南方学院网络建设方案建议书
目录
1. 前言 1
2. 南方学院用户需求分析 1
2.1 1、网络现状 1
2.2 2、网络建设总体需求 2
2.3 3、南方学院用户网络建设要求 2
3. 南方学院校园网网络系统解决方案 4
1. 前言
随着当代信息技术的扩展,随着多媒体计算机在教育教学过程中的应用越来越普遍,校园网络的建设提到了重要的议事日程。从当今世界发达国家教育信息化发展的经验来看,从单机发展到网络,是中教育信息化发展的必然趋势。因此,在当前我国发达地区的基础教育信息化发展过程中,以校园网络的建设为核心与基础,加快教育现代化的进程,实现我国基础教育改革发展中的跳跃式发展,这是全面贯彻素质教育的关键性步骤。
当前的校园网正发生着巨大的变化,校园网正从传统的、简单的以数据共享、网页浏览、电子邮件服务等数据处理为中心的数据承载网过渡到以多媒体流(多媒体教学、远程教学、实况网上视频转播、VOD点播、视频会议等)处理为中心的多业务应用网络。随着校园网的信息化的发展,越来越的多教学方式依托于网络给用户提供多种的特色教学模式多媒体教学;通过建立VOD视频服务器平台,为用户提供优质的视频内容服务;通过召开视频会议,从时间、空间上改变传统的会议方式,方便了与会者,提高了效率并节省了会议费用。
应用趋势决定了校园网络要能支持丰富的应用,如电子校务、资源共享、网络远程教学、网络课件、校园网络监控、一卡通系统等等。丰富的应用要求校园网络具备高性能、高安全性、高可靠性。为了保护投资,要充分的考虑到未来的扩展要求。
2. 南方学院用户需求分析
2.1 1、网络现状
南方学院目前网络中心机房设在学思楼1楼,已通过中国电信的100M光纤连通城域网。南方校园网网络采用扁平式二层结构,全校500余台计算机均在同一个网段。南方楼1楼有一台RG三层交换机,承担全院的流量汇聚和数据转发任务。学院目前开通的服务有Web、FTP、公共数据库、视频等。
南方学院校园网现有一条宽带出口,100M中国电信接入,通过地址转换,为校园网用户访问Internet提供较快的网速和良好的链路服务。
南方学院校园网是为学校教学、科研和管理提供服务的重要基础设施,本着“以需求为导向,以应用促发展,以构建数字校园为目标”和“总体规划,分步实施”的建设思路,校园网建设将是一个长久的、持续的工作。随着校园网建设的不断发展,和新应用系统的使用,南方学院校园网将会在教学、科研和管理等方面发挥更大的作用。
2.2 2、网络建设总体需求
(1)骨干网络高性能、高稳定性需求
网络骨干包括网络的核心层和汇聚层,是整个网络流量的承受者和汇聚者,因此对骨干网络高性能、高稳定性提出了高的要求。为了提高设备的可靠性和稳定性,可采用骨干网络冗余设计,能够实现设备的热备和失效自动切换。
(2)网络安全性需求
网络安全包括网络级、系统级、用户级、应用级的安全,在网络级,需要利用防火墙的过滤与隔离功能,将信任网络(校园内网)和不信任的网络(外网)隔离开来,并利用防火墙或出口路由器的NAT(网络地址转换)功能,对外屏蔽校园内网的网络拓扑信息,从而避免校园网受到外来攻击。在网络内部,根据用户的网络使用需求,将用户和网络资源划分为不同的VLAN,在VLAN间根据需求启用相应的ACL(访问控制列表),从而保证用户的物理隔离和资源访问的安全。
(3)多(单)出口部署需求
校园网连接互联网的出口是整个校园网络的咽喉部分,好的出口能够大大提升校园网络对外访问以及外界对内访问的效率。所以要求网络的出口能够做入侵防御和入侵检测,保护内网资源的安全;要求访问外网加速功能,缩短网络访问的响应时间同时也减少了出口流量;NAT(网络地址转换),保护内部网络资源的安全,解决IP地址不足问题。为了分担流量和提高访问的响应速度,可以同时使用其它运营商的网络出口。多条互联网出口,可对校园网内部访问外部资源的流量进行负载分流和相互备份,负载分流和相互备份。
