构建智能安全的智慧校园应用交付网络 孙方霆高级系统工程师 2015/4
交流大纲 智慧校园建设面临的挑战 安全智能的 ACOS 应用交付系统架构 A10 应用交付解决方案在智能校园中的应用 教育行业成功案例
绿色校园 信息管理 生态校园 平安校园 2008 年,IBM 第一次提出智慧地球概念 虚拟化大数据 2010 年, 浙江大学提出智慧校园概念云计算物联网 远程教育 数字图书馆 科学校园 校园一卡通 3
智能校园应用交付平台面临的挑战 应用复杂, 性能要求高 新型云计算平台构建 持续增长 层出不穷 的安全威胁 业务访问实时性和突发性 多个互联网出口 IPv4/IPv6 共存 校园信息管理系统整合 大数据分析 数据流量和终端数量爆发性增长 虚拟化的延伸 平台统一管理和自动化部署 应用服务虚拟化 物联网和传感器网络 SDN/NFV/VxLAN/NVGRE 敏感信息泄露 基于 Web 应用漏洞的攻击 大流量 DDoS 攻击 校园网络 / 应用资源滥用 非授权访问 4
交流大纲 智慧校园建设面临的挑战 安全智能的 ACOS 应用交付系统架构 A10 应用交付解决方案在智能校园中的应用 教育行业成功案例
ACOS: 重新思考应用交付数据处理的系统架构 高价值业务 : 共享内存架构应用优化, 应用可靠性, 应用安全 OSI 参考模型应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 1 2 3 N IP: 192.168.1.1 流量智能加速 MAC: f4:f9:51:f0:d5:9d IP: 192.168.1.1 交换与路由 MAC: f4:f9:51:f0:d5:9d ACOS: Advanced Core Operating System 低价值业务 : 报文转发 / 网络隔离 网络流量高性能预处理 : 基于硬件的 L2-L4 流量高性能预处理 基于硬件优化的流量智能分布 基于硬件的网络层安全防御 高扩展性的应用层处理 : 具备高度可扩展性的 SMP 架构 独一无二的共享内存架构 并行处理确保性能线性扩展 7
基于 ACOS 的产品体系架构 统一策略管理 agalaxy axapi Policy Engine acloud acloud Services Architecture (SDN & Cloud Integration) 产品线 ADC CGN TPS ACOS Advanced Core Operating System 系统平台与功能 应用优化应用加速 IPv6 ADC SSL GSLB TCP Opt aflex 应用安全 DDoS SSL WAF AAM DAF IPsec VPN 私有数据中心 公共数据中心 ( 多租户 ) 产品形态 Thunder & AX Series Appliances Virtual Chassis (avcs ) Application Delivery Partitions (ADP) Thunder HVA Appliances vthunder Perpetual License vthunder Pay-as-you-Go License IT 交付模型 专有 IT 系统 托管 IT 系统 Cloud IaaS 8
ACOS 4.0: 更加开放和灵活的应用交付操作系统 Cloud, SDN, NFV Security Integration Policy Engine Elastic Services Application Networking Telemetry 10
交流大纲 智慧校园建设面临的挑战 安全智能的 ACOS 应用交付系统架构 A10 应用交付解决方案在智能校园中的应用 教育行业成功案例
智能校园应用交付部署场景 数据中心高可用和扩展 应用性能弹性扩展 L4-7 安全性保障 可编程业务逻辑处理 校园网出口 智能路由及 NAT 多链路接入 DDoS 安全防护 IPv6 迁移 云数据中心快速集成 12
应用场景 : 校园网数据中心整合和优化 提升应用可用性 减少业务宕机时间 快速扩展业务性能 云计算环境集成 Backup Data Center 安全 : DDoS 防御 Web 应用防火墙 DNS 应用防火墙应用认证统一管理 IPsec VPN 应用优化和加速 提升用户体验 减少运维成本 可靠性 : GSLB HA 健康检查 A10 ADC 应用加速 : SSL 卸载 TCP 复用 RAM 缓存内容压缩 加强应用安全 集成 WAF, 防止应用层攻击 高性能 DDoS 防护和访问控制 高性能 Site-to-Site IPsec VPN 校园网应用物联网应用远程教育和流媒体 13
