何建新+張松明+王思琪+周文芳

DOI：10.16644/j.cnki.cn33-1094/tp.2016.02.017

摘 ?要： 以湖南城市學(xué)院數(shù)字化校園建設(shè)為背景，全面分析了網(wǎng)絡(luò)運(yùn)行現(xiàn)狀及存在的主要問(wèn)題，從加強(qiáng)校園基礎(chǔ)網(wǎng)絡(luò)平臺(tái)建設(shè)出發(fā)，完成了網(wǎng)絡(luò)升級(jí)改造方案設(shè)計(jì)并提出了具體實(shí)施步驟。該升級(jí)改造方案的實(shí)施，加快了學(xué)校數(shù)字化校園建設(shè)步伐，有效提升了學(xué)校信息化建設(shè)的整體水平。

關(guān)鍵詞： 校園網(wǎng)絡(luò); 升級(jí)改造; 設(shè)計(jì); 實(shí)現(xiàn)

中圖分類號(hào)：TP393 ? ? ? ? ?文獻(xiàn)標(biāo)志碼：A ? ? 文章編號(hào)：1006-8228（2016）02-56-05

Design and implementation of campus network upgrading scheme

He Jianxin， Zhang Songming， Wang Siqi， Zhou Wenfang

（College of Information Science and Engineering， Hunan City University， Yiyang， Hunan 413000， China）

Abstract： On the background of Hunan City University construction of digital campus，the present situation and the main problems of the network operation are analyzed. Starting from strengthening the construction of the campus network platform， the network upgrade scheme design is completed and the specific implementation steps are put forward. The implementation of the upgrade scheme， greatly accelerated the pace of school digital campus construction， and effectively improved the overall level of school information construction.

Key words： campus network; upgrading; design; implementation

0 引言

湖南城市學(xué)院是2002年3月經(jīng)教育部批準(zhǔn)組建的全國(guó)內(nèi)陸第一所以“城市”命名的省屬普通本科院校，現(xiàn)有校園面積1568畝，建筑面積49.25萬(wàn)平方米，設(shè)有16個(gè)二級(jí)學(xué)院，46個(gè)本科專業(yè)，在校學(xué)生17000余人，教職員工1200余人。學(xué)院立足行業(yè)，面向基層，突出城市主題，培養(yǎng)為城市和區(qū)域經(jīng)濟(jì)社會(huì)發(fā)展服務(wù)的高級(jí)應(yīng)用型人才。

如今，校園網(wǎng)絡(luò)流量與日俱增，網(wǎng)絡(luò)帶寬已經(jīng)成為了制約學(xué)校校園網(wǎng)絡(luò)新興業(yè)務(wù)開(kāi)展的瓶頸;由于校園網(wǎng)絡(luò)環(huán)境日益復(fù)雜，網(wǎng)絡(luò)管理效率低，校園網(wǎng)絡(luò)通信正面臨嚴(yán)峻的安全挑戰(zhàn)。隨著湖南城市學(xué)院校園二期工程建設(shè)的整體推進(jìn)，加快了學(xué)校數(shù)字化校園建設(shè)步伐，這對(duì)提升學(xué)院信息化水平和校園網(wǎng)絡(luò)升級(jí)、改造提出了迫切要求。

