关于优化校园网管理策略的探讨
2009-12-11吕淑艳
吕淑艳
摘要 随着校园网建设的日益完善,网络管理工作正面临巨大的挑战。通过对制约本校网络管理的2个因素的分析,提出相应的解决方案,目的是提高校园网的网络性能,充分发挥校园网在教学、科研、管理中的重要作用,为学校的信息化建设工作的顺利开展打好坚实基础。
关键词 局域网;VLAN;网络带宽
中图分类号:TP393.18 文献标识码:B 文章编号:1671-489X(2009)27-0095-02
Exploration on Optimizing Strategy of Campus Network Management//Lv Shuyan
Abstract With the increasingly consummation of the Campus Network construction, the job of network management is facing the huge challenge. The author puts into the corresponding measures by analyzing the two factors restricted the network management in the own school, in order to improve the network capability, sufficiently play the important function of the Campus Network in school teaching, scientific research and management, and build the solid foundation of the smooth development for the school informationization construction work.
Key words local area network; VLAN; network bandwidth
Authors address METC of China University of Political Science Law, Beijing, 102249, China
中国政法大学校园网建设已经很完善,全校信息点大约有7 000个,有线网络全校覆盖。作为网络管理者,要不断提高网络管理水平,具有前瞻性,不断制定出相对完善、可靠的管理策略,以提高校园网的性能,最大限度地发挥校园网的积极作用。
目前学校网络性能的制约因素主要在局域网内网络性能和带宽压力,以下就这2个方面存在的问题和解决方法进行详述。
1 局域网内攻击泛滥,网速慢
学校采取核心、汇聚、接入的三层网络结构方式,将几个楼的网络作为一个汇聚层单元,汇聚交换机光纤上联核心设备,超六类双绞线下联各接入交换机。汇聚交换机上设定合适的策略,管理所有下联的接入交换机(图1)。
VLAN(Virtual Local Area Network)是网络设备上连接的不受物理位置限制的用户的一个逻辑组。在一个VLAN上的设备或用户可以按功能、部门、应用等分类,而不管它们的物理位置。VLAN允许将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性[1]。局域网内,由于各种网络病毒的滋生、蔓延,故意使用各种黑客软件进行的攻击,无节制地打网络游戏,使网络负载很重,出现断网、网速慢等现象。为了解决这些故障,采用端口VLAN隔离法的策略,一个交换机端口一个VLAN。实施步骤如下。
1)确认设备是否支持该策略。学校采用的汇聚设备H3C 5500,软件版本version 5,支持1 024个VLAN interface和IP pool的创建,支持动态地址分配。符合策略的要求。
2)局域网地址规划。根据汇聚交换机下联交换机和信息点的数量,规划设备管理地址和用户IP地址,地址能够进行路由聚合。一个信息点一个VLAN,采用私网地址段10.0.0.0/8。每个房间有6台主机,采用VLSM(变长子网掩码)方法,子网掩码:255.255.255.240。
3)制定文档,为交换机的配置工作提供依据,内容如表1所示。
4)在线配置设备。对在线设备的配置修改,不能影响用户的正常用网,因此所做的配置不能立即生效,选择合适的时机下发。汇聚层和接入层设备很多,配置工作量很大,如果选择在交换机上逐条配置,效率很低。因此采用事先将所做的配置工作通过电子文档编辑,最后复制到交换机配置视图下的方法。
配置步骤如下。
汇聚交换机:
[H3C] vlan 2
[H3C] interface vlan 2
[H3C-Vlan-interface2] ip address 10.0.3.1 255.255.255.240
