譚曉東

（賀州學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院，廣西 賀州 542899）

引 言

隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通訊技術(shù)的快速發(fā)展，網(wǎng)絡(luò)系統(tǒng)得到了迅速普及，它是一種公用網(wǎng)絡(luò)，主要包括網(wǎng)絡(luò)硬件體系及網(wǎng)絡(luò)服務(wù)軟件平臺(tái)兩大部分，可為各級(jí)學(xué)校、政府等部門(mén)提供網(wǎng)絡(luò)承載服務(wù)，為面向社會(huì)服務(wù)的業(yè)務(wù)應(yīng)用提供信息共享、業(yè)務(wù)協(xié)同等，能夠滿(mǎn)足各單位的公共服務(wù)、社會(huì)管理等方面的需求。因此，為了適應(yīng)新時(shí)期的校園網(wǎng)絡(luò)辦公需求，各類(lèi)學(xué)校都十分重視校園網(wǎng)絡(luò)系統(tǒng)的建設(shè)。自開(kāi)展校園數(shù)字化建設(shè)以來(lái)，各單位構(gòu)建了一定規(guī)模的校園網(wǎng)絡(luò)硬件和軟件平臺(tái)，為教學(xué)活動(dòng)、網(wǎng)上辦公、信息交流等方面發(fā)揮了一定的作用，但也帶來(lái)了諸多現(xiàn)實(shí)問(wèn)題［1-3］：一是建設(shè)方面的重復(fù)浪費(fèi)，包括服務(wù)器、系統(tǒng)軟件、安全設(shè)施等方面的重復(fù)購(gòu)置，造成了較大的浪費(fèi)和經(jīng)濟(jì)負(fù)擔(dān)；二是管理方面存在較大的安全隱患，由于分散建設(shè)導(dǎo)致安全投入不足，保障防護(hù)和危險(xiǎn)處置能力不強(qiáng)；三是維護(hù)方面的資源不足，這表現(xiàn)在維護(hù)技術(shù)力量、人員，以及維護(hù)經(jīng)費(fèi)等方面，致使網(wǎng)絡(luò)難以可靠運(yùn)行；四是由于缺少總體規(guī)劃，基于校園網(wǎng)絡(luò)的信息共享和業(yè)務(wù)協(xié)同方面的舉步維艱等。分析發(fā)現(xiàn)，造成這些問(wèn)題的根本原因是“二個(gè)分散，四個(gè)缺少”，即現(xiàn)有的網(wǎng)絡(luò)采用以部門(mén)為單元的分散建設(shè)、分散運(yùn)維的模式，再加上缺少統(tǒng)籌規(guī)劃、缺少統(tǒng)一支撐、缺少標(biāo)準(zhǔn)規(guī)范、缺少整合共享［4-5］。

因此，必須改變現(xiàn)在這種分散建設(shè)和分散運(yùn)行的模式，重新規(guī)劃校園網(wǎng)絡(luò)體系，整合建設(shè)和后期運(yùn)維工作。在此背景下，本文參照系統(tǒng)科學(xué)的“整體性、動(dòng)態(tài)性、綜合性、最優(yōu)化、模型化”的原則［6］，詳細(xì)闡述高校校園網(wǎng)絡(luò)構(gòu)建的原則、目標(biāo)、建設(shè)方案、邏輯設(shè)計(jì)等內(nèi)容。

1 設(shè)計(jì)原則與建設(shè)目標(biāo)

構(gòu)建高等學(xué)校校園網(wǎng)絡(luò)時(shí)，需遵循如下設(shè)計(jì)原則：

（1）開(kāi)放性與標(biāo)準(zhǔn)化。網(wǎng)絡(luò)體系結(jié)構(gòu)和設(shè)計(jì)過(guò)程嚴(yán)格遵循IETF、IEEE等國(guó)際標(biāo)準(zhǔn)，同時(shí)還必須符合我國(guó)網(wǎng)絡(luò)建設(shè)的技術(shù)規(guī)范標(biāo)準(zhǔn)。

