网络升级技术方案.docx

1、网络升级技术方案网络升级技术方案12.1.1、项目背景*大学校园网经过多年的建设和升级，已基本覆盖全校范围。目前网络为三层结构，核心层采用两台H3C的万兆交换机S10508，汇聚层采用了12台H3C的S5800和7503E以万兆上联至核心，接入层设备主要为H3C接入交换机和锐捷接入交换机。目前采用的是基于802.1x的认证计费方式。学生区由于采用的是锐捷网络的接入设备，所以使用的是锐捷网络的认证计费系统SAM，教工宿舍采用的是H3C的接入设备，使用的是H3C的认证计费系统IMC。校园网现有网络出口总带宽1.6G，分别为教育网（300M)、中国电信（400M)、中国联通（400M)、中国移动（5

2、00M)。网络出口设备为一台山石网科的S6000安全网关，由于已购置数年，随着近年学校出口带宽的不断增加，其处理性能已不能满足需求。在核心交换机和出口设备之间部署了一台神码的千兆流控设备。核心交换机和网络出口之间采用双千兆链路捆绑连接。传统三层或者多层架构校园网只是满足了基本的网络互联互通的需求，但缺乏相应的控制和管理手段，用户之间互相影响，类似ARP攻击、DHCP仿冒、IP仿冒等对网络的攻击现象经常发生，校园网络对于用户的审计和控制功能较弱也导致了网络的无序使用，业务承载方面缺乏针对性的控制，网络带宽被大量占用，重要应用得不到带宽保障，也难以实现灵活的基于身份、时间、位置等的用户控制。当前不

3、同规模和不同区域的学校在建设高校校园网时普遍遇到的问题是：1）如何适应和满足国家政策和法律法规对于校园网用户的行为要求；2）如何满足各类业务、各类应用和不同需求的用户的各种承载的拓展；3）如何降低校园网的管理难度和维护工作量。要解决这些问题必须要从网络架构和业务部署模式上面进行变革，而扁平化的架构正好切中了解决这些问题的关键。从下图可以看出扁平化网络架构将原有各层的功能在逻辑上面进行了重新界定和划分，使得各层设备各尽其能，也可以看出构建和发展扁平化网络架构是一个必然趋势。其网络拓扑结构如下图：12.1.2、改造目标本次网络改造，学校需实现以下目标：升级网络出口设备，需满足未来出口带宽扩到5G以

4、上的需求，并且实现网络出口的链路负载均衡和各种网络安全措施，入侵防御（IPS)、网站防护(WAF)、上网行为管理、流控、SSL VPN远程接入访问校内资源等。统一全校范围内的认证计费。采用支持多种认证方式（PPPoe、IPoe、portal）的BRAS设备，配合统一的认证计费管理软件，实现与学校一卡通系统的整合。实现校园网扁平化，构建扁平化的网络架构就是将原来各个层次模糊的功能区分清晰化，不同层次之间各司其职，有利于管理和维护，这种简单化的架构使得网络有更高的效率。校园网目前由教学网、学生宿舍网、教育网、一卡通专网、财务专网和科研专网等多个网络的混合体，校园网的高性能还要体现在多个网络多个业务

5、并发的同时保证性能不下降，实现在同一个物理平台上构建出多个逻辑上完全独立的网络平台，这些网络平台和主网络平台还要具有相同的功能。所以，从学校建设一卡通系统需提供一套逻辑隔离的专用校园网网络。为学校即将建设的“一卡通数字校园”数据中心服务器群提供万兆接入校园网。更换和升级原有的老旧接入交换机（100台24口、5台48口全千兆接入交换机）。12.1.3、需求分析A、网络出口改造需求分析目前*大学校园网络规模较大，包括核心、汇聚（各科院、学生公寓、校办、图书馆等等）、接入的三层网络架构；其中服务器区域部署了对外的门户网站系统、选课系统、正在进行新增的校园一卡通系统等以及对内的OA办公系统、多媒体教学

