《锐捷教育城域网方案2011版》由会员分享,可在线阅读,更多相关《锐捷教育城域网方案2011版(68页珍藏版)》请在金锄头文库上搜索。
1、锐捷网络普教教育城域网解决方案,魏明胜 2006年8月17日,1、中国基教信息化背景及现状 2、教育城域网建设问题与挑战 3、锐捷网络教育城域网解决方案 4、Q&A,提纲,中国基教信息化背景及现状,教育信息化发展浪潮,教育城域网服务对象,1,2,3,教育城域网常见应用分析,建设重点:计算机学科教学,是让学生学习和掌握信息技术的基础知识和基本技能; 标志性口号:程序设计是第二文化!,教育信息化的发展浪潮,2001-2010年,第一次浪潮,七十年代末、八十年代初,建设重点:计算机辅助教学与计算机辅助管理,主要是开发教学软件、课件和教育教学管理软件,把计算机作为一种工具,将计算机与教育教学相结合;
2、标志性口号:计算机与基础教育相结合是国际教育改革的发展趋势!,教育信息化的发展浪潮,第一次浪潮,七十年代末、八十年代初,八十年代中后期,第二次浪潮,建设重点:网络教育 标志性口号:建网、建库、建队伍!,教育信息化的发展浪潮,中国基教信息化背景及现状,教育信息化发展浪潮,教育城域网服务对象,1,2,3,教育城域网常见应用分析,教育城域网的服务对象,为教育管理人员服务,为教学人员服务,为学生服务,为家长服务,使他们能够充分利用网络化办公环境,快速便捷地处理大量的教育信息,提高工作效率和管理水平,减轻工作强度,为教育管理人员服务,为教育管理人员服务,为教学人员服务,为学生服务,为家长服务,为教学人员
3、服务,提供一个网络备课授课、资源共建共享的平台,在更大范围内共享思想与资源,从而提高教学质量与教学水平,教育城域网的服务对象,为教育管理人员服务,为教学人员服务,为学生服务,为家长服务,为家长服务,架设起学校和家庭之间的沟通桥梁,学校、教师、家长一道共同参与,通过网络促进学校教育和家庭教育的结合,教育城域网的服务对象,为教育管理人员服务,为教学人员服务,为学生服务,为家长服务,为学生服务,以全新的学习模式与学习手段来学习,或进行基于网络的自主式、协作式、研究探索式的学习,从而全面提高其自身素质与能力,教育城域网的服务对象,中国基教信息化背景及现状,教育信息化发展浪潮,教育城域网服务对象,1,2
4、,3,教育城域网常见应用分析,教育城域网常用应用,资 源 类,管 理 类,教 学 类,交 流 类,视 频 类,教育城域网常用应用,城域网常见应用 资源类:教学资源库、数字图书馆、学科网站等,教育城域网常用应用,城域网常见应用 管理类:OA系统、MIS(学籍管理、教师管理)等,教育城域网常用应用,城域网常见应用 教学类:网上备课、在线学习、网上录取、在线考试等,教育城域网常用应用,城域网常见应用 交流类:门户网站、BBS、Email、教育Blog等,教育城域网常用应用,城域网常见应用 视频类:远程教育,视频会议,网上课堂,视频点播/直播等,应用对网络的要求,1、中国基教信息化背景及现状 2、教育
5、城域网建设问题与挑战 3、锐捷网络教育城域网解决方案 4、Q&A,提纲,城域网建设过程中遇到的问题,应用建设与使用问题 不知道什么应用该上,什么应用不该上; 哪些应用是迫切应用,哪些应用可以暂缓; 对于新建网络用户,往往盲目上全部应用系统,极大浪费投资,城域网建设过程中遇到的问题,网络建设问题 城域网整体规划 城域网骨干技术选择 城域网核心设备选择,城域网建设过程中遇到的问题,网络安全问题 恶意应用消耗网络带宽 网络病毒泛滥,影响城域网运转 黑客恶意攻击/非法入侵 内部用户非法网络行为 资源中心服务器遭受恶意攻击/入侵,城域网建设过程中遇到的问题,网络管理问题 城域网中心网络维护管理工作量巨大
