摘 要：蘭州石化職業(yè)技術學院是首批國家24所示范性高職院校之一，這些年隨著校園信息化的不斷開展，校園網(wǎng)內(nèi)各種設備及接入網(wǎng)點也在不斷增加，校園網(wǎng)內(nèi)各種問題也日趨凸顯，校園網(wǎng)安全面臨嚴重威脅。本文針對校園網(wǎng)現(xiàn)狀，提出一種基于交換機配置的校園網(wǎng)優(yōu)化方案，并寄予具體的實施，為各高校校園網(wǎng)的優(yōu)化提供一些參考與幫助。

關鍵詞：交換機；配置；DHCP；VLAN；OSPF

中圖分類號：TN915.81 文獻標識碼：A

1 引言（Introduction）

這些年來隨著校園網(wǎng)信息化建設的不斷開展，教學、辦公、學生管理、科研等對校園網(wǎng)絡的依賴性也越來越強，各個高校的校園網(wǎng)經(jīng)過前期的基礎建設以及后期的應用提升，已經(jīng)形成了較為穩(wěn)定的基礎框架和全面的應用平臺。高校的信息化管理和日常辦公都變得越來越方便起來?？梢哉f，高校的教學、科研與管理已經(jīng)離不開校園網(wǎng)絡環(huán)境。但隨著校園網(wǎng)規(guī)模不斷擴大，先期建設的校園網(wǎng)在運維過程中也暴露了一些問題，出現(xiàn)了一些“瓶頸”。本文針對校園網(wǎng)普遍出現(xiàn)的一些問題，從技術角度提出一種校園網(wǎng)的網(wǎng)絡優(yōu)化方案，在不改變校園網(wǎng)拓撲結構的情況下對校園內(nèi)部網(wǎng)絡進行優(yōu)化，以解決目前存在的一些網(wǎng)絡“瓶頸”。

2 校園網(wǎng)現(xiàn)狀及出現(xiàn)的問題（The present situationand problems of campus network）

經(jīng)過這幾年的我院信息化的不斷開展，校園網(wǎng)絡框架已經(jīng)具有一定的規(guī)模，幾乎可以保證光釬到樓，網(wǎng)線到用戶。運行基本正常。但是隨著學院規(guī)模的不斷擴展，現(xiàn)有的校園網(wǎng)已經(jīng)不能滿足現(xiàn)有的需求，在運行過程中也出現(xiàn)了一些問題：（1）局域網(wǎng)內(nèi)的用戶無法通過DHCP服務器自動獲得IP地址，或者獲得速度很慢。（2）局域網(wǎng)內(nèi)病毒與ARP攻擊相當嚴重，局域網(wǎng)內(nèi)其他主機很容易獲得傳染和攻擊。（3）設備利用率過低。（4）廣播風暴時不時發(fā)生，特容易造成網(wǎng)絡阻塞。

3 校園網(wǎng)絡優(yōu)化方案及實施（The optimizationscheme and implementation of campus network）

由圖1我們可以看到，我們采用了DHCP中繼技術[1]，每個接入層交換機創(chuàng)建一個VLAN，這樣劃分比較方便，但是存在一個缺點，就是一旦在一個VLAN里面有ARP攻擊，就可能導致在這個交換機下所有主機無法獲得IP地址，而且會讓這個VLAN里面的所有的主機都有可能感染病毒。除此之外，為了方便配置，所有網(wǎng)關配置都在核心交換機RG-8060上，一旦下級聯(lián)當中的任意一臺交換機出現(xiàn)環(huán)路或者受到攻擊，整個核心交換機的CPU利用率就會相當高，從而導致整個校園網(wǎng)癱瘓。

針對上述問題，我們通過分析論證，在現(xiàn)有物理拓撲結構的基礎上進行優(yōu)化配置，優(yōu)化后的拓撲結構如圖2所示。我們主要在配置上對交換機進行優(yōu)化。

（1）在接入交換機S2126上進行細分VLAN的配置，做到一個端口創(chuàng)建一個VLAN，由于端口上連接的都是各個辦公室或者機房，實際上就是做到一個VLAN一個房間，具體配置如下：

