大學校園網的規劃\\設計及其應用

摘 要: 本文從系統結構、布線系統、網絡設計、網絡管理等方面討論了校園網的設計方案。在網絡設計中，詳細介紹了網絡拓撲結構、VLAN劃分與設備選型等，實現了網絡的人性化設計，最后通過相關軟件對網絡進行管理和實現網絡的安全性。

關鍵詞: 校園網規劃 網絡設計 拓撲結構 VLAN劃分 設備選型

一、項目背景

(一)校園網綜述

校園網是為學校教師、學生提供教學、科研和綜合信息服務的寬帶多媒體網絡。校園網應為學校教學、科研提供先進的信息化教學環境，這就要求校園網具有一個寬帶、交互功能和專業很強的局域網絡。

(二)某高校校園網介紹

某大學目前有兩個校區:本部校區和分部校區，兩個校區之間通過專有光纖連接，統一出口在本部校區，分為教育網出口和電信網出口。本部校區是一棟現代化綜合辦公大樓，其中1—6樓、9—21樓為辦公區域，7—8樓為學生機房，10樓為中心機房。分部校區是一個包含了辦公樓、實驗樓、藝術樓等的校園環境。在現代教學需要的情況下，擬建立起現代的校園網。網絡建成后，可以完成互聯網、校園信息交流，多媒體、網絡教學，學生學習等功能。

二、需求分析

(一)綜合布線分析

此次校園網建設中，分部校區的網絡采用升級改造的方式，主要以維護原有網絡為主。改變其接入方式為與本部校區統一出口。分部校區各樓棟之間采用光纖連接，其中實驗樓與辦公樓網絡中心之間仍然保留原有的UTP雙絞線。樓內布線則采用UTP雙絞線將桌面PC連至網絡中心交換機，實現百兆到桌面的連接速度。對于本部校區新大樓，則整體設計其布線方案，包括了1—6層的辦公室、教室、電子閱覽室，7—8層的計算機房，9—10層、21層的辦公室，以及10層的網絡中心機房。垂直布線系統采用樓宇內軟光纖，水平布線系統則采用泛達的6類UTP雙絞線，理論上支持1000M到桌面的連接速度。

(二)網絡結構分析

在兩個校區的整體網絡設計方案中，我們采用了1個防火墻、2個核心交換機(采用VSS新技術互聯)、6個匯聚交換機和若干臺接入交換機。其中本部校區包括了服務器區匯聚、1—6層網絡的匯聚、7—8層機房網絡的匯聚與9層以上的網絡匯聚，分部校區則包括了辦公樓的匯聚，主要負責各樓棟辦公室的網絡;實驗樓的匯聚，主要負責各樓棟機房的網絡。兩個校區之間用兩個Cisco Catalyst 6509，采用最新的VSS技術進行連接，可以實現更高速的交換和線路備份，確保校區之間網絡的穩定運行。

(三)網絡安全分析

從網絡結構來看，服務器區域提供了極其重要的應用，屬于最易被攻擊的區域，所以我們應考慮介紹好的硬件防火墻和入侵防御系統，以保護該區域。另外為了防止校園網內部病毒泛濫，考慮部署網絡版殺毒軟件，對終端機器統一管理。最后，為了防止校園網機器之間相互攻擊，必須有方便、直觀的監控設備，以及時地發現問題并解決問題。

三、系統設計

(一)設計方案

1.VLAN和子網的劃分

虛擬網絡(VLAN，Virtual Local Area Network)是指一個根據功能、用途、工作組及應用等因素將用戶從邏輯上劃分為一個相對獨立的網絡，是一個可跨越不同網段、不同網絡、不同位置的端到端的邏輯網絡。

對于某高校校園網，我們根據功能需求可以分為以下幾個大類:辦公室網絡、教室網絡、機房網絡，以及一卡通網絡。這四大部分相對獨立，特別是一卡通網絡的安全要求比較高，所以在實際應用中還需要制定相應的訪問策略來保證其安全性。

