對校園網(wǎng)網(wǎng)絡規(guī)劃與設(shè)計方案的介紹

梁志強

摘要: 本文作者對我校校園網(wǎng)的網(wǎng)絡規(guī)劃與設(shè)計的方案進行了介紹。

關(guān)鍵詞: 校園網(wǎng)網(wǎng)絡規(guī)劃設(shè)計網(wǎng)絡安全管理需求設(shè)計特點

一、 校園地理環(huán)境

我校分為南北兩個校區(qū),南區(qū)為教學區(qū),包括:三棟教學樓、一棟圖書館、一棟教師辦公樓、一棟教工宿舍、兩棟學生宿舍;北區(qū)為實訓中心,與南區(qū)相隔一條街道,包括:南北兩棟實訓樓。

二、校園網(wǎng)功能需求

學校是以現(xiàn)代化手段培養(yǎng)人才的地方。為了更好地使計算機及其網(wǎng)絡在輔助教學、教學管理等方面發(fā)揮作用,我校計劃在校內(nèi)建立校園網(wǎng),并與國際互聯(lián)網(wǎng)相連。

校園網(wǎng)的信息點應該普及兩個校園區(qū)所有教學樓的教室,實訓中心的電腦室、實訓室,教師辦公樓,圖書館,宿舍樓等,同時教室辦公樓應該提供無線網(wǎng)絡接入。校園內(nèi)每個信息點的電腦都可以相互訪問,實現(xiàn)廣泛的軟件、硬件資源共享;同時每個信息點的電腦都能接入互聯(lián)網(wǎng),提供基本的Internet網(wǎng)絡服務功能,如電子郵件、對外個人主頁服務、ftp服務、域名服務等。

三、校園網(wǎng)網(wǎng)絡規(guī)劃設(shè)計

1.綜合布線結(jié)構(gòu)

根據(jù)學校的地理位置,各棟建筑物到網(wǎng)絡中心的距離,以及數(shù)據(jù)的流量,采取光纖+超五類綜合布線系統(tǒng)。

(1)主干網(wǎng)。網(wǎng)絡中心在圖書館四樓,對于南區(qū)教學區(qū),因為每棟樓到網(wǎng)絡中心都在400米左右,所以每棟樓的交換機都用12芯的室外多模光纜與網(wǎng)絡中心的核心交換機連接;而北區(qū)實訓中心因為離網(wǎng)絡中心太遠,南北樓的交換機用12芯的室外單模光纜與網(wǎng)絡中心的核心交換機連接。主干網(wǎng)是由光纖構(gòu)成的1000M網(wǎng)。

(2)樓內(nèi)網(wǎng)。每棟樓的交換機都放在四樓中間的一間房間里,各個信息點到交換機的距離都在100米內(nèi),樓內(nèi)的布線用超五類線,為每間教室、實訓室、辦公室等提供兩個信息點。樓里面則構(gòu)成10—100M的網(wǎng)絡。

2.設(shè)備選型

網(wǎng)絡設(shè)備必須在技術(shù)上具有先進性、通用性,必須便于管理、維護。網(wǎng)絡設(shè)備應該滿足學?，F(xiàn)有計算機設(shè)備的高速接入,應該具備未來良好的可擴展性、可升級性,保護學校的投資。網(wǎng)絡設(shè)備必須在滿足功能與性能的基礎(chǔ)上價格最優(yōu)。網(wǎng)絡設(shè)備應該選擇擁有足夠?qū)嵙褪袌龇蓊~的廠商的主流產(chǎn)品,同時設(shè)備廠商必須有良好的市場形象與售后技術(shù)支持。

根據(jù)多方面的考慮,我們確定選用華為三康的設(shè)備,路由器用MSR30-40,防火墻用F-1000A,核心交換機用S-7506,各棟樓的接入交換機用E-126A。這些設(shè)備完全滿足校園各種功能需要,同時也滿足未來擴展的需要。

