崔 瑩 楊心宇 馮 輝

1.江蘇建筑職業(yè)技術(shù)學(xué)院信息與網(wǎng)絡(luò)中心；2.江蘇建筑職業(yè)技術(shù)學(xué)院信電工程學(xué)院；3.徐州市大數(shù)據(jù)分析及數(shù)據(jù)安全工程研究中心

0 引言

隨著社會(huì)的進(jìn)步和人類文明的發(fā)展，信息化已經(jīng)融入了各行各業(yè)。計(jì)算機(jī)網(wǎng)絡(luò)作為信息化平臺(tái)的重要載體，已經(jīng)經(jīng)歷了4個(gè)階段，發(fā)展為國際互聯(lián)高速計(jì)算機(jī)網(wǎng)絡(luò)時(shí)代。

在高速計(jì)算機(jī)網(wǎng)絡(luò)階段，傳統(tǒng)的組網(wǎng)拓?fù)浣Y(jié)構(gòu)已無法滿足當(dāng)代高校的網(wǎng)絡(luò)使用需求。傳統(tǒng)組網(wǎng)模式下，計(jì)算機(jī)通過基本的交換路由設(shè)備連接在一起，無線應(yīng)用尚未普及，網(wǎng)絡(luò)安全方面也缺乏完整的部署。校園網(wǎng)的計(jì)算機(jī)共用一個(gè)帶寬，若接入過多的計(jì)算機(jī)，則會(huì)導(dǎo)致網(wǎng)絡(luò)帶寬不足，容易經(jīng)常發(fā)生網(wǎng)絡(luò)崩潰。所以，需要改變?cè)薪M網(wǎng)布局，轉(zhuǎn)變?yōu)樾切屯負(fù)浠蛘呋旌贤負(fù)?，才能使之進(jìn)入高速計(jì)算機(jī)網(wǎng)絡(luò)階段，以便更好地適應(yīng)現(xiàn)代高校的用網(wǎng)需求，并轉(zhuǎn)變?yōu)橹腔坌@網(wǎng)絡(luò)布局。因此，普遍高校開始采用星型結(jié)構(gòu)拓?fù)?，樓宇之間采用光纖通信，大致為百兆帶寬。普通小面積的校園網(wǎng)絡(luò)中心大致配有十幾臺(tái)交換機(jī)、幾臺(tái)路由器跟網(wǎng)關(guān)，并在網(wǎng)關(guān)或者路由器上布置防火墻，不再是單獨(dú)擁有一套安全設(shè)備；面積稍大的校園網(wǎng)絡(luò)中心則擁有幾十臺(tái)交換機(jī)、幾十臺(tái)路由器、網(wǎng)關(guān)以及一整套完善的防火墻設(shè)備。校園面積越大，可容納的學(xué)生數(shù)量以及老師數(shù)量就越多，以至于用網(wǎng)需求更大，涉及的數(shù)據(jù)信息也就越多，更需要對(duì)入網(wǎng)用戶的安全采取保護(hù)措施。

現(xiàn)在，高校的網(wǎng)絡(luò)中心除了有交換機(jī)、路由器、網(wǎng)關(guān)、防火墻等，還擁有幾臺(tái)或者十幾臺(tái)屬于學(xué)校的服務(wù)器，部署著學(xué)校官網(wǎng)、學(xué)校教務(wù)系統(tǒng)、學(xué)校管理系統(tǒng)等數(shù)據(jù)信息，存儲(chǔ)著學(xué)校所有的核心信息，因此，更加需要加強(qiáng)對(duì)組網(wǎng)布局安全的維護(hù)。

各高校正在走向搭建智慧校園的道路，搭建一個(gè)移動(dòng)網(wǎng)絡(luò)無縫互通、海量數(shù)據(jù)智能支撐的網(wǎng)絡(luò)體系構(gòu)架，讓校園處處有網(wǎng)，從而打造無處不在的網(wǎng)絡(luò)學(xué)習(xí)、透明高效的校務(wù)治理、方便周到的校園生活。簡而言之，“要做一個(gè)安全、穩(wěn)定、方便、融洽的校園”，由此可知，設(shè)計(jì)構(gòu)思智慧校園網(wǎng)，是對(duì)網(wǎng)絡(luò)骨干和網(wǎng)絡(luò)安全方面作出合理的、有延展性的規(guī)劃。

