校園網(wǎng)網(wǎng)絡(luò)提速方案分析與研究

劉國強(qiáng)

[摘? ? ? ? ? ?要]? 校園網(wǎng)信息化建設(shè)逐漸成為目前提高教學(xué)效率的有效手段，在不斷完善的校園信息化建設(shè)中，網(wǎng)絡(luò)速度逐漸成為信息化普及的瓶頸，如何利用技術(shù)手段提高校園網(wǎng)現(xiàn)有速度，成為現(xiàn)在的熱點(diǎn)內(nèi)容，重點(diǎn)研究利用現(xiàn)有網(wǎng)絡(luò)環(huán)境，通過軟件優(yōu)化方法和策略設(shè)置方法提高網(wǎng)絡(luò)運(yùn)行效率，提高校園網(wǎng)速率，從而達(dá)到校園網(wǎng)使用效率最大化。主要利用了策略路由、端口綁定、多重負(fù)載等技術(shù)，將現(xiàn)有學(xué)校網(wǎng)絡(luò)進(jìn)行優(yōu)化，提高校園網(wǎng)數(shù)據(jù)周轉(zhuǎn)速度，最終提高教師辦公效率，更好地為學(xué)校發(fā)展服務(wù)。

[關(guān)? ? 鍵? ?詞]? 策略路由;端口綁定;多重負(fù)載技術(shù);信息化校園

[中圖分類號]? TN915.08? ? ? ? ? ? ? ?[文獻(xiàn)標(biāo)志碼]? A? ? ? ? ? ? ? [文章編號]? 2096-0603（2019）36-0116-02

我校在2009年開始由于規(guī)模擴(kuò)大，學(xué)校要求利用現(xiàn)有網(wǎng)絡(luò)設(shè)備環(huán)境對校園網(wǎng)進(jìn)行優(yōu)化，從而實(shí)現(xiàn)校園網(wǎng)整體提速，提高學(xué)校的工作效率，更好地為學(xué)校建設(shè)服務(wù)。期間，本人參與了其中的設(shè)計(jì)與開發(fā)，承擔(dān)了網(wǎng)絡(luò)優(yōu)化項(xiàng)目中的部分工作，在此，本人將在工作中的心得和大家分享，對技術(shù)方面的問題進(jìn)行深入的探討。以下是我校的網(wǎng)絡(luò)拓?fù)鋱D。

在網(wǎng)絡(luò)工程二期改造前，校園網(wǎng)分成三個(gè)層次，包括網(wǎng)絡(luò)核心層、網(wǎng)絡(luò)匯聚層和網(wǎng)絡(luò)接入層。下面我對校園網(wǎng)中存在的問題進(jìn)行分析。

在接入層中，該層主要連接終端設(shè)備，校園中的終端設(shè)備數(shù)量龐大，型號復(fù)雜，非常難以管理，尤其是當(dāng)某臺電腦感染病毒后，很容易通過網(wǎng)絡(luò)傳染到其他終端設(shè)備，導(dǎo)致校園網(wǎng)癱瘓，同時(shí)，大多數(shù)終端設(shè)備屬于私人使用，很難對其網(wǎng)絡(luò)行為做出判斷，所以非常難以管理。對此我對接入層進(jìn)行了重新規(guī)劃、設(shè)計(jì)。為了不影響工作，客戶端電腦統(tǒng)一采用DHCP動(dòng)態(tài)分配IP地址策略，在中心機(jī)房設(shè)置統(tǒng)一的DHCP服務(wù)器，同時(shí)開啟各層的DHCP中繼服務(wù)，使各個(gè)網(wǎng)段的IP地址都能通過該服務(wù)器統(tǒng)一管理。另外，將各個(gè)部門劃分為多個(gè)vlan，通過匯聚層的三層交換機(jī)實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)，這樣可以有效保護(hù)網(wǎng)絡(luò)的穩(wěn)定性，同時(shí)防止病毒在網(wǎng)絡(luò)中的傳播。同時(shí)，劃定特定的DMZ區(qū)域，將校園網(wǎng)中的FTP服務(wù)器、WEB服務(wù)器、流媒體服務(wù)器等重要服務(wù)放在該區(qū)域，一方面，便于系統(tǒng)管理員管理，另一方面，實(shí)現(xiàn)服務(wù)器與客戶端相互分離，有效保護(hù)服務(wù)器的穩(wěn)定性。在防火墻上開通相關(guān)NAT服務(wù)，將部分服務(wù)器的部分服務(wù)端口向外網(wǎng)公布，實(shí)現(xiàn)公網(wǎng)用戶訪問內(nèi)網(wǎng)相關(guān)服務(wù)，該措施主要是為了滿足部分教師出差在外時(shí)，也能夠及時(shí)訪問校園網(wǎng)中的相關(guān)服務(wù)，實(shí)現(xiàn)異地辦公。通過如上的設(shè)置，基本實(shí)現(xiàn)了終端設(shè)備中服務(wù)器與個(gè)人電腦的分離，同時(shí)考慮到移動(dòng)辦公用戶對校園網(wǎng)的使用。對不同的個(gè)人電腦進(jìn)行分類管理，通過vlan的劃分實(shí)現(xiàn)部門的邏輯分離，大大提高整個(gè)校園網(wǎng)的穩(wěn)定性。

