大学校园网改造方案

【前言】大学校园网改造方案由文秘帮小编整理而成，但愿对你的学习工作带来帮助。1校园网是各种类型网络中一大分支 1.1 设计背景及需求分析 某大学目前的校园网为“一主十辅”的架构，覆盖11个校区，采用中国网通的城域网光纤链路，利用MPLS VPN 技术互连互通，各校区通过百兆链路连接到网通城域网，并通过千兆链路汇聚到校本部，使得该大学校园网在...

摘 要： 网络信息系统的建设必须以用户的需求作为基础，随着网络技术的飞速发展和应用水平的逐步提高，用户的网络需求也不断的增加，进行网络的设计尤其是校园网设计，必须紧跟学校的需求，满足当前及今后较长时间应用的发展，首先，进行对象研究和需求调查，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三，进行系统分析和设计；第四，确定技术设计的原则要求；第五，规划安排校园网建设的实施步骤。

关键词： 网络规划； 方案； 大学校园网

中图分类号： TP393 文献标识码： A 文章编号： 1009-8631（2011）05-0099-02

前言

作为高等学校，和网络的关系十分密切，网络最初是在校园里进行实验并获得成功的，许多网络新技术也是首先在校园网中获得成功，进而才推向社会的。另一方面，作为“高新技术孵化器”的学校，知识、人才的资源十分丰富，比其他行业更渴求信息、希望能有渠道获得各种各样的信息来促进自身在研究、学术上的进步。本文以某大学校园网改造方案为例，从用户的需求分析入手，阐述了校园网的应用特点，以及网络产品如何满足校园网用户的多方面需求。

1校园网是各种类型网络中一大分支

1.1 设计背景及需求分析

某大学目前的校园网为“一主十辅”的架构，覆盖11个校区，采用中国网通的城域网光纤链路，利用MPLS VPN 技术互连互通，各校区通过百兆链路连接到网通城域网，并通过千兆链路汇聚到校本部，使得该大学校园网在逻辑拓扑上形成一个全网状网络结构。

针对该大学目前校园网情况，我们总结出以下几点：

用户数较多，扩展速度快。

网络应用复杂，流量大：校园网内主要使用网络进行FTP文件传输、科研工作、教学工作、公文传输、VOD视频点播、课件点播、资源库的管理、在线影视、网络游戏等流量巨大的网络应用；

安全隐患大：学生是一个易接受新事物、喜欢尝试探索、成就好攻击的“危险群体”；

不易管理：用户中经常发生IP地址盗用、IP地址冲突、帐号盗用、设置服务器等令网络管理及维护人员非常头疼的问题。

非法组播源：从任何端口进入的视频流均是合法的，交换机会把它们转发到全网已注册的端口，严重影响合法的视频流和浪费网络带宽。

综合上述，某大学教育信息化对计算机网络平台提出了如下的需求：

组网技术必须具有高性能、关键业务服务质量保证、网络安全、网络可靠稳定、并且具有开放性和良好的扩充性等。

1.2网络改造目标

根据校园网的总体需求，结合对应用系统的考虑，我对该校园网给出的设计目标是：高性能、高可靠性、高稳定性、高安全性、可运营、可管理、可增值的智能网络。

2 某大学校园网改造解决方案

2.1校园网总体规划设计

①根据某大学校园网改造的需求，本着网络建设的原则，总体规划如下：

②万兆骨干、千兆支干、百兆交换到桌面

③各校区通过中国网通光纤链路连接至本部校区

④网络骨干必须有高可靠、高健壮性，网络设计采用环形结构

⑤网络采用三级技术架构，能够减轻核心的压力

⑥分布式部署安全策略，能够防止二层攻击、DDOS攻击、网络扫描等对网络造成影响。

⑦全网采用分布式认证方式，最大程度减小认证瓶颈。

⑧全网可平滑过渡IPV4/IPV6双栈网

⑨对网络垃圾邮件、病毒、网站内容过滤能够有效的控制

2.2 路由规划

2.2.1校本部路由规划

由于校本部骨干核心采用环网结构，汇聚采用双光纤链路聚合与核心连接构成校本部校园网，因此在校本部路由规划采用OSPF来组网，利用OSPF动态学习路由，全网智能维护路由表，不需要人工干预，当出现故障时路由协议自动收敛，选择另一光纤链路继续IP业务，以此达到冗余备份。

