系統(tǒng)科學視野下的高校校園網(wǎng)絡(luò)體系的構(gòu)建

譚曉東

（賀州學院 計算機科學與信息工程學院，廣西 賀州 542899）

引 言

隨著計算機技術(shù)、網(wǎng)絡(luò)通訊技術(shù)的快速發(fā)展，網(wǎng)絡(luò)系統(tǒng)得到了迅速普及，它是一種公用網(wǎng)絡(luò)，主要包括網(wǎng)絡(luò)硬件體系及網(wǎng)絡(luò)服務(wù)軟件平臺兩大部分，可為各級學校、政府等部門提供網(wǎng)絡(luò)承載服務(wù)，為面向社會服務(wù)的業(yè)務(wù)應(yīng)用提供信息共享、業(yè)務(wù)協(xié)同等，能夠滿足各單位的公共服務(wù)、社會管理等方面的需求。因此，為了適應(yīng)新時期的校園網(wǎng)絡(luò)辦公需求，各類學校都十分重視校園網(wǎng)絡(luò)系統(tǒng)的建設(shè)。自開展校園數(shù)字化建設(shè)以來，各單位構(gòu)建了一定規(guī)模的校園網(wǎng)絡(luò)硬件和軟件平臺，為教學活動、網(wǎng)上辦公、信息交流等方面發(fā)揮了一定的作用，但也帶來了諸多現(xiàn)實問題［1-3］：一是建設(shè)方面的重復浪費，包括服務(wù)器、系統(tǒng)軟件、安全設(shè)施等方面的重復購置，造成了較大的浪費和經(jīng)濟負擔；二是管理方面存在較大的安全隱患，由于分散建設(shè)導致安全投入不足，保障防護和危險處置能力不強；三是維護方面的資源不足，這表現(xiàn)在維護技術(shù)力量、人員，以及維護經(jīng)費等方面，致使網(wǎng)絡(luò)難以可靠運行；四是由于缺少總體規(guī)劃，基于校園網(wǎng)絡(luò)的信息共享和業(yè)務(wù)協(xié)同方面的舉步維艱等。分析發(fā)現(xiàn)，造成這些問題的根本原因是“二個分散，四個缺少”，即現(xiàn)有的網(wǎng)絡(luò)采用以部門為單元的分散建設(shè)、分散運維的模式，再加上缺少統(tǒng)籌規(guī)劃、缺少統(tǒng)一支撐、缺少標準規(guī)范、缺少整合共享［4-5］。

因此，必須改變現(xiàn)在這種分散建設(shè)和分散運行的模式，重新規(guī)劃校園網(wǎng)絡(luò)體系，整合建設(shè)和后期運維工作。在此背景下，本文參照系統(tǒng)科學的“整體性、動態(tài)性、綜合性、最優(yōu)化、模型化”的原則［6］，詳細闡述高校校園網(wǎng)絡(luò)構(gòu)建的原則、目標、建設(shè)方案、邏輯設(shè)計等內(nèi)容。

1 設(shè)計原則與建設(shè)目標

構(gòu)建高等學校校園網(wǎng)絡(luò)時，需遵循如下設(shè)計原則：

（1）開放性與標準化。網(wǎng)絡(luò)體系結(jié)構(gòu)和設(shè)計過程嚴格遵循IETF、IEEE等國際標準，同時還必須符合我國網(wǎng)絡(luò)建設(shè)的技術(shù)規(guī)范標準。

（2）高性能。要求網(wǎng)絡(luò)帶寬較大，能夠支持多種大容量數(shù)據(jù)的傳輸與處理，同時，在系統(tǒng)處理大數(shù)據(jù)時，系統(tǒng)仍然保持較高的網(wǎng)絡(luò)吞吐力和傳輸效率。

（3）高可靠性與可用性。系統(tǒng)容錯能力強，能夠抗受一定的外部環(huán)境因素的干擾，具有較好的災(zāi)難恢復能力，單點故障不影響系統(tǒng)整體系統(tǒng)的可用性保持在99.9%以上。

