《网络普教教育城域网解决的方案ppt课件.ppt》由会员分享,可在线阅读,更多相关《网络普教教育城域网解决的方案ppt课件.ppt(69页珍藏版)》请在三一办公上搜索。
1、网络普教教育城域网解决方案,1、中国基教信息化背景及现状2、教育城域网建设问题与挑战3、锐捷网络教育城域网解决方案4、Q&A,提纲,中国基教信息化背景及现状,教育信息化发展浪潮,教育城域网服务对象,1,2,3,教育城域网常见应用分析,建设重点:计算机学科教学,是让学生学习和掌握信息技术的基础知识和基本技能;标志性口号:程序设计是第二文化!,教育信息化的发展浪潮,2019-2019年,第一次浪潮,七十年代末、八十年代初,建设重点:计算机辅助教学与计算机辅助管理,主要是开发教学软件、课件和教育教学管理软件,把计算机作为一种工具,将计算机与教育教学相结合;标志性口号:计算机与基础教育相结合是国际教育
2、改革的发展趋势!,教育信息化的发展浪潮,第一次浪潮,七十年代末、八十年代初,八十年代中后期,第二次浪潮,建设重点:网络教育标志性口号:建网、建库、建队伍!,教育信息化的发展浪潮,中国基教信息化背景及现状,教育信息化发展浪潮,教育城域网服务对象,1,2,3,教育城域网常见应用分析,教育城域网的服务对象,为教育管理人员服务,为教学人员服务,为学生服务,为家长服务,使他们能够充分利用网络化办公环境,快速便捷地处理大量的教育信息,提高工作效率和管理水平,减轻工作强度,为教育管理人员服务,为教育管理人员服务,为教学人员服务,为学生服务,为家长服务,为教学人员服务,提供一个网络备课授课、资源共建共享的平台
3、,在更大范围内共享思想与资源,从而提高教学质量与教学水平,教育城域网的服务对象,为教育管理人员服务,为教学人员服务,为学生服务,为家长服务,为家长服务,架设起学校和家庭之间的沟通桥梁,学校、教师、家长一道共同参与,通过网络促进学校教育和家庭教育的结合,教育城域网的服务对象,为教育管理人员服务,为教学人员服务,为学生服务,为家长服务,为学生服务,以全新的学习模式与学习手段来学习,或进行基于网络的自主式、协作式、研究探索式的学习,从而全面提高其自身素质与能力,教育城域网的服务对象,中国基教信息化背景及现状,教育信息化发展浪潮,教育城域网服务对象,1,2,3,教育城域网常见应用分析,教育城域网常用应
4、用,资 源 类,管 理 类,教 学 类,交 流 类,视 频 类,教育城域网常用应用,城域网常见应用资源类:教学资源库、数字图书馆、站等,教育城域网常用应用,城域网常见应用管理类:OA系统、MIS(学籍管理、教师管理)等,教育城域网常用应用,城域网常见应用教学类:网上备课、在线学习、网上录取、在线考试等,教育城域网常用应用,城域网常见应用交流类:门户网站、BBS、Email、教育Blog等,教育城域网常用应用,城域网常见应用视频类:远程教育,视频会议,网上课堂,视频点播/直播等,应用对网络的要求,1、中国基教信息化背景及现状2、教育城域网建设问题与挑战3、锐捷网络教育城域网解决方案4、Q&A,提
5、纲,城域网建设过程中遇到的问题,应用建设与使用问题不知道什么应用该上,什么应用不该上;哪些应用是迫切应用,哪些应用可以暂缓;对于新建网络用户,往往盲目上全部应用系统,极大浪费投资,城域网建设过程中遇到的问题,网络建设问题城域网整体规划城域网骨干技术选择城域网核心设备选择,城域网建设过程中遇到的问题,网络安全问题恶意应用消耗网络带宽网络病毒泛滥,影响城域网运转黑客恶意攻击/非法入侵内部用户非法网络行为资源中心服务器遭受恶意攻击/入侵,城域网建设过程中遇到的问题,网络管理问题城域网中心网络维护管理工作量巨大远程故障无法准确定位,无法及时处理缺乏全面的网络管理系统(网络设备、服务器、应用系统)IP地
6、址管理困难(IP冲突、盗用),1、中国基教信息化背景及现状2、教育城域网建设问题与挑战3、锐捷网络教育城域网解决方案4、Q&A,提纲,锐捷教育城域网解决方案,城域网规划与设计思想网络安全设计网络管理设计,1,2,3,教育城域网组成部分,骨干网,接入网,资源中心网络,出口互联平台,城域网骨干网主流技术对比,光以太网SDH(同步数字体系 )MSTP(多业务传输平台)RPR(弹性分组环 )WDM(光波分复用技术 )ATM(异步传输模式)MPLS VPN,城域网骨干网主流技术对比,建议在构建城域网时,首选租用裸光纤方式(以太网),其次是选用MSTP、MPLS VPN作为城域网骨干线路。,锐捷教育城域网