（2）高性能。要求網(wǎng)絡(luò)帶寬較大，能夠支持多種大容量數(shù)據(jù)的傳輸與處理，同時(shí)，在系統(tǒng)處理大數(shù)據(jù)時(shí)，系統(tǒng)仍然保持較高的網(wǎng)絡(luò)吞吐力和傳輸效率。

（3）高可靠性與可用性。系統(tǒng)容錯(cuò)能力強(qiáng)，能夠抗受一定的外部環(huán)境因素的干擾，具有較好的災(zāi)難恢復(fù)能力，單點(diǎn)故障不影響系統(tǒng)整體系統(tǒng)的可用性保持在99.9%以上。

（4）安全性。具有較高的數(shù)據(jù)安全和網(wǎng)絡(luò)設(shè)備安全，安全包括兩塊，一塊是數(shù)據(jù)安全，另一塊是網(wǎng)絡(luò)設(shè)備的安全，對(duì)于網(wǎng)絡(luò)設(shè)備安全主要防止設(shè)備被破壞，而數(shù)據(jù)安全則是防止人為攻擊或破壞。

（5）可維護(hù)和易擴(kuò)展。要求系統(tǒng)應(yīng)具有較好的可維護(hù)性，故障容易診斷，發(fā)現(xiàn)故障后，管理員也容易糾正錯(cuò)誤或排除故障。系統(tǒng)具有較好的可擴(kuò)展性，以方便后期升級(jí)操作，譬如后期擴(kuò)容、增加新的設(shè)備、系統(tǒng)升級(jí)、鏈路接口的升級(jí)等。

建設(shè)目標(biāo)：

（1）統(tǒng)一網(wǎng)絡(luò)平臺(tái)。依托我國(guó)電信部門(mén)，網(wǎng)絡(luò)需覆蓋學(xué)校行政人員和老師辦公室、實(shí)驗(yàn)室、教室三級(jí)機(jī)構(gòu)，同時(shí)在數(shù)據(jù)中心規(guī)劃與INTERNET安全互聯(lián)，滿(mǎn)足用戶(hù)的接入要求。

（2）統(tǒng)一校園協(xié)同辦公系統(tǒng)。建立統(tǒng)一校園辦公應(yīng)用平臺(tái)。

（3）統(tǒng)一數(shù)據(jù)中心。建設(shè)統(tǒng)一的系統(tǒng)支撐平臺(tái)，包括應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、存儲(chǔ)、備份等建設(shè)。

（4）統(tǒng)一網(wǎng)絡(luò)數(shù)據(jù)機(jī)房。依照機(jī)房建設(shè)標(biāo)準(zhǔn)，規(guī)劃校園網(wǎng)絡(luò)中心統(tǒng)一機(jī)房，實(shí)現(xiàn)供電、空調(diào)、消防管控等功能，統(tǒng)一提供設(shè)備存放所需的空調(diào)、不間斷電源等方面的物理環(huán)境，以及設(shè)備運(yùn)行所需安全環(huán)境等。

