校園網邊界出口問題分析及解決方案

蔣海巖

在當今信息高速發展的時代，對帶寬的容量、穩定性、安全性的需求都在增加。在大量的需求面前對于網絡管理者來說提出了新的要求。除了選擇好的運營商，擴充帶寬之外，網絡管理者還需要制定一套切實可行的邊界出口解決方案，今天我就以校園網為例探討制定一套邊界出口解決方案。[1]

一、校園網邊界出口主要存在的問題

首先，從大多數校園網的實際環境來看，其網絡帶寬巨大，而且用戶常會運用大量的P2P類應用（視頻、下載），這些應用會產生大量的連接，從而導致并發連接數兒十倍甚至上百倍于實際上網用戶數。而且，校園網出口往往會需要網絡地址轉換（（NAT ， NetworkAddress Translation），但無論是防火墻還是路由器，其核心功能都不是為NAT專門打造的，地址轉換過程會極大的消耗硬件性能，這就讓網絡出口無法發揮最大的效能。[2]

二、校園網邊界出口主要需求分析

1.邊界出口的功能需求

在校園網總出口增設應用識別功能的邊界設備是主流的設計方案，可以實現功能的互補（如內部應用控制設備無法控制的動態應用 ，可由總出口來處理。反之亦然）。在校園網將帶寬擴升時，在大流量的沖擊下，應用層的防火墻是否能夠支撐起我們的網絡，能否在大流量的情況下，保證內外網間通信能夠實現線速轉發。所以選擇產品參數時我們會盡量的選擇萬兆級別的邊界出口設備。

2.多鏈路負載均衡功能的需求

現在大多數校園網出口是“多出口”環境，關于多出口鏈路優化的方案，傳統的解決方案一般是通過“策略路由”來做靜態的指定，即：A網段走鏈路1，B網段走鏈路2。此時，由于A、B網段使用環境的不同，外網鏈路經常會出現一個忙一個閑的狀況，這是比較常見的問題。另外第二個常見的問題是，在多運營商做接入時（如同時存在聯通、電信）流量分配的不合理：多運營商鏈路接入時，傳統的多出口解決方案是利用ISP路由，實現訪問“目的地址”是聯通地址的數據包走聯通線路，目的地址是電信資源的數據包走電信線路，從而避免跨運營商的訪問，提高網絡訪問速度。

3.安全防護的需求

網絡中存在多種防不勝防的攻擊，如侵入校園網絡上的服務器、盜取服務器的敏感數據、破壞服務器對外提供的服務，或者直接破壞校園網內部網絡設備導致網絡服務異常甚至中斷。作為網絡安全設備的安全網關，必須具備攻擊防護功能來檢測各種類型的網絡攻擊，從而采取相應的措施保護內部網絡免受惡意攻擊，以保證內部網絡及系統正常運行。

三、邊界網絡總出口的安全防護解決方案

1.使用“應用層”邊界網關解決性能瓶頸

傳統的邊界網關產品在開啟應用層控制功能后，性能巨幅下降。主要的原因是P2P應用識別、 AV及IPS等功能涉及到應用層解析和處理，更多的是考驗安全網關的7層的處理能力。而目前傳統的安全網關大多還以ASIC/NP為主要架構，對應用層處理并沒有優化能力。

使用多核Plus架構的多核CPU加速應用層管控，使用ASIC來實現網絡級安全，再使用高速交換總線加速各個模塊之間的通信。該架構立足于當前網絡的需求，并結合網絡發展趨勢，兼顧未來網絡發展變化的需求，進一步增強了性能可擴展，實現了存儲和接口的擴展。另外該設備的軟件采用檢測引擎進一步提升了網絡可視化，優化性能和增強可靠性。

2.部署具有負載均衡和流量整形功能設備

在管理上加入動態的IPS路由表更新功能（大多數的邊界網絡設備都支持），當內部數據訪問外網時，邊界網關將會依據訪問目的地址的歸類，分別將數據包傳遞給同一運營商的下一跳，從而避免跨運營商的訪問。值得說明的是ISP路由是基于動態更新的，解決了傳統路由靜態設置，而運營商網段經常動態變化而導致的路由指向不準確。

通過流量整形設備實現P2P引流實現多鏈路環境下的流量整形。具備基于應用協議的策略路由功能。可以不依據傳統的“目的地址（靜態路由）”或“源地址（策略路由）”來決定下一跳，而是以“應用”為判斷依據，由應用來決定下一跳，從而實現P2P的引流功能。從而實現WEB訪問速度的優化，有效提升用戶的網絡使用感覺；對P2P的應用，建議有選擇的引流到空閑鏈路或延時較大的鏈路上，這即可以有效的利用起閑置帶寬。

3.在邊界網關設備上起用攻擊防護功能保障網絡安全

校園網的支付寶和網站系統由于存在對外的服務，所以面臨著來源于互聯網的攻擊風險。其中DOS攻擊、端口掃描攻擊、UDP flood、TCP flood等淹沒型攻擊，往往令安全網關設備疲于應對。安全網關提供基于域的攻擊防護功。可以防護包括：DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、WinNuke等多種攻擊類型，最大限度的保障網絡安全。

4.URL黑白名單功能實現公安網監和數據中心的需求

流量由內至外時，URL黑名單的價值：公安的網監部門有時會下發一些URL黑名單列表，要求互聯網接入單位對其進行屏蔽，此時將會應用到URL黑名單，對應的流量是由內至外的訪問。

流量由外至內時，URL白名單的價值：校園網絡的服務器數量平均都在幾十臺左右，形成一個小型的“數據中心”。目前許多數據中心的安全防護，都會采取URL白名單的控制形式，即只有數據中心提供的URL地址，外界才可以訪問，其他一切無關流量禁止進入內網。此時對應的流量通常是由外至內的訪問。

5.異地訪問教育網資源的技術實現

教職員工在校園網外部時，出于工作的需要，依然需要訪問教育網的相關資源。但由于家庭用戶的寬帶接入用戶均是互聯網IP地址。因此存在教育網資源無法訪問的情況。邊界安全網關通過SSLVPN和地址跳轉技術相結合。可以讓教師在家中，通過互聯網地址拔號到學校網關上，并最終以學校網關授權的教育網地址，訪問相應的教育網資源。從而實現教職員工的異地辦公和教育資源索取。

上述基于高校網絡環境下出口解決方案，希望此文能起到拋磚引玉的效果，讓更多同行去積極探索在不同網絡環境下的網絡運用與研究，提供安全、高效的網絡平臺.更好地為本單位工作服務。

參考文獻

[1]姜姝. “對癥下藥”打通校園網應用“出口”. 中國信息化周報2013.12.23第030版

[2]黃愛民. 基于校園多鏈路出口網絡環境下的若干解決方案.《中國教育信息化》2013.07