大学校园网汇报

西南石油大学校园网汇报材料迈普通信概况1234

提纲定制化解决方案迈普与教育最佳成功案例西南石油大学成都校区规划总用地2048亩，其中已建成投入使用的一期工程合845亩，扩建工程合1203亩。学校实际接入计算机上10000台，一期网络设备已经部署Cisco、华为、锐捷等厂商设备，即将启动二期校园网建设。校园网现状系统标准化和兼容性原则二期校园网建设时，网络技术选择、业务部署都必须保证和一期兼容；高可靠性设计二期校园网必须保证稳定可靠，同时二期网络可作为一期的灾备。高带宽设计一期和二期核心交换机采用万兆互联，要求实现链路冗余和链路负载均衡。高安全设计二期校园网必须兼容一期认证计费系统，同时要实现从核心、汇聚、接入多层次安全防护，包括防DDOS、防ARP、防病毒等攻击。校园网出口设计为了避免一期校园网单一出口存在的单点故障，二期校园网需要建设一个校园网出口，同时二期出口和一期出口互为备份。统一网管设计为了方便校园网的后期维护和管理，二期校园网的设备要求实现统一网管。二期校园网需求校园网总体方案骨干网设计骨干网网络设计网络和路由设计二期校园网核心层采用两台电信级核心交换机MPS8900，与一期现有核心交换机采用万兆互联，构成整个校园网万兆核心网。在二期汇聚层采用S6800通过双归属上行核心交换机。核心层和汇聚层都采用OSPF路由协议。骨干网可靠性设计网络可靠性主要包括网络架构可靠性、设备可靠性两个方面。一、网络架构可靠性网络链路冗余网络故障快速切换二、设备可靠性设备硬件冗余设备软件可靠性设备自身抗攻击性骨干网可靠性设计一、网络架构可靠性网络链路冗余万兆核心网采用OSPF协议和ECMP（等值路由）实现链路备份和负载均衡；骨干网可靠性设计一、网络架构可靠性网络故障快速切换在校园网核心层和汇聚层启用BFD（BidirectionalForwardingDetection,双向转发检测），实现50毫秒级的链路故障检测，并与上层OSPF路由协议联动，实现三层路由的快速收敛，缩短故障的切换时间。传输设备核心交换机ABFD切换时间小于50ms故障传输设备核心交换机BBFD是一套扩展很好的公共链路检测机制，用于快速检测、监控网络中链路、虚链路的连通状况。BFD技术和硬件OAM技术相结合，可以在大数据流状态下实现50ms快速切换；BFD可以与静态路由、RIP、

OSPF、IS-IS、BGP、MPLS-LSP、VRRP等相关联，实现50ms以内的状态切换二、设备可靠性设备硬件冗余

新一代的电信级核心交换机真正采用全冗余设计，尤其是采用主控和交换分离设计，交换引擎没有集成在主控板上，而是采用独立的数据转发架构，真正实现了控制平面和数据转发平面的物理分离，减少了控制平面对于数据转发平面的影响，避免主控板故障倒换时影响到数据交换业务，真正实现“0”丢包、“0”断网。骨干网可靠性设计双主控引擎双交换引擎电信级交换机-S8900/S6800二、设备可靠性设备软件可靠性

核心交换机软件要求采用模块化设计，支持热补丁、NSF（不间断转发）、GR（优雅重启）等高可靠功能。骨干网可靠性设计热补丁技术——不复位设备的前提下，在线修改软件BUG或增加新特性；用户能方便的加载/激活/去激活/运行/删除补丁单元。二、设备可靠性设备自身安全性

核心交换机作为网络核心，必须具备CPU保护机制、强大的ACL、抗DDOS攻击、多级安全登录认证等功能，以保证核心交换机的稳定运行。骨干网可靠性设计S8900和S6800支持独创的多核多级多层的CPU保护机制，该保护机制采用检测-排序-分类-过滤的处理技术，首先在业务板卡上检测丢弃非法报文，并对需要主控卡处理的报文排序；在主控卡上对报文分类设定优先级和流量限制，优先处理链路控制、路由控制数据等高优先级的报文，从而避免对CPU的冲击，维护网络的稳定。多核多级多层CPU保护机制接入网设计对于接入端口数量在400-500个左右的教学楼，可直接将接入桌面的二层交换机（24/48端口）通过千兆光纤汇聚到三层汇聚交换机S6800。20栋和21栋学生公寓接入端口数量庞大，其中20栋6层楼每层要接入521个端口，21栋6层楼每层要接入600个端口。建议学生公寓的每层楼部署一台楼层汇聚交换机S4100/4200，通过千兆电/光汇聚楼层接入交换机。楼层汇聚交换机通过多条千兆光纤（链路聚合）和汇聚交换机S6800互联。校园网出口设计二期设计新的校园网出口。部署新的防火墙、流控设备实现与一期校园网出口互为备份；防火墙和核心交换机之间启用KeepAlive机制探测对端设备状态，通过浮动路由实现链路故障切换；网络安全设计校园网面临的安全风险主要是非法终端接入、网络病毒攻击以及恶意用户攻击等几个方面，我们建议采用分层次的一体化安全机制。攻击防护深度检测访问控制加密传输接入认证用户管理行为审计应用控制接入控制解决方案安全防护解决方案流量分析解决方案接入端点安全防护核心网络安全加固核心网络数据检测迈普技术解决方案流量分析应用分析日志管理带宽管理接入控制解决方案接入认证用户管理行为审计应用控制网络安全设计一、接入控制解决方案网络安全设计安全管理区系统补丁服务器防病毒服务器MyPowerS4100F认证服务器MyPowerS6800MyPowerS4100F汇聚交换机网络出口MyPowerS3200千兆接入交换机GE迈普接入交换机接入用户GE非法用户对不起，你不能通过认证合法用户欢迎使用网络！迈普接入交换机802.1X认证一、接入控制解决方案——接入认证网络安全设计一、接入控制解决方案——安全检测安全管理区系统补丁服务器防病毒服务器MyPowerS4100F认证服务器MyPowerS6800迈普汇聚交换机网络出口MyPowerS3200千兆接入交换机GE迈普接入交换机接入用户GE非健康用户：未安装杀毒软件或未更新病毒库；未安装系统补丁程序等健康用户：安装杀毒软件已更新病毒库；已安装系统补丁程序迈普接入交换机对不起，你不能通过安全认证，只能够访问安全管理区，进行补丁升级欢迎使用网络！802.1X认证网络安全设计一、接入控制解决方案——ARP攻击防御监控方式

