孫光懿+孫光為

摘要：該文以天津音樂學院“十二五”校園網(wǎng)改造項目為背景，以VLAN技術在校園網(wǎng)中應用研究為主線， 解決校園網(wǎng)中存在的實際問題。論文作者參加了該項目的需求分析、總體方案設計，以及整個施工過程。本文分析了天音校園網(wǎng)現(xiàn)狀及存在的問題，提出了解決這些問題的對策，同時根據(jù)VLAN技術與三層交換技術的特點，按照三層架構的原則重新規(guī)劃了天音校園網(wǎng)拓撲結構，給出了一種基于VLAN技術的校園網(wǎng)總體設計方案。

關鍵詞：VLAN；網(wǎng)絡安全；三層架構；出口路由

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）34-0045-02

1 校園網(wǎng)存在的問題

互聯(lián)網(wǎng)發(fā)展快速、高效的特點在天音校園網(wǎng)的建設中顯得尤為突出，對推進校園管理網(wǎng)絡化和教學手段現(xiàn)代化起到了重要的作用。天音校園網(wǎng)在開展教學、科研、辦公等方面不斷的深入，但伴隨著網(wǎng)絡應用的增加，網(wǎng)絡規(guī)模也逐年擴大，所呈現(xiàn)的問題也日趨突出，給校園網(wǎng)制定相關網(wǎng)絡安全策略，部署相應的解決方案，保證校園網(wǎng)安全穩(wěn)定的運行，已經(jīng)成為目前急需解決的問題。當前校園網(wǎng)主要存在以下幾個問題：

1.1 原有VLAN劃分已經(jīng)不適應當前校園網(wǎng)的發(fā)展

目前學院一些部門的網(wǎng)絡都在同一個VLAN下，沒有進行進一步細致的劃分隔離， 網(wǎng)絡設備之間可以互相進行訪問，重要數(shù)據(jù)的獨立性與安全性無法保證， 病毒以及廣播風暴問題日益嚴重，有的時候交換機CPU的使用率達到90%以上，嚴重影響了學院網(wǎng)絡正常的運行。

1.2 網(wǎng)絡拓撲結構有待完善

一些樓宇中的接入交換機沒有與該樓宇中的匯聚交換機相連而直接和核心交換機相連，造成核心交換機負載過重，這樣很容易造成網(wǎng)絡擁塞。

1.3 IP地址管理困難

用戶擅自修改IP地址造成校園網(wǎng)內(nèi)IP地址沖突的現(xiàn)象時有發(fā)生，這種網(wǎng)絡故障嚴重影響了整個校園網(wǎng)絡的正常運行。

1.4 沒有進行網(wǎng)絡訪問控制

目前互聯(lián)網(wǎng)上存在一些不文明、不健康的網(wǎng)站以及一些病毒網(wǎng)站，這些網(wǎng)站通常帶有網(wǎng)絡病毒，如果允許校園網(wǎng)內(nèi)的所有計算機都可以訪問外網(wǎng)，特別是一些重要部門的計算機，一旦被黑客攻擊后果不堪設想。

1.5 校園網(wǎng)出口路由選擇及出口帶寬監(jiān)控的問題

天音校園網(wǎng)原有中國電信、教育網(wǎng)兩條出口，學院為了保證教學、辦公以及宿舍網(wǎng)帶寬的需要新引入了中國聯(lián)通出口，因此需要重新進行校園網(wǎng)出口路由的調(diào)整并實現(xiàn)對出口帶寬的監(jiān)控。

2 天音校園網(wǎng)改造需求分析

2.1 網(wǎng)絡管理需求分析

天音校園網(wǎng)絡目前覆蓋教學區(qū)、辦公樓、琴樓、學生宿舍區(qū)共計樓宇20余棟，師生上網(wǎng)人數(shù)近3000人，建成了一個具有一定規(guī)模的計算機網(wǎng)絡。隨著數(shù)字化校園逐步的建設，網(wǎng)絡管理的復雜度也日趨增加，如何合理的進行VLAN劃分是急需解決的問題。

