摘 要：本文主要針對青海廣播電視大學(xué)校園網(wǎng)升級改造中的建設(shè)及安全做了探討，文章分析該校網(wǎng)絡(luò)存在的問題，按照“扁平、雙活、熱備、利舊”的原則制定改造方案。通過本次改造，不但能解決校園網(wǎng)存在的問題，而且將該校校園網(wǎng)建設(shè)成一個(gè)高水平、高標(biāo)準(zhǔn)、安全穩(wěn)定的網(wǎng)絡(luò)。

關(guān)鍵詞：校園網(wǎng)問題;扁平;雙活;熱備;利舊

1 青海廣播電視大學(xué)校園網(wǎng)升級改造應(yīng)用背景

遠(yuǎn)程開放教育以其跨越時(shí)空、靈活便捷、優(yōu)質(zhì)高效的辦學(xué)特色，在構(gòu)建全省終身教育體系、建設(shè)學(xué)習(xí)型社會(huì)中釋放著不可替代的巨大能量。根據(jù)《中國中長期教育改革和發(fā)展規(guī)劃綱要（2010-2020年）》、《青海省中長期教育改革和發(fā)展規(guī)劃綱要（2010-2020年）》對教育信息化做了全面部署和規(guī)劃，結(jié)合“建設(shè)寬帶青海，促進(jìn)信息消費(fèi)”戰(zhàn)略，為實(shí)現(xiàn)從“電大”到“開大”的戰(zhàn)略轉(zhuǎn)變，在網(wǎng)絡(luò)上就得實(shí)現(xiàn)社會(huì)化服務(wù)功能、建設(shè)覆蓋全省數(shù)字化、網(wǎng)絡(luò)化、開放式的環(huán)境，基于此我們對青海廣播電視大學(xué)現(xiàn)有的網(wǎng)絡(luò)中心，數(shù)據(jù)中心進(jìn)行規(guī)劃升級改造。

2 青海廣播電視大學(xué)校園網(wǎng)現(xiàn)狀以及存在的問題

該校校園網(wǎng)采用“核心-匯聚-接入”網(wǎng)絡(luò)三層架構(gòu)。核心交換機(jī)為兩臺(tái)Cisco4507R作為整個(gè)校園網(wǎng)的核心，匯聚交換機(jī)為Cisco3560和S7703 ，接入層交換機(jī)為Cisco2960和Cisco3524組成。學(xué)校中心機(jī)房到各個(gè)樓宇機(jī)房通過光釬鏈接，網(wǎng)絡(luò)用戶3萬多人，接入學(xué)校計(jì)算機(jī)上千臺(tái)。該校校園網(wǎng)接入帶寬200M，三個(gè)出口，分別為電信、鐵通、教育網(wǎng)。校園網(wǎng)自2000年建設(shè)完成，經(jīng)過多年的使用，存在著設(shè)備老化，故障點(diǎn)增多（校區(qū)后樓辦公網(wǎng)絡(luò)）、出口信息安全、流量控制、出口鏈路負(fù)載問題。

①設(shè)備老化。核心交換、匯聚交換機(jī)（除S7703）、接入交換機(jī)的使用10余年，不能滿足建設(shè)下一代校園網(wǎng)的需求。②防火墻作為出口設(shè)備，設(shè)備處理交換、過濾等延遲較大，防火墻負(fù)載很重。③在服務(wù)區(qū)的功能區(qū)域，沒有明確服務(wù)器區(qū)域，而是直接將服務(wù)器接入到核心之上。對服務(wù)器無任何安全保防措施。且數(shù)據(jù)安全存在很大的風(fēng)險(xiǎn)。④點(diǎn)位桌面速度慢。上互聯(lián)網(wǎng)速度非常慢，有時(shí)一個(gè)外網(wǎng)網(wǎng)站時(shí)間需要幾分鐘左右才能打開網(wǎng)頁。⑤現(xiàn)有設(shè)備對常見攻擊的預(yù)防攻擊能力較弱。

