【文章內容簡介】 ps 由于辦公區(qū)域和學生宿舍區(qū)同時進行交互的數(shù)據(jù)并不多 ，辦公區(qū)域核心交換機采用 2 條萬兆鏈路 （ VSU 含 2 臺核心交換機共計 40G 帶寬） 分別上聯(lián)學校數(shù)據(jù)中心和學生宿舍區(qū)， 2條萬兆鏈路上聯(lián)出口區(qū) 。 宿舍接入網(wǎng)設計 相比辦公網(wǎng)突出的帶寬需求，宿舍網(wǎng)更加注重安全管理的需求 。宿舍網(wǎng)接入交換機需要控制病毒傳播和網(wǎng)絡流量攻擊，控制非法用戶使用網(wǎng)絡，保證合法用戶合理化使用網(wǎng)絡， 需要接入交換機支持 如端口靜態(tài)和動態(tài)的安全綁定、端口隔離、多種類型的硬件 ACL 控制、基于數(shù)據(jù)流的帶寬限速、用戶接入控制的多元素綁定等，滿足校園網(wǎng)加強對訪問者進行控制、限制非授權用戶通信的需求； 接入層交換機需要有效遏制網(wǎng)絡中日益泛濫的 ARP 網(wǎng)關欺騙和 ARP 主機欺騙的現(xiàn)象，保障了用戶的正常上網(wǎng)。無論在動態(tài)分配 IP 環(huán)境下，還是靜態(tài)分配 IP 環(huán)境下，均可實現(xiàn)自動綁定工作，大大的節(jié)省了人力成本，降低了管理開銷。 綜合考慮 宿舍網(wǎng)在安全、帶寬和 投資成本方面的需求 ，推薦 宿舍 接入網(wǎng)采用 千兆 到桌面，每 3 臺 RGS2900 交換機組成一個堆疊組，通過 2 條萬 兆單模光纖鏈路上行至樓棟中心交換機； 1）交換機堆疊組上聯(lián)帶寬計算 宿舍網(wǎng)接入層交換機 千兆 到桌面，每 3 臺交換機組成一個堆疊組，堆疊帶寬可達 20G,，通過兩條條單模光纖鏈路捆綁上行至樓棟中心交換機 . 每個堆疊組內 3 臺接入層交換機，交換機之間采用菊花鏈鏈接，每個交換機和另一個交換機之間交換帶寬高達 20G,堆疊組內端口交換帶寬： 20200Mbps/48＝ 416Mbps 每臺 PC 按 100Mbps 的流量計算，每個堆疊組帶寬為： 100Mbps*144＝ 14400Mbps 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 14 2 條萬兆鏈路帶寬為 20200Mbps, 144 個端口最高可實現(xiàn) 138M 的上聯(lián)帶寬，完全可滿足 堆疊組的以 100M/端口的速度無阻塞轉發(fā) 。 2）樓棟中心交換機上聯(lián)帶寬計算 其中 C 棟學生宿舍共有 118 臺交換機， 40 個堆疊組 ， 為辦公區(qū)最多的樓棟 20M/人 *48*118＝ 113280Mbps C 棟學生宿舍中心交換機分別采用 12 條萬兆鏈路捆綁上聯(lián)東區(qū)核心交換機，共計120200Mbps 的帶寬，因此可認為 C 棟學生宿舍中心交換機的上 聯(lián)帶寬基本滿足樓內學生同時以 25Mbps 雙向帶寬訪問網(wǎng)絡資源。 其他宿舍樓上聯(lián)帶寬計算如下： 樓棟 信息點數(shù) 上聯(lián)帶寬計算 上聯(lián)萬兆鏈路 A 樓 49 臺接入交換機/17 個堆疊組 47040Mbps 中心交換機 8 條 萬兆鏈路上聯(lián) B 樓 74 臺接入交換機/27 個堆疊組 71040Mbps 中心交換機 8 條 萬兆鏈路上聯(lián) C 樓 118 臺接入交換機/40 個堆疊組 113280Mbps 中心交換機 12 條萬兆鏈路上聯(lián) D 樓 113 臺接入交換機/40 個堆疊組 108480Mbps 中心交換機 12 條萬兆鏈路上聯(lián) E 樓 86 臺接入交換機/31 個堆疊組 82560 Mbps 中心交換機 12 條萬兆鏈路上聯(lián) 綜合服務樓 