网络升级技术方案Word格式文档下载.docx

网络升级技术方案Word格式文档下载.docx

《网络升级技术方案Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《网络升级技术方案Word格式文档下载.docx（75页珍藏版）》请在冰豆网上搜索。

1.6G，分别为教育网（300M）、中国电信

（400M）、中国联通（400M）、中国移动（500M）。

网络出口设备为一台山石网科的 

S6000

安全网关，由于已购置数年，随着近年学校出口带宽的不断增加，其处理性能已不能满足

需求。

在核心交换机和出口设备之间部署了一台神码的千兆流控设备。

核心交换机和网络

出口之间采用双千兆链路捆绑连接。

传统三层或者多层架构校园网只是满足了基本的网络互联互通的需求，但缺乏相应的

控制和管理手段，用户之间互相影响，类似 

ARP 

攻击、DHCP 

仿冒、IP 

仿冒等对网络的攻

击现象经常发生，校园网络对于用户的审计和控制功能较弱也导致了网络的无序使用，业

务承载方面缺乏针对性的控制，网络带宽被大量占用，重要应用得不到带宽保障，也难以

实现灵活的基于身份、时间、位置等的用户控制。

当前不同规模和不同区域的学校在建设高校校园网时普遍遇到的问题是：

1）如何适应和满足国家政策和法律法规对于校园网用户的行为要求；

2）如何满足各类业务、各类应用和不同需求的用户的各种承载的拓展；

3）如何降低校园网的管理难度和维护工作量。

要解决这些问题必须要从网络架构和业务部署模式上面进行变革，而扁平化的架构正

好切中了解决这些问题的关键。

从下图可以看出扁平化网络架构将原有各层的功能在逻辑

上面进行了重新界定和划分，使得各层设备各尽其能，也可以看出构建和发展扁平化网络

架构是一个必然趋势。

其网络拓扑结构如下图：

12.1.2、改造目标

本次网络改造，学校需实现以下目标：

●升级网络出口设备，需满足未来出口带宽扩到 

5G 

以上的需求，并且实现网络出口的

链路负载均衡和各种网络安全措施，入侵防御（IPS）、网站防护（WAF）、上网行为管

理、流控、SSL 

VPN 

远程接入访问校内资源等。

●统一全校范围内的认证计费。

采用支持多种认证方式（PPPoe、IPoe、portal）的

BRAS 

设备，配合统一的认证计费管理软件，实现与学校一卡通系统的整合。

●实现校园网扁平化，构建扁平化的网络架构就是将原来各个层次模糊的功能区分清晰

化，不同层次之间各司其职，有利于管理和维护，这种简单化的架构使得网络有更高

的效率。

●校园网目前由教学网、学生宿舍网、教育网、一卡通专网、财务专网和科研专网等多

个网络的混合体，校园网的高性能还要体现在多个网络多个业务并发的同时保证性能

不下降，实现在同一个物理平台上构建出多个逻辑上完全独立的网络平台，这些网络

平台和主网络平台还要具有相同的功能。

所以，从学校建设一卡通系统需提供一套逻

辑隔离的专用校园网网络。

●为学校即将建设的“一卡通数字校园”数据中心服务器群提供万兆接入校园网。

●更换和升级原有的老旧接入交换机（100 

24 

口、5 

48 

口全千兆接入交换机）。

12.1.3、需求分析

A、网络出口改造需求分析

目前***大学校园网络规模较大，包括核心、汇聚（各科院、学生公寓、校办、图书馆

等等）、接入的三层网络架构；

其中服务器区域部署了对外的门户网站系统、选课系统、正

在进行新增的校园一卡通系统等以及对内的 

OA 

办公系统、多媒体教学系统等多套系统平

台；

同时有多条运营商 

Internet 

出口链路在运行使用中。

安全防护措施只在出口部署了基

本的三层安全防护（防火墙）以及简单的流控策略。

网络拓扑图如下：

通过与客户沟通交流，以及对学校网络的分析讨论，确定湖南***大学网络目前存在以

