校园网双出口方案
实例:校园网双出口的设计与配置实现
校园网是高校的信息化建设的基础设施,是教学科研管理信息化和现代化的重要平台。大部分高校校园网从初建至今已有几年的历史。初建时,一般都是租用一条DDN线路连接到中国教育和科研计算机网(CERNET)。由于中国教育科研网与一般的电信级运营网络不同,没有非常充裕的线路、设备冗余,有可能发生单点故障,对于校园网的稳定运行有一定的影响。同时,通过CERNET访问其他的共众网如CHINANET、GBNET等速率缓慢。随着校园网用户量增加和基于校园网络的各种网络应用的展开,要求校园网络出口具有较高的网络带宽,原有单一的CERNET出口已不能满足,有必要进一步扩大带宽,通过当地网络服务提供商(ISP)开辟第二出口连入INTERNET是较好的解决途径,许多学校采用了教育网和电信(或联通、铁通等)第二出口的双出口方案,既可以保留教育网资源,同时可以增加带宽,提高了访问INTERNET资源的速度。
各个学校采用了不同的技术实现双出口,但是基本上思路是相同的:对于访问教育网资源和mail流量走教育网出口,对于用户上网来说,走第二出口。这样,一方面提高了校园网出口的冗余,增加了校园网的稳定性,另一方面,也解决了校外访问校园网速度过慢的问题,同时,有效减少教育网的国际流量,降低网络运行费用。
第二出口从连接方式上来说,可以采用DDN专线、ISDN、ADSL等多种技术,具体可以根据需求选择,在本文中不予以讨论。
一、双出口的解决方案
我校在原有一条CERNET接入链路的基础上,通过电信开辟了第二出口。而增加了校园网络出口线路,从理论上说提高了网络带宽,但是如果不调整原有网络系统的结构,其效果不能体现。对该方案,我们有以下几方面的要求:
(1)客户端IP地址设置不受影响,即不用重新设置地址就可以正常上网;
(2)客户端访问教育科研网的网站时,出口线路CERNET,访问其他站点时,走中国电信线路出口。
(3)解决外部公众网的用户访问我校校园网主页的速度过慢的问题。
(4)校园网络中的邮件走CERNET线路。
(5)尽可能的节约校园网调整、改造的投资。
校园网原出口结构和双出口解决方案结构如图1所示:
[attach]276901[/attach]
图1
从图1中可以看到,CISCO catalyst 6509交换机是我校校园网的核心交换机,ssr1是教育网的接入设备,ssr2是电信第二出口的接入设备通过在CISCO catalyst 6509交换机上配置静态路由和策略路由,保证授权的服务器和mail的所有流量都经ssr1到教育网,其它的所有流量经ssr2到电信出口。同时,在ssr2上使用了NAT技术,使有限的电信IP地址可以满足大量校园网并发访问的需求,同时也相应提高了安全系数。
二、涉及的网络技术
第二出口方案中涉及技术有如下几种:
1、代理服务器技术
代理服务器一端接入Internet,另一端接入中心路由器,通过代理服务软件实现客户端上网。这种方式配置简单,设备费用低廉,并且不需要大规模改变原有的设备连接和配置。但是相对来说,由于是通过代理软件实现共享上网,访问速度容易受到影响。
2、路由选择
静态路由是在路由器中设置的固定的路由表。除非网络管理员干预,否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映,一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中,静态路由优先级最高。当动态路由与静态路由发生冲突时,以静态路由为准。这种方式对于设备的要求较高,配置相对繁琐,但是上网的路由选择与用户无关,用户的上网方式无需进行任何改动,可操作性较好。同时,网络管理人员可以根据两个出口的带宽和流量情况,调整路由指向。
3、策略路由技术
在路由器进行包转发决策过程中,通常是根据所接受的包的目的地址进行的。路由器根据包的目的地址查找路由表,从而作出相应的最优路由转发决策。当欲使某些包由其他路径而不是明确的最短路径路由时,就可以启用策略路由,即按照我们具体需要来决定数据包的路由。基于策略路由有如下几种方式,即:基于源IP地址的策略路由;基于数据包大小的策略路由;基于应用的策略路由;通过缺省路由平衡负载。根据实际情况我们需要特定如邮件等服务器接受和发送包的路径是通过CERNET,所以选择的是基于源IP地址的策略路由。这种方式是最佳选择,但是设备要求比较高。
在使用路由选择时,一般采用NAT——地址转换技术解决内外网地址的转换问题。NAT 就是在内部专用网络中使用内部地址,而当内部节点要与外界网络发生联系时,就在边缘路由器或者防火墙处,将内部地址替换成全局地址合法地址,从而在外部公共网上正常使用。目前NAT功能通常被集成到路由器、防火墙等设备中。NAT设备维护一个NAT表,用它来实现全局到本地和本地到全局地址的映射。NAT设置可以分为静态地址转换、动态地址转换和端口地址转换。
(1)静态地址转换
静态NAT是这三种中最容易实现的一种,它在NAT表中为每一个需要转换的内部地址创建了固定的转换条目,映射了唯一的全局地址。内部地址与全局地址一一对应。每当内部节点与外界通信时,内部地址就会转化为对应的全局地址。这种方式主要用于服务器,以确保外部对服务器的正确访问。
(2)动态地址转换
增加了网络管理的复杂性,但也提供了很大的灵活性。它将可用的全局地址地址集定义成NAT池(NATPool)。对于要与外界进行通信的内部节点,如果还没有建立转换映射,边缘路由器或者防火墙将会动态地从NAT池中选择全局地址对内部地址进行转化。每个转换条目在连接建立时动态建立,而在连接终止时会被回收。这样,网络的灵活性大大增强了,所需要的全局地址进一步地减少。需要注意的是,在地址池中的可用地址被耗尽后,后续的连
接请求将会失败,会造成网络连通性的问题。所以应该使用超时操作选项来回收NAT池的全局地址。另外,由于每次的地址转换是动态的,所以同一个节点在不同的连接中的全局地址是不同的,这会使SNMP的操作复杂化。
(3)端口地址转换
端口地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。对只申请到少量IP地址但却经常同时有多个用户上外部网络的情况,这种转换极为有用。
三、具体配置
下面我们讨论一下CISCO catalyst 6509交换机的具体配置。具体配置中由于涉及到网络安全机密,校园网的各个接口地址,包括校园网的地址、服务器的地址和电信的地址均由其他地址代替。其中:10.0.0.0/24和10.0.1.0/24表示校园网内部的地址,10.0.2.0/24表示校园网内部服务器的地址,192.168.0.0/24表示电信的地址。Ssr2路由器的ip地址为10.0.0.254,ssr1的ip地址为10.0.1.254。
