西默智能流量控制产品针对高校校园网络解决方案

西默智能流量控制产品针对高校校园网络解决方案一当前校园网络面临的现状：校园网尤其是高校校园网，一直是国内Internet发展的领头羊，早在1994年7月，中国教育和科研计算机网CERNET示范工程就已正式启动。随着校园网信息化建设的开展，教学、科研、办公、生活对于校园网平台的依赖性越来越强。国内的众多校园网经过多年持续不断的基础设施建设和应用提升，已经形成了较为稳定的基础架构和相对丰富的应用平台。在师生们利用校园网获得更多更及时地教育资源的时候，一些网络安全方面和应用方面的问题被暴露了出来，严重影响了校园网络的健康发展。目前，很多学校校园网运维过程中，或多或少都会面临着以下的问题及挑战：1. 越来越多的出口由于一些特定因素，目前很多学校普遍采用多校园网出口方式，基本上70-80%以上学校都有2个校园网出口，并且根据当地情况，相当比例的学校拥有三个及以上的出口。学校通常会基于速度、资源利用情况和费用的考虑确定其多个出口的使用访问方式。面对多个出口的实际使用状况，在技术实现上如何进行智能选路？如何进行多链路负载均衡？如何灵活部署以简化网络拓扑，降低投资？2. 安全防护能力伴随着数字化校园的建设、校园资源的整合，数据中心的建立已经是大势所趋。对数据中心服务器和传统的校园网出口边界处的安全防护，已经成为大家重点关注的对象。事实上，校园网内部出现的网络威胁的种类也越来越多，不仅有非法入侵、网络渗透，还有网络欺骗、DOS/DDOS攻击、各种恶意软件、垃圾邮件等。其中 DOS/DDOS攻击尤其是一个应受到特殊关注的攻击。最严重的攻击是无法终止的攻击，DOS/DDOS攻击正是如此，尤其现有校园网日益增长的网络带宽（万兆骨干网，上G出口带宽）为DOS/DDOS攻击提供了更大的可能。而且攻击还呈现出以下特点：突发性强（很难预测和监控）、随机性强（任何网络用户都可能成为攻击的目标, 同时攻击的频率和持续时间也很随意，很多的攻击持续时间并不长，当意识到攻击发生时，攻击可能已经结束了）、方向不确定、复杂度在提高（攻击手段和涉及的协议也在不断的提高，对防御设备的性能及部属以后的升级潜力提出更高要求）。3. 流量控制校园网几乎可以说是P2P应用最多的场所之一，大量的P2P等非关键应用无情地吞噬着校园网络有限的带宽资源，使得网络管理人员头痛不已。在没有对校园 P2P流量进行策略管理的时间段内，P2P等非关键应用的流量几乎占用了60-70的网络带宽，关键性应用却得不到保障。同时P2P软件也逐渐成为计算机病毒和木马传播的主要途径。可见，必须对特定用户或者某些特定应用进行流量的控制。4. “无所不联”的要求无论是广大师生需要从校外远程访问校内的数字图书馆，还是领导、老师需要从校外远程使用校内的办公应用系统，不仅要实现其远程安全接入，而且需要针对访问者、使用者的身份进行认证并授权，为特定用户群分配特定的访问资源。此外,同一高校多个校区之间的核心、敏感部门（财务、人事等部门）之间也必须实现安全互联。5. 对内网的监控以及上网行为控制一方面，由内网到外网的安全威胁比较严重。学生电脑管理松散，电脑中装有各种软件甚至感染病毒，有可能成为攻击的跳板，因此还需要监督、控制全网应用协议的情况（流量分布、会话数量）、校园网每用户的使用情况（上下行流量、会话数量）等来作为辅助管理手段。另外一方面，学生自制力较差。有必要对其上网行为进行一定程度的控制，例如：禁止其浏览成人、娱乐等不安全或政策、法律禁止的网站，以及其它的一些上网使用行为。6. ARP攻击防御ARP欺骗攻击不仅导致校园网不稳定，极大影响数字校园业务的正常运行，更严重的是利用ARP欺骗攻击可进一步实施中间人攻击和网关仿冒攻击。中间人攻击是一种非常恶劣的网络恶意攻击行为。而ARP仿冒网关，则导致用户无法正常和网关通信，攻击者可以凭借此攻击而独占上行带宽。由于ARP欺骗攻击利用了ARP协议的设计缺陷，光靠包过滤、IPMAC端口绑定等传统办法是比较难解决的。7. 