高校校園網(wǎng)絡優(yōu)化設計與研究

王理想　郭潤峰

摘要：為保障校園信息化建設的快速推進，對校園有線、無線網(wǎng)絡進行改造優(yōu)化是非常重要的。論文以某高校教學樓有線網(wǎng)絡改造為例，對校園網(wǎng)網(wǎng)絡改造中涉及的物理拓撲、邏輯拓撲改造;設備配置優(yōu)化;網(wǎng)絡接入冗余方式等方面進行了研究。為校園網(wǎng)用戶提供低故障率、低時延、高網(wǎng)速、接入鏈路可冗余的可靠校園網(wǎng)環(huán)境。

關鍵詞：校園絡;交換機;網(wǎng)絡改造;配置優(yōu)化

1 引言

我國高等學校大規(guī)模進行校園信息化建設從20世紀90年代開始，目前已經進入了“2.0”時代，目前高校信息化建設任務重、范圍廣、要求高，包含基礎網(wǎng)絡建設與優(yōu)化、云數(shù)據(jù)中心、信息系統(tǒng)、數(shù)據(jù)共享與集成、智慧課室等，涉及校園活動的方方面[1]。

校園基礎網(wǎng)絡是信息化建設的基礎，要能夠提供穩(wěn)定、安全、高速的寬帶接入。故障故障發(fā)生，為實現(xiàn)快速修復網(wǎng)絡訪問，保障網(wǎng)絡連通性，需要“雙線路”接入校園網(wǎng)，這就要求對現(xiàn)有有線網(wǎng)和無線網(wǎng)絡進行優(yōu)化完善，為辦公教學提供優(yōu)質的網(wǎng)絡環(huán)境，為信息化建設提供穩(wěn)固的底層基礎。

2 現(xiàn)狀

當前校園網(wǎng)絡包含有線網(wǎng)和無線網(wǎng)。有線網(wǎng)絡設備普遍運行了10年以上，性能不足、故障率較高、安全防護能力不足，影響教學辦公的網(wǎng)絡體驗。無線網(wǎng)絡的建設為師生提供了多種的網(wǎng)絡接入手段，但當前無線網(wǎng)絡與有線網(wǎng)絡共用設備，隱患較大，也實現(xiàn)不了可“雙線”接入的網(wǎng)絡保障需求。本文以廣東輕工教學樓有線網(wǎng)網(wǎng)進行優(yōu)化改造為例，介紹校園網(wǎng)改造的可行性方案，為校園力、公教學提供優(yōu)質穩(wěn)定的網(wǎng)絡接入服務。

教學樓匯聚交換機上聯(lián)核心交換機，接入校園網(wǎng)并提供外網(wǎng)訪問;下聯(lián)各個接入交換機，接入交換機為師生提供網(wǎng)絡接入服務。教學樓匯聚下聯(lián)樓棟較多，包括教學樓、系部力、公樓、大學生服務中心、圖書館、體育樓、研發(fā)樓、第一工業(yè)樓等，存在多級級聯(lián)的情況.下聯(lián)樓棟較多、多層級聯(lián)導致教學樓網(wǎng)絡比較復雜，故障率較高，多次出現(xiàn)網(wǎng)絡廣播風暴、環(huán)路、地址獲取不到等，對教學辦公帶來較大影響。

3 優(yōu)化改造

3.1 網(wǎng)絡拓樸優(yōu)化

在校園原有物理鏈路及光路資源的情況下，對教學樓網(wǎng)絡拓撲進行精簡優(yōu)化。根據(jù)各樓棟區(qū)域位置和現(xiàn)有光纖網(wǎng)絡新增三個匯聚點：教學樓1、教學樓2（無線）、教學樓3、第一工業(yè)樓。將教學樓網(wǎng)絡與其他樓棟分開，并且有線無線均為獨立匯聚，實現(xiàn)教學樓教學辦公區(qū)域真正意義上的雙網(wǎng)保障，保障教學環(huán)境的穩(wěn)定，同時根據(jù)區(qū)域劃分兩個匯聚點[2]。具體如圖1。

3.2 網(wǎng)絡配置優(yōu)化

對網(wǎng)絡拓撲進行優(yōu)化的同時，還要對設備配置進行規(guī)范完善，實現(xiàn)病毒防護、DHCP防護、環(huán)路保護、ARP欺騙、廣播風暴抑制等。

