《共享开放多校区互联解决20090316》由会员分享,可在线阅读,更多相关《共享开放多校区互联解决20090316(58页珍藏版)》请在金锄头文库上搜索。
1、共享开放的多校区互联解决方案共享开放的多校区互联解决方案普教VT:张杰更新日期:2009-3-162修订记录修订日期修订版本修订描述作者2009-2-19v0.9初稿张杰2009-3-11v1.0增加业务结构及特点分析、增加网管软件、删除存储张杰提纲多校区发展对业务的影响及挑战共享开放多校区解决方案典型应用案例学校的多校区发展趋势l 随着基础教育从单一模式到多元 化、优质化的发展,越来越多的 中小学开始了合并,通过合并重 组,使教育资源达到最优化,让 学生享受到均等的受教育机会!l 部分中小学由于地理位置及教学 资源的原因,学生越来越多,原 校区的教室、宿舍等设施已无法 满足需要,很多学校都开
2、始建立 一个或多个分校区。4学校的多校区发展趋势l 如何在教育规模快速增长、多校区中学迅速增加的趋势下实行有序的管理,成为当前多校区信息化建设的关键。5融 合学籍管理财务管理课程录播系统数字图书馆资产管理人事管理Web网站网上备课远程教育OA办公VOD家校通校 园 网 业 务 支 撑 平 台基础硬件平台综合布线基础网络广播系统监控系统软件资源平台教学软件系统数据库系统教学管理系统 WEB发布系统智能管理平台身份管理设备 管理行为管理业务 管理资产管理平安校园学籍管理人员管理多 校 区 校 园 网 业 务 系 统OA办公多媒体教学电子巡考一卡通远程教育数字广播数字图书馆教学资源库VOD沟通交流类
3、教务教学类教学管理类家校通博客论坛视频会议门户网站多校区校园网解决方案互联线路带宽 (裸光纤、MSTP)网络稳定可靠性 (技术、架构、设备)网络性能 (设备性能、带宽)网络设备管理 (拓扑、流量、故障)用户行为管理 (P2P、BT、日志)网络安全管理 (认证、ARP、补丁)业务特点l 沟通交流类业务特点-使用的人数多(学生、老师、家长) -使用时间长(很多业务需要24小时在线) -视频等大流量文件的传输(视频会议)l 教务教学类业务特点 -业务复杂多样(谁有权限使用何种业务) -数据流量大、实时性强(数字广播、电子巡考、远程教育、VOD点播) -共享数据信息(多人协同式业务)l 教学管理类业务
4、特点-保密性强(涉及校方财务、人员、资产管理) -安全要求高(病毒、补丁、准入控制) -数据流大(平安校园)7多校区互联始终关注的几个问题如何对多校区设备 进行监管及故障管理?如何对出口的流量 和日志进行有效监控?如何确保全校 资源高速稳定的共享?如何进行互联线路选择?如何实现全校 用户的统一有效管理?互联线路的挑战9l 建设/租用成本多校区的互联本身就是为了融合资源、节约成本, 如果投入过大,甚至每年都得投入大量的资金租用线路 ,无疑对学校造成了很大的负担 l 带宽校区之间的VOD、课件等资源共享对带宽的要求极 高,需要提供一个高带宽的互联方式 l 可维护性自建线路的管理维护成本大大优于租用
5、线路,不需 要受限于运营商 l 安全性人事、财务、教学资源等重要数据的传输对安全性 提出了很高的要求 l 带宽保证对于视频点播、异地授课等实时业务来说,时延和 抖动会对业务造成极大的影响,带宽质量必须得到保证如何进行互联线路选择?资源共享的挑战l 网络资源校园网建设标准、管理模式不尽相同,多网管理成本高,给老师的管理维护带来困扰l 办公资源各校区OA办公、网上备课、图书管理等软件系统独立使用,给学校老师日常办公造成很大的不便l 教学资源教学课件、家校通、VOD点播、WEB、MAIL、FTP等应用的重复建设、导致软硬件设备投资的利用率低10如何确保全校 资源高速稳定的共享?统一管理的挑战l 统一
