(大連海事大學(xué) 信息處，遼寧 大連 116026)

隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展，全國高校已經(jīng)步入了信息化時代。網(wǎng)絡(luò)圖書館、網(wǎng)絡(luò)辦公、教務(wù)管理等日常園區(qū)網(wǎng)絡(luò)應(yīng)用已經(jīng)成為高校正常運作的必要工作流程，網(wǎng)絡(luò)已經(jīng)滲透到校園每一個角落，極大地提高了學(xué)校教學(xué)、科研及管理效率。高校園區(qū)網(wǎng)的建設(shè)，目的是為學(xué)校的教學(xué)、科研和管理提供高效實用的計算機網(wǎng)絡(luò)環(huán)境，是一件涉及學(xué)校各部門的綜合性事務(wù)。從最初的網(wǎng)絡(luò)需求提出，到園區(qū)網(wǎng)方案設(shè)計與實施，以至最后的網(wǎng)絡(luò)應(yīng)用管理環(huán)節(jié)，無不需要嚴格的論證。其中，網(wǎng)絡(luò)結(jié)構(gòu)拓撲、網(wǎng)絡(luò)設(shè)備選擇和網(wǎng)絡(luò)安全控制是在園區(qū)網(wǎng)的規(guī)劃與構(gòu)建中應(yīng)著重注意的三個方面。

一、網(wǎng)絡(luò)結(jié)構(gòu)拓撲

目前普遍采用的網(wǎng)絡(luò)拓撲[1]為星型網(wǎng)絡(luò)結(jié)構(gòu)，如圖1所示。由核心路由器輻射四周樓宇，這樣的拓撲結(jié)構(gòu)清晰明了，主次分明。在實際的網(wǎng)絡(luò)構(gòu)建中，樓宇之間由光纜連接，每條線路需要兩條光纜(一條單模光纜、一條多模光纜)進行雙路冗余備份，以增加網(wǎng)絡(luò)的可擴展性與穩(wěn)定性。這樣的拓撲結(jié)構(gòu)，一則可以考慮到日后網(wǎng)絡(luò)業(yè)務(wù)的拓展，例如校園內(nèi)部署IP監(jiān)控攝像頭、一卡通等網(wǎng)絡(luò)業(yè)務(wù)都要基于光纜的連通；二則雙鏈路在網(wǎng)絡(luò)傳輸選擇上有主次之分，很大程度上保障了網(wǎng)絡(luò)通信的穩(wěn)定性。

雖然星形拓撲結(jié)構(gòu)具有控制簡單、故障診斷和隔離容易、方便服務(wù)等優(yōu)勢，但其缺點不容小視。一是光纜鋪設(shè)長度和安裝工作量可觀；二是中央節(jié)點的負擔(dān)較重，容易形成瓶頸。這些問題在網(wǎng)絡(luò)構(gòu)建前期都需要經(jīng)過反復(fù)評估。

二、網(wǎng)絡(luò)設(shè)備選擇

1.擴展性

網(wǎng)絡(luò)設(shè)備的可擴展性決定了網(wǎng)絡(luò)系統(tǒng)適應(yīng)高校未來發(fā)展的能力，也決定了網(wǎng)絡(luò)系統(tǒng)對投資的保護能力。網(wǎng)絡(luò)系統(tǒng)只因為改變了一些應(yīng)用功能模塊就無法適應(yīng)，需要重新淘汰一部分原有設(shè)備，甚至需要全面改變原有園區(qū)網(wǎng)的拓撲結(jié)構(gòu)，其損失之大是一般高校都無法承受的，也是不允許的。

圖1 星形網(wǎng)絡(luò)拓撲結(jié)構(gòu)

