来源:蜘蛛抓取(WebSpider)
时间:2017-01-26 00:54
标签:
房贷本金利息计算器
校园网技术建议书
华为敏捷网络校园网解决方案
技术建议书
华为技术有限公司
(C) 华为技术有限公司 2014。
保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
深圳市龙岗区坂田华为总部办公楼
邮编:518129
http://enterprise..com
2 华为校园网网络方案概述
3 校园网总体结构设计
4 敏捷基础网络方案
5 校园网络运营管理方案(自运营)
6 多运营商联合运营方案
7 网络安全解决方案
8 校园网WLAN覆盖方案
9 网络运维管理方案
10 校园业务承载解决方案
11 方案价值
12 附录:高校网络方案设备推荐说明
13 附录:设备说明
1 需求分析
网络结构需要优化
现网中多处使用NAT,网络层级存在多处的重复嵌套部署,这样的网络结构管理性比较差。并且网络横向之间缺乏隔离和管控措施,容易造成网络风暴,容易引发ARP攻击,并且对病毒传输的传播缺乏有效隔离。网络缺乏清晰的结构也让网络出现故障之后难以定位,难以维护。从而让整体网络的稳定性、可靠性、安全性、管理性都难以到达业务发展的要求。
设备老化严重
校园内的核心、汇聚、接入设备的使用年限都比较长,有点甚至已经超过了IT设备正常的使用周期,在目前的信息技术发展迅速的时期,已经不能满足业务承载的需要。建议达到使用年限以及功能无法满足业务需要的设备进行替换。
网络风险抵抗性差
学校当前设备的核心节点都为单台设备,包括三处核心交换机,网络出口防火墙,认证网关等。一旦关键设备出现故障,将给整网或者大片区域造成网络无法使用的风险。
网络管理维护性差
目前学校网络中,使用了多种不同厂商,不同型号,不同定位的网络设备。认证系统、安全系统、路由交换系统之间无法产生协同性。这对于网络管理和维护来说,将造成较大的困难,将增加无谓的日常维护工作量。
网络效率需要提高
现网中主要的干道还采用千兆线路,核心也是采用几条千兆线路做并行传输。在云计算技术和大数据技术迅猛发展的今天,千兆的骨干网络已经完全不能适应业务发展的要求。
网络出口需要优化
目前学校出口使用普通的防火墙作为出口,在出口没有部署流量控制,出口带宽均衡等机制,无法把提高网络资源利用率,造成资源浪费,并且用户使用体验不高。
缺乏无线覆盖
现在智能终端发展迅速,各类的智能终端如智能手机、平板电脑等在很多场景下都取代了PC,并且在可预见的未来,这种趋势还会继续。校园内的网络是为了学校师生更好的学习和生活提供服务的,如果学校网络迟迟不能不能为日益发展的智能终端提供便利的无线接入服务,那么将慢慢无法跟进技术发展的步伐。
网络可运营改造
高校网络用户众多,如果无法实现有效的运营,一方面导致无法对网络资源有效利用,造成浪费;另外一方面也将导致网络质量难以保证,使得内网师生用户的网络使用体验较差。网络可运营的改造包括网络具有运营能力,能根据业务需要实现灵活计费,根据管理要求制定精确的网络权限,并实现精准的可追溯、可查询、可分析。
网络认证管理的改造
认证作为网络管理中最为主要的一层,现有网络的认证体系不够完善,不能很好保障整体网络的稳定性和安全性。此次网络改造,对网络的认证管理系统进行改造,在全网中实现有线无线一体化管理,整体网络建立扁平化网络,在校园内实现高效的实名制认证,提升整体网络的可靠性、使用性和管理性。
网络骨干网络升级
此次网络改造需要对XXXX大学院部及各分院校园网的网络核心及汇聚进行适当的升级改造,使得校园网拓扑结构层次清晰,稳定可靠,并且具备良好的可扩展性;支持IPV协议栈的演进技术;优化网络路由、增强对组播、网络流控制等方面的支持,极大地增强网络的安全性。
接入层设备升级改造
目前网络从接入层到汇聚层结构相对复杂。网络容易生成环路,引起广播风暴;当产生ARP等网络攻击时,影响范围过大。传统校园网的接入层为百兆带宽,已经不能满足现有网络应用的高速传输需求。通过对校园网中部分使用年限过长或者功能比较差不符合网络演进技术的接入设备进行替换,确保校园网接入层设备运行稳定性和可靠性。替换后的网络设备应当充分支持IPv6、支持扁平化网络的身份认证等能力。
校园WLAN覆盖
园区使用WALN覆盖以支持智能移动终端的接入是一个必然的技术趋势。此次校园网络建设,要在校园的重要区域,包括办公室,图书馆,教学区,操场,食堂,学生宿舍区等覆盖WLAN,实现无线的高速上网,并且能进行区域场景间的无缝漫游。
Internet出口安全及优化
学校拥有包括电信、联通、教育网等多条不同运营商的线路资源,通过部署多功能的防火墙,一方面对Internet的网络出口提供安全保障,增强校园内部网里的稳定性;另外一方面需要对网络资源进行合理的管理和优化,包括流量控制和出口多线路的线路负载均衡,从而充分发挥学校的网络资源,提升内部网络用户的上网体验。
网络维护管理体系改造
学校需要建设一个统一化的便捷网络管理平台。包括对有线、无线的集中管理,对网络定位的快速定位,对网络质量的精准分析。网络维护管理系统需要可直观数据化、图形化的分析呈现能力,并可以兼容市场多数常用的网络设备,并支持不同网络设备供应商产品。
网络行为审计和非法追溯
学校校园内网络使用用户众多,角色复杂,为了更好的管理网络,做好教学辅助的工作,网络必须建设行为审计机制,具备高效的非法追溯工具,维护网络的稳定和健康,满足相关法律法规的要求。
院间高可靠VPN网络互联建设
院部及各分院需要租赁两条不同运营商链路,同时采购专业的VPN网关设备,通过在VPN网关设备上启用动态多点VPN机制,从而建设一套高安全、高可靠的院部与各分院及各分院之间的VPN网络,从而实现各院之间的网络安全互连互通,由于院部的VPN网关设备在整个VPN网络中的全局位置和重要作用,所以可以考虑双机高可靠部署。
2.1 华为校园网解决方案理念概述
针对校园网面临的新挑战,华为提出了敏捷校园网解决方案来支持校园网的高速发展。
敏捷校园的设计理念包括:
l具有敏捷结构的网络方案
-扁平化的大二层网络
华为的校园网解决方案中,用户都接入BRAS,采用扁平化的大二层网络,简化了网络结构,降低了网络的运维难度。同时采用堆叠、PPPoEoVLAN等技术,既增强了网络的可靠性,又成功消除了网络环路。
-万兆无阻塞架构
华为的校园网解决方案中,使用千兆接入、万兆汇聚的方案,来支撑校园网流量的爆炸式增长,满足未来校园网虚拟化和云计算的带宽需求。无阻塞的网络架构保证校园网的业务质量。
华为通过先进的汇聚和核心层的架构,支持平滑升级,满足校园网未来5-10年持续发展需求;丰富的板卡覆盖多种场景,满足校园网未来业务扩展需求;同时通过多重冗余备份,保证校园网关键业务持续在线,实现99.999%可靠性设计。
-有线无线一体化运营
华为设计的解决方案中,可最大限度重用用户已有的有线网络,将无线网络融入其中。运维管理非常方便,并且支持统一认证,全校园网漫游,同时可靠性极高,给用户最好的上网体验。
-多种接入技术敏捷管理
无论是有线终端还是无线终端,华为都提供了形式多样的接入认证技术。比如广泛适用于校园网的Portal认证,在学生宿舍区非常实用的PPPoE认证,适用于哑终端的MAC认证,以及802.1x认证。华为的认证方案可适用于各种场景各种用户,为网络的智慧运营打下坚实基础。
使用BRAS设备接入用户,可实时探测用户状态,及时回收分配的IP地址资源,避免大量浪费IP地址。
-运营范围敏捷全覆盖
无论是本校区用户,还是分校用户和远程接入的用户,华为都提供了各种融合接入的方案,稳定高效的访问远程资源和校园网的资源。
l具有统一可运营的认证计费解决方案
华为使用BRAS实现了强大灵活的认证计费功能。
-兼容现网的众多业务和流量模型的管理。
-满足网络PPPoE、Portal等多种接入认证的功能。
-认证通过后,满足对不同用户分配不同访问权限的功能。
-满足现网有线无线统一化认证与计费的要求,满足基于时间、基于区域、基于用户、基于访问目的地址等多种精细化计费要求。
l具备可靠的安全管控解决方案
华为可提供安全管控的全系列产品,实现对网络和服务器资源的全面防护。
l优化运维解决方案
华为提供针对链路和服务器的负载均衡方案,可优化用户的访问速率,进一步提升用户体验。
使用eSight网管,可实现对校园网整网的拓扑管理、网络资源管理、性能管理、故障管理和配置管理。eSight提供强大的报表功能,为判断运维趋势、发现潜在问题提供了强有力的支持。
lIPv6平滑演进方案
华为全系列IPv6产品均为自主核心技术,提供双栈过渡技术、隧道互联技术和地址转换技术保证IPv4到IPv6的平滑过渡。
2.2 校园网设计原则
校园网是校园的教学信息共享平台,应本着以下原则进行建设:
l超前性与实用性结合
网络技术发展迅猛,如果设备缺乏先进性,设备可能很快落后甚至被淘汰,但也不能过分超前,以避免造成投资的浪费。为此,在网络建设中,需注意超前性与实用性结合,确保投资有效,使之能真正发挥出相应的作用。
l安全性与可靠性
在校园网建设中,安全性是整个网络建设中的重中之重,要通过各种技术确保系统应用的安全性以及内容的安全性。同时,要求系统本身具有高度的可靠性,这样才能保证网络客户的应用
网络管理是一个长期的投资,在网络建设中对网络可管理是一项重要的应用原则,通过选择全网的可管理性软件,减少日常维护费用。
校园网络不但需要能够满足当前需要,随着后续教学方式的改变、技术的发展,未来网络需要承载更多的业务及提供更多的优质服务。所以,网络的可扩展性是网络建设中必须提前规划的重点。
3 校园网总体结构设计
校园网是一种用户高密度的网络,在有限的空间内聚集了大量的终端和用户。校园网注重的是网络的简单可靠、易部署、易维护。
XXXX大学的校园网改造以星型结构为主,遵循如下原则:
将校园网络划分为BRAS、核心层、汇聚层、接入层。每层功能清晰,架构稳定,易于扩展和维护。
将校园网络中的每个区域或者每个功能区划分为一个模块,模块内部的调整涉及范围小,易于进行问题定位。
关键设备采用双节点冗余设计;关键链路采用Trunk方式冗余备份或者负载分担;关键设备的电源、主控板等关键部件冗余备份。提高了整个网络的可靠性。
校园网络应具备有效的安全控制。接入网络的设备要进行统一认证,同时按接入用户身份、按权限进行分区逻辑隔离。对特别重要的业务采取物理隔离。对进出校园网的流量要进行识别、过滤,确保网络安全。
l可管理性和可维护性
为了易于管理,可选择适用于全网的网管软件来管理网络。为了便于维护,应尽可能选取集成度高、模块可通用的产品。
