高校网络出口解决方案
陕国院高效利用校园网出口资源的几点措施
可推进RFID技术在该领域中的应用和发展。
3.1应用成本问题应用RFID的成本包括标签成本和系统建立运行成本。
一般地,RFID的标签成本主要包括IC 芯片成本、天线成本以及封装成本等几部分内容。
随着我国集成电路技术的发展以及其应用规模的不断扩大,FRID的标签成本将越来越低。
但与此同时,FRID系统的阅读器成本越来越成为零售业供应链管理的一大难题。
为解决这一问题,零售业企业可以通过建立健全管理机制,加快技术创新的方式有效提升整体管理水平,从而降低系统总成本。
3.2统一标准问题RFID技术在许多行业中缺乏统一标准。
RFID标准包括工作频率使用标准、编码标准、应用操作技术要求的标准。
现有的RFID系统会使用不同的工作频率,这是因为不同国家会分配不同无线电波段作为不同用途,虽有共同的工作频率,但制造商可自行改变,同时标签上的芯片性能、存储器存储协议与无线设计模式等都缺乏统一标准。
在供应链全球发展趋势下,制定全球性标准,整合整个RFID系统对零售商至关重要。
各企业、自动识别中心与国际标准组织都正致力于制定射频识别标准,以求所有的标签与任何阅读器都能兼容。
我国信息产业部以及国家标准委员会等官方机构也在抓紧时间制定标准。
3.3安全问题安全性是RFID技术在零售业供应链管理应用中最受关注的问题。
RFID技术应用中要防止零售企业竞争对手通过RFID标签跟踪产品信息和库存情况,同时顾客也不希望自己的购买行为和习惯被自动跟踪。
它们希望商品销售后电子标签会自动失效或采用信息安全技术对标签加密处理。
随着RFID技术的应用需制定相关法律规范和技术标准对供应链上各节点的行为加以规范和约束。
4结束语综上所述,FRID技术作为一种新型通信技术,极大地提升了零售业供应链的管理效率,降低了管理成本,符合其长远发展战略。
我们应该看到,RFID应用是有发展前景的,长期应用可提升物流效率,减少货物损耗,有利于零售业进一步将供应链管理的环节向上、下游延伸,并充分和各节点企业开展战略合作,形成以供应链为主体的赢利模式。
高校校园网出口解决方案最佳实践
高校校园网出口解决方案最佳实践引言随着互联网的快速发展,高校校园网已成为学校重要的信息化建设项目之一。
在校园网建设中,高校需要面临一个重要的问题,即校园网的出口。
校园网出口的选择和解决方案对于整个网络的性能和稳定性有着重要的影响。
本文将介绍高校校园网出口的解决方案最佳实践。
校园网出口的重要性校园网出口是指校园网连接到互联网的关键节点。
选择一个合适的校园网出口方案对于校园网的性能、安全性和可靠性至关重要。
首先,高校校园网的用户数量往往非常庞大,需要面对大量的网络流量。
如果校园网出口带宽不足或者性能不佳,会导致整个校园网的网络延迟增加,影响教学和学生的网络使用体验。
其次,高校校园网往往需要提供对外服务,例如教务系统、实验室预约系统等。
如果校园网出口不稳定或者容易受到攻击,可能导致这些系统无法正常运行,影响学校的正常教学秩序。
另外,高校校园网还需要提供对外服务的同时保证对内网络的安全。
校园网出口需要具备防火墙、入侵检测系统等安全设备,以保护校园网内部网络免受外部攻击和威胁。
校园网出口解决方案最佳实践针对高校校园网出口问题,以下是几个解决方案最佳实践:多线出口方案多线出口方案是指同时使用多个互联网服务提供商(ISP)的出口。
这种方案可以提高校园网的带宽和可用性,减少单点故障的风险。
在实施多线出口方案时,可以使用BGP(边界网关协议)实现流量的负载均衡和失效转移。
通过配置适当的路由策略和控制,可以将流量平均分配到多个出口线路上,并在某个出口线路故障时自动切换到其他正常的出口线路。
