校園網(wǎng)現(xiàn)狀

校園網(wǎng)出口設(shè)備深信服AD-2000上聯(lián)三條光纖鏈路到運(yùn)營(yíng)商，下聯(lián)兩臺(tái)思科ASA 5550防火墻，防火墻下聯(lián)兩臺(tái)思科6509-E核心交換機(jī)，服務(wù)器群直接連接到思科6509-E主核心交換機(jī)上，新校區(qū)各棟樓的思科3560-E匯聚交換機(jī)分別上聯(lián)兩臺(tái)核心交換機(jī)，老校區(qū)一臺(tái)思科6509交換機(jī)作為匯聚交換機(jī)分別上聯(lián)兩臺(tái)核心交換機(jī)，新老兩個(gè)校區(qū)各棟樓的樓層接入交換機(jī)分別上聯(lián)到各棟樓的匯聚交換機(jī)，接入交換機(jī)主要采用思科、華為、華三等主流廠商的設(shè)備。

圖1 改造前網(wǎng)絡(luò)拓?fù)鋱D

存在的問(wèn)題

我校老校區(qū)網(wǎng)絡(luò)設(shè)備已經(jīng)運(yùn)行近十年，全部進(jìn)入報(bào)廢期；絕大多數(shù)設(shè)備都更換過(guò)電源或板卡等模塊，對(duì)系統(tǒng)穩(wěn)定運(yùn)行造成極大隱患，近年來(lái)冗余連接及單點(diǎn)故障逐步增多，用戶網(wǎng)絡(luò)中斷時(shí)有發(fā)生。新校區(qū)網(wǎng)絡(luò)設(shè)備已經(jīng)運(yùn)行了六年，全部進(jìn)入老化期；樓層匯聚交換機(jī)很多都更換過(guò)電源模塊，接入交換機(jī)有不少都返廠維修過(guò)，而且各棟樓的弱電機(jī)房環(huán)境惡劣，里面運(yùn)行著大量的三大運(yùn)營(yíng)商的基站設(shè)備，管理混亂，給日常維護(hù)帶來(lái)許多不便。隨著我校網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，原來(lái)的出口設(shè)備已經(jīng)不能滿足需求，經(jīng)常出現(xiàn)丟包故障，兩臺(tái)防火墻也相繼宕機(jī)返廠維修，嚴(yán)重影響了校園網(wǎng)的穩(wěn)定運(yùn)行，因此急需對(duì)校園網(wǎng)進(jìn)行升級(jí)改造。

升級(jí)改造解決方案

1、出口設(shè)備性能不足，經(jīng)常出現(xiàn)丟包故障，兩臺(tái)防火墻也相繼出現(xiàn)硬件故障返廠維修等問(wèn)題，考慮到三臺(tái)設(shè)備都已經(jīng)過(guò)保，并且性能都不能滿足需求，故只能更換設(shè)備。根據(jù)公安部82號(hào)令要求，互聯(lián)網(wǎng)服務(wù)提供者、聯(lián)網(wǎng)使用單位必須具有“記錄并留存用戶訪問(wèn)的互聯(lián)網(wǎng)地址或域名”，“在公共信息服務(wù)中發(fā)現(xiàn)、停止傳輸違法信息，并保留相關(guān)記錄，能夠記錄并留存發(fā)布的信息內(nèi)容及發(fā)布時(shí)間”，“防范、清除以群發(fā)方式發(fā)送偽造、隱匿信息發(fā)送者真實(shí)標(biāo)記的電子郵件或者短信息”，“應(yīng)當(dāng)具有至少保存六十天記錄備份的功能”的措施，為了規(guī)避政策風(fēng)險(xiǎn)，經(jīng)研究決定購(gòu)買一臺(tái)360網(wǎng)神下一代防火墻，配置雙電源，作為出口網(wǎng)關(guān)；購(gòu)買一臺(tái)深信服上網(wǎng)行為管理，配置雙電源，作審計(jì)；購(gòu)買一臺(tái)啟明星辰Web應(yīng)用防火墻，配置雙電源，為服務(wù)器群提供應(yīng)用安全防護(hù)。

