基于PPDR模型的高校校园网网络优化与管理

魏育华 (广州华立科技职业学院机电与自动化学部,广州增城 511325)

基于PPDR模型的高校校园网网络优化与管理

魏育华 (广州华立科技职业学院机电与自动化学部,广州增城 511325)

从广州华立科技职业学院院校园网的现状和需求出发,结合网络设计目标和设计原则,深入分析了学院校园网网络规模、应用类型、用户类型、管理需求和安全需求,利用技术选型,为学院新校区的网络结构和网络功能进行二期网络工程项目改造,提出了有效的解决方案,从而使新、老校区更好的衔接,真正实现有效管理,提高了系统的稳定性、可靠性及运营性,优化网络资源,提高网络管理效率。

PPDR模型;校园网;网络优化;网络管理

为适应现代化教育的发展需要,学校通过信息化建设,把计算机应用于学校的管理、办公、教师备课、多媒体教学和发布校园新闻等等。通过连接教育网和Internet,可以查找资料并和其他院校共享资源,获得更广泛的合作,建设校园网并提供远程教学和对外强有力的宣传窗口,提高学校的影响力,让更多的考生和家长了解学校[1]。信息化的建设和应用,必将对学校的各个方面形成一种强有力的良性冲击,从而使学校屹立于21世纪信息化浪潮的前沿❶广州华立科技职业学院院级教学质量工程项目(华立职院[2013]10号)。。

1 需求分析

1.1 应用需求

网络应用需求包括办公、服务、教学、科研等4个方面,而学校不同具体的应用需求也会有所不同。对办公和服务方面的网络设计应考虑网络带宽的大小,对教学和科研方面其安全性、扩展性和稳定性等问题是要着重考虑的[1]。所以,应根据学校的实际情况来考虑网络的应用需求。常用的网络应用类型有网络操作系统、OA、E-mail、BBS、视频点播、无线局域网等。

1.2 用户需求

1)用户群体 校园内有学生、教职工和家属等群体,其中学生群体人数规模较大,其次是教职工,然后是家属。

2)上网时间 学生早上上课前、午间休息、白天下课后、晚上和周末上网时间多一点,有一些是去图书馆用计算机查询相关资料;教职工一般是在上班期间上网;家属一般是在下班后和周末上网。

3)网络流量分析 根据用户群体上网时间的不同,网络流量出现不同的应用特点,凌晨到早晨用户一般较少,中午和晚上会出现流量高峰。

1.3 管理需求

一个好的网络管理系统可以让网络管理人员更加经济高效地管理网络,优化网络资源,降低网络运行维护成本。所以网络管理系统必须具有拓扑管理、配置管理、性能管理、安全管理、报表统计等功能。

2 网络设计目标

学院对校园网二期项目的建设目标是:建设一个集数据、语音、视频服务于一体的高带宽、多功能、多服务、开放的、多业务接入的IP多媒体交换园区网。该网信号要覆盖学校所有区域,利用有线和无线技术使学校所有部门的计算机和数字化设备都能够方便地连接到网络,将校园网作为一个整体通过宽带接入到CHIANNET、CERNET,使Internet进入校园。同时,网络在建成后,除了满足自身的业务需求外,还应该起到一个示范性、品牌性的社会效应。

3 项目技术选型

根据以上分析,建设千兆主干已经基本满足目前学校对带宽的需求,并可以保持2～3年的发展期,然后根据需要,再平滑地把核心骨干层提升到万兆带宽。核心交换机需要支持万兆接口,并支持IPv6技术,以便于网络未来平滑地采用IPv6技术。

为了实现网络的可靠性、扩展性和灵活性,在学院教学区采用扁平的两层网络结构,即接入层和骨干层,在学生生活区采用传统的三层结构,即路由接入层、汇聚层和骨干层。

接入层则主要是提供最终10/100M的桌面接入,同时通过Vlan划分等技术来保证用户之间访问的安全性,同时接入层还承担了大量的本地数据流量。

汇接层主要由三层交换机和接入服务器构成,其重要功能是提供接入层到骨干层的中继,同时通过DHCP服务器来分配用户的IP地址,使用路由协议实现VLAN间的路由,为本地的数据流提供高性能的交换。

骨干层主要采用高性能的多层交换机(交换路由器),建议使用千兆以太网作为传输主干,使用1Gbps/10Gbps以太网作为接入连接,其主要作用是提供主干上的高性能数据交换,以便为分散的各节点提供集中应用。

4 网络结构设计

学院二期项目工程包括新校区的网络建设及老校区的网络运营改造。新校区将新建一数据中心作为全校总出口,老校区将从新校区接入。原有网络中心作为学院二级数据中心,主要管理老校区。

二期工程网络中心配置了1台万兆核心交换机。未来根据网络规模和应用的发展,可以在信息点比较集中的地方增加核心交换机,核心交换机之间可以扩展到10G的链路带宽。

根据现在的规划需求,在学生宿舍区(8栋)采用传统的三层网络结构,每栋宿舍楼配置了汇聚交换机;每个汇聚交换机通过千兆链上联到核心交换机;而在教学楼(2栋)、行政楼、2个活动中心则采用两层网络结构,即接入交换机直接通过光纤上联到核心交换机。

接入交换机按照每个建筑物的楼层、分支配线间为单位进行配置,同一建筑物为单位进行配备,同一建筑物中安装在同一地点的多于2台的交换机根据情况采用堆叠方式,每个堆叠组中应提供至少1个千兆端口。接入交换机向用户提供10/100M或者可以做端口限速接入。目前采用的交换机均支持两个端口的千兆上联,今后可以根据实际应用,如果用户需要较高的带宽,或者需要冗余的链路,可以采用两个千兆端口汇聚上联。

