刘彬
摘要:高校信息化建设水平的高低直接影响着高校的教学水平和管理水平。校园网作为高校信息化建设的基础保障,在整个高校的信息化建设中占有十分重要的作用。确保校园网能提供稳定、可靠、安全、流畅的网络服务是每个校园网的网络工程师所努力追求的目标。该文以攀枝花学院为背景,分析当今高校的校园网建设过程中存在的问题,并提出一种高校校园网的设计方案。
关键词:高校校园网;设计方案
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)28-0044-02
1 高校校园网概况
随着计算机网络的飞速发展,信息化建设已经越来越受到高校的重视,很多高校花费大量的人力财力去投资校园网建设。高校的校园网不同于其他类型的网络,它不仅仅包括Cernet,还包括中国电信、中国移动、中国联通等其他ISP网络服务提供商。近年来,高校规模的日益扩大,学校的平均人数在1万人以上,导致校园网用户数的急剧增加且在某些时间点网络流量巨大。如何尽可能保障全校师生能使用稳定、可靠、安全的网络是网络设计、维护人员所要思考的问题。通过查阅资料、走访等调研方式,我们总结出了高校校园网运行中存在的主要问题。
1.1 校园网普遍无法有效应对网络流量高峰期。
高校的生均人数在1万人以上,网络用户数的大幅度增加和网络应用的特殊性使得高校校园网普遍会面对三个高峰期的挑战。一是每天晚上的7点到11点,这是师生使用网络最为频繁的时段,加之各种P2P服务使得网络流量在该时段暴涨。二是每学期的学生选课时段。几千人同时在线访问服务器,网络流量集中在某个服务点使得某个网段的流量急剧增加导致服务瘫痪。三是慕课学习时段。上千的学生同时使用慕课视频资源,占用大量带宽资源。
1.2 校园网安全问题。
校园网的安全问题主要来自以下几个方面,一是计算机病毒。从计算机网络出现以来,计算机病毒就是危害客户数据安全最主要的方式之一;二是用户缺乏安全意识。很多学生为了容易识记密码,把很多重要的密码设置为短小的纯数字或者比较简单的字母,这直接导致个人的隐私数据暴露在网络中。
2 方案设计与分析
攀枝花学院校内包括学生宿舍、学生实验中心、家属区、办公楼、教学楼等网络信心点集中地37处。其中又以学生宿舍、学生实验中心、家属区的网络信息点用户数居多,数据流量大。校内的各个信息点流量信息统计信息如表1所示:
校园网络用户消耗流量最多且最常用的流量是视频流量。一般每个节点的视频流量为2M。
在上万个信息点中,考虑到不是所有信息点都会同时上网,那么按照同时使用率30%来计算:20000*2*30%=12000M
那么学校的出口带宽就应设置为至少1.2G,才能够满足整个学校的网络服务。即在核心层之间和核心层与外网之间的链路应达到万兆的传输速率,而在汇聚层,链路的传输速率则应该达到千兆。接入层之间达到百兆。
假设最大满负荷时,所有用户都是100Mbps的桌面速率,用户的同时使用率为30%,以80%的线速利用率且为全交换方式运行,信息访问模式为多点访问一点(如分析测试中心)。按这种最恶劣的突发情况计算最大信息流量为:
20000*30%*100*80%=480Gbps
面对如此巨大的信息流量,网络中实现冗余备份链路和负载均衡显得尤为重要。
网络安全方面,校园网络安全是网络方案设计和后期维护工作中的重点和核心内容之一。在松散的大型校园网中,我们不能仅靠主机安全保护,应该力求让攻击者非法访问的数据包在到达主机之前就应被网络丢弃。因此,我们在设计校园网方案时,可以考虑将分布在教学、财务、人事管理等部门的系统应用服务器划成一个虚拟子网,并根据具体的应用环境,通过端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等方式组织非法访问服务。如果有些工作站要直接访问校外网络,可将它划入某一VLAN并赋予VLAN不同对外访问权限,例如只能访问Cernet、禁止校外用户下载资源等。可利用到的技术包括ospf路由协议的安全认证、ACL访问控制列表、Vlan技术以及硬件防火墙技术。
根据以上分析,结合攀枝花学院的实际情况,以“经济性、实用性、网络易于扩展”为准则,我们提出如下图所示的校园本部网络综合拓扑图:
该设计思路还是采用目前校园网流行的三层结构设计,用防火墙和ACL、VLAN技术等实现网络安全,在网络设备上,我们以H3C公司的网络设备为参照。
2.1 核心层
该层为校园网的最外层。它是整个网络的枢纽中心,承载着校园内向外通信的所有数据信息。我们应该保证它的高可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。核心层交换机主要需考虑带宽以及包转发能力,所以,该层的设备应采用高带宽的网络设备,且这一层不应该对数据包/帧进行任何的处理。综合各方面因素,核心层路由器根据单位预算不同可选用H3C MSR 5600系列或 H3C SR6600系列路由器。
2.2 汇聚层
汇聚层介于核心层和接入层中间。它的作用是控制进入核心层的数据流量,其功能包括定义ACL安全策略、VLAN间的路由选择、地址或区域汇聚等,目的是减轻核心层设备的负担,对数据包/帧的处理应该在这一层完成。考虑到学信息点多且分散,所以根据信息节点数量,将这些信息点划为三个部分,每个部分有两台三层交换机,向上连接核心交换机,向下连接汇聚层的二层交换机,各个楼宇中的二层交换机和三层交换机必须具有VLAN功能,以实现隔离广播和分段的目的。汇聚层的三层交换机和每个楼宇的二层交换机均使用两台(上述拓扑中,楼宇中的二层交换机未标识为两台)。三层交换机分别与核心层的两台交换机相连,二层交换机分别与汇聚层的两台三层交换机相连(见图2),以实现冗余链路和负载均衡。另外,还可在三层交换机或二层交换机之间配置链路聚合。以增加链路带宽,提高传输速率。在网络设备上,我们可选用H3C的E500系列交换机。
2.3 接入层
接入层是终端用户(教职员工、学生)与网络之间的接口,要具有即插即用性且易于使用和维护。同时,该层还要负责一些用户管理功能(例如地址认证、用户认证、计费管理等),以及用户信息收集工作(如用户的IP地址、MAC地址、访问日志等)。选用接入层交换机,原则是低成本和高端口密度特性。可选用性价比高的设备。我们仍然采用双机冗余备份链接的策略,以图书馆为例,接入层与汇聚层的连接见下图2所示:
3 结束语
高校信息化建设是高校学分制的重要基础保障,其性能、安全直接决定着学校后期的信息化建设水平。我们在制定校园网设计方案时,切忌盲目照搬别人的组网方案,一定要将可扩展性和经济可行性结合起来。考虑的因素应该包括资金预算、信息点分布、流量大小、网络可扩展性、网络安全性、网络设备厂商技术成熟度及后期维护服务、人员信息化水平等因素,这样才能确保校园网设计的实用性,更好地为高校学分制建设服务。
参考文献:
[1] 邓宝林. 高校校园网改造工程的规划与设计[D]. 大连: 大连理工大学, 2013.
[2] 张慧香. 校园网规划与建设[D]. 济南: 山东大学, 2013.