【文章內(nèi)容簡介】 ps 由于辦公區(qū)域和學生宿舍區(qū)同時進行交互的數(shù)據(jù)并不多 ，辦公區(qū)域核心交換機采用 2 條萬兆鏈路 （ VSU 含 2 臺核心交換機共計 40G 帶寬） 分別上聯(lián)學校數(shù)據(jù)中心和學生宿舍區(qū)， 2條萬兆鏈路上聯(lián)出口區(qū) 。 宿舍接入網(wǎng)設計 相比辦公網(wǎng)突出的帶寬需求，宿舍網(wǎng)更加注重安全管理的需求 。宿舍網(wǎng)接入交換機需要控制病毒傳播和網(wǎng)絡流量攻擊，控制非法用戶使用網(wǎng)絡，保證合法用戶合理化使用網(wǎng)絡， 需要接入交換機支持 如端口靜態(tài)和動態(tài)的安全綁定、端口隔離、多種類型的硬件 ACL 控制、基于數(shù)據(jù)流的帶寬限速、用戶接入控制的多元素綁定等，滿足校園網(wǎng)加強對訪問者進行控制、限制非授權用戶通信的需求； 接入層交換機需要有效遏制網(wǎng)絡中日益泛濫的 ARP 網(wǎng)關欺騙和 ARP 主機欺騙的現(xiàn)象，保障了用戶的正常上網(wǎng)。無論在動態(tài)分配 IP 環(huán)境下，還是靜態(tài)分配 IP 環(huán)境下，均可實現(xiàn)自動綁定工作，大大的節(jié)省了人力成本，降低了管理開銷。 綜合考慮 宿舍網(wǎng)在安全、帶寬和 投資成本方面的需求 ，推薦 宿舍 接入網(wǎng)采用 千兆 到桌面，每 3 臺 RGS2900 交換機組成一個堆疊組，通過 2 條萬 兆單模光纖鏈路上行至樓棟中心交換機； 1）交換機堆疊組上聯(lián)帶寬計算 宿舍網(wǎng)接入層交換機 千兆 到桌面，每 3 臺交換機組成一個堆疊組，堆疊帶寬可達 20G,，通過兩條條單模光纖鏈路捆綁上行至樓棟中心交換機 . 每個堆疊組內(nèi) 3 臺接入層交換機，交換機之間采用菊花鏈鏈接，每個交換機和另一個交換機之間交換帶寬高達 20G,堆疊組內(nèi)端口交換帶寬： 20200Mbps/48＝ 416Mbps 每臺 PC 按 100Mbps 的流量計算，每個堆疊組帶寬為： 100Mbps*144＝ 14400Mbps 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 14 2 條萬兆鏈路帶寬為 20200Mbps, 144 個端口最高可實現(xiàn) 138M 的上聯(lián)帶寬，完全可滿足 堆疊組的以 100M/端口的速度無阻塞轉發(fā) 。 2）樓棟中心交換機上聯(lián)帶寬計算 其中 C 棟學生宿舍共有 118 臺交換機， 40 個堆疊組 ， 為辦公區(qū)最多的樓棟 20M/人 *48*118＝ 113280Mbps C 棟學生宿舍中心交換機分別采用 12 條萬兆鏈路捆綁上聯(lián)東區(qū)核心交換機，共計120200Mbps 的帶寬，因此可認為 C 棟學生宿舍中心交換機的上 聯(lián)帶寬基本滿足樓內(nèi)學生同時以 25Mbps 雙向帶寬訪問網(wǎng)絡資源。 其他宿舍樓上聯(lián)帶寬計算如下： 樓棟 信息點數(shù) 上聯(lián)帶寬計算 上聯(lián)萬兆鏈路 A 樓 49 臺接入交換機/17 個堆疊組 47040Mbps 中心交換機 8 條 萬兆鏈路上聯(lián) B 樓 74 臺接入交換機/27 個堆疊組 71040Mbps 中心交換機 8 條 萬兆鏈路上聯(lián) C 樓 118 臺接入交換機/40 個堆疊組 113280Mbps 中心交換機 12 條萬兆鏈路上聯(lián) D 樓 113 臺接入交換機/40 個堆疊組 108480Mbps 中心交換機 12 條萬兆鏈路上聯(lián) E 樓 86 臺接入交換機/31 個堆疊組 82560 Mbps 中心交換機 12 條萬兆鏈路上聯(lián) 綜合服務樓 