新校区核心交换机各通过2个GE光纤链路连接到老校区的核心设备上,从而把老校区的用户上网出口统一到新校区的核心交换机上。

5 网络安全模型

一般安全模型是基于安全策略建立起来的。目前,多数网络安全策略都是建立在认证、授权、数据加密和访问控制等概念之上的。为了提高整个网络的安全性能,学院二期项目工程采用基于PPDR的网络安全解决方案。该方案包括Internet扫描组件、系统扫描组件、数据库扫描组件、实时监控制组件和套件决策软件等内容,可用于网络安全的策略、保护、检测、响应等各个环节。笔者从3个大的方向加以考虑:事前加强网络基础架构、事中快速反应机制、事后安全审计。

5.1 事前加强网络基础架构

1)在网络出口处或者在网络的每个安全域的边界部署防火墙。防火墙设备在网落中起着非常重要的作用,具有安全防范、访问控制和日志审计等功能,是整个网络的主要安全屏障。

2)部署入侵检测系统IDS。入侵检测系统是防火墙的合理补充,它可扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性,帮助管理员洞察网络攻击行为[2]。

3)访问控制表(ACL)策略。高效的ACL控制功能可以用来保证网络设备本身的安全,是一种由Policy Director使用的方法,它向安全域中的资源提供了细粒度保护,指定对受保护对象执行操作所需的条件。

4)安装能够预先发现网络安全隐患的评估系统。安全评估系统主要针对用户系统内部的各种安全漏洞实施漏洞扫描,借以检查出系统中主机的安全隐患,并提供相应的扫描结果报告,使用户全面了解系统的安全状况。

5)对用户进行身份认证,包括有线接入用户和无线移动接入用户。同时,为了实时、准确、快速的定位用户位置,可以考虑采用多属性绑定功能加强对用户的管理。

5.2 事中快速反应机制

在新形势下的网络建设,应从网络的各个层面、各个产品类型的角度考虑全防卫的网络安全。同时,安全网络中的各个设备组成之间不是相互独立的,而是互动式的,通过全新的联动体系,将网络的各个组成部分安全、可靠的互动起来,包括在事先部署的主动防御体系,如防火墙、入侵检测IDS、安全评估系统、病毒防护系统、邮件安全系统等,从而为用户提供一个完整的、互动式的安全网络架构[3]。

5.3 事后安全审计

安全审计系统必须实时监测网络上和用户系统中发生的各类与安全有关的事件,如网络入侵、垃圾邮件、内部资料窃取、泄密行为、破坏行为、违规使用等,将这些情况真实记录,并能对于严重的违规行为进行阻断。所以在网络设计之初,选择防火墙、IDS、邮件过滤系统、防病毒软件等设备时就必须考虑这些设备是否具备安全日志分析、流量报表分析等功能。

6 网络管理

当计算机网络信息化跟工业化互相结合后,网络管理就显得非常重要,而网络管理系统对于有效地进行网络管理也起着非常重要的作用。通过网络管理系统加强对网络的监管,实现积极、主动地网管,及时进行网络的管理维护,预先安排网络的维护计划,对网络的运行进行预警分析,保障业务系统的正常运转;及时掌握网络的故障情况,并分析其中的规律;实时监测网络性能,对网络异常情况进行追踪[4]。

在没有网络管理的情况下,网络故障的维护往往是当业务系统出现问题时,网络管理人员才去查找网络故障原因,使得网络维护工作总是处于被动状态,影响了业务服务水平,增加了网络管理部门的压力。如果能在系统出现故障时及时发现并定位故障的原因和位置,就能为快速排除故障节省宝贵的时间,避免网络故障对业务系统的影响,进而提高网络管理水平和效率。

笔者采用的网络管理系统是一个面向电信网络和企业网络的综合网络管理系统,采用电信网络与IP网络结构相结合的管理体系架构设计,具有管理多个网络、系统及企业的能力,支持网络拓扑管理、故障管理、配置管理、性能管理、服务器管理、安全管理、报表管理、客户管理、网络用户认证管理等功能[5]。

7 结语

该方案是根据学院现行的网络结构规划的可实施方案,不但优化了现有的网络结构,还实现了不同认证方式的统一管理和不同校区认证计费的统一管理,同时用二次认证方式解决了出口流量过大导致网速过慢的问题,从根本上解决因为新校区抢占了带宽而导致老校区网速慢的问题,从而使新旧校区的网络更好地结合和充分地利用起来。

[1]李明.论校园网络规划设计的若干问题[J].成才之路,2009(2):25.

[2]刘晔.企业网络信息安全研究[J].中国科技信息,2006(20):15-16.

[3]清华紫光比威公司.网络的动感地带[J].信息安全与通信保密,2003(9):61-62.

[4]教育信息化.武昌区教育城域网解决方案[EB/QL].http://www.edu.cn/jiejue_fangan_1635/20060323/t20060323_123606.shtml, 2005-04-21.

[5]北大青鸟网络工程师培训.国内主要网络管理软件[EB/QL].http://www.beidaqingniao.org/edu/edu/1755.html,2012-10-25.

[编辑] 张涛

TP393.07

A

1673-1409(2014)22-0039-03

2014-04-01

魏育华(1983-),男,硕士,工程师,现主要从事计算机应用、计算机网络方面的教学与研究工作。