桑靜　吉承平

摘要：我校校園網絡經過多年的運行，存在不少的弊端，分析我校校園網絡存在的瓶頸和問題后，研究設計了校園網的升級改造方案，重點闡述了無線網絡的建設，并對網絡建設的發(fā)展趨勢做了展望。

關鍵詞：校園網；網絡建設；設計與規(guī)劃；無線網絡

隨著高職院校教學規(guī)模的不斷擴大，網絡教學及應用需求的快速發(fā)展，使得校園網成為辦公、教學、科研工作不可缺少的資源。現有校園網絡存在的問題和供給不足逐漸顯現，如上網速度慢、網絡穩(wěn)定性差、信息和數據資源不能有效共享關聯、上網實際使用感知低于期望、網絡服務不能及時跟進等等。結合我校的實際，在現有基礎上對校園網絡進行了升級、優(yōu)化設計。

1校園網絡軟硬件現狀分析

1.1歷史沿革

我校由多個教學單位逐年合并而成，校園網絡的架構也是在學校合并過程中逐步形成的，校園網絡始建于2004年，網絡結構見圖1。校園網主干為環(huán)形結構，采用核心層、匯聚層、

接入層的三層架構，其中三臺核心交換產品設置于網絡中心機房，匯聚設備根據區(qū)域劃分，分別設置于行政樓、實驗樓、院系樓、天寧校區(qū)、圖書館、現教中心大樓、教學樓，經過十幾年的使用，目前網絡運行問題較多。

1.2既有網絡存在的問題

1）網絡帶寬：2004年至2012年期間隨著多所學校合并，網絡帶寬從初期的中國電信100M及教科研網IOM，網絡接人點約300個，增加到中國電信100M、教科研網100M、網通100M，總帶寬300M，接入點18000多個。網絡應用從僅需滿足網頁瀏覽、辦公的需求，到現在視頻會議、視頻點播、遠程教育等業(yè)務需求，出口帶寬嚴重不足，高峰期網速極慢、用戶體驗度極差、網絡評價非常不好。

2）核心設備：核心設備cisc06509屬于元老級核心設備，已經超期服役，其中一臺于2011年損壞，該核心設備上的配置全部并人另一臺核心設備cisc06509，嚴重增加了該設備的負擔，若此設備出故障將造成整個校區(qū)的斷網。

3）匯聚、接人層設備：建網后經過十多年的運行，初期匯聚層所用的港灣5610E交換機和接人層交換機所用的港灣3024交換機，損壞嚴重，逐年更替，各個樓宇現有設備參差不齊，管理困難。

4）用戶管理：學校采用億郵公司的計費系統實現用戶登錄管理，由于后期軟件沒有升級，服務沒有投入，再加上上網人數的大幅增加，用戶管控功能基本不能實現。

5）行為管理：多所學校的合并，上網人數的驟增，工作時間網上購物、在線聊天、電影、P2PSV_具下載等與工作無關的行為占用了有限的帶寬，影響了教學、科研的工作效率。

6）網絡覆蓋：隨著無線網絡技術的發(fā)展和移動終端的普及，人在移動、網隨人動的觀念已深人人心，網絡覆蓋實現有線與無線相結合的模式是必然趨勢。在優(yōu)化有線網絡的同時，建設無線網絡勢在必行。

2校園網絡的架構與優(yōu)化

2.1基于需求的校園網絡結構規(guī)劃

我校網絡建網至今經歷了幾次網絡升級改造，在網絡框架不變的基礎上，增加、更換了一些網絡設備。目前，校園網中使用著各個時期購買的不同廠家、不同型號的網絡設備，本次網絡升級改造也不可能一次性投人大量資金，購買全新、統一廠商的網絡設備，對網絡進行重建。此次網絡改造也只能在現有網絡基礎之上，設計出一個合理的，適合本校的網絡升級改造方案。圖1為升級改造前的網絡拓撲結構。

2.2整體網絡結構設計

為適應用戶需求的增加，同時實現有線網絡和無線網絡的覆蓋，充分利用現有設備，升級改造后的網絡拓撲結構如圖2所示。從圖2可以看出，校園網出口增加了聯通；帶寬增加到聯通1G，電信50M和網通100M；在網絡安全、防護、管理方面，增加了山石的防火墻、深信服的行為管理、城市熱點和銥迅的WEB防火墻。無線網絡的建設分兩期實現，一期進行行政樓、圖書館和現教中心樓的無線網絡建設，二期完成學校教學樓、實驗樓、實訓樓等的無線網絡建設，完成校園網絡無線全覆蓋。

