【正文】 PFIX 流量管理，可以進行流量采樣、流量采集、數(shù)據(jù)分析處理，使網(wǎng)絡(luò)核心流量得管理和控制，保證業(yè)務(wù)的使用。 NFPP 技術(shù)能夠?qū)υO(shè)備本身實施保護，通過對報文流進行限制、隔離，以保證設(shè)備及網(wǎng)絡(luò)可靠、安全、有效地運行。 第一，可以配置 CPU接受數(shù)據(jù)流的總帶寬，從全局上保護 CPU。 ? 具體切換過程及實現(xiàn) 切換前狀態(tài)信息同步 主引擎出現(xiàn)故障時，數(shù)據(jù)不間斷轉(zhuǎn)發(fā) 備份引擎啟動，故障引擎重啟動，備份引擎下發(fā) FIB 表更新，待故障引擎重啟完畢后， 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 25 / 88 新的主引擎將狀態(tài)信息同步到重啟后的引擎，此時完成切換。 設(shè)備 %的可靠性保障 本方案中采用銳捷網(wǎng)絡(luò)的數(shù)據(jù)通信交換機，銳捷網(wǎng)絡(luò)交換機在 20xx年榮獲第一批“中國名牌”交換機，產(chǎn)品品質(zhì)得到了國家權(quán)威評測結(jié)構(gòu)的認可，品質(zhì)過硬。 設(shè)備高可用設(shè)計 隨著學(xué)校在 IP網(wǎng)絡(luò)上部署的應(yīng)用增多，學(xué)校的學(xué)習(xí)生活、教學(xué)等對于網(wǎng)絡(luò)依賴程度越來越高，網(wǎng)絡(luò)成為學(xué)校正常運轉(zhuǎn)的最基本因素之一。 實現(xiàn) NSF的前題是簡化網(wǎng)絡(luò)結(jié)構(gòu)，減低業(yè)務(wù)、管理維護的復(fù)雜度，最根本的方法，就是要減少邏輯設(shè)備的數(shù)量。 虛擬化核心骨干網(wǎng) 區(qū)電教兩臺核心采用銳捷核心虛擬技術(shù)，將兩臺核心設(shè)備虛擬為一臺邏輯核心交換機 ， VSU 很容易地擴展端口數(shù)量、帶寬的同時取代了 MSTP+VRRP 雙核心拓撲，既簡化網(wǎng)絡(luò)拓撲。 ? 實名訪問權(quán)限控制。 無線教育城域網(wǎng) 依 托現(xiàn)有的有線教育城域網(wǎng)，以現(xiàn)有的教育城域網(wǎng)為基礎(chǔ)， 無線網(wǎng)絡(luò) 設(shè)計如下： ? 采用技術(shù)的標(biāo)準(zhǔn)先進性和實用性，支持 并兼容 WIFI ,無線支持雙工模式， 與 WIFI 。 教育城域網(wǎng)建設(shè)有三個主要步驟， ? 基礎(chǔ)網(wǎng)絡(luò)完善 ? 業(yè)務(wù) 支撐優(yōu)化 ? 應(yīng)用整合優(yōu)化 網(wǎng)絡(luò)建設(shè)示意圖 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 18 / 88 基礎(chǔ)網(wǎng)絡(luò)的完善包括四個方面：有線網(wǎng)絡(luò)改造或完善、網(wǎng)絡(luò)出口優(yōu)化、數(shù)據(jù)中心建設(shè)及智能無線網(wǎng)絡(luò)建設(shè)； 業(yè)務(wù)支撐平臺的優(yōu)化包括：業(yè)務(wù)運維管理、基于實名身份的認證管理體系建設(shè)； 應(yīng)用的整合優(yōu)化，實現(xiàn)網(wǎng)絡(luò)層和應(yīng)用層的單點登陸。 