科研機構網絡使用調研與升級方案設計

金 濤，莊會富，邱金水，王 朋

（中國科學院昆明植物研究所科技信息中心，云南 昆明 650201）

0 引言

早在1985年,日本組織實施了“信息化社會進程中教育發展方向”專題調查[1]。2014年，加拿大工業部推出旨在幫助加拿大人盡享數字化時代機遇的“數字加拿大150計劃”[2]。2015年，新加坡發布iN2015——智慧國2015計劃[3]?？梢?，信息化網絡對整個社會的發展意義重大，網絡為人類提供了網絡帶寬、科學計算、大規模數據存儲、生活購物等各類應用。然而，網絡環境的穩定運行需要不斷更新和升級配套。另一方面，隨著科研大數據、云計算等信息化手段在科研活動中的普及，科研對基礎網絡環境的要求越來越高。中國科學院昆明植物研究所當前使用的科研網絡是在2016年建設的，網絡設備性能下降明顯，故障率逐漸增加。整個科研辦工區還存在較多無線覆蓋盲點，上網認證體驗較差，網絡總體功能無法滿足當前研究所科技創新發展的需求。因此，需要對科研網絡進行升級改造。為了收集關于科研網絡使用情況和用戶需求數據，全面、準確地了解用戶對現有科研網絡設施的使用體驗、痛點、瓶頸以及期望改進的方面，精心設計了此次網絡使用調研。

1 研究所科研網絡設施現狀

1.1 科研網支撐服務功能

昆明植物研究所擁有2個國家平臺，即植物化學與西部植物資源持續利用國家重點實驗室和中國西南野生生物種質資源庫國家大科學裝置。研究所承擔著國家種質創新和新藥創制兩大任務。除此之外，研究所還建立了昆明超算分中心、大型儀器公共技術服務中心和技術轉移轉化中心等科技平臺，并在麗江站、紅河站、高黎貢山站、迪慶站和屏邊站設立了5個野外科學臺站?？蒲芯W絡同時支撐核心科研數據的運行，支撐了先導專項、化合物庫、青藏科考、種質資源平臺、Kingdonia標本庫、COP15、院學科數據中心、iFlora、國際山茶庫等一系列國家級、院級、省級重大任務的建設。因此，研究所對快速、穩定的網絡環境有著迫切的需求。

1.2 科研網基礎設施現狀

園區建有3個專用網絡：辦公區科研網、住宅區生活網和ARP系統專網。各樓單獨設置了一個VLAN虛擬網段，共計42個網段。目前，園區科研網的基礎設施是基于2016年完成的“園區智能化及節能升級改造項目”?？蒲杏脩艨梢韵硎躀Pv4/IPv6雙棧網絡服務，并且在辦公區的主要區域有公共WIFI覆蓋。目前，科研所內的實時在線用戶數約為1 900個，郵箱數為2 346個，服務器數量超過130臺。

1.3 網絡機房配套情況

中心機房核心出口設備位于科技信息中心大樓。植化國家重點實驗室、種質資源庫和技術轉移中心樓各設有3個匯聚分中心機房，園區配套有37間樓宇弱電機房。此外，昆明植物研究所還設有兩個院級分中心節點，即中國科學院西南超算分中心和中國科學院存儲分中心。同時，研究所還設有中國科學院昆明植物研究所科學數據中心，并相應配置了機房。

1.4 網絡出口帶寬

科技網采用的是一條600M的出口帶寬線路，而內部帶寬則是2.5Gbps/10Gbps的環狀骨干網絡。針對帶寬流量，我們實施了帶寬優化策略，主要針對占用帶寬較多的p2p、視頻和web多媒體資源進行優化，以優先滿足科研辦公需求。

