周軼捷

安全高效的校園計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)建探討

周軼捷

摘 要：校園計(jì)算機(jī)網(wǎng)絡(luò)是適應(yīng)時(shí)代發(fā)展的必要條件和基礎(chǔ)，也是學(xué)?；A(chǔ)設(shè)施建設(shè)的一個(gè)比較重要的組成部分。通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)用戶需求、校園計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)目標(biāo)和設(shè)計(jì)原則進(jìn)行科學(xué)分析，找出計(jì)算機(jī)網(wǎng)絡(luò)存在的問題，可以提出構(gòu)建安全高效計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)采取的解決方案。

關(guān)鍵詞：校園；計(jì)算機(jī)網(wǎng)絡(luò)；構(gòu)建

周軼捷/南通高等師范學(xué)校數(shù)理系教師，碩士(江蘇南通226001)。

隨著互聯(lián)網(wǎng)技術(shù)在全球的快速推廣，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)在生活、文化、經(jīng)濟(jì)、社會(huì)政治等各個(gè)領(lǐng)域得到應(yīng)用。目前很多學(xué)校都相繼建立了自己的校園網(wǎng)，這對(duì)實(shí)現(xiàn)資源共享和學(xué)校對(duì)外交流、管理、科研、教學(xué)等都發(fā)揮著非常重要的作用。校園計(jì)算機(jī)網(wǎng)絡(luò)是適應(yīng)時(shí)代發(fā)展的必要條件和基礎(chǔ)，也是學(xué)?；A(chǔ)設(shè)施建設(shè)的一個(gè)比較重要的組成部分。校園計(jì)算機(jī)網(wǎng)絡(luò)是利用Internet技術(shù)、多媒體技術(shù)、現(xiàn)代網(wǎng)絡(luò)技術(shù)等建立起來，主要為學(xué)校廣大學(xué)生和教職工提供宣傳、管理、科研、教學(xué)以及其他信息交流的服務(wù)平臺(tái)。文章通過對(duì)校園網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)有關(guān)內(nèi)容進(jìn)行了分析，提出構(gòu)建安全高效計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)采取的解決方案。

一、對(duì)計(jì)算機(jī)網(wǎng)絡(luò)用戶需求進(jìn)行科學(xué)分析

（一）校園計(jì)算機(jī)網(wǎng)絡(luò)要能夠提供網(wǎng)絡(luò)服務(wù)

校園計(jì)算機(jī)網(wǎng)絡(luò)要能夠?yàn)閷W(xué)校的所有宿舍樓、實(shí)驗(yàn)樓、教學(xué)樓實(shí)現(xiàn)通信和信息共享，并且要提供數(shù)字圖書館、多媒體教學(xué)、VOD、BBS、E-mail、Telnet、FTP、WWW 等服務(wù)，主要信息點(diǎn)應(yīng)當(dāng)集中在學(xué)生公寓樓、教學(xué)樓、辦公樓、實(shí)訓(xùn)樓等。

（二）校園計(jì)算機(jī)網(wǎng)絡(luò)對(duì)主機(jī)系統(tǒng)有著具體的要求

校園網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)所用的主機(jī)系統(tǒng)要有良好的擴(kuò)展能力，要采用國(guó)際上比較先進(jìn)的主流技術(shù)；主機(jī)系統(tǒng)要有一定的容錯(cuò)能力，要能夠連續(xù)長(zhǎng)時(shí)間地繼續(xù)工作，要有較高的可靠性；要能夠與Internet互聯(lián)，并且能夠提供互聯(lián)網(wǎng)應(yīng)用，例如E-mail電子郵件服務(wù)、FTP文件傳輸服務(wù)、WWW瀏覽服務(wù)等服務(wù)；要能夠支持多種傳輸協(xié)議，軟件要有較好地兼容性、軟件支持要較為廣泛；要能夠支持大型的數(shù)據(jù)庫(kù)，例如Oracle、SQL等；要具有較好地可維護(hù)性和可管理性，要能夠支持SNMP網(wǎng)絡(luò)管理協(xié)議。

（三）校園網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)對(duì)一些網(wǎng)絡(luò)設(shè)備的具體需求

網(wǎng)絡(luò)設(shè)備要盡可能地具有較高的性價(jià)比；要采取國(guó)際統(tǒng)一的標(biāo)準(zhǔn)；要有合適的網(wǎng)管軟件對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行設(shè)置、管理、監(jiān)控；要采取多種容錯(cuò)技術(shù)，做到高可用性和高可靠性，要有較大的吞吐量。

