应 用 摘 要

　　随着高校信息化建设的开展，教学、科研、办公、生活对于校园网平台的依赖性越来越强。国内的高校经过多年持续不断的基础设施建设和应用提升，已经形成了较为稳定的校园网基础架构、相对丰富的校园网应用平台。但是，在讲究信息共享、资源整合的今天，有一块区域长期以来一直困扰着各大高校——这就是校园网出口区域。实践中会发现，众多高校都测试了多个厂商的设备，却未能获得很好的问题解决，无法取得理想的效果。然而，几乎所有的高校信息化专家一致认为：“高校校园网不应该作为一个信息孤岛而存在。网络的价值更重要的是体现在信息的流通、资源的共享。”作为校园网络平台的“门户”——出口区域，承担着高校之间相互交流的窗口的重大作用。那么高校的校园网出口到底是怎样一个现状，都面临着哪些问题呢?为此，锐捷网络自2006年初对全国10个省进行了采样调查和分析。

　　应 用 领 域

　　教育

　　方 案 内 容

　　高校出口基本状况调研

　　高校网络出口调研的对象为10个省市的本科类非985院校(天津、辽宁、四川、重庆、湖南、湖北、广东、安徽、福建、江苏)。下面从学校规模，出口链路及带宽方面来介绍调研成果。

　　第一、 从学校网络规模、信息点来看;

　　60%的高校拥有1000-10000这样的信息点数规模。仅仅有13%的高校信息点数在1000点以下。而超过10000点大规模的学校比例为27%。信息点数的多少基本上可以反映接入PC的数量(不是完全一一对应的关系)，因此，我们通过结合网络规模和出口链路、出口设备状况可以来判断不同规模的学校所面临的共性和个性的问题。

　　一般来说：规模在1000点以下、出口带宽不是很低的情况下，出口区域的规划相对容易，对设备性能的要求相对较低，从而所采用的策略可以宽松一些。目前面临出口难题的主要为信息点数为1000-10000和10000以上的那些高校。

　　第二、 从出口的链路条数和带宽情况来看;

　　一方面，网络规模较大的学校，出口带宽普遍较高;另一方面，根据学校所在区域有所差别，比如像在广州、武汉等全国网络的核心节点地区，高校的出口带宽普遍较高。同时，运营商在不同地区采取的收费标准也对高校出口带宽有着重要的影响。

　　具体来说：在广州、武汉，普通本科拥有千兆电信和千兆教育网带宽的比例最高，甚至有千兆电信/千兆网通的接入;而在大连，普通本科学校的出口带宽普遍在CERNET--100M，网通--10到50M不等。 此外，由于一些特定因素，90%以上高校都有2个校园网出口，并且根据当地情况，相当比例的学校拥有三个以上的出口(教育城域网、联通、移动等提供的第三条出口)。举例来说：在四川的20所本科院校中，有5所学校具有三出口，比例为25%;湖北的17所本科院校中有四所学校具有三出口。

　　高校出口现有设备分析

　　我们的调研成果还包括了高校出口现有设备和所关注的功能。

　　第一、 从现有出口设备组合方式来看：

　　出口设备主要包含了三类：路由器类、防火墙类、流量控制类。另外，还有一类为代理服务器的方式，该方式目前在国内高校已不多见，但仍然有个别学校在使用(这里我们归为路由器类)。

　　从一组124所高校的统计数据来看，单独采用防火墙的模式和采用防火墙+路由器的混合模式占到了73%。 (具体数据请看下图—124所本科院校出口设备组成比例图)

　　第二、 从出口设备所启用和所关注的功能来看：

　　功能上，NAT(地址转换)转发，路由处理是最基本的。针对多出口，策略路由也是必备功能。

　　性能上，NAT(地址转换)和策略路由是绝大都数高校现有出口设备的瓶颈所在。其次是安全防护能力，包含出口日志的记录能力，从我们的调查来看，几乎没有哪一个学校未遇到公安机关找上门的情况，甚至个别学校有因为日志问题而被公安机关拘留的记录，某个城域网因为日志问题面临被公安机关关闭的困境。

