操驚雷

摘要：隨著教育信息化步伐的加快，作為數(shù)字化校園的網(wǎng)絡支撐環(huán)境建設和改造成為各學校信息化建設的基礎。高可用性校園網(wǎng)通信子系統(tǒng)的設計，成為校園網(wǎng)絡建設需要關注和解決的關鍵問題。該文通過需求、理論和實踐三個方面，設計既滿足支撐學校教學和管理需求、又能節(jié)約建設經(jīng)費的校園網(wǎng)通信子系統(tǒng)，以拋磚引玉。

關鍵詞：高可用性；通信子系統(tǒng)；設計

中圖分類號：TP271文獻標識碼：A文章編號：1009-3044(2012)24-5761-02

在傳統(tǒng)的客戶端/服務器環(huán)境中，校園網(wǎng)的作用僅僅是提供網(wǎng)絡連接。但是，在數(shù)字化校園建設全面鋪開的今天，校園網(wǎng)已經(jīng)成為學校支持新的應用，提高工作、學習效率，以及為學生、老師提供多種服務的關鍵。當今天的校園采取多種措施，擬將校園網(wǎng)絡建設或改造成為一種可以幫助師生提高教學與學效率的工具時，也必須設法保護網(wǎng)絡及其所傳輸?shù)臄?shù)據(jù)，確保網(wǎng)絡及其資源的安全性、可用性，同時還要降低開支。

一般而言，校園網(wǎng)可分為接入子網(wǎng)、通信子網(wǎng)、資源子網(wǎng)和存儲子網(wǎng)四個部分，通信子網(wǎng)由核心層、分布層和接入層組成，實現(xiàn)校園網(wǎng)內(nèi)部信息的交換和傳送。通信子網(wǎng)是指網(wǎng)絡中實現(xiàn)網(wǎng)絡通信功能的設備及其軟件的集合，通信設備、網(wǎng)絡通信協(xié)議、通信控制軟件等屬于通信子網(wǎng)，是網(wǎng)絡的內(nèi)層，負責信息的傳輸。主要為用戶提供數(shù)據(jù)的傳輸，轉接，加工，變換等[1]?？梢哉J為通信子網(wǎng)是校園網(wǎng)的核心部分，高可用性校園網(wǎng)通信子網(wǎng)設計，是校園網(wǎng)絡建設需要關注和解決的關鍵問題。

1校園網(wǎng)通信子系統(tǒng)設計需要解決的問題

校園網(wǎng)通信子系統(tǒng)設計需要注意以下問題：

1.1安全性保證

校園網(wǎng)絡環(huán)境主要是局域網(wǎng)，而傳統(tǒng)的局域網(wǎng)并不安全。據(jù)調(diào)查，校園網(wǎng)遭遇的安全威脅有一半以上來自于內(nèi)部網(wǎng)絡用戶有意或無意的攻擊，25%到30%的無線接入點是自行安裝的不安全的惡意設備[2]。同時，蠕蟲的泛濫也給校園網(wǎng)絡帶來巨大的損失。

校園網(wǎng)內(nèi)，任何一個角落的漏洞都有可能帶來大面積的災難。為了保護校園網(wǎng)絡，必須部署安全策略和機制，一方面防御外來入侵者，一方面確保內(nèi)部用戶的誠實性。這就意味著，校園網(wǎng)的通信子系統(tǒng)要設計安全措施：①防止外部黑客進入網(wǎng)絡；②進入校園網(wǎng)絡需要經(jīng)過授權；③能有效防止網(wǎng)絡內(nèi)部用戶發(fā)動有意的或者無意的攻擊；④為不同類型的用戶提供不同等級的訪問權限和速率限制。

1.2可用性保證

數(shù)據(jù)中心應用中斷帶來的直接損失將是巨大的，更是無可估量的。當學校把越來越多的關鍵應用和IP語音系統(tǒng)部署在園區(qū)/大樓網(wǎng)絡上時，他們把高可用性的要求提到了非常重要的地位。1.3可擴展性保證