結(jié)合到 XX教育城域網(wǎng)現(xiàn)狀，以及滿足當(dāng)前的認證、安全等 應(yīng)用需求，方案建設(shè)可分布實施，初次部署模式如下： 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 17 / 88 部署模式簡介： XX 區(qū) 教育信息中心部署 1 套 radius 身份認證系統(tǒng)， 1 套 web portal認證門戶系統(tǒng)。眾多安全問題使得我們教育城網(wǎng)的各級領(lǐng)導(dǎo)和管理人員感到很頭疼。 教育城域網(wǎng)出口情況 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 13 / 88 區(qū)電教管沒有進行對網(wǎng)絡(luò)出口進行設(shè)計規(guī)劃，目前網(wǎng)絡(luò)出口采用 100M鏈路連接到運營商網(wǎng)絡(luò)提供 Inter上網(wǎng)服務(wù)，通過 10M專線連接到教育網(wǎng)， 網(wǎng)絡(luò)出口分別通過防火墻作為安全防護設(shè)備，防火墻設(shè)備為比較早的天融信防火墻?；旌夏Ｊ较?，客戶更關(guān)注基礎(chǔ)網(wǎng)絡(luò)的完善，包括四個方面，有線網(wǎng)絡(luò)改造或完善、網(wǎng)絡(luò)出口優(yōu)化、數(shù)據(jù)中心建設(shè)及智能無線網(wǎng)絡(luò)建設(shè)；統(tǒng)一模式下，客戶更關(guān)注業(yè)務(wù)支撐平臺的優(yōu)化，他們將更多考慮業(yè)務(wù)運維管理、基于實名身份的認證管理體系建設(shè)；融合模式下，客戶關(guān)注各種應(yīng)用的整合優(yōu)化，實現(xiàn)網(wǎng)絡(luò)層和應(yīng)用層的單點登陸。 業(yè)務(wù)情況： 基礎(chǔ)教育信息化業(yè)務(wù) 系統(tǒng) 建設(shè)不斷完善，業(yè)務(wù)系統(tǒng)的應(yīng)用不斷擴大 ， 更關(guān)注 多個業(yè)務(wù) 的有效整合 ，實現(xiàn)業(yè)務(wù)層的統(tǒng)一單點登錄 。 （ 2）第二代：混合模式（拓撲圖如下） 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 8 / 88 網(wǎng)絡(luò)情況：各學(xué)校通過 ADSL、 MSTP等方式接入電信等 ISP，線路帶寬在 2M10M之間，所有接入學(xué)校與區(qū)縣電教館之間通過 VPN方式進行互聯(lián)，大多數(shù)學(xué)校都要通過區(qū)縣電教館統(tǒng)一出口。 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 6 / 88 我國基礎(chǔ)教育網(wǎng)絡(luò)的建設(shè)現(xiàn)狀 縱觀我國各區(qū)域的教育信息化建設(shè)現(xiàn)狀，基礎(chǔ)教育的網(wǎng)絡(luò)建設(shè)，主要包括以下三個大的方面： 教育城域網(wǎng)：主要是構(gòu)建一個市教育局、區(qū)縣教委、學(xué)校的三級教育信息網(wǎng)絡(luò)平臺，形成具有教育信息資源共享及教育電子政務(wù)等功能的高帶寬傳輸?shù)膮^(qū)域教育網(wǎng)絡(luò)核心骨干 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 7 / 88 平臺。 重點中小學(xué)校園網(wǎng)：這部分學(xué)校的教育信息化建設(shè)較為成熟，相關(guān)的教務(wù)考務(wù)的業(yè)務(wù)應(yīng)用也較為豐富，其學(xué)校自身的信息化水平較高，有能力規(guī)劃、管理和完善學(xué)校的校園網(wǎng)絡(luò)。 （ 3）第三代：統(tǒng)一模式（拓撲圖如下） 網(wǎng)絡(luò)情況：整個城域網(wǎng)的建設(shè)通過自建、租用裸光纖或運營商提供專網(wǎng)等形式來完成，各學(xué)校接入城域網(wǎng)的帶寬在 100M1000M 之間，所有接入學(xué)校通過區(qū)縣電教館統(tǒng)一出口。從松散走向混合、從混合走向統(tǒng) 一、從統(tǒng)一走向融合，是教育城域網(wǎng)的發(fā)展歷程與趨勢，而教育城域網(wǎng)的建設(shè)模式?jīng)Q定 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 10 / 88 了教育業(yè)務(wù)應(yīng)用的情況、城域網(wǎng)管理的需求及基礎(chǔ)網(wǎng)絡(luò)建設(shè)的重點等，隨著教育城域網(wǎng)的不斷升級和完善，教育城域網(wǎng)上的業(yè)務(wù)應(yīng)用也將越來越豐富。 教 育 網(wǎng)區(qū) 電 教 館F WF W1 2 個 縣 學(xué) 校 網(wǎng) 絡(luò)區(qū) 數(shù) 據(jù) 中 心 省 重 點 中 學(xué) 區(qū)域教育城域網(wǎng)骨干網(wǎng)絡(luò) XX區(qū)教育城域網(wǎng)絡(luò)建設(shè)集中在 1999 – 20xx年間。 XX 區(qū)教育城域網(wǎng)需求 分析 區(qū) 教育城域網(wǎng)骨干網(wǎng)需求 目前核心設(shè)備 屬于 北電早期產(chǎn)品，產(chǎn)品早已停產(chǎn)，網(wǎng)絡(luò)平時應(yīng)用的過程中經(jīng)常出現(xiàn)設(shè)備宕機，而導(dǎo)致全網(wǎng)中斷，由于產(chǎn)品廠家原因目前的所有該廠家的服務(wù)已經(jīng)中斷，而由于電教管管理人員技術(shù)薄弱無法解決故障問題，因此每當(dāng)設(shè)備出現(xiàn)宕機后就需要重啟設(shè)備，大大影響了所有業(yè)務(wù)的使用。 區(qū)教育無線城域網(wǎng)需求 隨著筆記本終端的普及，無線視頻設(shè)備、語音設(shè)備等在學(xué)校逐漸的應(yīng)用，現(xiàn)有有線網(wǎng)絡(luò) 已不能滿足業(yè)務(wù)和師生的需求，分析當(dāng)前教育城域網(wǎng)的現(xiàn)狀和未來的發(fā)展，建立無線教育城域網(wǎng)主要體現(xiàn)如下幾個方面： ? 無線網(wǎng)絡(luò)的性能和穩(wěn)定性逐漸提高，成本逐漸下降； ? 在很多 老的教學(xué)樓有線部署困難，采用無線接入更方便； ? 筆記本逐漸普及，而且未來無線視頻監(jiān)控的應(yīng)用、三網(wǎng)融合等因素，將為師生的無線網(wǎng)絡(luò)應(yīng)用帶來更多便利和更好體驗。 學(xué)校用戶可 分類 2類。 核心設(shè)備采用支持 IPv IPv6的 萬兆技術(shù)，核心引擎具有 NFPP 與 CPP 的防護功能，能夠隨時保護核心引擎。 ? 遠 端智能感知：如無線控制器出現(xiàn)故障，學(xué)校的 AP 要能自動感知無線控制器的狀態(tài)，自動切換，保證業(yè)務(wù)運行不受影響。 應(yīng)用的整合優(yōu)化 通過 RGSMP 與 RGSSO 進行互動，使教育城域網(wǎng)的多個業(yè)務(wù)統(tǒng)、有線、無線、 VPN 等統(tǒng)一單點登錄，它無需用戶記憶多個用戶名、密碼，也無需用戶進行多次登錄系統(tǒng)才能訪問應(yīng)用系統(tǒng)。 