干陳明

青島科技大學(xué)網(wǎng)絡(luò)中心，山東 青島 266042

基于層次化模型的校園網(wǎng)優(yōu)化探討

干陳明

青島科技大學(xué)網(wǎng)絡(luò)中心，山東 青島 266042

本文以青島科技大學(xué)四方校區(qū)的網(wǎng)絡(luò)優(yōu)化工作為背景，從層次化的網(wǎng)絡(luò)模型出發(fā)，討論了校園網(wǎng)的優(yōu)化策略。

優(yōu)化；層次化模型；校園網(wǎng)

引文摘要

As background to Network Optimization Project in the west part of Qingdao University of Science and Technology,based on Hierarchical network model,in this paper, Discussion of the campus network optimization strategy.

1.前言

隨著校園網(wǎng)應(yīng)用的發(fā)展和網(wǎng)絡(luò)規(guī)模的擴大，基于傳統(tǒng)的園區(qū)網(wǎng)交換網(wǎng)絡(luò)已逐漸不能滿足學(xué)校教學(xué)和科研的需要，本文以青島科技大學(xué)四方校區(qū)的網(wǎng)絡(luò)改造、優(yōu)化工程為背景，從層次化的網(wǎng)絡(luò)結(jié)構(gòu)模型出發(fā)，采用路由協(xié)議對現(xiàn)有的網(wǎng)絡(luò)進行優(yōu)化，使得整個校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)更加合理，網(wǎng)絡(luò)可靠性更高，網(wǎng)絡(luò)管理更加方便。

2.校園網(wǎng)問題的分析與優(yōu)化

2.1 校園網(wǎng)的拓撲圖與整體描述：

四方校區(qū)校園網(wǎng)擁有一個聯(lián)通的公網(wǎng)出口，帶寬為400m,上網(wǎng)用戶約為10000左右，校園網(wǎng)拓撲圖如圖所示。

校園網(wǎng)從物理上分為東院和西院兩大部分，校園網(wǎng)的出口在東院，在校園網(wǎng)改造之前，以東院H3c9500作為核心交換機，以為校園網(wǎng)的骨干，西院有一個分匯聚交換機，設(shè)備為華為s6500,上聯(lián)到核心交換機，當時，所有的計算機設(shè)備的網(wǎng)關(guān)全部都放在核心交換機H3c9500上，幾乎所有的網(wǎng)絡(luò)配置也運行在核心H3c9500交換機上。在未改造的二層交換網(wǎng)絡(luò)結(jié)構(gòu)當中，整個廣播域范圍非常大，任意一個pc發(fā)的廣播包都可以直接穿越所有鏈路到達核心設(shè)備，那么全校區(qū)內(nèi)的所有pc設(shè)備每秒發(fā)送的廣播包將會對核心設(shè)備造成負擔，以上圖為例，假設(shè)23號樓的學(xué)生要和23號甲的學(xué)生交互數(shù)據(jù)，那么流量將會繞過所有骨干鏈路再回到23號甲，所消耗的設(shè)備性能和帶寬也十分驚人，隨著網(wǎng)絡(luò)的擴大，核心交換機的負載將顯得異常的嚴重。在實際的網(wǎng)絡(luò)中，核心H3C95以及華為65交換機CPU利用率都很高，而且網(wǎng)絡(luò)的延遲大、丟包較多；在網(wǎng)絡(luò)中還有這樣的問題：接入層和匯聚層的交換機無法進行自動環(huán)路檢測，網(wǎng)絡(luò)內(nèi)一旦出現(xiàn)環(huán)路，大量的廣播包將向整個網(wǎng)絡(luò)擴散，導(dǎo)致了整個網(wǎng)絡(luò)的頻繁掉線甚至癱瘓；由于用戶數(shù)的大量增加，arp的報文數(shù)量也急劇增加，此時，核心交換機處理arp報文的能力已經(jīng)達到極限，無法處理更多的報文，使得部分用戶經(jīng)常無法正常的訪問網(wǎng)絡(luò)；除此之外，arp攻擊的現(xiàn)象也十分突出，嚴重地影響了核心設(shè)備的性能。