[H3C] dhcp server ip-pool 1
[H3C-dhcp-pool-1] network 10.0.3.1 mask 255.255.255.240
[H3C-dhcp-pool-1] gateway-list 10.0.3.1
[H3C-GigabitEthernet1/0/18] port trunk permit vlan 2
接入交换机:
[H3C] vlan 2
[H3C] interface gigabitEthernet 1/1
[H3C-GigabitEthernet0/1] port trunk permit vlan 2
[H3C] interface Ethernet 0/1
[H3C-Ethernet0/1] port access vlan 2
除以上基本配置,还需修改相关路由配置,按原路由策略,添加或删除相应的网段即可。
5)下发策略,使更新的配置生效。考虑到网络不能中断,新的配置又要生效,采用并行替代法,最大限度减少网络切换的时延。在交换机上更改为动态获取IP地址。之前终端用户采用的是静态分配IP地址,此时用户即使没有修改IP地址获取方式,仍能上网,配置的修改过程对用户来说是完全透明的。发通告,告之用户更改为自动获取IP地址方式,并给予一定的周知时间。按照步骤3的电子文档,在各个信息点上联的接入层交换机的各个端口下发相应的VLAN。
步骤5的操作过程中,有些在线用户可能网络中断,此时用户只需重新启用网卡,再次获取新的IP地址即可恢复用网。
这种方法实施以来,局域网性能得到大大改善。主要体现在:1)用户端的ARP病毒、广播包、一些非法攻击行为等得到有效抑制;2)这种方法在学校现有的网络设备上都可实现,无需去更换或添加设备,节省成本;3)用户用网步骤简单、明了;4)终端用户报修大大减少,既减少网络管理者繁杂的维修工作量,也实现角色由“勤杂工”到“救火队员”到“网络决策员”的转变。
2 多样化的网络应用给出口带宽带来巨大压力
随着信息技术的快速发展,网络应用也丰富多彩。网络带宽一定的情况下,用户随意用网,使带宽出现瓶颈。特别是用户在线看电视、打游戏,以及利用BT、迅雷、eMule等P2P软件,无限制地下载,不仅占用宝贵的带宽资源,还使网络性能严重下降,影响正常的教学、科研、管理。利用资金的注入来解决带宽的扩展是不现实的方法,可以采用以下措施,缓解这些现象。
2.1 多链路并存,分担带宽压力学校在原有CHINANET和100 M CERNET链路的基础上,增加10 M CHINANET、1 000 M CERNET和1 000 M IPv6。由于链路拥挤,2条原链路已经超负荷工作,特别是校内重要的服务器满足不了校外用户的访问,因此开通10 M链路专门用作服务器,保证业务的畅通。增加1 000 M CERNET,是为了分担100 M CERNET的压力,充分利用教育网内资源。学校已经接入1 000 M IPv6网络,虽然目前该网络是一种实验性网络,但其丰富的网络资源,免费使用,极大地满足用户的需求,分担带宽的压力。
2.2 利用路由策略,使业务选择最优的链路针对用户的源地址和目标地址以及链路的使用状态,实施策略路由。采取几种路由策略,例如:源地址是学生用户,访问目标是CERNET资源,可以优先选择1 000 M CERNET链路;源地址是教师用户,访问目标仍是CERNET资源,可以优先选择100 M CERNET链路;而目标地址是CHINANET,则选择CHINANET链路。
2.3 搭建校内资源库,减少用户外网下载资源量建设校内FTP服务器和BT服务器,一方面,管理者要去搜索一些资源放到服务器上,不断充实、更新、维护;另一方面,要充分调动教师、学生的积极性,将自己的资源共享,提高利用率,实现用户在校内即可找到自己所需要的数据。
2.4 实行流量计费策略,限制用户无度下载这是从校园网管理层面,保证网络带宽正常应用的有效方法。尽管使用以上3种方法来解决带宽问题,但还是不能保证带宽的合理应用,因此实行按照流量计费的策略,已经实施4年的时间,很有成效。
通过以上4种方法的配合、实施,困扰很久的带宽瓶颈问题已经基本得到解决,链路资源得到合理分配,网络运维可靠、流畅。
3 小结
以上2方面是网管中遇到的比较集中的问题,而问题的解决也不是一蹴而就的,是在实践工作中不断摸索、尝试、验证的过程,网络管理的工作也正是这样一种不断完善的过程,不但需要资金、软件资源、硬件设备等支持,还需要合理的管理思路,更需要一支高素质的技术团队的配合。具备了这些基本要素,问题自然迎刃而解。
参考文献
[1]思科系统中对VLAN的定义[EB/OL].http://cisco.chinaitlab.com/special/vlanconf/Index.html