Juniper方案

常州科教城城域网方案1概述Internet面临着最紧迫的问题是IP地址枯竭。针对这个问题，有两种解决方案：NAT和IPv6。NAT通过地址重用的方式来满足IP地址的需要，它主要是利用了这样一个事实：在一些域中（像一个公司的网络），在一段给定的时间内只有很少的主机需要访问域外的网络，80％左右的网络流量都局限于域内部。因此，这些域内的主机都使用私网IP地址（IANA保留了三个网段作为私网地址：10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)，私网地址无需全球唯一，在不同的私网内可以重复使用，当需要访问域外的网络时，它们的IP地址转换成公网IP地址。2常州科教城网络拓扑目前常州科教城6所高校和科教城内部网络已经比较完善，高校之间的互联已经实现，但是对于一些基于IP内部地址的资源在访问上受到本校或者其他一些限制，对于提供对外的访问和内部的访问需要进行一些相关的NAT转换来实现，对于常州科教城的技术则建议采用双向NAT来实现。NAT和PAT能够被应用到来自外部的流量和从低安全级接口到高安全级接口的流量。该功能有时也被称为“双向NAT（bi-directionalNAT）”。我们建议采用Juniper的网络设备进行组建。具体的拓扑结构如下图所示：方案一、采用具备很强NAT功能的Juniper路由器M7i来搭建。科教城和工业学院及信息学院采用2条前兆GE链路构成互联。M7i路由器作为各个校园的出口NAT设备。其他高校之间采用前兆GE链路实现互联。科教城和纺织学院、轻工学院的出口NAT路由器M7i分别提供3条前兆GE链路，其他高校的M7i需要提供4个GE前兆链路。具体的结构如下图所示：方案二、采用具备很强NAT功能的Juniper防火墙ISG1000来搭建。Juniper网络设备可实现如下双向NAT技术转换1源地址转换(正向nat)，即内部地址向外访问时，发起访问的内部ip地址转换为指定的ip地址（可含端口号或者端口范围），这可以使内部使用保留ip地址的主机访问外部网络，即内部的多个机器可以通过一个外部有效地址访问外部网络。例如，内部地址192.168.1.2对外部的访问可以被修改为一个合法的互联网地址202.118.6.100，并且可以限定其端口范围为80～82。2目的地址转换（反向nat），即外部地址向内访问时，被访问的ip地址（可含端口号或者端口范围）被转换为指定的内部ip地址（可含端口号或者端口范围），可以支持针对外部地址服务端口到内部地址的一对一映射，内部的多台机器的服务端口可以分别映射到外部地址的若干个端口，通过这些端口对外部提供服务。例如。如果外部的计算机要访问地址为202.118.6.100的主机时，他实际上访问的会是一台ip地址为192.168.1.2的主机，外部的计算机可以任意的访问202.118.6.100主机上面的所有端口，这些访问都会转到192.168.1.2的相同端口上，这样就突破了以往防火墙做反向nat时都必须和服务端口绑定的限制（即202.118.6.100:80à192.168.1.2:80），当然，如果用户需要可以做端口绑定。目前市面上的路由器基本都带有简单的防火墙功能，不论是消费级还是企业级，可以实现一些诸如包过滤，IP过滤这样的功能。所以有些用户就开始质疑硬件防火墙的存在价值。那么我们就来详细的比较一下这两设备有什么差别。1.背景路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网段的数据包进行有效的路由管理，路由器所关心的是：能否将不同的网段的数据包进行路由从而进行通讯。防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，重点是这个数据包是否应该通过、通过后是否会对网络造成危害。2.目的路由器的根本目的是：保持网络和数据的“通”。防火墙根本的的目的是：保证任何非允许的数据包“不通”。