薛秀鑾

【摘 要】本課題建設(shè)了一個(gè)新型的數(shù)字校園網(wǎng)，首先對(duì)校園網(wǎng)建設(shè)的背景和意義進(jìn)行了闡述；其次結(jié)合校園網(wǎng)建設(shè)背景對(duì)校園網(wǎng)整體進(jìn)行了規(guī)劃，包括校園網(wǎng)管理平臺(tái)、共享數(shù)據(jù)中心和校園網(wǎng)絡(luò)，網(wǎng)絡(luò)規(guī)劃主要對(duì)涉及到路由協(xié)議選用、IP地址劃分和VLAN劃分；最后對(duì)校園網(wǎng)進(jìn)行了設(shè)計(jì)，包括部署架構(gòu)設(shè)計(jì)、服務(wù)器設(shè)計(jì)、存儲(chǔ)系統(tǒng)設(shè)計(jì)和安全體系設(shè)計(jì)，安全體系設(shè)計(jì)包括安全體系需求和校園網(wǎng)安全體系設(shè)計(jì)。通過(guò)對(duì)校園網(wǎng)的規(guī)劃和設(shè)計(jì)，能夠大大提高學(xué)校硬件資源的使用效率，提高校園網(wǎng)絡(luò)的運(yùn)行速度，降低投資及運(yùn)營(yíng)成本。

【關(guān)鍵詞】校園網(wǎng)；網(wǎng)絡(luò)規(guī)劃；網(wǎng)絡(luò)設(shè)計(jì)；網(wǎng)絡(luò)安全

0 引言

計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)在高校中的應(yīng)用越來(lái)越普遍，高校數(shù)字化程度也越來(lái)越高?，F(xiàn)今，每一所高校都有著自己的校園網(wǎng)，并且都會(huì)接入到中國(guó)教育網(wǎng)和互聯(lián)網(wǎng)。但是，計(jì)算機(jī)技術(shù)的發(fā)展是迅速的，無(wú)論是軟件還是硬件更新?lián)Q代都特別的快，網(wǎng)絡(luò)需求越來(lái)越大，需要的功能也越來(lái)越強(qiáng)大，這也就意味著對(duì)網(wǎng)絡(luò)的性能要求越來(lái)越高，這也是導(dǎo)致了目前許多高校在校園網(wǎng)中各種問(wèn)題的暴漏。例如有的校園網(wǎng)因?yàn)榻ㄔO(shè)得早，網(wǎng)絡(luò)規(guī)劃過(guò)于簡(jiǎn)單，安全系數(shù)低，服務(wù)器性能差，已經(jīng)無(wú)法滿足教師和學(xué)生的需求，影響了教育資源的共享，老師的辦公以及平時(shí)的娛樂(lè)等等。

在一個(gè)信息化時(shí)代，每一所高校都需要運(yùn)用信息化技術(shù)來(lái)獲取當(dāng)前科技的最新成果，并通過(guò)信息化手段來(lái)管理教學(xué)、科研等，這是目前的狀況，也是將來(lái)高校發(fā)展的趨勢(shì)。建設(shè)一個(gè)新型的數(shù)字化校園網(wǎng)，其最終功能不僅要滿足在校廣大師生的上網(wǎng)需求，還應(yīng)該滿足高校的現(xiàn)代化教學(xué)管理需求，提高高校的整體教學(xué)水平與管理水平。現(xiàn)代校園網(wǎng)的建設(shè)不僅是網(wǎng)絡(luò)平臺(tái)的建設(shè)，而是要以網(wǎng)絡(luò)為平臺(tái)，實(shí)現(xiàn)用戶管理、數(shù)據(jù)管理、信息管理、電子圖書管理、考試系統(tǒng)管理等等多方面的校園管理功能建設(shè)，只有這樣才是一個(gè)高信息化的高校，也才能更好地保障整個(gè)校園網(wǎng)絡(luò)用戶的安全以及在校師生更好地教學(xué)和學(xué)習(xí)，防止惡意的網(wǎng)絡(luò)攻擊。

如何設(shè)計(jì)出一個(gè)擴(kuò)展性好，性能優(yōu)良并能滿足一所高校所有師生的需求的校園網(wǎng)，是如今高校所面臨的一個(gè)重要問(wèn)題。

