云南经济管理学院安宁校区
来源:诚隆伟业 发布时间:2014/9/9 13:44:42 阅读次数:
云南经济管理学院安宁校区
校园网解决方案
锐捷网络
2010年7月
目 录
随着云南经济管理学院安宁校区的建设,学校逐步将把教学、办公、学生宿舍等搬迁至安宁校区。为了保障安宁校区能够如期满足搬迁老生迁入、新生接待、实现正常办公和教学,需要在学校整体搬迁之前实现安宁校区的网络覆盖,新老校区网络的连通。
1. 高性能高可靠网络基础架构需求
如今校园网内业务数据逐步从文字类信息转变教学视频、多业务应用、高效数据中心等数据应用,同时在Web2.0 网络时代,从传统应用的网页访问,收发邮件等,到现在的网络中越来越多的多媒体应用,主要包括VoIP、IPTV、视频会议和视频点播。这些应用的最大特征就是对于带宽要求高并且对时延非常敏感,这些需求,对于现有的千兆核心网络已经完全不能很好响应和满足。
因此建立高可靠高性能的万兆核心尤其对于提升上万个左右信息点的云南经济管理学院安宁校区校园网使用效率来说,尤为迫切。
2. IPV6应用和部署需求
目前各高校的校园网主要以IPv4网络为主,但目前在校园网中IPv4网络存在如下问题:
l IP地址资源短缺
中国IP地址严重不足是众所周知的问题。在高校同样也存在严重的IP地址不足的问题,地址不足使得校园网内用户访问Internet只能通过NAT地址转换,使得高校师生难以直接和国外同行简立起直接的端到端的连接,为高校师生的学术研究和交流带来极大的不便。
l NAT导致的严重问题
确实,NAT技术很好地解决了现阶段地址资源不足的问题,但这样的解决方案也是有代价的。首先,NAT破坏了全球惟一地址的模型与地址的稳定性。其次,NAT破坏了对等网络的模型,直接导致了很多点对点的业务无法开展。第三,NAT的存在直接导致了许多网络安全协议无法执行,QoS更加无法保障;更重要的是,NAT的使用导致出口性能严重下降,使得出口成为瓶颈。
l QoS的问题
如何在IPv4 的“尽力而为”的基础上实现可靠安全的传输一直是困扰互联网发展的一大难题。目前互联网所提供的服务是“尽力而为”的,得不到质量保证,这显然是不能令人满意的,尤其是对那些实时性要求较严的服务。这同样限制了国内外高校之间学术活动的开展和交流,对高校师生在Internet上的学术研究也有很大的窒碍。
上述问题靠IPv4本身是难以解决的,要解决这些问题只有利用一种新的协议来替代IPv4,那就是IPv6。所以建立起IPv6校园网并逐渐取代IPv4已经是很实际的需求。
同时,高校作为学术研究的基地,抢占IPv6技术制高点也同样是迫切的事情,建立起IPv6校园网以推动高校师生对IPv6技术的研究和实践,也是迫切需要的。
l IPV6应用需求
IPv6协议具有很多优点,学术研究基地的高校也正致力于将IPv6协议的诸多优势转换到高校的网络应用中去。依据下一代因特网特性以及未来高校可能的网络应用需求,可将IPv6在高校的应用开展分基础应用服务升级与高级应用服务开展两部分。基础网络服务旨在将现在已有的服务系统如何实现双栈并存和无缝转换以保障业务的连续性,涉及DNS、DHCPv6、WEB和FTP等服务。高级应用服务针对未来网络性能与需求解决如何在过渡期以及纯IPv6协议里得到更好地扩展,主要包含校园网门户系统、视频直播应用、高清视频会议应用、IPv6网格技术等应用服务。
信息化建设的不断推进,使得校园网络建设日趋完善;学校的教学、办公、科研已越来越依赖于网络平台。随着网络技术的不断发展,各种安全事件层出不穷,消除网络安全问题已成为我们信息化部门考虑的焦点。
Ø 设备自身的安全需要稳定和保障
目前在内网安全事件中,出现从攻击主机、服务器转为攻击网络设备的趋势,网络设备特别是网络核心设备遭受攻击将导致设备死机、重启、CPU利用率100%等严重问题,从而导致整个网络通信中断,造成灾难性后果,因此如何保障网络设备自身的安全性、稳定性成为学校在建设网络、选择网络设备时需首要考虑的问题。
Ø 网络攻击的防护
网络中各种攻击病毒泛滥,常见的如ARP攻击、DDOS攻击、IP地址盗用、DHCP服务器私设对日常网络访问造成严重影响,因此在网络建设时需要网络设备自身具备各种抵御攻击的安全防护能力,对常见攻击行为进行有效的防护。从而保障整个网络的稳定可靠运行。
Ø 应用的安全访问
随着网络应用的不断增加,对应用的访问控制需求也日益严格,如财务系统的数据属于学校的、机密数据,需要对校园网用户进行安全访问控制,确保只有授权用户可以访问,而其他用户应拒绝其访问,类似的应用安全访问需求很多,如何对网络访问行为进行有效的控制,确保数据的安全,也是需要有效解决的安全问题。
Ø 设备的安全管理
随着网络规模的不断增大,对网络设备的集中管理、远程管理已成为网络管理的常用方式。但传统管理技术中管理信息如用户名、密码等关键字段在网络上都是以明文进行传输,很容易被窃取,从而使黑客轻易的获得设备的控制权,更改设备配置,导致网络应用中断。因此网络设备管理的安全也是另一个需要重点考虑的问题。
Ø 终端的主机安全要求
70%以上威胁网络安全的攻击行为都是来自校园网内用户;内网防御能力弱,病毒、木马泛滥;“合法用户”的“非法行为”危害巨大;常规手段难以及时发现并阻断攻击行为;发生的安全事件不能审计到人,无法进行有效处理。
同时、网络中大部分被攻击事件是由于Windows系统补丁未更新,系统存在致命漏洞;没有按规定安装杀毒软件及防火墙,成为病毒和木马的温床;用户随意安装违禁软件,不规范使用网络;上述问题造成了病毒和攻击在校园网内的泛滥,影响校内办公教学等正常应用的开展。
因此做好网络防护,规范用户使用网络的行为,保证网络设备安全、应用安全、业务系统和数据的安全是本次网络建设非常重要的部分。
随着数字化校园网络建设的推进,为了让凝聚了巨大人力物力投入的信息基础设施发挥出其效益,保障整个信息系统的平稳可靠运行,需要有一个可从整体上对包括IP网络,存储,安全等组件在内的IT基础设施环境进行综合管理的平台,并能够提供业务系统运行异常的实时告警和进行图形化问题定位,性能趋势分析和预警,能够基于关键业务系统的角度,以业务重要性为导向进行事件处理和通知。
由于信息系统是一个包括了众多软件,硬件技术,设计多厂家产品,从网络,安全,存储,计算到中间件和应用的复杂异构环境,而且随着数字校园信息建设的深入和持续优化和发展,这个复杂庞大的基础设施,还会随之不断进行演进,在产品,技术和网络结构,业务关系上不断发生变化,因此,要求针对该环境进行管理的系统具有良好的可扩展性,能够将下层网络和的复杂度有效的通过抽象屏蔽起来,并向上层应用和运维流程开放稳定的接口。
因此,新一代大型的数字校园网需要通过面向关键业务的基础设施管理,让IT投入的效益的到最大化的体现,并能够在网络和信息团队运维资源有限的条件下,让校园的服务品质和管理水平得以提升。
1. 总体原则
高速、安全、稳定、可靠、可管可控、可运营;
2. 先进性的原则
校园网的设计要充分应用已经成熟的先进技术,如:IPv6技术,无线接入技术,使校园网在未来数年内保持先进;
3. 可扩充性
要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地;
4. 开放性:
开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控,实现设备的统一管理;
5. 安全可靠性
设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施;
6. 整体规划分步实施
充分考虑整体的需求,并可以实现校园网建设分步实施,后期建设不浪费原有的投资。
7. 经济、实用的原则
本方案具有良好的性能价格比,在条件满足系统需求的条件下,尽量减少投资。
云南经济管理学院安宁校区校园网具备用户数量众多、用户水平多样化、业务应用复杂、网络流量大的特点;整个校园网网建设方案设计完成后,需要保障用户高速、安全、快捷的访问校园网业务和互联网业务,同时需要保障校园网业务的安全、稳定、高速的承载。整个校园网按照模块化、功能化的思路设计,总体分为几个步骤:
1、设计一个高速、稳定的网络硬件基础平台
网络基础平台是提供校园网业务承载、用户访问校园网业务和互联网业务的基础。此硬件基础平台按照接入方式分为有线接入、无线接入、VPN接入;按照业务支撑分为IPV4、IPV6业务。此部分的设计完成满足用户的基本校园网接入以及高速的、正常网络的访问。
2、设计安全保护体系
在当前病毒、木马、网络攻击泛滥的网络时代,只提供一个高速稳定的网络硬件基础平台不能完全的保障用户可以高速、稳定、安全的访问网络业务。此部分的设计完成,满足用户真正意义上安全、可靠、高速的访问网络业务。
3、设计综合管理平台
整个网络系统建设完成投入使用后,后续的网络运维是保障网络稳定、正常运行的重要措施。此部分设计完成,满足网络运维部门在网络维护中方便、快捷、人性化、可视化的对网络管理。
1) 先进性和成熟性
系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证贵校网络建设的领先地位,网络主干设备选用高带宽的、千兆位及万兆位线速路由交换技术。
2) 高性能
系统建设应始终贯彻面向应用,注重实效的方针,保证系统具有足够的数据传输带宽,并为可预计的业务提供足够的系统容量和提供QOS,COS服务品质,建设云南经济管理学院安宁新校区的高性能网络系统,保护用户的投资。
3) 开放性
系统设计需要考虑到开放性的设计,在网络的建设方面,系统的设计在每一个原则上进行网络设计时候,具有非常好的扩展性,并且可以非常好的和将来的技术标准平滑过渡升级。
4) 可靠性和稳定性
在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。方案中涉及核心层设备,要求提供电源备份,模块的热插拔维护。核心层设备的系统模块,如交换引擎、电源模块等均能1+1冗余备份。在网络结构设计中,也考虑了一定的冗余和负载均衡,保证网络高可用性。
5) 可扩展性和管理性
为了适应系统变化的要求,必须充分考虑以最简便的方法、最佳的投资,实现系统的扩展和维护,建议全线采用可网管产品,提供堆叠、集群功能,降低了人力资源的费用,提高网络的易用性、可管理性,同时又具有很好的可扩充性,实现网络的可维性。