下问题：

1、***大学网络目前没有全网的入侵防护机制，尤其缺失针对应用的攻击检测和防御。

2、出口链路资源利用不均衡，利用率低，未针对学院应用进行优化：

多条运营商出口

链路，但未进行负载均衡以及针对不同运营商 

DNS 

智能解析和智能路由。

3、不具备完善的流量管控功能，无法根据客户不同应用进行精细化的流量识别、管控；

同时没有针对公安部 

82 

号令，对可能的上网行为风险进行把控，存在危害性较大的政治风

险（如校内非法的上网行为，涉黄、暴力、诽谤等等信息造成的社会影响）。

4、目前***大学网站无任何的应用级安全防护措施（只有传统的防火墙简单防护），完

全暴露在攻击环境中，存在着非常严重的安全风险（包括 

DDOS 

攻击，木马盗链，SQL 

注

入，网页篡改等等）。

5、***大学面向学生的选课系统存在一个域名，2 

个 

IP（即多台服务器）情况，目前

采取的是轮询机制，但是该机制严重浪费服务器性能，并在高峰期可能造成系统瘫痪，延

误学校正常的教学课程。

同样的问题在***大学其他系统中依然存在。

6、***大学服务器集群区（数据中心）目前没有单独的安全防护措施（仅出口传统防

火墙简单防护），同时没有将对外系统和对内系统隔离，存在严重的安全隐患。

7、***大学目前提供对外的学校网站 

服务，具体解决办法是分别部署 

3 

DNS

系统，通过双网卡一端连接内网，一端分别连接电信、移动、联通外网出口，电信用户访

问学校网站则返回给对应网站域名的电信 

IP，移动、联通同样的处理模式。

这种部署方式

实质上将***大学整个数据中心直接暴露在外网环境中，时刻存在全数据中心被攻击的风险，

同时 

3DNS 

系统的部署方式也浪费了服务器资源，降低了资源利用率。

通过对客户系统现状的了解分析，以及与客户的沟通交流，确定本次安全建设需求如

下：

1、整网入侵防御系统：

针对现在流行的以蠕虫、木马、间谍软件、DDoS 

攻击、带宽

滥用为代表的应用层攻击，需要在核心链路部署入侵防御系统对整网的应用层入侵提供安

全保障。

2、WEB 

应用安全防护：

此次 

web 

系统作为对外企业门户网站系统平台，需要考虑在

上的安全因素，如跨站脚本攻击、网页篡改、DDOS 

攻击、SQL 

注入攻击、溢出攻

击等等。

而 

WEB 

应用的安全防护，需要通过主动与被动结合，事前防御和事后弥补的多

层次手段来达到防护目的。

3、链路及系统优化：

a 

链路负载：

1、inbond：

根据访问源所属运营商，通过 

智能解析将访问反馈数据

发送到对应运营商链路，提高用户体验。

2、outbond：

由于客户现网拥有多条出口链路，

为了使客户带宽资源利用率提高，以及优化 

访问，需要根据访问目的 

IP、域名

解析地址等等对出口链路进行负载均衡。

b 

服务器负载：

由于***大学内外系统平台的访问频繁及高流量、高峰值的特性，所以

需要对系统服务器群进行访问优化，根据每台服务器实时性能状态、资源耗用率，链路质

量等等因素对业务系统进行负载均衡

4、流量控制及上网审计需求：

根据公安部第 

号令，以及学校自身办公效率提升诉

求，需要针对网络出口不同流量进行智能分析处理，保障关键应用流量，限制无关应用，

同时规范师生上网行为，防止非法上网行为给学校造成不良的社会影响。

5、DNS 

智能解析需求：

根据不同运营商访问源及目的，智能选择流量路径。

6、可对全网安全防护设备进行统一平台管理，解决网络异构管理难题。

B、统一认证系统需求分析

***大学目前使用的是基于 

协议的 

公司和锐捷公司的两套不同认证计费

系统。

随着网络规模的扩大，网络应用的增多，采用该协议的认证计费逐渐遇到很多问题，

主要表现在：

