网络升级技术方案

网络升级技术方案12.1.1、项目背景***大学校园网经过多年的建设和升级，已基本覆盖全校范围。目前网络为三层结构，核心层采用两台H3C 的万兆交换机S10508，汇聚层采用了12台H3C 的S580

网络升级技术方案

12.1.1、项目背景

***大学校园网经过多年的建设和升级，已基本覆盖全校范围。目前网络为三层结构，核心层采用两台H3C 的万兆交换机S10508，汇聚层采用了12台H3C 的S5800和7503E 以万兆上联至核心，接入层设备主要为H3C 接入交换机和锐捷接入交换机。目前采用的是基于802.1x 的认证计费方式。学生区由于采用的是锐捷网络的接入设备，所以使用的是锐捷网络的认证计费系统SAM ，教工宿舍采用的是H3C 的接入设备，使用的是H3C 的认证计费系统IMC 。校园网现有网络出口总带宽1.6G ，分别为教育网（300M) 、中国电信（400M) 、中国联通（400M) 、中国移动（500M) 。网络出口设备为一台山石网科的S6000安全网关，由于已购置数年，随着近年学校出口带宽的不断增加，其处理性能已不能满足需求。在核心交换机和出口设备之间部署了一台神码的千兆流控设备。核心交换机和网络出口之间采用双千兆链路捆绑连接。

传统三层或者多层架构校园网只是满足了基本的网络互联互通的需求，但缺乏相应的控制和管理手段，用户之间互相影响，类似ARP 攻击、DHCP 仿冒、IP 仿冒等对网络的攻击现象经常发生，校园网络对于用户的审计和控制功能较弱也导致了网络的无序使用，业务承载方面缺乏针对性的控制，网络带宽被大量占用，重要应用得不到带宽保障，也难以实现灵活的基于身份、时间、位置等的用户控制。

当前不同规模和不同区域的学校在建设高校校园网时普遍遇到的问题是：

1）如何适应和满足国家政策和法律法规对于校园网用户的行为要求；

2）如何满足各类业务、各类应用和不同需求的用户的各种承载的拓展；

3）如何降低校园网的管理难度和维护工作量。

要解决这些问题必须要从网络架构和业务部署模式上面进行变革，而扁平化的架构正好切中了解决这些问题的关键。从下图可以看出扁平化网络架构将原有各层的功能在逻辑上面进行了重新界定和划分，使得各层设备各尽其能，也可以看出构建和发展扁平化网络架构是一个必然趋势。

其网络拓扑结构如下图：

12.1.2、改造目标

本次网络改造，学校需实现以下目标：

● 升级网络出口设备，需满足未来出口带宽扩到5G 以上的需求，并且实现网络出口的链

路负载均衡和各种网络安全措施，入侵防御（IPS) 、网站防护(WAF) 、上网行为管理、流控、SSL VPN远程接入访问校内资源等。

● 统一全校范围内的认证计费。采用支持多种认证方式（PPPoe 、IPoe 、portal ）的BRAS

设备，配合统一的认证计费管理软件，实现与学校一卡通系统的整合。

● 实现校园网扁平化，构建扁平化的网络架构就是将原来各个层次模糊的功能区分清晰化，

不同层次之间各司其职，有利于管理和维护，这种简单化的架构使得网络有更高的效率。 ● 校园网目前由教学网、学生宿舍网、教育网、一卡通专网、财务专网和科研专网等多个

网络的混合体，校园网的高性能还要体现在多个网络多个业务并发的同时保证性能不下降，实现在同一个物理平台上构建出多个逻辑上完全独立的网络平台，这些网络平台和主网络平台还要具有相同的功能。所以，从学校建设一卡通系统需提供一套逻辑隔离的专用校园网网络。

● 为学校即将建设的“一卡通数字校园”数据中心服务器群提供万兆接入校园网。 ● 更换和升级原有的老旧接入交换机（100台24口、5台48口全千兆接入交换机）。 12.1.3、需求分析

