系统科学视野下的高校校园网络体系的构建

2015-12-25谭晓东

贺州学院学报 2015年1期

谭晓东

（贺州学院计算机科学与信息工程学院，广西贺州 542899）

引言

随着计算机技术、网络通讯技术的快速发展，网络系统得到了迅速普及，它是一种公用网络，主要包括网络硬件体系及网络服务软件平台两大部分，可为各级学校、政府等部门提供网络承载服务，为面向社会服务的业务应用提供信息共享、业务协同等，能够满足各单位的公共服务、社会管理等方面的需求。因此，为了适应新时期的校园网络办公需求，各类学校都十分重视校园网络系统的建设。自开展校园数字化建设以来，各单位构建了一定规模的校园网络硬件和软件平台，为教学活动、网上办公、信息交流等方面发挥了一定的作用，但也带来了诸多现实问题［1-3］：一是建设方面的重复浪费，包括服务器、系统软件、安全设施等方面的重复购置，造成了较大的浪费和经济负担；二是管理方面存在较大的安全隐患，由于分散建设导致安全投入不足，保障防护和危险处置能力不强；三是维护方面的资源不足，这表现在维护技术力量、人员，以及维护经费等方面，致使网络难以可靠运行；四是由于缺少总体规划，基于校园网络的信息共享和业务协同方面的举步维艰等。分析发现，造成这些问题的根本原因是“二个分散，四个缺少”，即现有的网络采用以部门为单元的分散建设、分散运维的模式，再加上缺少统筹规划、缺少统一支撑、缺少标准规范、缺少整合共享［4-5］。

因此，必须改变现在这种分散建设和分散运行的模式，重新规划校园网络体系，整合建设和后期运维工作。在此背景下，本文参照系统科学的“整体性、动态性、综合性、最优化、模型化”的原则［6］，详细阐述高校校园网络构建的原则、目标、建设方案、逻辑设计等内容。

1 设计原则与建设目标

构建高等学校校园网络时，需遵循如下设计原则：

（1）开放性与标准化。网络体系结构和设计过程严格遵循IETF、IEEE等国际标准，同时还必须符合我国网络建设的技术规范标准。

（2）高性能。要求网络带宽较大，能够支持多种大容量数据的传输与处理，同时，在系统处理大数据时，系统仍然保持较高的网络吞吐力和传输效率。

（3）高可靠性与可用性。系统容错能力强，能够抗受一定的外部环境因素的干扰，具有较好的灾难恢复能力，单点故障不影响系统整体系统的可用性保持在99.9%以上。

（4）安全性。具有较高的数据安全和网络设备安全，安全包括两块，一块是数据安全，另一块是网络设备的安全，对于网络设备安全主要防止设备被破坏，而数据安全则是防止人为攻击或破坏。

（5）可维护和易扩展。要求系统应具有较好的可维护性，故障容易诊断，发现故障后，管理员也容易纠正错误或排除故障。系统具有较好的可扩展性，以方便后期升级操作，譬如后期扩容、增加新的设备、系统升级、链路接口的升级等。

建设目标：

（1）统一网络平台。依托我国电信部门，网络需覆盖学校行政人员和老师办公室、实验室、教室三级机构，同时在数据中心规划与INTERNET安全互联，满足用户的接入要求。

（2）统一校园协同办公系统。建立统一校园办公应用平台。

（3）统一数据中心。建设统一的系统支撑平台，包括应用服务器、数据库服务器、存储、备份等建设。

（4）统一网络数据机房。依照机房建设标准，规划校园网络中心统一机房，实现供电、空调、消防管控等功能，统一提供设备存放所需的空调、不间断电源等方面的物理环境，以及设备运行所需安全环境等。

2 建设总体方案

整个网络体系在逻辑上可划分为6个区域，具体如下：一是核心交换区域：由两台支持MPLS VPN PE功能、并带防火墙模块的汇聚交换机构成的核心交换区域。两台汇聚交换机之间通过两条以上千兆线路互联，提供接入单位的接入、VPN网关接入、互联网出口设备接入、数据中心设备接入以及纵向网路由器的接入；二是数据中心区域：由两台支持MPLSVPN PE功能的核心交换机组成的数据中心区域，两台设备之间通过两条千兆线路互联，并上联到上一级教育主管部门的汇聚交换机上，该区域主要提供应用系统的接入；三是互联网出口区域：由出口IPS（入侵防预系统）、防火墙构成的互联网出口区域；四是纵向网接入区域：由两台路由器（主备机各一台）构成的纵向网接入区域，主要用于纵向开展MPLSVPN业务；五是VPDN（虚拟专用拨号网）接入区域：它是由校园网统一部署的VPN网关构成的VPDN接入区域，该区域主要提供校园移动办公用户以及部分处于实训基地用户的远程接入；六是校园接入单位区域：由各级行政职能和教学机构组成的接入单位区域。总体方案的直观表示如图1所示。整个设计方案有机统一，所承载的功能全面，各单元在逻辑上保持独立，但它们相互之间又提供不透明的服务，多种交叉学科的技术和理论被融入网络体系中，充分体现系统科学的特点。

