孫光懿+孫光為

摘要：該文以天津音樂(lè)學(xué)院“十二五”校園網(wǎng)改造項(xiàng)目為背景，以VLAN技術(shù)在校園網(wǎng)中應(yīng)用研究為主線， 解決校園網(wǎng)中存在的實(shí)際問(wèn)題。論文作者參加了該項(xiàng)目的需求分析、總體方案設(shè)計(jì)，以及整個(gè)施工過(guò)程。本文分析了天音校園網(wǎng)現(xiàn)狀及存在的問(wèn)題，提出了解決這些問(wèn)題的對(duì)策，同時(shí)根據(jù)VLAN技術(shù)與三層交換技術(shù)的特點(diǎn)，按照三層架構(gòu)的原則重新規(guī)劃了天音校園網(wǎng)拓?fù)浣Y(jié)構(gòu)，給出了一種基于VLAN技術(shù)的校園網(wǎng)總體設(shè)計(jì)方案。

關(guān)鍵詞：VLAN；網(wǎng)絡(luò)安全；三層架構(gòu)；出口路由

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）34-0045-02

1 校園網(wǎng)存在的問(wèn)題

互聯(lián)網(wǎng)發(fā)展快速、高效的特點(diǎn)在天音校園網(wǎng)的建設(shè)中顯得尤為突出，對(duì)推進(jìn)校園管理網(wǎng)絡(luò)化和教學(xué)手段現(xiàn)代化起到了重要的作用。天音校園網(wǎng)在開(kāi)展教學(xué)、科研、辦公等方面不斷的深入，但伴隨著網(wǎng)絡(luò)應(yīng)用的增加，網(wǎng)絡(luò)規(guī)模也逐年擴(kuò)大，所呈現(xiàn)的問(wèn)題也日趨突出，給校園網(wǎng)制定相關(guān)網(wǎng)絡(luò)安全策略，部署相應(yīng)的解決方案，保證校園網(wǎng)安全穩(wěn)定的運(yùn)行，已經(jīng)成為目前急需解決的問(wèn)題。當(dāng)前校園網(wǎng)主要存在以下幾個(gè)問(wèn)題：

1.1 原有VLAN劃分已經(jīng)不適應(yīng)當(dāng)前校園網(wǎng)的發(fā)展

目前學(xué)院一些部門的網(wǎng)絡(luò)都在同一個(gè)VLAN下，沒(méi)有進(jìn)行進(jìn)一步細(xì)致的劃分隔離， 網(wǎng)絡(luò)設(shè)備之間可以互相進(jìn)行訪問(wèn)，重要數(shù)據(jù)的獨(dú)立性與安全性無(wú)法保證， 病毒以及廣播風(fēng)暴問(wèn)題日益嚴(yán)重，有的時(shí)候交換機(jī)CPU的使用率達(dá)到90%以上，嚴(yán)重影響了學(xué)院網(wǎng)絡(luò)正常的運(yùn)行。

1.2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有待完善

一些樓宇中的接入交換機(jī)沒(méi)有與該樓宇中的匯聚交換機(jī)相連而直接和核心交換機(jī)相連，造成核心交換機(jī)負(fù)載過(guò)重，這樣很容易造成網(wǎng)絡(luò)擁塞。

1.3 IP地址管理困難

用戶擅自修改IP地址造成校園網(wǎng)內(nèi)IP地址沖突的現(xiàn)象時(shí)有發(fā)生，這種網(wǎng)絡(luò)故障嚴(yán)重影響了整個(gè)校園網(wǎng)絡(luò)的正常運(yùn)行。

1.4 沒(méi)有進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制

目前互聯(lián)網(wǎng)上存在一些不文明、不健康的網(wǎng)站以及一些病毒網(wǎng)站，這些網(wǎng)站通常帶有網(wǎng)絡(luò)病毒，如果允許校園網(wǎng)內(nèi)的所有計(jì)算機(jī)都可以訪問(wèn)外網(wǎng)，特別是一些重要部門的計(jì)算機(jī)，一旦被黑客攻擊后果不堪設(shè)想。

