普教教育城域网解决方案.ppt

普教教育城域网解决方案  提纲 1、中国基教信息化背景及现状 2、教育城域网建设问题与挑战 3、锐捷网络教育城域网解决方案 4、QA 中国基教信息化背景及现状 建设重点：计算机学科教学，是让学生学习和掌握信息技术的基础知识和基本技能； 标志性口号：程序设计是第二文化！ 建设重点：计算机辅助教学与计算机辅助管理，主要是开发教学软件、课件和教育教学管理软件，把计算机作为一种工具，将计算机与教育教学相结合； 标志性口号：计算机与基础教育相结合是国际教育改革的发展趋势！ 建设重点：网络教育 标志性口号：建网、建库、建队伍！ 中国基教信息化背景及现状 中国基教信息化背景及现状 教育城域网常用应用 教育城域网常用应用 城域网常见应用 资源类：教学资源库、数字图书馆、学科网站等 教育城域网常用应用 城域网常见应用 管理类：OA系统、MIS（学籍管理、教师管理）等 教育城域网常用应用 城域网常见应用 教学类：网上备课、在线学习、网上录取、在线考试等 教育城域网常用应用 城域网常见应用 交流类：门户网站、BBS、Email、教育Blog等 教育城域网常用应用 城域网常见应用 视频类：远程教育，视频会议，网上课堂，视频点播/直播等 应用对网络的要求 提纲 1、中国基教信息化背景及现状 2、教育城域网建设问题与挑战 3、锐捷网络教育城域网解决方案 4、QA 城域网建设过程中遇到的问题 应用建设与使用问题 不知道什么应用该上，什么应用不该上； 哪些应用是迫切应用，哪些应用可以暂缓； 对于新建网络用户，往往盲目上全部应用系统，极大浪费投资 城域网建设过程中遇到的问题 网络建设问题 城域网整体规划 城域网骨干技术选择 城域网核心设备选择 城域网建设过程中遇到的问题 网络安全问题 恶意应用消耗网络带宽 网络病毒泛滥，影响城域网运转 黑客恶意攻击/非法入侵 内部用户非法网络行为 资源中心服务器遭受恶意攻击/入侵 城域网建设过程中遇到的问题 网络管理问题 城域网中心网络维护管理工作量巨大 远程故障无法准确定位，无法及时处理 缺乏全面的网络管理系统（网络设备、服务器、应用系统） IP地址管理困难（IP冲突、盗用） 提纲 1、中国基教信息化背景及现状 2、教育城域网建设问题与挑战 3、锐捷网络教育城域网解决方案 4、QA 锐捷教育城域网解决方案 教育城域网组成部分 城域网骨干网主流技术对比 光以太网 SDH（同步数字体系 ） MSTP（多业务传输平台） RPR（弹性分组环 ） WDM（光波分复用技术 ） ATM（异步传输模式） MPLS VPN 城域网骨干网主流技术对比 锐捷教育城域网“区块化”设计思想 锐捷教育城域网“区块化”设计特点 IPFIX的应用 安全监测 根据采集的数据，可综合进行模式匹配、基线分析等，进行DoS/DDoS攻击和蠕虫等病毒检测，结合记录的源数据包相关特征快速定位网络中的异常行为。 网络流量分析及容量规划 根据收集和统计的情况，可获取大量的有用信息，如流量大小分布，前几名的流量用户和应用排行、整体网络流量、重要应用带宽的占用状况及其变化趋势等等，为今后的网络规划和升级提供决策参考。 流量计费 可实现多种计费方式，如基于流量、时间段、QoS、应用类型、自治域计费等。 CSS安全体系——防DDOS攻击 防DDOS攻击 防Land 攻击： 攻击原理：攻击者将一个SYN包的源地址和目的地址都设置为目标主机的地址，源和目的端口号设置为相同值，造成被攻击主机因试图与自己建立TCP连接而陷入死循环，甚至系统崩溃。 防护： 丢弃源和目的IP相同的IPv4/IPv6数据包 丢弃源和目的TCP/UDP端口相同的IPv4/IPv6数据包 CSS安全体系——防DDOS攻击 防DDOS攻击 防非法TCP报文攻击 攻击原理：许多非法的TCP报文会致使主机处理的资源消耗甚至系统崩溃 防护： 丢弃SYN比特和FIN比特同时设置的TCP报文 丢弃没有设置任何标志的TCP报文 丢弃设置了FIN标志却没有设置ACK标志的TCP报文攻击 CSS安全体系——防DDOS攻击 防DDOS攻击 防源IP地址欺骗 攻击原理：大多数的攻击都通过伪造源IP的方式开始发起 防护： RFC2827（网关丢弃源IP非本网段的数据包） 地址绑定（IP/MAC/端口、IP/MAC） 802.1x（六元素绑定） CSS安全体系——CPP CPP（Control Plane Policy） CPU的利用率过高会影响管理与协议的正常运行，是设备不稳定的最直接因素，也是各种攻击和病毒最主要针对的目标。 CPP提供管理模块和线卡CPU的保护功能，并且锐捷10万兆产品采用硬件的方式实现，不影响整机的运行效率。 CPP提供三种保护方法，来保护CPU的利用率。 第一， 可以配置CPU接受数