二、校園計(jì)算機(jī)網(wǎng)絡(luò)存在的一些問題

目前校園計(jì)算機(jī)網(wǎng)絡(luò)存在的問題主要有以下幾個(gè)方面：（1）校園計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用服務(wù)沒有進(jìn)行廣泛應(yīng)用。校園計(jì)算機(jī)網(wǎng)絡(luò)建成以后，網(wǎng)絡(luò)應(yīng)用服務(wù)不斷進(jìn)行了完善，但是一些網(wǎng)絡(luò)應(yīng)用并沒有進(jìn)行廣泛地推廣應(yīng)用，從而導(dǎo)致了網(wǎng)絡(luò)應(yīng)用服務(wù)沒有得到有效地利用。（2）校園計(jì)算機(jī)網(wǎng)絡(luò)缺乏安全防范體系建設(shè)，從而造成安全防范體系還比較脆弱。（3）內(nèi)網(wǎng)訪問速度還不是那么穩(wěn)定。目前校內(nèi)網(wǎng)絡(luò)都存在著訪問外部資源不太穩(wěn)定的情況，因此網(wǎng)絡(luò)的穩(wěn)定性還需要完善。（4）從公網(wǎng)訪問校園網(wǎng)的相關(guān)資源速度還不是很快，有時(shí)甚至出現(xiàn)學(xué)校主頁(yè)打不開的現(xiàn)象。（5）校園計(jì)算機(jī)網(wǎng)絡(luò)安全方面還存在著一些問題。校園計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)過程中會(huì)存在經(jīng)費(fèi)不足的情況，這樣就會(huì)采取利用原有的一些設(shè)備，可能會(huì)對(duì)網(wǎng)絡(luò)的可靠性造成影響。網(wǎng)絡(luò)的管理者缺乏計(jì)算機(jī)網(wǎng)絡(luò)管理經(jīng)驗(yàn)、防范意識(shí)較為薄弱，很容易造成網(wǎng)絡(luò)癱瘓、系統(tǒng)被攻擊、數(shù)據(jù)丟失、病毒泛濫等狀態(tài)。目前，一部分學(xué)生應(yīng)用黑客工具較為熟練，有個(gè)別學(xué)生利用黑客工具對(duì)校園計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊，給校園網(wǎng)安全帶來隱患。

三、校園計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)目標(biāo)和設(shè)計(jì)原則

（一）校園計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)的目標(biāo)

根據(jù)目前網(wǎng)絡(luò)發(fā)展趨勢(shì)和校園計(jì)算機(jī)網(wǎng)絡(luò)需求，對(duì)校園計(jì)算機(jī)網(wǎng)絡(luò)確定以下建設(shè)目標(biāo)：

（1）校園計(jì)算機(jī)網(wǎng)絡(luò)要易于管理和使用。（2）校園計(jì)算機(jī)網(wǎng)絡(luò)管理體系必須完善。（3）要考慮長(zhǎng)遠(yuǎn)發(fā)展，布線要科學(xué)規(guī)范。（4）要統(tǒng)一網(wǎng)絡(luò)協(xié)議，堅(jiān)持標(biāo)準(zhǔn)化和開放性。（5）要積極運(yùn)用目前比較成熟的技術(shù)。（6）要采取分步實(shí)施，統(tǒng)一規(guī)劃。

（二）校園計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)應(yīng)遵循的一些原則

校園計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)應(yīng)遵循的一些原則：（1）要合理利用資源并進(jìn)行優(yōu)化配置，使資源能夠得到科學(xué)合理地使用，要認(rèn)真考慮新建的網(wǎng)絡(luò)和原有設(shè)備的互通和融合，要對(duì)現(xiàn)有的設(shè)備能夠進(jìn)行充分利用，對(duì)原有的一些資源要能夠進(jìn)行認(rèn)真升級(jí)改造，緩解資金帶來的壓力。（2）在進(jìn)行校園網(wǎng)建設(shè)時(shí)應(yīng)當(dāng)做到重點(diǎn)在應(yīng)用、建庫(kù)建網(wǎng)同行、培訓(xùn)在先三個(gè)關(guān)鍵點(diǎn)。（3）校園計(jì)算機(jī)網(wǎng)絡(luò)要實(shí)現(xiàn)信息化教育，要能夠?yàn)榻虒W(xué)、教育服務(wù)。

四、校園計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的整體方案設(shè)計(jì)

（一）校園計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

校園計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)當(dāng)采取層次型模型。該模型具有易于管理、冗余性好、易于排除故障、易于實(shí)現(xiàn)、良好的伸縮能力、性能好、結(jié)構(gòu)清晰等特點(diǎn)，可滿足校園計(jì)算機(jī)網(wǎng)絡(luò)的長(zhǎng)期需求。校園計(jì)算機(jī)網(wǎng)絡(luò)一般采取三層層次模型，整個(gè)校園計(jì)算機(jī)網(wǎng)絡(luò)分為核心層、匯聚層、接入層，各層次各司其職。

