Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 1

安全可控边界、稳定可靠核心　　　　－ Juniper 校园网解决方案

王　涛twang@juniper.net

2Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net

校园网特点 －－－ 过去

地域： 校园相对集中，校园网的规模相对小。

应用：比较简单，基本上都是基于 IPv4

QoS ：基本上没有服务质量（ QoS ）的保证 安全：安全保证机制少　管理：简单　结构：交换方式

协议：二层 Spaning Tree 协议为主，三层路由协议为辅；三 层、两层协议混用

3Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net

校园网特点 －－－ 现在

地域： 高校合并、新校区扩建

应用：网上游戏、网上视频、 BT/emule 、学术研究…

QoS ：不同应用需要不同的时延、带宽

安全：病毒频繁爆发、工具软件、学生特点…

由 IPv4向 IPv6 进行逐步过渡

4Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net

校区 C

校区 A 校区 B

汇聚层 汇聚层

汇聚层

电信

Cernet

校园网拓朴

5Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net

校园网边界几大需求

•访问控制（ＡＣＬ）

•策略路由

•地址转换－ NAT

•用户管理

•带宽优化

安全可控

6Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net

运营商

Cernet

Netscreen 2000

校园网

Juniper M10i

ERX310/705

校园网典型出口应用图（一）

SSL VPN SA3000/1000

twang@a---Cernet,1M 带宽，不记费twang@b--- 电信网 , 2M 带宽，收费twang@c---Cernet 出国， 512K, 收费

J-Flow （兼容 Netflow ）1. 对用户流量进行统计2. 可以针对不同目的地址进行计费，出国收费。不出国不收费

7Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net

***@a 国内用户， *** 代表已经拥有的帐号名； ***@c 教工国际包月用户， *** 代表已经拥有的帐号名； ***@d 学生国际包月用户， *** 代表已经拥有的帐号名。

8Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net

运营商

Cernet

Netscreen 2000

校园网

Juniper M10i

ERX310/705

校园网典型出口应用图（二）

SSL VPN SA3000/1000

若 ERX 坏，则不进行计费管理，仅考虑路由出来。若电信线路断路，则走 Cernet 线路若 Cernet 线路断路，则走电信线路。

策略路由：某些网段、或某些数据包（如语音等）不进行计费其它的全部转发到 ERX

不同的 L2TP 拨号用户得到不同的地址段，根据该地址段进行策略路由可根据 IP 包头中的任意字段进行策略路由

9Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net

ASM NAT IPsec

防火墙 计费

运营商

Cernet

Netscreen 2000

校园网

Juniper M10i

ERX310/705

校园网典型出口应用图（三）

SSL VPN SA3000/1000

1. 基于策略的 NAT

2. 基于 ASIC ，大小包情况下性能一致，有效抵御 DOS 攻击3. 状态防火墙下的策略，和 ACL 相比，具备更好的安全性能！4. 可通过硬件的 IPS 板卡，基于策略的对流量进行 7 层的硬件防护。最大性能 2Gbps.

U N I V E R S I T YU N I V E R S I T Y

分部

IPSEC

一卡通财务。。。

SSL

老师：教学资源、办公资源…

学生： web 资源、图书馆资源、网管：网管资料库、设备的带外管理区域…

…… 可以进行文件级管理！

10Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net

Netscreen 防火墙：性能 vs 安全

安全不以牺牲性能为代价 可扩展的专用安全 Security Moduel 模块

（基于 ASIC 的应用层入侵防御，网关查毒解决方案）

3600+ 种攻击手法检测， 100 多种应用协议、应用层攻击检测吞吐量 2G+

真正可用的宽带网络多功能集成安全网关 Netscreen 的技术领先体现

I/ O Port Module

I/ O Port Module

I/ O Port Module

I/ O Port Module

All FlowsIDP FlowIDP Flow

First Packet, IKE, IDP, etc

Management Module

ASIC Module

I/ O Port Module

I/ O Port Module

I/ O Port Module

Security Module

Security Module

Security Module

11Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net

学生宿舍区

校区 A

电信

Cernet

校区 B

防火墙

基于 WEB 的服务器群

Juniper DXWEB 加速器

1.HTTP 反向代理，检测任何 http 的请求包，最大程度保证 web 安全

2. 访问速度提高 50%,用户接入能力 200%

3. 非常适合远程教学

服务器群

IPS/IPS+FW

1. 基于策略的 IPS 过滤

2. 当设备故障时，则直通。

3. 最大程度检测攻击，进行控制（ P2P/MSN… ）

4. 主动防护

12Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net

案例分析 :为 Santa Clara 大学提高 PeopleSoft 8 的处理能力

Santa Clara 大学• 对 PeopleSoft 学生管理系统使用猛增，并且校园门户网站的性能下降，

对局域网和广域网带宽造成负担 直接的好处

• 服务器能力提高 300%

• 带宽占用减少 48%

• 访问速度提高 44%

“以前每个学期的注册时都导致我们的应用几乎停顿 . Juniper DX 的加速使得即使在最大负荷时都运行正常。现在我们可以在不增加新的软件或硬件的情况下处理更多的用户访问了 .“

Ron Danielson, CIO at Santa Clara University

速度 > 可扩展性 安全性 灵活性 管理

13Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net

案例分析 :为在线教学网站加速

韩国某大学• 提供在线多媒体学习网站

问题 • 非常缓慢

• 网站中包含大量的多媒体信息，如Powerpoint,Excel,Video,Word 等文档，是缓慢的主要原因

• 一些应用是时间敏感的（比如考试）• 已经有 Alteon 的负载均衡器

– 但不能减轻服务器的负载

速度 > 可扩展性 安全性 灵活性 管理

Alteon AD

14Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net

校园网核心所面临的问题• 协议结构：二层为主，三层路由为辅

生成树协议的非智能特性　　 生成树协议的不稳定性 　 生成树协议的互通性（不同 vendor的 SPT 之间互通问题）　 •　核心设备： 路由器 vs. 三层交换机

• 观念： VLAN 做为安全隔离手段？ 不同校区的同一部门需要在同一个 VLAN ？

15Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net

交换式校园网网络拓朴图

汇聚层

接入层

核心层

路由域

VLAN 1 VLAN 1VLAN 2 VLAN 2

交换域

16Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net

路由式校园网网络拓朴图高端路由器

汇聚层

接入层

核心层

路由域

交换域 交换域 交换域 交换域 交换域

17Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net

三层交换机 vs. 路由器 －－－安全

转发 路由拓扑

服务

高端三层交换机 高端路由器

Forwarding转发 Routing路由

业务

!!! !!!!!!

18Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net

保护最脆弱的环节：对路由引擎进行保护

Internal Bandwidth

转发引擎

WAN/LANPorts

路由引擎

REMemory

路由引擎保护(filter on loopback)

19Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net

网络拥塞现象

CE CE

E1 T1

传输速率不匹配

1Gbps

2.5 Gbps

流量集合

核心路由器

2.5Gbps

流量聚合

IP

Core Router

1Gbps

1Gbps

1Gbps

1Gbps

2.5Gbps

2.5Gbps

核心路由器

核心路由器

三层交换机 vs. 路由器 －－－流量模型

路由器的 GE 端口缓存： 150M, 可缓存 144ms 数据交换机的 GE 端口缓存 : 6M, 可缓存 6ms 数据 丢包！

Copyright © 2004 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 20

谢谢！http://www.juniper.net