崔 莹 杨心宇 冯 辉
1.江苏建筑职业技术学院信息与网络中心;2.江苏建筑职业技术学院信电工程学院;3.徐州市大数据分析及数据安全工程研究中心
随着社会的进步和人类文明的发展,信息化已经融入了各行各业。计算机网络作为信息化平台的重要载体,已经经历了4个阶段,发展为国际互联高速计算机网络时代。
在高速计算机网络阶段,传统的组网拓扑结构已无法满足当代高校的网络使用需求。传统组网模式下,计算机通过基本的交换路由设备连接在一起,无线应用尚未普及,网络安全方面也缺乏完整的部署。校园网的计算机共用一个带宽,若接入过多的计算机,则会导致网络带宽不足,容易经常发生网络崩溃。所以,需要改变原有组网布局,转变为星型拓扑或者混合拓扑,才能使之进入高速计算机网络阶段,以便更好地适应现代高校的用网需求,并转变为智慧校园网络布局。因此,普遍高校开始采用星型结构拓扑,楼宇之间采用光纤通信,大致为百兆带宽。普通小面积的校园网络中心大致配有十几台交换机、几台路由器跟网关,并在网关或者路由器上布置防火墙,不再是单独拥有一套安全设备;面积稍大的校园网络中心则拥有几十台交换机、几十台路由器、网关以及一整套完善的防火墙设备。校园面积越大,可容纳的学生数量以及老师数量就越多,以至于用网需求更大,涉及的数据信息也就越多,更需要对入网用户的安全采取保护措施。
现在,高校的网络中心除了有交换机、路由器、网关、防火墙等,还拥有几台或者十几台属于学校的服务器,部署着学校官网、学校教务系统、学校管理系统等数据信息,存储着学校所有的核心信息,因此,更加需要加强对组网布局安全的维护。
各高校正在走向搭建智慧校园的道路,搭建一个移动网络无缝互通、海量数据智能支撑的网络体系构架,让校园处处有网,从而打造无处不在的网络学习、透明高效的校务治理、方便周到的校园生活。简而言之,“要做一个安全、稳定、方便、融洽的校园”,由此可知,设计构思智慧校园网,是对网络骨干和网络安全方面作出合理的、有延展性的规划。
智慧校园的网络特色可分为:移动网络无缝互通,海量数据智能支撑。这体现了不同于以往的传统网络体系,而是从根本上改变了传统的组网布局,顺应时代的发展,使得高校网络布局变得越来越具有可扩展性以及科学合理性。
智慧校园的构建少不了网络技术的支持。校园内设置成千上万个无线访问接入点(AP),有利于师生随时随地互动与交流,不再受限于空间距离;在无缝互通上,利用无线接入控制器(AC)具有的多个端口,连接多个AP,将每个移动热点(WiFi)圈重叠1/8,使之从一个AP下移动到另一个AP下范围内时可以无缝衔接,并自动连接到新区域的WiFi。而不必再像以往一样每更换一个区域就必须重新连接WiFi,或在中间某段距离中几乎没有网络连接。由此,彻底打破了常规校园的局限性,提高了数据信息的及时通信性,做到移动网络的无缝互通。
智慧校园网稳定、可靠地支持海量数据的流通。可靠性强的网络既要有很强的网络弹性来保证故障的快速复原,也要有很高的吞吐量以保证出入流量的负载均衡。其中,虚拟路由冗余协议(VRRP)是打造网络可靠性的强劲引擎,功能包括:(1)容错。当几台设备联合成为一个虚拟路由设备,一台出现故障则会有其他设备接替业务,从而保证通信的连续性与可靠性。(2)网关冗余。一个虚拟网关指代两个物理网关,从而提高网络的可靠性。此外,堆叠技术也可为增强网络可靠性提供助力,将多台设备做堆叠,使其只控制一台主设备来进行配置操作,从而提高整体的稳定性,促使网络更加稳定、可靠,从而更好地对高校未来的整体规划做出科学、合理的决策。
智慧校园整体网络设计如图1所示,其包括核心层、汇聚层、接入层、用户群区域、防火墙区域和服务器群区域。其中,骨干网络部分包括核心层、汇聚层、接入层、用户群区域,网络安全部分是防火墙区域。本文将对这两部分进行规划设计。
图1 整体网络设计
2.1.1 核心层设计
核心层位于整个网络拓扑的最上层次,主要负责运行和管理,可靠、快捷地向大规模网络中传输信息数据。用户的请求信息都是在汇聚层,并对数据进行处理,如果有需要,汇聚层就把请求发送到核心层。如果该层出现故障,将会影响到每个用户,因此,容错性比较重要,在核心层应避免任何影响通信流量的事情,建议做一些收敛时间短的路由协议帮助通信。
针对本文设计的如图1所示的高校智慧校园网,推荐使用OSPF路由协议,支持CIDR、VLSW和不连续的网络,其适用范围广,对管理员的配置管理也方便快捷。若拓扑分布区域多,使用该路由协议可方便标识分区。当某局部网络出现问题,便可按照划分的区域找到故障,并快速解决。在核心层路由器,首先,规划是配置进程号,若不标记进程号,一般默认为0,在此给其配置为进程10,即在配置命令行输入“ospf 10”;其次,进行区域ID设置,区域默认从0开始,即第一个区域设置为区域0,若网络拓扑有多块区域,则ID值依次递增,以便区分不同区域,方便日后排除故障;最后,宣告该区域所在网断的反子网掩码,以建立路由表。每台路由器里不同的区域都需宣告,从而建立完整的路由表,以便数据流通。
