据。4）兼顾网络安全此次项目的一个核心思想是，提高现有系统的利用率，增强网络安全性。网关设备处在边界位置，既是内、外通信的桥梁，也是防止外网入侵的第一道屏障，所以在所有Internet出口处都要有高性能的硬件防火墙充当网关。流量整形设备监控内网每个节点的实时出流量、实时入流量的大小，可用来判断内网节点是否存在攻击行为、中病毒等问题。3.1.4系统建设与其他系统之间的关系作为广州工程技术职业学院信息化建设的基础平台，一个安全、稳定的校园网络平台是根本。网络平台承载着各种应用系统交互数据流量，流量整形系统的成功建设，可以使其他系统在数据交互更加流畅，提升系统整体的可用性。3.2项目建设主要任务3.2.1项目建设任务、范围和规模此次项目建设的任务就是要通过合理的技术方案，构建安全、稳定、畅通网络系统，对校园网内对应用层的各种数据流量进行全面的分析，限制非关键应用，保障校园内教学、科研、办公和视频会议系统流量畅通无阻，合理分配带宽，为师生营造一个良好的上网环境。3.2.2涉及采购设备或系统主要包括：u 网关防火墙系统的改造：根据综合选型，对于网关防火墙系统的构建，建议满足以下功能：序号产品部署位置功能模块1防火墙从化校区互连网出口业界领先的高性能，高达8G的吞吐量，每秒能够处理超过20万 TCP新建连接能力，50万UDP新建连接能，远高于传统ASIC、NP、FPGA架构的性能基于高性能多核多线程处理器的硬件芯片级解决方案支持千兆位数据流量，满足电信级骨干网需求支持多接口链路负载均衡，支持端口备份，提供链路优先选择硬件级冗余设计，提供最大的网络正常运行时间 具有自主知识产权的64位高安全操作系统芯片级硬件加速深度包检测、IPSEC VPN、SSL VPN等功能模块支持P2P（BT、eMule,迅雷等）应用控制，提供高速硬件对关键应用的颗粒度为1kbps的QOS支持，支持网游优化支持应用层安全防护，支持JavaApplet，Active-X、URL过滤等功能支持USB KEY双因素身份认证登陆SSL VPN支持ARP防护客户端，全面防御基于ARP的病毒及攻击支持SNMPV1 V2，支持OSPF协议封装极低的设备功耗(120W X 2)，节约用户能源成本u 流量监控和管理系统的构建：根据综合选型，对于工程学院的流量监控管理系统的构建，我们建议满足以下功能：序号产品部署位置功能模块1网络层防毒墙环市东、从化龙洞、黄埔和东川五大校区Internet出口精确识别各种应用，识别率高流量分类方式灵活TCP速率控制技术支持多级带宽分配策略，能够满足复杂应用需求支持动态带宽分配支持HTTP协议的分类，能够深入分析HTTP协议支持分区策略支持基于应用的路由策略，能够满足复杂应用需求支持安全告警和会话阻断支持光/电bypass保护技术10/100/1000M电口自带bypass模块，支持断电、当机bypass功能；支持协议的特征库升级支持实时流量统计支持实时查看TOP N用户、应用支持流量、性能和告警日志支持用户访问记录支持日志导出日志数据支持导出，可以导出为Excel的csv数据格式；支持报表功能支持扩展功能：如计费、负载均衡等3.2.2项目本期建设任务、范围和规模改造前拓扑图：本项目只涉及广州工程技术职业学院从化校区防火墙和五大校区流量监控和管理系统的构建，以及部分线路的改造。在五大校区的防火墙和核心交换机之间个部署一台相应的流量整形设备，用于流量监控和管理。将从化校区的原有的防火墙Sonicwall4060替换成性能更强的防火墙，该防火墙作为从化校区互联网出口网关。将从化校区学生网直接通过光纤直接连到校区核心交换机上，增加学生网和校园网之间的带宽。将从化校区替换下来的防火墙Sonicwall4060部署在龙洞校区，而东川校区的三星防火墙替换成原龙洞校区Sonicwall1260。下面是改造后的校园网拓扑图：第四章 项目本期的建设原则和技术路线4.1项目建设原则根据广州市教育信息化建设指导意见和学校教务实际，本项目所涉及建设设计方案必须遵守以下设计原则： 充分考虑校园网络特点，结合已有的安全系统，制定全网的流量管理方案，同时还要兼顾校园网安全运作的组织保障和系统管理； 新设备的部署，旧设备的替换，以尽量不影响网络结构和运行效率为原则； 流量监控和管理系统所采用的技术必须是实用的和成熟的； 流控设备支持电口bypass功能，支持断电、当机bypass功能，不影响互联网的使用。