胡春雷 岳宜勇 陆蒙
摘要:随着等保2.0标准的出台实施,所有联网的企事业单位的信息中心都必须达到标准的要求,对所负责的网络及信息系统进行有效的全方位的安全防护。本文针对某高职院校校园网的建设需求,根据等保2.0标准的要求,通过使用必要的网络安全设备,采用多出口设计、冗余互备、VPN、双协议栈等技术,设计出了一种安全高可靠的校园网络建设方案,并在EVE中对方案中的基本组网及VPN功能进行了模拟实施。
关键词:校园网;等保2.0;VPN;冗余互备;防火墙
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2021)02-0027-02
1 引言
没有信息化就没有现代化,信息化建设已成为各个单位基础设施建设的重要的内容之一。信息化建设将改变政府部门、各企业的传统工作方式,极大地提高工作和办事效率。教育信息化是当今各层次学校的重点工作之一[1]。随着大数据、云计算、物联网、人工智能等新兴信息技术快速发展,如何借助新兴技术进行教育信息化的改革实践,是当下各个层级教育,尤其是高等职业教育中面临的重大挑战之一[2] 。校园信息化已成为学校发展必须推进和经历的阶段,校园网作为为校园信息化必备的基础设施,对于改善学校管理、改革教学方式、丰富学习内容等有极大的推进作用[3]。随着等保2.0标准的出台实施,所有联网的企事业单位的信息中心都必须达到标准的要求,对所负责的网络及信息系统进行有效的全方位的安全防护。在此背景下,如何建设符合等保2.0要求且能助力实现管理的自动化、智能化的高可靠的校园网,以支撑学校教学、科研、管理及各业务系统安全稳定運行,成为各高校信息建设的重点。
2 校园网建设需求分析
本案例选择的是某个职业院校的校园网建设实例,假设该学校有主校区和分校区两个校区,且两个校区相距很远,学校的门户网站和应用系统都部署在新校区的中心机房内的服务器中。对其校园网建设需求分析如下:
1)联网需求。一方面要保证校园网能与教育网无阻碍连通,实现与教育网的互联,访问教育网资源;另外一方面还要提供互联网接入,以保证校园师生可以访问Internet,访问互联网资源;
2)安全通信的需求。主校区和分校区组成一个校园网,需要将两个相隔很远的校区互联成一个局域网,并保证它们之间的安全通信。同时需要保证教职工和在校学生在校园外也可以安全地使用校园网;
3)可靠性的需求。门户网站是学校对外宣传的窗口,要保证时刻能够被外界所访问,学校日常运行对网络的需求越来越大,要保证校园网具有一定的健壮性,避免核心链路和核心设备的单点故障;
4)无线接入的需求。随着云课堂、今日校园等教学管理或学生管理App的广泛使用,要求学生在校园内随时随地都能接入互联网,在校园部署无线网络全覆盖,将方便学生接入互联网,为线上教学提供有力支撑;
5)等级保护的需求。随着等保2.0标准的出台实施,所有联网的企事业单位的信息中心都必须达到标准的要求,对所负责的网络及信息系统进行有效地全方位的安全防护。校园网络及应用系统必须达到等保2.0标准的要求。
3 校园网建设方案设计
3.1 网络架构设计
基于校园网中的应用部署、安全通信、无线接入、等级保护等需求,设计出了校园网络拓扑结构,如图1所示。在主校区的网络设计中,按照层次化组网设计理念,采用三层网络架构,将整个校园骨干网分为接入层、汇聚层和核心层。接入层又由普通二层交换机组成,为用户接入网络提供通道;汇聚层连接无线AP与接入层交换机,提供基于策略的访问控制;核心层由两台核心交换机组成,实现高速交换。两台核心路由器,一边连接服务器集群,另一边连接防火墙,并通过防火墙连接教育网和Internet。通过在主校区与分校区的出口防火墙间部署IPSec VPN来实现两个校区的安全通信。
3.2 路由设计
核心路由器互连服务器集群、三层核心交换机和防火墙,实现服务器区、办公区域与外网区域间的数据包转发。考虑IPv6的发展趋势,在核心路由器中同时配置IPv4与IPv6双协议栈技术,满足未来向IPv6网络的平滑过渡。同时开启了NAT功能以保证内网IP段不被外部互联网知晓,提高内网安全性。
3.3 无线网络设计
考虑到日常教学、管理等工作对无线网络的需求,在主校区和分校区的网络中都添加了无线接入设备,为了方便管理,无线网采用AC+AP的组网模式。在无线控制器上启用了黑白名单机制,并借助Radius服务器为无线上网做上网认证,允许验证成功的用户连接校园内网,超过连接次数的用户会被AC加入黑名单。
3.4 网络安全设计
在网络安全方面,考虑等保2.0标准的要求,在校园网出口部署了企业级多核防火墙,借助防火墙实现对内网保护;在服务器集群区旁挂着入侵防御系统(IPS),用于对防火墙的补充,抵御外部的恶意攻击,提高内网主动防御的能力;为了阻挡借助网站漏洞而发起对门户网站的恶意攻击,在网站服务器前部署了Web防火墙,提高门户网站的安全性;在内网部署日志服务器,记录防火墙、WAF等安全设备产生的日志信息,为行为审计提供条件;在主校区与分校区的出口防火墙间部署IPSec VPN来实现两个校区的安全通信,并在主校区出口防火墙部署SSL VPN来为在家办公的教职工和学生提供安全的校园网接入服务。
3.5 可靠性设计
在核心层的两台核心交换机上,部署MSTP和VRRP,实现冗余备份,以保证网络中不会因一台设备宕机而出现单点故障的现象。在主核心交换机与备用核心交换机间使用多条链路进行互联,并采用以太网链路捆绑技术,以保证主备设备间数据的高速转发。在三层核心交换机处连接着的两台AC用做主备冗余,提高无线网络的容错能力。为了保证到Internet的连通性,主校区和分校区的出口网络都采用了双出口设计,即同时通过两个不同运营商的线路接入互联网,提高了接入互联网的可靠性,可以有效避免单个运营商线路故障而导致的网络不可用的风险。
