校园网已经成为高等院校最重要的学习和生活设施。随着网络的高速发展,网络的安全问题日益突出。主要集中在两个方面,一是象华南理工这样的全国知名院校,师生数万人,面临着校园网带宽的不断挑战,二是随着网络应用的丰富,黑客、病毒泛滥造成的一次次惨重代价,校园网的安全性受到前所未有的关注。校园网的建设和安全改造始终是一个热点,在这方面神州数码网络为华南理工大学建设的校园网项目有许多值得借鉴的地方。
带宽与安全 华南理工的双重需求
华南理工大学南校区现有网络用户已经超过10000人,网络计划容量为25000用户,要充分满足学校内部教学、科研、工作、生活所需要的高速、高安全、高性能网络系统要求,保证每一个上网端口都能够达到高速率,因而整个网络系统核心层承受的压力非常大,万兆应用显然是必然之举。
另外,校园网一个典型的特征就是应用非常丰富,电影点播,在线音乐、视频聊天、大量软件下载等等,造成网络的负载非常重,而攻击网络的病毒不断泛滥,以及学生“好事者”也会有意的攻击网络,他们往往并非为了某种“恶毒”的目的来攻击网络,而是出于好奇或者“表现”。如此繁重的网络一旦因攻击而造成瘫痪,损失将会是很大的。因此,作为校园网的治理方,网管希望省事,即便有人攻击也能安全无事,随时都可以屏蔽不老实的用户;校方希望安全运营,不会出现网络瘫痪或者计费系统故障。
五层的结构+万兆核心
根据学校的实际情况,结合多年服务高校的经验,神州数码网络认为在网络建设过程中,要把握一个重点、一个难点的解决,确保“一次路由,多次交换”、“路由等于交换”,并采用高核心设备和接入设备完成接入,才能将整个网络建设的更有生命力。因此神州数码网络以3台神州数码高性能的、具有电信级网络安全性能的核心路由交换机MG8,为网络提供整个高速网络骨干交换子平台的核心交换,并采用信息中心放置2台MG8核心交换机组成一个双机热备份的核心交换机系统解决方案。
神州数码DCRS-MG8来提供整个网络系统核心路由、交换的需要,所有模块实现热插拔、端口冗余、链路冗余、电源冗余、802.1W(802.1S)环路、散热冗余等安全解决方案,充分满足核心交换机具有的电信级网络安全。另外核心交换机系统为整个校园网提供核心的交换、路由,对其自身的性能也是非常高,神州数码核心路由交换机MG8 提供1.28Tpbs 的背板交换容量,实现L2/L3/L4多层包转发率是480MPPS,为核心交换机最大可容纳的模块数8个、最大1000M以太网端口数320个、最大10G 太网端口数32个等强大的、高带宽的网络接口连接,为现在校园网中所有教学楼、宿舍等楼栋内网络用户10G 主干上联提供了条件。
此外,考虑到该项目网络规模的庞大,神州数码网络提出了五层的结构,分别为接入层、汇聚层、策略治理层、核心层和边界路由层,通过构建清楚的层次结构,便于治理。通过分层思想使网络有一个结构化的设计,针对每个层次进行模块化的分析,对统一治理网络和维护非常有帮助,也能够充分体现神州数码网络公司的核心交换设备的高背板交换处理能力的优越性特点。
在一期的建设中,神州数码网络建议在新、老校区之间增加边界路由层,采用万兆连接,保证网络的畅通;新校区的两台核心之间采用4条千兆链路,形成全双工8 G的带宽;而新校区与大学城核心采用千兆连接,假如流量大时,可以通过链路聚合技术,将带宽增加到2G或者4G,保证网络的高速。
在网络二期建设时,网络扩容过程中只增加了万兆模块,将网络升级到万兆骨干,实现网络的平滑升级,保护用户的投资。
3D-SMP 由内而外的安全
面对目前复杂的校园网络安全环境,华南理工大学项目采用了神州数码网络的3D-SMP。3D-SMP(Dynamic Distributed Defense——Security Management Policy)是目前国内校园网方面最好的安全方案之一,又称“动态分布式防御安全治理策略”。 3D-SMP保留了神州数码网络原有的D2SMP解决方案的特点,增加了设备之间的联动能力,使网络的安全治理比以往更加周密,反映的速度比以往更加迅速。
“动态”和“联动”是3D-SMP的两个核心的思想。“动态”是指3D-SMP可以针对不同的安全问题制定相应的策略,无论病毒什么时候、从什么网络中哪个环节,以什么面目出现,系统都能调用安全策略体系当中的合适手段,阻止事故的进一步发生。“联动”是3D-SMP的精华,为解决信息安全孤岛的问题,神州数码网络研发了SAOP(Security association Operation PRotocol)安全联动操作协议,SAOP协议具有良好的开放性和加密性,使得GSM、交换机、路由器、IDS和客户端等网络组件之间实现联动,牵一发而动全身。
在分布式的构建上,神州数码网络率先提出了基于用户的VLAN划分的策略。形象地说,校园网治理者可以在系统中设定小李、小陈、小张等同学属于“学生”的一个VLAN中,把老李、老陈、老张等老师设在另一个属于“教师”的VLAN中,而不用考虑这些人处在校园网中的哪个位置、是连到哪台交换机的哪个口上,系统都会自动帮助用户完成这些复杂的VLAN设定,有了这样一个“基于用户的VLAN”功能,可以非常方便的根据用户权限的差别划分一个个的“安全域”。因此,校园网治理者就可以基于不同的安全策略直接对不同的用户进行操作,即使用户移动了位置,他所连接的交换机端口变了,但他同样还是会在原来其所在的“安全域”中,对他的所有安全策略完全生效。如此一来,那些布满好奇心的学生也只能在其所在的“安全域”中活动,而无法进入学校的教师治理系统、财务治理系统等重要系统中,即使学生用户感染病毒,也能有效地控制在其所在的“安全域”中,不会影响整网的安全。
实现“动态分布式防御安全治理策略”依靠于神州数码网络基于高校校园网应用的全线网络产品:分布式安全治理主要集中在汇聚层和接入层,神州数码网络则可提供包括新推出的DCRS-5824GX、DCRS-5512GC、DCRS-3926S/3950S、DCS-2000E系列等在内的丰富网络产品,这些产品在具备出色性能的同时,更重要的是都支持多种认证接入方式,同时结合其认证计费系统DCBI-2000、DCBI-3000和网管系统LinkManager,可完成对用户接入认证的治理控制,帮助高校校园网实现运营。而目前神州数码网络产品在用户认证方面做的十分周到,通过灵活的用户信息多元绑定(帐户、密码、MAC地址、ip地址、交换机IP、接入端口、VLAN ID、DHCP SERVER等)技术,使得无论在校园网何处,都能准确识别用户身份,从而做到从设备治理到用户治理的层面。
与此同时,在抵御网络的攻击方面,神州数码网络的DCFW-1800S/E/G三个系列智能防御网关值得一提,其结合最新的网络安全技术及基于NP架构的设计,可保障非法攻击止步于其之外,可谓一夫当关,万夫莫开,使整个校园网显得安全、有序。