基于無線局域網技術的校園網設計方案

謝澤浩

（華北科技學院計算機學院，廊坊 065201）

0 引言

近年來，網絡安全問題引起了社會各界的廣泛關注，并成為眾多學者探討的焦點［1-3］。其中，安全內參網發布的2022網絡攻擊情況顯示，全球重大網絡安全事件頻發，供應鏈攻擊、勒索軟件攻擊、業務欺詐等網絡犯罪威脅持續上升，為此提高校園網的網絡可靠性和冗余性已經顯得刻不容緩。

越來越多的學者開始圍繞校園網設計方案問題展開研究，并涉及到了方方面面。 網絡發展不是一個國家的趨勢，而是一個世界的趨勢，國外的網絡發展速度更迅速，校園網搭建的相關研究和案例也有了很長的歷史，尤其在歐美國家，在互聯網發展上取得了關鍵性突破，積累了無數的案例經驗［4］。從1994 年起，就已經有發達國家通過互聯網進行教育，開發網上教育平臺，從事網絡教育等事業。在教育方面，國外積累了豐富的經驗，對校園網的研究更加具有前瞻性，更加成熟［5］。2021 年相關研究表明，國外學者對于校外人士通過外網訪問校內資源有相應的研究［6］。國內網絡發展較遲，受我國傳統教育觀念的影響，網絡教育的發展緩慢。而在2021 年，國內經濟發展受到影響，網絡教育走進了人們的視線，學生們開始通過網絡直播上課，上班族開始通過網絡辦公來處理工作［7］。網絡教育平臺的出現為校園網構架提供了線索和方向。

本文旨在為應急管理大學模擬校園網絡架構，從數據通信、網絡安全等方面實現校園網絡的搭建。新建校園網需要用光纜連接樓宇，需要覆蓋全部教學樓、宿舍樓以及圖書館和體育館，必須實現無線網絡技術對校園的全覆蓋，并且高校校園網將根據未來發展需求同步進行計劃，需要在滿足當前和未來需求的情況下具備一定的前瞻性。

1 現有網絡存在的問題

應急管理大學是2023 年誕生的一所高校，由兩所高校合并而來。合并初期就在建設一所國際一流的應急管理中心。舊校區華北科技學院隨著校園建設的推進和校園信息化水平的提高，校園網性能方面的問題逐漸暴露出來，主要問題有：

（1）部分線路老化、破損，嚴重影響了校園網的穩定性和可靠性。使得內網速度下降，影響上網體驗。

（2）宿舍區域網絡線纜復雜。宿舍區域網絡由三家運營商協作建設，同一宿舍樓存在多個運營商線路，管理復雜。

（3）無線網絡覆蓋不全。原有校園網只有宿舍區域存在網絡覆蓋，在食堂、教學樓、辦公區等區域并無無線網絡。隨著學校發展，網上選課、課堂查詢、在線辦公、一卡通消費等網絡教學需求需要隨時隨地接入校園網。

為了滿足應急管理大學校園網的基本設施需要，必須對校園網進行升級維護，提高校園網帶寬、擴展校園網的覆蓋面，為學生提供一個良好的基礎網絡環境。

2 網絡需求分析

通過調研分析，明確了華北科技學院和防災科技學院的校園網拓撲結構圖，確定了高校校園網的基本設定，同時也對本校園網的基本服務對象進行研究分析，服務對象部分是在校師生，部分是已經畢業的應急管理人才，還有一部分是校外的應急培訓人士。

2.1 數據中心需求

應急管理大學校園網應該實現的基本功能包括：師生校務中心、圖書館相關功能、FTP服務器功能、校內培訓服務器，等等。師生教務處是負責處理師生校務的網絡辦公地方，例如學生查詢自己的成績，老師錄入學生的成績，等等。圖書館需要接入校園網，方便校內外人士查看。FTP服務器常用于學生提交作業。

2.2 網絡建設任務與性能需求

華北科技學院第六屆教職工代表大會審議了學校行政工作報告，通報了高校建設總體方案要點，順利完成各項議程，實現了預期目標。兩所高校合并后，為了提高校園網的安全性和覆蓋性，需要將防災科技學院和華北科技學院的校園網進行重新規劃，利用原來建筑大樓中存在的大量舊布線，采用無線覆蓋的方法來接入校園網。

