中小型校园网的优化策略

刘显达

（承德广播电视大学，河北 承德 067000）

中小型校园网的优化策略

刘显达

（承德广播电视大学，河北 承德 067000）

校园网是学校进行管理和科研的重要信息平台，经过十多年的发展，由于种种原因，如建网时的资金限制，网络扩展等造成的网络结构不合理，设备使用不合理，从而导致网络使用效率低，设备负担不合理，网络运行不稳定等现象，可以通过优化网络结构得到改善，从而提高网络资源的利用率。针对校园网存在的诸多问题，本文从两个方面提出了中小型校园网的优化策略。

网络优化；校园网优化；优化策略

校园网是在学校范围内，在一定的教育思想和理论指导下，为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。网络优化工作是指对正式投入运行的网络进行分析，找出影响网络运行质量的原因并且通过采取某些技术手段，从而使网络达到最佳运行状态，使现有资源获得最佳效益，同时了解、研判网络的发展趋势，为进一步的发展扩容等提供技术依据和计划建议。尽管在建设校园网初期经过周密的考虑，但随着时间的推移，原来规划的校园网不可能永远满足不断发展变化的应用和需求。因此，有必要对校园网进行优化，确保网络按照需求满足性能标准运作。

1 建造一个高性能、高带宽、稳定可靠的校园网承载平台

1.1 对网络设备升级优化

合理使用和配置原有的网络设备。网络设备中仅安装必要的组件和保留必要的配置，去掉不必要的部分。对网络设备的配置除一般网络连通性配置外还应考虑:增加网络设备本身的访问控制以提高安全性，例如关闭不必要的服务端口；增加针对网络设备本身的远程管理配置包括WEB，TELNET，SNMP；增加针对网络内部流量的监控配置包括MIRROR，SFLOW/NETFLOW等。另外根据用户实际流量决定是否需要更新网络设备，比如在接入层用交换机代替集线器，在汇聚层用三层交换机代替二层交换机。在充分利用校园网原有设备的前提下，应通过更新软件版本和增加扩展模块以支持新的应用如IPV6的支持等。如果要购买新设备，需考虑其可扩展性，兼容性，安全性等因素。

1.2 优化网络拓扑结构

根据网络设计的分层思想，目前校园网设计一般也采用三层网络设计模型，分别为:核心层，汇聚层和接入层。以上三层有各自明确的功能定义，每层对网络设备和链路都有不同的性能要求。在同一层中运行的设备完成相似的任务。网络中的各层可能包括路由器，交换机或者某种组合。核心层完成数据的高速转发。汇聚层完成对数据包的处理，包括安全、QOS、访问控制、以及有关的路由聚合、流量收敛（流量收敛的概念是说：可能有多路数据进来，但他出去去往核心层的时候它只有一路数据）。接入层完成工作组的接入和访问控制。针对三层结构的不同功能，优化的重点主要为保证核心层的高速，稳定，可靠性;汇聚层的可扩展性;接入层的可管理性。在网络拓扑结构优化过程中应根据学校的实际需求选择合适的拓扑结构:传统布线拓扑为减低线路成本较多采用节点汇聚的方式，而现在随着介质成本的降低，维护成本的增加，更多地考虑减少节点或者是减少有源节点的方式，将汇聚层直接设置在大楼内部，从核心到汇聚都采用直接逻辑连接，不再设中间有源节点。这种方式尤其对对用户较多，网络应用较多，路由协议复杂的大规模校园网比较适合。建议采用以高速路由交换机为核心，多层交换机作为汇聚层的网络设计;中小规模的校园网建议采用多层交换机为核心，可远程管理型交换机作为汇聚层的网络设计。

1.1.1 核心层优化策略

核心层的主要任务是负责流量运送，为达到此目的，核心层的设计策略有：核心层的所有设备应对万维网中的每个目的地具备充分的可到达性，不要在网络核心层执行任何网络策略。建议在每个校区设置一台核心交换机。原来的核心设备，由于处理能力逐渐不能满足核心设备的需求，建议下移到汇聚层，做汇聚设备。每个校区的核心交换机，通过校区间的单模光纤组成ZESR以太环网或全互连网状连接，选择一个校区的核心交换机作为主核心交换机，和出口路由器连接。

1.1.2 汇聚层优化策略

汇聚层的主要作用是用户把大量来自接入层的访问路径进行汇聚和集中，并连接至核心层，同时在核心层和接入层之间提供协议转换和带宽管理。设计汇聚层有三个目标：?隔离拓扑结构的变化；控制路由表的大小，在发布路由的时候做有关的路由聚合，提升路由的稳定性；流量的收敛。现有校园网络主要依靠堆叠的方式来进行汇聚。建议在信息点较少的楼宇，采用堆叠方式组网，结构简单清晰。在信息点数量较大的学生宿舍，建议采用楼宇汇聚的方式，在每栋楼宇各有一个汇聚节点，汇聚节点上连核心交换机，各接入交换机通过ZESR以太环连接到汇聚交换机，同时通过百兆连接各信息点。