1.设置默认路由指向ssr2路由器:
ip route 0.0.0.0 0.0.0.0 10.0.0.254
2.对于所有教育网的国内站点(免费流量)设置静态路由,指向ssr1路由器。
ip route 61.28.0.0 255.255.240.0 10.0.1.254
ip route 61.48.0.0 255.248.0.0 10.0.1.254
……
ip route 219.216.0.0 255.248.0.0 10.0.1.254
ip route 219.232.0.0 255.248.0.0 10.0.1.254
ip route 219.242.0.0 255.254.0.0 10.0.1.254
ip route 219.244.0.0 255.252.0.0 10.0.1.254
3.为了保证校园网中各院系的服务器流量都走教育网,需要配置策略路由。
(1)配置服务器的访问控制列表(假设服务器的地址为10.0.2.6,10.0.2.8,10.0.2.10):access -list 110 permit ip host 10.0.2.6 any
access -list 110 permit ip host 10.0.2.8 any
access -list 110 permit ip host 10.0.2.10 any
(2)配置基于所有教育网的国内站点(免费流量)的访问控制列表:
access -list 112 permit ip host 10.0.2.6 any
access -list 112 permit ip host 10.0.2.8 any
access -list 112 permit ip host 10.0.2.10 any
access -list 112 permit ip any 61.28.0.0 0.0.15.255
access -list 112 permit ip any 61.48.0.0 0.7.255.255
… …
access -list 112 permit ip any 219.216.0.0 0.7.255.255
access -list 112 permit ip any 219.232.0.0 0.7.255.255
access -list 112 permit ip any 219.242.0.0 0.1.255.255
access -list 112 permit ip any 219.244.0.0 0.3.255.255
access –list 112 deny ip any any
(3)配置策略路由,特定的服务器所有流量都经由ssr1到教育网,其它的流量经ssr2到电信出口:
route –map server permit 10
match ip address 110
set ip next –hop 10.0.1.254
route –map todianxin permit 10
match ip address 112
set ip next –hop 10.0.0.254
(4)完全保证没有非授权流量从教育网流出,应当把中国教育科研网的免费地址访问控制列表(即上文中的access –list 112访问控制列表)应用连接到ssr1路由器的端口。
这样,就保证了正常的路由指向。
4、进行ssr2的NAT配置。配置ssr2路由器快速以太网接口fastethernet0/0连接6509交换机,快速以太网接口fastethernet0/1连接DDN专线,其中0/0端口为NAT内部接口,0/1端口为NAT的外部接口。配置如下:
interface fastethernet0/0
ip address 10.0.0.254 255.255.255.252
ip nat inside
interface fastethernet0/1
ip address 192.168.0.254 255.255.255.252
ip nat outside
ip nat pool dianxin 192.168.0.65 192.168.0.90 netmask 255.255.255.224 //设置对外访问地址
ip route 0.0.0.0 0.0.0.0 192.168.0.253 //配置默认路由
ip route 10.0.0.0 255.255.248.0 10.0.0.253 //配置静态路由
access –list 100 permit ip 10.0.0.0 0.0.7.255 any //指定NAT范围
ip nat inside source list 100 pool dianxin overload
四、结语
通过以上配置,完成了园网的双出口方案。但是在使用过程中,由于公众网用户仍然通过教育网访问学校主页,存在访问速度较慢的问题。为了解决这个问题,我们做了一个教育网IP地址到电信IP地址的映射,较好的解决了这个问题。
校园网的双出口已为越来越多的学校所采纳,解决方案亦是仁者见仁、智者见智。在确定方案的时候,应根据所选用的设备和设计要求,合理的进行设计。
校园网络安全防护解决方案
校园网安全防护解决方案
提纲
校园安全防护需求分析 校园安全防护解决方案 典型案例
https://www.360docs.net/doc/7614132226.html,
2
职业院校网络面临的安全问题
出口网络问题:多出口,高带宽,网络结构复杂 P2P应用已经成为校园主流 病毒、蠕虫传播成为最大安全隐患 核心网络问题:缺少相应的安全防护手段 无法对不同区域进行灵活的接入控制 主机众多管理难度大 数据中心问题: 缺少带宽高高性能的防护方案 无法提供有效的服务器防护 数据中心网络资源有限但浪费严重 用户认证问题: 用户认证计费不准,不灵活 无法针对用户进行有效的行为审计 用户带宽滥用现象严重
https://www.360docs.net/doc/7614132226.html,
3
挑战之一:不断增加的校园出口安全威胁
应用层威胁来势凶猛 网页被篡改 带宽总也不够 服务器应用访问很慢
https://www.360docs.net/doc/7614132226.html,
病毒和蠕虫泛滥 间谍软件泛滥 服务器上的应用是关键应 用,不能随时打补丁
4
?“网络B超” 是优化安全管理的有效工具!
挑战之二:业务系统集中后的数据中心安全
如何解决数据共享和 海量存储的问题? 资源静态配置 数据增长迅猛 访问量越大,性能越 低,如何解决? 大量并发访问 性能无法保障
体系平台异构 管理移植困难 如何保障数据访问不 受设备、时空限制?
招生科研财务 关键信息无保护 数据安全如何保障?
