校園網網絡提速方案分析與研究

劉國強

[摘? ? ? ? ? ?要]? 校園網信息化建設逐漸成為目前提高教學效率的有效手段，在不斷完善的校園信息化建設中，網絡速度逐漸成為信息化普及的瓶頸，如何利用技術手段提高校園網現有速度，成為現在的熱點內容，重點研究利用現有網絡環境，通過軟件優化方法和策略設置方法提高網絡運行效率，提高校園網速率，從而達到校園網使用效率最大化。主要利用了策略路由、端口綁定、多重負載等技術，將現有學校網絡進行優化，提高校園網數據周轉速度，最終提高教師辦公效率，更好地為學校發展服務。

[關? ? 鍵? ?詞]? 策略路由;端口綁定;多重負載技術;信息化校園

[中圖分類號]? TN915.08? ? ? ? ? ? ? ?[文獻標志碼]? A? ? ? ? ? ? ? [文章編號]? 2096-0603（2019）36-0116-02

我校在2009年開始由于規模擴大，學校要求利用現有網絡設備環境對校園網進行優化，從而實現校園網整體提速，提高學校的工作效率，更好地為學校建設服務。期間，本人參與了其中的設計與開發，承擔了網絡優化項目中的部分工作，在此，本人將在工作中的心得和大家分享，對技術方面的問題進行深入的探討。以下是我校的網絡拓撲圖。

在網絡工程二期改造前，校園網分成三個層次，包括網絡核心層、網絡匯聚層和網絡接入層。下面我對校園網中存在的問題進行分析。

在接入層中，該層主要連接終端設備，校園中的終端設備數量龐大，型號復雜，非常難以管理，尤其是當某臺電腦感染病毒后，很容易通過網絡傳染到其他終端設備，導致校園網癱瘓，同時，大多數終端設備屬于私人使用，很難對其網絡行為做出判斷，所以非常難以管理。對此我對接入層進行了重新規劃、設計。為了不影響工作，客戶端電腦統一采用DHCP動態分配IP地址策略，在中心機房設置統一的DHCP服務器，同時開啟各層的DHCP中繼服務，使各個網段的IP地址都能通過該服務器統一管理。另外，將各個部門劃分為多個vlan，通過匯聚層的三層交換機實現數據的轉發，這樣可以有效保護網絡的穩定性，同時防止病毒在網絡中的傳播。同時，劃定特定的DMZ區域，將校園網中的FTP服務器、WEB服務器、流媒體服務器等重要服務放在該區域，一方面，便于系統管理員管理，另一方面，實現服務器與客戶端相互分離，有效保護服務器的穩定性。在防火墻上開通相關NAT服務，將部分服務器的部分服務端口向外網公布，實現公網用戶訪問內網相關服務，該措施主要是為了滿足部分教師出差在外時，也能夠及時訪問校園網中的相關服務，實現異地辦公。通過如上的設置，基本實現了終端設備中服務器與個人電腦的分離，同時考慮到移動辦公用戶對校園網的使用。對不同的個人電腦進行分類管理，通過vlan的劃分實現部門的邏輯分離，大大提高整個校園網的穩定性。

在匯聚層，該層由各種可管理交換機組成，在該層中，主要是通過訪問控制列表實現對校園網中的網絡數據進行監控。例如，在DMZ區域中，有專門供財務室使用的服務器，該服務只允許校長室、人事處和財務處的主機電腦可以訪問，所以在DMZ區域的防火墻中，通過標準訪問控制列表，對訪問數據包的源IP地址進行監控，只允許校長室、人事處和財務室網段的主機可以訪問，其他區域的主機進行屏蔽，這樣，就達到了數據包的屏蔽，防止非法數據訪問財務服務器。同時，考慮到有部分終端設備在上班時間可能有看電影、P2P下載等行為，不僅占用了大量的網速，同時給正常辦公的終端帶來嚴重影響，所以利用在該層設備中的流量整形技術，對終端設備進行限速，規定每臺電腦的網絡使用速率不超過100KB/S。同時，通過policy-map技術，對數據包中的部分數據進行判斷，設置優先級，對需要實時性的數據包設置高優先級，比如，對郵件數據包設置高優先級。這樣可以提高網絡的利用率。整體上，在匯聚層，數據包在該層實現了流量整形、訪問策略控制等工作，有效對校園網中的數據進行進一步優化，同時將網絡管理集中在匯聚層，也方便了網絡管理員。

在核心層，該層是校園網的核心層，實現數據包的終極轉發，該層能否穩定工作，直接影響到整個校園網的工作效率，因此，在該層中，不做過多的訪問控制設置，因為這樣會影響數據包的轉發速度，在該層設備的改造上，主要通過硬件改造和軟件改造兩種方法進行。首先，為了提高網速，將原有的UTP網線改造成光纖接口，速度從原有的1GB/s上升到10GB/s。將接口模式改為全雙工模式，實現雙向通訊。通過硬件改造，核心層設備的數據包周轉速率明顯提高。在軟件改造上，利用多重負載技術，將核心層的兩臺三層交換機通過2根光釬線并聯，利用多重負載，這樣數據包可以同時在兩條并行線上傳輸，通過多重負載技術，可以實現核心層數據包數據轉發容量翻倍。核心層的速度提高后，網絡整體環境得到了很大的改善。

