2校园网出口解决方案
校园出口设计解决方案
项目小组:CRZ.FZU
小组成员:詹长贵、陈志洲、荣融
目录
1. 校园网出口设计的重要性 (2)
2 .当前校园网出口面临的挑战 (3)
2.1多出口支持挑战 (3)
2.2NAT性能挑战 (3)
2.3安全防御挑战 (4)
2.4流量控制挑战 (4)
2.5内容审计挑战 (4)
2.6高可靠挑战 (4)
2.7扩展挑战 (4)
3.选择的拓扑方案 (5)
4. 方案分析 (5)
4.1 双出口设计 (5)
4.2 RSR-16E汇总出口数据 (6)
4.3 ACE3000+NPE50的完美组合............................. 错误!未定义书签。
4.3.1 RG-ACE3000 (8)
4.3.2NPE50 (11)
5. 实现的技术 (15)
5 .1 NAT技术 (15)
5.2 PPTP VPN技术 (15)
5.3策略路由技术 (16)
5.4IPv6 over GRE 隧道技术 (16)
5.5访问控制技术 (17)
7. 产品的配件 (18)
RSR-16E配件 (18)
附件: (19)
RSR-16E技术参数 (19)
校园出口设计解决方案
第一章校园网出口设计的重要性
目前各高校对校园网的建设非常重视,大多数都建成了一个能满足数字、语音、图像等多媒体信息以及综合科研信息传输和处理需要的千兆以太综合数字网。校园网大都采用了千兆以太网技术,百兆到桌面,网络结构为核心层、汇聚层和接入层三大部分。随着各种网络教育实践活动的广泛开展,如网络办公、远程教学、科研工作、网上招生和在线培训考试等。同时,校园网内部用户也需要对外网资源的访问。出口,在世界数字化得今天,是我们通往世界的桥梁!
第二章当前校园网出口面临的挑战
2.1 多出口支持挑战
当前大部分国内高校校园网出口都采用多出口的架构, 原因是:
(1)提高访问不同网络资源的速度。和电信、网通等运营商互联仅在北京、上海、
广州三地有交换中心, 且带宽也不够高, 这就给教育网访问公网, 运营商网访问
教育网带来瓶颈,需要采用多出口提高访问速度。
(2)解决线路备份问题, 避免出现单出口的单点故障。多出口的架构一般在实际
应用中, 需要出口设备支持多元素匹配的策略路由功能, 而且实际应用的策略路
由的规则数有几百条。早期或部分新的出口设备, 启用海量策略路由后,性能下降
较多影响出口。
2.2 NAT性能挑战
由于校园网大多采用私网地址, 访问外网需要进行NAT网络地址换, 即使有些高校拥有较多教育网只但通过网通、电信线路访问资源时仍然需要做, 由于运营商
分配的地址有限, 因此校园网出口设备需要做海量的NAT, 出口设备NAT性能决定校
园上网速度的重要因素。
NAT性能主要取决几个因素:
(1)NAT最大并发连接数;
(2)NAT新建连接速率;
(3)NAT吞吐能力。
2.3 安全防御挑战
校园网出口区域是校园网的“门户” , 作为镇守校园网“门户”的出口设备自然也成为安全的第一关。由于近几年网络带宽的迅速增长, 网络威胁也呈
现快速增长态势, 攻击、扫描、入侵、D0S攻击、蠕虫病毒攻击、恶意软件、垃圾
邮件、还有各种P2P应用。出口设备既要防范校外网络威胁进来, 又要防范校内异
常流量对出口设备造成破坏。校园网络带宽越大, 网络威胁可能造成的危害也就
越大, 出口设备安全防御面临空前挑战。
2.4 流量控制挑战
近几年, 各种P2P应用(BT、电骡、迅雷、网络电视等)非常丰富, 这些应用占用了大量的网络资源, 出口带宽的增长几乎永远无法满足这些应用的胃口,
正常的应用带宽难以得到保障, 所以非常有必要对一些影响正常应用的特定应用
进行必要的流量控制。
2.5内容审计挑战
边界设备需要为海量的NAT记录日志以满足国家相关内容的审计要求。由于开启日志会严重影响性能, 使得本来就难以承担海量NAT工作的边界设备性能进
一步降低。
2.6高可靠挑战
校园网出口区域由于其特殊的位置, 因此校园网出口的不可用会导致整个校园网成为一个信息的孤岛, 如何保证出口设备的高可靠, 如何保证出口网络线
路可靠, 也都摆着校园网管理者的面前。
2.7扩展挑战
校园网络迅速扩展, 出口设备背后支持的用户数不断增长, 虽然很多校园骨干网络已经是万兆网络, 但出口设备与校园骨干网接入仍然采用千兆线路, 网
络带宽瓶颈依然存在二出口设备与骨干网采用万兆接口相连以解决带宽瓶颈的需
求,会在未来一年扩展中逐渐浮现出。但若现有出口设备不支持万兆接口, 恐怕就
无法面对扩展的挑战, 现有出口设备投资无法得到长期回报。
3.选择的拓扑方案
第四章方案分析
在出口部署了锐捷网络NPE网络出口引擎和流控设备;NPE保证了出口的高性能。流控设备对各种应用进行识别和基于应用的带宽控制。从架构上,全网锥形架构;实现的效果是校内任何汇聚设备到出口只有1跳。
4.1 双出口设计
设置Cernet(1G),电信ChinaNet(200M)。提高了访问不同网络资源的速度,解决线路备份问题, 避免出现单出口的单点故障。
4.2 RSR-16E汇总出口数据
RSR-16E是锐捷公司与juniper公司合作,针对电信、政府、电力、金融、教育、企业等用户网络需求现状定制的一款集高性能转发、高灵活性业务处理和高密度接入能力于一体的高端多业务路由器。
4.2.1 丰富的业务支持能力
全面的 VPN 业务可满足最多的客户需求, 最大程度提高供应商收入;支持传统的VPN 同时,同时支持基于IP的2层VPLS与3的VPN RFC2547;IPSec和 GRE 等;
支持LLQ,对话音、视频及其他实时敏感性应用提供高质量的保证;
按 DLCI、VP、VC、VLAN、信道 (DS0) 和端口 QoS;
分类、速率限制、整形、加权循环调度、严格优先级调度、加权随机早期检测、随机早期检测和数据包标记;
第 2 层 (802.1p、CLP、DE) 映射到第 3 层 QoS (IP DSCP、MPLS EXP);
基于硬件的 IPv6 性能、MPLS IPv6、IPv6 over IPv4 GRE 隧道、IPv6/IPv4 双栈;
强大的组播支持包括 IGMP v1/v2/v3、PIM-SM、 PIM-DM、MLD、SSM、RP、MSDP、BSR 以及 MPLS/BGP VPN 中的组播, 以高效利用资源、传输高价值内容;
基于网络的安全业务包括 NAT 和状态防火墙、以及按 VRF 的 NAT 和状态防火墙;
用于汇聚链路的 MLPPP、MLFR .15 和 MLFR .16, 802.3ad;
利用 Flow 记帐、源级使用以及目的级使用特性, 可按应用和CoS 资源使用灵活计费, 以及基于距离的计费;
通过合作伙伴关系实现多厂商网络管理解决方案;
基于 XML 的Script API 便于第三方和内部OSS 开发。
4.2.2 广泛地提供业务
特性丰富的 RGNOS 软件在平台上运行, 确保一致的业务, 并使供应商可独立于连
接或服务地区密度向所有用户推出所有业务;
可通过任何接入技术, 包括 ATM、FR、以太网和TDM 连接;
支持不同类型的接口:DS0 到 OC-192/STM-64;
降低运营成本;
可无缝迁移到更大的平台, 以适应网络的增长。
4.2.3 低投入高产出的基础设施
业务构建可完全隔离控制层面、转发层面和业务层面, 可在单一平台支持多种业务;
在尽可能降低资本开支和运营开支的同时, 最大限度提高收入;
将以前由NAT、状态型防火墙、IPSec 和 QoS 等不同设备执行的功能整合到锐捷RSR-16E平台中;
在单一平台上提供多种业务使客户可以不必进行资本投资即可尝试许多不
同的业务, 从而扩展业务, 进一步拓展用户数量;
逻辑路由器支持供应商将一个路由器分割成多个管理域和路由域, 以便使
两个完全不同的机构共享一个基础设施。
4.2.4高可靠性
用于 RE 切换的无中断切换, 具有无中断转发特性;
联机软件升级可实现无中断的较小升级;
MPLS FRR 确保流量能够迅速地绕过故障;
MPLS TE 路径控制用于路径优化, 结合了可预测的性能, 可用于话音和视频等延迟敏感型业务;
LSP ping 等高级 OA&M 特性可用来排除 MPLS 的故障;
支持GR(完美重启),可实现业务无中断重启 IS-IS、 BGP、OSPF、OSPFv3、LDP、
RSVP、第 2 层 VPN 和第 3 层 VPN;
模块化 RGNOS 软件可确保某一个模块发生故障时不会对整个操作系统产生影响;4.2.5 安全网络
高性能NAT、状态型防火墙、攻击检测和通过多业务 PIC 实现的 IPSec;
隔离路由层面和控制层面, 可利用状态型防火墙保护控制层面;