?集中管理是解决问题的前提和基础 ?数据资源整合是优化资源管理的必由之路
https://www.360docs.net/doc/7614132226.html,
5
高校校园网及网络设备配置整体解决方案
高校校园网整体解决方案 第一部分前言: 高校校园网一直是国内Internet发展的领头羊。1994年7月,中国教育和科研计算机网CERNET示范工程启动。也就是同一年,清华北大等顶尖大学建成了自己的校园网,事实上这些网络也是中国Internet的开端。高校校园网从1994年的启动建立到现在的13年间,无论是高校校园网的网络技术,还是高校校园网的关注要点,大致可以分为三个阶段。 第一阶段是基础设施建设时期,时间大约从1994年到2000年。这期间各种网络技术在高校同时都有应用:以太网技术,FDDI,ATM网络技术。在这个阶段,由于校园网应用的技术比较繁杂,而且业务相对单一,因此,这一阶段,主要关注网络的连通性和兼容性,即如何保证校园网的连通,和各种不同网络技术的兼容和融合。 第二阶段是应用平台建设时期,时间大约是从2000年到2005年。这期间,随着网络技术的发展,各种应用也开始出现并发展迅速,包括BBS、WWW、FTP、E-mail,以及近两年流行的BT下载、视音频业务等等,这些应用都对带宽提出了挑战。另一个在此阶段发展迅速的校园网应用就是IPTV,更是被成为带宽的杀手级应用。与此同时,网络技术--特别是以太网技术迅猛发展,1000M以太网已经步入校园,万兆标准也已经公布。结合实际应用和网络技术来看,这个阶段主要关注:带宽和应用。 第三个阶段是信息资源建设时期。时间从2005年至今,乃至今后几年时间内。近两年,万兆以太网已经开始在高校校园网中规模化应用,下一代以太网标准也已经确立为10万兆标准。同时,随着cernet2的启动,IPV6技术
也已经在校园网中实验并逐步应用。当基础设施、应用平台建设之后,信息资源的丰富与否决定了校园网络的真正价值。当信息资源充分丰富后,人们的工作、学习、生活、娱乐完全离不开网络,网络的安全与可信又成为头等重要的问题。纵观这两年整个网络世界,安全事件频发:冲击波、震荡波、ARP攻击等等。所以,安全可信成为了高校校园网当前关注的要点。 简单来说,对于校园网:丰富的应用是关键,而稳定可靠的网络是基础,完善的安全和管理手段是保障。 第二部分高校校园网现状分析: 前面简单回顾了高校校园网的发展历程,这可以作为当前校园网建设大方向的一个参考。下面结合高校校园网的建设,分析一下高校网络建设中普遍存在的需求: 1、随时随地接入的需求 首先,高校师生对于网络接入有着强烈的需求。原因有二:一方面,随着近年来国家对高等教育的大力发展和支持,高校在校生人数普遍呈现上升趋势。另一方面,是由于国家经济实力的增强,技术的发展带来的低成本,导致电脑的普及率也越来越高(据不完全统计,在很多的高校,台式/PC的拥有率可以达到70%)。 其次,在部分热点区域,或者难以布线的区域需要一种切实可行的高性价比的接入方式。也就是采用无线作为补充或者备份。比如广场/操场、体育馆、阅览室、会议室、阶梯教室等,这些区域对于笔记本用户需要能够提供接入服务,而这时有线接入是行不通的。又比如校内的某栋较偏远的办公楼或者某几栋家属楼,上网用户有限,进行独立布线成本较高,所以,同样需要进
校园网双出口组网案例
校园网双出口组网案例 VPC2:192.168.2.100GW:192.168.2.1VLAN2 VPC3:192.168.3.100GW:192.168.3.1VLAN3 SW2配置: SW2#vlan database SW2(vlan)#vtp transport SW2(vlan)#vtp tran SW2(vlan)#vtp transparent SW2(vlan)#vlan 2 SW2(vlan)#vlan 3 SW2(vlan)#exit SW2#config t SW2(config)#int vlan 2 SW2(config-if)#ip add 192.168.2.1 255.255.255.0 SW2(config-if)#no shut SW2(config-if)#int vlan 3 SW2(config-if)#ip add 192.168.3.1 255.255.255.0 SW2(config-if)#exit SW2(config)#int f1/2 SW2(config-if)#switchport mode access SW2(config-if)#switchport access vlan 2
SW2(config-if)#switchport mode access SW2(config-if)#switchport access vlan 3 SW2(config-if)#int f1/1 SW2(config-if)#no switchport SW2(config-if)#ip add 192.168.1.2 255.255.255.252 SW2(config-if)#no shut SW2(config-if)#exit SW2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1//缺省路由指向RT SW2(config)#ip route 192.168.0.0 255.255.0.0 null 0//黑洞路由,在RT1上配置了一条汇总路由指向SW2,为了防止路由环路。 TEL配置: Tel-Internet(config)#interface Loopback0 Tel-Internet(config-if)#ip address 202.202.0.1 255.255.255.255 Tel-Internet(config-if)#no shut Tel-Internet(config)#interface FastEthernet1/0 Tel-Internet(config-if)#ip address 222.222.222.1 255.255.255.252 Tel-Internet(config-if)#no shut Tel-Internet(config)#interface FastEthernet2/0 Tel-Internet(config-if)#ip address 202.202.202.1 255.255.255.252 Tel-Internet(config-if)#no shut Tel-Internet(config)#ip route 200.200.0.0 255.255.0.0 222.222.222.2 Tel-Internet(config)#ip route 202.202.0.0 255.255.0.0 Null0 EDU配置 Edu-Internet(config)#interface Loopback0 