高可靠高安全的校園網(wǎng)絡(luò)優(yōu)化與設(shè)計(jì)
——以甘肅工業(yè)職業(yè)技術(shù)學(xué)院為例

◆盧宏才 程建峰

（甘肅工業(yè)職業(yè)技術(shù)學(xué)院 甘肅 741025）

1 引言

教育信息化技術(shù)不斷發(fā)展使校園網(wǎng)成為學(xué)校開展信息化教學(xué)、科研及服務(wù)等的基礎(chǔ)，隨著校園網(wǎng)絡(luò)的各類應(yīng)用、用戶數(shù)及軟硬件設(shè)備的增加，對(duì)軟硬件、帶寬和服務(wù)的要求不斷提高，校園網(wǎng)絡(luò)的安全、穩(wěn)定、擴(kuò)展等性能受到考驗(yàn)，現(xiàn)有的校園網(wǎng)不僅不能滿足當(dāng)下用戶需求，而且存在極大的安全風(fēng)險(xiǎn)和管理難度。因此必須通過合理規(guī)劃，優(yōu)化校園網(wǎng)的設(shè)計(jì)才能有效解決當(dāng)下教育信息化的需求和發(fā)展[3-4]。

2 現(xiàn)網(wǎng)分析

2.1 現(xiàn)網(wǎng)拓?fù)浣Y(jié)構(gòu)

學(xué)校校園網(wǎng)主體業(yè)務(wù)分為三部分，有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)和應(yīng)用服務(wù)；有線網(wǎng)絡(luò)于2010年建設(shè)，核心為華為S9303 交換機(jī)、NE40E-X3路由器組成核心區(qū)域，接入設(shè)備為華為S3300 接入交換機(jī)，采用核心-接入的二層結(jié)構(gòu)，中間沒有匯聚，直接由核心到接入交換機(jī)，出口與無線網(wǎng)絡(luò)同時(shí)采用迪普DPX8000-A12 外聯(lián)對(duì)接移動(dòng)、聯(lián)通、教育科研網(wǎng)三條鏈路。有線網(wǎng)絡(luò)架構(gòu)為核心-接入之間采用單鏈路連接。現(xiàn)有線網(wǎng)拓?fù)淙鐖D1：

圖1 現(xiàn)有網(wǎng)絡(luò)拓?fù)鋱D

2.2 現(xiàn)網(wǎng)存在問題

（1）核心、匯聚、接入鏈路均為單鏈路，核心設(shè)備單節(jié)點(diǎn)，并且建設(shè)時(shí)間長，網(wǎng)絡(luò)可靠性低；接入交換機(jī)最大帶寬支持百兆到桌面，不能滿足日益增長的業(yè)務(wù)需要，目前鏈路已經(jīng)影響目前的業(yè)務(wù)使用。

（2）只在出口處部署安全網(wǎng)關(guān)，網(wǎng)絡(luò)內(nèi)部缺少分區(qū)域管理，缺乏一些必要的安全防護(hù)設(shè)備，如數(shù)據(jù)庫審計(jì)、日志審計(jì)和堡壘機(jī)等。

（3）IP 地址、VLAN 劃分混亂，對(duì)于故障排查、運(yùn)維難度增加。

3 改造目標(biāo)

3.1 建設(shè)一個(gè)網(wǎng)絡(luò)結(jié)構(gòu)清晰，高可擴(kuò)展性的網(wǎng)絡(luò)

總體采用核心-匯聚-接入三層網(wǎng)絡(luò)建設(shè)結(jié)構(gòu)，使得校園網(wǎng)拓?fù)浣Y(jié)構(gòu)層次清晰，穩(wěn)定可靠，并且具備良好的可擴(kuò)展性；利用現(xiàn)有硬件進(jìn)行改造擴(kuò)展，核心交換機(jī)使用華為S12708，2 臺(tái)華為ACU-2 使用VRRP 方式用來管理AP，樓宇匯聚交換機(jī)使用華為S5720，接入交換機(jī)使用H3C 的S5530C，出口網(wǎng)關(guān)使用迪普DPX8000-A12，華為ME60-X8 作為認(rèn)證網(wǎng)關(guān)BRAS，整個(gè)網(wǎng)絡(luò)采用千兆接入、骨干萬兆的核心無阻塞網(wǎng)絡(luò)架構(gòu)[5-6]，滿足未來網(wǎng)絡(luò)需要承載更多的業(yè)務(wù)及提供更多的優(yōu)質(zhì)服務(wù)的需求，同時(shí)滿足校園網(wǎng)未來5年持續(xù)發(fā)展需求。

3.2 建設(shè)統(tǒng)一運(yùn)維管理平臺(tái)

