某高校校園網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)探討

王雅麗

（太原科技大學(xué) 教育信息技術(shù)中心，山西 太原 030024）

1 校園網(wǎng)絡(luò)需求分析

近幾年，隨著高?！皵?shù)字化校園”的建設(shè)與發(fā)展，校園網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，應(yīng)用逐漸復(fù)雜，入網(wǎng)用戶數(shù)量快速增加，因此只有構(gòu)建合理的校園網(wǎng)絡(luò)架構(gòu)方能保證校園骨干網(wǎng)絡(luò)的高性能和穩(wěn)定可靠運(yùn)行。校園網(wǎng)IP地址緊缺，一些非法用戶主要采取盜用合法用戶的IP地址上網(wǎng)，這將嚴(yán)重影響合法用戶的權(quán)益，擾亂網(wǎng)絡(luò)的正常運(yùn)行。高校的IT 體系建設(shè)甚是復(fù)雜，各種網(wǎng)絡(luò)設(shè)備、服務(wù)及應(yīng)用系統(tǒng)都具有特別的重要性和特殊性。采用原有人工分散的簡(jiǎn)單管理辦法，無(wú)法集中掌握IT基礎(chǔ)設(shè)施的分布和實(shí)時(shí)運(yùn)行情況。

2 校園網(wǎng)設(shè)計(jì)方案

2.1 整體架構(gòu)

在整個(gè)校園網(wǎng)的架構(gòu)設(shè)計(jì)中，采用核心邊緣設(shè)計(jì)，以核心交換區(qū)為中心，該區(qū)域作為其他區(qū)域的交換樞紐，其他作為邊緣接入，這樣的架構(gòu)設(shè)計(jì)具有很好的伸縮性（擴(kuò)展性）。由于每個(gè)區(qū)域的安全功能和詳細(xì)的路由可以根據(jù)每個(gè)區(qū)域的功能進(jìn)行定義，可以在不影響其他應(yīng)用或者整個(gè)區(qū)域的情況下進(jìn)行網(wǎng)絡(luò)的增強(qiáng)或強(qiáng)化。因此將校園局域網(wǎng)劃分為4大功能區(qū)域（Zone），分別 是 核 心 交 換 區(qū)（CR Zone）、數(shù) 據(jù) 中 心 區(qū)（DC Zone）、樓 層 匯 聚 交 換 區(qū)（FP Zone）和 終 端 區(qū)（EQ Zone）。圖1為校園網(wǎng)總體架構(gòu)拓?fù)鋱D。

2.2 邏輯分層設(shè)計(jì)

核心交換區(qū)作為整個(gè)局域網(wǎng)的核心連接不同的功能區(qū)域，實(shí)現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)。核心區(qū)采用2臺(tái)高性能的3層交換機(jī)（EX8208－BASE－AC），它與各匯聚層模塊缺省都采用三層互連，與各終端區(qū)之間的連接采用二層互連，與數(shù)據(jù)中心交換區(qū)通過防火墻連接，通過萬(wàn)兆多模接口采用以太網(wǎng)鏈路聚合方式連接。

圖1 校園網(wǎng)總體架構(gòu)拓?fù)鋱D

數(shù)據(jù)中心區(qū)是整個(gè)校園網(wǎng)絡(luò)系統(tǒng)的核心區(qū)域，負(fù)載著眾多的數(shù)據(jù)與服務(wù)。它由4臺(tái)匯聚交換機(jī)連接組成，采用虛擬機(jī)框群集技術(shù)相連接，各交換機(jī)之間由兩條專用的VC線相連。在兩臺(tái)核心交換機(jī)與數(shù)據(jù)中心區(qū)的匯聚交換機(jī)之間采用防火墻隔離，防火墻和交換機(jī)之間采用萬(wàn)兆以太網(wǎng)光纖口互聯(lián)。

樓層匯聚區(qū)有2 臺(tái)3 層交換機(jī)（瞻博EX4200－24F），采用2條千兆線路捆綁后組成匯聚層，匯聚層交換機(jī)采用以太網(wǎng)鏈路聚合技術(shù)組成以太網(wǎng)通道，各終端通過千兆以太網(wǎng)口直接接入?yún)R聚層交換機(jī)。

終端區(qū)各樓層交換機(jī)通過千兆光纖接入核心交換區(qū)，它主要提供各樓層中網(wǎng)絡(luò)終端接入。終端交換機(jī)通過VLAN 定義實(shí)現(xiàn)接入的隔離，并為服務(wù)器提供網(wǎng)絡(luò)接入。

