摘 要:根據(jù)實(shí)際情況，對校園網(wǎng)的未來設(shè)計(jì)進(jìn)行建議，使之滿足現(xiàn)在以及未來幾年內(nèi)的學(xué)校網(wǎng)絡(luò)需求，使之保證能很好地為學(xué)校服務(wù)。采用完善的安全管理措施，為校園網(wǎng)正常運(yùn)行提供保障。

關(guān)鍵詞:校園網(wǎng)絡(luò);網(wǎng)絡(luò)管理;規(guī)劃

中圖分類號:TP393.1文獻(xiàn)標(biāo)識碼:A文章編號:16723198(2009)21025202

校園網(wǎng)將匯到各個接校區(qū)之后聯(lián)入因特網(wǎng)，目前學(xué)校出口總流量(網(wǎng)通+教育網(wǎng))已經(jīng)非常地緊張，特別是在個別時間，因?yàn)樯暇W(wǎng)人數(shù)的增多，時常造成網(wǎng)絡(luò)的擁堵。未來幾年內(nèi)預(yù)計(jì)網(wǎng)絡(luò)流量、注冊用戶、在線用戶將比現(xiàn)在翻一番，那時現(xiàn)在的網(wǎng)絡(luò)構(gòu)架將遠(yuǎn)遠(yuǎn)不能滿足網(wǎng)絡(luò)帶寬的需求。因此，需要對校園網(wǎng)絡(luò)所有的相關(guān)方面進(jìn)行更有前瞻性的設(shè)計(jì)和規(guī)劃。同時考慮到在原有設(shè)備的基礎(chǔ)上，進(jìn)行兼容性設(shè)計(jì)。

1 校園網(wǎng)設(shè)計(jì)要求

1.1 網(wǎng)絡(luò)的穩(wěn)定性要求

整個網(wǎng)絡(luò)需要具有高度的穩(wěn)定性，能夠滿足不同用戶對網(wǎng)絡(luò)訪問的不同要求。

1.2 網(wǎng)絡(luò)高性能需求

整個網(wǎng)絡(luò)系統(tǒng)需要具有很高的性能，能夠滿足各種流媒體的無障礙傳輸，保證校園網(wǎng)各種應(yīng)用的暢通無阻，認(rèn)證計(jì)費(fèi)效率高，對用戶的認(rèn)證和計(jì)費(fèi)不會對網(wǎng)絡(luò)性能造成瓶頸。

1.3 網(wǎng)絡(luò)安全需求

(1)防止IP地址沖突;

(2)非法站點(diǎn)訪問過濾;

(3)非法言論的準(zhǔn)確追蹤;

(4)惡意攻擊的實(shí)時處理;

(5)記錄訪問日志提供完整審計(jì);

(6)需要建立安全有效的病毒防護(hù)體系。

1.4 網(wǎng)絡(luò)管理需求

(1)需要方便的進(jìn)行用戶管理，包括開戶、銷戶、資料修改和查詢;

(2)需要能夠?qū)W(wǎng)絡(luò)設(shè)備進(jìn)行集中的統(tǒng)一管理;

(3)需要對網(wǎng)絡(luò)故障進(jìn)行快速高效的處理;

(4)需要對網(wǎng)絡(luò)中各種流量進(jìn)行分析，并合理控制和分配帶寬;

(5)需要改善出口鏈路的負(fù)載不均衡。

2 校園網(wǎng)方案設(shè)計(jì)

