高校校园网建设现状

网络安全体系的构建
用户认证系统 网络防病毒系 统 防火墙： 防火墙：防 范外部攻击 设备的安 全防范 安全操作 系统 补丁分发系统 漏洞扫描系统 IDS： IDS：防范内 部攻击
网络安全
“十一五”规划建设目标 十一五” 十一五
二、规划建设目标
３、安全与管理 网络管理系统：全网监控（ 网络管理系统：全网监控（内、外网）、 管理系统 外网）、 统一监控、报告及时、直观、 统一监控、报告及时、直观、丰富灵活的统计 分析功能、面向客户、管理的安全性。 分析功能、面向客户、管理的安全性。
“十一五”规划建设目标 十一五” 十一五
５、ＩＰＶ６的部署建设 、ＩＰＶ６ 关于IPV6： 关于IPV6： IPV6 以后IETF不再讨论 不再讨论IPv6的可行性 以后 不再讨论 的可行性 ——Leslie Daigle（IETF-IAB主席） 主席） （ 主席 IPv6没有杀手级应用，如果非要说杀 没有杀手级应用， 没有杀手级应用 手级的话，那么应该说， 手级的话，那么应该说，IPv6本身是 本身是 一个杀手级平台。 一个杀手级平台。 ——Vinton Cerf （ICANN主席） 主席） 主席
“十一五”规划建设目标 十一五” 十一五
二、规划建设目标
１、主干网升级 稳定可靠：单核心升为双核心、多核心； 稳定可靠：单核心升为双核心、多核心； 核心节点成环；汇聚成环或双链路上联核心； 核心节点成环；汇聚成环或双链路上联核心； 设备关键部件冗余。 设备关键部件冗余。 安全防护： 安全防护：核心设备本身具备强大的安全 防护能力，且在启用这些安全策略时， 防护能力，且在启用这些安全策略时，不影响 整机性能。 整机性能。
校园网“十一五” 校园网“十一五”规划
一、规划指导思想
兼容性：保护原有投资。 兼容性：保护原有投资。 以建促管：通过项目的建设， 以建促管：通过项目的建设，进一步健全 规章制度，促进网络管理的规范化和现代化， 规章制度，促进网络管理的规范化和现代化， 提高网络运行管理水平。 提高网络运行管理水平。 建设与人才培养相结合： 建设与人才培养相结合：通过项目建设本 身的实践和锻炼、通过送培、 身的实践和锻炼、通过送培、交流研讨等方式 培养一支基础扎实、技术实力强、 ，培养一支基础扎实、技术实力强、网络运行 管理经验丰富的运行管理队伍， 管理经验丰富的运行管理队伍，为网络的可持 续发展和稳定可靠运行奠定人才基础。 续发展和稳定可靠运行奠定人才基础。
重点高校十一五规划调查 数据
81.2% 79.8% 75.9% 69.4% 49.7% 70.8% 78.4%
45.6%
40.4%
24.8%
“十一五”规划重点方 十一五” 向
人员培 训 接入网 改造
IPv6 主干网 升级
“十一五”规划重 十一五” 十一五 点
安全与 管理
ຫໍສະໝຸດ Baidu
数据中 心建设
“十一五”规划建设目标 十一五” 十一五
５、ＩＰＶ６的部署建设 、ＩＰＶ６ 暂时的解决办法： 暂时的解决办法： – NAT(网络地址翻译) NAT(网络地址翻译 网络地址翻译) – CIDR(无类域间路由) CIDR(无类域间路由 无类域间路由) – 外加的安全措施 – RSVP(资源预留协议) RSVP(资源预留协议 资源预留协议)
只有全新的协议才能彻底解决IPv4 只有全新的协议才能彻底解决IPv4的问题 IPv4的问题
建设现状及存在问题
4、数据存储现状及存在问题 数据存储现状及存在问题
(1） (1）许多应用系统的数据都直接存储在单 个服务器中。服务器存储空间利用率低。 个服务器中。服务器存储空间利用率低。服务 器性能容易成应用瓶颈。 器性能容易成应用瓶颈。 （2）“信息孤岛”现象严重。 信息孤岛”现象严重。 （3）关键数据资源缺乏可靠的备份。 ）关键数据资源缺乏可靠的备份。 （4）多种存储方式并存，难于统一管理。 ）多种存储方式并存，难于统一管理。
校园网“十一五” 校园网“十一五”规划
二、规划重点方向
全国重点高校“十一五”规划 全国重点高校“十一五” 情况
