广州城建职业学院校园网升级改造措施.docVIP

广州城建职业学院校园网升级改造措施 　　摘要：该文讨论了对校园网进行了升级工作内容、分析了校园网速度慢、网络安全问题的原因，通过通过部署基于802.1X的RADIUS全网统一认证服务器、锐捷RG-1600带路由、网络地址转换（NAT）、虚拟专用网络(VPN)功能的防火墙解决了网络速度慢及网络安全问题。 　　关键词：校园网；网速度慢；网络安全；认证服务器；防火墙 　　中图分类号：TP393文献标识码：A 文章编号：1009-3044(2011)20-4838-02 　　2010年3月致5月，广州城建职业学院学院进行了网络管理系统的升级整改工作，作者有幸参与了校园网第三期工程方案的规划、设计并组织参与了整个项目的招标、评标、工程建设、并承担了该网络的运维工作，该三期网络项目共投入经费275万元。该项目的具体介绍如下： 　　1 网络现况 　　1.1 覆盖范围 　　该校园网于1999年开始建设，经过一二期的建设，已有信息点15000余个，网络采用了三层网络架构，信息点都采用了UTP5 类双绞线连接致接入交换机、接入交换机有实达1926+和部分长城6126承担。接入层交换机通过双绞线汇入到每层的汇聚交换机上，汇聚交换机有CISCO3550承担，汇聚交换机再通过单模光纤接入核心交换机4006上。该校共有两个校区，校区之间相距大概1公里左右，校区面积加起来共有1000余亩。，校园内共有14栋楼房，4栋是学生宿舍楼，3栋教师宿舍楼，2栋教学楼，实训楼（1楼是图书馆和电子阅览室，2楼是实验教室，3到7楼是计算机教室，其中4楼为校园网络中心）、办公楼、体育馆、商店、学生食堂各有1栋，楼与楼之间的距离：40-1000米；园内有管道敷设。 　　1.2 信息点的特点 　　这方面的需求不同学校有着明显不同，大体都可以分为，教学、办公、服务这四方面应用。如对教学、科研方面的网络设计应考虑稳定、扩展、安全等问题；办公、服务等带宽是要着重考虑的方面，所以学校应该根据自己的实际情况来考虑网络的结构，及安全问题。 　　1.3 软硬件配置 　　接入交换机由实达1926+和部分长城6126承担，汇聚层交换机由CISCO3550承担，汇聚交换机再通过单模光钎接入核心交换机CISCO 4006上。网关由redhat9.0服务器承担，在此上运行了NAT和计费软件。出口有两个分别是100M的chinanet电信网络和10M的cernet教育网络。 　　1.4 当前管理模式 　　由于校园网络采用基于IP网关的认证计费方式，网络用户登录外网必须在网关出口处认证，网络使用高峰时段网络系统出现瓶颈，导致网络用户登录外网困难、上网掉线。无管理软件，全是管理人员手工进行管理。 　　2 当前存在的管理问题 　　2.1 网速问题 　　开学以来新开用户剧增，总用户数量较大，较前期最高增加30％，最大同时在线人数已达6000以上，现有校园网络系统（网络认证计费系统、出口带宽、交换设备等）不堪重负，已超出其使用极限，网络结构及网络设备在近期的运行中暴露出诸多问题，主要表现在： 　　2.1.1 网络结构不合理 　　由于校园网络采用基于IP网关的认证计费方式，网络用户登录外网必须在网关出口处认证，网络使用高峰时段网络系统出现瓶颈，导致网络用户登录外网困难、上网掉线； 　　2.1.2 网络主要设备性能不够 　　由于专用的路由和NAT（网络地址转换）硬件设备由服务器替代，网络使用高峰时段服务器资源利用率接近100%，导致用户上网速度慢，打开网页困难； 　　2.1.3 网络出口带宽不够 　　现有出口带宽（CHIANNET:100M，CERNET:10M）不能满足现有校园网络用户的上网要求，网络使用高峰时段出口带宽一直处于满负载状态； 　　2.2 网络安全问题 　　网络整体安全性较差：在校园网络前期建设中使用的交换机性能较好，但无法进行有效的网络安全管理，盗用IP地址、利用ARP欺骗、私设代理等情况日益严重； 　　2.3 网络失控 　　网络管理难度加大：随着接入用户的增加，无论是维护、收费还是管理难度越来越大，网络设备的维护工作量剧增；内网资源少：校园网络没有建立内网资源库、学习资源库平台、安全稳定的邮件系统，为用户提供的应用服务少。在校园网络前期建设中使用的交换机性能较好，但无法进行有效的网络安全管理，盗用IP地址、利用ARP欺骗、私设代理等情况日益严重； 　　现有出口带宽（CHIANNET:100M，CERNET:10M）不能满足现有校园网络用户的上网要求，网络使用高峰时段出口带宽一直处于满负载状态；由于专用的路由和NAT（网络地址转换）硬件设备由服务器替代，网络使用高峰时段服务器资源利用率接近100%，导致用户上网速度慢，打开网页困难。 　　3 整