新老校區(qū)Internet出口調(diào)整，新老校區(qū)均共享老校區(qū)Internet出口，分別連接到外部網(wǎng)絡(luò)供應(yīng)商及教育網(wǎng)，將對外Internet出口擴(kuò)展到至少300M，并部署美國Array公司的TMX5000均衡鏈路負(fù)載，使得校園網(wǎng)實(shí)現(xiàn)外部網(wǎng)絡(luò)供應(yīng)商線路與教育網(wǎng)線路的高可用、負(fù)載均衡，從而進(jìn)一步改善用戶訪問網(wǎng)絡(luò)的體驗(yàn)。新老校區(qū)采用兩臺思科Catalyst6506進(jìn)行萬兆互聯(lián)，同時千兆鏈路作為備份鏈路。新校區(qū)網(wǎng)絡(luò)骨干建設(shè):采用一臺思科Catalyst6506作為新校區(qū)網(wǎng)絡(luò)的核心，新校區(qū)用于互聯(lián)的6506同時用作新校區(qū)網(wǎng)絡(luò)的備份核心。老校區(qū)用于互聯(lián)的6506同時用作老校區(qū)網(wǎng)絡(luò)的備份核心，替換原有雙核心中的一臺。替換下來的原有核心可用于新老校區(qū)的服務(wù)器接入。新校區(qū)各樓宇網(wǎng)絡(luò)建設(shè):在食堂、臨時辦公區(qū)部署一臺RGS376012SFP/GT匯聚交換機(jī)雙千兆上聯(lián)核心，部署兩臺STARS2150G接入交換機(jī)千兆上聯(lián)匯聚。在試驗(yàn)樓區(qū)部署一臺RGS376012SFP/GT匯聚交換機(jī)雙千兆上聯(lián)核心，部署5臺STARS2150G接入交換機(jī)千兆上聯(lián)匯聚。在電教中心部署一臺RGS376012SFP/GT匯聚交換機(jī)雙千兆上聯(lián)核心，部署5臺STARS2150G接入交換機(jī)千兆上聯(lián)匯聚。在宿舍區(qū)部署5臺RGS376012SFP/GT和8臺RGS376024匯聚交換機(jī)雙千兆上聯(lián)核心，部署42臺STARS2150G和10臺STARS2126G接入交換機(jī)千兆上聯(lián)匯聚。為滿足認(rèn)證和計(jì)費(fèi)的需要，部署一套RGSAM 2.x標(biāo)準(zhǔn)版(5000用戶)。部署思科公司SCE1010做流量控制，使網(wǎng)絡(luò)帶寬資源的分配和管理更趨合理。部署趨勢防毒墻和桌面防護(hù)系統(tǒng)構(gòu)建學(xué)校網(wǎng)絡(luò)的病毒防護(hù)體系。部署香農(nóng)網(wǎng)絡(luò)管理系統(tǒng)對學(xué)校全網(wǎng)的設(shè)備和服務(wù)器進(jìn)行管理。采用銳捷網(wǎng)絡(luò)RGSAM系統(tǒng)作為新校區(qū)安全計(jì)費(fèi)管理系統(tǒng)。

思科Catalyst6506交換機(jī)屬于Catalyst 6500系列，該系列為企業(yè)園區(qū)網(wǎng)和電信運(yùn)營商網(wǎng)絡(luò)設(shè)立了新的IP通信和應(yīng)用支持標(biāo)準(zhǔn)，它不但能提高用戶的生產(chǎn)率，增強(qiáng)操作控制，還能提供無與倫比的投資保護(hù)。Catalyst6506交換機(jī)作為智能多層模塊化交換機(jī)，Catalyst 6500系列能夠提供安全的端到端融合網(wǎng)絡(luò)服務(wù)，它能夠通過多種機(jī)箱配置和LAN/WAN/MAN接口提供可擴(kuò)展的性能和端口密度，其本身了可供選擇3插槽、6插槽、9插槽和13插槽的機(jī)箱，以及多種集成式服務(wù)模塊，包括數(shù)千兆位網(wǎng)絡(luò)安全性、內(nèi)容交換、語音和網(wǎng)絡(luò)分析模塊。Catalyst6506交換機(jī)能夠借助冗余路由與轉(zhuǎn)發(fā)引擎之間的故障切換功能，提高網(wǎng)絡(luò)正常運(yùn)行時間。