Edu-Internet(config-if)#ip address 200.200.0.1 255.255.255.255 Edu-Internet(config-if)#no shut Edu-Internet(config)#interface FastEthernet1/0 Edu-Internet(config-if)#ip address 222.222.222.2 255.255.255.252 Edu-Internet(config-if)#no shut Edu-Internet(config)#interface FastEthernet3/0 Edu-Internet(config-if)#ip address 200.200.200.1 255.255.255.252 Edu-Internet(config-if)#no shut Edu-Internet(config)#ip route 200.200.0.0 255.255.0.0 Null0 Edu-Internet(config)#ip route 202.202.0.0 255.255.0.0 222.222.222.1 RT1配置: RT1(config)#int f1/0 RT1(config-if)#ip add 192.168.1.1 255.255.255.252 RT1(config-if)#no shut RT1(config)#int f2/0 RT1(config-if)#ip add 202.202.202.2 255.255.255.252
2校园网出口解决方案
校园出口设计解决方案 项目小组:CRZ.FZU 小组成员:詹长贵、陈志洲、荣融
目录1. 校园网出口设计的重要性 (2) ................................. 3当前校园网出口面临的挑战 .2 . 多出口支持挑战....................................... 32.1 .......................................... 32.2NAT性能挑战 2.3安全防御挑战 ......................................... 4 ......................................... 42.4流量控制挑战 2.5内容审计挑战......................................... 4 ........................................... 高可靠挑战2.6 4 2.7扩展挑战 (4) 5............................................ . 选择的拓扑方案3. 4. 方案分析 (5) .......................................... 54.1 双出口设计 . 6汇总出口数 据 ................................. 4.2 RSR-16E 4.3 ACE3000+NPE50的完美组 合 ............ 错误!未定义书签。4.3.1 RG-ACE3000 . .................................... 84.3.2NPE50 (11) 5. 实现的技术 (16) 5 .1 NAT技术 ........................................... 165.2 PPTP VPN 技 术 ....................................... 165.3策略路由技 术 ........................................ 175.4IPv6 over GRE 隧道技 术 ............................... 185.5访问控制技 术 ........................................ 187. 产品的配 件 ............................................... 19RSR-16E 配 件 ............................................ 19附 件: ..................................................... 20RSR-16E技术参 数 (20)
校园网安全整体解决方案设计
封面 成都信息工程学院 课程设计 校园网安全整体解决方案设计 作者姓名:纪红 班级:信安08.4 学号:2008122127 指导教师:王祖俪 日期:2011年 12月10日
校园网安全整体解决方案设计 摘要 随着计算机网络技术的飞速发展,网络技术越来受到人们的重视,它逐渐渗入到我们生活各个层面。学校的网络系统具有一个安全健康的环境,是校园网络科学化、正规化的重要条件,也在校园网的高效运行中扮演了重要的角色。现代校园网系统是一种基于开发式的网络环境,能够保证数据输入、输出的准确性快捷并且方便使用的网络应用系统。 本设计详细分析了校园网的安全问题,本文在分析校园网原有的网络安全防范措施的基础上,针对校园网在运行中所遇到的实际问题,本次课程设计在管理、设置、维护几个方面阐述了对于校园网如何进行管理与维护整个设计包括课程设计的目的与意义,需求分析,系统设计,系统实现,系统调试运行,总结,及参考文献几个部分。通过此次设计来加深我们对校园网络基本的管理与维护的了解,对于校园网建设中所用的基本设备如路由器,交换机,防火墙等了解它们在校园网中的使用情况,及基本的配置过程,对电子邮件过滤检测,入侵检测,病毒监测,防火墙设置等多方面做了相应的综合性安全解决方案。 关键字:校园网系统,管理,设置,软件维护,邮件过滤,入侵监测,防火墙
目录 1 引言 (1) 1.1课题背景 (1) 1.2高校校园网的网络现状 (1) 1.3校园网安全问题分析 (2) 1.4校园网安全问题存在的原因 (3) 2安全解决方案设计 (4) 2.1需求分析 (4) 2.3网络设计原则 (4) 2.4网络拓扑图 (5) 2.5安全设计原则 (5) 3.功能设计 (6) 3.1防火墙设置 (6) 3.1.1部署防火墙 (6) 3.2建立入侵检测系统 (9) 3.3建立漏洞管理系统 (10) 3.4建立网络防病毒系统 (11) 3.5IP盗用问题的解决 (11) 3.6采用系统升级策略 (12) 3.7利用网络监听维护子网系统安全 (13) 3.8建立良好的管理体系 (13) 3.9部署W EB,E MAIL,BBS的安全监测系统 (13) 3.10部署内容安全管理系统 (15) 3.11使用校园网用户认证计费管理系统 (15) 4.代码实现部分 .......................................................................... 错误!未定义书签。 5.参考文献 (17)
