普教城域網(wǎng)篇

H3C普教城域網(wǎng)解決方案日期：201103第一章城域網(wǎng)安全第二章無線統(tǒng)一采購第三章骨干網(wǎng)改造第四章VPN管理目錄城域網(wǎng)出口安全案例：廈門翔安區(qū)S7503E中學小學S9505ES7503ECERNETCERNET2INTERNET教育城域網(wǎng)平臺RRPP環(huán)網(wǎng)中學小學S7503E中心小學小學出口認證網(wǎng)關(guān)SR6602出口集成安全網(wǎng)關(guān)：S7510E+ACG插卡+FW插卡+IPS插卡城域網(wǎng)出口S7503E產(chǎn)品實現(xiàn)功能FWL2-L4的安全，區(qū)分內(nèi)外網(wǎng)，抵御DDoS等就像家有個門，誰家不需要門呢？IPSL4-L7的安全，針對服務(wù)器、網(wǎng)站的保護，抵御蠕蟲病毒等深度安全，自古以來，凡是有門的園區(qū)都有保安吧，這就是深度安全。ACG限制P2P，提升上網(wǎng)速度；記錄上網(wǎng)行為，包括URL，滿足82號令SSLVPN在家、酒店也能訪問內(nèi)網(wǎng)使用方式簡單，類似于打開網(wǎng)頁認證合法用戶才能訪問城域網(wǎng)資源為什么要做安全改造城域網(wǎng)邊界安全案例：南寧教育局ISP線路某市重點中學普通中/小學教育城域網(wǎng)普通中/小學普通中/小學普通中/小學普通中/小學普通中/小學普通中/小學………………教育局一次性集采：30臺千兆防火墻、1臺萬兆防火墻特點：校園網(wǎng)與城域網(wǎng)實現(xiàn)跨廣域網(wǎng)的安全互聯(lián)對于有單獨出口的校園網(wǎng)，依然實現(xiàn)完善的安全防護教育局學校普教城域網(wǎng)電信/網(wǎng)通非法報文一般學校為了方便，會自己拉一個上網(wǎng)出口，但這樣，就會將Internet上的安全威脅通過學校傳到城域網(wǎng)，進而導致整個城域網(wǎng)無法使用。解決辦法：在每個學校出口放一臺UTM或者F1000為什么需要做邊界安全SecCenter學校SecPath防火墻學校IPSecVPNIPSec+GREVPN移動用戶BIMSSSLVPN學校IPSecVPN教育城域網(wǎng)區(qū)域信息中心InternetVPNManagerSecPath防火墻MSR路由器安全管理平臺方案描述SecPath系列防火墻/UTM/MSR路由器：使學校安全接入城域網(wǎng)信息中心或作為專線接入方式的備份；SecCenter

：實現(xiàn)全網(wǎng)安全統(tǒng)一管理SSLVPN：實現(xiàn)教師出差、學生在家方便接入網(wǎng)絡(luò)，并按照不同用戶設(shè)置不同權(quán)限BIMS/VPNManager：實現(xiàn)全網(wǎng)VPN部署和監(jiān)控。1、教育城域網(wǎng)移動用戶的安全接入安全管理平臺SecCenterSecPath防火墻/IPS路由器學校方案描述通過防火墻/UTM的2-4層包過濾、狀態(tài)檢測等技術(shù)實現(xiàn)教育城域網(wǎng)各模塊間的邊界隔離通過IPS提供的4-7層安全防護，實現(xiàn)對進入教育網(wǎng)核心的深度防護SecCenter：對部署的防火墻、IPS以及其他不同廠商的產(chǎn)品進行統(tǒng)一安全管理。CERNET學校SecPath防火墻/UTMSecPath防火墻/IPSRPR/RRPPSecPath防火墻/UTM2、邊界安全和出口安全方案描述通過ACG（應(yīng)用控制網(wǎng)關(guān)）實現(xiàn)對P2P應(yīng)用進行精確識別和控制；通過ACG實現(xiàn)對IM、網(wǎng)絡(luò)游戲、炒股、非法網(wǎng)站訪問等行為進行識別和控制；通過SECBLADE板卡實現(xiàn)對所有教育城域網(wǎng)用戶的分布式控制和管理；SecCenter：對ACG上報的安全事件進行深入分析并輸出審計報告GES9500/S7500ESecBladeACG萬兆匯聚業(yè)務(wù)控制接入學校學校GEINTERNET出口路由器SecPath防火墻、ACG、IPSRPR/RRPP3、上網(wǎng)用戶的行為監(jiān)管第一章城域網(wǎng)安全第二章無線統(tǒng)一采購第三章骨干網(wǎng)改造第四章VPN管理目錄9臺S7500E核心交換機

