6.2、高效的校园管理
高效的校园管理应用体系中,包括校园通信网络、安全监控、建筑设备自动化、视频会议、门户网站、教务管理、OA办公、信息安全管理、能源管理、资产管理、校园GIS等业务应用系统,针对校园实际建设情况,作相应详略设计。
6.2.1、校园通信网络
6.2.1.1、校园信息网络设计
(1)、校园信息网络总体设计
1)、技术需求
校园信息网作为公用信息传输平台,应满足NGN综合业务要求,满足国家下一代互联网(CNGI)对网络提出的要求,全网设备支持IPv6/v4双栈协议。
l 无线接入需求
在全校范围内特别是图书馆、体育馆、会议室等重点公共区域场所实现有线、无线全覆盖。
l 网络安全性需求
校园内部网络安全考虑,首先是公共资源的安全,如数据中心、图书馆要防止来自内网的攻击和安全事件;其次是各单位自身的数据安全需求;最后是用户的接入管理;要建设一个安全、可靠、稳定的出口来防止来自互联网的攻击。
l 统一网络管理平台
为了保障网络安全、稳定运行,简化管理,必须对所有网络设备的状态、性能、配置、密码、故障、安全事件、资产进行统一管理、监控,使网络管理者能及时、清楚的了解整个网络的运行状况。
l 时钟同步系统
保证网络上的各种设备如服务器、交换机、路由器具有统一的时间。
2)、设计要求
l 网络整体构架
整个网络采用双核心、汇聚(核心和汇聚层设备物理位置集中在核心机房)、接入三层构架方式,每个汇聚点以万兆双链路上联至核心节点,公共区域双链路千兆上联至两核心机房汇聚交换机,学生宿舍每栋楼单链路千兆上联至就近学生宿舍区汇聚交换机,提供办公区域千兆或百兆、学生区域百兆接入;学院、图书馆实现双万兆连接至汇聚。
l 整网路由规划
校园网全网采用OSPF路由协议
l 网络安全
①边界防护:在整个网络的外部出口部署防火墙+IPS设备,对出口流量进行管理、对应用进行识别控制的目的,防止校园网络带宽滥用。出口安全可达到线速万兆,支持校园网对带宽的高速需求。
②数据中心保护:网络中心、图书馆两个核心数据机房使用防火墙+IPS重点进行保护。
l 内网控制和行为审计
为保护校园骨干网络,在每个分支的汇聚节点(包括大汇聚区域和服务器的汇聚区域)部署安全管理设备统一管理从不同汇聚节点收集的安全事件,并能够自动输出审计报告,全面掌握全网的安全状况。
l 对于公共机房、独立内部局域网的网络接入要求
对于学院、图书馆、公共机房、实验室等有自己内部管理系统的终端用户,为保证接入校园网时的安全及网络资源的正常使用,应当具有防ARP病毒、防DHCP欺骗的功能,并且在这些区域内采用严格的端点准入控制。
l 无线网络
实现对校园内无线上网的可管可控。
无线网络集中的策略管理,所有AP无需配置,策略可通过无线交换机统一下发;支持多种认证及计费技术(Portal、802.1x、MAC);有效的非法AP管理方案,AP在接入正常用户的同时,可发现并将非法AP隔绝在网外。
l 其它专网
如果其它专网(油田专网的部分或全部,)要在校园信息网络上运行,则考虑在校园网上提供VPN的方式来实现,校园网提供安全通道,但各应用系统必须考虑自身的安全措施。
l 网络管理
部署统一的网络管理平台,涵盖拓扑、告警、性能和配置等管理功能,使网络状况一目了然,而且需要结合交换机和路由器设备,实现客户所需的各种严格的访问控制策略,从而构成对网络访问的权限控制。
网络管理平台除了管理传统的路由器、交换机外,还可以对网络中的无线、安全、语音、存储、服务器、打印机、UPS等设备进行管理,实现设备资源的集中化管理;可以快速、准确地发现网络资源,包括路由方式、ARP方式、IPSec VPN方式、网段方式等;支持设备面板管理,所见即所得的显示设备的资产组成和运行状态。
3)、架构规划
XX学校基地校园网支撑平台逻辑上以业务处理为核心,规划为三个平面:业务流平面、安全防御平面和管控平面。
业务流平面为多业务支撑的承载基础。业务接口为经过分类的不同类型应用,连接经过优化的基础通讯平台,按照不同层次、不同技术的服务保障措施,实现用户与数据中心之间、用户与用户之间的应用交互。
l 对于基础平台,经过优化处理,将对业务的灵活性、可控性、性能、可靠性起到提升的作用。设计内容包括提升局部带宽消除数据传输瓶颈,消除平台单点故障提升网络可用性,迁移IPv6技术提升业务的灵活性,部署MPLS VPN提升业务可控性。通过对基础平台实施WLAN功能拓展,提供更丰富的接入手段与移动业务。
l 业务通过优化设计,可实施两种端到端服务质量保障措施,其一为从园区内部接入通过DSCP技术进行业务区分处理,将COS Mapping到校区骨干MPLS网的EXP值;其二为对关键业务在校区骨干上部署MPLS PE实现资源预留。
l 而数据中心作为多业务部署的心脏,通过灾备的设计,规划其可靠性、可管理性与可扩展性,实现面向业务的集中存储、数据保护和多系统虚拟化,保障多业务系统与用户之间的交互。
安全防御层面,规划为层次化的渗透防御部署。面向外网出口层、校园汇聚层、校园核心层、数据中心、用户行为控制五个层面安全规划设计。针对业务流的整个过程实现安全防护。
管控层面针对业务流各个环节的相应环节,包括设备资源、用户资源、业务流量、业务隔离、安全信息进行整合管理,有效调整业务流的可用性和平滑性。通过多个环节之间的关联管理,实现降低多业务支撑平台运维的整体拥有成本。
4)、高可用园区规划
XX学校基地智慧校园园区网络作为实际业务的接入和承载体,必须具有高可用性。高可用性主要体现在以下几个方面:
l 保持网络长时间的无故障运行;
l 保证突发情况下的网络可用性和可恢复性;
l 恶劣环境条件下的网络应用;
l 抵抗灾难。
