xxx
数字化校园网技术方案杭州华三通信技术有限公司
二〇一〇年十一月
第1章需求分析
第xxx 届xxx 将于2011年在中国xxx 举行,xxx 的新校区赛时作为大运村使用。xxx 新校区的建设目标是成为一个高起点、高标准、技术先进、功能设施国际一流的数字化校园网,满足xxx 师生的工作、学习等应用需求,同时满足作为大运村高可靠、高性能、高安全的网络应用要求。
xxx 的园区网根据实际业务分为信息网(即下面主要介绍的校园网)及控制网,信息网主要面向全院师生,业务为互联网访问、多媒体教学等校园网各种应用。控制网则面向安保人员,业务为全院的IP 监控及智能化控制设备的联网。两套网络物理隔离。
第2章建设可靠的校园网络平台
2.1信息网总体架构
xxx 校园网络根据功能分为核心交换区、网络外联区、数据中心区、汇聚、接入等区域,具体拓扑如下:
外联区
数据中心核心
S12508-3南教研办公楼体育馆图书馆北教研2科技楼综合服
务大楼学生宿舍A 学生宿舍B 学生宿舍C 学生宿舍D 学生宿舍E
SR88
SecBlade FW/ACG/
IPS/SSL
S12508-2S12508-1CERNET2CERNET CNGI INTERNET S12508-4
S5800-60C 北教研5………………………………
10GE GE
WX6103WX6103SR66
2.2核心交换区
校园网的核心交换区作为整个网络的核心,对整网性能至关重要,需要实现高速交换、高可靠性、低时延等关键功能,核心交换区采用全网状连接,单链路2*10G,节点
间互联6*10G,进而实现扁平化组网,也可充分利用核心设备,防止内部业务流量经过数据中心及互联区迂回,降低出现拥塞的可能性;四台核心设备分别布放于xxx北区(CS1、CS2)、南区机房(CS3、CS4)。南区及北区汇聚层设备分别连接到北区核心机房的CS1及南区机房的CS3,东区的汇聚交换机分别连接到北区核心机房的CS2及南区机房的CS4,确保不存在单点故障,同时实现南北两机房的容灾备份,确保网络的高可靠性;核心交换区与汇聚层采用动态路由协议OSPF,从而保证数据报文的最优选路。核心网分别与数据中心交换机(DS1、DS2)、出口路由器(CR1)用万兆实现冗余连接。Cernet2的IPv6业务采用单独一台高端路由器CR2进行联接。
核心全部采用100G平台,100G标准推出后,H3C随后会推出100G接口单板,后续骨干带宽可持续升级,充分保障网络后续的业务应用。
为达到此目标,核心选用华三的S12500具有如下特点:
1.采用先进的CLOS多级多平面交换架构,提供高达6T的交换容量
2.基于100G平台的多级交换网交换机,支持未来40GE和100GE以太网标准
3.独立的交换网板卡,控制引擎和交换网板硬件相互独立,最大程度的提高设备可靠
性,同时为后续产品带宽的持续升级提供保
4.超高端口密度,单台设备支持256个万兆端口
5.大容量端口缓存可实现200ms的包缓存,满足校园网络突发流量需求
校园核心网络需要自身集成安全防御能力,缩小攻击在校园影响范围,并实施不同区域的互访控制,它监控可信任网络和不可信任网络之间的访问通道,以防止一个区域中出现的危险蔓延到另一个区域。核心交换机内嵌防火墙模块,实现与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。防火墙模块支持对DoS/DDoS 攻击、ARP 欺骗攻击、TCP 报文标志位不合法攻击、超大ICMP 报文攻击、地址/端口扫描、ICMP 重定向或不可达攻击、Tracert 攻击、带路由记录选项IP 报文、支持静态和动态黑名单、MAC 绑定、安全区域控制、系统统计等安全功能,确保核心网络安全。
2.3汇聚层设计
汇聚层采用模块化交换机,并通过双机热备大大提高整网可靠性,收敛比动态可调,满足高性能转发要求;汇聚交换机万兆采用SFP+接口,可以兼容万兆及千兆光模块,组网更加灵活,千兆连接升级到万兆时,只需要更换光模块,可以充分保护投资;同时采用盒式设备,对汇聚层机房占用减少,电力、空调等要求降低,可大幅降低设备成本及各项隐性成本,管理维护更简单。
