【正文】 RP 信息下傳至 SU SU 靜態(tài)綁定網(wǎng)關(guān)的 ARP GSN ARP 防御的第二重 —— 用戶端防御 用戶端防御的實現(xiàn)過程如下： 攻擊者冒充網(wǎng)關(guān)欺騙合法用戶 用戶已經(jīng)靜態(tài)綁定網(wǎng)關(guān)地址， 欺騙攻擊無效 第三重，交換機(jī)非法報文過濾 交換機(jī)非法報文過濾，是通過 S21 和 29 系列交換機(jī)的安全功能來實現(xiàn)的，具體實現(xiàn)方法如下： 用戶認(rèn)證通過后， RGS2900 交換機(jī)會在接入端口上綁定用戶的 IP－ MAC 對應(yīng)信息。 基于這樣的需求背景，從融合，開放的技術(shù)理念出發(fā)，可以實現(xiàn)基于實時智能基礎(chǔ)設(shè)施庫的“關(guān)鍵業(yè)務(wù)系統(tǒng)運(yùn)行監(jiān)控中心“的建設(shè)思路。 有線無線一體化 RGSNCWLAN 可對無線網(wǎng)絡(luò)中的無線控制器和無線接入點(diǎn)等設(shè)備與有線網(wǎng)絡(luò)設(shè)備進(jìn)行一體化集中管理，網(wǎng)管人員對全網(wǎng)設(shè)備信息和狀態(tài)可 隨時全盤掌握。最終通過對網(wǎng)絡(luò)的全面監(jiān)控，網(wǎng)絡(luò)管理員可以重構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)，可以配置、集成、管理和控制學(xué)校的 IP 業(yè)務(wù)并使其自動化。同時通過分布式部署、集中管理的部署模式，幫助擁有眾多分支機(jī)構(gòu)的用戶更好的實現(xiàn)了策略的統(tǒng)一，為網(wǎng)絡(luò)安全管理提供了嶄新的實現(xiàn)模式。 同時根據(jù)用戶身份的不同， GSN 還可以限制不同用戶的不同訪問權(quán)限，讓用戶在接入網(wǎng)絡(luò)后，只能訪問自己權(quán)限之內(nèi)的服務(wù)器，網(wǎng) 絡(luò)區(qū)域等。 五位一 體為用戶帶來的價值 準(zhǔn)入和準(zhǔn)出一體化 準(zhǔn)入和準(zhǔn)出一體化采用統(tǒng)一的安全計費(fèi)管理平臺，用戶僅需 1 套賬號密碼并能夠自由、自主的在內(nèi)外網(wǎng)訪問間實現(xiàn)方便的切換，管理難度小、用戶體驗高；流控設(shè)備與計費(fèi)網(wǎng)關(guān)一體化，提供精確的流量計費(fèi)和帶寬計費(fèi)同時不影響性能，減少單點(diǎn)故障。 建成后的無線校園網(wǎng)絡(luò)由成千上萬臺無線接入點(diǎn)設(shè)備組成的無死角全校區(qū)覆蓋網(wǎng)絡(luò)中 ，必須通過相應(yīng)的全局集中管理體系，才能隨時掌控這個龐大的無線網(wǎng)絡(luò)的動態(tài)。 如圖所示，無線網(wǎng)絡(luò)采用集中式的認(rèn)證和分布式數(shù)據(jù)轉(zhuǎn)發(fā)模式，當(dāng) AP 上聯(lián)的交換機(jī)與無線控制器的鏈路出現(xiàn)中斷時， AP會在 timeout時間間隔內(nèi)嘗試與無線控制器重新建立連接，一旦超時 AP 不再發(fā)送 beacon 幀或者響應(yīng)用戶的 probe request 請求，此時 AP 進(jìn)入“ standalone”模式。 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 21 無線網(wǎng)絡(luò)的兼容性 設(shè)計 在標(biāo)準(zhǔn)的 技術(shù)標(biāo)準(zhǔn)中， 或 5GHz 的頻段 N 協(xié)議雖然可以向下兼容，但如果 ， 將導(dǎo)致 AP為了向下協(xié)商適應(yīng)較低協(xié)議速率的用戶，而犧牲 網(wǎng)卡客戶的速度性能，造成 網(wǎng)卡客戶的速度大幅下降， 的 300Mbps 的優(yōu)勢無法得到發(fā)揮 。 