資源描述:
《網(wǎng)絡升級技術方案》由會員上傳分享�,免費在線閱讀,更多相關內容在行業(yè)資料-天天文庫���。
1��、網(wǎng)絡升級技術方案12.1.1、項目背景***大學校園網(wǎng)經過多年的建設和升級�,已基本覆蓋全校范圍。目前網(wǎng)絡為三層結構����,核心層采用兩臺H3C的萬兆交換機S10508,匯聚層采用了12臺H3C的S5800和7503E以萬兆上聯(lián)至核心����,接入層設備主要為H3C接入交換機和銳捷接入交換機。目前采用的是基于802.1x的認證計費方式���。學生區(qū)由于采用的是銳捷網(wǎng)絡的接入設備����,所以使用的是銳捷網(wǎng)絡的認證計費系統(tǒng)SAM�����,教工宿舍采用的是H3C的接入設備,使用的是H3C的認證計費系統(tǒng)IMC�����。校園網(wǎng)現(xiàn)有網(wǎng)絡出口總帶寬1.6G�����,分別為教育網(wǎng)(300M)�、中國電信(400M)、中國聯(lián)通(400M)�、中國移動(500M)
2、��。網(wǎng)絡出口設備為一臺山石網(wǎng)科的S6000安全網(wǎng)關����,由于已購置數(shù)年,隨著近年學校出口帶寬的不斷增加��,其處理性能已不能滿足需求���。在核心交換機和出口設備之間部署了一臺神碼的千兆流控設備�����。核心交換機和網(wǎng)絡出口之間采用雙千兆鏈路捆綁連接�。傳統(tǒng)三層或者多層架構校園網(wǎng)只是滿足了基本的網(wǎng)絡互聯(lián)互通的需求,但缺乏相應的控制和管理手段�����,用戶之間互相影響��,類似ARP攻擊����、DHCP仿冒����、IP仿冒等對網(wǎng)絡的攻擊現(xiàn)象經常發(fā)生,校園網(wǎng)絡對于用戶的審計和控制功能較弱也導致了網(wǎng)絡的無序使用���,業(yè)務承載方面缺乏針對性的控制����,網(wǎng)絡帶寬被大量占用�,重要應用得不到帶寬保障,也難以實現(xiàn)靈活的基于身份、時間�、位置等的用戶控制。當前不同規(guī)
3����、模和不同區(qū)域的學校在建設高校校園網(wǎng)時普遍遇到的問題是:1)如何適應和滿足國家政策和法律法規(guī)對于校園網(wǎng)用戶的行為要求;2)如何滿足各類業(yè)務�、各類應用和不同需求的用戶的各種承載的拓展;3)如何降低校園網(wǎng)的管理難度和維護工作量����。要解決這些問題必須要從網(wǎng)絡架構和業(yè)務部署模式上面進行變革,而扁平化的架構正好切中了解決這些問題的關鍵�����。從下圖可以看出扁平化網(wǎng)絡架構將原有各層的功能在邏輯上面進行了重新界定和劃分���,使得各層設備各盡其能����,也可以看出構建和發(fā)展扁平化網(wǎng)絡架構是一個必然趨勢���。其網(wǎng)絡拓撲結構如下圖:12.1.2���、改造目標本次網(wǎng)絡改造���,學校需實現(xiàn)以下目標:l升級網(wǎng)絡出口設備,需滿足未來出口帶寬擴到5G
4��、以上的需求���,并且實現(xiàn)網(wǎng)絡出口的鏈路負載均衡和各種網(wǎng)絡安全措施�,入侵防御(IPS)�、網(wǎng)站防護(WAF)、上網(wǎng)行為管理�����、流控�、SSLVPN遠程接入訪問校內資源等����。l統(tǒng)一全校范圍內的認證計費。采用支持多種認證方式(PPPoe�、IPoe、portal)的BRAS設備�,配合統(tǒng)一的認證計費管理軟件����,實現(xiàn)與學校一卡通系統(tǒng)的整合��。l實現(xiàn)校園網(wǎng)扁平化�,構建扁平化的網(wǎng)絡架構就是將原來各個層次模糊的功能區(qū)分清晰化,不同層次之間各司其職����,有利于管理和維護,這種簡單化的架構使得網(wǎng)絡有更高的效率��。l校園網(wǎng)目前由教學網(wǎng)����、學生宿舍網(wǎng)、教育網(wǎng)�����、一卡通專網(wǎng)����、財務專網(wǎng)和科研專網(wǎng)等多個網(wǎng)絡的混合體,校園網(wǎng)的高性能還要體現(xiàn)在多個網(wǎng)
5�����、絡多個業(yè)務并發(fā)的同時保證性能不下降,實現(xiàn)在同一個物理平臺上構建出多個邏輯上完全獨立的網(wǎng)絡平臺��,這些網(wǎng)絡平臺和主網(wǎng)絡平臺還要具有相同的功能����。所以,從學校建設一卡通系統(tǒng)需提供一套邏輯隔離的專用校園網(wǎng)網(wǎng)絡��。l為學校即將建設的“一卡通數(shù)字校園”數(shù)據(jù)中心服務器群提供萬兆接入校園網(wǎng)�����。l更換和升級原有的老舊接入交換機(100臺24口����、5臺48口全千兆接入交換機)。12.1.3���、需求分析A、網(wǎng)絡出口改造需求分析目前***大學校園網(wǎng)絡規(guī)模較大�,包括核心、匯聚(各科院�、學生公寓�、校辦��、圖書館等等)���、接入的三層網(wǎng)絡架構�����;其中服務器區(qū)域部署了對外的門戶網(wǎng)站系統(tǒng)����、選課系統(tǒng)�����、正在進行新增的校園一卡通系統(tǒng)等以及對內的O
6���、A辦公系統(tǒng)����、多媒體教學系統(tǒng)等多套系統(tǒng)平臺�����;同時有多條運營商Internet出口鏈路在運行使用中。安全防護措施只在出口部署了基本的三層安全防護(防火墻)以及簡單的流控策略��。網(wǎng)絡拓撲圖如下:通過與客戶溝通交流�����,以及對學校網(wǎng)絡的分析討論�,確定湖南***大學網(wǎng)絡目前存在以下問題:1、***大學網(wǎng)絡目前沒有全網(wǎng)的入侵防護機制��,尤其缺失針對應用的攻擊檢測和防御��。2�、出口鏈路資源利用不均衡,利用率低��,未針對學院應用進行優(yōu)化:多條運營商出口鏈路�,但未進行負載均衡以及針對不同運營商DNS智能解析和智能路由。3�、不具備完善的流量管控功能,無法根據(jù)客戶不同應用進行精細化的流量識別���、管控�����;同時沒有針對公安部82號
7����、令���,對可能的上網(wǎng)行為風險進行把控,存在危害性較大的政治風險(如校內非法的上網(wǎng)行為�,涉黃、暴力���、誹謗等等信息造成的社會影響)����。4��、目前***大學網(wǎng)站無任何的應用級安全防護措施(只有傳統(tǒng)的防火墻簡單防護)�,完全暴露在攻擊環(huán)境中,存在著非常嚴重的安全風險(包括DDOS攻擊��,木馬盜鏈���,SQL注入��,網(wǎng)頁篡改等等)���。5���、***大學面向學生的選課系統(tǒng)存在一個域名,2個IP(即多臺服務器)情況���,目前采取的是輪詢機制���,但是該機制嚴重浪費服
