新一代校園網(wǎng)絡(luò)架構(gòu)的仿真與優(yōu)化研究

摘 要： 信息技術(shù)日新月異，隨著高校校園網(wǎng)出現(xiàn)的技術(shù)與設(shè)備老化、網(wǎng)絡(luò)性能日益下降以及其運行過程中受到新網(wǎng)絡(luò)安全問題不斷威脅的現(xiàn)象，升級改造成高效、穩(wěn)定、快捷的新一代校園網(wǎng)絡(luò)架構(gòu)已勢在必行。要對校園網(wǎng)絡(luò)進行整體改造，需要投入巨大的資金，所以在改造之前應(yīng)該利用各種手段進行調(diào)研和分析。網(wǎng)絡(luò)仿真技術(shù)可以對新協(xié)議進行初步實現(xiàn)和驗證，并有利于及時調(diào)整和改進。結(jié)合網(wǎng)絡(luò)技術(shù)和硬件產(chǎn)品，利用GNS3網(wǎng)絡(luò)仿真軟件對真實校園網(wǎng)環(huán)境進行全網(wǎng)仿真還原，并通過對仿真網(wǎng)絡(luò)的測試、分析，提出新一代校園網(wǎng)絡(luò)架構(gòu)的配置優(yōu)化、架構(gòu)優(yōu)化和安全優(yōu)化的方案。

關(guān)鍵詞： 校園網(wǎng)； 網(wǎng)絡(luò)仿真； GNS3； 網(wǎng)絡(luò)優(yōu)化

中圖分類號： TN926?34； TP393.18 文獻標識碼： A 文章編號： 1004?373X（2016）14?0069?04

Simulation and optimization of a new generation campus network architecture

JIANG Jianjun1， CHEN Jingdong2

（1. School of Electronic Information， Shanghai Dianji University， Shanghai 200240， China；

2. Institute of Electrical Engineering， Shanghai University of Engineering Science， Shanghai 201620， China）

Abstract： With quick change of IT（Information Technology） advances， but the technology and equipment aging of campus network， the increasing decline of network performance， and the phenomenon of constant threat from new network security issues occurring in the course of its operation， it is imperative to upgrade and remould next?generation campus network architecture to make it efficient， stable and efficient. However， the overall transformation of a campus network needs to invest heavy funds， so all means must be used to conduct the relative research and analysis before the transformation. The network simulation technology is an ideal means to achieve the preliminary implementation and verification of a new agreement， because it is in favour of timely adjustment and improvement. In combination with the network technology and hardware products， the network simulation software GNS3 （Graphical network simulator V3.0） is adopted to restore the entire network simulation for a real campus network environment. The simulated network was tested and analyzed. According to the results， a scheme for configuration optimization， architecture optimization and security optimization of the new generation campus network is put forward in this paper.

Keywords： campus network； network simulation； GNS3； network optimization

0 引 言

隨著教育信息化的迅猛發(fā)展，校園網(wǎng)在學(xué)校教學(xué)、科研和管理等方面發(fā)揮的作用也越來越大。隨著網(wǎng)絡(luò)規(guī)模的擴大、應(yīng)用服務(wù)的增加和新的需求的不斷出現(xiàn)，原有校園網(wǎng)勢必需要改造或升級換代。這些升級的需求的例子包括網(wǎng)絡(luò)的吞吐量、高可靠性、安全性和策略管理等。要進行校園網(wǎng)絡(luò)整體改造的資金投入巨大，而網(wǎng)絡(luò)仿真軟件可以為網(wǎng)絡(luò)實驗提供一個良好的環(huán)境，并極大地降低成本，因此本文通過GNS3（Graphical Network Simulator V3.0）仿真軟件并結(jié)合思科網(wǎng)絡(luò)設(shè)計的生命周期來對某高校校園網(wǎng)進行一個仿真的評估與優(yōu)化，GNS3是一個可以仿真復(fù)雜網(wǎng)絡(luò)的圖形化網(wǎng)絡(luò)仿真軟件，它可以運行在Windows，Linux，MAC OS上，允許在虛擬環(huán)境中運行思科的IOS。與Packet Tracer網(wǎng)絡(luò)仿真軟件相比，GNS3能更好地仿真路由與交換的功能，并且GNS3在功能上面多得多，諸如冗余用的HSRP功能等[1]。GNS3是基于Dynamips來進行仿真的，Dynamips作為一款十分優(yōu)秀的路由器仿真軟件，通過在計算機中構(gòu)建運行IOS的虛擬機上來真正運行IOS實現(xiàn)對路由器的仿真，實驗仿真效果真實可信[2]，可供從事于校園網(wǎng)絡(luò)設(shè)計人員參考。本課題研究分以下3個階段：