根据全网结构层次化、模块化、功能化的思路,云南经济管理学院安宁校区校园网按照网络构架设计为4个模块,分别为:出口区域、核心骨干网、汇聚网、接入网。按照网络带宽设计为万兆核心、万兆汇聚、千兆接入、百兆到桌面。
校园网拓扑图: 
出口区域主要负责承担整个校园网的数据转发、流量控制、安全防护、安全审计、远程VPN接入等功能。同时包含DMZ区域,部署DNS、WEB、Email等对外应用服务器,为外网提供相关资源访问服务。
1) 设备配置
配置1台千兆流量控制引擎RG-ACE2000;
配置1台边界高性能NAT路由器RG-NPE50E;
核心交换机配置高性能防火墙板卡;
2) 部署设计
1、 1台千兆流量控制引擎RG-ACE2000,通过千兆链路与RG-NPE50E对接,提供进出校园网的带宽保障。
2、 1台高性能边界NAT路由器NPE50E,通过千兆流量控制引擎RG-ACE2000对接,提供高速的NAT转发性能,保障校园网数据到Internet的高速转发。
3、 核心交换机部署高性能防火墙板卡,通过在核心交换机上部署进出校园网的数据安全侧率,保护校园网的安全。
4、 多条Internet链路与CERNET链路直接通过光纤接入一台NAT路由器NPE50E,CERNET。
1、通畅高效的传输平台
1) 边界NAT路由器采用NAT与REF(锐捷快速转发)高效配合,并充分利用x-flow技术,实现高速的NAT转发。
2) 智能选路技术和智能DNS解析技术提高网络访问效率
Ø 智能DNS解析
为了让校园网对外开放的资源能够更快捷的让外部网络用户所访问,则需要合理引导外部网络用户所访问的路径。例如,通过智能DNS解析功能,在电信网用户访问校园门户网站域名时,自动解析成电信网IP,从而引导电信网络用户从我校的电信网链路访问我校校园门户服务,当教育网用户访问时,则解析成教育网IP,引导教育网用户从云南经济管理学院的教育网链路进行访问。由此为外部网络用户提供一个动态最优的访问路径。
Ø 智能选路
针对网络内部用户,对Internet资源的访问。简单的,可以通过所访问的目的地址进行区分,访问电信走电信线路,访问联通走线路。但是,对于2条以上链路,以及同一运营商有多根相同链路情况下(如2根电信),是无法区分目的地址的。此时,NPE能够通过线路带宽大小、线路带宽利用率、链路响应等因素综合分析判断,智能的为用户选择最快速最优的访问线路。
2、多链路负载与备份功能
云南经济管理学院校园网有多条出口线路,包括Internet、Cernet、Cernet2。为了提高出口带宽的整体利用率,同时提供链路冗余备份,边界连接层提供多链路负载均衡与备份功能。在任意一条广域网链路发生故障时,能够自动将流量自动切换到其他广域网链路。
3、可靠的传输平台
安宁校区出口区域和校本部出口区域均通过冗余的方式保障出口区域的可靠使用。流量应用控制引擎的Bypass功能,在出现异常或超负荷的情况下自动转换,保障数据不间断的转发。
4、出口区域的IPV6支持
安宁校区出口区域支持IPV6数据的转发。校本部出口区域核心骨干路由器,具备丰富的IPV6策略、IPV6数据高速转发,有效保障校园网IPV6业务与CERNET2网络的对接。
5、精细合理的带宽管理
Ø 准确识别各种应用:基于DPI(Deep Packet Inspect,深度包检测)技术,实时的、可视化的了解用户访问Internet的应用情况、流量情况、带宽情况,可灵活的对各种应用做策略控制,保障学校关键业务的应用。
Ø 嵌套方式的带宽管理
对用户上网的PtoP流量做灵活控制,保障用户使用PtoP应用的同时,可以顺畅的浏览网页或者做其他应用。通过此种方式的管理,既保障了学校出口带宽合理利用,同时提升了用户的体验效果。
6、校园网安全的有效保护
1、用户进出校园网的报文过滤
通过访问控制列表(ACL)实现了灵活的各种粒度的报文过滤 ,包括:标准ACL 、扩展ACL。
2、状态检测
基于六元组来识别网络流量,并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤,包括:报头检查 、IP分片支持、特殊应用协议支持等。
3、攻击防御
基于状态检测可以防御的各种网络攻击包括:IP畸形包攻击、IP假冒、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardrop、Land、ping flood、UDP Flood等等。
4、内容过滤
能够针对URL地址进行灵活地分类,并应用到各种策略上,实现基于用户策略的URL访问过滤。能够对内容过滤,实时将带有病毒、木马的数据流进行过滤阻断。
核心骨干的功能主要是实现骨干网络之间的数据高速传输,核心骨干网设计任务的重点是提供高可靠性及高速数据传输的能力。网络的控制功能应尽量少在骨干网上实施,而是在汇聚层进行策略的实施。核心骨干网一直被认为是所有流量的最终承受者和汇聚者,承担校园网骨干的高速数据交换。所以对核心骨干网的设计要求达到以下要求:
l 高速
云南经济管理学院安宁校园网预计在1.5万个信息点左右。大量的用户、复杂的网络应用,会产生大量的网络流量。而核心骨干网是承载这些流量的主体,所以对核心骨干层网必须实现万兆的高速转发,并且能在学校未来应用业务对网络带宽要求更高的情况下,简单、经济的升级到十万兆。在这种情况下,对构建核心骨干层的核心交换机必须具备万兆交换能力,且支持十万兆交换的扩展。
l 稳定
核心骨干网是校园网数据转发的中心,一旦出现不稳定,将会导致全网瘫痪。因此,核心骨干层网络的稳定是不言而喻。核心骨干网的稳定,除了需要部署高稳定性和高安全性的核心交换机以外,还需要对网络结构部署冗余,且此冗余能够达到毫秒级的恢复速度,以便在故障发生时能够快速恢复,不影响业务的正常应用
云南经济管理学院安宁校区校园网总共设计2核心节点,在每个核心节点部署一台万兆核心交换机RG-S8606,并通过光纤链路将两台核心交换机互连。实现万兆的核心骨干网。并在核心交换机上部署高性能防火墙板卡与IPFIX流量分析板卡。
1、 高性能设计
1) 设备的高性能
A. 核心交换机每线卡200G交换容量,支持未来100G接口扩展,十万兆架构
B. 采用LPM+HDR技术提升路由处理效率
最长匹配(LPM)三层路由处理技术,在没有第一次CPU参与路由的情况下,交换机把直连路由、静态路由、动态学习到的路由都直接自动下载到硬件路由转发表,并且支持一个网段目的IP地址使用一条硬件转发路由表项,而不明目的网段IP地址的数据包(例如病毒和攻击行为数据包)直接通过缺省路由转发,设备在处理非主机路由时不占用任何CPU资源的,同时极大地节约了存储空间,没有存储空间溢出问题,即使在病毒和攻击网络环境下依然可以良好地运行。设备支持主机直接路由(HDR)技术,在没有第一次CPU参与路由的情况下,在ARP协议运行过程中直接自动把主机路由表下载到硬件路由转发表。从而不占用CPU资源,没有“一次路由、多次交换”的效率影响。
C. 扩展路由技术提升路由处理效率
Ø 基于每个SVI接口的default route配置
基于SVI接口的缺省路由优先级比基于整机的缺省路由优先级高,所以,当需要为缺省路由设置备份线路的时候可以使用该功能很好地实现。
Ø ECMP/WCMP(Equal-Cost Multipath Routing/ Weight-Cost Multipath Routing)
在拥有多条不同链路到达同一目的地址的网络环境中,如果使用传统的路由技术,发往该目地址的数据包只能利用其中的一条链路,其它链路处于备份状态或无效状态,并且在动态路由环境下相互的切换需要一定时间,而等值多路径路由协议(ECMP)和权重多路径路由协议(WCMP)可以在该网络环境下同时使用多条链路,不仅增加了传输带宽,并且可以无时延无丢包地备份失效链路的数据传输。
Ø 基于目的IP地址的策略路由
在拥有多条不同链路到达同一目的地址的网络环境中,使用基于目的IP地址的策略路由可以在多条链路间实现等值负载均衡和相互备份。
Ø 策略路由
在拥有多条不同链路到达同一目的地址的网络环境中,策略路由功能可基于数据包的源IP地址、目的IP地址、协议字段、TCP/UDP源端口号、TCP/UDP目的端口号等特征进行多条出口链路间的灵活选择和相互备份。
Ø 交换机支持QOS及组播,保证关键业务流
交换机要支持802.1P、端口优先级、IP TOS、二到七层流过滤等QoS策略,具备MAC流、IP流、应用流等多层流分类和流控制能力,实现带宽控制、转发优先级等多种流策略,提供多种组播支持技术
2) 网络的高性能
核心骨干网提供10G的高速带宽,保障整个校园网数据的高速转发。
2、 高可用设计
1) 设备的高可用
A. 核心交换机高可靠的架构设计
Ø 数据转发层面和网络协议控制层面严格分离,不同业务数据(如管理数据、协议报文、转发报文等)由不同平面处理,底层稳定、可靠。
Ø 全分布式业务处理。将设备管理、业务处理功能分布到每个线卡而不是集中在引擎处理,降低引擎压力同时保证稳定性。
B. 核心交换机业界领先的模块化设计
与业界采用单一代码库的设计相比,RGOS率先采用标准POSIX接口实现模块化设计。目前Cisco IOX、Juniper Junos系统均采用模块化设计保证系统稳定性。
模块化设计:系统内核通过POSIX连接各功能模块。各功能模块独立,故障隔离,提升新功能开发测试效率和系统稳定性。
C. 核心交换机高背板、高交换容量、高包转发率,保障网络的高速转发
D. 核心交换机4个业务槽位,足以支撑未来业务的扩展
E. 核心交换机双引擎、双电源、各种模块热拔插热备份技术,保障设备24小时不间断工作
F. 核心交换机NFPP基础安全保护策略隔离攻击源
G. CPU保护技术避免异常流量和攻击流量对设备可用性的威胁。
H. VSU技术保障跨机箱管理板冗余
在VSU运行过程中,主机箱实时地把配置同步到从机箱,如果主机箱的管理板出现故障,从机箱将接替主机箱继续管理VSU。主机箱的管理板出现故障,相当于把原来的主机箱热拔出,现在留在VSU中的成员就只剩下原来的从机箱。
I. VSU技术保障协议热备份
单播路由协议OSPFv2和BGP支持GR技术。当主机箱出现故障时,从机箱切换成主机箱的过程中,线卡可以利用已有的路由信息,不间断地转发IP报文。
J. VSU技术保障跨机箱聚合链路
