1 校園網建設現狀 華北水利水電學院是一所以工科為主,多學科協調發展的高等院校,現有在校生共計12000余名。學校于1999年1月接入 CERNET,經過近幾年前三期的校園網建設,出口速率由最初的通過微波共享2M,2002年5月升級為1Gbps。華北水利水電學院老校區校園網以四號教學樓(網絡中心所在樓)為中心,通過單模和多模光纜連接校內各辦公樓、教學樓、家屬樓、實驗樓和學生宿舍樓等,實現了千兆到樓,百兆到桌面,連接校內所有建筑物的快速校園網絡。目前老校區接入校園網的計算機主機數已達6千多臺,信息點1萬余個。
華北水利水電學院校園網現有AVAYAP882、AVAYA P333R、華為8505、華為6506、華為3526、華為3026、華為3526FM、華為5516F、華為2403H、華為3500、華為 2016、CISCO 2514路由器,BAY1100、BAY350、BAY450,博華網龍千兆防火墻、CISCO 4006、CISCO 3548、CISCO 3524等三百多臺高、中、低檔交換機,曙光TC-1700、HP LH4、HP LC3、Dell PE6650,Dell 2650,Dell2600,Dell1600sc,Dell PV770N NAS存儲服務器,Dell2800,HP PRoliant BL刀片服務器等一批高中檔服務器。提供有域名服務、電子郵件服務、WWW服務、VOD服務、FTP數據存儲服務等。除提供基本的網絡應用功能外,還搭建了教學、教務、辦公、課件開發、數字圖書館等一系列為教學、科研服務的平臺。
2 目前校園網中存在的問題
經過近幾年老校區的網絡建設和運行,目前發現存在一些問題:
2.1網絡可靠性差
由于網絡結構中沒有設備、電源、線路等的冗余和負載均衡,中心核心設備或分中心設備故障等問題出現直接導致了大面積的網絡中斷,影響網絡的正常運行,且每次出現問題后網管人員需要作出相應響應,網絡不具有自動愈合功能。
2.2網絡安全性差
由于教學、辦公、公共機房等的計算機治理責任不明確,以及治理不善,經常造成ip地址沖突、計算機感染病毒造成網絡擁塞、國際流量異常以及資料泄密等安全事故,這些事件的發生嚴正影響了該校網絡運行的安全性和可靠性。
2.3用戶治理、認證效果差
雖然學生宿舍區應用了計費認證系統,但經過近一年的運行,并沒有達到預期的效果。
2.4網絡應用平臺繁多和孤立
在校園網上運行有郵件系統一套,OA一套,教務治理系統一套,網絡教學平臺兩套,課件開發平臺一套、英語網絡教學平臺三套等一系列平臺,但這些平臺都彼此孤立和不能互相兼容,致使用戶登陸每一個平臺都需要輸入不同的帳戶和密碼,非凡是網絡教學平臺利用率極低,使投資浪費。
所以在新校區的網絡建設上要徹底避免上述問題的產生,要進行統一的規劃設計,徹底保證網絡的安全性和穩定性。
3新校區校園網建設指導思想和目標
3.1新校區概況
由于該校發展需要,在2004年學校在鄭州鄭東新區龍子湖征地1770畝,用于建設新校區。目前已完成1-5#學生宿舍樓,1-4#教學樓,學生活動中心、教工活動中心等建筑物的建設,已入住2005級新生3000余人。根據《華北水利水電學院校園建設規劃》“2007-2008年全部完成新校區工程建設和配套工程、校園綠化美化等主要工程”,“新校區是學校的辦學主體,以普通本科生、研究生的培養和科學研究為主要功能”,“新校區的學生規模為18000人,總建筑面積492600平方米”以及“充分利用現代信息網絡技術,加大基礎設施建設力度,構建功能齊全、信息暢通的數字化校園”,新校區將布信息點2萬多個。
3.2新校區網絡需求分析
