周唯

摘要：許多高校在校園網(wǎng)建立之初沒有考慮到擴(kuò)展功能和提升容載問題，校區(qū)之間沒有實(shí)現(xiàn)安全互聯(lián)和資源共享，建立和局域網(wǎng)環(huán)境下相同的多種應(yīng)用，基于新型VPN技術(shù)的實(shí)現(xiàn)遠(yuǎn)程共享網(wǎng)絡(luò)資源，并保證數(shù)據(jù)的安全傳輸，對(duì)高校校園網(wǎng)建設(shè)和改造具有較高的參考價(jià)值。

關(guān)鍵詞：VPN技術(shù)；校園網(wǎng)；負(fù)載均衡；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）13-0059-02

1 概述

學(xué)校校園網(wǎng)基礎(chǔ)設(shè)施滯后，嚴(yán)重制約了數(shù)字化校園網(wǎng)絡(luò)的發(fā)展，學(xué)校信息點(diǎn)數(shù)量從2009年的2000多個(gè)增長(zhǎng)到2015年4000多，另外對(duì)于教學(xué)場(chǎng)地要求的不斷提高，需要進(jìn)一步整合教學(xué)實(shí)訓(xùn)場(chǎng)所，把學(xué)院老校區(qū)和實(shí)習(xí)工廠接入校園網(wǎng)，提高教學(xué)實(shí)習(xí)實(shí)訓(xùn)的管理效率。目前學(xué)校校園網(wǎng)拓?fù)浣Y(jié)構(gòu)如圖1所示。

2 主要問題

校園主要問題表現(xiàn)為： 1）在中、晚高峰期，打開網(wǎng)頁和看視頻比較卡，網(wǎng)絡(luò)延時(shí)大大增加，甚至出現(xiàn)丟包較多的現(xiàn)象。2）學(xué)校北院和實(shí)習(xí)工廠未聯(lián)入校園網(wǎng)，學(xué)生在這兩地實(shí)習(xí)實(shí)訓(xùn)時(shí)不能充分利用學(xué)校內(nèi)網(wǎng)的教學(xué)資源，也難以和本部實(shí)現(xiàn)教學(xué)互動(dòng)。3）校園內(nèi)人員流動(dòng)性大且身份復(fù)雜，安全問題日益嚴(yán)重，北院、實(shí)習(xí)工廠與主校區(qū)三地之間有一定距離，無法鋪設(shè)專線來實(shí)現(xiàn)園區(qū)視頻監(jiān)控聯(lián)動(dòng)，不便于校園安全管理。4）校外使用校內(nèi)服務(wù)器資源越來越平凡，特別是部分師生在校外頂崗實(shí)習(xí)和假期師生在家里。5）學(xué)校WEB、FTP服務(wù)器、圖書館數(shù)據(jù)等服務(wù)器在訪問高峰期，響應(yīng)速度慢。

3 設(shè)計(jì)與部署

3.1改造思路

1）優(yōu)化策略強(qiáng)化管理內(nèi)網(wǎng)，針對(duì)連接數(shù)等其他網(wǎng)絡(luò)參數(shù)進(jìn)行限制，減輕出口設(shè)備的壓力；2）出口設(shè)備硬件更換，原設(shè)備已經(jīng)遠(yuǎn)不能滿足現(xiàn)在的需求，選擇技術(shù)更新的出口設(shè)備來徹底解決瓶頸問題；3）增加緩存設(shè)備將網(wǎng)絡(luò)熱門數(shù)據(jù)抓取到本地，實(shí)現(xiàn)直接從本地訪問，緩解出口壓力；4）利用新增出口設(shè)備的VPN功能，建立起新老校區(qū)和實(shí)習(xí)工廠的聯(lián)系平臺(tái)，實(shí)現(xiàn)校園服務(wù)如一卡通、園區(qū)安全監(jiān)控等功能整合在一起，保證信息的安全可靠傳輸。5）增添新服務(wù)器，通過網(wǎng)絡(luò)負(fù)載均衡（NLB）技術(shù)，用集群代替單一服務(wù)器，解決FTP、WEB和數(shù)字圖書館的訪問瓶頸問題。

3.2部署方案

針對(duì)當(dāng)前校園網(wǎng)主要問題，將天融信NGFW4000-UF防火墻替換成銳捷RG-EG2000G易網(wǎng)關(guān)設(shè)備，解決出口瓶頸問題；同時(shí)在核心交換上掛載一臺(tái)緩存設(shè)備（銳捷PowerCache X5E），