1362 個信息點 /33臺接入 交換機 /13個堆疊組 31680Mbps 中心交換機 4 條萬兆鏈路上聯(lián) 學生宿舍區(qū)域帶寬計算 47040Mbps +71040Mbps +113280Mbps +108480Mbps +82560 Mbps +31680Mbps =454080 Mbps 由于辦公區(qū)域和學生宿舍區(qū)同時進行交互的數(shù)據(jù)并不多 ，學生 宿舍 區(qū)域核心交換機采用湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 15 2 條萬兆鏈路（ VSU 含 2 臺核心交換機共計 40G 帶寬）分別 上聯(lián)學校數(shù)據(jù)中心和辦公區(qū)， 2條萬兆鏈路上聯(lián)出口區(qū)，可滿足 21000 個學生訪問網(wǎng)絡資源。 身份 準入認證設計 從保障校園網(wǎng)安全和管理的角度，校園網(wǎng)準入身份認證是非常必要的，可以說校園網(wǎng)身份準入認證是保障內網(wǎng)安全的需要、是有效運營管理的需要、也是提高服務水平的需要；從另外一個角度來說身份認證是網(wǎng)絡準入的基礎、網(wǎng)絡準入是真實地址的基礎、真實地址是安全可信的基礎。 校園網(wǎng) Web 準入 準出身份認證具有易用性和兼容性的優(yōu)點，缺點是可控性和安全性；校園網(wǎng) 準入身份認證具有可控性和安全性的優(yōu)點，缺點是易用性和兼容性 ?；诮尤虢粨Q機的 Web 準入和 準入身份認證解決方案，該解決方案具有可控性和安全性同時又保留易用性和兼容性。 根據(jù)信息學院校園網(wǎng)學生用戶和老師用戶的不同特點以及運營管理的不同要求，銳捷網(wǎng)絡推薦在宿舍網(wǎng)采用 身份準入認證，推薦在辦公網(wǎng)采用 Web 身份準入認證；在不同區(qū)域的同一用戶使用不同的準入認證方式，使用同一套身份認證計費管理系統(tǒng)進行全網(wǎng)的統(tǒng)一管理。 4. 出口網(wǎng)絡 設計 近幾年來，隨著數(shù)字化校園建設的迅猛發(fā)展，國內高校骨干網(wǎng)紛紛升級為萬兆網(wǎng)絡，全面進入了萬兆時代。萬兆校園網(wǎng)有效地解決了校園網(wǎng)內 部帶寬不足的問題，滿足了數(shù)萬校園用戶的內部訪問需求，但校園網(wǎng)的出口區(qū)域仍然面臨多方 面挑戰(zhàn)，校園網(wǎng)內外帶寬的不平衡性導致高校校園網(wǎng)出口建設相對滯后 。 校園網(wǎng)出口的一些現(xiàn)象： 來自外部網(wǎng)絡的 DoS 攻擊、病毒、惡意掃描防不勝防。 P2P 應用大行其道，蠶食出口帶寬，上網(wǎng)速度不堪忍受，師生怨聲載道。 出口鏈路眾多，多鏈路負載均衡和策略路由充滿挑戰(zhàn)。 帶寬擴容，原有的路由器、防火墻超負荷運行 。 并發(fā)連接回話激增， NAT 網(wǎng)關頻繁死機 。 出口日志記錄不詳，檢索復雜，面對公安機關的反查要求力不從心。 IPv6 網(wǎng)絡出口缺乏安全防護手段，跨棧攻擊一觸即發(fā) 。 我司結合校園 網(wǎng)出口的典型應用，梳理了相關應用模型，對應用模型的每個方面進行深入 分析 ： 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 16 邊界連接設計 邊界連接層處于出口網(wǎng)絡的最外端，是出口網(wǎng)絡中的數(shù)據(jù)交換基礎平臺，此平臺主要由出口網(wǎng)絡中的路由器來組成，邊界連接層需要考慮以下三個方面 （一） 路由轉發(fā)性能 包括網(wǎng)絡地址轉換（ NAT）、基于策略的路由選路（ PBR） NAT 性能考核指標主要為 NAT 并發(fā)連接數(shù)及 NAT 每秒新建連接數(shù)。 