典型校園網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)

摘 要 通過對(duì)校園網(wǎng)發(fā)展趨勢(shì)分析基礎(chǔ)上，提出了典型校園網(wǎng)的的設(shè)計(jì)原則和設(shè)計(jì)思路，對(duì)校園網(wǎng)的配置步驟做了詳細(xì)的說明。

關(guān)鍵詞 校園網(wǎng)；需求分析；方案設(shè)計(jì)

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2014）24-0033-02

校園網(wǎng)作為學(xué)校的一項(xiàng)基礎(chǔ)設(shè)施，對(duì)于改革教育教學(xué)模式，提高辦公效率，培養(yǎng)合格的技術(shù)人才具有非常重要的作用。校園網(wǎng)是一種融合了計(jì)算機(jī)通信技術(shù)、網(wǎng)絡(luò)互連技術(shù)，以資源共享和信息交流為核心，為學(xué)校師生提供全方位服務(wù)的計(jì)算機(jī)

網(wǎng)絡(luò)。

1 校園網(wǎng)發(fā)展趨勢(shì)

1）高安全性。

網(wǎng)絡(luò)安全問題是學(xué)校信息化建設(shè)的焦點(diǎn)問題，病毒、木馬、網(wǎng)絡(luò)攻擊等對(duì)校園網(wǎng)構(gòu)成的威脅越來越嚴(yán)峻。在校園網(wǎng)中應(yīng)考慮多種網(wǎng)絡(luò)安全技術(shù)的綜合部署，形成多級(jí)防御體系以保證用戶的上網(wǎng)安全。

2）高可靠性。

面對(duì)越來越復(fù)雜的網(wǎng)絡(luò)應(yīng)用，如何保障數(shù)據(jù)的實(shí)時(shí)傳輸顯得尤為關(guān)鍵。校園網(wǎng)建設(shè)應(yīng)該從設(shè)備性能、技術(shù)選擇、網(wǎng)絡(luò)管理等多方面進(jìn)行綜合的考慮，實(shí)現(xiàn)校園網(wǎng)的線速交換和故障的自動(dòng)修復(fù)，提高網(wǎng)絡(luò)的可靠性。

3）智能化。

隨著電信網(wǎng)、電視網(wǎng)和互聯(lián)網(wǎng)的三網(wǎng)融合，物聯(lián)網(wǎng)、傳感網(wǎng)、云計(jì)算等創(chuàng)新技術(shù)的實(shí)現(xiàn)。校園網(wǎng)不僅要能夠?qū)Χ鄻I(yè)務(wù)進(jìn)行優(yōu)化和融合，還要能夠?qū)Σ煌瑪?shù)據(jù)流進(jìn)行有效的管理，提高網(wǎng)絡(luò)的服務(wù)質(zhì)量。

2 校園網(wǎng)需求分析

1）網(wǎng)絡(luò)需求。

①校園網(wǎng)要能夠適應(yīng)學(xué)校的信息化發(fā)展，為各類應(yīng)用提供高速的信息通路。隨著基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，校園網(wǎng)已經(jīng)成為一個(gè)多業(yè)務(wù)的應(yīng)用平臺(tái)，不僅要承載學(xué)校的辦公自動(dòng)化和Web服務(wù)等簡(jiǎn)單的數(shù)據(jù)業(yè)務(wù)，還要承載用戶的各種業(yè)務(wù)數(shù)據(jù)流，包括對(duì)實(shí)時(shí)性要求很高的在線視頻及各種多媒體的綜合應(yīng)用，這就要求校園網(wǎng)的核心層要具有充足的帶寬和強(qiáng)大的處理能力。因此典型的校園網(wǎng)要能夠提供千兆以上的主干網(wǎng)連接，最大限度的降低傳輸延遲，并具有向萬兆以太網(wǎng)平滑過渡的能力，最終形成千兆到桌面的格局，從而適應(yīng)日益增長的業(yè)務(wù)需要。

②校園網(wǎng)要具有全面的可靠性，實(shí)現(xiàn)數(shù)據(jù)的不間斷傳輸，確保校園網(wǎng)正常運(yùn)轉(zhuǎn)。隨著學(xué)校各種業(yè)務(wù)應(yīng)用的增多，網(wǎng)絡(luò)通訊的連續(xù)性已經(jīng)成為學(xué)校各項(xiàng)工作正常開展的關(guān)鍵。典型校園網(wǎng)的可靠性設(shè)計(jì)主要應(yīng)從三方面考慮：首先是設(shè)備的可靠性設(shè)計(jì)，其次是鏈路的可靠性設(shè)計(jì)，最后是網(wǎng)關(guān)級(jí)的可靠性設(shè)計(jì)，這樣在校園網(wǎng)中就形成了多級(jí)冗余部署，強(qiáng)化了網(wǎng)絡(luò)的可靠性。

