高校校园网的网络建设与网络技术发展几乎是同步进行的。高校不仅承担着教书育人的工作,更承担着部分国家级的科研任务,同时考虑未来几年网络平台的发展趋势,为了充分满足高校骨干网对高速,智能,安全,认证计费等的需求,可以利用万兆以太网的校园网组网技术。
构建校园网骨干网,实现分校区和本部之间的连接,以及实现端到端的以太网访问,提高了传输的效率,有效地保证了远程多媒体教学、数字图书馆等业务的开展。
随着信息技术的高速发展,教育信息化水平正成为衡量学校总体发展水平的重要因素,网络技术的应用对高校的教学手段和教育管理体系的促进作用是巨大的。1995年CERNET(中国教育和科研计算机网)建设全面启动,全国各地的高校开始建设自己的计算机校园网。校园网建设是高校建设的重要组成部分,建设高质量的局域网,才能充分发挥网络资源管理和应用的优势,进行信息交流、资源共享、科学计算和科学研究与合作。
某大学分校新建立了一个实验楼,规划一个6层的实验楼30多个机房1600多台计算机的实验教学网络。实验楼面向全校专业课程和公共上机的教学任务,每年为5000名大学生提供大学英语视听教学、C语言等课程的教学服务。
现代网络结构化布线工程中多采用星型结构,主要用于同一楼层,由各个房间的计算机间用集线器或者交换机连接产生的,它具有施工简单,扩展性高,成本低和可管理性好等优点;而校园网在分层布线主要采用树型结构;每层的集线器或交换机在连接到本楼出口的交换机,各个楼的交换机再连接到园区通信网中。
采用三层结构为大学设计校园网。选用万兆以太网作为连接大学多个校区的高速主干;选用千兆以太网作为各个校区内楼层之间的主干,形成大学校园网的汇聚层;选用百兆以太LAN作为基本的接入形式,在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。
进行校园网总体设计,首先要进行对象研究和需求调查,明确学校的性质、任务和改革发展的特点及系统建设的需求和条件,对学校的信息化环境进行准确的描述;在应用需求分析的基础上,确定学校Intranet服务类型,进而确定系统建设的具体目标,根据应用需求建设目标和学校主要建筑分布特点,进行系统分析和设计。
选用万兆交换机互联各个园区网,而不选用高速路由器是因为:
该校园网从CERNET获得了IP地址的数量是无法满足需求的,只能供向因特网发布信息和联系或进行网络科学研究之用,因此构成校园网IP地址的主体是经过NAT转换的专用网地址。使用专用网地址不利于与其他大学的学术交流,但也是不得已而为之的方法;另一方面,可能使得校园网受到网络黑客侵扰会少些。
校园网分为公网和专网。通过防火墙,连接放置各种应用服务器的非军事区部分,并经路由器与CERNET相连。
该三层校园网结构中的核心层位于公网部分,可选用了Cisco公司的万兆交换机Cat6509。
租用电信公司的光纤裸芯,用万兆速率将两个园区的万兆交换机相连。
汇聚层设备不但分担了核心设备的部分压力,同时提高了网络的安全性。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计,以满足客户需求。园区网可基本保持原有的二层网络架构,并在自己的园区网中使用专用IP地址块,楼层之间采用千兆光纤相连,汇聚到千兆主交换机上与大学万兆交换机通过防火墙相连。
由于新实验楼中具有的PC数量为1600台左右,考虑到教学区域、管理区域和园区内内数据服务区域,建议划分为若干个子网,也可以划分为多个VLAN,以隔离广播流量,提高网络工作效率,并提高安全性。
分校区的主干网可采用3COM公司的Switch4007交换机与3C16980连接的千兆光缆构成了学院园区网的主干,向下以百兆以太网作为接入网与用户PC相连。
分校区实验楼的二层网络拓扑架构如下图所示:
IP地址的分配原则如下:
服务器集群和办公楼的IP获取方式为手动分配,其他的均为通过DHCP获取。上网方式均采用NAT方式。
实验楼IP地址分配表
VLAN技术允许将一个网络的物理的LAN逻辑划分成不同的广播域。一个VLAN内部的广播和单播流量被限制在本VLAN之内,不会转发到其他VLAN中,这有助于控制流量、简化网络管理、提高网络的安全性。
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访。虚拟局域网的好处是可以限制广播范围,是一种比较成熟企业组网规范,在本案例中我们可以利用它划小网络特点,我们可以进一步监控网络,就算IP冲突产生,也轻易知道它发生在哪个部门(若VLAN划分以部门为依据)
通常将网络主干部分称为核心层,核心层的主要目的在于通过高速转发通信,提供油画,可靠的骨干传输结构,因此核心层交换机应拥有更高的可靠性,性能和吞吐量。