(4)热点区域无线覆盖需求
在一些不便于布线或布线成本较高的场合,或为了满足用户更灵活的联网需求,采用先进的无线局域网进行网络建设也为目前校园网建设提供了一个新的思路 , 同时也让广大的师生体验随时随地的网络服务。
(5)网络扩展性需求
网络必须能够扩展以适应适应用户以及业务的发展,并保护用户的投资。
(6)网络管理需求
随着网络规模的不断扩大,网络的管理越来越重要,管理的事务也越来越复杂。学校网络系统将会分布在学校各个楼宇、楼宇内楼层的各个角落,日常的网络维护和操作的工作量大大增加,网络系统需要一个可靠,便捷、功能强大的网络管理系统来充分有效的管理和利用网络资源。
2.3 3、南方学院用户网络建设要求
(1)建设目标
南方学院此次进行的校园网建设,目的是将南方学院校园网建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教育园区网络,完成南方大学网络和统一软件资源平台的构建,实现网络远程教学、在线考试、教育资源共享等各种应用利用现代信息技术从事管理、教学和科学研究等工作。
(2)建设内容
南方学院此次进行的校园网建设,本着是“总体规划,分步实施”的建设思路,搭建一个安全可靠,稳定成熟的网络基础平台,为教学信息化、办公信息化提供服务。本次建设共考虑以下几点:万兆网络核心、骨干网络全千兆、信息点百兆接入、安全高性能的网络出口、热点区域的无线覆盖、统一的网络管理。
(3)网络系统设计原则
安全性
网络必须具有良好的安全防范措施和密码保护技术,灵活方便的权限设定和控制机制,使系统具有多种有效手段,防范各种形式对网络的非法入侵和内部攻击,以保证网络的实体安全、网络安全、系统安全和信息安全,有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。
先进性
系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对先进成熟,整个系统的生命周期应有比较长的时间,可以在信息技术不断发展的今天,在系统建成以后比较长的一段时间内能满足用户需求增长的需要;不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证网络建设的领先地位。 本方案的设计宗旨是“立足今日,着眼未来”,在保证技术成熟的前提下,充分先进技术,满足现有需求,充分考虑潜在扩充。从而最大限度保护用户投资。
开放性
采用开放的软硬件平台和数据库管理系统,遵循国际标准化组织提出的开放系统互联的标准,应用软件必须独立于软硬件平台,能集成任何第三方的应用,具有良好的可扩展性、可移植性和互操作性。
扩展性
系统必须具有良好的可扩充性,在系统结构、系统容量与技术方案等方面必须具有升级换代的可能,核心设备必须采用模块化的结构,符合网络的发展趋势并具有充分的扩展性。系统建设必须尽量保护现有的软、硬件资源,保证各部门现有的计算机系统的使用,逐步过渡,有效保护用户投资。
高性能
网络链路和设备具备足够高的数据转发能力,保证各种信息的高质量无阻塞传输;交换系统具有很高的交换容量与多服务支持的能力,保证网络服务的质量。
标准化
建立一个可靠、高效、灵活的计算机网络系统平台,不仅着重考虑数据信息能够讯速、准确、安全、可靠地交换,还要考虑同层次网络互连,远程分部的互联,以及与相关信息系统网际互联,以充分共享资源。这些需求体现在设计时,要求提供开放性好、标准化程度高的技术方案,设备的各种接口满足标准化原则。
可管理
随着网络规模的不断扩大,网络的管理越来越重要,管理的事务也越来越复杂。整个网络系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行网络配置,网络在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。如:可以通过友好的图形化界面,对网络进行虚网划分,设置各子网的访问权限,实施网络的动态监测、配置,数据流量的分析等,简化网络的管理。