（4）安全性。具有較高的數(shù)據(jù)安全和網(wǎng)絡(luò)設(shè)備安全，安全包括兩塊，一塊是數(shù)據(jù)安全，另一塊是網(wǎng)絡(luò)設(shè)備的安全，對于網(wǎng)絡(luò)設(shè)備安全主要防止設(shè)備被破壞，而數(shù)據(jù)安全則是防止人為攻擊或破壞。

（5）可維護和易擴展。要求系統(tǒng)應(yīng)具有較好的可維護性，故障容易診斷，發(fā)現(xiàn)故障后，管理員也容易糾正錯誤或排除故障。系統(tǒng)具有較好的可擴展性，以方便后期升級操作，譬如后期擴容、增加新的設(shè)備、系統(tǒng)升級、鏈路接口的升級等。

建設(shè)目標：

（1）統(tǒng)一網(wǎng)絡(luò)平臺。依托我國電信部門，網(wǎng)絡(luò)需覆蓋學校行政人員和老師辦公室、實驗室、教室三級機構(gòu)，同時在數(shù)據(jù)中心規(guī)劃與INTERNET安全互聯(lián)，滿足用戶的接入要求。

（2）統(tǒng)一校園協(xié)同辦公系統(tǒng)。建立統(tǒng)一校園辦公應(yīng)用平臺。

（3）統(tǒng)一數(shù)據(jù)中心。建設(shè)統(tǒng)一的系統(tǒng)支撐平臺，包括應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、存儲、備份等建設(shè)。

（4）統(tǒng)一網(wǎng)絡(luò)數(shù)據(jù)機房。依照機房建設(shè)標準，規(guī)劃校園網(wǎng)絡(luò)中心統(tǒng)一機房，實現(xiàn)供電、空調(diào)、消防管控等功能，統(tǒng)一提供設(shè)備存放所需的空調(diào)、不間斷電源等方面的物理環(huán)境，以及設(shè)備運行所需安全環(huán)境等。

2 建設(shè)總體方案

整個網(wǎng)絡(luò)體系在邏輯上可劃分為6個區(qū)域，具體如下：一是核心交換區(qū)域：由兩臺支持MPLS VPN PE功能、并帶防火墻模塊的匯聚交換機構(gòu)成的核心交換區(qū)域。兩臺匯聚交換機之間通過兩條以上千兆線路互聯(lián)，提供接入單位的接入、VPN網(wǎng)關(guān)接入、互聯(lián)網(wǎng)出口設(shè)備接入、數(shù)據(jù)中心設(shè)備接入以及縱向網(wǎng)路由器的接入；二是數(shù)據(jù)中心區(qū)域：由兩臺支持MPLSVPN PE功能的核心交換機組成的數(shù)據(jù)中心區(qū)域，兩臺設(shè)備之間通過兩條千兆線路互聯(lián)，并上聯(lián)到上一級教育主管部門的匯聚交換機上，該區(qū)域主要提供應(yīng)用系統(tǒng)的接入；三是互聯(lián)網(wǎng)出口區(qū)域：由出口IPS（入侵防預系統(tǒng)）、防火墻構(gòu)成的互聯(lián)網(wǎng)出口區(qū)域；四是縱向網(wǎng)接入?yún)^(qū)域：由兩臺路由器（主備機各一臺）構(gòu)成的縱向網(wǎng)接入?yún)^(qū)域，主要用于縱向開展MPLSVPN業(yè)務(wù)；五是VPDN（虛擬專用撥號網(wǎng)）接入?yún)^(qū)域：它是由校園網(wǎng)統(tǒng)一部署的VPN網(wǎng)關(guān)構(gòu)成的VPDN接入?yún)^(qū)域，該區(qū)域主要提供校園移動辦公用戶以及部分處于實訓基地用戶的遠程接入；六是校園接入單位區(qū)域：由各級行政職能和教學機構(gòu)組成的接入單位區(qū)域。總體方案的直觀表示如圖1所示。整個設(shè)計方案有機統(tǒng)一，所承載的功能全面，各單元在邏輯上保持獨立，但它們相互之間又提供不透明的服務(wù)，多種交叉學科的技術(shù)和理論被融入網(wǎng)絡(luò)體系中，充分體現(xiàn)系統(tǒng)科學的特點。