锐捷网络RG-S9620交换机成为企业网络核心交换机的理想选择,适用于为政府、学校、企业构建高速、安全、可靠的万兆网络,它的背板带宽为9.6T,包转发率:L2:3571Mpps,L3:3571Mpps,扩展插槽:20个(4个用于管理与交换距阵)
通常将位于接入层和核心层之间的部分称为分布层或汇聚层,汇聚层交换层是多台接入层交换机的汇聚点,它必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交换机与接入层交换机比较,需要更高的性能,更少的接口和更高的交换速率。
实验楼网管中心汇聚层交换机选择,锐捷网络RG-S8606为企业网络核心交换机的理想选择。适用于为政府、学校、企业构建高速、安全、可靠的千兆背板带宽为1.6T,包转发率:L2:595Mpps,595Mpps,扩展插槽:6个(2个用于管理引擎模块)。
实验楼各楼层的汇聚层交换机,我们采用锐捷网络RG-S3760E-24,属于千兆交换机,背板带宽:49.6G,包转发率:12.8/16.4Mpps。
通常将网络中直接面向用户连接或访问网络的部分称为接入层,接入层目的是允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特性。接入层交换机我们选择可网管的交换机。
物理/链路层配置遵循下面的原则:
计算机网络安全受到的威胁包括:
在不改变原有网络结构的基础上实现多种信息安全,保障校园内部网络安全,我们选购了一套网络安全防范设备。
网络管理性能是衡量一个网络系统性能高低的重要因素之一。网络管理系统完成设置网络设备、监控网络运行、保障网络安全,查找并隔离网络故障,记录网络中的各种事件以及划分虚拟网络等功能。总之,对所有网络上的信息进行统一管理。网管通常结合硬件和软件的手段来实施,对不同的拓扑结构及不同的物理和逻辑部分进行监控和分析。OSI定义网管系统支持传统五大网管功能:故障管理、配置管理、计费管理、安全管理以及性能管理。这些管理功能由网管系统和网络设备共同完成。结合校园网的实际情况,我们认为,安全管理与计费管理可以由网络管理模块配合专用的软(硬)件管理产品来共同实现,网络管理的主要任务应落实在故障管理、配置管理和性能管理这三个方面。
网络节点插板、端口和冗余结构的配置和管理;
网络节点访问口令的设置和更改。
能实时监视故障信息,并对其统计分析;可形成节点、中继线及用户端口的告警产生、告警内容和告警清除的统计报告。可实时修改状态图以反映此故障。校园网网络设备较多但网络结构简单,管理人员不多,比较适合采用集中的管理模式,即由一台网管主机(或者备份主机)对整个网络环境进行综合管理,不需要添加二级管理设备,管理结构简单,已于维护管理。通过仔细分析校园网网络系统结构,在主要管理产品选型上我们建议采用Cisco公司基于WINDOWS2000的CiscoWorks2000网管软件实现对整个网络设备的管理。
服务器状态的监控:主要包括服务器的各个性能参数。可以采用专用的系统管理模块对各个性能参数分别监控、统一管理。
应用程序状态的监控:包括各个关键服务的关键应用进程的健康情况。视需监控的程度和经费状况,可以选用专用的监控模块或统一的进程监控模块。
网络状态的监控:通过上面的网络管理模块即可实现对整个网络系统可用性的统一监控。考虑到校园网目前的管理人员比较少,管理任务相对较的特点,对以上各个应用服务的管理及网络管理,我们可以采用统一的事件控制平台来汇总管理,实现集中化控制、单窗口管理。并且利用事件控制平台自身的特点,实现报警事件的集成、过滤、关联和自动化处理。事件管理平台收集并集成来自网络环境中任何重要的信息源的消息,通过内置的过滤关联机制,将有效的消息分组分级别的统一呈现在管理员面前。另外,应用监控系统能够利用保存的历史监控数据,生成各种可用性及趋势报表,为下一步的投资改造决策作参考。
网络设备拒绝服务攻击的防止主要是防止出现TCPSYN泛滥攻击、Smurf攻击等;网络设备的防TCPSYN的方法主要是配置网络设备TCPSYN临界值,若多于这个临界值,则丢弃多余的TCPSYN数据包;防Smurf攻击主要是配置网络设备不转发ICMPecho请求(directedbroadcast)和设置ICMP包临界值,避免成为一个Smurf攻击的转发者、受害者。
为保证网络系统的安全运转及电源发生故障时重要数据的储存,须配置具有高可靠性的UPS电源。为此,在网络中心配置了一套山特C3KVA/2100W的UPS电源。
综合布线同传统的布线相比较,有着许多优越性,是传统布线所无法比及的。其特点主要表现为它的实用性、功能性、先进性、灵活性、方便性、可靠性、扩展性、开放性、标准化、经济性和生命周期。而且在设计、施工和维护方面也给人们带来了许多方便。
