西默智能流量控制產(chǎn)品針對(duì)學(xué)校校園網(wǎng)絡(luò)解決方案

年4月19日西默智能流量控制產(chǎn)品針對(duì)學(xué)校校園網(wǎng)絡(luò)解決方案文檔僅供參考，不當(dāng)之處，請(qǐng)聯(lián)系改正。西默智能流量控制產(chǎn)品針對(duì)高校校園網(wǎng)絡(luò)解決方案一．當(dāng)前校園網(wǎng)絡(luò)面臨的現(xiàn)狀：校園網(wǎng)特別是高校校園網(wǎng)，一直是國(guó)內(nèi)Internet發(fā)展的領(lǐng)頭羊，早在1994年7月，中國(guó)教育和科研計(jì)算機(jī)網(wǎng)CERNET示范工程就已正式啟動(dòng)。隨著校園網(wǎng)信息化建設(shè)的開展，教學(xué)、科研、辦公、生活對(duì)于校園網(wǎng)平臺(tái)的依賴性越來越強(qiáng)。國(guó)內(nèi)的眾多校園網(wǎng)經(jīng)過多年持續(xù)不斷的基礎(chǔ)設(shè)施建設(shè)和應(yīng)用提升，已經(jīng)形成了較為穩(wěn)定的基礎(chǔ)架構(gòu)和相對(duì)豐富的應(yīng)用平臺(tái)。在師生們利用校園網(wǎng)獲得更多更及時(shí)地教育資源的時(shí)候，一些網(wǎng)絡(luò)安全方面和應(yīng)用方面的問題被暴露了出來，嚴(yán)重影響了校園網(wǎng)絡(luò)的健康發(fā)展。當(dāng)前，很多學(xué)校校園網(wǎng)運(yùn)維過程中，或多或少都會(huì)面臨著以下的問題及挑戰(zhàn)：1.越來越多的出口由于一些特定因素，當(dāng)前很多學(xué)校普遍采用多校園網(wǎng)出口方式，基本上70-80%以上學(xué)校都有2個(gè)校園網(wǎng)出口，而且根據(jù)當(dāng)?shù)厍闆r，相當(dāng)比例的學(xué)校擁有三個(gè)及以上的出口。學(xué)校一般會(huì)基于速度、資源利用情況和費(fèi)用的考慮確定其多個(gè)出口的使用訪問方式。面對(duì)多個(gè)出口的實(shí)際使用狀況，在技術(shù)實(shí)現(xiàn)上如何進(jìn)行智能選路？如何進(jìn)行多鏈路負(fù)載均衡？如何靈活部署以簡(jiǎn)化網(wǎng)絡(luò)拓?fù)?，降低投資？

