數字化校園網的規劃與設計

薛秀鑾

【摘 要】本課題建設了一個新型的數字校園網，首先對校園網建設的背景和意義進行了闡述；其次結合校園網建設背景對校園網整體進行了規劃，包括校園網管理平臺、共享數據中心和校園網絡，網絡規劃主要對涉及到路由協議選用、IP地址劃分和VLAN劃分；最后對校園網進行了設計，包括部署架構設計、服務器設計、存儲系統設計和安全體系設計，安全體系設計包括安全體系需求和校園網安全體系設計。通過對校園網的規劃和設計，能夠大大提高學校硬件資源的使用效率，提高校園網絡的運行速度，降低投資及運營成本。

【關鍵詞】校園網；網絡規劃；網絡設計；網絡安全

0 引言

計算機和網絡技術在高校中的應用越來越普遍，高校數字化程度也越來越高。現今，每一所高校都有著自己的校園網，并且都會接入到中國教育網和互聯網。但是，計算機技術的發展是迅速的，無論是軟件還是硬件更新換代都特別的快，網絡需求越來越大，需要的功能也越來越強大，這也就意味著對網絡的性能要求越來越高，這也是導致了目前許多高校在校園網中各種問題的暴漏。例如有的校園網因為建設得早，網絡規劃過于簡單，安全系數低，服務器性能差，已經無法滿足教師和學生的需求，影響了教育資源的共享，老師的辦公以及平時的娛樂等等。

在一個信息化時代，每一所高校都需要運用信息化技術來獲取當前科技的最新成果，并通過信息化手段來管理教學、科研等，這是目前的狀況，也是將來高校發展的趨勢。建設一個新型的數字化校園網，其最終功能不僅要滿足在校廣大師生的上網需求，還應該滿足高校的現代化教學管理需求，提高高校的整體教學水平與管理水平。現代校園網的建設不僅是網絡平臺的建設，而是要以網絡為平臺，實現用戶管理、數據管理、信息管理、電子圖書管理、考試系統管理等等多方面的校園管理功能建設，只有這樣才是一個高信息化的高校，也才能更好地保障整個校園網絡用戶的安全以及在校師生更好地教學和學習，防止惡意的網絡攻擊。

如何設計出一個擴展性好，性能優良并能滿足一所高校所有師生的需求的校園網，是如今高校所面臨的一個重要問題。

1 校園網整體規劃

1.1 校園網架構規劃

網絡是學校進行數字化建設的重要基礎，校園網絡的規劃及設計直接影響著校園網建設的合理程度，通過研究分析，我們把校園架構規劃為六層，最底層為網絡層，通過網絡基礎管理平臺進行管理，網絡層之上是各業務子系統的部署，業務子系統之上是數據采集和交換系統，數據采集和交換系統之上是共享數據中心，共享數據中心之上是統一身份認證和各種應用服務，包括財務服務、教學服務、人事服務、科研服務、設備服務、辦公服務、數字檔案館服務、數字圖書館服務、學生服務、校友服務、信息服務、分析服務、報表服務和醫療服務等，最頂層是校園綜合信息服務門戶，校園網規劃建設中，以信息資源整合標準和信息資源管理規范作為標準和規范進行建設，如圖1所示。

校園網絡拓撲結構的規劃要以統一管理和高效安全為前提，對校園網絡拓撲進行層次化和模塊化的規劃，保障校園網絡的安全性、效率性、穩定性和擴展性，另一方面，技術也要達到一定的要求，最終規劃出一個合理的校園網絡拓撲結構，如圖2所示。

數字化校園建設根據實際情況而定，主要從IPv6網和無線網兩個方向進行建設，也就是說，必須要有符合這兩個方向的技術進行支持，來規劃建設一個IPv6網和無線網交替的校園網絡環境。

