劉顯達(dá)

（承德廣播電視大學(xué)，河北 承德 067000）

中小型校園網(wǎng)的優(yōu)化策略

劉顯達(dá)

（承德廣播電視大學(xué)，河北 承德 067000）

校園網(wǎng)是學(xué)校進(jìn)行管理和科研的重要信息平臺(tái)，經(jīng)過十多年的發(fā)展，由于種種原因，如建網(wǎng)時(shí)的資金限制，網(wǎng)絡(luò)擴(kuò)展等造成的網(wǎng)絡(luò)結(jié)構(gòu)不合理，設(shè)備使用不合理，從而導(dǎo)致網(wǎng)絡(luò)使用效率低，設(shè)備負(fù)擔(dān)不合理，網(wǎng)絡(luò)運(yùn)行不穩(wěn)定等現(xiàn)象，可以通過優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)得到改善，從而提高網(wǎng)絡(luò)資源的利用率。針對(duì)校園網(wǎng)存在的諸多問題，本文從兩個(gè)方面提出了中小型校園網(wǎng)的優(yōu)化策略。

網(wǎng)絡(luò)優(yōu)化；校園網(wǎng)優(yōu)化；優(yōu)化策略

校園網(wǎng)是在學(xué)校范圍內(nèi)，在一定的教育思想和理論指導(dǎo)下，為學(xué)校教學(xué)、科研和管理等教育提供資源共享、信息交流和協(xié)同工作的計(jì)算機(jī)網(wǎng)絡(luò)。網(wǎng)絡(luò)優(yōu)化工作是指對(duì)正式投入運(yùn)行的網(wǎng)絡(luò)進(jìn)行分析，找出影響網(wǎng)絡(luò)運(yùn)行質(zhì)量的原因并且通過采取某些技術(shù)手段，從而使網(wǎng)絡(luò)達(dá)到最佳運(yùn)行狀態(tài)，使現(xiàn)有資源獲得最佳效益，同時(shí)了解、研判網(wǎng)絡(luò)的發(fā)展趨勢(shì)，為進(jìn)一步的發(fā)展擴(kuò)容等提供技術(shù)依據(jù)和計(jì)劃建議。盡管在建設(shè)校園網(wǎng)初期經(jīng)過周密的考慮，但隨著時(shí)間的推移，原來規(guī)劃的校園網(wǎng)不可能永遠(yuǎn)滿足不斷發(fā)展變化的應(yīng)用和需求。因此，有必要對(duì)校園網(wǎng)進(jìn)行優(yōu)化，確保網(wǎng)絡(luò)按照需求滿足性能標(biāo)準(zhǔn)運(yùn)作。

1 建造一個(gè)高性能、高帶寬、穩(wěn)定可靠的校園網(wǎng)承載平臺(tái)

1.1 對(duì)網(wǎng)絡(luò)設(shè)備升級(jí)優(yōu)化

合理使用和配置原有的網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)設(shè)備中僅安裝必要的組件和保留必要的配置，去掉不必要的部分。對(duì)網(wǎng)絡(luò)設(shè)備的配置除一般網(wǎng)絡(luò)連通性配置外還應(yīng)考慮:增加網(wǎng)絡(luò)設(shè)備本身的訪問控制以提高安全性，例如關(guān)閉不必要的服務(wù)端口；增加針對(duì)網(wǎng)絡(luò)設(shè)備本身的遠(yuǎn)程管理配置包括WEB，TELNET，SNMP；增加針對(duì)網(wǎng)絡(luò)內(nèi)部流量的監(jiān)控配置包括MIRROR，SFLOW/NETFLOW等。另外根據(jù)用戶實(shí)際流量決定是否需要更新網(wǎng)絡(luò)設(shè)備，比如在接入層用交換機(jī)代替集線器，在匯聚層用三層交換機(jī)代替二層交換機(jī)。在充分利用校園網(wǎng)原有設(shè)備的前提下，應(yīng)通過更新軟件版本和增加擴(kuò)展模塊以支持新的應(yīng)用如IPV6的支持等。如果要購(gòu)買新設(shè)備，需考慮其可擴(kuò)展性，兼容性，安全性等因素。