1、DHCPSnooping2、ARP报文限速3、兼容性最好认证方式

1、802.1x扩展2、客户端静态绑定3、存在兼容性风险安全管理区系统补丁服务器行为分析服务器MyPowerS4100F认证服务器MyPoweS6800MyPowerS4100F汇聚交换机网络出口MyPowerS3200千兆接入交换机GE迈普接入交换机GE用户上网行为记录，文件拷贝和访问管理迈普接入交换机访问外网记录统计统一的行为分析，对文件的管理接入用户网络安全设计一、接入控制解决方案——用户行为审计多功能用户管理名录网络安全设计一、接入控制解决方案——用户管理一、接入控制解决方案——接入兼容性方案标准802.1X认证解决方案---汇聚终结标准802.1X认证解决方案---边缘终结网络安全设计我要安装一些软件，游戏、聊天、视频，警告！禁止安装软件，如有需要请和管理员联系严格控制终端应用一、接入控制解决方案——应用控制网络安全设计流量分析解决方案流量分析应用分析日志管理带宽管理二、流量分析解决方案网络安全设计应用程序占用带宽排名在线IP和会话数统计在线IP和会话数统计流量统计、分析数据二、流量分析解决方案——流量分析网络安全设计日志记录日志信息二、流量分析解决方案——日志管理网络安全设计智能识别、精细控制3000+协议识别定期特征码更新加密数据总带宽控制每IP/协议带宽控制应用分析、识别技术：限制BT、QQ、MSN等非法软件使用保障工作类软件的服务质量（带宽）将宝贵的带宽资源应用在工作上，保证工作效率清晰了解网络上各种应用的使用网络的情况协议控制识别二、流量分析解决方案——应用分析网络安全设计

没有管理可视管理基于应用的带宽管理二、流量分析解决方案——带宽管理网络安全设计安全防护解决方案攻击防护深度检测访问控制加密传输三、安全防护方案网络安全设计信息窃取DoS攻击木马/间谍软件蠕虫病毒完善安全机制全面防御DoS攻击关键服务器保护数据包过滤连接状态检测深度内容检测动态端口侦测SYN/SYNflood代理LandAttack/ArpSpoof//IPFragmentAttack等攻击防护基于源/目的协议速率限制SYNFlood攻击防护切断网络世界中的安全威胁各种攻击一网打尽三、安全防护方案——攻击防护网络安全设计报文检测状态匹配链路层网络层传输层数据检测MAC地址检测IP地址检测服务类型检测数据内容符合攻击特征的数据丢弃，并且在一段时间内拒绝接收相同类型的报文。正常报文，重新转发。有效防护注入式攻击三、安全防护方案——深度检测网络安全设计Internet外网DMZ区防火墙内网服务器接入区内网接入区IDSIPS流量控制防火墙路由器日志服务器入侵防御IPS：防御外网的攻击深层次报文检测日志查询病毒/木马防护路由器：策略路由、动态负载高性能的NAT转发防DDos攻击具备入侵检测防护Internet流量控制：流量分析应用控制带宽管理QOS服务质量用户行为审计防火墙：区域控制状态检测攻击防护入侵检测IDS：病毒检测网络攻击检测异常行为报警四、迈普整体安全解决方案——出口网络解决方案网络安全设计核心网络内网服务器区认证系统认证终端认证终端IDS管理中心智能网管系统流量分析计费系统智能网管：网管平台联动策略下发日志汇总审计网络性能评估网络优化流量分析：流量分析汇总协议分析汇总应用分析汇总突发流量报警入侵检测：网络攻击检测病毒/木马特征检测异常流量报警日志报表审计认证计费系统：用户认证审计权限下发用户管理IP＋MAC自动绑定时间/流量计费用户行为检测智能联动：主动安全防御智能安全检测四、迈普整体安全解决方案——内网安全防护解决方案网络安全设计统一网管全面的基础资源管理灵活方便的拓扑功能智能的告警管理方便易用的性能管理智能化的配置和软件管理网络兼容性二期校园网采用通用组网技术和标准协议；骨干层采用OSPF+BFD，汇聚层OSPF+BFD，接入层采用二层VLAN；ARP防御采用DHCPSNOOPING技术；业务兼容性接入认证采用802.1X标准协议；统一网管采用SNMP协议；校园网兼容性迈普推出融合通信系统（UC），集成视频、语音、数据（即时消息等）于一体。能够为西南石油大学提供全新的校园应用。校