9臺WX3024有線、無線一體化交換機

9套iMC智能管理中心

330臺WA2210-AG智能無線接入設(shè)備WX3024無線控制器WA2210-AGH3C的優(yōu)勢：1、WX3024集認證、鑒權(quán)、管理、安全、POE與一體！2、無線網(wǎng)絡(luò)可平滑升級到802.11n組網(wǎng)！3、iMC智能管理中心極大的方便的無線網(wǎng)絡(luò)的部署、管理和維護！4、有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)充分集成、智能融合！創(chuàng)新設(shè)計業(yè)內(nèi)唯一智能接入H3C打造上海長寧區(qū)教育精品網(wǎng)，幫助九所中學建立有線、無線一體化校園網(wǎng)！無線統(tǒng)一采購案例：上海長寧區(qū)9所中學瘦AP方案，也就是AC+AP。原因很簡單，AP是懸掛在墻壁、屋頂、樓頂?shù)鹊胤?，不可能隨時都可以配置管理，需要用AC對所有AP進行統(tǒng)一配置、管理。InternetInternetAPAPAPAPAPAPAC傳統(tǒng)FatAP架構(gòu)H3CFitAP架構(gòu)配置維護困難不支持3層漫游IP地址需要擴容安全性差不支持負載均衡無法自動調(diào)節(jié)射頻配置維護困難不支持3層漫游IP地址需要擴容安全性差不支持負載均衡無法自動調(diào)節(jié)射頻零配置、自動升級支持3層漫游兩種轉(zhuǎn)發(fā)模式支持WIDS支持負載均衡自動調(diào)節(jié)射頻無線方案AC是整個方案的核心。跟核心最貼近的特點就是可靠，H3C的AC支持1+1熱冗余，毫秒級別切換。APAPAPAPAP接入/匯聚層網(wǎng)絡(luò)心跳線主AC備AC主CAPWAP隧道備CAPWAP隧道無線方案Controller內(nèi)置無線控制器模塊，可管理48個AP內(nèi)置WEB管理、本地RadiusServer、PortalServer和DHCPServer處理器性能強勁，支持IEEE802.11n的高速處理，24口POE+供電24個10/100/1000交換機4個千兆SPF接口萬兆上行AC選擇：普教量身定制的AC無線方案接入用戶數(shù)+600%高帶寬，接入速度從54M到300M，提升到6倍密接入，接入用戶數(shù)量提升到2倍802.11n是WLAN領(lǐng)域的趨勢易兼容，可同時接入以前的802.11abg用戶，舊電腦無需升級速度54M300MAP選擇：802.11n是主流，是趨勢無線方案AAA核心/匯聚層交換機NMS無線控制器接入層交換機FATAPFATAPFATAPFATAPFATAPFATAPFATAPFATAPFITAPFITAPFITAPFITAPFITAPFITAPFITAPFITAP先“胖”后“瘦”購買FIT/FAT雙模AP來保護原有投資統(tǒng)一操作系統(tǒng)平臺，實現(xiàn)平滑升級網(wǎng)絡(luò)建設(shè)初期使AP工作于FAT模式，滿足小規(guī)模組網(wǎng)需求網(wǎng)絡(luò)建設(shè)后期使AP工作于FIT模式，并添加無線控制器，滿足大規(guī)模組網(wǎng)需求無線方案供電選擇：直接用插線板顯然不靠譜，用POE供電盒你會發(fā)現(xiàn)弱電間到處都是，線都理不清楚，完全無法管理。POE交換機才是首選。利用網(wǎng)線直接給AP供電：施工便捷，無需再單獨部署一次電線；使用安全，無需使用插線板，避免漏電、遇水、誤碰等安全隱患產(chǎn)生；供電穩(wěn)定，設(shè)備用電與生產(chǎn)用電相隔離，出現(xiàn)停電情況也可保持設(shè)備運行；統(tǒng)一管理，并能夠遠程集中進行供電管理，比如定時開關(guān)等；無線方案L2/L3IP網(wǎng)絡(luò)融合管理PoE交換機AP無線交換機有線、無線需要統(tǒng)一拓撲、融合管理智能PoE交換機：定時供電，定時開關(guān)AP一體化管理：有線無線一體化拓撲管理、有線無線用戶統(tǒng)一管理、供電智能管理等無線方案WA2600WX3024WA2600…………WX3024WX6103有線無線管理中心教育局學校學校管理需求：教育局部署iMCWSM管理軟件，部署無線EAD實現(xiàn)無線接入安全；AC選擇：學校選擇WX3024無線交換機，教育局選擇WX6103做集中備份；AP