網(wǎng)絡(luò)升級(jí)技術(shù)方案12.1.1、項(xiàng)目背景***大學(xué)校園網(wǎng)經(jīng)過多年的建設(shè)和升級(jí)，已基本覆蓋全校范圍。目前網(wǎng)絡(luò)為三層結(jié)構(gòu)，核心層采用兩臺(tái)H3C 的萬兆交換機(jī)S10508，匯聚層采用了12臺(tái)H3C 的S580

網(wǎng)絡(luò)升級(jí)技術(shù)方案

12.1.1、項(xiàng)目背景

***大學(xué)校園網(wǎng)經(jīng)過多年的建設(shè)和升級(jí)，已基本覆蓋全校范圍。目前網(wǎng)絡(luò)為三層結(jié)構(gòu)，核心層采用兩臺(tái)H3C 的萬兆交換機(jī)S10508，匯聚層采用了12臺(tái)H3C 的S5800和7503E 以萬兆上聯(lián)至核心，接入層設(shè)備主要為H3C 接入交換機(jī)和銳捷接入交換機(jī)。目前采用的是基于802.1x 的認(rèn)證計(jì)費(fèi)方式。學(xué)生區(qū)由于采用的是銳捷網(wǎng)絡(luò)的接入設(shè)備，所以使用的是銳捷網(wǎng)絡(luò)的認(rèn)證計(jì)費(fèi)系統(tǒng)SAM ，教工宿舍采用的是H3C 的接入設(shè)備，使用的是H3C 的認(rèn)證計(jì)費(fèi)系統(tǒng)IMC 。校園網(wǎng)現(xiàn)有網(wǎng)絡(luò)出口總帶寬1.6G ，分別為教育網(wǎng)（300M) 、中國電信（400M) 、中國聯(lián)通（400M) 、中國移動(dòng)（500M) 。網(wǎng)絡(luò)出口設(shè)備為一臺(tái)山石網(wǎng)科的S6000安全網(wǎng)關(guān)，由于已購置數(shù)年，隨著近年學(xué)校出口帶寬的不斷增加，其處理性能已不能滿足需求。在核心交換機(jī)和出口設(shè)備之間部署了一臺(tái)神碼的千兆流控設(shè)備。核心交換機(jī)和網(wǎng)絡(luò)出口之間采用雙千兆鏈路捆綁連接。

傳統(tǒng)三層或者多層架構(gòu)校園網(wǎng)只是滿足了基本的網(wǎng)絡(luò)互聯(lián)互通的需求，但缺乏相應(yīng)的控制和管理手段，用戶之間互相影響，類似ARP 攻擊、DHCP 仿冒、IP 仿冒等對(duì)網(wǎng)絡(luò)的攻擊現(xiàn)象經(jīng)常發(fā)生，校園網(wǎng)絡(luò)對(duì)于用戶的審計(jì)和控制功能較弱也導(dǎo)致了網(wǎng)絡(luò)的無序使用，業(yè)務(wù)承載方面缺乏針對(duì)性的控制，網(wǎng)絡(luò)帶寬被大量占用，重要應(yīng)用得不到帶寬保障，也難以實(shí)現(xiàn)靈活的基于身份、時(shí)間、位置等的用戶控制。

當(dāng)前不同規(guī)模和不同區(qū)域的學(xué)校在建設(shè)高校校園網(wǎng)時(shí)普遍遇到的問題是：

1）如何適應(yīng)和滿足國家政策和法律法規(guī)對(duì)于校園網(wǎng)用戶的行為要求；

2）如何滿足各類業(yè)務(wù)、各類應(yīng)用和不同需求的用戶的各種承載的拓展；

3）如何降低校園網(wǎng)的管理難度和維護(hù)工作量。

要解決這些問題必須要從網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)部署模式上面進(jìn)行變革，而扁平化的架構(gòu)正好切中了解決這些問題的關(guān)鍵。從下圖可以看出扁平化網(wǎng)絡(luò)架構(gòu)將原有各層的功能在邏輯上面進(jìn)行了重新界定和劃分，使得各層設(shè)備各盡其能，也可以看出構(gòu)建和發(fā)展扁平化網(wǎng)絡(luò)架構(gòu)是一個(gè)必然趨勢。

其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖：

12.1.2、改造目標(biāo)

