Juniper教育行业手册
目录
卷首语 (1)
引领未来网络,助力教育科研 (1)
瞻博网络 (Juniper Networks) ——高性能网络设施的领航者 (3)
行业领导者 (5)
为什么选择瞻博网络 (5)
瞻博网络,超越所想 (6)
瞻博网络 (Juniper Networks) 教育科研行业解决方案介绍 (7)
新一代校园网核心网络解决方案 (9)
高校校园网出口解决方案 (12)
接入管理 (BRAS) 解决方案 (15)
统一接入控制 (UAC) 解决方案 (19)
高校IP实验室解决方案 (22)
高校SSL VPN解决方案 (25)
高性能数据中心解决方案 (27)
瞻博网络学院联盟计划 (31)
成功案例分享 (35)
南京大学采用瞻博网络方案构建仙林校园网络核心 (37)
瞻博网络助力中国地质大学 (武汉) 实现完美的网络升级 (40)
中国政法大学构建高速安全的IPv4/IPv6双栈校园网络 (43)
瞻博网络助力中国矿业大学校园网与出口安全建设 (46)
山东大学建设面向未来的校园网络 (48)
福建某医学院构建全方位安全网络瞻博网络UAC2.0大显身手 (50)
IP-Lab解决方案为北京邮电大学建立真实稳定的研究环境 (52)
SSL VPN方案助力对外经贸大学打破校园网壁垒 (54)
卷首语
引领未来网络,助力教育科研
教育,激发个人身心成长;科研,推动社会文明进步。勤劳智慧的中华民族,向来有尊师重教的传统美德,而且身体力行、学以致用一直是教育科研实施过程中的重要方法。《说文解字》就这样解释教育:“教,上所施,下所效也”,“育,养子使作善也”。
在竞争激烈的21世纪,日新月异的科技进步在创造更多更新知识的同时,对于教育的发展提出了新的挑战。以科技促进教育科研已经成为全球化时代必须具备的战略思维,瞻博网络 (Juniper Networks) 作为高性能网络的领导者,致力于以最领先的网络科技助力中国教育事业发展,拓展科研实践的平台,携手客户共同发展。
瞻博网络 (Juniper Networks) 从创立之日就以追求“Connect Everything,Empower Everyone”(连接一切,能动无限) 为目标,引领未来网络技术发展,并为客户提供性能卓越、安全可靠的网络环境。瞻博网络 (Juniper Networks) 可以为客户提供从校园核心网络建设到接入管理解决方案,从强大的IPv6平台到高性能的数据中心的全套解决方案,并在战略层面与高校合作发展瞻博网络学院联盟计划,始终推动中国的教育科研与当代最新网络技术结合,助力教育科研事业发展。
1
瞻博网络 (Juniper Networks) 高性能网络设施的领航者
5
瞻博网络 [NYSE :JNPR] 成立于1996年,总部位于美国加利福尼亚州桑尼维尔,目前在全球近50个国家和地区设有办事处。自成立之初,公司就一直帮助客户不断超越网络用户和终端数量飞速增长所引发的需求,同时满足对高性能、可靠性和绝对安全性的业务要求。
凭借我们在架构、芯片设计方面的核心能力,以及拥有业界唯一的电信级专用“纯IP ”模块化网络操作系统“JUNOS ? 软件”,瞻博网络一直保持着行业领先地位。瞻博网络提供广泛的产品组合,涵盖了路由、交换、安全、应用加速、身份识别策略和控制以及管理等方面,旨在为客户提供无与伦比的性能、更出色的选择和灵活性,同时帮助客户降低总体拥有成本。
在每个涉入领域,瞻博网络的市场份额均位居前三甲,同时,也创造了很多个第一:第一个基于ASIC 的路由器平台;第一个基于ASIC 的防火墙;第一个入侵检测与防护 (IDP) 产品,以及最全面且最具远见的SSL VPN 产品。
行业领导者
为什么选择瞻博网络
我们的客户包括全球100强电信运营商、30,000家大型企业,其中包括99个全球财富100强企业,此外还包括数以百计的政府机构以及高等教育机构。电信运营商:
借助瞻博网络公司高级流量处理和自动供给技术,电信运营商可在高价值、高使用率的细分市场中获得成功。企业:
瞻博网络公司安全可靠的网络平台为网络密集型企业提升竞争力——对员工和商业伙伴开放网络并最小化安全风险。帮助企业了解用户是谁,并赋予相应的网络访问权限,帮助企业保护当前的动态网络。政府:
瞻博网络公司为政府部门提供业内最佳的网络及安全解决方案——提供极其可靠和稳定的软件以及符合业界标准的服务和支持。瞻博网络公司的网络和安全解决方案旨在抵御当前的威胁,同时不影响性能或可扩展性。研究与教育机构:
全球有成百上千个教育科研机构和高级科研网络都依赖瞻博网络公司的解决方案来支持其先进的科研和学术应用,即使在要求最严格的环境下仍能确保可预测、可扩展的性能,如基于IP 的HDTV 、数据挖掘、三维成像以及远程显微镜等。
瞻博网络的合作伙伴
瞻博网络公司致力于成为IP 网络和安全领域的最佳合作伙伴,为渠道合作伙伴创造更多盈利机会,作为他们为客户提供价值的回报,并正在借助J-Partner 计划把它变为现实。身为J-Partner 的您都会得到瞻博网络的奖励和回馈,此外通过专业化服务和获取认证等方式,您还可以接触到当前业界最广泛的路由与网络解决方案。
J-Partner 代理商计划有助于把握新商机。我们提供给您高级安全解决方案、应用加速解决方案、企业联网解决方案、电信运营商基础设施等专业化服务,使您能够得到最适合贵公司商务模式的方式,灵活的与瞻博网络合作。J-Partner 代理商计划有助于最大限度提升总财务机遇。我们除了通过专业化服务和增值定价来销售产品,还通过制定灵活的业务计划保护投资。
依靠J-Partner 代理商计划,瞻博网络正在改变着平台供应商和渠道合作伙伴之间的关系。
客户支持
瞻博网络提供一系列全面、灵活、业界领先的技术支持、专业服务以及培训课程,帮助客户及合作伙伴从其网络和安全性投资中获取最大的收益。
瞻博网络的产品
EX-系列:
EX系列以太网交换机代表联网的新时代,包括了EX3200、EX4200、EX8200,以适应不同企业不同级别的需求。EX系列提供了电信运营级别的可靠性,更可巩固和整合整体网络架构,有助于企业在网络上加速业务和服务的部署。
T-系列:
