IToIP数字化校园解决方案.ppt

* H3C服务西北工业大学明德学院 教学楼 图书馆 学生区 出口路由器 S9500 服务器区 S9500 Internet 教育网 科技楼 出口路由器 S7500 S7500 S7500 S7500 S3100 S3100 S3100 S3100 H3C服务延安职业技术学院 路由器 2台核心交换机S9505 管理服务器群 互联网 GE GE GE GE GE GE 双GE 智能管理 病毒库管理 升级包管理 教育网 汇聚交换机S5500-EI 汇聚交换机S5500-EI 汇聚交换机5500-EI GE GE 教师公寓（二期） 接入交换机E126A/E152 接入交换机E328/E352 接入交换机E126A/E152 XLOG 内置防火墙安全插卡 内置防火墙安全插卡 2#学生宿舍楼 6#学生宿舍楼 行政办公楼 1#专家公寓 实习工厂– E126A 4幢实验楼-E126A 学术交流中心 – 无线部署 图书馆 – 无线部署 体育馆 – 无线部署 接入交换机E328/E352 无线AP 无线AP 学生食堂1无线部署 WA2210 汇聚交换机S7503E 无线控制器（二期） WA2210 SR6602 SR6602 SR6602 内部局域网 内部局域网 内部局域网 广域网 H3C服务于铁路运输职业技术学院 H3C服务西安航空技术高等专科学校 实验楼 服务器组 F1000-E IPS 出口路由器 2GE S8505 S8505 FE 服务器群交换机 S3600 S3600 S3600 S3600 S3600 办公楼 S3600 S3600 东大门 教学楼 S3600 S3600 北大门 信息楼 S3900 S3900 S7506R S6505R S3600 S3600 2GE 2GE 2GE F1000-E 图例： 2GE 2GE GE GE GE GE 千兆多模 千兆单模 千兆UTP 百兆UTP 核心层 2GE 2GE 2GE 2GE 操场 S3600 无线AP 无线AP GE Cernet S3600 * * * * 1企业级路由器指高中低端路由器，不含核心路由器和SOHO路由器； 2运营商WLAN设备包括无线接入点、控制器、网卡及Mesh网络； 3网络安全设备指各类嵌入式安全模块、防火墙/VPN、IDS、IPS、UTM、安全管理中心等网络安全硬件设备 * * * * * * * * * * * * * * * * * * * * * * * * * ACFP：Application Control Forward Protocol；用于提供SecBlade模块软件对网络设备数据流量的联动配置通道； ACSEI：A Method for Exchanging Information between ACFP Client and ACFP Server；作为ACFP的支撑协议，同时提供网络设备对SecBlade模块的控制和时钟同步功能。 * 搭建无线有线一体化方案、有源无源一体化方案、网络完全一体化方案 提高网络的管理、维护效率 简化机房网络结构 简化机房机房布线 提高机房空间利用率 降低网络设备电力消耗 * * * 1，新校区全网没有独立的防火墙设备，由9块SecBlade防火墙插卡实现嵌入网络的安全功能。 2，由防火墙插卡实现各个内网安全区域间隔离，即拥有了准万兆的防火墙性能，后续的扩展应用安全策略到新增的业务区域又无需添置单独的安全设备。 3，核心的防火墙插卡即起到了边界防护作用，又与汇聚层的防火墙插卡配合完成内网安全加固功能。 * 确认拓扑图正确，设备数量 * 确认拓扑图正确，设备数量 * * H3C公司简介 数字化校园背景分析 H3C数字化校园解决方案 数字化校园网络整体解决方案 数字化校园安全整体解决方案 数字化校园智能管理解决方案 汇 报 提 纲 陕西省教育行业案例赏析 安全加固——立体安全防护体系 “立体安全” = =====? 攘外安内 校园网出口/数据中心安全防御“三位一体”：FW+IPS+ACG； +内网安全准入系统 立体安全防护之---边界安全保护 防火墙 负载分担/冗余备份 学校内部局域网 WWW服务器 Mail服务器 FTP/DNS服务器 IPS 负载分担/冗余备份 流量分析卡 ASM插卡 边界安全保护—完成L2~L7深度安全防御 L2～L7层深度安全防御 L2 BPDU Guard、PVLAN、五元组绑定、802.1X等二层安全技术 L2.5 基于MPLS网络和业务隔离技术 L3 基于ACL的访问控制和隔离技术，基于IPSec的加密技术 L4 基于状态的访问控制和隔离，基于syn Proxy/Cookie的DDoS防护 L5 基于专家系统和统计技术的威胁识别技术 基于关联