【正文】 骨干 網(wǎng)設(shè)計 業(yè)務(wù)數(shù)據(jù)流向 一、校內(nèi)訪問校外的數(shù)據(jù)流量主要有三類： 1） 辦公區(qū)訪問互聯(lián)網(wǎng) (inter 和 cer)、科研訪問 IPV6(CNGI 和 IPv6 城域網(wǎng) ) BT、視頻網(wǎng)站訪問 流量大 ； 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 3 安全認證 要求不高 ； 安全管理要求維護方便 ； 校內(nèi)訪客需要區(qū)分 訪問 權(quán)限，只能訪問 inter。 信息學(xué)院 新校區(qū)校園的建設(shè) 著眼于 高起點 、現(xiàn)代化、智能化 的校園網(wǎng)建設(shè)， 因此 必須充分考慮未來 5－ 10年的 出口 流量 的迅猛 增長 和 IPv6 技術(shù)應(yīng)用 的廣泛開展 ，在 校園網(wǎng) 出口部署萬兆路由器 和萬兆流量控制設(shè)備 ，并要求出口設(shè)備全面支持 IPv4/v6 雙棧 。 因此 除 了部署防火墻等安全設(shè)備外，還需要對目前新型 的攻擊威脅進行針對性的防護。 同時， 隨著數(shù)字化校園的建設(shè) 逐步 推進，需要 實現(xiàn)校內(nèi)各院系處室信息系統(tǒng)的互聯(lián)互 通，消除信息孤島， 存儲設(shè)備在考慮高性能高穩(wěn)定的同時，需要 充分 考慮存儲設(shè)備可充分兼容光纖存儲、 IP SAN 等多種存儲模式。東區(qū)為五棟學(xué)生宿舍樓和一棟綜合服務(wù)樓， 共計 約 21000 個信息點 ?？刂凭W(wǎng)則面向安保人員，業(yè)務(wù)為全院的 IP 監(jiān)控及智能化控制設(shè)備的聯(lián)網(wǎng)。信息學(xué)院 新校區(qū) 計算機網(wǎng)絡(luò)系統(tǒng)的建設(shè)目標(biāo) 是成為一個高起點、高標(biāo)準(zhǔn)、技術(shù)先進、功能設(shè)施國際一流的數(shù)字化校園 網(wǎng)，成為國內(nèi)乃至國際上 數(shù)字化校園的典范， 充分 滿足學(xué)院師生的工作、學(xué)習(xí) 、科研 等應(yīng)用需求，同時為大運 會期間大運村的 信息系統(tǒng) 提供一 個高可靠、高性能、高安全的承載平臺 。 信息學(xué)院計算機網(wǎng)絡(luò)平臺的設(shè)計和建設(shè) 須 充分 考慮 大運會及賽后校園網(wǎng)的實際使用需求， 并 按照“賽時數(shù)字大運村，賽后數(shù)字校園”的目標(biāo)實現(xiàn) 賽前賽后 的 平滑轉(zhuǎn)換。一卡通專網(wǎng)主要涉及收費結(jié)算、門禁管理、學(xué)籍管理、考勤管理等業(yè)務(wù)。 南區(qū)和 北 區(qū) 為教湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 2 學(xué)科研辦公區(qū) ，共計 約 8000 個信息點， 南區(qū)和 北 區(qū) 的 中心機房 設(shè) 在 北 區(qū) ，南區(qū)和 北 區(qū) 樓棟交換機均通過 萬兆 光纖 鏈路捆綁 匯接到 北 區(qū) 中心機房。 外網(wǎng) DMZ 區(qū)為校內(nèi)外用戶提供郵件、 FTP、 WEB 等多種服務(wù) ，是校外用戶訪問校內(nèi)資源的重要區(qū)域 。 網(wǎng)絡(luò)出口區(qū)是全校 師生 訪問校外資源 的 必經(jīng)之路 ， 隨著多媒體流量的急劇增加， 千兆 帶寬已經(jīng)不能滿足廣大師生的 實際 應(yīng)用 需求。 