网络建设高可用性设计,需要全方位多角度的对网络可靠性给予充分保障。园区网络高可用性可以通过设备自身的关键部件冗余、协议的不间断转发技术以及网络拓扑的链路和设备冗余设计来综合保证:
l 设备的可靠:双主控、双电源
l 网络的可靠:关键设备双归属、重要链路手工聚合、服务器采用双网卡
l 协议的可靠:VRRP、防火墙HRP
l 架构的可靠:重要设备冗余部署、流量路径合理规划
l 应用的可靠:服务器健康检查
l 建议接入交换机上没有VLAN重叠的规划,管理简单,并能控制广播域影响;
l 利用MSTP多实例特性,合理规划VLAN与实例映射关系,实现业务流量的负载分担;
l 规划多个VRRP组,实现汇聚三层网关的备份和负载分担;为防止错误的配置或连接形成端口自环,可在交换机下行端口上开启loopback-detection功能,发生自环时有多种处理模式可供选择;
l 在边缘与PC或服务器相连的端口配成边缘端口,并启动BPDU保护,端口状态快速转换和不接收BPDU报文;
l 为了避免交换机频繁收到TC报文而去频繁删除MAC和ARP表项,继而引起CPU繁忙业务中断的情况,建议届时在交换机上开启TC保护功能;
l 为避免整网收到抢根报文而引起网络强烈震荡,在根桥与其它设备相连的端口上开启root保护功能;
l 汇聚与接入层交换机相连的端口避免配置trunk all,只允许使用的vlan通过,各个双归属环用vlan隔开,防止一个环上的广播泛到另一个环上去;
通过浮动静态路由和虚拟交换机技术,可以方便的实现不同业务的链路分担,例如学生宿舍的流量通过上行链路进入到一台核心交换机,办公业务通过另外一条上行链路进入到另外一台核心交换机。
5)、IPv6园区规划
作为数字化校园的一部分,IPv6网络能力必不可少。
进行IPv4园区规划时,同时需要考虑IPv6网络应用。
XX学校基地智慧校园园区网是一个全面支持IPv6的网络,后续的部署也全部采用支持支持双栈的交换机设备,三层设备上同时运行OSPFv2和OSPFv3两套协议,尽管运行在同一个设备上,这两套协议是互相独立的。OSPFv3的逻辑拓扑图(AREA规划)和OSPFv2可以完全不同。
6)、网络拓扑总体设计
在校园网的建设中,网络架构的选择具有举足轻重的作用,组网架构决定整个校园网络的性能、可扩展性、可管理性、线缆布放、区域划分等诸多关键因素,从目前的主流的组网架构上看,每种组网架构都具有优点与缺点,关键是要选择适合于学校自身特点的架构,合理的组网架构是一个优秀校园网络的基础。
本次XX学校基地校园网采用星形网络结构为主的三层结构(核心层、汇聚层及接入层)。
三层结构是大型网络常用的层次化网络设计模型。核心层主要承担高速数据交换的任务,同时要为各汇聚节点提供最佳传输通道;汇聚层的主要任务是把大量来自接入层的访问路径进行汇聚和集中,承担路由聚合和访问控制的任务。这就要求汇聚层设备必须具备良好的可扩展性,必须使用模块化的体系结构,可通过增加板卡提高端口密度,以便汇接更多的接入层设备;接入层的主要任务是完成用户的接入,它直接和用户连接,可能遭受ARP风暴、MAC扫描、ICMP风暴、带宽攻击等等攻击方式,对安全性的要求很高,另一方面必须提供灵活的用户管理手段。
此种组网方案的结构简单,层次分明,便于管理;控制简单,便于建网;网络延迟时间较小,传输误差较低。对于链路层的安全可考虑采用不同链路的主备主干光缆方式实现。
XX学校基地智慧校园信息网网络拓扑示意见图。
XX智慧校园网络拓扑示意图
下面就各个区域做详细的设计。
(2)、核心层设计
核心层:提供高速的三层交换骨干。
l 核心层不进行终端系统的连接;
l 核心层不实施影响高速交换性能的ACL等功能。
1)、网络方案说明
网络核心区作为整个校园网的数据交换核心,是XX学校基地校区应用系统可靠和高效率运行的基础,因此建议在核心区配置两台吞吐量高、核心万兆全分布式线速路由交换机,接入各个功能区域,下行万兆光纤连接汇聚交换机,形成万兆无阻塞线速转发骨干网。
核心设备采用多级交换架构,即使用独立的交换网板卡,可以为设备提供扩展的交换容量,多块交换网板同时分担业务流量;控制引擎和交换网板硬件相互独立,并且配置冗余电源和冗余风扇,最大程度的保障设备可靠性。
两台核心设备互为备份,之间采用双万兆连接,区域汇聚设备双归属上联,其中任何一台核心交换机或核心交换机上的板卡出现故障后,正常工作的核心交换机能够立即接管故障核心交换机所有交换工作。
在两台核心交换机都正常工作时能够对校区汇聚交互区域转发过来的数据流量进行负载均衡,两台核心交换机同时承担核心网络数据交换工作。
为了简化网络部署,简化网络管理,并提高故障恢复的速度,核心和各个功能分区建议采用虚拟交换架构技术。两台核心交换机虚拟成一台逻辑交换机,通过跨设备链路聚合与汇聚层设备互联。
2)、安全规划
l 采用安全交换一体化架构,核心交换机应支持多业务安全板卡,以便简化网络拓扑、减少网络单点故障,提高安全处理性能,方便后期扩展。本次部署IPS模块,及时阻止各种针对系统漏洞的攻击,屏蔽蠕虫、病毒和间谍软件,防御DOS及DDOS攻击,阻断或限制P2P应用,完成应用系统、网络基础设施和系统性能保护的关键任务。
l 本次需部署网络流量分析功能模块,以便管理员能了解网络真实运行情况,减少故障隐患,优化网络链路。
l 但是为了避免在核心区由于多区域之间安全策略的交叉而导致部署复杂,维护困难。核心区只提供高速转发功能,各区域间的访问控制策略在各区域边界(出口路由器或汇聚交换机)实施。
l 核心交换机支持高性能MPLS处理,可以有效隔离校园网各业务,减少各业务之间干扰,保证业务之间的安全性和可靠性
3)、设备间连接方式
两台核心设备分别放置在网络中心核心机房和图书馆核心机房,采用双单模万兆接口互联,并且采用虚拟交换架构技术虚拟成一台逻辑设备。
