車兆東，鄧擁軍

(中國海洋大學網絡與信息中心，山東青島266100)

中國海洋大學校園網現狀分析

車兆東，鄧擁軍

(中國海洋大學網絡與信息中心，山東青島266100)

中國海洋大學目前的校園網建設完成于2006年8月。經過幾年來的使用，網絡結構、核心設備性能等出現一些問題，已經不能完全滿足目前的應用需求。對中國海洋大學校園網的現狀從網絡結構、核心設備、路由設置、安全設置等方面進行了詳細的論述，并對存在的問題進行了有效的分析。

校園網；網絡分析；網絡優(yōu)化；網絡結構

一、引言

校園網絡是以計算機網絡技術為基礎的區(qū)域教育信息化集成應用系統(tǒng)。它是以計算機網絡技術為基礎、以網絡教育資源與網絡教育軟件為核心、以構建現代教育和管理模式為目的、以提高教學與管理效益為根本、為學校教育信息化提供全方位服務的教育網絡。

隨著網絡技術的不斷發(fā)展，人們對網絡也有著不同的需求和解決方案。傳統(tǒng)的校園網建設中，需要優(yōu)先解決的問題是校園網內部較為簡單的互聯互通應用的需求，因此主要對校園網的互聯帶寬和網絡設備的端口密度提出了要求。而隨著用戶數量越來越多，校園網的應用類型和業(yè)務種類越來越豐富，網絡流量越來越復雜，對網絡設備本身在實際應用中的性能、多業(yè)務支持和保障能力以及網絡的穩(wěn)定可靠性方面都提出了更高的要求。

中國海洋大學校園網作為中國教育科研和計算機網（簡稱CERNET）的全國38個主干節(jié)點之一，承擔著青島主節(jié)點的建設任務，擔負著青島地區(qū)教育機構接入CERNET的保障工作。隨著接入學校（或部門）、接入用戶的增多，青島主節(jié)點接入CERNET的2.5G出口容量日趨緊張，面臨著10G擴容的要求。同時隨著下一代互聯網（IPv6）的迅猛發(fā)展，青島地區(qū)各高校接入中國教育科研IPv6網絡（CERNET2）也勢在必行。

二、中國海洋大學校園網現狀

中國海洋大學校園網由嶗山校區(qū)網絡、魚山校區(qū)網絡和浮山校區(qū)網絡組成，目前的校園網建設完成于2006年8月，采用了萬兆核心、匯聚雙萬兆上聯的骨干網絡，基本實現了用戶百兆、千兆到桌面的接入，三校區(qū)之間通過光纖環(huán)型鏈接實現萬兆互聯，校園網網絡拓撲結構如圖所示，即使某個鏈路發(fā)生故障也不會影響到三校區(qū)的互通，具有較好的冗余度和可靠性。在網絡安全管理和用戶管理方面采取了虛擬網絡、訪問控制、防火墻、流量管理系統(tǒng)、網絡防病毒系統(tǒng)、網絡計費管理系統(tǒng)等安全措施。在下一代互聯網建設方面，校園網每一個用戶都可以通過雙棧方式實現IPv6訪問。校園網上采取的各種技術措施、安全措施為運行在校園網絡上的各種教學活動和教學管理系統(tǒng)提供了一定的技術保障。

1.網絡結構

三個校區(qū)之間校園網絡采用萬兆環(huán)網互聯。

嶗山校區(qū)網絡采用三層網絡架構，即核心層、匯聚層和接入層。核心層網絡設備為兩臺Cisco 6500系列交換機（A和B）和一臺H3C 9500系列交換機（C）；匯聚層分院系區(qū)、圖書館區(qū)、行遠樓區(qū)、教學區(qū)、北區(qū)生活區(qū)、南區(qū)生活區(qū)、服務器區(qū)七個物理區(qū)域，匯聚層網絡設備為：兩臺Cisco 6500系列交換機、兩臺H3C 9500系列交換機、三臺H3C 7500系列交換機；接入層網絡設備為H3C的各種型號的千兆或百兆交換機。

魚山校區(qū)網絡和浮山校區(qū)網絡采用了核心和接入兩層網絡結構。核心層網絡設備各為一臺Cisco 6500系列交換機；接入層網絡設備為H3C的各種型號的千兆或百兆交換機。

