時間:2023-07-24 16:16:10
序論:在您撰寫校園網(wǎng)絡的規(guī)劃與設計時,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度。
關鍵詞:校園網(wǎng);萬兆以太網(wǎng);IPv6
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2007)15-30665-03
1 建網(wǎng)需求
1.1一般建網(wǎng)需求
校園網(wǎng)的建設涉及到基礎網(wǎng)絡設施的建設和業(yè)務應用平臺建設兩個不同的層面。文章主要分析網(wǎng)絡基礎設施建設和網(wǎng)絡運營方面相關的內(nèi)容。校園網(wǎng)絡建設從網(wǎng)絡流量模型上看和企業(yè)網(wǎng)的流量模型相似,用戶集中而網(wǎng)絡流量大,但實際應用上還存在許多和企業(yè)網(wǎng)不同的地方。主要特點如下:
1.1.1多出口的需求:
典型的組網(wǎng)有中國教育和科研網(wǎng)(CERNET)出口和運營商網(wǎng)絡出口。多出口帶來了以下兩個需求:
A.多權限ISP需求。用戶可通過不同的賬號名或采用相同的賬號,不同的域名認證,獲得不同的上網(wǎng)權限。譬如做到用戶不認證前能自由訪問校園內(nèi)部分服務器,采用“user@163”登錄,可實現(xiàn)Internet和校園網(wǎng)絡自由訪問,采用“user@cernet”登錄,可訪問CERNET和校園網(wǎng)。用戶域名選擇可通過WEB認證時用戶通過選擇WEB認證上的相應選擇項進行選擇。
B.多ISP分別計費的需求,對應不同的ISP,計費策略不一致。
1.1.2用戶管理的需求:
使用方便,存在WEB認證需求。要求能做到基于WEB的身份認證、多ISP選擇、用戶費率查詢、帶寬動態(tài)調整(隱性需求)、多WEB界面(隱性需求)等。
需要解決賬號和端口綁定問題。通過此種方式限制賬號的使用區(qū)域。
對用戶帶寬進行控制的需求,要求設備能對用戶的帶寬進行控制,譬如限制為256K、512K、1M、2M、5M、10M等等級。
1.1.3以網(wǎng)養(yǎng)網(wǎng)的需求:
如何使現(xiàn)有網(wǎng)絡具有自我造血機制成為高校普遍關心的問題,而只有具有自我造血機制才能使校園網(wǎng)絡更好的發(fā)展,不斷的完善。目前主要的措施有兩個:
發(fā)行寬帶上網(wǎng)卡,改變以前單一,高成本的收費模式??ㄌ栴愋椭饕邪驴?、包月限時長、時長卡三種類型,包月限流量卡作為一種備選解決方案。同時配合靈活的折扣方式,引導學生上網(wǎng)(如上課時間單價比夜晚高些)。
開展服務收費。高校擁有豐富的教育資源,并且是公眾教育的主要支撐力量?;诰W(wǎng)絡開展有償?shù)馁Y源提供正成為目前公眾教育的主要形式。這樣不僅盤活了現(xiàn)有資源,通過有償服務推動公益教育的發(fā)展。
1.1.4安全管理的需求:
學生接受新鮮事務的能力非常強,因此校園也成為黑客最多的場所之一,如何保障校園網(wǎng)絡的安全成為建網(wǎng)時不得不考慮的問題,目前主要攻擊手段有DOS,DDOS等。
上網(wǎng)日志的需求,主要是配合公安機關保證社會的穩(wěn)定和校園的安全。
1.1.5NAT的需求:
由于沒有公網(wǎng)IP地址或地址不夠,另外,因為教育網(wǎng)地址用戶報文在通過運營商網(wǎng)絡邊界路由器時不被信任或運營商地址用戶報文在通過教育網(wǎng)邊界路由器時不被邊界路由器信任,會造成部分Internet網(wǎng)站不可訪問。解決此問題的措施需要在運營商或教育網(wǎng)其中一個出口做NAT,對此出口屏蔽內(nèi)部路由。
1.1.6組播業(yè)務的需求,特別是可控組播的需求將隨著校園信息化的深入而體現(xiàn)出來。
1.2建網(wǎng)具體需求
本次校園網(wǎng)建設工程,涉及到整個校園網(wǎng)。詳細需求為:
A.在圖書館三樓設立中心機房安放兩臺核心萬兆交換機;
B.一號樓和二號樓各需要2臺48口千兆交換機通過一臺萬兆交換機匯聚后千兆接入校園網(wǎng);四號樓需要3臺48口千兆交換機通過一臺萬兆交換機匯聚后千兆接入校園網(wǎng);研究生樓3個單元72套需要3臺千兆交換機通過一臺萬兆交換機匯聚后千兆接入校園網(wǎng);
C.學生公寓區(qū)一4大棟(每棟由2小棟采用“工”字形組成),每棟160間住房,共需56臺24口百兆交換機,通過百兆光纖匯聚到高性能安全三層快速以太網(wǎng)交換機后再通過千兆光纖接入核心交換機;學生公寓區(qū)二5大棟,共需約70臺24換機,也采用和公寓區(qū)一同樣的方式完成校園網(wǎng)的接入;
D.家屬區(qū)33棟共360戶,每棟采用一臺16端換機完成樓內(nèi)的接入,最后通過光纖匯聚到一臺高性能安全三層快速以太網(wǎng)交換機后再通過千兆光纖接入校園網(wǎng);
E.三號樓、五號樓、六號樓、七號樓、八號樓等樓棟的信息點采用交換機的堆疊再分別通過千兆光纖接入校園網(wǎng);
F.新建一臺核心路由器,實現(xiàn)和校園網(wǎng)和CHINANET、CERNET的相連。
2 校園網(wǎng)網(wǎng)絡建設方案概述
校園網(wǎng)網(wǎng)絡解決方案總體設計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則,以及考慮到技術的先進性、成熟性,并采用模塊化的設計方法。組網(wǎng)圖如下所示:
2.1核心層:
本次方案用兩臺萬兆核心交換機作為校園網(wǎng)的核心層。兩個萬兆交換機通過2GE鏈路捆綁相連。
核心萬兆交換機應具備足夠的業(yè)務槽位,較高的背板交換能力,滿足所有接口線速轉發(fā)的交換能力和與之相匹配的多層包轉發(fā)能力。同時核心萬兆交換機應具有良好的擴展性,還應具備良好的業(yè)務支持,如組播、MPLS VPN、IPv6、WEBSWTITCH、IDS和RPR等。因此我們可以根據(jù)校園網(wǎng)的發(fā)展增加相應的接口板和交換引擎,或根據(jù)需要增加WEBSWITCH、IDS等業(yè)務板持續(xù)的保證核心層的高性能。
2.2匯聚層:
選擇合適的匯集設備對于校園網(wǎng)來說意義重大。因為,一臺高性能的匯集設備不僅可以分擔核心設備的壓力,更能提高其所覆蓋網(wǎng)絡用戶的數(shù)據(jù)交換效率,保證校園網(wǎng)的暢通無阻。匯聚設備選擇的標準:A.性能強勁,能夠分擔核心設備的壓力。B.業(yè)務支持豐富,考慮實際應用,匯聚交換機應能提供以下業(yè)務支持能力:等值路由能力;內(nèi)置802.1x認證Server;完善的安全保障技術,有效抵抗各類網(wǎng)絡攻擊和病毒;萬兆支持能力。本次組網(wǎng),根據(jù)實際用戶分布和數(shù)量,匯聚層交換機選擇的全千兆(可擴展至萬兆)或百兆智能三層交換機。通過提供高密度的GE/FE端口,為園區(qū)網(wǎng)提供GE/FE接口的匯聚和收斂功能,匯聚交換機不僅可以保證教學區(qū)、宿舍區(qū)大量的數(shù)據(jù)無阻交換,同時還可以通過特有的安全技術,流控技術,認證技術提高網(wǎng)絡的質量,更好的提供網(wǎng)絡服務。并且隨著網(wǎng)絡應用的增加,可選用相應擴展接口。教學區(qū)的匯聚交換機要求還可擴展至萬兆接口,實現(xiàn)園區(qū)網(wǎng)在將來可從千兆骨干平滑過渡到萬兆骨干,從而有效地保護了原有投資。
2.3接入層:
一個高性能的校園網(wǎng)除了核心、匯聚設備性能要求強勁之外,最重要的一環(huán)是數(shù)量最大的接入交換機。接入交換機不僅要求保證線速的交換,同時要提供良好的用戶認證、管理和安全控制等功能,保證校園網(wǎng)管理策略的一致性。接入交換機通過用戶上網(wǎng)身份認證,費用統(tǒng)計,防MAC地址、IP地址盜用,帶寬控制,ACL管理,流分類等功能完成校園網(wǎng)的管理和運營,并且配合強大的處理能力,滿足校園網(wǎng)流量大,數(shù)據(jù)交換頻繁,業(yè)務開展較多的特點。
2.4路由器:
在校園網(wǎng)中,一般有兩個公網(wǎng)出口:一個教育網(wǎng)出口和一個運營商出口。路由器通過配置,應該可以實現(xiàn)用戶訪問教育網(wǎng)時走教育網(wǎng)出口,訪問公眾網(wǎng)時走公眾網(wǎng)出口;而當一個出口出現(xiàn)故障時能自動切換到另外一個出口,保證業(yè)務不中斷。還可以通過配置讓一部分用戶只能訪問教育網(wǎng)。
園區(qū)網(wǎng)中用戶的訪問量很大,而出口帶寬又是有限的,經(jīng)常出現(xiàn)用戶無休止的占用出口的帶寬資源,主要表現(xiàn)在使用各種下載軟件和P2P(BT)軟件占用帶寬很嚴重,導致連接數(shù)的增加和流量的突然增大。容易引起出口癱瘓。因此路由器應能夠基于IP頭、UDP/TCP頭,UDP/TCP內(nèi)容進行識別,并確定是否進行相應的控制。
2.5用戶認證管理
為統(tǒng)一的網(wǎng)絡認證和管理,本次方案將選用成熟的管理軟件作為全網(wǎng)的用戶認證和管理的核心。管理軟件采用平臺化設計,具備用戶認證、計費、LDAP、網(wǎng)關等多種功能模塊,可以根據(jù)實際需要開展基于802.1x的認證管理或基于WEB的認證管理。而且以后可根據(jù)需要實現(xiàn)多種計費,開展二次運營。
2.6網(wǎng)管平臺:
