Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net1领航高性能校园网-高效.分层.安全.可控Juniper Networks 2007/11/4Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net2Agenda 校园网发展趋势 高性能校园网Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net3现状概述 高校信息化的深入发展，无纸化办公的普及，使得网 络成为工作生活不可分割的一部分 互联网在提供了海量信息资源的同时，催生了各种应 用系统，占据了大量的网络带宽 伴随着互联网的迅速发展，各种蠕虫，攻击，木马恶 意软件等等涉及网络安全的事情愈发的突出 IPv6在国内高校的发展相比欧美和日本相对缓慢 Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net4今后的发展方向 核心网升级 校园网整体安全 IPv6网络逐步部署 各种数据中心，网络资源的整合 Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net5Agenda 校园网发展趋势 高性能校园网Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net6高效的网络结构Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net6Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net7当前校园网结构汇聚层接入层核心层 典型的三层结构 核心+汇聚+接入 核心和汇聚采用三层交换机 接入采用二层交换机Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net8今后校园网结构 网络层次简洁 两层网络结构 核心层 接入层Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net9接入层分校区核心层分校区校区间互联扁平化网络结构利旧利旧Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net10核心层接入层接入层接入层接入层高效的网络结构Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net11高效的网络结构 网络结构扁平化 减少物理和逻辑级联级数，提供更加快速的数据通道 扩展核心节点 压缩掉汇聚节点 接入直接面向核心，从而形成扁平化的网络结构 扁平化的前提 核心设备需要高性能和大容量 高密度以太网口用以直接下挂大量的二层设备 Juniper专门优化的纯以太网核心路由器满足校园网扁 平化结构Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net12MX系列运营商级以太网核心路由器 MX系列三个型号 MX960 MX480 MX240Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net13MX960转发引擎和板卡 交换矩阵路由引擎线缆管理托架风扇冷却系统风扇冷却系统控制指示面板空气进入部分Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net14MX480Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net15MX240Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net16MX960/480/240-高性能和大容量 互联网应用的层出不穷，高校数字化的不断深入，校 园网流量的迅猛增长 包转发能力 1200/600/300Mpps包转发能力 交换能力 960/480/240Gbps吞吐能力Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net17MX960/480/240-接口密度树立了业界新标杆 高密度 每板卡40GE 每板卡4个10GE 整机接口 整机480/240/120个全线速GE接口 整机48/24/12个全线速10GE接口Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net18分层的业务网络Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net18Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net19多业务混载，职能网络没有分离 校园网现状 教师办公OA网和学生网混杂使用 增加单一物理网络的不安全性 很多高校有分校区 和主校区互联 尤其分校区和主校区的财务等部门互联 一卡通单独的专用网络 增加运行维护成本Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net20分层网络-业务平面分离 教师办公OA网和学生网 从管理和运行维护角度,应该将二者分离 财务网络 安全,独立的网络 和分校区财务部门互联,提高效率 一卡通网络 安全,独立的网络 降低运行维护成本 如何做到? Juniper逻辑路由器构建N平面网络Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net21逻辑路由器 单台路由器可以划分出15台逻辑路由器和1台主路由器 ，路由器上的接口可以任意划分到任意的路由器中 每个逻辑路由器都有自己的单独的路由表和转发表 都使用ASICs来转发报文，因此这16台路由器接口都 是线速转发主路由器主路由器逻辑路由器逻辑路由器Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net22主路由器 学生网:LR#0 教师网:LR#1一卡通网:LR#2财务专网:LR#3V6实验网:LR#4。:LR#5主路由器学生网:LR#0 教师网:LR#1一卡通网:LR#2财务专网:LR#3V6实验网:LR#4。:LR#5N平面网络L2SW 业务网络分层 各业务网络之间完全隔离,在需要互通的业务网络之间配置严格的控制策略 单一物理网络承载多业务 良好的网络扩展性,极大的节省投资成本 实施部署简单,节省运行维护成本主路由器学生网:LR#0 教师网:LR#1一卡通网:LR#2财务专网:LR#3V6实验网:LR#4。:LR#5VLAN#600VLAN#500 VLAN#400 VLAN#300VLAN#13VLAN#12 VLAN#11VLAN#10VLAN#600VLAN#500VLAN#400 VLAN#300VLAN#13VLAN#12 VLAN#11VLAN#10L2SW学生用户教师用户全部用户财务人员MX核心节点MX核心节点MX核心节点科研人员。Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net23终端到核心的安全解决方案Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net23Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net24校园网安全概述 影响网络安全的因素 设备尤其是核心设备自身的安全性,以及设备抗压力/攻 击的能力 用户终端的安全性 用户滥用行为 各种网络资源的限制和授权访问 Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net25路由器安全之道 模块化,成熟的JUNOS系统意味着很少的bug 控制和转发分离 路由平台在面临大流量的情况下，依然可以保持路由平 台的稳定 控制平面和转发平面之间内置防火墙进行过滤 基于ASIC的数据包过滤/速率限制/采样等功能保证路 由器的安全和城域网的安全 通过ASIC执行安全控制功能，使得路由器在获得丰富功 能的同时，性能不打折扣Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net26从用户终端和用户行为方面解决安全问题 安全的网络 接入网络的用户终端系统应该是无漏洞的 接入网络的用户终端应该是干净的 用户网络行为应该是规范的 授权访问各种网络资源 Juniper 统一接入控制(UAC)解决方案Copyright 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net27Unified Access Control SolutionInfranet Agent (IA)全面的企业整合 AAA 认证服 务器Enforcers Firewalls IDP DX SwitchesInfranet Controller (IC)基于用户标识，网 络标识和端点评估 的全面的策略执行 IA 保护认证过的客户端免受恶意的不安全的 客户端的侵袭。 主机安全检查 个人防火墙/IPSEC VPN引擎 M