日志審計設(shè)計 根據(jù)公安部的 82 號令要求，需要對校園網(wǎng)用戶訪問 INTERNET 進(jìn)行記錄。站點(diǎn)隱身使攻擊者無法獲取服務(wù)器信息，避免攻擊前的滲透掃描，避免 Web 服務(wù)器出錯信息暴露出系統(tǒng)架構(gòu)，從而無法執(zhí)行下一步攻擊。從而避免訪問路徑跨越了不同 ISP 網(wǎng)絡(luò)，確保資源訪問效率最大化。 其他宿舍樓上聯(lián)帶寬計算如下： 樓棟 信息點(diǎn)數(shù) 上聯(lián)帶寬計算 上聯(lián)萬兆鏈路 A 樓 49 臺接入交換機(jī)/17 個堆疊組 47040Mbps 中心交換機(jī) 8 條 萬兆鏈路上聯(lián) B 樓 74 臺接入交換機(jī)/27 個堆疊組 71040Mbps 中心交換機(jī) 8 條 萬兆鏈路上聯(lián) C 樓 118 臺接入交換機(jī)/40 個堆疊組 113280Mbps 中心交換機(jī) 12 條萬兆鏈路上聯(lián) D 樓 113 臺接入交換機(jī)/40 個堆疊組 108480Mbps 中心交換機(jī) 12 條萬兆鏈路上聯(lián) E 樓 86 臺接入交換機(jī)/31 個堆疊組 82560 Mbps 中心交換機(jī) 12 條萬兆鏈路上聯(lián) 綜合服務(wù)樓 1362 個信息點(diǎn) /33臺接入 交換機(jī) /13個堆疊組 31680Mbps 中心交換機(jī) 4 條萬兆鏈路上聯(lián) 學(xué)生宿舍區(qū)域帶寬計算 47040Mbps +71040Mbps +113280Mbps +108480Mbps +82560 Mbps +31680Mbps =454080 Mbps 由于辦公區(qū)域和學(xué)生宿舍區(qū)同時進(jìn)行交互的數(shù)據(jù)并不多 ，學(xué)生 宿舍 區(qū)域核心交換機(jī)采用湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 15 2 條萬兆鏈路（ VSU 含 2 臺核心交換機(jī)共計 40G 帶寬）分別 上聯(lián)學(xué)校數(shù)據(jù)中心和辦公區(qū)， 2條萬兆鏈路上聯(lián)出口區(qū)，可滿足 21000 個學(xué)生訪問網(wǎng)絡(luò)資源。在鏈路真正出問題之前就準(zhǔn)確定位到故障隱患點(diǎn)，及時排除故障。相比 VRRP+MSTP 技術(shù)消耗的 CPU 性能和 對 網(wǎng)絡(luò)拓?fù)涞母淖兏　?信息學(xué)院可 通過支持 10 萬兆平臺的高性能核心交換機(jī)構(gòu)建全冗余支持 100G 骨干網(wǎng)絡(luò)架構(gòu)。 信息學(xué)院 新校區(qū)校園的建設(shè) 著眼于 高起點(diǎn) 、現(xiàn)代化、智能化 的校園網(wǎng)建設(shè)， 因此 必須充分考慮未來 5－ 10年的 出口 流量 的迅猛 增長 和 IPv6 技術(shù)應(yīng)用 的廣泛開展 ，在 校園網(wǎng) 出口部署萬兆路由器 和萬兆流量控制設(shè)備 ，并要求出口設(shè)備全面支持 IPv4/v6 雙棧 。控制網(wǎng)則面向安保人員，業(yè)務(wù)為全院的 IP 監(jiān)控及智能化控制設(shè)備的聯(lián)網(wǎng)。 南區(qū)和 北 區(qū) 為教湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 2 學(xué)科研辦公區(qū) ，共計 約 8000 個信息點(diǎn)， 南區(qū)和 北 區(qū) 的 中心機(jī)房 設(shè) 在 北 區(qū) ，南區(qū)和 北 區(qū) 樓棟交換機(jī)均通過 萬兆 光纖 鏈路捆綁 匯接到 北 區(qū) 中心機(jī)房。 