2 建設(shè)總體方案

整個(gè)網(wǎng)絡(luò)體系在邏輯上可劃分為6個(gè)區(qū)域，具體如下：一是核心交換區(qū)域：由兩臺(tái)支持MPLS VPN PE功能、并帶防火墻模塊的匯聚交換機(jī)構(gòu)成的核心交換區(qū)域。兩臺(tái)匯聚交換機(jī)之間通過(guò)兩條以上千兆線路互聯(lián)，提供接入單位的接入、VPN網(wǎng)關(guān)接入、互聯(lián)網(wǎng)出口設(shè)備接入、數(shù)據(jù)中心設(shè)備接入以及縱向網(wǎng)路由器的接入；二是數(shù)據(jù)中心區(qū)域：由兩臺(tái)支持MPLSVPN PE功能的核心交換機(jī)組成的數(shù)據(jù)中心區(qū)域，兩臺(tái)設(shè)備之間通過(guò)兩條千兆線路互聯(lián)，并上聯(lián)到上一級(jí)教育主管部門(mén)的匯聚交換機(jī)上，該區(qū)域主要提供應(yīng)用系統(tǒng)的接入；三是互聯(lián)網(wǎng)出口區(qū)域：由出口IPS（入侵防預(yù)系統(tǒng)）、防火墻構(gòu)成的互聯(lián)網(wǎng)出口區(qū)域；四是縱向網(wǎng)接入?yún)^(qū)域：由兩臺(tái)路由器（主備機(jī)各一臺(tái)）構(gòu)成的縱向網(wǎng)接入?yún)^(qū)域，主要用于縱向開(kāi)展MPLSVPN業(yè)務(wù)；五是VPDN（虛擬專(zhuān)用撥號(hào)網(wǎng)）接入?yún)^(qū)域：它是由校園網(wǎng)統(tǒng)一部署的VPN網(wǎng)關(guān)構(gòu)成的VPDN接入?yún)^(qū)域，該區(qū)域主要提供校園移動(dòng)辦公用戶(hù)以及部分處于實(shí)訓(xùn)基地用戶(hù)的遠(yuǎn)程接入；六是校園接入單位區(qū)域：由各級(jí)行政職能和教學(xué)機(jī)構(gòu)組成的接入單位區(qū)域?？傮w方案的直觀表示如圖1所示。整個(gè)設(shè)計(jì)方案有機(jī)統(tǒng)一，所承載的功能全面，各單元在邏輯上保持獨(dú)立，但它們相互之間又提供不透明的服務(wù)，多種交叉學(xué)科的技術(shù)和理論被融入網(wǎng)絡(luò)體系中，充分體現(xiàn)系統(tǒng)科學(xué)的特點(diǎn)。

圖1 網(wǎng)絡(luò)體系建設(shè)方案圖

3 邏輯設(shè)計(jì)

3.1 IP地址設(shè)計(jì)

IP地址劃分主要包括公有IP地址和私有IP地址劃分，學(xué)校通常會(huì)向當(dāng)?shù)仉娦挪块T(mén)申請(qǐng)或租用多個(gè)公網(wǎng)IP地址，公網(wǎng)IP地址分配指導(dǎo)原則：校園數(shù)據(jù)中心分配需分配1至2個(gè)C類(lèi)公有網(wǎng)段IP地址；行政辦公分配1至2個(gè)IP地址，教學(xué)部分分配2個(gè)以上C類(lèi)公有網(wǎng)段地址，預(yù)留若干個(gè)IP地址，根據(jù)實(shí)際情況及未來(lái)發(fā)展需要按需取用。私有IP地址分配辦法如下所述：校園數(shù)據(jù)中心需分配8個(gè)以上C類(lèi)私有網(wǎng)段，網(wǎng)管地址及VPDN（虛擬專(zhuān)用撥號(hào)網(wǎng)）接入用戶(hù)地址也從該網(wǎng)段中取用；行政部門(mén)分配10個(gè)及以上C類(lèi)私有網(wǎng)段，每個(gè)接入單位以2個(gè)IP地址為單位分配，原則不超過(guò)0.5個(gè)C類(lèi)（128個(gè)地址）私有網(wǎng)段；每幢教學(xué)大樓分配5及以上個(gè)C類(lèi)私有網(wǎng)段，需要私有IP地址的其它樓房接入單元在該網(wǎng)段內(nèi)按需取用；預(yù)留若干個(gè)C類(lèi)私有網(wǎng)段以備后續(xù)發(fā)展所需，以上只是IP地址設(shè)計(jì)的一個(gè)中小規(guī)模的院校網(wǎng)絡(luò)設(shè)計(jì)參考，具體設(shè)計(jì)還需要按照實(shí)際情況進(jìn)行規(guī)劃。

3.2 路由規(guī)劃設(shè)計(jì)

