Juniper networks 2007 11 4
This presentation is the property of its rightful owner.
Sponsored Links
1 / 35

领航高性能校园网 --- 高效 . 分层 . 安全 . 可控 Juniper Networks 2007/11/4 PowerPoint PPT Presentation


  • 73 Views
  • Uploaded on
  • Presentation posted in: General

领航高性能校园网 --- 高效 . 分层 . 安全 . 可控 Juniper Networks 2007/11/4. Agenda. 校园网发展趋势 高性能校园网. 现状概述. 高校信息化的深入发展,无纸化办公的普及,使得网络成为工作生活不可分割的一部分 互联网在提供了海量信息资源的同时,催生了各种应用系统,占据了大量的网络带宽 伴随着互联网的迅速发展,各种蠕虫,攻击,木马恶意软件等等涉及网络安全的事情愈发的突出 IPv6 在国内高校的发展相比欧美和日本相对缓慢 ……. 今后的发展方向. 核心网升级 校园网整体安全 IPv6 网络逐步部署

Download Presentation

领航高性能校园网 --- 高效 . 分层 . 安全 . 可控 Juniper Networks 2007/11/4

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Juniper networks 2007 11 4

领航高性能校园网---高效.分层.安全.可控Juniper Networks2007/11/4


Agenda

Agenda

  • 校园网发展趋势

  • 高性能校园网


Juniper networks 2007

现状概述

  • 高校信息化的深入发展,无纸化办公的普及,使得网络成为工作生活不可分割的一部分

  • 互联网在提供了海量信息资源的同时,催生了各种应用系统,占据了大量的网络带宽

  • 伴随着互联网的迅速发展,各种蠕虫,攻击,木马恶意软件等等涉及网络安全的事情愈发的突出

  • IPv6在国内高校的发展相比欧美和日本相对缓慢

  • ……


Juniper networks 2007

今后的发展方向

  • 核心网升级

  • 校园网整体安全

  • IPv6网络逐步部署

  • 各种数据中心,网络资源的整合

  • ……


Agenda1

Agenda

  • 校园网发展趋势

  • 高性能校园网


Juniper networks 2007

6

Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net

高效的网络结构


Juniper networks 2007

当前校园网结构

  • 典型的三层结构

    • 核心+汇聚+接入

  • 核心和汇聚采用三层交换机

  • 接入采用二层交换机

核心层

汇聚层

接入层


Juniper networks 2007

今后校园网结构

  • 网络层次简洁

    • 两层网络结构

      • 核心层

      • 接入层


Juniper networks 2007

扁平化网络结构

接入层

利旧

核心层

利旧

校区间互联

分校区

分校区


Juniper networks 2007

高效的网络结构

接入层

接入层

核心层

接入层

接入层


Juniper networks 2007

高效的网络结构

  • 网络结构扁平化

    • 减少物理和逻辑级联级数,提供更加快速的数据通道

    • 扩展核心节点

    • 压缩掉汇聚节点

    • 接入直接面向核心,从而形成扁平化的网络结构

  • 扁平化的前提

    • 核心设备需要高性能和大容量

    • 高密度以太网口用以直接下挂大量的二层设备

  • Juniper专门优化的纯以太网核心路由器满足校园网扁平化结构


Juniper networks 2007

MX系列运营商级以太网核心路由器

  • MX系列三个型号

    • MX960

    • MX480

    • MX240


Mx960

MX960

控制指示面板

风扇冷却系统

转发引擎和板卡

交换矩阵

路由引擎

线缆管理托架

风扇冷却系统

空气进入部分


Mx480

MX480


Mx240

MX240


Mx960 480 240

MX960/480/240---高性能和大容量

  • 互联网应用的层出不穷,高校数字化的不断深入,校园网流量的迅猛增长

  • 包转发能力

    • 1200/600/300Mpps包转发能力

  • 交换能力

    • 960/480/240Gbps吞吐能力


Mx960 480 2401

MX960/480/240---接口密度树立了业界新标杆

  • 高密度

    • 每板卡40GE

    • 每板卡4个10GE

  • 整机接口

    • 整机480/240/120个全线速GE接口

    • 整机48/24/12个全线速10GE接口


Juniper networks 2007

18

Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net

分层的业务网络


Juniper networks 2007

多业务混载,职能网络没有分离

  • 校园网现状

    • 教师办公OA网和学生网混杂使用

      • 增加单一物理网络的不安全性

    • 很多高校有分校区

      • 和主校区互联

      • 尤其分校区和主校区的财务等部门互联

      • ……

    • 一卡通单独的专用网络

      • 增加运行维护成本


Juniper networks 2007

分层网络-业务平面分离

  • 教师办公OA网和学生网

    • 从管理和运行维护角度,应该将二者分离

  • 财务网络

    • 安全,独立的网络

    • 和分校区财务部门互联,提高效率

  • 一卡通网络

    • 安全,独立的网络

    • 降低运行维护成本

  • ……

  • 如何做到?

