高校网络出口解决方案.docx

1、高校网络出口解决方案高校网络出口解决方案1.高校网络出口现状分析 随着高校信息化建设的开展，教学、科研、办公、生活关于校园网平台的依托性愈来愈强。国内的高校通过量年持续不断的基础设施建设和应用提升，已经形成了较为稳固的校园网基础架构、相对丰硕的校园网应用平台。可是，在讲究信息共享、资源整合的今天，有一块区域长期以来一直困扰着各大高校这确实是校园网出口区域。实践中会发觉，众多高校都测试了多个厂商的设备，却未能取得专门好的问题解决，无法取得理想的成效。然而，几乎所有的高校信息化专家一致认为：“高校校园网不应该作为一个信息孤岛而存在。网络的价值更重要的是体现在信息的流通、资源的共享。”作为校园网络平

2、台的“门户”出口区域，承担着高校之间相互交流的窗口的重大作用。那么高校的校园网出口到底是怎样一个现状，都面临着哪些问题呢？为此，锐捷网络自2006年初对全国10个省进行了采样调查和分析。 高校出口大体状况调研 高校网络出口调研的对象为10个省市的本科类非985院校（天津、辽宁、四川、重庆、湖南、湖北、广东、安徽、福建、江苏）。下面从学校规模，出口链路及带宽方面来介绍调研功效。 第一、从学校网络规模、信息点来看； 60%的高校拥有1000-10000这样的信息点数规模。仅仅有13%的高校信息点数在1000点以下。而超过10000点大规模的学校比例为27%。信息点数的多少基本上可以反映接入PC的数

3、量（不是完全一一对应的关系），因此，我们通过结合网络规模和出口链路、出口设备状况可以来判断不同规模的学校所面临的共性和个性的问题。 一般来说：规模在1000点以下、出口带宽不是很低的情况下，出口区域的规划相对容易，对设备性能的要求相对较低，从而所采用的策略可以宽松一些。目前面临出口难题的主要为信息点数为1000-10000和10000以上的那些高校。第二、从出口的链路条数和带宽情形来看；一方面，网络规模较大的学校，出口带宽普遍较高；另一方面，根据学校所在区域有所差别，比如像在广州、武汉等全国网络的核心节点地区，高校的出口带宽普遍较高。同时，运营商在不同地区采取的收费标准也对高校出口带宽有着重要

4、的影响。 具体来说：在广州、武汉，普通本科拥有千兆电信和千兆教育网带宽的比例最高，甚至有千兆电信/千兆网通的接入；而在大连，普通本科学校的出口带宽普遍在CERNET-100M，网通-10到50M不等。另外，由于一些特定因素，90%以上高校都有2个校园网出口，而且依照本地情形，相当比例的学校拥有三个以上的出口（教育城域网、联通、移动等提供的第三条出口）。举例来讲：在四川的20所本科院校中，有5所学校具有三出口，比例为25%；湖北的17所本科院校中有四所学校具有三出口。 高校出口现有设备分析咱们的调研功效还包括了高校出口现有设备和所关注的功能。 第一、从现有出口设备组合方式来看； 出口设备主要包含

5、了三类：路由器类、防火墙类、流量控制类。另外，还有一类为代理服务器的方式，该方式目前在国内高校已不多见，但仍然有个别学校在使用（这里我们归为路由器类）。 从一组124所高校的统计数据来看，单独采用防火墙的模式和采用防火墙+路由器的混合模式占到了73%。（具体数据请看下图124所本科院校出口设备组成比例图） 第二、从出口设备所启用和所关注的功能来看； 功能上，NAT（地址转换）转发，路由处理是最基本的。针对多出口，策略路由也是必备功能。 性能上，NAT（地址转换）和策略路由是绝大都数高校现有出口设备的瓶颈所在。其次是安全防护能力，包含出口日志的记录能力，从我们的调查来看，几乎没有哪一个学校未遇到

6、公安机关找上门的情况，甚至个别学校有因为日志问题而被公安机关拘留的记录，某个城域网因为日志问题面临被公安机关关闭的困境。 以所使用的具体设备为例：路由器功能丰富，但是安全性能差。防火墙对安全的处理是大家所认可的，转发性能不高，尤其对于NAT、PBR的转发性能较低，容易成为网络瓶颈。而代理服务器的配置管理较复杂，对网管人员的要求高；并且其可靠性较低，需要经常重启；最重要的问题在于大规模网络下代理服务器的性能问题。所以，我们看到了在某校规模较小的办公网络需要采用八台代理服务器来保证其功能和性能的平衡。2.当前校园网出口面临的挑战 第一、NAT性能问题；出口设备要支持NAT（地址转换）是共识的。一方

