菏泽学院校园网升级改造设计及其实现*
2011-12-22户占良
户占良
(菏泽学院现代教育技术中心,山东菏泽 274015)
菏泽学院校园网升级改造设计及其实现*
户占良
(菏泽学院现代教育技术中心,山东菏泽 274015)
菏泽学院原校园网运行中存在数据交换严重依赖于核心交换机、安全性差等问题.通过分析,采用“核心+汇聚+接入”三层网络结构与虚拟局域网技术、开放最短路径优先协议,顺利实现了校园网络的升级改造,提高了校园网的可用性、安全性、可管理性,为学校工作和师生的学习提供了一个良好的网络环境.
菏泽学院;校园网;网络升级改造
1 菏泽学院原校园网状况
计算机网络已经成为高校必备的信息基础设施,其水平已经成为衡量高校教学、科研与管理的重要指标.本校前些年成功实施了校园网建设工程,校园网覆盖了办公楼、教学楼、家属区及各个校区.网络建成运行几年后,伴随着各种应用的扩展,遇到了一系列新的问题,比如网络规模扩大、设备陈旧、存在网络单点故障、网速慢、用户数量不断攀升和流量增大等.除核心交换机和几台汇聚交换机之外,各楼层接入交换机大部分都是采用傻瓜性二层交换机,没有管理功能,导致网络管理比较困难.各个楼层的交换机设备已经使用5年,不具备主动防御网络病毒攻击、监控流量与远程配置等功能,使得某些区域的IP地址冲突、ARP(address resolution protocol,地址解析协议)病毒攻击严重,经常出现网络频繁掉线、堵塞变慢、IP地址被任意修改等问题,给教学和科研工作带来了不利影响.由于ARP病毒攻击,使三层路由交换功能集中在核心交换机上,从而增大了核心交换机压力,影响整个校园网络运行安全.为满足校园的日常工作要求,使师生有一个良好的网上学习环境,有必要对校园网进行升级改造.
2 校园网升级改造需求分析
校园网升级改造面临的主要问题有:第一,如何在原有校园网基础上扩大校园网规模;第二,如何在原有校园网基础上建立稳定的校园网;第三,如何在原有校园网基础上实施多出口链路负载均衡.
针对这些问题,校园网升级改造的指导要求为:重视原有的投资保护,在原有校园网的基础上,充分利用已有的网络资源;跟踪校园网的先进技术,确保先进性和扩展性,确保适度超前.
校园网升级改造具体需求分析如下:
1)高性能需求 校园网升级改造后,网络规模将扩大,网络结构也将变得复杂,采用万兆以太网与三层交换技术相结合,将满足其性能要求.
2)稳定性需求 原校园网采用单核心的架构构建骨干网,各子网网关大部分设置在核心交换机上,单个子网的故障可能影响到全校网络.本次网络升级需要采用双核心冗余,提高网络的稳定性.
3)高管理性需求 统一管理平台,能够通过图形化界面实现拓扑结构自动发现、远程管理、报警管理及监视主干网络设备等功能,能够很方便地对网络进行全面的管理和维护.
4)网络安全需求 校园网的安全保障十分重要.网络安全包括各种路由交换设备的安全,包括应用系统的安全,包括对各类用户的认证.只有通过认证的用户,才能有权使用相应业务.采用防火墙技术抵抗黑客的攻击,阻止非法用户的访问.
5)先进性需求 校园网采用的组网技术必须是成熟和先进的.要求支持IPv4/IPv6双栈和组播,同时要求采用万兆以太网技术.
3 校园网升级改造设计
3.1 校园网升级改造相关技术
校园网升级改造是一项复杂的系统工程,所采用的技术直接影响着校园网升级改造能否成功,直接影响着升级改造后校园网能否高质量运行.校园网升级改造相关技术包括以太网技术、VLAN(Virtual Local Area Network,虚拟局域网)技术、三层交换技术及防火墙技术等.