SwitchA#configure terminal

SwitchA（config）#vlan 101

SwitchA（config-vlan）#exit

SwitchA（config）#interface fastethernet 0/1

SwitchA（config-if）#switchport access vlan 101

……

SwitchA#configure terminal

SwitchA（config）#vlan 124 （一共劃分24個VLAN）

SwitchA（config-vlan）#exit

SwitchA（config）#interface fastethernet 0/24

SwitchA（config-if）#switchport access vlan 124 （每個端口創(chuàng)建一個VLAN）

這樣配置的目的是將交換機各個端口隔離開，可以大大減少ARP病毒在各個主機之間的傳播。

（2）除個別網(wǎng)關外，把剩余網(wǎng)關都劃分到匯聚交換機S3550上，以東區(qū)辦公樓為例，具體配置為：

SwitchA（config）#interface vlan 101

SwitchA（config-if）#ip address 192.168.10.1 255.255.255.0

SwitchA（config-if）#no shutdown

SwitchA（config-if）#exit

……

SwitchA（config）#int vlan 124

SwitchA（config-if）#ip address 192.168.10.185 255.255.255.0

SwitchA（config-if）#no shutdown

SwitchA（config-if）#exit

子網(wǎng)掩碼的位數(shù)可以根據(jù)每個辦公室的主機進行劃分。

（3）在匯聚交換機S3550上開啟DHCP服務器[2]功能，讓其自動分配IP地址，以東區(qū)辦公樓為例，具體配置為：

SwitchA（config）#ip dhcp pool vlan101

SwitchA（dhcp-config）#network 192.168.10.0 255.255.255.0

SwitchA（dhcp-config）#default-router 192.168.10.1endprint

SwitchA（dhcp-config）#dns-server 192.168.20.30

這樣配置的目的是主機不用DHCP中繼代理直接獲得IP地址，可以加快主機獲得IP地址的速度。

（4）在核心和匯聚層建立VLAN，并啟用動態(tài)路由OSPF協(xié)議[3]，以東區(qū)辦公樓的RG-3760與核心交換機RG-8060為例，具體配置為：

3760#configure terminal

3760（config）#vlan 111

3760（config）#interface vlan 111

3760（config-if）#ip address 192.168.10.1 255.255.255.0

（在匯聚交換機上互聯(lián)VLAN的IP地址）

8060#configure terminal

8060（config）#vlan 111

8060（config）#interface vlan 111

8060（config-if）#ip address 192.168.20.1 255.255.255.0

（在核心交換機上的互聯(lián)VLANIP地址）

8060（config）#router ospf 0

8060（config-router）#network 192.168.10.0 0.0.0.255

8060（config-router）#network 192.168.20.0 0.0.0.255

3760（config）#router ospf 0

3760（config-router）#network 192.168.10.0 0.0.0.255

3760（config-router）#network 192.168.20.0 0.0.0.255

3760（config-if）#ip address 192.168.10.2 255.255.255.255

為了減少網(wǎng)絡中的廣播包風暴，可以將匯聚層交換機與核心層交換機通過路由進行連接，這樣一來，不但可以增加安全性，而且知道一個地址以后，另外一個地址也就知道了，所以使用OSPF協(xié)議可以減輕手工配置路由表的工作量。

4 結論（Conclusion）

本文通過對蘭州石化職業(yè)技術學院校園網(wǎng)的分析，提出了校園網(wǎng)優(yōu)化的一種解決辦法。這種解決辦法可以使校園網(wǎng)更加穩(wěn)定可靠，不但可以避免出現(xiàn)大片區(qū)域的網(wǎng)絡癱瘓，而且也不會出現(xiàn)網(wǎng)絡震蕩，防止病毒大面積擴散。當然，各個校園網(wǎng)都有自己的特點和實際情況，該方案也許不一定實用，大家可以作為一個參考。

參考文獻（References）

[1] 雷震甲.網(wǎng)絡工程師教程[M].北京：清華大學出版社，2008.

[2] 楊靖.實用網(wǎng)絡技術配置指南[M].北京：北京希望電子出版社，2008.

[3] 高峽，鐘嘯劍，李永俊.網(wǎng)絡設備互連實驗指南[M].北京：科學出版社，2009.

作者簡介：

張文川（1981-），男，碩士，講師.研究領域：網(wǎng)絡技術.endprint

SwitchA（dhcp-config）#dns-server 192.168.20.30

這樣配置的目的是主機不用DHCP中繼代理直接獲得IP地址，可以加快主機獲得IP地址的速度。

（4）在核心和匯聚層建立VLAN，并啟用動態(tài)路由OSPF協(xié)議[3]，以東區(qū)辦公樓的RG-3760與核心交換機RG-8060為例，具體配置為：