1 校園網(wǎng)整體規(guī)劃

1.1 校園網(wǎng)架構(gòu)規(guī)劃

網(wǎng)絡(luò)是學(xué)校進(jìn)行數(shù)字化建設(shè)的重要基礎(chǔ)，校園網(wǎng)絡(luò)的規(guī)劃及設(shè)計(jì)直接影響著校園網(wǎng)建設(shè)的合理程度，通過(guò)研究分析，我們把校園架構(gòu)規(guī)劃為六層，最底層為網(wǎng)絡(luò)層，通過(guò)網(wǎng)絡(luò)基礎(chǔ)管理平臺(tái)進(jìn)行管理，網(wǎng)絡(luò)層之上是各業(yè)務(wù)子系統(tǒng)的部署，業(yè)務(wù)子系統(tǒng)之上是數(shù)據(jù)采集和交換系統(tǒng)，數(shù)據(jù)采集和交換系統(tǒng)之上是共享數(shù)據(jù)中心，共享數(shù)據(jù)中心之上是統(tǒng)一身份認(rèn)證和各種應(yīng)用服務(wù)，包括財(cái)務(wù)服務(wù)、教學(xué)服務(wù)、人事服務(wù)、科研服務(wù)、設(shè)備服務(wù)、辦公服務(wù)、數(shù)字檔案館服務(wù)、數(shù)字圖書館服務(wù)、學(xué)生服務(wù)、校友服務(wù)、信息服務(wù)、分析服務(wù)、報(bào)表服務(wù)和醫(yī)療服務(wù)等，最頂層是校園綜合信息服務(wù)門戶，校園網(wǎng)規(guī)劃建設(shè)中，以信息資源整合標(biāo)準(zhǔn)和信息資源管理規(guī)范作為標(biāo)準(zhǔn)和規(guī)范進(jìn)行建設(shè)，如圖1所示。

校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的規(guī)劃要以統(tǒng)一管理和高效安全為前提，對(duì)校園網(wǎng)絡(luò)拓?fù)溥M(jìn)行層次化和模塊化的規(guī)劃，保障校園網(wǎng)絡(luò)的安全性、效率性、穩(wěn)定性和擴(kuò)展性，另一方面，技術(shù)也要達(dá)到一定的要求，最終規(guī)劃出一個(gè)合理的校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，如圖2所示。

數(shù)字化校園建設(shè)根據(jù)實(shí)際情況而定，主要從IPv6網(wǎng)和無(wú)線網(wǎng)兩個(gè)方向進(jìn)行建設(shè)，也就是說(shuō)，必須要有符合這兩個(gè)方向的技術(shù)進(jìn)行支持，來(lái)規(guī)劃建設(shè)一個(gè)IPv6網(wǎng)和無(wú)線網(wǎng)交替的校園網(wǎng)絡(luò)環(huán)境。

1.2 數(shù)據(jù)中心規(guī)劃

數(shù)據(jù)中心也就是數(shù)據(jù)共享中心，它實(shí)現(xiàn)了校園中各種應(yīng)用系統(tǒng)的集成，數(shù)據(jù)信息的交互和共享。數(shù)據(jù)中心中的數(shù)據(jù)要按一定的標(biāo)準(zhǔn)進(jìn)行規(guī)范，以提高數(shù)據(jù)交互的效率，而且各應(yīng)用系統(tǒng)間要保證相對(duì)獨(dú)立。校園數(shù)據(jù)中心架構(gòu)如圖3所示。

數(shù)據(jù)中心是校園網(wǎng)絡(luò)平臺(tái)的共享中心和交互平臺(tái)，數(shù)據(jù)中心把學(xué)校中的各種業(yè)務(wù)數(shù)據(jù)信息按照統(tǒng)一的標(biāo)準(zhǔn)或規(guī)范進(jìn)行整理分類，然后對(duì)數(shù)據(jù)信息進(jìn)行統(tǒng)一管理，保障校園各種應(yīng)用系統(tǒng)的數(shù)據(jù)支持功能，具體功能如下：

（1）數(shù)據(jù)采集

數(shù)據(jù)中心的數(shù)據(jù)通過(guò)校園各應(yīng)用系統(tǒng)得到，然后經(jīng)抽取和同步兩種方式把數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)中心，得出一個(gè)數(shù)據(jù)更新的結(jié)果報(bào)告。

