APP下载

校园网络升级改造方案设计与实现

2016-02-19何建新张松明王思琪周文芳

计算机时代 2016年2期
关键词:升级改造校园网络实现

何建新+张松明+王思琪+周文芳

DOI:10.16644/j.cnki.cn33-1094/tp.2016.02.017

摘  要: 以湖南城市学院数字化校园建设为背景,全面分析了网络运行现状及存在的主要问题,从加强校园基础网络平台建设出发,完成了网络升级改造方案设计并提出了具体实施步骤。该升级改造方案的实施,加快了学校数字化校园建设步伐,有效提升了学校信息化建设的整体水平。

关键词: 校园网络; 升级改造; 设计; 实现

中图分类号:TP393          文献标志码:A     文章编号:1006-8228(2016)02-56-05

Design and implementation of campus network upgrading scheme

He Jianxin, Zhang Songming, Wang Siqi, Zhou Wenfang

(College of Information Science and Engineering, Hunan City University, Yiyang, Hunan 413000, China)

Abstract: On the background of Hunan City University construction of digital campus,the present situation and the main problems of the network operation are analyzed. Starting from strengthening the construction of the campus network platform, the network upgrade scheme design is completed and the specific implementation steps are put forward. The implementation of the upgrade scheme, greatly accelerated the pace of school digital campus construction, and effectively improved the overall level of school information construction.

Key words: campus network; upgrading; design; implementation

0 引言

湖南城市学院是2002年3月经教育部批准组建的全国内陆第一所以“城市”命名的省属普通本科院校,现有校园面积1568亩,建筑面积49.25万平方米,设有16个二级学院,46个本科专业,在校学生17000余人,教职员工1200余人。学院立足行业,面向基层,突出城市主题,培养为城市和区域经济社会发展服务的高级应用型人才。

如今,校园网络流量与日俱增,网络带宽已经成为了制约学校校园网络新兴业务开展的瓶颈;由于校园网络环境日益复杂,网络管理效率低,校园网络通信正面临严峻的安全挑战。随着湖南城市学院校园二期工程建设的整体推进,加快了学校数字化校园建设步伐,这对提升学院信息化水平和校园网络升级、改造提出了迫切要求。

1 网络运行现状及问题分析

根据校园网“统一规划、基础先行、面向需求、分步实施”的建设思想,学校先后多次改造和完善校园网络,数字化校园建设取得了阶段性成果。经过十多年的发展,目前已建成了一个以千兆光纤为主干,覆盖学校教学区、办公区、生活区等所有建筑的大学园区网络。校园网络按“三层”结构部署,共有交换机350多台;采用结构化综合布线,1000M光纤到楼栋,100M超五类双绞线到桌面,光纤总长度达30多公里;网络接入信息点11200多个,接入计算机6000多台,网络用户达18000多人;校园网络多出口带宽达2400M,采用山石网科多核安全网关SG6000为网络提供安全控制和接入管理;建立了课程资源、数字化期刊等数字资源库,并实现了资源共享;部署了教务管理、财务管理、OA系统等九个管理信息系统软件;建立了校园一卡通、数字监控、数字广播、无线网络等应用系统。升级改造前的校园网络拓扑结构如图1所示。

对照教育部《教育信息化十年发展规划(2011-2020)》[1]和本科教学合格评估指标体系要求,目前学校数字化校园建设还存在较大差距,综合分析我们认为主要存在以下问题。

⑴ 校园主干网络设备档次偏低、技术落后、性能低下,骨干设备和主干链路无冗余,校园网络稳定性、可靠性无法保障。

⑵ 网络层次结构不清晰,存在多级级联现象,无法满足当前校园网络性能要求。

⑶ 网络管理与安全体系不完善,没有专业的安全认证系统,网络容易受到攻击,存在严重的安全隐患;缺少必要的网络管理和监测设备,校园网络管理和维护效率低,难度大。

⑷ 上网高峰期网络速度慢,缺乏可靠、安全的流量管理解决方案。

⑸ 部分汇聚层与接入层设备不支持IPv6双协议栈,无法实现IPv6的大规模部署。

2 校园网络升级改造方案设计

2.1 网络架构设计

基于校园信息化建设的网络应用需求、网络安全与管理需求、网络出口需求、强大数据中心建设需求,从加强校园基础网络平台建设出发,对原网络核心区域和汇聚区域相关设备进行迁移、替换,设计并实现汇聚层区域结构管理,在保持网络出口不变的情况下,对校园网络体系结构实现大数据大二层、网络扁平化改造[2-3]。升级改造后的网络拓扑如图2所示。