可运营
为了让校园网能够良性、稳定、持续、健康的发展,保障网络维护成本,学校需要对校园网进行运营,通过对上网的学生用户收取一定的费用来达到“以网养网”的目的,并要求运营系统能够贴近校园用户的应用模式,方便维护和管理。
3. 南方学院校园网网络系统解决方案
此次南方学院校园网建设,目的是建立一个稳定、安全、可靠的校园网,为学院的信息化建设提供一个优秀的网络基础平台。校园网分成三个层次,采用核心-汇聚-接入的三层网络架构。核心层由两台万兆核心交换机组成,通过万兆光纤链路互联组成万兆以太网,保证骨干网的高性能和高稳定。在楼宇采用支持万兆扩展的汇聚交换机,通过千兆光纤上联至核心设备。区域接入层交换机通过千兆双绞线或千兆光纤上联至各楼宇汇聚层交换机,实现万兆骨干,千兆汇聚,百兆到桌面的校园网拓扑结构。
图1 南方学院校园网拓扑结构
骨干网络高性能、高稳定性
骨干设备选择
校园网络一般分为三层:核心层、汇聚层、接入层。通常核心层和汇聚层组成了整个网络的骨干。
核心层的功能主要是实现骨干网络之间的优化传输,核心层任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能、网络的各种应用应尽量少在核心层上实施。核心层一直被认为是流量的最终承受者和汇聚者,因此对核心层的设计以及网络设备的要求十分严格。
方案中在核心层采用两台锐捷网络RG-S8600系列多业务IPv6核心路由交换机作为整个校园网的冗余备份路由交换平台。核心双机通过双千兆链路上联至出口防火墙,实现出口的负载分担和冗余备份,提升出口数据流量转发效率。核心双机与片区汇聚节点通过双递归链路进行连接,实现骨干网链路的冗余连接。核心双机之间采用双万兆链路聚合设计进行连接,提供双倍的转发带宽和高度的链路冗余,进一步提升了骨干网的稳定可靠。RG-S8600系列多业务IPv6核心路由交换机硬件实现路由交换和线速万兆转发功能满足整个校园网核心的路由交换。RG-S8600系列多业务IPv6核心路由交换机和汇聚层设备通过启用OSPF路由协议和RSTP、MSTP生成树协议,保证线路的负载均衡和冗余备份。整个核心部分具有强大的未来扩展能力。RG-S8600系列多业务IPv6核心路由交换机的APS技术能保证主控冗余和自动失效切换,满足99.999%的电信级应用需求。同时RG-S8600系列多业务IPv6核心路由交换机完全兼容主流网络设备的CLI界面,配置方便,支持完善的流分类策略和丰富的QOS特性,是校园网建设核心层网络设备的理想选择。核心层设备RG-S8600系列多业务IPv6核心路由交换机采用千兆光纤与汇聚层设备相连,充分保证网络骨干线路的带宽需求,真正达到校园网内部的高速数据交换。
汇聚交换节点选择
汇聚交换节点完成汇聚层内部的数据交换,并实现汇聚层内部数据到网络中心节点的数据汇聚。汇聚层设备要求是线速转发,同时也应该保证设备运行的可靠性。
考虑到思学楼信息点的数量在500点左右,信息点规模庞大,而且根据校园网应用的特点,在建成后其网络流量非常大,因此建议在汇聚层采用RG-S5760系列高性能汇聚交换机,并采用双千兆链路与校园网核心互联,保证南方楼大流量数据的快速转发。
方案中采用的RG-S5760系列高性能汇聚交换机,是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代机架式多层交换机。RG-S5760系列交换机提供二到七层的智能的业务流分类、完善的服务质量(QoS)保证和组播应用管理特性。在提供高性能、多智能的同时,其内在的安全防御机制和用户管理能力,更可有效防止和控制病毒传播和网络攻击,控制非法用户接入网络,保证合法用户合理地使用网络资源,并可以根据网络实际使用环境,实施灵活多样的安全控制策略,充分保障了网络安全、网络合理化使用和运营。
