高校校园网设计方案
2023-09-14
来源:步旅网
第29卷第1期 延安大学学报(自然科学版) V_0I_29 No.1 2010年3月 ournal of Yanan Universitv f Natural Science Edition Mar.2010 高校校园网设计方案 张俊兰,郭金平,刘 翼 (延安大学数学与计算机科学学院,陕西延安716000) 摘要:通过对高校校园网的发展现状进行分析,提出了一个校园网设计方案。通过硬件升级提供 一个高性能、高可靠的骨干网络。运用身份控制以及日志审计提高网络安全性。在出口线路做负 载均衡、冗余备份增加网络可靠性。在网络内使用相对应的管理平台实现网络可管理性,无线网络 用户可以在校园网内任意地方连接到网络。存储方面运用虚拟技术实现冗余备份,保证资料的安 全性。通过IPv4与IPv6的双栈与隧道实现IPv4网向IPv6网的平滑过渡。 关键词:校园网;骨干网;网络安全;网络管理;数据存储;IPv6 中图分类号:唧91 文献标识码:A 文章编号:1004-602X(2010)01-0028—12 1 引言 另一个在此阶段发展迅速的校园网应用就是IPⅣ, 更是被认为带宽的杀手级应用。与此同时,网络技 高校校园网一直是国内Internet发展的领头 术——特别是以太网技术迅猛发展,1000 M以太网 羊。1994年7月,中国教育和科研计算机网CER— 已经步人校园,万兆标准也已经公布。结合实际应 NET示范工程启动。也就是同一年,清华北大等顶 用和网络技术来看,这个阶段主要关注:带宽和应 尖大学建成了自己的校园网,事实上这些网络也是 用。 中国Intemet的开端¨ 。高校校园网从1994年的启 第三个阶段是信息资源建设时期,时间从2005 动建立到现在的15年间,无论是高校校园网的网络 年至今,乃至今后几年时间内。近两年,万兆以太网 技术,还是高校校园网的关注要点,大致可以分为三 已经开始在高校校园网中规模化应用,下一代以太 个阶段。 网标准也已经确立为10万兆标准。同时,随着 第一阶段是基础设施建设时期,时间大约从 CERNET2的启动,IPv6技术也已经在校园网中实验 1994年到2000年。这期间各种网络技术在高校同 并逐步应用。当基础设施和应用平台建设之后,信 时都有应用:以太网技术、FDDI和ATM网络技术。 息资源的丰富与否决定了校园网络的真正价值。当 在这个阶段,由于校园网应用的技术比较繁杂,而且 信息资源充分丰富后,人们的工作、学习、生活和娱 业务相对单一。因此,该阶段主要关注网络的连通 乐完全离不开网络,网络的安全与可信又成为头等 性和兼容性,即如何保证校园网的连通和各种不同 重要的问题。纵观这两年整个网络世界,安全事件 网络技术的兼容和融合。 频发:冲击波、震荡波、ARP攻击等等。所以,安全 第二阶段是应用平台建设时期,时间大约是从 可信成为了高校校园网当前关注的要点。 2000年到2005年。这期间,随着网络技术的发展, 简单来说,对于校园网:丰富的应用是关键,而 各种应用也开始出现并发展迅速,包括BBS、 稳定可靠的网络是基础,完善的安全和管理手段是 WWW、FI'P、E—mail以及近两年流行的BT下载、视 保障。下面我们将针对校园网的现状进行分析,并 音频业务等等-2 J,这些应用都对带宽提出了挑战。 且提出一个完善的校园网设计方案。 收稿日期:2010—0l一07 作者简介:张俊兰(1953一),女,陕西绥德人,延安大学教授。 第1期 高校校园网设计方案 2高校校园网现状分析 前面简要回顾了高校校园网的发展历程,这可 以作为当前校园网建设大方向的一个参考。下面结 合高校校园网的建设,分析一下高校网络建设中普 遍存在的需求: 2.1 随时随地接入的需求 首先,高校师生对于网络接人有着强烈的需求。 原因有二:一方面,随着近年来国家对高等教育的大 力发展和支持,高校在校生人数普遍呈现上升趋势。 另一方面,是由于国家经济实力的增强,技术的发展 带来的低成本,导致电脑的普及率也越来越高(据 不完全统计,在很多的高校,台式PC的拥有率可以 达到80%)。 其次,在部分热点区域,或者难以布线的区域需 要一种切实可行的高性价比的接入方式。也就是采 用无线作为补充或者备份。比如广场、操场、体育 馆、阅览室、会议室和阶梯教室等,这些区域对于笔 记本用户需要能够提供接入服务,而这时有线接入 是行不通的。又比如校内的某栋较偏远的办公楼或 者某几栋家属楼,上网用户有限,进行独立布线成本 较高。所以,同样需要进行无线的接人方式。 简言之,网络作为一个底层的平台,需要师生能 够随时随地的方便的接人。这就强调有线网络和无 线网络的结合——适合无线网络的地方用无线网 络,适合有线网络的地方用有线网络。当然,两者可 以有一定的冗余,甚至部分区域会采用无线网络进 行备份。目前,从全国来看,众多的高校已经在考 虑,甚至已经部署了无线网络。但是仍然存在了无 线设备带机数不够、安全性不足、无法很好的进行用 户和设备管理的问题。 2.2骨干网络高性能、高稳定可靠的需求 首先是高性能。高校校园网中用户数在不断增 加,并且随着网络应用技术的不断丰富,高校校园网 应用也愈来复杂,例如FTP、VOD点播等大数据量 的访问 j,尤其目前流行的P2P的应用产生了巨大 的网络流量,如何高速进行网络传输,对网络设备的 性能提出了很高的要求。实际情况中,依然有很多 高校使用的骨干设备是集中式表查询和集中式转发 模式的。很多时候,用户们抱怨网速很慢,而设备性 能不高是其中一个很重要的原因。 其次是稳定可靠。