1 網(wǎng)絡(luò)運(yùn)行現(xiàn)狀及問(wèn)題分析

根據(jù)校園網(wǎng)“統(tǒng)一規(guī)劃、基礎(chǔ)先行、面向需求、分步實(shí)施”的建設(shè)思想，學(xué)校先后多次改造和完善校園網(wǎng)絡(luò)，數(shù)字化校園建設(shè)取得了階段性成果。經(jīng)過(guò)十多年的發(fā)展，目前已建成了一個(gè)以千兆光纖為主干，覆蓋學(xué)校教學(xué)區(qū)、辦公區(qū)、生活區(qū)等所有建筑的大學(xué)園區(qū)網(wǎng)絡(luò)。校園網(wǎng)絡(luò)按“三層”結(jié)構(gòu)部署，共有交換機(jī)350多臺(tái);采用結(jié)構(gòu)化綜合布線，1000M光纖到樓棟，100M超五類雙絞線到桌面，光纖總長(zhǎng)度達(dá)30多公里;網(wǎng)絡(luò)接入信息點(diǎn)11200多個(gè)，接入計(jì)算機(jī)6000多臺(tái)，網(wǎng)絡(luò)用戶達(dá)18000多人;校園網(wǎng)絡(luò)多出口帶寬達(dá)2400M，采用山石網(wǎng)科多核安全網(wǎng)關(guān)SG6000為網(wǎng)絡(luò)提供安全控制和接入管理;建立了課程資源、數(shù)字化期刊等數(shù)字資源庫(kù)，并實(shí)現(xiàn)了資源共享;部署了教務(wù)管理、財(cái)務(wù)管理、OA系統(tǒng)等九個(gè)管理信息系統(tǒng)軟件;建立了校園一卡通、數(shù)字監(jiān)控、數(shù)字廣播、無(wú)線網(wǎng)絡(luò)等應(yīng)用系統(tǒng)。升級(jí)改造前的校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

對(duì)照教育部《教育信息化十年發(fā)展規(guī)劃（2011-2020）》[1]和本科教學(xué)合格評(píng)估指標(biāo)體系要求，目前學(xué)校數(shù)字化校園建設(shè)還存在較大差距，綜合分析我們認(rèn)為主要存在以下問(wèn)題。

⑴ 校園主干網(wǎng)絡(luò)設(shè)備檔次偏低、技術(shù)落后、性能低下，骨干設(shè)備和主干鏈路無(wú)冗余，校園網(wǎng)絡(luò)穩(wěn)定性、可靠性無(wú)法保障。

⑵ 網(wǎng)絡(luò)層次結(jié)構(gòu)不清晰，存在多級(jí)級(jí)聯(lián)現(xiàn)象，無(wú)法滿足當(dāng)前校園網(wǎng)絡(luò)性能要求。

⑶ 網(wǎng)絡(luò)管理與安全體系不完善，沒(méi)有專業(yè)的安全認(rèn)證系統(tǒng)，網(wǎng)絡(luò)容易受到攻擊，存在嚴(yán)重的安全隱患;缺少必要的網(wǎng)絡(luò)管理和監(jiān)測(cè)設(shè)備，校園網(wǎng)絡(luò)管理和維護(hù)效率低，難度大。

⑷ 上網(wǎng)高峰期網(wǎng)絡(luò)速度慢，缺乏可靠、安全的流量管理解決方案。

⑸ 部分匯聚層與接入層設(shè)備不支持IPv6雙協(xié)議棧，無(wú)法實(shí)現(xiàn)IPv6的大規(guī)模部署。

2 校園網(wǎng)絡(luò)升級(jí)改造方案設(shè)計(jì)

2.1 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

基于校園信息化建設(shè)的網(wǎng)絡(luò)應(yīng)用需求、網(wǎng)絡(luò)安全與管理需求、網(wǎng)絡(luò)出口需求、強(qiáng)大數(shù)據(jù)中心建設(shè)需求，從加強(qiáng)校園基礎(chǔ)網(wǎng)絡(luò)平臺(tái)建設(shè)出發(fā)，對(duì)原網(wǎng)絡(luò)核心區(qū)域和匯聚區(qū)域相關(guān)設(shè)備進(jìn)行遷移、替換，設(shè)計(jì)并實(shí)現(xiàn)匯聚層區(qū)域結(jié)構(gòu)管理，在保持網(wǎng)絡(luò)出口不變的情況下，對(duì)校園網(wǎng)絡(luò)體系結(jié)構(gòu)實(shí)現(xiàn)大數(shù)據(jù)大二層、網(wǎng)絡(luò)扁平化改造[2-3]。升級(jí)改造后的網(wǎng)絡(luò)拓?fù)淙鐖D2所示。

2.1.1 核心層骨干網(wǎng)設(shè)計(jì)

將校園網(wǎng)絡(luò)升級(jí)為雙核心網(wǎng)絡(luò)，新增兩臺(tái)高端多業(yè)務(wù)核心路由交換機(jī)H3C S12510-X，將原核心S9312下移作為學(xué)生區(qū)匯聚。為滿足核心層在速度、穩(wěn)定及冗余等方面需求，核心層設(shè)計(jì)主要采取以下措施。

