西默智能流量控制產(chǎn)品針對學校校園網(wǎng)絡解決方案

1、西默智能流量控制產(chǎn)品針對高校校園網(wǎng)絡解決方案一當前校園網(wǎng)絡面臨的現(xiàn)狀：校園網(wǎng)尤其是高校校園網(wǎng)，一直是國內(nèi)Internet發(fā)展的領頭羊，早在1994年7月，中國教育和科研計算機網(wǎng)CERNET示范工程就已正式啟動。隨著校園網(wǎng)信息化建設的開展，教學、科研、辦公、生活對于校園網(wǎng)平臺的依賴性越來越強。國內(nèi)的眾多校園網(wǎng)經(jīng)過多年持續(xù)不斷的基礎設施建設和應用提升，已經(jīng)形成了較為穩(wěn)定的基礎架構和相對豐富的應用平臺。在師生們利用校園網(wǎng)獲得更多更及時地教育資源的時候，一些網(wǎng)絡安全方面和應用方面的問題被暴露了出來，嚴重影響了校園網(wǎng)絡的健康發(fā)展。目前，很多學校校園網(wǎng)運維過程中，或多或少都會面臨著以下的問題及挑戰(zhàn)：1.

2、越來越多的出口由于一些特定因素，目前很多學校普遍采用多校園網(wǎng)出口方式，基本上70-80%以上學校都有2個校園網(wǎng)出口，并且根據(jù)當?shù)厍闆r，相當比例的學校擁有三個及以上的出口。學校通常會基于速度、資源利用情況和費用的考慮確定其多個出口的使用訪問方式。面對多個出口的實際使用狀況，在技術實現(xiàn)上如何進行智能選路？如何進行多鏈路負載均衡？如何靈活部署以簡化網(wǎng)絡拓撲，降低投資？2. 安全防護能力伴隨著數(shù)字化校園的建設、校園資源的整合，數(shù)據(jù)中心的建立已經(jīng)是大勢所趨。對數(shù)據(jù)中心服務器和傳統(tǒng)的校園網(wǎng)出口邊界處的安全防護，已經(jīng)成為大家重點關注的對象。事實上，校園網(wǎng)內(nèi)部出現(xiàn)的網(wǎng)絡威脅的種類也越來越多，不僅有非法入侵、網(wǎng)

3、絡滲透，還有網(wǎng)絡欺騙、DOS/DDOS攻擊、各種惡意軟件、垃圾郵件等。其中 DOS/DDOS攻擊尤其是一個應受到特殊關注的攻擊。最嚴重的攻擊是無法終止的攻擊，DOS/DDOS攻擊正是如此，尤其現(xiàn)有校園網(wǎng)日益增長的網(wǎng)絡帶寬（萬兆骨干網(wǎng)，上G出口帶寬）為DOS/DDOS攻擊提供了更大的可能。而且攻擊還呈現(xiàn)出以下特點：突發(fā)性強（很難預測和監(jiān)控）、隨機性強（任何網(wǎng)絡用戶都可能成為攻擊的目標, 同時攻擊的頻率和持續(xù)時間也很隨意，很多的攻擊持續(xù)時間并不長，當意識到攻擊發(fā)生時，攻擊可能已經(jīng)結束了）、方向不確定、復雜度在提高（攻擊手段和涉及的協(xié)議也在不斷的提高，對防御設備的性能及部屬以后的升級潛力提出更高要求

4、）。3. 流量控制校園網(wǎng)幾乎可以說是P2P應用最多的場所之一，大量的P2P等非關鍵應用無情地吞噬著校園網(wǎng)絡有限的帶寬資源，使得網(wǎng)絡管理人員頭痛不已。在沒有對校園 P2P流量進行策略管理的時間段內(nèi)，P2P等非關鍵應用的流量幾乎占用了60-70的網(wǎng)絡帶寬，關鍵性應用卻得不到保障。同時P2P軟件也逐漸成為計算機病毒和木馬傳播的主要途徑。可見，必須對特定用戶或者某些特定應用進行流量的控制。4. “無所不聯(lián)”的要求無論是廣大師生需要從校外遠程訪問校內(nèi)的數(shù)字圖書館，還是領導、老師需要從校外遠程使用校內(nèi)的辦公應用系統(tǒng)，不僅要實現(xiàn)其遠程安全接入，而且需要針對訪問者、使用者的身份進行認證并授權，為特定用戶群分配

