- 1、本文档共15页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
PAGE15 / NUMPAGES15
xxx大学校园网防私接系统项目
解决方案
深信服科技
2016年07月
目 录
TOC \o 1-3 \h \u 1. 项目概况 3
2. 现状及建设目标介绍 3
3. 推荐方案 4
3.1 设计原则 4
3.2 推荐方案拓扑图 5
3.3 拓扑的部署说明 5
4. 防私接技术原理介绍 6
4.1 应用特征检测技术 6
4.2 Flash Cookie检测法 7
4.3 离散时间算法 7
5. 防私接功能介绍 9
5.1 灵活的防私接配置 10
5.1.1 统计方式 10
5.1.2 冻结方式 10
5.2 信任列表 11
5.3 数据查询与分析 12
5.3.1 共享接入数据查询 12
5.3.2 共享接入数据分析 13
6. 方案优势、价值、案例 14
6.1 技术优势 14
6.2 方案价值 14
6.3 成功案例:广州电信“翼起来”项目 15
项目概况
随着互联网业务快速发展,校园用户已经成为各电信运营商关注的重要用户群体之一,校园用户的分布相对集中,更便于开展针对性的网络建设和市场拓展。校园用户规模大、普及率高,具有明显的规模效益。基于以上原因,校园市场成为各电信运营商市场发展的必争之地,完善校园网的建设和优化成为重点。
然而,学生中通过私接小型家用路由器共享上网的行为非常普遍,这种1拖N的方式上网不仅给网络管理带来了较大的难度,同时也极大影响了电信运营商的投资回报比。
因此,电信运营商需要一套校园网防私接系统来解决这个问题,一方面可以通过对校园网用户的上网行为进行分析,同时分析用户账号下实际的拖带规模,便于市场部门营销转化,挖掘潜在市场价值;另一方面,本系统可以直接阻断私接共享上网的账号,并对使用者进行提醒,以此来直接改善私接共享上网的现状。
现状及建设目标介绍
以下是现网拓扑图:
图一:(请补充现网拓扑图)
系统部署以后的拓扑图:
图二:(请补充建设完以后的拓扑图)
建设完成后xxxxxx(请补充“建设后”和“建设前”的拓扑改变情况)
推荐方案
设计原则
结合(xxx大学)的实际应用和发展要求,在进行校园网防私接系统项目的方案设计时,系统总体设计应遵循如下原则:
实用性原则:以现行需求为基础,充分考虑发展的需要来确定系统规模。
安全性原则:校园网防私接系统项目方案服务于校园宿舍网和运营商生产需要,对安全级别要求较高。系统应能提供网络层和应用层的安全手段防止系统外部成员的非法侵入以及操作人员的越级操作,保护网络建设者的合法利益。
可靠性原则:系统设计能有效的避免单点故障,在设备的选择和关键设备的互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。
成熟和先进性原则:系统结构设计、系统配置、系统管理方式等方面采用国际上先进同时又是成熟、实用的技术。
规范性原则:系统设计所采用的技术和设备应符合国际标准、国家标准和业界标准,为系统的扩展升级、与其他系统的互联提供良好的基础。
开放性和标准化原则:在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。
可扩充和扩展化原则:所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时,能保护现有的投资。
可管理性原则:整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
推荐方案拓扑图
以下是推荐拓扑图:
图三:推荐拓扑图
拓扑的部署说明
以两台防火墙作出互联网出口,负责互联网出口防护。防火墙划分三个区域,在默认local区域中的接口划分入trust、untrust、dmz区。办公网和生产网的服务器部署在dmz区,外网接口放在untrust区,内网接口放在trust区,以达到区域间逻辑隔离。
内网用户访问办公网和生产网服务器,需要在防火墙上配置指向对应服务器的静态路由。
防火墙之间采用VRRP协议做热备。
两台上网行为管理设备,网桥透明模式,主备方式部署,增加网络的可靠性,两台行为管理之间网线作为心跳和配置同步的载体。
最下面是两台核心交换机,交换机开启ospf动态路由协议,上行链路配置静态路由,指向防火墙。核心交换机之间采用VRRP协议做热备。
将所有网关起在核心交换上,不同的业务类型或
文档评论(0)