2.安全防護(hù)能力伴隨著數(shù)字化校園的建設(shè)、校園資源的整合，數(shù)據(jù)中心的建立已經(jīng)是大勢(shì)所趨。對(duì)數(shù)據(jù)中心服務(wù)器和傳統(tǒng)的校園網(wǎng)出口邊界處的安全防護(hù)，已經(jīng)成為大家重點(diǎn)關(guān)注的對(duì)象。事實(shí)上，校園網(wǎng)內(nèi)部出現(xiàn)的網(wǎng)絡(luò)威脅的種類也越來越多，不但有非法入侵、網(wǎng)絡(luò)滲透，還有網(wǎng)絡(luò)欺騙、DOS/DDOS攻擊、各種惡意軟件、垃圾郵件等。其中DOS/DDOS攻擊特別是一個(gè)應(yīng)受到特殊關(guān)注的攻擊。最嚴(yán)重的攻擊是無法終止的攻擊，DOS/DDOS攻擊正是如此，特別現(xiàn)有校園網(wǎng)日益增長(zhǎng)的網(wǎng)絡(luò)帶寬（萬兆骨干網(wǎng)，上G出口帶寬）為DOS/DDOS攻擊提供了更大的可能。而且攻擊還呈現(xiàn)出以下特點(diǎn)：突發(fā)性強(qiáng)（很難預(yù)測(cè)和監(jiān)控）、隨機(jī)性強(qiáng)（任何網(wǎng)絡(luò)用戶都可能成為攻擊的目標(biāo),同時(shí)攻擊的頻率和持續(xù)時(shí)間也很隨意，很多的攻擊持續(xù)時(shí)間并不長(zhǎng)，當(dāng)意識(shí)到攻擊發(fā)生時(shí)，攻擊可能已經(jīng)結(jié)束了）、方向不確定、復(fù)雜度在提高（攻擊手段和涉及的協(xié)議也在不斷的提高，對(duì)防御設(shè)備的性能及部屬以后的升級(jí)潛力提出更高要求）。3.流量控制校園網(wǎng)幾乎能夠說是P2P應(yīng)用最多的場(chǎng)所之一，大量的P2P等非關(guān)鍵應(yīng)用無情地吞噬著校園網(wǎng)絡(luò)有限的帶寬資源，使得網(wǎng)絡(luò)管理人員頭痛不已。在沒有對(duì)校園P2P流量進(jìn)行策略管理的時(shí)間段內(nèi)，P2P等非關(guān)鍵應(yīng)用的流量幾乎占用了60-70％的網(wǎng)絡(luò)帶寬，關(guān)鍵性應(yīng)用卻得不到保障。同時(shí)P2P軟件也逐漸成為計(jì)算機(jī)病毒和木馬傳播的主要途徑?？梢姡仨殞?duì)特定用戶或者某些特定應(yīng)用進(jìn)行流量的控制。4.“無所不聯(lián)”的要求無論是廣大師生需要從校外遠(yuǎn)程訪問校內(nèi)的數(shù)字圖書館，還是領(lǐng)導(dǎo)、老師需要從校外遠(yuǎn)程使用校內(nèi)的辦公應(yīng)用系統(tǒng)，不但要實(shí)現(xiàn)其遠(yuǎn)程安全接入，而且需要針對(duì)訪問者、使用者的身份進(jìn)行認(rèn)證并授權(quán)，為特定用戶群分配特定的訪問資源。另外,同一高校多個(gè)校區(qū)之間的核心、敏感部門（財(cái)務(wù)、人事等部門）之間也必須實(shí)現(xiàn)安全互聯(lián)。5.對(duì)內(nèi)網(wǎng)的監(jiān)控以及上網(wǎng)行為控制一方面，由內(nèi)網(wǎng)到外網(wǎng)的安全威脅比較嚴(yán)重。學(xué)生電腦管理松散，電腦中裝有各種軟件甚至感染病毒，有可能成為攻擊的跳板，因此還需要監(jiān)督、控制全網(wǎng)應(yīng)用協(xié)議的情況（流量分布、會(huì)話數(shù)量）、校園網(wǎng)每用戶的使用情況（上下行流量、會(huì)話數(shù)量）等來作為輔助管理手段。另外一方面，學(xué)生自制力較差。有必要對(duì)其上網(wǎng)行為進(jìn)行一定程度的控制，例如：禁止其瀏覽成人、娛樂等不安全或政策、法律禁止的網(wǎng)站，以及其它的一些上網(wǎng)使用行為。6.ARP攻擊防御ARP欺騙攻擊不但導(dǎo)致校園網(wǎng)不穩(wěn)定，極大影響數(shù)字校園業(yè)務(wù)的正常運(yùn)行，更嚴(yán)重的是利用ARP欺騙攻擊可進(jìn)一步實(shí)施中間人攻擊和網(wǎng)關(guān)仿冒攻擊。中間人攻擊是一種非常惡劣的網(wǎng)絡(luò)惡意攻擊行為。而ARP仿冒網(wǎng)關(guān)，則導(dǎo)致用戶無法正常和網(wǎng)關(guān)通信，攻擊者能夠憑借此攻擊而獨(dú)占上行帶寬。