A 、网络出口改造需求分析

目前***大学校园网络规模较大，包括核心、汇聚（各科院、学生公寓、校办、图书馆等等）、接入的三层网络架构；其中服务器区域部署了对外的门户网站系统、选课系统、正在进行新增的校园一卡通系统等以及对内的OA 办公系统、多媒体教学系统等多套系统平台；同时有多条运营商Internet 出口链路在运行使用中。安全防护措施只在出口部署了基本的三层安全防护（防火墙）以及简单的流控策略。

网络拓扑图如下：

通过与客户沟通交流，以及对学校网络的分析讨论，确定湖南***大学网络目前存在以下问题：

1、***大学网络目前没有全网的入侵防护机制，尤其缺失针对应用的攻击检测和防御。

2、出口链路资源利用不均衡，利用率低，未针对学院应用进行优化：多条运营商出口链路，但未进行负载均衡以及针对不同运营商DNS 智能解析和智能路由。

3、不具备完善的流量管控功能，无法根据客户不同应用进行精细化的流量识别、管控；同时没有针对公安部82号令，对可能的上网行为风险进行把控，存在危害性较大的政治风险（如校内非法的上网行为，涉黄、暴力、诽谤等等信息造成的社会影响）。

4、目前***大学网站无任何的应用级安全防护措施（只有传统的防火墙简单防护），完全暴露在攻击环境中，存在着非常严重的安全风险（包括DDOS 攻击，木马盗链，SQL 注入，网页篡改等等）。

5、***大学面向学生的选课系统存在一个域名，2个IP （即多台服务器）情况，目前采取的是轮询机制，但是该机制严重浪费服务器性能，并在高峰期可能造成系统瘫痪，延误学校正常的教学课程。同样的问题在***大学其他系统中依然存在。

6、***大学服务器集群区（数据中心）目前没有单独的安全防护措施（仅出口传统防火墙简单防护），同时没有将对外系统和对内系统隔离，存在严重的安全隐患。

7、***大学目前提供对外的学校网站DNS 服务，具体解决办法是分别部署3台DNS 系统，通过双网卡一端连接内网，一端分别连接电信、移动、联通外网出口，电信用户访问学校网站则返回给对应网站域名的电信IP ，移动、联通同样的处理模式。这种部署方式实质上将***大学整个数据中心直接暴露在外网环境中，时刻存在全数据中心被攻击的风险，同时3DNS 系统的部署方式也浪费了服务器资源，降低了资源利用率。

通过对客户系统现状的了解分析，以及与客户的沟通交流，确定本次安全建设需求如下：

1、整网入侵防御系统：针对现在流行的以蠕虫、木马、间谍软件、DDoS 攻击、带宽滥用为代表的应用层攻击，需要在核心链路部署入侵防御系统对整网的应用层入侵提供安全保障。

2、WEB 应用安全防护：此次web 系统作为对外企业门户网站系统平台，需要考虑在Internet 上的安全因素，如跨站脚本攻击、网页篡改、DDOS 攻击、SQL 注入攻击、溢出攻击等等。而WEB 应用的安全防护，需要通过主动与被动结合，事前防御和事后弥补的多层次手段来达到防护目的。

3、链路及系统优化：

a 链路负载：1、inbond ：根据访问源所属运营商，通过DNS 智能解析将访问反馈数据发送到对应运营商链路，提高用户体验。2、outbond ：由于客户现网拥有多条出口链路，为了使客户带宽资源利用率提高，以及优化Internet 访问，需要根据访问目的IP 、域名DNS

解析地址等等对出口链路进行负载均衡。

b 服务器负载：由于***大学内外系统平台的访问频繁及高流量、高峰值的特性，所以需要对系统服务器群进行访问优化，根据每台服务器实时性能状态、资源耗用率，链路质量等等因素对业务系统进行负载均衡