2.2 校園網(wǎng)的設(shè)計模型：

目前，校園網(wǎng)采用千兆交換式以太網(wǎng)技術(shù)通過廣泛使用高性能三層交換機來優(yōu)化網(wǎng)絡(luò),并使用劃分vlan的方式來管理網(wǎng)絡(luò)，并通過vlan將廣播報限制在同一vlan內(nèi)，提高了網(wǎng)絡(luò)整體的有效帶寬。并且，為了增強網(wǎng)絡(luò)的可擴展性以及網(wǎng)絡(luò)的可用性，校園網(wǎng)的設(shè)計模型主要是以層次化的網(wǎng)絡(luò)結(jié)構(gòu)為基礎(chǔ)的。層次化的網(wǎng)絡(luò)結(jié)構(gòu)分為三層：核心層，匯聚層，接入層。

核心層為高速交換主干，是整個網(wǎng)絡(luò)系統(tǒng)的核心，通常，這一層不完成報文格式變換或報文過濾以免影響報文交換速度，提供高速數(shù)據(jù)交換和路由快速收斂，要求具有較高的可靠性、穩(wěn)定性和易擴展性等。

匯聚層是核心層和接入層的分界線，它的作用是提供邊界定義并完成類似報文格式轉(zhuǎn)換等功能，在一個典型網(wǎng)絡(luò)中，匯聚層包括以下幾種功能：地址或區(qū)域合并、部門或工作組訪問、廣播域或組播域定義、VLAN路由、介質(zhì)轉(zhuǎn)換、安全等等方面；當三層協(xié)議應(yīng)用于這一層時，具有負載均衡、快速收斂和易于擴展等特點，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)。

接入層是本地終端用戶的網(wǎng)絡(luò)接入點，提供網(wǎng)絡(luò)的第一級接入功能，完成簡單的二、三層交換，這一層可以用訪問列表或過濾進一步優(yōu)化特定用戶組，在典型的網(wǎng)絡(luò)環(huán)境中訪問層包括如下功能：共享帶寬，交換帶寬， MAC層過濾，微分網(wǎng)段。

根據(jù)各層的特點，有幾個問題需要引起重視：

2.2.1 環(huán)路檢測：

在一個校園網(wǎng)絡(luò)中，設(shè)計一個冗余的網(wǎng)絡(luò)是有效的隨時可以使用網(wǎng)絡(luò)的方法，但是冗余會造成環(huán)路，甚至?xí)斐蓢乐氐膯栴}，包括網(wǎng)絡(luò)完全中斷；其實，在一個校園網(wǎng)中，最常見的問題是由于一個粗心大意的使用者，在連接網(wǎng)路的過程中，在一個以太網(wǎng)的接口下自發(fā)的形成了一個環(huán)，這樣的環(huán)路同樣會造成巨大的危害；因而使用生成樹協(xié)議顯得十分重要，接入層交換機能夠自發(fā)的檢測環(huán)路，將會極大地減少因為環(huán)路造成的危害。

2.2.2 arp防范：

由于網(wǎng)絡(luò)的開放性和校園網(wǎng)自身的一些特點，校園網(wǎng)是arp病毒的高發(fā)地，arp攻擊比較普遍,嚴重影響了網(wǎng)絡(luò)的穩(wěn)定性，安全性；arp病毒使得網(wǎng)絡(luò)頻繁掉線，網(wǎng)絡(luò)擁堵，有些arp變種病毒還具有木馬和惡意病毒的特性，或者竊取用戶的賬號，密碼——例如：竊取用戶的qq賬號密碼，網(wǎng)絡(luò)游戲的游戲賬號密碼；或者惡意篡改，刪除用戶的數(shù)據(jù)，造成重要數(shù)據(jù)的丟失，系統(tǒng)的癱瘓等等，甚至給用戶造成經(jīng)濟上損失，對arp病毒的防范和抑制也將成為校園網(wǎng)管理的一個重要環(huán)節(jié)；同樣的，需要在匯聚層和接入層設(shè)備上設(shè)置相關(guān)策略，才能有效地抑制arp所造成的危害；