CDN加速方案CDN(内容分发网络)是一种通过将内容部署到全球分布式节点上,实现快速访问的技术。
CDN加速方案可以将校园网的常用内容(例如网页、图片、视频等)缓存在离用户较近的CDN节点上,减少从校园网出口到用户的带宽消耗和延迟。
同时,CDN还可以提供对网络攻击和恶意请求的防护,保障校园网的安全性。
安全设备配置校园网出口需要配置适当的安全设备,保护校园网免受外部攻击和威胁。
迪普科技一体化校园网出口解决方案
人工智能技术的应用:人工智能技术将逐渐应用于校园网出口解决方案,提高网络管理和维护的效率。
网络安全问题的挑战:随着网络技术的发展,网络安全问题也将越来越严重,需要采取更加有效的措施来保障校 园网的安全。
问题:网络延迟和丢包 改进方案:优化网络拓扑结构,提高网络带宽 问题:网络安全问题 改进方案:加强网络安全防护,提高数据加密强度 问题:设备兼容性问题 改进方案:加强与设备厂商的合作,提高设备兼容性
PART FIVE
云计算技术的应用:云计算技术将逐渐成为校园网出口解决方案的核心技术,提供更加灵活、高效的服务。
布局云计算、大数 据、人工智能等新 兴技术领域,打造 一体化解决方案
汇报人:
园网出口解决方案
设备选型:选择合适的 网络设备,如路由器、
交换机等
网络部署:按照设计方案, 部署网络设备,包括设备
安装、配置、调试等
测试验证:对部署的网 络进行测试,验证网络
性能和功能
优化调整:根据测试结果, 对网络进行优化调整,提
高网络性能和稳定性
培训支持:对校园网管 理人员进行培训,提供
技术支持和售后服务
效果评估:对一体化校园 网出口解决方案的效果进 行评估,包括网络性能、
用户满意度等
网络性能提升:提高网络传输速度,降低延迟 安全性提升:加强网络安全防护,减少网络攻击风险 管理便捷性提升:实现网络设备的集中管理和监控 用户体验提升:提高用户上网体验,减少网络卡顿和掉线 改进建议:加强网络设备的维护和升级,提高网络稳定性和可靠性
培训技术人员:对参与实 施的技术人员进行培训, 确保他们能够熟练操作设 备和软件
高校网络出口解决方案
高校网络出口解决方案高校网络出口解决方案一、高校网络出口现状分析随着高校信息化建设的开展,教学、科研、办公、生活对于校园网平台的依赖性越来越强。
国内的高校经过多年持续不断的基础设施建设和应用提升,已经形成了较为稳定的校园网基础架构、相对丰富的校园网应用平台。
但是,在讲究信息共享、资源整合的今天,有一块区域长期以来一直困扰着各大高校就是校园网出口区域。
高校校园网不应该作为一个信息孤岛而存在。
网络的价值更重要的是体现在信息的流通、资源的共享。
作为校园网络平台的“门户”——出口区域,承担着高校之间相互交流的窗口的重大作用。
那么高校的校园网出口到底是怎样一个现状如下:第一、从学校网络规模、信息点来看;规模在1000点以下、出口带宽不是很低的情况下,出口区域的规划相对容易,对设备性能的要求相对较低,从而所采用的策略可以宽松一些。
目前面临出口难题的主要为信息点数为1000-10000和10000以上的那些高校。
第二、从出口的链路条数和带宽情况来看;一方面,网络规模较大的学校,出口带宽普遍较高;另一方面,根据学校所在区域有所差别。
同时,运营商在不同地区采取的收费标准也对高校出口带宽有着重要的影响。
二、当前校园网出口面临的挑战第一、NAT性能问题;出口设备要支持NAT(地址转换)是共识的。
一方面,校内使用私有地址的情况,访问Internet需要进行NAT;另一方面,即使校内使用真实的教育网IP,那么通过电信或者网通的线路访问外部资源,仍然需要进行NAT(地址转换),因为电信所分配的地址更有限。
NAT(地址转换)等于给出口设备增加了一项很重要的任务,但是,从实际情况来看,NAT却成为了上网速度慢的一个重要原因。
