高校網(wǎng)絡出口解決方案.doc

高校網(wǎng)絡出口解決方案1.高校網(wǎng)絡出口現(xiàn)狀分析 隨著高校信息化建設的開展，教學、科研、辦公、生活對于校園網(wǎng)平臺的依賴性越來越強。國內(nèi)的高校經(jīng)過多年持續(xù)不斷的基礎設施建設和應用提升，已經(jīng)形成了較為穩(wěn)定的校園網(wǎng)基礎架構(gòu)、相對豐富的校園網(wǎng)應用平臺。但是，在講究信息共享、資源整合的今天，有一塊區(qū)域長期以來一直困擾著各大高校這就是校園網(wǎng)出口區(qū)域。實踐中會發(fā)現(xiàn)，眾多高校都測試了多個廠商的設備，卻未能獲得很好的問題解決，無法取得理想的效果。然而，幾乎所有的高校信息化專家一致認為：“高校校園網(wǎng)不應該作為一個信息孤島而存在。網(wǎng)絡的價值更重要的是體現(xiàn)在信息的流通、資源的共享?！弊鳛樾@網(wǎng)絡平臺的“門戶”出口區(qū)域，承擔著高校之間相互交流的窗口的重大作用。那么高校的校園網(wǎng)出口到底是怎樣一個現(xiàn)狀，都面臨著哪些問題呢？為此，銳捷網(wǎng)絡自2006年初對全國10個省進行了采樣調(diào)查和分析。 1.1高校出口基本狀況調(diào)研 高校網(wǎng)絡出口調(diào)研的對象為10個省市的本科類非985院校（天津、遼寧、四川、重慶、湖南、湖北、廣東、安徽、福建、江蘇）。下面從學校規(guī)模，出口鏈路及帶寬方面來介紹調(diào)研成果。 第一、從學校網(wǎng)絡規(guī)模、信息點來看； 60%的高校擁有1000-10000這樣的信息點數(shù)規(guī)模。僅僅有13%的高校信息點數(shù)在1000點以下。而超過10000點大規(guī)模的學校比例為27%。信息點數(shù)的多少基本上可以反映接入PC的數(shù)量（不是完全一一對應的關(guān)系），因此，我們通過結(jié)合網(wǎng)絡規(guī)模和出口鏈路、出口設備狀況可以來判斷不同規(guī)模的學校所面臨的共性和個性的問題。 一般來說：規(guī)模在1000點以下、出口帶寬不是很低的情況下，出口區(qū)域的規(guī)劃相對容易，對設備性能的要求相對較低，從而所采用的策略可以寬松一些。目前面臨出口難題的主要為信息點數(shù)為1000-10000和10000以上的那些高校。第二、從出口的鏈路條數(shù)和帶寬情況來看；一方面，網(wǎng)絡規(guī)模較大的學校，出口帶寬普遍較高；另一方面，根據(jù)學校所在區(qū)域有所差別，比如像在廣州、武漢等全國網(wǎng)絡的核心節(jié)點地區(qū)，高校的出口帶寬普遍較高。同時，運營商在不同地區(qū)采取的收費標準也對高校出口帶寬有著重要的影響。 具體來說：在廣州、武漢，普通本科擁有千兆電信和千兆教育網(wǎng)帶寬的比例最高，甚至有千兆電信/千兆網(wǎng)通的接入；而在大連，普通本科學校的出口帶寬普遍在CERNET-100M，網(wǎng)通-10到50M不等。此外，由于一些特定因素，90%以上高校都有2個校園網(wǎng)出口，并且根據(jù)當?shù)厍闆r，相當比例的學校擁有三個以上的出口（教育城域網(wǎng)、聯(lián)通、移動等提供的第三條出口）。舉例來說：在四川的20所本科院校中，有5所學校具有三出口，比例為25%；湖北的17所本科院校中有四所學校具有三出口。 1.2高校出口現(xiàn)有設備分析我們的調(diào)研成果還包括了高校出口現(xiàn)有設備和所關(guān)注的功能。 第一、從現(xiàn)有出口設備組合方式來看； 出口設備主要包含了三類：路由器類、防火墻類、流量控制類。