1 高校智慧校園網(wǎng)絡(luò)特點(diǎn)

智慧校園的網(wǎng)絡(luò)特色可分為：移動(dòng)網(wǎng)絡(luò)無縫互通，海量數(shù)據(jù)智能支撐。這體現(xiàn)了不同于以往的傳統(tǒng)網(wǎng)絡(luò)體系，而是從根本上改變了傳統(tǒng)的組網(wǎng)布局，順應(yīng)時(shí)代的發(fā)展，使得高校網(wǎng)絡(luò)布局變得越來越具有可擴(kuò)展性以及科學(xué)合理性。

1.1 智慧移動(dòng)網(wǎng)絡(luò)無縫銜接

智慧校園的構(gòu)建少不了網(wǎng)絡(luò)技術(shù)的支持。校園內(nèi)設(shè)置成千上萬個(gè)無線訪問接入點(diǎn)（AP），有利于師生隨時(shí)隨地互動(dòng)與交流，不再受限于空間距離；在無縫互通上，利用無線接入控制器（AC）具有的多個(gè)端口，連接多個(gè)AP，將每個(gè)移動(dòng)熱點(diǎn)（WiFi）圈重疊1/8，使之從一個(gè)AP下移動(dòng)到另一個(gè)AP下范圍內(nèi)時(shí)可以無縫銜接，并自動(dòng)連接到新區(qū)域的WiFi。而不必再像以往一樣每更換一個(gè)區(qū)域就必須重新連接WiFi，或在中間某段距離中幾乎沒有網(wǎng)絡(luò)連接。由此，徹底打破了常規(guī)校園的局限性，提高了數(shù)據(jù)信息的及時(shí)通信性，做到移動(dòng)網(wǎng)絡(luò)的無縫互通。

1.2 海量數(shù)據(jù)智能支撐

智慧校園網(wǎng)穩(wěn)定、可靠地支持海量數(shù)據(jù)的流通?？煽啃詮?qiáng)的網(wǎng)絡(luò)既要有很強(qiáng)的網(wǎng)絡(luò)彈性來保證故障的快速復(fù)原，也要有很高的吞吐量以保證出入流量的負(fù)載均衡。其中，虛擬路由冗余協(xié)議（VRRP）是打造網(wǎng)絡(luò)可靠性的強(qiáng)勁引擎，功能包括：（1）容錯(cuò)。當(dāng)幾臺(tái)設(shè)備聯(lián)合成為一個(gè)虛擬路由設(shè)備，一臺(tái)出現(xiàn)故障則會(huì)有其他設(shè)備接替業(yè)務(wù)，從而保證通信的連續(xù)性與可靠性。（2）網(wǎng)關(guān)冗余。一個(gè)虛擬網(wǎng)關(guān)指代兩個(gè)物理網(wǎng)關(guān)，從而提高網(wǎng)絡(luò)的可靠性。此外，堆疊技術(shù)也可為增強(qiáng)網(wǎng)絡(luò)可靠性提供助力，將多臺(tái)設(shè)備做堆疊，使其只控制一臺(tái)主設(shè)備來進(jìn)行配置操作，從而提高整體的穩(wěn)定性，促使網(wǎng)絡(luò)更加穩(wěn)定、可靠，從而更好地對(duì)高校未來的整體規(guī)劃做出科學(xué)、合理的決策。

2 智慧校園網(wǎng)絡(luò)設(shè)計(jì)

智慧校園整體網(wǎng)絡(luò)設(shè)計(jì)如圖1所示，其包括核心層、匯聚層、接入層、用戶群區(qū)域、防火墻區(qū)域和服務(wù)器群區(qū)域。其中，骨干網(wǎng)絡(luò)部分包括核心層、匯聚層、接入層、用戶群區(qū)域，網(wǎng)絡(luò)安全部分是防火墻區(qū)域。本文將對(duì)這兩部分進(jìn)行規(guī)劃設(shè)計(jì)。

圖1 整體網(wǎng)絡(luò)設(shè)計(jì)

2.1 智慧校園網(wǎng)絡(luò)總體設(shè)計(jì)

2.1.1 核心層設(shè)計(jì)

