共享开放多校区互联解决方案20090316

MPLS VPN
优点：采用标签技术、租用成本较低 缺点：运营商TE技术部署较少、QOS无法保证 应用：通过路由器或三层交换机连接运营商端
IPSEC VPN
优点：数据加密传输、链路成本低 缺点：在Internet创建隧道、带宽无法保证 应用：通过路由器/防火墙创建安全通道
16
各种组网方式的对比
组网方式 裸光纤 SDH MSTP 无线 运营方式 自建/租用 租用运营商 租用运营商 自建 可维护性 高 低 低 高 成本 视距离而定 高 较高 低 带宽 高 低 灵活分配 低 安全性 高 高 较高 低 带宽质量保证 高 高 较高 低
如何在教育规模快速增长、多校区中学迅速增加的 趋势下实行有序的管理，成为当前多校区信息化建 设的关键。
融 合
家校通 远程教育 Web网站 资产管理 学籍管理 课程录播系统 VOD OA办公 网上备课 人事管理 财务管理 数字图书馆
4
多 校 区 校 园 网 业 务 系 统
沟通交流类
视频会议 家校通 门户网站 博客论坛
----
您必须安 装杀毒软 件并启用， 101010 否则禁止 101010 入网 如果客户端未安装或正确启用杀毒软件，则会收到 SMP的警告，并被限制上网 在正确安装并启用杀毒软件之后，经SMP的检测通过， 则可以在杀毒软件的保护下正常上网了
GSN网络通信防护体系
• 安全事件的检测与处理
– 用户主机安全并不是最后一道防线，只有保证网络通信数据的合 法有效，才能真正实现内网安全 – GSN通过IDS系统对网络数据流进行实时检测，确保内网数据流 的干净可靠，从根本上断绝网络攻击对内网的危害
•SSH •SNMPv3 •AAA •管理源IP限制 •Tacacs+ •Radius
•MPLS •VPLS •Martini •路由认证 •Pvlan
•防火墙模块 •MPLS VPN模块 •VPLS模块 •网络分析模块
CSS安全体系：交换自防御系统-自动CPU防护
自动的硬件CPU保护，在任何攻击环境中CPU利用率<30%
互联线路的挑战
建设/租用成本
多校区的互联本身就是为了融合资源、节约成本， 如果投入过大，甚至每年都得投入大量的资金租用线路 ，无疑对学校造成了很大的负担
如何进行互联线路选择？
带宽
校区之间的VOD、课件等资源共享对带宽的要求极 高，需要提供一个高带宽的互联方式
可维护性
自建线路的管理维护成本大大优于租用线路，不需 要受限于运营商
安全防护 CPP（控制平面保护,CPU Protect Policy）
CPU 内存
硬件保护 CPU
锁定攻击者
接口
封锁非法目标
CSS安全体系：交换自防御系统-智能安全策略下放 安全检测
NFPP，基础网络保护策略
– 基于网络威胁的安全
处理模式 – 自动发现并解决安全
警告
检测
攻击
攻击
自动下发策略 隔离攻击
ARP
MSTP
业务特点
沟通交流类业务特点
使用的人数多(学生、老师、家长) 使用时间长（很多业务需要24小时在线） 视频等大流量文件的传输（视频会议）
教务教学类业务特点
- 业务复杂多样（谁有权限使用何种业务） - 数据流量大、实时性强（数字广播、电子巡考、远程教育、VOD点播） - 共享数据信息（多人协同式业务）
23 w
CSS安全体系：智能流量分析检测
网络流信息测量的标准协议：IPFIX（RFC 3917）
–统一IP数据流统计、输出标准 –特点：模板格式输出，不同需求定义不同数据格式 –作用：可以针对城域网/园区网进行网络应用统计、故障排除、优化网 络、安全监测，为网络规划提供依据。
Flow IPFIX
Export
Collector
Analyser
24 w
CSS安全体系：智能流量分析检测
流量分析系统报表
通过流量分析报表，可进行协助用户进 行网络应用统计、故障排除、优化网络、 安全监测，为网络规划提供依据。
RG-S8600 IPFIX处理流程 通过万兆高性能的NP板实现对网络业务 的分析功能 支持最新的IPFIX国际标准 支持同时向主备服务器都发送统计信息
教学管理类业务特点
保密性强（涉及校方财务、人员、资产管理） 安全要求高（病毒、补丁、准入控制） 数据流大（平安校园）
6
多校区互联始终关注的几个问题
如何进行互联线路选择？
