网络普教教育城域网解决方案 1、中国基教信息化背景及现状2、教育城域网建设问题与挑战3、锐捷网络教育城域网解决方案4、Q&A提 纲中国基教信息化背景及现状教育信息化 发展浪潮教育城域网 服务对象123教育城域网 常见应用分 析第一次浪潮七十年代末、八十年代初 建设重点：计算机学科教学，是让学生学习和掌握信息技术的基础知识和基本技能；标志性口号：程序设计是第二文化！ 教育信息化的发展浪潮2001-2010年第一次浪潮七十年代末、八十年代初 八十年代中后期第二次浪潮 建设重点：计算机辅助教学与计算机辅助管理，主要是开发教学软件、课件和教育教学管理软件，把计算机作为一种工具，将计算机与教育教学相结合； 标志性口号：计算机与基础教育相结合是国际教育改革的发展趋势！教育信息化的发展浪潮2001-2010年第三次浪潮第一次浪潮七十年代末、八十年代初 八十年代中后期第二次浪潮建设重点：网络教育标志性口号：建网、建库、建队伍！教育信息化的发展浪潮中国基教信息化背景及现状教育信息化 发展浪潮教育城域网 服务对象123教育城域网 常见应用分 析教育城域网的服务对象为教育管理人员服务为教学人员服务为学生服务为家长服务使他们能够充分利用网络化办公环境，快速便捷地处理大量的教育信息，提高工作效率和管理水平，减轻工作强度为教育管理人员服务为教育管理人员服务为教学人员服务为学生服务为家长服务为教学人员服务提供一个网络备课授课、资源共建共享的平台，在更大范围内共享思想与资源，从而提高教学质量与教学水平 教育城域网的服务对象为教育管理人员服务为教学人员服务为学生服务为家长服务为家长服务架设起学校和家庭之间的沟通桥梁，学校、教师、家长一道共同参与，通过网络促进学校教育和家庭教育的结合教育城域网的服务对象为教育管理人员服务为教学人员服务为学生服务为家长服务为学生服务以全新的学习模式与学习手段来学习，或进行基于网络的自主式、协作式、研究探索式的学习，从而全面提高其自身素质与能力教育城域网的服务对象中国基教信息化背景及现状教育信息化 发展浪潮教育城域网 服务对象123教育城域网 常见应用分 析教育城域网常用应用资 源 类管 理 类教 学 类交 流 类视 频 类教育城域网常用应用城域网常见应用l 资源类：教学资源库、数字图书馆、学科网站等教育城域网常用应用城域网常见应用l 管理类：OA系统、MIS（学籍管理、教师管理）等教育城域网常用应用城域网常见应用l 教学类：网上备课、在线学习、网上录取、在线考试等教育城域网常用应用城域网常见应用l 交流类：门户网站、BBS、Email、教育Blog等教育城域网常用应用城域网常见应用l 视频类：远程教育，视频会议，网上课堂，视频点播/直播等应用对网络的要求1、中国基教信息化背景及现状2、教育城域网建设问题与挑战3、锐捷网络教育城域网解决方案4、Q&A提 纲城域网建设过程中遇到的问题应用建设与使用问题l 不知道什么应用该上，什么应用不该上；l 哪些应用是迫切应用，哪些应用可以暂缓；l 对于新建网络用户，往往盲目上全部应用系统，极大浪费投资城域网建设过程中遇到的问题网络建设问题l 城域网整体规划l 城域网骨干技术选择l 城域网核心设备选择城域网建设过程中遇到的问题网络安全问题l 恶意应用消耗网络带宽l 网络病毒泛滥，影响城域网运转l 黑客恶意攻击/非法入侵l 内部用户非法网络行为l 资源中心服务器遭受恶意攻击/入侵城域网建设过程中遇到的问题网络管理问题l 城域网中心网络维护管理工作量巨大l 远程故障无法准确定位，无法及时处理l 缺乏全面的网络管理系统（网络设备、服务器、应用系统）l IP地址管理困难（IP冲突、盗用）1、中国基教信息化背景及现状2、教育城域网建设问题与挑战3、锐捷网络教育城域网解决方案4、Q&A提 纲锐捷教育城域网解决方案城域网规划与设计思想网络安全设计网络管理设计123教育城域网组成部分骨干网接入网资源中心网络出口互联平台城域网骨干网主流技术对比 