4、流量控制及上网审计需求：根据公安部第82号令，以及学校自身办公效率提升诉求，需要针对网络出口不同流量进行智能分析处理，保障关键应用流量，限制无关应用，同时规范师生上网行为，防止非法上网行为给学校造成不良的社会影响。

5、DNS 智能解析需求：根据不同运营商访问源及目的，智能选择流量路径。

6、可对全网安全防护设备进行统一平台管理，解决网络异构管理难题。

B 、统一认证系统需求分析

***大学目前使用的是基于802.1x 协议的H3C 公司和锐捷公司的两套不同认证计费系统。随着网络规模的扩大，网络应用的增多，采用该协议的认证计费逐渐遇到很多问题，主要表现在：

该协议设计之初，本是为了解决无线接入认证计费问题，为了将其引入以太网进行认证计费，不同接入交换机生产厂家对其进行了相应改造，从而导致不同厂商对该协议有不同的私有化，进而存在兼容问题，客户如果要想新购设备，就必须购买与认证系统同一品牌交换机，否则无法接入网络；第二，要在以太网上有效的使用该协议，就必须安装与设备厂商配套的802.1x 客户端软件，而且该软件与操作系统的TCP/IP协议栈是强耦合关系，所以对应不同的操作系统（如Windows 、MAC OS、Linux 等）的不同版本，就有不同的客户端版本，导致软件兼容性问题，这给网络运维人员带来无尽的维护工作量；第三，目前的802.1x 系统，无法按照校内/校外以及免费/收费流量进行统计，所以无法实现按照不同流量的分离计费。此外，采用802.1X 的认证计费方式无法实现统一端口下，多台终端同时上网问题（即家属区用户无法通过家用soho 路由设备实现多台终端上网）。然而，这种应用需求越来越强烈。最后，家用网络电视、网络冰箱或者物联网终端，上网如何认证计费问题，也困扰着网络管理者。因此，需要对认证计费系统进行改造，建设统一的网络认证平台，实现准入和准出的控制及按流量的认证计费。准出控制系统，采用网关型的准出控制系统，对校园用户进行准出控制。可以有效识别用户的收费/免费流量，同时通过与统一认证计费平台的协同工作，可以有效控制用户是否具有外网访问权限，进而控制用户访问外网的带宽。准入控制实

现基于pppoe 、ipoe 及portal 的准入控制。网络中不同区域灵活选择认证策略。

统一认证计费平台的建设需要满足一下场景的需求：

1、 为保障未来五年内业务量的快速增长，核心网络需要具备T 级别的交换容量；

2、 支持有线无线一体化接入。Portal 与PPPOE 方式均需支持；

3、 可实现对于学生访问学校内网不认证、不计费，只有在访问外网时才认证、计费；

4、 学生上网行为可监管，上网记录可溯源；

5、 教师在办公区办公时上网进行认证不计费，在家属区上网时进行计费。另外要求，

教师在办公区上线时，也要能够支持同一账户在家属区同时上线，并且进行计费的功能。

6、 对于学生和用户的账户有一个暂停计费的功能，比如学生采取包月的形式，如果1

号交钱，学生5号放暑假，如果学生在自助网页上选择5号暂停服务，则系统计费的时间段应能够往下一个月自动后移；

7、 计费系统应有针对用户进行时间补偿的功能，应用场景：如果某一地块网络故障，

则需要对该地块的上线用户赠送5天免费上网的补偿。

8、 对于导师带领学生做项目和教师带领学生勤工俭学的场景，需要支持主账号和附属

账号的功能，比如一个导师的主免费账号下，下挂20个附属账号也属于免费账号，并且上线时做单独的账户和密码认证。

9、 主账号和附属账户的模式也须支持学校科研项目申请的方式，并支持收费。比如：

学校一名教师申请了一个科研课题，拿出一定经费申请一个项目科研主账号和多个子账号开展工作，此时对该团队的项目的上网计费仅需计费主账号，主账号一旦计费时间截止，则所有子账号也均不能再上网。