作为核心路由平台可提供高可用性、可靠性和高扩展性,并可降低操作成本与资金支出。全新的TX Matrix可同时整合多个T640平台,以便构建可支援数个Terabit的传输处理能力。
M-系列:
将业界最佳的IP/MPLS功能和无与伦比的可靠性、安全性及丰富的业务结合。这些多业务边缘路由平台可协助客户将多业务网络整合到单一的IP/MPLS基础设施。
J-系列:
企业级路由器产品运行JUNOS模块化操作系统,可降低远程边缘网络的运营与设备成本。支持企业和可控的服务部署。
E-系列:
是IP边缘及宽频服务路由平台, 可在边缘网络中提供有效地控制、传输及计费服务。
MX-系列:
作为第一款优化用于新兴以太网网络架构和服务的网络平台,MX高密度接口和大容量的交换吞吐量满足运营商网络最严格的要求,包括高速传输和VPN服务、下一代宽带多播放服务以及大容量的互联网数据中心网络互连等。
网络安全解决方案
整合式防火墙/IPSec VPN:
整合式安全装置结合了状态检验防火墙与深层检验技术, 以便全面保护应用层;而IPSec VPN功能则可在企业总部与远端使用者之间提供安全可靠的连接。
入侵防护:
通过瞻博网络入侵检测与防护设备 (IDP),网管人员可深入掌控应用层与网络层状况,并支援异常时间调查与修复, 以协助客户快速而自信地部署线上 (inline) 攻击防御架构。
SSL VPN:
瞻博网络的SSL VPN产品可针对个别使用者与使用群组,严密控制其应用软件与完整网络资源存取,让企业能够以经济有效的方式,为移动工作者、合作伙伴以及客户提供安全存取。
统一接入控制 (UAC) 解决方案:
瞻博网络的统一接入控制解决方案,结合使用者身份、装置安全现况资讯,以及网络地点信息,可有效地控制每位使用者的网络存取。
AAA与802.1X:
瞻博网络完整的AAA/RADIUS系列产品以及802.1X网络存取安全装置,适用于各种不同规模的网络,包括企业网络、电信运营商网络、有线或无线网络等等。
SRX系列业务网关:
SRX系列业务网关基于我们革命性的动态业务架构,将无以伦比的性能和可扩展性整合到一起,支持快速的服务部署,以及各种安全服务汇聚。
应用加速解决方案
瞻博网络应用加速平台 (WX/WXC) 可改善主从与网页式商业应用程序的效能, 让分散式企业的分公司、远端与移动工作者都能快速存取所需的应用服务,以提高工作效率。让遍布全球各地的远端使用者能够以近似LAN的传输效能存取集中存放的应用程序。
瞻博网络,超越所想
迄今为止,瞻博网络产品的高性能为中国教育和科研计算机网的发展作出了巨大贡献:瞻博网络的CERNET2-T系列路由平台的接入,使得中国下一代科研和教育IPv6核心骨干网络高性能运转提供了可能;瞻博网络的产品和方案在南京大学、中国地质大学、中国政法大学、对外经贸大学、中国矿业大学、山东大学等应用中得到了良好的验证。在电信领域,瞻博网络中国为中国电信重庆、浙江、江苏提供的E320宽带服务路由平台,已支持IPTV和更多的应用服务并开始发挥他们的作用;而在中国电信广东和上海,瞻博网络提供的T和M系列路由平台则为其核心IP网络的扩充起到了至关重要的作用。在包括电力、银行、金融证券、媒体等在内的其它诸多行业,瞻博网络的产品都有很好的客户评价。
6
瞻博网络 (Juniper Networks) 教育科研行业解决方案介绍
9
随着高校信息化建设的深入和发展,校园网已经成为校园信息化建设的基础。瞻博网络高校新一代校园核心网络解决方案不但可以满足现今的校园网对带宽、性能以及校园网无中断运行的可靠性的要求,还能对不同数据流进行合理有效的管理以便有效和充分的利用网络传输带宽,同时,还可以抵御病毒和黑客攻击,有效的保证校园网稳定运行。
方案概述
方案介绍
我国的高校校园网建设起步早,很多高校校园网已运行多年,为学校的数字化发展提供了有力的支撑平台。但随着CNGI (中国下一代互联网示范工程) 的正式建成、互联网的飞速发展,原有的校园网在承载日益丰富的各种应用、防范网络病毒和攻击、支持基于IPv6 下一代互联网方面,已显露出心有余而力不足的态势。在这种现实情况下,瞻博网络提出了构建下一代校园网核心的解决方案。
瞻博网络新一代校园核心网络解决方案为学校搭建一个领先的、高性能的、安全的、便于管理的新一代校园网核心多业务支撑平台。典型的拓扑如下图示:
该方案具有如下技术特点:1. 领先的IPv6/IPv4双栈
随着IPv6的日益成熟,在基于IPv6技术的理论研究和应用开发方面,我国相关研究机构、高校、厂商及运营商也已陆续开始跟踪与关注IPv6技术发展,投入IPv6技术研发,并相继建成IPv6试验床及实验网络。但目前的现状是,很多高校原有的网络设备只支持IPv4,在原有设备基础上部署IPv6网络的时候,往往会出现各种问题,导致网络不稳定。同时,由于很多客观因素的限制,目前很多高校的IPv6环境是基于仿真环境的,有些是基于各种隧道技术的,对于真实IPv6环境来说,诸如IPv6核心技术研发、协议标准制定、组网、测试、应用示范和商业模式等研究方向是无法有效进行的。综上所述,下一代校园网核心必须是IPv6/IPv4双栈同时支持的高性能网络平台,通过搭建基于IPv6/IPv4双栈的校园网核心,高校可以直接接入或者利用隧道技术接入到CERNET2的IPv6网络。
瞻博网络的解决方案可以使研究测试床和校园网并行在同一物理平台上,通过瞻博网络特有的logical-router 虚拟路由器功能,为各种研究和测试需求单独划分出不同的虚拟路由器,这些虚拟路由器和主路由器在同一台物理路由器上,但是各自的路由和控制层面分离,从而为互联网用户和研究人员提供了真实的网络平台,同时各自的网络平台完全独立,保证了运行的稳定和安全可靠。典型的拓扑如下图示:
新一代校园网核心网络解决方案
下一代校园网核心IPv6/IPv4 enabled
10
目前,瞻博网络的产品支持最丰富的IPv6功能,并与IPv4一样,采用硬件来支持IPv6的转发和路由,因此IPv6的性能与IPv4没有任何区别,都能以线速转发IPv6数据包。瞻博网络的IPv6路由器的技术路线采用专门的ASIC 芯片来支持IPv6网络,使得在支持多种IPv6功能和大量安全过滤功能的情况下,各种速率接口,从2Mbps 到10Gbps ,都能以线速转发IPv6数据包,和IPv6/IPv4混合数据包,并且具有非常小的延迟 (<150us)。目前,瞻博网络路由器支持所有运营商和教育网络所需支持的所有路由、寻址、发送、安全、应用等协议,随着,IPv6技术和标准的发展,瞻博网络支持最新的功能和协议,只需要对软件版本进行升级即可。2. 高带宽高容量
