全可控边界、稳定可靠核心.pptVIP

Copyright ? 2004 Juniper Networks Inc. 安全可控边界、稳定可靠核心　　　　－ Juniper校园网解决方案 Netscreen防火墙：性能 vs 安全 案例分析:为Santa Clara大学提高 PeopleSoft 8 的处理能力 Santa Clara 大学 对PeopleSoft 学生管理系统使用猛增，并且校园门户网站的性能下降，对局域网和广域网带宽造成负担 直接的好处 服务器能力提高300% 带宽占用减少48% 访问速度提高44% 案例分析:为在线教学网站加速 韩国某大学 提供在线多媒体学习网站 问题 非常缓慢 网站中包含大量的多媒体信息，如Powerpoint,Excel,Video,Word等文档，是缓慢的主要原因 一些应用是时间敏感的（比如考试） 已经有Alteon的负载均衡器 但不能减轻服务器的负载 校园网核心所面临的问题 三层交换机 vs. 路由器 －－－安全 保护最脆弱的环节：对路由引擎进行保护 三层交换机 vs. 路由器 －－－流量模型 谢谢！ * Copyright ? 2004 Juniper Networks, Inc. Proprietary and Confidential Copyright ? 2004 Juniper Networks, Inc. Proprietary and Confidential * 王　涛 twang@ 校园网特点 －－－ 过去 地域： 校园相对集中，校园网的规模相对小。 应用：比较简单，基本上都是基于IPv4 QoS：基本上没有服务质量（QoS）的保证 安全：安全保证机制少 　管理：简单 　 结构：交换方式 协议：二层Spaning Tree协议为主，三层路由协议为辅；三 层、两层协议混用 校园网特点 －－－ 现在 地域： 高校合并、新校区扩建 应用：网上游戏、网上视频、BT/emule、学术研究… QoS：不同应用需要不同的时延、带宽 安全：病毒频繁爆发、工具软件、学生特点… 由IPv4向IPv6进行逐步过渡 校区C 校区A 校区B 汇聚层 汇聚层 汇聚层 电信 Cernet 校园网拓朴 校园网边界几大需求 访问控制（ＡＣＬ） 策略路由 地址转换－NAT 用户管理 带宽优化 安全 可控 运营商 Cernet Netscreen 2000 校园网 Juniper M10i ERX310/705 校园网典型出口应用图（一） SSL VPN SA3000/1000 twang@a---Cernet,1M带宽，不记费 twang@b---电信网, 2M带宽，收费 twang@c---Cernet出国，512K,收费 J-Flow（兼容Netflow） 1.对用户流量进行统计 2.可以针对不同目的地址进行计费，出国收费。不出国不收费 ***@a 国内用户，***代表已经拥有的帐号名； ***@c 教工国际包月用户，***代表已经拥有的帐号名； ***@d 学生国际包月用户，***代表已经拥有的帐号名。 运营商 Cernet Netscreen 2000 校园网 Juniper M10i ERX310/705 校园网典型出口应用图（二） SSL VPN SA3000/1000 若ERX坏，则不进行计费管理，仅考虑路由出来。 若电信线路断路，则走 Cernet线路 若Cernet线路断路，则走电信线路。 策略路由： 某些网段、或某些数据包（如语音等）不进行计费 其它的全部转发到ERX 不同的L2TP拨号用户得到不同的地址段，根据该地址段进行策略路由 可根据IP包头中的任意字段进行策略路由 ASM NAT IPsec 防火墙 计费 运营商 Cernet Netscreen 2000 校园网 Juniper M10i ERX310/705 校园网典型出口应用图（三） SSL VPN SA3000/1000 1.基于策略的NAT 2.基于ASIC，大小包情况下性能一致，有效抵御DOS攻击 3.状态防火墙下的策略，和ACL相比，具备更好的安全性能！ 4.可通过硬件的IPS板卡，基于策略的对流量进行7层的硬件防护。最大性能2Gbps. 分部 IPSEC 一卡通 财务 。。。 SSL 老师：教学资源、办公资源… 学生：web资源、图书馆资源、 网管：网管资料库、设备的带外管理区域… …… 可以进行文件级管理！ 安全不以牺牲性能为代价 可扩展的专用安全Securi