周增國　韓　嚴　王　巖

摘要：校園網(wǎng)已成為各高等院校建設(shè)和發(fā)展的一項重要基礎(chǔ)設(shè)施，其建設(shè)規(guī)模和應(yīng)用水平的高低已成為衡量高校教學(xué)、科研、管理和服務(wù)水平等綜合實力的一個重要標志。本文結(jié)合當(dāng)前各高等院校校園網(wǎng)的現(xiàn)狀，對校園網(wǎng)建設(shè)過程中應(yīng)用的關(guān)鍵技術(shù)進行了分析與研究。并在我校校園網(wǎng)的建設(shè)過程中，按照高效和實用的基本建設(shè)原則，對校園網(wǎng)建設(shè)過程中的關(guān)鍵技術(shù)進行了具體的應(yīng)用。

關(guān)健詞：校園網(wǎng)建設(shè) 關(guān)鍵技術(shù) 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1673-8454（2009）07-0024-03

校園網(wǎng)建設(shè)中的關(guān)鍵技術(shù)主要有邏輯網(wǎng)絡(luò)設(shè)計、物理網(wǎng)絡(luò)設(shè)計、綜合布線技術(shù)、網(wǎng)絡(luò)設(shè)備選型、訂購和安裝調(diào)試技術(shù)、網(wǎng)絡(luò)系統(tǒng)測試技術(shù)、網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)管理技術(shù)等。

一、網(wǎng)絡(luò)系統(tǒng)規(guī)劃設(shè)計

1.邏輯網(wǎng)絡(luò)設(shè)計

邏輯網(wǎng)絡(luò)設(shè)計是由系統(tǒng)集成商的網(wǎng)絡(luò)設(shè)計師完成，主要包括網(wǎng)絡(luò)總體設(shè)計，即分析現(xiàn)有的網(wǎng)絡(luò)體系結(jié)構(gòu)，確定網(wǎng)絡(luò)邏輯結(jié)構(gòu)和物理結(jié)構(gòu)；分層設(shè)計，即核心層、匯聚層、接入層的設(shè)計，以及Internet接入方案和廣域網(wǎng)設(shè)計；網(wǎng)絡(luò)IP地址規(guī)劃和設(shè)計；選路和路由規(guī)劃；選擇技術(shù)和設(shè)備；其他功能設(shè)計，如聚合設(shè)計、冗余設(shè)計、安全設(shè)計等。

2.物理網(wǎng)絡(luò)設(shè)計

物理網(wǎng)絡(luò)設(shè)計的主要任務(wù)有：結(jié)構(gòu)化綜合布線系統(tǒng)設(shè)計、網(wǎng)絡(luò)機房系統(tǒng)設(shè)計和供電系統(tǒng)的設(shè)計等。

（１）結(jié)構(gòu)化綜合布線系統(tǒng)。指建筑物或建筑群內(nèi)所安裝的傳輸線路。這些傳輸線路將所有的語音設(shè)備、數(shù)據(jù)通信設(shè)備、圖像處理與安全監(jiān)視設(shè)備、交換設(shè)備和其他信息管理系統(tǒng)相連，并按照一定秩序和內(nèi)部關(guān)系組合成整體。

（２）網(wǎng)絡(luò)機房系統(tǒng)。主要包括設(shè)備安裝和機房環(huán)境等。

（３）供電系統(tǒng)。主要考慮計算機網(wǎng)絡(luò)系統(tǒng)中設(shè)備機房的電力負荷等級、供電系統(tǒng)的負荷大小、配電系統(tǒng)的設(shè)計、供電的方式、供電系統(tǒng)的安全、機房供電設(shè)計以及電源系統(tǒng)接地設(shè)計等。

二、綜合布線技術(shù)

綜合布線工程由系統(tǒng)集成商完成，具體實施系統(tǒng)集成過程中的物理設(shè)計方案。主要完成工作區(qū)子系統(tǒng)、水平子系統(tǒng)、垂直子系統(tǒng)、管理間子系統(tǒng)、設(shè)備間子系統(tǒng)、建筑群子系統(tǒng)的布線工作。

綜合布線系統(tǒng)是模塊化、靈活性極高的建筑物或建筑群內(nèi)的信息傳輸系統(tǒng)，它既是智能化建筑系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的重要底層硬件，又是建筑物內(nèi)的“信息高速公路”。