随着网络技术的发展,网络扁平化设计日益成为发展趋势,传统校园网的核心层 + 汇聚层 + 接入层的设计已成为过去,新一代校园网的设计更多地采用核心层 + 接入层的模式。在万兆技术成熟的今天,万兆核心已经成为部署便捷、高速率、高性价比的下一代校园网的基础;基于万兆芯片技术的核心路由平台成为下一代校园网核心应用的典型特征。瞻博网络公司专门为高校等典型以太网环境量身定制的下一代以太网业务核心路由器MX 系列,能够提供运营商级以太网路由功能,同时具有高密度的千兆/ 万兆接口;其中的旗舰产品MX960,在960Gbps 交换矩阵的支持下,提供全线速480*GbE/48*10GbE 端口,能够满足高校在今后3-5 年内核心网络容量的需求。
瞻博网络近年推出的EX 系列交换机,也迅速成为构建校园核心网络的中坚力量。EX 系列交换机采用高性能ASIC 、运营商级系统架构和JUNOS 软件,具有运营商级可靠性。EX8216交换机允许每个机箱支持 128个线速的万兆以太网端口,吞吐量高达每秒20亿个数据包,是面向下一代网络的理想平台。
3. 安全可靠的核心
硬件方面,下一代校园网核心必须是健壮的、安全的、高可
靠性的、可运营管理的。瞻博网络路由器在硬件层面先进的设计,使得路由器的包转发引擎PFE 和路由引擎RE 逻辑分
离,路由的波动不影响PFE 的稳定性,而PFE 的负荷,不影响RE 的路由计算。从而确保路由器始终保持高稳定和高可靠性。软件方面,JUNOS 软件是业界第一个专为Internet 设计的路由操作系统,所有瞻博网络公司的路由平台上都运行JUNOS 软件,而且其现在已经在全球范围内的许多大型、高速增长的网络中稳定运行。JUNOS 软件具有运营级的全系列路由协议实施,具有灵活的策略定义语言及领先的MPLS 实施,可以有效地帮助运营商将其网络进行扩展以支持大量的网络接口及路由。
4. 模块化设计保证高性能
通过路由与包转发功能分离、PFE 和RE 逻辑分离,以及从ASIC 技术,保证高可靠性。5. 软硬件保证高可靠性
●
硬件的高可靠性:路由器硬件的可靠性一方面表现在路由器的每个组件的MTBF 的最大值,另一方面就是每个组件的冗余性。瞻博网络与全球具有最先进生产线龙头企业合作,确保每个组件完全合格,有效提高MTBF 。同时,瞻博网络高端全线产品均提供路由引擎、转发引擎、电源、风扇等关键组件的全冗余,从而保证路由器的高可靠性。
●
软件的高可靠性:瞻博网络路由器的操作系统JUNOS 完全是模块化架构。遵从严格的软件工程方法进行研发,使得JUNOS 具有极强的故障隔离、恢复能力并最大限度提升了其提供新功能的速度;通过重写一部分FreeBSD ,使得瞻博网络支持的网络接口数量增加,具有了一个更大的路由表;从最底层开始开发和设计路由体系,优化其数据结构,计划大量的虚电路,使得瞻博网络可以自由地支持流量工程和不同服务等级的技术。
6. 三大功能降低误操作故障
●
人性化的配置界面在很大程度上降低网络运维人员产生无序和紊乱思路的发生。
●
先配置后生效的原则,在操作人员完成配置内容后,进行提交生效的过程中,系统先进行语法检查。
●
回滚功能,在错误发生后,可在短时间内将配置回滚到操作前的一个正确运行版本的状态。
下一代校园网核心
使用和研究并举
7. 两大技术提高网络可靠性
●NSR技术:No-Stop Routing (NSR) 作为JUNOS最为核心
的功能为用户提供更好的网络可用性,使得网络运维人员从此不再担心由于常规JUNOS升级或者路由引擎出现故障而导致路由器控制层面的中断。
●FRR技术:借助MPLS流量工程 (Trafic Engineering) 的
能力,为LSP提供快速保护倒换能力。保证业务数据的平滑过渡;同时将数据切换到新路径上,在新的LSP建立成功之前,业务数据会一直通过保护路径转发。从而实现了在50ms内链路切换到另一路径,减少了网络运维人员的工作量。
8. 丰富的组播技术
基于组播的各种业务在互联网上应用非常广泛,对于校园网来说在线视频教育、视频会议、视频广播等等应用都非常普遍,瞻博网络路由平台完全是采用硬件转发IPv4/IPv6单播和组播业务。
9. PIM-SM/DM部署
当前,常用的组播技术主要有PIM SM/DM/SM-DM/RP Anycast/logical RP V2 ,尤其是PIM-SM经过多年的发展,在校园网中部署颇为广泛,新一代的校园网核心更是应该部署PIM-SM,来提供各种多媒体应用业务。
10. 新一代的组播技术:P2MP
由于传统的基于PIM协议的组播路由协议在网络中是逐跳进行通告和组播转发树的建立,效率相对较低,在发生网络链路故障收敛的过程中,时间比较长,导致组播业务中断。
综合这些因素,随着MPLS网络的广泛应用,出现了一种更加适合组播业务的新技术——P2MP。最新的基于MPLS报文复制的组播技术,通过这项技术,可以避免MPLS L3VPN复杂的部署机制,还能够在各个路由器复制节点上通过TE来保证传递的带宽,特别适合类似在MPLS网络中传递单向的实时电视和视频节目 (而不是在客户端先进行cache的媒体流),对于严格要求时间和带宽的实时视频、音频非常合适。更加重要的P2MP MPLS TE技术还结合了对MPLS TE的冗余技术,在重要的P2MP的分支路径上实现基于Fast Reroute的快速保护技术,对于中断和时延敏感的实时视频是最合适的应用。
根据组播流流经的途径,考虑开启的P2MP服务的组播树对分支路径带宽的预估和是否需要路径保护的功能。配置SPE (源PE) RPE (接受PE),对应与通过的组播节点配置相同的pid (P2MP-ID);配置需要部署的TE的带宽参数;对于部分重要的分支结构,配置基于FRR的快速路径保护。目前,业界只有瞻博网络下一代的组播技术P2MP ,而且已经在大型运营商网络部署。P2MP 技术适合视频课程现场广播,及各种视频会议,可以跨越地域空间和时间的限制,随时随地提供各种远程教育课程以及在MPLS 网络中传递单向的实时电视和视频节目。
