校园网络规划设计要点

校园网络规划设计要点

李 鹏

南京欣网通信科技股份有限公司 江苏南京 210032

摘要：科学技术带动社会的发展，社会的发展又会推动科学技术的进步，两者相辅相成；信息技术作为科学技术的重要组成部分，其发展已达到前所未有的高度，各类新兴网络业务更是眼花缭乱，而校园网又作为计算机网络的重要组成部分，因而校园网建设是一个先进的话题。

关键词：黑客；先进性；扩展；可靠性；网络安全；

0引言

大数据、超级信息时代已经到来，人们的生产、生活、学习已经离不开网络技术，各种社交平台、电子商务、短视频也都走进寻常百姓的生活；人工智能、无人驾驶、物联网等“互联网+”业务又为信息技术的应用添上浓墨重彩的一笔。校园网作为网络大家庭的典型代表，自然不甘落后；校园网络不仅要给师生提供网优质的上冲浪服务，还要满足现代化教学、综合性信息管理、教研合作以及智能化办公等。通过网络改变教育的方式，实现在线教学、在线交流、视频会议等，特别在新冠疫情期间，线上教学成为作为最行之有效的教育模式。校园网络经常作为新技术的试点，代表处着新兴技术从实验室走向社会的一个过渡，先进自然是它的代名词，同时校园网络又要具有安全性、可靠性、可扩展性和经济性。

1建设要求

校园网络的建设要遵从网络的先进性、安全性、可靠性、经济性和可扩展性这五个方面。

（1）先进性：学校是作为教育、科研于一身的单位，校园网络技术必然要具备一定的先进性。由于不断产生新技术、新服务、新产品，因此校园网的建设既要满足用户当前的需求，还要充分考虑到能够适用这些未来的业务，做到在技术上适当超前，不至于短期内面临淘汰的风险；所以校园网建设要以较高起点的规划设计，并使用先进成熟的网络技术及解决方案。

（2）安全性：网络安全是网络服务的基本要求，只有具备较为安全的网络环境，才能给用户提供各种便捷的网络服务，正如没有牢固根基的大楼是无法提供一个舒适的住所一样。然而，当前的网络安全问题却是比比皆是，影响网络安全的因素更是层出不穷，网络服务的可用性、完整性、机密性得不到保障，网络病毒、黑客攻击、欺骗技术、DOS 攻击、缓冲器溢出、SQL注入等恶意攻击手段“琳琅满目”。

（3）可靠性：可靠性一般指得是网络本身可靠，是从内网的角度看待的。网络的可靠性要从软件、硬件以及网络规划设计等方面充分考虑；软件、硬件方面要采用市场上主流的产品，其性能和稳定性均得到市场的检验；在网络规划设计方面，保证关键部位不存在单一故障点，如：采用双核心、多互联、链路聚合、设备集群等技术，增加设备冗余以及链路冗余，保证业务自动切换故障链路或设备；核心设备要具备7x24小时不间断运行，配备足够容量的不间断电源，确保电力供给稳定；要在不同的地理位置分别设置容灾机房，以应对在发生不可抗力时，可异地数据恢复。

（4）经济性：通过技术经济比对，并依据网络建设的目标，制定经济合理的规划方案，以较小成本建设一个高可用、高安全的网络系统。在满足网络目标的前提下，削减不必要的用户终端投资和网络维护费用，实现先进性、可靠性又能达到功能和经济的优化设计。设备、耗材等大宗商品要集中采购，在满足质量要求的前提下，合理竞标以获取更低的价格。采用标准化综合布线系统，统一施工，统一管理，可有效减少后期维护管理成本。

（5）可扩展性：在网络的规划设计阶段要考虑未来用户数量以及业务类型的增加，要预留冗余接口用于带宽扩容、链路提速的需要；在网络设备的配置上也要保留一定的冗余，以便接入新的网络系统和业务需要。网络还要具有可扩展性和兼容性，部署通用的标准化协议兼容不同厂商类型的网络产品，使整个网络系统能够随着技术的发展及新业务的需求，不断完善壮大。

2 建设方案

（1）网络拓扑

图2.1  网络拓扑图

（2）设备部署：该大学新校区需要承载师生的日常上网、办公业务，并能适用未来人员的增长以及业务拓展的要求。采用三层架构模式组网，分别为核心层、汇聚层、接入层。核心层是网络的核心部分，主要实现网络干道间的通信，需要承载整个网络用户的数据流。核心层设计的重点是采用高性能交换机及大带宽的冗余链路，以实现可高速、可靠的的数据传输。核心层设备一般采用双机热备技术或堆叠技术以实现流程的均衡负载。汇聚层是核心层和接入层的“中间件”，起到承上启下的作用，对终端用户数据流进行汇聚处理，并对接入层上来的数据施加策略、安全、源地址或目的地址过滤等，以减轻核心层设备的压力。接入层处于网络的边缘，直接连接终端，为用户提供了访问其他网络的能力，主要解决用户之间的互访需求，本网络要求具备有线接入和无线接入的需求。