圖1 網(wǎng)絡(luò)體系建設(shè)方案圖

3 邏輯設(shè)計

3.1 IP地址設(shè)計

IP地址劃分主要包括公有IP地址和私有IP地址劃分，學校通常會向當?shù)仉娦挪块T申請或租用多個公網(wǎng)IP地址，公網(wǎng)IP地址分配指導原則：校園數(shù)據(jù)中心分配需分配1至2個C類公有網(wǎng)段IP地址；行政辦公分配1至2個IP地址，教學部分分配2個以上C類公有網(wǎng)段地址，預留若干個IP地址，根據(jù)實際情況及未來發(fā)展需要按需取用。私有IP地址分配辦法如下所述：校園數(shù)據(jù)中心需分配8個以上C類私有網(wǎng)段，網(wǎng)管地址及VPDN（虛擬專用撥號網(wǎng)）接入用戶地址也從該網(wǎng)段中取用；行政部門分配10個及以上C類私有網(wǎng)段，每個接入單位以2個IP地址為單位分配，原則不超過0.5個C類（128個地址）私有網(wǎng)段；每幢教學大樓分配5及以上個C類私有網(wǎng)段，需要私有IP地址的其它樓房接入單元在該網(wǎng)段內(nèi)按需取用；預留若干個C類私有網(wǎng)段以備后續(xù)發(fā)展所需，以上只是IP地址設(shè)計的一個中小規(guī)模的院校網(wǎng)絡(luò)設(shè)計參考，具體設(shè)計還需要按照實際情況進行規(guī)劃。

3.2 路由規(guī)劃設(shè)計

為了達到新時期校園網(wǎng)絡(luò)應(yīng)承載的功能，遵照系統(tǒng)科學方法，可把整個校園網(wǎng)絡(luò)在邏輯上劃分承載網(wǎng)絡(luò)、用戶網(wǎng)絡(luò)和校園網(wǎng)絡(luò)外網(wǎng)三個部分，其中：承載網(wǎng)絡(luò)，簡稱IGP，選擇OSPF路由協(xié)議，主要用于宣告各骨干設(shè)備的loopback地址、設(shè)備互連的鏈路地址；用戶網(wǎng)絡(luò)：簡稱BGP，選擇IBGP、MP-IBGP路由協(xié)議，其中IBGP用于宣告IPv4的用戶路由，MP-IBGP用于宣告VPNv4的用戶路由，這些用戶路由是域內(nèi)MPLSVPN用戶業(yè)務(wù)路由。校園外網(wǎng)：BGP，EBGP、MP-EBGP路由協(xié)議，其中EBGP用于宣告校園外網(wǎng)與主管部門的主干網(wǎng)之間的IPv4路由，這些路由是跨域的MPLSVPN用戶業(yè)務(wù)路由，路由規(guī)劃三層設(shè)計直觀表示如圖2所示。同時，路由規(guī)劃工作需涉及到路由協(xié)議（OSPF），OSPF作為一個層次化的路由協(xié)議，區(qū)域規(guī)劃是非常重要的，OSPF區(qū)域規(guī)劃主要根據(jù)設(shè)備的地理位置、各區(qū)域設(shè)備的數(shù)量、網(wǎng)絡(luò)拓撲結(jié)構(gòu)、設(shè)備的負載情況等要素來合理規(guī)劃，OSPF的區(qū)域是以鏈路進行劃分的，一臺設(shè)備可以歸屬于多個域，通?？砂延蛟O(shè)計為骨干域非骨干域兩種，骨干域又被稱為Area 0，它負責全網(wǎng)進行高速、穩(wěn)定的數(shù)據(jù)包轉(zhuǎn)發(fā)；非骨干域負責本域內(nèi)的路由，并與骨干域進行路由交換，非骨干域的劃分主要依據(jù)設(shè)備所處的地址位置進行劃分。

