广东工业大学校园网出口综合防护

广东工业大学是一所以工为主、工理经管文法结合的、多科性协调发展的省属重点大学。随着信息化建设的深入和师生规模的不断增加，原有校园互联网出口链路和设备已无法支撑海量访问，互联网出口带宽及出口设备的扩容升级已势在必行。

在广东工业大学实施出口带宽扩容项目中，具有高性能、高可靠、高可扩特点的Hillstone SG-6000–X6150数据中心防火墙，部署在校园网互联网出口链路上，设备不但可有效支撑当前的上网规模，其可扩展性也为未来的网络持续扩容留有余地，此外，设备支持的多链路负载、智能带宽管理、ISP路由等技术，也进一步提升了用户的上网体验，为精细化的上网管理提供更有效的手段。

需求分析

广东工业大学需要对原有校园网络进行扩容改造，以满足不断增长的校园网用户的上网需要，为此，提出了下面的需求：

● 高性能保障：广东工业大学校园网最多同时在线1万多用户，高峰时流量接近2G。因此，需要高性能安全设备来满足海量接入访问量；

● 多链路负载均衡：广东工业大学校园网共有2条某运营商链路和1条教育网链路。为此广东工业大学期望引入多链路负载均衡技术，平时能够更智能地在多条链路上均衡负载，更合理地使用链路资源；而当某条链路故障，系统也能够将故障链路上转发的流量自动切换到其他正常链路上，从而保障用户的上网持续；

● 有效的带宽管理：广东工业大学校园网中存在大量的P2P下载和网络视频的流量，占用了大量的带宽资源，导致正常网络访问受到影响，为此学校期望引入精细化的带宽管控手段，在保障正常的互联网浏览、电子邮件发送等访问的同时，尽量控制P2P和网络视频的流量，提升带宽的利用率；

● 合理控制设备升级成本：随着广东工业大学校园网规模的扩大和网络应用的增多，未来会需要不断增加设备来满足校园网的需求。为此用户期望引入的安全设备必须支持可扩展性，在扩展性能的同时能够保护前期投资。

解决方案

在进行了长达一年多的测试和对比之后，广东工业大学最终选择了HillstoneSG-6000-X6150数据中心防火墙，设备部署在互联网出口处，发挥了如下作用：

● 高性能的安全架构

HillstoneSG-6000-X6150数据中心防火墙是基于新一代多核网络安全架构和64位并行处理的StoneOS安全内核的硬件安全设备，其吞吐量、每秒新建会话数以及最大的并发会话等性能指标都是传统防火墙的数倍。高性能很好地保障了上网访问的速率，同时大大减少网络出口接入设备的数量，简化了网络结构，降低了网络延时。

● 多链路负载均衡

HillstoneSG-6000–X6150数据中心防火墙支持多链路Outbound 流量的负载均衡，并可针对每条链路建立全路径健康检查，并针对链路负载状态自动分配上网流量，使出口链路的使用更加合理。在此基础上支持的链路智能切换功能，确保当单条链路故障时，能够将故障链路上转发的上网访问自动切换到其他正常链路上，从而保障上网访问的连续性。而且，设备内置了ISP 路由信息，按照目标地址自动在多条运营商链路上智能路由，加快上网访问速度。

● 智能带宽管理

Hillstone SG-6000–X6150数据中心防火墙支持基于应用和基于IP的带宽控制技术，在广东工业大学，通过该技术将带宽资源尽量分配给网页浏览、邮件收发等正常业务的访问，而尽量压缩P2P、网络视频的流量，从而使带宽资源利用率更加优化。

● 性能可灵活按需配置按需扩展

HillstoneSG-6000–X6150数据中心防火墙的弹性架构，在需要扩容时，通过增加相应的业务处理板卡即可实现，对于广东工业大学，当上网用户规模增加时，无需另外购买设备，从而有效保护了前期投资，更合理的控制了网络改造和设备升级的成本。

运行效果

HillstoneSG-6000–X6150数据中心防火墙上线以后，设备运行稳定，在高峰期流量达到２个Ｇ左右，设备CPU使用率在30％到40％左右，并且用户体验良好，P2P下载和网络视频得到了控制，保障了网页浏览、邮件收发等的正常业务的高效访问。同时也为广东工业大学提供极大的性能扩展空间，有效保护广东工业大学的前期投资。