⑴ 采用IRF2虛擬化技術(shù)[4]。兩臺(tái)核心通過(guò)IRF2（Intelligent Resilient Framework 2）虛擬化成一臺(tái)設(shè)備， 兩臺(tái)核心之間通過(guò)四條萬(wàn)兆光纖線路捆綁互聯(lián)。

⑵ 主干鏈路冗余保障網(wǎng)絡(luò)可靠性。各匯聚層設(shè)備分別與兩臺(tái)核心設(shè)備通過(guò)雙萬(wàn)兆鏈路互聯(lián)，保證主干鏈路數(shù)據(jù)傳輸?shù)目煽啃浴?/p>

⑶ 簡(jiǎn)化核心層各類策略配置。核心設(shè)備的主要任務(wù)是實(shí)現(xiàn)高速數(shù)據(jù)轉(zhuǎn)發(fā)及可靠性保證。把原接入層、匯聚層業(yè)務(wù)網(wǎng)關(guān)上移到新核心，盡量不使用策略路由、ACL等配置，提高核心設(shè)備工作效率。

2.1.2 匯聚層區(qū)域設(shè)計(jì)

匯聚區(qū)可對(duì)二層協(xié)議進(jìn)行隔離，防止風(fēng)暴類攻擊蔓延到匯聚區(qū)外?；趫@區(qū)網(wǎng)絡(luò)規(guī)模，每個(gè)匯聚區(qū)域不宜太大也不宜太小，保持300至500個(gè)可直接管理的信息點(diǎn)數(shù)比較適宜。本次網(wǎng)絡(luò)改造，改進(jìn)原網(wǎng)絡(luò)一般以單一建筑為單位形成匯聚區(qū)的模式，結(jié)合學(xué)校二期工程建設(shè)和學(xué)校建筑布局，對(duì)物理環(huán)境有效區(qū)域進(jìn)行了匯聚層劃分，采用高性能匯聚設(shè)備來(lái)實(shí)現(xiàn)多匯聚層結(jié)構(gòu)。具體實(shí)現(xiàn)方法如圖2所示。土木樓、市測(cè)樓、建規(guī)樓、2教學(xué)樓形成一個(gè)匯聚區(qū);信息樓、電信樓、化工樓、1和3教學(xué)樓形成一個(gè)匯聚區(qū);體育館、音樂(lè)樓、美術(shù)樓等小樓棟形成匯聚區(qū);辦公樓、圖書(shū)館、朝陽(yáng)家屬區(qū)形成單模區(qū);惠澤園教工家屬區(qū)、學(xué)生區(qū)、新食堂及監(jiān)控形成多模區(qū)。各樓棟匯聚設(shè)備分別以雙路由模式與骨干區(qū)域核心設(shè)備連接，確保匯聚區(qū)與核心區(qū)的連接可靠性。

2.1.3 接入層設(shè)計(jì)

升級(jí)接入層交換設(shè)備為全部支持IPV6的三層智能交換機(jī)，支持安全控制、安全檢測(cè)與自動(dòng)防護(hù)功能，有效控制ARP、網(wǎng)絡(luò)蠕蟲(chóng)等主流網(wǎng)絡(luò)病毒傳播途徑，自動(dòng)檢測(cè)并阻斷病毒的攻擊行為，確保整個(gè)校園網(wǎng)絡(luò)安全。將校園網(wǎng)接入層存在的二級(jí)或者二級(jí)以上級(jí)聯(lián)組網(wǎng)方式改造成一級(jí)級(jí)聯(lián)方式，即接入交換機(jī)直接上聯(lián)到匯聚交換機(jī)，保證樓道交換機(jī)的上聯(lián)帶寬。接入交換機(jī)提供POE端口，連接增強(qiáng)型無(wú)線AP，實(shí)現(xiàn)各樓宇樓層的無(wú)線寬帶接入。

2.2 路由設(shè)計(jì)