另外，還有一類為代理服務器的方式，該方式目前在國內(nèi)高校已不多見，但仍然有個別學校在使用（這里我們歸為路由器類）。 從一組124所高校的統(tǒng)計數(shù)據(jù)來看，單獨采用防火墻的模式和采用防火墻+路由器的混合模式占到了73%。（具體數(shù)據(jù)請看下圖124所本科院校出口設備組成比例圖） 第二、從出口設備所啟用和所關(guān)注的功能來看； 功能上，NAT（地址轉(zhuǎn)換）轉(zhuǎn)發(fā)，路由處理是最基本的。針對多出口，策略路由也是必備功能。 性能上，NAT（地址轉(zhuǎn)換）和策略路由是絕大都數(shù)高?，F(xiàn)有出口設備的瓶頸所在。其次是安全防護能力，包含出口日志的記錄能力，從我們的調(diào)查來看，幾乎沒有哪一個學校未遇到公安機關(guān)找上門的情況，甚至個別學校有因為日志問題而被公安機關(guān)拘留的記錄，某個城域網(wǎng)因為日志問題面臨被公安機關(guān)關(guān)閉的困境。 以所使用的具體設備為例：路由器功能豐富，但是安全性能差。防火墻對安全的處理是大家所認可的，轉(zhuǎn)發(fā)性能不高，尤其對于NAT、PBR的轉(zhuǎn)發(fā)性能較低，容易成為網(wǎng)絡瓶頸。而代理服務器的配置管理較復雜，對網(wǎng)管人員的要求高；并且其可靠性較低，需要經(jīng)常重啟；最重要的問題在于大規(guī)模網(wǎng)絡下代理服務器的性能問題。所以，我們看到了在某校規(guī)模較小的辦公網(wǎng)絡需要采用八臺代理服務器來保證其功能和性能的平衡。2.當前校園網(wǎng)出口面臨的挑戰(zhàn) 第一、NAT性能問題；出口設備要支持NAT（地址轉(zhuǎn)換）是共識的。一方面，校內(nèi)使用私有地址的情況，訪問Internet需要進行NAT；另一方面，即使校內(nèi)使用真實的教育網(wǎng)IP，那么通過電信或者網(wǎng)通的線路訪問外部資源，仍然需要進行NAT（地址轉(zhuǎn)換），因為電信所分配的地址更有限。NAT（地址轉(zhuǎn)換）等于給出口設備增加了一項很重要的任務，但是，從實際情況來看，NAT卻成為了上網(wǎng)速度慢的一個重要原因。 第二、策略路由支持問題； 首先，當前校園網(wǎng)是基于多出口的架構(gòu)。1）為了提高訪問速度需要多出口互聯(lián)。CERNET與電信、網(wǎng)通等運營商的互聯(lián)僅在上海、北京、廣州三地有交互中心，且互聯(lián)帶寬還不夠高，這就給教育用戶訪問公網(wǎng)資源和運營商用戶訪問教育網(wǎng)資源帶來了問題。2）為了解決費用問題。電信、網(wǎng)通等ISP的包月交費制提供了高校解決國際流量費用的好思路。3）解決線路備份問題，避免單出口單點故障的存在。 其次，從上面多出口架構(gòu)的原因分析可以看出，出口有必要對不同用戶規(guī)定相應的路徑，根據(jù)不同的訪問流量制定相應的路徑也就是基于策略的路由。從實際中各個學校的使用情況來看，一些早期的設備不支持策略路由，或者部分新采購的設備啟用策略路由時，造成設備性能的下降，從而影響整個出口的性能和穩(wěn)定性。 第三、安全防護能力問題；出口的安全防護一直是大家重點關(guān)注的對象，當前出口面臨的網(wǎng)絡威脅主要表現(xiàn)2個特點：首先，快速增長的網(wǎng)絡帶寬為網(wǎng)絡威脅提供了更多的空間。以前只有2M的出口帶寬，而現(xiàn)在已經(jīng)千兆入戶、百兆到桌面，而骨干網(wǎng)的帶寬也已經(jīng)普及萬兆。網(wǎng)絡越發(fā)達，網(wǎng)絡威脅出現(xiàn)的次數(shù)越多，網(wǎng)絡威脅造成的損失也就越大。