校园服务器服务器安全设计与实现

.校园服务器概述随着网络技术的更新换代，计算机网络已经深入到我们日常生活中的方方面面之中，同时不断为人们的生活、工作、学习提供了很多方便。高校已经全面开始通过使用计算机网络为教学和管理提供便利，而随着现代网络技术、网络多媒体技术的发展以及Internet技术的高普及率，中国各大高校开始对自己的校园服务器进行扩展和升级，为学校的教学、管理、办公、信息交互等方方面面提供高质量、高性能的网络环境，新时代的校园服务器已经成为学校教育信息化的基础设施和重要标志。1.1.校园服务器特点校园服务器是基于现代网络技术、多媒体技术以及Internet技术等建立起来的计算机网络。旨在将校园内的网络终端设备连接起来，且同时可以支撑教学、管理和信息服务等软件服务平台的运行，以实现现代信息技术环境下的教学与管理。由此看来校园服务器应具备以下特点。1.1.1.快速强大的网络连接校园服务器是面向学生、老师以及部分办公人员的网络，因此校园局域网则是校园服务器设计的重点。由于网络使用时间大多为白天上课时间，访问人数众多，使用时间集中，且教学活动要尽量避免等待和大量多媒体数据需要传递的前提条件下，设计且组建一个高性能、高质量的网络连接就成了校园服务器的首要目标。新时代校园服务器要求具有高质量的数据通信能力、能够满足校园人员需求的带宽、以及在主干网上提供以便后期升级的扩展性和高性能的网络主干速度。1.1.2.针对不同数据的网络传输校园服务器主要是面对老师、学生等高素质人才，涉及的应用需求也是多方面的。可分为多媒体数据、信息数据和远程通信数据。由于不同数据存在不同的数据特性(例如：多媒体技术数据量大、安全性要求低，远程通信数据安全性要求高等)，对于网络传输也有着不同的要求。1.1.3.具有良好的扩展性校园的信息化是一个漫长的过程，校园服务器在设计之初就应该考虑到学校今后的发展趋势和发展方向，以提供一个为后期发展的扩展空间。在扩展时，要尽可能的做到节约成本，将原设备充分利用，减低预算，尽量最大可能的减少不必要的浪费。因为对于中国学校而言，校区面积大，校园人员密度大，以至于组建校园服务器络的网络设备多，所以在组建校园服务器时就应该充分考虑未来几年内校园服务器络的可持续扩展，因此如今在设计与组建校园服务器通常使用三层交换机结构，以满足当前学校网络的需求，同时可以之后校园服务器的升级与扩展节约成本。1.1.4.具有良好的安全性和可靠性与其它网络一样，校园服务器面临的网络中病毒和非法入侵等威胁。校园服务器面对的用户有多种，主要分为学生、老师、行政办公人员以及校外访问人员。对于不同的身份的人，设定的访问权限设定也是不同的，通过相应安全策略以保证校园服务器罗安全且稳定的运行，同时保证校园服务器内重要数据的完整和安全。各个高校会将大量的教学资料、科研数据和学生档案等重要数据存放在校园服务器内的文件管理服务器之中，如果被篡改、被删除、被泄露，不仅会造成经济损失，还会带来教育上的影响。1.1.5.便于管理与维护对于学校来说，校园服务器络的维护可能会导致教学活动的被迫暂停以及无法使用部分网络功能，这毫无疑问是个不小的影响，而且当网络规模较大时，设备配置文件的管理的工作将变得十分繁重，这样会给网络管理员管理和维护网络增加工作负担。因此，在进行校园服务器络的规划与设计时，就要充分考虑校园服务器络管理员的工作负担问题，如何能让网络方便管理且易于维护，避免因管理维护带来不必要的损失。1.2.校园服务器功能校园服务器的主要功能和高校的需求是密不可分的，其中主要包括信息交流、教学、学习和管理等方面。1.2.1.信息交流信息交流主要可以分为校内信息交流和校外信息交流。其中校内信息交流主要是校园服务器用户之间进行交流和联系，可以提供类似电子邮件、聊天室的服务。而校外信息交流则主要是学校通过网络让校外的人可以了解学校的情况，是对外宣传的窗口，校园服务器的校外信息交流还可以为学生家长提供，主要是为了让学生家长了解学生的在校情况，以方便与学校进行沟通，而且还可以让学生家长接到学校发布的重要通知等等。