Cisco SCE 1010服務(wù)控制引擎是Cisco SCE系列中的一個成員，與思科服務(wù)控制寬帶應(yīng)用套件一起，支持對IP流量的應(yīng)用級分類，以便實(shí)時控制某用戶或某用戶組的內(nèi)容服務(wù)。該套組可提供基于狀態(tài)的協(xié)議監(jiān)控，幾乎可以檢測和控制任何網(wǎng)絡(luò)應(yīng)用，包括Web瀏覽、VoIP、游戲、多媒體流和P2P。應(yīng)用級流量得到優(yōu)化之后，由于能加強(qiáng)對網(wǎng)絡(luò)擁塞的整體控制。其吞吐量和容量都非常高，利用支持200萬條單向流量的一條千兆位鏈路，可以支持2Gbps的線速流量處理。另外，它還能夠利用定制ASIC和硬件加速保證提供運(yùn)營商級性能。

ArrayTMX5000鏈路負(fù)載均衡主要性能指標(biāo):每秒處理100000個七層(HTTP1.1)請求，最高支持2000000個并發(fā)TCP連接，雙向吞吐量高達(dá)3.2 Gbps，內(nèi)存 4G，高速反向代理緩存，容量2個GB其可以實(shí)現(xiàn):二到七層服務(wù)器負(fù)載均衡(L2/7 SLB)，高速內(nèi)存緩存(Memory based Caching)，應(yīng)用層防火墻(Webwall)，網(wǎng)絡(luò)鏈路負(fù)載均衡(LLB)，全局服務(wù)負(fù)載均衡(GSLB)，連接復(fù)用(Connection Multiplexing)，集群(Cluster)。

香農(nóng)網(wǎng)絡(luò)管理系統(tǒng)支持完備的設(shè)備故障管理，能快速整合網(wǎng)絡(luò)及系統(tǒng)發(fā)出的預(yù)警信息和故障信息，并能進(jìn)行自動化地處理使管理員可以迅速確定哪些故障會對服務(wù)的可用性構(gòu)成不良影響。對網(wǎng)絡(luò)用戶進(jìn)行管理，包括:用戶信息管理、網(wǎng)絡(luò)資源訪問權(quán)限管理、訪問日志信息管理、實(shí)時用戶管理與控制、用戶封鎖解鎖。網(wǎng)絡(luò)服務(wù)管理還包括依據(jù)網(wǎng)絡(luò)運(yùn)行狀態(tài)提供或封鎖某些特殊的網(wǎng)絡(luò)服務(wù)，如協(xié)議、端口、源IP地址、目的IP地址的規(guī)則集，根據(jù)網(wǎng)絡(luò)事件自動實(shí)施響應(yīng)策略，以保證關(guān)鍵業(yè)務(wù)運(yùn)行。香農(nóng)網(wǎng)絡(luò)管理系統(tǒng)可以為網(wǎng)絡(luò)防火墻、入侵檢測、防病毒軟件等專業(yè)安全管理系統(tǒng)提供一個有力的支撐環(huán)境。

RGS3760系列交換機(jī)硬件支持IPv4/IPv6雙協(xié)議棧多層線速交換和功能特性，為IPv6網(wǎng)絡(luò)之間的通信提供了豐富的Tunnel技術(shù)，并提供了豐富而完善的路由協(xié)議，以適合大型網(wǎng)絡(luò)多種路由和多業(yè)務(wù)的需要。

RGS3760系列交換機(jī)屬于匯聚交換機(jī)，在提供高性能、多業(yè)務(wù)的同時，其內(nèi)在的安全防御機(jī)制和用戶管理能力，可更有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶接入和使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)資源，充分保障網(wǎng)絡(luò)安全、網(wǎng)絡(luò)合理化使用和運(yùn)營。RGS3760系列為方便大型網(wǎng)絡(luò)使用和不同管理員的管理習(xí)慣，提供了多種形式的管理工具如SNMP、Telnet、Web和Console口等。