校园网双出口方案
实例:校园网双出口的设计与配置实现 校园网是高校的信息化建设的基础设施,是教学科研管理信息化和现代化的重要平台。大部分高校校园网从初建至今已有几年的历史。初建时,一般都是租用一条DDN线路连接到中国教育和科研计算机网(CERNET)。由于中国教育科研网与一般的电信级运营网络不同,没有非常充裕的线路、设备冗余,有可能发生单点故障,对于校园网的稳定运行有一定的影响。同时,通过CERNET访问其他的共众网如CHINANET、GBNET等速率缓慢。随着校园网用户量增加和基于校园网络的各种网络应用的展开,要求校园网络出口具有较高的网络带宽,原有单一的CERNET出口已不能满足,有必要进一步扩大带宽,通过当地网络服务提供商(ISP)开辟第二出口连入INTERNET是较好的解决途径,许多学校采用了教育网和电信(或联通、铁通等)第二出口的双出口方案,既可以保留教育网资源,同时可以增加带宽,提高了访问INTERNET资源的速度。 各个学校采用了不同的技术实现双出口,但是基本上思路是相同的:对于访问教育网资源和mail流量走教育网出口,对于用户上网来说,走第二出口。这样,一方面提高了校园网出口的冗余,增加了校园网的稳定性,另一方面,也解决了校外访问校园网速度过慢的问题,同时,有效减少教育网的国际流量,降低网络运行费用。 第二出口从连接方式上来说,可以采用DDN专线、ISDN、ADSL等多种技术,具体可以根据需求选择,在本文中不予以讨论。 一、双出口的解决方案 我校在原有一条CERNET接入链路的基础上,通过电信开辟了第二出口。而增加了校园网络出口线路,从理论上说提高了网络带宽,但是如果不调整原有网络系统的结构,其效果不能体现。对该方案,我们有以下几方面的要求: (1)客户端IP地址设置不受影响,即不用重新设置地址就可以正常上网; (2)客户端访问教育科研网的网站时,出口线路CERNET,访问其他站点时,走中国电信线路出口。 (3)解决外部公众网的用户访问我校校园网主页的速度过慢的问题。 (4)校园网络中的邮件走CERNET线路。 (5)尽可能的节约校园网调整、改造的投资。 校园网原出口结构和双出口解决方案结构如图1所示: [attach]276901[/attach] 图1 从图1中可以看到,CISCO catalyst 6509交换机是我校校园网的核心交换机,ssr1是教育网的接入设备,ssr2是电信第二出口的接入设备通过在CISCO catalyst 6509交换机上配置静态路由和策略路由,保证授权的服务器和mail的所有流量都经ssr1到教育网,其它的所有流量经ssr2到电信出口。同时,在ssr2上使用了NAT技术,使有限的电信IP地址可以满足大量校园网并发访问的需求,同时也相应提高了安全系数。 二、涉及的网络技术
校园网安全防护解决方案
校园网安全防护解决方案 随着校园网接入互联网以及其它各种应用的增多,校园网上的各种数据也急剧增加,我们在享受网络带来便利的同时,各种各样的安全问题也就开始困扰我们每一个网络管理人员,如何保证校园网不被攻击和破坏,已经成为各个学校校园网络管理的重要任务之一。本文针对这类问题提出了相应的解决方案,使校园网能够有效应对网络应用带来的安全威胁和风险,以确保校园网系统的安全。 一、校园网安全风险分析 校园网络作为学校信息平台重要的基础设施,担负着学校教学、科研、办公管理和对外交流等责任。在网络建成应用的初期,安全问题还不十分突出,但随着应用的深入,校园网上的各种数据也急剧增加,各种各样的安全问题也就开始困扰我们。对校园网来说,谁也无法保证其不受到攻击,不管攻击是有意的还是无意的,也不管这种攻击是来自外部还是来自内部网络。操作系统、数据库系统、网络设备、应用系统和网络连接的复杂性、多样性和脆弱性使得其面临的安全威胁多种多样。校园网络系统可能面临的安全威胁可以分为以下几个方面: ⒈物理层的安全风险分析 网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。我们在考虑校园网络安全时,首先要考虑物理安全风险,它是整个网络系统安全的前提。物理安全风险有:设备被盗、被毁坏,线路老化或被有意或者无意的破坏,通过搭线窃取数据,电子辐射造成信息泄露,设备意外故障、停电,地震、火灾、水灾等自然灾害。 ⒉网络层安全风险分析 网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。校园网是一个应用广泛的局域网,且接入了互联网,如何处理好校园网网络边界的安全问题,直接关系到整个校园网网络系统的稳定运行和安全可控;另一方面,由于校园网中使用到大量的交换机、路由器等网络设备,这些设备的自身安全性直接影响到校园网和各种网络应用的正常运转。例如,路由器口令泄露,路由表配置错误,ACL设置不当等均会
校园网络管理及信息安全解决实施方案
完美WORD格式 河北金融学院校园网络管理与信息安 全解决方案 目录 摘要 (1) 一概述 (1) 二对当前校园网络现状的研究分析 (1) 三河北金融学院网络拓扑图 (2) 四校园网主要面临的安全威胁 (2) 4.1 计算机病毒破坏 (2) 4.2 校园网络设备管理不健全 (3) 4.3 计算机系统漏洞 (3) 4.4 用户对校园网网络资源的滥用 (4) 4.5 校园网安全管理制度缺失 (4) 4.6 网络管理者和使用者的安全技术能力低 (5) 五网络安全解决方案设计 (5) 5.1 身份认证 (5) 5.2 部署网络防病毒系统 (6) 5.3 防止IP地址盗用和ARP攻击 (6) 5.4 设置漏洞管理系统 (6) 5.5 设置防火墙保护网络安全 (7) 5.6 设置WEB应用防护系统 (8) 5.7 定期对服务器进行备份和维护 (8) 5.8 加强校园管理 (9) 六结束语 (9) 参考文献 (10)
摘要:随着信息技术的不断发展,网络安全已成为一个不可忽视的问题。而校园网络的安全是一个普遍存在较为复杂的系统工程,需要引起每个使用校园网的人足够的重视并全方位地加以防范.本文针对目前校园网面临的现状进行了分析。列举出了影响校园网安全的主要因素,并提出了解决方案。 关键词校园网络网络安全网络安全措施解决方案 一概述 随着信息化程度的提高,计算机网络得到了飞速发展,校园网络信息化也逐步发展起来了。而高校校园信息化建设工作的整体推进, 应用系统的整合、统一门户平台的实施、数据存储中心的建立以及各种信息的共享与交流, 都需要切实做好校园网络安全体系建设, 建立事故预警机制,做好善后处理工作, 结合硬件、软件, 采取各种技术措施, 建立一个基于管理措施和多种技术的高校校园网络安全体系, 确保校园信息化各类基础设施不受来自网内和网外用户非法访问和破坏, 管理内部用户对外部资源的合法访问, 全面做好校园信息化的安全保卫工作。保证校园内外信息资料顺畅的交流, 面对校园网络中的种种安全威胁,必须采取及时有效的措施来解决。 二对当前校园网络现状的研究分析 当前校园网络普遍面临着网络规模大,设备多。从网络结构上看,可分为核心、汇聚和接入3个层次,包含很多的路由器,交换机等网络设备和服务器、微机等主机设备等问题。校园网通常是双出口结构,分别与Cerner、Internet 互联。而且用户种类丰富。不同用户对网
