新一代校园网络架构的仿真与优化研究

摘 要： 信息技术日新月异，随着高校校园网出现的技术与设备老化、网络性能日益下降以及其运行过程中受到新网络安全问题不断威胁的现象，升级改造成高效、稳定、快捷的新一代校园网络架构已势在必行。要对校园网络进行整体改造，需要投入巨大的资金，所以在改造之前应该利用各种手段进行调研和分析。网络仿真技术可以对新协议进行初步实现和验证，并有利于及时调整和改进。结合网络技术和硬件产品，利用GNS3网络仿真软件对真实校园网环境进行全网仿真还原，并通过对仿真网络的测试、分析，提出新一代校园网络架构的配置优化、架构优化和安全优化的方案。

关键词： 校园网； 网络仿真； GNS3； 网络优化

中图分类号： TN926⁃34； TP393.18 文献标识码： A 文章编号： 1004⁃373X（2016）14⁃0069⁃04

Simulation and optimization of a new generation campus network architecture

JIANG Jianjun1， CHEN Jingdong2

（1. School of Electronic Information， Shanghai Dianji University， Shanghai 200240， China；

2. Institute of Electrical Engineering， Shanghai University of Engineering Science， Shanghai 201620， China）

Abstract： With quick change of IT（Information Technology） advances， but the technology and equipment aging of campus network， the increasing decline of network performance， and the phenomenon of constant threat from new network security issues occurring in the course of its operation， it is imperative to upgrade and remould next⁃generation campus network architecture to make it efficient， stable and efficient. However， the overall transformation of a campus network needs to invest heavy funds， so all means must be used to conduct the relative research and analysis before the transformation. The network simulation technology is an ideal means to achieve the preliminary implementation and verification of a new agreement， because it is in favour of timely adjustment and improvement. In combination with the network technology and hardware products， the network simulation software GNS3 （Graphical network simulator V3.0） is adopted to restore the entire network simulation for a real campus network environment. The simulated network was tested and analyzed. According to the results， a scheme for configuration optimization， architecture optimization and security optimization of the new generation campus network is put forward in this paper.

Keywords： campus network； network simulation； GNS3； network optimization

0 引 言

随着教育信息化的迅猛发展，校园网在学校教学、科研和管理等方面发挥的作用也越来越大。随着网络规模的扩大、应用服务的增加和新的需求的不断出现，原有校园网势必需要改造或升级换代。这些升级的需求的例子包括网络的吞吐量、高可靠性、安全性和策略管理等。要进行校园网络整体改造的资金投入巨大，而网络仿真软件可以为网络实验提供一个良好的环境，并极大地降低成本，因此本文通过GNS3（Graphical Network Simulator V3.0）仿真软件并结合思科网络设计的生命周期来对某高校校园网进行一个仿真的评估与优化，GNS3是一个可以仿真复杂网络的图形化网络仿真软件，它可以运行在Windows，Linux，MAC OS上，允许在虚拟环境中运行思科的IOS。与Packet Tracer网络仿真软件相比，GNS3能更好地仿真路由与交换的功能，并且GNS3在功能上面多得多，诸如冗余用的HSRP功能等[1]。GNS3是基于Dynamips来进行仿真的，Dynamips作为一款十分优秀的路由器仿真软件，通过在计算机中构建运行IOS的虚拟机上来真正运行IOS实现对路由器的仿真，实验仿真效果真实可信[2]，可供从事于校园网络设计人员参考。本课题研究分以下3个阶段：

（1） 分析阶段。对现有研究的对象即高校校园网络和所依存的网络系统进行初步分析，根据一定的信息和参数进行汇总，对网络性能和安全性方面进行描述。

（2） 仿真阶段。就是通过仿真软件设计出高校校园网合理的网络配置环境，建立拓扑图和具体配置参数，在现实的网络层上实现对网络协议、网络行为和网络性能的测试。

（3） 优化阶段。应用仿真软件，对网络架构和具体参数进行优化，和之前的网络系统进行对比，并分析运行的效果。在此基础之上通过理论建立针对于高校的网络架构的规划模型，作为一个完整项目方案规划进行展示[3]。

1 校园网仿真

首先对某高校校园网规模进行分析，对各种设备进行策略的规划，并对校园网进行适当的简化。再使用GNS3仿真其交换和路由设备、终端设备、以及DHCP服务器，并在其中加入负载均衡和防火墙的功能[4]。

