惠震

摘要 本文以西安工程大學宿舍網(wǎng)絡(luò)為例，結(jié)合筆者的工作經(jīng)驗，同時借鑒兄弟院校的成熟案例，從教師管理和學生使用的雙重角度重新規(guī)劃該校宿舍的網(wǎng)絡(luò)管理方案，提出DHCP的宿舍上網(wǎng)模式，旨在提高學生用網(wǎng)的用戶體驗度，減少運維老師處理故障的業(yè)務(wù)量，最終提升校園網(wǎng)絡(luò)在高校教育過程中的重要作用。

關(guān)鍵詞 宿舍網(wǎng)絡(luò) IP地址 DHCP 服務(wù)

0引言

隨著網(wǎng)絡(luò)技術(shù)應(yīng)用的快速發(fā)展，高校師生對校園信息化的需求日益增強。信息化是當今世界發(fā)展的大趨勢，是推動經(jīng)濟社會變革的重要力量。息技術(shù)對教育發(fā)展具有革命性影響。全球發(fā)達國家高度重視數(shù)字化建設(shè)、信息技術(shù)進步對于教育事業(yè)的影響作用，我國政府也將教育信息化的工作擺在前列，強調(diào)大力普及信息技術(shù)教育，以信息化帶動教育現(xiàn)代化。當前校園基礎(chǔ)網(wǎng)絡(luò)的建設(shè)難以滿足廣大師生對網(wǎng)絡(luò)的需求，而作為大部分學生主要生活環(huán)境的宿舍網(wǎng)絡(luò)也是各高校不可避免的重點環(huán)節(jié)之一?；诖?，高校宿舍網(wǎng)絡(luò)的規(guī)劃完善與質(zhì)量提升有著重大的意義。筆者以西安工程大學宿舍網(wǎng)絡(luò)現(xiàn)有的環(huán)境為基礎(chǔ)，基于教師管理和學生使用過程中出現(xiàn)的問題進行重新規(guī)劃與設(shè)計，以期提升學生用網(wǎng)的體驗度。

1西安工程大學宿舍網(wǎng)絡(luò)現(xiàn)狀與問題

西安工程大學校園網(wǎng)絡(luò)先后借助2002年國家“西部大學校園計算機網(wǎng)絡(luò)工程”和2012年結(jié)合西部高水平大學建設(shè)工程，組織實施了50多項建設(shè)工程，實現(xiàn)了覆蓋金花、臨潼兩校區(qū)服務(wù)于兩萬多師生員工的共計12000個網(wǎng)絡(luò)信息點，敷設(shè)光纜80余千米，其中金花臨潼兩校區(qū)實現(xiàn)了萬兆光纖直連。該校學生宿舍網(wǎng)絡(luò)有6000多信息點，占用了較大的網(wǎng)絡(luò)資源并且難于管理，信息點故障率較高，給該校網(wǎng)絡(luò)運維工作帶來巨大的壓力。

1.1宿舍網(wǎng)絡(luò)現(xiàn)狀

該校的基礎(chǔ)網(wǎng)絡(luò)建設(shè)采用以太網(wǎng)的組網(wǎng)模式，使用傳統(tǒng)的“核心層-匯聚成-接入層”三層模式建設(shè)校園網(wǎng)絡(luò)，保證校園網(wǎng)絡(luò)主體網(wǎng)絡(luò)框架的穩(wěn)定。宿舍網(wǎng)絡(luò)主要在校園網(wǎng)絡(luò)的匯聚層和接入層，采用傳統(tǒng)的以太網(wǎng)技術(shù)，基于Vlan劃分的思路既提高了局域網(wǎng)的穩(wěn)定性和安全性。宿舍網(wǎng)絡(luò)采用基于portal的客戶端認證方式，學生需要申請網(wǎng)絡(luò)賬號和IP地址才能正常使用校園網(wǎng)絡(luò)。在電腦端配置IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)、首選DNS和備用DNS信息，通過客戶端認證就能正常使用校園網(wǎng)絡(luò)。

1.2存在問題

經(jīng)過筆者近些年的工作經(jīng)驗發(fā)現(xiàn)西安工程大學宿舍網(wǎng)絡(luò)使用存在諸多問題，包括網(wǎng)絡(luò)運營商破壞宿舍網(wǎng)絡(luò)秩序、管理規(guī)范不完善等，導致學生注冊量不高，有如下幾方面問題。

