1 / 20

安全可控边界、稳定可靠核心 - Juniper 校园网解决方案

安全可控边界、稳定可靠核心 - Juniper 校园网解决方案. 王 涛 twang@juniper.net. 校园网特点 --- 过去. 地域 : 校园相对集中,校园网的规模相对小。 应用 :比较简单,基本上都是基于 IPv4 QoS :基本上没有服务质量( QoS )的保证 安全 :安全保证机制少 管理 :简单 结构: 交换方式 协议: 二层 Spaning Tree 协议为主,三层路由协议为辅;三 层、两层协议混用. 校园网特点 --- 现在. 地域 : 高校合并、新校区扩建

gudrun
Download Presentation

安全可控边界、稳定可靠核心 - Juniper 校园网解决方案

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 安全可控边界、稳定可靠核心- Juniper校园网解决方案 王 涛 twang@juniper.net

  2. 校园网特点 --- 过去 地域:校园相对集中,校园网的规模相对小。 应用:比较简单,基本上都是基于IPv4 QoS:基本上没有服务质量(QoS)的保证 安全:安全保证机制少 管理:简单 结构:交换方式 协议:二层Spaning Tree协议为主,三层路由协议为辅;三 层、两层协议混用

  3. 校园网特点 --- 现在 地域:高校合并、新校区扩建 应用:网上游戏、网上视频、BT/emule、学术研究… QoS:不同应用需要不同的时延、带宽 安全:病毒频繁爆发、工具软件、学生特点… 由IPv4向IPv6进行逐步过渡

  4. 校区C 汇聚层 Cernet 电信 汇聚层 汇聚层 校区B 校区A 校园网拓朴

  5. 校园网边界几大需求 • 访问控制(ACL) • 策略路由 • 地址转换-NAT • 用户管理 • 带宽优化 安全 可控

  6. Juniper M10i 校园网典型出口应用图(一) SSL VPN SA3000/1000 Cernet 校园网 Netscreen 2000 运营商 twang@a---Cernet,1M带宽,不记费 twang@b---电信网, 2M带宽,收费 twang@c---Cernet出国,512K,收费 ERX310/705 J-Flow(兼容Netflow) 1.对用户流量进行统计 2.可以针对不同目的地址进行计费,出国收费。不出国不收费

  7. ***@a 国内用户,***代表已经拥有的帐号名; ***@c 教工国际包月用户,***代表已经拥有的帐号名; ***@d 学生国际包月用户,***代表已经拥有的帐号名。

  8. Juniper M10i 校园网典型出口应用图(二) 若ERX坏,则不进行计费管理,仅考虑路由出来。 若电信线路断路,则走 Cernet线路 若Cernet线路断路,则走电信线路。 SSL VPN SA3000/1000 Cernet 校园网 Netscreen 2000 运营商 策略路由: 某些网段、或某些数据包(如语音等)不进行计费 其它的全部转发到ERX 不同的L2TP拨号用户得到不同的地址段,根据该地址段进行策略路由 可根据IP包头中的任意字段进行策略路由 ERX310/705

  9. ASM NAT IPsec 防火墙 计费 Juniper M10i 校园网典型出口应用图(三) 老师:教学资源、办公资源… 学生:web资源、图书馆资源、 网管:网管资料库、设备的带外管理区域… …… 可以进行文件级管理! SSL VPN SA3000/1000 Cernet SSL 校园网 Netscreen 2000 IPSEC 运营商 1.基于策略的NAT 2.基于ASIC,大小包情况下性能一致,有效抵御DOS攻击 3.状态防火墙下的策略,和ACL相比,具备更好的安全性能! 4.可通过硬件的IPS板卡,基于策略的对流量进行7层的硬件防护。最大性能2Gbps. 一卡通 财务 。。。 ERX310/705 分部

  10. Netscreen防火墙:性能 vs 安全 安全不以牺牲性能为代价 • 可扩展的专用安全Security Moduel模块(基于ASIC的应用层入侵防御,网关查毒解决方案) • 3600+种攻击手法检测,100多种应用协议、应用层攻击检测吞吐量 2G+ • 真正可用的宽带网络多功能集成安全网关 • Netscreen 的技术领先体现

  11. 服务器群 1.基于策略的IPS过滤 2.当设备故障时,则直通。 3.最大程度检测攻击,进行控制(P2P/MSN…) 4.主动防护 IPS/IPS+FW Cernet 电信 校区A 校区B 防火墙 1.HTTP反向代理,检测任何http的请求包,最大程度保证web安全 2.访问速度提高50%,用户接入能力200% 3.非常适合远程教学 Juniper DX WEB加速器 学生宿舍区 基于WEB的服务器群

  12. 案例分析:为Santa Clara大学提高PeopleSoft 8的处理能力 > 可扩展性 安全性 灵活性 管理 速度 • Santa Clara大学 • 对PeopleSoft 学生管理系统使用猛增,并且校园门户网站的性能下降,对局域网和广域网带宽造成负担 • 直接的好处 • 服务器能力提高300% • 带宽占用减少48% • 访问速度提高44% • “以前每个学期的注册时都导致我们的应用几乎停顿. Juniper DX 的加速使得即使在最大负荷时都运行正常。现在我们可以在不增加新的软件或硬件的情况下处理更多的用户访问了.“ • Ron Danielson, CIO at Santa Clara University

  13. Alteon AD 案例分析:为在线教学网站加速 > 可扩展性 安全性 灵活性 管理 速度 • 韩国某大学 • 提供在线多媒体学习网站 • 问题 • 非常缓慢 • 网站中包含大量的多媒体信息,如Powerpoint,Excel,Video,Word等文档,是缓慢的主要原因 • 一些应用是时间敏感的(比如考试) • 已经有Alteon的负载均衡器 • 但不能减轻服务器的负载

  14. 校园网核心所面临的问题 • 协议结构:二层为主,三层路由为辅 • 生成树协议的非智能特性 •   生成树协议的不稳定性 •   生成树协议的互通性(不同vendor的SPT之间互通问题) • 核心设备: • 路由器 vs. 三层交换机 • 观念: • VLAN做为安全隔离手段? • 不同校区的同一部门需要在同一个VLAN?

  15. 交换式校园网网络拓朴图 路由域 交换域 核心层 汇聚层 接入层 VLAN 1 VLAN 2 VLAN 1 VLAN 2

  16. 路由式校园网网络拓朴图 高端路由器 核心层 路由域 汇聚层 接入层 交换域 交换域 交换域 交换域 交换域

  17. 路由 Routing 转发 Forwarding 路由拓扑 转发 服务 业务 三层交换机 vs. 路由器 ---安全 !!! !!! !!! 高端三层交换机 高端路由器

  18. 保护最脆弱的环节:对路由引擎进行保护 Memory RE 路由引擎 Internal Bandwidth 路由引擎保护 (filter on loopback) WAN/ LAN Ports 转发引擎

  19. 三层交换机 vs. 路由器 ---流量模型 路由器的GE端口缓存: 150M, 可缓存144ms数据 交换机的GE端口缓存: 6M, 可缓存6ms数据 丢包!

  20. 谢谢! http://www.juniper.net

More Related