1.2 優(yōu)化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

根據(jù)網(wǎng)絡(luò)設(shè)計(jì)的分層思想，目前校園網(wǎng)設(shè)計(jì)一般也采用三層網(wǎng)絡(luò)設(shè)計(jì)模型，分別為:核心層，匯聚層和接入層。以上三層有各自明確的功能定義，每層對(duì)網(wǎng)絡(luò)設(shè)備和鏈路都有不同的性能要求。在同一層中運(yùn)行的設(shè)備完成相似的任務(wù)。網(wǎng)絡(luò)中的各層可能包括路由器，交換機(jī)或者某種組合。核心層完成數(shù)據(jù)的高速轉(zhuǎn)發(fā)。匯聚層完成對(duì)數(shù)據(jù)包的處理，包括安全、QOS、訪問控制、以及有關(guān)的路由聚合、流量收斂（流量收斂的概念是說：可能有多路數(shù)據(jù)進(jìn)來，但他出去去往核心層的時(shí)候它只有一路數(shù)據(jù)）。接入層完成工作組的接入和訪問控制。針對(duì)三層結(jié)構(gòu)的不同功能，優(yōu)化的重點(diǎn)主要為保證核心層的高速，穩(wěn)定，可靠性;匯聚層的可擴(kuò)展性;接入層的可管理性。在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)優(yōu)化過程中應(yīng)根據(jù)學(xué)校的實(shí)際需求選擇合適的拓?fù)浣Y(jié)構(gòu):傳統(tǒng)布線拓?fù)錇闇p低線路成本較多采用節(jié)點(diǎn)匯聚的方式，而現(xiàn)在隨著介質(zhì)成本的降低，維護(hù)成本的增加，更多地考慮減少節(jié)點(diǎn)或者是減少有源節(jié)點(diǎn)的方式，將匯聚層直接設(shè)置在大樓內(nèi)部，從核心到匯聚都采用直接邏輯連接，不再設(shè)中間有源節(jié)點(diǎn)。這種方式尤其對(duì)對(duì)用戶較多，網(wǎng)絡(luò)應(yīng)用較多，路由協(xié)議復(fù)雜的大規(guī)模校園網(wǎng)比較適合。建議采用以高速路由交換機(jī)為核心，多層交換機(jī)作為匯聚層的網(wǎng)絡(luò)設(shè)計(jì);中小規(guī)模的校園網(wǎng)建議采用多層交換機(jī)為核心，可遠(yuǎn)程管理型交換機(jī)作為匯聚層的網(wǎng)絡(luò)設(shè)計(jì)。

1.1.1 核心層優(yōu)化策略

核心層的主要任務(wù)是負(fù)責(zé)流量運(yùn)送，為達(dá)到此目的，核心層的設(shè)計(jì)策略有：核心層的所有設(shè)備應(yīng)對(duì)萬維網(wǎng)中的每個(gè)目的地具備充分的可到達(dá)性，不要在網(wǎng)絡(luò)核心層執(zhí)行任何網(wǎng)絡(luò)策略。建議在每個(gè)校區(qū)設(shè)置一臺(tái)核心交換機(jī)。原來的核心設(shè)備，由于處理能力逐漸不能滿足核心設(shè)備的需求，建議下移到匯聚層，做匯聚設(shè)備。每個(gè)校區(qū)的核心交換機(jī)，通過校區(qū)間的單模光纖組成ZESR以太環(huán)網(wǎng)或全互連網(wǎng)狀連接，選擇一個(gè)校區(qū)的核心交換機(jī)作為主核心交換機(jī)，和出口路由器連接。

1.1.2 匯聚層優(yōu)化策略

匯聚層的主要作用是用戶把大量來自接入層的訪問路徑進(jìn)行匯聚和集中，并連接至核心層，同時(shí)在核心層和接入層之間提供協(xié)議轉(zhuǎn)換和帶寬管理。設(shè)計(jì)匯聚層有三個(gè)目標(biāo)：?隔離拓?fù)浣Y(jié)構(gòu)的變化；控制路由表的大小，在發(fā)布路由的時(shí)候做有關(guān)的路由聚合，提升路由的穩(wěn)定性；流量的收斂?，F(xiàn)有校園網(wǎng)絡(luò)主要依靠堆疊的方式來進(jìn)行匯聚。建議在信息點(diǎn)較少的樓宇，采用堆疊方式組網(wǎng)，結(jié)構(gòu)簡(jiǎn)單清晰。在信息點(diǎn)數(shù)量較大的學(xué)生宿舍，建議采用樓宇匯聚的方式，在每棟樓宇各有一個(gè)匯聚節(jié)點(diǎn)，匯聚節(jié)點(diǎn)上連核心交換機(jī)，各接入交換機(jī)通過ZESR以太環(huán)連接到匯聚交換機(jī)，同時(shí)通過百兆連接各信息點(diǎn)。

