【文章內(nèi)容簡(jiǎn)介】 路斷線或一個(gè)主干交換機(jī)發(fā)生故障，都能在用戶覺(jué)察不到的極短的時(shí)間內(nèi)啟用備份恢復(fù)數(shù)據(jù)傳遞，從而保證網(wǎng)絡(luò)系統(tǒng)的高可靠性、穩(wěn)定性的運(yùn)行。 銳捷網(wǎng)絡(luò)多年高端開(kāi)發(fā)所形成的具有完全自主知識(shí)產(chǎn)權(quán)的統(tǒng)一操作系統(tǒng)，使銳捷的高端產(chǎn)品有相同的交換 /路由特性、一致的安全功能，能夠?yàn)橛脩籼峁┫嗤南到y(tǒng)服務(wù)，并在產(chǎn)品功能、性 能提升上具有一致性，同時(shí)也方便了用戶對(duì)銳捷多款產(chǎn)品的統(tǒng)一管理。 安全保障 銳捷核心及全線網(wǎng)絡(luò)產(chǎn)品支持豐富的安全防護(hù)能力，包括對(duì)各種攻擊的防護(hù)能力，以及先進(jìn)的 CSS 安全體系。具體將在第二節(jié)《有效的全局安全措施》中說(shuō)明。 十萬(wàn)兆平臺(tái)全面提升骨干網(wǎng)絡(luò) 目前，萬(wàn)兆以太網(wǎng)，作為迄今為止投入應(yīng)用的速率最高的網(wǎng)絡(luò)技術(shù) , 已經(jīng)大規(guī)模普及，并且能夠切實(shí)解決目前校園網(wǎng)建設(shè)中存在的很多問(wèn)題。但是，萬(wàn)兆應(yīng)用的普及對(duì)產(chǎn)品和技術(shù)提出了更高的要求。校園網(wǎng)匯聚到核心的萬(wàn)兆線路的改造，就要求核心設(shè)備具有更高的萬(wàn)兆線速轉(zhuǎn)發(fā)性能，以 及更高的萬(wàn)兆端口密度來(lái)支撐大量匯聚設(shè)備的萬(wàn)兆鏈路上聯(lián)。 而十萬(wàn)兆產(chǎn)品恰恰能夠解決萬(wàn)兆普及帶來(lái)的問(wèn)題?；趯?duì)未來(lái)十萬(wàn)兆標(biāo)準(zhǔn)支持的考慮，銳捷網(wǎng)絡(luò)開(kāi)發(fā)的最新一代十萬(wàn)兆產(chǎn)品設(shè)備性能強(qiáng)大，完全滿足甚至超出了校園網(wǎng)正常應(yīng)用對(duì)設(shè)備的性能要求。十萬(wàn)兆還可以簡(jiǎn)單理解為 10*萬(wàn)兆，加上設(shè)備所具有的高線卡帶寬，這就足以支撐起每線卡的更高的端口密度。目前，每線卡萬(wàn)兆端口數(shù)可以高達(dá) 16 個(gè)。這將大大降低校內(nèi)大量匯聚設(shè)備的萬(wàn)兆上聯(lián)成本。 值得一提的是， IEEE 100Gbps（十萬(wàn)兆）高速以太網(wǎng)的標(biāo)準(zhǔn)化 制定工 作，預(yù)計(jì)標(biāo)準(zhǔn)將在 2020 年出臺(tái)。采用最新一代面向十萬(wàn)兆平臺(tái)的產(chǎn)品，符合校園網(wǎng)建設(shè)中的保護(hù)投資和先進(jìn)性的原則。在十萬(wàn)兆標(biāo)準(zhǔn)出臺(tái)后，就可以直接升級(jí)到下一代以太網(wǎng)。 二、有效的全局安全措施 統(tǒng)一的身份準(zhǔn)入控制及詳細(xì)的日志審計(jì) 首先，能夠安全認(rèn)證到桌面。采用六元素的自動(dòng)綁定、靜態(tài)綁定、動(dòng)態(tài)綁定相結(jié)合，可以確保用戶入網(wǎng)時(shí)身份唯一，并且避免了 IP 沖突。 其次，實(shí)現(xiàn)了管理分級(jí)授權(quán)。