第二、支持策略路由问题;首先,当前校园网是基于多出口的架构。
1)为了提高访问速度需要多出口互联。
2)为了解决费用问题。
ISP运营商需要提供高校解决国际流量费用的好思路。
3)解决线路备份问题,避免单出口单点故障的存在。
校园网互联网出口下一代负载均衡解决方案
校园网下一代负载均衡部署模式--混合模式
如右图: 1、IX0和IX1采用网桥模式,而新接入的移动链路直接接 到Panabit智能网关上,采用网关的模式。 2、用户所发起的上网应用经过 Panabit,Panabit通过对 所经过的流量进行深度分析,然后进行分类; 3、最终将自定义的互联网视频、下载类流量分流至中国 移动网络中; 4、移动网络缺乏的其它资源,如游戏则分流到电信和联 通的出口。
校园网下一代负载均衡解决方案—内置智能DNS功能
Panabit内置智能DNS功能
1、当用户有多个ISP链路时候,可以将不同 ISP的地址绑定的 Panabit网关上面,
2、当用户从Internet访问校内服务器时候,可以基于用户的源 地址隶属的ISP(例如:电信、联通、教育网等) 进行DNS权威 应答,解析为对应ISP的相关地址。
实现精准的出口调度, 提高访问体验。
校园网下一代负载均衡解决方案-支持传统链路负载均衡
支持传统链路负载均衡 1、Panabit负载均衡设备支持传统链路负载均衡功能; 2、当用户有多条ISP 链路接入时候,Panabit会根据目标地址、 源地址、服务、时间等要素灵活 的按照用户需求进行链路的负 载均衡。 3、此外,还支持自动探测负载均衡功 能,通过对应的主动链 路均衡算法(轮询、基于源地址、基于目标网络、 带宽权重 等),使得用户访问更加便捷。
校园网下一代负载均衡解决方案—支持基于时间的负载均衡
基于时间的负载均衡 1、Panabit还支持基于时间的负载均衡。 2、通过这个功能,可以灵活的设置 负载均衡策略。 3、例如:某高校上班时间老师走ISP1,学生走ISP2,但下班后, 老师和学生的Web浏览,Mail,DNS等正常应用走ISP1,P2P,网 络电视等应用走ISP2。
校园网出口流控的合理优化
为保证校 内用户 的正 常使 用和满 足他 们 的个 性化 需 求 ,
图 2老师用户上传策略
图 ’网络环境及转换过程
图 3老 师用户下载 策略
22 中 教 陶 3 o 国 育 络7 17
传统 的 网络 结构 存 在 着防 火墙 保 护能 力有 限 、 用户 安全 需 求不 强 、增 加 网络 数 据传 输 延时 、容 易产 生全 网中 断等 问 题 。 过 对 用户 需求分 析 和 网络设 备 ( 通 防火 墙和 路 由器 ) 性
业 务 的处理 办 法 。在 20 年左 右 , 量控 制设 备 能有 效控 用 出 口带 宽 资源 。如 热 点 资源 分 析 不 足 ,造 成 提 供 内 网 05 流
制 P P 量 ,从 而保 证 了关键 应 用能 够获 得充 分 的带 宽 资 下 载 的 数 据 量 也 不 足 。 2流 4 格 较 高 。依 据 各 校 实际 情 况 决 定是 否 购 买 价 源 而近 年来 ,Cce ( ah 缓存 )技 术 的出现 ,一 定程 度 上解
,
据 利 用率 。采 用 C c e 术 ,使用 最少 的成本 ,缓存 最热 点 ah 技
方 式 ,建 立 两 种 类 型 的 出 口路 径 。在 工作 中 ,经 常 遇 到 某 个 时段 要 对 某个 网络 应 用 服 务和 业 务 的特 殊 保 障 。例 如 ,招 生 期 间 数 据 的 上 传和 下载 ,相 关计 算机 考 试 数据
题 :
路 径选 择 通 常采 用静 态 路 由和 策 略路 由 (B )配 合 PR
1 存 储 空 间不 足 。 1 T的 存储 空 间一 周 左右 就 可 以装 0
