摘 要： 信息技術(shù)日新月異，隨著高校校園網(wǎng)出現(xiàn)的技術(shù)與設(shè)備老化、網(wǎng)絡(luò)性能日益下降以及其運(yùn)行過程中受到新網(wǎng)絡(luò)安全問題不斷威脅的現(xiàn)象，升級(jí)改造成高效、穩(wěn)定、快捷的新一代校園網(wǎng)絡(luò)架構(gòu)已勢在必行。要對(duì)校園網(wǎng)絡(luò)進(jìn)行整體改造，需要投入巨大的資金，所以在改造之前應(yīng)該利用各種手段進(jìn)行調(diào)研和分析。網(wǎng)絡(luò)仿真技術(shù)可以對(duì)新協(xié)議進(jìn)行初步實(shí)現(xiàn)和驗(yàn)證，并有利于及時(shí)調(diào)整和改進(jìn)。結(jié)合網(wǎng)絡(luò)技術(shù)和硬件產(chǎn)品，利用GNS3網(wǎng)絡(luò)仿真軟件對(duì)真實(shí)校園網(wǎng)環(huán)境進(jìn)行全網(wǎng)仿真還原，并通過對(duì)仿真網(wǎng)絡(luò)的測試、分析，提出新一代校園網(wǎng)絡(luò)架構(gòu)的配置優(yōu)化、架構(gòu)優(yōu)化和安全優(yōu)化的方案。

關(guān)鍵詞： 校園網(wǎng)； 網(wǎng)絡(luò)仿真； GNS3； 網(wǎng)絡(luò)優(yōu)化

中圖分類號(hào)： TN926?34； TP393.18 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2016）14?0069?04

Simulation and optimization of a new generation campus network architecture

JIANG Jianjun1， CHEN Jingdong2

（1. School of Electronic Information， Shanghai Dianji University， Shanghai 200240， China；

2. Institute of Electrical Engineering， Shanghai University of Engineering Science， Shanghai 201620， China）

Abstract： With quick change of IT（Information Technology） advances， but the technology and equipment aging of campus network， the increasing decline of network performance， and the phenomenon of constant threat from new network security issues occurring in the course of its operation， it is imperative to upgrade and remould next?generation campus network architecture to make it efficient， stable and efficient. However， the overall transformation of a campus network needs to invest heavy funds， so all means must be used to conduct the relative research and analysis before the transformation. The network simulation technology is an ideal means to achieve the preliminary implementation and verification of a new agreement， because it is in favour of timely adjustment and improvement. In combination with the network technology and hardware products， the network simulation software GNS3 （Graphical network simulator V3.0） is adopted to restore the entire network simulation for a real campus network environment. The simulated network was tested and analyzed. According to the results， a scheme for configuration optimization， architecture optimization and security optimization of the new generation campus network is put forward in this paper.

Keywords： campus network； network simulation； GNS3； network optimization

0 引 言

隨著教育信息化的迅猛發(fā)展，校園網(wǎng)在學(xué)校教學(xué)、科研和管理等方面發(fā)揮的作用也越來越大。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大、應(yīng)用服務(wù)的增加和新的需求的不斷出現(xiàn)，原有校園網(wǎng)勢必需要改造或升級(jí)換代。這些升級(jí)的需求的例子包括網(wǎng)絡(luò)的吞吐量、高可靠性、安全性和策略管理等。要進(jìn)行校園網(wǎng)絡(luò)整體改造的資金投入巨大，而網(wǎng)絡(luò)仿真軟件可以為網(wǎng)絡(luò)實(shí)驗(yàn)提供一個(gè)良好的環(huán)境，并極大地降低成本，因此本文通過GNS3（Graphical Network Simulator V3.0）仿真軟件并結(jié)合思科網(wǎng)絡(luò)設(shè)計(jì)的生命周期來對(duì)某高校校園網(wǎng)進(jìn)行一個(gè)仿真的評(píng)估與優(yōu)化，GNS3是一個(gè)可以仿真復(fù)雜網(wǎng)絡(luò)的圖形化網(wǎng)絡(luò)仿真軟件，它可以運(yùn)行在Windows，Linux，MAC OS上，允許在虛擬環(huán)境中運(yùn)行思科的IOS。與Packet Tracer網(wǎng)絡(luò)仿真軟件相比，GNS3能更好地仿真路由與交換的功能，并且GNS3在功能上面多得多，諸如冗余用的HSRP功能等[1]。GNS3是基于Dynamips來進(jìn)行仿真的，Dynamips作為一款十分優(yōu)秀的路由器仿真軟件，通過在計(jì)算機(jī)中構(gòu)建運(yùn)行IOS的虛擬機(jī)上來真正運(yùn)行IOS實(shí)現(xiàn)對(duì)路由器的仿真，實(shí)驗(yàn)仿真效果真實(shí)可信[2]，可供從事于校園網(wǎng)絡(luò)設(shè)計(jì)人員參考。本課題研究分以下3個(gè)階段：