业务优势
●领先的IPv6/IPv4双栈技术:瞻博网络支持最丰富的IPv6功
能,并与IPv4一样,采用硬件来支持IPv6的转发和路由,因此IPv6的性能与IPv4没有任何区别,都能以线速转发IPv6 数据包。
●更可靠的硬件和软件解决方案:瞻博网络高端全线产品均提
供路由引擎、转发引擎、电源、风扇等关键组件的全冗余,从而保证路由器的高可靠性;操作系统JUNOS完全是模块化架构,遵从严格的软件工程方法进行研发,使得JUNOS具有极强的故障隔离、恢复能力并最大限度提升了其提供新功能的速度。
●丰富的实施经验:瞻博网络拥有众多国内外高校新一代校园
网络核心网络建设实施经验,以及中国CERNET2成功实施的经验。
11
12
方案介绍
针对校园网的上述特点,其边界建设主要遵循以下方针:
1. 充分利用多出口带宽,合理分布流量,投资保护合理化和最大化。
2. 边界出口安全,每个高校都有自己的WEB/邮件/DNS 等各种重要的服务器对外提供服务,所以校内服务器的安全必须重点考虑。
3. 校内用户使用很多IP 私有地址,虽然高校拥有一些教育网地址空间,但是在访问其他电信运营商网内资源的时候,必须进行地址转换,同时由于校园网用户多、访问量大,因此在做地址转换时必须要考虑设备性能。
4. 由于CERNET 的特殊性,高校到CERNET 出口的各种路由策略变动比较频繁,导致要频繁更改边界设备的配置,设备需要有良好的用户界面,减轻网络管理者操作设备的负担。
瞻博网络校园网出口解决方案,根据不同高校的用户规模和校园网流量等因素进行综合考虑,提出了两种比较典型的解决方案。方案一:防火墙方案
建议部署一台瞻博网络高性能防火墙,防火墙对外接入CERNET/电信运营商,同时,中国教育科研网已经建设完成了基于IPv6的下一代互联网CERNET2,高校进行IPv6的接入已经是必然的趋势,防火墙对内通过GE 链路接入到校园内网接入设备上。典型的拓扑如下图示:
近年来,随着高教信息化的深入进行,教育科研网络整体的快速发展,校园网已经成为高等院校最重要的学习和生活设施,校园网络面临的挑战变得日益突出。瞻博网络校园网出口解决方案可以有效解决目前校园的两个主要挑战:一是师生规模急剧变大,以及CERNET 和其它电信运营商间互联带宽不足或者使用不充分,造成访问速度缓慢不能满足师生需求的供需矛盾;二是网络应用日益丰富,造成病毒泛滥,网络安全提出的更高需求的矛盾。
方案概述
高校校园网出口解决方案
该方案有如下技术特点:1. 策略设置实现流量合理分配
在高校访问互联网的流量中,通过教育网出口可以免费访问一部分网络地址,对于其他网络地址的访问,是按照流量进行收费的。因此在多出口的流量分配上,对于访问CERNET “免费”地址列表以外的网络地址,通过策略定向到电信或者网通的出口。通过在防火墙上进行策略设置,将流量合理分布至出口链路,有效利用带宽,提高访问其他电信运营商网内资源的速度。今后,根据流量实际情况,可以详细划分各种应
用将其分布到不同的链路上。
2. 防火墙实现安全防护
瞻博网络的防火墙采用多总线的ASIC硬件结构,技术成熟稳定。ASIC防火墙采用多组专门的ASIC芯片处理不同任务,如Session表维持、查找、防拒绝服务攻击、VPN加解密、应用层检测等资源耗用严重的任务,CPU配合处理一些简单功能调用。并且防火墙采用系统多总线结构设计,数据总线与控制总线分开,互不影响,在大任务量大流量环境下,ASIC防火墙可以保持一致的稳定性和性能,是关键网络中有保障的防火墙技术。由于瞻博网络ASIC技术的成熟度以及与CPU配合处理的机制,保证了产品的功能集成度和扩展性。
降低DDOS攻击危害对于内部用户来说,尤其是对于内部服务器来说,危害最大的是DDOS攻击行为,当前没有彻底解决DDOS攻击的方法,但是通过采取一定的措施,可以将DDOS 攻击的危害降低到最小化,瞻博网络的防火墙的SYN cookie 防护功能,可以极大的缓解这些DDOS攻击造成的危害。同时,通过IPS (深层检测) 功能能够抵御网络层和应用层攻击,以防止蠕虫、特洛伊木马、恶意软件、间谍软件和黑客攻击等等非法行为。
便捷的配置设置校园网边界设备——防火墙承担了用户地址转换,出入校园网流量控制,校园网出口安全策略的部署,各种非法攻击行为的防护等,如此多的重任由防火墙来承担,从而使得防火墙的选择就非常的重要。瞻博网络防火墙基于web 管理的配置,拥有友好的用户界面,用户只需在初始配置中通过命令行配置很少的内容后,其他的所有配置都可以便捷的在web界面下操作完成。
方案二:业务网关 (路由器+防火墙) 方案
在学校网络规模和流量比较大的情况下,可以部署瞻博网络的一台路由器和多台防火墙。防火墙主要工作是用户地址转换,同时担负一些攻击防护工作;路由器承担大部分其他的工作,用户流量的区分,将不同的流量分布到不同的出口链路上,对所有出入流量进行监管和控制。两台或多台防火墙部署在边界区域的最外面,直接面对其他运营商。防火墙对外接入CERNET/电信运营商,同时,中国教育科研网已经建设完成了基于IPv6的下一代互联网CERNET2,高校进行IPv6的接入已经是必然的趋势;防火墙对内通过GE链路接入到边界区域的路由器上。
近年瞻博网络推出SRX系列业务网关,提供连接、保护和管理功能,通过将交换、路由和安全服务整合到单一设备之中,各大机构能够经济地提供多种新型应用和服务,同时保障连接的安全,确保高质量的最终用户体验。所有的SRX系列业务网关都由经过实践检验的瞻博网络JUNOS软件提供支持,能够提供无以伦比的可用性、性能和出色的基础架构防护,为高校用户构建更高性价比和更易于管理的校园网出口解决方案。典型的拓扑如下图示:
该方案具有如下技术特点:
1. 实现安全防护
瞻博网络的网络安全产品能够有效地抵御syn attack, udp ?ood,icmp ?ood,port scan等恶意攻击。
●策略化管理流量以策略决定网络流量是否通过,策略的基本
元素是IP地址、服务以及防火墙的动作,服务可以由协议、端口等定义,因此,策略可以细化管理到协议以及端口。策略的额外功能是地址翻译、认证、日志记录、流量管理等。
