邱 華

(中國科學(xué)院南京分院,江蘇 南京 210008)

0 引言

在信息化時代,校園網(wǎng)是學(xué)校內(nèi)部進行智能化教學(xué)、信息化科研、數(shù)字化管理的有效途徑,同時也是與外部進行信息資源共享的重要手段。 在當前疫情不穩(wěn)定的情況下,校園網(wǎng)能夠以豐富的教學(xué)模式和教學(xué)內(nèi)容,保障教學(xué)進度不受影響,保障學(xué)校內(nèi)外的信息暢通。 其次,校園網(wǎng)為高校師生的科研工作、文獻資料檢索和查閱提供了一條暢通的渠道,是信息化科研管理的前提條件。 第三,校園網(wǎng)能夠提供可靠的管理平臺和便捷的管理方式,是高校管理者和教師進行信息資源共享和協(xié)同工作的有力工具。 因此,校園網(wǎng)建設(shè)體現(xiàn)了高校的學(xué)術(shù)水平和管理水平,本文針對當前學(xué)校所使用的傳統(tǒng)校園網(wǎng)架構(gòu)現(xiàn)狀和建設(shè)需求開展分析。

1 傳統(tǒng)校園網(wǎng)架構(gòu)現(xiàn)狀

在傳統(tǒng)校園網(wǎng)架構(gòu)中,校園網(wǎng)與互聯(lián)網(wǎng)連接,由運營商提供接入公網(wǎng)的出口。 某高校當前已有4 000 個左右的信息點接入,其中1 號樓有700 個,2 號樓700 個,3 號樓300 個,4 號樓300 個,5 號樓2 000 個。

傳統(tǒng)二層網(wǎng)絡(luò)架構(gòu)拓撲包含了核心層和接入層,核心層部署了防火墻、核心交換機和無線控制器。 接入層部署了多個接入交換機和POE(Power Over Ethernet,以太網(wǎng)供電)交換機;各樓棟里的AP(Access Point,無線訪問接入點)設(shè)備通過POE 交換機連接到核心交換機,并由核心層旁掛在核心交換機的AC 控制器(Wireless Access Point Controller,無線控制器)管理控制。

傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中接入層設(shè)備直接連接到核心交換機。 當學(xué)校師生人數(shù)增加或者業(yè)務(wù)訪問量較大時,核心層防火墻和核心交換機負擔會比較重,防火墻或者交換機設(shè)備有可能出現(xiàn)宕機,從而導(dǎo)致整個校園網(wǎng)會癱瘓。 并且傳統(tǒng)二層網(wǎng)絡(luò)架構(gòu)的帶寬是共享的,當用戶訪問網(wǎng)絡(luò)人數(shù)多或訪問外網(wǎng)占用較大帶寬時,會出現(xiàn)帶寬不夠的情況;尤其是疫情導(dǎo)致的線上教學(xué)、直播課等都會因帶寬不夠,導(dǎo)致課堂效果不佳。 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中,當電腦終端或手機訪問網(wǎng)絡(luò)時,會自動獲取到地址,但是因為地址段是共享的,所以隨著接入用戶增多,會出現(xiàn)不能獲取地址的情況。 傳統(tǒng)二層網(wǎng)絡(luò)架構(gòu)下的網(wǎng)絡(luò)具有安全風險,比如某大學(xué)在網(wǎng)絡(luò)建設(shè)初期使用二層網(wǎng)絡(luò)架構(gòu),后因接入計算機數(shù)量急劇增加,遭受到報文攻擊,危害校園網(wǎng)的健康狀況[1]。

2 校園網(wǎng)建設(shè)需求分析

通過上文分析得出,傳統(tǒng)二層共享網(wǎng)絡(luò)架構(gòu)會帶來帶寬共享擁塞,用戶接入過多時可能會獲取不到地址導(dǎo)致無法接入互聯(lián)網(wǎng),或嚴重的安全風險。 鑒于此,需要對校園網(wǎng)建設(shè)時的需求做進一步分析。

