2016/3/25 16:42:21 益教教育参与的高校校园网升级改造内容建设

 本文主要是从高校现有网络条件而进行分析,从学校校园网的业务需求,网络规模和结构、安全管理要求等方面具体阐述校园网升级改造的内容。首先从学校现有网络的条件与现状分析校园网升级改造的紧迫性。

 “通过几年从事学校网络管理的经验分析,在设备方面,学校的很多现有设备已严重老化,基本无法再做主设备使用,必须根据学校的发展需求采购新型的网络设备。”学校信息化办公主任王海涛说;“很多设备比较陈旧,如学校原有的主代理服务器,智能做一些备用的交换机或供一些要求不高的房间使用,如我们信息工程学院路由器在工作两天左右就堵死,所以该路由只能用作暂时性的代替工作或备用;”信息工程的张谢芳教授说;这些都是学校校园网升级改造必须要实现的部分,因为只有完善这一问题才能确保学校工作有序开展。在线路方面,学校在建网时相对做得比较好,在楼与楼之间都是用 6 芯单模光纤来连接,主干线路为 8 芯单模光纤,扩展性很好,所以整个线路将无需改动。这是我们需要保留的部分。

通过以上校园网升级改造问题的分析,我们了解到学校需求的各个方面,从而针对这一问题制定了改造的内容:

一是改变整个校园网的接入设备老化,设备功能简单,台不可网管和不具有病毒防范的能力。在改造中我将统一选取可远程网管并具有病毒防范功能的交换机,根据各层的功能使用不同的接入设备。如在接入层采用具有端口管理、VLAN划分和远程 WEB 管理功能的交换机即可,只要能将用户隔离开,一旦出现个别用户中病毒或从事占用带宽的行为,可将其限制在接入层就处理完,不要影响到上一层的工作。

二是改变学校网络出口仅用一台浪潮服务器代理的核心结构,因为使用代理服务器,并将安全策略都应用在服务器上,服务器将是将个校园网的瓶颈,一旦服务出现故障,整个校园网也将瘫痪。所以此次改造我将采用路由器做边界代理,在边界路由上做简单的安全策略,防止他人非法侵入更改路由设置,如开启攻击防范功能(firewall enable)、关闭 TELNET 功能、关闭他人查看路由诊断信息(undo service tcp-small-servers/undo service udp-small-servers)等。其他的安全策略将分散到各层的接入设备中,可能减轻各层交换设备的负担,保证高速、安全的运转。

三是改学校网络单引擎、单核心,骨干单链路很容易造成单点故障的现状。改造仍采用传统的三层架构,核心层除了采用路由代理,将使用一台具有双电源、双引擎等功能的三层交换设备,并且把原有的三台 TP-LINK 小路由做为备用接入线路。这样一旦核心交换设备出现故障,我们将可以启用备用线路来应急,既可实现双线备份,双可以不浪费原有设备和资金。

四是改变学校网络有统一的身份认证和缺乏监管。我将在汇聚层的接入设备中使用用户合法认证功能,开启 IP+MAC+PORT 绑定,未经许可的用户将无法接入校园络中。而在核心层中开启端口镜像功能,借用第三方行为管理软件,对用户的上网行为进行合法的监控。

五是弥补学校网络的单一接入方法,建设统一的无线接入,方便教职工随时随地的上网。但由于无线网络是开放的,首先在用户接入时将采用密码方式,给申请使用无线网络的用户 AP 连接的密码,避免非法用户攻击性的扫描。其次在用户连接入校园网后仍采用 IP+MAC 绑定,对用户的身份再次确认,以保证无线网络的安全性。

本章先通过对我校校园网改造前的分析,取其精华,确定出哪些要改造和可再次使用的,以节约改造的成本。再通过对用户的需求分析来确定怎么改,改造后的校园网只要能满足用户的需求就行,建设再好但没用上就是浪费。所以针对这些而升级改造的内容正是我们所需要的!


 
QQ在线咨询
销售热线
0371-53302651