中職學校校園網的規劃與設計

摘 要：根據中職學校的需求，設計及建立一個先進、實用、快速、安全的校園網。關鍵詞：需求分析；結構設計；實現方案；IP管理

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1672-3198（2007）08-0181-01

1 學校需求分析

國家對中職學校評估體系中明確規定，國家級和省級重點中職學校必須建有校園網，而且必須覆蓋主要教學、辦公和生活場所。同時學校為了提高教學質量和管理水平，達到“無粉教學，無紙辦公”的發展趨勢，也急需一個先進、實用的校園網。

1．1 調研情況

某校有幾棟建筑需納入校園網，信息點達到3000個左右。信息點的分布比較分散，涉及到辦公樓、教學樓、圖書館、實驗樓、實習車間、學生宿舍樓、食堂等，其中實驗樓和學生宿舍為信息點密集區。主控室設在實驗樓的三層。

1．2 需求功能

校內計算機要連入校園網，并且可以有條件、有管理地訪問Internet，共享網上的信息和資源；不僅要具有網絡的一般功能（如E-MAIL、FTP、BBS、搜索引擎等功能），還要有滿足中職學校教學需要的功能（如視頻點播VOC、實時遠程教學、網絡學校、網絡電話、網上考試等功能）。另外，還必須符合學生用戶的特點，在管理和控制上表現出色，防止學生利用網絡平臺的缺陷從內部攻擊校園網或者利用各種手段逃避運營管理。

2 結構設計

網絡的拓撲結構如下圖所示：

3 實現方案

校園網采用了標準的“萬兆核心、千兆匯聚、百兆到桌面”的設計原則。為了方便管理，所有交換機統一采用神州數碼品牌，網絡核心層采用一臺萬兆核心路由交換機DCRS-7616，將來隨著網絡規模的擴大，可采用兩臺萬兆核心路由交換機雙星型連接。匯聚層交換機采用DCRS-5512G，根據地理位置和信息點密集程度，教學樓、實習車間和食堂共用一臺匯聚交換機，圖書館和辦公樓共用一臺匯聚交換機，學生宿舍采用兩臺臺匯聚交換機，總共采用五臺匯聚交換機，接入交換機采用DCS-3526。

在核心層，依靠DCRS-7616高達768Gbps的背板交換能力和476MbpsL2/L3全線速包轉發率，確保核心層的網絡性能。同時，全冗余配置、可自愈系統設計、豐富的QoS策略及用戶VLAN、多策略VLAN和ACL訪問控制等保障了核心網絡的應用要求和安全可靠的要求。

在匯聚層，通過交換能力達36Gbps的DCRS-5512G分擔核心交換機的壓力，同時擁有豐富的QoS策略、可多元綁定的安全策略和支持SNMP、CLI、Web、RMON等多種網絡管理的特性，確保了匯聚層的性能與安全穩定。

在接入層，具有豐富靈活的接口，支持801.x認證部門級接入交換機DCS-3526，實現安全接入。三個層次的交換機通過計費服務器中的認證計費系統DCBI-2000和網絡管理系統LinkManager3.0相互配合，實現對校園網的認證管理。這種分布式設計由內而外杜絕了安全隱患，確保了網絡的高性能、無阻塞和高穩定性。

本方案具有如下特點：

（1）從性能上來看，在核心層采用萬兆技術，解決了網絡的帶寬問題，網絡帶寬將是現在和今后一段時間的優勢所在，用戶可以在網絡上實施很多應用，如流媒體、批量數據的傳輸等。同時本網絡采用三層網絡結構，匯聚層用DCRS-5512進行匯聚交換，減輕了核心交換機的壓力，同時保證了網絡的高速、暢通。接入交換機DCS-3526支持多種流量管理技術和IEEE802.1X技術，保證網絡順利實施視頻、數據等功能。

(2)從管理和維護來看，神州數碼網絡提供的認證計費系統DCBI-2000和網絡管理系統LinkManager3.0都是采用全中文的操作界面，具備和適合學校應用的獨特設計，可實現多種認證計費模型。而依靠LinkManager3.0強大的網絡管理特性，可以實時監管校園網內各個角度的動態，通過管理策略自動對各類事件進行處理，防止學生訪問非法網站和傳播網絡風暴，保證校園網的暢通。

4 局域網IP地址的管理

為了避免網內IP地址沖突，防止學生用戶通過網絡攻擊校園網、逃避學校管理或者通過私設服務器逃避運營計費，必須對網內IP地址進行有效管理。具體方法有：

(1) 做好整個校園網終端用戶計算機的命名和IP地址指定，根據用戶的類別統一命名計算機，這樣一看機器名，就知道是哪個部門哪臺機器，方便管理，比如教務科1號機，我們就將其命名為“jiaowuke01”。同時統一規劃、分配IP地址給每臺終端機器，并建立IP地址分配登記表。如果學校申請的是B類IP地址，可以根據管理方便隨意指定每個部門每臺機的IP地址，如果學校申請的是C類IP地址，則要根據信息點的分布進行子網劃分。

（2）統計每個終端機器網卡的MAC地址，建立IP地址與MAC地址對應表。Win2k/XP用戶在MS-DOS方式下鍵入命令ipconfig/all，可以獲得本機IP地址和MAC地址，其中用16進制表示的12位數就是MAC地址。我們可以將此方法公布一下，然后要求相關用戶將本機MAC地址抄錄上報到網管中心，進行登記匯總。也可以用Windows優化大師，點擊“系統性能優化”→“系統安全優化”→“附加工具”→“Ping”，可以成批掃出IP地址和對應MAC地址。

（3）將IP地址與MAC地址綁定。

這要根據局域網接入互聯網的方式不同而采用不同的辦法。如果是采用代理服務器接入互聯網，可使用命令：

ARP -s IP地址 MAC地址

例：ARP -s 192.168.1.168 00-00-E8-A2-3B-9B

就是將靜態IP地址192.168.1.168與網卡地址00-00-E8-A2-3B-9B 的計算機綁定在一起了，即使別人盜用您的IP地址也無法通過代理服務器上網。

如果是通過路由器直接接入互聯網，可以通過硬件防火墻來實現IP與MAC地址的綁定，一般的硬件防火墻都具有這個功能。

到這里似乎可以大功告成了，但事情并不像我們想象的那么簡單。花了相當多精力構筑起來的防線不用多久又發生IP沖突了。原來，有的終端用戶通過修改注冊表、下載專用小工具等方法，沒費多少力氣就更改了本機的MAC地址，甚至于將本機的MAC地址和IP地址改得和主服務器一模一樣，搞得局域網內又雞犬不寧。 為此必須采用基于交換機的MAC地址與端口綁定，將MAC地址與交換機的端口綁定。這樣一來，終端用戶如果擅自改動本機網卡的MAC地址，該機器的網絡訪問將因其MAC地址被交換機認定為非法而無法實現，自然也就不會對局域網造成干擾了。 綁定方法：登錄進入交換機，輸入管理口令進入配置模式，敲入命令：

(config)#mac_address_table permanent MAC地址以太網端口號，這樣逐一將每個端口與相應的MAC地址綁定，保存并退出，就可以解決IP問題了。

參考文獻

［1］廖常武，汪剛 . 校園網組建［M］. 北京：清華大學出版社，2007.

［2］劉永華 . 局域網組建、管理與維護［M］. 北京：清華大學出版社，2006.