1362 個信息點 /33臺接入 交換機 /13個堆疊組 31680Mbps 中心交換機 4 條萬兆鏈路上聯(lián) 學生宿舍區(qū)域帶寬計算 47040Mbps +71040Mbps +113280Mbps +108480Mbps +82560 Mbps +31680Mbps =454080 Mbps 由于辦公區(qū)域和學生宿舍區(qū)同時進行交互的數(shù)據(jù)并不多 ，學生 宿舍 區(qū)域核心交換機采用湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 15 2 條萬兆鏈路（ VSU 含 2 臺核心交換機共計 40G 帶寬）分別 上聯(lián)學校數(shù)據(jù)中心和辦公區(qū)， 2條萬兆鏈路上聯(lián)出口區(qū)，可滿足 21000 個學生訪問網(wǎng)絡資源。 身份 準入認證設計 從保障校園網(wǎng)安全和管理的角度，校園網(wǎng)準入身份認證是非常必要的，可以說校園網(wǎng)身份準入認證是保障內(nèi)網(wǎng)安全的需要、是有效運營管理的需要、也是提高服務水平的需要；從另外一個角度來說身份認證是網(wǎng)絡準入的基礎、網(wǎng)絡準入是真實地址的基礎、真實地址是安全可信的基礎。 校園網(wǎng) Web 準入 準出身份認證具有易用性和兼容性的優(yōu)點，缺點是可控性和安全性；校園網(wǎng) 準入身份認證具有可控性和安全性的優(yōu)點，缺點是易用性和兼容性 。基于接入交換機的 Web 準入和 準入身份認證解決方案，該解決方案具有可控性和安全性同時又保留易用性和兼容性。 根據(jù)信息學院校園網(wǎng)學生用戶和老師用戶的不同特點以及運營管理的不同要求，銳捷網(wǎng)絡推薦在宿舍網(wǎng)采用 身份準入認證，推薦在辦公網(wǎng)采用 Web 身份準入認證；在不同區(qū)域的同一用戶使用不同的準入認證方式，使用同一套身份認證計費管理系統(tǒng)進行全網(wǎng)的統(tǒng)一管理。 4. 出口網(wǎng)絡 設計 近幾年來，隨著數(shù)字化校園建設的迅猛發(fā)展，國內(nèi)高校骨干網(wǎng)紛紛升級為萬兆網(wǎng)絡，全面進入了萬兆時代。萬兆校園網(wǎng)有效地解決了校園網(wǎng)內(nèi) 部帶寬不足的問題，滿足了數(shù)萬校園用戶的內(nèi)部訪問需求，但校園網(wǎng)的出口區(qū)域仍然面臨多方 面挑戰(zhàn)，校園網(wǎng)內(nèi)外帶寬的不平衡性導致高校校園網(wǎng)出口建設相對滯后 。 校園網(wǎng)出口的一些現(xiàn)象： 來自外部網(wǎng)絡的 DoS 攻擊、病毒、惡意掃描防不勝防。 P2P 應用大行其道，蠶食出口帶寬，上網(wǎng)速度不堪忍受，師生怨聲載道。 出口鏈路眾多，多鏈路負載均衡和策略路由充滿挑戰(zhàn)。 帶寬擴容，原有的路由器、防火墻超負荷運行 。 并發(fā)連接回話激增， NAT 網(wǎng)關頻繁死機 。 出口日志記錄不詳，檢索復雜，面對公安機關的反查要求力不從心。 IPv6 網(wǎng)絡出口缺乏安全防護手段，跨棧攻擊一觸即發(fā) 。 我司結合校園 網(wǎng)出口的典型應用，梳理了相關應用模型，對應用模型的每個方面進行深入 分析 ： 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 16 邊界連接設計 邊界連接層處于出口網(wǎng)絡的最外端，是出口網(wǎng)絡中的數(shù)據(jù)交換基礎平臺，此平臺主要由出口網(wǎng)絡中的路由器來組成，邊界連接層需要考慮以下三個方面 （一） 路由轉發(fā)性能 包括網(wǎng)絡地址轉換（ NAT）、基于策略的路由選路（ PBR） NAT 性能考核指標主要為 NAT 并發(fā)連接數(shù)及 NAT 每秒新建連接數(shù)。 