高校网络出口解决方案

随着高校信息化建设的开展，教学、科研、办公、生活对于校园网平台的依赖性越来越强。国内的高校经过多年持续不断的基础设施建设和应用提升，已经形成了较为稳定的校园网基础架构、相对丰富的校园网应用平台。但是，在讲究信息共享、资源整合的今天，有一块区域长期以来一直困扰着各大高校就是校园网出口区域。高校校园网不应该作为一个信息孤岛而存在。网络的价值更重要的是体现在信息的流通、资源的共享。作为校园网络平台的“门户”——出口区域，承担着高校之间相互交流的窗口的重大作用。那么高校的校园网出口到底是怎样一个现状如下：第一、从学校网络规模、信息点来看；规模在1000点以下、出口带宽不是很低的情况下，出口区域的规划相对容易，对设备性能的要求相对较低，从而所采用的策略可以宽松一些。目前面临出口难题的主要为信息点数为1000-10000和10000以上的那些高校。第二、从出口的链路条数和带宽情况来看；一方面，网络规模较大的学校，出口带宽普遍较高；另一方面，根据学校所在区域有所差别。同时，运营商在不同地区采取的收费标准也对高校出口带宽有着重要的影响。二、当前校园网出口面临的挑战

第一、NAT性能问题；出口设备要支持NAT（地址转换）是共识的。一方面，校内使用私有地址的情况，访问Internet需要进行NAT；另一方面，即使校内使用真实的教育网IP，那么通过电信或者网通的线路访问外部资源，仍然需要进行NAT（地址转换），因为电信所分配的地址更有限。NAT（地址转换）等于给出口设备增加了一项很重要的任务，但是，从实际情况来看，NAT却成为了上网速度慢的一个重要原因。第二、支持策略路由问题；首先，当前校园网是基于多出口的架构。1）为了提高访问速度需要多出口互联。2）为了解决费用问题。ISP运营商需要提供高校解决国际流量费用的好思路。3）解决线路备份问题，避免单出口单点故障的存在。其次，从上面多出口架构的原因分析可以看出，出口有必要对不同用户规定相应的路径，根据不同的访问流量制定相应的路径——也就是基于策略的路由。从实际中各个学校的使用情况来看，一些早期的设备不支持策略路由，或者部分新采购的设备启用策略路由时，造成设备性能的下降，从而影响整个出口的性能和稳定性。第三、安全防护能力问题；出口的安全防护一直是大家重点关注的对象，当前出口面临的网络威胁主要表现2个特点：首先，快速增长的网络带宽为网络威胁提供了更多的空间。以前只有2M的出口带宽，而现在已经千兆入户、百兆到桌面，而骨干网的带宽也已经普及万兆。网络越发达，网络威胁出现的次数越多，网络威胁造成的损失也就越大。其次，越来越丰富的应用，使得网络安全的应对面也越来越广。比如：P2P等下载软件和各种IM的聊天软件。这些协议都是要TCP/UDP层上，甚至需要完成应用层的服务。网络威胁的种类也越来越多，不仅有非法入侵、网络渗透。还有网络欺骗、DOS/DDOS攻击、各种恶意软件、垃圾邮件等。第四、日志记录问题；《互联网安全保护技术措施规定》在2005年11月23日公安部部长办公会议通过，并自2006年3月1日起已经施行。（该规定简称“82号令”）规定对用户信息、用户上网记录、地址转换记录、设备状态记录等都有要求。第五、流量控制问题；校园网的规模在扩大，网络基础设施在提升，出口带宽在增加，各种网络应用也更加丰富。但是，某些用户或者应用（如BT等P2P应用）却在过多的占用着网络资源。总的来说，出口带宽的增长速度与访问流量的提升速度已经是一种矛盾。所以，有必要对用户或者某些特定应用进行流量的控制。第六、高可用性的问题；当下，高校网络对服务质量要求越来越高，用户对校园网这一平台的依赖性和期望值都越来越高，各高校对网络的可用性，尤其出口的可用性的关注也是前所未有的。通俗的来说，校内某一区域不正常只影响到该区域，而校园网出口的不可用将导致整个学校与外界的隔断，校内与校外的任何互访、信息互通都无法实现。再审视绝大多数校园网出口区域，单设备、单链路的现象还占据主要位置。对于设备的冗余、链路的备份，以及在出现任何设备或者链路故障下的自动切换，也仅仅是少数学校达到这样的水平。那么，如何打造出口的高可用性？如何实现出口的自动调整对用户的透明性？即，用户无需理解复杂的出口技术，只需要体验最快的网速。这些问题都摆在了网络管理者的面前。三、星锋航高校校园网出口解决方案

