基于PPDR模型的高校校園網(wǎng)網(wǎng)絡(luò)優(yōu)化與管理

2014-03-24 18:20:04魏育華廣州華立科技職業(yè)學(xué)院機(jī)電與自動(dòng)化學(xué)部廣州增城511325

長(zhǎng)江大學(xué)學(xué)報(bào)(自科版) 2014年22期

魏育華 (廣州華立科技職業(yè)學(xué)院機(jī)電與自動(dòng)化學(xué)部,廣州增城 511325)

魏育華 (廣州華立科技職業(yè)學(xué)院機(jī)電與自動(dòng)化學(xué)部,廣州增城 511325)

從廣州華立科技職業(yè)學(xué)院院校園網(wǎng)的現(xiàn)狀和需求出發(fā),結(jié)合網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)和設(shè)計(jì)原則,深入分析了學(xué)院校園網(wǎng)網(wǎng)絡(luò)規(guī)模、應(yīng)用類型、用戶類型、管理需求和安全需求,利用技術(shù)選型,為學(xué)院新校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)功能進(jìn)行二期網(wǎng)絡(luò)工程項(xiàng)目改造,提出了有效的解決方案,從而使新、老校區(qū)更好的銜接,真正實(shí)現(xiàn)有效管理,提高了系統(tǒng)的穩(wěn)定性、可靠性及運(yùn)營(yíng)性,優(yōu)化網(wǎng)絡(luò)資源,提高網(wǎng)絡(luò)管理效率。

PPDR模型;校園網(wǎng);網(wǎng)絡(luò)優(yōu)化;網(wǎng)絡(luò)管理

為適應(yīng)現(xiàn)代化教育的發(fā)展需要,學(xué)校通過信息化建設(shè),把計(jì)算機(jī)應(yīng)用于學(xué)校的管理、辦公、教師備課、多媒體教學(xué)和發(fā)布校園新聞等等。通過連接教育網(wǎng)和Internet,可以查找資料并和其他院校共享資源,獲得更廣泛的合作,建設(shè)校園網(wǎng)并提供遠(yuǎn)程教學(xué)和對(duì)外強(qiáng)有力的宣傳窗口,提高學(xué)校的影響力,讓更多的考生和家長(zhǎng)了解學(xué)校[1]。信息化的建設(shè)和應(yīng)用,必將對(duì)學(xué)校的各個(gè)方面形成一種強(qiáng)有力的良性沖擊,從而使學(xué)校屹立于21世紀(jì)信息化浪潮的前沿?廣州華立科技職業(yè)學(xué)院院級(jí)教學(xué)質(zhì)量工程項(xiàng)目(華立職院[2013]10號(hào))。。

1 需求分析

1.1 應(yīng)用需求

網(wǎng)絡(luò)應(yīng)用需求包括辦公、服務(wù)、教學(xué)、科研等4個(gè)方面,而學(xué)校不同具體的應(yīng)用需求也會(huì)有所不同。對(duì)辦公和服務(wù)方面的網(wǎng)絡(luò)設(shè)計(jì)應(yīng)考慮網(wǎng)絡(luò)帶寬的大小,對(duì)教學(xué)和科研方面其安全性、擴(kuò)展性和穩(wěn)定性等問題是要著重考慮的[1]。所以,應(yīng)根據(jù)學(xué)校的實(shí)際情況來考慮網(wǎng)絡(luò)的應(yīng)用需求。常用的網(wǎng)絡(luò)應(yīng)用類型有網(wǎng)絡(luò)操作系統(tǒng)、OA、E-mail、BBS、視頻點(diǎn)播、無(wú)線局域網(wǎng)等。

1.2 用戶需求

1)用戶群體校園內(nèi)有學(xué)生、教職工和家屬等群體,其中學(xué)生群體人數(shù)規(guī)模較大,其次是教職工,然后是家屬。

2)上網(wǎng)時(shí)間學(xué)生早上上課前、午間休息、白天下課后、晚上和周末上網(wǎng)時(shí)間多一點(diǎn),有一些是去圖書館用計(jì)算機(jī)查詢相關(guān)資料;教職工一般是在上班期間上網(wǎng);家屬一般是在下班后和周末上網(wǎng)。

