西默智能流量控制產(chǎn)品針對學(xué)校校園網(wǎng)絡(luò)解決方案

年4月19日西默智能流量控制產(chǎn)品針對學(xué)校校園網(wǎng)絡(luò)解決方案文檔僅供參考，不當(dāng)之處，請聯(lián)系改正。西默智能流量控制產(chǎn)品針對高校校園網(wǎng)絡(luò)解決方案一．當(dāng)前校園網(wǎng)絡(luò)面臨的現(xiàn)狀：校園網(wǎng)特別是高校校園網(wǎng)，一直是國內(nèi)Internet發(fā)展的領(lǐng)頭羊，早在1994年7月，中國教育和科研計算機網(wǎng)CERNET示范工程就已正式啟動。隨著校園網(wǎng)信息化建設(shè)的開展，教學(xué)、科研、辦公、生活對于校園網(wǎng)平臺的依賴性越來越強。國內(nèi)的眾多校園網(wǎng)經(jīng)過多年持續(xù)不斷的基礎(chǔ)設(shè)施建設(shè)和應(yīng)用提升，已經(jīng)形成了較為穩(wěn)定的基礎(chǔ)架構(gòu)和相對豐富的應(yīng)用平臺。在師生們利用校園網(wǎng)獲得更多更及時地教育資源的時候，一些網(wǎng)絡(luò)安全方面和應(yīng)用方面的問題被暴露了出來，嚴重影響了校園網(wǎng)絡(luò)的健康發(fā)展。當(dāng)前，很多學(xué)校校園網(wǎng)運維過程中，或多或少都會面臨著以下的問題及挑戰(zhàn)：1.越來越多的出口由于一些特定因素，當(dāng)前很多學(xué)校普遍采用多校園網(wǎng)出口方式，基本上70-80%以上學(xué)校都有2個校園網(wǎng)出口，而且根據(jù)當(dāng)?shù)厍闆r，相當(dāng)比例的學(xué)校擁有三個及以上的出口。學(xué)校一般會基于速度、資源利用情況和費用的考慮確定其多個出口的使用訪問方式。面對多個出口的實際使用狀況，在技術(shù)實現(xiàn)上如何進行智能選路？如何進行多鏈路負載均衡？如何靈活部署以簡化網(wǎng)絡(luò)拓撲，降低投資？

