简析高校校园网建设

【摘　要】本文以高职院校校园网建设为实例对校园网建设进行了全方位的展示，校园网络建设，旨在推动学校信息化建设，其最终建设目标是将建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络。

【关键词】校园网;信息化;计算机网络应用;网络安全

1.应用需求

在校园网络中，视频、音频、数据集于一身，如果保证不了高带宽、又多种视频、音频、数据流混杂在一起进行传输，就没法对数据流做出最高优先级和次高优先级及底优先级的分类，这样就不能保证重要业务的畅通，造成网络延迟、服务不可用。在园区网络中，存在多样的网络设备及系统应用环境，并且要考虑在用户迅速增长的今天，考虑网络设备的可扩展性。

在校园网络中，安全保障十分重要：校园网的信息点分布很广，与一般企业网比较，校园网用户的流动性大，信息点存在随意接入使用的问题。学生及外来不明身份的用户，在校园网中找到任何一个信息点，就可以进入到校园网，可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。另外校园网的网络安全，还需要考虑与外网及内网不同应用系统之间的安全访问控制。为了发生安全事件后，能够有效、快捷地处理事故，采用上网审计手段是十分有必要的。由于当前类似“冲击波、震荡波病毒”的肆虐，一个健壮的网络应该提供必要的手段，禁止特定病毒的传播以及由于病毒造成的流量拥塞。

2.网络结构分析

2.1骨干层

网络中心节点及其它核心节点作为校园网络系统的心脏，必须提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保障。另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。

因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。具体来说核心节点的交换机有两个基本要求：

(1)高密度端口情况下，还能保持各端口的线速转发。

(2)关键模块必须冗余，如管理引擎、电源、风扇。

由于校园网建设最终必将采用万兆级以上技术，因此需要考虑到核心设备对万兆的支持能力。

2.2汇聚层

汇聚层是各校区的数据汇聚平台，为全网提供了快速交换支持，是各区域数据、媒体流会聚主节点。汇聚路由交换机需要具备高可靠性、高性能、高端口密度、高安全性、可管理性等要求，并具有网络可扩容升级能力和多种业务支持能力。在完成高速交换的基础上，能够提供稳定可靠的网络基础服务功能并能够支持下层的基础功能、分布服务以及QoS保证。

2.3接入层

接入层网络由楼栋交换节点和楼层交换节点组成，接入层网络应该可以满足各种客户的接入需要，而且能够实现客户化的接入策略，业务QOS保证，用户接入访问控制等等。

2.4外网接入

因为校园网出口采用以太网，所以可以直接采用防火墙，起到如下作用：

(1)防火墙提供强有力的服务器、内网安全保护、同时提供出口路由功能。

(2)数据处理能力强，具有强大的NAT功能。

(3)提供IDS等安全特性。

3.网络构架设计

基于目前学校规模及发展的角度考虑，骨干网络采用单核心双引擎或双核心单引擎的拓扑结构，保证核心的稳定；在两栋实训楼采用万兆的三层汇聚设备，实训楼千兆连接接入交换机，服务器千兆接入到核心交换机上，百兆到桌面。

因为目前校园网出口还没有超过百兆，所以还采用RG-WALL 100防火墙，并将校内的对外服务器与防火墙的DMZ区相连，保证良好的安全性；同时双核心时做VRRP，防火墙双百兆连接核心，单百兆连接外网。