先进技术带来的高性能
SPOH技术提供更强的数据处理能力
SPOH:Synchronization Process 0ver Hardware,是“基于硬件的同步式处理技术”缩写。
图2 锐捷SPOH技术
锐捷核心设备支持SPOH技术——专注于安全防护和智能保障的交换技术!在线卡分布式设计的基础上,为各个物理端口配备专用的FFP(FFP: fast filter processor)处理模块,FFP模块可以实现硬件处理QoS与ACL功能,实现整机数据端口级同步处理ACL/QOS;同时,通过线卡芯片线速转发L2/L3/组播数据,实现了从线卡到端口的全面分布式硬件设计,有效分流、缓解线卡ASIC芯片的负载压力,极大地提升交换机的整体数据处理能力。既满足业务急剧增长,保持网络的高性能无阻塞交换和网络安全的防护,实现大数据多业务全线速处理。
SPOH技术保障了核心设备的高性能无阻塞数据交换和网络安全的高级防护,实现大数据多业务全线速处理,从而达到了电信级的可靠性保障。
LPM+HDR技术提供更高的路由处理效率
最长匹配(LPM)三层交换技术可以解决传统方式“多次交换”中采用“流精确匹配”而带来存储空间压力过大的问题。最长匹配(LPM)技术支持静态路由、动态学习到的路由都直接以网段形式存储于硬件转发表,一个目的网段使用一个转发表项,而直连网段仅生成表项内容为“目的IP地址”的主机转发表,对于其它不明目的网段IP地址的数据包直接通过硬件缺省路由转发。因此,LPM技术的优点是极大地节约存储空间,病毒和攻击数据可以通过硬件网段路由或缺省路由进行转发,不增加额外的硬件表项,避免了存储溢出问题,保障设备的正常运行。
在LPM技术中依然保留了CPU参与一次路由的需要,虽然每个网段只有一次CPU参与的需要,但是在三层设备拥有直连网段,主机转发表数量比较多的情况下,CPU的第一次参与依然会对三层转发的处理效率产生一些影响,HDR技术可以进一步优化LPM技术的处理效率,主机直接路由(HDR:Host direct Route)用于解决CPU参与“一次路由”的不足。主机直接路由(HDR)支持三层设备在最长匹配硬件转发中的下一跳节点和数据转发出口运行ARP协议时把对应的MAC地址直接下载到硬件转发表。因此,没有了第一次CPU参与路由的效率影响,网络中的所有主机(Host)都可以通过最长匹配硬件转发表进行直接的三层转发。
LPM+HDR三层交换技术不需要CPU参与、节约了缓存空间,不仅极大地提高了路由效率,而且避免了病毒和攻击对网络设备本身的影响,提高设备的稳定性。
第二代Crossbar硬件体系提供更强的数据转发效率
锐捷多业务核心路由交换机采用最先进的第二代Crossbar硬件体系架构:
图3 第二代Crossbar硬件体系架构
第二代Buffered Crossbar技术具有如下特性:
调度任务非常简单,通过背压流控,每个交叉点自动独立地进行调度,不需要配置整个系统的所有“输出输入线卡对”,不带来Crossbar的调度损耗 。
调度相互独立,不存在所有“输出输入线卡对”同步地从一个状态变化到另一个状态,因此,就不需同步每个数据包发送的结束时间,允许直接对非定长数据包进行操作,没有包分割和重组。
因为没有包分割和调度效率的影响,内部超速并不需要。Buffered Crossbar可以处理相同速率的外部线卡
Buffered Crossbar技术克服第一代Crossbar架构技术的局限性,Buffered Crossbar架构内置了众多缓存,采用分布式调度,无需内部加速,可直接处理非定长包,充分发挥Crossbar芯片的交换效率和处理性能,从而使整个设备系统达到了电信级的高性能和高可靠性。
三平面分离保护技术提供更高的稳定可靠性
