校園網(wǎng)網(wǎng)絡(luò)升級改造實踐探索

王金峰 鄭 非 張雷明 劉全新

(武漢工程職業(yè)技術(shù)學(xué)院 湖北 武漢:430080)

1 校園網(wǎng)絡(luò)的現(xiàn)狀

隨著現(xiàn)代計算機(jī)網(wǎng)絡(luò)技術(shù)的高速發(fā)展以及高等教育改革的逐年加快,現(xiàn)代高等教育已離不開網(wǎng)絡(luò)的發(fā)展,并對網(wǎng)絡(luò)的要求也越來越高。筆者所在學(xué)校江北校區(qū)的校園網(wǎng)從2006年開始建設(shè),一直以來對網(wǎng)絡(luò)只是做了一些局部增補(bǔ),各樓宇接入交換機(jī)大部分都是采用傻瓜式低性能交換機(jī),網(wǎng)絡(luò)整體結(jié)構(gòu)相對較為凌亂。目前各個網(wǎng)段下的交換機(jī)設(shè)備已經(jīng)使用三年,且不具備主動防御網(wǎng)絡(luò)病毒攻擊、監(jiān)控流量等功能,使得目前江北校區(qū)的網(wǎng)絡(luò)病毒泛濫,各個網(wǎng)段內(nèi)ARP病毒攻擊非常嚴(yán)重,經(jīng)常造成網(wǎng)絡(luò)擁堵,個人PC的動態(tài)IP地址被篡改,整棟樓的網(wǎng)絡(luò)頻繁掉線,給校區(qū)師生的學(xué)習(xí)和工作生活帶來了極大的不便。同時由于病毒攻擊的泛濫也給核心機(jī)房的匯聚交換機(jī)和防火墻帶來了沉重的壓力,因為攻擊頻繁而導(dǎo)致交換機(jī)重啟的現(xiàn)象時常發(fā)生。且實訓(xùn)大樓和行政樓、1號和2號教學(xué)樓都即將通網(wǎng),對現(xiàn)有的設(shè)備帶來了更大的壓力。鑒于目前的網(wǎng)絡(luò)現(xiàn)狀已無法滿足校區(qū)的日常工作和生活要求,所以對于校區(qū)的網(wǎng)絡(luò)升級改造已經(jīng)是迫在眉睫。

2 需求分析

目前校區(qū)校園網(wǎng)絡(luò)的升級改造需求為:

(1)滿足多種應(yīng)用服務(wù)。除現(xiàn)有服務(wù)外,可提供財務(wù)收費(fèi)系統(tǒng)、電子借書系統(tǒng)、OA辦公系統(tǒng)、教學(xué)管理系統(tǒng)、校區(qū)之間的相互訪問(VPN)、文件共享服務(wù)等功能;

(2)可管理性。包括校區(qū)內(nèi)各個網(wǎng)段用戶網(wǎng)絡(luò)流量的統(tǒng)計和控制,對師生訪問權(quán)限的控制機(jī)制的管理;

(3)安全性。加強(qiáng)對系統(tǒng)的安全管理,在防火墻處預(yù)防外來攻擊,阻止內(nèi)網(wǎng)病毒,提高整個網(wǎng)絡(luò)的抗攻擊能力;

(4)可擴(kuò)充性?，F(xiàn)有的網(wǎng)絡(luò)應(yīng)具有很強(qiáng)的擴(kuò)展能力,可以滿足近期內(nèi)可預(yù)見的用戶接入需求,同時具有面向新技術(shù)的平滑升級能力。

3 校園網(wǎng)絡(luò)的升級改造方案設(shè)計

采用總體規(guī)劃、立足現(xiàn)實、分步實施的辦法對校園網(wǎng)絡(luò)進(jìn)行升級改造,以更好的適應(yīng)學(xué)院和校區(qū)發(fā)展需求。

校園網(wǎng)建設(shè)是一個復(fù)雜的綜合工程,對校園網(wǎng)建設(shè)的相關(guān)技術(shù)進(jìn)行理論研究是校園網(wǎng)建設(shè)能否成功、校園網(wǎng)建成后是否高質(zhì)量的保證。其相關(guān)技術(shù)包括了各種Internet主干網(wǎng)的組網(wǎng)技術(shù)、虛擬局域網(wǎng)vlan技術(shù)、第三層交換技術(shù)、防火墻技術(shù)等。

整個方案設(shè)計思想是采用“核心+匯聚+接入”的典型三層網(wǎng)絡(luò)結(jié)構(gòu),具體在結(jié)構(gòu)上分為核心層、匯聚層、接入層。這樣設(shè)置之后整個網(wǎng)絡(luò)結(jié)構(gòu)將變得清晰,且每個接入交換機(jī)下面將成為一個相對獨(dú)立的網(wǎng)絡(luò)區(qū)域,使得該區(qū)域內(nèi)部的病毒等威脅事件對整個網(wǎng)絡(luò)其他部分造成影響的幾率大大降低,即形成了一個真正意義上的“模塊化”可擴(kuò)展網(wǎng)絡(luò)系統(tǒng)。

網(wǎng)絡(luò)核心機(jī)房在圖書館四樓,服務(wù)器在圖書館五樓,從核心機(jī)房到每棟樓房采用單模光纖(由電信鋪設(shè)光纖),圖書館內(nèi)部各層分別通過單模光纖與核心機(jī)房連接。行政辦公樓、實訓(xùn)樓、教師公寓、圖書館五六樓機(jī)房、圖書館二樓電子閱覽室分別采用匯聚交換機(jī)與單模光纖連接,其他采用接入交換機(jī)與匯聚交換機(jī)連接。圖書館教師閱覽室和學(xué)生閱覽室采用無線路由,以滿足教師和學(xué)生使用筆記本電腦上網(wǎng)的需要,實訓(xùn)大樓可以實現(xiàn)千兆到桌面(圖1)。