近年来,万兆以太网技术发展迅速,大量的网上应用对万兆以太网的发展产生了巨大的推动作用.在核心技术的推动和用户需求的拉动下,万兆以太网已经广泛应用于校园网.万兆以太网相对于千兆以太网拥有着绝对的优势.万兆以太网是一种只采用全双工数据传输的技术,不支持单工和半双工,也不再采用CSMA/CD(Carrier Sense Multiple Access/Collision Detect,载波监听多路访问/冲突检测)机制[1].为简化故障定位,万兆以太网不再支持自协商.万兆以太网技术基本继承了以太网、快速以太网及千兆以太网技术,因此,在用户普及率、使用方便性、网络互操作性及简易性上占有极大优势.在升级到万兆以太网解决方案时,网络管理员不用担心正在运行的程序是否会受到影响,网络升级的风险性较低.在进行升级改造时,核心交换机与路由器之间采用万兆以太网技术,核心交换机与汇聚交换机、汇聚交换机与接入交换机采用千兆以太网技术.这样既保护原有的投资,又能扩展校园网的性能.
VLAN技术建立在交换式局域网的基础之上,将网络资源或网络用户按照一定的原则进行划分,把一个物理上的网络划分为多个小的逻辑网络,每个逻辑局域网形成各自的广播域[2].不同VLAN中的设备即使物理连接在同一交换机上,也不会相互通信.通过VLAN划分可以控制用户的访问权限和逻辑网段大小,有效地避免非法入侵,提高网络的安全性.
三层交换技术是相对于传统交换概念提出的.传统的交换技术是在OSI网络标准模型中的数据链路层进行操作的,而三层交换技术在网络模型中的网络层实现了分组的高速转发.三层交换技术将二层交换和三层路由结合在一起[3].三层交换技术解决了局域网中网段划分之后,网段中子网必须由路由器进行管理的局面,解决了传统路由器低速所造成的网络瓶颈问题.三层交换具有高可扩充性、高安全性、适合多媒体传输等优点.
3.2 校园网网络结构
升级改造方案重新规划和设计了校园网的网络体系结构和校园网内的IP地址,采用“核心+汇聚+接入”模式,在层次上分为核心层、汇聚层、接入层[4],这样网络结构将变得更加清晰.每个汇聚交换机形成一个独立的网络区域,区域内部的各种攻击只限于本区域,对校园网其他区域不产生影响.核心交换机与各汇聚交换机之间采用单模光纤连接,用光模块代替过去的光收发器,提高了网络的速度和稳定性.
4 校园网升级改造实现
4.1 校园网升级后的网络结构
校园网采用星型拓扑结构,核心交换机以RGS8610为中心,汇聚交换机采用RG-S5750,接入交换机RG-2600E.RG-S8610是锐捷网络推出的高密度多业务IPv6核心路由交换机,提供3.2T背板带宽和1.6T交换容量,支持将来更高带宽的扩展能力,支持下一代以太网100G速率接口.核心交换机RG-S8610间采用两对万兆链路通过VSU(Virtual Switching Unit,虚拟交换单元)线卡连接,实现冗余功能检测的同时实现负载均衡的功能.RG-S8610采用集成万兆防火墙模块,提供较高的安全性和可靠性.汇聚交换机采用端口聚合上联核心交换机,两台核心交换机采用端口聚合下联汇聚交换机.RG-S8610与RG-S5750交换机均支持万兆和IPv6.校园网网络主干拓扑结构如图1所示.
4.2 OSPF路由设计
选择校园网的路由协议时要充分考虑网络的规模和复杂性、网络流量、路由协议的可管理性、技术实现以及对安全的要求.OSPF协议是具有较高效率的动态协议,对于网络的拓扑结构变化可以迅速地作出反应,提供较短的收敛期,使路由表尽快稳定化.OSPF路由采用两级分层结构,适合结构复杂的大型网络[5].