汇聚交换机采用IRF2虚拟化后,通过两条或以上万兆链路上行到核心交换区,并通过万兆连接接入层设备。汇聚交换机选用H3C S5820X-28S,可支持IPV4和IPV6双栈,满足校园网的IPV6组网需求,而且通过配置双电源及模块化风扇保证汇聚层的高可靠性。
在教学区(北区及南区)采用S5820X-28S 通过IRF 后对接入交换机进行汇聚,为保证平均每接入点上行至核心带宽不低于50M,汇聚到核心链路需要根据每个汇聚点的信息点总数量进行合理配置,除体育馆及北教研1由于信息点较少,采用两个万兆接入核心层外,其它五个汇聚机房均用4
条以上万兆接入核心层,组网如下:
办公楼体育馆图书馆
北教研2科技楼
北教研5S12508-1S12508-2
在宿舍区(东区)采用S5800X-28S通过IRF后对接入交换机进行汇聚,为保证平均每接入点上行至核心带宽不低于20M(综合服务楼按50M),汇聚到核心链路需要根据每个汇聚点的信息点总数量进行合理配置,如下:
组网如下:
学生
宿舍B
S12508-3
学生
宿舍A
3*10G6*10G6*10G
4*10G6*10G
2*10G
3*10G
S12508-4
2*10G
4*10G6*10G
4*10G
………………
S5820-28S
学生
宿舍C
学生
宿舍D
学生
宿舍E 综合
S5820-28S
4*10G
………………
在方案设计上,汇聚层与接入层交换机及核心层连接尽量做到负载均衡,同时保证每个汇聚层交换机均有冗余端口,以利于后期扩容。下面以接入点数最大的学生宿舍C 说明具体的连接关系:
2.4接入层设计
接入层提供网络的第一级接入功能,端口安全、Qos 和POE 功能都位于这一层,采用华三的S5120作为接入交换机,S5120支持IPV4和IPV6,可以实现千兆三层到桌面,具有4个万兆端口的扩展能力,同时拥有POE 机型用于无线AP 的POE 供电。S5120支持虚拟化技术-IRF2,配线间的交换机采用万兆智能堆叠,保证交换机之间的数据带宽;为保证网络性能及可靠性,每组不超过4台,并根据接入交换机的数量选择上行到汇聚交换机的链路数量,保证收敛比。
在教学区(北区及南区)及宿舍区(东区)均采用千兆到桌面、万兆到汇聚,组网如下:
2*10GE 2*10GE
2*10GE S5820X-28S
1*10GE 即配线间只有一台接入交换机时,直接接入到汇聚交换机,2-4台时采用IRF 后通过2条10G 链路接入到汇聚层交换机,接入到汇聚并发每用户最低带宽可达2*10G/(48*4)=100M ,提供5:1的超速比,充分保证每用户不低于20M 的带宽,接入到汇聚不存在瓶颈。同时接入层交换机IRF 后,可以提供组内交换能力,减少上行带宽消耗;上行链路捆绑后可以实现负载均衡,提高链路利用率,防止局部拥塞;在汇聚交换机故障或上行链路故障等特殊情况下,可利用堆叠组内其它交换机上行链路继续转发,提升可靠性。
2.5外联区
xxx 的校园网有四个网络出口:Internet、Cernet、Cernet2、CNGI,出口采用万兆核心路由器,内置FW/IPS/ACG/SSL 功能,以充分提高性能、可靠性,简化网络架构,降低管理维护复杂度。出口路由器采用四个万兆接口与四台核心交换机分别相连,充分
保证互连带宽,同时实现外网访问数据只经过核心层一次转发即可,提升外网访问效率。
路由器采用SR8812,业务处理板支持512M/NP报文缓存能力,可以缓存200ms的突发流量,防止校园网突发流量时可能造成的丢包等问题。SR8812支持IPV4和IPV6双栈,可满足IPV6的高性能连接需求。
