區域中職標準化校園網建設方案初探

劉芙 傅毓海

摘要：本文從地級市角度，圍繞《教育部關于加快推進職業教育信息化發展的意見》中提出的關于標準化校園網建設要求，通過對淮安市及周邊城市中等職業學校的校園網現狀進行調查，提出了區域中職校園網建設的“四高”原則，力求整體推動中職校園網標準化建設步伐。

關鍵詞：區域中職;標準化校園網;建設方案設計

中圖分類號：G718 文獻標志碼：A 文章編號：1673-9094-C-（2015）01-0041-03

調查可知，目前淮安市中職校園網建設存在容量明顯不足、網絡安全沒有保障、網絡管理手段落后、建設經費不足等問題。

一、區域中職校園網建設思路

近期，為夯實信息化建設基礎，淮安市出臺了《淮安市中等職業學校標準化校園網建設標準》，在總體設計上以“云服務”理念為核心，堅持統籌規劃、統一標準、模塊化部署、集中投入、校企共建的原則，建設以IPv4/IPv6雙棧網絡技術為基礎，以有線無線一體化、統一身份認證管理、智能化資源管理為特色，高可用、高可控、高智能的云構架網絡平臺，以高度貼合用戶應用需求，提供按需服務（如圖1）。

整個系統分別由校園網絡平臺、數據中心平臺和網絡管理與網絡安全平臺三部分構成。校園網絡平臺主要由智能有線無線一體化泛載接入網、高速雙棧骨干網、融合一體出口網構成;數據中心平臺包括計算單元、存儲單元、網絡池等;網絡管理與網絡安全平臺主要從網絡正常運行與維護的角度考慮必備的軟、硬件設施。

二、區域中職校園網建設方案設計

淮安市中等職業學校校園網建設方案設計主要以“四高”為標準，即“高貼合”的校園網邏輯拓撲圖設計、“高可控”的校園網絡平臺設計、“高容量”的數據中心平臺設計和“高可靠”的網絡管理與安全平臺設計。

（一）“高貼合”的校園網邏輯拓撲圖設計

“高貼合”即是盡量滿足用戶應用需求，提供按需服務，從而根據各學校校園網現狀，設計出科學的校園網絡邏輯拓撲圖。對兩臺核心交換設備進行虛擬化，在安全網關上做統一的出入口流控，行為日志、無線控制、身份認證、網管等由運維中心統一負責，校內各種服務、教學資源等數據全部集中在數據中心。見圖2。

（二）“高可控”的校園網絡平臺設計

筆者認為，區域中職“高可控”的校園網絡平臺設計要以人為本、以客戶需求為導向，其原則為“五個一體化”：一是“接入”一體化，通過將有線網和無線網無縫融合實現有線、無線客戶端一體化全覆蓋接入;二是“交換轉發”一體化，通過AC控制器和有線交換機的一體化設計實現有線、無線流量交換轉發可共用一張網進行高性能轉發;三是管理認證一體化，通過統一網管平臺和統一認證計費系統的一體化設計實現有線無線管理一體化、認證計費一體化;四是IPv4/IPv6一體化，有線和無線全線產品均支持全功能的IPv4/IPv6特性以及IPv4/IPv6一體化認證管理;五是安全認證一體化，有線無線均支持Web Portal/802.1X一體化、外網/內網一體化、準入/準出一體化。

（三）“高容量”的數據中心平臺設計

數據中心是數據大集中而形成的集成IT應用環境，是高性能計算、網絡傳輸、數據存儲的中心。作為IT應用系統的核心，數據中心已成為支撐日常業務運作的重要核心，也是校園網建設的重點。因此，“高容量”的數據中心平臺設計主要是注重“兩大趨勢”，即“整合化、虛擬化”。

一是整合化。隨著云計算、FCoE、刀片服務器等新興技術的引入與應用，有效地解決了整合問題。因為采用FCoE技術可有效將計算、網絡、存儲整合，在大幅降低設備和布線數量的同時也有效降低了人力、電力開支，從而大大降低了整體TCO，并充分簡化了數據中心的物理架構、管理架構。二是虛擬化。虛擬化是一種用于共享資源，使單一的物理資源劃分為許多個別獨立的資源的技術手段，反過來虛擬化也可使得多個獨立的物理資源整合為一個統一的資源。虛擬化的好處是以最小的成本創造更靈活的系統，可輕松地提供靈活的部署、先進的自動化，安全和易于管理。虛擬化的應用體現在3類資源上：服務器、網絡和存儲。數據中心設備要綜合考慮服務器、存儲、網絡、管理、性能、業務連續性等因素，設計完整的云計算數據中心解決方案，整合服務器、存儲系統、網絡、安全設備等資源，形成安全可靠的虛擬主機群集，實現虛擬機熱遷移，秉承“一體化容災”特色，專注于解決虛擬化保護、存儲保護、大數據量保護等難題。采用統一的管理界面可集中管理本項目的計算池、網絡池、存儲池、安全及優化池。要提供SAN存儲網絡架構，為虛擬化系統的部署提供統一存儲空間，提供詳細的存儲網絡架構方案，將新采購的服務器和存儲設備進行整合形成為一體化的數據存儲網絡。方案架構設計要具有彈性的擴展能力，充分考慮用戶未來的發展需求，直至實現本地與容災端的雙活云計算數據中心，最大程度降低投資風險。

