科研机构网络使用调研与升级方案设计

2023-02-23 10:10庄会富邱金水
云南科技管理 2023年6期
关键词:研究所升级用户

金 涛,庄会富,邱金水,王 朋

(中国科学院昆明植物研究所科技信息中心,云南 昆明 650201)

0 引言

早在1985年,日本组织实施了“信息化社会进程中教育发展方向”专题调查[1]。2014年,加拿大工业部推出旨在帮助加拿大人尽享数字化时代机遇的“数字加拿大150计划”[2]。2015年,新加坡发布iN2015——智慧国2015计划[3]。可见,信息化网络对整个社会的发展意义重大,网络为人类提供了网络带宽、科学计算、大规模数据存储、生活购物等各类应用。然而,网络环境的稳定运行需要不断更新和升级配套。另一方面,随着科研大数据、云计算等信息化手段在科研活动中的普及,科研对基础网络环境的要求越来越高。中国科学院昆明植物研究所当前使用的科研网络是在2016年建设的,网络设备性能下降明显,故障率逐渐增加。整个科研办工区还存在较多无线覆盖盲点,上网认证体验较差,网络总体功能无法满足当前研究所科技创新发展的需求。因此,需要对科研网络进行升级改造。为了收集关于科研网络使用情况和用户需求数据,全面、准确地了解用户对现有科研网络设施的使用体验、痛点、瓶颈以及期望改进的方面,精心设计了此次网络使用调研。

1 研究所科研网络设施现状

1.1 科研网支撑服务功能

昆明植物研究所拥有2个国家平台,即植物化学与西部植物资源持续利用国家重点实验室和中国西南野生生物种质资源库国家大科学装置。研究所承担着国家种质创新和新药创制两大任务。除此之外,研究所还建立了昆明超算分中心、大型仪器公共技术服务中心和技术转移转化中心等科技平台,并在丽江站、红河站、高黎贡山站、迪庆站和屏边站设立了5个野外科学台站。科研网络同时支撑核心科研数据的运行,支撑了先导专项、化合物库、青藏科考、种质资源平台、Kingdonia标本库、COP15、院学科数据中心、iFlora、国际山茶库等一系列国家级、院级、省级重大任务的建设。因此,研究所对快速、稳定的网络环境有着迫切的需求。

1.2 科研网基础设施现状

园区建有3个专用网络:办公区科研网、住宅区生活网和ARP系统专网。各楼单独设置了一个VLAN虚拟网段,共计42个网段。目前,园区科研网的基础设施是基于2016年完成的“园区智能化及节能升级改造项目”。科研用户可以享受IPv4/IPv6双栈网络服务,并且在办公区的主要区域有公共WIFI覆盖。目前,科研所内的实时在线用户数约为1 900个,邮箱数为2 346个,服务器数量超过130台。

1.3 网络机房配套情况

中心机房核心出口设备位于科技信息中心大楼。植化国家重点实验室、种质资源库和技术转移中心楼各设有3个汇聚分中心机房,园区配套有37间楼宇弱电机房。此外,昆明植物研究所还设有两个院级分中心节点,即中国科学院西南超算分中心和中国科学院存储分中心。同时,研究所还设有中国科学院昆明植物研究所科学数据中心,并相应配置了机房。

1.4 网络出口带宽

科技网采用的是一条600M的出口带宽线路,而内部带宽则是2.5Gbps/10Gbps的环状骨干网络。针对带宽流量,我们实施了带宽优化策略,主要针对占用带宽较多的p2p、视频和web多媒体资源进行优化,以优先满足科研办公需求。

2 调查方法

本次调研采用问卷调查、访谈和实地观察体验相结合的方法,历时1个月。我们收集了用户网络使用基本情况,通过问卷调查了解各房间有线网络端口的数量和质量情况,进行了实地测试网络流量、访问速度和无线网覆盖情况。同时,通过访谈了解了不同部门/专题组代表的网络使用需求和问题,并通过实地观察体验办公室、实验室和办公区无线覆盖区域,以了解网络覆盖情况和设备配置等。

3 调查内容设计和分析

本次调研,我们精心设计了中国科学院昆明植物研究所网络使用调研表,包括序号、楼名/编号、房间号、负责人、网络用户数量、使用网络类型、主要网络应用(办公/计算/会议室)、网口数量/可用数量、房间上网设备数量、无线覆盖情况(公共KIBWIFI/自己部署)、公共KIBWIFI可用性(优/一般/差)、公共KIBWIFI问题(信号/速度/)、网速体验(优/一般/慢)、需求/建议/意见,以最大限度将调研做到详细、具体。如图1所示。

图1 中国科学院昆明植物研究所网络使用调研表(样表)

3.1 调查区域

本次调查涵盖了华立楼、植化七栋、种质库、分类室、行政楼、南楼、北楼、植物园、技术转移中心和分析测试中心二楼共10栋楼宇,共计309间办公室/实验室。

3.2 网络覆盖

1)使用情况:调研结果显示,共有309间房间,总计上网人数为1 209人,上网设备数量为1 582个,有线网络端口数量为586个。其中,93.8%的房间用途为办公,5.4%的房间用途为会议室,0.72%的房间用途为计算机房。