参考标准 外工程总体设计方案； 外工程安全保障体系总体设计方案； ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第一部分 简介和一般模型； ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第二部分 安全功能要求； ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第三部分 安全保证要求； 国家973信息与网络安全体系研究G1999035801课题组IATF信息技术保障技术框架。4.2技术路线1、基于“行为识别”和“会话深层分析”的网络应用识别技术n 此技术是应用层流量整形网关区别于其它简单的IPS、UTM、防火墙等产品的关键之一n 应用层流量整形网关不是通过对端口的匹配、对数据包关键字的匹配，来实现对网络应用的识别的。而大多数的IPS、UTM、防火墙是通过此方法识别网络流量的n 所谓“行为识别”和“会话深层分析”，是指对网络流量的交互特征、协议的有限状态机迁移情况、会话特征等综合指标，对网络上的流量进行识别n 即使是端口动态可变的P2P网络流量，也可以精确识别。n 有些P2P是基于TCP 80端口，可精确识别，并且不会与http网页访问混淆。n 基于http协议的下载，尽管使用的就是http协议，也能区分出是下载、还是正常的网页访问。2、强大的二级带宽管理n 不仅可以针对每个用户实现带宽的管理，而且同时也可对不同种网络应用协议进行带宽管理。n 这是流量整形网关的独有的管道复用技术。例如：在限制每用户的带宽不超过256K的同时，还可以同时限制针对总体上限制BT的总带宽不超过10M。3、支持TCP速率控制技术：l 决定TCP会话速率的关键因素：改变winsize的值，来实现发送方按指定的带宽发送。l 通过改变window size控制TCP会话速率l 可以实现双向控制l 可以减小设备的缓冲压力l 可以针对单个用户动态实施4、动态的带宽分配技术 - 可自动地、动态平均分配带宽l 在网络资源紧张时公平地分配带宽资源；l 在网络带宽空闲时自动调整可用带宽上限，可以充分利用带宽资源；l 配合用户带宽限制使用；l 针对某种应用，确保关键应用的带宽分配；l 每用户分配的带宽固定，保证公平性，与用户建立的会话数无关。可自动动态调整带宽上限，高效利用闲置带宽 带宽分配与会话数无关，保证公平性5、可疑流量监控和告警：流量整形网关可以定义可疑会话和半开链接的域值，通过网管软件进行统计和预警第五章 项目建设总体框架与流量整形部署设计5.1网络拓扑图根据结合工程学院实际情况，我们制订了如下的系统设计框架：5.2方案说明如图，工程学院有环市东、从化、龙洞、东川和黄埔等几大校区，以环市东校区为核心，其余各大校区通过专线连接到该校区的核心交换机上，构成了工程学院校园网。各大校区都有互联网出口，学校师生均通过本校区的互联网线路访问Internet。考虑到从化校区和龙洞校区网络用户数多，网络流量大，建议在这两个校区的防火墙和核心交换机之间各部署一台高端流量整形设备，该设备必须具有双向500Mbps的吞吐率，同时可处理400万并发连接，提供4个百兆电口和4个千兆口，满足从化校区用户互联网应用需求。东川、黄埔和环市东校区用户数相对较少，推荐一台中低端的流量整形网关，该设备必须具有双向200Mbps的吞吐率，同时可处理100万并发连接，提供4个百兆电口。由于校园网流量激增，边界防火墙负担越来越重，建议将从化校区原有防火墙Sonicwall4060替换成性能更强、稳定性更高的防火墙，该防火墙必须具有2Gbps的吞吐率，能够满足校园未来5至10年的网络发展需求。将从化校区学生网直接通过光纤直接连到校区核心交换机上，增加学生访问校园网的带宽。在遵循本次项目建设原则的前提下，从保护工程学院原有投资角度出发，合理使用原有设备，建议将从化校区替换下来的防火墙Sonicwall4060部署在龙洞校区，而东川校区的三星防火墙替换成原龙洞校区Sonicwall1260。各大校区之间建立起强大的边界防御系统，充分保护校园网，避免来自校园内外的网络攻击。5.3 流量整形网关的部署透明部署流量整形网关，识别、分析应用：l 识别170类、600多种应用，足可以满足运营商、教育、企业、银行、电力、公安、财政等的需要。l 国际公用的应用，例如：web、FTP、p2p、oracle、RTSP。l 针对国内需求，有特有的流量管理功能，例如：迅雷、炒股（大智慧、同花顺、证券之星、钱龙.）。部署带宽策略：l 对象1：将总带宽分成不同的“带宽通道”。l 对象2：要控制的IP或IP组。l 对象3：确定要控制的应用。