本次網(wǎng)絡(luò)改造，學(xué)校需實(shí)現(xiàn)以下目標(biāo)：

● 升級(jí)網(wǎng)絡(luò)出口設(shè)備，需滿足未來出口帶寬擴(kuò)到5G 以上的需求，并且實(shí)現(xiàn)網(wǎng)絡(luò)出口的鏈

路負(fù)載均衡和各種網(wǎng)絡(luò)安全措施，入侵防御（IPS) 、網(wǎng)站防護(hù)(WAF) 、上網(wǎng)行為管理、流控、SSL VPN遠(yuǎn)程接入訪問校內(nèi)資源等。

● 統(tǒng)一全校范圍內(nèi)的認(rèn)證計(jì)費(fèi)。采用支持多種認(rèn)證方式（PPPoe 、IPoe 、portal ）的BRAS

設(shè)備，配合統(tǒng)一的認(rèn)證計(jì)費(fèi)管理軟件，實(shí)現(xiàn)與學(xué)校一卡通系統(tǒng)的整合。

● 實(shí)現(xiàn)校園網(wǎng)扁平化，構(gòu)建扁平化的網(wǎng)絡(luò)架構(gòu)就是將原來各個(gè)層次模糊的功能區(qū)分清晰化，

不同層次之間各司其職，有利于管理和維護(hù)，這種簡單化的架構(gòu)使得網(wǎng)絡(luò)有更高的效率。 ● 校園網(wǎng)目前由教學(xué)網(wǎng)、學(xué)生宿舍網(wǎng)、教育網(wǎng)、一卡通專網(wǎng)、財(cái)務(wù)專網(wǎng)和科研專網(wǎng)等多個(gè)

網(wǎng)絡(luò)的混合體，校園網(wǎng)的高性能還要體現(xiàn)在多個(gè)網(wǎng)絡(luò)多個(gè)業(yè)務(wù)并發(fā)的同時(shí)保證性能不下降，實(shí)現(xiàn)在同一個(gè)物理平臺(tái)上構(gòu)建出多個(gè)邏輯上完全獨(dú)立的網(wǎng)絡(luò)平臺(tái)，這些網(wǎng)絡(luò)平臺(tái)和主網(wǎng)絡(luò)平臺(tái)還要具有相同的功能。所以，從學(xué)校建設(shè)一卡通系統(tǒng)需提供一套邏輯隔離的專用校園網(wǎng)網(wǎng)絡(luò)。

● 為學(xué)校即將建設(shè)的“一卡通數(shù)字校園”數(shù)據(jù)中心服務(wù)器群提供萬兆接入校園網(wǎng)。 ● 更換和升級(jí)原有的老舊接入交換機(jī)（100臺(tái)24口、5臺(tái)48口全千兆接入交換機(jī)）。 12.1.3、需求分析

A 、網(wǎng)絡(luò)出口改造需求分析

目前***大學(xué)校園網(wǎng)絡(luò)規(guī)模較大，包括核心、匯聚（各科院、學(xué)生公寓、校辦、圖書館等等）、接入的三層網(wǎng)絡(luò)架構(gòu)；其中服務(wù)器區(qū)域部署了對(duì)外的門戶網(wǎng)站系統(tǒng)、選課系統(tǒng)、正在進(jìn)行新增的校園一卡通系統(tǒng)等以及對(duì)內(nèi)的OA 辦公系統(tǒng)、多媒體教學(xué)系統(tǒng)等多套系統(tǒng)平臺(tái)；同時(shí)有多條運(yùn)營商Internet 出口鏈路在運(yùn)行使用中。安全防護(hù)措施只在出口部署了基本的三層安全防護(hù)（防火墻）以及簡單的流控策略。

網(wǎng)絡(luò)拓?fù)鋱D如下：

通過與客戶溝通交流，以及對(duì)學(xué)校網(wǎng)絡(luò)的分析討論，確定湖南***大學(xué)網(wǎng)絡(luò)目前存在以下問題：

1、***大學(xué)網(wǎng)絡(luò)目前沒有全網(wǎng)的入侵防護(hù)機(jī)制，尤其缺失針對(duì)應(yīng)用的攻擊檢測和防御。

2、出口鏈路資源利用不均衡，利用率低，未針對(duì)學(xué)院應(yīng)用進(jìn)行優(yōu)化：多條運(yùn)營商出口鏈路，但未進(jìn)行負(fù)載均衡以及針對(duì)不同運(yùn)營商DNS 智能解析和智能路由。

