构 建 智 能 安 全 的 智 慧 校 园 应 用 交 付 网 络 孙 方 霆 高 级 系 统 工 程 师 2015/4
交 流 大 纲 智 慧 校 园 建 设 面 临 的 挑 战 安 全 智 能 的 ACOS 应 用 交 付 系 统 架 构 A10 应 用 交 付 解 决 方 案 在 智 能 校 园 中 的 应 用 教 育 行 业 成 功 案 例
绿 色 校 园 信 息 管 理 生 态 校 园 平 安 校 园 2008 年,IBM 第 一 次 提 出 智 慧 地 球 概 念 虚 拟 化 大 数 据 2010 年, 浙 江 大 学 提 出 智 慧 校 园 概 念 云 计 算 物 联 网 远 程 教 育 数 字 图 书 馆 科 学 校 园 校 园 一 卡 通 3
智 能 校 园 应 用 交 付 平 台 面 临 的 挑 战 应 用 复 杂, 性 能 要 求 高 新 型 云 计 算 平 台 构 建 持 续 增 长 层 出 不 穷 的 安 全 威 胁 业 务 访 问 实 时 性 和 突 发 性 多 个 互 联 网 出 口 IPv4/IPv6 共 存 校 园 信 息 管 理 系 统 整 合 大 数 据 分 析 数 据 流 量 和 终 端 数 量 爆 发 性 增 长 虚 拟 化 的 延 伸 平 台 统 一 管 理 和 自 动 化 部 署 应 用 服 务 虚 拟 化 物 联 网 和 传 感 器 网 络 SDN/NFV/VxLAN/NVGRE 敏 感 信 息 泄 露 基 于 Web 应 用 漏 洞 的 攻 击 大 流 量 DDoS 攻 击 校 园 网 络 / 应 用 资 源 滥 用 非 授 权 访 问 4
为 何 这 些 挑 战 如 此 难 以 应 对? 高 价 值 业 务 : 应 用 优 化, 应 用 可 靠 性, 应 用 安 全 OSI 参 考 模 型 应 用 层 表 示 层 会 话 层 传 输 层 应 用 网 络 : 处 理 对 象 高 价 值 的 业 务 对 计 算 资 源 极 其 敏 感 (CPU/ 内 存 ) 传 统 设 备 性 能 扩 展 困 难 网 络 层 数 据 链 路 层 物 理 层 低 价 值 业 务 : 报 文 转 发 / 网 络 隔 离 MAC: f4:f9:51:f0:d5:9d IP: 192.168.1.1 IP: 192.168.1.1 MAC: f4:f9:51:f0:d5:9d 传 统 网 络 : 固 定 数 据 格 式 利 于 芯 片 高 性 能 处 理 有 限 的 低 价 值 的 L2-L4 的 流 量 处 理 对 应 用 状 态 的 感 知 非 常 有 限 5
交 流 大 纲 智 慧 校 园 建 设 面 临 的 挑 战 安 全 智 能 的 ACOS 应 用 交 付 系 统 架 构 A10 应 用 交 付 解 决 方 案 在 智 能 校 园 中 的 应 用 教 育 行 业 成 功 案 例
ACOS: 重 新 思 考 应 用 交 付 数 据 处 理 的 系 统 架 构 高 价 值 业 务 : 共 享 内 存 架 构 应 用 优 化, 应 用 可 靠 性, 应 用 安 全 OSI 参 考 模 型 应 用 层 表 示 层 会 话 层 传 输 层 网 络 层 数 据 链 路 层 物 理 层 1 2 3 N IP: 192.168.1.1 流 量 智 能 加 速 MAC: f4:f9:51:f0:d5:9d IP: 192.168.1.1 交 换 与 路 由 MAC: f4:f9:51:f0:d5:9d ACOS: Advanced Core Operating System 低 价 值 业 务 : 报 文 转 发 / 网 络 隔 离 网 络 流 量 高 性 能 预 处 理 : 基 于 硬 件 的 L2-L4 流 量 高 性 能 预 处 理 基 于 硬 件 优 化 的 流 量 智 能 分 布 基 于 硬 件 的 网 络 层 安 全 防 御 高 扩 展 性 的 应 用 层 处 理 : 具 备 高 度 可 扩 展 性 的 SMP 架 构 独 一 无 二 的 共 享 内 存 架 构 并 行 处 理 确 保 性 能 线 性 扩 展 7