2.校園網邊界網絡

校園網邊界出口路由器為一臺Cisco 7600系列路由器，它同時也是CERNET青島地區(qū)各高校的CERNET網絡接入路由器，該設備只有一塊引擎板卡。

CERNET青島地區(qū)主節(jié)點的出口路由器為一臺單引擎的Cisco 7600系列路由器，2.5G鏈路連接到濟南的山東大學節(jié)點。

學校校園網出口有三條，兩條1G鏈路連接至CERNET青島地區(qū)主節(jié)點的出口路由器，1條500M的聯通出口。

3.用戶管理

校園網用戶管理區(qū)域劃分為辦公區(qū)和學生生活區(qū)。

辦公區(qū)：采用億郵寬帶認證計費管理網關，用戶IP地址為管理員人工靜態(tài)分配，IP地址與MAC地址綁定由各區(qū)域的匯聚交換機完成。辦公區(qū)用戶每人使用一個合法賬號，在校園網內“漫游”，不受限制于某一個固定的IP地址。

學生生活區(qū)：采用城市熱點計費網關Dr.COM，對接入用戶采用802.1x認證，使用DHCP（Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議）動態(tài)分配IP地址。

4.VLAN設置

校園網主要通過VLAN隔離，生活區(qū)部分交換機通過PVLAN即私有VLAN（Private VLAN），實現端口隔離。多數VLAN終結于區(qū)域匯聚交換機，少數VLAN全網透傳，如VLAN2網管網段，VLAN512校園智能卡網段，VLAN100-110服務器網段等。

5.數據中心網絡接入

校園網數據中心由一臺服務器匯聚Cisco 6500系列交換機擔任所有服務器的接入。中心現有60多臺服務器，大部分單網口連接在服務器匯聚交換機上；其他單位40多臺服務器托管在中心機房，中心提供服務器的網絡接入及環(huán)境保證，服務器的系統(tǒng)由設備歸屬單位維護。

數據中心現有SAN存儲陣列一套IBM DS4800，存儲容量為30T，為郵件、FTP等業(yè)務系統(tǒng)使用。

學校校園網上承載有多個業(yè)務系統(tǒng)，多為B/S架構，如數字化校園、校園智能卡系統(tǒng)、人事管理系統(tǒng)、科研管理系統(tǒng)、選課系統(tǒng)、圖書管理系統(tǒng)、BBS、FTP校內共享資源下載系統(tǒng)、視頻組播系統(tǒng)等。全校各業(yè)務系統(tǒng)各自采用手工數據備份，沒有統(tǒng)一的自動備份恢復機制及異地災備系統(tǒng)。

6.路由設置

核心與核心間和核心與匯聚間運行OSPF（Open Shortest Path First，開放式最短路徑優(yōu)先）（OSPFv2和OSPFv3），根據路徑cost值的不同選擇最優(yōu)路由。骨干區(qū)域Area0，覆蓋了魚山校區(qū)核心、浮山校區(qū)核心、嶗山校區(qū)核心及嶗山校區(qū)區(qū)域匯聚，用戶路由位于其他區(qū)域。

核心交換機和區(qū)域邊界路由器之間運行靜態(tài)路由協(xié)議，為了滿足生活區(qū)和辦公區(qū)流量分流的要求，在核心交換機中使用PBR策略路由。

7.組播設置

組播源分布于各個校區(qū)，采用PIM-DM組播路由協(xié)議，提供校園電視廣播服務。用戶通過IGMP或MLD協(xié)議加入或退出組。

8.安全設置

兩臺核心交換機A和B各配有一個防火墻模塊，采用流量分擔的雙主工作方式。每個模塊虛擬為5臺防火墻（CERNET、Insvr1、Insvr2、ykt、shenhuoqu）：CERNET為內外網之間虛擬防火墻；Insvr1為服務器1區(qū)虛擬防火墻；Insvr2為服務器2區(qū)虛擬防火墻；ykt為校園智能卡區(qū)虛擬防火墻；shenhuoqu為外網和生活區(qū)之間虛擬防火墻。

在其中一臺核心交換機上配有一塊IDP流量分析模塊，對流量進行檢測分析預警。

校園網安全設置除了VLAN、防火墻、流量分析模塊之外，還在校園網出口部署有流量監(jiān)控管理系統(tǒng)，對校園網出口鏈路上的應用類型進行帶寬管理，在保證Web流量的前提下，有效限制P2P流量。

