多校区校园网络系统建设方案

2023-02-12

近年来, 随着计算机网络技术的飞速发展和国家对教育的投人不断增加, 我国各类院校的校园网络系统建设也如火如荼地进行着, 校园网络系统的建设水平已成为衡量高校综合实力以及教育现代化的重要标志。

1 校园网络系统建设目标及原则

校园网络系统的建设目标就是采用国际先进的智能化系统设计技术, 建立具有领先水平的校园网络系统, 为学院的教学、科研、管理提供先进的技术平台。建设一个实现信息管理、办公自动化、多媒体辅助教学的网络, 满足全体师生日常生活、教学、工作等多方面的需求。利用校园网络系统改变以教室和教师为中心的教学模式, 把教室、教师、学生、不同的学校、社会信息资源通过网络联系起来。建立一个能覆盖所有功能区域的主干网络, 实现校园信息资源和软硬件资源共享。

计算机网络系统的建设必须重点考虑如下原则。

(1) 高性能与技术先进性。

校园计算机网络系统要求具有较高的数据通信能力和较大的带宽;并在主干网上提供较强的可扩展性。

为了及时、迅速地处理网络上传送的数据, 网络应有较高的网络主干速度。网络设备必须具备高速处理能力, 提供高速数据链路, 保证网络高吞吐能力, 满足各种应用对网络带宽的需求;在各部门中采用交换技术, 以保证在工作中网络的快速响应速度, 用于提供较高的工作效率。

(2) 高可靠性。

网络要求具有高可靠性, 高稳定性和足够的冗余, 提供拓扑结构及设备的冗余和备份, 为了防止局部故障引起整个网络系统的瘫痪, 要避免网络出现单点失效。在网络骨干上要提供备份链路, 提供冗余路由。在网络设备上要提供冗余配置。设备在发生故障时能以热插拔的方式在最短时间内进行恢复, 把故障对网络系统的影响减少到最小, 避免由于网络故障造成用户损失。

(3) 安全性。

校园网网络作为一个支持众多用户、众多应用和众多连接的网络, 网络安全性在整个网络中是个很重要的问题, 网络设计与实施中要采用一定手段控制网络的安全性, 以保证网络正常运行。网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。可以用身份验证、VLAN划分等技术有效地控制内部用户的行为, 比如杜绝对IP地址的盗用和侦听用户口令等, 同时也能够利用防火墙控制外部人员对网络的访问;网络系统还应具备高度的数据安全性和保密性, 能够防止非法入侵和信息泄露。

(4) 可管理性。

网络系统平台设计必须考虑到管理方便的特性。网络结构层次要清晰、设备管理/配置管理需要简便。强有力的网管软件是有效进行网络管理的助手, 网管软件应能够支持对网络进行设备级和系统级的管理, 并能支持通用浏览器进行网络设备的管理及配置。灵活设置每个用户对各级网络和各类应用的访问功能, 能够对每个用户实行管理;并且能够实现复杂的计费管理。

(5) 可扩充性。

随着用户应用规模的不断扩大, 要求网络可以方便地扩充容量, 支持更多的用户及应用;随着网络技术的不断发展, 网络必须能够平滑地过渡到新的技术和设备, 保证用户已有的投资。

(6) 对多媒体应用的支持。

校园网要求具有数据、图像、视频、语音等多媒体实时通讯能力;并在主干网上提供足够的带宽和可保证的服务质量, 满足大量用户对带宽的基本需要, 并保留一定的余量供突发的数据传输使用, 最大可能地降低网络传输的延迟。整个网络在服务质量 (QOS) 、预留带宽设置、合理进行带宽管理方面应提供优良的品质。

下面以笔者设计的某高职院校的校园网络为例, 进行项目需求分析。

2 项目需求分析

2.1 学校信息网络现状

(1) 基础网络现状。

学院一共分三个校区, 学生共计1万余人, 常驻学生6千余人, 西校区、东校区和洪山本部校区之间校园网没有互联, 信息沟通通过公网进行;学校为三年制高职, 采用2+1教学模式, 两年在校学习, 第三年在外实习, 目前学校对这部分校外学生基本无法管理;学院主校区办公网络有内部互联而学生公寓是通过电信201和xDSL接入, 学校不能参与学生宽带网络的运营;学校的外联出口为中国电信和赛尔网络;学院的网络基础设施不够, 网络信息安全体系比较薄弱。

(2) 应用系统现状。

已有办公自动化 (OA) 系统和资产管理系统, 教学管理系统前期有初步的建设, 需重新投入, 缺乏校园统一信息平台, 学生的学籍管理、实践管理等基础数据凌乱。

2.2 信息网络建设目标

该学院校园信息网络系统的建设需达到如下目标:安全、高效、可运营的校园宽带网络;可移动的网络办公环境;统一的电子身份管理与认证;个性化的信息门户;关联整合的校园一卡通;功能全面、集成的信息系统;周到实用的网络安全体系;接口规范的支撑平台。