2.1 網(wǎng)絡(luò)架構(gòu)需求

首先進行校園網(wǎng)的網(wǎng)絡(luò)架構(gòu)分析,當前的網(wǎng)絡(luò)架構(gòu)中接入交換機直接連接核心交換機,所有的數(shù)據(jù)交換都在核心交換機完成,這不僅對核心交換機的配置要求很高,同時承載3 300 人左右的網(wǎng)絡(luò)轉(zhuǎn)發(fā)及地址分發(fā),核心交換機的網(wǎng)絡(luò)轉(zhuǎn)發(fā)會存在瓶頸。 為了減輕核心交換機的負擔,考慮使用匯聚交換機組成三層網(wǎng)絡(luò)架構(gòu)。 三層網(wǎng)絡(luò)架構(gòu)分別為:第一層為核心層;第二層為匯聚層;第三層為接入層。 每一層的功能明確且彼此獨立,既方便維護,又具有可擴展性。 匯聚交換機比接入交換機性能好,速度快,既能對本地路由、流量進行控制,又能進行對網(wǎng)絡(luò)進行物理分區(qū)更安全的隔離網(wǎng)絡(luò)互不干擾。 考慮到未來校園網(wǎng)發(fā)展,匯聚層到核心層可以采用雙路萬兆鏈路聚合,增強整個核心網(wǎng)絡(luò)的健壯性。

2.2 網(wǎng)絡(luò)分區(qū)/模塊化需求

校園網(wǎng)采用了三層網(wǎng)絡(luò)架構(gòu)之后,可以考慮按照校園的功能或者區(qū)域,將校園網(wǎng)劃分為多個子網(wǎng)/子區(qū)域,這樣可以保證單個分區(qū)內(nèi)部配置量減少且出現(xiàn)故障時可縮小范圍,易于進行網(wǎng)絡(luò)管理。 例如根據(jù)學(xué)?，F(xiàn)狀可以劃分為1 號樓分區(qū)至5 號樓分區(qū),先從物理上劃分區(qū)域,再根據(jù)區(qū)域內(nèi)的應(yīng)用類別(比如設(shè)備、客戶端、服務(wù)器)進行細化管理。 網(wǎng)絡(luò)管理的力度可根據(jù)分區(qū)的設(shè)備、客戶端容納數(shù)量計算,比如對固定的有線用戶可以分配靜態(tài)地址,對宿舍樓多分配些地址等。

2.3 網(wǎng)絡(luò)布線的需求

為了便于以后的進一步擴展,校園網(wǎng)的網(wǎng)絡(luò)布線系統(tǒng)應(yīng)當滿足《數(shù)據(jù)中心設(shè)計規(guī)范》等標準,配備配線架、機柜內(nèi)的設(shè)備間保持一定間距,要有合理、清晰的標簽;同時需要滿足多種教學(xué)需求,同一個信息點位能夠連接不同類型的設(shè)備比如計算機、打印機、教學(xué)設(shè)備、電話等;實施后的布線系統(tǒng)能夠在現(xiàn)在和將來適應(yīng)技術(shù)的發(fā)展;在滿足應(yīng)用要求的基礎(chǔ)上,再考慮成本。

按照三層網(wǎng)絡(luò)架構(gòu)部署,各個分區(qū)均提供千兆網(wǎng)絡(luò)接入覆蓋到客戶端,各樓層千兆接入交換機再通過千兆光纖接入?yún)R聚交換機,匯聚交換機通過萬兆光纖接入核心交換機。

2.4 校園網(wǎng)準入認證需求

為實現(xiàn)用戶的集中化和統(tǒng)一管理,對訪問校園網(wǎng)中的用戶提供統(tǒng)一的身份認證,并且可以滿足校園多終端、多樣化的接入認證需求,比如有線客戶端認證;無線用戶的賬號認證、郵箱認證方式、微信認證以及網(wǎng)頁推送認證方式等。 網(wǎng)絡(luò)管理時可對不同的用戶類型提供不同的權(quán)限和服務(wù),比如教師用戶、學(xué)生用戶和外來訪客賦予的權(quán)限不同,訪問校園網(wǎng)業(yè)務(wù)種類不同;比如不同用戶類型具有不同的帶寬大小以及不同的計費方式等。

