摘 要:本文主要针对青海广播电视大学校园网升级改造中的建设及安全做了探讨,文章分析该校网络存在的问题,按照“扁平、双活、热备、利旧”的原则制定改造方案。通过本次改造,不但能解决校园网存在的问题,而且将该校校园网建设成一个高水平、高标准、安全稳定的网络。
关键词:校园网问题;扁平;双活;热备;利旧
1 青海广播电视大学校园网升级改造应用背景
远程开放教育以其跨越时空、灵活便捷、優质高效的办学特色,在构建全省终身教育体系、建设学习型社会中释放着不可替代的巨大能量。根据《中国中长期教育改革和发展规划纲要(2010-2020年)》、《青海省中长期教育改革和发展规划纲要(2010-2020年)》对教育信息化做了全面部署和规划,结合“建设宽带青海,促进信息消费”战略,为实现从“电大”到“开大”的战略转变,在网络上就得实现社会化服务功能、建设覆盖全省数字化、网络化、开放式的环境,基于此我们对青海广播电视大学现有的网络中心,数据中心进行规划升级改造。
2 青海广播电视大学校园网现状以及存在的问题
该校校园网采用“核心-汇聚-接入”网络三层架构。核心交换机为两台Cisco4507R作为整个校园网的核心,汇聚交换机为Cisco3560和S7703 ,接入层交换机为Cisco2960和Cisco3524组成。学校中心机房到各个楼宇机房通过光钎链接,网络用户3万多人,接入学校计算机上千台。该校校园网接入带宽200M,三个出口,分别为电信、铁通、教育网。校园网自2000年建设完成,经过多年的使用,存在着设备老化,故障点增多(校区后楼办公网络)、出口信息安全、流量控制、出口链路负载问题。
①设备老化。核心交换、汇聚交换机(除S7703)、接入交换机的使用10余年,不能满足建设下一代校园网的需求。②防火墙作为出口设备,设备处理交换、过滤等延迟较大,防火墙负载很重。③在服务区的功能区域,没有明确服务器区域,而是直接将服务器接入到核心之上。对服务器无任何安全保防措施。且数据安全存在很大的风险。④点位桌面速度慢。上互联网速度非常慢,有时一个外网网站时间需要几分钟左右才能打开网页。⑤现有设备对常见攻击的预防攻击能力较弱。
3 青海广播电视大学校园网改造升级的整体目标
该校校园网改造将按照“扁平、双活、热备、利旧”的原则,根据学校的具体情况和学校校园网的需求特点,确定适当的校园网改造建设的总体目标,逐步逐级进行实施完善,最终将青海广播电视大学校园网建设成一个高水平、高标准、安全稳定的网络。校园网改造的总体目标:主干上万兆、千兆到桌面,实现扁平化架构与精细化管理。具体实现分两期。
一期改造包括:①校园网出口功能设置出口负载均衡+路由器+防火墙,实现安全功能和路由功能分离、实现校园网内部自动选择最优链路进行外部资源访问。②校园网功能区域淘汰现有旧的核心交换和汇聚交换,使用高性能的核心交换和万兆交换机。③校园网数据区域,实现数据实时异地备份与恢复系统。④校园网基础设施改造,包括光缆及综合布线改造。对于原有的多模光缆进行改造,使校内光缆实现单模化,前后楼宇间的光缆形成双回路,做好线路的应急准备;对后楼楼字内的老旧综合布线根据实际情况分步以六类标准实施改造。⑤加强校园网的使用培训,规范上网行为,公平合理分配资源,实现可管、可控、可追溯。
二期改造包括:①校园网服务区域明确数据中心和应用服务,实现数据中心和应用服务分离。②校园网主干实现双活。③加强入侵防御检测,漏扫,增加网络、服务安全。④搭建安全管理平台、实现数据库审计。⑤扩充校园网总出口带宽。
4 青海广播电视大学校园网改造
本次改造将构建一张高性能,高可靠,能够精细化管理的校园网。简化的构架:将目前多达三层或更多层的校园网结构逻辑上简化为二层结构,即业务控制层(核心网络层)和宽带接入层(接入层),多业务系统:与Radius系统结合,实现用户接入、认证、审计、计费、带宽管理、行为控制;同时支持MPLS VPN、IPv6、组播业务的应用和快速部署。统一身份认证平台:主要是实现有线、无线用户,以及不同系统用户的统一认证,避免重复地多次认证,提高用户体验。管理简单化:采用扁平化的网络架构后,接入层的设备只实现用户之间的隔离(即划分VLAN),网关人员平时只是维护核心设备,大大减少了维护工作量。
4.1 出口解决方案
采用互联网出口一体化解决方案,该解决方案具备出口链路优化、整体安全防护、流量分析与控制三大功能模块,分别从出入流量的链路优化、L2-L7的整体安全防护、互联网出口低价值流量清洗、不合规应用管控、违反违规言论屏蔽等方面整体解决贵单位面临的链路资源利用率低、安全防护困扰、违法违规等问题。在解决问题的同时为了保障整个网络的可靠性与稳定性,本次解决方案采用双机冗余架构进行设计。
4.2 数据中心解决方案
数据中心核心层:两台核心交换机采用虚拟集群技术,两台设备通过万兆多模光纤捆绑连接虚拟为一台设备,增加带宽的同时也提高了网络链路的可靠性。下行链路根据服务器的物理端口选择GE或10GE链路。数据中心核心层的可靠性设计从设备级冗余和链路级冗余两方面来实现:从设备冗余角度考虑,2台核心交换机之间采用虚拟集群技术;从链路的冗余角度考虑,核心交换机与防火墙两台链路互联,大大提高网络高可靠性。本方案中数据中心核心交换机采用“集群”技术实现数据中心二层网络无环路。园区核心交换机采用利旧的S7703,园区接入交换机采用现网已有的交换机;园区核心交换机通过千兆网线连接至两台下一代防火墙。
5 校园网改造后预期效果
通过本方案实施,校园网将在基础网络建设上具备先进水平,为全校师生提供高速、稳定、安全、快捷的网络接入。并通过网络实时监控,以前的问题已大大减少,网络性能大幅度提高,本校园网络出口建设和安全策略是切实可行的。
参考文献:
[1]刘志江.校园网改造与设计[J].无线互联科技,2013.7.
[2]郭惠丽,李倩倩,张蕾.校园网改造升级中出口的建设和安全策略研究与实践[J].网络安全技术与应用,2010(2).
[3]若谷,惠煌.关于高校校园网改造升级的思考[J].内江科技,2008,29(6).
作者简介:赵艳萍(1978.11-),女,汉,陕西蒲城人,青海广播电视大学教育技术中心,讲师,研究方向:信息技术与安全。