核心層的功能：對(duì)于通訊協(xié)調(diào)非常重要，屬于網(wǎng)絡(luò)高速交換的骨干。核心層中的設(shè)備不再承擔(dān)地址翻譯、數(shù)據(jù)加密、訪問列表檢查等任務(wù)。該層具有以下特征：（1）交換機(jī)功能比較強(qiáng)大。（2）提供故障隔離。（3）接口類型廣泛，模塊化設(shè)計(jì)。（4）提供冗余鏈路。（5）提供高可靠性。（6）完成數(shù)據(jù)流的高速轉(zhuǎn)發(fā)，提供負(fù)載平衡，連接各匯聚設(shè)備。

匯聚層的功能：該層主要是完成路由選擇，提供負(fù)載平衡、擴(kuò)展性和快速收斂，匯聚接入層設(shè)備流量。

接入層的功能：該層是服務(wù)器和用戶工作站連接到網(wǎng)絡(luò)的入口，建立匯聚層與工作組的連接，建立獨(dú)立的沖突域，在學(xué)生宿舍和教職工宿舍全部采取流量控制和認(rèn)證等手段進(jìn)行接入控制。

1.校園計(jì)算機(jī)中心網(wǎng)絡(luò)建設(shè)。核心交換機(jī)是共享數(shù)據(jù)、網(wǎng)絡(luò)信息交換的中心樞紐，是局域網(wǎng)的基石，其性能決定網(wǎng)絡(luò)中各信息點(diǎn)的工作站訪問范圍、服務(wù)器分發(fā)、網(wǎng)絡(luò)的負(fù)載能力、吞吐量和傳輸速度、響應(yīng)速度等性能。因此要設(shè)計(jì)成雙核心的互為備份容錯(cuò)結(jié)構(gòu)。

2.校園計(jì)算機(jī)網(wǎng)絡(luò)匯聚層建設(shè)。校園計(jì)算機(jī)網(wǎng)絡(luò)匯聚層要具有可擴(kuò)展性，應(yīng)當(dāng)選用中高密度千兆GBIC接口、模塊化的匯聚路由交換機(jī)。

3.校園計(jì)算機(jī)網(wǎng)絡(luò)接入層建設(shè)。由于網(wǎng)絡(luò)配線間面積有限、數(shù)量有限，宿舍端口有較高密度，因此應(yīng)當(dāng)選用48口1U交換機(jī)，并且在教職工宿舍和學(xué)生宿舍全部采取流量控制和認(rèn)證等手段進(jìn)行控制。

4.校園計(jì)算機(jī)網(wǎng)絡(luò)管理、認(rèn)證計(jì)費(fèi)平臺(tái)建設(shè)。管理系統(tǒng)要能夠?qū)崿F(xiàn)從網(wǎng)絡(luò)級(jí)到設(shè)備級(jí)的全方位的網(wǎng)絡(luò)管理，要能夠?qū)σ蕴W(wǎng)中的SNMP管理型設(shè)備、IP設(shè)備進(jìn)行科學(xué)管理，結(jié)合管理設(shè)備所能夠支持的RMON管理、Web管理、Telnet管理、SNMP管理等構(gòu)成科學(xué)的網(wǎng)絡(luò)管理解決方案。

（二）校園計(jì)算機(jī)網(wǎng)絡(luò)VLAN設(shè)計(jì)

1.校園計(jì)算機(jī)網(wǎng)絡(luò)利用VLAN技術(shù)的原因。隨著學(xué)校對(duì)網(wǎng)絡(luò)需求的增加，不同部門內(nèi)部數(shù)據(jù)傳輸量越來越大。由于學(xué)校規(guī)模的壯大，學(xué)校的教職工不可能集中在一起進(jìn)行辦公，學(xué)生宿舍也較為分散。這就學(xué)校的財(cái)務(wù)部門以及學(xué)籍管理等要求有較高的安全性，因此就需要用到VLAN技術(shù)。

