《网络升级技术方案》由会员分享,可在线阅读,更多相关《网络升级技术方案(57页珍藏版)》请在金锄头文库上搜索。
1、网络升级技术方案、项目背景*高校校内网经过多年的建设和升级,已基本覆盖全校范围。目前网络为三层结构,核心层采纳两台H3C的万兆交换机S10508,汇聚层采纳了12台H3C的S5800和7503E以万兆上联至核心,接入层设备主要为H3C接入交换机和锐捷接入交换机。目前采纳的是基于802.1x的认证计费方式。学生区由于采纳的是锐捷网络的接入设备,所以运用的是锐捷网络的认证计费系统SAM,教工宿舍采纳的是H3C的接入设备,运用的是H3C的认证计费系统IMC。校内网现有网络出口总带宽1.6G,分别为教化网(300M)、中国电信(400M)、中国联通(400M)、中国移动(500M)。网络出口设备为一台
2、山石网科的S6000平安网关,由于已购置数年,随着近年学校出口带宽的不断增加,其处理性能已不能满意需求。在核心交换机和出口设备之间部署了一台神码的千兆流控设备。核心交换机和网络出口之间采纳双千兆链路捆绑连接。传统三层或者多层架构校内网只是满意了基本的网络互联互通的需求,但缺乏相应的限制和管理手段,用户之间相互影响,类似ARP攻击、DHCP仿冒、IP仿冒等对网络的攻击现象常常发生,校内网络对于用户的审计和限制功能较弱也导致了网络的无序运用,业务承载方面缺乏针对性的限制,网络带宽被大量占用,重要应用得不到带宽保障,也难以实现敏捷的基于身份、时间、位置等的用户限制。当前不同规模和不同区域的学校在建设
3、高校校内网时普遍遇到的问题是:1)如何适应和满意国家政策和法律法规对于校内网用户的行为要求;2)如何满意各类业务、各类应用和不同需求的用户的各种承载的拓展;3)如何降低校内网的管理难度和维护工作量。要解决这些问题必须要从网络架构和业务部署模式上面进行变革,而扁平化的架构正好切中了解决这些问题的关键。从下图可以看出扁平化网络架构将原有各层的功能在逻辑上面进行了重新界定和划分,使得各层设备各尽其能,也可以看出构建和发展扁平化网络架构是一个必定趋势。其网络拓扑结构如下图:、改造目标本次网络改造,学校需实现以下目标:l 升级网络出口设备,需满意将来出口带宽扩到5G以上的需求,并且实现网络出口的链路负载
4、均衡和各种网络平安措施,入侵防卫(IPS)、网站防护(WAF)、上网行为管理、流控、SSL VPN远程接入访问校内资源等。l 统一全校范围内的认证计费。采纳支持多种认证方式(PPPoe、IPoe、portal)的BRAS设备,协作统一的认证计费管理软件,实现与学校一卡通系统的整合。l 实现校内网扁平化,构建扁平化的网络架构就是将原来各个层次模糊的功能区分清楚化,不同层次之间各司其职,有利于管理和维护,这种简洁化的架构使得网络有更高的效率。l 校内网目前由教学网、学生宿舍网、教化网、一卡通专网、财务专网和科研专网等多个网络的混合体,校内网的高性能还要体现在多个网络多个业务并发的同时保证性能不下降
5、,实现在同一个物理平台上构建出多个逻辑上完全独立的网络平台,这些网络平台和主网络平台还要具有相同的功能。所以,从学校建设一卡通系统需供应一套逻辑隔离的专用校内网网络。l 为学校即将建设的“一卡通数字校内”数据中心服务器群供应万兆接入校内网。l 更换和升级原有的老旧接入交换机(100台24口、5台48口全千兆接入交换机)。12.1.3、需求分析A、网络出口改造需求分析目前*高校校内网络规模较大,包括核心、汇聚(各科院、学生公寓、校办、图书馆等等)、接入的三层网络架构;其中服务器区域部署了对外的门户网站系统、选课系统、正在进行新增的校内一卡通系统等以及对内的OA办公系统、多媒体教学系统等多套系统平
