校园网边界出口问题分析及解决的方案.docVIP

校园网边界出口问题分析及解决的方案 　　在当今信息高速发展的时代，对带宽的容量、稳定性、安全性的需求都在增加。在大量的需求面前对于网络管理者来说提出了新的要求。除了选择好的运营商，扩充带宽之外，网络管理者还需要制定一套切实可行的边界出口解决方案，今天我就以校园网为例探讨制定一套边界出口解决方案。[1] 　　一、校园网边界出口主要存在的问题 　　首先，从大多数校园网的实际环境来看，其网络带宽巨大，而且用户常会运用大量的P2P类应用（视频、下载），这些应用会产生大量的连接，从而导致并发连接数儿十倍甚至上百倍于实际上网用户数。而且，校园网出口往往会需要网络地址转换（（NAT ， NetworkAddress Translation），但无论是防火墙还是路由器，其核心功能都不是为NAT专门打造的，地址转换过程会极大的消耗硬件性能，这就让网络出口无法发挥最大的效能。[2] 　　二、校园网边界出口主要需求分析 　　1.边界出口的功能需求 　　在校园网总出口增设应用识别功能的边界设备是主流的设计方案，可以实现功能的互补（如内部应用控制设备无法控制的动态应用 ，可由总出口来处理。反之亦然）。在校园网将带宽扩升时，在大流量的冲击下，应用层的防火墙是否能够支撑起我们的网络，能否在大流量的情况下，保证内外网间通信能够实现线速转发。所以选择产品参数时我们会尽量的选择万兆级别的边界出口设备。 　　2.多链路负载均衡功能的需求 　　现在大多数校园网出口是“多出口”环境，关于多出口链路优化的方案，传统的解决方案一般是通过“策略路由”来做静态的指定，即：A网段走链路1，B网段走链路2。此时，由于A、B网段使用环境的不同，外网链路经常会出现一个忙一个闲的状况，这是比较常见的问题。另外第二个常见的问题是，在多运营商做接入时（如同时存在联通、电信）流量分配的不合理：多运营商链路接入时，传统的多出口解决方案是利用ISP路由，实现访问“目的地址”是联通地址的数据包走联通线路，目的地址是电信资源的数据包走电信线路，从而避免跨运营商的?L问，提高网络访问速度。 　　3.安全防护的需求 　　网络中存在多种防不胜防的攻击，如侵入校园网络上的服务器、盗取服务器的敏感数据、破坏服务器对外提供的服务，或者直接破坏校园网内部网络设备导致网络服务异常甚至中断。作为网络安全设备的安全网关，必须具备攻击防护功能来检测各种类型的网络攻击，从而采取相应的措施保护内部网络免受恶意攻击，以保证内部网络及系统正常运行。 　　三、边界网络总出口的安全防护解决方案 　　1.使用“应用层”边界网关解决性能瓶颈 　　传统的边界网关产品在开启应用层控制功能后，性能巨幅下降。主要的原因是P2P应用识别、 AV及IPS等功能涉及到应用层解析和处理，更多的是考验安全网关的7层的处理能力。而目前传统的安全网关大多还以ASIC/NP为主要架构，对应用层处理并没有优化能力。 　　使用多核Plus架构的多核CPU加速应用层管控，使用ASIC来实现网络级安全，再使用高速交换总线加速各个模块之间的通信。该架构立足于当前网络的需求，并结合网络发展趋势，兼顾未来网络发展变化的需求，进一步增强了性能可扩展，实现了存储和接口的扩展。另外该设备的软件采用检测引擎进一步提升了网络可视化，优化性能和增强可靠性。 　　2.部署具有负载均衡和流量整形功能设备 　　在管理上加入动态的IPS路由表更新功能（大多数的边界网络设备都支持），当内部数据访问外网时，边界网关将会依据访问目的地址的归类，分别将数据包传递给同一运营商的下一跳，从而避免跨运营商的访问。值得说明的是ISP路由是基于动态更新的，解决了传统路由静态设置，而运营商网段经常动态变化而导致的路由指向不准确。 　　通过流量整形设备实现P2P引流实现多链路环境下的流量整形。具备基于应用协议的策略路由功能。可以不依据传统的“目的地址（静态路由）”或“源地址（策略路由）”来决定下一跳，而是以“应用”为判断依据，由应用来决定下一跳，从而实现P2P的引流功能。从而实现WEB访问速度的优化，有效提升用户的网络使用感觉；对P2P的应用，建议有选择的引流到空闲链路或延时较大的链路上，这即可以有效的利用起闲置带宽。 　　3.在边界网关设备上起用攻击防护功能保障网络安全 　　校园网的支付宝和网站系统由于存在对外的服务，所以面临着来源于互联网的攻击风险。其中DOS攻击、端口扫描攻击、UDP flood、TCP flood等淹没型攻击，往往令安全网关设备疲于应对。安全网关提供基于域的攻击防护功。可以防护包括：DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、WinNuke等多种攻击类型，最大限度