作为网络的核心层要尽可能快地交换数据而减少具体数据的路由运算,从而避免降低数据的交换速度,采用OSPF协议能够达到校园网路由快速收敛的目的.定义核心层为OSPF的骨干域Area 0,以建立起OSPF自治系统的主干区域,负责OSPF区域间路由信息交换.核心区引入router-id和互联地址与汇聚区引入router-id和直连路由便于维护和收敛.
图1 菏泽学院校园网升级网络拓扑图
4.3 网络管理
网络管理软件采用RG-SNC(Smart Network Commander,智能网络指挥官)实现了整个网络结构的拓扑发现,并且监控网络设备的性能情况、链路的使用率、同时实现有线无线统一管理.
RG-SNC拓扑管理展示了校园网的真实拓扑,不同的设备类型用不同的图标区分,已纳入管理的设备可以自动布局,也可以手动添加或布局控制,并通过拓扑图呈现丰富的设备、告警、流量信息,实时地监控网络运行的全貌;可以直接在拓扑图上查找用户关注的设备和链路节点,进行点击获取更加详细的信息;可以将拓扑图保存或者直接导出.RG-SNC系统对网络设备关键参数采用TOPN(顶端呈现)的方式,提高网络管理员对危险设备的关注度.RG-SNC系统在图形界面中直接给出网络设备的CPU利用率、内存利用率、接口带宽利用率等几个重要指标.
4.4 网络认证
802.1x认证有效解决了以太网认证问题.如果用户认证过程失败,端口接入将被阻止.校园网升级改造所采用的认证系统为锐捷RG-SAM(Security Accounting Management,安全账户管理)系统.SAM系统是一套以实现网络运营为基础,提高管理效率为目的的网络安全管理系统[6].SAM系统以网络硬件平台为基础,实现网络用户和设备集中统一管理,提供了校园网管理整体解决方案,满足了性能、安全与管理的升级需求.SAM系统支持多种接入方式和802.1x协议,满足认证和计费的需求.SAM系统杜绝了用户间IP地址冲突,减少了网络管理员的维护工作量.SAM系统全程动态地绑定IP地址、MAC地址,有效确保了网络安全.SAM系统根据不同用户的权限设定不同的访问规则.网络管理员可以根据SAM系统的日志功能,进行事后查询,为解决各种问题提供依据.
通过本次对校园网的升级改造,使菏泽学院校园网网络速度、安全性及稳定性得到了较大提高.同时校园网的升级改造满足了教职员工和学生对网络应用的需求,使教职员工和学生拥有了一个良好的教学、科研和学习环境.
[1]杨聪毅.校园网(多)出口安全解决方案[J].信息网络安全,2009,(1):65 -66.
[2]杨永斌.VLAN技术在校园网建设中的应用[J].计算机科学,2004,31(12):41 -43.
[3]陈丹,黄国言.第三层交换技术及其在VLAN子网规划中的应用[J].北京工商大学学报:自然科学版,2009,27(4):43-46.
[4]王伟,袁胜忠.校园网安全架构解析[J].中国教育网络,2009,(1):75 -77.
[5]郭伟,柯汉波.多区域OSPF校园网路由设计与实现[J].计算机系统应用,2003,(8):48 -50.
[6]肖智能,唐连章,刘洁.结合RG-SAM计费系统的校园网802.1x认证改造[J].广州大学学报:自然科学版,2009,8(6):34-36.
Upgrading Reconstruction of the Heze University Campus Network and Its Realization
HU Zhan-liang
(Modern Education Technology Centre,Heze University,Heze Shandong 274015,China)
There were some problems existing in the original campus network in Heze University like data exchange depending on the core switch,and low security.Through the analysis,three layer network structure of core+convergence+access,VLAN and OSPE are used to fulfill the smooth realization of campus network upgrading reconstruction,which increases usability,safety,and manageability of the campus network and provides a good network environment for work and study.
Heze University;campus network;network upgrading reconstruction
TP 393.18
A
1673-2103(2011)05-0036-04
2011-08-24
菏泽学院科研基金资助项目(XY09JS02)
户占良(1975-),男,山东菏泽人,工程师,硕士,研究方向:信息管理与网络安全.