譚曉東

（賀州學(xué)院 計算機科學(xué)與信息工程學(xué)院，廣西 賀州 542899）

引 言

隨著計算機技術(shù)、網(wǎng)絡(luò)通訊技術(shù)的快速發(fā)展，網(wǎng)絡(luò)系統(tǒng)得到了迅速普及，它是一種公用網(wǎng)絡(luò)，主要包括網(wǎng)絡(luò)硬件體系及網(wǎng)絡(luò)服務(wù)軟件平臺兩大部分，可為各級學(xué)校、政府等部門提供網(wǎng)絡(luò)承載服務(wù)，為面向社會服務(wù)的業(yè)務(wù)應(yīng)用提供信息共享、業(yè)務(wù)協(xié)同等，能夠滿足各單位的公共服務(wù)、社會管理等方面的需求。因此，為了適應(yīng)新時期的校園網(wǎng)絡(luò)辦公需求，各類學(xué)校都十分重視校園網(wǎng)絡(luò)系統(tǒng)的建設(shè)。自開展校園數(shù)字化建設(shè)以來，各單位構(gòu)建了一定規(guī)模的校園網(wǎng)絡(luò)硬件和軟件平臺，為教學(xué)活動、網(wǎng)上辦公、信息交流等方面發(fā)揮了一定的作用，但也帶來了諸多現(xiàn)實問題［1-3］：一是建設(shè)方面的重復(fù)浪費，包括服務(wù)器、系統(tǒng)軟件、安全設(shè)施等方面的重復(fù)購置，造成了較大的浪費和經(jīng)濟負(fù)擔(dān)；二是管理方面存在較大的安全隱患，由于分散建設(shè)導(dǎo)致安全投入不足，保障防護和危險處置能力不強；三是維護方面的資源不足，這表現(xiàn)在維護技術(shù)力量、人員，以及維護經(jīng)費等方面，致使網(wǎng)絡(luò)難以可靠運行；四是由于缺少總體規(guī)劃，基于校園網(wǎng)絡(luò)的信息共享和業(yè)務(wù)協(xié)同方面的舉步維艱等。分析發(fā)現(xiàn)，造成這些問題的根本原因是“二個分散，四個缺少”，即現(xiàn)有的網(wǎng)絡(luò)采用以部門為單元的分散建設(shè)、分散運維的模式，再加上缺少統(tǒng)籌規(guī)劃、缺少統(tǒng)一支撐、缺少標(biāo)準(zhǔn)規(guī)范、缺少整合共享［4-5］。

因此，必須改變現(xiàn)在這種分散建設(shè)和分散運行的模式，重新規(guī)劃校園網(wǎng)絡(luò)體系，整合建設(shè)和后期運維工作。在此背景下，本文參照系統(tǒng)科學(xué)的“整體性、動態(tài)性、綜合性、最優(yōu)化、模型化”的原則［6］，詳細(xì)闡述高校校園網(wǎng)絡(luò)構(gòu)建的原則、目標(biāo)、建設(shè)方案、邏輯設(shè)計等內(nèi)容。

1 設(shè)計原則與建設(shè)目標(biāo)

構(gòu)建高等學(xué)校校園網(wǎng)絡(luò)時，需遵循如下設(shè)計原則：

（1）開放性與標(biāo)準(zhǔn)化。網(wǎng)絡(luò)體系結(jié)構(gòu)和設(shè)計過程嚴(yán)格遵循IETF、IEEE等國際標(biāo)準(zhǔn)，同時還必須符合我國網(wǎng)絡(luò)建設(shè)的技術(shù)規(guī)范標(biāo)準(zhǔn)。

（2）高性能。要求網(wǎng)絡(luò)帶寬較大，能夠支持多種大容量數(shù)據(jù)的傳輸與處理，同時，在系統(tǒng)處理大數(shù)據(jù)時，系統(tǒng)仍然保持較高的網(wǎng)絡(luò)吞吐力和傳輸效率。

（3）高可靠性與可用性。系統(tǒng)容錯能力強，能夠抗受一定的外部環(huán)境因素的干擾，具有較好的災(zāi)難恢復(fù)能力，單點故障不影響系統(tǒng)整體系統(tǒng)的可用性保持在99.9%以上。

