广州城建职业学院校园网升级改造措施

来源:网络(转载) 作者:乔俊峰 发表于:2011-08-15 13:41  点击:
【关健词】校园网;网速度慢;网络安全;认证服务器;防火墙
该文讨论了对校园网进行了升级工作内容、分析了校园网速度慢、网络安全问题的原因,通过通过部署基于802.1X的RADIUS全网统一认证服务器、锐捷RG-1600带路由、网络地址转换(NAT)、虚拟专用网络(VPN)功能的防火墙解决了网络速度慢及网络安全问题。

2010年3月致5月,广州城建职业学院学院进行了网络管理系统的升级整改工作,作者有幸参与了校园网第三期工程方案的规划、设计并组织参与了整个项目的招标、评标、工程建设、并承担了该网络的运维工作,该三期网络项目共投入经费275万元。该项目的具体介绍如下:
  1 网络现况
  1.1 覆盖范围
  该校园网于1999年开始建设,经过一二期的建设,已有信息点15000余个,网络采用了三层网络架构,信息点都采用了UTP5 类双绞线连接致接入交换机、接入交换机有实达1926+和部分长城6126承担。接入层交换机通过双绞线汇入到每层的汇聚交换机上,汇聚交换机有CISCO3550承担,汇聚交换机再通过单模光纤接入核心交换机4006上。该校共有两个校区,校区之间相距大概1公里左右,校区面积加起来共有1000余亩。,校园内共有14栋楼房,4栋是学生宿舍楼,3栋教师宿舍楼,2栋教学楼,实训楼(1楼是图书馆和电子阅览室,2楼是实验教室,3到7楼是计算机教室,其中4楼为校园网络中心)、办公楼、体育馆、商店、学生食堂各有1栋,楼与楼之间的距离:40-1000米;园内有管道敷设。
  1.2 信息点的特点
  这方面的需求不同学校有着明显不同,大体都可以分为,教学、办公、服务这四方面应用。如对教学、科研方面的网络设计应考虑稳定、扩展、安全等问题;办公、服务等带宽是要着重考虑的方面,所以学校应该根据自己的实际情况来考虑网络的结构,及安全问题。
  1.3 软硬件配置
  接入交换机由实达1926+和部分长城6126承担,汇聚层交换机由CISCO3550承担,汇聚交换机再通过单模光钎接入核心交换机CISCO 4006上。网关由redhat9.0服务器承担,在此上运行了NAT和计费软件。出口有两个分别是100M的chinanet电信网络和10M的cernet教育网络。
  1.4 当前管理模式
  由于校园网络采用基于IP网关的认证计费方式,网络用户登录外网必须在网关出口处认证,网络使用高峰时段网络系统出现瓶颈,导致网络用户登录外网困难、上网掉线。无管理软件,全是管理人员手工进行管理。
  2 当前存在的管理问题
  2.1 网速问题
  开学以来新开用户剧增,总用户数量较大,较前期最高增加30%,最大同时在线人数已达6000以上,现有校园网络系统(网络认证计费系统、出口带宽、交换设备等)不堪重负,已超出其使用极限,网络结构及网络设备在近期的运行中暴露出诸多问题,主要表现在:
  2.1.1 网络结构不合理
  由于校园网络采用基于IP网关的认证计费方式,网络用户登录外网必须在网关出口处认证,网络使用高峰时段网络系统出现瓶颈,导致网络用户登录外网困难、上网掉线;
  2.1.2 网络主要设备性能不够
  由于专用的路由和NAT(网络地址转换)硬件设备由服务器替代,网络使用高峰时段服务器资源利用率接近100%,导致用户上网速度慢,打开网页困难;
  2.1.3 网络出口带宽不够
  现有出口带宽(CHIANNET:100M,CERNET:10M)不能满足现有校园网络用户的上网要求,网络使用高峰时段出口带宽一直处于满负载状态;
  2.2 网络安全问题
  网络整体安全性较差:在校园网络前期建设中使用的交换机性能较好,但无法进行有效的网络安全管理,盗用IP地址、利用ARP欺骗、私设代理等情况日益严重;
  2.3 网络失控