為提高網(wǎng)絡管理的效率,減輕網(wǎng)絡維護的壓力,本次組網(wǎng)采用網(wǎng)管系統(tǒng)進行全網(wǎng)設備的統(tǒng)一管理。網(wǎng)絡管理軟件可以對數(shù)據(jù)通信設備如路由器、交換機等進行統(tǒng)一管理和維護,位于網(wǎng)絡解決方案的管理層,能夠實現(xiàn)網(wǎng)元管理和網(wǎng)絡管理的功能。網(wǎng)絡管理軟件基于靈活的組件化結構,包括網(wǎng)元管理平臺、拓撲發(fā)現(xiàn)、流量監(jiān)管、面板管理、配置管理等,用戶可以根據(jù)自己的管理需要和網(wǎng)絡情況靈活選擇自己需要的組件,真正實現(xiàn)“按需建構”。
3.1IP地址規(guī)劃
在網(wǎng)絡規(guī)劃中,IP地址方案的設計至關重要,好的IP地址方案不僅可以減少網(wǎng)絡負荷,還能為以后的網(wǎng)絡再擴展打下良好的基礎。
3.1.1地址編制原則
A.唯一性原則
唯一性是IP地址在TCP/IP協(xié)議中最基本的要求,是IP地址的基本特征和IP地址編制的重要依據(jù)。校園網(wǎng)內(nèi)部每個子網(wǎng)絡所使用的IP地址的網(wǎng)絡地址字段必須是唯一的,同一個子網(wǎng)絡中的IP地址中包含的主機地址字段也必須是唯一的。
B.連續(xù)性原則
在層次化結構的網(wǎng)絡中為各個節(jié)點劃分連續(xù)的IP地址區(qū)間,便于實現(xiàn)路徑疊合等優(yōu)化IP地址的分配技術,簡化路由表數(shù)據(jù),提高路由算法的計算效率和動態(tài)路由的快速收斂,能有效利用地址空間。
C.擴展性原則
IP地址編制要兼顧網(wǎng)絡規(guī)模擴展的要求,為各個節(jié)點預留足夠的IP地址擴展區(qū)間時,應考慮對網(wǎng)絡在用地址的繼承性,滿足路由協(xié)議的要求、實現(xiàn)IP地址編用的平滑連接等,這是保證網(wǎng)絡擴展和有序管理的重要條件。
D.規(guī)范性原則
網(wǎng)絡內(nèi)各節(jié)點的網(wǎng)絡互聯(lián)設備和局域網(wǎng)內(nèi)主要設備等采用規(guī)范的地址編制技術和方法,是網(wǎng)絡互聯(lián)互通和提高網(wǎng)絡管理效率的有效措施。
E.標準化原則
遵循有關TCP/IP協(xié)議標準來規(guī)劃IP地址,是網(wǎng)絡建設的重要原則。
3.1.2 IP地址編制方法
A.完全二叉樹分配法
網(wǎng)絡中各級子網(wǎng)IP地址的編制,是從完全二叉樹地址空間中某一子樹的根開始,逐級向下地將該子樹下的從屬子樹分配給各級子網(wǎng)和其下級子網(wǎng),同級子網(wǎng)均以同樣方法分配同根的二叉樹。網(wǎng)絡互連IP地址和用戶主機IP地址,都是從本級子網(wǎng)的從屬子樹地址空間中分配。采用這一IP地址的編制技術,既避免了各級子網(wǎng)IP地址的重疊,又保證了各級子網(wǎng)IP地址空間的連續(xù)性。
B.分布式的地址空間預留技術
分布式的地址空間預留技術是指給按層次劃分的各級子網(wǎng)IP地址預留空間,當由于網(wǎng)絡擴展需要IP地址擴展時,可使擴展的IP地址空間與在用的IP地址空間連續(xù),使網(wǎng)絡繼續(xù)保持其最簡的路由表數(shù)據(jù)結構,保證了IP地址的平滑擴展。
C.無類域間路由(CIDR)編址技術
無類域間路由CIDR(Classless Interdomain Routing)編址技術使用了可變長子網(wǎng)掩碼VLSM(VARIABLE-lengthSubnetMask)技術和完全二叉樹地址分配技術,可根據(jù)網(wǎng)絡和主機的分布狀況,靈活地選擇不同的子網(wǎng)掩碼屏蔽位長度,動態(tài)地分配網(wǎng)絡地址標志位和主機地址標志位長度,不僅能有效地提高IP地址空間利用率,而且使路由表數(shù)據(jù)更加簡化。
3.1.3校園網(wǎng)IP地址規(guī)劃
考慮到公有IP地址緊缺、校園網(wǎng)內(nèi)信息點較多的實際情況,對的學生宿舍區(qū)IP地址規(guī)劃采取分配固定的C類私有IP的方式。在防火墻上使用NAT(Network Address Translation)網(wǎng)絡地址轉換協(xié)議,將內(nèi)部自行定義的私有IP地址轉換為Internet公網(wǎng)上可識別的公有IP地址。
將整個網(wǎng)絡按照不同的匯聚點劃分為若干個區(qū),每個區(qū)分若干個C類私有IP地址,然后再按變長子網(wǎng)掩碼技術方案劃分IP地址。
3.2路由設計
對于雙星型結構來說,內(nèi)部路由可以采用OSPF V2,。內(nèi)部路由在層次上可以分為兩層:骨干路由層和接入層,毫無疑問,將雙核心設計為骨干路由區(qū)域,負責告訴、穩(wěn)定地轉發(fā)數(shù)據(jù)包。區(qū)域的劃分如圖所示。
骨干路由層原則上采用OSPF V2,OSPF V2適用于自治域內(nèi)的路由規(guī)劃,有較強的域內(nèi)路由分區(qū)和負載分擔的功能,更重要的是它是一種開放的標準,各種廠家的設備均支持,不必擔心不同廠家設備之間的路由協(xié)議的兼容問題。
接入層路由采用默認路由。
4 路由器解決方案
考慮到統(tǒng)一網(wǎng)管的需求,使用與交換機同一品牌的路由器。
路由器應選擇基于分布式的網(wǎng)絡處理器硬件轉發(fā)和無阻塞交換技術,具備優(yōu)異的擴展能力,可以通過軟件平滑升級的方式支持IPv6。核心路由器強大的IP業(yè)務處理能力和三層交換機低成本以太交換能力,可提供更豐富的業(yè)務、更靈活的組網(wǎng)和更理想的性價比。核心路由器是IP骨干網(wǎng)和IP城域網(wǎng)向寬帶化、安全化、業(yè)務化發(fā)展的重要源動力。
對于核心路由器,其產(chǎn)品應滿足如下特點
A.分布式第五代路由器
第五代路由器采用了業(yè)界高性能網(wǎng)絡處理器技術,充分繼承了第四代全分布式硬件處理的架構,有機地結合了軟件的靈活性和硬件的高性能,即提供線速轉發(fā)性能,又具備快速良好的業(yè)務升級和擴展能力,最大限度地保證用戶投資,加速IP網(wǎng)絡向寬帶化、安全化、業(yè)務化、智能化方向發(fā)展。
B.業(yè)務豐富
高品質QoS能力,實現(xiàn)智能業(yè)務感知,提供先進的隊列調度算法、SARED擁塞控制算法,精確保證不同業(yè)務的帶寬、時延和抖動,滿足不同用戶、不同業(yè)務等級的“區(qū)分服務”要求。
基于分布式硬件處理,具備高性能的業(yè)務能力,提供全面的MPLS VPN業(yè)務,勝任高性能P/PE應用,提供高品質、安全和多層次的MPLS VPN解決方案;提供高性能組播能力;提供千兆線速NAT等各種業(yè)務。
具備快速良好的擴展能力,通過軟件升級即可平滑支持IPv6和未來新業(yè)務,是未來網(wǎng)絡可持續(xù)發(fā)展的條件,是未來IP電信網(wǎng)(IPTN)的重要基石。
C.靈活的組網(wǎng)能力
擁有從64k到10G速率接口,支持RPR環(huán)網(wǎng)技術,提供豐富的協(xié)議功能,能夠應對各種復雜組網(wǎng),滿足IP城域網(wǎng)、骨干網(wǎng)、運營支撐網(wǎng)的組網(wǎng)需求。
提供報文過濾、流量采樣、端口鏡像、安全日志等各種安全措施,是構建高安全可維護網(wǎng)絡的最佳設備。
D.高可靠性
各關鍵部件包括路由處理系統(tǒng)、交換網(wǎng)系統(tǒng)、時鐘系統(tǒng)、電源、管理總線全部為冗余熱備份,實現(xiàn)基于狀態(tài)的熱切換;所有組件支持熱插拔;采用無源背板設計;提供熱補丁技術,實現(xiàn)軟件完全平滑升級;支持動態(tài)路由協(xié)議、MPLS流量工程,提供IP/MPLS快速重路由、接口自動保護切換(MSP)、虛擬路由冗余協(xié)議(VRRP)、RPR自愈環(huán)網(wǎng)(IPS)等保護機制,具備快速路由備份(FRB:Fast Routing Backup)特色功能,有效保證了全網(wǎng)運行的高速可靠。
5 基于網(wǎng)絡設備的安全措施
網(wǎng)絡安全是任何一個網(wǎng)絡建設時首先要考慮的重要問題,校園網(wǎng)的環(huán)境更加復雜,學生的好奇心比較強,并且有不少學生的技術水平比較高,校園網(wǎng)的網(wǎng)絡安全更加值得關注。
關鍵詞:校園網(wǎng);規(guī)劃;設計
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)06-1277-03
Planning and Design of the Campus Network
LI Xiao-qiang
(Guangzhou Institute of Physical Education Modern Education Technology Center, Guangzhou 510050, China)
Abstract: With the coming of an information society, network is changing the way of peoples,working, living and studying. Campus net? work for teachers and students to provide an advanced, open, practical computer network environment. In this paper, the school campus network construction, the focus from the campus network needs analysis, system design principles and goals, four aspects of the sys? tem-building programs, and network configuration has conducted a preliminary study.