③校園網(wǎng)要具有良好的安全機(jī)制，防止病毒和惡意攻擊造成的損失。為了保障校園網(wǎng)用戶的安全訪問，典型校園網(wǎng)的安全措施除了部署殺毒軟件之外，還應(yīng)該通過在內(nèi)網(wǎng)和外網(wǎng)之間架設(shè)硬件防火墻來增強(qiáng)對(duì)病毒和黑客攻擊的防御，并形成一整套從用戶接入到主動(dòng)防御的安全控制手段，以保證校園網(wǎng)穩(wěn)定運(yùn)行。

2）設(shè)備需求。

①為了保證網(wǎng)絡(luò)的擴(kuò)展和升級(jí)，網(wǎng)絡(luò)設(shè)備必須具有一定的先進(jìn)性和通用性。

②為了方便對(duì)接入設(shè)備的統(tǒng)一管理，接入交換機(jī)要盡量選擇同一型號(hào)的設(shè)備。

③核心交換機(jī)要具有高速的背板帶寬以避免突發(fā)數(shù)據(jù)量和密集服務(wù)請(qǐng)求造成的過載和丟包現(xiàn)象。

④網(wǎng)絡(luò)設(shè)備要具有良好的性價(jià)比以最大限度的節(jié)省用戶

投資。

⑤網(wǎng)絡(luò)設(shè)備要采用符合國際標(biāo)準(zhǔn)的成熟產(chǎn)品，兼容現(xiàn)有的網(wǎng)絡(luò)環(huán)境并支持VLAN、QoS等功能。

3 校園網(wǎng)設(shè)計(jì)原則

根據(jù)校園網(wǎng)建設(shè)的總體需求，典型校園網(wǎng)設(shè)計(jì)應(yīng)遵循以下原則。

1）獨(dú)立性。采用VLAN技術(shù)，以部門為單位將校園網(wǎng)劃分為多個(gè)虛擬網(wǎng)絡(luò)，使各部門之間在業(yè)務(wù)上保持相對(duì)的獨(dú)立性。

2）開放性。網(wǎng)絡(luò)設(shè)備和軟件要符合國際標(biāo)準(zhǔn)和規(guī)范，兼容通用的網(wǎng)絡(luò)協(xié)議，支持異構(gòu)網(wǎng)絡(luò)的互聯(lián)，便于網(wǎng)絡(luò)的擴(kuò)展和升級(jí)。

3）安全性。通過在網(wǎng)絡(luò)上部署防火墻及端口安全等技術(shù)，消除潛在的網(wǎng)絡(luò)威脅，增強(qiáng)網(wǎng)絡(luò)的安全保障。

4）可靠性。網(wǎng)絡(luò)設(shè)計(jì)要有一定的容錯(cuò)機(jī)制，通過在網(wǎng)絡(luò)設(shè)備中部署冗余技術(shù)消除單點(diǎn)故障給網(wǎng)絡(luò)造成的不利影響，從而最大限度地保證系統(tǒng)的正常運(yùn)行。

5）實(shí)用性。網(wǎng)絡(luò)設(shè)計(jì)不僅要考慮新技術(shù)和新設(shè)備的使用，還需要考慮對(duì)現(xiàn)有網(wǎng)絡(luò)資源的充分利用，達(dá)到既能滿足目前需要，又要適應(yīng)未來發(fā)展的目的。

6）可管理性。網(wǎng)絡(luò)設(shè)備要具有可網(wǎng)管性，要能夠通過網(wǎng)管軟件對(duì)其進(jìn)行端口管理、流量分析、資源分配以及故障定位等全方位監(jiān)測(cè)。

4 校園網(wǎng)設(shè)計(jì)思路

校園網(wǎng)建設(shè)一方面要滿足學(xué)校的現(xiàn)實(shí)需求，另一方面要適應(yīng)學(xué)校未來的發(fā)展。為了制定一個(gè)切實(shí)可行的校園網(wǎng)設(shè)計(jì)方案，要在設(shè)計(jì)原則的基礎(chǔ)上確定網(wǎng)絡(luò)的結(jié)構(gòu)規(guī)劃和拓?fù)鋱D。