  网络管理难度加大:随着接入用户的增加,无论是维护、收费还是管理难度越来越大,网络设备的维护工作量剧增;内网资源少:校园网络没有建立内网资源库、学习资源库平台、安全稳定的邮件系统,为用户提供的应用服务少。在校园网络前期建设中使用的交换机性能较好,但无法进行有效的网络安全管理,盗用IP地址、利用ARP欺骗、私设代理等情况日益严重;
  现有出口带宽(CHIANNET:100M,CERNET:10M)不能满足现有校园网络用户的上网要求,网络使用高峰时段出口带宽一直处于满负载状态;由于专用的路由和NAT(网络地址转换)硬件设备由服务器替代,网络使用高峰时段服务器资源利用率接近100%,导致用户上网速度慢,打开网页困难。
  3 整改思路
  根据此种情况,计划在近期进行校园网的改造升级,提出了校园网的升级改造要求:
  1) 校园网是应用为主的一项基本建设工程,校园网应将其根本目的定位在为教学、科研、管理及生活服务上,以满足学校事业发展为第一目的;
  2) 根据学校的财政状况,不盲目追求设备的先进性,而注重投资的效益;
  3) 充分利用先进的网络技术及设备满足校园网要求,所采用的技术及设备具有满足近期(3年内)学校发展的需求并有较大的升级改选余地;
  4) 强化管理功能,校园网建设重要,管理更重要。要管理好校园网,除了网管人员的专业素质和道德水准外,网络的规划和设计、网络设备的选择非常重要;
  5) 校园网络建设的重点是应用,各种网络应用与服务需要开展。
  4 整改实施方案
  4.1 拓扑结构
  一个好的校园网设计应该是一个分层的设计,在本次网络工程方案设计中仍然采用三个层结构:接入层(访问层)、汇聚层、以及核心层。案设计中仍然采用三个层结构:接入层(访问层)、汇聚层、以及核心层。考虑到两个校区人员都比较多,核心交换机CISCO 4006明显不堪重负,且南校区汇聚层都直接接入核心,南北校区之间的光纤已经无冗余,股采购一个全新的性能高好的核心交换机,把现在的CISCO4006潜入南区,作为南区的核心交换机,这样南区以后再建网络项目可以直接接入它即可。本次核心交换机我们选择了锐捷RG8606三层交换机,该交换机具备冗余电源模块,有10/100/1000B ASE-T电口60个,1000BASE-LX接口数40个,并有扩展槽。能够满足当前以及今后3-5年需要。接入交换机选择RG-2150G交换机,该交换机具有802.1x认证功能,具有50口,只需要20台,每台通过双绞线连接致汇聚交换机3550上,汇聚交换机通过光纤连接时南区的CISCO 4006上,使用多链路捆绑技术,从而达到带宽倍增,均衡流量等目的。
  4.2 网络安全控制
  部署了基于802.1X的RADISU认证服务的SAM系统,做到全网统一身份认证,SAM系统实现了全体学生宿舍、教师宿舍、办公区域和公用机房的身份认证。系统基于802.1X技术,实现了对用户对用户的身份和IP、MAC、交换机端口、交换机IP等信息严格绑定,一旦出现安全事件,可迅速追查到人;针对网络中的安全事件(网络攻击、异常数据流、蠕虫病毒等),能够自动发现,并可以依据预定的策略自动进行处理,保障网络安全,提供强大的实时在线升级功能,抵御最新的网络攻击和病毒。对于存在安全问题的用户,系统将自动告警,提示用户可能存在的问题,以及处理方式;提升用户安全意识,让用户切身体会到安全问题的严重性,网络安全组件统一管理,协同工作。构建一个全局安全网络。整套系统管理简单,后期需投入的管理工作量小,所有安全设备均旁路部署,不形成性能瓶颈和单点故障;部署完成后将极大的提升现有网络性能。 (责任编辑:南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网)

顶一下
(0)
0%
踩一下
(0)
0%


版权声明:因本文均来自于网络,如果有版权方面侵犯,请及时联系本站删除.