2.1.2 汇聚层设计
汇聚层也称工作组层,是上下两层之间的通信,需要启到防环以及对多个设备进行统一管理。因此,在汇聚层,一般是虚拟路由冗余协议(Virtual Router Redundancy Protocol,VRRP)跟多生成树协议(Multi Spanning Tree,MSTP)交错使用,或是使用堆叠技术、链路聚合技术,从而在智慧校园网的构架上,改变原本拥塞的网络环境,实现网络拓扑的快速收敛,进而提升网络数据的吞吐量,实现海量数据的智能支撑。
在汇聚层的网络构建中,应把接入层的设备进行VLAN划分、DHCP的启动配置,再在交换机中使用VRRP协议、MSTP协议以及链路聚合技术进行搭建。
首先,进行链路聚合,创建聚合组,将其聚合模式改为手工模式,再将接口成员加入到聚合组之中,并绑定TRUNK口,允许VLAN通过。
其次,在交换机中进行MSTP协议的配置。进入MST域视图,修订级别为1,再指定两条实例允许不同的VLAN通过,例如“instance 1 vlan 10”即实例1允许vlan10通过;激活MST域配置,对两个实例进行优先级分配,一个为primary,另一个为secondary;汇聚层两条交换机里的两个实例的优先级是相对的。
最后,在两个交换机里配置VRRP协议,在进入交换机的vlan10接口创建VRRP备份组,备份组号为1,虚拟IP为xxx.xx.1.254,分配优先级为120,接口全局启用DHCP;再进入vlan20接口创建VRRP备份组,备份组号为2,虚拟IP为xxx.xx.2.254,接口全局启用DHCP;对VRRP虚拟组1配置接口认证,认证方式为MD5,密码为huawei,以增强安全性。
2.1.3 接入层设计
接入层是控制智慧校园网用户和工作组对互联网络资源进行访问的。大多数用户所需要的资源在本地就可以得到,分配层设备处理远程服务的数据流。接入层的功能:连续的访问控制和策略(对分配层的延续);创建分隔的冲突域,即创建不同的VLAN区域,把用户与用户、服务器与服务器各自划分区域,避免相互干扰影响正常通信。为确保工作组到分配层的互通性,需在接入层配置一些ACCSEE口和TRANK口,允许VLAN通过。
在接入层,可以对向下的接口进行设置,绑定为ACCESS口,对向上的接口绑定为TRUNK口。此外,在AC的配置区域,可以进行如下操作:首先,进入WLAN模式,定义模板域、国家名称、设置组,绑定定义模板以及定义认证模式。其次,等待AP上线。如果AP数量不是很多,可以采取手动上线的方法,把AP的MAC地址绑定在AC中;AP上线后,配置WiFi的安全模板、定义密码、分配给定用户权限,再配置SSID模板。最后,设置WLAN射频,待全配置结束,WiFi的辐射圈就形成了,就到处都有WiFi信号。在WiFi范围内,只要每天输入一次账号和密码,即可连通互联网,并且当从一个AP范围移动到另一个AP范围,将会自动切换登录,难以察觉到网络转换,没有网络迟钝。为安全起见,此账号仅限高校师生使用。
在智慧校园网的网络拓扑规划下,校园里每隔一定距离就放置一台AP,使移动网络无缝互联。此外,骨干网络已设计出雏形,还需要确保网络安全来加固整体结构,防护师生在校用网安全。
高校智慧校园网的周边安全,需要用防火墙来对内部骨干网络进行保护。本文设计的高校智慧校园网可以采用双台防火墙,一个为主防火墙,一个为辅助防火墙。主防火墙与辅助防火墙里都相互备份对方的配置,当主防火墙出现问题,辅助防火墙及时启用主防火墙里的规则;当辅助防火墙出现问题,主防火墙立即启用辅助防火墙里的规则,以立即处理防火墙的防护问题。
关于高校智慧校园网的安全方面,设计如下:先在防火墙里置入安全策略视图,然后创建安全策略规则,再进入到安全策略规则视图,配置安全策略的源安全区域和目的安全区域,再配置安全策略规则的用户、协议类型、服务、引用的安全配置文件以及安全区域时间段。由此,实现对整个智慧校园网组网的保护,并营造较高安全性的保护环境,以保证用户安全,对服务器的服务以及服务器内的数据起到防护作用。
智慧校园网络设计实施过程中,要严格依照校园网络设计图。首先,搭建智慧校园网络的骨干网络,包括核心层、汇聚层和接入层的设备配置;其次,在校园内各处内外部署AP设备,再在楼宇间放置AC和接入、汇聚交换机设备;最后,在部署校园网络安全方面,安置并配置防火墙设备。
本文使用华为设备来配置其骨干网络、无线网络和安全策略等,以实现高校智慧校园网络的规划与设计。
(1)核心路由器OSPF的实现,在AR1、AR2、AR3的路由器中配置如下命令:
ospf 10 //进程号 无备注则默认为进程1
area 0 //区域ID,配置为区域0
network 1.1.1.0 0.0.0.255 //所宣告的网段 反子网掩码