6、准入管理如何保证全校师生通过身份认证方可接入网络,把安全隐患降到最低 l 统一系统管理如何统一对教学PC系统及时升级、杀毒软件病毒库即时更新 l 统一安全管理如何把来自INTERNET的各种攻击屏蔽在外,保证教学资源的安全 l 统一ARP防护如何统一对ARP欺骗的泛滥进行控制,让师生正常访问网络11如何实现全校 用户的统一有效管理?网络出口的挑战l 统一出口如何解决多出口给网络管理上带来了诸 多的不便:需要各校区记录多个日志、制定 不同安全策略、租用多条运营线路。如何解决传统路由器NAT转发慢的问题l 出口流量如何解决P2P的泛滥、保障关键应用、 合理利用带宽l 出口日志如何在爆发安全事故后更
7、好的进行故障 定位和责任追踪,满足公安部82号令的要求12如何对出口的流量 和日志进行有效监控?设备管理的挑战13l 拓扑管理如何对全校多个校区整网设备的拓扑做到心中有数l 流量监控如何对网络中的流量进行有效监管,在问题爆发之前很好的解决l 故障判断如何迅速定位故障,保障网络的稳定运行如何对多校区设备 进行监管及故障管理?提纲多校区发展带来的问题及挑战共享开放多校区解决方案典型应用案例多校区互联拓扑图GE10GE汇聚交换 S8606汇聚交换 S8606接入交换S2628G接入交换S2628G校 区 二校 区 三主 校 区cernet防火墙应用控制引擎出口引擎 NPE 50internet全局安
8、全 系统GSN网管软件核心交换 S861010/100M磁盘阵列互联线路 的选择多校区网络互联的形式16裸光纤裸光纤优点:可提供高带宽独立线路 缺点:距离越长成本越高,受距离限制 应用:通过路由器/交换机以太网口互联SDHSDH优点:严格的时分复用,不会发生网络拥塞 缺点:只支持2M/34M/155M,线路租用昂贵 应用:通过路由器广域网线卡互联MSTPMSTP优点:线路带宽可灵活调整,可用以太网接口 缺点:运营商端链路不可控、线路租用较贵 应用:通过路由器/交换机以太口互联多校区网络互联的形式17优点:部署成本低,不需要布线 缺点:低带宽,易受外部环境影响 应用:通过无线AP+定向天线互联M
9、PLSMPLSVPN VPN优点:采用标签技术、租用成本较低 缺点:运营商TE技术部署较少、QOS无法保证 应用:通过路由器或三层交换机连接运营商端IPSECIPSECVPN VPN优点:数据加密传输、链路成本低 缺点:在Internet创建隧道、带宽无法保证 应用:通过路由器/防火墙创建安全通道无线无线各种组网方式的对比组网方式运营方式可维护性成本带宽安全性带宽质量保证裸光纤自建/租用高视距离而定高高高SDH租用运营商低高低高高MSTP租用运营商低较高灵活分配较高较高无线自建高低低低低MPLS VPN租用运营商低较低中较高低IPSEC VPN自建高低低高无 裸光纤拥有较低的建网成本、高可维护
10、性、高带宽、高安 全性和高QOS保证,成为建设中小学多校区网络的线路首 选 当然,各种建网方式也视情况而定,在校区距离较远等情 况下可以考虑MSTP或MPLS VPN线路多校区互联拓扑图GE10GE汇聚交换 S8606汇聚交换 S8606接入交换S2628G接入交换S2628G校 区 二校 区 三主 校 区cernet防火墙应用控制引擎出口引擎 NPE 50internet全局安全 系统GSN网管软件核心交换 S861010/100M磁盘阵列资源共享 的选择高速稳定的资源共享平台l 采用双核心设计、不存在单点故 障,保证多校区统一后办公及教 学资源等业务不会中断l 可以针对多校区统一进行网络资
11、 源应用统计、故障排除、优化网 络、安全监测,提高网络的稳定 性。l 核心设备采用CSS体系保证核心 设备的稳定、高速,保证业务持 续不中断。20w w w. rui jie. co m. cn21稳定性设计-单机环境下无故障设计双引擎热备份冗余双路电源 负载均衡供电6风扇冗余设计 对机箱的左、右、中三 部分进行散热 同时上下两两互为备份0故障无源背板设计22安全监控安全防护扩展安全防 护模块CSS 安全体系MPLS VPLS Martini 路由认证 PvlanNFPP IPFIX Syslog ND snooping DHCP snoopingNFPP SPOH CPP URPF 防Dos