為了更進(jìn)一步方便日后擴(kuò)充,建議選用支持堆疊的接入交換機(jī),日后需要擴(kuò)充信息點數(shù)量時只需要將新添加的接入交換機(jī)與老的交換機(jī)用專用堆疊線纜連接起來即可,無需改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)。

圖1 校區(qū)校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

4 主要成果

本次校園網(wǎng)的升級改造的重點放在核心部分和實訓(xùn)大樓。核心采用防火墻 (VPN)和 CISCO3560G核心交換機(jī)組成。這樣既可以解決校區(qū)與校區(qū)之間的訪問(如圖書館借閱系統(tǒng)、招生報名系統(tǒng)等),同時CISCO3560G核心交換機(jī)又可以提供穩(wěn)定的、方便管理的網(wǎng)絡(luò)。并且核心交換機(jī)與各棟樓之間采用光纖連接,用光模塊代替過去的光收發(fā)器,提高了網(wǎng)絡(luò)的整體速度和穩(wěn)定性。

實訓(xùn)大樓是新組建的網(wǎng)絡(luò),為了考慮今后的發(fā)展,我們在實訓(xùn)大樓采用千兆到桌面的方案,各樓層均采用千兆交換機(jī),交換機(jī)與交換機(jī)之間,交換機(jī)與計算機(jī)之間采用六類千兆雙絞線連接,這樣就完全實現(xiàn)千兆到桌面。

此次校區(qū)的網(wǎng)絡(luò)改造項目,從分析、調(diào)研到拿出具體方案實施到最后到調(diào)試,歷時9個月,最終完成了校區(qū)的校園網(wǎng)網(wǎng)絡(luò)改造升級。由于經(jīng)費(fèi)緊張,在沒有更換主要設(shè)備的前提下,實現(xiàn)了校園網(wǎng)安全管理和流量監(jiān)控的功能,初步形成了“核心+匯聚+接入”的典型三層可擴(kuò)充的模塊化網(wǎng)絡(luò)結(jié)構(gòu)。

5 總結(jié)

通過這次網(wǎng)絡(luò)改造,從多個方面改善了校區(qū)校園網(wǎng)的狀況,大幅度提升了網(wǎng)絡(luò)的可用性、安全性、可擴(kuò)展性、可管理性和可維護(hù)性。

(1)重新規(guī)劃和設(shè)計了校園網(wǎng)的體系結(jié)構(gòu),重新規(guī)劃了校園網(wǎng)內(nèi)的IP地址。改造后的校區(qū)區(qū)網(wǎng)物理平臺可以支持千兆以太網(wǎng)傳輸;

(2)在網(wǎng)絡(luò)管理方面能夠進(jìn)行WEB管理,實現(xiàn)了遠(yuǎn)程對網(wǎng)絡(luò)設(shè)備的監(jiān)控、配置和故障排除;

(3)通過防火墻的設(shè)置實現(xiàn)了不同的安全策略,對校園網(wǎng)服務(wù)器和用戶的安全提供了靈活的訪問控制和安全防護(hù);

(4)通過安裝和部署防病毒網(wǎng)關(guān)和客戶端,部署自動升級系統(tǒng),有效地遏止了校園網(wǎng)內(nèi)部病毒的傳播;部署了一套數(shù)據(jù)備份系統(tǒng),對關(guān)鍵應(yīng)用進(jìn)行定時自動的備份;部署了日志系統(tǒng),能夠紀(jì)錄和保留網(wǎng)絡(luò)設(shè)備、服務(wù)器等的工作狀況,在校園網(wǎng)發(fā)生故障時,能較好的分析故障產(chǎn)生的原因,提高了網(wǎng)絡(luò)排錯能力和響應(yīng)速度;

(5)2009年秋校園網(wǎng)擴(kuò)充了江北行政辦公樓和實訓(xùn)大樓。其中實訓(xùn)大樓在此次網(wǎng)絡(luò)改造中進(jìn)行了千兆的以太網(wǎng)絡(luò)傳輸,整棟大樓內(nèi)部采用的千兆集連網(wǎng)絡(luò),極大的提高了網(wǎng)絡(luò)傳輸速度。實現(xiàn)了千兆到桌面。

校園網(wǎng)升級改造項目的順利完成,從根本上改變了校園網(wǎng)網(wǎng)絡(luò)的結(jié)構(gòu)層次和用戶的使用方式,大幅提升了校園網(wǎng)的性能及整個校園網(wǎng)絡(luò)的穩(wěn)定性,為以后校區(qū)數(shù)字化校園建設(shè)打下了堅實的網(wǎng)絡(luò)基礎(chǔ)。

[1] 陳 鳴.網(wǎng)絡(luò)工程設(shè)計教程:系統(tǒng)集成方法[M].北京:北京希望電子出版社,2002.

[2] 趙小林,高 虹.網(wǎng)絡(luò)管理技術(shù)教程[M].長沙:國防工業(yè)出版社,2002.

[3] 宋書民,朱志強(qiáng),徐開勇.防火墻技術(shù)指南[M].北京:機(jī)械工業(yè)出版社,2003.

[4] 陳靖宇.路由器原來與技術(shù)[M].長沙:國防工業(yè)出版社,2003.

[5] 孫衛(wèi)佳.網(wǎng)絡(luò)系統(tǒng)集成技術(shù)[M].北京:清華大學(xué)出版社,2004.

[6] 譚浩強(qiáng),趙野軍,奚榮華.組建網(wǎng)絡(luò)技術(shù)[M].北京:人民郵電出版社,2003.