5、特定的訪問資源。此外,同一高校多個校區(qū)之間的核心、敏感部門（財務、人事等部門）之間也必須實現(xiàn)安全互聯(lián)。5. 對內(nèi)網(wǎng)的監(jiān)控以及上網(wǎng)行為控制一方面，由內(nèi)網(wǎng)到外網(wǎng)的安全威脅比較嚴重。學生電腦管理松散，電腦中裝有各種軟件甚至感染病毒，有可能成為攻擊的跳板，因此還需要監(jiān)督、控制全網(wǎng)應用協(xié)議的情況（流量分布、會話數(shù)量）、校園網(wǎng)每用戶的使用情況（上下行流量、會話數(shù)量）等來作為輔助管理手段。另外一方面，學生自制力較差。有必要對其上網(wǎng)行為進行一定程度的控制，例如：禁止其瀏覽成人、娛樂等不安全或政策、法律禁止的網(wǎng)站，以及其它的一些上網(wǎng)使用行為。6. ARP攻擊防御ARP欺騙攻擊不僅導致校園網(wǎng)不穩(wěn)定，極大影響數(shù)字校

6、園業(yè)務的正常運行，更嚴重的是利用ARP欺騙攻擊可進一步實施中間人攻擊和網(wǎng)關仿冒攻擊。中間人攻擊是一種非常惡劣的網(wǎng)絡惡意攻擊行為。而ARP仿冒網(wǎng)關，則導致用戶無法正常和網(wǎng)關通信，攻擊者可以憑借此攻擊而獨占上行帶寬。由于ARP欺騙攻擊利用了ARP協(xié)議的設計缺陷，光靠包過濾、IPMAC端口綁定等傳統(tǒng)辦法是比較難解決的。7. 高性能、高可靠一方面，現(xiàn)在校園網(wǎng)的網(wǎng)絡流量模型逐漸在發(fā)生著變化（小包報文比例增加，單個用戶的并發(fā)連接數(shù)也在迅速增加、UDP報文在迅速增加等），另外一方面，越來越大的流量需要處理，越來越多的功能需要開啟，對于設備高處理性能的需求也是越來越迫切。維護校園網(wǎng)絡在高安全環(huán)境下的長期穩(wěn)定性

7、和可用性是校園網(wǎng)用戶所期望的。單設備、單鏈路的現(xiàn)象在校園網(wǎng)中還占據(jù)主要位置。對于設備的冗余、鏈路的備份，以及在出現(xiàn)設備或者鏈路故障下的自動切換，也僅僅是少數(shù)學校達到這樣的水平。那么，如何實現(xiàn)高可用性？如何實現(xiàn)自動調整對用戶的透明性？即，用戶無需理解復雜的技術，只需要體驗最快的網(wǎng)速。二針對以上問題，西默流控的解決辦法1.解決網(wǎng)絡對外接口帶寬的不足：利用西默流控系統(tǒng)的各種帶寬規(guī)則設定，網(wǎng)絡管理員可依據(jù)網(wǎng)絡的使用特性，預先規(guī)劃重要用戶，應用或服務器等，對一般非實時性的應用，如電子郵件給予適當?shù)膸捪拗?，減少大容量郵件附件對帶寬的占用。2.保障視頻會議，音頻（VOIP），ERP，數(shù)據(jù)庫等關鍵應用的實施

8、傳輸利用OQS設備所提供的各種帶寬管理規(guī)則設定，網(wǎng)絡管理員可依據(jù)網(wǎng)絡的使用特性，預先規(guī)劃重要應用的帶寬保證值，數(shù)據(jù)包的優(yōu)先級。3.控制P2P應用對于P2P應用，我們可以采取時間限制的做法，比如在工作時間段可以給定一個小帶寬，非工作時間段可以取消此限制。這樣就不會對正常的網(wǎng)絡應用秩序產(chǎn)生不利的影響。4.過濾不良信息網(wǎng)絡西默流量控制系統(tǒng)提供群組功能一級可以針對群組可設定規(guī)則加以管理，網(wǎng)絡管理員可以設定黑名單，并對此黑名單組設定過濾規(guī)則。由此，可確保網(wǎng)絡內(nèi)部用戶無法解除到這些不良信息網(wǎng)站。5.動態(tài)合理分配出口帶寬資源西默流量控制系統(tǒng)的帶寬管理功能提供針對不同時間、不同部門、不同用戶對象給予不同帶寬分

