文/龐鐳

物聯(lián)網(wǎng)是新一代信息技術(shù)的重要組成部分，也是高校信息化建設(shè)的重要內(nèi)容。隨著物聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展和在高校教學(xué)、安保、后勤等領(lǐng)域的廣泛應(yīng)用，傳統(tǒng)的高校物聯(lián)硬件配置發(fā)生了變化。智慧教室的教學(xué)終端，日常教學(xué)情況、四六級和研究生入學(xué)考試等全國性重大考試的考務(wù)監(jiān)控，學(xué)生宿舍的限電設(shè)備、飲水開閉系統(tǒng)，辦公樓宇網(wǎng)絡(luò)打印機的不斷增加，在方便教學(xué)、科研和學(xué)生生活的同時，由于大量物聯(lián)設(shè)備的接入，給校園網(wǎng)的建設(shè)發(fā)展和維護(hù)管理帶來了一定的挑戰(zhàn)。

1 現(xiàn)狀及存在的問題

當(dāng)前，各個高校的校園網(wǎng)發(fā)展都已達(dá)到相應(yīng)規(guī)模，無論有線、無線接入，都為師生提供了穩(wěn)定、可靠、便捷的上網(wǎng)體驗。在此基礎(chǔ)上，根據(jù)功能和使用環(huán)境的不同，打印機、攝像頭、限電設(shè)備、門禁等設(shè)備在初期接入時，沒有系統(tǒng)規(guī)劃，多是“有端口即接入”。隨著多種設(shè)備數(shù)量的逐步增加，遍布學(xué)校各樓宇，導(dǎo)致物聯(lián)設(shè)備IP地址和物理鏈路混亂，影響了整個校園網(wǎng)的標(biāo)準(zhǔn)化和規(guī)范化，亟需從管理和技術(shù)兩個層面，給出合理可行的實施方案。

2 執(zhí)行管理制度，規(guī)范物聯(lián)設(shè)備的使用

2.1 入網(wǎng)前的論證

各類物聯(lián)設(shè)備接入校園網(wǎng)之前，需要熟悉校園網(wǎng)當(dāng)前拓?fù)?、配置?guī)范，確定擬接入的設(shè)備是否具有兼容性以及可擴(kuò)展性，設(shè)備的接口、IP地址配置等是否能夠與校園網(wǎng)兼容。

2.2 規(guī)范入網(wǎng)流程

管理層面對物聯(lián)設(shè)備的接入進(jìn)行約束，教育技術(shù)中心作為校園網(wǎng)的建設(shè)管理單位，需要嚴(yán)格執(zhí)行校園物聯(lián)設(shè)備接入規(guī)范以及物聯(lián)設(shè)備運維管理制度。凡入網(wǎng)設(shè)備需提交《物聯(lián)設(shè)備接入校園網(wǎng)申請表》，待中心運維人員現(xiàn)場查看、分配IP地址后，按照指定端口接入設(shè)備。

2.3 建立校園物聯(lián)網(wǎng)運維管理制度

（1）建立物聯(lián)設(shè)備歸屬部（處）專人負(fù)責(zé)制，定期巡檢設(shè)備狀態(tài)。

（2）建立物聯(lián)設(shè)備增、刪、改動態(tài)管理機制，設(shè)備的增加、減少、變更等信息需要實時更新，以便全校物聯(lián)設(shè)備始終處于可控可管狀態(tài)，杜絕“僵尸”設(shè)備占用資源的現(xiàn)象。

（3）建立物聯(lián)設(shè)備IP地址分配管理制度。本著節(jié)約校園網(wǎng)固定IP地址的原則，規(guī)定首次獲得固定IP地址設(shè)備的地址有效期為一年，由歸屬部門定期提交續(xù)期申請，確保物聯(lián)設(shè)備所用IP地址的良性動態(tài)可持續(xù)使用。

3 強化技術(shù)手段，保證物聯(lián)設(shè)備的使用

3.1 分配物聯(lián)設(shè)備專用IP地址

在物聯(lián)網(wǎng)發(fā)展的早期，由于設(shè)備數(shù)量少，校園網(wǎng)多采用在用戶IP地址段預(yù)留個別地址用于物聯(lián)設(shè)備。隨著物聯(lián)網(wǎng)規(guī)模的擴(kuò)大，從擴(kuò)展性和持續(xù)性的角度出發(fā)，需要重新規(guī)劃校園網(wǎng)IP地址，在當(dāng)前使用的地址基礎(chǔ)上，以樓宇為單位，擴(kuò)大每個樓宇I(lǐng)P地址的范圍，例如，每個樓宇規(guī)劃16個C類私網(wǎng)地址，其中一個C類地址專供物聯(lián)設(shè)備使用，以便通過IP地址即可分辨網(wǎng)絡(luò)設(shè)備下聯(lián)的終端類別。

此外，對于功能各異的物聯(lián)設(shè)備，采用不同的IP地址分配方式。網(wǎng)絡(luò)打印機采用MAC地址、IP地址以及物理位置唯一對應(yīng)的方式，分配固定IP地址。攝像頭、學(xué)生宿舍限電終端采用手動配置IP地址的方式。

3.2 建立專用VLAN，劃分專用物理端口

對于采用核心層、匯聚層、接入層三層結(jié)構(gòu)的校園網(wǎng)，結(jié)合重新規(guī)劃后的IP地址，在各樓宇匯聚交換機上聲明物聯(lián)網(wǎng)專屬vlan，使其能夠與各樓宇的用戶vlan清晰區(qū)分開，并且根據(jù)設(shè)備屬性和功能的不同，建立多個物聯(lián)網(wǎng)專屬vlan，例如：教室中控設(shè)備、視頻監(jiān)控設(shè)備、限電設(shè)備等，在vlan命名規(guī)則中加以區(qū)分，使運維人員通過識別vlan號即可迅速判斷該vlan的特殊性。

專用vlan典型配置如下：

對于分布于各樓層弱電間內(nèi)的接入交換機，規(guī)定每樓層最后一臺接入交換機的最后5個端口用于物聯(lián)設(shè)備的接入使用。在交換機配置上，將這5個端口劃入物聯(lián)vlan。一般來講，校園網(wǎng)接入交換機按照標(biāo)準(zhǔn)化配置規(guī)范，對每個接入端口都配置有用于病毒防護(hù)的訪問控制列表，同時開啟端口隔離命令switchport protected。然而，對于物聯(lián)端口，需要去掉ACL以及端口隔離命令方可正常使用。

物聯(lián)端口的配置如下：

3.3 安全策略

交換機上的物聯(lián)設(shè)備端口，配置訪問控制列表，只允許管理服務(wù)器和運維人員訪問。同時，物聯(lián)設(shè)備端口不可訪問外網(wǎng)，確保端口和整個網(wǎng)絡(luò)的安全性。

4 結(jié)束語

通過制度管理和技術(shù)規(guī)范手段雙管齊下，當(dāng)前校園網(wǎng)內(nèi)300多臺物聯(lián)設(shè)備，無論是物理鏈路還是IP地址分配，都遵循校園網(wǎng)標(biāo)準(zhǔn)、規(guī)范，物聯(lián)設(shè)備實時處于可管可控狀態(tài)，確保基于校園網(wǎng)的物聯(lián)網(wǎng)發(fā)展和管理處于良好秩序中，能夠更好地服務(wù)師生教學(xué)、科研和生活。