（1） 分析階段。對(duì)現(xiàn)有研究的對(duì)象即高校校園網(wǎng)絡(luò)和所依存的網(wǎng)絡(luò)系統(tǒng)進(jìn)行初步分析，根據(jù)一定的信息和參數(shù)進(jìn)行匯總，對(duì)網(wǎng)絡(luò)性能和安全性方面進(jìn)行描述。

（2） 仿真階段。就是通過仿真軟件設(shè)計(jì)出高校校園網(wǎng)合理的網(wǎng)絡(luò)配置環(huán)境，建立拓?fù)鋱D和具體配置參數(shù)，在現(xiàn)實(shí)的網(wǎng)絡(luò)層上實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)行為和網(wǎng)絡(luò)性能的測試。

（3） 優(yōu)化階段。應(yīng)用仿真軟件，對(duì)網(wǎng)絡(luò)架構(gòu)和具體參數(shù)進(jìn)行優(yōu)化，和之前的網(wǎng)絡(luò)系統(tǒng)進(jìn)行對(duì)比，并分析運(yùn)行的效果。在此基礎(chǔ)之上通過理論建立針對(duì)于高校的網(wǎng)絡(luò)架構(gòu)的規(guī)劃模型，作為一個(gè)完整項(xiàng)目方案規(guī)劃進(jìn)行展示[3]。

1 校園網(wǎng)仿真

首先對(duì)某高校校園網(wǎng)規(guī)模進(jìn)行分析，對(duì)各種設(shè)備進(jìn)行策略的規(guī)劃，并對(duì)校園網(wǎng)進(jìn)行適當(dāng)?shù)暮喕?。再使用GNS3仿真其交換和路由設(shè)備、終端設(shè)備、以及DHCP服務(wù)器，并在其中加入負(fù)載均衡和防火墻的功能[4]。

1.1 拓?fù)浯罱?/p>

根據(jù)校園網(wǎng)的拓?fù)?，?duì)于核心層、匯聚層、接入層進(jìn)行拓?fù)浯罱?，由于接入層交換機(jī)設(shè)備過多，故做一個(gè)簡化，并把一些交換網(wǎng)絡(luò)以上的設(shè)備進(jìn)行仿真。

1.2 交換網(wǎng)絡(luò)仿真

此次校園網(wǎng)的仿真分為廣域網(wǎng)和學(xué)校內(nèi)網(wǎng)兩個(gè)部分。交換網(wǎng)絡(luò)作為校園網(wǎng)一個(gè)重要的組成部分，這個(gè)交換網(wǎng)絡(luò)稱之為學(xué)校的內(nèi)網(wǎng)。學(xué)生客戶端通過無線連接進(jìn)入校園網(wǎng)，教師工作區(qū)域使用的客戶端，以及存在于校園網(wǎng)的服務(wù)器，都是在這交換網(wǎng)絡(luò)中集成。

最終仿真的效果：能夠從客戶端通過核心交換進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，達(dá)到全網(wǎng)互通，客戶端可以通過DHCP服務(wù)器進(jìn)行IP地址的分配。思科雙核心交換的冗余效果能夠達(dá)到，訪問控制列表能夠正常生效，來阻止外網(wǎng)未經(jīng)允許的訪問[5]。

1.3 防火墻仿真

防火墻的仿真主要通過訪問控制列表ACL策略來仿真到外網(wǎng)數(shù)據(jù)包過濾的效果，以及控制內(nèi)網(wǎng)的一些數(shù)據(jù)外傳。主要命令如下：

1.4 負(fù)載均衡仿真

負(fù)載均衡效果以靜態(tài)路由和策略路由的方式仿真，目前校園網(wǎng)中用的負(fù)載均衡設(shè)備可以將校園網(wǎng)內(nèi)部的流量分別按一定策略分配到5條ISP線路，以避免所有流量全集中在一條線路上，而導(dǎo)致流量擁塞。負(fù)載均衡系統(tǒng)提供的主要功能有：鏈路負(fù)載均衡；動(dòng)態(tài)智能解析；服務(wù)器負(fù)載均衡；網(wǎng)絡(luò)地址轉(zhuǎn)換。