1.2.2.教学校园服务器的主要功能就是为了促进教师的教学，为教师的教学工作提供多方面的便利。为教师提供提供备课便利，教师可以通过校园服务器与相关课程老师进行学术交流，还可以利用网络资源了解该领域最前沿的科研成果和技术经验，还可以收集到该课程的曾经的任课老师的备课资料大大的提高了老师的备课效率。为教师提供更好的教学设备，老师可以多媒体网络教室通过校园服务器给同学们展示校园服务器络内部署的文件管理服务器上的资源或因特网上的资源，将知识以多元化的形式展现给学生，以满足教学的需要，取得更好的教学效果。1.2.3.学习校园服务器不仅仅可以为教师提供教学的的便利，也可以为同学提供学习的便利。校园服务器能够提供丰富校园服务器内的或者是Internet上的学习资料，还可以方便学生进行交流。校园服务器的出现让学生的学习方式发生了翻天覆地的变化，朝着更加多元化的方向发展。1.2.4.管理新时代校园服务器的出现实现了各个高校的数字化办公、数字化教学和数字化管理的数字化办公体系，大大提高了办公效率。每个教师或者教职工可以通过校园服务器进行办公、教学、存放云文件和获取信息，进行交流协商以达到更好的工作效果，同时还可以提高整体的办公效率、管理效率和教学效率。1.3.校园服务器组成校园服务器是以计算机为基础，通过LAN网技术和WAN网技术以实现教学科研、信息通信和行政管理三大功能的计算机局域网。从整体来看，校园服务器主要由网络结构系统和软件管理系统组成。其中软件管理主要提供更加全面高效的教学和管理，通过软件管理系统提供的各种服务提高教学的质量和效率，以及完成学校的行政管理工作。校园服务器络系统从物理的角度看，局域网是校园服务器络的基础，校园服务器内的终端用户通过连接校园服务器浏览Internet上的信息，以及使用各种由校园服务器应用服务器提供的网络服务，网络的安全主要由防火墙负责。各个学校的校园服务器络系统可能会有差异，但其基本组成结构基本相同。大致可以划分为行政办公子网、教学楼子网、宿舍楼子网、图书馆子网、以及各学院子网等等。2.校园服务器络规划与设计校园服务器络的规划与设计是一项系统工程。在设计之初，就应该制定相应的总体的方向和目标，即要达到什么目的，满足什么要求，提供什么服务，解决怎样的问题，这就是校园服务器络规划设计的主要工作。首先要明确校园服务器的建设目的和校园服务器的建设目标，再通过收集当前建设需求，来设计网络结构和设备选型，同时还要考虑未来的扩展等因素。2.1.校园服务器建设目的校园服务器建设的目的是为了加快校园信息化建设，以实现数字化管理校园，组建高性能、安全、可靠的校园服务器络。要求能够实现校园内各个部门信息交流功能，实现与教育网连通，同时提供Internet公共服务。最终能够给学校带来信息化的教学和信息化的管理，提高教学服务质量和教学效果。2.2.校园服务器建设目标校园服务器建设目标顾名思义就是校园服务器建设总体的目标，在建设完成后，校园服务器所能够达到的功能和规模，要求提供的网络服务类型，需要达到哪种程度的网络安全，以及所提供网络服务所需要的网络性能。首先应当根据需求分析设计和规划一个近期的目标，为校园服务器络的建设提供一定参考，同时再根据实施过程中遇到问题进行少量的修改。同时再制定一个远期目标着眼于未来几年内校园服务器络的规模和校园服务器络技术的发展趋势，以达到高性价比和高扩展性。2.3需求分析校园服务器的需求主要包括业务需求、安全需求、扩展需求、流量需求和接入需求等。拟为某某大学建设校园服务器络，某某大学共有2个校区，其中A校区共有n个教学楼，n个办公大楼，n个图书馆，n栋宿舍楼，n个食堂，城西校区共有n个教学楼，n栋宿舍楼，n个食堂。为了保障网络的高可用性以及经济性，A校区将采用三层单核心结构设计，核心层部署一个高性能核心节点，同时通过动态路由技术实现三层互通将个校区连接起来，同时根据校园内各个部分的功能进行规划校园服务器络的汇聚层，各个汇聚中心放置一台高性能三层设备，每一台负责该功能区域的设备接入，接入层为该功能区域内的接入交换机，是直接与用户相连的设备；同时为满足师生的上网需求，预计在教学楼、图书馆、食堂提供WLAN功能，在该区域的接入层交换机连接AC设备，在AC设备上配置DHCP服务功能，以实现笔记本、手机等终端设备可以自动获得IP地址并且能够无线上网。