校園網升級改造實戰

校園網改造之前在地理分布上有兩個網絡，即網絡中心所在的教學樓網絡和教師的辦公樓網絡。教學樓每個樓層的樓層交換機先直連到本樓的匯聚交換機，然后再接到網絡中心的核心千兆二層交換機上，辦公樓的樓層交換機先匯聚到辦公樓匯聚交換機上，然后通過光纖接到教學樓的核心交換機上（如圖1）。

存在問題

原來的校園網絡拓撲結構存在以下幾個明顯問題：

1.教學樓和辦公樓的兩個物理網絡并沒有在邏輯上分開，雖然上級分配了兩個網段，但因為沒有路由器或三層交換機，所以在校內不可能嚴格分開兩個網段，這直接導致了校內IP地址沖突問題嚴重。

2.學校的網絡設備較低級，最好的核心千兆以太網交換機僅為非網管的Netcore NSD 1324D二層交換機，不支持VLAN劃分，這就形成了所有的校內設備都位于一個廣播域內，一旦產生廣播風暴，對整個網絡的性能影響極大。

圖1 原網絡拓撲圖

3.網絡擴展困難，因為沒法細化網段，隨著學校上網節點的增加，進一步增大了IP地址沖突和網絡風暴問題。

4.機房的控制問題，兩個機房均是教師機和其他學生機都連到機房交換機上，但實際使用中往往會產生兩種需求：一是教師機需要和學生機連到同一個網絡，因為要使用屏幕廣播軟件進行演示教學；二是教師機需要隨時連接因特網，但學生機只有需要的時候才能連接上網。原始的網絡拓撲結構導致了要么教師和學生都能上網，要么都不能上，無法進行按需控制。

改造后情況

后來，學校購置了高性能多層交換機RG-S5750-24GT作為核心交換機，一臺DELL服務器提供WWW和FTP等服務，兩臺流媒體服務器作監控用，另外，新翻修了老辦公樓改為實訓樓，需要接入校園網（如圖2）。

圖2 改造后的網絡拓撲圖

改進的地方與解決方案

1.由于升級了交換機，教育局進一步下放了兩個網段的劃分權限。原本設置在教育局的兩個網段的網關，現在轉移到我校自己的核心交換機上，網絡結構更加靈活、便利。

2.利用三層交換機的VLAN劃分及路由功能，根據實際需要，在核心交換機上，我們主要劃分了七個VLAN。

3.對機房網絡的改進。為實現對學生上網的有效控制，機房1里的教師機改為直接連到匯聚交換機上，而機房1交換機負責學生機的網絡連接，實際使用中，若將機房1交換機與匯聚交換機相連（連接圖2中①處，斷開③處），則實現了局域網的廣播教學，但學生機無法連上因特網，而若將機房1交換機直接與核心交換機相連（連接圖2中③處，斷開①處），則可實現學生機的上網。此方案的配置要點：

1）教師機只有一個網卡，因此要給教師機的網卡配置雙 網 段 地 址（VLAN 10和VLAN 20），就可實現教師機總是可以通過VLAN 10的IP地址上網，同時，當與機房1的交換機連接時，又可通過教師機端程序控制學生機（VLAN 20的IP地址）。

2）此設計要防止網絡環路問題，要確保機房1交換機同一時刻只能連接匯聚交換機或者核心交換機，而不能同時相連，即圖2中①和③不能同時相連。

3）為加強對學生機上網的集中控制，可采用在三層交換機上進行MAC地址綁定，從而實現機房1的學生機只能通過VLAN 20接口（即連接圖2的③處）上網，即使學生私自改動IP地址為教師機所在的VLAN 10地址段也不能通過接入VLAN 10網絡上網（圖2的①處）。

4）這種拓撲結構最終控制權回到了網絡中心的核心交換機上（學生機若要上網，只能直連核心交換機），因為學生機并不需要總是連接因特網，實際操作中，可以要求教師在上機前到網絡中心申請學生機連接公網，下課后斷開學生網絡的方式來加強管理與控制，同時也能有效防止環路。

5）對于機房2的改進（如圖2），與機房1類同，但也要確保圖2中的②和④兩處線路不能同時連接，以防環路。

4.單獨劃分一個VLAN 40給監控網絡，VLAN 50給辦公網絡，VLAN 60給web服務器（配置雙網卡、雙網線連接、雙網段IP，分別對應內網網段和外網網段，如圖2），VLAN 70用于向上連接教育局網絡。這樣就實現了幾個相對獨立網絡之間的隔離。

5.由于當初老辦公樓建設時對網絡布線方面考慮不足，各個房間都沒有網絡信息模塊插座，為了美觀與方便，決定采用無線網絡的方式連到校園網中，而新老辦公樓之間的距離較近（100米以內），因此直接用雙絞線從新辦公樓的信息插座通過地下線纜敷設連接到了老辦公樓的主無線路由器上，然后在每個樓層放置2臺無線路由器，并進行無線路由器之間的橋接，同時給樓內的臺式機配備了USB無線網卡，從而實現了實訓樓低成本、美觀地接入校園網。

核心三層交換機的典型配置

校園網升級后的優勢

1.通過VLAN的劃分隔離了廣播域，有效地控制了廣播風暴的發生，強化了網絡管理和網絡安全，減少了不必要的數據廣播，顯著增強了校園網的穩定性、安全性與健壯性。

2.使用MAC地址綁定技術，在VLAN中綁定已用IP地址為實際主機MAC地址，同時綁定未用IP地址為MAC地址全0，杜絕了IP地址沖突問題，防止了IP地址盜用和私改IP問題，同時也加強了對上網機器的監控。

3.通過劃分子網，更有效地利用了地址空間，減少了浪費，故障定位與隔離更加方便。后期還可通過VLSM (可變長子網掩碼)，靈活分割剩余地址空間，減小網絡規模，進一步提高利用率。

4.對兩個機房的改造上，通過分別將其劃分到一個單獨的VLAN中，采用內外網隔離的方式，結合網絡中心的控制，實現了教師機的全天候上網和對學生機上網的完全控制，避免了網絡環路問題，加強了學校機房的上網管理。

結語

多層交換機的VLAN技術中，VLAN的劃分與隔離、VLAN間的通信（主要采用SVI接口配置）等是VLAN應用的基礎，由于其配置簡單靈活，現已廣泛應用到了企業網和單位的局域網建設中，再結合子網的劃分與靈活配置，能盡可能地發揮網絡的性能，同時可最大程度地減少廣播風暴等不利因素的影響。

因此，如何根據本單位網絡實際情況，科學合理地規劃與配置網絡，是每個網絡管理者都應該認真考慮與研究的問題。