如图2-1所示,校园网的逻辑架构分为以下几个部分。
图3-1 校园网逻辑架构
校园出口区域既负责对校园网用户的统一接入,也负责将内部的终端用户接入到公网、将外部用户接入到内网。出口除了要保证校园内外的数据传输,还需要保证边界安全。
部署服务器和应用系统的区域。为校园网内部和外部用户提供数据和应用服务。
l网络管理区
联合BRAS对接入用户进行认证,对网络设备、服务器等进行管理的区域。包括告警管理、性能管理、故障管理、配置管理、安全管理等。
核心层负责整个园区网的高速互联,一般不部署具体的业务。核心网络需要实现带宽的高利用率和网络故障的快速收敛。
汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层,扩展核心层接入用户的数量。
负责将各种终端接入到校园网络,通常由以太网交换机组成。对于某些终端,可能还要增加特定的接入设备,例如无线接入的AP设备。
l终端应用层
包含校园网内的各种终端设备,例如PC、笔记本电脑、打印机、传真、手机、摄像头等等。
对应逻辑架构,校园网的物理架构如所示。
图3-2 校园网物理架构
网络组网结构说明:
由USG实现。USG为高性能出口防火墙网关设备,具备全面的网络安全防御能力,并且具有高性能的NAT功能;同时华为USG能针对校园出口多线路实现多线路负载,以提高校园网络多线路资源的利用率。
核心层由核心交换机和BRAS模块组成。BRAS模块向全网用户下推各种认证,实现统一实名制管理。
核心交换机承载全网所有的流量,利用虚拟化技术,建立逻辑隔离的网络通道,实现不同业务之间无干扰地稳定运行。
核心层设备建议采用多机集群模式来增加稳定性。
BRAS模块可由S12700内置BRAS板块或者ME60独立设备。
部署服务器和应用系统的区域。为校园网内部和外部用户提供数据和应用服务。
l网络管理区
包含计费服务器,DHCP服务器,Portlal服务器等,联合BRAS对内网用户进行认证和管理。同时部署eSight 网管系统,对网络设备、服务器等进行管理,功能包括告警管理、性能管理、故障管理、配置管理、安全管理等。
DMZ区主要提供外网的合法访问。包括提供公共用户访问的公开网站,以及对应的APP服务。对出差的内部员工的访问,部署SVN设备,提供SSL
VPN的安全访问。分校区和总部之间的互联,可以使用IPSec VPN建立互联隧道。
汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层,扩展核心层接入用户的数量。
由接入交换机和AP组成,提供校园用户有线和无线的各类终端实现网络接入。
该组网具有以下特点:
l网络架构各个区域模块化,基础网络、数据中心网络、新校区网络均可独立维护。
l以核心节点为“根”的星型分层拓扑,架构稳定,易于扩展和维护。
l各部门和功能分区模块清晰,模块内部调整涉及范围小,易于进行问题定位。
l汇聚层和接入层冗余设计,关键链路均采用Trunk链路,保证网络的可靠性。
l支持各种终端接入,统一认证,一张IP网络承载所有业务。
l出口部署边界防御,保证网络安全。
l支持分支接入、远程接入、外部用户访问等各种外联场景。
4.1 校园网基础区域网络规划
校园基础区域网络是整个校园网络的枢纽,覆盖整个校区,连接着校园网的各个区域。承担了内部数据流量和对外数据流量,在逻辑上成为可靠性、安全设计的中心。
如下图所示,校园基础网络区域建议采用BRAS、核心层、汇聚层和接入层的架构模型,具有如下的优势:
l逻辑二层设计
基础网络部分逻辑上采用了扁平化的大二层结构,接入用户都在BRAS上接入,不需要维护复杂的网络架构与协议。
l层次化设计
有BRAS、核心层、汇聚层、接入层,每层功能清晰,架构稳定,易于扩展和维护。
l模块化设计
每一个模块为一个学院楼、教学楼或一个学生宿舍,模块内部调整涉及范围小,定位问题也容易。
l冗余性设计
双节点冗余性设计,适当的冗余性提高可靠性,过度的冗余不便于运行维护。
l对称性设计
网络的对称性便于业务部署,拓扑直观,便于设计和分析。
XXXX大学校园网基础区物理架构拓扑图为:
核心层部署校园的核心设备,连接所有的汇聚交换机,转发各个教学楼或学生宿舍之间的流量。
核心层需要采用全连接结构,保持核心层设备的配置尽量简单,并且和校园网的具体业务无关。核心层设备需要具有高带宽、高转发性能,否则将无法支撑企业内外部的业务流量。
核心层采用敏捷交换机使用CSS2(Cluster
Switch System)技术,将两台交换机从逻辑上整合成一台交换机。这种技术支持主控1+N备份,集群系统中只要保证任意一框的一个主控板运行正常,多框业务即可稳定运行。相对于传统业务口集群系统,每个框至少要有一块主控单元运行正常的限制。通过集群+堆叠的无环网络方案保障网络可靠,再通过设备本身99.999%的电信级可靠综合保障校园网应用的稳定运行。
敏捷交换机的业务板卡直接融合AC功能,可以对网络中的AP进行管控,实现有线无线深度融合接入、转发、管理。
BRAS模块负责对校园网用户的统一接入,并与认证服务器协同工作,对接入用户进行认证,可以很方便的对校园网的所有用户流量做统一管理监控。同时BRAS模块有强大的认证计费功能,才能满足校园网的大用户量、高并发连接数、多样化计费的需求。
4.1.3 汇聚层设计规划
汇聚层是一个学院、一幢教学楼或一幢学生宿舍的汇聚点,汇聚层的设备用来转发本区域用户到其他区域用户的横向流量,同时发送本区域用户流量到核心层。汇聚层将大量用户接入到互联的网络中,模块化扩展接入核心层设备的用户数量。
汇聚层具有高带宽、高端口密度、高转发性能等特点,用于支撑该汇聚层下各业务部门之间的流量。
汇聚层交换机通常使用CSS(Cluster
Switch System)技术,将多台交换机从逻辑上整合成一台交换机。然后将汇聚层的CSS系统和核心层的CSS系统之间的多条链路捆绑,用来传输数据。这样既简化了配置和管理,又提高了网络的可靠性和扩展能力。
接入层是最靠近终端用户的网络,为用户提供各种接入方式,一般部署二层设备,双归属到汇聚层两个不同的交换机。接入层除了需要部署丰富的二层特性外,还需要部署安全、可靠性等相关功能。
接入层需要具有高密度、高速率的端口,以支持更多的终端接入校园网络。
接入层交换机通常使用iStack(Intelligent
Stack)技术,将多台交换机从逻辑上整合成一台交换机。这样既简化了配置和管理,又提高了网络的可靠性和扩展能力。
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信,而VLAN间不能直接互通,从而将广播报文限制在一个VLAN内。
基于校园网内拥有比较多不同的业务类型,并且不同类型网络使用者也有很大差别,因此进行VLAN的合理规划将可以帮助建设一个稳定运作的教学合一的网络。
按功能划分VLAN
在校园网络中,可以按功能将VLAN划分为以下几种:
网络中的交换机需要划分管理VLAN,在管理VLAN中配置IP地址,以便日常维护。管理VLAN要与用户VLAN严格区分。
用户VLAN指为终端接入用户划分的VLAN,针对校园网中不同区域,VLAN划分方法不同。
接入层设备为每一个用户每一个MAC划分一个独立VLAN来实现端口与用户的隔离,汇聚层配置SUB VLAN,在核心层配置SUPER VLAN,通过这样层次化分明的VLAN设立的方式,实现每用户的安全隔离。
在学校的科研教学区,建议为每一科研项目或每一院系划分一个VLAN,以满足VLAN内用户的直接互访需求。如果科研项目或院系内部也有访问控制的需求,建议使用MUX VLAN技术,实现VLAN内部用户部分互通,部分隔离。
lVoice VLAN
Voice VLAN是为用户的语音数据流划分的VLAN,用户通过创建Voice VLAN并将连接语音设备的端口加入Voice VLAN,可以使语音数据集中在Voice VLAN中进行传输,便于对语音流进行有针对性的QoS配置,提高语音流量的传输优先级,保证通话质量。
lGuest VLAN
网络中用户在通过802.1x等认证之前接入设备会把该端口加入到一个特定的VLAN(即Guest
VLAN),用户访问该VLAN内的资源不需要认证,只能访问有限的网络资源。用户从处于Guest
VLAN的服务器上可以获取802.1x客户端软件,升级客户端或执行其他应用升级程序(例如:防病毒软件、操作系统补丁程序等)。认证成功后,端口离开Guest VLAN加入用户VLAN,用户可以访问其特定的网络资源。
lMulticast VLAN
Multicast VLAN即组播VLAN,组播交换机运行组播协议时需要组播VLAN来承载组播流。组播VLAN主要是用来解决当客户端处于不同VLAN中时,上行的组播路由器必须在每个用户VLAN复制一份组播流到接入组播交换机的问题。
VLAN规划原则
VLAN划分的基本原则如下:
l要严格区分业务VLAN和管理VLAN。
l按照不同的管理区域划分VLAN,不仅方便隔离用户,也方便日常维护。
l同一区域也要按照不同的业务类型来划分VLAN,比如按照不同的接入方式来划分VLAN。
lVLAN需连续分配,以保证VLAN资源合理利用。
l预留一定数目VLAN方便后续扩展。
VLAN规划举例
如图4-1所示,校园网中有学生宿舍的用户和科研区域的用户接入网络,VLAN规划如下:
l学生宿舍区域使用QINQ
内层VLAN分配 2~4094,接入层交换机的下行端口中,为每一个端口分配一个VLAN,上行端口配置为trunk,允许所有接入VLAN通过。
外层VLAN分配100,为汇聚层交换机的下行端口划分外层VLAN100,用户数据经过汇聚层交换机时,封装外层VLAN 100,经核心层交换机透传到BRAS,由BRAS终结两层VLAN 标签。
l科研区域使用MUX
科研区域一般每一层楼为一个科研项目组,为每一个科研项目组分配一个VLAN,并定义为MUX VLAN,划分范围为200~500。
以一楼的科研组为例,为楼道的接入层交换机定义MUX VLAN 200,并定义MUX VLAN下的从VLAN,Separate
VLAN(隔离型从VLAN)ID为2,Group VLAN(互通型从VLAN)ID为3。
具体为此交换机的每个端口划分VLAN时,为连接项目组公共服务器的端口划分主VLAN 200;为连接项目组成员电脑的端口划分互通型从VLAN 3;并预留10个端口,将这10个端口划分到隔离型从VLAN 2,以便访客使用。这样能达到如下目的:项目组成员可以相互访问,也可以访问项目组的公共服务器;访客可以访问项目组的公共服务器,但不能和项目组成员相互访问,如果有多个访客时,访客之间也不可相互访问。这样就可以实现VLAN内的资源精细控制。
