姜興宗

摘 要：高校校園數(shù)據(jù)網(wǎng)絡(luò)建設(shè)是高校的重要基礎(chǔ)建設(shè)項(xiàng)目，是承載高校教學(xué)、科研等先進(jìn)信息化教學(xué)環(huán)境的核心載體。文章以某校園數(shù)據(jù)網(wǎng)絡(luò)升級(jí)改造工程為依托，研究設(shè)計(jì)具備寬帶、可交互、專業(yè)性以及保障信息安全性的寬帶綜合校園網(wǎng)。對(duì)其無線網(wǎng)絡(luò)優(yōu)勢(shì)、有線建設(shè)方案以及網(wǎng)絡(luò)安全解決方案進(jìn)行深度剖析。最終設(shè)計(jì)并實(shí)現(xiàn)了高校校園完善的數(shù)據(jù)網(wǎng)絡(luò)，實(shí)現(xiàn)校園辦公網(wǎng)100G互通、寬帶上網(wǎng)以及全區(qū)域無線覆蓋，為高校校園網(wǎng)建設(shè)提供高效可行的實(shí)現(xiàn)方案。

關(guān)鍵詞：無線局域網(wǎng)；無感知漫游；信息安全；互聯(lián)互通

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：2095-2945（2018）06-0110-02

Abstract： The construction of campus data network is an important， basic construction project in colleges and universities. It is a core carrier of advanced informatized teaching environment such as teaching and research in colleges and universities. Based on a campus data network upgrade project， this paper studies and designs a broadband comprehensive campus network with broadband， interactive， professional and information security. The advantages of wireless network， cable construction and network security solutions are analyzed in depth. Finally， the paper designs and realizes the perfect data network of the university campus， realizes the 100G interconnection of the campus office network， the broadband Internet access and the wireless coverage of the whole area， and provides an efficient and feasible scheme for the construction of the university campus network.

Keywords： wireless local area network； sensorless roaming； information security； interconnection

1 概述

隨著經(jīng)濟(jì)發(fā)展和科教興國戰(zhàn)略的實(shí)施，高等學(xué)校的校園數(shù)據(jù)網(wǎng)絡(luò)建設(shè)已經(jīng)成為學(xué)校的基礎(chǔ)建設(shè)項(xiàng)目，同時(shí)也是衡量高校信息化建設(shè)程度的重要標(biāo)志之一。校園數(shù)據(jù)網(wǎng)絡(luò)為高校師生提供教學(xué)、科研和綜合信息服務(wù)，同時(shí)，作為學(xué)校教學(xué)、科研等先進(jìn)信息化教學(xué)環(huán)境的提供載體，要求其必須具備寬帶、可交互和專業(yè)性三方面特征。校園數(shù)據(jù)網(wǎng)絡(luò)應(yīng)該能夠輔助科研、教學(xué)，提供多媒體教學(xué)軟件開發(fā)平臺(tái)、多媒體演示教室、教師備課系統(tǒng)、電子閱覽室以及教學(xué)、考試資料庫等。對(duì)于綜合性院校，還應(yīng)在校園內(nèi)形成多個(gè)互聯(lián)互通的局域網(wǎng)絡(luò)，并通過有線或無線方式連接起來。進(jìn)一步地，高校的校園數(shù)據(jù)網(wǎng)絡(luò)還應(yīng)具有教務(wù)、行政管理等功能。

關(guān)于校園網(wǎng)絡(luò)建設(shè)一直以來存在著不少的誤區(qū)。有些網(wǎng)絡(luò)開發(fā)商一味地追求建設(shè)投入，缺乏綜合規(guī)劃及開發(fā)應(yīng)用；有些高校在啟動(dòng)實(shí)施校園網(wǎng)建設(shè)工程后，對(duì)建成網(wǎng)絡(luò)的綜合管理以及教師、學(xué)生的應(yīng)用培訓(xùn)不夠，導(dǎo)致教學(xué)資源的開發(fā)不足，未能最大限度利用校園網(wǎng)絡(luò)的優(yōu)勢(shì)服務(wù)于高校的教學(xué)、科研及日常運(yùn)行管理。此外，隨著當(dāng)今時(shí)代信息技術(shù)的變革、革新，隨著充斥網(wǎng)絡(luò)的海量信息的出現(xiàn)，保障校園網(wǎng)安全的形勢(shì)也日益嚴(yán)峻。目前，高校校園網(wǎng)的安全防護(hù)體系尚存在一些問題，主要體現(xiàn)在以下方面，網(wǎng)絡(luò)的安全防御能力較低，極易受到病毒、黑客的影響，對(duì)移動(dòng)存儲(chǔ)介質(zhì)的上網(wǎng)監(jiān)測(cè)手段不足，缺少綜合、高效的網(wǎng)絡(luò)安全防護(hù)和監(jiān)控手段，削弱了網(wǎng)絡(luò)本身的可靠性。因此，急需對(duì)現(xiàn)有校園網(wǎng)進(jìn)行升級(jí)改造，并建立一套多層次的安全管理體系，加強(qiáng)校園網(wǎng)的安全防護(hù)和監(jiān)控能力，為校園信息化建設(shè)奠定更加良好的網(wǎng)絡(luò)安全基礎(chǔ)。