1.2 數據中心規劃

數據中心也就是數據共享中心，它實現了校園中各種應用系統的集成，數據信息的交互和共享。數據中心中的數據要按一定的標準進行規范，以提高數據交互的效率，而且各應用系統間要保證相對獨立。校園數據中心架構如圖3所示。

數據中心是校園網絡平臺的共享中心和交互平臺，數據中心把學校中的各種業務數據信息按照統一的標準或規范進行整理分類，然后對數據信息進行統一管理，保障校園各種應用系統的數據支持功能，具體功能如下：

（1）數據采集

數據中心的數據通過校園各應用系統得到，然后經抽取和同步兩種方式把數據存儲到數據中心，得出一個數據更新的結果報告。

數據整理

（2）按照學院的信息統一標準對各個部門更新的數據進行整理，要做出報告數據異常，保證數據的一致性和準確性，且保留歷史數據。

以校園數字化建設的統一標準和規范為基礎，對系統更新的數據信息進行整理，在整理的過程中，一定要保證數據的準確性，確保歷史數據安全。

（3）數據共享

數據共享是按照用戶權限進行，根據權限的不同，用戶能夠對數據中心的部分數據信息全部數據進行查看，并保留查看歷史情況。

1.3 網絡規劃

（1）路由協議選用

路由主要分為靜態路由及動態路由，其中靜態路由適合于在小型網絡中使用，在設備上配置靜態路由的時候需要指定下一跳的目的地址，所以對于大型網絡來說就需要配制數量巨大的路由條目，因此靜態路由不適合，只是對于局部路由可以使用，否則整個路由條目過多會造成路由混亂，路由也不好聚合。而動態路由中，RIP協議是以跳數為基礎來判斷路由的線路，大于16跳就會認為路由不可達，所以現在網絡也基本不再使用；EIGRP協議為思科公司的私有協議，它無法實現區域的劃分，對于校園網這種大型網絡并不適合；BGP協議運用于大型網絡之間的路由交互，對于園區網絡來說并不適合；OSPF（最短路徑優先協議）協議是當今社會使用最為廣泛也是最為實用的一種網絡協議。

（2）IP地址劃分

劃分具體的IP地址要考慮網絡拓撲結構、路由策略、建筑分布、學院以及部門等因素。同時在設計地址規劃時，提前考慮好使用地址數量和地址類型，根據劃分的區域，每個人子區域獲得一個IP地址段。三層交換機對于具有路由功能的端口也要分配IP地址，并且要把網絡段設置為最小的4個IP地址，這樣可以節省IP地址。除端口IP地址和網關地址，每個區域的子網，都通過DHCP協議動態分配IP地址，上網的同學和老師，登錄學號和密碼上網。根據具體的情況為了節省IP地址，使用子網掩碼對IP地址進行劃分，把大的IP地址劃分一下，并利用超網技術實現路由的匯總。

（3）VLAN的劃分

首先，高校里學院眾多，部門也多，對安全的需求也相對很高。因此對每個不同的學院、部門以及區域有條理的劃分VLAN。首先，每個學院為一個VLAN；其次學校的一些部門每個部門都要分一個VLAN。每個學院內部通信不經過網絡層，會更加方便，個別區域網癱瘓，不會影響其它區域網。

由于現實中，可能由于一個VLAN中的一個末端設備出現故障導致整個VLAN形成廣播風暴導致傳輸速率下降，所以可以采用QinQ策略。在同一個VLAN中繼續再次的VLAN劃分，這樣給每一個部門的每一臺設備分一個VLAN，但相同部門的VLAN還同在公共的VLAN之中，這樣使得內部更加安全，也不會因為一個末端設備的損壞導致整個VLAN傳輸質量的下降。

