高校校园网建设需求分析

邱 华

(中国科学院南京分院,江苏 南京 210008)

0 引言

在信息化时代,校园网是学校内部进行智能化教学、信息化科研、数字化管理的有效途径,同时也是与外部进行信息资源共享的重要手段。 在当前疫情不稳定的情况下,校园网能够以丰富的教学模式和教学内容,保障教学进度不受影响,保障学校内外的信息畅通。 其次,校园网为高校师生的科研工作、文献资料检索和查阅提供了一条畅通的渠道,是信息化科研管理的前提条件。 第三,校园网能够提供可靠的管理平台和便捷的管理方式,是高校管理者和教师进行信息资源共享和协同工作的有力工具。 因此,校园网建设体现了高校的学术水平和管理水平,本文针对当前学校所使用的传统校园网架构现状和建设需求开展分析。

1 传统校园网架构现状

在传统校园网架构中,校园网与互联网连接,由运营商提供接入公网的出口。 某高校当前已有4 000 个左右的信息点接入,其中1 号楼有700 个,2 号楼700 个,3 号楼300 个,4 号楼300 个,5 号楼2 000 个。

传统二层网络架构拓扑包含了核心层和接入层,核心层部署了防火墙、核心交换机和无线控制器。 接入层部署了多个接入交换机和POE(Power Over Ethernet,以太网供电)交换机;各楼栋里的AP(Access Point,无线访问接入点)设备通过POE 交换机连接到核心交换机,并由核心层旁挂在核心交换机的AC 控制器(Wireless Access Point Controller,无线控制器)管理控制。

传统网络架构中接入层设备直接连接到核心交换机。 当学校师生人数增加或者业务访问量较大时,核心层防火墙和核心交换机负担会比较重,防火墙或者交换机设备有可能出现宕机,从而导致整个校园网会瘫痪。 并且传统二层网络架构的带宽是共享的,当用户访问网络人数多或访问外网占用较大带宽时,会出现带宽不够的情况;尤其是疫情导致的线上教学、直播课等都会因带宽不够,导致课堂效果不佳。 传统网络架构中,当电脑终端或手机访问网络时,会自动获取到地址,但是因为地址段是共享的,所以随着接入用户增多,会出现不能获取地址的情况。 传统二层网络架构下的网络具有安全风险,比如某大学在网络建设初期使用二层网络架构,后因接入计算机数量急剧增加,遭受到报文攻击,危害校园网的健康状况[1]。

2 校园网建设需求分析

通过上文分析得出,传统二层共享网络架构会带来带宽共享拥塞,用户接入过多时可能会获取不到地址导致无法接入互联网,或严重的安全风险。 鉴于此,需要对校园网建设时的需求做进一步分析。

2.1 网络架构需求

首先进行校园网的网络架构分析,当前的网络架构中接入交换机直接连接核心交换机,所有的数据交换都在核心交换机完成,这不仅对核心交换机的配置要求很高,同时承载3 300 人左右的网络转发及地址分发,核心交换机的网络转发会存在瓶颈。 为了减轻核心交换机的负担,考虑使用汇聚交换机组成三层网络架构。 三层网络架构分别为:第一层为核心层;第二层为汇聚层;第三层为接入层。 每一层的功能明确且彼此独立,既方便维护,又具有可扩展性。 汇聚交换机比接入交换机性能好,速度快,既能对本地路由、流量进行控制,又能进行对网络进行物理分区更安全的隔离网络互不干扰。 考虑到未来校园网发展,汇聚层到核心层可以采用双路万兆链路聚合,增强整个核心网络的健壮性。

2.2 网络分区/模块化需求

校园网采用了三层网络架构之后,可以考虑按照校园的功能或者区域,将校园网划分为多个子网/子区域,这样可以保证单个分区内部配置量减少且出现故障时可缩小范围,易于进行网络管理。 例如根据学校现状可以划分为1 号楼分区至5 号楼分区,先从物理上划分区域,再根据区域内的应用类别(比如设备、客户端、服务器)进行细化管理。 网络管理的力度可根据分区的设备、客户端容纳数量计算,比如对固定的有线用户可以分配静态地址,对宿舍楼多分配些地址等。

2.3 网络布线的需求

为了便于以后的进一步扩展,校园网的网络布线系统应当满足《数据中心设计规范》等标准,配备配线架、机柜内的设备间保持一定间距,要有合理、清晰的标签;同时需要满足多种教学需求,同一个信息点位能够连接不同类型的设备比如计算机、打印机、教学设备、电话等;实施后的布线系统能够在现在和将来适应技术的发展;在满足应用要求的基础上,再考虑成本。

