文/冉靜學(xué) 馬傳連 肖波

構(gòu)建多網(wǎng)共存的新型校園網(wǎng)

文/冉靜學(xué) 馬傳連 肖波

為了適應(yīng)社會(huì)信息化發(fā)展的需要，中央民族大學(xué)于2000年開始建設(shè)校園網(wǎng)絡(luò)。學(xué)校按照“整體規(guī)劃、分步實(shí)施”的建設(shè)思路，本著“突出應(yīng)用、提高效益”的建設(shè)目標(biāo)，經(jīng)過10年的建設(shè)和發(fā)展，目前已經(jīng)建成了一個(gè)集有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)和下一代互聯(lián)網(wǎng)多類網(wǎng)絡(luò)共存的高速、穩(wěn)定、安全的綜合性網(wǎng)絡(luò)。為了滿足日益增長的教學(xué)、科研以及學(xué)生上網(wǎng)的需求，學(xué)校網(wǎng)絡(luò)不斷在傳輸速率、可靠性、兼容性以及可擴(kuò)展性等方面進(jìn)行完善，現(xiàn)有的校園網(wǎng)絡(luò)已經(jīng)基本上能夠滿足學(xué)校發(fā)展的需求，校園網(wǎng)在學(xué)校的教育教學(xué)、科研管理以及文化生活等方面發(fā)揮了重要作用。

部署基礎(chǔ)校園網(wǎng)

學(xué)校現(xiàn)有的IPv4網(wǎng)絡(luò)采用雙核心、三層星型網(wǎng)絡(luò)架構(gòu)，網(wǎng)絡(luò)交換設(shè)備主要包括4臺(tái)華為S85系列核心交換機(jī)、4臺(tái)S75系列70多臺(tái)樓宇匯聚交換設(shè)備和近700多臺(tái)接入交換設(shè)備組成，核心之間以及核心與匯聚之間用通信光纜連接。截止到2010年底，學(xué)校共鋪設(shè)光纜30多公里，連接信息點(diǎn)15000多個(gè)，全校校園網(wǎng)接入計(jì)算機(jī)達(dá)2萬多臺(tái)，其拓?fù)鋱D如圖1所示。2009年，借助教育部IPv6項(xiàng)目改造的東風(fēng)，學(xué)校校園網(wǎng)絡(luò)基礎(chǔ)又得到了很大的提升?，F(xiàn)有的IPv4網(wǎng)絡(luò)為全校數(shù)字化校園提供網(wǎng)絡(luò)鏈路基礎(chǔ)，保證各項(xiàng)網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)的高速交換。

為了更加方便地管理學(xué)校校園網(wǎng)絡(luò)，學(xué)校在校園網(wǎng)最初規(guī)劃時(shí)就將學(xué)校辦公區(qū)上網(wǎng)和學(xué)生宿舍生活上網(wǎng)區(qū)分開來。為了預(yù)防網(wǎng)絡(luò)病毒以及突發(fā)超大流量對(duì)網(wǎng)絡(luò)的影響，學(xué)校盡量把網(wǎng)絡(luò)細(xì)分為包含用戶數(shù)更少的虛擬VLAN網(wǎng)絡(luò)，當(dāng)發(fā)生網(wǎng)絡(luò)病毒傳播的事件時(shí)，不至于產(chǎn)生太大的影響，例如，ARP網(wǎng)絡(luò)病毒在爆發(fā)時(shí)會(huì)產(chǎn)生大量的ARP病毒包，會(huì)影響子網(wǎng)內(nèi)所有網(wǎng)絡(luò)用戶的應(yīng)用，甚至?xí)氯w網(wǎng)絡(luò)，因此盡量減少影響范圍是十分必要的。同時(shí)，在2009年進(jìn)行的網(wǎng)絡(luò)升級(jí)改造過程中，我們?yōu)榱嗽谟脩舳丝谝种艫RP廣播報(bào)的發(fā)送量，在接入交換機(jī)的每個(gè)端口加入如下配置：

通過在接入交換機(jī)的端口中加入上面的配置命令，中央民族大學(xué)校園網(wǎng)基本沒有再出現(xiàn)由于ARP病毒的泛濫而阻塞網(wǎng)絡(luò)的現(xiàn)象。

無線網(wǎng)絡(luò)全面覆蓋

隨著網(wǎng)絡(luò)應(yīng)用的快速發(fā)展，學(xué)校教職工以及學(xué)生要求隨時(shí)隨地通過局域網(wǎng)、教育科研網(wǎng)以及互聯(lián)網(wǎng)獲得需要的信息，為自己的學(xué)習(xí)、工作和生活服務(wù)。這就要求學(xué)校部署無線網(wǎng)絡(luò)，在學(xué)校操場(chǎng)、宿舍、教室等校內(nèi)位置，通過移動(dòng)終端接入校園網(wǎng)，共享學(xué)校網(wǎng)絡(luò)資源以及其他各類網(wǎng)絡(luò)信息。