3、不具備完善的流量管控功能，無法根據(jù)客戶不同應(yīng)用進(jìn)行精細(xì)化的流量識(shí)別、管控；同時(shí)沒有針對(duì)公安部82號(hào)令，對(duì)可能的上網(wǎng)行為風(fēng)險(xiǎn)進(jìn)行把控，存在危害性較大的政治風(fēng)險(xiǎn)（如校內(nèi)非法的上網(wǎng)行為，涉黃、暴力、誹謗等等信息造成的社會(huì)影響）。

4、目前***大學(xué)網(wǎng)站無任何的應(yīng)用級(jí)安全防護(hù)措施（只有傳統(tǒng)的防火墻簡單防護(hù)），完全暴露在攻擊環(huán)境中，存在著非常嚴(yán)重的安全風(fēng)險(xiǎn)（包括DDOS 攻擊，木馬盜鏈，SQL 注入，網(wǎng)頁篡改等等）。

5、***大學(xué)面向?qū)W生的選課系統(tǒng)存在一個(gè)域名，2個(gè)IP （即多臺(tái)服務(wù)器）情況，目前采取的是輪詢機(jī)制，但是該機(jī)制嚴(yán)重浪費(fèi)服務(wù)器性能，并在高峰期可能造成系統(tǒng)癱瘓，延誤學(xué)校正常的教學(xué)課程。同樣的問題在***大學(xué)其他系統(tǒng)中依然存在。

6、***大學(xué)服務(wù)器集群區(qū)（數(shù)據(jù)中心）目前沒有單獨(dú)的安全防護(hù)措施（僅出口傳統(tǒng)防火墻簡單防護(hù)），同時(shí)沒有將對(duì)外系統(tǒng)和對(duì)內(nèi)系統(tǒng)隔離，存在嚴(yán)重的安全隱患。

7、***大學(xué)目前提供對(duì)外的學(xué)校網(wǎng)站DNS 服務(wù)，具體解決辦法是分別部署3臺(tái)DNS 系統(tǒng)，通過雙網(wǎng)卡一端連接內(nèi)網(wǎng)，一端分別連接電信、移動(dòng)、聯(lián)通外網(wǎng)出口，電信用戶訪問學(xué)校網(wǎng)站則返回給對(duì)應(yīng)網(wǎng)站域名的電信IP ，移動(dòng)、聯(lián)通同樣的處理模式。這種部署方式實(shí)質(zhì)上將***大學(xué)整個(gè)數(shù)據(jù)中心直接暴露在外網(wǎng)環(huán)境中，時(shí)刻存在全數(shù)據(jù)中心被攻擊的風(fēng)險(xiǎn)，同時(shí)3DNS 系統(tǒng)的部署方式也浪費(fèi)了服務(wù)器資源，降低了資源利用率。

通過對(duì)客戶系統(tǒng)現(xiàn)狀的了解分析，以及與客戶的溝通交流，確定本次安全建設(shè)需求如下：

1、整網(wǎng)入侵防御系統(tǒng)：針對(duì)現(xiàn)在流行的以蠕蟲、木馬、間諜軟件、DDoS 攻擊、帶寬濫用為代表的應(yīng)用層攻擊，需要在核心鏈路部署入侵防御系統(tǒng)對(duì)整網(wǎng)的應(yīng)用層入侵提供安全保障。

2、WEB 應(yīng)用安全防護(hù)：此次web 系統(tǒng)作為對(duì)外企業(yè)門戶網(wǎng)站系統(tǒng)平臺(tái)，需要考慮在Internet 上的安全因素，如跨站腳本攻擊、網(wǎng)頁篡改、DDOS 攻擊、SQL 注入攻擊、溢出攻擊等等。而WEB 應(yīng)用的安全防護(hù)，需要通過主動(dòng)與被動(dòng)結(jié)合，事前防御和事后彌補(bǔ)的多層次手段來達(dá)到防護(hù)目的。

3、鏈路及系統(tǒng)優(yōu)化：

a 鏈路負(fù)載：1、inbond ：根據(jù)訪問源所屬運(yùn)營商，通過DNS 智能解析將訪問反饋數(shù)據(jù)發(fā)送到對(duì)應(yīng)運(yùn)營商鏈路，提高用戶體驗(yàn)。2、outbond ：由于客戶現(xiàn)網(wǎng)擁有多條出口鏈路，為了使客戶帶寬資源利用率提高，以及優(yōu)化Internet 訪問，需要根據(jù)訪問目的IP 、域名DNS