1.5 校園網(wǎng)出口路由選擇及出口帶寬監(jiān)控的問(wèn)題

天音校園網(wǎng)原有中國(guó)電信、教育網(wǎng)兩條出口，學(xué)院為了保證教學(xué)、辦公以及宿舍網(wǎng)帶寬的需要新引入了中國(guó)聯(lián)通出口，因此需要重新進(jìn)行校園網(wǎng)出口路由的調(diào)整并實(shí)現(xiàn)對(duì)出口帶寬的監(jiān)控。

2 天音校園網(wǎng)改造需求分析

2.1 網(wǎng)絡(luò)管理需求分析

天音校園網(wǎng)絡(luò)目前覆蓋教學(xué)區(qū)、辦公樓、琴樓、學(xué)生宿舍區(qū)共計(jì)樓宇20余棟，師生上網(wǎng)人數(shù)近3000人，建成了一個(gè)具有一定規(guī)模的計(jì)算機(jī)網(wǎng)絡(luò)。隨著數(shù)字化校園逐步的建設(shè)，網(wǎng)絡(luò)管理的復(fù)雜度也日趨增加，如何合理的進(jìn)行VLAN劃分是急需解決的問(wèn)題。

2.2 校園網(wǎng)安全需求分析

主要利用虛擬局域網(wǎng)技術(shù)以及防火墻技術(shù)解決安全與學(xué)院網(wǎng)絡(luò)資源開(kāi)放問(wèn)題：天音校園網(wǎng)絡(luò)應(yīng)該是一個(gè)開(kāi)放的系統(tǒng)，一些音視頻資料可以向社會(huì)共享使用，但是一些資料涉及版權(quán)問(wèn)題只能在院內(nèi)播放；禁止院外用戶在未經(jīng)授權(quán)的情況下訪問(wèn)院內(nèi)數(shù)據(jù)。

3 校園網(wǎng)結(jié)構(gòu)設(shè)計(jì)

為了提高校園網(wǎng)數(shù)據(jù)交換傳輸?shù)哪芰?，降低網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜程度，便于日后對(duì)校園網(wǎng)的管理，我們將校園中整體劃分為三層架構(gòu)即核心層、匯聚層、接入層。

核心層可以看做是校園網(wǎng)的大腦，主要負(fù)責(zé)數(shù)據(jù)的交換以及路由轉(zhuǎn)發(fā)工作。由于核心層采用高性能模塊化路由交換器，網(wǎng)絡(luò)的規(guī)?？梢噪S著模塊的增加而擴(kuò)大，會(huì)遇到業(yè)務(wù)中斷等問(wèn)題。其主要功能如下：

