文/鄭宏濤 燕敏

隨著網(wǎng)絡(luò)的不斷發(fā)展和進(jìn)步，校園網(wǎng)的用戶規(guī)模和業(yè)務(wù)應(yīng)用也在不斷地增加。伴隨手機、平板電腦等智能終端逐漸普及，3G和移動互聯(lián)網(wǎng)等新技術(shù)快速發(fā)展，校園網(wǎng)用戶對訪問網(wǎng)絡(luò)的便捷性、易用性等提出了新的要求。因此，面對建立可運行、可管理的高效校園網(wǎng)需求，校園網(wǎng)的運行管理在新形勢下面臨著新的挑戰(zhàn)和機遇。

校園網(wǎng)除了一般網(wǎng)絡(luò)所具有的特點之外，還具有以下特殊的需求：

1.校園網(wǎng)的用戶具備一定的網(wǎng)絡(luò)知識和較強的動手能力，樂于嘗試各種新鮮的事情。校園網(wǎng)作為支持教學(xué)和科研基礎(chǔ)設(shè)施，成為實驗網(wǎng)絡(luò)理論的天然場所，其中不乏以惡作劇為目的的網(wǎng)絡(luò)攻擊行為。

2.作為支持學(xué)校教學(xué)科研的基礎(chǔ)設(shè)施，用戶在訪問校內(nèi)資源時不應(yīng)受到任何限制。計費策略僅在用戶訪問校外資源時生效。

3.帶寬使用具有明顯的峰谷規(guī)律：上午與下午的上課時間流量明顯低于晚上黃金時段，中午也是帶寬使用的小高峰。

4.流量行為具有明顯的應(yīng)用分類特征：如果不采取流控策略，10%的用戶有可能消耗掉90%的帶寬，且其中90%以上的均為P2P流量。所以必須在整個校園網(wǎng)出口對外網(wǎng)帶寬進(jìn)行合理的分配和調(diào)度，保證Web、在線視頻、VoIP等實時性強的業(yè)務(wù)，適當(dāng)限制P2P等大量消耗帶寬的應(yīng)用，確保高峰期每位用戶也能順暢地瀏覽網(wǎng)頁和觀看視頻。

5.校園網(wǎng)上應(yīng)用和系統(tǒng)的安全問題。校園網(wǎng)大量使用真實的教育網(wǎng)地址，如果沒有一定的安全策略，這些系統(tǒng)及校內(nèi)的應(yīng)用將直接暴露在網(wǎng)絡(luò)上，一旦被黑客攻擊或者利用將對校園網(wǎng)的安全和穩(wěn)定造成巨大危害。

針對以上五個問題，在校園網(wǎng)運行管理中必須切實做到以人為本、效率優(yōu)先，精細(xì)管理、提高體驗。以人為本、效率優(yōu)先即在校園網(wǎng)運行管理中要堅持網(wǎng)絡(luò)服務(wù)教學(xué)科研的基本原則，為廣大師生提供良好的網(wǎng)絡(luò)服務(wù)；維持校園網(wǎng)安全穩(wěn)定運行，保障基于校園網(wǎng)的各項業(yè)務(wù)和應(yīng)用能夠持續(xù)正常開展。精細(xì)管理、提高體驗即校園網(wǎng)運行管理中運行策略制定和實施要堅持以用戶為需求導(dǎo)向，盡量提高用戶的上網(wǎng)體驗。改變以往校園網(wǎng)粗放管理的運行模式，提供更多人性化的便捷服務(wù)。

圖1 萬兆升級改造前拓?fù)?/p>

兩方面優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)

西安石油大學(xué)于2012年5月份升級了出口帶寬，總帶寬由原來的500M電信+34M教育網(wǎng)提高到3條500M電信+300M聯(lián)通+100M教育網(wǎng)+200M IPv6。出口帶寬擴容消除了原有出口帶寬絕對不足的客觀問題，同時也帶來了新的問題。原有的核心交換設(shè)備、計費設(shè)備、流控設(shè)備和出口網(wǎng)關(guān)設(shè)備均為千兆設(shè)備，在出口為534M時可以滿足要求，在升級帶寬后無法滿足新的要求，需要對核心和出口設(shè)備進(jìn)行升級改造。

