高校校園網建設需求分析

邱 華

(中國科學院南京分院,江蘇 南京 210008)

0 引言

在信息化時代,校園網是學校內部進行智能化教學、信息化科研、數字化管理的有效途徑,同時也是與外部進行信息資源共享的重要手段。 在當前疫情不穩定的情況下,校園網能夠以豐富的教學模式和教學內容,保障教學進度不受影響,保障學校內外的信息暢通。 其次,校園網為高校師生的科研工作、文獻資料檢索和查閱提供了一條暢通的渠道,是信息化科研管理的前提條件。 第三,校園網能夠提供可靠的管理平臺和便捷的管理方式,是高校管理者和教師進行信息資源共享和協同工作的有力工具。 因此,校園網建設體現了高校的學術水平和管理水平,本文針對當前學校所使用的傳統校園網架構現狀和建設需求開展分析。

1 傳統校園網架構現狀

在傳統校園網架構中,校園網與互聯網連接,由運營商提供接入公網的出口。 某高校當前已有4 000 個左右的信息點接入,其中1 號樓有700 個,2 號樓700 個,3 號樓300 個,4 號樓300 個,5 號樓2 000 個。

傳統二層網絡架構拓撲包含了核心層和接入層,核心層部署了防火墻、核心交換機和無線控制器。 接入層部署了多個接入交換機和POE(Power Over Ethernet,以太網供電)交換機;各樓棟里的AP(Access Point,無線訪問接入點)設備通過POE 交換機連接到核心交換機,并由核心層旁掛在核心交換機的AC 控制器(Wireless Access Point Controller,無線控制器)管理控制。

傳統網絡架構中接入層設備直接連接到核心交換機。 當學校師生人數增加或者業務訪問量較大時,核心層防火墻和核心交換機負擔會比較重,防火墻或者交換機設備有可能出現宕機,從而導致整個校園網會癱瘓。 并且傳統二層網絡架構的帶寬是共享的,當用戶訪問網絡人數多或訪問外網占用較大帶寬時,會出現帶寬不夠的情況;尤其是疫情導致的線上教學、直播課等都會因帶寬不夠,導致課堂效果不佳。 傳統網絡架構中,當電腦終端或手機訪問網絡時,會自動獲取到地址,但是因為地址段是共享的,所以隨著接入用戶增多,會出現不能獲取地址的情況。 傳統二層網絡架構下的網絡具有安全風險,比如某大學在網絡建設初期使用二層網絡架構,后因接入計算機數量急劇增加,遭受到報文攻擊,危害校園網的健康狀況[1]。

2 校園網建設需求分析

通過上文分析得出,傳統二層共享網絡架構會帶來帶寬共享擁塞,用戶接入過多時可能會獲取不到地址導致無法接入互聯網,或嚴重的安全風險。 鑒于此,需要對校園網建設時的需求做進一步分析。

2.1 網絡架構需求

首先進行校園網的網絡架構分析,當前的網絡架構中接入交換機直接連接核心交換機,所有的數據交換都在核心交換機完成,這不僅對核心交換機的配置要求很高,同時承載3 300 人左右的網絡轉發及地址分發,核心交換機的網絡轉發會存在瓶頸。 為了減輕核心交換機的負擔,考慮使用匯聚交換機組成三層網絡架構。 三層網絡架構分別為:第一層為核心層;第二層為匯聚層;第三層為接入層。 每一層的功能明確且彼此獨立,既方便維護,又具有可擴展性。 匯聚交換機比接入交換機性能好,速度快,既能對本地路由、流量進行控制,又能進行對網絡進行物理分區更安全的隔離網絡互不干擾。 考慮到未來校園網發展,匯聚層到核心層可以采用雙路萬兆鏈路聚合,增強整個核心網絡的健壯性。

2.2 網絡分區/模塊化需求

校園網采用了三層網絡架構之后,可以考慮按照校園的功能或者區域,將校園網劃分為多個子網/子區域,這樣可以保證單個分區內部配置量減少且出現故障時可縮小范圍,易于進行網絡管理。 例如根據學校現狀可以劃分為1 號樓分區至5 號樓分區,先從物理上劃分區域,再根據區域內的應用類別(比如設備、客戶端、服務器)進行細化管理。 網絡管理的力度可根據分區的設備、客戶端容納數量計算,比如對固定的有線用戶可以分配靜態地址,對宿舍樓多分配些地址等。

2.3 網絡布線的需求

為了便于以后的進一步擴展,校園網的網絡布線系統應當滿足《數據中心設計規范》等標準,配備配線架、機柜內的設備間保持一定間距,要有合理、清晰的標簽;同時需要滿足多種教學需求,同一個信息點位能夠連接不同類型的設備比如計算機、打印機、教學設備、電話等;實施后的布線系統能夠在現在和將來適應技術的發展;在滿足應用要求的基礎上,再考慮成本。

