校园网升级改造方案设计

　　1. 网络出口建设

　　鉴于金城学院校园网存在的上述几个方面的问题，结合学院的实际情况，对金城学院网络出口建设做出如下规划，即在金城学院增加一条单独的电信出口，提供给学院用户访问非教育网资源时使用。金城学院自设认证计费系统，在学院校园网边界进行认证计费，保留金城学院与南京航空航天大学的校内网络的连接，访问教育网资源仍通过南航教育网出口访问。在缓解出口带宽压力的同时，共享南京航空航天大学校园网的各类资源，为学院的教学、科研和管理服务。

　　2. 网络出口带宽设计

　　毋庸置疑，出口带宽越多越好，但是流量和带宽也和投资经费密不可分，尤其对于金城学院这类独立学院，更要在有限的资金预算下满足校园网的应用需求，因此，必须进行详细计算，并采取必要的技术措施，合理分配和利用带宽。据一般工程经验，电信提供的百兆专网，实际带宽利用率可达90％，也就是端口总流量可以达到90Mbps/s。采用上述网络出口模式的设计方案，保守估算，教育网（无论百兆千兆）和电信百兆双出口可提供的流量为1 1 0Mbps/s，每天按照白昼12小时计算，可以提供的总下载流量为110Mbps/s×3600×12＝47.52T，如果按白天平均3000人次上网，则每个人能分到47.52T/3000＝15.84Gbit（约含2Gbyte）的下载流量,这个带宽，对于金城学院目前的规模，已足够使用，随着以后学院规模的扩大，还可以将电信出口和教育网出口的带宽分别扩容。

　　3. 校园网出口安全建设

　　由于增加了电信的独立出口，因此需要增强抵御外部攻击的能力，同时随着学院校园网内部用户数量和需求的增大，网络安全风险也变得更加严重和复杂。为了达到网络安全的要求，有必要部署防火墙设备，保障安全，提供地址翻译与策略路由、链路优化、安全管理、虚拟服务等功能。在本次网络改造中，防火墙设备选择了阿姆瑞特千兆安全网关设备——AS-F600。将AS-F600部署在网络边界，分别同南航将军路校区的千兆核心设备和电信城域网的接入交换机百兆相连。AS-F600具有防火墙/VPN功能、多链路出口和内容管理等功能。通过AS-F600，可以根据校园网内部不同的目标地址走不同的出口，加快上网访问速度。通过AS-F600，对校园网内部不同的用户作带宽控制和上网行为控制，并能对用户上网行为作安全审计的功能。利用AS-F600集成的VPN功能，可以提供教师在家远程拨号到学校内部进行远程办公和批改作业。

图2 防火墙部署

　　4. 部署流量管理设备

　　依照上述对于网络出口带宽的分析，外网带宽在保守计算情况下很宽裕，但有可能在实际应用过程中还是会觉得上网卡、上网慢，这就是由于流量不均衡引起的，为避免校园网在扩充出口及带宽后出现流量不均衡现象，合理有效地利用现有带宽，因此，在此次改造中通过部署流量管理设备迈科(Maxnet System)IP750来解决流量不均衡的问题，应用到学院校园网中可以做到：

　　⑴ 基于应用来对流量做精细控制，控制主流P2P 协议在高峰期所占的比例从而改善校园网的性能。

　　⑵ 对整个P2P协议进行控制，并对unkown协议控制。

　　⑶ 基于每个IP的会话数限制，对上传下载进行控制。

　　⑷ 基于策略的流量上行下载分开，和基于时间段的流量控制。

　　将IP750桥接在防火墙和核心交换机之间，可以主动式分析+管控所有流经的流量，并且在内网请求数据到达防火墙之前做了一次梳理和净化，不仅全面达到了控制流量和协议分析的目的，还能够为防火墙减压，让校园网出口设备工作在更良性的状态之下。

图3 网络设备部署

　　5. 部署校园网防病毒方案

　　根据学校的实际情况，将校园网划分出不同的区域，并制定不同级别的安全策略：

　　⑴核心区：学校的计算中心、办公网、图书馆、各教研科室。对核心区的设备要实施严密的安全防护，统一安装对应级别的防病毒产品，接受统一管理，统一更新，定期执行统一的病毒扫描，杜绝病毒在核心区设备上藏匿。同时严格限制使用者对防毒策略的修改能力，确保防病毒水平的高度一致。

　　⑵可管理区：电子阅览室、学生机房、教室中的设备等。对可管理区的设备，首先需要结合学校的资产管理，查清设备的部署情况，同时有必要加强巡回检查，通过人力投入和程序的自动执行，提高防护水平。同时可使用趋势科技的在线安全风险检查工具，找出该区域内的变动情况。

　　⑶ 不可管理区：学生宿舍、代课教师的设备、临时进入校园网络的设备等。对不可管理区的设备，校园网网络管理员基本无法在其上安装客户端软件，设备安全的维护需要依靠使用者自觉完成。网络管理员有责任为不可管理区的用户提供在线病毒扫描服务，以便在用户需要检查和清除所使用的设备上的病毒时，能够获得必要的技术手段。

　　本方案中，选择基础用户为2000的趋势科技网络杀毒软件包，满足至少2000最多不限次的病毒服务。