您好, 访客   登录/注册

高校校园局域网组建技术初探

来源:用户上传      作者:

  摘要:高等院校校园网络不但提供了现代化的教学、各类综合信息管理以及办公自动化的各种应用,还能使各种信息能够及时、准确地传送。校园网络工程技术主要是应用网络技术中的局域网技术来建设与管理的,本人通过在学校中所学的网络知识结合自己长期从事组网的规划、设计以及网络的维护工作,就高校组建校园局域网用到的有关局域网技术及实施方案为设计的方向,目的是为高校校园局域网的组建提供理论依据和实践指导。
  关键词:校园网;局域网;网络管理;网络安全
  中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2019)01-0025-04
  0 引言
  当今社会网络信息技术高速发展,教育和教学的信息化水平,已经成为衡量高等院校发展总体水平的重要因素,网络信息技术的应用对高校教育教学手段和教育教学管理体系的促进作用是非常巨大的。
  校园局域网的建设,极大丰富和完善了教育教学资源,拓展了学生获取知识的渠道,完善了教学效果,提高了高校现代化管理水平。那如何进一步做好校园网络建设,组建高效能,低成本的高校校园网络系统,是每个高等院校需要思考与探索的问题[1]。
  通过与本校网络中心人员的沟通,了解到本院校园局域网建网背景、网络现状和必要性如下:
  1 背景
  经过几年的信息化建设,我院的信息化水平在不断的提高,信息化应用也取得了一定的成效。为顺应全球教育信息化发展的潮流,促进信息技术与职业教育教学的深度融合,贯彻全国职业教育工作会议精神以及第二次全国教育信息化工作会议精神,落实教育部《教育信息化十年发展规划(2011-2020年)》、《教育信息化“十三五”規划》和《天津市中长期教育改革和发展规划纲要(2010-2020)》和《天津市教育信息化十三五规划》确定的教育信息化目标任务,依据《天津市职业教育信息化建设指导意见》、《教育信息化2.0行动计划》,特制定出我院的信息化建设方案。
  2 网络现状(图1)
  (1)现网核心设备为华三S7506E,因购买时间较长,设备无法支持未来IPv6网络运行,并且随着大数据、云计算等新兴业务的发展对网络适应能力、及网络性能的要求越来越高,现网核心设备不足以支撑业务需求的发展需求。
  (2)我校互联网出口部署1台防火墙及1台上网行为管理,起到出口NAT及审计内网我校上网行为功能,不具备抵御恶意入侵攻击防护、防病毒、及大流量DDOS攻击的能力,互联网出口一旦遭遇以上安全攻击,将波及整网。
  (3)我校业务系统大部分为基于B/S架构,使用Web页面进行业务系统的访问,对于基于web的业务系统没有针对性的防护手段。Web漏洞及其被黑客利用造成业务系统瘫痪。
  (4)安全设备随时都在产生大量日志,日志种类复杂且格式不统一,并且分散在不同的安全设备上,从海量的日志中获取有用信息非常困难,没有办法从宏观的角度分析现网安全问题。
  3 项目必要性
  3.1 响应国家政策必要性
  (1)为促进我校信息安全发展,响应国家和上级要求,进一步落实等级保护,夯实等级保护作为国家信息安全国策的成果,我校计划参照《计算机信息系统安全等级保护划分准则》(GB/T 17859-1999) 和《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)要求,拟将我校系统定为二级,按照《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)完成系统等保建设。同时为提高全网安全防护能力,我院计划整网参照等保标准建设。
  (2)2017年11月26日,中共中央办公厅、国务院办公厅联合发文《推进互联网协议第六版(IPv6)规模部署行动计划》,2018年8月24日,教育部办公厅关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知,提出了路线图和部署目标,提出到2019年年末各教育省域网、城域网以及高等学校的校园网完成IPv6升级改造,鼓励职业学校、中小学积极推进校园网IPv6改造。我院也将按照通知要求尽快完成IPv6改造工作。
  3.2 实际使用必要性
  (1)我校具备一定的基础安全防护能力,但对于应用层威胁防御基本为0,在互联网出口、用户认证、数据中心、运维管理方面均存在被恶意入侵、病毒侵害的风险,需要根据各区域实际进行针对性防护。
  (2)我校即将拉通Cernet2 IPv6链路,校园网及校园网站对IPv6的支持是我校当前非常紧迫需要解决的问题。
  (3)信息系统最终是为业务系统服务,需要查看业务系统的健康状态,更为直观的展示业务系统的运行情况,通过业务系统的健康情况及状态展示,可以准确的把控现数据中心的使用情况,为后续扩展提供数据支持。
  4 设计目的及要求
  4.1 安全性与可靠性
