普教城域网篇

H3C普教城域网解决方案日期：201103第一章城域网安全第二章无线统一采购第三章骨干网改造第四章VPN管理目录城域网出口安全案例：厦门翔安区S7503E中学小学S9505ES7503ECERNETCERNET2INTERNET教育城域网平台RRPP环网中学小学S7503E中心小学小学出口认证网关SR6602出口集成安全网关：S7510E+ACG插卡+FW插卡+IPS插卡城域网出口S7503E产品实现功能FWL2-L4的安全，区分内外网，抵御DDoS等就像家有个门，谁家不需要门呢？IPSL4-L7的安全，针对服务器、网站的保护，抵御蠕虫病毒等深度安全，自古以来，凡是有门的园区都有保安吧，这就是深度安全。ACG限制P2P，提升上网速度；记录上网行为，包括URL，满足82号令SSLVPN在家、酒店也能访问内网使用方式简单，类似于打开网页认证合法用户才能访问城域网资源为什么要做安全改造城域网边界安全案例：南宁教育局ISP线路某市重点中学普通中/小学教育城域网普通中/小学普通中/小学普通中/小学普通中/小学普通中/小学普通中/小学………………教育局一次性集采：30台千兆防火墙、1台万兆防火墙特点：校园网与城域网实现跨广域网的安全互联对于有单独出口的校园网，依然实现完善的安全防护教育局学校普教城域网电信/网通非法报文一般学校为了方便，会自己拉一个上网出口，但这样，就会将Internet上的安全威胁通过学校传到城域网，进而导致整个城域网无法使用。解决办法：在每个学校出口放一台UTM或者F1000为什么需要做边界安全SecCenter学校SecPath防火墙学校IPSecVPNIPSec+GREVPN移动用户BIMSSSLVPN学校IPSecVPN教育城域网区域信息中心InternetVPNManagerSecPath防火墙MSR路由器安全管理平台方案描述SecPath系列防火墙/UTM/MSR路由器：使学校安全接入城域网信息中心或作为专线接入方式的备份；SecCenter

：实现全网安全统一管理SSLVPN：实现教师出差、学生在家方便接入网络，并按照不同用户设置不同权限BIMS/VPNManager：实现全网VPN部署和监控。1、教育城域网移动用户的安全接入安全管理平台SecCenterSecPath防火墙/IPS路由器学校方案描述通过防火墙/UTM的2-4层包过滤、状态检测等技术实现教育城域网各模块间的边界隔离通过IPS提供的4-7层安全防护，实现对进入教育网核心的深度防护SecCenter：对部署的防火墙、IPS以及其他不同厂商的产品进行统一安全管理。CERNET学校SecPath防火墙/UTMSecPath防火墙/IPSRPR/RRPPSecPath防火墙/UTM2、边界安全和出口安全方案描述通过ACG（应用控制网关）实现对P2P应用进行精确识别和控制；通过ACG实现对IM、网络游戏、炒股、非法网站访问等行为进行识别和控制；通过SECBLADE板卡实现对所有教育城域网用户的分布式控制和管理；SecCenter：对ACG上报的安全事件进行深入分析并输出审计报告GES9500/S7500ESecBladeACG万兆汇聚业务控制接入学校学校GEINTERNET出口路由器SecPath防火墙、ACG、IPSRPR/RRPP3、上网用户的行为监管第一章城域网安全第二章无线统一采购第三章骨干网改造第四章VPN管理目录9台S7500E核心交换机

