高校學生宿舍網(wǎng)絡架構研究與設計

魏評

（無錫科技職業(yè)學院信息中心，無錫 214028）

高校學生宿舍網(wǎng)絡架構研究與設計

魏評

（無錫科技職業(yè)學院信息中心，無錫 214028）

0　引言

隨著中國教育信息化的飛速發(fā)展，校園網(wǎng)建設與應用為高等教育事業(yè)注入了新的活力。大學生作為高校中最重要的一個群體，在學習生活上對Internet接入有著強烈的需求。宿舍網(wǎng)的建設應用與管理維護已成為高校信息化工作的一個重要組成部分。

1　學生宿舍網(wǎng)需求分析

大學生在全國網(wǎng)民中占有較高比例，近年來高校的網(wǎng)絡建設從教學辦公區(qū)、圖書館、實驗實訓中心與社團活動中心延伸到了宿舍區(qū)域。大學生需要在宿舍里方便地接入Internet，實現(xiàn)互聯(lián)網(wǎng)信息檢索、教育資源下載、網(wǎng)絡學習、郵件收發(fā)、即時通訊等多樣化應用。同時宿舍網(wǎng)的管理也變得日趨復雜，高帶寬視頻點播、P2P下載、網(wǎng)絡病毒、黑客攻擊等都對宿舍網(wǎng)的安全運營帶來諸多問題。構建一個傳輸穩(wěn)定、易于管理、具有高可靠性和安全性的宿舍網(wǎng)，對網(wǎng)絡整體架構研究設計提出了很高要求。

2　宿舍網(wǎng)架構研究與設計

2.1宿舍網(wǎng)拓撲架構與VIAN規(guī)劃

宿舍網(wǎng)是校園網(wǎng)的重要子網(wǎng)，規(guī)劃信息點總數(shù)超過了8000個。整體拓撲架構分為核心層、匯聚層和接入層：信息中心總機房為核心節(jié)點，配備高端交換機、路由器、防火墻等網(wǎng)絡設備，采用電信、教育網(wǎng)等多光纖鏈路接入Internet；宿舍區(qū)分布著多棟建筑樓宇，每棟樓宇設置一臺匯聚交換機，主干鏈路采用單模光纖與核心交換機互聯(lián)；各樓宇內(nèi)部每一層配備3至5臺接入交換機，采用單模光纖或六類網(wǎng)線與匯聚交換機互聯(lián)。每個宿舍房間內(nèi)配備4至6個接入信息口，通過超五類網(wǎng)線與接入交換機相聯(lián)，每個信息口對應連接一臺學生計算機。

每一個宿舍樓層的接入計算機總數(shù)一般不超過200臺，每個樓層可劃分為一個獨立的C類網(wǎng)段，同屬于一個VLAN虛擬局域網(wǎng)。規(guī)劃VLAN總數(shù)為52個，包括50個樓層接入網(wǎng)段、1個交換機設備網(wǎng)段、1個應用服務器網(wǎng)段。通過合理的規(guī)劃VLAN可以限制宿舍網(wǎng)廣播域，防止廣播風暴的產(chǎn)生，從而節(jié)省網(wǎng)絡帶寬和提高數(shù)據(jù)傳輸性能。配置VLAN訪問控制策略，各樓層VLAN內(nèi)部的計算機可以互訪，跨VLAN的計算機相互隔離，無法直接互訪。各樓層VLAN與核心層設備VLAN路由直達，校內(nèi)主干光纖鏈路傳輸帶寬大于1000兆，采用端口匯聚技術后主干帶寬大于2000兆。

2.2網(wǎng)絡帶寬與流量管理

ISP提供的互聯(lián)網(wǎng)接入光纖帶寬從100兆至1000兆不等，由于宿舍聯(lián)網(wǎng)信息點眾多，網(wǎng)絡訪問流量巨大，合理地分配帶寬流量顯得尤為重要。測試表明在核心節(jié)點管理整個宿舍區(qū)帶寬，需要對大量接入IP進行實時流量控制，容易引起核心設備工作負荷過重而影響整體網(wǎng)絡性能。推薦在接入層交換機配置端口限速，硬件指標上交換機端口具備上下行限速粒度小于等于1兆。通過配置端口限速，可防止某些計算機占用過多的網(wǎng)絡帶寬，均衡分配每個VLAN網(wǎng)絡通信流量，確保整個宿舍網(wǎng)絡傳輸穩(wěn)定。以H3C E352交換機為例，配置接入層端口1至48口上下行速度為2兆，參考命令如下：

2.3認證與計費管理

常用的聯(lián)網(wǎng)認證方式包括：802.1x、PPPoE、Web認證等。認證技術應重點考慮以下幾點：大部分學生計算機安裝Windows操作系統(tǒng)，少數(shù)可能安裝Linux、Apple Mac OS X等系統(tǒng)。認證技術應具備較好的兼容性和通用性，不能局限于某一品牌型號的網(wǎng)絡設備、某一類操作系統(tǒng)。特別是交換機等硬件設備升級時，認證方式具備一定的延續(xù)性和有效性。該宿舍網(wǎng)架構采用一個信息端口對應連接一臺計算機網(wǎng)卡，不推薦使用內(nèi)部路由器或架設代理服務器等。這樣可以根據(jù)用戶賬號、密碼、MAC、IP地址、樓層VLAN、交換機IP、交換機端口號等參數(shù)與認證綁定，嚴格識別聯(lián)網(wǎng)學生用戶身份。如果檢測發(fā)現(xiàn)私設內(nèi)部無線網(wǎng)、路由器與二級代理等，認證系統(tǒng)會強制用戶下線?？紤]到學生宿舍搬遷、房間內(nèi)部調(diào)整等特殊情況，認證系統(tǒng)可以經(jīng)數(shù)據(jù)庫比對靈活授權管理員綁定各類參數(shù)。宿舍網(wǎng)運營需要大量的經(jīng)費支持，同時也為學校提供了一些收益，合理的計費管理是重要的保障措施。計費管理可以與認證技術、校園一卡通相結合，采取包年、包月、包學期、包流量等方式，適應在校大學生的經(jīng)濟承受能力與多種聯(lián)網(wǎng)需求。