VSU和外围设备通过跨机箱聚合链路连接,当外围设备和一台VSU成员相连的链路发生故障时,可以快速地把数据流转移到和另一台VSU成员相连的链路上,所需时间在50ms内。
汇聚网主要负责接入的汇聚和核心层连接,扩大核心层设备的端口密度和种类,汇聚各区域数据流量,实现骨干网络之间的优化传输,是各种策略主要实施的一层。区域汇聚层设计为连接本地的逻辑中心,汇聚交换机负责本区域内的数据交换,众多策略的实施,将不要的流量隔离在区域汇聚层以下,从而大大减轻核心层设备的数据交换负担,因此仍需要较高的性能和比较强的策略实施能力。
考虑到安宁校区每栋楼的信息点比较多,特将每栋楼作为一个汇聚点,部署一台支持万兆的汇聚交换机RG-S5750。并通过双光纤链路千兆连接到两台核心交换机。。
1. 高性能设计
Ø 设备的高性能
A. 采用LPM+HDR技术提升路由处理效率
最长匹配(LPM)三层路由处理技术,在没有第一次CPU参与路由的情况下,交换机把直连路由、静态路由、动态学习到的路由都直接自动下载到硬件路由转发表,并且支持一个网段目的IP地址使用一条硬件转发路由表项,而不明目的网段IP地址的数据包(例如病毒和攻击行为数据包)直接通过缺省路由转发,设备在处理非主机路由时不占用任何CPU资源的,同时极大地节约了存储空间,没有存储空间溢出问题,即使在病毒和攻击网络环境下依然可以良好地运行。设备支持主机直接路由(HDR)技术,在没有第一次CPU参与路由的情况下,在ARP协议运行过程中直接自动把主机路由表下载到硬件路由转发表。从而不占用CPU资源,没有“一次路由、多次交换”的效率影响。
A. 扩展路由技术提升路由处理效率
Ø 基于每个SVI接口的default route配置
基于SVI接口的缺省路由优先级比基于整机的缺省路由优先级高,所以,当需要为缺省路由设置备份线路的时候可以使用该功能很好地实现。
Ø ECMP/WCMP(Equal-Cost Multipath Routing/ Weight-Cost Multipath Routing)
在拥有多条不同链路到达同一目的地址的网络环境中,如果使用传统的路由技术,发往该目地址的数据包只能利用其中的一条链路,其它链路处于备份状态或无效状态,并且在动态路由环境下相互的切换需要一定时间,而等值多路径路由协议(ECMP)和权重多路径路由协议(WCMP)可以在该网络环境下同时使用多条链路,不仅增加了传输带宽,并且可以无时延无丢包地备份失效链路的数据传输。
Ø 基于目的IP地址的策略路由
在拥有多条不同链路到达同一目的地址的网络环境中,使用基于目的IP地址的策略路由可以在多条链路间实现等值负载均衡和相互备份。
Ø 策略路由
在拥有多条不同链路到达同一目的地址的网络环境中,策略路由功能可基于数据包的源IP地址、目的IP地址、协议字段、TCP/UDP源端口号、TCP/UDP目的端口号等特征进行多条出口链路间的灵活选择和相互备份。
Ø 交换机支持QOS及组播,保证关键业务流
交换机要支持802.1P、端口优先级、IP TOS、二到七层流过滤等QoS策略,具备MAC流、IP流、应用流等多层流分类和流控制能力,实现带宽控制、转发优先级等多种流策略,提供多种组播支持技术
2. 高可用设计
1) 汇聚交换机CPU保护技术避免异常流量和攻击流量对设备可用性的威胁。
2) 汇聚交换机上行双链路通过核心交换机的VSU技术,提供链路的冗余与负载均衡,
3) 基础安全保护策略(NFPP)实现异常攻击检测并自动下发安全策略隔离攻击源。在保证核心稳定同时,杜绝了安全攻击。
校园网网络流量中,不可避免的会出现大量的病毒、攻击,如ARP攻击、MAC地址攻击等。而接入层是校园网的边缘,同时也是威胁校园网安全的数据进入校园网的入口。
接入层是和用户对接的接口,从用户端到接入交换机之间是一段不安全的区域。此区域出现故障的几率比较大,往往在日常网络维护当中,90%的维护量都是来自于此区域。所以,如何通过接入层设计减少此区域故障的发生,是减轻网络维护压力的首要考虑因素。
1. 物理部署设计
安宁校区新建学生区域的信息点众多且集中,设备部署位置也较集中。考虑到用户业务应用带宽情况以及管理方便情况,将该区域的接入设备直接与汇聚交换机千兆级联使用。
2. 策略部署设计
1) 在接入交换机部署环路保护协议,并设置自动恢复时间。防止用户在私接交换机的时候不小心搭建成环路,导致网络广播风暴,并在环路消除后端口自动恢复到通信状态,不需要人为的干预。
2) 在接入交换机部署线路检测功能。一旦用户网络链路不通的情况下,可以方便快捷的检测链路质量并定位故障点。
3) 在接入交换机部署单向链路检测功能,方便在链路出现故障时,快速定位并排除线路故障
4) 在接入交换机部署DHCP SNOOPING绑定功能,防止用户私接DHCP服务器而导致其他用户获取错误IP,不能正常上网。
5) 在接入交换机部署防ARP网关欺骗功能,防止用户的网关ARP欺骗攻击。
6) 在接入交换机部署防DDOS攻击功能,防止用户端得DDOS攻击。
7) 在接入交换机部署CPU保护功能,防止设备自身被攻击时,设备还可控制
1. 接入交换机丰富的安全策略,将网络威胁控制在网络的边缘
2. 接入交换机丰富的管理策略,将接入层日常维护量缩减到最小
目前可以采用的无线网络架构有智能型接入点(胖AP)的传统分布式结构和WLAN无线交换机为核心+简单接入点(瘦AP)的集中式管理架构。
胖AP架构它面临的问题显而易见:对AP必须逐一管理、单个进行;不可能在整个系统内查看到网络可能受到的攻击与干扰,从而影响了负载平衡的能力;AP不能区分无线话音等实时应用与数据传输应用的不同需求;如果某个接入点遭遇盗窃或破坏,安全将得不到保证。适合于小范围的SOHU、家庭无线部署;
瘦AP架构是目前主流的架构发展方向。该架构通过集中管理、简化AP来解决这个问题。在这种构架中,无线交换机替代了原来二层交换机的位置,“瘦”AP取代了原有的企业级AP。通过这种方式,就可以在整个无线网络范围内把安全性、移动性、QoS和其他特性集中起来管理。适合于大规模的无线部署环境。
在云南经济管理学院未来的大规模无线校园网的项目中,建议采用更为先进、更易管理的AP+AC的无线网络架构。
1、覆盖模式选择
针对WLAN技术来说,覆盖模式有以下几种:802.11a、802.11b、802.11g、802.11n;其中802.11a是工作在5.8GHz频率上,传输带宽为54Mbps;802.11b是工作在2.4GHz频率上,传输带宽为11Mbps;802.11g是工作在2.4GHz频率上,传输带宽为54Mbps;当前校园有线以太网络骨干带宽正在已经从百兆、千兆向万兆迈进,对于处于接入层的设备而言,百兆以太网已经成为目前可以接受的速率标准。对于同样处于接入层的无线设备而言,传统的802.11b所提供的11Mbps的速率已经无法与有线网络相比,因此在传输较大容量报文数据的时候,常常显得力不从心。
经过近年来的不断发展,802.11n协议技术已经成熟,IEEE802.11n规范很可能在九月得到批准,使得高速无线局域网技术经过7年的争论和改进终于可以正式发布。凭借802.11n协议自身的巨大优势,11n很快就会成为市场中新的主流。
802.11n的新标准将超越原先的802.11g标准。此前基于802.11g研发的产品只能提供54Mbps的吞吐量。由于自身具备多种优点例如:拥有可与有线网络相媲美的传输速度、无线网络特有的优良移动性和MIMO技术高抗干扰性等特点:
1.传输速率提升3-10倍
802.11n可以将WLAN的传输速率由目前802.11g提供的54Mbps提高到300Mbps,甚至高达600Mbps。即在理想状况下,802.11n将可使WLAN传输速率达到目前传输速率的10倍左右。
2.覆盖范围到几平方公里
802.11n采用智能天线技术,通过多组独立天线组成的天线阵列系统,动态地调整波束的方向,802.11n保证让用户接收到稳定的信号,并减少其它噪音信号的干扰,覆盖范围可扩大到好几平方公里,这使得原来需要多台11g设备的地方,只需要少量11n产品就可以了,不仅方便了使用,还减少了原来多台11g产品互联通时可能出现的信号盲点,移动性大大增强。
3.全面兼容各标准
802.11n采用软件无线电技术解决了不同标准采用不同的工作频段、不同的调制方式造成系统间难以互通、移动性差的问题,这样,不但保障了与以往的802.11a、11b、11g标准的兼容,而且还可以实现与无线广域网络的结合,极大的保护了用户的投资。
802.11n协议可以完全满足现有和将来的这些区域无线网络的高带宽需求,并为未来的校园无线语音、无线视频等高带宽网络应用提供了基础。建议在新建的无线校园网一定要预先考虑好网络的容量和带宽增长的预期,采用802.11n技术将是云南经济管理学院的正确选择。
对于室内的无线覆盖设备必须具备较强的抗同频干扰能力、高接收灵敏度和很好的障碍物穿透能力;在室内区域,由于大型会议厅、楼层办公室、阶梯教室内部需要多角度立体式覆盖。
设备的选型根据所覆盖区域用户的密集程度和并发用户的多少,采用802.11g或802.11n部署;无论选择哪种方式覆盖,在同一楼层多个频段覆盖,要采用交叉频率覆盖,可以采用的独立互不干扰的频率为1、6、11;这样才可以保证不会产生无线干扰的问题;AP点部署的间隔大约25-40米左右;视现场的阻挡环境而定;即保证了最小的无线干扰,有保证了无线覆盖物盲点,同时,选择的室内AP应该具备智能功率调整和信道自动选择技术,可根据环境自动调整信道发射功率,避免无效发射和近距离大功率地面压制,同时,智能信道选择技术,可避免在同区域受到邻近频段设备的干扰,避免因同频干扰导致的工作不稳定和接收灵敏度下降。同时
室内的无线覆盖,室内AP部署在走廊的顶上,采用全向的吸顶天线部署,AP设备可以安装在走廊的就近的以太网口附近;注意天线和AP的距离不要太远,最好在5米以内;室内的AP的射频功率为20dBm(100mW),并随机配有7dBi智能全向式天线系统。可在整个室内创造完全覆盖的信号覆盖强度;
对于室外产品在发射功率和覆盖面积方面有更高的要求,同时还必须具备抗雷击、防雨、防潮、抗高低温、阻燃等多项指标。在室外区域,包括了三个校区的室外广场、绿地、体育场场看台等区域。需求覆盖半径最大可达到200米,而且覆盖范围呈不规则状态,部分区域覆盖面积超过了180度。
