广州城建职业学院校园网升级改造措施

摘要：该文讨论了对校园网进行了升级工作内容、分析了校园网速度慢、网络安全问题的原因，通过通过部署基于802.1X的RADIUS全网统一认证服务器、锐捷RG-1600带路由、网络地址转换（NAT）、虚拟专用网络(VPN)功能的防火墙解决了网络速度慢及网络安全问题。

关键词：校园网；网速度慢；网络安全；认证服务器；防火墙

中图分类号：TP393文献标识码：A 文章编号：1009-3044(2011)20-4838-02

2010年3月致5月，广州城建职业学院学院进行了网络管理系统的升级整改工作，作者有幸参与了校园网第三期工程方案的规划、设计并组织参与了整个项目的招标、评标、工程建设、并承担了该网络的运维工作，该三期网络项目共投入经费275万元。该项目的具体介绍如下：

1 网络现况

1.1 覆盖范围

该校园网于1999年开始建设，经过一二期的建设，已有信息点15000余个，网络采用了三层网络架构，信息点都采用了UTP5 类双绞线连接致接入交换机、接入交换机有实达1926+和部分长城6126承担。接入层交换机通过双绞线汇入到每层的汇聚交换机上，汇聚交换机有CISCO3550承担，汇聚交换机再通过单模光纤接入核心交换机4006上。该校共有两个校区，校区之间相距大概1公里左右，校区面积加起来共有1000余亩。，校园内共有14栋楼房，4栋是学生宿舍楼，3栋教师宿舍楼，2栋教学楼，实训楼（1楼是图书馆和电子阅览室，2楼是实验教室，3到7楼是计算机教室，其中4楼为校园网络中心）、办公楼、体育馆、商店、学生食堂各有1栋，楼与楼之间的距离：40-1000米；园内有管道敷设。

1.2 信息点的特点

这方面的需求不同学校有着明显不同，大体都可以分为，教学、办公、服务这四方面应用。如对教学、科研方面的网络设计应考虑稳定、扩展、安全等问题；办公、服务等带宽是要着重考虑的方面，所以学校应该根据自己的实际情况来考虑网络的结构，及安全问题。

1.3 软硬件配置

接入交换机由实达1926+和部分长城6126承担，汇聚层交换机由CISCO3550承担，汇聚交换机再通过单模光钎接入核心交换机CISCO 4006上。网关由redhat9.0服务器承担，在此上运行了NAT和计费软件。出口有两个分别是100M的chinanet电信网络和10M的cernet教育网络。

1.4 当前管理模式

由于校园网络采用基于IP网关的认证计费方式，网络用户登录外网必须在网关出口处认证，网络使用高峰时段网络系统出现瓶颈，导致网络用户登录外网困难、上网掉线。无管理软件，全是管理人员手工进行管理。

2 当前存在的管理问题

2.1 网速问题

开学以来新开用户剧增，总用户数量较大，较前期最高增加30％，最大同时在线人数已达6000以上，现有校园网络系统（网络认证计费系统、出口带宽、交换设备等）不堪重负，已超出其使用极限，网络结构及网络设备在近期的运行中暴露出诸多问题，主要表现在：

2.1.1 网络结构不合理

由于校园网络采用基于IP网关的认证计费方式，网络用户登录外网必须在网关出口处认证，网络使用高峰时段网络系统出现瓶颈，导致网络用户登录外网困难、上网掉线；

2.1.2 网络主要设备性能不够

由于专用的路由和NAT（网络地址转换）硬件设备由服务器替代，网络使用高峰时段服务器资源利用率接近100%，导致用户上网速度慢，打开网页困难；

2.1.3 网络出口带宽不够

现有出口带宽（CHIANNET:100M，CERNET:10M）不能满足现有校园网络用户的上网要求，网络使用高峰时段出口带宽一直处于满负载状态；

2.2 网络安全问题

网络整体安全性较差：在校园网络前期建设中使用的交换机性能较好，但无法进行有效的网络安全管理，盗用IP地址、利用ARP欺骗、私设等情况日益严重；

2.3 网络失控

网络管理难度加大：随着接入用户的增加，无论是维护、收费还是管理难度越来越大，网络设备的维护工作量剧增；内网资源少：校园网络没有建立内网资源库、学习资源库平台、安全稳定的邮件系统，为用户提供的应用服务少。在校园网络前期建设中使用的交换机性能较好，但无法进行有效的网络安全管理，盗用IP地址、利用ARP欺骗、私设等情况日益严重；

现有出口带宽（CHIANNET:100M，CERNET:10M）不能满足现有校园网络用户的上网要求，网络使用高峰时段出口带宽一直处于满负载状态；由于专用的路由和NAT（网络地址转换）硬件设备由服务器替代，网络使用高峰时段服务器资源利用率接近100%，导致用户上网速度慢，打开网页困难。

