◆潘 柳

?

中職學(xué)校校園網(wǎng)絡(luò)的升級(jí)與改造

◆潘 柳

（柳州市第一職業(yè)技術(shù)學(xué)校 廣西 545616）

本文結(jié)合本校校園網(wǎng)絡(luò)的情況對(duì)網(wǎng)絡(luò)運(yùn)行的現(xiàn)狀和存在的主要問題進(jìn)行了分析、總結(jié)，綜合學(xué)校的應(yīng)用，從加強(qiáng)網(wǎng)絡(luò)的可靠性、安全性和易于管理等方面出發(fā)，完成了網(wǎng)絡(luò)升級(jí)改造方案的設(shè)計(jì)并提出了具體實(shí)施步驟，從而加快學(xué)校數(shù)字化校園建設(shè)的步伐。

校園網(wǎng)絡(luò)；數(shù)字校園；升級(jí)改造；網(wǎng)絡(luò)安全

1 學(xué)校概況

柳州市第一職業(yè)技術(shù)學(xué)校是一所國(guó)家級(jí)重點(diǎn)職業(yè)中專學(xué)校。2002年被認(rèn)定為“國(guó)家重點(diǎn)建設(shè)示范性職業(yè)學(xué)?！?，2014年被認(rèn)定為首批“國(guó)家中等職業(yè)教育改革發(fā)展示范學(xué)?！?，2017年12月，獲批全國(guó)第三批“職業(yè)院校數(shù)字校園建設(shè)實(shí)驗(yàn)?！薄，F(xiàn)有校園面積近400畝，學(xué)生1萬(wàn)余人，教職員工近500人，是一所涵蓋有一、二、三產(chǎn)專業(yè)的綜合性中等職業(yè)學(xué)校。

近年來(lái)，學(xué)校信息化建設(shè)快速發(fā)展，課堂中運(yùn)用信息化設(shè)備和手段進(jìn)行教學(xué)日益激增，校園網(wǎng)絡(luò)的帶寬和網(wǎng)絡(luò)的穩(wěn)定性、安全性等問題也日漸突出。隨著我校“數(shù)字校園建設(shè)實(shí)驗(yàn)?！苯ㄔO(shè)的深入，“以人為本”推進(jìn)信息化服務(wù)，促進(jìn)教育教學(xué)方面的改革，實(shí)現(xiàn)校園的智能化管理及服務(wù)，這對(duì)我校的信息化、數(shù)字化水平和校園網(wǎng)絡(luò)升級(jí)、改造提出了迫切要求。

2 校園網(wǎng)絡(luò)現(xiàn)狀和問題分析

隨著學(xué)校的建設(shè)和發(fā)展，先后對(duì)部分網(wǎng)絡(luò)和設(shè)備進(jìn)行過改造，不斷完善校園基礎(chǔ)網(wǎng)絡(luò)，數(shù)字化校園建設(shè)也取得了階段性成果。經(jīng)過近十年的發(fā)展，學(xué)校已建成一個(gè)以光纖為主干，覆蓋學(xué)校辦公區(qū)、教學(xué)區(qū)、宿舍區(qū)等所有建筑的園區(qū)網(wǎng)絡(luò)。共有交換機(jī)100多臺(tái)，實(shí)現(xiàn)教學(xué)區(qū)域樓棟主干網(wǎng)絡(luò)達(dá)萬(wàn)兆，其他區(qū)域樓棟主干網(wǎng)絡(luò)達(dá)千兆；網(wǎng)絡(luò)接入信息點(diǎn)3800多個(gè)，接入計(jì)算機(jī)近3000臺(tái)，校園網(wǎng)絡(luò)出口接入電信專線光纖，帶寬450M；采用銳捷RG-EG1000M網(wǎng)關(guān)為網(wǎng)絡(luò)提供安全控制和接入管理；建設(shè)有課程資源庫(kù)、教學(xué)資源庫(kù)等共享資源；部署了教務(wù)管理、資產(chǎn)管理、財(cái)務(wù)管理、辦公OA等管理信息系統(tǒng)軟件；還建有校園數(shù)字安防監(jiān)控、校園一卡通、校園廣播等應(yīng)用系統(tǒng)，升級(jí)改造前的校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 升級(jí)改造前的網(wǎng)絡(luò)拓?fù)?/p>