7、“区块化”设计思想,资源中心网络区块,网络安全管理区块,网络互联出口区块,网络汇聚区块A,网络汇聚区块Z,网络汇聚区块B,城域网核心区块,防火墙HA,INTERNET,CERNET,RG-Wall1500,RSR-04E,出口互联区块,StarView网管,方案一: “高性能区块化” 教育城域网拓扑图,区/县汇聚接点,区/县汇聚接点,GSN全局安全管理平台,网络安全管理区块,RG-S6800E,RG-S8600/9600,学校1,学校2,学校3,学校4,学校n,学校 n+1,城域网高速核心区块,中心局域网,资源服务器群,RG-S6800E,RG-S5750,资源中心区块,汇聚区块A,汇聚区块B
8、、C,汇聚区块D,学校 n+2,学校 n+3,RG-S6800E,RG-S8600/9600,RG-S8600/9600,防火墙HA,INTERNET,CERNET,RG-Wall1500,RSR-04E,出口互联区块,StarView网管,方案二: 全网安全“高性能区块化” 教育城域网拓扑图,区/县汇聚接点,区/县汇聚接点,GSN全局安全管理平台,网络安全管理区块,RG-S6800E,RG-S6800E,学校1,学校2,学校3,学校4,学校n,学校 n+1,城域网高速核心区块,中心局域网,资源服务器群,RG-S6800E,RG-S5750,资源中心区块,汇聚区块A,汇聚区块B、C,汇聚区块D
9、,学校 n+2,学校 n+3,RG-Wall,RG-Wall,RG-Wall,RG-S8600/9600,RG-S8600/9600,RG-S8600/9600,网络按功能进行区块划分,不同区块负责各自的独立业务,互不干扰按区块进行安全规则、路由策略统一部署,实现数据交换和安全防护网络核心不启用复杂功能、策略,具备高吞吐量和数据交换能力网络结构设计安全、可靠,局部区块故障不影响全局网络运行,好处:网络骨干高性能、高可靠性、易管理规划,锐捷教育城域网“区块化”设计特点,RG-S8606:1.6T背板,0.8T容量6槽,4用户槽,2交换引擎,RG-S8610:3.2T背板,1.6T容量10槽,8用
10、户槽,2交换引擎,RG-S8600系列每线卡带宽:200G每线卡万兆密度:2/4/8/12支持40G、100G接口扩展,面向10万兆平台设计的锐捷核心交换机RG-S8600,RG-S9610:4.8T背板,2.4T容量10槽,8用户槽,2交换引擎,RG-S9620:9.6T背板,4.8T容量20槽,16用户槽,4交换引擎,RG-S9600系列每线卡带宽:300G每线卡万兆密度:2/4/8/12/16支持40G、100G接口扩展,RG-S9600作为面向超大型园区网和城域网的核心路由交换设备,拥有更高的处理能力、更大容量的各硬件表项、更丰富的用户接口。,面向10万兆平台设计的锐捷核心交换机RG-
11、S9600,硬件安全监控技术,硬件安全防护技术,万兆安全防护模块,CSS安全体系,MPLS、VPLS、VPWS、DES、SHA,提供硬件的IPFIX,满足网络流监控和流分析,防DDOS攻击、非法数据包检测、防扫描、CPP、SPOH,防火墙、入侵检测、网络分析模块,硬件隧道加密认证,CSS安全体系,CSS安全体系安全的整合安全与性能的平衡在不影响整机性能的前提下提供全面的安全防护能力。,下文对IPFIX、防DOS攻击、CPP进行简要的介绍,CSS安全体系IPFIX,IPFIXIPFIX(RFC 3917)定义了一种网络设备进行流量采集并向管理系统输出的方法,近期将成为国际标准。IPFIX标准以N
12、etFlow v9为基础,利用以下“特征”定义流:源IP地址、目的IP地址、源端口、目的端口、3层协议类型服务类型(TOS)字节、输入逻辑接口、源和目的自治系统号码TCP标志和下一跳路由地址,IPFIX的应用安全监测根据采集的数据,可综合进行模式匹配、基线分析等,进行DoS/DDoS攻击和蠕虫等病毒检测,结合记录的源数据包相关特征快速定位网络中的异常行为。网络流量分析及容量规划根据收集和统计的情况,可获取大量的有用信息,如流量大小分布,前几名的流量用户和应用排行、整体网络流量、重要应用带宽的占用状况及其变化趋势等等,为今后的网络规划和升级提供决策参考。 流量计费可实现多种计费方式,如基于流量、
