校园网网络安全及方案设计.pdfVIP

校园网络安全方案设计 第一章、校园网方案设计原则与需求 1. 1. 11..1设计原则 1. 充分满足现在以及未来3-5年内的网络需求，既要保证校园网能很好的为学校服务，又 要保护学校的投资。 2. 强大的安全管理措施，四分建设、六分管理，管理维护的好坏是校园网正常运行的关键 3. 在满足学校的需求的前提下，建出自己的特色 1.2网络建设需求 网络的稳定性要求 � 整个网络需要具有高度的稳定性，能够满足不同用户对网络访问的不同要求 网络高性能需求 � 整个网络系统需要具有很高的性能，能够满足各种流媒体的无障碍传输，保证校园网各 种应用的畅通无阻 � 认证计费效率高，对用户的认证和计费不会对网络性能造成瓶颈 网络安全需求 � 防止IP 地址冲突 � 非法站点访问过滤 � 非法言论的准确追踪 � 恶意攻击的实时处理 � 记录访问日志提供完整审计 网络管理需求 � 需要方便的进行用户管理，包括开户、销户、资料修改和查询 � 需要能够对网络设备进行集中的统一管理 � 需要对网络故障进行快速高效的处理 第二章、校园网方案设计 2.1 2.1 22..11校园网现网拓扑图 整个网络采用二级的网络架构：核心、接入。 核心采用一台RG－S4909，负责整个校园网的数据转发，同时为接入交换机 S1926F+、内 部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。原有网络设备功能较少，无 法进行安全防护，已经不能满足应用的需求。 2.2 2.2 22..22校园网设备更新方案 方案一：不更换核心设备 核心仍然采用锐捷网络S4909交换机，在中校区增加一台SAM 服务器，部署SAM 系统， 同时东校区和西校区各用3台S2126G替换原有S1926F+,其中汇聚交换机各采用一台新增的 S2126G，剩余的两台S2126G 用于加强对关键机器的保护，中校区的网络结构也做相应的 调整，采用现有的两台S2126G做为汇聚设备，其它交换机分别接入这两台交换机，从而实 现所有汇聚层交换机都能进行安全控制，重点区域在接入层进行安全控制的网络布局。 方案二：更换核心设备 核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6 路由交换机RG-S8606，负责整 个校园网的数据转发。在中校区增加一台SAM 服务器，部署SAM 系统，同时东校区和西 校区各用3台S2126G替换原有S1926F+。将原有的S4909放到东校区做为汇聚设备，下接 三台S2126G 实现安全控制，其它二层交换机分别接入相应的S2126G。西校区汇聚采用一 台S2126G，剩余两台S2126G用于保护重点机器，其它交换机接入对应的S2126G。中校区 的网络结构也做相应的调整，采用现有的两台S2126G做为汇聚设备，其它交换机分别接入 这两台交换机，从而实现所有汇聚层交换机都能进行安全控制，重点区域在接入层进行安全 控制的网络布局。 2.3 2.3 22..33骨干网络设计 骨干网络由RG-S8606构成，核心交换机RG-S8606主要具有5特性： 1 1 11、骨干网带宽设计：千兆骨干，可平滑升级到万兆 整个骨干网采用千兆双规线路的设计，二条线路通过VRRP 冗余路由协议和OSPF 动态路由 协议实现负载分担和冗余备份，以后，随着网络流量的增加，可以将链路升级到万兆。 2 CSS 2 CSS 22、骨干设备的安全设计：CCSSSS安全体系架构 3 CSS CPP 3 CSS CPP 33、CCSSSS之硬件CCPPPP CPP 即CPU Protect Policy，RG-S8606 采用硬件来实现，CPP 提供管理模块和线卡CPU 的 保护功能，对发往CPU的数据流进行带宽限制（总带宽、QOS 队列带宽、类型报文带宽）， 这样，对于ARP 攻击的数据流、针对CPU 的网络攻击和病毒数据流，RG-S8606分配给其 的带宽非常的有限，不会影响其正常工作。 由于锐捷10万兆产品RG-S8606采用硬件的方式实现，不影响整机的运行效率 4 CSS SPOH 4 CSS SPOH 44、CCSSSS之SSPPOOHH技术 现在的网络需要更安全、需要为不同的业务提供不同的处理优先级，这样，大量的ACL 和 QOS 需要部署，需要核心交换机来处理，而这些应用属