2 調查方法

本次調研采用問卷調查、訪談和實地觀察體驗相結合的方法，歷時1個月。我們收集了用戶網絡使用基本情況，通過問卷調查了解各房間有線網絡端口的數量和質量情況，進行了實地測試網絡流量、訪問速度和無線網覆蓋情況。同時，通過訪談了解了不同部門/專題組代表的網絡使用需求和問題，并通過實地觀察體驗辦公室、實驗室和辦公區無線覆蓋區域，以了解網絡覆蓋情況和設備配置等。

3 調查內容設計和分析

本次調研，我們精心設計了中國科學院昆明植物研究所網絡使用調研表，包括序號、樓名/編號、房間號、負責人、網絡用戶數量、使用網絡類型、主要網絡應用（辦公/計算/會議室）、網口數量/可用數量、房間上網設備數量、無線覆蓋情況（公共KIBWIFI/自己部署）、公共KIBWIFI可用性（優/一般/差）、公共KIBWIFI問題（信號/速度/）、網速體驗（優/一般/慢）、需求/建議/意見，以最大限度將調研做到詳細、具體。如圖1所示。

圖1 中國科學院昆明植物研究所網絡使用調研表（樣表）

3.1 調查區域

本次調查涵蓋了華立樓、植化七棟、種質庫、分類室、行政樓、南樓、北樓、植物園、技術轉移中心和分析測試中心二樓共10棟樓宇，共計309間辦公室/實驗室。

3.2 網絡覆蓋

1）使用情況：調研結果顯示，共有309間房間，總計上網人數為1 209人，上網設備數量為1 582個，有線網絡端口數量為586個。其中，93.8%的房間用途為辦公，5.4%的房間用途為會議室，0.72%的房間用途為計算機房。

在無線覆蓋方面，50.7%的房間僅覆蓋公共KIBWIFI無線網絡，3.6%的房間沒有公共KIBWIFI，僅使用自己部署的無線網絡，45.6%的房間同時覆蓋了公共KIBWIFI和自己部署的無線網絡。

就公共KIBWIFI的可用性而言，80.4%的用戶認為其表現優秀，14.7%的用戶認為一般，4.9%的用戶認為可用性差。

2）調研分析。用戶對園區網絡覆蓋總體反應良好，但有部分實驗室缺少網絡覆蓋。具體來說，3H公寓、所史館（部分房間）、住宅區AB棟（部分房間）沒有網絡端口；種質庫五樓、所史館和西南實驗室沒有KIBWIFI無線信號覆蓋；部分樓層辦公區域的KIBWIFI無線信號相對較弱；植物園、所史館、西南實驗室二樓和新組建的辦公室只有一個有線端口。

3.3 網絡體驗

1）使用情況：據調查顯示，73%的用戶認為網絡速度優秀，能夠滿足正?？蒲猩暇W需求。20.7%的用戶認為網絡速度在高峰時段存在一定擁堵，表現一般。經管理員查看網絡流量圖，高峰時段具體時間范圍為9:30-16:30,如圖2所示。另外，5.9%的用戶表示網絡速度較慢。經過調查人員的現場測試，訪問北京測試站點的延遲平均為58ms，下載速度介于400K到1.2M之間。有線網絡的丟包率很低，而無線網絡由于受多種因素影響，丟包率情況各不相同。

圖2 研究所出口接口吞吐率拆線圖（一周流量）

2）調研分析。大部分用戶對園區網絡使用體驗較好，但少部分用戶反應網速慢。其中，主要原因包括多人共用無線路由器以及研究所網絡出口帶寬飽和和骨干設備性能低下。此外，在會議室和人員密集區域內未部署高密度AP，導致該區域的網絡體驗較差。

高峰時段主要發生在上班時間，此時上網人數較多，且研究所出口網絡帶寬為科技網600M。由于網絡飽和度達到100%，導致網絡擁堵。

種質庫和分類室中的超算用戶反映向研究所外或研究所內的超算集群傳輸速度較慢。其中，研究所外傳輸速度較慢主要受到研究所出口帶寬飽和的限制，而研究所內傳輸速度較慢則主要原因是樓宇間接入交換機老化和辦公室內使用的網絡為百兆線纜。