基本需求:為加快該校新校區的網絡信息化建設,響應新校區校園網建設工程,滿足該校信息化需求,保證高質量、高效率地為各個子網日常辦公、多媒體教學、課件資源共享、E-MAIL、FTP、WEB信息發布、VOD視頻點播、信息傳遞、共享文件打印機、宏觀協調及科學決策服務,新校區網絡主要實現新區網絡中心到辦公區,教學區、學生生活區以及教師生活區、實驗場館等地光纖高速接入校園網。
應用需求:新校區將來是辦學主體,網絡規模會比較大,用戶數也會很多,并且會有很多依靠于校園網所運行的平臺,例如一卡通系統,這些都對網絡的性能、安全性、可靠性、穩定性提出了有很大的要求;由于網絡治理的需要,對用戶入網認證、網絡監控治理,也都提出了需求;另外為滿足重要應用優先的運行對QoS應用提出需求,而視頻遠程教學又對組播應用提出需求,下一代互聯網應用則對ipv6部署也提出了需求。
3.3建設指導思想和原則
3.3.1先進性和成熟性
系統設計既要采用先進的概念、技術和方法,又要注重結構、設備、工具的相對成熟。不但能反映當今的先進水平,而且具有發展潛力,能保證在未來若干年內占主導地位,保證該校網絡建設的領先地位,網絡主干設備選用高帶寬的、千兆位及萬兆位線速路由交換技術。
3.3.2高性能
系統建設應始終貫徹面向應用,注重實效的方針,保證系統具有足夠的數據傳輸帶寬,并為可預計的業務提供足夠的系統容量和提供QOS,COS服務品質,建設新校區的高性能網絡系統,保護該校的投資。
3.3.3可靠性和穩定性
在考慮技術先進性和開放性的同時,還應從系統結構、技術措施、設備性能、系統治理、廠商技術支持及維修能力等方面著手,確保系統運行的可靠性和穩定性,達到最大的平均無故障時間。方案中涉及核心層設備,要求提供電源備份,模塊的熱插拔維護。核心層設備的系統模塊,如交換引擎、電源模塊等均能1+1冗余備份。在網絡結構設計中,也考慮了一定的冗余和負載均衡,保證網絡高可用性。
3.3.4安全性和保密性
在系統設計中,既考慮信息資源的充分共享,更要注重信息的保護和隔離,因此系統應分別針對不同的應用和不同的網絡通信環境,采取不同的措施,包括系統安全機制、數據存取的權限控制等,如劃分VLAN、MAC地址綁定、802.1x、802.1d、802.1w、802.1s、VRRP、 ACL、PORT+IP+MAC綁定等。
3.3.5可擴展性和可治理性
為了適應系統變化的要求,必須充分考慮以最簡便的方法、最佳的投資,實現系統的擴展和維護,所以全線采用可網管產品,提供堆疊、集群功能,降低人力資源的費用,提高網絡的易用性、可治理性,同時又具有很好的可擴充性,實現網絡的可維性。
3.3.6結構化設計
接入層:連接各端末設備,做為網絡智能安全接入和策略的邊緣。
匯聚層:連接學生宿舍和教師宿舍的接入設備,提供負載平衡、快速收斂和擴展性,完成路由選擇,提供冗余。
核心層:連接各匯聚設備或接入設備和服務器群設備?提供路由治理、網絡服務、網絡治理、數據高速交換、快速收斂和擴展性,完成高速轉發。
3.4建設目標和未來校園網發展方向
華北水利水電學院新校區網絡建設在實用的前提下,在保護投資及長遠性考慮原則下,在技術上、系統能力上要保持五年左右的先進性。采用標準、開放、可擴充的、能與其它廠商產品配套使用的設計。
結合實際建網情況和前期網絡建設,在充分研究了目前國內外網絡界對校園網設計所采用的各種網絡主干技術,并充分考慮到技術發展的主流和趨勢后,選擇萬兆以太網為目標,IPV6協議為基本協議框架構建新校區的網絡建設,設計“核心層之間萬兆鏈路,核心層到匯聚層千兆主干、百兆交換桌面”的網絡拓撲結構,核心層和匯聚層硬件實現IPV6。考慮到校園網治理的智能化和校園網發展的良性循環,要求能夠通過統一的用戶治理平臺實現基于802.1X 協議的全分布式校園安全認證計費目標。整個網絡能夠實現:高性能、高可靠性、高穩定性、高安全性、可運營、可治理、可增值的智能安全網絡。