核心層位于整個(gè)網(wǎng)絡(luò)拓?fù)涞淖钌蠈哟?，主要?fù)責(zé)運(yùn)行和管理，可靠、快捷地向大規(guī)模網(wǎng)絡(luò)中傳輸信息數(shù)據(jù)。用戶的請(qǐng)求信息都是在匯聚層，并對(duì)數(shù)據(jù)進(jìn)行處理，如果有需要，匯聚層就把請(qǐng)求發(fā)送到核心層。如果該層出現(xiàn)故障，將會(huì)影響到每個(gè)用戶，因此，容錯(cuò)性比較重要，在核心層應(yīng)避免任何影響通信流量的事情，建議做一些收斂時(shí)間短的路由協(xié)議幫助通信。

針對(duì)本文設(shè)計(jì)的如圖1所示的高校智慧校園網(wǎng)，推薦使用OSPF路由協(xié)議，支持CIDR、VLSW和不連續(xù)的網(wǎng)絡(luò)，其適用范圍廣，對(duì)管理員的配置管理也方便快捷。若拓?fù)浞植紖^(qū)域多，使用該路由協(xié)議可方便標(biāo)識(shí)分區(qū)。當(dāng)某局部網(wǎng)絡(luò)出現(xiàn)問題，便可按照劃分的區(qū)域找到故障，并快速解決。在核心層路由器，首先，規(guī)劃是配置進(jìn)程號(hào)，若不標(biāo)記進(jìn)程號(hào)，一般默認(rèn)為0，在此給其配置為進(jìn)程10，即在配置命令行輸入“ospf 10”；其次，進(jìn)行區(qū)域ID設(shè)置，區(qū)域默認(rèn)從0開始，即第一個(gè)區(qū)域設(shè)置為區(qū)域0，若網(wǎng)絡(luò)拓?fù)溆卸鄩K區(qū)域，則ID值依次遞增，以便區(qū)分不同區(qū)域，方便日后排除故障；最后，宣告該區(qū)域所在網(wǎng)斷的反子網(wǎng)掩碼，以建立路由表。每臺(tái)路由器里不同的區(qū)域都需宣告，從而建立完整的路由表，以便數(shù)據(jù)流通。

2.1.2 匯聚層設(shè)計(jì)

匯聚層也稱工作組層，是上下兩層之間的通信，需要啟到防環(huán)以及對(duì)多個(gè)設(shè)備進(jìn)行統(tǒng)一管理。因此，在匯聚層，一般是虛擬路由冗余協(xié)議（Virtual Router Redundancy Protocol，VRRP）跟多生成樹協(xié)議（Multi Spanning Tree，MSTP）交錯(cuò)使用，或是使用堆疊技術(shù)、鏈路聚合技術(shù)，從而在智慧校園網(wǎng)的構(gòu)架上，改變?cè)緭砣木W(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)網(wǎng)絡(luò)拓?fù)涞目焖偈諗?，進(jìn)而提升網(wǎng)絡(luò)數(shù)據(jù)的吞吐量，實(shí)現(xiàn)海量數(shù)據(jù)的智能支撐。

在匯聚層的網(wǎng)絡(luò)構(gòu)建中，應(yīng)把接入層的設(shè)備進(jìn)行VLAN劃分、DHCP的啟動(dòng)配置，再在交換機(jī)中使用VRRP協(xié)議、MSTP協(xié)議以及鏈路聚合技術(shù)進(jìn)行搭建。

首先，進(jìn)行鏈路聚合，創(chuàng)建聚合組，將其聚合模式改為手工模式，再將接口成員加入到聚合組之中，并綁定TRUNK口，允許VLAN通過。

其次，在交換機(jī)中進(jìn)行MSTP協(xié)議的配置。進(jìn)入MST域視圖，修訂級(jí)別為1，再指定兩條實(shí)例允許不同的VLAN通過，例如“instance 1 vlan 10”即實(shí)例1允許vlan10通過；激活MST域配置，對(duì)兩個(gè)實(shí)例進(jìn)行優(yōu)先級(jí)分配，一個(gè)為primary，另一個(gè)為secondary；匯聚層兩條交換機(jī)里的兩個(gè)實(shí)例的優(yōu)先級(jí)是相對(duì)的。