6、系统等多套系统平台；同时有多条运营商Internet出口链路在运行使用中。安全防护措施只在出口部署了基本的三层安全防护（防火墙）以及简单的流控策略。网络拓扑图如下：通过与客户沟通交流，以及对学校网络的分析讨论，确定湖南*大学网络目前存在以下问题：1、*大学网络目前没有全网的入侵防护机制，尤其缺失针对应用的攻击检测和防御。2、出口链路资源利用不均衡，利用率低，未针对学院应用进行优化：多条运营商出口链路，但未进行负载均衡以及针对不同运营商DNS智能解析和智能路由。3、不具备完善的流量管控功能，无法根据客户不同应用进行精细化的流量识别、管控；同时没有针对公安部82号令，对可能的上网行为风险进行把控，

7、存在危害性较大的政治风险（如校内非法的上网行为，涉黄、暴力、诽谤等等信息造成的社会影响）。4、目前*大学网站无任何的应用级安全防护措施（只有传统的防火墙简单防护），完全暴露在攻击环境中，存在着非常严重的安全风险（包括DDOS攻击，木马盗链，SQL注入，网页篡改等等）。5、*大学面向学生的选课系统存在一个域名，2个IP（即多台服务器）情况，目前采取的是轮询机制，但是该机制严重浪费服务器性能，并在高峰期可能造成系统瘫痪，延误学校正常的教学课程。同样的问题在*大学其他系统中依然存在。6、*大学服务器集群区（数据中心）目前没有单独的安全防护措施（仅出口传统防火墙简单防护），同时没有将对外系统和对内系统

8、隔离，存在严重的安全隐患。7、*大学目前提供对外的学校网站DNS服务，具体解决办法是分别部署3台DNS系统，通过双网卡一端连接内网，一端分别连接电信、移动、联通外网出口，电信用户访问学校网站则返回给对应网站域名的电信IP，移动、联通同样的处理模式。这种部署方式实质上将*大学整个数据中心直接暴露在外网环境中，时刻存在全数据中心被攻击的风险，同时3DNS系统的部署方式也浪费了服务器资源，降低了资源利用率。通过对客户系统现状的了解分析，以及与客户的沟通交流，确定本次安全建设需求如下：1、整网入侵防御系统：针对现在流行的以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击，需要在核心链路部

9、署入侵防御系统对整网的应用层入侵提供安全保障。2、WEB应用安全防护：此次web系统作为对外企业门户网站系统平台，需要考虑在Internet上的安全因素，如跨站脚本攻击、网页篡改、DDOS攻击、SQL注入攻击、溢出攻击等等。而WEB应用的安全防护，需要通过主动与被动结合，事前防御和事后弥补的多层次手段来达到防护目的。3、链路及系统优化：a链路负载：1、inbond：根据访问源所属运营商，通过DNS智能解析将访问反馈数据发送到对应运营商链路，提高用户体验。2、outbond：由于客户现网拥有多条出口链路，为了使客户带宽资源利用率提高，以及优化Internet访问，需要根据访问目的IP、域名DNS

10、解析地址等等对出口链路进行负载均衡。b服务器负载：由于*大学内外系统平台的访问频繁及高流量、高峰值的特性，所以需要对系统服务器群进行访问优化，根据每台服务器实时性能状态、资源耗用率，链路质量等等因素对业务系统进行负载均衡4、流量控制及上网审计需求：根据公安部第82号令，以及学校自身办公效率提升诉求，需要针对网络出口不同流量进行智能分析处理，保障关键应用流量，限制无关应用，同时规范师生上网行为，防止非法上网行为给学校造成不良的社会影响。5、DNS智能解析需求：根据不同运营商访问源及目的，智能选择流量路径。6、可对全网安全防护设备进行统一平台管理，解决网络异构管理难题。B、统一认证系统需求分析*大

11、学目前使用的是基于802.1x协议的H3C公司和锐捷公司的两套不同认证计费系统。随着网络规模的扩大，网络应用的增多，采用该协议的认证计费逐渐遇到很多问题，主要表现在：该协议设计之初，本是为了解决无线接入认证计费问题，为了将其引入以太网进行认证计费，不同接入交换机生产厂家对其进行了相应改造，从而导致不同厂商对该协议有不同的私有化，进而存在兼容问题，客户如果要想新购设备，就必须购买与认证系统同一品牌交换机，否则无法接入网络；第二，要在以太网上有效的使用该协议，就必须安装与设备厂商配套的802.1x客户端软件，而且该软件与操作系统的TCP/IP协议栈是强耦合关系，所以对应不同的操作系统（如Windo

