網(wǎng)絡(luò)升級技術(shù)方案12.1.1、項目背景***大學(xué)校園網(wǎng)經(jīng)過多年的建設(shè)和升級，已基本覆蓋全校范圍。目前網(wǎng)絡(luò)為三層結(jié)構(gòu)，核心層采用兩臺H3C 的萬兆交換機S10508，匯聚層采用了12臺H3C 的S580

網(wǎng)絡(luò)升級技術(shù)方案

12.1.1、項目背景

***大學(xué)校園網(wǎng)經(jīng)過多年的建設(shè)和升級，已基本覆蓋全校范圍。目前網(wǎng)絡(luò)為三層結(jié)構(gòu)，核心層采用兩臺H3C 的萬兆交換機S10508，匯聚層采用了12臺H3C 的S5800和7503E 以萬兆上聯(lián)至核心，接入層設(shè)備主要為H3C 接入交換機和銳捷接入交換機。目前采用的是基于802.1x 的認證計費方式。學(xué)生區(qū)由于采用的是銳捷網(wǎng)絡(luò)的接入設(shè)備，所以使用的是銳捷網(wǎng)絡(luò)的認證計費系統(tǒng)SAM ，教工宿舍采用的是H3C 的接入設(shè)備，使用的是H3C 的認證計費系統(tǒng)IMC 。校園網(wǎng)現(xiàn)有網(wǎng)絡(luò)出口總帶寬1.6G ，分別為教育網(wǎng)（300M) 、中國電信（400M) 、中國聯(lián)通（400M) 、中國移動（500M) 。網(wǎng)絡(luò)出口設(shè)備為一臺山石網(wǎng)科的S6000安全網(wǎng)關(guān)，由于已購置數(shù)年，隨著近年學(xué)校出口帶寬的不斷增加，其處理性能已不能滿足需求。在核心交換機和出口設(shè)備之間部署了一臺神碼的千兆流控設(shè)備。核心交換機和網(wǎng)絡(luò)出口之間采用雙千兆鏈路捆綁連接。

傳統(tǒng)三層或者多層架構(gòu)校園網(wǎng)只是滿足了基本的網(wǎng)絡(luò)互聯(lián)互通的需求，但缺乏相應(yīng)的控制和管理手段，用戶之間互相影響，類似ARP 攻擊、DHCP 仿冒、IP 仿冒等對網(wǎng)絡(luò)的攻擊現(xiàn)象經(jīng)常發(fā)生，校園網(wǎng)絡(luò)對于用戶的審計和控制功能較弱也導(dǎo)致了網(wǎng)絡(luò)的無序使用，業(yè)務(wù)承載方面缺乏針對性的控制，網(wǎng)絡(luò)帶寬被大量占用，重要應(yīng)用得不到帶寬保障，也難以實現(xiàn)靈活的基于身份、時間、位置等的用戶控制。

當(dāng)前不同規(guī)模和不同區(qū)域的學(xué)校在建設(shè)高校校園網(wǎng)時普遍遇到的問題是：

1）如何適應(yīng)和滿足國家政策和法律法規(guī)對于校園網(wǎng)用戶的行為要求；

2）如何滿足各類業(yè)務(wù)、各類應(yīng)用和不同需求的用戶的各種承載的拓展；

3）如何降低校園網(wǎng)的管理難度和維護工作量。

要解決這些問題必須要從網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)部署模式上面進行變革，而扁平化的架構(gòu)正好切中了解決這些問題的關(guān)鍵。從下圖可以看出扁平化網(wǎng)絡(luò)架構(gòu)將原有各層的功能在邏輯上面進行了重新界定和劃分，使得各層設(shè)備各盡其能，也可以看出構(gòu)建和發(fā)展扁平化網(wǎng)絡(luò)架構(gòu)是一個必然趨勢。

其網(wǎng)絡(luò)拓撲結(jié)構(gòu)如下圖：

12.1.2、改造目標(biāo)

本次網(wǎng)絡(luò)改造，學(xué)校需實現(xiàn)以下目標(biāo)：

● 升級網(wǎng)絡(luò)出口設(shè)備，需滿足未來出口帶寬擴到5G 以上的需求，并且實現(xiàn)網(wǎng)絡(luò)出口的鏈

路負載均衡和各種網(wǎng)絡(luò)安全措施，入侵防御（IPS) 、網(wǎng)站防護(WAF) 、上網(wǎng)行為管理、流控、SSL VPN遠程接入訪問校內(nèi)資源等。