Flow 状态型数据包流监控带有标准的 flowd v5 和 v8 记录, 可全面监控网络;
扩展性高的过滤、单点发送 RPF 和速率限制可防止 IP 欺骗和 DOS 攻击;
高性能 IPSec 和 MPLS IPSec 具有数字证书支持特性, 可进一步加强安全性;
其他无处不在的安全特性, 如端口镜像、加密管理会话业务、安全隧道功能、安全远程登录和可配置的权限级别及用户账户。
。
4.3 RG-ACE3000 ——流控专家
RG-ACE应用控制引擎以DPI(Deep Packet Inspect,深度包检测)技术为核心,支持软/硬件Bypass,提供了基于七层应用的带宽管理和应用优化功能;在带宽管理方面,配合用户自定义的带宽策略以及RG-ACE的核心带宽自动分配算法,可以为网络链路划分多个虚拟带宽通道,能够实现最大带宽限制、保证带宽、带宽租借、带宽配额、应用优先级、随机公平队列等一系列带宽管理功能,为客户提供了带宽管理、分析和优化的一体化解决方案,能够有效的检测和防止不正常应用对网络带宽资源的非正常消耗,保证关键应用带宽,限制非业务应用带宽,改善和保障了整体网络应用的服务质量。
4.3.1 网络实时流量监控与分析
网络流量的实时采集、监控和精细分析使得网络运行状况、应用情况、带宽使用情况等状况完全可视化
基于协议和基于IP地址(用户)两种类型的实时流量分析器,提供访问的源/目的IP地址、服务端口、应用协议、Session数
以及流量大小等详细信息。
4.3.2 应用层自动识别和分类
P2P应用:Bittorrent、eMule、KAZAA、KURO、NAPSTER 、EDONKEY、AUDIOGALAXY、EZPEER、KUGOO、GNUTELLA、VAGAA、SOULSEEK、
POCO、PIGO等30多种P2P软件。
IM应用:MSN、Yahoo、ICQ、AOL、QQ、YAHOO、WEBIM、IRC、XMPP等10多种主流的IM软件。
视频/Streaming应用:新浪直播、搜狐直播、RTSP、SIP、PPSTREAM、PPLIVE、APPLEQTC、CCIPTV、QUICKTIME、REALPLAYER、MMS、
QQlive、H.323等主流的视频和流媒体应用。
网络游戏:COUNTERSTRIKE 、QUAKE1 、DOOM3、QQGAME、CGA、SUBSPACE 、XBOXLIVE 、QUAKE-HALFLIFE 、BATTLEFIELD1942、
WOW、联众等网络游戏。
炒股软件:大智慧证劵信息平台、天一证劵网上交易系统、华泰网上交易分析系统、证券之星等炒股软件。
企业办公、数据库与中间件:HTTP、SMTP、POP3、IMAP、文件共享、FTP、SQL Server、Oracle、DB2、WebSphere MQ等企业的关
键应用。
为用户关键应用提供量身定做的自定义特征码。
4.3.3 网络流量控制管理
支持基于用户(源IP地址)、目标IP地址、时间、协议和应用等为参数进行灵活的阻断与允许功能;
支持基于用户(源IP地址)、目标IP地址、时间、协议和应用等为参数进行上行与下行带宽控制;
支持基于用户(源IP地址)、目标IP地址、时间、协议和应用等为参数进行Session数量控制;
支持组对象的配置,如定义用户组(IP组)、协议组(如P2P协议组、游戏组)对同一类型的应用、相同级别的用户进行带宽管理策略
的控制。
4.3.4 流量整型与应用优化
支持自定义虚拟带宽通道、最大带宽限制、保证带宽、带宽租借、应用优先级以及随机公平队列等一系列的应用优化和带宽管理控制功
能。
4.3.5 提供丰富的图表报告分析和统计
提供一年内的应用或协议流量纪录,并可生成天、
周、月、季度、年时间段内的应用及协议的带宽使用统计报告。包括:
总带宽分析报表、应用带宽分析报表、基于协议的带宽分析报表、基于
协议和流量方向(进入/出去)的带宽分析报表、基于应用和流量方向(进
入/出去)的带宽分析报表、基于IP地址的带宽分析报表、用户自定义
报表等等
4.3.6 应用层防火墙
应用层防火墙能够识别并阻断黑客的端口扫描以及DoS攻击行为,支持通过Session数控制、带宽控制来提高网络可用性和安全性;
4.3.7 集中化的图形化管理平台
提供中英文的图形化管理平台,可以用一台管理服
务器集中的管理网络上的多台ACE设备。图形化管理平台采用JAVA架构,
能够适应于各种操作系统和服务器,用户只需利用浏览器即可远程访问
管理服务器进行设备管理。
4.4 NPE50 ——NAT转换高手
NPE50产品是锐捷网络公司针对网络出口实际需要开发的专用设备,采用全新NP架构设计,主控板固化提供了3个光电复用的10/100/1000M以太网口,带两个支持热拔插的NMX模块插槽;NPE具备转发高性能,在启用NAT、ACL、PBR(策略路由)的情况下,在通常情况的报文流情况下(平均报文长度为500byte左右的混合报文),双向可以达到8Gbps的线速转发,每秒可以创建30万条以上的NAT会话,在2Gbps的NAT线速转发情况下,每秒仍然可以达到新建7万条的NAT会话,达到200万条的并发NAT会话,内嵌防火墙功能,具有强大的设备自身抗攻击功能。
4.4.1 先进的硬件体系架构
采用双核NP硬件体系架构,NP内双核并行处理,性能倍增。
在主控板上固化提供了3个GE口,直接和NP连接,不占用背板带宽,达到线速转发。
GE口都支持光电复用,不需要额外单独购买价格昂贵的GE模块,节省投资,应用灵活方便。
模块化设计,NPE50-20支持2个NMX模块插槽,通过扩展可以支持达到7个光电复用的GE口。NPE50-40则支持4个NMX模块插槽,通过扩展可以支持到11个光电复用的GE口
支持1+1的冗余电源,保证系统的可靠性。
支持USB的应用,提供了2个标准USB插槽,采用USB2.0的标准,兼容USB1.1标准。支持USB FLASH Memory(U盘),可存储配置文件及日志文件,因其具有良好的可移动性,可减少许多重复的配置工作,大大减少系统维护的工作量。
4.4.2 高性能NAT
由于IPv4地址的匮乏,NAT作为网络出口设备必备功能,随着网络规模和出口带宽的扩大,需要更高速的NAT,锐捷NPE设备,采用NAT与REF(锐捷快速转发)高效配合,并充分利用流交换技术,实现高速NAT,NPE作为网络出口设备性能上不会成为瓶颈:
在启用NAT、ACL、PBR(策略路由)的情况下,在通常情况报文流情况下(平均报文长度为500byte左右的混合报文),双向可以达到8Gbps的线速转发。
每秒高达30万条的NAT新建连接会话。在2Gbps的NAT线速转发下,每秒达到新建7万条NAT会话。
并发达到200万条的NAT会话数。如果按照每个网络节点300条NAT会话,则可以同时支持将近7000台的网络节点同时在线。
4.4.3 多功能NAT
支持NAPT、NAT以及路由的混合使用,满足各种复杂的网络地址规划;
支持NAT静态映射,向外提供WWW、Telnet、FTP等服务;
支持NAT Re-routing和反向NAT;
提供NAT ALG功能,支持FTP、RTSP、MMS、H.323、SIP等特殊应用协议。
4.4.4 快速ACL包过滤技术
NPE提供性能卓越的ACL包过滤功能,支持标准和扩展的ACL访问控制列表。NPE采用先进的流表处理技术,利用源IP、目的IP、源端口、目的端口、协议号等5个元素来定义一条流。每秒可以处理和创建的流数量达到10万条。
每个ACL包涵多个控制列表表项(ACE),NPE将ACL和流交换高效整合,实现ACL和ACE数目多少对于数据转发接近零影响,有效的提高网络出口设备的数据包转发能力。
4.4.5 高性能策略路由
根据用户制订的策略路由,基于源接口更加灵活的数据包路由转发机制。与功能强大的ACL配合使用,可以根据报文的源地址,目的地址,应用协议进行有效组合,实现策略路由。
NPE设备上,将策略路由与流交换高效整合,实现PBR规则数目多少对于数据转发接近零影响,有效的提高网络出口设备的数据包转发能力。
4.4.5 灵活的流量控制
流量限制是防止某些用户或者应用(如BT等P2P应用)占用过多的网络资源,使用流量管理用户能够公平使用带宽。对于一些常见的DOS/DDOS攻击,在其他防御手段都无效的情况下,流量限制是一个简单直接的方式。NPE具有丰富的流量控制功能:
带宽限制:可以提供从基于接口的带宽限速,到基于策略的每用户的带宽限制;
并发会话数限制:基于策略的或者每用户的并发会话数限制;
新建会话速率限制:基于策略的或者每用户的新建会话速率限制;
4.4.6 完备的日志管理
日志对于网络安全的分析和安全设备的管理非常重要。NPE针对各种网络攻击和安全威胁进行日志记录,采用统一的格式,支持本地查看的同时,还能够通过统一的输出接口将日志发送到日志服务器,为用户事后分析、审计提供重要信息,NPE日志包括:
设备日志:设备状态,系统事件日志
上网记录日志:上网记录日志
攻击日志:设备网络受到攻击的日志信息
4.4.7 NPE内嵌防火墙功能
NPE设备作为网络出口设备集成防火墙功能:
报文过滤:报文过滤是防火墙最基本的功能,根据安全策略对数据流进行检查,让合法的流量通过,将非法的流量阻止,从而达到访问控制的目的。
状态检测:对基于六元组来识别网络流量,并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤。
TCP状态跟踪与检查:跟踪转发TCP流量的状态,阻断非法的TCP状态迁移,过滤带有错误顺序号的TCP报文,有效防止TCP会话劫持,TCP重放等一类的入侵。
特殊应用协议支持:如FTP、H.323、MMS、RTSP、SIP等协议,这些协议的数据通道是通过命令通道动态建立的,其中的端口是随机的。如果简单地打开所有可能的端口,但这样就大大降低了防火墙的安全性。NPE能够根据用户定制的策略来对这些特殊应用建立状态,并进行端口侦测,并解析出建立数据通道的端口,建立数据通道的连接,这样属于数据通道的数据流就能够穿过NPE,并且不会打开更多额外的端口。
攻击防御::基于状态检测,NPE可以防御的各种网络攻击包括:IP畸形包攻击、IP假冒、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、ping flood、UDP Flood等。
内容过滤:NPE能够针对URL地址进行灵活地分类,并应用到各种策略上,实现基于用户策略的URL访问过滤。以后还将支持与内容过滤服务器的联动来提供更深粒度的网络内容过滤。
4.4.8 提供设备硬件和软件的高可靠性
管理控制引擎和转发引擎完全分离:更好的稳定性、更稳定的性能、更容易实现可靠的服务特性
关键装置的冗余:
5条PCI总线冗余
电源冗余
双启动映像文件
双配置文件
关键部件热拔插:电源热拔插、风扇热拔插、模块热拔插
模块化软件设计:
某个软件模块出错,不会让机器崩溃,
软件的复杂度降低
支持软件在线升级
将问题隔离在软件模块内
多种备份机制
支持VRRP、VRRP+
支持链路备份机制
支持路由备份
采用标准的CLI配置界面,降低学习和使用成本,给维护带来极大的方便。
第五章实现的技术
5.1 NAT技术
电信提供的互联网出口提供16个公网IP。需要通过NAT技术解决校内用户对外部网络的访问需求,且实现在电信提供的互联网出口发布对外的WEB等服务。
NAT属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。
原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
5.2 PPTP VPN技术
针对在校园网外的老师及同学们,当需要访问校园网资源时,可以使用PPTP VPN 技术来实现访问。点对点通道协议(Point to Point TunnelingProtocol简称 PPTP)的协议。它是由微软公司支持的。在2003server中可以使用的。使用用户级别的 PPP 身份验证方法和用于数据加密的 Microsoft 点对点加密 (MPPE)。用户在家中可通过
拨号的方式进入校内网。
PPTP的工作原理:一般网络协议的工作方法是进行数据包(Data Packet)的交换包是由要发送的数据加上协议特定的控制信息组成。对于用户来说关心的只是需要传送的数据,对于附加的控制信息并不重要。
PPTP的工作方式是在TCP/IP包中封装原始包(nativepacket),例如IPX包,包括控制信息在内的整个IPX包都将成为TCP/IP包的“数据",然后它通过Internet 进行传输。另一端的软件打开包去除增加的PPTP控制信息还原成IPX包并发送给IPX 协议进行常规处理。这一过程叫做通道(tunneling)。
使用PPTP节省了大量长途电话或长途的专线费用。据一般估计可节省20%~40%的费用,对于有大量长途拨入的网络甚至可以节省60%~80%的费用。使用PPTP 对于原有的网络安全性并没有大的破坏,因为原有LAN的广泛的安全检查照样进行,其实PPTP对于网络用户是透明的。另外它还通过压缩、数据加密等手段保证了网络的安全性。
5.3策略路由技术
在路由器进行包转发决策过程中,通常是根据所接受的包的目的地址进行的。路由器根据包的目的地址查找路由表,从而作出相应的最优路由转发决策。
当欲使某些包由其他路径而不是明确的最短路径路由时,就可以启用策略路由,即按照我们具体需要来决定数据包的路由。基于策略路由有如下几种方式,即:基于源IP地址的策略路由;基于数据包大小的策略路由;基于应用的策略路由;通过缺省路由平衡负载。
根据实际情况我们需要特定如邮件等服务器接受和发送包的路径是通过CERNET,所以选择的是基于源IP地址的策略路由。
5.4 IPv6 over GRE 隧道技术
目前,外网大部分还使用IPV4地址作为数据的传输,但校园网中已经开始部署IPV6。阶段,IPv4仍然占有主导地位,v6网络是一些孤岛,绝大部分应用仍基于IPv4。
此时,大量采用隧道技术将各IPv6孤岛互联。
隧道(tunnel)是指将一种协议封装到另一种协议中。在隧道入口处,将被封装协议封装入封装协议,在隧道出口处再将被封装协议报文取出。在整个隧道的传输过
程中,被封装协议是作为封装协议的负载。隧道技术只需要在隧道的出入口进行修改,
而对中间部分没有特殊要求,较为容易实现。
标准的GRE隧道技术可在IPv4隧道上承载IPv6数据报文。GRE隧道是两点之间的链路,每条链路都是一条单独的隧道。特点,实际接口(interface eth)的IPv4
地址是隧道的源和目的,IPv6地址是配置在隧道逻辑接口上(interface tunnel)的。
IPv6报文先封装为GRE报文,再封装为IPv4报文。IPv4报文中的源和目的地址是隧道起点和终点所依托物理端口的IPv4地址。
5.5访问控制技术
访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还
是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
第六章 IP地址规划
在该出口中存在八个网段需分配IP地址,分配如下:
网段网络地址地址1 地址2 广播地址子网掩码
1 10.0.0.4 10.0.0.5 10.0.0.6 10.0.0.7 255.255.255.252
2 10.0.0.8 10.0.0.9 10.0.0.10 10.0.0.11 255.255.255.252
3 10.0.0.12 10.0.0.13 10.0.0.1
4 10.0.0.1
5 255.255.255.252
4 10.0.0.16 10.0.0.17 10.0.0.18 10.0.0.19 255.255.255.252
5 10.0.0.20 10.0.0.21 10.0.0.22 10.0.0.23 255.255.255.252
6 10.0.0.24 10.0.0.25 10.0.0.26 10.0.0.2
7 255.255.255.252
7 10.0.0.28 10.0.0.29 10.0.0.30 10.0.0.31 255.255.255.252
8 10.0.0.32 10.0.0.33 10.0.0.34 10.0.0.35 255.255.255.252
第七章产品的配件
RSR-16E配件
附件:
RSR-16E技术参数
校园网综合布线设计方案
第一章综合布线系统概述 1.1 综合布线系统的定义、特点和优点 综合布线系统是伴随着智能化大厦而崛起的,作为智能大厦中枢神经,综合布线系统是近20年来发展起来的多学科交叉型的新型研究领域。随着计算机技术、通信技术、控制技术与建筑技术的发展,综合布线系统在理论和技术方面也不断得到提高。 目前,由于理论、技术、厂商、产品甚至国别等多方面的不同,综合布线系统在命名、定义、组成等多方面都有所不同。我国《智能建筑设计标准》(GB/T 50314-2000)中把综合布线系统定义为:综合布线系统是建筑物或建筑群部之间的传输网络。它能使建筑物或建筑群的部设备、数据通信设备、信息交换设备、建筑物物业管理设备及建筑物自动化管理设备等系统之间彼此相连,也能使建筑物部的通信网络设备与建筑物外部的通信网络设备相互连接。 上述的定义通常被称为是建筑物与建筑群综合布线系统。按照《建筑与建筑群综合布线系统工程设计规》(GB/T 50314-2000)的定义,它包括建筑物到外部网络或局线路上的连接点与工作区的语音或数据终端之间所有电缆及相关的布线部件。 这里要注意区分一下综合布线和综合布线系统这两个基本概念:综合布线只作为一个概念而存在,综合布线系统则是一种解决方案或者是一种布线产品。两者既密不可分,又有所区别。 与传统的相比较,综合布线系统有着许多优越性,是传统布线所无法相比的。其特点主要表现在它具有兼容性、开放性、灵活性、模块化、扩展性、和经济性。而且在设计、施工和维护方面也给人们带来了许多方便。综合布线系统与传统布线系统的性能价格比,如图1-1所示。