綜合布線系統(tǒng)主要以非屏蔽雙絞線和光纜為傳輸介質(zhì)，采用分層星型結(jié)構(gòu)，它既能使語音、數(shù)據(jù)、圖像、通信設(shè)備和交換設(shè)備與其它信息管理系統(tǒng)彼此相連，又能使這些設(shè)備與外部通信網(wǎng)絡(luò)相連接。

三、網(wǎng)絡(luò)管理技術(shù)

網(wǎng)絡(luò)管理主要是保證網(wǎng)絡(luò)聯(lián)系暢通和各設(shè)備正常運行，統(tǒng)計優(yōu)化網(wǎng)絡(luò)的使用性能，保證網(wǎng)絡(luò)中重要數(shù)據(jù)的安全等。網(wǎng)絡(luò)管理的五個主要功能域為：配置管理，是管理所有的網(wǎng)絡(luò)設(shè)備，隨時掌握網(wǎng)絡(luò)內(nèi)任何設(shè)備的增減與變動，管理所有網(wǎng)絡(luò)設(shè)備的設(shè)置參數(shù)；故障管理，為確保網(wǎng)絡(luò)系統(tǒng)的高穩(wěn)定性，在網(wǎng)絡(luò)出現(xiàn)問題時，必須及時察覺問題的所在并進行恢復(fù)，包含所有節(jié)點動作狀態(tài)、故障記錄的追蹤與檢查，及平常對各種通訊協(xié)議的測試等；性能管理，主要是評估網(wǎng)絡(luò)系統(tǒng)的運作，統(tǒng)計網(wǎng)絡(luò)資源的運用及各種通訊協(xié)議的傳輸量等，可提供未來網(wǎng)絡(luò)提升或更新規(guī)劃的依據(jù)；安全管理，是為防范不被授權(quán)的用戶擅自使用網(wǎng)絡(luò)資源，以及用戶蓄意破壞網(wǎng)絡(luò)系統(tǒng)的安全，要隨時做好安全措施，如合法的設(shè)備存取控制與加密等；計費管理，了解網(wǎng)絡(luò)使用時間，能針對各個局部網(wǎng)絡(luò)做使用統(tǒng)計，即可作為使用網(wǎng)絡(luò)計費的依據(jù)，也可作為日后網(wǎng)絡(luò)升級或更新規(guī)劃的參考。

四、網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全首先要確定網(wǎng)絡(luò)上有哪些網(wǎng)絡(luò)資源，并分析它們可能存在的安全威脅，制訂相應(yīng)的安全性策略，安裝、配置、管理各種安全產(chǎn)品。與安全有關(guān)的產(chǎn)品和工具有防火墻系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、網(wǎng)絡(luò)管理和監(jiān)測系統(tǒng)等。網(wǎng)絡(luò)系統(tǒng)安全是指網(wǎng)絡(luò)系統(tǒng)中計算機硬件、軟件的安全性，及信息在處理、存儲、傳輸過程中的保密性、完整性和可控性，確保合法用戶的服務(wù)和限制非授權(quán)用戶的服務(wù)以及必要的防御攻擊的措施。網(wǎng)絡(luò)安全在OSI模型中各層的功能如下：

1.物理層。實施內(nèi)、外網(wǎng)絡(luò)的物理隔離，安全級別為最高。

2.數(shù)據(jù)鏈路層。使用信道或數(shù)據(jù)加密技術(shù)來傳輸信息，安全級別為較高。

3.網(wǎng)絡(luò)層。使用防火墻技術(shù)來隔離內(nèi)、外網(wǎng)絡(luò)，使用包過濾技術(shù)跟蹤和隔離入侵者，安全級別為中等。

4.應(yīng)用層。通過用戶身份認證來授予用戶對資源的訪問權(quán)，還可采用網(wǎng)絡(luò)版殺毒軟件，安全級別較低。

五、校園網(wǎng)關(guān)鍵技術(shù)應(yīng)用

1.核心層網(wǎng)絡(luò)設(shè)計

核心層是網(wǎng)絡(luò)的核心，核心層設(shè)備應(yīng)該具有高性能的傳輸功能和高可靠性、可管理性以及高帶寬等性能，以達到網(wǎng)絡(luò)的設(shè)計要求。