10、 支持对于各个学院的专线接入开会功能，如实验室采用专线接入，则应支持对专线

用户开户，开户后对专线用户的整体接入带宽和不对下面的接入用户再进行认证和计费限制；

11、 对于打印机等哑终端的接入做MAC 地址认证和IP 绑定；

12、 全网IPv4/V6双栈部署，并充分考虑向全IPv6网络的过渡；

13、 考虑运营商用户接入，校方和运营商之间在用户认证计费管理运维上能实现协同；

C 、网络扁平化需求分析

使校园网的功能划分更清晰，核心层设备由于性能很强可以对新功能新业务能够提供良好的支持，汇聚层和接入层只需要考虑接入端口的扩充、上行带宽的增加，管理上面显得更加简单；校园网扁平化网络并不是意味着网络物理层次的减少，而是网络逻辑层次的扁平。构建扁平化的网络架构就是将原来各个层次模糊的功能区分清晰化，不同层次之间各司其职，有利于管理和维护，这种简单化的架构使得网络有更高的效率。由三层结构变为二层结构，在这种网络架构下面可以使用高性能多业务路由器作为整个网络的核心设备替代原有架构的高端三层交换机，使更多的组播、线速转发、用户论证和审计等核心工作由功能和性能均强大的设备来完成，从而实现整个校园网的高性能。

对原有校园网架构升级改造为扁平化的网络架构后对于系统管理员和普通用户而言，其应用效果表现在：

1）一个简单的的网络架构：也就是将原有的多达三层或更多层的校园网结构简化为了二层结构，即业务控制层（核心网络层）和宽带接入层（接入层），在逻辑意义上面实现了网络结构的平滑过渡。

2）一个多业务的系统：指网络平台支持用户接入、认证、审计、计费、带宽管理、行为控制，同时也支持MPLS VPN、IPv6、组播业务的应用和快速部署。

3）一个统一身份认证的平台：实现了有线、无线用户的任意漫游，也实现了不同系统之间用户的统一认证，避免重复地多次认证，提高用户了体验。

4）一个透明的网络：校园网对用户仍然是透明的，用户无需关心网络流量如何转发，用户无论在哪里登录，都可以获得相同的访问权限和带宽保障。

D 、一卡通专网需求分析

随着微电子技术、计算机技术、网络技术、通讯技术的飞速发展，“数字化校园”已经不单单是一个概念，各大高校已经陆陆续续地开始对校园网进行数字化建设。其中，校园“一卡通”系统以其便捷、高效、安全、环保等特点成为了数字化校园建设的重要组成部分。 校园“一卡通”以智能卡为信息载体，融合了各领域诸多高新科技，使其具有电子身份识别和电子钱包的功能。能够替代校园内日常生活所需各种证件以及完成校园内的各种支付

业务，如：饭卡、医疗卡、上网卡等。最终达到教、学、考、评、住、用的全面数字化和网络化，真正实现了“一卡在手，走遍校园”。

***大学的校园主干网部分是整个校园一卡通系统的核心，消费结算中心各种数据服务器和各种自助圈存设备通过校园主干网与各终端设备和银行网络的前置机进行通信。为了保证网络系统的安全性和便于管理，一般采用专网形式，独立于校园网。一卡通网络可以采用基于校园网的内部虚拟专用网(virtualprivatenetwork)，即在校园网络基础设施上建成的专用数据通信网络。数据通过安全的加密隧道在校园网中传输，从而保证通信的保密性。vpn 与一般网络互联的关键区别在于用户的数据通过校园网中建立逻辑隧道进行传输，数据包经过加密后，按隧道协议进行封装、传送，并通过相应的认证技术来实现网络数据的专有性。

