高校校園網(wǎng)核心設(shè)備設(shè)計論文

高校校園網(wǎng)核心設(shè)備設(shè)計論文

［摘要］高校校園網(wǎng)已成為高校信息化建設(shè)的重要支撐平臺，本文根據(jù)高校實際情況，從設(shè)計目標、思想和原則入手，分析并設(shè)計了高校校園網(wǎng)方案。隨著計算機網(wǎng)絡(luò)的發(fā)展，校園網(wǎng)已經(jīng)成為高等院校走向信息化時代的必然發(fā)展趨勢，使我國高等教育管理向智能化發(fā)展。它是網(wǎng)絡(luò)技術(shù)和電子信息技術(shù)和高等院校發(fā)展相結(jié)合的產(chǎn)物。校園網(wǎng)以信息資源為根本，硬件網(wǎng)絡(luò)系統(tǒng)為物質(zhì)基礎(chǔ)，同時以網(wǎng)絡(luò)軟件系統(tǒng)實現(xiàn)系統(tǒng)的管理與使用，是一個具有寬帶通路和交互功能的專業(yè)性局域網(wǎng)，應(yīng)具有教學(xué)、科研、管理和通訊等四大功能。一、設(shè)計目標校園網(wǎng)的設(shè)計目標簡而言之是將各種不同應(yīng)用的信息資源通過高性能的網(wǎng)絡(luò)設(shè)備相互連接起來，形成校園區(qū)內(nèi)部的Intranet系統(tǒng)，對外通過路由設(shè)備接入廣域網(wǎng)。具體而言這樣的設(shè)計目標應(yīng)該是：建設(shè)一個以辦公自動化、計算機輔助教學(xué)、現(xiàn)代計算機校園文化為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托、技術(shù)先進、擴展性強、覆蓋全校樓宇的校園主干網(wǎng)絡(luò)，將學(xué)校的各種PC機工作站、終端設(shè)備和局域網(wǎng)連接起來，并與有關(guān)廣域網(wǎng)相連:在網(wǎng)上宣傳和獲取教育資源;在此基礎(chǔ)上建立能滿足教學(xué)、科研和管理工作需要的軟、硬件環(huán)境;開發(fā)各類信息庫和應(yīng)用系統(tǒng)，為學(xué)校各類人員提供充分的網(wǎng)絡(luò)信息服務(wù);系統(tǒng)總體設(shè)計本著總體規(guī)劃、分布實施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進性、高度的安全可靠性、良好的開放性、可擴展性，以及建設(shè)經(jīng)濟性。二、設(shè)計的關(guān)鍵1.網(wǎng)絡(luò)技術(shù)選型在校園網(wǎng)網(wǎng)絡(luò)的建設(shè)中，主干網(wǎng)選擇何種網(wǎng)絡(luò)技術(shù)對網(wǎng)絡(luò)建設(shè)的成功與否起著決定性的作用。選擇適合校園網(wǎng)絡(luò)需求特點的主流網(wǎng)絡(luò)技術(shù)，不但能保證網(wǎng)絡(luò)的高性能，還能保證網(wǎng)絡(luò)的先進性和擴展性，能夠在未來向更新技術(shù)平滑過度，保護用戶的投資。所以要根據(jù)實際應(yīng)用的需要，采用千兆以太網(wǎng)作為校園網(wǎng)的主干網(wǎng)，因為作為整個校園網(wǎng)的信息交換中心，網(wǎng)絡(luò)的速度會直接影響到其他各子網(wǎng)的性能;在建設(shè)多媒體教室時，由于網(wǎng)絡(luò)中將會有很多的圖像和聲音的傳輸，因此對帶寬和傳輸速度有很高的要求，采用快速以太網(wǎng)就是最好的選擇；而對于其他一些只有諸如簡單文件傳輸之類的應(yīng)用的環(huán)境，采用以太網(wǎng)就能滿足要求。不同網(wǎng)絡(luò)技術(shù)的復(fù)雜程度，在一定程度上直接影響校園網(wǎng)的維護、管理和使用效果。千兆以太網(wǎng)繼承了以太網(wǎng)的技術(shù)簡單，容易學(xué)習(xí)掌握的特點，是校園網(wǎng)的首選技術(shù)。2.校園網(wǎng)的出口解決方案目前，高校校園網(wǎng)IP資源及注冊域名基本來源于中國教育科研計算機網(wǎng)——CERNET，但資費比較高，除了重點高校，帶寬也受到了很大限制。而隨著用戶數(shù)量的不斷增加，多數(shù)高校原有CERNET接入帶寬已不能滿足需求，擴大校園網(wǎng)出口帶寬迫在眉睫，但擴大出口帶寬帶來的一個直接問題便是網(wǎng)絡(luò)信息費的急劇增大，與CERNET相比，通過本地ISP接入CHINANET，在相同接入帶寬的情況下費用較低。