3.Internet接入

根據(jù)對全?？偝隹诹髁康墓浪?為確保內(nèi)部網(wǎng)站和外部網(wǎng)站的連接暢通,我們用電信20M帶寬的光纖專線接入,有一個Internet固定的IP地址,所有計算機都通過NAT(網(wǎng)絡地址轉(zhuǎn)換)進入Internet。

4.VLAN規(guī)劃

VLAN為虛擬局域網(wǎng),它有如下優(yōu)勢:抑制網(wǎng)絡上的廣播風暴;增加網(wǎng)絡的安全性;集中化的管理控制?；谶@些優(yōu)點,我們按照各棟樓的不同情況對交換機進行VLAN劃分,具體是:VLAN1—設(shè)備管理、VLAN10—圖書館、VLAN11—教師辦公樓、VLAN12—實訓中心南、VLAN13—實訓中心北、VLAN14—4號教學樓、VLAN15—5號教學樓、VLAN16—1號教學樓、VLAN17—教工宿舍。

5.路由規(guī)劃

核心三層交換機S-7506實現(xiàn)VLAN之間的相互訪問。對于三層交換機來講,所有VLAN(網(wǎng)段)都是直連的,因此只需要啟動路由,而不需要設(shè)置額外的靜態(tài)或動態(tài)路由條目。我們在S-7506中創(chuàng)建VLAN 10至VLAN 17,并把與接入層交換機光纖連接的光纖端口添加到對應的VLAN中,同時給VLAN端口添加對應的網(wǎng)關(guān)IP作為虛擬端口的IP地址,實現(xiàn)整個校園網(wǎng)不同網(wǎng)段之間的相互訪問。

6.無線接入

充分利用計算機輔助教學及利用網(wǎng)絡軟硬件的資源共享,是校園網(wǎng)為教學服務的一大特點,我校教師每人配備了一臺手提電腦,手提電腦接入校園網(wǎng),采取無線接入的方式。

構(gòu)建“無線漫游”接入?yún)^(qū),在辦公樓放置三個TP-LINK841無線路由器,SSID都是BanGong,頻道則分別為1、6、11三個互不干預的頻道,不加密碼是開放式,開啟DHCP,地址池IP為192.168.1.50/24—192.168.1.200/24,這樣教師可以很方便地接入到校園網(wǎng)。

7.開放計算機機房

學校內(nèi)有大量的各種各樣的開放式機房,是學生學習計算機的場所,通常這些計算機連成一個局域網(wǎng),除具備一般的互訪外,通常還要求這些計算機能夠訪問到Internet。為滿足教學要求,我們作了如下規(guī)劃:(1)IP地址用私有C類192.168.0.0/24。(2)實現(xiàn)Internet訪問,實際上是一個局域網(wǎng)PC如何共享上網(wǎng)的問題。在每一個機房部署一個信息點,相當于Internet出口,用服務器代理的方式通過信息點接入校園網(wǎng),從而實現(xiàn)訪問Internet。

8.對外發(fā)布站點

對于一些外部站點的問題,通常放置在DMZ區(qū)內(nèi),DMZ區(qū)的安全等級高于外網(wǎng),低于內(nèi)網(wǎng),防火墻的默認規(guī)則是允許安全等級高的訪問安全等級低的,禁止安全等級低的訪問安全等級高的。因此,防火墻不需要設(shè)置規(guī)則就可以實現(xiàn)內(nèi)網(wǎng)訪問到DMZ區(qū),但外網(wǎng)不能訪問到DMZ區(qū)。對于學校來講,WWW站點的主要目的就是對外發(fā)布信息,必須讓外網(wǎng)能夠訪問到,為了到達這個目的,可以在防火墻上添加一些規(guī)則,開放DMZ區(qū)所在服務器的IP,以及相應的端口。在DMZ區(qū)放置學校的服務器:郵件服務器、WWW服務器、數(shù)據(jù)服務器、文件服務器。