雖然當前校園網(wǎng)中使用的AC 控制器支持短信認證方式、郵箱認證、微信認證、二維碼認證、賬號認證等方式,也能支持對普通接入交換機和有源以太網(wǎng)(Power Over Ethernet,POE)交換機的管理;但是AC 控制器只能對無線AP 接入的用戶進行認證,無法對有線接入的用戶進行認證。 所以,校園網(wǎng)中需要增加準入認證設(shè)備和認證軟件。 當前對智慧校園要求共用一套認證庫,因此準入認證設(shè)備的認證庫需要保持與教務(wù)、校園一卡通相同的用戶數(shù)據(jù),要實現(xiàn)數(shù)據(jù)庫間完全共享,增加、修改、刪除的數(shù)據(jù)能夠?qū)崟r同步。

2.5 無線全覆蓋的需求

當前大部分高校都已建設(shè)了萬兆骨干校園網(wǎng),有線校園網(wǎng)是校園的基礎(chǔ)保障,但是使用有線網(wǎng)必須要有布線才能用,而現(xiàn)代社會很多智能終端包括超薄電腦、平板以及個人手機等都不具備有線網(wǎng)口,那么對可移動性強、成本低、能突破時空限制的無線網(wǎng)要求就越來越高[2]。

在校園網(wǎng)建設(shè)中都會建議無線網(wǎng)在校園內(nèi)全覆蓋。 而無線網(wǎng)全覆蓋既要包含室內(nèi)區(qū)域(如宿舍樓、辦公樓、教學(xué)樓等)又要包含室外區(qū)域(如操場、廣場及其他相對開闊的地帶)。 安裝AP 的型號、數(shù)量以及位置都要根據(jù)使用地點、使用人數(shù)和使用場景進行初步規(guī)劃,然后再通過實際情況調(diào)整[3]。 盡可能做到AP 覆蓋區(qū)域之間區(qū)域不重疊,信號間無干擾,保證所有區(qū)域都能實現(xiàn)無線覆蓋。 AP 的安裝方式要盡可能覆蓋更大的范圍,比如AP 安裝可以選擇吸頂式或者掛壁式;用戶密集的地方采用高密AP,用戶松散的地方采用普通AP,學(xué)生宿舍區(qū)域可以選擇AP 面板等。 這些因素在設(shè)計和部署無線網(wǎng)全覆蓋時都要考慮。

2.6 網(wǎng)絡(luò)冗余規(guī)劃需求

網(wǎng)絡(luò)冗余規(guī)劃是校園網(wǎng)規(guī)劃需求的重要部分,它貫穿于校園網(wǎng)規(guī)劃以及運行過程的各個階段,適當?shù)木W(wǎng)絡(luò)冗余設(shè)計不僅能提高校園網(wǎng)可靠性、可用性,也能保障校園網(wǎng)高效、穩(wěn)定、可靠地運行。 網(wǎng)絡(luò)冗余規(guī)劃需求包括網(wǎng)絡(luò)設(shè)備冗余、網(wǎng)絡(luò)鏈路冗余、線路冗余等幾個方面。

網(wǎng)絡(luò)設(shè)備冗余提供由兩臺或兩臺以上設(shè)備組成備份關(guān)系,當其中一臺設(shè)備故障時,備份設(shè)備能自動接替其工作,從而提高校園網(wǎng)的穩(wěn)定性。 網(wǎng)絡(luò)設(shè)備冗余可以是實時熱備份或者冷備份,根據(jù)實際情況來定[4]。

網(wǎng)絡(luò)設(shè)備模塊冗余主要是指電源冗余、主控板冗余。 模塊冗余是指在設(shè)備上增加模塊來達到備份的目的,當一個模塊出現(xiàn)故障時,另一個相同的備份模塊開始工作,避免因單模塊故障導(dǎo)致網(wǎng)絡(luò)中斷。 電源冗余會同時使用市電和不間斷電源系統(tǒng)(Uninterruptible Power System,UPS)電源作為輸入;主控板冗余會指核心交換機使用兩個控制板,分別為主用主控和備用主控。 當主用主控失效時,備用主控會自動將自己升為主用主控并接管設(shè)備運行,從而保障設(shè)備上配置和用戶信息不丟失。