2.安全防護能力伴隨著數(shù)字化校園的建設(shè)、校園資源的整合，數(shù)據(jù)中心的建立已經(jīng)是大勢所趨。對數(shù)據(jù)中心服務(wù)器和傳統(tǒng)的校園網(wǎng)出口邊界處的安全防護，已經(jīng)成為大家重點關(guān)注的對象。事實上，校園網(wǎng)內(nèi)部出現(xiàn)的網(wǎng)絡(luò)威脅的種類也越來越多，不但有非法入侵、網(wǎng)絡(luò)滲透，還有網(wǎng)絡(luò)欺騙、DOS/DDOS攻擊、各種惡意軟件、垃圾郵件等。其中DOS/DDOS攻擊特別是一個應(yīng)受到特殊關(guān)注的攻擊。最嚴重的攻擊是無法終止的攻擊，DOS/DDOS攻擊正是如此，特別現(xiàn)有校園網(wǎng)日益增長的網(wǎng)絡(luò)帶寬（萬兆骨干網(wǎng)，上G出口帶寬）為DOS/DDOS攻擊提供了更大的可能。而且攻擊還呈現(xiàn)出以下特點：突發(fā)性強（很難預(yù)測和監(jiān)控）、隨機性強（任何網(wǎng)絡(luò)用戶都可能成為攻擊的目標(biāo),同時攻擊的頻率和持續(xù)時間也很隨意，很多的攻擊持續(xù)時間并不長，當(dāng)意識到攻擊發(fā)生時，攻擊可能已經(jīng)結(jié)束了）、方向不確定、復(fù)雜度在提高（攻擊手段和涉及的協(xié)議也在不斷的提高，對防御設(shè)備的性能及部屬以后的升級潛力提出更高要求）。3.流量控制校園網(wǎng)幾乎能夠說是P2P應(yīng)用最多的場所之一，大量的P2P等非關(guān)鍵應(yīng)用無情地吞噬著校園網(wǎng)絡(luò)有限的帶寬資源，使得網(wǎng)絡(luò)管理人員頭痛不已。在沒有對校園P2P流量進行策略管理的時間段內(nèi)，P2P等非關(guān)鍵應(yīng)用的流量幾乎占用了60-70％的網(wǎng)絡(luò)帶寬，關(guān)鍵性應(yīng)用卻得不到保障。同時P2P軟件也逐漸成為計算機病毒和木馬傳播的主要途徑。可見，必須對特定用戶或者某些特定應(yīng)用進行流量的控制。4.“無所不聯(lián)”的要求無論是廣大師生需要從校外遠程訪問校內(nèi)的數(shù)字圖書館，還是領(lǐng)導(dǎo)、老師需要從校外遠程使用校內(nèi)的辦公應(yīng)用系統(tǒng)，不但要實現(xiàn)其遠程安全接入，而且需要針對訪問者、使用者的身份進行認證并授權(quán)，為特定用戶群分配特定的訪問資源。另外,同一高校多個校區(qū)之間的核心、敏感部門（財務(wù)、人事等部門）之間也必須實現(xiàn)安全互聯(lián)。5.對內(nèi)網(wǎng)的監(jiān)控以及上網(wǎng)行為控制一方面，由內(nèi)網(wǎng)到外網(wǎng)的安全威脅比較嚴重。學(xué)生電腦管理松散，電腦中裝有各種軟件甚至感染病毒，有可能成為攻擊的跳板，因此還需要監(jiān)督、控制全網(wǎng)應(yīng)用協(xié)議的情況（流量分布、會話數(shù)量）、校園網(wǎng)每用戶的使用情況（上下行流量、會話數(shù)量）等來作為輔助管理手段。另外一方面，學(xué)生自制力較差。有必要對其上網(wǎng)行為進行一定程度的控制，例如：禁止其瀏覽成人、娛樂等不安全或政策、法律禁止的網(wǎng)站，以及其它的一些上網(wǎng)使用行為。6.ARP攻擊防御ARP欺騙攻擊不但導(dǎo)致校園網(wǎng)不穩(wěn)定，極大影響數(shù)字校園業(yè)務(wù)的正常運行，更嚴重的是利用ARP欺騙攻擊可進一步實施中間人攻擊和網(wǎng)關(guān)仿冒攻擊。中間人攻擊是一種非常惡劣的網(wǎng)絡(luò)惡意攻擊行為。而ARP仿冒網(wǎng)關(guān)，則導(dǎo)致用戶無法正常和網(wǎng)關(guān)通信，攻擊者能夠憑借此攻擊而獨占上行帶寬。由于ARP欺騙攻擊利用了ARP協(xié)議的設(shè)計缺陷，光靠包過濾、IP＋MAC＋端口綁定等傳統(tǒng)辦法是比較難解決的。7.高性能、高可靠一方面，現(xiàn)在校園網(wǎng)的網(wǎng)絡(luò)流量模型逐漸在發(fā)生著變化（小包報文比例增加，單個用戶的并發(fā)連接數(shù)也在迅速增加、UDP報文在迅速增加等），另外一方面，越來越大的流量需要處理，越來越多的功能需要開啟，對于設(shè)備高處理性能的需求也是越來越迫切。維護校園網(wǎng)絡(luò)在高安全環(huán)境下的長期穩(wěn)定性和可用性是校園網(wǎng)用戶所期望的。單設(shè)備、單鏈路的現(xiàn)象在校園網(wǎng)中還占據(jù)主要位置。對于設(shè)備的冗余、鏈路的備份，以及在出現(xiàn)設(shè)備或者鏈路故障下的自動切換，也僅僅是少數(shù)學(xué)校達到這樣的水平。那么，如何實現(xiàn)高可用性？如何實現(xiàn)自動調(diào)整對用戶的透明性？即，用戶無需理解復(fù)雜的技術(shù)，只需要體驗最快的網(wǎng)速。二．針對以上問題，西默流控的解決辦法1.解決網(wǎng)絡(luò)對外接口帶寬的不足：利用西默流控系統(tǒng)的各種帶寬規(guī)則設(shè)定，網(wǎng)絡(luò)管理員可依據(jù)網(wǎng)絡(luò)的使用特性，預(yù)先規(guī)劃重要用戶，應(yīng)用或服務(wù)器等，對一般非實時性的應(yīng)用，如電子郵件給予適當(dāng)?shù)膸捪拗疲瑴p少大容量郵件附件對帶寬的占用。2.保障視頻會議，音頻（VOIP），ERP，數(shù)據(jù)庫等關(guān)鍵應(yīng)用的實施傳輸利用OQS設(shè)備所提供的各種帶寬管理規(guī)則設(shè)定，網(wǎng)絡(luò)管理員可依據(jù)網(wǎng)絡(luò)的使用特性，預(yù)先規(guī)劃重要應(yīng)用的帶寬保證值，數(shù)據(jù)包的優(yōu)先級。3.控制P2P應(yīng)用對于P2P應(yīng)用，我們能夠采取時間限制的做法，比如在工作時間段能夠給定一個小帶寬，非工作時間段能夠取消此限制。這樣就不會對正常的網(wǎng)絡(luò)應(yīng)用秩序產(chǎn)生不利的影響。4.過濾不良信息網(wǎng)絡(luò)西默流量控制系統(tǒng)提供群組功能一級能夠針對群組可設(shè)定規(guī)則加以管理，網(wǎng)絡(luò)管理員能夠設(shè)定黑名單，并對此黑名單組設(shè)定過濾規(guī)則。由此，可確保網(wǎng)絡(luò)內(nèi)部用戶無法解除到這些不良信息網(wǎng)站。5.動態(tài)合理分配出口帶寬資源西默流量控制系統(tǒng)的帶寬管理功能提供針對不同時間、不同部門、不同用戶對象給予不同帶寬分配、數(shù)據(jù)包優(yōu)先級等功能，使有限的帶寬資源利用效率達到最大化。6.高性能NAT西默流量控制系統(tǒng)采用多核+ASIC架構(gòu)，解決了當(dāng)前一些產(chǎn)品只能工作在透明模式下的弊端，既能夠工作在透明模式下不改變網(wǎng)絡(luò)的整體結(jié)構(gòu)，也能夠部署在路由模式，能夠完成原有路由器和防火墻的功能。采用多核架構(gòu)的流控產(chǎn)品在做NAT的同時，不影響帶寬管理的使用，性能下降很小。7.詳盡的監(jiān)控圖表西默流量控制系統(tǒng)提供詳盡的網(wǎng)絡(luò)監(jiān)控報表以及長期監(jiān)控圖形報告，方便管理員進行網(wǎng)絡(luò)管理，網(wǎng)絡(luò)流量擁塞定位。三．西默流控的部署方式西默流量控制產(chǎn)品支持多種部署方式，分別為：路由網(wǎng)關(guān)模式、透明網(wǎng)橋模式、旁路部署模式，您能夠根據(jù)您的網(wǎng)絡(luò)拓撲狀況和您的需求，靈活的部署西默流量控制產(chǎn)品，最大限度發(fā)揮本產(chǎn)品的性能。

