惠震
摘要 本文以西安工程大学宿舍网络为例,结合笔者的工作经验,同时借鉴兄弟院校的成熟案例,从教师管理和学生使用的双重角度重新规划该校宿舍的网络管理方案,提出DHCP的宿舍上网模式,旨在提高学生用网的用户体验度,减少运维老师处理故障的业务量,最终提升校园网络在高校教育过程中的重要作用。
关键词 宿舍网络 IP地址 DHCP 服务
0引言
随着网络技术应用的快速发展,高校师生对校园信息化的需求日益增强。信息化是当今世界发展的大趋势,是推动经济社会变革的重要力量。息技术对教育发展具有革命性影响。全球发达国家高度重视数字化建设、信息技术进步对于教育事业的影响作用,我国政府也将教育信息化的工作摆在前列,强调大力普及信息技术教育,以信息化带动教育现代化。当前校园基础网络的建设难以满足广大师生对网络的需求,而作为大部分学生主要生活环境的宿舍网络也是各高校不可避免的重点环节之一。基于此,高校宿舍网络的规划完善与质量提升有着重大的意义。笔者以西安工程大学宿舍网络现有的环境为基础,基于教师管理和学生使用过程中出现的问题进行重新规划与设计,以期提升学生用网的体验度。
1西安工程大学宿舍网络现状与问题
西安工程大学校园网络先后借助2002年国家“西部大学校园计算机网络工程”和2012年结合西部高水平大学建设工程,组织实施了50多项建设工程,实现了覆盖金花、临潼两校区服务于两万多师生员工的共计12000个网络信息点,敷设光缆80余千米,其中金花临潼两校区实现了万兆光纤直连。该校学生宿舍网络有6000多信息点,占用了较大的网络资源并且难于管理,信息点故障率较高,给该校网络运维工作带来巨大的压力。
1.1宿舍网络现状
该校的基础网络建设采用以太网的组网模式,使用传统的“核心层-汇聚成-接入层”三层模式建设校园网络,保证校园网络主体网络框架的稳定。宿舍网络主要在校园网络的汇聚层和接入层,采用传统的以太网技术,基于Vlan划分的思路既提高了局域网的稳定性和安全性。宿舍网络采用基于portal的客户端认证方式,学生需要申请网络账号和IP地址才能正常使用校园网络。在电脑端配置IP地址、子网掩码、默认网关、首选DNS和备用DNS信息,通过客户端认证就能正常使用校园网络。
1.2存在问题
经过笔者近些年的工作经验发现西安工程大学宿舍网络使用存在诸多问题,包括网络运营商破坏宿舍网络秩序、管理规范不完善等,导致学生注册量不高,有如下几方面问题。
(1)学生的“零认知”使用习惯。对于现代高校的大的学生,由于素质教育的弊端以及专业的绝对划分,大部分学生对于网络的认识几乎为零,他们仅仅会使用网络,对于任何配置上面的问题和处理都要借助于他人,这样子使得更多的使用盲区问题体现出来,包括IP地址、子网掩码、网关、DNS以及路由器的配置等。(2)单一信息点的使用问题。宿舍网络的信息点分布密集,宿舍网络用户的流动性大,比较难以控制与管理,对各上网信息点的可管性与可控性的要求是必需的,所以必须落实基于用户的接入认证、授权和计费等控制手段。这样子,就需要每名学生各自注册自己的网络账号,而同一账号只允许单一网络终端使用,同时每个宿舍只有一个信息点,导致学生无法使用移动终端上网。(3)运营商介入。随着计算机网络和移动通信技术的发展,越来越多的网络运营商和服务提供商投入到通信市场的竞争中,高校宿舍网络建设是他们争夺的市场。针对西安工程大学来说,在完全自主运维的前提下,由于师资力量投入的相对薄弱,疏于对宿舍网络的规范管理。另一方面,校方对运营商没有有效的约束手段,其完善的网络服务体系赢得较多的学生使用。(4)教师疏于指导。现如今高校网络中心的职责已经转到数字化校园建设的高度,对于学生宿舍网络的使用问题进一步淡化,这是目前高校宿舍網络管理的普遍现象。而且年年都有批量调寝的情况,用户的IP地址也要随之变更,网络维护难度增大。
2基于DHCP的宿舍网络规划
该校采用静态IP地址的上网模式是最传统也是最方便安全的,然而学生在注册的时候,通常会问什么是IP地址、IP地址如何配置等。对此,网络中心也试图用文字的方式进行提示和帮助,但始终没达到预期的效果。笔者通过相关文献调研和电话考察兄弟院校的宿舍网络使用现状,多数采用DHCP的上网模式,认为动态获取IP地址方式是目前较为容易接受的上网使用方式,既解决了学生使用盲区的问题,同样解决了大量的电话故障受理的问题,具体规划方案的步骤如下:(1)该校学生宿舍网络IP地址配置在汇聚层交换机上面,接入交换机只是对应了该接口的VLan。在最大限度保留原有配置的基础上用最简单的方式进行升级规划,就要在汇聚层交换机上面添加DHCP地址池,对原有发布的VLan地址一一对应,保证用户端能够获取到对应VLan的IP地址。(2)既然改造目的是用户端自动获取IP地址,那么在认证系统的后台管理中,原有的固定IP地址与账号问的对应关系应当取消。然后,需要对学生进行一定的管控,只允许单一账号在限定的物理区域内上网,实际上是对用户组进行IP地址段限定。(3)在认证计费系统中应当指定新的策略规则,增加同一账号通过客户端认证方式上网的同时在线用户数。因为原有的宿舍网络不允许单一账号同时多人使用,否则无法对学生用网情况进行合理的管控与预防。为此,根据现有学生使用网络的情况,应当设置为允许同时在线数为“2”,保证电脑和移动端同时使用。
