您好, 访客   登录/注册

校园网网络提速方案分析与研究

来源:用户上传      作者:

  [摘           要]  校园网信息化建设逐渐成为目前提高教学效率的有效手段,在不断完善的校园信息化建设中,网络速度逐渐成为信息化普及的瓶颈,如何利用技术手段提高校园网现有速度,成为现在的热点内容,重点研究利用现有网络环境,通过软件优化方法和策略设置方法提高网络运行效率,提高校园网速率,从而达到校园网使用效率最大化。主要利用了策略路由、端口绑定、多重负载等技术,将现有学校网络进行优化,提高校园网数据周转速度,最终提高教师办公效率,更好地为学校发展服务。
  [关    键   词]  策略路由;端口绑定;多重负载技术;信息化校园
  [中图分类号]  TN915.08               [文献标志码]  A              [文章编号]  2096-0603(2019)36-0116-02
   我校在2009年开始由于规模扩大,学校要求利用现有网络设备环境对校园网进行优化,从而实现校园网整体提速,提高学校的工作效率,更好地为学校建设服务。期间,本人参与了其中的设计与开发,承担了网络优化项目中的部分工作,在此,本人将在工作中的心得和大家分享,对技术方面的问题进行深入的探讨。以下是我校的网络拓扑图。
   在网络工程二期改造前,校园网分成三个层次,包括网络核心层、网络汇聚层和网络接入层。下面我对校园网中存在的问题进行分析。
   在接入层中,该层主要连接终端设备,校园中的终端设备数量庞大,型号复杂,非常难以管理,尤其是当某台电脑感染病毒后,很容易通过网络传染到其他终端设备,导致校园网瘫痪,同时,大多数终端设备属于私人使用,很难对其网络行为做出判断,所以非常难以管理。对此我对接入层进行了重新规划、设计。为了不影响工作,客户端电脑统一采用DHCP动态分配IP地址策略,在中心机房设置统一的DHCP服务器,同时开启各层的DHCP中继服务,使各个网段的IP地址都能通过该服务器统一管理。另外,将各个部门划分为多个vlan,通过汇聚层的三層交换机实现数据的转发,这样可以有效保护网络的稳定性,同时防止病毒在网络中的传播。同时,划定特定的DMZ区域,将校园网中的FTP服务器、WEB服务器、流媒体服务器等重要服务放在该区域,一方面,便于系统管理员管理,另一方面,实现服务器与客户端相互分离,有效保护服务器的稳定性。在防火墙上开通相关NAT服务,将部分服务器的部分服务端口向外网公布,实现公网用户访问内网相关服务,该措施主要是为了满足部分教师出差在外时,也能够及时访问校园网中的相关服务,实现异地办公。通过如上的设置,基本实现了终端设备中服务器与个人电脑的分离,同时考虑到移动办公用户对校园网的使用。对不同的个人电脑进行分类管理,通过vlan的划分实现部门的逻辑分离,大大提高整个校园网的稳定性。
   在汇聚层,该层由各种可管理交换机组成,在该层中,主要是通过访问控制列表实现对校园网中的网络数据进行监控。例如,在DMZ区域中,有专门供财务室使用的服务器,该服务只允许校长室、人事处和财务处的主机电脑可以访问,所以在DMZ区域的防火墙中,通过标准访问控制列表,对访问数据包的源IP地址进行监控,只允许校长室、人事处和财务室网段的主机可以访问,其他区域的主机进行屏蔽,这样,就达到了数据包的屏蔽,防止非法数据访问财务服务器。同时,考虑到有部分终端设备在上班时间可能有看电影、P2P下载等行为,不仅占用了大量的网速,同时给正常办公的终端带来严重影响,所以利用在该层设备中的流量整形技术,对终端设备进行限速,规定每台电脑的网络使用速率不超过100KB/S。同时,通过policy-map技术,对数据包中的部分数据进行判断,设置优先级,对需要实时性的数据包设置高优先级,比如,对邮件数据包设置高优先级。这样可以提高网络的利用率。整体上,在汇聚层,数据包在该层实现了流量整形、访问策略控制等工作,有效对校园网中的数据进行进一步优化,同时将网络管理集中在汇聚层,也方便了网络管理员。
   在核心层,该层是校园网的核心层,实现数据包的终极转发,该层能否稳定工作,直接影响到整个校园网的工作效率,因此,在该层中,不做过多的访问控制设置,因为这样会影响数据包的转发速度,在该层设备的改造上,主要通过硬件改造和软件改造两种方法进行。首先,为了提高网速,将原有的UTP网线改造成光纤接口,速度从原有的1GB/s上升到10GB/s。将接口模式改为全双工模式,实现双向通讯。通过硬件改造,核心层设备的数据包周转速率明显提高。在软件改造上,利用多重负载技术,将核心层的两台三层交换机通过2根光钎线并联,利用多重负载,这样数据包可以同时在两条并行线上传输,通过多重负载技术,可以实现核心层数据包数据转发容量翻倍。核心层的速度提高后,网络整体环境得到了很大的改善。
