操驚雷

摘要：隨著教育信息化步伐的加快，作為數(shù)字化校園的網(wǎng)絡(luò)支撐環(huán)境建設(shè)和改造成為各學校信息化建設(shè)的基礎(chǔ)。高可用性校園網(wǎng)通信子系統(tǒng)的設(shè)計，成為校園網(wǎng)絡(luò)建設(shè)需要關(guān)注和解決的關(guān)鍵問題。該文通過需求、理論和實踐三個方面，設(shè)計既滿足支撐學校教學和管理需求、又能節(jié)約建設(shè)經(jīng)費的校園網(wǎng)通信子系統(tǒng)，以拋磚引玉。

關(guān)鍵詞：高可用性；通信子系統(tǒng)；設(shè)計

中圖分類號：TP271文獻標識碼：A文章編號：1009-3044(2012)24-5761-02

在傳統(tǒng)的客戶端/服務(wù)器環(huán)境中，校園網(wǎng)的作用僅僅是提供網(wǎng)絡(luò)連接。但是，在數(shù)字化校園建設(shè)全面鋪開的今天，校園網(wǎng)已經(jīng)成為學校支持新的應(yīng)用，提高工作、學習效率，以及為學生、老師提供多種服務(wù)的關(guān)鍵。當今天的校園采取多種措施，擬將校園網(wǎng)絡(luò)建設(shè)或改造成為一種可以幫助師生提高教學與學效率的工具時，也必須設(shè)法保護網(wǎng)絡(luò)及其所傳輸?shù)臄?shù)據(jù)，確保網(wǎng)絡(luò)及其資源的安全性、可用性，同時還要降低開支。

一般而言，校園網(wǎng)可分為接入子網(wǎng)、通信子網(wǎng)、資源子網(wǎng)和存儲子網(wǎng)四個部分，通信子網(wǎng)由核心層、分布層和接入層組成，實現(xiàn)校園網(wǎng)內(nèi)部信息的交換和傳送。通信子網(wǎng)是指網(wǎng)絡(luò)中實現(xiàn)網(wǎng)絡(luò)通信功能的設(shè)備及其軟件的集合，通信設(shè)備、網(wǎng)絡(luò)通信協(xié)議、通信控制軟件等屬于通信子網(wǎng)，是網(wǎng)絡(luò)的內(nèi)層，負責信息的傳輸。主要為用戶提供數(shù)據(jù)的傳輸，轉(zhuǎn)接，加工，變換等[1]?？梢哉J為通信子網(wǎng)是校園網(wǎng)的核心部分，高可用性校園網(wǎng)通信子網(wǎng)設(shè)計，是校園網(wǎng)絡(luò)建設(shè)需要關(guān)注和解決的關(guān)鍵問題。

1校園網(wǎng)通信子系統(tǒng)設(shè)計需要解決的問題

校園網(wǎng)通信子系統(tǒng)設(shè)計需要注意以下問題：

1.1安全性保證

校園網(wǎng)絡(luò)環(huán)境主要是局域網(wǎng)，而傳統(tǒng)的局域網(wǎng)并不安全。據(jù)調(diào)查，校園網(wǎng)遭遇的安全威脅有一半以上來自于內(nèi)部網(wǎng)絡(luò)用戶有意或無意的攻擊，25%到30%的無線接入點是自行安裝的不安全的惡意設(shè)備[2]。同時，蠕蟲的泛濫也給校園網(wǎng)絡(luò)帶來巨大的損失。

校園網(wǎng)內(nèi)，任何一個角落的漏洞都有可能帶來大面積的災(zāi)難。為了保護校園網(wǎng)絡(luò)，必須部署安全策略和機制，一方面防御外來入侵者，一方面確保內(nèi)部用戶的誠實性。這就意味著，校園網(wǎng)的通信子系統(tǒng)要設(shè)計安全措施：①防止外部黑客進入網(wǎng)絡(luò)；②進入校園網(wǎng)絡(luò)需要經(jīng)過授權(quán)；③能有效防止網(wǎng)絡(luò)內(nèi)部用戶發(fā)動有意的或者無意的攻擊；④為不同類型的用戶提供不同等級的訪問權(quán)限和速率限制。

1.2可用性保證

數(shù)據(jù)中心應(yīng)用中斷帶來的直接損失將是巨大的，更是無可估量的。當學校把越來越多的關(guān)鍵應(yīng)用和IP語音系統(tǒng)部署在園區(qū)/大樓網(wǎng)絡(luò)上時，他們把高可用性的要求提到了非常重要的地位。1.3可擴展性保證