2.1.1 核心层骨干网设计

将校园网络升级为双核心网络,新增两台高端多业务核心路由交换机H3C S12510-X,将原核心S9312下移作为学生区汇聚。为满足核心层在速度、稳定及冗余等方面需求,核心层设计主要采取以下措施。

⑴ 采用IRF2虚拟化技术[4]。两台核心通过IRF2(Intelligent Resilient Framework 2)虚拟化成一台设备, 两台核心之间通过四条万兆光纤线路捆绑互联。

⑵ 主干链路冗余保障网络可靠性。各汇聚层设备分别与两台核心设备通过双万兆链路互联,保证主干链路数据传输的可靠性。

⑶ 简化核心层各类策略配置。核心设备的主要任务是实现高速数据转发及可靠性保证。把原接入层、汇聚层业务网关上移到新核心,尽量不使用策略路由、ACL等配置,提高核心设备工作效率。

2.1.2 汇聚层区域设计

汇聚区可对二层协议进行隔离,防止风暴类攻击蔓延到汇聚区外。基于园区网络规模,每个汇聚区域不宜太大也不宜太小,保持300至500个可直接管理的信息点数比较适宜。本次网络改造,改进原网络一般以单一建筑为单位形成汇聚区的模式,结合学校二期工程建设和学校建筑布局,对物理环境有效区域进行了汇聚层划分,采用高性能汇聚设备来实现多汇聚层结构。具体实现方法如图2所示。土木楼、市测楼、建规楼、2教学楼形成一个汇聚区;信息楼、电信楼、化工楼、1和3教学楼形成一个汇聚区;体育馆、音乐楼、美术楼等小楼栋形成汇聚区;办公楼、图书馆、朝阳家属区形成单模区;惠泽园教工家属区、学生区、新食堂及监控形成多模区。各楼栋汇聚设备分别以双路由模式与骨干区域核心设备连接,确保汇聚区与核心区的连接可靠性。

2.1.3 接入层设计

升级接入层交换设备为全部支持IPV6的三层智能交换机,支持安全控制、安全检测与自动防护功能,有效控制ARP、网络蠕虫等主流网络病毒传播途径,自动检测并阻断病毒的攻击行为,确保整个校园网络安全。将校园网接入层存在的二级或者二级以上级联组网方式改造成一级级联方式,即接入交换机直接上联到汇聚交换机,保证楼道交换机的上联带宽。接入交换机提供POE端口,连接增强型无线AP,实现各楼宇楼层的无线宽带接入。

2.2 路由设计

改造后的校园网是一个由两个核心、各汇聚和接入交换机构成的三级综合性网络。网络核心节点和各汇聚节点间采用OSPF路由协议进行连接。本次网络改造的OSPF路由设计由2台S12510-X核心路由交换机、9台汇聚交换机、1台流量控制设备和1个出口设备(防火墙)组成主干区(area0),其他每个汇聚区域形成独立子区域,分别与主干区域相连,形成覆盖整个校园的自治系统。在主干区域实现路由汇总,并为其他各应用区域提供路由信息交换的高速通道。

2.3 智能流量管理解决方案

虽然学校尝试过采取一系列进行流量控制与管理的设备和技术,但面对高校庞大的用户群和复杂的应用环境,均难以达到理想效果。针对学校网络现状和实际需求,本次升级改造方案采用Hillstone最新推出的智能下一代防火墙SG6000-T5060作为流量管理设备,以透明模式串联部署在出口防火墙和内网核心交换机之间,通过万兆光纤与上下设备互联,实现面向用户和应用的流量管理。根据需求对校园网络用户依据角色、应用、时间等多个维度进行流量管控,特别是在上网高峰时段为重要的网络应用提供资源保障。

2.4 多出口链路负载均衡设计

在校园网络出口设计中,采用H3C高性能的S7503E-S多业务负载均衡交换机,配合高性能负载均衡插卡,实现多出口情况下多链路的路由智能选择,保证内部用户选择最优线路访问Internet。通过对链路状态实时精确检测,选择合适调度算法,确保数据流量在各条链路上的均衡分配。在多运营商接入情况下,为Internet用户智能选路,通过最优线路访问内网服务器。

