摘要：高校校園數(shù)據(jù)網(wǎng)絡(luò)建設(shè)是高校的重要基礎(chǔ)建設(shè)項(xiàng)目，是承載高校教學(xué)、科研等先進(jìn)信息化教學(xué)環(huán)境的核心載體。文章以某校園數(shù)據(jù)網(wǎng)絡(luò)升級(jí)改造工程為依托，研究設(shè)計(jì)具備寬帶、可交互、專業(yè)性以及保障信息安全性的寬帶綜合校園網(wǎng)。對(duì)其無線網(wǎng)絡(luò)優(yōu)勢、有線建設(shè)方案以及網(wǎng)絡(luò)安全解決方案進(jìn)行深度剖析。最終設(shè)計(jì)并實(shí)現(xiàn)了高校校園完善的數(shù)據(jù)網(wǎng)絡(luò)，實(shí)現(xiàn)校園辦公網(wǎng)100G互通、寬帶上網(wǎng)以及全區(qū)域無線覆蓋，為高校校園網(wǎng)建設(shè)提供高效可行的實(shí)現(xiàn)方案。

　　關(guān)鍵詞：無線局域網(wǎng);無感知漫游;信息安全;互聯(lián)互通

　　1概述

　　隨著經(jīng)濟(jì)發(fā)展和科教興國戰(zhàn)略的實(shí)施，高等學(xué)校的校園數(shù)據(jù)網(wǎng)絡(luò)建設(shè)已經(jīng)成為學(xué)校的基礎(chǔ)建設(shè)項(xiàng)目，同時(shí)也是衡量高校信息化建設(shè)程度的重要標(biāo)志之一。校園數(shù)據(jù)網(wǎng)絡(luò)為高校師生提供教學(xué)、科研和綜合信息服務(wù)，同時(shí)，作為學(xué)校教學(xué)、科研等先進(jìn)信息化教學(xué)環(huán)境的提供載體，要求其必須具備寬帶、可交互和專業(yè)性三方面特征。校園數(shù)據(jù)網(wǎng)絡(luò)應(yīng)該能夠輔助科研、教學(xué)，提供多媒體教學(xué)軟件開發(fā)平臺(tái)、多媒體演示教室、教師備課系統(tǒng)、電子閱覽室以及教學(xué)、考試資料庫等。對(duì)于綜合性院校，還應(yīng)在校園內(nèi)形成多個(gè)互聯(lián)互通的局域網(wǎng)絡(luò)，并通過有線或無線方式連接起來。進(jìn)一步地，高校的校園數(shù)據(jù)網(wǎng)絡(luò)還應(yīng)具有教務(wù)、行政管理等功能。

　　關(guān)于校園網(wǎng)絡(luò)建設(shè)一直以來存在著不少的誤區(qū)。有些網(wǎng)絡(luò)開發(fā)商一味地追求建設(shè)投入，缺乏綜合規(guī)劃及開發(fā)應(yīng)用;有些高校在啟動(dòng)實(shí)施校園網(wǎng)建設(shè)工程后，對(duì)建成網(wǎng)絡(luò)的綜合管理以及教師、學(xué)生的應(yīng)用培訓(xùn)不夠，導(dǎo)致教學(xué)資源的開發(fā)不足，未能最大限度利用校園網(wǎng)絡(luò)的優(yōu)勢服務(wù)于高校的教學(xué)、科研及日常運(yùn)行管理。此外，隨著當(dāng)今時(shí)代信息技術(shù)的變革、革新，隨著充斥網(wǎng)絡(luò)的海量信息的出現(xiàn)，保障校園網(wǎng)安全的形勢也日益嚴(yán)峻。目前，高校校園網(wǎng)的安全防護(hù)體系尚存在一些問題，主要體現(xiàn)在以下方面，網(wǎng)絡(luò)的安全防御能力較低，極易受到病毒、黑客的影響，對(duì)移動(dòng)存儲(chǔ)介質(zhì)的上網(wǎng)監(jiān)測手段不足，缺少綜合、高效的網(wǎng)絡(luò)安全防護(hù)和監(jiān)控手段，削弱了網(wǎng)絡(luò)本身的可靠性。因此，急需對(duì)現(xiàn)有校園網(wǎng)進(jìn)行升級(jí)改造，并建立一套多層次的安全管理體系，加強(qiáng)校園網(wǎng)的安全防護(hù)和監(jiān)控能力，為校園信息化建設(shè)奠定更加良好的網(wǎng)絡(luò)安全基礎(chǔ)。

