崔 瑩 楊心宇 馮 輝

1.江蘇建筑職業(yè)技術學院信息與網(wǎng)絡中心；2.江蘇建筑職業(yè)技術學院信電工程學院；3.徐州市大數(shù)據(jù)分析及數(shù)據(jù)安全工程研究中心

0 引言

隨著社會的進步和人類文明的發(fā)展，信息化已經(jīng)融入了各行各業(yè)。計算機網(wǎng)絡作為信息化平臺的重要載體，已經(jīng)經(jīng)歷了4個階段，發(fā)展為國際互聯(lián)高速計算機網(wǎng)絡時代。

在高速計算機網(wǎng)絡階段，傳統(tǒng)的組網(wǎng)拓撲結構已無法滿足當代高校的網(wǎng)絡使用需求。傳統(tǒng)組網(wǎng)模式下，計算機通過基本的交換路由設備連接在一起，無線應用尚未普及，網(wǎng)絡安全方面也缺乏完整的部署。校園網(wǎng)的計算機共用一個帶寬，若接入過多的計算機，則會導致網(wǎng)絡帶寬不足，容易經(jīng)常發(fā)生網(wǎng)絡崩潰。所以，需要改變原有組網(wǎng)布局，轉變?yōu)樾切屯負浠蛘呋旌贤負?，才能使之進入高速計算機網(wǎng)絡階段，以便更好地適應現(xiàn)代高校的用網(wǎng)需求，并轉變?yōu)橹腔坌@網(wǎng)絡布局。因此，普遍高校開始采用星型結構拓撲，樓宇之間采用光纖通信，大致為百兆帶寬。普通小面積的校園網(wǎng)絡中心大致配有十幾臺交換機、幾臺路由器跟網(wǎng)關，并在網(wǎng)關或者路由器上布置防火墻，不再是單獨擁有一套安全設備；面積稍大的校園網(wǎng)絡中心則擁有幾十臺交換機、幾十臺路由器、網(wǎng)關以及一整套完善的防火墻設備。校園面積越大，可容納的學生數(shù)量以及老師數(shù)量就越多，以至于用網(wǎng)需求更大，涉及的數(shù)據(jù)信息也就越多，更需要對入網(wǎng)用戶的安全采取保護措施。

現(xiàn)在，高校的網(wǎng)絡中心除了有交換機、路由器、網(wǎng)關、防火墻等，還擁有幾臺或者十幾臺屬于學校的服務器，部署著學校官網(wǎng)、學校教務系統(tǒng)、學校管理系統(tǒng)等數(shù)據(jù)信息，存儲著學校所有的核心信息，因此，更加需要加強對組網(wǎng)布局安全的維護。

各高校正在走向搭建智慧校園的道路，搭建一個移動網(wǎng)絡無縫互通、海量數(shù)據(jù)智能支撐的網(wǎng)絡體系構架，讓校園處處有網(wǎng)，從而打造無處不在的網(wǎng)絡學習、透明高效的校務治理、方便周到的校園生活。簡而言之，“要做一個安全、穩(wěn)定、方便、融洽的校園”，由此可知，設計構思智慧校園網(wǎng)，是對網(wǎng)絡骨干和網(wǎng)絡安全方面作出合理的、有延展性的規(guī)劃。

1 高校智慧校園網(wǎng)絡特點

智慧校園的網(wǎng)絡特色可分為：移動網(wǎng)絡無縫互通，海量數(shù)據(jù)智能支撐。這體現(xiàn)了不同于以往的傳統(tǒng)網(wǎng)絡體系，而是從根本上改變了傳統(tǒng)的組網(wǎng)布局，順應時代的發(fā)展，使得高校網(wǎng)絡布局變得越來越具有可擴展性以及科學合理性。

1.1 智慧移動網(wǎng)絡無縫銜接

智慧校園的構建少不了網(wǎng)絡技術的支持。校園內設置成千上萬個無線訪問接入點（AP），有利于師生隨時隨地互動與交流，不再受限于空間距離；在無縫互通上，利用無線接入控制器（AC）具有的多個端口，連接多個AP，將每個移動熱點（WiFi）圈重疊1/8，使之從一個AP下移動到另一個AP下范圍內時可以無縫銜接，并自動連接到新區(qū)域的WiFi。而不必再像以往一樣每更換一個區(qū)域就必須重新連接WiFi，或在中間某段距離中幾乎沒有網(wǎng)絡連接。由此，徹底打破了常規(guī)校園的局限性，提高了數(shù)據(jù)信息的及時通信性，做到移動網(wǎng)絡的無縫互通。