2 無線網(wǎng)絡(luò)校園內(nèi)無感知漫游

WLAN具有兩個(gè)相互獨(dú)立的部分，即公共無線局域網(wǎng)接入熱點(diǎn)區(qū)域和局端網(wǎng)絡(luò)節(jié)點(diǎn)。在熱點(diǎn)區(qū)域，運(yùn)營商布置AP作為無線網(wǎng)絡(luò)的接入端口，而其用戶通過移動(dòng)終端（如筆記本電腦、PDA等）加上無線網(wǎng)卡實(shí)現(xiàn)Internet的無線接入。在局端網(wǎng)絡(luò)節(jié)點(diǎn)，可以提供認(rèn)證、漫游、計(jì)費(fèi)業(yè)務(wù)等功能。這些熱點(diǎn)的數(shù)據(jù)信息被連接到IP核心網(wǎng)，核心網(wǎng)提供了接入網(wǎng)和傳遞鑒權(quán)、計(jì)費(fèi)信息至移動(dòng)網(wǎng)絡(luò)。WLAN網(wǎng)絡(luò)主要由WLAN終端設(shè)備（WLAN網(wǎng)絡(luò)卡）、WLAN接入點(diǎn)設(shè)備（AP）、接入控制點(diǎn)（AC）、PORTAL服務(wù)器、RADIUS認(rèn)證服務(wù)器、用戶認(rèn)證信息數(shù)據(jù)庫、BOSS等系統(tǒng)組成。

WLAN漫游示意圖如圖1所示。這里的關(guān)鍵是用戶業(yè)務(wù)不中斷，如果STA先在AP1下線，業(yè)務(wù)中斷，一段時(shí)間后再到AP2上重新上線，重新獲取IP，則不能稱為漫游。當(dāng)然，用戶業(yè)務(wù)不中斷是指宏觀意義上的，實(shí)際上由于多種因素，如漫游前后兩個(gè)AP間的信號(hào)交疊地帶信號(hào)弱或存在空洞、終端漫游過程中需要切換信道掃描到新AP、終端需要在新老AP間切換關(guān)聯(lián)關(guān)系、終端關(guān)聯(lián)到新AP后需要重新協(xié)商密鑰、甚至重新認(rèn)證等，漫游過程中會(huì)有少量丟包。盡量減少漫游過程中的丟包、使上層業(yè)務(wù)感知不到明顯延時(shí)、卡頓，保障用戶移動(dòng)過程中業(yè)務(wù)體驗(yàn)仍能流暢自如是我們的一個(gè)重要目標(biāo)。后面可以看到我們將采取一些措施盡可能將丟包降到最低。另外，只有同一個(gè)ESS范圍內(nèi)的移動(dòng)才能稱為漫游。如果STA開始關(guān)聯(lián)SSID為“Huawei”，后來又關(guān)聯(lián)另一個(gè)SSID，則不能稱之為漫游，此時(shí)STA需要重新關(guān)聯(lián)，重新認(rèn)證，重新獲取IP，不能保障業(yè)務(wù)不中斷。

3 校園網(wǎng)升級(jí)方案

本項(xiàng)目在某高校建設(shè)一張完善的校園數(shù)據(jù)網(wǎng)絡(luò)，實(shí)現(xiàn)校園辦公網(wǎng)100G互通、校園宿舍寬帶上網(wǎng)、校園區(qū)域無線覆蓋，從而滿足全校師生校園網(wǎng)絡(luò)訪問和互聯(lián)網(wǎng)訪問需求。具體網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

本項(xiàng)目建設(shè)1個(gè)核心機(jī)房，3個(gè)匯聚機(jī)房，5個(gè)匯聚節(jié)點(diǎn)，網(wǎng)絡(luò)建成后，可實(shí)現(xiàn)各校區(qū)、辦公樓、圖書館等重要場景100G鏈路互通，學(xué)生宿舍樓1賬號(hào)寬帶、無線上網(wǎng)，形成一套高速、可靠、安全可運(yùn)營的基礎(chǔ)承載網(wǎng)絡(luò)。具體業(yè)務(wù)流程如圖3所示。

