安全可控边界、稳定可靠核心——校园网解决方案Juniper

《安全可控边界、稳定可靠核心——校园网解决方案Juniper》由会员分享，可在线阅读，更多相关《安全可控边界、稳定可靠核心——校园网解决方案Juniper（21页珍藏版）》请在装配图网上搜索。

1、Copyright 2004 Juniper Networks,Inc.Proprietary and C 1 安全可控边界、稳定可靠核心安全可控边界、稳定可靠核心 Juniper校园网解决方案王涛王涛2校园网特点 过去地域地域：校园相对集中，校园网的规模相对小。应用应用：比较简单，基本上都是基于IPv4 QoS：基本上没有服务质量（QoS）的保证 安全安全：安全保证机制少管理管理：简单结构：结构：交换方式协议：协议：二层Spaning Tree协议为主，三层路由协议为辅；三 层、两层协议混用3校园网特点 现在地域地域：高校合并、新校区扩建应用应用：网上游戏、网上视频、BT/emule、学术研

2、究 QoS：不同应用需要不同的时延、带宽安全安全：病毒频繁爆发、工具软件、学生特点由IPv4向IPv6进行逐步过渡4校区校区C校区校区A校区校区B汇聚层汇聚层汇聚层汇聚层汇聚层汇聚层电信电信Cernet校园网拓朴5校园网边界几大需求访问控制（）访问控制（）策略路由策略路由地址转换地址转换NATNAT用户管理用户管理带宽优化带宽优化安全安全可控可控6运营商运营商CernetNetscreen 2000校园网校园网Juniper M10iERX310/705校园网典型出口应用图（一）SSL VPN SA3000/1000twanga-Cernet,1M带宽，不记费twangb-电信网,2M带宽，收

3、费twangc-Cernet出国，512K,收费J-Flow（兼容Netflow）1.对用户流量进行统计2.可以针对不同目的地址进行计费，出国收费。不出国不收费7*a a 国内用户，国内用户，*代表已经拥有的帐号名；代表已经拥有的帐号名；*c c 教工国际包月用户，教工国际包月用户，*代表已经拥有的帐号名；代表已经拥有的帐号名；*d d 学生国际包月用户，学生国际包月用户，*代表已经拥有的帐号名。代表已经拥有的帐号名。8运营商运营商CernetNetscreen 2000校园网校园网Juniper M10iERX310/705校园网典型出口应用图（二）SSL VPN SA3000/1000若E

4、RX坏，则不进行计费管理，仅考虑路由出来。若电信线路断路，则走 Cernet线路若Cernet线路断路，则走电信线路。策略路由：策略路由：某些网段、或某些数据包（如语音等）不进行计费其它的全部转发到ERX不同的L2TP拨号用户得到不同的地址段，根据该地址段进行策略路由可根据可根据IPIP包头中的任意字段进行策略路由包头中的任意字段进行策略路由9ASM NATIPsec防火墙 计费运营商运营商CernetNetscreen 2000校园网校园网Juniper M10iERX310/705校园网典型出口应用图（三）SSL VPN SA3000/10001.基于策略的NAT2.基于ASIC，大小包情

5、况下性能一致，有效抵御DOS攻击3.状态防火墙下的策略，和ACL相比，具备更好的安全性能！4.可通过硬件的IPS板卡，基于策略的对流量进行7层的硬件防护。最大性能2Gbps.U N I V E R S I T YU N I V E R S I T Y分部分部IPSECIPSEC一卡通一卡通财务财务。SSLSSL老师：教学资源、办公资源老师：教学资源、办公资源学生：学生：webweb资源、图书馆资源、资源、图书馆资源、网管：网管资料库、设备的带外管理区域网管：网管资料库、设备的带外管理区域 可以进行文件级管可以进行文件级管理！理！10Netscreen防火墙：性能 vs 安全 安全不以牺牲性能为

6、代价安全不以牺牲性能为代价 可扩展的专用安全Security Moduel模块（基于ASIC的应用层入侵防御，网关查毒解决方案）3600+种攻击手法检测，100多种应用协议、应用层攻击检测吞吐量 2G+真正可用的宽带网络多功能集成安全网关 Netscreen 的技术领先体现I/O Port ModuleI/O Port ModuleI/O Port ModuleI/O Port ModuleAll FlowsIDP FlowIDP FlowFirst Packet,IKE,IDP,etcManagement ModuleASIC ModuleI/O Port ModuleI/O Port Mo

7、duleI/O Port ModuleSecurity ModuleSecurity ModuleSecurity Module11学生宿舍区学生宿舍区校区校区A电信电信Cernet校区校区B防火墙防火墙基于基于WEB的服务器群的服务器群Juniper DXWEB加速器加速器1.HTTP反向代理，检测任何http的请求包，最大程度保证web安全2.访问速度提高提高50%,用用户接入能力户接入能力200%3.非常适合远程教学远程教学服务器群服务器群IPS/IPS+FW1.基于策略的IPS过滤2.当设备故障时，则直通。3.最大程度检测攻击，进行控制（P2P/MSN）4.主动防护12案例分析:为Sa

8、nta Clara大学提高 PeopleSoft 8 的处理能力Santa Clara 大学 对PeopleSoft 学生管理系统使用猛增，并且校园门户网站的性能下降，对局域网和广域网带宽造成负担直接的好处 服务器能力提高300%带宽占用减少48%访问速度提高44%“以前每个学期的注册时都导致我们的应用几乎停顿.Juniper DX 的加速使得即使在最大负荷时都运行正常。现在我们可以在不增加新的软件或硬件的情况下处理更多的用户访问了.“Ron Danielson,CIO at Santa Clara University 速度 可扩展性可扩展性安全性灵活性管理13案例分析:为在线教学网站加速