由于城西校区的网络规模较小，所以城西校区将采用二层单核心结构设计，将汇聚层功能集成到核心层中以减少成本，即校园服务器络结构从物理结构上看由核心层设备和接入层设备组成，由于没有汇聚层设备，城西校区的校园服务器络的接入层设备将直接连接在整个网络的核心设备上，所以接入层设备则需要采取一定的保护措施，避免核心网络受到恶意或非恶意行为的影响；同时为满足师生的上网需求，预计在教学楼、图书馆、食堂提供WLAN功能，在该区域的接入层交换机连接AC设备，在AC设备上配置DHCP服务功能，以实现笔记本、手机等终端设备可以自动获得IP地址并且能够无线上网。同时根据学校的应用需求，还需要配置Web、FTP、E-mail、DNS、数据库和认证管理服务器。为保证主要网络设备和服务器的工作，在网络中心还需要配置大容量长延时的不间断电源；同时为保证网络安全，则还需配置防火墙，以及设计相关的网络病毒方案。3.网络规划设计3.1.VLAN划分VLAN技术在网络领域被广泛应用，主要应用在网络管理和网络安全方面。通过VLAN技术可以实现对整个网络的集中管理，在修改终端设备时，不需要修改配置，同时还可以将相同功能的区域划分为同一个VLAN，便于操作管理。同时VLAN还可以提供一定的安全机制，比如不同的vlan必须通过路由技术才能实现互访，而且还可以通过划分VLAN限制局域网中产生广播风暴的大小和方位，增强了校园服务器的安全性和可管理性。VLAN的划分是在交换机上通过软件实现的，而在本次设计中主要采用基于接入层交换机端口划分VLAN策略。其中基于端口划分的VLAN是校园服务器络组建与规划中最为常用的一种方式，其主要优点就是非常简单、有效的，只需要对网络交换设备的接口进行定义vlan成员，将指定接口加入到指定vlan中，即可实现将广播报文限制在一个vlan中，无需考虑设备的类型。这种划分VLAN的方式是目前校园服务器络的规划与设计中使用最广泛的方法，适用于任何规模的校园服务器络的规划与设计。VLAN规划如下：海甸校区：10个教学楼为VLAN1XX一号教学楼为VLAN101一号教学楼的无线局域网为VLAN102二号教学楼为VLAN103(以此类推，不再过多赘述)26个宿舍楼为VLAN2XX一号宿舍楼为VLAN201二号宿舍楼为VLAN202(以此类推，不再过多赘述)图书馆为VLAN301图书馆的无线局域网为VLAN302办公楼为VLAN401办公楼的无线局域网为VLAN4028个食堂为VLAN5XX城西校区：城西教学楼为VLAN600城西图书馆为VLAN700城西宿舍楼为VLAN800服务器集群为VLAN9003.2.IP地址分配IP地址的统一、合理规划关系到整个网络结构的稳定，以及网络的管理，是设计校园服务器的重要一环。IP地址的划分也会影响未来网络的扩展与升级。IP地址的分配根据VLAN的划分，同时预留足够的扩展空间，使第三层交换设备能够采用动态路由技术实现三层互通，减少对核心层交换设备的路由效率的影响。同时所有网络设备采用NAT服务器实现地址转换的方式上网，同时在接入层交换机中使用DHCP服务管理有线接入方式接入的主机的IP地址，网络主机通过DHCP协议动态获取IP地址，而服务器集群则采用手动分配的方式。表3-1VLAN规划表NGE/2wGE/3wGE/2GE/3GE/2GE/2GE/2GE/3表3-2主机IP地址规划表N1VLAN1VLAN1VLAN1VLAN1VLAN1VLANrver3VLANserver4VLANerver5VLAN表3-3无线接入IP地址规划N111111111111表3-4路由接口IP地址规划设备接口接口地址VLAN路由协议nif1wnif1nif1nif1nif1nif1nif1nif1RE1/0/01RE1/0/11RE/01RE/11RE/01RGE/11RGE/01RGE/02RGE/11RGE/12RGE/21RGE/21表3-5VLAN规划表laniflaniflanif212无无无3.3.