一方面,未来的社会是信息 的社会,当前随着校内师生员工的工作、科研、学习、 生活和娱乐越来越离不开网络(例如:无纸化办公、 网络教学、视频会议和VOD点播、网上购物等业务 的开展 ),网络的稳定可靠性就显得愈来重 要——网络随便断开几小时也无所谓的历史已经过 去了。另一方面,在应用丰富的同时,网络环境也变 得异常恶劣。近两年,安全攻击事件呈指数级上升 而所需要的知识却越来越弱化,各种攻击工具在网 络上可以随手拈来。这也对网络设备在网络攻击或 者病毒泛滥情况下的稳定可靠提出了挑战。目前, 在高校使用的设备中还存在大量早期采购的设备, 这些设备在启用了安全规则情况下性能急剧下降一 一在受到网络攻击或病毒泛滥的时候,CPU利用率 居高不下,设备稳定性降低,很可能死机。 由此分析看来,随着用户数增加、应用的复杂, 导致网络流量的飞速提升,需要保证多用户、大流量 情况下骨干的高带宽,骨干设备的线速转发;随着师 生日常对于网络的依赖性的增强,和网络环境的日 趋恶劣,需要保证做到骨干网络一定级别的稳定可 靠性(比如四个九一99.99%)。 2.3出口区域对性能和功能的需求 对于出口,最主要有两个方面的需求: 一方面,需要进行多出口的策略部署,并且需要 解决多出口部署下的性能问题。具体来说,NAT(地 址转换)就是上网速度慢的一个重要原因,另外设 备启用策略路由时,造成设备性能的下降,也影响整 个出口的效能和稳定性。究其根本,设备的性能是 一个很大的原因(对于NAT(地址转换)支持的优 劣,有两个很重要的依据,那就是“并发会话数”和 “新建会话数”)。 另一方面,对于出口设备的功能也还是需要引 起注意。比如,《互联网安全保护技术措施规定》在 2005年11月23日公安部部长办公会议通过,并自 2006年3月1日起已经施行。(该规定简称“82号 令”)规定对用户信息、用户上网记录、地址转换记 录、设备状态记录等都有要求。一旦不符合日志要 求,极可能面临整顿或者关闭网络的危机。 2.4来自网络安全的需求 第一,高校面临着严峻的网络安全形势。越来 越多的报道表明,高校校园网已逐渐成为黑客的聚 集地。这一方面是由于网络病毒和黑客工具的泛 滥,用户安全意识的淡薄。而另一方面,高校学 生——这群精力充沛的年轻一族对新鲜事物有着强 烈的好奇心,他们有着探索的高智商和冲劲,却缺乏 全面思考的责任感。有关数字显示,目前校园网遭受 的详细信息(包括用户名、IP、MAC等)及完整的用 的恶意攻击,90%来自高校网络内部,如何保障校园 网络的安全成为高校校园网络建设时不得不考虑的 问题。 户访问外网的记录(包括源IP、目的IP、源端口、目 的端口、访问时间),一旦出现安全事件,可以进行 快速完整的审计,迅速定位到个人。 第二,网络安全一定是全方位的安全。首先,网 络出口、数据中心、服务器等重点区域要做到安全过 滤;其次,不管接人设备,还是骨干设备,设备本身需 要具备强大的安全防护能力,并且安全策略部署不 对于设备管理,需要的是统一有效的网络管理 系统。能够直观全面地监控整个网络和各种设备的 运行状态,记录和深入分析网络流量,及时报告各种 故障和性能问题,协助管理员找到故障的起源,并且 能影响到网络的性能,不造成网络单点故障;最后, 要充分考虑全局统一的安全部署,需要能够从准入 控制,到对网络安全事件进行深度探测,到现有安全 设备有机的联动,到对安全事件触发源的准确定位 和根据身份进行的隔离、修复措施,从而能对网络形 成一个由内至外的整体安全构架。 所以,在对出口等重点区域进行安全部署的同 时,要更加全面的考虑安全问题,让整个网络从设备 级的安全上升一个台阶,摆脱仅仅局部加强某个单 点的安全强度的手段。 2.5方便运营管理的需求 首先,校园网需要进行合理的运营。第一、校园 网的投资较大,加上每年的维护成本,对于学校并不 是一笔可以忽视的开支;第二、根据各校的情况,进 行合理的运营收费,依靠市场化的手段能够推动校 园网的运作规范化和提高建设水平。当然,学校不 是运营商,运营的模式和业务流程并不清晰。而学 校收费和学生缴费又是一对天然的矛盾,当前不少 学校采用的运营模式与学校实际的情况差距太大, 无法有效杜绝学生逃避收费等问题一直困扰着学校 的网管人员。 其次,有效的管理可以从用户管理和设备管理 两方面来看: 对于用户管理,最重要的是能够实现事前的身 份认证和准确定位、事中的实时处理、事后的完整日 志审计。事前的认证和定位是指可严格实现用户身 份识别,根据用户账号、密码、MAC地址、IP地址、交 换机IP、交换机端口号和用户所在VLAN的灵活组 合,来识别用户身份 J。将网络中的虚拟用户和生 活中的真实用户相对应;事中的实时处理是指对于 正在是用网络的用户,如果出现私自拨号上网、使用 代理和更改IP地址等,认证计费系统会强制用户下 线。对于感染病毒,出现安全事件的用户,结合全局 安全通过安全联动来进行隔离、阻断和修复,以保证 校园网的安全。事后的日志审计是指记录用户上网 对网络的性能变化和故障发生提前进行预测 J。 高校用户数和网络节点数众多,因此难以一体 化管理众多的设备和用户,出现网络故障无法快速 定位、IP地址盗用和IP地址冲突等问题日益严重, 如何利用有限的人力物力对网络进行高效管理也成 为学校考虑的着重点。 2.6强大数据中心建设的需求 第一,众多高校仍然采用的是直接存储在服务 器硬盘上的方式,也就是我们所说的直连存储 (DAS)。这种方式存在很多的问题:①不同的数据 存储在不同服务器的硬盘上,造成有些服务器硬盘 空间已满,而有些服务器硬盘空间却闲置。