摘 要：本文主要針對青海廣播電視大學校園網(wǎng)升級改造中的建設及安全做了探討，文章分析該校網(wǎng)絡存在的問題，按照“扁平、雙活、熱備、利舊”的原則制定改造方案。通過本次改造，不但能解決校園網(wǎng)存在的問題，而且將該校校園網(wǎng)建設成一個高水平、高標準、安全穩(wěn)定的網(wǎng)絡。

關鍵詞：校園網(wǎng)問題;扁平;雙活;熱備;利舊

1 青海廣播電視大學校園網(wǎng)升級改造應用背景

遠程開放教育以其跨越時空、靈活便捷、優(yōu)質高效的辦學特色，在構建全省終身教育體系、建設學習型社會中釋放著不可替代的巨大能量。根據(jù)《中國中長期教育改革和發(fā)展規(guī)劃綱要（2010-2020年）》、《青海省中長期教育改革和發(fā)展規(guī)劃綱要（2010-2020年）》對教育信息化做了全面部署和規(guī)劃，結合“建設寬帶青海，促進信息消費”戰(zhàn)略，為實現(xiàn)從“電大”到“開大”的戰(zhàn)略轉變，在網(wǎng)絡上就得實現(xiàn)社會化服務功能、建設覆蓋全省數(shù)字化、網(wǎng)絡化、開放式的環(huán)境，基于此我們對青海廣播電視大學現(xiàn)有的網(wǎng)絡中心，數(shù)據(jù)中心進行規(guī)劃升級改造。

2 青海廣播電視大學校園網(wǎng)現(xiàn)狀以及存在的問題

該校校園網(wǎng)采用“核心-匯聚-接入”網(wǎng)絡三層架構。核心交換機為兩臺Cisco4507R作為整個校園網(wǎng)的核心，匯聚交換機為Cisco3560和S7703 ，接入層交換機為Cisco2960和Cisco3524組成。學校中心機房到各個樓宇機房通過光釬鏈接，網(wǎng)絡用戶3萬多人，接入學校計算機上千臺。該校校園網(wǎng)接入帶寬200M，三個出口，分別為電信、鐵通、教育網(wǎng)。校園網(wǎng)自2000年建設完成，經(jīng)過多年的使用，存在著設備老化，故障點增多（校區(qū)后樓辦公網(wǎng)絡）、出口信息安全、流量控制、出口鏈路負載問題。

①設備老化。核心交換、匯聚交換機（除S7703）、接入交換機的使用10余年，不能滿足建設下一代校園網(wǎng)的需求。②防火墻作為出口設備，設備處理交換、過濾等延遲較大，防火墻負載很重。③在服務區(qū)的功能區(qū)域，沒有明確服務器區(qū)域，而是直接將服務器接入到核心之上。對服務器無任何安全保防措施。且數(shù)據(jù)安全存在很大的風險。④點位桌面速度慢。上互聯(lián)網(wǎng)速度非常慢，有時一個外網(wǎng)網(wǎng)站時間需要幾分鐘左右才能打開網(wǎng)頁。⑤現(xiàn)有設備對常見攻擊的預防攻擊能力較弱。

3 青海廣播電視大學校園網(wǎng)改造升級的整體目標

該校校園網(wǎng)改造將按照“扁平、雙活、熱備、利舊”的原則，根據(jù)學校的具體情況和學校校園網(wǎng)的需求特點，確定適當?shù)男@網(wǎng)改造建設的總體目標，逐步逐級進行實施完善，最終將青海廣播電視大學校園網(wǎng)建設成一個高水平、高標準、安全穩(wěn)定的網(wǎng)絡。校園網(wǎng)改造的總體目標：主干上萬兆、千兆到桌面，實現(xiàn)扁平化架構與精細化管理。具體實現(xiàn)分兩期。

一期改造包括：①校園網(wǎng)出口功能設置出口負載均衡+路由器+防火墻，實現(xiàn)安全功能和路由功能分離、實現(xiàn)校園網(wǎng)內部自動選擇最優(yōu)鏈路進行外部資源訪問。②校園網(wǎng)功能區(qū)域淘汰現(xiàn)有舊的核心交換和匯聚交換，使用高性能的核心交換和萬兆交換機。③校園網(wǎng)數(shù)據(jù)區(qū)域，實現(xiàn)數(shù)據(jù)實時異地備份與恢復系統(tǒng)。④校園網(wǎng)基礎設施改造，包括光纜及綜合布線改造。對于原有的多模光纜進行改造，使校內光纜實現(xiàn)單模化，前后樓宇間的光纜形成雙回路，做好線路的應急準備;對后樓樓字內的老舊綜合布線根據(jù)實際情況分步以六類標準實施改造。⑤加強校園網(wǎng)的使用培訓，規(guī)范上網(wǎng)行為，公平合理分配資源，實現(xiàn)可管、可控、可追溯。