2.2.3 vlan的設(shè)計：

校園網(wǎng)是一個資源和信息分布的環(huán)境，存在著許多在網(wǎng)絡(luò)拓撲中通常存在許多由于節(jié)點高密度聚集而形成的邏輯區(qū)域。這些邏輯區(qū)域就是vlan,vlan的信息一般都定義、存儲在核心三層交換機上，vlan之間的通信增加時，對三層交換機的頻繁訪問時會極大地加交換機的處理負擔，造成路由瓶頸，從而降低整個網(wǎng)絡(luò)的通信效率。因此在設(shè)計vlan時，盡可能地將同一工作性質(zhì)的節(jié)點劃分在同一vlan內(nèi)，以減少跨vlan的訪問，提高網(wǎng)絡(luò)的利用率。

2.2.4 路由協(xié)議的使用：

在網(wǎng)絡(luò)中的核心交換機上使用路由協(xié)議可以使得網(wǎng)絡(luò)快速的收斂，增強網(wǎng)絡(luò)的可用性。路由協(xié)議一般分為：靜態(tài)路由協(xié)議，Eigrp，Ripv2,和 Ospf,Bgp等等。

這些協(xié)議都有各自的特點：

靜態(tài)路由的特點是價格低，路由器和三層交換機都缺省支持，不足的地方是當網(wǎng)絡(luò)規(guī)模較大的時候，配置量大，不方便管理，并且很容易出錯。不適合大型網(wǎng)絡(luò)使用，在故障狀態(tài)下，有可能會出現(xiàn)路由環(huán)路。

Ripv2是典型的距離向量協(xié)議，特點是技術(shù)成熟，使用面廣，路由器與三層交換機缺省即支持，但是使用Rip協(xié)議的路由器每隔一定時間就向外廣播發(fā)送路由更新信息，在有許多節(jié)點的網(wǎng)絡(luò)中，這將會消耗相當大的網(wǎng)絡(luò)帶寬。但其路由收斂速度慢，限制網(wǎng)絡(luò)的規(guī)模，因而不適宜在大型網(wǎng)絡(luò)中部署。

Eigrp是結(jié)合了鏈路狀態(tài)和距離矢量型路由選擇協(xié)議的Cisco專用協(xié)議，其特點是簡單、易于配置，無須調(diào)整，極快速收斂和減少帶寬占用等等，可擴展支持大型網(wǎng)絡(luò),支持靈活的拓撲結(jié)構(gòu)。但是其為私有協(xié)議，只有在全網(wǎng)都是cisco設(shè)備的情況下方可使用，并且通常在交換機上需要增強型的 IOS 軟件,因而價格昂貴，費用較高。

OSPF 是由IETF 的IGP 工作組為IP 網(wǎng)絡(luò)開發(fā)的路由協(xié)議。OSPF 作為一種內(nèi)部網(wǎng)關(guān)協(xié)議（Interior Gateway Protocol，IGP），用于園區(qū)中的路由器或三層交換機之間發(fā)布路由信息。它是一種鏈路狀態(tài)協(xié)議，區(qū)別于距離矢量協(xié)議(RIP)，OSPF 具有支持大型網(wǎng)絡(luò)、路由收斂快、占用網(wǎng)絡(luò)資源少等優(yōu)點，在目前應(yīng)用的路由協(xié)議中占有相當重要的地位。

2.3 校園網(wǎng)的優(yōu)化方案：

改造優(yōu)化前的校園網(wǎng)核心層采用單核心架構(gòu)，網(wǎng)絡(luò)中既使用了二層架構(gòu)，核心+接入方式，也采用了核心+匯聚+接入的三層架構(gòu)模式。在這樣的混合模式中，比較容易出現(xiàn)三層交換機既要處理與二層設(shè)備的數(shù)據(jù)交換，又要處理vlan之間的通信信息，因而負載過重。所以，在網(wǎng)絡(luò)中需要增加一臺三層交換機（后采用的設(shè)備型號是H3c7500）來分擔核心的負載，處理相關(guān)的數(shù)據(jù)，并且在缺乏匯聚層的網(wǎng)絡(luò)中，應(yīng)該增加相應(yīng)的設(shè)備以增強負載和Qos服務(wù)質(zhì)量。

