關于優化校園網管理策略的探討

呂淑艷

摘要 隨著校園網建設的日益完善,網絡管理工作正面臨巨大的挑戰。通過對制約本校網絡管理的2個因素的分析,提出相應的解決方案,目的是提高校園網的網絡性能,充分發揮校園網在教學、科研、管理中的重要作用,為學校的信息化建設工作的順利開展打好堅實基礎。

關鍵詞 局域網;VLAN;網絡帶寬

中圖分類號:TP393.18 文獻標識碼:B 文章編號:1671-489X(2009)27-0095-02

Exploration on Optimizing Strategy of Campus Network Management//Lv Shuyan

Abstract With the increasingly consummation of the Campus Network construction, the job of network management is facing the huge challenge. The author puts into the corresponding measures by analyzing the two factors restricted the network management in the own school, in order to improve the network capability, sufficiently play the important function of the Campus Network in school teaching, scientific research and management, and build the solid foundation of the smooth development for the school informationization construction work.

Key words local area network; VLAN; network bandwidth

Authors address METC of China University of Political Science Law, Beijing, 102249, China

中國政法大學校園網建設已經很完善,全校信息點大約有7 000個,有線網絡全校覆蓋。作為網絡管理者,要不斷提高網絡管理水平,具有前瞻性,不斷制定出相對完善、可靠的管理策略,以提高校園網的性能,最大限度地發揮校園網的積極作用。

目前學校網絡性能的制約因素主要在局域網內網絡性能和帶寬壓力,以下就這2個方面存在的問題和解決方法進行詳述。

1 局域網內攻擊泛濫,網速慢

學校采取核心、匯聚、接入的三層網絡結構方式,將幾個樓的網絡作為一個匯聚層單元,匯聚交換機光纖上聯核心設備,超六類雙絞線下聯各接入交換機。匯聚交換機上設定合適的策略,管理所有下聯的接入交換機(圖1)。

VLAN(Virtual Local Area Network)是網絡設備上連接的不受物理位置限制的用戶的一個邏輯組。在一個VLAN上的設備或用戶可以按功能、部門、應用等分類,而不管它們的物理位置。VLAN允許將一個物理的LAN邏輯地劃分成不同的廣播域,每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性[1]。局域網內,由于各種網絡病毒的滋生、蔓延,故意使用各種黑客軟件進行的攻擊,無節制地打網絡游戲,使網絡負載很重,出現斷網、網速慢等現象。為了解決這些故障,采用端口VLAN隔離法的策略,一個交換機端口一個VLAN。實施步驟如下。

1)確認設備是否支持該策略。學校采用的匯聚設備H3C 5500,軟件版本version 5,支持1 024個VLAN interface和IP pool的創建,支持動態地址分配。符合策略的要求。

2)局域網地址規劃。根據匯聚交換機下聯交換機和信息點的數量,規劃設備管理地址和用戶IP地址,地址能夠進行路由聚合。一個信息點一個VLAN,采用私網地址段10.0.0.0/8。每個房間有6臺主機,采用VLSM(變長子網掩碼)方法,子網掩碼:255.255.255.240。

3)制定文檔,為交換機的配置工作提供依據,內容如表1所示。

4)在線配置設備。對在線設備的配置修改,不能影響用戶的正常用網,因此所做的配置不能立即生效,選擇合適的時機下發。匯聚層和接入層設備很多,配置工作量很大,如果選擇在交換機上逐條配置,效率很低。因此采用事先將所做的配置工作通過電子文檔編輯,最后復制到交換機配置視圖下的方法。

配置步驟如下。

匯聚交換機:

[H3C] vlan 2

[H3C] interface vlan 2

[H3C-Vlan-interface2] ip address 10.0.3.1 255.255.255.240

[H3C] dhcp server ip-pool 1

[H3C-dhcp-pool-1] network 10.0.3.1 mask 255.255.255.240

[H3C-dhcp-pool-1] gateway-list 10.0.3.1

[H3C-GigabitEthernet1/0/18] port trunk permit vlan 2

接入交換機:

[H3C] vlan 2

[H3C] interface gigabitEthernet 1/1

[H3C-GigabitEthernet0/1] port trunk permit vlan 2

[H3C] interface Ethernet 0/1

[H3C-Ethernet0/1] port access vlan 2

除以上基本配置,還需修改相關路由配置,按原路由策略,添加或刪除相應的網段即可。

5)下發策略,使更新的配置生效。考慮到網絡不能中斷,新的配置又要生效,采用并行替代法,最大限度減少網絡切換的時延。在交換機上更改為動態獲取IP地址。之前終端用戶采用的是靜態分配IP地址,此時用戶即使沒有修改IP地址獲取方式,仍能上網,配置的修改過程對用戶來說是完全透明的。發通告,告之用戶更改為自動獲取IP地址方式,并給予一定的周知時間。按照步驟3的電子文檔,在各個信息點上聯的接入層交換機的各個端口下發相應的VLAN。

步驟5的操作過程中,有些在線用戶可能網絡中斷,此時用戶只需重新啟用網卡,再次獲取新的IP地址即可恢復用網。

這種方法實施以來,局域網性能得到大大改善。主要體現在:1)用戶端的ARP病毒、廣播包、一些非法攻擊行為等得到有效抑制;2)這種方法在學校現有的網絡設備上都可實現,無需去更換或添加設備,節省成本;3)用戶用網步驟簡單、明了;4)終端用戶報修大大減少,既減少網絡管理者繁雜的維修工作量,也實現角色由“勤雜工”到“救火隊員”到“網絡決策員”的轉變。

2 多樣化的網絡應用給出口帶寬帶來巨大壓力

隨著信息技術的快速發展,網絡應用也豐富多彩。網絡帶寬一定的情況下,用戶隨意用網,使帶寬出現瓶頸。特別是用戶在線看電視、打游戲,以及利用BT、迅雷、eMule等P2P軟件,無限制地下載,不僅占用寶貴的帶寬資源,還使網絡性能嚴重下降,影響正常的教學、科研、管理。利用資金的注入來解決帶寬的擴展是不現實的方法,可以采用以下措施,緩解這些現象。

2.1 多鏈路并存,分擔帶寬壓力學校在原有CHINANET和100 M CERNET鏈路的基礎上,增加10 M CHINANET、1 000 M CERNET和1 000 M IPv6。由于鏈路擁擠,2條原鏈路已經超負荷工作,特別是校內重要的服務器滿足不了校外用戶的訪問,因此開通10 M鏈路專門用作服務器,保證業務的暢通。增加1 000 M CERNET,是為了分擔100 M CERNET的壓力,充分利用教育網內資源。學校已經接入1 000 M IPv6網絡,雖然目前該網絡是一種實驗性網絡,但其豐富的網絡資源,免費使用,極大地滿足用戶的需求,分擔帶寬的壓力。

2.2 利用路由策略,使業務選擇最優的鏈路針對用戶的源地址和目標地址以及鏈路的使用狀態,實施策略路由。采取幾種路由策略,例如:源地址是學生用戶,訪問目標是CERNET資源,可以優先選擇1 000 M CERNET鏈路;源地址是教師用戶,訪問目標仍是CERNET資源,可以優先選擇100 M CERNET鏈路;而目標地址是CHINANET,則選擇CHINANET鏈路。

2.3 搭建校內資源庫,減少用戶外網下載資源量建設校內FTP服務器和BT服務器,一方面,管理者要去搜索一些資源放到服務器上,不斷充實、更新、維護;另一方面,要充分調動教師、學生的積極性,將自己的資源共享,提高利用率,實現用戶在校內即可找到自己所需要的數據。

2.4 實行流量計費策略,限制用戶無度下載這是從校園網管理層面,保證網絡帶寬正常應用的有效方法。盡管使用以上3種方法來解決帶寬問題,但還是不能保證帶寬的合理應用,因此實行按照流量計費的策略,已經實施4年的時間,很有成效。

通過以上4種方法的配合、實施,困擾很久的帶寬瓶頸問題已經基本得到解決,鏈路資源得到合理分配,網絡運維可靠、流暢。

3 小結

以上2方面是網管中遇到的比較集中的問題,而問題的解決也不是一蹴而就的,是在實踐工作中不斷摸索、嘗試、驗證的過程,網絡管理的工作也正是這樣一種不斷完善的過程,不但需要資金、軟件資源、硬件設備等支持,還需要合理的管理思路,更需要一支高素質的技術團隊的配合。具備了這些基本要素,問題自然迎刃而解。

參考文獻

[1]思科系統中對VLAN的定義[EB/OL].http://cisco.chinaitlab.com/special/vlanconf/Index.html