摘要

隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大，各類業(yè)務(wù)系統(tǒng)、多種物聯(lián)終端的接入等網(wǎng)絡(luò)應(yīng)用的逐漸增加，用戶對(duì)校園網(wǎng)的要求日漸提高，同時(shí)對(duì)校園網(wǎng)規(guī)范管理、安全管理帶來(lái)一定的隱患和問(wèn)題。作為校園網(wǎng)的運(yùn)維管理部門，學(xué)校教育技術(shù)中心需要從網(wǎng)絡(luò)拓?fù)?、性能等因素著手，在確保穩(wěn)定的基礎(chǔ)上，通過(guò)技術(shù)和管理手段，不斷優(yōu)化網(wǎng)絡(luò)，保證校園網(wǎng)可靠性、可用性和穩(wěn)定性不斷提升，更好地實(shí)現(xiàn)服務(wù)教學(xué)、科研，方便應(yīng)用的導(dǎo)向目標(biāo)。

【關(guān)鍵詞】校園網(wǎng) 性能優(yōu)化 物聯(lián)終端

1 引言

首都經(jīng)濟(jì)貿(mào)易大學(xué)校園網(wǎng)始建于1997年，為落實(shí)北京市信息化建設(shè)的頂層設(shè)計(jì)，建設(shè)智慧校園，經(jīng)過(guò)多期網(wǎng)絡(luò)建設(shè)項(xiàng)目的實(shí)施和網(wǎng)絡(luò)技術(shù)的發(fā)展，目前，校園網(wǎng)基礎(chǔ)設(shè)施擁有兩個(gè)標(biāo)準(zhǔn)機(jī)房，交換機(jī)600多臺(tái)，無(wú)線接入點(diǎn)（AP）近2000個(gè)，校園網(wǎng)用戶2萬(wàn)人。校園網(wǎng)采用核心、樓宇匯聚、樓層接入的三層構(gòu)架方式。目前，校園有線網(wǎng)已經(jīng)覆蓋花鄉(xiāng)、紅廟兩校區(qū)，花鄉(xiāng)校區(qū)實(shí)現(xiàn)無(wú)線網(wǎng)全覆蓋。

隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大，各類業(yè)務(wù)系統(tǒng)、多種物聯(lián)終端的接入等網(wǎng)絡(luò)應(yīng)用的逐漸增加，用戶對(duì)校園網(wǎng)的要求日漸提高，同時(shí)對(duì)校園網(wǎng)規(guī)范管理、安全管理帶來(lái)一定的隱患和問(wèn)題。作為校園網(wǎng)的運(yùn)維管理部門，學(xué)校教育技術(shù)中心需要從網(wǎng)絡(luò)拓?fù)?、性能等因素著手，在確保穩(wěn)定的基礎(chǔ)上，通過(guò)技術(shù)和管理手段，不斷優(yōu)化網(wǎng)絡(luò)，保證校園網(wǎng)可靠性、可用性和穩(wěn)定性不斷提升，更好地實(shí)現(xiàn)服務(wù)教學(xué)、科研，方便應(yīng)用的導(dǎo)向目標(biāo)。

2 現(xiàn)狀及存在的問(wèn)題

2.1 各類子網(wǎng)的接入

各部門、院系根據(jù)自身定位，建立了多個(gè)圍繞中心業(yè)務(wù)的子網(wǎng)。例如：教務(wù)、考務(wù)監(jiān)控網(wǎng)覆蓋全校教學(xué)樓宇;保衛(wèi)處安保網(wǎng)、財(cái)務(wù)專網(wǎng);經(jīng)管實(shí)驗(yàn)中心、信息學(xué)院、外語(yǔ)學(xué)院機(jī)房等。各類子網(wǎng)不同程度地存在“重建設(shè)、輕維護(hù)”的現(xiàn)象，隨著子網(wǎng)內(nèi)終端數(shù)量的增加、拓?fù)浣Y(jié)構(gòu)的日益復(fù)雜，運(yùn)維管理成為薄弱環(huán)節(jié)，交換機(jī)環(huán)路、ARP攻擊、非法路由器接入等不利因素，影響了教學(xué)、實(shí)驗(yàn)的順利開(kāi)展，亟待進(jìn)行規(guī)范。