室外区域分布有较高、密集的建筑群和植物群,这对于信号的阻挡将是较大的障碍。因此,我们建议选用专用的室外大功率无线AP产品,配置使用90度扇区的定性高增益天线,可以保证无障碍下的1000米半径覆盖以及近距离的多重障碍物的穿透能力,完全保证了诸如广场、体育场看台等区域的信号覆盖品质。
无线室外覆盖,建议部署在校内的制高点上,同时采用高增益的定向天线向指定的无线覆盖区域,进行无线覆盖;同时,亦可以根据覆盖范围的临时改变而灵活调整;
在校园中常见的无线客户端中如内置迅驰芯片的笔记本电脑、无线网卡,主要使用的是基于标准802.11b/g协议的产品,该标准工作在2.4GHz频段,共设11个子信道,但是由于子信道分布的重叠性,在该频段内最大不会互相重叠的信道只有3个,即在校园的某一个区域,同时接收到的无线信号所占用的子信道将不能超过3个,否则就会产生干扰,结果是带来信道带宽的共享、杂波的增加、以及传输效率的降低。该问题在室外环境尤为突出。
无线网状网系统采用微蜂窝体系结构,在频率配置上同GSM系统基本相识。要考虑到信道之间的隔离,以避免系统自身设备的相互干扰。
在无线网状网频率配置设计中一般遵循覆盖采用2.4G频段,这是因为目前绝大多数无线终端均工作在2.4G频段。在2.4G可使用的信道如下:
|
Channel
|
MHz
|
|
1
|
2412
|
|
2
|
2417
|
|
3
|
2422
|
|
4
|
2427
|
|
5
|
2432
|
|
6
|
2437
|
|
7
|
2442
|
|
8
|
2447
|
|
9
|
2452
|
|
10
|
2457
|
|
11
|
2462
|
相邻信道频率有重叠,其中互不重叠的信道只有3个:1,6,11在本方案设计中使用互不重叠的信道1、6、11进行设计。
天线参考选用
|
室外系统
|
|
|
室内系统
|
2400-2483 全向吸顶天线 5dBi 垂直极化
|
参考选用天线外观
2.4G 14dBi 90°定向天线 吸顶天线
1. 整体架构部署设计
云南经济管理学院无线网络采用瘦AP+AC的方式部署。在安宁校区核心机房部署一台千兆无线交换机,通过光纤千兆连接到核心交换机。AP的部署位置通过根据实际工勘后确定,并通过POE的方式为AP供电,
2. 覆盖模式设计
云南经济管理学院无线网络全部采用802.11n的方式实现,同时兼容802.11a/b/g,为用户提供高速的无线访问网络。
3. 无线故障自动保护设计
云南经济管理学院无线网络故障自动保护设计采用AP智能转换技术。
当AC故障时,AP自动切换到“胖”AP的工作模式下,其配置信息是又先前的AC下发的;AP按照先前的培训信息继续工作,对用户的业务不影响;
工作在此状态下的AP,继续探测AC的状态,当AC恢复正常,AP和AC建立起正常连接;AP有恢复到原有的智能瘦AP的工作模式下。
6 校园网IPV6网络设计
1) 保证IPv4应用的正常应用
IPv4网络中的应用已经支持了大量的用户,IPv6网络要对现有IPv4应用提供支持方案,不能对现有的业务造成影响,这种影响包括业务性能的影响、网络可靠性的影响以及网络安全性的影响等多方面。
2) 网络要具有扩展性
IPv6技术依然在发展之中,IPv6网络的建设也不可能一步到位,会是一个逐步建设完善的过程,因此当前的IPv6网络方案要易于扩展,方便将来的网络升级。
3) 最大限度地保护既有投资
在进行IPv6网络方案设计时,需要结合现有校园网的实际情况,考虑到现有网络的既有投资,提出很好地保护既有投资的网络解决方案。
4) 要保证网络的稳定性和可靠性
和IPv4网络设备相比,现有IPv6网络设备还处于逐步成熟和完善之中,有可能会影响IPv6网络的稳定性和可靠性,因此推荐的IPv6网络方案要能够充分保证网络的稳定性和可靠性,保证不会对网络的服务质量有明显的影响。
5) 网络方案要能够发挥IPv6的技术优势
IPv6技术的提出主要是为了解决IP地址空间不足的问题,但也增加了一些其他功能,比如网络安全性支持能力、网络组播等。在组网技术方案中应该考虑如何使这些技术优势得以发挥。
6) 网络方案设计要考虑周全
在设计网络方案时,一方面要考虑到IPv4/v6长期共存,另一方面也要考虑到将来网络全部采用IPv6的可能。因此,网络方案要注意所选技术能够支持网络的平滑过渡,不会形成将来网络过渡的新障碍。
7) 支持IPv4业务与IPv6业务的互通
网络方案要实现IPv4网元与IPv6网元的互联,可以分别支持IPv4业务和IPv6业务,同时要考虑将来能够支持IPv4业务与IPv6业务的业务层面的互通。
8) 要考虑IPv6网络对用户认证和计费方式的支持
目前在IPv4网络中,各高校针对校园网都有各自不同的计费认证方案,在设计IPv6网络方案时要充分考虑对计费和认证方案的支持,不能出现重复计费现象。
网络实现IPv4网元与IPv6网元的互联,可以分别支持IPv4业务和IPv6业务,在校内可以实现IPV6的基础应用和高级应用,使云南经济管理学院在IPV6的教学科研和应用上保持学术和技术应用的先进性。
6.3 IPV6网络设计拓扑
1. IPV6网络出口设计
云南经济管理学院安宁校区校园网的IPV6网络采用IPV4/IPV6双栈出口方式,通过NPE网络出口引擎直接与CERNET2网络对对接。
2. IPV6网络基础平台设计
IPV6内网基础平台采用和IPV4网络公用的模式。即:所有设备均支持IPV6,其中核心交换机、汇聚交换机全部支持IPV4/IPV6双栈,接入交换机支持和IPV6 ACL。
3. 用户IPV6资源访问设计
用户端安装IPV6协议,在汇聚交换机、核心交换机上开启IPV4/IPV6双栈模式,并且部署相关IPV6路由策略。用户既可直接访问校内相关IPV6资源。若用户需要访问CERNET2资源,直接通过校园网IPV6路由与CERNET2网的IPV6路由对接。
通过对云南经济管理学院主要应用业务系统定性的业务影响分析,如下表所示,可以明确看出最主要的安全需求是保障可用性。
1. 根据云南经济管理学院信息网络的结构分析,可将安全风险分成三类。
1)来自外部网络的安全隐患
来自互联网的针对云南经济管理学院信息网络的入侵尝试和攻击行为每天都大量发生。另外,冒用官方网站进行诈骗的(俗称网络钓鱼)违法行为必将越来越多。
2)内部局域网的安全隐患。
据调查,在已有的网络安全攻击事件中约70 %是来自内部网络的侵犯。来自内部局域网的安全隐患包括:传播病毒;内部人员泄密;内部员工对内部应用系统及终端的扫描和入侵;内部人员盗取他人信息等。如果有人蓄意将病毒带入内部网络,或不小心使机器感染病毒,就可能殃及其它计算机甚至整个网络,最终影响云南经济管理学院信息网络安全运行。
3)网络硬件设备本身的安全隐患。
网络设备中包含路由器、交换机、防火墙等,它们的设置比较复杂,由于产品升级造成某些设备安全性不佳或者网络设备发生硬件故障,造成整个网络瘫痪等。
2. 据云南经济管理学院信息网络的软件组成分析,可将安全风险分成两大类。
1) 操作系统的安全风险,
目前的操作系统无论是 Windows还是UNIX作系统以及其它厂商开发的应用系统,都存在不同程度的系统漏洞和后门漏洞,这些漏洞如不能及时修补,将造成重大的安全隐患。
2) 应用系统的安全风险,
应用系统的安全涉及很多方面,总体上可细分为四类:首先是文件服务器的安全风险:办公网络应用通常是共享网络资源,可能存在误把硬盘中重要信息目录共享造成信息泄密。其次是数据库服务器的安全风险,包括非授权用户的访问、系统管理员密码容易被猜测、数据库服务器本身存在漏洞容易受到攻击等。
3) 是病毒、木马侵害的安全风险
随着病毒以万为数量级的增长、变异能力的不断增强以及更具危害性的网络病毒、木马的出现,目前的安全技术无法完全避免被木马、病毒先期感染造成可能信息泄漏、文件丢失、机器瘫痪等危险。
4) 分布式拒绝服务攻击的安全险
分布式拒绝服务攻击是(简称DDOS攻击)通过很多“僵尸主机” (被攻击者入侵过或可间接利用的主机)向目标主机发送大量看似合法的访问请求,从而造成网络阻塞或服务器资源耗尽而导致正常访问被拒绝服务,此种攻击实施难度低,防御成本高,多为网络恶意攻击者采用,也是网络安全防护的重中之重。
根据综合风险分析的结论来看,目前云南经济管理学院数字校园中存在的安全问题主要表现在外因,外部病毒、人员滥用、网络入侵,内部缺乏访问控制,存在网络设施与主机的漏洞,同时相应的技术手段不完善。这些问题的相互作用造成了病毒、入侵攻击、系统滥用对云南经济管理学院的潜在影响非常大。如:各类病毒与入侵攻击者可能利用云南经济管理学院数字校园中存在的脆弱点(典型的如:多个不受控边界入口、设备接入没有控制、关键服务器没有安全加固、终端缺乏控制等),对系统产生影响(如:网络阻塞、系统中断);由于针对性安全技术监视与控制的措施缺乏(如:缺少对入侵行为的检测措施、对非法访问的审计、对终端控制的不足、对网络接入设备缺乏认证、缺乏加固等);造成信息安全体系在应对病毒、入侵、滥用等的风险控制方面难以满足云南经济管理学院业务的安全要求。
根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM(系统安全工程能力成熟模型)和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下9项原则:
1) 网络信息安全的木桶原则
网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的"安全最低点"的安全性能。
2) 网络信息安全的整体性原则
要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。
3) 安全性评价与平衡原则
对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。
4) 标准化与一致性原则
系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。
5) 技术与行政管理相结合原则
安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
6) 统筹规划,分步实施原则
由于政策规定、服务需求的不明朗,环境、条件、时间的变化,攻击手段的进步,安全防护不可能一步到位,可在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。