2.4網(wǎng)絡安全監(jiān)管

為深入貫徹落實公安部第82號令《互聯(lián)網(wǎng)安全保護技術措施》，必須加強高校宿舍網(wǎng)的安全管理。加快網(wǎng)絡監(jiān)管平臺與安全保障措施建設，防止用戶散布有害信息、傳播病毒等。推薦采用公安部監(jiān)制、具有“計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可”的網(wǎng)絡硬件設備和軟件系統(tǒng)進行統(tǒng)一管理，盡量減少網(wǎng)絡安全突發(fā)事件對宿舍網(wǎng)正常運行帶來的影響。在校園網(wǎng)出口處配備網(wǎng)絡行為監(jiān)管器，結合端口鏡像技術對宿舍網(wǎng)內(nèi)部每個接入IP進行日志審核與記錄。一旦學生在網(wǎng)絡發(fā)布不良言論或者進行網(wǎng)絡攻擊后，能夠通過日志審查確定用戶身份，精確定位到個人。

ARP攻擊、蠕蟲病毒是常見的網(wǎng)絡攻擊方式，嚴重破壞和干擾到某個VLAN網(wǎng)段的計算機正常上網(wǎng)。建議配置三層以上智能交換機，上網(wǎng)認證后該交換機端口即與網(wǎng)卡的MAC智能綁定，網(wǎng)絡管理平臺自動記錄IP與MAC的對應關系。一旦系統(tǒng)檢測出MAC仿冒、ARP/UDP攻擊、網(wǎng)卡發(fā)送大量攻擊數(shù)據(jù)包網(wǎng)管系統(tǒng)即自動禁用該交換機端口，把問題主機隔離出來，防止進一步破壞。為進一步加強宿舍網(wǎng)安全，可配置STP生成樹協(xié)議、廣播包抑制、ACL訪問控制列表、QoS服務質量和架設宿舍網(wǎng)內(nèi)部殺毒服務器等。

3　宿舍網(wǎng)的功能拓展

隨著宿舍網(wǎng)應用的不斷深入，某些技術層面需要作進一步功能拓展與升級。因ISP服務商接入帶寬有限，每個接入端口帶寬并不充裕，限制了某些高帶寬的網(wǎng)絡應用。建議ISP局端組網(wǎng)架構進行升級，理想的Internet接入總帶寬是提高到萬兆以上。提高校園網(wǎng)內(nèi)部骨干網(wǎng)傳輸帶寬，核心層與匯聚層設備的互聯(lián)向萬兆過渡，每個接入端口帶寬升級到50兆以上。IT專業(yè)的學生課后需要在宿舍里練習大量網(wǎng)絡實驗，如架設網(wǎng)站、配置各類應用服務器，需要在防火墻設置端口映射、VPN和NAT轉發(fā)等，這對宿舍網(wǎng)管理技術提出了更高要求。隨著智能手機、筆記本電腦等移動終端的大量普及，構建并覆蓋整個宿舍區(qū)的無線網(wǎng)可在下一階段校園信息化建設中規(guī)劃實施。

4　結語

宿舍網(wǎng)的建設使學生在住宿區(qū)也可以與網(wǎng)絡世界互聯(lián)互通，提升了高校整體信息化水平。大學生可以足不出戶充分利用校園網(wǎng)信息平臺，合理協(xié)調(diào)教育教學與精品課程資源，進行網(wǎng)絡課程學習與成績查詢、文獻與期刊論文檢索、發(fā)布各類講座與社團活動通知、查詢一卡通消費信息等。高校通過建立公眾微信平臺、網(wǎng)上黨校等新興網(wǎng)絡媒體，在加強大學生政治思想教育等方面也可以起到促進作用。

Dormitory Network；VLAN

Research and Design of College Student Dormitory Network Architecture

WEI Ping
（Wuxi Professional College of Science and Technology，Wuxi 214028）

1007-1423（2015）31-0041-03

10.3969/j.issn.1007-1423.2015.31.011

魏評（1975-），男，江蘇無錫人，高級工程師，碩士，研究方向為高等計算機網(wǎng)絡

2015-10-13

2015-10-31

高校學生宿舍網(wǎng)是校園網(wǎng)建設的重點工程，具有聯(lián)網(wǎng)信息點眾多、地理覆蓋區(qū)域集中、對網(wǎng)絡安全性要求較高等特點。參考大型局域網(wǎng)設計規(guī)范，對高校宿舍網(wǎng)拓撲架構與VLAN規(guī)劃、網(wǎng)絡帶寬與流量管理、認證與計費管理、網(wǎng)絡安全監(jiān)管等技術深入研究設計，對組建宿舍網(wǎng)工程具有較高的參考價值。

宿舍網(wǎng)；WLAN

As the focus of the campus network construction project，the college dormitory network has a wide range of features，such as rich networking information，intensive coverage area and high requirement of network security.Uses large LAN specifications as reference，studies college students'dormitory network topology and VLAN planning，network bandwidth and traffic management，authentication and accounting management，and technology of network security supervision.Provides high reference value to dormitory network project.