對校園網網絡規劃與設計方案的介紹

摘要: 本文作者對我校校園網的網絡規劃與設計的方案進行了介紹。

關鍵詞: 校園網網絡規劃設計網絡安全管理需求設計特點

一、 校園地理環境

我校分為南北兩個校區，南區為教學區，包括:三棟教學樓、一棟圖書館、一棟教師辦公樓、一棟教工宿舍、兩棟學生宿舍;北區為實訓中心，與南區相隔一條街道，包括:南北兩棟實訓樓。

二、校園網功能需求

學校是以現代化手段培養人才的地方。為了更好地使計算機及其網絡在輔助教學、教學管理等方面發揮作用，我校計劃在校內建立校園網，并與國際互聯網相連。

校園網的信息點應該普及兩個校園區所有教學樓的教室，實訓中心的電腦室、實訓室，教師辦公樓，圖書館，宿舍樓等，同時教室辦公樓應該提供無線網絡接入。校園內每個信息點的電腦都可以相互訪問，實現廣泛的軟件、硬件資源共享;同時每個信息點的電腦都能接入互聯網，提供基本的Internet網絡服務功能，如電子郵件、對外個人主頁服務、ftp服務、域名服務等。

三、校園網網絡規劃設計

1.綜合布線結構

根據學校的地理位置，各棟建筑物到網絡中心的距離，以及數據的流量，采取光纖+超五類綜合布線系統。

(1)主干網。網絡中心在圖書館四樓，對于南區教學區，因為每棟樓到網絡中心都在400米左右，所以每棟樓的交換機都用12芯的室外多模光纜與網絡中心的核心交換機連接;而北區實訓中心因為離網絡中心太遠，南北樓的交換機用12芯的室外單模光纜與網絡中心的核心交換機連接。主干網是由光纖構成的1000M網。

(2)樓內網。每棟樓的交換機都放在四樓中間的一間房間里，各個信息點到交換機的距離都在100米內，樓內的布線用超五類線，為每間教室、實訓室、辦公室等提供兩個信息點。樓里面則構成10—100M的網絡。

2.設備選型

網絡設備必須在技術上具有先進性、通用性，必須便于管理、維護。網絡設備應該滿足學校現有計算機設備的高速接入，應該具備未來良好的可擴展性、可升級性，保護學校的投資。網絡設備必須在滿足功能與性能的基礎上價格最優。網絡設備應該選擇擁有足夠實力和市場份額的廠商的主流產品，同時設備廠商必須有良好的市場形象與售后技術支持。

根據多方面的考慮，我們確定選用華為三康的設備，路由器用MSR30-40，防火墻用F-1000A，核心交換機用S-7506，各棟樓的接入交換機用E-126A。這些設備完全滿足校園各種功能需要，同時也滿足未來擴展的需要。

3.Internet接入

根據對全校總出口流量的估算，為確保內部網站和外部網站的連接暢通，我們用電信20M帶寬的光纖專線接入，有一個Internet固定的IP地址，所有計算機都通過NAT(網絡地址轉換)進入Internet。

4.VLAN規劃

VLAN為虛擬局域網，它有如下優勢:抑制網絡上的廣播風暴;增加網絡的安全性;集中化的管理控制。基于這些優點，我們按照各棟樓的不同情況對交換機進行VLAN劃分，具體是:VLAN1—設備管理、VLAN10—圖書館、VLAN11—教師辦公樓、VLAN12—實訓中心南、VLAN13—實訓中心北、VLAN14—4號教學樓、VLAN15—5號教學樓、VLAN16—1號教學樓、VLAN17—教工宿舍。

5.路由規劃

核心三層交換機S-7506實現VLAN之間的相互訪問。對于三層交換機來講，所有VLAN(網段)都是直連的，因此只需要啟動路由，而不需要設置額外的靜態或動態路由條目。我們在S-7506中創建VLAN 10至VLAN 17，并把與接入層交換機光纖連接的光纖端口添加到對應的VLAN中，同時給VLAN端口添加對應的網關IP作為虛擬端口的IP地址，實現整個校園網不同網段之間的相互訪問。

6.無線接入

充分利用計算機輔助教學及利用網絡軟硬件的資源共享，是校園網為教學服務的一大特點，我校教師每人配備了一臺手提電腦，手提電腦接入校園網，采取無線接入的方式。

構建“無線漫游”接入區，在辦公樓放置三個TP-LINK841無線路由器，SSID都是BanGong，頻道則分別為1、6、11三個互不干預的頻道，不加密碼是開放式，開啟DHCP，地址池IP為192.168.1.50/24—192.168.1.200/24，這樣教師可以很方便地接入到校園網。