3)網(wǎng)絡(luò)流量分析根據(jù)用戶群體上網(wǎng)時(shí)間的不同,網(wǎng)絡(luò)流量出現(xiàn)不同的應(yīng)用特點(diǎn),凌晨到早晨用戶一般較少,中午和晚上會(huì)出現(xiàn)流量高峰。

1.3 管理需求

一個(gè)好的網(wǎng)絡(luò)管理系統(tǒng)可以讓網(wǎng)絡(luò)管理人員更加經(jīng)濟(jì)高效地管理網(wǎng)絡(luò),優(yōu)化網(wǎng)絡(luò)資源,降低網(wǎng)絡(luò)運(yùn)行維護(hù)成本。所以網(wǎng)絡(luò)管理系統(tǒng)必須具有拓?fù)涔芾怼⑴渲霉芾怼⑿阅芄芾怼踩芾怼?bào)表統(tǒng)計(jì)等功能。

2 網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)

學(xué)院對(duì)校園網(wǎng)二期項(xiàng)目的建設(shè)目標(biāo)是:建設(shè)一個(gè)集數(shù)據(jù)、語(yǔ)音、視頻服務(wù)于一體的高帶寬、多功能、多服務(wù)、開放的、多業(yè)務(wù)接入的IP多媒體交換園區(qū)網(wǎng)。該網(wǎng)信號(hào)要覆蓋學(xué)校所有區(qū)域,利用有線和無(wú)線技術(shù)使學(xué)校所有部門的計(jì)算機(jī)和數(shù)字化設(shè)備都能夠方便地連接到網(wǎng)絡(luò),將校園網(wǎng)作為一個(gè)整體通過寬帶接入到CHIANNET、CERNET,使Internet進(jìn)入校園。同時(shí),網(wǎng)絡(luò)在建成后,除了滿足自身的業(yè)務(wù)需求外,還應(yīng)該起到一個(gè)示范性、品牌性的社會(huì)效應(yīng)。

3 項(xiàng)目技術(shù)選型

根據(jù)以上分析,建設(shè)千兆主干已經(jīng)基本滿足目前學(xué)校對(duì)帶寬的需求,并可以保持2～3年的發(fā)展期,然后根據(jù)需要,再平滑地把核心骨干層提升到萬(wàn)兆帶寬。核心交換機(jī)需要支持萬(wàn)兆接口,并支持IPv6技術(shù),以便于網(wǎng)絡(luò)未來平滑地采用IPv6技術(shù)。

為了實(shí)現(xiàn)網(wǎng)絡(luò)的可靠性、擴(kuò)展性和靈活性,在學(xué)院教學(xué)區(qū)采用扁平的兩層網(wǎng)絡(luò)結(jié)構(gòu),即接入層和骨干層,在學(xué)生生活區(qū)采用傳統(tǒng)的三層結(jié)構(gòu),即路由接入層、匯聚層和骨干層。

接入層則主要是提供最終10/100M的桌面接入,同時(shí)通過Vlan劃分等技術(shù)來保證用戶之間訪問的安全性,同時(shí)接入層還承擔(dān)了大量的本地?cái)?shù)據(jù)流量。

匯接層主要由三層交換機(jī)和接入服務(wù)器構(gòu)成,其重要功能是提供接入層到骨干層的中繼,同時(shí)通過DHCP服務(wù)器來分配用戶的IP地址,使用路由協(xié)議實(shí)現(xiàn)VLAN間的路由,為本地的數(shù)據(jù)流提供高性能的交換。

骨干層主要采用高性能的多層交換機(jī)(交換路由器),建議使用千兆以太網(wǎng)作為傳輸主干,使用1Gbps/10Gbps以太網(wǎng)作為接入連接,其主要作用是提供主干上的高性能數(shù)據(jù)交換,以便為分散的各節(jié)點(diǎn)提供集中應(yīng)用。

