高校校園局域網組建技術初探

劉津

摘要：高等院校校園網絡不但提供了現代化的教學、各類綜合信息管理以及辦公自動化的各種應用，還能使各種信息能夠及時、準確地傳送。校園網絡工程技術主要是應用網絡技術中的局域網技術來建設與管理的，本人通過在學校中所學的網絡知識結合自己長期從事組網的規劃、設計以及網絡的維護工作，就高校組建校園局域網用到的有關局域網技術及實施方案為設計的方向，目的是為高校校園局域網的組建提供理論依據和實踐指導。

關鍵詞：校園網；局域網；網絡管理；網絡安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2019）01-0025-04

0 引言

當今社會網絡信息技術高速發展，教育和教學的信息化水平，已經成為衡量高等院校發展總體水平的重要因素，網絡信息技術的應用對高校教育教學手段和教育教學管理體系的促進作用是非常巨大的。

校園局域網的建設，極大豐富和完善了教育教學資源，拓展了學生獲取知識的渠道，完善了教學效果，提高了高校現代化管理水平。那如何進一步做好校園網絡建設，組建高效能，低成本的高校校園網絡系統，是每個高等院校需要思考與探索的問題[1]。

通過與本校網絡中心人員的溝通，了解到本院校園局域網建網背景、網絡現狀和必要性如下：

1 背景

經過幾年的信息化建設，我院的信息化水平在不斷的提高，信息化應用也取得了一定的成效。為順應全球教育信息化發展的潮流，促進信息技術與職業教育教學的深度融合，貫徹全國職業教育工作會議精神以及第二次全國教育信息化工作會議精神，落實教育部《教育信息化十年發展規劃（2011-2020年）》、《教育信息化“十三五”規劃》和《天津市中長期教育改革和發展規劃綱要（2010-2020）》和《天津市教育信息化十三五規劃》確定的教育信息化目標任務，依據《天津市職業教育信息化建設指導意見》、《教育信息化2.0行動計劃》，特制定出我院的信息化建設方案。

2 網絡現狀（圖1）

（1）現網核心設備為華三S7506E，因購買時間較長，設備無法支持未來IPv6網絡運行，并且隨著大數據、云計算等新興業務的發展對網絡適應能力、及網絡性能的要求越來越高，現網核心設備不足以支撐業務需求的發展需求。

（2）我校互聯網出口部署1臺防火墻及1臺上網行為管理，起到出口NAT及審計內網我校上網行為功能，不具備抵御惡意入侵攻擊防護、防病毒、及大流量DDOS攻擊的能力，互聯網出口一旦遭遇以上安全攻擊，將波及整網。

（3）我校業務系統大部分為基于B/S架構，使用Web頁面進行業務系統的訪問，對于基于web的業務系統沒有針對性的防護手段。Web漏洞及其被黑客利用造成業務系統癱瘓。

（4）安全設備隨時都在產生大量日志，日志種類復雜且格式不統一，并且分散在不同的安全設備上，從海量的日志中獲取有用信息非常困難，沒有辦法從宏觀的角度分析現網安全問題。

3 項目必要性

3.1 響應國家政策必要性

（1）為促進我校信息安全發展，響應國家和上級要求，進一步落實等級保護，夯實等級保護作為國家信息安全國策的成果，我校計劃參照《計算機信息系統安全等級保護劃分準則》（GB/T 17859-1999） 和《信息安全技術信息系統安全等級保護定級指南》（GB/T 22240-2008）要求，擬將我校系統定為二級，按照《信息安全技術信息系統安全等級保護基本要求》（GB/T 22239-2008）完成系統等保建設。同時為提高全網安全防護能力，我院計劃整網參照等保標準建設。