1.1 拓扑搭建

根据校园网的拓扑，对于核心层、汇聚层、接入层进行拓扑搭建，由于接入层交换机设备过多，故做一个简化，并把一些交换网络以上的设备进行仿真。

1.2 交换网络仿真

此次校园网的仿真分为广域网和学校内网两个部分。交换网络作为校园网一个重要的组成部分，这个交换网络称之为学校的内网。学生客户端通过无线连接进入校园网，教师工作区域使用的客户端，以及存在于校园网的服务器，都是在这交换网络中集成。

最终仿真的效果：能够从客户端通过核心交换进行数据包转发，达到全网互通，客户端可以通过DHCP服务器进行IP地址的分配。思科双核心交换的冗余效果能够达到，访问控制列表能够正常生效，来阻止外网未经允许的访问[5]。

1.3 防火墙仿真

防火墙的仿真主要通过访问控制列表ACL策略来仿真到外网数据包过滤的效果，以及控制内网的一些数据外传。主要命令如下：

1.4 负载均衡仿真

负载均衡效果以静态路由和策略路由的方式仿真，目前校园网中用的负载均衡设备可以将校园网内部的流量分别按一定策略分配到5条ISP线路，以避免所有流量全集中在一条线路上，而导致流量拥塞。负载均衡系统提供的主要功能有：链路负载均衡；动态智能解析；服务器负载均衡；网络地址转换。

1.5 运营网关仿真

一般而言，互联网服务提供商的路由器中运行的是外部路由协议，如BGP（Border Gateway Protocol），ISIS（Intermediate System to Intermediate System）等[6]，本次校园网仿真并不需要使用并涉及到这些部分，而是针对校园网内部的仿真与优化。

互联网服务提供商外网的仿真主要使用静态路由和默认路由相结合的形式，路由选路原则如下：

（1） 最长子网掩码匹配；

（2） 管理距离；

（3） 度量值；

（4） 三个都一样，则负载均衡。

部分静态路由命令参数如下：

1.6 仿真效果

整体设计如图1所示。其中包括1台因特网仿真设备，5台运营商网关设备，1台负载均衡设备，1台防火墙，2台核心交换机，4台汇聚层交换机，8台接入层交换机，3台服务器，以及7台终端计算机。

2 校园网优化

通过对校园网的仿真与分析，发现校园网中存在很多可优化的部分。优化的目标是建成一个高性能、高可用的校园网络。本次优化基于以下两方面：第一种优化是面向命令配置参数的优化，使网络中的设备负载分担更加均衡，以及设备策略运行的效率更高，并且更加安全[7]；第二种优化，主要侧重于理论架构，先从本身的拓扑结构入手，利用好已有设备，同时再结合目前信息化技术的发展，结合实际工作经验合理规划一个综合的新一代网络架构。通过高性能核心交换机重新构建全冗余支持万兆主干的网络架构。各区域汇聚设备采用万兆线路连接到主干网络设备上，并可在将来扩充为多条万兆链路捆绑的方式，增大区域和主干网络之间的带宽。实现校内万兆主干网络、万兆到楼宇、千兆到桌面的新一代校园网络架构。在优化网路过程中，为了保护网络上数据的安全性，提供多种方式和层次的访问控制，通过使用网络用户身份识别、VLan、包过滤、入侵检测及防火墙等技术来保证网络系统的安全性[8]。

2.1 冗余协议优化

校园网命令与配置并不是非常高效，从这些命令配置的效率上还有很多的提高空间。从负载性能、系统资源占用、协议的运用、以及端口的一些安全策略上，都有很大的优化空间，其中热备份路由器协议（HSRP）导致设备利用效率过低，互备的两台核心设备为一主一备，不能合理利用资源，做到同时使用。解决方案有以下两种：

（1） 不变换协议，进行配置优化。效果：多组分担流量，把本身集中于一台主用设备上的流量分配到两台利用起来。用多个热备份组并存或重叠，每个热备份组模仿一个虚拟路由器工作，它有一个虚拟IP地址。该虚拟IP地址、组内路由器的接口地址、主机在同一个子网内，但是不能一样。当在一个局域网上有多个热备份组存在时，把主机分布到不同的热备份组，这样就可以使负载得到分担。

（2） 使用GLBP协议。可以使用GLBP协议做到动态负载均衡，GLBP允许客户端通过获得不同的虚拟MAC地址，通过不同的路由器转发数据，因为客户端利用的地址是解析到的虚拟的MAC地址，而网关地址仍使用相同的虚拟IP，这样不但实现了冗余还能够负载均衡[9]。在GNS3仿真软件中使用“方案2”部署了GLBP后，运行情况如图2所示。

