锐捷网络-教育行业互联网出口方案案例集

互联网网关教育行业案例带宽合理分配、入网安全认证——云南师范大学校园网出口改造一、背景介绍云南师范大学是一所历史悠久、传统优良的省属重点师范大学，位于春城昆明。诞生于抗日烽火中的1938年,其前身为国立西南联合大学师范学院。学校现有网络用户约25000人，规模非常庞大。校园网出口带宽不足，以及整个学校校园网出口系统性能不足，设备CPU利用率超过90%，不能实现出口带宽的充分利用，且无专业的流控设备。而且，随着学校出口带宽的增加，问题将进一步凸显。其次，整个校园网没有进行用户上网的实名认证及计费，导致整个学校网络资源使用严重不均衡、网络资源滥用得不到有效解决，严重影响学校校园网的用户使用体验度，也严重影响学校关键业务的开展。另外，对于外来用户，使用学校网络不能得到有效监管，无相应的安全防护及审计系统，给学校网络使用造成极大的安全隐患。二、方案概述云南师范大学校园网用户超过两万人，用户数量非常庞大。学校于2012年10月完成改造，并投入使用，具体如下图所示：学校本次新采购两台NPE60E作为出口网关，两台万兆流控设备RG-ACE5000，一台内容加速系统RG-PowerCacheX5、一套应用性能管理系统RG-APM及认证计费系统RG-SAM及RG-Eportal。当前，学校总的出口带宽为3.4G，下月将增加至4.6G带宽。目前，使用锐捷RG-NPE60E作为出口网关，通过万兆接口连接至流控设备RG-ACE5000，在通过万兆连接至两台核心交换机RG-S8614。实现纯万兆校园网出口，满足未来10年内数字化校园应用及其他网络应用服务。采用业界领先的网络设备，在充分满足基本需求的同时，使整个网络具备先进性、高扩展性、高可靠性、能进行高质量的多业务承载的特征，真正构建出一个高品质的下一代多位一体的校园网络。三、产品应用效果网络改造以后，整个学校校园网出口效率明显提升，出口带宽可充分利用。出口网关的CPU利用率由原设备的95%降至现在的13%；在3.4G的出口带宽中，由原来的2.8G提升到现在的3.4G，出口带宽的利用率达到100%。而且，配合认证计费系统，实现基于用户身份的精细化带宽控制，并且实现计时、包月、包月限带宽、包月限时等多种计费策略。内容加速系统上线以来，为用户节约带宽近400M，用户在线视频、P2P下载的速度提升近百倍，极大的提升用户上网体验。RG-NPE60E作为出口网关：支持300万NAT并发连接数，每秒新建会话数为30万；智能选路：校内用户访问校外资源时，能自动选择与目标资源在同一个运营商的线路作为访问出口。校外用户访问校内资源的智能DNS功能：校外用户访问校内资源时，出口网关应具备根据校外用户所在的运营商，自动将DNS解析为与其在相同运营商的DNS，保证校外用户能快速访问校内资源，提升学校形象。例如，通过智能DNS解析功能，在电信网用户访问校园门户网站域名时，自动解析成电信网IP，从而引导电信网络用户从学校的电信网链路访问学校校园门户服务，当教育网用户访问时，则解析成教育网IP，引导教育网用户从教育网链路进行访问。由此为外部网络用户动态提供最优的访问路径，智能的为用户选择最快速最优的访问线路。多链路负载与备份功能：根据出口链路的延时、带宽利用率等情况，能自动进行出口流量分担；另外，当某条出口链路故障时，能自动备份至其他出口链路，保证网络的正常使用。RG-ACE5000作为流控及准出网关：流控设备需要能准确识别各种应用：基于DPI（DeepPacketInspect，深度包检测）技术，实时的、可视化的了解用户访问Internet的应用情况、流量情况、带宽情况，可灵活的对各种应用做策略控制，保障学校关键业务的应用。嵌套方式的带宽管理：流控设备对用户上网的P2P流量做灵活控制，保障用户使用P2P应用的同时，可以顺畅的浏览网页或者做其他应用。通过此种方式的管理，既保障了学校出口带宽合理利用，同时提升了用户的体验效果。