（2）2017年11月26日，中共中央辦公廳、國務院辦公廳聯合發文《推進互聯網協議第六版（IPv6）規模部署行動計劃》，2018年8月24日，教育部辦公廳關于貫徹落實《推進互聯網協議第六版（IPv6）規模部署行動計劃》的通知，提出了路線圖和部署目標，提出到2019年年末各教育省域網、城域網以及高等學校的校園網完成IPv6升級改造，鼓勵職業學校、中小學積極推進校園網IPv6改造。我院也將按照通知要求盡快完成IPv6改造工作。

3.2 實際使用必要性

（1）我校具備一定的基礎安全防護能力，但對于應用層威脅防御基本為0，在互聯網出口、用戶認證、數據中心、運維管理方面均存在被惡意入侵、病毒侵害的風險，需要根據各區域實際進行針對性防護。

（2）我校即將拉通Cernet2 IPv6鏈路，校園網及校園網站對IPv6的支持是我校當前非常緊迫需要解決的問題。

（3）信息系統最終是為業務系統服務，需要查看業務系統的健康狀態，更為直觀的展示業務系統的運行情況，通過業務系統的健康情況及狀態展示，可以準確的把控現數據中心的使用情況，為后續擴展提供數據支持。

4 設計目的及要求

4.1 安全性與可靠性

高可靠性是數據中心運營成功的關鍵，也是數據中心建設的基本原則。要對數據中心的整體布局、設備選型、結構設計等各個方面進行可靠性的設計及建設。具體要做到如下幾個方面：

（1）應該具備在現有條件下和規定時間內完成規定功能的能力；

（2）應該具備長期可靠和穩定工作的能力；

（3）具備合理的冗余能力、災難備份能力（包括：鏈路冗余、關鍵設備冗余和重要業務模塊冗余）；

（4）設計中沒有單點故障存在，對可能存在單點故障環節，在設計中，要盡可能減少其對整個系統的影響；

（5）整個網絡系統的服務器供電系統的可靠性，應該不低于百分之九十九。

4.2 靈活性與擴展性

網絡系統中的數據中心要具備良好的靈活性和擴展性，整個系統應該能根據今后業務的不斷深入發展需要（擴大系統內網絡設備的容量和提高我院網絡設備數量和質量的功能）。系統要具備支持多種網絡傳輸和多種物理接口的能力，除此之處，系統還要提供技術升級以及網絡設備隨時更新的靈活性。

4.3 先進性與實用性

在滿足系統數據中心的安全性和可靠性大前提下，要采用國際上最先進最成熟最實用的尖端技術，要建設合理并且超前的技術框架結構。整個系統中的軟件和硬件配置要采用開放式的框架結構，各分系統和子系統的設計，都要根據今后業務的發展需要與設備的使用需求的實際狀況來設計。

4.4 管理智能化與產品模塊化

在建設數據中心時，隨著數據處理及存儲設備的發展及更新，數據中心的建設對于產品的要求越來越高，在保證產品品質及功能性的前提下，對產品的擴展性提出了更高的要求，基于此，數據中心整體解決方案更多的采用模塊化理念，使用模塊化產品，將工程產品化模塊化。

5 存在問題

高等院校校園網絡目前面臨的主要威脅可分為兩種：一是對網絡數據的危害；二是對網絡設備的危害。具體來說，網絡安全方面的主要危害有：非授權訪問，即對網絡設備或信息資源進行非正常使用；冒充合法用戶，即利用各種欺騙的手段非法獲取合法用戶的使用權限，來達到占有合法用戶資源的目的；破壞數據完整性，即使用非法手段，刪除、修改各類重要信息，干擾用戶的正常使用；干擾系統的正常運行。

除此以外，Internet非法內容也是對網絡的另一大威脅。IDC的統計曾經顯示，有30%-40%的Internet訪問與工作無關，甚至部分是訪問色情、暴力、反動等站點。在此種情況下，Internet資源被嚴重浪費。而對校園網來說，面對良莠不分的網絡資源，如不具有識別和過濾作用，不但會造成大量非法信息、郵件的流入，占用大量流量資源，嚴重的還會造成流量堵塞、網速緩慢等問題，而且各種不良網絡內容（如：色情、暴力、反動等網絡內容），極有可能危害廣大青少年的身心健康，造成無法想象的嚴重后果[2]。