●OS体系提高安全布局灵活性,该体系结构为网络安全布局的
设计提供了极大的灵活性。在具有两个以上接口的设备上,可以创建多个安全区并配置策略以调节区段内部及区段之间的信息流,创建网络环境所需的区段数,分配每个区段所需的接口数,并且可以根据自己的特殊要求来设计每个接口。
通过多种类型的设备,可以定义多个安全区,确切数目可根据网络需要来确定。
●策略创建控制区段间信息流设备用于保护网络的安全,具体
做法是先检查要求从一个安全区到另一区段的通路的所有连接尝试,然后予以允许或拒绝。在缺省情况下,拒绝所有方向的所有信息流。通过创建策略,定义允许在预定时间通过指定源地点到达指定目的地点的信息流的种类,用户可以控制区段间的信息流。
2. 策略路由,控制流量
对来自不同网络的流量地址来源进行甄别并进行不同处理,从各个ISP返回的流量则根据路由表来查找。当校园网内还有其他院系的服务器要对外服务时,以在瞻博网络防火墙上做静态映射的方式进行路由策略来满足大量校内用户访问服务器的带
宽需求。
业务网关
13
3. 防火墙/路由器增强可扩展性
如果教育网/电信/网通出口带宽需要增长,可以通过在防火墙上增加相应的端口即可。在防火墙和/路由器上,既可以通过链路捆绑802.3ad进行扩展,也可以通过ECMP来实现,增加一条新的出口路由,通过路由表的均衡来实现带宽的扩展。
业务优势
●实现流量的合理分配:通过在网络安全产品上进行策略设
置,将流量合理分布至出口链路,提高访问其他电信运营商网内资源的速度,根据流量实际情况,可以详细划分各种应用,将其分布到不同的链路上,有效利用带宽。
●实现有效的安全防护:瞻博网络的安全产品和方案在业内享
有盛誉,其SYN cookie防护功能,可以极大的缓解DDOS 攻击造成的危害。同时,通过IPS (深层检测) 功能能够抵御网络层和应用层攻击,以防止蠕虫、特洛伊木马、恶意软件、间谍软件和黑客攻击等非法行为。
●良好的方案扩展性:如果教育网/电信/网通出口带宽需要增
长,可以通过在防火墙上增加相应的端口即可。
14
15
伴随着互联网的广泛应用,校园网络建设已成为衡量一个学校教育信息化、现代化的重要标志。瞻博网络高校宽带接入服务器BRAS (Broadband Remote Access Server) 解决方案不仅可以解决教育行业宽带网络接入的传统问题,而且面向下一代网络提供了针对IPv6的完善支持和规模化部署应用。该方案可以满足校园网精细化管理的需求,同时简化网络架构,有效降低管理和维护的工作量。
方案概述
接入管理 (BRAS) 解决方案
方案介绍
出于对IP 地址的渴求,中国成为了全球最关心IPv6发展的国家之一,而IPv6技术通过CERNET2这块“试验田”,已经率先在教育行业生根发芽。CERNET2试验网连接北京、上海和广州等CERNET2核心节点,已经为一批高校提供了下一代互联网的高速IPv6接入服务。
在这样的背景下,校园网对于宽带接入方面的需求自然会和其他行业的需求不一样,最大的不同就是校园网在宽带接入方面对于IPv6的支持和部署需求。作为网络技术的先行者,校园网起步比较早,很多学校已经拥有了一定规模的网络。对于任何用户来说,在进行网络的升级改造过程中都希望对于现有网络的改动尽可能的减少,因为这样可以有效地节约资源并且避免故障。校园网用户在进行IPv6的升级时,通常遇到的情况是原有设备不能支持IPv6,用户希望能平滑提供IPv6的地址分配和部署。
同时,校园网的规模比较大,环境比较复杂,尤其是校园网的用户技术水平比较高,自学能力也很强,所以校园网的管理问题一直令学校的IT 管理者头痛不已。通过在校园网中部署BRAS ,能够提供完善的基于用户身份的认证和控制、计费等功能,实现对校园网应用的可识别、可跟踪、可控制和可管理。瞻博网络校园网BRAS 解决方案对于IPv6的支持:
瞻博网络E 系列BRAS 能够完善支持IPv6,并与认证方式实现完善融合。它针对校园网用户的需求提供了三种针对IPv6的部署方式。1. L2TP 方式
L2TP 方式通过IPv6 over PPP 实现地址的分配,用户通过L2TP 的拨号过程实现IPv4/IPv6地址的双栈分配和应用。通过L2TP 方式,用户无需对现有网络进行改动,只需在校园网的出口处部署BRAS 设备,BRAS 直接连接到IPv6网络,便可以提供用户到IPv6的访问。
当用户的校园网络已经部署,而且在不希望对校园网络进行任何的改造或变动的前提下,实现用户接入IPv6网络的身份认证时,此方式非常有效。这种方式有自身的部署前提,因为L2TP 方式是通过IPv6 over PPP 实现地址的分配,所以想要实现L2TP 方式的话,客户端需要支持PPPv6,目前Vista 可以提供支持。
L2TP 方式的工作原理很简单,用户通过拨号到BRAS 的IPv4地址,实现L2TP 认证和IPv6地址获取,BRAS 基于每个用户动态生成一个L2TP 会话,BRAS 基于这个L2TP 会话进行相应的诸如速率限制、访问权限、组播复制、流量统计等方面的控制。L2TP 方式的典型应用案例是某大学校园网的IPv6地址分配,具体情况请参见下图:
16某大学校园网IPv6地址分配示意图
2. PPPoE方式
PPPoE方式通过IPv6 over PPPoE实现地址分配,用户通过PPPoE的拨号过程实现IPv4/IPv6地址的双栈分配和应用。这种方式适合于校园网中大规模IPv4/IPv6双栈用户接入部署使用,在校园网中有很多这样的应用。具体情况请参见下图:
PPPoE方式示意图
PPPoE的接入方式是通过在网络内部部署BRAS,通过二层网络改造,提供用户的PPPoE接入,为了减小网络的改造,BRAS可以旁挂在汇聚层设备。
这种方式的IPv6部署实现的工作原理很容易理解,从实现过程上来看,用户通过拨号到BRAS,实现PPPoE认证和IPv4和IPv6地址获取。在这个获取过程中,BRAS基于每个用户动态生成一个PPPoE会话,然后BRAS基于这个PPPoE会话进行相应的控制。
PPPoE方式也有自身的部署前提,一方面是它需要接入汇聚层的二层化改造,另一方面同L2TP方式一样,客户端需要支持PPPv6,目前Vista可以提供支持,也可通过特定的客户端在XP等操作系统上支持。某高校的CERNET接入采用的就是PPPoE方式,这种部署模式下,也可以同时提供用户L2TP的接入方式。具体情况请参图。具体情况请参见下图:
某高校PPPoE方式实施示意图
3. 无状态IPv6地址分配 (IPoE方式)
I Po E方式通过N D/RA协议实现无状态的I P v6地址的分配,用户也可同时获得I P v4、I P v6的地址,实现双栈功能。具体情况请参见下图:
IPoE方式示意图
这种方式的最大优势在于它的灵活性,因为IPoE方式不是通过拨号来实现IPv6地址分配的,所以在部署时,客户端只要支持IPv6就可以了,这样,客户端可以选择的操作系统就非常多了。用户接上网线即可实现IPv6地址的分配,通过IE浏览器便可实现用户的认证接入,不存在任何兼容性的问题,而且使用方便、简单,不需要任何帮助。
IPoE方式的控制方法是BRAS基于每个用户动态生成DSI (动态用户接口) ,基于这个DSI进行相应的控制。这种方式的典型应
Carrier
Network ●客户端与BRAS之间为二层通道
●通过客户端实现到与BRAS的PPPoE拨号
●通过PPPoE的PPPv6,实现IPv6
地址的分配
Carrier
Network ●客户端与BRAS之间为二层通道
●通过BRAS的无状态地址分配,实现对客户端IPv6的
地址分配
●用户PC接入网络即可获得IPv6地址
17
用是某大学的IPv6接入。具体情况请参见下图:
某大学的IPv6接入示意图
瞻博网络校园网BRAS 解决方案的精细化管理:
校园网的规模比较大,结构也比较复杂,所以针对校园网的运维工作,瞻博网络主张精细化管理。1. 精细控管,构建安全秩序的校园网
瞻博网络新一代校园网BRAS 解决方案强调基于用户的控制。它可以基于用户账号,实现基于用户的控制,所有用户的控制属性可以通过radius 系统实现动态下发。
校园网的安全问题是管理者所头疼的,因为在高校中,学生的自学能力比较强,技术水平也比较高,热衷于摸索和尝试,所以校园网的秩序是非常难以掌控的。
通过在校园网中部署瞻博网络网络BRAS 方案:
●
能够对网络中的使用者,实现基于用户身份的行为控制,诸如可访问的资源权限、对网络带宽的占用等方面的控制,做到可控制、可管理。
●
针对校园网络中的流量,包括对校园网内部和到外部网络的访问进行有效的监视、记录和审计,实现对使用者身份、网络IP 地址及其访问行为的识别和记录,做到可跟踪和可追查。
●
针对网络应用提供精细化管理,实现完善的流量识别和控制能力,保障重要应用系统的网络承载,包括安全性、带宽保障、可靠性等方面,做到可识别、可保障。
2. 剪断线缆,与无线校园的无缝对接
现阶段,无线网络已经在校园网内非常普及,在图书馆、教室等地方几乎都能看见学生在用笔记本电脑进行无线上
网。可是,无线网络无论是建设还是维护和管理,所产生的成本非常的高,而且无线网络的计费和认证也是一个难实现的功能。
BRAS 解决方案中,它提供了一个无线的二层通道,类似于交换机提供的有线二层通道,无线通道上可以支持PPPoE/L2TP 报文,所以无线AP 不需要802.1X 功能,简化了成本和管理维护需求。通过NAS-Port-Type 属性,BRAS 可以通知后台的认证计费系统,用户是从无线方式接入,从而实现区别于有线方式的针对性的控制和计费功能。
3. IPv6组播实现,新网络下的一对多呼叫
组播对于校园网的重要性是不言而喻的,回顾IP 组播技术的发展历史,第一个关于IP 组播的RFC 就最初诞生于校园网中。大型校园网网络规模大,通常有两台以上的核心交换机和若干L3交换机构成网络主干,多为千兆以太网链路,运行动态路由协议,用户数量多在1万以上。由于校园网的用户多为在校大学生和教师,其在线人数,在线时长,每用户带宽,网络应用的多样化等指标都大大超过商业网络和宽带小区网络。网络在校园网的应用已经渗透到教学、科研、管理、生活、娱乐等各方面。特别在非典结束后,更多的校园网使用者开始关注如何通过网络进行沟通和协同工作,这就为组播技术在校园网内的广泛应用带来了更高的要求。在IPv6下,校园网的组播如何实现?BRAS 解决方案可以实现IPv4/IPv6双栈组播的控制和流量复制的功能。首先,它基于用户账号来控制用户是否允许组播功能,其次控制用户的访问速率,并且把组播数据复制到用户的PPPoE 会话或者VSI 接口实现组播,同时,当用户使用PPPoE 或L2TP 实现拨号认证时,组播流量在BRAS 上实现复制,当接入层设备支持IGMP snooping 和MLD snooping 时,可以实现在接入层设备上的IPv4/IPv6组播数据的复制,现阶段接入层设备不支持MLD snooping 时,仍通过BRAS 实现IPv6组播流量的复制,下联的二层设备在VLAN 内广播。
业务优势
●
瞻博网络校园网BRAS 解决方案很好的解决了现阶段校园网的普遍需求。通过BRAS 解决方案,校园网用户不仅可以顺利平滑地过渡到IPv6,还可以实现基于用户控制的精细化管理,使得校园网的管理难题得到了妥善的解决。
●
面向下一代网络即IPv6的应用,不仅仅是现阶段校园网所要面临的问题,更是将来各行各业都要面临的问题。BRAS 解决方案的出现,为我们解决这些问题找到了解决办法,值得各行各业的IT 管理者了解和借鉴。
教学3区6806E
老校区6509
计算机学院6810E
信电学院6810E
行政办公大楼6810E
计算机学院实验室
建议配置
BRAS方案部署建议
部署模式选择:
●希望实现访问外网的认证计费控制功能,建议在校园网出口部署BRAS,提供L2TP接入。
●希望对校内外访问都实现精细化控制,建议在校园内部署BRAS,提供PPPoE接入。
●希望能简化用户认证流程,无需部署客户端时,建议在校园内部部署BRAS,提供用户DHCP接入。
设备选择:用户规模无需冗余引擎和万兆接口需要冗余引擎和万兆接口PPPoE/DHCP并发用户16000以下ERX310或E120/E320E120/E320
18
19
方案介绍