數(shù)據(jù)整理

（2）按照學(xué)院的信息統(tǒng)一標(biāo)準(zhǔn)對(duì)各個(gè)部門更新的數(shù)據(jù)進(jìn)行整理，要做出報(bào)告數(shù)據(jù)異常，保證數(shù)據(jù)的一致性和準(zhǔn)確性，且保留歷史數(shù)據(jù)。

以校園數(shù)字化建設(shè)的統(tǒng)一標(biāo)準(zhǔn)和規(guī)范為基礎(chǔ)，對(duì)系統(tǒng)更新的數(shù)據(jù)信息進(jìn)行整理，在整理的過(guò)程中，一定要保證數(shù)據(jù)的準(zhǔn)確性，確保歷史數(shù)據(jù)安全。

（3）數(shù)據(jù)共享

數(shù)據(jù)共享是按照用戶權(quán)限進(jìn)行，根據(jù)權(quán)限的不同，用戶能夠?qū)?shù)據(jù)中心的部分?jǐn)?shù)據(jù)信息全部數(shù)據(jù)進(jìn)行查看，并保留查看歷史情況。

1.3 網(wǎng)絡(luò)規(guī)劃

（1）路由協(xié)議選用

路由主要分為靜態(tài)路由及動(dòng)態(tài)路由，其中靜態(tài)路由適合于在小型網(wǎng)絡(luò)中使用，在設(shè)備上配置靜態(tài)路由的時(shí)候需要指定下一跳的目的地址，所以對(duì)于大型網(wǎng)絡(luò)來(lái)說(shuō)就需要配制數(shù)量巨大的路由條目，因此靜態(tài)路由不適合，只是對(duì)于局部路由可以使用，否則整個(gè)路由條目過(guò)多會(huì)造成路由混亂，路由也不好聚合。而動(dòng)態(tài)路由中，RIP協(xié)議是以跳數(shù)為基礎(chǔ)來(lái)判斷路由的線路，大于16跳就會(huì)認(rèn)為路由不可達(dá)，所以現(xiàn)在網(wǎng)絡(luò)也基本不再使用；EIGRP協(xié)議為思科公司的私有協(xié)議，它無(wú)法實(shí)現(xiàn)區(qū)域的劃分，對(duì)于校園網(wǎng)這種大型網(wǎng)絡(luò)并不適合；BGP協(xié)議運(yùn)用于大型網(wǎng)絡(luò)之間的路由交互，對(duì)于園區(qū)網(wǎng)絡(luò)來(lái)說(shuō)并不適合；OSPF（最短路徑優(yōu)先協(xié)議）協(xié)議是當(dāng)今社會(huì)使用最為廣泛也是最為實(shí)用的一種網(wǎng)絡(luò)協(xié)議。

（2）IP地址劃分

劃分具體的IP地址要考慮網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、路由策略、建筑分布、學(xué)院以及部門等因素。同時(shí)在設(shè)計(jì)地址規(guī)劃時(shí)，提前考慮好使用地址數(shù)量和地址類型，根據(jù)劃分的區(qū)域，每個(gè)人子區(qū)域獲得一個(gè)IP地址段。三層交換機(jī)對(duì)于具有路由功能的端口也要分配IP地址，并且要把網(wǎng)絡(luò)段設(shè)置為最小的4個(gè)IP地址，這樣可以節(jié)省IP地址。除端口IP地址和網(wǎng)關(guān)地址，每個(gè)區(qū)域的子網(wǎng)，都通過(guò)DHCP協(xié)議動(dòng)態(tài)分配IP地址，上網(wǎng)的同學(xué)和老師，登錄學(xué)號(hào)和密碼上網(wǎng)。根據(jù)具體的情況為了節(jié)省IP地址，使用子網(wǎng)掩碼對(duì)IP地址進(jìn)行劃分，把大的IP地址劃分一下，并利用超網(wǎng)技術(shù)實(shí)現(xiàn)路由的匯總。