13、时间段、QoS、应用类型、自治域计费等。,CSS安全体系IPFIX,CSS安全体系防DDOS攻击,防DDOS攻击防Land 攻击:攻击原理:攻击者将一个SYN包的源地址和目的地址都设置为目标主机的地址,源和目的端口号设置为相同值,造成被攻击主机因试图与自己建立TCP连接而陷入死循环,甚至系统崩溃。防护:丢弃源和目的IP相同的IPv4/IPv6数据包丢弃源和目的TCP/UDP端口相同的IPv4/IPv6数据包,防DDOS攻击防非法TCP报文攻击 攻击原理:许多非法的TCP报文会致使主机处理的资源消耗甚至系统崩溃防护:丢弃SYN比特和FIN比特同时设置的TCP报文丢弃没有设置任何标志的TCP报文丢
14、弃设置了FIN标志却没有设置ACK标志的TCP报文攻击,CSS安全体系防DDOS攻击,防DDOS攻击防源IP地址欺骗攻击原理:大多数的攻击都通过伪造源IP的方式开始发起防护:RFC2827(网关丢弃源IP非本网段的数据包)地址绑定(IP/MAC/端口、IP/MAC)802.1x(六元素绑定),CSS安全体系防DDOS攻击,CSS安全体系CPP,CPP(Control Plane Policy)CPU的利用率过高会影响管理与协议的正常运行,是设备不稳定的最直接因素,也是各种攻击和病毒最主要针对的目标。CPP提供管理模块和线卡CPU的保护功能,并且锐捷10万兆产品采用硬件的方式实现,不影响整机的运
15、行效率。CPP提供三种保护方法,来保护CPU的利用率。第一, 可以配置CPU接受数据流的总带宽,从全局上保护CPU。第二, 可以设备QOS队列,为每种队列设置带宽。第三,为每种类型的报文设置最大速率。,控制平面保护,管理平面保护,数据平面保护,控制平面链路防护,控制平面数据防护,管理平面链路防护,管理平面数据防护,数据平面安全防护,数据平面安全监控,加密(SSH、IPSEC、SNMPV3等),控制(AAA、SNMPV3、USB等),硬件流速控制,路由协议防护,硬件流识别,独立冗余的通道,独立冗余的通道,硬件防DOS与扫描,硬件源IP地址验证,基于SPOH的ACL,硬件IPFIX,传统安全技术,
16、平面保护,“平面分离+平面保护”设计,“平面分离+平面保护”可以在三平面分离的基础上,提供完善的各平面保护机制,保证系统更加稳定与健壮。,分布式业务融合,分布式POE灵活扩展,分布式硬件流量监控,分布式硬件策略路由,分布式硬件加密,分布式业务融合,分布式硬件MPLSVPLS隧道,分布式硬件IPV6,分布式业务融合丰富业务支持业务与性能平衡(分布式、硬件)分布式业务融合保证了在不影响整机性能的情况下提供多种业务。,IPV6功能列表路由功能静态路由、等价路由、策略路由、 OSPFV3、RIPng、BGP4+、IS-ISv6组播功能MLDv1/v2、PIM-SMv6、PIM-DMv6、PIM-SSM
17、v6过渡技术双栈、NAT-PT、手工隧道、GRE隧道、ISATAP、6to4隧道其它技术地址自动配置、ICMPv6、ICMPv6重定向、DHCPv6、ACL for IPV6、TCP/UDP for ipv6,分布式业务融合IPV6,分布式业务融合策略路由,丰富的策略路由功能可对策略路由匹配的数据进行TOS/COS更改支持策略路由与网络路由优先级的灵活调整每条策略路由支持32个等价下一跳每条策略路由支持4条带权重的下一跳支持路由口、SVI、L3 AP启用策略路由,锐捷教育城域网解决方案,城域网规划与设计思想网络安全设计网络管理设计,1,2,3,锐捷教育城域网安全系统设计,教育城域网面临的安全问
18、题恶意应用消耗网络带宽(P2P等)网络病毒泛滥,影响城域网运转黑客恶意攻击/非法入侵内部用户非法网络行为资源中心服务器遭受恶意攻击/入侵,锐捷教育城域网安全设计资源中心区块,在终端系统上安装锐捷安全客户端(RG-SA)部署锐捷身份认证系统(RG-SAM)/锐捷安全管理平台(RG-SMP)/锐捷安全修复系统(RG-RES),资源平台核心RG-6806E,中心局域网,城域网资源中心,城域网骨干层,RG-SA锐捷安全客户端,RG-SA锐捷安全客户端,系统安全性评估系统补丁、病毒库提醒和自动安装服务自动检测/抵御系统遭受外部攻击自动检测/控制系统主动发起攻击自动检测/控制用户未知网络行为保障资源中心用