  高可靠性是数据中心运营成功的关键,也是数据中心建设的基本原则。要对数据中心的整体布局、设备选型、结构设计等各个方面进行可靠性的设计及建设。具体要做到如下几个方面:
  (1)应该具备在现有条件下和规定时间内完成规定功能的能力;
  (2)应该具备长期可靠和稳定工作的能力;
  (3)具备合理的冗余能力、灾难备份能力(包括:链路冗余、关键设备冗余和重要业务模块冗余);
  (4)设计中没有单点故障存在,对可能存在单点故障环节,在设计中,要尽可能减少其对整个系统的影响;
  (5)整个网络系统的服务器供电系统的可靠性,应该不低于百分之九十九。
  4.2 灵活性与扩展性
  网络系统中的数据中心要具备良好的灵活性和扩展性,整个系统应该能根据今后业务的不断深入发展需要(扩大系统内网络设备的容量和提高我院网络设备数量和质量的功能)。系统要具备支持多种网络传输和多种物理接口的能力,除此之处,系统还要提供技术升级以及网络设备随时更新的灵活性。   4.3 先进性与实用性
  在满足系统数据中心的安全性和可靠性大前提下,要采用国际上最先进最成熟最实用的尖端技术,要建设合理并且超前的技术框架结构。整个系统中的软件和硬件配置要采用开放式的框架结构,各分系统和子系统的设计,都要根据今后业务的发展需要与设备的使用需求的实际状况来设计。
  4.4 管理智能化与产品模块化
  在建设数据中心时,随着数据处理及存储设备的发展及更新,数据中心的建设对于产品的要求越来越高,在保证产品品质及功能性的前提下,对产品的扩展性提出了更高的要求,基于此,数据中心整体解决方案更多的采用模块化理念,使用模块化产品,将工程产品化模块化。
  5 存在问题
  高等院校校園网络目前面临的主要威胁可分为两种:一是对网络数据的危害;二是对网络设备的危害。具体来说,网络安全方面的主要危害有:非授权访问,即对网络设备或信息资源进行非正常使用;冒充合法用户,即利用各种欺骗的手段非法获取合法用户的使用权限,来达到占有合法用户资源的目的;破坏数据完整性,即使用非法手段,删除、修改各类重要信息,干扰用户的正常使用;干扰系统的正常运行。
  除此以外,Internet非法内容也是对网络的另一大威胁。IDC的统计曾经显示,有30%-40%的Internet访问与工作无关,甚至部分是访问色情、暴力、反动等站点。在此种情况下,Internet资源被严重浪费。而对校园网来说,面对良莠不分的网络资源,如不具有识别和过滤作用,不但会造成大量非法信息、邮件的流入,占用大量流量资源,严重的还会造成流量堵塞、网速缓慢等问题,而且各种不良网络内容(如:色情、暴力、反动等网络内容),极有可能危害广大青少年的身心健康,造成无法想象的严重后果[2]。
  6 网络方案设计
  6.1 总体框架(图2)
  本次建设在四个区域部署:
  (1)核心交换区:核心交换区中部署1台核心交换区负责整网的数据交换,同时也是连接各个区域的枢纽。增加VPN系统解决移动办公安全问题。
  (2)互联网接入区:互联网接入区中增加,宽带接入服务器(认证系统)、入侵防御系统。
  (3)服务器区:在服务器区前端部署Web应用防火墙;综合管理平台、集中存储系统等。
  (4)运维审计区:在运维审计区中部署堡垒机、及综合日志审计平台、认证系统、业务性能监测系统、网络防病毒系统。
  6.2 技术方案
  6.2.1 网络及综合布线
  本次替换原有核心交换机,为正交CLOS架构,配置双主控、四电源保障核心设备的可靠性,并且具有10个业务槽位,保障后期的扩展性要求,同时可扩展多种类型的安全插卡,可满足未来更大流量、更精细化的安全需求。本次核心交换机配置52个万兆光口,24个千兆电口,20个千兆光口,用于实现万兆连接校内汇聚交换机,及其他各区域连接的要求。
  中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,IPV6的业务需求量越来越大,所以本次校园网络升级建设中,所有的网络设备,均能支持IPV6能力。
  并且考虑随着新兴业务的迅速发展,传统的网络构架已经不能适应新业务的变化需求,在未来,我院的网络建设应趋于SDN网络的建设模式,本次核心交换机必须支持VXLAN和EVPN功能实现后期校园网SDN的平滑升级。
  6.2.2 安全
  (1)Web应用防护系统。Web业务的安全面临着两级分化极其严重的形势:一方面Web业务的易操作化,使得Web业务面向了更广泛的人群,人们大多不具备基本的网络安全意识,使得对于网络上的陷阱疏于防范,易于无意识的成为被攻击对象;另一方面,由于信息化的快速发展,网络上各种资料、工具可以极其方便的被查阅和下载,这使得各种攻击工具极易在网络上进行传播,对于攻击者要求的技术知识逐渐降低,甚至不需要任何网络和Web基础即可按照攻击软件说明对网站服务器进行攻击。
  Web应用防火墙具备以下几点功能:
  1)审计功能:审核统计经过设备的HTTP报文数量及会话,对出现问题进行分析,提出分析报告;
