黃少聰

（福建商業(yè)高等?？茖W校 信息網(wǎng)絡(luò)中心，福州 350012）

根據(jù)CNNIC最新的2014年的調(diào)查結(jié)果表明，我國目前的上網(wǎng)總?cè)丝谝堰_6.4億，其中學生用戶是最大的用戶群，約占其中的33%。同時為了貫徹“科教興國”戰(zhàn)略，推動國家信息化的建設(shè)，提高校園網(wǎng)絡(luò)信息水平成為了當前工作的重點。

校園網(wǎng)是提供寬帶多媒體網(wǎng)絡(luò)教學的平臺，為教師和學生的科學研究和綜合信息服務(wù)的。福建商業(yè)高等專科學校本校區(qū)位于福建省福州市，是福建省教育廳直屬的商科類普通高等學校。2011年，福建商業(yè)高等?？茖W校入住連江縣潘渡校區(qū)，占地面積約1 000畝，建設(shè)有圖書館、教學樓、配電房、綜合實訓(xùn)樓、學生活動中心、體育場所、學生公寓、食堂及基礎(chǔ)配套實施。潘渡校區(qū)的網(wǎng)絡(luò)建設(shè)，希望能全面覆蓋校區(qū)各樓宇，實現(xiàn)與老校區(qū)的互聯(lián)互通，滿足全校師生教學、上網(wǎng)、科研等各項管理工作需求，實現(xiàn)廣泛的資源和數(shù)據(jù)的共享。

一、校園網(wǎng)絡(luò)建設(shè)的目標

商專校園網(wǎng)絡(luò)建設(shè)目標是建成一個覆蓋全校、高速、高性能、高安全性的計算機網(wǎng)絡(luò)，實現(xiàn)新老校區(qū)全網(wǎng)統(tǒng)一認證，保證新老校區(qū)高速互聯(lián)，保障網(wǎng)絡(luò)的高安全性和易管理性。校園網(wǎng)絡(luò)建成以后應(yīng)能全面實現(xiàn)無紙化辦公、計算機輔助教學、校內(nèi)資源共享，滿足學校信息化教學、科研和管理的需要，滿足未來發(fā)展的需要。建成的校園網(wǎng)應(yīng)是一個集有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)和下一代互聯(lián)網(wǎng)多類網(wǎng)絡(luò)共存的高速、高性能的新型校園網(wǎng)絡(luò)。

二、校園網(wǎng)絡(luò)建設(shè)方案設(shè)計原則

網(wǎng)絡(luò)系統(tǒng)的設(shè)計我們遵循如下原則：

1. 網(wǎng)絡(luò)系統(tǒng)支持開放、標準的網(wǎng)絡(luò)協(xié)議TCP/IP，擴大網(wǎng)絡(luò)的應(yīng)用范圍。

2. 網(wǎng)絡(luò)系統(tǒng)要能為廣大師生提供移動終端對網(wǎng)絡(luò)的隨時訪問。

3. 網(wǎng)絡(luò)系統(tǒng)要有足夠的帶寬和足夠的帶寬、很好的服務(wù)質(zhì)量與完善的安全機制，保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)穩(wěn)定運行。

4. 網(wǎng)絡(luò)系統(tǒng)要有足夠的隔離與安全機制。

5. 網(wǎng)絡(luò)體系結(jié)構(gòu)應(yīng)該是先進的，開放的系統(tǒng)，以便于今后網(wǎng)絡(luò)的升級，擴展和互連。

6. 網(wǎng)絡(luò)采用標準的“核心—匯聚—接入”三層結(jié)構(gòu)設(shè)計，簡單而有效的IP地址分配和VLAN劃分策略。

7. 網(wǎng)絡(luò)具有端口靈活的擴充性。

8. 網(wǎng)絡(luò)系統(tǒng)要有先進性和可拓展性，滿足拓撲結(jié)構(gòu)的變化。

9. 網(wǎng)絡(luò)系統(tǒng)要簡單和易于管理。

三、校園網(wǎng)絡(luò)建設(shè)方案

根據(jù)學校的具體情況，統(tǒng)計人數(shù)、樓宇等分布情況，針對校園網(wǎng)絡(luò)建設(shè)的目標，考慮未來網(wǎng)絡(luò)擴容的需要，給出合理擴容設(shè)計思路，我們給出校園網(wǎng)絡(luò)拓撲圖并給出了建設(shè)方案（見下頁圖1）。