6、台;同时有多条运营商Internet出口链路在运行运用中。平安防护措施只在出口部署了基本的三层平安防护(防火墙)以及简洁的流控策略。网络拓扑图如下:通过与客户沟通沟通,以及对学校网络的分析探讨,确定湖南*高校网络目前存在以下问题:1、*高校网络目前没有全网的入侵防护机制,尤其缺失针对应用的攻击检测和防卫。2、出口链路资源利用不均衡,利用率低,未针对学院应用进行优化:多条运营商出口链路,但未进行负载均衡以及针对不同运营商DNS智能解析和智能路由。3、不具备完善的流量管控功能,无法依据客户不同应用进行精细化的流量识别、管控;同时没有针对公安部82号令,对可能的上网行为风险进行把控,存在危害性较大的
7、政治风险(如校内非法的上网行为,涉黄、暴力、诽谤等等信息造成的社会影响)。4、目前*高校网站无任何的应用级平安防护措施(只有传统的防火墙简洁防护),完全暴露在攻击环境中,存在着特别严峻的平安风险(包括DDOS攻击,木马盗链,SQL注入,网页篡改等等)。5、*高校面对学生的选课系统存在一个域名,2个IP(即多台服务器)状况,目前实行的是轮询机制,但是该机制严峻奢侈服务器性能,并在高峰期可能造成系统瘫痪,延误学校正常的教学课程。同样的问题在*高校其他系统中依旧存在。6、*高校服务器集群区(数据中心)目前没有单独的平安防护措施(仅出口传统防火墙简洁防护),同时没有将对外系统和对内系统隔离,存在严峻的
8、平安隐患。7、*高校目前供应对外的学校网站DNS服务,具体解决方法是分别部署3台DNS系统,通过双网卡一端连接内网,一端分别连接电信、移动、联通外网出口,电信用户访问学校网站则返回给对应网站域名的电信IP,移动、联通同样的处理模式。这种部署方式实质上将*高校整个数据中心干脆暴露在外网环境中,时刻存在全数据中心被攻击的风险,同时3DNS系统的部署方式也奢侈了服务器资源,降低了资源利用率。通过对客户系统现状的了解分析,以及与客户的沟通沟通,确定本次平安建设需求如下:1、整网入侵防卫系统:针对现在流行的以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击,须要在核心链路部署入侵防卫系统对
9、整网的应用层入侵供应平安保障。2、WEB应用平安防护:此次web系统作为对外企业门户网站系统平台,须要考虑在Internet上的平安因素,如跨站脚本攻击、网页篡改、DDOS攻击、SQL注入攻击、溢出攻击等等。而WEB应用的平安防护,须要通过主动与被动结合,事前防卫和事后弥补的多层次手段来达到防护目的。3、链路及系统优化:a链路负载:1、inbond:依据访问源所属运营商,通过DNS智能解析将访问反馈数据发送到对应运营商链路,提高用户体验。2、outbond:由于客户现网拥有多条出口链路,为了使客户带宽资源利用率提高,以及优化Internet访问,须要依据访问目的IP、域名DNS解析地址等等对出
10、口链路进行负载均衡。b服务器负载:由于*高校内外系统平台的访问频繁及高流量、高峰值的特性,所以须要对系统服务器群进行访问优化,依据每台服务器实时性能状态、资源耗用率,链路质量等等因素对业务系统进行负载均衡4、流量限制及上网审计需求:依据公安部第82号令,以及学校自身办公效率提升诉求,须要针对网络出口不同流量进行智能分析处理,保障关键应用流量,限制无关应用,同时规范师生上网行为,防止非法上网行为给学校造成不良的社会影响。5、DNS智能解析需求:依据不同运营商访问源及目的,智能选择流量路径。6、可对全网平安防护设备进行统一平台管理,解决网络异构管理难题。B、统一认证系统需求分析*高校目前运用的是基
11、于802.1x协议的H3C公司和锐捷公司的两套不同认证计费系统。随着网络规模的扩大,网络应用的增多,采纳该协议的认证计费渐渐遇到很多问题,主要表现在:该协议设计之初,本是为了解决无线接入认证计费问题,为了将其引入以太网进行认证计费,不同接入交换机生产厂家对其进行了相应改造,从而导致不同厂商对该协议有不同的私有化,进而存在兼容问题,客户假如要想新购设备,就必需购买与认证系统同一品牌交换机,否则无法接入网络;其次,要在以太网上有效的运用该协议,就必需安装与设备厂商配套的802.1x客户端软件,而且该软件与操作系统的TCP/IP协议栈是强耦合关系,所以对应不同的操作系统(如Windows、MAC O
