安全运维 融合IPv6――高校骨干网解决方案

高校骨干网解决方案1//81前言随着高校信息化建设的深入，校园网已成为教学、科研、办公和生活的重要支撑平台。国内高校经过多年持续不断的基础设施和业务应用建设，已经形成了较为稳定的校园网基础架构和相对丰富的校园网应用平台。而核心网络在稳定性、业务兼容性、安全控制和面向下一代IPv6网络等方面变得越来越重要。2趋势趋势1：拓扑结构复杂，接入业务增多，稳定性要求越来越高。高校网络拓扑结构日趋复杂，内网接入业务越来越多，例如办公网、宿舍区、数据中心等，各个业务部门对网络核心的高可靠性要求很高。趋势2：不同用户的接入身份和业务访问权限不同，需要在网络层面进行安全控制。在网络层面上的权责分明，不同部门之间如果网络上根本不可达，那么一旦出现信息泄露问题，首先可以排除“不是网络出了问题”；另一方面，是为“减轻网络管理工作”，权限划分清楚之后，用户无论到校园网的哪里上网都被智能配置了访问权限，从而减少由于用户移动带来的网络设备配置调整工作。趋势3：全面融合IPv6，可针对各种网络环境支持IPv6扩展。IPv6是未来校园网建设的发展方向，IPv6解决了校园网中许多IPv4固有的问题，IPv6提供了良好的科研平台和新的机遇。趋势4：自防御安全体系，设备在任何复杂攻击环境中稳定运行高校骨干网解决方案2//8目前部分高校开始倾向将网关上移（从汇聚移到大汇聚），这样路由维护、IPv6升级的工作量明显减少。带来的问题：例如某学院，但改造后，接入层有很多傻瓜交换机（未改造）无法安全控制，接入用户ARP泛洪严重，送往核心交换机CPU的ARP报文达到了4296pps。宿舍区大汇聚改造后（4000个用户的网关）不断被攻击，导致瘫痪。学生投诉不断，学校相关领导关注。趋势5：各种业务网络融合很多高校内部存在多个子网络（一卡通、财务、安保等），管理、维护和采购等各部门之间业务关系复杂，而且重复投资。例如某大学财务专网几十个信息点为保证安全单独跨校区租用裸光纤，投资巨大。而且对于财务、安保监控等网络，信息中心不但没有设备采购选择权，往往还承担了维护工作。信息中心希望实现一卡通、财务、安保等网络接入校园网（网络业务统一上收管理），各业务部门因为安全问题强烈抵制。高校希望一套整网业务融合的解决方案。3解决方案3.1高可靠的核心组网方案双核心环境：两台物理交换机组合成一台虚拟交换机，锐捷VSU（VirtualSwitchUnit）组网方案，实现高可靠的网络核心。这种特性会给用户带来如下价值：l即使一台机器整机宕机，业务也会保证不间断转发。l简化管理和拓扑，配置维护工作量大大降低(在生成树+VRRP环境下，最高降低50%)高校骨干网解决方案3//8环网环境：锐捷高端交换产品特有的RERP千兆/万兆快速以太网环保护技术。收敛时间50ms，VOIP、视频会议业务不受网络切换影响。3.2基于用户权限控制的核心组网方案利用防火墙模块配合GSN联动，针对用户内网不同安全区域的安全级别，实现基于应用的安全域解决方案。这种安全域解决方案是基于用户身份的网络层安全隔离和身份授权。高校骨干网解决方案4//83.3IPv6组网方案锐捷网络设备全面支持IPv6，适合不同环境下的IPv6组网。锐捷IPv6校园网部署－核心开启ISATAP隧道优点：lIPv4网点内部的IPv6主机可自动获得IPv6前缀l建设园区网内部的IPv6网络，网络改造规模相对较小高校骨干网解决方案5//8缺点：l主机系统需支持ISATAP协议lISATAP主机上需要手工配置ISATAP路由器地址。在部署上可能会有点麻烦。l不支持动态NAT穿透锐捷IPv6校园网部署－核心与楼宇开启隧道优点l不需要手工配置隧道目的IP地址l隧道自动建立，自动释放，不占用系统资源，维护比较简单l即使对端重新编址了，对隧道建立也并不影响l支持静态NAT穿透缺点l整个IPv6网点使用特殊的6to4地址，需要占用现有的公有IPv4地址l隧道的建立缺乏安全性控制高校骨干网解决方案6//8l不支持动态NAT穿透锐捷IPv6校园网部署－全网双开启协议栈双栈技术：设备同时支持IPv6和IPv4，可直接连接IPv4和IPv6网络，应用程序可选择IPv6或IPv4进行通信，所有的过渡技术都是基于双协议栈实现。优点：组网和维护简易，技术实现容易，效率高缺点：所有途经三层设备都需要支持3.4自防御安全体系早期交换设备是用户自行配置安全策略保证设备安全，例如路由加密、SSH、ACL等。但随着网络规模增大，安全攻击事件增多，信息中心人力资源配置没有与网络规模成正比例增长。试想，在一个数万个信息点网络，网络中突然出现几个ARP攻击的情况，信息中心无法立即同步处理完毕，直接的压力就是业务损失甚至设备宕机。锐捷网络CSS安全体系的理念是通过交换机自防御系统，CPU保护机制在攻击环境中保证设备不会宕机而正常运行。在此基础上，通过自动的安全检测机制，发现安全攻击后自高校骨干网解决方案7//8动下发安全策略隔离攻击源，从而保证设备的安全。3.5全网融合，MPLS解决方案锐捷网络全面支持MPLS功能，支持标准的MPLS标签交换功能，基于BGP/MPLSVPN的三层VPN功能、基于Martini的点到点二层VPN功能。万兆线速处理，支持CE双归属、可做为PE/P设备、支持跨域（OPTIONA/B/C）。方案描述：路由规划：lMPLS骨干域运行IGP协议与MBGP，IGP建议选择OSPFlPE和CE之间可根据路由条目的多少选择OSPF、静态路由，也可以通过二层连接高校骨干网解决方案8//8到PE设备设备规划：lP:无业务局域网接入的核心交换机，通常为多校区互联的核心交换机lPE：有业务接入的所有校区核心交换机、大汇聚交换机lCE：连接PE的小型汇聚或楼宇汇聚交换机VPN规划l对校园网内所有业务进行细分，为每个业务划分不同的VPN，并建立起VPN通道4结束语高校的信息化和校园网的发展推动了整个教育的发展。而随着信息化程度的加深、进程的加快，校园网对核心的要求也越来越高。锐捷网络在进行了充分调研和实地验证的基础上，提出了“安全运维，融合IPv6-高校骨干网解决方案”。锐捷网络将与您携手同行，打造一个高性能、高可靠、高安全、业务优化的网络核心平台。