3760#configure terminal

3760（config）#vlan 111

3760（config）#interface vlan 111

3760（config-if）#ip address 192.168.10.1 255.255.255.0

（在匯聚交換機上互聯(lián)VLAN的IP地址）

8060#configure terminal

8060（config）#vlan 111

8060（config）#interface vlan 111

8060（config-if）#ip address 192.168.20.1 255.255.255.0

（在核心交換機上的互聯(lián)VLANIP地址）

8060（config）#router ospf 0

8060（config-router）#network 192.168.10.0 0.0.0.255

8060（config-router）#network 192.168.20.0 0.0.0.255

3760（config）#router ospf 0

3760（config-router）#network 192.168.10.0 0.0.0.255

3760（config-router）#network 192.168.20.0 0.0.0.255

3760（config-if）#ip address 192.168.10.2 255.255.255.255

為了減少網(wǎng)絡中的廣播包風暴，可以將匯聚層交換機與核心層交換機通過路由進行連接，這樣一來，不但可以增加安全性，而且知道一個地址以后，另外一個地址也就知道了，所以使用OSPF協(xié)議可以減輕手工配置路由表的工作量。

4 結論（Conclusion）

本文通過對蘭州石化職業(yè)技術學院校園網(wǎng)的分析，提出了校園網(wǎng)優(yōu)化的一種解決辦法。這種解決辦法可以使校園網(wǎng)更加穩(wěn)定可靠，不但可以避免出現(xiàn)大片區(qū)域的網(wǎng)絡癱瘓，而且也不會出現(xiàn)網(wǎng)絡震蕩，防止病毒大面積擴散。當然，各個校園網(wǎng)都有自己的特點和實際情況，該方案也許不一定實用，大家可以作為一個參考。

參考文獻（References）

[1] 雷震甲.網(wǎng)絡工程師教程[M].北京：清華大學出版社，2008.

[2] 楊靖.實用網(wǎng)絡技術配置指南[M].北京：北京希望電子出版社，2008.

[3] 高峽，鐘嘯劍，李永俊.網(wǎng)絡設備互連實驗指南[M].北京：科學出版社，2009.

作者簡介：

張文川（1981-），男，碩士，講師.研究領域：網(wǎng)絡技術.endprint

SwitchA（dhcp-config）#dns-server 192.168.20.30

這樣配置的目的是主機不用DHCP中繼代理直接獲得IP地址，可以加快主機獲得IP地址的速度。

（4）在核心和匯聚層建立VLAN，并啟用動態(tài)路由OSPF協(xié)議[3]，以東區(qū)辦公樓的RG-3760與核心交換機RG-8060為例，具體配置為：

3760#configure terminal

3760（config）#vlan 111

3760（config）#interface vlan 111

3760（config-if）#ip address 192.168.10.1 255.255.255.0

（在匯聚交換機上互聯(lián)VLAN的IP地址）

8060#configure terminal

8060（config）#vlan 111

8060（config）#interface vlan 111

8060（config-if）#ip address 192.168.20.1 255.255.255.0

（在核心交換機上的互聯(lián)VLANIP地址）

8060（config）#router ospf 0

8060（config-router）#network 192.168.10.0 0.0.0.255

8060（config-router）#network 192.168.20.0 0.0.0.255

3760（config）#router ospf 0

3760（config-router）#network 192.168.10.0 0.0.0.255

3760（config-router）#network 192.168.20.0 0.0.0.255

3760（config-if）#ip address 192.168.10.2 255.255.255.255

為了減少網(wǎng)絡中的廣播包風暴，可以將匯聚層交換機與核心層交換機通過路由進行連接，這樣一來，不但可以增加安全性，而且知道一個地址以后，另外一個地址也就知道了，所以使用OSPF協(xié)議可以減輕手工配置路由表的工作量。

4 結論（Conclusion）

本文通過對蘭州石化職業(yè)技術學院校園網(wǎng)的分析，提出了校園網(wǎng)優(yōu)化的一種解決辦法。這種解決辦法可以使校園網(wǎng)更加穩(wěn)定可靠，不但可以避免出現(xiàn)大片區(qū)域的網(wǎng)絡癱瘓，而且也不會出現(xiàn)網(wǎng)絡震蕩，防止病毒大面積擴散。當然，各個校園網(wǎng)都有自己的特點和實際情況，該方案也許不一定實用，大家可以作為一個參考。

參考文獻（References）

[1] 雷震甲.網(wǎng)絡工程師教程[M].北京：清華大學出版社，2008.

[2] 楊靖.實用網(wǎng)絡技術配置指南[M].北京：北京希望電子出版社，2008.

[3] 高峽，鐘嘯劍，李永俊.網(wǎng)絡設備互連實驗指南[M].北京：科學出版社，2009.

作者簡介：

張文川（1981-），男，碩士，講師.研究領域：網(wǎng)絡技術.endprint