校园网出口区域面临的挑战
当前,以数字化校园为特征的教育信息化得到了迅速的发展,高等学校的教学教务管理、科研管理以及办公自动化等应用系统的建设已初具规模。国内有一定规模的高校骨干网纷纷升级为万兆网络,提前进入了万兆时代。万兆骨干网有效地解决了校园网内部带宽不足的问题,满足了数万校园用户的网络需求,但校园网的出口区域仍然面临多方面的挑战。
1.多出口支持挑战
当前大部分国内高校校园网出口都采用多出口架构,原因有二:
1)提高访问不同网络资源的速度。CERNET和电信、网通等运营商互联仅在北京、上海、广州三地有交换中心,且带宽也不够高,这就给教育网访问公网,运营商网访问教育网带来瓶颈,需要采用多出口来提高访问速度。
2)解决线路备份问题,避免出现单出口的单点故障。
在实际应用中,多出口架构需要出口设备支持多元素匹配的策略路由功能,且实际应用的策略路由规则的数量多达几百条。早期或部分新的出口设备由于采用海量策略路由,性能下降较多,影响了出口性能。
2.NAT性能挑战
由于校园网大多采用私网地址,网内用户访问外网需要进行NAT(网络地址转换),即使有些高校拥有较多教育网IP,在使用网通、电信线路访问外网资源时仍然需要进行NAT。由于运营商分配的地址有限,校园网出口设备需要进行海量的NAT,因此,出口设备的NAT性能成为了决定校园上网速度的重要因素。NAT性能主要取决三个因素:a)NAT最大并发连接数;b)NAT新建连接速率;c)NAT吞吐能力。
3.安全防御挑战
校园网出口区域是校园网的“门户”,作为校园网“门户”“护卫”的出口设备则是安全的第一关。近几年来,网络带宽迅速增长,网络威胁也随之大幅增加,包括攻击、扫描、入侵、DDOS攻击、蠕虫病毒攻击、恶意软件、垃圾邮件。出口设备需要防范校外网络威胁的攻击或入侵。校园网络带宽越大,网络威胁可能造成的危害也就越大,出口设备的安全防御面临着空前挑战。
4.流量控制挑战
近几年来,P2P应用(BT、电骡、迅雷、网络电视等)日益丰富。这些应用占用了大量的网络资源,出口带宽的增长似乎永远无法满足它们的“胃口”,结果造成正常应用得不到保障。因此,对一些影响正常应用的特定应用进行流量控制是非常必要的。
5.内容审计挑战
边界设备要为海量的NAT做记录、写日志,以满足政府对相关内容的审计要求。开启日志功能会严重影响性能,并使本来就难以承担海量NAT工作的边界设备的性能进一步降低。
6.高可靠挑战
校园网出口区域处于特殊位置,因此,校园网出口的不可用会导致整个校园网成为信息孤岛,如何保证出口设备的高可靠?如何保证出口网络线路的可靠?是校园网管理者必须面对的问题。
7.扩展挑战
随着校园网络的迅速扩展,出口设备背后支持的用户数量会不断增长。虽然很多校园骨干网络已经是万兆网络,但出口设备与校园骨干网之间的连接入采用的仍是千兆线路,网络带宽瓶颈依然存在。出口设备与骨干网之间采用万兆接口相连在未来1-2年内会逐渐成为校园网扩展的主流方式。但如果现有的出口设备不支持万兆接口,未来,其就无法面对扩展的挑战了,并让现在在出口设备方面的投资无法得到长期回报。
联想网御出口安全解决方案
基于上述对校园网出口的现状与远景的深刻理解,联想网御推出了为高校出口区域量身定制的出口安全解决方案
网友评论