網(wǎng)絡(luò)鏈路冗余是指多條物理鏈路的備份,當校園網(wǎng)中某條物理鏈路失效時,冗余備份鏈路可以提供另一條可用的物理鏈路。 在三層網(wǎng)絡(luò)架構(gòu)中,核心交換機轉(zhuǎn)發(fā)的流量非常龐大,一旦核心交換機故障會導(dǎo)致整個核心網(wǎng)絡(luò)癱瘓。 所以可在核心交換機與匯聚層交換間使用冗余連接也即使用鏈路聚合,既能實現(xiàn)鏈路保護又能增加鏈路總帶寬。 但是鏈路冗余會導(dǎo)致環(huán)路問題, 此時需要使用生成樹協(xié)議(Spanning Tree Protocol,STP)來預(yù)防環(huán)路。

服務(wù)器冗余則通過設(shè)備冗余的方法,使用多個服務(wù)器組成主、備關(guān)系,當主服務(wù)器故障時,備用服務(wù)器可繼續(xù)接替工作以提供連續(xù)的服務(wù)器應(yīng)答能力,主要體現(xiàn)在網(wǎng)卡冗余、存儲冗余、電源冗余、風扇冗余等。

線路冗余可通過增加不同層級設(shè)備間的傳輸線纜來實現(xiàn)冗余物理線路,增加了線路故障的備用線路。同時,可在校園網(wǎng)出口處增加互聯(lián)網(wǎng)服務(wù)提供商提供線路出口互聯(lián)網(wǎng)服務(wù)提供商(Internet Service Provider,ISP),保證有多條出口路由。 多ISP 線路不僅可以是同一互聯(lián)網(wǎng)服務(wù)提供商提供,也可以是不同互聯(lián)網(wǎng)服務(wù)提供商提供,當使用同一運營商不同的多ISP 線路時,不同的ISP 線路要使用不同的鋪設(shè)線路(物理鏈路),以免在施工過程中會誤挖斷一根ISP,可以保證其它 ISP 線路繼續(xù)可用,保證網(wǎng)絡(luò)正常運行。

路由冗余備份是為了增加匯聚層到核心交換機的備份路由,備份路由可使用動態(tài)路由協(xié)議或靜態(tài)路由協(xié)議,當主路由在邏輯鏈路或物理鏈路發(fā)生故障時,備份路由可以自動生效,可提高核心層設(shè)備間的可靠性。

網(wǎng)絡(luò)冗余規(guī)劃可以保障校園網(wǎng)高效、穩(wěn)定地運行。但是冗余規(guī)劃會增加校園網(wǎng)建設(shè)的投資,但是這種投資卻可以提升校園網(wǎng)的高可用性和高可靠性,使得網(wǎng)絡(luò)傳輸更穩(wěn)定。

在當前校園網(wǎng)架構(gòu)下考慮在核心層增加電源冗余、核心層設(shè)備間冗余、設(shè)備內(nèi)主控板冗余,在核心交換機和匯聚交換機間使用多條物理鏈路聚合。

2.7 網(wǎng)絡(luò)安全需求

在校園網(wǎng)接入互聯(lián)網(wǎng)后,師生都可以通過校園網(wǎng)使用自己的電腦或手機接入。 如果網(wǎng)絡(luò)安全沒有做到位,互聯(lián)網(wǎng)上的有害信息會在校園內(nèi)廣泛傳播。 另外,互聯(lián)網(wǎng)病毒可以通過外部訪問介質(zhì)(如移動硬盤等)、網(wǎng)絡(luò)傳播(如網(wǎng)頁、電子郵件等)、設(shè)備終端系統(tǒng)或應(yīng)用軟件的漏洞(比如在某應(yīng)用軟件的漏洞植入病毒)等方式入侵,而這些病毒會潛伏到系統(tǒng)中竊取用戶隱私或者占滿電腦的中央處理器(Central Processing Unit,CPU)和內(nèi)存導(dǎo)致用戶電腦無法正常運行[5]。 高校財務(wù)系統(tǒng)、監(jiān)控系統(tǒng)、信息發(fā)布系統(tǒng)等不能發(fā)布到外網(wǎng)上,只能在校內(nèi)訪問。 而偽裝成校內(nèi)人員的黑客有可能通過非正常手段對這些系統(tǒng)進行攻擊,造成學(xué)校師生信息、財務(wù)信息以及校內(nèi)的安全監(jiān)控等被獲取,不僅造成學(xué)校的經(jīng)濟損失也會對師生的人身安全造成影響。