（600种之外的应用可控制特征进行自定义对可管理的应用进行扩展）l 对象4：时间l 将上述四种对象进行任意组合。开启安全相关的功能（可选）：l 实时监控每台主机的流量、会话、协议 l 可以限制每台主机的会话数，防止病毒阻塞出口 l 可疑流量的监控与告警5.3网络安全系统的实现效果在工程学院完成了网络安全系统的建设后，预期能达到以下效果：1. 流量整形设备在透明桥接工作模式下，各项性能指标满足实际网络要求，对网络的流量无任何影响；2. 从化校区实施线路改造后，访问校园网比原来快速、流畅。互联网出口实现了冗余备份和负载均衡，减少线路故障威胁。3. 能够识别出包括BitTorrent、eDonkey、Http等常用的网络应用协议，识别率达到90%左右；4. 能够对常用的网络应用协议（例如BitTorrent和eDonkey等）的流量进行监视、阻断和限速的策略，应用限速策略时限速准确，效果显著；5. 流量整形弥补了基础网络设施的不足，可以使网络管理人员在全网的视角了解网络实际运行情况；6. 提供详细、直观的数据报表和图形报表，为定位网络故障和未来网络规划提供科学有力的数据；7. 通过不同的策略合理的疏导网络流量，节约出口带宽资源，减少投诉；8. 了解全网用户的上网行为，为进一步规划网络建设提供了有力数据。第七章 项目本期的投资估算序号产品名称产品描述单价单位数量1高端流量整形网关6个千兆电口，2个千兆SFP光口。可实现对网络中各种流量进行管理、控制。提供电口的ByPass功能。￥400,000 台22中高端流量整形网关4个千兆电口。提供电口的ByPass功能。可实现对网络中各种流量进行管理、控制。￥288,000 台33高端千兆防火墙性能要求：吞吐量线速2G、并发连接数 2,000,000、每秒新建连接数 30,000物理要求：最大可用8个千兆接口,6个100/1000M以太网电口,2个COMBO千兆口（SFP/GT），双冗余电源 ￥380，000 台1第八章 项目本期的建设进度内容项目计划进度07.25-07.3108.01-08.0808.09-08.1508.16-08.2508.26-08.31校园网改造流量监控和管理系统构建调研、设计、论证确认技术方案、上报审批招标、签合同安装、调试、试运行验收、投入使用第九章 项目涉及产品技术参数要求9.1高端流量整形网关要求支持10/100/1000千兆电口6支持1000M光纤接口2双向吞吐量500Mbps并发连接数400万支持最大主机数4000台支持的策略的条数8000条应用协议识别方式：可以在二到七层对流量分类，识别准确率在98%以上，识别种类在170种类以上。对应用的识别不是采用区分端口的方式，而是采用针对流量进行深层次会话分析的方式进行识别。支持基于应用的带宽策略：可针对不同种网络上的应用进行流量限制或保证，例如：各种端口可变的P2P、BT、Oracle、VoIP等。支持基于地址组的带宽策略：能够控制每个地址的流量，并能详细控制每个地址的具体应用和最大的会话数，同时能够根据当前链路的带宽状况平均分配每个地址的带宽。支持基于时间的带宽策略：可以通过配置不同的时间段策略进行时间与流量带宽上的管理与控制。流量混合策略：支持基于应用、地址组、时间三个对象的混合策略。支持二级带宽分配策略：能够满足复杂情况下对应用流量管理的需求。即：支持二重带宽控制策略的设置，支持在限制每个用户流量带宽的基础上同时，还可以针对某类应用（如P2P应用）的流量带宽进行限制。支持未用带宽出租：可配置成在网络应用的带宽未占满时，出租给其它应用使用，等本应用的带宽一旦上来之后就会抢占回被出租的带宽。支持上限带宽扩展：对于网络应用，可配置成在其此带宽通道闲置、而本应用的带宽已经用江满时，超出本应用的带宽限制而使用其它应用的带宽资源。在其它应用的流量增大后，再减小到所限制的带宽之内。支持固定带宽独占：可将网络应用配置成固定带宽的方式，即使是这种应用的流量没有或很小，仍然可占用网络上的带宽资源不被其它应用使用。P2P协议的处理能力：支持Bittorrent（支持比特精灵,Bitcomet,BitSprit等多种客户端），Bittorrent 的UDP 协议，Edonkey，Edonkey的UDP协议，POCO，Kugoo，PPLive，GNUtella，讯雷，KazaA等应用的深度识别与管理。特殊P2P协议的处理能力：支持BitComet0.64以上的BT一代、二代加密协议，支持校园网流行的Maze等协议。