2.2.2分校区路由规划

对于分校区路由规划上则采用静态路由，实现起来则简单明了，并且效率高。而校本部两核心交换机也要实现静态路由与分校互通，同时并将静态路由重分发到OSPF路由域中，此时某大学校园可以完成全网互连通信。

2.3 校本部网络改造

2.3.1改造原因分析

对校本部网络改造原因分析如下：

目前，学校本部的两台早期购买的AVAYA P882 核心交换机，存在不稳定，设备性能不足与功能单一的情况，另由于AVAYA 公司已停止生产网络交换机，无法对设备进行升级，存在维护困难。

某大学在原有网络核心的两个出口各部署了一台朗讯的防火墙作为安全设备。原有的安全体系不具备预测、防范、修复等功能，因此，为了进一步保证校园网的安全，对网络安全方面进行改造。

目前用户接入校园网采用开放的接入方式，因此对于入网的用户无法进行身份识别，也无法行之有效的对用户进行控制，也就是所对用户无法管理。

2.3.2校本部网络改造

校本部的校园网层采用两核心交换机分别和F5的BIGIP5100形成环型结构骨干网，两核心交换机之间采用万兆连接，两核心与BIGIP5100采用千兆多模光纤连接，同时BIGIP5100完成两出口之间的负载均衡。

对校园的出口采用卡巴斯基多功能网关连接外部网络，其中连接CERNET出口采用卡巴斯基?Guard@NetGB1000防火墙来实现安全过滤，并在其上建立DMZ区，将重要的应用服务器放入此区域，如DNS、EMAIL、WWW，这样保证这些关键服务器能够不受外网和内网的攻击而不能提供服务。对于CNC出口放置?Guard@NetGB300来作为安全防护。

校本部在旅游学院、新学生宿舍、北部校区、网络中心分布放置汇聚层交换机。汇聚与核心交换机采用两条光纤分别与两核心连接。

校本部和分校区采用中国网通城域网的光纤链路，利用MPLS VPN技术互通，各校区通过百兆链路连接到网通城域网，并通过千兆链路汇聚到校本部，使分校区能够与校本部进行通信。

对于分校区则采用两层结构核心层和接入层，采用星型结构千兆连接，对安全接入控制在接入层来实现，可考虑与分校区核心千兆连接的原有接入层AVAYA设备进行更换锐捷S2150G，而被替换的设备可以考虑使用在网络信息点扩展的地方。

另外在校本部网络中心增加两汇聚交换机通过双链路和两核心连接，采用VRRP＋STP的方式向下双连接到楼栋交换机，这样单一的设备或链路出现故障都保证网络的运行。

2.3.3核心层设备选择

根据现有AVAYA P880设备使用情况，对核心层改造如下：

核心层采用两台锐捷Tbit级骨干核心交换机RG-S6810E，考虑核心骨干流量比较大，两核心之间采用万兆连接，同时两核心分布通过千兆和F5的BigIP5100形成环网结构，单一的链路故障并不影响网络的使用，更加有效的保障网络的健壮性。在路由选择方面，OSPF具有收敛速度快，开销小，兼容性好的特点，对校园网中网络复杂、多家设备厂商共存的环境是最佳的选择。因此也利用了OSPF的特性对网络骨干链路冗余提供了解决方案。