解析地址等等對(duì)出口鏈路進(jìn)行負(fù)載均衡。

b 服務(wù)器負(fù)載：由于***大學(xué)內(nèi)外系統(tǒng)平臺(tái)的訪問頻繁及高流量、高峰值的特性，所以需要對(duì)系統(tǒng)服務(wù)器群進(jìn)行訪問優(yōu)化，根據(jù)每臺(tái)服務(wù)器實(shí)時(shí)性能狀態(tài)、資源耗用率，鏈路質(zhì)量等等因素對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行負(fù)載均衡

4、流量控制及上網(wǎng)審計(jì)需求：根據(jù)公安部第82號(hào)令，以及學(xué)校自身辦公效率提升訴求，需要針對(duì)網(wǎng)絡(luò)出口不同流量進(jìn)行智能分析處理，保障關(guān)鍵應(yīng)用流量，限制無關(guān)應(yīng)用，同時(shí)規(guī)范師生上網(wǎng)行為，防止非法上網(wǎng)行為給學(xué)校造成不良的社會(huì)影響。

5、DNS 智能解析需求：根據(jù)不同運(yùn)營商訪問源及目的，智能選擇流量路徑。

6、可對(duì)全網(wǎng)安全防護(hù)設(shè)備進(jìn)行統(tǒng)一平臺(tái)管理，解決網(wǎng)絡(luò)異構(gòu)管理難題。

B 、統(tǒng)一認(rèn)證系統(tǒng)需求分析

***大學(xué)目前使用的是基于802.1x 協(xié)議的H3C 公司和銳捷公司的兩套不同認(rèn)證計(jì)費(fèi)系統(tǒng)。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)應(yīng)用的增多，采用該協(xié)議的認(rèn)證計(jì)費(fèi)逐漸遇到很多問題，主要表現(xiàn)在：

該協(xié)議設(shè)計(jì)之初，本是為了解決無線接入認(rèn)證計(jì)費(fèi)問題，為了將其引入以太網(wǎng)進(jìn)行認(rèn)證計(jì)費(fèi)，不同接入交換機(jī)生產(chǎn)廠家對(duì)其進(jìn)行了相應(yīng)改造，從而導(dǎo)致不同廠商對(duì)該協(xié)議有不同的私有化，進(jìn)而存在兼容問題，客戶如果要想新購設(shè)備，就必須購買與認(rèn)證系統(tǒng)同一品牌交換機(jī)，否則無法接入網(wǎng)絡(luò)；第二，要在以太網(wǎng)上有效的使用該協(xié)議，就必須安裝與設(shè)備廠商配套的802.1x 客戶端軟件，而且該軟件與操作系統(tǒng)的TCP/IP協(xié)議棧是強(qiáng)耦合關(guān)系，所以對(duì)應(yīng)不同的操作系統(tǒng)（如Windows 、MAC OS、Linux 等）的不同版本，就有不同的客戶端版本，導(dǎo)致軟件兼容性問題，這給網(wǎng)絡(luò)運(yùn)維人員帶來無盡的維護(hù)工作量；第三，目前的802.1x 系統(tǒng)，無法按照校內(nèi)/校外以及免費(fèi)/收費(fèi)流量進(jìn)行統(tǒng)計(jì)，所以無法實(shí)現(xiàn)按照不同流量的分離計(jì)費(fèi)。此外，采用802.1X 的認(rèn)證計(jì)費(fèi)方式無法實(shí)現(xiàn)統(tǒng)一端口下，多臺(tái)終端同時(shí)上網(wǎng)問題（即家屬區(qū)用戶無法通過家用soho 路由設(shè)備實(shí)現(xiàn)多臺(tái)終端上網(wǎng)）。然而，這種應(yīng)用需求越來越強(qiáng)烈。最后，家用網(wǎng)絡(luò)電視、網(wǎng)絡(luò)冰箱或者物聯(lián)網(wǎng)終端，上網(wǎng)如何認(rèn)證計(jì)費(fèi)問題，也困擾著網(wǎng)絡(luò)管理者。因此，需要對(duì)認(rèn)證計(jì)費(fèi)系統(tǒng)進(jìn)行改造，建設(shè)統(tǒng)一的網(wǎng)絡(luò)認(rèn)證平臺(tái)，實(shí)現(xiàn)準(zhǔn)入和準(zhǔn)出的控制及按流量的認(rèn)證計(jì)費(fèi)。準(zhǔn)出控制系統(tǒng)，采用網(wǎng)關(guān)型的準(zhǔn)出控制系統(tǒng)，對(duì)校園用戶進(jìn)行準(zhǔn)出控制?？梢杂行ёR(shí)別用戶的收費(fèi)/免費(fèi)流量，同時(shí)通過與統(tǒng)一認(rèn)證計(jì)費(fèi)平臺(tái)的協(xié)同工作，可以有效控制用戶是否具有外網(wǎng)訪問權(quán)限，進(jìn)而控制用戶訪問外網(wǎng)的帶寬。準(zhǔn)入控制實(shí)

