中職學校校園網絡的升級與改造

◆潘 柳

?

中職學校校園網絡的升級與改造

◆潘 柳

（柳州市第一職業技術學校 廣西 545616）

本文結合本校校園網絡的情況對網絡運行的現狀和存在的主要問題進行了分析、總結，綜合學校的應用，從加強網絡的可靠性、安全性和易于管理等方面出發，完成了網絡升級改造方案的設計并提出了具體實施步驟，從而加快學校數字化校園建設的步伐。

校園網絡；數字校園；升級改造；網絡安全

1 學校概況

柳州市第一職業技術學校是一所國家級重點職業中專學校。2002年被認定為“國家重點建設示范性職業學校”，2014年被認定為首批“國家中等職業教育改革發展示范學校”，2017年12月，獲批全國第三批“職業院校數字校園建設實驗校”。現有校園面積近400畝，學生1萬余人，教職員工近500人，是一所涵蓋有一、二、三產專業的綜合性中等職業學校。

近年來，學校信息化建設快速發展，課堂中運用信息化設備和手段進行教學日益激增，校園網絡的帶寬和網絡的穩定性、安全性等問題也日漸突出。隨著我校“數字校園建設實驗校”建設的深入，“以人為本”推進信息化服務，促進教育教學方面的改革，實現校園的智能化管理及服務，這對我校的信息化、數字化水平和校園網絡升級、改造提出了迫切要求。

2 校園網絡現狀和問題分析

隨著學校的建設和發展，先后對部分網絡和設備進行過改造，不斷完善校園基礎網絡，數字化校園建設也取得了階段性成果。經過近十年的發展，學校已建成一個以光纖為主干，覆蓋學校辦公區、教學區、宿舍區等所有建筑的園區網絡。共有交換機100多臺，實現教學區域樓棟主干網絡達萬兆，其他區域樓棟主干網絡達千兆；網絡接入信息點3800多個，接入計算機近3000臺，校園網絡出口接入電信專線光纖，帶寬450M；采用銳捷RG-EG1000M網關為網絡提供安全控制和接入管理；建設有課程資源庫、教學資源庫等共享資源；部署了教務管理、資產管理、財務管理、辦公OA等管理信息系統軟件；還建有校園數字安防監控、校園一卡通、校園廣播等應用系統，升級改造前的校園網絡拓撲結構如圖1所示。

圖1 升級改造前的網絡拓撲

對照《教育部教育信息化十年發展規劃（2011-2020）》、《職業院校數字校園建設規范》（教職成函[2015]1號）；結合我校“十三五”發展規劃，將信息化滲入教育、教學、管理、服務等各方面，建成適應社會發展需求、產教深度融合、具有我校特色、國家水平的現代職業學校的要求，目前學校數字化校園建設還存在較大的差距，綜合分析主要存在以下問題。

（1）校園網絡出口安全設備型號老舊，隨著學校信息化應用的增加，處理能力明顯不足，安全性差，受到外部網絡的攻擊滲透和入侵的風險增大。

（2）校園骨干網絡設備和主干鏈路為單點設計，無冗余，校園網絡的穩定性和可靠性無法保障。

（3）網絡設備數量多、應用故障隱患難以發現，缺少專業運維手段對整網進行實時監控、故障定位。隨著學校應用服務的增加，設備在使用過程中出現問題后，技術人員采用原始的方法對設備逐一進行排查，難度大、效率低。

（4）管理手段欠缺，網絡應用高峰時，校園網絡訪問互聯網速度慢，缺乏快速、可靠的流量管理解決方案，影響辦公應用和教學的正常開展。

（5）網絡層次結構不清晰，管理不到位，出現私自接入無線路由器造成網絡環路等問題。

3 校園網絡升級改造方案設計

3.1 網絡架構設計

根據我校《職業院校數字校園建設實驗校實施方案》為指導思想，基于校園信息化建設的網絡安全、網絡應用及管理等需求，對原有校園網絡的出口設備、核心和匯聚相關設備進行替換、遷移，做到設計合理、層次分明，采用VLAN劃分多個相互獨立的子網，通過匯聚層接入核心層實現校園網絡的互訪互通。升級改造后的網絡拓撲如圖2所示。

圖2 升級改造后的網絡拓撲

校園網采用三層網絡架構方式，從邏輯上可以分為三個層次：核心層、匯聚層、接入層。

3.1.1網絡核心層設計

升級校園核心層網絡設備為雙核心網絡，新增兩臺高端多業務核心三層交換機，將原核心設備H3C S7506ES下移作為教學樓等區域匯聚。核心層的功能主要是實現骨干網絡之間的優化傳輸，具有良好的冗余能力、可靠性和高速的傳輸能力。為滿足其要求，核心層設計主要采取以下措施。

