擴容升級網絡

校園網現狀

校園網出口設備深信服AD-2000上聯三條光纖鏈路到運營商，下聯兩臺思科ASA 5550防火墻，防火墻下聯兩臺思科6509-E核心交換機，服務器群直接連接到思科6509-E主核心交換機上，新校區各棟樓的思科3560-E匯聚交換機分別上聯兩臺核心交換機，老校區一臺思科6509交換機作為匯聚交換機分別上聯兩臺核心交換機，新老兩個校區各棟樓的樓層接入交換機分別上聯到各棟樓的匯聚交換機，接入交換機主要采用思科、華為、華三等主流廠商的設備。

圖1 改造前網絡拓撲圖

存在的問題

我校老校區網絡設備已經運行近十年，全部進入報廢期；絕大多數設備都更換過電源或板卡等模塊，對系統穩定運行造成極大隱患，近年來冗余連接及單點故障逐步增多，用戶網絡中斷時有發生。新校區網絡設備已經運行了六年，全部進入老化期；樓層匯聚交換機很多都更換過電源模塊，接入交換機有不少都返廠維修過，而且各棟樓的弱電機房環境惡劣，里面運行著大量的三大運營商的基站設備，管理混亂，給日常維護帶來許多不便。隨著我校網絡規模的不斷擴大，原來的出口設備已經不能滿足需求，經常出現丟包故障，兩臺防火墻也相繼宕機返廠維修，嚴重影響了校園網的穩定運行，因此急需對校園網進行升級改造。

升級改造解決方案

1、出口設備性能不足，經常出現丟包故障，兩臺防火墻也相繼出現硬件故障返廠維修等問題，考慮到三臺設備都已經過保，并且性能都不能滿足需求，故只能更換設備。根據公安部82號令要求，互聯網服務提供者、聯網使用單位必須具有“記錄并留存用戶訪問的互聯網地址或域名”，“在公共信息服務中發現、停止傳輸違法信息，并保留相關記錄，能夠記錄并留存發布的信息內容及發布時間”，“防范、清除以群發方式發送偽造、隱匿信息發送者真實標記的電子郵件或者短信息”，“應當具有至少保存六十天記錄備份的功能”的措施，為了規避政策風險，經研究決定購買一臺360網神下一代防火墻，配置雙電源，作為出口網關；購買一臺深信服上網行為管理，配置雙電源，作審計；購買一臺啟明星辰Web應用防火墻，配置雙電源，為服務器群提供應用安全防護。

下一代防火墻配置（部分）

將三條運營商的光纖鏈路連接到下一代防火墻的千兆光口上，定義這三個光口的安全域為untrust；將下一代防火墻上的兩個萬兆光口分別連接到上網行為管理的兩個上行萬兆光口，定義這兩個光口的安全域為trust；將下一代防火墻上的另外兩個萬兆光口做端口聚合，定義該聚合口的安全域為dmz，分別連接到dmz交換機的兩個上行萬兆光口。

在下一代防火墻上配置策略路由，實現三條出口鏈路流量負載均衡；配置靜態路由和SNAT，實現校園網用戶使用私有地址訪問互聯網；配置DNAT，將學校主網站、招生網、學工網等網站對外發布；配置安全策略過濾不安全的訪問，啟用入侵防護功能攔截網絡攻擊，啟用病毒檢測功能查殺病毒，啟用SSL VPN功能實現校外教職工安全訪問校園網內部資源，啟用靜態DNS，實現校園網用戶訪問學校對外發布的網站由下一代防火墻負責解析域名。

上網行為管理配置（部分）

將上網行為管理的四個萬兆光口兩兩一組做網橋，分別上聯下一代防火墻的兩個萬兆光口，下聯兩臺核心交換機的兩個萬兆光口。在上網行為管理上啟用流量管理功能，根據應用類型做流控。上網策略和認證策略全部使用設備默認配置，等下次認證服務器采購到貨后再單獨規劃配置。

Web應用防火墻配置（部分）

將Web應用防火墻的四個萬兆光口兩兩一組做端口聚合，再做網橋，分別上聯下一代防火墻的兩個萬兆光口（聚合口），下聯dmz交換機的兩個萬兆光口（聚合口）。在Web應用防火墻上根據訪問類型http和https定義網站地址對象，根據網站應用類型定義事件集、站點安全，配置虛擬服務和Flood防護等應用防護策略。

圖2 改造后網絡拓撲圖

2、老校區網絡設備都進入了報廢期，經研究決定匯聚交換機全部換成華三S5560-30F-EI三層交換機，接入交換機換成華三S5120S-EI弱三層交換機。新校區網絡設備都進入了老化期，經研究決定將部分狀況較差的匯聚交換機換成華為S5720-56CEI-48S三層交換機，部分狀況差的接入交換機換成華為S5700-LI弱三層交換機。無線局域網的升級改造已于2016年上半年完成，該文已在《網絡安全和信息化》雜志2016年第11期刊登，在此就不在贅述。按照以上提供的解決方案，校園網升級改造完成后的網絡拓撲結構如圖2所示。

經驗總結

網絡升級改造是一項非常復雜的系統工程，它涉及范圍廣，工作量大，責任重大。因此，前期要做好方案，測試工作必須做到位，尤其是不同廠商交換機的生成樹對接問題，不同廠商網絡設備的端口聚合問題要特別引起注意。