90%高校已经完成十一五规 高校已经完成十一五规 划方案的书写和上报， 划方案的书写和上报，其余 全国60多所 全国 多所 重点高校网络 中心的十一五 规划，显示： 规划，显示： 规划中几乎都强调网络 基础设施建设的重要性， 基础设施建设的重要性，包 括万兆升级、无线网建设、 括万兆升级、无线网建设、 IPv6、网络安全与管理、数 、网络安全与管理、 据中心等。 据中心等。 的高校也正在进行此项工作
三、规划建设目标
１、主干网升级 线路带宽：100M/1000M升级到1000M/ 线路带宽：100M/1000M升级到1000M/ 升级到 10000M/100000M。实现线速或准线速。 10000M/100000M。实现线速或准线速。 设备性能：交换架构升级为CrossBar CrossBar＋ 设备性能：交换架构升级为CrossBar＋共 享内存架构、 架构。 享内存架构、全CrossBar 架构。
“十一五”规划建设目标 十一五” 十一五
二、规划建设目标
５、ＩＰＶ６的部署建设 、ＩＰＶ６ IPV4的局限性及不足： IPV4的局限性及不足： 的局限性及不足
–IPv4的地址严重匮乏 IPv4的地址严重匮乏 –路由表急剧膨胀 –网络安全问题严重 –服务质量难以保证
“十一五”规划建设目标 十一五” 十一五
校园网“十一五” 校园网“十一五”规划
一、规划指导思想
遵循校园网建设的基本原则： 遵循校园网建设的基本原则：网络基础设 施建设是基础，资源建设是核心， 施建设是基础，资源建设是核心，教学和科研 应用是目的，管理服务是保证。 应用是目的，管理服务是保证。 针对性： 针对性：针对校园网最主要的存在问题和 需求进行建设。 需求进行建设。 先进性与成熟性兼顾： 先进性与成熟性兼顾：即采用先进的设备 和技术，同时要考虑设备和技术的成熟性。 和技术，同时要考虑设备和技术的成熟性。 可扩充性：适当考虑。 可扩充性：适当考虑。
“十一五”规划建设目 十一五” 十一五 标
５、ＩＰＶ６的部署建设 、ＩＰＶ６ 部署IPV6的指导原则： 部署IPV6的指导原则： IPV6的指导原则 现有设备充分利用 确保应用平滑迁移 分阶段实施
“十一五”规划建设目 十一五” 十一五 标
５、ＩＰＶ６的部署建设 、ＩＰＶ６ IPV6的分阶段部署 的分阶段部署： IPV6的分阶段部署：
Server
主 干 网
磁盘阵列
e
Server
应用服务器
1000M
网络中心
新图书馆 邮件服务器 网络中心
1000M
心
服务器 1G
2
1G
1G
1G
接 入 网
100M
100M
1G
1G
100M
100M
建设现状及存在问题
二、校园网络建设现状及存在问题 1、接入网建设现状及存在问题
设备单引擎、 设备单引擎 应 启用安全规则时 100/1000兆MPLS、 100/1000、MPLS、 共享交换架构/ IPv6、 共享交换架构/ 对IPv6 兆。、 单电源， 单电源，网络单核 性能急剧下降， 性能急剧下降，或 用流量已经达到了 CrossBar＋ VPN等业务的支持不 CrossBar＋共享内 VPN等业务的支持不 骨干单链路， 心、骨干单链路 者受到攻击时， ， 者受到攻击时，CPU 很容易造成单点故 利用率升高。 利用率升高80线路带宽的80 90%， 线路带宽的80-90%， 存架构。 存架构。 。 够 障。 实际上已经成为了 交换容量小。 交换容量小。没 业务开展的瓶颈。 业务开展的瓶颈。 有实现真正的线速。 有实现真正的线速。
进行实验、 进行实验、科研 特定区域接入 IPv6 独立的IPv6实验床 实验床 独立的 /驻地网阶段 驻地网阶段
“十一五”规划建设目标 十一五” 十一五
二、规划建设目标
１、主干网升级 多业务支撑能力：支持IPv6、融合数据、 数据、 多业务支撑能力：支持 、融合数据 语音、视频等各种新的业务 新的业务。 语音、视频等各种新的业务。
“十一五”规划建设目标 十一五” 十一五
二、规划建设目标
