高校校園網絡優化設計與研究

王理想　郭潤峰

摘要：為保障校園信息化建設的快速推進，對校園有線、無線網絡進行改造優化是非常重要的。論文以某高校教學樓有線網絡改造為例，對校園網網絡改造中涉及的物理拓撲、邏輯拓撲改造;設備配置優化;網絡接入冗余方式等方面進行了研究。為校園網用戶提供低故障率、低時延、高網速、接入鏈路可冗余的可靠校園網環境。

關鍵詞：校園絡;交換機;網絡改造;配置優化

1 引言

我國高等學校大規模進行校園信息化建設從20世紀90年代開始，目前已經進入了“2.0”時代，目前高校信息化建設任務重、范圍廣、要求高，包含基礎網絡建設與優化、云數據中心、信息系統、數據共享與集成、智慧課室等，涉及校園活動的方方面[1]。

校園基礎網絡是信息化建設的基礎，要能夠提供穩定、安全、高速的寬帶接入。故障故障發生，為實現快速修復網絡訪問，保障網絡連通性，需要“雙線路”接入校園網，這就要求對現有有線網和無線網絡進行優化完善，為辦公教學提供優質的網絡環境，為信息化建設提供穩固的底層基礎。

2 現狀

當前校園網絡包含有線網和無線網。有線網絡設備普遍運行了10年以上，性能不足、故障率較高、安全防護能力不足，影響教學辦公的網絡體驗。無線網絡的建設為師生提供了多種的網絡接入手段，但當前無線網絡與有線網絡共用設備，隱患較大，也實現不了可“雙線”接入的網絡保障需求。本文以廣東輕工教學樓有線網網進行優化改造為例，介紹校園網改造的可行性方案，為校園力、公教學提供優質穩定的網絡接入服務。

教學樓匯聚交換機上聯核心交換機，接入校園網并提供外網訪問;下聯各個接入交換機，接入交換機為師生提供網絡接入服務。教學樓匯聚下聯樓棟較多，包括教學樓、系部力、公樓、大學生服務中心、圖書館、體育樓、研發樓、第一工業樓等，存在多級級聯的情況.下聯樓棟較多、多層級聯導致教學樓網絡比較復雜，故障率較高，多次出現網絡廣播風暴、環路、地址獲取不到等，對教學辦公帶來較大影響。

3 優化改造

3.1 網絡拓樸優化

在校園原有物理鏈路及光路資源的情況下，對教學樓網絡拓撲進行精簡優化。根據各樓棟區域位置和現有光纖網絡新增三個匯聚點：教學樓1、教學樓2（無線）、教學樓3、第一工業樓。將教學樓網絡與其他樓棟分開，并且有線無線均為獨立匯聚，實現教學樓教學辦公區域真正意義上的雙網保障，保障教學環境的穩定，同時根據區域劃分兩個匯聚點[2]。具體如圖1。