按照三层网络架构部署,各个分区均提供千兆网络接入覆盖到客户端,各楼层千兆接入交换机再通过千兆光纤接入汇聚交换机,汇聚交换机通过万兆光纤接入核心交换机。

2.4 校园网准入认证需求

为实现用户的集中化和统一管理,对访问校园网中的用户提供统一的身份认证,并且可以满足校园多终端、多样化的接入认证需求,比如有线客户端认证;无线用户的账号认证、邮箱认证方式、微信认证以及网页推送认证方式等。 网络管理时可对不同的用户类型提供不同的权限和服务,比如教师用户、学生用户和外来访客赋予的权限不同,访问校园网业务种类不同;比如不同用户类型具有不同的带宽大小以及不同的计费方式等。

虽然当前校园网中使用的AC 控制器支持短信认证方式、邮箱认证、微信认证、二维码认证、账号认证等方式,也能支持对普通接入交换机和有源以太网(Power Over Ethernet,POE)交换机的管理;但是AC 控制器只能对无线AP 接入的用户进行认证,无法对有线接入的用户进行认证。 所以,校园网中需要增加准入认证设备和认证软件。 当前对智慧校园要求共用一套认证库,因此准入认证设备的认证库需要保持与教务、校园一卡通相同的用户数据,要实现数据库间完全共享,增加、修改、删除的数据能够实时同步。

2.5 无线全覆盖的需求

当前大部分高校都已建设了万兆骨干校园网,有线校园网是校园的基础保障,但是使用有线网必须要有布线才能用,而现代社会很多智能终端包括超薄电脑、平板以及个人手机等都不具备有线网口,那么对可移动性强、成本低、能突破时空限制的无线网要求就越来越高[2]。

在校园网建设中都会建议无线网在校园内全覆盖。 而无线网全覆盖既要包含室内区域(如宿舍楼、办公楼、教学楼等)又要包含室外区域(如操场、广场及其他相对开阔的地带)。 安装AP 的型号、数量以及位置都要根据使用地点、使用人数和使用场景进行初步规划,然后再通过实际情况调整[3]。 尽可能做到AP 覆盖区域之间区域不重叠,信号间无干扰,保证所有区域都能实现无线覆盖。 AP 的安装方式要尽可能覆盖更大的范围,比如AP 安装可以选择吸顶式或者挂壁式;用户密集的地方采用高密AP,用户松散的地方采用普通AP,学生宿舍区域可以选择AP 面板等。 这些因素在设计和部署无线网全覆盖时都要考虑。

2.6 网络冗余规划需求

网络冗余规划是校园网规划需求的重要部分,它贯穿于校园网规划以及运行过程的各个阶段,适当的网络冗余设计不仅能提高校园网可靠性、可用性,也能保障校园网高效、稳定、可靠地运行。 网络冗余规划需求包括网络设备冗余、网络链路冗余、线路冗余等几个方面。

网络设备冗余提供由两台或两台以上设备组成备份关系,当其中一台设备故障时,备份设备能自动接替其工作,从而提高校园网的稳定性。 网络设备冗余可以是实时热备份或者冷备份,根据实际情况来定[4]。

网络设备模块冗余主要是指电源冗余、主控板冗余。 模块冗余是指在设备上增加模块来达到备份的目的,当一个模块出现故障时,另一个相同的备份模块开始工作,避免因单模块故障导致网络中断。 电源冗余会同时使用市电和不间断电源系统(Uninterruptible Power System,UPS)电源作为输入;主控板冗余会指核心交换机使用两个控制板,分别为主用主控和备用主控。 当主用主控失效时,备用主控会自动将自己升为主用主控并接管设备运行,从而保障设备上配置和用户信息不丢失。

网络链路冗余是指多条物理链路的备份,当校园网中某条物理链路失效时,冗余备份链路可以提供另一条可用的物理链路。 在三层网络架构中,核心交换机转发的流量非常庞大,一旦核心交换机故障会导致整个核心网络瘫痪。 所以可在核心交换机与汇聚层交换间使用冗余连接也即使用链路聚合,既能实现链路保护又能增加链路总带宽。 但是链路冗余会导致环路问题, 此时需要使用生成树协议(Spanning Tree Protocol,STP)来预防环路。

服务器冗余则通过设备冗余的方法,使用多个服务器组成主、备关系,当主服务器故障时,备用服务器可继续接替工作以提供连续的服务器应答能力,主要体现在网卡冗余、存储冗余、电源冗余、风扇冗余等。