2.2 多種物聯(lián)終端的接入

隨著物聯(lián)網(wǎng)技術(shù)的深入發(fā)展，大量物聯(lián)網(wǎng)終端需要校園網(wǎng)來(lái)承載。例如：節(jié)能辦針對(duì)宿舍區(qū)的用水、用電控制;保衛(wèi)處為確保校園安全而部署的門禁、出入通道閘機(jī);圖書(shū)館的圖書(shū)自主借閱機(jī);學(xué)校機(jī)關(guān)、各院系根據(jù)自身業(yè)務(wù)發(fā)展需要增加的智能顯示屏，辦公場(chǎng)所的打印機(jī)等多種形式的智能終端逐步進(jìn)入校園網(wǎng)，部分物聯(lián)終端使用校園無(wú)線網(wǎng)完成相應(yīng)功能。由于遍布各個(gè)樓宇的多種物聯(lián)終端逐的接入，綁定固定IP地址是首要條件。因此，交換機(jī)DHCP Pool較大，導(dǎo)致交換機(jī)性能下降，同時(shí)破壞了交換機(jī)配置的規(guī)范性。此外，隨著網(wǎng)絡(luò)終端的逐年增加，使用匯聚交換機(jī)分配IP地址無(wú)法實(shí)現(xiàn)地址的可視化管理，給運(yùn)維管理帶來(lái)極大不便。

2.3 控制器品牌不同

校園無(wú)線網(wǎng)多個(gè)不同品牌控制器并用，早期，無(wú)線客戶端根據(jù)所在物理位置不同分屬不同IP子網(wǎng)和VLAI。當(dāng)客戶端發(fā)生物理位移時(shí)，就會(huì)導(dǎo)致跨越控制器漫游，IP地址發(fā)生改變，需要反復(fù)多次登錄計(jì)費(fèi)賬號(hào)的問(wèn)題，給用戶使用帶來(lái)不便。

2.4 無(wú)線接入點(diǎn)的部署方式落后

無(wú)線接入點(diǎn)部署均采用樓道部署放裝AP的方式。隨著校園無(wú)線網(wǎng)的快速發(fā)展，用戶數(shù)量迅猛增加，師生們對(duì)無(wú)線網(wǎng)的使用體驗(yàn)提出了更高的要求。不僅限于無(wú)線信號(hào)的“可連接”，而是要求無(wú)線信號(hào)的“高可用、不中斷”。針對(duì)當(dāng)前封閉的建筑格局、高密度的宿舍、鐵門隔斷等影響信號(hào)覆蓋的因素，需要部署多種形式的AP來(lái)滿足超高性能和高并發(fā)的需求。

2.5 安全策略不完善

對(duì)于校園網(wǎng)交換和無(wú)線設(shè)備，病毒攻擊、非法訪問(wèn)等現(xiàn)象時(shí)有發(fā)生。傳統(tǒng)的安全策略沒(méi)有針對(duì)無(wú)線控制器和無(wú)線接入點(diǎn)進(jìn)行訪問(wèn)控制，且接入交換機(jī)僅在端口in方向進(jìn)行數(shù)據(jù)過(guò)濾。應(yīng)用場(chǎng)景、網(wǎng)絡(luò)性能、安全管理等都面臨挑戰(zhàn)。

針對(duì)當(dāng)前存在的問(wèn)題，對(duì)校園網(wǎng)進(jìn)行優(yōu)化，重新規(guī)劃、分配IP地址，通過(guò)技術(shù)手段實(shí)現(xiàn)無(wú)線用戶全校漫游，規(guī)范各類子網(wǎng)、終端的接入方式，提高安全策略;通過(guò)管理手段，建立健全信息系統(tǒng)建設(shè)長(zhǎng)效機(jī)制，制定管理制度和辦法，培訓(xùn)專業(yè)技術(shù)人員。