經過調研發現，應急管理大學總體區域分為七個區域：學生公寓、北區、中區、圖書館、信息樓、崇實樓和南區；七大區域中又有下屬樓棟。學生公寓包括桃李園1 號～4 號樓，學子苑1 號～5 號樓的AB 區。北區包括中燕公寓、宜居苑1號～4號樓、覆居苑1號～2號樓、公寓科辦公和大學生生活服務中心。中區包括青年公寓、會議中心、求是樓、致遠樓、博冠樓、安科樓、安居苑1 號～7 號樓，等等。圖書館包括六個電子閱覽室。信息樓包括軟件工程實驗室、網絡工程實驗室、計算機組成原理實驗室、基礎實驗室1號～6號等。

采用三層網絡結構，接入層由各個樓棟的三層交換機負責，每個樓棟作為一個建筑群子系統功能，每個樓層都有一個適配間，作為水平布線子系統與樓棟總交換機對接。高校是新興的大學，如果僅僅使用一個交換機（或者路由器），可能會因為核心層三臺交換機設備的性能問題和可靠性問題，導致整個網絡癱瘓，甚至校園網崩潰。所以最好的處理辦法是采用多路由器冗余，將三個路由器的性能進行整合，采用VRRP和STP技術，將三個路由器冗余成一個大的整體路由器，有效提高核心層三臺交換機的處理性能和應急性能，最重要的是提高校園網的安全性和可靠性。當核心層其中的一個路由器宕機時，STP協議會將宕機的路由器的身份自動切換到另一個備份路由器，從而使校園網可以繼續安全穩定地運行，保證了高校校園網的可靠性。匯聚層的各個匯聚設備通過OSPF 協議進行互通。需要實現內外網訪問，也就是需要在出口設備上配置好ACL 和Nat，高校需要為校外人士服務，所以校外人士也需要成功訪問內網服務器，需要在出口設備上配置Nat server，在校師生絕大部分是手機連接校園網，所以我們需要配置WLAN、AC和AP，可以使學生無線設備接入校園網。

2.3 可擴展性需求

隨著高校的完善，會有更多的應急管理設施的修建，將會引進越來越多先進的國際應急設備，校園網絡的高擴展性，是高校必須解決的一個重大難題。

校園網絡的可擴展性需求決定了高校校園網適應未來發展的能力［8］。校園網的可擴展性并沒有一個固定的指標，我們需要著重考慮高校校園網規模的發展速度，也需要適應國家推動政策。校園網的可擴展性需求最終體現在網絡拓撲結構，網絡設備的選擇和接入。

2.4 子功能需求

設計方案需要實現三個主要模塊：電子信息教學、師生遠程辦公的內外網互聯以及無線網絡全覆蓋。電子信息教學模塊要求學生連入網絡實驗室、應急管理中心、高校圖書館等校園基礎設施，方便校內外學員在線學習；師生遠程辦公的內外網互聯就是為了滿足高校師生的日常辦公行為，例如成績錄入、個人信息檢索、空教室查詢等；無線網絡全覆蓋子功能滿足師生網絡訪問需求，需要實現師生認證和審計等功能。

3 方案總體設計

3.1 拓撲結構設計

高校的校園網拓撲結構采用的是星型結構，優點是結構簡單、建網容易、控制相對簡單、可擴展性強、容易重新配置［9］。星型結構中所有的數據轉發都需要通過核心層的三臺交換機，所以導致核心層三臺交換機的負載過高，核心層的可靠性需要得到保證［10］。缺點是中心設備負載過重，需要高冗余，高備份。

3.2 端口類型選擇

（1）一般來說，在網絡中的服務器，出口設備路由器，匯聚層交換機網絡帶寬較高，所以，在拓撲圖配置中常常使用G、E 口來配置。在本示例中核心層三臺交換機承受的工作負荷是最重的，所以交換機之間采用千兆口（G口）進行互連。

（2）千兆口的耗資大，如果所有的口都采用千兆口，這對學校來說是不現實的，是一種資源浪費，并且接入層和匯聚層的數據流通量達不到千兆，所以采用百兆口（E口）綽綽有余。

3.3 網絡擴展端口

交換機的網絡擴展主要體現在兩個方面：一個是在匯聚層和PC 機的連接端口，匯聚層可能需要加入大量的PC 機，需要預留足夠的匯聚層端口，防止端口不夠。另一個是核心層加入另外的網絡設備，例如新建中心以后需要重新向核心層中加交換機等設備，所以核心層的三臺交換機上也需要預留一部分的端口。這一部分的端口也不要完全空留，可以先用端口綁定給其他設備使用，當后期加入新設備時，再將這個端口釋放出來即可。

