摘 要:校園網(wǎng)升級是一個系統(tǒng)工程，要確保升級工作按期順利完成，必須做好升級前的數(shù)據(jù)統(tǒng)計和網(wǎng)絡(luò)規(guī)劃工作。本文通過介紹中國農(nóng)業(yè)大學(xué)校園網(wǎng)升級前所進行的工作，指出在網(wǎng)絡(luò)升級前所要做的準備。

關(guān)鍵詞:CNGI;網(wǎng)絡(luò)升級

中圖分類號:TP393.18文獻標識碼:B文章編號:1673-8454(2010)21-0020-03

一、引言

由于網(wǎng)絡(luò)規(guī)模的持續(xù)擴大和新業(yè)務(wù)需求不斷增長，IPv4面臨著地址空間不足、網(wǎng)絡(luò)安全漏洞多、服務(wù)質(zhì)量不佳、缺乏運營管理有效機制等方面的問題，許多國家都相繼制定了下一代互聯(lián)網(wǎng)發(fā)展計劃。CNGI項目是由國家發(fā)改委正式批準的中國下一代互聯(lián)網(wǎng)示范工程。下一代互聯(lián)網(wǎng)顧名思義即不同于現(xiàn)在的互聯(lián)網(wǎng)，地址空間比現(xiàn)在更大，網(wǎng)絡(luò)速度比現(xiàn)在更快，網(wǎng)絡(luò)更安全，對于用戶而言將會更便捷。中國農(nóng)業(yè)大學(xué)校園網(wǎng)升級是CNGI項目的子項目，網(wǎng)絡(luò)升級改造后將實現(xiàn)IPv4/IPv6雙棧及網(wǎng)絡(luò)主干萬兆，建立安全、可控、可管和可運營的下一代校園網(wǎng)運行環(huán)境，實現(xiàn)校園網(wǎng)用戶的IPv6普遍訪問和校園網(wǎng)信息資源的IPv6普遍服務(wù)。

二、升級的準備工作

中國農(nóng)業(yè)大學(xué)校園網(wǎng)在升級之前的網(wǎng)絡(luò)現(xiàn)狀是:東、西兩個校區(qū)的網(wǎng)絡(luò)是由三個核心交換機和匯聚交換機連接，匯聚交換機再接入相連的結(jié)構(gòu)，如圖1所示。

升級后的校園網(wǎng)絡(luò)實現(xiàn)核心層、匯聚層、接入層的三層結(jié)構(gòu)。東、西兩個校區(qū)實現(xiàn)雙鏈路互聯(lián)，匯聚層雙上聯(lián)。升級需更換核心交換機、匯聚交換機和接入交換機等，如圖2所示。

校園網(wǎng)升級工作量大、作業(yè)周期短，因此要最大限度地減少對用戶的影響，保證在計劃的時間內(nèi)順利完成升級任務(wù)，充分而周密的準備工作是非常重要的。

數(shù)據(jù)統(tǒng)計和網(wǎng)絡(luò)規(guī)劃工作包括核心交換機選型與配置、確定接入交換機數(shù)量、確定光纖跳線、確定設(shè)備命名原則、統(tǒng)計用戶VLAN數(shù)量、劃分接入交換機的管理IP地址以及構(gòu)筑安全策略。

1.核心交換機的選型與配置

核心交換機選型的原則包括功能性、拓展性、穩(wěn)定性和經(jīng)濟性。

(1)功能性原則:主要是確定核心交換機的業(yè)務(wù)插板類型和數(shù)量，以滿足校園網(wǎng)整體升級的設(shè)計方案。根據(jù)網(wǎng)絡(luò)的實際需求確定核心交換機所需的模塊類型和數(shù)量，根據(jù)模塊類型和數(shù)量確定交換機接口類型和數(shù)量，最后根據(jù)接口的類型和數(shù)量確定交換機業(yè)務(wù)插板的配置。

(2)拓展性原則:在充分考慮鏈路備份和今后網(wǎng)絡(luò)拓展等因素的基礎(chǔ)之上，設(shè)計并配置的模塊數(shù)量和接口數(shù)量要比實際所需的模塊數(shù)量多，按照慣例，多配置50%作為備份同時接口數(shù)量可根據(jù)實際和預(yù)留總模塊數(shù)推算出來。

(3)穩(wěn)定性原則:核心交換機的選擇直接影響網(wǎng)絡(luò)的穩(wěn)定性和安全性。因此，要充分對比各種產(chǎn)品的穩(wěn)定性指標。

