現代校園網設計

李錦安

[摘要]講述現代校園網建設的意義和需要，從綜合角度闡述校園網應具有的基本特點以及基本要求，以期建設一個穩定的實用性較強的數字化校園網。

[關鍵詞]信息化 網絡拓撲 網絡安全 校園網

中圖分類號：G47 文獻標識碼：A 文章編號：1671－7597（2009）0720054－01

校園網能更好的使學校走進教育信息化高速時代，促進現代教育的改革與發展。建設良好的校園網對學校的教學質量和管理提供巨大的幫助，而良好的數字化校園體現在以下四個方面：

一、網絡的拓撲設計要合理且有前瞻性

以一所教職工900多人，全日制在校學生12000余人，網絡節點1萬余個的高等院校為例，它的網絡架構必需以高帶寬，可管理，且具有可擴展性為重點。

校園主干網是數據信息流動的動脈，同時擔負著信息流動的總調度任務，該校的主干網采用3G的出口帶寬來解決出口壓力，核心層是高性能三層交換機華為S8505與Chinanet相連，RG6506與Cernet相連，匯聚層采用三層交換機CISCO3550，接入層采用RG2126G和RG2150G。

（一）主干核心層。未來發展的需求，充足的網絡出口帶寬是其根本保障，該校的外網出口NAT轉換采用三臺城市熱點的DR.COM2133認證服務器，每臺具有4000用戶的轉換能力，總出口就能負擔起12000個用戶出口轉換，之所以采用華為S8505作為核心交換機，是因為該產品具有強大的硬件平臺升級能力，在背板上預留大量的總線接口用于后續擴容，提供720Gbps交換容量，整機可支持高達576個千兆端口、48個萬兆端口，滿足核心層設備大容量、高端口密度的要求，可以滿足用戶日益增長的帶寬需求，可靠性能好。

（二）匯聚層和子網劃分。由于該學院學生宿舍區及部門繁多，為提高網絡效率，主干網下劃分許多子網（子網是一個個相對獨立的局域網）根據實際情況，子網按其教學!政務!宿舍等不同的應用區域劃分，以3層交換技術作為主要連接手段，通過VLAN形成邊界，并與主干網匯接。網絡匯聚采用Cisco3550高性能交換機為各教學!政務!宿舍等下級子網提供高性能!高帶寬的端口匯聚接入，這種交換機還特別適用于流量監控和網絡管理。

（三）接入層及其工作組網。按教學樓!行政機構!宿舍片區或密集型應用區域劃分VLAN，采用1000M光纖接到交換機RG2126，再采用堆疊法100M連接到桌面。RG2126是專門針對校園業級網絡安全防范、全局智能管理的廣泛需求，而量身設計的一款高性能、高安全、可堆疊的網管型以太網交換機。基于高背板的全線速設計，提供智能流分類和完善的服務質量（QoS）以及組播管理特性，使其在校園網絡多種應用中，實施靈活多樣的ACL訪問控制和安全防范接入層交換機一般放在樓道的小機柜里，再直接接到用戶的辦公室，用RG2126作為接入層交換機，是因為它對用戶具有良好的管理性，防止用戶盜用IP或中病毒引起的網絡故障。

二、網絡的安全性以及可管理性

（一）現今高校網絡特點。內部有大量的服務器，對外提供服務；內部網絡有許多私有IP和教育網公用IP，因此訪問外網要通過NAT；用戶眾多，流量大，每秒新建連接數、并發連接數要求高；網絡設備復雜，子網數量、接口類型繁多；學生經常利用BT、EDONDEY等P2P軟件下載視頻等文件，耗費大量帶寬；由內網到外網的威脅比較嚴重，學生電腦管理松散，電腦中裝有各種軟件甚至感染病毒，成為攻擊的跳板；學生自制力較差、比較傾向于瀏覽成人、娛樂等不安全或政策、法律禁止的網站。

