基于層次化模型的校園網優化探討

干陳明

青島科技大學網絡中心，山東 青島 266042

基于層次化模型的校園網優化探討

干陳明

青島科技大學網絡中心，山東 青島 266042

本文以青島科技大學四方校區的網絡優化工作為背景，從層次化的網絡模型出發，討論了校園網的優化策略。

優化；層次化模型；校園網

引文摘要

As background to Network Optimization Project in the west part of Qingdao University of Science and Technology,based on Hierarchical network model,in this paper, Discussion of the campus network optimization strategy.

1.前言

隨著校園網應用的發展和網絡規模的擴大，基于傳統的園區網交換網絡已逐漸不能滿足學校教學和科研的需要，本文以青島科技大學四方校區的網絡改造、優化工程為背景，從層次化的網絡結構模型出發，采用路由協議對現有的網絡進行優化，使得整個校園網網絡結構更加合理，網絡可靠性更高，網絡管理更加方便。

2.校園網問題的分析與優化

2.1 校園網的拓撲圖與整體描述：

四方校區校園網擁有一個聯通的公網出口，帶寬為400m,上網用戶約為10000左右，校園網拓撲圖如圖所示。

校園網從物理上分為東院和西院兩大部分，校園網的出口在東院，在校園網改造之前，以東院H3c9500作為核心交換機，以為校園網的骨干，西院有一個分匯聚交換機，設備為華為s6500,上聯到核心交換機，當時，所有的計算機設備的網關全部都放在核心交換機H3c9500上，幾乎所有的網絡配置也運行在核心H3c9500交換機上。在未改造的二層交換網絡結構當中，整個廣播域范圍非常大，任意一個pc發的廣播包都可以直接穿越所有鏈路到達核心設備，那么全校區內的所有pc設備每秒發送的廣播包將會對核心設備造成負擔，以上圖為例，假設23號樓的學生要和23號甲的學生交互數據，那么流量將會繞過所有骨干鏈路再回到23號甲，所消耗的設備性能和帶寬也十分驚人，隨著網絡的擴大，核心交換機的負載將顯得異常的嚴重。在實際的網絡中，核心H3C95以及華為65交換機CPU利用率都很高，而且網絡的延遲大、丟包較多；在網絡中還有這樣的問題：接入層和匯聚層的交換機無法進行自動環路檢測，網絡內一旦出現環路，大量的廣播包將向整個網絡擴散，導致了整個網絡的頻繁掉線甚至癱瘓；由于用戶數的大量增加，arp的報文數量也急劇增加，此時，核心交換機處理arp報文的能力已經達到極限，無法處理更多的報文，使得部分用戶經常無法正常的訪問網絡；除此之外，arp攻擊的現象也十分突出，嚴重地影響了核心設備的性能。

2.2 校園網的設計模型：

目前，校園網采用千兆交換式以太網技術通過廣泛使用高性能三層交換機來優化網絡,并使用劃分vlan的方式來管理網絡，并通過vlan將廣播報限制在同一vlan內，提高了網絡整體的有效帶寬。并且，為了增強網絡的可擴展性以及網絡的可用性，校園網的設計模型主要是以層次化的網絡結構為基礎的。層次化的網絡結構分為三層：核心層，匯聚層，接入層。

核心層為高速交換主干，是整個網絡系統的核心，通常，這一層不完成報文格式變換或報文過濾以免影響報文交換速度，提供高速數據交換和路由快速收斂，要求具有較高的可靠性、穩定性和易擴展性等。

匯聚層是核心層和接入層的分界線，它的作用是提供邊界定義并完成類似報文格式轉換等功能，在一個典型網絡中，匯聚層包括以下幾種功能：地址或區域合并、部門或工作組訪問、廣播域或組播域定義、VLAN路由、介質轉換、安全等等方面；當三層協議應用于這一層時，具有負載均衡、快速收斂和易于擴展等特點，這一層還可作為接入設備的第一跳網關。

接入層是本地終端用戶的網絡接入點，提供網絡的第一級接入功能，完成簡單的二、三層交換，這一層可以用訪問列表或過濾進一步優化特定用戶組，在典型的網絡環境中訪問層包括如下功能：共享帶寬，交換帶寬， MAC層過濾，微分網段。

根據各層的特點，有幾個問題需要引起重視：

2.2.1 環路檢測：

在一個校園網絡中，設計一個冗余的網絡是有效的隨時可以使用網絡的方法，但是冗余會造成環路，甚至會造成嚴重的問題，包括網絡完全中斷；其實，在一個校園網中，最常見的問題是由于一個粗心大意的使用者，在連接網路的過程中，在一個以太網的接口下自發的形成了一個環，這樣的環路同樣會造成巨大的危害；因而使用生成樹協議顯得十分重要，接入層交換機能夠自發的檢測環路，將會極大地減少因為環路造成的危害。

2.2.2 arp防范：

由于網絡的開放性和校園網自身的一些特點，校園網是arp病毒的高發地，arp攻擊比較普遍,嚴重影響了網絡的穩定性，安全性；arp病毒使得網絡頻繁掉線，網絡擁堵，有些arp變種病毒還具有木馬和惡意病毒的特性，或者竊取用戶的賬號，密碼——例如：竊取用戶的qq賬號密碼，網絡游戲的游戲賬號密碼；或者惡意篡改，刪除用戶的數據，造成重要數據的丟失，系統的癱瘓等等，甚至給用戶造成經濟上損失，對arp病毒的防范和抑制也將成為校園網管理的一個重要環節；同樣的，需要在匯聚層和接入層設備上設置相關策略，才能有效地抑制arp所造成的危害；