不同職能的管理者使用同一套系統(tǒng)時(shí)可以得到不同的操作界面以及使用權(quán)限，避免了管理的安全隱患。 最后，詳細(xì)的日志審計(jì)功 能記錄用戶上網(wǎng)的詳細(xì)信息（包括用戶名、 IP、 MAC等）及完整的用戶訪問(wèn)外網(wǎng)的記錄（包括源 IP、目的 IP、源端口、目的端口、訪問(wèn)時(shí)間），一旦出現(xiàn)安全事件，可以進(jìn)行快速完整的審計(jì)，迅速定位到個(gè)人。 設(shè)備本身具有的強(qiáng)大的安全防護(hù)能力 銳捷核心及全線網(wǎng)絡(luò)產(chǎn)品支持豐富的安全防護(hù)能力，包括防 DOS 攻擊 (Smurf、Synflood)，防 IP 掃描 (PingSweep)，防源 IP 地址欺騙 (Source IP Spoofing)、防ARP 欺騙、防病毒、帶寬控制等功能。 銳捷網(wǎng)絡(luò)還在繼承已有的設(shè)備安全防護(hù)能力的技術(shù)基礎(chǔ)上，開(kāi)發(fā)出了集多種強(qiáng)大安全功能于一體的 CSS 安全體系設(shè)計(jì)。 黑客對(duì)計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)成的威脅大體可分為兩種：一是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅 ,針對(duì)設(shè)備系統(tǒng)的漏洞或不足進(jìn)行攻擊 ,導(dǎo)致系統(tǒng)不能正常工作，甚至癱瘓。二是對(duì)網(wǎng)絡(luò)中信息的威脅，以各種方式有選擇地破壞 ,竊取網(wǎng)絡(luò)中的數(shù)據(jù)信息。 CSS 安全體系正是通過(guò)從 “系統(tǒng) ”和 “數(shù)據(jù) ”兩方面的安全技術(shù)來(lái)保護(hù)網(wǎng)絡(luò)的安全。 CSS安全體系主要是通過(guò)硬件安全監(jiān)控技術(shù)、硬件安全防護(hù)技術(shù)、豐富的設(shè)備安全管理保證系統(tǒng)的安全，通過(guò)硬件的隧道 技術(shù)、認(rèn)證技術(shù)、加密技術(shù)保護(hù)了網(wǎng)絡(luò)設(shè)備傳輸?shù)臄?shù)據(jù)的安全。此外，還提供了萬(wàn)兆位的安全防護(hù)模塊同時(shí)保護(hù)系統(tǒng)和數(shù)據(jù)。通過(guò)提供萬(wàn)兆位安全防護(hù)模塊，可以對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行 27層的安全監(jiān)控防護(hù)。 GSN全局安全解決方案 GSN系統(tǒng)能夠?qū)θW(wǎng)的所有安全事件、網(wǎng)絡(luò)病毒攻擊行為、用戶行為和用戶主機(jī)安全信息進(jìn)行深入分析和全局監(jiān)控。通過(guò)這種實(shí)時(shí)全網(wǎng)偵測(cè)，可以在第一時(shí)間內(nèi)將網(wǎng)絡(luò)異?，F(xiàn)象通過(guò)接入層隔離出網(wǎng)絡(luò)，使得網(wǎng)絡(luò)異?，F(xiàn)象完全不影響核心網(wǎng)絡(luò)；在發(fā)現(xiàn)安全問(wèn)題后能自動(dòng)對(duì)用戶進(jìn)行安全事件告警 ，并迅速根據(jù)用戶身份選擇將用戶隔離到安全修復(fù)區(qū)域或自動(dòng)阻斷異常數(shù)據(jù)流。