大連大學(xué)的核心層網(wǎng)絡(luò)結(jié)構(gòu)采用環(huán)狀結(jié)構(gòu)，即核心主干交換機與主干交換機互連成環(huán)形結(jié)構(gòu)。環(huán)形結(jié)構(gòu)可以使線路負載均衡，當(dāng)任何兩臺交換機之間千兆鏈路連接出現(xiàn)故障，則可自動切換到另一回路上去，從而滿足整個系統(tǒng)的安全可靠性。最后實現(xiàn)以圖書館、南區(qū)中心宿舍、北區(qū)中心宿舍內(nèi)網(wǎng)絡(luò)中心的三臺千兆AVAYA P880交換機為中心，采用4-16芯的多模／單模光纜為傳輸介質(zhì)，分別連接到全校的辦公樓、教學(xué)樓、專家樓、南北區(qū)學(xué)生宿舍等60余座樓宇，形成了校園網(wǎng)的主干光纜通道，并且為所有的主干光纜都設(shè)計了線路冗余。大連大學(xué)校園網(wǎng)結(jié)構(gòu)拓撲如圖1所示。

圖1校園網(wǎng)結(jié)構(gòu)拓撲

在網(wǎng)絡(luò)出口上，我們的路由器選擇合適的鏈路接入方式連接Internet，考慮線路的備份要求，我們采用租用DDN專線與中國教育科研計算機網(wǎng)互聯(lián)，同時我們還使用專用線路與中國網(wǎng)通、中國電信等運營商互聯(lián)，確保出口接入冗余設(shè)計和網(wǎng)絡(luò)暢通。

2.匯聚層和接入層網(wǎng)絡(luò)設(shè)計

校園網(wǎng)匯聚層和接入層網(wǎng)絡(luò)設(shè)備用來實現(xiàn)與核心層設(shè)備千兆上聯(lián)，并與用戶終端設(shè)備連接。根據(jù)校園網(wǎng)用戶的特點，要求實現(xiàn)高端口密度，每個端口價格相對要低。網(wǎng)絡(luò)的安全控制也主要由匯聚層和接入層網(wǎng)絡(luò)設(shè)備來實現(xiàn)。

匯聚層交換機我們選用AVAYA P330系列。該交換機支持千兆上聯(lián)、堆疊和快速以太網(wǎng)，同時提供48個100M快速以太網(wǎng)端口。

接入層交換機采用支持千兆上聯(lián)和快速以太網(wǎng)的210臺AVAYA P120堆疊式交換機，網(wǎng)絡(luò)設(shè)備的帶寬為100M到桌面，完全可以滿足用戶的要求。

3.綜合布線系統(tǒng)

（１）工作區(qū)子系統(tǒng)。由終端設(shè)備連接到信息插座的連線組成，它包括裝配軟線、連接器和連接所需的擴展軟線，不包括終端設(shè)備。信息插座可以安放在墻壁上、地面上或桌面上，一般要求采用標準的RJ45插頭/插座。一個工作區(qū)面積大小一般為8~10平方米，可根據(jù)實際工作區(qū)大小確定信息點數(shù)。從RJ45插座到用戶終端設(shè)備之間的連線使用雙絞線，長度一般不要超過10米。

（２）水平子系統(tǒng)。指樓層范圍內(nèi)的信息傳輸介質(zhì)（4對UTP或光纜及其相關(guān)部件）。它是實現(xiàn)信息插座和管理子系統(tǒng)間連接的橋梁。水平布線子系統(tǒng)設(shè)計范圍較分散，遍及整個樓宇的每一層。用線必須走線槽或在天花板吊頂內(nèi)布線。為了滿足高速數(shù)據(jù)、語音傳輸及視頻（如可視電話）的需求，以及考慮未來的發(fā)展，水平子系統(tǒng)我們選用AVAYA公司的超5類4對非屏蔽雙絞線。

（３）垂直主干線子系統(tǒng)。又稱主干線子系統(tǒng)或垂直豎井系統(tǒng)，是布線系統(tǒng)的垂直走線部分。它將整幢樓主配線架與各樓層配線架相連，是一幢多層建筑各樓層之間垂直鋪設(shè)的骨干饋線電纜或光纖。本系統(tǒng)中主要采用大對數(shù)雙絞線電纜，并鋪設(shè)在弱電豎井內(nèi)。而對于動物中心等個別低層或單層建筑，則直接通過主配線架連接至工作區(qū)。

