校園網(wǎng)的規(guī)劃與實現(xiàn)

伊健

摘要：該文從校園網(wǎng)的建設(shè)中涉及的網(wǎng)絡(luò)技術(shù)以及網(wǎng)絡(luò)設(shè)備入手，詳細討論校園網(wǎng)建設(shè)的目標、設(shè)計的原則和網(wǎng)絡(luò)的結(jié)構(gòu)，最終設(shè)計出一套安全性較好、可靠性較高的網(wǎng)絡(luò)環(huán)境。文章運用云計算管理平臺來管理分配云計算資源同時使用管理系統(tǒng)來管理網(wǎng)絡(luò)設(shè)備資源情況，使得校園網(wǎng)的使用和管理更加便捷、智能。

關(guān)鍵詞：網(wǎng)絡(luò)結(jié)構(gòu)；IRF；冗余備份；云計算；網(wǎng)絡(luò)安全

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2023）13-0091-03

開放科學（資源服務(wù)）標識碼（OSID）

0 引言

隨著數(shù)字時代的到來，學校的教育、管理將會面臨著全新的挑戰(zhàn)，校園網(wǎng)信息化建設(shè)已經(jīng)是校園基礎(chǔ)設(shè)施建設(shè)的一個重要組成部分，如何將現(xiàn)代通信技術(shù)和手段引入校園管理之中，如何組建技術(shù)先進、可靠性高、安全性高和實用性強的校園網(wǎng)是一個亟待解決的課題[1]。只有將現(xiàn)代技術(shù)與傳統(tǒng)技術(shù)有效結(jié)合，才能更好地達到信息化校園的需求，更好、更方便地管理校園。

1 需求

某師范學院擁有學生、教職工近3000人，網(wǎng)絡(luò)建設(shè)最基本的要求是需要滿足全校師生的網(wǎng)絡(luò)連接。學校使用接入、匯聚、核心的三層網(wǎng)絡(luò)架構(gòu)來滿足全體成員的網(wǎng)絡(luò)需求。其中，接入層使用千兆網(wǎng)線，接入層交換機與匯聚層交換機之間使用千兆光纖連接，匯聚層交換機與核心層交換機之間使用萬兆光纖連接。為了使網(wǎng)絡(luò)具備冗余備份功能，核心層兩臺交換機使用IRF堆疊技術(shù)，下聯(lián)設(shè)備和上聯(lián)設(shè)備與核心交換機之間采用鏈路聚合，使得在交換機故障或鏈路故障時能保證網(wǎng)絡(luò)不中斷。同時，校內(nèi)的接入點也需要進行一定的控制，防止不法分子使用接入點對校內(nèi)網(wǎng)絡(luò)系統(tǒng)進行攻擊。校園網(wǎng)的網(wǎng)絡(luò)建設(shè)大致如下：

1） 建立內(nèi)外網(wǎng)互通的網(wǎng)絡(luò)環(huán)境，以實現(xiàn)信息資源共享、網(wǎng)絡(luò)資源共享等，達到校內(nèi)師生可以輕松訪問互聯(lián)網(wǎng)的目的，從而提高辦公、學習的效率。

2） 做好相應(yīng)的安全策略，保證攻擊者不能從互聯(lián)網(wǎng)和校園內(nèi)網(wǎng)對網(wǎng)絡(luò)進行惡意攻擊，實現(xiàn)安全穩(wěn)定的校園網(wǎng)絡(luò)環(huán)境。

3） 做好校內(nèi)網(wǎng)絡(luò)的冗余備份，避免單故障點對校園網(wǎng)絡(luò)造成的不良影響。

此次校園網(wǎng)的規(guī)劃設(shè)計的目標功能為：

標準性：在經(jīng)濟全球化的今天，每一個產(chǎn)品都不僅僅是一家就能完善所有系統(tǒng)的，網(wǎng)絡(luò)設(shè)備也是一樣，在網(wǎng)絡(luò)規(guī)劃設(shè)計時，網(wǎng)絡(luò)協(xié)議、接口等使用國際標準，從而確保不同品牌的設(shè)備之間可以實現(xiàn)兼容，達到整個校園網(wǎng)的互通互聯(lián)，同時也方便校園網(wǎng)在以后的擴展中不受產(chǎn)品的制約[2]。

