普教城域網(wǎng)篇

H3C普教城域網(wǎng)解決方案日期：201103第一章城域網(wǎng)安全第二章無線統(tǒng)一采購第三章骨干網(wǎng)改造第四章VPN管理目錄城域網(wǎng)出口安全案例：廈門翔安區(qū)S7503E中學(xué)小學(xué)S9505ES7503ECERNETCERNET2INTERNET教育城域網(wǎng)平臺(tái)RRPP環(huán)網(wǎng)中學(xué)小學(xué)S7503E中心小學(xué)小學(xué)出口認(rèn)證網(wǎng)關(guān)SR6602出口集成安全網(wǎng)關(guān)：S7510E+ACG插卡+FW插卡+IPS插卡城域網(wǎng)出口S7503E產(chǎn)品實(shí)現(xiàn)功能FWL2-L4的安全，區(qū)分內(nèi)外網(wǎng)，抵御DDoS等就像家有個(gè)門，誰家不需要門呢？IPSL4-L7的安全，針對服務(wù)器、網(wǎng)站的保護(hù)，抵御蠕蟲病毒等深度安全，自古以來，凡是有門的園區(qū)都有保安吧，這就是深度安全。ACG限制P2P，提升上網(wǎng)速度；記錄上網(wǎng)行為，包括URL，滿足82號(hào)令SSLVPN在家、酒店也能訪問內(nèi)網(wǎng)使用方式簡單，類似于打開網(wǎng)頁認(rèn)證合法用戶才能訪問城域網(wǎng)資源為什么要做安全改造城域網(wǎng)邊界安全案例：南寧教育局ISP線路某市重點(diǎn)中學(xué)普通中/小學(xué)教育城域網(wǎng)普通中/小學(xué)普通中/小學(xué)普通中/小學(xué)普通中/小學(xué)普通中/小學(xué)普通中/小學(xué)………………教育局一次性集采：30臺(tái)千兆防火墻、1臺(tái)萬兆防火墻特點(diǎn)：校園網(wǎng)與城域網(wǎng)實(shí)現(xiàn)跨廣域網(wǎng)的安全互聯(lián)對于有單獨(dú)出口的校園網(wǎng)，依然實(shí)現(xiàn)完善的安全防護(hù)教育局學(xué)校普教城域網(wǎng)電信/網(wǎng)通非法報(bào)文一般學(xué)校為了方便，會(huì)自己拉一個(gè)上網(wǎng)出口，但這樣，就會(huì)將Internet上的安全威脅通過學(xué)校傳到城域網(wǎng)，進(jìn)而導(dǎo)致整個(gè)城域網(wǎng)無法使用。解決辦法：在每個(gè)學(xué)校出口放一臺(tái)UTM或者F1000為什么需要做邊界安全SecCenter學(xué)校SecPath防火墻學(xué)校IPSecVPNIPSec+GREVPN移動(dòng)用戶BIMSSSLVPN學(xué)校IPSecVPN教育城域網(wǎng)區(qū)域信息中心InternetVPNManagerSecPath防火墻MSR路由器安全管理平臺(tái)方案描述SecPath系列防火墻/UTM/MSR路由器：使學(xué)校安全接入城域網(wǎng)信息中心或作為專線接入方式的備份；SecCenter

：實(shí)現(xiàn)全網(wǎng)安全統(tǒng)一管理SSLVPN：實(shí)現(xiàn)教師出差、學(xué)生在家方便接入網(wǎng)絡(luò)，并按照不同用戶設(shè)置不同權(quán)限BIMS/VPNManager：實(shí)現(xiàn)全網(wǎng)VPN部署和監(jiān)控。1、教育城域網(wǎng)移動(dòng)用戶的安全接入安全管理平臺(tái)SecCenterSecPath防火墻/IPS路由器學(xué)校方案描述通過防火墻/UTM的2-4層包過濾、狀態(tài)檢測等技術(shù)實(shí)現(xiàn)教育城域網(wǎng)各模塊間的邊界隔離通過IPS提供的4-7層安全防護(hù)，實(shí)現(xiàn)對進(jìn)入教育網(wǎng)核心的深度防護(hù)SecCenter：對部署的防火墻、IPS以及其他不同廠商的產(chǎn)品進(jìn)行統(tǒng)一安全管理。