HTTP协议的分类：能够深入分析HTTP协议并能根据URL、站点、MIME、浏览器以及下载将HTTP协议细分，根据细分的对象定义带宽管理策略。流量识别率：能够识别的流量应在总流量的80%以上,能够识别的P2P流量应在总P2P流量的90%以上。未识别流量处理：支持未识别流量统一处理（拦截、透传、限速、二次限速、调整优先级）。设备管理的安全性：控制终端到控制设备的指令传送应具备SSL 128位加密。支持管理员分级功能：不同的管理员具有不同的权限，具体的权限由超级管理员指定。支持配置策略的备份与恢复：支持所有策略的导入、导出，策略可以下载备份到一台管理机器上，同时也支持策略的上传。支持于端口过滤的防火墙安全功能。可实时监控每个内网终端的实时流量大小：可实时监控内网中每个终端的上、下行流量情况，以及每个用户的流量是否被设备的管理策略所击中。可实时监控每个内网终端的实时流量的应用类型：可以进一步查看每个内网终端的流量的类型，比如：可区分出某种P2P流量、FTP-CMD、MSN、QQ等。可疑流量监控和告警：可以定义可疑会话和半开链接的域值，通过外挂日志统计分析系统进行统计和预警。支持基于web的图形化管理界面。支持设备本身自带的图形化统计、分析功能：支持实时的流量图表统计及显示，并支持外挂的日志管理软件，便于更详细的流量分析，流量采集间隔为5分钟。支持外挂日志统计分析系统：可能过对设备的配置，将应用层的流量数据吐出到外挂日志统计分析系统。外挂日志存储容量不受限制：外挂日志统计分析系统可以存储足够大的历史日志记录，取决于外挂日志所安装的主机的硬盘大小。报表功能：外挂日志可提供各种应用，按时间、地址等的详细的统计功能。并提供丰富的统计报表功能，外挂日志基于windows操作系统，安装及使用方便。可以做为上网认证、计费用NAS网关。并且支持与标准的radius server对接，也可在设备本身上开户。支持无线802.1x AP的通用认证支持802.1x交换机的认证。支持Web、PPPoE等标准方式的认证9.2中高端流量整形网关要求支持10/100/1000千兆电口4双向吞吐量200Mbps并发连接数100万支持最大主机数2000台支持的策略的条数4000条应用协议识别方式：可以在二到七层对流量分类，识别准确率在98%以上，识别种类在170种类以上。对应用的识别不是采用区分端口的方式，而是采用针对流量进行深层次会话分析的方式进行识别。支持基于应用的带宽策略：可针对不同种网络上的应用进行流量限制或保证，例如：各种端口可变的P2P、BT、Oracle、VoIP等。支持基于地址组的带宽策略：能够控制每个地址的流量，并能详细控制每个地址的具体应用和最大的会话数，同时能够根据当前链路的带宽状况平均分配每个地址的带宽。支持基于时间的带宽策略：可以通过配置不同的时间段策略进行时间与流量带宽上的管理与控制。流量混合策略：支持基于应用、地址组、时间三个对象的混合策略。支持二级带宽分配策略：能够满足复杂情况下对应用流量管理的需求。即：支持二重带宽控制策略的设置，支持在限制每个用户流量带宽的基础上同时，还可以针对某类应用（如P2P应用）的流量带宽进行限制。支持未用带宽出租：可配置成在网络应用的带宽未占满时，出租给其它应用使用，等本应用的带宽一旦上来之后就会抢占回被出租的带宽。支持上限带宽扩展：对于网络应用，可配置成在其此带宽通道闲置、而本应用的带宽已经用江满时，超出本应用的带宽限制而使用其它应用的带宽资源。在其它应用的流量增大后，再减小到所限制的带宽之内。支持固定带宽独占：可将网络应用配置成固定带宽的方式，即使是这种应用的流量没有或很小，仍然可占用网络上的带宽资源不被其它应用使用。P2P协议的处理能力：支持Bittorrent（支持比特精灵,Bitcomet,BitSprit等多种客户端），Bittorrent 的UDP 协议，Edonkey，Edonkey的UDP协议，POCO，Kugoo，PPLive，GNUtella，讯雷，KazaA等应用的深度识别与管理。特殊P2P协议的处理能力：支持BitComet0.64以上的BT一代、二代加密协议，支持校园网流行的Maze等协议。HTTP协议的分类：能够深入分析HTTP协议并能根据URL、站点、MIME、浏览器以及下载将HTTP协议细分，根据细分的对象定义带宽管理策略。流量识别率：能够识别的流量应在总流量的80%以上,能够识别的P2P流量应在总P2P流量的90%以上。未识别流量处理：支持未识别流量统一处理（拦截、透传、限速、二次限速、调整优先级）。设备管理的安全性：控制终端到控制设备的指令传送应具备SSL 128位加密。支持管理员分级功