基于等保2.0的職業(yè)院校校園網(wǎng)的方案設(shè)計(jì)

胡春雷 岳宜勇 陸蒙

摘要：隨著等保2.0標(biāo)準(zhǔn)的出臺(tái)實(shí)施，所有聯(lián)網(wǎng)的企事業(yè)單位的信息中心都必須達(dá)到標(biāo)準(zhǔn)的要求，對(duì)所負(fù)責(zé)的網(wǎng)絡(luò)及信息系統(tǒng)進(jìn)行有效的全方位的安全防護(hù)。本文針對(duì)某高職院校校園網(wǎng)的建設(shè)需求，根據(jù)等保2.0標(biāo)準(zhǔn)的要求，通過使用必要的網(wǎng)絡(luò)安全設(shè)備，采用多出口設(shè)計(jì)、冗余互備、VPN、雙協(xié)議棧等技術(shù)，設(shè)計(jì)出了一種安全高可靠的校園網(wǎng)絡(luò)建設(shè)方案，并在EVE中對(duì)方案中的基本組網(wǎng)及VPN功能進(jìn)行了模擬實(shí)施。

關(guān)鍵詞：校園網(wǎng);等保2.0;VPN;冗余互備;防火墻

中圖分類號(hào)：TP393? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）02-0027-02

1 引言

沒有信息化就沒有現(xiàn)代化，信息化建設(shè)已成為各個(gè)單位基礎(chǔ)設(shè)施建設(shè)的重要的內(nèi)容之一。信息化建設(shè)將改變政府部門、各企業(yè)的傳統(tǒng)工作方式，極大地提高工作和辦事效率。教育信息化是當(dāng)今各層次學(xué)校的重點(diǎn)工作之一[1]。隨著大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、人工智能等新興信息技術(shù)快速發(fā)展，如何借助新興技術(shù)進(jìn)行教育信息化的改革實(shí)踐，是當(dāng)下各個(gè)層級(jí)教育，尤其是高等職業(yè)教育中面臨的重大挑戰(zhàn)之一[2] 。校園信息化已成為學(xué)校發(fā)展必須推進(jìn)和經(jīng)歷的階段，校園網(wǎng)作為為校園信息化必備的基礎(chǔ)設(shè)施，對(duì)于改善學(xué)校管理、改革教學(xué)方式、豐富學(xué)習(xí)內(nèi)容等有極大的推進(jìn)作用[3]。隨著等保2.0標(biāo)準(zhǔn)的出臺(tái)實(shí)施，所有聯(lián)網(wǎng)的企事業(yè)單位的信息中心都必須達(dá)到標(biāo)準(zhǔn)的要求，對(duì)所負(fù)責(zé)的網(wǎng)絡(luò)及信息系統(tǒng)進(jìn)行有效的全方位的安全防護(hù)。在此背景下，如何建設(shè)符合等保2.0要求且能助力實(shí)現(xiàn)管理的自動(dòng)化、智能化的高可靠的校園網(wǎng)，以支撐學(xué)校教學(xué)、科研、管理及各業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行，成為各高校信息建設(shè)的重點(diǎn)。

2 校園網(wǎng)建設(shè)需求分析

本案例選擇的是某個(gè)職業(yè)院校的校園網(wǎng)建設(shè)實(shí)例，假設(shè)該學(xué)校有主校區(qū)和分校區(qū)兩個(gè)校區(qū)，且兩個(gè)校區(qū)相距很遠(yuǎn)，學(xué)校的門戶網(wǎng)站和應(yīng)用系統(tǒng)都部署在新校區(qū)的中心機(jī)房?jī)?nèi)的服務(wù)器中。對(duì)其校園網(wǎng)建設(shè)需求分析如下：

1）聯(lián)網(wǎng)需求。一方面要保證校園網(wǎng)能與教育網(wǎng)無阻礙連通，實(shí)現(xiàn)與教育網(wǎng)的互聯(lián)，訪問教育網(wǎng)資源;另外一方面還要提供互聯(lián)網(wǎng)接入，以保證校園師生可以訪問Internet，訪問互聯(lián)網(wǎng)資源;

2）安全通信的需求。主校區(qū)和分校區(qū)組成一個(gè)校園網(wǎng)，需要將兩個(gè)相隔很遠(yuǎn)的校區(qū)互聯(lián)成一個(gè)局域網(wǎng)，并保證它們之間的安全通信。同時(shí)需要保證教職工和在校學(xué)生在校園外也可以安全地使用校園網(wǎng);