1.5 運(yùn)營網(wǎng)關(guān)仿真

一般而言，互聯(lián)網(wǎng)服務(wù)提供商的路由器中運(yùn)行的是外部路由協(xié)議，如BGP（Border Gateway Protocol），ISIS（Intermediate System to Intermediate System）等[6]，本次校園網(wǎng)仿真并不需要使用并涉及到這些部分，而是針對(duì)校園網(wǎng)內(nèi)部的仿真與優(yōu)化。

互聯(lián)網(wǎng)服務(wù)提供商外網(wǎng)的仿真主要使用靜態(tài)路由和默認(rèn)路由相結(jié)合的形式，路由選路原則如下：

（1） 最長子網(wǎng)掩碼匹配；

（2） 管理距離；

（3） 度量值；

（4） 三個(gè)都一樣，則負(fù)載均衡。

部分靜態(tài)路由命令參數(shù)如下：

1.6 仿真效果

整體設(shè)計(jì)如圖1所示。其中包括1臺(tái)因特網(wǎng)仿真設(shè)備，5臺(tái)運(yùn)營商網(wǎng)關(guān)設(shè)備，1臺(tái)負(fù)載均衡設(shè)備，1臺(tái)防火墻，2臺(tái)核心交換機(jī)，4臺(tái)匯聚層交換機(jī)，8臺(tái)接入層交換機(jī)，3臺(tái)服務(wù)器，以及7臺(tái)終端計(jì)算機(jī)。

2 校園網(wǎng)優(yōu)化

通過對(duì)校園網(wǎng)的仿真與分析，發(fā)現(xiàn)校園網(wǎng)中存在很多可優(yōu)化的部分。優(yōu)化的目標(biāo)是建成一個(gè)高性能、高可用的校園網(wǎng)絡(luò)。本次優(yōu)化基于以下兩方面：第一種優(yōu)化是面向命令配置參數(shù)的優(yōu)化，使網(wǎng)絡(luò)中的設(shè)備負(fù)載分擔(dān)更加均衡，以及設(shè)備策略運(yùn)行的效率更高，并且更加安全[7]；第二種優(yōu)化，主要側(cè)重于理論架構(gòu)，先從本身的拓?fù)浣Y(jié)構(gòu)入手，利用好已有設(shè)備，同時(shí)再結(jié)合目前信息化技術(shù)的發(fā)展，結(jié)合實(shí)際工作經(jīng)驗(yàn)合理規(guī)劃一個(gè)綜合的新一代網(wǎng)絡(luò)架構(gòu)。通過高性能核心交換機(jī)重新構(gòu)建全冗余支持萬兆主干的網(wǎng)絡(luò)架構(gòu)。各區(qū)域匯聚設(shè)備采用萬兆線路連接到主干網(wǎng)絡(luò)設(shè)備上，并可在將來擴(kuò)充為多條萬兆鏈路捆綁的方式，增大區(qū)域和主干網(wǎng)絡(luò)之間的帶寬。實(shí)現(xiàn)校內(nèi)萬兆主干網(wǎng)絡(luò)、萬兆到樓宇、千兆到桌面的新一代校園網(wǎng)絡(luò)架構(gòu)。在優(yōu)化網(wǎng)路過程中，為了保護(hù)網(wǎng)絡(luò)上數(shù)據(jù)的安全性，提供多種方式和層次的訪問控制，通過使用網(wǎng)絡(luò)用戶身份識(shí)別、VLan、包過濾、入侵檢測及防火墻等技術(shù)來保證網(wǎng)絡(luò)系統(tǒng)的安全性[8]。

2.1 冗余協(xié)議優(yōu)化

校園網(wǎng)命令與配置并不是非常高效，從這些命令配置的效率上還有很多的提高空間。從負(fù)載性能、系統(tǒng)資源占用、協(xié)議的運(yùn)用、以及端口的一些安全策略上，都有很大的優(yōu)化空間，其中熱備份路由器協(xié)議（HSRP）導(dǎo)致設(shè)備利用效率過低，互備的兩臺(tái)核心設(shè)備為一主一備，不能合理利用資源，做到同時(shí)使用。解決方案有以下兩種：