12、S、Linux等)的不同版本,就有不同的客户端版本,导致软件兼容性问题,这给网络运维人员带来无尽的维护工作量;第三,目前的802.1x系统,无法依据校内/校外以及免费/收费流量进行统计,所以无法实现依据不同流量的分别计费。此外,采纳802.1X的认证计费方式无法实现统一端口下,多台终端同时上网问题(即家属区用户无法通过家用soho路由设备实现多台终端上网)。然而,这种应用需求越来越剧烈。最终,家用网络电视、网络冰箱或者物联网终端,上网如何认证计费问题,也困扰着网络管理者。因此,须要对认证计费系统进行改造,建设统一的网络认证平台,实现准入和准出的限制及按流量的认证计费。准出限制系统,采纳网关型的
13、准出限制系统,对校内用户进行准出限制。可以有效识别用户的收费/免费流量,同时通过与统一认证计费平台的协同工作,可以有效限制用户是否具有外网访问权限,进而限制用户访问外网的带宽。准入限制实现基于pppoe、ipoe及portal的准入限制。网络中不同区域敏捷选择认证策略。统一认证计费平台的建设须要满意一下场景的需求:1、 为保障将来五年内业务量的快速增长,核心网络须要具备T级别的交换容量;2、 支持有线无线一体化接入。Portal与PPPOE方式均需支持;3、 可实现对于学生访问学校内网不认证、不计费,只有在访问外网时才认证、计费;4、 学生上网行为可监管,上网记录可溯源;5、 老师在办公区办公
14、时上网进行认证不计费,在家属区上网时进行计费。另外要求,老师在办公区上线时,也要能够支持同一账户在家属区同时上线,并且进行计费的功能。6、 对于学生和用户的账户有一个暂停计费的功能,比如学生实行包月的形式,假如1号交钱,学生5号放暑假,假如学生在自助网页上选择5号暂停服务,则系统计费的时间段应能够往下一个月自动后移;7、 计费系统应有针对用户进行时间补偿的功能,应用场景:假如某一地块网络故障,则须要对该地块的上线用户赠送5天免费上网的补偿。8、 对于导师带领学生做项目和老师带领学生勤工俭学的场景,须要支持主账号和附属账号的功能,比如一个导师的主免费账号下,下挂20个附属账号也属于免费账号,并且
15、上线时做单独的账户和密码认证。9、 主账号和附属账户的模式也须支持学校科研项目申请的方式,并支持收费。比如:学校一名老师申请了一个科研课题,拿出肯定经费申请一个项目科研主账号和多个子账号开展工作,此时对该团队的项目的上网计费仅需计费主账号,主账号一旦计费时间截止,则全部子账号也均不能再上网。10、 支持对于各个学院的专线接入开会功能,照试验室采纳专线接入,则应支持对专线用户开户,开户后对专线用户的整体接入带宽和不对下面的接入用户再进行认证和计费限制;11、 对于打印机等哑终端的接入做MAC地址认证和IP绑定;12、 全网IPv4/V6双栈部署,并充分考虑向全IPv6网络的过渡;13、 考虑运营
16、商用户接入,校方和运营商之间在用户认证计费管理运维上能实现协同;C、网络扁平化需求分析使校内网的功能划分更清楚,核心层设备由于性能很强可以对新功能新业务能够供应良好的支持,汇聚层和接入层只须要考虑接入端口的扩充、上行带宽的增加,管理上面显得更加简洁;校内网扁平化网络并不是意味着网络物理层次的削减,而是网络逻辑层次的扁平。构建扁平化的网络架构就是将原来各个层次模糊的功能区分清楚化,不同层次之间各司其职,有利于管理和维护,这种简洁化的架构使得网络有更高的效率。由三层结构变为二层结构,在这种网络架构下面可以运用高性能多业务路由器作为整个网络的核心设备替代原有架构的高端三层交换机,使更多的组播、线速转发、用户论证和审计等核心工作由功能和性能均强大的设备来完成,从而实现整个校内网的高性能。对原有校内网架构