目前學(xué)校使用H3C S10508作為網(wǎng)絡(luò)的核心交換設(shè)備，計費采用的城市熱點萬兆計費網(wǎng)關(guān)（測試），出口采用Hillstone SG-6000-X6180（測試）作為出口網(wǎng)關(guān)。學(xué)生區(qū)用戶目前采用DHCP+認(rèn)證方式，家屬區(qū)采用靜態(tài)IP+認(rèn)證方式，辦公區(qū)使用靜態(tài)IP方式接入。用戶接入網(wǎng)絡(luò)即可使用校園網(wǎng)資源，僅在訪問校外資源時需要認(rèn)證。在核心網(wǎng)萬兆升級改造過程中，考慮目前網(wǎng)絡(luò)的發(fā)展趨勢和校園網(wǎng)用戶的使用特點，從校園網(wǎng)結(jié)構(gòu)和管理策略上進(jìn)行大規(guī)模的改進(jìn)和優(yōu)化。網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化主要從以下兩個方面進(jìn)行：1.改變原有的本部校區(qū)的二層網(wǎng)絡(luò)結(jié)構(gòu)，部署三層網(wǎng)絡(luò)結(jié)構(gòu)；2.在接入設(shè)備上部署安全防護(hù)策略，徹底杜絕私設(shè)DHCP服務(wù)器和ARP病毒引起的用戶側(cè)網(wǎng)絡(luò)故障。

圖2 萬兆升級改造后拓?fù)?/p>

圖3 DHCP工作流程

在校園網(wǎng)升級萬兆之前，網(wǎng)絡(luò)拓?fù)淙鐖D1所示。本部所有的用戶網(wǎng)段網(wǎng)關(guān)均集中在Cisco 6509，本部實際拓?fù)錇槎泳W(wǎng)絡(luò)。缺點則表現(xiàn)為：1.個別區(qū)域如果發(fā)生病毒攻擊網(wǎng)關(guān)，將會對核心6509交換機造成很大壓力進(jìn)而影響整個本部其他區(qū)域的網(wǎng)絡(luò)服務(wù)，不利于校園網(wǎng)整體的穩(wěn)定和安全；2.所有用戶網(wǎng)關(guān)都集中在一個設(shè)備上對該設(shè)備的硬件性能和穩(wěn)定性要求太高，存在潛在的轉(zhuǎn)發(fā)性能瓶頸和ARP表項不足問題；3.與其他校區(qū)核心設(shè)備之間維護(hù)的靜態(tài)路由條目繁多，管理復(fù)雜度增加。

進(jìn)行萬兆升級時充分考慮到二層的弊端及校園網(wǎng)用戶的特殊需求，本部所有區(qū)域的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分層整合和優(yōu)化。升級后的拓?fù)淙鐖D2所示，去掉原有的Cisco 6509，所有區(qū)域的匯聚設(shè)備與核心設(shè)備通過OSPF協(xié)議連接，用戶網(wǎng)關(guān)終結(jié)在各區(qū)域的匯聚設(shè)備上?？鐓^(qū)域的VLAN的網(wǎng)關(guān)設(shè)置在核心設(shè)備上，區(qū)域之間通過Trunk透傳。由于跨區(qū)VLAN大多是一卡通、監(jiān)控等特殊應(yīng)用，不存在用戶VLAN中的病毒攻擊問題，因此不會對核心設(shè)備造成太大的壓力。升級后，核心設(shè)備負(fù)責(zé)所有校區(qū)數(shù)據(jù)包的高速轉(zhuǎn)發(fā)和交換，區(qū)域匯聚設(shè)備負(fù)責(zé)本區(qū)用戶的交換和對外訪問的轉(zhuǎn)發(fā)，用戶因為操作不當(dāng)或者病毒攻擊對網(wǎng)絡(luò)所造成影響被隔離在本區(qū)域內(nèi)部，降低了整個校園網(wǎng)的運行風(fēng)險。

