據中國教育和科研計算機網調查數據顯示,目前校園網絡已通達內地的160個城市,聯網的教育機構和科研單位達900多個,聯網主機120萬臺,網絡用戶800多萬,成為國內僅次于中國電信的第二大互聯網絡。然而,隨著校園網絡建設的不斷深化,專家和教育工作者也提出了一些問題和建議。一方面是“光生不養”,校園網在國家投資建成后缺乏運行經費,普遍出現了“建設有錢,運行沒錢”的情況;另一方面是校園網管理必須加強,避免學生沉迷于網絡,也避免網絡資源被大量閑置。
要做好網絡控管,我們必須先從校園內網絡架構談起。一般而言,校園內都有教育網系統,但因為有限的帶寬以及校園安全性等等問題,多半各系所或是校園宿舍都會在學術網絡之外,再自行建置一條或多條ADSL網絡,以用來應付學員更大帶寬使用的需求。因此在一般校園網絡架構系統中,普遍我們可看到包含教育網以及公眾網絡兩種系統并行。
照理說校園網絡比起一般網絡應用環境,多出了教育網絡系統可以分擔上網的流量,因此應該不會有上網速度慢的問題。但根據學生使用經驗指出,在校園或宿舍使用網絡,不但常常會遭遇到上網慢問題,甚至掉線、病毒攻擊等問題也層出不窮。難道帶寬還是不夠嗎?帶寬管理沒有用嗎?究竟學術網絡與一般網絡應用該如何整合?俠諾科技深圳技術中心主任文浩堅針對校園實際面臨到的問題提出校園網絡解決方案。其配置與方案特色如下:
俠諾科技校園寬帶應用拓樸圖
策略路由分流教育網與公眾網
校園內由于各個系所與宿舍,所分配到的學術網絡一般有限,因此多半會自行接入公眾的寬帶網絡,例如ADSL增加帶寬。因此校園網絡組織架構由于包含教育網以及公眾網絡,但如果分別建置各自的路由器,還必須分別進行配發IP與種種管理設定,對于要管理各個系所或是學校宿舍的網管人員來說,可以說是非常繁瑣的工作。因此如果能采用多WAN口的路由器,即可將學術網絡以及一般網絡共同建置在一臺路由器上,通過策略路由的設定,讓教育網與一般網絡各種設定分流,達成化繁為簡的目的。
支持多條ADSL接入 取代帶寬升級
校園各系所與學生宿舍在學術網絡之外再接入的公眾網絡,都希望以最低的成本增加最大的帶寬,光纖固然是大家腦海中浮現的第一選擇,但礙于各系所與學生宿舍預算限制,往往不得其行,此時多WAN的路由器,可接入多條ADSL,借助匯聚帶寬的作用,讓各系所與學生宿舍能夠以較低的成本,享受大大的帶寬服務。
線路備援機制 穩定網絡質量
此外,根據許多學生反應,校園網絡仍常常存在網絡不穩、或是掉線等問題,而多WAN路由器由于可同時接入多條線路,加上自動備援線路設定,正好可解決此類的問題。配合線路偵測機制,可自由設定ISP斷線之后,原本走此線路的流量封包,必需在多久時間內自動切換其它線路,進一步實現網絡不斷線,保障了穩定的網絡質量。
智能帶寬管理 有效抑制大量占帶者
在接觸校園的案件中,我們最常聽見學生的抱怨,便是上網速度很慢的問題,對于有實時性需求(例如選課、注冊、交作業時)的確是一個很大的困擾。而當Qno俠諾技術工程師深入了解之后,發現經常因為某些學生正在下載BT、P2P或者其它視頻影音……,而導致大量占用了整體帶寬所導致卡網的問題,對于這樣的情況,增加再多的帶寬還是不夠用的!