（4）安全性。具有較高的數(shù)據(jù)安全和網(wǎng)絡(luò)設(shè)備安全，安全包括兩塊，一塊是數(shù)據(jù)安全，另一塊是網(wǎng)絡(luò)設(shè)備的安全，對于網(wǎng)絡(luò)設(shè)備安全主要防止設(shè)備被破壞，而數(shù)據(jù)安全則是防止人為攻擊或破壞。

（5）可維護和易擴展。要求系統(tǒng)應(yīng)具有較好的可維護性，故障容易診斷，發(fā)現(xiàn)故障后，管理員也容易糾正錯誤或排除故障。系統(tǒng)具有較好的可擴展性，以方便后期升級操作，譬如后期擴容、增加新的設(shè)備、系統(tǒng)升級、鏈路接口的升級等。

建設(shè)目標(biāo)：

（1）統(tǒng)一網(wǎng)絡(luò)平臺。依托我國電信部門，網(wǎng)絡(luò)需覆蓋學(xué)校行政人員和老師辦公室、實驗室、教室三級機構(gòu)，同時在數(shù)據(jù)中心規(guī)劃與INTERNET安全互聯(lián)，滿足用戶的接入要求。

（2）統(tǒng)一校園協(xié)同辦公系統(tǒng)。建立統(tǒng)一校園辦公應(yīng)用平臺。

（3）統(tǒng)一數(shù)據(jù)中心。建設(shè)統(tǒng)一的系統(tǒng)支撐平臺，包括應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、存儲、備份等建設(shè)。

（4）統(tǒng)一網(wǎng)絡(luò)數(shù)據(jù)機房。依照機房建設(shè)標(biāo)準(zhǔn)，規(guī)劃校園網(wǎng)絡(luò)中心統(tǒng)一機房，實現(xiàn)供電、空調(diào)、消防管控等功能，統(tǒng)一提供設(shè)備存放所需的空調(diào)、不間斷電源等方面的物理環(huán)境，以及設(shè)備運行所需安全環(huán)境等。

2 建設(shè)總體方案

整個網(wǎng)絡(luò)體系在邏輯上可劃分為6個區(qū)域，具體如下：一是核心交換區(qū)域：由兩臺支持MPLS VPN PE功能、并帶防火墻模塊的匯聚交換機構(gòu)成的核心交換區(qū)域。兩臺匯聚交換機之間通過兩條以上千兆線路互聯(lián)，提供接入單位的接入、VPN網(wǎng)關(guān)接入、互聯(lián)網(wǎng)出口設(shè)備接入、數(shù)據(jù)中心設(shè)備接入以及縱向網(wǎng)路由器的接入；二是數(shù)據(jù)中心區(qū)域：由兩臺支持MPLSVPN PE功能的核心交換機組成的數(shù)據(jù)中心區(qū)域，兩臺設(shè)備之間通過兩條千兆線路互聯(lián)，并上聯(lián)到上一級教育主管部門的匯聚交換機上，該區(qū)域主要提供應(yīng)用系統(tǒng)的接入；三是互聯(lián)網(wǎng)出口區(qū)域：由出口IPS（入侵防預(yù)系統(tǒng)）、防火墻構(gòu)成的互聯(lián)網(wǎng)出口區(qū)域；四是縱向網(wǎng)接入?yún)^(qū)域：由兩臺路由器（主備機各一臺）構(gòu)成的縱向網(wǎng)接入?yún)^(qū)域，主要用于縱向開展MPLSVPN業(yè)務(wù)；五是VPDN（虛擬專用撥號網(wǎng)）接入?yún)^(qū)域：它是由校園網(wǎng)統(tǒng)一部署的VPN網(wǎng)關(guān)構(gòu)成的VPDN接入?yún)^(qū)域，該區(qū)域主要提供校園移動辦公用戶以及部分處于實訓(xùn)基地用戶的遠(yuǎn)程接入；六是校園接入單位區(qū)域：由各級行政職能和教學(xué)機構(gòu)組成的接入單位區(qū)域。總體方案的直觀表示如圖1所示。整個設(shè)計方案有機統(tǒng)一，所承載的功能全面，各單元在邏輯上保持獨立，但它們相互之間又提供不透明的服務(wù)，多種交叉學(xué)科的技術(shù)和理論被融入網(wǎng)絡(luò)體系中，充分體現(xiàn)系統(tǒng)科學(xué)的特點。

