校園網(wǎng)現(xiàn)狀

校園網(wǎng)出口設(shè)備深信服AD-2000上聯(lián)三條光纖鏈路到運營商，下聯(lián)兩臺思科ASA 5550防火墻，防火墻下聯(lián)兩臺思科6509-E核心交換機，服務器群直接連接到思科6509-E主核心交換機上，新校區(qū)各棟樓的思科3560-E匯聚交換機分別上聯(lián)兩臺核心交換機，老校區(qū)一臺思科6509交換機作為匯聚交換機分別上聯(lián)兩臺核心交換機，新老兩個校區(qū)各棟樓的樓層接入交換機分別上聯(lián)到各棟樓的匯聚交換機，接入交換機主要采用思科、華為、華三等主流廠商的設(shè)備。

圖1 改造前網(wǎng)絡拓撲圖

存在的問題

我校老校區(qū)網(wǎng)絡設(shè)備已經(jīng)運行近十年，全部進入報廢期；絕大多數(shù)設(shè)備都更換過電源或板卡等模塊，對系統(tǒng)穩(wěn)定運行造成極大隱患，近年來冗余連接及單點故障逐步增多，用戶網(wǎng)絡中斷時有發(fā)生。新校區(qū)網(wǎng)絡設(shè)備已經(jīng)運行了六年，全部進入老化期；樓層匯聚交換機很多都更換過電源模塊，接入交換機有不少都返廠維修過，而且各棟樓的弱電機房環(huán)境惡劣，里面運行著大量的三大運營商的基站設(shè)備，管理混亂，給日常維護帶來許多不便。隨著我校網(wǎng)絡規(guī)模的不斷擴大，原來的出口設(shè)備已經(jīng)不能滿足需求，經(jīng)常出現(xiàn)丟包故障，兩臺防火墻也相繼宕機返廠維修，嚴重影響了校園網(wǎng)的穩(wěn)定運行，因此急需對校園網(wǎng)進行升級改造。

升級改造解決方案

1、出口設(shè)備性能不足，經(jīng)常出現(xiàn)丟包故障，兩臺防火墻也相繼出現(xiàn)硬件故障返廠維修等問題，考慮到三臺設(shè)備都已經(jīng)過保，并且性能都不能滿足需求，故只能更換設(shè)備。根據(jù)公安部82號令要求，互聯(lián)網(wǎng)服務提供者、聯(lián)網(wǎng)使用單位必須具有“記錄并留存用戶訪問的互聯(lián)網(wǎng)地址或域名”，“在公共信息服務中發(fā)現(xiàn)、停止傳輸違法信息，并保留相關(guān)記錄，能夠記錄并留存發(fā)布的信息內(nèi)容及發(fā)布時間”，“防范、清除以群發(fā)方式發(fā)送偽造、隱匿信息發(fā)送者真實標記的電子郵件或者短信息”，“應當具有至少保存六十天記錄備份的功能”的措施，為了規(guī)避政策風險，經(jīng)研究決定購買一臺360網(wǎng)神下一代防火墻，配置雙電源，作為出口網(wǎng)關(guān)；購買一臺深信服上網(wǎng)行為管理，配置雙電源，作審計；購買一臺啟明星辰Web應用防火墻，配置雙電源，為服務器群提供應用安全防護。

下一代防火墻配置（部分）

將三條運營商的光纖鏈路連接到下一代防火墻的千兆光口上，定義這三個光口的安全域為untrust；將下一代防火墻上的兩個萬兆光口分別連接到上網(wǎng)行為管理的兩個上行萬兆光口，定義這兩個光口的安全域為trust；將下一代防火墻上的另外兩個萬兆光口做端口聚合，定義該聚合口的安全域為dmz，分別連接到dmz交換機的兩個上行萬兆光口。

在下一代防火墻上配置策略路由，實現(xiàn)三條出口鏈路流量負載均衡；配置靜態(tài)路由和SNAT，實現(xiàn)校園網(wǎng)用戶使用私有地址訪問互聯(lián)網(wǎng)；配置DNAT，將學校主網(wǎng)站、招生網(wǎng)、學工網(wǎng)等網(wǎng)站對外發(fā)布；配置安全策略過濾不安全的訪問，啟用入侵防護功能攔截網(wǎng)絡攻擊，啟用病毒檢測功能查殺病毒，啟用SSL VPN功能實現(xiàn)校外教職工安全訪問校園網(wǎng)內(nèi)部資源，啟用靜態(tài)DNS，實現(xiàn)校園網(wǎng)用戶訪問學校對外發(fā)布的網(wǎng)站由下一代防火墻負責解析域名。

上網(wǎng)行為管理配置（部分）

將上網(wǎng)行為管理的四個萬兆光口兩兩一組做網(wǎng)橋，分別上聯(lián)下一代防火墻的兩個萬兆光口，下聯(lián)兩臺核心交換機的兩個萬兆光口。在上網(wǎng)行為管理上啟用流量管理功能，根據(jù)應用類型做流控。上網(wǎng)策略和認證策略全部使用設(shè)備默認配置，等下次認證服務器采購到貨后再單獨規(guī)劃配置。

Web應用防火墻配置（部分）

將Web應用防火墻的四個萬兆光口兩兩一組做端口聚合，再做網(wǎng)橋，分別上聯(lián)下一代防火墻的兩個萬兆光口（聚合口），下聯(lián)dmz交換機的兩個萬兆光口（聚合口）。在Web應用防火墻上根據(jù)訪問類型http和https定義網(wǎng)站地址對象，根據(jù)網(wǎng)站應用類型定義事件集、站點安全，配置虛擬服務和Flood防護等應用防護策略。

圖2 改造后網(wǎng)絡拓撲圖

2、老校區(qū)網(wǎng)絡設(shè)備都進入了報廢期，經(jīng)研究決定匯聚交換機全部換成華三S5560-30F-EI三層交換機，接入交換機換成華三S5120S-EI弱三層交換機。新校區(qū)網(wǎng)絡設(shè)備都進入了老化期，經(jīng)研究決定將部分狀況較差的匯聚交換機換成華為S5720-56CEI-48S三層交換機，部分狀況差的接入交換機換成華為S5700-LI弱三層交換機。無線局域網(wǎng)的升級改造已于2016年上半年完成，該文已在《網(wǎng)絡安全和信息化》雜志2016年第11期刊登，在此就不在贅述。按照以上提供的解決方案，校園網(wǎng)升級改造完成后的網(wǎng)絡拓撲結(jié)構(gòu)如圖2所示。

經(jīng)驗總結(jié)

網(wǎng)絡升級改造是一項非常復雜的系統(tǒng)工程，它涉及范圍廣，工作量大，責任重大。因此，前期要做好方案，測試工作必須做到位，尤其是不同廠商交換機的生成樹對接問題，不同廠商網(wǎng)絡設(shè)備的端口聚合問題要特別引起注意。