3 青海廣播電視大學(xué)校園網(wǎng)改造升級的整體目標(biāo)

該校校園網(wǎng)改造將按照“扁平、雙活、熱備、利舊”的原則，根據(jù)學(xué)校的具體情況和學(xué)校校園網(wǎng)的需求特點(diǎn)，確定適當(dāng)?shù)男@網(wǎng)改造建設(shè)的總體目標(biāo)，逐步逐級進(jìn)行實(shí)施完善，最終將青海廣播電視大學(xué)校園網(wǎng)建設(shè)成一個(gè)高水平、高標(biāo)準(zhǔn)、安全穩(wěn)定的網(wǎng)絡(luò)。校園網(wǎng)改造的總體目標(biāo)：主干上萬兆、千兆到桌面，實(shí)現(xiàn)扁平化架構(gòu)與精細(xì)化管理。具體實(shí)現(xiàn)分兩期。

一期改造包括：①校園網(wǎng)出口功能設(shè)置出口負(fù)載均衡+路由器+防火墻，實(shí)現(xiàn)安全功能和路由功能分離、實(shí)現(xiàn)校園網(wǎng)內(nèi)部自動(dòng)選擇最優(yōu)鏈路進(jìn)行外部資源訪問。②校園網(wǎng)功能區(qū)域淘汰現(xiàn)有舊的核心交換和匯聚交換，使用高性能的核心交換和萬兆交換機(jī)。③校園網(wǎng)數(shù)據(jù)區(qū)域，實(shí)現(xiàn)數(shù)據(jù)實(shí)時(shí)異地備份與恢復(fù)系統(tǒng)。④校園網(wǎng)基礎(chǔ)設(shè)施改造，包括光纜及綜合布線改造。對于原有的多模光纜進(jìn)行改造，使校內(nèi)光纜實(shí)現(xiàn)單?；?，前后樓宇間的光纜形成雙回路，做好線路的應(yīng)急準(zhǔn)備;對后樓樓字內(nèi)的老舊綜合布線根據(jù)實(shí)際情況分步以六類標(biāo)準(zhǔn)實(shí)施改造。⑤加強(qiáng)校園網(wǎng)的使用培訓(xùn)，規(guī)范上網(wǎng)行為，公平合理分配資源，實(shí)現(xiàn)可管、可控、可追溯。

二期改造包括：①校園網(wǎng)服務(wù)區(qū)域明確數(shù)據(jù)中心和應(yīng)用服務(wù)，實(shí)現(xiàn)數(shù)據(jù)中心和應(yīng)用服務(wù)分離。②校園網(wǎng)主干實(shí)現(xiàn)雙活。③加強(qiáng)入侵防御檢測，漏掃，增加網(wǎng)絡(luò)、服務(wù)安全。④搭建安全管理平臺(tái)、實(shí)現(xiàn)數(shù)據(jù)庫審計(jì)。⑤擴(kuò)充校園網(wǎng)總出口帶寬。

4 青海廣播電視大學(xué)校園網(wǎng)改造

本次改造將構(gòu)建一張高性能，高可靠，能夠精細(xì)化管理的校園網(wǎng)。簡化的構(gòu)架：將目前多達(dá)三層或更多層的校園網(wǎng)結(jié)構(gòu)邏輯上簡化為二層結(jié)構(gòu)，即業(yè)務(wù)控制層（核心網(wǎng)絡(luò)層）和寬帶接入層（接入層），多業(yè)務(wù)系統(tǒng)：與Radius系統(tǒng)結(jié)合，實(shí)現(xiàn)用戶接入、認(rèn)證、審計(jì)、計(jì)費(fèi)、帶寬管理、行為控制;同時(shí)支持MPLS VPN、IPv6、組播業(yè)務(wù)的應(yīng)用和快速部署。統(tǒng)一身份認(rèn)證平臺(tái)：主要是實(shí)現(xiàn)有線、無線用戶，以及不同系統(tǒng)用戶的統(tǒng)一認(rèn)證，避免重復(fù)地多次認(rèn)證，提高用戶體驗(yàn)。管理簡單化：采用扁平化的網(wǎng)絡(luò)架構(gòu)后，接入層的設(shè)備只實(shí)現(xiàn)用戶之間的隔離（即劃分VLAN），網(wǎng)關(guān)人員平時(shí)只是維護(hù)核心設(shè)備，大大減少了維護(hù)工作量。