● 統(tǒng)一全校范圍內(nèi)的認證計費。采用支持多種認證方式（PPPoe 、IPoe 、portal ）的BRAS

設(shè)備，配合統(tǒng)一的認證計費管理軟件，實現(xiàn)與學(xué)校一卡通系統(tǒng)的整合。

● 實現(xiàn)校園網(wǎng)扁平化，構(gòu)建扁平化的網(wǎng)絡(luò)架構(gòu)就是將原來各個層次模糊的功能區(qū)分清晰化，

不同層次之間各司其職，有利于管理和維護，這種簡單化的架構(gòu)使得網(wǎng)絡(luò)有更高的效率。 ● 校園網(wǎng)目前由教學(xué)網(wǎng)、學(xué)生宿舍網(wǎng)、教育網(wǎng)、一卡通專網(wǎng)、財務(wù)專網(wǎng)和科研專網(wǎng)等多個

網(wǎng)絡(luò)的混合體，校園網(wǎng)的高性能還要體現(xiàn)在多個網(wǎng)絡(luò)多個業(yè)務(wù)并發(fā)的同時保證性能不下降，實現(xiàn)在同一個物理平臺上構(gòu)建出多個邏輯上完全獨立的網(wǎng)絡(luò)平臺，這些網(wǎng)絡(luò)平臺和主網(wǎng)絡(luò)平臺還要具有相同的功能。所以，從學(xué)校建設(shè)一卡通系統(tǒng)需提供一套邏輯隔離的專用校園網(wǎng)網(wǎng)絡(luò)。

● 為學(xué)校即將建設(shè)的“一卡通數(shù)字校園”數(shù)據(jù)中心服務(wù)器群提供萬兆接入校園網(wǎng)。 ● 更換和升級原有的老舊接入交換機（100臺24口、5臺48口全千兆接入交換機）。 12.1.3、需求分析

A 、網(wǎng)絡(luò)出口改造需求分析

目前***大學(xué)校園網(wǎng)絡(luò)規(guī)模較大，包括核心、匯聚（各科院、學(xué)生公寓、校辦、圖書館等等）、接入的三層網(wǎng)絡(luò)架構(gòu)；其中服務(wù)器區(qū)域部署了對外的門戶網(wǎng)站系統(tǒng)、選課系統(tǒng)、正在進行新增的校園一卡通系統(tǒng)等以及對內(nèi)的OA 辦公系統(tǒng)、多媒體教學(xué)系統(tǒng)等多套系統(tǒng)平臺；同時有多條運營商Internet 出口鏈路在運行使用中。安全防護措施只在出口部署了基本的三層安全防護（防火墻）以及簡單的流控策略。

網(wǎng)絡(luò)拓撲圖如下：

通過與客戶溝通交流，以及對學(xué)校網(wǎng)絡(luò)的分析討論，確定湖南***大學(xué)網(wǎng)絡(luò)目前存在以下問題：

1、***大學(xué)網(wǎng)絡(luò)目前沒有全網(wǎng)的入侵防護機制，尤其缺失針對應(yīng)用的攻擊檢測和防御。

2、出口鏈路資源利用不均衡，利用率低，未針對學(xué)院應(yīng)用進行優(yōu)化：多條運營商出口鏈路，但未進行負載均衡以及針對不同運營商DNS 智能解析和智能路由。

3、不具備完善的流量管控功能，無法根據(jù)客戶不同應(yīng)用進行精細化的流量識別、管控；同時沒有針對公安部82號令，對可能的上網(wǎng)行為風(fēng)險進行把控，存在危害性較大的政治風(fēng)險（如校內(nèi)非法的上網(wǎng)行為，涉黃、暴力、誹謗等等信息造成的社會影響）。

4、目前***大學(xué)網(wǎng)站無任何的應(yīng)用級安全防護措施（只有傳統(tǒng)的防火墻簡單防護），完全暴露在攻擊環(huán)境中，存在著非常嚴(yán)重的安全風(fēng)險（包括DDOS 攻擊，木馬盜鏈，SQL 注入，網(wǎng)頁篡改等等）。

5、***大學(xué)面向?qū)W生的選課系統(tǒng)存在一個域名，2個IP （即多臺服務(wù)器）情況，目前采取的是輪詢機制，但是該機制嚴(yán)重浪費服務(wù)器性能，并在高峰期可能造成系統(tǒng)癱瘓，延誤學(xué)校正常的教學(xué)課程。同樣的問題在***大學(xué)其他系統(tǒng)中依然存在。