12、ws、MAC OS、Linux等）的不同版本，就有不同的客户端版本，导致软件兼容性问题，这给网络运维人员带来无尽的维护工作量；第三，目前的802.1x系统，无法按照校内/校外以及免费/收费流量进行统计，所以无法实现按照不同流量的分离计费。此外，采用802.1X的认证计费方式无法实现统一端口下，多台终端同时上网问题（即家属区用户无法通过家用soho路由设备实现多台终端上网）。然而，这种应用需求越来越强烈。最后，家用网络电视、网络冰箱或者物联网终端，上网如何认证计费问题，也困扰着网络管理者。因此，需要对认证计费系统进行改造，建设统一的网络认证平台，实现准入和准出的控制及按流量的认证计费。准出控制系

13、统，采用网关型的准出控制系统，对校园用户进行准出控制。可以有效识别用户的收费/免费流量，同时通过与统一认证计费平台的协同工作，可以有效控制用户是否具有外网访问权限，进而控制用户访问外网的带宽。准入控制实现基于pppoe、ipoe及portal的准入控制。网络中不同区域灵活选择认证策略。统一认证计费平台的建设需要满足一下场景的需求：1、为保障未来五年内业务量的快速增长，核心网络需要具备T级别的交换容量；2、支持有线无线一体化接入。Portal与PPPOE方式均需支持；3、可实现对于学生访问学校内网不认证、不计费，只有在访问外网时才认证、计费；4、学生上网行为可监管，上网记录可溯源；5、教师在办公

14、区办公时上网进行认证不计费，在家属区上网时进行计费。另外要求，教师在办公区上线时，也要能够支持同一账户在家属区同时上线，并且进行计费的功能。6、对于学生和用户的账户有一个暂停计费的功能，比如学生采取包月的形式，如果1号交钱，学生5号放暑假，如果学生在自助网页上选择5号暂停服务，则系统计费的时间段应能够往下一个月自动后移；7、计费系统应有针对用户进行时间补偿的功能，应用场景：如果某一地块网络故障，则需要对该地块的上线用户赠送5天免费上网的补偿。8、对于导师带领学生做项目和教师带领学生勤工俭学的场景，需要支持主账号和附属账号的功能，比如一个导师的主免费账号下，下挂20个附属账号也属于免费账号，并且

15、上线时做单独的账户和密码认证。9、主账号和附属账户的模式也须支持学校科研项目申请的方式，并支持收费。比如：学校一名教师申请了一个科研课题，拿出一定经费申请一个项目科研主账号和多个子账号开展工作，此时对该团队的项目的上网计费仅需计费主账号，主账号一旦计费时间截止，则所有子账号也均不能再上网。10、支持对于各个学院的专线接入开会功能，如实验室采用专线接入，则应支持对专线用户开户，开户后对专线用户的整体接入带宽和不对下面的接入用户再进行认证和计费限制；11、对于打印机等哑终端的接入做MAC地址认证和IP绑定；12、全网IPv4/V6双栈部署，并充分考虑向全IPv6网络的过渡；13、考虑运营商用户接入

16、，校方和运营商之间在用户认证计费管理运维上能实现协同；C、网络扁平化需求分析使校园网的功能划分更清晰，核心层设备由于性能很强可以对新功能新业务能够提供良好的支持，汇聚层和接入层只需要考虑接入端口的扩充、上行带宽的增加，管理上面显得更加简单；校园网扁平化网络并不是意味着网络物理层次的减少，而是网络逻辑层次的扁平。构建扁平化的网络架构就是将原来各个层次模糊的功能区分清晰化，不同层次之间各司其职，有利于管理和维护，这种简单化的架构使得网络有更高的效率。由三层结构变为二层结构，在这种网络架构下面可以使用高性能多业务路由器作为整个网络的核心设备替代原有架构的高端三层交换机，使更多的组播、线速转发、用户论