對(duì)照《教育部教育信息化十年發(fā)展規(guī)劃（2011-2020）》、《職業(yè)院校數(shù)字校園建設(shè)規(guī)范》（教職成函[2015]1號(hào)）；結(jié)合我校“十三五”發(fā)展規(guī)劃，將信息化滲入教育、教學(xué)、管理、服務(wù)等各方面，建成適應(yīng)社會(huì)發(fā)展需求、產(chǎn)教深度融合、具有我校特色、國(guó)家水平的現(xiàn)代職業(yè)學(xué)校的要求，目前學(xué)校數(shù)字化校園建設(shè)還存在較大的差距，綜合分析主要存在以下問題。

（1）校園網(wǎng)絡(luò)出口安全設(shè)備型號(hào)老舊，隨著學(xué)校信息化應(yīng)用的增加，處理能力明顯不足，安全性差，受到外部網(wǎng)絡(luò)的攻擊滲透和入侵的風(fēng)險(xiǎn)增大。

（2）校園骨干網(wǎng)絡(luò)設(shè)備和主干鏈路為單點(diǎn)設(shè)計(jì)，無(wú)冗余，校園網(wǎng)絡(luò)的穩(wěn)定性和可靠性無(wú)法保障。

（3）網(wǎng)絡(luò)設(shè)備數(shù)量多、應(yīng)用故障隱患難以發(fā)現(xiàn)，缺少專業(yè)運(yùn)維手段對(duì)整網(wǎng)進(jìn)行實(shí)時(shí)監(jiān)控、故障定位。隨著學(xué)校應(yīng)用服務(wù)的增加，設(shè)備在使用過程中出現(xiàn)問題后，技術(shù)人員采用原始的方法對(duì)設(shè)備逐一進(jìn)行排查，難度大、效率低。

（4）管理手段欠缺，網(wǎng)絡(luò)應(yīng)用高峰時(shí)，校園網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)速度慢，缺乏快速、可靠的流量管理解決方案，影響辦公應(yīng)用和教學(xué)的正常開展。

（5）網(wǎng)絡(luò)層次結(jié)構(gòu)不清晰，管理不到位，出現(xiàn)私自接入無(wú)線路由器造成網(wǎng)絡(luò)環(huán)路等問題。

3 校園網(wǎng)絡(luò)升級(jí)改造方案設(shè)計(jì)

3.1 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

根據(jù)我?！堵殬I(yè)院校數(shù)字校園建設(shè)實(shí)驗(yàn)校實(shí)施方案》為指導(dǎo)思想，基于校園信息化建設(shè)的網(wǎng)絡(luò)安全、網(wǎng)絡(luò)應(yīng)用及管理等需求，對(duì)原有校園網(wǎng)絡(luò)的出口設(shè)備、核心和匯聚相關(guān)設(shè)備進(jìn)行替換、遷移，做到設(shè)計(jì)合理、層次分明，采用VLAN劃分多個(gè)相互獨(dú)立的子網(wǎng)，通過匯聚層接入核心層實(shí)現(xiàn)校園網(wǎng)絡(luò)的互訪互通。升級(jí)改造后的網(wǎng)絡(luò)拓?fù)淙鐖D2所示。

圖2 升級(jí)改造后的網(wǎng)絡(luò)拓?fù)?/p>

校園網(wǎng)采用三層網(wǎng)絡(luò)架構(gòu)方式，從邏輯上可以分為三個(gè)層次：核心層、匯聚層、接入層。

3.1.1網(wǎng)絡(luò)核心層設(shè)計(jì)

升級(jí)校園核心層網(wǎng)絡(luò)設(shè)備為雙核心網(wǎng)絡(luò)，新增兩臺(tái)高端多業(yè)務(wù)核心三層交換機(jī)，將原核心設(shè)備H3C S7506ES下移作為教學(xué)樓等區(qū)域匯聚。核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，具有良好的冗余能力、可靠性和高速的傳輸能力。為滿足其要求，核心層設(shè)計(jì)主要采取以下措施。