NAT并發(fā)連接數(shù)指標要求 =用戶總數(shù) x用戶并發(fā)在線率 x每用戶會話數(shù) =30000x100=300萬 NAT 每秒新建連接數(shù)指標要求 =用戶總數(shù) x 用戶并發(fā)在線率 x 每用戶每秒新建連接數(shù)=30000x10=30 萬 （注：根據(jù)深圳信息學院未來校園網(wǎng)用戶數(shù)量，本次項目中并發(fā)在線用戶以 3 萬計算） （二） 智能路由選路 校園網(wǎng)用戶在訪問屬于不同 ISP 提供的信息資源時，邊界連接層需要智能的根據(jù)用戶訪問的信息資源，選擇不同的 ISP（不同的廣域網(wǎng)鏈路）來進行訪問。從而避免訪問路徑跨越了不同 ISP 網(wǎng)絡，確保資源訪問效率最大化。 充分利用目電信、 CERNET、 CERNET2 深圳電信 IPv6 城域網(wǎng)四 條鏈路，單個 ISP 或單條鏈路的失效后能夠自動切換到備用鏈路，并不影響用戶正常的網(wǎng)絡訪問活動；均衡多條鏈路之間的流量分布，不能造成某條鏈路負載很重，其他鏈路卻一身輕松的尷尬局面；打通不同 ISP 資源互訪之間的局限，按照用戶訪問目的的不同靈活分配不同的出口鏈路；單個對外提供服務的 ISP 的 IP 失效時，自動切換到其它 ISP的 IP；方便靈活的再次擴展多條鏈路，而不會影響網(wǎng)絡結構；對于多條鏈路進行統(tǒng)一管理，統(tǒng)一日志記錄與分析。 （三） 多鏈路 備份功能 信息學院新校區(qū)將通過 ISP 線路、教育網(wǎng)線路分別連接至 INTERNET、 CERNET、CERNET2 和 CNGI 城域網(wǎng)。為了提高出口帶寬的整體利用率，同時提供鏈路冗余備份，邊界連接層必須提供多鏈路負載均衡與備份功能。在任意一條廣域網(wǎng)鏈路發(fā)生故障時，能夠自湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 17 動將流量自動切換到其他廣域網(wǎng)鏈路。 （四） 智能 DNS 解析 為了讓校園網(wǎng)對外開放的資源能夠更快捷的讓外部網(wǎng)絡用戶所訪問，則需要合理引導外部網(wǎng)絡用戶所訪問的路徑。例如，通過智能 DNS 解析功能，在電信網(wǎng)用戶訪問校園門戶網(wǎng)站域名時，自動解析成電信網(wǎng) IP，從而引導電信網(wǎng)絡用戶從我校的電信網(wǎng)鏈路訪問我校校園門戶服務，當教育網(wǎng)用戶訪問時，則解析成教育網(wǎng) IP，引導 教育網(wǎng)用戶從 信息學院的教育網(wǎng)鏈路進行訪問。由此為外部網(wǎng)絡用戶提供一個動態(tài)最優(yōu)的訪問路徑 。 DMZ 安全設計 安全防護，是邊界網(wǎng)絡設計中必不可少的內(nèi)容。 采用萬兆高性能防火墻進行安全防護 ： 主要有以下四個方面： （一）報文過濾 通過訪問控制列表（ ACL）實現(xiàn)了靈活的各種粒度的報文過濾 ,包括：標準 ACL 、擴展ACL。 （二）狀態(tài)檢測 基于六元組來識別網(wǎng)絡流量，并針對每條網(wǎng)絡流量建立從二層至七層的狀態(tài)信息。并基于這些狀態(tài)信息進行各種豐富的安全控制和更深粒度的報文過濾，包括：報頭檢查 、 IP 分片支持、特殊應 用協(xié)議支持等。 （三）攻擊防御 基于狀態(tài)檢測可以防御的各種網(wǎng)絡攻擊包括： IP 畸形包攻擊、 IP 假冒、 TCP 劫持入侵、SYN flood、 Smurf、 Ping of Death、 Teardrop、 Land、 ping flood、 UDP Flood 等等。 （四） WEB 網(wǎng)站防護 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 18 RGWG 采用事前防御和事后恢復的雙層策略。既能在事前防御防范與未然，又能在事后進行頁面恢復。基于 DDSE（深度解碼掃描引擎）解析 Web 交互信息，在進行解碼的基礎上， RGWG對 攻擊的形式邏輯進行判斷過濾，實現(xiàn) HTTP 深度識別。站點隱身使攻擊者無法獲取服務器信息，避免攻擊前的滲透掃描，避免 Web 服務器出錯信息暴露出系統(tǒng)架構，從而無法執(zhí)行下一步攻擊。虛擬補丁技術保護操作系統(tǒng)、數(shù)據(jù)庫、 Apache、 IIS 等 Web 應用服務平臺，避免 Web 應用服務平臺被攻擊導致系統(tǒng)隱患。危險文件下載檢測，阻斷下載數(shù)據(jù)庫等危險文件，避免攻擊者下載用戶密碼等敏感內(nèi)部信息。 RGWG檢測過濾 ActiveX、 JAVA Applet、 iFrame 等嵌入式程序，卡住攻擊源頭，對未掛馬網(wǎng)站進行預防。網(wǎng)站掛馬檢測引擎， 對網(wǎng)站頁面進行監(jiān)控診斷，及時發(fā)現(xiàn)解決 WebGuard部署前已被掛馬的網(wǎng)站 。 流量控制設計 傳統(tǒng)的流控設備只能根據(jù)終端的 IP 段或 IP 地址來識別用戶的身份，所以在限制用戶網(wǎng)絡應用和帶寬的時候判斷的依據(jù)也是 IP 地址，即使是學生身份在辦公區(qū)也享受教師的帶寬控制策略，而教師身份在學生宿舍區(qū)也只能受到學生帶寬控制策略。 為了解決這個問題，我們需要在流控設備上引入智能的概念。將流控設備與認證系統(tǒng)打湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 19 通，這樣流控識別用戶的依據(jù)不再是 IP 地址，而是認證的身份，基于身份 的帶寬控制策略便能夠更為人性化的處理在出口區(qū)域的網(wǎng)絡應用與帶寬管理。比如：教師身份擁有最高使用 50兆出口帶寬、 20 兆 P2P 應用帶寬的權限，而學生擁有最高使用 20 兆出口帶寬、 5 兆 P2P應用帶寬的權限。這樣無論用戶在何處登陸、使用何種終端都擁有與之身份相符的權利和限制。 遠程接入設計 為滿足在校外居住或出差的校領導、專家、學者能夠既方便又安全的通過 INTERNET連接到校園網(wǎng)內(nèi)部進行遠程會議、科研及辦公，因此需要在出口網(wǎng)絡中提供 VPN 接入服務。 （一） VPN 接入技術選擇 針對目前 VPN 的接入方式，主要有 IPSEC VPN、 L2TP/PPTP VPN 以及 SSL VPN。三種 VPN 技術均有各自的。 通過比較分析，對于校園網(wǎng)遠程用戶接入可根據(jù)用戶需求選擇 SSL VPN 及 IPSEC VPN技術。 （二） VPN 系統(tǒng)性能及管理性要求 VPN 并發(fā)在線用戶要求 =校園網(wǎng)用戶總數(shù) x10%=3000。 VPN 用戶認證管理要求：與接入網(wǎng)采用相同的接入認證系統(tǒng)，實現(xiàn)統(tǒng)一認證管理。 日志審計設計 根據(jù)公安部的 82 號令要求，需要對校園網(wǎng)用戶訪問 INTERNET 進行記錄。記錄內(nèi)容包括訪問時的校內(nèi) IP、 NAT 后的 IP、訪問目的 IP、訪問目的 URL、訪問時間、對應校內(nèi)的用戶等。因此，日志審計層需要從邊界連接、安全防護、流量控制這個三個部分進行日志收集，并通過 日志系統(tǒng)和認證計費系統(tǒng)的 聯(lián)動處理，實現(xiàn)基于用戶實名制的 INTERNET 訪問日志記錄。同時，提供基于 WEB GUI的查詢檢索界面，方便日志審計翻查。 出口 設備選擇 出口路由器 RGNPE60 除了需要具備以上功能外， 在實際使用