江西财经大学校园网建设规划介绍和应用简介 PPT课件

校园网建设规划介绍 1 校园网出口带宽管理2 校园网用户网段管理3 校园网用户认证管理4 校园网用户计费管理5 校园网用户上网控制6 校园网用户带宽管理7 校园网用户安全控制8 校园网无线管理9 校园网机房PC系统安全管理10 校园网服务器管理 1 校园网出口带宽管理 校园网总出口为4600Mbps 其中电信3条线路分别是1000Mbsp 2和300Mbps 教育网100Mbps 网通1000Mbsp 2 移动200Mbps 通过长期测试结果 NAT地址池的数量以100Mbps左右带宽搭配1个NAT地址比较合适 全校NAT地址池共使用42个公网地址 出口流量以联通 移动 教育路由优先 缺省路由为电信 通过策略路由方式进行流量第一次分配 在电信出口 网通出口和教育网出口分别架设相应的DNS服务器 提供校园网用户上网使用 通过调节两个DNS在DHCP配置文件的顺序进行流量在电信出口 网通出口和教育网出口的流量再次分配 电信及教育两台DNS分别使用和两个域名提供校园网服务器对外域名服务 2 校园网用户网段管理 校园网普通用户上网采用DHCP动态分配IP 特殊用户采用DHCP绑定IP 手工指定IP无效 根据用户群体划分网段 主要分为教学办公用户 教工用户和学生用户三个类型 教学办公用户使用172 20 X X的私网地址教工用户使用172 16 X X的私网地址学生用户使用10 X X X的私网地址192 168 X X的私网地址校园网不使用不路由 保留为各个学院和实验室使用根据用户群体划分网段方便校园网管理和维护 并能更好的进行校园网用户接入认证 计费和安全控制 3 校园网用户认证管理 校园网接入用户可采用WEB认证 802 1X认证或PPPOE认证WEB认证不需要安装客户端 用户通过网页方式进行认证 PPPOE采用标准的radius认证协议 windows和linux自带客户端 802 1X采用带扩展属性的radius认证协议 需要使用H3C专用客户端用户认证触发条件学生用户开机后可以自动获得校园网分配的IP 但只能访问认证 补丁和DNS服务器 通过认证后才能访问剩下的校园网资源和校外资源用户上网只能采用DHCP方式获取IP 杜绝了无意或故意的IP地址占用和 抢IP 情况的发生 每个用户群体对应的DHCP地址池大小约为实际峰值上网人数的3 4倍 防止针对DHCP服务器使用攻击程序恶意进行地址申请和占用 校园网用户上网可以采用代理模式用户自购的符合标准PPPOE协议拨号认证路由器设备可以在校园网使用 并实现一个帐号代理多台电脑上网的功能 上网帐号允许代理模式方便用户使用 减少管理成本和增强网络安全 4 1 校园网用户计费管理 校园网用户计费策略校园网计费策略分为预付费和后付费两种模式 预付费对应个人账户 包括学生和教工账户 用户先缴费后使用 上网有流量和包月方式 包月类型的用户可自助暂停和启用帐户 节假日和寒暑假可自助暂停 后付费对应教学办公用户 上网为流量方式 对于办公账户学校不收取费用 但可以根据账户的流量数据统计和反映各个学院部门的上网使用情况 个人账户通过校园一卡通在自助充值机上进行账户充值用户可以通过用户上网自助服务平台进行帐户管理与状态查询 账户在校区间漫游使用普通办公账户和个人帐号均可在所有校区漫游使用 个人账户 包括学生和教工账户 在各个校区的教工区和学生区可以通用 但不能在办公区使用 办公区只能使用办公账户 办公账户可以漫游各个校区的办公区 不能在教工区和学生区使用 办公账户由网络中心统一为各个院系部门提供 原则上一个院系部门一个账户 一个办公账户可支持多台电脑同时在线上网 有特殊上网需求的电脑可以实现账户和交换机端口的绑定 IP和MAC地址一般不针对账户绑定 帐户绑定后不能漫游 4 2 校园网用户计费管理 5 校园网用户上网控制 校园网采用分布式认证模式由于上网人数较多 