（1）采用交換機(jī)虛擬化技術(shù)。將兩臺(tái)核心交換機(jī)虛擬化成一臺(tái)設(shè)備，兩臺(tái)核心設(shè)備之間通過兩條萬(wàn)兆光纖線路捆綁做鏈路聚合。

（2）主干鏈路冗余，確保網(wǎng)絡(luò)可靠性。各區(qū)域匯聚層設(shè)備根據(jù)實(shí)際應(yīng)用需求分別與兩臺(tái)核心設(shè)備通過雙萬(wàn)兆或千兆鏈路互聯(lián)，保證主干網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)目煽啃浴?/p>

（3）各類策略配置盡量簡(jiǎn)化。核心設(shè)備盡量不要使用策略路由、ACL等配置，從而保證核心層實(shí)現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)及可靠性。

3.1.2匯聚層設(shè)計(jì)

匯聚層介于網(wǎng)絡(luò)核心層和接入層之間，匯聚層具有實(shí)施策略、安全、VLAN之間的路由、源地址或目的地址過濾等多種功能，在本層采用三層交換機(jī)，可以很好區(qū)分網(wǎng)絡(luò)和劃分子部門。本次網(wǎng)絡(luò)改造，將原網(wǎng)絡(luò)以單一建筑為單位形成匯聚區(qū)的模式，根據(jù)學(xué)校信息化應(yīng)用需求和建筑布局，對(duì)物理環(huán)境有效區(qū)域進(jìn)行了匯聚層劃分，具體實(shí)現(xiàn)方法如圖2所示，將所有教學(xué)樓和食堂、活動(dòng)中心、學(xué)生宿舍等樓宇形成一個(gè)匯聚區(qū)；汽車、機(jī)電、旅烹實(shí)訓(xùn)樓形成一個(gè)匯聚區(qū)；數(shù)控、圖書樓形成一個(gè)匯聚區(qū)；商貿(mào)、經(jīng)管實(shí)樓形成一個(gè)匯聚區(qū)；行政辦公樓和計(jì)算機(jī)實(shí)訓(xùn)樓應(yīng)用信息點(diǎn)較多，各自單獨(dú)形成一個(gè)匯聚區(qū)。各樓匯聚設(shè)備分別以雙路由模式與骨干區(qū)域核心設(shè)備連接，確保匯聚區(qū)與核心區(qū)的連接可靠性。

3.1.3接入層設(shè)計(jì)

用戶工作站通過接入層交換機(jī)連接網(wǎng)絡(luò)。將接入層存在的二級(jí)或二級(jí)以上級(jí)聯(lián)組網(wǎng)方式改造成一級(jí)級(jí)聯(lián)方式，即接入交換機(jī)直接上聯(lián)到匯聚交換機(jī)，保證各層樓交換機(jī)的上聯(lián)帶寬。

3.1.4互聯(lián)網(wǎng)出口

新增聯(lián)通100M光纖專線，使網(wǎng)絡(luò)出口具備冗余功能，當(dāng)某條營(yíng)運(yùn)商光纖故障時(shí)，不影響訪問外網(wǎng)；通過出口設(shè)備的應(yīng)用分流來(lái)進(jìn)行均衡，讓聯(lián)通和電信相關(guān)業(yè)務(wù)走各自的專線，提高上網(wǎng)的速度。

3.2 路由設(shè)計(jì)

通過改造，校園網(wǎng)由單核心變成了一個(gè)由兩個(gè)核心、各區(qū)域匯聚和各層接入交換機(jī)構(gòu)成的三層網(wǎng)絡(luò)結(jié)構(gòu)。網(wǎng)絡(luò)核心節(jié)點(diǎn)和各匯聚節(jié)點(diǎn)間采用OSPF路由協(xié)議進(jìn)行連接，組成主干區(qū)（area0）,在核心設(shè)備中實(shí)現(xiàn)路由匯總，并為其他各應(yīng)用區(qū)域提供路由信息交換的高速度通道。

3.3 流量管理設(shè)計(jì)