正是基于对高校的深刻理解，基于实事求是的调研数据，星锋航网推出了专门针对高校的校园网出口解决方案。3.1超高处理性能是出口制胜的法宝星锋航高校智能云网关采用高效双核操作系统和多核CPU平台，提供业界领先的高性能业务处理模块和业务接口，可以满足高校多业务处理统一承载和互联网数据、语音、视频业务对带宽的高要求。3.2从底层架构提升防火墙的性能设备自带防火墙，对内外网网络攻击自动检测，自动屏蔽，充分保障高校互联网出口安全；对全网防火，对特定服务器防火Arp病毒防护，IP源地址验证，防止IP地址欺骗；可记录ssh、远程桌面等远程安全操作的访问，并根据危险等级，予以封锁。3.3智能多WAN负载均衡支持多线路负载均衡、线路备份，通过支持基于会话流的策略路由功能，使得策略路由与安全特性协同工作，从而实现接口级负载分担。当一条链路故障时，流量将切换到其它正常的链路中。有效解决了因为某一条线路中断而影响整个网络的情况。3.4流量识别，智能流量控制网络管理者要把好网络的脉搏，清楚网络的状况，就有必要在出口区域：1）对应用进行识别，能够看到具体的IM（即时通信）、P2P（BT、Edonkey等）、FTP等应用；2）掌控基于应用的和基于用户的流量，这样就能合理的分配资源、有计划的规划网络的发展。XFH-GF系列能够识别IM、P2P的应用，同时基于其仅5ms延迟的能力，先天具备对流量进行管理的基础条件。在队列管理方面，XFH-GF系列充分借鉴了高端路由交换设备的队列管理结构，在物理接口上执行流控制管理。在分类上，设备能够根据源MAC,TOS,数据包长,IP协议,源和目的IP地址,TCP标志(ACK,RST,SYN,FIN),TCP源和目的端口,VLAN标志,VLAN用户优先级等信息对数据流进行分类.XFH-GF系列所具有的独特流量控制手段有：带宽限制：可以提供从基于接口的粗粒度，到基于策略的每用户的细粒度的带宽限制；并发会话数限制：基于策略的或者每用户的并发会话数限制；新建会话速率限制：基于策略的或者每用户的新建会话速率限制；3.5智能DNS功能针对高校多线路出口的网络环境，通过DNS策略解析。智能的判断请求访问的用户IP，然后根据不同的访问者分别解析成不同的IP地址，以解决不同线路访问慢的问题。实现内网外网教育网访问无忧，保证师生真正的网络体验。3.6完备的日志记录，疏而不漏日志对于网络安全的分析和安全设备的管理非常重要。星锋航针对各种网络攻击和安全威胁进行日志记录，采用统一的格式，支持本地查看的同时，还能够通过统一的输出接口将日志发送到日志服务器，为用户事后分析、审计提供重要信息。星锋航日志记录包括：设备日志：设备的状态，系统事件日志上网记录日志：基于五元组（源/目的IP、源/目的端口、协议号）的上网记录日志NAT日志：即进行NAT地址转换前后的地址、端口的对应关系攻击日志：设备网络受到攻击的日志信息敏感事件日志：微博、QQ、URL流量流向日志、用户行为分析XFH-GF系列支持设备日志和安全事件的审计日志，以供安全事件后的追查。通过在出口设备上的符合规范的日志实现，能够保证在出现安全问题后的反查。同时在公安机关要求协助调查时候，起到很好的作用。进一步地，结合学校的身份认证平台，比如星锋航可以一步定位到安全事件的当事人在什么时间在某栋楼的哪一个交换机的哪个端口下接入网络的。3.7冗余备份，实现高可用性整个出口的设计将打造高可用性作为一个重要的目标。从架构上看，出口采用了双机设备、多链路的互联。一方面可以实现分流，即办公区域的流量通过特定路径，宿舍区域的流量经过另外独立的路径；另一方面，当出现问题的时候，互为备份的设备或者冗余链路之间能够实现自动的切换。从学校实际的测试结果来看，也能很快进行切换，完全满足学校的需要。达到的效果是：对于校园网用户来说不用理解出口的设计和自动切换，他所感受到的就是最快的网速。对于网络管理者而言，出口能够在最短的时间内进行切换，实现可用性，而不需要24小时进行值班，出现问题也无需立刻进行解决。四、结束语

高校的信息化、校园网的发展推动了整个教育的发展。而随着信息化程度的加深、进程的加快，校园网这个平台中所存在的矛盾也正日益暴露出来，校园网络出口的现状与其所起的窗口作用，与用户的高期望值就是当前摆在我们面前的矛盾之一。星锋航网络在进行了充分调研和论证的基础上，提出的高校网络出口解决方案就是在这样的环境下诞生和成熟起来的。网络的建设要有统一的规划，出口的建设同样如此。在分析出口面临的问题的同时，有必要进行整体的规划和分步骤分阶段的实施、实施效果的分析。