對關(guān)鍵用戶要重點(diǎn)保證帶寬 ； 需要日志 記錄，出現(xiàn)安全事件定位到人。 圖 6 骨干層設(shè)計 區(qū)域內(nèi) 核心交換機(jī)采用萬兆 鏈路 互聯(lián)， 每個 VSU 采用 兩條 萬兆 光纖鏈路上行至 校園 網(wǎng)的 出口流控設(shè)備 RGACE3000，采用 4 條萬兆鏈路上行至數(shù)據(jù)中心和另外一個區(qū)域，保證校內(nèi)資源和校外資源的高速訪問。 3） 、 提升了安全過濾 的性能 防火墻板卡是基于網(wǎng)絡(luò)設(shè)備的 Crossbar 全互聯(lián)背板架構(gòu)，確保防火墻模塊與被保護(hù)對象之間高速無阻塞數(shù)據(jù)交換 。目前銳捷網(wǎng)絡(luò)已經(jīng)提供了 IPFIX 功能，擁有完善的網(wǎng)絡(luò)透明化解決方案，從網(wǎng)絡(luò)管理、網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)監(jiān)控保障 信息學(xué)院 關(guān)鍵業(yè)務(wù)高可用。 4. 出口網(wǎng)絡(luò) 設(shè)計 近幾年來，隨著數(shù)字化校園建設(shè)的迅猛發(fā)展，國內(nèi)高校骨干網(wǎng)紛紛升級為萬兆網(wǎng)絡(luò)，全面進(jìn)入了萬兆時代。 （四） 智能 DNS 解析 為了讓校園網(wǎng)對外開放的資源能夠更快捷的讓外部網(wǎng)絡(luò)用戶所訪問，則需要合理引導(dǎo)外部網(wǎng)絡(luò)用戶所訪問的路徑。 流量控制設(shè)計 傳統(tǒng)的流控設(shè)備只能根據(jù)終端的 IP 段或 IP 地址來識別用戶的身份，所以在限制用戶網(wǎng)絡(luò)應(yīng)用和帶寬的時候判斷的依據(jù)也是 IP 地址，即使是學(xué)生身份在辦公區(qū)也享受教師的帶寬控制策略，而教師身份在學(xué)生宿舍區(qū)也只能受到學(xué)生帶寬控制策略。為保證出口網(wǎng)絡(luò)保 持未來 5－ 10 年的領(lǐng)先性， RGNPE60 配置 2 個萬兆接口， 4 個以上的千兆光纖接口，同時需要具備 300 萬以上的 NAT 轉(zhuǎn)發(fā)性能， 目前出口網(wǎng)絡(luò)需要對流量進(jìn)行有效控制，內(nèi)部網(wǎng)絡(luò)進(jìn)行線速轉(zhuǎn)發(fā)，因此建議只在出 口部署兩臺萬兆流控控制器，毋須 在每臺核心交換機(jī)上配置流量控制模塊，這樣可節(jié)省投資，提高設(shè)備利用率。 銳捷網(wǎng)絡(luò)無線控制器采用的冗余備份技術(shù)是在虛擬化架構(gòu)下開發(fā)出來的， 建議 信息學(xué)院部署中會用到 2 臺無線控制器，這 2 臺無線控制器將邏輯上虛擬化為一臺控制器。此外， WAPI從應(yīng)用模式上分為單點(diǎn)式和集中式兩種，可以徹底扭轉(zhuǎn)目前 WLAN采用多種安全機(jī)制并存且互不兼容的現(xiàn)狀，從根本上解決安全問題和兼容性問題。因此，對于無 線網(wǎng)絡(luò)可信的用戶認(rèn)證是關(guān)鍵中的關(guān)鍵。 有線和無線一體化特色與價值 校園網(wǎng)同時具備有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)接入能力，通過不同的認(rèn)證方式，可以統(tǒng)一認(rèn)證計費(fèi)管理平臺進(jìn)行管理，可以減少成本，部署靈活，降低管理難度。 