校园网络的接入情况非常复杂,首先,用户非常复杂,除了教职员工及学生,合作伙伴、服务厂商等也是校园网的常客;其次用户流动性强,作为主要用户群体的学生,个人笔记本电脑应用已经非常广泛,对于网络安全带来一定的考验;同时应用复杂,用户大部分都是思想活跃的年轻人,像即时软件、无线设备、下载工具等等应用非常广泛,甚至有些学生也将黑客工具安装在电脑中。
校园网的接入控制解决方案不仅要确保认证前后的安全性、提供细粒度的网络接入控制并且隔离/修复违规用户和设备,而且还必须支持不可管理的设备连接网络、实施准入控制和应用接入控制机制并提供可视性和监控功能。解决方案还必须适应所有的接入控制情况,包括网络保护、来客访问、控制、可视性和监控等,同时利用现有的网络投资和部署。最后,完善的接入控制解决方案必须基于开放的业界标准,以帮助校园网避免单一供应商“锁定”,同时降低与部署和管理接入控制解决方案相关的复杂性和成本,允许分阶段部署。
瞻博网络公司统一接入控制 (UAC) 解决方案将用户身份、设备安全状态信息和网络位置信息结合在一起,为每个用户创建特定会话的接入控制策略。可使用802.1X 将其部署在L2,或使用防火墙的部署方法将其部署在L3。也可使用混合模式来设置UAC ,将802.1X 用于网络准入控制并将L3设置用于资源接入控制。具体情况请参见下图:教育网络的建设,最终目标之一是信息共享和信息利用,而随着网络应用的不断发展,需要访问内部网络的人员的身份也日趋复杂,部署完备的统一接入控制 (UAC) 方案愈发重要。瞻博网络公司统一接入控制 (UAC) 解决方案能够降低威胁发生率,提供全面的控制、可视性和监视,并且降低接入控制部署的成本和复杂性。UAC 还能将接入控制扩展到网络流量,深入到校园网络核心并延伸到校园网络边缘来执行接入控制策略,牵制风险并保护敏感的资产。
方案概述
统一接入控制 (UAC) 解决方案
瞻博网络UAC 解决方案中的产品包括:
1. Infranet 控制器,作为安全策略的集中引擎和面向现有校园网AAA 基础设施的连接点。Infranet 控制器还提供来自瞻博网络Steel-Belted Radius ? 的集成RADIUS 功能,在端点进入网络时支持80
2.1X 交易。
瞻博网络统一接入控制解决方案的核心是Infranet 控制器,这个控制器是经过强化的策略管理服务器,可将UAC 代理部署到端点 (或者以无代理模式来收集信息),以便获得用户认证、端点安全状态和设备位置信息。Infranet
控制器将这些信息结合起
AAA 认证
服务器
Infranet Controller (IC)统一的访问策略控制器
访问策略执行点
基于用户标识,网络标识和端点评估的全面的策略执行
● 主机安全检查
● 个人防火墙/IPSec VPN 引擎● MS Windows 单点登陆
●
Mac 和Linux 无客户端的执行
来,以创建动态策略。然后,这些动态策略通过整个网络传播到策略执行点。Infranet控制器将瞻博网络业界领先的Secure Access SSL VPN策略控制引擎与校园网现有的AAA/身份识别及接入管理基础设施无缝集成,并允许使用授权目录中的群组关系。控制器能够在会话期间按照管理员定义的频率重复开展这些评估,以确保实现动态的策略管理与执行,并对违规用户或产品应用细粒度的、策略特定的修复功能。
Infranet控制器包含两种型号:Infranet控制器4500 (IC 4500) 和Infranet控制器6500 (IC 6500)。IC 4500设计用于满足中小型校园网或远程/分支办事处的需求,它能够通过扩展,同时处理几千个端点,并可通过群集对的部署,以提供高可用性。IC 6500设计用于大型校园网,能够同时处理几万个并发端点。IC 6500提供大量的高可用性特性,包括可现场升级的热插拔电源以及硬盘等。IC 6500可部署在多单元群集中,用于提高性能并提供更高的可扩展性。
2. UAC代理是可动态下载的代理程序,可由Infranet控制器
进行实时地预配置与调配,也可通过其他方法进行部署。UAC代理也可作为跨平台的、可动态下载的轻型代理使用,或在无代理模式中支持访客网络等不允许下载软件的环境。UAC代理收集用户凭证并评估端点安全状态。UAC代理可在单一部署中提供瞻博网络Odyssey? Access Client (OAC) 802.1X客户端/请求方提供的集成802.1X功能、L3-7功能、通过扫描端点来检查各类安全应用及其状态并且定制检查所有网元的主机检查器功能以及状态个人防火墙。
UAC代理是可动态下载的代理程序,可由Infranet控制器进行实时地预配置与调配,也可通过其他方法进行部署。UAC代理也可作为可动态下载的、跨平台的轻量级代理使用,或在无代理模式中支持不允许或不可能下载软件的环境。UAC代理收集用户及/或设备凭证并评估端点安全状态。UAC代理可在单一部署中提供瞻博网络OAC 802.1X客户端/请求方提供的集成802.1X功能和L3-7功能,包括用于动态执行客户端策略的集成个人防火墙。UAC还提供面向Windows设备的特定功能,如用于Active Directory的IPSec VPN (允许加密端点与防火墙之间的流量) 获得单点登录等。UAC代理的集成主机检查器功能为数千个瞻博网络安全接入SSL VPN部署所熟悉,允许管理员通过扫描端点来了解各类安全应用/状态,包括但不限于防病毒、防恶意软件和个人防火墙。UAC代理还允许定制检查寄存器和端口等网元的状态并执行MD5校验和检查,以便验证应用的有效性。UAC代理提供预定义的主机检查器策略并允许自动监控防病毒签名文件以便利用最新的定义文件开展安全状态评估,从而帮助简化部署工作。UAC代理最新推出了面向Microsoft? Windows Vista TM 平台的L2/L3 UAC代理,从而进一步增强了对常用的校园网计算平台的支持。UAC代理还支持基于角色的交付形式,可根据用户或设备的身份为它们动态提供无代理或代理模式的接入服务。
3. UAC执行点,包括瞻博网络公司各防火墙/VPN设备。
