网络升级技术方案

网络升级技术方案

12.1.1、项目背景

***大学校园网经过多年的建设和升级，已基本覆盖全校范围。目前网络为三层结构，核心层采用两台H3C的万兆交换机S10508，汇聚层采用了12台H3C的S5800和7503E以万兆上联至核心，接入层设备主要为H3C接入交换机和锐捷接入交换机。目前采用的是基于802.1x的认证计费方式。学生区由于采用的是锐捷网络的接入设备，所以使用的是锐捷网络的认证计费系统SAM，教工宿舍采用的是H3C的接入设备，使用的是H3C的认证计费系统IMC。校园网现有网络出口总带宽1.6G，分别为教育网（300M)、中国电信（400M)、中国联通（400M)、中国移动（500M)。网络出口设备为一台山石网科的S6000安全网关，由于已购置数年，随着近年学校出口带宽的不断增加，其处理性能已不能满足需求。在核心交换机和出口设备之间部署了一台神码的千兆流控设备。核心交换机和网络出口之间采用双千兆链路捆绑连接。

传统三层或者多层架构校园网只是满足了基本的网络互联互通的需求，但缺乏相应的控制和管理手段，用户之间互相影响，类似ARP攻击、DHCP仿冒、IP仿冒等对网络的攻击现象经常发生，校园网络对于用户的审计和控制功能较弱也导致了网络的无序使用，业务承载方面缺乏针对性的控制，网络带宽被大量占用，重要应用得不到带宽保障，也难以实现灵活的基于身份、时间、位置等的用户控制。

当前不同规模和不同区域的学校在建设高校校园网时普遍遇到的问题是：

1）如何适应和满足国家政策和法律法规对于校园网用户的行为要求；

2）如何满足各类业务、各类应用和不同需求的用户的各种承载的拓展；

3）如何降低校园网的管理难度和维护工作量。

要解决这些问题必须要从网络架构和业务部署模式上面进行变革，而扁平化的架构正好切中了解决这些问题的关键。从下图可以看出扁平化网络架构将原有各层的功能在逻辑上面进行了重新界定和划分，使得各层设备各尽其能，也可以看出构建和发展扁平化网络架构是一个必然趋势。

其网络拓扑结构如下图：

12.1.2、改造目标

本次网络改造，学校需实现以下目标：

●升级网络出口设备，需满足未来出口带宽扩到5G以上的需求，并且实现网络出口的链

路负载均衡和各种网络安全措施，入侵防御（IPS)、网站防护(W AF)、上网行为管理、流控、SSL VPN远程接入访问校内资源等。

●统一全校范围内的认证计费。采用支持多种认证方式（PPPoe、IPoe、portal）的BRAS

设备，配合统一的认证计费管理软件，实现与学校一卡通系统的整合。

●实现校园网扁平化，构建扁平化的网络架构就是将原来各个层次模糊的功能区分清晰化，

不同层次之间各司其职，有利于管理和维护，这种简单化的架构使得网络有更高的效率。

●校园网目前由教学网、学生宿舍网、教育网、一卡通专网、财务专网和科研专网等多个

网络的混合体，校园网的高性能还要体现在多个网络多个业务并发的同时保证性能不下降，实现在同一个物理平台上构建出多个逻辑上完全独立的网络平台，这些网络平台和主网络平台还要具有相同的功能。所以，从学校建设一卡通系统需提供一套逻辑隔离的专用校园网网络。

●为学校即将建设的“一卡通数字校园”数据中心服务器群提供万兆接入校园网。

更换和升级原有的老旧接入交换机（100台24口、5台48口全千兆接入交换机）。

12.1.3、需求分析

A、网络出口改造需求分析

目前***大学校园网络规模较大，包括核心、汇聚（各科院、学生公寓、校办、图书馆等等）、接入的三层网络架构；其中服务器区域部署了对外的门户网站系统、选课系统、正在进行新增的校园一卡通系统等以及对内的OA办公系统、多媒体教学系统等多套系统平台；同时有多条运营商Internet出口链路在运行使用中。安全防护措施只在出口部署了基本的三层安全防护（防火墙）以及简单的流控策略。

网络拓扑图如下：

通过与客户沟通交流，以及对学校网络的分析讨论，确定湖南***大学网络目前存在以下问题：

1、***大学网络目前没有全网的入侵防护机制，尤其缺失针对应用的攻击检测和防御。

2、出口链路资源利用不均衡，利用率低，未针对学院应用进行优化：多条运营商出口

链路，但未进行负载均衡以及针对不同运营商DNS智能解析和智能路由。

3、不具备完善的流量管控功能，无法根据客户不同应用进行精细化的流量识别、管控；同时没有针对公安部82号令，对可能的上网行为风险进行把控，存在危害性较大的政治风险（如校内非法的上网行为，涉黄、暴力、诽谤等等信息造成的社会影响）。

4、目前***大学网站无任何的应用级安全防护措施（只有传统的防火墙简单防护），完全暴露在攻击环境中，存在着非常严重的安全风险（包括DDOS攻击，木马盗链，SQL注入，网页篡改等等）。

5、***大学面向学生的选课系统存在一个域名，2个IP（即多台服务器）情况，目前采取的是轮询机制，但是该机制严重浪费服务器性能，并在高峰期可能造成系统瘫痪，延误学校正常的教学课程。同样的问题在***大学其他系统中依然存在。

6、***大学服务器集群区（数据中心）目前没有单独的安全防护措施（仅出口传统防火墙简单防护），同时没有将对外系统和对内系统隔离，存在严重的安全隐患。

7、***大学目前提供对外的学校网站DNS服务，具体解决办法是分别部署3台DNS系统，通过双网卡一端连接内网，一端分别连接电信、移动、联通外网出口，电信用户访问学校网站则返回给对应网站域名的电信IP，移动、联通同样的处理模式。这种部署方式实质上将***大学整个数据中心直接暴露在外网环境中，时刻存在全数据中心被攻击的风险，同时3DNS系统的部署方式也浪费了服务器资源，降低了资源利用率。

通过对客户系统现状的了解分析，以及与客户的沟通交流，确定本次安全建设需求如下：

1、整网入侵防御系统：针对现在流行的以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击，需要在核心链路部署入侵防御系统对整网的应用层入侵提供安全保障。

2、WEB应用安全防护：此次web系统作为对外企业门户网站系统平台，需要考虑在Internet上的安全因素，如跨站脚本攻击、网页篡改、DDOS攻击、SQL注入攻击、溢出攻击等等。而WEB应用的安全防护，需要通过主动与被动结合，事前防御和事后弥补的多层次手段来达到防护目的。

3、链路及系统优化：

a链路负载：1、inbond：根据访问源所属运营商，通过DNS智能解析将访问反馈数据发送到对应运营商链路，提高用户体验。2、outbond：由于客户现网拥有多条出口链路，为了使客户带宽资源利用率提高，以及优化Internet访问，需要根据访问目的IP、域名DNS解析地址等等对出口链路进行负载均衡。