按照三層網絡架構部署,各個分區均提供千兆網絡接入覆蓋到客戶端,各樓層千兆接入交換機再通過千兆光纖接入匯聚交換機,匯聚交換機通過萬兆光纖接入核心交換機。

2.4 校園網準入認證需求

為實現用戶的集中化和統一管理,對訪問校園網中的用戶提供統一的身份認證,并且可以滿足校園多終端、多樣化的接入認證需求,比如有線客戶端認證;無線用戶的賬號認證、郵箱認證方式、微信認證以及網頁推送認證方式等。 網絡管理時可對不同的用戶類型提供不同的權限和服務,比如教師用戶、學生用戶和外來訪客賦予的權限不同,訪問校園網業務種類不同;比如不同用戶類型具有不同的帶寬大小以及不同的計費方式等。

雖然當前校園網中使用的AC 控制器支持短信認證方式、郵箱認證、微信認證、二維碼認證、賬號認證等方式,也能支持對普通接入交換機和有源以太網(Power Over Ethernet,POE)交換機的管理;但是AC 控制器只能對無線AP 接入的用戶進行認證,無法對有線接入的用戶進行認證。 所以,校園網中需要增加準入認證設備和認證軟件。 當前對智慧校園要求共用一套認證庫,因此準入認證設備的認證庫需要保持與教務、校園一卡通相同的用戶數據,要實現數據庫間完全共享,增加、修改、刪除的數據能夠實時同步。

2.5 無線全覆蓋的需求

當前大部分高校都已建設了萬兆骨干校園網,有線校園網是校園的基礎保障,但是使用有線網必須要有布線才能用,而現代社會很多智能終端包括超薄電腦、平板以及個人手機等都不具備有線網口,那么對可移動性強、成本低、能突破時空限制的無線網要求就越來越高[2]。

在校園網建設中都會建議無線網在校園內全覆蓋。 而無線網全覆蓋既要包含室內區域(如宿舍樓、辦公樓、教學樓等)又要包含室外區域(如操場、廣場及其他相對開闊的地帶)。 安裝AP 的型號、數量以及位置都要根據使用地點、使用人數和使用場景進行初步規劃,然后再通過實際情況調整[3]。 盡可能做到AP 覆蓋區域之間區域不重疊,信號間無干擾,保證所有區域都能實現無線覆蓋。 AP 的安裝方式要盡可能覆蓋更大的范圍,比如AP 安裝可以選擇吸頂式或者掛壁式;用戶密集的地方采用高密AP,用戶松散的地方采用普通AP,學生宿舍區域可以選擇AP 面板等。 這些因素在設計和部署無線網全覆蓋時都要考慮。

2.6 網絡冗余規劃需求

網絡冗余規劃是校園網規劃需求的重要部分,它貫穿于校園網規劃以及運行過程的各個階段,適當的網絡冗余設計不僅能提高校園網可靠性、可用性,也能保障校園網高效、穩定、可靠地運行。 網絡冗余規劃需求包括網絡設備冗余、網絡鏈路冗余、線路冗余等幾個方面。

網絡設備冗余提供由兩臺或兩臺以上設備組成備份關系,當其中一臺設備故障時,備份設備能自動接替其工作,從而提高校園網的穩定性。 網絡設備冗余可以是實時熱備份或者冷備份,根據實際情況來定[4]。

網絡設備模塊冗余主要是指電源冗余、主控板冗余。 模塊冗余是指在設備上增加模塊來達到備份的目的,當一個模塊出現故障時,另一個相同的備份模塊開始工作,避免因單模塊故障導致網絡中斷。 電源冗余會同時使用市電和不間斷電源系統(Uninterruptible Power System,UPS)電源作為輸入;主控板冗余會指核心交換機使用兩個控制板,分別為主用主控和備用主控。 當主用主控失效時,備用主控會自動將自己升為主用主控并接管設備運行,從而保障設備上配置和用戶信息不丟失。

網絡鏈路冗余是指多條物理鏈路的備份,當校園網中某條物理鏈路失效時,冗余備份鏈路可以提供另一條可用的物理鏈路。 在三層網絡架構中,核心交換機轉發的流量非常龐大,一旦核心交換機故障會導致整個核心網絡癱瘓。 所以可在核心交換機與匯聚層交換間使用冗余連接也即使用鏈路聚合,既能實現鏈路保護又能增加鏈路總帶寬。 但是鏈路冗余會導致環路問題, 此時需要使用生成樹協議(Spanning Tree Protocol,STP)來預防環路。

服務器冗余則通過設備冗余的方法,使用多個服務器組成主、備關系,當主服務器故障時,備用服務器可繼續接替工作以提供連續的服務器應答能力,主要體現在網卡冗余、存儲冗余、電源冗余、風扇冗余等。