图1 网络体系建设方案图

3 逻辑设计

3.1 IP地址设计

IP地址划分主要包括公有IP地址和私有IP地址划分，学校通常会向当地电信部门申请或租用多个公网IP地址，公网IP地址分配指导原则：校园数据中心分配需分配1至2个C类公有网段IP地址；行政办公分配1至2个IP地址，教学部分分配2个以上C类公有网段地址，预留若干个IP地址，根据实际情况及未来发展需要按需取用。私有IP地址分配办法如下所述：校园数据中心需分配8个以上C类私有网段，网管地址及VPDN（虚拟专用拨号网）接入用户地址也从该网段中取用；行政部门分配10个及以上C类私有网段，每个接入单位以2个IP地址为单位分配，原则不超过0.5个C类（128个地址）私有网段；每幢教学大楼分配5及以上个C类私有网段，需要私有IP地址的其它楼房接入单元在该网段内按需取用；预留若干个C类私有网段以备后续发展所需，以上只是IP地址设计的一个中小规模的院校网络设计参考，具体设计还需要按照实际情况进行规划。

3.2 路由规划设计

为了达到新时期校园网络应承载的功能，遵照系统科学方法，可把整个校园网络在逻辑上划分承载网络、用户网络和校园网络外网三个部分，其中：承载网络，简称IGP，选择OSPF路由协议，主要用于宣告各骨干设备的loopback地址、设备互连的链路地址；用户网络：简称BGP，选择IBGP、MP-IBGP路由协议，其中IBGP用于宣告IPv4的用户路由，MP-IBGP用于宣告VPNv4的用户路由，这些用户路由是域内MPLSVPN用户业务路由。校园外网：BGP，EBGP、MP-EBGP路由协议，其中EBGP用于宣告校园外网与主管部门的主干网之间的IPv4路由，这些路由是跨域的MPLSVPN用户业务路由，路由规划三层设计直观表示如图2所示。同时，路由规划工作需涉及到路由协议（OSPF），OSPF作为一个层次化的路由协议，区域规划是非常重要的，OSPF区域规划主要根据设备的地理位置、各区域设备的数量、网络拓扑结构、设备的负载情况等要素来合理规划，OSPF的区域是以链路进行划分的，一台设备可以归属于多个域，通常可把域设计为骨干域非骨干域两种，骨干域又被称为Area 0，它负责全网进行高速、稳定的数据包转发；非骨干域负责本域内的路由，并与骨干域进行路由交换，非骨干域的划分主要依据设备所处的地址位置进行划分。

图2 路由规划三层设计图

3.3 VLAN设计

根据各用户接入业务（如专用网络区、公用网络区、互联网接入区）的不同，使用VLAN进行逻辑划分、VLAN ID作为接入的区分标识；VLAN设计可采用两种方式，一种是虚拟接口终结方式，接入层交换机网络侧为Trunk、汇聚层交换机用户侧为Trunk，汇聚交换机全局实现终结，虚拟接口终结方式要求VLAN ID具有全局唯一性，其管理方式灵活，操作简单，但是VLAN ID消耗、VLAN维护管理（二层环路等）方面有所不足。另外一种是子接口终结方式，接入层交换机网络侧为Trunk、汇聚层交换机用户侧为子接口，汇聚交换机用户侧端口上实现终结，该方式中的汇聚交换机用户侧为三层接口（IP），不需要VLAN ID具有全局唯一性，能够减少VLAN ID消耗，可避免二层环路。虚拟接口终结方式如图3（a）所示，子接口终结方式如图3（b）所示。由此可知，对学校网络规模不大的情况尽可选用第一种方式，否则选用第二种方式。至VLAN Y，这里的X，Y为正整数，每个用户可连续分配5个VLAN ID（每个用户所分配的第一个VLAN同时作为网管VLAN），如果VLAN是采用虚拟接口终结方式，则需要VLAN具有全局唯一性（同一台汇聚层交换机上VLAN ID不能重复）。每个用户开通3个业务接入，即为每个用户分配3个VLAN ID，其余VLAN ID作为今后该用户新业务接入使用。综上所述，VLAN规划如表1所示。表中前后部分的虚拟号都保留不给予分配，这样的设计有利于新业务的接入分配。