高校网络出口解决方案.doc

1、高校网络出口解决方案1.高校网络出口现状分析随着高校信息化建设的开展，教学、科研、办公、生活对于校园网平台的依赖性越来越强。国内的高校经过多年持续不断的基础设施建设和应用提升，已经形成了较为稳定的校园网基础架构、相对丰富的校园网应用平台。但是，在讲究信息共享、资源整合的今天，有一块区域长期以来一直困扰着各大高校这就是校园网出口区域。实践中会发现，众多高校都测试了多个厂商的设备，却未能获得很好的问题解决，无法取得理想的效果。然而，几乎所有的高校信息化专家一致认为：“高校校园网不应该作为一个信息孤岛而存在。网络的价值更重要的是体现在信息的流通、资源的共享。”作为校园网络平台的“ 门户”出口区域，承

2、担着高校之间相互交流的窗口的重大作用。那么高校的校园网出口到底是怎样一个现状，都面临着哪些问题呢？为此，锐捷网络自 2006 年初对全国 10 个省进行了采样调查和分析。1.1 高校出口基本状况调研高校网络出口调研的对象为 10 个省市的本科类非 985 院校（天津、辽宁、四川、重庆、湖南、湖北、广东、安徽、福建、江苏）。下面从学校规模，出口链路及带宽方面来介绍调研成果。第一、 从学校网络规模、信息点来看；60%的高校拥有 1000-10000 这样的信息点数规模。仅仅有 13%的高校信息点数在 1000 点以下。而超过 10000 点大规模的学校比例为 27%。信息点数的多少基本上可以反映接

3、入 PC 的数量（不是完全一一对应的关系），因此，我们通过结合网络规模和出口链路、出口设备状况可以来判断不同规模的学校所面临的共性和个性的问题。一般来说：规模在 1000 点以下、出口带宽不是很低的情况下，出口区域的规划相对容易，对设备性能的要求相对较低，从而所采用的策略可以宽松一些。目前面临出口难题的主要为信息点数为 1000-10000 和 10000 以上的那些高校。 第二、 从出口的链路条数和带宽情况来看；一方面，网络规模较大的学校，出口带宽普遍较高；另一方面，根据学校所在区域有所差别，比如像在广州、武汉等全国网络的核心节点地区，高校的出口带宽普遍较高。同时，运营商在不同地区采取的收费

4、标准也对高校出口带宽有着重要的影响。具体来说：在广州、武汉，普通本科拥有千兆电信和千兆教育网带宽的比例最高，甚至有千兆电信/千兆网通的接入；而在大连，普通本科学校的出口带宽普遍在 CERNET-100M，网通-10 到 50M 不等。此外，由于一些特定因素，90%以上高校都有 2 个校园网出口，并且根据当地情况，相当比例的学校拥有三个以上的出口（教育城域网、联通、移动等提供的第三条出口）。举例来说：在四川的 20 所本科院校中，有 5 所学校具有三出口，比例为 25%；湖北的 17 所本科院校中有四所学校具有三出口。1.2 高校出口现有设备分析我们的调研成果还包括了高校出口现有设备和所关注的功

5、能。第一、 从现有出口设备组合方式来看；出口设备主要包含了三类：路由器类、防火墙类、流量控制类。另外，还有一类为代理服务器的方式，该方式目前在国内高校已不多见，但仍然有个别学校在使用（这里我们归为路由器类）。从一组 124 所高校的统计数据来看，单独采用防火墙的模式和采用防火墙+路由器的混合模式占到了 73%。 （具体数据请看下图124 所本科院校出口设备组成比例图）第二、 从出口设备所启用和所关注的功能来看；功能上，NAT（地址转换）转发，路由处理是最基本的。针对多出口，策略路由也是必备功能。性能上，NAT（地址转换）和策略路由是绝大都数高校现有出口设备的瓶颈所在。其次是安全防护能力，包含出

6、口日志的记录能力，从我们的调查来看，几乎没有哪一个学校未遇到公安机关找上门的情况，甚至个别学校有因为日志问题而被公安机关拘留的记录，某个城域网因为日志问题面临被公安机关关闭的困境。以所使用的具体设备为例：路由器功能丰富，但是安全性能差。防火墙对安全的处理是大家所认可的，转发性能不高，尤其对于 NAT、PBR 的转发性能较低，容易成为网络瓶颈。而代理服务器的配置管理较复杂，对网管人员的要求高；并且其可靠性较低，需要经常重启；最重要的问题在于大规模网络下代理服务器的性能问题。所以，我们看到了在某校规模较小的办公网络需要采用八台代理服务器来保证其功能和性能的平衡。2.当前校园网出口面临的挑战第一、N

