摘 要:本文主要針對青海廣播電視大學校園網(wǎng)升級改造中的建設及安全做了探討,文章分析該校網(wǎng)絡存在的問題,按照“扁平、雙活、熱備、利舊”的原則制定改造方案。通過本次改造,不但能解決校園網(wǎng)存在的問題,而且將該校校園網(wǎng)建設成一個高水平、高標準、安全穩(wěn)定的網(wǎng)絡。
關鍵詞:校園網(wǎng)問題;扁平;雙活;熱備;利舊
1 青海廣播電視大學校園網(wǎng)升級改造應用背景
遠程開放教育以其跨越時空、靈活便捷、優(yōu)質高效的辦學特色,在構建全省終身教育體系、建設學習型社會中釋放著不可替代的巨大能量。根據(jù)《中國中長期教育改革和發(fā)展規(guī)劃綱要(2010-2020年)》、《青海省中長期教育改革和發(fā)展規(guī)劃綱要(2010-2020年)》對教育信息化做了全面部署和規(guī)劃,結合“建設寬帶青海,促進信息消費”戰(zhàn)略,為實現(xiàn)從“電大”到“開大”的戰(zhàn)略轉變,在網(wǎng)絡上就得實現(xiàn)社會化服務功能、建設覆蓋全省數(shù)字化、網(wǎng)絡化、開放式的環(huán)境,基于此我們對青海廣播電視大學現(xiàn)有的網(wǎng)絡中心,數(shù)據(jù)中心進行規(guī)劃升級改造。
2 青海廣播電視大學校園網(wǎng)現(xiàn)狀以及存在的問題
該校校園網(wǎng)采用“核心-匯聚-接入”網(wǎng)絡三層架構。核心交換機為兩臺Cisco4507R作為整個校園網(wǎng)的核心,匯聚交換機為Cisco3560和S7703 ,接入層交換機為Cisco2960和Cisco3524組成。學校中心機房到各個樓宇機房通過光釬鏈接,網(wǎng)絡用戶3萬多人,接入學校計算機上千臺。該校校園網(wǎng)接入帶寬200M,三個出口,分別為電信、鐵通、教育網(wǎng)。校園網(wǎng)自2000年建設完成,經(jīng)過多年的使用,存在著設備老化,故障點增多(校區(qū)后樓辦公網(wǎng)絡)、出口信息安全、流量控制、出口鏈路負載問題。
①設備老化。核心交換、匯聚交換機(除S7703)、接入交換機的使用10余年,不能滿足建設下一代校園網(wǎng)的需求。②防火墻作為出口設備,設備處理交換、過濾等延遲較大,防火墻負載很重。③在服務區(qū)的功能區(qū)域,沒有明確服務器區(qū)域,而是直接將服務器接入到核心之上。對服務器無任何安全保防措施。且數(shù)據(jù)安全存在很大的風險。④點位桌面速度慢。上互聯(lián)網(wǎng)速度非常慢,有時一個外網(wǎng)網(wǎng)站時間需要幾分鐘左右才能打開網(wǎng)頁。⑤現(xiàn)有設備對常見攻擊的預防攻擊能力較弱。
3 青海廣播電視大學校園網(wǎng)改造升級的整體目標
該校校園網(wǎng)改造將按照“扁平、雙活、熱備、利舊”的原則,根據(jù)學校的具體情況和學校校園網(wǎng)的需求特點,確定適當?shù)男@網(wǎng)改造建設的總體目標,逐步逐級進行實施完善,最終將青海廣播電視大學校園網(wǎng)建設成一個高水平、高標準、安全穩(wěn)定的網(wǎng)絡。校園網(wǎng)改造的總體目標:主干上萬兆、千兆到桌面,實現(xiàn)扁平化架構與精細化管理。具體實現(xiàn)分兩期。
一期改造包括:①校園網(wǎng)出口功能設置出口負載均衡+路由器+防火墻,實現(xiàn)安全功能和路由功能分離、實現(xiàn)校園網(wǎng)內部自動選擇最優(yōu)鏈路進行外部資源訪問。②校園網(wǎng)功能區(qū)域淘汰現(xiàn)有舊的核心交換和匯聚交換,使用高性能的核心交換和萬兆交換機。③校園網(wǎng)數(shù)據(jù)區(qū)域,實現(xiàn)數(shù)據(jù)實時異地備份與恢復系統(tǒng)。④校園網(wǎng)基礎設施改造,包括光纜及綜合布線改造。對于原有的多模光纜進行改造,使校內光纜實現(xiàn)單模化,前后樓宇間的光纜形成雙回路,做好線路的應急準備;對后樓樓字內的老舊綜合布線根據(jù)實際情況分步以六類標準實施改造。⑤加強校園網(wǎng)的使用培訓,規(guī)范上網(wǎng)行為,公平合理分配資源,實現(xiàn)可管、可控、可追溯。