满 ,不 能 够 处理 大 规 模 的视 频 资源 例 如 P T P V,一个 热 使 用 的模 式 在 某 些 特 殊 情 况 下 还 要 考 虑 使 用 地 址 转 换 点备 份 就 能达 到 1 一2 T,可 以考 虑 与存 储设 备 互 联 。 O 0 (AT N )策 略 .同时 I P地址 规 划 一定 要 合理 若 I地 址 规 P 2. 据 加密 。各 P P视频 厂 商为 了防止 盗链 都 对源 进 数 2 划 不 合 理 ,会 增 加 如 CP 等硬 件 资源 设 备 的 损 耗 。 U 行 了 加 密 ,一 般 加 密后 只 对 当 时打 开 的 l E有效 ,换 一 台
校园网出口和数据中心精细化管理
服务器负载均衡
ICMP检测
TCP检测
轮询算法 连接率算法
Internet
高校在招生期间对学校主页和招生服务器 网站访问的最佳方案。 高校在每学期初学生选课期间对服务器网站访问的性价比最佳方案。
校园网出口的思考
如何提高老师,学生访问网页,下载等的用户体验感
如何保证所有人访问学校服务器快速,便捷; 如何解决校外用户访问电子图书馆和应用系统
解决数据中心托管服务器存在问题的思路
• 提供对服务器数据流的统计 和可视化管理,发现异常应 用和异常URL的访问。 • 建立的数据中心“合规应用、 合法流量“的白名单思路, 有效发现数据中心异常应用
者职责。
服务器访
问可视化
白名单 管理思路
降低信息
明确服务
器管理者 责任
• 实现“谁管理,谁负责”机 制。发现异常应用和URL后 马上告警,通知到院系部门 相关人员,明确职责
关键点1: 如何最合理利用每一条链路,让大家上 网快。
关键点2:如何解决占50%~60%带宽的视频资源, 让大家看电影,电视剧不卡。
网络现状—多链路
移动/电信通 教育网 电信 联通
防火墙
主链路联通链路 长期饱和
某高校网络现状 ——多出口
计费认证
双核心
IDC中心
出口网络的负载发展
教育网 LAN
联通
· · ·
192.168.254.0/16
学生网络
用户只需要访问学校的域名,其他的一切由来完成!!!
服务器访问链路备份
——确保服务器访问通顺 电信 教育网
电信用户
网通
主页服务器
网通用户
Cernet用户
211.100.55.0/20
校园网双出口方案
实例:校园网双出口的设计与配置实现校园网是高校的信息化建设的基础设施,是教学科研管理信息化和现代化的重要平台。
大部分高校校园网从初建至今已有几年的历史。
初建时,一般都是租用一条DDN线路连接到中国教育和科研计算机网(CERNET)。
由于中国教育科研网与一般的电信级运营网络不同,没有非常充裕的线路、设备冗余,有可能发生单点故障,对于校园网的稳定运行有一定的影响。
同时,通过CERNET访问其他的共众网如CHINANET、GBNET等速率缓慢。
随着校园网用户量增加和基于校园网络的各种网络应用的展开,要求校园网络出口具有较高的网络带宽,原有单一的CERNET出口已不能满足,有必要进一步扩大带宽,通过当地网络服务提供商(ISP)开辟第二出口连入INTERNET是较好的解决途径,许多学校采用了教育网和电信(或联通、铁通等)第二出口的双出口方案,既可以保留教育网资源,同时可以增加带宽,提高了访问INTERNET资源的速度。
各个学校采用了不同的技术实现双出口,但是基本上思路是相同的:对于访问教育网资源和mail流量走教育网出口,对于用户上网来说,走第二出口。
这样,一方面提高了校园网出口的冗余,增加了校园网的稳定性,另一方面,也解决了校外访问校园网速度过慢的问题,同时,有效减少教育网的国际流量,降低网络运行费用。
第二出口从连接方式上来说,可以采用DDN专线、ISDN、ADSL等多种技术,具体可以根据需求选择,在本文中不予以讨论。