　　以所使用的具体设备为例：路由器功能丰富，但是安全性能差。防火墙对安全的处理是大家所认可的，转发性能不高，尤其对于NAT、PBR的转发性能较低，容易成为网络瓶颈。而代理服务器的配置管理较复杂，对网管人员的要求高;并且其可靠性较低，需要经常重启;最重要的问题在于大规模网络下代理服务器的性能问题。所以，我们看到了在某校规模较小的办公网络需要采用八台代理服务器来保证其功能和性能的平衡。

　　当前校园网出口面临的挑战

　　第一、NAT性能问题：

　　出口设备要支持NAT(地址转换)是共识的。一方面，校内使用私有地址的情况，访问Internet需要进行NAT;另一方面，即使校内使用真实的教育网IP，那么通过电信或者网通的线路访问外部资源，仍然需要进行NAT(地址转换)，因为电信所分配的地址更有限。NAT(地址转换)等于给出口设备增加了一项很重要的任务，但是，从实际情况来看，NAT却成为了上网速度慢的一个重要原因。

　　第二、策略路由支持问题：

　　首先，当前校园网是基于多出口的架构。1)为了提高访问速度需要多出口互联。CERNET与电信、网通等运营商的互联仅在上海、北京、广州三地有交互中心，且互联带宽还不够高，这就给教育用户访问公网资源和运营商用户访问教育网资源带来了问题。2)为了解决费用问题。电信、网通等ISP的包月交费制提供了高校解决国际流量费用的好思路。3)解决线路备份问题，避免单出口单点故障的存在。

　　其次，从上面多出口架构的原因分析可以看出，出口有必要对不同用户规定相应的路径，根据不同的访问流量制定相应的路径——也就是基于策略的路由。从实际中各个学校的使用情况来看，一些早期的设备不支持策略路由，或者部分新采购的设备启用策略路由时，造成设备性能的下降，从而影响整个出口的性能和稳定性。

　　第三、安全防护能力问题：

　　出口的安全防护一直是大家重点关注的对象，当前出口面临的网络威胁主要表现2个特点：首先，快速增长的网络带宽为网络威胁提供了更多的空间。以前只有2M的出口带宽，而现在已经千兆入户、百兆到桌面，而骨干网的带宽也已经普及万兆。网络越发达，网络威胁出现的次数越多，网络威胁造成的损失也就越大。其次，越来越丰富的应用，使得网络安全的应对面也越来越广。比如：EDonkey等P2P下载软件和各种IM的聊天软件。这些协议都是要TCP/UDP层上，甚至需要完成应用层的服务。网络威胁的种类也越来越多，不仅有非法入侵、网络渗透。还有网络欺骗、DOS/DDOS攻击、各种恶意软件、垃圾邮件等。

　　第四、日志记录问题：

　　《互联网安全保护技术措施规定》在2005年11月23日公安部部长办公会议通过，并自2006年3月1日起已经施行。(该规定简称“82号令”)规定对用户信息、用户上网记录、地址转换记录、设备状态记录等都有要求。

　　第五、流量控制问题;校园网的规模在扩大，网络基础设施在提升，出口带宽在增加，各种网络应用也更加丰富。但是，某些用户或者应用(如BT等P2P应用)却在过多的占用着网络资源。总的来说，出口带宽的增长速度与访问流量的提升速度已经是一种矛盾。所以，有必要对用户或者某些特定应用进行流量的控制。

　　第六、高可用性的问题;以太网发明人Bob Metcalf曾说过“网络的价值和其节点数的平方成正比。”当然该价值体现的前提就是网络的正常稳定运行。当下，对服务质量要求越来越高，用户对校园网这一平台的依赖性和期望值都越来越高，各高校对网络的可用性，尤其出口的可用性的关注也是前所未有的。通俗的来说，校内某一区域不正常只影响到该区域，而校园网出口的不可用将导致整个学校与外界的隔断，校内与校外的任何互访、信息互通都无法实现。再审视绝大多数校园网出口区域，单设备、单链路的现象还占据主要位置。对于设备的冗余、链路的备份，以及在出现任何设备或者链路故障下的自动切换，也仅仅是少数学校达到这样的水平。那么，如何打造出口的高可用性?如何实现出口的自动调整对用户的透明性?即，用户无需理解复杂的出口技术，只需要体验最快的网速。这些问题都摆在了网络管理者的面前。