在匯聚層，該層由各種可管理交換機(jī)組成，在該層中，主要是通過訪問控制列表實(shí)現(xiàn)對校園網(wǎng)中的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)控。例如，在DMZ區(qū)域中，有專門供財(cái)務(wù)室使用的服務(wù)器，該服務(wù)只允許校長室、人事處和財(cái)務(wù)處的主機(jī)電腦可以訪問，所以在DMZ區(qū)域的防火墻中，通過標(biāo)準(zhǔn)訪問控制列表，對訪問數(shù)據(jù)包的源IP地址進(jìn)行監(jiān)控，只允許校長室、人事處和財(cái)務(wù)室網(wǎng)段的主機(jī)可以訪問，其他區(qū)域的主機(jī)進(jìn)行屏蔽，這樣，就達(dá)到了數(shù)據(jù)包的屏蔽，防止非法數(shù)據(jù)訪問財(cái)務(wù)服務(wù)器。同時(shí)，考慮到有部分終端設(shè)備在上班時(shí)間可能有看電影、P2P下載等行為，不僅占用了大量的網(wǎng)速，同時(shí)給正常辦公的終端帶來嚴(yán)重影響，所以利用在該層設(shè)備中的流量整形技術(shù)，對終端設(shè)備進(jìn)行限速，規(guī)定每臺電腦的網(wǎng)絡(luò)使用速率不超過100KB/S。同時(shí)，通過policy-map技術(shù)，對數(shù)據(jù)包中的部分?jǐn)?shù)據(jù)進(jìn)行判斷，設(shè)置優(yōu)先級，對需要實(shí)時(shí)性的數(shù)據(jù)包設(shè)置高優(yōu)先級，比如，對郵件數(shù)據(jù)包設(shè)置高優(yōu)先級。這樣可以提高網(wǎng)絡(luò)的利用率。整體上，在匯聚層，數(shù)據(jù)包在該層實(shí)現(xiàn)了流量整形、訪問策略控制等工作，有效對校園網(wǎng)中的數(shù)據(jù)進(jìn)行進(jìn)一步優(yōu)化，同時(shí)將網(wǎng)絡(luò)管理集中在匯聚層，也方便了網(wǎng)絡(luò)管理員。

在核心層，該層是校園網(wǎng)的核心層，實(shí)現(xiàn)數(shù)據(jù)包的終極轉(zhuǎn)發(fā)，該層能否穩(wěn)定工作，直接影響到整個(gè)校園網(wǎng)的工作效率，因此，在該層中，不做過多的訪問控制設(shè)置，因?yàn)檫@樣會(huì)影響數(shù)據(jù)包的轉(zhuǎn)發(fā)速度，在該層設(shè)備的改造上，主要通過硬件改造和軟件改造兩種方法進(jìn)行。首先，為了提高網(wǎng)速，將原有的UTP網(wǎng)線改造成光纖接口，速度從原有的1GB/s上升到10GB/s。將接口模式改為全雙工模式，實(shí)現(xiàn)雙向通訊。通過硬件改造，核心層設(shè)備的數(shù)據(jù)包周轉(zhuǎn)速率明顯提高。在軟件改造上，利用多重負(fù)載技術(shù)，將核心層的兩臺三層交換機(jī)通過2根光釬線并聯(lián)，利用多重負(fù)載，這樣數(shù)據(jù)包可以同時(shí)在兩條并行線上傳輸，通過多重負(fù)載技術(shù)，可以實(shí)現(xiàn)核心層數(shù)據(jù)包數(shù)據(jù)轉(zhuǎn)發(fā)容量翻倍。核心層的速度提高后，網(wǎng)絡(luò)整體環(huán)境得到了很大的改善。