（４）設(shè)備間子系統(tǒng)。又叫機房子系統(tǒng)，是在每一幢大樓的適當(dāng)?shù)攸c設(shè)置進出線設(shè)備、網(wǎng)絡(luò)互連設(shè)備的場所。通過設(shè)備間子系統(tǒng)可以完成各樓層配線子系統(tǒng)之間通信線路的調(diào)配、連接和測試，可以與本建筑物外的公用通信網(wǎng)連接。本系統(tǒng)中網(wǎng)絡(luò)主設(shè)備間設(shè)置在學(xué)校中心區(qū)圖書館4層主機房。作為網(wǎng)絡(luò)管理中心和總配線間，放置了網(wǎng)絡(luò)主機柜、網(wǎng)絡(luò)交換機、服務(wù)器、路由器、存儲設(shè)備及UPS等。其他樓體設(shè)備間子系統(tǒng)共60余個（每個樓體1個），設(shè)備間內(nèi)安放了AVAYA交換機、標準網(wǎng)絡(luò)機柜、AVAYA配線架、24口AVAYA光纖接線箱及各類線纜等。

（５）管理子系統(tǒng)。設(shè)置在樓層配線間內(nèi)，連接垂直子系統(tǒng)和各水平子系統(tǒng)，由各樓層配線架及相關(guān)交聯(lián)、互聯(lián)、跳線和插頭以及各種顏色的標簽等裝置組成。利用配線架的跳線功能，可使布線系統(tǒng)具有靈活性和多功能性。在本系統(tǒng)中，我們都保留了足夠的空間，以放置配線架和網(wǎng)絡(luò)設(shè)備，在有ＨＵＢ、交換機的地方配有專用的穩(wěn)壓電源，并保持一定的溫度、濕度等。因各樓體的實際情況不同，有些樓體未配備管理子系統(tǒng)。

（６）建筑群子系統(tǒng)。是建筑物之間相互連接所采用的通信電纜、光纖、微波等以及相連接的所有設(shè)備組成的通信線路，將一棟建筑的線纜延伸到建筑群內(nèi)的其他建筑物的通信設(shè)備和設(shè)施。圖書館、南區(qū)中心宿舍、北區(qū)中心宿舍內(nèi)網(wǎng)絡(luò)中心的三臺千兆AVAYA P880交換機之間分別采用16芯單模光纜為傳輸介質(zhì)，將三幢建筑物相連。再以圖書館為中心，采用4-16芯的多模／單模光纜為傳輸介質(zhì)，與行政、教學(xué)、辦公樓體相連；以南區(qū)中心宿舍（南九宿舍）為中心，引出18條單模光纖分別與南區(qū)的18個宿舍樓相連；以北區(qū)中心宿舍（北三宿舍）為中心，引出13條單模光纖分別與北區(qū)的13個宿舍樓相連。最后形成了校園網(wǎng)的主干光纜通道，并且為所有的主干光纜都設(shè)計了線路冗余。

4.網(wǎng)絡(luò)應(yīng)用系統(tǒng)

網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)資源的建設(shè)是校園網(wǎng)絡(luò)建設(shè)的主要部分。建設(shè)校園網(wǎng)的主要目的是充分利用校內(nèi)外的網(wǎng)絡(luò)資源，并且建設(shè)自已豐富的網(wǎng)絡(luò)應(yīng)用。大連大學(xué)校園網(wǎng)絡(luò)自開始建設(shè)就提供了通過校園網(wǎng)訪問Internet和校內(nèi)網(wǎng)絡(luò)資源的應(yīng)用，并建立了學(xué)校自己的Web站點。通過互聯(lián)網(wǎng)廣泛宣傳大連大學(xué)的教學(xué)、科研和管理等工作。同時建立了E-mail、FTP、DNS、用戶賬號管理、用戶遠程撥號、視頻點播系統(tǒng)、課件點播及各部門的Web站點等服務(wù)。

隨著校園網(wǎng)應(yīng)用的加強，學(xué)校將建立自己的管理信息系統(tǒng)和辦公自動化系統(tǒng)，實現(xiàn)校內(nèi)辦公的信息化和自動化。同時圖書館的圖書數(shù)據(jù)庫等已經(jīng)接入校園網(wǎng)，實現(xiàn)了在校園網(wǎng)所有的計算機上都能夠進行圖書、期刊等資料的檢索和閱覽。

5.網(wǎng)絡(luò)安全系統(tǒng)

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全已經(jīng)成為高等院校校園網(wǎng)應(yīng)用中的一個重要問題。大連大學(xué)校園網(wǎng)絡(luò)在建設(shè)與應(yīng)用過程中非常重視網(wǎng)絡(luò)安全問題，并積極地采取了相應(yīng)的安全措施。

