扩容升级网络
2017-11-23
校园网现状
校园网出口设备深信服AD-2000上联三条光纤链路到运营商,下联两台思科ASA 5550防火墙,防火墙下联两台思科6509-E核心交换机,服务器群直接连接到思科6509-E主核心交换机上,新校区各栋楼的思科3560-E汇聚交换机分别上联两台核心交换机,老校区一台思科6509交换机作为汇聚交换机分别上联两台核心交换机,新老两个校区各栋楼的楼层接入交换机分别上联到各栋楼的汇聚交换机,接入交换机主要采用思科、华为、华三等主流厂商的设备。
图1 改造前网络拓扑图
存在的问题
我校老校区网络设备已经运行近十年,全部进入报废期;绝大多数设备都更换过电源或板卡等模块,对系统稳定运行造成极大隐患,近年来冗余连接及单点故障逐步增多,用户网络中断时有发生。新校区网络设备已经运行了六年,全部进入老化期;楼层汇聚交换机很多都更换过电源模块,接入交换机有不少都返厂维修过,而且各栋楼的弱电机房环境恶劣,里面运行着大量的三大运营商的基站设备,管理混乱,给日常维护带来许多不便。随着我校网络规模的不断扩大,原来的出口设备已经不能满足需求,经常出现丢包故障,两台防火墙也相继宕机返厂维修,严重影响了校园网的稳定运行,因此急需对校园网进行升级改造。
升级改造解决方案
1、出口设备性能不足,经常出现丢包故障,两台防火墙也相继出现硬件故障返厂维修等问题,考虑到三台设备都已经过保,并且性能都不能满足需求,故只能更换设备。根据公安部82号令要求,互联网服务提供者、联网使用单位必须具有“记录并留存用户访问的互联网地址或域名”,“在公共信息服务中发现、停止传输违法信息,并保留相关记录,能够记录并留存发布的信息内容及发布时间”,“防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息”,“应当具有至少保存六十天记录备份的功能”的措施,为了规避政策风险,经研究决定购买一台360网神下一代防火墙,配置双电源,作为出口网关;购买一台深信服上网行为管理,配置双电源,作审计;购买一台启明星辰Web应用防火墙,配置双电源,为服务器群提供应用安全防护。
下一代防火墙配置(部分)
将三条运营商的光纤链路连接到下一代防火墙的千兆光口上,定义这三个光口的安全域为untrust;将下一代防火墙上的两个万兆光口分别连接到上网行为管理的两个上行万兆光口,定义这两个光口的安全域为trust;将下一代防火墙上的另外两个万兆光口做端口聚合,定义该聚合口的安全域为dmz,分别连接到dmz交换机的两个上行万兆光口。
在下一代防火墙上配置策略路由,实现三条出口链路流量负载均衡;配置静态路由和SNAT,实现校园网用户使用私有地址访问互联网;配置DNAT,将学校主网站、招生网、学工网等网站对外发布;配置安全策略过滤不安全的访问,启用入侵防护功能拦截网络攻击,启用病毒检测功能查杀病毒,启用SSL VPN功能实现校外教职工安全访问校园网内部资源,启用静态DNS,实现校园网用户访问学校对外发布的网站由下一代防火墙负责解析域名。
上网行为管理配置(部分)
将上网行为管理的四个万兆光口两两一组做网桥,分别上联下一代防火墙的两个万兆光口,下联两台核心交换机的两个万兆光口。在上网行为管理上启用流量管理功能,根据应用类型做流控。上网策略和认证策略全部使用设备默认配置,等下次认证服务器采购到货后再单独规划配置。
Web应用防火墙配置(部分)
将Web应用防火墙的四个万兆光口两两一组做端口聚合,再做网桥,分别上联下一代防火墙的两个万兆光口(聚合口),下联dmz交换机的两个万兆光口(聚合口)。在Web应用防火墙上根据访问类型http和https定义网站地址对象,根据网站应用类型定义事件集、站点安全,配置虚拟服务和Flood防护等应用防护策略。
图2 改造后网络拓扑图
2、老校区网络设备都进入了报废期,经研究决定汇聚交换机全部换成华三S5560-30F-EI三层交换机,接入交换机换成华三S5120S-EI弱三层交换机。新校区网络设备都进入了老化期,经研究决定将部分状况较差的汇聚交换机换成华为S5720-56CEI-48S三层交换机,部分状况差的接入交换机换成华为S5700-LI弱三层交换机。无线局域网的升级改造已于2016年上半年完成,该文已在《网络安全和信息化》杂志2016年第11期刊登,在此就不在赘述。按照以上提供的解决方案,校园网升级改造完成后的网络拓扑结构如图2所示。
经验总结
网络升级改造是一项非常复杂的系统工程,它涉及范围广,工作量大,责任重大。因此,前期要做好方案,测试工作必须做到位,尤其是不同厂商交换机的生成树对接问题,不同厂商网络设备的端口聚合问题要特别引起注意。