在无线覆盖方面,50.7%的房间仅覆盖公共KIBWIFI无线网络,3.6%的房间没有公共KIBWIFI,仅使用自己部署的无线网络,45.6%的房间同时覆盖了公共KIBWIFI和自己部署的无线网络。

就公共KIBWIFI的可用性而言,80.4%的用户认为其表现优秀,14.7%的用户认为一般,4.9%的用户认为可用性差。

2)调研分析。用户对园区网络覆盖总体反应良好,但有部分实验室缺少网络覆盖。具体来说,3H公寓、所史馆(部分房间)、住宅区AB栋(部分房间)没有网络端口;种质库五楼、所史馆和西南实验室没有KIBWIFI无线信号覆盖;部分楼层办公区域的KIBWIFI无线信号相对较弱;植物园、所史馆、西南实验室二楼和新组建的办公室只有一个有线端口。

3.3 网络体验

1)使用情况:据调查显示,73%的用户认为网络速度优秀,能够满足正常科研上网需求。20.7%的用户认为网络速度在高峰时段存在一定拥堵,表现一般。经管理员查看网络流量图,高峰时段具体时间范围为9:30-16:30,如图2所示。另外,5.9%的用户表示网络速度较慢。经过调查人员的现场测试,访问北京测试站点的延迟平均为58ms,下载速度介于400K到1.2M之间。有线网络的丢包率很低,而无线网络由于受多种因素影响,丢包率情况各不相同。

图2 研究所出口接口吞吐率拆线图(一周流量)

2)调研分析。大部分用户对园区网络使用体验较好,但少部分用户反应网速慢。其中,主要原因包括多人共用无线路由器以及研究所网络出口带宽饱和和骨干设备性能低下。此外,在会议室和人员密集区域内未部署高密度AP,导致该区域的网络体验较差。

高峰时段主要发生在上班时间,此时上网人数较多,且研究所出口网络带宽为科技网600M。由于网络饱和度达到100%,导致网络拥堵。

种质库和分类室中的超算用户反映向研究所外或研究所内的超算集群传输速度较慢。其中,研究所外传输速度较慢主要受到研究所出口带宽饱和的限制,而研究所内传输速度较慢则主要原因是楼宇间接入交换机老化和办公室内使用的网络为百兆线缆。

3.4 网络应用

1)使用情况:用户需求反应较为多样化,其中反映较多的问题包括上网portal认证掉线、个别网站打不开、邮件客户端双因素配置以及缺乏常用办公软件等。

2)调研分析。经与用户交流和实地测试发现,大多数用户掉线是因为服务器端设置了8小时的主动下线,而设定此时限是由于认证核心交换机性能容量不足。部分用户掉线是因为多人共同使用一个路由器进行Portal认证导致的。还有少数用户掉线是由于Portal认证与浏览器不兼容导致的。

3.5 网络安全

1)使用情况:网络安全措施不健全,未设置开机密码,用户账号使用弱密码,操作系统和应用软件漏洞未及时更新,未定期查杀电脑病毒,缺乏网络安全意识和培训,实验室自建的网络设备未及时更新和配置。

2)调研分析:网络安全措施需加强,包括设置开机密码和使用强密码保护用户账号,及时更新操作系统和应用软件漏洞,定期进行电脑病毒查杀,提升网络安全意识并提供培训,及时更新和配置实验室自建的网络设备。

4 研究所科研网升级方案设计

通过现场问卷调查、访谈和实地观察体验,我们收集了详细的科研网络使用情况数据,设计了深入的、符合研究所实际情况的科研网络升级改造方案。

4.1 优化网络结构,包括将骨干网络升级至万兆,将接入网络升级至千兆,升级核心网络设备,提升出口带宽容量,以满足现代科研对高速网络的需求

对于主干网络核心设备,例如路由器、防火墙、核心交换机和汇聚交换机,将升级为万兆并实现双回路运行。接入交换机将升级为千兆。在核心层,将使用千兆超6类线取代5类百兆线来连接网络中心与各个实验室,以确保网络的稳定运行。同时,淘汰运行7年以上的网络设施,更换住宅区老旧接入设备。还需将科研网络出口带宽从600M扩容至2GB,以满足未来5年科技创新对网络带宽扩张的需求。

在网络管理方面,清晰理解整个网络的结构,标明各个设备的位置和连接方式。选择Zabbix、SolarWinds、Cacti等网络管理软件,自动发现并监控网络设备,查看设备的在线/离线状态、CPU和内存利用率、带宽使用率等重要参数,并提供图形化界面以进行管理和故障排除。最后,利用网络管理软件提供的报告和分析功能,收集和分析网络设备的数据,帮助管理员了解网络的使用模式、瓶颈以及未来需求,从而进行更有效的规划和决策[4]。