7) 等级性原则
等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
8) 动态发展原则
要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。
9) 易操作性原则
首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
为了维护网络安全和用户自身利益的考虑,在全网部署安全防护体系。达到内网尽量的干净,从而杜绝现网频繁出现的ARP欺骗和病毒泛滥情况,从而确保校内网络的安全、稳定、可靠。
1) 确保网络设备安全
网络设备和相应系统是网络架构的基础,一旦网络设备崩溃和出现软故障,则网络造成不可用等高危事故,因此网络设备的安全保护是安全网络的基础。
2) 确保网络数据流安全
安全系统在校园网内建立起网络通信防护体系,对网络数据流进行实时监控,侦测并隔离危险网络行为。建立全网立体防御ARP欺骗功能,从可能遭受ARP欺骗攻击的三个层面出发全面防治ARP欺骗带来的危害。
3) 确保用户身份安全
建立成熟可靠的网络身份管理体系,确保入网用户身份的合法有效,将非法用户隔离在内网大门之外。,对每一个试图对接入内网的用户,都要经过安全系统的身份合法性验证,包括用户的账号、密码、IP等关键信息。只有当用户提供了合法有效的身份信息之后,才能允许正常接入并使用网络。
4) 确保用户终端安全
通过建立用户终端安全防护体系,确保入网用户主机终端的安全。安全系统能够通过和多家杀毒软件的联动,强制入网用户必须正常安装、运行指定的杀毒软件。安全系统能够与内网的WSUS服务器进行联动,引导用户使用WSUS的服务进行Windows补丁自动更新,帮助内网的用户主机及时更新操作系统补丁,避免因为操作系统漏洞带来的安全隐患威胁。保护校园网内用户终端的安全。
5) 确保远程VPN用户访问网络的安全
校外办公和差旅用户需要访问校内资源时,认证技术和VPN技术则需要良好的配合,保证VPN用户的访问网络行为能够监控和内网的安全。
依据国家信息安全等级保护体系的要求,全面规划校园网的安全建设。使之可以全面衡量校园网安全建设的情况,保证了校园网的安全建设有体系、有步骤的完成。
国家信息等级保护体系主要包含了:技术要求和管理要求。技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个方面提出;管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,技术要求和管理要求是确保信息系统安全不可分割的两个部分。
云南经济管理学院全网安全设计结合校内认证系统和业界高校采用和推荐的较为成熟先进的安全理念进行设计。本方案包含网络基础平台安全、网络接入安全、用户应用安全、业务数据安全、日志审计体系。
网络基础平台安全:网络设备、网络结构自身具备安全措施,保障在出现安全事件时,网络设备、网络结构可用。
随着交换机应用的逐渐普及,以及网络攻击的不断增多,越来越需要为数据交换机提供一种保护机制,对发往交换机CPU的数据流,进行流分类和优先级分级处理,以及CPU的带宽限速,以确保在任何情况下CPU都不会出现负载过高的状况,这种保护机制就是CPU Protect Policy,简称CPP。
CPP功能早期只是作为某些单一功能出现的,如ARP check,IP sys guard,这一种CPP主要是反攻击的。随着市场应用的逐渐增多,对于CPU保护提出了更高的要求,第二种cpp应用需要对trap到CPU的管理报文进行分类处理,第一类是作为维护基础协议的BPDU、GVRP和VRRP,第二类是作为维护路由协议的PIM,OSPF,IGMP,RIP报文,第三类是作为需要CPU处理的IP数据报文,第四类是堆叠中的管理报文,通过对这些报文的分级处理,确定优先关系,确保在CPU高负载的情况下仍能保证基本的网络拓扑稳定。CPP的第三种应用是对各种报文的带宽限制,这种方式主要根据具体的网络应用环境确定各类报文的带宽限制,以及CPU可以处理的最高总带宽限制。
锐捷网络CPP技术保证了网络的路由稳定可靠,最大程度上避免网络受到攻击的的拓扑震荡。从而为用户提供一个稳定的网络环境。本方案选择的产品S8600系列、S7600系列、S5700系列、无线交换机等设备都具有CPP保护机制。
目前业界已开发了一些用于防攻击的功能模块(比如:ACL、QOS、URPF、SysGuard 等等),通过这些功能模块自行建立攻击检测和保护的机制,并提供对外的管理接口。但实现得不够系统,基本是针对一个问题解决一个问题,在体系上没有统一的框架。从现有的数据帧实现的流程来看,缺乏从流的主干上考虑实施防攻击保护。为了在这个日益重视安全性的环境中应对日益复杂的攻击,锐捷网络开发出一套完整的网络基础保护体系,称之为基础网络保护策略(Network Foundation Protection Policy),简称NFPP。NFPP技术能够对设备本身实施保护,通过对报文流进行限制、隔离,以保证设备及网络可靠、安全、有效地运行。
针对交换机设备而言,数据的路由和交换过程主要由硬件来完成,而CPU主要对控制流、管理流和部分交换芯片无法处理的数据流进行处理,并同时提供交互界面供用户进行本地管理配置。大量的报文流送向CPU,占用了整个送CPU的报文通路的带宽,导致正常的控制流和管理流无法达到CPU,从而带来协议振荡无法管理,进而影响到数据面的转发,如果是核心设备将导致整个网络无法正常运行。NFPP接受报文的端口或者发送到CPU通过对送往CPU的报文进行攻击检测,的场景进行安全检测,采取相应保护措施,从而达到对管理面、数据面和控制面的保护作用。NFPP技术特点有:
Ø 防止多种攻击
NFPP能够防止目前网络上常见的多种攻击手段,包括ARP攻击、ICMP攻击、IP扫描攻击及DHCP耗竭攻击等,形成一套完整的保护体系,为用户提供一个安全可靠的网络平台。
Ø 配置灵活方便
NFPP的用户界面CLI命令设计简单方便,这样使用户无需对相关专业知识有很深认识的情况下,也能完成配置。NFPP所实现的防攻击技术如ARP防攻击、ICMP防攻击都集中在NFPP配置模式下进行配置,且对各种类型防攻击的配置基本相仿,使得用户只须熟悉其中一种配置就可以了。同时,用户可以根据实际需要选择相应功能,即可以选择打开ARP防攻击功能而关闭ICMP防攻击功能。
Ø 整网设备联动
结合锐捷网络的IPFIX流量监控技术,可以基于端口进行流量检测,将流量发送到上层网络管理中心。一旦有异常流量,安全管理平台就立即协助网络管理者发现网络中的非法数据源,并由网络设备联动整网下发NFPP安全策略,最终杜绝攻击保证全网安全。
Ø 支持特权用户
NFPP支持特权用户,即管理者能够设置一些可信任用户为特权用户。设置为特权用户后,就不会对该用户进行监控,即该用户不会被限速,更不会被隔离。需要注意的是,特权用户是针对某种攻击而言,即若该用户为ARP特权用户,仅表示该用户的ARP报文不受监控。
因此NFPP涵盖了设备硬件级别的各种安全措施;作为校园网安全建设的第一道防护线,可以隔绝大多数的安全隐患。同时,给网络带来设备硬件级别的安全,而不会影响数据的转发。
该专利技术可有效保证核心的STP和VRRP拓扑在复杂攻击环境中的稳定,防止业务动荡。在MSTP+VRRP环境中(核心交换设备做网关),例如校园网宿舍区、医院网络,由于汇聚设备(用户网关)下联二层网络,需要处理大量的ARP等二层报文,网关设备负载较重。
MSTP或VRRP等协议均使用定时报文通告机制来自动维护网络拓扑结构,自动适应网络中的拓扑变化。这也造成了网络拓扑易受攻击。当受到人为的网络攻击时,因 CPU 利用率过高或帧通路阻塞等原因,可能造成定时报文的短暂中断,从而造成网络拓扑发生错误的振荡,这给网络的正常通信造成极大危害。
TPP拓扑防护功能正是为了最大限度的防止这种不必要的网络振荡,它与其他分布式协议(MSTP、VRRP 等)协同工作,从而使网络更加稳定、可靠。
针对网络应用日益丰富和复杂,数字化校园也进入管理阶段。本方案设计在各个部署RG-8600系列的分中心设备配置IPFIX业务卡。该业务卡功能使网络管理员及时掌握网络负载状况,网内应用资源使用情况,对核心网络的重点链路进行统计,各类TOP应用百分比,使用各类应用的网内用户、服务器的流量趋势及统计值,迅速发现网络当前的使用状况和不同链路的使用率变化趋势,尽早发现网络结构的不合理,或是网络性能瓶颈,尽快作出网络优化方面的决断,最终实现网络的优化使用,为用户提供高品质的网络服务,并且避免了网络带宽和服务器瓶颈问题。
利用IPFIX日志,网络透明化解决方案提供了一种网络监测、分析的方式,直接从支持IPFIX功能的路由器和交换机中收集流量信息,可以灵活启动不同层面(接入层、汇聚层、核心层)的网络设备进行IPFIX流量日志收集,并将收集的内容以IPFIX 格式的日志输出给Collerctor设备进行分析。 用户使用Analyser的分析功能, 可以做网络使用状况监控、用户行为追踪、异常流量检测等,并且基于功能丰富的报表,从而网络管理工作者可以做网络规划方面的决策。
利用IPFIX流日志以及网络透明化长期监控网络带宽而形成的各类趋势报表,如基于设备接口的长期流量入出趋势,长期流量入出趋势分析,各类应用百分比,有助于网络管理员跟踪和预测网络链路流量的增长,从而能有效的规划网络升级(例如,增加路由服务、端口或使用更高带宽的接口)。
网络应用安全:通过网络应用安全设计,减少用户遭受病毒、木马、攻击的风险,提供一套保障应用安全的措施,提升用户上网体验效果。
出口区域通过防火墙的状态检测、攻击检测、病毒检测等安全策略、安全控制,有效过滤外网进入内网的安全威胁数据,减少内网因为外网带来的安全风险。
整个出口区域提供的安全保障:
5、用户进出校园网的报文过滤
通过访问控制列表(ACL)实现了灵活的各种粒度的报文过滤 ,包括:标准ACL 、扩展ACL。
6、状态检测
基于六元组来识别网络流量,并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤,包括:报头检查 、IP分片支持、特殊应用协议支持等。
7、攻击防御