2.2 校園網(wǎng)安全需求分析

主要利用虛擬局域網(wǎng)技術以及防火墻技術解決安全與學院網(wǎng)絡資源開放問題：天音校園網(wǎng)絡應該是一個開放的系統(tǒng)，一些音視頻資料可以向社會共享使用，但是一些資料涉及版權問題只能在院內(nèi)播放；禁止院外用戶在未經(jīng)授權的情況下訪問院內(nèi)數(shù)據(jù)。

3 校園網(wǎng)結構設計

為了提高校園網(wǎng)數(shù)據(jù)交換傳輸?shù)哪芰?，降低網(wǎng)絡結構的復雜程度，便于日后對校園網(wǎng)的管理，我們將校園中整體劃分為三層架構即核心層、匯聚層、接入層。

核心層可以看做是校園網(wǎng)的大腦，主要負責數(shù)據(jù)的交換以及路由轉(zhuǎn)發(fā)工作。由于核心層采用高性能模塊化路由交換器，網(wǎng)絡的規(guī)模可以隨著模塊的增加而擴大，會遇到業(yè)務中斷等問題。其主要功能如下：

1）提供校園網(wǎng)內(nèi)各匯聚設備的連接；

2）提供到廣域網(wǎng)的訪問；

3）優(yōu)化數(shù)據(jù)傳輸性能；

4）迅速適應升級；

5）提供高可靠性；

匯聚層工作在數(shù)據(jù)鏈路層，負責連接接入層網(wǎng)絡設備。其主要功能如下：

1）部門或工作組接入；

2）VLAN聚合；

3）VLAN間路由；

4）安全性控制；

接入層是連接終端設備的網(wǎng)絡邊緣負責為校園網(wǎng)用戶提供接入服務。

4 校園網(wǎng)VLAN規(guī)劃及配置方法

目前天音校園網(wǎng)存在著多個部門的計算機都劃分在同一個VLAN下的情況，網(wǎng)絡安全穩(wěn)定性相對較差。經(jīng)常發(fā)生IP地址沖突，也容易產(chǎn)生網(wǎng)絡風暴、加速病毒傳播的速度等缺點。為了解決上述校園網(wǎng)絡存在的問題，經(jīng)過認真的分析研究，決定對校園網(wǎng)VLAN按照分布位置與應用環(huán)境的不同進行細致的劃分，子網(wǎng)之間互相不允許通信，滿足不同需求。計劃將校園網(wǎng)絡劃分為十五個子網(wǎng)。學院利用現(xiàn)有Cisco6509三層網(wǎng)絡交換機實現(xiàn)對校園網(wǎng)VLAN（虛擬子網(wǎng)）劃分。

5重新規(guī)劃的天音網(wǎng)絡拓撲結構

5.1 核心層結構

校園網(wǎng)核心層由一臺CISCO6509交換機構成，主要負責十一經(jīng)路校區(qū)、十四經(jīng)路校區(qū)以及附中等三個區(qū)域數(shù)據(jù)流的匯集和分流。核心層與匯聚層之間采用光口互聯(lián)，將十一經(jīng)路校區(qū)、十四經(jīng)路校區(qū)以及附中三個區(qū)域鏈接起來。Cisco 6509交換機 其強大的交換能力確保校園網(wǎng)內(nèi)部有一個高速、穩(wěn)定的網(wǎng)絡環(huán)境，保證核心層與匯聚層之間無阻塞的數(shù)據(jù)交換。

核心層連接匯聚層交換機配置過程：

interface GigabitEthernet2/9 （連接南院舊女生宿舍區(qū)匯聚 ）

description jiunvsushe

no ip address

speed nonegotiate

switchport

switchport mode trunk

！

！

interface GigabitEthernet2/11 （連接南院宿舍區(qū)匯聚交換機 HP 5304）

description to-hp5304

no ip address

speed nonegotiate

switchport

switchport mode trunk

spanning-tree portfast

！

！

nterface GigabitEthernet2/14 （連接十一經(jīng)路校區(qū)匯聚 神州數(shù)碼 6808）

description beiyuan6808

no ip address

speed nonegotiate

switchport

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 1，4，5，8，10，13，14，33

switchport mode trunk

！

5.2 匯聚層結構

匯聚層主要負責將各區(qū)域接入層的交換機頭端匯聚在一起，再通過千兆光纖鏈路上聯(lián)到核心層，這樣可以使核心交換機所需的千兆端口數(shù)量減少，節(jié)約組網(wǎng)的經(jīng)濟成本。目前校園網(wǎng)的匯聚層通過CISCO3550、神州數(shù)碼6808、HP5304、