中央民族大學(xué)無線網(wǎng)絡(luò)于2003年在圖書館開始部署，截止2010年，學(xué)校網(wǎng)絡(luò)中心已經(jīng)完成對(duì)全校室外無線網(wǎng)絡(luò)的部署，并且在圖書館、辦公樓、教室以及部分學(xué)生宿舍部署無線網(wǎng)絡(luò)，充分彌補(bǔ)有線網(wǎng)絡(luò)信息點(diǎn)不足的狀況。

校內(nèi)無線網(wǎng)絡(luò)采用無線網(wǎng)狀網(wǎng)（Mesh），室外無線設(shè)備部署在每個(gè)樓宇的頂層，例如博物館、理科樓、中慧樓、北智樓等樓頂在不同的方向都部署無線射頻設(shè)備，室內(nèi)無線AP部署于樓道天花板上，這樣全校所有AWP組成一個(gè)類似漁網(wǎng)的結(jié)構(gòu)，任意兩個(gè)無線AWP之間都有許多可選路徑，然后與有線設(shè)備相連，網(wǎng)絡(luò)把用戶數(shù)據(jù)以無線方式（WDS鏈路）傳輸?shù)接芯€網(wǎng)，大幅度減少對(duì)有線網(wǎng)絡(luò)的依賴，提高網(wǎng)絡(luò)系統(tǒng)的可靠性。無線終端選擇信號(hào)最強(qiáng)的AWP，而AWP選擇最佳的路徑發(fā)送數(shù)據(jù)，根據(jù)節(jié)點(diǎn)的變化自動(dòng)調(diào)整網(wǎng)絡(luò)拓?fù)浼奥酚?。學(xué)校無線網(wǎng)采用無線網(wǎng)狀網(wǎng)設(shè)備支持多個(gè)射頻模塊，這樣可以實(shí)現(xiàn)一臺(tái)設(shè)備建立更多的無線鏈路以及更高的無線鏈路帶寬，也增加了網(wǎng)絡(luò)系統(tǒng)的可靠性和無線系統(tǒng)容量。同時(shí)，每個(gè)射頻模塊都支持802.11a/b/g/n標(biāo)準(zhǔn)，提供了更大的兼容性。無線系統(tǒng)支持IPv6技術(shù)，滿足學(xué)校教職工和學(xué)生獲取下一代互聯(lián)網(wǎng)資源的需求。無線網(wǎng)絡(luò)部分部署如圖2所示。

接入下一代IPv6互聯(lián)網(wǎng)絡(luò)

隨著IPv4資源的不斷枯竭以及IPv6技術(shù)的成熟，我校校園網(wǎng)已經(jīng)建立安全、可控、可管理和可運(yùn)營的下一代校園網(wǎng)試商用環(huán)境，實(shí)現(xiàn)校園網(wǎng)用戶的IPv6普遍訪問和校園網(wǎng)信息資源的IPv6普遍服務(wù)。同時(shí)，全校師生應(yīng)用下一代互聯(lián)網(wǎng)進(jìn)行網(wǎng)絡(luò)資源下載已經(jīng)十分普遍，學(xué)校校園網(wǎng)的網(wǎng)絡(luò)速度以及校內(nèi)和校外的網(wǎng)絡(luò)資源已經(jīng)得到認(rèn)可，IPv6專線的網(wǎng)絡(luò)流量一直處于高位，如圖3。

學(xué)校采用IPv6互聯(lián)網(wǎng)絡(luò)應(yīng)用雙協(xié)議棧技術(shù)，在設(shè)備上同時(shí)運(yùn)行IPv4和IPv6協(xié)議棧，使得設(shè)備能夠處理兩種類型的協(xié)議，主機(jī)根據(jù)目的IP地址來決定是采用IPv4還是IPv6協(xié)議來發(fā)送或接收數(shù)據(jù)包。中央民族大學(xué)校園網(wǎng)絡(luò)中的所有網(wǎng)絡(luò)設(shè)備均支持IPv6協(xié)議和OSPFv3路由協(xié)議，所以在本次網(wǎng)絡(luò)規(guī)劃中，學(xué)校使用OSPFv3路由協(xié)議實(shí)現(xiàn)全網(wǎng)的互聯(lián)互通，OSPFv3的協(xié)議部署如圖1。同時(shí)，學(xué)校在2011年初完成了對(duì)現(xiàn)有的H3C接入設(shè)備內(nèi)核升級(jí)，IPv6應(yīng)用SLAAC-only地址分配方式，在這種IPv6地址分配方式下只允許已綁定SLAAC方式分配的地址發(fā)送的數(shù)據(jù)報(bào)文和DAD NS報(bào)文通過，丟棄DHCP報(bào)文。