采用双出口的校园网的技术分析及实现
Vol.28No.2 Feb.2012 第28卷第2期(下) 2012年2月赤峰学院学报(自然科学版)Journal of Chifeng University (Natural Science Edition )1 引言 在很多高校的校园网建设中,基于访问速度、资源利用情况和费用的考虑,在接入教科网的同时,还会选择其他ISP 接入方式.通常情况下,当校园网中采用双出口时,要求对原有的用户的影响应尽可能少,即任何客户端IP 地址设置都不用修改,使用户能正常访问网络;当用户访问教科网的网站时,走经由连接到教科网的出口,访问其他网站包括国外站点时,走经由连接到其他ISP 的出口;外部公众网的用户访问校园网的Web 、FTP 、M ail 、DNS 等服务器时,即可以通过教科网提供的IP 地址访问,也可以通过其他ISP 提供的IP 地址访问.2 存在的问题分析 图2-1所示为校园网采用双出口时的网络连接拓扑图.这样的连接通常会带来两个方面的问题,一方面是内部用户访问外网时如何分流,另一方面就是对外发布的服务(如WEB 服务)如何提供给外部访问的问题. 当内部用户访问外部网络时,考虑到通过教科网访问其外的网络流量要收费,且访问速度没有其他ISP 快,所以一般要求所有目的地址为教科网的访问流量走教科网,其他流量走联通网. WEB 服务器同时使用教科网和联通网对外发布,当客户机位于教科网,访问WEB 服务时访问的是联通网提供的IP 地址,发出的数据包会从GE2进入,而返回的数据包会从ETH0出来,当任何一条链路故障时,都将无法正常访问 服务器.当客户机位于教科网以外,访问WEB 服务时访问的是教科网提供的IP ,也会有同样的问题出现.即便网络链路正常,对服务器的访问也存在不确定性因素.要解决以上问题,需要保证当外部客户机访问服务器的数据包从那一个接口进入内部网络就应从该接口返回.3网络接入基本技术 3.1 静态路由与默认路由 静态路由就是手工配置的路由,使得数据包能够按照 设定的路径传送到指定的目标网络.如果路由器遇到没有确切路由的数据包时,通常是按照设定的默认路由进行传送,默认路由是一种特殊的静态路由.3.2 策略路由 基于策略的路由不仅能够根据目的地址,而且能够根据协议类型、 报文大小、应用、IP 源地址或者其它的策略来选择转发路径.策略可以根据实际应用的需要进行定义来控制多个路由器之间的负载均衡、单一链路上报文转发的QoS 或者满足某种特定需求.3.3 NAT NAT 即网络地址转换,是用于解决内部网络连接到公共网络时的一种地址变换技术.通常在内部网络中使用私有IP 地址,当内部网络中的计算机与公共网络中的计算机通信时,NAT 设备将内部网络私有地址转换成公共网络上合法的IP 地址,使通信能正常进行.NAT 有三种常用类型:静态NAT : 按照一一对应的方式将每个内部IP 地址转换为一个外部IP 地址,这种方式经常用于内部网的服务器需要能够被外部网络访问到时. 动态NAT :将一个内部IP 地址转换为一组外部IP 地址(地址池)中的一个IP 地址,这种转换不是固定的,而是动态的. 超载(Overloading )NAT (也称为NAPT ):是动态NAT 的一种实现形式,在转换时利用了端口号,将[内部IP 地址,端 采用双出口的校园网的技术分析及实现 李文池1,2,杨世平1 (1.贵州大学,贵州 贵阳550000;2.贵州电子信息职业技术学院,贵州 凯里556000) 摘要:针对双出口校园网络提出一种采用静太路由、 NAT 、源地址策略路由技术的综合解决措施方案,主要解决了网络流量分配和通过双出口访问校园网服务器的问题. 关键词:双出口;静态路由;策略路由;NAT 中图分类号:TP393.18文献标识码:A 文章编号:1673-260X (2012)02-0031-02 基金项目:贵阳市科学技术计划项目,[2009],科2合同字第1-052号 图2-1网络连接拓扑图 31--
高校校园网出口解决方案最佳实践
高校校园网出口解决方案最佳实践 - 华南农业大学展示^ 锐捷公司项目展示~不为参赛~只想展示 1.2.1 项目背景 2007年,锐捷网络携手华南农业大学,进行了万兆校园网升级改造: 图1-1 华南农业大学全网拓扑图 ?骨干网升级为10G网络。学校任何重要区域到服务区群和出口路由器均为万兆链 路; ?多核心、圆锥形骨干网设计。学校任何重要区域到服务器群和出口均只有1跳路 由; ?四层架构,区域汇聚双归属设计。从架构上充分保证网络稳定可靠; ?全网的统一身份认证。基于SAM系统的用户管理,以及符合学校特色的大量二次 开发。 在骨干网络改造中,华山、东区、五组团三个区域增加了三台核心交换机RG-S8610,
组成万兆环网,承担华南农业大学核心网,同时三台核心交换机与出口路由器Cisco C7606组成圆锥形的网络框架,万兆骨干数据流积聚于出口路由器。万兆骨干的升级,使得校内流量剧增,校内带宽瓶颈得到很好的解决,同时也给出口网络带来了新的调整。 华南农业大学校园网共有信息点将近40000个,如此密集的信息点,对华南农大的出口形成了强大的冲击。出口带宽利用率接近100%,出口带宽极其紧张(华南农业大学2007年的出口线路情况是:教育网1000M、电信100M),师生普遍反映Internet访问常有缓慢现象,影响了办公、教学、生活的网上应用开展。 1.2.2 项目目标 提升出口NAT地址转换性能 ?电信广域网带宽升级到300M; ?教育网链路升级为10G链路,动态带宽最高为1.5G。 准确分析出口应用带宽占比 ?多少用户在使用哪些应用; ?每种应用占用了多少带宽资源。 精细管控出口应用带宽 ?保证教学、办公、科研的关键应用; ?分时段限制P2P应用流量。 访问日志记录 ?08奥运将至,公安部要求对所有校内用户访问校外进行行为记录,因此需要有一套高效的日志管理系统对出口设备的NAT日志进行收集,通过图形化查询界面快速查找相关 日志信息。 2 案例分析 该章节主要可从网络现状、业务现状、问题或需求等多个角度去分析,是对上一章案例概述的详细分析。通过分析现状及问题,为下一章案例方案奠定基础。 2.1 网络现状 出口网络还未改造前拓扑图如下:
校园网边界出口问题分析及解决方案