信息化建設新技術不斷涌現(xiàn)，今天的校園網(wǎng)建設，都希望能充分發(fā)揮效益和保護投資，一旦新的技術出現(xiàn)時，新的應用和技術能順利地集成到校園網(wǎng)絡中去。

2網(wǎng)絡結構與設計理論

校園網(wǎng)通信子網(wǎng)，可通俗理解為一個學校的局域網(wǎng)絡，通過接入子系統(tǒng)連接Internet，在對內(nèi)部用戶提供流暢地訪問互聯(lián)網(wǎng)資源和內(nèi)部資源的通道的同時，還需要為外部用戶提供按規(guī)則訪問學校內(nèi)部資源的通道。如何在網(wǎng)絡高可用性、業(yè)務連續(xù)性、業(yè)務靈活性與延展性以及網(wǎng)絡性能提升等方面的綜合解決方案，是校園網(wǎng)通信子系統(tǒng)設計的目標。

在一些中小型網(wǎng)絡中，采用了兩級的設計，盡管這樣可以節(jié)省成本，但是，從路由協(xié)議的角度看，每個配線間中的所有三層交換機都是彼此“相鄰”的，這就意味著有很多臺相鄰的路由器，第三層路由協(xié)議的恢復速度將會比較慢。所以，校園網(wǎng)絡的通信子系統(tǒng)設計核心、分布和接入層三層結構。

2.1核心層雙機無憂

核心層是整個網(wǎng)絡的心臟，它將所有分布層、數(shù)據(jù)中心和WAN匯聚（兩個遠程站點之間的連接）連接起來。

雖然可以將多個核心節(jié)點合并到配備冗余交換管理引擎的單個機箱之中，以此節(jié)省一些成本，但從維護和運行的角度說，冗余拓撲結構可實現(xiàn)較好的收斂性和可用性。因此，為保證網(wǎng)絡安全可靠地運行，滿足數(shù)字化校園的業(yè)務需求，一般在核心層部署兩臺相同配置的高性能交換機，作雙機熱備，以冗余方式連接到所服務的每個匯聚設備，并提供足夠的端口數(shù)量、足夠大的背板帶寬，保證核心層完全滿足全網(wǎng)運行的交換容量。

為保證數(shù)字化校園的整體需求，在核心層交換機上配置相應數(shù)量的千兆電口模塊，用于與防火墻及數(shù)據(jù)中心服務器的連接。

在路由協(xié)議支持方面，整個網(wǎng)絡中可選用業(yè)內(nèi)使用最廣泛的OSPF、BGP、IS－IS和RIP版本2等基于標準的協(xié)議。網(wǎng)絡設計時，注重對這些協(xié)議的實現(xiàn)，為網(wǎng)絡故障防御和恢復提供獨立驗證和亞秒級收斂。

2.2模塊化保障分布層高可用性

網(wǎng)絡的分布層是接入層交換機的匯聚點。由于校園信息點比較多，采用高性能的模塊化的交換設備可顯著提高網(wǎng)絡整體性能，同時為保障關鍵應用，關鍵區(qū)域采用雙機方式提供設備級的冗余，在每臺匯聚層交換機上配置相應的模塊，通過兩條萬兆的鏈路連接到核心層交換機上，以提供網(wǎng)絡的冗余，提高網(wǎng)絡的可靠性。與接入層交換也采用萬兆的鏈路進行連接。

通過在分布層采用第三層交換和路由協(xié)議將每個VLAN隔離開，創(chuàng)建一個第三層連界，從而保護核心層免遭廣播風暴、潛在安全漏洞或生成樹配置錯誤的影響，第三層交換還可限制可能發(fā)生的路徑窺探，從而進一步提高網(wǎng)絡可擴展性。在整個校園網(wǎng)中，分布層設備提供符合VLAN802.1W標準的快速生成樹，確保對每個VLAN的快速故障切換。值得注意的是，每個配線間采用一個子網(wǎng)（VLAN）或者多個VLAN，盡可能要避免一個VLAN跨多個配線間。

