基于攀枝花學院的校園網(wǎng)設計方案分析與研究

1、 基于攀枝花學院的校園網(wǎng)設計方案分析與研究 劉彬Summary：高校信息化建設水平的高低直接影響著高校的教學水平和管理水平。校園網(wǎng)作為高校信息化建設的基礎保障，在整個高校的信息化建設中占有十分重要的作用。確保校園網(wǎng)能提供穩(wěn)定、可靠、安全、流暢的網(wǎng)絡服務是每個校園網(wǎng)的網(wǎng)絡工程師所努力追求的目標。該文以攀枝花學院為背景，分析當今高校的校園網(wǎng)建設過程中存在的問題，并提出一種高校校園網(wǎng)的設計方案。Key：高校校園網(wǎng)；設計方案：TP393 ：A ：1009-3044（2016）28-0044-021 高校校園網(wǎng)概況隨著計算機網(wǎng)絡的飛速發(fā)展，信息化建設已經(jīng)越來越受到高校的重視，很多高?；ㄙM大量的人力財力去

2、投資校園網(wǎng)建設。高校的校園網(wǎng)不同于其他類型的網(wǎng)絡，它不僅僅包括Cernet，還包括中國電信、中國移動、中國聯(lián)通等其他ISP網(wǎng)絡服務提供商。近年來，高校規(guī)模的日益擴大，學校的平均人數(shù)在1萬人以上，導致校園網(wǎng)用戶數(shù)的急劇增加且在某些時間點網(wǎng)絡流量巨大。如何盡可能保障全校師生能使用穩(wěn)定、可靠、安全的網(wǎng)絡是網(wǎng)絡設計、維護人員所要思考的問題。通過查閱資料、走訪等調(diào)研方式，我們總結出了高校校園網(wǎng)運行中存在的主要問題。1.1 校園網(wǎng)普遍無法有效應對網(wǎng)絡流量高峰期。高校的生均人數(shù)在1萬人以上，網(wǎng)絡用戶數(shù)的大幅度增加和網(wǎng)絡應用的特殊性使得高校校園網(wǎng)普遍會面對三個高峰期的挑戰(zhàn)。一是每天晚上的7點到11點，這是師生

3、使用網(wǎng)絡最為頻繁的時段，加之各種P2P服務使得網(wǎng)絡流量在該時段暴漲。二是每學期的學生選課時段。幾千人同時在線訪問服務器，網(wǎng)絡流量集中在某個服務點使得某個網(wǎng)段的流量急劇增加導致服務癱瘓。三是慕課學習時段。上千的學生同時使用慕課視頻資源，占用大量帶寬資源。1.2 校園網(wǎng)安全問題。校園網(wǎng)的安全問題主要來自以下幾個方面，一是計算機病毒。從計算機網(wǎng)絡出現(xiàn)以來，計算機病毒就是危害客戶數(shù)據(jù)安全最主要的方式之一；二是用戶缺乏安全意識。很多學生為了容易識記密碼，把很多重要的密碼設置為短小的純數(shù)字或者比較簡單的字母，這直接導致個人的隱私數(shù)據(jù)暴露在網(wǎng)絡中。2 方案設計與分析攀枝花學院校內(nèi)包括學生宿舍、學生實驗中心、

4、家屬區(qū)、辦公樓、教學樓等網(wǎng)絡信心點集中地37處。其中又以學生宿舍、學生實驗中心、家屬區(qū)的網(wǎng)絡信息點用戶數(shù)居多，數(shù)據(jù)流量大。校內(nèi)的各個信息點流量信息統(tǒng)計信息如表1所示：校園網(wǎng)絡用戶消耗流量最多且最常用的流量是視頻流量。一般每個節(jié)點的視頻流量為2M。在上萬個信息點中，考慮到不是所有信息點都會同時上網(wǎng)，那么按照同時使用率30%來計算：20000*2*30%=12000M那么學校的出口帶寬就應設置為至少1.2G，才能夠滿足整個學校的網(wǎng)絡服務。即在核心層之間和核心層與外網(wǎng)之間的鏈路應達到萬兆的傳輸速率，而在匯聚層，鏈路的傳輸速率則應該達到千兆。接入層之間達到百兆。假設最大滿負荷時，所有用戶都是100Mb