9台WX3024有线、无线一体化交换机

9套iMC智能管理中心

330台WA2210-AG智能无线接入设备WX3024无线控制器WA2210-AGH3C的优势：1、WX3024集认证、鉴权、管理、安全、POE与一体！2、无线网络可平滑升级到802.11n组网！3、iMC智能管理中心极大的方便的无线网络的部署、管理和维护！4、有线网络与无线网络充分集成、智能融合！创新设计业内唯一智能接入H3C打造上海长宁区教育精品网，帮助九所中学建立有线、无线一体化校园网！无线统一采购案例：上海长宁区9所中学瘦AP方案，也就是AC+AP。原因很简单，AP是悬挂在墙壁、屋顶、楼顶等地方，不可能随时都可以配置管理，需要用AC对所有AP进行统一配置、管理。InternetInternetAPAPAPAPAPAPAC传统FatAP架构H3CFitAP架构配置维护困难不支持3层漫游IP地址需要扩容安全性差不支持负载均衡无法自动调节射频配置维护困难不支持3层漫游IP地址需要扩容安全性差不支持负载均衡无法自动调节射频零配置、自动升级支持3层漫游两种转发模式支持WIDS支持负载均衡自动调节射频无线方案AC是整个方案的核心。跟核心最贴近的特点就是可靠，H3C的AC支持1+1热冗余，毫秒级别切换。APAPAPAPAP接入/汇聚层网络心跳线主AC备AC主CAPWAP隧道备CAPWAP隧道无线方案Controller内置无线控制器模块，可管理48个AP内置WEB管理、本地RadiusServer、PortalServer和DHCPServer处理器性能强劲，支持IEEE802.11n的高速处理，24口POE+供电24个10/100/1000交换机4个千兆SPF接口万兆上行AC选择：普教量身定制的AC无线方案接入用户数+600%高带宽，接入速度从54M到300M，提升到6倍密接入，接入用户数量提升到2倍802.11n是WLAN领域的趋势易兼容，可同时接入以前的802.11abg用户，旧电脑无需升级速度54M300MAP选择：802.11n是主流，是趋势无线方案AAA核心/汇聚层交换机NMS无线控制器接入层交换机FATAPFATAPFATAPFATAPFATAPFATAPFATAPFATAPFITAPFITAPFITAPFITAPFITAPFITAPFITAPFITAP先“胖”后“瘦”购买FIT/FAT双模AP来保护原有投资统一操作系统平台，实现平滑升级网络建设初期使AP工作于FAT模式，满足小规模组网需求网络建设后期使AP工作于FIT模式，并添加无线控制器，满足大规模组网需求无线方案供电选择：直接用插线板显然不靠谱，用POE供电盒你会发现弱电间到处都是，线都理不清楚，完全无法管理。POE交换机才是首选。利用网线直接给AP供电：施工便捷，无需再单独部署一次电线；使用安全，无需使用插线板，避免漏电、遇水、误碰等安全隐患产生；供电稳定，设备用电与生产用电相隔离，出现停电情况也可保持设备运行；统一管理，并能够远程集中进行供电管理，比如定时开关等；无线方案L2/L3IP网络融合管理PoE交换机AP无线交换机有线、无线需要统一拓扑、融合管理智能PoE交换机：定时供电，定时开关AP一体化管理：有线无线一体化拓扑管理、有线无线用户统一管理、供电智能管理等无线方案WA2600WX3024WA2600…………WX3024WX6103有线无线管理中心教育局学校学校管理需求：教育局部署iMCWSM管理软件，部署无线EAD实现无线接入安全；AC选择：学校选择WX3024无线交换机，教育局选择WX6103做集中备份；AP选择：WA2600系列802.11n系列胖瘦一体化AP，实现室内和室外覆盖；教育城域网H3C无线校园网推荐组网第一章城域网安全第二章无线统一采购第三章骨干网改造第四章VPN管理目录教育局中心青山教育局东河教育局昆区教育局九原教育局石拐教育局固阳教育局土右教育局白云教育局达茂教育局门户网站服务器内网站服务器SecpathT200入侵防御系统SR6600路由器S7500E交换机Secpath1000E防火墙S5500全千兆交换机SecpathT1000S入侵防御系统S7500E交换机S7500E交换机S7500E交换机S7500E交换机S7500E交换机S7500E交换机S7500E交换机S7500E交换机S9500交换机S9500交换机S5500全千兆交换机IP-SAN万兆存储系统IX3000S7500E交换机S7500E交换机IP-SAN万兆存储系统IX3000中小学校中小学校中小学校中小学校中小学校中小学校中小学校中小学校RPRRPR骨干网改造：包头市教育城域网教育局重点中小学核心环网重点中小学重点中小学中小学就近接入中小学就近接入中小学就近接入IRF2IRF2IRF2IRF2简化之后的图是这样的…跨设备链路捆绑…一致的转发表项…统一的管理界面物理上两台设备逻辑上一台设备IRF2特性网络改造要点：IRF223组网方式N秒秒毫秒Gateway=10.153.108.1Gateway=10.153.108.1IP=10.153.108.3/24虚IP=10.153.108.1IP=10.153.108.2/24Gateway=10.153.108.1Gateway=10.153.108.1IP=10.153.108.1/24IP=10.153.108.1/24Gateway=10.153.108.1Gateway=10.153.108.1IRF2虚拟系统IP=10.153.108.1/24VRRPMSTPIRF2收敛时间秒级到毫秒级的切换时间，业务不断！IRF2的好处：收敛快，更可靠使用IRF前，二层启用生成树，VLAN规划复杂；三层启用VRRP，路由规划复杂；每台单独配置，管理复杂使用IRF前VLAN路由路径使用IRF后使用IRF后，二层不需要生成树；三层不需要VRRP；多台设备只需配置一次，让网络更简单配置文件网络管理是典型的牵一发而动全身：增减一台设备带来的拓扑变化会使得整网设备都需要更新配置；规划一个路由或者VLAN会使得多数设备甚至整网设备都需要更新配置；IRF2的好处：简化拓扑主用链路备用链路备用设备主用设备使用IRF后使用IRF后，核心设备和汇聚设备都是负载分担的方式---两台设备当两台用使用IRF后，接入到汇聚以及汇聚到核心的双链路上行都是负载分担方式---两条链路当两条用使用IRF前使用IRF前，核心设备和汇聚设备都是一主一备的方式---两台设备当一台用使用IRF前，无论是接入到汇聚，还是汇聚到核心的双链路上行都是一主一备的方式---两条链路当一条用物尽其用，保护投资！IRF2的好处：性能翻番第一章城域网安全第二章无线统一采购第三章骨干网改造第四章VPN管理目录ISP线路某市重点中学重点中学教育城域网普通中/小学普通中/小学普通中/小学普通中/小学普通中/小学普通中/小学………………学校接入到教育局的方式有多种：裸光纤、专线、VPN一般一个区有80-100所学校接入城域网，但是受限于资金，还是会有一些学校使用VPN接入。VPNVPNVPN裸光纤裸光纤专线专线专线IPScVPN是最常用的VPN连接实现查看IPSecVPN设备拓扑和查看网络域拓扑功能，设备拓扑快照用于查看IVM设备管理中的IPSec设备上的隧