校園網絡升級改造方案設計與實現

何建新+張松明+王思琪+周文芳

DOI：10.16644/j.cnki.cn33-1094/tp.2016.02.017

摘 ?要： 以湖南城市學院數字化校園建設為背景，全面分析了網絡運行現狀及存在的主要問題，從加強校園基礎網絡平臺建設出發，完成了網絡升級改造方案設計并提出了具體實施步驟。該升級改造方案的實施，加快了學校數字化校園建設步伐，有效提升了學校信息化建設的整體水平。

關鍵詞： 校園網絡; 升級改造; 設計; 實現

中圖分類號：TP393 ? ? ? ? ?文獻標志碼：A ? ? 文章編號：1006-8228（2016）02-56-05

Design and implementation of campus network upgrading scheme

He Jianxin， Zhang Songming， Wang Siqi， Zhou Wenfang

（College of Information Science and Engineering， Hunan City University， Yiyang， Hunan 413000， China）

Abstract： On the background of Hunan City University construction of digital campus，the present situation and the main problems of the network operation are analyzed. Starting from strengthening the construction of the campus network platform， the network upgrade scheme design is completed and the specific implementation steps are put forward. The implementation of the upgrade scheme， greatly accelerated the pace of school digital campus construction， and effectively improved the overall level of school information construction.

Key words： campus network; upgrading; design; implementation

0 引言

湖南城市學院是2002年3月經教育部批準組建的全國內陸第一所以“城市”命名的省屬普通本科院校，現有校園面積1568畝，建筑面積49.25萬平方米，設有16個二級學院，46個本科專業，在校學生17000余人，教職員工1200余人。學院立足行業，面向基層，突出城市主題，培養為城市和區域經濟社會發展服務的高級應用型人才。

如今，校園網絡流量與日俱增，網絡帶寬已經成為了制約學校校園網絡新興業務開展的瓶頸;由于校園網絡環境日益復雜，網絡管理效率低，校園網絡通信正面臨嚴峻的安全挑戰。隨著湖南城市學院校園二期工程建設的整體推進，加快了學校數字化校園建設步伐，這對提升學院信息化水平和校園網絡升級、改造提出了迫切要求。

1 網絡運行現狀及問題分析

根據校園網“統一規劃、基礎先行、面向需求、分步實施”的建設思想，學校先后多次改造和完善校園網絡，數字化校園建設取得了階段性成果。經過十多年的發展，目前已建成了一個以千兆光纖為主干，覆蓋學校教學區、辦公區、生活區等所有建筑的大學園區網絡。校園網絡按“三層”結構部署，共有交換機350多臺;采用結構化綜合布線，1000M光纖到樓棟，100M超五類雙絞線到桌面，光纖總長度達30多公里;網絡接入信息點11200多個，接入計算機6000多臺，網絡用戶達18000多人;校園網絡多出口帶寬達2400M，采用山石網科多核安全網關SG6000為網絡提供安全控制和接入管理;建立了課程資源、數字化期刊等數字資源庫，并實現了資源共享;部署了教務管理、財務管理、OA系統等九個管理信息系統軟件;建立了校園一卡通、數字監控、數字廣播、無線網絡等應用系統。升級改造前的校園網絡拓撲結構如圖1所示。

對照教育部《教育信息化十年發展規劃（2011-2020）》[1]和本科教學合格評估指標體系要求，目前學校數字化校園建設還存在較大差距，綜合分析我們認為主要存在以下問題。

⑴ 校園主干網絡設備檔次偏低、技術落后、性能低下，骨干設備和主干鏈路無冗余，校園網絡穩定性、可靠性無法保障。

⑵ 網絡層次結構不清晰，存在多級級聯現象，無法滿足當前校園網絡性能要求。

⑶ 網絡管理與安全體系不完善，沒有專業的安全認證系統，網絡容易受到攻擊，存在嚴重的安全隱患;缺少必要的網絡管理和監測設備，校園網絡管理和維護效率低，難度大。

⑷ 上網高峰期網絡速度慢，缺乏可靠、安全的流量管理解決方案。

⑸ 部分匯聚層與接入層設備不支持IPv6雙協議棧，無法實現IPv6的大規模部署。

2 校園網絡升級改造方案設計

2.1 網絡架構設計

基于校園信息化建設的網絡應用需求、網絡安全與管理需求、網絡出口需求、強大數據中心建設需求，從加強校園基礎網絡平臺建設出發，對原網絡核心區域和匯聚區域相關設備進行遷移、替換，設計并實現匯聚層區域結構管理，在保持網絡出口不變的情況下，對校園網絡體系結構實現大數據大二層、網絡扁平化改造[2-3]。升級改造后的網絡拓撲如圖2所示。