（1） 不變換協(xié)議，進(jìn)行配置優(yōu)化。效果：多組分擔(dān)流量，把本身集中于一臺(tái)主用設(shè)備上的流量分配到兩臺(tái)利用起來。用多個(gè)熱備份組并存或重疊，每個(gè)熱備份組模仿一個(gè)虛擬路由器工作，它有一個(gè)虛擬IP地址。該虛擬IP地址、組內(nèi)路由器的接口地址、主機(jī)在同一個(gè)子網(wǎng)內(nèi)，但是不能一樣。當(dāng)在一個(gè)局域網(wǎng)上有多個(gè)熱備份組存在時(shí)，把主機(jī)分布到不同的熱備份組，這樣就可以使負(fù)載得到分擔(dān)。

（2） 使用GLBP協(xié)議?？梢允褂肎LBP協(xié)議做到動(dòng)態(tài)負(fù)載均衡，GLBP允許客戶端通過獲得不同的虛擬MAC地址，通過不同的路由器轉(zhuǎn)發(fā)數(shù)據(jù)，因?yàn)榭蛻舳死玫牡刂肥墙馕龅降奶摂M的MAC地址，而網(wǎng)關(guān)地址仍使用相同的虛擬IP，這樣不但實(shí)現(xiàn)了冗余還能夠負(fù)載均衡[9]。在GNS3仿真軟件中使用“方案2”部署了GLBP后，運(yùn)行情況如圖2所示。

2.2 運(yùn)行效率優(yōu)化

木桶原理說到木桶里能裝的水的最大量取決于最短的那塊木板。同樣在網(wǎng)絡(luò)中，性能最差的設(shè)備也會(huì)影響到網(wǎng)絡(luò)的整體性能。因此在一個(gè)網(wǎng)絡(luò)的整體，各個(gè)區(qū)域不能有短板，要綜合，這樣才是提升整個(gè)校園網(wǎng)絡(luò)的數(shù)據(jù)傳輸性能的良策。雖然目前校園網(wǎng)絡(luò)中仍存在很多老設(shè)備，但是經(jīng)過配置簡化對(duì)運(yùn)行效率一定是有幫助的，主要有訪問控制列表（ACL）配置優(yōu)化和路由表匯總簡化。

（1） 訪問控制列表（ACL）配置優(yōu)化。ACL通過過濾數(shù)據(jù)包并且丟棄不希望抵達(dá)目的地的數(shù)據(jù)包來控制通信流量。然而，網(wǎng)絡(luò)能否有效地減少不必要的通信流量，這還要取決于ACL放置的位置。根據(jù)減少不必要通信流量的通行準(zhǔn)則，應(yīng)該盡可能地把ACL放置在靠近被拒絕的通信流量的來源處。ACL的執(zhí)行算法過程如圖3所示。

根據(jù)以上算法，對(duì)匹配條目進(jìn)行最簡化，在不影響效果的情況下，最大化效率，很明顯規(guī)則越少，執(zhí)行效率就會(huì)越高。

（2） 路由表匯總簡化。路由表保存在路由器的內(nèi)存中，如果能把一些條目進(jìn)行簡化，那么是可以為路由交換機(jī)減輕負(fù)擔(dān)提高效率的。按照子網(wǎng)掩碼的掩碼長度的變更達(dá)到的匯總效果，從14條路由條目減少到7條，減少量達(dá)50%。

2.3 安全優(yōu)化

接入層網(wǎng)絡(luò)需要考慮ARP欺騙和DHCP等安全問題的防范。

（1） DHCP攻擊基本防范。首先定義交換機(jī)上的信任端口和不信任端口，對(duì)于不信任端口的DHCP報(bào)文進(jìn)行截獲和嗅探，DROP主要來自這些端口的非正常DHCP報(bào)文。

（2） ARP欺騙防范。思科Dynamic ARP Inspection （DAI）在交換機(jī)上提供IP地址和MAC地址的綁定，并動(dòng)態(tài)建立綁定關(guān)系。DAI以DHCP Snooping綁定表為基礎(chǔ)，對(duì)于沒有使用DHCP的服務(wù)器個(gè)別機(jī)器可以采用靜態(tài)添加ARP access?list實(shí)現(xiàn)。DAI配置針對(duì)VLan，對(duì)于同一VLan內(nèi)的接口可以開啟DAI也可以關(guān)閉。通過DAI可以控制某個(gè)端口的ARP請(qǐng)求報(bào)文數(shù)量。通過這些技術(shù)可以防范ARP攻擊[10]。