（3）VLAN的劃分

首先，高校里學(xué)院眾多，部門也多，對(duì)安全的需求也相對(duì)很高。因此對(duì)每個(gè)不同的學(xué)院、部門以及區(qū)域有條理的劃分VLAN。首先，每個(gè)學(xué)院為一個(gè)VLAN；其次學(xué)校的一些部門每個(gè)部門都要分一個(gè)VLAN。每個(gè)學(xué)院內(nèi)部通信不經(jīng)過(guò)網(wǎng)絡(luò)層，會(huì)更加方便，個(gè)別區(qū)域網(wǎng)癱瘓，不會(huì)影響其它區(qū)域網(wǎng)。

由于現(xiàn)實(shí)中，可能由于一個(gè)VLAN中的一個(gè)末端設(shè)備出現(xiàn)故障導(dǎo)致整個(gè)VLAN形成廣播風(fēng)暴導(dǎo)致傳輸速率下降，所以可以采用QinQ策略。在同一個(gè)VLAN中繼續(xù)再次的VLAN劃分，這樣給每一個(gè)部門的每一臺(tái)設(shè)備分一個(gè)VLAN，但相同部門的VLAN還同在公共的VLAN之中，這樣使得內(nèi)部更加安全，也不會(huì)因?yàn)橐粋€(gè)末端設(shè)備的損壞導(dǎo)致整個(gè)VLAN傳輸質(zhì)量的下降。

2 校園網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)

2.1 部署架構(gòu)設(shè)計(jì)

結(jié)合學(xué)校數(shù)字化建設(shè)的實(shí)際需求，充分考慮到校園網(wǎng)的使用情況，我們采用小型機(jī)以及刀片服務(wù)器來(lái)組建校園服務(wù)器平臺(tái)。根據(jù)校園的實(shí)際需求來(lái)購(gòu)置小型機(jī)組建校園網(wǎng)服務(wù)器，同時(shí)數(shù)據(jù)庫(kù)采用Oracle數(shù)據(jù)庫(kù)存儲(chǔ)數(shù)據(jù)，服務(wù)器中數(shù)據(jù)庫(kù)的負(fù)載均衡經(jīng)及容錯(cuò)通過(guò)Oracle RAC進(jìn)行實(shí)現(xiàn)，首先存儲(chǔ)系統(tǒng)采購(gòu)兩臺(tái)，一臺(tái)進(jìn)行數(shù)據(jù)存儲(chǔ)，另一臺(tái)進(jìn)行數(shù)據(jù)備份，這樣能保障數(shù)據(jù)的安全性，然后根據(jù)需要，為校園配置多臺(tái)刀片服務(wù)器，并通過(guò)集群的方式結(jié)合在一起，作為校園服務(wù)集群系統(tǒng)，如圖4所示。

2.2 服務(wù)器設(shè)計(jì)

刀片服務(wù)器具體要求如下：

（1）信息門戶服務(wù)器兩片

（2）身份認(rèn)證服務(wù)器兩片

（3）應(yīng)用系統(tǒng)服務(wù)器數(shù)片

（4）數(shù)據(jù)交換服務(wù)器一片

2.3 存儲(chǔ)系統(tǒng)設(shè)計(jì)

為了保證校園網(wǎng)的長(zhǎng)遠(yuǎn)規(guī)劃及建設(shè)，我們?cè)诮ㄔO(shè)校園網(wǎng)基層時(shí)盡量采用以數(shù)據(jù)存儲(chǔ)為核心的校園網(wǎng)系統(tǒng)架構(gòu)，以數(shù)據(jù)存儲(chǔ)為核心的系統(tǒng)架構(gòu)能夠高效地與前臺(tái)進(jìn)行數(shù)據(jù)交互，高效地使用存儲(chǔ)空間，保證數(shù)據(jù)存儲(chǔ)的安全性，節(jié)省校園網(wǎng)建設(shè)投資，最重要的是能夠規(guī)范數(shù)據(jù)信息，實(shí)現(xiàn)集中管理。

數(shù)據(jù)存儲(chǔ)為中心對(duì)整個(gè)存儲(chǔ)系統(tǒng)I/O有很高的要求，需要選用集中式，高性能，大容量，智能化的存儲(chǔ)區(qū)域網(wǎng)（Storage Area Network，簡(jiǎn)稱 SAN）來(lái)構(gòu)建存儲(chǔ)環(huán)境。

