领航高性能校园网 --- 高效 . 分层 . 安全 . 可控 Juniper Networks 2007/11/4

1. 领航高性能校园网---高效.分层.安全.可控Juniper Networks2007/11/4

2. Agenda • 校园网发展趋势 • 高性能校园网

3. 现状概述 • 高校信息化的深入发展，无纸化办公的普及，使得网络成为工作生活不可分割的一部分 • 互联网在提供了海量信息资源的同时，催生了各种应用系统，占据了大量的网络带宽 • 伴随着互联网的迅速发展，各种蠕虫，攻击，木马恶意软件等等涉及网络安全的事情愈发的突出 • IPv6在国内高校的发展相比欧美和日本相对缓慢 • ……

4. 今后的发展方向 • 核心网升级 • 校园网整体安全 • IPv6网络逐步部署 • 各种数据中心，网络资源的整合 • ……

5. Agenda • 校园网发展趋势 • 高性能校园网

6. 6 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 高效的网络结构

7. 当前校园网结构 • 典型的三层结构 • 核心+汇聚+接入 • 核心和汇聚采用三层交换机 • 接入采用二层交换机 核心层 汇聚层 接入层

8. 今后校园网结构 • 网络层次简洁 • 两层网络结构 • 核心层 • 接入层

9. 扁平化网络结构 接入层 利旧 核心层 利旧 校区间互联 分校区 分校区

10. 高效的网络结构 接入层 接入层 核心层 接入层 接入层

11. 高效的网络结构 • 网络结构扁平化 • 减少物理和逻辑级联级数，提供更加快速的数据通道 • 扩展核心节点 • 压缩掉汇聚节点 • 接入直接面向核心，从而形成扁平化的网络结构 • 扁平化的前提 • 核心设备需要高性能和大容量 • 高密度以太网口用以直接下挂大量的二层设备 • Juniper专门优化的纯以太网核心路由器满足校园网扁平化结构

12. MX系列运营商级以太网核心路由器 • MX系列三个型号 • MX960 • MX480 • MX240

13. MX960 控制指示面板 风扇冷却系统 转发引擎和板卡 交换矩阵 路由引擎 线缆管理托架 风扇冷却系统 空气进入部分

14. MX480

15. MX240

16. MX960/480/240---高性能和大容量 • 互联网应用的层出不穷，高校数字化的不断深入，校园网流量的迅猛增长 • 包转发能力 • 1200/600/300Mpps包转发能力 • 交换能力 • 960/480/240Gbps吞吐能力

17. MX960/480/240---接口密度树立了业界新标杆 • 高密度 • 每板卡40GE • 每板卡4个10GE • 整机接口 • 整机480/240/120个全线速GE接口 • 整机48/24/12个全线速10GE接口

18. 18 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 分层的业务网络

19. 多业务混载，职能网络没有分离 • 校园网现状 • 教师办公OA网和学生网混杂使用 • 增加单一物理网络的不安全性 • 很多高校有分校区 • 和主校区互联 • 尤其分校区和主校区的财务等部门互联 • …… • 一卡通单独的专用网络 • 增加运行维护成本

20. 分层网络-业务平面分离 • 教师办公OA网和学生网 • 从管理和运行维护角度,应该将二者分离 • 财务网络 • 安全,独立的网络 • 和分校区财务部门互联,提高效率 • 一卡通网络 • 安全,独立的网络 • 降低运行维护成本 • …… • 如何做到? • Juniper逻辑路由器构建N平面网络

21. 逻辑路由器 • 单台路由器可以划分出15台逻辑路由器和1台主路由器，路由器上的接口可以任意划分到任意的路由器中 • 每个逻辑路由器都有自己的单独的路由表和转发表 • 都使用ASICs来转发报文，因此这16台路由器接口都是线速转发 逻辑路由器 主路由器