線路冗余可通過增加不同層級設備間的傳輸線纜來實現冗余物理線路,增加了線路故障的備用線路。同時,可在校園網出口處增加互聯網服務提供商提供線路出口互聯網服務提供商(Internet Service Provider,ISP),保證有多條出口路由。 多ISP 線路不僅可以是同一互聯網服務提供商提供,也可以是不同互聯網服務提供商提供,當使用同一運營商不同的多ISP 線路時,不同的ISP 線路要使用不同的鋪設線路(物理鏈路),以免在施工過程中會誤挖斷一根ISP,可以保證其它 ISP 線路繼續可用,保證網絡正常運行。

路由冗余備份是為了增加匯聚層到核心交換機的備份路由,備份路由可使用動態路由協議或靜態路由協議,當主路由在邏輯鏈路或物理鏈路發生故障時,備份路由可以自動生效,可提高核心層設備間的可靠性。

網絡冗余規劃可以保障校園網高效、穩定地運行。但是冗余規劃會增加校園網建設的投資,但是這種投資卻可以提升校園網的高可用性和高可靠性,使得網絡傳輸更穩定。

在當前校園網架構下考慮在核心層增加電源冗余、核心層設備間冗余、設備內主控板冗余,在核心交換機和匯聚交換機間使用多條物理鏈路聚合。

2.7 網絡安全需求

在校園網接入互聯網后,師生都可以通過校園網使用自己的電腦或手機接入。 如果網絡安全沒有做到位,互聯網上的有害信息會在校園內廣泛傳播。 另外,互聯網病毒可以通過外部訪問介質(如移動硬盤等)、網絡傳播(如網頁、電子郵件等)、設備終端系統或應用軟件的漏洞(比如在某應用軟件的漏洞植入病毒)等方式入侵,而這些病毒會潛伏到系統中竊取用戶隱私或者占滿電腦的中央處理器(Central Processing Unit,CPU)和內存導致用戶電腦無法正常運行[5]。 高校財務系統、監控系統、信息發布系統等不能發布到外網上,只能在校內訪問。 而偽裝成校內人員的黑客有可能通過非正常手段對這些系統進行攻擊,造成學校師生信息、財務信息以及校內的安全監控等被獲取,不僅造成學校的經濟損失也會對師生的人身安全造成影響。

對校園網的惡意破壞涉及硬件和軟件兩個方面。硬件方面是指非法人員通過非正常手段對機房內的設備,安裝在各樓棟的接入交換機、POE 交換機以及AP進行人為破壞,一旦這些網絡設備被損壞,校園網有可能全面或部分斷網。 軟件方面的惡意破壞是指對校園網系統的破壞比如攻擊校園網網站和服務器等,這會對校園網都造成致命影響。 一些好奇心和求知欲強的學生對黑客攻擊手段總想躍躍欲試,會在校園網內將自學到的黑客方法進行驗證。 因此,對于在校學生的法律意識和安全意識都要加強教育,同時也要制定相關的網絡安全管理規定,加強對校園網的管理。

因此,在校園網建設時就要在校園網出口、核心層以及各業務系統間增加防火墻、入侵防御、入侵檢測、上網行為管理、漏洞掃描、日志審計等網絡安全設備。

2.8 網絡管理需求

為了確保校園網的穩定運行,網絡管理也是校園網很重要的組成部分。 網絡管理的基本功能有故障管理、配置管理、性能管理、安全管理以及計費管理[6]。故障管理可檢測故障,網絡管理員對故障進行定位、分析以及修復;配置管理是對網絡設備的初始化、維護以及修改配置參數;性能管理需要監測網絡設備關鍵參數的性能指標,用于評估網絡資源的運行狀況等;安全管理保護校園網不受攻擊、破壞等;對于不收費的高校來說,計費管理可以不用考慮。 對于網絡管理工具的選擇要考慮適用于全網的網管軟件,能對整個校園網絡進行用戶管理和設備管理,當任何設備出現異常及時告警,幫助網絡管理中心及時發現問題,解決問題。

2.9 模塊化機房

網絡中心機房作為學校內部的核心區域,其建設規劃也很重要;傳統的網絡機房工程建設周期長、投入高,后期很難擴充,需要專人看護。 而模塊化機房將機柜、電源、空調和環控等系統整合在一起,在機房內實現恒溫恒濕。 后期擴充時,可按模塊進行擴展,批量復制,可實現快速部署以適應發展需求,既能實時監控,也能實現智能管理。 使用模塊化機房可以達到節約機房運營成本的目的。

3 結語

當前社會處在信息發展的新時代,隨著云計算、人工智能、物聯網等信息技術的快速發展,對承載這些信息技術的基礎環境要求越來越高。 在校園網建設初期,就要全面地分析校園網使用場景和核心要求,結合文中的需求分析要素,提煉出明確的校園網建設需求,這些需求在校園網建設中會起到至關重要的指導作用。