6、 远程故障无法准确定位,无法及时处理 缺乏全面的网络管理系统(网络设备、服务器、应用系统) IP地址管理困难(IP冲突、盗用),1、中国基教信息化背景及现状 2、教育城域网建设问题与挑战 3、锐捷网络教育城域网解决方案 4、Q&A,提纲,锐捷教育城域网解决方案,城域网规划与设计思想 网络安全设计 网络管理设计,1,2,3,教育城域网组成部分,骨干网,接入网,资源中心网络,出口互联平台,城域网骨干网主流技术对比,光以太网 SDH(同步数字体系 ) MSTP(多业务传输平台) RPR(弹性分组环 ) WDM(光波分复用技术 ) ATM(异步传输模式) MPLS VPN,城域网骨干网主流技术对比,建
7、议在构建城域网时,首选租用裸光纤方式(以太网),其次是选用MSTP、MPLS VPN作为城域网骨干线路。,锐捷教育城域网“区块化”设计思想,资源中心 网络区块,网络安全 管理区块,网络互联 出口区块,网络汇聚 区块A,网络汇聚 区块Z,网络汇聚 区块B,城域网 核心区块,防火墙HA,INTERNET,CERNET,RG-Wall1500,RSR-04E,出口互联区块,StarView网管,方案一: “高性能区块化” 教育城域网拓扑图,区/县 汇聚接点,区/县 汇聚接点,GSN全局安全管理平台,网络安全管理区块,RG-S6800E,RG-S8600/9600,学校1,学校2,学校3,学校4,学校
8、n,学校 n+1,城域网 高速核心区块,中心局域网,资源服务器群,RG-S6800E,RG-S5750,资源中心区块,汇聚区块A,汇聚区块B、C,汇聚区块D,学校 n+2,学校 n+3,RG-S6800E,RG-S8600/9600,RG-S8600/9600,防火墙HA,INTERNET,CERNET,RG-Wall1500,RSR-04E,出口互联区块,StarView网管,方案二: 全网安全“高性能区块化” 教育城域网拓扑图,区/县 汇聚接点,区/县 汇聚接点,GSN全局安全管理平台,网络安全管理区块,RG-S6800E,RG-S6800E,学校1,学校2,学校3,学校4,学校n,学校
9、n+1,城域网 高速核心区块,中心局域网,资源服务器群,RG-S6800E,RG-S5750,资源中心区块,汇聚区块A,汇聚区块B、C,汇聚区块D,学校 n+2,学校 n+3,RG-Wall,RG-Wall,RG-Wall,RG-S8600/9600,RG-S8600/9600,RG-S8600/9600,网络按功能进行区块划分,不同区块负责各自的独立业务,互不干扰 按区块进行安全规则、路由策略统一部署,实现数据交换和安全防护 网络核心不启用复杂功能、策略,具备高吞吐量和数据交换能力 网络结构设计安全、可靠,局部区块故障不影响全局网络运行,好处:网络骨干高性能、高可靠性、易管理规划,锐捷教育城
10、域网“区块化”设计特点,RG-S8606:1.6T背板,0.8T容量 6槽,4用户槽,2交换引擎,RG-S8610:3.2T背板,1.6T容量 10槽,8用户槽,2交换引擎,RG-S8600系列 每线卡带宽:200G 每线卡万兆密度:2/4/8/12 支持40G、100G接口扩展,面向10万兆平台设计的锐捷核心交换机RG-S8600,RG-S9610:4.8T背板,2.4T容量 10槽,8用户槽,2交换引擎,RG-S9620:9.6T背板,4.8T容量 20槽,16用户槽,4交换引擎,RG-S9600系列 每线卡带宽:300G 每线卡万兆密度:2/4/8/12/16 支持40G、100G接口扩
11、展,RG-S9600作为面向超大型园区网和城域网的核心路由交换设备,拥有更高的处理能力、更大容量的各硬件表项、更丰富的用户接口。,面向10万兆平台设计的锐捷核心交换机RG-S9600,硬件安全监控技术,硬件安全防护技术,万兆安全防护模块,CSS 安全体系,MPLS、VPLS、 VPWS、DES、SHA,提供硬件的IPFIX,满足网络流监控和流分析,防DDOS攻击、非法数据包检测、防扫描、CPP、SPOH,防火墙、入侵检测、网络分析模块,硬件隧道加密认证,CSS安全体系,CSS安全体系 安全的整合 安全与性能的平衡 在不影响整机性能的前提下提供全面的安全防护能力。,下文对IPFIX、防DOS攻击
