第四代教育城域网解决方案 锐捷网络解决方案部 曲景洋
教育城域网现状分析 第四代教育城域网解决方案 典型案例
Ⅳ Ⅲ Ⅱ 教育城域网发展的四个阶段 Ⅰ 混合模式 (2005~2008年) 统一模式 (2008 ~ 现在) 松散模式 (2000~2005年) 主要分布在中西部中小城市 Ⅱ 混合模式 (2005~2008年) 主要分布在较发达的中型城市 Ⅲ 统一模式 (2008 ~ 现在) 主要分布在发达城市及大中型城市 Ⅳ 融合模式 (2010 ~ 未来) 主要分布在经济发达城市及对网络、 业务进行整合的的区域 带着这样的疑惑,锐捷网络对全国教育局客户进行大量的现场调研工作,同时,结合锐捷城域网建设的经验,大体上把教育城域网的现状分为四种阶段: 第一阶段,松散模式,从2000-2005年,主要分布在经济欠发达的中小城市; 第二阶段,混合模式,从2005-2008年,主要分布在经济较发达的中型城市; 第三阶段,统一模式,从2008年至今,主要分布在经济较发达的大中型城市 第四阶段,融合模式,是未来教育城域网发展的趋势,主要分布在经济发达城市及对网络、业务进行整合的的区域 每个模式具体表示什么意思,有什么差别呢?
教育城域网现状分析 第四代教育城域网解决方案 典型案例
第四代教育城域网解决方案整体架构图(七个模块) 标题 年月 第四代教育城域网解决方案整体架构图(七个模块) 总体客户体验 结合教育城域网四个阶段的特点,同时,根据锐捷网络在全国服务于近三百个教育城域网的经验,我们总结出从核心骨干、网络出口、数据中心、无线城域网、运维管理、实名制管理、网络层及应用层的单点登陆等7个方面去建设教育城域网。 我们先看第一个模块,教育城域网的核心骨干解决方案 教育城域网网络层及应用层单点登陆 教育城域网的运维管理 教育城域网的实名制管理 教育城域网核心骨干升级 教育城域网网络出口 教育城域网数据中心 教育城域网无线城域网 融合模式的第四代教育城域网解决方案 5
没有实名制,辛苦了一遭却还是没有解决问题 余杭高级中学的实名制建设之路 没有安全措施——互联网访问无控制,出了问题找不到人 架设出口日志设备,进行网络访问日志——日志记录的都是IP地址,还是找不到人 逐台设备绑定IP地址和MAC地址,网络中心维护一张对应表——教师上网失去了移动性,网络中心工作量倍增 没有实名制,辛苦了一遭却还是没有解决问题
教育城域网实名制解决方案(中小型城域网) 资源服务中心区 实名审计 网络出口区 实名访问权限控制 身份认证 单点登录 实名日志 认证者、流控、URL日志采集 RG-SMP (整合E-PORTAL) RG-SSO统一门户 RG-Elog日志系统 RG-ACE 流量控制引擎、认证网关、URL日志采集网关 出口设备 (RG-WALL/RG-NPE) 城域网业务系统 实名流控 教育城域网核心 核心区 校园网络 出口设备 出口设备 WEB实名认证 … WEB实名认证 WEB实名认证 核心交换机 核心交换机 WEB实名认证 无线接入 校园网络1 校园网络n 有线接入 重点中小学校 普通学校1 普通学校n
教育城域网实名制解决方案(大型城域网)
实名制日志(RG-ACE/EG+RG-ESS) 用户身份与网络访问联动的URL记录 更多信息一目了然,更可定制化显示
实名流控--带宽嵌套(RG-ACE) 用户一 问题:全速下迅雷时,网页基本就打不开了 启用“带宽嵌套”,全速下载迅雷,仍然能快速打开网页 全网100M带宽 用户一 网页浏览100K 网段一 迅雷下载900K 1000K带宽 网段二 网段二 用户二 10M带宽 10M带宽 1000K带宽 用户三 网段三 1000K带宽 一级嵌套:网段二分配10M带宽 二级嵌套:网段二每个用户1000K带宽 三级嵌套:用户一保障网页浏览带宽,当迅雷全速下载时,仍能快速上网