當前大多高校使用萬兆板卡的核心網(wǎng)絡(luò)設(shè)備，已經(jīng)充分滿足了園區(qū)網(wǎng)內(nèi)部各種應(yīng)用。然而隨著在線高清視頻、網(wǎng)絡(luò)下載點播等高帶寬網(wǎng)絡(luò)應(yīng)用的流行，十萬兆接口速率的核心網(wǎng)絡(luò)設(shè)備以及對網(wǎng)絡(luò)組播的支持是避免網(wǎng)絡(luò)帶寬瓶頸的選擇；還有匯聚層網(wǎng)絡(luò)設(shè)備的選擇要注意是否要選擇支持光纖的千兆交換機，盡管目前用處不大，不過可能在很短的一段時間后就要用到高性能的光纖連接，如與服務(wù)器、數(shù)據(jù)存儲系統(tǒng)等的連接，而且還要估算一下需要多少個這樣的端口，要冗余多少個光纖端口；網(wǎng)絡(luò)設(shè)備的硬件、軟件升級，接口、插槽預(yù)留等，都是需要考慮到未來擴展性的重要方面。同時，網(wǎng)絡(luò)設(shè)備必須支持IPv6協(xié)議，因為v6時代已經(jīng)到來。

2.穩(wěn)定性

網(wǎng)絡(luò)穩(wěn)定性的作用是不言而喻的，沒有人能夠忍受斷斷續(xù)續(xù)的網(wǎng)絡(luò)通信。在園區(qū)網(wǎng)的工作環(huán)境中，遭遇網(wǎng)絡(luò)病毒襲擊總是不可避免的，無論是個人電腦還是網(wǎng)絡(luò)工作站感染了網(wǎng)絡(luò)病毒，那么它就不能正常上網(wǎng)訪問。在接入網(wǎng)絡(luò)設(shè)備[2]選型方面，要考慮防arp欺騙、mac地址過濾以及綁定等功能。對感染病毒的電腦進行及時過濾隔離，避免影響其他網(wǎng)絡(luò)用戶的正常應(yīng)用；對特定IP地址進行特定分配，保證特定地址的特殊權(quán)限。此外，網(wǎng)絡(luò)用戶隨意改變IP地址，網(wǎng)絡(luò)中容易出現(xiàn)IP地址沖突現(xiàn)象，同樣會引發(fā)網(wǎng)絡(luò)中斷。這樣就要求，匯聚設(shè)備支持動態(tài)主機分配協(xié)議(dynamic host configuration protocol)，并且能夠檢測IP地址沖突。在自動獲取IP地址的同時，能夠檢測到未被占用的地址，以進行實時獲取。以上都是在網(wǎng)絡(luò)鏈路中，充分保障了網(wǎng)絡(luò)穩(wěn)定性。

三、網(wǎng)絡(luò)安全控制

1.訪問控制策略

訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略,它也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。首先，進行入網(wǎng)訪問控制，即第一層訪問控制。用戶的入網(wǎng)訪問控制需要用戶名的識別與驗證、用戶口令的識別與驗證。其次，進行網(wǎng)絡(luò)權(quán)限控制，即針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制用戶和用戶組可以訪問特定資源。最后，進行網(wǎng)絡(luò)出口安全控制[3]?？梢栽诔隹谖恢锰砑臃阑饓Γ刂苾?nèi)部用戶的對外訪問，并開啟防病毒功能以保證內(nèi)部用戶的對外訪問不受病毒侵害；開啟源地址轉(zhuǎn)換的對外訪問方式，充分保障園區(qū)網(wǎng)用戶的安全性；同時部署出口流量日志分析系統(tǒng)，采用對園區(qū)網(wǎng)所有流入、流出數(shù)據(jù)進行日志記錄，最好定期為網(wǎng)絡(luò)和安全管理人員提供相應(yīng)的報表，保證系統(tǒng)日后審計和維護查詢。

2.網(wǎng)絡(luò)功能劃分

根據(jù)不同的網(wǎng)絡(luò)應(yīng)用、不同的部門、不同的用戶采取不同網(wǎng)段劃分方法。對于工作站區(qū)域，最好分配一段實地址，以保證同時面向校內(nèi)外用戶提供服務(wù)訪問；對于辦公部門區(qū)域，既要保證各職能部門內(nèi)部網(wǎng)絡(luò)互聯(lián)互訪，又要保證跨部門間的網(wǎng)絡(luò)邏輯分離。例如財務(wù)處內(nèi)部員工間可以相互訪問、共享資源，同時禁止其他部門訪問；對于學(xué)生公寓區(qū)域，要對宿舍不同樓層劃分不同網(wǎng)絡(luò)地址段，限制不同網(wǎng)段之間互訪，以控制網(wǎng)絡(luò)病毒及異常廣播數(shù)據(jù)包的影響范圍。這樣方便確定地址出處，增強安全性管理。