单台汇聚交换机双万兆链路接入两台核心交换机,核心交换机与放置在相同核心机房的汇聚交换机采用多模万兆互联,与不同核心机房的汇聚交换机采用单模万兆互联。2条下行万兆链路采用跨设备聚合技术虚拟成一条逻辑链路,从而简化网络部署提高故障恢复速度。
(3)、汇聚层设计
汇聚层:作为接入层和核心层的分界层,汇聚层完成以下的功能:
l 各功能分区IP地址或路由区域的汇聚;
l 不同业务功能的汇聚;
l 本功能区VLAN 间的路由;
l 广播域或组播域的边界;
l 在汇聚层实施功能区内、功能区之间的安全访问策略。
1)、网络方案说明
汇聚区是XX学校基地校园网络承上启下的关键,需要保证该层次网络的可靠性。每个区域汇聚区部署1台高端交换机,采用多引擎架构架构,并且配置冗余引擎、冗余电源和冗余风扇,以保障设备的可靠性。区域汇聚交换机分别通过万兆冗余链路接入到两台核心交换机,下行接入各个建筑单体的接入交换机,由于学生公寓组团单个建筑信息点数量众多,所以建议在学生宿舍每个建筑中部署2台楼宇汇聚交换机,每台配置双电源,提高楼宇汇聚节点的可靠性。
为了简化网络部署,简化网络管理,并提高故障恢复的速度,楼宇汇聚交换机采用虚拟交换架构互联,区域汇聚设备通过跨设备链路聚合与核心设备互联。
2)、安全规划
l 为了防止各个部分之间非法访问,导致窃取、破坏等攻击,本次在汇聚层部署防火墙进行安全区域的隔离。
l 后期还可以针对综合办公楼区部署网流分析功能,以便管理员能了解该区域网络真实运行情况,减少该区域故障隐患,优化网络链路。
l 安全部署采用安全交换一体化架构,汇聚交换机集成防火墙板卡,以便简化网络拓扑、减少网络单点故障,提高安全处理性能,方便后期扩展。
l 在汇聚交换机部署高性能MPLS VPN处理,可以有效隔离办公业务和教学等业务,减少各业务之间干扰,保证业务之间的安全性和可靠性。
3)、设备间连接方式
区域汇聚设备与核心交换机连接方式见核心层设计。
接入交换机采用双单模千兆光纤上联两台汇聚交换机,接入交换机同样采用虚拟交换架构技术,上联的两条链路采用跨设备链路聚合技术,虚拟成一条逻辑链路,简化网络部署。
(4)、接入层设计
接入层:提供Layer2的网络接入,通过VLAN划分实现接入的隔离。在接入层设计时,应考虑以下几点:
l 接入层接入端口规划容量应根据实际使用情况考虑扩展性,具备可堆叠特性;
l 各功能分区的接入层相对独立;
l 不同类型的接入层应各自分开,连接到对应功能区的汇聚层。
1)、网络方案说明
各接入层设备采用就近原则汇聚。各个建筑楼宇对应的汇聚点如下表:
各建筑单体内配线间部署接入交换机,提供办公区域千兆或百兆接入、学生区域百兆接入交换机。VLAN终结在接入端口,限制广播域范围,较少广播报文对网络带宽的消耗,并且还可以减少MAC、ARP等攻击的范围和影响。
2)、安全规划
l 通过VLAN划分用户,隔离不同权限的用户,保证网络访问安全
l 对于终端用户采用终端准入系统,对用户进行身份确认,终端PC的健康检测,用户行为审计等,确保用户不能非法访问网络,不携带病毒,不访问非工作要求网站。
3)、设备间连接方式
公共区域接入层双链路千兆上联至两核心机房汇聚交换机,学生宿舍每栋楼单链路千兆上联至就近学生宿舍区汇聚交换机。同一楼层配线间的接入交换机可采用堆叠上行,简化网络结构,节约上行光纤资源。
(5)、数据中心区设计
1)、网络方案说明
服务器区运行的是在XX智慧校园网络上的各种办公教学业务系统服务器,该区域是整个数字化校园业务核心,因此对网络的安全性、可靠性和可扩展性等方面有较高要求。
采用两台高端交换机做为服务器的汇聚设备,分别通过万兆冗余链路接入到两台核心交换机。考虑到当前服务器接入数量不多,因此将网络汇聚层和接入层合并,未来随着业务的扩展,可通过增加新的接入层交换机以提供更多的接入端口。
服务器汇聚设备采用分布式转发架构,并且配置冗余引擎、冗余电源和冗余风扇,以保障设备的可靠性。
2)、安全规划
l 由于服务器保存了校园网的关键业务,为了避免服务受到攻击导致瘫痪或者数据泄密,需要提供全方位的多层次的保护。
l 建议采用安全交换一体化架构,部署防火墙模块进行2~4层的访问控制,通过核心层的IPS模块进行4~7层应用层攻击、网络病毒的防御。
l 另外,还可以在交换机上部署服务器负载均衡模块,可以提高服务器处理能力,降低服务器硬件投资成本,提高生产办公效率。
6.2.2.2、校园数据传输专网设计
XX学校基地校园数据传输专网是一个与校园信息网络物理隔离的专网,用于承载安防系统、一卡通、校园广播、财务、医保系统等园区智能化系统。校园数据传输专网是一个完全独立的网络,因此数据在网络平台的传输过程相对比较安全,因为其数据的特殊性,在设计专网时,要充分满足网络的安全性、可靠性和稳定性的设计要求。
核心层采用双核心,每个单体建筑中部署一台三层交换机作为接入层交换机通过不同物理路由上连至IDC汇聚设备,确保业务网络的高可靠和高稳定性。专网上各应用系统的数据库服务器群可采用直接连接或者通过交换机上行至核心层。
(1)、数据传输专网网络需求
如果业务系统(部分或全部)要在数据传输专网网络上运行,则考虑在数据传输专网提供安全通道,但自身的安全措施由各业务系统进行设计。
部署统一的网络管理平台,涵盖拓扑、告警、性能和配置等管理功能,使网络状况一目了然,实现设备资源的集中化管理;可以快速、准确地发现网络资源,包括路由方式、ARP方式、IPSec VPN方式、网段方式等;支持设备面板管理,所见即所得的显示设备的资产组成和运行状态。
1)、技术需求
专门设计一个与校园信息网络物理隔离的专网,用于承载安防系统、一卡通、校园广播、财务、医保系统等园区智能化系统。因为其数据的特殊性,在设计专网时,要提高对网络的安全性、可靠性和稳定性的要求。