基于状态检测可以防御的各种网络攻击包括:IP畸形包攻击、IP假冒、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardrop、Land、ping flood、UDP Flood等等。
8、内容过滤
能够针对URL地址进行灵活地分类,并应用到各种策略上,实现基于用户策略的URL访问过滤。能够对内容过滤,实时将带有病毒、木马的数据流进行过滤阻断。
7.4.3.1WEB服务器的安全保障设计
1. WEB安全事件频繁发生,WEB服务器安全威胁风险加大
A. 网页篡改日益严重
B. WEB服务器攻击频发
C. 挂马事件经常发生
挂马:利用公众对网站的信任,肆意传播木马
被挂马网站成为银行盗号、文件窃取、隐私扩散的“毒源”
2. 云南经济管理学院校园网WEB服务器安全保障设计
1、传统WEB服务器安全保障方法:部署防火墙和IDS\IPS
A. 防火墙:
包过滤:检测数据包包头信息进行访问控制,不识别HTTP内容;
状态检测:根据IP报文之间的关系区分出不同会话,可以基于会话进行访问控制,属于会话层的安全防御手段,对HTTP内容仍然无法识别。
B. IPS/IDS:
检测数据包有效负载,比对特征进行攻击防御。IPS/IDS防御特征码主要针对通用的协议或应用漏洞,但是Web网站代码往往由用户自行编写,没有通用补丁。IPS/IDS能识别网络协议,根据每个数据包作出允许还是拒绝的决定,但不还原识别具体的内容,例如不识别网页内容、URL参数、cookie内容、表单输入
2、云南经济管理学院WEB服务器安全保障设计
通过在数据中心部署WebGuard设备来保护WEB服务器,达到以下效果:
A. 防网页篡改
Ø 识别检测HTTP/HTTPS协议内容及具体数据,支持各种web编码,例如ASP、PHP、JSP等。
Ø 检测变形攻击,如检测SSL加密流量中混杂的攻击。
Ø 检测数据表单输入的有效性,为web应用提供了一个外部输入的合规过滤机制,做到事前的检测过滤,安全性更为可靠。
Ø 验证HTTP/HTTPS协议会话的可靠性,弥补HTTP协议会话管理机制的缺陷,防御基于会话的攻击类型,如Cookie篡改及会话劫持等攻击。
B. 危险文件下载检测
危险文件下载进行检查过滤,例如有些使用Access作为数据库的web站点,当浏览一个页面并选择另存为本地的时候,涉及到的Access数据表也同时保存了下来,这样就泄漏了数据库的信息,很可能使黑客获得采取下一步攻击的有利信息。
C. 检测嵌入式程序
实时监控web数据流向,检测过滤web应用流量中的Activex、JAVA applet、iFrame等嵌入式小程序。
D. 为Web应用服务平台提供虚拟补丁,保护WEB服务器
E. 内置防病毒网关,卡住绝大部分攻击
F. 保护Cookie
防止Cookie篡改,校验Cookie内容和客户端IP能防止cookie劫持,加密Cookie内容能防止Cookie内容泄露。Cookie/seesion通常用户用户身份认证,并且可能携带用户敏感的登陆信息。攻击者可能通过修改Cookie/Session提高访问权限,或伪装成他人的身份登陆。
WAPI是无线局域网鉴别与保密基础架构(WAPI )的英文缩写。是无线传输协议的一种,与以上几种不同的是,它是无线局域网中的一种传输协议,与现行的802.11b/g传输协议比较相近。两者最大的区别是安全加密的技术不同;WAPI使用的是一种名为“无线局域网鉴别与保密基础架构(WAPI )”的安全协议,而802.11b/g则利用802.11i安全协议。对于个人用户而言,WAPI的出现最大的受益是 让自己的笔记本电脑从此更加安全。WAPI 是我国自主研发,拥有自主知识产权的无线局域网安全技术标准。WAPI具有比802.11i更有效的安全机制;
2. 无线网络部署入侵检测(WIDS)
一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。多数企业部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,就会使整个网络暴露在非法用户面前。
无线入侵检测(WIDS),主要用于监测,并对监测到的事件做出响应。WIDS可以监测整个WLAN,将由分布式传感器捕获的主要信息流转发到中央服务器。收集这些信息流,将其联系起来,分析安全事故。
日志体系包含了IPFIX网络流量分析系统和ELOG出口日志审计系统;实现内网了安全违法行为进行审查和记录,做到安全违法事件发生后,有据可查,可以追溯到终端用户。
通过IPFIX网络流量分析系统,有助于网络优化、网络规划、异常流量检测。可以及时发现网络中的异常情况,发现安全事件的前兆,为信息中心提供决策的数据。
通过ELOG出口日志审计系统,可以详细记录五元组流日志、NAT转换日志、URL日志、用户身份:姓名、帐号,上网位置、上网主机(MAC)、上网时间,当发生安全时间的时候,可以准确定位追溯到人。
同时ELOG可以和出口设备NPE、ACE、SAM进行联动,能够清晰提供 NAT转换日志,满足公安部82令的行政要求:详细的NAT和访问记录信息。
提供详细的用户访问外网的URL日志:
校园网安全日志审计方案实现了网络流量的透明化;全面地实现了基于用户身份的安全行为记录、审计;做到了事前认证、事中记录、事后审计。
RG-SNC智能网络指挥官是锐捷网络为精确进行网络管理而设计的网络管理系统。RG-SNC专注于网络变更与配置管理,采用友好的全中文Web浏览器界面,可以远程协同维护和管理,采用非代理模式,避免了传统的“Agent”模式的繁琐和重复性劳动,而且便于实施和后期维护,极大地节省了工作时间和工作繁杂度;主动式的网管,可定义管理任务,主动收集网络状况并及时备份,做到状态变更的及时响应,出现故障可及时恢复;提供美观的网络拓扑图,俯瞰整个网络现状,出现异常时,在拓扑图上及时呈现。产品主要配合锐捷设备使用,提供图形化的配置界面,实现对设备配置修改,从而大大降低管理员的维护强度和难度。
SNC作为网络管理的专业工具,其设计如下:
关键技术和数据流程介绍
RG-SNC采用了三层模块化的设计方式,将系统分为采集层、平台层、组件层,其中平台层负责与网络交互,完成网络信息采集和下发;平台层完成数据抽象和业务处理;组件层根据业务完成组件划分,在系统架构上保证了系统的可扩展性和可维护性。
图1-1
软件系统体系结构
图1-2 软件功能总体架构
图1-3
1. 二三层拓扑管理
拓扑管理展示了被管理网络的真实拓扑,不同的设备类型用不同的图标区分,已纳入管理的设备可以自动布局,也可以由用户手动添加或布局控制,并通过拓扑图上呈现的丰富的设备、告警、流量信息,实时的检视网络运行的全貌;可以直接在拓扑图上查找用户关注的设备和链路节点,进行点击获取更加详细的信息;用户还可以将拓扑图保存或者直接导出。
三层拓扑图
二层拓扑
查看链路信息
2. 在线用户信息查看
可直接查看通过设备接入的在线用户状态和信息,包括用户姓名、用户IP、交换机接口、上线时间、在线时长等信息,更加清晰的呈现网内在线用户状态。注:该功能需与锐捷认证系统配合使用。
在线用户
3. 网络应用分析
可分别从设备角度和软件的角度对网内设备使用的软件及版本情况进行分析,清晰展示当前网内设备软件版本、设备型号和安装数量,为用户整体的网络规划提供依据。在分批实施的网络中,管理员可以清楚的了解锐捷设备有几个软件版本在网内应用,每个版本的使用数量是多少,并可进一步查看各个版本分别对应的是哪些设备,如果有必要可以对这一批设备进行批量版本升级,保持网内版本统一性。
网络应用分析
1. 的分析呈现TOP N
对网络设备关键参数采用进行TOP N的方式进行呈现,提升管理员对危险设备的关注度。在此直接给出CPU利用率、内存利用率、接口带宽利用率等几个重要指标的TOP N视图,在系统的首页给用户一个直接的呈现,可以根据该排序信息确定关注设备,进而对网络故障进行定位。
CPU利用率、内存利用率
接收、发送带宽利用率
2. 危险设备汇总
对网内存在风险设备进行集中呈现,管理员无需多个功能点间进行切换,对网内存在风险的设备一目了然的进行查看。
危险设备汇总
3. 网络听诊器
可定期对网内设备执行连通状态检查,直观呈现设备连通状态。设备的连通状态是设备能够提供服务的基本信息,通过定期执行设备连通状态的检查,并生成连通性检查报告,管理员可以下载查验连通状态报告,对无人值守时的网络连通状态进行分析。
网络听诊器
4. 关键性能参数的实时监控
可对关键设备的关键性能指标进行实时监控,在敏感时期加强对网络的管控。面临考试或者重要业务办理的情况,保障网络正常运行是管理员的重大责任,管理员需要在第一时间了解网络出现的问题,只需要选择关键设备的关键性能参数进行实时监控,可第一时间发现网络异常并及时进行处理。
性能实时监控(CPU利用率)
性能实时监控(内存利用率)
1. 定期执行端口开关
可定制配置任务,批量定期执行端口的开关操作,使得管理更具针对性。对于非常有规律的网络应用,任务式的管理方式更为有效的解决的管理员的重复性操作,针对下班时间禁止访问网络资源的端口,管理员可以设置管理任务,在指定的时间自动执行端口开/关操作,无需管理手动的多次操作。
定期执行端口开关
2. 批量下发设备软件
可创建软件下发任务,在指定的时间完成对指定设备执行升级到指定软件版本的操作。软件下发具有一定的风险性,所以在软件下发之前进行必要的保障性检查显得尤为重要,SNC提供的软件版本的可用性检查、设备环境的支持程度检查,从多个方面对该操作进行检测,并且通过下发重启时间、下发重启策略等多个参数的设置对设备软件的生效情况进行了限定,最大可能为软件下发提供保障。
软件下发软件
1. 设备面板真实呈现
可以真实的呈现网络设备面板,以不同颜色标记设备端口状态。
设备面板
2. 设备配置对比
可定期获取设备配置文件进行存档,对网络的配置情况进行一个备份,在存档过程中,可以对获取到的配置文件进行比对,出现变更,可通知管理员,管理员可选取配置文件进行对比,查看变更内容,如果出现不被管理员认可的变更内容,管理员可以将认为合理的配置文件恢复到设备。
配置快照
配置文件比较
3. 设备信息详情查看
可查看设备型号、IP地址、设备类型、MAC地址等信息,提供设备接口表、ARP地址表、IP地址表和IP路由表供管理员查看分析。
IP地址表
ARP地址表