9.網絡應用性能測試

（1）Ping外網服務器，比如新浪，延時為13ms。

（2）Ping內網服務器如信息化門戶，延時在1ms以內。

（3）辦公區(qū)訪問校內資源延時在1ms以下，出口流量延時較大，約為13ms左右，校內FTP下載平均速率約為80Mb／s。

（4）校園網核心到出口路由器線路利用率高達80%以上，宿舍區(qū)、教學區(qū)和服務器區(qū)訪問量比較大。

（5）聯通出口帶寬500M幾乎滿負荷運行，以生活區(qū)、賽爾網絡和信息學院的訪問量居多。經限速后，以Web訪問量居多，最高并發(fā)數可到21萬。

（6）教育網出口帶寬利用率已達60%，以生活區(qū)、賽爾網絡和信息學院的訪問量居多。經限速后，Web訪問量為主，最高并發(fā)數可到81萬。

三、中國海洋大學校園網存在的問題及分析

1.二層廣播域過大

目前校園網的核心交換機和區(qū)域匯聚交換機之間雖然運行的是三層路由協(xié)議，但是設備之間互聯的接口都是使用的二層交換端口，即把接口類型封裝成802.1Q，并允許相應的VLAN通過，包括二層互聯接口的三層虛接口及其他VLAN，從而造成配置復雜、不容易閱讀、二層廣播域范圍擴大等問題。

VLAN是網絡用戶和資源的邏輯分組，給不同的子網分配不同的端口,從而創(chuàng)建更小的廣播域。VLAN的作用本是分割廣播域，但目前學校設置的VLAN太大，無法減少廣播消耗掉更多帶寬的影響，無法避免大二層網絡的種種問題。大量的用戶、應用處于同一個VLAN廣播域內，沒有有效的隔離措施和保障手段，相互之間的干擾和影響嚴重。如目前在校園網中普遍存在的ARP病毒和DHCP仿冒等，導致終端接入網絡的問題頻發(fā)，網絡管理員疲于奔命。

2.環(huán)路預防及STP問題

由于交換域過大，為避免STP（Spanning Tree Protocol，生成樹協(xié)議）所帶來的網絡震蕩，目前校園網的匯聚層和接入層設備已關掉STP功能。由于關閉STP,失去了STP的環(huán)路預防功能，環(huán)路所帶來的網絡風險（廣播風暴等）常常無法避免。

STP一直以來都是校園網頭痛的問題，難以設計和部署，轉發(fā)和阻塞端口較難規(guī)劃，出現鏈路或者故障時難以定位，并且存在較長的收斂時間，對校園網承載的應用影響很大。

3.組播穩(wěn)定性

校園網的核心交換機上的組播報文是集中式轉發(fā)機制，核心交換機運行一段時間后，組播進程會消耗大量的資源，導致核心交換機幾近癱瘓，帶來比較嚴重的網絡隱患。

匯聚層交換機在開啟IPv6組播業(yè)務時，由于設備不支持基于硬件的IPv6組播流量復制轉發(fā)，經常會導致設備CPU利用率上升至100%，影響其他業(yè)務的正常運行，甚至造成業(yè)務中斷。因此，目前中國海洋大學校園網還未部署IPv6組播業(yè)務。

4.核心設備性能問題

校園網的核心交換機A及核心交換機B、邊界路由器，整機性能支持30Mpps包轉發(fā)率。由于這些設備配置的板卡沒有配置DFC（Distributed Forwarding Card，分布式轉發(fā)子卡），所以就成了集中轉發(fā)模式，所有三層轉發(fā)，包括單播和組播，都會送到引擎集中處理。

當核心交換機開啟PBR（Policy-Based Routing，策略路由）、組播后，經常會導致核心交換機的CPU利用率上升。因為PBR策略路由軟件進行處理，而不是用設備硬件ASIC芯片進行處理，占用設備CPU資源，過多的流量使用PBR，會使設備的CPU利用率急劇升高。隨著未來網絡管理的精細化，現有的核心設備的性能將不足以支撐這些功能的應用。

5.防火墻性能問題

校園網的核心交換機A及核心交換機B各部署一塊防火墻模塊，此防火墻模塊性能為：吞吐量5.5G，并發(fā)連接數100萬，新建連接數每秒1萬。校園網的出口安全防御和數據中心的安全防御都由防火墻模塊完成，兩塊防火墻模塊做雙主的部署模式，旨在起到互為備份、負載均衡的效果。

共劃分了5個虛擬防火墻，分別是辦公區(qū)虛擬防火墻、服務器1區(qū)虛擬防火墻、服務器2區(qū)虛擬防火墻、校園卡系統(tǒng)虛擬防火墻、學生生活區(qū)虛擬防火墻，其中辦公區(qū)虛擬防火墻、服務器1區(qū)虛擬防火墻、服務器2區(qū)虛擬防火墻、校園卡系統(tǒng)虛擬防火墻都位于核心交換機A的防火墻模塊上，學生生活區(qū)防火墻位于核心交換機B的防火墻模塊上。