核心层采用双核心,接入层交换机通过不同物理路由上连至双核心,确保业务网络的高可靠和高稳定性。校园数据传输专网核心层交换机放置在校园中心机房;专网上各应用系统的数据库服务器群可采用直接连接或者通过交换机上行至核心层。
2)、技术选型
校园园区虚拟化技术比较:
l 二层VLAN:二层隔离技术,在三层终结。不易扩展,STP维护复杂、难以管理和定位,适合小型网络;
l 分布式ACL:需要严格的策略控制,灵活性差,可能配置错误,扩展性、管理性差,适合某些特定场合;
l VRF/MPLS VPN:三层隔离技术,业务隔离性好,每个VPN独立转发表,扩展性好。支持多种灵活的接入方式,配置管理简单、支持QoS,能够满足大型复杂园区的应用。
本方案中推荐组合:VLAN+VRF,VRF+MPLS VPN。
二三层隔离的融合,安全性高,避免大量的ACL配置问题,直观、易维护、易扩展。
此设计中数据专网可以为各业务系统提供一个VLAN或VPN通道,为了保障网络的安全性,各专用系统必须考虑系统自身的安全性和在接入到专网时使用防火墙等设备保护自身核心数据的安全性。
在接入层,为了防止非法的用户进入业务专网可采用以下措施:
①对不同的业务区域划分不同的vlan,也可使用虚拟防火墙进行安全区域划分
②关闭闲置的端口,在需要的时候才启用,避免无关人员使用个人电脑通过此类端口访问
③采用端口隔离,确保访问流量直接上行至核心层设备处理。
(2)、网络详细设计
1)、架构规划
专网设计按照前端、后端方式。前端网络主要用于安防系统、一卡通、校园广播、财务、医保系统等系统的信息点接入,后端网络链接专网各种应用的服务器区。
前端网络采用双核心、接入的二层构架方式,接入层以双链路上联至核心节点,接入层已不低于1G的带宽接入核心节点。
后端网络通过接入交换机链接各种应用服务器,分区分域的接入到核心设备。考虑到后端服务器的高可靠保障和业务压力,服务器双上行方式以不低于1G的带宽链接到接入交换机。同时链接服务器的前端需要放置防火墙、IPS等安全防护设备,对后端服务器进行2~7层安全防护。
校园数据传输专网整体架构图
2)、网络拓扑设计
XX学校基地的数据传输专网网络拓扑结构为万兆核心、千兆主干、千兆或百兆到桌面的架构。系统架构分为核心层、汇聚层、分布接入层。并根据信息系统的具体情况,部署FW、IPS,网络资源平台管理系统。
双核心节点设置在校园网络中心IDC机房(内有校园网数据中心),专网和公用数据网的配线间公用,在考虑设备时,每个配线间以24个信息点为标准。
核心设备之间通过冗余的万兆光纤链路相连,通过虚拟交换技术虚拟为一台逻辑设备。此外,按各区域内部结构,分别在各单体建筑物设置楼宇接入点,接入点使用二层交换机,接入交换机通过光纤分别接入2个核心,形成跨设备的链路聚合。
l 采用冗余设计,提供冗余节点和冗余链路,提高网络可靠性和加快网络故障时的收敛速度,设计使用双节点备份和双归属链路;
l 建议实施时调整OSPF协议参数(如LSA interval)、端口linkdown感应时间、规划网络IP地址等,达到网络最佳收敛效果;
l 对于数据专网网络,可以划分多个area,核心层与汇聚层为area 0,汇聚层设备作为ABR,汇聚层与接入层之间规划为非骨干区域,为NSSA区;
l 区域间可使用路由聚合和路由过滤等手段来限制发布路由得数量,减少设备计算负担。
3)、MPLS VPN技术
①、传统的VPN组网方式
传统的VPN主要采取两种组网的方式:专线VPN和基于用户端设备的安全VPN。
专线VPN使用静态的虚电路(如ATM PVC、FR PVC 等)连接客户的站点,形成一个二层的VPN骨干网。VPN成员站点连接到运营商的边界设备(PE),由运营商负责建立VPN成员站点之间的虚电路连接,客户对属于自己VPN的站点的路由进行自主的控制和管理。采用这种方式组建VPN无论对运营商或者是对客户来说成本都是很高的,而且二层虚电路的业务提供的周期长,网络管理人员需要进行大量的手工配置工作。
对于基于客户端设备的(CE Based)VPN,VPN的功能全部在客户端的设备中实现。运营商的设备对客户的VPN来说是完全透明的。客户可以通过购买相应的VPN设备或者在现有的路由器、网关或者甚至是PC机上安装相应的VPN功能软件就可以开始独立构建基于客户端设备的VPN。
由于VPN的成员站点之间通常是通过非信任的Internet实现互连的,所以一般基于客户端设备的VPN在实现时都引入某些安全机制保护站点之间跨Internet的客户私有流量。这个解决方案的最大缺点就是客户需要购买、配置和维护昂贵的VPN网关设备,同时也意味着需要高素质的网络管理人员对VPN网关设备和整个VPN网络进行有效的管理和维护,相应也会带来网络成本的上升。
②、MPLS VPN
MPLS技术提供了类似于虚电路的标签交换业务,这种基于标签的交换可以提供类似于帧中继、ATM的网络安全性。同时相对于传统的VPN技术来说,MPLS VPN可以实现底层标签自动的分配,在业务的提供上比传统的VPN技术更廉价,更快速。
同时MPLS VPN可以充分的利用MPLS技术的一些先进的特性,比如说MPLS 流量工程能力,MPLS的服务质量保证,结合这些能力,MPLS VPN可以向客户提供不同服务质量等级的服务,也更容易实现跨运营商骨干网服务质量的保证。
同时MPLS VPN还可以向客户提供传统基于路由技术VPN无法提供的业务种类,比如像支持VPN地址空间复用。对于MPLS的客户来说,运营商的MPLS网络可以提供客户需要的安全机制,以及组网的能力,VPN底层连接的建立、管理和维护主要由运营商负责,客户运营其VPN的维护和管理都将比传统的VPN解决方案简单,也减低了企业在人员和设备维护上的投资和成本。基于MPLS的VPN可以作为传统的基于二层专线的VPN、纯三层的IP VPN和隧道方式的VPN的替代技术,在现阶段可以作为传统VPN技术的有效补充。