建設(shè)方案保留了原有的網(wǎng)絡(luò)資源，采用層次化的網(wǎng)絡(luò)設(shè)計結(jié)構(gòu)，實現(xiàn)新老校區(qū)光纖互聯(lián)，在新校區(qū)基本建成網(wǎng)絡(luò)出口實現(xiàn)雙網(wǎng)寬帶接入，主干數(shù)據(jù)鏈路達到萬兆，千兆接入桌面的快速以太網(wǎng)，擁有IPv6接入環(huán)境，校外用戶可通過SSL VPN訪問校內(nèi)資源，并且新校區(qū)主要建筑場所實現(xiàn)無線網(wǎng)絡(luò)覆蓋。設(shè)備方面，為了保證網(wǎng)絡(luò)的高性能、高可靠性，實現(xiàn)高速路由交換，核心層部署了一臺萬兆骨干路由交換機RG-S780實現(xiàn)高速交換，保證網(wǎng)絡(luò)連接高可靠性。網(wǎng)絡(luò)出口區(qū)域配置了防火墻，在防火墻上配置了控制策略和DMZ區(qū)域，保證內(nèi)網(wǎng)和服務(wù)器的安全。匯聚層采用采用H3C公司自主開發(fā)的下一代數(shù)據(jù)中心級萬兆以太網(wǎng)交換機H3CS5800，提供高密度的終端計算機接入。接入層因數(shù)據(jù)相對較少則采用性價比較好的三層接入交換機RG-5700交換機，具備大容量、高密度的千兆端口，支持智能堆疊和管理功能。

圖1 校園網(wǎng)絡(luò)拓撲圖

1. 服務(wù)器的選擇與介紹以及虛擬化技術(shù)。在校園網(wǎng)絡(luò)系統(tǒng)建設(shè)中采用10臺高性能IBM BladeCenter刀片服務(wù)器。新的校園網(wǎng)絡(luò)應(yīng)用系統(tǒng)主要承擔郵件系統(tǒng)、網(wǎng)絡(luò)課程平臺、校網(wǎng)站、身份認證、信息發(fā)布、FTP等眾多復(fù)雜繁重的網(wǎng)絡(luò)關(guān)鍵應(yīng)用。在現(xiàn)代化教學方面，還承擔各系部教學軟件服務(wù)器的任務(wù)。引入VMware軟件虛擬化來管理校園網(wǎng)服務(wù)器，可以簡化對服務(wù)器的管理，提高服務(wù)器利用率，節(jié)約了硬件成本。

2. 防火墻的選擇與介紹。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全系統(tǒng)，是校園網(wǎng)絡(luò)安全措施中最基礎(chǔ)的也是非常重要一環(huán)。本設(shè)計方案采用的是CISCOASA 5520硬件防火墻，能夠提供主動威脅防御，控制網(wǎng)絡(luò)行為和應(yīng)用流量，還能提供與IPsec互操作的SSLVPN服務(wù)，支持廣大的校外網(wǎng)訪問和移動辦公。

3. 無線局域網(wǎng)技術(shù)。無線局域網(wǎng)簡易、靈活、擴展能力強，既可以作為傳統(tǒng)有線網(wǎng)絡(luò)的延伸，擴大學校網(wǎng)絡(luò)覆蓋區(qū)域，更是學校網(wǎng)絡(luò)發(fā)展的方向，形成真正意義上的校園網(wǎng)。

商專校園無線網(wǎng)絡(luò)設(shè)計方案采用的是無線網(wǎng)狀網(wǎng)（Wireless Mesh Networks簡稱WMNs），室外AP部署在每個樓宇的每層頂層，室內(nèi)無線AP部署于樓道天花板上或者弱電間中，天線則部署于樓道內(nèi)，室內(nèi)和室外AP采用POE方式供電，無需本地直接供電。本方案采用的TL-WR941N無線路由器，支持802.11a/b/g/n標準，支持AES、WEP等安全加密標準，支持漫游切換，支持QOS能力。