通過對三層網(wǎng)絡(luò)設(shè)備的改造，校園網(wǎng)的整體性能得到提高，但是在校園網(wǎng)中還有一些老的網(wǎng)絡(luò)無法改造，如早期的教學(xué)樓，尤其是老校區(qū)的教學(xué)樓采用木質(zhì)結(jié)構(gòu)建筑，沒有使用網(wǎng)絡(luò)線路，采用早期的電腦交換線路連接，所以無法實(shí)現(xiàn)網(wǎng)絡(luò)的整體接入。對老校區(qū)的改造，在保證不改變原有線路的同時(shí)，購入數(shù)臺幀中繼交換機(jī)和支持幀中繼功能的路由器，利用原有的電話線網(wǎng)絡(luò)，改造為幀中繼交換網(wǎng)絡(luò)，這樣內(nèi)網(wǎng)接入速度可以達(dá)到45MB/S，基本上能夠完成用戶日常使用網(wǎng)絡(luò)的需要。幀中繼網(wǎng)絡(luò)，采用點(diǎn)對多點(diǎn)的接入方式，通過幀中繼交換機(jī)進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)。另外，通過該交換機(jī)接入路由器（網(wǎng)關(guān)），通過該網(wǎng)關(guān)接入校園網(wǎng)。

由于網(wǎng)絡(luò)數(shù)量眾多，原有的靜態(tài)路由已經(jīng)無法滿足復(fù)雜網(wǎng)絡(luò)的需要了，雖然在理論上通過靜態(tài)路由的重設(shè)置能夠?qū)崿F(xiàn)網(wǎng)絡(luò)互聯(lián)，但是工作量非常大，而且在網(wǎng)絡(luò)環(huán)境發(fā)生改變時(shí)，很難進(jìn)行維護(hù)，于是采用動(dòng)態(tài)路由技術(shù)，在RIP和OSPF的選擇中，優(yōu)先采用OSPF技術(shù)，因?yàn)镽IP在網(wǎng)絡(luò)規(guī)模上只支持15跳，雖然暫時(shí)可以滿足當(dāng)前網(wǎng)絡(luò)規(guī)模，但是要考慮到擴(kuò)展性，所以全校的網(wǎng)絡(luò)環(huán)境優(yōu)先采用OSPF動(dòng)態(tài)路由協(xié)議，該協(xié)議支持動(dòng)態(tài)路由更新，支持路徑優(yōu)先選擇，能夠很好地支持校園網(wǎng)的實(shí)施，實(shí)施后，網(wǎng)絡(luò)狀態(tài)穩(wěn)定，各個(gè)網(wǎng)段連接正常。

在核心層上端，接入防火墻設(shè)備用于連接廣域網(wǎng)，本次校園網(wǎng)改造用兩個(gè)防火墻連接廣域網(wǎng)，分別從電信和聯(lián)通兩家互聯(lián)網(wǎng)運(yùn)營商接入互聯(lián)網(wǎng)，其中電信線路作為主線路，作為校園網(wǎng)日常使用互聯(lián)網(wǎng)的主接入口，而聯(lián)通線路則用作備份線路，用于保證在斷網(wǎng)的情況下，用戶的工作不受影響。這里需要通過策略路由和熱主機(jī)備份功能實(shí)現(xiàn)。在防火墻上，為了節(jié)省公網(wǎng)IP資源，采用了動(dòng)態(tài)NAT負(fù)載技術(shù)，實(shí)現(xiàn)校園網(wǎng)的所有用戶能夠同時(shí)訪問公網(wǎng)，本案例中，學(xué)校申請了5個(gè)公網(wǎng)IP地址，通過這5個(gè)地址完成校園網(wǎng)用戶的共享上網(wǎng)。