CERNET學(xué)校SecPath防火墻/UTMSecPath防火墻/IPSRPR/RRPPSecPath防火墻/UTM2、邊界安全和出口安全方案描述通過ACG（應(yīng)用控制網(wǎng)關(guān)）實(shí)現(xiàn)對P2P應(yīng)用進(jìn)行精確識(shí)別和控制；通過ACG實(shí)現(xiàn)對IM、網(wǎng)絡(luò)游戲、炒股、非法網(wǎng)站訪問等行為進(jìn)行識(shí)別和控制；通過SECBLADE板卡實(shí)現(xiàn)對所有教育城域網(wǎng)用戶的分布式控制和管理；SecCenter：對ACG上報(bào)的安全事件進(jìn)行深入分析并輸出審計(jì)報(bào)告GES9500/S7500ESecBladeACG萬兆匯聚業(yè)務(wù)控制接入學(xué)校學(xué)校GEINTERNET出口路由器SecPath防火墻、ACG、IPSRPR/RRPP3、上網(wǎng)用戶的行為監(jiān)管第一章城域網(wǎng)安全第二章無線統(tǒng)一采購第三章骨干網(wǎng)改造第四章VPN管理目錄9臺(tái)S7500E核心交換機(jī)

9臺(tái)WX3024有線、無線一體化交換機(jī)

9套iMC智能管理中心

330臺(tái)WA2210-AG智能無線接入設(shè)備WX3024無線控制器WA2210-AGH3C的優(yōu)勢：1、WX3024集認(rèn)證、鑒權(quán)、管理、安全、POE與一體！2、無線網(wǎng)絡(luò)可平滑升級(jí)到802.11n組網(wǎng)！3、iMC智能管理中心極大的方便的無線網(wǎng)絡(luò)的部署、管理和維護(hù)！4、有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)充分集成、智能融合！創(chuàng)新設(shè)計(jì)業(yè)內(nèi)唯一智能接入H3C打造上海長寧區(qū)教育精品網(wǎng)，幫助九所中學(xué)建立有線、無線一體化校園網(wǎng)！無線統(tǒng)一采購案例：上海長寧區(qū)9所中學(xué)瘦AP方案，也就是AC+AP。原因很簡單，AP是懸掛在墻壁、屋頂、樓頂?shù)鹊胤?，不可能隨時(shí)都可以配置管理，需要用AC對所有AP進(jìn)行統(tǒng)一配置、管理。InternetInternetAPAPAPAPAPAPAC傳統(tǒng)FatAP架構(gòu)H3CFitAP架構(gòu)配置維護(hù)困難不支持3層漫游IP地址需要擴(kuò)容安全性差不支持負(fù)載均衡無法自動(dòng)調(diào)節(jié)射頻配置維護(hù)困難不支持3層漫游IP地址需要擴(kuò)容安全性差不支持負(fù)載均衡無法自動(dòng)調(diào)節(jié)射頻零配置、自動(dòng)升級(jí)支持3層漫游兩種轉(zhuǎn)發(fā)模式支持WIDS支持負(fù)載均衡自動(dòng)調(diào)節(jié)射頻無線方案AC是整個(gè)方案的核心。跟核心最貼近的特點(diǎn)就是可靠，H3C的AC支持1+1熱冗余，毫秒級(jí)別切換。