二期改造包括：①校園網(wǎng)服務區(qū)域明確數(shù)據(jù)中心和應用服務，實現(xiàn)數(shù)據(jù)中心和應用服務分離。②校園網(wǎng)主干實現(xiàn)雙活。③加強入侵防御檢測，漏掃，增加網(wǎng)絡、服務安全。④搭建安全管理平臺、實現(xiàn)數(shù)據(jù)庫審計。⑤擴充校園網(wǎng)總出口帶寬。

4 青海廣播電視大學校園網(wǎng)改造

本次改造將構建一張高性能，高可靠，能夠精細化管理的校園網(wǎng)。簡化的構架：將目前多達三層或更多層的校園網(wǎng)結構邏輯上簡化為二層結構，即業(yè)務控制層（核心網(wǎng)絡層）和寬帶接入層（接入層），多業(yè)務系統(tǒng)：與Radius系統(tǒng)結合，實現(xiàn)用戶接入、認證、審計、計費、帶寬管理、行為控制;同時支持MPLS VPN、IPv6、組播業(yè)務的應用和快速部署。統(tǒng)一身份認證平臺：主要是實現(xiàn)有線、無線用戶，以及不同系統(tǒng)用戶的統(tǒng)一認證，避免重復地多次認證，提高用戶體驗。管理簡單化：采用扁平化的網(wǎng)絡架構后，接入層的設備只實現(xiàn)用戶之間的隔離（即劃分VLAN），網(wǎng)關人員平時只是維護核心設備，大大減少了維護工作量。

4.1 出口解決方案

采用互聯(lián)網(wǎng)出口一體化解決方案，該解決方案具備出口鏈路優(yōu)化、整體安全防護、流量分析與控制三大功能模塊，分別從出入流量的鏈路優(yōu)化、L2-L7的整體安全防護、互聯(lián)網(wǎng)出口低價值流量清洗、不合規(guī)應用管控、違反違規(guī)言論屏蔽等方面整體解決貴單位面臨的鏈路資源利用率低、安全防護困擾、違法違規(guī)等問題。在解決問題的同時為了保障整個網(wǎng)絡的可靠性與穩(wěn)定性，本次解決方案采用雙機冗余架構進行設計。

4.2 數(shù)據(jù)中心解決方案

數(shù)據(jù)中心核心層：兩臺核心交換機采用虛擬集群技術，兩臺設備通過萬兆多模光纖捆綁連接虛擬為一臺設備，增加帶寬的同時也提高了網(wǎng)絡鏈路的可靠性。下行鏈路根據(jù)服務器的物理端口選擇GE或10GE鏈路。數(shù)據(jù)中心核心層的可靠性設計從設備級冗余和鏈路級冗余兩方面來實現(xiàn)：從設備冗余角度考慮，2臺核心交換機之間采用虛擬集群技術;從鏈路的冗余角度考慮，核心交換機與防火墻兩臺鏈路互聯(lián)，大大提高網(wǎng)絡高可靠性。本方案中數(shù)據(jù)中心核心交換機采用“集群”技術實現(xiàn)數(shù)據(jù)中心二層網(wǎng)絡無環(huán)路。園區(qū)核心交換機采用利舊的S7703，園區(qū)接入交換機采用現(xiàn)網(wǎng)已有的交換機;園區(qū)核心交換機通過千兆網(wǎng)線連接至兩臺下一代防火墻。

5 校園網(wǎng)改造后預期效果

通過本方案實施，校園網(wǎng)將在基礎網(wǎng)絡建設上具備先進水平，為全校師生提供高速、穩(wěn)定、安全、快捷的網(wǎng)絡接入。并通過網(wǎng)絡實時監(jiān)控，以前的問題已大大減少，網(wǎng)絡性能大幅度提高，本校園網(wǎng)絡出口建設和安全策略是切實可行的。

參考文獻：

[1]劉志江.校園網(wǎng)改造與設計[J].無線互聯(lián)科技，2013.7.

[2]郭惠麗，李倩倩，張蕾.校園網(wǎng)改造升級中出口的建設和安全策略研究與實踐[J].網(wǎng)絡安全技術與應用，2010（2）.

[3]若谷，惠煌.關于高校校園網(wǎng)改造升級的思考[J].內江科技，2008，29（6）.

作者簡介：趙艷萍（1978.11-），女，漢，陜西蒲城人，青海廣播電視大學教育技術中心，講師，研究方向：信息技術與安全。