內(nèi)網(wǎng)用戶可以直接從該設(shè)備訪問熱點(diǎn)資源，網(wǎng)絡(luò)出口壓力得到緩解；另外在核心交換機(jī)與服務(wù)器區(qū)之間部署原天融信防火墻，增強(qiáng)內(nèi)網(wǎng)安全防護(hù)；還有就是增加出口帶寬，把原有租用的ISP電信100M線路升級(jí)到500M，并繼續(xù)保留原有ISP移動(dòng)300M線路，實(shí)行教區(qū)、居民區(qū)、辦公區(qū)、宿舍區(qū)等分區(qū)分出口聯(lián)網(wǎng)；最后在老校區(qū)和實(shí)習(xí)工廠部署價(jià)格更加實(shí)惠的銳捷RG-EG2000T易網(wǎng)關(guān)設(shè)備，通過VPN功能實(shí)現(xiàn)三地安全互聯(lián)。具體部署見圖2。

3.3主要特點(diǎn)

1）出口網(wǎng)關(guān)銳捷RG-EG2000G，該設(shè)備可達(dá)到2Gb帶寬的性能，最大可能實(shí)現(xiàn)120W個(gè)回話，足以解決目前設(shè)備的性能瓶頸并且能夠適應(yīng)未來，配合高性能的MIPS多核硬件體系構(gòu)架，擁有業(yè)務(wù)加速通道、精確流控、上網(wǎng)行文管理、可視化VPN、智能選路、防火墻、高性能的NAT、Web認(rèn)證等多個(gè)功能，其中IPSec VPN 最大隧道數(shù)可達(dá)到500個(gè)。RG-EG2000T在功能上與RG-EG2000G類似，只是更適合小規(guī)模的環(huán)境，所以布置在老校區(qū)和是實(shí)習(xí)工廠作為出口網(wǎng)關(guān)，做到了有效的優(yōu)化用戶網(wǎng)絡(luò)，規(guī)范上網(wǎng)行為，實(shí)現(xiàn)多地高效安全互聯(lián)。2）新增的PowerCacheX5E緩存設(shè)備能夠針對(duì)流媒體、HTTP下載及P2P下載數(shù)據(jù)進(jìn)行優(yōu)化。無論外網(wǎng)鏈路狀況如何，當(dāng)內(nèi)網(wǎng)PC或智能終端用戶訪問熱點(diǎn)資源時(shí)，將直接從本地PowerCache讀取。百兆應(yīng)用10秒下載完成，它能夠自動(dòng)判斷本網(wǎng)絡(luò)中的熱點(diǎn)資源，實(shí)現(xiàn)熱點(diǎn)資源本地化讀取，不僅為用戶提供了如同內(nèi)網(wǎng)般的極速體驗(yàn)，還能因?yàn)橄鳒p重復(fù)數(shù)據(jù)流，節(jié)省了大量的出口帶寬資源。3）原來的網(wǎng)絡(luò)結(jié)構(gòu)中，服務(wù)器直接接入核心交換機(jī)，而對(duì)于內(nèi)網(wǎng)用戶，服務(wù)器幾乎是透明的，因此如果內(nèi)網(wǎng)用戶針對(duì)服務(wù)器發(fā)起攻擊，將難以抵御，本次改造將原有的NGFW4000-UF防火墻部署在核心交換機(jī)與服務(wù)器之間，可對(duì)服務(wù)器進(jìn)行有效的防護(hù)，解決內(nèi)網(wǎng)對(duì)服務(wù)器的攻擊問題，不全安全短板。

3.4應(yīng)用服務(wù)器結(jié)構(gòu)優(yōu)化

通過對(duì)FTP/web/數(shù)字圖書館數(shù)據(jù)庫等應(yīng)用服務(wù)器系統(tǒng)的應(yīng)用日志分析及調(diào)查用戶使用情況了解到，各服務(wù)器的運(yùn)行情況并不盡如人意，部分系統(tǒng)經(jīng)常出現(xiàn)響應(yīng)慢而部分服務(wù)器利用率非常低，所以需對(duì)服務(wù)器進(jìn)行增補(bǔ)和整合，在保證各系統(tǒng)正常運(yùn)行的基礎(chǔ)上，實(shí)現(xiàn)硬件系統(tǒng)的充分利用。1） 根據(jù)當(dāng)前各服務(wù)器的訪問需求，在充分利用原服務(wù)器的前提下購買新服務(wù)器并部署到相應(yīng)位置，而此大大降低了硬件升級(jí)費(fèi)用。2）優(yōu)化服務(wù)器結(jié)構(gòu)，解決單個(gè)服務(wù)器某一時(shí)間段內(nèi)訪問量大，其他服務(wù)器訪問量小造成不必要的資源浪費(fèi)。負(fù)載均衡技術(shù)的出現(xiàn)，恰好為解決這些問題提供了一種較好的方案。