其次，越來越豐富的應用，使得網(wǎng)絡安全的應對面也越來越廣。比如：EDonkey等P2P下載軟件和各種IM的聊天軟件。這些協(xié)議都是要TCP/UDP層上，甚至需要完成應用層的服務。網(wǎng)絡威脅的種類也越來越多，不僅有非法入侵、網(wǎng)絡滲透。還有網(wǎng)絡欺騙、DOS/DDOS攻擊、各種惡意軟件、垃圾郵件等。 第四、日志記錄問題；互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定在2005年11月23日公安部部長辦公會議通過，并自2006年3月1日起已經(jīng)施行。（該規(guī)定簡稱“82號令”）規(guī)定對用戶信息、用戶上網(wǎng)記錄、地址轉(zhuǎn)換記錄、設備狀態(tài)記錄等都有要求。 圖2公安部82號令（部分摘抄） 第五、流量控制問題；校園網(wǎng)的規(guī)模在擴大，網(wǎng)絡基礎設施在提升，出口帶寬在增加，各種網(wǎng)絡應用也更加豐富。但是，某些用戶或者應用（如BT等P2P應用）卻在過多的占用著網(wǎng)絡資源?？偟膩碚f，出口帶寬的增長速度與訪問流量的提升速度已經(jīng)是一種矛盾。所以，有必要對用戶或者某些特定應用進行流量的控制。 第六、高可用性的問題；以太網(wǎng)發(fā)明人Bob Metcalf曾說過“網(wǎng)絡的價值和其節(jié)點數(shù)的平方成正比?！碑斎辉搩r值體現(xiàn)的前提就是網(wǎng)絡的正常穩(wěn)定運行。當下，對服務質(zhì)量要求越來越高，用戶對校園網(wǎng)這一平臺的依賴性和期望值都越來越高，各高校對網(wǎng)絡的可用性，尤其出口的可用性的關(guān)注也是前所未有的。通俗的來說，校內(nèi)某一區(qū)域不正常只影響到該區(qū)域，而校園網(wǎng)出口的不可用將導致整個學校與外界的隔斷，校內(nèi)與校外的任何互訪、信息互通都無法實現(xiàn)。再審視絕大多數(shù)校園網(wǎng)出口區(qū)域，單設備、單鏈路的現(xiàn)象還占據(jù)主要位置。對于設備的冗余、鏈路的備份，以及在出現(xiàn)任何設備或者鏈路故障下的自動切換，也僅僅是少數(shù)學校達到這樣的水平。那么，如何打造出口的高可用性？如何實現(xiàn)出口的自動調(diào)整對用戶的透明性？即，用戶無需理解復雜的出口技術(shù)，只需要體驗最快的網(wǎng)速。這些問題都擺在了網(wǎng)絡管理者的面前。3.銳捷高教校園網(wǎng)出口解決方案 正是基于對高校的深刻理解，基于實事求是的調(diào)研數(shù)據(jù)，銳捷網(wǎng)絡2007年推出了為高校度身定制的校園網(wǎng)出口解決方案。 3.1性能是出口制勝的法寶 高度增強的NAT、PBR性能 首先，通過三組數(shù)據(jù)來說明實際的性能效果。 1）在啟用NAT、ACL、PBR（策略路由）的情況下，在通常情況報文流情況下（平均報文長度為500byte左右的混合報文），雙向可以達到8Gbps的線速轉(zhuǎn)發(fā)。簡單理解，在學校1條千兆CERNET，1條千兆電信的雙出口架構(gòu)下，完全可以雙向線速轉(zhuǎn)發(fā)。 2）并發(fā)達到200萬條的NAT會話數(shù)。如果按照每個網(wǎng)絡節(jié)點300條NAT會話，則可以支持將近7000臺的網(wǎng)絡節(jié)點同時在線，解決了網(wǎng)絡規(guī)模大與上網(wǎng)速度慢的矛盾。 3）每秒高達30萬條的NAT新建連接會話。在出口中平均長度512Byte報文1Gbps的NAT線速轉(zhuǎn)發(fā)下，每秒達到新建7萬條NAT會話?？