5、ps的桌面速率，用戶的同時使用率為30%，以80%的線速利用率且為全交換方式運行，信息訪問模式為多點訪問一點（如分析測試中心）。按這種最惡劣的突發(fā)情況計算最大信息流量為：20000*30%*100*80%=480Gbps面對如此巨大的信息流量，網(wǎng)絡中實現(xiàn)冗余備份鏈路和負載均衡顯得尤為重要。網(wǎng)絡安全方面，校園網(wǎng)絡安全是網(wǎng)絡方案設計和后期維護工作中的重點和核心內(nèi)容之一。在松散的大型校園網(wǎng)中，我們不能僅靠主機安全保護，應該力求讓攻擊者非法訪問的數(shù)據(jù)包在到達主機之前就應被網(wǎng)絡丟棄。因此，我們在設計校園網(wǎng)方案時，可以考慮將分布在教學、財務、人事管理等部門的系統(tǒng)應用服務器劃成一個虛擬子網(wǎng)，并根據(jù)具體的應用

6、環(huán)境，通過端口隔離、路由過濾、防DDoS拒絕服務攻擊、防IP掃描、系統(tǒng)安全機制、多種數(shù)據(jù)訪問權限控制等方式組織非法訪問服務。如果有些工作站要直接訪問校外網(wǎng)絡，可將它劃入某一VLAN并賦予VLAN不同對外訪問權限，例如只能訪問Cernet、禁止校外用戶下載資源等?？衫玫降募夹g包括ospf路由協(xié)議的安全認證、ACL訪問控制列表、Vlan技術以及硬件防火墻技術。根據(jù)以上分析，結合攀枝花學院的實際情況，以“經(jīng)濟性、實用性、網(wǎng)絡易于擴展”為準則，我們提出如下圖所示的校園本部網(wǎng)絡綜合拓撲圖：該設計思路還是采用目前校園網(wǎng)流行的三層結構設計，用防火墻和ACL、VLAN技術等實現(xiàn)網(wǎng)絡安全，在網(wǎng)絡設備上，我們以

7、H3C公司的網(wǎng)絡設備為參照。2.1 核心層該層為校園網(wǎng)的最外層。它是整個網(wǎng)絡的樞紐中心，承載著校園內(nèi)向外通信的所有數(shù)據(jù)信息。我們應該保證它的高可靠性、高效性、冗余性、容錯性、可管理性、適應性、低延時性等。核心層交換機主要需考慮帶寬以及包轉發(fā)能力，所以，該層的設備應采用高帶寬的網(wǎng)絡設備，且這一層不應該對數(shù)據(jù)包/幀進行任何的處理。綜合各方面因素，核心層路由器根據(jù)單位預算不同可選用H3C MSR 5600系列或 H3C SR6600系列路由器。2.2 匯聚層匯聚層介于核心層和接入層中間。它的作用是控制進入核心層的數(shù)據(jù)流量，其功能包括定義ACL安全策略、VLAN間的路由選擇、地址或區(qū)域匯聚等，目的是減

8、輕核心層設備的負擔，對數(shù)據(jù)包/幀的處理應該在這一層完成。考慮到學信息點多且分散，所以根據(jù)信息節(jié)點數(shù)量，將這些信息點劃為三個部分，每個部分有兩臺三層交換機，向上連接核心交換機，向下連接匯聚層的二層交換機，各個樓宇中的二層交換機和三層交換機必須具有VLAN功能，以實現(xiàn)隔離廣播和分段的目的。匯聚層的三層交換機和每個樓宇的二層交換機均使用兩臺（上述拓撲中，樓宇中的二層交換機未標識為兩臺）。三層交換機分別與核心層的兩臺交換機相連，二層交換機分別與匯聚層的兩臺三層交換機相連（見圖2），以實現(xiàn)冗余鏈路和負載均衡。另外，還可在三層交換機或二層交換機之間配置鏈路聚合。以增加鏈路帶寬，提高傳輸速率。在網(wǎng)絡設備上，

9、我們可選用H3C的E500系列交換機。2.3 接入層接入層是終端用戶（教職員工、學生）與網(wǎng)絡之間的接口，要具有即插即用性且易于使用和維護。同時，該層還要負責一些用戶管理功能（例如地址認證、用戶認證、計費管理等），以及用戶信息收集工作（如用戶的IP地址、MAC地址、訪問日志等）。選用接入層交換機，原則是低成本和高端口密度特性?？蛇x用性價比高的設備。我們?nèi)匀徊捎秒p機冗余備份鏈接的策略，以圖書館為例，接入層與匯聚層的連接見下圖2所示：3 結束語高校信息化建設是高校學分制的重要基礎保障，其性能、安全直接決定著學校后期的信息化建設水平。我們在制定校園網(wǎng)設計方案時，切忌盲目照搬別人的組網(wǎng)方案，一定要將可擴展性和經(jīng)濟可行性結合起來?？紤]的因素應該包括資金預算、信息點分布、流量大小、網(wǎng)絡可擴展性、網(wǎng)絡安全性、網(wǎng)絡設備廠商