基于DHCP協議的高校宿舍網絡規劃

惠震

摘要 本文以西安工程大學宿舍網絡為例，結合筆者的工作經驗，同時借鑒兄弟院校的成熟案例，從教師管理和學生使用的雙重角度重新規劃該校宿舍的網絡管理方案，提出DHCP的宿舍上網模式，旨在提高學生用網的用戶體驗度，減少運維老師處理故障的業務量，最終提升校園網絡在高校教育過程中的重要作用。

關鍵詞 宿舍網絡 IP地址 DHCP 服務

0引言

隨著網絡技術應用的快速發展，高校師生對校園信息化的需求日益增強。信息化是當今世界發展的大趨勢，是推動經濟社會變革的重要力量。息技術對教育發展具有革命性影響。全球發達國家高度重視數字化建設、信息技術進步對于教育事業的影響作用，我國政府也將教育信息化的工作擺在前列，強調大力普及信息技術教育，以信息化帶動教育現代化。當前校園基礎網絡的建設難以滿足廣大師生對網絡的需求，而作為大部分學生主要生活環境的宿舍網絡也是各高校不可避免的重點環節之一。基于此，高校宿舍網絡的規劃完善與質量提升有著重大的意義。筆者以西安工程大學宿舍網絡現有的環境為基礎，基于教師管理和學生使用過程中出現的問題進行重新規劃與設計，以期提升學生用網的體驗度。

1西安工程大學宿舍網絡現狀與問題

西安工程大學校園網絡先后借助2002年國家“西部大學校園計算機網絡工程”和2012年結合西部高水平大學建設工程，組織實施了50多項建設工程，實現了覆蓋金花、臨潼兩校區服務于兩萬多師生員工的共計12000個網絡信息點，敷設光纜80余千米，其中金花臨潼兩校區實現了萬兆光纖直連。該校學生宿舍網絡有6000多信息點，占用了較大的網絡資源并且難于管理，信息點故障率較高，給該校網絡運維工作帶來巨大的壓力。

1.1宿舍網絡現狀

該校的基礎網絡建設采用以太網的組網模式，使用傳統的“核心層-匯聚成-接入層”三層模式建設校園網絡，保證校園網絡主體網絡框架的穩定。宿舍網絡主要在校園網絡的匯聚層和接入層，采用傳統的以太網技術，基于Vlan劃分的思路既提高了局域網的穩定性和安全性。宿舍網絡采用基于portal的客戶端認證方式，學生需要申請網絡賬號和IP地址才能正常使用校園網絡。在電腦端配置IP地址、子網掩碼、默認網關、首選DNS和備用DNS信息，通過客戶端認證就能正常使用校園網絡。

1.2存在問題

經過筆者近些年的工作經驗發現西安工程大學宿舍網絡使用存在諸多問題，包括網絡運營商破壞宿舍網絡秩序、管理規范不完善等，導致學生注冊量不高，有如下幾方面問題。

（1）學生的“零認知”使用習慣。對于現代高校的大的學生，由于素質教育的弊端以及專業的絕對劃分，大部分學生對于網絡的認識幾乎為零，他們僅僅會使用網絡，對于任何配置上面的問題和處理都要借助于他人，這樣子使得更多的使用盲區問題體現出來，包括IP地址、子網掩碼、網關、DNS以及路由器的配置等。（2）單一信息點的使用問題。宿舍網絡的信息點分布密集，宿舍網絡用戶的流動性大，比較難以控制與管理，對各上網信息點的可管性與可控性的要求是必需的，所以必須落實基于用戶的接入認證、授權和計費等控制手段。這樣子，就需要每名學生各自注冊自己的網絡賬號，而同一賬號只允許單一網絡終端使用，同時每個宿舍只有一個信息點，導致學生無法使用移動終端上網。（3）運營商介入。隨著計算機網絡和移動通信技術的發展，越來越多的網絡運營商和服務提供商投入到通信市場的競爭中，高校宿舍網絡建設是他們爭奪的市場。針對西安工程大學來說，在完全自主運維的前提下，由于師資力量投入的相對薄弱，疏于對宿舍網絡的規范管理。另一方面，校方對運營商沒有有效的約束手段，其完善的網絡服務體系贏得較多的學生使用。（4）教師疏于指導。現如今高校網絡中心的職責已經轉到數字化校園建設的高度，對于學生宿舍網絡的使用問題進一步淡化，這是目前高校宿舍網絡管理的普遍現象。而且年年都有批量調寢的情況，用戶的IP地址也要隨之變更，網絡維護難度增大。