空间扩 展比较困难,并且服务器之间无法进行空间共享。 ②随着应用的不断丰富,访问量的增加,办公、教学 和科研对网络的依赖,服务器的性能受到强烈的考 验。最终可能成为性能的瓶颈。 第二、随着计算机信息系统的不断发展,用户的 核心业务越来越依赖于信息系统的可靠运行,信息 系统中的关键业务数据已经成为用户最为重要的资 产。因此,对关键的业务数据进行备份保护刻不容 缓。尤其美国91 1事件的发生,世界各地各行各业 越发重视重要数据的备份和冗灾。但是当前绝大多 数国内高校,对于关键数据,比如财务资料、学籍、档 案、学术论文等资料都还没有进行有效的备份或冗 灾。一旦数据销毁、丢失,后果不堪设想。 也正是基于对存在问题的认识和目前各种应用 带来的数据存储的实际需求,很多高校已经开始进 行数据中心的建设,那么数据中心建设,应该达到怎 样的目标,数据中心的存储设备应该如何选择,都是 需要重点考虑的问题。 2.7向IPv6过渡的需求 中国下一代互联网示范工程CNGI是实施我国 下一代互联网发展战略的启步工程,由国家发改委、 科技部、信产部、教育部和中科院等八部委联合领 导。2001年,CERNET(中国教育与科研网)提出建 第1期 高校校园网设计方案 3l 设CERNET2计划。2003年l2月,国家发改委批准 关心的问题是:在向IPv6过渡的阶段,如何充分利 了中国下一代互联网示范工程CNGI建设项目。经 用现有设备,保护投资,该采用何种部署策略,保证 过两年多的建设,2006年l0月,CERNET2通过了 应用的平滑过渡呢? lO个院士领衔的项目鉴定委员的鉴定验收,整体建 设水平达到了世界领先水平 。 3高校校园网设计方案 可以预见的是IPv6是必然的趋势。而学校积 我们通过与广大高教用户的深人沟通和互动, 极主动地应对IPv6,有利于提升学校的应用水平和 根据上述校园网现状的分析,以及出现的问题与需 科研水平,并为IPv6的真正大规模部署做好必要的 求,提出了“安全、稳定、高速、可运营、可管理”的可 技术储备 ]。事实上,各个高校在网络改造,设备 定制化的高校校园网解决方案,详见图1。 采购时候都在考虑对IPv6的支持了。并且大家都 鸯 予 碜…一 … 霉 蟹聋鼹…… 一_各 驽e 碜.一… …-各 王磐蔓姆够….; 图1校园网整体解决方案 图2双核心设备热备份 3.1 骨干网络高性能、高稳定可靠 骨干网最重要的就是稳定可靠性。影响骨干网 3.1.1高稳定可靠性 稳定可靠的因素有很多,但是最主要的有三个方面: 32 设备本身、网络架构和安全保障 j。只有这三个方 面都没问题了,才会形成稳固健壮的骨干网络。 (1)骨干网架构设计 网络核心作为全网的心脏,向学校的教学办公、 学生宿舍以及各种应用系统(在线点播、电子邮件、 WEB服务等 )源源不断的提供安全稳定的信息血 液,保证整个学校相关业务的可靠运行。因此,作为 整个网络平台的神经中枢,网络核心层是全网数据 传输的中心,不仅要保证7×24小时的稳定运行,各 种应用服务器的数据能够被稳定可靠的传输,同时, 还要协凋全网的数据流量和访问策略,在提供信息 服务的同时,保证网络中心自身的安全,详见图2。 整网采用万兆多核心、万兆/千兆骨干和千兆/ 百兆到桌面的设计理念。高吞吐量,线速转发的核 心路由器和三层交换机,所有关键器件的冗余,包括 主控板、交换网板和电源等,支持板件的热插拔技 术,保证了网络的高效运转。骨干设备双核心双链 路,或者核心成环之后,相互之间互为容错备份,并 在核心交换机中采用关键模块冗余设计。核心和汇 聚之间采用双链路连接,一旦数据传输的活动链路 失效以后可以自动切换到另一条链路,保障数据的 正常转发。这样,从全网架构上,核心层双链路交换 系统不存在单点故障,是一种高级别交换完全冗余 的容错方案,这样即使其中一条链路断线或一个主 干交换机发生故障,都能在用户觉察不到的极短的 时间内启用备份恢复数据传递,从而保证网络系统 的高可靠性和稳定性的运行,详见图3。 虽 日 回 ~一 回臣 圆匝 田固丑臣 匾亘囹医固匝回囤匝 囹 一置理 配管 IPv4/v6快转 I擎,最长匹配 (单播转发、多播转发) 快速转发Il高级安全特性l 服务质量 保证 图3核心设备功能图解 (2)安全保障 ~ 的端口密度。目前,每线卡万兆端口数可以高达l6 个。这将大大降低校内大量汇聚设备的万兆上联成 本。 Juniper网络核心及全线网络产品支持丰富的 安全防护能力,包括对各种攻击的防护能力,以及先 虽 进的安全体系。 3.1.2十万兆平台全面提升骨干网络 值得一提的是IEEE802.3高速研究小组已经 开始100 Gbps(十万兆)高速以太网的标准化制定 工作,预计标准将在2009年出台 J。采用最新一代 面向十万兆平台的产品,符合校园网建设中的保护 投资和先进性的原则。在十万兆标准出台后,就可 以直接升级到下一代以太网。 3.2有效的全局安全措施 目前,万兆以太网,作为迄今为止投入应用的速 率最高的网络技术,已经大规模普及,并且能够切实 解决目前校园网建设中存在的很多问题 J。但是, 万兆应用的普及对产品和技术提出了更高的要求。 校园网汇聚到核心的万兆线路的改造,就要求核心 设备具有更高的万兆线速转发性能,以及更高的万 兆端口密度来支撑大量汇聚设备的万兆链路上联。 而十万兆产品恰恰能够解决万兆普及带来的问 3.2.1 统一身份准入控制及详细Et志审计 首先,能够安全认证到桌面。采用六元素的自 动绑定、静态绑定和动态绑定相结合,可以确保用户 人网时身份唯一,并且避免了IP冲突¨。。。 其次,实现了管理分级授权。