4. 認證系統(tǒng)。商專學校網(wǎng)絡(luò)建設(shè)采用的是銳捷SAM身份認證系統(tǒng)，實現(xiàn)“入網(wǎng)即認證”，從網(wǎng)絡(luò)邊緣就對接入用戶進行管理控制，實現(xiàn)了校園網(wǎng)用戶訪問任何網(wǎng)絡(luò)資源之前都需要認證，避免了非法用戶接入帶來的病毒傳播、網(wǎng)絡(luò)攻擊等行為，從而確保滿足國家對信息安全管理的需要。

校園網(wǎng)用戶訪問外網(wǎng)資源，無論通過有線、無線途徑統(tǒng)一采用實名制身份登錄。身份驗證信息包括用戶的用戶名密碼、用戶PC的ip地址和mac地址、用戶PC所在交換機的端口號等。通過以上驗證信息使每一個用戶的身份在校園網(wǎng)內(nèi)的唯一的，只有經(jīng)過網(wǎng)絡(luò)中心授權(quán)的用戶才可接入校園網(wǎng)。當用戶訪問完網(wǎng)絡(luò)后，會在SAM服務(wù)器上保存有完整的上網(wǎng)日志記錄，便于安全事故發(fā)生時的定位查詢。

四、校園網(wǎng)的應(yīng)用系統(tǒng)設(shè)計

根據(jù)學校教學及師生工作和學習的實際情況，校園網(wǎng)應(yīng)該有以下網(wǎng)絡(luò)應(yīng)用系統(tǒng)：

1. 電子郵件系統(tǒng)。電子郵件是學校最主要的網(wǎng)絡(luò)服務(wù)之一，是學校網(wǎng)絡(luò)建設(shè)的基礎(chǔ)，學校教職工和學生都可以使用學校的電子郵件服務(wù)。系統(tǒng)達到了全校師生每人一個賬號的容量，并且與信息化校園進行整合，擁有功能強大、使用便捷、訪問速度快、容量不限等諸多優(yōu)點。

2. 校內(nèi)信息網(wǎng)。校內(nèi)信息發(fā)布平臺，采用先進的設(shè)計理念和技術(shù)框架，集成了豐富的信息服務(wù)內(nèi)容，增強了協(xié)同辦公、資源共享的能力，是廣大師生獲取校內(nèi)通知公告、辦公辦事、查詢業(yè)務(wù)信息的重要工具，每個使用者擁有信息網(wǎng)的賬號，安全，高效快捷，進一步推進了無紙化辦公。

3. 電子圖書館。以校園網(wǎng)絡(luò)的建設(shè)為平臺，電子圖書館的建設(shè)與應(yīng)用對學校的發(fā)展有著巨大影響。電子圖書館是一個電子資源中心，它把各種文獻信息資源用數(shù)字技術(shù)處理和存貯，是基于網(wǎng)絡(luò)系統(tǒng)的提供共享的知識中心，方便廣大師生快速靈活地獲取知識信息。電子圖書館將改變目前圖書館的工作方式和服務(wù)模式，不僅可以提供信息的綜合存儲、檢索、查詢功能，還可為管理人員高度集成化管理資源，提高效率。

4. 網(wǎng)絡(luò)課程平臺。網(wǎng)絡(luò)課程平臺是為師生開展網(wǎng)絡(luò)輔助教學服務(wù)的支撐平臺，功能強大、使用便捷，精品課程開發(fā)，為實現(xiàn)教師之間共同思考，協(xié)作解決問題，最終實現(xiàn)“集體智慧”和“集體認知”。平臺向?qū)W生提供網(wǎng)絡(luò)輔助學習支持功能，向教師提供網(wǎng)上教學支持功能，如精品課程建設(shè)、課程評估、網(wǎng)絡(luò)授課、在線考試、發(fā)布和提交作業(yè)等功能模塊，從而拓展教學空間，擴大師生視野。

5. 校內(nèi)資源共享。在校園網(wǎng)絡(luò)中，教學信息資源的共享是非常重要的應(yīng)用。為了更好地利用網(wǎng)絡(luò)資源，F(xiàn)TP是面向校內(nèi)師生提供信息共享服務(wù)的平臺，所有師生可以使用專用的FTP客戶端軟件如CuteFTP、FlashFXP等訪問FTP服務(wù)器，也可以通過Web瀏覽器如IE，或在“我的電腦”地址欄中直接訪問FTP鏈接，方便地瀏覽和下載所有的資源。