7、面，校内利用私有地址的情形，访问Internet需要进行NAT；另一方面，即便校内利用真实的教育网IP，那么通过电信或网通的线路访问外部资源，仍然需要进行NAT（地址转换），因为电信所分派的地址更有限。NAT（地址转换）等于给出口设备增加了一项很重要的任务，可是，从实际情形来看，NAT却成了上网速度慢的一个重要缘故。 第二、策略路由支持问题； 首先，当前校园网是基于多出口的架构。1）为了提高访问速度需要多出口互联。CERNET与电信、网通等运营商的互联仅在上海、北京、广州三地有交互中心，且互联带宽还不够高，这就给教育用户访问公网资源和运营商用户访问教育网资源带来了问题。2）为了解决费用问题。电

8、信、网通等ISP的包月交费制提供了高校解决国际流量费用的好思路。3）解决线路备份问题，避免单出口单点故障的存在。 其次，从上面多出口架构的原因分析可以看出，出口有必要对不同用户规定相应的路径，根据不同的访问流量制定相应的路径也就是基于策略的路由。从实际中各个学校的使用情况来看，一些早期的设备不支持策略路由，或者部分新采购的设备启用策略路由时，造成设备性能的下降，从而影响整个出口的性能和稳定性。 第三、安全防护能力问题；出口的安全防护一直是大家重点关注的对象，当前出口面临的网络威胁主要表现2个特点：首先，快速增长的网络带宽为网络威胁提供了更多的空间。以前只有2M的出口带宽，而此刻已经千兆入户、百

9、兆到桌面，而骨干网的带宽也已经普及万兆。网络越发达，网络要挟显现的次数越多，网络要挟造成的损失也就越大。第二，愈来愈丰硕的应用，使得网络平安的应付面也愈来愈广。比如：EDonkey等P2P下载软件和各类IM的谈天软件。这些协议都是要TCP/UDP层上，乃至需要完成应用层的效劳。网络要挟的种类也愈来愈多，不仅有非法入侵、网络渗透。还有网络欺骗、DOS/DDOS解决、各类歹意软件、垃圾邮件等。 第四、日志记录问题；互联网安全保护技术措施规定在2005年11月23日公安部部长办公会议通过，并自2006年3月1日起已经实施。（该规定简称“82号令”）规定对用户信息、用户上网记录、地址转换记录、设备状态

10、记录等都有要求。 图2公安部82号令（部分摘抄） 第五、流量操纵问题；校园网的规模在扩大，网络基础设施在提升，出口带宽在增加，各类网络应用也加倍丰硕。可是，某些用户或应用（如BT等P2P应用）却在过量的占用着网络资源。总的来讲，出口带宽的增加速度与访问流量的提升速度已是一种矛盾。因此，有必要对用户或某些特定应用进行流量的操纵。 第六、高可用性的问题；以太网发明人Bob Metcalf曾说过“网络的价值和其节点数的平方成正比。”当然该价值体现的前提就是网络的正常稳定运行。当下，对服务质量要求越来越高，用户对校园网这一平台的依赖性和期望值都越来越高，各高校对网络的可用性，尤其出口的可用性的关注也是

11、前所未有的。通俗的来说，校内某一区域不正常只影响到该区域，而校园网出口的不可用将导致整个学校与外界的隔断，校内与校外的任何互访、信息互通都无法实现。再审视绝大多数校园网出口区域，单设备、单链路的现象还占据主要位置。对于设备的冗余、链路的备份，以及在出现任何设备或者链路故障下的自动切换，也仅仅是少数学校达到这样的水平。那么，如何打造出口的高可用性？如何实现出口的自动调整对用户的透明性？即，用户无需理解复杂的出口技术，只需要体验最快的网速。这些问题都摆在了网络管理者的面前。3.锐捷高教校园网出口解决方案 正是基于对高校的深刻明白得，基于实事求是的调研数据，锐捷网络2007年推出了为高校度身定制的校