9、韩国某大学 提供在线多媒体学习网站 问题 非常缓慢 网站中包含大量的多媒体信息，如Powerpoint,Excel,Video,Word等文档，是缓慢的主要原因 一些应用是时间敏感的（比如考试）已经有Alteon的负载均衡器 但不能减轻服务器的负载 速度 可扩展性可扩展性安全性灵活性管理Alteon ADAlteon AD14校园网核心所面临的问题 协议结构协议结构：二层为主，三层路由为辅：二层为主，三层路由为辅 生成树协议的非智能特性生成树协议的非智能特性 生成树协议的不稳定性生成树协议的不稳定性 生成树协议的互通性（不同生成树协议的互通性（不同vendorvendor的的SPTSPT之间互

10、通问题）之间互通问题）核心设备核心设备：路由器路由器 vs.vs.三层交换机三层交换机 观念：观念：VLAN VLAN做为安全隔离手段？做为安全隔离手段？不同校区的同一部门需要在同一个不同校区的同一部门需要在同一个VLANVLAN？15交换式校园网网络拓朴图汇聚层汇聚层接入层接入层核心层核心层路由域路由域VLAN 1VLAN 1VLAN 1VLAN 1VLAN 2VLAN 2VLAN 2VLAN 2交换域交换域16路由式校园网网络拓朴图高端路由器高端路由器汇聚层汇聚层接入层接入层核心层核心层路由域路由域交换域交换域交换域交换域交换域交换域交换域交换域交换域交换域17三层交换机 vs.路由器 安

11、全转发路由拓扑服务高端三层交换机高端路由器Forwarding转发Routing路由业务!18保护最脆弱的环节：对路由引擎进行保护保护最脆弱的环节：对路由引擎进行保护Internal Internal BandwidthBandwidth转发引擎WAN/LANPorts路由引擎REREMemoryMemory路由引擎保护路由引擎保护(filter on(filter on loopback)loopback)19三层交换机 vs.路由器 流量模型路由器的路由器的GEGE端口缓存：端口缓存：150M,150M,可缓存可缓存144ms144ms数据数据交换机的交换机的GEGE端口缓存端口缓存:6M

12、,:6M,可缓存可缓存6ms6ms数据数据丢包！丢包！Copyright 2004 Juniper Networks,Inc.Proprietary and C 20 谢谢！Copyright 2004 Juniper Networks,Inc.Proprietary and C 21 9、静夜四无邻，荒居旧业贫。22.7.3122.7.31Sunday,July 31,202210、雨中黄叶树，灯下白头人。18:05:4018:05:4018:057/31/2022 6:05:40 PM11、以我独沈久，愧君相见频。22.7.3118:05:4018:05Jul-2231-Jul-2212、

13、故人江海别，几度隔山川。18:05:4018:05:4018:05Sunday,July 31,202213、乍见翻疑梦，相悲各问年。22.7.3122.7.3118:05:4018:05:40July 31,202214、他乡生白发，旧国见青山。2022年7月31日星期日下午6时5分40秒18:05:4022.7.3115、比不了得就不比，得不到的就不要。2022年7月下午6时5分22.7.3118:05July 31,202216、行动出成果，工作出财富。2022年7月31日星期日18时05分40秒18:05:4031 July 202217、做前，能够环视四周；做时，你只能或者最好沿着以

14、脚为起点的射线向前。下午6时5分40秒下午6时5分18:05:4022.7.319、没有失败，只有暂时停止成功！。22.7.3122.7.31Sunday,July 31,202210、很多事情努力了未必有结果，但是不努力却什么改变也没有。18:05:4018:05:4018:057/31/2022 6:05:40 PM11、成功就是日复一日那一点点小小努力的积累。22.7.3118:05:4018:05Jul-2231-Jul-2212、世间成事，不求其绝对圆满，留一份不足，可得无限完美。18:05:4018:05:4018:05Sunday,July 31,202213、不知香积寺，数里入

15、云峰。22.7.3122.7.3118:05:4018:05:40July 31,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年7月31日星期日下午6时5分40秒18:05:4022.7.3115、楚塞三湘接，荆门九派通。2022年7月下午6时5分22.7.3118:05July 31,202216、少年十五二十时，步行夺得胡马骑。2022年7月31日星期日18时05分40秒18:05:4031 July 202217、空山新雨后，天气晚来秋。下午6时5分40秒下午6时5分18:05:4022.7.319、杨柳散和风，青山澹吾虑。22.7.3122.7.31Sunda

16、y,July 31,202210、阅读一切好书如同和过去最杰出的人谈话。18:05:4018:05:4018:057/31/2022 6:05:40 PM11、越是没有本领的就越加自命不凡。22.7.3118:05:4018:05Jul-2231-Jul-2212、越是无能的人，越喜欢挑剔别人的错儿。18:05:4018:05:4018:05Sunday,July 31,202213、知人者智，自知者明。胜人者有力，自胜者强。22.7.3122.7.3118:05:4018:05:40July 31,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年7月31日星期日下午6

17、时5分40秒18:05:4022.7.3115、最具挑战性的挑战莫过于提升自我。2022年7月下午6时5分22.7.3118:05July 31,202216、业余生活要有意义，不要越轨。2022年7月31日星期日18时05分40秒18:05:4031 July 202217、一个人即使已登上顶峰，也仍要自强不息。下午6时5分40秒下午6时5分18:05:4022.7.31MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 谢 您 的 下 载 观 看感 谢 您 的 下 载 观 看专家告诉