（1） 分析階段。對現(xiàn)有研究的對象即高校校園網(wǎng)絡(luò)和所依存的網(wǎng)絡(luò)系統(tǒng)進行初步分析，根據(jù)一定的信息和參數(shù)進行匯總，對網(wǎng)絡(luò)性能和安全性方面進行描述。

（2） 仿真階段。就是通過仿真軟件設(shè)計出高校校園網(wǎng)合理的網(wǎng)絡(luò)配置環(huán)境，建立拓撲圖和具體配置參數(shù)，在現(xiàn)實的網(wǎng)絡(luò)層上實現(xiàn)對網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)行為和網(wǎng)絡(luò)性能的測試。

（3） 優(yōu)化階段。應(yīng)用仿真軟件，對網(wǎng)絡(luò)架構(gòu)和具體參數(shù)進行優(yōu)化，和之前的網(wǎng)絡(luò)系統(tǒng)進行對比，并分析運行的效果。在此基礎(chǔ)之上通過理論建立針對于高校的網(wǎng)絡(luò)架構(gòu)的規(guī)劃模型，作為一個完整項目方案規(guī)劃進行展示[3]。

1 校園網(wǎng)仿真

首先對某高校校園網(wǎng)規(guī)模進行分析，對各種設(shè)備進行策略的規(guī)劃，并對校園網(wǎng)進行適當?shù)暮喕Ｔ偈褂肎NS3仿真其交換和路由設(shè)備、終端設(shè)備、以及DHCP服務(wù)器，并在其中加入負載均衡和防火墻的功能[4]。

1.1 拓撲搭建

根據(jù)校園網(wǎng)的拓撲，對于核心層、匯聚層、接入層進行拓撲搭建，由于接入層交換機設(shè)備過多，故做一個簡化，并把一些交換網(wǎng)絡(luò)以上的設(shè)備進行仿真。

1.2 交換網(wǎng)絡(luò)仿真

此次校園網(wǎng)的仿真分為廣域網(wǎng)和學(xué)校內(nèi)網(wǎng)兩個部分。交換網(wǎng)絡(luò)作為校園網(wǎng)一個重要的組成部分，這個交換網(wǎng)絡(luò)稱之為學(xué)校的內(nèi)網(wǎng)。學(xué)生客戶端通過無線連接進入校園網(wǎng)，教師工作區(qū)域使用的客戶端，以及存在于校園網(wǎng)的服務(wù)器，都是在這交換網(wǎng)絡(luò)中集成。

最終仿真的效果：能夠從客戶端通過核心交換進行數(shù)據(jù)包轉(zhuǎn)發(fā)，達到全網(wǎng)互通，客戶端可以通過DHCP服務(wù)器進行IP地址的分配。思科雙核心交換的冗余效果能夠達到，訪問控制列表能夠正常生效，來阻止外網(wǎng)未經(jīng)允許的訪問[5]。

1.3 防火墻仿真

防火墻的仿真主要通過訪問控制列表ACL策略來仿真到外網(wǎng)數(shù)據(jù)包過濾的效果，以及控制內(nèi)網(wǎng)的一些數(shù)據(jù)外傳。主要命令如下：