（1）采用交換機虛擬化技術。將兩臺核心交換機虛擬化成一臺設備，兩臺核心設備之間通過兩條萬兆光纖線路捆綁做鏈路聚合。

（2）主干鏈路冗余，確保網絡可靠性。各區域匯聚層設備根據實際應用需求分別與兩臺核心設備通過雙萬兆或千兆鏈路互聯，保證主干網絡數據傳輸的可靠性。

（3）各類策略配置盡量簡化。核心設備盡量不要使用策略路由、ACL等配置，從而保證核心層實現數據的高速轉發及可靠性。

3.1.2匯聚層設計

匯聚層介于網絡核心層和接入層之間，匯聚層具有實施策略、安全、VLAN之間的路由、源地址或目的地址過濾等多種功能，在本層采用三層交換機，可以很好區分網絡和劃分子部門。本次網絡改造，將原網絡以單一建筑為單位形成匯聚區的模式，根據學校信息化應用需求和建筑布局，對物理環境有效區域進行了匯聚層劃分，具體實現方法如圖2所示，將所有教學樓和食堂、活動中心、學生宿舍等樓宇形成一個匯聚區；汽車、機電、旅烹實訓樓形成一個匯聚區；數控、圖書樓形成一個匯聚區；商貿、經管實樓形成一個匯聚區；行政辦公樓和計算機實訓樓應用信息點較多，各自單獨形成一個匯聚區。各樓匯聚設備分別以雙路由模式與骨干區域核心設備連接，確保匯聚區與核心區的連接可靠性。

3.1.3接入層設計

用戶工作站通過接入層交換機連接網絡。將接入層存在的二級或二級以上級聯組網方式改造成一級級聯方式，即接入交換機直接上聯到匯聚交換機，保證各層樓交換機的上聯帶寬。

3.1.4互聯網出口

新增聯通100M光纖專線，使網絡出口具備冗余功能，當某條營運商光纖故障時，不影響訪問外網；通過出口設備的應用分流來進行均衡，讓聯通和電信相關業務走各自的專線，提高上網的速度。

3.2 路由設計

通過改造，校園網由單核心變成了一個由兩個核心、各區域匯聚和各層接入交換機構成的三層網絡結構。網絡核心節點和各匯聚節點間采用OSPF路由協議進行連接，組成主干區（area0）,在核心設備中實現路由匯總，并為其他各應用區域提供路由信息交換的高速度通道。

3.3 流量管理設計

針對學校網絡現狀和實際需求，本次升級改造方案采用H3C的智能應用網關ACG1000-E作為流量管理設備，以透明模式串聯部署在出口防火墻和內網核心交換機之間，實現面向用戶和應用的流量管理，通過帶寬限速、用戶應用策略進行管控，特別是在上網高峰時段為重要的網絡應用提供資源保障。

3.4 鏈路負載均衡設計

校園網絡出口采用一臺H3C高性能的下一代防火墻F1080，集成鏈路負載均衡特性，通過鏈路狀態檢測、鏈路繁忙保護等技術，在多運營商接入情況下，有效實現學校互聯網出口的多鏈路自動均衡和自動切換。

3.5 網絡安全防范

網絡出口部署防火墻有效地將內網與外網進行隔離，保護校園網絡內的服務器和用戶不受未經授權的第三方侵入；采用IPSEC VPN或SSL VPN方式來滿足校外用戶的遠程訪問安裝。防火墻具有高精度、高效率的入侵檢測引擎，實現了基于精確狀態的全面檢測，具有極高的入侵檢測精度；實時的病毒防護，從而迅速、準確查殺網絡流量中的病毒等惡意代碼。在Web服務器和核心交換機之間新增一臺H3C W2010-G Web防火墻，主要是對Web特有入侵方式的加強防護，如DDoS防護、SQL注入、XML注入、XSS等，防范數據信息泄露風險，抵御來自網絡的Web惡意攻擊。

3.6 網絡設備和業務系統管理

部署H3C的IMC智能管理平臺，該平臺具有良好擴展性，具備多廠商設備的集成管理功能，實現對整個網絡中的設備及鏈路等進行實時監控和管理，能夠實現全面的故障告警、日志分析、配置管理等功能；對校園網及信息中心的所有設備與業務應用系統進行全天候實時監控，對不同數據來源統一處理、統一展現、統一權限控制，大大提高網絡和應用系統管理效率，為學校信息化教學的開展和應用提供有力保障。

4 校園網絡升級改造方案實現

4.1 網絡設備的選型

為確保校園網具備良好性能、高安全性、高可靠性和擴展性，新增2臺三層核心交換機H3C S7510E ，滿足數據中心高性能等網絡突發流量的要求，實現數據的高速轉發。為提高數據處理能力，新增5臺H3C S5560X-30C-EI三層交換機作為教學樓、實訓樓等樓宇的匯聚設備；本著“少花錢，多辦事”的原則，節約改造資金，根據學校實際使用情況，換下的交換機可以利舊，給汽車、機電、旅烹實訓樓使用，提升數據處理能力；對于食堂、學生宿舍等網絡應用較少的樓宇可使用原有設備。

采用H3C高性能的下一代防火墻F1080和智能應用網關ACG1000-E替換原有網絡出口設備，新設備具有出色的安全性、可靠性和強大的吞吐量，以滿足學校快速訪問互聯網的需求。