3.核心技术路由器核心的ACL列表是基于简单的包过滤，属于OSI第三层过滤。从防火墙技术实现的角度来说，防火墙是基于状态包过滤的应用级信息流过滤。应用图示内网的一台服务器，通过路由器对内网提供服务，假设提供服务的端口为TCP80。为了保证安全性，在路由器上需要配置成：只允许客户端访问服务器的TCP80端口，其他拒绝。这样的设置存在的安全漏洞如下：1、IP地址欺骗（使连接非正常复位）2、TCP欺骗（会话重放和劫持）存在上述隐患的原因是，路由器不能监测TCP的状态。如果在内网的客户端和路由器之间放上防火墙，由于防火墙能够检测TCP的状态，并且可以重新随机生成TCP的序列号，则可以彻底消除这样的漏洞。同时，有些防火墙带有一次性口令认证客户端功能，能够实现在对应用完全透明的情况下，实现对用户的访问控制，其认证支持标准的Radius协议和本地认证数据库，可以完全与第三方的认证服务器进行互操作，并能够实现角色的划分。3.安全策略路由器的默认配置对安全性的考虑不够周全，需要做高级高级配置才能达到一些防范攻击的作用，而且企业级路由器基本都是基于命令模式进行配置，其针对安全性的规则的部分比较复杂，配置出错的概率较高。有些防火墙的默认配置既可以防止各种攻击，达到既用既安全，更人性化的防火墙都是使用图形界面进行配置的，配置简单、出错率低。4.对性能的影响路由器的设计初衷是用来转发数据包的，而不是专门设计作为全特性防火墙的，所以在数据转发时运算量非常大。如果再进行包过滤，对路由器的CPU和内存或产生很大的影响，这就是为什么路由器开启防火墙后，数据转发率降低的原因。而且路由器由于其硬件成本比较高，其高性能配置时硬件的成本都比较大。防火墙则不用作数据转发的工作，只要判断该包是否符合要求，是则通过，否则不通过，其软件也为数据包的过滤进行了专门的优化，其主要模块运行在操作系统的内核模式下，设计之时特别考虑了安全问题，其进行数据包过滤的性能非常高。由于路由器是简单的包过滤，包过滤的规则条数的增加，NAT规则的条数的增加，对路由器性能的影响都相应的增加，而防火墙采用的是状态包过滤，规则条数，NAT的规则数对性能的影响接近于零。5.防攻击能力即使像Cisco这样的路由器，其普通版本不具有应用层的防范功能，不具有入侵实时检测等功能，如果需要具有这样的功能，就需要生级升级IOS为防火墙特性集，此时不单要承担软件的升级费用，同时由于这些功能都需要进行大量的运算，还需要进行硬件配置的升级，进一步增加了成本，而且很多厂家的路由器不具有这样的高级安全功能。结论就是，·具有防火墙特性的路由器成本防火墙+路由器·具有防火墙特性的路由器功能防火墙+路由器·具有防火墙特性的路由器可扩展性防火墙+路由器综上所述，用户是否使用防火墙的一个根本条件是用户对网络安全的需求。用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准。即使用户的网络拓扑结构和应用都非常简单，使用防火墙仍然是必需的和必要的；如果用户的环境、应用比较复杂，那么防火墙将能够带来更多的好处，防火墙将是网络建设中不可或缺的一部分，对于通常的网络来说，路由器将是保护内部网的第一道关口，而防火墙将是第二道关口，也是最为严格的一道关口。3JuniperM-系列路由平台简介Juniper网络公司业务构建M-系列平台部署在世界最大的网络中，广泛提供高级IP/MPLS业务，并帮助服务供应商进行网络转型，增加收入。M-系列路由器完全隔离了控制、转发和业务层面，可在不影响性能的情况下，单一平台支持多种业务--最大程度增加收入并降低资本成本。这些业务包括各种VPN、基于网络的安全性、实时话音和视频应用、应需带宽、丰富的高级内容广播、IPv6业务、精度记帐等等。利用业务构建体系结构的强大的灵活性和性能优势，随着新版本的JUNOS软件不断推出，业务产品也将随之不断增加。增强用户边缘M-系列用途极为广泛，可以部署在供应商网络边缘、中小型核心网络、对等网络、路由反射器以及数据中心应用中。