2.2.3 vlan的設計：

校園網是一個資源和信息分布的環境，存在著許多在網絡拓撲中通常存在許多由于節點高密度聚集而形成的邏輯區域。這些邏輯區域就是vlan,vlan的信息一般都定義、存儲在核心三層交換機上，vlan之間的通信增加時，對三層交換機的頻繁訪問時會極大地加交換機的處理負擔，造成路由瓶頸，從而降低整個網絡的通信效率。因此在設計vlan時，盡可能地將同一工作性質的節點劃分在同一vlan內，以減少跨vlan的訪問，提高網絡的利用率。

2.2.4 路由協議的使用：

在網絡中的核心交換機上使用路由協議可以使得網絡快速的收斂，增強網絡的可用性。路由協議一般分為：靜態路由協議，Eigrp，Ripv2,和 Ospf,Bgp等等。

這些協議都有各自的特點：

靜態路由的特點是價格低，路由器和三層交換機都缺省支持，不足的地方是當網絡規模較大的時候，配置量大，不方便管理，并且很容易出錯。不適合大型網絡使用，在故障狀態下，有可能會出現路由環路。

Ripv2是典型的距離向量協議，特點是技術成熟，使用面廣，路由器與三層交換機缺省即支持，但是使用Rip協議的路由器每隔一定時間就向外廣播發送路由更新信息，在有許多節點的網絡中，這將會消耗相當大的網絡帶寬。但其路由收斂速度慢，限制網絡的規模，因而不適宜在大型網絡中部署。

Eigrp是結合了鏈路狀態和距離矢量型路由選擇協議的Cisco專用協議，其特點是簡單、易于配置，無須調整，極快速收斂和減少帶寬占用等等，可擴展支持大型網絡,支持靈活的拓撲結構。但是其為私有協議，只有在全網都是cisco設備的情況下方可使用，并且通常在交換機上需要增強型的 IOS 軟件,因而價格昂貴，費用較高。

OSPF 是由IETF 的IGP 工作組為IP 網絡開發的路由協議。OSPF 作為一種內部網關協議（Interior Gateway Protocol，IGP），用于園區中的路由器或三層交換機之間發布路由信息。它是一種鏈路狀態協議，區別于距離矢量協議(RIP)，OSPF 具有支持大型網絡、路由收斂快、占用網絡資源少等優點，在目前應用的路由協議中占有相當重要的地位。

2.3 校園網的優化方案：

改造優化前的校園網核心層采用單核心架構，網絡中既使用了二層架構，核心+接入方式，也采用了核心+匯聚+接入的三層架構模式。在這樣的混合模式中，比較容易出現三層交換機既要處理與二層設備的數據交換，又要處理vlan之間的通信信息，因而負載過重。所以，在網絡中需要增加一臺三層交換機（后采用的設備型號是H3c7500）來分擔核心的負載，處理相關的數據，并且在缺乏匯聚層的網絡中，應該增加相應的設備以增強負載和Qos服務質量。

在過去的網絡中，缺乏對arp的抑制和防范，因而在匯聚層和交換層部署arp的防護尤為重要，在改造的過程中，在匯聚層使用cisco3560交換接，在接入層使用cisco2960交換機，一方面新交換機可以在網絡中使用dhcp監聽和arp檢測技術，對相應的arp報文進行檢測，對符合要求的合法報文放行，丟棄不合法的報文，大大減少了arp攻擊對網絡的危害；另一方面，接入層的交換機具備環路檢測的功能，減少了環路對網絡的影響。

僅僅是增強了接入層和匯聚層的抗性，還不足以加快網絡的收斂速度，盡管在部署了新型的三層交換交換機之后，網絡的可用性有所提高，但是大二層的網絡結構依然困擾著網絡的速度和運行效率。為了實現網絡的快速收斂，在新的三層交換機和舊核心之間部署了路由協議勢在必行，通過比較發現，Ospf 協議適合網絡的需求，因為在網絡的部署中，存在多個廠商的設備，采取Eigrp的方案不可實現；采用用Rip,收斂速度并不最優化；而靜態路由在管理上則過于繁瑣，一旦網絡需要擴充，網絡管理員就需要重新添加新的路由。因而Ospf協議就成為理所當然的考慮。在部署Ospf之后，網絡的情況得到極大的改善，達到了預期的目標。

結束語

校園網的規劃與設計、優化，都應當遵循層次化的網絡模型而展開，在層次化模型中的基礎上有針對性地選擇符合相應參數和規格的交換機設備、并采用合理的路由方式，才能提高網絡的收斂速度，提高網絡的可用性。本文以青島科技大學四方校區的網絡優化工作為背景，從層次化的網絡模型出發，討論了校園網的優化策略，希望能對以后的校園網建設起到借鑒作用。

[1]郭偉,柯漢波.多區域OSPF. 校園網路由設計與實現(J). 計算機系統應用.2003,(8)

[2]思科系統(中國)網絡技術有限公司.設計高可用性園區網絡[Z]. 2005年3月

[3]思科系統(中國)網絡技術有限公司.高可用性園區網絡故障恢復分析. [Z].2005年3月

[4]劉珺,李俊娥,王鵑,陳萍.基于第三層交換的校園網規劃與管理(J).武漢大學學報(工學版).2003,36(1):92-95

10.3969/j.issn.1001-8972.2011.07.058