6、***大學(xué)服務(wù)器集群區(qū)（數(shù)據(jù)中心）目前沒有單獨的安全防護措施（僅出口傳統(tǒng)防火墻簡單防護），同時沒有將對外系統(tǒng)和對內(nèi)系統(tǒng)隔離，存在嚴(yán)重的安全隱患。

7、***大學(xué)目前提供對外的學(xué)校網(wǎng)站DNS 服務(wù)，具體解決辦法是分別部署3臺DNS 系統(tǒng)，通過雙網(wǎng)卡一端連接內(nèi)網(wǎng)，一端分別連接電信、移動、聯(lián)通外網(wǎng)出口，電信用戶訪問學(xué)校網(wǎng)站則返回給對應(yīng)網(wǎng)站域名的電信IP ，移動、聯(lián)通同樣的處理模式。這種部署方式實質(zhì)上將***大學(xué)整個數(shù)據(jù)中心直接暴露在外網(wǎng)環(huán)境中，時刻存在全數(shù)據(jù)中心被攻擊的風(fēng)險，同時3DNS 系統(tǒng)的部署方式也浪費了服務(wù)器資源，降低了資源利用率。

通過對客戶系統(tǒng)現(xiàn)狀的了解分析，以及與客戶的溝通交流，確定本次安全建設(shè)需求如下：

1、整網(wǎng)入侵防御系統(tǒng)：針對現(xiàn)在流行的以蠕蟲、木馬、間諜軟件、DDoS 攻擊、帶寬濫用為代表的應(yīng)用層攻擊，需要在核心鏈路部署入侵防御系統(tǒng)對整網(wǎng)的應(yīng)用層入侵提供安全保障。

2、WEB 應(yīng)用安全防護：此次web 系統(tǒng)作為對外企業(yè)門戶網(wǎng)站系統(tǒng)平臺，需要考慮在Internet 上的安全因素，如跨站腳本攻擊、網(wǎng)頁篡改、DDOS 攻擊、SQL 注入攻擊、溢出攻擊等等。而WEB 應(yīng)用的安全防護，需要通過主動與被動結(jié)合，事前防御和事后彌補的多層次手段來達到防護目的。

3、鏈路及系統(tǒng)優(yōu)化：

a 鏈路負載：1、inbond ：根據(jù)訪問源所屬運營商，通過DNS 智能解析將訪問反饋數(shù)據(jù)發(fā)送到對應(yīng)運營商鏈路，提高用戶體驗。2、outbond ：由于客戶現(xiàn)網(wǎng)擁有多條出口鏈路，為了使客戶帶寬資源利用率提高，以及優(yōu)化Internet 訪問，需要根據(jù)訪問目的IP 、域名DNS

解析地址等等對出口鏈路進行負載均衡。

b 服務(wù)器負載：由于***大學(xué)內(nèi)外系統(tǒng)平臺的訪問頻繁及高流量、高峰值的特性，所以需要對系統(tǒng)服務(wù)器群進行訪問優(yōu)化，根據(jù)每臺服務(wù)器實時性能狀態(tài)、資源耗用率，鏈路質(zhì)量等等因素對業(yè)務(wù)系統(tǒng)進行負載均衡

4、流量控制及上網(wǎng)審計需求：根據(jù)公安部第82號令，以及學(xué)校自身辦公效率提升訴求，需要針對網(wǎng)絡(luò)出口不同流量進行智能分析處理，保障關(guān)鍵應(yīng)用流量，限制無關(guān)應(yīng)用，同時規(guī)范師生上網(wǎng)行為，防止非法上網(wǎng)行為給學(xué)校造成不良的社會影響。

5、DNS 智能解析需求：根據(jù)不同運營商訪問源及目的，智能選擇流量路徑。

6、可對全網(wǎng)安全防護設(shè)備進行統(tǒng)一平臺管理，解決網(wǎng)絡(luò)異構(gòu)管理難題。

B 、統(tǒng)一認證系統(tǒng)需求分析

***大學(xué)目前使用的是基于802.1x 協(xié)議的H3C 公司和銳捷公司的兩套不同認證計費系統(tǒng)。隨著網(wǎng)絡(luò)規(guī)模的擴大，網(wǎng)絡(luò)應(yīng)用的增多，采用該協(xié)議的認證計費逐漸遇到很多問題，主要表現(xiàn)在：

