戶占良

(菏澤學(xué)院現(xiàn)代教育技術(shù)中心，山東菏澤 274015）

菏澤學(xué)院校園網(wǎng)升級改造設(shè)計(jì)及其實(shí)現(xiàn)*

戶占良

(菏澤學(xué)院現(xiàn)代教育技術(shù)中心，山東菏澤 274015）

菏澤學(xué)院原校園網(wǎng)運(yùn)行中存在數(shù)據(jù)交換嚴(yán)重依賴于核心交換機(jī)、安全性差等問題.通過分析，采用“核心+匯聚+接入”三層網(wǎng)絡(luò)結(jié)構(gòu)與虛擬局域網(wǎng)技術(shù)、開放最短路徑優(yōu)先協(xié)議，順利實(shí)現(xiàn)了校園網(wǎng)絡(luò)的升級改造，提高了校園網(wǎng)的可用性、安全性、可管理性，為學(xué)校工作和師生的學(xué)習(xí)提供了一個(gè)良好的網(wǎng)絡(luò)環(huán)境.

菏澤學(xué)院;校園網(wǎng);網(wǎng)絡(luò)升級改造

1 菏澤學(xué)院原校園網(wǎng)狀況

計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為高校必備的信息基礎(chǔ)設(shè)施，其水平已經(jīng)成為衡量高校教學(xué)、科研與管理的重要指標(biāo).本校前些年成功實(shí)施了校園網(wǎng)建設(shè)工程，校園網(wǎng)覆蓋了辦公樓、教學(xué)樓、家屬區(qū)及各個(gè)校區(qū).網(wǎng)絡(luò)建成運(yùn)行幾年后，伴隨著各種應(yīng)用的擴(kuò)展，遇到了一系列新的問題，比如網(wǎng)絡(luò)規(guī)模擴(kuò)大、設(shè)備陳舊、存在網(wǎng)絡(luò)單點(diǎn)故障、網(wǎng)速慢、用戶數(shù)量不斷攀升和流量增大等.除核心交換機(jī)和幾臺匯聚交換機(jī)之外，各樓層接入交換機(jī)大部分都是采用傻瓜性二層交換機(jī)，沒有管理功能，導(dǎo)致網(wǎng)絡(luò)管理比較困難.各個(gè)樓層的交換機(jī)設(shè)備已經(jīng)使用5年，不具備主動防御網(wǎng)絡(luò)病毒攻擊、監(jiān)控流量與遠(yuǎn)程配置等功能，使得某些區(qū)域的IP地址沖突、ARP(address resolution protocol，地址解析協(xié)議)病毒攻擊嚴(yán)重，經(jīng)常出現(xiàn)網(wǎng)絡(luò)頻繁掉線、堵塞變慢、IP地址被任意修改等問題，給教學(xué)和科研工作帶來了不利影響.由于ARP病毒攻擊，使三層路由交換功能集中在核心交換機(jī)上，從而增大了核心交換機(jī)壓力，影響整個(gè)校園網(wǎng)絡(luò)運(yùn)行安全.為滿足校園的日常工作要求，使師生有一個(gè)良好的網(wǎng)上學(xué)習(xí)環(huán)境，有必要對校園網(wǎng)進(jìn)行升級改造.

2 校園網(wǎng)升級改造需求分析

校園網(wǎng)升級改造面臨的主要問題有:第一，如何在原有校園網(wǎng)基礎(chǔ)上擴(kuò)大校園網(wǎng)規(guī)模;第二，如何在原有校園網(wǎng)基礎(chǔ)上建立穩(wěn)定的校園網(wǎng);第三，如何在原有校園網(wǎng)基礎(chǔ)上實(shí)施多出口鏈路負(fù)載均衡.

針對這些問題，校園網(wǎng)升級改造的指導(dǎo)要求為:重視原有的投資保護(hù)，在原有校園網(wǎng)的基礎(chǔ)上，充分利用已有的網(wǎng)絡(luò)資源;跟蹤校園網(wǎng)的先進(jìn)技術(shù)，確保先進(jìn)性和擴(kuò)展性，確保適度超前.