根据以上需求, 学院信息网络的建设主要内容为对三个校区基础网络的建设采用有线为主, 无线为辅的方式, 实现校内办公区、教学区、图书馆、学生公寓、体育馆等场所的网络覆盖;建设VPN专网, 校外授权用户能以合法身份进入校内网络;并配备相应的网络设备、服务器、存储设备及其相关软件产品等, 实现以下应用服务:基本Internet和Intranet应用;统一身份认证系统;教学管理系统;一卡通系统;远程访问服务系统;认证计费系统;多媒体教学系统;数据存储系统等多种应用系统。

把网络系统建设成为一个高性能、高可靠性、高安全性的网络, 在满足以上要求的同时, 还需要尽可能的符合当今网络发展的潮流, 具备相当的先进性和可扩充、可升级的能力。提高核心交换机的性能, 提高网络连接主干的带宽, 充分考虑网络的可靠性、冗余能力、自愈能力, 并充分考虑当今网络系统面临的病毒、入侵攻击等不安全因素的影响, 充分考虑和其他的网络互通等多方面的因素, 方案设计要求具有前瞻性, 充分考虑将来网络能够满足向更高性能扩展的能力。

3 校园网组网方案

针对学院网络系统的具体需求, 在总体网络设计时对校园网络采用层次化和模块化设计。采用三层网络结构:核心层、汇聚层和接入层。通过应用网管平台、万兆核心设备、千兆交换设备, 来构建学院网络系统, 使得网络系统具有先进性、稳定性、安全性等众多特点, 以满足学院现在及未来若干年的发展需要。

总体网络拓扑见图1。

3.1 校园网出口设计

学院现购买的电信、赛尔网出口, 带宽较低, 建议购买联通100M出口, 分担流量和提高访问的响应速度。多条互联网出口, 可对校园网内部访问外部资源的流量进行负载分流和相互备份。

网络出口路由器担负着校内网络和外界网络连通的重任, 必须具备极高的可靠性, 稳定性、强大的性能和丰富的路由协议、策略支持。建议采用双NP处理器体系架构, 支持IPv4/IPv6双协议栈的高端路由器。

基于保护校园网的需要, 抵御黑客或恶意软件的入侵, 建议在出口配置防火墙针对敏感的端口进行封禁, 并对可疑的流量进行监测, 并由IPS设备实现自动截断攻击流量, 从而保护校园网数据的安全。

为了对带宽的使用进行有效管理和合理配置, 建议在出口线路上引入一台带宽管理的设备。最近几年, 校园网流量出现飙升, P2P流量几乎占到总流量的50, 费用昂贵的带宽被轻而易举地挤占了, 单纯增加带宽并不能解决访问互联网速度慢的问题。带宽管理工具可以对P2P流量进行管理 (如白天限制晚上放开等) , 保障重点应用, 使带宽的应用更加可控和高效。

为适应教师及同学在校外办公的要求, 我们还将部署了一台VPN设备, 使校外用户能够登入校园网, 访问校内资源, 查询图书馆资料等。

3.2 三校区互联设计

目前主校区在洪山, 西校区位于汉阳东校区位于黄陂。因为大部分师生都在主校区, 考虑到投资成本, 建议东、西校区与主校区之间互联, 采用租用运营商市内10M以太网专线的方式。

3.3 核心层设计

核心层的功能主要是实现骨干网络之间的优化传输, 核心层任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能、网络的各种应用应尽量少在核心层上实施。核心层一直被认为是流量的最终承受者和汇聚者, 因此对核心层的设计以及网络设备的要求十分严格。

建议在核心层采用两台高性能路由交换机作为整个校园网的冗余备份路由交换平台。核心双机通过双千兆链路上联至出口, 实现出口的负载分担和冗余备份, 提升出口数据流量转发效率。核心双机与片区汇聚节点通过双递归链路进行连接, 实现骨干网链路的冗余连接。核心双机之间采用双万兆链路聚合设计进行连接, 提供双倍的转发带宽和高度的链路冗余, 进一步提升骨干网的稳定可靠。核心路由交换机采用千兆光纤与汇聚层设备相连, 充分保证网络骨干线路的带宽需求, 真正达到校园网内部的高速数据交换。

3.4 汇聚层设计

汇聚层从位置上处于核心层与网络层的分界, 需要将大量低速的链接 (接入层设备的链接) 通过少数宽带的链接接人核心层, 以实现通讯量的收敛, 以提高网络中聚合点的效率, 同时减少核心层设备可选择的路由路径的数量。并可以汇聚层为设计模块, 实现网络拓扑变化的隔离, 增强网络的稳定性。在实施上, 汇聚层除要进行路由聚合外, 还要考虑实施QoS保障、安全等网络策略。为提高网络的可靠性, 通常利用双归方式接入核心层, 这可极大地提高网络可靠性。

汇聚交换机通过千兆光接口分别连接到各自分区的接入交换机上。