所以，采用雙出口方案是高校校園網(wǎng)發(fā)展的一個新趨勢，它綜合運用了靜態(tài)、網(wǎng)絡(luò)地址轉(zhuǎn)換和策略路由等技術(shù)，充分整合了CERNET及本地ISP的優(yōu)勢資源，是一種行之有效的校園網(wǎng)出口瓶頸解決方案。3.網(wǎng)絡(luò)核心設(shè)備的選擇(1)骨干帶寬的選擇。網(wǎng)絡(luò)應(yīng)用的增加對網(wǎng)絡(luò)帶寬提出了直接的需求。事實上，從1983年802.3標準的正是成立開始，以太網(wǎng)技術(shù)經(jīng)過20年的發(fā)展，已進入萬兆以太網(wǎng)（802.3ae標準）的時代。校園網(wǎng)絡(luò)應(yīng)用也是極其豐富的。并且隨著組播技術(shù)在校園的應(yīng)用，校園網(wǎng)核心層將面臨嚴峻的考驗。出于對網(wǎng)絡(luò)發(fā)展的考慮，基于網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展，在擁有近萬個信息點的高校采用萬兆以太網(wǎng)技術(shù)構(gòu)建核心層是可行的。目前業(yè)務(wù)還沒完全開展起來，先采用千兆骨干，但核心設(shè)備必須支持萬兆，并且在教育行業(yè)有應(yīng)用，證明核心產(chǎn)品的成熟性和穩(wěn)定性。在實現(xiàn)端到端的以太網(wǎng)訪問的同時提高了傳輸?shù)男剩行У乇ＷC了多媒體教學(xué)、數(shù)字圖書館等業(yè)務(wù)的開展。(2)處理能力。核心層是網(wǎng)絡(luò)高速交換的骨干，被設(shè)計成盡可能高速包轉(zhuǎn)發(fā)率，同時能夠提供高速的Internet的接入和高冗余性能，同時由于各高校基本采用了Internet和CERNET雙出口，而且出口的速率不同，所以所選擇的網(wǎng)絡(luò)核心層設(shè)備應(yīng)該能夠提供多網(wǎng)絡(luò)出口的智能選擇的功能，本身能夠提供冗余特性。核心層設(shè)備須能夠支持多種不同模塊的插槽和提供多種不同的網(wǎng)絡(luò)模塊，支持到流媒體所需的網(wǎng)絡(luò)的組播協(xié)議和網(wǎng)絡(luò)的多播協(xié)議的處理能力，需要線速的數(shù)據(jù)轉(zhuǎn)發(fā)和數(shù)據(jù)交換功能，即高背板帶寬支持和高性能網(wǎng)絡(luò)處理芯片的支持；由于是核心設(shè)備，還必須考慮整體網(wǎng)絡(luò)的災(zāi)難備份和設(shè)備冗余，在設(shè)計中考慮的設(shè)備冗余需要有設(shè)備支持和協(xié)議支持，設(shè)備支持就是指在核心不能由單臺設(shè)備進行整個網(wǎng)絡(luò)的數(shù)據(jù)交換，需要有至少兩臺設(shè)備對整個網(wǎng)絡(luò)進行有效的支撐，并已經(jīng)具備災(zāi)難備份的硬件支撐能力。在協(xié)議上，需要支持冗余協(xié)議，實現(xiàn)整體網(wǎng)絡(luò)冗余。支持在單臺設(shè)備失效的同時，在最短的時間切換，避免網(wǎng)絡(luò)損失。對于核心交換機在整個網(wǎng)絡(luò)的設(shè)計，還要考慮整體業(yè)務(wù)的支撐方式，因為設(shè)備只是物理承載層面，而用戶需要在該物理層面實現(xiàn)其業(yè)務(wù)，達到職能和流程的有效快捷，這樣，物理設(shè)備的業(yè)務(wù)支撐能力就至關(guān)重要。核心設(shè)備應(yīng)提供分布式L2/3/4層接口板處理應(yīng)用流（視頻、話音、數(shù)據(jù)）、重要用戶的優(yōu)先級，支持NAT、MPLS、VPN、策略路由等應(yīng)用；支持基于端口、MAC、VLAN、IP、應(yīng)用類型等多種Qos；支持四個優(yōu)先級隊列和WRED、WRR、PQ、WFQ等流分類、排隊、調(diào)度和整形機制。賦予交換機高度的智能性，高效支持各種應(yīng)用業(yè)務(wù)。對于核心設(shè)備在網(wǎng)絡(luò)中的舉足輕重的位置，安全對于整個網(wǎng)絡(luò)來說也整個網(wǎng)絡(luò)的至關(guān)重要的，對于外部的黑客攻擊和內(nèi)部的病毒攻擊的屏蔽，是保證整個網(wǎng)絡(luò)運行的關(guān)鍵。核心設(shè)備要提供完善的ACL訪問控制策略的定制，防止非法內(nèi)容的訪問；廣播包抑制及廣播源定位功能，保證網(wǎng)絡(luò)用戶安全。(3)對于未來的擴展設(shè)計。