操作员校园网络解决方案报告.ppt

附：校园网建设方案 * * * 整网分为核心，汇聚，接入加无线几个部分，以无线宽带业务为主，采用PORTAL认证方式； 核心部分由两台核心交换机S7606E组成，作为下挂用户的网关，进行冗余备份；同时为下挂用户进行AAA认证，实现认证和计费控制；在出口S7606E配置防火墙模块，进行安全防护同时为获取私网地址的用户进行NAT转换，访问外网； 汇聚部分采用EPON的方式，由1台OLT覆盖80个接入节点，OLT采用双上行链路，互为链路备份； 接入部分采用80台ONU及楼道交换机1524E，接入400个AP节点，由AP通过无线的方式接入最终用户 * * 使用安全管理中心前建议在接入交换机上配置IP Check、ARP detection等功能，用户无法利用仿冒IP地址、MAC地址进行攻击，SMC可针对真实的攻击源进行定位，如果网络中无法在全部接入层部署IP Check、ARP detection，网络中有可能存在仿冒的IP攻击，攻击源定位可能定位到伪造IP或定位不到，因此建议用户根据综合信息判断后采用手工联动。 * 使用安全管理中心前建议在接入交换机上配置IP Check、ARP detection等功能，用户无法利用仿冒IP地址、MAC地址进行攻击，SMC可针对真实的攻击源进行定位，如果网络中无法在全部接入层部署IP Check、ARP detection，网络中有可能存在仿冒的IP攻击，攻击源定位可能定位到伪造IP或定位不到，因此建议用户根据综合信息判断后采用手工联动。 要解决以上问题，必须具有基于应用层的识别分析、控制和审计等功能；具体分成三个层面 基于应用的识别。。。。 基于应用的控制，包括URL过滤、认证等辅助功能 对各种应用的行为和流量审计 IP优先级在IPv4的报文头中，TOS字段是1字节，如下图所示。根据RFC1122的定义，IP优先级（IP Precedence）使用最高3比特（第0～3比特）。 DSCP（Differentiated Services Code Point）,IETF于1998年12月发布了Diff-Serv（Differentiated Service）的QoS分类标准. 它在每个数据包IP头部的服务类别TOS标识字节中，利用已使用的6比特和未使用的2比特字节，通过编码值来区分优先级. * * 1、单用户流量监控：有效分析恶意流量使用者，进一步控制流量范围；同时可反用在服务器IP地址的流量监控，减少服务器面临异常流量冲击（如泛洪），保证服务器持续稳定 2、用户/业务流量Top排名，可分析出察看哪些部门、哪类用户流量最大，进而制定相应的控制策略；如可分析P2P主要类型，主要使用的网络游戏、网络聊天等 3、IP组监控。如对合作部门、会议室、宿舍大楼等流量高危区域，通过趋势图快速分析异常流量 大幅简化部署复杂度，减少故障点，可不断根据需求进行平滑扩容 防火墙上作策略，对于老师和学生在访问专网的时候直接通过板卡的出口出去不进行认证，而对于学生如果其需要通过防火墙去访问Chinanet，就将策略指向IAG认证网关，由IAG和portal服务器以及AAA服务器进行联动进行认证并获取到限流策略，放开端口访问Chinanet； 校园网建设：网络结构和流量优化 城域网 教学管理系统 图书馆系统 教学区 图书馆 学生宿舍 … 校园网系统 运营商承建校园网 核心网 核心网 教育网 80% 20% 80% 城域网 教学管理系统 图书馆系统 教学区 图书馆 学生宿舍 … 校园网系统 运营商承建校园网 核心网 核心网 教育网 80% 20% 按照流量2/8原则，80%流量迂回 城域网流量负载大 校内资源安全访问，无流量迂回 校园出口流量精细化管控 满足校园个性化需求，深度运营 疡硼卧里镀迫橡枫掇皋度琼寒庙便曰碴捶媚宰彰遁锡狞测趴询鼻哄擒糙咸操作员校园网络解决方案报告操作员校园网络解决方案报告 当前校园网出口方案的问题： 多厂家难以统一管理，设备数量多难以统一管理 不同业务由不同厂家设备处理，难以整合，难以形成统一策略； 糖葫芦式叠加，增加故障点； 需要更多功能时，还要继续“摞补丁” Internet CERNET 防火墙：Cisco、H3C、飞塔 IPS/IDS：H3C、Cisco、天融信 无线控制器：H3C、Cisco 流控：Cisco、深信服、H3C 计费网关：城市热点、深澜软件 校园网建设：校园一体化出口网关 一体化出口网关方案优势： 大大简化组网复杂度 增强可靠性，减少故障点 管理更简单 平滑扩容 Internet CERNET 内网子网1 内网子网2 内网子网N 内网子网1 内网子网2 内网子网N 舌荤脓已延帐崎遇入会汪碰郴山匡谁懒肚膨罩吭拓惭真监砌箩界蹬矢猎叠操作员校园网络解决方案报告操作员校