3 校園網(wǎng)IP地址及VLAN 的規(guī)劃

IP地址唯一標(biāo)識(shí)互聯(lián)網(wǎng)上的一臺(tái)主機(jī)，它在IP數(shù)據(jù)報(bào)頭中出現(xiàn)。一個(gè)IP 地址由4 個(gè)字節(jié)組成，為32Bit，每個(gè)IP地址由兩部分組成：用于標(biāo)識(shí)網(wǎng)絡(luò)的網(wǎng)絡(luò)地址和用于標(biāo)識(shí)網(wǎng)絡(luò)中主機(jī)的主機(jī)地址。IPV4協(xié)議采用點(diǎn)分十進(jìn)制方式表示IP地址。以某校的C 類地址210.31.106.0／24 為例，不分子網(wǎng)的屏 蔽 碼 為255.255.255.0，對(duì)應(yīng)的網(wǎng)關(guān)為210.31.106.253。由于辦公地點(diǎn)的搬遷和校園網(wǎng)用戶數(shù)目的不斷增加，為避免IP沖突，需要對(duì)原有的IP地址及VLAN 進(jìn)行重新規(guī)劃分配。VLAN 是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。網(wǎng)絡(luò)用戶可以越過地域障礙，實(shí)現(xiàn)在一個(gè)局域網(wǎng)中快速安全的通信。我們根據(jù)學(xué)院部門的實(shí)際需要?jiǎng)澐肿泳W(wǎng)，每個(gè)部門都可以看成是一個(gè)獨(dú)立的虛擬局域網(wǎng)。表1為子網(wǎng)地址的劃分與范圍實(shí)例。

表1 子網(wǎng)地址的劃分與范圍實(shí)例

4 校園網(wǎng)絡(luò)設(shè)備的管理與維護(hù)

一個(gè)良好的網(wǎng)絡(luò)管理系統(tǒng)可以在很大程度上優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，預(yù)防和及時(shí)排除故障，減少網(wǎng)絡(luò)的維護(hù)費(fèi)用。由于本網(wǎng)采用的網(wǎng)絡(luò)設(shè)備產(chǎn)品不止一家，這些廠商又都無(wú)法提供一個(gè)統(tǒng)一的網(wǎng)絡(luò)平臺(tái)，因此必須提供一個(gè)符合SNMP標(biāo)準(zhǔn)的網(wǎng)管系統(tǒng)，以保持對(duì)所有網(wǎng)絡(luò)設(shè)備的整體狀態(tài)實(shí)時(shí)在線監(jiān)控管理。

網(wǎng)絡(luò)管理模型由網(wǎng)絡(luò)管理工作站（管理器）、被管節(jié)點(diǎn)和通信協(xié)議組成。管理器用于執(zhí)行網(wǎng)絡(luò)管理操作以監(jiān)視并控制代理系統(tǒng)。SNMP 代理是駐留在被管節(jié)點(diǎn)中的應(yīng)用程序，代表對(duì)象執(zhí)行管理器請(qǐng)求的網(wǎng)絡(luò)管理操作。圖2簡(jiǎn)要說明了管理器和代理使用SNMP進(jìn)行通信的交互操作原理。

圖2 管理器和代理通過SNMP進(jìn)行通信模型圖

當(dāng)一個(gè)設(shè)備開啟SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議后，則該設(shè)備中的MIB（管理信息庫(kù)）表被打開，網(wǎng)管通過主動(dòng)輪詢機(jī)制去獲取MIB 表中的一些信息。MIB 表中記錄了設(shè)備的很多指標(biāo)參數(shù)，通過OID（對(duì)象標(biāo)識(shí)）節(jié)點(diǎn)值去進(jìn)行標(biāo)識(shí)。例如：設(shè)備的型號(hào)、廠家、CPU 的利用率，用OID 標(biāo)識(shí)出來(lái)就是：1.3.6.1.4.1.222.1.2.3，內(nèi)存利用率同樣也是通過OID 的一串?dāng)?shù)字表示，每個(gè)端口的狀態(tài)和流量也都如此。圖3為某校網(wǎng)絡(luò)設(shè)備使用SNMP協(xié)議獲取到的物理拓?fù)涓鶊D。

5 結(jié)論

本論文結(jié)合某高校校園網(wǎng)建設(shè)發(fā)展的現(xiàn)狀，進(jìn)行了校園網(wǎng)絡(luò)的總體架構(gòu)及邏輯分層設(shè)計(jì)。改進(jìn)后的網(wǎng)絡(luò)結(jié)構(gòu)分成核心交換區(qū)、數(shù)據(jù)中心區(qū)、樓層匯聚交換區(qū)和終端區(qū)4個(gè)區(qū)。網(wǎng)絡(luò)擴(kuò)展時(shí)，核心層架構(gòu)保持不變，接入層可以隨接入需要擴(kuò)展。IP 地址子網(wǎng)段的劃分及VLAN 的實(shí)現(xiàn)避免了IP的沖突和病毒大范圍的攻擊，網(wǎng)絡(luò)設(shè)備的在線視圖管理改善了信息中心運(yùn)維人員的管理方式，保證了校園網(wǎng)絡(luò)的安全運(yùn)行。

圖3 某高校網(wǎng)絡(luò)設(shè)備在線拓?fù)鋱D

［1］ 趙衛(wèi).咸陽(yáng)師院網(wǎng)絡(luò)架構(gòu)及安全體系的研究與設(shè)計(jì)［D］.西安：西安電子科技大學(xué)，2011：18－21.

［2］ 劉曉輝，李利軍.局域網(wǎng)組網(wǎng)大全［M］.北京：人民出版社.2007.

［3］ 趙剛，王朝斌，郭春麗.淺談校園網(wǎng)IP地址設(shè)計(jì)原則［J］.西昌學(xué)院學(xué)報(bào)（自科版），2011，25（3）：40－41.

［4］ 孔素真，張慶莉.校園網(wǎng)VLAN 的管理與配置［J］.河南科技學(xué)院學(xué)報(bào)，2011，8（4）：107－108.