2.網絡拓撲圖

網絡拓撲(Topology)結構是指用傳輸介質互連各種設備的物理布局，指構成網絡的成員間特定的物理的即真實的、或者邏輯的即虛擬的排列方式。網絡拓撲圖是最能夠直觀反映網絡情況的工具，所以在校園網前期規劃中是極其重要的，它將是后期施工和部署的重要參考依據，也是未來網絡維護和管理的重要依據。

(二)設備選型

整個校園網的建設目標要達到“萬兆主干，百兆桌面”，根據學校地理位置分布情況設計校園網。

1.核心層

在選擇網絡設備之前一定要估算它承載的信息流量。目前還沒有任何精確估算的方法，但可以把網絡看作一個黑箱，考慮位于網絡邊緣的計算機設備在突發性很強的情況下，全部以線速通過黑箱網絡交換信息，以此計算大致流量。

Cisco Catalyst 6509E 是 Cisco Catalyst 6509 系列中的一員。Cisco Catalyst 6509 系列可以提供無阻塞的第 2/3/4層交換和集成化的永續性，因而能進一步加強對融合網絡的控制，具有更高可用性的語音、視頻和數據網絡，能夠為正在部署基于互聯網業務應用的企業和城域以太網客戶提供業務永續性。

2.匯聚層

匯聚層對即將接入層交換機的數據進行匯聚，對上通過高速接口將數據傳輸到核心交換機，起著承上啟下的作用。設計匯聚層時，根據匯聚層的主要功能，我們應充分考慮以下幾點:匯聚層設備要有足夠的帶寬;具有三層和多層交換特性;具有靈活多樣的業務能力;必須具有冗余和負載均衡能力。

基于以上分析和校園網的實際情況，選擇Cisco Catalyst 3560E系列三層交換機作為匯聚層交換機。其中具體端口數量規格根據網絡需要來決定。主要有WS—C3560E—12SD—S和WS—C3560E—48TD—S兩種選擇。

3.接入層

接入層為用戶提供對網絡中本地網段的訪問，它的主要作用是將工作組與匯聚層連接起來，主要完成邏輯網絡分段、基于工作組或LAN隔離廣播通信，以及在多個CPU之間分布服務。

接入層設備在市場上可選擇性很大，有很多品牌都能滿足要求。但是考慮到為了方便、快捷地完成系統集成和日后可管理性、升級性，我們仍然選用和核心層、匯聚層同一品牌。雖然價格較其他品牌貴了一些，可帶來的方便性是不言而喻的。因此，在接入交換機上選擇Cisco Catalyst 3560 24/48 TS交換機。

4.防火墻

防火墻是一種將內部網絡和外部網絡分開的方法，是提供信息安全服務，實現網絡和信息安全的重要基礎設施，主要用于限制被保護的內部網絡與外部網絡之間進行的信息存取、信息傳遞等操作。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和外部網之間的任何活動，保證了內部網絡的安全。

防火墻對于局域網絡的安全至關重要，在選擇上要慎重考慮。既要有效保護內部網絡的安全，又要注重性價比，還要考慮其可升級性。因此，我們結合諸多實際情況，特選用Juniper廠商的硬件防火墻:NetScreen ISG 2000，其卓越的性能足以保護校園網內電腦和服務器的安全。

5.網絡監控防御

在網絡設計中，我們必須要考慮的一個部分就是如何及時地發現和解決出現的問題。思科安全監控分析和響應系統(MARS)是一個高性能、可擴展的威脅管理、監控和防御設備系列，將傳統安全事件監控與網絡智能、上下文關聯、因素分析、異常流量檢測、熱點識別和自動防御功能相結合，可幫助客戶更為高效地使用網絡和安全設備。通過結合這些功能，思科安全MARS可以準確識別和消除網絡攻擊且保持網絡的安全策略符合性。

對于服務器區的保護，我們選用Cisco的IPS(入侵防御系統)，目的是對訪問服務器的流量進行深入檢測，過濾攻擊和非法數據包，減輕服務器和網絡的負載，提供更好、更穩定的網絡服務。