　　2無線網(wǎng)絡(luò)校園內(nèi)無感知漫游

　　WLAN具有兩個(gè)相互獨(dú)立的部分，即公共無線局域網(wǎng)接入熱點(diǎn)區(qū)域和局端網(wǎng)絡(luò)節(jié)點(diǎn)。在熱點(diǎn)區(qū)域，運(yùn)營商布置AP作為無線網(wǎng)絡(luò)的接入端口，而其用戶通過移動(dòng)終端(如筆記本電腦、PDA等)加上無線網(wǎng)卡實(shí)現(xiàn)Internet的無線接入。在局端網(wǎng)絡(luò)節(jié)點(diǎn)，可以提供認(rèn)證、漫游、計(jì)費(fèi)業(yè)務(wù)等功能。這些熱點(diǎn)的數(shù)據(jù)信息被連接到IP核心網(wǎng)，核心網(wǎng)提供了接入網(wǎng)和傳遞鑒權(quán)、計(jì)費(fèi)信息至移動(dòng)網(wǎng)絡(luò)。WLAN網(wǎng)絡(luò)主要由WLAN終端設(shè)備(WLAN網(wǎng)絡(luò)卡)、WLAN接入點(diǎn)設(shè)備(AP)、接入控制點(diǎn)(AC)、PORTAL服務(wù)器、RADIUS認(rèn)證服務(wù)器、用戶認(rèn)證信息數(shù)據(jù)庫、BOSS等系統(tǒng)組成。

　　WLAN漫游示意圖如圖1所示。這里的關(guān)鍵是用戶業(yè)務(wù)不中斷，如果STA先在AP1下線，業(yè)務(wù)中斷，一段時(shí)間后再到AP2上重新上線，重新獲取IP，則不能稱為漫游。當(dāng)然，用戶業(yè)務(wù)不中斷是指宏觀意義上的，實(shí)際上由于多種因素，如漫游前后兩個(gè)AP間的信號(hào)交疊地帶信號(hào)弱或存在空洞、終端漫游過程中需要切換信道掃描到新AP、終端需要在新老AP間切換關(guān)聯(lián)關(guān)系、終端關(guān)聯(lián)到新AP后需要重新協(xié)商密鑰、甚至重新認(rèn)證等，漫游過程中會(huì)有少量丟包。盡量減少漫游過程中的丟包、使上層業(yè)務(wù)感知不到明顯延時(shí)、卡頓，保障用戶移動(dòng)過程中業(yè)務(wù)體驗(yàn)仍能流暢自如是我們的一個(gè)重要目標(biāo)。后面可以看到我們將采取一些措施盡可能將丟包降到最低。另外，只有同一個(gè)ESS范圍內(nèi)的移動(dòng)才能稱為漫游。如果STA開始關(guān)聯(lián)SSID為“Huawei”，后來又關(guān)聯(lián)另一個(gè)SSID，則不能稱之為漫游，此時(shí)STA需要重新關(guān)聯(lián)，重新認(rèn)證，重新獲取IP，不能保障業(yè)務(wù)不中斷。

　　3校園網(wǎng)升級(jí)方案

　　本項(xiàng)目在某高校建設(shè)一張完善的校園數(shù)據(jù)網(wǎng)絡(luò)，實(shí)現(xiàn)校園辦公網(wǎng)100G互通、校園宿舍寬帶上網(wǎng)、校園區(qū)域無線覆蓋，從而滿足全校師生校園網(wǎng)絡(luò)訪問和互聯(lián)網(wǎng)訪問需求。具體網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

　　本項(xiàng)目建設(shè)1個(gè)核心機(jī)房，3個(gè)匯聚機(jī)房，5個(gè)匯聚節(jié)點(diǎn)，網(wǎng)絡(luò)建成后，可實(shí)現(xiàn)各校區(qū)、辦公樓、圖書館等重要場景100G鏈路互通，學(xué)生宿舍樓1賬號(hào)寬帶、無線上網(wǎng)，形成一套高速、可靠、安全可運(yùn)營的基礎(chǔ)承載網(wǎng)絡(luò)。具體業(yè)務(wù)流程如圖3所示。