該協(xié)議設(shè)計之初，本是為了解決無線接入認證計費問題，為了將其引入以太網(wǎng)進行認證計費，不同接入交換機生產(chǎn)廠家對其進行了相應(yīng)改造，從而導(dǎo)致不同廠商對該協(xié)議有不同的私有化，進而存在兼容問題，客戶如果要想新購設(shè)備，就必須購買與認證系統(tǒng)同一品牌交換機，否則無法接入網(wǎng)絡(luò)；第二，要在以太網(wǎng)上有效的使用該協(xié)議，就必須安裝與設(shè)備廠商配套的802.1x 客戶端軟件，而且該軟件與操作系統(tǒng)的TCP/IP協(xié)議棧是強耦合關(guān)系，所以對應(yīng)不同的操作系統(tǒng)（如Windows 、MAC OS、Linux 等）的不同版本，就有不同的客戶端版本，導(dǎo)致軟件兼容性問題，這給網(wǎng)絡(luò)運維人員帶來無盡的維護工作量；第三，目前的802.1x 系統(tǒng)，無法按照校內(nèi)/校外以及免費/收費流量進行統(tǒng)計，所以無法實現(xiàn)按照不同流量的分離計費。此外，采用802.1X 的認證計費方式無法實現(xiàn)統(tǒng)一端口下，多臺終端同時上網(wǎng)問題（即家屬區(qū)用戶無法通過家用soho 路由設(shè)備實現(xiàn)多臺終端上網(wǎng)）。然而，這種應(yīng)用需求越來越強烈。最后，家用網(wǎng)絡(luò)電視、網(wǎng)絡(luò)冰箱或者物聯(lián)網(wǎng)終端，上網(wǎng)如何認證計費問題，也困擾著網(wǎng)絡(luò)管理者。因此，需要對認證計費系統(tǒng)進行改造，建設(shè)統(tǒng)一的網(wǎng)絡(luò)認證平臺，實現(xiàn)準(zhǔn)入和準(zhǔn)出的控制及按流量的認證計費。準(zhǔn)出控制系統(tǒng)，采用網(wǎng)關(guān)型的準(zhǔn)出控制系統(tǒng)，對校園用戶進行準(zhǔn)出控制?？梢杂行ёR別用戶的收費/免費流量，同時通過與統(tǒng)一認證計費平臺的協(xié)同工作，可以有效控制用戶是否具有外網(wǎng)訪問權(quán)限，進而控制用戶訪問外網(wǎng)的帶寬。準(zhǔn)入控制實

現(xiàn)基于pppoe 、ipoe 及portal 的準(zhǔn)入控制。網(wǎng)絡(luò)中不同區(qū)域靈活選擇認證策略。

統(tǒng)一認證計費平臺的建設(shè)需要滿足一下場景的需求：

1、 為保障未來五年內(nèi)業(yè)務(wù)量的快速增長，核心網(wǎng)絡(luò)需要具備T 級別的交換容量；

2、 支持有線無線一體化接入。Portal 與PPPOE 方式均需支持；

3、 可實現(xiàn)對于學(xué)生訪問學(xué)校內(nèi)網(wǎng)不認證、不計費，只有在訪問外網(wǎng)時才認證、計費；

4、 學(xué)生上網(wǎng)行為可監(jiān)管，上網(wǎng)記錄可溯源；

5、 教師在辦公區(qū)辦公時上網(wǎng)進行認證不計費，在家屬區(qū)上網(wǎng)時進行計費。另外要求，

教師在辦公區(qū)上線時，也要能夠支持同一賬戶在家屬區(qū)同時上線，并且進行計費的功能。

6、 對于學(xué)生和用戶的賬戶有一個暫停計費的功能，比如學(xué)生采取包月的形式，如果1

號交錢，學(xué)生5號放暑假，如果學(xué)生在自助網(wǎng)頁上選擇5號暫停服務(wù)，則系統(tǒng)計費的時間段應(yīng)能夠往下一個月自動后移；