信息化建設(shè)新技術(shù)不斷涌現(xiàn)，今天的校園網(wǎng)建設(shè)，都希望能充分發(fā)揮效益和保護投資，一旦新的技術(shù)出現(xiàn)時，新的應(yīng)用和技術(shù)能順利地集成到校園網(wǎng)絡(luò)中去。

2網(wǎng)絡(luò)結(jié)構(gòu)與設(shè)計理論

校園網(wǎng)通信子網(wǎng)，可通俗理解為一個學校的局域網(wǎng)絡(luò)，通過接入子系統(tǒng)連接Internet，在對內(nèi)部用戶提供流暢地訪問互聯(lián)網(wǎng)資源和內(nèi)部資源的通道的同時，還需要為外部用戶提供按規(guī)則訪問學校內(nèi)部資源的通道。如何在網(wǎng)絡(luò)高可用性、業(yè)務(wù)連續(xù)性、業(yè)務(wù)靈活性與延展性以及網(wǎng)絡(luò)性能提升等方面的綜合解決方案，是校園網(wǎng)通信子系統(tǒng)設(shè)計的目標。

在一些中小型網(wǎng)絡(luò)中，采用了兩級的設(shè)計，盡管這樣可以節(jié)省成本，但是，從路由協(xié)議的角度看，每個配線間中的所有三層交換機都是彼此“相鄰”的，這就意味著有很多臺相鄰的路由器，第三層路由協(xié)議的恢復速度將會比較慢。所以，校園網(wǎng)絡(luò)的通信子系統(tǒng)設(shè)計核心、分布和接入層三層結(jié)構(gòu)。

2.1核心層雙機無憂

核心層是整個網(wǎng)絡(luò)的心臟，它將所有分布層、數(shù)據(jù)中心和WAN匯聚（兩個遠程站點之間的連接）連接起來。

雖然可以將多個核心節(jié)點合并到配備冗余交換管理引擎的單個機箱之中，以此節(jié)省一些成本，但從維護和運行的角度說，冗余拓撲結(jié)構(gòu)可實現(xiàn)較好的收斂性和可用性。因此，為保證網(wǎng)絡(luò)安全可靠地運行，滿足數(shù)字化校園的業(yè)務(wù)需求，一般在核心層部署兩臺相同配置的高性能交換機，作雙機熱備，以冗余方式連接到所服務(wù)的每個匯聚設(shè)備，并提供足夠的端口數(shù)量、足夠大的背板帶寬，保證核心層完全滿足全網(wǎng)運行的交換容量。

為保證數(shù)字化校園的整體需求，在核心層交換機上配置相應(yīng)數(shù)量的千兆電口模塊，用于與防火墻及數(shù)據(jù)中心服務(wù)器的連接。

在路由協(xié)議支持方面，整個網(wǎng)絡(luò)中可選用業(yè)內(nèi)使用最廣泛的OSPF、BGP、IS－IS和RIP版本2等基于標準的協(xié)議。網(wǎng)絡(luò)設(shè)計時，注重對這些協(xié)議的實現(xiàn)，為網(wǎng)絡(luò)故障防御和恢復提供獨立驗證和亞秒級收斂。

2.2模塊化保障分布層高可用性

網(wǎng)絡(luò)的分布層是接入層交換機的匯聚點。由于校園信息點比較多，采用高性能的模塊化的交換設(shè)備可顯著提高網(wǎng)絡(luò)整體性能，同時為保障關(guān)鍵應(yīng)用，關(guān)鍵區(qū)域采用雙機方式提供設(shè)備級的冗余，在每臺匯聚層交換機上配置相應(yīng)的模塊，通過兩條萬兆的鏈路連接到核心層交換機上，以提供網(wǎng)絡(luò)的冗余，提高網(wǎng)絡(luò)的可靠性。與接入層交換也采用萬兆的鏈路進行連接。

通過在分布層采用第三層交換和路由協(xié)議將每個VLAN隔離開，創(chuàng)建一個第三層連界，從而保護核心層免遭廣播風暴、潛在安全漏洞或生成樹配置錯誤的影響，第三層交換還可限制可能發(fā)生的路徑窺探，從而進一步提高網(wǎng)絡(luò)可擴展性。在整個校園網(wǎng)中，分布層設(shè)備提供符合VLAN802.1W標準的快速生成樹，確保對每個VLAN的快速故障切換。值得注意的是，每個配線間采用一個子網(wǎng)（VLAN）或者多個VLAN，盡可能要避免一個VLAN跨多個配線間。

