教育行业背景与挑战
BACKGROUND AND CHALLENGES
校园网发展的历程
第一代校园网是10/100M以太网技术为分布的PC提供了一个便利的联接通道,资源共享是第一代网络的典型特征。
第二代校园网是1000M以太网技术用于高校校园网的建设,带宽的提高促进了各种应用的发展,多媒体教学、办公自动化、网络图书馆、流媒体下载等应用出现,网络已经成为高校教育的一个不可或缺的平台。
第三代校园网是采用服务型的基础架构,能够保证多业务安全、稳定、高速的运行,核心网络服务(DDI)需要能够适用和满足用户不断增长的应用服务,体现核心网络服务带来的服务价值。
DNS服务在校园网络中的重要作用
DNS系统是校园网络服务的入口
域名系统是校园所有网络服务的入口(包括对各类业务系统的访问入口及学校用户对互联网的访问入口) 是支撑校园网络安全稳定运行的关键基础设施一旦出现故障将影响基于网络的所有服务导致网络出口和网络服务瘫痪。
DNS系统是校园网络流量管理的智能枢纽
DNS的入口地位决定了可以对网络流量进行调度管理。通过不同策略可以智能化地校园网络多出口线路进行调度管理也可以对业务系统的访问流量进行管理。
校园业务系统访问现状
学校业务系统访问现状
校内部署有众多与教学、科研、管理相关的管理信息系统办公系统、人事管理系统、教学管理系统。
对互联网用户提供门户网站、BBS.邮件系统等与外界进行信息发布和信息交互系统。
对互联网用户提供远程教育与多媒体教学系统。
学校业务系统访问中存在的问题
无智能DNS解析:在多运营商线路接入的场景下业务发布在各个运营商线路无法针对用户来源进行智能解析,导致外部用户访问非常缓慢。
业务状态无法感知:当由于应用服务器、链路及DNS故障导致业务无法提供服务时,没有有效的业务感知和切换机制。
校园多出口流量分配不均衡
学校一般都采用多链路接入,但是由于缺少自建DNS 或是采用开源系统搭建自建DNS系统导致学校出口流量不均衡影响校内用户上网体验。
使用开源自建DNS不易于管理漏洞较多容易被攻击导致DNS系统失效.影响校内用户上网。
使用运营商DNS导致用户DNS请求全部通过出口增加出口带宽压力.且解析延迟大,还可能会被运营商DNS进行拦截和过滤影响内部用户上网体验。
以上两种方式都无法进行用户流量的调度导致单一链路压力过大而其他链路不能充分使用。
DNS安全挑战
手工过程很难做到从不同来 源收集组装数据并采取有效 措施;面临各种DNS安全威胁
恶意软件使用DNS作为控制平面
恶意软件使用DNS来呼联络、传播
通过DNS数据泄露导致财务和 法律损失,品牌受损
安全运营团队对DNS的可视性有限
缺乏高可用性
DDoS攻击破坏了服务的可能性,导致生产力和收入的损失
IP地址分配和管理现状
高校用户接入和IP管理现状
校内有线、无线网络需要通过DHCP系统动态分配IP地址实现校内教师、学生的网络接入;
传统交换机开源软件分配IP地址;
以Excel表格方式记录。
高校用户接入和IP管理问题
地址分配能力不足;
IP地址管理能力单一;
移动终端跨区域需重复登录影响访问体验;
事件定位回溯能力较弱。
牙木SmartDDI 企业通用场景解决方案
牙木DDI提供专业的核心网络服务
-
核心网络服务
DNS DHCP IPAM
-
DNS 安全
External & Internal DNS Security
-
CLOUD
DDI Cloud Automation & Visibility
典型校园网络环境
网络出口区 业务服务区
多出口的流量调度 业务系统负载均衡
用户访问体验优化 业务系统健康监测
用户接入区高效可靠的IP地址分配
可视化IP地址管理
无感知认证
链路多出口智能调度
面临的问题
多链路出口负载不均衡,链路利用率低,访问延时较大;
网络访问速度较慢 用户互联网访问体验差;
解决方案
基于用户组,实现多链路出口智能调度实现指定用户访问相应的运营商;
通过内置域名库,实现应用与出口链路映射策略,实现链路链路负载均衡。
DNS服务稳定性和高可用性
面临的问题
传统的DNS服务器稳定性差,无高可用性;不能持续提供服务;
无法有效定位DNS服务停止原因;
DNS服务故障,造成大量客户端不能正常访问Internet和校内应用域。
解决方案
牙木采用自研的YMOS系统,提供专业的DDI一体机,安全稳定;
采用高可用的HA模式,保障服务的不间断性。
内网域名高效管理维护
面临的问题
内网的应用不断,域名无可视化管理,维护复杂;
域名发起申请、审核、确认、上线、回收等工作不便;
