西南石油大學校園網匯報材料邁普通信概況1234

提綱定制化解決方案邁普與教育最佳成功案例西南石油大學成都校區規劃總用地2048畝，其中已建成投入使用的一期工程合845畝，擴建工程合1203畝。學校實際接入計算機上10000臺，一期網絡設備已經部署Cisco、華為、銳捷等廠商設備，即將啟動二期校園網建設。校園網現狀系統標準化和兼容性原則二期校園網建設時，網絡技術選擇、業務部署都必須保證和一期兼容；高可靠性設計二期校園網必須保證穩定可靠，同時二期網絡可作為一期的災備。高帶寬設計一期和二期核心交換機采用萬兆互聯，要求實現鏈路冗余和鏈路負載均衡。高安全設計二期校園網必須兼容一期認證計費系統，同時要實現從核心、匯聚、接入多層次安全防護，包括防DDOS、防ARP、防病毒等攻擊。校園網出口設計為了避免一期校園網單一出口存在的單點故障，二期校園網需要建設一個校園網出口，同時二期出口和一期出口互為備份。統一網管設計為了方便校園網的后期維護和管理，二期校園網的設備要求實現統一網管。二期校園網需求校園網總體方案骨干網設計骨干網網絡設計網絡和路由設計二期校園網核心層采用兩臺電信級核心交換機MPS8900，與一期現有核心交換機采用萬兆互聯，構成整個校園網萬兆核心網。在二期匯聚層采用S6800通過雙歸屬上行核心交換機。核心層和匯聚層都采用OSPF路由協議。骨干網可靠性設計網絡可靠性主要包括網絡架構可靠性、設備可靠性兩個方面。一、網絡架構可靠性網絡鏈路冗余網絡故障快速切換二、設備可靠性設備硬件冗余設備軟件可靠性設備自身抗攻擊性骨干網可靠性設計一、網絡架構可靠性網絡鏈路冗余萬兆核心網采用OSPF協議和ECMP（等值路由）實現鏈路備份和負載均衡；骨干網可靠性設計一、網絡架構可靠性網絡故障快速切換在校園網核心層和匯聚層啟用BFD（BidirectionalForwardingDetection,雙向轉發檢測），實現50毫秒級的鏈路故障檢測，并與上層OSPF路由協議聯動，實現三層路由的快速收斂，縮短故障的切換時間。傳輸設備核心交換機ABFD切換時間小于50ms故障傳輸設備核心交換機BBFD是一套擴展很好的公共鏈路檢測機制，用于快速檢測、監控網絡中鏈路、虛鏈路的連通狀況。BFD技術和硬件OAM技術相結合，可以在大數據流狀態下實現50ms快速切換；BFD可以與靜態路由、RIP、

OSPF、IS-IS、BGP、MPLS-LSP、VRRP等相關聯，實現50ms以內的狀態切換二、設備可靠性設備硬件冗余

新一代的電信級核心交換機真正采用全冗余設計，尤其是采用主控和交換分離設計，交換引擎沒有集成在主控板上，而是采用獨立的數據轉發架構，真正實現了控制平面和數據轉發平面的物理分離，減少了控制平面對于數據轉發平面的影響，避免主控板故障倒換時影響到數據交換業務，真正實現“0”丟包、“0”斷網。骨干網可靠性設計雙主控引擎雙交換引擎電信級交換機-S8900/S6800二、設備可靠性設備軟件可靠性

核心交換機軟件要求采用模塊化設計，支持熱補丁、NSF（不間斷轉發）、GR（優雅重啟）等高可靠功能。骨干網可靠性設計熱補丁技術——不復位設備的前提下，在線修改軟件BUG或增加新特性；用戶能方便的加載/激活/去激活/運行/刪除補丁單元。二、設備可靠性設備自身安全性