XX学校基地校园数据传输专网属于内部网,具有高度的可信任、可控性和可管理性,仅仅是多种不同业务在同一个承载网络运行,所以采用MPLS VPN的设计是最符合适宜的。
③、Layer3 MPLS VPN
Layer3 MPLS VPN是一种基于路由方式的MPLS VPN解决方案,ITEF RFC2547中对这种VPN技术进行了描述,MPLS Layer3 VPN也被称作是BGP/MPLS VPNs。
BGP/MPLS VPN使用类似传统路由的方式进行IP分组的转发,在路由器接收到IP数据包以后,通过在转发表查找IP数据包的目的地址,然后使用预先建立的LSP进行IP数据跨运营商骨干的传送。
为了使运营商的路由器可以感知客户网络的可达性信息,运营商的边界路由器(PE)和客户端路由器(CE)进行路由信息的交互。PE和CE之间的路由交换可以采用静态路由,也可以采用RIP、OSPF、ISIS和BGP等动态的路由协议。BGP/MPLS VPN的解决方案支持对等方式的VPN网络结构。
PE之间属于同一MPLS VPN的路由信息通过BGP协议承载进行交互。PE路由器使用LSP进行路由转发,对于运营商路由器P并不需要知道客户VPN网络的信息,这种透明可以有效的减小P路由器的负担,提高网络的扩展性和业务开展的灵活性。
通过PE之间、PE和CE之间的路由交互,客户的路由器可以知道属于同一个VPN的网络拓扑信息。
BGP/MPLS VPNs 可以解决基于纯IP Layer3 VPN无法实现的一些功能,主要有:
支持地址重叠,即同时支持使用公有地址的客户端设备和私有地址的客户端设备,或者多个VPN使用同一个地址空间;
支持重叠VPN,即一个站点可以同时属于多个VPN,很好的解决了数据集中管理,同时亦适用分布式数据管理。
(对单一数据中心设计来说,这有利于多个业务使用同一个数据中心,便于数据集中;对分布式数据中心则无需考虑此问题)
(3)、设备选择
本方案的校园数据传输专网骨干网核心交换机上配置企业级版本路由软件,完全支持各种MPLS协议功能。在本方案中,这些交换机作为P或PE设备使用。
本方案配置的各片区的单体建筑接入交换机都支持作为CE接入MPLS主干网,尤其是它们都具有Multi-VRF CE功能,允许将本地网络不同的VLAN、线路、连接等映射到不同的骨干网VPN上。
未来校园数据传输专网承载的业务包括一卡通、安防系统、广播系统、医保系统和财务系统等,其中除安防系统需要传递实时数据,并且数据量较大外(单路视频码流2Mbps),其余系统数据量都在Kbps级别,因此百兆接入,千兆上联,对于一个单体建筑足够,并且链路资源仍有大量冗余。针对安防系统还可以根据时间情况采用多播、广播等技术手段进一步优化提高传输效率。
接入层设备CE配置有百兆电口用于为各业务系统提供接入;千兆光口分别用于上联至2个核心机房的核心设备。
核心层设备PE配置有千兆电口用于相关业务系统服务器使用;千兆光口用于连接接入层;万兆光口核心互联用于对实时数据访问要求高的如安防系统的数据中心使用。
(4)、实现方式
XX学校基地数据传输专网MPLS VPN原理图
本方案为所有单体建筑配置的接入交换机满足作为MPLS CE的功能要求。
如上图所示,一卡通、安防系统、广播系统、医保系统和财务系统都是通过以太网接入与校园信息网物理隔离的校园数据传输专网中,图中假设D处有一卡通系统和广播系统需要通过以太网接入校园数据传输专网,而C处有一卡通系统、安防系统和广播系统需要通过以太网接入校园数据传输专网。通过图中的设置,只要把接入交换机作为CE使用,一卡通系统VPN11和广播系统VPN12就能实现接入。
由于接入交换机具有Multi-VRF CE功能,它可以根据本地的不同VLAN设置将其映射到MPLS VPN上,如图中所示,D处一卡通系统作为局域网VLAN 11可以访问整个一卡通系统,而C处局域网VLAN11可以映射到一卡通系统VPN11上。其他各业务系统也是如此实现。(另注:此处举例使用A、B、C、D点与光缆系统中的交界点无关)。
6.2.2.3、校园WI-FI网络设计
无线局域网(WLAN)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点:
简易性:WLAN网络的安装快速简单,可极大的减少敷设管道及布线等繁琐工作;
灵活性:无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域;
综合成本较低:一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适应网口和学校内部Intranet相连,从体系结构上节省了协议转换器等相关设备;
扩展能力强:WLAN网络支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统。
(1)、设计目标
侧重实际应用,覆盖校园内公共区域,为教学和学习生活提供切实可用的无线网络环境。
l 采取通行的网络协议标准:目前无线局域网普遍采用802.11系列标准,因此校园
无线局域网将主要支持业界最先进的802.11n标准,以提供可供实际应用稳定的、高速的移动网络通讯服务,同时兼顾多种类型应用和将来的投资保护,需要同时支持801.11a,801.11b,802.11g。