為了達(dá)到新時(shí)期校園網(wǎng)絡(luò)應(yīng)承載的功能，遵照系統(tǒng)科學(xué)方法，可把整個(gè)校園網(wǎng)絡(luò)在邏輯上劃分承載網(wǎng)絡(luò)、用戶(hù)網(wǎng)絡(luò)和校園網(wǎng)絡(luò)外網(wǎng)三個(gè)部分，其中：承載網(wǎng)絡(luò)，簡(jiǎn)稱(chēng)IGP，選擇OSPF路由協(xié)議，主要用于宣告各骨干設(shè)備的loopback地址、設(shè)備互連的鏈路地址；用戶(hù)網(wǎng)絡(luò)：簡(jiǎn)稱(chēng)BGP，選擇IBGP、MP-IBGP路由協(xié)議，其中IBGP用于宣告IPv4的用戶(hù)路由，MP-IBGP用于宣告VPNv4的用戶(hù)路由，這些用戶(hù)路由是域內(nèi)MPLSVPN用戶(hù)業(yè)務(wù)路由。校園外網(wǎng)：BGP，EBGP、MP-EBGP路由協(xié)議，其中EBGP用于宣告校園外網(wǎng)與主管部門(mén)的主干網(wǎng)之間的IPv4路由，這些路由是跨域的MPLSVPN用戶(hù)業(yè)務(wù)路由，路由規(guī)劃三層設(shè)計(jì)直觀表示如圖2所示。同時(shí)，路由規(guī)劃工作需涉及到路由協(xié)議（OSPF），OSPF作為一個(gè)層次化的路由協(xié)議，區(qū)域規(guī)劃是非常重要的，OSPF區(qū)域規(guī)劃主要根據(jù)設(shè)備的地理位置、各區(qū)域設(shè)備的數(shù)量、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、設(shè)備的負(fù)載情況等要素來(lái)合理規(guī)劃，OSPF的區(qū)域是以鏈路進(jìn)行劃分的，一臺(tái)設(shè)備可以歸屬于多個(gè)域，通常可把域設(shè)計(jì)為骨干域非骨干域兩種，骨干域又被稱(chēng)為Area 0，它負(fù)責(zé)全網(wǎng)進(jìn)行高速、穩(wěn)定的數(shù)據(jù)包轉(zhuǎn)發(fā)；非骨干域負(fù)責(zé)本域內(nèi)的路由，并與骨干域進(jìn)行路由交換，非骨干域的劃分主要依據(jù)設(shè)備所處的地址位置進(jìn)行劃分。

圖2 路由規(guī)劃三層設(shè)計(jì)圖

3.3 VLAN設(shè)計(jì)

根據(jù)各用戶(hù)接入業(yè)務(wù)（如專(zhuān)用網(wǎng)絡(luò)區(qū)、公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)）的不同，使用VLAN進(jìn)行邏輯劃分、VLAN ID作為接入的區(qū)分標(biāo)識(shí)；VLAN設(shè)計(jì)可采用兩種方式，一種是虛擬接口終結(jié)方式，接入層交換機(jī)網(wǎng)絡(luò)側(cè)為T(mén)runk、匯聚層交換機(jī)用戶(hù)側(cè)為T(mén)runk，匯聚交換機(jī)全局實(shí)現(xiàn)終結(jié)，虛擬接口終結(jié)方式要求VLAN ID具有全局唯一性，其管理方式靈活，操作簡(jiǎn)單，但是VLAN ID消耗、VLAN維護(hù)管理（二層環(huán)路等）方面有所不足。另外一種是子接口終結(jié)方式，接入層交換機(jī)網(wǎng)絡(luò)側(cè)為T(mén)runk、匯聚層交換機(jī)用戶(hù)側(cè)為子接口，匯聚交換機(jī)用戶(hù)側(cè)端口上實(shí)現(xiàn)終結(jié)，該方式中的匯聚交換機(jī)用戶(hù)側(cè)為三層接口（IP），不需要VLAN ID具有全局唯一性，能夠減少VLAN ID消耗，可避免二層環(huán)路。虛擬接口終結(jié)方式如圖3（a）所示，子接口終結(jié)方式如圖3（b）所示。由此可知，對(duì)學(xué)校網(wǎng)絡(luò)規(guī)模不大的情況盡可選用第一種方式，否則選用第二種方式。至VLAN Y，這里的X，Y為正整數(shù)，每個(gè)用戶(hù)可連續(xù)分配5個(gè)VLAN ID（每個(gè)用戶(hù)所分配的第一個(gè)VLAN同時(shí)作為網(wǎng)管VLAN），如果VLAN是采用虛擬接口終結(jié)方式，則需要VLAN具有全局唯一性（同一臺(tái)匯聚層交換機(jī)上VLAN ID不能重復(fù)）。每個(gè)用戶(hù)開(kāi)通3個(gè)業(yè)務(wù)接入，即為每個(gè)用戶(hù)分配3個(gè)VLAN ID，其余VLAN ID作為今后該用戶(hù)新業(yè)務(wù)接入使用。綜上所述，VLAN規(guī)劃如表1所示。表中前后部分的虛擬號(hào)都保留不給予分配，這樣的設(shè)計(jì)有利于新業(yè)務(wù)的接入分配。

