APP下载

高校校园网拓扑及性能优化的实现

2018-02-26庞镭

电子技术与软件工程 2018年16期
关键词:性能优化校园网

摘要

随着校园网规模的不断扩大,各类业务系统、多种物联终端的接入等网络应用的逐渐增加,用户对校园网的要求日渐提高,同时对校园网规范管理、安全管理带来一定的隐患和问题。作为校园网的运维管理部门,学校教育技术中心需要从网络拓扑、性能等因素着手,在确保稳定的基础上,通过技术和管理手段,不断优化网络,保证校园网可靠性、可用性和稳定性不断提升,更好地实现服务教学、科研,方便应用的导向目标。

【关键词】校园网 性能优化 物联终端

1 引言

首都经济贸易大学校园网始建于1997年,为落实北京市信息化建设的顶层设计,建设智慧校园,经过多期网络建设项目的实施和网络技术的发展,目前,校园网基础设施拥有两个标准机房,交换机600多台,无线接入点(AP)近2000个,校园网用户2万人。校园网采用核心、楼宇汇聚、楼层接入的三层构架方式。目前,校园有线网已经覆盖花乡、红庙两校区,花乡校区实现无线网全覆盖。

随着校园网规模的不断扩大,各类业务系统、多种物联终端的接入等网络应用的逐渐增加,用户对校园网的要求日渐提高,同时对校园网规范管理、安全管理带来一定的隐患和问题。作为校园网的运维管理部门,学校教育技术中心需要从网络拓扑、性能等因素着手,在确保稳定的基础上,通过技术和管理手段,不断优化网络,保证校园网可靠性、可用性和稳定性不断提升,更好地实现服务教学、科研,方便应用的导向目标。

2 现状及存在的问题

2.1 各类子网的接入

各部门、院系根据自身定位,建立了多个围绕中心业务的子网。例如:教务、考务监控网覆盖全校教学楼宇;保卫处安保网、财务专网;经管实验中心、信息学院、外语学院机房等。各类子网不同程度地存在“重建设、轻维护”的现象,随着子网内终端数量的增加、拓扑结构的日益复杂,运维管理成为薄弱环节,交换机环路、ARP攻击、非法路由器接入等不利因素,影响了教学、实验的顺利开展,亟待进行规范。

2.2 多种物联终端的接入

随着物联网技术的深入发展,大量物联网终端需要校园网来承载。例如:节能办针对宿舍区的用水、用电控制;保卫处为确保校园安全而部署的门禁、出入通道闸机;图书馆的图书自主借阅机;学校机关、各院系根据自身业务发展需要增加的智能显示屏,办公场所的打印机等多种形式的智能终端逐步进入校园网,部分物联终端使用校园无线网完成相应功能。由于遍布各个楼宇的多种物联终端逐的接入,绑定固定IP地址是首要条件。因此,交换机DHCP Pool较大,导致交换机性能下降,同时破坏了交换机配置的规范性。此外,随着网络终端的逐年增加,使用汇聚交换机分配IP地址无法实现地址的可视化管理,给运维管理带来极大不便。

2.3 控制器品牌不同

校园无线网多个不同品牌控制器并用,早期,无线客户端根据所在物理位置不同分属不同IP子网和VLAI。当客户端发生物理位移时,就会导致跨越控制器漫游,IP地址发生改变,需要反复多次登录计费账号的问题,给用户使用带来不便。

2.4 无线接入点的部署方式落后

无线接入点部署均采用楼道部署放装AP的方式。随着校园无线网的快速发展,用户数量迅猛增加,师生们对无线网的使用体验提出了更高的要求。不仅限于无线信号的“可连接”,而是要求无线信号的“高可用、不中断”。针对当前封闭的建筑格局、高密度的宿舍、铁门隔断等影响信号覆盖的因素,需要部署多种形式的AP来满足超高性能和高并发的需求。

2.5 安全策略不完善

对于校园网交换和无线设备,病毒攻击、非法访问等现象时有发生。传统的安全策略没有针对无线控制器和无线接入点进行访问控制,且接入交换机仅在端口in方向进行数据过滤。应用场景、网络性能、安全管理等都面临挑战。

针对当前存在的问题,对校园网进行优化,重新规划、分配IP地址,通过技术手段实现无线用户全校漫游,规范各类子网、终端的接入方式,提高安全策略;通过管理手段,建立健全信息系统建设长效机制,制定管理制度和办法,培训专业技术人员。