6 網絡方案設計

6.1 總體框架（圖2）

本次建設在四個區域部署：

（1）核心交換區：核心交換區中部署1臺核心交換區負責整網的數據交換，同時也是連接各個區域的樞紐。增加VPN系統解決移動辦公安全問題。

（2）互聯網接入區：互聯網接入區中增加，寬帶接入服務器（認證系統）、入侵防御系統。

（3）服務器區：在服務器區前端部署Web應用防火墻；綜合管理平臺、集中存儲系統等。

（4）運維審計區：在運維審計區中部署堡壘機、及綜合日志審計平臺、認證系統、業務性能監測系統、網絡防病毒系統。

6.2 技術方案

6.2.1 網絡及綜合布線

本次替換原有核心交換機，為正交CLOS架構，配置雙主控、四電源保障核心設備的可靠性，并且具有10個業務槽位，保障后期的擴展性要求，同時可擴展多種類型的安全插卡，可滿足未來更大流量、更精細化的安全需求。本次核心交換機配置52個萬兆光口，24個千兆電口，20個千兆光口，用于實現萬兆連接校內匯聚交換機，及其他各區域連接的要求。

中共中央辦公廳、國務院辦公廳印發了《推進互聯網協議第六版（IPv6）規模部署行動計劃》，IPV6的業務需求量越來越大，所以本次校園網絡升級建設中，所有的網絡設備，均能支持IPV6能力。

并且考慮隨著新興業務的迅速發展，傳統的網絡構架已經不能適應新業務的變化需求，在未來，我院的網絡建設應趨于SDN網絡的建設模式，本次核心交換機必須支持VXLAN和EVPN功能實現后期校園網SDN的平滑升級。

6.2.2 安全

（1）Web應用防護系統。Web業務的安全面臨著兩級分化極其嚴重的形勢：一方面Web業務的易操作化，使得Web業務面向了更廣泛的人群，人們大多不具備基本的網絡安全意識，使得對于網絡上的陷阱疏于防范，易于無意識的成為被攻擊對象；另一方面，由于信息化的快速發展，網絡上各種資料、工具可以極其方便的被查閱和下載，這使得各種攻擊工具極易在網絡上進行傳播，對于攻擊者要求的技術知識逐漸降低，甚至不需要任何網絡和Web基礎即可按照攻擊軟件說明對網站服務器進行攻擊。

Web應用防火墻具備以下幾點功能：

1）審計功能：審核統計經過設備的HTTP報文數量及會話，對出現問題進行分析，提出分析報告；

2）訪問控制功能：用來對Web應用平臺訪問進行控制，包括主動訪問空及被動訪問控制；

3）網絡管理：提供反向代理模式、轉發控制、診斷工具等功能；

4）Web攻擊防護功能：Web防火墻核心功能，為Web應用平臺提供安全防護，阻止攻擊對應用平臺造成不必要的損失。

Web應用防火墻可以對常見的Web攻擊進行有效的防護，對于業界最新的Web攻擊方式，也會第一時間進行研究并提供防護手段，全面保障了Web應用的安全。

部署1臺Web應用防火墻（Waf），旁路部署在服務器匯聚交換機一側。

（2）綜合日志審計。綜合日志審計平臺通過收集來自企業和組織信息系統資源中各種設備和應用的安全日志，可結合云端的威脅情報，對海量安全日志進行統計分析和關聯分析，協助我校準確、快速地識別安全事故，從而及時做出響應。