    • Juniper逻辑路由器构建N平面网络


Juniper networks 2007

逻辑路由器

  • 单台路由器可以划分出15台逻辑路由器和1台主路由器,路由器上的接口可以任意划分到任意的路由器中

  • 每个逻辑路由器都有自己的单独的路由表和转发表

  • 都使用ASICs来转发报文,因此这16台路由器接口都是线速转发

逻辑路由器

主路由器


Juniper networks 2007

VLAN#13

VLAN#13

VLAN#12

VLAN#12

VLAN#11

VLAN#11

VLAN#10

VLAN#10

N平面网络

  • 业务网络分层

    • 各业务网络之间完全隔离,在需要互通的业务网络之间配置严格的控制策略

    • 单一物理网络承载多业务

    • 良好的网络扩展性,极大的节省投资成本

    • 实施部署简单,节省运行维护成本

。。。:LR#5

。。。:LR#5

。。。:LR#5

。。。

V6实验网:LR#4

V6实验网:LR#4

V6实验网:LR#4

科研人员

财务专网:LR#3

财务专网:LR#3

财务专网:LR#3

VLAN#600

财务人员

VLAN#600

一卡通网:LR#2

VLAN#500

一卡通网:LR#2

一卡通网:LR#2

全部用户

VLAN#500

VLAN#400

VLAN#400

教师网:LR#1

教师网:LR#1

教师网:LR#1

VLAN#300

VLAN#300

教师用户

学生网:LR#0

学生网:LR#0

学生网:LR#0

学生用户

L2SW

主路由器

主路由器

主路由器

L2SW

MX核心节点

MX核心节点

MX核心节点


Juniper networks 2007

23

Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net

终端到核心的安全解决方案


Juniper networks 2007

校园网安全概述

  • 影响网络安全的因素

    • 设备尤其是核心设备自身的安全性,以及设备抗压力/攻击的能力

    • 用户终端的安全性

    • 用户滥用行为

    • 各种网络资源的限制和授权访问

    • ……


Juniper networks 2007

路由器安全之道

  • 模块化,成熟的JUNOS系统意味着很少的bug

  • 控制和转发分离

    • 路由平台在面临大流量的情况下,依然可以保持路由平台的稳定

  • 控制平面和转发平面之间内置防火墙进行过滤

  • 基于ASIC的数据包过滤/速率限制/采样等功能保证路由器的安全和城域网的安全

    • 通过ASIC执行安全控制功能,使得路由器在获得丰富功能的同时,性能不打折扣


Juniper networks 2007

从用户终端和用户行为方面解决安全问题

  • 安全的网络

    • 接入网络的用户终端系统应该是无漏洞的

    • 接入网络的用户终端应该是干净的

    • 用户网络行为应该是规范的

    • 授权访问各种网络资源

    • ……

  • Juniper 统一接入控制(UAC)解决方案


Unified access control solution

  • IA 保护认证过的客户端免受恶意的不安全的客户端的侵袭。

Unified Access Control Solution

Infranet Controller (IC)

全面的企业整合

AAA 认证服务器

用户认证 (使用已有的 AAA 系统)

决定用户的访问权限

在Infranet Enforcer为端点提供访问

集中的策略管理,将安全策略加载到端口和执行点

集成的修复方案

基于用户标识,网络标识和端点评估的全面的策略执行

  • Infranet Agent (IA)

  • 主机安全检查

  • 个人防火墙/IPSEC VPN引擎

  • MS Windows 单点登陆

  • Mac 和Linux 无客户端的执行

Enforcers –

Firewalls

IDP

DX

Switches


Juniper networks 2007

28

Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net

灵活的流量控制


Juniper networks 2007

校园网可控性

  • 良好网络控制体现在两个方面

    • 网络控制点的选择

    • 用户流量的控制


Juniper networks 2007

控制点

  • 当前三层网络结构

    • 接入层

      • 接入层设备,品牌相对较多,该层面设备功能单一,控制功能有限,而且设备数量非常庞大,实施困难

    • 汇聚层

    • 核心层

      • 汇聚和核心层的设备,业务控制能力相对较强,但是就目前校园网的实际情况来看,各种控制功能不尽如人意


Juniper networks 2007

控制点

  • 扁平化的二层网络结构

    • 接入层

      • 该层同样存在如前所述的问题,品牌相对较多,该层面设备功能单一,控制功能有限,而且设备数量非常庞大,实施困难

    • 核心层

      • 作为整个网络的控制层,设备数量少,实施简易

      • 核心设备的控制能力非常强,完全可以严格控制网络的能力

      • 由于从接入层直接到核心层之间经过的设备,都是起用二层功能,通过802.1q VLAN直接终结到核心路由器,因此子接口做为这些VLAN的默认网关


Juniper networks 2007

控制点的选择

接入层

接入层

网络控制点

核心层

接入层

接入层


Juniper networks 2007

流量控制

  • 校园网流量现状

    • 绝大部分流量是学生使用产生

    • 极小部分流量是其他用户产生

  • 学生大量使用各种P2P应用,消耗了大量的校园网核心带宽和校园网有限的出口带宽

  • 因此校园网流量管理的关键,是对学生流量的管理


Juniper networks 2007

流量细分化管理

  • 在核心路由器上对每用户进行相对精细的流量监管和控制

    • 基于应用类型http/email/voip等进行分类

    • 对于每个应用流量进行流量监管

    • 对于每个IP地址进行流量监管

  • 对出入校园网的流量进行监管控制

    • 对于教师用户群体不进行流量监管

    • 对于学生用户群体进行流量监管

      • 对于每个学生分配一定的带宽资源

  • 对校园网互访流量不进行控制


Juniper networks 2007

35

Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidentialwww.juniper.net


  • Login