该协议设计之初，本是为了解决无线接入认证计费问题，为了将其引入以太网进行

认证计费，不同接入交换机生产厂家对其进行了相应改造，从而导致不同厂商对该协议有

不同的私有化，进而存在兼容问题，客户如果要想新购设备，就必须购买与认证系统同一

品牌交换机，否则无法接入网络；

第二，要在以太网上有效的使用该协议，就必须安装与

设备厂商配套的 

客户端软件，而且该软件与操作系统的 

TCP/IP 

协议栈是强耦合关

系，所以对应不同的操作系统（如 

Windows、MAC 

OS、Linux 

等）的不同版本，就有不同

的客户端版本，导致软件兼容性问题，这给网络运维人员带来无尽的维护工作量；

第三，

目前的 

系统，无法按照校内/校外以及免费/收费流量进行统计，所以无法实现按照

不同流量的分离计费。

此外，采用 

802.1X 

的认证计费方式无法实现统一端口下，多台终端

同时上网问题（即家属区用户无法通过家用 

soho 

路由设备实现多台终端上网）。

然而，这

种应用需求越来越强烈。

最后，家用网络电视、网络冰箱或者物联网终端，上网如何认证

计费问题，也困扰着网络管理者。

因此，需要对认证计费系统进行改造，建设统一的网络

认证平台，实现准入和准出的控制及按流量的认证计费。

准出控制系统，采用网关型的准

出控制系统，对校园用户进行准出控制。

可以有效识别用户的收费/免费流量，同时通过与

统一认证计费平台的协同工作，可以有效控制用户是否具有外网访问权限，进而控制用户

访问外网的带宽。

准入控制实现基于 

pppoe、ipoe 

及 

portal 

的准入控制。

网络中不同区域灵

活选择认证策略。

统一认证计费平台的建设需要满足一下场景的需求：

1、 

为保障未来五年内业务量的快速增长，核心网络需要具备 

T 

级别的交换容量；

2、 

支持有线无线一体化接入。

Portal 

与 

PPPOE 

方式均需支持；

3、 

可实现对于学生访问学校内网不认证、不计费，只有在访问外网时才认证、计费；

4、 

学生上网行为可监管，上网记录可溯源；

5、 

教师在办公区办公时上网进行认证不计费，在家属区上网时进行计费。

另外要求，

教师在办公区上线时，也要能够支持同一账户在家属区同时上线，并且进行计费的

功能。

6、 

对于学生和用户的账户有一个暂停计费的功能，比如学生采取包月的形式，如果 

1

号交钱，学生 

5 

号放暑假，如果学生在自助网页上选择 

号暂停服务，则系统计费

的时间段应能够往下一个月自动后移；

7、 

计费系统应有针对用户进行时间补偿的功能，应用场景：

如果某一地块网络故障，

则需要对该地块的上线用户赠送 

天免费上网的补偿。

8、 

对于导师带领学生做项目和教师带领学生勤工俭学的场景，需要支持主账号和附属

账号的功能，比如一个导师的主免费账号下，下挂 

20 

个附属账号也属于免费账号，

并且上线时做单独的账户和密码认证。

9、 

主账号和附属账户的模式也须支持学校科研项目申请的方式，并支持收费。

比如：

学校一名教师申请了一个科研课题，拿出一定经费申请一个项目科研主账号和多个

子账号开展工作，此时对该团队的项目的上网计费仅需计费主账号，主账号一旦计

费时间截止，则所有子账号也均不能再上网。

10、 

支持对于各个学院的专线接入开会功能，如实验室采用专线接入，则应支持对专

线用户开户，开户后对专线用户的整体接入带宽和不对下面的接入用户再进行认证

和计费限制；

11、 

对于打印机等哑终端的接入做 

MAC 

地址认证和 

IP 

绑定；

12、 

全网 

IPv4/V6 

双栈部署，并充分考虑向全 

IPv6 

网络的过渡；

13、 

考虑运营商用户接入，校方和运营商之间在用户认证计费管