SR8812通过内置的SSL硬件模块实现出差人员及在外办公的领导及专家的SSL VPN 接入;IPS、ACG、FW实现多层次、全方位的安全防护。外联区实施安全防护后,可以实时分析网络应用情况,识别分析几百种包括P2P、网络游戏、炒股软件等应用层协议,进行流量控制;同时具有上网行为审计功能,将校园网内部用户的上网访问行为实时记录,满足公安部的82号令要求。通过与用户认证系统配合,捕获用户MAC、用户名、上线/下时间、上网时长等信息,提供基于用户名的流量管理及审计。
外联区采用H3C的SecBlade插卡方案,具有如下优势:
1.支持热插拔,即插即用
2.安装方便,网络设备上快速实现安全特性
3.部署简单,减少设备占用空间和布线难度
4.平滑升级,扩容方便,性能成倍增长
5.可以通过网络设备对SecBlade插卡统一管理,简化了安全设备的管理难度
6.充分利用高端路由器和交换机本身拥有的双主控、冗余电源及风扇等高可靠架
构,提高整网可靠性
7.采用先进的低功耗处理芯片,结合网络设备机箱良好的散热性,具有更好的稳
定性以及使用寿命
H3C专利的ACFP(Application Control Forward Protocol)用于提供SecBlade 模块软件对网络设备数据流量的联动配置通道和ACSEI(A Method for Exchanging Information between ACFP Client and ACFP Server)通信协议,实现网络设备与SecBlade插卡的安全联动。快速检测SecBlade单板工作状态,一旦发现单板故障,快速切换,保障业务连续性。
正常情况下业务流程如下:
单板故障时业务流程如下:
SecBlade支持VRRP,支持设备间以及设备内SecBlade模块的保护,避免出现单点故障。
由于本项目中运营商链路无法实现备份,所以整体方案无论如何也无法实现完全意义上的热备,建议采用单台SR8812双主控、双电源等方式提升可靠性。实现细节如下:
在上述方案中
●校园网出口SR88路由器集成多业务板卡,连接园区核心与外网SR88作为三层
网关设备为上下游提供流量转发功能。
●FW板卡采用三层路由模式提供攻击防御、策略管理等功能;与园区核心路由交
换设备通过OSPF动态路由协议互连
●FW同时作为SSL VPN与内网服务器的转发节点,在对SSL VPN板卡提供安全防
护的同时,对SSL VPN封装内的流量进行二次检查防御
●SSL VPN板卡采用单臂旁挂部署方式。缺省网关指定在FW板卡上。移动用户流
量首先通过FW过滤掉对SSL VPN板卡的非授权访问与攻击,VPN终结在SSL 板卡后,完成解封装的流量再通过FW和IPS进行基于L3-L7的攻击防御及病毒过滤等安全防护动作后,访问内部园区服务器。
●IPS/ACG板卡为网络提供流量保护能力,SR88与IPS/ACG板卡间通过OAA协议
框架完成自动引流与板卡故障不中断转发工作。
●SR88通过NQA对外网链路进行追踪检测,确保故障时秒级的流量路径自动切换后期如果需要进一步提高出口互联的可靠性,可以再增加一台SR88,实现双机热备,
组网如下:
在整网双机环境中,两台SR88热备后,通过OSPF动态路由协议与核心交换机互连,并提供双机流量路径冗余。SR88为了避免internet出口链路故障内部路由设备无法感知切换的问题,需要进行NQA部署。SR88通过追踪运营商网关地址,确保当本地FW板卡故障或者外网出口链路故障时,静态路由失效,从而不再向内部OSPF网络发布路由,达到使去往外网的流量在网络核心位置选择另一个出口路由器的目的。此设计可以使外网出口发生故障时,流量自动切换,受影响最小。
目前很多安全威胁都是综合网络蠕虫、木马、病毒等技术的复合威胁,只有将攻击特征和病毒特征结合在一起进行检测,才能全面防御这类安全威胁。攻击者在利用漏洞的攻击之后,往往马上伴随着木马、病毒等恶意代码样本的下载,只有将攻击特征和病毒特征结合在一起,才能做到层层防御,确保安全。因为攻击是有特定的协议上下文的,将应用层协议特征分析与攻击特征、病毒特征分析结合起来,可确保检测精度。H3C创新性地使用三库合一技术,实现综合防御:
利用在外联区的IPS上集成的卡巴斯基防病毒引擎、内置卡巴斯基专业病毒库,采用第二代启发式代码分析技术、独特的实时监控脚本病毒拦截技术等多种最尖端的反病毒技术,能实时查杀大量文件型、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒,实现对网络应用、网络基础设施和网络性能的全面保护。
2.6数据中心区
校园网的数据中心要接受大量的用户访问,所以数据中心的核心交换机不仅要有高性能和高可靠性,更要做好安全防护,本方案采用专用数据中心交换机,内嵌FW/IPS,可线性扩容,不存在瓶颈。数据中心区交换机S7500E采用IRF后,通过八条条万兆链路直接连接网络中心的核心交换机S12500,最大带宽80G,可以完全保证无阻塞,提高网络数据中心的访问效率。另外采用两条万兆与外联区直接相连,提升外网用户的访问效率。
H3C S7500E交换机采用了开放业务架构(OAA),不仅可以提供传统交换机的二、三层报文转发的功能,而且可以集成FW/IPS/LB功能,实现交换机应用层安全防护功能的扩展,通过与交换机共用管理平台,降低了管理难度。领先的多核架构及分布式搜索引
擎,确保内嵌IPS在各种大流量、复杂应用的环境下,仍能具备线速深度检测和防护能力,仅有微秒级时延,还可以有效降低单点故障,即使在IPS出现故障时也能保证数据业务的正常转发。随数据中心服务器的增加,可以通过增加插卡,使FW/IPS处理能力线性增加,保能精确识别并实时防范各种网络攻击,不会出现性能瓶颈。组网如下:
内网服务器20台DMZ千兆
服务器40台
DMZ万兆服务器10台
SecBlade IPS+FW+LB
SecBlade IPS+FW+LB
本组网在S75E交换机上实现FW、IPS与LB板卡业务特性功能,满足了数据中心网络基础架构简单,流量路径清晰,以及双机HA切换的相关需求。在数据中心必须公开的服务,例如E-Mail\Web\FTP等,设置DMZ区域,有效的提高系统防御入侵与攻击的能力,保证数据中心服务器的安全,原理图如下:
方案中:
数据中心S75E交换机集成多业务板卡,连接DMZ区域服务器与园区网络及外
联网。为LB 连接服务器与FW 连接LB 提供二层通道,与外联路由器设备通过OSPF 动态路由协议互连,并提供双机流量路径冗余。
●SecBlade FW 板卡为S75E 到LB 之间提供三层转发,并提供策略管理和入侵检
测等功能,为内部网络提供基于L3-L4的流量保护。
●SecBlade LB 板卡采用在线部署方式,作为服务器网关,缺省路由下一跳指向
FW 板卡。双机环境中两块板卡均使能源地址转换功能,确保流量往返路径一致。●SecBlade IPS 板卡为网络提供基于L4-L7的攻击防御与病毒检测等流量保护能
力。S75E 与IPS 板卡间通过OAA 协议框架完成自动引流与板卡故障不中断转发工作。
●在整网双机备份组网环境中,S75E 通过NQA 对LB 板卡进行追踪检测,确保故
障时秒级的流量路径自动切换;在FW 板卡故障时,S75E 均可通过感知背板物理接口状态对配置的路由进行相关调整保证秒级的流量路径自动切换;在LB 板卡故障时,S75E 通过NQA 感知故障并通过取消OSPF 路由发布方式使流量切换到另一台设备上;在IPS 板卡故障时,S75E 通过OAA 协议感知板卡状态,流量在交换机内直接转发,而且IPS 板卡在CPU 与系统资源占用较高时还可通过二层回退机制使流量达到直接转发不丢包的效果。
数据中心交换机S75E 通过IRF 实现虚拟化后,可以在网络各层之间屏蔽环路,消除生成树带来的不稳定影响,提升整网可靠性
MSTP+VRRP ACC_SW 1ACC_SW 2
VLAN 30VLAN 50VLAN 50L3
L2L3L2
VLAN 30VLAN 50
VLAN 50
IRF 实现虚拟化后还可以简化NIC-Teaming 部署,使服务器的网络配置更为简单,还直接在两个网口是提供了负载均衡能力,改善性能及可靠性