下一代防火墻配置（部分）

將三條運(yùn)營(yíng)商的光纖鏈路連接到下一代防火墻的千兆光口上，定義這三個(gè)光口的安全域?yàn)閡ntrust；將下一代防火墻上的兩個(gè)萬(wàn)兆光口分別連接到上網(wǎng)行為管理的兩個(gè)上行萬(wàn)兆光口，定義這兩個(gè)光口的安全域?yàn)閠rust；將下一代防火墻上的另外兩個(gè)萬(wàn)兆光口做端口聚合，定義該聚合口的安全域?yàn)閐mz，分別連接到dmz交換機(jī)的兩個(gè)上行萬(wàn)兆光口。

在下一代防火墻上配置策略路由，實(shí)現(xiàn)三條出口鏈路流量負(fù)載均衡；配置靜態(tài)路由和SNAT，實(shí)現(xiàn)校園網(wǎng)用戶使用私有地址訪問(wèn)互聯(lián)網(wǎng)；配置DNAT，將學(xué)校主網(wǎng)站、招生網(wǎng)、學(xué)工網(wǎng)等網(wǎng)站對(duì)外發(fā)布；配置安全策略過(guò)濾不安全的訪問(wèn)，啟用入侵防護(hù)功能攔截網(wǎng)絡(luò)攻擊，啟用病毒檢測(cè)功能查殺病毒，啟用SSL VPN功能實(shí)現(xiàn)校外教職工安全訪問(wèn)校園網(wǎng)內(nèi)部資源，啟用靜態(tài)DNS，實(shí)現(xiàn)校園網(wǎng)用戶訪問(wèn)學(xué)校對(duì)外發(fā)布的網(wǎng)站由下一代防火墻負(fù)責(zé)解析域名。

上網(wǎng)行為管理配置（部分）

將上網(wǎng)行為管理的四個(gè)萬(wàn)兆光口兩兩一組做網(wǎng)橋，分別上聯(lián)下一代防火墻的兩個(gè)萬(wàn)兆光口，下聯(lián)兩臺(tái)核心交換機(jī)的兩個(gè)萬(wàn)兆光口。在上網(wǎng)行為管理上啟用流量管理功能，根據(jù)應(yīng)用類型做流控。上網(wǎng)策略和認(rèn)證策略全部使用設(shè)備默認(rèn)配置，等下次認(rèn)證服務(wù)器采購(gòu)到貨后再單獨(dú)規(guī)劃配置。

Web應(yīng)用防火墻配置（部分）

將Web應(yīng)用防火墻的四個(gè)萬(wàn)兆光口兩兩一組做端口聚合，再做網(wǎng)橋，分別上聯(lián)下一代防火墻的兩個(gè)萬(wàn)兆光口（聚合口），下聯(lián)dmz交換機(jī)的兩個(gè)萬(wàn)兆光口（聚合口）。在Web應(yīng)用防火墻上根據(jù)訪問(wèn)類型http和https定義網(wǎng)站地址對(duì)象，根據(jù)網(wǎng)站應(yīng)用類型定義事件集、站點(diǎn)安全，配置虛擬服務(wù)和Flood防護(hù)等應(yīng)用防護(hù)策略。

圖2 改造后網(wǎng)絡(luò)拓?fù)鋱D

2、老校區(qū)網(wǎng)絡(luò)設(shè)備都進(jìn)入了報(bào)廢期，經(jīng)研究決定匯聚交換機(jī)全部換成華三S5560-30F-EI三層交換機(jī)，接入交換機(jī)換成華三S5120S-EI弱三層交換機(jī)。新校區(qū)網(wǎng)絡(luò)設(shè)備都進(jìn)入了老化期，經(jīng)研究決定將部分狀況較差的匯聚交換機(jī)換成華為S5720-56CEI-48S三層交換機(jī)，部分狀況差的接入交換機(jī)換成華為S5700-LI弱三層交換機(jī)。無(wú)線局域網(wǎng)的升級(jí)改造已于2016年上半年完成，該文已在《網(wǎng)絡(luò)安全和信息化》雜志2016年第11期刊登，在此就不在贅述。按照以上提供的解決方案，校園網(wǎng)升級(jí)改造完成后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

經(jīng)驗(yàn)總結(jié)

網(wǎng)絡(luò)升級(jí)改造是一項(xiàng)非常復(fù)雜的系統(tǒng)工程，它涉及范圍廣，工作量大，責(zé)任重大。因此，前期要做好方案，測(cè)試工作必須做到位，尤其是不同廠商交換機(jī)的生成樹(shù)對(duì)接問(wèn)題，不同廠商網(wǎng)絡(luò)設(shè)備的端口聚合問(wèn)題要特別引起注意。