1、路由網(wǎng)關(guān)模式

網(wǎng)關(guān)模式是將西默流量控制產(chǎn)品作為內(nèi)部網(wǎng)絡(luò)的出口路由，其典型部署拓撲圖如下：

經(jīng)過NAT和PROXY功能，使內(nèi)部用戶共享Internet連接，同時分割內(nèi)外網(wǎng)，經(jīng)過配置XMNAC，有效的保障了您的內(nèi)部應(yīng)用的安全，同時經(jīng)過合理的出口帶寬應(yīng)用方案，保障您的關(guān)鍵業(yè)務(wù)應(yīng)用。2、透明網(wǎng)橋模式(建議用第二種)西默流量控制產(chǎn)品推薦的部署模式，其拓撲如下：

此模式在不更改您的網(wǎng)絡(luò)拓撲的情況下，能夠方便的實現(xiàn)對內(nèi)網(wǎng)用戶的訪問進行控制和監(jiān)視。3、旁路部署模式西默流量控制產(chǎn)品旁路部署模式拓撲如下：

旁路部署模式，對所有經(jīng)過經(jīng)過的數(shù)據(jù)進行監(jiān)聽，達到監(jiān)控目的，此方式對您網(wǎng)絡(luò)的影響最小，但由于只是分析所有數(shù)據(jù)的副本，因此不能發(fā)揮西默流量控制產(chǎn)品的QOS功能。四．總結(jié)：

校園網(wǎng)的一個突出特點就是用戶數(shù)比較大，隨著學(xué)生用戶數(shù)量增多，學(xué)校的各種業(yè)務(wù)種類和內(nèi)容增加，使得校園網(wǎng)出口帶寬和數(shù)量不斷擴容。但由于缺乏有效的流量管理手段，出口線路帶寬不斷面臨著“擁塞—擴容—再擁塞”的問題，同時信息中心網(wǎng)管面臨著怎么去維護校園網(wǎng)絡(luò)穩(wěn)定性的問題。然而學(xué)校的特殊應(yīng)用環(huán)境以及特殊應(yīng)用群體使得該校網(wǎng)絡(luò)管理水平需要進一步提高，需要有更好的網(wǎng)絡(luò)維護工具與安全體系。

校園網(wǎng)的主要用戶群體是在學(xué)生，她們網(wǎng)絡(luò)應(yīng)用水平普遍較高，喜歡下載并使用各類應(yīng)用程序，包括一些黑客工具。從而產(chǎn)生的網(wǎng)絡(luò)流量大、流量模式復(fù)雜，使學(xué)校網(wǎng)絡(luò)的穩(wěn)定性面臨更加嚴峻的考驗。再加上層出不窮的網(wǎng)絡(luò)蠕蟲、DoS攻擊、學(xué)生私建各種應(yīng)用服務(wù)器