一、双出口的解决方案我校在原有一条CERNET接入链路的基础上,通过电信开辟了第二出口。
而增加了校园网络出口线路,从理论上说提高了网络带宽,但是如果不调整原有网络系统的结构,其效果不能体现。
对该方案,我们有以下几方面的要求:(1)客户端IP地址设置不受影响,即不用重新设置地址就可以正常上网;(2)客户端访问教育科研网的网站时,出口线路CERNET,访问其他站点时,走中国电信线路出口。
(3)解决外部公众网的用户访问我校校园网主页的速度过慢的问题。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
高校网络出口解决方案1.高校网络出口现状分析随着高校信息化建设的开展,教学、科研、办公、生活对于校园网平台的依赖性越来越强。
国内的高校经过多年持续不断的基础设施建设和应用提升,已经形成了较为稳定的校园网基础架构、相对丰富的校园网应用平台。
但是,在讲究信息共享、资源整合的今天,有一块区域长期以来一直困扰着各大高校——这就是校园网出口区域。
实践中会发现,众多高校都测试了多个厂商的设备,却未能获得很好的问题解决,无法取得理想的效果。
然而,几乎所有的高校信息化专家一致认为:“高校校园网不应该作为一个信息孤岛而存在。
网络的价值更重要的是体现在信息的流通、资源的共享。
”作为校园网络平台的“门户”——出口区域,承担着高校之间相互交流的窗口的重大作用。
那么高校的校园网出口到底是怎样一个现状,都面临着哪些问题呢?为此,锐捷网络自2006年初对全国10个省进行了采样调查和分析。
1.1高校出口基本状况调研高校网络出口调研的对象为10个省市的本科类非985院校(天津、辽宁、四川、重庆、湖南、湖北、广东、安徽、福建、江苏)。
下面从学校规模,出口链路及带宽方面来介绍调研成果。
第一、从学校网络规模、信息点来看;60%的高校拥有1000-10000这样的信息点数规模。
仅仅有13%的高校信息点数在1000点以下。
而超过10000点大规模的学校比例为27%。
信息点数的多少基本上可以反映接入PC的数量(不是完全一一对应的关系),因此,我们通过结合网络规模和出口链路、出口设备状况可以来判断不同规模的学校所面临的共性和个性的问题。
一般来说:规模在1000点以下、出口带宽不是很低的情况下,出口区域的规划相对容易,对设备性能的要求相对较低,从而所采用的策略可以宽松一些。
目前面临出口难题的主要为信息点数为1000-10000和10000以上的那些高校。
第二、从出口的链路条数和带宽情况来看;一方面,网络规模较大的学校,出口带宽普遍较高;另一方面,根据学校所在区域有所差别,比如像在广州、武汉等全国网络的核心节点地区,高校的出口带宽普遍较高。
同时,运营商在不同地区采取的收费标准也对高校出口带宽有着重要的影响。
具体来说:在广州、武汉,普通本科拥有千兆电信和千兆教育网带宽的比例最高,甚至有千兆电信/千兆网通的接入;而在大连,普通本科学校的出口带宽普遍在CERNET--100M,网通--10到50M不等。
此外,由于一些特定因素,90%以上高校都有2个校园网出口,并且根据当地情况,相当比例的学校拥有三个以上的出口(教育城域网、联通、移动等提供的第三条出口)。
举例来说:在四川的20所本科院校中,有5所学校具有三出口,比例为25%;湖北的17所本科院校中有四所学校具有三出口。
1.2高校出口现有设备分析我们的调研成果还包括了高校出口现有设备和所关注的功能。
第一、从现有出口设备组合方式来看;出口设备主要包含了三类:路由器类、防火墙类、流量控制类。
另外,还有一类为代理服务器的方式,该方式目前在国内高校已不多见,但仍然有个别学校在使用(这里我们归为路由器类)。