由于ARP欺騙攻擊利用了ARP協(xié)議的設(shè)計(jì)缺陷，光靠包過濾、IP＋MAC＋端口綁定等傳統(tǒng)辦法是比較難解決的。7.高性能、高可靠一方面，現(xiàn)在校園網(wǎng)的網(wǎng)絡(luò)流量模型逐漸在發(fā)生著變化（小包報(bào)文比例增加，單個(gè)用戶的并發(fā)連接數(shù)也在迅速增加、UDP報(bào)文在迅速增加等），另外一方面，越來越大的流量需要處理，越來越多的功能需要開啟，對(duì)于設(shè)備高處理性能的需求也是越來越迫切。維護(hù)校園網(wǎng)絡(luò)在高安全環(huán)境下的長(zhǎng)期穩(wěn)定性和可用性是校園網(wǎng)用戶所期望的。單設(shè)備、單鏈路的現(xiàn)象在校園網(wǎng)中還占據(jù)主要位置。對(duì)于設(shè)備的冗余、鏈路的備份，以及在出現(xiàn)設(shè)備或者鏈路故障下的自動(dòng)切換，也僅僅是少數(shù)學(xué)校達(dá)到這樣的水平。那么，如何實(shí)現(xiàn)高可用性？如何實(shí)現(xiàn)自動(dòng)調(diào)整對(duì)用戶的透明性？即，用戶無需理解復(fù)雜的技術(shù)，只需要體驗(yàn)最快的網(wǎng)速。二．針對(duì)以上問題，西默流控的解決辦法1.解決網(wǎng)絡(luò)對(duì)外接口帶寬的不足：利用西默流控系統(tǒng)的各種帶寬規(guī)則設(shè)定，網(wǎng)絡(luò)管理員可依據(jù)網(wǎng)絡(luò)的使用特性，預(yù)先規(guī)劃重要用戶，應(yīng)用或服務(wù)器等，對(duì)一般非實(shí)時(shí)性的應(yīng)用，如電子郵件給予適當(dāng)?shù)膸捪拗疲瑴p少大容量郵件附件對(duì)帶寬的占用。2.保障視頻會(huì)議，音頻（VOIP），ERP，數(shù)據(jù)庫(kù)等關(guān)鍵應(yīng)用的實(shí)施傳輸利用OQS設(shè)備所提供的各種帶寬管理規(guī)則設(shè)定，網(wǎng)絡(luò)管理員可依據(jù)網(wǎng)絡(luò)的使用特性，預(yù)先規(guī)劃重要應(yīng)用的帶寬保證值，數(shù)據(jù)包的優(yōu)先級(jí)。3.控制P2P應(yīng)用對(duì)于P2P應(yīng)用，我們能夠采取時(shí)間限制的做法，比如在工作時(shí)間段能夠給定一個(gè)小帶寬，非工作時(shí)間段能夠取消此限制。這樣就不會(huì)對(duì)正常的網(wǎng)絡(luò)應(yīng)用秩序產(chǎn)生不利的影響。4.過濾不良信息網(wǎng)絡(luò)西默流量控制系統(tǒng)提供群組功能一級(jí)能夠針對(duì)群組可設(shè)定規(guī)則加以管理，網(wǎng)絡(luò)管理員能夠設(shè)定黑名單，并對(duì)此黑名單組設(shè)定過濾規(guī)則。由此，可確保網(wǎng)絡(luò)內(nèi)部用戶無法解除到這些不良信息網(wǎng)站。5.動(dòng)態(tài)合理分配出口帶寬資源西默流量控制系統(tǒng)的帶寬管理功能提供針對(duì)不同時(shí)間、不同部門、不同用戶對(duì)象給予不同帶寬分配、數(shù)據(jù)包優(yōu)先級(jí)等功能，使有限的帶寬資源利用效率達(dá)到最大化。6.高性能NAT西默流量控制系統(tǒng)采用多核+ASIC架構(gòu)，解決了當(dāng)前一些產(chǎn)品只能工作在透明模式下的弊端，既能夠工作在透明模式下不改變網(wǎng)絡(luò)的整體結(jié)構(gòu)，也能夠部署在路由模式，能夠完成原有路由器和防火墻的功能。采用多核架構(gòu)的流控產(chǎn)品在做NAT的同時(shí)，不影響帶寬管理的使用，性能下降很小。7.詳盡的監(jiān)控圖表西默流量控制系統(tǒng)提供詳盡的網(wǎng)絡(luò)監(jiān)控報(bào)表以及長(zhǎng)期監(jiān)控圖形報(bào)告，方便管理員進(jìn)行網(wǎng)絡(luò)管理，網(wǎng)絡(luò)流量擁塞定位。三．西默流控的部署方式西默流量控制產(chǎn)品支持多種部署方式，分別為：路由網(wǎng)關(guān)模式、透明網(wǎng)橋模式、旁路部署模式，您能夠根據(jù)您的網(wǎng)絡(luò)拓?fù)錉顩r和您的需求，靈活的部署西默流量控制產(chǎn)品，最大限度發(fā)揮本產(chǎn)品的性能。