二期改造包括:①校園網(wǎng)服務區(qū)域明確數(shù)據(jù)中心和應用服務,實現(xiàn)數(shù)據(jù)中心和應用服務分離。②校園網(wǎng)主干實現(xiàn)雙活。③加強入侵防御檢測,漏掃,增加網(wǎng)絡、服務安全。④搭建安全管理平臺、實現(xiàn)數(shù)據(jù)庫審計。⑤擴充校園網(wǎng)總出口帶寬。
4 青海廣播電視大學校園網(wǎng)改造
本次改造將構建一張高性能,高可靠,能夠精細化管理的校園網(wǎng)。簡化的構架:將目前多達三層或更多層的校園網(wǎng)結構邏輯上簡化為二層結構,即業(yè)務控制層(核心網(wǎng)絡層)和寬帶接入層(接入層),多業(yè)務系統(tǒng):與Radius系統(tǒng)結合,實現(xiàn)用戶接入、認證、審計、計費、帶寬管理、行為控制;同時支持MPLS VPN、IPv6、組播業(yè)務的應用和快速部署。統(tǒng)一身份認證平臺:主要是實現(xiàn)有線、無線用戶,以及不同系統(tǒng)用戶的統(tǒng)一認證,避免重復地多次認證,提高用戶體驗。管理簡單化:采用扁平化的網(wǎng)絡架構后,接入層的設備只實現(xiàn)用戶之間的隔離(即劃分VLAN),網(wǎng)關人員平時只是維護核心設備,大大減少了維護工作量。
4.1 出口解決方案
采用互聯(lián)網(wǎng)出口一體化解決方案,該解決方案具備出口鏈路優(yōu)化、整體安全防護、流量分析與控制三大功能模塊,分別從出入流量的鏈路優(yōu)化、L2-L7的整體安全防護、互聯(lián)網(wǎng)出口低價值流量清洗、不合規(guī)應用管控、違反違規(guī)言論屏蔽等方面整體解決貴單位面臨的鏈路資源利用率低、安全防護困擾、違法違規(guī)等問題。在解決問題的同時為了保障整個網(wǎng)絡的可靠性與穩(wěn)定性,本次解決方案采用雙機冗余架構進行設計。
4.2 數(shù)據(jù)中心解決方案
數(shù)據(jù)中心核心層:兩臺核心交換機采用虛擬集群技術,兩臺設備通過萬兆多模光纖捆綁連接虛擬為一臺設備,增加帶寬的同時也提高了網(wǎng)絡鏈路的可靠性。下行鏈路根據(jù)服務器的物理端口選擇GE或10GE鏈路。數(shù)據(jù)中心核心層的可靠性設計從設備級冗余和鏈路級冗余兩方面來實現(xiàn):從設備冗余角度考慮,2臺核心交換機之間采用虛擬集群技術;從鏈路的冗余角度考慮,核心交換機與防火墻兩臺鏈路互聯(lián),大大提高網(wǎng)絡高可靠性。本方案中數(shù)據(jù)中心核心交換機采用“集群”技術實現(xiàn)數(shù)據(jù)中心二層網(wǎng)絡無環(huán)路。園區(qū)核心交換機采用利舊的S7703,園區(qū)接入交換機采用現(xiàn)網(wǎng)已有的交換機;園區(qū)核心交換機通過千兆網(wǎng)線連接至兩臺下一代防火墻。
5 校園網(wǎng)改造后預期效果
通過本方案實施,校園網(wǎng)將在基礎網(wǎng)絡建設上具備先進水平,為全校師生提供高速、穩(wěn)定、安全、快捷的網(wǎng)絡接入。并通過網(wǎng)絡實時監(jiān)控,以前的問題已大大減少,網(wǎng)絡性能大幅度提高,本校園網(wǎng)絡出口建設和安全策略是切實可行的。
參考文獻:
[1]劉志江.校園網(wǎng)改造與設計[J].無線互聯(lián)科技,2013.7.
[2]郭惠麗,李倩倩,張蕾.校園網(wǎng)改造升級中出口的建設和安全策略研究與實踐[J].網(wǎng)絡安全技術與應用,2010(2).
[3]若谷,惠煌.關于高校校園網(wǎng)改造升級的思考[J].內江科技,2008,29(6).
作者簡介:趙艷萍(1978.11-),女,漢,陜西蒲城人,青海廣播電視大學教育技術中心,講師,研究方向:信息技術與安全。