3）可靠性的需求。門戶網(wǎng)站是學(xué)校對(duì)外宣傳的窗口，要保證時(shí)刻能夠被外界所訪問，學(xué)校日常運(yùn)行對(duì)網(wǎng)絡(luò)的需求越來越大，要保證校園網(wǎng)具有一定的健壯性，避免核心鏈路和核心設(shè)備的單點(diǎn)故障;

4）無線接入的需求。隨著云課堂、今日校園等教學(xué)管理或?qū)W生管理App的廣泛使用，要求學(xué)生在校園內(nèi)隨時(shí)隨地都能接入互聯(lián)網(wǎng)，在校園部署無線網(wǎng)絡(luò)全覆蓋，將方便學(xué)生接入互聯(lián)網(wǎng)，為線上教學(xué)提供有力支撐;

5）等級(jí)保護(hù)的需求。隨著等保2.0標(biāo)準(zhǔn)的出臺(tái)實(shí)施，所有聯(lián)網(wǎng)的企事業(yè)單位的信息中心都必須達(dá)到標(biāo)準(zhǔn)的要求，對(duì)所負(fù)責(zé)的網(wǎng)絡(luò)及信息系統(tǒng)進(jìn)行有效地全方位的安全防護(hù)。校園網(wǎng)絡(luò)及應(yīng)用系統(tǒng)必須達(dá)到等保2.0標(biāo)準(zhǔn)的要求。

3 校園網(wǎng)建設(shè)方案設(shè)計(jì)

3.1 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

基于校園網(wǎng)中的應(yīng)用部署、安全通信、無線接入、等級(jí)保護(hù)等需求，設(shè)計(jì)出了校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，如圖1所示。在主校區(qū)的網(wǎng)絡(luò)設(shè)計(jì)中，按照層次化組網(wǎng)設(shè)計(jì)理念，采用三層網(wǎng)絡(luò)架構(gòu)，將整個(gè)校園骨干網(wǎng)分為接入層、匯聚層和核心層。接入層又由普通二層交換機(jī)組成，為用戶接入網(wǎng)絡(luò)提供通道;匯聚層連接無線AP與接入層交換機(jī)，提供基于策略的訪問控制;核心層由兩臺(tái)核心交換機(jī)組成，實(shí)現(xiàn)高速交換。兩臺(tái)核心路由器，一邊連接服務(wù)器集群，另一邊連接防火墻，并通過防火墻連接教育網(wǎng)和Internet。通過在主校區(qū)與分校區(qū)的出口防火墻間部署IPSec VPN來實(shí)現(xiàn)兩個(gè)校區(qū)的安全通信。

3.2 路由設(shè)計(jì)

核心路由器互連服務(wù)器集群、三層核心交換機(jī)和防火墻，實(shí)現(xiàn)服務(wù)器區(qū)、辦公區(qū)域與外網(wǎng)區(qū)域間的數(shù)據(jù)包轉(zhuǎn)發(fā)?？紤]IPv6的發(fā)展趨勢(shì)，在核心路由器中同時(shí)配置IPv4與IPv6雙協(xié)議棧技術(shù)，滿足未來向IPv6網(wǎng)絡(luò)的平滑過渡。同時(shí)開啟了NAT功能以保證內(nèi)網(wǎng)IP段不被外部互聯(lián)網(wǎng)知曉，提高內(nèi)網(wǎng)安全性。

3.3 無線網(wǎng)絡(luò)設(shè)計(jì)

考慮到日常教學(xué)、管理等工作對(duì)無線網(wǎng)絡(luò)的需求，在主校區(qū)和分校區(qū)的網(wǎng)絡(luò)中都添加了無線接入設(shè)備，為了方便管理，無線網(wǎng)采用AC+AP的組網(wǎng)模式。在無線控制器上啟用了黑白名單機(jī)制，并借助Radius服務(wù)器為無線上網(wǎng)做上網(wǎng)認(rèn)證，允許驗(yàn)證成功的用戶連接校園內(nèi)網(wǎng)，超過連接次數(shù)的用戶會(huì)被AC加入黑名單。

3.4 網(wǎng)絡(luò)安全設(shè)計(jì)