核心交換機通過OSPF協(xié)議與各區(qū)域之間連通，各區(qū)域分配不同AREA Number，區(qū)域內(nèi)的變化通過OSPF的AREA 0交換到所有其他區(qū)域。減少了所有區(qū)域都在AREA 0時路由變化所引起的OSPF計算開銷，保證校園網(wǎng)骨干網(wǎng)絡(luò)保持穩(wěn)定和安全。為進(jìn)一步提高設(shè)備的轉(zhuǎn)發(fā)效率，縮短轉(zhuǎn)發(fā)時路由查找時間可以選擇設(shè)置Stub Area。設(shè)置Stub Area后匯聚設(shè)備僅保留本區(qū)內(nèi)的直連路由，目的地址為區(qū)域外的數(shù)據(jù)包統(tǒng)一經(jīng)過默認(rèn)路由發(fā)送，可以極大減少匯聚設(shè)備的路由數(shù)量，提高轉(zhuǎn)發(fā)的效率。接入層設(shè)備上部署新的安全策略，該策略主要針對校園網(wǎng)中容易出現(xiàn)的局域網(wǎng)ARP病毒攻擊和學(xué)生在實踐網(wǎng)絡(luò)理論過程中可能出現(xiàn)的誤操作對網(wǎng)絡(luò)造成的影響。主要體現(xiàn)在以下四個方面：

以下安全防護(hù)策略主要以H3C設(shè)備為例，其他廠家設(shè)備也具有類似的功能但名稱可能不同。

1.開啟設(shè)備的DHCP Snooping功能，防止非法接入的DHCP服務(wù)器影響用戶上網(wǎng)。

DHCP工作流程如圖3所示，DHCP Snooping的工作原理是僅允許合法的DHCP服務(wù)器發(fā)送DHCP offer信息，其中包含DHCP server分配給客戶端的IP地址和DNS信息，非法的DHCP offer信息將被丟棄掉，同時生成IP地址和Mac的對應(yīng)關(guān)系表。根據(jù)此思路需要在將連接DHCP服務(wù)器所在的端口設(shè)置為信任端口以便合法的DHCP offer信息能順利通過，其他端口設(shè)置為非信任端口，阻止非法的DHCP offer信息通過。

經(jīng)過上述設(shè)置后，如果某用戶的設(shè)用路由器未關(guān)閉DHCP功能，其影響范圍只局限在與該路由器在同一上聯(lián)口的用戶，減輕了網(wǎng)絡(luò)運維的工作量，同時方便運維人員定位網(wǎng)絡(luò)故障。

2.開啟ARP入侵檢測功能：Arp detection。

Arp detection與DHCP Snooping配合，可以有效防止黑客或攻擊者通過ARP報文實施“中間人”攻擊。該VLAN內(nèi)所有ARP非信任端口接收到的ARP（請求與回應(yīng)）報文將重定向到CPU進(jìn)行報文的合法性檢查：如果認(rèn)為該ARP報文合法，則進(jìn)行轉(zhuǎn)發(fā)；否則直接丟棄。該VLAN內(nèi)信任端口接收的ARP報文正常轉(zhuǎn)發(fā)，不進(jìn)行合法性檢查。此處的合法性檢查指對ARP報文內(nèi)的源IP與Mac的對應(yīng)關(guān)系與1中的 DHCP Snooping生成的表象進(jìn)行對比和判斷，與表項相符的則允許通過，否則丟棄該數(shù)據(jù)包。

經(jīng)過上述設(shè)置后可以防止各種偽造源地址的ARP病毒，常見的是網(wǎng)關(guān)欺騙類ARP病毒的攻擊。

3.開 啟ARP限 速 功 能：Arp rate limit。

開啟原因包括兩個方面：在2開啟的Arp detection功能，每個ARP報文都會被重定向CPU進(jìn)行報文合法性檢查，存在惡意ARP報文消耗CPU過多的問題；用戶網(wǎng)絡(luò)知識水平參差不齊，經(jīng)常發(fā)生一個機器中毒導(dǎo)致整個網(wǎng)段內(nèi)的其他用戶都無法訪問網(wǎng)絡(luò)的情況，局域網(wǎng)病毒大多依賴于ARP協(xié)議，開啟Arp rate limit可以有效防止這類情況的發(fā)生，同時也減輕運維人員排查網(wǎng)絡(luò)故障時的負(fù)擔(dān)。