12、园网出口解决方案。 性能是出口制胜的宝贝 高度增强的NAT、PBR性能 第一，通过三组数据来讲明实际的性能成效。 1）在启用NAT、ACL、PBR（策略路由）的情况下，在通常情况报文流情况下（平均报文长度为500byte左右的混合报文），双向可以达到8Gbps的线速转发。简单理解，在学校1条千兆CERNET，1条千兆电信的双出口架构下，完全可以双向线速转发。 2）并发达到200万条的NAT会话数。如果按照每个网络节点300条NAT会话，则可以支持将近7000台的网络节点同时在线，解决了网络规模大与上网速度慢的矛盾。 3）每秒高达30万条的NAT新建连接会话。在出口中平均长度512Byte报文1

13、Gbps的NAT线速转发下，每秒达到新建7万条NAT会话。可以同时1100个用户美妙新建100个链接，从而解决用户数多的情况下，网页打开不断线。图3信产部关于NPE网络出口引擎性能的测试报告 从底层架构提升防火墙的性能 为了能够解决校园网出口平安所面临的各类问题，咱们针对校园网出口平安进行了研究，对不同厂商的各类产品进行深切分析，对各类实现方案进行详细比较。固然，其中如何能够提供高性能的、丰硕的网络平安功能是出口平安的核心所在。NP和单一CPU的方案能够提供丰硕的平安效劳，可是性能不知足要求。而ASIC的方案能够提供高性能，但平安功能不够丰硕。 综合考虑，锐捷RG-WALL2000产品核心技术

14、采纳可编程专用平安芯片和成熟商用芯片相结合的方案。如此RG-WALL2000即有ASIC产品的高效能，兼有软件产品的灵活性，同时也部份吸收了NP的微引擎设计思想。由于采纳了ASIC的专用技术，在芯片设计的时候，就考虑到各类报文的转发效率。如此的设计确实是校园网出口的全包长线速转发性能。实测数据显示，任意大小的数据包都在5-13ms内数据转发，完全达到业界最优水平。 平安防护牢牢把握 在校园网出口，咱们将平安防护要紧交给RG-WALL2000。在锐捷RG-WALL2000产品中，锐捷开发了核心的平安芯片：Sentinel。Sentinel是一个高集成度的平安芯片，要紧模块是四层智能防御系统和IP

15、SecVPN微引擎阵列。详细地说，RG-WALL 2000能在硬件内为源自Layer 2 至Layer 7的头信息作查验和执行模式匹配，且一次能匹配128个字节，垂度为16个字节。即，RG-WALL 2000一方面能快速地查验多至144个字节（128 + 16 = 144）的头信息，另一方面也能匹配具体的消息头（从1到128字节长度的可编程序签名/模式字串），并能在结果上执行逻辑运算。CME也能把同一流的数据包拼合，从而阻止把签名散布到多个小包的应用层解决。在互联网环境，基于芯片内的CME分担通用CPU的工作来预防一些已知的解决。 RG-WALL 2000除防御常见的解决手腕，如：SYN FL

16、OODING、UDP flood、Ping flood、UDP Scan、TCP Scan(TCP SYN Scan、TCP FIN Scan、TCP Xmas Scan)、Ping Sweep Jolt2 Attack、Land-based Attack、Teardrop Attack、Ping of Death Attack、Smurf Attack、ARP Attack(APR Spoof、ARP Flood) 之外，还能侦查动态端口的解决。 图4 RG-WALL 2000先进的体系架构固然，鉴于NPE出口引擎的新一代流转发机制，其具有内嵌防火墙这项技术，也能承担起平安防护的任务。NPE

17、的平安防护要紧体此刻：报文过滤（它依照平安策略对数据流进行检查，让合法的流量通过，将非法的流量阻止，从而达到访问操纵的目的。）、状态检测（对基于六元组来识别网络流量，并针对每条网络流量成立从二层至七层的状态信息。并基于这些状态信息进行各类丰硕的平安操纵和更深粒度的报文过滤。）、解决防御（包括：IP畸形包解决、IP冒充、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、ping flood、UDP Flood等.）、内容过滤：（针对URL地址进行灵活地分类，并应用到各类策略上，实现基于用户策略的URL访问过滤。）流量识别，智能流量操纵 网络治