白天核心交換機A防火墻模塊的壓力比較大，因為白天絕大多數流量都是和教學辦公及訪問數據中心服務器相關的，晚上核心交換機B的防火墻壓力比較大，因為晚上大多數都是生活區(qū)的流量。通過辦公區(qū)虛擬防火墻的最大并發(fā)連接數為80萬，再加上2個服務器的虛擬防火墻的并發(fā)連接，已經超出核心交換機A防火墻模塊的處理能力，目前核心交換機A的防火墻模塊已經成為帶寬瓶頸。核心交換機B的防火墻模塊最大的并發(fā)連接數也有85萬，2臺防火墻模塊均正常工作情況下，白天核心交換機A的防火墻模塊已經處于飽和狀態(tài)、晚上核心交換機B的防火墻模塊也基本處于飽和狀態(tài)，一旦某個防火墻模塊出現故障，將導致網絡性能大大下降，嚴重影響校園網用戶的上網性能。

目前防火墻的雙主工作方式存在設計缺陷，必須手工切換配置才能完成主備防火墻的切換，導致故障發(fā)生時，無法實現雙機的可靠性。而且虛擬防火墻錯綜復雜，流量多次進出防火墻模塊，效率低下，如生活區(qū)訪問服務器區(qū)需經過三次防火墻。由于控制點的分散，導致出現問題后，涉及到多個層面的多個設備，故障點很難定位，故障修復時間較長。

6.數據中心網絡設置問題

校園網的數據中心服務器匯聚、接入交換機只有一臺Cisco交換機，并且只有一個引擎，存在單點故障，可能引發(fā)全網業(yè)務中斷。

服務器接入交換機到核心交換機采用二層互聯，大部分服務器的網關都位于虛擬防火墻上，校園卡系統(tǒng)的服務器的網關位于核心交換機上，網關的冗余是采用核心交換機的HSRP（Hot Standby Router Protocol熱備份路由器協(xié)議）或虛擬防火墻實現，服務器接入二層到核心有可能會出現二層環(huán)路或二層病毒，從而影響核心交換機的正常工作。

7.路由設置問題

目前校園網路由是由OSPF（OSPFv2和OSPFv3）、策略路由PBR、靜態(tài)三種形式組成。

OSPF區(qū)域規(guī)劃不合理，骨干區(qū)域Area0范圍過大，覆蓋了魚山校區(qū)核心、浮山校區(qū)核心、嶗山校區(qū)核心及嶗山校區(qū)區(qū)域匯聚，可能會產生如下問題：

（1）骨干區(qū)域Area0中每臺設備都維護全網的鏈路狀態(tài)數據庫，對設備資源（內存）占用大，由于核心設備、各區(qū)域匯聚設備處理能力不同，影響全網路由收斂時間。

（2）鏈路出現震蕩，會導致網絡中的路由器頻繁刷新鏈路狀態(tài)數據庫，造成網絡不穩(wěn)定。

（3）網絡中區(qū)域邊界路由器ABR（Adaptive Bit Rate，自適應比特率）過多，不便于做路由過濾或路由策略，如生活區(qū)的路由不發(fā)布到的教學辦公區(qū)。

（4）核心交換機和區(qū)域邊界路由器之間運行靜態(tài)路由協(xié)議，為了滿足生活區(qū)和教學辦公區(qū)流量分流的要求，在核心交換機中使用PBR策略路由，因為PBR策略路由由軟件進行處理，而不是用設備硬件ASIC芯片進行處理，占用設備CPU資源，過多的流量使用PBR，會使設備的CPU急劇升高，如把魚山校區(qū)的流量遷移到核心B上，核心B的CPU利用率就會在50%以上，造成網絡不穩(wěn)定。

8.校園網出口線路擁塞問題

隨著中國海洋大學校園網用戶的不斷擴大，用戶訪問量的增加，無論是教育網線路還是聯通線路，網絡出口線路幾乎都是滿負荷運行。

四、結束語

一個網絡系統(tǒng)，無論當時的設計考慮多么完善，但是隨著網絡技術和網絡設備的發(fā)展，以及對系統(tǒng)應用的深入和應用范圍的日漸擴大，會逐漸暴露出一些問題。通過以上對中國海洋大學校園網現狀的分析，可以找出目前校園網存在的問題，這就為今后的網絡優(yōu)化以及升級改造提供了依據。☉

（編輯：楊馥紅）

book=2,ebook=6

TP393

A

：1673-8454(2012)09-0029-04