锐捷网络核心路由交换机通过采用数据平面、控制平面、管理平面相互分离的设计方式,保证了最耗费主机资源的数据处理转发任务不影响交换机的管理和协议运行,而在路由和环境复杂多变条件下,控制平面的任务不影响交换机的管理,高度保证了交换机系统的稳定性。保证了即便出现设备由于数据交换异常瘫痪状态情况,依然可以通过Telnet、Console等管理界面正常登陆管理该设备。从根本上高度保证了系统的稳定可靠性。
图3 三平面分离保护技术示意图
CPP(CPU Protect Policy)机制提供更强的安全性
尽管通过加密认证可以保护网络中的通信协议,但是它并不能完全的防止非法恶意用户对路由引擎(CPU)上特定协议的攻击。例如,攻击者仍可以利用伪造的数据包瞄准具体协议,向路由交换机发动攻击。尽管这些数据包无法通过鉴权检查,但是攻击仍可以消耗CPU上的资源(CPU循环和通信队列),因此在某种程度上达到攻击的目的。
锐捷网络核心路由交换产品通过硬件的方式对发往控制平面的数据进行分类,把不同的协议数据归类到不同的队列然后对不同的队列进行限速,专门对路由引擎进行保护,阻挡外界的 DOS 攻击。而且并不影响转发速度,所以CPP能够在不限制性能的前提下,灵活且有力的防止攻击,而且保证了即使有大规模攻击数据发往CPU的时候依然可以在交换机内部对数据进行区分对外。
CPP提供三种保护方法,来保护CPU的利用率。
第一,可以配置CPU接受数据流的总带宽,从全局上保护CPU。
第二,可以设备QOS队列,为每种队列设置带宽。
第三,为每种类型的报文设置最大速率。
具体实现方式如下:
针对不同的系统报文进行分类。CPP可针对arp、bpdu、dhcp、igmp、rip、ospf、pim、gvrp、vvrp的报文进行分类,并分别设置不同的带宽。
CPU端口共有8个优先级队列(queue),可以配置每种类型的报文对应的队列,硬件根据配置自动地将这种类型的报文的送到指定队列,并可分别设置队列的最大速率。
可以配置CPU端口的总的带宽,从全局上保护CPU。
构架的稳定可靠
整个校园网网络骨干采用成熟的双核心设计。核心双机与片区汇聚节点通过双递归链路进行连接,实现骨干网链路的冗余连接。核心双机之间采用双万兆链路聚合设计进行连接,提供双倍的转发带宽和高度的链路冗余,进一步提升了骨干网的稳定可靠。
同时核心层采用锐捷网络RG-S8600系列多业务IPv6核心路由交换机,汇聚层采用锐捷网络RG-S5750系列万兆汇聚交换机。骨干设备本身具有电信级可靠性保障,分布式Crossbar硬件体系直接处理非定长包,充分发挥Crossbar芯片的交换效率和处理性能、SPOH技术提供更强的数据处理能力、LPM+HDR技术提供能高的路由处理效率、冗余负载均衡设计提供更高的可用性、管理平面和控制平面的分离保证了设备的高稳定性。
网络安全性保证
出口设备安全策略
在防火墙RG-WALL 2000上启用如下图所示的多种防攻击策略;为服务器(DMZ区)做相应的地址映射;启用多种病毒过滤策略,如下图所示;同时启用多种个性化的过滤、状态检测等安全手段。
启用NAT特性;针对每个用户做限速:每个IP上行限速300kbps下行限速800kbps,同时每个IP限200并发会话数。
核心、接入交换机安全策略
完善的用户IP/MAC地址绑定
方案中提供的包括核心、接入交换机均支持基于整机级和端口级两种IP、MAC地址绑定功能,并采用硬件芯片直接实现。在提高安全性的同时不影响交换机数据交换性能。
分布式网络病毒(攻击)防御
基于校园网的特点,它是一个开放的应用环境,在这种环境下尤其容易感染网络病毒和发生网络攻击,这会给网络主干带来严重冲击,甚至可能造成整网瘫痪。因此,为了保证整个网络的带宽可用性。防止网络病毒传播扩散,防止网络攻击的发生,在该方案中,采用分布式网络病毒(攻击)防御体系设计思想。核心、接入层网络设备均支持嵌入式防DDoS攻击、防病毒扩散等,可直接屏蔽网络特征病毒传播扩散,防止网络攻击。同时接入层设备S2100G硬件智能识别2-4层数据流、可实现非常丰富的ACL访问控制功能,最大程度的实现分布式的网络安全控制防护。