為實現(xiàn)默認網(wǎng)關冗余，通過部署的熱備路由協(xié)議（VRRP），以確保當默認網(wǎng)關交換機發(fā)生故障時，存在一個備用交換機來接替工作。

在網(wǎng)絡設計中，性能是任何網(wǎng)絡設計中都必須考慮的一個重要因素，一個從接入層通過網(wǎng)絡一直到數(shù)據(jù)中心的1:1無阻塞防問的網(wǎng)絡是不實際的，需要設置一定的超額配置，經(jīng)驗值是從接入層到分布層為20:1的超額配置設計，從分布層到核心層為4:1的超額配置設計。

2.3永續(xù)性從接入層開始做起

接入層也常稱為“配線間”，它負責將用戶接入到網(wǎng)絡的其他部分。根據(jù)每個配線間根據(jù)信息點的數(shù)量，我們部署相應數(shù)量的接入層交換機，接入層交換機間采用堆疊的方式進行連接。每個堆疊塊與分布層交換機之間都是通過千兆的光纖鏈路進行連接。在關鍵應用區(qū)的接入層交換機上通過兩條千兆鏈路分別連接至匯聚層交換機上，以保證網(wǎng)絡的冗余。

接入層是進入網(wǎng)絡的第一個接入點，是對合法用戶和設備實行認證的理想地點（如防止惡意WLAN接入點等），接入層也是對用戶流量進行分類和實現(xiàn)端到端QOS控制的邏輯點。

對于接入層的安全性保障，我們可以設計：

①通過生成樹增強特性，建立BPDU Guard和Root Guard兩種防止非法交換機連接。

②通過基于端口的網(wǎng)絡訪問控制、802.1X與RADIUS服務器配合執(zhí)行基于端口的網(wǎng)絡訪問控制（802.1X IEEE標準）等技術，實現(xiàn)網(wǎng)絡信任與身份確認技術，

③通過技術手段防止中間人攻擊、DHCP監(jiān)聽、動態(tài)ARP檢測、IP Source Guard等措施，保障接入層的網(wǎng)絡安全，是保證校園網(wǎng)通信子系統(tǒng)安全的重要措施，在設計校園網(wǎng)的永續(xù)性接入層時，需要采用一定的技術手段，實現(xiàn)接入層的安全保障。

3高可用性校園網(wǎng)通信子系統(tǒng)設計

為更好地說明高可用性校園網(wǎng)通信子系統(tǒng)設計，我們通過圖1作簡要說明。

在圖1中的方框部分，是校園網(wǎng)通信子系統(tǒng)的網(wǎng)絡拓撲，整個通信子系統(tǒng)采用三層結構，并在核心層、分布層和接入層按該文第2部分的網(wǎng)絡結構設計理論，采用相關技術保證通信子網(wǎng)的高可用性。

本方案的核心層使用兩臺高性能核心交換機，作雙機熱備。通過調(diào)試，在兩臺交換機之間，通過心跳線相互通信，在無故障時，雙機作負載均衡，一旦某臺交換機出現(xiàn)故障，另一臺交換機立即負擔全部數(shù)據(jù)交換任務（關鍵業(yè)務分布層和關鍵業(yè)務接入層采樣相同配置，只不過配置的交換機性能與核心層不同）。

分布層和接入層按業(yè)務需求決定是否采用雙機模式。同時，在分布層，按配線間（或業(yè)務）劃分不同VLAN。該拓撲中，我們應根據(jù)實際需要，認真分析，決定使用性能不同的交換設備并按需求啟用相關功能，以保證并采用相關技術保證整個通信子網(wǎng)安全、可靠運行。

參考文獻：

[1]百度百科[EB/OL].http://baike.baidu.com/view/676314.htm.

[2] CNCERT/CC2010網(wǎng)絡安全調(diào)查報告,2010中國計算機網(wǎng)絡安全應急年會報告.