選擇：WA2600系列802.11n系列胖瘦一體化AP，實現(xiàn)室內(nèi)和室外覆蓋；教育城域網(wǎng)H3C無線校園網(wǎng)推薦組網(wǎng)第一章城域網(wǎng)安全第二章無線統(tǒng)一采購第三章骨干網(wǎng)改造第四章VPN管理目錄教育局中心青山教育局東河教育局昆區(qū)教育局九原教育局石拐教育局固陽教育局土右教育局白云教育局達茂教育局門戶網(wǎng)站服務(wù)器內(nèi)網(wǎng)站服務(wù)器SecpathT200入侵防御系統(tǒng)SR6600路由器S7500E交換機Secpath1000E防火墻S5500全千兆交換機SecpathT1000S入侵防御系統(tǒng)S7500E交換機S7500E交換機S7500E交換機S7500E交換機S7500E交換機S7500E交換機S7500E交換機S7500E交換機S9500交換機S9500交換機S5500全千兆交換機IP-SAN萬兆存儲系統(tǒng)IX3000S7500E交換機S7500E交換機IP-SAN萬兆存儲系統(tǒng)IX3000中小學校中小學校中小學校中小學校中小學校中小學校中小學校中小學校RPRRPR骨干網(wǎng)改造：包頭市教育城域網(wǎng)教育局重點中小學核心環(huán)網(wǎng)重點中小學重點中小學中小學就近接入中小學就近接入中小學就近接入IRF2IRF2IRF2IRF2簡化之后的圖是這樣的…跨設(shè)備鏈路捆綁…一致的轉(zhuǎn)發(fā)表項…統(tǒng)一的管理界面物理上兩臺設(shè)備邏輯上一臺設(shè)備IRF2特性網(wǎng)絡(luò)改造要點：IRF223組網(wǎng)方式N秒秒毫秒Gateway=10.153.108.1Gateway=10.153.108.1IP=10.153.108.3/24虛IP=10.153.108.1IP=10.153.108.2/24Gateway=10.153.108.1Gateway=10.153.108.1IP=10.153.108.1/24IP=10.153.108.1/24Gateway=10.153.108.1Gateway=10.153.108.1IRF2虛擬系統(tǒng)IP=10.153.108.1/24VRRPMSTPIRF2收斂時間秒級到毫秒級的切換時間，業(yè)務(wù)不斷！IRF2的好處：收斂快，更可靠使用IRF前，二層啟用生成樹，VLAN規(guī)劃復雜；三層啟用VRRP，路由規(guī)劃復雜；每臺單獨配置，管理復雜使用IRF前VLAN路由路徑使用IRF后使用IRF后，二層不需要生成樹；三層不需要VRRP；多臺設(shè)備只需配置一次，讓網(wǎng)絡(luò)更簡單配置文件網(wǎng)絡(luò)管理是典型的牽一發(fā)而動全身：增減一臺設(shè)備帶來的拓撲變化會使得整網(wǎng)設(shè)備都需要更新配置；規(guī)劃一個路由或者VLAN會使得多數(shù)設(shè)備甚至整網(wǎng)設(shè)備都需要更新配置；IRF2的好處：簡化拓撲主用鏈路備用鏈路備用設(shè)備主用設(shè)備使用IRF后使用IRF后，核心設(shè)備和匯聚設(shè)備都是負載分擔的方式---兩臺設(shè)備當兩臺用使用IRF后，接入到匯聚以及匯聚到核心的雙鏈路上行都是負載分擔方式---兩條鏈路當兩條用使用IRF前使用IRF前，核心設(shè)備和匯聚設(shè)備都是一主一備的方式---兩臺設(shè)備當一臺用使用IRF前，無論是接入到匯聚，還是匯聚到核心的雙鏈路上行都是一主一備的方式---兩條鏈路當一條用物盡其用，保護投資！IRF2的好處：性能翻番第一章城域網(wǎng)安全第二章無線統(tǒng)一采購第三章骨干網(wǎng)改造第四章VPN管理目錄ISP線路某市重點中學重點中學教育城域網(wǎng)普通中/小學普通中/小學普通中/小學普通中/小學普通中/小學普通中/小學………………學校接入到教育局的方式有多種：裸光纖、專線、VPN一般一個區(qū)有80-100所學校接入城域網(wǎng)，但是受限于資金，還是會有一些學校使用VPN接入。VPNVPNVPN裸光纖裸光纖專線專線專線IPScVPN是最常用的VPN連接實現(xiàn)查看IPSecVPN設(shè)備拓撲和查看網(wǎng)絡(luò)域拓撲功能，設(shè)備拓撲快照用于查看IVM設(shè)備管理中的IPSec設(shè)備上的隧