（1）學生的“零認知”使用習慣。對于現(xiàn)代高校的大的學生，由于素質(zhì)教育的弊端以及專業(yè)的絕對劃分，大部分學生對于網(wǎng)絡(luò)的認識幾乎為零，他們僅僅會使用網(wǎng)絡(luò)，對于任何配置上面的問題和處理都要借助于他人，這樣子使得更多的使用盲區(qū)問題體現(xiàn)出來，包括IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS以及路由器的配置等。（2）單一信息點的使用問題。宿舍網(wǎng)絡(luò)的信息點分布密集，宿舍網(wǎng)絡(luò)用戶的流動性大，比較難以控制與管理，對各上網(wǎng)信息點的可管性與可控性的要求是必需的，所以必須落實基于用戶的接入認證、授權(quán)和計費等控制手段。這樣子，就需要每名學生各自注冊自己的網(wǎng)絡(luò)賬號，而同一賬號只允許單一網(wǎng)絡(luò)終端使用，同時每個宿舍只有一個信息點，導致學生無法使用移動終端上網(wǎng)。（3）運營商介入。隨著計算機網(wǎng)絡(luò)和移動通信技術(shù)的發(fā)展，越來越多的網(wǎng)絡(luò)運營商和服務(wù)提供商投入到通信市場的競爭中，高校宿舍網(wǎng)絡(luò)建設(shè)是他們爭奪的市場。針對西安工程大學來說，在完全自主運維的前提下，由于師資力量投入的相對薄弱，疏于對宿舍網(wǎng)絡(luò)的規(guī)范管理。另一方面，校方對運營商沒有有效的約束手段，其完善的網(wǎng)絡(luò)服務(wù)體系贏得較多的學生使用。（4）教師疏于指導?，F(xiàn)如今高校網(wǎng)絡(luò)中心的職責已經(jīng)轉(zhuǎn)到數(shù)字化校園建設(shè)的高度，對于學生宿舍網(wǎng)絡(luò)的使用問題進一步淡化，這是目前高校宿舍網(wǎng)絡(luò)管理的普遍現(xiàn)象。而且年年都有批量調(diào)寢的情況，用戶的IP地址也要隨之變更，網(wǎng)絡(luò)維護難度增大。

2基于DHCP的宿舍網(wǎng)絡(luò)規(guī)劃

該校采用靜態(tài)IP地址的上網(wǎng)模式是最傳統(tǒng)也是最方便安全的，然而學生在注冊的時候，通常會問什么是IP地址、IP地址如何配置等。對此，網(wǎng)絡(luò)中心也試圖用文字的方式進行提示和幫助，但始終沒達到預(yù)期的效果。筆者通過相關(guān)文獻調(diào)研和電話考察兄弟院校的宿舍網(wǎng)絡(luò)使用現(xiàn)狀，多數(shù)采用DHCP的上網(wǎng)模式，認為動態(tài)獲取IP地址方式是目前較為容易接受的上網(wǎng)使用方式，既解決了學生使用盲區(qū)的問題，同樣解決了大量的電話故障受理的問題，具體規(guī)劃方案的步驟如下：（1）該校學生宿舍網(wǎng)絡(luò)IP地址配置在匯聚層交換機上面，接入交換機只是對應(yīng)了該接口的VLan。在最大限度保留原有配置的基礎(chǔ)上用最簡單的方式進行升級規(guī)劃，就要在匯聚層交換機上面添加DHCP地址池，對原有發(fā)布的VLan地址一一對應(yīng)，保證用戶端能夠獲取到對應(yīng)VLan的IP地址。（2）既然改造目的是用戶端自動獲取IP地址，那么在認證系統(tǒng)的后臺管理中，原有的固定IP地址與賬號問的對應(yīng)關(guān)系應(yīng)當取消。然后，需要對學生進行一定的管控，只允許單一賬號在限定的物理區(qū)域內(nèi)上網(wǎng)，實際上是對用戶組進行IP地址段限定。（3）在認證計費系統(tǒng)中應(yīng)當指定新的策略規(guī)則，增加同一賬號通過客戶端認證方式上網(wǎng)的同時在線用戶數(shù)。因為原有的宿舍網(wǎng)絡(luò)不允許單一賬號同時多人使用，否則無法對學生用網(wǎng)情況進行合理的管控與預(yù)防。為此，根據(jù)現(xiàn)有學生使用網(wǎng)絡(luò)的情況，應(yīng)當設(shè)置為允許同時在線數(shù)為“2”，保證電腦和移動端同時使用。

