校園數據網絡與信息安全融合建設方案設計實現

姜興宗

摘 要：高校校園數據網絡建設是高校的重要基礎建設項目，是承載高校教學、科研等先進信息化教學環境的核心載體。文章以某校園數據網絡升級改造工程為依托，研究設計具備寬帶、可交互、專業性以及保障信息安全性的寬帶綜合校園網。對其無線網絡優勢、有線建設方案以及網絡安全解決方案進行深度剖析。最終設計并實現了高校校園完善的數據網絡，實現校園辦公網100G互通、寬帶上網以及全區域無線覆蓋，為高校校園網建設提供高效可行的實現方案。

關鍵詞：無線局域網；無感知漫游；信息安全；互聯互通

中圖分類號：TP393.08 文獻標志碼：A 文章編號：2095-2945（2018）06-0110-02

Abstract： The construction of campus data network is an important， basic construction project in colleges and universities. It is a core carrier of advanced informatized teaching environment such as teaching and research in colleges and universities. Based on a campus data network upgrade project， this paper studies and designs a broadband comprehensive campus network with broadband， interactive， professional and information security. The advantages of wireless network， cable construction and network security solutions are analyzed in depth. Finally， the paper designs and realizes the perfect data network of the university campus， realizes the 100G interconnection of the campus office network， the broadband Internet access and the wireless coverage of the whole area， and provides an efficient and feasible scheme for the construction of the university campus network.

Keywords： wireless local area network； sensorless roaming； information security； interconnection

1 概述

隨著經濟發展和科教興國戰略的實施，高等學校的校園數據網絡建設已經成為學校的基礎建設項目，同時也是衡量高校信息化建設程度的重要標志之一。校園數據網絡為高校師生提供教學、科研和綜合信息服務，同時，作為學校教學、科研等先進信息化教學環境的提供載體，要求其必須具備寬帶、可交互和專業性三方面特征。校園數據網絡應該能夠輔助科研、教學，提供多媒體教學軟件開發平臺、多媒體演示教室、教師備課系統、電子閱覽室以及教學、考試資料庫等。對于綜合性院校，還應在校園內形成多個互聯互通的局域網絡，并通過有線或無線方式連接起來。進一步地，高校的校園數據網絡還應具有教務、行政管理等功能。

關于校園網絡建設一直以來存在著不少的誤區。有些網絡開發商一味地追求建設投入，缺乏綜合規劃及開發應用；有些高校在啟動實施校園網建設工程后，對建成網絡的綜合管理以及教師、學生的應用培訓不夠，導致教學資源的開發不足，未能最大限度利用校園網絡的優勢服務于高校的教學、科研及日常運行管理。此外，隨著當今時代信息技術的變革、革新，隨著充斥網絡的海量信息的出現，保障校園網安全的形勢也日益嚴峻。目前，高校校園網的安全防護體系尚存在一些問題，主要體現在以下方面，網絡的安全防御能力較低，極易受到病毒、黑客的影響，對移動存儲介質的上網監測手段不足，缺少綜合、高效的網絡安全防護和監控手段，削弱了網絡本身的可靠性。因此，急需對現有校園網進行升級改造，并建立一套多層次的安全管理體系，加強校園網的安全防護和監控能力，為校園信息化建設奠定更加良好的網絡安全基礎。

2 無線網絡校園內無感知漫游

WLAN具有兩個相互獨立的部分，即公共無線局域網接入熱點區域和局端網絡節點。在熱點區域，運營商布置AP作為無線網絡的接入端口，而其用戶通過移動終端（如筆記本電腦、PDA等）加上無線網卡實現Internet的無線接入。在局端網絡節點，可以提供認證、漫游、計費業務等功能。這些熱點的數據信息被連接到IP核心網，核心網提供了接入網和傳遞鑒權、計費信息至移動網絡。WLAN網絡主要由WLAN終端設備（WLAN網絡卡）、WLAN接入點設備（AP）、接入控制點（AC）、PORTAL服務器、RADIUS認證服務器、用戶認證信息數據庫、BOSS等系統組成。

