构建“第三代”全业务教育城域网——H3CIToIP教育城域网解决方案介绍日期:密级:内部公开杭州华三通信技术有限公司教育城域网的演进第三代全业务教育城域网概述基础网络数据中心多媒体应用智能化管理典型样板和案例目录应用·数据·网络——整合基于开放、统一标准的IP通信技术通过对各IT资源的有效整合增强教育城域网服务水平提升教育城域网价值规划的方向:自顶向下建设的方向:自底向上关键词:整合教育城域网建设的关键词:安全、可靠、管理、业务交换型骨干网、以太环网链路、集中式业务、局部附属安全、网元管理以太型教育城域网全业务教育城域网路由型骨干网、RPR环网链路、分布式业务、嵌入式安全、用户管理路由型教育城域网高可靠核心、智能全局安全、高清视讯、IP联网监控、IP统一存储、智能管理中心第一代第二代第三代业务需求决定教育城域网的演进方向“全业务”整合型教育城域网!远程教育、远程监控多媒体教学网上自助学习网络资源共享电视、电话会议平台全业务教育城域网统一存储联网监控高清视讯高清视讯教育城域网的演进第三代全业务教育城域网概述基础网络数据中心多媒体应用智能化管理典型样板和案例目录技术应用全线速、高密度万兆技术应用高可靠核心网IPv6业务支撑NAT-PT技术IPv6隧道技术IPv6权威鉴定IPv6商用经验教育城域网统一IP平台网络出口防御IPS保护网络核心防御数据传送层安全FW保护BT限流控制信令层安全设备管理层安全媒体服务平台校园监控视频监控视频会议视频服务远程教学远程IP电话IP话音服务招生电话集中存储平台多服务器集中存储D2D备份CDP连续数据保护远程灾难备份/恢复WINDWOS保护/恢复丰富的应用识别准实时流量监控智能管理平台拓扑/故障管理SNMP管理网络精细管理流量分析管理多厂商管理软件配置管理二层拓扑技术服务器管理web报表技术专家级分析报表低成本全网监控数据管理安全策略管理媒体管理IToIP“安全可靠的全业务教育城域网”总体架构广域接口防御IPS保护网络核心防御数据传送层安全FW保护BT限流控制信令层安全设备管理层安全高安全保障“全业务”教育城域网解决方案教育城域网的演进第三代全业务教育城域网概述基础网络数据中心多媒体应用智能化管理典型样板和案例目录校园接入网络平台建设需求•教育城域网核心应具备快速故障自愈能力•教育城域网应具备抗路由震荡能力综合安全防御IPv6业务支撑高可靠核心网设计•教育城域网业务可平滑向下一代网络迁移•IPv6迁移兼容现有组网环境•IPv6完全由分布式硬件完成,保护投资•远程安全接入、边界防护、内网安全控制•数据中心保护、行为监管万兆汇聚业务控制接入SR8800SR8800SR8800学校学校学校学校GEGEGECERNET教育网外联区CERNET2SecPathACG2000-MINTERNET出口路由器Internet外联区SecPathT1000IPSSecPathACG2000-M智能业务管理中心IMCSecCenterRPR/RRPPS9500/S7500ESecBladeACGSecBaldeAFC万兆汇聚业务控制接入SePathASESecPathIPS,F路由能力弱,路由条数为256K以下流转发,抗网络动荡能力弱支持队列数目较少简单的拥塞控制算法基于VLAN的用户的控制;支持VPLS等通常只支持GE、FE接口路由型核心——全面提升核心性能支持包采样、记录、跟踪;支持功能强大的DOS攻击检测和SYN攻击检测;支持基于VLAN的用户控制和管理支持三层MPLSVPN;支持二层MPLSVPN;支持L2TP、GRE等IPVPN支持VPLS;支持所有接口类型,包括GE、FE、POS、ATM、RPR、E3、E1等以太型路由型易用性、易管理应用广泛维护简单高性价比以太网分布广泛高扩展性带宽较高的灵活性提供多样服务承载协议丰富RPR技术——高可靠环网解决方案涵盖和扩展了以太网的优点大容量的交换网络;简化的网络拓扑和结构;光纤和端口资源的高效使用;电信级的高可靠保证;完善的QoS保障;对组播的全面支持。以太网RPRRRPP技术收敛速度可达到200ms主节点收敛机制,任一传输节点CPU占用率高不会影响其他节点的收敛速度;该方式成本和RPR、以太环路由收敛方式比有更高性价比RRPP技术——高性价比环网解决方案教育城域网的部分核心业务对网络传输的实时性要求较高。