如何确保全校 资源高速稳定的共享？
如何实现全校 用户的统一有效管理？
如何对出口的流量 和日志进行有效监控？
如何对多校区设备 进行监管及故障管理？
教务教学类
OA办公
多媒体教学
教学管理类
一卡通 VOD 教学资源库 平安校园 资产管理 学籍管理 人员管理
远程教育 数字广播
电子巡考
数字图书馆
校 园 网 业 务 支 撑 平 台
基础硬件平台
综合布线 基础网络
软件资源平台
教学软件系统 数据库系统
智能管理平台
身份管理 行为管理 设备管理 业务管理
广播系统
监控系统
流量监控
如何对网络中的流量进行有效监管 ，在问题爆发之前很好的解决
故障判断
如何迅速定位故障，保障网络的稳
定运行
12
提纲
多校区发展带来的问题及挑战
共享开放多校区解决方案
典型应用案例
多校区互联拓扑图
cernet
应用控制引擎 出口引擎 NPE 50 防火墙
internet 主 校 区
磁盘阵列
核心交换 S8610
– GSN提供了灵活的访问权限控制功能，充分满足用户权限控制的多样化 需求
28
GSN端点安全防护体系
用户主机信息收集 软件安装情况检测与修复 后台服务情况检测与修复
系统运行进程检测与修复
注册表关键键值检测与修复 Windows补丁检测与修复 外连接口启用情况检测与修复 防病毒软件检测与修复
GSN与杀毒软件的联动
网管软件
全局安全 系统GSN
互联线路 的选择
校 区 三
汇聚交换 S8606
校 区 二
汇聚交换 S8606
接入交换S2628G
接入交换S2628G
10GE
GE
10/100M
多校区网络互联的形式
裸光纤
优点：可提供高带宽独立线路 缺点：距离越长成本越高，受距离限制 应用：通过路由器/交换机以太网口互联
SDH
双引擎热备份冗余
双路电源 负载均衡供电
0故障无源背板设计
基于设备级别的CSS安全体系
CSS 安全体系
安全监控
安全防护
安全管理
安全信息
扩展安全防 护模块
•NFPP •IPFIX •Syslog •ND snooping •DHCP snooping
•NFPP •SPOH •CPP •URPF •防Dos攻击 •防扫描 •LPM+HDR 21
安全性
人事、财务、教学资源等重要数据的传输对安全性 提出了很高的要求
带宽保证
对于视频点播、异地授课等实时业务来说，时延和 抖动会对业务造成极大的影响，带宽质量必须得到保证
8
资源共享的挑战
网络资源
校园网建设标准、管理模式不尽相同，多 网管理成本高，给老师的管理维护带来困扰
如何确保全校 资源高速稳定的共享？
办公资源
各校区OA办公、网上备课、图书管理等软 件系统独立使用，给学校老师日常办公造成很 大的不便
教学资源
教学课件、家校通、VOD点播、WEB、MAIL 、FTP等应用的重复建设、导致软硬件设备投 资的利用率低
9
统一管理的挑战
统一准入管理
如何保证全校师生通过身份认证方可接入 网络，把安全隐患降到最低
MPLS VPN
IPSEC VPN
租用运营商
自建
低
高
较低
低
中
低
较高
高
低
无
• 裸光纤拥有较低的建网成本、高可维护性、高带宽、高安 全性和高QOS保证，成为建设中小学多校区网络的线路首 选 • 当然，各种建网方式也视情况而定，在校区距离较远等情 况下可以考虑MSTP或MPLS VPN线路
多校区互联拓扑图
多校区互联拓扑图
应用控制引擎
统一管理 的选择
核心交换 S8610
cernet
出口引擎 NPE 50
internet 主 校 区
防火墙 磁盘阵列
网管软件
全局安全 系统GSN
汇聚交换 S8606
校 区 二
汇聚交换 S8606
校 区 三
接入交换S2628G
接入交换S2628G
10GE
GE
10/100M
对客户安全的统一管理
应用控制引擎
资源共享 的选择
出口引擎 NPE 50
cernet
internet 主 校 区
防火墙 磁盘阵列 核心交换 S8610
网管软件
全局安全 系统GSN
汇聚交换 S8606
校 区 二
汇聚交换 S8606
校 区 三
接入交换S2628G
接入交换S2628G
10GE
GE
10/100M
高速稳定的资源共享平台
共享开放的多校区互联解决方案
普教VT：张杰 更新日期：2009-3-16
