基于等保2.0的職業院校校園網的方案設計

胡春雷 岳宜勇 陸蒙

摘要：隨著等保2.0標準的出臺實施，所有聯網的企事業單位的信息中心都必須達到標準的要求，對所負責的網絡及信息系統進行有效的全方位的安全防護。本文針對某高職院校校園網的建設需求，根據等保2.0標準的要求，通過使用必要的網絡安全設備，采用多出口設計、冗余互備、VPN、雙協議棧等技術，設計出了一種安全高可靠的校園網絡建設方案，并在EVE中對方案中的基本組網及VPN功能進行了模擬實施。

關鍵詞：校園網;等保2.0;VPN;冗余互備;防火墻

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）02-0027-02

1 引言

沒有信息化就沒有現代化，信息化建設已成為各個單位基礎設施建設的重要的內容之一。信息化建設將改變政府部門、各企業的傳統工作方式，極大地提高工作和辦事效率。教育信息化是當今各層次學校的重點工作之一[1]。隨著大數據、云計算、物聯網、人工智能等新興信息技術快速發展，如何借助新興技術進行教育信息化的改革實踐，是當下各個層級教育，尤其是高等職業教育中面臨的重大挑戰之一[2] 。校園信息化已成為學校發展必須推進和經歷的階段，校園網作為為校園信息化必備的基礎設施，對于改善學校管理、改革教學方式、豐富學習內容等有極大的推進作用[3]。隨著等保2.0標準的出臺實施，所有聯網的企事業單位的信息中心都必須達到標準的要求，對所負責的網絡及信息系統進行有效的全方位的安全防護。在此背景下，如何建設符合等保2.0要求且能助力實現管理的自動化、智能化的高可靠的校園網，以支撐學校教學、科研、管理及各業務系統安全穩定運行，成為各高校信息建設的重點。

2 校園網建設需求分析

本案例選擇的是某個職業院校的校園網建設實例，假設該學校有主校區和分校區兩個校區，且兩個校區相距很遠，學校的門戶網站和應用系統都部署在新校區的中心機房內的服務器中。對其校園網建設需求分析如下：

1）聯網需求。一方面要保證校園網能與教育網無阻礙連通，實現與教育網的互聯，訪問教育網資源;另外一方面還要提供互聯網接入，以保證校園師生可以訪問Internet，訪問互聯網資源;

2）安全通信的需求。主校區和分校區組成一個校園網，需要將兩個相隔很遠的校區互聯成一個局域網，并保證它們之間的安全通信。同時需要保證教職工和在校學生在校園外也可以安全地使用校園網;

3）可靠性的需求。門戶網站是學校對外宣傳的窗口，要保證時刻能夠被外界所訪問，學校日常運行對網絡的需求越來越大，要保證校園網具有一定的健壯性，避免核心鏈路和核心設備的單點故障;

4）無線接入的需求。隨著云課堂、今日校園等教學管理或學生管理App的廣泛使用，要求學生在校園內隨時隨地都能接入互聯網，在校園部署無線網絡全覆蓋，將方便學生接入互聯網，為線上教學提供有力支撐;

5）等級保護的需求。隨著等保2.0標準的出臺實施，所有聯網的企事業單位的信息中心都必須達到標準的要求，對所負責的網絡及信息系統進行有效地全方位的安全防護。校園網絡及應用系統必須達到等保2.0標準的要求。

3 校園網建設方案設計

3.1 網絡架構設計

基于校園網中的應用部署、安全通信、無線接入、等級保護等需求，設計出了校園網絡拓撲結構，如圖1所示。在主校區的網絡設計中，按照層次化組網設計理念，采用三層網絡架構，將整個校園骨干網分為接入層、匯聚層和核心層。接入層又由普通二層交換機組成，為用戶接入網絡提供通道;匯聚層連接無線AP與接入層交換機，提供基于策略的訪問控制;核心層由兩臺核心交換機組成，實現高速交換。兩臺核心路由器，一邊連接服務器集群，另一邊連接防火墻，并通過防火墻連接教育網和Internet。通過在主校區與分校區的出口防火墻間部署IPSec VPN來實現兩個校區的安全通信。

3.2 路由設計

核心路由器互連服務器集群、三層核心交換機和防火墻，實現服務器區、辦公區域與外網區域間的數據包轉發。考慮IPv6的發展趨勢，在核心路由器中同時配置IPv4與IPv6雙協議棧技術，滿足未來向IPv6網絡的平滑過渡。同時開啟了NAT功能以保證內網IP段不被外部互聯網知曉，提高內網安全性。

3.3 無線網絡設計

考慮到日常教學、管理等工作對無線網絡的需求，在主校區和分校區的網絡中都添加了無線接入設備，為了方便管理，無線網采用AC+AP的組網模式。在無線控制器上啟用了黑白名單機制，并借助Radius服務器為無線上網做上網認證，允許驗證成功的用戶連接校園內網，超過連接次數的用戶會被AC加入黑名單。

3.4 網絡安全設計

在網絡安全方面，考慮等保2.0標準的要求，在校園網出口部署了企業級多核防火墻，借助防火墻實現對內網保護;在服務器集群區旁掛著入侵防御系統（IPS），用于對防火墻的補充，抵御外部的惡意攻擊，提高內網主動防御的能力;為了阻擋借助網站漏洞而發起對門戶網站的惡意攻擊，在網站服務器前部署了Web防火墻，提高門戶網站的安全性;在內網部署日志服務器，記錄防火墻、WAF等安全設備產生的日志信息，為行為審計提供條件;在主校區與分校區的出口防火墻間部署IPSec VPN來實現兩個校區的安全通信，并在主校區出口防火墻部署SSL VPN來為在家辦公的教職工和學生提供安全的校園網接入服務。