1）提供校園網(wǎng)內(nèi)各匯聚設(shè)備的連接；

2）提供到廣域網(wǎng)的訪問(wèn)；

3）優(yōu)化數(shù)據(jù)傳輸性能；

4）迅速適應(yīng)升級(jí)；

5）提供高可靠性；

匯聚層工作在數(shù)據(jù)鏈路層，負(fù)責(zé)連接接入層網(wǎng)絡(luò)設(shè)備。其主要功能如下：

1）部門或工作組接入；

2）VLAN聚合；

3）VLAN間路由；

4）安全性控制；

接入層是連接終端設(shè)備的網(wǎng)絡(luò)邊緣負(fù)責(zé)為校園網(wǎng)用戶提供接入服務(wù)。

4 校園網(wǎng)VLAN規(guī)劃及配置方法

目前天音校園網(wǎng)存在著多個(gè)部門的計(jì)算機(jī)都劃分在同一個(gè)VLAN下的情況，網(wǎng)絡(luò)安全穩(wěn)定性相對(duì)較差。經(jīng)常發(fā)生IP地址沖突，也容易產(chǎn)生網(wǎng)絡(luò)風(fēng)暴、加速病毒傳播的速度等缺點(diǎn)。為了解決上述校園網(wǎng)絡(luò)存在的問(wèn)題，經(jīng)過(guò)認(rèn)真的分析研究，決定對(duì)校園網(wǎng)VLAN按照分布位置與應(yīng)用環(huán)境的不同進(jìn)行細(xì)致的劃分，子網(wǎng)之間互相不允許通信，滿足不同需求。計(jì)劃將校園網(wǎng)絡(luò)劃分為十五個(gè)子網(wǎng)。學(xué)院利用現(xiàn)有Cisco6509三層網(wǎng)絡(luò)交換機(jī)實(shí)現(xiàn)對(duì)校園網(wǎng)VLAN（虛擬子網(wǎng)）劃分。

5重新規(guī)劃的天音網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

5.1 核心層結(jié)構(gòu)

校園網(wǎng)核心層由一臺(tái)CISCO6509交換機(jī)構(gòu)成，主要負(fù)責(zé)十一經(jīng)路校區(qū)、十四經(jīng)路校區(qū)以及附中等三個(gè)區(qū)域數(shù)據(jù)流的匯集和分流。核心層與匯聚層之間采用光口互聯(lián)，將十一經(jīng)路校區(qū)、十四經(jīng)路校區(qū)以及附中三個(gè)區(qū)域鏈接起來(lái)。Cisco 6509交換機(jī) 其強(qiáng)大的交換能力確保校園網(wǎng)內(nèi)部有一個(gè)高速、穩(wěn)定的網(wǎng)絡(luò)環(huán)境，保證核心層與匯聚層之間無(wú)阻塞的數(shù)據(jù)交換。

核心層連接匯聚層交換機(jī)配置過(guò)程：

interface GigabitEthernet2/9 （連接南院舊女生宿舍區(qū)匯聚 ）

description jiunvsushe

no ip address

speed nonegotiate

switchport

switchport mode trunk

！

！

interface GigabitEthernet2/11 （連接南院宿舍區(qū)匯聚交換機(jī) HP 5304）

description to-hp5304

no ip address

speed nonegotiate

switchport

switchport mode trunk

spanning-tree portfast

！

！

nterface GigabitEthernet2/14 （連接十一經(jīng)路校區(qū)匯聚 神州數(shù)碼 6808）

description beiyuan6808

no ip address

speed nonegotiate

switchport

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 1，4，5，8，10，13，14，33

switchport mode trunk

！

5.2 匯聚層結(jié)構(gòu)

匯聚層主要負(fù)責(zé)將各區(qū)域接入層的交換機(jī)頭端匯聚在一起，再通過(guò)千兆光纖鏈路上聯(lián)到核心層，這樣可以使核心交換機(jī)所需的千兆端口數(shù)量減少，節(jié)約組網(wǎng)的經(jīng)濟(jì)成本。目前校園網(wǎng)的匯聚層通過(guò)CISCO3550、神州數(shù)碼6808、HP5304、

港灣6802交換機(jī)將十一經(jīng)路校區(qū)、十四經(jīng)路校區(qū)、學(xué)生宿舍區(qū)、附中等子網(wǎng)連接起來(lái)。CISCO3550負(fù)責(zé)十四經(jīng)路校區(qū)行政辦公樓接入交換機(jī)及A-F座教學(xué)區(qū)接入交換機(jī)的連接 如圖（4-3），提供100M用戶接入端口。神州數(shù)碼匯聚交換機(jī)負(fù)責(zé)北院十一經(jīng)路校區(qū)交換機(jī)的連接， HP5304交換機(jī)負(fù)責(zé)連接十四經(jīng)路校區(qū)學(xué)生宿舍網(wǎng)，港灣6802負(fù)責(zé)附中網(wǎng)絡(luò)的連接。南院辦公樓匯聚CISCO3550連接核心交換機(jī)配置過(guò)程：

