北京工商大学需要建网的单位有教学区的耕耘楼、化工楼、教一楼、教学实验楼、图书馆以及综合楼、外事楼、科教楼,新建千余个信息点。在对校园网进行结构和功能设计时,除了一般的规模、功能和性能要求之外,在设计校园网建设方案时,充分考虑了上述的一些特殊需求和近若干年内的扩展,在资金容许的范围内,尽可能在网络的结构、带宽、容量、规模、功能、性能、设备选择、布线等来选择高性能方案。
设计方案
根据以上的目标和原则,校园网建设采取下列方案:
网络类型 在各种中大型规模局域网尤其是校园网中,大部分采用的是千兆位以太网。它能够满足大学校园网对带宽、性能、功能以及亲和性等方面的要求。
网络结构 针对大学区域广阔、地域分散的特点,北京工商大学校园网采用了环型和星型结合的网络拓扑结构。交换机的选型在一定程度上和采用的网络拓扑结构有关。考虑到北京工商大学有东、西两个校区,而且科教楼(东区)和综合楼(西区)信息点较多,实际采用了环型和星型结合的网络拓扑结构。这样一来不但从布线的成本上可以节省开支,而且骨干链路也实现了冗余。学校将要重点建设的图书馆系统配置了三层交换机,为将来的图书馆建设提供了较大的灵活性。
网络协议的选择 校园网一般以目前网络最流行的协议TCP/IP 为主要协议。可保证与Internet网络保持一致,方便实现与其它网络的无缝连接。
网络新技术的采用
虚拟局域网技术 虚拟局域网(VLAN:Virtual LAN)技术是通过路由和交换设备,在网络的物理拓扑基础上通过网络管理人员建立的一个逻辑网络。VLAN可以看成一组客户工作站的集合,这些集合可以不受地理位置的限制而像处于同一个LAN上那样互相交换信息。它可以看作一个广播域。在一个虚拟网内,由一个工作站发出的信息,只能发送到具有相同虚拟网号的其他站点,而其他虚拟网的成员收不到这些信息或广播帧。
在校园网中采用VLAN技术可以提高管理效率,抑制广播数据,增强网络安全性,实现虚拟工作组,减少路由需要并大幅度提高设备的数据包转发能力,支持多媒体应用与高效组播控制,提高网络带宽的有效利用率等。
校园网中,像图书馆、教务处、招生办公室、财务、人事、各计算实验中心等部门均可在校园网中划分成一个个相互独立的VLAN。
三层交换技术 “三层交换”是与VLAN(虚拟局域网)密切相关的。将局域网进一步划分为多个虚拟网,这就有效地避免了在大型交换机上进行广播所引起的广播风暴。
三层交换技术也可以说是二层交换技术+三层转发技术。它采用的三层交换机是将二层交换机和三层路由器两者的优势智能地结合而成的设备,它可在各个层次提供线速性能。同时它还引进了策略管理属性,不仅使二层与三层相互关联,而且还提供流量优先化处理、安全访问机制以及许多先进的策略和功能。它解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面,因此三层交换机既具有优秀的三层转发功能,又有接近二层交换机的速度同时比相同路由器的价格低很多。
在上述的北京工商大学校园网拓扑结构中,主结点和两个分结点以及图书馆采用的都是三层交换机。
负载均衡技术 由于网络业务量的迅猛增加,常常会使得网络的某个核心设备无法承担超负荷的流量。负载均衡就是要解决在多个网络设备之间实现合理的业务量分配,使之不致于出现一台设备过于拥塞而其他设备却未充分发挥处理能力的情况。
负载均衡机制提供一种廉价有效的方法扩展服务器带宽和增加吞吐量,提高服务器响应速度,加强网络数据处理能力,实现地理位置无关性,从而解决网络拥塞问题,提高服务器及其他资源的利用效率;避免了网络关键部位出现故障而使网络或某个服务瘫痪的情况。
大学校园网在网络负载均衡上实施的具体应用,采用了传输链路聚合技术、更高层网络交换技术、服务器集群技术以及优化网络结构等方式予以实现。
⒈传输链路聚合。链路聚合技术是为消除传输链路上的瓶颈(由网络带宽、服务器速度和I/O处理能力等因素产生)与不安全因素所提供的一种可行的低成本解决方案。它是将多个线路的传输容量形成一个单一的逻辑连接,从而提高传输的带宽和速度。如同步IMUX系统、多线路的反向多路复用技术IMA、用路由器来实现多线路等。
在上述的校园网结构中,中心结点和两个分结点之间就采用了这种链路聚合技术,从而使传输带宽由单线路的1G增加到双线路的2G或4线路的4G(在全双工情况下,可达到4G或8G)。