实名流控——HTTP 专有DPI引擎 新增HTTP协议的DPI引擎,对HTTP流量进行了更细致的分类,具体分为: http-browse:正常HTTP浏览 http-download:单线程http下载 http-part:多线程http下载、分块下载、断点续传等 http-mirror:镜像站点http下载 http-tunnel:http隧道,即HTTP CONNECT方式 http-others:其他通过tcp/80端口传输的流量 HTTP协议解析,控制迅雷、网络蚂蚁等基于HTTP超线程技术进行下载的流量。 第一类是特征字的识别技术:不同的应用通常会采用不同的协议,而各种协议都有其特殊的指纹,这些指纹可能是特定的端口、特定的字符串或者特定的Bit序列。基于特征字的识别技术,正是通过识别数据报文中的指纹信息来确定业务所承载的应用。根据具体检测方式的不同,基于特征字的识别技术又可细分为固定特征位置匹配、变动特征位置匹配和状态特征字匹配三种分支技术。通过对指纹信息的升级,基于特征字的识别技术可以方便的扩展到对新协议的检测。 第二类是应用层网关识别技术:在业务中,有一类的控制流和业务流是分离的,如与7号信令相关的业务,其业务流没有任何特征,应用层网管识别技术针对的对象就是此类业务,首先由应用层网管识别出控制流,并根据控制流协议选择特定的应用层网关对业务流进行解析,从而识别出相应的业务流。对于每一个协议,需要不同的应用层网关对其进行分析。例如:H323、SIP等协议,就属于此类,其通过信令交互过程,协商得到其数据通道,一般是RTP格式封装的语音流,纯粹检测RTP流并不能确定这条RTP流是通过那种协议建立起来的,即判断其是何种业务,只有通过检测SIP或H232的协议交互,才能得到其完整的分析。 第三类是行为模式识别技术:在实施行为模式技术之前,运营商首先必须先对终端的各种行为进行研究,并在此基础上建立行为识别模型,基于行为识别模型,行为模式识别技术即根据客户已经实施的行为,判断客户正在进行的动作或者即将实施的动作。 行为模式识别技术通常用于那些无法由协议本身就能判别的业务,例如:从电子邮件的内容看,垃圾邮件和普通邮件的业务流两者间根本没有区别,只有进一步分析,具体根据发送邮件的大小、频率,目的邮件和源邮件地址、变化的频率和被拒绝的频率等综合分析,建立综合识别模型,才能判断是否为垃圾邮件。
教育城域网出口解决方案—大出口 核心交换机 核心交换机 外网连接层 VPN接入层 日志管理层 NPE60 安全防护层 双核NP、V-CPU、REF保证NAT及转发性能 多链路及智能DNS的负载均衡 VPN接入层 SSL VPN的接入技术,200-2000用户并发的支持 日志管理层 基于用户的访问记录 图形化的查询界面 NPE60 安全防护层 DDoS/木马/异常流量阻断 双机负载 ASIC、多核架构保性能 RG-WALL1600E RG-WALL V1600E WEB安全防护层 Web安全防护 及网页防篡改 应用管理层 识别600多种应用,免费升级 基于用户应用的带宽限制 数据统计 RG-ACE3000 RG-WG 2000 RG-eLog日志系统 核心交换机 核心交换机 信息中心核心网络
中小学校园网出口解决方案—EG易网关(ALL IN ONE) 网络出口 用户 Network 单个设备 路由 NAT 安全 URL 过滤 流控 日志 审计 内容 审计 中小出口要求1:繁 六大核心功能不可少 路由/NAT 安全防护 URL过滤 流控 日志审计 内容审计 中小出口要求1:简 架构简单 管理简单 WEB管理 部署简单 桥接、路由、旁路等多种模式 针对这些问题,锐捷网络对全国不同区域的中小学进行调研,定制开发了中小学出口专用设备EG易网关,能做到多合一的功能,实现简单的NAT功能、基本的安全、URL过滤 日志审计 内容审计、流控功能,满足中小学的基础应用,全面解决中小学出口问题。 13 13
网页篡改案例 过年放假六天
WebGuard 网站保护WebGuard关键功能介绍 公安部认证的“WEB过滤防护”产品 细致的分应用防护策略 敏感文件、动态木马实时监控 独家内置防病毒网关 网页事后保护机制 网站管理入口安全检查机制
教育城域网现状分析 第四代教育城域网解决方案 典型案例
泰兴教育城域网特色 全网实名制身份认证 全网实名制网络日志 网络出口实名制流控 通过RG-ESS配合每个中小学出口RG-EG设备,实现所有入网人员的实名制身份认证,共计70所中小学 全网实名制网络日志 通过RG-ESS配合每个中小学出口RG-EG设备,对所有用户的互联网访问行为进行实名制的日志,直接定位到人 网络出口实名制流控 对从教育局总出口访问互联网的行为,进行流量控制、协议控制等,为关键人员、关键业务预留足够带宽,限制迅雷等耗费带宽的应用