7、 計費系統(tǒng)應(yīng)有針對用戶進行時間補償?shù)墓δ?，?yīng)用場景：如果某一地塊網(wǎng)絡(luò)故障，

則需要對該地塊的上線用戶贈送5天免費上網(wǎng)的補償。

8、 對于導(dǎo)師帶領(lǐng)學(xué)生做項目和教師帶領(lǐng)學(xué)生勤工儉學(xué)的場景，需要支持主賬號和附屬

賬號的功能，比如一個導(dǎo)師的主免費賬號下，下掛20個附屬賬號也屬于免費賬號，并且上線時做單獨的賬戶和密碼認證。

9、 主賬號和附屬賬戶的模式也須支持學(xué)?？蒲许椖可暾埖姆绞剑⒅С质召M。比如：

學(xué)校一名教師申請了一個科研課題，拿出一定經(jīng)費申請一個項目科研主賬號和多個子賬號開展工作，此時對該團隊的項目的上網(wǎng)計費僅需計費主賬號，主賬號一旦計費時間截止，則所有子賬號也均不能再上網(wǎng)。

10、 支持對于各個學(xué)院的專線接入開會功能，如實驗室采用專線接入，則應(yīng)支持對專線

用戶開戶，開戶后對專線用戶的整體接入帶寬和不對下面的接入用戶再進行認證和計費限制；

11、 對于打印機等啞終端的接入做MAC 地址認證和IP 綁定；

12、 全網(wǎng)IPv4/V6雙棧部署，并充分考慮向全IPv6網(wǎng)絡(luò)的過渡；

13、 考慮運營商用戶接入，校方和運營商之間在用戶認證計費管理運維上能實現(xiàn)協(xié)同；

C 、網(wǎng)絡(luò)扁平化需求分析

使校園網(wǎng)的功能劃分更清晰，核心層設(shè)備由于性能很強可以對新功能新業(yè)務(wù)能夠提供良好的支持，匯聚層和接入層只需要考慮接入端口的擴充、上行帶寬的增加，管理上面顯得更加簡單；校園網(wǎng)扁平化網(wǎng)絡(luò)并不是意味著網(wǎng)絡(luò)物理層次的減少，而是網(wǎng)絡(luò)邏輯層次的扁平。構(gòu)建扁平化的網(wǎng)絡(luò)架構(gòu)就是將原來各個層次模糊的功能區(qū)分清晰化，不同層次之間各司其職，有利于管理和維護，這種簡單化的架構(gòu)使得網(wǎng)絡(luò)有更高的效率。由三層結(jié)構(gòu)變?yōu)槎咏Y(jié)構(gòu)，在這種網(wǎng)絡(luò)架構(gòu)下面可以使用高性能多業(yè)務(wù)路由器作為整個網(wǎng)絡(luò)的核心設(shè)備替代原有架構(gòu)的高端三層交換機，使更多的組播、線速轉(zhuǎn)發(fā)、用戶論證和審計等核心工作由功能和性能均強大的設(shè)備來完成，從而實現(xiàn)整個校園網(wǎng)的高性能。

對原有校園網(wǎng)架構(gòu)升級改造為扁平化的網(wǎng)絡(luò)架構(gòu)后對于系統(tǒng)管理員和普通用戶而言，其應(yīng)用效果表現(xiàn)在：

1）一個簡單的的網(wǎng)絡(luò)架構(gòu)：也就是將原有的多達三層或更多層的校園網(wǎng)結(jié)構(gòu)簡化為了二層結(jié)構(gòu)，即業(yè)務(wù)控制層（核心網(wǎng)絡(luò)層）和寬帶接入層（接入層），在邏輯意義上面實現(xiàn)了網(wǎng)絡(luò)結(jié)構(gòu)的平滑過渡。

2）一個多業(yè)務(wù)的系統(tǒng)：指網(wǎng)絡(luò)平臺支持用戶接入、認證、審計、計費、帶寬管理、行為控制，同時也支持MPLS VPN、IPv6、組播業(yè)務(wù)的應(yīng)用和快速部署。

3）一個統(tǒng)一身份認證的平臺：實現(xiàn)了有線、無線用戶的任意漫游，也實現(xiàn)了不同系統(tǒng)之間用戶的統(tǒng)一認證，避免重復(fù)地多次認證，提高用戶了體驗。

4）一個透明的網(wǎng)絡(luò)：校園網(wǎng)對用戶仍然是透明的，用戶無需關(guān)心網(wǎng)絡(luò)流量如何轉(zhuǎn)發(fā)，用戶無論在哪里登錄，都可以獲得相同的訪問權(quán)限和帶寬保障。

