王理想 郭润峰
摘要:为保障校园信息化建设的快速推进,对校园有线、无线网络进行改造优化是非常重要的。论文以某高校教学楼有线网络改造为例,对校园网网络改造中涉及的物理拓扑、逻辑拓扑改造;设备配置优化;网络接入冗余方式等方面进行了研究。為校园网用户提供低故障率、低时延、高网速、接入链路可冗余的可靠校园网环境。
关键词:校园络;交换机;网络改造;配置优化
1 引言
我国高等学校大规模进行校园信息化建设从20世纪90年代开始,目前已经进入了“2.0”时代,目前高校信息化建设任务重、范围广、要求高,包含基础网络建设与优化、云数据中心、信息系统、数据共享与集成、智慧课室等,涉及校园活动的方方面[1]。
校园基础网络是信息化建设的基础,要能够提供稳定、安全、高速的宽带接入。故障故障发生,为实现快速修复网络访问,保障网络连通性,需要“双线路”接入校园网,这就要求对现有有线网和无线网络进行优化完善,为办公教学提供优质的网络环境,为信息化建设提供稳固的底层基础。
2 现状
当前校园网络包含有线网和无线网。有线网络设备普遍运行了10年以上,性能不足、故障率较高、安全防护能力不足,影响教学办公的网络体验。无线网络的建设为师生提供了多种的网络接入手段,但当前无线网络与有线网络共用设备,隐患较大,也实现不了可“双线”接入的网络保障需求。本文以广东轻工教学楼有线网网进行优化改造为例,介绍校园网改造的可行性方案,为校园力、公教学提供优质稳定的网络接入服务。
教学楼汇聚交换机上联核心交换机,接入校园网并提供外网访问;下联各个接入交换机,接入交换机为师生提供网络接入服务。教学楼汇聚下联楼栋较多,包括教学楼、系部力、公楼、大学生服务中心、图书馆、体育楼、研发楼、第一工业楼等,存在多级级联的情况.下联楼栋较多、多层级联导致教学楼网络比较复杂,故障率较高,多次出现网络广播风暴、环路、地址获取不到等,对教学办公带来较大影响。
3 优化改造
3.1 网络拓朴优化
在校园原有物理链路及光路资源的情况下,对教学楼网络拓扑进行精简优化。根据各楼栋区域位置和现有光纤网络新增三个汇聚点:教学楼1、教学楼2(无线)、教学楼3、第一工业楼。将教学楼网络与其他楼栋分开,并且有线无线均为独立汇聚,实现教学楼教学办公区域真正意义上的双网保障,保障教学环境的稳定,同时根据区域划分两个汇聚点[2]。具体如图1。
3.2 网络配置优化
对网络拓扑进行优化的同时,还要对设备配置进行规范完善,实现病毒防护、DHCP防护、环路保护、ARP欺骗、广播风暴抑制等。
3.2.1 病毒防护访问列表
病毒防护采用访问控制列表ACL封堵对应病毒的端口流量,在接入交换机下连口inbound方向配置访问控制策略,过滤用户发起的病毒端口流量。
ACL具体配置如下:
1p access-list extended 110
description acl for Virus Protection from User
deny udp any any eq 1434 //sql worm病毒端口
deny udp any any eq 1433 //sql worm病毒端口
deny udp any any eq 135 //禁止netbios端口
deny udp any any eq 136 //禁止netbios端口
deny udp any any eq 137 //禁止netbios端口
deny udp any any eq 138 //禁止netbios端口
deny udp any any eq 139 //禁止netbios端口
deny tcp any any eq 445 //禁止netbios端口
deny tcp any any eq 4444//冲击波病毒
deny tcp any any eq 445 //传送冲击波病毒端口
deny tcp any any eq 5554 //冲击波病毒端口,在感染“震荡波”病毒后会通过5554端口向其他感染的计算机传送蠕虫病毒
10000 permit ip any any
ACL端口应用配置如下:
1nterface GigabitEthernet 0/52
description To::JXL501
1p access-group110 in
3.2.2 DHCP防护
校园网环境下在接入交换机下会链接TPLINK、HUAWEI等无线路由器,并开启了DHCP服务,可以向外提供IP分发服务,会影响校园网用户获取正常的校园网地址,影响正常上网[3]。需要在接入层交换机上限制该类路由器的地址分发服务,设备具体配置如下:
(1)在接入交换机上开启dhcp snooping功能
Switch>enable
Switch#configure terminal
Switch(config)#ip dhcp snooping------>开启DHCPsnooping功能
(2)连接DHCP服务器的接口配置为可信任口
Switch(eonfig)#interface gigabitEthernet 0/49
Switch(config-GigabitEthernet 0/49)#ip dhep snooping trust
--------开启DHCP snooping的交换机所有接口缺省为untrust口,交换机只转发从trust口收到的DHCP响应报文(offer、ACK)
3.2.3 环路保护
校园网中出现环路会迅速将网络带宽占满,导致大面积网络缓慢甚至无法上网,需要在接入交换机做环路检测以保证网络的稳定。具体为在接入交换机配置RLDP和BPDU Guard防环机制,详细配置如下:
Switch#configure terminal
Switch(config)#rldp enable------>全局开启RLDP功能
Switch(config)#spanning------>开启生成树协议
Switch(config)#interface range g0/1-24------>对于下联PC或HUB的端口需要开启,不要在接入交换机的上联口开启该功能
Switch(config-if-range)#rldp port loop-detect shutdown-port------>接口开启RLDP功能,如果检测出环路后shutdow该端口
Switch(config-if-range)# spanning-tree bpduguard enable
Switch(config-if-range)# spanning-tree portfast
Switch(config-if-range)#exit
Switch(eonfig)#errdisable recovery interval 300------>如果端口被RLDP检测并shutdown,再过300秒后会自动恢复,重新检测是否有环路
Switch(config)#end
Switch#wr
3.2.4 ARP欺骗
校园网的网络原理导致会出现网关欺骗的攻击行为,攻击者通过ARP欺骗可以将用户流量引导到自己设备,进而导致用户上不了网或窃取用户隐私[4]。为防止该攻击行为,在接入交换机配置防止ARP欺骗的相关配置,具体配置如下:
Switch(config)interfaee GigabitEthemet 0/52
Switch(config-if-GigabitEthemet 0/52)switchport access vlan 103
//用户属于172.16.103.254/24网段
Switch(config-if-GigabitEthemet 0/52)anti-arp-spoofing ip172.16.103.254//防止网关欺骗行为
4 结束语
对教学楼网络改造后,划分为4个区域,较少广播风暴影响的范围,同时减少级联设备也减少了广播风暴和环路的可能性,区域网络故障率大大降低。有线网络精简的同时,无线独立汇聚,使得教学楼实现有线、无线双网保障,提供良好、稳定的教学网络环境。后续将重新对本校区所有无线进行信道規划,目前已经规划配置了放装AP(AP520-I\530-I)的信号,但最主要的智分信道的划分是基于端口和分AP对应的前提下进行的,后续将根据竣工资料和地勘情况对无线信道进行优化。
参考文献
[1]杨明.高校教学楼网络改造方案设计与研究[J].网络空间安全.2018.08
[2]蒋惠然.试论中职学校网络建设与管理[J].电脑编程技巧与维护.2019.01
[3]交换机配置案例集
[4]交换机故障处理案例集