高性能、高可靠一方面，现在校园网的网络流量模型逐渐在发生着变化（小包报文比例增加，单个用户的并发连接数也在迅速增加、UDP报文在迅速增加等），另外一方面，越来越大的流量需要处理，越来越多的功能需要开启，对于设备高处理性能的需求也是越来越迫切。维护校园网络在高安全环境下的长期稳定性和可用性是校园网用户所期望的。单设备、单链路的现象在校园网中还占据主要位置。对于设备的冗余、链路的备份，以及在出现设备或者链路故障下的自动切换，也仅仅是少数学校达到这样的水平。那么，如何实现高可用性？如何实现自动调整对用户的透明性？即，用户无需理解复杂的技术，只需要体验最快的网速。二针对以上问题，西默流控的解决办法1.解决网络对外接口带宽的不足：利用西默流控系统的各种带宽规则设定，网络管理员可依据网络的使用特性，预先规划重要用户，应用或服务器等，对一般非实时性的应用，如电子邮件给予适当的带宽限制，减少大容量邮件附件对带宽的占用。2.保障视频会议，音频（VOIP），ERP，数据库等关键应用的实施传输利用OQS设备所提供的各种带宽管理规则设定，网络管理员可依据网络的使用特性，预先规划重要应用的带宽保证值，数据包的优先级。3.控制P2P应用对于P2P应用，我们可以采取时间限制的做法，比如在工作时间段可以给定一个小带宽，非工作时间段可以取消此限制。这样就不会对正常的网络应用秩序产生不利的影响。4.过滤不良信息网络西默流量控制系统提供群组功能一级可以针对群组可设定规则加以管理，网络管理员可以设定黑名单，并对此黑名单组设定过滤规则。由此，可确保网络内部用户无法解除到这些不良信息网站。5.动态合理分配出口带宽资源西默流量控制系统的带宽管理功能提供针对不同时间、不同部门、不同用户对象给予不同带宽分配、数据包优先级等功能，使有限的带宽资源利用效率达到最大化。6.高性能NAT西默流量控制系统采用多核+ASIC架构，解决了目前一些产品只能工作在透明模式下的弊端，既可以工作在透明模式下不改变网络的整体结构，也可以部署在路由模式，能够完成原有路由器和防火墙的功能。采用多核架构的流控产品在做NAT的同时，不影响带宽管理的使用，性能下降很小。 7.详尽的监控图表西默流量控制系统提供详尽的网络监控报表以及长期监控图形报告，方便管理员进行网络管理，网络流量拥塞定位。三西默流控的部署方式西默流量控制产品支持多种部署方式，分别为：路由网关模式、透明网桥模式、旁路部署模式，您可以根据您的网络拓扑状况和您的需求，灵活的部署西默流量控制产品，最大限度发挥本产品的性能。1、 路由网关模式 网关模式是将西默流量控制产品作为内部网络的出口路由，其典型部署拓扑图如下：通过NAT和PROXY功能，使内部用户共享Internet连接，同时分割内外网，通过配置XMNAC，有效的保障了您的内部应用的安全，同时通过合理的出口带宽应用方案，保障您的关键业务应用。2、透明网桥模式 (建议用第二种)西默流量控制产品推荐的部署模式，其拓扑如下：此模式在不更改您的网络拓扑的情况下，可以方便的实现对内网用户的访问进行控制和监视。3、旁路部署模式 西默流量控制产品旁路部署模式拓扑如下： 旁路部署模式，对所有经过经过的数据进行监听，达到监控目的，此方式对您网络的影响最小，但由于只是分析所有数据的副本，因此不能发挥西默流量控制产品的QOS功能。四总结： 校园网的一个突出特点就是用户数比较大，随着学生用户数量增多，学校的各种业务种类和内容增加，使得校园网出口带宽和数量不断扩容。但由于缺乏有效的流量管理手段，出口线路带宽不断面临着“拥塞扩容再拥塞”的问题，同时信息中心网管面临着怎么去维护校园网络稳定性的问题。然而学校的特殊应用环境以及特殊应用群体使得该校网络管理水平需要进一步提高，需要有更好的网络维护工具与安全体系。 校园网的主要用户群体是在学生，他们网络应用水平普遍较高，喜欢下载并使用各类应用程序，包括一些黑客工具。从而产生的网络流量大、流量模式复杂，使学校网络的稳定性面临更加严峻的考验。再加上层出不穷的网络蠕虫、DoS攻击、学生私建各种应用服务器