4 校园网建设方案模拟实施
4.1 EVE-NG介绍
EVE-NG(全称为Emulated Virtual Environment - Next Generation),是深度定制的Ubuntu操作系统,可以直接把它安装在x86架构的物理主机上。它也有ova版本,可以导入到VMware等虚拟机软件中运行。它融合了dynamips、IOL、KVM,不仅可以模拟网络设备,也可以运行一切虚拟机,实现模拟网络设备与虚拟机之间的互联互通,为用于学习网络技术提供了仿真虚拟环境。
4.2 主要设备及功能配置
核心层交换机采用MSTP+VRRP双机热备技术,MSTP可以实现多VLAN 的负载分担,可以实现多厂商对接,VRRP协议用于解决局域网中配置静态网关出现单点失效现象的路由协议,实现双机热备功能。在核心路由器和核心交换机上配置动态路由协议OSPF,同时考虑到IPv6的发展趋势,还配置了IPv6路由协议栈。
核心交换机的主要配置如下:
spanning-tree mst configuration
instance 1 vlan 10, 20
instance 2 vlan 30, 40
instance 3 vlan 60
instance 4 vlan 70, 80
spanning-tree mst 1 priority 4096
spanning-tree mst 2 priority 8192
spanning-tree mst 3 priority 8192
spanning-tree mst 4 priority 4096
spanning-tree
interface GigabitEthernet 0/13
ip address 192.168.13.1 255.255.255.252
interface GigabitEthernet 0/19
ip address 192.168.19.2 255.255.255.252
interface VLAN 10
ip address 192.168.10.252 255.255.255.0
vrrp 1 ip 192.168.10.254
vrrp 1 priority 110
interface VLAN 20
ip address 192.168.20.252 255.255.255.0
vrrp 2 ip 192.168.20.254
vrrp 2 priority 110
interface VLAN 30
ip address 192.168.30.252 255.255.255.0
vrrp 3 ip 192.168.30.254
核心路由器的主要配置如下:
ipv6 source-route
interface GigabitEthernet 0/1
ip address 192.168.19.1 255.255.255.252
ipv6 address 2001:19::1/64
ipv6 enable
ipv6 ospf 1 area 0
duplex auto
speed auto
ipv6 router ospf 1
router-id 1.1.1.1
router ospf 1
router-id 1.1.1.1
network 192.168.19.0 0.0.0.3 area 0
IPSec VPN的主要配置如下:
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key security@123 address 202.2.2.2
crypto ipsec transform-set protect esp-aes esp-sha-hmac
mode tunnel
crypto ipsec profile rule
set transform-set protect
interface Tunnel0
ip address 172.16.100.1 255.255.255.0
ip mtu 1400
ip ospf 1 area 0
tunnel source 202.1.1.1
tunnel mode ipsec ipv4
tunnel destination 202.2.2.2
tunnel protection ipsec profile rule
5 結束语
校园网作为为校园信息化必备的基础设施,对于改善学校管理、改革教学方式、丰富学习内容等有极大的推进作用。随着网络安全问题的日益突出和国家对网络安全工作的日益重视,如何建设助力实现管理的自动化、智能化的安全高可靠的校园网成为各高校信息建设的重点。本文针对某高职院校校园网的建设需求,按照等保2.0的要求,通过采用多出口设计、冗余互备、VPN、双协议栈等技术,设计出了一种安全高可靠的校园网络建设方案,并在EVE中对方案中的基本组网及VPN功能进行了模拟实施。
校园信息化的建设工作是一个长期的工作,校园网络作为校园信息化建设的重要内容,也需要不断跟进技术的发展。安全不是一劳永逸的,并不是简单架设安全设备就能解决的,安全会随着使用者的情况而变化。因此,一个好的使用情况和一个可扩展的方案才应该是解决问题的核心思想。技术日新月异,但唯有人不变,因此要让整体的网络安全,更应该让使用者有安全意识与安全技术才是重点。
参考文献:
[1] 汪寒江,董向青.概述IP城域网络设计[J].科技风,2010(17).
[2] 蒯红兵.城域网网络规划建设浅析[J].通信与信息技术,2009(4).
[3] 黄河夫.高校校园网网络优化设计与实现——以钦州学院为例[J].钦州学院学报,2018,33(8):31-35.
【通联编辑:光文玲】