UAC的执行点包括兼容802.1X的任何交换机,如瞻博网络EX系列、基于802.1X的无线接入点及/或任何瞻博网络公司防火墙/VPN平台。瞻博网络防火墙产品,包括安全业务网关(SSG) 设备和带IDP模块的集成安全网关 (ISG),可用作L3-7 重叠执行点。对于需要基于L2端口的执行点的校园网,将允许校园网快速获得访问控制的优势,无需对硬件进行全面改造。瞻博网络EX系列以太网交换机提供基于标准的802.1X端口级访问控制,以及基于用户身份、位置及/或所用设备的L2-4策略执行。当与UAC联合使用时,瞻博网络EX系列以太网交换机还能应用服务质量 (QOS) 策略,或将用户流量镜像到中央位置用于记录和监控,也可通过市场领先的瞻博网络IDP产品等入侵防御系统来检测威胁。各种类型的瞻博网络防火墙和交换机都可用作执行点,因此校园网可获得最佳的防火墙功能和无与伦比的接入控制部署灵活性。某些瞻博网络防火墙还支持威胁管理功能,包括瞻博网络的IDP功能和基于网络的防病毒、防垃圾邮件和URL过滤功能。所有这些功能都是UAC解决方案的一部分,可供您动态利用。UAC不仅执行接入控制策略,而且还逐个用户/会话地实施深层数据包检测、防病毒和URL过滤等安全策略,从而使校园网能够针对各类网络接入实施统一的应用和安全策略,以及威胁控制机制。您可在透明模式中设置执行点,无需更改路由/策略或改造网络基础设施;您也可在审计模式中设置执行点,以便直观显示不使用执行点时的法规遵从情况。
瞻博网络UAC解决方案主要有以下三层价值主张:
1. 高级的网络保护
●将端点评估、用户/设备身份识别和网络位置信息与实时的动
态网络安全策略执行功能捆绑在一起。确保统一实施网络保护,同时通过任何全新或现有的、由任何供应商提供的支持802.1X的交换机、接入点或其他设备以及任何瞻博网络防火墙/VPN平台来逐个用户地实施会话特定的接入策略,从而节省时间并实现网络投资保护。
●单一的集中策略引擎。
●强健的、动态的UAC代理。保护校园网网络 (和其他端点)
免遭有害的违规端点及/或恶意端点的威胁并允许校园网维护接入控制、网络安全性和正常运行,即便端点不归校园网所有或管理也不例外。
●无代理部署。校园网可通过将端点评估和用户身份验证相结
合,在不允许或不支持客户端下载的情况下保护Mac OS、
20
Linux 和 Solaris 平台免遭基于源IP的攻击,并继续执行网络安全策略。
●协同威胁控制。与市场领先的瞻博网络IDP产品无缝互操
作,快速排除或牵制网络威胁,从而最大限度地缩短网络和用户服务中断时间。
●协同威胁控制。动态处理不可管理的端点,增强网络和应用
的保护力度,使校园网能够更快速、更轻松地在整个网络上部署接入控制策略,与产品的可管理性无关,从而利用现有的策略和资料库或者资产发现/资料整理分类解决方案基于角色和资源对不可管理的产品实施接入控制,藉此节省时间并降低成本。
●扩展了自动修复功能。能够自动修复任何违规产品,无需用
户参与或其他帮助,从而最大限度地缩短故障停机时间并减少支持电话数量,帮助节省时间和成本,提高用户和支持人员的生产率。
●集成的、预定义的补丁评估检查。对端点设备的安全状态实
施更严格、更具体的评估。
●动态的角色映射。可在认证前后及整个会话期间执行安全要
求检查。
2. 控制、可视性和监控
●基于身份的资料整理。允许校园网了解谁正在接入他们的
网络应用与具体的接入时间,从而确保满足法规遵从和审计要求。
●基于角色应用安全策略。允许校园网将用户/角色信息植入到
网络基础设施产品中,用于控制网络/应用接入。
●细粒度的审计和日志。确保按最终用户属于的角色、他们试
图访问的资源以及端点和用户对网络安全策略的遵从状态等进行详细的日志记录。
3. 简单、灵活的接入控制
●基于开放标准的解决方案。提供与供应商无关的接入控制并
且无缝支持异构网络环境,使校园网能够快速、轻松、灵活地部署接入控制解决方案,无需叉式升级,从而节省时间和成本。
●基于瞻博网络业界公认的最佳安全性和接入控制产品。在全
球数千个部署中经过现场测试的业界领先的安全性和接入控制产品,确保可靠性以及与现有的异构网络基础设施的互操作性,提供投资保护,并且节省时间和成本。
●与瞻博网络EX系列以太网交换机互操作。由一家供应商 (瞻
博网络) 提供完整的、基于标准的、最佳的网络接入控制解决方案,使客户在将产品一起部署时能够享受到增值优势、支持和服务的规模经济优势,以及发展整个接入控制环境的优势。●坚决支持可信计算组织下属可信网络连接 (TNC) 的一系列
开放标准。允许校园网选择最适宜的端点安全解决方案,无需担心互操作性问题,并确保最大的选择性,从而加快实现投资回报。
●允许分阶段地部署接入控制解决方案。缩短接入控制解决方
案的部署时间并降低成本;审计模式允许用户了解策略和必要的制度遵从情况,并允许校园网分阶段地执行策略。
●动态的认证策略利用现有的AAA投资。利用校园网现有的
目录和PKI投资以及严格的认证机制,允许管理员为每个用户会话制定动态的认证策略;RADIUS代理可满足后端RADIUS服务器的认证要求。
●基于角色下载UAC代理。允许校园网基于用户及/或设备身
份为其动态分配代理或无代理的接入模式,无需提前做出选择。
●扩展了对认证协议的支持。允许校园网利用更多的网络软件
和设备,在多个部署环境中在接入层实施网络接入控制。
业务优势
●瞻博网络将众多高级网络保护完美融合于一身,安全可靠无
懈可击。瞻博网络将端点评估、用户/设备身份识别和网络位置信息与实时的动态网络安全策略执行功能捆绑在一起,实现了单一的集中策略引擎,另外,我们的安全措施还包括:建立强健的动态的UAC代理、无代理部署、协同威胁控制、扩展了的自动修复功能等等。
●对于整个网络细致入微的管控。随时掌控接入者的一举一
动,基于身份进行方便的管理,并提供细致的日志报告,网络的接入尽在掌握。
●基于业界公认的最佳安全性和接入控制产品以及开放的标
准,瞻博网络帮助实现简单灵活的校园网接入控制。
建议配置
●Infranet控制器
-Juniper IC4500 (接入用户规模在500人以下)
-Juniper IC6500 (接入用户规模在500-1000人之间)
-建议部署多台IC设备实现用户分担 (接入用户规模在1000 人以上)
●UAC代理
-Infranet Agent + OAC
-无客户端Agentless
●UAC执行点
-Layer 2-Juniper 802.1x交换机和无线接入点
-Layer 3-Juniper全系列防火墙
21