籍成章 楊久河 欒志福
1 前言
在發(fā)達(dá)國家中,校園網(wǎng)的發(fā)展已經(jīng)有近30年的歷史,已成為學(xué)校發(fā)展的重要基礎(chǔ)設(shè)施。麻省理工大學(xué)是美國最早建立校園網(wǎng)的學(xué)校之一,目前主干網(wǎng)采用FDDI,子網(wǎng)選用以太網(wǎng)。我國校園網(wǎng)建設(shè)起步較晚,1987年清華大學(xué)創(chuàng)建的校園網(wǎng)是我國最早的,采用100 M的FDDI主干網(wǎng),子網(wǎng)選用以太網(wǎng)。
校園網(wǎng)對于提高教學(xué)和科研質(zhì)量,加快學(xué)校信息化建設(shè),開展多媒體教學(xué)與研究,改善教學(xué)和科研條件有著十分重要的意義。
2 校園網(wǎng)的特點
2.1 校園網(wǎng)網(wǎng)絡(luò)大,故障定位復(fù)雜,維護(hù)難度大由于教學(xué)逐步走向網(wǎng)絡(luò)化,多媒體計算機(jī)教學(xué)越來越普及,學(xué)生在線學(xué)習(xí)、娛樂時間增加,不僅要保證校園網(wǎng)的穩(wěn)定可靠,還必須提供長時間的正常和高效運(yùn)行,因此網(wǎng)絡(luò)的維護(hù)只能利用比較空閑、相對流量較小的時間段。
2.2 校園網(wǎng)用戶群密集,網(wǎng)絡(luò)安全問題蔓延快,對網(wǎng)絡(luò)影響嚴(yán)重某臺計算機(jī)由于各種原因出現(xiàn)故障,反過來又會影響整個網(wǎng)絡(luò)。而且應(yīng)用網(wǎng)絡(luò)的年輕群體占大部分,他們好奇心大,敢于嘗試,不考慮網(wǎng)絡(luò)的運(yùn)行環(huán)境,在網(wǎng)上大膽嘗試隨意下載的、學(xué)到的或自己創(chuàng)新的技術(shù),不顧及是否有后門或其他風(fēng)險,容易對網(wǎng)絡(luò)產(chǎn)生破壞和影響。
2.3 校園網(wǎng)業(yè)務(wù)多,開放性強(qiáng)校園網(wǎng)是教學(xué)、科研的特定場所,也是新技術(shù)、新知識最先應(yīng)用的場所,業(yè)務(wù)項目多,網(wǎng)絡(luò)環(huán)境相對比較寬松。不能像企業(yè)中一樣,采取哪一部分影響網(wǎng)絡(luò)的運(yùn)行安全就停止該服務(wù)或關(guān)閉該端口的措施,因此安全隱患比較大。
2.4 校園網(wǎng)管理難度大計算機(jī)購置和配置情況復(fù)雜,部分是統(tǒng)一購置,部分是個人購買,其配置程度不一,不可能進(jìn)行統(tǒng)一管理;沒有相應(yīng)的安全管理措施,一旦出現(xiàn)安全問題,責(zé)任難于到位;還有的學(xué)校由于人手不夠或其他原因,甚至出現(xiàn)無人管理校園網(wǎng)絡(luò)的情況。
3 VLAN校園網(wǎng)技術(shù)
隨著每個端口以太網(wǎng)和令牌環(huán)網(wǎng)的交換機(jī)價格下降,為了獲得更高的帶寬,越來越多的學(xué)校和組織傾向于給每個用戶分配一個單獨的交換端口。
校園網(wǎng)的使用引起教學(xué)方法、教學(xué)手段、教學(xué)工具的重大革新,為學(xué)校管理者和教師提供了獲取資源、協(xié)同工作的有效途徑,是教育信息化發(fā)展不可或缺的工具。校園網(wǎng)安全、高效運(yùn)行是每個校園網(wǎng)信息獲取和教學(xué)的保障,在校園網(wǎng)中采用新興技術(shù)迫在眉睫。
VLAN并非一種新型的網(wǎng)絡(luò),是包含一組端站點的邏輯上的LAN,其中的站點好像被同一網(wǎng)線連接在一起,而實際上可能出于LAN的不同物理網(wǎng),是一組邏輯上的設(shè)備或用戶。它們就好像處于同一個物理LAN中一樣相互通信,不受物理位置的限制。
VLAN技術(shù)的出現(xiàn)為網(wǎng)絡(luò)設(shè)計、擴(kuò)展、更改提供了更大的靈活性。
1)提高網(wǎng)絡(luò)設(shè)計的靈活性。處于不同地理位置的站點可劃分到同一個虛擬網(wǎng)中,不受地理位置的限制;可根據(jù)功能、項目組、應(yīng)用的需要來劃分用戶和設(shè)備,可根據(jù)實際情況增加和減少用戶。
2)方便站點的移動、增加和變化,大大提高管理動態(tài)網(wǎng)絡(luò)的能力。由于某種原因,用戶工作位置發(fā)生變化時,采用傳統(tǒng)局域網(wǎng)技術(shù)的用戶需要對站點的IP地址、缺省網(wǎng)關(guān)進(jìn)行修改后才能上網(wǎng);采用基于MAC地址VLAN技術(shù)的用戶則可不作任何修改,在網(wǎng)上的任意位置都可上網(wǎng),因為VLAN成員不是捆綁在某固定工作站上的;反過來,用戶的實際位置不發(fā)生改變卻變更部門,網(wǎng)絡(luò)管理員也可以通過改變VLAN成員的方式讓用戶與VLAN的邏輯關(guān)系發(fā)生改變。這樣就減少日常管理開銷,提供更大的配置靈活性。
3)提高網(wǎng)絡(luò)安全功能。采用傳統(tǒng)局域網(wǎng)技術(shù)的網(wǎng)絡(luò),只要利用一臺PC裝上協(xié)議分析軟件,連到集線器上就可攔截該網(wǎng)段上的所有數(shù)據(jù),采用基于MAC地址的VLAN技術(shù)時就不可能攔截該VLAN的數(shù)據(jù)。VLAN與VLAN間邏輯上是分開的,VLAN成員的數(shù)據(jù)包只能在同一VLAN內(nèi)部傳送,即使處于同一網(wǎng)絡(luò)中,不同VLAN間也不能進(jìn)行直接通信,有效地避免廣播風(fēng)暴的傳播。校園網(wǎng)中如財務(wù)管理、人事檔案管理及一些不對外公開的科研數(shù)據(jù)資料庫等應(yīng)用系統(tǒng),網(wǎng)絡(luò)管理員可采用VLAN技術(shù)對廣播域進(jìn)行邏輯劃分,達(dá)到限制用戶非法訪問的目的,從而確保重要部門的數(shù)據(jù)安全。除非設(shè)置監(jiān)聽口,信息交換就不可能存在監(jiān)聽和插入問題,提高網(wǎng)絡(luò)的安全性能。對于內(nèi)網(wǎng),采用基于MAC地址的VLAN技術(shù),可有效防止IP地址盜用問題。
4)采用VLAN技術(shù)的網(wǎng)絡(luò)中,每個VLAN內(nèi)的站點可直接訪問該VLAN內(nèi)的服務(wù)器,提高網(wǎng)絡(luò)的響應(yīng)速度。同時,同一個VLAN內(nèi)的站點可以非常方便地進(jìn)行通信。
(作者單位:中國海洋大學(xué)信息科學(xué)與工程學(xué)院;山東省濰坊科技學(xué)院)