這一方案目前在包括集美大學(xué)在內(nèi)的各高校取得了較好的應(yīng)用效果，例證之一就是：盛極一時(shí)并造成巨大影響的熊貓燒香病毒，在這些學(xué)校都悄然無(wú)聲。 此外，通過(guò)部署 GSN 全局安全，還能輕松的進(jìn)行主機(jī)信息獲??；實(shí)現(xiàn)主機(jī)完整性（ HI）規(guī)則（通過(guò)一系列規(guī)則的定義，約定了對(duì)用戶主機(jī)的準(zhǔn)入標(biāo)準(zhǔn)）；利用先進(jìn)的 “免疫性 ”ARP防病毒防攻擊技術(shù)，徹底解決 ARP木馬等病毒 /攻擊帶來(lái)的網(wǎng)絡(luò)中斷事故的影響。 三、負(fù)載均衡、冗余備份的出口設(shè)計(jì) 超強(qiáng)的 NAT、 PBR性能 當(dāng)前，校園網(wǎng)出口面臨的首要問(wèn)題就是性能問(wèn)題。性能問(wèn)題主要體現(xiàn)在出口設(shè)備啟用 NAT（地址轉(zhuǎn)換）和 PBR（策略路由）功能的情況下。正是基于對(duì)校園網(wǎng)出口高性能的考慮，銳捷為校園網(wǎng)出口定制的網(wǎng)絡(luò)出口引擎 NPE50系列能夠： 1）在啟用 NAT、 ACL、 PBR（策略路由）的情況下，在通常情況報(bào)文流情況下（平均報(bào)文長(zhǎng)度為 500byte 左右的混合報(bào)文），雙向可以達(dá)到 8Gbps 的線速轉(zhuǎn)發(fā)。每秒高達(dá) 30萬(wàn)條的 NAT新建連接會(huì)話。在 2Gbps 的 NAT線速轉(zhuǎn)發(fā)下，每秒達(dá)到新建 7萬(wàn)條 NAT會(huì)話。 2）達(dá)到 200 萬(wàn)條的并發(fā) NAT 會(huì)話數(shù)。如果按照每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn) 300 條 NAT 會(huì)話，則可以同時(shí)支持將近 7000臺(tái)的網(wǎng)絡(luò)節(jié)點(diǎn)同時(shí)在線。 出口線路自動(dòng)負(fù)載均衡、出口設(shè)備的冗余備份及鏈路的冗余備份 一方面在流量的策略上，能夠?qū)崿F(xiàn)基于源頭的流量區(qū)分和基于訪問(wèn)目的的出口控制。具體舉例來(lái)說(shuō)，可以將學(xué)生的流量和老師的流量制定不同的路由路徑；在對(duì)外出口上，根據(jù)所訪問(wèn)的資源進(jìn)行劃分，教育網(wǎng)免費(fèi)資源走 CERNET 出口，免費(fèi)地址列表之外的都走網(wǎng)通或者電信出口。 另一方面，從可用性 角度，實(shí)現(xiàn)了任何一臺(tái)設(shè)備（任何一臺(tái)防火墻或者任何一臺(tái)網(wǎng)絡(luò)出口引擎）的故障或者任何一條鏈路的癱瘓，都將使相應(yīng)的流量自動(dòng)切換到另外一臺(tái)設(shè)備或者另外一條鏈路上。充分保證出口的可用性，時(shí)刻保持網(wǎng)絡(luò)的互聯(lián)互通。 完善的出口日志功能 針對(duì)各種網(wǎng)絡(luò)攻擊和安全威脅進(jìn)行日志記錄，采用統(tǒng)一的格式，支持本地查看的同時(shí)，還能夠通過(guò)統(tǒng)一的輸出接口將日志發(fā)送到日志服務(wù)器，為用戶事后分析、審計(jì)提供重要信息，方案中所能提供的日志包括： ）設(shè)備日志：設(shè)備狀態(tài)，系統(tǒng)事件日志 2）上網(wǎng)記錄日志：上 網(wǎng)記錄日志（基于五元組