12、攻击 防扫描 LPM+HDR防火墙模块MPLS VPN模块VPLS模块网络分析模块安全信息SSH SNMPv3 AAA 管理源IP限制 Tacacs+ Radius安全管理基于设备级别的CSS安全体系锁定攻击者封锁非法目标安全防护CPP(控制平面保护,CPU Protect Policy)接口硬件保护 CPU CPU内存 自动的硬件CPU保护,在任何攻击环境中CPU利用率30%CSS安全体系:交换自防御系统-自动CPU防护w w w. rui jie. co m. cn24攻击 检测 警告 安全检测自动下发策略 隔离攻击 l NFPP,基础网络保护策略基于网络威胁的安全处理模式自动发现并解决安
13、全攻击CSS安全体系:交换自防御系统-智能安全策略下放w w w. rui jie. co m. cn25ExportCollectorAnalyserFlowIPFIX网络流信息测量的标准协议:IPFIX(RFC 3917)统一IP数据流统计、输出标准特点:模板格式输出,不同需求定义不同数据格式作用:可以针对城域网/园区网进行网络应用统计、故障排除、优化网络、安全监测,为网络规划提供依据。CSS安全体系:智能流量分析检测CSS安全体系:智能流量分析检测RG-S8600 IPFIX处理流程流量分析系统报表通过万兆高性能的NP板实现对网络业务 的分析功能支持最新的IPFIX国际标准支持同时向主备
14、服务器都发送统计信息通过流量分析报表,可进行协助用户进 行网络应用统计、故障排除、优化网络 、安全监测,为网络规划提供依据。多校区互联拓扑图GE10GE汇聚交换 S8606汇聚交换 S8606接入交换S2628G接入交换S2628G校 区 二校 区 三主 校 区cernet防火墙应用控制引擎出口引擎 NPE 50internet全局安全 系统GSN网管软件核心交换 S861010/100M磁盘阵列统一管理 的选择对客户安全的统一管理网络通信防护体系 实时监控网络数据流,侦 测并隔离危险网络行为端点安全防护体系 确保入网用户端点安全性, 掐灭内网安全隐患用户身份管理体系 将非法用户隔离在内 网大
15、门之外29GSN用户身份管理体系 灵活的用户访问权限管理 不同部门和组织的用户往往需要约束不同的访问控制权限 财务部门的数据服务器不允许其它部门访问 访客用户不能访问所有内网资源,但允许访问外网及内网的DNS GSN提供了灵活的访问权限控制功能,充分满足用户权限控制的多样化 需求GSN端点安全防护体系用户主机信息收集软件安装情况检测与修复后台服务情况检测与修复系统运行进程检测与修复注册表关键键值检测与修复Windows补丁检测与修复外连接口启用情况检测与修复防病毒软件检测与修复GSN与杀毒软件的联动-您必须安 装杀毒软 件并启用 ,否则禁 止入网101010如果客户端未安装或正确启用杀毒软件,
16、则会收到 SMP的警告,并被限制上网101010在正确安装并启用杀毒软件之后,经SMP的检测通过 ,则可以在杀毒软件的保护下正常上网了GSN网络通信防护体系安全事件的检测与处理 用户主机安全并不是最后一道防线,只有保证网络通信数据的合 法有效,才能真正实现内网安全 GSN通过IDS系统对网络数据流进行实时检测,确保内网数据流 的干净可靠,从根本上断绝网络攻击对内网的危害RG-SMPRG-IDS攻击者发起攻击检测并通报安全事件定位到攻击者 并进行处理RG-SEP收集并整理安全事件自动、联动自动、联动ARP欺骗防御 GSN的三重防御体系33用户ARP信息网关ARP信息可靠的ARP信任关系安全管理平台服务器SU网关ARP Check34分布式部署方案分布式部署方案35GSNGSN工作流程工作流程 - -分布式部署分布式部署RG-IPCRG-IPC总部分支机构分支机构分支机构分支机构RG-SMPRG-SMPRG-SMPRG-SMP2 21 1