龙源期刊网 https://www.360docs.net/doc/7614132226.html, 校园网边界出口问题分析及解决方案 作者:蒋海岩 来源:《新教育时代·教师版》2017年第12期 在当今信息高速发展的时代,对带宽的容量、稳定性、安全性的需求都在增加。在大量的需求面前对于网络管理者来说提出了新的要求。除了选择好的运营商,扩充带宽之外,网络管理者还需要制定一套切实可行的边界出口解决方案,今天我就以校园网为例探讨制定一套边界出口解决方案。[1] 一、校园网边界出口主要存在的问题 首先,从大多数校园网的实际环境来看,其网络带宽巨大,而且用户常会运用大量的P2P 类应用(视频、下载),这些应用会产生大量的连接,从而导致并发连接数儿十倍甚至上百倍于实际上网用户数。而且,校园网出口往往会需要网络地址转换((NAT , NetworkAddress Translation),但无论是防火墙还是路由器,其核心功能都不是为NAT专门打造的,地址转换过程会极大的消耗硬件性能,这就让网络出口无法发挥最大的效能。[2] 二、校园网边界出口主要需求分析 1.边界出口的功能需求 在校园网总出口增设应用识别功能的边界设备是主流的设计方案,可以实现功能的互补(如内部应用控制设备无法控制的动态应用,可由总出口来处理。反之亦然)。在校园网将 带宽扩升时,在大流量的冲击下,应用层的防火墙是否能够支撑起我们的网络,能否在大流量的情况下,保证内外网间通信能够实现线速转发。所以选择产品参数时我们会尽量的选择万兆级别的边界出口设备。 2.多链路负载均衡功能的需求 现在大多数校园网出口是“多出口”环境,关于多出口链路优化的方案,传统的解决方案一般是通过“策略路由”来做静态的指定,即:A网段走链路1,B网段走链路2。此时,由于 A、B网段使用环境的不同,外网链路经常会出现一个忙一个闲的状况,这是比较常见的问题。另外第二个常见的问题是,在多运营商做接入时(如同时存在联通、电信)流量分配的不合理:多运营商链路接入时,传统的多出口解决方案是利用ISP路由,实现访问“目的地址”是联通地址的数据包走联通线路,目的地址是电信资源的数据包走电信线路,从而避免跨运营商的访问,提高网络访问速度。 3.安全防护的需求
校园网双出口的设计与配置实现
校园网是高校的信息化建设的基础设施,是教学科研管理信息化和现代化的重要平台。大部分高校校园网从初建至今已有几年的历史。初建时,一般都是租用一条DDN线路连接到中国教育和科研计算机网(CERNET)。由于中国教育科研网与一般的电信级运营网络不同,没有非常充裕的线路、设备冗余,有可能发生单点故障,对于校园网的稳定运行有一定的影响。同时,通过CERNET访问其他的共众网如CHINANET、GBNET等速率缓慢。随着校园网用户量增加和基于校园网络的各种网络应用的展开,要求校园网络出口具有较高的网络带宽,原有单一的CERNET出口已不能满足,有必要进一步扩大带宽,通过当地网络服务提供商(ISP)开辟第二出口连入INTERNET是较好的解决途径,许多学校采用了教育网和电信(或联通、铁通等)第二出口的双出口方案,既可以保留教育网资源,同时可以增加带宽,提高了访问INTERNET资源的速度。 各个学校采用了不同的技术实现双出口,但是基本上思路是相同的:对于访问教育网资源和mail流量走教育网出口,对于用户上网来说,走第二出口。这样,一方面提高了校园网出口的冗余,增加了校园网的稳定性,另一方面,也解决了校外访问校园网速度过慢的问题,同时,有效减少教育网的国际流量,降低网络运行费用。 第二出口从连接方式上来说,可以采用DDN专线、ISDN、ADSL等多种技术,具体可以根据需求选择,在本文中不予以讨论。 一、双出口的解决方案 我校在原有一条CERNET接入链路的基础上,通过电信开辟了第二出口。而增加了校园网络出口线路,从理论上说提高了网络带宽,但是如果不调整原有网络系统的结构,其效果不能体现。对该方案,我们有以下几方面的要求: (1)客户端IP地址设置不受影响,即不用重新设置地址就可以正常上网; (2)客户端访问教育科研网的网站时,出口线路CERNET,访问其他站点时,走中国电信线路出口。 (3)解决外部公众网的用户访问我校校园网主页的速度过慢的问题。 (4)校园网络中的邮件走CERNET线路。 (5)尽可能的节约校园网调整、改造的投资。 校园网原出口结构和双出口解决方案结构如图1所示: CISCO catalyst 6509交换机是我校校园网的核心交换机,ssr1是教育网的接入设备,ssr2是电信第二出口的接入设备通过在CISCO catalyst 6509交换机上配置静态路由和策略路由,保证授权的服务器和mail的所有流量都经ssr1到教育网,其它的所有流量经ssr2到电信出口。同时,在ssr2上使用了NAT技术,使有限的电信IP地址可以满足大量校园网并发访问的需求,同时也相应提高了安全系数。 二、涉及的网络技术 第二出口方案中涉及技术有如下几种: 1、代理服务器技术 代理服务器一端接入Internet,另一端接入中心路由器,通过代理服务软件实现客户端上网。这种方式配置简单,设备费用低廉,并且不需要大规模改变原有的设备连接和配置。但是相对来说,由于是通过代理软件实现共享上网,访问速度容易受到影响。 2、路由选择 静态路由是在路由器中设置的固定的路由表。除非网络管理员干预,否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映,一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中,静态路由优先级最高。当动态路由与静态路由发生冲突时,以静态路由为准。这种方式对于设备的要求较高,配置相对繁琐,但是上网的路由选择与用户无关,用户的上网方式无需进行任何改动,可操作性
高校校园网安全解决方案
高校校园网安全解决方案 概述 21、1 高校校园网络安全建设意义2第二章高校校园网络特点分析3第三章安全风险分析 53、1 物理层安全风险 53、2 网络层安全风险 53、3 系统安全风险 63、4 应用层安全风险 63、5 管理层安全风险7第四章安全需求分析 84、1 网络攻击防御需求 84、2 系统安全漏洞管理需求 84、3 网络防病毒需求 94、4 WEB应用安全需求104、5 内容安全管理需求104、6 INTERNET接入用户控制需求1 14、7 建立完善安全管理制度的需求11第五章网络安全解决方案1 25、1 高校校园网络安全建设原则1 25、2、高校校园网络安全解决方案1 35、1部署防火墙1 35、2部署入侵检测/保护系统1 35、3 部署漏洞管理系统1 55、4 部署网络防病毒系统1 75、5 部署WEB应用防护系统1 95、6 部署内容安全管理系统2 15、7 部署校园网用户认证计费管理系统2 25、8 高校校园网络安全建设分步实施建议23第一章概述 1、1 高校校园网络安全建设意义随着网络的普及和发展,高校信息化建设也在快速地进行,校园网在高校及教育系统中的作用越来越大,已经成为高校重要的基础设施,对学校的教学、科研、管理和对外交流等发挥了很好的保障作用。目前,校园网络已遍及学校的各个部门,有的学校已将网络线通入学生寝室,