3 優(yōu)化策略

3.1 工P地址重規(guī)劃

隨著校園網(wǎng)規(guī)模的擴(kuò)大，用戶的增加，對(duì)全網(wǎng)IP地址進(jìn)行重新規(guī)劃、分配、切換。遵循“三嚴(yán)格、一確保”原則，即：嚴(yán)格區(qū)分設(shè)備管理地址、終端用戶地址;嚴(yán)格區(qū)分有線、無(wú)線用戶地址;嚴(yán)格區(qū)分動(dòng)態(tài)分配、固定終端地址，確保各樓宇各樓層地址在滿足當(dāng)前用戶充分可用的前提下，考慮可擴(kuò)展性和靈活性，給各個(gè)樓宇預(yù)留足夠的IP地址。每個(gè)樓宇明確劃分交換機(jī)、無(wú)線接入點(diǎn)、用戶地址的界限。對(duì)于有實(shí)驗(yàn)機(jī)房、服務(wù)器等特殊位置的樓宇，充分考慮IP地址的需求。

3.2 引入專用DHCP服務(wù)器

在校園網(wǎng)中引入兩臺(tái)專用的DHCP服務(wù)器，取代原有的匯聚機(jī)分配地址的方式。兩臺(tái)服務(wù)器采用主備方式為全校有線網(wǎng)、無(wú)線網(wǎng)用戶分配IP地址。無(wú)線核心交換機(jī)和各樓宇匯聚交換機(jī)在相應(yīng)的SVI接口中加入ip helper-address命令即可。例如：

interface Vlan900

ip address 255.255.0.1255.255.0.0

ip helper-address 10.10.10.10

ip helper-address 10.10.10.11

3.3 無(wú)線用戶全校漫游

建立無(wú)線Vlan 900，選用一個(gè)B類私有地址建立無(wú)線用戶地址池，例如：10.10.0.0/8，取代原來(lái)各樓宇分配地址的模式，用戶從DHCP服務(wù)器獲得B類地址中的一個(gè)IP。無(wú)線核心交換機(jī)SVI接口中配置ipaddress 10.10.0.1255.255.0.0.無(wú)線控制器上的ap-group全部映射到Vlan 900的Interface上。DHCP服務(wù)器基于無(wú)線用戶的MAC地址分配IP地址，租期2小時(shí)，跨控制器后，無(wú)線用戶MAC地址不變，物理位移30分鐘內(nèi)，不超過(guò)計(jì)費(fèi)策略規(guī)定的時(shí)間，則不需要重新登錄計(jì)費(fèi)賬號(hào)，實(shí)現(xiàn)全校區(qū)無(wú)線漫游。

3.4 規(guī)范各類子網(wǎng)的接入方式

根據(jù)不同用途、安全需求及組網(wǎng)方式確定各類子網(wǎng)的規(guī)范方案。其中安保網(wǎng)、財(cái)務(wù)網(wǎng)等專網(wǎng)采用獨(dú)立建網(wǎng)方式，與校園網(wǎng)進(jìn)行物理隔絕，僅在校園網(wǎng)出口通過(guò)相應(yīng)的安全設(shè)備進(jìn)行互聯(lián)。經(jīng)管實(shí)驗(yàn)中心、信息學(xué)院、外語(yǔ)學(xué)院機(jī)房的自有交換機(jī)，梳理現(xiàn)有拓?fù)浣Y(jié)構(gòu)，消除亂接、私接造成的環(huán)路現(xiàn)象。交換機(jī)配置方面，通過(guò)訪問(wèn)控制列表過(guò)濾常見(jiàn)病毒端口流量，全局配置spanning-tree portfast bpduguarddefault，端口中配置ip arp inspection trust和ipdhcp snooping trust。自有交換機(jī)上聯(lián)至校園網(wǎng)樓宇匯聚交換機(jī)，在運(yùn)維管理軟件中進(jìn)行監(jiān)控，做到設(shè)備異常早發(fā)現(xiàn)，早處理，確保機(jī)房正常的教學(xué)、科研用網(wǎng)需要。