1.4 負載均衡仿真

負載均衡效果以靜態(tài)路由和策略路由的方式仿真，目前校園網(wǎng)中用的負載均衡設(shè)備可以將校園網(wǎng)內(nèi)部的流量分別按一定策略分配到5條ISP線路，以避免所有流量全集中在一條線路上，而導(dǎo)致流量擁塞。負載均衡系統(tǒng)提供的主要功能有：鏈路負載均衡；動態(tài)智能解析；服務(wù)器負載均衡；網(wǎng)絡(luò)地址轉(zhuǎn)換。

1.5 運營網(wǎng)關(guān)仿真

一般而言，互聯(lián)網(wǎng)服務(wù)提供商的路由器中運行的是外部路由協(xié)議，如BGP（Border Gateway Protocol），ISIS（Intermediate System to Intermediate System）等[6]，本次校園網(wǎng)仿真并不需要使用并涉及到這些部分，而是針對校園網(wǎng)內(nèi)部的仿真與優(yōu)化。

互聯(lián)網(wǎng)服務(wù)提供商外網(wǎng)的仿真主要使用靜態(tài)路由和默認路由相結(jié)合的形式，路由選路原則如下：

（1） 最長子網(wǎng)掩碼匹配；

（2） 管理距離；

（3） 度量值；

（4） 三個都一樣，則負載均衡。

部分靜態(tài)路由命令參數(shù)如下：

1.6 仿真效果

整體設(shè)計如圖1所示。其中包括1臺因特網(wǎng)仿真設(shè)備，5臺運營商網(wǎng)關(guān)設(shè)備，1臺負載均衡設(shè)備，1臺防火墻，2臺核心交換機，4臺匯聚層交換機，8臺接入層交換機，3臺服務(wù)器，以及7臺終端計算機。

2 校園網(wǎng)優(yōu)化

通過對校園網(wǎng)的仿真與分析，發(fā)現(xiàn)校園網(wǎng)中存在很多可優(yōu)化的部分。優(yōu)化的目標是建成一個高性能、高可用的校園網(wǎng)絡(luò)。本次優(yōu)化基于以下兩方面：第一種優(yōu)化是面向命令配置參數(shù)的優(yōu)化，使網(wǎng)絡(luò)中的設(shè)備負載分擔更加均衡，以及設(shè)備策略運行的效率更高，并且更加安全[7]；第二種優(yōu)化，主要側(cè)重于理論架構(gòu)，先從本身的拓撲結(jié)構(gòu)入手，利用好已有設(shè)備，同時再結(jié)合目前信息化技術(shù)的發(fā)展，結(jié)合實際工作經(jīng)驗合理規(guī)劃一個綜合的新一代網(wǎng)絡(luò)架構(gòu)。通過高性能核心交換機重新構(gòu)建全冗余支持萬兆主干的網(wǎng)絡(luò)架構(gòu)。各區(qū)域匯聚設(shè)備采用萬兆線路連接到主干網(wǎng)絡(luò)設(shè)備上，并可在將來擴充為多條萬兆鏈路捆綁的方式，增大區(qū)域和主干網(wǎng)絡(luò)之間的帶寬。實現(xiàn)校內(nèi)萬兆主干網(wǎng)絡(luò)、萬兆到樓宇、千兆到桌面的新一代校園網(wǎng)絡(luò)架構(gòu)。在優(yōu)化網(wǎng)路過程中，為了保護網(wǎng)絡(luò)上數(shù)據(jù)的安全性，提供多種方式和層次的訪問控制，通過使用網(wǎng)絡(luò)用戶身份識別、VLan、包過濾、入侵檢測及防火墻等技術(shù)來保證網(wǎng)絡(luò)系統(tǒng)的安全性[8]。

2.1 冗余協(xié)議優(yōu)化

校園網(wǎng)命令與配置并不是非常高效，從這些命令配置的效率上還有很多的提高空間。從負載性能、系統(tǒng)資源占用、協(xié)議的運用、以及端口的一些安全策略上，都有很大的優(yōu)化空間，其中熱備份路由器協(xié)議（HSRP）導(dǎo)致設(shè)備利用效率過低，互備的兩臺核心設(shè)備為一主一備，不能合理利用資源，做到同時使用。解決方案有以下兩種：