2.5 无线校园网络设计

本次改造无线组网方案采用瘦AP架构,数据中心部署万兆无线控制器AC,通过双链路连接核心交换机实现对校区内所有无线AP集中统一管理、控制与配置下发。无线AP实现无线信号加密、解密以及用户终端无线信号接入,通过交换用户认证信息,实现用户漫游。在办公楼、教学楼、学生宿舍等同楼层房间数量较多的场合,将AP安装在走廊墙壁并采用定向天线,适当调整天线角度,以覆盖指定区域。在图书馆、学术报告厅等无线用户高密度区域,采用2.4G和5G双波段无线覆盖方式增加用户接入能力。通过降低AP发射功率,实现同频重叠最小化,有效实现用户接入均衡分担。无线网络认证采用Portal认证方式,简单易用,特别适合无线校园网络大量用户同时认证与访问需求。

2.6 数据中心升级改造

数据中心是校内所有信息系统的承载区域,其升级改造不仅要满足现阶段数据中心接入需求,同时还要满足未来虚拟化、云计算环境需求。

⑴ 数据中心物理服务器部署

数据中心所有物理服务器组成内网服务器群,连接数据中心接入交换机S5700。S5700提供双电源、高密度万兆端口,使用万兆多模双链路上连核心交换机,确保数据中心接入交换机的性能及可靠性。

⑵ 数据存储服务区建设

数据存储服务区由2台数据库服务器、3台虚拟服务器、1台备份服务器和高性能存储设备组成,形成基于云计算的高校资源共享服务平台,采用万兆多模双链路直连核心交换机,提供对学校各种信息资源查询,有提供高容量、高可靠的存储能力。

2.7 网络安全解决方案

本次改造方案分别从可靠性网络系统设计,服务器可靠性、远程访问安全、防病毒体系和多链路构建等多方面来提升校园网络安全性[5]。

网络出口部署防火墙有效地将内网与外网隔离开来,保护校园网络不受未经授权的第三方侵入。运行关键业务的服务器组成双机热备系统,采用RAID1和RAID5相结合方式保护数据。采用IPSec VPN或SSL VPN方式来满足校外用户的远程访问安全。采用防病毒软件、VLAN隔离、访问控制列表相结合方式组成病毒防御体系。为保证接入用户合法性,采用传统的802.1X认证方式,通过认证后用户本地信息上传到认证服务器,为后续用户审计提供参考依据。

2.8 网络设备管理

采用H3C的IMC网络设备管理系统实现网络设备的集中统一管理。该系统能兼容所有主流网络产品,对所有设备的关键性数据进行实时监控,能主动发现问题并自动报警,直接告知故障点和故障原因。灵活的告警设置可以实时地提示管理员网络中发生的各种事件,从而大大提高网络管理效率。

3 校园网络升级改造方案实现

3.1 网络改造设备选型

新增核心路由交换机H3C S12510-X(2台),采用“分布式入口缓存”技术,可以实现数据200ms缓存,满足数据中心、高性能计算等网络突发流量的要求。新增3台S7006分别作为办公楼、图书馆和二期工程建设新建楼栋的大二层汇聚。新增汇聚交换机8台S5500分别作为教学区和实验区等楼栋的汇聚设备。S7006、S5500支持IPv4/IPv6硬件双栈及线速转发,具有出色的安全性、可靠性和多业务支持能力。替换部分接入层交换机为H3C E152以支持IPV6,支持防ARP攻击、端口环路检测、单向链路检测功能。

3.2 IP地址与VLAN规划

考虑IP地址分配的连续性、可扩充性、可管理性,本次网络改造IP地址仍然沿用原来IP地址规划方法,部分楼栋vlan划分与IP分配如表1所示。按楼栋划分VLAN,各区域VLAN网关地址和DHCP服务器配置全部平移到新增核心交换机S12510-X,同时删除被迁移、替换交换机的相应配置参数。升级改造后的校园网络IP主要分为以下四种类型。

⑴ 设备管理地址。采用172.16.0.0/24地址,分别按教师住宅区、办公区、多媒体教学区、监控、服务器区、无线区域进行分区划分。

⑵ loopback地址。每台设备创建一个loopback接口,并指定32位掩码,作为RouterID参与OSPF路由计算。

⑶ 设备互联地址。规划时一般使用30位掩码,连续可聚合地址。

⑷ 用户接入地址。采用10.10.0.0/24私有地址,通过出口设备统一进行NAT,转换成公网地址访问外网。

3.3 设备配置策略

⑴ 核心交换机IRF2虚拟化配置

在多台设备形成IRF2之前,必须确保IRF中所有成员设备的IOS版本,工作模式保持一致;与当前设备IRF-Port1绑定的IRF物理端口只能和邻居成员设备IRF-Port2口上绑定的IRF物理端口相连。