4 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

學(xué)院二期項(xiàng)目工程包括新校區(qū)的網(wǎng)絡(luò)建設(shè)及老校區(qū)的網(wǎng)絡(luò)運(yùn)營(yíng)改造。新校區(qū)將新建一數(shù)據(jù)中心作為全校總出口,老校區(qū)將從新校區(qū)接入。原有網(wǎng)絡(luò)中心作為學(xué)院二級(jí)數(shù)據(jù)中心,主要管理老校區(qū)。

二期工程網(wǎng)絡(luò)中心配置了1臺(tái)萬(wàn)兆核心交換機(jī)。未來根據(jù)網(wǎng)絡(luò)規(guī)模和應(yīng)用的發(fā)展,可以在信息點(diǎn)比較集中的地方增加核心交換機(jī),核心交換機(jī)之間可以擴(kuò)展到10G的鏈路帶寬。

根據(jù)現(xiàn)在的規(guī)劃需求,在學(xué)生宿舍區(qū)(8棟)采用傳統(tǒng)的三層網(wǎng)絡(luò)結(jié)構(gòu),每棟宿舍樓配置了匯聚交換機(jī);每個(gè)匯聚交換機(jī)通過千兆鏈上聯(lián)到核心交換機(jī);而在教學(xué)樓(2棟)、行政樓、2個(gè)活動(dòng)中心則采用兩層網(wǎng)絡(luò)結(jié)構(gòu),即接入交換機(jī)直接通過光纖上聯(lián)到核心交換機(jī)。

接入交換機(jī)按照每個(gè)建筑物的樓層、分支配線間為單位進(jìn)行配置,同一建筑物為單位進(jìn)行配備,同一建筑物中安裝在同一地點(diǎn)的多于2臺(tái)的交換機(jī)根據(jù)情況采用堆疊方式,每個(gè)堆疊組中應(yīng)提供至少1個(gè)千兆端口。接入交換機(jī)向用戶提供10/100M或者可以做端口限速接入。目前采用的交換機(jī)均支持兩個(gè)端口的千兆上聯(lián),今后可以根據(jù)實(shí)際應(yīng)用,如果用戶需要較高的帶寬,或者需要冗余的鏈路,可以采用兩個(gè)千兆端口匯聚上聯(lián)。

新校區(qū)核心交換機(jī)各通過2個(gè)GE光纖鏈路連接到老校區(qū)的核心設(shè)備上,從而把老校區(qū)的用戶上網(wǎng)出口統(tǒng)一到新校區(qū)的核心交換機(jī)上。

5 網(wǎng)絡(luò)安全模型

一般安全模型是基于安全策略建立起來的。目前,多數(shù)網(wǎng)絡(luò)安全策略都是建立在認(rèn)證、授權(quán)、數(shù)據(jù)加密和訪問控制等概念之上的。為了提高整個(gè)網(wǎng)絡(luò)的安全性能,學(xué)院二期項(xiàng)目工程采用基于PPDR的網(wǎng)絡(luò)安全解決方案。該方案包括Internet掃描組件、系統(tǒng)掃描組件、數(shù)據(jù)庫(kù)掃描組件、實(shí)時(shí)監(jiān)控制組件和套件決策軟件等內(nèi)容,可用于網(wǎng)絡(luò)安全的策略、保護(hù)、檢測(cè)、響應(yīng)等各個(gè)環(huán)節(jié)。筆者從3個(gè)大的方向加以考慮:事前加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)、事中快速反應(yīng)機(jī)制、事后安全審計(jì)。

5.1 事前加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)

1)在網(wǎng)絡(luò)出口處或者在網(wǎng)絡(luò)的每個(gè)安全域的邊界部署防火墻。防火墻設(shè)備在網(wǎng)落中起著非常重要的作用,具有安全防范、訪問控制和日志審計(jì)等功能,是整個(gè)網(wǎng)絡(luò)的主要安全屏障。