性能价格比 图1-1 综合布线系统与传统布线系统性能价格比 1.1.1 兼容性 综合布线系统的首要特点是它的兼容性。所谓兼容性指它自身是完全独立的,与相关的应用系统相无关,可以适用于多种应用系统。能支持多种数据通信、多媒体技术及信息管理系统等,能够适应现代未来技术的发展。 过去,为一幢大楼或一个建筑群的语音或数据线路布线时,往往采用不同厂家生产的电缆、配线插座以及接头等。例如,用户交换机通常采用双绞线,计算机系统通常采用粗铜轴电缆或细铜轴电缆。这些不同的设备使用不同配线材料,而连接这些不同配线的插头、插座也各不相同,彼此不兼容。造成一旦需要改变终端设备或设备位置时,就必须铺设新的缆线,以及安装新的插座和插头。 综合布线系统则可将语音、数据与监控设备等信号经过统一的规划的设计,采用相同的传输媒体、信息插座、互连设备、适配器等,把这些不同信号综合到一套标准的布线中进行传送。由此可见,这种布线比传统布线大为简化,可节约大量的物资、时间和空间。 在使用时,用户可不用定义某个工作区的信息插座的具体应用,只把某种终端设备(如个人计算机、、视频等)插入这个信息插座,然后在交接间和设备间的配线设备上做相应的接线操作,这个终端设备就被接入到各自的系统中。1.1.2 开放性 所谓开放性是指它能够支持任何厂家生产的任何网络产品,支持任何网络结构,如总线形、星形、环形等。在传统的布线方式下,只要用户选定了某种设备,也就选定了与之相适应的布线方式和传输媒体。如果更换另一设备,那么原来的布线就要全部更换。对于一个已经完工的建筑物,这种变化是十分困难的,需要
校园网络安全防护解决方案
校园网安全防护解决方案
提纲
校园安全防护需求分析 校园安全防护解决方案 典型案例
https://www.360docs.net/doc/1a17197611.html,
2
职业院校网络面临的安全问题
出口网络问题:多出口,高带宽,网络结构复杂 P2P应用已经成为校园主流 病毒、蠕虫传播成为最大安全隐患 核心网络问题:缺少相应的安全防护手段 无法对不同区域进行灵活的接入控制 主机众多管理难度大 数据中心问题: 缺少带宽高高性能的防护方案 无法提供有效的服务器防护 数据中心网络资源有限但浪费严重 用户认证问题: 用户认证计费不准,不灵活 无法针对用户进行有效的行为审计 用户带宽滥用现象严重
https://www.360docs.net/doc/1a17197611.html,
3
挑战之一:不断增加的校园出口安全威胁
应用层威胁来势凶猛 网页被篡改 带宽总也不够 服务器应用访问很慢
https://www.360docs.net/doc/1a17197611.html,
病毒和蠕虫泛滥 间谍软件泛滥 服务器上的应用是关键应 用,不能随时打补丁
4
?“网络B超” 是优化安全管理的有效工具!
挑战之二:业务系统集中后的数据中心安全
如何解决数据共享和 海量存储的问题? 资源静态配置 数据增长迅猛 访问量越大,性能越 低,如何解决? 大量并发访问 性能无法保障
体系平台异构 管理移植困难 如何保障数据访问不 受设备、时空限制?
招生科研财务 关键信息无保护 数据安全如何保障?
?集中管理是解决问题的前提和基础 ?数据资源整合是优化资源管理的必由之路
https://www.360docs.net/doc/1a17197611.html,
5
高校校园网及网络设备配置整体解决方案
高校校园网整体解决方案 第一部分前言: 高校校园网一直是国内Internet发展的领头羊。1994年7月,中国教育和科研计算机网CERNET示范工程启动。也就是同一年,清华北大等顶尖大学建成了自己的校园网,事实上这些网络也是中国Internet的开端。高校校园网从1994年的启动建立到现在的13年间,无论是高校校园网的网络技术,还是高校校园网的关注要点,大致可以分为三个阶段。 第一阶段是基础设施建设时期,时间大约从1994年到2000年。这期间各种网络技术在高校同时都有应用:以太网技术,FDDI,ATM网络技术。在这个阶段,由于校园网应用的技术比较繁杂,而且业务相对单一,因此,这一阶段,主要关注网络的连通性和兼容性,即如何保证校园网的连通,和各种不同网络技术的兼容和融合。 第二阶段是应用平台建设时期,时间大约是从2000年到2005年。这期间,随着网络技术的发展,各种应用也开始出现并发展迅速,包括BBS、WWW、FTP、E-mail,以及近两年流行的BT下载、视音频业务等等,这些应用都对带宽提出了挑战。另一个在此阶段发展迅速的校园网应用就是IPTV,更是被成为带宽的杀手级应用。与此同时,网络技术--特别是以太网技术迅猛发展,1000M以太网已经步入校园,万兆标准也已经公布。结合实际应用和网络技术来看,这个阶段主要关注:带宽和应用。 第三个阶段是信息资源建设时期。时间从2005年至今,乃至今后几年时间内。近两年,万兆以太网已经开始在高校校园网中规模化应用,下一代以太网标准也已经确立为10万兆标准。同时,随着cernet2的启动,IPV6技术
也已经在校园网中实验并逐步应用。当基础设施、应用平台建设之后,信息资源的丰富与否决定了校园网络的真正价值。当信息资源充分丰富后,人们的工作、学习、生活、娱乐完全离不开网络,网络的安全与可信又成为头等重要的问题。纵观这两年整个网络世界,安全事件频发:冲击波、震荡波、ARP攻击等等。所以,安全可信成为了高校校园网当前关注的要点。 简单来说,对于校园网:丰富的应用是关键,而稳定可靠的网络是基础,完善的安全和管理手段是保障。 第二部分高校校园网现状分析: 前面简单回顾了高校校园网的发展历程,这可以作为当前校园网建设大方向的一个参考。下面结合高校校园网的建设,分析一下高校网络建设中普遍存在的需求: 1、随时随地接入的需求 首先,高校师生对于网络接入有着强烈的需求。原因有二:一方面,随着近年来国家对高等教育的大力发展和支持,高校在校生人数普遍呈现上升趋势。另一方面,是由于国家经济实力的增强,技术的发展带来的低成本,导致电脑的普及率也越来越高(据不完全统计,在很多的高校,台式/PC的拥有率可以达到70%)。 其次,在部分热点区域,或者难以布线的区域需要一种切实可行的高性价比的接入方式。也就是采用无线作为补充或者备份。比如广场/操场、体育馆、阅览室、会议室、阶梯教室等,这些区域对于笔记本用户需要能够提供接入服务,而这时有线接入是行不通的。又比如校内的某栋较偏远的办公楼或者某几栋家属楼,上网用户有限,进行独立布线成本较高,所以,同样需要进
校园网双出口组网案例
校园网双出口组网案例 VPC2:192.168.2.100GW:192.168.2.1VLAN2 VPC3:192.168.3.100GW:192.168.3.1VLAN3 SW2配置: SW2#vlan database SW2(vlan)#vtp transport SW2(vlan)#vtp tran SW2(vlan)#vtp transparent SW2(vlan)#vlan 2 SW2(vlan)#vlan 3 SW2(vlan)#exit SW2#config t SW2(config)#int vlan 2 SW2(config-if)#ip add 192.168.2.1 255.255.255.0 SW2(config-if)#no shut SW2(config-if)#int vlan 3 SW2(config-if)#ip add 192.168.3.1 255.255.255.0 SW2(config-if)#exit SW2(config)#int f1/2 SW2(config-if)#switchport mode access SW2(config-if)#switchport access vlan 2