3.2.1 病毒防護訪問列表

病毒防護采用訪問控制列表ACL封堵對應病毒的端口流量，在接入交換機下連口inbound方向配置訪問控制策略，過濾用戶發(fā)起的病毒端口流量。

ACL具體配置如下：

1p access-list extended 110

description acl for Virus Protection from User

deny udp any any eq 1434 //sql worm病毒端口

deny udp any any eq 1433 //sql worm病毒端口

deny udp any any eq 135 //禁止netbios端口

deny udp any any eq 136 //禁止netbios端口

deny udp any any eq 137 //禁止netbios端口

deny udp any any eq 138 //禁止netbios端口

deny udp any any eq 139 //禁止netbios端口

deny tcp any any eq 445 //禁止netbios端口

deny tcp any any eq 4444//沖擊波病毒

deny tcp any any eq 445 //傳送沖擊波病毒端口

deny tcp any any eq 5554 //沖擊波病毒端口，在感染“震蕩波”病毒后會通過5554端口向其他感染的計算機傳送蠕蟲病毒

10000 permit ip any any

ACL端口應用配置如下：

1nterface GigabitEthernet 0/52

description To：：JXL501

1p access-group110 in

3.2.2 DHCP防護

校園網(wǎng)環(huán)境下在接入交換機下會鏈接TPLINK、HUAWEI等無線路由器，并開啟了DHCP服務，可以向外提供IP分發(fā)服務，會影響校園網(wǎng)用戶獲取正常的校園網(wǎng)地址，影響正常上網(wǎng)[3]。需要在接入層交換機上限制該類路由器的地址分發(fā)服務，設備具體配置如下：

（1）在接入交換機上開啟dhcp snooping功能

Switch>enable

Switch#configure terminal

Switch（config）#ip dhcp snooping------>開啟DHCPsnooping功能

（2）連接DHCP服務器的接口配置為可信任口

Switch（eonfig）#interface gigabitEthernet 0/49

Switch（config-GigabitEthernet 0/49）#ip dhep snooping trust

--------開啟DHCP snooping的交換機所有接口缺省為untrust口，交換機只轉發(fā)從trust口收到的DHCP響應報文（offer、ACK）

3.2.3 環(huán)路保護

校園網(wǎng)中出現(xiàn)環(huán)路會迅速將網(wǎng)絡帶寬占滿，導致大面積網(wǎng)絡緩慢甚至無法上網(wǎng)，需要在接入交換機做環(huán)路檢測以保證網(wǎng)絡的穩(wěn)定。具體為在接入交換機配置RLDP和BPDU Guard防環(huán)機制，詳細配置如下：

Switch#configure terminal

Switch（config）#rldp enable------>全局開啟RLDP功能

Switch（config）#spanning------>開啟生成樹協(xié)議

Switch（config）#interface range g0/1-24------>對于下聯(lián)PC或HUB的端口需要開啟，不要在接入交換機的上聯(lián)口開啟該功能

Switch（config-if-range）#rldp port loop-detect shutdown-port------>接口開啟RLDP功能，如果檢測出環(huán)路后shutdow該端口

Switch（config-if-range）# spanning-tree bpduguard enable

Switch（config-if-range）# spanning-tree portfast

Switch（config-if-range）#exit

Switch（eonfig）#errdisable recovery interval 300------>如果端口被RLDP檢測并shutdown，再過300秒后會自動恢復，重新檢測是否有環(huán)路

Switch（config）#end

Switch#wr

3.2.4 ARP欺騙

校園網(wǎng)的網(wǎng)絡原理導致會出現(xiàn)網(wǎng)關欺騙的攻擊行為，攻擊者通過ARP欺騙可以將用戶流量引導到自己設備，進而導致用戶上不了網(wǎng)或竊取用戶隱私[4]。為防止該攻擊行為，在接入交換機配置防止ARP欺騙的相關配置，具體配置如下：

Switch（config）interfaee GigabitEthemet 0/52

Switch（config-if-GigabitEthemet 0/52）switchport access vlan 103

//用戶屬于172.16.103.254/24網(wǎng)段

Switch（config-if-GigabitEthemet 0/52）anti-arp-spoofing ip172.16.103.254//防止網(wǎng)關欺騙行為

4 結束語

對教學樓網(wǎng)絡改造后，劃分為4個區(qū)域，較少廣播風暴影響的范圍，同時減少級聯(lián)設備也減少了廣播風暴和環(huán)路的可能性，區(qū)域網(wǎng)絡故障率大大降低。有線網(wǎng)絡精簡的同時，無線獨立匯聚，使得教學樓實現(xiàn)有線、無線雙網(wǎng)保障，提供良好、穩(wěn)定的教學網(wǎng)絡環(huán)境。后續(xù)將重新對本校區(qū)所有無線進行信道規(guī)劃，目前已經規(guī)劃配置了放裝AP（AP520-I＼530-I）的信號，但最主要的智分信道的劃分是基于端口和分AP對應的前提下進行的，后續(xù)將根據(jù)竣工資料和地勘情況對無線信道進行優(yōu)化。

參考文獻

[1]楊明.高校教學樓網(wǎng)絡改造方案設計與研究[J].網(wǎng)絡空間安全.2018.08

[2]蔣惠然.試論中職學校網(wǎng)絡建設與管理[J].電腦編程技巧與維護.2019.01

[3]交換機配置案例集

[4]交換機故障處理案例集