四、網(wǎng)絡安全及管理需求

校園網(wǎng)是巨大的資源中心,存放著各方面的信息資源,涉及學校的方方面面,同時,校園網(wǎng)又是一個開放的系統(tǒng),有不同的人員在校內(nèi)或校外訪問它,因此,校園網(wǎng)的建立不僅是網(wǎng)絡硬件和應用的建立,還應該特別重視校園網(wǎng)的安全問題。網(wǎng)絡安全是一個體系結(jié)構(gòu),涉及整個辦公環(huán)境的各個方面,包括人員和設(shè)備,信息的駐留點,以及沿途經(jīng)過的各個中間環(huán)節(jié),從物理層到應用層都要小心對待。

1.設(shè)備級安全

包括網(wǎng)絡中所有可管理的網(wǎng)絡設(shè)備、服務器和網(wǎng)管工作站的安全。設(shè)備級安全是網(wǎng)絡的第一道屏障,嚴格限制能夠遠程管理(包括Telnet方式和Web方式)網(wǎng)絡設(shè)備的IP地址列表,必要時關(guān)閉部分或全部遠程管理功能;對于核心網(wǎng)絡設(shè)備,如骨干交換機和路由器,建議不設(shè)遠程管理IP地址。

2.傳輸級安全

指敏感數(shù)據(jù)在傳輸線路中防止中途竊取或修改的安全性。解決辦法包括室外線路盡可能采用無輻射抗干擾的光纖作為傳輸介質(zhì),室內(nèi)明線使用屏蔽雙絞線,中心機房加裝屏蔽網(wǎng),對遠程傳輸?shù)男畔⑦M行加密等。

3.網(wǎng)絡層安全

是網(wǎng)絡安全設(shè)計中的重要一環(huán)。網(wǎng)絡層攻擊是黑客最常用的攻擊方式,如外部入侵。對付這種攻擊方式最典型的解決方案是使用軟件或硬件防火墻進行內(nèi)外隔離,同時內(nèi)網(wǎng)采用保留IP地址,訪問外網(wǎng)時進行NAT轉(zhuǎn)換(網(wǎng)絡地址轉(zhuǎn)換)。除了防止外部入侵外,也要注意防止內(nèi)部的越權(quán)訪問和故意破壞,一般在VLAN之間進行訪問控制。

4.應用級安全

包括防病毒和認證體系。近年來病毒多如牛毛,如:熊貓燒香、ARP地址欺騙等。對于病毒問題,有效的解決方法是安裝網(wǎng)絡防病毒軟件,修補系統(tǒng)漏洞。同時也要防范因內(nèi)部人員不經(jīng)意或故意“環(huán)路”,形成的“網(wǎng)絡震蕩”,解決辦法是設(shè)置交換機STP協(xié)議(生成樹協(xié)議)。

校園網(wǎng)是一個比較大型的網(wǎng)絡,為了保證校園網(wǎng)更加有效、可靠地運行,我們配置了一臺網(wǎng)絡管理工作站,以便更有效地對校園網(wǎng)進行管理。根據(jù)網(wǎng)絡設(shè)備選型,我們選擇華為三康管理軟件,同時用第三方管理軟件一起管理網(wǎng)絡,主要是solarwinds-toolset工具箱V9.2、超級PING、Sniffer Portable 4.8這三個軟件。

五、方案規(guī)劃設(shè)計特點

該校園網(wǎng)方案采用成熟的先進的技術(shù),采用國際統(tǒng)一標準有廣泛的支持廠商;所有設(shè)備都用華為三康一線產(chǎn)品。Internet帶寬合理,確保網(wǎng)絡不出現(xiàn)“塞車”現(xiàn)象;設(shè)置三層核心交換機,將整個網(wǎng)絡劃分為多個VLAN,從而使網(wǎng)絡更加安全;同時本方案充分考慮了網(wǎng)絡未來的升級與發(fā)展,把網(wǎng)絡主干網(wǎng)構(gòu)成了信息高速網(wǎng),對未來的發(fā)展非常有利。

參考文獻:

[1]王達.網(wǎng)管員必讀系列叢書(第二版).電子工業(yè)出版社.