要解決這個問題,就要進行帶寬管理。但由于網絡普及以及日趨繁雜應用,一般的帶寬管理QoS功能突顯了兩大弊病。第一是無法有效抑制大量占帶者:網管人員必須進行手動的一一查找,才可找出大量占帶者的IP,同時網絡都已經癱瘓好一陣子了。接下來花費好一番功夫給予警告或封鎖IP,而惡意占帶者仍可再換個IP繼續下載,網管人員又得一一重來,可以說是防不勝防。第二大弊病在于帶寬利用率很低的問題:一般QoS帶寬管理,必須一次配置好每個IP容許的最大帶寬使用量,但是網絡使用有高峰與低峰的時間,如果都采用同一個配置帶寬使用限制,會造成整體環境只有1人上網與有100人上網時,每個人可使用的帶寬都一樣,導致整體帶寬利用率很低的現象。當然,網管人員也可時時自行調整帶寬使用限制,但是對于網管人員來說,會是一個很大的沉重負擔。
因此,建議校園要進行有效的帶寬管理,可采用配備智能QoS帶寬管理的路由器,可同時解決惡意大量占帶者以及帶寬使用率不佳的兩大問題。由于智能QoS可自動將大量占帶者的IP自動列入黑名單列表進行觀察,針對持續占帶者再加以二次懲罰,將該IP可使用的帶寬減半等等,即可輕松有效的抑制惡意占帶者,保障正常使用者的帶寬,快速恢復正常網絡速度。另外在帶寬利用率上,智能QoS提供可自由設定哪一天哪一個時段,整體帶寬流量門坎達多少以上(例如現有帶寬使用達60%)才會開始執行帶寬控管,輕松實現高峰與低峰時間,享受不同大小的帶寬服務,達成彈性的帶寬管理,也成就了帶寬使用率最佳化的表現。
強大防火墻 確保內外網安全
校園網絡由于學生人數眾多,因此更要防止各種黑客、蠕蟲等惡意病毒的攻擊,以確保內網以及外網的安全。目前來說,最多的攻擊形式仍以ARP攻擊居多,因此建議校園選擇的路由器設備中,最好能夠擁有內建的防制ARP功能,借助自動檢視封包的機制,偵測過濾可疑的封包,做為防制ARP攻擊的第一道防線。當然如果網管人員可搭配IP /MAC雙向綁定,在路由器端以及各個系所或是宿舍內的PC端進行IP/MAC綁定,即可達到防堵ARP無漏洞的效果。另外一方面,由于網絡信息包羅萬象,有許多不當應用或網站例如BT下載、色情網站等等,對于校園學子風氣有不良的影響,應透過防火墻Access Rule存取規則或網頁內容管制設定,針對特定的網域或關鍵詞搜尋予以封鎖服務。
基礎VLAN隔離 有效縮小病毒擴散范圍
雖然強效防火墻,可防止一般的攻擊,但目前許多病毒與攻擊層出不窮,校園網絡又如此龐大,因此萬一不幸中毒,也希望可以盡量縮小感染的范圍,不致擴散到整體網絡。因此,各個系所以及學生宿舍都必須建置基礎的VLAN隔離,才不會導致某一層宿舍里某個學員中毒,造成整個學生宿舍網絡全面感染中毒的狀況。
VLAN的概念是讓網管依據不同網段,劃分出不同的局域網,比如宿舍區可區分為一樓、二樓、三樓等不同VLAN,再使用VLAN功能將一樓、二樓、三樓不同局域網區分為VLAN1、VLAN2、VLAN3…作為隔離。如此一來不同VLAN的局域網便不能互相訪問,便可限制病毒與無用信息流通。也就是說,當一個VLAN中(例如:一樓)有人不幸中毒,只會影響同一個VLAN(一樓)內的VLAN,不會擴散到整個學生宿舍,可有效避免廣播及病毒封包迅速擴散全網,大大降低感染區域。
目前,校園網絡建設已從高校逐漸擴展到中、小學校,預計不久后各中小學在圖書館中將全面接入校園網絡,因此有更多的學校將面臨校園網絡與公眾網絡如何分流控管的問題。俠諾科技深圳技術中心主任文浩堅建議這些校園在建置網絡同時,若能將多WAN、智能帶寬管理、防火墻、基礎VLAN等四個功能結合在同一臺路由器上,同步進行各項控管,才能真正實現化繁為簡的強大功能,進一步幫助校園輕松建立全面、安全、快速、穩定的網絡系統!
(新聞稿 2008-04-07)