4.經(jīng)過上述設(shè)置后可以有效控制各種基于ARP協(xié)議的非法網(wǎng)管軟件，常見的P2P終結(jié)者和網(wǎng)絡(luò)執(zhí)法官。

這類軟件大多采用ARP協(xié)議進(jìn)行網(wǎng)關(guān)欺騙，為了達(dá)到效果通常需要發(fā)送大量ARP響應(yīng)報文，且在軟件運行初期掃描存活主機時也會發(fā)送大量的ARP請求。

5.開啟環(huán)路檢測功能：Loopbackdetection enable。

用戶因誤操作導(dǎo)致網(wǎng)絡(luò)環(huán)路進(jìn)而產(chǎn)生廣播風(fēng)暴的事情經(jīng)常發(fā)生，Loopbackdetection可以有效防止個別用戶的誤操作影響整網(wǎng)運行。

六種手段細(xì)化管理策略

管理策略的改進(jìn)主要體現(xiàn)在以人為本，提高服務(wù)質(zhì)量。總結(jié)以往校園網(wǎng)運行管理的成熟經(jīng)驗，同時細(xì)化管理策略，主要體現(xiàn)在以下幾個方面：

1.細(xì)化用戶分類。按照優(yōu)先保障教學(xué)科研的原則，將校園網(wǎng)用戶分為教學(xué)辦公區(qū)用戶、家屬區(qū)用戶、學(xué)生區(qū)用戶。不同用戶對網(wǎng)絡(luò)使用的需求不同，在制定管理和運行策略時需要區(qū)分對待。制定重要用戶故障響應(yīng)預(yù)案，確?；谛@網(wǎng)的重要業(yè)務(wù)在發(fā)生故障時及時響應(yīng)，優(yōu)先保障教務(wù)、財務(wù)、一卡通等重要用戶重要業(yè)務(wù)的故障恢復(fù)時間。

2.細(xì)化流量分類。分析網(wǎng)絡(luò)中各種應(yīng)用類型，按照時效性的原則對流量進(jìn)行歸類。網(wǎng)頁瀏覽、VoIP等實時性強的歸為保障類，在線視頻、單線程下載等實時性一般的歸為普通類，P2P等下載類應(yīng)用歸為第三類。保障類應(yīng)用具有最高優(yōu)先級，在流控時建立專用通道，不被擠占。在線視頻等普通業(yè)務(wù)屬于實時性較強用戶敏感度一般，歸為第二類，建立專用通道保留一個流量范圍。第三類屬于嚴(yán)格控制的應(yīng)用，這些應(yīng)用特點帶寬需求大、實時性弱，設(shè)立專用通道給定最大帶寬，通道帶寬不滿時可以被其他通道借用。

3.細(xì)化帶寬分配。帶寬分配時充分考慮全體用戶的使用習(xí)慣，在不同時間段為用戶提供盡可能高的帶寬。上班時間用戶數(shù)較少，這個時間段內(nèi)的單用戶可用帶寬設(shè)置較大一些；中午和下午下班后時間單用戶的帶寬設(shè)置較?。煌砩鲜稽c之后可以取消流控策略。在全校范圍內(nèi)均衡流量使用，確保每位用戶無論高峰期還是一般時段都能流暢地使用校園網(wǎng)，確保學(xué)校對校園網(wǎng)出口帶寬投資得到最大化利用。

4.細(xì)化故障處理流程。針對校園網(wǎng)運行過程中常見的問題和故障，制定常見問題處理流程，規(guī)范故障處理定期收集整理用戶反映的問題，對全體運維人員和參加運維的學(xué)生網(wǎng)管進(jìn)行培訓(xùn)。定期分析運維中出現(xiàn)的問題，發(fā)現(xiàn)網(wǎng)絡(luò)運行中可能存在的隱患及時處理，確保校園網(wǎng)安全穩(wěn)定。建立討論組和知識庫，鼓勵運維人員（主要是學(xué)生網(wǎng)管）在解決問題時相互交流相互學(xué)習(xí)共同進(jìn)步，新網(wǎng)管參與運行之前均會指派一位指導(dǎo)老師。