改造后的校園網(wǎng)是一個(gè)由兩個(gè)核心、各匯聚和接入交換機(jī)構(gòu)成的三級(jí)綜合性網(wǎng)絡(luò)。網(wǎng)絡(luò)核心節(jié)點(diǎn)和各匯聚節(jié)點(diǎn)間采用OSPF路由協(xié)議進(jìn)行連接。本次網(wǎng)絡(luò)改造的OSPF路由設(shè)計(jì)由2臺(tái)S12510-X核心路由交換機(jī)、9臺(tái)匯聚交換機(jī)、1臺(tái)流量控制設(shè)備和1個(gè)出口設(shè)備（防火墻）組成主干區(qū)（area0），其他每個(gè)匯聚區(qū)域形成獨(dú)立子區(qū)域，分別與主干區(qū)域相連，形成覆蓋整個(gè)校園的自治系統(tǒng)。在主干區(qū)域?qū)崿F(xiàn)路由匯總，并為其他各應(yīng)用區(qū)域提供路由信息交換的高速通道。

2.3 智能流量管理解決方案

雖然學(xué)校嘗試過(guò)采取一系列進(jìn)行流量控制與管理的設(shè)備和技術(shù)，但面對(duì)高校龐大的用戶群和復(fù)雜的應(yīng)用環(huán)境，均難以達(dá)到理想效果。針對(duì)學(xué)校網(wǎng)絡(luò)現(xiàn)狀和實(shí)際需求，本次升級(jí)改造方案采用Hillstone最新推出的智能下一代防火墻SG6000-T5060作為流量管理設(shè)備，以透明模式串聯(lián)部署在出口防火墻和內(nèi)網(wǎng)核心交換機(jī)之間，通過(guò)萬(wàn)兆光纖與上下設(shè)備互聯(lián)，實(shí)現(xiàn)面向用戶和應(yīng)用的流量管理。根據(jù)需求對(duì)校園網(wǎng)絡(luò)用戶依據(jù)角色、應(yīng)用、時(shí)間等多個(gè)維度進(jìn)行流量管控，特別是在上網(wǎng)高峰時(shí)段為重要的網(wǎng)絡(luò)應(yīng)用提供資源保障。

2.4 多出口鏈路負(fù)載均衡設(shè)計(jì)

在校園網(wǎng)絡(luò)出口設(shè)計(jì)中，采用H3C高性能的S7503E-S多業(yè)務(wù)負(fù)載均衡交換機(jī)，配合高性能負(fù)載均衡插卡，實(shí)現(xiàn)多出口情況下多鏈路的路由智能選擇，保證內(nèi)部用戶選擇最優(yōu)線路訪問(wèn)Internet。通過(guò)對(duì)鏈路狀態(tài)實(shí)時(shí)精確檢測(cè)，選擇合適調(diào)度算法，確保數(shù)據(jù)流量在各條鏈路上的均衡分配。在多運(yùn)營(yíng)商接入情況下，為Internet用戶智能選路，通過(guò)最優(yōu)線路訪問(wèn)內(nèi)網(wǎng)服務(wù)器。

2.5 無(wú)線校園網(wǎng)絡(luò)設(shè)計(jì)

本次改造無(wú)線組網(wǎng)方案采用瘦AP架構(gòu)，數(shù)據(jù)中心部署萬(wàn)兆無(wú)線控制器AC，通過(guò)雙鏈路連接核心交換機(jī)實(shí)現(xiàn)對(duì)校區(qū)內(nèi)所有無(wú)線AP集中統(tǒng)一管理、控制與配置下發(fā)。無(wú)線AP實(shí)現(xiàn)無(wú)線信號(hào)加密、解密以及用戶終端無(wú)線信號(hào)接入，通過(guò)交換用戶認(rèn)證信息，實(shí)現(xiàn)用戶漫游。在辦公樓、教學(xué)樓、學(xué)生宿舍等同樓層房間數(shù)量較多的場(chǎng)合，將AP安裝在走廊墻壁并采用定向天線，適當(dāng)調(diào)整天線角度，以覆蓋指定區(qū)域。在圖書(shū)館、學(xué)術(shù)報(bào)告廳等無(wú)線用戶高密度區(qū)域，采用2.4G和5G雙波段無(wú)線覆蓋方式增加用戶接入能力。通過(guò)降低AP發(fā)射功率，實(shí)現(xiàn)同頻重疊最小化，有效實(shí)現(xiàn)用戶接入均衡分擔(dān)。無(wú)線網(wǎng)絡(luò)認(rèn)證采用Portal認(rèn)證方式，簡(jiǎn)單易用，特別適合無(wú)線校園網(wǎng)絡(luò)大量用戶同時(shí)認(rèn)證與訪問(wèn)需求。