安全性：在網(wǎng)絡(luò)安全特別重要的今天，只有保證網(wǎng)絡(luò)的安全性，才能保證數(shù)據(jù)的安全，避免不必要的攻擊對任何一個公民造成不必要的損失。通過配置安全策略，限制流量，提高網(wǎng)絡(luò)管理水平。

可擴展性：在高等院校不斷擴招的今天，以后的網(wǎng)絡(luò)擴展、升級會變得越來越普遍化，終端設(shè)備的爆發(fā)式增長，人數(shù)的增加都需要對網(wǎng)絡(luò)系統(tǒng)架構(gòu)進行擴充，所以，在設(shè)備選型時需要考慮擴展性。

可靠性：現(xiàn)在的網(wǎng)絡(luò)建成后，一般都是不間斷運行，所以軟件、硬件的可靠性也是一個非常重要的參考項。軟件可靠性包括故障記錄、預警能力、錯誤恢復能力。硬件可靠性包括文件傳輸?shù)娜哂鄠浞荨⒕W(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、UPS等[3]。

管理性：網(wǎng)絡(luò)系統(tǒng)完成之后，需要有專業(yè)的網(wǎng)絡(luò)維護人員對設(shè)備進行監(jiān)控和維護，網(wǎng)絡(luò)管理員可以通過網(wǎng)絡(luò)管理協(xié)議和網(wǎng)絡(luò)管理軟件對整個網(wǎng)絡(luò)情況進行監(jiān)控，包括網(wǎng)絡(luò)數(shù)據(jù)流量大小的監(jiān)控、網(wǎng)絡(luò)設(shè)備硬件的監(jiān)控等，從而確保網(wǎng)絡(luò)穩(wěn)定地運行。

2 整體網(wǎng)絡(luò)拓撲設(shè)計

為了防止網(wǎng)絡(luò)的單點故障，整個拓撲采用三層架構(gòu)，核心層使用IRF堆疊技術(shù)[4]，匯聚層交換機與核心層交換機之間使用鏈路聚合，使得鏈路互相成為主備，接入層交換機連接到匯聚層交換機，對下層主機設(shè)備上傳的數(shù)據(jù)進行轉(zhuǎn)發(fā)。學院校園網(wǎng)的拓撲如圖1所示：

為了保證網(wǎng)絡(luò)可靠性，核心采用雙設(shè)備，兩臺核心設(shè)備之間使用IRF堆疊技術(shù)。使用堆疊技術(shù)之后，在管理上，兩臺核心設(shè)備可以作為一臺設(shè)備進行管理，在業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)上，提升了設(shè)備的性能，保證了業(yè)務(wù)不會中斷，實現(xiàn)了冗余備份的條件。在核心層交換機和匯聚層交換機之間使用了OSPF協(xié)議，實現(xiàn)了動態(tài)學習路由條目。當一臺核心設(shè)備出現(xiàn)故障時，所有的數(shù)據(jù)流量會自動切換到另一臺核心設(shè)備進行數(shù)據(jù)的轉(zhuǎn)發(fā)，鏈路也會相應(yīng)進行切換。校外出差的老師和不在校的學生若是訪問校內(nèi)資源時，使用SSL VPN技術(shù)來訪問校內(nèi)資源，不同用戶組的用戶設(shè)置不同的權(quán)限，達到不同用戶登錄VPN后訪問的資源權(quán)限有所區(qū)別。

3 IP地址規(guī)劃

根據(jù)校園的網(wǎng)絡(luò)使用要求以及校園地理位置的分布情況，對不同樓棟使用不同網(wǎng)段的IP地址。具體IP地址規(guī)劃如表1所示：