光以太网 SDH（同步数字体系 ） MSTP（多业务传输平台） RPR（弹性分组环 ） WDM（光波分复用技术 ） ATM（异步传输模式） MPLS VPN城域网骨干网主流技术对比传输 技 术技术 标准 化速率成本稳定 性安全 性开 销复杂 性扩展 性多业 务支持构建方式光以太网高高低高高低低高中自建SDH 高高高高高中中中中租用MSTP 中高中高高高低高中租用RPR 低中高高低高高中低租用/自建WDM 高高高高高中中中中租用ATM 高低高高高高中低高租用MPLS VPN低中高高高中高中高租用/自建建议在构建城域网时，首选租用裸光纤方式（以太网），其次是选用MSTP、MPLS VPN作为城域网骨干线路。锐捷教育城域网“区块化”设计思想资源中心 网络区块网络安全 管理区块网络互联 出口区块网络汇聚 区块A网络汇聚 区块Z网络汇聚 区块B城域网 核心区块防火墙防火墙HAHAINTERNETCERNETRG-Wall1500 RSR-04E出口互联区块StarViewStarView网管网管方案一： “高性能区块化” 教育城域网拓扑图区/县 汇聚接点区/县 汇聚接点GSN全局安全管理平台网络安全管理区块RG-S6800ERG-S8600/9600学校1学校2学校3学校4学校n学校 n+1城域网 高速核心区块中心局域网资源服务器群RG-S6800ERG-S5750资源中心区块汇聚区块A汇聚区块B、C汇聚区块D学校 n+2学校 n+3RG-S6800ERG-S8600/9600RG-S8600/9600防火墙防火墙HAHAINTERNETCERNETRG-Wall1500 RSR-04E出口互联区块StarViewStarView网管网管方案二： 全网安全“高性能区块化” 教育城域网拓扑图区/县 汇聚接点区/县 汇聚接点GSN全局安全管理平台网络安全管理区块RG-S6800ERG-S6800E学校1学校2学校3学校4学校n学校 n+1城域网 高速核心区块中心局域网资源服务器群RG-S6800ERG-S5750资源中心区块汇聚区块A汇聚区块B、C汇聚区块D学校 n+2学校 n+3RG-WallRG-WallRG-WallRG-S8600/9600RG-S8600/9600RG-S8600/9600 网络按功能进行区块划分，不同区块负责各自的独立业务，互不干扰 按区块进行安全规则、路由策略统一部署，实现数据交换和安全防护 网络核心不启用复杂功能、策略，具备高吞吐量和数据交换能力 网络结构设计安全、可靠，局部区块故障不影响全局网络运行好处：网络骨干高性能、高可靠性、易管理规划锐捷教育城域网“区块化”设计特点RG-S8606：1.6T背板，0.8T容量6槽，4用户槽，2交换引擎RG-S8610：3.2T背板，1.6T容量10槽，8用户槽，2交换引擎RG-S8600系列每线卡带宽：200G每线卡万兆密度：2/4/8/12支持40G、100G接口扩展面向10万兆平台设计的锐捷核心交换机RG-S8600RG-S9610：4.8T背板，2.4T容量10槽，8用户槽，2交换引擎RG-S9620：9.6T背板，4.8T容量20槽，16用户槽，4交换引擎RG-S9600系列每线卡带宽：300G每线卡万兆密度：2/4/8/12/16支持40G、100G接口扩展RG-S9600作为面向超大型园区网和城域网的核心路由交换设备，拥有更高的处理能力、更大容量的各硬件表项、更丰富的用户接口。面向10万兆平台设计的锐捷核心交换机RG-S9600硬件安全 监控技术硬件安全 防护技术万兆安全 防护模块CSS 安全体系MPLS、 VPLS、 VPWS、 DES、SHA提供硬件的 IPFIX，满 足网络流监 控和流分析防DDOS攻击 、非法数据 包检测、防 扫描、CPP 、SPOH防火墙、入 侵检测、网 络分析模块硬件隧道 加密认证CSS安全体系CSS安全体系l 安全的整合 l 安全与性能的平 衡 在不影响整 机性能的前 提下提供全 面的安全防 护能力。