流程繁琐多部门审批,效率较低。
解决方案
牙木DDI可通过WEB界面对域名进行可视化的操作,方便快捷,便于管理维护;
系统内置工单管理,用于域名的申请、审核、确认、上线、回收等,管理操作简单;
提供丰富的报表功能,可统计分析域名使用情况。
基于业务系统的健康监测
面临的问题
业务系统宕机,造成终端客户无法访问应用;
无法有效监测业务应用服务器状态。
解决方案
牙木DDI支持实时宕机监测,一旦发现应用服务器异常,自动将域名解析切换到备用服务器上,提高系统的稳定;
通过内置丰富的探测方式:ICPMP、UDP、TCP、HTTP/HTTPS、SMTP、SNMP等方式,多维度实时、周期性的探测应用状态;
灵活的切换方式:当监测到故障时可自动方式解析切换,同时支持邮件告警和页面告警通知管理员。
DNS安全威胁
面临的问题
传统提供DNS的Windows&BIND面临着软件版本和漏洞的风险无法有效抵御DNS攻击,无法识别伪装的DNS异常流量。
解决方案
牙木是非开源,纯自主开发的系统,可以避免软件版本和漏洞风险;
内置增强型的安全模块,可有效防止DNS隧道泄密,DNS投毒,DNS限速、域名劫持类攻击等DNS安全威胁;
全面支持DNSSEC多种安全防护机制,保障系统安全性及可靠性;
实时统计分析报表,集中展现DNS攻击情况,以图形化方式直观显示。
抗DDoS DNS安全解决方案
• Smart DDI设备采用专用自主研发架构,具有天然安全加固基因;
• 非开源,非BIND,天然免疫BIND漏洞;
• 系统设计在链路层工作模式,单机DNS解析性能高达100万QPS,从系统架构上可以抵挡DNS DDOS攻击,包括UDP FLOODING等攻击。
DNS冗灾YamuCloud
云解析服务
用户将域名托管至牙木云解析,云解析为用户管理并提供域名权威解析,在提高域名解析的安全性的同时节省IT建设成本和维护成本
多节点
全球领先的DNS集群技术:多个国内、外云集群节点,分布于多运营商在同时提供专业解析服务;
域名防劫持监测服务
针对本地网络运营商更改域名解析结果的情况推出的增值服务。利用分布在全国各地的数千个检测节点,牙木产品可帮助检查网站在某个地区是否受到当地网络运营商的劫持,并及时通知。
地址管理可视化
面临的问题
终端数量的急剧增长,手工管理IP地址非常困难;
不能有效合理掌握IP地址使用情况,造成IP地址不够用;
传统DHCP无法做到高可用,存在单点故障。
解决方案
牙木DDI可提供对IP地址多维度的管理界面,统一配置管理和报表输出可实时查看IP地址的使用分配情况,掌握IP使用动态;
设备性能LPS、网络流量和终端类型等按时段、图形化统计,并要求能生成和导出统计报告
支持DHCP HA&Failover,保障DHCP服务不间断。
教育行业典型服务案例
Typical service cases
X防科技大学
项目概况
项目概况
客户之前采用windows server部署DNS服务,无法对访问用户指定访问链路网络多线路接入,带宽流量占用不均衡,终端用户上网体验差业务访问量快速增长给DNS系统带来极大挑战,微软DNS性能及响应速度已不能满足微软DNS稳定性差,系统频繁升级导致管理维护困难,不能满足企业信息化建设要求
设备清单
2 台 x Yamu Smart DDI 2201
方案优势
部署在DMZ区提供双链路业务发布
链路智能解析功能提供独立DNS资源池,避免电信/联通用户跨网导致较差的用户体验
专用设备稳定,易管理,运维工作效率极大提高
上海X学院
项目概况
项目概况
客户采用开源的BIND方式部署DNS服务,面临开源系统存在漏洞风险,易遭受攻击
BIND采用命令行操作维护,不易维护管理
无法图形化展示整个系统和业务状态;无法实时有效统计分析DNS解析日志
设备清单
2 台 x Yamu Smart DDI 2500
方案优势
部署在DMZ区提供内网DNS服务
全中文WEB管理界面,运维效率大大提高
增强的DNS安全防护功能,放心无风险
丰富的日志报表功能,可多维度展示网络整体情况
X江大学
项目概况
项目概况
客户采用开源的BIND方式部署DNS服务,面临开源系统存在漏洞风险,易遭受攻击
BIND采用命令行操作维护,不易维护管理
无法图形化展示整个系统和业务状态;无法实时有效统计分析DNS解析日志
设备清单
2 台 x Yamu Smart DDI 2500
方案优势
部署在DMZ区提供内网DNS服务
全中文WEB管理界面,运维效率大大提高
增强的DNS安全防护功能,放心无风险
丰富的日志报表功能,可多维度展示网络整体情况