基于新型VPN 技术的高校校园网改造
周唯
摘要:许多高校在校园网建立之初没有考虑到扩展功能和提升容载问题,校区之间没有实现安全互联和资源共享,建立和局域网环境下相同的多种应用,基于新型VPN技术的实现远程共享网络资源,并保证数据的安全传输,对高校校园网建设和改造具有较高的参考价值。
关键词:VPN技术;校园网;负载均衡;网络安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)13-0059-02
1 概述
学校校园网基础设施滞后,严重制约了数字化校园网络的发展,学校信息点数量从2009年的2000多个增长到2015年4000多,另外对于教学场地要求的不断提高,需要进一步整合教学实训场所,把学院老校区和实习工厂接入校园网,提高教学实习实训的管理效率。目前学校校园网拓扑结构如图1所示。
2 主要问题
校园主要问题表现为: 1)在中、晚高峰期,打开网页和看视频比较卡,网络延时大大增加,甚至出现丢包较多的现象。2)学校北院和实习工厂未联入校园网,学生在这两地实习实训时不能充分利用学校内网的教学资源,也难以和本部实现教学互动。3)校园内人员流动性大且身份复杂,安全问题日益严重,北院、实习工厂与主校区三地之间有一定距离,无法铺设专线来实现园区视频监控联动,不便于校园安全管理。4)校外使用校内服务器资源越来越平凡,特别是部分师生在校外顶岗实习和假期师生在家里。5)学校WEB、FTP服务器、图书馆数据等服务器在访问高峰期,响应速度慢。
3 设计与部署
3.1改造思路
1)优化策略强化管理内网,针对连接数等其他网络参数进行限制,减轻出口设备的压力;2)出口设备硬件更换,原设备已经远不能满足现在的需求,选择技术更新的出口设备来彻底解决瓶颈问题;3)增加缓存设备将网络热门数据抓取到本地,实现直接从本地访问,缓解出口压力;4)利用新增出口设备的VPN功能,建立起新老校区和实习工厂的联系平台,实现校园服务如一卡通、园区安全监控等功能整合在一起,保证信息的安全可靠传输。5)增添新服务器,通过网络负载均衡(NLB)技术,用集群代替单一服务器,解决FTP、WEB和数字图书馆的访问瓶颈问题。
3.2部署方案
针对当前校园网主要问题,将天融信NGFW4000-UF防火墙替换成锐捷RG-EG2000G易网关设备,解决出口瓶颈问题;同时在核心交换上挂载一台缓存设备(锐捷PowerCache X5E),
内网用户可以直接从该设备访问热点资源,网络出口压力得到缓解;另外在核心交换机与服务器区之间部署原天融信防火墙,增强内网安全防护;还有就是增加出口带宽,把原有租用的ISP电信100M线路升级到500M,并继续保留原有ISP移动300M线路,实行教区、居民区、办公区、宿舍区等分区分出口联网;最后在老校区和实习工厂部署价格更加实惠的锐捷RG-EG2000T易网关设备,通过VPN功能实现三地安全互联。具体部署见图2。
3.3主要特点
1)出口网关锐捷RG-EG2000G,该设备可达到2Gb带宽的性能,最大可能实现120W个回话,足以解决目前设备的性能瓶颈并且能够适应未来,配合高性能的MIPS多核硬件体系构架,拥有业务加速通道、精确流控、上网行文管理、可视化VPN、智能选路、防火墙、高性能的NAT、Web认证等多个功能,其中IPSec VPN 最大隧道数可达到500个。RG-EG2000T在功能上与RG-EG2000G类似,只是更适合小规模的环境,所以布置在老校区和是实习工厂作为出口网关,做到了有效的优化用户网络,规范上网行为,实现多地高效安全互联。2)新增的PowerCacheX5E缓存设备能够针对流媒体、HTTP下载及p2p下载数据进行优化。无论外网链路状况如何,当内网PC或智能终端用户访问热点资源时,将直接从本地PowerCache读取。百兆应用10秒下载完成,它能够自动判断本网络中的热点资源,实现热点资源本地化读取,不仅为用户提供了如同内网般的极速体验,还能因为削减重复数据流,节省了大量的出口带宽资源。3)原来的网络结构中,服务器直接接入核心交换机,而对于内网用户,服务器几乎是透明的,因此如果内网用户针对服务器发起攻击,将难以抵御,本次改造将原有的NGFW4000-UF防火墙部署在核心交换机与服务器之间,可对服务器进行有效的防护,解决内网对服务器的攻击问题,不全安全短板。