下文对IPFIX、防DOS攻击、CPP进行简要的介绍CSS安全体系IPFIXIPFIX lIPFIX（RFC 3917）定义了一种网络设备进行流量 采集并向管理系统输出的方法，近期将成为国际标 准。 lIPFIX标准以NetFlow v9为基础，利用以下“特征”定 义流： 源IP地址、目的IP地址、源端口、目的端口、3 层协议类型 服务类型（TOS）字节、输入逻辑接口、源和 目的自治系统号码 TCP标志和下一跳路由地址 IPFIX的应用l 安全监测 根据采集的数据，可综合进行模式匹配、基线分析等，进行DoS/DDoS攻击和蠕虫等病毒检测，结合记录的源数据包相关特征快速定位网络中的异常行为。l 网络流量分析及容量规划 根据收集和统计的情况，可获取大量的有用信息，如流量大小分布，前几名的流量用户和应用排行、整体网络流量、重要应用带宽的占用状况及其变化趋势等等，为今后的网络规划和升级提供决策参考。 l 流量计费 可实现多种计费方式，如基于流量、时间段、QoS、应用类型、自治域计费等。CSS安全体系IPFIXCSS安全体系防DDOS攻击 防DDOS攻击 l 防Land 攻击： 攻击原理：攻击者将一个SYN包的源地址和目的地址都设 置为目标主机的地址，源和目的端口号设置为相同值，造 成被攻击主机因试图与自己建立TCP连接而陷入死循环， 甚至系统崩溃。 防护： 丢弃源和目的IP相同的IPv4/IPv6数据包 丢弃源和目的TCP/UDP端口相同的IPv4/IPv6数据包防DDOS攻击 l防非法TCP报文攻击 攻击原理：许多非法的TCP报文会致 使主机处理的资源消耗甚至系统崩溃 防护： 丢弃SYN比特和FIN比特同时设置的TCP报文 丢弃没有设置任何标志的TCP报文 丢弃设置了FIN标志却没有设置ACK标志的TCP报文攻击CSS安全体系防DDOS攻击防DDOS攻击l 防源IP地址欺骗 攻击原理：大多数的攻击都通过伪造源IP 的方式开始发起 防护： RFC2827（网关丢弃源IP非本网段的数据包） 地址绑定（IP/MAC/端口、IP/MAC） 802.1x（六元素绑定）CSS安全体系防DDOS攻击CSS安全体系CPPCPP（Control Plane Policy）l CPU的利用率过高会影响管理与协议的正常运行，是设备不稳 定的最直接因素，也是各种攻击和病毒最主要针对的目标。 l CPP提供管理模块和线卡CPU的保护功能，并且锐捷10万兆 产品采用硬件的方式实现，不影响整机的运行效率。 l CPP提供三种保护方法，来保护CPU的利用率。 第一， 可以配置CPU接受数据流的总带宽 ，从全局上保护CPU。 第二， 可以设备QOS队列，为每种队列设 置带宽。 第三，为每种类型的报文设置最大速率。控制平面保护管理平面保护数据平面保护控制平面链路防护控制平面数据防护管理平面链路防护管理平面数据防护数据平面安全防护数据平面安全监控加密（SSH、IPSEC、 SNMPV3等）控制（AAA、 SNMPV3、USB等）硬件流速控制路由协议防护硬件流识别独立冗余的通道独立冗余的通道硬件防DOS与扫描硬件源IP地址验证基于SPOH的ACL硬件IPFIX传统安全技术平 面 保 护“平面分离+平面保护”设计“平面分离+平面保护”可以在三平面分离的基础上，提供完善的各平面保护机制，保证系统更加稳定与健壮。分布式业务融合分布式POE 灵活扩展分布式硬件 流量监控分布式硬件 策略路由分布式硬件 加密分布式业务 融合分布式硬件 MPLS VPLS隧道分布式硬件 IPV6分布式业务融合 l 丰富业务支持 l 业务与性能平衡（分布 式、硬件） 分布式业务融 合保证了在不 影响整机性能 的情况