3規(guī)劃測試與完善

在新方案大規(guī)模實施前，畢竟學生在無時無刻的使用校園網(wǎng)絡(luò)，還是應(yīng)當在能夠接受的小范圍內(nèi)進行測試，故筆者將該校9號宿舍樓作為測試對象。根據(jù)該校宿舍樓匯聚層交換機的WEan配置可以清楚地看出來，VLanl為互聯(lián)WEan，即與核心層交換機直連，而每一層樓分別為一個用戶VLan，使用A類的私有地址?，F(xiàn)需要在該匯聚交換機上面啟用DHCP服務(wù)功能，需要在全局模式下配置如下：

system

[H3CS5800-9]dhcp enable

然后在添加對應(yīng)的DHCP地址池，為了便于管理，對每一個地址池命名與原有用戶VLan一致，具體配置如下：

[H3CS5800-9]dhcp serverip-pool vlan119

[H3CS5800-9-dhcp-pool-vlan119]network10.19.11.0 mask255.255.255.0

[H3CS5800-9-dhcp-pool-vlan119]gateway-list 10.19.11.254

[H3CS5800-9-dhcp-pool-vlan119]dns-list 218.30.19.40202.200.200.1

將該匯聚交換機中發(fā)布的所有用戶Vlan都創(chuàng)建一一對應(yīng)的DHCP地址池，該測試操作全部完成。僅僅是簡單的幾部操作，可以使用戶無感知的使用網(wǎng)絡(luò)。但是在為期一個月的測試階段還是出現(xiàn)了問題，有時會出現(xiàn)“一層樓的宿舍同時不能上網(wǎng)”，筆者開始根據(jù)該情況做如下分析：（1）如果剛開始網(wǎng)絡(luò)正常使用，而是后期出現(xiàn)問題，那證明交換機的配置使正確的，用戶端已經(jīng)能夠獲取到IP地址；（2）整層樓同時不能上網(wǎng)，而他們是在一個VLan中，就是說同一VLan出現(xiàn)了問題；（3）在配置沒有錯的前提下，應(yīng)該是當初考慮配置的時候還不夠全面。

基于此的分析，筆者和該校網(wǎng)絡(luò)中心老師到宿舍實地考察情況，結(jié)果發(fā)現(xiàn)有學生在使用路由器的時候，把入戶線連接到路由器的LAN接口上。而交換機的物理端口具有一定的學習能力，能夠讀取到用戶路由器中發(fā)布的私有IP地址，導致該學生的路由器發(fā)布的c類私有地址通過接入交換機發(fā)布到該VLan中，使得同一VLan中的其他宿舍用戶所對應(yīng)的端口在認證時獲取到的實際上是該路由器發(fā)布的地址，繼而導致該現(xiàn)象的出現(xiàn)。

實際上，DHCP協(xié)議簡單，沒有任何認證機制，如果有人在這個網(wǎng)段上配置或假冒一臺DHCP服務(wù)器，就會錯誤配置客戶機，導致用戶無法使用網(wǎng)絡(luò)資源，而如果網(wǎng)關(guān)地址被配置到DHCP客戶機時，會影響到整個網(wǎng)段的用戶可能在一段時間內(nèi)都無法上網(wǎng)。針對該網(wǎng)絡(luò)現(xiàn)象，應(yīng)在每個接入層交換機中開啟DHCP snooping服務(wù)，該服務(wù)時用于監(jiān)聽DHCP服務(wù)功能的工。在開啟該服務(wù)后，交換機默認對所有接口為untrust狀態(tài)，即為不信任狀態(tài)，防止任何接口接受發(fā)布的IP地址。那么，在配置中就必須在級聯(lián)端口及Trunk口中配置為trust狀態(tài)，才能實現(xiàn)該設(shè)備只允許自上而下的獲取IP地址，具體配置如下：system

[H3CE528-9-1]dhep enable

[H3CE528-9-1]dhep snooping enable

[H3CE528-9-1]interface GigabitEthemetI/0/24

[H3CE528-9-1-GigabitEthernetI/0/24]dhcp snooping trusted

針對所有的接入層交換機都需要進行該配置才能保證整個網(wǎng)絡(luò)的正常運行。在接下來的測試過程中按照預(yù)期的規(guī)劃運行，并未再出現(xiàn)其他網(wǎng)絡(luò)問題，可以大規(guī)模實施。

4結(jié)束語

經(jīng)過為期一個月的測試實驗，證明該方案確實可行并能夠緩解目前網(wǎng)絡(luò)運維的工作壓力，最終在該校園宿舍網(wǎng)絡(luò)中大規(guī)模使用。整個校園宿舍網(wǎng)絡(luò)全部調(diào)整為自動獲取IP地址的上網(wǎng)模式，并且可以供學生多終端使用，解決了手機上網(wǎng)的問題，在學生范圍內(nèi)取得了較好的反響。在信息化高速發(fā)展的現(xiàn)代社會，作為校園網(wǎng)絡(luò)的管理者要保持與時俱進的態(tài)度，還要實時走在校園信息化發(fā)展的前列，不僅能夠提高高校的整體工作效率，而且能夠減少自身的工作壓力，提升全校師生的網(wǎng)絡(luò)使用體驗度，減少網(wǎng)絡(luò)故障業(yè)務(wù)量。