12、、CPP进行简要的介绍,CSS安全体系IPFIX,IPFIX IPFIX(RFC 3917)定义了一种网络设备进行流量采集并向管理系统输出的方法,近期将成为国际标准。 IPFIX标准以NetFlow v9为基础,利用以下“特征”定义流: 源IP地址、目的IP地址、源端口、目的端口、3层协议类型 服务类型(TOS)字节、输入逻辑接口、源和目的自治系统号码 TCP标志和下一跳路由地址,IPFIX的应用 安全监测 根据采集的数据,可综合进行模式匹配、基线分析等,进行DoS/DDoS攻击和蠕虫等病毒检测,结合记录的源数据包相关特征快速定位网络中的异常行为。 网络流量分析及容量规划 根据收集和统计的情况
13、,可获取大量的有用信息,如流量大小分布,前几名的流量用户和应用排行、整体网络流量、重要应用带宽的占用状况及其变化趋势等等,为今后的网络规划和升级提供决策参考。 流量计费 可实现多种计费方式,如基于流量、时间段、QoS、应用类型、自治域计费等。,CSS安全体系IPFIX,CSS安全体系防DDOS攻击,防DDOS攻击 防Land 攻击: 攻击原理:攻击者将一个SYN包的源地址和目的地址都设置为目标主机的地址,源和目的端口号设置为相同值,造成被攻击主机因试图与自己建立TCP连接而陷入死循环,甚至系统崩溃。 防护: 丢弃源和目的IP相同的IPv4/IPv6数据包 丢弃源和目的TCP/UDP端口相同的I
14、Pv4/IPv6数据包,防DDOS攻击 防非法TCP报文攻击 攻击原理:许多非法的TCP报文会致使主机处理的资源消耗甚至系统崩溃 防护: 丢弃SYN比特和FIN比特同时设置的TCP报文 丢弃没有设置任何标志的TCP报文 丢弃设置了FIN标志却没有设置ACK标志的TCP报文攻击,CSS安全体系防DDOS攻击,防DDOS攻击 防源IP地址欺骗 攻击原理:大多数的攻击都通过伪造源IP的方式开始发起 防护: RFC2827(网关丢弃源IP非本网段的数据包) 地址绑定(IP/MAC/端口、IP/MAC) 802.1x(六元素绑定),CSS安全体系防DDOS攻击,CSS安全体系CPP,CPP(Contro
15、l Plane Policy) CPU的利用率过高会影响管理与协议的正常运行,是设备不稳定的最直接因素,也是各种攻击和病毒最主要针对的目标。 CPP提供管理模块和线卡CPU的保护功能,并且锐捷10万兆产品采用硬件的方式实现,不影响整机的运行效率。 CPP提供三种保护方法,来保护CPU的利用率。 第一, 可以配置CPU接受数据流的总带宽,从全局上保护CPU。 第二, 可以设备QOS队列,为每种队列设置带宽。 第三,为每种类型的报文设置最大速率。,控制平面保护,管理平面保护,数据平面保护,控制平面链路防护,控制平面数据防护,管理平面链路防护,管理平面数据防护,数据平面安全防护,数据平面安全监控,加
16、密(SSH、IPSEC、SNMPV3等),控制(AAA、SNMPV3、USB等),硬件流速控制,路由协议防护,硬件流识别,独立冗余的通道,独立冗余的通道,硬件防DOS与扫描,硬件源IP地址验证,基于SPOH的ACL,硬件IPFIX,传统安全技术,平面保护,“平面分离+平面保护”设计,“平面分离+平面保护”可以在三平面分离的基础上,提供完善的各平面保护机制,保证系统更加稳定与健壮。,分布式业务融合,分布式POE 灵活扩展,分布式硬件 流量监控,分布式硬件 策略路由,分布式硬件 加密,分布式业务 融合,分布式硬件 MPLS VPLS隧道,分布式硬件 IPV6,分布式业务融合 丰富业务支持 业务与性能平衡(分布式、硬件) 分布式业务融合保证了在不影响整机性能的情况下提供多种业务。,IPV6功能列表 路由功能 静态路由、等价路由、策略路