港灣6802交換機將十一經(jīng)路校區(qū)、十四經(jīng)路校區(qū)、學生宿舍區(qū)、附中等子網(wǎng)連接起來。CISCO3550負責十四經(jīng)路校區(qū)行政辦公樓接入交換機及A-F座教學區(qū)接入交換機的連接 如圖（4-3），提供100M用戶接入端口。神州數(shù)碼匯聚交換機負責北院十一經(jīng)路校區(qū)交換機的連接， HP5304交換機負責連接十四經(jīng)路校區(qū)學生宿舍網(wǎng)，港灣6802負責附中網(wǎng)絡的連接。南院辦公樓匯聚CISCO3550連接核心交換機配置過程：

！

interface GigabitEthernet0/1

description nanyuan6509

switchport mode trunk

no ip address

speed nonegotiate

！

5.3 接入層結構

接入層是一個第二層的網(wǎng)絡。在實際應用中多部署在樓層的豎井間。因此，要求在選用和部署時考慮易管理和低成本。校園網(wǎng)絡接入交換機由思科2950、神州數(shù)碼3950、HP2650、 銳捷2652G可網(wǎng)管交換機購成，主要負責為校園網(wǎng)用戶提供100兆網(wǎng)絡接口，使用戶享受到高速網(wǎng)絡服務。并且根據(jù)接入用戶類型的不同在交換機上劃分為不同的VLAN。

6 實現(xiàn)校園網(wǎng)出口路由的選擇

天音校園網(wǎng)絡目前擁有聯(lián)通、教育、電信三條出口，其中聯(lián)想為百兆獨享；電信為百兆共享，實際帶寬為40兆；教育網(wǎng)帶寬為10兆；實際總帶寬為150兆左右，帶寬利用率為100%。為了保證日常教學、辦公的帶寬，現(xiàn)將學生用戶設置為從聯(lián)通出口訪問互聯(lián)網(wǎng)，學院其他網(wǎng)段從電信出口訪問互聯(lián)網(wǎng)；全院用戶訪問教育網(wǎng)資源均通過教育網(wǎng)出口進行訪問。電信網(wǎng)關地址為：221.239.44.129，聯(lián)通網(wǎng)關地址為：218.69.3.45教育網(wǎng)網(wǎng)關地址為：211.68.197.2. 通過以上配置實現(xiàn)了校園網(wǎng)出口的策略路由，并且也使學生宿舍子網(wǎng)、與學院其他子網(wǎng)的網(wǎng)絡帶寬有了充分的保障。 其中Ethernet0/0 為聯(lián)通出口，Ethernet0/2 為電信出口，Ethernet0/4 為教育網(wǎng)出口。

7 結語

論文中給出了天音校園網(wǎng)總體設計方案，采用三層架構的原則重新規(guī)劃校園網(wǎng)網(wǎng)絡拓撲結構。結合天音校園網(wǎng)的實際情況， 提出了VLAN在天音校園網(wǎng)中具體應用方案。解決了校園網(wǎng)所存在的問題，實現(xiàn)了校園網(wǎng)出口的路由選擇，及對出口帶寬的監(jiān)控。目前天音校園網(wǎng)“十二五”改造項目已經(jīng)完成，校園網(wǎng)運行情況良好，網(wǎng)絡整體性能有了質(zhì)的飛躍。

參考文獻：

[1] 張青，劉忠耿.VLAN 技術應用于校園網(wǎng)的優(yōu)勢及其配置[J].中國遠程教育，2004，14（15）：62-66.

[2] 馬濤.集美大學全面部署銳捷 GSN 全局安全網(wǎng)絡解決方案[J].中國教育網(wǎng)絡，2007（6）：54-55.

[3] 錢偉中，王蔚然，袁宏春.分布式防火墻環(huán)境的邊界防御系統(tǒng)[J].電子科技大學學報，2005，34（4）：513-516.

[4] 郝玉潔，劉貴松.信息安全概論[M].成都：電子科技大學出版社，2007.