从一组124所高校的统计数据来看,单独采用防火墙的模式和采用防火墙+路由器的混合模式占到了73%。
(具体数据请看下图—124所本科院校出口设备组成比例图)第二、从出口设备所启用和所关注的功能来看;功能上,NAT(地址转换)转发,路由处理是最基本的。
针对多出口,策略路由也是必备功能。
性能上,NAT(地址转换)和策略路由是绝大都数高校现有出口设备的瓶颈所在。
其次是安全防护能力,包含出口日志的记录能力,从我们的调查来看,几乎没有哪一个学校未遇到公安机关找上门的情况,甚至个别学校有因为日志问题而被公安机关拘留的记录,某个城域网因为日志问题面临被公安机关关闭的困境。
以所使用的具体设备为例:路由器功能丰富,但是安全性能差。
防火墙对安全的处理是大家所认可的,转发性能不高,尤其对于NAT、PBR的转发性能较低,容易成为网络瓶颈。
而代理服务器的配置管理较复杂,对网管人员的要求高;并且其可靠性较低,需要经常重启;最重要的问题在于大规模网络下代理服务器的性能问题。
所以,我们看到了在某校规模较小的办公网络需要采用八台代理服务器来保证其功能和性能的平衡。
2.当前校园网出口面临的挑战第一、NAT性能问题;出口设备要支持NAT(地址转换)是共识的。
一方面,校内使用私有地址的情况,访问Internet需要进行NAT;另一方面,即使校内使用真实的教育网IP,那么通过电信或者网通的线路访问外部资源,仍然需要进行NAT(地址转换),因为电信所分配的地址更有限。
NAT(地址转换)等于给出口设备增加了一项很重要的任务,但是,从实际情况来看,NAT却成为了上网速度慢的一个重要原因。
第二、策略路由支持问题;首先,当前校园网是基于多出口的架构。
1)为了提高访问速度需要多出口互联。
CERNET与电信、网通等运营商的互联仅在上海、北京、广州三地有交互中心,且互联带宽还不够高,这就给教育用户访问公网资源和运营商用户访问教育网资源带来了问题。
2)为了解决费用问题。
电信、网通等ISP的包月交费制提供了高校解决国际流量费用的好思路。
3)解决线路备份问题,避免单出口单点故障的存在。
其次,从上面多出口架构的原因分析可以看出,出口有必要对不同用户规定相应的路径,根据不同的访问流量制定相应的路径——也就是基于策略的路由。
从实际中各个学校的使用情况来看,一些早期的设备不支持策略路由,或者部分新采购的设备启用策略路由时,造成设备性能的下降,从而影响整个出口的性能和稳定性。
第三、安全防护能力问题;出口的安全防护一直是大家重点关注的对象,当前出口面临的网络威胁主要表现2个特点:首先,快速增长的网络带宽为网络威胁提供了更多的空间。
以前只有2M的出口带宽,而现在已经千兆入户、百兆到桌面,而骨干网的带宽也已经普及万兆。
网络越发达,网络威胁出现的次数越多,网络威胁造成的损失也就越大。
其次,越来越丰富的应用,使得网络安全的应对面也越来越广。
比如:EDonkey等P2P下载软件和各种IM的聊天软件。
这些协议都是要TCP/UDP层上,甚至需要完成应用层的服务。
网络威胁的种类也越来越多,不仅有非法入侵、网络渗透。
还有网络欺骗、DOS/DDOS攻击、各种恶意软件、垃圾邮件等。
第四、日志记录问题;《互联网安全保护技术措施规定》在2005年11月23日公安部部长办公会议通过,并自2006年3月1日起已经施行。
(该规定简称“82号令”)规定对用户信息、用户上网记录、地址转换记录、设备状态记录等都有要求。
图2 公安部82号令(部分摘抄)第五、流量控制问题;校园网的规模在扩大,网络基础设施在提升,出口带宽在增加,各种网络应用也更加丰富。
但是,某些用户或者应用(如BT等P2P应用)却在过多的占用着网络资源。
总的来说,出口带宽的增长速度与访问流量的提升速度已经是一种矛盾。
所以,有必要对用户或者某些特定应用进行流量的控制。
