校园网络设计方案探讨

校园网络设计方案探讨

作者：刘玉蓉

来源：《十堰职业技术学院学报》2010年第05期

[摘 要]本文分析了学校的网络需求，给出了一个网络平台解决方案，该方案完全可以满足学校未来五年对网络平台性能的要求，对校园网的安全系统进行了设计和验证，实现了网络安全、对外交流及内部管理、规范网上信息、防范外部入侵等功能。 [关键词]校园网；三层结构；核心层；汇聚层；接入层；防火墙

[中图分类号]TP311.132 [文献标识码]A

[文章编号]1008-4738(2010)05-0110-03 0 引言

在当今社会中，教育正在发生全面变革，教育的信息化、终身化、全球化要求现在的校园必须实现信息化校园。信息化校园就是网络化、数字化、智能化有机结合的校园教育平台，由校园网支持而实现。校园网即在校园范围内连接的计算机网络，它可以将学校的日常行政管理、教学科研、学生管理等各类系统连接起来，实现各类系统之间的信息交换和处理。 通过校园网，老师和学生可以获得丰富的学习资源，实现学生与老师的互动学习，提高教学质量和学习的积极性。

1 建设目标

确立校园网建设的目标，不仅要考虑技术方面，更要考虑环境、应用和管理等，必须与学校各方面改革、建设相结合，与学校长远发展相结合，科学论证和决策。校园网应具备以下四点应用目标：首先，学校的目的是通过教学过程来培养人才，因此对教学过程提供直接支持应

龙源期刊网 http://www.qikan.com.cn

是校园网的基本功能。拥有完备的数据库管理系统和资源库，能够支持大量的图文声像素材、多媒体课件片段、成百个教学光盘，总量达几百兆以上数据文件的收集、管理、存储和提取。检索方便，容错性强。其次，校园网必须能够支持学校的日常办公和管理。实现现代化管理方法和管理手段，加强对学校的财、物的管理，提高办公效率、降低成本消耗，逐步实现办公自动化、网络化。再次，与Internet的联接也是校园网的基本功能之一。联接Internet可以使学校把目光投向更广阔的社会空间，大大扩展师生获取知识的途径，还可以增强校内外的沟通以及自由地发布教育消息。最后，要考虑网络的可扩展性及安全性。网络设备应选用具有良好兼容性和可维护产品，能随着技术的发展不断升级。网络的安全是学校正常运转的保证。

2 需求分析

校园网是一个由硬件平台、操作系统、各种应用软件有机结合的一个系统，图1是一个校园网的整体结构图。

网络平台是校园网的基础，网络按照实现的功能分成校园网中心部分、办公子网部分、教学子网部分、图书馆子网部分、宿舍区子网等。

本次网络建设主要为校区核心教学区和实验楼提供全面网络服务，使其融入整体校园网络之中。工程要求采用国际上成熟先进技术，符合国际标准，具有前瞻性、高可靠性，支持数据传输方面的国际主流厂商的设备和技术。网络主干采用不低于千兆的光纤连接，其他线路不低于百兆速率，并要求网络具有大容量、技术先进、功能齐全、安全可靠，并具备可扩展性的特点。

3 方案设计

龙源期刊网 http://www.qikan.com.cn

校园网的网络结构设计为分层星型结构，分为三级；

第一级是网络中心，为核心层。网络中心选址在学校地域的中心建筑(图书馆)，布置了校园网的核心设备，如路由器、交换机、服务器(WWW服务器、电子邮件服务器、拨号服务器、域名服务器等)，并预留了将来与本部以外的几个园区的通信接口。

第二级是建筑群的主干结点，为二级节点。校园网地域设置了几条干线光缆，从网络中心辐射到几个主要建筑群，并在二级主干节点处端接。在主干网节点上安装的交换机位于网络的第二层，它向上与网络中心的主干交换机相连，向下与各楼层的集线器相连。学校校园网主干带宽为1000Mbps，并考虑到向万兆以太网的升级。

第三级是建筑物楼内的接入交换机，为第三节点。主要是指直接与服务器和工作站连接的局域网设备。设计楼内的综合布线时，根据需要可进行取舍：如取消干线子系统；合并管理子系统与设备间子系统；将水平子系统的布线直接引入到设备间的主配线架上等等。

整个方案设计采用“核心+汇聚+接入”的三层网络结构，这样设置之后整个网络结构很清晰，每个接入交换机下面将成为一个相对独立的网络区域，该区域内部的病毒等威胁事件对网络其他部分影响的几率大大降低，形成一个“模块化”可扩展网络系统。

方案采用了两台RG-S8606万兆路由核心交换机。该交换机具备较强的安全性和较高的性能，完全可以满足学校未来五年对网络设备转发性能的需求。此外。该交换机由于是一款模块化交换机，可以按照需求扩充相应的网络接口数量，对于学校以后扩充校园网规模可以起到保护投资的作用。