SW2(config-if)#switchport mode access SW2(config-if)#switchport access vlan 3 SW2(config-if)#int f1/1 SW2(config-if)#no switchport SW2(config-if)#ip add 192.168.1.2 255.255.255.252 SW2(config-if)#no shut SW2(config-if)#exit SW2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1//缺省路由指向RT SW2(config)#ip route 192.168.0.0 255.255.0.0 null 0//黑洞路由,在RT1上配置了一条汇总路由指向SW2,为了防止路由环路。 TEL配置: Tel-Internet(config)#interface Loopback0 Tel-Internet(config-if)#ip address 202.202.0.1 255.255.255.255 Tel-Internet(config-if)#no shut Tel-Internet(config)#interface FastEthernet1/0 Tel-Internet(config-if)#ip address 222.222.222.1 255.255.255.252 Tel-Internet(config-if)#no shut Tel-Internet(config)#interface FastEthernet2/0 Tel-Internet(config-if)#ip address 202.202.202.1 255.255.255.252 Tel-Internet(config-if)#no shut Tel-Internet(config)#ip route 200.200.0.0 255.255.0.0 222.222.222.2 Tel-Internet(config)#ip route 202.202.0.0 255.255.0.0 Null0 EDU配置 Edu-Internet(config)#interface Loopback0 Edu-Internet(config-if)#ip address 200.200.0.1 255.255.255.255 Edu-Internet(config-if)#no shut Edu-Internet(config)#interface FastEthernet1/0 Edu-Internet(config-if)#ip address 222.222.222.2 255.255.255.252 Edu-Internet(config-if)#no shut Edu-Internet(config)#interface FastEthernet3/0 Edu-Internet(config-if)#ip address 200.200.200.1 255.255.255.252 Edu-Internet(config-if)#no shut Edu-Internet(config)#ip route 200.200.0.0 255.255.0.0 Null0 Edu-Internet(config)#ip route 202.202.0.0 255.255.0.0 222.222.222.1 RT1配置: RT1(config)#int f1/0 RT1(config-if)#ip add 192.168.1.1 255.255.255.252 RT1(config-if)#no shut RT1(config)#int f2/0 RT1(config-if)#ip add 202.202.202.2 255.255.255.252
2校园网出口解决方案
校园出口设计解决方案 项目小组:CRZ.FZU 小组成员:詹长贵、陈志洲、荣融
目录1. 校园网出口设计的重要性 (2) ................................. 3当前校园网出口面临的挑战 .2 . 多出口支持挑战....................................... 32.1 .......................................... 32.2NAT性能挑战 2.3安全防御挑战 ......................................... 4 ......................................... 42.4流量控制挑战 2.5内容审计挑战......................................... 4 ........................................... 高可靠挑战2.6 4 2.7扩展挑战 (4) 5............................................ . 选择的拓扑方案3. 4. 方案分析 (5) .......................................... 54.1 双出口设计 . 6汇总出口数 据 ................................. 4.2 RSR-16E 4.3 ACE3000+NPE50的完美组 合 ............ 错误!未定义书签。4.3.1 RG-ACE3000 . .................................... 84.3.2NPE50 (11) 5. 实现的技术 (16) 5 .1 NAT技术 ........................................... 165.2 PPTP VPN 技 术 ....................................... 165.3策略路由技 术 ........................................ 175.4IPv6 over GRE 隧道技 术 ............................... 185.5访问控制技 术 ........................................ 187. 产品的配 件 ............................................... 19RSR-16E 配 件 ............................................ 19附 件: ..................................................... 20RSR-16E技术参 数 (20)
校园网安全整体解决方案设计
封面 成都信息工程学院 课程设计 校园网安全整体解决方案设计 作者姓名:纪红 班级:信安08.4 学号:2008122127 指导教师:王祖俪 日期:2011年 12月10日
校园网安全整体解决方案设计 摘要 随着计算机网络技术的飞速发展,网络技术越来受到人们的重视,它逐渐渗入到我们生活各个层面。学校的网络系统具有一个安全健康的环境,是校园网络科学化、正规化的重要条件,也在校园网的高效运行中扮演了重要的角色。现代校园网系统是一种基于开发式的网络环境,能够保证数据输入、输出的准确性快捷并且方便使用的网络应用系统。 本设计详细分析了校园网的安全问题,本文在分析校园网原有的网络安全防范措施的基础上,针对校园网在运行中所遇到的实际问题,本次课程设计在管理、设置、维护几个方面阐述了对于校园网如何进行管理与维护整个设计包括课程设计的目的与意义,需求分析,系统设计,系统实现,系统调试运行,总结,及参考文献几个部分。通过此次设计来加深我们对校园网络基本的管理与维护的了解,对于校园网建设中所用的基本设备如路由器,交换机,防火墙等了解它们在校园网中的使用情况,及基本的配置过程,对电子邮件过滤检测,入侵检测,病毒监测,防火墙设置等多方面做了相应的综合性安全解决方案。 关键字:校园网系统,管理,设置,软件维护,邮件过滤,入侵监测,防火墙
目录 1 引言 (1) 1.1课题背景 (1) 1.2高校校园网的网络现状 (1) 1.3校园网安全问题分析 (2) 1.4校园网安全问题存在的原因 (3) 2安全解决方案设计 (4) 2.1需求分析 (4) 2.3网络设计原则 (4) 2.4网络拓扑图 (5) 2.5安全设计原则 (5) 3.功能设计 (6) 3.1防火墙设置 (6) 3.1.1部署防火墙 (6) 3.2建立入侵检测系统 (9) 3.3建立漏洞管理系统 (10) 3.4建立网络防病毒系统 (11) 3.5IP盗用问题的解决 (11) 3.6采用系统升级策略 (12) 3.7利用网络监听维护子网系统安全 (13) 3.8建立良好的管理体系 (13) 3.9部署W EB,E MAIL,BBS的安全监测系统 (13) 3.10部署内容安全管理系统 (15) 3.11使用校园网用户认证计费管理系统 (15) 4.代码实现部分 .......................................................................... 错误!未定义书签。 5.参考文献 (17)
