精細化出口解決方案

商業行業部猜猜這是什么？亞健康檢測儀你為自己的亞健康擔心過嗎？你可能知道自己屬于亞健康，但你真正為此行動了嗎？中國高校70%的校園網出口都處于“亞健康”狀態!提綱把脈精細化出口精細化出口的五種痼疾精細化出口的發展趨勢精細化出口的需求總結精細化解決方案精細化出口設計依據精細化出口設備選擇精細化出口方案說明精細化出口方案優勢把脈校園網出口校園網出口的五大痼疾校園網出口的發展趨勢校園網出口的需求總結精細化出口絡的五種痼疾痼疾一：出口帶寬使用失控痼疾二：出口設備NAT性能瓶頸痼疾三：出口帶寬利用不合理痼疾四：出口可靠性設計不健全痼疾五：用戶上網行為缺乏管理與審計機制精細化出口的五種痼疾出口帶寬使用失控：癥狀：出口帶寬使用不透明，不可控，P2P泛濫。直接危害關鍵應用的服務質量不能保障(http/email/remotevpn,etc.)大量P2P會話敲打著已經不堪重負的防火墻與路由器，造成不穩定的現象。精細化出口的五種痼疾出口設備NAT性能瓶頸：癥狀：網關設備的NAT性能低下，造成出口瓶頸。危害：當前絕大多數網關設備依靠CPU來做NAT處理，造成CPU使用率過高，進而導致轉發延遲或者設備不穩定。精細化出口的五種痼疾多出口帶寬利用不充分：癥狀：出口線路帶寬利用不充分，存在一條線路負載已經處于重載狀態，而另一條還處于輕載狀態的現象。危害：無法充分利用多出口帶寬，無法智能選路。造成部分用戶訪問外網速度慢，管理員不得不經常跟蹤各ISP新的地址表，在出口設備上不斷增加路由規則。簡單的帶寬擴充，并沒有帶來明顯的速度提升！學校普遍具備多個ISP出口精細化出口的五種痼疾多出口備份機制不可靠：癥狀：缺乏高可用性。僅有多線路備份，出口設備多為一臺防火墻或者一臺路由器，容易造成單點故障。危害：目前，學校出口運行的應用非常多，比如對外提供遠程教育，數字校園浪潮下的校外辦公，還有很多學校實現了對學生上網運營。這些都不允許網絡長時間中斷。精細化出口的五種痼疾用戶上網行為缺乏管理與審計機制：癥狀：用戶上網行為缺乏事前預防，事中控制，事后審計。危害：給大學帶來聲譽的損害，甚至是嚴重法律糾紛，也給信息中心帶來巨大的管理壓力。《互聯網安全保護規定》公安部第82號令精細化出口絡生存狀態精細化出口在這五大慢性病的折磨下，處于典型的“亞健康”狀態。這些問題有的是緊急而且重要，有的是重要但不緊急，但一旦爆發，就能造成較大的影響。把脈校園網出口校園網出口的五大痼疾校園網出口的發展趨勢校園網出口的需求總結精細化出口絡的發展趨勢2000199420052008中國教育科研網成立高校骨干百兆以太網流行出口以低速DDN專線為主基本沒有大規模應用部署數字校園計劃提出高校骨干千兆以太網流行高校出現多運營商和多出口線路P2P技術開始流行數字校園一期應用上線萬兆以太網開始流行出口出現帶寬大提速P2P應用成為帶寬殺手新一代數字校園概念提出校園網出現大規模運營計費

管理缺失階段

粗放管理階段

精細管理階段發展階段時間演進校園網資源整合應用與管理智能把脈精細化出口校園網出口的五大痼疾校園網出口的發展趨勢校園網出口的需求總結校園網出口需求總結1高性能的NAT、策略路由、ACL234全面細致的帶寬資源管理機制智能使用鏈路，加速訪問的機制精細友好的用戶行為管理和審計機制校園網出口5出口網絡高可用性精細化出口解決方案出口方案的設計依據出口方案的實現原理出口方案的技術優勢精細化出口設計依據流量控制模塊流量識別流量分析流量管理統計&審計安全防護模塊防火墻IPS反垃圾郵件反間諜軟件網關防病毒鏈路優化模塊出口NAT優化出口PBR優化線路效率優化線路健康監控IT資源智能交付子層精細化出口解決方案出口方案的設計依據出口方案的實現原理出口方案的技術優勢精細化出口方案分工高性能的NAT轉發MP校園網出口設備各類應用的識別動態線路負載均衡出口安全防護雙主控的高可靠性設計MP流量控制設備各類應用的帶寬控制上網行為的記錄出口狀況的分析與統計高性能的NAT轉發

在啟用NAT、策略路由的情況下，雙向可以達到8Gbps的線速轉發。每秒30萬條的NAT新建連接、每秒達到新建7萬條NAT會話。并發支持200萬條的會話數。動態的線路負載均衡當校園網用戶訪問訪問外部資源時，會根據預先設定的策略或就近性選擇最佳鏈路，一旦鏈路選定，根據NAT進行地址翻譯并記錄該用戶選擇的鏈路以供未來的流量使用。當所有策略全部不匹配時，會根據負載均衡的算法選擇鏈路，支持多種負載均衡的算法，包括輪詢、加權輪詢、最少用戶、最少流量等等。出口的安全防護完善安全機制全面抗DoS攻擊關鍵服務器保護數據包過濾連接狀態檢測深度內容檢測動態端口偵測SYN/SYNflood代理LandAttack/ArpSpoof//IPFragmentAttack等攻擊防護基于源/目的協議速率限制SYNFlood攻擊防護切斷來自外界的安全威脅！各種攻擊一網打盡雙主控的高可靠性設計主用備用SPE交換網FIBFIBFIBFIBFIBRIBETIPCFIBRIBRPAMPLSIFNETIPC入報文出報文物理接口短暫中斷時不需要刪除路由主控主控采用雙主控板，可實現熱切換對應用進行識別識別功能根據多種方式識別網絡用戶用戶名、IP地址、IP網段等（還支持對VLANTag、MPLSTag的識別）基于IP協議、4層端口號、7層特征值和協議行為等識別網絡應用支持豐富的應用層協議P2P協議：BitTorrent、eDonkey、KaZaA、WinMX等即時通信協議：QQ、MSN、Skype等企業應用：Citrix、Oracle、ERP、CRM等VoIP和流媒體：RTSP、SIP、H.323等網絡游戲：天堂-II、魔獸世界、CS反恐精英等無線應用：WAP、MMS等識別解析度達