RG-PowerCacheX5内容加速系统：PowerCache可以分析用户访问资源的热度，针对HTTP下载、流媒体、P2P等资源进行热点缓存，将热点资源缓存在本地加速用户访问速度近百倍。后续用户访问该资源时，直接从本地读取即可，既提高了用户的访问速度，又节省了宝贵的出口带宽。云南师范大学RG-PowerCacheX5自上线以来，为用户节约带宽约400M。RG-APM内容加速系统：日志集中管理：锐捷网络APM开创性的把出口网关NPE、ACE设备的日志通过APM实现集中管理，存储NAT日志、URL日志以及IM上下线、会话数等等日志，满足公安部82号令要求。L2~L7流量可视化WEB服务性能评估网络健康检查数据挖掘网络结构可视化重庆运动技术学院打造高速、安全的出口网络1重庆运动技术学院校园网出口建设背景重庆市运动技术学院是重庆市体育局的下属单位，为全额拨款的事业单位。市政府把重庆市运动技术学院（市竞训中心）项目列入了重庆市“十一五”规划的重点工程。重庆市运动技术学院位于重庆大学城北部，占地530亩，建筑面积近12万平方米，总投资3亿元。2007年12月启动建设，2009年春季部分建成，2009年12月全部建成交付使用后，实现学院整体搬迁。重庆竞技体育训练中心项目建成后将除射击、射箭项目外的16个竞技体育项目全部纳入训练中心进行集约型管理。设置奥运项目16个：田径、游泳、跳水、篮球、足球、武术、蹦床、乒乓球、网球、羽毛球、柔道、跆拳道、摔跤、拳击、举重、曲棍球。设定运动队规模为优秀运动队运动员800人，后备人才梯队1600人，教职工人数600人，总规模约6000人。为满足信息化的教学、管理手段来提升学校的教育、教学、管理质量，需要完善数字化校园网的建设。校园网作为数字化校园网的承载平台，需要建设一个安全、稳定、易管理的校园网平台。校园网出口平台作为服务校园网到互联网的数据传输窗口，高质量的出口平台是保障校园网到互联网业务访问的首要条件。2校园网出口应用需求分析校园网出口主要负责承担整个校园网的数据转发、流量控制、安全防护、安全审计、远程VPN接入等功能。同时包含DMZ区域，部署DNS、WEB、Email等对外应用服务器，为外网提供相关资源访问服务。因此，重庆运动技术学院校园网出口要保障整个校园网用户安全、稳定、快速的访问外网，对网络出口设计需要满足以下要求：1.校园网到互联网数据的高速转发校园网出口作为内网地址与外网地址NAT转换的核心区，针对出口部署的设备需要提供高速NAT转发性能。其中，衡量NAT性能的主要指标包括NAT并发会话数与NAT新建连接数。NAT并发会话数决定校园网到互联网地址翻译的吞吐量。NAT新建连接数的数量决定校园网用户突发同时访问互联网的情况下用户网络速度的快慢，高的NAT新建连接数可以在用户高峰期提供快速的NAT转发。按照学校校园网用户密集、突发访问互联网情况多的情况分析，出口提供的NAT新建连接数至少不少于10万/秒。2.校园网出口多链路带宽的均衡利用校园网连接外网有多条链路，包括现有的电信链路，未来可能扩展的联通、教育网等链路，所有外网链路都是通过租用方式获得。因此，在出口拥有多条链路的情况下，需要保证每条链路带宽均衡有效使用，充分保证每条链路的带宽用完、用好，才能真正体现租用链路所花费成本的价值，同时保障用户上网的满意度。3.校园网出口应用流量质量的精细化管理校园网出口带宽有限，在当前PtoP应用泛滥的互联网时代，需要保障出口的带宽不被非关键业务的PtoP应用占满，同时保障每个用户的带宽和每个应用的带宽，来保障校园网到外网关键业务的访问。对提升出口应用流量质量以及提升用户满意度来说，只有对出口应用流量的管理做精细化管理。每个用户对带宽需求是不一的，同时每个用户对应用需求也是不一的。如：对于学生用户与教师用户，教师用户可享受更高的带宽与更多的应用。因此，需要针对用户实名实现带宽、应用管理，才能真正体现精细化管理的价值。4.