學(xué)校需要建設(shè)一個(gè)統(tǒng)一化的便捷網(wǎng)絡(luò)管理平臺(tái)。包括對(duì)有線、無線的集中管理，對(duì)網(wǎng)絡(luò)故障的快速定位，對(duì)網(wǎng)絡(luò)質(zhì)量的精準(zhǔn)分析。由現(xiàn)有網(wǎng)管平臺(tái)對(duì)有線、無線進(jìn)行統(tǒng)一管理。

3.3 接入層設(shè)備升級(jí)改造

目前網(wǎng)絡(luò)為接入層到核心二層結(jié)構(gòu)。傳統(tǒng)校園網(wǎng)的接入層為百兆帶寬，已經(jīng)不能滿足現(xiàn)有網(wǎng)絡(luò)應(yīng)用的高速傳輸需求。通過對(duì)校園網(wǎng)中部分使用年限過長或者功能比較差不符合網(wǎng)絡(luò)需求的接入設(shè)備進(jìn)行替換，達(dá)到千兆接入、骨干萬兆，確保校園網(wǎng)接入層設(shè)備運(yùn)行穩(wěn)定性和可靠性[7]。

3.4 網(wǎng)絡(luò)安全及可靠改造

學(xué)校校園內(nèi)網(wǎng)絡(luò)使用用戶眾多，角色復(fù)雜，為了更好管理網(wǎng)絡(luò)，做好教學(xué)輔助的工作，網(wǎng)絡(luò)必須建立行為審計(jì)機(jī)制，具備高效的非法追溯工具，維護(hù)網(wǎng)絡(luò)的穩(wěn)定和健康，滿足相關(guān)法律法規(guī)的要求。根據(jù)等級(jí)保護(hù)保2.0 要求對(duì)相關(guān)業(yè)務(wù)重新等級(jí)備案。比如門戶網(wǎng)站系統(tǒng)采用三級(jí)等級(jí)保護(hù)建設(shè)思路進(jìn)行建設(shè)，私有云部分進(jìn)行安全加固，日志進(jìn)行及時(shí)存儲(chǔ)，運(yùn)維采用專有運(yùn)維設(shè)備登錄等，進(jìn)行及時(shí)安全加固[8]。

4 學(xué)校網(wǎng)絡(luò)改造設(shè)計(jì)

根據(jù)現(xiàn)有網(wǎng)絡(luò)和改造目標(biāo)進(jìn)行分析，優(yōu)化、設(shè)計(jì)出集有線無線網(wǎng)絡(luò)一體的網(wǎng)絡(luò)物理架構(gòu)改造拓?fù)鋱D，如圖2所示：

圖2 有線無線網(wǎng)絡(luò)一體的網(wǎng)絡(luò)改造拓?fù)鋱D

該設(shè)計(jì)具有以下特點(diǎn)：

（1）網(wǎng)絡(luò)架構(gòu)各個(gè)區(qū)域模塊化，基礎(chǔ)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)均可獨(dú)立維護(hù)。

（2）以核心節(jié)點(diǎn)為“根”，采用虛擬化技術(shù)，同時(shí)通過鏈路聚合保障鏈路冗余的同時(shí)，又可以做到負(fù)載。

4.1 具體網(wǎng)絡(luò)改造方案

4.1.1 核心層設(shè)計(jì)規(guī)劃

核心層通過兩臺(tái)新建無線核心交換機(jī)，網(wǎng)絡(luò)核心層作為整個(gè)學(xué)校的數(shù)據(jù)交換核心，是應(yīng)用系統(tǒng)可靠和高效率運(yùn)行的基礎(chǔ)，因此在核心區(qū)配置吞吐量高、核心全分布式接入，接入各個(gè)功能區(qū)域，通過萬兆互聯(lián)，形成無阻塞線速轉(zhuǎn)發(fā)核心網(wǎng)。核心層設(shè)備主、備模式來增加穩(wěn)定性。核心層核心交換機(jī)采用華為S12708 敏捷交換機(jī)，設(shè)備關(guān)鍵部件如主控引擎、交換網(wǎng)板、電源、風(fēng)扇框等冗余。

通過對(duì)有線側(cè)的遷移，將目前校園網(wǎng)有線、無線進(jìn)行統(tǒng)一融合，根據(jù)樓宇進(jìn)行VLAN、IP 地址段的詳細(xì)劃分，方便運(yùn)營維護(hù)[9]。

4.1.2 匯聚層改造規(guī)劃

現(xiàn)根據(jù)全網(wǎng)光化的方式進(jìn)行設(shè)計(jì)，進(jìn)行各區(qū)域數(shù)據(jù)的整體轉(zhuǎn)發(fā)，采用以樓宇為匯聚節(jié)點(diǎn)，對(duì)各樓宇數(shù)據(jù)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。鏈路至核心采用冗余部署，提高可靠性，并且采用萬兆骨干的形式進(jìn)行數(shù)據(jù)無阻塞轉(zhuǎn)發(fā)。