接口表
4. 设备配置管理
可执行对设备的配置管理,如:VLAN划分、端口绑定。
9.1 CSS安全体系架构
网络安全问题已经成为信息化社会的一个焦点问题,更是信息化校园的焦点问题。目前园区网络安全的发展趋势是“多兵种协同作战”,园区网络中所有的基础网络设备共同去预防、发现安全问题。为此,锐捷网络推出了GSN全局安全网络,通过整合系统层面和网络层面的安全因素,建立全局化的安全网络。而设备级别的安全防护是GSN全局安全网络的一个重要组成部分,并且,许多的网络环境并没有条件去部署完整的全局化安全网络,此时设备级别的安全防护显得尤为重要。为此,锐捷网络推出了设备级的安全防护体系—CSS安全体系,为独立设备提供全方位的安全防护。
9.1.1 CSS安全体系概述
黑客对计算机网络构成的威胁大体可分为两种:一是对网络中设备的威胁,针对设备系统的漏洞或不足进行攻击,导致系统不能正常工作,甚至瘫痪。二是对网络中信息的威胁,以各种方式有选择地破坏,窃取网络中的数据信息。CSS安全体系正是通过从“系统”和“数据”两方面的安全技术来保护网络的安全。
CSS安全体系主要是通过硬件安全监控技术、硬件安全防护技术、丰富的设备安全管理保证系统的安全,通过硬件的隧道技术、认证技术、加密技术保护了网络设备传输的数据的安全。此外,还提供了万兆位的安全防护模块同时保护系统和数据。通过提供万兆位安全防护模块,可以对网络中的数据进行2-7层的安全监控防护。
硬件的安全监控技术,主要包括:硬件IPFIX(IP Flow Information Export),流监控和自动流速率控制,限制非法数据流。
硬件安全防护技术,主要有:防Dos攻击、防扫描、防源IP地址欺骗、SPOH、CPP、LPM+HDR。
丰富的设备安全管理,主要是:CPP、SSH、SNMPV3、AAA、管理源IP地址限制。
硬件隧道、认证、加密:MPLS、VPLS、VPWS、Des、SHA。
万兆位安全防护模块:万兆位的入侵检测、防火墙、网络分析模块。
下面对各种安全技术进行详细的介绍
硬件的安全监控技术主要包括:硬件IPFIX(IP Flow Information Export),流监控和自动流速率控制,限制非法数据流。
进行流量监控和流量分析是整个网络合理化的重要环节,它能在最短的时间内发现安全威胁,在第一时间进行分析,通过流量分析来确定攻击,然后发出预警,快速采取措施。如何在核心的网络设备上监控流量、限制异常流量就成了大家关注的技术问题。
目前很多厂商都拥有自己私有的流量监控技术,像Cisco有Netflow,华为有Netstream,Juniper有J-flow。这些流量监控技术相互不同,需要后台提供相应的处理软件,加大用户的部署难度和数据集成难度,这种情况极大的阻碍了流量监控技术的发展。
IPFIX是最新的流量监控技术国际标准,在IPFIX的RFC3917被提议以后,IETF在做流输出的标准化工作,这也是目前各大厂商大力推动的一个标准。通过IPFIX这种标准化的流量监控技术,各个厂商的网络设备可以采用同一种流量监控标准,极大地方便了网络流量的监控和实际部署。
传统的数据流量监控技术采用了特定的数据属性去标示一个数据流。例如,用源/目的IP地址、源/目的端口号、三层协议类型标示一个数据流(采集流量的时候也只采集相应的这几个属性)。网络中的数据流量有着各种各样的属性,只是简单的采用特定的属性去标示数据流并不能全面完整的采集监控流量。但是,如果采用多种属性去表示一个数据流,那采集的流量将会大大增加,极大的增加了网络设备、带宽和上层服务器的压力。
IPFIX采用了“模板”的格式灵活的定义一个数据流。在IPFIX的数据结构中,网络管理员可以在“模板”中灵活的定义想采集的网络流量的属性,然后在输出的数据流中可以包含已定义的“模板”以及相对应模板的数据流,通过这种方式,网络管理员可以自由的添加更改域(添加或更改特定的参数或协议),以便更方便地监控IP流量的信息。另一方面,由于输出格式具有可扩展性,因此如果流量监控的要求发生改变,网络管理员们也不必升级他们的路由器软件或管理工具。
锐捷网络十万兆产品的IPFIX技术是通过在每个线卡对数据流量进行采集,过滤,然后把采集到的数据发送到交换机的多业务卡上进行初步分析统计,最后发送到上层服务器进行数据收集统计,显示出图形化的结果。通过线卡收集采集数据,由业务卡进行初步分析,最后由上层服务器收集统计数据、显示结果,真正实现了分布式的流量监控技术。
使用IPFIX技术,通过对网络骨干链路的流量监控,由交换机将采集的数据发送到上层服务器,根据采集的数据进行模式匹配、基线分析等,可以进行DoS/DDoS攻击和蠕虫等病毒检测,同时结合记录的源数据包相关特征快速定位网络中的异常行为。
硬件的安全防护技术,主要包括:防Dos攻击、防扫描、防源IP地址欺骗、SPOH、CPP、LPM+HDR。
随着网络的发展,目前针对网络中的协议以及系统漏洞的攻击手段、花样也越来越多,锐捷网络的十万兆产品通过采用专门针对攻击手段设计的ASIC芯片针对网络中的各种攻击进行安全的防护,保证在处理安全问题的同时依然不影响网络正常数据的转发。
锐捷十万兆产品可以实现对DoS攻击、扫描、源IP地址欺骗等攻击手段的防护,通过CPP(Control Plane Policy)技术,通过硬件方式对发往CPU的各种数据进行控制,保证了CPU的安全稳定的运行。此外还继承了原来万兆产品的SPOH技术、LPM+HDR技术。
SPOH即基于硬件的同步式处理技术,在线卡的每个端口上利用FFP硬件进行安全防护和智能保障,各端口可以同步地、不影响整机性能地进行硬件处理。最长匹配(LPM)技术解决了“流精确匹配”的缺点,支持一个网段使用一个硬件转发表项,杜绝了攻击和病毒对硬件存储空间的危害。HDR抛弃了传统方式CPU参与“一次路由”的效率影响,在路由转发前形成路由表项,避免了攻击和病毒对CPU利用率的危害。LPM+HDR技术的结合不仅极大地提升了路由效率,而且保障设备在病毒和攻击环境下的稳定运行。
防DoS攻击
主要可以防护Land攻击、防非法TCP报文攻击、防源IP地址欺骗。
Land攻击
Land攻击主要是攻击者将一个SYN包的源地址和目的地址都设置为目标主机的地址,源和目的端口号设置为相同值,造成被攻击主机因试图与自己建立TCP连接而陷入死循环,甚至系统崩溃。锐捷网络十万兆产品通过丢弃源和目的IP相同的IPv4/IPv6数据包、丢弃源和目的TCP/UDP端口相同的IPv4/IPv6数据包的方式有效的防止了Land攻击
非法TCP报文攻击
在TCP报文的报头中,有几个标志字段:
1、SYN:连接建立标志,TCP SYN报文就是把这个标志设置为1,来请求建立连接;
2、ACK:回应标志,在一个TCP连接中,除了第一个报文(TCP SYN)外,所有报文都设置该字段,作为对上一个报文的相应;
3、FIN:结束标志,当一台计算机接收到一个设置了FIN标志的TCP报文后,会拆除这个TCP连接;
4、RST:复位标志,当IP协议栈接收到一个目标端口不存在的TCP报文的时候,会回应一个RST标志设置的报文;
5PSH:通知协议栈尽快把TCP数据提交给上层程序处理。
许多攻击数据通过非法设置标志字段致使主机处理的资源消耗甚至系统崩溃,例如以下几种经常设置的非法TCP报文
SYN比特和FIN比特同时设置
正常情况下,SYN标志(连接请求标志)和FIN标志(连接拆除标志)是不能同时出现在一个TCP报文中的。而且RFC也没有规定IP协议栈如何处理这样的畸形报文,因此,各个操作系统的协议栈在收到这样的报文后的处理方式也不同,攻击者就可以利用这个特征,通过发送SYN和FIN同时设置的报文,来判断操作系统的类型,然后针对该操作系统,进行进一步的攻击。
没有设置任何标志的TCP报文攻击
正常情况下,任何TCP报文都会设置SYN,FIN,ACK,RST,PSH五个标志中的至少一个标志,第一个TCP报文(TCP连接请求报文)设置SYN标志,后续报文都设置ACK标志。有的协议栈基于这样的假设,没有针对不设置任何标志的TCP报文的处理过程,因此,这样的协议栈如果收到了这样的报文,可能会崩溃。攻击者利用了这个特点,对目标计算机进行攻击。
设置了FIN标志却没有设置ACK标志的TCP报文攻击
正常情况下,ACK标志在除了第一个报文(SYN报文)外,所有的报文都设置,包括TCP连接拆除报文(FIN标志设置的报文)。但有的攻击者却可能向目标计算机发送设置了FIN标志却没有设置ACK标志的TCP报文,这样可能导致目标计算机崩溃。
锐捷网络十万兆产品在交换机中可以以硬件的方式实现丢弃SYN比特和FIN比特同时设置的TCP报文、丢弃没有设置任何标志的TCP报文、丢弃设置了FIN标志却没有设置ACK标志的TCP报文攻击从而保证非法的TCP报文不会经过核心交换机传输到网络的其他区域,同样也可保证针对交换机本身攻击的非法TCP报文不会影响到交换机本身。
防源IP地址欺骗
从严格意义上来说,IP源地址欺骗并不是一种网络攻击方式,而是网络攻击时为了达到网络攻击目的采用的技术手段。
当目的主机要与源主机进行通讯时,它以接收到的IP包的IP头中IP源地址作为其发送的IP包的目的地址,来与源主机进行数据通讯。IP的这种数据通讯方式虽然非常简单和高效,但它同时也构成了一个IP网上的安全隐患,源IP地址欺骗的基本原理就是利用IP包传输时的漏洞,即在IP包转发的时候路由设备一般不进行源IP地址的验证,在与对方主机通讯的时候伪造不属于本机的IP地址进行欺骗。
可以说网络中大部分攻击都是由大多数的攻击都通过伪造源IP的方式开始发起。
十万兆产品采用三种方式有效的防止了源IP地址攻击
¨ 在交换机中实现了RFC2827,网关丢弃源IP非本网段的数据包,可以有效地防止本网段的攻击者发起的伪造源IP地址的攻击。
¨ 地址绑定,包括IP+MAC+端口的绑定和IP+MAC的绑定,通过对主机的IP地址和MAC地址的绑定,可以保证在本地网络中经过核心交换机传输的数据都是的正确的主机发出的。非法的数据将会丢弃。
¨ 802.1x,结合我司的SAM平台可以实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等多元素之间的灵活任意绑定,可有效控制用户的接入,确定用户的唯一性,如高校、政府机构、宽带小区等,保证不会有非法伪造的源IP地址欺骗的数据流量通过.