4.1 出口解決方案

采用互聯(lián)網(wǎng)出口一體化解決方案，該解決方案具備出口鏈路優(yōu)化、整體安全防護(hù)、流量分析與控制三大功能模塊，分別從出入流量的鏈路優(yōu)化、L2-L7的整體安全防護(hù)、互聯(lián)網(wǎng)出口低價(jià)值流量清洗、不合規(guī)應(yīng)用管控、違反違規(guī)言論屏蔽等方面整體解決貴單位面臨的鏈路資源利用率低、安全防護(hù)困擾、違法違規(guī)等問題。在解決問題的同時(shí)為了保障整個(gè)網(wǎng)絡(luò)的可靠性與穩(wěn)定性，本次解決方案采用雙機(jī)冗余架構(gòu)進(jìn)行設(shè)計(jì)。

4.2 數(shù)據(jù)中心解決方案

數(shù)據(jù)中心核心層：兩臺(tái)核心交換機(jī)采用虛擬集群技術(shù)，兩臺(tái)設(shè)備通過萬兆多模光纖捆綁連接虛擬為一臺(tái)設(shè)備，增加帶寬的同時(shí)也提高了網(wǎng)絡(luò)鏈路的可靠性。下行鏈路根據(jù)服務(wù)器的物理端口選擇GE或10GE鏈路。數(shù)據(jù)中心核心層的可靠性設(shè)計(jì)從設(shè)備級冗余和鏈路級冗余兩方面來實(shí)現(xiàn)：從設(shè)備冗余角度考慮，2臺(tái)核心交換機(jī)之間采用虛擬集群技術(shù);從鏈路的冗余角度考慮，核心交換機(jī)與防火墻兩臺(tái)鏈路互聯(lián)，大大提高網(wǎng)絡(luò)高可靠性。本方案中數(shù)據(jù)中心核心交換機(jī)采用“集群”技術(shù)實(shí)現(xiàn)數(shù)據(jù)中心二層網(wǎng)絡(luò)無環(huán)路。園區(qū)核心交換機(jī)采用利舊的S7703，園區(qū)接入交換機(jī)采用現(xiàn)網(wǎng)已有的交換機(jī);園區(qū)核心交換機(jī)通過千兆網(wǎng)線連接至兩臺(tái)下一代防火墻。

5 校園網(wǎng)改造后預(yù)期效果

通過本方案實(shí)施，校園網(wǎng)將在基礎(chǔ)網(wǎng)絡(luò)建設(shè)上具備先進(jìn)水平，為全校師生提供高速、穩(wěn)定、安全、快捷的網(wǎng)絡(luò)接入。并通過網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控，以前的問題已大大減少，網(wǎng)絡(luò)性能大幅度提高，本校園網(wǎng)絡(luò)出口建設(shè)和安全策略是切實(shí)可行的。

參考文獻(xiàn)：

[1]劉志江.校園網(wǎng)改造與設(shè)計(jì)[J].無線互聯(lián)科技，2013.7.

[2]郭惠麗，李倩倩，張蕾.校園網(wǎng)改造升級中出口的建設(shè)和安全策略研究與實(shí)踐[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（2）.

[3]若谷，惠煌.關(guān)于高校校園網(wǎng)改造升級的思考[J].內(nèi)江科技，2008，29（6）.

作者簡介：趙艷萍（1978.11-），女，漢，陜西蒲城人，青海廣播電視大學(xué)教育技術(shù)中心，講師，研究方向：信息技術(shù)與安全。