在網(wǎng)絡(luò)安全方面，考慮等保2.0標(biāo)準(zhǔn)的要求，在校園網(wǎng)出口部署了企業(yè)級(jí)多核防火墻，借助防火墻實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)保護(hù);在服務(wù)器集群區(qū)旁掛著入侵防御系統(tǒng)（IPS），用于對(duì)防火墻的補(bǔ)充，抵御外部的惡意攻擊，提高內(nèi)網(wǎng)主動(dòng)防御的能力;為了阻擋借助網(wǎng)站漏洞而發(fā)起對(duì)門戶網(wǎng)站的惡意攻擊，在網(wǎng)站服務(wù)器前部署了Web防火墻，提高門戶網(wǎng)站的安全性;在內(nèi)網(wǎng)部署日志服務(wù)器，記錄防火墻、WAF等安全設(shè)備產(chǎn)生的日志信息，為行為審計(jì)提供條件;在主校區(qū)與分校區(qū)的出口防火墻間部署IPSec VPN來實(shí)現(xiàn)兩個(gè)校區(qū)的安全通信，并在主校區(qū)出口防火墻部署SSL VPN來為在家辦公的教職工和學(xué)生提供安全的校園網(wǎng)接入服務(wù)。

3.5 可靠性設(shè)計(jì)

在核心層的兩臺(tái)核心交換機(jī)上，部署MSTP和VRRP，實(shí)現(xiàn)冗余備份，以保證網(wǎng)絡(luò)中不會(huì)因一臺(tái)設(shè)備宕機(jī)而出現(xiàn)單點(diǎn)故障的現(xiàn)象。在主核心交換機(jī)與備用核心交換機(jī)間使用多條鏈路進(jìn)行互聯(lián)，并采用以太網(wǎng)鏈路捆綁技術(shù)，以保證主備設(shè)備間數(shù)據(jù)的高速轉(zhuǎn)發(fā)。在三層核心交換機(jī)處連接著的兩臺(tái)AC用做主備冗余，提高無線網(wǎng)絡(luò)的容錯(cuò)能力。為了保證到Internet的連通性，主校區(qū)和分校區(qū)的出口網(wǎng)絡(luò)都采用了雙出口設(shè)計(jì)，即同時(shí)通過兩個(gè)不同運(yùn)營(yíng)商的線路接入互聯(lián)網(wǎng)，提高了接入互聯(lián)網(wǎng)的可靠性，可以有效避免單個(gè)運(yùn)營(yíng)商線路故障而導(dǎo)致的網(wǎng)絡(luò)不可用的風(fēng)險(xiǎn)。

4 校園網(wǎng)建設(shè)方案模擬實(shí)施

4.1 EVE-NG介紹

EVE-NG（全稱為Emulated Virtual Environment - Next Generation），是深度定制的Ubuntu操作系統(tǒng)，可以直接把它安裝在x86架構(gòu)的物理主機(jī)上。它也有ova版本，可以導(dǎo)入到VMware等虛擬機(jī)軟件中運(yùn)行。它融合了dynamips、IOL、KVM，不僅可以模擬網(wǎng)絡(luò)設(shè)備，也可以運(yùn)行一切虛擬機(jī)，實(shí)現(xiàn)模擬網(wǎng)絡(luò)設(shè)備與虛擬機(jī)之間的互聯(lián)互通，為用于學(xué)習(xí)網(wǎng)絡(luò)技術(shù)提供了仿真虛擬環(huán)境。

4.2 主要設(shè)備及功能配置

核心層交換機(jī)采用MSTP+VRRP雙機(jī)熱備技術(shù)，MSTP可以實(shí)現(xiàn)多VLAN 的負(fù)載分擔(dān)，可以實(shí)現(xiàn)多廠商對(duì)接，VRRP協(xié)議用于解決局域網(wǎng)中配置靜態(tài)網(wǎng)關(guān)出現(xiàn)單點(diǎn)失效現(xiàn)象的路由協(xié)議，實(shí)現(xiàn)雙機(jī)熱備功能。在核心路由器和核心交換機(jī)上配置動(dòng)態(tài)路由協(xié)議OSPF，同時(shí)考慮到IPv6的發(fā)展趨勢(shì)，還配置了IPv6路由協(xié)議棧。