线路冗余可通过增加不同层级设备间的传输线缆来实现冗余物理线路,增加了线路故障的备用线路。同时,可在校园网出口处增加互联网服务提供商提供线路出口互联网服务提供商(Internet Service Provider,ISP),保证有多条出口路由。 多ISP 线路不仅可以是同一互联网服务提供商提供,也可以是不同互联网服务提供商提供,当使用同一运营商不同的多ISP 线路时,不同的ISP 线路要使用不同的铺设线路(物理链路),以免在施工过程中会误挖断一根ISP,可以保证其它 ISP 线路继续可用,保证网络正常运行。

路由冗余备份是为了增加汇聚层到核心交换机的备份路由,备份路由可使用动态路由协议或静态路由协议,当主路由在逻辑链路或物理链路发生故障时,备份路由可以自动生效,可提高核心层设备间的可靠性。

网络冗余规划可以保障校园网高效、稳定地运行。但是冗余规划会增加校园网建设的投资,但是这种投资却可以提升校园网的高可用性和高可靠性,使得网络传输更稳定。

在当前校园网架构下考虑在核心层增加电源冗余、核心层设备间冗余、设备内主控板冗余,在核心交换机和汇聚交换机间使用多条物理链路聚合。

2.7 网络安全需求

在校园网接入互联网后,师生都可以通过校园网使用自己的电脑或手机接入。 如果网络安全没有做到位,互联网上的有害信息会在校园内广泛传播。 另外,互联网病毒可以通过外部访问介质(如移动硬盘等)、网络传播(如网页、电子邮件等)、设备终端系统或应用软件的漏洞(比如在某应用软件的漏洞植入病毒)等方式入侵,而这些病毒会潜伏到系统中窃取用户隐私或者占满电脑的中央处理器(Central Processing Unit,CPU)和内存导致用户电脑无法正常运行[5]。 高校财务系统、监控系统、信息发布系统等不能发布到外网上,只能在校内访问。 而伪装成校内人员的黑客有可能通过非正常手段对这些系统进行攻击,造成学校师生信息、财务信息以及校内的安全监控等被获取,不仅造成学校的经济损失也会对师生的人身安全造成影响。

对校园网的恶意破坏涉及硬件和软件两个方面。硬件方面是指非法人员通过非正常手段对机房内的设备,安装在各楼栋的接入交换机、POE 交换机以及AP进行人为破坏,一旦这些网络设备被损坏,校园网有可能全面或部分断网。 软件方面的恶意破坏是指对校园网系统的破坏比如攻击校园网网站和服务器等,这会对校园网都造成致命影响。 一些好奇心和求知欲强的学生对黑客攻击手段总想跃跃欲试,会在校园网内将自学到的黑客方法进行验证。 因此,对于在校学生的法律意识和安全意识都要加强教育,同时也要制定相关的网络安全管理规定,加强对校园网的管理。

因此,在校园网建设时就要在校园网出口、核心层以及各业务系统间增加防火墙、入侵防御、入侵检测、上网行为管理、漏洞扫描、日志审计等网络安全设备。

2.8 网络管理需求

为了确保校园网的稳定运行,网络管理也是校园网很重要的组成部分。 网络管理的基本功能有故障管理、配置管理、性能管理、安全管理以及计费管理[6]。故障管理可检测故障,网络管理员对故障进行定位、分析以及修复;配置管理是对网络设备的初始化、维护以及修改配置参数;性能管理需要监测网络设备关键参数的性能指标,用于评估网络资源的运行状况等;安全管理保护校园网不受攻击、破坏等;对于不收费的高校来说,计费管理可以不用考虑。 对于网络管理工具的选择要考虑适用于全网的网管软件,能对整个校园网络进行用户管理和设备管理,当任何设备出现异常及时告警,帮助网络管理中心及时发现问题,解决问题。

2.9 模块化机房

网络中心机房作为学校内部的核心区域,其建设规划也很重要;传统的网络机房工程建设周期长、投入高,后期很难扩充,需要专人看护。 而模块化机房将机柜、电源、空调和环控等系统整合在一起,在机房内实现恒温恒湿。 后期扩充时,可按模块进行扩展,批量复制,可实现快速部署以适应发展需求,既能实时监控,也能实现智能管理。 使用模块化机房可以达到节约机房运营成本的目的。

3 结语

当前社会处在信息发展的新时代,随着云计算、人工智能、物联网等信息技术的快速发展,对承载这些信息技术的基础环境要求越来越高。 在校园网建设初期,就要全面地分析校园网使用场景和核心要求,结合文中的需求分析要素,提炼出明确的校园网建设需求,这些需求在校园网建设中会起到至关重要的指导作用。