該架構可劃分為四個層次（圖3），數據采集層、數據處理層、數據分析層和業務表示層。

（3）VPN。針對組織業務接入需要和組織的安全需求，提供一種完善簡便的方案，“統一業務安全接入平臺”使得員工在任何時候、任何場所，使用任何設備便捷的訪問公司內網，運行內網應用，并確保企業信息安全，避免敏感數據泄露。“統一業務安全接入平臺”為老師提供端到端的移動安全管理和靈活的應用發布的能力，從用戶端、網絡傳輸、服務器端全面考慮老師的安全需要；以及從敏感數據的管控、移動應用的安全加固、以及設備的安全管理和遠程應用的防泄密等多方位來對我院的移動OA辦公系統來進行全方位的防護，使得網絡系統在高效率和組織和信息安全之間找到一個最佳的平衡點。并且通過單點登錄、操作體驗和訪問速度等方案，為用戶提供良好的用戶體驗。另外，在管理方面，通過集中管理，統一管控，智能報警，智能負載等多種方式，減少管理員的管理難度。

移動OA辦公系統最主要的目的就是，提升學院整體的辦公效率。通過修改傳輸協議來為HTTP高速傳輸協議和TCP代理交互請求等方式進行加速，移動辦公系統無需APP開發人員進行單獨的軟加速模塊開發，也不需要移動終端用戶修改設置，就可以實現對移動應用完成系統加速，數據傳輸的效率可以提升15%-30%，從而對整體的辦公效率提升的最終目的進行二次保障。將原版APP上傳到應用封裝云平臺后，選擇身份認證方式、設置好VPN接入地址、選擇相應的企業證書，即可完成封裝。全過程以圖形化界面呈現，非常容易操作。針對不同的HIS業務，SSL VPN具有細致化的訪問權限控制能力，保證不同的用戶只能訪問與之相匹配的數據資源，對于具有教師和學生訪客多方接入協同作業的辦公環境來說，是最好的安全保障方案。

將旁路核心交換SSLVPN，老師、學生、訪客訪問SSL VPN地址，VPN指定賬號訪問指定業務系統。只需一個VPN賬號方可訪問權限內的系統。

（4）堡壘機。本次部署1臺運維堡壘主機，堡壘機可為我校提供全面的運維管理體系和運維能力，支持資產管理、我校管理、雙因子認證、命令阻斷、訪問控制、自動改密、審計等功能，能夠有效的保障運維過程的安全。在協議方面，堡壘機全面支持SSH/TELNET/RDP（遠程桌面）/FTP/SFTP/VNC，并可通過應用中心技術擴展支持VMware/XEN等虛擬機管理、oracle等數據庫管理、HTTP/HTTPS、小型機管理等。

（5）網絡防病毒系統。相對于單機病毒的防護來說，網絡環境下，病毒的傳播擴散更快，僅僅利用單機版的殺毒產品很難清除網絡病毒，因此必須有適用于域網絡的全方位殺毒產品。為實現計算機病毒的防治，可在應用服務器端部署服務器版殺毒軟件，在終端網絡服務器上安裝網絡病毒防治軟件；通過統一部署反病毒終端實現統一管控。

部署網絡版殺毒軟件，通過部署網絡版殺毒軟件實現全方位、多層次防毒，實現病毒的全面防范。

（6）認證系統。實現校園網認證系統全網業務數據自動同步，實現全網校際漫游多層級業務數據保留本地認證數據，保留全網漫游數據。我校有線無線統一認證，實現校際漫游，提升用戶體驗。滿足普教多樣化場景，提升多功能訪客系統體驗度，支持內部授權訪客管理。支持學校教工多樣化外部認證源，融合現有校園信息系統、如LDAP、POP3、OA等，實現便利的統一認證。支持短信Portal、微信連Wi-Fi、二維碼認證、1x等多種認證方式。支持DHCP、MAC、SNMP等多樣化無感知認證解決方案。