3.5 無(wú)線接入形式依場(chǎng)景而定

近幾年的無(wú)線網(wǎng)建設(shè)項(xiàng)目，區(qū)分教室、宿舍、報(bào)告廳、圖書(shū)館、廣場(chǎng)等多個(gè)應(yīng)用場(chǎng)景，分別部署不同形式、規(guī)格的無(wú)線接入點(diǎn)，打破過(guò)去全部樓道部署的格局。例如：教室均采用放裝式AP，圖書(shū)館、報(bào)告廳部署高密度放裝式AP，行政辦公室采用墻面式AP，學(xué)生宿舍以智分接入為主，并結(jié)合各AP品牌提供的管理軟件，對(duì)無(wú)線接入點(diǎn)進(jìn)行性能優(yōu)化，包括信道、功率、速率等對(duì)用戶上網(wǎng)產(chǎn)生重要影響的參數(shù)。

3.6 有線、無(wú)線安全策略組合使用

優(yōu)化后的安全策略將有線、無(wú)線組合使用。一方面，對(duì)于匯聚、接入和無(wú)線核心交換機(jī)，實(shí)施更加嚴(yán)格的Telnet/SSH訪問(wèn)權(quán)限，僅限少量地址可遠(yuǎn)程登錄。另一方面，在無(wú)線控制器上啟用用戶ULAN內(nèi)的二層隔離功能，禁止無(wú)線客戶端互訪。參照有線設(shè)備的ACL，配置無(wú)線控制器訪問(wèn)控制列表，防控常見(jiàn)高發(fā)病毒。

4 管理優(yōu)化

為解決校園網(wǎng)各子網(wǎng)建設(shè)“重建設(shè)輕管理”、“另起爐灶、重復(fù)建設(shè)”的現(xiàn)象，校信息化領(lǐng)導(dǎo)小組進(jìn)一步加強(qiáng)了對(duì)信息化建設(shè)工作的領(lǐng)導(dǎo)，建立了長(zhǎng)效機(jī)制，完善了規(guī)章制度，對(duì)全校各子網(wǎng)、系統(tǒng)、基礎(chǔ)設(shè)施進(jìn)行整合，規(guī)范有線、無(wú)線網(wǎng)組織程序，明確信息處（教育技術(shù)中心）作為業(yè)務(wù)主管部門對(duì)各部門、院系信息系統(tǒng)、終端接入系統(tǒng)的技術(shù)方案審核、人員技術(shù)培訓(xùn)職責(zé)。各部門、院系在項(xiàng)目建設(shè)前期主動(dòng)與業(yè)務(wù)主管部門對(duì)技術(shù)方案進(jìn)行溝通，提出具體需求;同時(shí)指定有一定專業(yè)基礎(chǔ)人員負(fù)責(zé)項(xiàng)目運(yùn)維。

5 結(jié)束語(yǔ)

首都經(jīng)濟(jì)貿(mào)易大學(xué)堅(jiān)持以問(wèn)題為導(dǎo)向，把握新的發(fā)展機(jī)遇，以技術(shù)創(chuàng)新、管理創(chuàng)新模式積極應(yīng)對(duì)新的形勢(shì)、新的挑戰(zhàn)。近年來(lái)，通過(guò)上述優(yōu)化方式，校園網(wǎng)性能、穩(wěn)定性有了大幅提升，用戶滿意度明顯提高、網(wǎng)絡(luò)安全環(huán)境明顯改善，將逐步實(shí)現(xiàn)先進(jìn)實(shí)用、靈活開(kāi)放、安全可靠的校園網(wǎng)建設(shè)目標(biāo)，全面助力、支撐智慧校園建設(shè)。

參考文獻(xiàn)

[1]龐鐳，張笑琪.校園無(wú)線網(wǎng)優(yōu)化方案及安全管理的實(shí)現(xiàn)[J].計(jì)算機(jī)科學(xué)，2017（10A）：294-297.

[2]龐鐳.首都經(jīng)濟(jì)貿(mào)易大學(xué)破解多品牌校園無(wú)線漫游難題[J].中國(guó)教育網(wǎng)絡(luò)，2017（08）：63-64.