核心交換機作為網絡核心，必須具備CPU保護機制、強大的ACL、抗DDOS攻擊、多級安全登錄認證等功能，以保證核心交換機的穩定運行。骨干網可靠性設計S8900和S6800支持獨創的多核多級多層的CPU保護機制，該保護機制采用檢測-排序-分類-過濾的處理技術，首先在業務板卡上檢測丟棄非法報文，并對需要主控卡處理的報文排序；在主控卡上對報文分類設定優先級和流量限制，優先處理鏈路控制、路由控制數據等高優先級的報文，從而避免對CPU的沖擊，維護網絡的穩定。多核多級多層CPU保護機制接入網設計對于接入端口數量在400-500個左右的教學樓，可直接將接入桌面的二層交換機（24/48端口）通過千兆光纖匯聚到三層匯聚交換機S6800。20棟和21棟學生公寓接入端口數量龐大，其中20棟6層樓每層要接入521個端口，21棟6層樓每層要接入600個端口。建議學生公寓的每層樓部署一臺樓層匯聚交換機S4100/4200，通過千兆電/光匯聚樓層接入交換機。樓層匯聚交換機通過多條千兆光纖（鏈路聚合）和匯聚交換機S6800互聯。校園網出口設計二期設計新的校園網出口。部署新的防火墻、流控設備實現與一期校園網出口互為備份；防火墻和核心交換機之間啟用KeepAlive機制探測對端設備狀態，通過浮動路由實現鏈路故障切換；網絡安全設計校園網面臨的安全風險主要是非法終端接入、網絡病毒攻擊以及惡意用戶攻擊等幾個方面，我們建議采用分層次的一體化安全機制。攻擊防護深度檢測訪問控制加密傳輸接入認證用戶管理行為審計應用控制接入控制解決方案安全防護解決方案流量分析解決方案接入端點安全防護核心網絡安全加固核心網絡數據檢測邁普技術解決方案流量分析應用分析日志管理帶寬管理接入控制解決方案接入認證用戶管理行為審計應用控制網絡安全設計一、接入控制解決方案網絡安全設計安全管理區系統補丁服務器防病毒服務器MyPowerS4100F認證服務器MyPowerS6800MyPowerS4100F匯聚交換機網絡出口MyPowerS3200千兆接入交換機GE邁普接入交換機接入用戶GE非法用戶對不起，你不能通過認證合法用戶歡迎使用網絡！邁普接入交換機802.1X認證一、接入控制解決方案——接入認證網絡安全設計一、接入控制解決方案——安全檢測安全管理區系統補丁服務器防病毒服務器MyPowerS4100F認證服務器MyPowerS6800邁普匯聚交換機網絡出口MyPowerS3200千兆接入交換機GE邁普接入交換機接入用戶GE非健康用戶：未安裝殺毒軟件或未更新病毒庫；未安裝系統補丁程序等健康用戶：安裝殺毒軟件已更新病毒庫；已安裝系統補丁程序邁普接入交換機對不起，你不能通過安全認證，只能夠訪問安全管理區，進行補丁升級歡迎使用網絡！802.1X認證網絡安全設計一、接入控制解決方案——ARP攻擊防御監控方式