校園網(wǎng)升級改造具體需求分析如下:

1)高性能需求 校園網(wǎng)升級改造后，網(wǎng)絡(luò)規(guī)模將擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)也將變得復(fù)雜，采用萬兆以太網(wǎng)與三層交換技術(shù)相結(jié)合，將滿足其性能要求.

2)穩(wěn)定性需求 原校園網(wǎng)采用單核心的架構(gòu)構(gòu)建骨干網(wǎng)，各子網(wǎng)網(wǎng)關(guān)大部分設(shè)置在核心交換機(jī)上，單個(gè)子網(wǎng)的故障可能影響到全校網(wǎng)絡(luò).本次網(wǎng)絡(luò)升級需要采用雙核心冗余，提高網(wǎng)絡(luò)的穩(wěn)定性.

3)高管理性需求 統(tǒng)一管理平臺，能夠通過圖形化界面實(shí)現(xiàn)拓?fù)浣Y(jié)構(gòu)自動發(fā)現(xiàn)、遠(yuǎn)程管理、報(bào)警管理及監(jiān)視主干網(wǎng)絡(luò)設(shè)備等功能，能夠很方便地對網(wǎng)絡(luò)進(jìn)行全面的管理和維護(hù).

4)網(wǎng)絡(luò)安全需求 校園網(wǎng)的安全保障十分重要.網(wǎng)絡(luò)安全包括各種路由交換設(shè)備的安全，包括應(yīng)用系統(tǒng)的安全，包括對各類用戶的認(rèn)證.只有通過認(rèn)證的用戶，才能有權(quán)使用相應(yīng)業(yè)務(wù).采用防火墻技術(shù)抵抗黑客的攻擊，阻止非法用戶的訪問.

5)先進(jìn)性需求 校園網(wǎng)采用的組網(wǎng)技術(shù)必須是成熟和先進(jìn)的.要求支持IPv4/IPv6雙棧和組播，同時(shí)要求采用萬兆以太網(wǎng)技術(shù).

3 校園網(wǎng)升級改造設(shè)計(jì)

3.1 校園網(wǎng)升級改造相關(guān)技術(shù)

校園網(wǎng)升級改造是一項(xiàng)復(fù)雜的系統(tǒng)工程，所采用的技術(shù)直接影響著校園網(wǎng)升級改造能否成功，直接影響著升級改造后校園網(wǎng)能否高質(zhì)量運(yùn)行.校園網(wǎng)升級改造相關(guān)技術(shù)包括以太網(wǎng)技術(shù)、VLAN(Virtual Local Area Network，虛擬局域網(wǎng))技術(shù)、三層交換技術(shù)及防火墻技術(shù)等.

近年來，萬兆以太網(wǎng)技術(shù)發(fā)展迅速，大量的網(wǎng)上應(yīng)用對萬兆以太網(wǎng)的發(fā)展產(chǎn)生了巨大的推動作用.在核心技術(shù)的推動和用戶需求的拉動下，萬兆以太網(wǎng)已經(jīng)廣泛應(yīng)用于校園網(wǎng).萬兆以太網(wǎng)相對于千兆以太網(wǎng)擁有著絕對的優(yōu)勢.萬兆以太網(wǎng)是一種只采用全雙工數(shù)據(jù)傳輸?shù)募夹g(shù)，不支持單工和半雙工，也不再采用CSMA/CD(Carrier Sense Multiple Access/Collision Detect，載波監(jiān)聽多路訪問/沖突檢測)機(jī)制［1］.為簡化故障定位，萬兆以太網(wǎng)不再支持自協(xié)商.萬兆以太網(wǎng)技術(shù)基本繼承了以太網(wǎng)、快速以太網(wǎng)及千兆以太網(wǎng)技術(shù)，因此，在用戶普及率、使用方便性、網(wǎng)絡(luò)互操作性及簡易性上占有極大優(yōu)勢.在升級到萬兆以太網(wǎng)解決方案時(shí)，網(wǎng)絡(luò)管理員不用擔(dān)心正在運(yùn)行的程序是否會受到影響，網(wǎng)絡(luò)升級的風(fēng)險(xiǎn)性較低.在進(jìn)行升級改造時(shí)，核心交換機(jī)與路由器之間采用萬兆以太網(wǎng)技術(shù)，核心交換機(jī)與匯聚交換機(jī)、匯聚交換機(jī)與接入交換機(jī)采用千兆以太網(wǎng)技術(shù).這樣既保護(hù)原有的投資，又能擴(kuò)展校園網(wǎng)的性能.