現(xiàn)基于pppoe 、ipoe 及portal 的準(zhǔn)入控制。網(wǎng)絡(luò)中不同區(qū)域靈活選擇認(rèn)證策略。

統(tǒng)一認(rèn)證計(jì)費(fèi)平臺(tái)的建設(shè)需要滿足一下場景的需求：

1、 為保障未來五年內(nèi)業(yè)務(wù)量的快速增長，核心網(wǎng)絡(luò)需要具備T 級(jí)別的交換容量；

2、 支持有線無線一體化接入。Portal 與PPPOE 方式均需支持；

3、 可實(shí)現(xiàn)對(duì)于學(xué)生訪問學(xué)校內(nèi)網(wǎng)不認(rèn)證、不計(jì)費(fèi)，只有在訪問外網(wǎng)時(shí)才認(rèn)證、計(jì)費(fèi)；

4、 學(xué)生上網(wǎng)行為可監(jiān)管，上網(wǎng)記錄可溯源；

5、 教師在辦公區(qū)辦公時(shí)上網(wǎng)進(jìn)行認(rèn)證不計(jì)費(fèi)，在家屬區(qū)上網(wǎng)時(shí)進(jìn)行計(jì)費(fèi)。另外要求，

教師在辦公區(qū)上線時(shí)，也要能夠支持同一賬戶在家屬區(qū)同時(shí)上線，并且進(jìn)行計(jì)費(fèi)的功能。

6、 對(duì)于學(xué)生和用戶的賬戶有一個(gè)暫停計(jì)費(fèi)的功能，比如學(xué)生采取包月的形式，如果1

號(hào)交錢，學(xué)生5號(hào)放暑假，如果學(xué)生在自助網(wǎng)頁上選擇5號(hào)暫停服務(wù)，則系統(tǒng)計(jì)費(fèi)的時(shí)間段應(yīng)能夠往下一個(gè)月自動(dòng)后移；

7、 計(jì)費(fèi)系統(tǒng)應(yīng)有針對(duì)用戶進(jìn)行時(shí)間補(bǔ)償?shù)墓δ?，?yīng)用場景：如果某一地塊網(wǎng)絡(luò)故障，

則需要對(duì)該地塊的上線用戶贈(zèng)送5天免費(fèi)上網(wǎng)的補(bǔ)償。

8、 對(duì)于導(dǎo)師帶領(lǐng)學(xué)生做項(xiàng)目和教師帶領(lǐng)學(xué)生勤工儉學(xué)的場景，需要支持主賬號(hào)和附屬

賬號(hào)的功能，比如一個(gè)導(dǎo)師的主免費(fèi)賬號(hào)下，下掛20個(gè)附屬賬號(hào)也屬于免費(fèi)賬號(hào)，并且上線時(shí)做單獨(dú)的賬戶和密碼認(rèn)證。

9、 主賬號(hào)和附屬賬戶的模式也須支持學(xué)?？蒲许?xiàng)目申請(qǐng)的方式，并支持收費(fèi)。比如：

學(xué)校一名教師申請(qǐng)了一個(gè)科研課題，拿出一定經(jīng)費(fèi)申請(qǐng)一個(gè)項(xiàng)目科研主賬號(hào)和多個(gè)子賬號(hào)開展工作，此時(shí)對(duì)該團(tuán)隊(duì)的項(xiàng)目的上網(wǎng)計(jì)費(fèi)僅需計(jì)費(fèi)主賬號(hào)，主賬號(hào)一旦計(jì)費(fèi)時(shí)間截止，則所有子賬號(hào)也均不能再上網(wǎng)。