到這里，校園網(wǎng)的前期改造計(jì)劃已經(jīng)基本完成，在眾多的設(shè)計(jì)中，主要從三個(gè)方面考慮，進(jìn)行了網(wǎng)絡(luò)改造，首先是速度方面，校園網(wǎng)的改造要保證網(wǎng)絡(luò)速度有質(zhì)的提高，這里主要通過核心層的改造來完成，通過硬件設(shè)備的替換和網(wǎng)絡(luò)負(fù)載的實(shí)施，有效提高網(wǎng)絡(luò)對數(shù)據(jù)包的轉(zhuǎn)發(fā)能力，減少終端延遲。另外，對網(wǎng)絡(luò)中對實(shí)時(shí)性要求很高的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)策略的設(shè)置，提高相關(guān)數(shù)據(jù)包的優(yōu)先級。其次考慮網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全是通過匯聚層的設(shè)置完成的，這里包含了vlan的劃分，減少廣播數(shù)據(jù)包對網(wǎng)絡(luò)的影響，防止監(jiān)聽，通過對訪問列表的設(shè)置，對相關(guān)數(shù)據(jù)包進(jìn)行屏蔽，減少非法數(shù)據(jù)包對服務(wù)器的訪問，同時(shí)，在該層設(shè)置DMZ區(qū)域，將服務(wù)器集中在該區(qū)域進(jìn)行統(tǒng)一管理，同時(shí)在該區(qū)域添加網(wǎng)管主機(jī)，利用網(wǎng)管主機(jī)對數(shù)據(jù)包進(jìn)行全程監(jiān)控，這里是通過端口鏡像技術(shù)實(shí)現(xiàn)的。最后，考慮網(wǎng)絡(luò)的穩(wěn)定性，利用熱主機(jī)備份技術(shù)，申請兩條公網(wǎng)線路，一條走電信線路，出口帶寬1GB，由于寧波市校園網(wǎng)是電信線路，所以該線路作為主線路，另外申請一條聯(lián)通線路，出口帶寬40MB，作為備用線路，利用熱主機(jī)備份技術(shù)，正常情況下所有數(shù)據(jù)包在訪問外網(wǎng)時(shí)走電信線路，在電信線路遇到故障臨時(shí)關(guān)閉時(shí)，采用聯(lián)通備份線路，由于采用熱主機(jī)備份技術(shù)，采用的是虛擬網(wǎng)關(guān)，所以在校園網(wǎng)發(fā)生線路切換時(shí)，用戶根本感覺不到任何影響，數(shù)據(jù)包會(huì)只能選擇相關(guān)線路向外傳送數(shù)據(jù)包，這樣，整個(gè)校園網(wǎng)的穩(wěn)定性大大提高了。

校園網(wǎng)通過如上的改造，在穩(wěn)定性、安全性、高速性上都得到了加強(qiáng)，整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)吞吐能力得到提高。另外，DMZ區(qū)域的出現(xiàn)，實(shí)現(xiàn)了服務(wù)器和終端設(shè)備的分別管理，管理員在DMZ區(qū)域只要通過簡單的網(wǎng)管主機(jī)軟件，就可以對校園網(wǎng)訪問服務(wù)器的數(shù)據(jù)進(jìn)行全程監(jiān)控。流量整形技術(shù)的出現(xiàn)，可以實(shí)現(xiàn)終端設(shè)備限速訪問互聯(lián)網(wǎng)，對終端用戶也進(jìn)行了一定的約束，防止網(wǎng)絡(luò)帶寬被惡意占用。

參考文獻(xiàn)：

[1][美]瓦尚（Vachon，B.），[美]格拉齊亞尼（Grazi-ani，R.）.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程CCNA Exploration：接入WAN[M].思科系統(tǒng)公司，譯.北京：人民郵電出版社，2009.

[2][美]唐納修.Network Warrior：思科網(wǎng)絡(luò)工程師必備手冊（影印版）[M].南京：東南大學(xué)出版社，2011-10.

◎編輯 馬燕萍