3.4 網絡應用

1）使用情況：用戶需求反應較為多樣化，其中反映較多的問題包括上網portal認證掉線、個別網站打不開、郵件客戶端雙因素配置以及缺乏常用辦公軟件等。

2）調研分析。經與用戶交流和實地測試發現，大多數用戶掉線是因為服務器端設置了8小時的主動下線，而設定此時限是由于認證核心交換機性能容量不足。部分用戶掉線是因為多人共同使用一個路由器進行Portal認證導致的。還有少數用戶掉線是由于Portal認證與瀏覽器不兼容導致的。

3.5 網絡安全

1）使用情況：網絡安全措施不健全，未設置開機密碼，用戶賬號使用弱密碼，操作系統和應用軟件漏洞未及時更新，未定期查殺電腦病毒，缺乏網絡安全意識和培訓，實驗室自建的網絡設備未及時更新和配置。

2）調研分析：網絡安全措施需加強，包括設置開機密碼和使用強密碼保護用戶賬號，及時更新操作系統和應用軟件漏洞，定期進行電腦病毒查殺，提升網絡安全意識并提供培訓，及時更新和配置實驗室自建的網絡設備。

4 研究所科研網升級方案設計

通過現場問卷調查、訪談和實地觀察體驗，我們收集了詳細的科研網絡使用情況數據，設計了深入的、符合研究所實際情況的科研網絡升級改造方案。

4.1 優化網絡結構，包括將骨干網絡升級至萬兆，將接入網絡升級至千兆，升級核心網絡設備，提升出口帶寬容量，以滿足現代科研對高速網絡的需求

對于主干網絡核心設備，例如路由器、防火墻、核心交換機和匯聚交換機，將升級為萬兆并實現雙回路運行。接入交換機將升級為千兆。在核心層，將使用千兆超6類線取代5類百兆線來連接網絡中心與各個實驗室，以確保網絡的穩定運行。同時，淘汰運行7年以上的網絡設施，更換住宅區老舊接入設備。還需將科研網絡出口帶寬從600M擴容至2GB，以滿足未來5年科技創新對網絡帶寬擴張的需求。

在網絡管理方面，清晰理解整個網絡的結構，標明各個設備的位置和連接方式。選擇Zabbix、SolarWinds、Cacti等網絡管理軟件，自動發現并監控網絡設備，查看設備的在線/離線狀態、CPU和內存利用率、帶寬使用率等重要參數，并提供圖形化界面以進行管理和故障排除。最后，利用網絡管理軟件提供的報告和分析功能，收集和分析網絡設備的數據，幫助管理員了解網絡的使用模式、瓶頸以及未來需求，從而進行更有效的規劃和決策[4]。

4.2 提升桌面網絡覆蓋范圍，以滿足用戶可靠且穩定的上網需求

一方面，提升桌面網絡端口的覆蓋范圍，提供更廣泛的網絡連接和更好的網絡服務。目前，我所職工和學生每天需要連接到網絡的終端數量約為1 600-2 000個（包括服務器），相比五年前已翻倍。未來五年研究所預計上網人數約為1 500人，實時上網設備數量為2 000-3 000個（每人2-3個設備）。為此，我們計劃在機房內增加接入層交換機，用戶桌面端重新布置網絡線纜或光纖，從而擴展端口的覆蓋范圍。此外，住宅區每個套間目前僅有1個網口，在多人同時使用時不便且網速較慢，因此我們計劃改造為每個房間配備1個有線網口。

另一方面，建設一套安全、高效的無線網絡平臺是科研網改造的重要工作。智能手機、平板電腦等移動設備連接無線網絡處理事務的需求在增加，會議室、報告廳、體育場館等高用戶密度環境中需要能夠同時支持大量用戶連接并保持穩定的網絡速度和質量的無線網絡[5]。無線網絡能提供更靈活的研究環境，使研究人員能夠隨時隨地使用各種設備進行實驗、數據采集、數據分析、實時監控和控制實驗結果等工作[6][7]。因此，我們計劃將原先的240個無線AP信號發射點升級為500個，以滿足2 000個無線終端的接入需求。