一旦网络断路,对这些核心业务产生较大负面影响。RRPP环网保护技术不仅提升网络可靠性,而且是做到50ms的快速保护,对业务的实时可用性起到了充分保障作用。传统路由收敛、生成树收敛只能做到秒级;而DPT、RPR技术虽然效率极高,但是建设成本过高,RRPP技术对于用户则是无需追加额外成本。特性价值IPv6解决方案覆盖全面,从校园接入到外网出口互联,全分布式转发;支持IPv6无线网支持网络IPv6协议安全防护支持IPv6网络管理;端到端的IPV6业务支撑H3CIPv6系统经过业界最权威的认证,可用性高H3CIPv6系统已经在国内数十所高校及其他CNGI示范行业得到广泛应用H3CIPv6解决方案涵盖用户建设领域最全面特性价值、需要对教育城域网的接入学校和单位进行流量控制和攻击防护;2、需要对教育城域网出口进行统一的流量控制和攻击防护3、需要对学校的上网行为进行集中监控,可对发生的安全事件进行实施审计和控制;4、需要对城域网数据中心进行安全防护,保障数据中心共享资源的服务质量移动用户BIMSSSLVPN学校IPSecVPN内部网InternetVPNManagerSecPath防火墙MSR路由器SecPath防火墙SecPath防火墙安全管理平台H3C远程安全接入解决方案(SRA)方案描述SecPath系列防火墙:实现大型分支、中小型分支/合作伙伴、移动用户不同安全接入需求SecCenter:实现全网安全统一管理BIMS/VPNManager:实现全网VPN部署和监控。边界安全防护最佳方案!方案描述SecPath/SecBlade防火墙:提供2-4层包过滤、状态检测等技术实现边界隔离SecPath/SecBladeIPS:提供4-7层安全防护SecCenter:对部署的防火墙、IPS以及其他不同厂商的产品进行统一安全管理。CERNETH3C边界防护解决方案(NBP)服务器区方案描述终端接入软件EAD:进行身份认证和和终端安全状态评估安全防护设备防火墙/IPS:阻断内网攻击,同时上报安全管理平台,并与之联动安全管理SecCenter/iMC:对网络和安全设备统一管理,并提供整网审计报告H3C内网控制解决方案(INC)H3C内网控制解决方案(INC)流量清洗数据中心保护解决方案(DCP)方案描述SecBladeAFC:彻底清除DDoS攻击SecBlade防火墙/IPS:有效防范2~7层攻击SecPathASE:5~10倍提升服务器响应速度和处理能力SecCenter/iMC:实现服务器、设备的统一安全管理业界应用识别最全面的解决方案!控制台SecCenterSecPathIPSSecPath防火墙交换机数据中心内部网络SecPathACG安全管理平台方案描述SecBlade/SecPathACG:应用控制网关,针对P2P应用进行精确识别和控制;可对IM、网络游戏、炒股、非法网站访问等行为进行识别和控制,提高员工工作效率SecCenter:对ACG上报的安全事件进行深入分析并输出审计报告H3C行为监管解决方案(BSC)教育城域网的演进第三代全业务教育城域网概述基础网络数据中心多媒体应用智能化管理典型样板和案例目录等IDSWAN优化器DB2,ORACLE10gSQLSever等数据中心组成元素磁盘阵列IP交换机统一管理平台防毒卡OAA服务模块网管监控系统认证计费系统日志分析网流分析LB安全网络L4-L7应用数据库存储管理机房建设应用安全-深度威胁抵御(IPS)完全的内容检测技术1.重组报文FourscoreandsevenyearsagoourforefathersbroughtforthuponthisBADCONTENTanewliberty,anddedicatedtothepropositionthatall…!!!!BADCONTENTBADCONTENTNASTYTHINGSNASTIERTHINGSDISALLOWEDCONTENTATTACKSIGNATURES对报文里的非法内容和攻击进行屏蔽DDoS攻击流量间谍软件流量P2P文件共享IM流量蠕虫病毒H3CIPS之深度安全防御攻