3. 有線 網(wǎng)絡(luò) 設(shè)計 隨著計算機、通信、 多媒體技術(shù) 高速融合 發(fā)展和數(shù)字校園 資源的深度整合 ，越來越多的應(yīng)用將 逐步 遷移到校園網(wǎng) 的計算機網(wǎng)絡(luò)平臺上來 。 對關(guān)鍵用戶要重點保證帶寬 ； 需要日志 記錄，出現(xiàn)安全事件定位到人。 圖 2 內(nèi)外網(wǎng)數(shù)據(jù)流量圖 二、校外訪問校內(nèi)的數(shù)據(jù)流量主要有三類： 1） 校外用戶訪問學(xué)校網(wǎng)站 流量不大 但多樣（ IPV6 網(wǎng)站） ， 需要 路由器具備 智能 DNS 技術(shù) ； 安全防護要求高 ：防攻擊、 網(wǎng)站防篡改，防掛馬，漏洞掃描 。 2） 學(xué)生宿舍用戶訪問學(xué)校數(shù)據(jù)中心 多媒體訪問 流量大 ， 需要對關(guān)鍵業(yè)務(wù)服務(wù)器的健康度和繁忙度進行監(jiān)控管理 其他訪問 安全防護要求高 ， 需要日志 記錄 ，出現(xiàn)安全事件定位到人。各校區(qū) 匯聚設(shè)備采用 多條萬兆鏈路 聚合連接到骨干網(wǎng)絡(luò) 設(shè)備上，增大校區(qū) 骨干網(wǎng)絡(luò)之間的 鏈接 帶寬 和轉(zhuǎn)發(fā)性能 。 圖 6 骨干層設(shè)計 區(qū)域內(nèi) 核心交換機采用萬兆 鏈路 互聯(lián)， 每個 VSU 采用 兩條 萬兆 光纖鏈路上行至 校園 網(wǎng)的 出口流控設(shè)備 RGACE3000，采用 4 條萬兆鏈路上行至數(shù)據(jù)中心和另外一個區(qū)域，保證校內(nèi)資源和校外資源的高速訪問。 VSU 技術(shù) 優(yōu)點 信息學(xué)院骨干網(wǎng)可全面采用虛擬化技術(shù)實現(xiàn)多臺核心設(shè)備的虛擬化管理，兩臺核心設(shè)備通過一體化板卡的擴充實現(xiàn)統(tǒng)一的數(shù)據(jù)表項、統(tǒng)一的管理地址、統(tǒng)一的設(shè)備配置等單臺邏輯設(shè)備的對外特征。 圖 9 傳統(tǒng)架構(gòu)與虛擬技術(shù)的比較 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 8 VSU 技術(shù)相比 傳統(tǒng)的環(huán)網(wǎng)和 VRRP 技術(shù)，有如下 優(yōu)勢 ： 1） 、總體降低了校園網(wǎng)的 TCO 在 接近 的設(shè)備成本 投入 和線路成本 投入 下， 骨干網(wǎng)絡(luò)的帶寬從 20G，提高到了 40G， 將骨干網(wǎng)絡(luò)的帶寬提高了 1 倍。 3）、簡化網(wǎng)絡(luò)管理 兩臺交換機組成 VSU 以后，管理員可以對兩臺交換機統(tǒng)一管理，而不需要連接到兩臺交換機分別進行配置和管理。 3） 、 提升了安全過濾 的性能 防火墻板卡是基于網(wǎng)絡(luò)設(shè)備的 Crossbar 全互聯(lián)背板架構(gòu)，確保防火墻模塊與被保護對象之間高速無阻塞數(shù)據(jù)交換 。根據(jù)最終分析結(jié)果，可湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 9 快速的解決掉網(wǎng)絡(luò)異常問題，保證網(wǎng)絡(luò)正常的運行！ 例如 學(xué)校 網(wǎng)絡(luò)電視臺反饋圖像調(diào)用變得非常緩慢，需要要等十幾秒，甚至調(diào)用失敗。 