不同职能的管理 者使用同一套系统时可以得到不同的操作界面以及 题。基于对未来十万兆标准支持的考虑,Juniper网 络开发的最新一代十万兆产品设备性能强大,完全 满足甚至超出了校园网正常应用对设备的性能要 求。十万兆还可以简单理解为10万兆,加上设备所 具有的高线卡带宽,这就足以支撑起每线卡的更高 使用权限,避免了管理的安全隐患。 最后,详细的日志审计功能记录用户上网的详 第1期 高校校园网设计方案 33 细信息(包括用户名、IP、MAC等)及完整的用户访 问外网的记录(包括源IP、目的IP、源端口、目的端 口、访问时间),一旦出现安全事件,可以进行快速 完整的审计,迅速定位到个人¨…。 3.2.2设备本身具有强大的安全防护能力 Juniper核心及全线网络产品支持丰富的安全 防护能力,包括防DOS攻击,防源IP地址欺骗、防 ARP欺骗、防病毒和带宽控制等功能。 Juniper网络还在继承已有的设备安全防护能 力的技术基础上,开发出了集多种强大安全功能于 一体的安全体系设计。黑客对计算机网络构成的威 胁大体可分为两种:一是对网络中设备的威胁,针对 设备系统的漏洞或不足进行攻击,导致系统不能正 常工作,甚至瘫痪;二是对网络中信息的威胁,以各 种方式有选择地破坏,窃取网络中的数据信息。安 全体系正是通过从“系统”和“数据”两方面的安全 技术来保护网络的安全。 安全体系主要是通过硬件安全监控技术、硬件 安全防护技术和丰富的设备安全管理保证系统的安 全,通过硬件的隧道技术、认证技术和加密技术保护 了网络设备传输的数据的安全。此外,还提供了万 兆位的安全防护模块同时保护系统和数据。通过提 供万兆位安全防护模块,可以对网络中的数据进行 2—7层的安全监控防护。 3.2.3全局安全解决方案 “全局安全网络”是由安全交换机、安全管理平 台、用户认证系统、网络入侵检测系统、安全修复系 统等多重网络元素联合组成,能实现同一网络环境 下的全局联动,使每个设备都发挥安全防护的作用。 网络身份认证过程详见图4。 )州, 使埘雠络盼 搏先由接入交按机 ̄RG-SAM 对筑避“身份0kite。 l @RO-SAM检镬f" 璺份.批 鳗 绝埘, 的接^ 、 请求。 f⑦RGS耩p埘缚个埘rl的HI梅辫结袋和箕 率什 、 l 进行处撵,啦戏丰封城的壤蚺,辩 靛擘宜攫桃 I 报 f } 图4网络身份认证过程 系统能够对全网的所有安全事件、网络病毒攻 击行为、用户行为和用户主机安全信息进行深入分 析和全局监控。通过这种实时全网侦测,可以在第 一时间内将网络异常现象通过接入层隔离出网络, 使得网络异常现象完全不影响核心网络;在发现安 全问题后能自动对用户进行安全事件告警,并迅速 根据用户身份选择将用户隔离到安全修复区域或自 动阻断异常数据流。这一方案目前在包括集美大学 在内的各高校取得了较好的应用效果,例证之一就 是:造成巨大影响的熊猫烧香病毒,在这些学校都悄 然无声。 此外,通过部署全局安全,还能轻松的进行主机 信息获取;实现主机完整性(HI)规则(通过一系列 规则的定义,约定了对用户主机的准入标准);利用 先进的“免疫性”ARP防病毒防攻击技术,彻底解决 ARP木马等病毒攻击带来的网络中断事故的影响。 3.3 负载均衡、冗余备份的出口设计 由于中国教育科研网与一般的电信级运营网络 不同,没有非常充裕的线路、设备冗余,有可能发生单 点故障,对于校园网的稳定运行有一定的影响。同 时,通过CERNET访问其他的公众网如CHINANET、 GBNET等速率缓慢。随着校园网用户量增加和基于 校园网络的各种网络应用的展开,要求校园网络出口 具有较高的网络带宽。原有单一的CERNET出口已 不能满足,有必要进一步扩大带宽,通过当地网络服 务提供商(ISP)开辟第二出口连入Intemet是较好的 解决途径,许多学校采用了教育网和电信(或联通、铁 通等)第二出口的双出口方案,既可以保留教育网资 源,同时可以增加带宽,提高了访问Intemet资源的速 度校园网出口解决方案,详见图5。 图5校园网出口解决方案 3.3.1超强的NAT、PBR性能 当前,校园网出口面临的首要问题就是性能问 题。性能问题主要体现在出口设备启用NAT(地址 转换)和PBR(策略路由)功能的情况下 。正是基 于对校园网出口高性能的考虑,校园网出口的网络 引擎能够: (1)在启用NAT、ACL、PBR(策略路由)的情况 下,在通常情况报文流情况下(平均报文长度为500 byte左右的混合报文),双向可以达到6Gbps的线速 转发,每秒高达20万条的NAT新建连接会话。在 1Gbps的NAT线速转发下,每秒达到新建4万条 NAT会话。 (2)达到200万条的并发NAT会话数。如果按 (2)上网记录日志:上网记录日志(基于五元 组、NAT); (3)攻击日志:设备网络受到攻击的日志信息。 安全设备完善的日志功能详见图7。 照每个网络节点200条NAT会话,则可以同时支持 将近10000台的网络节点同时在线。 3.3.2出口线路自动负载均衡、出口设备冗余备份 及链路冗余备份 一方面在流量的策略上,能够实现基于源头的 流量区分和基于访问目的的出口控制。具体举例来 说,可以将学生的流量和老师的流量制定不同的路 由路径;在对外出口上,根据所访问的资源进行划 分,教育网免费资源走CERNET出口,免费地址列 表之外的都走网通或者电信出口,网络设备及链路 的冗余备份详见图6。 图6网络设备及链路的冗余备份 另一方面从可用性角度,实现了任何一台设备 (任何一台防火墙或者任何一台网络出口引擎)的 故障或者任何一条链路的瘫痪,都将使相应的流量 自动切换到另外一台设备或者另外一条链路上。