3规划测试与完善
在新方案大规模实施前,毕竟学生在无时无刻的使用校园网络,还是应当在能够接受的小范围内进行测试,故笔者将该校9号宿舍楼作为测试对象。根据该校宿舍楼汇聚层交换机的WEan配置可以清楚地看出来,VLanl为互联WEan,即与核心层交换机直连,而每一层楼分别为一个用户VLan,使用A类的私有地址。现需要在该汇聚交换机上面启用DHCP服务功能,需要在全局模式下配置如下:
[H3CS5800-9]dhcp enable
然后在添加对应的DHCP地址池,为了便于管理,对每一个地址池命名与原有用户VLan一致,具体配置如下:
[H3CS5800-9]dhcp serverip-pool vlan119
[H3CS5800-9-dhcp-pool-vlan119]network10.19.11.0 mask255.255.255.0
[H3CS5800-9-dhcp-pool-vlan119]gateway-list 10.19.11.254
[H3CS5800-9-dhcp-pool-vlan119]dns-list 218.30.19.40202.200.200.1
将该汇聚交换机中发布的所有用户Vlan都创建一一对应的DHCP地址池,该测试操作全部完成。仅仅是简单的几部操作,可以使用户无感知的使用网络。但是在为期一个月的测试阶段还是出现了问题,有时会出现“一层楼的宿舍同时不能上网”,笔者开始根据该情况做如下分析:(1)如果刚开始网络正常使用,而是后期出现问题,那证明交换机的配置使正确的,用户端已经能够获取到IP地址;(2)整层楼同时不能上网,而他们是在一个VLan中,就是说同一VLan出现了问题;(3)在配置没有错的前提下,应该是当初考虑配置的时候还不够全面。
基于此的分析,笔者和该校网络中心老师到宿舍实地考察情况,结果发现有学生在使用路由器的时候,把入户线连接到路由器的LAN接口上。而交换机的物理端口具有一定的学习能力,能够读取到用户路由器中发布的私有IP地址,导致该学生的路由器发布的c类私有地址通过接入交换机发布到该VLan中,使得同一VLan中的其他宿舍用户所对应的端口在认证时获取到的实际上是该路由器发布的地址,继而导致该现象的出现。
实际上,DHCP协议简单,没有任何认证机制,如果有人在这个网段上配置或假冒一台DHCP服务器,就会错误配置客户机,导致用户无法使用网络资源,而如果网关地址被配置到DHCP客户机时,会影响到整个网段的用户可能在一段时间内都无法上网。针对该网络现象,应在每个接入层交换机中开启DHCP snooping服务,该服务时用于监听DHCP服务功能的工。在开启该服务后,交换机默认对所有接口为untrust状态,即为不信任状态,防止任何接口接受发布的IP地址。那么,在配置中就必须在级联端口及Trunk口中配置为trust状态,才能实现该设备只允许自上而下的获取IP地址,具体配置如下:
[H3CE528-9-1]dhep enable
[H3CE528-9-1]dhep snooping enable
[H3CE528-9-1]interface GigabitEthemetI/0/24
[H3CE528-9-1-GigabitEthernetI/0/24]dhcp snooping trusted
针对所有的接入层交换机都需要进行该配置才能保证整个网络的正常运行。在接下来的测试过程中按照预期的规划运行,并未再出现其他网络问题,可以大规模实施。
4結束语
经过为期一个月的测试实验,证明该方案确实可行并能够缓解目前网络运维的工作压力,最终在该校园宿舍网络中大规模使用。整个校园宿舍网络全部调整为自动获取IP地址的上网模式,并且可以供学生多终端使用,解决了手机上网的问题,在学生范围内取得了较好的反响。在信息化高速发展的现代社会,作为校园网络的管理者要保持与时俱进的态度,还要实时走在校园信息化发展的前列,不仅能够提高高校的整体工作效率,而且能够减少自身的工作压力,提升全校师生的网络使用体验度,减少网络故障业务量。
