流控及访问权限控制.pptVIP

图二 图四 图五 第 *页 / 共 4页 图一 第四代教育城域网整体解决方案 总体客户体验 教育城域网核心骨干升级 教育城域网网络出口 教育城域网无线城域网 教育城域网数据中心 教育城域网的运维管理 教育城域网的实名制管理 教育城域网网络层及应用层单点登陆 第四代： 融合模式 第三代： 统一模式 第二代： 混合模式 网络完善阶段 业务支撑优化 业务整合优化 第一代： 松散模式 区/县网 校园网 区/县网 校园网 万兆RERP自愈保护环网 市/区网 RG-S8600 RG-S8600 裸纤 裸纤 裸纤 RG-S8600 RG-S8600 RG-S8600 / S7600 RG-S8600 / S7600 万兆RERP自愈保护环网 核心CSS设备级高可靠性 IPFIX流量精细化管理 IPFIX RG-S7600 / S5700 RG-S7600 / S5700 CSS CSS CSS CSS 信息中心核心网络 核心交换机 核心交换机 RG-eLog日志系统 外网连接层 双核NP、V-CPU、REF保证NAT及转发性能多链路及智能DNS的负载均衡 应用管理层 识别600多种应用，免费升级基于用户应用的带宽限制数据统计 NPE60 RG-WALL1600E RG-ACE3000 日志管理层 基于用户的访问记录图形化的查询界面 安全防护层 DDoS/木马/异常流量阻断双机负载 ASIC、多核架构保性能 RG-WG 2000 VPN接入层 SSL VPN的接入技术,200-2000用户并发的支持 图三 RG-WALL V1600E WEB安全防护层 Web安全防护 及网页防篡改 千兆 以太网 客户机 客户机 客户机 客户机 RG-iS3000-1 Redhat Linux 服务器 Solaris 服务器 HP-UX 服务器 Windows 服务器 RG-iS3000-3 数据灾备中心 RG-iS3000-2 同步复制 异步复制 广域网 灾备服务器群 Internet 防火墙 应用服务器群 百兆双绞线 千兆双绞线 市教育信息中心 学校1 学校2 学校N RG-S8610 电信A 电信B 电信C 电信D 无线控制器 无线控制器 无线AP 无线AP 无线AP 无线AP 无线AP 无线控制器 出口网关 图六 基于实名的网络层和应用层单点登录 基于实名的审计、流控及访问权限控制 学生 教师 领导 有线 无线 VPN 实名认证 统一门户 单点登录 访问权限控制 应用流控 审计,日志 子系统 子系统 子系统 子系统 互联网 资源层 功能控制层 实名接入层 多种接入方式，统一实名接入 图七 图八 网络认证作为单点登录的唯一入口 SAM服务器 SSO组件 初次应用的密码初始化 呈现用户可以单点登录的应用系统列表 网络认证 下发单点登录应用列表 应用系统密码初始化 SSO认证通过 消息通知 用户 用户 用户 学校门户 学籍系统 OA系统 用户 其他的认证计费系统 根据这些问题，锐捷网络提出了教育城域网的网络出口的整体解决方案。 教育城域网的出口区域采取分层设计的思想，外网连接层通过网络出口引擎提供高效的地址转换、策略路由功能； 安全防护层通过防火墙提供全面的安全防护保护功能； 应用管理层通过流控设备ACE提供精细化的流量分析控制功能； WEB安全防护层通锐捷web安全防护系统提供WEB防篡改和防挂马保护； VPN连接层通过通过SSL VPN保障师生远程访问学校资源的易用性和安全性； 锐捷E-LOG与出口各层的设备动态联动，记录出口日志，提供上网行为管理功能。 8 * 无线城域网建设的原则是要依托于现有的教育城域网，需要以现有的教育城域网为基础，需要进行5个方面的规划： 1、技术标准的先进性和实用性——建议必须支持WIFI 802.11n，保持先进性，避免刚建成即落后之尴尬；同时，兼容WIFI 802.11a/b/g，具有良好的兼容 2、学校端零配置部署，分布于各个学校的AP，完全由部署于城域网中心机房的“无线控制器”进行统一管理、配置、监控，各个学校的AP完全“零配置”，从包装盒内拆封出来AP，接入学校任意交换端口（只需要支持DHCP），即可自动完成自我配置并提供无线服务，整个系统架构可实现，完全对学校端网络管理员透明。 3、区县下属学校有多少，每个学校部署多少个AP，需要考虑到无线控制器的规模，系统的容量、性能、可靠性、可管理性必须得到保障。 4、远端智能感知：如无线控制器出现故障，学校的AP要能自动感知无线控制状态，自动切换，不影响业务的稳定运行。 5、需要考虑如何与既有城城网的融合，如AP的部署、VLAN支持、用户认证、安全体系等等