針對(duì)學(xué)校網(wǎng)絡(luò)現(xiàn)狀和實(shí)際需求，本次升級(jí)改造方案采用H3C的智能應(yīng)用網(wǎng)關(guān)ACG1000-E作為流量管理設(shè)備，以透明模式串聯(lián)部署在出口防火墻和內(nèi)網(wǎng)核心交換機(jī)之間，實(shí)現(xiàn)面向用戶和應(yīng)用的流量管理，通過帶寬限速、用戶應(yīng)用策略進(jìn)行管控，特別是在上網(wǎng)高峰時(shí)段為重要的網(wǎng)絡(luò)應(yīng)用提供資源保障。

3.4 鏈路負(fù)載均衡設(shè)計(jì)

校園網(wǎng)絡(luò)出口采用一臺(tái)H3C高性能的下一代防火墻F1080，集成鏈路負(fù)載均衡特性，通過鏈路狀態(tài)檢測(cè)、鏈路繁忙保護(hù)等技術(shù)，在多運(yùn)營(yíng)商接入情況下，有效實(shí)現(xiàn)學(xué)?；ヂ?lián)網(wǎng)出口的多鏈路自動(dòng)均衡和自動(dòng)切換。

3.5 網(wǎng)絡(luò)安全防范

網(wǎng)絡(luò)出口部署防火墻有效地將內(nèi)網(wǎng)與外網(wǎng)進(jìn)行隔離，保護(hù)校園網(wǎng)絡(luò)內(nèi)的服務(wù)器和用戶不受未經(jīng)授權(quán)的第三方侵入；采用IPSEC VPN或SSL VPN方式來(lái)滿足校外用戶的遠(yuǎn)程訪問安裝。防火墻具有高精度、高效率的入侵檢測(cè)引擎，實(shí)現(xiàn)了基于精確狀態(tài)的全面檢測(cè)，具有極高的入侵檢測(cè)精度；實(shí)時(shí)的病毒防護(hù)，從而迅速、準(zhǔn)確查殺網(wǎng)絡(luò)流量中的病毒等惡意代碼。在Web服務(wù)器和核心交換機(jī)之間新增一臺(tái)H3C W2010-G Web防火墻，主要是對(duì)Web特有入侵方式的加強(qiáng)防護(hù)，如DDoS防護(hù)、SQL注入、XML注入、XSS等，防范數(shù)據(jù)信息泄露風(fēng)險(xiǎn)，抵御來(lái)自網(wǎng)絡(luò)的Web惡意攻擊。

3.6 網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)系統(tǒng)管理

部署H3C的IMC智能管理平臺(tái)，該平臺(tái)具有良好擴(kuò)展性，具備多廠商設(shè)備的集成管理功能，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)中的設(shè)備及鏈路等進(jìn)行實(shí)時(shí)監(jiān)控和管理，能夠?qū)崿F(xiàn)全面的故障告警、日志分析、配置管理等功能；對(duì)校園網(wǎng)及信息中心的所有設(shè)備與業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行全天候?qū)崟r(shí)監(jiān)控，對(duì)不同數(shù)據(jù)來(lái)源統(tǒng)一處理、統(tǒng)一展現(xiàn)、統(tǒng)一權(quán)限控制，大大提高網(wǎng)絡(luò)和應(yīng)用系統(tǒng)管理效率，為學(xué)校信息化教學(xué)的開展和應(yīng)用提供有力保障。

4 校園網(wǎng)絡(luò)升級(jí)改造方案實(shí)現(xiàn)

4.1 網(wǎng)絡(luò)設(shè)備的選型

為確保校園網(wǎng)具備良好性能、高安全性、高可靠性和擴(kuò)展性，新增2臺(tái)三層核心交換機(jī)H3C S7510E ，滿足數(shù)據(jù)中心高性能等網(wǎng)絡(luò)突發(fā)流量的要求，實(shí)現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)。為提高數(shù)據(jù)處理能力，新增5臺(tái)H3C S5560X-30C-EI三層交換機(jī)作為教學(xué)樓、實(shí)訓(xùn)樓等樓宇的匯聚設(shè)備；本著“少花錢，多辦事”的原則，節(jié)約改造資金，根據(jù)學(xué)校實(shí)際使用情況，換下的交換機(jī)可以利舊，給汽車、機(jī)電、旅烹實(shí)訓(xùn)樓使用，提升數(shù)據(jù)處理能力；對(duì)于食堂、學(xué)生宿舍等網(wǎng)絡(luò)應(yīng)用較少的樓宇可使用原有設(shè)備。