保障所有終端設備順利接入科研網，并高效訪問網絡資源，是本次網絡升級改造的核心需求。我們需要在性能和安全使用上同時保證，有效防范各類局域網內攻擊和非法入網現象的發生，增強網絡的健壯性和容災能力[8]。

4.3 認證控制升級改造

中華人民共和國《網絡安全法》第二十四條規定，互聯網服務提供者應當采取措施，要求用戶提供真實、有效的身份信息進行實名認證[9]。目前，我所用戶入網是基于portal標準的WEB認證，但這種方式存在不穩定、部分設備不支持等諸多問題。因此，我們計劃增加穩定、方便、易操作的802.1X標準、MAC白名單、微信、手機短信等認證方式[10][11]?？紤]改進登錄界面的設計和用戶交互，使其更加簡潔、直觀、友好，減少認證流程的煩瑣性，提高用戶體驗[12]。同時，我們還計劃安裝日志審計軟件，實現網絡安全事件的溯源。

除了一般用戶，在網絡改造中還需考慮一些特殊設備的入網需求。目前，科研網內也存在一些特殊設備，這些設備無須進行認證就可以直接接入科研網絡。這些設備分布在園區各樓宇中，如溫室監測數據回傳的控制器、種質庫監控種子管理的機器人、連網的科研實驗儀器、監控使用的硬盤錄像機設備、餐廳刷卡機、實驗室計算用電腦終端等。本次網絡升級改造中，還需要考慮這些特殊設備的入網需求，并對這些設備做安全防護保障。

4.4 科研網絡整體安全升級改造

網絡安全已成為目前網絡運行維護工作的最重要任務。首先，在科研服務器方面，特別是各專題組的服務器，需要進行統一管理、規劃和部署。服務器中的數據是攻擊者最感興趣的目標，一旦科研數據被獲取、篡改或丟失，將帶來災難性后果。因此，需要部署高性能防火墻、基于內容特征的入侵防御系統、控制遠程訪問的堡壘機、面向終端用戶的安全態勢感知設備，以提高服務器區域和用戶客戶端的安全防護能力[13]。

其次，在網絡設備的安全防護方面，需要考慮防范網絡病毒、木馬、ARP攻擊以及屏蔽非法DHCP設備等威脅。還需要建立日志系統和上網行為審計系統，將各類日志進行匯總存儲和分析，為用戶提供實名入網日志、NAT日志等，并記錄用戶入網行為軌跡等重要功能[14][15]。

4.5 實現野外臺站基礎科研網絡設施覆蓋

研究所已經建設了5個野外臺站，其中麗江站已納入國家站體系。由于僅使用家庭帶寬網絡無法滿足科研數據的大量傳輸需求，一旦臺站計算機出現故障，將導致重要的科研數據丟失?？紤]到野外臺站的地理位置等特殊性，除了要建設有線網絡，也應考慮覆蓋無線網絡。由于野外科研臺站設置在較偏僻的地方，環境較為復雜，鋪設無線網絡能夠更好地節約成本[16]。加強對這5個野外臺站的網絡建設，將提升科研數據傳輸鏈路的安全性，實現與本部互聯互通，以便進行研究數據的回傳和異地災備。

5 結論

通過對園區網絡進行現場調研，我們對研究所的網絡基礎設施和網絡使用情況有了更深入、詳細的了解發現了存在的問題，并提出了相應的改進建議。希望通過這些改進措施，為后續優化“研究所科研網絡基礎設施建設升級方案”提供重要參考，進一步提升網絡的使用效果，為科研人員提供更好的信息服務，同時為行業內組織調研提供參考和借鑒。