2)部署入侵檢測(cè)系統(tǒng)IDS。入侵檢測(cè)系統(tǒng)是防火墻的合理補(bǔ)充,它可擴(kuò)展系統(tǒng)管理員的安全管理能力,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,幫助管理員洞察網(wǎng)絡(luò)攻擊行為[2]。

3)訪問控制表(ACL)策略。高效的ACL控制功能可以用來保證網(wǎng)絡(luò)設(shè)備本身的安全,是一種由Policy Director使用的方法,它向安全域中的資源提供了細(xì)粒度保護(hù),指定對(duì)受保護(hù)對(duì)象執(zhí)行操作所需的條件。

4)安裝能夠預(yù)先發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患的評(píng)估系統(tǒng)。安全評(píng)估系統(tǒng)主要針對(duì)用戶系統(tǒng)內(nèi)部的各種安全漏洞實(shí)施漏洞掃描,借以檢查出系統(tǒng)中主機(jī)的安全隱患,并提供相應(yīng)的掃描結(jié)果報(bào)告,使用戶全面了解系統(tǒng)的安全狀況。

5)對(duì)用戶進(jìn)行身份認(rèn)證,包括有線接入用戶和無(wú)線移動(dòng)接入用戶。同時(shí),為了實(shí)時(shí)、準(zhǔn)確、快速的定位用戶位置,可以考慮采用多屬性綁定功能加強(qiáng)對(duì)用戶的管理。

5.2 事中快速反應(yīng)機(jī)制

在新形勢(shì)下的網(wǎng)絡(luò)建設(shè),應(yīng)從網(wǎng)絡(luò)的各個(gè)層面、各個(gè)產(chǎn)品類型的角度考慮全防衛(wèi)的網(wǎng)絡(luò)安全。同時(shí),安全網(wǎng)絡(luò)中的各個(gè)設(shè)備組成之間不是相互獨(dú)立的,而是互動(dòng)式的,通過全新的聯(lián)動(dòng)體系,將網(wǎng)絡(luò)的各個(gè)組成部分安全、可靠的互動(dòng)起來,包括在事先部署的主動(dòng)防御體系,如防火墻、入侵檢測(cè)IDS、安全評(píng)估系統(tǒng)、病毒防護(hù)系統(tǒng)、郵件安全系統(tǒng)等,從而為用戶提供一個(gè)完整的、互動(dòng)式的安全網(wǎng)絡(luò)架構(gòu)[3]。

5.3 事后安全審計(jì)

安全審計(jì)系統(tǒng)必須實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)上和用戶系統(tǒng)中發(fā)生的各類與安全有關(guān)的事件,如網(wǎng)絡(luò)入侵、垃圾郵件、內(nèi)部資料竊取、泄密行為、破壞行為、違規(guī)使用等,將這些情況真實(shí)記錄,并能對(duì)于嚴(yán)重的違規(guī)行為進(jìn)行阻斷。所以在網(wǎng)絡(luò)設(shè)計(jì)之初,選擇防火墻、IDS、郵件過濾系統(tǒng)、防病毒軟件等設(shè)備時(shí)就必須考慮這些設(shè)備是否具備安全日志分析、流量報(bào)表分析等功能。

6 網(wǎng)絡(luò)管理

當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)信息化跟工業(yè)化互相結(jié)合后,網(wǎng)絡(luò)管理就顯得非常重要,而網(wǎng)絡(luò)管理系統(tǒng)對(duì)于有效地進(jìn)行網(wǎng)絡(luò)管理也起著非常重要的作用。通過網(wǎng)絡(luò)管理系統(tǒng)加強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)管,實(shí)現(xiàn)積極、主動(dòng)地網(wǎng)管,及時(shí)進(jìn)行網(wǎng)絡(luò)的管理維護(hù),預(yù)先安排網(wǎng)絡(luò)的維護(hù)計(jì)劃,對(duì)網(wǎng)絡(luò)的運(yùn)行進(jìn)行預(yù)警分析,保障業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn);及時(shí)掌握網(wǎng)絡(luò)的故障情況,并分析其中的規(guī)律;實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)性能,對(duì)網(wǎng)絡(luò)異常情況進(jìn)行追蹤[4]。