圖3 （a）虛擬接口終結(jié)方式的邏輯設(shè)計(jì)

圖3 （b）子接口終結(jié)方式的邏輯設(shè)計(jì)

VLAN ID可使用的虛擬段號(hào)可設(shè)計(jì)為VLAN X

表1 VLAN規(guī)劃分配

結(jié) 論

以系統(tǒng)科學(xué)視角，根據(jù)新時(shí)期的學(xué)校對(duì)于網(wǎng)絡(luò)的需求，對(duì)校園網(wǎng)絡(luò)體系結(jié)構(gòu)的構(gòu)建進(jìn)行探索，文中提出的高等院校校園網(wǎng)絡(luò)體系結(jié)構(gòu)具有如下特征：

一是規(guī)劃協(xié)調(diào)統(tǒng)一，網(wǎng)絡(luò)標(biāo)準(zhǔn)規(guī)范，具有良好的可擴(kuò)展性，可實(shí)現(xiàn)校園數(shù)據(jù)高度共享，信息互連互通和完善的網(wǎng)絡(luò)安全與服務(wù)保障功能。

二是充分體現(xiàn)了系統(tǒng)科學(xué)的“整體性、動(dòng)態(tài)性、綜合性、最優(yōu)化、模型化”的原則，網(wǎng)絡(luò)體系結(jié)構(gòu)完整，綜合性強(qiáng)，對(duì)于當(dāng)代校園網(wǎng)絡(luò)建設(shè)具有較好的指導(dǎo)意義。

［1］符太東,張婉鸝,王吉.校園網(wǎng)網(wǎng)絡(luò)體系構(gòu)建的研究［J］.信息通信,2013（3）:67-69.

［2］楊延華.校園網(wǎng)絡(luò)構(gòu)建［J］.電子技術(shù)與軟件工程,2013,2（24）:30-31.

［3］吳洪斌.高校網(wǎng)絡(luò)安全存在的不足及應(yīng)對(duì)措施［J］.開(kāi)封教育學(xué)院學(xué)報(bào),2014,34（1）:96-98.

［4］董亮亮.高等職業(yè)院校的網(wǎng)絡(luò)建設(shè)研究［D］.南京:南京理工大學(xué),2012:10-16.

［5］黃永龍.利用VPN技術(shù)延伸學(xué)校網(wǎng)絡(luò)資源服務(wù)［J］.電子技術(shù)與軟件工程,2014,3（1）:46-48.

［6］葉立國(guó).國(guó)內(nèi)系統(tǒng)科學(xué)內(nèi)涵與理論體系綜述［J］.系統(tǒng)科學(xué)學(xué)報(bào),2013,21（4）:28-31.