VLAN技術(shù)建立在交換式局域網(wǎng)的基礎(chǔ)之上，將網(wǎng)絡(luò)資源或網(wǎng)絡(luò)用戶按照一定的原則進(jìn)行劃分，把一個(gè)物理上的網(wǎng)絡(luò)劃分為多個(gè)小的邏輯網(wǎng)絡(luò)，每個(gè)邏輯局域網(wǎng)形成各自的廣播域［2］.不同VLAN中的設(shè)備即使物理連接在同一交換機(jī)上，也不會相互通信.通過VLAN劃分可以控制用戶的訪問權(quán)限和邏輯網(wǎng)段大小，有效地避免非法入侵，提高網(wǎng)絡(luò)的安全性.

三層交換技術(shù)是相對于傳統(tǒng)交換概念提出的.傳統(tǒng)的交換技術(shù)是在OSI網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的數(shù)據(jù)鏈路層進(jìn)行操作的，而三層交換技術(shù)在網(wǎng)絡(luò)模型中的網(wǎng)絡(luò)層實(shí)現(xiàn)了分組的高速轉(zhuǎn)發(fā).三層交換技術(shù)將二層交換和三層路由結(jié)合在一起［3］.三層交換技術(shù)解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須由路由器進(jìn)行管理的局面，解決了傳統(tǒng)路由器低速所造成的網(wǎng)絡(luò)瓶頸問題.三層交換具有高可擴(kuò)充性、高安全性、適合多媒體傳輸?shù)葍?yōu)點(diǎn).

3.2 校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)

升級改造方案重新規(guī)劃和設(shè)計(jì)了校園網(wǎng)的網(wǎng)絡(luò)體系結(jié)構(gòu)和校園網(wǎng)內(nèi)的IP地址，采用“核心+匯聚+接入”模式，在層次上分為核心層、匯聚層、接入層［4］，這樣網(wǎng)絡(luò)結(jié)構(gòu)將變得更加清晰.每個(gè)匯聚交換機(jī)形成一個(gè)獨(dú)立的網(wǎng)絡(luò)區(qū)域，區(qū)域內(nèi)部的各種攻擊只限于本區(qū)域，對校園網(wǎng)其他區(qū)域不產(chǎn)生影響.核心交換機(jī)與各匯聚交換機(jī)之間采用單模光纖連接，用光模塊代替過去的光收發(fā)器，提高了網(wǎng)絡(luò)的速度和穩(wěn)定性.

4 校園網(wǎng)升級改造實(shí)現(xiàn)

4.1 校園網(wǎng)升級后的網(wǎng)絡(luò)結(jié)構(gòu)

校園網(wǎng)采用星型拓?fù)浣Y(jié)構(gòu)，核心交換機(jī)以RGS8610為中心，匯聚交換機(jī)采用RG－S5750，接入交換機(jī)RG－2600E.RG－S8610是銳捷網(wǎng)絡(luò)推出的高密度多業(yè)務(wù)IPv6核心路由交換機(jī)，提供3.2T背板帶寬和1.6T交換容量，支持將來更高帶寬的擴(kuò)展能力，支持下一代以太網(wǎng)100G速率接口.核心交換機(jī)RG－S8610間采用兩對萬兆鏈路通過VSU(Virtual Switching Unit，虛擬交換單元)線卡連接，實(shí)現(xiàn)冗余功能檢測的同時(shí)實(shí)現(xiàn)負(fù)載均衡的功能.RG－S8610采用集成萬兆防火墻模塊，提供較高的安全性和可靠性.匯聚交換機(jī)采用端口聚合上聯(lián)核心交換機(jī)，兩臺核心交換機(jī)采用端口聚合下聯(lián)匯聚交換機(jī).RG－S8610與RG－S5750交換機(jī)均支持萬兆和IPv6.校園網(wǎng)網(wǎng)絡(luò)主干拓?fù)浣Y(jié)構(gòu)如圖1所示.