7、AT 性能问题；出口设备要支持 NAT（地址转换）是共识的。一方面，校内使用私有地址的情况，访问 Internet 需要进行 NAT；另一方面，即使校内使用真实的教育网 IP，那么通过电信或者网通的线路访问外部资源，仍然需要进行 NAT（地址转换），因为电信所分配的地址更有限。NAT（地址转换）等于给出口设备增加了一项很重要的任务，但是，从实际情况来看，NAT 却成为了上网速度慢的一个重要原因。第二、策略路由支持问题；首先，当前校园网是基于多出口的架构。1）为了提高访问速度需要多出口互联。CERNET 与电信、网通等运营商的互联仅在上海、北京、广州三地有交互中心，且互联带宽还不够高，这就给教育

8、用户访问公网资源和运营商用户访问教育网资源带来了问题。2）为了解决费用问题。电信、网通等 ISP 的包月交费制提供了高校解决国际流量费用的好思路。3）解决线路备份问题，避免单出口单点故障的存在。其次，从上面多出口架构的原因分析可以看出，出口有必要对不同用户规定相应的路径，根据不同的访问流量制定相应的路径也就是基于策略的路由。从实际中各个学校的使用情况来看，一些早期的设备不支持策略路由，或者部分新采购的设备启用策略路由时，造成设备性能的下降，从而影响整个出口的性能和稳定性。第三、安全防护能力问题；出口的安全防护一直是大家重点关注的对象，当前出口面临的网络威胁主要表现 2 个特点：首先，快速增长的

9、网络带宽为网络威胁提供了更多的空间。以前只有 2M 的出口带宽，而现在已经千兆入户、百兆到桌面，而骨干网的带宽也已经普及万兆。网络越发达，网络威胁出现的次数越多，网络威胁造成的损失也就越大。其次，越来越丰富的应用，使得网络安全的应对面也越来越广。比如：EDonkey 等 P2P 下载软件和各种 IM 的聊天软件。这些协议都是要 TCP/UDP 层上，甚至需要完成应用层的服务。网络威胁的种类也越来越多，不仅有非法入侵、网络渗透。还有网络欺骗、DOS/DDOS攻击、各种恶意软件、垃圾邮件等。第四、日志记录问题；互联网安全保护技术措施规定在 2005 年 11 月 23 日公安部部长办公会议通过，并

10、自 2006 年 3 月 1 日起已经施行。（该规定简称“82 号令”）规定对用户信息、用户上网记录、地址转换记录、设备状态记录等都有要求。图 2 公安部 82 号令（部分摘抄）第五、流量控制问题；校园网的规模在扩大，网络基础设施在提升，出口带宽在增加，各种网络应用也更加丰富。但是，某些用户或者应用（如 BT 等 P2P 应用）却在过多的占用着网络资源。总的来说，出口带宽的增长速度与访问流量的提升速度已经是一种矛盾。所以，有必要对用户或者某些特定应用进行流量的控制。第六、高可用性的问题；以太网发明人 Bob Metcalf 曾说过“网络的价值和其节点数的平方成正比。”当然该价值体现的前提就是网

11、络的正常稳定运行。当下，对服务质量要求越来越高，用户对校园网这一平台的依赖性和期望值都越来越高，各高校对网络的可用性，尤其出口的可用性的关注也是前所未有的。通俗的来说，校内某一区域不正常只影响到该区域，而校园网出口的不可用将导致整个学校与外界的隔断，校内与校外的任何互访、信息互通都无法实现。再审视绝大多数校园网出口区域，单设备、单链路的现象还占据主要位置。对于设备的冗余、链路的备份，以及在出现任何设备或者链路故障下的自动切换，也仅仅是少数学校达到这样的水平。那么，如何打造出口的高可用性？如何实现出口的自动调整对用户的透明性？即，用户无需理解复杂的出口技术，只需要体验最快的网速。这些问题都摆在了