2基于DHCP的宿舍網絡規劃

該校采用靜態IP地址的上網模式是最傳統也是最方便安全的，然而學生在注冊的時候，通常會問什么是IP地址、IP地址如何配置等。對此，網絡中心也試圖用文字的方式進行提示和幫助，但始終沒達到預期的效果。筆者通過相關文獻調研和電話考察兄弟院校的宿舍網絡使用現狀，多數采用DHCP的上網模式，認為動態獲取IP地址方式是目前較為容易接受的上網使用方式，既解決了學生使用盲區的問題，同樣解決了大量的電話故障受理的問題，具體規劃方案的步驟如下：（1）該校學生宿舍網絡IP地址配置在匯聚層交換機上面，接入交換機只是對應了該接口的VLan。在最大限度保留原有配置的基礎上用最簡單的方式進行升級規劃，就要在匯聚層交換機上面添加DHCP地址池，對原有發布的VLan地址一一對應，保證用戶端能夠獲取到對應VLan的IP地址。（2）既然改造目的是用戶端自動獲取IP地址，那么在認證系統的后臺管理中，原有的固定IP地址與賬號問的對應關系應當取消。然后，需要對學生進行一定的管控，只允許單一賬號在限定的物理區域內上網，實際上是對用戶組進行IP地址段限定。（3）在認證計費系統中應當指定新的策略規則，增加同一賬號通過客戶端認證方式上網的同時在線用戶數。因為原有的宿舍網絡不允許單一賬號同時多人使用，否則無法對學生用網情況進行合理的管控與預防。為此，根據現有學生使用網絡的情況，應當設置為允許同時在線數為“2”，保證電腦和移動端同時使用。

3規劃測試與完善

在新方案大規模實施前，畢竟學生在無時無刻的使用校園網絡，還是應當在能夠接受的小范圍內進行測試，故筆者將該校9號宿舍樓作為測試對象。根據該校宿舍樓匯聚層交換機的WEan配置可以清楚地看出來，VLanl為互聯WEan，即與核心層交換機直連，而每一層樓分別為一個用戶VLan，使用A類的私有地址。現需要在該匯聚交換機上面啟用DHCP服務功能，需要在全局模式下配置如下：

system

[H3CS5800-9]dhcp enable

然后在添加對應的DHCP地址池，為了便于管理，對每一個地址池命名與原有用戶VLan一致，具體配置如下：

[H3CS5800-9]dhcp serverip-pool vlan119

[H3CS5800-9-dhcp-pool-vlan119]network10.19.11.0 mask255.255.255.0

[H3CS5800-9-dhcp-pool-vlan119]gateway-list 10.19.11.254

[H3CS5800-9-dhcp-pool-vlan119]dns-list 218.30.19.40202.200.200.1

將該匯聚交換機中發布的所有用戶Vlan都創建一一對應的DHCP地址池，該測試操作全部完成。僅僅是簡單的幾部操作，可以使用戶無感知的使用網絡。但是在為期一個月的測試階段還是出現了問題，有時會出現“一層樓的宿舍同時不能上網”，筆者開始根據該情況做如下分析：（1）如果剛開始網絡正常使用，而是后期出現問題，那證明交換機的配置使正確的，用戶端已經能夠獲取到IP地址；（2）整層樓同時不能上網，而他們是在一個VLan中，就是說同一VLan出現了問題；（3）在配置沒有錯的前提下，應該是當初考慮配置的時候還不夠全面。

基于此的分析，筆者和該校網絡中心老師到宿舍實地考察情況，結果發現有學生在使用路由器的時候，把入戶線連接到路由器的LAN接口上。而交換機的物理端口具有一定的學習能力，能夠讀取到用戶路由器中發布的私有IP地址，導致該學生的路由器發布的c類私有地址通過接入交換機發布到該VLan中，使得同一VLan中的其他宿舍用戶所對應的端口在認證時獲取到的實際上是該路由器發布的地址，繼而導致該現象的出現。

實際上，DHCP協議簡單，沒有任何認證機制，如果有人在這個網段上配置或假冒一臺DHCP服務器，就會錯誤配置客戶機，導致用戶無法使用網絡資源，而如果網關地址被配置到DHCP客戶機時，會影響到整個網段的用戶可能在一段時間內都無法上網。針對該網絡現象，應在每個接入層交換機中開啟DHCP snooping服務，該服務時用于監聽DHCP服務功能的工。在開啟該服務后，交換機默認對所有接口為untrust狀態，即為不信任狀態，防止任何接口接受發布的IP地址。那么，在配置中就必須在級聯端口及Trunk口中配置為trust狀態，才能實現該設備只允許自上而下的獲取IP地址，具體配置如下：system

[H3CE528-9-1]dhep enable

[H3CE528-9-1]dhep snooping enable

[H3CE528-9-1]interface GigabitEthemetI/0/24

[H3CE528-9-1-GigabitEthernetI/0/24]dhcp snooping trusted

針對所有的接入層交換機都需要進行該配置才能保證整個網絡的正常運行。在接下來的測試過程中按照預期的規劃運行，并未再出現其他網絡問題，可以大規模實施。

4結束語

經過為期一個月的測試實驗，證明該方案確實可行并能夠緩解目前網絡運維的工作壓力，最終在該校園宿舍網絡中大規模使用。整個校園宿舍網絡全部調整為自動獲取IP地址的上網模式，并且可以供學生多終端使用，解決了手機上網的問題，在學生范圍內取得了較好的反響。在信息化高速發展的現代社會，作為校園網絡的管理者要保持與時俱進的態度，還要實時走在校園信息化發展的前列，不僅能夠提高高校的整體工作效率，而且能夠減少自身的工作壓力，提升全校師生的網絡使用體驗度，減少網絡故障業務量。