2.1.1 核心層骨干網設計

將校園網絡升級為雙核心網絡，新增兩臺高端多業務核心路由交換機H3C S12510-X，將原核心S9312下移作為學生區匯聚。為滿足核心層在速度、穩定及冗余等方面需求，核心層設計主要采取以下措施。

⑴ 采用IRF2虛擬化技術[4]。兩臺核心通過IRF2（Intelligent Resilient Framework 2）虛擬化成一臺設備， 兩臺核心之間通過四條萬兆光纖線路捆綁互聯。

⑵ 主干鏈路冗余保障網絡可靠性。各匯聚層設備分別與兩臺核心設備通過雙萬兆鏈路互聯，保證主干鏈路數據傳輸的可靠性。

⑶ 簡化核心層各類策略配置。核心設備的主要任務是實現高速數據轉發及可靠性保證。把原接入層、匯聚層業務網關上移到新核心，盡量不使用策略路由、ACL等配置，提高核心設備工作效率。

2.1.2 匯聚層區域設計

匯聚區可對二層協議進行隔離，防止風暴類攻擊蔓延到匯聚區外。基于園區網絡規模，每個匯聚區域不宜太大也不宜太小，保持300至500個可直接管理的信息點數比較適宜。本次網絡改造，改進原網絡一般以單一建筑為單位形成匯聚區的模式，結合學校二期工程建設和學校建筑布局，對物理環境有效區域進行了匯聚層劃分，采用高性能匯聚設備來實現多匯聚層結構。具體實現方法如圖2所示。土木樓、市測樓、建規樓、2教學樓形成一個匯聚區;信息樓、電信樓、化工樓、1和3教學樓形成一個匯聚區;體育館、音樂樓、美術樓等小樓棟形成匯聚區;辦公樓、圖書館、朝陽家屬區形成單模區;惠澤園教工家屬區、學生區、新食堂及監控形成多模區。各樓棟匯聚設備分別以雙路由模式與骨干區域核心設備連接，確保匯聚區與核心區的連接可靠性。

2.1.3 接入層設計

升級接入層交換設備為全部支持IPV6的三層智能交換機，支持安全控制、安全檢測與自動防護功能，有效控制ARP、網絡蠕蟲等主流網絡病毒傳播途徑，自動檢測并阻斷病毒的攻擊行為，確保整個校園網絡安全。將校園網接入層存在的二級或者二級以上級聯組網方式改造成一級級聯方式，即接入交換機直接上聯到匯聚交換機，保證樓道交換機的上聯帶寬。接入交換機提供POE端口，連接增強型無線AP，實現各樓宇樓層的無線寬帶接入。

2.2 路由設計

改造后的校園網是一個由兩個核心、各匯聚和接入交換機構成的三級綜合性網絡。網絡核心節點和各匯聚節點間采用OSPF路由協議進行連接。本次網絡改造的OSPF路由設計由2臺S12510-X核心路由交換機、9臺匯聚交換機、1臺流量控制設備和1個出口設備（防火墻）組成主干區（area0），其他每個匯聚區域形成獨立子區域，分別與主干區域相連，形成覆蓋整個校園的自治系統。在主干區域實現路由匯總，并為其他各應用區域提供路由信息交換的高速通道。

2.3 智能流量管理解決方案

雖然學校嘗試過采取一系列進行流量控制與管理的設備和技術，但面對高校龐大的用戶群和復雜的應用環境，均難以達到理想效果。針對學校網絡現狀和實際需求，本次升級改造方案采用Hillstone最新推出的智能下一代防火墻SG6000-T5060作為流量管理設備，以透明模式串聯部署在出口防火墻和內網核心交換機之間，通過萬兆光纖與上下設備互聯，實現面向用戶和應用的流量管理。根據需求對校園網絡用戶依據角色、應用、時間等多個維度進行流量管控，特別是在上網高峰時段為重要的網絡應用提供資源保障。

2.4 多出口鏈路負載均衡設計

在校園網絡出口設計中，采用H3C高性能的S7503E-S多業務負載均衡交換機，配合高性能負載均衡插卡，實現多出口情況下多鏈路的路由智能選擇，保證內部用戶選擇最優線路訪問Internet。通過對鏈路狀態實時精確檢測，選擇合適調度算法，確保數據流量在各條鏈路上的均衡分配。在多運營商接入情況下，為Internet用戶智能選路，通過最優線路訪問內網服務器。