采用H3C高性能的下一代防火墻F1080和智能應(yīng)用網(wǎng)關(guān)ACG1000-E替換原有網(wǎng)絡(luò)出口設(shè)備，新設(shè)備具有出色的安全性、可靠性和強(qiáng)大的吞吐量，以滿足學(xué)校快速訪問互聯(lián)網(wǎng)的需求。

4.2 VLAN網(wǎng)段與IP地址的規(guī)劃

原校園網(wǎng)采用172.16.X.0/24地址，VLAN和IP地址沒有統(tǒng)一規(guī)劃，新增區(qū)域就任意劃個(gè)VLAN，分配一個(gè)IP地址段來(lái)使用，隨著學(xué)校的信息化設(shè)備的不斷增加，造成IP地址分配的連續(xù)性、可擴(kuò)充性差，不便于管理。根據(jù)學(xué)校實(shí)際應(yīng)用，按部門、系部和樓宇來(lái)劃分VLAN，對(duì)IP地址重新進(jìn)行調(diào)整分配，部分VLAN劃分與IP分配如表1所示。升級(jí)改造后的校園網(wǎng)絡(luò)IP主要分為以下幾種類型。

（1）設(shè)備間互聯(lián)地址。規(guī)劃時(shí)一般將某個(gè)網(wǎng)段IP地址使用30位掩碼進(jìn)行劃分，確保設(shè)備間互聯(lián)IP地址的唯一性和連續(xù)性，便于今后的管理。

（2）設(shè)備管理地址。采用10.10.X.0/24地址。按行政辦公區(qū)、教學(xué)區(qū)、實(shí)訓(xùn)區(qū)、服務(wù)器區(qū)、宿舍區(qū)等進(jìn)行分區(qū)劃分。

（3）終端用戶接入地址。根據(jù)部門和樓宇區(qū)域不同，采用172.16.X.0/24、172.17.X.0/24依次順序劃分，如行政辦公I(xiàn)P地址段172.16.X.0/24；信息系IP地址段172.17.X.0/24；商貿(mào)系IP地址段172.18.X.0/24等，各系部辦公室、實(shí)訓(xùn)樓的信息化設(shè)備如計(jì)算機(jī)、交互一體機(jī)設(shè)備等均使用本系部IP段，便于今后維護(hù)網(wǎng)絡(luò)時(shí)，可通過IP地址快速定位設(shè)備的位置，及時(shí)進(jìn)行處理。所有的內(nèi)網(wǎng)用戶通過出口設(shè)備統(tǒng)一進(jìn)行NAT轉(zhuǎn)換成公網(wǎng)地址訪問外網(wǎng)。

表1 部分VLAN劃分與IP分配

4.3 設(shè)備配置的相關(guān)策略

（1）核心交換機(jī)虛擬化配置

兩臺(tái)核心交換機(jī)通過IRF物理端口連接起來(lái)形成一臺(tái)虛擬的邏輯設(shè)備，用戶對(duì)這臺(tái)虛擬設(shè)備進(jìn)行管理，來(lái)實(shí)現(xiàn)對(duì)虛擬設(shè)備中所有物理設(shè)備的管理。