17、证和审计等核心工作由功能和性能均强大的设备来完成，从而实现整个校园网的高性能。对原有校园网架构升级改造为扁平化的网络架构后对于系统管理员和普通用户而言，其应用效果表现在：1）一个简单的的网络架构：也就是将原有的多达三层或更多层的校园网结构简化为了二层结构，即业务控制层（核心网络层）和宽带接入层（接入层），在逻辑意义上面实现了网络结构的平滑过渡。2）一个多业务的系统：指网络平台支持用户接入、认证、审计、计费、带宽管理、行为控制，同时也支持MPLS VPN、IPv6、组播业务的应用和快速部署。3）一个统一身份认证的平台：实现了有线、无线用户的任意漫游，也实现了不同系统之间用户的统一认证，避免重复地

18、多次认证，提高用户了体验。4）一个透明的网络：校园网对用户仍然是透明的，用户无需关心网络流量如何转发，用户无论在哪里登录，都可以获得相同的访问权限和带宽保障。D、一卡通专网需求分析随着微电子技术、计算机技术、网络技术、通讯技术的飞速发展，“数字化校园”已经不单单是一个概念，各大高校已经陆陆续续地开始对校园网进行数字化建设。其中，校园“一卡通”系统以其便捷、高效、安全、环保等特点成为了数字化校园建设的重要组成部分。校园“一卡通”以智能卡为信息载体，融合了各领域诸多高新科技，使其具有电子身份识别和电子钱包的功能。能够替代校园内日常生活所需各种证件以及完成校园内的各种支付业务，如：饭卡、医疗卡、上网

19、卡等。最终达到教、学、考、评、住、用的全面数字化和网络化，真正实现了“一卡在手，走遍校园”。*大学的校园主干网部分是整个校园一卡通系统的核心，消费结算中心各种数据服务器和各种自助圈存设备通过校园主干网与各终端设备和银行网络的前置机进行通信。为了保证网络系统的安全性和便于管理，一般采用专网形式，独立于校园网。一卡通网络可以采用基于校园网的内部虚拟专用网(virtual private network)，即在校园网络基础设施上建成的专用数据通信网络。数据通过安全的加密隧道在校园网中传输，从而保证通信的保密性。vpn与一般网络互联的关键区别在于用户的数据通过校园网中建立逻辑隧道进

20、行传输，数据包经过加密后，按隧道协议进行封装、传送，并通过相应的认证技术来实现网络数据的专有性。校园网一卡通主干网(高速以太网)部分，要求所有的以太网设备在vlan部分和现有的校园网设备隔离，保证现有的校园网和一卡通部分是两个网络，设备不允许互相访问。同时为了共享已有的校园网资源，所以，一卡通与校园网采用防火墙进行单通道连接，保证一卡通网络能访问校园网数据，如：信息化校园建设必不可少的对统一身份认证服务器和门户网站的访问。但校园网不能随意访问一卡通专网，这样将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，使得一卡通网络上的设备能够安全、稳定的运行。一卡通网络结构可以分为三层。一卡通

21、网络的中心层，是以数据库服务器为中心的局域网的分布式结构。中心层设置中心交换机，与身份认证系统，卡务管理机，结算管理机，结算中心服务器一起构成一卡通网络与结算中心，它是一卡通系统的管理平台、身份认证平台和数据库中心。通过光缆与各结点相连与一卡通网络的中心组成第一层网络结构，设置二级交换机。第三层为以第一层局域网的网络工作站作为控制主机的控制各个ic卡收费终端的网络。连接到专网的串口设备子网，以及专网计算机校园网和银行金融网的接口，要同期设计建设。一卡通专网采用tcp/ip网络协议。整个一卡通专网所用交换机，建议采用端口mac地址绑定，使每个端口只能设置唯一的ip地址，连接特定的设备，从而保证了

22、整个网络的安全性。通过网络分段实现首先是网络分段。在实际应用过程中，通常采取物理分段(即在物理层和数据链路层)上分为若干网段与逻辑分段(即把网络分成若干ip子网)相结合的方法来实现对网络系统的安全性控制。其次，关于vlan的实现。虚拟网技术主要基于近年高速发展的局域网交换技术(atm和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。以太网从本质上基于广播机制，但应用了交换机和vlan技术后，实际上转变为点到点通讯。如上图，不同系统在网上划分为不同的虚拟网，如“一卡通”卡务中心和消费系统划分在不同的vlan段，通过以下相应的vlan划分方法来提高网络安全。1、基于端口的v

