Copyright©2004JuniperNetworks,Inc.ProprietaryandConfidential安全可控边界、稳定可靠核心-Juniper校园网解决方案王涛twang@juniper.net2Copyright©2004JuniperNetworks,Inc.ProprietaryandConfidential校园网特点---过去地域:校园相对集中,校园网的规模相对小。应用:比较简单,基本上都是基于IPv4QoS:基本上没有服务质量(QoS)的保证安全:安全保证机制少管理:简单结构:交换方式协议:二层SpaningTree协议为主,三层路由协议为辅;三层、两层协议混用3Copyright©2004JuniperNetworks,Inc.ProprietaryandConfidential校园网特点---现在地域:高校合并、新校区扩建应用:网上游戏、网上视频、BT/emule、学术研究…QoS:不同应用需要不同的时延、带宽安全:病毒频繁爆发、工具软件、学生特点…由IPv4向IPv6进行逐步过渡4Copyright©2004JuniperNetworks,Inc.ProprietaryandConfidential©2004JuniperNetworks,Inc.ProprietaryandConfidential校园网边界几大需求•访问控制(ACL)•策略路由•地址转换-NAT•用户管理•带宽优化安全可控6Copyright©2004JuniperNetworks,Inc.ProprietaryandConfidential校园网典型出口应用图(一)SSLVPNSA3000/1000twang@a---Cernet,1M带宽,不记费twang@b---电信网,2M带宽,收费twang@c---Cernet出国,512K,收费J-Flow(兼容Netflow)1.对用户流量进行统计2.可以针对不同目的地址进行计费,出国收费。不出国不收费7Copyright©2004JuniperNetworks,Inc.ProprietaryandConfidential***@a国内用户,***代表已经拥有的帐号名;***@c教工国际包月用户,***代表已经拥有的帐号名;***@d学生国际包月用户,***代表已经拥有的帐号名。8Copyright©2004JuniperNetworks,Inc.ProprietaryandConfidential校园网典型出口应用图(二)SSLVPNSA3000/1000若ERX坏,则不进行计费管理,仅考虑路由出来。若电信线路断路,则走Cernet线路若Cernet线路断路,则走电信线路。策略路由:某些网段、或某些数据包(如语音等)不进行计费其它的全部转发到ERX不同的L2TP拨号用户得到不同的地址段,根据该地址段进行策略路由可根据IP包头中的任意字段进行策略路由9Copyright©2004JuniperNetworks,Inc.ProprietaryandConfidential校园网典型出口应用图(三)SSLVPNSA3000/10001.基于策略的NAT2.基于ASIC,大小包情况下性能一致,有效抵御DOS攻击3.状态防火墙下的策略,和ACL相比,具备更好的安全性能!4.可通过硬件的IPS板卡,基于策略的对流量进行7层的硬件防护。最大性能2Gbps.UNIVERSITYUNIVERSITY分部IPSEC一卡通财务。。。SSL老师:教学资源、办公资源…学生:web资源、图书馆资源、网管:网管资料库、设备的带外管理区域………可以进行文件级管理!10Copyright©2004JuniperNetworks,Inc.ProprietaryandConfidential防火墙:性能vs安全安全不以牺牲性能为代价可扩展的专用安全SecurityModuel模块(基于ASIC的应用层入侵防御,网关查毒解决方案)3600+种攻击手法检测,100多种应用协议、应用层攻击检测吞吐量2G+真正可用的宽带网络多功能集成安全网关Netscreen的技术领先体现I/OPortModuleI/OPortModuleI/OPortModuleI/OPortModuleAllFlowsIDPFlowIDPFlowFirstPacket,IKE,IDP,etcManagementModuleASICModuleI/OPortModuleI/OPortModuleI/OPortModuleSecurityModuleSecurityModuleSecurityModule11Copyright©2004JuniperNetworks,Inc.ProprietaryandConfidential反向代理,检测任何http的请求包,最大程度保证web安全2.访问速度提高50%,用户接入能力200%3.非常适合远程教学服务器群IPS/IPS+FW1.基于策略的IPS过滤2.当设备故障时,则直通。3.最大程度检测攻击,进行控制(P2P/MSN…)4.主动防护12Copyright©2004JuniperNetworks,Inc.ProprietaryandConfidential案例分析:为SantaClara大学提高PeopleSoft8的处理能力SantaClara大学•对PeopleSoft学生管理系统使用猛增,并且校园门户网站的性能下降,对局域网和广域网带宽造成负担直接的好处•服务器能力提高300%•带宽占用减少48%•访问速度提高44%“以前每个学期的注册时都导致我们的应用几乎停顿.JuniperDX的加速使得即使在最大负荷时都运行正常。现在我们可以在不增加新的软件或硬件的情况下处理更多的用户访问了.“RonDanielson,CIOatSantaClaraUniversity速度可扩展性安全性灵活性管理13Copyright©2004JuniperNetworks,Inc.ProprietaryandConfidential案例分析:为在线教学网站加速韩国某大学•提供在线多媒体学习网站问题•非常缓慢•网站中包含大量的多媒体信息,如Powerpoint,Excel,Video,Word等文档,是缓慢的主要原因•一些应用是时间敏感的(比如考试)•已经有Alteon的负载均衡器–但不能减轻服务器的负载速度可扩展性安全性灵活性管理AlteonAD14Copyright©2004JuniperNetworks,Inc.ProprietaryandConfidential校园网核心所面临的问题•协议结构:二层为主,三层路由为辅生成树协议的非智能特性生成树协议的不稳定性生成树协议的互通性(不同vendor的SPT之间互通问题)•核心设备:路由器vs.三层交换机•观念:VLAN做为安全隔离手段?不同校区的同一部门需要在同一个VLAN?15Copyright©2004JuniperNetworks,Inc.ProprietaryandConfidential©2004JuniperNetworks,Inc.ProprietaryandConfidential©2004JuniperNetworks,Inc.ProprietaryandConfidential路由器---安全转发路由拓扑服务高端三层交换机高端路由器Forwarding转发Routing路由业务!!!!!!!!!18Copyright©2004JuniperNetworks,Inc.ProprietaryandConfidential保护最脆弱的环节:对路由引擎进行保护InternalBandwidth转发引擎WAN/LANPorts路由引擎REMemory路由引擎保护(filteronloopback)19Copyright©2004JuniperNetworks,Inc.ProprietaryandConfidential路由器---流量模型路由器的GE端口缓存:150M,可缓存144ms数据交换机的GE端口缓存:6M,可缓存6ms数据丢包!Copyright©2004JuniperNetworks,Inc.ProprietaryandConfidential谢谢!