龙源期刊网 http://www.qikan.com.cn

内部服务器全部采用千兆双绞线与核心交换机和防火墙直接相连(具体连防火墙还是核心交换机视服务器的功用而定，比如网站类服务器一般放在防火墙后面)。核心交换机与汇聚交换机之间全部采用千兆室外单模光纤连接，实现“千兆为主干，百兆到桌面”的网络结构。 校园网出口区域设计中添加了一台NPE20高性能安全路由器，还添置了一台

AMARANTEN千兆肪火墙。学校的网站服务器等都可以架设在防火墙的DMZ接口上，这样使得不管是来自内部网络还是外部网络的访问请求都需要接受防火墙的严格审核，这就有力地保障了服务器的安全。

机房类上网数据流和办公上网数据流被强制分流。其中，机房类上网数据流被强制流经Drcom的计费系统进行身份认证，然后经过出口防火墙进入Internet。而办公数据流则无需经过Drcom的计费系统直接通过防火墙进入Internet，其身份认证过程在接入交换机部分就已经完成。

4 安全方面

4.1 杜绝IP地址冲突、盗用

针对IP地址冲突的问题，主要采用的是锐捷网络的RG-SAM身份认证系统来完成的。具体原理是每当用户上线时都需要向后台的SAM认证系统提交自己的帐号＋IP＋MAC地址等信息，SAM系统通过核对数据库里面事先记载的信息是否相符，如果不相符则命令接入交换机禁止该用户进入网络。

4.2 预防ARP欺骗攻击

网络攻击呈上升趋势，攻击的手段越来越多样化，据统计超过80％的攻击来自网络内部，最典型的比如DDoS分布式拒绝服务器攻击，无论网络采用静态IP地址分配，还是动态IP地址分配，本方案中的SAM系统可以绑定IP地址和MAC地址与端口，攻击主机一旦修改其源IP地址其报文就会被丢弃，不对网络造成影响，消除了DDoS对网络的攻击。

锐捷接人认证交换机RG-S2126S内建强大的ACL功能，支持标准、扩展以及专家级的访问控制列表，并独有ACL80功能进行基于应用的数据安全检测。可以进行基于接入交换机的ARP欺骗攻击防护。

龙源期刊网 http://www.qikan.com.cn

4.3 限制BT类应用

目前P2P类应用(俗称BT)已经成为校园网出口带宽最大的杀手，其对出口带宽贪婪的吞噬，给众多高校网络中心造成了不小的麻烦。往往在上班高峰期由于有人下载BT而导致大部分人的正常上网造成影响，甚至出现无法上网的现象。为此，在本方案中，添置了一台ACE2000流控设备。该设备除了能限制BT类应用外，还能很好地规划整个出口的带宽。比如带宽借用功能可以在白天上班高峰期将大部分带宽分配给办公区域，而在晚上可以将大部分带宽分配给机房上网区域等。

4.4 防止用户私接、乱接

在平时的网络中可能存在有些用户由于上网接口数量不够而添置一些小交换机来扩展上网接口，这往往会出现用户由于私接而导致网络结构不稳定(比如说出现环路等)。另外，可能有用户直接给别的电脑架设代理服务器，这也同样威胁着整个网络的安全。

针对这个问题，在本方案中每个电脑上安装的客户端软件能随时监控每台电脑是否启用了代理进程，一旦发现有用户使用了代理则自动将该用户隔离出网络。针对私接的问题，就算用户私自挂接小交换机都不影响整个网络的安全。因为接在小交换机上的电脑同样需要向身份认证系统提交身份验证，否则其根本无法进入网络。

5 方案特点

(1)双主干链路、双核心，实现两套核心网络共同运行，在任何一条链路断掉或是核心坏掉的情况下让整个网络不受影响；(2)彻底解决了ARP病毒攻击，对其他形式的病毒和攻击也有防范能力；(3)IP地址统一管理，从根本上防止IP地址冲突、盗用；(4)用户需要进行身份认证后才能进入网络，杜绝代理等方式私接；(5)管理员能够在第一时间准确地定位到嫌疑人的物理方位，防止危害范围进一步扩大；(6)对BT类应用可以禁止或者限流量；(7)通过添加流控设备，规划校园网的出口带宽，更好地保障精品课程等公网应用的顺利开展；(8)能够实现统一身份认证(LDAP)，适应未来数字化建设需要(比如与一卡通系统对接等)。

[参考文献]

[1]汤毅坚.计算机局域网——网络原理与性能评价[M].北京：人民邮电出版社，1989：20-55.

龙源期刊网 http://www.qikan.com.cn

[2]张 辉.Cisco高可用性组网技术[M].北京：电子工业出版社.2002：80-115.