23、lan，就是将交换机中的若干个端口定义为一个vlan，同一个vlan中的计算机具有相同的网络地址，不同vlan之间进行通讯需要通过三层路由协议，并配合mac地址的端口过滤，就可以防止非法入侵和ip地址的盗用问题。2、基于mac地址的vlan，这种vlan一旦划分完成，无论节点在网络上怎样移 动，由于mac地址保持不变，因此不需要重新配置。但是如果新增加节点的话，需要对交换机进行复杂的配置，以确定该节点属于哪一个vlan。3、基于ip地址的vlan，新增加节点时，无须进行太多配置，交换机根据ip地址会自动将其划分到不同的vlan。这中vlan智能化最高，实现最复杂。一旦离开该vlan，

24、原ip地址将不可用，从而防止了非法用户通过修改ip地址来越权使用资源。E、数据中心网络需求分析数据中心交换机负责整个校园网数据中心平台上应用业务数据的高速交换。两台数据中心交换机分别与计算池、存储池、WEB应用服务器以及管理区连接，数据中心交换机与计算池、存储池、WEB应用服务器间均采用万兆接口捆绑互联。两台数据中心部署IRF2虚拟化技术，简化路由协议运行状态与运维管理，同时大大缩短设备及链路出现故障快速切换，避免网络震荡。IRF2互联链路采用2*10GE捆绑，保证高可靠及横向互访高带宽。12.1.4、方案设计A、网络出口方案设计通过与客户进行技术交流，需求收集及分析，此次湖南*大学网络的整体

25、安全改造解决方案包含系统出口入侵防御系统、WEB应用安全防护、链路和系统服务优化及DNS智能解析（负载均衡）、流量控制及上网行为审计等六大方面。通过多层次、多纬度的防护技术和客户系统的应用交付优化措施，为客户网络完成全方位无缝隙的安全防护，以及更优的用户体验。客户系统通过本方案的建设部署后，整体拓扑如下：通过我司的解决方案部署（如上图），将我司DPX8000深度业务交换网关产品替换掉原有的3层基础防火墙，通过在DPX8000扩展槽插卡多类业务板卡（如IPS、负载均衡、漏洞扫描、WAF等等），解决*大学网络L4-7层安全措施缺乏的问题，同时将*大学内外系统（数据中心）隔离，外网作为单独的DMZ区

26、与DPX8000相连，web服务器部署我司网页防篡改产品（Webshield）配合我司WAF业务板卡对*大学web业务进行主动、被动结合的安全防护，而在内部系统(数据中心)出口部署我司负载均衡，单独防护并对内网系统进行应用优化，并通过我司UMC统一管理平台进行管理，解决网络异构管理的难题，最终完成对*大学网络整体、多层次、基于不同应用安全需求的安全防护。建设思路针对目前的网络概况，将在本次网络中部署迪普科技深度业务交换网关DPX8000实现*大学网络多维度安全防护，通过多块业务板卡在DPX8000上的部署，实现出口入侵防御系统、WEB应用安全防护、链路和系统服务优化及DNS智能解析（负载均衡）

27、、流量控制及上网审计等全方位的安全和应用优化功能。随着VoIP、高清视频、Web2.0、云计算等新技术的广泛应用，网络数据传输容量出现了几何级增长，据吉尔德定律预示，未来25年，带宽每六个月将增加一倍。如此飞速增长的数据业务不仅将使网络架构变得非常复杂，也将面临网络安全、应用体验性、业务持续可用等巨大挑战。传统的解决方法是使用大容量交换设备之外部署防火墙、IPS、流量控制、应用交付等深度业务处理设备，这种网络层与业务层相分离的架构初期比较灵活，但却只能适用于小型网络，主要原因有：设备的不断叠加使得网络变得越来越复杂，并带来大量单点故障数据报文的多次重复解析和处理，造成网络性能的衰减和延迟的增加

