摘要：高校校園數(shù)據網絡建設是高校的重要基礎建設項目，是承載高校教學、科研等先進信息化教學環(huán)境的核心載體。文章以某校園數(shù)據網絡升級改造工程為依托，研究設計具備寬帶、可交互、專業(yè)性以及保障信息安全性的寬帶綜合校園網。對其無線網絡優(yōu)勢、有線建設方案以及網絡安全解決方案進行深度剖析。最終設計并實現(xiàn)了高校校園完善的數(shù)據網絡，實現(xiàn)校園辦公網100G互通、寬帶上網以及全區(qū)域無線覆蓋，為高校校園網建設提供高效可行的實現(xiàn)方案。

　　關鍵詞：無線局域網;無感知漫游;信息安全;互聯(lián)互通

　　1概述

　　隨著經濟發(fā)展和科教興國戰(zhàn)略的實施，高等學校的校園數(shù)據網絡建設已經成為學校的基礎建設項目，同時也是衡量高校信息化建設程度的重要標志之一。校園數(shù)據網絡為高校師生提供教學、科研和綜合信息服務，同時，作為學校教學、科研等先進信息化教學環(huán)境的提供載體，要求其必須具備寬帶、可交互和專業(yè)性三方面特征。校園數(shù)據網絡應該能夠輔助科研、教學，提供多媒體教學軟件開發(fā)平臺、多媒體演示教室、教師備課系統(tǒng)、電子閱覽室以及教學、考試資料庫等。對于綜合性院校，還應在校園內形成多個互聯(lián)互通的局域網絡，并通過有線或無線方式連接起來。進一步地，高校的校園數(shù)據網絡還應具有教務、行政管理等功能。

　　關于校園網絡建設一直以來存在著不少的誤區(qū)。有些網絡開發(fā)商一味地追求建設投入，缺乏綜合規(guī)劃及開發(fā)應用;有些高校在啟動實施校園網建設工程后，對建成網絡的綜合管理以及教師、學生的應用培訓不夠，導致教學資源的開發(fā)不足，未能最大限度利用校園網絡的優(yōu)勢服務于高校的教學、科研及日常運行管理。此外，隨著當今時代信息技術的變革、革新，隨著充斥網絡的海量信息的出現(xiàn)，保障校園網安全的形勢也日益嚴峻。目前，高校校園網的安全防護體系尚存在一些問題，主要體現(xiàn)在以下方面，網絡的安全防御能力較低，極易受到病毒、黑客的影響，對移動存儲介質的上網監(jiān)測手段不足，缺少綜合、高效的網絡安全防護和監(jiān)控手段，削弱了網絡本身的可靠性。因此，急需對現(xiàn)有校園網進行升級改造，并建立一套多層次的安全管理體系，加強校園網的安全防護和監(jiān)控能力，為校園信息化建設奠定更加良好的網絡安全基礎。

　　2無線網絡校園內無感知漫游

　　WLAN具有兩個相互獨立的部分，即公共無線局域網接入熱點區(qū)域和局端網絡節(jié)點。在熱點區(qū)域，運營商布置AP作為無線網絡的接入端口，而其用戶通過移動終端(如筆記本電腦、PDA等)加上無線網卡實現(xiàn)Internet的無線接入。在局端網絡節(jié)點，可以提供認證、漫游、計費業(yè)務等功能。這些熱點的數(shù)據信息被連接到IP核心網，核心網提供了接入網和傳遞鑒權、計費信息至移動網絡。WLAN網絡主要由WLAN終端設備(WLAN網絡卡)、WLAN接入點設備(AP)、接入控制點(AC)、PORTAL服務器、RADIUS認證服務器、用戶認證信息數(shù)據庫、BOSS等系統(tǒng)組成。

　　WLAN漫游示意圖如圖1所示。這里的關鍵是用戶業(yè)務不中斷，如果STA先在AP1下線，業(yè)務中斷，一段時間后再到AP2上重新上線，重新獲取IP，則不能稱為漫游。當然，用戶業(yè)務不中斷是指宏觀意義上的，實際上由于多種因素，如漫游前后兩個AP間的信號交疊地帶信號弱或存在空洞、終端漫游過程中需要切換信道掃描到新AP、終端需要在新老AP間切換關聯(lián)關系、終端關聯(lián)到新AP后需要重新協(xié)商密鑰、甚至重新認證等，漫游過程中會有少量丟包。盡量減少漫游過程中的丟包、使上層業(yè)務感知不到明顯延時、卡頓，保障用戶移動過程中業(yè)務體驗仍能流暢自如是我們的一個重要目標。后面可以看到我們將采取一些措施盡可能將丟包降到最低。另外，只有同一個ESS范圍內的移動才能稱為漫游。如果STA開始關聯(lián)SSID為“Huawei”，后來又關聯(lián)另一個SSID，則不能稱之為漫游，此時STA需要重新關聯(lián)，重新認證，重新獲取IP，不能保障業(yè)務不中斷。