Key words: campus network; planning; design
計算機網(wǎng)絡系統(tǒng)是數(shù)字化校園建設的核心基礎設施,目標是建設一個集數(shù)據(jù)、語音、視頻服務于一體的高帶寬、多功能、多服務、開放的、多業(yè)務接入的IP多媒體交換園區(qū)網(wǎng)。為了解決廣州體育學院上網(wǎng)速度慢、網(wǎng)絡難以管理、網(wǎng)絡應用不豐富等的問題,滿足學院飛速發(fā)展的需要,學院決定對網(wǎng)絡進行改造,建設一個統(tǒng)一規(guī)劃的、先進的、完善的、覆蓋整個廣州體育學院校區(qū)的計算機網(wǎng)絡。在該網(wǎng)絡中,校區(qū)內(nèi)部每棟主要樓宇間(重要場所)是以萬兆為主干、千兆到二級樓宇網(wǎng)、百兆到桌面的全交換的智能網(wǎng)絡,同時還可以提供無線接入的手段;主要樓宇之間實現(xiàn)高速互聯(lián);擁有獨立的高速國際出口;并且整個網(wǎng)絡中QoS可以得到充分保證。
1網(wǎng)絡設計的原則和目標
計算機網(wǎng)絡系統(tǒng)設計必須適應當前學校各項應用,又可面向未來信息化發(fā)展的需要,因此必須是高質量的。在設計網(wǎng)絡時,需要遵循以下原則和目標:1.1實用性和先進性
采用先進成熟的技術滿足廣州體育學院的業(yè)務需求,兼顧其他相關的管理需求,盡可能采用先進的網(wǎng)絡技術以適應更高的數(shù)據(jù)、語音、視頻(多媒體)的傳輸需要,使整個系統(tǒng)在相當一段時期內(nèi)保持技術的先進性,以適應未來信息化的發(fā)展的需要。1.2安全可靠性
為保證各項業(yè)務應用,網(wǎng)絡必須具有高可靠性,盡量避免系統(tǒng)的單點故障。要對網(wǎng)絡結構、網(wǎng)絡設備、服務器設備等各個方面進行高可靠性的設計和建設。在采用硬件備份、冗余等可靠性技術的基礎上,采用相關的軟件技術提供較強的管理機制、控制手段和事故監(jiān)控與網(wǎng)絡安全保密等技術措施提高整個網(wǎng)絡系統(tǒng)的安全可靠性。
1.3靈活性和可擴展性
計算機網(wǎng)絡系統(tǒng)是一個不斷發(fā)展的系統(tǒng),所以它必須具有良好的靈活性和可擴展性,能夠根據(jù)業(yè)務的不斷深入發(fā)展的需要,方便的擴展網(wǎng)絡覆蓋范圍、擴大網(wǎng)絡容量和提高網(wǎng)絡的各層次節(jié)點的功能。具備支持多種通信媒體、多種物理接口的能力,提供技術升級、設備更新的靈活性。
1.4開放性和互連性
具備與多種協(xié)議計算機通信網(wǎng)絡互連互通的特性,確保本計算機網(wǎng)絡系統(tǒng)的基礎設施的作用可以充分的發(fā)揮。在結構上真正實現(xiàn)開放,基于開放式標準,包括各種局域網(wǎng)、廣域網(wǎng)、計算機等,堅持統(tǒng)一規(guī)范的原則,從而為未來的發(fā)展奠定基礎。1.5經(jīng)濟性和投資保護
應以較高的性能價格比構建本計算機網(wǎng)絡系統(tǒng),使資金的產(chǎn)出投入比達到最大值。能以較低的成本、較少的人員投入來維持系統(tǒng)運轉,提供高效能與高效益。盡可能保留延長已有系統(tǒng)的投資,充分利用以往在資金與技術方面的投入。1.6可管理性
由于系統(tǒng)本身具有一定復雜性,隨著業(yè)務的不斷發(fā)展,網(wǎng)絡管理的任務必定會日益繁重。所以在網(wǎng)絡設計中,必須建立一套全面的網(wǎng)絡管理解決方案。網(wǎng)絡設備必須采用智能化,可管理的設備,同時采用先進的網(wǎng)絡管理軟件,實現(xiàn)先進的分布式管理。最終能夠實現(xiàn)監(jiān)控、監(jiān)測整個網(wǎng)絡的運行情況,合理分配網(wǎng)絡資源、動態(tài)配置網(wǎng)絡負載、可以迅速確定網(wǎng)絡故障等。通過先進的管理策略、管理工具提高網(wǎng)絡的運行性能、可靠性,簡化網(wǎng)絡的維護工作,從而為辦公、管理提供最有力的保障。
2網(wǎng)絡整體結構設計
2.1總體結構
系統(tǒng)使用基于TCP/IP協(xié)議的以太網(wǎng)技術構建,采用核心層、匯聚層和接入層的三層結構,網(wǎng)絡系統(tǒng)需整體全面同時支持IPv4和IPv6,在日后IPv6布署時直接支持而無需新增任何設備與費用。本網(wǎng)絡系統(tǒng)主要采用全新構建,并整合校園原有網(wǎng)絡資源,充分保障用戶的投資。網(wǎng)絡的核心層采用萬兆核心路由交換機,匯聚層采用萬兆或千兆的路由交換機,接入層采用千兆安全智能交換機,并可管理到每一個端口。
計算機網(wǎng)絡系統(tǒng)的核心設在新建的網(wǎng)絡中心機房,然后在圖書館、科研樓、教學樓、科學館,舊網(wǎng)絡中心、西區(qū)教工宿舍、東區(qū)教工宿舍、學生宿舍、研究生公寓和體育綜合館等地設置萬兆匯聚點,其它原有建筑物如體操館、學生服務中心等通過千兆連接到萬兆匯聚點作為二級匯聚點。每棟建筑物的每一至三個樓層設置一個樓層配線間,作為接入層設備放置點。對于學院現(xiàn)有的室內(nèi)外體育場館、圖書館、教學樓等地方,將采用無線網(wǎng)技術進行全面覆蓋。計算機網(wǎng)絡的結構示意圖如圖1所示:
圖1計算機網(wǎng)絡結構示意圖
計算機網(wǎng)絡系統(tǒng)達到以下功能及特點:
a)采用萬兆以太網(wǎng)作為核心,體現(xiàn)系統(tǒng)高性能,雙核心、雙路由器(本次暫不采購)等冗余結構提供網(wǎng)絡高可靠性;b)安全策略分發(fā),可以自動統(tǒng)一下發(fā)安全策略,達到設備群的安全策略適時更新,有效及時地保證網(wǎng)絡安全;c)合理規(guī)劃VLAN以對廣播風暴實現(xiàn)隔離;d) VLAN跳轉功能實現(xiàn)IP地址高效管理;
e)可和DHCP服務器配合實現(xiàn)用戶權限設定;f)整網(wǎng)方案實現(xiàn)對病毒傳播進行有效控制;
g)確保校內(nèi)組播實現(xiàn),同時也要杜絕非法組播;
h)合理的IP地址分配策略和防IP盜用的技術方法;
i)可網(wǎng)管可維護的設備,方便維護幫故障定位;
j)采用IEEE802.1x+Radius認證計費方式,實現(xiàn)免客戶端安裝和在線升級,認證計費及時段管理等。
2.2核心層
本網(wǎng)絡的核心設置在網(wǎng)絡中心機房,核心設備使用兩臺萬兆路由交換機,通過萬兆鏈路互連后,形成雙核心冗余結構。因為需 要提供萬兆和千兆鏈路也匯聚層連接,對核心交換機背板架構、背板帶寬、控制引擎性能和線卡處理能力都有極高的性能要求。同時設備需要提供多種冗余手段以保證設備的穩(wěn)定性和可靠性。
2.3匯聚層
匯聚層主要是完成網(wǎng)絡的安全控制機制,使骨干網(wǎng)與訪問網(wǎng)相分離,為區(qū)域內(nèi)流量提供三層交換,為三層路由提供匯聚。匯聚層交換機主要匯聚各接入設備,同時針對相應的安全機制(ACL、端口認證等)對訪問層的數(shù)據(jù)進行訪問控制。核心層和匯聚層之間采用萬兆或千兆光纖組成多個環(huán)狀拓撲,匯聚層與訪問層之間采用千兆光纖組成多個環(huán)狀拓撲,以提供層間的冗余和負載均衡。
2.4接入層
接入交換機的設置在樓層弱電間內(nèi),根據(jù)綜合布線系統(tǒng)的結構管理水平信息點。結合不同的環(huán)境,主要采用四種類型的接入型交換機:24口百兆交換機、48口百兆交換機、24口帶網(wǎng)口供電的百兆交換機。所在接入交換機均支持通過千兆光纖鏈路上聯(lián)到匯聚層交換機。2.5無線接入
無線接入主要為各種室內(nèi)外的場館、教學樓、科研樓及圖書館的開闊閱覽室等開放式環(huán)境提供數(shù)據(jù)接入。由于廣州體育學院整個校園比較大,需要布置無線的地方比較多,為了方便統(tǒng)一管理和規(guī)劃,本系統(tǒng)將采用瘦無線的方式設置,即通過設置以連接在網(wǎng)絡中的無線控制器對全網(wǎng)的無線接入點進行統(tǒng)一的管理與配置,使用戶可以在整個無線網(wǎng)絡覆蓋的區(qū)域內(nèi)自由穿梭并具有良好的數(shù)據(jù)傳輸質量。
2.6網(wǎng)絡出口與網(wǎng)絡安全
網(wǎng)絡出口要連接中國教育網(wǎng)和互聯(lián)網(wǎng),為保證校園網(wǎng)內(nèi)部的信息安全,網(wǎng)絡出口處采用路由器加雙防火墻結構。兩臺高性能千兆防火墻主要為網(wǎng)絡出口在執(zhí)行多種安全策略的同時仍然保證高速的帶寬。路由器采用自身冗余結構保證網(wǎng)絡出口的穩(wěn)定性,并為數(shù)據(jù)傳輸提供教育網(wǎng)和互聯(lián)網(wǎng)的路由選擇。如果出口線路能提供備份的情況下,出口路由器也可使用雙機冗余結構。
3系統(tǒng)的軟件結構設計
3.1用戶管理系統(tǒng)
在用戶管理方面,需要實現(xiàn)校園網(wǎng)絡的可運營、可維護,我們采用了H3C CAMS作為用戶管理中心。CAMS(Comprehensive Ac? cess Management Server)綜合訪問管理服務器是H3C公司推出的集事前認證、事中監(jiān)控、事后審計和業(yè)務管理為一體的多業(yè)務安全接入管理平臺,可以與H3C交換機、路由器、VPN網(wǎng)關等網(wǎng)絡設備共同組網(wǎng),實現(xiàn)對用戶寬帶接入、VPN接入、無線接入以及IP電話接入的管理、認證、授權和計費。CAMS作為校園網(wǎng)網(wǎng)的用戶管理中心,在基本的AAA(Authorization、Authentication and Accounting)功能之上,提供了多業(yè)務融合的管理、維護和安全控制平臺,可與企業(yè)現(xiàn)有系統(tǒng)平滑對接,構建可管理、可運營、高安全的企業(yè)網(wǎng)絡。
CAMS采用分布式、模塊化、跨平臺的開放體系結構和基于TCP/IP的通信機制,可以平滑擴容、靈活擴展、按需定制。CAMS采用Windows操作系統(tǒng)平臺和SQL Server數(shù)據(jù)庫管理系統(tǒng),并支持集群服務器、磁盤陣列、數(shù)據(jù)庫備份等特性,為用戶提供了一種低價格、高可靠、高性能的網(wǎng)絡安全和用戶管理解決方案,能夠滿足各種規(guī)模網(wǎng)絡的用戶管理、身份認證、權限控制和實時計費的要求。3.2綜合IT資源監(jiān)控管理系統(tǒng)
