校园网作为学校信息化建设的一个重要组成部分,已经成为教育界所瞩目和共同关心的大事。由于校园网既有一般网络的特点,又有其流媒体等高带宽应用及QoS保证等非凡性,因此,选择校园网建设设计方案时,首先应以保护投资、满足信息量变化和不断增长的需求为前提。
结合近几年校园网建设和治理的一些经验,我们从技术角度谈谈建设校园网时应注重的几个主要问题。由于大学校园网是校园网中规模及复杂性最高的类型,本文所提到的技术问题是以大学校园网为背景的。
校园网设计的技术原则
高性能
校园网作为现代大学信息运行的承载平台,涉及到众多不同的应用及众多用户。众多的用户、不同类型的应用,包括一些实时性强的交互业务应用(如语音、图像等),势必对校园网的性能提出更高的要求。加之大学校园网是现在国内并发用户最多的园区网,因此,校园网设计时首先要考虑有足够的骨干带宽、合理的网络拓扑结构、先进适用的技术,并努力实现网络的无阻塞性,而不能使网络成为业务应用的瓶颈。
高可靠性
网络系统的稳定可靠是应用系统正常运行的要害保证。在网络设计时,应选用高可靠性的网络产品、合理的网络架构,制订可靠的网络备份策略,保证网络具有较好的故障自愈能力,以减少网络中断时间。
从我们的经验看,在网络建成初期,用户对网络的态度是可有可无的,但在应用约一年时间以后,用户对网络就产生了依靠性,一旦网络中断,将会引起巨大的反应。从学校的角度讲,此时再来考虑网络的可靠性问题,无疑是一种投资浪费。
安全性
解决安全性问题,需制定统一的网络安全策略和过滤机制,充分使用各种不同的网络技术,如虚拟局域网络(VLAN)、代理、防火墙等。从数据安全的角度讲,还应将重要的数据服务器集中放置,构成服务器群,以方便采取胧┘斜;⒍灾匾萁斜阜荨?br>
可治理性
校园网作为一种地理范围分布较大的园区网(甚至是一种多个园区网连接而成的广域网),日常治理及维护的工作量较大。为了尽可能提高工作效率,减少网络停顿时间,同时为未来网络的发展打下基础,必须使校园网具有良好的可治理性。选择方案时应考虑以下几个方面:
◆ 对网络实行集中监测、分权治理,并统一分配资源;
◆ 选用先进的网络治理平台,可以集中对全网设备(路由器、以太网交换机等)实施具体到端口的治理能力,并可提供及时的故障报警和日志;
◆ 选用的网络设备及其他连接在网络上的重要设备都应支持远程治理;
◆ 设计时需充分考虑运行维护的问题,非凡是建设工程结束时,应要求建设方提供足够的设计及实施文档。
技术先进性
先进合理的技术是投资保护的重要方面。网络核心设备应考虑使用国内外主流厂家生产的设备,同时要把先进的技术与国际公认的标准结合起来,使网络支持国际上通用的标准网络协议。当然,要做到万无一失是不可能的,但从校园网建设经验看,需注重以下几点:
◆ 注重多倾听第三方专家的意见,对由厂商自己介绍的先进技术必须加以确认;
◆ 注重从使用的角度倾听集成公司或其他用户的意见;
◆ 各主流厂商都有其优秀产品,要害看是否符合自己的实际需求,性价比是否合理等。
从产品性能来说,国外主流产品目前在国内高校校园网中使用较多,人们的认同度较高。但国外产品价格较高,一般学校难以承受。国内产品相对于国外产品来说价格不高,非凡是低端产品性价比和稳定性较好,且售后服务响应时间较快,目前在校园网中使用也比较多。
校园网建设的一般结构
校园网网络系统从设计上一般分为核心层、汇聚层和接入层三个部分;从功能上基本可分为网络中心、教学子网、办公子网、图书馆子网、宿舍区子网及后勤子网等。
核心层
核心层的功能主要是实现骨干网络之间的优化传输,负责整个校园网的网内数据交换。网络的功能控制最好尽量少在骨干层上实施。
中心交换机应是路由交换机,支持主流的园区骨干技术,如1000Base-Sx/Lx/Zx/Tx等,同时计划支持未来的骨干技术,如10G等,提供端到端的MultiCast等协议。现在Internet/Intranet的数据流量分布已由过去的“内部80%,外部20%”变为“外部80%,内部20%”,因此,中心交换机需具备较高的路由转发速率,最好是线速的。中心交换机应具有很高的交换背板容量和包转发率,如背板容量在100Gbps以上。