（二）防火墻。針對高校的網絡特點，防火墻是必備的安全設備，它應該接在外網和核心層交換機之間，這樣就可以通過設置訪問權限控制出口和入口的數據包，一般的防火墻應具有以下的特點：

能檢測及阻擋應用層的探測及攻擊，探測端口掃描、主機掃描，對操作系統、應用程序漏洞的攻擊，保護了服務器群。拒絕和限制廣告信息、聊天和點對點連接（P2P），有效控制帶寬擁塞；可以根據源IP、目的IP、源接口、目的接口、服務等參數來決定是否將數據包送入IPS引擎；因此可以只對感興趣的數據流有選擇性地進行IPS檢測，保證了可以追蹤攻擊行為和訪問記錄。NAT轉換和路由功能；可對訪問內容過濾，以防瀏覽不良網站。

（三）網管系統。面對網絡應用需求的迅猛增長，網絡環境也變得越來越錯綜復雜，如何高效、可靠的利用這些網絡資源，逐漸成為眾多的企事業單位所關注的問題，于是網管系統應運而生，我們在選擇網管系統的時候，應該考慮以下幾點：

對局域網、城域網IP設備的管理，如：路由器、交換設備；對網絡中的其他可管理設備和主機系統的管理；網絡結構可視化，能清晰的顯示出來；具有客戶業務管理功能，幫助運營商提供更好的服務；多廠商、多品種的網絡設備統一監控；網絡故障的及時上報；對網絡管理信息的歷史積累，可報表分析；對網管策略的預先設定與自動實施。

三、用無線網絡互補有線網絡

在校園內，有一些地方是有線網絡無法觸及的地方，尤其是戶外，例如：運動場、游泳池、會議室、報告廳、圖書館、廣場等等，他們的移動性特別大，且不利于布線，影響外觀，因此使用無線網絡可以彌補這些問題，方便了移動用戶的使用。

雖然WLAN的架設和維護相對簡單，但如果安全問題的解決方案選擇的不好，會大大增加管理的復雜性和運營維護成本。所以在我們設計WLAN的時候，要把AP設備放置在每層樓的機房內，再通過室內天饋線分布系統把WLAN信號均勻傳送到樓內的各個角落，利用無線AP來承擔用戶無線接入，用戶隔離、發起認證、漫游等工作。

四、教學資源系統的建設

校園網絡是學校信息資源建設的基礎設施，校園網建設的根本目標是為院校的教學！科研和管理提供一個先進實用的信息網絡環境，構建教學信息化系統的建設同樣重要。

其按功能劃分為：

1．教務系統。包括功能：提供招生管理、學生選修、成績管理、學籍管理、學費管理。開發數據庫ORACLE。2．后勤管理。包括功能：財務系統、一卡通系統（一卡在手，走遍校園生活消費的每個角落）。開發系統LINUX。開發數據庫ORACLE。3．圖書館資源。包括功能：英語在線、論文期刊、圖書館圖書借閱檢索系統。4．信息發布與交流。包括功能：BBS論壇、校園網站建設（各教學系以及行政部門的網站、留言板）、郵件系統。現在互連網時代已經迎來了WEB2.0大航海時代，進入了一個互動，資源共享，多種技術合在一起的新時代，這無疑對校內人與人之間的交流提供了很大的幫助。5．科研產業信息系統。包括功能：科研項目的立項申請，科研項目的檔案建立、查詢、保存，專利法規等等。將知識轉化成生產力，是一件利國利民的大事，高等院校是科學技術產生的搖籃，是社會進步的主心骨，科研產業信息系統有助于推動院校的科研水平。

五、小結

現代校園網的設計應該從全局出發，從宏觀方面去考慮，不僅要考慮網絡的帶寬，還要考慮網絡的可靠性、安全性、擴展性、可維護性、實用性。

參考文獻：

[1]趙鵬，利用WEB技術搭建校園網絡的教學資源平臺[J].南京市行政學院學報，2005（3）.

[2]董煥美，利用WLAN完善數字化校園網[J].天津職業院校聯合學報，2008（5）.