充 分保证出口的可用性,时刻保持网络的互联互通。 3.3.3完善的出口日志功能 针对各种网络攻击和安全威胁进行日志记录, 采用统一的格式,支持本地查看的同时,还能够通过 统一的输出接口将日志发送到日志服务器,为用户 事后分析、审计提供重要信息,方案中所能提供的日 志包括: (1)设备日志:设备状态,系统事件日志; 图7安全设备完善的日志功能 总的来说,我们打造的高校校园网出口解决方 案希望达到两方面的最终效果: 第一,对用户来说,提供最快的外网访问速度。 任何的设备故障、链路问题对用户来说都是透明的, 这中间的自动切换用户无法感知,也不用去理会。 第二,对于网络管理者而言,提供最高的可用 性。不但提供强大的性能,而且在稳定可靠性方面 的提升让管理维护变得简单。 3.4高度可运营、易管理的网络 3.4.1 网络安全计费管理平台:告别运营难题 针对高校校园网络灵活运营的需求,我们的校 园网解决方案设计出贴近校园用户需求的计费模 式,不仅有计时长、包月等传统计费方式,还增加了 按天计费方式,并以之为基础,设计了一次交费,分 段开通的计费模式 J。例如,一个学生需要在3月 1日的时候开通,但是他3月5日的时候需要出去 实习2周,这时,用户完全可以在3月1日的时候选 择开通5天,系统就只在这5天内扣除相应费用,到 5日的时候系统会自动停用该帐号,直到用户再次 选择开通。 其次,计费方案提供了完善的自助服务系统,简 单明了的中文界面为用户提供了包括快捷注册,个 人信息、密码进行修改,上网明细和交费记录及余额 自助查询,在线充值和注销用户等功能服务。不但 方便了终端用户缴费,同时也极大地减轻了管理者 的管理和收费工作负担,有效缓解了学生缴费和学 校收费的矛盾。 另外,为了给高校用户带来最优的应用体验, “想用户之所想”,提供了诸如“精细的接入时段管 第1期 高校校园网设计方案 35 理”、“自动升级客户端”和“丰富的营帐及帐务功 能”。还为学校提供了完善的流程化服务。网络计 提高至2倍的总物理带宽和带机数。 3.4.3全网设备统一管理 全网拓扑发现以及对事件、性能和日志的统一 管理,可以方便的对全网设备统一管理,运筹帷幄决 胜千里之外 J。 3.5无线网络满足随时随地接入 费解决方案预置了包括批量开户、收费通知、网上故 障报修等在内的多种应用模版。这些看似简单的模 版,是我们服务数百所高校用户的经验积累,通过将 用户的需求以及用户反馈的先进经验进行积累,逐 渐形成的一套立体化服务体系。需要注意的是,网 为了达到随时随地接人的目标,依赖的原则就 络建成后,该服务体系还将对用户进行实时跟踪,及 时了解用户需求并为用户提供网络系统定期排查服 是:对有线网络和无线网络进行有机融合。在适合 无线网络的地方建设无线网络,将无线作为有线的 务,保障用户的网络轻松运行和持续运营。 3.4.2无线用户接入管理 部署wLAN设备的时候,无需改动任何的有线 网络架构,可以随时扩展AP来增加无线用户。 WIAN用户接人认证可分为三种模式: (1)使用AP作为认证者(Authenticator)进行 802.1x认证 使用AP作为认证者(Authenticator)进行 802.1x认证,无线用户接入网络时,首先向AP发送 身份验证请求,AP将相关信息重新封装后发送到身 份验证服务器(如RG—SAM)进行验证。 (2)使用AP上联交换机作为认证者进行 802.1x认证 使用AP上联交换机作为认证者(Authentica— tor)时,用户首先接入无线网络,AP将用户的身份 验证请求透传给上联的802.1x认证体交换机,再由 认证体交换机将认证信息封装转发给身份验证服务 器(如RG—SAM)进行验证。 (3)在“瘦AP+无线交换机”解决方案中,使用 无线交换机作为认证者 在“瘦AP+无线交换机”解决方案中,瘦AP不 负责执行用户认证、数据加密等安全工作,而是由无 线交换机来执行。使用无线交换机作为认证者 (Authenticator)时,用户接人无线网络,瘦AP将用 户的身份验证请求发送给无线交换机,再由无线交 换机将认证信息封装转发给身份验证服务器进行验 证。 三种模式均可以保证全网统一的802.ix认证, 整体网络认证统一。一般来说,单路的AP支持 802.11a/b/g协议的带机数是30—50人。具体数 量视环境而定,视频、BT等大流量应用会导致带机 数降低,普通上网应用可以满足最多的带机数,我们 的AP产品采用先进的双路硬件架构,一台AP相当 于两台AP的性能,这样在投资不变的前提下,可以 补充。当然,两者可以有一定的冗余,甚至部分区域 会全面采用无线网络进行线路备份。无线部署有胖 AP和瘦AP+无线交换机两种方式。具体应该视学 校情况而定,详见图8。 图8无线网络架构 总结近几年来国内部分已经采用无线网络的高 等院校在建设中出现的经验教训,对于无线的部署, 我们需要着重关注的是:合理的物理部署与信道规 划、无线的访问与传输安全、无线网络管理和漫游四 个问题。 3.5.1合理的物理部署 由于无线网络采用无线电波进行传输,因此,无 线网络的品质与所部署位置、电磁干扰、信道规划有 直接的关系。首先应根据用户调查,了解人群在需 要部署的区域的活动习惯,并根据该习惯总结出每 个区域同时在线上网的人数和上网带宽需求情况, 然后根据该数据的高与低,决定在该区域部署无线 接人点设备的数量、信道规划和具体位置。并且对 于重点区域,比如会议室、相关办公室进行辐射信号 的测试和调整。 