162-领航高性能校园网 -.pptVIP

Copyright ? 2004 Juniper Networks Inc. 领航高性能校园网 ---高效.分层.安全.可控Juniper Networks2007/11/4 Agenda 校园网发展趋势 高性能校园网 现状概述 高校信息化的深入发展，无纸化办公的普及，使得网络成为工作生活不可分割的一部分 互联网在提供了海量信息资源的同时，催生了各种应用系统，占据了大量的网络带宽 伴随着互联网的迅速发展，各种蠕虫，攻击，木马恶意软件等等涉及网络安全的事情愈发的突出 IPv6在国内高校的发展相比欧美和日本相对缓慢 …… 今后的发展方向 核心网升级 校园网整体安全 IPv6网络逐步部署 各种数据中心，网络资源的整合 …… Agenda 校园网发展趋势 高性能校园网 当前校园网结构 典型的三层结构 核心+汇聚+接入 核心和汇聚采用三层交换机 接入采用二层交换机 今后校园网结构 网络层次简洁 两层网络结构 核心层 接入层 扁平化网络结构 高效的网络结构 高效的网络结构 网络结构扁平化 减少物理和逻辑级联级数，提供更加快速的数据通道 扩展核心节点 压缩掉汇聚节点 接入直接面向核心，从而形成扁平化的网络结构 扁平化的前提 核心设备需要高性能和大容量 高密度以太网口用以直接下挂大量的二层设备 Juniper专门优化的纯以太网核心路由器满足校园网扁平化结构 MX系列运营商级以太网核心路由器 MX系列三个型号 MX960 MX480 MX240 MX960 MX480 MX240 MX960/480/240---高性能和大容量 互联网应用的层出不穷，高校数字化的不断深入，校园网流量的迅猛增长 包转发能力 1200/600/300Mpps包转发能力 交换能力 960/480/240Gbps吞吐能力 MX960/480/240---接口密度树立了业界新标杆 高密度 每板卡40GE 每板卡4个10GE 整机接口 整机480/240/120个全线速GE接口 整机48/24/12个全线速10GE接口 多业务混载，职能网络没有分离 校园网现状 教师办公OA网和学生网混杂使用 增加单一物理网络的不安全性 很多高校有分校区 和主校区互联 尤其分校区和主校区的财务等部门互联 …… 一卡通单独的专用网络 增加运行维护成本 分层网络-业务平面分离 教师办公OA网和学生网 从管理和运行维护角度,应该将二者分离 财务网络 安全,独立的网络 和分校区财务部门互联,提高效率 一卡通网络 安全,独立的网络 降低运行维护成本 …… 如何做到? Juniper逻辑路由器构建N平面网络 逻辑路由器 单台路由器可以划分出15台逻辑路由器和1台主路由器，路由器上的接口可以任意划分到任意的路由器中 每个逻辑路由器都有自己的单独的路由表和转发表 都使用ASICs来转发报文，因此这16台路由器接口都是线速转发 N平面网络 业务网络分层 各业务网络之间完全隔离,在需要互通的业务网络之间配置严格的控制策略 单一物理网络承载多业务 良好的网络扩展性,极大的节省投资成本 实施部署简单,节省运行维护成本 校园网安全概述 影响网络安全的因素 设备尤其是核心设备自身的安全性,以及设备抗压力/攻击的能力 用户终端的安全性 用户滥用行为 各种网络资源的限制和授权访问 …… 路由器安全之道 模块化,成熟的JUNOS系统意味着很少的bug 控制和转发分离 路由平台在面临大流量的情况下，依然可以保持路由平台的稳定 控制平面和转发平面之间内置防火墙进行过滤 基于ASIC的数据包过滤/速率限制/采样等功能保证路由器的安全和城域网的安全 通过ASIC执行安全控制功能，使得路由器在获得丰富功能的同时，性能不打折扣 从用户终端和用户行为方面解决安全问题 安全的网络 接入网络的用户终端系统应该是无漏洞的 接入网络的用户终端应该是干净的 用户网络行为应该是规范的 授权访问各种网络资源 …… Juniper 统一接入控制(UAC)解决方案 Unified Access Control Solution 校园网可控性 良好网络控制体现在两个方面 网络控制点的选择 用户流量的控制 控制点 当前三层网络结构 接入层 接入层设备，品牌相对较多，该层面设备功能单一，控制功能有限，而且设备数量非常庞大，实施困难 汇聚层 核心层 汇聚和核心层的设备，业务控制能力相对较强，但是就目前校园网的实际情况来看，各种控制功能不尽如人意 控制点 扁平化的二层网络结构 接入层 该层同样存在如前所述的问题，品牌相对较多，该层面设备功能单一，控制功能有限，而且设备数量非常庞大，实施困难 核心层 作为整个网络的控制层，设备数量少，