网络工程规划与设计案例教程项目三_任务二_校园网出口网络设计方案.doc

校园网出口方案设计 福建星网锐捷网络有限公司 目 录 1. 概述 1 2. 校园网总体架构设计 1 3. 出口网络设计 2 3.1 边界连接设计 3 3.1.1 路由转发性能 3 3.1.2 智能路由选路 3 3.1.3 多链路备份功能 4 3.1.4 智能DNS解析 4 3.2 DMZ安全设计 4 3.2.1 报文过滤 4 3.2.2 状态检测 4 3.2.3 攻击防御 5 3.2.4 WEB网站防护 5 3.3 流量控制设计 5 3.4 远程接入设计 6 3.4.1 VPN接入技术选择 6 3.4.2 VPN系统性能及管理性要求 6 3.5 日志审计设计 6 3.6 出口设备选择 6 概述 湘星学院新校区计算机网络系统的建设目标是成为一个高起点、高标准、技术先进、功能设施国际一流的数字化校园网，成为国内乃至国际上数字化校园的典范，充分满足学院师生的工作、学习、科研等应用需求。 湘星学院的校园分为东区、南区、北区三个校区，其中东区、北区均有独立的机房。湘星学院的计算机网络系统分为校园网、智能控制专网和一卡通专网，三个网络物理隔离，其中校园网主要面向全院师生，业务为互联网访问、多媒体教学等校园网各种应用。控制网则面向安保人员，业务为全院的IP监控及智能化控制设备的联网。一卡通专网主要涉及收费结算、门禁管理、学籍管理、考勤管理等业务。 校园网总体架构设计 校园网总体架构设计如下： 图1校园网拓扑结构图 湘星学院新校区分为东区、南区、北区三个校区，共设2个中心机房，分别位于东区和北区。东区为五栋学生宿舍楼和一栋综合服务楼，共计约15000个信息点。南区和北区为教学科研办公区，共计约8000个信息点，南区和北区的中心机房设在北区，南区和北区楼栋交换机均通过万兆光纤链路捆绑汇接到北区中心机房。 数据中心位于北区中心机房，数据中心逻辑上分为内网数据中心、外网DMZ区、网络出口区域。内网数据中心作为数字校园建设的关键区域，必须保证数据中心网络的高可靠、高稳定、高安全。同时，随着数字化校园的建设逐步推进，需要实现校内各院系处室信息系统的互联互通，消除信息孤岛，存储设备在考虑高性能高稳定的同时，需要充分考虑存储设备可充分兼容光纤存储、IP SAN等多种存储模式。 外网DMZ区为校内外用户提供邮件、FTP、WEB等多种服务，是校外用户访问校内资源的重要区域。随着招生工作的信息化深入发展，很多考生都通过通过学校官方网站了解学校的招生计划，这让众多高校网站的挂马威胁也在最近继续增加剧增， 这些挂马网站不仅仅给浏览用户带来安全隐患。更为严重的是，黑客可以利用跨站攻击模式，获取这些大学网站服务器更高级的管理权限，进而可以“非法进入”含有学生信息的数据库，去窃取或者破坏高考招生的相关数据。因此除了部署防火墙等安全设备外，还需要对目前新型的攻击威胁进行针对性的防护。 网络出口区是全校师生访问校外资源的必经之路，随着多媒体流量的急剧增加，千兆带宽已经不能满足广大师生的实际应用需求。这一点在国内的重点高校如中山大学、暨南大学等学校体现得尤为明显，部分高校为了应对带宽的不断升级的形式，已经将INTERNET和CERNET出口链路升级到万兆，并对关键应用流量进行梳理控制，以优先满足关键应用的带宽需求。另外，教育部CNGI项目的深入建设发展和IPv6时代的到来，各高校纷纷开通了CERNET-2 的连接， 利用IPv6网络开展的科研和教学活动。湘星学院新校区校园的建设着眼于高起点、现代化、智能化的校园网建设，因此必须充分考虑未来5－10年的出口流量的迅猛增长和IPv6技术应用的广泛开展，在校园网出口部署万兆路由器和万兆流量控制设备，并要求出口设备全面支持IPv4/v6双栈。 出口网络设计 随着数字化校园建设的迅猛发展，国内高校骨干网纷纷升级为万兆网络，全面进入了万兆时代。万兆校园网有效地解决了校园网内部带宽不足的问题，满足了数万校园用户的内部访问需求，但校园网的出口区域仍然面临多方面挑战，校园网内外带宽的不平衡性导致高校校园网出口建设相对滞后。 校园网出口的一些现象，如图2所示。 来自外部网络的DoS攻击、病毒、恶意扫描防不胜防。 P2P应用大行其道，蚕食出口带宽，上网速度不堪忍受，师生怨声载道。 出口链路众多，多链路负载均衡和策略路由充满挑战。 带宽扩容，原有的路由器、防火墙超负荷运行。 并发连接回话激增，NAT网关频繁死机。 出口日志记录不详，检索复杂，面对公安机关的反查要求力不从心。 IPv6网络出口缺乏安全防护手段，跨栈攻击一触即发。 图2 校园网的相关应用模型 边界连接设计 图4 校园网流量控制设计图 为了解决这个问题，我们需要在流控设备上引入智能的概念。将流控设备与认证系统打通，这样流控识别用户的依据不再是IP地址，而是认证的身份，基于身份的带宽