！

interface GigabitEthernet0/1

description nanyuan6509

switchport mode trunk

no ip address

speed nonegotiate

！

5.3 接入層結(jié)構(gòu)

接入層是一個(gè)第二層的網(wǎng)絡(luò)。在實(shí)際應(yīng)用中多部署在樓層的豎井間。因此，要求在選用和部署時(shí)考慮易管理和低成本。校園網(wǎng)絡(luò)接入交換機(jī)由思科2950、神州數(shù)碼3950、HP2650、 銳捷2652G可網(wǎng)管交換機(jī)購(gòu)成，主要負(fù)責(zé)為校園網(wǎng)用戶提供100兆網(wǎng)絡(luò)接口，使用戶享受到高速網(wǎng)絡(luò)服務(wù)。并且根據(jù)接入用戶類型的不同在交換機(jī)上劃分為不同的VLAN。

6 實(shí)現(xiàn)校園網(wǎng)出口路由的選擇

天音校園網(wǎng)絡(luò)目前擁有聯(lián)通、教育、電信三條出口，其中聯(lián)想為百兆獨(dú)享；電信為百兆共享，實(shí)際帶寬為40兆；教育網(wǎng)帶寬為10兆；實(shí)際總帶寬為150兆左右，帶寬利用率為100%。為了保證日常教學(xué)、辦公的帶寬，現(xiàn)將學(xué)生用戶設(shè)置為從聯(lián)通出口訪問(wèn)互聯(lián)網(wǎng)，學(xué)院其他網(wǎng)段從電信出口訪問(wèn)互聯(lián)網(wǎng)；全院用戶訪問(wèn)教育網(wǎng)資源均通過(guò)教育網(wǎng)出口進(jìn)行訪問(wèn)。電信網(wǎng)關(guān)地址為：221.239.44.129，聯(lián)通網(wǎng)關(guān)地址為：218.69.3.45教育網(wǎng)網(wǎng)關(guān)地址為：211.68.197.2. 通過(guò)以上配置實(shí)現(xiàn)了校園網(wǎng)出口的策略路由，并且也使學(xué)生宿舍子網(wǎng)、與學(xué)院其他子網(wǎng)的網(wǎng)絡(luò)帶寬有了充分的保障。 其中Ethernet0/0 為聯(lián)通出口，Ethernet0/2 為電信出口，Ethernet0/4 為教育網(wǎng)出口。

7 結(jié)語(yǔ)

論文中給出了天音校園網(wǎng)總體設(shè)計(jì)方案，采用三層架構(gòu)的原則重新規(guī)劃校園網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。結(jié)合天音校園網(wǎng)的實(shí)際情況， 提出了VLAN在天音校園網(wǎng)中具體應(yīng)用方案。解決了校園網(wǎng)所存在的問(wèn)題，實(shí)現(xiàn)了校園網(wǎng)出口的路由選擇，及對(duì)出口帶寬的監(jiān)控。目前天音校園網(wǎng)“十二五”改造項(xiàng)目已經(jīng)完成，校園網(wǎng)運(yùn)行情況良好，網(wǎng)絡(luò)整體性能有了質(zhì)的飛躍。

參考文獻(xiàn)：

[1] 張青，劉忠耿.VLAN 技術(shù)應(yīng)用于校園網(wǎng)的優(yōu)勢(shì)及其配置[J].中國(guó)遠(yuǎn)程教育，2004，14（15）：62-66.

[2] 馬濤.集美大學(xué)全面部署銳捷 GSN 全局安全網(wǎng)絡(luò)解決方案[J].中國(guó)教育網(wǎng)絡(luò)，2007（6）：54-55.

[3] 錢偉中，王蔚然，袁宏春.分布式防火墻環(huán)境的邊界防御系統(tǒng)[J].電子科技大學(xué)學(xué)報(bào)，2005，34（4）：513-516.

[4] 郝玉潔，劉貴松.信息安全概論[M].成都：電子科技大學(xué)出版社，2007.