最后，在兩個(gè)交換機(jī)里配置VRRP協(xié)議，在進(jìn)入交換機(jī)的vlan10接口創(chuàng)建VRRP備份組，備份組號(hào)為1，虛擬IP為xxx.xx.1.254，分配優(yōu)先級(jí)為120，接口全局啟用DHCP；再進(jìn)入vlan20接口創(chuàng)建VRRP備份組，備份組號(hào)為2，虛擬IP為xxx.xx.2.254，接口全局啟用DHCP；對(duì)VRRP虛擬組1配置接口認(rèn)證，認(rèn)證方式為MD5，密碼為huawei，以增強(qiáng)安全性。

2.1.3 接入層設(shè)計(jì)

接入層是控制智慧校園網(wǎng)用戶和工作組對(duì)互聯(lián)網(wǎng)絡(luò)資源進(jìn)行訪問的。大多數(shù)用戶所需要的資源在本地就可以得到，分配層設(shè)備處理遠(yuǎn)程服務(wù)的數(shù)據(jù)流。接入層的功能：連續(xù)的訪問控制和策略（對(duì)分配層的延續(xù)）；創(chuàng)建分隔的沖突域，即創(chuàng)建不同的VLAN區(qū)域，把用戶與用戶、服務(wù)器與服務(wù)器各自劃分區(qū)域，避免相互干擾影響正常通信。為確保工作組到分配層的互通性，需在接入層配置一些ACCSEE口和TRANK口，允許VLAN通過。

在接入層，可以對(duì)向下的接口進(jìn)行設(shè)置，綁定為ACCESS口，對(duì)向上的接口綁定為TRUNK口。此外，在AC的配置區(qū)域，可以進(jìn)行如下操作：首先，進(jìn)入WLAN模式，定義模板域、國家名稱、設(shè)置組，綁定定義模板以及定義認(rèn)證模式。其次，等待AP上線。如果AP數(shù)量不是很多，可以采取手動(dòng)上線的方法，把AP的MAC地址綁定在AC中；AP上線后，配置WiFi的安全模板、定義密碼、分配給定用戶權(quán)限，再配置SSID模板。最后，設(shè)置WLAN射頻，待全配置結(jié)束，WiFi的輻射圈就形成了，就到處都有WiFi信號(hào)。在WiFi范圍內(nèi)，只要每天輸入一次賬號(hào)和密碼，即可連通互聯(lián)網(wǎng)，并且當(dāng)從一個(gè)AP范圍移動(dòng)到另一個(gè)AP范圍，將會(huì)自動(dòng)切換登錄，難以察覺到網(wǎng)絡(luò)轉(zhuǎn)換，沒有網(wǎng)絡(luò)遲鈍。為安全起見，此賬號(hào)僅限高校師生使用。

在智慧校園網(wǎng)的網(wǎng)絡(luò)拓?fù)湟?guī)劃下，校園里每隔一定距離就放置一臺(tái)AP，使移動(dòng)網(wǎng)絡(luò)無縫互聯(lián)。此外，骨干網(wǎng)絡(luò)已設(shè)計(jì)出雛形，還需要確保網(wǎng)絡(luò)安全來加固整體結(jié)構(gòu)，防護(hù)師生在校用網(wǎng)安全。

2.2 智慧校園網(wǎng)絡(luò)安全設(shè)計(jì)

高校智慧校園網(wǎng)的周邊安全，需要用防火墻來對(duì)內(nèi)部骨干網(wǎng)絡(luò)進(jìn)行保護(hù)。本文設(shè)計(jì)的高校智慧校園網(wǎng)可以采用雙臺(tái)防火墻，一個(gè)為主防火墻，一個(gè)為輔助防火墻。主防火墻與輔助防火墻里都相互備份對(duì)方的配置，當(dāng)主防火墻出現(xiàn)問題，輔助防火墻及時(shí)啟用主防火墻里的規(guī)則；當(dāng)輔助防火墻出現(xiàn)問題，主防火墻立即啟用輔助防火墻里的規(guī)則，以立即處理防火墻的防護(hù)問題。