2.6 數(shù)據(jù)中心升級(jí)改造

數(shù)據(jù)中心是校內(nèi)所有信息系統(tǒng)的承載區(qū)域，其升級(jí)改造不僅要滿足現(xiàn)階段數(shù)據(jù)中心接入需求，同時(shí)還要滿足未來(lái)虛擬化、云計(jì)算環(huán)境需求。

⑴ 數(shù)據(jù)中心物理服務(wù)器部署

數(shù)據(jù)中心所有物理服務(wù)器組成內(nèi)網(wǎng)服務(wù)器群，連接數(shù)據(jù)中心接入交換機(jī)S5700。S5700提供雙電源、高密度萬(wàn)兆端口，使用萬(wàn)兆多模雙鏈路上連核心交換機(jī)，確保數(shù)據(jù)中心接入交換機(jī)的性能及可靠性。

⑵ 數(shù)據(jù)存儲(chǔ)服務(wù)區(qū)建設(shè)

數(shù)據(jù)存儲(chǔ)服務(wù)區(qū)由2臺(tái)數(shù)據(jù)庫(kù)服務(wù)器、3臺(tái)虛擬服務(wù)器、1臺(tái)備份服務(wù)器和高性能存儲(chǔ)設(shè)備組成，形成基于云計(jì)算的高校資源共享服務(wù)平臺(tái)，采用萬(wàn)兆多模雙鏈路直連核心交換機(jī)，提供對(duì)學(xué)校各種信息資源查詢，有提供高容量、高可靠的存儲(chǔ)能力。

2.7 網(wǎng)絡(luò)安全解決方案

本次改造方案分別從可靠性網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)，服務(wù)器可靠性、遠(yuǎn)程訪問(wèn)安全、防病毒體系和多鏈路構(gòu)建等多方面來(lái)提升校園網(wǎng)絡(luò)安全性[5]。

網(wǎng)絡(luò)出口部署防火墻有效地將內(nèi)網(wǎng)與外網(wǎng)隔離開(kāi)來(lái)，保護(hù)校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。運(yùn)行關(guān)鍵業(yè)務(wù)的服務(wù)器組成雙機(jī)熱備系統(tǒng)，采用RAID1和RAID5相結(jié)合方式保護(hù)數(shù)據(jù)。采用IPSec VPN或SSL VPN方式來(lái)滿足校外用戶的遠(yuǎn)程訪問(wèn)安全。采用防病毒軟件、VLAN隔離、訪問(wèn)控制列表相結(jié)合方式組成病毒防御體系。為保證接入用戶合法性，采用傳統(tǒng)的802.1X認(rèn)證方式，通過(guò)認(rèn)證后用戶本地信息上傳到認(rèn)證服務(wù)器，為后續(xù)用戶審計(jì)提供參考依據(jù)。

2.8 網(wǎng)絡(luò)設(shè)備管理

采用H3C的IMC網(wǎng)絡(luò)設(shè)備管理系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的集中統(tǒng)一管理。該系統(tǒng)能兼容所有主流網(wǎng)絡(luò)產(chǎn)品，對(duì)所有設(shè)備的關(guān)鍵性數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控，能主動(dòng)發(fā)現(xiàn)問(wèn)題并自動(dòng)報(bào)警，直接告知故障點(diǎn)和故障原因。靈活的告警設(shè)置可以實(shí)時(shí)地提示管理員網(wǎng)絡(luò)中發(fā)生的各種事件，從而大大提高網(wǎng)絡(luò)管理效率。

3 校園網(wǎng)絡(luò)升級(jí)改造方案實(shí)現(xiàn)