第六、高可用性的问题;以太网发明人Bob Metcalf曾说过“网络的价值和其节点数的平方成正比。
”当然该价值体现的前提就是网络的正常稳定运行。
当下,对服务质量要求越来越高,用户对校园网这一平台的依赖性和期望值都越来越高,各高校对网络的可用性,尤其出口的可用性的关注也是前所未有的。
通俗的来说,校内某一区域不正常只影响到该区域,而校园网出口的不可用将导致整个学校与外界的隔断,校内与校外的任何互访、信息互通都无法实现。
再审视绝大多数校园网出口区域,单设备、单链路的现象还占据主要位置。
对于设备的冗余、链路的备份,以及在出现任何设备或者链路故障下的自动切换,也仅仅是少数学校达到这样的水平。
那么,如何打造出口的高可用性?如何实现出口的自动调整对用户的透明性?即,用户无需理解复杂的出口技术,只需要体验最快的网速。
这些问题都摆在了网络管理者的面前。
3.锐捷高教校园网出口解决方案正是基于对高校的深刻理解,基于实事求是的调研数据,锐捷网络2007年推出了为高校度身定制的校园网出口解决方案。
3.1性能是出口制胜的法宝高度增强的NAT、PBR性能首先,通过三组数据来说明实际的性能效果。
1)在启用NAT、ACL、PBR(策略路由)的情况下,在通常情况报文流情况下(平均报文长度为500byte 左右的混合报文),双向可以达到8Gbps的线速转发。
简单理解,在学校1条千兆CERNET,1条千兆电信的双出口架构下,完全可以双向线速转发。
2)并发达到200万条的NAT会话数。
如果按照每个网络节点300条NAT会话,则可以支持将近7000台的网络节点同时在线,解决了网络规模大与上网速度慢的矛盾。
3)每秒高达30万条的NAT新建连接会话。
在出口中平均长度512Byte报文1Gbps的NAT线速转发下,每秒达到新建7万条NAT会话。
可以同时1100个用户美妙新建100个链接,从而解决用户数多的情况下,网页打开不断线。
图3 信产部关于NPE网络出口引擎性能的测试报告从底层架构提升防火墙的性能为了能够解决校园网出口安全所面临的各种问题,我们针对校园网出口安全进行了研究,对不同厂商的各种产品进行深入分析,对各种实现方案进行详细比较。
当然,其中如何能够提供高性能的、丰富的网络安全功能是出口安全的焦点所在。
NP和单一CPU的方案可以提供丰富的安全服务,但是性能不满足要求。
而ASIC的方案可以提供高性能,但安全功能不够丰富。
综合考虑,锐捷RG-WALL2000产品核心技术采用可编程专用安全芯片和成熟商用芯片相结合的方案。
这样RG-WALL2000即有ASIC产品的高效能,兼有软件产品的灵活性,同时也部分吸收了NP的微引擎设计思想。
由于采用了ASIC的专用技术,在芯片设计的时候,就考虑到各种报文的转发效率。
这样的设计就是校园网出口的全包长线速转发性能。
实测数据显示,任意大小的数据包都在5-13ms内数据转发,完全达到业界最优水平。
3.2安全防护牢牢掌握在校园网出口,我们将安全防护主要交给RG-WALL2000。
在锐捷RG-WALL2000产品中,锐捷开发了核心的安全芯片:Sentinel。
Sentinel是一个高集成度的安全芯片,主要模块是四层智能防御系统和IPSecVPN微引擎阵列。
详细地说,RG-WALL 2000能在硬件内为源自Layer 2 至Layer 7的头信息作检验和执行模式匹配,且一次能匹配128个字节,垂度为16个字节。
即,RG-WALL 2000一方面能快速地检验多至144个字节(128 + 16 = 144)的头信息,另一方面也能匹配具体的消息头(从1到128字节长度的可编程序签名/模式字串),并能在结果上执行逻辑运算。
CME也能把同一流的数据包拼合,从而阻止把签名分布到多个小包的应用层攻击。