梢酝瑫r1100個用戶美妙新建100個鏈接，從而解決用戶數(shù)多的情況下，網(wǎng)頁打開不斷線。圖3信產(chǎn)部關(guān)于NPE網(wǎng)絡出口引擎性能的測試報告 從底層架構(gòu)提升防火墻的性能 為了能夠解決校園網(wǎng)出口安全所面臨的各種問題，我們針對校園網(wǎng)出口安全進行了研究，對不同廠商的各種產(chǎn)品進行深入分析，對各種實現(xiàn)方案進行詳細比較。當然，其中如何能夠提供高性能的、豐富的網(wǎng)絡安全功能是出口安全的焦點所在。NP和單一CPU的方案可以提供豐富的安全服務，但是性能不滿足要求。而ASIC的方案可以提供高性能，但安全功能不夠豐富。 綜合考慮，銳捷RG-WALL2000產(chǎn)品核心技術(shù)采用可編程專用安全芯片和成熟商用芯片相結(jié)合的方案。這樣RG-WALL2000即有ASIC產(chǎn)品的高效能，兼有軟件產(chǎn)品的靈活性，同時也部分吸收了NP的微引擎設計思想。由于采用了ASIC的專用技術(shù)，在芯片設計的時候，就考慮到各種報文的轉(zhuǎn)發(fā)效率。這樣的設計就是校園網(wǎng)出口的全包長線速轉(zhuǎn)發(fā)性能。實測數(shù)據(jù)顯示，任意大小的數(shù)據(jù)包都在5-13ms內(nèi)數(shù)據(jù)轉(zhuǎn)發(fā)，完全達到業(yè)界最優(yōu)水平。 3.2安全防護牢牢掌握 在校園網(wǎng)出口，我們將安全防護主要交給RG-WALL2000。在銳捷RG-WALL2000產(chǎn)品中，銳捷開發(fā)了核心的安全芯片：Sentinel。Sentinel是一個高集成度的安全芯片，主要模塊是四層智能防御系統(tǒng)和IPSecVPN微引擎陣列。詳細地說，RG-WALL 2000能在硬件內(nèi)為源自Layer 2 至Layer 7的頭信息作檢驗和執(zhí)行模式匹配，且一次能匹配128個字節(jié)，垂度為16個字節(jié)。即，RG-WALL 2000一方面能快速地檢驗多至144個字節(jié)（128 + 16 = 144）的頭信息，另一方面也能匹配具體的消息頭（從1到128字節(jié)長度的可編程序簽名/模式字串），并能在結(jié)果上執(zhí)行邏輯運算。CME也能把同一流的數(shù)據(jù)包拼合，從而阻止把簽名分布到多個小包的應用層攻擊。在互聯(lián)網(wǎng)環(huán)境，基于芯片內(nèi)的CME分擔通用CPU的工作來預防一些已知的攻擊。 RG-WALL 2000除了防御常見的攻擊手段，如：SYN FLOODING、UDP flood、Ping flood、UDP Scan、TCP Scan(TCP SYN Scan、TCP FIN Scan、TCP Xmas Scan)、Ping Sweep Jolt2 Attack、Land-based Attack、Teardrop Attack、Ping of Death Attack、Smurf Attack、ARP Attack(APR Spoof、ARP Flood) 之外，還能偵察動態(tài)端口的攻擊。 圖4 RG-WALL 2000先進的體系架構(gòu)當然，鑒于NPE出口引擎的新一代流轉(zhuǎn)發(fā)機制，其具備內(nèi)嵌防火墻這項技術(shù)，也能承擔起安全防護的任務。NPE的安全防護主要體現(xiàn)在：報文過濾（它根據(jù)安全策略對數(shù)據(jù)流進行檢查，讓合法的流量通過，將非法的流量阻止，從而達到訪問控制的目的。）、狀態(tài)檢測（對基于六元組來識別網(wǎng)絡流量，并針對每條網(wǎng)絡流量建立從二層至七層的狀態(tài)信息。