防ARP欺骗攻击
目前网络中较多的出现了ARP欺骗攻击,可造成整个网段瘫痪或者信息泄密的严重后果。S2100G支持防ARP欺骗功能,有效地杜绝ARP网关欺骗行为的发生,更好地提高了网络的安全性。
病毒、攻击防护方式
IP扫描攻击及防范
众所周知,许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的,大量的扫描报文 也急 剧占用网络带宽,导致正常的网络通讯无法进行。
为此,锐捷RG-S7610、S5750交换机提供了防扫描的功能,用以防止黑客扫描和类似“冲击波病毒”的攻击,并能减少三层交换机的CPU负担。 目前发现的扫描攻击有两种:
目的IP地址变化的扫描,我们称为“scan dest ip attack”。这种扫描是最危害网络的,不但消耗网络带宽,增加交换机的负担,更是大部分黑客攻击手段的起手。
目的IP地址不存在,却不断的发送大量报文,我们称为“same dest ip attack”。这种攻击主要是针对减少交换机CPU的负担来设计。对三层交换机来说,如果目的IP地址存在,则报文的转发会通过交换芯片直接转发,不会占用交换机CPU的资源,而如果目的IP不存在,交换机CPU会定时的尝试连接,而如果大量的这种攻击存在,也会消耗着CPU资源。当然,这种攻击的危害比第一种小得多了。
以上这两种攻击,我们交换机都可以在每个接口上调整相应的攻击阀值、攻击主机隔离的时间等参数,以便管理员最细化的管理配置。
DDoS攻击及防范
近年来,各种DoS攻击(Denial of Service,拒绝服务)报文在互联网上传播,给互联网用户带来很大烦恼。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。攻击报文主要采用伪装源IP以防暴露其踪迹。
针对这种情况,RFC2827提出在网络接入处设置入口过滤(Ingress Filting),来限制伪装源IP的报文进入网络。这种方法更注重在攻击的早期和从整体上防止DoS的发生,因而具有较好效果。使用这种过滤也能够帮助ISP和网管来准确定位使用真实有效的源IP的攻击者。ISP应该也必须采用此功能防止报文攻击进入Internet;网络管理员应该执行过滤来确保校园网不会成为此类攻击的发源地。
锐捷S7610、S5750、S2100G交换机采用基于RFC2827的入口过滤规则来防止DoS攻击,该过滤采用硬件实现而不会给网络转发增加负担。
ARP欺骗攻击及防范
ARP欺骗攻击近年来呈愈演愈烈之势,每个网络管理员基本上都会碰到。该欺骗攻击会导致经常出现断网、设备cpu利用率居高不下、信息泄密等多种恶果。
ARP欺骗主要存在以下5种方式:冒充网关欺骗主机、冒充主机欺骗网关、冒充主机欺骗主机、黑洞攻击、泛洪攻击。这些攻击的防御可以在接入层交换机上做,无论用户的IP地址是动态的还是静态的,均可以有效的进行防御。
防御基本原理是采用IP+MAC+端口三元素绑定,启用ARP check功能。若用户的IP地址是静态的,可以采用手工绑定或通过802.1X认证中的IP授权模式自动绑定;若用户的IP地址是静态的,可以采用DHCP Snooping的方式,用户获取地址的同时在交换机端口做绑定。
多出口设计
校园网的互联网接入平台提供以下功能:
连接互联网出口;
入侵防御和入侵检测,保护内网资源的安全;
访问外网加速功能,缩短了网络访问的响应时间同时也减少了出口流量;
NAT(网络地址转换),保护内部网络资源的安全,解决IP地址不足问题。
南方学院校园网的互联网出口设计CHINANET,为了分担流量和提高访问的响应速度,可以同时使用其它运营商的网络出口。多条互联网出口,可对校园网内部访问外部资源的流量进行负载分流和相互备份,负载分流和相互备份。和老校区的互联采用VPN的方式接入。在出口配置一台RG-WALL2000千兆防火墙来完成出口策略路由、NAT地址转换、防火墙等功能。