出口带宽使用效率的提升校园网用户存在用户密集、并发量的特点，对用户访问的资源来讲存在同一资源大量重复访问的特点。如，教学视频资源、系统补丁升级、病毒库升级、热门视屏、热门新闻等。这些被校园网用户重复访问的资源可称为热点资源，每个用户访问热点资源都会访问互联网，这样导致有限的出口带宽中占有大量的重复资源。将重复访问的热点资源进行收敛，并将这些资源本地化，就可有效的节约出口带宽，节省租用带宽的资金投入；同时，内网其他用户访问热点资源的时候不再访问互联网，只需到本地进行访问，可提升用户访问的速度，提升用户的体验度。5.出口流量的可视化管理重庆运动技术学院信息网络结构庞大、用户数量众多，时有网络安全事件通过校园网出口发生。我们可能遇到如下情况：网络中L2到L7层流量信息不透明，无法掌握用户、应用占用网络资源的详细情况；用网高峰期，出口网络设备、出口链路出现性能不足的情况，却无法定位造成该类故障的具体原因；互联网出口网络扩容时缺乏相关报表依据作指导；互联网出口网络经常发生堵塞，却查不出瓶颈所在，很多网管人员，在遇到网络问题时手足无措，经常采用看流量、拔网线等基础手段，排查周期长，也很难真正找出问题；网络流量缺乏有效的历史报表统计，整个过程无据可查。网络最大的价值，在于信息化的应用，当网络运行状况不透明，出现故障不能及时解决，既使有再好的网络出口带宽，也只是一个摆设。因此在确保网络系统正常工作和关键业务的安全、高效运行的同时，如何从根本上解决可视化难题，并当发生网络问题时，能及时、准确地定位和处理，是重庆运动技术学院网络管理和运维中亟待解决问题。3校园网出口设计重庆运动技术学院校园网出口按照应用需求设计，满足学校未来3-5年的业务应用需求。1、校园网出口部署拓扑图2、硬件部署方案整个校园网出口设计部署1台出口链路负载均衡路由器RG-NPE60E，1台流量控制引擎RG-ACE3000，一台VPN防火墙RG-WALL1600XI。三台设备之间通过6类双绞线相互连接。同时，在核心交换交换机RG-S8610旁挂一台应用缓存加速系统RG-PowerCacheX5，通过6类线与核心交换机千兆连接。在核心交换机RG-S8610旁挂一台应用性能管理系统RG-APM(H)，通过6类线与核心交换机千兆连接。3、功能部署方案1)RG-NPE60E提供校园网出口的高速NAT转发与多链路负载均衡；2)RG-ACE3000提供校园网出口应用带宽的精细化控制与管理，同时与RG-SAM认证计费系统联动，实现基于真实用户名的带宽、应用管理；3)RG-WALL1600-XI提供过滤校园网与互联网之间的不安全数据，减少校园网内用户感染病毒、木马，被攻击的风险；4)RG-PowerCacheX5提供校园网访问的互联网资源热点本地化，并提供校园网用户的高速访问；5)RG-AMP提供校园网出口的所有应用、流量、质量管理、记录，为校园网出口的质量提供量化的评估标准；4校园网出口设计特点整个网络出口通过建设高速的转发通道，规范化通道内的应用，精简重复应用的访问，并与认证计费系统联动，通过个性化的实名制流量控制手段，打造一个可管理、可控的高质量、高速的网络出口。1.通畅高效的传输平台1)RG-NPE60E出口路多链路负载均衡由器采用NAT与REF（锐捷快速转发）高效配合，并充分利用x-flow技术，提供200万并发会话数与15万/秒的新建连接数，实现高速的NAT转发。2)智能选路技术和智能DNS解析技术提高网络访问效率智能DNS解析为了让校园网对外开放的资源能够更快捷的让外部网络用户所访问，则需要合理引导外部网络用户所访问的路径。例如，通过智能DNS解析功能，在电信网用户访问校园门户网站域名时，自动解析成电信网IP，从而引导电信网络用户从我校的电信网链路访问我校校园门户服务，当教育网用户访问时，则解析成教育网IP，引导教育网用户从重庆市农业机械化学校的教育网链路进行访问。由此为外部网络用户提供一个动态最优的访问路径。智能选路针对网络内部用户，对Internet资源的访问