联想网御万兆校园网安全解决方案
来源:用户上传
作者: 杨聪毅
随着我国高校信息化建设的不断发展,用户数的不断增长,校园网信息资源的不断丰富,加之近几年数字校园的发展,网上多媒体教学、视频点播等大带宽应用的不断兴起。原有的校园网无论是规模还是容量都发生了巨大变化,国内有一定规模的高校骨干网纷纷升级为万兆网络。万兆骨干网有效地解决了校园网带宽不足的问题,满足数万校园用户的网络需求,在实际使用过程中,万兆校园网也面临着一些问题的挑战。
校园网出口成新瓶颈
随着高校的不断扩招,在校学生数量大量增加,网络访问量逐年增长,使得出口带宽逐渐成为校园网的网络性能瓶颈。为了解决出口瓶颈问题,高校不断对出口网络进行升级改造,大部分高校教育网从开始的100Mbps逐步升级为1000Mbps,网通与电信出口也由开始的10Mbps逐步升级为300Mbps~500Mbps。
高校不断扩展出口带宽,是否就意味访问互联网的能力一定大大提升了呢?答案是否定的。很多高校经过测试发现,现有出口使用的出口设备,在启用NAT和大量策略路由的情况下,设备性能严重不足,导致出口访问频频受“卡”。
其表现主要是在上网高峰期时Web链接打开很慢、QQ/MSN经常掉线、下载文件速率很低、在线看视频不流畅、停顿等。校园网出口访问为什么会“卡”呢?原因主要有以下几点:
1.新建连接速率低:校园网内众多用户高峰期同时上网,需要出口设备有较高的新建连接速率。例如高峰期2万个用户同时上网,平均每人每秒要建立3~5个连接,出口设备的新建连接速率要在6万~10万个/秒,但校园网出口的使用出口设备(路由器或者普通千兆防火墙),新建连接速率通常不高,只有2万~3万个/秒,只能满足一部分建立连接的请求,大部分新建连接的请求必须等待,其具体表现为打开新页面时反应很慢。
2.出口设备NAT吞吐性能低:国内大部分高校,建网时间较晚,拥有的公网地址较少,校园内部主要使用私有网络地址,对外访问需要在出口设备进行NAT(网络地址转换)。大部分学校NAT在路由器上完成,但大量做NAT会导致路由器CPU占用率过高,吞吐性能下降很多,其具体表现如下载文件速率低,在线看视频不流畅、停顿。
3.出口设备NAT最大并发连接数低:校园网用户数多,且多数用户上网时间长,访问资源多,产生的并发连接数大。2万~3万用户规模的校园网,平均每人占用60个并发连接,边界设备做NAT的最大并发连接数至少需要120万~180万个。边界路由器对NAT支持的并发数非常有限,一般中高端的路由器只有50万~80万个。在上网高峰期(例如20:00~22:00时)边界设备NAT最大并发数不足的问题特别容易暴露,其现象如新的网页常常打不开,新的网络应用无法建立。
大流量宿舍网的管理
目前各个高校普遍建设了专为学生使用的宿舍网,通过宿舍网学生可方便地访问数字校园的各种资源,进行资料查询、课程选择,接受学校教学管理和信息发布等。宿舍网由于主要面向在校学生,主要呈现以下特点:
1.对网络设备要求并发连接数高。当前学生宿舍电脑已经比较普及,笔记本、台式机数量较多,学生日常学习娱乐频繁使用网络,使得宿舍网与校园骨干网之间的流量很大,并发连接较高,通常5000人左右宿舍网高峰时并发数可达120万个。
2.上网时间集中、网络突发流量大。学生上网的时间相对比较集中(主要在晚间和节假日),所以此时段网络访问流量会较大,在一些特殊时候可能会出现大量的网络突发流量。这对网络设备保持高性能,提供可靠运行提出了更高的要求。
3.应用多而杂,性能要求高。学生休闲时间上网,喜欢玩网游、FTP/P2P下载、访问视频网站等各种娱乐应用服务。其中网游类应用主要以100字节报文为主;FTP/P2P、视频网站以1024以上大字节报文为主,这样的特点对宿舍网的边界设备处理小报文大报文的能力提出了更高的要求,如果性能不能满足就会出现网游游戏人物动作迟钝、视频频繁停顿或丢帧等现象。