為實現(xiàn)默認網(wǎng)關(guān)冗余，通過部署的熱備路由協(xié)議（VRRP），以確保當默認網(wǎng)關(guān)交換機發(fā)生故障時，存在一個備用交換機來接替工作。

在網(wǎng)絡(luò)設(shè)計中，性能是任何網(wǎng)絡(luò)設(shè)計中都必須考慮的一個重要因素，一個從接入層通過網(wǎng)絡(luò)一直到數(shù)據(jù)中心的1:1無阻塞防問的網(wǎng)絡(luò)是不實際的，需要設(shè)置一定的超額配置，經(jīng)驗值是從接入層到分布層為20:1的超額配置設(shè)計，從分布層到核心層為4:1的超額配置設(shè)計。

2.3永續(xù)性從接入層開始做起

接入層也常稱為“配線間”，它負責將用戶接入到網(wǎng)絡(luò)的其他部分。根據(jù)每個配線間根據(jù)信息點的數(shù)量，我們部署相應(yīng)數(shù)量的接入層交換機，接入層交換機間采用堆疊的方式進行連接。每個堆疊塊與分布層交換機之間都是通過千兆的光纖鏈路進行連接。在關(guān)鍵應(yīng)用區(qū)的接入層交換機上通過兩條千兆鏈路分別連接至匯聚層交換機上，以保證網(wǎng)絡(luò)的冗余。

接入層是進入網(wǎng)絡(luò)的第一個接入點，是對合法用戶和設(shè)備實行認證的理想地點（如防止惡意WLAN接入點等），接入層也是對用戶流量進行分類和實現(xiàn)端到端QOS控制的邏輯點。

對于接入層的安全性保障，我們可以設(shè)計：

①通過生成樹增強特性，建立BPDU Guard和Root Guard兩種防止非法交換機連接。

②通過基于端口的網(wǎng)絡(luò)訪問控制、802.1X與RADIUS服務(wù)器配合執(zhí)行基于端口的網(wǎng)絡(luò)訪問控制（802.1X IEEE標準）等技術(shù)，實現(xiàn)網(wǎng)絡(luò)信任與身份確認技術(shù)，

③通過技術(shù)手段防止中間人攻擊、DHCP監(jiān)聽、動態(tài)ARP檢測、IP Source Guard等措施，保障接入層的網(wǎng)絡(luò)安全，是保證校園網(wǎng)通信子系統(tǒng)安全的重要措施，在設(shè)計校園網(wǎng)的永續(xù)性接入層時，需要采用一定的技術(shù)手段，實現(xiàn)接入層的安全保障。

3高可用性校園網(wǎng)通信子系統(tǒng)設(shè)計

為更好地說明高可用性校園網(wǎng)通信子系統(tǒng)設(shè)計，我們通過圖1作簡要說明。

在圖1中的方框部分，是校園網(wǎng)通信子系統(tǒng)的網(wǎng)絡(luò)拓撲，整個通信子系統(tǒng)采用三層結(jié)構(gòu)，并在核心層、分布層和接入層按該文第2部分的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計理論，采用相關(guān)技術(shù)保證通信子網(wǎng)的高可用性。

本方案的核心層使用兩臺高性能核心交換機，作雙機熱備。通過調(diào)試，在兩臺交換機之間，通過心跳線相互通信，在無故障時，雙機作負載均衡，一旦某臺交換機出現(xiàn)故障，另一臺交換機立即負擔全部數(shù)據(jù)交換任務(wù)（關(guān)鍵業(yè)務(wù)分布層和關(guān)鍵業(yè)務(wù)接入層采樣相同配置，只不過配置的交換機性能與核心層不同）。

分布層和接入層按業(yè)務(wù)需求決定是否采用雙機模式。同時，在分布層，按配線間（或業(yè)務(wù)）劃分不同VLAN。該拓撲中，我們應(yīng)根據(jù)實際需要，認真分析，決定使用性能不同的交換設(shè)備并按需求啟用相關(guān)功能，以保證并采用相關(guān)技術(shù)保證整個通信子網(wǎng)安全、可靠運行。

參考文獻：

[1]百度百科[EB/OL].http://baike.baidu.com/view/676314.htm.

[2] CNCERT/CC2010網(wǎng)絡(luò)安全調(diào)查報告,2010中國計算機網(wǎng)絡(luò)安全應(yīng)急年會報告.