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 29 RGS2900 對報文的源地址進(jìn)行檢查，對非法的攻擊報文一律丟棄處理。利用基于統(tǒng)一信息模型的融合抽象建模技術(shù)和自動發(fā)現(xiàn)技術(shù)，實現(xiàn)對全 IP 網(wǎng)絡(luò)中各種基于 IP 技術(shù)的基礎(chǔ)設(shè)施的自動發(fā)現(xiàn)和資源化，基于統(tǒng)一 信息模型，生成一個可管理，可重用的實時對象庫，并通過實時事件和同步技術(shù)，保持與實際管理對象的一致性。通過整體拓?fù)浔O(jiān)視、多視圖的監(jiān)視和分組管理，可將信息學(xué)院近 500 個 AP 的大規(guī)模部署無線網(wǎng)絡(luò)設(shè)備進(jìn)行集中化的控管。這套系統(tǒng)可以實現(xiàn) IP 綜合資源尤其是地址、子網(wǎng)和域名的管理，可以對整個網(wǎng)絡(luò)上的網(wǎng)絡(luò)設(shè)備進(jìn)行集中式的配置、監(jiān)視和控制，以及自動檢測網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)， 監(jiān)視和控制湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 34 網(wǎng)段和端口，進(jìn)行網(wǎng)絡(luò)流量的統(tǒng)計和錯誤統(tǒng)計，網(wǎng)絡(luò)設(shè)備事件的自動收集和管理等一系列綜合而詳盡的管理和監(jiān)測。 GSN 全局安全解決方案通過軟硬件的聯(lián)動、計算機(jī)層面與網(wǎng)絡(luò)層面的結(jié)合，從身份、主湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 32 機(jī)、網(wǎng)絡(luò)等多 個角度對網(wǎng)絡(luò)安全進(jìn)行監(jiān)控、檢測、防御和處理，幫助用戶共同構(gòu)建身份合法、主機(jī)健康、網(wǎng)絡(luò)安全、行為規(guī)范的全局安全網(wǎng)絡(luò)。 GSN 通過嚴(yán)格的 6 元素（ IP、 MAC、交換機(jī) IP、交換機(jī)端口、用戶名、密碼）綁定措施，確保接入用戶身份的合法性。 面向數(shù)字校園的校園網(wǎng)安全運(yùn)營管理要求對這五個方面進(jìn)行完整的涵蓋，五個方面的分別一體化是過程、五個方面的整合一體化是目標(biāo)，直至實現(xiàn)校園網(wǎng)的全網(wǎng)統(tǒng)一認(rèn)證運(yùn)營管理。通過對該協(xié)議的支持，將使得無線接入點(diǎn)設(shè)備可以預(yù)知某種應(yīng)用或客戶的優(yōu)先順序，并進(jìn)行相應(yīng)的處理。 在無線網(wǎng)絡(luò)的穩(wěn)定性方面，除了通過 N+1 的控制器冗余技術(shù)來保障核心層無線控制器的高可用性外，銳捷網(wǎng)絡(luò)智能轉(zhuǎn)發(fā)架構(gòu)還提供了一種在無線控制器下聯(lián)鏈路失效（或者 AP 的匯聚上聯(lián)鏈路失效）情況下，依然能保障無線網(wǎng)絡(luò)正常運(yùn)行的解決方案。 通過負(fù)載均衡技術(shù)和高性能的 AP 平臺，全網(wǎng)的 將提供高速的網(wǎng)絡(luò)訪問體驗。 VPN 用戶認(rèn)證管理要求：與接入網(wǎng)采用相同的接入認(rèn)證系統(tǒng)，實現(xiàn)統(tǒng)一認(rèn)證管理?；?DDSE（深度解碼掃描引擎）解析 Web 交互信息，在進(jìn)行解碼的基礎(chǔ)上， RGWG對 攻擊的形式邏輯進(jìn)行判斷過濾，實現(xiàn) HTTP 深度識別。 