Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›领航高性能校园网---高效.分层.安全.可控JuniperNetworks2007/11/4Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›Agenda校园网发展趋势高性能校园网Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›现状概述高校信息化的深入发展,无纸化办公的普及,使得网络成为工作生活不可分割的一部分互联网在提供了海量信息资源的同时,催生了各种应用系统,占据了大量的网络带宽伴随着互联网的迅速发展,各种蠕虫,攻击,木马恶意软件等等涉及网络安全的事情愈发的突出IPv6在国内高校的发展相比欧美和日本相对缓慢……Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›今后的发展方向核心网升级校园网整体安全IPv6网络逐步部署各种数据中心,网络资源的整合……Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›Agenda校园网发展趋势高性能校园网Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›高效的网络结构Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›当前校园网结构汇聚层接入层核心层典型的三层结构•核心+汇聚+接入核心和汇聚采用三层交换机接入采用二层交换机Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›今后校园网结构网络层次简洁•两层网络结构•核心层•接入层Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›接入层分校区核心层分校区校区间互联扁平化网络结构利旧利旧Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›核心层接入层接入层接入层接入层高效的网络结构Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›高效的网络结构网络结构扁平化•减少物理和逻辑级联级数,提供更加快速的数据通道•扩展核心节点•压缩掉汇聚节点•接入直接面向核心,从而形成扁平化的网络结构扁平化的前提•核心设备需要高性能和大容量•高密度以太网口用以直接下挂大量的二层设备Juniper专门优化的纯以太网核心路由器满足校园网扁平化结构Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›MX系列运营商级以太网核心路由器MX系列三个型号•MX960•MX480•MX240Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›MX960转发引擎和板卡交换矩阵路由引擎线缆管理托架风扇冷却系统风扇冷却系统控制指示面板空气进入部分Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›MX480Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›MX240Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›MX960/480/240---高性能和大容量互联网应用的层出不穷,高校数字化的不断深入,校园网流量的迅猛增长包转发能力•1200/600/300Mpps包转发能力交换能力•960/480/240Gbps吞吐能力Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›MX960/480/240---接口密度树立了业界新标杆高密度•每板卡40GE•每板卡4个10GE整机接口•整机480/240/120个全线速GE接口•整机48/24/12个全线速10GE接口Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›分层的业务网络Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›多业务混载,职能网络没有分离校园网现状•教师办公OA网和学生网混杂使用•增加单一物理网络的不安全性•很多高校有分校区•和主校区互联•尤其分校区和主校区的财务等部门互联•……•一卡通单独的专用网络•增加运行维护成本Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›分层网络-业务平面分离教师办公OA网和学生网•从管理和运行维护角度,应该将二者分离财务网络•安全,独立的网络•和分校区财务部门互联,提高效率一卡通网络•安全,独立的网络•降低运行维护成本……如何做到?•Juniper逻辑路由器构建N平面网络Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›逻辑路由器单台路由器可以划分出15台逻辑路由器和1台主路由器,路由器上的接口可以任意划分到任意的路由器中每个逻辑路由器都有自己的单独的路由表和转发表都使用ASICs来转发报文,因此这16台路由器接口都是线速转发主路由器逻辑路由器Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›主路由器学生网:LR#0教师网:LR#1一卡通网:LR#2财务专网:LR#3V6实验网:LR#4。。。:LR#5主路由器学生网:LR#0教师网:LR#1一卡通网:LR#2财务专网:LR#3V6实验网:LR#4。。。:LR#5N平面网络L2SW业务网络分层•各业务网络之间完全隔离,在需要互通的业务网络之间配置严格的控制策略•单一物理网络承载多业务•良好的网络扩展性,极大的节省投资成本•实施部署简单,节省运行维护成本主路由器学生网:LR#0教师网:LR#1一卡通网:LR#2财务专网:LR#3V6实验网:LR#4。。。:LR#5VLAN#600VLAN#500VLAN#400VLAN#300VLAN#13VLAN#12VLAN#11VLAN#10VLAN#600VLAN#500VLAN#400VLAN#300VLAN#13VLAN#12VLAN#11VLAN#10L2SW学生用户教师用户全部用户财务人员MX核心节点MX核心节点MX核心节点科研人员。。。Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›终端到核心的安全解决方案Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›校园网安全概述影响网络安全的因素•设备尤其是核心设备自身的安全性,以及设备抗压力/攻击的能力•用户终端的安全性•用户滥用行为•各种网络资源的限制和授权访问•……Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›路由器安全之道模块化,成熟的JUNOS系统意味着很少的bug控制和转发分离•路由平台在面临大流量的情况下,依然可以保持路由平台的稳定控制平面和转发平面之间内置防火墙进行过滤基于ASIC的数据包过滤/速率限制/采样等功能保证路由器的安全和城域网的安全•通过ASIC执行安全控制功能,使得路由器在获得丰富功能的同时,性能不打折扣Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›从用户终端和用户行为方面解决安全问题安全的网络•接入网络的用户终端系统应该是无漏洞的•接入网络的用户终端应该是干净的•用户网络行为应该是规范的•授权访问各种网络资源•……Juniper统一接入控制(UAC)解决方案Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›UnifiedAccessControlSolutionInfranetAgent(IA)全面的企业整合AAA认证服务器Enforcers–FirewallsIDPDXSwitchesInfranetController(IC)基于用户标识,网络标识和端点评估的全面的策略执行•IA保护认证过的客户端免受恶意的不安全的客户端的侵袭。•主机安全检查•个人防火墙/IPSECVPN引擎•MSWindows单点登陆•Mac和Linux无客户端的执行用户认证(使用已有的AAA系统)决定用户的访问权限在InfranetEnforcer为端点提供访问集中的策略管理,将安全策略加载到端口和执行点集成的修复方案Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›灵活的流量控制Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›校园网可控性良好网络控制体现在两个方面•网络控制点的选择•用户流量的控制Copyright©2007JuniperNetworks,Inc.Proprieta