4.2 OSPF路由設(shè)計(jì)

選擇校園網(wǎng)的路由協(xié)議時(shí)要充分考慮網(wǎng)絡(luò)的規(guī)模和復(fù)雜性、網(wǎng)絡(luò)流量、路由協(xié)議的可管理性、技術(shù)實(shí)現(xiàn)以及對安全的要求.OSPF協(xié)議是具有較高效率的動態(tài)協(xié)議，對于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地作出反應(yīng)，提供較短的收斂期，使路由表盡快穩(wěn)定化.OSPF路由采用兩級分層結(jié)構(gòu)，適合結(jié)構(gòu)復(fù)雜的大型網(wǎng)絡(luò)［5］.

作為網(wǎng)絡(luò)的核心層要盡可能快地交換數(shù)據(jù)而減少具體數(shù)據(jù)的路由運(yùn)算，從而避免降低數(shù)據(jù)的交換速度，采用OSPF協(xié)議能夠達(dá)到校園網(wǎng)路由快速收斂的目的.定義核心層為OSPF的骨干域Area 0，以建立起OSPF自治系統(tǒng)的主干區(qū)域，負(fù)責(zé)OSPF區(qū)域間路由信息交換.核心區(qū)引入router－id和互聯(lián)地址與匯聚區(qū)引入router－id和直連路由便于維護(hù)和收斂.

圖1 菏澤學(xué)院校園網(wǎng)升級網(wǎng)絡(luò)拓?fù)鋱D

4.3 網(wǎng)絡(luò)管理

網(wǎng)絡(luò)管理軟件采用RG－SNC(Smart Network Commander，智能網(wǎng)絡(luò)指揮官)實(shí)現(xiàn)了整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)的拓?fù)浒l(fā)現(xiàn)，并且監(jiān)控網(wǎng)絡(luò)設(shè)備的性能情況、鏈路的使用率、同時(shí)實(shí)現(xiàn)有線無線統(tǒng)一管理.

RG－SNC拓?fù)涔芾碚故玖诵@網(wǎng)的真實(shí)拓?fù)?，不同的設(shè)備類型用不同的圖標(biāo)區(qū)分，已納入管理的設(shè)備可以自動布局，也可以手動添加或布局控制，并通過拓?fù)鋱D呈現(xiàn)豐富的設(shè)備、告警、流量信息，實(shí)時(shí)地監(jiān)控網(wǎng)絡(luò)運(yùn)行的全貌;可以直接在拓?fù)鋱D上查找用戶關(guān)注的設(shè)備和鏈路節(jié)點(diǎn)，進(jìn)行點(diǎn)擊獲取更加詳細(xì)的信息;可以將拓?fù)鋱D保存或者直接導(dǎo)出.RG－SNC系統(tǒng)對網(wǎng)絡(luò)設(shè)備關(guān)鍵參數(shù)采用TOPN(頂端呈現(xiàn))的方式，提高網(wǎng)絡(luò)管理員對危險(xiǎn)設(shè)備的關(guān)注度.RG－SNC系統(tǒng)在圖形界面中直接給出網(wǎng)絡(luò)設(shè)備的CPU利用率、內(nèi)存利用率、接口帶寬利用率等幾個(gè)重要指標(biāo).