（1） 不變換協(xié)議，進行配置優(yōu)化。效果：多組分擔流量，把本身集中于一臺主用設(shè)備上的流量分配到兩臺利用起來。用多個熱備份組并存或重疊，每個熱備份組模仿一個虛擬路由器工作，它有一個虛擬IP地址。該虛擬IP地址、組內(nèi)路由器的接口地址、主機在同一個子網(wǎng)內(nèi)，但是不能一樣。當在一個局域網(wǎng)上有多個熱備份組存在時，把主機分布到不同的熱備份組，這樣就可以使負載得到分擔。

（2） 使用GLBP協(xié)議。可以使用GLBP協(xié)議做到動態(tài)負載均衡，GLBP允許客戶端通過獲得不同的虛擬MAC地址，通過不同的路由器轉(zhuǎn)發(fā)數(shù)據(jù)，因為客戶端利用的地址是解析到的虛擬的MAC地址，而網(wǎng)關(guān)地址仍使用相同的虛擬IP，這樣不但實現(xiàn)了冗余還能夠負載均衡[9]。在GNS3仿真軟件中使用“方案2”部署了GLBP后，運行情況如圖2所示。

2.2 運行效率優(yōu)化

木桶原理說到木桶里能裝的水的最大量取決于最短的那塊木板。同樣在網(wǎng)絡(luò)中，性能最差的設(shè)備也會影響到網(wǎng)絡(luò)的整體性能。因此在一個網(wǎng)絡(luò)的整體，各個區(qū)域不能有短板，要綜合，這樣才是提升整個校園網(wǎng)絡(luò)的數(shù)據(jù)傳輸性能的良策。雖然目前校園網(wǎng)絡(luò)中仍存在很多老設(shè)備，但是經(jīng)過配置簡化對運行效率一定是有幫助的，主要有訪問控制列表（ACL）配置優(yōu)化和路由表匯總簡化。

（1） 訪問控制列表（ACL）配置優(yōu)化。ACL通過過濾數(shù)據(jù)包并且丟棄不希望抵達目的地的數(shù)據(jù)包來控制通信流量。然而，網(wǎng)絡(luò)能否有效地減少不必要的通信流量，這還要取決于ACL放置的位置。根據(jù)減少不必要通信流量的通行準則，應(yīng)該盡可能地把ACL放置在靠近被拒絕的通信流量的來源處。ACL的執(zhí)行算法過程如圖3所示。

根據(jù)以上算法，對匹配條目進行最簡化，在不影響效果的情況下，最大化效率，很明顯規(guī)則越少，執(zhí)行效率就會越高。

（2） 路由表匯總簡化。路由表保存在路由器的內(nèi)存中，如果能把一些條目進行簡化，那么是可以為路由交換機減輕負擔提高效率的。按照子網(wǎng)掩碼的掩碼長度的變更達到的匯總效果，從14條路由條目減少到7條，減少量達50%。

2.3 安全優(yōu)化

接入層網(wǎng)絡(luò)需要考慮ARP欺騙和DHCP等安全問題的防范。

（1） DHCP攻擊基本防范。首先定義交換機上的信任端口和不信任端口，對于不信任端口的DHCP報文進行截獲和嗅探，DROP主要來自這些端口的非正常DHCP報文。

（2） ARP欺騙防范。思科Dynamic ARP Inspection （DAI）在交換機上提供IP地址和MAC地址的綁定，并動態(tài)建立綁定關(guān)系。DAI以DHCP Snooping綁定表為基礎(chǔ)，對于沒有使用DHCP的服務(wù)器個別機器可以采用靜態(tài)添加ARP access?list實現(xiàn)。DAI配置針對VLan，對于同一VLan內(nèi)的接口可以開啟DAI也可以關(guān)閉。通過DAI可以控制某個端口的ARP請求報文數(shù)量。通過這些技術(shù)可以防范ARP攻擊[10]。