對校園網(wǎng)的惡意破壞涉及硬件和軟件兩個方面。硬件方面是指非法人員通過非正常手段對機房內(nèi)的設(shè)備,安裝在各樓棟的接入交換機、POE 交換機以及AP進行人為破壞,一旦這些網(wǎng)絡(luò)設(shè)備被損壞,校園網(wǎng)有可能全面或部分斷網(wǎng)。 軟件方面的惡意破壞是指對校園網(wǎng)系統(tǒng)的破壞比如攻擊校園網(wǎng)網(wǎng)站和服務(wù)器等,這會對校園網(wǎng)都造成致命影響。 一些好奇心和求知欲強的學(xué)生對黑客攻擊手段總想躍躍欲試,會在校園網(wǎng)內(nèi)將自學(xué)到的黑客方法進行驗證。 因此,對于在校學(xué)生的法律意識和安全意識都要加強教育,同時也要制定相關(guān)的網(wǎng)絡(luò)安全管理規(guī)定,加強對校園網(wǎng)的管理。

因此,在校園網(wǎng)建設(shè)時就要在校園網(wǎng)出口、核心層以及各業(yè)務(wù)系統(tǒng)間增加防火墻、入侵防御、入侵檢測、上網(wǎng)行為管理、漏洞掃描、日志審計等網(wǎng)絡(luò)安全設(shè)備。

2.8 網(wǎng)絡(luò)管理需求

為了確保校園網(wǎng)的穩(wěn)定運行,網(wǎng)絡(luò)管理也是校園網(wǎng)很重要的組成部分。 網(wǎng)絡(luò)管理的基本功能有故障管理、配置管理、性能管理、安全管理以及計費管理[6]。故障管理可檢測故障,網(wǎng)絡(luò)管理員對故障進行定位、分析以及修復(fù);配置管理是對網(wǎng)絡(luò)設(shè)備的初始化、維護以及修改配置參數(shù);性能管理需要監(jiān)測網(wǎng)絡(luò)設(shè)備關(guān)鍵參數(shù)的性能指標,用于評估網(wǎng)絡(luò)資源的運行狀況等;安全管理保護校園網(wǎng)不受攻擊、破壞等;對于不收費的高校來說,計費管理可以不用考慮。 對于網(wǎng)絡(luò)管理工具的選擇要考慮適用于全網(wǎng)的網(wǎng)管軟件,能對整個校園網(wǎng)絡(luò)進行用戶管理和設(shè)備管理,當任何設(shè)備出現(xiàn)異常及時告警,幫助網(wǎng)絡(luò)管理中心及時發(fā)現(xiàn)問題,解決問題。

2.9 模塊化機房

網(wǎng)絡(luò)中心機房作為學(xué)校內(nèi)部的核心區(qū)域,其建設(shè)規(guī)劃也很重要;傳統(tǒng)的網(wǎng)絡(luò)機房工程建設(shè)周期長、投入高,后期很難擴充,需要專人看護。 而模塊化機房將機柜、電源、空調(diào)和環(huán)控等系統(tǒng)整合在一起,在機房內(nèi)實現(xiàn)恒溫恒濕。 后期擴充時,可按模塊進行擴展,批量復(fù)制,可實現(xiàn)快速部署以適應(yīng)發(fā)展需求,既能實時監(jiān)控,也能實現(xiàn)智能管理。 使用模塊化機房可以達到節(jié)約機房運營成本的目的。

3 結(jié)語

當前社會處在信息發(fā)展的新時代,隨著云計算、人工智能、物聯(lián)網(wǎng)等信息技術(shù)的快速發(fā)展,對承載這些信息技術(shù)的基礎(chǔ)環(huán)境要求越來越高。 在校園網(wǎng)建設(shè)初期,就要全面地分析校園網(wǎng)使用場景和核心要求,結(jié)合文中的需求分析要素,提煉出明確的校園網(wǎng)建設(shè)需求,這些需求在校園網(wǎng)建設(shè)中會起到至關(guān)重要的指導(dǎo)作用。