本网络内网通过防火墙连接两个运营商网络，以增加访问外部网络的可靠性和外网出口带宽。通过在防火墙上部署地址映射技术，实现内、外部网络相互访问。

核心层采用两台高性能三层交换机互联，规避单核心故障点的问题；核心交换机之间采用链路聚合技术把多条物理链路聚合成一条逻辑链路，增加了链路带宽和链路冗余，进而增加网络的可靠性。

汇聚层交换机使用台堆叠技术，把两台物理交换机虚拟成一台逻辑上的交换机，以增加交换机背板容量和处理能力。汇聚交换机下联接入层交换机或无线AP，双上联到两台核心交换机上。

接入层交换机部署在每个楼层的弱电间内，满足终端用户接入网络的需求，并能对特殊用户实现静态用户绑定（如财务部门）以确保用户接入的安全性。

（3）网络优势：采购行业主流产品及解决方案，软硬件性能稳定可靠；设备的安装、调试的施工单位技术一流，有着丰富各类网络施工经验和管理经验。优化网络规划设计提高网络的高可用性；硬件方面：双出口、双核心、双上联、链路聚、设备堆叠等技术；软件方面：部署MSTP+VRRP+BFD的“铁三角组合”，从软件协议方面实现双三层网关、双二层根桥结构，并能快速检测联动切换链路。通过以上软、硬件的有机结合，基本可以彻底解决单一故障点的发生。网络接入采用了有线网络和无线WLAN网络同时部署，满足了有线和无线用户接入，增加接入灵活性。

（4）协议部署：由于汇聚交换机设计成双上联到两台核心交换机，因而会在二层网络上产生环路，需要开启生成树协议（STP）。生成树协议分为STP、RSTP及MSTP三种类型，鉴于该网络容量较大，采用MSTP模式，实现核心设备均衡负载，并能有效的减小广播风暴的影响范围。本网络中，通过vlan标识，把一般的用户的根放在核心1上，另一半放在核心2上，两台核心互为主备。

VRRP协议使得业务网关不在固定在某台设备上，而是浮动的，当主用路由设备或链路发生故障时，网关就会自动切换备用路由设备上，保证业务的连续性。在两台核心交换机上部署VRRP，把一半的用户的网关部署在核心交换机-1的上，另一半用户的网关部署在核心交换机-2上，两台核心互为主备。

BFD协议是用于快速检测互联设备之间通断的协议，可以提供毫秒级的检测，BFD通过快速检测链路通断然后同其他高层协议联动，以实现网络快速收敛，确保业务连续、稳定。

DHCP服务器可以实现动态地址分配，减少人为工作，同时可以避免误操作导致的地址冲突问题。本网络中，在两台核心交换机上部署DHCP服务器，在三层VLAN接口模式下配置域名解析服务器、地址池、默认网关、租期等信息，该三层VLAN虚拟地址就是用户的默认网关，也是这些VLAN用户的DHCP服务器地址。

本网络中普通的师生在上网，采用多对一的地址映射；领导及其他重要用户等采用地址池方式多对多映射；学校WEB服务器采用一对一地址映射的NAT server方式。

内网用户间的互通是通过三层交换技术实现不同VLAN通信，在两台核心交换机上部署，三层VLAN的虚拟地址作为对应VLAN用户的网关。核心交换机上联防火墙使用缺省路由，防火墙下联核心交换机使用明细的静态路由，防火墙到外网通过两条缺省路由指向两个运营商网络。

3 网络管理维护

网络管理作为网络工程转维后，对网络设备进行维护管理的重要工作，如：发生网络故障需要排障，新增、删减或者变更业务配置等。目前，中、大型网络通过专门的网络管理平台对网络进行维护，小型网络当不具备网络管理平台时，可通过远程管理工具维护。

（1）网管平台:使用专门的网络管理平台能够快速、有效的进行网络建设、维护全过程管理。自动发现、加载网元，自动匹配连线生成网络拓扑结构，查看设备软硬件状态，如：设备机框、板卡、子板卡及接口状态。拓扑管理功能，网络管理平台可以显示网元及其之间连接的状态，自动绘制拓扑结构，有助于网络管理者实时了解整个网络的运行情况。实时显示当前网络故障告警情况，区分不同等级的告警，提醒网络管理人员及时排查告警原因，确保网络正常运行。

（2）当网管平台失效或者无网管平台时，可以使用远程登录工具，如：通过CRT软件的SSH或者Telnet远程登录设备，此类方式是通过命令行界面对设备维护，需要专业人员操作。

结束语：

校园网是因特网的一个缩影,同时也是因特网的重要组成部分，因特网就是通过互联设备、链路把无数个园区网、数据中心以及其他网络而形成的。校园网络的建设是全面而又复杂的，要承载基本的上网娱乐业务，同时也要承载视频教育、教研、自动化办公的需求，所以其网络建设要全面的精心规划设计，要具备先进的技术、安全可靠的运行环境并具有一定的可扩展新型业务的能力。

参考文献:

[1]李磊.网络工程师考前辅导.清华大学出版社,2007年4月第一版,644页

[2]徐浩然.电子政务信息安全系统的设计与实现.湖南大学硕士论文，2017-1-8

[3]陶志勇.基于云计算的虚拟化技术在企业网终中的应用.计算机系统应用，2018-7-15