校园网一卡通主干网(高速以太网) 部分，要求所有的以太网设备在vlan 部分和现有的校园网设备隔离，保证现有的校园网和一卡通部分是两个网络，设备不允许互相访问。同时为了共享已有的校园网资源，所以，一卡通与校园网采用防火墙进行单通道连接，保证一卡通网络能访问校园网数据，如：信息化校园建设必不可少的对统一身份认证服务器和门户网站的访问。但校园网不能随意访问一卡通专网，这样将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，使得一卡通网络上的设备能够安全、稳定的运行。

一卡通网络结构可以分为三层。一卡通网络的中心层，是以数据库服务器为中心的局域网的分布式结构。中心层设置中心交换机，与身份认证系统，卡务管理机，结算管理机，结算中心服务器一起构成一卡通网络与结算中心，它是一卡通系统的管理平台、身份认证平台和数据库中心。通过光缆与各结点相连与一卡通网络的中心组成第一层网络结构，设置二级交换机。第三层为以第一层局域网的网络工作站作为控制主机的控制各个ic 卡收费终端的网络。连接到专网的串口设备子网，以及专网计算机校园网和银行金融网的接口，要同期设计建设。一卡通专网采用tcp/ip网络协议。整个一卡通专网所用交换机，建议采用端口mac 地址绑定，使每个端口只能设置唯一的ip 地址，连接特定的设备，从而保证了整个网络的安全性。

通过网络分段实现

首先是网络分段。在实际应用过程中，通常采取物理分段(即在物理层和数据链路层) 上分为若干网段与逻辑分段(即把网络分成若干ip 子网) 相结合的方法来实现对网络系统的安全性控制。

其次，关于vlan 的实现。虚拟网技术主要基于近年高速发展的局域网交换技术(atm和

以太网交换) 。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。以太网从本质上基于广播机制，但应用了交换机和vlan 技术后，实际上转变为点到点通讯。如上图，不同系统在网上划分为不同的虚拟网，如“一卡通”卡务中心和消费系统划分在不同的vlan 段，通过以下相应的vlan 划分方法来提高网络安全。

1、基于端口的vlan ，就是将交换机中的若干个端口定义为一个vlan ，同一个vlan 中的计算机具有相同的网络地址，不同vlan 之间进行通讯需要通过三层路由协议，并配合mac 地址的端口过滤，就可以防止非法入侵和ip 地址的盗用问题。

2、基于mac 地址的vlan ，这种vlan 一旦划分完成，无论节点在网络上怎样移动，由于mac 地址保持不变，因此不需要重新配置。但是如果新增加节点的话，需要对交换机进行复杂的配置，以确定该节点属于哪一个vlan 。

3、基于ip 地址的vlan ，新增加节点时，无须进行太多配置，交换机根据ip 地址会自动将其划分到不同的vlan 。这中vlan 智能化最高，实现最复杂。一旦离开该vlan ，原ip 地址将不可用，从而防止了非法用户通过修改ip 地址来越权使用资源。

E 、数据中心网络需求分析

数据中心交换机负责整个校园网数据中心平台上应用业务数据的高速交换。两台数据中心交换机分别与计算池、存储池、WEB 应用服务器以及管理区连接，数据中心交换机与计算池、存储池、WEB 应用服务器间均采用万兆接口捆绑互联。

两台数据中心部署IRF2虚拟化技术，简化路由协议运行状态与运维管理，同时大大缩短设备及链路出现故障快速切换，避免网络震荡。IRF2互联链路采用2*10GE捆绑，保证高可靠及横向互访高带宽。

12.1.4、方案设计

A 、网络出口方案设计

通过与客户进行技术交流，需求收集及分析，此次湖南***大学网络的整体安全改造解决方案包含系统出口入侵防御系统、WEB 应用安全防护、链路和系统服务优化及DNS 智能解析（负载均衡）、流量控制及上网行为审计等六大方面。通过多层次、多纬度的防护技术和客户系统的应用交付优化措施，为客户网络完成全方位无缝隙的安全防护，以及更优的用户体验。

客户系统通过本方案的建设部署后，整体拓扑如下：