3.4应用服务器结构优化
通过对FTP/web/数字图书馆数据库等应用服务器系统的应用日志分析及调查用户使用情况了解到,各服务器的运行情况并不尽如人意,部分系统经常出现响应慢而部分服务器利用率非常低,所以需对服务器进行增补和整合,在保证各系统正常运行的基础上,实现硬件系统的充分利用。1) 根据当前各服务器的访问需求,在充分利用原服务器的前提下购买新服务器并部署到相应位置,而此大大降低了硬件升级费用。2)优化服务器结构,解决单个服务器某一时间段内访问量大,其他服务器访问量小造成不必要的资源浪费。负载均衡技术的出现,恰好为解决这些问题提供了一种较好的方案。
网络负载均衡(NLB) 技术的优点在于:NLB 是操作系统自身提供的系统服务,可在运行Windows 2003/2008的普通计算机上实现;NLB允许你将传入的请求传播到最多达32台的服务器上共同分担对外的网络请求服务,可以保证即使是在负载很重的情况下它们也能作出快速响应;NLB 对外只须提供一个IP 地址(或域名);如果群集中的一台或几台服务器不可用时,服务不会中断;NLB自动检测到服务器不可用时,能够迅速在剩余的服务器中重新指派客户机通讯。学院主要应用服务器构成:WEB服务(器惠普(HP)ML350E Gen8塔式服务器)1台;FTP服务器(联想ThinkServer TS240 S4130 4/1TG塔式服务器)2台;数字图书馆数据库服务器(联想ThinkServer RS240 S1225V3 4/1T机架式服务器)1台。
WEB服务器在原一台服务器的基础上新增一台同型号服务器(惠普(HP)ML350E Gen8塔式服务器 C3Q10A),内网地址分别为172.16.100.2和172.16.100.3,集群地址为172.16.100.1,集群地址与外网地址做好映射关系,实现外网访问;FTP服务器利用原有两台(联想ThinkServer TS240S4130 4/1TG塔式服务器)实现均衡负载,内网地址分别为172.16.80.100和172.16.80.84,集群地址为172.16.80.80,校内用户直接访问集群地址;数字图书馆数据库服务器在原一台基础上新增一台同型号服务器(联想ThinkServer RS240 S1225V3 4/1T),实现均衡负载,校内用户直接访问集群地址。
4 结束语
要建成高效、安全的校园网就必须从学校的客观情况出发,针对网速慢卡、网络功能单一、跨地域安全访问难等问题做出合理的规划设计。改造过程中,制定学校的中长期发展规划,在不大改的前提下充分利用校园网现有资源,做到最小投入最高产出。校园网的升级改造,使得网上教学资源及应用系统得到充分使用,发挥了网络无地理限制、资源共享简单、信息传播快等优势,真正把现代化管理融入到办公管理当中,也把先进的教育技术引入了日常教学。高校校园网升级改造有一定的共性,该方案也为其他学校的网络升级改造提供了依据。
参考文献:
[1] 尧荣恒.云安全在数字化校园中的体系构建[J]. 无线互联科技,2015(8):87-89
[2] 李丽新.校园网安全与对策[J]. 中国教育信息化,2007(11):24-25
[3] 杨文凯.基于SSL VPN的网络安全系统的研究与应用[J]. 计算机安全,2010(6):69-70
[4] 唐如鸿.SSL VPN与IPSec VPN技术比较[J]. 计算机安全,2004(8):75-76
[5] 刘敬轩,戴英侠.基于SSL的VPN网关的设计与实现[J].计算机应用,2005(S1):140-142.