此接入交换机的上行端口只需要配置为trunk口,允许主VLAN 200通过即可。需要注意的是从VLAN只具有本地意义,在不同交换机上可以重复使用。
汇聚和核心交换机只需要透传此MUX VLAN至BRAS,由BRAS终结。
l设备的管理VLAN则使用普通VLAN,为了方便管理员调试,为所有交换机划分管理VLAN 51。
图4-1 XXXX大学校园网VLAN规划示例
4.1.6 IP地址规划
划分IP地址
在校园网络中,校园网的DMZ和数据中心区域有少量设备使用公网IP地址,对外提供服务;BRAS将校园网内部用户统一接入,为内部用户分配IP地址。
IP地址规划原则
IP地址规划的基本原则如下:
一个IP网络中不能有两个主机采用相同的IP地址。
连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。
好的IP地址规划使每个地址具有实际含义,看到一个地址就可以大致判断出该地址所属的设备
由于校园网内部用户的IP地址均由BRAS统一分配,地址规划非常方便。
校园网IP地址分类
数据中心和DMZ区域中,服务器可能部分使用公网IP地址,需要将这些网段发布到公网。
校园内网用户的地址由BRAS统一分配。可以通过在BRAS设备上配置地址池来按用户所在区域分配IP地址。
校园内部用户中,为学生和教师等人的终端使用BRAS的地址池自动分配的IP地址和DNS,使用PPPoE或IPoE方式接入到ME60;为打印机、IP电话等哑终端(IT设备)分配固定IP地址,使用IPoE的方式接入到ME60;为网络设备划分固定IP地址,与终端用户的IP地址严格区分。
在出口路由器NE40/80E上需要提供NAT地址转换功能,供使用私网IP地址的校园网用户访问公网。
lLoopback地址
为了方便管理,会为每一台路由器创建一个Loopback接口,并在该接口上单独指定一个IP地址作为管理地址。
Loopback地址务必使用32位掩码的地址。
互联地址是指两台网络设备相互连接的接口所需要的地址,设备互联的网段一般聚合后发布,而且没有必要发布给终端用户。
IP地址规划举例
如图4-2所示,校园网中有学生和教师的终端接入网络,也有打印机、IP电话等哑终端(IT设备)接入网络,IP地址规划如下:
l学生宿舍区使用私网IP地址,在出口路由器做NAT转换来访问公网。
BRAS上为学生宿舍区配置私网地址池,IP地址范围为192.168.0.0~192.168.100.255,为每一幢宿舍分配4个C类地址段,例如为学生宿舍1号楼分配192.168.0.0~192.168.3.255这段IP地址。DNS服务器地址为内网的DNS服务器地址。
出口路由器上配置NAT转换规则,与CERNET相连的出口路由器的公网地址池为X.X.X.X;与电信运营商相连的出口路由器的公网地址池为Y.Y.Y.Y。
l为提升教师的上网体验,家属楼使用电信的公网IP地址
BRAS为家属楼配置公网地址池,IP地址范围为X.X.X.X~X.X.X.Y,并直接使用电信运营商提供的NDS。
l打印机、IP电话等IT设备配置固定IP地址
在BRAS上配置地址池,以IPoE方式接入IT设备,IP地址范围为192.168.200.0~192.168.210.255
图4-2 XXXX大学校园网IP地址规划示例
4.1.7 路由规划
本部署方案中,只在防火墙上起NAT,运行对外网络运行路由协议。
如果需要在校园网中运营视频监控、一卡通等与普通接入独立的业务,可直接使用VLAN或MPLS
VPN技术复用现有网络,无需单独建网,具体规划在虚拟园区网解决方案中介绍。
传统校园网络中常见的无线部署方式有独立AC或插卡式AC,不管采用哪种,所有无线流量都要通过AC集中转发,有线和无线网络在转发和控制层面上是分离的。随着802.11ac时代的到来和智能终端设备的普及,校园中学生可能手持智能手机、Pad、便携等多种设备高速上网,AC设备由于转发能力、端口各方面的限制将逐渐成为流量瓶颈。因而有线和无线网络如果想要获得一致的使用和管理体验,不能仅仅依靠目前常见的AC插卡式整合部署的方式,还需要在此基础之上向深度融合演进。
如图在本部署方案中采用敏捷交换机12700的有线无线融合理念实现有线无线流量深度融合,具体包括:
融合转发:敏捷交换机支持随板AC功能,有线无线流量都直接在交换机处理,报文转发行为一致,不存在AC集中后再通过有线转发的情况,消除无线流量瓶颈限制,整机转发能力能达到Tbit,学校不需要单独购买AC设备或者插卡,既解决了节省了投资又减少了故障点。
融合管理:借鉴业界AC管理AP的成功经验,让敏捷交换机把接入层交换机也管理起来,有线无线采用一种协议,通过CAPWAP隧道实现一致的管理机制,实现接入交换机即插即用,降低信息中心老师日常工作中的管理复杂度。
另外,传统校园网多采用树状分层结构,分为核心、汇聚、接入三层,其中核心/汇聚层多采用横向集群,接入交换机数量庞大。
本部署方案旨在通过SVF超级虚拟交换网,将整个校园网虚拟化为一台设备,实现将盒式交换机虚拟为核心敏捷交换机的板卡,将AP虚拟为核心敏捷交换机的无线端口,使得原来“核心/汇聚+接入交换机+AP”的校园网络架构,虚拟化为一台设备,整个园区网络成为“One Box”,从而最大程度简化信息中心老师的日常运维工作,同时降低多协议应用下的网络配置、运行复杂度,提升网络可靠性。
iPCA业务质量感知,精准管理
随着学校远程教学、专家讲堂、视频监控、桌面云、VOIP等新业务的不断增加,如何保证师生的业务体验,已经成为网络管理员面临的重要挑战。由于IP网络是面向无连接的网络,网络中只有数据包,没有任何业务连接的信息,这成就了IP网络的大规模部署,但同时也引出了质量监控的难题。目前的监控技术,如BFD/NQA/Y.1731等,都是面向点对点连接的技术,在IP网络中部署时,会引入N2 问题,即所有的通信节点之间都要两两部署,严重影响IP网络的扩展性。
网络包守恒算法iPCA(Packet
Conservation Algorithm for Internet,简称iPCA)是一种多入多出监控技术,借鉴SDN结构,在校园网中引入控制器,同时监控多个节点之间的两两通信,而不会引入N2问题。利用iPCA技术,可以实现在整个网络内部署一张完整的网络质量和问题监控系统,任何影响终端用户体验的问题,网络都可以即时感知,并准确定位。这既保留了IP网络无连接的优势,又从根本上攻克了IP网络的体验保证难题。
由于是通过对真实的业务报文进行标记、染色和计数,不插入任何检测报文,在 0流量开销的情况下,可以实现精确质量检测和即时故障定位。通过逐点性能检测,故障点可以准确定位至网络链路、板卡、甚至是芯片级别。同时,网络故障情况可以通过网管可视化显示,使网络管理员便捷掌握全网质量情况,提升故障定位效率,保障用户业务体验。
Easyoperation简化运维
校园网络中设备安装、软件升级、故障定位和设备更换等工作往往花费网络中心管理老师的大部分时间。其中,有些工作简单重复、效率低下。Easy Operation是为了简化对交换机日常运营维护而设计,并针对校园网络大规模设备管理需求而推出的一种解决方案。
本部署方案包括Easy
Install、Easy
Configure、Easy
Monitor、Easy UI等功能模块,涵盖了从网络设备入网部署、配置、监控、故障定位、设备更换及设备升级等网络运维工作的全部环节。使得网络运维管理人员能够更高效、更敏捷的管理网络。具体包括:
l零配置开局
l设备批量升级
l自动终端识别与配置(voiceVLAN)
l故障设备更换免配置
l网络质量分析(Netstream)
本解决方案中,网络可靠性由双设备、链路冗余来保证。
传统可靠性方案
传统的可靠性方案是STP(Spanning
Tree Protocol),该方案通过阻塞环路中的某条链路来实现二层数据帧的无环转发。现代网络中很多应用对中断时间极为敏感,而且带宽极大,这种传统的可靠性方案已经不适用于现代网络。
传统的STP技术收敛速度慢,在故障发生时,故障收敛时间&10秒;虽然采用RSTP进行优化,但收敛时间任是秒级,秒级的业务中断,无法适应现在的很多网络应用。
l链路利用率低
由于有一个上行链路被阻塞,此链路的带宽无法利用,总带宽利用率只有50%;虽然MSTP基于VLAN进行优化,但使用MSTP又会导致配置复杂,日常维护非常困难。
l配置维护复杂,网络故障率高
每个接入交换机和汇聚交换机都需要运行STP协议,随着接入交换机的增加,交换机需要处理的STP也越来越复杂,会导致可靠性问题。
集群+堆叠的无环网络方案
基于STP方案有以上这些缺点,我们推荐采用集群+堆叠的无环网络方案来替代传统方案。
核心层、敏捷交换机采用CSS2(Cluster
Switch System 2)技术、汇聚层的两台交换机使用CSS(Cluster
Switch System)技术,配置交换机集群,从逻辑上组合成一台交换机;接入层的两台交换机使用iStack(Intelligent
Stack)技术,配置交换机堆叠,从逻辑上组合成一台交换机。将接入层交换机和汇聚层交换机之间的多条链路捆绑,用来传输数据。
相对传统方案,这个方案有以下优势:
采用交换网硬件通道互联,集群系统的控制报文和数据报文不需要经由业务板卡转发,而是直接通过交换网一次转发,减少了软件故障可能带来的干扰,降低了板卡故障带来的风险。
支持主控1+N备份,集群系统中只要保证任意一框的一个主控板运行正常,多框业务即可稳定运行。相对于传统业务口集群系统,每个框至少要有一块主控单元运行正常的限制,进一步提高了集群系统的可靠性。
集群系统的控制报文和数据报文走独立的通道,即使所有交换网间链路均发生故障,控制报文也可通过主控板之间的控制通道在设备间互通,集群系统不会分裂。
堆叠系统的成员设备之间冗余备份;堆叠支持跨设备的链路聚合功能,实现跨设备的链路冗余备份。
以单链路故障率为1小时/1千小时为例,增加到两条链路,就可以将故障率降低到3.6秒/1千小时,可靠性从3个9提高到6个9。
l简化配置和管理
交换机集群或堆叠形成后,两台物理交换机虚拟成为一台逻辑交换机,用户可以通过任何一台成员设备登录堆叠系统,对堆叠系统所有成员设备进行统一配置和管理。
逻辑网络也变得简洁,不再需要配置和维护STP等协议。
l快速的故障收敛
链路故障收敛时间可以控制在10ms以下,大大降低了网络链路/节点的故障对业务的影响。