3.2 網絡配置優化

對網絡拓撲進行優化的同時，還要對設備配置進行規范完善，實現病毒防護、DHCP防護、環路保護、ARP欺騙、廣播風暴抑制等。

3.2.1 病毒防護訪問列表

病毒防護采用訪問控制列表ACL封堵對應病毒的端口流量，在接入交換機下連口inbound方向配置訪問控制策略，過濾用戶發起的病毒端口流量。

ACL具體配置如下：

1p access-list extended 110

description acl for Virus Protection from User

deny udp any any eq 1434 //sql worm病毒端口

deny udp any any eq 1433 //sql worm病毒端口

deny udp any any eq 135 //禁止netbios端口

deny udp any any eq 136 //禁止netbios端口

deny udp any any eq 137 //禁止netbios端口

deny udp any any eq 138 //禁止netbios端口

deny udp any any eq 139 //禁止netbios端口

deny tcp any any eq 445 //禁止netbios端口

deny tcp any any eq 4444//沖擊波病毒

deny tcp any any eq 445 //傳送沖擊波病毒端口

deny tcp any any eq 5554 //沖擊波病毒端口，在感染“震蕩波”病毒后會通過5554端口向其他感染的計算機傳送蠕蟲病毒

10000 permit ip any any

ACL端口應用配置如下：

1nterface GigabitEthernet 0/52

description To：：JXL501

1p access-group110 in

3.2.2 DHCP防護

校園網環境下在接入交換機下會鏈接TPLINK、HUAWEI等無線路由器，并開啟了DHCP服務，可以向外提供IP分發服務，會影響校園網用戶獲取正常的校園網地址，影響正常上網[3]。需要在接入層交換機上限制該類路由器的地址分發服務，設備具體配置如下：

（1）在接入交換機上開啟dhcp snooping功能

Switch>enable

Switch#configure terminal

Switch（config）#ip dhcp snooping------>開啟DHCPsnooping功能

（2）連接DHCP服務器的接口配置為可信任口

Switch（eonfig）#interface gigabitEthernet 0/49

Switch（config-GigabitEthernet 0/49）#ip dhep snooping trust

--------開啟DHCP snooping的交換機所有接口缺省為untrust口，交換機只轉發從trust口收到的DHCP響應報文（offer、ACK）

3.2.3 環路保護

校園網中出現環路會迅速將網絡帶寬占滿，導致大面積網絡緩慢甚至無法上網，需要在接入交換機做環路檢測以保證網絡的穩定。具體為在接入交換機配置RLDP和BPDU Guard防環機制，詳細配置如下：

Switch#configure terminal

Switch（config）#rldp enable------>全局開啟RLDP功能

Switch（config）#spanning------>開啟生成樹協議

Switch（config）#interface range g0/1-24------>對于下聯PC或HUB的端口需要開啟，不要在接入交換機的上聯口開啟該功能

Switch（config-if-range）#rldp port loop-detect shutdown-port------>接口開啟RLDP功能，如果檢測出環路后shutdow該端口

Switch（config-if-range）# spanning-tree bpduguard enable

Switch（config-if-range）# spanning-tree portfast

Switch（config-if-range）#exit

Switch（eonfig）#errdisable recovery interval 300------>如果端口被RLDP檢測并shutdown，再過300秒后會自動恢復，重新檢測是否有環路

Switch（config）#end

Switch#wr

3.2.4 ARP欺騙

校園網的網絡原理導致會出現網關欺騙的攻擊行為，攻擊者通過ARP欺騙可以將用戶流量引導到自己設備，進而導致用戶上不了網或竊取用戶隱私[4]。為防止該攻擊行為，在接入交換機配置防止ARP欺騙的相關配置，具體配置如下：

Switch（config）interfaee GigabitEthemet 0/52

Switch（config-if-GigabitEthemet 0/52）switchport access vlan 103

//用戶屬于172.16.103.254/24網段

Switch（config-if-GigabitEthemet 0/52）anti-arp-spoofing ip172.16.103.254//防止網關欺騙行為

4 結束語

對教學樓網絡改造后，劃分為4個區域，較少廣播風暴影響的范圍，同時減少級聯設備也減少了廣播風暴和環路的可能性，區域網絡故障率大大降低。有線網絡精簡的同時，無線獨立匯聚，使得教學樓實現有線、無線雙網保障，提供良好、穩定的教學網絡環境。后續將重新對本校區所有無線進行信道規劃，目前已經規劃配置了放裝AP（AP520-I＼530-I）的信號，但最主要的智分信道的劃分是基于端口和分AP對應的前提下進行的，后續將根據竣工資料和地勘情況對無線信道進行優化。

參考文獻

[1]楊明.高校教學樓網絡改造方案設計與研究[J].網絡空間安全.2018.08

[2]蔣惠然.試論中職學校網絡建設與管理[J].電腦編程技巧與維護.2019.01

[3]交換機配置案例集

[4]交換機故障處理案例集