3 优化策略

3.1 工P地址重规划

随着校园网规模的扩大,用户的增加,对全网IP地址进行重新规划、分配、切换。遵循“三严格、一确保”原则,即:严格区分设备管理地址、终端用户地址;严格区分有线、无线用户地址;严格区分动态分配、固定终端地址,确保各楼宇各楼层地址在满足当前用户充分可用的前提下,考虑可扩展性和灵活性,给各个楼宇预留足够的IP地址。每个楼宇明确划分交换机、无线接入点、用户地址的界限。对于有实验机房、服务器等特殊位置的楼宇,充分考虑IP地址的需求。

3.2 引入专用DHCP服务器

在校园网中引入两台专用的DHCP服务器,取代原有的汇聚机分配地址的方式。两台服务器采用主备方式为全校有线网、无线网用户分配IP地址。无线核心交换机和各楼宇汇聚交换机在相应的SVI接口中加入ip helper-address命令即可。例如:

interface Vlan900

ip address 255.255.0.1255.255.0.0

ip helper-address 10.10.10.10

ip helper-address 10.10.10.11

3.3 无线用户全校漫游

建立无线Vlan 900,选用一个B类私有地址建立无线用户地址池,例如:10.10.0.0/8,取代原来各楼宇分配地址的模式,用户从DHCP服务器获得B类地址中的一个IP。无线核心交换机SVI接口中配置ipaddress 10.10.0.1255.255.0.0.无线控制器上的ap-group全部映射到Vlan 900的Interface上。DHCP服务器基于无线用户的MAC地址分配IP地址,租期2小时,跨控制器后,无线用户MAC地址不變,物理位移30分钟内,不超过计费策略规定的时间,则不需要重新登录计费账号,实现全校区无线漫游。

3.4 规范各类子网的接入方式

根据不同用途、安全需求及组网方式确定各类子网的规范方案。其中安保网、财务网等专网采用独立建网方式,与校园网进行物理隔绝,仅在校园网出口通过相应的安全设备进行互联。经管实验中心、信息学院、外语学院机房的自有交换机,梳理现有拓扑结构,消除乱接、私接造成的环路现象。交换机配置方面,通过访问控制列表过滤常见病毒端口流量,全局配置spanning-tree portfast bpduguarddefault,端口中配置ip arp inspection trust和ipdhcp snooping trust。自有交换机上联至校园网楼宇汇聚交换机,在运维管理软件中进行监控,做到设备异常早发现,早处理,确保机房正常的教学、科研用网需要。

3.5 无线接入形式依场景而定

近几年的无线网建设项目,区分教室、宿舍、报告厅、图书馆、广场等多个应用场景,分别部署不同形式、规格的无线接入点,打破过去全部楼道部署的格局。例如:教室均采用放装式AP,图书馆、报告厅部署高密度放装式AP,行政办公室采用墙面式AP,学生宿舍以智分接入为主,并结合各AP品牌提供的管理软件,对无线接入点进行性能优化,包括信道、功率、速率等对用户上网产生重要影响的参数。

3.6 有线、无线安全策略组合使用

优化后的安全策略将有线、无线组合使用。一方面,对于汇聚、接入和无线核心交换机,实施更加严格的Telnet/SSH访问权限,仅限少量地址可远程登录。另一方面,在无线控制器上启用用户ULAN内的二层隔离功能,禁止无线客户端互访。参照有线设备的ACL,配置无线控制器访问控制列表,防控常见高发病毒。

4 管理优化

为解决校园网各子网建设“重建设轻管理”、“另起炉灶、重复建设”的现象,校信息化领导小组進一步加强了对信息化建设工作的领导,建立了长效机制,完善了规章制度,对全校各子网、系统、基础设施进行整合,规范有线、无线网组织程序,明确信息处(教育技术中心)作为业务主管部门对各部门、院系信息系统、终端接入系统的技术方案审核、人员技术培训职责。各部门、院系在项目建设前期主动与业务主管部门对技术方案进行沟通,提出具体需求;同时指定有一定专业基础人员负责项目运维。

5 结束语

首都经济贸易大学坚持以问题为导向,把握新的发展机遇,以技术创新、管理创新模式积极应对新的形势、新的挑战。近年来,通过上述优化方式,校园网性能、稳定性有了大幅提升,用户满意度明显提高、网络安全环境明显改善,将逐步实现先进实用、灵活开放、安全可靠的校园网建设目标,全面助力、支撑智慧校园建设。

参考文献

[1]庞镭,张笑琪.校园无线网优化方案及安全管理的实现[J].计算机科学,2017(10A):294-297.

[2]庞镭.首都经济贸易大学破解多品牌校园无线漫游难题[J].中国教育网络,2017(08):63-64.

猜你喜欢

性能优化校园网
试论最大匹配算法在校园网信息提取中的应用
基于VRRP和MSTP协议实现校园网高可靠性
NAT技术在校园网中的应用
SQL Server数据库性能优化的几点分析
校园网贷有哪些违法隐患
VPN在校园网中的集成应用