联想网御万兆校园网安全解决的方案.docVIP

联想网御万兆校园网安全解决的方案 　　随着我国高校信息化建设的不断发展，用户数的不断增长，校园网信息资源的不断丰富，加之近几年数字校园的发展，网上多媒体教学、视频点播等大带宽应用的不断兴起。原有的校园网无论是规模还是容量都发生了巨大变化，国内有一定规模的高校骨干网纷纷升级为万兆网络。万兆骨干网有效地解决了校园网带宽不足的问题，满足数万校园用户的网络需求，在实际使用过程中，万兆校园网也面临着一些问题的挑战。 　　 　　校园网出口成新瓶颈 　　 　　随着高校的不断扩招，在校学生数量大量增加，网络访问量逐年增长，使得出口带宽逐渐成为校园网的网络性能瓶颈。为了解决出口瓶颈问题，高校不断对出口网络进行升级改造，大部分高校教育网从开始的100Mbps逐步升级为1000Mbps，网通与电信出口也由开始的10Mbps逐步升级为300Mbps~500Mbps。 　　高校不断扩展出口带宽，是否就意味访问互联网的能力一定大大提升了呢？答案是否定的。很多高校经过测试发现，现有出口使用的出口设备，在启用NAT和大量策略路由的情况下，设备性能严重不足，导致出口访问频频受“卡”。 　　其表现主要是在上网高峰期时Web链接打开很慢、QQ/MSN经常掉线、下载文件速率很低、在线看视频不流畅、停顿等。校园网出口访问为什么会“卡”呢？原因主要有以下几点： 　　1.新建连接速率低：校园网内众多用户高峰期同时上网，需要出口设备有较高的新建连接速率。例如高峰期2万个用户同时上网，平均每人每秒要建立3~5个连接，出口设备的新建连接速率要在6万~10万个/秒，但校园网出口的使用出口设备（路由器或者普通千兆防火墙），新建连接速率通常不高，只有2万~3万个/秒，只能满足一部分建立连接的请求，大部分新建连接的请求必须等待，其具体表现为打开新页面时反应很慢。 　　2.出口设备NAT吞吐性能低：国内大部分高校，建网时间较晚，拥有的公网地址较少，校园内部主要使用私有网络地址，对外访问需要在出口设备进行NAT（网络地址转换）。大部分学校NAT在路由器上完成，但大量做NAT会导致路由器CPU占用率过高，吞吐性能下降很多，其具体表现如下载文件速率低，在线看视频不流畅、停顿。 　　3.出口设备NAT最大并发连接数低：校园网用户数多，且多数用户上网时间长，访问资源多，产生的并发连接数大。2万~3万用户规模的校园网，平均每人占用60个并发连接，边界设备做NAT的最大并发连接数至少需要120万~180万个。边界路由器对NAT支持的并发数非常有限，一般中高端的路由器只有50万~80万个。在上网高峰期（例如20：00~22：00时）边界设备NAT最大并发数不足的问题特别容易暴露，其现象如新的网页常常打不开，新的网络应用无法建立。 　　 　　大流量宿舍网的管理 　　 　　目前各个高校普遍建设了专为学生使用的宿舍网，通过宿舍网学生可方便地访问数字校园的各种资源，进行资料查询、课程选择，接受学校教学管理和信息发布等。宿舍网由于主要面向在校学生，主要呈现以下特点： 　　1.对网络设备要求并发连接数高。当前学生宿舍电脑已经比较普及，笔记本、台式机数量较多，学生日常学习娱乐频繁使用网络，使得宿舍网与校园骨干网之间的流量很大，并发连接较高，通常5000人左右宿舍网高峰时并发数可达120万个。 　　2.上网时间集中、网络突发流量大。学生上网的时间相对比较集中（主要在晚间和节假日），所以此时段网络访问流量会较大，在一些特殊时候可能会出现大量的网络突发流量。这对网络设备保持高性能，提供可靠运行提出了更高的要求。 　　3.应用多而杂，性能要求高。学生休闲时间上网，喜欢玩网游、FTP/P2P下载、访问视频网站等各种娱乐应用服务。其中网游类应用主要以100字节报文为主；FTP/P2P、视频网站以1024以上大字节报文为主，这样的特点对宿舍网的边界设备处理小报文大报文的能力提出了更高的要求，如果性能不能满足就会出现网游游戏人物动作迟钝、视频频繁停顿或丢帧等现象。 　　4.病毒攻击事件较多，流量清洗和审计面临挑战。学生访问大量各类网站，难免会感染各种蠕虫、木马病毒，且学生中有众多网络技术爱好者，他们经常下载各种工具和学习使用各种黑客技术，这就使得宿舍网络与校园骨干网之间充斥着众多的扫描、病毒攻击、网络攻击，这就要求宿舍网络出口的设备，首先本身具备强大的安全防护能力（如：防DoS攻击，防DHCP攻击，防扫描，防ARP攻击等）和异常流量清洗能力；其次，设备具备较强的审计功能，可以对发生攻击、入侵源头可以有效跟踪和记录日志。 　　5.网络访问控制要求高。为了防止学生沉迷网络影响学习，访问黄色网站影响身心健康发展，学校需要在宿舍网进行有效的访问控制、时间规则、URL过滤等。例如禁止访问某些黄色网站地址