2.4 理論框架優(yōu)化

從目前信息化技術(shù)發(fā)展的速度來看，新技術(shù)不斷的出現(xiàn)，新的網(wǎng)絡(luò)產(chǎn)品更新?lián)Q代，提供了更多的功能，更高的吞吐量以及更快的響應(yīng)速度。綜合校園網(wǎng)的目前狀況，從長遠的角度上看，需要在性能、安全和功能性做一個整體的考慮，設(shè)計一個具有前瞻性的校園網(wǎng)優(yōu)化方案。宗旨是利用好現(xiàn)有設(shè)備，最優(yōu)化配置，增加一些新產(chǎn)品達到安全和功能上的完善[11]。校園網(wǎng)架構(gòu)優(yōu)化方案，如圖4所示。

3 結(jié) 語

本文針對某高校的校園網(wǎng)絡(luò)仿真，并在仿真實驗的基礎(chǔ)上提出優(yōu)化方案。目前，升級改造項目正在根據(jù)本設(shè)計思路逐步實施，項目進展情況良好，系統(tǒng)正穩(wěn)定運行。本文結(jié)合實際網(wǎng)絡(luò)環(huán)境，從終端設(shè)備、接入層、匯聚層、核心層到因特網(wǎng)利用GNS3軟件完成了全網(wǎng)整體的仿真還原與設(shè)計，仿真所涉及的是技術(shù)有：路由交換網(wǎng)絡(luò)、負載均衡策略、HSRP冗余策略、防火墻策略以及DHCP等；優(yōu)化中涉及的是配置優(yōu)化和架構(gòu)優(yōu)化，如HSRP協(xié)議配置優(yōu)化，GBLP運用優(yōu)化，ACL和路由表應(yīng)用優(yōu)化，以及在架構(gòu)上涉及性能性、冗余性、高效性、功能性和安全性的優(yōu)化；同時結(jié)合思科、銳捷、天融信、城市熱點、深信服、Array等多家廠商產(chǎn)品集成調(diào)試，為高校提供了優(yōu)化后的新一代校園網(wǎng)絡(luò)架構(gòu)方案。

參考文獻

[1] 梁廣民，王隆杰.思科網(wǎng)絡(luò)實驗室CCNP（路由技術(shù)）實驗指南[M].北京：電子工業(yè)出版社，2012.

[2] 王麗娜，劉炎.基于GNS3的冗余網(wǎng)絡(luò)仿真[J].實驗室研究與探索，2013，32（8）：55?59.

[3] 徐波濤.校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計與工程實踐[D].北京：北京郵電大學(xué)，2012.

[4] 劉雪飛，閆欣，吳伯橋.GNS3搭建網(wǎng)絡(luò)虛擬環(huán)境實踐[J].電腦知識與技術(shù)，2012，8（13）：3019?3021.

[5] 常潘.Cisco無線局域網(wǎng)配置基礎(chǔ)[M].北京：電子工業(yè)出版社，2011.

[6] PARKHURST W R.Cisco BGP?4命令與配置手冊[M].朱劍云，王曉磊，譯.北京：人民郵電出版社，2011.

[7] 劉衛(wèi)斌.以太網(wǎng)環(huán)路保護協(xié)議STP研究[D].南京：南京理工大學(xué)，2008.

[8] 王振武.NetFlow交換及其在網(wǎng)絡(luò)管理中的應(yīng)用[J].微電腦世界，2002（13）：77?79.

[9] 趙忠鑫.GLBP技術(shù)在銀行網(wǎng)絡(luò)中的應(yīng)用[J].計算機光盤軟件與應(yīng)用，2012（6）：70.

[10] 諸葛建偉.網(wǎng)絡(luò)攻防技術(shù)與實踐[M].北京：電子工業(yè)出版社，2011.

[11] PARK Hyungbae， CHOI Baek?Young， SONG Sejun. Understanding the health of an access network [C]// Proceedings of 2011 Third International Conference on Ubiquitous and Future Networks. [S.l.]： ICUFN， 2011：273?278.