同時(shí)，學(xué)校網(wǎng)絡(luò)中心機(jī)房應(yīng)用IPv6構(gòu)建學(xué)校的IPv6主頁網(wǎng)站、IPv6 DNS、IPv6辦公網(wǎng)站以及其他資源。IPv6基礎(chǔ)架構(gòu)的構(gòu)建為下一代互聯(lián)網(wǎng)的商用提供堅(jiān)實(shí)的物理層基礎(chǔ)。

學(xué)校校園網(wǎng)絡(luò)是為學(xué)校的教學(xué)科研以及學(xué)生的文化生活服務(wù)的，為了提高效率，現(xiàn)有的高校招生工作基本都在遠(yuǎn)程網(wǎng)絡(luò)上進(jìn)行。因此，學(xué)校校園網(wǎng)絡(luò)的穩(wěn)定性、安全性及連通性至關(guān)重要。學(xué)校通過技術(shù)手段，實(shí)現(xiàn)統(tǒng)一、集中、實(shí)時(shí)的管理網(wǎng)絡(luò)設(shè)備及終端用戶，努力提高網(wǎng)絡(luò)管理人員的工作效率以及網(wǎng)絡(luò)的穩(wěn)定性。

負(fù)載均衡實(shí)現(xiàn)多鏈路接入

為了實(shí)現(xiàn)校園網(wǎng)絡(luò)的穩(wěn)定性，在出現(xiàn)外部故障的情況下不影響學(xué)校正常的教學(xué)秩序以及招生工作，學(xué)校網(wǎng)絡(luò)管理中心通過負(fù)載均衡技術(shù)連接到三個(gè)提供網(wǎng)絡(luò)寬帶的運(yùn)營商（見圖4），其中中國電信提供350M的網(wǎng)絡(luò)帶寬，北京電信通公司提供200M的網(wǎng)絡(luò)帶寬，中國教育科研網(wǎng)提供200M的網(wǎng)絡(luò)帶寬，一旦有一條鏈或兩條鏈路外部出現(xiàn)故障，也有其他一條鏈路可用，不會(huì)出現(xiàn)學(xué)校整體斷網(wǎng)的情況，保證學(xué)?；A(chǔ)工作的正常開展以及學(xué)校招生工作的有序進(jìn)行。

多鏈路接入到中央民族大學(xué)校園網(wǎng)絡(luò)中的三條鏈路有兩條鏈路通過光纖分別接入到AscenLink 負(fù)載均衡器的光口上，另外教育科研網(wǎng)通過光纖轉(zhuǎn)換器連接到AscenLink 負(fù)載均衡器的某一個(gè)電口上。通過多模光纖連接負(fù)載均衡與網(wǎng)絡(luò)流控管理設(shè)備，加強(qiáng)對(duì)流控策略管理，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)用戶的流量管理。

AscenLink 智能型帶寬整合管理器通過監(jiān)控每條鏈路的具體運(yùn)行情況以及鏈路的每項(xiàng)參數(shù)指標(biāo)值，按照綜合選路的指標(biāo)比例，綜合計(jì)算鏈路的剩余帶寬以及鏈路的反應(yīng)時(shí)間等指標(biāo)，決定網(wǎng)絡(luò)用戶應(yīng)該通過哪條鏈路訪問互聯(lián)網(wǎng)，實(shí)現(xiàn)了自動(dòng)選路功能，提高網(wǎng)絡(luò)的訪問速度。AscenLink 負(fù)載均衡器通過IP群組設(shè)置，實(shí)現(xiàn)外網(wǎng)能夠訪問到校園網(wǎng)內(nèi)部服務(wù)器，但限制對(duì)其他內(nèi)部資源的訪問，實(shí)現(xiàn)路由器訪問控制列表的功能，增加網(wǎng)絡(luò)的安全性能。通過部署AscenLink日志服務(wù)器，系統(tǒng)可以記錄有關(guān)鏈路以及AscenLink的運(yùn)行日志，出現(xiàn)短信報(bào)警后，通過查詢?nèi)罩痉?wù)器得到事件的發(fā)生時(shí)間、現(xiàn)象等重要資料。由于AscenLink支持A 記錄、CName、MX記錄等解析功能，因此應(yīng)用AscenLink設(shè)備代替網(wǎng)絡(luò)內(nèi)部的DNS服務(wù)，提高DNS對(duì)互聯(lián)網(wǎng)網(wǎng)站的解析速度，使得網(wǎng)絡(luò)用戶打開互聯(lián)網(wǎng)網(wǎng)站速度更快。