[SA]irf member 1 #设置SA的成员编号为1

[SA]irf member 1 priority 2

#默认优先级是1,优先级高的成为master

[SA]irf-port 1  #创建IRF端口1

[SA-irf-port1]port group interface Ten-GigabitEthernet 23

[SA-irf-port1]port group interface Ten-GigabitEthernet 24

[SA]chassis convert mode irf

#将设备运行模式切换到IRF模式

⑵ MSTP配置

在汇聚交换机和接入层交换机上开启MSTP防止环路。建立以汇聚交换机为根的生成树,所有vlan都在实例0里面,根桥优先级设为0,开启环路保护,接入交换机用户侧端口开启BPDU保护。

[SWA]stp mode mstp

[SWA]stp region-configuration

[SWA-mst-region]region-name csxy

[SWA-mst-region]active region-configuration

[SWA]stp instance 0 root primary

⑶ 启用DHCP Snooping防范DHCP攻击

DHCP Snooping是运行在二层接入设备上的一种DHCP安全特性。通过设置DHCP Snooping信任端口,保证该信任端口正常转发DHCP报文,从而保证DHCP客户端能够从合法DHCP服务器获取IP地址。

[SWA]dhcp-snooping

[SWA]interface ethernet 0

[SWA-ethernet 0]dhcp-snooping trust

⑷ 开启ARP入侵检测功能

当ARP报文中源IP地址及源MAC地址的绑定关系和ARP报文的入端口及其所属VLAN均与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配,则为合法ARP报文,进行报文转发处理。

[SWA]vlan 10

[SWA-vlan10]arp detection enable

#开启VLAN 10内所有端口的ARP入侵检测功能。

⑸ ARP报文限速功能

端口开启ARP报文限速功能后,交换机对每秒内该端口接收的ARP报文数量进行统计,如果超过设定值,则认为该端口受到ARP报文攻击,此时交换机将关闭该端口,同时设备支持端口状态自动恢复功能。

[SWA]interface Ethernet 0

[SWA-Ethernet 0]arp rate-limit enable

[SWA-Ethernet 0]arp rate-limit 20

#端口Ethernet 0上开启ARP报文限速功能。

4 结束语

数字化校园建设是高等学校全面提高办学质量和办学效益不可或缺的基础设施。本文探讨了校园网络升级改造方案设计,并提供了具体实施步骤。升级改造后的校园网络,采用大二层网络架构替代传统的三层网络架构,实现了网络扁平化管理,校园网络可靠性大幅提升,所有设备和用户都可实现实时监测、统一管理,灵活的告警设置可以实时提示管理员网络中发生的各种事件,管理维护效率大大提升。流量控制策略的实施明显限制了P2P协议对带宽的侵占,达到了预期流量控制目的。面对日益复杂的网络环境,提出适合湖南城市学院的校园网络安全系统设计与实施步骤,是在此基础上需要进一步研究的内容。

参考文献(References):

[1] 余胜泉.推进技术与教育的双向融合——《教育信息化十年

发展规划(2011-2020年)》解读[J].中国电化教育,2012.20(5):5-14

[2] 郭海滨.莆田学院校园网络升级改造的设计与实现[D].南京

邮电大学,2013.

[3] 朱福祥.新一代数字化校园网设计与实现[D].南京理工大学,

2013.

[4] 陈丽佳.网络设备IRF虚拟化堆叠技术的研究与实现[D].南

京邮电大学,2011.

[5] 沈瑞泽.高校网络优化方案的设计与实现[D].沈阳工业大学,

2013.

猜你喜欢

升级改造校园网络实现
办公室人员尚需制定个人发展规划
探讨校园无线网络应用
苏州信息学院教务管理系统的设计与实现
高职学院信息化建设中面临的问题和思考
浅析铁路通信传输的构成及实现方法
校园网络背景下大学英语大班教学的缺陷探究
发射台自台质量保证系统分析及升级改造设想
应急通信车TD—LTE升级改造方案