3台路由器属于同一个区域0中,不同的路由器宣告不同接口所在的网段,因每段网段不同,每台路由器中的路由表邻居也不同,使用“display ospf peer”即可查看OSPF的邻居状态。
(2) 汇聚层中实现VLAN的划分、DHCP服务、链路聚合、MSTP和VRRP协议。
第一,交换机中VLAN的划分,分为3种区域,标记为10,20,30。
Vlan batch 10 20 30 //划分三个vlan :vlan10 、vlan 20、 vlan 30
第二,DHCP服务的实现。主要是针对广大师生用户和AP设备,其租期设置较短,可提高地址的利用率,不过有些固定的办公室有线用户若有特殊需求,则需延长IP地址的租用期;一些无线AP接入点需要有永久的IP地址,所以要设置的时间为无期。
dhcp enable //开启DHCP功能 (配置基于全局地址池的DHCP)
ip pool huawei1 //创建一个全局地址池,地址池名称为huawei1
network 192.168.4.0 //动态分配的地址范围192.168.4.0, 如果不指定掩码,则默认使用自然掩码
lease day 2 //全局地址池下的地址租期
gateway-list 192.168.4.254 //配置DHCP客户端的网关地址
dns-list 8.8.8.8 //配置DNS服务器
interface GigabitEthernet 0/0/0 //进入接口
dhcp select global //开启接口DHCP功能,指定接口采用全局地址池为客户端分配IP地址
第三,链路聚合的实现。智慧校园汇聚层的两台交换机进行链路聚合,分担出/入流量吞吐量在各成员端口的负荷。
interface Eth-Trunk 1 //配置链路聚合,创建Eth-Trunk 1
mode manual load-balance //指定为手工负载分担模式
interface GigabitEthernet 0/0/1 //进入两个交换机相连接的接口
eth-trunk 1 // 加入到Eth-Trunk 1接口
interface GigabitEthernet 0/0/2 //进入两个交换机相连接的接口
eth-trunk 1 // 加入到Eth-Trunk 1接口
第四,MSTP的实现。汇聚层的两台交换机与接入层的交换机一同配置MSTP协议,把不同的VLAN分配到不同的实例里,统一规范,严格控制流量的流通。
stp region-configuration //配置MSTP,进入MST域视图
region-name huawei //配置MST域名
revision-level 1 //配置MSTP的修订级别为1
instance 1 vlan 10 //指定VLAN 10映射到实例1
instance 2 vlan 20 30 //指定VLAN 20 30映射到实例2
active region-configuration //激活MST域配置
在交换机里都配置如上命令,再在两个汇聚层的交换机内给实例分配优先级。
[S1]stp instance 1 root primary //给实例1赋予优先级为主要的
stp instance 2 root secondary //给实例2赋予优先级为次要的
[S2]stp instance 2 root primary //给实例2赋予优先级为主要的
stp instance 1 root secondary //给实例1赋予优先级为次要的
第五,VRRP的实现。需要在汇聚层的两台交换机中配置选择容错协议,作为一个虚拟网关,实现路由备份。
interface Ethernet 1/0/1 //进入上行接口
vrrp vrid 1 virtual-ip xxx.xx.1.254 //创建VRRP备份组,备份组号为1,虚拟IP为xxx.xx.1.254
vrrp vrid 1 priority 120 //配置优先级为120
vrrp vrid 1 authentication-mode md5 huawei //对VRRP虚拟组1配置接口认证,认证方式为MD5,密码为huawei
interface Ethernet 1/0/2 //进入上行接口
vrrp vrid 2 virtual-ip xxx.xx.2.254 //创建VRRP备份组,备份组号为2,虚拟IP为xxx.xx.2.254
vrrp vrid 2 preempt-mode disable //配置虚拟组2中的抢占模式为非抢占方式,默认为抢占模式
(3)接入层中实现接口配置以及AC、AP的配置。
第一,二层交换机与三层交换机相连以及二层交换机与PC端相连的接口配置:
与PC端相连,配置access口
int GigabitEthernet0/0/1 //进入接口