為了避免不必要的帶寬浪費(fèi)，避免由于迅雷等其他下載工具占據(jù)大量帶寬影響正常的學(xué)校辦公、學(xué)習(xí)用網(wǎng)，學(xué)校網(wǎng)絡(luò)中心機(jī)房應(yīng)用NetMizer流控管理系統(tǒng)，增加流量管理策略，在不同的時(shí)間段，分別對(duì)學(xué)生和教師應(yīng)用互聯(lián)網(wǎng)的P2P、HTTP、視頻通道以及每一個(gè)終端用戶分配不同的最大網(wǎng)絡(luò)帶寬，并且對(duì)網(wǎng)絡(luò)運(yùn)行情況進(jìn)行長時(shí)間觀察，在觀察過程中根據(jù)不同的觀察結(jié)果及時(shí)地調(diào)整帶寬分配策略，實(shí)現(xiàn)流暢穩(wěn)定的網(wǎng)絡(luò)環(huán)境。在NetMizer流控管理系統(tǒng)管理界面中可以實(shí)時(shí)地觀察到每個(gè)帶寬分配的實(shí)際流量，通過在中心機(jī)房部署流量日志服務(wù)器，更加便于觀察、查詢。NetMizer流控管理系統(tǒng)一周流量如圖5所示。

網(wǎng)絡(luò)管理系統(tǒng)實(shí)現(xiàn)輕松管理網(wǎng)絡(luò)

在現(xiàn)有的高校體制下，由于一些高校信息化發(fā)展起步比較晚，對(duì)校園網(wǎng)絡(luò)發(fā)展存在很大的誤區(qū)，認(rèn)為“有之即可，太高端沒必要”，導(dǎo)致校園網(wǎng)絡(luò)實(shí)際維護(hù)人員嚴(yán)重不足，有的網(wǎng)絡(luò)中心甚至只有3～4人，并且維護(hù)人員的發(fā)展培訓(xùn)機(jī)會(huì)很少。為了彌補(bǔ)以上問題，中央民族大學(xué)網(wǎng)絡(luò)中心配合校外公司研發(fā)了一款網(wǎng)絡(luò)管理系統(tǒng)，通過網(wǎng)絡(luò)管理系統(tǒng)的集中式管理，極大地方便了維護(hù)人員對(duì)網(wǎng)絡(luò)的維護(hù)及監(jiān)控。

該網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)通過拓?fù)渌惴ㄗ詣?dòng)地發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，展示設(shè)備的運(yùn)行狀態(tài)及線路狀態(tài)、線路參數(shù)等，實(shí)現(xiàn)參數(shù)顯示的全局化，能夠很方便地發(fā)現(xiàn)網(wǎng)絡(luò)問題的所在，如圖6所示。同時(shí)，設(shè)備之間的雙向流量以及上下行流量顯示得很明顯，并且能夠查看到每一條線路的歷史流量圖，通過流量對(duì)比以及分布對(duì)比，能夠幫助網(wǎng)絡(luò)維護(hù)人員很快定位問題端口。

同時(shí)，系統(tǒng)能夠監(jiān)控到每臺(tái)終端計(jì)算機(jī)的連接情況以及流量，定位到存在問題的終端計(jì)算機(jī)。通過成熟的MAC地址端口定位技術(shù)和終端數(shù)據(jù)采集，系統(tǒng)能夠及時(shí)、準(zhǔn)確地將終端電腦的情況寫入數(shù)據(jù)庫中，自動(dòng)發(fā)現(xiàn)新入網(wǎng)的計(jì)算機(jī)，更新IP地址、交換機(jī)端口和VLAN等信息的變化。系統(tǒng)通過終端快照、日志和警報(bào)功能隨時(shí)查詢網(wǎng)絡(luò)的運(yùn)行記錄，也支持ARP病毒發(fā)現(xiàn)、報(bào)警和定位。在對(duì)交換機(jī)操作的功能里，系統(tǒng)可以集中地對(duì)交換機(jī)的配置進(jìn)行修改、配置信息備份以及對(duì)交換機(jī)的內(nèi)核進(jìn)行升級(jí)等操作，使得修改操作更加方便。

同時(shí)，該監(jiān)控系統(tǒng)還提供了對(duì)服務(wù)器的監(jiān)控，監(jiān)控服務(wù)器軟件安裝、進(jìn)程運(yùn)行、TCP/UDP連接、CUP的實(shí)時(shí)值和均值等信息，以及服務(wù)器中的數(shù)據(jù)庫等服務(wù)，如果某項(xiàng)服務(wù)出現(xiàn)問題，系統(tǒng)會(huì)自動(dòng)報(bào)警。

我校網(wǎng)絡(luò)中心通過運(yùn)行該系統(tǒng)極大地節(jié)省了人員配置，工作效率以及處理問題的能力明顯得到了提高。通過運(yùn)行該系統(tǒng)，工作人員能夠很快定位問題的所在，縮短了查找問題的時(shí)間。