基 于 ACOS 的 产 品 体 系 架 构 统 一 策 略 管 理 agalaxy axapi Policy Engine acloud acloud Services Architecture (SDN & Cloud Integration) 产 品 线 ADC CGN TPS ACOS Advanced Core Operating System 系 统 平 台 与 功 能 应 用 优 化 应 用 加 速 IPv6 ADC SSL GSLB TCP Opt aflex 应 用 安 全 DDoS SSL WAF AAM DAF IPsec VPN 私 有 数 据 中 心 公 共 数 据 中 心 ( 多 租 户 ) 产 品 形 态 Thunder & AX Series Appliances Virtual Chassis (avcs ) Application Delivery Partitions (ADP) Thunder HVA Appliances vthunder Perpetual License vthunder Pay-as-you-Go License IT 交 付 模 型 专 有 IT 系 统 托 管 IT 系 统 Cloud IaaS 8
ACOS 的 优 势 弹 性 和 灵 活 性 可 用 性 可 扩 展 性 可 编 程 流 量 :200Mbps~ 1Tbps+ 支 持 1000+ 分 区 多 种 产 品 形 态, 软 件 / 硬 件 / 集 群 丰 富 的 功 能 和 特 性 Active/Standby Active/Active N+M avcs 集 群 扩 展 Scale-out Feature Velocity 第 三 方 系 统 集 成 GUI, CLI, API 基 于 事 件 测 策 略 管 理 Service Chain 丰 富 的 RESTful API 接 口 aflex 自 定 义 脚 本 SDN 和 Cloud 集 成 无 License 限 制 高 性 能 ACOS 和 硬 件 平 台 9
ACOS 4.0: 更 加 开 放 和 灵 活 的 应 用 交 付 操 作 系 统 Cloud, SDN, NFV Security Integration Policy Engine Elastic Services Application Networking Telemetry 10
交 流 大 纲 智 慧 校 园 建 设 面 临 的 挑 战 安 全 智 能 的 ACOS 应 用 交 付 系 统 架 构 A10 应 用 交 付 解 决 方 案 在 智 能 校 园 中 的 应 用 教 育 行 业 成 功 案 例
智 能 校 园 应 用 交 付 部 署 场 景 数 据 中 心 高 可 用 和 扩 展 应 用 性 能 弹 性 扩 展 L4-7 安 全 性 保 障 可 编 程 业 务 逻 辑 处 理 校 园 网 出 口 智 能 路 由 及 NAT 多 链 路 接 入 DDoS 安 全 防 护 IPv6 迁 移 云 数 据 中 心 快 速 集 成 12
应 用 场 景 : 校 园 网 数 据 中 心 整 合 和 优 化 提 升 应 用 可 用 性 减 少 业 务 宕 机 时 间 快 速 扩 展 业 务 性 能 云 计 算 环 境 集 成 Backup Data Center 安 全 : DDoS 防 御 Web 应 用 防 火 墙 DNS 应 用 防 火 墙 应 用 认 证 统 一 管 理 IPsec VPN 应 用 优 化 和 加 速 提 升 用 户 体 验 减 少 运 维 成 本 可 靠 性 : GSLB HA 健 康 检 查 A10 ADC 应 用 加 速 : SSL 卸 载 TCP 复 用 RAM 缓 存 内 容 压 缩 加 强 应 用 安 全 集 成 WAF, 防 止 应 用 层 攻 击 高 性 能 DDoS 防 护 和 访 问 控 制 高 性 能 Site-to-Site IPsec VPN 校 园 网 应 用 物 联 网 应 用 远 程 教 育 和 流 媒 体 13