1）網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃。

根據(jù)網(wǎng)絡(luò)設(shè)計(jì)原則，校園網(wǎng)可設(shè)計(jì)為接入層和核心層兩級(jí)結(jié)構(gòu)。主干網(wǎng)可選用千兆以太網(wǎng)技術(shù)，采用雙核心架構(gòu)通過光纖與接入交換機(jī)相連。這樣在核心交換機(jī)和接入交換機(jī)之間就形成了千兆雙鏈路工作模式，不僅提高了網(wǎng)絡(luò)帶寬而且增強(qiáng)了網(wǎng)絡(luò)的可靠性。

①接入層。

接入層交換機(jī)部署在各個(gè)部門，其主要作用是為了實(shí)現(xiàn)局域網(wǎng)主機(jī)的接入。針對(duì)基于交換機(jī)端口的VLAN劃分方式，可以辦公室為單位劃分VLAN，VLAN間路由由核心交換機(jī)負(fù)責(zé)。這樣不但可以提高網(wǎng)絡(luò)的有效帶寬，還可以增強(qiáng)部門的安全性。

②核心層。

核心層的主要作用是對(duì)各個(gè)VLAN的流量進(jìn)行控制并實(shí)現(xiàn)可靠傳輸。這就要求核心交換機(jī)要具有高速的背板帶寬，另外我們可在核心交換機(jī)上配置VRRP協(xié)議來構(gòu)造網(wǎng)關(guān)級(jí)冗余能力，增強(qiáng)網(wǎng)絡(luò)的可靠性。

2）網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)。

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是指構(gòu)成網(wǎng)絡(luò)的各節(jié)點(diǎn)之間的一種邏輯組織形式。設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是實(shí)施網(wǎng)絡(luò)建設(shè)的關(guān)鍵步驟，對(duì)網(wǎng)絡(luò)的性能和可靠性都有著重要的影響。典型的校園網(wǎng)拓?fù)淇蓞⒖枷聢D所示。endprint

典型校園網(wǎng)拓?fù)鋱D

從拓?fù)鋱D看出，校園網(wǎng)采用核心層和接入層兩級(jí)結(jié)構(gòu)，由DCRS-6808兩臺(tái)三層交換機(jī)構(gòu)成校園網(wǎng)雙核心，可部署VRRP協(xié)議實(shí)現(xiàn)校園網(wǎng)的網(wǎng)關(guān)級(jí)冗余。接入層交換機(jī)為DCRS-5650三層交換機(jī)，使用多模光纖以雙鏈路方式與核心交換機(jī)連接，這樣在接入層與核心層之間就形成了1000M鏈路級(jí)冗余；當(dāng)某個(gè)核心交換機(jī)與防火墻的上聯(lián)鏈路出現(xiàn)故障時(shí)，可通過兩臺(tái)核心交換機(jī)之間的鏈路，借助另一核心交換機(jī)繼續(xù)訪問外網(wǎng)。在核心交換機(jī)和出口路由器之間部署DCFW-1800E-2G防火墻，用以實(shí)現(xiàn)數(shù)據(jù)包的過濾，為內(nèi)網(wǎng)提供安全保障。通過以上設(shè)計(jì)，充分保證了校園網(wǎng)的安全性和可靠性。

5 校園網(wǎng)配置步驟

針對(duì)校園網(wǎng)拓?fù)鋱D，校園網(wǎng)配置可概括為以下幾個(gè)步驟。

1）基本信息配置。

為了完成網(wǎng)絡(luò)設(shè)備的配置和管理，首先要對(duì)設(shè)備進(jìn)行基本信息的配置，主要包括設(shè)備命名和登錄密碼配置。

