烟台南山学院的用户需求
烟台南山学院是教育部批准的全国二十七所民办普通本科高校之一,中国五百 强企业--南山集团公司先后投入33亿元进行学校基础设施和教学科研设置的建 设。
学校现拥有南山、东海两个校区,占地3500亩,建筑面积83万平方米。现有近 3 万名学生在校学习和生活 南山学院校园网从2001 年5 月开始投入建设,至今建 成了一个 万兆做主干、出口双千兆、百兆到桌面 的大型综合性校园网。布置信息点 15000 余个,敷设光纤12 万米,共计接入微机10000 余台实现了nternet 和 I Cernet 的双接入,提供 www、DNS 、Email 、FTP 等服务,同时面向校园网内用户提供了校 园一卡通、课件点播、视频点播、办公自动化、网上图书检索、网上选课、网上评教等服务。
> 南山和东海校区的网络实际流量已经达到千兆水平,需要高性能的NAT设备。考虑到去往教育网地址必须走教育网的出口,出口设备上一定支持策略路由。
> 两个校园网上PC数量达到上万台,其中某些机器中毒,会产生大量的垃圾流量, 此外学校服务器多数采用WINDOWS系统,存在中毒或被入侵的风险。 因此, 需要检测网络流量中的病毒和入侵威胁,把通过Internet和教育网过来的数据 进行实时过滤,防止病毒和入侵行为通过互联网进入校园网络,尽量减少网络 运行的风险。
网络拓扑图
方案说明
> 两个校区的校园网出口均采用SonicWALL NSA E7500 UTM防火墙。上图以南山校区为例。网通出口和教育网出口均为千兆光纤,实际带宽也都是千兆带宽。
> 核心交换是huawi8516 核心交换机,下连多个私有网段和教育网网段, DMZ服务 器区在防火墙单独的一个物理端口上。
> 教育网的机器访问教育网的服务器地址,采用策略路由的方式,直接走教育网的 端口,无需经过NAT。
> 教育网的机器访问 Internet 的其它服务器,走网通的线路,NAT到网通线路的IP 地址池。
> 其它私有 IP VLAN 网段上的PC ,访问教育网地址时经过教育网的线路,NAT到 教育网的地址池,访问位于Internet 上的其它服务器时经过网通的线路,NAT 到网通的 IP 地址池。
> NSA E7500上同时开启网关杀毒和IPS,运行在性能优化模式。当网络总吞吐量 达到 900Mbps 时(进750M ,出150M ),NSA E7500 的平均CPU使用率在 50% 之内。测试和运行中的结果显示, SonicWALL NSA E7500 UTM 防火墙在同时 开启网关杀毒和IPS时的性能远远超过其它品牌的吞吐量,可以满足千兆流量环境的实时病毒和入侵检测的需求。
设备选型
在学校出口选用SonicWALL NSA E7500高性能的UTM综合安全网关设备,实 现防火墙,策略路由,网关杀毒, IPS 等多种功能。
实施周期
在学校网络管理人员的配合下,整理出网络的拓扑图和IP地址分配,需要发布的服务器的 地址和端口信息之后,一天之内完成全部配置,确认无误后上线,IP稳 定运行至今超过 1 年半的时间。