STARS2126G /S2150G是兩款全線速可堆疊的安全智能交換機(jī)其屬于接入交換機(jī)接入交換機(jī)，在提供智能的流分類、完善的服務(wù)質(zhì)量(QoS)和組播應(yīng)用管理特性同時，并可以根據(jù)網(wǎng)絡(luò)實(shí)際使用環(huán)境，實(shí)施靈活多樣的安全控制策略，可有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理使用網(wǎng)絡(luò)資源，充分保障網(wǎng)絡(luò)安全和網(wǎng)絡(luò)合理化使用和運(yùn)營。

銳捷網(wǎng)絡(luò)RGSAM系統(tǒng)是一套以實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)營為基礎(chǔ)，增強(qiáng)全局安全為中心，提高管理效率為準(zhǔn)則的可靈活擴(kuò)展的安全計(jì)費(fèi)管理系統(tǒng)。支持IEEE802.1x、Radius、EAP、CHAP等多種協(xié)議標(biāo)準(zhǔn)，與其他廠商支持相應(yīng)標(biāo)準(zhǔn)的產(chǎn)品兼容，結(jié)合銳捷網(wǎng)絡(luò)安全交換機(jī)提供更加豐富的功能。

趨勢IWSA-5000防病毒墻，趨勢科技防毒墻Web安全硬件版(簡稱IWSA)提供了基于網(wǎng)關(guān)的，對HTTP及FTP數(shù)據(jù)傳輸進(jìn)行安全掃描的完善功能，并且具備可應(yīng)用于各種規(guī)模企業(yè)的高性能、可自動更新升級特性?？紤]到Web用戶的實(shí)際應(yīng)用要求，IWSA重點(diǎn)解決了網(wǎng)關(guān)病毒掃描所造成的性能瓶頸問題，從而在保證安全掃描的前提下，大大提高了用戶訪問Web的速度。IWSA產(chǎn)品支持透明網(wǎng)橋模式、獨(dú)立運(yùn)行模式及ICAP集成模式，為企業(yè)網(wǎng)絡(luò)提供靈活的安全防御策略。IWSA基于支持多種配置與運(yùn)行模式，支持多種未來新的應(yīng)用系統(tǒng)的設(shè)計(jì)架構(gòu)，再與趨勢科技業(yè)界領(lǐng)先的企業(yè)安全防護(hù)策略(EPS)相結(jié)合，擴(kuò)展了趨勢科技關(guān)于Web安全的病毒爆發(fā)生命周期管理理念，從而獲取最大的投資回報(bào)率。IWSA，包含名為PhishTrap的反釣魚技術(shù)、Applets ActiveX掃描技術(shù)、反間諜軟件技術(shù)及URL過濾技術(shù)等。趨勢科技防毒墻客戶機(jī)版具有一下特點(diǎn):一體化的管理機(jī)制;集成病毒專殺工具，清除病毒更徹底;病毒爆發(fā)預(yù)防策略;集成網(wǎng)絡(luò)版防火墻和IDS;抵御間諜軟件和其他類型灰件的侵害;Web站點(diǎn)安全評估;加入Rootkit偵測技術(shù);掃描有防病毒漏洞的計(jì)算機(jī)。

參考文獻(xiàn)

[1]張波.新型校園網(wǎng)架構(gòu)設(shè)計(jì)模式研究與實(shí)現(xiàn)[J].網(wǎng)絡(luò)與信息，2009，(08).

[2]李錦安.現(xiàn)代校園網(wǎng)設(shè)計(jì)[J].硅谷，2009，(14).

[3]王棟校.園網(wǎng)綜合布線系統(tǒng)的設(shè)計(jì)及其重要性[J].中國科技信息，2009，(11).

[4]于東云.校園網(wǎng)綜合布線系統(tǒng)的設(shè)計(jì)[J].科技情報(bào)開發(fā)與經(jīng)濟(jì) 2009，(16).

[5]呂開全.新型高校校園網(wǎng)的研究與設(shè)計(jì)[J].計(jì)算機(jī)與信息技術(shù)，2009，(06).