分布式的组网特征

早期老校区的校园网络中，我们主要是共用内部教育系统主机资源，共享简单数据库，多以二层交换为主，很少有三层应用，存在安全、无业务增值能力等方面的问题。此次学校校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠等功能。我们的任务是建设新校区、联通老校区同时还要考虑兼容老产品不造成浪费。

本着“高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性”的设计原则，本次A校区解决方案使网络分为三个层次：核心层、汇聚层、接入层。校园网核心层采用两台华为核心路由交换机Quidway S8512互相作为冗余热备份，并与江南S8505万兆交换互联，通过千兆双链路与BC区的C6506交换机互联，实现了全网的万兆核心，双千兆链路汇聚的整网互联。

哈尔滨商业大学校园网秉承全分布式体系结构设计，采用功能强大的ASIC芯片进行高速路由查找，并通过Crossbar技术进行高速报文交换，从而大大提升了路由交换机的专访性能和扩充能力；实现MPLS、IPv6的分布式线速转发，并以10G的NP实现线速NAT、Webswitch等高性能业务，在线速转发的基础上能够提供强大的QoS保障，并支持丰富的ACL、策略路由、安全等特性，汇聚层采用S5516交换机，可与核心交换机之间采用双千兆链路捆绑，从而保证了校园网核心的带宽要求。

针对各个教学楼，采用S5516设备做汇聚，实现双千兆到大楼。实现对用户的接入认证、用户管理和业务质量保证，为用户提供高速上网、视频点播、门户业务等多种业务，能对用户进行有效管理，保证网络安全可靠，并提供多种计费方式，为校园网络的建设和管理提供新的方式。

组网结构如图：

动静结合保障网络安全

分布式的网络构造特征使得更多的师生能共享更多的资源，在哈尔滨商业大学的网络上有着非常活跃的数字化应用，然而这也潜藏了更多的安全隐患。在网络这个不断更新换代的世界里，网络中的安全漏洞无处不在。即便旧的安全漏洞补上了，新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。

在数据和数字资源日益成为数字校园的核心的过程中，我们深切体会到保障网络的安全是数字校园的重要环节。根据多年的工作经验，我们总结出：为了保证网络安全平稳地运行，确保用户安全合法地浏览网页，我们应做到：第一，实现硬件网络安全产品合理应用及搭配；第二，了解网络攻击，认真制定有针对性的策略。

硬件御外

防火墙与入侵检测系统(IDS)联动，可以对网络进行动静结合的保护，对网络行为进行细颗粒的检查，并对网络内外两个部分都进行可靠管理。防火墙与日志分析系统联动，可以解决防火墙在大量日志数据的存储管理和数据分析上的不足。

基于以上的系统模型，我们主要考虑了以下的联动互操作：

防火墙和漏洞扫描系统之间的互操作：漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。它的局限性在于当它发现漏洞时，它本身不能自动修补漏洞，在安全产品不具备联动性能的情况下，一般需要管理员的人工干预才能修补发现的安全漏洞。这样，在发现漏洞与修补好漏洞之间存在一个时间差，在这个时间间隔里，如果发现风险级别很高的漏洞又不能采取其它任何补救措施，系统的安全就会面临极大的威胁。在这种情况下，就可以请求防火墙的协作，即当扫描系统检测到存在安全漏洞时，可以及时通知防火墙采取相应措施。