　　性能是出口制胜的法宝

　　1、度增强的NAT、PBR性能

　　首先，通过三组数据来说明实际的性能效果。

　　1) 在启用NAT、ACL、PBR(策略路由)的情况下，在通常情况报文流情况下(平均报文长度为500byte左右的混合报文)，双向可以达到8Gbps的线速转发。简单理解，在学校1条千兆CERNET，1条千兆电信的双出口架构下，完全可以双向线速转发。

　　2) 并发达到200万条的NAT会话数。如果按照每个网络节点300条NAT会话，则可以支持将近7000台的网络节点同时在线，解决了网络规模大与上网速度慢的矛盾。

　　3) 每秒高达30万条的NAT新建连接会话。在出口中平均长度512Byte报文1Gbps的NAT线速转发下，每秒达到新建7万条NAT会话。可以同时1100个用户美妙新建100个链接，从而解决用户数多的情况下，网页打开不断线。

　　2、底层架构提升防火墙的性能

　　为了能够解决校园网出口安全所面临的各种问题，我们针对校园网出口安全进行了研究，对不同厂商的各种产品进行深入分析，对各种实现方案进行详细比较。当然，其中如何能够提供高性能的、丰富的网络安全功能是出口安全的焦点所在。NP和单一CPU的方案可以提供丰富的安全服务，但是性能不满足要求。而ASIC的方案可以提供高性能，但安全功能不够丰富。

　　综合考虑，锐捷RG-WALL2000产品核心技术采用可编程专用安全芯片和成熟商用芯片相结合的方案。这样RG-WALL2000即有ASIC产品的高效能，兼有软件产品的灵活性，同时也部分吸收了NP的微引擎设计思想。由于采用了ASIC的专用技术，在芯片设计的时候，就考虑到各种报文的转发效率。这样的设计就是校园网出口的全包长线速转发性能。实测数据显示，任意大小的数据包都在5-13ms内数据转发，完全达到业界最优水平。

　　安全防护牢牢掌握

　　在校园网出口，我们将安全防护主要交给RG-WALL2000。在锐捷RG-WALL2000产品中，锐捷开发了核心的安全芯片：Sentinel。Sentinel是一个高集成度的安全芯片，主要模块是四层智能防御系统和IPSecVPN微引擎阵列。详细地说，RG-WALL 2000能在硬件内为源自Layer 2 至Layer 7的头信息作检验和执行模式匹配，且一次能匹配128个字节，垂度为16个字节。即，RG-WALL 2000一方面能快速地检验多至144个字节(128 + 16 = 144)的头信息，另一方面也能匹配具体的消息头(从1到128字节长度的可编程序签名/模式字串)，并能在结果上执行逻辑运算。CME也能把同一流的数据包拼合，从而阻止把签名分布到多个小包的应用层攻击。在互联网环境，基于芯片内的CME分担通用CPU的工作来预防一些已知的攻击。

　　当然，鉴于NPE出口引擎的新一代流转发机制，其具备内嵌防火墙这项技术，也能承担起安全防护的任务。NPE的安全防护主要体现在：报文过滤(它根据安全策略对数据流进行检查，让合法的流量通过，将非法的流量阻止，从而达到访问控制的目的。)、状态检测(对基于六元组来识别网络流量，并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤。)、攻击防御(包括：IP畸形包攻击、IP假冒、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、ping flood、UDP Flood等.)、内容过滤：(针对URL地址进行灵活地分类，并应用到各种策略上，实现基于用户策略的URL访问过滤。)

　　流量识别，智能流量控制

　　网络管理者要把好网络的脉搏，清楚网络的状况，就有必要在出口区域：1)对应用进行识别，能够看到具体的IM(即时通信)、P2P(BT、Edonkey等)、FTP等应用;2)掌控基于应用的和基于用户的流量，这样就能合理的分配资源、有计划的规划网络的发展。

