网络通信 频道

西北民族大学榆中校区校园网案例

    【IT168 专稿】西北民族大学是新中国成立后创建的第一所民族学院,一贯重视利用信息化促进教学科研的发展。近年来西北民大发展速度非常快,在校学生已由1992年的3000人发展到1.6万余人。为了满足实际需要,西北民大在榆中建设了总占地面积2000亩,总建筑面积43万平方米的榆中校区。然而西北民族大学榆中校区校园网信息化建设时间较早,随着学校规模的扩大以及应用系统的增多,原有的网络越来越不能满足需求,一些问题逐渐暴露出来。

    首先,随着用户数目的增加,以及各种业务系统的拓展,依托于网络运行的业务越来越多,对网络的依赖性越来越强,网络设备的性能不能够满足未来的需求,所以网络迫切面临着升级改造的需求。其次,现在榆中校区校园网在网络安全方面还处在一种被动局面,只有等到各种病毒和漏洞发作的时候才知道,不能够在这些安全威胁爆发之前,对网络的各种隐患和漏洞进行一个很好的分析、了解和掌握,并且通过某种手段弥补掉这些隐患;没有能够检测网络当中各种行为的设备,这样有人在网络当中作了些什么,网管人员将很难发现,所以需要有一种监测网络和审计网络的设备和软件,进而从多个方面,多个角度,多种手段来建成一种防御体系,使网络在被攻击前、被攻击中、被攻击后都可以通过某种手段去解决问题。在攻击前积极防御,先找到隐患和漏洞,并且进行弥补,在攻击中及时发现可以通过设备间的联动,对其攻击进行阻断。另外还需要建立安全容灾备份,这样即使数据丢失或损坏,还有备份系统能够在短时间使系统重新恢复起来。

    为了加强西北民族大学榆中校区校园的信息化建设,应用高科技增强西北民族大学榆中校区校园教学服务水平,提高工作效率,更好的为校园服务。西北民族大学榆中校区采用了国内领先的网络设备制造商及解决方案提供商神州数码网络提供的校园网设备及系统集成方案。

    为了达到整个网络建成后的可管理性、易维护性及性能、安全综合平衡的目的,神州数码网络对整体网络的实施进行周密的规划。在VLAN和IP规划上,为了提高网络整体性能和安全性,神州数码网络采用了最容易管理的基于端口的VLAN方式。根据部门的所属及工作性质不同,划分不同的VLAN,这样可以减少广播流量,提高网络性能,另一方面VLAN间的通信需要经过三层交换机来实现,而三层交换机支持基于策略的访问控制,可以根据源IP、目标IP等信息来控制不同VLAN间的访问,这样可以保证诸如财务等关键部门的信息无关人员不能非法获取。

    在网络安全规划上,神州数码网络充分的考虑了现有的网络安全问题,利用自身产品的优势,来实现最大的安全性。一方面通过内部VLAN的划分,并实现访问策略,来杜绝非法用户的非法访问,同时还可以对关键部门的交换机实现MAC地址绑定、MAC地址过滤等技术,来实现更高的安全性。对于外部风险,相对来说更大一些。另一方面通过神州数码网络DCFW-1800-G防火墙的动态检测功能、应用代理功能、入侵检测功能、地址绑定功能、DMZ功能、时间段访问控制功能、用户认证功能、日志记录功能等来实现更高的安全性。

    而在网络管理问题上,神州数码网络充分考虑到西北民大两校区构建了西北五省少有的大型校园网,网络管理是非常关键又特别重要的,需要有很好的网管软件能使网管中心省人、省费还省时。因此在此次项目中配备了一套可整合第三方网络设备的网管系统LinkManager-40-S网络管理系统,LinkManager通过对RFC标准库功能的支持,能够很好地支持第三方厂家的网络设备。对第三方设备厂商设备提供通用面板显示,可正确显示第三方设备的接口列表、接口状态、接口描述、接口类型、接口速率、接口接受/发送字节数统计、接口使能配置等功能。并对第三方设备厂商设备提供路由表信息、接口表信息、转发表信息、Spanning tree等信息显示,及接口信息统计图表展示及利用率图表展示。此外,还提供生成数端口优先级、端口路径权值、端口生成树使能配置功能及生成树网桥配置功能。

    虽然此次西北民族大学榆中校区校园网工程只是扩容,只涉及汇聚层和接入层设备。但项目范围覆盖整个西北民族大学榆中校区校园,其中有骨干节点1个,各级接入节点就约8000个。因此神州数码网络选择千兆以太网作为校园网骨干技术。在汇聚层,使用了神州数码网络的IPv6万兆汇聚路由交换机DCRS-5950-28T,该交换机采用硬件ASIC芯片实现IPv4与IPv6双协议栈,可全线速转发IPv4/IPv6的2/3层数据包,在IPv6方面处于业界领先的地位。该款产品支持丰富的IPv6隧道协议,可灵活实现IPv4网络与IPv6网络的互连互通,且支持IPv6版本的RIPng,OSPFv3、BGP4+等动态路由协议,可用于部署大型IPv6网络。

    在接入层,项目则采用了神州数码网络的可堆叠智能安全接入交换机DCS-3926S,该机是一款可网管L2/L4堆叠交换机,在安全、运营和堆叠等方面上极具特色,适用于教育、政府、大中型企业网络的接入设备。它具有24个10/100Mbps自适应RJ-45端口和2个模块扩展插槽(可选插百兆模块和千兆模块),可千兆或百兆上联至骨干网。特别在安全性方面,DCS-3926S强大的ACL可以完全过滤“冲击波”、“震荡波”、“红色代码”等病毒,保护核心设备。完全的硬件转发可以在病毒泛滥时使正常数据不受任何影响。DCS-3926S还支持SSH协议,通过SSH服务器和SSH客户端软件之间的密钥交换、身份认证、加密算法的协商机制,在它们之间建立一条安全的信息通道,保证双方交互的信息不能被任何第三方截取和破译,从而最大限度地保证了交换机的配置管理的安全性。

    此外,鉴于近几年来网络病毒和黑客攻击的泛滥,尤其是类似“冲击波”这样的攻击网络的蠕虫病毒,对网络的影响非常巨大,在网络的防火墙上,项目选用的是神州数码网络的运营商级千兆防火墙DCFW-1800E-G来实现连接INTERNET。DCFW-1800E-G防火墙能够实现动态包过滤、入侵检测、流量管理、地址转换等特性,可以有效防止类似“冲击波”这样的病毒,一方面可以实现共享上网,一方面对于校园网能够实现较高的安全性。学校还可以在防火墙的DMZ端口建立学校自己的WEB、FTP等服务器,对外发布网站,成为学校对外宣传的一个窗口。另外,通过防火墙的VPN功能,只有学校申请一根带固定IP地址的线路,就可以实现移动办公,外出人员只要能上网,就可以通过WINDOWS操作系统自带的VPN拨号拨入到内部网络。

    神州数码网络利用现有的网络技术及自身产品的优势,进行了合理规划,为西北民族大学榆中校区建设了一个高性能、高安全、易管理、易维护的校园网。而西北民族大学作为国家民族高等学府,在很多方面都走在了全国的前列,这一次校园网的成功扩建又将甘肃各地市学校提供一个较为完善的校园网信息化解决方案的模板。

0
相关文章