采用數(shù)據(jù)存儲(chǔ)為中心的 SAN 解決方案，集中的解決了系統(tǒng)體系結(jié)構(gòu)中對(duì)存儲(chǔ) I/O 性能和數(shù)據(jù)庫(kù)應(yīng)用共享的挑戰(zhàn)，它的主要特點(diǎn)主要是：

（1）開放的標(biāo)準(zhǔn)，適合于服務(wù)器和存儲(chǔ)設(shè)備之間的共享

（2）高性能的數(shù)據(jù)存取

（3）具有高度的可擴(kuò)充性

（4）具有無(wú)與倫比的可靠性

（5）基于 SAN 的備份恢復(fù)、災(zāi)難恢復(fù)等多種解決方案

（6）集中式管理

2.4 校園網(wǎng)安全體系設(shè)計(jì)

圖5中，DMZ區(qū)（隔離區(qū)）主要為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如Web服務(wù)器、FTP服務(wù)器和論壇等。兩個(gè)防火墻能夠?yàn)槠髽I(yè)內(nèi)部網(wǎng)絡(luò)的安全增加多一層安全。外部防火墻能夠?qū)⑼饩W(wǎng)的網(wǎng)絡(luò)威脅降到最低，內(nèi)部防火墻能夠?qū)?nèi)網(wǎng)的網(wǎng)絡(luò)威脅降到最低，兩個(gè)防火墻一起工作，這能夠?qū)⑵髽I(yè)的安全大大提高，讓企業(yè)數(shù)據(jù)在學(xué)校中安全的共享和交互，但投資成本也相應(yīng)更加。

3 結(jié)束語(yǔ)

本課題建設(shè)了一個(gè)新型的數(shù)字化校園網(wǎng)，首先對(duì)校園網(wǎng)建設(shè)的背景和意義進(jìn)行了闡述；其次結(jié)合校園網(wǎng)建設(shè)背景對(duì)校園網(wǎng)整體進(jìn)行了規(guī)劃，包括校園網(wǎng)管理平臺(tái)、共享數(shù)據(jù)中心和校園網(wǎng)絡(luò)，網(wǎng)絡(luò)規(guī)劃主要對(duì)涉及到路由協(xié)議選用、IP地址劃分和VLAN劃分；最后對(duì)校園網(wǎng)進(jìn)行了設(shè)計(jì)，包括部署架構(gòu)設(shè)計(jì)、服務(wù)器設(shè)計(jì)、存儲(chǔ)系統(tǒng)設(shè)計(jì)和安全體系設(shè)計(jì)。本課題對(duì)校園網(wǎng)規(guī)劃與設(shè)計(jì)仍存在很多不足，需要在今后的時(shí)間里認(rèn)真地研究分析和進(jìn)一步完善。

【參考文獻(xiàn)】

[1]呂叁妮.VLAN技術(shù)在校園網(wǎng)中的應(yīng)用綜述[J].軟件導(dǎo)刊.2012（09）.

[2]陳華.淺談路由器技術(shù)[J].科技信息.2011（07）.

[3]姚東鈮.防火墻發(fā)展的新趨勢(shì)[J].中國(guó)高新技術(shù)企業(yè).2010（13）.

[4]王東.OSPF路由協(xié)議在多區(qū)域中的應(yīng)用[J].重慶科技學(xué)院學(xué)報(bào). 2010（02）.

[5]江海.NAT技術(shù)在支隊(duì)級(jí)局域網(wǎng)中的應(yīng)用[J].福建電腦.2010（02）.

[6]王德民.校園網(wǎng)的設(shè)計(jì)與管理[J].齊齊哈爾大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版）. 2014（05）.

[7]鄭春.軟硬件結(jié)合的校園網(wǎng)安全策略[J].軟件導(dǎo)刊.2013（08）.

[8]徐亞鳳.解析校園網(wǎng)絡(luò)的安全及管理[J].牡丹江大學(xué)學(xué)報(bào).2008（08）.

[9]李德水.基于IEEE802.1Q幀標(biāo)記的VLAN實(shí)現(xiàn)原理[J].信息技術(shù). 2006（10）.

[10]黃治虎，藍(lán)章禮.校園網(wǎng)安全問(wèn)題及策略[J].重慶交通學(xué)院學(xué)報(bào). 2006（01）.

[責(zé)任編輯：王偉平]