圖1 網(wǎng)絡(luò)體系建設(shè)方案圖

3 邏輯設(shè)計

3.1 IP地址設(shè)計

IP地址劃分主要包括公有IP地址和私有IP地址劃分，學(xué)校通常會向當(dāng)?shù)仉娦挪块T申請或租用多個公網(wǎng)IP地址，公網(wǎng)IP地址分配指導(dǎo)原則：校園數(shù)據(jù)中心分配需分配1至2個C類公有網(wǎng)段IP地址；行政辦公分配1至2個IP地址，教學(xué)部分分配2個以上C類公有網(wǎng)段地址，預(yù)留若干個IP地址，根據(jù)實際情況及未來發(fā)展需要按需取用。私有IP地址分配辦法如下所述：校園數(shù)據(jù)中心需分配8個以上C類私有網(wǎng)段，網(wǎng)管地址及VPDN（虛擬專用撥號網(wǎng)）接入用戶地址也從該網(wǎng)段中取用；行政部門分配10個及以上C類私有網(wǎng)段，每個接入單位以2個IP地址為單位分配，原則不超過0.5個C類（128個地址）私有網(wǎng)段；每幢教學(xué)大樓分配5及以上個C類私有網(wǎng)段，需要私有IP地址的其它樓房接入單元在該網(wǎng)段內(nèi)按需取用；預(yù)留若干個C類私有網(wǎng)段以備后續(xù)發(fā)展所需，以上只是IP地址設(shè)計的一個中小規(guī)模的院校網(wǎng)絡(luò)設(shè)計參考，具體設(shè)計還需要按照實際情況進行規(guī)劃。

3.2 路由規(guī)劃設(shè)計

為了達(dá)到新時期校園網(wǎng)絡(luò)應(yīng)承載的功能，遵照系統(tǒng)科學(xué)方法，可把整個校園網(wǎng)絡(luò)在邏輯上劃分承載網(wǎng)絡(luò)、用戶網(wǎng)絡(luò)和校園網(wǎng)絡(luò)外網(wǎng)三個部分，其中：承載網(wǎng)絡(luò)，簡稱IGP，選擇OSPF路由協(xié)議，主要用于宣告各骨干設(shè)備的loopback地址、設(shè)備互連的鏈路地址；用戶網(wǎng)絡(luò)：簡稱BGP，選擇IBGP、MP-IBGP路由協(xié)議，其中IBGP用于宣告IPv4的用戶路由，MP-IBGP用于宣告VPNv4的用戶路由，這些用戶路由是域內(nèi)MPLSVPN用戶業(yè)務(wù)路由。校園外網(wǎng)：BGP，EBGP、MP-EBGP路由協(xié)議，其中EBGP用于宣告校園外網(wǎng)與主管部門的主干網(wǎng)之間的IPv4路由，這些路由是跨域的MPLSVPN用戶業(yè)務(wù)路由，路由規(guī)劃三層設(shè)計直觀表示如圖2所示。同時，路由規(guī)劃工作需涉及到路由協(xié)議（OSPF），OSPF作為一個層次化的路由協(xié)議，區(qū)域規(guī)劃是非常重要的，OSPF區(qū)域規(guī)劃主要根據(jù)設(shè)備的地理位置、各區(qū)域設(shè)備的數(shù)量、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、設(shè)備的負(fù)載情況等要素來合理規(guī)劃，OSPF的區(qū)域是以鏈路進行劃分的，一臺設(shè)備可以歸屬于多個域，通常可把域設(shè)計為骨干域非骨干域兩種，骨干域又被稱為Area 0，它負(fù)責(zé)全網(wǎng)進行高速、穩(wěn)定的數(shù)據(jù)包轉(zhuǎn)發(fā)；非骨干域負(fù)責(zé)本域內(nèi)的路由，并與骨干域進行路由交換，非骨干域的劃分主要依據(jù)設(shè)備所處的地址位置進行劃分。