  2)访问控制功能:用来对Web应用平台访问进行控制,包括主动访问空及被动访问控制;
  3)网络管理:提供反向代理模式、转发控制、诊断工具等功能;
  4)Web攻击防护功能:Web防火墙核心功能,为Web应用平台提供安全防护,阻止攻击对应用平台造成不必要的损失。
  Web应用防火墙可以对常见的Web攻击进行有效的防护,对于业界最新的Web攻击方式,也会第一时间进行研究并提供防护手段,全面保障了Web应用的安全。
  部署1台Web应用防火墙(Waf),旁路部署在服务器汇聚交换机一侧。
  (2)综合日志审计。综合日志审计平台通过收集来自企业和组织信息系统资源中各种设备和应用的安全日志,可结合云端的威胁情报,对海量安全日志进行统计分析和关联分析,协助我校准确、快速地识别安全事故,从而及时做出响应。
  该架构可划分为四个层次(图3),数据采集层、数据处理层、数据分析层和业务表示层。
  (3)VPN。针对组织业务接入需要和组织的安全需求,提供一种完善简便的方案,“统一业务安全接入平台”使得员工在任何时候、任何场所,使用任何设备便捷的访问公司内网,运行内网应用,并确保企业信息安全,避免敏感数据泄露。“统一业务安全接入平台”为老师提供端到端的移动安全管理和灵活的应用发布的能力,从用户端、网络传输、服务器端全面考虑老师的安全需要;以及从敏感数据的管控、移动应用的安全加固、以及设备的安全管理和远程应用的防泄密等多方位来对我院的移动OA办公系统来进行全方位的防护,使得网络系统在高效率和组织和信息安全之间找到一个最佳的平衡点。并且通过单点登录、操作体验和访问速度等方案,为用户提供良好的用户体验。另外,在管理方面,通过集中管理,统一管控,智能报警,智能负载等多种方式,减少管理员的管理难度。   移动OA办公系统最主要的目的就是,提升学院整体的办公效率。通过修改传输协议来为HTTP高速传输协议和TCP代理交互请求等方式进行加速,移动办公系统无需APP开发人员进行单独的软加速模块开发,也不需要移动终端用户修改设置,就可以实现对移动应用完成系统加速,数据传输的效率可以提升15%-30%,从而对整体的办公效率提升的最终目的进行二次保障。将原版APP上传到应用封装云平台后,选择身份认证方式、设置好VPN接入地址、选择相应的企业证书,即可完成封装。全过程以图形化界面呈现,非常容易操作。针对不同的HIS业务,SSL VPN具有细致化的访问权限控制能力,保证不同的用户只能访问与之相匹配的数据资源,对于具有教師和学生访客多方接入协同作业的办公环境来说,是最好的安全保障方案。
  将旁路核心交换SSLVPN,老师、学生、访客访问SSL VPN地址,VPN指定账号访问指定业务系统。只需一个VPN账号方可访问权限内的系统。
  (4)堡垒机。本次部署1台运维堡垒主机,堡垒机可为我校提供全面的运维管理体系和运维能力,支持资产管理、我校管理、双因子认证、命令阻断、访问控制、自动改密、审计等功能,能够有效的保障运维过程的安全。在协议方面,堡垒机全面支持SSH/TELNET/RDP(远程桌面)/FTP/SFTP/VNC,并可通过应用中心技术扩展支持VMware/XEN等虚拟机管理、oracle等数据库管理、HTTP/HTTPS、小型机管理等。
  (5)网络防病毒系统。相对于单机病毒的防护来说,网络环境下,病毒的传播扩散更快,仅仅利用单机版的杀毒产品很难清除网络病毒,因此必须有适用于域网络的全方位杀毒产品。为实现计算机病毒的防治,可在应用服务器端部署服务器版杀毒软件,在终端网络服务器上安装网络病毒防治软件;通过统一部署反病毒终端实现统一管控。
  部署网络版杀毒软件,通过部署网络版杀毒软件实现全方位、多层次防毒,实现病毒的全面防范。
  (6)认证系统。实现校园网认证系统全网业务数据自动同步,实现全网校际漫游多层级业务数据保留本地认证数据,保留全网漫游数据。我校有线无线统一认证,实现校际漫游,提升用户体验。满足普教多样化场景,提升多功能访客系统体验度,支持内部授权访客管理。支持学校教工多样化外部认证源,融合现有校园信息系统、如LDAP、POP3、OA等,实现便利的统一认证。支持短信Portal、微信连Wi-Fi、二维码认证、1x等多种认证方式。支持DHCP、MAC、SNMP等多样化无感知认证解决方案。
  (7)IPS入侵防御系统。IPS入侵防护系统是网络安全防护体系中最最重要的环节,它能够及时地识别出网络系统中发生的入侵行为,并实时报警然后进行有效拦截防护。
  IPS可针对于内网对于外网的存取应用进行管理。可以支持七层的分析检测技术,能够检测和防范的攻击类型包括:DoS/DDoS攻击、蠕虫病毒、后门、特洛伊木马、网络探测、黑客软件、网络钓鱼、利用漏洞的各种攻击、缓冲区溢出攻击、SQL注入攻击、协议异常、IDS/IPS逃逸攻击等,支持IM、P2P等网络协议的检测和识别,可支持的网络滥用协议至少包括BT、迅雷、eDonkey、Kugoo下载协议、多进程下载协议等P2P下载应用,QQ、ICQ、MSN等IM应用,PPLive、PPStream、HTTP下载视频文件、网络电视、QQLive等网络视频应用;并且可以在识别的基础上对这些应用流量进行限流和阻断。IPS采用全面深入的分析检测技术,并结合模式特征匹配、流量异常检测、协议异常检测、事件关联等多种技术手段,识别运行在非标准端口上的协议,最终达到准确检测入侵行为。