1.1.3 接入層優(yōu)化策略

接入層的主要功能是將廣域網(wǎng)的信息通過內(nèi)部的高速局域網(wǎng)接入?yún)R聚層。接入層的設(shè)計(jì)策略有：將流量引入網(wǎng)絡(luò)，需要注意的是接入層路由器所接受的連接數(shù)不要超出其與匯聚層之間所允許的鏈接數(shù)，在進(jìn)行接入層設(shè)計(jì)時(shí)，如果不是轉(zhuǎn)發(fā)到局域網(wǎng)外的主機(jī)流量就不要通過接入層的設(shè)備進(jìn)行轉(zhuǎn)發(fā)，同時(shí)，絕不可以將接入層的設(shè)備作為兩個(gè)匯聚層路由器之間的連接點(diǎn)。匯聚層路由器之間的連路通常是在需要高冗余度的網(wǎng)絡(luò)中使用。可以通過包過濾的方式來禁止掉不希望通過的包流量，執(zhí)行其他的邊緣功能：包括QOS、流量統(tǒng)計(jì)、基于策略的路由、關(guān)閉虛擬專網(wǎng)、關(guān)閉通道等。

1.1.4 合理劃分功能子網(wǎng)

校園網(wǎng)應(yīng)用極為豐富，相對(duì)來說，大致分為學(xué)生宿舍、辦公行政、教學(xué)科研、數(shù)字圖書館、一卡通、教工宿舍等不同類型的網(wǎng)絡(luò)，為了保證正常教學(xué)科研辦公的正常進(jìn)行，有必要對(duì)學(xué)校網(wǎng)絡(luò)進(jìn)行適當(dāng)?shù)墓δ軇澐?，分成不同的功能子網(wǎng)，在子網(wǎng)間訪問設(shè)置相應(yīng)的控制策略，從而保證各個(gè)功能子網(wǎng)的正常運(yùn)行。根據(jù)校園網(wǎng)規(guī)模的不同，可以采用不同的技術(shù)來劃分功能子網(wǎng)。小型校園網(wǎng)拓?fù)浜?jiǎn)潔，可以采用VLAN的方式來劃分；中型校園網(wǎng)存在數(shù)量不等的分校區(qū)，形成了一定規(guī)模的校園網(wǎng)骨干層，可以通過MPLSVPN技術(shù)來劃分不同的子網(wǎng)；大型校園網(wǎng)網(wǎng)絡(luò)規(guī)模龐大，分校區(qū)眾多，可以通過劃分物理子網(wǎng)和MPLSVPN相結(jié)合的方式來合理劃分功能子網(wǎng)。

1.1.5 校園網(wǎng)多出口優(yōu)化

校園網(wǎng)有Cernet和運(yùn)營(yíng)商出口，未來可能還有IPv6出口或者其他一個(gè)或多個(gè)ISP接入，為了分擔(dān)流量和提高訪問的響應(yīng)速度，可對(duì)校園網(wǎng)內(nèi)部訪問外部資源的流量進(jìn)行負(fù)載分流和相互備份，策略路由和負(fù)載均衡的工作，建議由專用出口路由設(shè)備擔(dān)任。安全部分采用防火墻+IPS的策略，將防火墻設(shè)置成透明模式來對(duì)出口進(jìn)行防火墻功能，同時(shí)啟用IPS偵測(cè)網(wǎng)絡(luò)非法操作?？稍诜阑饓蚵酚善魃蠁⒂肗AT以實(shí)現(xiàn)教育網(wǎng)IP地址訪問公眾網(wǎng)資源時(shí)的地址轉(zhuǎn)換?？紤]到有校外訪問校內(nèi)服務(wù)器的需求，因此，可以在出口部分，設(shè)置獨(dú)立的DMZ區(qū)域。DMZ區(qū)域的出口和入口，均通過防火墻進(jìn)行隔離，從而有效阻止了校外非法訪問對(duì)校園內(nèi)服務(wù)器的破壞的危險(xiǎn)。網(wǎng)絡(luò)優(yōu)化時(shí)推薦采用支持IPv4/IPv6雙棧路由協(xié)議的路由器做為出口路由器，該路由器可以實(shí)現(xiàn)策略路由、負(fù)載均衡、NAT、IPv6骨干網(wǎng)接入等功能。