在過去的網(wǎng)絡(luò)中，缺乏對arp的抑制和防范，因而在匯聚層和交換層部署arp的防護尤為重要，在改造的過程中，在匯聚層使用cisco3560交換接，在接入層使用cisco2960交換機，一方面新交換機可以在網(wǎng)絡(luò)中使用dhcp監(jiān)聽和arp檢測技術(shù)，對相應(yīng)的arp報文進行檢測，對符合要求的合法報文放行，丟棄不合法的報文，大大減少了arp攻擊對網(wǎng)絡(luò)的危害；另一方面，接入層的交換機具備環(huán)路檢測的功能，減少了環(huán)路對網(wǎng)絡(luò)的影響。

僅僅是增強了接入層和匯聚層的抗性，還不足以加快網(wǎng)絡(luò)的收斂速度，盡管在部署了新型的三層交換交換機之后，網(wǎng)絡(luò)的可用性有所提高，但是大二層的網(wǎng)絡(luò)結(jié)構(gòu)依然困擾著網(wǎng)絡(luò)的速度和運行效率。為了實現(xiàn)網(wǎng)絡(luò)的快速收斂，在新的三層交換機和舊核心之間部署了路由協(xié)議勢在必行，通過比較發(fā)現(xiàn)，Ospf 協(xié)議適合網(wǎng)絡(luò)的需求，因為在網(wǎng)絡(luò)的部署中，存在多個廠商的設(shè)備，采取Eigrp的方案不可實現(xiàn)；采用用Rip,收斂速度并不最優(yōu)化；而靜態(tài)路由在管理上則過于繁瑣，一旦網(wǎng)絡(luò)需要擴充，網(wǎng)絡(luò)管理員就需要重新添加新的路由。因而Ospf協(xié)議就成為理所當然的考慮。在部署Ospf之后，網(wǎng)絡(luò)的情況得到極大的改善，達到了預(yù)期的目標。

結(jié)束語

校園網(wǎng)的規(guī)劃與設(shè)計、優(yōu)化，都應(yīng)當遵循層次化的網(wǎng)絡(luò)模型而展開，在層次化模型中的基礎(chǔ)上有針對性地選擇符合相應(yīng)參數(shù)和規(guī)格的交換機設(shè)備、并采用合理的路由方式，才能提高網(wǎng)絡(luò)的收斂速度，提高網(wǎng)絡(luò)的可用性。本文以青島科技大學(xué)四方校區(qū)的網(wǎng)絡(luò)優(yōu)化工作為背景，從層次化的網(wǎng)絡(luò)模型出發(fā)，討論了校園網(wǎng)的優(yōu)化策略，希望能對以后的校園網(wǎng)建設(shè)起到借鑒作用。

[1]郭偉,柯漢波.多區(qū)域OSPF. 校園網(wǎng)路由設(shè)計與實現(xiàn)(J). 計算機系統(tǒng)應(yīng)用.2003,(8)

[2]思科系統(tǒng)(中國)網(wǎng)絡(luò)技術(shù)有限公司.設(shè)計高可用性園區(qū)網(wǎng)絡(luò)[Z]. 2005年3月

[3]思科系統(tǒng)(中國)網(wǎng)絡(luò)技術(shù)有限公司.高可用性園區(qū)網(wǎng)絡(luò)故障恢復(fù)分析. [Z].2005年3月

[4]劉珺,李俊娥,王鵑,陳萍.基于第三層交換的校園網(wǎng)規(guī)劃與管理(J).武漢大學(xué)學(xué)報(工學(xué)版).2003,36(1):92-95

10.3969/j.issn.1001-8972.2011.07.058