核心交換機(jī)的主要配置如下：

spanning-tree mst configuration

instance 1 vlan 10， 20

instance 2 vlan 30， 40

instance 3 vlan 60

instance 4 vlan 70， 80

spanning-tree mst 1 priority 4096

spanning-tree mst 2 priority 8192

spanning-tree mst 3 priority 8192

spanning-tree mst 4 priority 4096

spanning-tree

interface GigabitEthernet 0/13

ip address 192.168.13.1 255.255.255.252

interface GigabitEthernet 0/19

ip address 192.168.19.2 255.255.255.252

interface VLAN 10

ip address 192.168.10.252 255.255.255.0

vrrp 1 ip 192.168.10.254

vrrp 1 priority 110

interface VLAN 20

ip address 192.168.20.252 255.255.255.0

vrrp 2 ip 192.168.20.254

vrrp 2 priority 110

interface VLAN 30

ip address 192.168.30.252 255.255.255.0

vrrp 3 ip 192.168.30.254

核心路由器的主要配置如下：

ipv6 source-route

interface GigabitEthernet 0/1

ip address 192.168.19.1 255.255.255.252

ipv6 address 2001：19：：1/64

ipv6 enable

ipv6 ospf 1 area 0

duplex auto

speed auto

ipv6 router ospf 1

router-id 1.1.1.1

router ospf 1

router-id 1.1.1.1

network 192.168.19.0 0.0.0.3 area 0

IPSec VPN的主要配置如下：

crypto isakmp policy 10

encr 3des

authentication pre-share

group 2

crypto isakmp key security@123 address 202.2.2.2

crypto ipsec transform-set protect esp-aes esp-sha-hmac

mode tunnel

crypto ipsec profile rule

set transform-set protect

interface Tunnel0

ip address 172.16.100.1 255.255.255.0

ip mtu 1400

ip ospf 1 area 0

tunnel source 202.1.1.1

tunnel mode ipsec ipv4

tunnel destination 202.2.2.2

tunnel protection ipsec profile rule

5 結(jié)束語

校園網(wǎng)作為為校園信息化必備的基礎(chǔ)設(shè)施，對(duì)于改善學(xué)校管理、改革教學(xué)方式、豐富學(xué)習(xí)內(nèi)容等有極大的推進(jìn)作用。隨著網(wǎng)絡(luò)安全問題的日益突出和國(guó)家對(duì)網(wǎng)絡(luò)安全工作的日益重視，如何建設(shè)助力實(shí)現(xiàn)管理的自動(dòng)化、智能化的安全高可靠的校園網(wǎng)成為各高校信息建設(shè)的重點(diǎn)。本文針對(duì)某高職院校校園網(wǎng)的建設(shè)需求，按照等保2.0的要求，通過采用多出口設(shè)計(jì)、冗余互備、VPN、雙協(xié)議棧等技術(shù)，設(shè)計(jì)出了一種安全高可靠的校園網(wǎng)絡(luò)建設(shè)方案，并在EVE中對(duì)方案中的基本組網(wǎng)及VPN功能進(jìn)行了模擬實(shí)施。

校園信息化的建設(shè)工作是一個(gè)長(zhǎng)期的工作，校園網(wǎng)絡(luò)作為校園信息化建設(shè)的重要內(nèi)容，也需要不斷跟進(jìn)技術(shù)的發(fā)展。安全不是一勞永逸的，并不是簡(jiǎn)單架設(shè)安全設(shè)備就能解決的，安全會(huì)隨著使用者的情況而變化。因此，一個(gè)好的使用情況和一個(gè)可擴(kuò)展的方案才應(yīng)該是解決問題的核心思想。技術(shù)日新月異，但唯有人不變，因此要讓整體的網(wǎng)絡(luò)安全，更應(yīng)該讓使用者有安全意識(shí)與安全技術(shù)才是重點(diǎn)。

參考文獻(xiàn)：

[1] 汪寒江，董向青.概述IP城域網(wǎng)絡(luò)設(shè)計(jì)[J].科技風(fēng)，2010（17）.

[2] 蒯紅兵.城域網(wǎng)網(wǎng)絡(luò)規(guī)劃建設(shè)淺析[J].通信與信息技術(shù)，2009（4）.

[3] 黃河夫.高校校園網(wǎng)網(wǎng)絡(luò)優(yōu)化設(shè)計(jì)與實(shí)現(xiàn)——以欽州學(xué)院為例[J].欽州學(xué)院學(xué)報(bào)，2018，33（8）：31-35.

【通聯(lián)編輯：光文玲】