  7 网络整体性能测试与评估
  7.1 网络测试
  网络性能测试包括:功能测试、性能测试、一致性测试、操作性测试、可靠性测试、稳定性测试等。
  (1)根据厂商提供的说明书来验证网络设备是否具备设计要求的每一样功能;
  (2)验证网络设备,验证各项设备功能是否符合国内国际行业标准;
  (3)分析网络设备,分析网络设备在各个不同的负载和配置下的容量对负载的处理能力;
  (4)考察网络设备,是否可以在不同厂家的多种网络设备产品互连的网络环境中很好的工作;
  (5)利用加重负载的方法来分析、评估整个网络系统的可靠性和稳定性。
  7.2 联通性测试
  运用各种网络测试命令对网络的联通性进行测试(如ping,ipconfig,netstat,telnet,tracert,等网络命令)。
  8 结语
  高等院校的校园网建设是一项系统工程,其中需要用到多方面的各种技术,即有网络技术和工程施工技术,也需要有项目管理制度等方面的知识。随着通信技术和信息技术的高速发展,以及人们对网络性能不断提高的需求,各种网络新技术新思想必将得到不断的完善和发展。更多更好的组网技术将应用到新的校园网络建设之中,校园网络的功能也将得到大大的提高。网络技术的发展是永无止境的,在前进的过程中必将有更多更好的新知识需要学习与研究,并能够将这些新技术与新知识应用到实际的网络工程之中。
  由于校园网络工作技术含量高,接触方面广,在网络规设计和建设中都非常的复杂,因此本文在论述中不可能面面俱到,同时也由于作者本人的知识水平有限,文中难免出现不足和错误,敬请指正。
  参考文献
  [1] 苗凤君.局域网技术与组网工程[M].清华大学出版社.2014.
  [2] 邱冬,闫韶松.网络操作系统-Windows 2003 server管理与配置[M].清华大学出版社,2014.
  [3] 田庚林,田华,张少芳.计算机网络安全与管理[M].清华大学出版社,2013.   [4] 寧芳露.网络互联及路由器技术教程与实训[M].北京大学出版社,2005-09.
  [5] 华师傅资讯.局域网组建、应用与维护[M].中国铁道出版社,2007.
  [6] 陈强,程昌品,邓九英.校园网建设与管理的现状及思考[J].计算机教育,2004(04):3-5.
  [7] 张公忠.现代网络技术教程[M].电子工业出版社,2000.
  Abstract:The campus network of colleges and universities not only provides modern teaching, various comprehensive information management and various applications of office automation, but also enables various information to be transmitted in a timely and accurate manner. Campus network engineering technology is mainly applied to the construction and management of local area network technology in network technology. I combine the network knowledge I have learned in school with my long-term network planning, design and network maintenance work to set up campus LAN in colleges and universities. The relevant LAN technology and implementation plan are the direction of design, and the purpose is to provide theoretical basis and practical guidance for the establishment of college campus LAN.
  Key words:campus network;local area network;network management;network security
转载注明来源:https://www.xzbu.com/8/view-14760633.htm