4 測試

4.1 NAT地址轉(zhuǎn)換測試

NAT地址轉(zhuǎn)換如果出現(xiàn)錯誤，那么就會導致內(nèi)網(wǎng)用戶不能訪問互聯(lián)網(wǎng)，所以，NAT地址轉(zhuǎn)換測試的重要性不言而喻。此次測試NAT地址轉(zhuǎn)換從地址池、地址轉(zhuǎn)換的配置情況和地址轉(zhuǎn)換的記錄兩個方面進行一個小的測試，從而檢測NAT配置正確與否。地址池配置等測試結(jié)果如圖2所示：

從圖3可以看出，私網(wǎng)地址為192.168.2.1轉(zhuǎn)換為公網(wǎng)地址200.1.1.4，再從圖2中可以看出，地址池的范圍中包含200.1.1.4的地址。同時可以看出私網(wǎng)地址的端口為154，轉(zhuǎn)換后的公網(wǎng)地址的端口為0，因此得出此NAT為動態(tài)NAT的結(jié)論。

4.2 SSL VPN測試

SSL VPN測試通過外網(wǎng)電腦使用瀏覽器進行SSL VPN訪問iMC進行測試。測試結(jié)果如圖4和圖5所示：

4.3 連通性測試

連通性測試通過校內(nèi)主機ping公網(wǎng)路由器ISP的接口地址進行測試。測試結(jié)果如圖6所示：

5 結(jié)束語

本次網(wǎng)絡(luò)規(guī)劃與設(shè)計是以某師范學院為基礎(chǔ)，結(jié)合項目中網(wǎng)絡(luò)建設(shè)需求的規(guī)劃，從網(wǎng)絡(luò)整體規(guī)劃到實施測試以及最終的網(wǎng)絡(luò)安全平臺、網(wǎng)絡(luò)管理平臺、云計算管理平臺的搭建等方面進行描述。由于校園網(wǎng)的用戶數(shù)目較多，且分布在教學區(qū)、生活區(qū)等不同區(qū)域，為了方便管理并順應(yīng)現(xiàn)代網(wǎng)絡(luò)架構(gòu)發(fā)展的趨勢，最終確定網(wǎng)絡(luò)為由核心層、匯聚層、接入層組成的三層架構(gòu)。采用了多種冗余備份技術(shù)，達到了網(wǎng)絡(luò)穩(wěn)定性高和可靠性高的需求。

整個學院的網(wǎng)絡(luò)規(guī)劃設(shè)計與實現(xiàn)過程中使用了VLAN、ACL、防火墻等技術(shù)保證了校園網(wǎng)的安全訪問，使用SSL VPN保障了校園成員在外出時可以合法地訪問校內(nèi)的資源，使用了IRF堆疊技術(shù)和鏈路聚合技術(shù)保證了網(wǎng)絡(luò)的冗余備份，使用了云計算保證了資源了高效利用，使用了SNMP和iMC保障了網(wǎng)絡(luò)的實時告警。最終綜合使用這些技術(shù)，使得學院的校園網(wǎng)擁有了合理、安全的使用環(huán)境，成為一個合格的校園網(wǎng)絡(luò)。

通過使用VLAN、ACL、IRF、鏈路聚合等技術(shù)，學院校園網(wǎng)實現(xiàn)了資源合理化運用，核心設(shè)備具有可靠性高，網(wǎng)絡(luò)結(jié)構(gòu)標準化，網(wǎng)絡(luò)設(shè)備可管理化等優(yōu)點?？蛻舯硎敬舜螌嵤┓桨敢约皩嵤┙Y(jié)果達到了他們的預期，對本次實施給予了很大的肯定。

參考文獻：

[1] 陳斌.校園網(wǎng)信息化建設(shè)與安全問題的處置方式探尋[J].科技資訊，2017，15（5）：31-31，33.

[2] 潘銀松，顏燁，高瑜.計算機導論[M].重慶：重慶大學出版社，2020.

[3] 顏光.某高職院校校園網(wǎng)改造方案的設(shè)計與實施[D].南京：南京郵電大學，2019.

[4] 廖文建.IRF技術(shù)初探與實際應(yīng)用[J].網(wǎng)絡(luò)安全和信息化，2018（6）：64-66.

【通聯(lián)編輯：代影】