10、 支持對(duì)于各個(gè)學(xué)院的專線接入開會(huì)功能，如實(shí)驗(yàn)室采用專線接入，則應(yīng)支持對(duì)專線

用戶開戶，開戶后對(duì)專線用戶的整體接入帶寬和不對(duì)下面的接入用戶再進(jìn)行認(rèn)證和計(jì)費(fèi)限制；

11、 對(duì)于打印機(jī)等啞終端的接入做MAC 地址認(rèn)證和IP 綁定；

12、 全網(wǎng)IPv4/V6雙棧部署，并充分考慮向全I(xiàn)Pv6網(wǎng)絡(luò)的過渡；

13、 考慮運(yùn)營商用戶接入，校方和運(yùn)營商之間在用戶認(rèn)證計(jì)費(fèi)管理運(yùn)維上能實(shí)現(xiàn)協(xié)同；

C 、網(wǎng)絡(luò)扁平化需求分析

使校園網(wǎng)的功能劃分更清晰，核心層設(shè)備由于性能很強(qiáng)可以對(duì)新功能新業(yè)務(wù)能夠提供良好的支持，匯聚層和接入層只需要考慮接入端口的擴(kuò)充、上行帶寬的增加，管理上面顯得更加簡單；校園網(wǎng)扁平化網(wǎng)絡(luò)并不是意味著網(wǎng)絡(luò)物理層次的減少，而是網(wǎng)絡(luò)邏輯層次的扁平。構(gòu)建扁平化的網(wǎng)絡(luò)架構(gòu)就是將原來各個(gè)層次模糊的功能區(qū)分清晰化，不同層次之間各司其職，有利于管理和維護(hù)，這種簡單化的架構(gòu)使得網(wǎng)絡(luò)有更高的效率。由三層結(jié)構(gòu)變?yōu)槎咏Y(jié)構(gòu)，在這種網(wǎng)絡(luò)架構(gòu)下面可以使用高性能多業(yè)務(wù)路由器作為整個(gè)網(wǎng)絡(luò)的核心設(shè)備替代原有架構(gòu)的高端三層交換機(jī)，使更多的組播、線速轉(zhuǎn)發(fā)、用戶論證和審計(jì)等核心工作由功能和性能均強(qiáng)大的設(shè)備來完成，從而實(shí)現(xiàn)整個(gè)校園網(wǎng)的高性能。

對(duì)原有校園網(wǎng)架構(gòu)升級(jí)改造為扁平化的網(wǎng)絡(luò)架構(gòu)后對(duì)于系統(tǒng)管理員和普通用戶而言，其應(yīng)用效果表現(xiàn)在：

1）一個(gè)簡單的的網(wǎng)絡(luò)架構(gòu)：也就是將原有的多達(dá)三層或更多層的校園網(wǎng)結(jié)構(gòu)簡化為了二層結(jié)構(gòu)，即業(yè)務(wù)控制層（核心網(wǎng)絡(luò)層）和寬帶接入層（接入層），在邏輯意義上面實(shí)現(xiàn)了網(wǎng)絡(luò)結(jié)構(gòu)的平滑過渡。

2）一個(gè)多業(yè)務(wù)的系統(tǒng)：指網(wǎng)絡(luò)平臺(tái)支持用戶接入、認(rèn)證、審計(jì)、計(jì)費(fèi)、帶寬管理、行為控制，同時(shí)也支持MPLS VPN、IPv6、組播業(yè)務(wù)的應(yīng)用和快速部署。

3）一個(gè)統(tǒng)一身份認(rèn)證的平臺(tái)：實(shí)現(xiàn)了有線、無線用戶的任意漫游，也實(shí)現(xiàn)了不同系統(tǒng)之間用戶的統(tǒng)一認(rèn)證，避免重復(fù)地多次認(rèn)證，提高用戶了體驗(yàn)。

4）一個(gè)透明的網(wǎng)絡(luò)：校園網(wǎng)對(duì)用戶仍然是透明的，用戶無需關(guān)心網(wǎng)絡(luò)流量如何轉(zhuǎn)發(fā)，用戶無論在哪里登錄，都可以獲得相同的訪問權(quán)限和帶寬保障。

D 、一卡通專網(wǎng)需求分析

隨著微電子技術(shù)、計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、通訊技術(shù)的飛速發(fā)展，“數(shù)字化校園”已經(jīng)不單單是一個(gè)概念，各大高校已經(jīng)陸陸續(xù)續(xù)地開始對(duì)校園網(wǎng)進(jìn)行數(shù)字化建設(shè)。其中，校園“一卡通”系統(tǒng)以其便捷、高效、安全、環(huán)保等特點(diǎn)成為了數(shù)字化校園建設(shè)的重要組成部分。 校園“一卡通”以智能卡為信息載體，融合了各領(lǐng)域諸多高新科技，使其具有電子身份識(shí)別和電子錢包的功能。能夠替代校園內(nèi)日常生活所需各種證件以及完成校園內(nèi)的各種支付