NAT并發(fā)連接數(shù)指標要求 =用戶總數(shù) x用戶并發(fā)在線率 x每用戶會話數(shù) =30000x100=300萬 NAT 每秒新建連接數(shù)指標要求 =用戶總數(shù) x 用戶并發(fā)在線率 x 每用戶每秒新建連接數(shù)=30000x10=30 萬 （注：根據(jù)深圳信息學院未來校園網(wǎng)用戶數(shù)量，本次項目中并發(fā)在線用戶以 3 萬計算） （二） 智能路由選路 校園網(wǎng)用戶在訪問屬于不同 ISP 提供的信息資源時，邊界連接層需要智能的根據(jù)用戶訪問的信息資源，選擇不同的 ISP（不同的廣域網(wǎng)鏈路）來進行訪問。從而避免訪問路徑跨越了不同 ISP 網(wǎng)絡，確保資源訪問效率最大化。 充分利用目電信、 CERNET、 CERNET2 深圳電信 IPv6 城域網(wǎng)四 條鏈路，單個 ISP 或單條鏈路的失效后能夠自動切換到備用鏈路，并不影響用戶正常的網(wǎng)絡訪問活動；均衡多條鏈路之間的流量分布，不能造成某條鏈路負載很重，其他鏈路卻一身輕松的尷尬局面；打通不同 ISP 資源互訪之間的局限，按照用戶訪問目的的不同靈活分配不同的出口鏈路；單個對外提供服務的 ISP 的 IP 失效時，自動切換到其它 ISP的 IP；方便靈活的再次擴展多條鏈路，而不會影響網(wǎng)絡結構；對于多條鏈路進行統(tǒng)一管理，統(tǒng)一日志記錄與分析。 （三） 多鏈路 備份功能 信息學院新校區(qū)將通過 ISP 線路、教育網(wǎng)線路分別連接至 INTERNET、 CERNET、CERNET2 和 CNGI 城域網(wǎng)。為了提高出口帶寬的整體利用率，同時提供鏈路冗余備份，邊界連接層必須提供多鏈路負載均衡與備份功能。在任意一條廣域網(wǎng)鏈路發(fā)生故障時，能夠自湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 17 動將流量自動切換到其他廣域網(wǎng)鏈路。 （四） 智能 DNS 解析 為了讓校園網(wǎng)對外開放的資源能夠更快捷的讓外部網(wǎng)絡用戶所訪問，則需要合理引導外部網(wǎng)絡用戶所訪問的路徑。例如，通過智能 DNS 解析功能，在電信網(wǎng)用戶訪問校園門戶網(wǎng)站域名時，自動解析成電信網(wǎng) IP，從而引導電信網(wǎng)絡用戶從我校的電信網(wǎng)鏈路訪問我校校園門戶服務，當教育網(wǎng)用戶訪問時，則解析成教育網(wǎng) IP，引導 教育網(wǎng)用戶從 信息學院的教育網(wǎng)鏈路進行訪問。由此為外部網(wǎng)絡用戶提供一個動態(tài)最優(yōu)的訪問路徑 。 DMZ 安全設計 安全防護，是邊界網(wǎng)絡設計中必不可少的內容。 采用萬兆高性能防火墻進行安全防護 ： 主要有以下四個方面： （一）報文過濾 通過訪問控制列表（ ACL）實現(xiàn)了靈活的各種粒度的報文過濾 ,包括：標準 ACL 、擴展ACL。 （二）狀態(tài)檢測 基于六元組來識別網(wǎng)絡流量，并針對每條網(wǎng)絡流量建立從二層至七層的狀態(tài)信息。并基于這些狀態(tài)信息進行各種豐富的安全控制和更深粒度的報文過濾，包括：報頭檢查 、 IP 分片支持、特殊應 用協(xié)議支持等。 （三）攻擊防御 基于狀態(tài)檢測可以防御的各種網(wǎng)絡攻擊包括： IP 畸形包攻擊、 IP 假冒、 TCP 劫持入侵、SYN flood、 Smurf、 Ping of Death、 Teardrop、 Land、 ping flood、 UDP Flood 等等。 （四） WEB 網(wǎng)站防護 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 18 RGWG 采用事前防御和事后恢復的雙層策略。既能在事前防御防范與未然，又能在事后進行頁面恢復?；?DDSE（深度解碼掃描引擎）解析 Web 交互信息，在進行解碼的基礎上， RGWG對 攻擊的形式邏輯進行判斷過濾，實現(xiàn) HTTP 深度識別。站點隱身使攻擊者無法獲取服務器信息，避免攻擊前的滲透掃描，避免 Web 服務器出錯信息暴露出系統(tǒng)架構，從而無法執(zhí)行下一步攻擊。虛擬補丁技術保護操作系統(tǒng)、數(shù)據(jù)庫、 Apache、 IIS 等 Web 應用服務平臺，避免 Web 應用服務平臺被攻擊導致系統(tǒng)隱患。危險文件下載檢測，阻斷下載數(shù)據(jù)庫等危險文件，避免攻擊者下載用戶密碼等敏感內部信息。 RGWG檢測過濾 ActiveX、 JAVA Applet、 iFrame 等嵌入式程序，卡住攻擊源頭，對未掛馬網(wǎng)站進行預防。網(wǎng)站掛馬檢測引擎， 對網(wǎng)站頁面進行監(jiān)控診斷，及時發(fā)現(xiàn)解決 WebGuard部署前已被掛馬的網(wǎng)站 。 流量控制設計 傳統(tǒng)的流控設備只能根據(jù)終端的 IP 段或 IP 地址來識別用戶的身份，所以在限制用戶網(wǎng)絡應用和帶寬的時候判斷的依據(jù)也是 IP 地址，即使是學生身份在辦公區(qū)也享受教師的帶寬控制策略，而教師身份在學生宿舍區(qū)也只能受到學生帶寬控制策略。 為了解決這個問題，我們需要在流控設備上引入智能的概念。將流控設備與認證系統(tǒng)打湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 19 通，這樣流控識別用戶的依據(jù)不再是 IP 地址，而是認證的身份，基于身份 的帶寬控制策略便能夠更為人性化的處理在出口區(qū)域的網(wǎng)絡應用與帶寬管理。比如：教師身份擁有最高使用 50兆出口帶寬、 20 兆 P2P 應用帶寬的權限，而學生擁有最高使用 20 兆出口帶寬、 5 兆 P2P應用帶寬的權限。這樣無論用戶在何處登陸、使用何種終端都擁有與之身份相符的權利和限制。 遠程接入設計 為滿足在校外居住或出差的校領導、專家、學者能夠既方便又安全的通過 INTERNET連接到校園網(wǎng)內部進行遠程會議、科研及辦公，因此需要在出口網(wǎng)絡中提供 VPN 接入服務。 （一） VPN 接入技術選擇 針對目前 VPN 的接入方式，主要有 IPSEC VPN、 L2TP/PPTP VPN 以及 SSL VPN。三種 VPN 技術均有各自的。 通過比較分析，對于校園網(wǎng)遠程用戶接入可根據(jù)用戶需求選擇 SSL VPN 及 IPSEC VPN技術。 （二） VPN 系統(tǒng)性能及管理性要求 VPN 并發(fā)在線用戶要求 =校園網(wǎng)用戶總數(shù) x10%=3000。 VPN 用戶認證管理要求：與接入網(wǎng)采用相同的接入認證系統(tǒng)，實現(xiàn)統(tǒng)一認證管理。 日志審計設計 根據(jù)公安部的 82 號令要求，需要對校園網(wǎng)用戶訪問 INTERNET 進行記錄。記錄內容包括訪問時的校內 IP、 NAT 后的 IP、訪問目的 IP、訪問目的 URL、訪問時間、對應校內的用戶等。因此，日志審計層需要從邊界連接、安全防護、流量控制這個三個部分進行日志收集，并通過 日志系統(tǒng)和認證計費系統(tǒng)的 聯(lián)動處理，實現(xiàn)基于用戶實名制的 INTERNET 訪問日志記錄。同時，提供基于 WEB GUI的查詢檢索界面，方便日志審計翻查。 出口 設備選擇 出口路由器 RGNPE60 除了需要具備以上功能外， 在實際使用