3.1 網(wǎng)絡(luò)改造設(shè)備選型

新增核心路由交換機(jī)H3C S12510-X（2臺(tái)），采用“分布式入口緩存”技術(shù)，可以實(shí)現(xiàn)數(shù)據(jù)200ms緩存，滿足數(shù)據(jù)中心、高性能計(jì)算等網(wǎng)絡(luò)突發(fā)流量的要求。新增3臺(tái)S7006分別作為辦公樓、圖書(shū)館和二期工程建設(shè)新建樓棟的大二層匯聚。新增匯聚交換機(jī)8臺(tái)S5500分別作為教學(xué)區(qū)和實(shí)驗(yàn)區(qū)等樓棟的匯聚設(shè)備。S7006、S5500支持IPv4/IPv6硬件雙棧及線速轉(zhuǎn)發(fā)，具有出色的安全性、可靠性和多業(yè)務(wù)支持能力。替換部分接入層交換機(jī)為H3C E152以支持IPV6，支持防ARP攻擊、端口環(huán)路檢測(cè)、單向鏈路檢測(cè)功能。

3.2 IP地址與VLAN規(guī)劃

考慮IP地址分配的連續(xù)性、可擴(kuò)充性、可管理性，本次網(wǎng)絡(luò)改造IP地址仍然沿用原來(lái)IP地址規(guī)劃方法，部分樓棟vlan劃分與IP分配如表1所示。按樓棟劃分VLAN，各區(qū)域VLAN網(wǎng)關(guān)地址和DHCP服務(wù)器配置全部平移到新增核心交換機(jī)S12510-X，同時(shí)刪除被遷移、替換交換機(jī)的相應(yīng)配置參數(shù)。升級(jí)改造后的校園網(wǎng)絡(luò)IP主要分為以下四種類型。

⑴ 設(shè)備管理地址。采用172.16.0.0/24地址，分別按教師住宅區(qū)、辦公區(qū)、多媒體教學(xué)區(qū)、監(jiān)控、服務(wù)器區(qū)、無(wú)線區(qū)域進(jìn)行分區(qū)劃分。

⑵ loopback地址。每臺(tái)設(shè)備創(chuàng)建一個(gè)loopback接口，并指定32位掩碼，作為RouterID參與OSPF路由計(jì)算。

⑶ 設(shè)備互聯(lián)地址。規(guī)劃時(shí)一般使用30位掩碼，連續(xù)可聚合地址。

⑷ 用戶接入地址。采用10.10.0.0/24私有地址，通過(guò)出口設(shè)備統(tǒng)一進(jìn)行NAT，轉(zhuǎn)換成公網(wǎng)地址訪問(wèn)外網(wǎng)。

3.3 設(shè)備配置策略

⑴ 核心交換機(jī)IRF2虛擬化配置

在多臺(tái)設(shè)備形成IRF2之前，必須確保IRF中所有成員設(shè)備的IOS版本，工作模式保持一致;與當(dāng)前設(shè)備IRF-Port1綁定的IRF物理端口只能和鄰居成員設(shè)備IRF-Port2口上綁定的IRF物理端口相連。

[SA]irf member 1 #設(shè)置SA的成員編號(hào)為1

[SA]irf member 1 priority 2

#默認(rèn)優(yōu)先級(jí)是1，優(yōu)先級(jí)高的成為master

[SA]irf-port 1 ?#創(chuàng)建IRF端口1

[SA-irf-port1]port group interface Ten-GigabitEthernet 23

[SA-irf-port1]port group interface Ten-GigabitEthernet 24

[SA]chassis convert mode irf

#將設(shè)備運(yùn)行模式切換到IRF模式

⑵ MSTP配置

在匯聚交換機(jī)和接入層交換機(jī)上開(kāi)啟MSTP防止環(huán)路。建立以匯聚交換機(jī)為根的生成樹(shù)，所有vlan都在實(shí)例0里面，根橋優(yōu)先級(jí)設(shè)為0，開(kāi)啟環(huán)路保護(hù)，接入交換機(jī)用戶側(cè)端口開(kāi)啟BPDU保護(hù)。