并发在线高峰为2万用户 我校采用13台MA5200F设备和一套CAMS软件实现分布式认证 通过宽带接入设备MA5200F控制用户上网 针对每IP实现带宽管理 学生用户为上传2Mbps和下载7Mbps 教工用户及办公用户上传3Mbps和下载5Mbps 并通过出口路由器对每IP实现TCP连接和其他协议的并发连接数管理 针对学生区实现周一至周五零点的断网 周六和周六3点断网 开网时间统一为5点 以确保学生合理安排上网和就寝时间 校园网允许P2P软件在规定范围内的使用 但根据P2P的特点实行对每个在线IP的上行下行带宽和连接数的管理 保证校园网出口带宽的合理使用 学生用户下行带宽为7Mbps 根据实际带宽情况调整带宽 上行带宽为2Mbps TCP并发连接数为100 UPD及其它为120 通过带宽和连接数的控制可以有效的抑制P2P软件对带宽的超标占用 带宽管理在网络层实现 在应用层的带宽管理从2008年开始测试 由于没有符合我校要求的设备 一直没有实际部署 6 校园网用户带宽管理 7 1 校园网用户安全控制 校园网个人用户上网使用实名制认证上网账户为一卡通账号 用户第一次上网通过网页访问实名制认证系统提取用户真实信息进行在线预注册开通 在各个校区办事处经过审核和缴费后正式开通上网功能 通过实名制预注册功能可以防止手工开户的人为账户信息输入失误 并简化开户过程和提高管理效率 校园网接入层交换机实现一端口一VLAN的配置 完全杜绝网络广播风暴 伪DHCP服务 伪代理服务和ARP欺骗 同时抑制ARP病毒在校园网的爆发 校园网上网认证是用户名 密码 MAC地址 IP地址 VLAN号五元素对应关系 由于账户可以漫游 IP和MAC地址都可能被伪装 所以VLAN号是最终定位用户上网地点的要素 IP和MAC地址为参考要素 由于全校用户上网为自动获得IP的方式 所以DHCP日志中用户IP申请的时间点 MAC和IP地址的对应记录也成为安全日志的一部分 上网用户开机后可以自动获得校园网分配的IP 但学生用户只能访问认证服务器 补丁服务器和DNS服务器 通过实名制认证后才能访问剩下的校园网资源和校外资源 通过对学生用户的开机强制认证可以记录学生访问校内和校外资源的上网过程 并形成上网日志 同时再配合防火墙日志 NAT日志 流量日志和上网行为管理日志等其他日志 共同构成网络安全日志和审核日志 网络设备管理 整合实名制登录和保存网络设备登录和操作日志 7 2 校园网用户安全控制 8 校园网无线管理 校园网目前以有线传输为主 无线为辅 现有无线以室外无线为主 无线采用802 11g为主 兼容802 11a和802 11b 学校重要的会议室 报告厅部署室内无线 即将规划实施校园无线全覆盖 采用802 11n的AC 瘦AP的架构 计划与现有CAMS计费实现对接 使用统一的账户 实现有线无线一体化 我们理解和需要解决的无线安全主要指数据从无线网卡接入AP这个过程的安全控制 数据从AP转为有线方式传输到后面AC和最终传输到达校园网的数据安全由其他技术确保 例如使用VPN技术或防火墙技术等 机房PC根据IP规划进行网段划分 一般为1个教室1个网段 1个网段一般使用1个C类地址 机房PC开机后可以访问校园网 按照教室编号 网页管理方式开通Internet访问 机房PC通过专门的服务器代理上网 可以通过对服务器的监控及时发现机房流量异常 机房通过还原卡和Mcafee软件锁定注册表和系统关键文件和目录 通过对注册表和系统关键文件目录的锁定 可以防止在上课时间段病毒 例如 机器狗 的爆发 9 校园网机房PC系统安全管理 校园网服务器主要分为校内服务器和校园网边界服务器校内服务器采用校园网内部地址 对于校外有访问需求的内部服务器则在校园网出口做一个内部地址到一个公网地址的一对一映射实现校外的访问 边界服务器架设在出口 直接使用公网地址提供校内和校外的访问 