李 丹

一、研究背景

渤海船舶職業(yè)學(xué)院現(xiàn)有三個校區(qū)，校園占地面積38萬平方米，建筑面積14萬平方米，目前在校生8000余人。當(dāng)前學(xué)校的教師以及辦公，科研和圖書館都已建立完善的網(wǎng)絡(luò)連接，只有學(xué)生公寓沒有連接網(wǎng)絡(luò)。為了把學(xué)院建設(shè)成一所現(xiàn)代化的人才培養(yǎng)基地，學(xué)院決定對校園網(wǎng)進(jìn)行升級和改造。優(yōu)化校園網(wǎng)絡(luò)結(jié)構(gòu)，升級部分交換機(jī)，拓展網(wǎng)絡(luò)范圍；建設(shè)無線校園網(wǎng)系統(tǒng)，解決校園網(wǎng)絡(luò)死角，解決學(xué)生上網(wǎng)問題；為學(xué)院重點(diǎn)學(xué)科搭建專用的教學(xué)服務(wù)器，以構(gòu)建先進(jìn)的網(wǎng)絡(luò)教學(xué)資源平臺，適應(yīng)網(wǎng)上教學(xué)的要求。

二、校園網(wǎng)需求分析

此次網(wǎng)絡(luò)改造項(xiàng)目是在學(xué)院校園網(wǎng)原有的有線網(wǎng)絡(luò)基礎(chǔ)上，優(yōu)化校園網(wǎng)絡(luò)結(jié)構(gòu)，進(jìn)行核心交換機(jī)、服務(wù)器以及其他網(wǎng)絡(luò)設(shè)備的升級和更新，并且為了解決學(xué)生上網(wǎng)問題以及校園內(nèi)部網(wǎng)絡(luò)死角問題進(jìn)行無線網(wǎng)絡(luò)擴(kuò)充。要求完成全方位立體式網(wǎng)絡(luò)覆蓋。

（一）多出口部署的需求

校園網(wǎng)網(wǎng)絡(luò)出口設(shè)備是整個園區(qū)網(wǎng)訪問外部網(wǎng)絡(luò)的樞紐，并且目前各個高校均同時擁有2至3個出口，對該設(shè)備的多出口需要，及設(shè)備NAT性能，轉(zhuǎn)發(fā)性能均有較高的要求，因此，在選擇設(shè)備和設(shè)計方案時都要考慮多出口的需求。多出口的策略部署，首先，可以解決資源訪問速度問題。由于CERNET與電信等運(yùn)營商，以及運(yùn)營商之間的互聯(lián)帶寬較小，并且互聯(lián)網(wǎng)上大多數(shù)的資源都在電信，導(dǎo)致從教育網(wǎng)瀏覽電信資源就會很慢；其次，可以解決學(xué)校的費(fèi)用問題。這是因?yàn)榻逃W(wǎng)規(guī)定了其免費(fèi)訪問的地址列表，在地址列表之外的都按照一定的公式計算費(fèi)用，與此對應(yīng)的是，電信等運(yùn)營商提供的線路大多是包月不限流量。

（二）骨干網(wǎng)絡(luò)高性能、高穩(wěn)定可靠的需求

校園網(wǎng)網(wǎng)絡(luò)核心承載著整個校園的網(wǎng)絡(luò)流量，是整個網(wǎng)絡(luò)的心臟，因此，對性能及穩(wěn)定，可靠性方面提出很高的要求。學(xué)校用戶數(shù)千人，并且用戶數(shù)在未來幾年還會不斷增加，并且隨著網(wǎng)絡(luò)應(yīng)用技術(shù)的不斷豐富，高校校園網(wǎng)應(yīng)用也愈發(fā)復(fù)雜，例如FTP、VOD點(diǎn)播等大數(shù)據(jù)量的訪問，產(chǎn)生了巨大的網(wǎng)絡(luò)流量，如何高速進(jìn)行網(wǎng)絡(luò)傳輸，對網(wǎng)絡(luò)設(shè)備的性能提出了很高的要求。再者，當(dāng)前隨著校內(nèi)師生員工的工作、科研、學(xué)習(xí)、生活、娛樂越來越離不開網(wǎng)絡(luò)（如無紙化辦公、網(wǎng)絡(luò)教學(xué)、視頻會議和VOD點(diǎn)播、網(wǎng)上購物等業(yè)務(wù)的開展），網(wǎng)絡(luò)的穩(wěn)定可靠性就顯得愈發(fā)重要。如果網(wǎng)絡(luò)中的一臺核心設(shè)備與網(wǎng)絡(luò)中的接入點(diǎn)失去聯(lián)系，將迅速由另一臺備份的核心設(shè)備接管，確保用戶信息不會丟失核正常通信狀態(tài)。由此分析看來，隨著用戶數(shù)增加、應(yīng)用的復(fù)雜，導(dǎo)致網(wǎng)絡(luò)流量的飛速提升，需要保證多用戶、大流量情況下骨干的高帶寬，骨干設(shè)備的線速轉(zhuǎn)發(fā)，需要保證做到骨干網(wǎng)絡(luò)一定級別的穩(wěn)定可靠性（比如四個九—99.99%）。