应 用 场 景 : 校 园 网 出 口 优 化 和 安 全 增 强 提 高 出 口 应 用 和 设 备 的 弹 性 和 扩 展 性 VPN/IPS/FW 负 载 均 衡 单 一 IP 地 址 的 多 业 务 发 布 智 能 DNS 解 析 和 DNS 安 全 防 护 A10 ADC 防 火 墙 负 载 均 衡 DDoS 防 御 Web 应 用 防 火 墙 DNS 应 用 防 火 墙 应 用 认 证 统 一 管 理 流 量 调 度 SSL 卸 载 高 性 能 DDoS 防 护, 有 效 保 障 网 络 安 全 网 络 与 应 用 层 DDoS 防 护 多 种 DDoS 缓 解 技 术 多 链 路 负 载 均 衡, 高 性 能 NAT 基 于 L7 内 容 的 智 能 流 量 调 度 丰 富 的 选 路 策 略 和 算 法 高 性 能 NAT 转 换 A10 ADC 数 据 中 心 内 部 用 户 防 火 墙 IDS/IPS 数 据 泄 漏 保 护 防 火 墙 负 载 均 衡 SSL Insight 14
应 用 场 景 :DDoS 防 御 ( 流 量 清 洗 ) 骨 干 网 数 据 中 心 应 用 服 务 流 量 牵 引 Telemetry axapi / 手 动 操 作 DDoS 探 测 系 统 全 面 防 护 从 网 络 层 到 应 用 层 的 全 面 DDoS 防 护 提 供 灵 活 的 自 定 义 脚 本 功 能 和 对 数 据 包 的 深 度 分 析 灵 活 的 部 署 模 式 对 称 模 式, 非 对 称 模 式, 带 外 部 署 开 放 的 SDK/RESTful API 接 口 与 第 三 方 系 统 联 动 攻 击 数 据 统 计 分 析 导 入 至 第 三 方 超 高 性 能 1U 的 设 备 可 以 防 御 155G 的 攻 击 流 量, 每 秒 2 亿 PPS 的 攻 击 强 度 15
应 用 场 景 : 与 第 三 方 云 计 算 平 台 集 成 Horizon Dashboard Client Application A10 ACOS 产 品 硬 件 HVA 及 软 件 A10 LBaaS Driver RESTful API Nova Cinder Neutron OpenStack Cloud APIs Compute Storage Networking 注 : A10 LBaaS Driver 已 经 在 OpenStack Juno 中 正 式 发 布 16
应 用 场 景 :IPv6 快 速 发 布 和 演 进 支 持 完 善 的 IPv6 演 进 解 决 方 案, 解 决 IPv4/IPv6 不 兼 容 问 题 CGN, NAT44, DS-Lite, 6RD, NAT64/DNS64, SLB-PT 实 现 从 IPv4 向 IPv6 网 络 的 快 速 过 渡 IPv4 应 用 向 IPv6 网 络 快 速 发 布 17
交 流 大 纲 智 慧 校 园 建 设 面 临 的 挑 战 安 全 智 能 的 ACOS 应 用 交 付 系 统 架 构 A10 应 用 交 付 解 决 方 案 在 智 能 校 园 中 的 应 用 教 育 行 业 成 功 案 例
国 内 教 育 行 业 成 功 案 例 中 国 教 育 部 北 京 市 教 育 委 员 会 上 海 市 教 育 委 员 会 新 疆 维 吾 尔 自 治 区 教 委 深 圳 教 育 局 深 圳 宝 安 区 教 育 局 青 岛 市 北 教 育 局 上 海 奉 贤 区 教 育 局 上 海 青 浦 区 教 育 局 上 海 市 嘉 定 区 教 委 重 庆 市 教 育 考 试 院 上 海 实 验 中 学 教 育 部 考 试 中 心 香 港 理 工 大 学 上 海 财 经 大 学 上 海 中 医 药 大 学 上 海 商 