对于没有进行公网地址映射的服务器 校外用户需要使用VPN方式连接校园网 通过IP地址二次分配后虚拟成为校园网用户后访问校内资源 包含图书馆数据库资源 VPN帐号为一卡通帐户 自助开通 自助管理 VPN服务含VPN日志 记录用户申请开通时间 VPN使用时间 使用流量 源地址和二次分配地址 对于使用了公网地址进行映射的服务器在域名上需要DNS完成域名解析能区分公网地址和私网地址的不同 服务器安全根据实际情况具体配置和部署安全方案 10 校园网服务器管理 校园网络应用简介 我校校园网络通过近几年的建设已经形成较大规模 总计安装网络信息点已达28 800个 安装各类交换机1 287台 网络用户累计达到18 147户 接入校园网各类计算机上万台 校园网总出口为4600M 校园网主干传输为千兆到楼栋 百兆到桌面 全校办公 教学 宿舍联网率达98 以上 一 网络结构和网络出口1 网络出口和路由策略 我校校园网络采取多出口接入 有三个出口 电信 2300Mbps 教育网 100Mbps 网通2000Mbps 移动200Mbps 按目的地址选择的路由策略和DNS流量均衡模式 充分利用出口带宽 2 网络拓朴结构 我校校园网按三层结构接入 核心层 汇聚层 接入层 以中心机房为核心 向各个分校区 蛟桥园北院 蛟桥园南院 青山园 枫林园和麦庐园 各个分中心辐射 然后向各个楼栋辐射的方案 结构以星型拓扑为主 骨干实现环型线路均衡负载 3 校园网拓朴图 计费CAMS服务器 一卡通帐户 CAMS远程备份服务器教工邮件服务器学校办公自动化服务器 一卡通账户 NAT 机房上网控制 服务器中心主页服务器各学院网页发布虚拟主机服务器各学院网页后台管理服务器WINDOWS补丁升级服务器教育网vpn 强制教育访问 服务器校外VPN访问服务器 一卡通帐户 中心SMB文件共享服务器solarwinds和solarwinds的web发布服务器Quidview网络监控服务器 DHCP服务器DNS服务器趋势杀毒服务器流量监测 mrtg 服务器网络报修服务器 一卡通帐户 VOD视频点播服务器IPTV视频采集服务器IPTV视频发布服务器 一卡通帐户 RCM远程控制设备FTP资源共享服务器 没有开通 教工FTP空间和FTP作业管理空间 一卡通帐户 学生FTP空间 一卡通帐户 学生邮件 一卡通帐户 自助充值服务器 一卡通帐户 虚拟主机信息发布系统 已经为70多个院系提供独立域名和信息发布服务 24小时不间断供电 网站技术支持 二 提供了多样化的网络接入方式 学校的每一栋楼 每一间房都提供了至少一个宽带接入的信息点供用户上网 上网计费提供流量和包月 采用多种接入认证方式 web pppoe和dot1x 802 1x 三种 用户开机后即可自动获得DHCP分配的上网所需要的所有地址 此时可以访问校内资源 如果要访问校外资源 则通过web方式或dot1x方式或pppoe方式 只有学生必须进行认证 通过后可进行校园网和internet上网访问 建议采用web方式进行认证 如果web方式不能认证或IE不支持的可以采用dot1x或pppoe进行认证 三 提供多种用户平台1 Cams上网管理平台和Cams用户自助平台 通过这个平台 用户可以对自己的账户进行管理 查看账户信息 修改账号密码 账号暂停 帐户充值等 2 用户报修平台 通过这个平台 校园网用户可以对自己在上网过程中出现的问题进行报修 将有专人进行回复 对反映的问题及时进行处理 或者进行一些技术上的交流 四 网络管理多样样化1 利用solarwinds进行网络管理服务和solarwinds的web发布 提供对校园网主要网络节点的网络事件等网络参数的监控 2 流量监测 mrtg 服务 提供校园网主要网络节点和网络出口带宽监视服务 3 Xlog网络出口访问日志 210 35 207 88 提供校园网出口网络访问日志和网络访问统计功能 4 RCM远程服务器控制服