（１）安裝企業(yè)級應(yīng)用防火墻。在校園網(wǎng)的出口設(shè)立硬件防火墻，防止外網(wǎng)非法用戶的訪問和黑客的入侵。將其安裝在連接數(shù)據(jù)庫服務(wù)器的交換機和中心路由交換機AVAYA P880之間。對校園內(nèi)部不同網(wǎng)絡(luò)間的安全訪問進行控制，還可以通過虛擬網(wǎng)的劃分和AVAYA P580上的安全控制機制來實現(xiàn)。同時將校園內(nèi)部的相關(guān)服務(wù)器放置在防火墻內(nèi)部，以確保校園網(wǎng)能夠安全運行。

（２）配備IDS入侵檢測系統(tǒng)。IDS是用來檢測針對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上信息系統(tǒng)的非法攻擊的系統(tǒng)。IDS已由最初的審計日志分析程序逐漸發(fā)展為具有更多系統(tǒng)檢查功能的基于主機的入侵檢測系統(tǒng)。同時，隨著計算機網(wǎng)絡(luò)的發(fā)展，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)在近幾年也得到了迅速的發(fā)展，它利用數(shù)據(jù)包嗅探器，截獲數(shù)據(jù)并按照一定的規(guī)則進行分析，來檢測網(wǎng)絡(luò)中的惡意行為。

我校IDS的主要功能有：監(jiān)測并分析用戶和系統(tǒng)的活動、核查系統(tǒng)配置和漏洞、評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性、識別已知的攻擊行為、統(tǒng)計分析異常行為、操作系統(tǒng)日志管理、識別違反安全策略的用戶活動等。

（３）ＶＬＡＮ的劃分。我們選用的AVAYA交換機提供了按照物理端口的MAC地址、IP地址、協(xié)議等多種方式劃分VLAN（虛擬局域網(wǎng)）的功能。利用VLAN技術(shù)，將由交換機連接成的物理網(wǎng)絡(luò)劃分成多個邏輯子網(wǎng)?？紤]到我校的IP地址的數(shù)量（24個C類），并根據(jù)我校校園網(wǎng)的應(yīng)用需求和安全策略等方面的問題，將校園網(wǎng)分成108個VLAN。具體是按照學(xué)校的行政區(qū)域、物理位置和功能等方式劃分VLAN，以便于統(tǒng)一管理；對于重要的部門單獨劃分一個VLAN，禁止VLAN外的用戶訪問（如財務(wù)處）；對于物理位置分散，而又需要劃分在一個VLAN內(nèi)的用戶，可以跨樓體或交換機將不同樓體或交換機端口下的節(jié)點劃分在一個VLAN中。VLAN的劃分在方便了校園網(wǎng)的維護和管理的同時也大大增強了網(wǎng)絡(luò)的安全性。

在校園網(wǎng)絡(luò)安全方面，除了以上措施外，我們還采取內(nèi)外網(wǎng)隔離、訪問控制、身份認證、安全域控制、網(wǎng)絡(luò)安全檢測、審計與監(jiān)控、網(wǎng)絡(luò)反病毒、數(shù)據(jù)安全保護、網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、信息內(nèi)容審計等安全機制，以確保校園網(wǎng)絡(luò)系統(tǒng)的安全。

六、結(jié)束語

目前，大連大學(xué)校園網(wǎng)己經(jīng)具有了一定的規(guī)模，校園網(wǎng)的各類應(yīng)用在逐漸增加，網(wǎng)絡(luò)運行比較穩(wěn)定，基本實現(xiàn)了校園網(wǎng)的最初建設(shè)目標。隨著網(wǎng)絡(luò)應(yīng)用技術(shù)和學(xué)校需求的不斷發(fā)展與提高，我們會不斷完善其中的相關(guān)技術(shù)，以增強大連大學(xué)的教學(xué)、科研、管理和服務(wù)水平，進一步提高大連大學(xué)的綜合實力。

參考文獻：

[1]蔡立軍.網(wǎng)絡(luò)系統(tǒng)集成技術(shù)[M].北京:清華大學(xué)出版社,2004.4:1-33

[2]孫啟智.校園網(wǎng)的設(shè)計與架構(gòu)[J].棗莊師范?？茖W(xué)校學(xué)報,2004,21(2):71-74.

[3]周增國.大連大學(xué)校園網(wǎng)的設(shè)計與實現(xiàn)[J].大連大學(xué)學(xué)報,2005,26(4):28-29.

[4]戴心來,王秀山.大學(xué)校園網(wǎng)技術(shù)實現(xiàn)的若干問題研究[J].中國電化教育,2003,195:81-83.

[5]王桂芝.職業(yè)教育中心學(xué)校校園網(wǎng)的設(shè)計與實現(xiàn)[D].天津:天津大學(xué)電氣與自動化學(xué)院,2005：38-42.