l 全面的无线网络支撑系统(包括无线网管、无线安全,无线计费,IPv6等),以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题。
l 保证网络访问的安全性。
l 采用非独立的、可与有线网络无缝对接的无线网络结构。
l 覆盖范围要求
a、有线网络使用不便或受限的室内空间:校园内一些室内场所空间较大,会产生许多人同时接入网络的需求,采用有线的方式只能提供少量接口,不能满足要求。用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。主要包括图书馆、体育场馆、学术交流中心、各教学楼等;
b、有线网络无法接入的室外场所:校园内一些场所很难实现网络有线接入,采用无线方式可以实现覆盖大范围室外空间的无线网络接入。本次建设建议首先考虑室内覆盖,后续可对室外覆盖进行规划。
l 安全、认证、计费和管理要求:
要与计费系统对接,实现针对用户计费、管理、控制功能。
(2)、802.11n覆盖解决方案
1)、部署方案
本次设计的有线无线一体化方案为无线控制器+802.11n“瘦”AP方案,无线控制器作为无线数据控制转发中心,旁挂部署于网络中心机房的核心交换机侧,无线接入点则部署在校园内的室内公共区域。
11n Fit AP和无线控制器之间既可以在同一个网段,也可以不在同一个网段,它们之间通过CAPWAP协议自动建立隧道(该隧道基于UDP,可以穿越三层网络),结合有线交换机的接入功能,这样就非常容易部署有线无线一体化接入方案。
为了提高无线网络的可靠性,建议部署2台1:1备份的无线控制器,无线控制器支持100毫秒业务备份,AP会同时和两台无线控制器建立CAPWAP链路,一台作为主控制器,另外一台作为备份控制器,但只有和主控制器建立的CAPWAP链路处于工作状态。
当主控制器异常down机时,备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒之内检测到主设备的异常,并通知AP将主控制器CAPWAP链路切换,保证控制信号的不间断传送。
2)、方案特点
本方案的特点如下:
①、 IEEE 802.11n技术主要依靠物理层和MAC层的技术改进来实现速率的提升。主要应用到的技术包含如下:
MIMO,多入多出,在链路的发送端和接收端都采用多副天线,是将多径传播变为有利因素,从而在不增加带宽的情况下,成倍地提高通信系统的容量和频谱利用率,以达到WLAN系统速率的提升。
双频带 (支持20/40M带宽),通过将两个20MHz的带宽绑定在一起组成一个40MHz通讯带宽,在实际工作时可以作为两个20MHz的带宽使用,收发数据时既可以以40MHz的带宽工作,也可以以单个20MHz带宽工作,从而将速率提高一倍。
Short Guard Interval(GI),短保护间隔,射频芯片在使用OFDM调制方式发送数据时,整个帧是被划分成不同的数据块进行发送的,为了数据传输的可靠性,数据块之间会有GI,用以保证接收侧能够正确的解析出各个数据块。无线信号在空间传输会因多径等因素在接收侧形成时延,如果后面的数据块发送的过快的话,会和前一个数据块的形成干扰,而GI就是用来规避这个干扰的。11a/g的GI时长为800us,而Short GI时长为400us,在使用Short GI的情况下,可提高10%的速率。
Frame Aggregation,帧聚合,通过把多个待发送的载荷聚合到一起,一次性发送,减小了多次报文发送所需的额外协议负荷,从而提高吞吐。
SM Power Save,主要考虑在MIMO中如何通过关闭天线来节约电源。
②、全系无线产品支持IPv4和IPv6双栈,为用户提供和有线网近乎同等的应用承载:
l 无线交换机支持MLD Snooping,配合现有IPv6有线网络,实现IPv6组播业务;
l AP和无线控制器之间可以建立基于IPv6地址的隧道,多个无线控制器之间可以建立基于IPv6地址的隧道;
l 支持IPv6管理特性。
③、智能射频管理:
每个AP上电时,无线控制器会根据AP的邻居关系动态调整AP工作的信道和发射功率,在保证覆盖的前提下保证AP间的干扰最小。
当AP覆盖区域受到外界强信号干扰时,无线控制器会控制AP自动切换到合适的工作信道以规避干扰信号。
当覆盖区域内的某个AP发生故障而造成覆盖黑洞时,无线控制器会自动调整相邻的AP的发射功率以消除黑洞区域,当故障AP恢复工作后无线控制器可以自动调整邻居AP的发射功率恢复原始工作状态。
④、智能负载均衡:无线控制器可以设定AP间对接入用户进行负载分担,负载分担的策略可以是基于AP接入的用户数量,AP流量负载情况;
当无线控制器发现AP的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入,如果有则AP会拒绝用户的关联请求,用户会转而接入其他负载较轻的AP;
只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能,有效的避免误均衡的出现。
⑤、无线入侵检测:非法设备是未经网络管理者许可部署的无线设备或者是发起无线攻击的设备,无线控制器可以指定AP工作在两种工作模式:模式一、AP负责监听空口所有信道的信息,但不负责用户报文的转发。模式二、AP在为用户转发数据的同时定期切换到其他信道监听信息;
l AP设备负责把监听到的无线设备和有攻击行为的无线设备上报给无线控制器;
l 无线控制器根据AP上报的设备信息识别合法设备,排除非法设备;
l 无线控制器可以控制AP 将非法设备列入黑名单或者对其发起攻击。
6.2.2.4、网络安全解决方案
网络安全是一个系统工程,不是单一的产品或技术可以完全解决的。这是因为网络安全包含多个层面,既有层次上的划分、结构上的划分,也有防范目标上的差别。在层次上涉及到网络层的安全、传输层的安全、应用层的安全等;