在沒有網(wǎng)絡(luò)管理的情況下,網(wǎng)絡(luò)故障的維護(hù)往往是當(dāng)業(yè)務(wù)系統(tǒng)出現(xiàn)問題時(shí),網(wǎng)絡(luò)管理人員才去查找網(wǎng)絡(luò)故障原因,使得網(wǎng)絡(luò)維護(hù)工作總是處于被動(dòng)狀態(tài),影響了業(yè)務(wù)服務(wù)水平,增加了網(wǎng)絡(luò)管理部門的壓力。如果能在系統(tǒng)出現(xiàn)故障時(shí)及時(shí)發(fā)現(xiàn)并定位故障的原因和位置,就能為快速排除故障節(jié)省寶貴的時(shí)間,避免網(wǎng)絡(luò)故障對(duì)業(yè)務(wù)系統(tǒng)的影響,進(jìn)而提高網(wǎng)絡(luò)管理水平和效率。

筆者采用的網(wǎng)絡(luò)管理系統(tǒng)是一個(gè)面向電信網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)的綜合網(wǎng)絡(luò)管理系統(tǒng),采用電信網(wǎng)絡(luò)與IP網(wǎng)絡(luò)結(jié)構(gòu)相結(jié)合的管理體系架構(gòu)設(shè)計(jì),具有管理多個(gè)網(wǎng)絡(luò)、系統(tǒng)及企業(yè)的能力,支持網(wǎng)絡(luò)拓?fù)涔芾怼⒐收瞎芾怼⑴渲霉芾怼⑿阅芄芾怼⒎?wù)器管理、安全管理、報(bào)表管理、客戶管理、網(wǎng)絡(luò)用戶認(rèn)證管理等功能[5]。

7 結(jié)語(yǔ)

該方案是根據(jù)學(xué)院現(xiàn)行的網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃的可實(shí)施方案,不但優(yōu)化了現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu),還實(shí)現(xiàn)了不同認(rèn)證方式的統(tǒng)一管理和不同校區(qū)認(rèn)證計(jì)費(fèi)的統(tǒng)一管理,同時(shí)用二次認(rèn)證方式解決了出口流量過大導(dǎo)致網(wǎng)速過慢的問題,從根本上解決因?yàn)樾滦^(qū)搶占了帶寬而導(dǎo)致老校區(qū)網(wǎng)速慢的問題,從而使新舊校區(qū)的網(wǎng)絡(luò)更好地結(jié)合和充分地利用起來。

[1]李明.論校園網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的若干問題[J].成才之路,2009(2):25.

[2]劉曄.企業(yè)網(wǎng)絡(luò)信息安全研究[J].中國(guó)科技信息,2006(20):15-16.

[3]清華紫光比威公司.網(wǎng)絡(luò)的動(dòng)感地帶[J].信息安全與通信保密,2003(9):61-62.

[4]教育信息化.武昌區(qū)教育城域網(wǎng)解決方案[EB/QL].http://www.edu.cn/jiejue_fangan_1635/20060323/t20060323_123606.shtml, 2005-04-21.

[5]北大青鳥網(wǎng)絡(luò)工程師培訓(xùn).國(guó)內(nèi)主要網(wǎng)絡(luò)管理軟件[EB/QL].http://www.beidaqingniao.org/edu/edu/1755.html,2012-10-25.

[編輯] 張濤

TP393.07

1673-1409(2014)22-0039-03

2014-04-01

魏育華(1983-),男,碩士,工程師,現(xiàn)主要從事計(jì)算機(jī)應(yīng)用、計(jì)算機(jī)網(wǎng)絡(luò)方面的教學(xué)與研究工作。