并基于這些狀態(tài)信息進行各種豐富的安全控制和更深粒度的報文過濾。）、攻擊防御（包括：IP畸形包攻擊、IP假冒、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、ping flood、UDP Flood等.）、內(nèi)容過濾：（針對URL地址進行靈活地分類，并應用到各種策略上，實現(xiàn)基于用戶策略的URL訪問過濾。）3.3流量識別，智能流量控制 網(wǎng)絡管理者要把好網(wǎng)絡的脈搏，清楚網(wǎng)絡的狀況，就有必要在出口區(qū)域：1）對應用進行識別，能夠看到具體的IM（即時通信）、P2P（BT、Edonkey等）、FTP等應用；2）掌控基于應用的和基于用戶的流量，這樣就能合理的分配資源、有計劃的規(guī)劃網(wǎng)絡的發(fā)展。RG-WALL能夠識別IM、P2P的應用，同時基于其僅5ms延遲的能力，先天具備對流量進行管理的基礎條件。在隊列管理方面，RG-WALL2000充分借鑒了高端路由交換設備的隊列管理結(jié)構(gòu)，在物理接口上執(zhí)行流控制管理。在分類上， RG-WALL 2000能夠根據(jù)源MAC, TOS, 數(shù)據(jù)包長, IP協(xié)議, 源和目的IP地址, TCP標志(ACK, RST, SYN, FIN), TCP源和目的端口, VLAN標志, VLAN用戶優(yōu)先級等信息對數(shù)據(jù)流進行分類.NPE所具有的獨特流量控制手段有：帶寬限制：可以提供從基于接口的粗粒度，到基于策略的每用戶的細粒度的帶寬限制； 并發(fā)會話數(shù)限制：基于策略的或者每用戶的并發(fā)會話數(shù)限制； 新建會話速率限制：基于策略的或者每用戶的新建會話速率限制；3.4日志記錄，疏而不漏日志對于網(wǎng)絡安全的分析和安全設備的管理非常重要。NPE針對各種網(wǎng)絡攻擊和安全威脅進行日志記錄，采用統(tǒng)一的格式，支持本地查看的同時，還能夠通過統(tǒng)一的輸出接口將日志發(fā)送到日志服務器，為用戶事后分析、審計提供重要信息. NPE日志包括： 設備日志：設備的狀態(tài)，系統(tǒng)事件日志 上網(wǎng)記錄日志：基于五元組的上網(wǎng)記錄日志 五元組為源/目的IP、源/目的端口、協(xié)議號 NAT日志：即進行NAT地址轉(zhuǎn)換前后的地址、端口的對應關(guān)系 攻擊日志：設備網(wǎng)絡受到攻擊的日志信息 圖5 出口設備符合規(guī)定的日志記錄RG-WALL2000支持設備日志和安全事件的審計日志，以供安全事件后的追查。通過在出口設備上的符合規(guī)范的日志實現(xiàn)，能夠保證在出現(xiàn)安全問題后的反查。同時在公安機關(guān)要求協(xié)助調(diào)查時候，起到很好的作用。進一步地，結(jié)合學校的身份認證平臺，比如銳捷RG-SAM，可以一步定位到安全事件的當事人在什么時間在某棟樓的哪一個交換機的哪個端口下接入網(wǎng)絡的。 3.5冗余備份，實現(xiàn)高可用性整個出口的設計將打造高可用性作為一個重要的目標。從架構(gòu)上看，出口采用了雙設備、多鏈路的互聯(lián)。一方面可以實現(xiàn)分流，即辦公區(qū)域的流量通過特定路徑，宿舍區(qū)域的流量經(jīng)過另外獨立的路徑；另一方面，當出現(xiàn)問題的時候，互為備份的設備或者冗余鏈路之間能夠?qū)崿F(xiàn)自動的切換。從學校實際的測試結(jié)果來看，也能很快進行切換，完全滿足學校的需要。達到的效果是：對于校園網(wǎng)用戶來說不用理解