   通过对三层网络设备的改造,校园网的整体性能得到提高,但是在校园网中还有一些老的网络无法改造,如早期的教学楼,尤其是老校区的教学楼采用木质结构建筑,没有使用网络线路,采用早期的电脑交换线路连接,所以无法实现网络的整体接入。对老校区的改造,在保证不改变原有线路的同时,购入数台帧中继交换机和支持帧中继功能的路由器,利用原有的电话线网络,改造为帧中继交换网络,这样内网接入速度可以达到45MB/S,基本上能够完成用户日常使用网络的需要。帧中继网络,采用点对多点的接入方式,通过帧中继交换机进行数据包转发。另外,通过该交换机接入路由器(网关),通过该网关接入校园网。
   由于网络数量众多,原有的静态路由已经无法满足复杂网络的需要了,虽然在理论上通过静态路由的重设置能够实现网络互联,但是工作量非常大,而且在网络环境发生改变时,很难进行维护,于是采用动态路由技术,在RIP和OSPF的选择中,优先采用OSPF技术,因为RIP在网络规模上只支持15跳,虽然暂时可以满足当前网络规模,但是要考虑到扩展性,所以全校的网络环境优先采用OSPF动态路由协议,该协议支持动态路由更新,支持路径优先选择,能够很好地支持校园网的实施,实施后,网络状态稳定,各个网段连接正常。    在核心层上端,接入防火墙设备用于连接广域网,本次校园网改造用两个防火墙连接广域网,分别从电信和联通两家互联网运营商接入互联网,其中电信线路作为主线路,作为校园网日常使用互联网的主接入口,而联通线路则用作备份线路,用于保证在断网的情况下,用户的工作不受影响。这里需要通过策略路由和热主机备份功能实现。在防火墙上,为了节省公网IP资源,采用了动态NAT负载技术,实现校园网的所有用户能够同时访问公网,本案例中,学校申请了5个公网IP地址,通过这5个地址完成校园网用户的共享上网。
   到这里,校园网的前期改造计划已经基本完成,在众多的设计中,主要从三个方面考虑,进行了网络改造,首先是速度方面,校园网的改造要保证网络速度有质的提高,这里主要通过核心层的改造来完成,通过硬件设备的替换和网络负载的实施,有效提高网络对数据包的转发能力,减少终端延迟。另外,对网络中对实时性要求很高的数据进行网络策略的设置,提高相关数据包的优先级。其次考虑网络安全,网络安全是通过汇聚层的设置完成的,这里包含了vlan的划分,减少广播数据包对网络的影响,防止监听,通过对访问列表的设置,对相关数据包进行屏蔽,减少非法数据包对服务器的访问,同时,在该层设置DMZ区域,将服务器集中在该区域进行统一管理,同时在该区域添加网管主机,利用网管主机对数据包进行全程监控,这里是通过端口镜像技术实现的。最后,考虑网络的稳定性,利用热主机备份技术,申请两条公网线路,一条走电信线路,出口带宽1GB,由于宁波市校园网是电信线路,所以该线路作为主线路,另外申请一条联通线路,出口带宽40MB,作为备用线路,利用热主机备份技术,正常情况下所有数据包在访问外网时走电信线路,在电信线路遇到故障临时关闭时,采用联通备份线路,由于采用热主机备份技术,采用的是虚拟网关,所以在校园网发生线路切换时,用户根本感觉不到任何影响,数据包会只能选择相关线路向外传送数据包,这样,整个校园网的稳定性大大提高了。
   校园网通过如上的改造,在稳定性、安全性、高速性上都得到了加强,整个网络的数据吞吐能力得到提高。另外,DMZ区域的出现,实现了服务器和终端設备的分别管理,管理员在DMZ区域只要通过简单的网管主机软件,就可以对校园网访问服务器的数据进行全程监控。流量整形技术的出现,可以实现终端设备限速访问互联网,对终端用户也进行了一定的约束,防止网络带宽被恶意占用。
   参考文献:
   [1][美]瓦尚(Vachon,B.),[美]格拉齐亚尼(Grazi-ani,R.).思科网络技术学院教程CCNA Exploration:接入WAN[M].思科系统公司,译.北京:人民邮电出版社,2009.
   [2][美]唐纳修.Network Warrior:思科网络工程师必备手册(影印版)[M].南京:东南大学出版社,2011-10.
  ◎编辑 马燕萍
转载注明来源:https://www.xzbu.com/1/view-15115589.htm