業(yè)務(wù)區(qū)域采用 VSU設(shè)計實現(xiàn)高可靠，網(wǎng)絡(luò)核心之間雙鏈路跨板鏈路聚合實現(xiàn)鏈路可靠。從而簡化了網(wǎng)絡(luò)拓撲。因此，網(wǎng)絡(luò)永續(xù)性對學(xué)校信息化建設(shè)的成功變得越來越重要。 設(shè)備部件無單點故障 銳 捷網(wǎng)絡(luò)核心骨干交換機 RGS8600 系列均 在設(shè)備本身的重要部件上進行了無故障設(shè)計。例如，利用偽造的數(shù)據(jù)包瞄準(zhǔn)具體協(xié)議，向網(wǎng)絡(luò)設(shè)備發(fā)動攻擊。 經(jīng)過信息產(chǎn)業(yè)部權(quán)威測試中心測試，得出結(jié)論：“銳捷網(wǎng)絡(luò)的 CPP功能可進一步提高 交換機抗攻擊的能力和保持網(wǎng)絡(luò)拓撲與 CPU的穩(wěn)定性” 智動安全防御 本方案全線交換機包括接入、匯聚、核心均可自動檢測常見攻擊行為，并自動下發(fā)相關(guān) 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 26 / 88 策略，阻斷網(wǎng)絡(luò)攻擊，恢復(fù)網(wǎng)絡(luò)正常。這也符合 NFPP“早發(fā)現(xiàn)，早隔離”的原則。 ? 統(tǒng)一 IP 數(shù)據(jù)流的統(tǒng)計、輸出標(biāo)準(zhǔn)，這使得網(wǎng)絡(luò)管理員很容易地提取和查看存儲在這些網(wǎng)絡(luò)設(shè)備中的重要流量統(tǒng)計信息。 ? Export對網(wǎng)絡(luò)流進行分析處理，提取符合條件的流統(tǒng)計信息，并將統(tǒng)計信息輸出給 Collector ? Collector 負責(zé)解析 Export 的數(shù)據(jù)報文，把統(tǒng)計數(shù)據(jù)收集到數(shù)據(jù)庫中，可供Analyser 進行解析。中國運營商的現(xiàn)狀，決定了眾多單位普遍擁有 2 條甚至更多出口運營商鏈路，此時 PBR（策略路由）便成為必需，而 PBR 開啟后出口設(shè)備死機、網(wǎng)絡(luò)變慢的情況時有發(fā)生；更有甚者，部分大規(guī)模網(wǎng)絡(luò)已經(jīng)開始嘗試萬兆出口，性能問題就更為突出了 ?? 業(yè)務(wù)無法高效運行的問題： BT、迅雷等 P2P 應(yīng)用流量過大，擠占關(guān)鍵用戶或關(guān)鍵應(yīng)用帶寬，造成服務(wù)質(zhì)量差，用戶上網(wǎng)體驗下降。第二類是日志審計問題。同時在整個產(chǎn)品的設(shè)計過程中始終貫徹落實 1+1冗余電源的配備。今天的安全是由網(wǎng)絡(luò)安全、應(yīng)用安全到 Web 安全，全面構(gòu)建的立體安全防護體系。 出口解決方案可實現(xiàn)如下功能： ? 海量會 話，萬人在線 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 33 / 88 網(wǎng)絡(luò)出口引擎 NPE提供 200萬條并發(fā) NAT會話，每秒新建 30萬條 NAT會話，保證出口網(wǎng)絡(luò)可容納萬人在線 ? 流量識別，精細管理 應(yīng)用控制引擎 RGACE可精確識別上千種應(yīng)用（例如， P2P應(yīng)用、即時通訊、流媒體、網(wǎng)絡(luò)游戲、炒股軟件、辦公應(yīng)用等）。