校园数据网络与信息安全融合建设方案设计实现

　　摘要：高校校园数据网络建设是高校的重要基础建设项目，是承载高校教学、科研等先进信息化教学环境的核心载体。文章以某校园数据网络升级改造工程为依托，研究设计具备宽带、可交互、专业性以及保障信息安全性的宽带综合校园网。对其无线网络优势、有线建设方案以及网络安全解决方案进行深度剖析。最终设计并实现了高校校园完善的数据网络，实现校园办公网100G互通、宽带上网以及全区域无线覆盖，为高校校园网建设提供高效可行的实现方案。

　　关键词：无线局域网;无感知漫游;信息安全;互联互通

　　1概述

　　随着经济发展和科教兴国战略的实施，高等学校的校园数据网络建设已经成为学校的基础建设项目，同时也是衡量高校信息化建设程度的重要标志之一。校园数据网络为高校师生提供教学、科研和综合信息服务，同时，作为学校教学、科研等先进信息化教学环境的提供载体，要求其必须具备宽带、可交互和专业性三方面特征。校园数据网络应该能够辅助科研、教学，提供多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等。对于综合性院校，还应在校园内形成多个互联互通的局域网络，并通过有线或无线方式连接起来。进一步地，高校的校园数据网络还应具有教务、行政管理等功能。

　　关于校园网络建设一直以来存在着不少的误区。有些网络开发商一味地追求建设投入，缺乏综合规划及开发应用;有些高校在启动实施校园网建设工程后，对建成网络的综合管理以及教师、学生的应用培训不够，导致教学资源的开发不足，未能最大限度利用校园网络的优势服务于高校的教学、科研及日常运行管理。此外，随着当今时代信息技术的变革、革新，随着充斥网络的海量信息的出现，保障校园网安全的形势也日益严峻。目前，高校校园网的安全防护体系尚存在一些问题，主要体现在以下方面，网络的安全防御能力较低，极易受到病毒、黑客的影响，对移动存储介质的上网监测手段不足，缺少综合、高效的网络安全防护和监控手段，削弱了网络本身的可靠性。因此，急需对现有校园网进行升级改造，并建立一套多层次的安全管理体系，加强校园网的安全防护和监控能力，为校园信息化建设奠定更加良好的网络安全基础。

　　2无线网络校园内无感知漫游

　　WLAN具有两个相互独立的部分，即公共无线局域网接入热点区域和局端网络节点。在热点区域，运营商布置AP作为无线网络的接入端口，而其用户通过移动终端(如笔记本电脑、PDA等)加上无线网卡实现Internet的无线接入。在局端网络节点，可以提供认证、漫游、计费业务等功能。这些热点的数据信息被连接到IP核心网，核心网提供了接入网和传递鉴权、计费信息至移动网络。WLAN网络主要由WLAN终端设备(WLAN网络卡)、WLAN接入点设备(AP)、接入控制点(AC)、PORTAL服务器、RADIUS认证服务器、用户认证信息数据库、BOSS等系统组成。

　　WLAN漫游示意图如图1所示。这里的关键是用户业务不中断，如果STA先在AP1下线，业务中断，一段时间后再到AP2上重新上线，重新获取IP，则不能称为漫游。当然，用户业务不中断是指宏观意义上的，实际上由于多种因素，如漫游前后两个AP间的信号交叠地带信号弱或存在空洞、终端漫游过程中需要切换信道扫描到新AP、终端需要在新老AP间切换关联关系、终端关联到新AP后需要重新协商密钥、甚至重新认证等，漫游过程中会有少量丢包。尽量减少漫游过程中的丢包、使上层业务感知不到明显延时、卡顿，保障用户移动过程中业务体验仍能流畅自如是我们的一个重要目标。后面可以看到我们将采取一些措施尽可能将丢包降到最低。另外，只有同一个ESS范围内的移动才能称为漫游。如果STA开始关联SSID为“Huawei”，后来又关联另一个SSID，则不能称之为漫游，此时STA需要重新关联，重新认证，重新获取IP，不能保障业务不中断。

　　3校园网升级方案

　　本项目在某高校建设一张完善的校园数据网络，实现校园办公网100G互通、校园宿舍宽带上网、校园区域无线覆盖，从而满足全校师生校园网络访问和互联网访问需求。具体网络结构如图2所示。

　　本项目建设1个核心机房，3个汇聚机房，5个汇聚节点，网络建成后，可实现各校区、办公楼、图书馆等重要场景100G链路互通，学生宿舍楼1账号宽带、无线上网，形成一套高速、可靠、安全可运营的基础承载网络。具体业务流程如图3所示。

　　4网络安全解决方案

　　作为校园网安全的屏障，防火墙是连接内、外层网络之间信息的唯一出入口，根据具体的安全策略(允许、拒绝、监测)出入网络的信息流。校园网络管理员要将诸如口令、加密、身份认证、审计等的所有安全软件配置在防火墙上以便对网络存取和访问进行监控审计。同时利用防火墙的日志记录功能做好备份，提供网络使用情况的统计数据。流量分析系统(简称TA-FLOW)系统采用旁路式流量摘要提取技术，通过对帧数、帧长、协议、端口、标志位、IP路由、物理路径、CPU/RAM消耗、带宽占用等直接特征的监测，基于时间、拓扑、节点等统计分析手段，建立现行流量分布数学模型并结合已知模型进行实时比对分析，实现网络流量分布异常监测。系统采用Collector结合Con-troller技术对网络流量进行分析、检测，并且对网络进行实时监控，对网络中的DoS/DDoS攻击、蠕虫病毒、垃圾邮件及其他网络异常事件进行实时监测，从中提取异常特征，根据安全机制的阈值，来启动报警和响应系统进行过滤、阻断和防御。设置上网行为管理服务器，当用户通过路由器、代理软件共享上网时，可以快速发现共享上网的IP、用户名、接入的终端数，并在状态界面显示出来。管理员有权限设置其上网权限策略，比如单IP允许的最大终端数、发现共享即在指定时间内冻结该用户权限等。

　　校园网升级改造建设最终实现了包括综合布线、有线网络、无线网络，办公网和学生用户网络的统一接入。对于师生用户，实现全校有线、无线等网络的接入统一管理，统一以学生学号、教师工号或学校电子邮箱等唯一身份识别信息为登录帐号;现有网络机房升级到B级，通过相关部门B类机房检测;新建校园云端数据中心，部署高性能服务器集群、管理服务器、存储服务器、高性能交换机和虚拟化软件等;通过国家信息安全等级保护三级检测，安全审计、认证和管理应能满足公安部82号令相关要求，建设成一张完善的校园数据网络，实现校园办公网100G互通、校园宿舍宽带上网、校园区域无线覆盖，从而满足全校师生校园网络访问和互联网访问需求。

　　参考文献：

　　[1]CatherinePaquet，DianeTears.组建可扩展的Cisco互连网络[M].北京:人民邮电出版社，2002.

　　[2]唐宝民.局域网与城域网技术[M].北京：清华大学出版社，2006.

　　[3]陈伟.数据通信与计算机网络[M].武汉:武汉理工大学出版社，2004.

学术指导老师

学术指导老师二维码