基于攀枝花學(xué)院的校園網(wǎng)設(shè)計(jì)方案分析與研究

1、 基于攀枝花學(xué)院的校園網(wǎng)設(shè)計(jì)方案分析與研究 劉彬Summary：高校信息化建設(shè)水平的高低直接影響著高校的教學(xué)水平和管理水平。校園網(wǎng)作為高校信息化建設(shè)的基礎(chǔ)保障，在整個(gè)高校的信息化建設(shè)中占有十分重要的作用。確保校園網(wǎng)能提供穩(wěn)定、可靠、安全、流暢的網(wǎng)絡(luò)服務(wù)是每個(gè)校園網(wǎng)的網(wǎng)絡(luò)工程師所努力追求的目標(biāo)。該文以攀枝花學(xué)院為背景，分析當(dāng)今高校的校園網(wǎng)建設(shè)過(guò)程中存在的問(wèn)題，并提出一種高校校園網(wǎng)的設(shè)計(jì)方案。Key：高校校園網(wǎng)；設(shè)計(jì)方案：TP393 ：A ：1009-3044（2016）28-0044-021 高校校園網(wǎng)概況隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，信息化建設(shè)已經(jīng)越來(lái)越受到高校的重視，很多高校花費(fèi)大量的人力財(cái)力去

2、投資校園網(wǎng)建設(shè)。高校的校園網(wǎng)不同于其他類(lèi)型的網(wǎng)絡(luò)，它不僅僅包括Cernet，還包括中國(guó)電信、中國(guó)移動(dòng)、中國(guó)聯(lián)通等其他ISP網(wǎng)絡(luò)服務(wù)提供商。近年來(lái)，高校規(guī)模的日益擴(kuò)大，學(xué)校的平均人數(shù)在1萬(wàn)人以上，導(dǎo)致校園網(wǎng)用戶(hù)數(shù)的急劇增加且在某些時(shí)間點(diǎn)網(wǎng)絡(luò)流量巨大。如何盡可能保障全校師生能使用穩(wěn)定、可靠、安全的網(wǎng)絡(luò)是網(wǎng)絡(luò)設(shè)計(jì)、維護(hù)人員所要思考的問(wèn)題。通過(guò)查閱資料、走訪等調(diào)研方式，我們總結(jié)出了高校校園網(wǎng)運(yùn)行中存在的主要問(wèn)題。1.1 校園網(wǎng)普遍無(wú)法有效應(yīng)對(duì)網(wǎng)絡(luò)流量高峰期。高校的生均人數(shù)在1萬(wàn)人以上，網(wǎng)絡(luò)用戶(hù)數(shù)的大幅度增加和網(wǎng)絡(luò)應(yīng)用的特殊性使得高校校園網(wǎng)普遍會(huì)面對(duì)三個(gè)高峰期的挑戰(zhàn)。一是每天晚上的7點(diǎn)到11點(diǎn)，這是師生

3、使用網(wǎng)絡(luò)最為頻繁的時(shí)段，加之各種P2P服務(wù)使得網(wǎng)絡(luò)流量在該時(shí)段暴漲。二是每學(xué)期的學(xué)生選課時(shí)段。幾千人同時(shí)在線訪問(wèn)服務(wù)器，網(wǎng)絡(luò)流量集中在某個(gè)服務(wù)點(diǎn)使得某個(gè)網(wǎng)段的流量急劇增加導(dǎo)致服務(wù)癱瘓。三是慕課學(xué)習(xí)時(shí)段。上千的學(xué)生同時(shí)使用慕課視頻資源，占用大量帶寬資源。1.2 校園網(wǎng)安全問(wèn)題。校園網(wǎng)的安全問(wèn)題主要來(lái)自以下幾個(gè)方面，一是計(jì)算機(jī)病毒。從計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)以來(lái)，計(jì)算機(jī)病毒就是危害客戶(hù)數(shù)據(jù)安全最主要的方式之一；二是用戶(hù)缺乏安全意識(shí)。很多學(xué)生為了容易識(shí)記密碼，把很多重要的密碼設(shè)置為短小的純數(shù)字或者比較簡(jiǎn)單的字母，這直接導(dǎo)致個(gè)人的隱私數(shù)據(jù)暴露在網(wǎng)絡(luò)中。2 方案設(shè)計(jì)與分析攀枝花學(xué)院校內(nèi)包括學(xué)生宿舍、學(xué)生實(shí)驗(yàn)中心、