　　4網(wǎng)絡(luò)安全解決方案

　　作為校園網(wǎng)安全的屏障，防火墻是連接內(nèi)、外層網(wǎng)絡(luò)之間信息的唯一出入口，根據(jù)具體的安全策略(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流。校園網(wǎng)絡(luò)管理員要將諸如口令、加密、身份認(rèn)證、審計(jì)等的所有安全軟件配置在防火墻上以便對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。同時(shí)利用防火墻的日志記錄功能做好備份，提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。流量分析系統(tǒng)(簡稱TA-FLOW)系統(tǒng)采用旁路式流量摘要提取技術(shù)，通過對(duì)幀數(shù)、幀長、協(xié)議、端口、標(biāo)志位、IP路由、物理路徑、CPU/RAM消耗、帶寬占用等直接特征的監(jiān)測，基于時(shí)間、拓?fù)�、�?jié)點(diǎn)等統(tǒng)計(jì)分析手段，建立現(xiàn)行流量分布數(shù)學(xué)模型并結(jié)合已知模型進(jìn)行實(shí)時(shí)比對(duì)分析，實(shí)現(xiàn)網(wǎng)絡(luò)流量分布異常監(jiān)測。系統(tǒng)采用Collector結(jié)合Con-troller技術(shù)對(duì)網(wǎng)絡(luò)流量進(jìn)行分析、檢測，并且對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)網(wǎng)絡(luò)中的DoS/DDoS攻擊、蠕蟲病毒、垃圾郵件及其他網(wǎng)絡(luò)異常事件進(jìn)行實(shí)時(shí)監(jiān)測，從中提取異常特征，根據(jù)安全機(jī)制的閾值，來啟動(dòng)報(bào)警和響應(yīng)系統(tǒng)進(jìn)行過濾、阻斷和防御。設(shè)置上網(wǎng)行為管理服務(wù)器，當(dāng)用戶通過路由器、代理軟件共享上網(wǎng)時(shí)，可以快速發(fā)現(xiàn)共享上網(wǎng)的IP、用戶名、接入的終端數(shù)，并在狀態(tài)界面顯示出來。管理員有權(quán)限設(shè)置其上網(wǎng)權(quán)限策略，比如單IP允許的最大終端數(shù)、發(fā)現(xiàn)共享即在指定時(shí)間內(nèi)凍結(jié)該用戶權(quán)限等。

　　校園網(wǎng)升級(jí)改造建設(shè)最終實(shí)現(xiàn)了包括綜合布線、有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)，辦公網(wǎng)和學(xué)生用戶網(wǎng)絡(luò)的統(tǒng)一接入。對(duì)于師生用戶，實(shí)現(xiàn)全校有線、無線等網(wǎng)絡(luò)的接入統(tǒng)一管理，統(tǒng)一以學(xué)生學(xué)號(hào)、教師工號(hào)或?qū)W校電子郵箱等唯一身份識(shí)別信息為登錄帳號(hào);現(xiàn)有網(wǎng)絡(luò)機(jī)房升級(jí)到B級(jí)，通過相關(guān)部門B類機(jī)房檢測;新建校園云端數(shù)據(jù)中心，部署高性能服務(wù)器集群、管理服務(wù)器、存儲(chǔ)服務(wù)器、高性能交換機(jī)和虛擬化軟件等;通過國家信息安全等級(jí)保護(hù)三級(jí)檢測，安全審計(jì)、認(rèn)證和管理應(yīng)能滿足公安部82號(hào)令相關(guān)要求，建設(shè)成一張完善的校園數(shù)據(jù)網(wǎng)絡(luò)，實(shí)現(xiàn)校園辦公網(wǎng)100G互通、校園宿舍寬帶上網(wǎng)、校園區(qū)域無線覆蓋，從而滿足全校師生校園網(wǎng)絡(luò)訪問和互聯(lián)網(wǎng)訪問需求。

　　參考文獻(xiàn)：

　　[1]CatherinePaquet，DianeTears.組建可擴(kuò)展的Cisco互連網(wǎng)絡(luò)[M].北京:人民郵電出版社，2002.

　　[2]唐寶民.局域網(wǎng)與城域網(wǎng)技術(shù)[M].北京：清華大學(xué)出版社，2006.

　　[3]陳偉.數(shù)據(jù)通信與計(jì)算機(jī)網(wǎng)絡(luò)[M].武漢:武漢理工大學(xué)出版社，2004.

轉(zhuǎn)載請(qǐng)注明來自：http://www.jinnzone.com/xinxianqlw/67926.html