1.1.3 接入层优化策略

接入层的主要功能是将广域网的信息通过内部的高速局域网接入汇聚层。接入层的设计策略有：将流量引入网络，需要注意的是接入层路由器所接受的连接数不要超出其与汇聚层之间所允许的链接数，在进行接入层设计时，如果不是转发到局域网外的主机流量就不要通过接入层的设备进行转发，同时，绝不可以将接入层的设备作为两个汇聚层路由器之间的连接点。汇聚层路由器之间的连路通常是在需要高冗余度的网络中使用。可以通过包过滤的方式来禁止掉不希望通过的包流量，执行其他的边缘功能：包括QOS、流量统计、基于策略的路由、关闭虚拟专网、关闭通道等。

1.1.4 合理划分功能子网

校园网应用极为丰富，相对来说，大致分为学生宿舍、办公行政、教学科研、数字图书馆、一卡通、教工宿舍等不同类型的网络，为了保证正常教学科研办公的正常进行，有必要对学校网络进行适当的功能划分，分成不同的功能子网，在子网间访问设置相应的控制策略，从而保证各个功能子网的正常运行。根据校园网规模的不同，可以采用不同的技术来划分功能子网。小型校园网拓扑简洁，可以采用VLAN的方式来划分；中型校园网存在数量不等的分校区，形成了一定规模的校园网骨干层，可以通过MPLSVPN技术来划分不同的子网；大型校园网网络规模庞大，分校区众多，可以通过划分物理子网和MPLSVPN相结合的方式来合理划分功能子网。

1.1.5 校园网多出口优化

校园网有Cernet和运营商出口，未来可能还有IPv6出口或者其他一个或多个ISP接入，为了分担流量和提高访问的响应速度，可对校园网内部访问外部资源的流量进行负载分流和相互备份，策略路由和负载均衡的工作，建议由专用出口路由设备担任。安全部分采用防火墙+IPS的策略，将防火墙设置成透明模式来对出口进行防火墙功能，同时启用IPS侦测网络非法操作。可在防火墙或路由器上启用NAT以实现教育网IP地址访问公众网资源时的地址转换。考虑到有校外访问校内服务器的需求，因此，可以在出口部分，设置独立的DMZ区域。DMZ区域的出口和入口，均通过防火墙进行隔离，从而有效阻止了校外非法访问对校园内服务器的破坏的危险。网络优化时推荐采用支持IPv4/IPv6双栈路由协议的路由器做为出口路由器，该路由器可以实现策略路由、负载均衡、NAT、IPv6骨干网接入等功能。

2 构建强有力的网络管理与控制系统

有了一个高性能的网络平台，还要有强有力的网络管理与控制系统，来控制网络中非法操作与垃圾信息泛滥的情况

2.1 ZTE实名认证策略

ZTE实名认证策略是以ZXISAM用户认证管理系统为基础，配合承载网中的网络认证设备实现的，包括用户接入认证、用户定位、用户信息复合绑定、防代理私接、DHCP策略服务等这些功能模块都是为了保证合法用户的安全接入，防止非法用户进入网络。还包括用户终端管理功能是指用户终端软硬件资产管理、终端系统补丁管理、终端用户行为控制以及文件策略管理。通过用户终端管理功能，可以有效保证资产清晰、补丁完整、行为可控、文件安全。

2.2 网络管理策略

网络管理系统是校园网络中非常重要的一部分，通过一套功能完善的网管系统，可以有效地对整个网络进行配置、监控、定位故障、部署安全策略等，达到使整个网络成为一个可管理、高性能、高可用性的系统。

2.2.1 访问控制列表 （Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。完善的ACL，提供基于VLA以太网类型、用户MAC、IP地址、应用以及端口的安全控制功能，支持基于时间的ACL功能。

2.2.2 支持PVLA·UpLinkPort的端口隔离方式，隔离用户之间的直接访问。

2.2.3 支 持 DHCPSnooping/Relay、DynamicARPInspectio功能，防止用户私接DHCPServer，防止IP地址冲突、IP地址盗用。

2.2.4 设备具备抗病毒能力，防攻击能力例如DOS/DDOS攻击、端口扫描、源路由攻击、IP碎片攻击、DNS/ICMP/RIP/SY·攻击等。

2.2.5 支持安全联动功能，支持动态策略下发、支持IDS联动功能、支持IDS日志，保护全网的安全。配置硬件防火墙与IDS，保障内网的安全。

2.2.6 具备完善的日志功能，支持向日志服务器导出，具备日志冗余功能。

综上所述，网络优化设计时有必要进行多方面的考察，技术和设备选型不仅要考虑满足当前需要，还要考虑未来校园网络发展和应用变化，同时更要考虑自身的实际需求。优化设计尽量采用成熟的主流技术，做到适当超前即可，选择具有开放性标准的产品与技术。要对整个网络系统进行综合分析，合理配置资源，以最小的投入获得最佳的网络性能。网络是一个系统，要考虑网络的各种资源配置，使其互相匹配，避免顾此失彼的情况出现，因此需要制定完备的优化计划。

TP393

A

1005-1554（2010）02-0027-02

2010-02-20

刘显达（1972-），男，河北承德人,承德广播电视大学网控中心讲师。