1、DHCPSnooping2、ARP報文限速3、兼容性最好認證方式

1、802.1x擴展2、客戶端靜態綁定3、存在兼容性風險安全管理區系統補丁服務器行為分析服務器MyPowerS4100F認證服務器MyPoweS6800MyPowerS4100F匯聚交換機網絡出口MyPowerS3200千兆接入交換機GE邁普接入交換機GE用戶上網行為記錄，文件拷貝和訪問管理邁普接入交換機訪問外網記錄統計統一的行為分析，對文件的管理接入用戶網絡安全設計一、接入控制解決方案——用戶行為審計多功能用戶管理名錄網絡安全設計一、接入控制解決方案——用戶管理一、接入控制解決方案——接入兼容性方案標準802.1X認證解決方案---匯聚終結標準802.1X認證解決方案---邊緣終結網絡安全設計我要安裝一些軟件，游戲、聊天、視頻，警告！禁止安裝軟件，如有需要請和管理員聯系嚴格控制終端應用一、接入控制解決方案——應用控制網絡安全設計流量分析解決方案流量分析應用分析日志管理帶寬管理二、流量分析解決方案網絡安全設計應用程序占用帶寬排名在線IP和會話數統計在線IP和會話數統計流量統計、分析數據二、流量分析解決方案——流量分析網絡安全設計日志記錄日志信息二、流量分析解決方案——日志管理網絡安全設計智能識別、精細控制3000+協議識別定期特征碼更新加密數據總帶寬控制每IP/協議帶寬控制應用分析、識別技術：限制BT、QQ、MSN等非法軟件使用保障工作類軟件的服務質量（帶寬）將寶貴的帶寬資源應用在工作上，保證工作效率清晰了解網絡上各種應用的使用網絡的情況協議控制識別二、流量分析解決方案——應用分析網絡安全設計

沒有管理可視管理基于應用的帶寬管理二、流量分析解決方案——帶寬管理網絡安全設計安全防護解決方案攻擊防護深度檢測訪問控制加密傳輸三、安全防護方案網絡安全設計信息竊取DoS攻擊木馬/間諜軟件蠕蟲病毒完善安全機制全面防御DoS攻擊關鍵服務器保護數據包過濾連接狀態檢測深度內容檢測動態端口偵測SYN/SYNflood代理LandAttack/ArpSpoof//IPFragmentAttack等攻擊防護基于源/目的協議速率限制SYNFlood攻擊防護切斷網絡世界中的安全威脅各種攻擊一網打盡三、安全防護方案——攻擊防護網絡安全設計報文檢測狀態匹配鏈路層網絡層傳輸層數據檢測MAC地址檢測IP地址檢測服務類型檢測數據內容符合攻擊特征的數據丟棄，并且在一段時間內拒絕接收相同類型的報文。正常報文，重新轉發。有效防護注入式攻擊三、安全防護方案——深度檢測網絡安全設計Internet外網DMZ區防火墻內網服務器接入區內網接入區IDSIPS流量控制防火墻路由器日志服務器入侵防御IPS：防御外網的攻擊深層次報文檢測日志查詢病毒/木馬防護路由器：策略路由、動態負載高性能的NAT轉發防DDos攻擊具備入侵檢測防護Internet流量控制：流量分析應用控制帶寬管理QOS服務質量用戶行為審計防火墻：區域控制狀態檢測攻擊防護入侵檢測IDS：病毒檢測網絡攻擊檢測異常行為報警四、邁普整體安全解決方案——出口網絡解決方案網絡安全設計核心網絡內網服務器區認證系統認證終端認證終端IDS管理中心智能網管系統流量分析計費系統智能網管：網管平臺聯動策略下發日志匯總審計網絡性能評估網絡優化流量分析：流量分析匯總協議分析匯總應用分析匯總突發流量報警入侵檢測：網絡攻擊檢測病毒/木馬特征檢測異常流量報警日志報表審計認證計費系統：用戶認證審計權限下發用戶管理IP＋MAC自動綁定時間/流量計費用戶行為檢測智能聯動：主動安全防御智能安全檢測四、邁普整體安全解決方案——內網安全防護解決方案網絡安全設計統一網管全面的基礎資源管理靈活方便的拓撲功能智能的告警管理方便易用的性能管理智能化的配置和軟件管理網絡兼容性二期校園網采用通用組網技術和標準協議；骨干層采用OSPF+BFD，匯聚層OSPF+BFD，接入層采用二層VLAN；ARP防御采用DHCPSNOOPING技術；業務兼容性接入認證采用802.1X標準協議；統一網管采用SNMP協議；校園網兼容性邁普推出融合通信系統（UC），集成視頻、語音、數據（即時消息等）于一體。能夠為西南石油大學提供全新的校園應用。校