大学校园网汇报

西南石油大学校园网汇报材料迈普通信概况1234

提纲定制化解决方案迈普与教育最佳成功案例西南石油大学成都校区规划总用地2048亩，其中已建成投入使用的一期工程合845亩，扩建工程合1203亩。学校实际接入计算机上10000台，一期网络设备已经部署Cisco、华为、锐捷等厂商设备，即将启动二期校园网建设。校园网现状系统标准化和兼容性原则二期校园网建设时，网络技术选择、业务部署都必须保证和一期兼容；高可靠性设计二期校园网必须保证稳定可靠，同时二期网络可作为一期的灾备。高带宽设计一期和二期核心交换机采用万兆互联，要求实现链路冗余和链路负载均衡。高安全设计二期校园网必须兼容一期认证计费系统，同时要实现从核心、汇聚、接入多层次安全防护，包括防DDOS、防ARP、防病毒等攻击。校园网出口设计为了避免一期校园网单一出口存在的单点故障，二期校园网需要建设一个校园网出口，同时二期出口和一期出口互为备份。统一网管设计为了方便校园网的后期维护和管理，二期校园网的设备要求实现统一网管。二期校园网需求校园网总体方案骨干网设计骨干网网络设计网络和路由设计二期校园网核心层采用两台电信级核心交换机MPS8900，与一期现有核心交换机采用万兆互联，构成整个校园网万兆核心网。在二期汇聚层采用S6800通过双归属上行核心交换机。核心层和汇聚层都采用OSPF路由协议。骨干网可靠性设计网络可靠性主要包括网络架构可靠性、设备可靠性两个方面。一、网络架构可靠性网络链路冗余网络故障快速切换二、设备可靠性设备硬件冗余设备软件可靠性设备自身抗攻击性骨干网可靠性设计一、网络架构可靠性网络链路冗余万兆核心网采用OSPF协议和ECMP（等值路由）实现链路备份和负载均衡；骨干网可靠性设计一、网络架构可靠性网络故障快速切换在校园网核心层和汇聚层启用BFD（BidirectionalForwardingDetection,双向转发检测），实现50毫秒级的链路故障检测，并与上层OSPF路由协议联动，实现三层路由的快速收敛，缩短故障的切换时间。传输设备核心交换机ABFD切换时间小于50ms故障传输设备核心交换机BBFD是一套扩展很好的公共链路检测机制，用于快速检测、监控网络中链路、虚链路的连通状况。BFD技术和硬件OAM技术相结合，可以在大数据流状态下实现50ms快速切换；BFD可以与静态路由、RIP、

OSPF、IS-IS、BGP、MPLS-LSP、VRRP等相关联，实现50ms以内的状态切换二、设备可靠性设备硬件冗余

新一代的电信级核心交换机真正采用全冗余设计，尤其是采用主控和交换分离设计，交换引擎没有集成在主控板上，而是采用独立的数据转发架构，真正实现了控制平面和数据转发平面的物理分离，减少了控制平面对于数据转发平面的影响，避免主控板故障倒换时影响到数据交换业务，真正实现“0”丢包、“0”断网。骨干网可靠性设计双主控引擎双交换引擎电信级交换机-S8900/S6800二、设备可靠性设备软件可靠性

核心交换机软件要求采用模块化设计，支持热补丁、NSF（不间断转发）、GR（优雅重启）等高可靠功能。骨干网可靠性设计热补丁技术——不复位设备的前提下，在线修改软件BUG或增加新特性；用户能方便的加载/激活/去激活/运行/删除补丁单元。二、设备可靠性设备自身安全性

