「智慧校园」宣城某学院校园网建设方案实例分
智慧校园系统是一个包括基础环境、硬件设备、应用软件系统,并与学校现有应用平台、数据、信息化基础设施、安全保障体系、标准规范体系等紧密联系的复杂系统。其总体架构如图所示:
今天我们来看一套宣城某学院的解决方案,讲述智慧校园的建构,受篇幅所致,摘取部分内容进行分享。
一、学校现状分析
该学院目前在校师生约11000人,校园互联网出口带宽连接有运营商链路和教育专网作为承载,网络出口使用神州数码防火墙DCFW-1800-2G,统一抵御由互联网带给校园内的安全,此防火墙7*24小时常年运行无问题,但在信息安全威胁日益频发的今天,此设备颇感吃力。随着网络技术这几年飞速发展,目前安全防护设备的技术已经落后,由此造成的上网速度缓慢、黑客攻击、校门户网站访问异常等情况时有发生;核心交换机型号为DCRS-6808,三台设备构建核心层,使用MRPP协议构建万兆核心骨干,目前运行无问题,但是已不适应新型组网的要,与安全设备情况相同,也存在技术落后,不能满足目前信息化教学及学校教职员对网络的需求,且落后与同期院校。作为前些年建设时即有的核心设备,随着时间的推移,设备老化发生故障造成整网瘫痪的风险日益增高。
该校校园网拓扑图
二、学校问题分析
(1)目前在网的网络设备使用时间基本上都在5-8年。核心设备、接入交换机整体性能已不太能满足日益增长的教学业务需要,且设备老化严重。接入交换机基本上都是在无保护(无空调,无防尘,无防潮)情况下,随着时间的推移,故障率日益增高,影响学校正常教学,信息维护部门大部分时间需要充当消防员的较色,带来很大额外的工作量。
(2)办公网,图书馆以DCS-3900-26C、DCS-3900-52C百兆交换设备作为整网接入交换机,千兆combo口作为交换机互联接口。所有设备通过串联的方式上联到核心。实现千兆骨干,百兆到桌面。由此造成百兆设备作为汇聚层使用的局面,形成整网传输的短板。
(3)基于移动互联网技术下的微课、慕课、在线课堂等新型教育手段层出不穷,学生和老师在教学方式和获取知识方式等方面都在发生很大变化,随着手机,笔记本终端的增加,老师、学生对无线网络的需求越来越大,而且是呈上升趋势,目前普教已经在做无线校园覆盖,作为我校还在使用非常传统落后的个人私拉小路由方式来满足无线上网需要。网络安全及网络稳定性非常堪忧。
(4)DCFW-1800E-2G作为办公区网、图书馆的出口设备,DCFW-1800E-8G作为宿舍楼的出口设备,已7*24小时无间断在网8年。作为8年前的设备,已不堪重负,安全防护类型无法保证当前复杂应用环境下校园网的安全,
(5)我校基本上是局域办公情况,针对校外或者出差的老师、领导,均无法访问学校内电子的资源,不能够满足远程办公的需要,影响工作效率;
(6)学校网络设备达300台,针对如此庞大的网络,原有网络管理设备对网络管理的手段不能适应新的维护需要。
(7)应用服务器区域只授权给用户访问,并没有配备安全监管和设计方案,如果出现越权访问、数据泄露等问题将无法追究。
(8)门户网站作为学校和外界沟通的一个桥梁,同时也是学校的一张名片。近几年各个政府部门,企事业单位以及学校的门户网站经常被黑客攻击,目前我校针对门户网站无有效的防护,缺少WAF等设备。
三、解决方案
针对于该校的问题,本次系统的整体规划建设和设计将采用分布式的结构。在通信网络、资源配置、系统服务和网络管理上采用良好的分层设计思想,使网络结构清晰,便于使用、管理和维护。
如拓扑图所示,在核心机房部署高性能核心交换机,核心交换机之间做40G端口VSF虚拟化,设备虚拟成一台,核心至汇聚为160G链路,汇聚至接入为20G链路,均为双上联组网,提升网络健硕性,真正实现千兆到桌面,保障高效的网络数据处理能力,其中图书馆区域考虑到接入设备和并发用户数更多,汇聚层选用高性能交换机。整体结构为大二层扁平化组网结构,物理上三层,逻辑上二层,终端的路由和认证功能上收至核心交换机,实现网络设备的扁平化管理,与此同时部署无线AP,支持802.11ac千兆级无线传输技术,可以媲美有线网络的传输速率,无线AP供电通过POE交换机进行。
对于网络出口部分,部署防火墙,用于连接互联网与校园网,双机冗余HA技术,保证业务7*24小时不间断服务的同时可实现ISP路由的选择,为未来增加电信运营商链路提供技术基础,部署负载均衡设备旁路在核心交换机两侧,实现整个网络访问速度的提升和访问体验的优化。同时部署VPN网关、互联网加速器、上网行为管理、IPS入侵防御,IDS入侵检测、异常流量检测,异常流量清除,实现整个网络的安全等保特性。
对于数据中心服务器部分,对主机系统添加多台高性能的数据库服务器、存储采用集群方案来满足学院的数据集中运行,通过部署虚拟化系统来满足学院所有目前应用部署,并且可以满足未来数字化楼园的应用,通过对主机系统的升级和改造后,整体提高学院的业务、数据等高效、安全、稳定运行。
在数据中心安全系统部分,部署一台高性能防火墙,来将内网用户域和服务器域做安全分割和风险控制,确保避免内部网络对服务器设备的攻击;部署数据库审计系统对核心服务器群的安全操作行为进行事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,加强内外部网络行为监管、避免核心资产损失、保障业务系统的正常运营。同时部署网闸、数据同步、WAF、负载均衡器,实现服务器DMZ区域的全方位立体防护。
更多的细节就不在这里展示了,如有疑问或需求均可私信小竹竹,或在下方评论区留言。