APAPAPAPAP接入/匯聚層網(wǎng)絡(luò)心跳線主AC備AC主CAPWAP隧道備CAPWAP隧道無線方案Controller內(nèi)置無線控制器模塊，可管理48個(gè)AP內(nèi)置WEB管理、本地RadiusServer、PortalServer和DHCPServer處理器性能強(qiáng)勁，支持IEEE802.11n的高速處理，24口POE+供電24個(gè)10/100/1000交換機(jī)4個(gè)千兆SPF接口萬兆上行AC選擇：普教量身定制的AC無線方案接入用戶數(shù)+600%高帶寬，接入速度從54M到300M，提升到6倍密接入，接入用戶數(shù)量提升到2倍802.11n是WLAN領(lǐng)域的趨勢易兼容，可同時(shí)接入以前的802.11abg用戶，舊電腦無需升級(jí)速度54M300MAP選擇：802.11n是主流，是趨勢無線方案AAA核心/匯聚層交換機(jī)NMS無線控制器接入層交換機(jī)FATAPFATAPFATAPFATAPFATAPFATAPFATAPFATAPFITAPFITAPFITAPFITAPFITAPFITAPFITAPFITAP先“胖”后“瘦”購買FIT/FAT雙模AP來保護(hù)原有投資統(tǒng)一操作系統(tǒng)平臺(tái)，實(shí)現(xiàn)平滑升級(jí)網(wǎng)絡(luò)建設(shè)初期使AP工作于FAT模式，滿足小規(guī)模組網(wǎng)需求網(wǎng)絡(luò)建設(shè)后期使AP工作于FIT模式，并添加無線控制器，滿足大規(guī)模組網(wǎng)需求無線方案供電選擇：直接用插線板顯然不靠譜，用POE供電盒你會(huì)發(fā)現(xiàn)弱電間到處都是，線都理不清楚，完全無法管理。POE交換機(jī)才是首選。利用網(wǎng)線直接給AP供電：施工便捷，無需再單獨(dú)部署一次電線；使用安全，無需使用插線板，避免漏電、遇水、誤碰等安全隱患產(chǎn)生；供電穩(wěn)定，設(shè)備用電與生產(chǎn)用電相隔離，出現(xiàn)停電情況也可保持設(shè)備運(yùn)行；統(tǒng)一管理，并能夠遠(yuǎn)程集中進(jìn)行供電管理，比如定時(shí)開關(guān)等；無線方案L2/L3IP網(wǎng)絡(luò)融合管理PoE交換機(jī)AP無線交換機(jī)有線、無線需要統(tǒng)一拓?fù)洹⑷诤瞎芾碇悄躊oE交換機(jī)：定時(shí)供電，定時(shí)開關(guān)AP一體化管理：有線無線一體化拓?fù)涔芾?、有線無線用戶統(tǒng)一管理、供電智能管理等無線方案WA2600WX3024WA2600…………WX3024WX6103有線無線管理中心教育局學(xué)校學(xué)校管理需求：教育局部署iMCWSM管理軟件，部署無線EAD實(shí)現(xiàn)無線接入安全；AC選擇：學(xué)校選擇WX3024無線交換機(jī)，教育局選擇WX6103做集中備份；AP選擇：WA2600系列802.11n系列胖瘦一體化AP，實(shí)現(xiàn)室內(nèi)和室外覆蓋；教育城域網(wǎng)H3C無線校園網(wǎng)推薦組網(wǎng)第一章城域網(wǎng)安全第二章無線統(tǒng)一采購第三章骨干網(wǎng)改造第四章VPN管理目錄教育局中心青山教育局東河教育局昆區(qū)教育局九原教育局石拐教育局固陽教育局土右教育局白云教育局達(dá)茂教育局門戶網(wǎng)站服務(wù)器內(nèi)網(wǎng)站服務(wù)器SecpathT200入侵防御系統(tǒng)SR6600路由器S7500E交換機(jī)Secpath1000E防火墻S5500全千兆交換機(jī)SecpathT1000S入侵防御系統(tǒng)S7500E交換機(jī)S7500E交換機(jī)S7500E交換機(jī)S7500E交換機(jī)S7500E交換機(jī)S7500E交換機(jī)S7500E交換機(jī)S7500E交換機(jī)S9500交換機(jī)S9500交換機(jī)S5500全千兆交換機(jī)IP-SAN萬兆存儲(chǔ)系統(tǒng)IX3000S7500E交換機(jī)S7500E交換機(jī)IP-SAN萬兆存儲(chǔ)系統(tǒng)IX3000中小學(xué)校中小學(xué)校中小學(xué)校中小學(xué)校中小學(xué)校中小學(xué)校中小學(xué)校中小學(