l带宽利用率高
采用链路Trunk的方式,带宽利用率可以达到100%。
l扩容方便、保护投资
随着业务的增加,当用户进行网络升级时,只需要增加新设备,而不需要更改网络配置。平滑扩容,很好的保护了投资。
BRAS部署时采用主备方式,用户的接入信息备份到备设备上,当主设备的链路、接口、单板或者整机出现故障时,能够快速将业务切换至备用设备。
设备可靠性
可靠性的另一个重要方面是设备可靠性,设备本身要具有电信级5个9的可靠性,需要网络设备支持:
l主控1:1备份
l交换网1+1/1:1两种方式
lDC电源1+1备份;AC电源1+1/2+2备份
l模块化的风扇设计,高端配置支持单风扇失效
l无源背板,高可靠性
l独立的设备监控单元,和主控解耦
l所有模块支持热插拔
l完善的告警功能
l设备管理1:1备份
平滑演进规划
SDN软件定义网络提出的控制和转发分离的架构是以后网络发展的一个趋势,考虑到网络改造的实用性和可扩展性,改造之后的网络不仅需要能与现有校园网络无缝融合,并且要具有向未来网络平滑演进的能力。敏捷交换机S12700及其他敏捷设备,都具备一机双平面的能力,既有传统网络平面,也有增强控制平面,能够实现敏捷网络和传统网络的平滑演进,最大化保护用户投资。
首先,基于敏捷交换机的一机双平面功能,传统网络平面与增强控制平面可以独立部署到现有网络中。基于传统网络平面,敏捷交换机可以与学院现有的H3C等厂商网络设备无缝对接。Controller控制平面主要实现一些从全网视角易解决的网络问题,如:基于iPCA包质量守恒算法的业务质量监控, Controller完全可以根据用户的业务需求选配。即便网络中的Controller完全故障,也不会影响传统网络平面的连通性。因此,学校可以根据自身业务发展需要增量部署新网络、或将业务迁移至增强控制平面,对现有网络无任何影响。
其次,基于可编程芯片ENP和协议无感知转发技术((Protocol Oblivious Forwarding,简称POF)),使网络具备平滑向未来网络演进的能力。ENP以太网处理器使得设备转发平面可编程,敏捷支撑未来多样的业务需求,如新增转发协议的支持、流表转发等;POF使得网络控制和转发行为完全由控制器定义,敏捷应对未来5-10年甚至更长时间内网络软件协议的演进。
另外,园区控制器也提供了开放的API接口供学校或者第三方的业务系统使用,如学校和运营商之间的用户信息同步等,从而使整个校园网可以平滑向未来网络演进。
5 校园网络运营管理方案(自运营)
(使用ME60场景)
在校园网的核心出口推荐部署两台华为公司MSCG专业设备ME60作为既作为用户接入认证和计费网关又作为校园网核心出口路由器,两台ME60间采用万兆口互联,两台设备间启用VRRP+,BFD for FRR等冗余保障及链路故障倒换协议,使得两台ME60互为热备,在用户接人会话数和流量上进行1:1负载分担。
设备部署图为:
认证计费系统可以延续使用原网使用的城市热点计费软件,或者根据业务需要进行软件升级。
有线用户接入
(1)接入交换机配置用户VLAN。汇聚交换机添加外层VLAN。S7700透传到ME60,由ME60终结QINQ报文。
(2)ME60作为用户网关,IPOE用户上线到ME60转DHCP服务器给用户分配IP地址,在通过认证之前用户只能访问认证前域的服务器,用户的第一个HTTP报文进行重定向到Portal服务器,实现WEB认证,认证通过后允许用户访问认证后域。
(3)ME60作为用户网关,PPPOE用户直接到深澜AAA服务器进行用户名和密码认证。
(4)有线用户基于楼栋交换机每VLAN,楼栋互访通过楼栋交换机同VLAN互访,跨楼栋和区域互访经过ME60转发。
无线用户接入
(1)AP与AC二层可达,AC作为AP网关并且为AP分配IP地址,AP和AC建立Capwap隧道,实现AC对AP的管理。
(2)AP选择本地转发模式,对于无线终端上行的报文进行SSID到VLAN的变换,汇聚交换机添加外层VLAN,S7700透传到ME60,由ME60终结QINQ报文。
(3)ME60作为用户网关,无线认证通过后给用户分配IP地址,Portal认证通过后才能访问外网业务。
(4)无线用户通过在AP实现二层隔离,互访流量经过ME60。
传统的802.1x认证需要在终端安装客户端软件,用户终端的种类和数量众多,安装客户端时会产生各种各样的兼容性问题,而且后续维护工作量极大。
如图5-1所示,本方案中,BRAS可以针对不同接入场景使用不同的认证方式,只有认证通过后才有访问权限。
l学生宿舍区和家属楼等地用户集中,可以使用PPPoE方式认证,ME60将用户的账号/密码发送到认证计费服务器进行认证,认证通过后分配IP地址。
l实验室教室等公开接入点,可设置成IPoE快速认证访问内网资源,访问外网资源时做WEB认证。
l教学楼的打印机、IP电话等哑终端没有PPPoE的客户端,也无法接收web页面,使用IPOE的方式接入ME60,为防止非法接入,可以配合MAC认证。
l公共场所可使用Portal认证,用户首先获取BRAS分配的一个IP地址,通过认证前只能访问有限的服务器。BRAS将Portal服务器的web页面推送给用户,由用户填写用户名、密码进行认证。
BRAS支持对一种接入场景配置多种认证方式,满足用户灵活认证的需求。
学校可以根据具体的业务需求,在校园内不同的场景下应用不同的认证计费模式:
学生用户:学生用户分为具备外网出口权限和不具外网出口权限两种用户;
教师用户:教师用户在办公区和家属区上线;
教工用户:教工用户为在教师家属区上线用户;
专线用户:特定的学院或是实验室通过专线形式接入,不对专线用户下的二次用户接入进行再次认证;
主账号与附属账户用户:学校导师或是科研团队,通过一个主账户认证计费,主账号的附属账号同时具备上线权限,计费控制在主账号上统一管理
打印机等无拨号功能设备的接入;
针对以上接入用户需求,设计认证与计费方案如下:
DAA根据目的地址计费
DAA是destination address accounting 的简称,在ME60上部署DAA功能实现了对用户接
入业务访问目的地址的差别进行管理,根据不同目的地址定义不同的费率级别进行收费和不同的网速控制。在校园网内,用户上线后一般访问教育网内不收费或者收很低的费用,而且是不限速的,而如果访问教育网外的Internet,需要收取较高的费用,同时限制一定的带宽,通过此功能可以实现访问校内资源不计费,访问外网或是教育网采用不同的计费策略。
教师在不同地点上线采用不同的计费策略
教师在办公区办公时上网进行认证不计费,在家属区上网时进行计费。教师在办公区上线时,也要能够支持同一账户在家属区同时上线,并且进行计费。ME60根据用户上线携带的不同VLAN或是Option信息通过Radius报文上报到srun3000, 在srun3000上可以根据这些信息做漫游计费,在特定的源地址和VLANID可以不做明细计费,同时允许多个用户同时拨号,统一计费。
实验室和学院的专线接入
针对实验室和学院的专线接入采用以太网二层专线接入方式。专线(Leased Line)接入业务是指将ME60的某个以太网接口或者接口下的某些VLAN整体提供给一组用户使用的业务。一条专线下可以接入多台计算机,但是在ME60上只表现为一个用户,ME60对专线进行统一的认证计费、带宽控制、访问权限控制以及QoS控制。
办公打印机等网络设备的接入
将打印机视作一个接入用户,认证方式采用MAC地址认证,在打印机上线发出DHCP
请求时触发认证,在ME60上配置打印机的MAC地址绑定IP地址。与正常宽带用户上线不同的是打印机上线后没有外网访问权限,通过接入子接口的路由导入与教师办公楼进行互通,根据打印机的密码访问打印机。
也可对交换机做静态认证,默认为特定用户的方式在线。
国内有多家网络宽带服务提供商,除了电信、联通、移动三大运营商之外,还有在有限区域内运营的二级服务运营商。
不同运营商的线路质量、资费标准、增值服务内容都有各自特色,为了让校园内网络用户得到更好的服务,建议学校联合多个运营商,为学校用户提供多个可选服务,以促进市场的公平竞争,牵引校园宽带服务的不断升级。
多家运营商与学校共同运营校园网,最主要面临的问题有:
l对于网络的认证管理,涉及到认证点的设计,运营商与学校的对账;
l对于用户行为的管理,涉及对网络管理权的分配问题。
l对用户账号的管理问题,涉及到不同运营商的统一账号设定策略;
针对学校与多运营商共同对校园网管理的情况,建议在学校部署BRAS设备,通过建议统一的认证管理平台,让多个运营商能公平并且互不干扰地利用这个平台向校园网内提供服务。同时,学校利用统一的认证管理平台,可以针对学校的网络用户实现管理,满足教学协助的使命以及网络违法追溯的任务。
系统中继方案
AAA系统中继方案是指学校建设一个统一的认证平台,包括BRAS设备和AAA系统,BRAS对校内的所有用户下推实名制认证,AAA系统部署中继模式,进行基于标准RADIUS代理认证,把认证相关信息转发到运营商的AAA系统,认证通过之后,用户获得相应的互联网访问权限。
方案示意图:
方案实现说明:
1)学校部署BRAS系统和AAA系统;并与各运营商实现联动,学校认证计费系统实现RADIUS代理功能;
2)只需要访问校园网的用户,直接由学校本地的BRAS和AAA进行认证之后,不计费自由访问学校内部资源。
3)需要访问互联网的用户,先自行选择各运营商的营业厅开户、缴费并获得账号;
4)用户可使用PPPoE、IPoE或802.1x任何一种拨号认证方式拨入到学校网关BRAS;
5)BRAS按正常流程处理PPPoE或其他方式的拨号认证请求,将用户信息发到校园AAA系统上认证;
6)AAA系统根据用户名携带的域信息辨识属于校园网或是运营商,对于校园网用户则直接提供认证并在通过之后分配IP地址;运营商用户则执行RADIUS中继代理功能,将用户认证信息发送到相应运营商的AAA上去进行认证,可以由对应运营商AAA分配公网IP地址,也可由学校分配私网IP,再在BRAS或出口防火墙上根据运营商归属做NAT;
7)学校BRAS根据运营商归属执行策略路由,在用户认证通过之后访问互联网时,根据用户源IP网段或所属域的用户组指定出口,同时在运营商的BRAS上设置ACL,只允许所属用户IP地址的流量通过;运营商BRAS并不针对具体用户进行认证,可把运营商BRAS的校园出口设置成L3专线用户,对整体流量进行统计,在跟校方对帐时可核对,避免计费冲突;
8)用户认证通过以后,计费信息同样通过AAA中继代理的方案,从学校本地AAA发送到运营商AAA进行实时计费,同时在本地生成报表。