2.2 运行效率优化

木桶原理说到木桶里能装的水的最大量取决于最短的那块木板。同样在网络中，性能最差的设备也会影响到网络的整体性能。因此在一个网络的整体，各个区域不能有短板，要综合，这样才是提升整个校园网络的数据传输性能的良策。虽然目前校园网络中仍存在很多老设备，但是经过配置简化对运行效率一定是有帮助的，主要有访问控制列表（ACL）配置优化和路由表汇总简化。

（1） 访问控制列表（ACL）配置优化。ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于ACL放置的位置。根据减少不必要通信流量的通行准则，应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处。ACL的执行算法过程如图3所示。

根据以上算法，对匹配条目进行最简化，在不影响效果的情况下，最大化效率，很明显规则越少，执行效率就会越高。

（2） 路由表汇总简化。路由表保存在路由器的内存中，如果能把一些条目进行简化，那么是可以为路由交换机减轻负担提高效率的。按照子网掩码的掩码长度的变更达到的汇总效果，从14条路由条目减少到7条，减少量达50%。

2.3 安全优化

接入层网络需要考虑ARP欺骗和DHCP等安全问题的防范。

（1） DHCP攻击基本防范。首先定义交换机上的信任端口和不信任端口，对于不信任端口的DHCP报文进行截获和嗅探，DROP主要来自这些端口的非正常DHCP报文。

（2） ARP欺骗防范。思科Dynamic ARP Inspection （DAI）在交换机上提供IP地址和MAC地址的绑定，并动态建立绑定关系。DAI以DHCP Snooping绑定表为基础，对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access⁃list实现。DAI配置针对VLan，对于同一VLan内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范ARP攻击[10]。

2.4 理论框架优化

从目前信息化技术发展的速度来看，新技术不断的出现，新的网络产品更新换代，提供了更多的功能，更高的吞吐量以及更快的响应速度。综合校园网的目前状况，从长远的角度上看，需要在性能、安全和功能性做一个整体的考虑，设计一个具有前瞻性的校园网优化方案。宗旨是利用好现有设备，最优化配置，增加一些新产品达到安全和功能上的完善[11]。校园网架构优化方案，如图4所示。

3 结 语

本文针对某高校的校园网络仿真，并在仿真实验的基础上提出优化方案。目前，升级改造项目正在根据本设计思路逐步实施，项目进展情况良好，系统正稳定运行。本文结合实际网络环境，从终端设备、接入层、汇聚层、核心层到因特网利用GNS3软件完成了全网整体的仿真还原与设计，仿真所涉及的是技术有：路由交换网络、负载均衡策略、HSRP冗余策略、防火墙策略以及DHCP等；优化中涉及的是配置优化和架构优化，如HSRP协议配置优化，GBLP运用优化，ACL和路由表应用优化，以及在架构上涉及性能性、冗余性、高效性、功能性和安全性的优化；同时结合思科、锐捷、天融信、城市热点、深信服、Array等多家厂商产品集成调试，为高校提供了优化后的新一代校园网络架构方案。

参考文献

[1] 梁广民，王隆杰.思科网络实验室CCNP（路由技术）实验指南[M].北京：电子工业出版社，2012.

[2] 王丽娜，刘炎.基于GNS3的冗余网络仿真[J].实验室研究与探索，2013，32（8）：55⁃59.

[3] 徐波涛.校园网网络安全方案设计与工程实践[D].北京：北京邮电大学，2012.

[4] 刘雪飞，闫欣，吴伯桥.GNS3搭建网络虚拟环境实践[J].电脑知识与技术，2012，8（13）：3019⁃3021.

[5] 常潘.Cisco无线局域网配置基础[M].北京：电子工业出版社，2011.

[6] PARKHURST W R.Cisco BGP⁃4命令与配置手册[M].朱剑云，王晓磊，译.北京：人民邮电出版社，2011.

[7] 刘卫斌.以太网环路保护协议STP研究[D].南京：南京理工大学，2008.

[8] 王振武.NetFlow交换及其在网络管理中的应用[J].微电脑世界，2002（13）：77⁃79.

[9] 赵忠鑫.GLBP技术在银行网络中的应用[J].计算机光盘软件与应用，2012（6）：70.

[10] 诸葛建伟.网络攻防技术与实践[M].北京：电子工业出版社，2011.

[11] PARK Hyungbae， CHOI Baek⁃Young， SONG Sejun. Understanding the health of an access network [C]// Proceedings of 2011 Third International Conference on Ubiquitous and Future Networks. [S.l.]： ICUFN， 2011：273⁃278.