D 、一卡通專網(wǎng)需求分析

隨著微電子技術(shù)、計算機技術(shù)、網(wǎng)絡(luò)技術(shù)、通訊技術(shù)的飛速發(fā)展，“數(shù)字化校園”已經(jīng)不單單是一個概念，各大高校已經(jīng)陸陸續(xù)續(xù)地開始對校園網(wǎng)進行數(shù)字化建設(shè)。其中，校園“一卡通”系統(tǒng)以其便捷、高效、安全、環(huán)保等特點成為了數(shù)字化校園建設(shè)的重要組成部分。 校園“一卡通”以智能卡為信息載體，融合了各領(lǐng)域諸多高新科技，使其具有電子身份識別和電子錢包的功能。能夠替代校園內(nèi)日常生活所需各種證件以及完成校園內(nèi)的各種支付

業(yè)務(wù)，如：飯卡、醫(yī)療卡、上網(wǎng)卡等。最終達到教、學(xué)、考、評、住、用的全面數(shù)字化和網(wǎng)絡(luò)化，真正實現(xiàn)了“一卡在手，走遍校園”。

***大學(xué)的校園主干網(wǎng)部分是整個校園一卡通系統(tǒng)的核心，消費結(jié)算中心各種數(shù)據(jù)服務(wù)器和各種自助圈存設(shè)備通過校園主干網(wǎng)與各終端設(shè)備和銀行網(wǎng)絡(luò)的前置機進行通信。為了保證網(wǎng)絡(luò)系統(tǒng)的安全性和便于管理，一般采用專網(wǎng)形式，獨立于校園網(wǎng)。一卡通網(wǎng)絡(luò)可以采用基于校園網(wǎng)的內(nèi)部虛擬專用網(wǎng)(virtualprivatenetwork)，即在校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建成的專用數(shù)據(jù)通信網(wǎng)絡(luò)。數(shù)據(jù)通過安全的加密隧道在校園網(wǎng)中傳輸，從而保證通信的保密性。vpn 與一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵區(qū)別在于用戶的數(shù)據(jù)通過校園網(wǎng)中建立邏輯隧道進行傳輸，數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進行封裝、傳送，并通過相應(yīng)的認證技術(shù)來實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的專有性。

校園網(wǎng)一卡通主干網(wǎng)(高速以太網(wǎng)) 部分，要求所有的以太網(wǎng)設(shè)備在vlan 部分和現(xiàn)有的校園網(wǎng)設(shè)備隔離，保證現(xiàn)有的校園網(wǎng)和一卡通部分是兩個網(wǎng)絡(luò)，設(shè)備不允許互相訪問。同時為了共享已有的校園網(wǎng)資源，所以，一卡通與校園網(wǎng)采用防火墻進行單通道連接，保證一卡通網(wǎng)絡(luò)能訪問校園網(wǎng)數(shù)據(jù)，如：信息化校園建設(shè)必不可少的對統(tǒng)一身份認證服務(wù)器和門戶網(wǎng)站的訪問。但校園網(wǎng)不能隨意訪問一卡通專網(wǎng)，這樣將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽，使得一卡通網(wǎng)絡(luò)上的設(shè)備能夠安全、穩(wěn)定的運行。

一卡通網(wǎng)絡(luò)結(jié)構(gòu)可以分為三層。一卡通網(wǎng)絡(luò)的中心層，是以數(shù)據(jù)庫服務(wù)器為中心的局域網(wǎng)的分布式結(jié)構(gòu)。中心層設(shè)置中心交換機，與身份認證系統(tǒng)，卡務(wù)管理機，結(jié)算管理機，結(jié)算中心服務(wù)器一起構(gòu)成一卡通網(wǎng)絡(luò)與結(jié)算中心，它是一卡通系統(tǒng)的管理平臺、身份認證平臺和數(shù)據(jù)庫中心。通過光纜與各結(jié)點相連與一卡通網(wǎng)絡(luò)的中心組成第一層網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)置二級交換機。第三層為以第一層局域網(wǎng)的網(wǎng)絡(luò)工作站作為控制主機的控制各個ic 卡收費終端的網(wǎng)絡(luò)。連接到專網(wǎng)的串口設(shè)備子網(wǎng)，以及專網(wǎng)計算機校園網(wǎng)和銀行金融網(wǎng)的接口，要同期設(shè)計建設(shè)。一卡通專網(wǎng)采用tcp/ip網(wǎng)絡(luò)協(xié)議。整個一卡通專網(wǎng)所用交換機，建議采用端口mac 地址綁定，使每個端口只能設(shè)置唯一的ip 地址，連接特定的設(shè)備，從而保證了整個網(wǎng)絡(luò)的安全性。