学 院 上 海 大 学 北 京 大 学 浙 江 大 学 上 海 交 通 大 学 华 东 师 范 大 学 华 东 交 通 大 学 东 华 大 学 中 国 传 媒 大 学 沈 阳 工 业 大 学 华 东 理 工 大 学 香 港 教 育 学 院 香 港 演 艺 学 院 香 港 职 业 训 练 局 中 央 财 经 大 学 北 京 林 业 大 学 深 圳 大 学 汕 头 大 学 西 安 石 油 大 学 闽 江 学 院 云 南 财 经 大 学 西 安 电 子 科 技 大 学 西 南 石 油 大 学 咸 阳 师 范 学 院 联 合 大 学 南 昌 大 学 四 川 大 学 南 京 财 经 大 学 南 京 师 范 大 学 北 京 印 刷 学 院 海 南 大 学 中 北 大 学 香 港 浸 会 大 学 西 安 欧 亚 学 院 四 川 警 察 学 院 西 安 思 源 学 院 福 建 广 播 电 视 大 学 上 海 旅 游 高 等 专 科 学 校 西 藏 民 族 学 院 天 津 科 技 大 学 上 海 电 子 工 业 学 校 19
数 据 中 心 整 合 解 决 方 案 教 育 网 电 信 客 户 挑 战 10G 10G 传 统 方 案 存 在 性 能 瓶 颈 数 据 中 心 业 务 整 合 1G 1G 1G 1G 重 要 业 务 向 IPv6 网 络 发 布 智 能 DNS C-mail Novell-ED 校 园 网 应 用 Moodle 解 决 方 案 高 性 能, 解 决 数 据 中 心 业 务 整 合 后 的 多 种 应 用 发 布 完 善 的 L4-7 特 性, 智 能 DNS 应 用 层 健 康 监 测 等 特 性 支 持 IPv4 和 IPv6 网 关 20
校 园 网 出 口 优 化 EDU CT1 CT2 CUC CMCC 客 户 挑 战 校 园 网 多 条 链 路 资 源 无 法 充 分 应 用 有 限 的 IP 地 址 无 法 满 足 大 量 的 业 务 发 布 要 求 不 同 的 用 户 群 体 具 有 差 异 化 的 访 问 要 求 解 决 方 案 链 路 异 常 的 智 能 侦 测 和 冗 余 切 换 丰 富 的 选 路 策 略, 不 同 用 户 群 应 用 的 差 异 化 选 路 策 略 校 内 用 户 校 园 网 应 用 SSL VPN 接 入 单 一 IP 的 多 个 Web 网 站 发 布 高 性 能 NAT 和 智 能 路 由 21
Smart WiFi - IPv6 演 进 客 户 挑 战 校 园 网 WiFi 采 用 IPv6 接 入, 但 现 有 IPv4 与 IPv6 网 络 完 全 不 兼 容, 大 量 的 应 用 资 源 无 法 被 访 问? 解 决 方 案 DNS64/DNS64 解 决 方 案 良 好 的 应 用 穿 透 性 支 持 未 来 全 面 IPv6 演 进 的 各 种 解 决 方 案 高 性 能 IPv6 演 进 解 决 方 案 22
ADP 虚 拟 分 区 同 时 实 现 多 区 域 业 务 客 户 挑 战 不 同 网 络 区 域 对 安 全 的 要 求 不 通, 如 何 在 确 保 安 全 的 情 况 下 实 现 应 用 的 整 合? 解 决 方 案 采 用 L3V 虚 拟 分 区 技 术, 在 单 台 设 备 上 虚 拟 多 个 分 区, 分 别 实 现 LLB 和 SLB, 同 时 实 现 管 理 和 网 络 的 隔 离 23
A10 Networks 期 望 与 高 校 携 手 共 创 安 全 智 能 的 智 慧 校 园! A10 Networks = 应 用 交 付 解 决 方 案 的 技 术 领 导 者 ACOS = 灵 活 高 性 能 的 应 用 流 量 处 理 引 擎, 提 供 : 虚 拟 化, 可 编 程, 开 放 接 口, 超 高 性 能 解 决 方 案 = 应 用 交 付 出 口 链 路 优 化 应 用 加 速 / 优 化 IPv6 快 速 演 进 应 用 安 全 防 御 云 计 算
25