2.4 理論框架優(yōu)化

從目前信息化技術(shù)發(fā)展的速度來看，新技術(shù)不斷的出現(xiàn)，新的網(wǎng)絡(luò)產(chǎn)品更新?lián)Q代，提供了更多的功能，更高的吞吐量以及更快的響應(yīng)速度。綜合校園網(wǎng)的目前狀況，從長遠(yuǎn)的角度上看，需要在性能、安全和功能性做一個(gè)整體的考慮，設(shè)計(jì)一個(gè)具有前瞻性的校園網(wǎng)優(yōu)化方案。宗旨是利用好現(xiàn)有設(shè)備，最優(yōu)化配置，增加一些新產(chǎn)品達(dá)到安全和功能上的完善[11]。校園網(wǎng)架構(gòu)優(yōu)化方案，如圖4所示。

3 結(jié) 語

本文針對(duì)某高校的校園網(wǎng)絡(luò)仿真，并在仿真實(shí)驗(yàn)的基礎(chǔ)上提出優(yōu)化方案。目前，升級(jí)改造項(xiàng)目正在根據(jù)本設(shè)計(jì)思路逐步實(shí)施，項(xiàng)目進(jìn)展情況良好，系統(tǒng)正穩(wěn)定運(yùn)行。本文結(jié)合實(shí)際網(wǎng)絡(luò)環(huán)境，從終端設(shè)備、接入層、匯聚層、核心層到因特網(wǎng)利用GNS3軟件完成了全網(wǎng)整體的仿真還原與設(shè)計(jì)，仿真所涉及的是技術(shù)有：路由交換網(wǎng)絡(luò)、負(fù)載均衡策略、HSRP冗余策略、防火墻策略以及DHCP等；優(yōu)化中涉及的是配置優(yōu)化和架構(gòu)優(yōu)化，如HSRP協(xié)議配置優(yōu)化，GBLP運(yùn)用優(yōu)化，ACL和路由表應(yīng)用優(yōu)化，以及在架構(gòu)上涉及性能性、冗余性、高效性、功能性和安全性的優(yōu)化；同時(shí)結(jié)合思科、銳捷、天融信、城市熱點(diǎn)、深信服、Array等多家廠商產(chǎn)品集成調(diào)試，為高校提供了優(yōu)化后的新一代校園網(wǎng)絡(luò)架構(gòu)方案。

參考文獻(xiàn)

[1] 梁廣民，王隆杰.思科網(wǎng)絡(luò)實(shí)驗(yàn)室CCNP（路由技術(shù)）實(shí)驗(yàn)指南[M].北京：電子工業(yè)出版社，2012.

[2] 王麗娜，劉炎.基于GNS3的冗余網(wǎng)絡(luò)仿真[J].實(shí)驗(yàn)室研究與探索，2013，32（8）：55?59.

[3] 徐波濤.校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)與工程實(shí)踐[D].北京：北京郵電大學(xué)，2012.

[4] 劉雪飛，閆欣，吳伯橋.GNS3搭建網(wǎng)絡(luò)虛擬環(huán)境實(shí)踐[J].電腦知識(shí)與技術(shù)，2012，8（13）：3019?3021.

[5] 常潘.Cisco無線局域網(wǎng)配置基礎(chǔ)[M].北京：電子工業(yè)出版社，2011.

[6] PARKHURST W R.Cisco BGP?4命令與配置手冊(cè)[M].朱劍云，王曉磊，譯.北京：人民郵電出版社，2011.

[7] 劉衛(wèi)斌.以太網(wǎng)環(huán)路保護(hù)協(xié)議STP研究[D].南京：南京理工大學(xué)，2008.

[8] 王振武.NetFlow交換及其在網(wǎng)絡(luò)管理中的應(yīng)用[J].微電腦世界，2002（13）：77?79.

[9] 趙忠鑫.GLBP技術(shù)在銀行網(wǎng)絡(luò)中的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（6）：70.

[10] 諸葛建偉.網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐[M].北京：電子工業(yè)出版社，2011.

[11] PARK Hyungbae， CHOI Baek?Young， SONG Sejun. Understanding the health of an access network [C]// Proceedings of 2011 Third International Conference on Ubiquitous and Future Networks. [S.l.]： ICUFN， 2011：273?278.