(三)網絡管理

對大中型網絡而言，更需要合理、有效的組織體系和規章制度。隨著信息網絡規模的日益擴大，結構日趨復雜，計算機網絡的管理和維護難度也會越來越大，這就要求有智能化、標準化網絡掛零技術，而且要求實現對多廠商設備的統一管理，監控全網健康狀況，為網管提供網絡調整的依據。

根據校園網的設計方案，我們在采購硬件管理設備的基礎之上，還選擇了一些開源或者免費的管理系統，例如Cacti、Zenoss等。

(四)網絡安全

網絡安全是阻礙網絡發展的一個重要因素，在校園網絡的建設中，網絡安全也是需要重點考慮的一個方面。網絡安全主要分為內部網絡安全和外部網絡安全，現在大多數網絡建設都使用防火墻，但多數防火墻都只能對外網安全進行控制。網絡在邊界有強大的防火墻，而網絡內部卻沒有很好的監控就不能算作一個安全網絡。

1.防火墻部署

我們在Internet與校園網內網之間部署一臺NetScreen ISG2000防火墻，成為內外網之間一道牢固的安全屏障。其中WWW、MAIL、DNS等對外服務器連接在防火墻的DMZ區，與內、外網間進行隔離，內網口連接校園網內網交換機，外網口與Internet連接。那么，通過Internet進來的公眾用戶只能訪問到對外公開的一些服務，既保護內網資源不被外部非授權用戶非法訪問或破壞，又可以阻止內部用戶對外部不良資源的濫用，并能夠對發生在網絡中的安全事件進行跟蹤和審計。

2.入侵防御系統部署

入侵防御能力是衡量一個防御體系是否完整有效的重要因素，強大完整的入侵防御體系可以彌補防火墻相對靜態防御的不足。根據學校網絡的特點，我們采用Cisco入侵防御系統IPS—4260，對來自外部網和校園網內部的各種行為進行實時檢測，及時發現各種可能的攻擊企圖，并采取相應的措施。具體來講，就是將Cisco IPS—4260入侵防御硬件接入到防火墻與服務器匯聚交換機之間，所有訪問服務器的數據都經過IPS進行過濾。Cisco IPS—4260入侵防御系統集入侵檢測、網絡管理和網絡監視功能于一身，能實時捕獲內外網之間傳輸的所有數據，利用內置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網絡上發生的入侵行為和異常現象，并在數據庫中記錄有關事件，作為網絡管理員事后分析的依據;如果情況嚴重，Cisco IPS—4260可以發出實時報警，使得管理員能夠及時采取應對措施。

四、結語

本文通過分析某高校校園網的現狀、水平和發展趨勢，提出了一種以萬兆以太網的星型連接為基礎，以高速千兆主干網為網絡系統核心，具有10000Mbps速率的主干，100Mbps到桌面的大型校園網解決方案。

主要網絡設備選擇注重性能價格比，采用成熟可靠的技術為學校設計成一個技術先進、簡單易用、性能優秀、可升級擴展的校園網絡。在網絡設計的先進性、現實性、可靠性、保密性、易管理與維護、易擴充性方面，我們制定了一系列具有針對性的可行性方案，力求主要網絡設備安全、穩定、可靠、技術先進、便于維護和管理。

參考文獻:

[1]于祥.談談校園網絡建設[J].科學教育，2004，5.

[2]周兆祥.校園網絡的安全[J].廣西大學學報(自然科學版)，第30卷第3期.

[3]方芳.校園網建設的規劃與研究[J].中南民族學院學報(自然科學版)，第20卷增刊.

[4]童舜海.校園網建設的規劃問題[J].福建電腦，2003，8.

[5]黎連業.網絡工程和綜合布線工程師手冊[M].清華大學出版社，2003.

[6]梁亞聲.計算機網絡安全技術教程[M].機械工業出版社，2005.