22. VLAN#13 VLAN#13 VLAN#12 VLAN#12 VLAN#11 VLAN#11 VLAN#10 VLAN#10 N平面网络 • 业务网络分层 • 各业务网络之间完全隔离,在需要互通的业务网络之间配置严格的控制策略 • 单一物理网络承载多业务 • 良好的网络扩展性,极大的节省投资成本 • 实施部署简单,节省运行维护成本 。。。:LR#5 。。。:LR#5 。。。:LR#5 。。。 V6实验网:LR#4 V6实验网:LR#4 V6实验网:LR#4 科研人员 财务专网:LR#3 财务专网:LR#3 财务专网:LR#3 VLAN#600 财务人员 VLAN#600 一卡通网:LR#2 VLAN#500 一卡通网:LR#2 一卡通网:LR#2 全部用户 VLAN#500 VLAN#400 VLAN#400 教师网:LR#1 教师网:LR#1 教师网:LR#1 VLAN#300 VLAN#300 教师用户 学生网:LR#0 学生网:LR#0 学生网:LR#0 学生用户 L2SW 主路由器 主路由器 主路由器 L2SW MX核心节点 MX核心节点 MX核心节点

23. 23 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 终端到核心的安全解决方案

24. 校园网安全概述 • 影响网络安全的因素 • 设备尤其是核心设备自身的安全性,以及设备抗压力/攻击的能力 • 用户终端的安全性 • 用户滥用行为 • 各种网络资源的限制和授权访问 • ……

25. 路由器安全之道 • 模块化,成熟的JUNOS系统意味着很少的bug • 控制和转发分离 • 路由平台在面临大流量的情况下，依然可以保持路由平台的稳定 • 控制平面和转发平面之间内置防火墙进行过滤 • 基于ASIC的数据包过滤/速率限制/采样等功能保证路由器的安全和城域网的安全 • 通过ASIC执行安全控制功能，使得路由器在获得丰富功能的同时，性能不打折扣

26. 从用户终端和用户行为方面解决安全问题 • 安全的网络 • 接入网络的用户终端系统应该是无漏洞的 • 接入网络的用户终端应该是干净的 • 用户网络行为应该是规范的 • 授权访问各种网络资源 • …… • Juniper 统一接入控制(UAC)解决方案

27. IA 保护认证过的客户端免受恶意的不安全的客户端的侵袭。 Unified Access Control Solution Infranet Controller (IC) 全面的企业整合 AAA 认证服务器 用户认证 (使用已有的 AAA 系统) 决定用户的访问权限 在Infranet Enforcer为端点提供访问 集中的策略管理，将安全策略加载到端口和执行点 集成的修复方案 基于用户标识，网络标识和端点评估的全面的策略执行 • Infranet Agent (IA) • 主机安全检查 • 个人防火墙/IPSEC VPN引擎 • MS Windows 单点登陆 • Mac 和Linux 无客户端的执行 Enforcers – Firewalls IDP DX Switches

28. 28 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 灵活的流量控制

29. 校园网可控性 • 良好网络控制体现在两个方面 • 网络控制点的选择 • 用户流量的控制

30. 控制点 • 当前三层网络结构 • 接入层 • 接入层设备，品牌相对较多，该层面设备功能单一，控制功能有限，而且设备数量非常庞大，实施困难 • 汇聚层 • 核心层 • 汇聚和核心层的设备，业务控制能力相对较强，但是就目前校园网的实际情况来看，各种控制功能不尽如人意

31. 控制点 • 扁平化的二层网络结构 • 接入层 • 该层同样存在如前所述的问题，品牌相对较多，该层面设备功能单一，控制功能有限，而且设备数量非常庞大，实施困难 • 核心层 • 作为整个网络的控制层，设备数量少，实施简易 • 核心设备的控制能力非常强，完全可以严格控制网络的能力 • 由于从接入层直接到核心层之间经过的设备，都是起用二层功能，通过802.1q VLAN直接终结到核心路由器，因此子接口做为这些VLAN的默认网关

32. 控制点的选择 接入层 接入层 网络控制点 核心层 接入层 接入层

33. 流量控制 • 校园网流量现状 • 绝大部分流量是学生使用产生 • 极小部分流量是其他用户产生 • 学生大量使用各种P2P应用，消耗了大量的校园网核心带宽和校园网有限的出口带宽 • 因此校园网流量管理的关键，是对学生流量的管理

34. 流量细分化管理 • 在核心路由器上对每用户进行相对精细的流量监管和控制 • 基于应用类型http/email/voip等进行分类 • 对于每个应用流量进行流量监管 • 对于每个IP地址进行流量监管 • 对出入校园网的流量进行监管控制 • 对于教师用户群体不进行流量监管 • 对于学生用户群体进行流量监管 • 对于每个学生分配一定的带宽资源 • 对校园网互访流量不进行控制

35. 35 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net