接入Internet方案设计通过需求分析和对于接入Internet技术的对比，数字数据网接入方式，可靠性更高，充分满足校园服务器需求，所以校园服务器采用数字数据网接入的方式，校内则通过配置地址转换的方式，保证网络的使用。其主要优点：1.数字数据网接入方式可以向校园服务器中的使用者提供高性能的点到点通信。2.数字数据网接入方式的通信保密性较强，十分契合校园服务器络的安全需求。3.数字数据网接入方式的信道固定分配，使校园服务器络的使用者受到的网络波动大大减少4.数字数据网接入方式可以使校园服务器的用户通过这条具有高性能、高质量的国际互联网通道，享受因特网中的服务。5.数字数据网接入方式还可以使局域网内的终端设备共享因特网资源。6.数字数据网接入方式使校园服务器内的用户可得到多个因特网合法IP地址及域名。7.数字数据网接入方式中的用户可通过防火墙等技术保护校园服务器络免受攻击。8.数字数据网接入方式的用户还可通过vpn技术，实现国际网络互联，从而满足用户的网络需求。4.网络系统设计4.1.设备选型通过需求分析，对于本例校园服务器络设备，应当选择较为著名厂商，有质量保证、产品类型丰富、专业性较强，尤其是对于校园服务器络的未来发展和升级具有较强兼容性，可以节约升级扩展的成本。4.1.1.核心交换机设备选型通常将网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，在本次设计中，采用单核心设计，再两个校区的网络中心分别放置一台高性能路由器，以解决校园服务器的网络需求。所以选择NetEngineAR6300系列企业路由器，NetEngineAR6300系列企业路由器是华为面向云化时代推出的首款企业级AR路由器，具备3倍业界转发性能，5G超宽上行，同时融合SD-WAN、云管理、VPN、MPLS、安全、语音等多种功能，帮助全球客户轻松应对企业上行流量激增和未来业务多元化发展。4.1.2.汇聚层设备选型在本次设计中，A校区汇聚层分为教学楼汇聚中心、宿舍楼汇聚中心、图书馆汇聚中心、办公楼汇聚中心、食堂汇聚中心，以功能区域为单位将各个建筑的信息接入点汇聚，同时需要负担部分路由的功能，则每个汇聚中心部署一个高性能的三层路由交换机。所以选择S7700系列交换机可提供有线无线深度融合、统一用户管理、网络质量感知iPCA、完善的H-QoS策略、一体化安全等智能业务优化特性，支持100G端口，支持SVF2.0超级虚拟交换机，具备超强扩展性和可靠性。4.1.3.接入层设备选型在本次设计中，接入层设备数量需求较高，且根据建筑分布共有n栋教学楼，n栋宿舍楼，n栋办公楼，n栋图书馆，n栋食堂等场所，同时校园服务器的接入设备较多，所以选择S2700系列企业交换机(以下简称S2700)是华为公司推出的新一代绿色节能的以太智能百兆接入交换机。它基于新一代交换技术和华为VRP(VersatileRoutingPlatform)软件平台，能提供简单便利的安装维护手段，同时融合了灵活的网络部署、完备的安全和QoS控制策略、绿色环保等先进技术，可满足以太网多业务承载和接入需要，助力企业用户搭建面向未来的IT网络。4.1.4.无线局域网设备选型在本次设计中，为满足师生无线接入校园服务器络的需求，且根据场景考虑，都是室内接入，并且校园中人员密度大，所以选择华为AP5050DN-S接入点支持802.11acwave2标准，2.4G支持3×3MIMO和三条空间流，5G支持4×4MIMO和四条空间流，整机最高速率可达2.33Gbps。支持11n到11ac标准平滑过渡，可充分满足高清视频流、多媒体、桌面云应用等大带宽业务服务质量要求，让企业用户畅享优质无线业务。AP5050DN-S是面向中小企业分销级市场推出的无线AP产品，适用于移动办公、高密度、普教、高教等大中型高密场景。