网络已经成为师生工作、学习、生活不可缺少的工具。校园网络的建立,能促进学校实现管理网络化和教学手段现代化,对提高学校的管理水平和教学质量具有分重要的意义。但是,网络中的种种不安全因素(如病毒、黑客的非法入侵、有害信息等)也无时无刻不在威胁校园网络的健康发展,成为教育信息化建设过程中不容忽视的问题。如何加强校园网络的安全管理,保证校园网安全、稳定、高效地运转,使其发挥应有的作用,已经成为学校需要解决的重大问题,也是校园网络管理的重要任务。第二章高校校园网络特点分析高校校园网络具有如下特点: 1、网络规模大,设备多。从网络结构上看,可分为核心、汇聚和接入3个层次,包含很多的路由器,交换机等网络设备和服务器、微机等主机设备。 2、校园网通常是双出口结构,分别与 Cernet、Internet 互联。 3、用户种类丰富。按用户类型可以划分为教学区(包括教学楼、图书馆、实验楼等)、办公区(包括财务处、学生处、食堂等)、学生生活区、家属区等。不同用户对网络功能的要求不同。教学区和办公区要求局域网络共享,实现基于网络的应用,并能接入INTERNET。学生区和家属区主要是接入INTERNET的需求。 4、应用系统丰富。校园网单位众多,有很多基于局域网的应用,如多媒体教学系统,图书馆管理系统,学生档案管理系统,财务处理系统等。这些应用之间互相隔离。还有很多基于INTERTNET的应用,如WWW、E-MAIL等,需要和INTERNET的交互。各种应用服务器,如DNS,WWW,E-MAIL,FTP等与核心交换机高速连接,对内外网提供服务。高校校园网络拓扑示意图如下:第三章安全风险分析网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。风险分析是网络安全防护的基础,也是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。 3、1 物理层安全风险网络的物理层安全风险主要指网络周边环境和物理特性引起的网络设备和线路的阻断,进而造成网络系统的阻断。包括以下内容:
校园网解决方案
校园网解决方案
校园网解决方案的技术报告 第一章概述 1.1需求分析 根据河北省教委市政府关于信息技术教育发展目标,全市所有学校建成校园网,实现校内、校际、区域三网连接,做到“校校通”,中小学基本普及信息技术教育的建设构想,此网络系统是一个包括校园园区网络建设及校际、区域网络连接的大型城域网工程建设项目。本着技术领先和经济相结合的原则,充分利用现有的设备,建立一个开放型的综合网络布线系统。 整个网络将向用户提供系统中数据信息的查询和交流功能;提供电子邮件的收发功能;提供网络上文件的快速传输功能;提供软件系统及网络中硬件的共享能力;支持远程拨号用户的拨号访问功能;并为用户对多媒体信息(视频信息)的实时调用提供足够的带宽。 1.2网络总体结构设计分析 网络技术 近几年来,随着应用的发展,对计算机网络技术提出了更高的要求,各种网络技术层出不穷。在局域网来讲,按照网络拓扑结构的不同,有总线型网络,星型网络,环型网络,
安全可靠性 安全可靠是整个系统的基本要求。如果一个系统安全性差,运行不稳定,应用的基础都没有,很难想 象,这样的系统能够真正使用起来。可靠性是指系统 在运行期间的健壮性。主要涉及软件和硬件两个方面,其中硬件方面包括网络服务器,工作站,电源,网络 连接设备(路由器,交换机),网络接口卡,网络传输 介质等硬件本身的运行的稳定性和可靠性,以及它们 连接在一起构成一个系统时的运行稳定性和可靠性。 软件方面包括操作系统(OS),数据库管理系统(DBMS),电子邮件系统(E-MAIL)和网络防火墙等软件的可靠性 和应用软件的安全性。因此系统中的各个部分都采用 高质量的材料、组部件设备实现,并谨慎施工和测试,以保证各个环节都是可靠的。 本系统参考标准 建筑与建筑群综合布线系统工程设计规范CECS-72- 95 城市住宅区和办公楼电话通信设施设计标准 YD/T2008-93 总配线架技术要求和试验方法YD/T694-93 市内通信全塑电缆线路工程设计规范YDJ9-90 有关四类/五类UTP技术性能规定TIA/EIATSB-36 有关电缆及连接技术性能补充规定 TIA/EIATSB-40/TSB-40A UTP电缆系统传输特性现场测试技术规范TIATSB-67 商务建筑电信布线路径和空间位置标准TIA/EIA-569
高校网络出口解决方案
高校网络出口解决方案 1.高校网络出口现状分析 随着高校信息化建设的开展,教学、科研、办公、生活对于校园网平台的依赖性越来越强。国内的高校经过多年持续不断的基础设施建设和应用提升,已经形成了较为稳定的校园网基础架构、相对丰富的校园网应用平台。但是,在讲究信息共享、资源整合的今天,有一块区域长期以来一直困扰着各大高校——这就是校园网出口区域。实践中会发现,众多高校都测试了多个厂商的设备,却未能获得很好的问题解决,无法取得理想的效果。 然而,几乎所有的高校信息化专家一致认为:“高校校园网不应该作为一个信息孤岛而存在。网络的价值更重要的是体现在信息的流通、资源的共享。”作为校园网络平台的“门户”——出口区域,承担着高校之间相互交流的窗口的重大作用。那么高校的校园网出口到底是怎样一个现状,都面临着哪些问题呢?为此,锐捷网络自2006年初对全国10个省进行了采样调查和分析。 1.1高校出口基本状况调研 高校网络出口调研的对象为10个省市的本科类非985院校(天津、辽宁、四川、重庆、湖南、湖北、广东、安徽、福建、江苏)。下面从学校规模,出口链路及带宽方面来介绍调研成果。 第一、从学校网络规模、信息点来看; 60%的高校拥有1000-10000这样的信息点数规模。仅仅有13%的高校信息点数在1000点以下。而超过10000点大规模的学校比例为27%。信息点数的多少基本上可以反映接入PC的数量(不是完全一一对应的关系),因此,我们通过结合网络规模和出口链路、出口设备状况可以来判断不同规模的学校所面临的共性和个性的问题。 一般来说:规模在1000点以下、出口带宽不是很低的情况下,出口区域的规划相对容易,对设备性能的要求相对较低,从而所采用的策略可以宽松一些。目前面临出口难题的主要为信息点数为1000-10000和10000以上的那些高校。 第二、从出口的链路条数和带宽情况来看; 一方面,网络规模较大的学校,出口带宽普遍较高;另一方面,根据学校所在区域有所差别,比如像在广州、武汉等全国网络的核心节点地区,高校的出口带宽普遍较高。同时,运营商在不同地区采取的收费标准也对高校出口带宽有着重要的影响。 具体来说:在广州、武汉,普通本科拥有千兆电信和千兆教育网带宽的比例最高,甚至有千兆电信/千兆网通的接入;而在大连,普通本科学校的出口带宽普遍在CERNET--100M,网通--10到50M不等。此外,由于一些特定因素,90%以上高校都有2个校园网出口,并且根据当地情况,相当比例的学校拥有三