（三）構(gòu)建無線校園網(wǎng)系統(tǒng)的需求

學(xué)校非常注重現(xiàn)代化的校園網(wǎng)絡(luò)建設(shè)，已部署了包含辦公、教學(xué)、科研、圖書館在內(nèi)的完善的有線網(wǎng)絡(luò)，然而有線網(wǎng)絡(luò)只能提供固定的信息點(diǎn)，尤其是學(xué)生宿舍等區(qū)域的學(xué)生比較集中，信息點(diǎn)遠(yuǎn)遠(yuǎn)不夠。所以，需要在原有的有線網(wǎng)絡(luò)環(huán)境下，增加無線網(wǎng)絡(luò)，以解決校園內(nèi)網(wǎng)絡(luò)死角。另外，在無線網(wǎng)絡(luò)環(huán)境下多種用戶類別共存、高安全性、高穩(wěn)定性、可管理以及與已有有線網(wǎng)絡(luò)用戶的無縫整合等需求成了目前最迫切要解決的問題。

（四）構(gòu)建網(wǎng)絡(luò)教學(xué)資源服務(wù)器的需求

校園網(wǎng)絡(luò)教學(xué)系統(tǒng)是在校園網(wǎng)環(huán)境中建立一個虛擬的教學(xué)環(huán)境，在這個環(huán)境中，可以實(shí)現(xiàn)教師備課、講課，學(xué)生自主學(xué)習(xí)CAI課件，教師和學(xué)生課后交流、答疑、批改作業(yè)以及考試等教學(xué)環(huán)節(jié)。為了提高示范校建設(shè)中五個重點(diǎn)系的現(xiàn)代化教學(xué)手段，需要為他們設(shè)置專用的教學(xué)服務(wù)器，以方便后期的網(wǎng)絡(luò)教學(xué)資源平臺的開發(fā)和使用，使教師能夠做到網(wǎng)上教學(xué)，網(wǎng)上答疑。由于教學(xué)服務(wù)器是面對全校師生的，所以使用人數(shù)比較多，另外由于多媒體課件和教學(xué)視頻的使用，使得網(wǎng)絡(luò)中各個核心部分業(yè)務(wù)量上升、訪問量和數(shù)據(jù)流量增長，相應(yīng)的處理能力和計算強(qiáng)度也受到嚴(yán)格的考驗(yàn)。所以，在服務(wù)器的構(gòu)建時應(yīng)考慮核心網(wǎng)絡(luò)的過載，網(wǎng)絡(luò)瓶頸和網(wǎng)絡(luò)擁塞等問題，以確保系統(tǒng)在運(yùn)行過程中的穩(wěn)定性和搞服務(wù)品質(zhì)以及應(yīng)對當(dāng)前和今后快速增長的業(yè)務(wù)量的需求。

三、整網(wǎng)拓?fù)鋱D和方案說明

校園網(wǎng)整體拓?fù)鋱D如圖1所示。

（一）新增無線網(wǎng)絡(luò)的構(gòu)建方案

無線網(wǎng)絡(luò)解決方案是基于“智能無線接入點(diǎn)+無線交換機(jī)”的架構(gòu)，由于無線用戶的傳輸是通過智能無線接入點(diǎn)內(nèi)已建立的CAPWAP隧道和無線交換機(jī)互連的，所以實(shí)際上無線用戶的VLAN是無須在接入層和匯聚層存在。無線用戶的VLAN是可透過無線交換機(jī)和骨干交換機(jī)互連互通。這樣非常方便在大學(xué)校園里實(shí)施無線局域網(wǎng)，同時，也非常方便進(jìn)行擴(kuò)展。