IT系統(tǒng)綜合管理平臺的設計及建設是結合計算機網(wǎng)絡、教育系統(tǒng)、機房監(jiān)控、IT系統(tǒng)維護管理流程、設備信息、報警管理、操作對象和管理要求等綜合因素進行考慮的,并做出合理的、適應特定使用和管理需要的設計。以下根據(jù)要求,系統(tǒng)方案將按各個子系統(tǒng)闡述,并結合其監(jiān)控管理范圍和職能劃分為網(wǎng)絡監(jiān)控、服務器和操作系統(tǒng)監(jiān)控、數(shù)據(jù)庫及應用系統(tǒng)監(jiān)控、告警管理、報表管理等功能模組。
3.3 IPS入侵抵御系統(tǒng)
H3C IPS 1200是專門針對今天大中型企業(yè)的千兆環(huán)境安全需求而開發(fā)的。越來越多的企業(yè)面臨著保護內(nèi)網(wǎng)和數(shù)據(jù)中心安全的挑戰(zhàn),但是又沒有足夠多的現(xiàn)場工程師,而且在保護企業(yè)業(yè)務安全的同時,還必須保證足夠高的網(wǎng)絡速度來保持較高的企業(yè)生產(chǎn)力水平。通過在線部署H3C IPS IPS產(chǎn)品,可以有效的阻止各種惡意流量和無關流量,而正常流量可以絲毫不受影響。事實上,通過清掃“網(wǎng)絡垃圾流量”和提高關鍵應用流量的優(yōu)先級,H3C IPS可以極大的優(yōu)化正常流量的性能。H3C IPS優(yōu)越的性能和無與倫比的入侵抵御精度將給網(wǎng)絡安全以新的定義,勢必將從根本上改變?nèi)藗儽Wo網(wǎng)絡的方式。
4總結
校園網(wǎng)絡的規(guī)劃設計是一項系統(tǒng)工程,不同的規(guī)劃設計方案,可使網(wǎng)絡存在較大的性能差異,它不僅體現(xiàn)在網(wǎng)絡本身具備的技術特性和應用特點上,也體現(xiàn)了不同用戶的各種需求。在前面的分析中,對一些常見問題也進行了分析,但是由于校園網(wǎng)絡獨有的特點和較高的要求,還有一些問題需要以后做進一步的研究。
參考文獻:
[1]滑瑞朋.淺談校園網(wǎng)的建設[J].山西科技,2007(3).
[2]楊愛紅,李素娟.淺談小型校園網(wǎng)的規(guī)劃與設計[J]電腦知識與技術,2011(7).
關鍵詞:網(wǎng)絡結構;主干網(wǎng);核心層;匯聚層;接入層
中圖分類號:TP393 文獻標識碼:A文章編號:1007-9599 (2011) 01-0000-01
The Planning and Design of Campus Network Structure
Luo Yong,Deng Jiarong
(Wenshan Institute,Wenshan663000,China)
Abstract:With the advent of information age,campus network Structure catch more and more college attention.This departure from the campus network design principles,focusing on the campus network architecture and describe the hierarchy of the network options and recommendations.
Keywords:Network structure;Backbone network;Core layer;Convergence layer;Access layer
一、校園網(wǎng)絡設計原則
(一)整體規(guī)劃、分步實施原則。充分考慮整體需求,既要考慮到目前的應用需求,還應考慮校園網(wǎng)建設過程中的資金投入不可能一步到位、以及今后出現(xiàn)新技術和新需求的實際情況,做到升級維護簡單易行,后期建設不浪費原有投資。
(二)先進性和成熟性原則。要有先進的設計思想和超前意識,設計要充分應用已經(jīng)成熟的先進技術,采用市場覆蓋率高、標準化和技術成熟的軟硬件產(chǎn)品,能根據(jù)技術的發(fā)展平穩(wěn)的向新技術過渡,保證網(wǎng)絡通訊介質、網(wǎng)絡設計核心的向后兼容性。
(三)可擴充性原則。要建設成完整統(tǒng)一、組網(wǎng)靈活、易擴充的彈性網(wǎng)絡平臺,采用層次性的系統(tǒng)設計原則,使網(wǎng)絡具有良好的可擴充性,在將來網(wǎng)絡升級或再投資的情況下,能隨時通過增加網(wǎng)絡設備或模塊來對現(xiàn)有設備進行升級和擴充,并能把替換下來的設備應用到分支或邊緣網(wǎng)絡上。
(四)開放性和標準化原則。網(wǎng)絡設計采用開放技術、開放結構、開放系統(tǒng)組件和開放用戶接口,能兼容不同的拓撲結構,支持良好的維護、測量和管理手段,提供網(wǎng)絡統(tǒng)一實時監(jiān)控,實現(xiàn)設備的統(tǒng)一管理;整個網(wǎng)絡系統(tǒng)全部采用或符合國際標準,以便和不同廠家的產(chǎn)品互操作和互聯(lián),自由地選擇不同廠家的計算機、網(wǎng)絡設備及操作系統(tǒng)。
(五)安全可靠性原則。充分考慮整個網(wǎng)絡的穩(wěn)定性,要充分考慮關鍵鏈路、設備、系統(tǒng)的冗余設計,支持網(wǎng)絡節(jié)點的備份和線路保護,通過使用網(wǎng)絡用戶身份識別、VLAN、包過濾、入侵檢測及防火墻等技術建立全方位、立體化的網(wǎng)絡安全體系,保證網(wǎng)絡系統(tǒng)的安全性。
(六)經(jīng)濟實用性原則。網(wǎng)絡規(guī)劃設計應具有良好的性價比,要考慮到網(wǎng)絡技術的日新月異,選擇網(wǎng)絡設備時要有前瞻性,要能夠兼容未來的標準技術及應用,避免現(xiàn)在選擇的技術或設備在一段時間后就會過時甚至被淘汰,造成新一輪的大規(guī)模投資,盡量減少二次投資。
二、網(wǎng)絡結構設計方案
(一)網(wǎng)絡架構選擇。在校園網(wǎng)的建設過程中,主干網(wǎng)選擇何種網(wǎng)絡技術對網(wǎng)絡建設的成功與否起著決定性作用。選擇適合自身校園網(wǎng)絡需求特點的主流網(wǎng)絡技術,不但能保證網(wǎng)絡的高性能,還能保證網(wǎng)絡的先進性和擴展性,將來能向新技術、新設備平穩(wěn)過渡,從而保護原有投資。校園網(wǎng)屬于局域網(wǎng)范疇,通過網(wǎng)絡主干將各樓宇內(nèi)的局域子網(wǎng)互聯(lián)起來,并通過出口系統(tǒng),實現(xiàn)與外部教育網(wǎng)、公網(wǎng)互聯(lián)。網(wǎng)絡主干、各樓宇的子網(wǎng)、網(wǎng)絡出口、各種網(wǎng)絡安全系統(tǒng)以及網(wǎng)絡管理系統(tǒng)構成完整的校園網(wǎng)絡系統(tǒng)。
目前,校園主干網(wǎng)建設中采用的網(wǎng)絡技術主要有千兆以太網(wǎng)技術、萬兆以太網(wǎng)技術、FDDI技術以及ATM技術,這些技術各有優(yōu)缺,選擇時需要綜合考慮實際建設的具體需求,選擇適合于學校自身實際情況的網(wǎng)絡。通過以上幾種技術對比,千兆以太網(wǎng)和萬兆以太網(wǎng)技術具有傳輸速率高、技術成熟、性價比優(yōu)異等特點,是當今校園網(wǎng)建設的主流技術,同時也是對原有網(wǎng)絡升級的明智選擇。因此,如果是中等規(guī)模的院校,其校園網(wǎng)絡規(guī)劃可選取以千兆以太網(wǎng)組建網(wǎng)絡核心,以百兆以太網(wǎng)作為分支局域網(wǎng)的組網(wǎng)方式。
(二)網(wǎng)絡層次結構選擇。對于中等規(guī)模高校而言,根據(jù)校園規(guī)劃、校園內(nèi)數(shù)據(jù)訪問流量特點,網(wǎng)絡可采用模塊化、層次化的設計方法,使用核心層、匯聚層、接入層三層構架方式。通過千兆光纖交換構建網(wǎng)絡核心層,構成網(wǎng)絡主干;通過千兆雙絞線交換構建匯聚層,構成樓宇子網(wǎng)交換;通過百兆交換構成接入層,實現(xiàn)樓宇中各樓層房間的網(wǎng)絡接入。核心層通過1GE技術構成互聯(lián),主要完成數(shù)據(jù)的高速轉發(fā);匯聚層在主干光纖線路上選擇幾個節(jié)點作為匯聚節(jié)點,匯聚節(jié)點與核心節(jié)點之間通過1GE技術連接,匯聚節(jié)點通過1GE與接入層節(jié)點連接;接入層完成用戶的接入控制、速率限制和網(wǎng)絡準入檢測,以及通過802.3af技術提供對無線AP、IP視頻監(jiān)控頭等的以太網(wǎng)供電。
1.核心層??紤]學校網(wǎng)絡建設有一個逐漸擴大規(guī)模的過程,設計時充分考慮了網(wǎng)絡結構靈活性,先在校園網(wǎng)絡部署2核心節(jié)點,雙冗余模式。兩個核心節(jié)點采用2臺高性能千兆路由交換機作為主干中心交換機,將兩核心節(jié)點以千兆雙回路互聯(lián)提供無阻塞傳輸骨干網(wǎng),并實現(xiàn)負載分擔和互為備份,提高核心層的可靠性和穩(wěn)定性。
2.匯聚層。在校內(nèi)的學生宿舍、圖書館、行政樓、實驗樓、和多媒體教室部署匯聚交換機,采用千兆交換機作為匯聚交換機,匯聚交換機和核心交換機之間采用雙鏈路捆綁連接,實現(xiàn)負載均衡的同時完成鏈路備份??紤]到學校內(nèi)今后可能存在大量高帶寬要求的內(nèi)網(wǎng)訪問需求,對于匯聚交換機的MAC地址大容量能力及MAC地址的學習更新速度等重要指標提出了嚴格要求,需要在設備選擇時著重考慮。
3.接入層??紤]到網(wǎng)絡對帶寬需求的持續(xù)增長,接入層節(jié)點考慮1000M上聯(lián),100M到桌面的接入方式。交換機采用支持千兆上聯(lián)和快速以太網(wǎng)連接的高性能三層交換機,根據(jù)樓宇接入信息點數(shù)量、數(shù)據(jù)流量的不同,選擇不同的交換機。對于信息點少、數(shù)據(jù)流量小的樓宇,可考慮直接連接到就近的匯聚交換機;信息點密集的樓宇可以采用多臺交換機堆疊后通過千兆鏈路上聯(lián)至匯聚交換機。在校園內(nèi)一些特殊區(qū)域如會議室等區(qū)域,采用WLAN接入,實現(xiàn)網(wǎng)絡全方位覆蓋。
參考文獻:
[1]熊桂喜,王小虎譯.計算機網(wǎng)絡(第三版)[J].清華大學出版社
關鍵詞: 校園網(wǎng)網(wǎng)絡規(guī)劃設計網(wǎng)絡安全管理需求設計特點
一、 校園地理環(huán)境
我校分為南北兩個校區(qū),南區(qū)為教學區(qū),包括:三棟教學樓、一棟圖書館、一棟教師辦公樓、一棟教工宿舍、兩棟學生宿舍;北區(qū)為實訓中心,與南區(qū)相隔一條街道,包括:南北兩棟實訓樓。
