7月3日,又是一个星期一,北京青年政治学院网络中心主任谷新生坐在电脑前,第一件要做的事情就是要在学校的网站上查询一下本周的工作安排:周一要开期末工作动员会,周三是教务部门申报考试成绩最后的日子……网络中心和教务部门的教师们有条不紊地处理着手头的工作。这让谷新生想起了一年多以前,学期末为了学生成绩报表、统计等工作,人人忙得不可开交的情景。自从学校启用了数字校园管理平台,规范的、高效率的工作方式随之而来。
亟待解决的问题
北京青年政治学院现有全日制在校生近4000人,教职工350人,是一所中、小规模的高等文科院校。2002年学校开始全面部署校园网,当时主要是考虑提供邮件服务、FTP服务、主页等应用,从网络核心层到接入层采用两层架构、没有汇聚层,各子网的网关均在核心交换机上设置。
校园网虽然在核心交换机上设置了多个用于防范网络病毒和黑客攻击的ACL访问控制列表,但仍然存在一些问题。由于接入层交换机不提供ACL和路由功能,广播包直接冲击到核心交换机,对核心交换机直接造成影响。网络的可管理能力、抗病毒、黑客攻击等难以追踪调查等情况。“最厉害的一次病毒发作持续了10天左右,已经严重影响到正常的工作。”谷新生说。
随着网络技术的不断发展,2004年,北京青年政治学院的校园数字化建设项目已列入北京市市属院校信息化发展规划中,陆续开发了很多应用系统,如统一的数据库系统、统一的门户认证系统、财务管理系统、教务管理系统、办公自动化系统等,这些具体应用的增加对网络设备的要求越来越高。因此,网络的全面升级势在必行。
校园网全面升级方案
基于目前网络的现状和学校正在积极推进的大规模数字化校园建设,经多方调研,反复比较,最终选择了神州数码网络作为合作伙伴,共同完成了此次校园网的全面升级。此次网络改造的系统总体设计将本着满足需求、适度领先的原则,充分体现系统的技术先进性、高度的安全可靠性,同时具有良好的开放性、可扩展性。升级后的校园网规模为骨干网采用千兆以太网,百兆接入到桌面,拥有1300左右的信息点。
网络结构的调整
在核心层增加一台万兆骨干交换机,将现有的网络由二层结构调整为三层结构,即在接入层和核心层之间增加汇聚层,汇聚层设备选用三层路由交换机。
增加汇聚层的好处有很多:将汇聚交换机与双核心交换机进行连接,提高网络的可靠性;将所有用户VLAN终结胡汇聚交换机上,接入层网络产生的二层数据包(如广播)将被汇聚层隔离,无法到达核心交换机,保证骨干网络的性能;在汇聚交换机上部署网络安全策略,如防病毒,防攻击等。所有流量在到达核心之前都已在汇聚交换机上进行了过滤。将核心交换机的交换路由性能充分释放出来,提升整体网络的应用能力;便于将骨干网络升级至万兆。
本次升级选择的汇聚交换机支持万兆以太网标准,能够提供万兆扩展插槽,在需求达到时可以轻松升级至万兆,为高清晰多媒体等大流量网络应用铺平道路。
核心层设备:新增核心层交换机DCRS-7608,和原来DCRS-7508实现双机热备,使用千兆多模光纤连接支持万兆以太网标准和IPV6标准,能够提供多种可靠性设计,例如支持引擎的冗余、电源冗余,支持模块的热插拔。支持802.Id/w/s等冗余协议,支持VRRP虚拟冗余路由协议。
汇聚层设备:汇聚交换机是网络结构当中非常重要的一层,VLAN终结、路由部署、安全配置都在这一层完成。通常汇聚层交换机连接一定数量的接入交换机,需要能够提供和核心交换机之间的高带宽连接。本方案选择神州数码DCRS-5824GX万兆路由交换机,它支持万兆以太网标准和丰富的路由协议具备强大的安全特性。
接入层设备:选择使用神州数码DCS-3950S千兆可堆叠交换机作为接入层设备,因为接入层直接与用户进行连接,对网络安全性要求很高,支持丰富的ACL设置。另一方面提供灵活的用户管理手段,支持完整的820.x认证计费解决方案。
在网络升级过程中神州数码网络在安全策略配置方面做了大量的工作。据谷新生介绍,硬件安装调试过程中,网络中心的教师对命令不熟悉,神州数码网络派专人在学校进行培训,因为从接入层到汇聚层,再到核心层,设备操作命令比较统一,负责相关设备的教师很快就进入工作状态。“针对核心交换机,从安全性方面我们也做了一些测试,自己有意识地去攻击,结果还是满意的。”谷新生说。就这样,学校的应用系统很快实现了平衡过渡。
校园网管理策略的调整
此次升级之后,校园网的管理策略也做了相应的调整。
认证计费系统:认证计费系统DCBI-3000直接连接至核心交换机。在对用户进行认证时,支持附加数据的绑定判别,这些附加数据包括IP地址、MAC地址、接入交换机IP、接入端口、WLAN号、用户帐号等多元素的绑定,可在这些元素之间采用“与”、“或”的关系。通过这些附加数据的绑定判别,向用户提供了多层次的用户接入控制手段和管理手段,保证网络的安全和用户的安全。
学校采用简单易行的包月制策略,不限流量和时长,不限国际和国内流量,既可满足用户大量使用网络的需求,同时也可提高管理效率。
上网行为日志记录系统:DCBI-NetLog也直接连接至核心交换机,通过在核心交换机上设置连接到路由器端口的镜像口,使所有访问Internet的流量均可NetLog被所记录。可实现记录上网者访问过哪些网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据,从而提供了上网行为的安全审记数据源,并实现各种统计功能。与DCBA-3000W联动,上网行为记录可直接映射到上网者的用户账号,而不只是简单地记录到上网者源IP。
到目前为止,校园网的运行情况良好。校园网扩展了认证和日志记录系统功能后,网络中心对学校网络的可管理性有明显的增强,通过管理软件就可以远程实现对校园网的监控。为正运行在校园网上的数字化管理和应用系统提供了一个稳定的、安全的硬件平台。
拓展网络新应用
大规模的校园网升级改造完成后,就像样很多人比喻的那样,路修好了,路上跑一些什么车呢?就是很多学校接下来要思考的问题。北京青年政治学院在信息化建设方面起点比较高,“2004初,我们就进行充分的调研,发现各个学校的情况不一样,发展很不平衡,有的院校起步比较早,零零星星做了不少应用系统,形成一定程度的信息孤岛。我们学校摒弃这个阶段,所有应用系统的建设都是基于一个公共数据库来做的,建立统一的数据标准,统一门户,统一身份认证等。现在看来,信息化方面起点还是比较高的,少走了不少的弯路。”谷新生说。
谷新生又介绍说:“在一期要验收的时候,已启动了二期项目的建设,主要是一些部门看到了信息化管理的好处。教务系统的成功使用,使得师生们的工作和学习更加规范、更加便捷和易于管理,人们已经离不开这样的数字化管理手段。二期建设完成了人事管理系统、学生管理系统和测评系统,如学生对教师的评价、领导干部考核等都是通过网络来完成的。”
现在校园网上运行的应用系统越来越多,覆盖学校的各个职能部门,全校的师生都亲身体验到信息化建设带给大家管理与意识的转变,学校的管理体系非常规范,极大地提高了工作效率。目前,网络中心已经开始“校园一卡通”的调研,在不远的将来要把“校园一卡通”和数字化信息平台对接起来,实现校园电子政务管理新模式。