關(guān)于高校智慧校園網(wǎng)的安全方面，設(shè)計(jì)如下：先在防火墻里置入安全策略視圖，然后創(chuàng)建安全策略規(guī)則，再進(jìn)入到安全策略規(guī)則視圖，配置安全策略的源安全區(qū)域和目的安全區(qū)域，再配置安全策略規(guī)則的用戶、協(xié)議類型、服務(wù)、引用的安全配置文件以及安全區(qū)域時(shí)間段。由此，實(shí)現(xiàn)對(duì)整個(gè)智慧校園網(wǎng)組網(wǎng)的保護(hù)，并營造較高安全性的保護(hù)環(huán)境，以保證用戶安全，對(duì)服務(wù)器的服務(wù)以及服務(wù)器內(nèi)的數(shù)據(jù)起到防護(hù)作用。

3 智慧校園網(wǎng)絡(luò)實(shí)現(xiàn)

智慧校園網(wǎng)絡(luò)設(shè)計(jì)實(shí)施過程中，要嚴(yán)格依照校園網(wǎng)絡(luò)設(shè)計(jì)圖。首先，搭建智慧校園網(wǎng)絡(luò)的骨干網(wǎng)絡(luò)，包括核心層、匯聚層和接入層的設(shè)備配置；其次，在校園內(nèi)各處內(nèi)外部署AP設(shè)備，再在樓宇間放置AC和接入、匯聚交換機(jī)設(shè)備；最后，在部署校園網(wǎng)絡(luò)安全方面，安置并配置防火墻設(shè)備。

本文使用華為設(shè)備來配置其骨干網(wǎng)絡(luò)、無線網(wǎng)絡(luò)和安全策略等，以實(shí)現(xiàn)高校智慧校園網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)。

3.1 骨干網(wǎng)絡(luò)的實(shí)現(xiàn)

（1）核心路由器OSPF的實(shí)現(xiàn)，在AR1、AR2、AR3的路由器中配置如下命令：

ospf 10 //進(jìn)程號(hào) 無備注則默認(rèn)為進(jìn)程1

area 0 //區(qū)域ID，配置為區(qū)域0

network 1.1.1.0 0.0.0.255 //所宣告的網(wǎng)段 反子網(wǎng)掩碼

3臺(tái)路由器屬于同一個(gè)區(qū)域0中，不同的路由器宣告不同接口所在的網(wǎng)段，因每段網(wǎng)段不同，每臺(tái)路由器中的路由表鄰居也不同，使用“display ospf peer”即可查看OSPF的鄰居狀態(tài)。

（2） 匯聚層中實(shí)現(xiàn)VLAN的劃分、DHCP服務(wù)、鏈路聚合、MSTP和VRRP協(xié)議。

第一，交換機(jī)中VLAN的劃分，分為3種區(qū)域，標(biāo)記為10，20，30。

Vlan batch 10 20 30 //劃分三個(gè)vlan ：vlan10 、vlan 20、 vlan 30

第二，DHCP服務(wù)的實(shí)現(xiàn)。主要是針對(duì)廣大師生用戶和AP設(shè)備，其租期設(shè)置較短，可提高地址的利用率，不過有些固定的辦公室有線用戶若有特殊需求，則需延長IP地址的租用期；一些無線AP接入點(diǎn)需要有永久的IP地址，所以要設(shè)置的時(shí)間為無期。

dhcp enable //開啟DHCP功能 （配置基于全局地址池的DHCP）

ip pool huawei1 //創(chuàng)建一個(gè)全局地址池,地址池名稱為huawei1

network 192.168.4.0 //動(dòng)態(tài)分配的地址范圍192.168.4.0, 如果不指定掩碼,則默認(rèn)使用自然掩碼

lease day 2 //全局地址池下的地址租期

gateway-list 192.168.4.254 //配置DHCP客戶端的網(wǎng)關(guān)地址

dns-list 8.8.8.8 //配置DNS服務(wù)器

interface GigabitEthernet 0/0/0 //進(jìn)入接口

dhcp select global //開啟接口DHCP功能,指定接口采用全局地址池為客戶端分配IP地址

第三，鏈路聚合的實(shí)現(xiàn)。智慧校園匯聚層的兩臺(tái)交換機(jī)進(jìn)行鏈路聚合，分擔(dān)出/入流量吞吐量在各成員端口的負(fù)荷。