9、配、數(shù)據(jù)包優(yōu)先級等功能，使有限的帶寬資源利用效率達到最大化。6.高性能NAT西默流量控制系統(tǒng)采用多核+ASIC架構，解決了目前一些產(chǎn)品只能工作在透明模式下的弊端，既可以工作在透明模式下不改變網(wǎng)絡的整體結構，也可以部署在路由模式，能夠完成原有路由器和防火墻的功能。采用多核架構的流控產(chǎn)品在做NAT的同時，不影響帶寬管理的使用，性能下降很小。7.詳盡的監(jiān)控圖表西默流量控制系統(tǒng)提供詳盡的網(wǎng)絡監(jiān)控報表以及長期監(jiān)控圖形報告，方便管理員進行網(wǎng)絡管理，網(wǎng)絡流量擁塞定位。三西默流控的部署方式西默流量控制產(chǎn)品支持多種部署方式，分別為：路由網(wǎng)關模式、透明網(wǎng)橋模式、旁路部署模式，您可以根據(jù)您的網(wǎng)絡拓撲狀況和您的需求，

10、靈活的部署西默流量控制產(chǎn)品，最大限度發(fā)揮本產(chǎn)品的性能。1、 路由網(wǎng)關模式 網(wǎng)關模式是將西默流量控制產(chǎn)品作為內(nèi)部網(wǎng)絡的出口路由，其典型部署拓撲圖如下：通過NAT和PROXY功能，使內(nèi)部用戶共享Internet連接，同時分割內(nèi)外網(wǎng)，通過配置XMNAC，有效的保障了您的內(nèi)部應用的安全，同時通過合理的出口帶寬應用方案，保障您的關鍵業(yè)務應用。2、透明網(wǎng)橋模式 (建議用第二種)西默流量控制產(chǎn)品推薦的部署模式，其拓撲如下：此模式在不更改您的網(wǎng)絡拓撲的情況下，可以方便的實現(xiàn)對內(nèi)網(wǎng)用戶的訪問進行控制和監(jiān)視。3、旁路部署模式西默流量控制產(chǎn)品旁路部署模式拓撲如下：旁路部署模式，對所有經(jīng)過經(jīng)過的數(shù)據(jù)進行監(jiān)聽，達到監(jiān)控

11、目的，此方式對您網(wǎng)絡的影響最小，但由于只是分析所有數(shù)據(jù)的副本，因此不能發(fā)揮西默流量控制產(chǎn)品的QOS功能。四總結： 校園網(wǎng)的一個突出特點就是用戶數(shù)比較大，隨著學生用戶數(shù)量增多，學校的各種業(yè)務種類和內(nèi)容增加，使得校園網(wǎng)出口帶寬和數(shù)量不斷擴容。但由于缺乏有效的流量管理手段，出口線路帶寬不斷面臨著“擁塞擴容再擁塞”的問題，同時信息中心網(wǎng)管面臨著怎么去維護校園網(wǎng)絡穩(wěn)定性的問題。然而學校的特殊應用環(huán)境以及特殊應用群體使得該校網(wǎng)絡管理水平需要進一步提高，需要有更好的網(wǎng)絡維護工具與安全體系。 校園網(wǎng)的主要用戶群體是在學生，他們網(wǎng)絡應用水平普遍較高，喜歡下載并使用各類應用程序，包括一些黑客工具。從而產(chǎn)生的網(wǎng)絡流量大、流量模式復雜，使學校網(wǎng)絡的穩(wěn)定性面臨更加嚴峻的考驗。再加上層出不窮的網(wǎng)絡蠕蟲、DoS攻擊、學生私建各種應用服務器