二、校園網(wǎng)功能需求
學校是以現(xiàn)代化手段培養(yǎng)人才的地方。為了更好地使計算機及其網(wǎng)絡在輔助教學、教學管理等方面發(fā)揮作用,我校計劃在校內(nèi)建立校園網(wǎng),并與國際互聯(lián)網(wǎng)相連。
校園網(wǎng)的信息點應該普及兩個校園區(qū)所有教學樓的教室,實訓中心的電腦室、實訓室,教師辦公樓,圖書館,宿舍樓等,同時教室辦公樓應該提供無線網(wǎng)絡接入。校園內(nèi)每個信息點的電腦都可以相互訪問,實現(xiàn)廣泛的軟件、硬件資源共享;同時每個信息點的電腦都能接入互聯(lián)網(wǎng),提供基本的Internet網(wǎng)絡服務功能,如電子郵件、對外個人主頁服務、ftp服務、域名服務等。
三、校園網(wǎng)網(wǎng)絡規(guī)劃設計
1.綜合布線結構
根據(jù)學校的地理位置,各棟建筑物到網(wǎng)絡中心的距離,以及數(shù)據(jù)的流量,采取光纖+超五類綜合布線系統(tǒng)。
(1)主干網(wǎng)。網(wǎng)絡中心在圖書館四樓,對于南區(qū)教學區(qū),因為每棟樓到網(wǎng)絡中心都在400米左右,所以每棟樓的交換機都用12芯的室外多模光纜與網(wǎng)絡中心的核心交換機連接;而北區(qū)實訓中心因為離網(wǎng)絡中心太遠,南北樓的交換機用12芯的室外單模光纜與網(wǎng)絡中心的核心交換機連接。主干網(wǎng)是由光纖構成的1000M網(wǎng)。
(2)樓內(nèi)網(wǎng)。每棟樓的交換機都放在四樓中間的一間房間里,各個信息點到交換機的距離都在100米內(nèi),樓內(nèi)的布線用超五類線,為每間教室、實訓室、辦公室等提供兩個信息點。樓里面則構成10―100M的網(wǎng)絡。
2.設備選型
網(wǎng)絡設備必須在技術上具有先進性、通用性,必須便于管理、維護。網(wǎng)絡設備應該滿足學校現(xiàn)有計算機設備的高速接入,應該具備未來良好的可擴展性、可升級性,保護學校的投資。網(wǎng)絡設備必須在滿足功能與性能的基礎上價格最優(yōu)。網(wǎng)絡設備應該選擇擁有足夠實力和市場份額的廠商的主流產(chǎn)品,同時設備廠商必須有良好的市場形象與售后技術支持。
根據(jù)多方面的考慮,我們確定選用華為三康的設備,路由器用MSR30-40,防火墻用F-1000A,核心交換機用S-7506,各棟樓的接入交換機用E-126A。這些設備完全滿足校園各種功能需要,同時也滿足未來擴展的需要。
3.Internet接入
根據(jù)對全??偝隹诹髁康墓浪?為確保內(nèi)部網(wǎng)站和外部網(wǎng)站的連接暢通,我們用電信20M帶寬的光纖專線接入,有一個Internet固定的IP地址,所有計算機都通過NAT(網(wǎng)絡地址轉換)進入Internet。
4.VLAN規(guī)劃
VLAN為虛擬局域網(wǎng),它有如下優(yōu)勢:抑制網(wǎng)絡上的廣播風暴;增加網(wǎng)絡的安全性;集中化的管理控制。基于這些優(yōu)點,我們按照各棟樓的不同情況對交換機進行VLAN劃分,具體是:VLAN1―設備管理、VLAN10―圖書館、VLAN11―教師辦公樓、VLAN12―實訓中心南、VLAN13―實訓中心北、VLAN14―4號教學樓、VLAN15―5號教學樓、VLAN16―1號教學樓、VLAN17―教工宿舍。
5.路由規(guī)劃
核心三層交換機S-7506實現(xiàn)VLAN之間的相互訪問。對于三層交換機來講,所有VLAN(網(wǎng)段)都是直連的,因此只需要啟動路由,而不需要設置額外的靜態(tài)或動態(tài)路由條目。我們在S-7506中創(chuàng)建VLAN 10至VLAN 17,并把與接入層交換機光纖連接的光纖端口添加到對應的VLAN中,同時給VLAN端口添加對應的網(wǎng)關IP作為虛擬端口的IP地址,實現(xiàn)整個校園網(wǎng)不同網(wǎng)段之間的相互訪問。
6.無線接入
充分利用計算機輔助教學及利用網(wǎng)絡軟硬件的資源共享,是校園網(wǎng)為教學服務的一大特點,我校教師每人配備了一臺手提電腦,手提電腦接入校園網(wǎng),采取無線接入的方式。
構建“無線漫游”接入?yún)^(qū),在辦公樓放置三個TP-LINK841無線路由器,SSID都是BanGong,頻道則分別為1、6、11三個互不干預的頻道,不加密碼是開放式,開啟DHCP,地址池IP為192.168.1.50/24―192.168.1.200/24,這樣教師可以很方便地接入到校園網(wǎng)。
7.開放計算機機房
學校內(nèi)有大量的各種各樣的開放式機房,是學生學習計算機的場所,通常這些計算機連成一個局域網(wǎng),除具備一般的互訪外,通常還要求這些計算機能夠訪問到Internet。為滿足教學要求,我們作了如下規(guī)劃:(1)IP地址用私有C類192.168.0.0/24。(2)實現(xiàn)Internet訪問,實際上是一個局域網(wǎng)PC如何共享上網(wǎng)的問題。在每一個機房部署一個信息點,相當于Internet出口,用服務器的方式通過信息點接入校園網(wǎng),從而實現(xiàn)訪問Internet。
8.對外站點
對于一些外部站點的問題,通常放置在DMZ區(qū)內(nèi),DMZ區(qū)的安全等級高于外網(wǎng),低于內(nèi)網(wǎng),防火墻的默認規(guī)則是允許安全等級高的訪問安全等級低的,禁止安全等級低的訪問安全等級高的。因此,防火墻不需要設置規(guī)則就可以實現(xiàn)內(nèi)網(wǎng)訪問到DMZ區(qū),但外網(wǎng)不能訪問到DMZ區(qū)。對于學校來講,WWW站點的主要目的就是對外信息,必須讓外網(wǎng)能夠訪問到,為了到達這個目的,可以在防火墻上添加一些規(guī)則,開放DMZ區(qū)所在服務器的IP,以及相應的端口。在DMZ區(qū)放置學校的服務器:郵件服務器、WWW服務器、數(shù)據(jù)服務器、文件服務器。
四、網(wǎng)絡安全及管理需求
校園網(wǎng)是巨大的資源中心,存放著各方面的信息資源,涉及學校的方方面面,同時,校園網(wǎng)又是一個開放的系統(tǒng),有不同的人員在校內(nèi)或校外訪問它,因此,校園網(wǎng)的建立不僅是網(wǎng)絡硬件和應用的建立,還應該特別重視校園網(wǎng)的安全問題。網(wǎng)絡安全是一個體系結構,涉及整個辦公環(huán)境的各個方面,包括人員和設備,信息的駐留點,以及沿途經(jīng)過的各個中間環(huán)節(jié),從物理層到應用層都要小心對待。
1.設備級安全
包括網(wǎng)絡中所有可管理的網(wǎng)絡設備、服務器和網(wǎng)管工作站的安全。設備級安全是網(wǎng)絡的第一道屏障,嚴格限制能夠遠程管理(包括Telnet方式和Web方式)網(wǎng)絡設備的IP地址列表,必要時關閉部分或全部遠程管理功能;對于核心網(wǎng)絡設備,如骨干交換機和路由器,建議不設遠程管理IP地址。
2.傳輸級安全
指敏感數(shù)據(jù)在傳輸線路中防止中途竊取或修改的安全性。解決辦法包括室外線路盡可能采用無輻射抗干擾的光纖作為傳輸介質,室內(nèi)明線使用屏蔽雙絞線,中心機房加裝屏蔽網(wǎng),對遠程傳輸?shù)男畔⑦M行加密等。
3.網(wǎng)絡層安全
是網(wǎng)絡安全設計中的重要一環(huán)。網(wǎng)絡層攻擊是黑客最常用的攻擊方式,如外部入侵。對付這種攻擊方式最典型的解決方案是使用軟件或硬件防火墻進行內(nèi)外隔離,同時內(nèi)網(wǎng)采用保留IP地址,訪問外網(wǎng)時進行NAT轉換(網(wǎng)絡地址轉換)。除了防止外部入侵外,也要注意防止內(nèi)部的越權訪問和故意破壞,一般在VLAN之間進行訪問控制。
4.應用級安全
包括防病毒和認證體系。近年來病毒多如牛毛,如:熊貓燒香、ARP地址欺騙等。對于病毒問題,有效的解決方法是安裝網(wǎng)絡防病毒軟件,修補系統(tǒng)漏洞。同時也要防范因內(nèi)部人員不經(jīng)意或故意“環(huán)路”,形成的“網(wǎng)絡震蕩”,解決辦法是設置交換機STP協(xié)議(生成樹協(xié)議)。
校園網(wǎng)是一個比較大型的網(wǎng)絡,為了保證校園網(wǎng)更加有效、可靠地運行,我們配置了一臺網(wǎng)絡管理工作站,以便更有效地對校園網(wǎng)進行管理。根據(jù)網(wǎng)絡設備選型,我們選擇華為三康管理軟件,同時用第三方管理軟件一起管理網(wǎng)絡,主要是solarwinds-toolset工具箱V9.2、超級PING、Sniffer Portable 4.8這三個軟件。
五、方案規(guī)劃設計特點
該校園網(wǎng)方案采用成熟的先進的技術,采用國際統(tǒng)一標準有廣泛的支持廠商;所有設備都用華為三康一線產(chǎn)品。Internet帶寬合理,確保網(wǎng)絡不出現(xiàn)“塞車”現(xiàn)象;設置三層核心交換機,將整個網(wǎng)絡劃分為多個VLAN,從而使網(wǎng)絡更加安全;同時本方案充分考慮了網(wǎng)絡未來的升級與發(fā)展,把網(wǎng)絡主干網(wǎng)構成了信息高速網(wǎng),對未來的發(fā)展非常有利。
關鍵詞:校園網(wǎng);通信平臺;規(guī)劃;設計;QOS
中圖法分類號:TP393 文獻標識碼:A文章編號:1009-3044(2010)01-70-02
The Program and Design of Network Communications Platform in Campus Network
FENG Li-bo, CHEN Xiao-liang, SUN He
(Mathematics and Computer School of Dali University, Dali 671003, China)
Abstract: Campus network has penetrated into the majority of teachers and students to study, work, every aspect of life. It improves the standard of teaching in schools and the school's teaching management. In this paper, mature and advanced technology are adopted to program and design the campus network communications platform.