圖2 路由規(guī)劃三層設(shè)計圖

3.3 VLAN設(shè)計

根據(jù)各用戶接入業(yè)務(wù)（如專用網(wǎng)絡(luò)區(qū)、公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)）的不同，使用VLAN進行邏輯劃分、VLAN ID作為接入的區(qū)分標(biāo)識；VLAN設(shè)計可采用兩種方式，一種是虛擬接口終結(jié)方式，接入層交換機網(wǎng)絡(luò)側(cè)為Trunk、匯聚層交換機用戶側(cè)為Trunk，匯聚交換機全局實現(xiàn)終結(jié)，虛擬接口終結(jié)方式要求VLAN ID具有全局唯一性，其管理方式靈活，操作簡單，但是VLAN ID消耗、VLAN維護管理（二層環(huán)路等）方面有所不足。另外一種是子接口終結(jié)方式，接入層交換機網(wǎng)絡(luò)側(cè)為Trunk、匯聚層交換機用戶側(cè)為子接口，匯聚交換機用戶側(cè)端口上實現(xiàn)終結(jié)，該方式中的匯聚交換機用戶側(cè)為三層接口（IP），不需要VLAN ID具有全局唯一性，能夠減少VLAN ID消耗，可避免二層環(huán)路。虛擬接口終結(jié)方式如圖3（a）所示，子接口終結(jié)方式如圖3（b）所示。由此可知，對學(xué)校網(wǎng)絡(luò)規(guī)模不大的情況盡可選用第一種方式，否則選用第二種方式。至VLAN Y，這里的X，Y為正整數(shù)，每個用戶可連續(xù)分配5個VLAN ID（每個用戶所分配的第一個VLAN同時作為網(wǎng)管VLAN），如果VLAN是采用虛擬接口終結(jié)方式，則需要VLAN具有全局唯一性（同一臺匯聚層交換機上VLAN ID不能重復(fù)）。每個用戶開通3個業(yè)務(wù)接入，即為每個用戶分配3個VLAN ID，其余VLAN ID作為今后該用戶新業(yè)務(wù)接入使用。綜上所述，VLAN規(guī)劃如表1所示。表中前后部分的虛擬號都保留不給予分配，這樣的設(shè)計有利于新業(yè)務(wù)的接入分配。

圖3 （a）虛擬接口終結(jié)方式的邏輯設(shè)計

圖3 （b）子接口終結(jié)方式的邏輯設(shè)計

VLAN ID可使用的虛擬段號可設(shè)計為VLAN X

表1 VLAN規(guī)劃分配

結(jié) 論

以系統(tǒng)科學(xué)視角，根據(jù)新時期的學(xué)校對于網(wǎng)絡(luò)的需求，對校園網(wǎng)絡(luò)體系結(jié)構(gòu)的構(gòu)建進行探索，文中提出的高等院校校園網(wǎng)絡(luò)體系結(jié)構(gòu)具有如下特征：

一是規(guī)劃協(xié)調(diào)統(tǒng)一，網(wǎng)絡(luò)標(biāo)準(zhǔn)規(guī)范，具有良好的可擴展性，可實現(xiàn)校園數(shù)據(jù)高度共享，信息互連互通和完善的網(wǎng)絡(luò)安全與服務(wù)保障功能。

二是充分體現(xiàn)了系統(tǒng)科學(xué)的“整體性、動態(tài)性、綜合性、最優(yōu)化、模型化”的原則，網(wǎng)絡(luò)體系結(jié)構(gòu)完整，綜合性強，對于當(dāng)代校園網(wǎng)絡(luò)建設(shè)具有較好的指導(dǎo)意義。

［1］符太東,張婉鸝,王吉.校園網(wǎng)網(wǎng)絡(luò)體系構(gòu)建的研究［J］.信息通信,2013（3）:67-69.

［2］楊延華.校園網(wǎng)絡(luò)構(gòu)建［J］.電子技術(shù)與軟件工程,2013,2（24）:30-31.

［3］吳洪斌.高校網(wǎng)絡(luò)安全存在的不足及應(yīng)對措施［J］.開封教育學(xué)院學(xué)報,2014,34（1）:96-98.

［4］董亮亮.高等職業(yè)院校的網(wǎng)絡(luò)建設(shè)研究［D］.南京:南京理工大學(xué),2012:10-16.

［5］黃永龍.利用VPN技術(shù)延伸學(xué)校網(wǎng)絡(luò)資源服務(wù)［J］.電子技術(shù)與軟件工程,2014,3（1）:46-48.

［6］葉立國.國內(nèi)系統(tǒng)科學(xué)內(nèi)涵與理論體系綜述［J］.系統(tǒng)科學(xué)學(xué)報,2013,21（4）:28-31.