9)由于访问校园内网是不计费的,因此需要在学校BRAS上开启DAA功能,将内网网段筛选出来不计费。
对于这种方式,需要运营商为校方开放AAA认证和计费接口,由校方的AAA来负责中继认证计费请求,在这个过程中校方AAA也可以实现用户名的转换,将校园网的用户名(一般是一卡通号或者是学号)转换成运营商的用户名(一般是手机号)。
该方案的特点有:
l方案简单易部署,对现网冲击小;
l在校方和运营商之间协同实现用户接入,双方可共同计费,方便对帐以及费用拆分;
l管理平台在学校建立,学校可实现对用户的实名制认证,并实现对全校用户的统一管理;
l用户仅需要进行一次认证,就能同时访问校园内网和互联网,用户体验较好。
该方案的要求是:
l需要修改运营商认证机制,认证点放在学校,运营商BRAS设备执行ACL策略,不进行认证。
l运营商AAA系统接受学校AAA的中继模式。
两层认证方案是指学校和运营商各自对校园用户实施一层相关的管理认证,各自独立管理。两层认证方案最大的有点在于不涉及到学校和运营商的认证系统信息交互,因此规避了业务运行模式的改变,降低建立学校网络共同运营的阻力。
方案认证示意图:
方案实现说明:
1)学校自身部署BRAS,在校园内执行认证,免费访问校内资源,在校内访问用户可以i采用Portal、PPPoE认证方式,建议采用安全性更高的PPPoE方式认证;
2)需要访问互联网的用户,自行在运营商营业厅开户、缴费、获得上网账号;
3)用户需要访问互联网,先经过学校认证认证之后,获得学校出口,再使用运营商账号进行二次认证,第二次到运营商的认证建议采用L2TP的认证方式;
4)校园BRAS根据用户认证域名,进入不同的L2TP隧道,到不同的运营商;
5)运营商BAS对用户进行认证和计费、策略管理;认证通过后,用户可直接开展业务;
6)校园BRAS到不同运营商BAS之间预先搭建L2TP隧道,用户业务流共享该L2TP隧道;
7)在校园BRAS上能查看不同用户域的用户数量,并简单设置QoS模板,进行用户管理。
两次认证方案的特点:
l运营商对自行对所拥有的用户进行认证管理,不用更改业务模式;
l学校具有对网络内用户的管理权,并且拥有用户认证信息作为和运营商对账的依据;
认证方案的缺点:
l因为PPPoE认证无法两层嵌套,因此运营商认证不能使用PPPoE认证,可以使用Portal认证或者L2TP认证;
l用户要上互联网需要经过两次认证,影响用户体验性。
在校园网网络出口边界区域中,建议使用USG防火墙作为网关模式部署。
使用防火墙作为出口网关,一方面USG防火墙有着极其优越的出口路由功能和NAT能力;另外一方面是具有综合的安全防御能力,能有效防御来自互联网的各种入侵和恶意访问,保障校园网络的资源安全和使用稳定。
在防火墙部署策略上,主要是使用防火墙将校园网划分成内网、外网、DMZ等不同区域,为不同区域划分不同的优先级,同时设置不同区域间的互访策略,以避免越权访问。
根据不同的学校的业务需要,建议增加使用应用的安全设备,以满足校园教学业务的发展。此方案主要推荐增加远程安全访问设备SVN和上网行为管理ASG设备,另外针对数据中心可以增加IDS设备NIP,以增强数据中心业务系统的保护。
(以下描述需要根据具体的网络出口部署做针对性描述,以下内容仅供功能性描述参考)
网络出口安全
使用USG统一防火墙来防御网络的大多数的攻击行为,以保证网络运行的稳定性,并且可以对网络内流量进行多维度的监测和管理。
7.1.1 网络NAT设计
学校互联网出口有多个连接,不同的接入的NAT要求不一致,并且校内的大量用户对出口的NAT提出了更高要求。
华为USG网关采用基于连接的方式提供地址转换特性,针对每条连接维护一个Session表项,并且在处理的过程中采用优化的算法,保证了地址转换特性的优异性能。在启用NAT的时候,性能下降的非常少,这样就保证了在通过USG安全网关提供NAT业务的时候不会成为网络的瓶颈。
USG安全网关提供了基于安全区域的管理功能,利用“安全区域”的概念把统一安全网关管理的网络按照功能区域、安全要求等因素从逻辑上划分为几个逻辑子网,每个逻辑子网称为一个“安全区域”。默认情况,统一安全网关提供了4个默认的安全区域:trust、untrust、DMZ、local,一般情况下,untrust区域是连接Internet的,trust区域是连接内部局域网的,DMZ区域是连接一些内部服务器的,例如放置邮件服务器、FTP服务器等。统一安全网关的地址转换功能是按照安全区域之间的访问进行配置的,这样就可以非常方便的进行网络管理。例如,对于内部服务器的网络如果有足够的IP地址,可以直接使用公网IP地址,在DMZ-&untrust区域间不使用地址转换,而内部局域网使用私网地址,在trust-&untrust区域间使用地址转换。
同时地址转换可以和ACL配合使用,利用ACL来控制地址转换的范围,因此即使在同一个网络区域,有公网、私网混合组网的情况,USG安全网关依然可以方便的设定地址转换的规则。
USG安全网关的地址转换功能可以对内部服务器的支持到达端口级。允许用户按照自己的需要配置内部服务器的端口、协议、提供给外部的端口、协议。对于上面的例子使用的地址转换,不仅可以保证202.38.160.1做为WEB服务器的地址,同时可以做为FTP服务器的地址,同时可以使用http://202.38.160.1:8080提供第二台WEB服务器,还可以满足内部用户同时使用202.38.160.1的地址进行访问Internet。
USG安全网关提供了基于端口的内部服务器映射,可以使用端口来提供服务,同时也可以提供地址的一对一映射。同时,每台统一安全网关可以提供多达256个内部服务器映射,而且不会影响访问的效率。
地址转换比较难处理的情况是报文载荷中含有地址信息的情况,这种情况的代表协议是FTP。USG安全网关的地址转换现在已经非常完善的支持了ICMP重定向、不可达、FTP(支持被动主动两种模式)、H323、NetMeeting、PPTP、L2tp、DNS、NetBIOS、SIP、QQ、MSN等特殊协议。依靠现在支持的各种业务,统一安全网关已经可以提供非常好的业务支撑,可以满足绝大部分的Internet业务,使得地址转换不会成为网络业务的瓶颈。
为了更好的适应网络业务的发展,USG安全网关还提供了一种“用户自定义”的ALG功能,对于某些特殊业务应用,通过命令行进行配置就可以支持这种业务的ALG,通过这样的方式更可以保证USG安全网关对业务的支撑,达到快速响应的效果。
另外USG安全网关在结构上面,充分考虑了地址转换需要支持特殊协议的问题。从结构上保证可以非常快速的支持各种特殊协议,并且对报文加密的情况也做了考虑。因此在应用程序网关方面,统一安全网关在程序设计、结构方面做了很大的努力和考虑,在针对新出现的各种特殊协议的开发方面上,USG安全网关可以保证会比其他设备提供更快、更好的反应,可以快速的响应支持用户的需求,支持多变的网络业务。
USG安全网关可以提供PAT(Port
Address Translation)方式的地址转换,PAT方式的地址转换使用了TCP/UDP的端口信息,这样在进行地址转换的时候使用的是“地址+端口”来区分内部局域网的主机对外发起的不同连接。这样使用PAT方式的地址转换技术,内部局域网的很多用户可以共享一个IP地址上网了。
因为TCP/UDP的端口范围是1~65535,一般1~1024端口范围是系统保留端口,因此从理论上计算,通过PAT方式的地址转换一个合法的IP地址可以提供大约60000个并发连接。但是USG安全网关采用专利技术提供了一种“无限制端口”连接的算法,可以保证使用一个公网IP地址可以提供无限个并发连接,通过这种技术就突破了PAT方式上网的65535个端口的限制,更大的满足了地址转换方式的实际使用,更加节省了公网的IP地址。
NAT采用“注册”方式支持多种NAT ALG(Application
Level Gateway),包括:
支持FTP协议的NAT ALG。
支持NBT(NetBIOS over TCP)协议的NAT ALG。
支持ICMP(Internet
Control Message Protocol)协议的NAT ALG。
支持H.323(包括T.120、RAS、Q.931和H.245等)协议的NAT ALG。
支持SIP(Session
Initiation Protocol)协议的NAT ALG。
支持RTSP(Real-Time
Streaming Protocol)协议的NAT ALG。
支持HWCC(Huawei
Conference Control Protocol)协议的NAT ALG。
支持ILS(Internet
Locator Service)协议的NAT
支持PPTP(Point to Point Tunneling
Protocol)协议的NAT ALG。
支持对腾讯公司的QQ聊天会话的NAT
支持Microsoft公司提供的MSN聊天会话的NAT ALG。
通过“注册”方式支持特殊协议,使软件有良好的扩充性,无需更改软件构架,很容易支持新的协议。
基于安全区域的隔离管理
在学校网络中使用华为USG实现基于安全区域的安全隔离,这样的设计模型为用户在实际使用统一安全网关的时候提供了十分良好的管理模型。出口安全网关可以提供基于安全区域的隔离模型,每个安全区域可以按照网络的实际组网加入任意的接口,因此统一安全网关的安全管理模型是不会受到网络拓扑的影响。
可管理的安全区域
业界很多防火墙一般都提供受信安全区域(trust)、非受信安全区域(untrust)、非军事化区域(DMZ)三个独立的安全区域,这样的保护模型可以适应大部分的组网要求,但是在一些安全策略要求较高的场合,这样的保护模型还是不能满足要求。
USG安全网关默认提供四个安全区域:trust、untrust、DMZ、local,在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域,本地安全区域可以定义到统一安全网关本身的报文,保证了统一安全网关本身的安全防护。例如,通过对本地安全区域的报文控制,可以很容易的防止不安全区域对统一安全网关本身的Telnet、ftp等访问。
除此之外,还可以提供自定义安全区域,可以最大定义16个安全区域,每个安全区域都可以加入独立的接口。
基于安全区域的策略控制
USG安全网关支持根据不同的安全区域之间的访问设计不同的安全策略组(ACL访问控制列表),每条安全策略组支持若干个独立的规则。这样的规则体系使得统一安全网关的策略十分容易管理,方便用户对各种逻辑安全区域的独立管理。