interface Eth-Trunk 1 //配置鏈路聚合,創(chuàng)建Eth-Trunk 1

mode manual load-balance //指定為手工負(fù)載分擔(dān)模式

interface GigabitEthernet 0/0/1 //進(jìn)入兩個(gè)交換機(jī)相連接的接口

eth-trunk 1 // 加入到Eth-Trunk 1接口

interface GigabitEthernet 0/0/2 //進(jìn)入兩個(gè)交換機(jī)相連接的接口

eth-trunk 1 // 加入到Eth-Trunk 1接口

第四，MSTP的實(shí)現(xiàn)。匯聚層的兩臺(tái)交換機(jī)與接入層的交換機(jī)一同配置MSTP協(xié)議，把不同的VLAN分配到不同的實(shí)例里，統(tǒng)一規(guī)范，嚴(yán)格控制流量的流通。

stp region-configuration //配置MSTP,進(jìn)入MST域視圖

region-name huawei //配置MST域名

revision-level 1 //配置MSTP的修訂級(jí)別為1

instance 1 vlan 10 //指定VLAN 10映射到實(shí)例1

instance 2 vlan 20 30 //指定VLAN 20 30映射到實(shí)例2

active region-configuration //激活MST域配置

在交換機(jī)里都配置如上命令，再在兩個(gè)匯聚層的交換機(jī)內(nèi)給實(shí)例分配優(yōu)先級(jí)。

[S1]stp instance 1 root primary //給實(shí)例1賦予優(yōu)先級(jí)為主要的

stp instance 2 root secondary //給實(shí)例2賦予優(yōu)先級(jí)為次要的

[S2]stp instance 2 root primary //給實(shí)例2賦予優(yōu)先級(jí)為主要的

stp instance 1 root secondary //給實(shí)例1賦予優(yōu)先級(jí)為次要的

第五，VRRP的實(shí)現(xiàn)。需要在匯聚層的兩臺(tái)交換機(jī)中配置選擇容錯(cuò)協(xié)議，作為一個(gè)虛擬網(wǎng)關(guān)，實(shí)現(xiàn)路由備份。

interface Ethernet 1/0/1 //進(jìn)入上行接口

vrrp vrid 1 virtual-ip xxx.xx.1.254 //創(chuàng)建VRRP備份組,備份組號(hào)為1,虛擬IP為xxx.xx.1.254

vrrp vrid 1 priority 120 //配置優(yōu)先級(jí)為120

vrrp vrid 1 authentication-mode md5 huawei //對(duì)VRRP虛擬組1配置接口認(rèn)證,認(rèn)證方式為MD5,密碼為huawei

interface Ethernet 1/0/2 //進(jìn)入上行接口

vrrp vrid 2 virtual-ip xxx.xx.2.254 //創(chuàng)建VRRP備份組,備份組號(hào)為2,虛擬IP為xxx.xx.2.254