經過未來幾年的努力,校園網作為整個信息化建設的重要基礎設施,將建成一個高速、開放、先進、智能的計算機信息網絡平臺[1]。在將來,華北水利水電學院的校園將是一個網絡化、數字化、智能化有機結合的新型校園。
4新校區校園網規劃和設計
4.1方案拓撲設計
方案設計以千兆以太網技術為基礎,萬兆以太網為目標,采用“主干萬兆,支干千兆,百兆交換桌面”的三層設計思路,分為核心層、匯聚層、接入層。核心層設計2臺高性能萬兆核心路由交換機,和分中心的萬兆高性能交換機組成全冗余的萬兆雙鏈路,保證了校園網的高速數據路由交換,并且具有很好的可擴展性。
整個網絡分中心由6個分中心構成,每個分中心部署一臺萬兆高性能交換機,每臺萬兆設備和核心設備之間兩條萬兆鏈路實現負載均衡的同時完成鏈路的備份,為了更好的加強整個網絡架構的穩定性和健壯性,每個分中心之間進行千兆鏈路的連接,從而完成鏈路更好備份需求。
匯聚層部署IPV4/IPV6雙棧硬件轉發路由交換機通過千兆鏈路實現和各個核心層分中心的互連,構建新校區高性能、高穩定、高可靠的 IPV4/IPV6雙棧匯聚層網絡。各樓棟匯聚層采用全千兆IPV6路由交換機分流核心數據壓力并終結各VLAN信息。接入層全部采用千兆智能安全交換機,實現接入安全控制。
核心層的萬兆鏈路以及匯聚層的千兆鏈路連接可以輕松提供高速數據包吞吐量和高可用性;并采用OSPF協議更是保證了園區骨干網的服務不中斷時間,而且核心設備的可熱插拔接口模塊、治理模塊冗余和電源冗余也提供了進一步的可靠性保證。
新校區部署治理平臺和認證計費平臺,從而完成新校區全網的用戶治理、設備治理和日志治理等。
上述的高速網絡配置的部分功能特性,為新校區高帶寬應用(如視頻流和IP組播)提供了高可用性和高性能的理想解決方案。
整個鏈路網絡拓撲見圖1:
圖1華北水利水電學院新校區網絡拓撲圖
4.2設備和系統選型
設備的選型是網絡設計當中非常要害的部分,嚴格的選型可以達到最佳的效果,即系統相對獨立,升級簡便,組網方式靈活,以保護現有投資和未來的發展。所以為了滿足學校目前的需求,立足長遠發展,網絡設備的選型除了依據提出的需求外,還需遵循上面的原則。
根據知名品牌主流網絡產品性能、功能和技術,結合網絡應用實際情況和發展趨勢,網絡方案中的交換機設備和網絡平臺選用以下系列產品。
4.2.1核心層設備選擇
在本方案中,中心交換機采用銳捷網絡RG-S6810E萬兆核心交換機作為整個校園網核心層的雙核心交換機,該款萬兆交換機完全可以滿足組網要求。RG-S6810E萬兆核心交換機具有1.6Tbps的背板帶寬,10個插槽,萬兆端口密度為32個,二、三層轉發速率為572Mpps。可配置冗余電源模塊及治理引擎模塊,而且所有模塊支持熱插拔,提高了系統的可靠性和可用性。
RG-S6810E萬兆核心交換機是銳捷網絡專門針對園區網骨干和中高密度接入一體的高速局域網絡,提供一個高性能、多層交換解決方案,其設計宗旨是滿足主干/分散和服務器集合環境對千兆位密度、可伸宿性、高可用性及多層交換不斷增加的需求,是大中型網絡核心骨干交換機的理想選擇。
對于核心層各個分中心而言,采用同樣支持萬兆的高性能路由交換機RG-S6806E作為核心層分中心的交換機,完成各個分中心業務的匯聚交換處理,達到整個核心層的穩定運行。