業(yè)務(wù)，如：飯卡、醫(yī)療卡、上網(wǎng)卡等。最終達(dá)到教、學(xué)、考、評(píng)、住、用的全面數(shù)字化和網(wǎng)絡(luò)化，真正實(shí)現(xiàn)了“一卡在手，走遍校園”。

***大學(xué)的校園主干網(wǎng)部分是整個(gè)校園一卡通系統(tǒng)的核心，消費(fèi)結(jié)算中心各種數(shù)據(jù)服務(wù)器和各種自助圈存設(shè)備通過校園主干網(wǎng)與各終端設(shè)備和銀行網(wǎng)絡(luò)的前置機(jī)進(jìn)行通信。為了保證網(wǎng)絡(luò)系統(tǒng)的安全性和便于管理，一般采用專網(wǎng)形式，獨(dú)立于校園網(wǎng)。一卡通網(wǎng)絡(luò)可以采用基于校園網(wǎng)的內(nèi)部虛擬專用網(wǎng)(virtualprivatenetwork)，即在校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建成的專用數(shù)據(jù)通信網(wǎng)絡(luò)。數(shù)據(jù)通過安全的加密隧道在校園網(wǎng)中傳輸，從而保證通信的保密性。vpn 與一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵區(qū)別在于用戶的數(shù)據(jù)通過校園網(wǎng)中建立邏輯隧道進(jìn)行傳輸，數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進(jìn)行封裝、傳送，并通過相應(yīng)的認(rèn)證技術(shù)來實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的專有性。

校園網(wǎng)一卡通主干網(wǎng)(高速以太網(wǎng)) 部分，要求所有的以太網(wǎng)設(shè)備在vlan 部分和現(xiàn)有的校園網(wǎng)設(shè)備隔離，保證現(xiàn)有的校園網(wǎng)和一卡通部分是兩個(gè)網(wǎng)絡(luò)，設(shè)備不允許互相訪問。同時(shí)為了共享已有的校園網(wǎng)資源，所以，一卡通與校園網(wǎng)采用防火墻進(jìn)行單通道連接，保證一卡通網(wǎng)絡(luò)能訪問校園網(wǎng)數(shù)據(jù)，如：信息化校園建設(shè)必不可少的對(duì)統(tǒng)一身份認(rèn)證服務(wù)器和門戶網(wǎng)站的訪問。但校園網(wǎng)不能隨意訪問一卡通專網(wǎng)，這樣將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽，使得一卡通網(wǎng)絡(luò)上的設(shè)備能夠安全、穩(wěn)定的運(yùn)行。

一卡通網(wǎng)絡(luò)結(jié)構(gòu)可以分為三層。一卡通網(wǎng)絡(luò)的中心層，是以數(shù)據(jù)庫服務(wù)器為中心的局域網(wǎng)的分布式結(jié)構(gòu)。中心層設(shè)置中心交換機(jī)，與身份認(rèn)證系統(tǒng)，卡務(wù)管理機(jī)，結(jié)算管理機(jī)，結(jié)算中心服務(wù)器一起構(gòu)成一卡通網(wǎng)絡(luò)與結(jié)算中心，它是一卡通系統(tǒng)的管理平臺(tái)、身份認(rèn)證平臺(tái)和數(shù)據(jù)庫中心。通過光纜與各結(jié)點(diǎn)相連與一卡通網(wǎng)絡(luò)的中心組成第一層網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)置二級(jí)交換機(jī)。第三層為以第一層局域網(wǎng)的網(wǎng)絡(luò)工作站作為控制主機(jī)的控制各個(gè)ic 卡收費(fèi)終端的網(wǎng)絡(luò)。連接到專網(wǎng)的串口設(shè)備子網(wǎng)，以及專網(wǎng)計(jì)算機(jī)校園網(wǎng)和銀行金融網(wǎng)的接口，要同期設(shè)計(jì)建設(shè)。一卡通專網(wǎng)采用tcp/ip網(wǎng)絡(luò)協(xié)議。整個(gè)一卡通專網(wǎng)所用交換機(jī)，建議采用端口mac 地址綁定，使每個(gè)端口只能設(shè)置唯一的ip 地址，連接特定的設(shè)備，從而保證了整個(gè)網(wǎng)絡(luò)的安全性。

通過網(wǎng)絡(luò)分段實(shí)現(xiàn)