4.病毒攻击事件较多,流量清洗和审计面临挑战。学生访问大量各类网站,难免会感染各种蠕虫、木马病毒,且学生中有众多网络技术爱好者,他们经常下载各种工具和学习使用各种黑客技术,这就使得宿舍网络与校园骨干网之间充斥着众多的扫描、病毒攻击、网络攻击,这就要求宿舍网络出口的设备,首先本身具备强大的安全防护能力(如:防DoS攻击,防DHCP攻击,防扫描,防ARP攻击等)和异常流量清洗能力;其次,设备具备较强的审计功能,可以对发生攻击、入侵源头可以有效跟踪和记录日志。
5.网络访问控制要求高。为了防止学生沉迷网络影响学习,访问黄色网站影响身心健康发展,学校需要在宿舍网进行有效的访问控制、时间规则、URL过滤等。例如禁止访问某些黄色网站地址、过滤不健康网站的URL、通过定时规则禁止学生上网等。
针对高校校园网络的特点,联想网御推出了一系列的数字校园网络安全解决方案。
联想网御万兆安全解决方案
1.高性能NAT多出口边界解决方案
设备配置和部署
校园网的网络出口区,将原有做NAT的某千兆路由器替换为1台联想网御金刚安全网关KingGuard 8000,配置1个万兆接口和1千兆光纤与核心万兆骨干网络相连,出口采用千兆光纤接3条线路,分别是Cernet 线路1000Mbps,Telcom线路200Mbps,CNC线路600Mbps。KingGuard 8000设备上配置多出口的策略路由规则、地址池做海量NAT、抗攻击、服务器负载均衡、QoS、日志。
部署效果
・KingGuard 8000具备10Gbps处理能力,并采用万兆接口,万兆的线路使得校园骨干网到出口设备之间的带宽没有瓶颈,解决原出口设备千兆接入骨干产生的网络拥塞。
・KingGuard 8000支持300万NAT并发数,新建连接速率可达20万个/秒,在原有出口带宽不变的情况下,新建速率和NAT并发数性能的提升,使得校园出口支持的会话数上升了50%,上网高峰期(下午15:00~17:00;晚上20:00~22:30)时出现的Web链接慢、QQ/MSN掉线、下载文件速率低、在线视频不流畅、停顿等现象都得到有效改善。
・开启抗攻击和服务器负载均衡,杜绝了拒绝服务攻击导致的服务器瘫痪事件的发生,提高了服务器安全运行时间。
2. 高适用万兆学生宿舍网解决方案
设备配置和部署
在校园网宿舍区汇聚到骨干网的出口位置,配置了1台KingGurd9201,采用1个万兆接口和10个千兆光口,万兆接口与万兆骨干网光纤相连,10个千兆光口分别连接10个宿舍区网络交换机。设备工作在透明模式下,主要配置是关闭常见病毒端口、定制时间规则、URL过滤、日志记录、抗攻击。
部署效果
・KingGuard 9201采用万兆接入,支持500万个最大并发连接数,新建连接速率20万个/秒,在晚间和节假日访问高峰期,日常应用和上网速度未因部署安全网关KingGuard而受到影响。
・部署KingGuard后,关闭常见病毒端口,并启用清洗异常流量功能,并记录日志,原来进出宿舍网的大量攻击、扫描、蠕虫病毒流量大幅下降。通过审计日志,较容易分析和定位攻击事件及来源。
・基于时间规则,定时在23:30以后启用关闭网络,使得学生利用笔记本熄灯后继续打网游影响学业的问题得到有效解决。
・将大量黄色网站地址进行封杀、过滤掉不健康的网站URL,净化了上网环境。
2008年12月,联想网御以“助力高校应用,保障数字校园”为主题的全国高校安全解决方案研讨会即将展开,届时,联想网御技术专家们将与高校客户面对面畅谈现阶段教育信息化建设的热门议题,更加详细地分享联想网御在教育行业的最新解决方案。
转载注明来源:https://www.xzbu.com/8/view-1087890.htm