IRF 虚拟化构建大二层网络,数据中心虚拟主机可以实现在不中断服务的情况下,将VM 迁移到其他的物理服务器上;有效支撑在灾备、资源调整、服务器维护等场合下
的应用:VMotion
L3
L2
实施虚拟化后,将在网管管理、网流分析、服务器间的策略控制等带来新的问题,Server-to-network edge 是当前数据中心技术发展的热点,融合、IO/虚拟化是热点的两个主题,HP、3COM、IBM、Broadcom、Qlogic、emulex 等公司支持发起确定的IEEE 标准VEPA 及其multi-channel,将在2011年初成为正式标准,协议定义了虚拟机VMM 以及交换机对来自VM 的报文的处理方式,将VM 的流量牵引到交换机上做转发、监管、安全控制,然后在送回到VM,同时该协议也明确了服务器管理边界、网络管理边界,确保了与传统数据中心业务管理的一致性。
Virtual Ether Port Aggragation方案:
●现在的交换机只要稍做驱动修改就可支持这种模式;原来的VSwitch变成了
VEPA,但还是CPU处理,性能有一定限制;
●在物理网络上实现了流控和安全控制;
●物理服务器边界也是网管边界;
Mutil-Channel方案:
●可同时支持软/硬VSwitch、VEPA,
●需要升级网卡和接入层交换机支持Q-IN-Q;
●在物理网络上实现了流控和安全控制
●物理服务器边界也是网管边界;
由于国家对信息的重视逐年增加,各单位对信息系统的安全建设日益加深,xxx在未来依然需要进行数据的容灾建设。本次设计的架构,已充分考虑此需求,能够在未来轻松的将备份数据中心建设,支撑容灾系统,并大幅度节约成本。网络扩展如下,本次在南区中心机房增加一台数据中心专用交换机S5800-60C,实现部分业务的备份:
备份中心
数据中心
学院南区学院北区
S12508-2
S12508-3
S12508-1S12508-4
S7500E
10GE
GE
S5800-60C
2.7IPv6校园网
xxx的数字校园网从核心层、汇聚层到接入层、从有线到无线、包括防火墙等全面
支持IPv4和IPv6双栈,xxx的数字校园网将是IPV4/V6双栈的网络,满足xxxIPV6相
关应用的需求。
目前在IPv6网络应用中,组播业务量最大,在校园网中需要实现可控组播,系统
的组网图如下:
从上图可以看到,在一个可控组播的网络中,主要部署了接入层组播过滤,网络入口组播过滤,组播权限控制器,组播权限服务器等技术手段来对在校园网中的组播进行控制。
在部署可控组播时,对源及接收者的控制的主要实现的技术手段如下:
●源控制——利用IPv6ACL对校内外非法组播源过滤(iMC ICC批量下发)
●组播接受者——MLD Snooping与iMC CAMS配合实现用户组播权限的动态下发;
●运营与计费管理——iMC上对用户实现套餐式包月计费;
2.8无线网络
xxx的无线校园网规模大,范围广,用户多,综合考虑无线组网的可管理、可运营及安全性,建议采用FIT AP架构,校园网的每一个AP及相关的无线业务及资源将由核心层的无线控制器模块集中控制。华三的AP和AC全面支持IPV6,而不只是IPV6透传;而且有线和无线实现统一管理,在同一网管拓扑中可以同时监控管理交换机、无线控制器、AP等设备,便于网络管理。同时考虑到可靠性,在核心机房部署两台大容量无线控制器WX6103,实现无线校园网控制器的1+1备份,且倒换时间小于100ms,充分保障学校无线网络的可运营能力,同时避免了跨无线控制器的漫游,保证了移动应用的效果,为后期推广VoWLAN提供基础网络支持。
为了更好保障无线端到端的安全,本次无线网络将同时采取WAPI和WPA2两种安全技术标准,实现无线网络的安全性的同时保障无线网络的兼容性。
xxx无线网将采用802.11n技术,实现300M的物理速率,具体实现方式为在人员密