3.網(wǎng)絡(luò)用戶培訓(xùn)

通常網(wǎng)絡(luò)用戶是網(wǎng)絡(luò)內(nèi)部潛在的最大不穩(wěn)定因素。園區(qū)網(wǎng)組建后，首先要對網(wǎng)管人員、硬件軟件維護技術(shù)人員等進行專業(yè)培訓(xùn)。如果網(wǎng)管人員和硬件軟件維護技術(shù)人員的技術(shù)不過硬，甚至誤操作，將可能導(dǎo)致整個校園網(wǎng)絡(luò)癱瘓，造成的損失將無法估量。其次要對全校師生進行網(wǎng)絡(luò)基礎(chǔ)知識培訓(xùn)，例如電腦密碼設(shè)置、常用辦公軟件使用、殺毒軟件定期升級查毒等。如果使用網(wǎng)絡(luò)的人員對電腦操作不熟練，那么即使是組建了好的校園網(wǎng)絡(luò)，也會由于使用問題而造成園區(qū)網(wǎng)不能正常運行或不能發(fā)揮最佳的運行效果?？梢酝ㄟ^在高校中積極開展網(wǎng)絡(luò)知識系列講座的方式，激發(fā)學(xué)生學(xué)習(xí)網(wǎng)絡(luò)知識的興趣，促進校園網(wǎng)的健康應(yīng)用。最后要加強園區(qū)網(wǎng)絡(luò)文化建設(shè)。網(wǎng)絡(luò)應(yīng)用是全方位的工作，沒有校園文化氛圍，網(wǎng)絡(luò)應(yīng)用就很難搞好。培養(yǎng)信息網(wǎng)絡(luò)意識，營造校園網(wǎng)絡(luò)文化，倡導(dǎo)“科學(xué)網(wǎng)絡(luò)、文明網(wǎng)絡(luò)”是推進網(wǎng)絡(luò)應(yīng)用建設(shè)工作的調(diào)控手段。同時為加強高校信息化管理而進行相應(yīng)的制度和法治建設(shè),也是整個信息化網(wǎng)絡(luò)建設(shè)和應(yīng)用的一項重要的制度性保障工作。

四、結(jié) 語

高校園區(qū)網(wǎng)是建構(gòu)在多媒體技術(shù)和現(xiàn)代網(wǎng)絡(luò)技術(shù)之上的為教學(xué)、科研、管理服務(wù)并與因特網(wǎng)連接的校園內(nèi)局域網(wǎng)絡(luò)環(huán)境，是一種教育科研網(wǎng)絡(luò)。作為一項龐大的系統(tǒng)工程，高校園區(qū)網(wǎng)工程事關(guān)學(xué)校的發(fā)展大計，必須慎重考慮。近年來，國內(nèi)不少高校為建設(shè)園區(qū)網(wǎng)，不顧自身需求和經(jīng)濟實力而一擲千金的事例屢見不鮮。究其原因，多數(shù)為對園區(qū)網(wǎng)工程的具體事項了解不夠，缺少詳盡的規(guī)劃與構(gòu)建方案。這就要求高校在園區(qū)網(wǎng)的規(guī)劃與構(gòu)建上，自始至終要以“需求”為根本，圍繞著建網(wǎng)原則以及園區(qū)網(wǎng)的拓撲結(jié)構(gòu)，使高校的網(wǎng)絡(luò)建設(shè)方案經(jīng)過逐步分析、規(guī)劃而成為層次分明、具體周到的方案，使人們?nèi)菀桌斫?，從而很明了、很輕松地實施。

[1]侯 勇.網(wǎng)絡(luò)拓撲結(jié)構(gòu)簡論[J].商業(yè)時代，2008(10)：81.

[2]申 燕.網(wǎng)絡(luò)交換機原理及選擇[J].長沙通信職業(yè)技術(shù)學(xué)院學(xué)報，2006(1)：58-61.

[3]賀登科，杜 江.基于局域網(wǎng)的網(wǎng)絡(luò)訪問控制方法研究[J].重慶郵電大學(xué)學(xué)報：自然科學(xué)版，2007(增刊)：121-124.