WLAN漫游示意圖如圖1所示。這里的關鍵是用戶業務不中斷，如果STA先在AP1下線，業務中斷，一段時間后再到AP2上重新上線，重新獲取IP，則不能稱為漫游。當然，用戶業務不中斷是指宏觀意義上的，實際上由于多種因素，如漫游前后兩個AP間的信號交疊地帶信號弱或存在空洞、終端漫游過程中需要切換信道掃描到新AP、終端需要在新老AP間切換關聯關系、終端關聯到新AP后需要重新協商密鑰、甚至重新認證等，漫游過程中會有少量丟包。盡量減少漫游過程中的丟包、使上層業務感知不到明顯延時、卡頓，保障用戶移動過程中業務體驗仍能流暢自如是我們的一個重要目標。后面可以看到我們將采取一些措施盡可能將丟包降到最低。另外，只有同一個ESS范圍內的移動才能稱為漫游。如果STA開始關聯SSID為“Huawei”，后來又關聯另一個SSID，則不能稱之為漫游，此時STA需要重新關聯，重新認證，重新獲取IP，不能保障業務不中斷。

3 校園網升級方案

本項目在某高校建設一張完善的校園數據網絡，實現校園辦公網100G互通、校園宿舍寬帶上網、校園區域無線覆蓋，從而滿足全校師生校園網絡訪問和互聯網訪問需求。具體網絡結構如圖2所示。

本項目建設1個核心機房，3個匯聚機房，5個匯聚節點，網絡建成后，可實現各校區、辦公樓、圖書館等重要場景100G鏈路互通，學生宿舍樓1賬號寬帶、無線上網，形成一套高速、可靠、安全可運營的基礎承載網絡。具體業務流程如圖3所示。

4 網絡安全解決方案

作為校園網安全的屏障，防火墻是連接內、外層網絡之間信息的唯一出入口，根據具體的安全策略（允許、拒絕、監測）出入網絡的信息流。校園網絡管理員要將諸如口令、加密、身份認證、審計等的所有安全軟件配置在防火墻上以便對網絡存取和訪問進行監控審計。同時利用防火墻的日志記錄功能做好備份，提供網絡使用情況的統計數據。流量分析系統（簡稱TA-FLOW）系統采用旁路式流量摘要提取技術，通過對幀數、幀長、協議、端口、標志位、IP 路由、物理路徑、CPU/RAM 消耗、帶寬占用等直接特征的監測，基于時間、拓撲、節點等統計分析手段，建立現行流量分布數學模型并結合已知模型進行實時比對分析，實現網絡流量分布異常監測。系統采用 Collector 結合Controller 技術對網絡流量進行分析、檢測，并且對網絡進行實時監控，對網絡中的 DoS/DDoS 攻擊、蠕蟲病毒、垃圾郵件及其他網絡異常事件進行實時監測，從中提取異常特征，根據安全機制的閾值，來啟動報警和響應系統進行過濾、阻斷和防御。設置上網行為管理服務器，當用戶通過路由器、代理軟件共享上網時，可以快速發現共享上網的IP、用戶名、接入的終端數，并在狀態界面顯示出來。管理員有權限設置其上網權限策略，比如單IP允許的最大終端數、發現共享即在指定時間內凍結該用戶權限等。

校園網升級改造建設最終實現了包括綜合布線、有線網絡、無線網絡，辦公網和學生用戶網絡的統一接入。對于師生用戶，實現全校有線、無線等網絡的接入統一管理，統一以學生學號、教師工號或學校電子郵箱等唯一身份識別信息為登錄帳號；現有網絡機房升級到B級，通過相關部門B類機房檢測；新建校園云端數據中心，部署高性能服務器集群、管理服務器、存儲服務器、高性能交換機和虛擬化軟件等；通過國家信息安全等級保護三級檢測，安全審計、認證和管理應能滿足公安部82號令相關要求，建設成一張完善的校園數據網絡，實現校園辦公網100G互通、校園宿舍寬帶上網、校園區域無線覆蓋，從而滿足全校師生校園網絡訪問和互聯網訪問需求。

參考文獻：

[1]Catherine Paquet， Diane Tears.組建可擴展的Cisco互連網絡[M].北京：人民郵電出版社，2002.

[2]唐寶民.局域網與城域網技術[M].北京：清華大學出版社，2006.

[3]陳偉.數據通信與計算機網絡[M].武漢：武漢理工大學出版社， 2004.