2 構(gòu)建強(qiáng)有力的網(wǎng)絡(luò)管理與控制系統(tǒng)

有了一個(gè)高性能的網(wǎng)絡(luò)平臺(tái)，還要有強(qiáng)有力的網(wǎng)絡(luò)管理與控制系統(tǒng)，來控制網(wǎng)絡(luò)中非法操作與垃圾信息泛濫的情況

2.1 ZTE實(shí)名認(rèn)證策略

ZTE實(shí)名認(rèn)證策略是以ZXISAM用戶認(rèn)證管理系統(tǒng)為基礎(chǔ)，配合承載網(wǎng)中的網(wǎng)絡(luò)認(rèn)證設(shè)備實(shí)現(xiàn)的，包括用戶接入認(rèn)證、用戶定位、用戶信息復(fù)合綁定、防代理私接、DHCP策略服務(wù)等這些功能模塊都是為了保證合法用戶的安全接入，防止非法用戶進(jìn)入網(wǎng)絡(luò)。還包括用戶終端管理功能是指用戶終端軟硬件資產(chǎn)管理、終端系統(tǒng)補(bǔ)丁管理、終端用戶行為控制以及文件策略管理。通過用戶終端管理功能，可以有效保證資產(chǎn)清晰、補(bǔ)丁完整、行為可控、文件安全。

2.2 網(wǎng)絡(luò)管理策略

網(wǎng)絡(luò)管理系統(tǒng)是校園網(wǎng)絡(luò)中非常重要的一部分，通過一套功能完善的網(wǎng)管系統(tǒng)，可以有效地對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行配置、監(jiān)控、定位故障、部署安全策略等，達(dá)到使整個(gè)網(wǎng)絡(luò)成為一個(gè)可管理、高性能、高可用性的系統(tǒng)。

2.2.1 訪問控制列表 （Access Control List，ACL）是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。完善的ACL，提供基于VLA以太網(wǎng)類型、用戶MAC、IP地址、應(yīng)用以及端口的安全控制功能，支持基于時(shí)間的ACL功能。

2.2.2 支持PVLA·UpLinkPort的端口隔離方式，隔離用戶之間的直接訪問。

2.2.3 支 持 DHCPSnooping/Relay、DynamicARPInspectio功能，防止用戶私接DHCPServer，防止IP地址沖突、IP地址盜用。

2.2.4 設(shè)備具備抗病毒能力，防攻擊能力例如DOS/DDOS攻擊、端口掃描、源路由攻擊、IP碎片攻擊、DNS/ICMP/RIP/SY·攻擊等。

2.2.5 支持安全聯(lián)動(dòng)功能，支持動(dòng)態(tài)策略下發(fā)、支持IDS聯(lián)動(dòng)功能、支持IDS日志，保護(hù)全網(wǎng)的安全。配置硬件防火墻與IDS，保障內(nèi)網(wǎng)的安全。

2.2.6 具備完善的日志功能，支持向日志服務(wù)器導(dǎo)出，具備日志冗余功能。

綜上所述，網(wǎng)絡(luò)優(yōu)化設(shè)計(jì)時(shí)有必要進(jìn)行多方面的考察，技術(shù)和設(shè)備選型不僅要考慮滿足當(dāng)前需要，還要考慮未來校園網(wǎng)絡(luò)發(fā)展和應(yīng)用變化，同時(shí)更要考慮自身的實(shí)際需求。優(yōu)化設(shè)計(jì)盡量采用成熟的主流技術(shù)，做到適當(dāng)超前即可，選擇具有開放性標(biāo)準(zhǔn)的產(chǎn)品與技術(shù)。要對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行綜合分析，合理配置資源，以最小的投入獲得最佳的網(wǎng)絡(luò)性能。網(wǎng)絡(luò)是一個(gè)系統(tǒng)，要考慮網(wǎng)絡(luò)的各種資源配置，使其互相匹配，避免顧此失彼的情況出現(xiàn)，因此需要制定完備的優(yōu)化計(jì)劃。

TP393

A

1005-1554（2010）02-0027-02

2010-02-20

劉顯達(dá)（1972-），男，河北承德人,承德廣播電視大學(xué)網(wǎng)控中心講師。