3.5.2无线访问与传输的安全 相比较有线网络对网线的可信而言,无线网络 依靠空中的无线电频谱信道载频来传输,如果发生 36 了安全事件,很难被立刻发觉。结合在近几年针对 无线网络安全问题的研究中,已经诞生了大量的新 网络设计的目标。一个成功的存储区域网设计,应 技术,与已经建成的无线网络在部分高校的使用中, 对安全问题的大量宝贵经验,可以总结如下: 该保证在实施后能够满足校园网对存储设备性能和 容量方面的要求,能够满足数据的高可用性和抗灾 的要求,能够提供强大的数据管理功能,能够满足数 据备份的要求,能够满足未来数据与业务增长的要 首先,灵活利用SSID技术。SSID是无线网卡 与AP用来通信的首个验证码,默认由无线接入点 在空中以明文的形式广播,很容易被截获并入侵网 络,带来安全的隐患问题。但如果通过限制它的广 求,还要具有较高的性价比 。 3.6.2数据分级存储 数据分级存储,是指数据客体存放在不同级别 播,就可以解决这类问题的发生。 其次,对无线用户进行有效的准入控制。这在 运营管理部分给与了解决方案。 最后,利用64/128位WEP(有线等效加密)技 术,至少可以挡住98%的网络攻击,对于高校的网 络管理和维护人员而言,配置简单灵活。 3.5.3无线网络管理 通过集中的网络管理,对无线网络的所有设备 进行合法的注册,并对所有合法用户注册,并分配不 同的权限,并与相应的无线设备动态捆绑,极大的提 高整个无线网络用户上网的合理性。 首先,对设备的管理是网络管理的重要部分。 所有网络设备遵循统一的、标准的管理协议和兼容 性,并满足集中和统一管理的功能需要,使得网络中 心管理人员可以在网管工作站随时观察每一台网络 设备的工作状态。 其次,对环境的管理是更深层次的网络管理。 建成后的无线网络,能满足网络中心管理人员在网 管工作站直观、详尽的了解每个无线设备附近区域 的环境状态,譬如是否存在信道干扰,信道负载负荷 等等。 3.5.4用户的漫游 漫游网络可分为物理层漫游、链路层漫游、网络 层漫游和应用层漫游。在国内多数高校的WLAN 网络建设中,对无线网络的漫游还停留在物理层和 链路层漫游的水平,这两部分的漫游仅能解决局部 的漫游问题,对于网络层漫游(跨网段的移动IP访 问)和应用层漫游(跨认证体的用户认证不中断,不 用重认证)却往往没有考虑,在面向未来的无线网 络中,将会承载多种主体应用,必须实现对网络层和 应用层的漫游。 3.6智能高效的数据中心设计 3.6.1存储系统设计 构建一个成功的存储区域网,第一步和最重要 的一步是存储网络本身的设计。首先应该明确存储 的存储设备(磁盘、磁盘阵列、光盘库、磁带库)中, 通过分级存储管理软件实现数据客体在存储设备之 间的自动迁移。数据迁移的规则是可以人为控制 的——根据数据的访问频率、保留时间、容量和性能 要求等因素确定的最佳存储策略。在分级数据存储 结构中,磁带库等成本较低的存储资源用来存放访 问频率较低的信息,而磁盘或磁盘阵列等成本高、速 度快的设备,用来存储经常访问的重要信息。 数据分级存储的工作原理是基于数据访问的局 部性。通过将不经常访问的数据自动移到存储层次 中较低的层次,释放出较高成本的存储空间给更频 繁访问的数据,可以获得更好的总体性价比。 3.6.3基于IPSAN的网络集中存储 对于校园网的核心存储架构,我们建议采用以 局域网为核心的集中存储系统结构。以数据和存储 为中心可以极大地保护用户的投资,有效利用存储 空间,降低用户管理费用,从而确保整体拥有成本最 低。降低管理难度,维护数据管理的统一性。提高 了电子化数据管理的可靠性。数据的集中化管理, 能够确保数据的一致性和完整性,保证电子化数据 的可靠性。 以数据和存储为中心必然对整个存储系统性能 有很高的要求,设计方案选用集中式、高性能、大容 量和智能化的存储区域网(Storage Area Network,简 称SAN)来构建新一代计算中心存储环境。SAN一 改过去以服务器为中心的存储模式,以数据存储为 中心,采用伸缩的网络拓扑结构,通过IP连接方式, 提供SAN内部任意节点之间的多路可选择的数据 交换,并且将数据存储管理集中在相对独立的局域 网内 。SAN的最终目标是实现在异构环境中最 大限度的数据共享和可管理性。存储区域网是未来 存储系统发展的方向。 3.6.4存储虚拟化 存储虚拟化是一个抽象的定义,它并不能够明 确地指导用户怎么去比较产品及其功能。这个定义 第1期 高校校园网设计方案 37 只能用来描述一类广义的技术和产品。存储虚拟化 同样也是一个抽象的技术,几乎可以应用在存储的 所有层面:文件系统、文件、块、主机、网络和存储设 备等等。 SNIA的存储网络字典里是这样定义的:虚拟 化——通过将一个(或多个)目标(Target)服务或功 能与其它附加的功能集成,统一提供有用的全面功 能服务。典型的虚拟化包括如下一些情况:屏蔽系 统的复杂性,增加或集成新的功能,仿真、整合或分 解现有的服务功能等。虚拟化是作用在一个或者多 个实体上的,而这些实体则是用来提供存储资源或 服务的。 3.6.5高可用系统 对于校园网中最为重要的管理系统,由于其系 统与数据的特殊性,通常将其系统分别安装在两台 服务器上,数据库存放在稳定的、可靠的核心存储设 备上,两台运行管理系统的服务器之间实施集群系 统,以确保校园网的管理系统的持续可用。由于目 前的作为初期的存储项目,建议先采用企业级的智 能存储系统作为校园网的数据中心。 3.6.6冗灾系统的实现 推荐采用基于存储的冗灾技术,可以通系统内 置的复制功能来保证远程冗灾系统,同时支持同步 与异步的工作方式。 