综合布线系统是一套开放式的布线系统,可以支持几乎所有的数据、语音设备及各种通信协议,同时,由于PDS充分考虑了通信技术的发展,设计时有足够的技术储备,能充分满足用户长期的需求,应用范围十分广泛。而且结构化综合布线系统具有高度的灵活性,各种设备位置的改变,局域网的变化,不需重新布线,只要在配线间作适当布线调整即可满足需求。结构化综合布线一般划分为六个子系统。
工作区子系统,是由RJ-45跳线与信息插座所连接的设备组成。信息点由标准RJ45插座构成。信息点数量应根据工作区的实际功能及需求确定,并预留适当数量的冗余。例如:对于一个办公区内的每个办公点可配置2~3个信息点,此外应为此办公区配置3~5个专用信息点用于工作组服务器、网络打印机、传真机、视频会议等。若此办公区为商务应用则信息点的带宽为100M可满足要求;若此办公区为技术开发应用则每个信息点应为交换式100M甚至是光纤信息点。
配线子系统,是从工作区的信息插座开始到管理间子系统的配线架。选择配线子系统的线缆,要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。在配线子系统中推荐采用的双绞电缆及光纤型号为:安普公司的超五类或六类非屏蔽双绞线,TCL室内单模或多模光纤。
双绞线水平布线链路中,水平电缆的最大长度为90m。若使用100ΩUTP双绞线作为配线子系统的线缆,可根据信息点类型的不同采用不同类型的电缆。该方案选择安普公司的超五类非屏蔽双绞线缆。
干线子系统,负责连接管理子系统到设备间子系统的子系统。干线子系统可以使用的线缆主要有:HAY三类大对数电缆;安普公司的超五类或六类双绞线;TCL室内单模或多模光纤。该方案选择安普公司的超六类双绞线缆。
垂直干线子系统由连接主设备间至各楼层配线间之间的线缆构成。其功能主要是把各分层配线架与主配线架相连。用主干电缆提供楼层之间通信的通道,使整个布线系统组成一个有机的整体。垂直干线子系统Topology结构采用分层星型拓扑结构,每个楼层配线间均需采用垂直主干线缆连接到大楼主设备间。垂直主干采用25对大对数线缆时,每条25对大对数线缆对于某个楼层而言是不可再分的单位。垂直主干线缆和水平系统线缆之间的连接需要通过楼层管理间的跳线来实现。
设备间子系统是一个集中化设备区,连接系统公共设备,如局域网(LAN)、主机、建筑自动化和保安系统,及通过垂直干线子系统连接至管理子系统。
管理子系统,由交连、互连和I/O组成。管理是针对设备间、电信间和工作区的配线设备、缆线等设施,按-定的模式进行标识和记录的规定。跳线采用超5类非屏蔽双绞线,RJ45接头。管理间是楼层的配线间,管理子系统为其他子系统互连提供手段,它是连接垂直干线子系统和水平干线子系统的设备。管理子系统由交连、互连和输入/输出组成,实现配线管理,为连接其它子系统提供手段。包括配线架、跳线设备及光配线架等组成设备。设计管理子系统时,必需了解线路的基本设计原理,合理配置各子系统的部件。安普公司的综合布线解决方案拥有搭配科学、管理简便的成套产品用于管理子系统。
建筑群子系统是实现建筑之间的相互连接,提供楼群之间通信设施所需的硬件。建筑群之间可以采用有线通信的手段,也可采用微波通信、无线电通信的手段。传输介质采用室外六芯多模光纤。
建筑群子系统介质选择原则:楼和楼之间在二公里以内、传输介质为室外光纤、可采用埋入地下或架空(4M以上)方式、需要避开动力线、注意光纤弯曲半径建筑群子系统施工要点:包括路由起点、终点;线缆长度、入口位置、媒介类型、所需劳动费用以及材料成本计算。建筑群子系统所在的空间还有对门窗、天花板、电源、照明、接地的要求。
由于机房雷电防护系统对所保护系统的业务正常运行具有非常重要的作用,因此雷电防护系统应具备先进性、可靠性、易维护、易升级等方面的突出特性。
主要保护对象为信息中心机房
具体措施:对于采用光纤通信的线路可以不另外加装防雷器,只需在光纤入户端将光纤内的钢筋做良好接地即可。但应考虑到做为备份通信的其它线路,如DDN等,因此对非光纤的通讯线路做防雷保护是有必要而且是必需的。可在专线通讯线路入户端加装RJ45-ISDN/4-F通讯专线防雷器一套。
布线的施工工艺质量并不能完全决定整个网络布线的质量,所以对布线必须作认证测试,以决定链路是否达到设计要求。
对于主干采用的光缆,则需要测试光传输过程中的连续性和衰减损耗。其中连通性是对光纤的基本要求,而衰减损耗是对光纤作为网络介质所表现的传导性能否保证系统正常工作的前提。具体的说,就是要检查每条光纤是否存在着断裂或其它的不连续点,光纤的接头ST或SC头的制作工艺以及每一条光纤的长度是否符合标准。标识清楚,标识分为以下类别:通道标识、空间标识、电缆标识、端接硬件标识。接地标识,对日常维护最重要的是电缆标识,根据我们的经验是标识的越细致,日常维护越简单、方便,设备间的标识尤为重要,垂直、水平、光缆,甚至房间的模块面板都应标识清楚。