无线接入控制器选择AC6800V是面向大型企业园区、企业分支和校园推出的高性能无线接入控制器(Accesscontroller)，借助华为自研服务器平台，最大可管理10240个AP，转发能力最高60Gbps，具有灵活的数据转发方式，支持直接转发、隧道转发；灵活的用户权限控制，提供基于用户和角色的访问控制策略控制能力等特点。4.2.拓扑结构设计为了保障网络的高可用性以及经济性，A校区将采用三层单核心结构设计，核心层部署一个高性能核心节点，同时通过动态路由技术实现三层互通将个校区连接起来，同时根据校园内各个部分的功能进行规划校园服务器络的汇聚层，各个汇聚中心放置一台高性能三层设备，每一台负责该功能区域的设备接入，接入层为该功能区域内的接入交换机，是直接与用户相连的设备；同时为满足师生的上网需求，预计在教学楼、图书馆、食堂提供WLAN功能，在该区域的接入层交换机连接AC设备，在AC设备上配置DHCP服务功能，以实现笔记本、手机等终端设备可以自动获得IP地址并且能够无线上网。由于城西校区的网络规模较小，所以城西校区将采用二层单核心结构设计，将汇聚层功能集成到核心层中以减少成本，即校园服务器络结构从物理结构上看由核心层设备和接入层设备组成，由于没有汇聚层设备，城西校区的校园服务器络的接入层设备将直接连接在整个网络的核心设备上，所以接入层设备则需要采取一定的保护措施，避免核心网络受到恶意或非恶意行为的影响；同时为满足师生的上网需求，预计在教学楼、图书馆、食堂提供WLAN功能，在该区域的接入层交换机连接AC设备，在AC设备上配置DHCP服务功能，以实现笔记本、手机等终端设备可以自动获得IP地址并且能够无线上网。同时根据学校的应用需求，还需要配置Web、FTP、E-mail、DNS、数据库和认证管理服务器。为保证主要网络设备和服务器的工作，在网络中心还需要配置大容量长延时的不间断电源；同时为保证网络安全，则还需配置防火墙，以及设计相关的网络病毒方案。4-1分校区设计4-2主校区设计4.3.设备功能配置`为满足校园服务器络需求，现配置以下功能服务、各类网络设备信息以及服务器功能和信息。配置RIP动态路由实现三层vlan互通，不同功能区域可以互联，不同校区实现互联。配置无线接入满足校园服务器使用者随时随地入网以及即时移动办公的网络需求。配置DHCP服务实现动态管理在终端设备和无线接入点的IP地址，做到合理分配IP地址，减少核心层路由设备和汇聚层路由交换机的开销。配置NAT接入Internet，保护内网，同时实现外网终端设备可以访问校园服务器内部http服务器。配置ACL策略，满足校园服务器络内部的安全需求，则采用ACL配置。办公楼终端设备无法被其他区域终端设备访问，但办公楼终端设备可以访问校园服务器内所有终端设备。以及配置其他功能服务器。4.3.1.配置RIP动态路由因为RIP的实现较为简单且技术成本较低，在配置和维护管理方面也远比OSPF和IS-IS容易，因此在本次设计中采用RIP实现动态路由技术。核心层路由器通过配置RIP动态路由技术实现校园服务器络三层互通，同时汇聚层的三层交换机在进行汇聚是同样通过动态路由实现基于接入层交换机接口配置的虚拟局域网互通。4-1核心层路由器接口配置4-2核心层路由器RIP指定网段汇聚成交换机基于vlanif逻辑接口配置RIP动态路由技术实现互通，其中汇聚层中的教学楼汇聚中心、宿舍楼汇聚中心、图书馆汇聚中心、办公楼汇聚中心、食堂汇聚中心配置一致，不再赘述。4-3汇聚层路由交换机接口信息4-4汇聚层路由交换机RIP指定网段城西校区核心层路由由于城西校区规模较小，在校人数较少。在物理结构上，将汇聚功能集成到核心层路由上，与整体配置思路类似，通过RIP动态路由技术实现三层互通。4-5城西校区核心层路由器接口信息以及RIP指定网段5.总结体会校园服务器的设计与规划是一个巨大的工程，其中包括各种模块的设计，比如网络安全设计、网络结构设计、网络方案设计等等。本文基于ensp网络仿