领航高性能校园网-构建高效,安全,可控,分层的校园网

1、领航高性能校园网 -高效.分层.平安.可控Juniper Networks2007/11/4Agenda校园网开展趋势高性能校园网现状概述高校信息化的深化开展，无纸化办公的普及，使得网络成为任务生活不可分割的一部分互联网在提供了海量信息资源的同时，催生了各种运用系统，占据了大量的网络带宽伴随着互联网的迅速开展，各种蠕虫，攻击，木马恶意软件等等涉及网络平安的事情愈发的突出IPv6在国内高校的开展相比欧美和日本相对缓慢今后的开展方向中心网晋级校园网整体平安IPv6网络逐渐部署各种数据中心，网络资源的整合Agenda校园网开展趋势高性能校园网高效的网络构造Copyright 2007 Juniper

2、 Networks, Inc. Proprietary and Confidential6当前校园网构造会聚层接入层中心层典型的三层构造中心+会聚+接入中心和会聚采用三层交换机接入采用二层交换机今后校园网构造网络层次简约两层网络构造中心层接入层接入层分校区中心层分校区校区间互联扁平化网络构造利旧利旧中心层接入层接入层接入层接入层高效的网络构造高效的网络构造网络构造扁平化减少物理和逻辑级联级数，提供更加快速的数据通道扩展中心节点紧缩掉会聚节点接入直接面向中心，从而构成扁平化的网络构造扁平化的前提中心设备需求高性能和大容量高密度以太网口用以直接下挂大量的二层设备Juniper专门优化的纯以太网中心

3、路由器满足校园网扁平化构造MX系列运营商级以太网中心路由器MX系列三个型号MX960MX480MX240MX960转发引擎和板卡交换矩阵路由引擎线缆管理托架风扇冷却系统风扇冷却系统控制指示面板空气进入部分MX480MX240MX960/480/240-高性能和大容量互联网运用的层出不穷，高校数字化的不断深化，校园网流量的迅猛增长包转发才干1200/600/300Mpps包转发才干交换才干960/480/240Gbps吞吐才干MX960/480/240-接口密度树立了业界新标杆高密度每板卡40GE每板卡4个10GE整机接口整机480/240/120个全线速GE接口整机48/24/12个全线速10

4、GE接口分层的业务网络Copyright 2007 Juniper Networks, Inc. Proprietary and Confidential18多业务混载，职能网络没有分别校园网现状教师办公OA网和学生网混杂运用添加单一物理网络的不平安性很多高校有分校区和主校区互联尤其分校区和主校区的财务等部门互联一卡通单独的公用网络添加运转维护本钱分层网络-业务平面分别教师办公OA网和学生网从管理和运转维护角度,应该将二者分别财务网络平安,独立的网络和分校区财务部门互联,提高效率一卡通网络平安,独立的网络降低运转维护本钱如何做到?Juniper逻辑路由器构建N平面网络逻辑路由器单台路由器可以划

5、分出15台逻辑路由器和1台主路由器，路由器上的接口可以恣意划分到恣意的路由器中每个逻辑路由器都有本人的单独的路由表和转发表都运用ASICs来转发报文，因此这16台路由器接口都是线速转发主路由器逻辑路由器主路由器 学生网:LR#0 教师网:LR#1一卡通网:LR#2财务专网:LR#3V6实验网:LR#4。:LR#5主路由器学生网:LR#0 教师网:LR#1一卡通网:LR#2财务专网:LR#3V6实验网:LR#4。:LR#5N平面网络L2SW业务网络分层各业务网络之间完全隔离,在需求互通的业务网络之间配置严厉的控制战略单一物理网络承载多业务良好的网络扩展性,极大的节省投资本钱实施部署简单,节省运转

6、维护本钱主路由器学生网:LR#0 教师网:LR#1一卡通网:LR#2财务专网:LR#3V6实验网:LR#4。:LR#5VLAN#600VLAN#500VLAN#400VLAN#300VLAN#13VLAN#12VLAN#11VLAN#10VLAN#600VLAN#500VLAN#400VLAN#300VLAN#13VLAN#12VLAN#11VLAN#10L2SW学生用户教师用户全部用户财务人员MX中心节点MX中心节点MX中心节点科研人员。终端到中心的平安处理方案Copyright 2007 Juniper Networks, Inc. Proprietary and Confidential

7、23校园网平安概述影响网络平安的要素设备尤其是中心设备本身的平安性,以及设备抗压力/攻击的才干用户终端的平安性用户滥用行为各种网络资源的限制和授权访问路由器平安之道模块化,成熟的JUNOS系统意味着很少的bug控制和转发分别路由平台在面临大流量的情况下，依然可以坚持路由平台的稳定控制平面和转发平面之间内置防火墙进展过滤基于ASIC的数据包过滤/速率限制/采样等功能保证路由器的平安和城域网的平安经过ASIC执行平安控制功能，使得路由器在获得丰富功能的同时，性能不打折扣从用户终端和用户行为方面处理平安问题平安的网络接入网络的用户终端系统应该是无破绽的接入网络的用户终端应该是干净的用户网络行为应该是

8、规范的授权访问各种网络资源Juniper 一致接入控制(UAC)处理方案Unified Access Control SolutionInfranet Agent (IA)全面的企业整合AAA 认证效力器Enforcers FirewallsIDPDXSwitchesInfranet Controller (IC)基于用户标识，网络标识和端点评价的全面的战略执行IA 维护认证过的客户端免受恶意的不平安的客户端的侵袭。主机平安检查个人防火墙/IPSEC VPN引擎MS Windows 单点登陆Mac 和Linux 无客户端的执行用户认证 (运用已有的 AAA 系统)决议用户的访问权限在Infra

9、net Enforcer为端点提供访问集中的战略管理，将平安战略加载到端口和执行点集成的修复方案灵敏的流量控制Copyright 2007 Juniper Networks, Inc. Proprietary and Confidential28校园网可控性良好网络控制表达在两个方面网络控制点的选择用户流量的控制控制点当前三层网络构造接入层接入层设备，品牌相对较多，该层面设备功能单一，控制功能有限，而且设备数量非常庞大，实施困难会聚层中心层会聚和中心层的设备，业务控制才干相对较强，但是就目前校园网的实践情况来看，各种控制功能不尽如人意控制点扁平化的二层网络构造接入层该层同样存在如前所述的问题，

10、品牌相对较多，该层面设备功能单一，控制功能有限，而且设备数量非常庞大，实施困难中心层作为整个网络的控制层，设备数量少，实施简易中心设备的控制才干非常强，完全可以严厉控制网络的才干由于从接入层直接到中心层之间经过的设备，都是起用二层功能，经过802.1q VLAN直接终结到中心路由器，因此子接口做为这些VLAN的默许网关中心层接入层接入层接入层接入层控制点的选择网络控制点流量控制校园网流量现状绝大部分流量是学生运用产生极小部分流量是其他用户产生学生大量运用各种P2P运用，耗费了大量的校园网中心带宽和校园网有限的出口带宽因此校园网流量管理的关键，是对学生流量的管理流量细分化管理在中心路由器上对每用户进展相对精细的流量监管和控制基于运用类型http/voip等进展分类对于每个运用流量