首先是網(wǎng)絡(luò)分段。在實(shí)際應(yīng)用過程中，通常采取物理分段(即在物理層和數(shù)據(jù)鏈路層) 上分為若干網(wǎng)段與邏輯分段(即把網(wǎng)絡(luò)分成若干ip 子網(wǎng)) 相結(jié)合的方法來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性控制。

其次，關(guān)于vlan 的實(shí)現(xiàn)。虛擬網(wǎng)技術(shù)主要基于近年高速發(fā)展的局域網(wǎng)交換技術(shù)(atm和

以太網(wǎng)交換) 。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換機(jī)和vlan 技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊。如上圖，不同系統(tǒng)在網(wǎng)上劃分為不同的虛擬網(wǎng)，如“一卡通”卡務(wù)中心和消費(fèi)系統(tǒng)劃分在不同的vlan 段，通過以下相應(yīng)的vlan 劃分方法來提高網(wǎng)絡(luò)安全。

1、基于端口的vlan ，就是將交換機(jī)中的若干個(gè)端口定義為一個(gè)vlan ，同一個(gè)vlan 中的計(jì)算機(jī)具有相同的網(wǎng)絡(luò)地址，不同vlan 之間進(jìn)行通訊需要通過三層路由協(xié)議，并配合mac 地址的端口過濾，就可以防止非法入侵和ip 地址的盜用問題。

2、基于mac 地址的vlan ，這種vlan 一旦劃分完成，無論節(jié)點(diǎn)在網(wǎng)絡(luò)上怎樣移動(dòng)，由于mac 地址保持不變，因此不需要重新配置。但是如果新增加節(jié)點(diǎn)的話，需要對(duì)交換機(jī)進(jìn)行復(fù)雜的配置，以確定該節(jié)點(diǎn)屬于哪一個(gè)vlan 。

3、基于ip 地址的vlan ，新增加節(jié)點(diǎn)時(shí)，無須進(jìn)行太多配置，交換機(jī)根據(jù)ip 地址會(huì)自動(dòng)將其劃分到不同的vlan 。這中vlan 智能化最高，實(shí)現(xiàn)最復(fù)雜。一旦離開該vlan ，原ip 地址將不可用，從而防止了非法用戶通過修改ip 地址來越權(quán)使用資源。

E 、數(shù)據(jù)中心網(wǎng)絡(luò)需求分析

數(shù)據(jù)中心交換機(jī)負(fù)責(zé)整個(gè)校園網(wǎng)數(shù)據(jù)中心平臺(tái)上應(yīng)用業(yè)務(wù)數(shù)據(jù)的高速交換。兩臺(tái)數(shù)據(jù)中心交換機(jī)分別與計(jì)算池、存儲(chǔ)池、WEB 應(yīng)用服務(wù)器以及管理區(qū)連接，數(shù)據(jù)中心交換機(jī)與計(jì)算池、存儲(chǔ)池、WEB 應(yīng)用服務(wù)器間均采用萬兆接口捆綁互聯(lián)。

兩臺(tái)數(shù)據(jù)中心部署IRF2虛擬化技術(shù)，簡化路由協(xié)議運(yùn)行狀態(tài)與運(yùn)維管理，同時(shí)大大縮短設(shè)備及鏈路出現(xiàn)故障快速切換，避免網(wǎng)絡(luò)震蕩。IRF2互聯(lián)鏈路采用2*10GE捆綁，保證高可靠及橫向互訪高帶寬。

12.1.4、方案設(shè)計(jì)

A 、網(wǎng)絡(luò)出口方案設(shè)計(jì)

通過與客戶進(jìn)行技術(shù)交流，需求收集及分析，此次湖南***大學(xué)網(wǎng)絡(luò)的整體安全改造解決方案包含系統(tǒng)出口入侵防御系統(tǒng)、WEB 應(yīng)用安全防護(hù)、鏈路和系統(tǒng)服務(wù)優(yōu)化及DNS 智能解析（負(fù)載均衡）、流量控制及上網(wǎng)行為審計(jì)等六大方面。通過多層次、多緯度的防護(hù)技術(shù)和客戶系統(tǒng)的應(yīng)用交付優(yōu)化措施，為客戶網(wǎng)絡(luò)完成全方位無縫隙的安全防護(hù)，以及更優(yōu)的用戶體驗(yàn)。

客戶系統(tǒng)通過本方案的建設(shè)部署后，整體拓?fù)淙缦拢?/p>