高校校園網拓撲及性能優化的實現

摘要

隨著校園網規模的不斷擴大，各類業務系統、多種物聯終端的接入等網絡應用的逐漸增加，用戶對校園網的要求日漸提高，同時對校園網規范管理、安全管理帶來一定的隱患和問題。作為校園網的運維管理部門，學校教育技術中心需要從網絡拓撲、性能等因素著手，在確保穩定的基礎上，通過技術和管理手段，不斷優化網絡，保證校園網可靠性、可用性和穩定性不斷提升，更好地實現服務教學、科研，方便應用的導向目標。

【關鍵詞】校園網 性能優化 物聯終端

1 引言

首都經濟貿易大學校園網始建于1997年，為落實北京市信息化建設的頂層設計，建設智慧校園，經過多期網絡建設項目的實施和網絡技術的發展，目前，校園網基礎設施擁有兩個標準機房，交換機600多臺，無線接入點（AP）近2000個，校園網用戶2萬人。校園網采用核心、樓宇匯聚、樓層接入的三層構架方式。目前，校園有線網已經覆蓋花鄉、紅廟兩校區，花鄉校區實現無線網全覆蓋。

隨著校園網規模的不斷擴大，各類業務系統、多種物聯終端的接入等網絡應用的逐漸增加，用戶對校園網的要求日漸提高，同時對校園網規范管理、安全管理帶來一定的隱患和問題。作為校園網的運維管理部門，學校教育技術中心需要從網絡拓撲、性能等因素著手，在確保穩定的基礎上，通過技術和管理手段，不斷優化網絡，保證校園網可靠性、可用性和穩定性不斷提升，更好地實現服務教學、科研，方便應用的導向目標。

2 現狀及存在的問題

2.1 各類子網的接入

各部門、院系根據自身定位，建立了多個圍繞中心業務的子網。例如：教務、考務監控網覆蓋全校教學樓宇;保衛處安保網、財務專網;經管實驗中心、信息學院、外語學院機房等。各類子網不同程度地存在“重建設、輕維護”的現象，隨著子網內終端數量的增加、拓撲結構的日益復雜，運維管理成為薄弱環節，交換機環路、ARP攻擊、非法路由器接入等不利因素，影響了教學、實驗的順利開展，亟待進行規范。

2.2 多種物聯終端的接入

隨著物聯網技術的深入發展，大量物聯網終端需要校園網來承載。例如：節能辦針對宿舍區的用水、用電控制;保衛處為確保校園安全而部署的門禁、出入通道閘機;圖書館的圖書自主借閱機;學校機關、各院系根據自身業務發展需要增加的智能顯示屏，辦公場所的打印機等多種形式的智能終端逐步進入校園網，部分物聯終端使用校園無線網完成相應功能。由于遍布各個樓宇的多種物聯終端逐的接入，綁定固定IP地址是首要條件。因此，交換機DHCP Pool較大，導致交換機性能下降，同時破壞了交換機配置的規范性。此外，隨著網絡終端的逐年增加，使用匯聚交換機分配IP地址無法實現地址的可視化管理，給運維管理帶來極大不便。

2.3 控制器品牌不同

校園無線網多個不同品牌控制器并用，早期，無線客戶端根據所在物理位置不同分屬不同IP子網和VLAI。當客戶端發生物理位移時，就會導致跨越控制器漫游，IP地址發生改變，需要反復多次登錄計費賬號的問題，給用戶使用帶來不便。

2.4 無線接入點的部署方式落后

無線接入點部署均采用樓道部署放裝AP的方式。隨著校園無線網的快速發展，用戶數量迅猛增加，師生們對無線網的使用體驗提出了更高的要求。不僅限于無線信號的“可連接”，而是要求無線信號的“高可用、不中斷”。針對當前封閉的建筑格局、高密度的宿舍、鐵門隔斷等影響信號覆蓋的因素，需要部署多種形式的AP來滿足超高性能和高并發的需求。

2.5 安全策略不完善

對于校園網交換和無線設備，病毒攻擊、非法訪問等現象時有發生。傳統的安全策略沒有針對無線控制器和無線接入點進行訪問控制，且接入交換機僅在端口in方向進行數據過濾。應用場景、網絡性能、安全管理等都面臨挑戰。

針對當前存在的問題，對校園網進行優化，重新規劃、分配IP地址，通過技術手段實現無線用戶全校漫游，規范各類子網、終端的接入方式，提高安全策略;通過管理手段，建立健全信息系統建設長效機制，制定管理制度和辦法，培訓專業技術人員。