圖2 路由規(guī)劃三層設(shè)計圖

3.3 VLAN設(shè)計

根據(jù)各用戶接入業(yè)務(wù)（如專用網(wǎng)絡(luò)區(qū)、公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)）的不同，使用VLAN進行邏輯劃分、VLAN ID作為接入的區(qū)分標識；VLAN設(shè)計可采用兩種方式，一種是虛擬接口終結(jié)方式，接入層交換機網(wǎng)絡(luò)側(cè)為Trunk、匯聚層交換機用戶側(cè)為Trunk，匯聚交換機全局實現(xiàn)終結(jié)，虛擬接口終結(jié)方式要求VLAN ID具有全局唯一性，其管理方式靈活，操作簡單，但是VLAN ID消耗、VLAN維護管理（二層環(huán)路等）方面有所不足。另外一種是子接口終結(jié)方式，接入層交換機網(wǎng)絡(luò)側(cè)為Trunk、匯聚層交換機用戶側(cè)為子接口，匯聚交換機用戶側(cè)端口上實現(xiàn)終結(jié)，該方式中的匯聚交換機用戶側(cè)為三層接口（IP），不需要VLAN ID具有全局唯一性，能夠減少VLAN ID消耗，可避免二層環(huán)路。虛擬接口終結(jié)方式如圖3（a）所示，子接口終結(jié)方式如圖3（b）所示。由此可知，對學校網(wǎng)絡(luò)規(guī)模不大的情況盡可選用第一種方式，否則選用第二種方式。至VLAN Y，這里的X，Y為正整數(shù)，每個用戶可連續(xù)分配5個VLAN ID（每個用戶所分配的第一個VLAN同時作為網(wǎng)管VLAN），如果VLAN是采用虛擬接口終結(jié)方式，則需要VLAN具有全局唯一性（同一臺匯聚層交換機上VLAN ID不能重復）。每個用戶開通3個業(yè)務(wù)接入，即為每個用戶分配3個VLAN ID，其余VLAN ID作為今后該用戶新業(yè)務(wù)接入使用。綜上所述，VLAN規(guī)劃如表1所示。表中前后部分的虛擬號都保留不給予分配，這樣的設(shè)計有利于新業(yè)務(wù)的接入分配。

圖3 （a）虛擬接口終結(jié)方式的邏輯設(shè)計

圖3 （b）子接口終結(jié)方式的邏輯設(shè)計

VLAN ID可使用的虛擬段號可設(shè)計為VLAN X

表1 VLAN規(guī)劃分配

結(jié) 論

以系統(tǒng)科學視角，根據(jù)新時期的學校對于網(wǎng)絡(luò)的需求，對校園網(wǎng)絡(luò)體系結(jié)構(gòu)的構(gòu)建進行探索，文中提出的高等院校校園網(wǎng)絡(luò)體系結(jié)構(gòu)具有如下特征：

一是規(guī)劃協(xié)調(diào)統(tǒng)一，網(wǎng)絡(luò)標準規(guī)范，具有良好的可擴展性，可實現(xiàn)校園數(shù)據(jù)高度共享，信息互連互通和完善的網(wǎng)絡(luò)安全與服務(wù)保障功能。

二是充分體現(xiàn)了系統(tǒng)科學的“整體性、動態(tài)性、綜合性、最優(yōu)化、模型化”的原則，網(wǎng)絡(luò)體系結(jié)構(gòu)完整，綜合性強，對于當代校園網(wǎng)絡(luò)建設(shè)具有較好的指導意義。

［1］符太東,張婉鸝,王吉.校園網(wǎng)網(wǎng)絡(luò)體系構(gòu)建的研究［J］.信息通信,2013（3）:67-69.

［2］楊延華.校園網(wǎng)絡(luò)構(gòu)建［J］.電子技術(shù)與軟件工程,2013,2（24）:30-31.

［3］吳洪斌.高校網(wǎng)絡(luò)安全存在的不足及應(yīng)對措施［J］.開封教育學院學報,2014,34（1）:96-98.

［4］董亮亮.高等職業(yè)院校的網(wǎng)絡(luò)建設(shè)研究［D］.南京:南京理工大學,2012:10-16.

［5］黃永龍.利用VPN技術(shù)延伸學校網(wǎng)絡(luò)資源服務(wù)［J］.電子技術(shù)與軟件工程,2014,3（1）:46-48.

［6］葉立國.國內(nèi)系統(tǒng)科學內(nèi)涵與理論體系綜述［J］.系統(tǒng)科學學報,2013,21（4）:28-31.