　　RG-WALL能够识别IM、P2P的应用，同时基于其仅5ms延迟的能力，先天具备对流量进行管理的基础条件。在队列管理方面，RG-WALL2000充分借鉴了高端路由交换设备的队列管理结构，在物理接口上执行流控制管理。在分类上， RG-WALL 2000能够根据源MAC, TOS, 数据包长, IP协议, 源和目的IP地址, TCP标志(ACK, RST, SYN, FIN), TCP源和目的端口, VLAN标志, VLAN用户优先级等信息对数据流进行分类.

　　NPE所具有的独特流量控制手段有：

　　带宽限制：可以提供从基于接口的粗粒度，到基于策略的每用户的细粒度的带宽限制;

　　并发会话数限制：基于策略的或者每用户的并发会话数限制;

　　新建会话速率限制：基于策略的或者每用户的新建会话速率限制;

　　日志记录，疏而不漏

　　日志对于网络安全的分析和安全设备的管理非常重要。NPE针对各种网络攻击和安全威胁进行日志记录，采用统一的格式，支持本地查看的同时，还能够通过统一的输出接口将日志发送到日志服务器，为用户事后分析、审计提供重要信息. NPE日志包括：

　　设备日志：设备的状态，系统事件日志

　　上网记录日志：基于五元组的上网记录日志

　　五元组为源/目的IP、源/目的端口、协议号

　　NAT日志：即进行NAT地址转换前后的地址、端口的对应关系

　　攻击日志：设备网络受到攻击的日志信息

　　RG-WALL2000支持设备日志和安全事件的审计日志，以供安全事件后的追查。通过在出口设备上的符合规范的日志实现，能够保证在出现安全问题后的反查。同时在公安机关要求协助调查时候，起到很好的作用。进一步地，结合学校的身份认证平台，比如锐捷RG-SAM，可以一步定位到安全事件的当事人在什么时间在某栋楼的哪一个交换机的哪个端口下接入网络的。

　　冗余备份，实现高可用性

　　整个出口的设计将打造高可用性作为一个重要的目标。从架构上看，出口采用了双设备、多链路的互联。一方面可以实现分流，即办公区域的流量通过特定路径，宿舍区域的流量经过另外独立的路径;另一方面，当出现问题的时候，互为备份的设备或者冗余链路之间能够实现自动的切换。从学校实际的测试结果来看，也能很快进行切换，完全满足学校的需要。达到的效果是：对于校园网用户来说不用理解出口的设计和自动切换，他所感受到的就是最快的网速。对于网络管理者而言，出口能够在最短的时间内进行切换，实现可用性，而不需要24小时进行值班，出现问题也无需立刻进行解决。

　　RG-WALL2000提供丰富的HA功能。RG-WALL是国内为数较少的硬件实现HA的防火墙，但是它带来的是最大化降低网络的设备风险。其工作模式包括Active-Standby和Active-Active。

　　在AS模式下，主机和备机之间可以同步规则、对象、路由和Session等信息。当主机出现问题后，各种网络服务都可以平滑的切换到备机上，保证用户不断网。在AA模式下，两台设备可以同时工作，信息也是即使同步的，包括Session。同时采用一个优化算法，将流量平均的放在两个设备上进行处理。当一个设备出现问题后，另一个设备就可以自动切换，提供网络服务。而当问题设备被修复后，工作的设备也会将Session等信息同步回问题设备。同步完成后，双机就可以正常工作。

　　技 术 路 线

　　RG-WALL 2000先进的体系架构：

　　RG-WALL 2000除了防御常见的攻击手段，如：SYN FLOODING、UDP flood、Ping flood、UDP Scan、TCP Scan(TCP SYN Scan、TCP FIN Scan、TCP X'mas Scan)、Ping Sweep Jolt2 Attack、Land-based Attack、Teardrop Attack、Ping of Death Attack、Smurf Attack、ARP Attack(APR Spoof、ARP Flood) 之外，还能侦察动态端口的攻击。