集的教室等室内区域部署华三的WA2620-AGN,而且采用双频多模,802.11n、802.11a 和802.11b/g协议同时工作,保证802.11n的高速率接入的同时满足其他802.11a/b/g 协议用户的接入。设备内置天线,可采用吸顶安装,无线信号覆盖更好,安装更简单,更加美观。
xxx的室外区域无线覆盖建议采用室外专业AP:WA2610X-GNP,支持500MW的大功率,覆盖范围广、信号质量高,同时作为室外一体化产品,无需室外机箱,达到IP65的专业防水等级,工作温度-40℃到65℃,可以适应xxx的潮湿高温天气。同时室外采用11N覆盖也保证了全网无线的高带宽接入。
第3章安全内控
目前网络中70%的安全问题都是来自网络内部,建议采用华三的网络准入控制(EAD)系统进行安全内控:
对接入网络的用户进行身份验证及安全认证,身份验证主要核实用户为xxx的合法用户,支持多元素绑定功能,防止帐号盗用和非法接入,避免滥用地址,大幅定提升终端用户认证安全控制力度。在验证用户名、密码的同时,支持用户名与设备IP地址、端口、VLAN、用户IP地址、MAC地址、主机名、Windows域、SSID的绑定认证。具备绑定信息自学习功能,自动学习绑定信息,可以减少管理员手工录入的工作量。支持一个
用户绑定多对IP和MAC地址,有效解决单用户多终端问题。
安全认证主要是针对电脑的的安全隐患及是否遵从校园安全策略进行验证,比如操作系统是否打了必要的补丁、防病毒系统是否为最新版本等等。根据管理员配置的安全策略,用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置、U盘外设管理、桌面资产管理等;EAD客户端支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等国内外主流病毒厂商联动,同时为了更好的满足客户的需求,也支持与微软SMS、LANDesk、BigFix等业界高端的桌面安全产品的配合使用。例如已经购买微软的桌面管理工具SMS的用户,EAD可以与SMS配合,由EAD实现终端用户的准入控制,由SMS实现各种Windows环境下用户的增强型桌面管理需求:资产管理、补丁管理、软件分发和安装等。
在用户接入网络时,自动为其分配网络权限、网络带宽,保证权限明晰、各取所需。而且在使用网络的过程中被实时监控,对出现安全问题的终端可以警告、下线等操作。另外可以从网络协议层面分析ARP攻击,保证终端既不受ARP攻击影响,也不会成为攻击源。
根据公安部的上网审计要求,结合系统的用户身份、权限的管理和网络出口应用控制网关详尽的用户网络行为日志,帮助管理分析用户的上网行为,为管理员提供行之有效的网络管理和用户行为跟踪审计策略。
EAD系统支持802.1x、PPPoE、Web(Portal)等多种认证方式,而且用户无论是有线网络接入,还是无线网络接入均采用一个账户进行统一认证管理,充分考虑了用户的移动性。由于EAD系统关系到整个校园网用户的上网,系统的任何问题都会带来负面影响,所以网络准入控制系统采用双机热备措施,并支持逃生方案,保障系统不间断运行。同时还可以提供全面的防ARP方案,如下:
通过上网认证过程,获取合法用户的IP-MAC关系,在接入交换机和网关上进行绑定,并且利用认证客户端在终端上绑定网关ARP表项。可以有效防止攻击者冒充合法用户的IP进行攻击,也可以有效防止攻击者仿冒网关的行为。另外,通过客户端还可以支持防双网卡、私设代理、IE设置代理等,保障网络使用受控。认证系统支持双机热备功能,通过两台服务器,一台共享存储,共用一个虚拟IP,实时备份,切换时无数据丢失。消除单点故障,大大的提升认证系统的可靠性。
第4章安全管理
传统方式是在网络上采用了防火墙、身份验证机制、入侵防御系统(IPS)和其他技术来保障网络安全,但是存在如下问题:
(1)对实时安全信息不了解,无法及时发出预警信息,并且处理。
(2)各种安全设备是孤立的,无法相互关联,信息共享。
(3)安全事件发生以后,无法及时诊断网络故障的原因,恢复困难。
(4)没有足够的人员去监控、分析、解决问题,成本高。