12、网络管理者的面前。3.锐捷高教校园网出口解决方案正是基于对高校的深刻理解，基于实事求是的调研数据，锐捷网络 2007 年推出了为高校度身定制的校园网出口解决方案。3.1 性能是出口制胜的法宝高度增强的 NAT、PBR 性能首先，通过三组数据来说明实际的性能效果。1） 在启用 NAT、ACL、PBR（策略路由）的情况下，在通常情况报文流情况下（平均报文长度为500byte 左右的混合报文），双向可以达到 8Gbps 的线速转发。简单理解，在学校 1 条千兆CERNET，1 条千兆电信的双出口架构下，完全可以双向线速转发。2） 并发达到 200 万条的 NAT 会话数。如果按照每个网络节点 300

13、 条 NAT 会话，则可以支持将近7000 台的网络节点同时在线，解决了网络规模大与上网速度慢的矛盾。3） 每秒高达 30 万条的 NAT 新建连接会话。在出口中平均长度 512Byte 报文 1Gbps 的 NAT 线速转发下，每秒达到新建 7 万条 NAT 会话。可以同时 1100 个用户美妙新建 100 个链接，从而解决用户数多的情况下，网页打开不断线。图 3 信产部关于 NPE 网络出口引擎性能的测试报告从底层架构提升防火墙的性能为了能够解决校园网出口安全所面临的各种问题，我们针对校园网出口安全进行了研究，对不同厂商的各种产品进行深入分析，对各种实现方案进行详细比较。当然，其中如何能够

14、提供高性能的、丰富的网络安全功能是出口安全的焦点所在。NP 和单一 CPU 的方案可以提供丰富的安全服务，但是性能不满足要求。而 ASIC 的方案可以提供高性能，但安全功能不够丰富。综合考虑，锐捷 RG-WALL2000 产品核心技术采用可编程专用安全芯片和成熟商用芯片相结合的方案。这样 RG-WALL2000 即有 ASIC 产品的高效能，兼有软件产品的灵活性，同时也部分吸收了 NP 的微引擎设计思想。由于采用了 ASIC 的专用技术，在芯片设计的时候，就考虑到各种报文的转发效率。这样的设计就是校园网出口的全包长线速转发性能。实测数据显示，任意大小的数据包都在 5-13ms 内数据转发，完全

15、达到业界最优水平。3.2 安全防护牢牢掌握在校园网出口，我们将安全防护主要交给 RG-WALL2000。在锐捷 RG-WALL2000 产品中，锐捷开发了核心的安全芯片：Sentinel。Sentinel 是一个高集成度的安全芯片，主要模块是四层智能防御系统和IPSecVPN 微引擎阵列。详细地说，RG-WALL 2000 能在硬件内为源自 Layer 2 至 Layer 7 的头信息作检验和执行模式匹配，且一次能匹配 128 个字节，垂度为 16 个字节。即， RG-WALL 2000 一方面能快速地检验多至 144 个字节（128 + 16 = 144）的头信息，另一方面也能匹配具体的消息

16、头（从 1 到 128 字节长度的可编程序签名/模式字串），并能在结果上执行逻辑运算。CME 也能把同一流的数据包拼合，从而阻止把签名分布到多个小包的应用层攻击。在互联网环境，基于芯片内的 CME 分担通用 CPU 的工作来预防一些已知的攻击。RG-WALL 2000 除了防御常见的攻击手段，如：SYN FLOODING、UDP flood、Ping flood、UDP Scan、TCP Scan(TCP SYN Scan、TCP FIN Scan、TCP Xmas Scan)、Ping Sweep Jolt2 Attack、 Land-based Attack、Teardrop Attack

17、、Ping of Death Attack、Smurf Attack、ARP Attack(APR Spoof、ARP Flood) 之外，还能侦察动态端口的攻击。图 4 RG-WALL 2000 先进的体系架构当然，鉴于 NPE 出口引擎的新一代流转发机制，其具备内嵌防火墙这项技术，也能承担起安全防护的任务。NPE 的安全防护主要体现在：报文过滤（它根据安全策略对数据流进行检查，让合法的流量通过，将非法的流量阻止，从而达到访问控制的目的。）、状态检测（对基于六元组来识别网络流量，并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤。）、攻

18、击防御（包括：IP 畸形包攻击、IP 假冒、TCP 劫持入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、ping flood、UDP Flood 等.）、内容过滤：（针对URL 地址进行灵活地分类，并应用到各种策略上，实现基于用户策略的 URL 访问过滤。）3.3 流量识别，智能流量控制网络管理者要把好网络的脉搏，清楚网络的状况，就有必要在出口区域：1）对应用进行识别，能够看到具体的 IM（即时通信）、P2P（BT、Edonkey 等）、FTP 等应用；2）掌控基于应用的和基于用户的流量，这样就能合理的分配资源、有计划的规划网络的发展。RG-WAL