基于安全区域的策略控制模型,可以清晰的分别定义从trust到untrust、从DMZ到untrust之间的各种访问,这样的策略控制模型使得USG安全网关的网络隔离功能具有很好的管理能力。
互联网充满各式各样的威胁,包括恶意的网络攻击和入侵、病毒传播、木马注入等等,作为学校出口,必须具有极高的安全设计,以保证内网安全和稳定。
互联网的安全威胁主要集中在病毒、蠕虫、恶意代码,网页篡改,垃圾邮件等方面,对外发布网站也常常成为攻击目标。
USG采用先进的一体化检测机制,将入侵防御功能、反病毒功能、UTRL过滤、ASPF深度检测等安全特性集成于一体,形成立体的威胁防御解决方案。
(1)一体化检测机制
USG的一体化检测机制不仅提供了强大的内容安全功能,还使得即使在内容安全功能全开的情况下,也可以保持较高性能功能。一体化检测机制是指设备仅对报文进行一次检测,就可以获取到后续所有内容安全功能所需的数据,从而大幅提升设备处理。
(2)入侵防御功能
入侵防御功能主要可以防护应用层的攻击或入侵,例如缓冲区溢出攻击、木马、后门攻击、蠕虫等。USG的入侵防御功能可以通过监控或者分析系统事件,检测应用层攻击和入侵,并通过一定的响应方式,实时地中止入侵行为。NGFW入侵防御功能的特点如下:
l支持直路/旁路部署方式,支持针对不同流量配置不同的防护措施
l支持对应用层报文进行深度解析
l支持进行报文分片重组和TCP流重组之后再进行威胁检测
l支持海量的签名库,支持自定义签名
l超低的签名误报率
(3)反病毒功能
反病毒功能可以对网络中传输的文件进行扫描,识别出其中携带的病毒,并且予以记录或清除。病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒通常被携带在文件中,通过网页、邮件、文件传输协议进行传播。内网主机一旦感染病毒,就可能导致系统瘫痪、服务中止、数据泄露,令企业蒙受巨大损失。NGFW提供的反病毒功能对最容易传播病毒的文件传输与共享协议以及邮件协议进行检测和扫描,可以防范多种躲避病毒检测的机制,实现针对病毒的强大防护能力。下一代防火墙NGFW反病毒功能具备如下特点:
l支持丰富的应用层协议和应用程序
l支持对压缩文件进行病毒扫描
l支持海量的病毒特征库
l支持针对不同流量配置不同的防护措施,支持添加应用例外和病毒例外定制病毒防护策略
(5)URL过滤
Web安全问题中最为显著的就是非法网站和恶意网站。非法网站是指暴力、色情等不被当地法律法规或者企业管理制度所允许访问的网络资源。非法网站带来的危害包括影响社会稳定、降低员工工作效率、占用企业带宽、浪费企业网络资源等;恶意网站是指挂马网站、钓鱼网站等试图在用户浏览过程中向用户主机植入木马、进行SQL注入和跨站脚本攻击、利用浏览器/系统漏洞获取主机权限或数据、骗取用户钱财等存在恶意行为的网站。恶意网站有可能带来用户或企业的大量经济损失。恶意网站的显著特征就是在没有安全机制保护的情况下,用户对其恶意行为完全不知情,往往在无意中就造成了损失。
URL过滤根据用户访问的URL地址对URL访问行为进行控制。管理员可以NGFW提供的海量URL分类数据库,以及自己定义的URL地址及分类,对不同的URL地址设置不同的处理措施。NGFW提供的URL分类数据包含了大量已知的挂马网站、钓鱼网站等恶意网站的网址。用户在访问URL时,设备可以自动查询这个URL是否属于恶意网站,并作出相应的处理措施。
由于URL地址的数量极其庞大,而且每天都增加,作用也可能发生改变。海量URL分类数据库可以及时跟踪Internet上的URL地址变化,实时更新URL分类信息,保证了URL过滤功能的不断增强。同时,管理员也可以在本地网络搭建URL分类查询服务器。由本地URL分类查询服务器从查询服务器上学习完整的URL分类信息,本地网络中的多台NGFW再向该服务器进行查询。这种部署方式节约了网络带宽,提高了查询速度,还可以在内网中的NGFW无法直接连接Internet时,仍能实现实时查询。
(6)ASPF深度检测功能
NGFW支持ASPF技术,ASPF是一种高级通信过滤技术,它检查应用层协议信息并且监控基于连接的应用层协议状态。NGFW依靠这种基于报文内容的访问控制,能够对应用层的一部分攻击加以检测和防范,包括对于FTP命令字、SMTP命令的检测、HTTP的Java、ActiveX控件等的检测。
ASPF技术是在基于会话管理的技术基础上提供深层检测技术的,ASPF技术利用会话管理维护的信息来维护会话的访问规则,通过ASPF技术在会话管理中保存着不能由静态访问列表规则保存的会话状态信息。会话状态信息可以用于智能的允许/禁止报文。当一个会话终止时,会话管理会将该会话的相关信息删除,NGFW中的会话也将被关闭。
针对TCP连接,ASPF可以智能的检测“TCP的三次握手的信息”和“拆除连接的握手信息”,通过检测握手、拆连接的状态检测,保证一个正常的TCP访问可以正常进行,而对于非完整的TCP握手连接的报文会直接拒绝。
在普通的场合,一般使用的是基于ACL的IP包过滤技术,这种技术比较简单,但缺乏一定的灵活性,在很多复杂应用的场合普通包过滤是无法完成对网络的安全保护的。例如对于类似于应用FTP协议进行通信的多通道协议来说,利用ACL规则配置防火墙是非常困难的。FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道,对于一般的包过滤防火墙来说,配置安全策略时无法预知数据通道的端口号,因此无法确定数据通道的入口。这样就无法配置准确的安全策略。ASPF技术则解决了这一问题,它检测IP层之上的应用层报文信息,并动态地根据报文的内容创建和删除临时的规则,以允许相关的报文通过。
ASPF使得NGFW能够支持一个控制通道上存在多个数据连接的协议,同时还可以在应用非常复杂的情况下方便的制订各种安全的策略。许多应用协议,如Telnet 、SMTP使用标准的或已约定的端口地址来进行通信,但大部分多媒体应用协议(如H.323、SIP)及FTP、net meeting等协议使用约定的端口来初始化一个控制连接,再动态的选择端口用于数据传输。端口的选择是不可预测的,其中的某些应用甚至可能要同时用到多个端口。ASPF监听每一个应用的每一个连接所使用的端口,打开合适的通道让会话中的数据能够出入NGFW,在会话结束时关闭该通道,从而能够对使用动态端口的应用实施有效的访问控制。
当报文通过NGFW时,ASPF将对报文与指定的访问规则进行比较,如果规则允许,报文将接受检查,否则报文直接被丢弃。如果该报文是用于打开一个新的控制或数据连接,ASPF将动态的修改规则,对于回来的报文只有属于一个已经存在对应的有效规则,才会被允许通过。在处理回来的报文时,状态表也会随时更新。当一个连接被关闭或超时后,该连接对应的状态表将被删除,确保未经授权的报文不能随便通过。
7.1.4 流量管控设计
互联网出口带宽资源是有限的,而校内存在大量的用户,如果不进行精细化的流量控制策略,那么在流量无止境抢占的情况下,所有人的上网体验都会变得非常糟糕。
多种流量管控策略:
支持基于IP地址(地址段)的流量控制:IP(段)的流量控制是指根据报文源地址、源端口、目的地址、目的端口、协议这五元组信息匹配限流策略,如果匹配上了则进行相应的限流,否则不做限流。策略里面可以配置地址或地址的集合,协议或协议的集合。
基于DPI应用的流量控制:DPI(Deep Packet
Inspection)作为一种较新的包检测技术,除了能够检测P2P、IM,还可以识别包括VOIP(skype、H.323、SIP、RTP、Net2Phone、Vonage),Game(Diablo、Tantra),web_Video(PPlive、QQlive、SopCast),Stock,Attack等20多种大类,以及上千种应用协议,该DPI库支持在线升级,保证DPI库的实时更新。用户根据DPI应用类型分别采取不同的限流策略,包括允许通过、禁止通过、带宽限速、带宽保证、闲时复用、连接数限制等。
基于用户(用户组)的流量控制:在流量识别对应用户身份的基础上,防火墙只需要针对用户(组)信息配置限流策略,而不再需要根据复杂多变的IP网段来进行限流配置,这样不同的用户(组)身份可配置不同的流量控制策略,既简化了策略配置,又适应了企业复杂多变的网段规划,方便管理员的管理。
支持对流量进行双重控制:双重控制是指可对流量同时进行两种方式的限流。包括基于每IP的限流和基于整体带宽限流的两级控制。
支持对流量进行保证带宽控制:是指可以为每个IP地址设置最小保证能够通过的流量,在保证了这些最小带宽之余,当总体带宽有空余时,则每个IP地址能够通过大于保证带宽值,而小于最大带宽值的流量。对于大于保证带宽的报文,转发还是丢弃是按照报文到达时带宽是否超过总体带宽来决定,超过时则丢弃,否则转发。
支持对流量进行连接数控制:连接数的限制是指对并发连接数进行限制,现网应用P2P等占用了很多连接资源,对连接数进行限制,从而达到对流量进行限制目的。包括基于每IP并发连接数限制,基于整体并发连接数限制等。
支持对流量进行选路控制:一些多出口的网络部署当中,需要对不同的流量进行选路控制。比如:要求P2P识别的流量从A接口发送出去,VOIP的流量从B接口发送出去;或者一开始所有流量都从主接口发送出去,当主接口的流量超过配置的流量阈值时则启动备份链路,使得超过主接口阈值的流量能从B接口发送出去。
7.1.5 上网行为管控设计
互联网上存在各种资源,网络出口需要对互联网资源进行必要的过滤,将其中的非法内容,特别是涉及到黄赌毒的内容进行过滤,以对学校学生成长提供更完善的保障,同时也符合法律法规的要求。
上网行为管控功能,运用了内容过滤技术,内容过滤结合预分类技术和实时分析技术,对于网络访问进行控制。顾名思义,预先分类就是事先对网站进行分类,在过滤时直接查询网站所属的分类即可,响应速度快,性能高,预分类库内容支持实时动态更新。预分类技术可以解决大部分的web访问安全问题。同时,对于web及其他网络协议(如FTP、SMTP、POP3等)进行深度解析,实时分析用户的行为以及传输的内容,根据组织的需要,对于无用的、有信息安全风险的行为进行控制,阻止对于组织有害的网络访问行为的发生。两种技术的完美结合,极大提升了内容检测的检测效率和准确率。
安全网关USG的星期内容识别技术包括:
l支持URL分类技术:URL过滤业务通过识别并屏蔽对恶意网站的访问能够在一定程度上减少木马,以及各种各样的恶意网页的传播,为用户提供一个更安全的网络环境。对于钓鱼网站,URL过滤功能更是其先天的克星。。