核心交换机作为网络核心，必须具备CPU保护机制、强大的ACL、抗DDOS攻击、多级安全登录认证等功能，以保证核心交换机的稳定运行。骨干网可靠性设计S8900和S6800支持独创的多核多级多层的CPU保护机制，该保护机制采用检测-排序-分类-过滤的处理技术，首先在业务板卡上检测丢弃非法报文，并对需要主控卡处理的报文排序；在主控卡上对报文分类设定优先级和流量限制，优先处理链路控制、路由控制数据等高优先级的报文，从而避免对CPU的冲击，维护网络的稳定。多核多级多层CPU保护机制接入网设计对于接入端口数量在400-500个左右的教学楼，可直接将接入桌面的二层交换机（24/48端口）通过千兆光纤汇聚到三层汇聚交换机S6800。20栋和21栋学生公寓接入端口数量庞大，其中20栋6层楼每层要接入521个端口，21栋6层楼每层要接入600个端口。建议学生公寓的每层楼部署一台楼层汇聚交换机S4100/4200，通过千兆电/光汇聚楼层接入交换机。楼层汇聚交换机通过多条千兆光纤（链路聚合）和汇聚交换机S6800互联。校园网出口设计二期设计新的校园网出口。部署新的防火墙、流控设备实现与一期校园网出口互为备份；防火墙和核心交换机之间启用KeepAlive机制探测对端设备状态，通过浮动路由实现链路故障切换；网络安全设计校园网面临的安全风险主要是非法终端接入、网络病毒攻击以及恶意用户攻击等几个方面，我们建议采用分层次的一体化安全机制。攻击防护深度检测访问控制加密传输接入认证用户管理行为审计应用控制接入控制解决方案安全防护解决方案流量分析解决方案接入端点安全防护核心网络安全加固核心网络数据检测迈普技术解决方案流量分析应用分析日志管理带宽管理接入控制解决方案接入认证用户管理行为审计应用控制网络安全设计一、接入控制解决方案网络安全设计安全管理区系统补丁服务器防病毒服务器MyPowerS4100F认证服务器MyPowerS6800MyPowerS4100F汇聚交换机网络出口MyPowerS3200千兆接入交换机GE迈普接入交换机接入用户GE非法用户对不起，你不能通过认证合法用户欢迎使用网络！迈普接入交换机802.1X认证一、接入控制解决方案——接入认证网络安全设计一、接入控制解决方案——安全检测安全管理区系统补丁服务器防病毒服务器MyPowerS4100F认证服务器MyPowerS6800迈普汇聚交换机网络出口MyPowerS3200千兆接入交换机GE迈普接入交换机接入用户GE非健康用户：未安装杀毒软件或未更新病毒库；未安装系统补丁程序等健康用户：安装杀毒软件已更新病毒库；已安装系统补丁程序迈普接入交换机对不起，你不能通过安全认证，只能够访问安全管理区，进行补丁升级欢迎使用网络！802.1X认证网络安全设计一、接入控制解决方案——ARP攻击防御监控方式

1、DHCPSnooping2、ARP报文限速3、兼容性最好认证方式

1、802.1x扩展2、客户端静态绑定3、存在兼容性风险安全管理区系统补丁服务器行为分析服务器MyPowerS4100F认证服务器MyPoweS6800MyPowerS4100F汇聚交换机网络出口MyPowerS3200千兆接入交换机GE迈普接入交换机GE用户上网行为记录，文件拷贝和访问管理迈普接入交换机访问外网记录统计统一的行为分析，对文件的管理接入用户网络安全设计一、接入控制解决方案——用户行为审计多功能用户管理名录网络安全设计一、接入控制解决方案——用户管理一、接入控制解决方案——接入兼容性方案标准802.1X认证解决方案---汇聚终结标准802.1X认证解决方案---边缘终结网络安全设计我要安装一些软件，游戏、聊天、视频，警告！禁止安装软件，如有需要请和管理员联系严格控制终端应用一、接入控制解决方案——应用控制网络安全设计流量分析解决方案流量分析应用分析日志管理带宽管理二、流量分析解决方案网络安全设计应用程序占用带宽排名在线IP和会话数统计在线IP和会话数统计流量统计、分析数据二、流量分析解决方案——流量分析网络安全设计日志记录日志信息二、流量分析解决方案——日志管理网络安全设计智能识别、精细控制3000+协议识别定期特征码更新加密数据总带宽控制每IP/协议带宽控制应用分析、识别技术：限制BT、QQ、MSN等非法软