3.7 IPv6的分阶段分步骤平滑过渡 IPv6的技术优势是明显的,但是IPv6应用所面 临的一个重要问题就是如何部署IPv6网络。目前 的Intemet网络以IPv4为主导,不可能一次性地将 网络的所有设备升级为IPv6,可以肯定的是,一定 是分步骤分阶段的进行部署实施 。为此IPv6必 须提供多种过渡技术来解决部署问题。 3.7.1过渡阶段 IPv4到IPv6的过渡是从网络边缘向核心演进, IPv4和IPv6会在较长时间内共存: 起始阶段:所有网络基于IPv4,Intemet上都是 纯IPv4设备,使用NAT缓解IPv4地址紧张。 初级阶段:引入IPv6Intranet,提供IPv6接人等 服务。IPv4网络中出现若干IPv6孤岛,不同的IPv6 孤岛使用自动或人工配置的隧道通过IPv4网络连 接起来“IPv6一in—IPv4”。 共存阶段:IPv6得到较大规模的应用,出现了 骨干的IPv6Internet网络,在IPv6平台上引入了大 量的业务。IPv6业务可以通过IPv6Intemet网络与 IPv6Intranet网络,从而可以充分利用IPv6的诸多优 势,如QoS保证。但由于IPv6网络之间有可能不是 相互连通的,因此还会使用隧道。在IPv6平台上实 现丰富的业务加快了IPv6的实施。但仍将有大量 的传统IPv4业务存在,许多节点也仍然是双栈节 点。 主导阶段:IPv6占据主导地位,具备全球范围 内的连通性,所有的业务都运行在IPv6平台上。网 络结构得以简化,维护也更加容易。 总之,在从IPv4升级到I1:'6的过程中,一定要 注意从IPv4过渡到IPv6的过渡策略,考虑产品和 方案平滑升级到IPv6的能力,保护投资。 3.7.2过渡策略 由于IPv6刚刚起步,很多标准还不完善,很多 技术还没有经过大范围、大流量的考验。IPv6技术 现在正处于完善的阶段。因此,在建设IPv6网络初 期,应当选择具有升级能力的网络设备,比如以NP 或ASIC为处理器实现的IPv6技术等 。 应当考虑与现有IPv4网络的互通性。由于 IPv4网络资源丰富,上面有很多业务,因此要考虑 怎样在IPv6网络上访问IPv4网络的资源。 应当选择响应速度快、服务好的厂商。由于 IPv6还处于发展期,会出现很多新功能,新技术,因 此设备的版本升级必然比较频繁。同时用户可能根 据自己的实际情况,对设备厂家提出一些特色需求。 为此应当选择响应速度、服务好的厂商。 应当不要选用有私有协议、专利技术的厂家设 备。这些厂家的设备不能很好的和其他厂家的设备 互通。为以后升级、扩容造成很大麻烦。 3.7.3 IPv4/IPv6过渡方案 随着Internet网络在全球范围内的迅速扩大, 应用日益增加,IP地址即将耗尽的矛盾更加突出, 同时为解决IPv4的设计缺陷,国际互联网工程任务 组开发了新一代Intemet协议IPv6,但由于IPv4与 IPv6之间存在着很大的差异,同时存在众多基于 IPv4协议的网络及应用,因此,要用新的IPv6代替 旧的IPv4必然存在一个过渡时期 。针对上述问 题我们研究了两种过渡机制,详见图9和图10。 最理想的选择是,利用支持双栈技术的多业务 万兆核心路由交换机作为骨干校园网IPv4/IPv6过 渡设备。实现同时与IPv6网和IPv4网的互通。此 方案同时支持IPv6/IPv4两种业务流,不影响目前 学校主要的IPv4业务,满足学校在IPv6应用时的 38 过渡网络环境。 3.7.4 IPv6试验网规划建议 (1)网络环境的真实性 任何新应用的示范和推广首先是市场行为,均 必须在具体的实际市场实践中摸索和发展,并得到 市场的检验。因此为了更好的完成这一过程,我们 的IPv6实验网必须尽可能的贴近真实环境,只有这 样才能实现资源利用率的最大化,让新的应用业务 以最小的代价通过市场的检验,并取得成功。 另外,IPv6的相关科研和应用发展的推动,也 ; j i鲁簟攀鬟■办叠羹 …; 鲁攀燕奢●●攘 ………………………一’● 图9 IPv6网改造方案一隧道 : :确簟| 瞻囊∞ : 豢 ● 图10 IPv6网改造方案一双栈 IPv4/IPv6共存开通建议: (1)校园网内部、,6一v6、v4一v4业务,通过双栈 设备实现业务的互连,不涉及IPv6协议与IPv4协 议的转换,与普通单网络业务转发模型类似; (2)校园网内部、r6一v4业务互通,利用核心路 由交换机作为协议转换设备,运行NAT—PT协议进 行转换; (3)校园网、,6业务一外部v4业务互通,利用核 心路由交换机作为协议转换设备,进行校园网IPv6 业务与外部IPv4业务的互通; (4)校园网、r6业务与外部IPv6孤岛业务互连,建 议在设备实现手工隧道或6to4隧道,穿越IPv4网络。 需要依赖于环境的真实性,只有在真实的环境中得 到的测试数据才能有说服力,才能为我们的决策提 供良好的论据。 (2)网络环境的真实性涉及到两个方面问题 首先,IPv6公共资源平台中的设备必须是可实 际商用的成熟产品。 其次,IPv6公共资源平台的网络环境必须尽可 能的贴近于真实的园区网环境,不仅仅只局限在软 件模拟环境中,必须包含园区网的基本元素一交换 机。这样,我们的IPv6的科研和应用开发一直处在 一个真实的环境中,将来在市场上可以以最小的风 险,快速通过市场的检验,并获得成功。 (3)IPv6设备的性能 目前,市场上支持IPv6的网络产品大多数都是 通过软件实现IPv6技术,通过软件实现IPv6技术 使得CPU成为了一个瓶颈,性能受到限制,这在很 大程度上制约了基于IPv6的应用的发展和推广。 