18、理者要把好网络的脉搏，清楚网络的状况，就有必要在出口区域：1）对应用进行识别，能够看到具体的IM（即时通信）、P2P（BT、Edonkey等）、FTP等应用；2）掌控基于应用的和基于用户的流量，如此就能够合理的分派资源、有打算的计划网络的进展。RG-WALL能够识别IM、P2P的应用，同时基于其仅5ms延迟的能力，先天具有对流量进行治理的基础条件。在队列治理方面，RG-WALL2000充分借鉴了高端路由互换设备的队列治理结构，在物理接口上执行流操纵治理。在分类上， RG-WALL 2000能够依照源MAC, TOS, 数据包长, IP协议, 源和目的IP地址, TCP标志(ACK, RST,

19、SYN, FIN), TCP源和目的端口, VLAN标志, VLAN用户优先级等信息对数据流进行分类.NPE所具有的独特流量操纵手腕有：带宽限制：能够提供从基于接口的粗粒度，到基于策略的每用户的细粒度的带宽限制； 并发会话数限制：基于策略的或每用户的并发会话数限制； 新建会话速度限制：基于策略的或每用户的新建会话速度限制；日记记录，疏而不漏日记关于网络平安的分析和平安设备的治理超级重要。NPE针对各类网络解决和平安要挟进行日记记录，采纳统一的格式，支持本地查看的同时，还能够通过统一的输出接口将日记发送到日记效劳器，为用户事后分析、审计提供重要信息. NPE日记包括： 设备日记：设备的状态，系统

20、事件日记 上网记录日记：基于五元组的上网记录日记 五元组为源/目的IP、源/目的端口、协议号 NAT日记：即进行NAT地址转换前后的地址、端口的对应关系 解决日记：设备网络受到解决的日记信息 图5 出口设备符合规定的日记记录RG-WALL2000支持设备日记和平安事件的审计日记，以供平安事件后的追查。通过在出口设备上的符合标准的日记实现，能够保证在显现平安问题后的反查。同时在公安机关要求协助调查时候，起到专门好的作用。进一步地，结合学校的身份认证平台，比如锐捷RG-SAM，能够一步定位到平安事件的当事人在什么时刻在某栋楼的哪个互换机的哪个端口下接入网络的。 冗余备份，实现高可用性整个出口的设计

21、将打造高可用性作为一个重要的目标。从架构上看，出口采纳了双设备、多链路的互联。一方面能够实现分流，即办公区域的流量通过特定途径，宿舍区域的流量通过另外独立的途径；另一方面，当显现问题的时候，互为备份的设备或冗余链路之间能够实现自动的切换。从学校实际的测试结果来看，也能专门快进行切换，完全知足学校的需要。达到的成效是：关于校园网用户来讲不用明白得出口的设计和自动切换，他所感受到的确实是最快的网速。关于网络治理者而言，出口能够在最短的时刻内进行切换，实现可用性，而不需要24小时进行值班，显现问题也无需立刻进行解决。 RG-WALL2000提供丰富的HA功能。RG-WALL是国内为数较少的硬件实现H

22、A的防火墙，但是它带来的是最大化降低网络的设备风险。其工作模式包括Active-Standby和Active-Active。 在AS模式下，主机和备机之间可以同步规则、对象、路由和Session等信息。当主机出现问题后，各种网络服务都可以平滑的切换到备机上，保证用户不断网。在AA模式下，两台设备可以同时工作，信息也是即使同步的，包括Session。同时采用一个优化算法，将流量平均的放在两个设备上进行处理。当一个设备出现问题后，另一个设备就可以自动切换，提供网络服务。而当问题设备被修复后，工作的设备也会将Session等信息同步回问题设备。同步完成后，双机就可以正常工作。4.终止语 高校的信息化、校园网的进展推动了整个教育的进展。而随着信息化程度的加深、进程的加速，校园网那个平台中所存在的矛盾也正日趋暴露出来，校园网络出口的现状与其所起的窗口作用，与用户的高期望值确实是当前摆在咱们眼前的矛盾之一。 锐捷网络在进行了充分调研和论证的基础上，提出的高校网络出口解决方案就是在这样的环境下诞生和成熟起来的。网络的建设要有统一的规划，出口的建设同样如此。在分析出口面临的问题的同时，有必要进行整体的规划和分步骤分阶段的实施、实施效果的分析。 在此，锐捷网络真心的希望能够与各位专家“携手共建校园网出口，共同提升网络价值”。