3） 精確定義流量，鏈路故障預(yù)警更有效 網(wǎng)絡(luò)透明化解決方案，可以使網(wǎng)絡(luò)管理員及時掌握網(wǎng)絡(luò)負載狀況，對核心網(wǎng)絡(luò)的重點鏈路進行統(tǒng)計，各類 TOP 應(yīng)用百分比，使用各類應(yīng)用的網(wǎng)內(nèi)用戶、服務(wù)器的流量趨勢及統(tǒng)計湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 10 值，迅速發(fā)現(xiàn)網(wǎng)絡(luò)當(dāng)前的使用狀況和不同鏈路的使用率變化趨勢，盡早發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的不合理，或是網(wǎng)絡(luò)性能瓶頸，盡快做出網(wǎng)絡(luò)優(yōu)化方 面的決斷，最終實現(xiàn)網(wǎng)絡(luò)的優(yōu)化使用，為用戶提供高品質(zhì)的網(wǎng)絡(luò)服務(wù)，并且避免了網(wǎng)絡(luò)帶寬和服務(wù)器瓶頸問題。 4）管理和優(yōu)化網(wǎng)絡(luò)首先要進行測量。目前銳捷網(wǎng)絡(luò)已經(jīng)提供了 IPFIX 功能，擁有完善的網(wǎng)絡(luò)透明化解決方案，從網(wǎng)絡(luò)管理、網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)監(jiān)控保障 信息學(xué)院 關(guān)鍵業(yè)務(wù)高可用。 2）樓棟中心交換機上聯(lián)帶寬計算 其中 科技 樓共有 38 臺接入交換機， 15 個堆疊組 為辦公區(qū)最多的樓棟： 50Mbps/人 *38*48＝ 91200Mbps 科技樓 采用 12 條鏈路捆綁分別 北區(qū) 核心交換機，完全可滿足 15 個堆疊組 以 50M 的速度 同時上傳和下載帶寬。無論在動態(tài)分配 IP 環(huán)境下，還是靜態(tài)分配 IP 環(huán)境下，均可實現(xiàn)自動綁定工作，大大的節(jié)省了人力成本，降低了管理開銷。 身份 準(zhǔn)入認證設(shè)計 從保障校園網(wǎng)安全和管理的角度，校園網(wǎng)準(zhǔn)入身份認證是非常必要的，可以說校園網(wǎng)身份準(zhǔn)入認證是保障內(nèi)網(wǎng)安全的需要、是有效運營管理的需要、也是提高服務(wù)水平的需要；從另外一個角度來說身份認證是網(wǎng)絡(luò)準(zhǔn)入的基礎(chǔ)、網(wǎng)絡(luò)準(zhǔn)入是真實地址的基礎(chǔ)、真實地址是安全可信的基礎(chǔ)。 4. 出口網(wǎng)絡(luò) 設(shè)計 近幾年來，隨著數(shù)字化校園建設(shè)的迅猛發(fā)展，國內(nèi)高校骨干網(wǎng)紛紛升級為萬兆網(wǎng)絡(luò)，全面進入了萬兆時代。 出口鏈路眾多，多鏈路負載均衡和策略路由充滿挑戰(zhàn)。 IPv6 網(wǎng)絡(luò)出口缺乏安全防護手段，跨棧攻擊一觸即發(fā) 。 充分利用目電信、 CERNET、 CERNET2 深圳電信 IPv6 城域網(wǎng)四 條鏈路，單個 ISP 或單條鏈路的失效后能夠自動切換到備用鏈路，并不影響用戶正常的網(wǎng)絡(luò)訪問活動；均衡多條鏈路之間的流量分布，不能造成某條鏈路負載很重，其他鏈路卻一身輕松的尷尬局面；打通不同 ISP 資源互訪之間的局限，按照用戶訪問目的的不同靈活分配不同的出口鏈路；單個對外提供服務(wù)的 ISP 的 IP 失效時，自動切換到其它 ISP的 IP；方便靈活的再次擴展多條鏈路，而不會影響網(wǎng)絡(luò)結(jié)構(gòu)；對于多條鏈路進行統(tǒng)一管理，統(tǒng)一日志記錄與分析。 （四） 智能 DNS 解析 為了讓校園網(wǎng)對外開放的資源能夠更快捷的讓外部網(wǎng)絡(luò)用戶所訪問，則需要合理引導(dǎo)外部網(wǎng)絡(luò)用戶所訪問的路徑。 采用萬兆高性能防火墻進行安全防護 ： 主要有以下四個方面： （一）報文過濾 通過訪問控制列表（ ACL）實現(xiàn)了靈活的各種粒度的報文過濾 ,包括：標(biāo)準(zhǔn) ACL 、擴展ACL。 （四） WEB 網(wǎng)站防護 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 18 RGWG 采用事前防御和事后恢復(fù)的雙層策略。虛擬補丁技術(shù)保護操作系統(tǒng)、數(shù)據(jù)庫、 Apache、 IIS 等 Web 應(yīng)用服務(wù)平臺，避免 Web 應(yīng)用服務(wù)平臺被攻擊導(dǎo)致系統(tǒng)隱患。 流量控制設(shè)計 傳統(tǒng)的流控設(shè)備只能根據(jù)終端的 IP 段或 IP 地址來識別用戶的身份，所以在限制用戶網(wǎng)絡(luò)應(yīng)用和帶寬的時候判斷的依據(jù)也是 IP 地址，即使是學(xué)生身份在辦公區(qū)也享受教師的帶寬控制策略，而教師身份在學(xué)生宿舍區(qū)也只能受到學(xué)生帶寬控制策略。這樣無論用戶在何處登陸、使用何種終端都擁有與之身份相符的權(quán)利和限制。 通過比較分析，對于校園網(wǎng)遠程用戶接入可根據(jù)用戶需求選擇 SSL VPN 及 IPSEC VPN技術(shù)。記錄內(nèi)容包括訪問時的校內(nèi) IP、 NAT 后的 IP、訪問目的 IP、訪問目的 URL、訪問時間、對應(yīng)校內(nèi)的用戶等。為保證出口網(wǎng)絡(luò)保 持未來 5－ 10 年的領(lǐng)先性， RGNPE60 配置 2 個萬兆接口， 4 個以上的千兆光纖接口，同時需要具備 300 萬以上的 NAT 轉(zhuǎn)發(fā)性能， 目前出口網(wǎng)絡(luò)需要對流量進行有效控制，內(nèi)部網(wǎng)絡(luò)進行線速轉(zhuǎn)發(fā)，因此建議只在出 口部署兩臺萬兆流控控制器，毋須 在每臺核心交換機上配置流量控制模塊，這樣可節(jié)省投資，提高設(shè)備利用率。這樣不僅可以保持原有的集中式轉(zhuǎn)發(fā)架構(gòu)下的安全和管理優(yōu)勢，更可以根據(jù)網(wǎng)絡(luò)的數(shù)據(jù)實際情況將時延敏感、流量較大的數(shù)據(jù)流分離到有線網(wǎng)絡(luò)直接處理，將管理控制報文、安全控制要求高的報文送交無線控制器處理，避免因為 AP 的數(shù)量眾多或者是 AP 的負載過大而造成無線控制器的轉(zhuǎn)發(fā)瓶頸，這種解決 方案將非常適合信息學(xué)院這樣的大規(guī)模的 無線網(wǎng)絡(luò)環(huán)境使用。 為了保證在高用戶數(shù)下的網(wǎng)絡(luò)訪問體驗，無線控制器 WS5708 可以設(shè)定 AP 間對接入用戶進行負載均衡，負載均衡的策略可以是基于 AP 接入的用戶數(shù)量和 AP 的流量負載情況。 銳捷網(wǎng)絡(luò)針對這一技術(shù)難題進 行了相應(yīng)解決方案的開發(fā)，首先，通過在 AP 上采用雙路雙頻的硬件設(shè)計，將 ，并且將 “ only n”模式，保證了一部分高速網(wǎng)絡(luò)連接用戶的需求。 