(4)經(jīng)濟性原則:充分考慮和對比各種產(chǎn)品和配置方案的性價比，實現(xiàn)性價比最佳。

基于以上四個原則，先選擇交換機的插板類型和數(shù)量，并根據(jù)交換機的插板類型和數(shù)量決定一臺核心交換機的整體配置。對于其他有業(yè)務(wù)插槽的匯聚交換機也采用同樣的原則進行配置。

本次校園網(wǎng)升級共選定了7臺核心交換機，并預(yù)制和預(yù)留了模塊和接口。

2.確定接入交換機數(shù)量

接入交換機主要分布在每棟樓宇的內(nèi)部，與用戶計算機相連。接入交換機數(shù)量的確定在整個升級工作中非常重要。接入交換機在校園網(wǎng)升級中數(shù)量較大，該數(shù)量一定要把握準確，設(shè)計數(shù)量如果比實際需求量多則會導(dǎo)致不必要的浪費，如果比實際需求量少則會導(dǎo)致某些樓宇內(nèi)的交換機不能同步升級。因此，在接入交換機數(shù)量的確定中采用了以下公式:

SLN=PLN /n

SLN是接入交換機的數(shù)量;PLN是樓宇內(nèi)布線總點數(shù);n是單臺接入交換機的端口數(shù)。通常使用的都是48口接入交換機，所以公式中n=48。計算結(jié)果，如果余數(shù)大于24但小于48，就增加一臺48口交換機，如果結(jié)果小于24就增加一臺24口交換機。這樣就可以確定一棟樓所需接入交換機的數(shù)量(SLN)。最后把相關(guān)樓宇的交換機數(shù)量相加，就可確定全校網(wǎng)絡(luò)升級所需的接入交換機的總量，當然，有必要再增加2~3臺作為備份用機。

依照以上接入交換機數(shù)量的確定方法，本次校園網(wǎng)升級共選用了176臺交換機。

3.確定光纖跳線

光纖是用來連接樓宇之間的鏈路。樓宇之間的光纖類型決定光纖跳線和交換機模塊的選擇。光纖類型確認工作的錯誤，會導(dǎo)致模塊和光纖跳線選擇錯誤，在交換機調(diào)試時出現(xiàn)不能聯(lián)通的現(xiàn)象，從而導(dǎo)致整棟樓甚至某個區(qū)域不能上網(wǎng)。光纖的芯數(shù)直接影響交換機冗余鏈路、雙上聯(lián)和捆綁鏈路。

此次校園網(wǎng)升級，是在原有光纖鏈路的基礎(chǔ)上對網(wǎng)絡(luò)設(shè)備進行升級，要確定樓宇之間的光纖類型和芯數(shù)，依據(jù)原有的資料和實地勘查進行統(tǒng)計。光纖類型和芯數(shù)統(tǒng)計完成后，通過統(tǒng)計結(jié)果可確定光纖跳線的類型和數(shù)量。

光纖跳線確定原則:根據(jù)樓宇之間的光纖類型確定跳線的類型，根據(jù)核心交換、匯聚交換機的模塊接口類型和光纖配線架接口類型確定跳線的接口類型。光纖跳線的數(shù)量統(tǒng)計原則是:核心交換機每個接口配置兩條光纖跳線，有一條作為備份，以備其中一條跳線出問題后使用。每種類型的跳線在統(tǒng)計完成后，要根據(jù)具體情況增加10%條作為備份。

依照以上原則，本次升級共需要單模跳線178條，多模跳線344對。

4.確定設(shè)備命名原則

為了規(guī)范設(shè)備命名和便于遠程管理，要規(guī)劃好網(wǎng)絡(luò)設(shè)備的命名原則。命名要包含設(shè)備的如下信息:

(1)所在空間信息(樓宇、樓層、區(qū)域代碼等);

(2)遠程管理信息(管理地址、堆疊編號等);

(3)設(shè)備信息(生產(chǎn)廠商、設(shè)備型號等)。

根據(jù)以上命名原則，在中國農(nóng)業(yè)大學(xué)網(wǎng)絡(luò)升級中三層設(shè)備的命名規(guī)范如下:

“校區(qū)代碼-樓宇拼音或簡寫-管理lookback地址的最后一個數(shù)”。該命名規(guī)范可以確定交換機所在的校區(qū)、樓宇和管理地址。例如:“W_OldHome_8”表示西區(qū)老家屬區(qū)管理IP地址最后一個數(shù)是8。三層設(shè)備包括核心交換機和匯聚交換機。