4.2 提升桌面网络覆盖范围,以满足用户可靠且稳定的上网需求

一方面,提升桌面网络端口的覆盖范围,提供更广泛的网络连接和更好的网络服务。目前,我所职工和学生每天需要连接到网络的终端数量约为1 600-2 000个(包括服务器),相比五年前已翻倍。未来五年研究所预计上网人数约为1 500人,实时上网设备数量为2 000-3 000个(每人2-3个设备)。为此,我们计划在机房内增加接入层交换机,用户桌面端重新布置网络线缆或光纤,从而扩展端口的覆盖范围。此外,住宅区每个套间目前仅有1个网口,在多人同时使用时不便且网速较慢,因此我们计划改造为每个房间配备1个有线网口。

另一方面,建设一套安全、高效的无线网络平台是科研网改造的重要工作。智能手机、平板电脑等移动设备连接无线网络处理事务的需求在增加,会议室、报告厅、体育场馆等高用户密度环境中需要能够同时支持大量用户连接并保持稳定的网络速度和质量的无线网络[5]。无线网络能提供更灵活的研究环境,使研究人员能够随时随地使用各种设备进行实验、数据采集、数据分析、实时监控和控制实验结果等工作[6][7]。因此,我们计划将原先的240个无线AP信号发射点升级为500个,以满足2 000个无线终端的接入需求。

保障所有终端设备顺利接入科研网,并高效访问网络资源,是本次网络升级改造的核心需求。我们需要在性能和安全使用上同时保证,有效防范各类局域网内攻击和非法入网现象的发生,增强网络的健壮性和容灾能力[8]。

4.3 认证控制升级改造

中华人民共和国《网络安全法》第二十四条规定,互联网服务提供者应当采取措施,要求用户提供真实、有效的身份信息进行实名认证[9]。目前,我所用户入网是基于portal标准的WEB认证,但这种方式存在不稳定、部分设备不支持等诸多问题。因此,我们计划增加稳定、方便、易操作的802.1X标准、MAC白名单、微信、手机短信等认证方式[10][11]。考虑改进登录界面的设计和用户交互,使其更加简洁、直观、友好,减少认证流程的烦琐性,提高用户体验[12]。同时,我们还计划安装日志审计软件,实现网络安全事件的溯源。

除了一般用户,在网络改造中还需考虑一些特殊设备的入网需求。目前,科研网内也存在一些特殊设备,这些设备无须进行认证就可以直接接入科研网络。这些设备分布在园区各楼宇中,如温室监测数据回传的控制器、种质库监控种子管理的机器人、连网的科研实验仪器、监控使用的硬盘录像机设备、餐厅刷卡机、实验室计算用电脑终端等。本次网络升级改造中,还需要考虑这些特殊设备的入网需求,并对这些设备做安全防护保障。

4.4 科研网络整体安全升级改造

网络安全已成为目前网络运行维护工作的最重要任务。首先,在科研服务器方面,特别是各专题组的服务器,需要进行统一管理、规划和部署。服务器中的数据是攻击者最感兴趣的目标,一旦科研数据被获取、篡改或丢失,将带来灾难性后果。因此,需要部署高性能防火墙、基于内容特征的入侵防御系统、控制远程访问的堡垒机、面向终端用户的安全态势感知设备,以提高服务器区域和用户客户端的安全防护能力[13]。

其次,在网络设备的安全防护方面,需要考虑防范网络病毒、木马、ARP攻击以及屏蔽非法DHCP设备等威胁。还需要建立日志系统和上网行为审计系统,将各类日志进行汇总存储和分析,为用户提供实名入网日志、NAT日志等,并记录用户入网行为轨迹等重要功能[14][15]。

4.5 实现野外台站基础科研网络设施覆盖

研究所已经建设了5个野外台站,其中丽江站已纳入国家站体系。由于仅使用家庭带宽网络无法满足科研数据的大量传输需求,一旦台站计算机出现故障,将导致重要的科研数据丢失。考虑到野外台站的地理位置等特殊性,除了要建设有线网络,也应考虑覆盖无线网络。由于野外科研台站设置在较偏僻的地方,环境较为复杂,铺设无线网络能够更好地节约成本[16]。加强对这5个野外台站的网络建设,将提升科研数据传输链路的安全性,实现与本部互联互通,以便进行研究数据的回传和异地灾备。

5 结论

通过对园区网络进行现场调研,我们对研究所的网络基础设施和网络使用情况有了更深入、详细的了解发现了存在的问题,并提出了相应的改进建议。希望通过这些改进措施,为后续优化“研究所科研网络基础设施建设升级方案”提供重要参考,进一步提升网络的使用效果,为科研人员提供更好的信息服务,同时为行业内组织调研提供参考和借鉴。

猜你喜欢
研究所升级用户
睡眠研究所·Arch
小投入,大升级 Polk Audio Monitor XT系列
睡眠研究所民宿
未来研究所
幸福,在“家门口”升级
回暖与升级
关注用户
关注用户
关注用户
如何获取一亿海外用户