2.5 無線校園網絡設計

本次改造無線組網方案采用瘦AP架構，數據中心部署萬兆無線控制器AC，通過雙鏈路連接核心交換機實現對校區內所有無線AP集中統一管理、控制與配置下發。無線AP實現無線信號加密、解密以及用戶終端無線信號接入，通過交換用戶認證信息，實現用戶漫游。在辦公樓、教學樓、學生宿舍等同樓層房間數量較多的場合，將AP安裝在走廊墻壁并采用定向天線，適當調整天線角度，以覆蓋指定區域。在圖書館、學術報告廳等無線用戶高密度區域，采用2.4G和5G雙波段無線覆蓋方式增加用戶接入能力。通過降低AP發射功率，實現同頻重疊最小化，有效實現用戶接入均衡分擔。無線網絡認證采用Portal認證方式，簡單易用，特別適合無線校園網絡大量用戶同時認證與訪問需求。

2.6 數據中心升級改造

數據中心是校內所有信息系統的承載區域，其升級改造不僅要滿足現階段數據中心接入需求，同時還要滿足未來虛擬化、云計算環境需求。

⑴ 數據中心物理服務器部署

數據中心所有物理服務器組成內網服務器群，連接數據中心接入交換機S5700。S5700提供雙電源、高密度萬兆端口，使用萬兆多模雙鏈路上連核心交換機，確保數據中心接入交換機的性能及可靠性。

⑵ 數據存儲服務區建設

數據存儲服務區由2臺數據庫服務器、3臺虛擬服務器、1臺備份服務器和高性能存儲設備組成，形成基于云計算的高校資源共享服務平臺，采用萬兆多模雙鏈路直連核心交換機，提供對學校各種信息資源查詢，有提供高容量、高可靠的存儲能力。

2.7 網絡安全解決方案

本次改造方案分別從可靠性網絡系統設計，服務器可靠性、遠程訪問安全、防病毒體系和多鏈路構建等多方面來提升校園網絡安全性[5]。

網絡出口部署防火墻有效地將內網與外網隔離開來，保護校園網絡不受未經授權的第三方侵入。運行關鍵業務的服務器組成雙機熱備系統，采用RAID1和RAID5相結合方式保護數據。采用IPSec VPN或SSL VPN方式來滿足校外用戶的遠程訪問安全。采用防病毒軟件、VLAN隔離、訪問控制列表相結合方式組成病毒防御體系。為保證接入用戶合法性，采用傳統的802.1X認證方式，通過認證后用戶本地信息上傳到認證服務器，為后續用戶審計提供參考依據。

2.8 網絡設備管理

采用H3C的IMC網絡設備管理系統實現網絡設備的集中統一管理。該系統能兼容所有主流網絡產品，對所有設備的關鍵性數據進行實時監控，能主動發現問題并自動報警，直接告知故障點和故障原因。靈活的告警設置可以實時地提示管理員網絡中發生的各種事件，從而大大提高網絡管理效率。

3 校園網絡升級改造方案實現

3.1 網絡改造設備選型

新增核心路由交換機H3C S12510-X（2臺），采用“分布式入口緩存”技術，可以實現數據200ms緩存，滿足數據中心、高性能計算等網絡突發流量的要求。新增3臺S7006分別作為辦公樓、圖書館和二期工程建設新建樓棟的大二層匯聚。新增匯聚交換機8臺S5500分別作為教學區和實驗區等樓棟的匯聚設備。S7006、S5500支持IPv4/IPv6硬件雙棧及線速轉發，具有出色的安全性、可靠性和多業務支持能力。替換部分接入層交換機為H3C E152以支持IPV6，支持防ARP攻擊、端口環路檢測、單向鏈路檢測功能。

3.2 IP地址與VLAN規劃

考慮IP地址分配的連續性、可擴充性、可管理性，本次網絡改造IP地址仍然沿用原來IP地址規劃方法，部分樓棟vlan劃分與IP分配如表1所示。按樓棟劃分VLAN，各區域VLAN網關地址和DHCP服務器配置全部平移到新增核心交換機S12510-X，同時刪除被遷移、替換交換機的相應配置參數。升級改造后的校園網絡IP主要分為以下四種類型。