數(shù)據(jù)中心可以采用2臺完全冗余的MX-200R無線交換機(jī)核心架構(gòu)，通過集中的RingMaster網(wǎng)管平臺統(tǒng)一監(jiān)控、管理，完全解決了原有的難題和困惑，并與原有認(rèn)證網(wǎng)關(guān)完成對接與融合，對原有的有線網(wǎng)路由器不需要改變路由結(jié)構(gòu)，大大減輕了由于無線網(wǎng)的建設(shè)而對原有網(wǎng)絡(luò)的結(jié)構(gòu)改變的工作量。針對各個區(qū)域的覆蓋需求，將通過銳捷網(wǎng)絡(luò)智能無線接入點(diǎn)MP-71（室內(nèi)）和MP-620（室外）來完成部署，該方案在原有的有線校園網(wǎng)基礎(chǔ)上構(gòu)建無線校園網(wǎng)絡(luò)，可以分為室內(nèi)和室外兩個部分進(jìn)行。

首先，室內(nèi)，指原先沒有安裝有線網(wǎng)絡(luò)的學(xué)生宿舍、教室、會議室、臨時移動辦公室等需要網(wǎng)絡(luò)連接的場所。在室內(nèi)部署WLAN的第一步是要確定 AP（AP，Access Point，無線訪問節(jié)點(diǎn)、會話點(diǎn)或存取橋接器）的數(shù)量和位置。也就是要將多個AP形成的各自的無線信號覆蓋區(qū)域進(jìn)行交叉覆蓋，各覆蓋區(qū)域之間無縫連接。所有AP通過雙絞線與有線骨干網(wǎng)絡(luò)相連，形成以有線網(wǎng)絡(luò)為基礎(chǔ)，無線覆蓋為延伸的大面積服務(wù)區(qū)域。所有無線終端通過就近的AP接入網(wǎng)絡(luò)，訪問整個網(wǎng)絡(luò)資源。其次，室外，指校園操場及其他公共場所等。設(shè)備的選擇：AP、無線全向天線、無線定向天線。全向天線：在所有水平方位上信號的發(fā)射和接收都相等。定向天線：在一個方向上發(fā)射和接收大部分的信號。室外考慮因素：與教室、會議室不同的是，在校園區(qū)室外配置無線接入點(diǎn)要復(fù)雜一些，要把各自成一個局域網(wǎng)而又有一定距離的各棟樓房連接起來。在網(wǎng)絡(luò)的每一端接入AP，并在距離遠(yuǎn)或信號弱地方，同時，外接高增益天線，這樣就可以實(shí)現(xiàn)幾公里以內(nèi)的兩個網(wǎng)段之間的互聯(lián)了。

該方案中，我們在學(xué)校網(wǎng)絡(luò)中心架設(shè)一個全向室外天線和一個室外定向天線。全向天線覆蓋校園各教學(xué)樓和操場；在實(shí)驗(yàn)樓上架設(shè)定向天線，將信號傳遞給教學(xué)樓A；教學(xué)樓A上也要架設(shè)架設(shè)定向天線，將信號傳遞給教學(xué)樓B；在教學(xué)樓B上可架設(shè)全向天線可以覆蓋草坪，同時，也可以將信號傳遞給學(xué)生公寓樓C。其他樓依此類推。具體操作時，要根據(jù)實(shí)際情況（如各棟樓之間的實(shí)際距離以及障礙物等）來考慮選擇設(shè)備（如設(shè)備型號、是否要加用全向、定向天線，以及增減設(shè)備數(shù)量等）。當(dāng)然，在樓房上架設(shè)無線網(wǎng)絡(luò)設(shè)備還需加裝避雷器、防潮箱等設(shè)備，以防止無線網(wǎng)絡(luò)設(shè)備的損壞。

（二）校園有線網(wǎng)絡(luò)的改造方案

現(xiàn)用的互聯(lián)網(wǎng)接入，采用1臺華為Edumon300防火墻為對外發(fā)布的服務(wù)器及內(nèi)部用戶提供安全保障，該設(shè)備的主要功能是保證校內(nèi)上網(wǎng)和安全和保證校外的用戶可以在任何地方都能夠訪問校內(nèi)的資源，方便領(lǐng)導(dǎo)及教職員工的遠(yuǎn)程辦公（在家里或者是在賓館，酒店都可以訪問校內(nèi)的OA辦公等系統(tǒng)），充分體現(xiàn)數(shù)字化校園網(wǎng)絡(luò)的優(yōu)勢。在出口區(qū)域部署一臺具有P2P功能應(yīng)用控制引擎，目前校園網(wǎng)絡(luò)當(dāng)中BT,迅雷等P2P軟件應(yīng)用廣泛，P2P軟件特點(diǎn)是下載速度非常之快，但是其占用出口帶寬過大，嚴(yán)重影響其他用戶的正常流量，為防止此現(xiàn)象的出現(xiàn)，特增加該控制引擎。