system-view

[SW-1]irf member 1 #設(shè)置SW-1的成員編號(hào)為1

[SW-1]irf member 1 priority 2 #設(shè)置優(yōu)先級(jí)為2，默認(rèn)優(yōu)先級(jí)為1；

Priority 值大的則為MASTER，值小的為SLAVE。

[SW-1]irf-port 1 #創(chuàng)建IRF端口為1

[SW-1-irf-port1]portgroupinterfaceten-gigabiteth- enet3/0/1

# 將IRF端口1與物理端口Ten-GigabitEthernet3/0/1綁定

[SW-1-irf-port1]portgroupinterfaceten-gigabit-eth- ernet3/0/2

# 將IRF端口1與物理端口Ten-GigabitEthernet?3/0/2綁定

[SW-1]chassis convert mode irf #將設(shè)備運(yùn)行模式切換到IRF模式

（2）端口隔離配置

學(xué)校有一些部門，各個(gè)員工負(fù)責(zé)不同的業(yè)務(wù)，各員工之間需要信息安全隔離，彼此之間不能互訪，避免不必要的信息泄露。采用端口隔離特性，可以實(shí)現(xiàn)同一VLAN內(nèi)端口之間的隔離，用戶只需要將端口加入隔離組中，就可以實(shí)現(xiàn)隔離組內(nèi)端口之間二層數(shù)據(jù)的隔離，為用戶提供了更安全、更靈活的組網(wǎng)方案。

system-view

[Device] interface GigabitEthernet1/0/1

[Device-GigabitEthernet1/0/1] port-isolate enable

# 將端口GigabitEthernet1/0/1加入隔離組

[Device-GigabitEthernet1/0/1] quit

[Device] interface GigabitEthernet1/0/2

[Device-GigabitEthernet1/0/2] port-isolate enable

# 將端口GigabitEthernet1/0/2加入隔離組

（3）MSTP配置

學(xué)校早期購(gòu)買的部分交換機(jī)STP默認(rèn)是關(guān)閉的，在實(shí)際使用中由于設(shè)備的接入或人為的原因，可能會(huì)造成環(huán)路，形成廣播風(fēng)暴，導(dǎo)致網(wǎng)絡(luò)癱瘓，因此在交換機(jī)上都開啟MSTP，防止環(huán)路。

system-view

[Device]stp enable #全局模式下開啟MSTP

（4）ARP入侵檢測(cè)

當(dāng)ARP報(bào)文中源IP地址及源MAC地址的綁定關(guān)系和ARP報(bào)文的入端口及其所屬VLAN均與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)匹配，為合法ARP報(bào)文，實(shí)行報(bào)文轉(zhuǎn)發(fā)處理。

system-view

[Device]vlan 20

[Device-vlan20]arp detection enable

#開啟VLAN20內(nèi)所有端口的ARP入侵檢測(cè)功能。

5 結(jié)束語(yǔ)

在數(shù)字化校園信息化發(fā)展戰(zhàn)略中，信息技術(shù)將成為校園的一項(xiàng)核心生產(chǎn)力，成為校園教學(xué)科研各項(xiàng)核心業(yè)務(wù)的最有力的支撐點(diǎn)。通過對(duì)校園網(wǎng)絡(luò)的升級(jí)改造，網(wǎng)絡(luò)的安全性和可靠性得到了大幅度的提升，對(duì)所有網(wǎng)絡(luò)設(shè)備和用戶可以進(jìn)行實(shí)時(shí)監(jiān)測(cè)、統(tǒng)一管理，預(yù)警功能可及時(shí)快速地通知管理員網(wǎng)絡(luò)中發(fā)生的各類事件，大大提升維護(hù)和管理的效率。校園網(wǎng)的建設(shè)是一個(gè)龐大的系統(tǒng)工程，包含網(wǎng)絡(luò)基礎(chǔ)建設(shè)、網(wǎng)絡(luò)安全和信息資源建設(shè)等各個(gè)方面，作為網(wǎng)絡(luò)管理人員只有不斷學(xué)習(xí)，在實(shí)踐中更新自己的知識(shí)，提升技能水平，才能適應(yīng)當(dāng)今信息化的發(fā)展。

[1]何建新，張松明，王思琪，周文芳.校園網(wǎng)絡(luò)升級(jí)方案設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)時(shí)代，2016.

[2]段小剛，王坤.中職校園網(wǎng)絡(luò)的升級(jí)與改造[J].信息與電腦（理論版），2016.

[3]孫光懿.關(guān)于校園網(wǎng)建設(shè)的思考[J].科學(xué)技術(shù)創(chuàng)新， 2017.