2）接入交換機(jī)配置。

接入交換機(jī)配置主要分為以下幾個(gè)步驟。

①創(chuàng)建VLAN并使用基于端口的VLAN劃分方法為接入主機(jī)進(jìn)行端口劃分。

②配置與核心交換機(jī)相連端口的模式和屬性，保證鏈路層的連通性。

③配置生成樹協(xié)議以避免冗余鏈路帶來的廣播風(fēng)暴等不利影響。

④配置管理接口和路由以實(shí)現(xiàn)設(shè)備的遠(yuǎn)程管理。

3）核心交換機(jī)配置。

核心交換機(jī)的配置主要分為以下幾個(gè)步驟。

①配置與接入交換機(jī)相連的端口模式，保證鏈路層的連

通性。

②創(chuàng)建并將端口劃分給相應(yīng)的VLAN。

③配置MSTP生成樹協(xié)議并使之成為根交換機(jī)或備份交

換機(jī)。

④配置VRRP協(xié)議并使之成為備份組中的master或backup路由器。

⑤配置路由以實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)的Internet訪問。

⑥配置訪問控制列表以阻止來自內(nèi)網(wǎng)的網(wǎng)絡(luò)攻擊。

4）防火墻攻擊防護(hù)配置。

為了防止來自外網(wǎng)的網(wǎng)絡(luò)攻擊，需要在防火墻上開啟攻擊防護(hù)功能，主要包括以下幾個(gè)方面：

①防火墻洪水攻擊防護(hù)。

主要有ICMP洪水攻擊防護(hù)，UDP洪水攻擊防護(hù)，ARP欺騙攻擊防護(hù)，SYN洪水攻擊防護(hù)。參數(shù)設(shè)置可采取系統(tǒng)默認(rèn)值，處理行為選擇丟棄。

②防火墻掃描/欺騙防護(hù)。

主要有IP地址欺騙攻擊防護(hù)，IP地址掃描攻擊防護(hù)，端口掃描防護(hù)，參數(shù)設(shè)置可采取系統(tǒng)默認(rèn)值，處理行為選擇丟棄。

③防火墻拒絕服務(wù)防護(hù)。

主要有Ping of Death攻擊防護(hù)，Teardrop攻擊防護(hù)，IP分片防護(hù)，Smurf或者Fraggle攻擊防護(hù)，ICMP大包攻擊防護(hù)，Land攻擊防護(hù)，參數(shù)設(shè)置可采取系統(tǒng)默認(rèn)值，處理行為選擇丟棄。

5）出口路由器配置。

出口路由器的配置主要分為以下幾個(gè)步驟。

①配置路由器的外網(wǎng)和內(nèi)網(wǎng)接口地址。

②配置NAPT網(wǎng)絡(luò)地址轉(zhuǎn)換和路由，實(shí)現(xiàn)內(nèi)網(wǎng)用戶的Internet接入。

③配置靜態(tài)NAT地址轉(zhuǎn)換，實(shí)現(xiàn)外網(wǎng)主機(jī)對(duì)內(nèi)網(wǎng)服務(wù)器的安全訪問。

④配置訪問控制列表ACL，實(shí)現(xiàn)來自外網(wǎng)的攻擊防護(hù)。

6 總結(jié)與展望

本文從學(xué)校的需求出發(fā)，研究如何構(gòu)建一個(gè)以教育信息化為目的，技術(shù)先進(jìn)、安全、可靠的校園網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和多媒體技術(shù)的廣泛應(yīng)用，電信網(wǎng)、電視網(wǎng)和互聯(lián)網(wǎng)的三網(wǎng)融合，物聯(lián)網(wǎng)、傳感網(wǎng)、云計(jì)算等創(chuàng)新技術(shù)的實(shí)現(xiàn)使得用戶的業(yè)務(wù)種類和需求呈現(xiàn)多樣化趨勢(shì)，網(wǎng)上辦公、網(wǎng)上管理、網(wǎng)上教學(xué)、網(wǎng)上服務(wù)、網(wǎng)上學(xué)習(xí)已經(jīng)在越來越多的校園網(wǎng)當(dāng)中得到實(shí)現(xiàn)。良好的網(wǎng)絡(luò)環(huán)境將會(huì)有效的促進(jìn)學(xué)校教育改革的發(fā)展和教學(xué)效果的提升。

參考文獻(xiàn)

[1]劉喆.基于三層交換和虛擬局域網(wǎng)技術(shù)的校園網(wǎng)的設(shè)計(jì)[J].黑龍江科技信息，2012（24）：110.

[2]李亞芳.校園網(wǎng)絡(luò)安全現(xiàn)狀及解決策略[D].山東師范大學(xué)，2012.

作者簡(jiǎn)介

李向東（1973-），男，河北保定人，涿州職教中心中學(xué)一級(jí)教師，計(jì)算機(jī)工程碩士，主要從事網(wǎng)絡(luò)技術(shù)教學(xué)及研究。endprint