校园网双出口方案
实例:校园网双出口的设计与配置实现 校园网是高校的信息化建设的基础设施,是教学科研管理信息化和现代化的重要平台。大部分高校校园网从初建至今已有几年的历史。初建时,一般都是租用一条DDN线路连接到中国教育和科研计算机网(CERNET)。由于中国教育科研网与一般的电信级运营网络不同,没有非常充裕的线路、设备冗余,有可能发生单点故障,对于校园网的稳定运行有一定的影响。同时,通过CERNET访问其他的共众网如CHINANET、GBNET等速率缓慢。随着校园网用户量增加和基于校园网络的各种网络应用的展开,要求校园网络出口具有较高的网络带宽,原有单一的CERNET出口已不能满足,有必要进一步扩大带宽,通过当地网络服务提供商(ISP)开辟第二出口连入INTERNET是较好的解决途径,许多学校采用了教育网和电信(或联通、铁通等)第二出口的双出口方案,既可以保留教育网资源,同时可以增加带宽,提高了访问INTERNET资源的速度。 各个学校采用了不同的技术实现双出口,但是基本上思路是相同的:对于访问教育网资源和mail流量走教育网出口,对于用户上网来说,走第二出口。这样,一方面提高了校园网出口的冗余,增加了校园网的稳定性,另一方面,也解决了校外访问校园网速度过慢的问题,同时,有效减少教育网的国际流量,降低网络运行费用。 第二出口从连接方式上来说,可以采用DDN专线、ISDN、ADSL等多种技术,具体可以根据需求选择,在本文中不予以讨论。 一、双出口的解决方案 我校在原有一条CERNET接入链路的基础上,通过电信开辟了第二出口。而增加了校园网络出口线路,从理论上说提高了网络带宽,但是如果不调整原有网络系统的结构,其效果不能体现。对该方案,我们有以下几方面的要求: (1)客户端IP地址设置不受影响,即不用重新设置地址就可以正常上网; (2)客户端访问教育科研网的网站时,出口线路CERNET,访问其他站点时,走中国电信线路出口。 (3)解决外部公众网的用户访问我校校园网主页的速度过慢的问题。 (4)校园网络中的邮件走CERNET线路。 (5)尽可能的节约校园网调整、改造的投资。 校园网原出口结构和双出口解决方案结构如图1所示: [attach]276901[/attach] 图1 从图1中可以看到,CISCO catalyst 6509交换机是我校校园网的核心交换机,ssr1是教育网的接入设备,ssr2是电信第二出口的接入设备通过在CISCO catalyst 6509交换机上配置静态路由和策略路由,保证授权的服务器和mail的所有流量都经ssr1到教育网,其它的所有流量经ssr2到电信出口。同时,在ssr2上使用了NAT技术,使有限的电信IP地址可以满足大量校园网并发访问的需求,同时也相应提高了安全系数。 二、涉及的网络技术
校园网安全防护解决方案
校园网安全防护解决方案 随着校园网接入互联网以及其它各种应用的增多,校园网上的各种数据也急剧增加,我们在享受网络带来便利的同时,各种各样的安全问题也就开始困扰我们每一个网络管理人员,如何保证校园网不被攻击和破坏,已经成为各个学校校园网络管理的重要任务之一。本文针对这类问题提出了相应的解决方案,使校园网能够有效应对网络应用带来的安全威胁和风险,以确保校园网系统的安全。 一、校园网安全风险分析 校园网络作为学校信息平台重要的基础设施,担负着学校教学、科研、办公管理和对外交流等责任。在网络建成应用的初期,安全问题还不十分突出,但随着应用的深入,校园网上的各种数据也急剧增加,各种各样的安全问题也就开始困扰我们。对校园网来说,谁也无法保证其不受到攻击,不管攻击是有意的还是无意的,也不管这种攻击是来自外部还是来自内部网络。操作系统、数据库系统、网络设备、应用系统和网络连接的复杂性、多样性和脆弱性使得其面临的安全威胁多种多样。校园网络系统可能面临的安全威胁可以分为以下几个方面: ⒈物理层的安全风险分析 网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。我们在考虑校园网络安全时,首先要考虑物理安全风险,它是整个网络系统安全的前提。物理安全风险有:设备被盗、被毁坏,线路老化或被有意或者无意的破坏,通过搭线窃取数据,电子辐射造成信息泄露,设备意外故障、停电,地震、火灾、水灾等自然灾害。 ⒉网络层安全风险分析 网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。校园网是一个应用广泛的局域网,且接入了互联网,如何处理好校园网网络边界的安全问题,直接关系到整个校园网网络系统的稳定运行和安全可控;另一方面,由于校园网中使用到大量的交换机、路由器等网络设备,这些设备的自身安全性直接影响到校园网和各种网络应用的正常运转。例如,路由器口令泄露,路由表配置错误,ACL设置不当等均会
校园网络综合布线系统方案
XXXX校园网络 综合布线系统方案
目录 1 概述 (4) 2 系统组成 (4) 3 系统设计目标及原则 (5) 3.1 系统设计目标 (5) 3.2 系统设计原则 (6) 4 客户需求分析及设计假定 (6) 4.1 客户需求 (6) 4.2 设计假定 7 5 系统设备推荐 (8) 6 系统总体结构设计 (8) 7 系统详细设计 (9) 7.1 传输介质选择 (9) 7.2 工作区子系统 (9) 7.3 水平(配线)子系统 (10) 7.4 管理子系统 (11) 7.5 设备间子系统 (12) 7.6 (垂直)干线子系统 (12) 7.7 建筑群子系统 (12) 8 系统工作环境要求 (13) 8.1 机房建筑要求 (13) 8.2 机房工作环境要求 (13) 9 系统屏蔽与接地 (15) 9.1 屏蔽效应 15 9.2 接地的类型 (16) 9.3 配线柜(架)接地要求 (17) 9.4 接地导线要求 (17)
10 系统施工 (18) 10.1 概述 (18) 10.2 管道预埋 (18) 10.3 桥架安装 (18) 10.4 布线要求 (18) 10.5 信息点安装 (19) 11 系统测试 (19) 11.1 铜缆测试 (19) 11.2 光缆测试 (19) 12 系统验收 (20) 12.1 系统验收依据和遵循的标准 (20) 12.2 系统验收主要项目和指标 (20) 12.3 系统验收方法 (21) 13 货物清单和货物价格 (23)
1 概述 随着计算机应用的不断普及,学校的教学管理也相应的发生着变化。如何能更加充分的利用学校现有的教学资源进行教学、管理,又能达到事半功倍的效果?校园网的实施为学校提供了很好的解决方法。校园网的建设是现代教育发展的必然趋势,建设校园网不仅能够更加合理有效地利用学校现有的各种资源,为学生学习、教师备课、教学管理以及从外界获取信息,掌握先进的信息工具创造了环境,同时对学校的日常工作也将起到重要的促进作用,为学校未来的不断发展奠定了基础,使之能够适宜信息时代的要求。 为了建设校园网,综合布线系统是基础。它为信息资源的传递提供了物质通道。因此寻求一种更合理、更优化、弹性强、稳定性和扩展性好的布线技术,已成为当务之急,它不但能够满足现在的需求,更重要的是迎接未来对配线系统的挑战。 结构化布线系统是现代通讯领域高科技的结晶,它为用户提供了最合理的布线方式,并依靠其高品质的材料,一改传统布线面貌,为现代化的大厦能够真正成为智慧型的楼宇奠定了线路基础。它将计算机数据处理和数据通信系统、语音通信系统、广播系统、基带图像传输和处理系统、楼宇监控自动化系统等等,综合集成在一组布线系统内,以开放的体系,灵活的模块化结构,以及遵循国际工业标准的设计原则,支持众多厂家的系统及网络,从而达到信息的高度共享,以增强自动化管理的程序,也以最好的性能价格比来满足现代通信发展的需要和适应综合业务数字网(ISDN)的需要。 2 系统组成 综合布线系统(GCS)集成了建筑物内所有弱电布线,包括:自动监控系统、通讯系统及办公自动化系统等;并对这些系统实施统一管理。当使用综合布线系统时,计算机系统、用户交换机系统以及局域网络系统的配线,是使用一套由公共配件所组成的配线系统综合在一起。综合布线系统可兼容各个不同厂家的语音、数据、图像设备;其开放的结构可以作为各种不同工业标准的基准,不再需要为不同的设备准备不同的配线零件以及复杂的线路标志与管理线路图表。GCS使得配线系统将具有更大的适用性、灵活性,可以利用最低的成本在最小的干扰下,进行工作地点上的终端设备的重新安排与规划。