Key words: campus network; communication platform; programming; design; quality of service
校園網(wǎng)已深入到廣大師生學習、工作、生活的方方面面,成為學校教學活動的發(fā)展平臺,提高了學校的教學水平,改善了學校的教學管理。校園網(wǎng)的發(fā)展目標是可以提供一個高效、安全的平臺,為高校的教育事業(yè)發(fā)展提供良好的條件[1]。利用校園網(wǎng),以信息化、網(wǎng)絡化的教育手段改革傳統(tǒng)的教學模式、教學方法,真正實現(xiàn)網(wǎng)絡教學、遠程教學和教育資源的共享[2]。因此,只有建設合理的、符合學校發(fā)展和師生員工需求的信息化校園網(wǎng),才能充分發(fā)揮校園網(wǎng)的重要功能[3]。
1 設計目標和設計原則
為了滿足高校校園網(wǎng)的信息化發(fā)展,為學校提供教學、科研和管理等方面的穩(wěn)定可靠的通信網(wǎng)絡平臺,對高校校園網(wǎng)提出了更高的要求,主要表現(xiàn)為:更高的帶寬和更強大的性能,更全面的可靠性設計,提供完善的端到端QoS保障。
校園網(wǎng)絡遵循技術和行業(yè)標準的指導原則,確保設計的解決方案滿足校園網(wǎng)的需求,為將來的網(wǎng)絡升級提供向后兼容能力[4]。因此,校園網(wǎng)的設計會采用標準化和成熟的技術,兼顧網(wǎng)絡技術的發(fā)展方向,選擇結構化、可擴充、多用途的網(wǎng)絡產(chǎn)品,保證網(wǎng)絡在較長時間內(nèi)不落后[5]。同時在通信網(wǎng)絡、網(wǎng)絡管理上有良好的分層設計,使網(wǎng)絡結構清晰,便于使用、管理和維護。
2 方案設計
設計方案就以下部分展開討論:網(wǎng)絡拓撲結構、網(wǎng)絡設備選型、路由交換技術、網(wǎng)絡管理技術。
2.1 網(wǎng)絡拓撲結構分析
高校校園網(wǎng)是一個具有Internet接入和交互功能的專業(yè)性局域網(wǎng),學習、科研、教學活動都可以通過此網(wǎng)絡運行。因此,高校校園網(wǎng)是以建設一個高性能、高可靠性、以千兆以太網(wǎng)結合快速以太網(wǎng)為主體的遍布整個校園的信息網(wǎng)絡系統(tǒng)為主要目標。基于以上原因,本方案建設如下圖所示的校園網(wǎng),本校園網(wǎng)主要采用層次化的網(wǎng)絡拓撲結構,可分為核心層、分布層、接入層和邊緣層。網(wǎng)絡拓撲結構如圖1所示。
2.2 網(wǎng)絡設備的選型
由于校園網(wǎng)的建設有著十分重要的意義,在網(wǎng)絡設備選型中要著重考慮新建網(wǎng)絡的技術先進性、標準化、橫向兼容性、可擴展性等多方面因素,達到一次建網(wǎng),長期收益的目的。本方案全網(wǎng)采用思科設備。
核心設備必須提供高速交換,并具有高可靠性和容錯性。因此本方案采用Cisco Catalyst 6500系列智能交換機。Catalyst 6500系列是最重要的智能交換機,主要用于園區(qū)網(wǎng)絡的核心層、分布層和邊緣層,并能夠提供高性能、高可用性等特性。
在分布層上采用Cisco Catalyst4500系列多層交換機,在接入層交換機選擇Cisco Catalyst 2960系列智能交換機,在邊緣層路由器的選擇上,選擇Cisco 7200系列路由器作為邊緣設備。
2.3 路由交換技術的選擇
為了建立可適應網(wǎng)絡突發(fā)性、隨機性、網(wǎng)絡拓撲的不確定性以及鏈路信息不完整性,在此,本方案選擇EIGRP(增強型內(nèi)部網(wǎng)關協(xié)議)動態(tài)路由協(xié)議。EIGRP是Cisco私有路由協(xié)議,同時具有距離矢量和鏈路狀態(tài)的優(yōu)點。同時EIGRP協(xié)議支持多路由,使路由器可以按照不同的路徑進行負載分擔。根據(jù)需要,本校園網(wǎng)中,還采用路由重分布技術。
為了提供一個更加靈活的網(wǎng)絡和將廣播流量限制在一定的邊界內(nèi),本方案還進行了合適的VLAN(虛擬局域網(wǎng))劃分。VLAN通過把網(wǎng)絡劃分成一個個小的廣播域,使數(shù)據(jù)只能在同一個VLAN上傳送,避免了帶寬的浪費,從而使得數(shù)據(jù)只傳送到它需要的局域網(wǎng)。在核心設備之間的連接,本方案還采用EtherChannel鏈路綁定技術,通過將兩個接口綁定在一起,充分利用現(xiàn)有接口的優(yōu)勢來增加可用帶寬,并且能夠為網(wǎng)絡提供冗余。此外,Catalyst交換機支持PAgP(Port Aggregation Protocol,端口匯聚協(xié)議)和LACP(Link Aggregation Control Protocol,鏈路匯聚控制協(xié)議),其中PAgP是Cisco私有的,而LACP是一種標準協(xié)議。
2.4 網(wǎng)絡管理技術的選擇
隨著網(wǎng)絡規(guī)模的擴大和網(wǎng)絡的復雜化,網(wǎng)絡管理技術已經(jīng)變得越來越重要,好的網(wǎng)絡管理能使網(wǎng)絡高效運行。網(wǎng)絡管理,是指通過應用程序,對網(wǎng)絡資源進行集中化的管理,包括配置管理、故障管理、性能管理、安全管理和計費管理五大功能。基于本方案全部采用思科設備,因此,在網(wǎng)管軟件上選擇Cisco Works,它是一款基于Windows的產(chǎn)品,界面友好,易于掌握,能夠滿足校園網(wǎng)對網(wǎng)管功能的全面要求。
3 具體實現(xiàn)
3.1 邊緣層的設計
本方案中,邊緣層的功能是由邊緣層路由器來完成的,它連接到核心設備和租用電信的光纖接入到中國教育科研網(wǎng)。因此,需要配置兩個方向上的路由:到校園網(wǎng)內(nèi)部的路由和到Internet的缺省路由,其中內(nèi)部路由通過配置EIGRP可以自動學習到所有的路由,然后需要配置一條缺省路由指向Internet并重分布進EIGRP路由表,使得內(nèi)部的所有通信設備都能夠通過EIGRP學習到這條靜態(tài)默認路由。同時校園網(wǎng)內(nèi)部全部采用私有IP地址,并通過網(wǎng)絡地址轉換(NAT)來訪問Internet。
3.2 核心層的設計
核心層將分布層互連起來進行高速交換。采用兩臺Cisco 6500系列交換機,核心層鏈路都是路由鏈路,采用EIGRP路由協(xié)議的動態(tài)性來實現(xiàn)網(wǎng)絡的冗余和負載均衡。HSRP能為網(wǎng)絡提供冗余的功能。由于網(wǎng)管中心和服務器集群是直接由核心層連接到接入層,因此需要對網(wǎng)管中心和服務器集群配置HSRP。核心設備之間的連接采用EtherChannel技術,將兩個接口綁定在一起,不僅增加了帶寬,而且提供了網(wǎng)絡的冗余性,當其中一條鏈路失效后,另一條依然可以承擔轉發(fā)功能。
3.3 分布層設計
分布層是將接入層進行匯集,還提供VLAN間的路由功能,同時也能實現(xiàn)一定的策略功能。在本方案中,選擇了4500系列交換機。分布層交換機運行著EIGRP的路由協(xié)議,并將全部接口宣告進該協(xié)議當中。
3.4 接入層設計
接入層是為終端用戶提供接入,并不需要提供復雜的功能,在本方案中,需要對其進行VLAN的劃分,同時通過配置VTP(VLAN中繼協(xié)議)在交換機之間進行VLAN信息的共享。
4 結論
校園網(wǎng)屬于學校重要的基礎設施,聯(lián)系著教學、科研和管理等計多方面,它是一個能覆蓋全校不同機構或部門的利用成熟、先進技術的大型網(wǎng)絡系統(tǒng)。隨著信息時代的來臨,特別是多媒體技術在高校教學過程中的應用越來越普遍,使得校園網(wǎng)的高效建設成為高校教育信息化發(fā)展的必然趨勢。
參考文獻:
[1] 麻海雷.校園網(wǎng)性能監(jiān)控系統(tǒng)的設計與部署[J].內(nèi)蒙古農(nóng)業(yè)大學學報,2009,6(2):226-228.