3校園網絡的改造與升級

3.1主干網絡的改造

經過多次調研、考察，發(fā)現網絡扁平化雖然是發(fā)展趨勢，但是需要把原有的網絡推掉重建，從資金、技術以及目前學校的網絡使用考慮，最終沒有對現有網絡結構做太大改動。改造后的網絡拓撲整體架構仍沿用三層架構，網絡核心選用兩臺Cisc07609作為雙核結構，實現雙備冗余，保障網絡正常運行。

針對匯聚層的改造，更換了一批性能不穩(wěn)定的交換機，在結構設計方面，有意弱化匯聚的作用，把配置在匯聚上的各個VLAN的網關調到了核心交換機上，減輕匯聚交換機的壓力，可更高效地實現網絡管理。

3.2IP地址規(guī)劃

本次改造改變靜態(tài)地址的分配方案為靜態(tài)地址與動態(tài)地址相結合的分配方案，人員相對固定和不多的場所仍然采用靜態(tài)地址，人員流動性大，人員較多的場所改成動態(tài)地址，動靜結合的地址分配，對核心配置改動不大，方便教職工的上網接人，也便于網絡管理人員對網絡的把控。此次調整，不僅解決了教師因在辦公室自己私接小路而衍生的搶奪IP地址的問題，同時方便網管很快定位病毒源，防止病毒的肆意傳播的可能。

3.3無線網絡建設

我校無線網絡采用有線、無線兩網分離的組網方式，無線網作為相對獨立的網絡，與有線網絡融合。無線網絡建設分二期進行，一期工程實現圖書館、現教中心大樓、行政樓的無線網絡覆蓋，同時兼顧建筑物內電梯、樓梯間等區(qū)域的信號覆蓋；二期工程實現教學樓、實驗、實訓樓等區(qū)域的無線網絡覆蓋。

3.3.1無線核心層

無線核心交換機由2臺Aruba 7220無線控制器組成，上聯校園網核心交換機，每臺無線控制器均采用萬兆聚合端口和無線核心交換機之間采用Trunk模式互聯，且設置為Master-Local集群模式，并在Master上啟用中心化License功能和激活AP管理許可，實現全網無線功能License的共享管理，同時為無線系統提供1+1（Active-Active）熱備，所配置的冗余電源提高了單臺系統運行的可靠性。Master控制器可以實現對全網進行集中單點統一管理，無需對每臺控制器都進行逐一配置的繁瑣工作，Aruba的Master控制器可以將射頻管理配置自動同步到所有的Local控制器上。

3.3.2匯聚層

匯聚交換機選用華為S5720-50X-EI-46S-AC，負責將來自網絡接人層的訪問流量進行匯聚和集中，承擔鏈路和流量聚合的任務。對上采用萬兆鏈路與無線網核心交換機互聯，對下采用千兆鏈路與接人層POE交換機互聯。

3.3.3接入層

為了減少無線網絡對有線網絡的影響，有線、無線網絡采用分離式組網設計，無線接入層單獨組網，選用華為全千兆PoE交換機S5700-28TP-PWR-LI-AC，完成無線AP的接人以及對無線AP提供POE供電。POE交換機直接和無線AP連接，配置相關安全策略抵御來自無線用戶的ARP風暴、MAC掃描、ICMP風暴、帶寬攻擊等等攻擊方式，并提供靈活的用戶管理手段。

3.3.4網絡服務層

該服務層提供了Amba的Airwave無線網絡集中監(jiān)控和管理，CPPM終端接人策略管理系統、城市熱點身份認證系統、深信服流控等，Airwave采用數據中心的虛擬機部署方式，可以提供對全網的無線的射頻性能、無線終端性能、網絡設備性能、網絡應用的可視化，無線熱圖的可視化，歷史日志記錄分析和報告模板，專家故障診斷，監(jiān)控和告警功能等。目前，一期無線網絡建設已經完成，現已投入二期無線網絡的建設。

4結束語

學校網絡優(yōu)化、升級改造工作已初步完成，整體運行效果較好，由于學校資金，技術的限制，網絡優(yōu)化及升級改造只能分步實施，，此次網絡優(yōu)化、改造在網絡性能、可擴充性、標準化和安全性方面存在著不盡如人意的地方，網絡扁平化是網絡發(fā)展的必然趨勢，也是下一次網絡改造的目標和方向。endprint