2 校園網網絡設計

2.1 部署架構設計

結合學校數字化建設的實際需求，充分考慮到校園網的使用情況，我們采用小型機以及刀片服務器來組建校園服務器平臺。根據校園的實際需求來購置小型機組建校園網服務器，同時數據庫采用Oracle數據庫存儲數據，服務器中數據庫的負載均衡經及容錯通過Oracle RAC進行實現，首先存儲系統采購兩臺，一臺進行數據存儲，另一臺進行數據備份，這樣能保障數據的安全性，然后根據需要，為校園配置多臺刀片服務器，并通過集群的方式結合在一起，作為校園服務集群系統，如圖4所示。

2.2 服務器設計

刀片服務器具體要求如下：

（1）信息門戶服務器兩片

（2）身份認證服務器兩片

（3）應用系統服務器數片

（4）數據交換服務器一片

2.3 存儲系統設計

為了保證校園網的長遠規劃及建設，我們在建設校園網基層時盡量采用以數據存儲為核心的校園網系統架構，以數據存儲為核心的系統架構能夠高效地與前臺進行數據交互，高效地使用存儲空間，保證數據存儲的安全性，節省校園網建設投資，最重要的是能夠規范數據信息，實現集中管理。

數據存儲為中心對整個存儲系統I/O有很高的要求，需要選用集中式，高性能，大容量，智能化的存儲區域網（Storage Area Network，簡稱 SAN）來構建存儲環境。

采用數據存儲為中心的 SAN 解決方案，集中的解決了系統體系結構中對存儲 I/O 性能和數據庫應用共享的挑戰，它的主要特點主要是：

（1）開放的標準，適合于服務器和存儲設備之間的共享

（2）高性能的數據存取

（3）具有高度的可擴充性

（4）具有無與倫比的可靠性

（5）基于 SAN 的備份恢復、災難恢復等多種解決方案

（6）集中式管理

2.4 校園網安全體系設計

圖5中，DMZ區（隔離區）主要為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，這個緩沖區位于內部網絡和外部網絡之間的小網絡區域內，在這個小網絡區域內可以放置一些必須公開的服務器設施，如Web服務器、FTP服務器和論壇等。兩個防火墻能夠為企業內部網絡的安全增加多一層安全。外部防火墻能夠將外網的網絡威脅降到最低，內部防火墻能夠將內網的網絡威脅降到最低，兩個防火墻一起工作，這能夠將企業的安全大大提高，讓企業數據在學校中安全的共享和交互，但投資成本也相應更加。

3 結束語

本課題建設了一個新型的數字化校園網，首先對校園網建設的背景和意義進行了闡述；其次結合校園網建設背景對校園網整體進行了規劃，包括校園網管理平臺、共享數據中心和校園網絡，網絡規劃主要對涉及到路由協議選用、IP地址劃分和VLAN劃分；最后對校園網進行了設計，包括部署架構設計、服務器設計、存儲系統設計和安全體系設計。本課題對校園網規劃與設計仍存在很多不足，需要在今后的時間里認真地研究分析和進一步完善。

【參考文獻】

[1]呂叁妮.VLAN技術在校園網中的應用綜述[J].軟件導刊.2012（09）.

[2]陳華.淺談路由器技術[J].科技信息.2011（07）.

[3]姚東鈮.防火墻發展的新趨勢[J].中國高新技術企業.2010（13）.

[4]王東.OSPF路由協議在多區域中的應用[J].重慶科技學院學報. 2010（02）.

[5]江海.NAT技術在支隊級局域網中的應用[J].福建電腦.2010（02）.

[6]王德民.校園網的設計與管理[J].齊齊哈爾大學學報（哲學社會科學版）. 2014（05）.

[7]鄭春.軟硬件結合的校園網安全策略[J].軟件導刊.2013（08）.

[8]徐亞鳳.解析校園網絡的安全及管理[J].牡丹江大學學報.2008（08）.

[9]李德水.基于IEEE802.1Q幀標記的VLAN實現原理[J].信息技術. 2006（10）.

[10]黃治虎，藍章禮.校園網安全問題及策略[J].重慶交通學院學報. 2006（01）.

[責任編輯：王偉平]