1、路由網(wǎng)關(guān)模式

網(wǎng)關(guān)模式是將西默流量控制產(chǎn)品作為內(nèi)部網(wǎng)絡(luò)的出口路由，其典型部署拓?fù)鋱D如下：

經(jīng)過NAT和PROXY功能，使內(nèi)部用戶共享Internet連接，同時(shí)分割內(nèi)外網(wǎng)，經(jīng)過配置XMNAC，有效的保障了您的內(nèi)部應(yīng)用的安全，同時(shí)經(jīng)過合理的出口帶寬應(yīng)用方案，保障您的關(guān)鍵業(yè)務(wù)應(yīng)用。2、透明網(wǎng)橋模式(建議用第二種)西默流量控制產(chǎn)品推薦的部署模式，其拓?fù)淙缦拢?/p>

此模式在不更改您的網(wǎng)絡(luò)拓?fù)涞那闆r下，能夠方便的實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)用戶的訪問進(jìn)行控制和監(jiān)視。3、旁路部署模式西默流量控制產(chǎn)品旁路部署模式拓?fù)淙缦拢?/p>

旁路部署模式，對(duì)所有經(jīng)過經(jīng)過的數(shù)據(jù)進(jìn)行監(jiān)聽，達(dá)到監(jiān)控目的，此方式對(duì)您網(wǎng)絡(luò)的影響最小，但由于只是分析所有數(shù)據(jù)的副本，因此不能發(fā)揮西默流量控制產(chǎn)品的QOS功能。四．總結(jié)：

校園網(wǎng)的一個(gè)突出特點(diǎn)就是用戶數(shù)比較大，隨著學(xué)生用戶數(shù)量增多，學(xué)校的各種業(yè)務(wù)種類和內(nèi)容增加，使得校園網(wǎng)出口帶寬和數(shù)量不斷擴(kuò)容。但由于缺乏有效的流量管理手段，出口線路帶寬不斷面臨著“擁塞—擴(kuò)容—再擁塞”的問題，同時(shí)信息中心網(wǎng)管面臨著怎么去維護(hù)校園網(wǎng)絡(luò)穩(wěn)定性的問題。然而學(xué)校的特殊應(yīng)用環(huán)境以及特殊應(yīng)用群體使得該校網(wǎng)絡(luò)管理水平需要進(jìn)一步提高，需要有更好的網(wǎng)絡(luò)維護(hù)工具與安全體系。

校園網(wǎng)的主要用戶群體是在學(xué)生，她們網(wǎng)絡(luò)應(yīng)用水平普遍較高，喜歡下載并使用各類應(yīng)用程序，包括一些黑客工具。從而產(chǎn)生的網(wǎng)絡(luò)流量大、流量模式復(fù)雜，使學(xué)校網(wǎng)絡(luò)的穩(wěn)定性面臨更加嚴(yán)峻的考驗(yàn)。再加上層出不窮的網(wǎng)絡(luò)蠕蟲、DoS攻擊、學(xué)生私建各種應(yīng)用服務(wù)器