用戶身份的安全，指用戶以實名接入網(wǎng)絡(luò)，只有經(jīng)過實名認證的用戶才能使用網(wǎng)絡(luò)；主機的安全指只有終端主機本身是健康的，如安裝了殺毒軟件，安裝了最新補丁，才允許接入校園網(wǎng)絡(luò)；網(wǎng)絡(luò)的安全指在網(wǎng)絡(luò)中的數(shù)據(jù)要合法，不能有攻擊或異常，同時，師生在校園網(wǎng)中的網(wǎng)絡(luò)訪問行為要安全，如學(xué)生限制 訪問成人網(wǎng)站或互聯(lián)網(wǎng)娛樂類視頻等；用戶訪問的安全，是指你在網(wǎng)絡(luò)中的訪問可追溯，出現(xiàn)攻擊可定位到人。 ? 數(shù)據(jù)的擴展性： 教育城域網(wǎng)的業(yè)務(wù)系統(tǒng)是一個日益完善、逐步建設(shè)的過程，服務(wù)器日益增多；數(shù)據(jù)中心的建設(shè) 如何滿足 未來業(yè)務(wù)系統(tǒng) 的 不斷增多 便成了一個關(guān)鍵性的問題。在這一類型的解決方案中，一般情況下會將認證和授權(quán)功能都集中在設(shè)備層面，例如交換機，但這就對認證設(shè)備提出了很高的要求，除了標(biāo)準(zhǔn)的 ，還需要支持諸如動態(tài) ACL下發(fā)、動態(tài) VLAN跳轉(zhuǎn)等功能，而很多情況下，網(wǎng)絡(luò)設(shè)備恰恰是無法支持這些功能的，這就使得整個方案的功能無法實現(xiàn)。 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 35 / 88 ? 流量分析類 網(wǎng)絡(luò)出口總體流量分析 ? 應(yīng)用分析類 ? 訪問日志，有效記錄 日志對于網(wǎng)絡(luò)安全的分析和安全設(shè)備的管理非常重要。銳捷全系列出口設(shè)備均支持實名日志， eLog 在收集 NPE、防火墻NAT 日志， ACE產(chǎn)生 URL 日志的同時自動關(guān)聯(lián)身份認證信息。 通過銳捷負載均衡技術(shù)，在出口有多條鏈路的情況下，保證從內(nèi)網(wǎng)到外網(wǎng)的業(yè)務(wù)、從外網(wǎng)到內(nèi)網(wǎng)的業(yè)務(wù)，都能選擇最快速的訪問路徑。 首先，配備高性能的硬件。第一類是攻擊類安全問題。 ? 多業(yè)務(wù)卡：高性能的 NP 板，高效率 IP報文解析、統(tǒng)計，組裝成 IPFIX 報文的DATA 部分發(fā)給主引擎進行傳輸層封 裝。通過記錄網(wǎng)絡(luò)中這些流量的特征，如流量持續(xù)時間、流量中報文平均長度等， 我們 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 28 / 88 可以了解到當(dāng)前網(wǎng)絡(luò)的應(yīng)用情況，并根據(jù)這些 信息對網(wǎng)絡(luò)進行優(yōu)化，安全檢測，流量計費。 要想網(wǎng)絡(luò)流量變得可控，首先需要 做到將網(wǎng)絡(luò)流量分類并可視。為了在這個日益重視安全性的環(huán)境中應(yīng)對日益復(fù)雜的攻擊，銳捷網(wǎng)絡(luò)開發(fā)出基礎(chǔ)網(wǎng)絡(luò)保護策略 (Network Foundation Protection Policy)，簡稱 NFPP。 CPP提供三種保護方法，來保護 CPU的利用率。熱備份框架為整個系統(tǒng)熱備份提供基礎(chǔ)平臺，需要熱備份的模塊通過這個基礎(chǔ)平臺提供的通信、管理等功能完成熱備份所需的同步信息傳輸。本方案網(wǎng)絡(luò)的可靠性從設(shè)備級、鏈路級、網(wǎng)絡(luò)級、業(yè)務(wù)級等各層次保證。切換時間控制在 50ms 以內(nèi)，相當(dāng)于普通數(shù)據(jù)包轉(zhuǎn)發(fā)的時延這，不會