NAT并發(fā)連接數(shù)指標(biāo)要求 =用戶總數(shù) x用戶并發(fā)在線率 x每用戶會話數(shù) =30000x100=300萬 NAT 每秒新建連接數(shù)指標(biāo)要求 =用戶總數(shù) x 用戶并發(fā)在線率 x 每用戶每秒新建連接數(shù)=30000x10=30 萬 （注：根據(jù)深圳信息學(xué)院未來校園網(wǎng)用戶數(shù)量，本次項目中并發(fā)在線用戶以 3 萬計算） （二） 智能路由選路 校園網(wǎng)用戶在訪問屬于不同 ISP 提供的信息資源時，邊界連接層需要智能的根據(jù)用戶訪問的信息資源，選擇不同的 ISP（不同的廣域網(wǎng)鏈路）來進(jìn)行訪問。 2）樓棟中心交換機(jī)上聯(lián)帶寬計算 其中 C 棟學(xué)生宿舍共有 118 臺交換機(jī)， 40 個堆疊組 ， 為辦公區(qū)最多的樓棟 20M/人 *48*118＝ 113280Mbps C 棟學(xué)生宿舍中心交換機(jī)分別采用 12 條萬兆鏈路捆綁上聯(lián)東區(qū)核心交換機(jī)，共計120200Mbps 的帶寬，因此可認(rèn)為 C 棟學(xué)生宿舍中心交換機(jī)的上 聯(lián)帶寬基本滿足樓內(nèi)學(xué)生同時以 25Mbps 雙向帶寬訪問網(wǎng)絡(luò)資源。通過核心交換機(jī) IPFIX 功能，可以輕松監(jiān)控并分析每條鏈路的流量走勢，根據(jù)每條鏈路的平均流量峰值，在網(wǎng)管系統(tǒng)上設(shè)置流量預(yù)警閥值，精確地進(jìn)行鏈路故障的預(yù)警。 VSU 和外圍設(shè)備通過聚合鏈路連接，如果其中一條成員鏈路出現(xiàn)故障，切換到另一條成員鏈路的時間是 50 到 200 毫秒。 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 5 圖 4 內(nèi)網(wǎng) — 內(nèi)網(wǎng)數(shù)據(jù)中心數(shù)據(jù)流向圖 骨干網(wǎng)鏈路設(shè)計 信息學(xué)院 有線網(wǎng)絡(luò) 的 設(shè)計 和建設(shè) 需要考慮未來 5－ 10 年的先進(jìn)性， 因此骨干 網(wǎng)需要建成一個高性能、高可用、高穩(wěn)定的校園骨干網(wǎng)絡(luò) 平臺 。 另外 ， 教育部 CNGI 項目的深入建設(shè) 發(fā)展和 IPv6 時代的到 來 ，各高校紛紛開通了 CERNET2 的連接， 利用 IPv6 網(wǎng)絡(luò)開展 的科研和教學(xué)活動。信息學(xué)院的計算機(jī)網(wǎng)絡(luò)系統(tǒng)分為校園網(wǎng)、智能控制專網(wǎng)和一卡通專網(wǎng)，三個網(wǎng)絡(luò)物理隔離，其中校園網(wǎng)主要面向全院師生，業(yè)務(wù)為互聯(lián)網(wǎng)訪問、多媒體教學(xué)等校園網(wǎng)各種應(yīng)用。 數(shù)據(jù)中心位于 北 區(qū) 中心 機(jī)房 ，數(shù)據(jù)中心 邏輯上分為內(nèi)網(wǎng)數(shù)據(jù)中心、外網(wǎng) DMZ 區(qū)、網(wǎng)絡(luò)出口區(qū)域。 2） 學(xué)生宿舍區(qū)訪問互聯(lián)網(wǎng) (inter 和 cer)、科研訪問 IPV6(CNGI 和 IPv6 城域網(wǎng) ) BT、視頻網(wǎng)站訪問 流量大 ； 安全認(rèn)證要求高 ； 安全管理要求嚴(yán)格 ，客戶端需要防代理、防破解； 若需要差異化運(yùn)營，需要提供個性化服務(wù) ； 需要日志記錄，出現(xiàn)安全事件定位到人。 圖 7 骨干層設(shè)計 湖南工業(yè)職業(yè)技術(shù)學(xué)院