[2] 陳玉清.校園網(wǎng)的組建與管理[J].新鄉(xiāng)學院學報,2009,4(2):66-68.
[3] 林永箐.多層次校園網(wǎng)絡安全設計[J].吉林師范大學學報,2009,8(3):150-153.
關鍵詞:計算機;校園網(wǎng)絡規(guī)劃與設計;技術綜述
中圖分類號:TP393.18
隨著計算機技術的廣泛應用,如今社會已經(jīng)進入了全網(wǎng)絡時代,各大學校的學習和生活已經(jīng)離不開計算機的支持,網(wǎng)絡平臺開始發(fā)揮其強大的功能,為保證更好的校園網(wǎng)絡環(huán)境,必須對落后的網(wǎng)絡進行重新規(guī)劃設計,提高其性能。學校的網(wǎng)絡規(guī)劃設計不同于其他場所,在設計過程中必須考慮到實際需求以及使用規(guī)模。本文就如何提高校園網(wǎng)絡的性能做出探討。
1 校園網(wǎng)絡建設原則
1.1 實用性。校園網(wǎng)絡主要是滿足師生日常生活學習,因此在建設過程中必須具備一定的實用性。校園網(wǎng)絡在建設中需要充分考慮師生的需求,選取合適的建設方式,在滿足需求的基礎上實現(xiàn)經(jīng)濟性。由于學校人數(shù)較多,因此必須考慮到日常網(wǎng)絡維護以及故障檢修的便捷性及有效性,不刻意追求網(wǎng)絡環(huán)境的先進性,針對實際情況制定合適的方案即可。
1.2 安全性。校園網(wǎng)絡環(huán)境復雜,因此在日常運行過程中容易受到一些惡意攻擊。學校需要將安全問題作為重點內(nèi)容納入網(wǎng)絡設計規(guī)劃中。例如:在網(wǎng)絡運行過程中設置權限管制,對未經(jīng)授權的用戶嚴禁進入校園網(wǎng)絡等,以保護校園網(wǎng)絡數(shù)據(jù)的安全。
1.3 可靠性。校園網(wǎng)絡需要給全校師生提供網(wǎng)絡支持平臺,因此在實際使用中必須具備一定的可靠性。在設計時需要給校園網(wǎng)絡設定一定的承載能力,可以同時容納全校師生的同時使用,避免發(fā)生網(wǎng)絡崩潰,增加系統(tǒng)的可靠性。另外需要提高系統(tǒng)的整體性能,保證在遇到一些基本問題時仍舊能夠繼續(xù)工作。
1.4 統(tǒng)一性。在校園網(wǎng)絡的規(guī)劃與設計中,在規(guī)劃時所涉及到的各方面細節(jié),都由建設部門統(tǒng)一進行規(guī)劃工作,務必保證校園內(nèi)網(wǎng)絡的統(tǒng)一性,方便系統(tǒng)運行以及日常維護工作。避免各自為政產(chǎn)生的分歧。
1.5 先進性。這里的先進性并非使用目前最高端的網(wǎng)絡技術,而是為了保證系統(tǒng)的穩(wěn)定,及時對網(wǎng)絡的硬件和軟件資源進行定期更新,在網(wǎng)絡規(guī)劃中,對現(xiàn)有網(wǎng)絡環(huán)境進行分析,統(tǒng)計需要拓展或升級的資源,保證網(wǎng)絡良好的承接性。
1.6 經(jīng)濟性。學校不同于其他機關,強大的資金基礎,因此在進行網(wǎng)絡規(guī)劃時需要遵循經(jīng)濟性原則,對規(guī)劃中的方案進行經(jīng)濟效益評估,對比設計方案的性價比,選取能滿足學?,F(xiàn)階段的需求,且性價比較高的方案。
2 校園網(wǎng)絡需求分析
校園網(wǎng)絡的規(guī)劃設計就是建立在源網(wǎng)絡基礎上的優(yōu)化和改進過程,充分發(fā)揮網(wǎng)絡給學校帶來的效益,實現(xiàn)各種資源的輸入輸出與共享。對學生而言網(wǎng)絡是學習以及生活中的個人需求,當今校園中學生對網(wǎng)絡的依賴程度進一步擴大,需要網(wǎng)絡環(huán)境有一定的穩(wěn)定性,在網(wǎng)絡速度方面做出提升,以保證日常需求,同時校方需要對學生過分沉迷于網(wǎng)絡的行為進行管控,在夜間實行間斷供網(wǎng)。對教師而言主要是日常工作以及個人需求。在教學以及備課的過程中,教師需要借助校園網(wǎng)絡進行資源查找,就教師而言,網(wǎng)絡還應具有一定的開放性。
3 網(wǎng)絡技術及軟硬件的選擇
3.1 組網(wǎng)技術的選擇。針對學校需求,結合實際情況,當期在校園內(nèi)可使用的局域網(wǎng)技術有Ethernet(以太網(wǎng))、Fast Ethernet(快速以太網(wǎng))、Gigabit Ethernet(千兆位以太網(wǎng))、Token――Ring(令牌環(huán)網(wǎng))、FDDI(光纖分布式數(shù)據(jù)接口)和ATM(異步傳輸模式)。就目前校園網(wǎng)絡使用情況而言,F(xiàn)ast Ethernet以及ATM占據(jù)主流,這主要歸功于其性能穩(wěn)定性以及可擴展性。ATM作為一種快速分組交換技術,已經(jīng)通過實踐證明其強大的功能和先進性,但是它的操作管理卻與傳統(tǒng)以太網(wǎng)存在一定區(qū)別,針對以以太網(wǎng)為基礎的校園局域網(wǎng)不能通過ATM進行升級拓展。相比于ATM,F(xiàn)ast Ethernet具有更強的實用性,兼容性更好,結構簡單,價格經(jīng)濟,適合于校園網(wǎng)絡規(guī)劃。另外,在需要提升核心網(wǎng)絡的時候只需將Fast Ethernet升級為GigabitEthernet即可,方便快捷。
3.2 網(wǎng)絡結構設計。網(wǎng)絡設計過程中必須重視對網(wǎng)絡結構的設計,網(wǎng)絡結構能夠直觀反映網(wǎng)絡的實用性以及安全性,另外在網(wǎng)絡環(huán)境的設計中對管理簡便性以及可拓展性都做了規(guī)劃。因此在進行網(wǎng)絡結構設計過程中必須考慮網(wǎng)絡是否易于管理,能夠及時掌握網(wǎng)絡運行中的各種信息,對存在的問題能否及時解決;網(wǎng)絡設置是否具備拓展性,以后網(wǎng)絡的發(fā)展方向能否建立在當今網(wǎng)絡基礎上;網(wǎng)絡運行過程中是否會發(fā)生冗余現(xiàn)象,網(wǎng)絡能否長期穩(wěn)定工作;網(wǎng)絡運行過程中各種資源能夠被有效管理,用戶能否被準確的區(qū)域區(qū)分,網(wǎng)絡環(huán)境是否高效穩(wěn)定運行;網(wǎng)絡結構是否支持不同網(wǎng)絡協(xié)議,能否保障所有師生都能通過校園網(wǎng)絡進行網(wǎng)絡資源訪問;網(wǎng)絡設備是否良好運用,其特點是否符合當今校園網(wǎng)絡環(huán)境。為滿足以上要求必須對網(wǎng)絡結構進行核心層、匯聚層、接入層三層設計。
3.3 網(wǎng)絡硬件的選擇。網(wǎng)絡硬件是校園網(wǎng)絡規(guī)劃的重要組成部分,其選擇恰當與否對網(wǎng)絡環(huán)境的整體性能意義重大。網(wǎng)絡中的傳輸介質主要包括兩部分,一部分交換機間(樓與樓之間,樓層之間)及部分服務器接入的鏈路等,另一部分主要是從接入層的交換機到用戶的PC。交換機是網(wǎng)絡結構的重要組成部分,是網(wǎng)絡互聯(lián)的基本設備,需要針對實際情況選取實用的交換機。例如對于核心層來說就需要選取性能優(yōu)良的交換機,便于數(shù)據(jù)的快速輸入輸出及建立可靠地傳輸結構。匯聚層是鏈接本的中心,因此在交換機的選擇上也應該選取性能較高的設備。接入層可以選取性能稍低的交換機,只需滿足使用即可。其他網(wǎng)絡硬件設施的選擇可以根據(jù)具體的參數(shù)以及實際使用情況來決定。
3.4 網(wǎng)絡操作系統(tǒng)的選擇。網(wǎng)絡操作系統(tǒng)是整個網(wǎng)絡的基礎支持,網(wǎng)絡操作系統(tǒng)的選擇對網(wǎng)絡應用具有重要意義,其恰當與否直接關系到網(wǎng)絡的應用、安全和管理。對于不同的操作系統(tǒng)而言,其功能特性也不同,在選取網(wǎng)絡系統(tǒng)的過程中需要根據(jù)網(wǎng)絡環(huán)境規(guī)劃的基本原則,結合實際情況,做出最佳決定。針對系統(tǒng)本身來說,成本不可太高,在可能的情況下選擇性價比高的系統(tǒng)。為方便以后網(wǎng)絡的進一步升級,需要操作系統(tǒng)具有一定的可拓展性。
4 Internet的接入
隨著需求的不斷增加,校園網(wǎng)絡的建設也不斷進行。各種優(yōu)質教學資源被大量接入學校網(wǎng)絡環(huán)境中,對于一般資料而言,師生可以通過校園網(wǎng)絡進行免費閱讀,但對一些涉及到版權問題的資源,學校需要支付高昂的費用才能進行訪問。學校在進行網(wǎng)絡規(guī)劃設計時,需要結合教育網(wǎng)以及本地ISP,采用雙出口互聯(lián)網(wǎng)接入方式,在降低成本投入的基礎上實現(xiàn)對大量教育資源的訪問。
5 結束語
校園網(wǎng)絡規(guī)劃與設計是學校發(fā)展與時俱進的一種體現(xiàn)方式,同時也是需求不斷增加的結果。在規(guī)劃設計過程中需要結合需求,利用科學合理的方式對學校原有網(wǎng)絡進行完善改造,保證師生能夠在一個安全、穩(wěn)定、高效的網(wǎng)絡環(huán)境下工作學習。
參考文獻:
[1]孫立珍.試論校園網(wǎng)絡的規(guī)劃與設計[J].內(nèi)蒙古科技與經(jīng)濟,2012(01):76-78.
