锐捷网络普教教育城域网解决方案魏明胜2006年8月17日1、中国基教信息化背景及现状2、教育城域网建设问题与挑战3、锐捷网络教育城域网解决方案4、Q&A提纲中国基教信息化背景及现状教育信息化发展浪潮教育城域网服务对象123教育城域网常见应用分析第一次浪潮七十年代末、八十年代初建设重点:计算机学科教学,是让学生学习和掌握信息技术的基础知识和基本技能;标志性口号:程序设计是第二文化!教育信息化的发展浪潮2001----2010年第一次浪潮七十年代末、八十年代初八十年代中后期第二次浪潮建设重点:计算机辅助教学与计算机辅助管理,主要是开发教学软件、课件和教育教学管理软件,把计算机作为一种工具,将计算机与教育教学相结合;标志性口号:计算机与基础教育相结合是国际教育改革的发展趋势!教育信息化的发展浪潮2001----2010年第三次浪潮第一次浪潮七十年代末、八十年代初八十年代中后期第二次浪潮建设重点:网络教育标志性口号:建网、建库、建队伍!教育信息化的发展浪潮中国基教信息化背景及现状教育信息化发展浪潮教育城域网服务对象123教育城域网常见应用分析教育城域网的服务对象为教育管理人员服务为教学人员服务为学生服务为家长服务使他们能够充分利用网络化办公环境,快速便捷地处理大量的教育信息,提高工作效率和管理水平,减轻工作强度为教育管理人员服务为教育管理人员服务为教学人员服务为学生服务为家长服务为教学人员服务提供一个网络备课授课、资源共建共享的平台,在更大范围内共享思想与资源,从而提高教学质量与教学水平教育城域网的服务对象为教育管理人员服务为教学人员服务为学生服务为家长服务为家长服务架设起学校和家庭之间的沟通桥梁,学校、教师、家长一道共同参与,通过网络促进学校教育和家庭教育的结合教育城域网的服务对象为教育管理人员服务为教学人员服务为学生服务为家长服务为学生服务以全新的学习模式与学习手段来学习,或进行基于网络的自主式、协作式、研究探索式的学习,从而全面提高其自身素质与能力教育城域网的服务对象中国基教信息化背景及现状教育信息化发展浪潮教育城域网服务对象123教育城域网常见应用分析教育城域网常用应用资源类管理类教学类交流类视频类教育城域网常用应用城域网常见应用资源类:教学资源库、数字图书馆、学科网站等教育城域网常用应用城域网常见应用管理类:OA系统、MIS(学籍管理、教师管理)等教育城域网常用应用城域网常见应用教学类:网上备课、在线学习、网上录取、在线考试等教育城域网常用应用城域网常见应用交流类:门户网站、BBS、Email、教育Blog等教育城域网常用应用城域网常见应用视频类:远程教育,视频会议,网上课堂,视频点播/直播等应用对网络的要求教学资源库类教学管理类沟通交流类教务教学类语音视频类网络高带宽√√√网络高性能√√QoS服务质量√√系统安全性√√√√稳定可靠性√√√√√网络易管理√√√√√1、中国基教信息化背景及现状2、教育城域网建设问题与挑战3、锐捷网络教育城域网解决方案4、Q&A提纲城域网建设过程中遇到的问题应用建设与使用问题不知道什么应用该上,什么应用不该上;哪些应用是迫切应用,哪些应用可以暂缓;对于新建网络用户,往往盲目上全部应用系统,极大浪费投资城域网建设过程中遇到的问题网络建设问题城域网整体规划城域网骨干技术选择城域网核心设备选择城域网建设过程中遇到的问题网络安全问题恶意应用消耗网络带宽网络病毒泛滥,影响城域网运转黑客恶意攻击/非法入侵内部用户非法网络行为资源中心服务器遭受恶意攻击/入侵城域网建设过程中遇到的问题网络管理问题城域网中心网络维护管理工作量巨大远程故障无法准确定位,无法及时处理缺乏全面的网络管理系统(网络设备、服务器、应用系统)IP地址管理困难(IP冲突、盗用)1、中国基教信息化背景及现状2、教育城域网建设问题与挑战3、锐捷网络教育城域网解决方案4、Q&A提纲锐捷教育城域网解决方案城域网规划与设计思想网络安全设计网络管理设计