port link-type access //设置端口模式为access模式
port default vlan 10 //设置端口允许通过vlan 10
与三次交换机相连,配置trunk 口
int GigabitEthernet0/0/1 //进入接口
port link-type trunk //设置端口模式为trunk模式
port trunk allow-pass vlan all //配置端口组的端口允许通过的vlan为所有vlan
第二,无线网络核心策略,包括AC的WLAN配置、SSID模板的配置以及AP的射频。
①WLAN的配置:
Wlan //进入WLAN视图下
regulatory-domain-profile name default //定义模板域,国家名称
country-code CN //国家名称为中国
ap-group name xxregulatory-domain-profile default //设组,绑定定义模板
ap auth-mode mac-auth //定义认证模式
mac 模式类型 //认证模式
ap-name xxx //给ap-id 0起名字
ap-group xx //绑定组
dis ap all //查看AP上线的情况
定义两种发出的WiFi类型,输入密码型与免密型。
security-profile name xx-internal //定义线上的WiFi名称
security wpa-wpa2 psk pass-phrase 12345678 aes //定义密码
security-profile name s1-guest //定义WiFi的名称为普通用户
security open //免密码岂可登录
②设置SSID模板:
ssid-profile name xx //上面定义的WiFi名称
ssid xx //配置SSID名称为xx
vap-profile name xx //定义虚拟模式
security-profile xx //引用为xx的安全模板
ssid-profile xx //配置VAP模板引用SSID模板
service-vlan vlan-id 101 (一个业务VLAN) //配置业务VLAN为VLAN101
③设置WLAN射频:
ap-group name s1 //创建AP组名为s1,并进入AP组视图
vap-profile s1-internal wlan 1 radio 0 //给s1-internal的2.4G引用VAP模板
vap-profile s1-internal wlan 1 radio 1 //给s1-internal的5G引用VAP模板
vap-profile s1-guest wlan 2 radio 0 //给s1-guest的2.4G引用VAP模板
为了提高智慧校园网络的安全,对图1中的两台防火墙进行如下配置安全策略配置,并在两台防火墙里互相备份。
security_ploicy //进入安全策略视图
rule name rule-name //创建安全策略规则,并进入安全策略规则视图
source-zone 1 //
配置安全策略的源安全区域
destination-zone 2 //配置安全策略的目的安全区域
source-address 192.168.2.1 192.168.2.10 //配置安全策略规则的源地址
destination-address 1.1.1.1 24 //配置安全策略规则的目的地址
user user01 //配置安全策略规则的用户
service protocol 6 tcp //指定安全策略规则的协议类型
service dns //配置安全策略规则的服务
profile data-filter //配置安全策略规则引用的内容过滤配置文件
time-range time-range-name //创建时间段,并进入时间段视图
period-range start-time to end-time week-days 1//设置周期时间段
综上所述,建设高校智慧校园网络是社会进步、信息化发展的产物,因此,科学合理地设计扩展网络组网布局、搭配相关网络安全防火墙策略是必不可少的。每逢高校发起选课或者PU活动抢取名额时,校园网络便会卡顿拥挤,出现网络堵塞,对此,应改变网络流通量的最大值,使数据冗余加大。同时,有不法分子在校园网络投放apk病毒软件,短时间内便能传播到校园各处,带来许多不良影响,因此,需加强校园网络安全。
本文丰富了对智慧校园网络的认识与了解,改变了传统的网络布局,使之“智在其设计,慧在其技术”,未来可能会有更高的需求。未来可研究为高铁站、火车站、汽车站设计智慧移动网络,挑战小区域低密度人口的场所。更多的研究探讨必将会为智慧网络的发展提供更多助力,所以不能只局限于校园,也可再为其他场所设计,扩大智慧网络技术的应用范围。