本次網(wǎng)絡(luò)建設(shè)由于增添了學(xué)生上網(wǎng)，就會涉及數(shù)據(jù)中心的建設(shè)，在數(shù)據(jù)中心當(dāng)中放置對內(nèi)的安全應(yīng)用服務(wù)器（用于整網(wǎng)安全體系的確立）、網(wǎng)絡(luò)管理和SAM認(rèn)證及對外的WWW，F(xiàn)TP，教學(xué)服務(wù)器等對外服務(wù)器，上述服務(wù)器每天均被校內(nèi)，外眾多用戶訪問，因此，要求服務(wù)器群組的互聯(lián)交換機(jī)必須為全千兆交換機(jī)同時支持萬兆上行。

（三）校園網(wǎng)的認(rèn)證計費(fèi)系統(tǒng)

學(xué)生在無線接入時使用SAM認(rèn)證系統(tǒng)，使得有線和無線用戶使用同一個帳號進(jìn)行認(rèn)證，大大方便了網(wǎng)絡(luò)管理者，也方便了學(xué)生的使用。配合交換機(jī)的S6502的802.1X協(xié)議，可以對于用戶進(jìn)行帳號、IP、MAC、交換機(jī)IP和交換機(jī)端口等五要素靈活，而且還可以防止代理服務(wù)器，防止用戶逃費(fèi)等情況。

（四）校園網(wǎng)的網(wǎng)絡(luò)管理系統(tǒng)

該設(shè)計中的智能無線交換機(jī)產(chǎn)品可以充分發(fā)揮集中管理功能，對全網(wǎng)智能無線接入點(diǎn)的行為和用戶信息統(tǒng)一監(jiān)控和管理，而RingMaster網(wǎng)管軟件實(shí)現(xiàn)了全網(wǎng)生命周期的管理，涵蓋了無線的規(guī)劃、部署、監(jiān)控、報表、優(yōu)化各個方面的全網(wǎng)生命周期管理系統(tǒng)。校園網(wǎng)絡(luò)管理人員只需在智能無線交換機(jī)上就可開通、管理、維護(hù)所有處于接入層的智能無線接入點(diǎn)設(shè)備，包括無線電波頻譜、無線安全、接入認(rèn)證、移動漫游以及接入用戶的訪問策略。

在該網(wǎng)絡(luò)架構(gòu)中，所有校內(nèi)無線用戶的數(shù)據(jù)傳輸，是通過智能無線接入點(diǎn)MP系列產(chǎn)品與智能無線交換機(jī)MX系列產(chǎn)品之間建立的國際成熟的主流標(biāo)準(zhǔn)CAPWAP隧道技術(shù)來完成互連，無線用戶的VLAN無須在接入層和匯聚層存在。無線用戶的VLAN是可透過無線交換機(jī)在整個校園中心網(wǎng)絡(luò)機(jī)房和骨干交換機(jī)互連互通，同時，也非常方便進(jìn)行擴(kuò)展。智能無線接入點(diǎn)MP系列產(chǎn)品則可以放置于校內(nèi)需要部署的任何地方，無需用直接連接到智能無線交換機(jī)，他們之間可以輕松地通過跨越三層進(jìn)行隧道數(shù)據(jù)交換。同時，無需擔(dān)心無線用戶的VLAN會破壞原有有線網(wǎng)絡(luò)的VLAN部署，所有工作可以在無線交換機(jī)上統(tǒng)一劃分，這對于校園無線網(wǎng)絡(luò)的集中管理帶來極大的便利性。

[1]張武軍,李雪安.高校校園網(wǎng)安全整體解決方案研究[J].電子科技,2006（3）.

[2]常潘,沈富可.基于LDAP的校園網(wǎng)統(tǒng)一身份認(rèn)證的實(shí)現(xiàn)[J].計算機(jī)工程,2007（5）.

[3]張俊蘭,郭金平,劉翼.高校校園網(wǎng)設(shè)計方案[J].延安大學(xué)學(xué)報,2010（1）.

[4]張新剛,程新黨,王保平,孫飛顯.智能域名解析技術(shù)在多出口校園網(wǎng)資源加速訪問中的應(yīng)用[J].實(shí)驗(yàn)室研究與探索,2011（8）.

[5]賈明.大學(xué)校園網(wǎng)改造方案研究[J].電信快報,2012（2）.