但是，目前M-系列上的创新是利用高度可编程的InternetProcessorIIASIC和IP/MPLS特性丰富的JUNOS软件，极大地扩展了它的边缘功能。M-系列路由器已经部署在了一些世界最大的运营网络边缘，并在扩展他们的业务。为所有客户提供一致的服务M-系列的吞吐量可从8.4Gbps扩展到320Gbps，包括：M7i、M10i、M20、M40e、M120、M160和M320平台。因为所有M-系列平台都运行统一的可扩展、为生产增强的JUNOS软件，因此无论客户使用何种连接，服务区域密度有多大，都可以在所有网络位置提供一致的功能。具有领先密度的接入利用其广泛的接口，M-系列可通过任何接入类型为成千上万的客户提供单点边缘汇聚，其中包括：ATM、帧中继、以太网和TDM，速度可以从DS0一直到OC-192/STM-64和万兆以太网。M-系列利用高密度以太网和高度信道化接口，实际上可为所有端口类型提供领先的密度。全面的VPN业务M-系列能够在不影响性能的情况下同步运行和扩展第2层虚拟电路、第2层VPN、第2.5层互通VPN、第3层2547VPN、VPLS、IPSec、GRE、IPoverIP及其他隧道贯穿机制，支持业界最全面的VPN业务，可满足尽可能多的客户的需要，同时最大程度提高服务供应商的收入并最大限度降低对基础设施的要求。例如：服务供应商能够使用第3层VPN提供外包路由业务，还能够使用第2层VPN、在通用IP/MPLS基础设施上提供点到点ATM业务。高精度QoS和统计数据丰富的数据包处理功能使M-系列能够为每个端口、每条逻辑电路（DLCI、VC/VP、VLAN）以及每条信道（DS0）实现多级高精度QoS，以实现流量优先级分配。这些全面的QoS功能包括分类、速率限制、整形、加权循环调度、严格优先级调度、加权随机早期检测、随机早期检测和数据包标记等。对于网络融合应用，第2层CoS能够按DLCI、VP/VC或VLAN映射到第3层CoS。同时，能够以同一级别的精度采集广泛的统计数据并执行诊断，以实现灵活的计费、流量规划和快速故障排除。丰富数据包处理可以在VPN的基础上分层添加广泛的业务，以进一步增加收入。利用包括MPLSVPN组播在内的综合组播功能可实现高效的高级内容分发。基于硬件的IPv6以及IPv6overMPLS等IPv6移植工具，能够更加简便地利用并受益于这种下一代IP协议，而且不会影响性能。NAT和状态型防火墙能够按VRF配置，实现基于网络地安全性，以提高收入。并且，IPSec能够用来为安全性要求高的最终用户提供高级安全业务。新的数据包处理功能将不断增强M-系列业务构建边缘的能力，以确保最大的创收机遇。高度可靠M-系列业务构建体系结构在基础设计中考虑到了规模和稳定性,包括模块化的、拥有故障保护的JUNOS软件设计以及严格的系统测试流程。而且,所有M-系列平台都提供了冗余电源和冷却系统;M10i、M20、M40e、M120、M160和M320路由平台还提供了包括路由引擎和系统/转发引擎板在内的完全冗余硬件。JUNOS软件特性进一步增强这种冗余的体系结构,在路由引擎发生故障的情况下,可通过无中断路由引擎切换(HitlessRoutingEngineSwitchover)实现无中断转发,并支持联机软件升级(In-serviceSoft-wareUpgrades)。这种功能可补充其他高可用性功能,包括:平稳协议路由重启、MPLS快速重新路由、VRRP、SONETAPS、SDHMSP、BFD以及LACP。强大的安全性所有M-系列路由器都支持扩展性高的J-Protect过滤功能、单点发送反向路径转发及高性能速率限制功能，以实现业界领先的DOS攻击防护功能。其他M-系列的J-Protect安全功能可利用自适应业务PIC卡进一步增强；这些PIC卡以硬件方式促进高速NAT、待攻击检测的状态型防火墙以及J-Flow记帐等其他基于网络的安全性业务。利用JUNOS软件的丰富特性与业界领先的ASIC技术，M-系列业务