校园网络管理及信息安全解决实施方案
完美WORD格式 河北金融学院校园网络管理与信息安 全解决方案 目录 摘要 (1) 一概述 (1) 二对当前校园网络现状的研究分析 (1) 三河北金融学院网络拓扑图 (2) 四校园网主要面临的安全威胁 (2) 4.1 计算机病毒破坏 (2) 4.2 校园网络设备管理不健全 (3) 4.3 计算机系统漏洞 (3) 4.4 用户对校园网网络资源的滥用 (4) 4.5 校园网安全管理制度缺失 (4) 4.6 网络管理者和使用者的安全技术能力低 (5) 五网络安全解决方案设计 (5) 5.1 身份认证 (5) 5.2 部署网络防病毒系统 (6) 5.3 防止IP地址盗用和ARP攻击 (6) 5.4 设置漏洞管理系统 (6) 5.5 设置防火墙保护网络安全 (7) 5.6 设置WEB应用防护系统 (8) 5.7 定期对服务器进行备份和维护 (8) 5.8 加强校园管理 (9) 六结束语 (9) 参考文献 (10)
摘要:随着信息技术的不断发展,网络安全已成为一个不可忽视的问题。而校园网络的安全是一个普遍存在较为复杂的系统工程,需要引起每个使用校园网的人足够的重视并全方位地加以防范.本文针对目前校园网面临的现状进行了分析。列举出了影响校园网安全的主要因素,并提出了解决方案。 关键词校园网络网络安全网络安全措施解决方案 一概述 随着信息化程度的提高,计算机网络得到了飞速发展,校园网络信息化也逐步发展起来了。而高校校园信息化建设工作的整体推进, 应用系统的整合、统一门户平台的实施、数据存储中心的建立以及各种信息的共享与交流, 都需要切实做好校园网络安全体系建设, 建立事故预警机制,做好善后处理工作, 结合硬件、软件, 采取各种技术措施, 建立一个基于管理措施和多种技术的高校校园网络安全体系, 确保校园信息化各类基础设施不受来自网内和网外用户非法访问和破坏, 管理内部用户对外部资源的合法访问, 全面做好校园信息化的安全保卫工作。保证校园内外信息资料顺畅的交流, 面对校园网络中的种种安全威胁,必须采取及时有效的措施来解决。 二对当前校园网络现状的研究分析 当前校园网络普遍面临着网络规模大,设备多。从网络结构上看,可分为核心、汇聚和接入3个层次,包含很多的路由器,交换机等网络设备和服务器、微机等主机设备等问题。校园网通常是双出口结构,分别与Cerner、Internet 互联。而且用户种类丰富。不同用户对网
采用双出口的校园网的技术分析及实现
Vol.28No.2 Feb.2012 第28卷第2期(下) 2012年2月赤峰学院学报(自然科学版)Journal of Chifeng University (Natural Science Edition )1 引言 在很多高校的校园网建设中,基于访问速度、资源利用情况和费用的考虑,在接入教科网的同时,还会选择其他ISP 接入方式.通常情况下,当校园网中采用双出口时,要求对原有的用户的影响应尽可能少,即任何客户端IP 地址设置都不用修改,使用户能正常访问网络;当用户访问教科网的网站时,走经由连接到教科网的出口,访问其他网站包括国外站点时,走经由连接到其他ISP 的出口;外部公众网的用户访问校园网的Web 、FTP 、M ail 、DNS 等服务器时,即可以通过教科网提供的IP 地址访问,也可以通过其他ISP 提供的IP 地址访问.2 存在的问题分析 图2-1所示为校园网采用双出口时的网络连接拓扑图.这样的连接通常会带来两个方面的问题,一方面是内部用户访问外网时如何分流,另一方面就是对外发布的服务(如WEB 服务)如何提供给外部访问的问题. 当内部用户访问外部网络时,考虑到通过教科网访问其外的网络流量要收费,且访问速度没有其他ISP 快,所以一般要求所有目的地址为教科网的访问流量走教科网,其他流量走联通网. WEB 服务器同时使用教科网和联通网对外发布,当客户机位于教科网,访问WEB 服务时访问的是联通网提供的IP 地址,发出的数据包会从GE2进入,而返回的数据包会从ETH0出来,当任何一条链路故障时,都将无法正常访问 服务器.当客户机位于教科网以外,访问WEB 服务时访问的是教科网提供的IP ,也会有同样的问题出现.即便网络链路正常,对服务器的访问也存在不确定性因素.要解决以上问题,需要保证当外部客户机访问服务器的数据包从那一个接口进入内部网络就应从该接口返回.3网络接入基本技术 3.1 静态路由与默认路由 静态路由就是手工配置的路由,使得数据包能够按照 设定的路径传送到指定的目标网络.如果路由器遇到没有确切路由的数据包时,通常是按照设定的默认路由进行传送,默认路由是一种特殊的静态路由.3.2 策略路由 基于策略的路由不仅能够根据目的地址,而且能够根据协议类型、 报文大小、应用、IP 源地址或者其它的策略来选择转发路径.策略可以根据实际应用的需要进行定义来控制多个路由器之间的负载均衡、单一链路上报文转发的QoS 或者满足某种特定需求.3.3 NAT NAT 即网络地址转换,是用于解决内部网络连接到公共网络时的一种地址变换技术.通常在内部网络中使用私有IP 地址,当内部网络中的计算机与公共网络中的计算机通信时,NAT 设备将内部网络私有地址转换成公共网络上合法的IP 地址,使通信能正常进行.NAT 有三种常用类型:静态NAT : 按照一一对应的方式将每个内部IP 地址转换为一个外部IP 地址,这种方式经常用于内部网的服务器需要能够被外部网络访问到时. 动态NAT :将一个内部IP 地址转换为一组外部IP 地址(地址池)中的一个IP 地址,这种转换不是固定的,而是动态的. 超载(Overloading )NAT (也称为NAPT ):是动态NAT 的一种实现形式,在转换时利用了端口号,将[内部IP 地址,端 采用双出口的校园网的技术分析及实现 李文池1,2,杨世平1 (1.贵州大学,贵州 贵阳550000;2.贵州电子信息职业技术学院,贵州 凯里556000) 摘要:针对双出口校园网络提出一种采用静太路由、 NAT 、源地址策略路由技术的综合解决措施方案,主要解决了网络流量分配和通过双出口访问校园网服务器的问题. 关键词:双出口;静态路由;策略路由;NAT 中图分类号:TP393.18文献标识码:A 文章编号:1673-260X (2012)02-0031-02 基金项目:贵阳市科学技术计划项目,[2009],科2合同字第1-052号 图2-1网络连接拓扑图 31--
校园网综合布线设计方案
第一章综合布线系统概述 综合布线系统的定义、特点和优点 综合布线系统是伴随着智能化大厦而崛起的,作为智能大厦中枢神经,综合布线系统是近20年来发展起来的多学科交叉型的新型研究领域。随着计算机技术、通信技术、控制技术与建筑技术的发展,综合布线系统在理论和技术方面也不断得到提高。 目前,由于理论、技术、厂商、产品甚至国别等多方面的不同,综合布线系统在命名、定义、组成等多方面都有所不同。我国《智能建筑设计标准》(GB/T 50314-2000)中把综合布线系统定义为:综合布线系统是建筑物或建筑群内部之间的传输网络。它能使建筑物或建筑群的内部设备、数据通信设备、信息交换设备、建筑物物业管理设备及建筑物自动化管理设备等系统之间彼此相连,也能使建筑物内部的通信网络设备与建筑物外部的通信网络设备相互连接。 上述的定义通常被称为是建筑物与建筑群综合布线系统。按照《建筑与建筑群综合布线系统工程设计规范》(GB/T 50314-2000)的定义,它包括建筑物到外部网络或电话局线路上的连接点与工作区的语音或数据终端之间所有电缆及相关的布线部件。 这里要注意区分一下综合布线和综合布线系统这两个基本概念:综合布线只作为一个概念而存在,综合布线系统则是一种解决方案或者是一种布线产品。两者既密不可分,又有所区别。 与传统的相比较,综合布线系统有着许多优越性,是传统布线所无法相比的。其特点主要表现在它具有兼容性、开放性、灵活性、模块化、扩展性、和经济性。而且在设计、施工和维护方面也给人们带来了许多方便。综合布线系统与传统布线系统的性能价格比,如图1-1所示。 …
性能价格比 综合布线方式 * 传统布线方式 时间 图1-1 综合布线系统与传统布线系统性能价格比 1.1.1 兼容性 综合布线系统的首要特点是它的兼容性。所谓兼容性指它自身是完全独立的,与相关的应用系统相无关,可以适用于多种应用系统。能支持多种数据通信、多媒体技术及信息管理系统等,能够适应现代未来技术的发展。 过去,为一幢大楼或一个建筑群内的语音或数据线路布线时,往往采用不同厂家生产的电缆、配线插座以及接头等。例如,用户交换机通常采用双绞线,计算机系统通常采用粗铜轴电缆或细铜轴电缆。这些不同的设备使用不同配线材料,而连接这些不同配线的插头、插座也各不相同,彼此不兼容。造成一旦需要改变终端设备或设备位置时,就必须铺设新的缆线,以及安装新的插座和插头。 { 综合布线系统则可将语音、数据与监控设备等信号经过统一的规划的设计,采用相同的传输媒体、信息插座、互连设备、适配器等,把这些不同信号综合到一套标准的布线中进行传送。由此可见,这种布线比传统布线大为简化,可节约大量的物资、时间和空间。 在使用时,用户可不用定义某个工作区的信息插座的具体应用,只把某种终端设备(如个人计算机、电话、视频电话等)插入这个信息插座,然后在交接间和设备间的配线设备上做相应的接线操作,这个终端设备就被接入到各自的系统中。