4、家屬區(qū)、辦公樓、教學(xué)樓等網(wǎng)絡(luò)信心點(diǎn)集中地37處。其中又以學(xué)生宿舍、學(xué)生實(shí)驗(yàn)中心、家屬區(qū)的網(wǎng)絡(luò)信息點(diǎn)用戶(hù)數(shù)居多，數(shù)據(jù)流量大。校內(nèi)的各個(gè)信息點(diǎn)流量信息統(tǒng)計(jì)信息如表1所示：校園網(wǎng)絡(luò)用戶(hù)消耗流量最多且最常用的流量是視頻流量。一般每個(gè)節(jié)點(diǎn)的視頻流量為2M。在上萬(wàn)個(gè)信息點(diǎn)中，考慮到不是所有信息點(diǎn)都會(huì)同時(shí)上網(wǎng)，那么按照同時(shí)使用率30%來(lái)計(jì)算：20000*2*30%=12000M那么學(xué)校的出口帶寬就應(yīng)設(shè)置為至少1.2G，才能夠滿足整個(gè)學(xué)校的網(wǎng)絡(luò)服務(wù)。即在核心層之間和核心層與外網(wǎng)之間的鏈路應(yīng)達(dá)到萬(wàn)兆的傳輸速率，而在匯聚層，鏈路的傳輸速率則應(yīng)該達(dá)到千兆。接入層之間達(dá)到百兆。假設(shè)最大滿負(fù)荷時(shí)，所有用戶(hù)都是100Mb

5、ps的桌面速率，用戶(hù)的同時(shí)使用率為30%，以80%的線速利用率且為全交換方式運(yùn)行，信息訪問(wèn)模式為多點(diǎn)訪問(wèn)一點(diǎn)（如分析測(cè)試中心）。按這種最?lèi)毫拥耐话l(fā)情況計(jì)算最大信息流量為：20000*30%*100*80%=480Gbps面對(duì)如此巨大的信息流量，網(wǎng)絡(luò)中實(shí)現(xiàn)冗余備份鏈路和負(fù)載均衡顯得尤為重要。網(wǎng)絡(luò)安全方面，校園網(wǎng)絡(luò)安全是網(wǎng)絡(luò)方案設(shè)計(jì)和后期維護(hù)工作中的重點(diǎn)和核心內(nèi)容之一。在松散的大型校園網(wǎng)中，我們不能僅靠主機(jī)安全保護(hù)，應(yīng)該力求讓攻擊者非法訪問(wèn)的數(shù)據(jù)包在到達(dá)主機(jī)之前就應(yīng)被網(wǎng)絡(luò)丟棄。因此，我們?cè)谠O(shè)計(jì)校園網(wǎng)方案時(shí)，可以考慮將分布在教學(xué)、財(cái)務(wù)、人事管理等部門(mén)的系統(tǒng)應(yīng)用服務(wù)器劃成一個(gè)虛擬子網(wǎng)，并根據(jù)具體的應(yīng)用

6、環(huán)境，通過(guò)端口隔離、路由過(guò)濾、防DDoS拒絕服務(wù)攻擊、防IP掃描、系統(tǒng)安全機(jī)制、多種數(shù)據(jù)訪問(wèn)權(quán)限控制等方式組織非法訪問(wèn)服務(wù)。如果有些工作站要直接訪問(wèn)校外網(wǎng)絡(luò)，可將它劃入某一VLAN并賦予VLAN不同對(duì)外訪問(wèn)權(quán)限，例如只能訪問(wèn)Cernet、禁止校外用戶(hù)下載資源等?？衫玫降募夹g(shù)包括ospf路由協(xié)議的安全認(rèn)證、ACL訪問(wèn)控制列表、Vlan技術(shù)以及硬件防火墻技術(shù)。根據(jù)以上分析，結(jié)合攀枝花學(xué)院的實(shí)際情況，以“經(jīng)濟(jì)性、實(shí)用性、網(wǎng)絡(luò)易于擴(kuò)展”為準(zhǔn)則，我們提出如下圖所示的校園本部網(wǎng)絡(luò)綜合拓?fù)鋱D：該設(shè)計(jì)思路還是采用目前校園網(wǎng)流行的三層結(jié)構(gòu)設(shè)計(jì)，用防火墻和ACL、VLAN技術(shù)等實(shí)現(xiàn)網(wǎng)絡(luò)安全，在網(wǎng)絡(luò)設(shè)備上，我們以