123教育城域网组成部分骨干网接入网资源中心网络出口互联平台城域网骨干网主流技术对比光以太网SDH(同步数字体系)MSTP(多业务传输平台)RPR(弹性分组环)WDM(光波分复用技术)ATM(异步传输模式)MPLSVPN城域网骨干网主流技术对比传输技术技术标准化速率成本稳定性安全性开销复杂性扩展性多业务支持构建方式光以太网高高低高高低低高中自建SDH高高高高高中中中中租用MSTP中高中高高高低高中租用RPR低中高高低高高中低租用/自建WDM高高高高高中中中中租用ATM高低高高高高中低高租用MPLSVPN低中高高高中高中高租用/自建建议在构建城域网时,首选租用裸光纤方式(以太网),其次是选用MSTP、MPLSVPN作为城域网骨干线路。锐捷教育城域网“区块化”设计思想资源中心网络区块网络安全管理区块网络互联出口区块网络汇聚区块A网络汇聚区块Z网络汇聚区块B城域网核心区块防火墙HAINTERNETCERNETRG-Wall1500RSR-04E出口互联区块StarView网管方案一:“高性能-区块化”教育城域网拓扑图区/县汇聚接点区/县汇聚接点GSN全局安全管理平台网络安全管理区块RG-S6800ERG-S8600/9600学校1学校2学校3学校4学校n学校n+1城域网高速核心区块中心局域网资源服务器群RG-S6800ERG-S5750资源中心区块汇聚区块A汇聚区块B、C汇聚区块D学校n+2学校n+3RG-S6800ERG-S8600/9600RG-S8600/9600防火墙HAINTERNETCERNETRG-Wall1500RSR-04E出口互联区块StarView网管方案二:全网安全“高性能-区块化”教育城域网拓扑图区/县汇聚接点区/县汇聚接点GSN全局安全管理平台网络安全管理区块RG-S6800ERG-S6800E学校1学校2学校3学校4学校n学校n+1城域网高速核心区块中心局域网资源服务器群RG-S6800ERG-S5750资源中心区块汇聚区块A汇聚区块B、C汇聚区块D学校n+2学校n+3RG-WallRG-WallRG-WallRG-S8600/9600RG-S8600/9600RG-S8600/9600网络按功能进行区块划分,不同区块负责各自的独立业务,互不干扰按区块进行安全规则、路由策略统一部署,实现数据交换和安全防护网络核心不启用复杂功能、策略,具备高吞吐量和数据交换能力网络结构设计安全、可靠,局部区块故障不影响全局网络运行好处:网络骨干高性能、高可靠性、易管理规划锐捷教育城域网“区块化”设计特点RG-S8606:1.6T背板,0.8T容量6槽,4用户槽,2交换引擎RG-S8610:3.2T背板,1.6T容量10槽,8用户槽,2交换引擎RG-S8600系列每线卡带宽:200G每线卡万兆密度:2/4/8/12支持40G、100G接口扩展面向10万兆平台设计的锐捷核心交换机RG-S8600RG-S9610:4.8T背板,2.4T容量10槽,8用户槽,2交换引擎RG-S9620:9.6T背板,4.8T容量20槽,16用户槽,4交换引擎RG-S9600系列每线卡带宽:300G每线卡万兆密度:2/4/8/12/16支持40G、100G接口扩展RG-S9600作为面向超大型园区网和城域网的核心路由交换设备,拥有更高的处理能力、更大容量的各硬件表项、更丰富的用户接口。面向10万兆平台设计的锐捷核心交换机RG-S9600硬件安全监控技术硬件安全防护技术万兆安全防护模块CSS安全体系MPLS、VPLS、VPWS、DES、SHA提供硬件的IPFIX,满足网络流监控和流分析防DDOS攻击、非法数据包检测、防扫描、CPP、SPOH防火墙、入侵检测、网络分析模块硬件隧道加密认证CSS安全体系CSS安全体系安全的整合安全与性能的平衡•在不影响整机性能的前提下提供全面的安全防护能力。