高校校园网出口解决方案最佳实践
高校校园网出口解决方案最佳实践 - 华南农业大学展示^ 锐捷公司项目展示~不为参赛~只想展示 1.2.1 项目背景 2007年,锐捷网络携手华南农业大学,进行了万兆校园网升级改造: 图1-1 华南农业大学全网拓扑图 ?骨干网升级为10G网络。学校任何重要区域到服务区群和出口路由器均为万兆链 路; ?多核心、圆锥形骨干网设计。学校任何重要区域到服务器群和出口均只有1跳路 由; ?四层架构,区域汇聚双归属设计。从架构上充分保证网络稳定可靠; ?全网的统一身份认证。基于SAM系统的用户管理,以及符合学校特色的大量二次 开发。 在骨干网络改造中,华山、东区、五组团三个区域增加了三台核心交换机RG-S8610,
组成万兆环网,承担华南农业大学核心网,同时三台核心交换机与出口路由器Cisco C7606组成圆锥形的网络框架,万兆骨干数据流积聚于出口路由器。万兆骨干的升级,使得校内流量剧增,校内带宽瓶颈得到很好的解决,同时也给出口网络带来了新的调整。 华南农业大学校园网共有信息点将近40000个,如此密集的信息点,对华南农大的出口形成了强大的冲击。出口带宽利用率接近100%,出口带宽极其紧张(华南农业大学2007年的出口线路情况是:教育网1000M、电信100M),师生普遍反映Internet访问常有缓慢现象,影响了办公、教学、生活的网上应用开展。 1.2.2 项目目标 提升出口NAT地址转换性能 ?电信广域网带宽升级到300M; ?教育网链路升级为10G链路,动态带宽最高为1.5G。 准确分析出口应用带宽占比 ?多少用户在使用哪些应用; ?每种应用占用了多少带宽资源。 精细管控出口应用带宽 ?保证教学、办公、科研的关键应用; ?分时段限制P2P应用流量。 访问日志记录 ?08奥运将至,公安部要求对所有校内用户访问校外进行行为记录,因此需要有一套高效的日志管理系统对出口设备的NAT日志进行收集,通过图形化查询界面快速查找相关 日志信息。 2 案例分析 该章节主要可从网络现状、业务现状、问题或需求等多个角度去分析,是对上一章案例概述的详细分析。通过分析现状及问题,为下一章案例方案奠定基础。 2.1 网络现状 出口网络还未改造前拓扑图如下:
校园网边界出口问题分析及解决方案
龙源期刊网 https://www.360docs.net/doc/1a17197611.html, 校园网边界出口问题分析及解决方案 作者:蒋海岩 来源:《新教育时代·教师版》2017年第12期 在当今信息高速发展的时代,对带宽的容量、稳定性、安全性的需求都在增加。在大量的需求面前对于网络管理者来说提出了新的要求。除了选择好的运营商,扩充带宽之外,网络管理者还需要制定一套切实可行的边界出口解决方案,今天我就以校园网为例探讨制定一套边界出口解决方案。[1] 一、校园网边界出口主要存在的问题 首先,从大多数校园网的实际环境来看,其网络带宽巨大,而且用户常会运用大量的P2P 类应用(视频、下载),这些应用会产生大量的连接,从而导致并发连接数儿十倍甚至上百倍于实际上网用户数。而且,校园网出口往往会需要网络地址转换((NAT , NetworkAddress Translation),但无论是防火墙还是路由器,其核心功能都不是为NAT专门打造的,地址转换过程会极大的消耗硬件性能,这就让网络出口无法发挥最大的效能。[2] 二、校园网边界出口主要需求分析 1.边界出口的功能需求 在校园网总出口增设应用识别功能的边界设备是主流的设计方案,可以实现功能的互补(如内部应用控制设备无法控制的动态应用,可由总出口来处理。反之亦然)。在校园网将 带宽扩升时,在大流量的冲击下,应用层的防火墙是否能够支撑起我们的网络,能否在大流量的情况下,保证内外网间通信能够实现线速转发。所以选择产品参数时我们会尽量的选择万兆级别的边界出口设备。 2.多链路负载均衡功能的需求 现在大多数校园网出口是“多出口”环境,关于多出口链路优化的方案,传统的解决方案一般是通过“策略路由”来做静态的指定,即:A网段走链路1,B网段走链路2。此时,由于 A、B网段使用环境的不同,外网链路经常会出现一个忙一个闲的状况,这是比较常见的问题。另外第二个常见的问题是,在多运营商做接入时(如同时存在联通、电信)流量分配的不合理:多运营商链路接入时,传统的多出口解决方案是利用ISP路由,实现访问“目的地址”是联通地址的数据包走联通线路,目的地址是电信资源的数据包走电信线路,从而避免跨运营商的访问,提高网络访问速度。 3.安全防护的需求
校园网双出口的设计与配置实现
校园网是高校的信息化建设的基础设施,是教学科研管理信息化和现代化的重要平台。大部分高校校园网从初建至今已有几年的历史。初建时,一般都是租用一条DDN线路连接到中国教育和科研计算机网(CERNET)。由于中国教育科研网与一般的电信级运营网络不同,没有非常充裕的线路、设备冗余,有可能发生单点故障,对于校园网的稳定运行有一定的影响。同时,通过CERNET访问其他的共众网如CHINANET、GBNET等速率缓慢。随着校园网用户量增加和基于校园网络的各种网络应用的展开,要求校园网络出口具有较高的网络带宽,原有单一的CERNET出口已不能满足,有必要进一步扩大带宽,通过当地网络服务提供商(ISP)开辟第二出口连入INTERNET是较好的解决途径,许多学校采用了教育网和电信(或联通、铁通等)第二出口的双出口方案,既可以保留教育网资源,同时可以增加带宽,提高了访问INTERNET资源的速度。 各个学校采用了不同的技术实现双出口,但是基本上思路是相同的:对于访问教育网资源和mail流量走教育网出口,对于用户上网来说,走第二出口。这样,一方面提高了校园网出口的冗余,增加了校园网的稳定性,另一方面,也解决了校外访问校园网速度过慢的问题,同时,有效减少教育网的国际流量,降低网络运行费用。 第二出口从连接方式上来说,可以采用DDN专线、ISDN、ADSL等多种技术,具体可以根据需求选择,在本文中不予以讨论。 一、双出口的解决方案 我校在原有一条CERNET接入链路的基础上,通过电信开辟了第二出口。而增加了校园网络出口线路,从理论上说提高了网络带宽,但是如果不调整原有网络系统的结构,其效果不能体现。对该方案,我们有以下几方面的要求: (1)客户端IP地址设置不受影响,即不用重新设置地址就可以正常上网; (2)客户端访问教育科研网的网站时,出口线路CERNET,访问其他站点时,走中国电信线路出口。 (3)解决外部公众网的用户访问我校校园网主页的速度过慢的问题。 (4)校园网络中的邮件走CERNET线路。 (5)尽可能的节约校园网调整、改造的投资。 校园网原出口结构和双出口解决方案结构如图1所示: CISCO catalyst 6509交换机是我校校园网的核心交换机,ssr1是教育网的接入设备,ssr2是电信第二出口的接入设备通过在CISCO catalyst 6509交换机上配置静态路由和策略路由,保证授权的服务器和mail的所有流量都经ssr1到教育网,其它的所有流量经ssr2到电信出口。同时,在ssr2上使用了NAT技术,使有限的电信IP地址可以满足大量校园网并发访问的需求,同时也相应提高了安全系数。 二、涉及的网络技术 第二出口方案中涉及技术有如下几种: 1、代理服务器技术 代理服务器一端接入Internet,另一端接入中心路由器,通过代理服务软件实现客户端上网。这种方式配置简单,设备费用低廉,并且不需要大规模改变原有的设备连接和配置。但是相对来说,由于是通过代理软件实现共享上网,访问速度容易受到影响。 2、路由选择 静态路由是在路由器中设置的固定的路由表。除非网络管理员干预,否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映,一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中,静态路由优先级最高。当动态路由与静态路由发生冲突时,以静态路由为准。这种方式对于设备的要求较高,配置相对繁琐,但是上网的路由选择与用户无关,用户的上网方式无需进行任何改动,可操作性