锐捷高端防火墙RG WALL 2000 是基于ASIC芯片的高性能硬件防火墙。专用ASIC安全芯片完成报文的转发和各种安全应用,而CPU完成各种配置,异常处理,收集统计信息,提供用户界面等。由于采用了专用安全芯片,锐捷高端防火墙产品可以彻底解决性能瓶颈,可以达到多端口的全千兆线速。而且,报文转发的延时非常短,一般是微秒量级。ASIC硬件防火墙PCB布局布线相当简单,产品稳定性非常好。
RG WALL 2000安全系统还提供了具备良好兼容性的高性能IPsec VPN,在使用HMAC-96-MD5/SHA-1、3DES-CBC 认证、加密算法并选择ESP封装协议和隧道模式的情况下,RG WALL 2000系统也能够提供200M的吞吐量。利用RG WALL 2000系统,网络管理人员能够以较低的总体拥有成本在网络系统中快速、简单地部署访问控制、VPN以及入侵防御能力。
网络后期扩展性
方案中核心设备采用万兆路由交换机,楼宇汇聚全部采用支持万兆的汇聚交换机,满足未来骨干网络万兆扩展;网络接入设备支持GSN全局安全网络,为未来进一步的提高网络安全性和整体联大性提供了广阔的平台。
先进的网络管理
根据网络管理的需求特点,针对锐捷学校此次网络建设,我们提供了锐捷网络自主研发、功能强大,集故障管理、配置管理、系统管理和性能管理于一身的StarView网络管理系统。
StarView网络管理系统是一套基于 Windows平台的高度集成、功能完善、实用性强、方便易用的全中文用户界面的网络级网络管理系统。它是由锐捷网络自主开发的软件产品。
StarView能实现网络管理内容的所有部分,其网管设计如下:
强劲的网络拓朴发现能力
StarView集成了目前最先进的拓朴发现算法,可以高效的对三层网络链接(逻辑拓扑)和二层网络链接(物理拓扑)进行发现和描绘,StarView还提供独有的全网拓扑视图,从全局的角度对全网的观察,能使您轻松的掌握网络结构和发现网络故障,当网络中设备众多时,设备过滤功能能过滤掉普通设备,让网络骨干设备链接更清晰的展现出来。同时StarView通过子网划分和子网发现等手段,为管理员提供了点面结合的集中式管理视角。
图4 锐捷StartView功能示意
多种布局算法可以根据用户需要来呈现络拓扑结构。
智能化的事件管理机制
结合拓朴管理和性能管理器于一体,集中管理Trap事件、拓朴管理事件、阈值报警事件和未知类型事件。
事件管理器提供丰富的事件分类查看和存储功能,使管理员可在大量的网络事件中迅速查找并标识重要事件,从而进行有效处理。
事件管理器还对事件采取事件级别的分类,并通过对事件级别的操作来达到迅速处理事件的目的。
事件管理器使用标准数据库作为Trap解释模板库,通过编辑配置数据库,管理员可使用自定义的方式扩展软件支持的事件类型,从而避免了多设备混用时事件管理混乱问题。
事件管理器提供了事件报表功能,软件可根据管理员定义的搜索条件,检索数据库,并形成HTML报表供管理员汇总和分析。
图5 锐捷StartView事件管理器功能示意
高效的性能监视和预警功能
提供完美的组合式曲线统计方式,为网络性能分析和故障分析提供直观的分析视图集。
提供视图打印功能,使用简单的操作即可进行统计视图打印,从而为网络故障分析提供了现场保存的能力。
主动式的阈值告警功能使得管理员可自定义网络关键性能变更事件,并通过与事件管理器连接得到有效的预警和处理。
提供多设备多性能同视图对比监视的方式,使得管理员可方便的对多项网络 性能进行对比分析。
自动视图记忆功能使得监视视图被设定后即可永久保存,从而使得软件一旦启动即可对历史监视点进行后台监视,免除了管理员重复再设定。
图6 锐捷StartView监视功能示意
图7 锐捷StartView预警功能示意