通過對三層網絡設備的改造，校園網的整體性能得到提高，但是在校園網中還有一些老的網絡無法改造，如早期的教學樓，尤其是老校區的教學樓采用木質結構建筑，沒有使用網絡線路，采用早期的電腦交換線路連接，所以無法實現網絡的整體接入。對老校區的改造，在保證不改變原有線路的同時，購入數臺幀中繼交換機和支持幀中繼功能的路由器，利用原有的電話線網絡，改造為幀中繼交換網絡，這樣內網接入速度可以達到45MB/S，基本上能夠完成用戶日常使用網絡的需要。幀中繼網絡，采用點對多點的接入方式，通過幀中繼交換機進行數據包轉發。另外，通過該交換機接入路由器（網關），通過該網關接入校園網。

由于網絡數量眾多，原有的靜態路由已經無法滿足復雜網絡的需要了，雖然在理論上通過靜態路由的重設置能夠實現網絡互聯，但是工作量非常大，而且在網絡環境發生改變時，很難進行維護，于是采用動態路由技術，在RIP和OSPF的選擇中，優先采用OSPF技術，因為RIP在網絡規模上只支持15跳，雖然暫時可以滿足當前網絡規模，但是要考慮到擴展性，所以全校的網絡環境優先采用OSPF動態路由協議，該協議支持動態路由更新，支持路徑優先選擇，能夠很好地支持校園網的實施，實施后，網絡狀態穩定，各個網段連接正常。

在核心層上端，接入防火墻設備用于連接廣域網，本次校園網改造用兩個防火墻連接廣域網，分別從電信和聯通兩家互聯網運營商接入互聯網，其中電信線路作為主線路，作為校園網日常使用互聯網的主接入口，而聯通線路則用作備份線路，用于保證在斷網的情況下，用戶的工作不受影響。這里需要通過策略路由和熱主機備份功能實現。在防火墻上，為了節省公網IP資源，采用了動態NAT負載技術，實現校園網的所有用戶能夠同時訪問公網，本案例中，學校申請了5個公網IP地址，通過這5個地址完成校園網用戶的共享上網。

到這里，校園網的前期改造計劃已經基本完成，在眾多的設計中，主要從三個方面考慮，進行了網絡改造，首先是速度方面，校園網的改造要保證網絡速度有質的提高，這里主要通過核心層的改造來完成，通過硬件設備的替換和網絡負載的實施，有效提高網絡對數據包的轉發能力，減少終端延遲。另外，對網絡中對實時性要求很高的數據進行網絡策略的設置，提高相關數據包的優先級。其次考慮網絡安全，網絡安全是通過匯聚層的設置完成的，這里包含了vlan的劃分，減少廣播數據包對網絡的影響，防止監聽，通過對訪問列表的設置，對相關數據包進行屏蔽，減少非法數據包對服務器的訪問，同時，在該層設置DMZ區域，將服務器集中在該區域進行統一管理，同時在該區域添加網管主機，利用網管主機對數據包進行全程監控，這里是通過端口鏡像技術實現的。最后，考慮網絡的穩定性，利用熱主機備份技術，申請兩條公網線路，一條走電信線路，出口帶寬1GB，由于寧波市校園網是電信線路，所以該線路作為主線路，另外申請一條聯通線路，出口帶寬40MB，作為備用線路，利用熱主機備份技術，正常情況下所有數據包在訪問外網時走電信線路，在電信線路遇到故障臨時關閉時，采用聯通備份線路，由于采用熱主機備份技術，采用的是虛擬網關，所以在校園網發生線路切換時，用戶根本感覺不到任何影響，數據包會只能選擇相關線路向外傳送數據包，這樣，整個校園網的穩定性大大提高了。

校園網通過如上的改造，在穩定性、安全性、高速性上都得到了加強，整個網絡的數據吞吐能力得到提高。另外，DMZ區域的出現，實現了服務器和終端設備的分別管理，管理員在DMZ區域只要通過簡單的網管主機軟件，就可以對校園網訪問服務器的數據進行全程監控。流量整形技術的出現，可以實現終端設備限速訪問互聯網，對終端用戶也進行了一定的約束，防止網絡帶寬被惡意占用。

參考文獻：

[1][美]瓦尚（Vachon，B.），[美]格拉齊亞尼（Grazi-ani，R.）.思科網絡技術學院教程CCNA Exploration：接入WAN[M].思科系統公司，譯.北京：人民郵電出版社，2009.

[2][美]唐納修.Network Warrior：思科網絡工程師必備手冊（影印版）[M].南京：東南大學出版社，2011-10.

◎編輯 馬燕萍