4.2 VLAN網段與IP地址的規劃

原校園網采用172.16.X.0/24地址，VLAN和IP地址沒有統一規劃，新增區域就任意劃個VLAN，分配一個IP地址段來使用，隨著學校的信息化設備的不斷增加，造成IP地址分配的連續性、可擴充性差，不便于管理。根據學校實際應用，按部門、系部和樓宇來劃分VLAN，對IP地址重新進行調整分配，部分VLAN劃分與IP分配如表1所示。升級改造后的校園網絡IP主要分為以下幾種類型。

（1）設備間互聯地址。規劃時一般將某個網段IP地址使用30位掩碼進行劃分，確保設備間互聯IP地址的唯一性和連續性，便于今后的管理。

（2）設備管理地址。采用10.10.X.0/24地址。按行政辦公區、教學區、實訓區、服務器區、宿舍區等進行分區劃分。

（3）終端用戶接入地址。根據部門和樓宇區域不同，采用172.16.X.0/24、172.17.X.0/24依次順序劃分，如行政辦公IP地址段172.16.X.0/24；信息系IP地址段172.17.X.0/24；商貿系IP地址段172.18.X.0/24等，各系部辦公室、實訓樓的信息化設備如計算機、交互一體機設備等均使用本系部IP段，便于今后維護網絡時，可通過IP地址快速定位設備的位置，及時進行處理。所有的內網用戶通過出口設備統一進行NAT轉換成公網地址訪問外網。

表1 部分VLAN劃分與IP分配

4.3 設備配置的相關策略

（1）核心交換機虛擬化配置

兩臺核心交換機通過IRF物理端口連接起來形成一臺虛擬的邏輯設備，用戶對這臺虛擬設備進行管理，來實現對虛擬設備中所有物理設備的管理。

system-view

[SW-1]irf member 1 #設置SW-1的成員編號為1

[SW-1]irf member 1 priority 2 #設置優先級為2，默認優先級為1；

Priority 值大的則為MASTER，值小的為SLAVE。

[SW-1]irf-port 1 #創建IRF端口為1

[SW-1-irf-port1]portgroupinterfaceten-gigabiteth- enet3/0/1

# 將IRF端口1與物理端口Ten-GigabitEthernet3/0/1綁定

[SW-1-irf-port1]portgroupinterfaceten-gigabit-eth- ernet3/0/2

# 將IRF端口1與物理端口Ten-GigabitEthernet?3/0/2綁定

[SW-1]chassis convert mode irf #將設備運行模式切換到IRF模式

（2）端口隔離配置

學校有一些部門，各個員工負責不同的業務，各員工之間需要信息安全隔離，彼此之間不能互訪，避免不必要的信息泄露。采用端口隔離特性，可以實現同一VLAN內端口之間的隔離，用戶只需要將端口加入隔離組中，就可以實現隔離組內端口之間二層數據的隔離，為用戶提供了更安全、更靈活的組網方案。

system-view

[Device] interface GigabitEthernet1/0/1

[Device-GigabitEthernet1/0/1] port-isolate enable

# 將端口GigabitEthernet1/0/1加入隔離組

[Device-GigabitEthernet1/0/1] quit

[Device] interface GigabitEthernet1/0/2

[Device-GigabitEthernet1/0/2] port-isolate enable

# 將端口GigabitEthernet1/0/2加入隔離組

（3）MSTP配置

學校早期購買的部分交換機STP默認是關閉的，在實際使用中由于設備的接入或人為的原因，可能會造成環路，形成廣播風暴，導致網絡癱瘓，因此在交換機上都開啟MSTP，防止環路。

system-view

[Device]stp enable #全局模式下開啟MSTP

（4）ARP入侵檢測

當ARP報文中源IP地址及源MAC地址的綁定關系和ARP報文的入端口及其所屬VLAN均與DHCP Snooping表項或者手工配置的IP靜態綁定表項匹配，為合法ARP報文，實行報文轉發處理。

system-view

[Device]vlan 20

[Device-vlan20]arp detection enable

#開啟VLAN20內所有端口的ARP入侵檢測功能。

5 結束語

在數字化校園信息化發展戰略中，信息技術將成為校園的一項核心生產力，成為校園教學科研各項核心業務的最有力的支撐點。通過對校園網絡的升級改造，網絡的安全性和可靠性得到了大幅度的提升，對所有網絡設備和用戶可以進行實時監測、統一管理，預警功能可及時快速地通知管理員網絡中發生的各類事件，大大提升維護和管理的效率。校園網的建設是一個龐大的系統工程，包含網絡基礎建設、網絡安全和信息資源建設等各個方面，作為網絡管理人員只有不斷學習，在實踐中更新自己的知識，提升技能水平，才能適應當今信息化的發展。

[1]何建新，張松明，王思琪，周文芳.校園網絡升級方案設計與實現[J].計算機時代，2016.

[2]段小剛，王坤.中職校園網絡的升級與改造[J].信息與電腦（理論版），2016.

[3]孫光懿.關于校園網建設的思考[J].科學技術創新， 2017.