l深度的协议分析、解码,多层次、细粒度的行为控制:通过对HTTP、FTP、SMTP、POP3、webmail的分析,区分上传、下载、收邮件、发送邮件等行为,以及发送文件的名称、类型、大小等信息,为组织提供不同层次、不同粒度的控制。组织可以根据自身的需要,选择网络访问的完全禁止,或者是允许浏览、下载,不允许外发信息;或者进一步允许外发少量普通文本信息,却禁止发送word文档、源代码文件等可能涉及核心机密信息的文件;通过不同层次、粒度的访问控制,保障组织的网络安全、信息安全。
l一体化内容过滤:信息、文件是组织最终需要控制的内容,网络访问可以通过各种方法、各种协议来传递这些信息,通过对于关键字、文件名、文件类型等的抽象、公共化,方便用户的配置。如,管理者希望禁止用户外发任何office文档、压缩包类文件,则用户只需要配置一个文件类型对象组,然后在HTTP、FTP、邮件等相关协议中引用即可,不需要为每个协议进行重复配置。
l领先的webmail签名:可根据用户需求为指定的Webmail品牌定制签名,使Webmail内容过滤更具针对性;能精确识别Webmail服务,包括发送邮件、上传附件、发送贺卡、发送明星片、设置自动回复等,为邮件审计和事后追查提供有力依据;签名文件和Webmail服务器保持同步,当Webmail服务器软件升级时,仅需升级Webmail签名文件,就能对最新的Webmail品牌的做内容过滤。
上网行为管控功能,主要是对用户进行上网行为分析,根据企业管理员制定的规则,对于不符合规范的上网行为,进行控制和审计。主要包括下述一些功能:
lURL过滤功能:包括URL自定义过滤功能、URL热点库过滤功能、URL远程查询过滤功能、URL本地黑、白名单过滤功能以及所有这些针对URL的审计功能等。
l搜索引擎关键字过滤和审计功能:支持Google、百度、Bing、雅虎四大主流搜索引擎,可对其搜索的关键字进行过滤和审计。
lWEB内容过滤和审计功能:支持对访问的WEB网页内容进行过滤;支持禁止上传和发表内容(论坛、微博等);支持对上传和下载文件进行控制,包括文件名、文件类型、文件大小
l邮件内容过滤和审计功能:支持对邮件主题、正文、附件名称关键字过滤;支持对发送邮件和接收邮件的发件人及收件人分别进行控制;支持对邮件附件做控制,包括是否允许发送和接收邮件、发送和接收邮件的个数及大小控制等;支持防垃圾邮件功能,包括自定义黑白名单,预定义Symantec提供的RBL服务器
lFTP内容过滤和审计功能:支持不允许上传、下载、删除文件操作;支持对上传和下载的文件进行控制,包括文件大小、文件名称、文件类型;支持FTP防躲避技术,避免用户修改违规文件名和文件类型后再尝试下载,或者在上传文件后重新修改成违规文件名和文件类型的操作。
网络出口优化
USG针对网络资源实现精细化的管理和优化,从而让网络资源发挥出最大的利用率,以增加用户上网体验。
针对多校园的多ISP出口线路,USG有多种方式以提高线路出口的利用率。
针对不同的ISP地址实现针对性的出口选路,在多运营商出口场景中实现最短路由。整体思路是通过运营商或者组网人员提供的路由IP列表ISP文件导入设备中,通过给文件设置下一跳,或者出接口和下一跳以及IP-link参数的方式,拼接组合得到完整的路由命令,然后通过ISP文件的启用,达到控制静态路由下发的目的。
UCMP(Unequal Cost Multiple Path 非等值负载分担),是指如果到达目的地有多条带宽不同但优先级相同的链路,则流量会根据带宽按比例分担到每条链路上。这样所有链路可根据带宽不同而分担不同比例的流量,使流量转发更合理。
UCMP原有两种工作模式:路由权重负载分担模式和链路带宽负载分担模式。
智能负载均衡功能就是在原有的UCMP功能基础上进行扩展,增加了一种UCMP的智能工作模式。智能出站负载均衡功能基本原理如下:
在这种UCMP智能工作模式下,当防火墙接收的报文命中智能出站负载均衡策略后,防火墙分别在每条等价链路上对远端主机进行健康检查,此健康检查是使用ICMP协议的ping功能进行探测;
根据针对远端主机健康检查所得到的远端主机的网络时延,选择时延较小的链路生成静态UNR路由,指导后续报文的转发,以此来合理分配等价链路的带宽;
当多个等价链路其中的某一条链路的带宽占用率已经到达用户配置的阀值时,就不触发针对远端主机的健康检查了,直接将该报文负载均衡到别的链路发送出去。
远程访问在校园内最重要的两个场景,一个是分校区的整体网络互联互通,一个是个体用户因为出差或者其他原因,需要在外网访问内网的资源或者办公系统。VPN设备是一个非常具有性价比的安全解决方案。其易用性,安全性在全球的各个行业环境中都得到了使用。
在本方案中,建议部署SVN设备建设校区之间与提供外部用户安全远程访问的平台。
SVN设备建议部署于DMZ区,经过出口防火墙的防御之后,SVN可以提供对外的安全访问。
利用互联网的资源实现灵活VPN组网一般有IPSec
VPN和SSL VPN两种方式。
IPSec(IP Security)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。
IPSec协议有两种工作模式:隧道模式和传输模式。在隧道模式下,IPSec将整个原始IP数据包放入一个新的IP数据包中,这样每一个IP数据包都有两个IP包头:外部IP包头和内部IP包头。外部IP包头指定将对IP数据包进行IPSec处理的目的地址,内部IP包头指定原始IP数据包最终的目的地址。IP包的源地址和目的地址都被隐藏起来,使IP包能安全地在网上传送。其最大优点在于终端系统不必为了适应IP安全而作任何改动。隧道模式既可以用于两个主机之间的IP通信,又可以用于两个安全网关之间或一个主机与一个安全网关之间的IP通信。
在传输模式下,要保护的内容是IP包的载荷,在IP包头之后和传输层数据字段之前插入IPSec包头(AH或ESP或二者同时),原始的IP包头未作任何修改,只对包中的净荷(数据)部分进行加密。由于传输模式的IP包头暴露在外,因而容易遭到攻击。传输模式常用于两个终端节点间的连接,如客户机和服务器之间。
IPSec定义了一套用于认证、保护私有性和完整性的标准协议。它支持一系列加密算法如DES、3DES;检查传输数据包的完整性,以确保数据没有被修改。IPSec可用来在多个防火墙和服务器之间提供安全性,确保运行在TCP/IP协议上的VPN之间的互操作性。
SSL VPN是以SSL/TLS协议为基础,利用标准浏览器都内置支持SSL/TLS的优势,对其应用功能进行扩展的新型VPN。
SSL协议最初是由Netscape公司开发,用于保护web通信安全。到目前为止, SSLv3和TLS1.0(也被成为SSLv3.1)得到了广泛的应用,2006年IETF推出了TLS1.1协议(RFC4346),2006年IETF推出了TLS1.2(RFC5246)并在2011年对其进行了修正(RFC6176)。随着SSL协议的不断完善,包括微软IE在内的愈来愈多的浏览器支持SSL,SSL协议成为应用最广泛的安全协议之一。
SSL协议分为两层,上层是握手协议,底层是记录协议。SSL握手协议主要完成客户端与服务器之间的相互认证,协商加密算法与密钥。在握手协议中,认证可以是双向的,协商密钥的过程是可靠的,协商得到的密钥是安全的。SSL记录协议建立在可靠的传输协议之上,主要完成数据的加密和鉴别。通过对称密码算法确保了数据传输的机密性,通过HMAC算法确保数据传输过程的完整性。
由此可见,SSL协议从以下方面确保了数据通信的安全:
认证 - 在建立SSL连接之前,客户端和服务器之间需要进行认证,认证采用数字证书,可以是客户端对服务器的认证,也可以是双方进行双向认证。
机密性 - 采用加密算法对需要传输的数据进行加密。
完整性 - 采用数据鉴别算法验证所接收的数据在传输过程中是否被修改。
除了web访问、TCP/UDP应用之外,SSL VPN还能够对IP通信进行保护。在保证通信安全性的基础上,SSL VPN实现了更加细致的访问控制能力,大大增强了对内网的安全保护。同时,SSL
VPN通信基于标准TCP/IP,因而不受NAT限制,能够穿越防火墙,使用户在任何地方都能够通过SSL VPN网关代理访问内网资源,使得远程安全接入更加灵活简单。另外,使用SSL
VPN访问B/S应用时不需要安装任何客户端软件,只要用标准的浏览器就可以实现对内网Web资源的访问,省去了客户端的繁琐的维护和支持工作,不仅极大地解放了IT管理员的时间和精力,更提高了远程接入人员(如出差员工)的工作效率,节省了企业的培训和IT服务费用;同时,也意味着远程用户在进行远程访问时不会再受到地域的限制,不论是在公共网吧或是在商业合作伙伴那里,甚至是随手借一台笔记本,只要有网络,远程访问就没问题。
网络行为审计的意义
互联网行为牵涉到方方面面,如果缺乏监管,将对正常的工作和学习带来极大的安全隐患,并且根据国家公安部82号令的要求,各独立网络需要对上网行为日记进行记录,以配合违法追溯。
为了实现对网络行为的审计,满足国家相关法律法规要求,在网络骨干部署上网行为管理设备,对全网网络行为进行审计。
ASG建议采用旁挂模式部署,对整体的网络结构完全不造成任何影响。在BRAS上接入,把全网上网流量进行镜像到ASG接口,ASG对流量进行分析和记录。
并且BRAS系统会把用户认证的信息,包括用户账号,动态获得的IP地址对应关系也一并传递到ASG,使ASG能实现完整的行为记录。
网络审计效果
ASG可以对绝大部分的网络行为进行审计,包括:
审计应用的分类、应用名、使用该应用的用户、用户所在部门、目的地址、应用流量、应用使用时长等。
知名端口非标协议审计
审计常见端口(21、25、80、110和443端口)上的非标准协议流量,以识别潜在风险。
URL访问审计
审计域用户所访问的URL,支持审计所有URL和仅审计指定分类的URL。
Web内容上传审计
审计用户通过HTTP协议POST的内容,供事后追查在论坛/博客上发表的不良言论。
Web文件外发审计
审计用户通过HTTP协议上传的文件,有效追踪泄密事件。Web文件下载行为审计
审计用户通过网站下载的文件名称、类型和大小,了解用户下载行为。
支持审计邮件标题、邮件内容、发件人、收件人、邮件附件等。
IM聊天审计
IM审计需要使用ASG客户端,可以审计的IM软件包括QQ、阿里旺旺、飞信、MSN、雅虎通和Gtalk,可以审计聊天内容和外发的附件。
根据以上审计内容,ASG可以形成详细的报告和相关数据趋势分析,帮助实现精准的违法溯和网络行为趋势分析。