4 防火墻安全區域設計

DMZ 區域，英文翻譯為“隔離區”，也稱“非軍事化區”。它的目的就是解決外網用戶不能正常訪問內網服務器的問題，專門設立的一個非信任區域與信任區域之間的區域［11］。DMZ區域位于內網和外網之間的局域網內。DMZ 區域用來放置公開的服務器設施，如Web 服務器、FTP 服務器等用來向外部提供教學服務的設備。另一方面，通過這樣一個DMZ 區域，更加有效地保護了內部網絡。高校的服務器不僅僅為師生提供，還為社會培訓人士服務，所以將服務器放在DMZ區域合理。

Trust 區域，中文名為“安全區域”，Trust區域的安全等級是最高的，為85，一般用于內網口，所以設計中我們將所有的內網接口都放入Trust區域中。

UnTrust 區域，中文名為“危險區域”，安全等級最低，為5，一般都是外網接口，比如接入的是電信或者移動通信商等，UnTrust 區域不能訪問Trust 區域，這說明外網不能訪問內網，大大提高了內網的安全性。

需要注意的是，如果不做安全策略，區域之間默認deny，也就是說，只要沒有安全策略，不同區域的任何數據都是不互通的。防火墻安全區域設計如圖1所示。

圖1 防火墻安全區域設計

5 冗余性設計

5.1 核心層

核心層交換機有三個，SW1、SW2 和SW3。我們采用的STP+VRRP 技術，將SW1 與SW3 實現主備備份，將SW2 與SW3 實現主備備份，其中SW1 和SW2 為主，SW3 為兩者的備份。如圖2所示。

圖2 主備備份

圖2 中北區匯聚層和中區匯聚層相互接入核心層的兩個設備，核心層的兩個設備使用VRRP技術冗余成一個設備，極大地提高了核心層的可靠性。

圖3 核心層主備備份中SW2 和SW3 互為主備備份，其中SW2 為主，SW3 為備份，兩臺設備都開啟STP 生成樹技術，然后使用VRRP 技術，將圖書館、信息樓、崇實樓和南區的網關進行匯聚。這樣，當核心層兩個設備中任意一個設備發生故障時，不會引起校園網的癱瘓。

圖3 核心層主備備份

5.2 無線局域網

在所有的無線覆蓋網絡中，不可能只有一個AP，如圖4 所示，想要保證校園網全覆蓋，至少要使用10 個左右的AP 才可以，這些AP 之間就是互相冗余備份的。在接下來的仿真性實驗中需要注意到，我們配置的業務VLAN 并不是配置到AP 上的，而是配置到匯聚AP 的交換機上的，我們給AC配置好管理VLAN140，用這個管理VLAN 來管理我們的AP設備，在匯聚AP的交換機上配置好業務VLAN，這個VLAN 是由配置好所有的AP 共同維護的，也就是說所有的AP 都發射的是同一個WLAN，在校園不同地方都可以連接到這個WLAN 上。每一個Wi-Fi又有兩個頻段，一個是2.4 G 頻段，一個是5G 頻段，這些AP共同保證了校園網的冗余性。

圖4 無線冗余

6 結語

本文對應急管理大學校園網設計方案進行了詳細的描述。先后分析了校園網搭建歷程，國內外的進展，然后進行了詳細的需求分析。并對校園網設計的總體設計，包括方案圖、邏輯網絡設計、物理網絡設計進行介紹。此外，詳細介紹了高校網絡拓撲設計的結構圖，包括網絡要求、設計思路、設計圖和防火墻安全區域設計。

通過對華北科技學院和防災科技學院的校園網進行考察，對高校的需求進行分析，對所需要的網絡設備、網絡性能進行分析，合理地處理兩所學校的校園網關系，對較先進的校園網的主干進行保留，將另一所學校的接入層和匯聚層作為枝干保留，充分考慮兩所學校的實際情況，使用華為路由技術、數據通信技術、計算機網絡原理技術、網絡安全技術，按照設計好的總體拓撲圖架構進行配置。最終在模擬器上實現高校的校園網配置。配置好的校園網應該包括基本的應急管理中心，應該有基本的網絡教學服務，應該保障校園網與公網進行互聯，應該保障校外人士可以正常使用高校對外提供的基本服務，應該保障學校師生可以正常通過學校機房，或者學校圖書館進行校園網訪問。