7.開放計算機機房

學校內有大量的各種各樣的開放式機房，是學生學習計算機的場所，通常這些計算機連成一個局域網，除具備一般的互訪外，通常還要求這些計算機能夠訪問到Internet。為滿足教學要求，我們作了如下規劃:(1)IP地址用私有C類192.168.0.0/24。(2)實現Internet訪問，實際上是一個局域網PC如何共享上網的問題。在每一個機房部署一個信息點，相當于Internet出口，用服務器代理的方式通過信息點接入校園網，從而實現訪問Internet。

8.對外發布站點

對于一些外部站點的問題，通常放置在DMZ區內，DMZ區的安全等級高于外網，低于內網，防火墻的默認規則是允許安全等級高的訪問安全等級低的，禁止安全等級低的訪問安全等級高的。因此，防火墻不需要設置規則就可以實現內網訪問到DMZ區，但外網不能訪問到DMZ區。對于學校來講，WWW站點的主要目的就是對外發布信息，必須讓外網能夠訪問到，為了到達這個目的，可以在防火墻上添加一些規則，開放DMZ區所在服務器的IP，以及相應的端口。在DMZ區放置學校的服務器:郵件服務器、WWW服務器、數據服務器、文件服務器。

四、網絡安全及管理需求

校園網是巨大的資源中心，存放著各方面的信息資源，涉及學校的方方面面，同時，校園網又是一個開放的系統，有不同的人員在校內或校外訪問它，因此，校園網的建立不僅是網絡硬件和應用的建立，還應該特別重視校園網的安全問題。網絡安全是一個體系結構，涉及整個辦公環境的各個方面，包括人員和設備，信息的駐留點，以及沿途經過的各個中間環節，從物理層到應用層都要小心對待。

1.設備級安全

包括網絡中所有可管理的網絡設備、服務器和網管工作站的安全。設備級安全是網絡的第一道屏障，嚴格限制能夠遠程管理(包括Telnet方式和Web方式)網絡設備的IP地址列表，必要時關閉部分或全部遠程管理功能;對于核心網絡設備，如骨干交換機和路由器，建議不設遠程管理IP地址。

2.傳輸級安全

指敏感數據在傳輸線路中防止中途竊取或修改的安全性。解決辦法包括室外線路盡可能采用無輻射抗干擾的光纖作為傳輸介質，室內明線使用屏蔽雙絞線，中心機房加裝屏蔽網，對遠程傳輸的信息進行加密等。

3.網絡層安全

是網絡安全設計中的重要一環。網絡層攻擊是黑客最常用的攻擊方式，如外部入侵。對付這種攻擊方式最典型的解決方案是使用軟件或硬件防火墻進行內外隔離，同時內網采用保留IP地址，訪問外網時進行NAT轉換(網絡地址轉換)。除了防止外部入侵外，也要注意防止內部的越權訪問和故意破壞，一般在VLAN之間進行訪問控制。

4.應用級安全

包括防病毒和認證體系。近年來病毒多如牛毛，如:熊貓燒香、ARP地址欺騙等。對于病毒問題，有效的解決方法是安裝網絡防病毒軟件，修補系統漏洞。同時也要防范因內部人員不經意或故意“環路”，形成的“網絡震蕩”，解決辦法是設置交換機STP協議(生成樹協議)。

校園網是一個比較大型的網絡，為了保證校園網更加有效、可靠地運行，我們配置了一臺網絡管理工作站，以便更有效地對校園網進行管理。根據網絡設備選型，我們選擇華為三康管理軟件，同時用第三方管理軟件一起管理網絡，主要是solarwinds-toolset工具箱V9.2、超級PING、Sniffer Portable 4.8這三個軟件。

五、方案規劃設計特點

該校園網方案采用成熟的先進的技術，采用國際統一標準有廣泛的支持廠商;所有設備都用華為三康一線產品。Internet帶寬合理，確保網絡不出現“塞車”現象;設置三層核心交換機，將整個網絡劃分為多個VLAN，從而使網絡更加安全;同時本方案充分考慮了網絡未來的升級與發展，把網絡主干網構成了信息高速網，對未來的發展非常有利。

參考文獻:

[1]王達.網管員必讀系列叢書(第二版).電子工業出版社.