在结构上,不同节点考虑的安全是不同的;在目标上,有些系统专注于防范破坏性的攻击,有些系统是用来检查系统的安全漏洞,有些系统用来增强基本的安全环节(如审计),有些系统解决信息的加密、认证问题,有些系统考虑的是防病毒的问题。
任何一个产品不可能解决全部层面的问题,这与系统的复杂程度、运行的位置和层次都有很大关系,因而一个完整的安全体系应该是一个由具有分布性的多种安全技术或产品构成的复杂系统,既有技术的因素,也包含人的因素。
基于我们对于以上对安全知识和安全模型的理解和分析,对于XX学校基地来说,建立一个完整的校园网络安全体系,需要使用安全厂商提供的成熟的安全产品和技术。因此,我们从以下几个方面制定了一个一揽子的校园网络安全解决方案。
1、安全性考虑要素
根据XX学校基地校园网的实际应用场景不同,可以从以下几个层面进行安全考虑:
1)、物理层安全
主要包括三个方面:环境安全、设备安全、线路安全。为了将不同密级的网络隔离开,采用隔离技术将外网和内部保护网两个网络在物理上隔离同时保证在逻辑上两个网络能够连通。将可信网和不可信网要物理隔断,可信网络上的计算机不能访问不可信网络。两个网络能够有选择的交换数据,好像它们直接相连一样。
2)、网络层安全
解决网络层安全的总体思路是业务隔离、分层实施、重点保护核心设备。通过定制设备安全策略、部署防火墙和IDS系统、部署网管系统和日志系统、日常维护流程保证等措施来保障网络层的安全。
(1)、在多个网络层面(外网、停火区和内部保护网)之间均设置防火墙,需要实施相应的安全策略控制,并采用安全检测手段防范非法用户的主动入侵。同时,网络系统的重要主机或服务器的地址使用Internet保留地址,并有统一的地址和域名分配办法,这样一方面解决合法IP不足的问题,另一方面,利用Internet无法对保留地址进行路由的特点,杜绝与Internet直接互连。
--采用的防火墙产品具有以下功能:
--基于状态检测的分组过滤
--多级的立体访问控制机制
--面向对象的管理机制
--持多种连接方式,透明、路由
--支持OSPF、IPX、NETBEUI、SNMP等协议
--具有双向的地址转换能力
--透明应用代理功能
--一次性口令认证机制
--带宽管理能力
--内置了一定的入侵检测功能或能够与入侵检测设备联动
--远程管理能力
--灵活的审计、日志功能
(2)、部署基于网络、实时的入侵检测系统实时监控网络关键路径的信息,全面侦听网上信息流、动态监视网络上流过的所有数据包,通过检测和实时分析,及时甚至提前发现非法或异常行为,并进行响应。通过采取告警、阻断(如发送TCP Reset报文等)、与其他网络设备联动等事件响应方式,以最快的速度阻止入侵事件的发生。
(3)、系统网络结构采用双网双平面,避免单点故障,每台服务器都有同时连接到两台主干网络交换机上,实现网络路由的备份,这样,在一条网路出现故障的情况下,整个网络系统仍然可以正常运行,有力地保证了系统的安全性和可靠性。
2)、系统层安全
从物理安全、登录安全、用户安全、文件系统、数据安全、各应用系统安全等方面制定强化安全的措施。Unix(或Unix Like)平台具有良好的稳定性和病毒免疫力,系统关键节点如校园各应用系统服务器、数据中心、财务系统等等采用Unix(或Unix Like)操作系统,其他采用Windows环境的服务器安装防病毒软件,预防病毒和恶意攻击。
3)、应用层安全
主要通过分权分域管理、加强操作系统自身安全、双机集群、用户数据加密存储、接口数据加密传输等方式。
(1)、分权分域:对中心和虚拟中心操作员分权分域管理,涉及操作员的角色(权限)设置、地区设置和可管理数据类别设置。
(2)、操作系统自身安全:加强操作系统用户管理、关闭不常用的端口和服务、及时安装操作系统补丁。
(3)、双机集群:系统中的核心服务器等采用双机群集技术,可以保证当任何一台主机出现故障的时候,另一台主机可以接替援用,将原来运行在该主机上的应用软件包接管过来,从而确保对用户的不间断服务。同时中心服务器上的硬盘都应支持热插拔,当出现故障时,可以在不断电、不停机的情况下替换这些部件。从而保证局部的故障不会影响整个系统的运行,同时也方便系统的维护。
(4)、用户数据加密存储:任何系统维护人员都不能直接看到用户数据。而只能的得到系统的统计结果。同时对用户关键数据,如密码等采用不可逆的加密算法如MD5进行加密存储。
(5)、接口数据加密传输:在和其他外部系统接口交换数据过程中,接口数据采加密算法进行加密传输。
经过上述几个方面的防范,对于病毒、恶意程序、Hacker入侵完全可以避免,能够保证系统的安全。当然完善的维护制度是保证上述策略能够很好贯彻的保证,因此需要制定完善的机房维护制度,每天检查防火墙、防病毒软件、操作系统、数据库的日志,及时发现问题,从而针对问题及时解决。
新增的安全组件主要包含二大部分:
(1)、应用于被监控局域网络
包括基于网络的入侵检测系统、安全扫描系统。
(2)、应用于被监控局域网络与广域网络之间
主要是指防火墙,还可以有针对于防火墙的入侵检测系统。
2、主要安全手段
1)、双层防火墙
为了更好的保护XX学校基地智慧校园中需要访问外网的服务器以及内部网络的安全,系统建议采用双层防火墙机制,如下图所示:
双层防火墙组网方案
在外部防火墙和内部防火墙之间称为停火区,提供外部网络访问的服务器就位于这个区域,表明即使攻击者通过外部防火墙进入这个区域,也无法攻入内部网络。双层防火墙通过设置了两层防火墙,使得内部网络更为安全。外层防火墙实现包过滤功能,然而却允许外部网络访问其中的服务器,如管理平台门户服务器、查询网关、防病毒服务器等;内部防火墙允许最中间的内部网络可以访问外部网络。