⒉ 更高层交换。利用高档的交换机提供第四层交换功能,这可以将一个外部IP地址映射为多个内部IP地址,对每次TCP连接请求动态使用其中一个内部地址,并把局域网中其他专用网络设备如防火墙、路由器、第2层/3层交换机、负载均衡设备、缓冲服务器和Web服务器等有机地组合在一起,达到负载均衡的目的。
在实际网络建设中,像Cabletron SSR8600和Cisco 6509交换机都具有第四层交换功能,可以对每个端口进行定向,实现负载均衡。
⒊ 合理的网络结构。对于地域分散的大学校园网,根据各分校或各教学区的地理位置等情况,采取双星或者多星的分布式网络结构,各星上的节点选用具有三层或四层交换功能的交换机,就可以像2中所述的那样,对每个请求实现动态分布式交换。这样,当实行链路聚合的通路产生拥塞时,信息就会流过另一条通路,从而减轻了网络拥塞。
用Sun Cluster集群技术为主服务器构筑高Cluster服务器系统 它提供有故障恢复能力和超越单台主机性能的HA(高可用)和PDB(并行数据库)平台。具体采用双节点集群高可靠拓扑结构,其硬件主要由两台服务器(数据库服务器和邮件服务器,E3500 或 E450)、一台终端集中器、集群管理工作站Sun Ultra 10以及所有节点共享的磁盘阵列Sun T3组成。软件主要包括Cluster核心软件和多种数据服务代理(Agent),以及Cluster管理软件(包括Cluster Monitor 和Cluster Volume Manager Visual Administrator)、CMM(Cluster Membership Monitor,集群成员监视器)、CCM(Cluster Connectivity Manager,集群连接管理器)及其它集群管理软件(Cluster Management Software)。
数据备份 保证数据的完整性是网络安全的重要环节,当校园网的应用全面展开时,一些重要的数据如财务、人事、设备、邮件、学生的相关信息等是绝对不能丢失的,因此数据备份是校园网建设中必须认真考虑并采取有效方案加以解决的问题。
实际校园网的数据备份方案采用了各种备份方式的综合。如重要的服务器采用如前所述的Cluster方式,配备备份服务器对所有的重要数据进行定期磁带库备份等。
容灾 容灾是解决局域网中建立灾难备份系统,使重要应用不间断运行、数据实时备份。当灾难发生后,后备系统将接替原系统继续运行,使整个系统可在保证数据不丢失的情况下迅速恢复正常。
建立容灾系统需要很高的费用,在一般的校园网中难以采用。在网络采用双星或多星网络结构,在网络的分结点配置具有三层交换能力的交换机,以千兆端口连接一台备份服务器和硬盘阵列并进行实时备份。这样,可以用很低的费用实现数据异地存储和灾难发生后的数据恢复。
设备选择
在校园网的网络结构确定之后,设备的选择和配置也是非常重要的。校园网既与一般的局域网有许多相同之处,又与普通的局域网有许多不同的特点。因此在确定设备的配置和选型时要根据校园网的实际需求和近二、三年的扩展。其中,最重要的是交换机、路由器以及服务器的选择。选择的原则是在满足校园网的需求基础上,综合考虑设备的功能、性能、可靠性、服务和价格。
路由器 由于目前高档交换机均具有路由的功能,因此可以只在校园网出口处配置一台或两台路由器,以便与外网相连。路由器可选择Cisco 3640。Cisco Router是目前能够提供完善的流量采集源的网络设备。它为我们提供了两种方式:IP Accouting和NetFlow。IP Accounting统计提供了四种信息包括源IP、目的IP、包数、字节数。NetFlow提供更为详细的统计信息。
交换机 交换机是网络中的核心设备,对网络的功能、性能、速度、带宽和可靠性等方面影响很大。
主交换机的容量应满足校园网对带宽和近期扩展的要求,即应具有几十个G的背板和几十 Mpps的路由吞吐量,并可提供足够多的千兆以太网接口和10/100M端口,具有四层交换能力。
思科(Cisco)和凯创(Cabletron,现为Enterasys)都是世界知名品牌,其高端交换机产品基本上可以满足上述要求。如Cisco 6509 和Enterasys SSR8600等。
从两者功能、性能和价格等综合因素,在经费有一定限制的情况下,选择凯创的产品似乎更为有利,如主交换机选择Enterasys X-PEDITION 8600 交换路由器(Cabletron SSR8600),这主要有以下方面考虑:
⒈ 优秀的功能和性能。X-PEDITION 8600 具有64Gbps(全双工)无阻塞交换矩阵背板,30Mpps路由吞吐量,可提供60个千兆以太网接口或120个10M/100M端口,支持10Gig、光纤网络等先进技术,具备线速第四层应用数据流交换功能,并支持HSSI、FDDI、ATM和串行WAN接口以及语音和视频的多点组播,还可以对应用优先级的划分进行精确控制,这些基本上可以满足大学校园网的要求。
⒉ 良好的性能/价格比。X-PEDITION 8600 的价格低廉,在一期工程实际接入20Gbps左右时的报价,两台X-PEDITION 8600的价格几乎接近Cisco 6509(128Gbps背板)一台的价格,这实在具有相当的诱惑力。这就是说,X-PEDITION 8600的性能/价格比高。
⒊ 网络中使用两台SSR8600可大幅度提高网络性能。采用三星结构的校园网如果在主结点和分结点配备两台X-PEDITION 8600,那么对于地域上划分为两个或多个校区的校园网,对当前的需求和近二三年的扩展都是相当合理和有利的。采用这种三星结构并使用两台X-PEDITION 8600(另一星使用X-PEDITION 2100),可以实现分布式动态交换,达到负载均衡的目的,同时,也为低成本异地存储方案提供了便利的条件。
因为X-PEDITION 8600和Cisco 6509(128Gbps背板)的档次差不多,如上述方案中选用Cisco 6509(128Gbps背板),那么费用就会提高几十万元。
⒋ 服务承诺。在购买了备品服务的情况下,凯创公司把交换机的主要备件均保存在北京,并与集成商共同承诺在交换机故障发生后48小时内予以更换。
除了主交换机之外,校园网中还需要配备大量的楼端交换机。楼端交换机可选用与主交换机相同的产品。
服务器 大学校园网的应用服务的类型是很多的。在服务器配备上当然可以采取集中式或分布式。但从安全、处理速度、I/O能力和便于管理的角度考虑,还是采用分布式的方式较好。这样,校园网的所有服务可使用8~10台服务器。对于数据库服务器,考虑采用集群方式。由于校园网应用的数据量很大,因此数据库服务器应选择2CPU以上的较高档小型机或4CPU以上的高档PC服务器。其他服务器可根据实际应用选择。因绝大部分大学校园网都选择的是Sun公司的产品。而且Sun的产品也比较便宜,因此小型机选择Sun的产品为好,这便于兄弟院校间应用软件的交流与共享。
PC服务器IBM、HP、康柏等都可选用,康柏的价格相对比较便宜。当然国产产品如浪潮等也可以选用,这要根据经费的情况决定。
网络安全设计
方案采用的网络卫士防火墙既支持Internet网络的主要服务(如Web、E-mail、FTP、Telnet等)和基于TCP协议的所有应用程序,又支持UDP一类的非连接协议的应用程序。而且,还支持Real Audio、VDOLive和Internet Phone这样的多媒体应用程序,使用防火墙后不会出现服务失效的负作用。
该产品也支持对公开服务器的安全保护。为适应越来越多的用户向Internet提供服务时对服务器保护的需要,它采用分别保护的策略对用户上网的对外服务器实施保护,它可以将一个端口配置成SSN,即把对外服务器作为一个独立网络处理,对外服务器既是内部网的一部分,又与内部网关完全隔离。SSN方法提供的安全性要比传统的DMZ方法好得多,因为SSN与外部网之间有防火墙保护,SSN与内部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。一旦SSN遭破坏,内部网络仍处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露在攻击之下。
Internet用户通过一次性认证方式就可以通过防火墙访问内部网络,由于采用一次性口令认证机制,即使窃听者在网络上截取到口令,也无法通过这个口令与内部网建立连接。防火墙可以提供用户级权限控制,提供流量统计与控制功能,提供双机热备份与负载均衡,提供防火墙日志、审计,提供对防火墙配置规则测试的功能,支持防火墙系统支持与其他厂家的路由器或交换机互连互通,支持透明接入与透明连接,不影响原有网络设计和配置,支持本地和远程管理两种方式,支持命令行和GUI方式的管理和配置。