按照核心的架构，或者用双核心单引擎，或者用单引擎双核心，本方案如下：

采用双核心，每个核心采用单引擎，主楼的接入交换机分别连接两台核心上，实现负载均衡；接入交换机也可VRRP连接到双核心上，做负载均衡、冗余备份。

4.未来扩展考虑

备份线路带宽扩展：在未来升级考虑中，可将核心与汇聚间千兆备份线路带宽升级至10G带宽，以提高备份线路的连接带宽。

5.IP地址规划

根据互联网络技术发展的趋势，结合学校网络目前真实IP地址的现实情况，建议IP地址规划遵循如下原则来设计：

(1)服务器区采用私IP地址，NAT远程访问。

(2)与internet 互联设备IP地址采用真实IP地址。

(3)部分内部互连采用私有IP地址。

(4)面向用户的私有IP地址，由统一出口的边缘设备进行地址翻译。

6.网络QoS设计

为确保用户各种关键业务的正常开展，必须采取全面而系统的QoS设计(提供端到端QoS服务)，以保证重要的数据流在网络发生拥塞时获得有保证的吞吐量和最低的延时。

7.VLAN划分

根据以往经验和骨干网络建设的实际情况，在骨干网络VLAN划分规划以“灵活划分、方便管理”为基本原则，以不同的使用群体为VLAN范围划分。这样划分VLAN的好处有：

(1)方便管理。

(2)易于实施。

(3)VLAN间路由采用三层交换设备进行VLAN路由。

8.网络路由设计

网络互联互通的关键是路由的畅通，路由的算法、最佳路径的选择最为直接影响到整个网络的性能，选择一个合适的路由协议和合理的规划路由策略至关重要本方案选择动态OSPF路由协议。

9.接入安全

在未来的校园网改造中，可考虑在接入层增加相关安全智能交换机，通过与网管系统安全认证管理系统可满足用户名、IP、MAC、VLAN ID、交换机IP、交换机端口的6元素绑定技术。并且可以实现非法站点访问过滤、非法言论的准确追踪、恶意攻击的实时处理、记录访问日志提供完整审计等安全功能。

10.访问安全

RG-S6800E多业务万兆核心路由交换机支持802.1Q VLAN，可使用VLAN划分隔离用户访问。同时还支持VLAN 隧道技术，可实现跨校区的VLAN功能。并且锐捷RG-S6800E多业务万兆核心路由交换机支持完善的ACL，可以基于MAC、IP、TCP/UDP端口号进行流量控制，以有效的防范和控制网络蠕虫病毒（如冲击波）的传播和危害。

11.病毒攻击防御

提供病毒防御功能，使得某些特定病毒不能任意传播。主要提供以下几个功能：(1)预防PC感染类似“冲击波、震荡波”的病毒；(2)如果某台机器感染病毒，能够实现中毒机器隔离，限制同一网段中病毒的传播。(3)支持防止DDoS攻击，防止IP段恶意扫描等抗攻击特性。

12.网络防病毒

12.1以网为本

防治病毒应该从网络整体考虑，从方便减少管理人员的工作上着手，如利用网络唤醒功能，在夜间对全网的PC机进行扫瞄，检查病毒情况；提供在线报警功能，网络上每一台机器出现故障、病毒侵入，应从管理中心处予以解决。

12.2多层防御

新的防毒手段应将病毒检测、多层数据保护和集中式管理功能集成起来，形成多层防御体系。

12.3重视服务器上防毒

大量的病毒针对网上资源的应用程序进行攻击，这样的病毒存在于信息共享的网络介质上，因而要在网络前端实时杀毒。对于内部病毒，如某一工作站如果通过软盘感染了病毒，势必会在LAN上漫延，若服务器具有防毒功能，那么病毒在从客户机向服务器转移的过程中就会被服务器杀掉。

12.4建立病毒敏感报警系统

让管理人员及时了解病毒入侵节点位置，对网络安全漏洞进行分析和评估，及时清除残留病毒，修补防病毒系统，减少事故风险。

12.5安全管理规范和应急人员配备

在网络安全问题上，应制定严格的安全规范。如网络用户必须启动实时防病毒软件，不可以随意开放共享目录，严格限制安全区以外存储介质不规范使用，不可以随意接受不明邮件和随意下载文件，必须定期观察病毒软件运行状况，病毒入侵事件及时报警等等。

校园网建设为高校的网络通信及教学提供了强有力的支持，但是，要充分发挥校园网的作用，并非易事，如员工培训、学生如何利用校园网等，本方案旨在对校园网的总体建设进行了展示，但校园网技术会不断的更新，我们也要不断的推陈出新，使校园网真正发挥其应用作用，校园网建设只是一个起步，还需要我们认真去探索、去研究，从而更好的利用校园网络。