銳捷網(wǎng)絡(luò)無線控制器采用的冗余備份技術(shù)是在虛擬化架構(gòu)下開發(fā)出來的， 建議 信息學(xué)院部署中會用到 2 臺無線控制器，這 2 臺無線控制器將邏輯上虛擬化為一臺控制器。 本次信息學(xué)院無線網(wǎng)的 AP 規(guī)模近 500 個，屬于大型規(guī)模的無線校園網(wǎng)。 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 22 無線的可靠性設(shè)計 通常情況下，無線控制器與 AP 之間采用跨三層的連接方式， AP 的數(shù)據(jù)要到達無線控制器需要經(jīng)過接入交換機 匯聚交換機 校區(qū)核心交換機 主核心交換機最終到達無線控制器，現(xiàn)有無線控制器的冗余備份技術(shù)和 AP 的雙上聯(lián)技術(shù)只能解決上述過程中兩端節(jié)點的可靠性，而對于中間的 23 級交換機上聯(lián)鏈路卻無能為力。在這種模式下，已經(jīng)連接在 AP 上的用戶仍然在線，并且可以訪問本地網(wǎng)絡(luò)的資源。此外， WAPI從應(yīng)用模式上分為單點式和集中式兩種，可以徹底扭轉(zhuǎn)目前 WLAN采用多種安全機制并存且互不兼容的現(xiàn)狀，從根本上解決安全問題和兼容性問題。 校園無線網(wǎng)絡(luò)管理體系建設(shè) 在全校無線網(wǎng)絡(luò)建成之后，其主體設(shè)備－無線接入點，將被大量的用于最后一百米的接入為師生提供無線接入的服務(wù)。另外，為了確保類似視頻會議、重要的文件下載等重要關(guān)鍵業(yè)務(wù)在無線網(wǎng)絡(luò)上的穩(wěn)定應(yīng)用，需要在以共享為特征的無線信道帶寬中，為其分配足夠保障的帶寬資源和優(yōu)先傳輸。 建立這種全局集中管理體系，需要所有無線接入點通過支持標(biāo)準(zhǔn)協(xié)議，與處于核心網(wǎng)的無線控制器或者無線網(wǎng)絡(luò)管理平臺形成集中管理結(jié)構(gòu)，使得網(wǎng)絡(luò)管理員可以在網(wǎng)絡(luò)中心隨時對全網(wǎng)的無線設(shè)備實施射頻監(jiān)測、運行管理、用戶控制，管理員足不出戶，即可全盤掌握部署于各個角落的無線網(wǎng)絡(luò)的工作狀態(tài)。因此，對于無 線網(wǎng)絡(luò)可信的用戶認證是關(guān)鍵中的關(guān)鍵。不論用戶走到哪里，都可以完全透明的采用同樣的認證方式，無需任何改變。伴隨數(shù)字校園對信息化的依賴越來越大，應(yīng)用類型不斷增多，種種因素交織在一起勢必在投資成本、管理難度、用戶體驗、安全審計以及開放整合等多個方面對傳統(tǒng)的校園網(wǎng)安全運營管理提出全新的 挑戰(zhàn)，是否能夠?qū)崿F(xiàn)、以及具體如何實現(xiàn)校園網(wǎng)的統(tǒng)一認證運營管理逐步成為備受關(guān)切的問題。保護用戶投資，實現(xiàn)增值。 有線和無線一體化特色與價值 校園網(wǎng)同時具備有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)接入能力，通過不同的認證方式，可以統(tǒng)一認證計費管理平臺進行管理，可以減少成本，部署靈活，降低管理難度。運維管理人員僅需對 1 套系統(tǒng)、 1 份用戶身份信息進行操作，降低了運維管理復(fù)雜度。 全局安全管 理體系建設(shè) 作為一套網(wǎng)絡(luò)訪問控制的解決方案， GSN 可以幫助 信息學(xué)院 實現(xiàn)從用戶身份管理、主機管理到網(wǎng)絡(luò)通信管理等多方面的功能。 湖南工業(yè)職業(yè)技術(shù)學(xué)院