xué)校RPRRPR骨干網(wǎng)改造：包頭市教育城域網(wǎng)教育局重點(diǎn)中小學(xué)核心環(huán)網(wǎng)重點(diǎn)中小學(xué)重點(diǎn)中小學(xué)中小學(xué)就近接入中小學(xué)就近接入中小學(xué)就近接入IRF2IRF2IRF2IRF2簡化之后的圖是這樣的…跨設(shè)備鏈路捆綁…一致的轉(zhuǎn)發(fā)表項(xiàng)…統(tǒng)一的管理界面物理上兩臺(tái)設(shè)備邏輯上一臺(tái)設(shè)備IRF2特性網(wǎng)絡(luò)改造要點(diǎn)：IRF223組網(wǎng)方式N秒秒毫秒Gateway=10.153.108.1Gateway=10.153.108.1IP=10.153.108.3/24虛IP=10.153.108.1IP=10.153.108.2/24Gateway=10.153.108.1Gateway=10.153.108.1IP=10.153.108.1/24IP=10.153.108.1/24Gateway=10.153.108.1Gateway=10.153.108.1IRF2虛擬系統(tǒng)IP=10.153.108.1/24VRRPMSTPIRF2收斂時(shí)間秒級(jí)到毫秒級(jí)的切換時(shí)間，業(yè)務(wù)不斷！IRF2的好處：收斂快，更可靠使用IRF前，二層啟用生成樹，VLAN規(guī)劃復(fù)雜；三層啟用VRRP，路由規(guī)劃復(fù)雜；每臺(tái)單獨(dú)配置，管理復(fù)雜使用IRF前VLAN路由路徑使用IRF后使用IRF后，二層不需要生成樹；三層不需要VRRP；多臺(tái)設(shè)備只需配置一次，讓網(wǎng)絡(luò)更簡單配置文件網(wǎng)絡(luò)管理是典型的牽一發(fā)而動(dòng)全身：增減一臺(tái)設(shè)備帶來的拓?fù)渥兓瘯?huì)使得整網(wǎng)設(shè)備都需要更新配置；規(guī)劃一個(gè)路由或者VLAN會(huì)使得多數(shù)設(shè)備甚至整網(wǎng)設(shè)備都需要更新配置；IRF2的好處：簡化拓?fù)渲饔面溌穫溆面溌穫溆迷O(shè)備主用設(shè)備使用IRF后使用IRF后，核心設(shè)備和匯聚設(shè)備都是負(fù)載分擔(dān)的方式---兩臺(tái)設(shè)備當(dāng)兩臺(tái)用使用IRF后，接入到匯聚以及匯聚到核心的雙鏈路上行都是負(fù)載分擔(dān)方式---兩條鏈路當(dāng)兩條用使用IRF前使用IRF前，核心設(shè)備和匯聚設(shè)備都是一主一備的方式---兩臺(tái)設(shè)備當(dāng)一臺(tái)用使用IRF前，無論是接入到匯聚，還是匯聚到核心的雙鏈路上行都是一主一備的方式---兩條鏈路當(dāng)一條用物盡其用，保護(hù)投資！IRF2的好處：性能翻番第一章城域網(wǎng)安全第二章無線統(tǒng)一采購第三章骨干網(wǎng)改造第四章VPN管理目錄ISP線路某市重點(diǎn)中學(xué)重點(diǎn)中學(xué)教育城域網(wǎng)普通中/小學(xué)普通中/小學(xué)普通中/小學(xué)普通中/小學(xué)普通中/小學(xué)普通中/小學(xué)………………學(xué)校接入到教育局的方式有多種：裸光纖、專線、VPN一般一個(gè)區(qū)有80-100所學(xué)校接入城域網(wǎng)，但是受限于資金，還是會(huì)有一些學(xué)校使用VPN接入。VPNVPNVPN裸光纖裸光纖專線專線專線IPScVPN是最常用的VPN連接實(shí)現(xiàn)查看IPSecVPN設(shè)備拓?fù)浜筒榭淳W(wǎng)絡(luò)域拓?fù)涔δ埽O(shè)備拓?fù)淇煺沼糜诓榭碔VM設(shè)備管理中的IPSec設(shè)備上的隧