5.強化新知識、新業(yè)務(wù)培訓(xùn)。隨著智能手機、平板電腦、互聯(lián)網(wǎng)電視等智能終端和移動互聯(lián)網(wǎng)的興起，運維業(yè)務(wù)面臨著許多新的挑戰(zhàn)。在校園網(wǎng)運行管理過程中，面對新興業(yè)務(wù)的出現(xiàn)和流行，有針對性的對運維人員進(jìn)行相關(guān)專業(yè)培訓(xùn)，使其掌握新技術(shù)，努力提高用戶的滿意度。

6.建立校內(nèi)熱點資源站點，減少用戶對出口帶寬的需求，降低出口壓力，提高校園網(wǎng)服務(wù)質(zhì)量和體驗。共享出口環(huán)境的帶寬常常處于相對飽和狀態(tài)，由于用戶基數(shù)較大，每位用戶的平均帶寬實際很小。針對校園網(wǎng)用戶的使用規(guī)律和流量行為特征，建立校內(nèi)的熱點資源站可以有效減輕出口壓力，豐富校園網(wǎng)應(yīng)用，增強校園網(wǎng)對用戶的吸引力。

經(jīng)過本次萬兆升級和網(wǎng)絡(luò)調(diào)整后，校園網(wǎng)運行實現(xiàn)了安全有序，徹底消除了原有二層結(jié)構(gòu)對核心設(shè)備的潛在威脅和影響，規(guī)范的拓?fù)洳季挚s小了故障排除時間和修復(fù)時間，增強了核心網(wǎng)絡(luò)的穩(wěn)定性和可擴展性。在設(shè)備支持的區(qū)域，徹底解決了ARP攻擊和小路由問題。在設(shè)備不支持的區(qū)域，通過網(wǎng)絡(luò)宣傳和故障處理過程中的引導(dǎo)，小路由和ARP攻擊的發(fā)生概率也大幅度下降。這類問題的出現(xiàn)頻率由之前的每天發(fā)生下降為現(xiàn)在的每周1~2次。

通過對校園網(wǎng)的運行和管理策略的調(diào)整，實現(xiàn)用戶流暢、便捷的使用網(wǎng)絡(luò)服務(wù)。通過細(xì)致的用戶服務(wù)制度和流控管理策略，確保重要業(yè)務(wù)和重要用戶時時暢通；確保一般用戶在網(wǎng)絡(luò)閑暇時能夠使用較高的帶寬，在高峰期能夠流暢地訪問網(wǎng)頁和觀看視頻。通過建立校內(nèi)熱點資源站解決高峰期出口帶寬有限和體驗不佳的問題，提高校園網(wǎng)的服務(wù)質(zhì)量。通過服務(wù)吸引更多用戶主動使用校園網(wǎng)，2013年開學(xué)后校園網(wǎng)高峰期在線IP比2012年下半年增加了1000多人，校園網(wǎng)上新增加的視頻點播、文件共享和教學(xué)視頻等服務(wù)受到用戶的喜愛。Linux、Mac以及Android和IOS版本的客戶端為用戶使用網(wǎng)絡(luò)提供了更多的選擇。

校園網(wǎng)運行管理中，技術(shù)可以在一定范圍內(nèi)解決部分問題，但是解決不了所有問題。管理手段和策略與用戶的知識水平、學(xué)校的制度政策息息相關(guān)。從保障教學(xué)、科研角度出發(fā)，實施精細(xì)化、人性化管理，同時通過各種渠道不斷加大宣傳和普及網(wǎng)絡(luò)知識，提高用戶的網(wǎng)絡(luò)知識素養(yǎng)，才能實現(xiàn)校園網(wǎng)運行管理的可持續(xù)、健康發(fā)展。