3.5 可靠性設計

在核心層的兩臺核心交換機上，部署MSTP和VRRP，實現冗余備份，以保證網絡中不會因一臺設備宕機而出現單點故障的現象。在主核心交換機與備用核心交換機間使用多條鏈路進行互聯，并采用以太網鏈路捆綁技術，以保證主備設備間數據的高速轉發。在三層核心交換機處連接著的兩臺AC用做主備冗余，提高無線網絡的容錯能力。為了保證到Internet的連通性，主校區和分校區的出口網絡都采用了雙出口設計，即同時通過兩個不同運營商的線路接入互聯網，提高了接入互聯網的可靠性，可以有效避免單個運營商線路故障而導致的網絡不可用的風險。

4 校園網建設方案模擬實施

4.1 EVE-NG介紹

EVE-NG（全稱為Emulated Virtual Environment - Next Generation），是深度定制的Ubuntu操作系統，可以直接把它安裝在x86架構的物理主機上。它也有ova版本，可以導入到VMware等虛擬機軟件中運行。它融合了dynamips、IOL、KVM，不僅可以模擬網絡設備，也可以運行一切虛擬機，實現模擬網絡設備與虛擬機之間的互聯互通，為用于學習網絡技術提供了仿真虛擬環境。

4.2 主要設備及功能配置

核心層交換機采用MSTP+VRRP雙機熱備技術，MSTP可以實現多VLAN 的負載分擔，可以實現多廠商對接，VRRP協議用于解決局域網中配置靜態網關出現單點失效現象的路由協議，實現雙機熱備功能。在核心路由器和核心交換機上配置動態路由協議OSPF，同時考慮到IPv6的發展趨勢，還配置了IPv6路由協議棧。

核心交換機的主要配置如下：

spanning-tree mst configuration

instance 1 vlan 10， 20

instance 2 vlan 30， 40

instance 3 vlan 60

instance 4 vlan 70， 80

spanning-tree mst 1 priority 4096

spanning-tree mst 2 priority 8192

spanning-tree mst 3 priority 8192

spanning-tree mst 4 priority 4096

spanning-tree

interface GigabitEthernet 0/13

ip address 192.168.13.1 255.255.255.252

interface GigabitEthernet 0/19

ip address 192.168.19.2 255.255.255.252

interface VLAN 10

ip address 192.168.10.252 255.255.255.0

vrrp 1 ip 192.168.10.254

vrrp 1 priority 110

interface VLAN 20

ip address 192.168.20.252 255.255.255.0

vrrp 2 ip 192.168.20.254

vrrp 2 priority 110

interface VLAN 30

ip address 192.168.30.252 255.255.255.0

vrrp 3 ip 192.168.30.254

核心路由器的主要配置如下：

ipv6 source-route

interface GigabitEthernet 0/1

ip address 192.168.19.1 255.255.255.252

ipv6 address 2001：19：：1/64

ipv6 enable

ipv6 ospf 1 area 0

duplex auto

speed auto

ipv6 router ospf 1

router-id 1.1.1.1

router ospf 1

router-id 1.1.1.1

network 192.168.19.0 0.0.0.3 area 0

IPSec VPN的主要配置如下：

crypto isakmp policy 10

encr 3des

authentication pre-share

group 2

crypto isakmp key security@123 address 202.2.2.2

crypto ipsec transform-set protect esp-aes esp-sha-hmac

mode tunnel

crypto ipsec profile rule

set transform-set protect

interface Tunnel0

ip address 172.16.100.1 255.255.255.0

ip mtu 1400

ip ospf 1 area 0

tunnel source 202.1.1.1

tunnel mode ipsec ipv4

tunnel destination 202.2.2.2

tunnel protection ipsec profile rule

5 結束語

校園網作為為校園信息化必備的基礎設施，對于改善學校管理、改革教學方式、豐富學習內容等有極大的推進作用。隨著網絡安全問題的日益突出和國家對網絡安全工作的日益重視，如何建設助力實現管理的自動化、智能化的安全高可靠的校園網成為各高校信息建設的重點。本文針對某高職院校校園網的建設需求，按照等保2.0的要求，通過采用多出口設計、冗余互備、VPN、雙協議棧等技術，設計出了一種安全高可靠的校園網絡建設方案，并在EVE中對方案中的基本組網及VPN功能進行了模擬實施。

校園信息化的建設工作是一個長期的工作，校園網絡作為校園信息化建設的重要內容，也需要不斷跟進技術的發展。安全不是一勞永逸的，并不是簡單架設安全設備就能解決的，安全會隨著使用者的情況而變化。因此，一個好的使用情況和一個可擴展的方案才應該是解決問題的核心思想。技術日新月異，但唯有人不變，因此要讓整體的網絡安全，更應該讓使用者有安全意識與安全技術才是重點。

參考文獻：

[1] 汪寒江，董向青.概述IP城域網絡設計[J].科技風，2010（17）.

[2] 蒯紅兵.城域網網絡規劃建設淺析[J].通信與信息技術，2009（4）.

[3] 黃河夫.高校校園網網絡優化設計與實現——以欽州學院為例[J].欽州學院學報，2018，33（8）：31-35.

【通聯編輯：光文玲】