VLAN技術(shù)也就是虛擬局域網(wǎng)技術(shù)，也就是將局域網(wǎng)設(shè)備從邏輯上劃分為若干子網(wǎng)，從而形成虛擬工作組的一種技術(shù)。VLAN技術(shù)的出現(xiàn)提高了網(wǎng)絡(luò)的性能，可以動(dòng)態(tài)管理網(wǎng)絡(luò)，限制廣播范圍，形成虛擬工作組，從而解決了局域網(wǎng)的帶寬、廣播域、沖突域問題。通過VLAN技術(shù)可以使同一物理網(wǎng)上的計(jì)算機(jī)劃分為邏輯上相互隔離的網(wǎng)絡(luò)，這些VLAN在邏輯上等價(jià)于廣播域，每一個(gè)子網(wǎng)就是一個(gè)廣播域，這些子網(wǎng)在功能上與傳統(tǒng)物理上劃分的子網(wǎng)是一樣的，劃分可以根據(jù)IP地址、MAC地址、交換機(jī)的端口進(jìn)行。這些VLAN之間要想通訊必須通過第三層路由才能實(shí)現(xiàn)。

2.VLAN的劃分。VLAN的劃分類型會(huì)因定義VLAN成員關(guān)系的方法不同而存在差異。VLAN的劃分主要有以下幾種：（1）基于端口的VLAN。這種是最有效、最簡(jiǎn)單的劃分虛擬局域網(wǎng)的方法，它不管什么設(shè)備連接交換端口，網(wǎng)絡(luò)管理員只需要配置和管理交換端口。同一VLAN可以跨越多個(gè)交換機(jī)，屬于同一VLAN端口可以不連續(xù)。基于端口的VLAN的劃分的缺點(diǎn)是如果某一個(gè)VLAN用戶離開了原來的端口，移動(dòng)到一個(gè)新的交換機(jī)端口就需要重新定義。它的優(yōu)點(diǎn)是比較容易地定義VLAN成員。（2）基于MAC地址的VLAN。基于MAC地址的VLAN劃分主要是按照主機(jī)MAC地址進(jìn)行劃分的。這種劃分方法的主要優(yōu)點(diǎn)就是當(dāng)用戶物理位置從一個(gè)交換機(jī)移動(dòng)到其他交換機(jī)，不需要對(duì)VLAN進(jìn)行重新配置，所以這種方法也可以認(rèn)為是基于用戶的VLAN。（3）基于協(xié)議的VLAN。這種VLAN劃分方法適合于在一個(gè)物理網(wǎng)絡(luò)中既有IPX協(xié)議又有IP協(xié)議等多種協(xié)議的情況。采取上述方法進(jìn)行VLAN劃分的好處主要是比較容易實(shí)施，管理起來比較方便。

3.校園計(jì)算機(jī)網(wǎng)絡(luò)使用VLAN技術(shù)所帶來的好處。在校園計(jì)算機(jī)整個(gè)網(wǎng)絡(luò)規(guī)劃中，做好VLAN的劃分是非常必要的，科學(xué)地利用VLAN技術(shù)對(duì)于整個(gè)網(wǎng)絡(luò)性能有著非常重要的影響。VLAN劃分突出特點(diǎn)主要有以下幾個(gè)方面：（1）VLAN的劃分，不同的VLAN之間通訊受到了限制，只能進(jìn)行子網(wǎng)內(nèi)通訊，增加了網(wǎng)絡(luò)的安全性，子網(wǎng)間要進(jìn)行訪問，就需要通過三層交換，這樣就有效地控制了信息流。（2）VLAN的劃分，廣播數(shù)據(jù)包不會(huì)做無意義的廣播，避免了廣播風(fēng)暴。（3）減少站點(diǎn)的改變和移動(dòng)的開銷，實(shí)現(xiàn)虛擬的工作組，提高管理效率。（4）應(yīng)當(dāng)建立IP子網(wǎng)和VLAN的對(duì)應(yīng)關(guān)系，網(wǎng)絡(luò)管理系統(tǒng)采取完全獨(dú)立的VLAN和IP子網(wǎng)。（5）VLAN間子網(wǎng)的通訊可以在匯聚設(shè)備上實(shí)現(xiàn)，也可以在三層交換機(jī)上實(shí)現(xiàn)，對(duì)于一些比較重要的資源采取專家級(jí)ACL進(jìn)行訪問權(quán)限設(shè)定。

：

[1]俗子.如何建好校園計(jì)算機(jī)網(wǎng)絡(luò)——談深圳高級(jí)中學(xué)校園建設(shè)[J].華南師范大學(xué)學(xué)報(bào),2000

[2]張正鑫.淺談校園計(jì)算機(jī)網(wǎng)絡(luò)存在的問題與對(duì)策[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2011,(9)

[3]張博，王能輝.校園計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)科學(xué)性優(yōu)化的五個(gè)問題[J].信息系統(tǒng)工程,2009,(6)

中圖分類號(hào)：TP393

B

1671-6531（2012）12-0111-02

：郭一鶴