9.1.4 CPP,控制平面保护
尽管通过加密认证可以保护网络中的通信协议,但是它并不能完全的防止非法恶意用户对路由引擎(CPU)上特定协议的攻击。例如,攻击者仍可以利用伪造的数据包瞄准具体协议,向路由器发动攻击。尽管这些数据包无法通过鉴权检查,但是攻击仍可以消耗CPU上的资源(CPU循环和通信队列),因此在某种程度上达到攻击的目的。
锐捷网络十万兆产品通过硬件的方式对发往控制平面的数据进行分类,把不同的协议数据归类到不同的队列然后对不同的队列进行限速,专门对路由引擎进行保护,阻挡外界的 DOS 攻击。而且并不影响转发速度,所以CPP能够在不限制性能的前提下,灵活且有力的防止攻击,而且保证了即使有大规模攻击数据发往CPU的时候依然可以在交换机内部对数据进行区分对外。
CPP提供三种保护方法,来保护CPU的利用率。
第一, 可以配置CPU接受数据流的总带宽,从全局上保护CPU。
第二, 可以设备QOS队列,为每种队列设置带宽。
第三,为每种类型的报文设置最大速率。
具体实现方式如下:
1、 针对不同的系统报文进行分类。CPP可针对arp、bpdu、dhcp、igmp、rip、ospf、pim、gvrp、vvrp的报文进行分类,并分别设置不同的带宽。
2、CPU端口共有8个优先级队列(queue),您可以配置每种类型的报文对应的队列,硬件将根据您的配置自动地将这种类型的报文的送到指定队列,并可分别设置队列的最大速率。
队列的调度可以采用的算法有SP,SP+WRR,WRR,DRR,SP+DRR等。
3、可以配置CPU端口的总的带宽,从全局上保护CPU。
CPP技术,保证在大数据流量的网络环境下,发往CPU的数据都经过合理的调度、限速,使CPU在任何情况下都不会出现过载的情况,极大地保障了核心设备的稳定性。
提供SSHv1/v2的加密登陆和管理功能,在远程登录设备的时候发送的数据都是经过机密的,避免管理信息明文传输引发的潜在威胁。
Telnet/Web登录的源IP限制功能,限制只有合法IP的终端才能登陆管理设备,避免非法人员对网络设备的管理。
SNMPV3提供加密和鉴别功能,可以确保数据从合法的数据源发出,确保数据在传输过程中不被篡改,并且加密报文,确保数据的机密性。
数据的安全技术,主要包括隧道技术、认证技术、加密技术。隧道技术主要包括MPLS、VPLS、VPWS,认证技术主要包括MD5加密算法,加密技术主要有Des、3Des、SHA等加密技术
隧道技术,因为Internet中IP地址资源短缺,企业内部网络使用的多为私有IP地址,从这些地址发出的数据包是不能通过Internet传输的,必须采用合法IP地址。完成这种地址转换的方式有多种:静态IP地址转换、动态IP地址转换、端口替换、数据包封装等。要能够使得企业网内一个局域网的数据透明地穿过公用网到达另一个局域网,虚拟专用网采用了一种称为隧道的技术。隧道技术的基本过程是在源局域网与公用网的接口处将局域网发送的数据(可以是ISO七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公用网上传输的数据格式中,在目的局域网与公用网的接口处将公用网的数据解封装后,取出负载即源局域网发送的数据在目的局域网传输。由于封装与解封装只在两个接口处由设备按照隧道协议配置进行,局域网中的其他设备将不会觉察到这一过程。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。
隧道技术目前主要应用在VPN(Virtual Private Network)虚拟专网中,主要是以MPLS的方式实现。用MPLS协议实现VPN的方式,又可分为Layer2 MPLS VPN和Layer3 MPLS VPN 。
三层VPN
Layer3 MPLS VPN即BGP/MPLS VPNs,使用类似传统路由的方式进行IP分组的转发。在路由器接收到IP数据包以后,通过在转发表查找IP数据包的目的地址,然后使用预先建立的LSP进行IP数据跨运营商骨干网的传送。运营商网络通过其路由器(包括PE)和客户路由器(CE)间的RIP、OSPF、BGP等路由协议,获得用户站点的可达信息,并用这些信息来建立上述LSP。
二层VPN
Layer2 VPN大致分为三类,第一种叫做VPWS(Virtual Private Wire Service),用点对点连接方式实现VPN内每个站点之间的通信。这种方式多用于正在使用ATM、FR连接的用户,用户和网络提供商之间的连接保持不便,但业务经封装后在网络提供商的IP骨干网上传输。在第二种叫做VPLS(Virtual Private LAN Service),运营商网络仿真LAN SWITCH或桥接器的功能,连接用户所有的LAN称为一个简单的桥接的LAN。VPLS和VPWS的主要不同在于VPWS只提供点到点业务,而VPLS提供点到多点业务。即VPWS中的CE设备选择某一条虚拟线,将数据发送到某一用户站点;而VPLS中的CE设备只是简单的到所有目的地的数据发送到连接到其的PE设备即可。
利用认证技术,使数据在传输过程中如果被黑客截获并篡改可以及时在接收端经过校验被发先。锐捷十万兆产品主要使用MD5算法和SHA算法保证数据传输的可靠性。
MD5的典型应用是对一段信息(Message)(例如路由协议的信息等)产生信息摘要(Message-Digest),以防止被篡改。比如,在传输路由信息时,在发出报文之前用MD5算法会对报文进行计算,生成一段签名附在报文后。接收端收到报文后同样利用MD5进行计算生成一段签名,如果生成的签名与原来附带的签名相同,则证明数据在传输的过程中没有被篡改,继续使用原来的报文。如果不同则表明数据在传输的过程中被改动,接收到的数据会被丢弃。有效的防止了错误的、恶意篡改的信息被接收。
SHA算法与MD5算法不同的是:MD5产生128位消息摘要,SHA产生是160位消息摘要,SHA更加安全。
加密技术使重要的数据信息在传输的过程中即使被黑客截获,黑客得到的也只是一堆乱码,都是无用的信息。保证了重要数据信息不会泄露。目前主要用机密算法是Des算法、3Des算法。
DES(Data Encryption Standard) ,使用56位密钥对64位的数据块进行加密 。3DES,三重DES计算,要花费DES的三倍时间,从另一方面来看,三重DES的密钥长度是112位 ,安全性是非常高的。
防火墙的传统角色已经发生了变化。今天的防火墙不仅可以保护园区网络免受未经授权的外部接入的攻击,还可以防止未经授权的用户接入园区网络的子网、工作组和LAN。FBI数据显示70%的安全问题都来自内部。利用防火墙保护内部的网络成为目前园区网的迫切需要。
锐捷网络的十万兆产品提供了万兆位的安全防护模块,这种安全防护模块安装在交换机的内部,对于那些机架空间非常有限的空间来说,这种模块非常重要。同时,万兆位的安全防护模块可以提供防火墙、入侵检测、网络分析功能,可以提供2~7层智能的服务,使锐捷网络的十万兆产品真正成为了能够为用户提供智能服务的核心路由交换机。
9.2 高性能数据交换平台——十万兆核心平台
在本方案中核心采用锐捷网络的十万兆平台的核心路由交换机RG-S8600系列。RG-S8606核心交换机具备高达3.2T的背板带宽和1100Mbps的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换。高达200G的线卡带宽为校园网络扩展到100G网络提供了平滑升级的功能,保护学校现有的投资。
9.2.2 SPOH技术提升数据处理能力
通过锐捷网络首创的SPOH(synchronization process over hardware)-基于硬件的同步式数据交换技术。通过最新的硬件芯片技术,让交换机每个端口都具备独立的数据处理能力,将分布在线卡层面的部分功能进一步分布到端口,实现了端口级的数据同步交换。核心骨干层使用的RG-S8606充分利用了SPOH技术,主管理引擎执行路由管理、网络管理、网络服务等任务;采用BufferCrossbar交换结构背板;用户接口模块则可以独立实现硬件路由、交换和组播功能;用户交换端口可以独立实现硬件ACL和QOS功能。
9.2.3 LPM技术提升路由处理效率
RG-S8606设备支持最长匹配(LPM)三层路由处理技术,在没有第一次CPU参与路由的情况下,交换机把直连路由、静态路由、动态学习到的路由都直接自动下载到硬件路由转发表,并且支持一个网段目的IP地址使用一条硬件转发路由表项,而不明目的网段IP地址的数据包(例如病毒和攻击行为数据包)直接通过缺省路由转发RG-S8606设备在处理非主机路由时不占用任何CPU资源的,同时极大地节约了存储空间,没有存储空间溢出问题,即使在病毒和攻击网络环境下依然可以良好地运行。
RG-S8606设备支持主机直接路由(HDR)技术,在没有第一次CPU参与路由的情况下,在ARP协议运行过程中直接自动把主机路由表下载到硬件路由转发表。从而不占用CPU资源,没有“一次路由、多次交换”的效率影响。
方案中选用的RG-S8606支持 APS技术能保证主控冗余和自动失效切换,满足99.999%的电信级应用。同时方案中选用的核心层、汇聚层三层交换设备均支持VRRP协议提供路由级冗余能力,方便满足校园网络系统中负载均衡和冗余连接需要。方案中的核心层、汇聚层、接入层所有网络设备均支持MSTP(IEEE802.1S)协议,可同时支持多链路应用环境下的数据流量负载均衡和线路的冗余备份。最大程度保证网络系统的高可用性。为校园网络为用户提供7×24小时不间断运行提供技术上的全面保证。
RG-S8606交换机通过采用数据平面、控制平面、管理平面相互分离的设计方式,保证了最耗费主机资源的数据处理转发任务不影响交换机的管理和协议运行,而在路由和环境复杂多变条件下,控制平面的任务不影响交换机的管理,高度保证了交换机系统的稳定性。保证了即便出现设备由于数据交换异常瘫痪状态情况,依然可以通过Telnet、Console等管理界面正常登陆管理该设备。从根本上高度保证了系统的稳定可靠性。
9.3 全面的IPv6解决方案
下一代以太网络IPv6将是一个必定发展趋势,为了保证网络的可持续性以及可平滑升级的能力,锐捷网络的云南经济管理学院解决方案里,提供了全面的IPv6支持。从出口到核心、汇聚,甚至认证计费系统均可以实现IPv6的支持。从而在学校校园网内全面地实现IPv6网络,在云南率先走向下一代网络。
西南交通大学两校区核心(2台S8610组建校园网主核心环网+14台S8606组建万兆核心骨干网)
•
西南石油大学核心(2台S8610组建校园网双核心双链路网络)
华南农业大学万兆校园网(3台S8610为校园网主核心)
2台锐捷网络RG-S8600交换机与思科C7600交换机组建了四核心环网,充分体现锐捷网络交换机的高性能与兼容性
锐捷网络8600交换机为校园网主核心,承担超过4万信息点规模校园网