因此,在我们的IPv6实验网的建设中,应该突 破这一瓶颈,建议采用硬件实现IPv6技术的成熟产 品,从而在性能上保障IPv6技术的科研,应用发展 的需要。 (4)应用群体要具有一定的规模 应用的发展和推动,必须要有一定的规模的环 境来检验,这样更具有说服力和广泛的适应性,并能 得到广泛的认可和持续的推广。 首先,作为大学IPv6实验网,必须要具有一定 的规模建设,以最少的代价将IPv6实验网铺设到尽 可能多的院系或科研机构。 其次,应用群体也要具有一定的规模。学校在这 方面可以说具有先天的优势,目前重点高校的在校师 生往往有数万人,是很大的一个规模应用的群体。 4结束语 通过对高校校园网的发展现状进行分析,针对 第1期 高校校园网设计方案 39 高校校园网的低稳定性、低可靠性、低管理性和低安 全性以及难以向IPv6网过渡,提出了一个高效校园 网设计方案。通过硬件升级提供一个高性能、高可 靠的骨干网络,例如使用Juniper公司万兆核心设 备;运用身份控制以及日志审计提高网络安全性,在 这里我们也推荐使用Juniper公司的安全产品,因为 其可以提供完美的日志审计功能;在出口线路做负 载均衡、冗余备份增加网络可靠性,在网络出口处使 用双核心设备,运用HSRP技术实现热备份;在网络 [2]朱理森,张守连.计算机网络应用技术[M].北京:专利 文献出版社,2001. [3]赵志囡.计算机网络中的服务[J].现代情报,2006 (11):17一l9. [4]杨家海.网络管理原理与实现技术[M].北京:清华大 学出版社,2000. [5]Douglas Comer,《Intemetworking With TCP/IP Vol I: Principles,protocols,and Architectures}[M].Fourth Edi— tion,Publishing house of electronics industry,2001. [6]谢希仁.计算机网络[M].4版.北京:电子工业出版 内使用相对应的管理平台实现网络可管理性,对每 社,2003. 一类的设备使用相对应的管理平台进行管理,并且 [7]陈其松,谢晓尧.IPv4到IPv6的过渡策略及其测试[J]. 使用统一管理设备对全网设备进行管理;无线网络 贵州工业大学学报(自然科学版),2001(2):l0一l4. 用户可以在校园网内任意地方连接到网络,通过在 [8]崔亚峰,刘邦奇.校园网建设纲要[N].计算机世界日 校园内布设无线AP点方便用户随时随地的接入网 报,l999.6.21. 络;存储方面运用虚拟技术实现冗余备份,保证资料 [9]Andrews.Tanenbaum,《Computer Networks>)[M].Third E. dition,Prentice—Hall International,Inc,1997. 的安全性;通过IPv4与IPv6的双栈与隧道实现 [1O]王倩宜,李润娥,李庭晏.统一用户管理和身份认证服务 IPv4网向IPv6网的平滑过渡。 的设计与实现[J].实验技术与管理,2004(3):27—29. 参考文献: [1]Tsanenbaum A S.计算机网络[M].3版.熊桂喜,王小 虎,译.清华大学出版社,1998. [责任编辑贺小林] The Plan for Campus Network of University ZHANG Jun—Lan,GUO Jin—Ping,LIU YI (College of Mathematics Computer Science,Yanan University,Yanan 7 16000,China) Abstract:Based on the analysis of the development of the campus network,a plan of campus network have been de— signed.In order to provide a high—performance、highly reliable backbone network by hardware upgrades,the use of the identity of control and audit logs to improve network security,in the export line to do load balancing,redun— dant backup to increase network reliability,the use of the network corresponding to the network management plat— form manageability,wireless network users call be anywhere within the campus network to connect to networks, storage virtuabzation technology to use redundant backup to ensure data security,the IPv6 network to achieve net- work IPv4 smooth transition by the dual—stack IPv4 and IPv6 tunne1. Key words:campus network;backbone network;network security;network management;data storage;IPv6