通過網(wǎng)絡(luò)分段實現(xiàn)

首先是網(wǎng)絡(luò)分段。在實際應(yīng)用過程中，通常采取物理分段(即在物理層和數(shù)據(jù)鏈路層) 上分為若干網(wǎng)段與邏輯分段(即把網(wǎng)絡(luò)分成若干ip 子網(wǎng)) 相結(jié)合的方法來實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的安全性控制。

其次，關(guān)于vlan 的實現(xiàn)。虛擬網(wǎng)技術(shù)主要基于近年高速發(fā)展的局域網(wǎng)交換技術(shù)(atm和

以太網(wǎng)交換) 。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。以太網(wǎng)從本質(zhì)上基于廣播機制，但應(yīng)用了交換機和vlan 技術(shù)后，實際上轉(zhuǎn)變?yōu)辄c到點通訊。如上圖，不同系統(tǒng)在網(wǎng)上劃分為不同的虛擬網(wǎng)，如“一卡通”卡務(wù)中心和消費系統(tǒng)劃分在不同的vlan 段，通過以下相應(yīng)的vlan 劃分方法來提高網(wǎng)絡(luò)安全。

1、基于端口的vlan ，就是將交換機中的若干個端口定義為一個vlan ，同一個vlan 中的計算機具有相同的網(wǎng)絡(luò)地址，不同vlan 之間進行通訊需要通過三層路由協(xié)議，并配合mac 地址的端口過濾，就可以防止非法入侵和ip 地址的盜用問題。

2、基于mac 地址的vlan ，這種vlan 一旦劃分完成，無論節(jié)點在網(wǎng)絡(luò)上怎樣移動，由于mac 地址保持不變，因此不需要重新配置。但是如果新增加節(jié)點的話，需要對交換機進行復(fù)雜的配置，以確定該節(jié)點屬于哪一個vlan 。

3、基于ip 地址的vlan ，新增加節(jié)點時，無須進行太多配置，交換機根據(jù)ip 地址會自動將其劃分到不同的vlan 。這中vlan 智能化最高，實現(xiàn)最復(fù)雜。一旦離開該vlan ，原ip 地址將不可用，從而防止了非法用戶通過修改ip 地址來越權(quán)使用資源。

E 、數(shù)據(jù)中心網(wǎng)絡(luò)需求分析

數(shù)據(jù)中心交換機負責(zé)整個校園網(wǎng)數(shù)據(jù)中心平臺上應(yīng)用業(yè)務(wù)數(shù)據(jù)的高速交換。兩臺數(shù)據(jù)中心交換機分別與計算池、存儲池、WEB 應(yīng)用服務(wù)器以及管理區(qū)連接，數(shù)據(jù)中心交換機與計算池、存儲池、WEB 應(yīng)用服務(wù)器間均采用萬兆接口捆綁互聯(lián)。

兩臺數(shù)據(jù)中心部署IRF2虛擬化技術(shù)，簡化路由協(xié)議運行狀態(tài)與運維管理，同時大大縮短設(shè)備及鏈路出現(xiàn)故障快速切換，避免網(wǎng)絡(luò)震蕩。IRF2互聯(lián)鏈路采用2*10GE捆綁，保證高可靠及橫向互訪高帶寬。

12.1.4、方案設(shè)計

A 、網(wǎng)絡(luò)出口方案設(shè)計

通過與客戶進行技術(shù)交流，需求收集及分析，此次湖南***大學(xué)網(wǎng)絡(luò)的整體安全改造解決方案包含系統(tǒng)出口入侵防御系統(tǒng)、WEB 應(yīng)用安全防護、鏈路和系統(tǒng)服務(wù)優(yōu)化及DNS 智能解析（負載均衡）、流量控制及上網(wǎng)行為審計等六大方面。通過多層次、多緯度的防護技術(shù)和客戶系統(tǒng)的應(yīng)用交付優(yōu)化措施，為客戶網(wǎng)絡(luò)完成全方位無縫隙的安全防護，以及更優(yōu)的用戶體驗。

客戶系統(tǒng)通過本方案的建設(shè)部署后，整體拓撲如下：