（四）“高可靠”的網絡管理與安全平臺設計

網絡管理是通過相應的管理系統對網絡及其用戶進行的管理，目的是保障網絡及其信息服務系統的正常運行。網絡安全是指通過制定網絡安全政策和利用網絡安全技術（包括軟件和硬件）設備對網絡系統和計算機系統進行安全防護。

1.網絡管理設計。

一套好的網絡管理系統能給學校及教師帶來很大的幫助，并減輕很多繁雜的日常事務。隨著學校信息化建設的逐漸展開，網絡的層次也逐漸復雜。中職學校信息中心的教師人數一般不多，如何能高效、及時地管理好整個校園網絡，防患于未然，堵漏于及時，是考核信息中心教師專業水平的關鍵指標。這種管理應針對網絡平臺資源、用戶資源、數據資源、媒體資源進行統一配置與控制。

因此，淮安市中職的網絡管理設計理念主要是做好“四種管理”。一是拓撲自動發現及管理，要設計一套軟件能自動、準確、及時地發現各類大型網絡的拓撲結構，并且可根據管理員設置自動完成更新;二是對設備進行管理，實時監控網絡設備的CPU、內存、流量等性能指標，并可跟蹤這些指標的變化情況，實時查看網絡設備的網管信息，如端口列表、ARP表、STP表、TCP/UDP會話表等信息，手動或自動備份網絡設備的配置信息，監控主機的CPU、內存、磁盤等使用情況，監控HTTP、FTP、POP3、SMTP、ORACLE等應用的可用性;三是對鏈路進行管理，要監控網絡鏈路的通斷、帶寬利用率、流量等信息，在鏈路帶寬利用率超出閾值時報警，并可統計指定時間內鏈路的流量、中斷時間等;四是對終端合法性監控，要設有合法性監測引擎設備，能在不額外消耗網絡帶寬的情況下，自動監測網內終端設備的基本屬性（IP地址、MAC地址、主機名、連接的交換機端口等），提供面向終端的安全性、活躍度、流量管理，并且可通過多種安全策略阻斷非法終端接入。

2.網絡安全設計。

網絡安全是校園網建設的重點和要點，需要多維度、多層面考慮，結合充分的用戶調研和實地驗證，從接入安全防護、無線安全防護到邊界安全防護、安全監控與日志全維度針對數字校園推出了整體安全解決方案，需解決用戶所面臨的所有網絡安全問題。

淮安市中職校網絡安全設計理念主要是注重“四個策略”。一是實施設備自身安全策略。為有效驗證校園網的運營效果，就必須從接入層交換機開始，打造高效、安全、穩定的網絡。對匯聚交換機提供完整的ACL策略，并使用不同的策略進行轉發。通過ACL策略的實施，用戶可過濾掉“沖擊波”“震蕩波”“紅色代碼”等病毒包，防止擴散和沖擊核心設備。支持IEEE802.1x基于端口的認證，為網絡提供端口級的安全保證。配合RADIUS等認證機制，可有效防止非法用戶侵入網絡;對無線安全的控制是在AC控制器中統一進行的，包括無線入侵檢測、統一身份認證、統一門戶、安全加密等，只需要網管人員配置安全策略到AC控制器上，就可完成整網安全策略的配置，除此之外還可結合AC和POE交換機的安全特性，輕松部署ARP立體防御、DHCP Snooping、IPv6 SAVI、ACL等安全策略，有效實現無線網絡的高安全防護能力。二是增加“關鍵協議綠色通道”策略。保障正常、合法、速度合理的關鍵控制報文（VRRP、STP、MSTP、RIP、OSPF、BGP、組播協議、雙引擎板間心跳等）在大流量業務下不被淹沒，快速處理不中斷。三是使用先進的LPM技術策略。可抵抗“沖擊波”病毒、“zero day”病毒、“SQL slammer warm”病毒等。四是實施可控制策略。在端口信任模式上檢測非法BPDU、非法DHCP Server等，從而保障網絡的安全。

中職校園網建設是一個動態的、長期的過程，隨著信息化建設的不斷加快，多種接入方式并存、數字化學習資源總量不斷擴充、各種教育管理業務的集成、天地網絡全覆蓋等對計算機網絡建設的需求越來越高。因此，區域中職標準化校園網建設要加強頂層設計，堅持需求導向，強化信息共享、業務協同和互聯互通，突出建設效能，努力向著高度開放、高度集成、高速互通、虛擬智能、移動互聯等多維度方向全面展開，有效提高網絡服務水平。還要加強經費投入，保持校園網的先進性，定期培訓網管人員，更新設計人員理念，為區域信息化建設水平的整體提升打下堅實基礎。

（責任編輯：章躍一）

A Preliminary Study on the Construction Plan of Regional Secondary

Vocational Standardized Campus Network

LIU Fu & FU Yu-hai

（Jiangsu Huaiyin Business School， Huai'an 223003， Jiangsu Province）

Abstract： This paper puts forward the requirements of standardized campus network construction according to "the Ministry of Education on Accelerating the Promotion of Vocational Education Information Development" from the municipal perspective. Through the investigation of the current situation of secondary vocational campus network in Huai'an and its surrounding cities， it proposes four principles for the regional secondary vocational campus network construction in the hope of promoting its overall standardized construction.

Key words： regional secondary vocational education; standardized campus network; design of construction plan