高校数字化校园可持续化良性运营----D-Link校园网运营升级改造方案董良中型校园网典型拓扑现有网络面临的一些问题和挑战1、ARP攻击及病毒泛滥,常常引起大面积上网中断2、用户上网行为不可控(乱发言论、乱用网络资源现象严重)3、学生区、家属区用户要大量接入网络,给我们的网络运营带来不小的挑战。(防代理、防私接,同时还要保障用户正常的网络访问速度不低于运营商)目标1、双向防御ARP攻击及病毒对网络的侵犯2、对用户的上网行为进行有效的控制3、全面、丰富的认证计费计费手段让我们的网络环境更舒适、更安全一、双向防御ARP攻击及病毒对网络的侵犯原因导致用户上网掉线的最大原因就是arp攻击其次是病毒等的攻击最后是网络本身的瓶颈问题上网不稳定总是掉线方案逻辑拓扑1、DPF构成高性能出口网关、病毒攻击过滤。2、认证计费完成本身功能以外,同时兼顾内网安全(arp防御)。3、整网交换机过滤常见病毒端口,防止交叉感染增加安全防御设备(防火门)------防外抑制各种安全威胁(各种扫描、DOS、DDOS等攻击)同时要对内部开放的应用进行认证(禁止非授权应用)Arp的防范单一的IP+MAC+端口绑定,DHCPsnooping都不能完全解决问题我们需要:认证计费客户端、交换机、radiusserver组成三位一体,共同完成对arp攻击的防御1、认证前会有一个arp防御的小程序驻留在系统内,对发出的arp进行有效的侦测和隔离2、认证开始后,客户端清除arp后,会用所使用的网卡发送arp,并进行绑定3、每15秒,会发一次arp,帮助网关维护arp4、这个过程中radiusserver要对用户的ip进行绑定补丁更新、病毒防范1、通过在网络设备上关闭常见的病毒端口,切断扫描通道2、在网络上部署IPS功能的设备进行攻击预防3、和杀毒软件进行联合,形成三位一体的防御工事认证计费客户端内建安全检查功能,系统补丁、杀毒软件等不符合预定义的安全策略的主机不能访问网络123Radius服务器补丁更新服务器802.1x二、对用户的上网行为进行有效的控制1、所有用户访问网络资源的行为要记录(海量日志记录)2、一些发布有害信息的地方要屏蔽(类似百度贴吧的网站进行屏蔽)3、用户使用的应用要控制(应用识别、智能带宽保障)整个系统要能灵活、合理的保障出口带宽的最大化应用保障1、应用灵活的策略增加带宽的利用率2、对关键应用进行有效的保障3、对非关键应用进行合理的控制详细的日志记录和审计功能(铁证如山)详细日志MSN聊天记录邮件记录FTP记录URL记录网络应用不可识别(黑匣子)网络流量的可视化(拨云见日)识别方法发展流量识别的准确性流量识别的复杂性对系统资源的消耗特征字识别报文大小顺序会话建立的离散性会话建立和结束的过程行为分析特征匹配会话签名端口识别行为识别{丰富手段进行用户行为管理(应用墙)InternetInternet应用管理层限速,限连接数部分行为限制完全限制监控记录允许MSN聊天,不允许传文件和视频允许收发Email,不允许加附件对URL进行特征字过滤,过滤不良网站脚本、文件等过滤P2P等应用对带宽的侵蚀总带宽httpFtpbtPPlive保障重要应用、抑制P2P每种应用根据最小、保障、最大三种阈值进行带宽适配最小带宽(专用车道)保障带宽(超车道)最大带宽(限速牌)基于IP、应用的智能带宽保障(灵活调度)传统流控和综合流控设备对比对不同出口的流量分别进行影响有局限性综合流控传统流控智能DNSVPN多链路负载均衡流量安全流量均衡功能拓展三、全面、丰富的认证计费计费手段D-Linkdot1xswitchD-Linkdot1xswitchD-Linkdot1xswitchD-LinkDSA-4000D-Link解决方案——dot1x+Bas二次认证计费解决方案D-LinkDRS-5000internet核心swtichftpservermailservervodserverD-Link独创的二次认证解决,接入层可采用D-Link或其它厂商支持dot1x的switch,DSA-4000高可靠性接入网关位于网络出口部分并结合后台D-LinkDRS-5000认证计费运营平台,实现一次拨号二次认证方案,用户可采用此方案针对内网资源免费,上外部网络收费的策略内网外网D-Link绿色Clientinternet1、专用客户端防止私接和代理2、能融合现有所有支持802.1x的交换机,避免垄断3、可定义时长、流量等多种计费策略4、和现有一卡通系统完美结合,实现计费、收费人性化管理5、锁定用户的上网地点实现一个帐号全网漫游优点1、流量控制的目的不在于限制,而在与疏导。把握网络中不同时段、用户、应用的分布趋势,合理疏导流量,才能真正缓解带宽和应用间的矛盾。2、内网安全问题用户终端解决,真正实现内部网络的安宁3、加强认真计费系统健壮性、灵活性和可扩展性,更好的为网络运营服务4、网络设备的功能融合是必然趋势,毕竟单一功能的设备越多,可能的瓶颈也越多。强壮的硬件架构是融合的保障总结让有限的带宽发挥更大的作用让我们的网络环境更舒适、更安全我们的目标安全流控融合通过全能流控设备、认证计费系统、智能接入交换机完成校园网的可持续化良性运营的改造休息&讨论!