4.1.3 接入層改造規(guī)劃

現(xiàn)根據(jù)目前交換機(jī)現(xiàn)狀，對(duì)原有傻瓜交換機(jī)、百兆交換機(jī)進(jìn)行替換，更新為可配置、上行千兆光口交換機(jī)進(jìn)行替換配置，鏈路至匯聚采用冗余部署，提高可靠性，整體校園網(wǎng)絡(luò)為千兆至桌面、骨干萬兆的思想進(jìn)行整改建設(shè)。

4.2 網(wǎng)絡(luò)安全改造

現(xiàn)網(wǎng)采用迪普出口安全網(wǎng)關(guān)DPX8000-A12 進(jìn)行整體安全防護(hù)，內(nèi)置IPS、防火墻等模塊，對(duì)校園網(wǎng)整體安全出口進(jìn)行防護(hù)。同時(shí)出口側(cè)部署了漏洞掃描、VPN 等設(shè)備對(duì)數(shù)據(jù)中心服務(wù)器等設(shè)備進(jìn)行漏洞掃描，補(bǔ)丁漏洞掃描等。數(shù)據(jù)中心采用DPX8000-A12 進(jìn)行數(shù)據(jù)中心側(cè)安全防護(hù)，內(nèi)置WAF、防火墻等功能模塊對(duì)校園網(wǎng)數(shù)據(jù)中心網(wǎng)站進(jìn)行防護(hù)。

以現(xiàn)有的安全防護(hù)，無法應(yīng)對(duì)等級(jí)保護(hù)2.0新的標(biāo)準(zhǔn)及整體檢查，改造后網(wǎng)絡(luò)拓?fù)鋱D如圖3。

圖3 改造后網(wǎng)絡(luò)拓?fù)鋱D

4.2.1 分區(qū)分域

在“三重防護(hù)體系”下，對(duì)網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行區(qū)域劃分，以便對(duì)網(wǎng)絡(luò)內(nèi)各區(qū)域重點(diǎn)防護(hù)。通過劃分區(qū)域，對(duì)整體網(wǎng)絡(luò)進(jìn)行清楚的規(guī)劃[10]，具有以下意義：

區(qū)域的劃分使整體網(wǎng)絡(luò)結(jié)構(gòu)的界限清晰；

（1）具有相同安全保護(hù)要求的網(wǎng)絡(luò)和設(shè)備劃分到一個(gè)安全區(qū)域中；

（2）不同的安全區(qū)域內(nèi)，可方便地部署不同類型和功能的安全防護(hù)設(shè)備和產(chǎn)品，同時(shí)形成相輔相成的多層次立體防護(hù)體系；

同一個(gè)安全區(qū)域內(nèi)可方便地部署相同或相似的安全防護(hù)策略。分區(qū)分域保護(hù)做到重點(diǎn)明確，將有效的安全資源投入到最需要保護(hù)的部分，并且由各個(gè)不同的區(qū)域組成多層次的立體防護(hù)體系。

4.2.2 安全管理區(qū)域

對(duì)涉及的安全審計(jì)、基本安全防護(hù)、身份鑒別、漏洞掃描、安全集中管理和數(shù)據(jù)庫安全防護(hù)等方面的安全需求，進(jìn)行必要軟硬件的部署[11]，在保證網(wǎng)絡(luò)穩(wěn)定的基礎(chǔ)上，進(jìn)一步對(duì)整個(gè)網(wǎng)絡(luò)的安全進(jìn)行有效的保護(hù)作用。

5 結(jié)束語

通過介紹甘肅工業(yè)職業(yè)技術(shù)學(xué)院校園網(wǎng)有線無線改造設(shè)計(jì)實(shí)踐，分析了當(dāng)前校園網(wǎng)絡(luò)存在核心、匯聚、接入鏈路均為單鏈路、核心設(shè)備單節(jié)點(diǎn)、網(wǎng)絡(luò)可靠性低，接入交換機(jī)僅能百兆到桌面，只在出口處部署安全網(wǎng)關(guān)，網(wǎng)絡(luò)內(nèi)部缺少分區(qū)域管理，缺乏一些必要的安全防護(hù)設(shè)備，IP 地址、VLAN 劃分混亂，對(duì)于故障排查、運(yùn)維難度增加等問題進(jìn)行了詳細(xì)的分析，按照需求，明確了改造目標(biāo)，詳細(xì)的設(shè)計(jì)了優(yōu)化方案，并對(duì)于校園網(wǎng)安全管理方面給出了改造方案，實(shí)現(xiàn)有線無線網(wǎng)絡(luò)統(tǒng)一管理，為工作人員運(yùn)行和維護(hù)提供了極大地方便，同時(shí)也對(duì)網(wǎng)絡(luò)的可靠性和安全性進(jìn)行了改造，網(wǎng)絡(luò)安全和可靠性進(jìn)一步得到了保障[12]，能夠完全適應(yīng)當(dāng)前教育信息化的需求。