4 網(wǎng)絡(luò)安全解決方案

作為校園網(wǎng)安全的屏障，防火墻是連接內(nèi)、外層網(wǎng)絡(luò)之間信息的唯一出入口，根據(jù)具體的安全策略（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流。校園網(wǎng)絡(luò)管理員要將諸如口令、加密、身份認(rèn)證、審計(jì)等的所有安全軟件配置在防火墻上以便對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。同時(shí)利用防火墻的日志記錄功能做好備份，提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。流量分析系統(tǒng)（簡稱TA-FLOW）系統(tǒng)采用旁路式流量摘要提取技術(shù)，通過對(duì)幀數(shù)、幀長、協(xié)議、端口、標(biāo)志位、IP 路由、物理路徑、CPU/RAM 消耗、帶寬占用等直接特征的監(jiān)測(cè)，基于時(shí)間、拓?fù)?、?jié)點(diǎn)等統(tǒng)計(jì)分析手段，建立現(xiàn)行流量分布數(shù)學(xué)模型并結(jié)合已知模型進(jìn)行實(shí)時(shí)比對(duì)分析，實(shí)現(xiàn)網(wǎng)絡(luò)流量分布異常監(jiān)測(cè)。系統(tǒng)采用 Collector 結(jié)合Controller 技術(shù)對(duì)網(wǎng)絡(luò)流量進(jìn)行分析、檢測(cè)，并且對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)網(wǎng)絡(luò)中的 DoS/DDoS 攻擊、蠕蟲病毒、垃圾郵件及其他網(wǎng)絡(luò)異常事件進(jìn)行實(shí)時(shí)監(jiān)測(cè)，從中提取異常特征，根據(jù)安全機(jī)制的閾值，來啟動(dòng)報(bào)警和響應(yīng)系統(tǒng)進(jìn)行過濾、阻斷和防御。設(shè)置上網(wǎng)行為管理服務(wù)器，當(dāng)用戶通過路由器、代理軟件共享上網(wǎng)時(shí)，可以快速發(fā)現(xiàn)共享上網(wǎng)的IP、用戶名、接入的終端數(shù)，并在狀態(tài)界面顯示出來。管理員有權(quán)限設(shè)置其上網(wǎng)權(quán)限策略，比如單IP允許的最大終端數(shù)、發(fā)現(xiàn)共享即在指定時(shí)間內(nèi)凍結(jié)該用戶權(quán)限等。

校園網(wǎng)升級(jí)改造建設(shè)最終實(shí)現(xiàn)了包括綜合布線、有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)，辦公網(wǎng)和學(xué)生用戶網(wǎng)絡(luò)的統(tǒng)一接入。對(duì)于師生用戶，實(shí)現(xiàn)全校有線、無線等網(wǎng)絡(luò)的接入統(tǒng)一管理，統(tǒng)一以學(xué)生學(xué)號(hào)、教師工號(hào)或?qū)W校電子郵箱等唯一身份識(shí)別信息為登錄帳號(hào)；現(xiàn)有網(wǎng)絡(luò)機(jī)房升級(jí)到B級(jí)，通過相關(guān)部門B類機(jī)房檢測(cè)；新建校園云端數(shù)據(jù)中心，部署高性能服務(wù)器集群、管理服務(wù)器、存儲(chǔ)服務(wù)器、高性能交換機(jī)和虛擬化軟件等；通過國家信息安全等級(jí)保護(hù)三級(jí)檢測(cè)，安全審計(jì)、認(rèn)證和管理應(yīng)能滿足公安部82號(hào)令相關(guān)要求，建設(shè)成一張完善的校園數(shù)據(jù)網(wǎng)絡(luò)，實(shí)現(xiàn)校園辦公網(wǎng)100G互通、校園宿舍寬帶上網(wǎng)、校園區(qū)域無線覆蓋，從而滿足全校師生校園網(wǎng)絡(luò)訪問和互聯(lián)網(wǎng)訪問需求。

參考文獻(xiàn)：

[1]Catherine Paquet， Diane Tears.組建可擴(kuò)展的Cisco互連網(wǎng)絡(luò)[M].北京：人民郵電出版社，2002.

[2]唐寶民.局域網(wǎng)與城域網(wǎng)技術(shù)[M].北京：清華大學(xué)出版社，2006.

[3]陳偉.數(shù)據(jù)通信與計(jì)算機(jī)網(wǎng)絡(luò)[M].武漢：武漢理工大學(xué)出版社， 2004.