下文对IPFIX、防DOS攻击、CPP进行简要的介绍CSS安全体系——IPFIXIPFIXIPFIX(RFC3917)定义了一种网络设备进行流量采集并向管理系统输出的方法,近期将成为国际标准。IPFIX标准以NetFlowv9为基础,利用以下“特征”定义流:•源IP地址、目的IP地址、源端口、目的端口、3层协议类型•服务类型(TOS)字节、输入逻辑接口、源和目的自治系统号码•TCP标志和下一跳路由地址IPFIX的应用安全监测•根据采集的数据,可综合进行模式匹配、基线分析等,进行DoS/DDoS攻击和蠕虫等病毒检测,结合记录的源数据包相关特征快速定位网络中的异常行为。网络流量分析及容量规划•根据收集和统计的情况,可获取大量的有用信息,如流量大小分布,前几名的流量用户和应用排行、整体网络流量、重要应用带宽的占用状况及其变化趋势等等,为今后的网络规划和升级提供决策参考。流量计费•可实现多种计费方式,如基于流量、时间段、QoS、应用类型、自治域计费等。CSS安全体系——IPFIXCSS安全体系——防DDOS攻击防DDOS攻击防Land攻击:•攻击原理:攻击者将一个SYN包的源地址和目的地址都设置为目标主机的地址,源和目的端口号设置为相同值,造成被攻击主机因试图与自己建立TCP连接而陷入死循环,甚至系统崩溃。•防护:–丢弃源和目的IP相同的IPv4/IPv6数据包–丢弃源和目的TCP/UDP端口相同的IPv4/IPv6数据包防DDOS攻击防非法TCP报文攻击•攻击原理:许多非法的TCP报文会致使主机处理的资源消耗甚至系统崩溃•防护:–丢弃SYN比特和FIN比特同时设置的TCP报文–丢弃没有设置任何标志的TCP报文–丢弃设置了FIN标志却没有设置ACK标志的TCP报文攻击CSS安全体系——防DDOS攻击防DDOS攻击防源IP地址欺骗•攻击原理:大多数的攻击都通过伪造源IP的方式开始发起•防护:–RFC2827(网关丢弃源IP非本网段的数据包)–地址绑定(IP/MAC/端口、IP/MAC)–802.1x(六元素绑定)CSS安全体系——防DDOS攻击CSS安全体系——CPPCPP(ControlPlanePolicy)CPU的利用率过高会影响管理与协议的正常运行,是设备不稳定的最直接因素,也是各种攻击和病毒最主要针对的目标。CPP提供管理模块和线卡CPU的保护功能,并且锐捷10万兆产品采用硬件的方式实现,不影响整机的运行效率。CPP提供三种保护方法,来保护CPU的利用率。•第一,可以配置CPU接受数据流的总带宽,从全局上保护CPU。•第二,可以设备QOS队列,为每种队列设置带宽。•第三,为每种类型的报文设置最大速率。控制平面保护管理平面保护数据平面保护控制平面链路防护控制平面数据防护管理平面链路防护管理平面数据防护数据平面安全防护数据平面安全监控加密(SSH、IPSEC、SNMPV3等)控制(AAA、SNMPV3、USB等)硬件流速控制路由协议防护硬件流识别独立冗余的通道独立冗余的通道硬件防DOS与扫描硬件源IP地址验证基于SPOH的ACL硬件IPFIX传统安全技术平面保护“平面分离+平面保护”设计“平面分离+平面保护”可以在三平面分离的基础上,提供完善的各平面保护机制,保证系统更加稳定与健壮。分布式业务融合分布式POE灵活扩展分布式硬件流量监控分布式硬件策略路由分布式硬件加密分布式业务融合分布式硬件MPLSVPLS隧道分布式硬件IPV6分布式业务融合丰富业务支持业务与性能平衡(分布式、硬件)•分布式业务融合保证了在不影响整机性能的情况下提供多种业务。IPV6功能列表路由功能•静态路由、等价路由、策略路由、OSPFV3、RIPng、BGP4+、IS-ISv6组播功能•MLDv1/v2、PIM-SMv6、PIM-DMv6、PIM-SSMv6过渡技术•双栈、NAT-PT、手工隧道、GRE隧道、ISATAP、6to4隧道其它技术•地址自动配置、ICMPv6、ICMPv6重定向、DHCPv6、ACLforI