呂淑艷

摘要 隨著校園網(wǎng)建設(shè)的日益完善,網(wǎng)絡(luò)管理工作正面臨巨大的挑戰(zhàn)。通過對制約本校網(wǎng)絡(luò)管理的2個因素的分析,提出相應(yīng)的解決方案,目的是提高校園網(wǎng)的網(wǎng)絡(luò)性能,充分發(fā)揮校園網(wǎng)在教學(xué)、科研、管理中的重要作用,為學(xué)校的信息化建設(shè)工作的順利開展打好堅實基礎(chǔ)。

關(guān)鍵詞 局域網(wǎng);VLAN;網(wǎng)絡(luò)帶寬

中圖分類號:TP393.18 文獻(xiàn)標(biāo)識碼:B 文章編號:1671-489X(2009)27-0095-02

Exploration on Optimizing Strategy of Campus Network Management//Lv Shuyan

Abstract With the increasingly consummation of the Campus Network construction, the job of network management is facing the huge challenge. The author puts into the corresponding measures by analyzing the two factors restricted the network management in the own school, in order to improve the network capability, sufficiently play the important function of the Campus Network in school teaching, scientific research and management, and build the solid foundation of the smooth development for the school informationization construction work.

Key words local area network; VLAN; network bandwidth

Authors address METC of China University of Political Science Law, Beijing, 102249, China

中國政法大學(xué)校園網(wǎng)建設(shè)已經(jīng)很完善,全校信息點大約有7 000個,有線網(wǎng)絡(luò)全校覆蓋。作為網(wǎng)絡(luò)管理者,要不斷提高網(wǎng)絡(luò)管理水平,具有前瞻性,不斷制定出相對完善、可靠的管理策略,以提高校園網(wǎng)的性能,最大限度地發(fā)揮校園網(wǎng)的積極作用。

目前學(xué)校網(wǎng)絡(luò)性能的制約因素主要在局域網(wǎng)內(nèi)網(wǎng)絡(luò)性能和帶寬壓力,以下就這2個方面存在的問題和解決方法進(jìn)行詳述。

1 局域網(wǎng)內(nèi)攻擊泛濫,網(wǎng)速慢

學(xué)校采取核心、匯聚、接入的三層網(wǎng)絡(luò)結(jié)構(gòu)方式,將幾個樓的網(wǎng)絡(luò)作為一個匯聚層單元,匯聚交換機光纖上聯(lián)核心設(shè)備,超六類雙絞線下聯(lián)各接入交換機。匯聚交換機上設(shè)定合適的策略,管理所有下聯(lián)的接入交換機(圖1)。

VLAN(Virtual Local Area Network)是網(wǎng)絡(luò)設(shè)備上連接的不受物理位置限制的用戶的一個邏輯組。在一個VLAN上的設(shè)備或用戶可以按功能、部門、應(yīng)用等分類,而不管它們的物理位置。VLAN允許將一個物理的LAN邏輯地劃分成不同的廣播域,每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性[1]。局域網(wǎng)內(nèi),由于各種網(wǎng)絡(luò)病毒的滋生、蔓延,故意使用各種黑客軟件進(jìn)行的攻擊,無節(jié)制地打網(wǎng)絡(luò)游戲,使網(wǎng)絡(luò)負(fù)載很重,出現(xiàn)斷網(wǎng)、網(wǎng)速慢等現(xiàn)象。為了解決這些故障,采用端口VLAN隔離法的策略,一個交換機端口一個VLAN。實施步驟如下。

1)確認(rèn)設(shè)備是否支持該策略。學(xué)校采用的匯聚設(shè)備H3C 5500,軟件版本version 5,支持1 024個VLAN interface和IP pool的創(chuàng)建,支持動態(tài)地址分配。符合策略的要求。

2)局域網(wǎng)地址規(guī)劃。根據(jù)匯聚交換機下聯(lián)交換機和信息點的數(shù)量,規(guī)劃設(shè)備管理地址和用戶IP地址,地址能夠進(jìn)行路由聚合。一個信息點一個VLAN,采用私網(wǎng)地址段10.0.0.0/8。每個房間有6臺主機,采用VLSM(變長子網(wǎng)掩碼)方法,子網(wǎng)掩碼:255.255.255.240。

3)制定文檔,為交換機的配置工作提供依據(jù),內(nèi)容如表1所示。

4)在線配置設(shè)備。對在線設(shè)備的配置修改,不能影響用戶的正常用網(wǎng),因此所做的配置不能立即生效,選擇合適的時機下發(fā)。匯聚層和接入層設(shè)備很多,配置工作量很大,如果選擇在交換機上逐條配置,效率很低。因此采用事先將所做的配置工作通過電子文檔編輯,最后復(fù)制到交換機配置視圖下的方法。

配置步驟如下。

匯聚交換機:

[H3C] vlan 2

[H3C] interface vlan 2

[H3C-Vlan-interface2] ip address 10.0.3.1 255.255.255.240

[H3C] dhcp server ip-pool 1

[H3C-dhcp-pool-1] network 10.0.3.1 mask 255.255.255.240

[H3C-dhcp-pool-1] gateway-list 10.0.3.1

[H3C-GigabitEthernet1/0/18] port trunk permit vlan 2

接入交換機:

[H3C] vlan 2

[H3C] interface gigabitEthernet 1/1

[H3C-GigabitEthernet0/1] port trunk permit vlan 2

[H3C] interface Ethernet 0/1

[H3C-Ethernet0/1] port access vlan 2

除以上基本配置,還需修改相關(guān)路由配置,按原路由策略,添加或刪除相應(yīng)的網(wǎng)段即可。

5)下發(fā)策略,使更新的配置生效。考慮到網(wǎng)絡(luò)不能中斷,新的配置又要生效,采用并行替代法,最大限度減少網(wǎng)絡(luò)切換的時延。在交換機上更改為動態(tài)獲取IP地址。之前終端用戶采用的是靜態(tài)分配IP地址,此時用戶即使沒有修改IP地址獲取方式,仍能上網(wǎng),配置的修改過程對用戶來說是完全透明的。發(fā)通告,告之用戶更改為自動獲取IP地址方式,并給予一定的周知時間。按照步驟3的電子文檔,在各個信息點上聯(lián)的接入層交換機的各個端口下發(fā)相應(yīng)的VLAN。

步驟5的操作過程中,有些在線用戶可能網(wǎng)絡(luò)中斷,此時用戶只需重新啟用網(wǎng)卡,再次獲取新的IP地址即可恢復(fù)用網(wǎng)。

這種方法實施以來,局域網(wǎng)性能得到大大改善。主要體現(xiàn)在:1)用戶端的ARP病毒、廣播包、一些非法攻擊行為等得到有效抑制;2)這種方法在學(xué)?，F(xiàn)有的網(wǎng)絡(luò)設(shè)備上都可實現(xiàn),無需去更換或添加設(shè)備,節(jié)省成本;3)用戶用網(wǎng)步驟簡單、明了;4)終端用戶報修大大減少,既減少網(wǎng)絡(luò)管理者繁雜的維修工作量,也實現(xiàn)角色由“勤雜工”到“救火隊員”到“網(wǎng)絡(luò)決策員”的轉(zhuǎn)變。

2 多樣化的網(wǎng)絡(luò)應(yīng)用給出口帶寬帶來巨大壓力

隨著信息技術(shù)的快速發(fā)展,網(wǎng)絡(luò)應(yīng)用也豐富多彩。網(wǎng)絡(luò)帶寬一定的情況下,用戶隨意用網(wǎng),使帶寬出現(xiàn)瓶頸。特別是用戶在線看電視、打游戲,以及利用BT、迅雷、eMule等P2P軟件,無限制地下載,不僅占用寶貴的帶寬資源,還使網(wǎng)絡(luò)性能嚴(yán)重下降,影響正常的教學(xué)、科研、管理。利用資金的注入來解決帶寬的擴展是不現(xiàn)實的方法,可以采用以下措施,緩解這些現(xiàn)象。

2.1 多鏈路并存,分擔(dān)帶寬壓力學(xué)校在原有CHINANET和100 M CERNET鏈路的基礎(chǔ)上,增加10 M CHINANET、1 000 M CERNET和1 000 M IPv6。由于鏈路擁擠,2條原鏈路已經(jīng)超負(fù)荷工作,特別是校內(nèi)重要的服務(wù)器滿足不了校外用戶的訪問,因此開通10 M鏈路專門用作服務(wù)器,保證業(yè)務(wù)的暢通。增加1 000 M CERNET,是為了分擔(dān)100 M CERNET的壓力,充分利用教育網(wǎng)內(nèi)資源。學(xué)校已經(jīng)接入1 000 M IPv6網(wǎng)絡(luò),雖然目前該網(wǎng)絡(luò)是一種實驗性網(wǎng)絡(luò),但其豐富的網(wǎng)絡(luò)資源,免費使用,極大地滿足用戶的需求,分擔(dān)帶寬的壓力。

2.2 利用路由策略,使業(yè)務(wù)選擇最優(yōu)的鏈路針對用戶的源地址和目標(biāo)地址以及鏈路的使用狀態(tài),實施策略路由。采取幾種路由策略,例如:源地址是學(xué)生用戶,訪問目標(biāo)是CERNET資源,可以優(yōu)先選擇1 000 M CERNET鏈路;源地址是教師用戶,訪問目標(biāo)仍是CERNET資源,可以優(yōu)先選擇100 M CERNET鏈路;而目標(biāo)地址是CHINANET,則選擇CHINANET鏈路。

2.3 搭建校內(nèi)資源庫,減少用戶外網(wǎng)下載資源量建設(shè)校內(nèi)FTP服務(wù)器和BT服務(wù)器,一方面,管理者要去搜索一些資源放到服務(wù)器上,不斷充實、更新、維護;另一方面,要充分調(diào)動教師、學(xué)生的積極性,將自己的資源共享,提高利用率,實現(xiàn)用戶在校內(nèi)即可找到自己所需要的數(shù)據(jù)。

2.4 實行流量計費策略,限制用戶無度下載這是從校園網(wǎng)管理層面,保證網(wǎng)絡(luò)帶寬正常應(yīng)用的有效方法。盡管使用以上3種方法來解決帶寬問題,但還是不能保證帶寬的合理應(yīng)用,因此實行按照流量計費的策略,已經(jīng)實施4年的時間,很有成效。

通過以上4種方法的配合、實施,困擾很久的帶寬瓶頸問題已經(jīng)基本得到解決,鏈路資源得到合理分配,網(wǎng)絡(luò)運維可靠、流暢。

3 小結(jié)

以上2方面是網(wǎng)管中遇到的比較集中的問題,而問題的解決也不是一蹴而就的,是在實踐工作中不斷摸索、嘗試、驗證的過程,網(wǎng)絡(luò)管理的工作也正是這樣一種不斷完善的過程,不但需要資金、軟件資源、硬件設(shè)備等支持,還需要合理的管理思路,更需要一支高素質(zhì)的技術(shù)團隊的配合。具備了這些基本要素,問題自然迎刃而解。

參考文獻(xiàn)

[1]思科系統(tǒng)中對VLAN的定義[EB/OL].http://cisco.chinaitlab.com/special/vlanconf/Index.html