vrrp vrid 2 preempt-mode disable //配置虛擬組2中的搶占模式為非搶占方式，默認(rèn)為搶占模式

（3）接入層中實(shí)現(xiàn)接口配置以及AC、AP的配置。

第一，二層交換機(jī)與三層交換機(jī)相連以及二層交換機(jī)與PC端相連的接口配置：

與PC端相連，配置access口

int GigabitEthernet0/0/1 //進(jìn)入接口

port link-type access //設(shè)置端口模式為access模式

port default vlan 10 //設(shè)置端口允許通過vlan 10

與三次交換機(jī)相連，配置trunk 口

int GigabitEthernet0/0/1 //進(jìn)入接口

port link-type trunk //設(shè)置端口模式為trunk模式

port trunk allow-pass vlan all //配置端口組的端口允許通過的vlan為所有vlan

第二，無線網(wǎng)絡(luò)核心策略，包括AC的WLAN配置、SSID模板的配置以及AP的射頻。

①WLAN的配置：

Wlan //進(jìn)入WLAN視圖下

regulatory-domain-profile name default //定義模板域，國家名稱

country-code CN //國家名稱為中國

ap-group name xxregulatory-domain-profile default //設(shè)組，綁定定義模板

ap auth-mode mac-auth //定義認(rèn)證模式

mac 模式類型 //認(rèn)證模式

ap-name xxx //給ap-id 0起名字

ap-group xx //綁定組

dis ap all //查看AP上線的情況

定義兩種發(fā)出的WiFi類型，輸入密碼型與免密型。

security-profile name xx-internal //定義線上的WiFi名稱

security wpa-wpa2 psk pass-phrase 12345678 aes //定義密碼

security-profile name s1-guest //定義WiFi的名稱為普通用戶

security open //免密碼豈可登錄

②設(shè)置SSID模板：

ssid-profile name xx //上面定義的WiFi名稱

ssid xx //配置SSID名稱為xx

vap-profile name xx //定義虛擬模式

security-profile xx //引用為xx的安全模板

ssid-profile xx //配置VAP模板引用SSID模板

service-vlan vlan-id 101 (一個(gè)業(yè)務(wù)VLAN） //配置業(yè)務(wù)VLAN為VLAN101

③設(shè)置WLAN射頻：

ap-group name s1 //創(chuàng)建AP組名為s1,并進(jìn)入AP組視圖

vap-profile s1-internal wlan 1 radio 0 //給s1-internal的2.4G引用VAP模板

vap-profile s1-internal wlan 1 radio 1 //給s1-internal的5G引用VAP模板

vap-profile s1-guest wlan 2 radio 0 //給s1-guest的2.4G引用VAP模板

3.2 網(wǎng)絡(luò)安全的實(shí)現(xiàn)

為了提高智慧校園網(wǎng)絡(luò)的安全，對(duì)圖1中的兩臺(tái)防火墻進(jìn)行如下配置安全策略配置，并在兩臺(tái)防火墻里互相備份。

security_ploicy //進(jìn)入安全策略視圖

rule name rule-name //創(chuàng)建安全策略規(guī)則，并進(jìn)入安全策略規(guī)則視圖

source-zone 1 //

配置安全策略的源安全區(qū)域

destination-zone 2 //配置安全策略的目的安全區(qū)域

source-address 192.168.2.1 192.168.2.10 //配置安全策略規(guī)則的源地址

destination-address 1.1.1.1 24 //配置安全策略規(guī)則的目的地址

user user01 //配置安全策略規(guī)則的用戶

service protocol 6 tcp //指定安全策略規(guī)則的協(xié)議類型

service dns //配置安全策略規(guī)則的服務(wù)

profile data-filter //配置安全策略規(guī)則引用的內(nèi)容過濾配置文件

time-range time-range-name //創(chuàng)建時(shí)間段，并進(jìn)入時(shí)間段視圖

period-range start-time to end-time week-days 1//設(shè)置周期時(shí)間段

4 結(jié)束語

綜上所述，建設(shè)高校智慧校園網(wǎng)絡(luò)是社會(huì)進(jìn)步、信息化發(fā)展的產(chǎn)物，因此，科學(xué)合理地設(shè)計(jì)擴(kuò)展網(wǎng)絡(luò)組網(wǎng)布局、搭配相關(guān)網(wǎng)絡(luò)安全防火墻策略是必不可少的。每逢高校發(fā)起選課或者PU活動(dòng)搶取名額時(shí)，校園網(wǎng)絡(luò)便會(huì)卡頓擁擠，出現(xiàn)網(wǎng)絡(luò)堵塞，對(duì)此，應(yīng)改變網(wǎng)絡(luò)流通量的最大值，使數(shù)據(jù)冗余加大。同時(shí)，有不法分子在校園網(wǎng)絡(luò)投放apk病毒軟件，短時(shí)間內(nèi)便能傳播到校園各處，帶來許多不良影響，因此，需加強(qiáng)校園網(wǎng)絡(luò)安全。

本文豐富了對(duì)智慧校園網(wǎng)絡(luò)的認(rèn)識(shí)與了解，改變了傳統(tǒng)的網(wǎng)絡(luò)布局，使之“智在其設(shè)計(jì)，慧在其技術(shù)”，未來可能會(huì)有更高的需求。未來可研究為高鐵站、火車站、汽車站設(shè)計(jì)智慧移動(dòng)網(wǎng)絡(luò)，挑戰(zhàn)小區(qū)域低密度人口的場所。更多的研究探討必將會(huì)為智慧網(wǎng)絡(luò)的發(fā)展提供更多助力，所以不能只局限于校園，也可再為其他場所設(shè)計(jì)，擴(kuò)大智慧網(wǎng)絡(luò)技術(shù)的應(yīng)用范圍。