⑴ 設備管理地址。采用172.16.0.0/24地址，分別按教師住宅區、辦公區、多媒體教學區、監控、服務器區、無線區域進行分區劃分。

⑵ loopback地址。每臺設備創建一個loopback接口，并指定32位掩碼，作為RouterID參與OSPF路由計算。

⑶ 設備互聯地址。規劃時一般使用30位掩碼，連續可聚合地址。

⑷ 用戶接入地址。采用10.10.0.0/24私有地址，通過出口設備統一進行NAT，轉換成公網地址訪問外網。

3.3 設備配置策略

⑴ 核心交換機IRF2虛擬化配置

在多臺設備形成IRF2之前，必須確保IRF中所有成員設備的IOS版本，工作模式保持一致;與當前設備IRF-Port1綁定的IRF物理端口只能和鄰居成員設備IRF-Port2口上綁定的IRF物理端口相連。

[SA]irf member 1 #設置SA的成員編號為1

[SA]irf member 1 priority 2

#默認優先級是1，優先級高的成為master

[SA]irf-port 1 ?#創建IRF端口1

[SA-irf-port1]port group interface Ten-GigabitEthernet 23

[SA-irf-port1]port group interface Ten-GigabitEthernet 24

[SA]chassis convert mode irf

#將設備運行模式切換到IRF模式

⑵ MSTP配置

在匯聚交換機和接入層交換機上開啟MSTP防止環路。建立以匯聚交換機為根的生成樹，所有vlan都在實例0里面，根橋優先級設為0，開啟環路保護，接入交換機用戶側端口開啟BPDU保護。

[SWA]stp mode mstp

[SWA]stp region-configuration

[SWA-mst-region]region-name csxy

[SWA-mst-region]active region-configuration

[SWA]stp instance 0 root primary

⑶ 啟用DHCP Snooping防范DHCP攻擊

DHCP Snooping是運行在二層接入設備上的一種DHCP安全特性。通過設置DHCP Snooping信任端口，保證該信任端口正常轉發DHCP報文，從而保證DHCP客戶端能夠從合法DHCP服務器獲取IP地址。

[SWA]dhcp-snooping

[SWA]interface ethernet 0

[SWA-ethernet 0]dhcp-snooping trust

⑷ 開啟ARP入侵檢測功能

當ARP報文中源IP地址及源MAC地址的綁定關系和ARP報文的入端口及其所屬VLAN均與DHCP Snooping表項或者手工配置的IP靜態綁定表項匹配，則為合法ARP報文，進行報文轉發處理。

[SWA]vlan 10

[SWA-vlan10]arp detection enable

#開啟VLAN 10內所有端口的ARP入侵檢測功能。

⑸ ARP報文限速功能

端口開啟ARP報文限速功能后，交換機對每秒內該端口接收的ARP報文數量進行統計，如果超過設定值，則認為該端口受到ARP報文攻擊，此時交換機將關閉該端口，同時設備支持端口狀態自動恢復功能。

[SWA]interface Ethernet 0

[SWA-Ethernet 0]arp rate-limit enable

[SWA-Ethernet 0]arp rate-limit 20

#端口Ethernet 0上開啟ARP報文限速功能。

4 結束語

數字化校園建設是高等學校全面提高辦學質量和辦學效益不可或缺的基礎設施。本文探討了校園網絡升級改造方案設計，并提供了具體實施步驟。升級改造后的校園網絡，采用大二層網絡架構替代傳統的三層網絡架構，實現了網絡扁平化管理，校園網絡可靠性大幅提升，所有設備和用戶都可實現實時監測、統一管理，靈活的告警設置可以實時提示管理員網絡中發生的各種事件，管理維護效率大大提升。流量控制策略的實施明顯限制了P2P協議對帶寬的侵占，達到了預期流量控制目的。面對日益復雜的網絡環境，提出適合湖南城市學院的校園網絡安全系統設計與實施步驟，是在此基礎上需要進一步研究的內容。

參考文獻（References）：

[1] 余勝泉.推進技術與教育的雙向融合——《教育信息化十年

發展規劃（2011-2020年）》解讀[J].中國電化教育，2012.20（5）：5-14

[2] 郭海濱.莆田學院校園網絡升級改造的設計與實現[D].南京

郵電大學，2013.

[3] 朱福祥.新一代數字化校園網設計與實現[D].南京理工大學，

2013.

[4] 陳麗佳.網絡設備IRF虛擬化堆疊技術的研究與實現[D].南

京郵電大學，2011.

[5] 沈瑞澤.高校網絡優化方案的設計與實現[D].沈陽工業大學，

2013.