[SWA]stp mode mstp

[SWA]stp region-configuration

[SWA-mst-region]region-name csxy

[SWA-mst-region]active region-configuration

[SWA]stp instance 0 root primary

⑶ 啟用DHCP Snooping防范DHCP攻擊

DHCP Snooping是運(yùn)行在二層接入設(shè)備上的一種DHCP安全特性。通過(guò)設(shè)置DHCP Snooping信任端口，保證該信任端口正常轉(zhuǎn)發(fā)DHCP報(bào)文，從而保證DHCP客戶端能夠從合法DHCP服務(wù)器獲取IP地址。

[SWA]dhcp-snooping

[SWA]interface ethernet 0

[SWA-ethernet 0]dhcp-snooping trust

⑷ 開(kāi)啟ARP入侵檢測(cè)功能

當(dāng)ARP報(bào)文中源IP地址及源MAC地址的綁定關(guān)系和ARP報(bào)文的入端口及其所屬VLAN均與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)匹配，則為合法ARP報(bào)文，進(jìn)行報(bào)文轉(zhuǎn)發(fā)處理。

[SWA]vlan 10

[SWA-vlan10]arp detection enable

#開(kāi)啟VLAN 10內(nèi)所有端口的ARP入侵檢測(cè)功能。

⑸ ARP報(bào)文限速功能

端口開(kāi)啟ARP報(bào)文限速功能后，交換機(jī)對(duì)每秒內(nèi)該端口接收的ARP報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì)，如果超過(guò)設(shè)定值，則認(rèn)為該端口受到ARP報(bào)文攻擊，此時(shí)交換機(jī)將關(guān)閉該端口，同時(shí)設(shè)備支持端口狀態(tài)自動(dòng)恢復(fù)功能。

[SWA]interface Ethernet 0

[SWA-Ethernet 0]arp rate-limit enable

[SWA-Ethernet 0]arp rate-limit 20

#端口Ethernet 0上開(kāi)啟ARP報(bào)文限速功能。

4 結(jié)束語(yǔ)

數(shù)字化校園建設(shè)是高等學(xué)校全面提高辦學(xué)質(zhì)量和辦學(xué)效益不可或缺的基礎(chǔ)設(shè)施。本文探討了校園網(wǎng)絡(luò)升級(jí)改造方案設(shè)計(jì)，并提供了具體實(shí)施步驟。升級(jí)改造后的校園網(wǎng)絡(luò)，采用大二層網(wǎng)絡(luò)架構(gòu)替代傳統(tǒng)的三層網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)了網(wǎng)絡(luò)扁平化管理，校園網(wǎng)絡(luò)可靠性大幅提升，所有設(shè)備和用戶都可實(shí)現(xiàn)實(shí)時(shí)監(jiān)測(cè)、統(tǒng)一管理，靈活的告警設(shè)置可以實(shí)時(shí)提示管理員網(wǎng)絡(luò)中發(fā)生的各種事件，管理維護(hù)效率大大提升。流量控制策略的實(shí)施明顯限制了P2P協(xié)議對(duì)帶寬的侵占，達(dá)到了預(yù)期流量控制目的。面對(duì)日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，提出適合湖南城市學(xué)院的校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)與實(shí)施步驟，是在此基礎(chǔ)上需要進(jìn)一步研究的內(nèi)容。

參考文獻(xiàn)（References）：

[1] 余勝泉.推進(jìn)技術(shù)與教育的雙向融合——《教育信息化十年

發(fā)展規(guī)劃（2011-2020年）》解讀[J].中國(guó)電化教育，2012.20（5）：5-14

[2] 郭海濱.莆田學(xué)院校園網(wǎng)絡(luò)升級(jí)改造的設(shè)計(jì)與實(shí)現(xiàn)[D].南京

郵電大學(xué)，2013.

[3] 朱福祥.新一代數(shù)字化校園網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)[D].南京理工大學(xué)，

2013.

[4] 陳麗佳.網(wǎng)絡(luò)設(shè)備IRF虛擬化堆疊技術(shù)的研究與實(shí)現(xiàn)[D].南

京郵電大學(xué)，2011.

[5] 沈瑞澤.高校網(wǎng)絡(luò)優(yōu)化方案的設(shè)計(jì)與實(shí)現(xiàn)[D].沈陽(yáng)工業(yè)大學(xué)，

2013.