修订记录
修订日期
2009-2-19 2009-3-11
修订版本
v0.9 v1.0 初稿
修订描述
增加业务结构及特点分析、增加网管软件、删除存储
作者
张杰 张杰
1
提纲
多校区发展对业务的影响及挑战
共享开放多校区解决方案
典型应用案例
学校的多校区发展趋势
教学管理系统 WEB发布系统
多校区校园网解决方案
（ 裸互 光联 纤线 、路 带 宽 ） （ 技网 术络 、稳 架定 构可 、靠 设性 备 ） （ 设 备网 性络 能性 、能 带 宽 ） （ 拓 扑网 、络 流设 量备 、管 故理 障 ） （ 用 、户 行 、为 日管 志理 ） （ 认 证网 、络 安 全 、管 补理 丁 ） P2P BT
优点：严格的时分复用，不会发生网络拥塞 缺点：只支持2M/34M/155M，线路租用昂贵 应用：通过路由器广域网线卡互联
MSTP
优点：线路带宽可灵活调整，可用以太网接口 缺点：运营商端链路不可控、线路租用较贵 应用：通过路由器/交换机以太口互联
15
多校区网络互联的形式
无线
优点：部署成本低，不需要布线 缺点：低带宽，易受外部环境影响 应用：通过无线AP+定向天线互联
如何对出口的流量 和日志进行有效监控？
出口流量
如何解决P2P的泛滥、保障关键应用、 合理利用带宽
出口日志
如何在爆发安全事故后更好的进行故障 定位和责任追踪，满足公安部82号令的要求
11
设备管理的挑战
拓扑管理
如何对全校多个校区整网设备的拓 扑做到心中有数
如何对多校区设备 进行监管及故障管理？
用户身份管理体系 网络通信防护体系
将非法用户隔离在内 网大门之外 实时监控网络数据流，侦 测并隔离危险网络行为
端点安全防护体系
确保入网用户端点安全性， 掐灭内网安全隐患
GSN用户身份管理体系
• 灵活的用户访问权限管理
– 不同部门和组织的用户往往需要约束不同的访问控制权限
» 财务部门的数据服务器不允许其它部门访问 » 访客用户不能访问所有内网资源，但允许访问外网及内网的DNS » ……
如何实现全校 用户的统一有效管理？
统一系统管理
如何统一对教学PC系统及时升级、杀毒软
件病毒库即时更新
统一安全管理
如何把来自INTERNET的各种攻击屏蔽在外
，保证教学资源的安全
统一ARP防护
如何统一对ARP欺骗的泛滥进行控制，让 师生正常访问网络
10
网络出口的挑战
来自百度文库 统一出口
如何解决多出口给网络管理上带来了诸 多的不便：需要各校区记录多个日志、制定 不同安全策略、租用多条运营线路。 如何解决传统路由器NAT转发慢的问题
采用双核心设计、不存在单点故 障，保证多校区统一后办公及教 学资源等业务不会中断 可以针对多校区统一进行网络资 源应用统计、故障排除、优化网 络、安全监测，提高网络的稳定 性。
核心设备采用CSS体系保证核心 设备的稳定、高速，保证业务持 续不中断。
19
稳定性设计-单机环境下无故障设计
6风扇冗余设计 对机箱的左、右、中三 部分进行散热 同时上下两两互为备份
随着基础教育从单一模式到多元 化、优质化的发展，越来越多的 中小学开始了合并，通过合并重 组，使教育资源达到最优化，让 学生享受到均等的受教育机会！ 部分中小学由于地理位置及教学 资源的原因，学生越来越多，原 校区的教室、宿舍等设施已无法 满足需要，很多学校都开始建立 一个或多个分校区。
3
学校的多校区发展趋势
收集并整理安全事件 RG-SEP 检测并通报安全事件
自动、联动
RG-SMP 定位到攻击者 并进行处理 攻击者 发起攻击 RG-IDS
ARP欺骗防御
• GSN的三重防御体系
网关
ARP Check
安全管理平台服务器 SU
32
分布式部署方案
33
GSN工作流程 -分布式部署
RG-IPC
2 1 3
总部
① 身份流、策略流、管理流下发： RG-IPC将分支机构中所有用户的信 息、对应该分支机构的安全策略以 及相关的管理信息下发给分支机构 的RG-SMP服务器 ② 用户信息流上传： 分支机构的RG-SMP服务器将用户 的上网信息、IP、MAC、软硬件信 息等用户信息上传给RG-IPC进行统 一管理 ③ 信息同步： 分支机构的RG-SMP服务器与总部 的RG-IPC会进行定时的或者手动的 同步，以保证身份信息、策略、管 理信息等及时同步。