對于在中心位置的核心設(shè)備的設(shè)計而言，隨著時代的改變，其業(yè)務(wù)結(jié)構(gòu)和規(guī)模也會改變，這樣需要整個網(wǎng)絡(luò)設(shè)備能夠?qū)ξ磥淼淖兓邆鋺?yīng)對措施；由于核心設(shè)備是數(shù)據(jù)和業(yè)務(wù)的核心，所以，不能輕易的進行更換，同時，考慮到成本的因素，除非核心設(shè)備已經(jīng)完全不能支撐目前業(yè)務(wù)的進行，否則，基本都會采取在原來的設(shè)備增加功能支撐來滿足新業(yè)務(wù)的需求。這樣，對于未來的擴展性就變得異常重要，核心設(shè)備擴展槽，接插模塊類型，端口密度數(shù)應(yīng)有所考慮，以保證整體設(shè)備的高性價比。4.安全方案的部署從各高校網(wǎng)絡(luò)現(xiàn)狀分析，目前面臨的網(wǎng)絡(luò)安全威脅來源主要來自以下幾個方面：一是來自Internet的安全威脅，各高校有自己獨立的鏈路通往Internet。從Internet上的任意接入點對本局域網(wǎng)發(fā)起的基于網(wǎng)絡(luò)的攻擊，以及對外公開的應(yīng)用服務(wù)器的攻擊，這樣可以造成網(wǎng)絡(luò)性能的急劇下降，應(yīng)用服務(wù)器的癱瘓。使整體網(wǎng)絡(luò)正常的內(nèi)、外雙向通信、存儲等服務(wù)受阻或中斷;二是來自校內(nèi)局域網(wǎng)內(nèi)部的惡意安全攻擊，網(wǎng)絡(luò)連接學(xué)生的計算機，學(xué)生有可能基于學(xué)習(xí)的目的可能使用各種入侵的軟件，給系統(tǒng)造成隱含的威脅;三是高校內(nèi)各相關(guān)部門的數(shù)據(jù)上報采用FTP方式逐級復(fù)制，處于完全敞開和透明的模式，只要掌握IP地址，傳輸數(shù)據(jù)就可以被輕易截獲，從而造成保密信息的泄露;再有來自操作系統(tǒng)、應(yīng)用系統(tǒng)本身的漏洞及來自互聯(lián)網(wǎng)、內(nèi)部局域網(wǎng)的病毒安全威脅的攻擊。學(xué)校范圍內(nèi)的病毒防護不能依靠個人的自覺性，應(yīng)當從網(wǎng)關(guān)、服務(wù)器、客戶端多個層面來統(tǒng)一部署，實施整體病毒防護解決方案。這樣才能從根本上杜絕病毒的發(fā)作和傳播，有效地保護學(xué)校內(nèi)部資源，同時對新出現(xiàn)的病毒有一個很好的、快速的響應(yīng)系統(tǒng)。作為學(xué)校網(wǎng)絡(luò)安全的防線，防火墻、入侵檢測、防病毒系統(tǒng)是必不可少的，它可有效的對來自外網(wǎng)和內(nèi)網(wǎng)的攻擊做出及時告警，并給予一定的響應(yīng)措施。5.專網(wǎng)的設(shè)計近來年，各高校依托校園網(wǎng)線路的其他各項應(yīng)用也相繼加入。如校園一卡通工程，涉及到全校師生及校財務(wù)、圖書館、餐飲等多個部門。既有用戶的身份識別，有又用戶的消費，所以，應(yīng)考慮到此類應(yīng)用的專網(wǎng)設(shè)計。包括設(shè)備選擇、VLAN劃分、IP規(guī)劃、訪問列表設(shè)置等。再有，校保安系統(tǒng)視頻監(jiān)控、冬季取暖溫度采集系統(tǒng)都將工作在校園網(wǎng)上。超級秘書網(wǎng)6.其他注意問題在用戶管理、計費方面，要保證計費數(shù)據(jù)的準確，交換機可以支持用戶賬號、IP地址、MAC地址、交換機端口、VLAN的綁定，保證了用戶上網(wǎng)期間IP地址不被盜用，支持基于流量/時長/包月/帶寬的計費及其組合計費方式。在用戶日志管理方面，業(yè)務(wù)管理平臺和接入交換機配置可以實現(xiàn)完善的用戶日志功能。用戶訪問日志的內(nèi)容包括用戶名、源MAC、VLANID、源IP、目的IP、訪問時間。用戶的目的IP地址改變時會產(chǎn)生一條日志。根據(jù)這些信息可以很方便的定位用戶在某個時間段訪問了那些內(nèi)部服務(wù)器，與服務(wù)器的日志相對應(yīng)追查出一些事故的責(zé)任人。在網(wǎng)絡(luò)管理方面，網(wǎng)絡(luò)管理軟件支持多種操作平臺，并能夠與多種通用網(wǎng)管平臺集成，實現(xiàn)從設(shè)備級到網(wǎng)絡(luò)級全方位的網(wǎng)絡(luò)管理。提供統(tǒng)一拓撲發(fā)現(xiàn)功能，實現(xiàn)全網(wǎng)監(jiān)控，可以實時監(jiān)控所有設(shè)備的運行狀況，