網(wǎng)絡(luò)負(fù)載均衡（NLB） 技術(shù)的優(yōu)點(diǎn)在于：NLB 是操作系統(tǒng)自身提供的系統(tǒng)服務(wù)，可在運(yùn)行Windows 2003/2008的普通計(jì)算機(jī)上實(shí)現(xiàn)；NLB允許你將傳入的請(qǐng)求傳播到最多達(dá)32臺(tái)的服務(wù)器上共同分擔(dān)對(duì)外的網(wǎng)絡(luò)請(qǐng)求服務(wù)，可以保證即使是在負(fù)載很重的情況下它們也能作出快速響應(yīng)；NLB 對(duì)外只須提供一個(gè)IP 地址（或域名）；如果群集中的一臺(tái)或幾臺(tái)服務(wù)器不可用時(shí)，服務(wù)不會(huì)中斷；NLB自動(dòng)檢測(cè)到服務(wù)器不可用時(shí)，能夠迅速在剩余的服務(wù)器中重新指派客戶機(jī)通訊。學(xué)院主要應(yīng)用服務(wù)器構(gòu)成：WEB服務(wù)（器惠普（HP）ML350E Gen8塔式服務(wù)器）1臺(tái)；FTP服務(wù)器（聯(lián)想ThinkServer TS240 S4130 4/1TG塔式服務(wù)器）2臺(tái)；數(shù)字圖書館數(shù)據(jù)庫服務(wù)器（聯(lián)想ThinkServer RS240 S1225V3 4/1T機(jī)架式服務(wù)器）1臺(tái)。

WEB服務(wù)器在原一臺(tái)服務(wù)器的基礎(chǔ)上新增一臺(tái)同型號(hào)服務(wù)器（惠普（HP）ML350E Gen8塔式服務(wù)器 C3Q10A），內(nèi)網(wǎng)地址分別為172.16.100.2和172.16.100.3，集群地址為172.16.100.1，集群地址與外網(wǎng)地址做好映射關(guān)系，實(shí)現(xiàn)外網(wǎng)訪問；FTP服務(wù)器利用原有兩臺(tái)（聯(lián)想ThinkServer TS240S4130 4/1TG塔式服務(wù)器）實(shí)現(xiàn)均衡負(fù)載，內(nèi)網(wǎng)地址分別為172.16.80.100和172.16.80.84，集群地址為172.16.80.80，校內(nèi)用戶直接訪問集群地址；數(shù)字圖書館數(shù)據(jù)庫服務(wù)器在原一臺(tái)基礎(chǔ)上新增一臺(tái)同型號(hào)服務(wù)器（聯(lián)想ThinkServer RS240 S1225V3 4/1T），實(shí)現(xiàn)均衡負(fù)載，校內(nèi)用戶直接訪問集群地址。

4 結(jié)束語

要建成高效、安全的校園網(wǎng)就必須從學(xué)校的客觀情況出發(fā)，針對(duì)網(wǎng)速慢卡、網(wǎng)絡(luò)功能單一、跨地域安全訪問難等問題做出合理的規(guī)劃設(shè)計(jì)。改造過程中，制定學(xué)校的中長(zhǎng)期發(fā)展規(guī)劃，在不大改的前提下充分利用校園網(wǎng)現(xiàn)有資源，做到最小投入最高產(chǎn)出。校園網(wǎng)的升級(jí)改造，使得網(wǎng)上教學(xué)資源及應(yīng)用系統(tǒng)得到充分使用，發(fā)揮了網(wǎng)絡(luò)無地理限制、資源共享簡(jiǎn)單、信息傳播快等優(yōu)勢(shì)，真正把現(xiàn)代化管理融入到辦公管理當(dāng)中，也把先進(jìn)的教育技術(shù)引入了日常教學(xué)。高校校園網(wǎng)升級(jí)改造有一定的共性，該方案也為其他學(xué)校的網(wǎng)絡(luò)升級(jí)改造提供了依據(jù)。

參考文獻(xiàn)：

[1] 堯榮恒.云安全在數(shù)字化校園中的體系構(gòu)建[J]. 無線互聯(lián)科技，2015（8）：87-89

[2] 李麗新.校園網(wǎng)安全與對(duì)策[J]. 中國教育信息化，2007（11）：24-25

[3] 楊文凱.基于SSL VPN的網(wǎng)絡(luò)安全系統(tǒng)的研究與應(yīng)用[J]. 計(jì)算機(jī)安全，2010（6）：69-70

[4] 唐如鴻.SSL VPN與IPSec VPN技術(shù)比較[J]. 計(jì)算機(jī)安全，2004（8）：75-76

[5] 劉敬軒，戴英俠.基于SSL的VPN網(wǎng)關(guān)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用，2005（S1）：140-142.