4.4 網(wǎng)絡(luò)認(rèn)證

802.1x認(rèn)證有效解決了以太網(wǎng)認(rèn)證問題.如果用戶認(rèn)證過程失敗，端口接入將被阻止.校園網(wǎng)升級改造所采用的認(rèn)證系統(tǒng)為銳捷RG－SAM(Security Accounting Management，安全賬戶管理)系統(tǒng).SAM系統(tǒng)是一套以實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)營為基礎(chǔ)，提高管理效率為目的的網(wǎng)絡(luò)安全管理系統(tǒng)［6］.SAM系統(tǒng)以網(wǎng)絡(luò)硬件平臺為基礎(chǔ)，實(shí)現(xiàn)網(wǎng)絡(luò)用戶和設(shè)備集中統(tǒng)一管理，提供了校園網(wǎng)管理整體解決方案，滿足了性能、安全與管理的升級需求.SAM系統(tǒng)支持多種接入方式和802.1x協(xié)議，滿足認(rèn)證和計(jì)費(fèi)的需求.SAM系統(tǒng)杜絕了用戶間IP地址沖突，減少了網(wǎng)絡(luò)管理員的維護(hù)工作量.SAM系統(tǒng)全程動態(tài)地綁定IP地址、MAC地址，有效確保了網(wǎng)絡(luò)安全.SAM系統(tǒng)根據(jù)不同用戶的權(quán)限設(shè)定不同的訪問規(guī)則.網(wǎng)絡(luò)管理員可以根據(jù)SAM系統(tǒng)的日志功能，進(jìn)行事后查詢，為解決各種問題提供依據(jù).

通過本次對校園網(wǎng)的升級改造，使菏澤學(xué)院校園網(wǎng)網(wǎng)絡(luò)速度、安全性及穩(wěn)定性得到了較大提高.同時(shí)校園網(wǎng)的升級改造滿足了教職員工和學(xué)生對網(wǎng)絡(luò)應(yīng)用的需求，使教職員工和學(xué)生擁有了一個(gè)良好的教學(xué)、科研和學(xué)習(xí)環(huán)境.

［1］楊聰毅.校園網(wǎng)(多)出口安全解決方案［J］.信息網(wǎng)絡(luò)安全，2009，(1):65 －66.

［2］楊永斌.VLAN技術(shù)在校園網(wǎng)建設(shè)中的應(yīng)用［J］.計(jì)算機(jī)科學(xué)，2004，31(12):41 －43.

［3］陳丹，黃國言.第三層交換技術(shù)及其在VLAN子網(wǎng)規(guī)劃中的應(yīng)用［J］.北京工商大學(xué)學(xué)報(bào):自然科學(xué)版，2009，27(4):43－46.

［4］王偉，袁勝忠.校園網(wǎng)安全架構(gòu)解析［J］.中國教育網(wǎng)絡(luò)，2009，(1):75 －77.

［5］郭偉，柯漢波.多區(qū)域OSPF校園網(wǎng)路由設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)系統(tǒng)應(yīng)用，2003，(8):48 －50.

［6］肖智能，唐連章，劉潔.結(jié)合RG－SAM計(jì)費(fèi)系統(tǒng)的校園網(wǎng)802.1x認(rèn)證改造［J］.廣州大學(xué)學(xué)報(bào):自然科學(xué)版，2009，8(6):34－36.

Upgrading Reconstruction of the Heze University Campus Network and Its Realization

HU Zhan－liang

(Modern Education Technology Centre，Heze University，Heze Shandong 274015，China)

There were some problems existing in the original campus network in Heze University like data exchange depending on the core switch，and low security.Through the analysis，three layer network structure of core+convergence+access，VLAN and OSPE are used to fulfill the smooth realization of campus network upgrading reconstruction，which increases usability，safety，and manageability of the campus network and provides a good network environment for work and study.

Heze University;campus network;network upgrading reconstruction

TP 393.18

A

1673－2103(2011)05－0036－04

2011－08－24

菏澤學(xué)院科研基金資助項(xiàng)目(XY09JS02)

戶占良(1975－)，男，山東菏澤人，工程師，碩士，研究方向:信息管理與網(wǎng)絡(luò)安全.