　　3校園網升級方案

　　本項目在某高校建設一張完善的校園數(shù)據網絡，實現(xiàn)校園辦公網100G互通、校園宿舍寬帶上網、校園區(qū)域無線覆蓋，從而滿足全校師生校園網絡訪問和互聯(lián)網訪問需求。具體網絡結構如圖2所示。

　　本項目建設1個核心機房，3個匯聚機房，5個匯聚節(jié)點，網絡建成后，可實現(xiàn)各校區(qū)、辦公樓、圖書館等重要場景100G鏈路互通，學生宿舍樓1賬號寬帶、無線上網，形成一套高速、可靠、安全可運營的基礎承載網絡。具體業(yè)務流程如圖3所示。

　　4網絡安全解決方案

　　作為校園網安全的屏障，防火墻是連接內、外層網絡之間信息的唯一出入口，根據具體的安全策略(允許、拒絕、監(jiān)測)出入網絡的信息流。校園網絡管理員要將諸如口令、加密、身份認證、審計等的所有安全軟件配置在防火墻上以便對網絡存取和訪問進行監(jiān)控審計。同時利用防火墻的日志記錄功能做好備份，提供網絡使用情況的統(tǒng)計數(shù)據。流量分析系統(tǒng)(簡稱TA-FLOW)系統(tǒng)采用旁路式流量摘要提取技術，通過對幀數(shù)、幀長、協(xié)議、端口、標志位、IP路由、物理路徑、CPU/RAM消耗、帶寬占用等直接特征的監(jiān)測，基于時間、拓撲、節(jié)點等統(tǒng)計分析手段，建立現(xiàn)行流量分布數(shù)學模型并結合已知模型進行實時比對分析，實現(xiàn)網絡流量分布異常監(jiān)測。系統(tǒng)采用Collector結合Con-troller技術對網絡流量進行分析、檢測，并且對網絡進行實時監(jiān)控，對網絡中的DoS/DDoS攻擊、蠕蟲病毒、垃圾郵件及其他網絡異常事件進行實時監(jiān)測，從中提取異常特征，根據安全機制的閾值，來啟動報警和響應系統(tǒng)進行過濾、阻斷和防御。設置上網行為管理服務器，當用戶通過路由器、代理軟件共享上網時，可以快速發(fā)現(xiàn)共享上網的IP、用戶名、接入的終端數(shù)，并在狀態(tài)界面顯示出來。管理員有權限設置其上網權限策略，比如單IP允許的最大終端數(shù)、發(fā)現(xiàn)共享即在指定時間內凍結該用戶權限等。

　　校園網升級改造建設最終實現(xiàn)了包括綜合布線、有線網絡、無線網絡，辦公網和學生用戶網絡的統(tǒng)一接入。對于師生用戶，實現(xiàn)全校有線、無線等網絡的接入統(tǒng)一管理，統(tǒng)一以學生學號、教師工號或學校電子郵箱等唯一身份識別信息為登錄帳號;現(xiàn)有網絡機房升級到B級，通過相關部門B類機房檢測;新建校園云端數(shù)據中心，部署高性能服務器集群、管理服務器、存儲服務器、高性能交換機和虛擬化軟件等;通過國家信息安全等級保護三級檢測，安全審計、認證和管理應能滿足公安部82號令相關要求，建設成一張完善的校園數(shù)據網絡，實現(xiàn)校園辦公網100G互通、校園宿舍寬帶上網、校園區(qū)域無線覆蓋，從而滿足全校師生校園網絡訪問和互聯(lián)網訪問需求。

　　參考文獻：

　　[1]CatherinePaquet，DianeTears.組建可擴展的Cisco互連網絡[M].北京:人民郵電出版社，2002.

　　[2]唐寶民.局域網與城域網技術[M].北京：清華大學出版社，2006.

　　[3]陳偉.數(shù)據通信與計算機網絡[M].武漢:武漢理工大學出版社，2004.

轉載請注明來自：http://www.jinnzone.com/xinxianqlw/67926.html