基于高安全性考虑,校园网内部系统WEB Server与Internet之间采用双层防火墙技术,将WEB Server放在防火墙的DMZ(停火区),即WEB Server与内、外网之间均设置防火墙,建议这两个防火墙采用不同厂商的防火墙。
WEB服务器在一定程度上和应用服务器交互获取系统业务数据及业务逻辑,而WEB服务器是对公网服务的,那么应用服务器很可能成为系统的一个安全薄弱环节,外网的攻击就有可能通过应用服务器进入核心数据系统。因此,内网和应用服务器之间的交互在一定程度上必须考虑访问权限和安全性问题。
防火墙的每个端口都有不同的安全级别,低安全级别端口和高安全级别端口之间只能容许单向访问,低安全级别端口要主动访问高安全级别端口是需要单独授权的。而且协议端口号也可以根据协议的需要来动态开放使用。
防火墙同时也具有解决公网最为猖獗的DDOS(分布式拒绝服务)攻击的能力。
2 )、病毒防杀策略
针对病毒的特点,需制定了完善的病毒防杀策略。对于病毒的入侵,防范是关键,要做到很好的防范,需要从下面几个方面入手:
(1)、操作系统
操作系统的安全是整个防病毒的关键,每个操作系统都存在安全的漏洞,为了最大限度的防止操作系统的漏洞,就需要即使安装最新的操作系统的补丁,将漏洞的危险降到最低。
另外操作系统的用户和密码也是操作系统容易出问题的部分,为了避免由于用户和密码的原因,需要尽量减少系统的用户,将不需要的用户和密码删除,并且密码长度要求8位以上,密码的组成为数字、字母、特殊字符的组合,避免密码被攻破。
(2)、网络
网络的安全是保证系统安全的基本,现在很多病毒、木马、蠕虫都是通过网络来传播,因此网络的安全就额外重要。网络完全的保证主要由双层防火墙来保证将内网和外网分离,将不需要开放给公网的设备都放在内网,将需要开放的设备放置在DMZ区,这样的结构能够很好的防止网络的攻击。另外系统和外网之间的链接也都需要架设防火墙,这样能够防止一个网络出问题不会影响其他网络的安全,在防火墙上不开放不必要的端口和协议,严格设置防火墙的访问策略能够很好的保证网络的安全。
(3)、数据库
数据库的安全也是系统安全的重要的一环,数据库是整个系统的核心,数据的安全是数据库安全的根本。数据库的安全的保证需要及时的安装数据库的补丁,严格控制数据库的用户和密码,以及各个用户的权限。
(4)、专业的防病毒软件
安装专业的防病毒软件是系统安全不可缺少的部分,专业的防病毒软件能够有效的制止病毒的攻击和破坏,是系统安全的最后的一环。要保证防病毒软件能够有效的防止病毒的入侵就需要及时更新病毒库,定期对系统做全面的病毒扫描,及时发现并消灭病毒。建议设置为每天自动更新病毒库,以及每周对系统做全面的病毒扫描。
经过上述的4个方面的防范,对于病毒入侵完全可以避免,保证系统的安全。当然完善的维护制度是保证上述策略能够很好贯彻的保证,因此需要制定完善的机房维护制度,每天检查防火墙、防病毒软件、操作系统、数据库的日志,及时发现问题,从而针对问题及时解决。
3 )、部署IDS系统
对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。
入侵检测系统的主要功能有:
1)监测并分析用户和系统的活动;
2)核查系统配置和漏洞;
3)评估系统关键资源和数据文件的完整性;
4)识别已知的攻击行为;
5)统计分析异常行为;
6)操作系统日志管理,并识别违反安全策略的用户活动。
可以采用CA等厂商的入侵检测产品,如CA eTrust Intrusion Detection等。
下面根据XX学校基地智慧校园中应用系统的重要程度,分别给出安全配置解决方案建议。
4 )、上网行为管理
上网行为管理通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽,保障OA、ERP等办公应用获得足够的带宽支持,提升上网速度和网络办公应用的使用效率。
(2)、记录上网轨迹满足法规要求
上网行为管理可以帮助组织详尽记录用户的上网轨迹,做到网络行为有据可查,满足组织对网络行为记录的相关要求、规避可能的法规风险。
(3)、管控外发信息,降低泄密风险
上网行为管理充分考虑网络使用中的主动泄密、被动泄密行为,从事前防范、事中告警、事后追踪等多方面防范泄密,为组织保护信息资产安全,降低网络风险。
(4)、为网络管理与优化提供决策依据
上网行为管理提供了丰富的网络可视化报表,能够提供详细报告让管理者清晰掌握互联网流量的使用情况,找到造成网络故障的原因和网络瓶颈所在,从而对精细化管理网络并持续加以优化提供了有效依据。
(5)、防止病毒木马等网络风险
利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等,从源头上切断病毒、木马的潜入,再结合终端安全强度检查与网络准入、DOS防御、ARP欺骗防护等多种安全手段,实现立体式安全护航,确保组织安全上网。
5)、VPN认证
(1)、移动办公
通过VPN使笔记本、桌面PC、智能手机、PDA等移动终端设备实现安全、便捷的远程接入内网。
(2)、内网分区逻辑隔离保护
通过细致的权限划分、多种认证安全机制、客户端安全检查等多项技术为您实现安全、可靠、低成本、灵活度高的网络逻辑隔离方案。
(3)、关键业务信息系统安全加固
提供完整的关键业务信息系统安全加固方案,提供完整的身份认证机制及访问过程保护,并具有专利技术主从帐号绑定指定用户的应用访问帐号,杜绝帐号冒用及越权访问。
(4)、防范WLAN非法访问
提供安全的WLAN接入方案,通过SSL VPN进行WLAN接入的统一认证,严格控制访问用户,防止信息泄漏,保护应用安全。