19、L 能够识别 IM、P2P 的应用，同时基于其仅 5ms 延迟的能力，先天具备对流量进行管理的基础条件。在队列管理方面，RG-WALL2000 充分借鉴了高端路由交换设备的队列管理结构，在物理接口上执行流控制管理。在分类上， RG-WALL 2000 能够根据源 MAC, TOS, 数据包长, IP 协议, 源和目的 IP 地址, TCP 标志(ACK, RST, SYN, FIN), TCP 源和目的端口, VLAN 标志, VLAN 用户优先级等信息对数据流进行分类.NPE 所具有的独特流量控制手段有：带宽限制：可以提供从基于接口的粗粒度，到基于策略的每用户的细粒度的带宽限制；并发会话数限

20、制：基于策略的或者每用户的并发会话数限制；新建会话速率限制：基于策略的或者每用户的新建会话速率限制；3.4 日志记录，疏而不漏日志对于网络安全的分析和安全设备的管理非常重要。NPE 针对各种网络攻击和安全威胁进行日志记录，采用统一的格式，支持本地查看的同时，还能够通过统一的输出接口将日志发送到日志服务器，为用户事后分析、审计提供重要信息. NPE 日志包括：设备日志：设备的状态，系统事件日志上网记录日志：基于五元组的上网记录日志五元组为源/目的 IP、源/目的端口、协议号NAT 日志：即进行 NAT 地址转换前后的地址、端口的对应关系攻击日志：设备网络受到攻击的日志信息图 5出口设备符合规定的

21、日志记录 RG-WALL2000 支持设备日志和安全事件的审计日志，以供安全事件后的追查。通过在出口设备上的符合规范的日志实现，能够保证在出现安全问题后的反查。同时在公安机关要求协助调查时候，起到很好的作用。进一步地，结合学校的身份认证平台，比如锐捷 RG-SAM，可以一步定位到安全事件的当事人在什么时间在某栋楼的哪一个交换机的哪个端口下接入网络的。3.5 冗余备份，实现高可用性整个出口的设计将打造高可用性作为一个重要的目标。从架构上看，出口采用了双设备、多链路的互联。一方面可以实现分流，即办公区域的流量通过特定路径，宿舍区域的流量经过另外独立的路径；另一方面，当出现问题的时候，互为备份的设备

22、或者冗余链路之间能够实现自动的切换。从学校实际的测试结果来看，也能很快进行切换，完全满足学校的需要。达到的效果是：对于校园网用户来说不用理解出口的设计和自动切换，他所感受到的就是最快的网速。对于网络管理者而言，出口能够在最短的时间内进行切换，实现可用性，而不需要 24 小时进行值班，出现问题也无需立刻进行解决。RG-WALL2000 提供丰富的 HA 功能。RG-WALL 是国内为数较少的硬件实现 HA 的防火墙，但是它带来的是最大化降低网络的设备风险。其工作模式包括Active-Standby 和 Active-Active。在 AS 模式下，主机和备机之间可以同步规则、对象、路由和 Ses

23、sion等信息。当主机出现问题后，各种网络服务都可以平滑的切换到备机上，保证用户不断网。在 AA 模式下，两台设备可以同时工作，信息也是即使同步的，包括 Session。同时采用一个优化算法，将流量平均的放在两个设备上进行处理。当一个设备出现问题后，另一个设备就可以自动切换，提供网络服务。而当问题设备被修复后，工作的设备也会将 Session 等信息同步回问题设备。同步完成后，双机就可以正常工作。4.结束语高校的信息化、校园网的发展推动了整个教育的发展。而随着信息化程度的加深、进程的加快，校园网这个平台中所存在的矛盾也正日益暴露出来，校园网络出口的现状与其所起的窗口作用，与用户的高期望值就是当前摆在我们面前的矛盾之一。锐捷网络在进行了充分调研和论证的基础上，提出的高校网络出口解决方案就是在这样的环境下诞生和成熟起来的。网络的建设要有统一的规划，出口的建设同样如此。在分析出口面临的问题的同时，有必要进行整体的规划和分步骤分阶段的实施、实施效果的分析。在此，锐捷网络真心的希望能够与各位专家“携手共建校园网出口，共同提升网络价值”。