应用场景 : 校园网出口优化和安全增强 提高出口应用和设备的弹性和扩展性 VPN/IPS/FW 负载均衡 单一 IP 地址的多业务发布 智能 DNS 解析和 DNS 安全防护 A10 ADC 防火墙负载均衡 DDoS 防御 Web 应用防火墙 DNS 应用防火墙应用认证统一管理流量调度 SSL 卸载 高性能 DDoS 防护, 有效保障网络安全 网络与应用层 DDoS 防护 多种 DDoS 缓解技术 多链路负载均衡, 高性能 NAT 基于 L7 内容的智能流量调度 丰富的选路策略和算法 高性能 NAT 转换 A10 ADC 数据中心 内部用户 防火墙 IDS/IPS 数据泄漏保护 防火墙负载均衡 SSL Insight 14
应用场景 :DDoS 防御 ( 流量清洗 ) 骨干网 数据中心 应用服务 流量牵引 Telemetry axapi / 手动操作 DDoS 探测系统 全面防护 从网络层到应用层的全面 DDoS 防护 提供灵活的自定义脚本功能和对数据包的深度分析 灵活的部署模式 对称模式, 非对称模式, 带外部署 开放的 SDK/RESTful API 接口 与第三方系统联动 攻击数据统计分析导入至第三方 超高性能 1U 的设备可以防御 155G 的攻击流量, 每秒 2 亿 PPS 的攻击强度 15
应用场景 : 与第三方云计算平台集成 Horizon Dashboard Client Application A10 ACOS 产品硬件 HVA 及软件 A10 LBaaS Driver RESTful API Nova Cinder Neutron OpenStack Cloud APIs Compute Storage Networking 注 : A10 LBaaS Driver 已经在 OpenStack Juno 中正式发布 16
应用场景 :IPv6 快速发布和演进 支持完善的 IPv6 演进解决方案, 解决 IPv4/IPv6 不兼容问题 CGN, NAT44, DS-Lite, 6RD, NAT64/DNS64, SLB-PT 实现从 IPv4 向 IPv6 网络的快速过渡 IPv4 应用向 IPv6 网络快速发布 17
交流大纲 智慧校园建设面临的挑战 安全智能的 ACOS 应用交付系统架构 A10 应用交付解决方案在智能校园中的应用 教育行业成功案例
数据中心整合解决方案 教育网 电信 客户挑战 10G 10G 传统方案存在性能瓶颈 数据中心业务整合 1G 1G 1G 1G 重要业务向 IPv6 网络发布 智能 DNS C-mail Novell-ED 校园网应用 Moodle 解决方案 高性能, 解决数据中心业务整合后的多种应用发布 完善的 L4-7 特性, 智能 DNS 应用层健康监测等特性 支持 IPv4 和 IPv6 网关 20
校园网出口优化 EDU CT1 CT2 CUC CMCC 客户挑战 校园网多条链路资源无法充分应用 有限的 IP 地址无法满足大量的业务发布要求 不同的用户群体具有差异化的访问要求 解决方案 链路异常的智能侦测和冗余切换 丰富的选路策略, 不同用户群 应用的差异化选路策略 校内用户 校园网应用 SSL VPN 接入 单一 IP 的多个 Web 网站发布 高性能 NAT 和智能路由 21
Smart WiFi - IPv6 演进 客户挑战 校园网 WiFi 采用 IPv6 接入, 但现有 IPv4 与 IPv6 网络完全不兼容, 大量的应用资源无法被访问? 解决方案 DNS64/DNS64 解决方案 良好的应用穿透性 支持未来全面 IPv6 演进的各种解决方案 高性能 IPv6 演进解决方案 22
ADP 虚拟分区同时实现多区域业务 客户挑战 不同网络区域对安全的要求不通, 如何在确保安全的情况下实现应用的整合? 解决方案 采用 L3V 虚拟分区技术, 在单台设备上虚拟多个分区, 分别实现 LLB 和 SLB, 同时实现管理和网络的隔离 23
A10 Networks 期望与高校携手共创安全智能的智慧校园! A10 Networks = 应用交付解决方案的技术领导者 ACOS = 灵活 高性能的应用流量处理引擎, 提供 : 虚拟化, 可编程, 开放接口, 超高性能 解决方案 = 应用交付 出口链路优化 应用加速 / 优化 IPv6 快速演进 应用安全防御 云计算
25