6. internet服務(wù)系統(tǒng)。在信息化的今天，人們已經(jīng)把網(wǎng)絡(luò)當成獲取信息的重要的源泉，而internet服務(wù)系統(tǒng)則起到了舉足輕重的作用。校園網(wǎng)絡(luò)分為校園無線網(wǎng)和校園有線網(wǎng)，為學校師生提供網(wǎng)上瀏覽、網(wǎng)上查詢、遠程訪問、電子郵件和信息發(fā)布等功能。使用校園無線網(wǎng)和校園有線網(wǎng)都需要使用校園網(wǎng)賬號登錄。校園網(wǎng)賬號為一人一個賬號，通過身份認證，一個賬號可以同時登陸電腦、手機、IPAD等三個上網(wǎng)終端。

7. 微哨平臺。微哨平臺不僅全面支持Windows系統(tǒng)電腦，還支持Android系統(tǒng)及IOS系統(tǒng)的移動終端。微哨（Whistle）整合了校園上網(wǎng)認證、即時通訊及應(yīng)用中心，可以幫助學校實現(xiàn)新媒體環(huán)境下的網(wǎng)絡(luò)學習空間建設(shè)，將網(wǎng)絡(luò)與課堂教學有機的銜接起來，保證廣大師生無障礙地隨時隨地溝通，實現(xiàn)真正掌上數(shù)字校園。

五、校園網(wǎng)絡(luò)安全及對策

網(wǎng)絡(luò)安全問題已成為校園網(wǎng)絡(luò)管理優(yōu)先問題。而且隨著移動終端的接入網(wǎng)絡(luò)，對于網(wǎng)絡(luò)使用的控制以及移動終端的多樣化，網(wǎng)絡(luò)安全問題更為突出。校園網(wǎng)絡(luò)建設(shè)應(yīng)把網(wǎng)絡(luò)安全放在突出位置。

1. 采取校園網(wǎng)絡(luò)系統(tǒng)安全對策。包括主機安全技術(shù)、防火墻技術(shù)、入侵檢測系統(tǒng)、防病毒技術(shù)、系統(tǒng)數(shù)據(jù)災(zāi)難恢復(fù)等對策。

2. 制定安全策略。面對非法入侵和惡意代碼攻擊這些安全威脅，校園網(wǎng)必須采取有效的安全措施，不但要采取相關(guān)的網(wǎng)絡(luò)安全對策，還要制定安全策略來保護校園網(wǎng)絡(luò)的安全。如制定網(wǎng)絡(luò)信息管理工作制度和規(guī)范，建立端口訪問控制列表，記錄核心交換機的系統(tǒng)日志，劃分VLAN等管理策略來保障校園網(wǎng)絡(luò)的正常運行。

六、總結(jié)

本方案中所采取的技術(shù)與產(chǎn)品充分考慮了校園網(wǎng)絡(luò)未來的升級與發(fā)展，采用快速以太網(wǎng)技術(shù)，基本上能符合商專新校區(qū)各建筑的分布、信息點的分布。滿足學校師生的教學、科研和管理需求。隨著時代的進步，校園網(wǎng)比將向著更加完善、先進的方向發(fā)展，為更廣大的師生服務(wù)，為學校未來的發(fā)展提供有利的網(wǎng)絡(luò)環(huán)境。

[1]陳能華．杭州科技職業(yè)技術(shù)學院校園網(wǎng)系統(tǒng)集成的研究[D]．上海：華東師范大學，2009．

[2] 王達．網(wǎng)絡(luò)組建(第 2版)[M]．北京：電子工業(yè)出版社，2007．

[3][美]Richard Deal．CCNA 學習指南[M]．張波，胡穎瓊，等，譯．北京：人民郵電出版社，2009．

[4]李克端，沈偉民．基于VLAN的校園網(wǎng)[J]．電腦教育報，429．

[5]楊延昭．基于對等網(wǎng)絡(luò)的校園直播系統(tǒng)設(shè)計與實現(xiàn)[D]．北京：北京交通大學，2011．