西默智能流量控制产品针对学校校园网络解决专项方案.docVIP

西默智能流量控制产品针对高校校园网络处理方案

一．目前校园网络面临现实状况：

校园网尤其是高校校园网，一直是中国Internet发展领头羊，早在1994年7月，中国教育和科研计算机网CERNET示范工程就已正式开启。伴随校园网信息化建设开展，教学、科研、办公、生活对于校园网平台依靠性越来越强。中国众多校园网经过多年连续不停基础设施建设和应用提升，已经形成了较为稳定基础架构和相对丰富应用平台。

在师生们利用校园网取得更多更立即地教育资源时候，部分网络安全方面和应用方面问题被暴露了出来，严重影响了校园网络健康发展。现在，很多学校校园网运维过程中，或多或少全部见面临着以下问题及挑战：

1.越来越多出口

因为部分特定原因，现在很多学校普遍采取多校园网出口方法，基础上70-80%以上学校全部有2个校园网出口，而且依据当地情况，相当百分比学校拥有三个及以上出口。学校通常会基于速度、资源利用情况和费用考虑确定其多个出口使用访问方法。

面对多个出口实际使用情况，在技术实现上怎样进行智能选路？怎样进行多链路负载均衡？怎样灵活布署以简化网络拓扑，降低投资？

?2.安全防护能力

伴伴随数字化校园建设、校园资源整合，数据中心建立已经是大势所趋。对数据中心服务器和传统校园网出口边界处安全防护，已经成为大家关键关注对象。

实际上，校园网内部出现网络威胁种类也越来越多，不仅有非法入侵、网络渗透，还有网络欺骗、DOS/DDOS攻击、多种恶意软件、垃圾邮件等。其中DOS/DDOS攻击尤其是一个应受到特殊关注攻击。最严重攻击是无法终止攻击，DOS/DDOS攻击正是如此，尤其现有校园网日益增加网络带宽（万兆骨干网，上G出口带宽）为DOS/DDOS攻击提供了更大可能。而且攻击还展现出以下特点：突发性强（极难估计和监控）、随机性强（任何网络用户全部可能成为攻击目标,同时攻击频率和连续时间也很随意，很多攻击连续时间并不长，当意识到攻击发生时，攻击可能已经结束了）、方向不确定、复杂度在提升（攻击手段和包含协议也在不停提升，对防御设备性能及部属以后升级潜力提出更高要求）。

3.流量控制

校园网几乎能够说是P2P应用最多场所之一，大量P2P等非关键应用无情地吞噬着校园网络有限带宽资源，使得网络管理人员头痛不已。在没有对校园P2P流量进行策略管理时间段内，P2P等非关键应用流量几乎占用了60-70％网络带宽，关键性应用却得不到保障。同时P2P软件也逐步成为计算机病毒和木马传输关键路径。可见，必需对特定用户或一些特定应用进行流量控制。

4.“无所不联”要求

不管是广大师生需要从校外远程访问校内数字图书馆，还是领导、老师需要从校外远程使用校内办公应用系统，不仅要实现其远程安全接入，而且需要针对访问者、使用者身份进行认证并授权，为特定用户群分配特定访问资源。另外,同一高校多个校区之间关键、敏感部门（财务、人事等部门）之间也必需实现安全互联。

5.对内网监控和上网行为控制

首先，由内网到外网安全威胁比较严重。学生电脑管理松散，电脑中装有多种软件甚至感染病毒，有可能成为攻击跳板，所以还需要监督、控制全网应用协议情况（流量分布、会话数量）、校园网每用户使用情况（上下行流量、会话数量）等来作为辅助管理手段。

另外首先，学生自制力较差。有必需对其上网行为进行一定程度控制，比如：严禁其浏览成人、娱乐等不安全或政策、法律严禁网站，和其它部分上网使用行为。

6.ARP攻击防御

ARP欺骗攻击不仅造成校园网不稳定，极大影响数字校园业务正常运行，更严重是利用ARP欺骗攻击可深入实施中间人攻击和网关仿冒攻击。中间人攻击是一个很恶劣网络恶意攻击行为。而ARP仿冒网关，则造成用户无法正常和网关通信，攻击者能够凭借此攻击而独占上行带宽。

因为ARP欺骗攻击利用了ARP协议设计缺点，光靠包过滤、IP＋MAC＋端口绑定等传统措施是比较难处理。

7.高性能、高可靠

首先，现在校园网网络流量模型逐步在发生着改变（小包报文百分比增加，单个用户并发连接数也在快速增加、UDP报文在快速增加等），另外首先，越来越大流量需要处理，越来越多功效需要开启，对于设备高处理性能需求也是越来越迫切。

维护校园网络在高安全环境下长久稳定性和可用性是校园网用户所期望。单设备、单链路现象在校园网中还占据关键位置。对于设备冗余、链路备份，和在出现设备或链路故障下自动切换，也仅仅是少数学校达成这么水平。那么，怎样实现高可用性？怎样实现自动调整对用户透明性？即，用户无需了解复杂技术，只需要体验最快网速。

二．针对以上问题，西默流控处理措施

1.处理网络对外接口带宽不足：

利用西默流控系统多种带宽规则设定，网络管理员可依据网络使用特征，预先计划关键用户，应用或服务器等，对通常非实时性应用，如电子邮件给合适带宽限制，降低大容量邮件附件