7、H3C公司的網(wǎng)絡(luò)設(shè)備為參照。2.1 核心層該層為校園網(wǎng)的最外層。它是整個(gè)網(wǎng)絡(luò)的樞紐中心，承載著校園內(nèi)向外通信的所有數(shù)據(jù)信息。我們應(yīng)該保證它的高可靠性、高效性、冗余性、容錯(cuò)性、可管理性、適應(yīng)性、低延時(shí)性等。核心層交換機(jī)主要需考慮帶寬以及包轉(zhuǎn)發(fā)能力，所以，該層的設(shè)備應(yīng)采用高帶寬的網(wǎng)絡(luò)設(shè)備，且這一層不應(yīng)該對(duì)數(shù)據(jù)包/幀進(jìn)行任何的處理。綜合各方面因素，核心層路由器根據(jù)單位預(yù)算不同可選用H3C MSR 5600系列或 H3C SR6600系列路由器。2.2 匯聚層匯聚層介于核心層和接入層中間。它的作用是控制進(jìn)入核心層的數(shù)據(jù)流量，其功能包括定義ACL安全策略、VLAN間的路由選擇、地址或區(qū)域匯聚等，目的是減

8、輕核心層設(shè)備的負(fù)擔(dān)，對(duì)數(shù)據(jù)包/幀的處理應(yīng)該在這一層完成?？紤]到學(xué)信息點(diǎn)多且分散，所以根據(jù)信息節(jié)點(diǎn)數(shù)量，將這些信息點(diǎn)劃為三個(gè)部分，每個(gè)部分有兩臺(tái)三層交換機(jī)，向上連接核心交換機(jī)，向下連接匯聚層的二層交換機(jī)，各個(gè)樓宇中的二層交換機(jī)和三層交換機(jī)必須具有VLAN功能，以實(shí)現(xiàn)隔離廣播和分段的目的。匯聚層的三層交換機(jī)和每個(gè)樓宇的二層交換機(jī)均使用兩臺(tái)（上述拓?fù)渲校瑯怯钪械亩咏粨Q機(jī)未標(biāo)識(shí)為兩臺(tái)）。三層交換機(jī)分別與核心層的兩臺(tái)交換機(jī)相連，二層交換機(jī)分別與匯聚層的兩臺(tái)三層交換機(jī)相連（見(jiàn)圖2），以實(shí)現(xiàn)冗余鏈路和負(fù)載均衡。另外，還可在三層交換機(jī)或二層交換機(jī)之間配置鏈路聚合。以增加鏈路帶寬，提高傳輸速率。在網(wǎng)絡(luò)設(shè)備上，

9、我們可選用H3C的E500系列交換機(jī)。2.3 接入層接入層是終端用戶(hù)（教職員工、學(xué)生）與網(wǎng)絡(luò)之間的接口，要具有即插即用性且易于使用和維護(hù)。同時(shí)，該層還要負(fù)責(zé)一些用戶(hù)管理功能（例如地址認(rèn)證、用戶(hù)認(rèn)證、計(jì)費(fèi)管理等），以及用戶(hù)信息收集工作（如用戶(hù)的IP地址、MAC地址、訪問(wèn)日志等）。選用接入層交換機(jī)，原則是低成本和高端口密度特性?？蛇x用性?xún)r(jià)比高的設(shè)備。我們?nèi)匀徊捎秒p機(jī)冗余備份鏈接的策略，以圖書(shū)館為例，接入層與匯聚層的連接見(jiàn)下圖2所示：3 結(jié)束語(yǔ)高校信息化建設(shè)是高校學(xué)分制的重要基礎(chǔ)保障，其性能、安全直接決定著學(xué)校后期的信息化建設(shè)水平。我們?cè)谥贫ㄐ@網(wǎng)設(shè)計(jì)方案時(shí)，切忌盲目照搬別人的組網(wǎng)方案，一定要將可擴(kuò)展性和經(jīng)濟(jì)可行性結(jié)合起來(lái)?？紤]的因素應(yīng)該包括資金預(yù)算、信息點(diǎn)分布、流量大小、網(wǎng)絡(luò)可擴(kuò)展性、網(wǎng)絡(luò)安全性、網(wǎng)絡(luò)設(shè)備廠商