摘要:本文在分析一個校園互聯網網絡結構的不合理性以及其長期存在故障的基礎上,為從根本上解決該校園網故障以及網絡優化出發,提出了一個網絡結構簡單、安全、便于管理、便于維護、滿足多業務接入、易于擴展的多層交換網絡整改方案。
關鍵詞:多層交換網絡;校園互聯網;整改方案
1 網絡現狀
西安外事學院寬帶接入工程由西北通信公司承建,主要采用港灣網絡公司以太網交換機Big6802和U1024兩個系列產品,于2003年8月7日開始安裝調試,9月初投入使用,主要是滿足學校互聯網業務需求。學校租用網通100M IP專線作為互聯網出口。目前該校網絡拓撲結構如圖1所示。
圖1 外事學院網絡拓撲圖
南北兩個校區分別放置一臺港灣BigHammer 6802三層交換機及其他廠商二層交換機,網絡出口位于外事學院網絡中心,由1臺港灣FlexHammer24承擔(歸外事學院所有)。
目前網絡主要存在問題:外事學院校園網采用DHCP自動獲取IP,整個校園網在一個廣播域中,通過一個私有B類地址池獲取IP。 網絡安全性無法保證,網絡中充斥著大量的病毒和木馬程序。根據學院現有方案,兩個中心節點的BigHammer6802三層交換機和網絡出口的FlexHammer24三層交換機都沒有啟用三層功能。
據了解目前外事學院網絡有4000多用戶,4000多個用戶在一個廣播域中,一旦網絡遇到廣播風暴和病毒沖擊時就會波及到所有網絡設備,導致網絡設備CPU利用率過高。該學校網絡中心使用Flex24交換機作為校園網核心,由于該設備性能較低,放在核心位置,導致南北中心機房使用的BigHammer6802無法發揮最大功效。
2 整改目的
① 由于校園網網絡結構不合理,導致故障頻繁,加上我方設備屬于校園網的一個不可分割的一部分,受校方核心設備影響,導致維護界面模糊、維護難度大。根據目前網絡結構,網絡一旦出現環路,就會波及整個網絡,導致整個網絡癱瘓。由于所有設備均工作在二層,沒有配置管理IP等網管服務,在故障排查和處理上都無從下手。2004年3月4日,外事學院網絡又出現異常,經過檢查發現南區12號宿舍樓接入互聯網,整個網絡就出現異常,把12號宿舍樓斷開后網絡基本恢復。在故障時抓包分析,網絡ARP 廣播包異常,達到56.02%,如圖2所示。
圖2 故障時抓包分析圖
由此可見整個網絡工作在二層,只要局部故障就會牽涉到全部。
② 校園網絡安全性無法保證,經常出現網絡病毒包,致使外事學院租用我公司100M IP專線異常流量很大,對西安IP城域網網絡質量造成了很大威脅,外事學院網絡中心對網絡病毒也無任何防范措施。
③ 根據外事學院將來業務發展的需要,在校園網基礎上需要開通PPPoE業務以及承載一卡通 業務。只有校園網網絡結構實現三層才能承載多業務。在現有的網絡結構上則無法實現。
3 整改方案
為了能徹底改變外事學院目前網絡存在的問題,首先從現有網絡設備出發,利用設備可支持三層等先進功能,組建一個多層交換網絡。全網采用快速以太網技術,通過光纖+LAN技術互聯南北區以及樓層接入,保證了網絡很高的網絡帶寬。整改后拓撲結構如圖3所示:
圖3 整改后網絡拓撲結構圖
(1)合理建議
外事學院采購一臺港灣Big6808替換掉Flex24。Big6808采用專用ASIC芯片轉發數據,Crossbar的交換網結構,交換容量可達256G,可以大大減輕出口壓力、增強核心設備性能。
(2)開啟三層,劃分VLAN
分別在網絡出口Big6808和兩個校區的Big6802劃分VLAN,形成三層架構的校園網結構。使每個宿舍樓擁有一個VLAN,根據應用劃分不同VLAN,減小了廣播域,減少了維護工作量,提高了網絡質量。同時考慮到校內計算機的互通,需要在Big6808和Big6802上啟動三層路由功能。 主干網絡技術是基于交換和虛擬網絡的。交換技術將共享介質改為獨占介質,大大提高網絡速度。虛擬網絡技術打破了地理環境的制約,在不改動網絡物理連接的情況下可以任意將工作站在工作組或子網之間移動,工作站組成邏輯工作組或虛擬子網,提高信息系統的運作性能,均衡網絡數據流量,合理利用硬件及信息資源。同時,利用虛擬網絡技術,大大減輕了網絡管理和維護工作的負擔,降低網絡維護費用。
(3) 配置ACL,提高安全性
利用訪問控制表(ACL,Access Control List ),用戶和設備可以訪問那些現有服務和信息的列表。但用戶必須具有相應的授權才能修改目標的ACL。通常要求用戶提供注冊姓名和口令,它是用來保證系統安全性的一種手段。初期僅在路由器上支持,現在已經擴展到三層交換機,部分最新的二層交換機如cisco2950之類也開始提供ACL的支持。該校園網絡主要設備均支持該功能。于是在Big6808和Big6802上添加ACL 條目,封閉不安全的端口,比如TCP 135等,以保證把病毒限制在最小的范圍內,不使波及到整個網絡,同時還可以根據安全需要不斷增加。
(4) 啟動環路檢測功能
由于外事學院網絡節點較多,施工復雜很容易產生環路,建議啟動環路檢測功能,以便發現環路。外事學院曾反映每次接入12號樓,網絡速度會急劇下降,最終檢測結果就是12號樓uHammer1024的7、8兩個端口連接在一起,形成環路,又由于當時全網在一個廣播域內,廣播信息包無法消除,形成廣播風暴,從而影響整個網絡用戶的上網,采用環路檢測功能后,可快速確定發生環路的設備,減輕施工和維護的工作量。
(5) 啟用QoS功能
QoS(服務質量)是用于衡量服務滿意程度的一個綜合指標,具體到網絡中,是指對選定的網絡流量提供更好服務的能力。港灣Big6808和Big6802均支持Qos功能,可以根據網絡的實際需要,采用QoS功能,保證網絡服務質量。
(6) 提供多業務接入能力
隨著用戶需求,多業務接入方式將成為必然。隨著LAN+PPPoE的普遍使用,可以通過VLAN透傳上行,在網通匯聚層BAS設備終結,radius系統統一認證,實現PPPoE業務接入。同時通過校園網承載,可以實現需要一卡通等業務的開展。為外事學院校園網接入種類提供多種選擇。
4 總結
本文主要針對外事學院不合理的網絡結構,提出了一個網絡結構簡單、安全、便于管理、便于維護、滿足多業務接入、易于擴展的多層交換網絡整改方案。文中重點提出了實現的思路和相關技術,沒有涉及具體的操作過程及步驟。通過實踐證明,經過整改后,網絡出口流量有了明顯的降低,以前出現的故障徹底解決,從整改后一段時間觀察,網絡運行穩定,網絡質量有了明顯提高,故障率大大降低,沒有出現一次全局故障。在網絡維護和管理上都很方便有效。