随着网络承载着单位越来越具有价值的信息资产,增强网络应用的安全性,防止被恶意入侵,是建设数据中心的重要一环。
NIP建议旁路部署于数据中心出口处,对出口的流量进行威胁检测。其设备本身不会对数据中心的访问造成稳定性影响。
防御入侵效果
全面防护:从系统服务到应用软件
提供传统IPS的漏洞攻击防护、Web应用防护、恶意软件控制、应用管控及网络层DOS防护等功能。
针对日益泛滥的上网客户端攻击(浏览器、媒体文件、各种文档格式等),提供最专业的保护。
应对愈演愈烈的面向HTTP、DNS、SIP等应用的拒绝服务攻击,提供业界领先的应用层DOS防护功能。
凭借全球布点的漏洞跟踪的能力,最早发现攻击,提供及时的签名升级。
精准检测:高效阻断业务威胁
基于先进的漏洞特征检测技术,确保检测的精准。无需担心误报。
自动学习业务流量基线,避免阈值配置错误。
默认情况对中高风险攻击自动阻断,无需专家进行签名调优。
应用感知,精细控制用户行为
1200+应用识别,采用细致带宽分配策略限制各种不当应用所占用的带宽,保障OA、ERP等办公应用的带宽。
全面监测和管理IM即时通讯、网络游戏、在线视频,以及在线炒股等应用,协助企业辨识和限制非授权网络行为,更好地执行安全策略。
易于使用,零配置上线即时保护
零配置上线:设备上电接通即可正常工作,无需复杂的签名调校及网络参数调整。
丰富的策略模板:为各专门场景提供最简单的配置方式,便于客户实施定制化安全策略。
实时系统监控及安全趋势监控,数十种分析报表,轻松掌握安全状态。
覆盖需求分析
随着智能终端的飞速发展和普及,园区覆盖WLAN已经是难以阻挡的趋势。为了更好服务于校园内的各类用户,建议在校园内的各个场景中建设具有较高用户体验的WLAN覆盖。
根据不同的场景和不同的业务需求,对于WLAN覆盖的要求也有差异,需要根据差异性选择不同的WLAN设备进行部署,以达到最好的使用效果。
场景需求分析
主要覆盖场景中,笔记本、台式计算机、智能手机、平板电脑等多种类型WIFI无线终端,802.11a、802.11b、802.11g、802.11n等多种标准的终端均可便捷接入,满足我校网络师生接入覆盖需求。
学生公寓区域
重点覆盖区,满足100%用户并发,接入速率不低于2Mbps;
双频覆盖,2.4GHz和5GHz边缘场强均大于-60dBm。
一般覆盖区,满足30%用户并发,学生同时接入上网,并发接入速率不低于1Mbps;
双频覆盖,2.4GHz和5GHz边缘场强均大于75dBm。
会议室、学术交流厅、演播厅
重点覆盖区,满足40%师生同时上网;并发接入速率不低于1Mbps;
双频覆盖,2.4GHz和5GHz边缘场强均大于-70dBm。
重点覆盖区,满足100%用户并发,办公人员同时上网,并发接入速率不低于2Mbps;
双频覆盖,2.4GHz和5GHz边缘场强均大于-70dBm
图书馆阅览室
重点覆盖区,满足40%并发上网,同时接入速不低于1Mbps;
双频覆盖,2.4GHz和5GHz边缘场强均大于-70dBm
重点覆盖区域,满足同时就餐师生15%并发上网,同时接入速率不低于1Mbp;
双频覆盖,2.4GHz和5GHz边缘场强均大于-65dBm
广场,操场室外场景
一般覆盖区域,双频覆盖,2.4GHz和5GHz边缘场强均大于-75dBm。
无线应用需求分析
服务质量QoS
无线漫游:覆盖区域内无线漫游,用户终端从一个AP覆盖范围移动到另一个AP覆盖范围,无需重新登录和认证;
精细化控制:老师、学生、访客不同的角色拥护不同的权限,且教师和学生之间要隔离,限制教师和学生互访;
多用户调度:
AP能感知接入用户数量,灵活调整物理信道竞争参数,降低碰撞几率,避免过多的用户接入同一AP,保障服务质量和体验。
无线安全加密:无线信号是开放的,任何人都可以接受到,存在数据被窃听,篡改等安全隐患,WLAN无线网络需要支持WEP、WPA/WPA2、WAPI等加密认证方式,充分保证学校师生重要信息的私密性,数据传输的安全性。
无线入侵防护:为了更好的保证网络的安全性和可靠性,WLAN无线网需要支持泛洪攻击、Spoof攻击、暴力PSK破解、Weak
IV等WIDS/WIPS安全防护。
AP设备:室外AP设备的防尘、防水的防护等级达到IP67要求,同时AP自身内置5kV防雷器,减少工程施工和网络运维的困难。
AC设备:AC支持1+1热备份,解决AC单点故障问题。
网络链路:本地转发模式下,若遇到CAPWAP隧道中断、AC故障、控制链路错误等问题时,AP可进入半自治状态,继续对终端业务数据进行转发,业务不中断,保障用户体验。
认证方式:认证系统需要支持Portal、MAC、802.1x,PPPOE等多种认证方式,以满足不同场景下,不同群体(老师,学生,访客)的接入认证需求。
计费方式:需要针对不同的群体实现差异化的灵活计费方式,如基于时长(包月、包年),基于流量、基于DAA(目的地址计费)等。
与有线网络兼容
新建WLAN网络必须考虑与原有有线网络之间的兼容,实现与现有系统使用同一个账号、密码进行认证,并获取相同的访问权限,与有线网络使用同一个账号、密码进行计费,使用不同的计费策略。
网络监控: 通过网管软件查看当前设备物理拓扑,直接显示设备间连接关系,监控设备及链路状态。通过WLAN业务拓扑监控无线设备告警、状态、网络设备逻辑结构,包括AC、AP、终端用户、非法AP的逻辑连接关系及其详细信息,并在拓扑提供一定故障诊断处理能力。
故障恢复:通过网管远程批量重启AP,恢复AP配置。通过网管快速完成AP替换,替换后业务不变。
无线方案产品结构
选用室内或者室外型AP 11n 2*2MIMO设备就近接入接入交换机,对于报告厅,体育馆等高密场景推荐使用3*3MIMO设备或者11ac设备以提高单台AP容量。
室外场景推荐使用AP6510DN,报告厅等高密场景推荐使用AP7110DN,宿舍或办公室场景推荐使用AP6010DN设备。
接入交换机:
接入层新增千兆POE接入交换机,满足AP供电以及WLAN 11n/11ac对接入带宽的需求。
接入交换机推荐选择华为S5700-24TP-PWR-SI和S5700-48TP-PWR-SI。
由于S12700随板内置AC功能,因此AC设备无需在单独购买;
8.1.2 射频规划
与IP地址规划一样,WLAN信道是WLAN网络设计中重要一环,大型无线校园网必须对WLAN信道进行统一规划。WLAN信道规划的好坏,影响到无线网络的带宽、无线网络的性能、无线网络的扩展以及无线网络的抗干扰能力,也必将直接影响到无线网络的用户体验。
为保证信道之间不相互干扰,大型无线校园网必须对WLAN信道进行统一规划并实施。WLAN系统主要应用两个频段:2.4GHz和5.0GHz。2.4G频段具体频率范围为2.4~2.4835GHz的连续频谱,信道编号1~14,非重叠信道共有三个,一般选取1、6、11这三个非重叠信道。5.0G频段分配的频谱并不连续,主要有两段:5.15~5.35GHz、5.725GHz~5.85GHz。不重叠信道在5.15~5.35GHz频段有8个,分别为36、40、44、48、52、56、60、64;在5.725GHz~5.85GHz频段有4个,分别为149、153、157、161,可以根据实际部署情况,选择相应的非重叠信道。
WLAN信道规划需遵循两个原则:蜂窝覆盖、信道间隔。根据覆盖密度、干扰情况、选择2.4G/5G单频或双频覆盖。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道,避免信号相互干扰;一般情况单独使用2.4G或5.0G的频段,对于会议室等高密度用户接入的场所,可以启用双频进行覆盖,以便提供更好的接入能力。单频覆盖和双频覆的示意图如下图所示。
WLAN链路预算一般经过边缘场强确认,空间损耗计算,覆盖距离计算等步骤。边缘场强确认是指:在WLAN工程部署中,要求重点覆盖区域内的WLAN信号到达用户终端的电平不低于-75dBm。这样可以保障用户与AP的协商速率以及收发数据质量。
通常采用如下公式:。其中:Pr[dB]为最小接收电平,即为AP在不同传输速率下的接收灵敏度;Pt[dB]为最大发射功率;Gt[dB]为发射天线增益;Gr[dB]为接收天线增益;Pl[dB]为路径损耗(包括空间传播损耗、馈线传播损耗、墙体/玻璃阻挡损耗)。实际部署中终端天线增益不可知,为方便计算常忽略接收天线增益,而采用如下公式:到达用户端的信号电平=AP发射功率+AP天线增益-路径损耗。路径损耗主要指WLAN信号的空间损耗,空间损耗=92.4+20lgf+20lgd (f:GHz,d:km)。由公式推算可知:
空间传输距离
2.4GHz信号的空间衰减(dBm)
5.8GHz信号的空间衰减(dBm)
为便于理解链路估算的过程,这里给出一个室外场景覆盖和室内场景覆盖的预算案例:根据WLAN覆盖边缘场强的要求,到达终端用户的信号电平不低于-75dBm,500mW
AP的输出电平27dBm,天线增益11dBi,距离AP 500m处信号的衰减量94dBm,由于27+11-94=-56dBm,大于-75dBm,因此在通常情况下,AP的覆盖范围为500m。由于数据通信是双向的,终端的信号发射功率相对AP较弱,综合考虑,一般建议室外AP的覆盖范围为200m~300m。有些场景需要利用无线AP设备做桥接,华为AP桥接可以按照3km~5km规划。
根据WLAN覆盖边缘场强的要求,到达终端用户的信号电平不低于-75dBm,100mW AP的输出电平20dBm,天线增益4dBi,距离AP 60m处信号的衰减量90dBm,由于20+4-90=-66dBm,大于-75dBm,因此在正常情况下,室内AP的覆盖范围为60m。考虑到室内环境复杂,无线信号需要穿越墙体等障碍物,一般建议覆盖半径为20m左右。
无论是室内还是室外,精细地覆盖规划都是一件非常有挑战的工作。很多项目的无线网络规划设计完全参照经验进行设计,与现网环境不能有机结合,不但缺乏科学的依据,准确率也不高,且规划效率低下。粗放的覆盖规划不能充分发挥WLAN的性能,并且也给后期维护优化带来更多的工作量,增加后期成本。
华为提供专业的规划服务工具,可以提供从规划、建设和优化全流程的工具支撑,大大提升高校这种场景覆盖规划的效率和准确性。
8.1.3 SSID和漫游规划
AP可以配置多个SSID,华为单频AP可支持16个SSID,双频AP可支持32个SSID。通过配置多个SSID,AC针对不同的SSID下发不同的策略,SSID根据策略进行终端与业务管理。无线网络可按照用户群体划分不同