3 優化策略

3.1 工P地址重規劃

隨著校園網規模的擴大，用戶的增加，對全網IP地址進行重新規劃、分配、切換。遵循“三嚴格、一確保”原則，即：嚴格區分設備管理地址、終端用戶地址;嚴格區分有線、無線用戶地址;嚴格區分動態分配、固定終端地址，確保各樓宇各樓層地址在滿足當前用戶充分可用的前提下，考慮可擴展性和靈活性，給各個樓宇預留足夠的IP地址。每個樓宇明確劃分交換機、無線接入點、用戶地址的界限。對于有實驗機房、服務器等特殊位置的樓宇，充分考慮IP地址的需求。

3.2 引入專用DHCP服務器

在校園網中引入兩臺專用的DHCP服務器，取代原有的匯聚機分配地址的方式。兩臺服務器采用主備方式為全校有線網、無線網用戶分配IP地址。無線核心交換機和各樓宇匯聚交換機在相應的SVI接口中加入ip helper-address命令即可。例如：

interface Vlan900

ip address 255.255.0.1255.255.0.0

ip helper-address 10.10.10.10

ip helper-address 10.10.10.11

3.3 無線用戶全校漫游

建立無線Vlan 900，選用一個B類私有地址建立無線用戶地址池，例如：10.10.0.0/8，取代原來各樓宇分配地址的模式，用戶從DHCP服務器獲得B類地址中的一個IP。無線核心交換機SVI接口中配置ipaddress 10.10.0.1255.255.0.0.無線控制器上的ap-group全部映射到Vlan 900的Interface上。DHCP服務器基于無線用戶的MAC地址分配IP地址，租期2小時，跨控制器后，無線用戶MAC地址不變，物理位移30分鐘內，不超過計費策略規定的時間，則不需要重新登錄計費賬號，實現全校區無線漫游。

3.4 規范各類子網的接入方式

根據不同用途、安全需求及組網方式確定各類子網的規范方案。其中安保網、財務網等專網采用獨立建網方式，與校園網進行物理隔絕，僅在校園網出口通過相應的安全設備進行互聯。經管實驗中心、信息學院、外語學院機房的自有交換機，梳理現有拓撲結構，消除亂接、私接造成的環路現象。交換機配置方面，通過訪問控制列表過濾常見病毒端口流量，全局配置spanning-tree portfast bpduguarddefault，端口中配置ip arp inspection trust和ipdhcp snooping trust。自有交換機上聯至校園網樓宇匯聚交換機，在運維管理軟件中進行監控，做到設備異常早發現，早處理，確保機房正常的教學、科研用網需要。

3.5 無線接入形式依場景而定

近幾年的無線網建設項目，區分教室、宿舍、報告廳、圖書館、廣場等多個應用場景，分別部署不同形式、規格的無線接入點，打破過去全部樓道部署的格局。例如：教室均采用放裝式AP，圖書館、報告廳部署高密度放裝式AP，行政辦公室采用墻面式AP，學生宿舍以智分接入為主，并結合各AP品牌提供的管理軟件，對無線接入點進行性能優化，包括信道、功率、速率等對用戶上網產生重要影響的參數。

3.6 有線、無線安全策略組合使用

優化后的安全策略將有線、無線組合使用。一方面，對于匯聚、接入和無線核心交換機，實施更加嚴格的Telnet/SSH訪問權限，僅限少量地址可遠程登錄。另一方面，在無線控制器上啟用用戶ULAN內的二層隔離功能，禁止無線客戶端互訪。參照有線設備的ACL，配置無線控制器訪問控制列表，防控常見高發病毒。

4 管理優化

為解決校園網各子網建設“重建設輕管理”、“另起爐灶、重復建設”的現象，校信息化領導小組進一步加強了對信息化建設工作的領導，建立了長效機制，完善了規章制度，對全校各子網、系統、基礎設施進行整合，規范有線、無線網組織程序，明確信息處（教育技術中心）作為業務主管部門對各部門、院系信息系統、終端接入系統的技術方案審核、人員技術培訓職責。各部門、院系在項目建設前期主動與業務主管部門對技術方案進行溝通，提出具體需求;同時指定有一定專業基礎人員負責項目運維。

5 結束語

首都經濟貿易大學堅持以問題為導向，把握新的發展機遇，以技術創新、管理創新模式積極應對新的形勢、新的挑戰。近年來，通過上述優化方式，校園網性能、穩定性有了大幅提升，用戶滿意度明顯提高、網絡安全環境明顯改善，將逐步實現先進實用、靈活開放、安全可靠的校園網建設目標，全面助力、支撐智慧校園建設。

參考文獻

[1]龐鐳，張笑琪.校園無線網優化方案及安全管理的實現[J].計算機科學，2017（10A）：294-297.

[2]龐鐳.首都經濟貿易大學破解多品牌校園無線漫游難題[J].中國教育網絡，2017（08）：63-64.