２、接入网改造 智能性：可网管，三层交换机。 智能性：可网管，三层交换机。统一监控 与管理、统一策略下发。 与管理、统一策略下发。 安全性： 防范网络病毒、 抵御网络攻击、 安全性 ： 防范网络病毒 、 抵御网络攻击 、 故障隔离。 故障隔离。 带宽需求： 接入， 带宽需求 ： 100M接入 ， 1000M/10000M上 接入 上 全部光缆上联。 联。全部光缆上联。
建设现状及存在问题
5、安全与管理现状及存在问题 安全与管理现状及存在问题
（1）大多配置了功能单一的防火墙。但缺 大多配置了功能单一的防火墙。 乏完善的安全防范体系。 乏完善的安全防范体系。 部分学校配置了身份认证系统。 （2）部分学校配置了身份认证系统。 网络全面监控和管理的系统。 （3）缺乏对网络全面监控和管理的系统。 ）缺乏对网络全面监控和管理的系统
稳定可靠： 稳定可靠 安全防护能力： 安全防护能力： 多业务支撑： 线路带宽： 设备性能： 多业务支撑： 线路带宽 ： 设备性能
建设现状及存在问题
2、接入网建设现状及存在问题
10/100M 接入。100M/1000M 上联。 M/1000 (1 ） 10/100M 接入 。 100M/1000M 上联 。 部 分采用电缆上联。 分采用电缆上联。 （ 2 ） 不可网管或简单的可网管交换机居 多。 （3）不具病毒和攻击防范与控制能力。 ）不具病毒和攻击防范与控制能力。 （ 4） 缺乏无线接入或无线接入覆盖范围 ） 小。
网络管理系统建设目标
网络天气图： 网络天气图： 全网统一监控管理： 全网统一监控管理：
“十一五”规划建设目标 十一五” 十一五
４、数据中心建设目标
服务器集中托管； 服务器集中托管； 数据整合， 数据整合，建立公 共数据平台； 共数据平台； 整合现有存储和新 建数据存储系统， 建数据存储系统， 形成统一的数据中 心IDC； IDC； 为用户提供远程公 共存储与备份服务； 共存储与备份服务； 数据本地备份和异 地冗灾，确保关键 地冗灾， 数据安全； 数据安全； 集中统一管 理，减少管 理成本； 理成本； 提高数据共 享，确保数 据安全。 据安全。
高校校园网建设现状 十一五” 和“十一五”规划重点方向
广西大学信息网络中心 2007.7. 11
梁京章
报告提纲
一、 校园网建设现状及存在问题
1 2
校园网络及应用框架 校园网建设现状及存在问题 规划指导思想 规划重点方向 规划建设目标
二、校园网建设“十一五”规划 校园网建设“十一五”
1 2 3
建设现状及存在问题
一、校园网络及应用框架
数字校园统一门户 网 信息资源建设 网 络 基 础 设 施 数据存储 无线网络 接入网 骨干网 公共信息服务 网络计算 IPv6 出口 网 络 应 用 运
校园网络拓扑结构的层次
Internet
1000M
对外服务器群 防火墙
100M
Server
磁盘阵列
DB服务器 服务器
1000M
建设现状及存在问题
3、数据存储现状及存在问题 数据存储现状及存在问题
(1） (1）许多应用系统的数据都直接存储在单 个服务器中。服务器存储空间利用率低。 个服务器中。服务器存储空间利用率低。服务 器性能容易成应用瓶颈。 器性能容易成应用瓶颈。 （2）“信息孤岛”现象严重。 信息孤岛”现象严重。 （3）关键数据资源缺乏可靠的备份。 ）关键数据资源缺乏可靠的备份。 （4）多种存储方式并存，难于统一管理。 ）多种存储方式并存，难于统一管理。
“十一五”规划建设目标 十一五” 十一五
二、规划建设目标
２、接入网改造 易管理性：可网管，三层交换机。 易管理性：可网管，三层交换机。 无线接入：将网络延伸到校园的每个角落 无线接入：将网络延伸到校园的每个角落.
“十一五”规划建设目标 十一五” 十一五
二、规划建设目标
３、安全与管理 网络安全问题的严峻性： 网络安全问题的严峻性：互联网安全的先 天不足；安全投入严重不足； 天不足；安全投入严重不足；已经成为运营管 理的最大隐患。 理的最大隐患。 网络安全体系的构建：全方位防范， 网络安全体系的构建：全方位防范，逐步 实施。 实施。