28、多厂商、多设备间相互兼容困难，特别是随着网络规模和组网模式的不断革新，难以实现性能、功能、接口的按需扩展网络与安全技术兼容困难，如MPLS VPN、IPv6、虚拟化等各设备间物理和逻辑都是分割的，无法统一管理很显然，这种“葫芦串”的简单叠加模式看似合理，但已远远落后于用户业务需求的增长速度，不仅会耗费大量人力物力，造成资源的浪费，同时也会使得网络变得异常复杂，带来可靠性、性能、扩展能力、网络兼容性、管理等大量新问题。如何有效解决上述问题，在大容量线速无阻塞转发条件下，保证网络及业务的安全、快速、可用？随着网络标准化、虚拟化、智能化程度的不断提高，只有通过将交换、应用和业务进行深度整合，并借助虚

29、拟化技术实现网络层和业务层的无缝融合，才能达到简化网络架构、提高网络效率、在融合过程中保护用户既有资源的目的。DPtech 正是在此背景下推出了DPX8000系列深度业务交换网关，包括DPX8000-A3、DPX8000-A5、DPX8000-A12三款产品。DPX8000系列产品基于DPtech自主知识产权的ConPlat软件平台，集业务交换、网络安全、应用交付三大功能于一体。在提供IPv4/IPv6、MPLS VPN、不间断转发、环网保护等丰富网络特性基础上，还可以提供应用防火墙、IPS、UAG、异常流量清洗/检测、应用交付等深度业务的线速处理，是目前业界业务扩展能力最强、处理能力最高、接

30、口密度最高的深度业务交换网关，旨在满足运营商、数据中心、大型企业的高性能网络深度业务处理需要。入侵防御系统通过我司入侵防御系统IPS2000业务板块的部署，完成对*大学出口整网的入侵检测和防御（深度内容检测技术），迪普独有的“并行流过滤引擎”技术，在保证网络高安全的同时完成数据的线速处理，保障客户体验。随着网络的飞速发展，以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。传统的基于网络层的防护只能针对报文头进行检查和规则匹配，但目前大量应用层攻击都隐藏在正常报文中，甚至是跨越几个报文，因此仅仅分析单个报文头意义不大。IPS正是通过对报文进行深度检测，对应用层威胁进行实时

31、防御的安全产品。但目前大多数IPS都是从原有的IDS平台改制而来，性能低、误报和漏报率高、可靠性差，尤其是在新应用不断增多、特征库不断增长的情况下，性能压力持续增加，只能通过减少或关闭特征库来规避。这样的IPS不仅起不到安全防御的作用，甚至会成为网络中的故障点。如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延？很显然，传统的基于串行设计思想的硬件和软件架构，无论是X86、ASIC或是NP，都无法承受成千上万条且在不断更新中的漏洞库，更不用说再增加病毒库、应用协议库。迪普科技在IPS2000 N系列IPS中，创新性的采用了并发硬件处理架构，并采用独有的“并行流过滤引擎”技术，性能不受特

32、征库大小、策略数大小的影响，全部安全策略可以一次匹配完成，即使在特征库不断增加的情况下，也不会造成性能的下降和网络时延的增加。同时，迪普科技IPS还采用了管理平面和数据平面相分离技术，这种的分离式双通道设计，不仅消除了管理通道与数据通道间相互耦合的影响，极大提升了系统的健壮性，并且数据通道独特的大规模并发处理机制，极大的降低了报文处理的时延，大大提升了用户体验。以IPS2000-TS-N为例，IPS2000-TS-N是全球第一款可提供万兆端口的IPS产品，即使在同时开启其内置的漏洞库、病毒库、协议库后，性能依然可达万兆线速，目前已成功部署于多个大型数据中心、园区出口。漏洞库的全面性、专业性、及时性是决定IPS能否有效防御的另一关键。迪普科技拥有专业的漏洞研究团队，不断跟踪其它知名安全组织和厂商发布的安全公告，并持续分析、挖掘、验证各种新型威胁和漏洞。迪普科技IPS漏洞库以定期（每周）和紧急（当重大安全漏洞被发现）两种方式发布，并且能够自动分发到用户驻地的IPS中，从而使