3 整改思路

根据此种情况，计划在近期进行校园网的改造升级，提出了校园网的升级改造要求：

1） 校园网是应用为主的一项基本建设工程，校园网应将其根本目的定位在为教学、科研、管理及生活服务上，以满足学校事业发展为第一目的；

2） 根据学校的财政状况，不盲目追求设备的先进性，而注重投资的效益；

3） 充分利用先进的网络技术及设备满足校园网要求，所采用的技术及设备具有满足近期（3年内）学校发展的需求并有较大的升级改选余地；

4） 强化管理功能，校园网建设重要，管理更重要。要管理好校园网，除了网管人员的专业素质和道德水准外，网络的规划和设计、网络设备的选择非常重要；

5） 校园网络建设的重点是应用，各种网络应用与服务需要开展。

4 整改实施方案

4.1 拓扑结构

一个好的校园网设计应该是一个分层的设计，在本次网络工程方案设计中仍然采用三个层结构：接入层（访问层）、汇聚层、以及核心层。案设计中仍然采用三个层结构：接入层（访问层）、汇聚层、以及核心层。考虑到两个校区人员都比较多，核心交换机CISCO 4006明显不堪重负，且南校区汇聚层都直接接入核心，南北校区之间的光纤已经无冗余，股采购一个全新的性能高好的核心交换机，把现在的CISCO4006潜入南区，作为南区的核心交换机，这样南区以后再建网络项目可以直接接入它即可。本次核心交换机我们选择了锐捷RG8606三层交换机，该交换机具备冗余电源模块，有10/100/1000B ASE-T电口60个，1000BASE-LX接口数40个，并有扩展槽。能够满足当前以及今后3-5年需要。接入交换机选择RG-2150G交换机，该交换机具有802.1x认证功能，具有50口，只需要20台，每台通过双绞线连接致汇聚交换机3550上，汇聚交换机通过光纤连接时南区的CISCO 4006上，使用多链路捆绑技术，从而达到带宽倍增，均衡流量等目的。

4.2 网络安全控制

部署了基于802.1X的RADISU认证服务的SAM系统，做到全网统一身份认证，SAM系统实现了全体学生宿舍、教师宿舍、办公区域和公用机房的身份认证。系统基于802.1X技术，实现了对用户对用户的身份和IP、MAC、交换机端口、交换机IP等信息严格绑定，一旦出现安全事件，可迅速追查到人；针对网络中的安全事件（网络攻击、异常数据流、蠕虫病毒等），能够自动发现，并可以依据预定的策略自动进行处理，保障网络安全，提供强大的实时在线升级功能，抵御最新的网络攻击和病毒。对于存在安全问题的用户，系统将自动告警，提示用户可能存在的问题，以及处理方式；提升用户安全意识，让用户切身体会到安全问题的严重性，网络安全组件统一管理，协同工作。构建一个全局安全网络。整套系统管理简单，后期需投入的管理工作量小，所有安全设备均旁路部署，不形成性能瓶颈和单点故障；部署完成后将极大的提升现有网络性能。

4.3 出口设备的选择

以前由于经费问题没有购买硬件网关，出口网关一直有一台安装了LINUX9.0的IBM@346服务器承担，在其上配置IPTABLES实现NAT网络地址转换和实现简单网路安全功能。但是由于上网认识的增多，网络使用高峰阶段，服务器CPU资源使用率接近100%，导致用户上网速度慢，打开网页困难，况且也不安全。所以这次我们采用了锐捷公司的RG-1600防火墙，该防火墙具有10/100/1000base-T端口4个，吞吐量达到2GBbps，最大并发连接数达到2000000，每秒钟新建连接数也大于50000，VPN隧道数大于5000个，策略数大于10000个。部署以后，不再是网络瓶颈。随后我们在防火墙上启用了防蠕虫病毒功能，启用了对常见P2P软件的流量限制功能，保证率网络带宽的合理利用，由于学员有电信和教育网双出口，我们亦在防火墙上开启了策略路由和负载均衡技术。

4.4 网络管理模式

目前，GSN系统正在对全网的所有安全事件、网络病毒攻击行为、用户行为和用户主机安全信息进行深入分析和全局监控。通过这种实时全网侦测，可以在第一时间内将网络异常现象通过接入层隔离出网络，使得网络异常现象完全不影响核心网络；在发现安全问题后能自动对用户进行安全事件告警，并迅速根据用户身份选择将用户隔离到安全修复区域或自动阻断异常数据流。该系统部署完成后一个月的稳定运行中，对网络内的安全事件和网络病毒进行了有效抑止，最直接的例证就是：全国蔓延并造成严重影响的各种病毒，在我学就悄然无声。另外，通过GSN的主机完整性（Host Integrity）规则约定了对用户主机的准入标准。通过GSN先进的“免疫型”防ARP欺骗/攻击手段，能够彻底解决ARP攻击带来的断网事件的发生。

从系统提供的安全事件的统计报表对比来看，学校园网络中的安全事件已经较部署前有了大幅度的减少，网络质量得到了显著改善，校园网用户的网络安全意识也有了很大的提升。GSN系统极大保证了网络的安全性，提升了网络管理效率。

4.5 传输介质

我们学院分为南北两个校区，相距1公里左右，且中间有高速公路隔开，网络信息中心在北区办公楼605室，在这次方案中有新建网网络项目分别是汽车试验大楼和南区2栋学生宿舍大楼，故在本次方案中汇聚层交换机与核心层交换机使用单模光纤，汇聚层交换机与接入层交换机以及接入层交换机到桌面都在一栋大楼内，距离没有查过100米，故采用超5类非屏蔽双绞线，100Mbps带宽。

5 结束语

本校园网三期扩建改造项目于2010年5月25日基本完工，并投入运行。并与8月25日验收通过，并对对结构化布线工程的光纤及双绞线性能参数、网络流量进行了相关测试。本工程项目加快了网络速度，加强了网络安全，得到了学院领导和学生用户的一致好评。

参考文献：

[1] 陶嘉庆.信息安全保障建设时间的思考[J].广播与电视技术,2007(8):136-137.

[2] 彭绍平.关于我国网络信息安全的思考[J].图书馆工作与研究,2007(4):84-86.

[3] 聂元铭.网络安全技术[M].北京:科学出版社,2001.