（7）IPS入侵防御系統。IPS入侵防護系統是網絡安全防護體系中最最重要的環節，它能夠及時地識別出網絡系統中發生的入侵行為，并實時報警然后進行有效攔截防護。

IPS可針對于內網對于外網的存取應用進行管理。可以支持七層的分析檢測技術，能夠檢測和防范的攻擊類型包括：DoS/DDoS攻擊、蠕蟲病毒、后門、特洛伊木馬、網絡探測、黑客軟件、網絡釣魚、利用漏洞的各種攻擊、緩沖區溢出攻擊、SQL注入攻擊、協議異常、IDS/IPS逃逸攻擊等，支持IM、P2P等網絡協議的檢測和識別，可支持的網絡濫用協議至少包括BT、迅雷、eDonkey、Kugoo下載協議、多進程下載協議等P2P下載應用，QQ、ICQ、MSN等IM應用，PPLive、PPStream、HTTP下載視頻文件、網絡電視、QQLive等網絡視頻應用；并且可以在識別的基礎上對這些應用流量進行限流和阻斷。IPS采用全面深入的分析檢測技術，并結合模式特征匹配、流量異常檢測、協議異常檢測、事件關聯等多種技術手段，識別運行在非標準端口上的協議，最終達到準確檢測入侵行為。

7 網絡整體性能測試與評估

7.1 網絡測試

網絡性能測試包括：功能測試、性能測試、一致性測試、操作性測試、可靠性測試、穩定性測試等。

（1）根據廠商提供的說明書來驗證網絡設備是否具備設計要求的每一樣功能；

（2）驗證網絡設備，驗證各項設備功能是否符合國內國際行業標準；

（3）分析網絡設備，分析網絡設備在各個不同的負載和配置下的容量對負載的處理能力；

（4）考察網絡設備，是否可以在不同廠家的多種網絡設備產品互連的網絡環境中很好的工作；

（5）利用加重負載的方法來分析、評估整個網絡系統的可靠性和穩定性。

7.2 聯通性測試

運用各種網絡測試命令對網絡的聯通性進行測試（如ping，ipconfig，netstat，telnet，tracert，等網絡命令）。

8 結語

高等院校的校園網建設是一項系統工程，其中需要用到多方面的各種技術，即有網絡技術和工程施工技術，也需要有項目管理制度等方面的知識。隨著通信技術和信息技術的高速發展，以及人們對網絡性能不斷提高的需求，各種網絡新技術新思想必將得到不斷的完善和發展。更多更好的組網技術將應用到新的校園網絡建設之中，校園網絡的功能也將得到大大的提高。網絡技術的發展是永無止境的，在前進的過程中必將有更多更好的新知識需要學習與研究，并能夠將這些新技術與新知識應用到實際的網絡工程之中。

由于校園網絡工作技術含量高，接觸方面廣，在網絡規設計和建設中都非常的復雜，因此本文在論述中不可能面面俱到，同時也由于作者本人的知識水平有限，文中難免出現不足和錯誤，敬請指正。

參考文獻

[1] 苗鳳君.局域網技術與組網工程[M].清華大學出版社.2014.

[2] 邱冬，閆韶松.網絡操作系統-Windows 2003 server管理與配置[M].清華大學出版社，2014.

[3] 田庚林，田華，張少芳.計算機網絡安全與管理[M].清華大學出版社，2013.

[4] 寧芳露.網絡互聯及路由器技術教程與實訓[M].北京大學出版社，2005-09.

[5] 華師傅資訊.局域網組建、應用與維護[M].中國鐵道出版社，2007.

[6] 陳強，程昌品，鄧九英.校園網建設與管理的現狀及思考[J].計算機教育，2004（04）：3-5.

[7] 張公忠.現代網絡技術教程[M].電子工業出版社，2000.

Abstract：The campus network of colleges and universities not only provides modern teaching， various comprehensive information management and various applications of office automation， but also enables various information to be transmitted in a timely and accurate manner. Campus network engineering technology is mainly applied to the construction and management of local area network technology in network technology. I combine the network knowledge I have learned in school with my long-term network planning， design and network maintenance work to set up campus LAN in colleges and universities. The relevant LAN technology and implementation plan are the direction of design， and the purpose is to provide theoretical basis and practical guidance for the establishment of college campus LAN.

Key words：campus network；local area network；network management；network security