Juniper 高校解决方案.ppt

1、安全可控边界、稳定可靠核心 Juniper校园网解决方案,议程,校园网的结构和遇到的问题 校园网边界解决方案 校园网安全解决方案 校园网核心解决方案,校园网的结构,核心校区,校区A,校区B,汇聚层,汇聚层,汇聚层,电信,Cernet,学校数据中心,图书馆,校园网现在遇到的问题,网络出口的控制和计费 不同的出口，不同费率 不同的用户需要访问的权限不同 内网安全控制 出口安全，防止外网的攻击 服务器安全：防止内网流量对服务器群的攻击 内网的访问控制 用户终端的安全检测 用户访问服务器的权限控制 远程访问控制 基于流量加密的远程访问控制 Web服务器的性能提升 对于现网存在的WEB服务器提高其支持用

2、户的能力 提高用户SSL加密访问的性能 网内路由和出网设备的性能提升 提高对内部网络的路由设备的性能和抗攻击能力 提高出口设备的性能和支持各种业务的能力,议程,校园网的结构和遇到的问题 校园网边界解决方案 校园网安全解决方案 校园网核心解决方案,校园网边界遇到的问题,网络出口的控制和计费 不同的出口，不同费率 不同的用户需要访问的权限不同 远程访问控制 基于流量加密的远程访问控制,校园网的结构（Juniper的方案）,核心校区,校区A,校区B,汇聚层,汇聚层,汇聚层,电信,Cernet,学校数据中心,图书馆,ERX,SSL VPN,Juniper 边缘多业务路由器,ERX 1440,Up to

3、 STM-16,Large POP BRAS 服务器反应提高到了线速,少数几个（1/1000th)目标服务器连接,终结上千个客户端连接,真正的HTTP反向代理 所有连接终结在DX上 TCP复用及连接管理 可支持服务器端采用HTTP1.0 及HTTP 1.1服务器端应用的任意组合 1000:10 的连接比例 同时优化服务器端及客户端的通讯 快速卸载服务器的数据-服务器不再遭受“TCP 慢启动，WAN时延，慢管道，分组重传”等问题 服务器的CPU及内存不再耗费在管理连接上 客户端的管道总是保持满的。,DX 提高了Web服务器的性能,压缩加快客户端响应,实时压缩优化服务器响应，100%保证页面精确性

4、 加速下载静态及动态内容，降低带宽开销 加速text,HTML,SHTML,DHTML,JHTML,Javascript,CSS,XML,SOAP, J2EE/JSP等等 客户端浏览器使用内置的GZIP/deflate解压缩 平均的压缩率可达50%,Juniper DX,例：,HTTP 第7层的安全 WEB应用防火墙,Juniper DX提供多层次的安全,网络安全层次 对 DDOS, SYN Flood, Teardrop, Land, 等攻击线速防护 协议层安全 （不符合协议的行为模式） TCP / HTTP 协议检查, 拦截非法请求等 应用层安全 (请求合法但有恶意) 拦截缓冲区溢出, 拒

5、绝恶意请求, 避免MyDoom,CodeRed, Nimda等,议程,校园网的结构和遇到的问题 校园网边界解决方案 校园网安全解决方案 校园网核心解决方案,校园网现在遇到的问题,网内路由和出网设备的性能提升 提高对内部网络的路由设备的性能和抗攻击能力 提高出口设备的性能和支持各种业务的能力,校园网的结构（Juniper的方案）,核心校区,校区A,校区B,汇聚层,汇聚层,汇聚层,电信,Cernet,学校数据中心,图书馆,ERX,SSL VPN,防火墙,DX应用加速器,IC控制中心,校园网核心所面临的问题,协议结构：二层为主，三层路由为辅 生成树协议的非智能特性 生成树协议的不稳定性 生成树协议的

6、互通性（不同vendor的SPT之间互通问题） 核心设备： 路由器 vs. 三层交换机 观念： VLAN做为安全隔离手段？ 不同校区的同一部门需要在同一个VLAN？,交换式校园网网络拓朴图,汇聚层,接入层,核心层,路由域,VLAN 1,VLAN 1,VLAN 2,VLAN 2,交换域,路由式校园网网络拓朴图,高端路由器,汇聚层,接入层,核心层,路由域,交换域,交换域,交换域,交换域,交换域,三层交换机 vs. 路由器 安全,高端三层交换机,高端路由器,!,!,!,三层交换机 vs. 路由器 流量模型,路由器的GE端口缓存： 150M, 可缓存144ms数据 交换机的GE端口缓存: 6M, 可缓

7、存6ms数据,丢包！,Juniper 特色 高效ASICs 路由器,硅谷革新技术 可编程 ASICs 服务 任何平台任何端口的无折衷服务 在网络骨干和边缘实施丰富服务的可预测性能,ASICs,专为Internet扩展而设计 模块化的设计提供高可靠性 业界最优秀的路由协议实施 可基于MPLS流量工程等工具为新型区分业务提供基础,操作系统,协议,接口管理,机箱管理,SNMP,安全性,Juniper 特色 高效模块化操作系统,7.0,6.4,6.3,6.2,在所有的平台上使用相同的软件,Juniper 特色 高效模块化操作系统,易于使用的用户接口，包括命令完成 细化的用户等级控制 配置更改历史 离线

8、策略测试 命令行层次 语义检查 备选及运行配置 提交及回滚功能,Juniper 特色 高效模块化操作系统,更新,转发表,Internet,处理器,交换模块,转发表,JunosInternet 软件,I/O 卡,I/O 卡,Juniper 特色 高效路由和转发完全分离,保护最脆弱的环节：对路由引擎进行保护,Internal Bandwidth,转发引擎,WAN/ LAN Ports,路由引擎,RE,Memory,路由引擎保护 (filter on loopback),Juniper 特色 高效模块化硬件接口卡,Juniper 路由器结构-良好的投资保护,M20,M160,M40,M7i/M5/M

9、10/M10i,M40e,All Platform and interfaces support IPv6,T640,T320,全系列路由器都线速支持的IPv6,J6300/4300/2300,Managed Edge：E-Series BRAS,Small PoP / Campus /,Med PoP,Large PoP,Super PoP,Scale,JUNOSe,ERX 310,ERX 705,ERX 700/1400,ERX 1440,VPN/Firewall,Security Appliances,Security Systems,NetScreen Remote Security

10、NetScreen Remote VPN,Software Applications,NetScreen 5200 & 5400,NetScreen 500,NetScreen 204 & 208,NetScreen 25 & 50,NetScreen 5GT & NSC,NetScreen Security Manager,NetScreen ISG-2000,IPv6的全面支持全球80%的IPv6使用Juniper设备,Americas,EMEA,APAC,Osiris,IPv6在中国,迄今为止， 中国所有的IPv6网都 使用Juniper路由器做为骨干路由器,Juniper的IPv6特点,IPv6客户需求,Juniper网络可提供,可预测的性能 具有IPv4和IPv6功能的ASIC 可证实的IPv6技术,基于硬件的转发 广泛的路由协议支持 可扩展的路由架构,在所有平台和接口上具有相同的IPv6特征/功能/安全性 标准的JUNOS组成 在所有平台上支持 在MPLS上的IPv6,用于生产网