[2]梁錦銳.論校園網(wǎng)絡規(guī)劃與設計中的擴展性問題[J].大眾科技,2011(10):45-46.
[3]黃靈敏.論校園網(wǎng)絡規(guī)劃設計的若干問題[J].網(wǎng)絡科技,2013(08):98.
關鍵詞:校園網(wǎng)絡;規(guī)劃設計;擴展性;可靠性
某高職高專院校新校區(qū)峻工,該學院新校區(qū)占地面積兩千多畝,有4棟教學樓,16棟宿舍樓,1棟圖書館大樓2棟食堂,6個實驗室大樓等建筑構成。由于老校區(qū)在城市規(guī)劃中已不覆存在沒有與老校區(qū)互聯(lián)的情況,該校院網(wǎng)絡規(guī)劃建設目標是建設一個以辦公自動化、計算機輔助教學、現(xiàn)代計算機校園文化為核心,以現(xiàn)代網(wǎng)絡技術為依托,技術先進、擴展性強、能覆蓋全院主要樓宇的校園主干網(wǎng)絡。
1、校園網(wǎng)絡系統(tǒng)結構
校園的規(guī)模比較大,普通的平面結構難以滿足校園網(wǎng)設計的需求;因此選用層次型網(wǎng)絡設計模型,由于其結構清晰具有很好的擴展性,易于實現(xiàn),易于排除故障、冗余性好、易于排除故障易于管理等特點,可充分滿足校園網(wǎng)的需求。根據(jù)以上分析及學院的現(xiàn)狀及未來需求,校園網(wǎng)采用了萬兆以太網(wǎng)技術,網(wǎng)絡結構分為三層,分別是核心層、匯聚層、接入層。匯聚層通過1000M冗余鏈路,分別連接到核心設備上,以提高網(wǎng)絡的穩(wěn)定性;接入設備與1000M匯聚層連接具有很好的接入控制能力。
1.1 基于IRF技術的核心層設計
核心層作為校園的交換中樞,必須具備可靠、高性能無阻塞轉發(fā)能力,能夠提供強大的交換能力和冗余備份.并能方便地進行管理和擴充。為此核心層設計采用IRF技術華為S9500系列萬兆交換機組成,IRF技術主要包括分布設備管理、分布冗余路和分布鏈路聚合3方面的技術在外界看來整個FABRIC是一個整體虛擬設備,在某一設備發(fā)生故障時路由協(xié)議和數(shù)據(jù)轉發(fā)都可以不中斷。充分保障了核心層的無故障運行能力,并且支持IRF的設備可以使用戶的投資得到更多的回報,1:N設備的高擴展、高可靠性。
1.2 匯聚層設計
匯聚層是網(wǎng)絡接入層和核心層的“中介”,匯聚層上連接到核心層交換機,下連接入交換機,為終端用戶提供高性能的千兆骨干鏈路,滿足接人信息點不斷擴充和信息量日益增加的需要。為實現(xiàn)高可靠性匯聚層與核心層的連接采用兩條鏈路與核心層的兩臺核心交換機連接,以減輕單臺核心交換機的負荷,從而實現(xiàn)網(wǎng)絡系統(tǒng)的快速、高效、穩(wěn)定、可靠,因此匯聚層交換機與接入層交換機比較,需要更高的性能,更少的接口和更高的交換速率,根據(jù)我院樓宇建筑分布情況,匯聚層交換機架設在學校各教學樓、辦公樓、實訓樓、圖書館、學生宿舍各樓宇工作間。
1.3 接入層設計
網(wǎng)絡中直接面向用戶連接或訪問網(wǎng)絡的部分稱為接入層,接入層目的是允許終端用戶連接到網(wǎng)絡,為用戶提供了在本地網(wǎng)段訪問應用系統(tǒng)的能力,因此接入層交換機具有低成本和高端口密度特性,在接入層設計上主張使用性能價格比高的設備。另外還要考慮安全方面的需求和管理方面面的功能,(如地址認證、用戶認證、計費管理等),以及用戶信息收集工作(如用戶的IP地址、MAC地址、訪問日志等)。
1.4 與國際互聯(lián)網(wǎng)的互聯(lián)
申請了兩條鏈路實現(xiàn)跟外網(wǎng)的連接。網(wǎng)絡的出口有兩條線路,一條線路通過本地教育城域網(wǎng),一條線路連接到中國電信1000M公用廣域網(wǎng),在其中部署防火墻和路由器實現(xiàn)安全隔離。
另外IRF技術本身是交換網(wǎng)絡的簡化和優(yōu)化技術,但在當前網(wǎng)絡安全集成一體化的趨勢下,以IRF架構來進一步簡化網(wǎng)絡安全服務的部署,是當前提供可用的最佳實踐指導的基本內(nèi)容。IRF交換網(wǎng)絡與防火墻組合設計IRF交換網(wǎng)絡與IPS組合設計等等這些技術極大地簡化網(wǎng)絡設備與安全設備之間的對接設計,進一步提升了網(wǎng)絡的可靠性和安全性,另一方面與市公安局網(wǎng)上110 聯(lián)網(wǎng),及時處理安全事故能夠,下載安全規(guī)則。
2 校園網(wǎng)絡的擴展性,可靠性設計
可靠性是保障網(wǎng)絡無故障運行的能力、可擴展性需求決定了新設計的網(wǎng)絡系統(tǒng)適應用戶未來發(fā)展的能力。網(wǎng)絡系統(tǒng)的可靠性、可擴展性主要體現(xiàn)在網(wǎng)絡拓撲結構,與絡網(wǎng)絡設備運用的相應技術,以及 IP 地址的規(guī)劃等方面。
2.1網(wǎng)絡拓撲結構設計以及IRF技術在設備擴展性和可靠性方面的應用
由于校園網(wǎng)規(guī)模大,普通的拓撲結構難以滿足需要,所以校園網(wǎng)建設采用層次(三層接入層、匯聚層、核心層)模型,將網(wǎng)絡劃分成不同的層次各個層次各司其職,另外層次模型,結構清晰、性能好、有良好的收縮能力,易于排出故障、冗余性好、易管理等特點有良好的擴展性和可靠性。
在本項目中,由于信息點較多且分布較廣,同時基礎設施建設還在完善中,為了將來網(wǎng)絡的易于管理,擴展和升級,采用基于IRF 技術的多核心結構進行設計,在核心層進行橫向整合這種IRF 技術的多核心結構,保證了整個網(wǎng)絡的穩(wěn)定性和解決了端口擴展和交換能力,同時增強了設備的可靠性。
采用基于IRF技術的多核心可靠性主要體現(xiàn)在,各接入層內(nèi)部通訊量大,無需通過核心處理時(內(nèi)部網(wǎng)絡游戲等),采用層次結構更加合理,更強的預防和控制,對網(wǎng)絡攻擊、病毒和破壞盡量控制在邊緣完成,網(wǎng)絡層次結構更加完善、可匯總路由,降低核心路由表項,采用鏈路冗余設計, IRF主備切換時間實現(xiàn)毫秒級切換,降低了故障中斷時間.保證整個網(wǎng)絡穩(wěn)定提供高設備和性能的高可靠性。
網(wǎng)絡設備的擴展性主要體現(xiàn)在交換機的端口類型和速率配置以及服務器的組件配置上。在選擇交換機,特別是核心層和匯聚層交換機,一定要根據(jù)學校的現(xiàn)狀及未來五年的發(fā)展,選擇交換機的端口類型和速率,即立足于現(xiàn)在的千兆,也能滿足將來萬兆需求。核心層設備采用持IRF的多臺s9500系列設備可互相連接起來形成一個 “聯(lián)合設備”稱為一個Fabric,這臺“聯(lián)合設備”主備成員間采用負載分擔的方式,能提高資源利用率,IRF能使多臺設備只需配置一次效率高,用戶還可以通過任意成員設備的接口來對系統(tǒng)進行統(tǒng)一管理, 在擴展性方面將組成 Fabric 的每個設備稱為一個 Unit,多個Unit組成Fabric后,無論在管理上還是在使用上,就成為了一個整體。它既可以隨時通過增加 Unit 來擴展設備的端口數(shù)量和交換能力,從而大大提高了設備的可擴展性。
2.2 IP 地址的規(guī)劃
網(wǎng)絡IP地址規(guī)劃的好壞,直接影響網(wǎng)格的性能、擴展和管理,可靠性也必將影響網(wǎng)絡的進一步發(fā)展??紤]到路由聚合、子網(wǎng)劃分、路由器路由表匯總諸多因素在進行IP地址規(guī)劃時必須遵循以下分配原則:
本校園IP地址規(guī)劃在上述原則指明導下一方面采用靜態(tài)私有地址,另一方面在內(nèi)部架設DHCP服務器采取動態(tài)IP地址分配減少管理員的工作量,并做為靜態(tài)分案的補充,隨著大量多媒體應用的出現(xiàn),在網(wǎng)絡規(guī)模逐漸擴大,用戶數(shù)量持續(xù)激增的情況下,要求網(wǎng)絡有極佳的擴展性能,可隨應用升級逐步平滑升級到萬兆骨干連接。建設數(shù)字校園的項目團隊應提早進行IPv6的技術儲備,為校園網(wǎng)的升級打造基礎。
3 結束語
在校園網(wǎng)絡規(guī)劃設計中要做到能適應較長時期學校和網(wǎng)絡技術的發(fā)展,前瞻性和可持續(xù)發(fā)展性,在可靠性方面除注重計算機網(wǎng)絡的設計工作之外,還要積極學習采用新技術,需要注意的是在此過程中要綜合考量新技術的采用,從而有效保障和提高校園計算機網(wǎng)絡的可靠性,保障長時間無故障運行。
參考文獻
[1] 李偉. 基于IRF技術的萬兆校園網(wǎng)設計.《湖南工業(yè)大學學報》,2008-05-15.
[2] 梁錦銳.論校園網(wǎng)絡規(guī)劃與設計中的擴展性問題.《大眾科技》,2011-10-20.
[5] 高等職業(yè)院校的網(wǎng)絡建設研究. 董亮亮《南京理工大學碩士論文》-2012-05-01.