核心层设备将占投资的主要部分。
汇聚层
汇聚层主要负责连接接入层接点和核心层中心,汇聚各区域数据流量,必要时,作为网络冗余连接使用。同时,汇聚交换机还负责本区域内的数据交换。
汇聚交换机一般与中心交换机同类型,仍需要较高的性能和比较丰富的功能,但吞吐量较低。
接入层
接入层在整个网络中接入交换机的数量最多,具有即插即用的特性。对此类交换机的要求,一是价格合理;二是可治理性好,易于使用和维护;三是有足够的吞吐量;四是稳定性好,能够在比较恶劣的环境下稳定工作。
网络治理中心建设
网络治理中心负责全网内外的数据交换,是整个网络的重中之重。网络硬件主要由中心交换机、服务器群、Internet接入路由器、防火墙、远程访问服务器、WEB缓存等组成;软件主要包括网络及防火墙、服务器数据库治理软件、网络操作系统、应用软件等。网络中心建设时应从以下几方面考虑:
服务器群
服务器群作为网络的数据存储中心,是全网的重要保护部分。校园网络服务器平台可以分为两大类:普通的Internet应用和业务应用。
◆ 普通的Internet应用主要包括:网页浏览、电子邮件、域名解析(DNS)、文件传输(FTP)、远程登录(Telnet)、新闻服务(News Group)、信息查询(Archie、Gopher、WAIS等)。此类应用对网络的QoS要求较低,对带宽的要求也不高。
◆ 业务应用主要包括:办公自动化(如Lotus Notes)、远程教育、数字图书馆、虚拟专网(VPN)、协同工作(包括协同设计和协同实验)、视频广播及点播、电视会议、远端仪器操作及远程医疗等。此类应用对网络的QoS要求较高,对带宽的要求比较高。
Internet接入路由器
Internet接入路由器主要作用是将内部网络与外部网络连接起来,同时也可以附加使用一些基于3层或4层的过滤策略及NAT等。考虑到Internet接入逐步走入宽带化,因此不要选用包转发速率较低的低端边缘路由器。
防火墙和入侵检测
作为保证网络安全的重要措施,防火墙可以控制一些对网络的非法访问,它在网络中起着对网络的保护作用,假如配套使用入侵检测设备,将有助于提高网络安全控制。
冗余部件支持
如电源、交换矩阵、风扇等部件还应有冗余支持。
其他注重事项
建设机房时,应做好防雷、防静电、防尘,恒温、恒湿等。
安全性设计与VLAN的应用
从系统安全性来说,一般将校园网系统分为:用户接入系统(按用户分为校内、国内和国际三种访问权限)、公共服务器系统(如邮件服务器)和外部网络(如Internet)。通过相应的物理连接规划和VLAN划分,将这些系统互相隔离,构成不同的通讯控制区。这些通讯控制区之间通过交换机的路由选择功能进行通讯。
实施中,将网络按照安全性要求分为多个虚拟局域网络,即用户接入系统VLAN(如对每种不同访问权限用户设置一个虚拟局域网络)、公用服务系统VLAN和外部网络连接VLAN(如Internet),使每类用户在各自的一个虚拟局域网络内。缺省的情况下,各个虚拟局域网络之间不能互通,从数据链路层上构成多个逻辑网络,由虚网实现禁止部门间的通讯和应用之间的互相访问。同时,通过IP地址的规划和路由协议的控制,限制各IP子网之间的访问,通过IP包过滤作进一步的安全性控制,也可控制IP地址的盗用。
设计中可以综合采用OSI模型2至4层的各种安全技术,为校园网提供多方面的安全性保证。
校园网中的QoS
在校园网中,涉及QoS的一个重要应用是多媒体广播。对于多媒体服务而言,MultiCast是一个重要的协议,它将多媒体组播占用的网络带宽降到最低,从而部分地保证服务质量。建设中,需要注重确保主干交换机及涉及多媒体应用的接入交换机支持MultiCast的传送。
总之,建设好一个校园网仅仅是为学校的“信息化”和“网络化”建设搭建起了一个基础平台,走出了网络建设的第一步,而要害问题是如何治理和维护好校园网,确保网络应用的顺利实施。