二層設(shè)備的命名規(guī)范如下:

“廠商類型-設(shè)備類型-匯聚節(jié)點設(shè)備名稱-管理IP地址最后一個數(shù)-堆疊編號”。

該命名規(guī)范可以確定交換機的廠商、型號、上聯(lián)設(shè)備名稱、管理地址、堆疊數(shù)量及編號。例如:“W_Stu3#RG-S2652G-1”表示西區(qū)學(xué)生宿舍3號樓銳捷S2652型號交換機，此交換機沒有與其他交換機進行堆疊。二層設(shè)備主要是接入層交換機。

5.統(tǒng)計用戶VLAN數(shù)量

用戶VLAN將同一棟樓或同一單位的用戶劃分在相同的邏輯組內(nèi)，用來抑制廣播風(fēng)暴、靈活的管理用戶和確保網(wǎng)絡(luò)安全。本次網(wǎng)絡(luò)升級的原則是:保留原有用戶VLAN，一個VLAN在同一匯聚交換機上配置和使用，其他匯聚交換機不能再進行配置和使用，便于網(wǎng)絡(luò)配置和管理。用戶VLAN信息包括:用戶VLAN的ID、IP地址范圍、用戶是否自動獲取IP地址。根據(jù)原核心交換的配置，獲取每個VLAN的信息，對升級后的匯聚交換機進行配置設(shè)定。

6.劃分接入交換機的管理IP地址

交換機在配置IP地址后可進行遠程管理、修改配置、交換機軟件升級等操作，便于網(wǎng)絡(luò)管理員監(jiān)控交換機。接入交換機劃分到不同的VLAN中，可使交換機運行更加穩(wěn)定、安全。在網(wǎng)絡(luò)升級前，首先要規(guī)劃交換機管理IP段，核心和匯聚交換機在同一IP地址段內(nèi)，接入交換機根據(jù)物理區(qū)域劃分到不同的IP地址段內(nèi)。最后為每個交換機分配管理IP地址。

7.構(gòu)筑安全策略

交換機運行正常，網(wǎng)絡(luò)才能正常運行，用戶就不會出現(xiàn)斷網(wǎng)現(xiàn)象。為防止交換機受攻擊，在交換機上需要配置一些安全策略。不同類型的交換機考慮配置的安全策略不同，一般核心和匯聚交換機配置相同的安全策略，連接用戶的接入交換機配置相同的策略，下面分別進行說明。

(1)核心和匯聚交換機:要考慮防止病毒和黑客的攻擊，可利用交換機ACL限定可遠程訪問交換機的主機IP地址，禁止TCP和UDP的端口號。

(2)接入交換機:要考慮抑制廣播風(fēng)暴，防止ARP攻擊，防止路由環(huán)路。可以在交換機的接口上配置廣播風(fēng)暴抑制比例，限定ARP包的傳輸速率，在交換機上啟用spanning-tree功能和一些防止路由環(huán)路的功能。網(wǎng)絡(luò)病毒的種類和黑客的攻擊手段在不斷變化和提高，所以交換機的安全策略配置在網(wǎng)絡(luò)運行過程中會相應(yīng)改變。

三、結(jié)論

以上是網(wǎng)絡(luò)升級前需要做的數(shù)據(jù)統(tǒng)計和網(wǎng)絡(luò)規(guī)劃工作。校園網(wǎng)升級能否順利進行，在很大程度上取決于統(tǒng)計信息的準確性、規(guī)劃的合理性、考慮的全面性。校園網(wǎng)升級是一個系統(tǒng)工程，認真做好升級前的準備工作，全面考慮各種因素，才能使網(wǎng)絡(luò)升級工作按計劃、有條理地順利進行。

中國農(nóng)業(yè)大學(xué)校園網(wǎng)設(shè)備升級從2009年7月開始，歷時兩個月圓滿完工，由于前期準備工作充分，在施工中搭建臨時的網(wǎng)絡(luò)環(huán)境跳接等，減少了斷網(wǎng)時間，使得網(wǎng)絡(luò)升級能很順利地完成。

參考文獻:

[1]汪崴.校園網(wǎng)升級規(guī)劃及實現(xiàn)方法[J].電腦知識與技術(shù).2009(6):4399-4401.

[2]顧曉燕.校園網(wǎng)升級改造的規(guī)劃和實現(xiàn)[J].無錫職業(yè)技術(shù)學(xué)院學(xué)報.2005(9):27-29.

(編輯:金冉)