2.3.4汇聚层设备选择

汇聚层交换机采用三层的结构方式，同时，汇聚交换机通过双光纤和两核心交换机连接，OSPF技术使数据在两条链路上均衡负载，同时互相备份。

STAR-S3550-12G是三款线速全千兆智能多层交换机，能提供多种形式接口如GBIC插槽最多可提供12个GBIC插槽，GBIC插槽支持千兆铜缆、光纤扩展模块，支持模块热插拔，极大方便用户灵活配置网络。STAR-S3550-12G全千兆路由交换机目前提供48Gbit背板带宽，18Mpps的包转发率。可通过SNMP、Telnet、Web和Console口等多种方式提供丰富的管理。

2.4分校区网络改造

对于分校区，将原有分校区核心交换机AVAYA P580更换成锐捷RG-S6806E，网络将采用802.1X对用户进行入网控制。鉴于实际情况考虑，基于802.1X采用分布式的认证机制，因此尽量避免采用单一的设备对大量用户的认证。考虑到保护原有设备的投资，可对连接分校区核心的接入层替换成锐捷安全交换机STAR-S2126G，以实现802.1X的接入。

2.5分校区网络接入管理

分校区核心的关键任务是对园区网络快速交换以及路由选择，而802.1X是通过交换机针对每一用户进行管理，因此在分校区核心集中对分校区用户进行认证势必会对核心形成压力。由于分校区原有接入设备不支持802.1X，我们建议对接入层设备替换成支持802.1X的交换机STAR-S2126G

综上所述，采用分布式到各接入层交换机认证，SAM系统分布到各分校区管理，构筑安全、可靠、易管理的安全系统为最佳方案，因此在分校区部署安全接入交换机，对和分校区所直接相连的那一层接入交换机进行替换，方案提供24台STAR-S2126G交换机并提供千兆短波光纤模块。

2.6出口安全设备选择

在出口防火墙上采用锐捷RG-WALL 150放置CERNET 10M出口，而RG-WALL 1000放置CNC NET 100M出口.

2.7防毒系统与GSN安全系统联动

学校现采用卡巴基斯防病毒系统，根据需求，我设计用GSN安全系统将卡巴基斯防毒系统整合联动。首先，将卡巴基斯放置网络安全修复区域，当用户认证时，进行用户主机完整性检测，用户未安装或没升级至最新的病毒库，那么，GSN将自动下发策略将此用户将被隔离至修复区域，并发送指令使用户主机自动下载安装病毒软件或病毒库。

2.8恶意用户追查

对每个用户分配一个账户，使用SAM管理用户。由SAM记录用户每次上网的用户名，源IP地址，上网开始和结束时间。然后通过锐捷的安全认证管理系统SAM查找MAC地址和IP地址，就可以根据源IP或源MAC在系统上查到该用户所在的交换机以及在该交换机上所接的端口，通过这种方式可以立刻定位用户，方便对于大型网络的管理，能够方便快捷的防止恶意用户的攻击。

2.9改造方案技术特点

采用SPOH技术，达到了从根本上提升交换机整机数据处理能力的目的；交换机通过采用数据平面、控制平面、管理平面相互分离的三平面分离技术构造网络，高度保证了交换机系统的稳定性；采用可控组播策略，从而整体提高网络性能，同时可控制病毒通过组播的形式进行传播，更好地提高了网络的安全性；本设计方案采用在接入层STAR-S2150G部署BT访问策略的防范控制，这样在接入层就对此数据流进行屏蔽有效提高访问速度；另外，面对现在网络环境越来越多的网络病毒和攻击威胁，RGNOS提供强大的网络病毒和攻击防护能力，网络硬件不仅提供了基于SPOH技术的ACL功能，而且还支持防源IP地址欺骗（Souce IP Spoofing）、防DOS/DDOS攻击（Synflood，Smurf），防扫描（PingSweep）等能力，从设备本身的功能即可保证网络安全。另外锐捷特有的CPU保护控制，对发送到CPU的数据进行带宽控制，以避免对CPU的恶意攻击。