19、户系统是安全可靠,GSN全局安全解决方案,部署GSN安全系统的前后对比,感染网络病毒 遭受黑客攻击/入侵 被木马远程控制 被间谍软件收集信息 系统补丁更新不及时 病毒库更新不及时 对网络发起攻击 运行不被允许的软件,是是是是是是是是,否否否否否否否否,部署GSN前的用户PC,网络风险,部署GSN后的用户PC,部署GSN给终端用户带来的好处,用户系统补丁和漏洞评估用户系统补丁提醒和自动安装服务用户病毒库更新提醒和自动升级自动检测/抵御系统遭受外部攻击自动检测/控制系统主动发起攻击自动检测/控制用户未知网络行为保障用户系统是安全可靠的保障网络环境中其他用户是安全可靠的,还用户一片洁净、绿色的网络天
20、空!,部署GSN给管理员带来的好处,统一用户身份认证,控制用户非法接入统一杀毒软件、个人防火墙部署统一用户系统补丁和病毒库管理统一用户账号与IP地址管理统一全网安全策略规划与部署不需要手工对用户受损系统进行修复不再需要手工处理安全事件,而是系统自动处理对未知网络行为和未知病毒/攻击有效防护无人看守设置让我们轻松享受8小时以外,减轻网络管理工作量、保障网络安全运行!,锐捷教育城域网安全设计城域网骨干和出口,分布式安全策略部署骨干汇聚交换机上启用ACL防止蠕虫、网络病毒骨干汇聚交换机上启用防扫描、防DoS攻击骨干汇聚实施路由访问策略,控制非法访问出口路由器上部署安全ACL,防外部病毒和攻击出口防火
21、墙上启用访问规则和安全策略,防外部入侵/攻击,锐捷教育城域网安全设计学校接入网,采用安全智能化设计在用户接入交换机上启用禁止P2P应用功能在用户接入交换机上启用ACL防止蠕虫、网络病毒在用户接入交换机上启用基于流或应用的带宽控制在接入路由器上部署安全ACL,防病毒和攻击接入层启用IP+MAC+端口绑定功能,锐捷教育城域网解决方案,城域网规划与设计思想网络安全设计网络管理设计,1,2,3,锐捷教育城域网管理设计,网络管理问题城域网中心网络维护管理工作量巨大远程故障无法准确定位,无法及时处理缺乏全面的网络管理系统(网络设备、服务器、应用系统)IP地址管理困难(IP冲突、盗用),锐捷教育城域网管理设
22、计,部署局域网管理软件StarView全网拓扑发现设备运行情况监控管理链路运行情况监控管理网络性能监控网络事件分级报告设备配置管理,网络管理StarView全网拓扑发现,全网拓扑发现,网络管理StarView设备运行监控,设备运行情况监控管理,网络管理StarView链路运行监控,链路运行情况监控管理,网络管理StarView网络性能监控,网络性能监控,网络管理StarView事件分级报告,网络事件分级报告,网络管理StarView设备配置管理,设备配置管理,一句话总结: 采用“高性能-区块化”的核心组网思想设计,带给用户一个高速交换、高度安全、易于管理的教育城域网。,福建区域教育行业高端设备
23、使用情况,福建师大福州大学福州一中武夷学院集美大学厦门大学永安教育城域网南平延平区教育城域网。,CERNET2,CERNET,电信,现代教育技术中心节点,公共教学楼群中心节点,行政办公楼群节点,图书馆节点,理工楼群节点,河西节点,文科楼群节点,老校区节点,10GBase-LR,1000Base-LX,服务器群,课件服务器、数据库等,WEB、FTP、视频服务器,数据中心汇聚交换机,S3760-12SFP/GT,S3760-12SFP/GT,S3760-12SFP/GT,S6810E,S6810E,S6810E,S6810E,S2150G,S2150G,S2150G,S2150G,S2150G,S6810E,S3760-12SFP/GT,福建师大新校区校园网络,SAM认证计费管理平台,SMP安全策略平台,安全修复平台,网络管理平台,SCE,教育网,电信网,出口,诚毅1,诚毅2,灾备中心,航海,财经,轮机,IPS,IPS,IPS,IPS,IPS,IPS,IPS,新校区,校部,S6806E,S6806E,S6806E,S6806E,S6806E,核心,核心,楼栋汇聚,区域汇聚,核心,万兆,千兆,百兆,R3740,R3740,VPN接入平台,SAM自助服务平台,数据中心,集美大学GSN全局安全校园网络,S8610,S8610,S8610,S8610,谢谢!,xiexie!,谢谢!,
链接地址:https://www.31ppt.com/p-1434678.html