4.2.2匯聚設備選擇
本方案匯聚層交換機采用銳捷網絡RG-S3760-12SFP/GT全千兆交換機。RG-S3760-12SFP/GT最多支持12個千兆端口,具有48Gbps的背板帶寬,二、三層包轉發率達到18Mpps。RG-S3760-12SFP/GT支持冗余電源接口,需要另外配置專門的冗余電源模塊提供電源。RG-S3760-12SFP/GT對于IPV6的全面支持,滿足新校區的全面部署IPV6網絡的可能性。該款交換機完全可以滿足組網要求。
4.2.3接入設備選擇
接入層交換機選擇銳捷網絡STAR-S2100G系列千兆交換機。STAR-S2100G系列千兆交換機是全線速可堆疊千兆智能交換機,可以配置百兆、千兆模塊或堆疊模塊。STAR-S2126G可實現與STAR-S2150G的混合堆疊,最多可以實現8個設備進行堆疊。STAR- S2100G系列千兆交換機可以實現支持802.1x的五元素綁定認證,包括用戶名、PC機IP地址、PC機MAC地址、接入交換機IP地址、接入交換機端口號元素。提供智能的流分類和完善的服務質量(QoS)以及組播治理特性,并可以實施靈活多樣的ACL訪問控制,支持基于用戶的帶寬控制。
4.2.4安全認證系統
全網安全認證系統選擇銳捷網絡RG-SAM,實現全網用戶的接入控制、安全認證治理,并可以提供增值的上網計費的治理。
4.2.5網管平臺系統
全網網絡設備治理系統選擇銳捷網絡STARVIEW,實現全網網絡設備的集中統一治理、配置、拓撲發現、故障排除等治理。
4.3無線網絡的部署
無線網絡作為有線網絡的補充,為部分布線較困難的區域和需要移動辦公、學習的用戶提供全面、無縫的網絡覆蓋。擬在校內建立3-10個無線AP基站,覆蓋校內全部區域。
4.4新老校區的連接
新老校區通過租用或買斷通信光纜的方式,通過單模光纖千兆或萬兆互聯,使新老校區可以資源互享和共享,另外還要在新校區再建立一個到教育網的節點。另外新老校區的辦公語音電話、校內有線電視節目、視頻電話會議等都可通過該線路傳輸、互聯。
4.5新校區ip地址規劃
假如有充足的ip地址,則可以給每個入網計算機分配一個固定的ip地址,但若地址不夠,則可規劃入網計算機使用動態IP地址分配,用戶訪問網絡需要進行身份認證,在沒有認證或認證不通過的情況下用戶計算機獲得是內網ip地址,如10.0.0.5,僅能訪問特定的服務器或網段,而通過身份認證的則獲得公有ip,如202.196.155.5,可以訪問校內所有資源和互聯網,并開始計費。
4.6運行模式規劃
新校區網絡調試和試運行期間不收費,學生通過學號或自己的測試賬號可以在宿舍、室外(通過無線)、公共機房等體驗、測試校園網絡。試運行結束后學生無須開戶,教工以工號作為賬號登陸校園網。新校區網絡中心設至少3名工作人員負責日常的網絡維護和治理及值班,另需招聘10名學生作為勤工儉學協助工作人員指導用戶使用網絡和解決網絡問題。
4.7用戶計費模式規劃
用戶計費采用多種計費方式,如包月、包天(賬號名為位置編號),計時(賬號名為學號,每生一個賬戶)等,包月和包天比較適合宿舍中有電腦的用戶,時時計時比較適合在公共機房上網的用戶。其中對包月、包天用戶要進行IP+MAC+PORT+設備IP+帳戶等多方面信息綁定進行認證。繳費方式,采用一卡通方式或沖值卡沖值等方式。
6總結
校園網要能很好地應用與發展,很大程度上取決于設計方案(包括組網技術、拓撲結構、IP及路由規劃、設備選型等)的設計實施成功與否。本文從校園網工程的實際出發,從理論、設計、實現等多方面闡述了校園網設計實施方案。
(責任編輯:城塵)
新聞熱點
疑難解答
