低成本校園網絡設計探索

程凱 宜昌市機電工程學校

低成本校園網絡設計探索

程凱 宜昌市機電工程學校

1 校園網絡現狀分析

自從互聯網進入人們生活后，校園這一特殊環境，也誕生了校園網這一特殊的網絡布局架構。為什么說特殊呢？首先，用于生產實踐的網絡應該是企業網（或園區網），它有統一的定義和專業的硬軟件標準，是工業體系中的一部分。而校園網不同，各大中專院校的校園網多是在原來的微機室、計算機房、電腦室的基礎上逐步發展起來，然后加入到教學網和辦公網，再外接服務器等等，是一邊使用，一邊增加，一邊修改而來的。這就意味著它不可能嚴格遵循工業標準中的企業園區網絡布局。

其次，每一所院校，對校園網絡的資金投入都各不相同。而且既不連續，又在空間分布上因陋就簡。結果是各級各類標準、不同時代的硬軟件，都可以在校園網中找到。我曾經在同一個辦公室，遇到過Windows XP、Windows7、Windows10三代操作系統，并且還要求打印機共享互聯，設置起來不僅是麻煩，而且有時候實現不了。

第三，校園網絡的安全問題不容忽視。這一安全問題不是來自外網和互聯網，恰恰相反，來自內網。處于青年時期的大中專學生，對網絡充滿興趣，校園網是他們最方便的“樂園”。結果是，破壞性不大，但是攻擊者多。造成的后果不嚴重，但是解決起來麻煩。當然，網絡管理人員的不重視，也是造成這一結果的原因之一。

最后，校園網雖然不大，但是承載的業務可不少，以我所在的附近幾所院校為例：一個校園網，必須要包括：安防監控網絡分支；校園廣播電臺網絡分支；電視臺網絡分支（數字廣播電視）；辦公網絡分支；網絡鈴聲控制系統；學生上機實訓機房網絡；各級各類對外服務器集群等等。應用業務寬泛，各網絡分支對網絡帶寬，鏈接方式，安全性要求各不相同。

2 探索和比較

那么，有沒有現存的解決方案呢？

購買專業的核心路由服務器與三層光接口交換配合，以光纖到樓，網線到教室（辦公室或機房）的方式級聯，使用專業的網絡軟件控制帶寬、流量，可以實現對桌面級用戶的控制。

我所在的學校也是一所歷史較久的學校，建設資金投入也比較有限。大部分資金投入都用在了新購機房用計算機，或一些關鍵對外的服務器上了。如何合理的使用有限的資金，利用現存的設備，來基本實現上面的功能呢？我們一直在思考。

3 方案與建設

在實際比較了各種可行方案后，結合我校實際，我們采取了以RouterOS為核心路由，二層交換機為主要干線，三層交換機為輔助干線的網絡布局方案。服務器集中于DMZ管理，辦公業務相對集中，存儲、打印、共享均衡分布的理念。下面我就來談談我們具體的結構：

①RouterOS核心路由。我們學校淘汰了許多舊PC機，雖然安裝桌面操作系統很慢，但是這部分PC機的電源質量過硬。可持續長時間運行。我們購買了多塊千兆網卡，安裝在普通PC機上，使用RouterOS軟件做路由，連接互聯網和本地局域網。順利解決了核心路由問題。而且我們還設置了晚間路由關機休息，合理有序，大幅度減低的故障率；

②樓宇間干線連接。這里區分兩種情況：一、距離中心機房校近的辦公室、監控室、服務器機房。均采用6類屏蔽雙絞線完成連接，節約成本，便于維護；二、其它樓棟均采用管溝光纜鋪設，光電轉換器連接。這也是可靠性的有效保障，為今后的帶寬擴展做準備。除學生計算機中心外，其它樓宇均用二層交換機。計算機中心由于要對學生上網進行嚴格控制管理，使用三層交換機做細節性管控。

③教師用辦公電腦、教室授課電腦、服務器等連接外網方式。網絡的管理一直是個大問題，既要保證網絡帶寬的合理分布和使用，又要防止濫用。我們采用的是PPPoE和綁定MAC地址上網兩種結合管理的方式。我們在RouterOS核心路由上開放兩種上網模式；對教師備課、辦公用、教室學生用的電腦采用PPPoE撥號上網的方式，這種方式靈活方便，可以有效看著帶寬。一人一號，可以有效阻斷廣播風暴對局域網的破壞。而服務器、監控設備、廣播、以及其它業務用設備，我們開放一個固定網段，收集這些設備網卡的MAC地址，將地址和IP綁定使用。不僅可以有效的避免這些IP地址的濫用，而且保證了帶寬，隔離了普通上網設備，一舉多得。

④內部非上網設備的控制管理。打印機、內部FTP等不需上網的設備，單獨劃分為一個網段，僅供內部合法人員使用。FTP通過賬號密碼的管理方式，打印機可以利用舊PC+Linux系統安裝打印服務器，通過共享服務器的方式提供服務，大大節約成本，各科室即使系統差別大，通過共享問題迎刃而解。

我們將我們方案逐步實行后，局域網內的病毒傳播問題得到了有效控制，上網效率提高，外網服務也得到了保證，可以說是得到了一致好評。

4 思考與改進

上面的規劃實施運行了一年多后，我們就運行過程中出現的問題、以及我們自己覺得還可以提升的方面又做了一次總結，發現我們還有不少值得改進和新探索的地方。

①核心路由的穩定性保證。核心路由運行一般比較穩定，最長時間是穩定運行了300多天，無人工干預。雖然和電信級的設備不可同日而語，但是對于校園網來說，已經非常不錯了。值得改進的地方就是：應該使用電子盤代替機械盤或固態盤，這樣損耗更低。如果資金條件允許，用arm架構的工控機代替x86架構設備，相信功耗更低。

②某些關鍵服務器，可以采用雙機熱備。一般性服務器如打印共享設備，至少采用冷備份。