1.2 海量數(shù)據(jù)智能支撐

智慧校園網(wǎng)穩(wěn)定、可靠地支持海量數(shù)據(jù)的流通。可靠性強的網(wǎng)絡既要有很強的網(wǎng)絡彈性來保證故障的快速復原，也要有很高的吞吐量以保證出入流量的負載均衡。其中，虛擬路由冗余協(xié)議（VRRP）是打造網(wǎng)絡可靠性的強勁引擎，功能包括：（1）容錯。當幾臺設備聯(lián)合成為一個虛擬路由設備，一臺出現(xiàn)故障則會有其他設備接替業(yè)務，從而保證通信的連續(xù)性與可靠性。（2）網(wǎng)關冗余。一個虛擬網(wǎng)關指代兩個物理網(wǎng)關，從而提高網(wǎng)絡的可靠性。此外，堆疊技術也可為增強網(wǎng)絡可靠性提供助力，將多臺設備做堆疊，使其只控制一臺主設備來進行配置操作，從而提高整體的穩(wěn)定性，促使網(wǎng)絡更加穩(wěn)定、可靠，從而更好地對高校未來的整體規(guī)劃做出科學、合理的決策。

2 智慧校園網(wǎng)絡設計

智慧校園整體網(wǎng)絡設計如圖1所示，其包括核心層、匯聚層、接入層、用戶群區(qū)域、防火墻區(qū)域和服務器群區(qū)域。其中，骨干網(wǎng)絡部分包括核心層、匯聚層、接入層、用戶群區(qū)域，網(wǎng)絡安全部分是防火墻區(qū)域。本文將對這兩部分進行規(guī)劃設計。

圖1 整體網(wǎng)絡設計

2.1 智慧校園網(wǎng)絡總體設計

2.1.1 核心層設計

核心層位于整個網(wǎng)絡拓撲的最上層次，主要負責運行和管理，可靠、快捷地向大規(guī)模網(wǎng)絡中傳輸信息數(shù)據(jù)。用戶的請求信息都是在匯聚層，并對數(shù)據(jù)進行處理，如果有需要，匯聚層就把請求發(fā)送到核心層。如果該層出現(xiàn)故障，將會影響到每個用戶，因此，容錯性比較重要，在核心層應避免任何影響通信流量的事情，建議做一些收斂時間短的路由協(xié)議幫助通信。

針對本文設計的如圖1所示的高校智慧校園網(wǎng)，推薦使用OSPF路由協(xié)議，支持CIDR、VLSW和不連續(xù)的網(wǎng)絡，其適用范圍廣，對管理員的配置管理也方便快捷。若拓撲分布區(qū)域多，使用該路由協(xié)議可方便標識分區(qū)。當某局部網(wǎng)絡出現(xiàn)問題，便可按照劃分的區(qū)域找到故障，并快速解決。在核心層路由器，首先，規(guī)劃是配置進程號，若不標記進程號，一般默認為0，在此給其配置為進程10，即在配置命令行輸入“ospf 10”；其次，進行區(qū)域ID設置，區(qū)域默認從0開始，即第一個區(qū)域設置為區(qū)域0，若網(wǎng)絡拓撲有多塊區(qū)域，則ID值依次遞增，以便區(qū)分不同區(qū)域，方便日后排除故障；最后，宣告該區(qū)域所在網(wǎng)斷的反子網(wǎng)掩碼，以建立路由表。每臺路由器里不同的區(qū)域都需宣告，從而建立完整的路由表，以便數(shù)據(jù)流通。

2.1.2 匯聚層設計

匯聚層也稱工作組層，是上下兩層之間的通信，需要啟到防環(huán)以及對多個設備進行統(tǒng)一管理。因此，在匯聚層，一般是虛擬路由冗余協(xié)議（Virtual Router Redundancy Protocol，VRRP）跟多生成樹協(xié)議（Multi Spanning Tree，MSTP）交錯使用，或是使用堆疊技術、鏈路聚合技術，從而在智慧校園網(wǎng)的構架上，改變原本擁塞的網(wǎng)絡環(huán)境，實現(xiàn)網(wǎng)絡拓撲的快速收斂，進而提升網(wǎng)絡數(shù)據(jù)的吞吐量，實現(xiàn)海量數(shù)據(jù)的智能支撐。

在匯聚層的網(wǎng)絡構建中，應把接入層的設備進行VLAN劃分、DHCP的啟動配置，再在交換機中使用VRRP協(xié)議、MSTP協(xié)議以及鏈路聚合技術進行搭建。

首先，進行鏈路聚合，創(chuàng)建聚合組，將其聚合模式改為手工模式，再將接口成員加入到聚合組之中，并綁定TRUNK口，允許VLAN通過。

其次，在交換機中進行MSTP協(xié)議的配置。進入MST域視圖，修訂級別為1，再指定兩條實例允許不同的VLAN通過，例如“instance 1 vlan 10”即實例1允許vlan10通過；激活MST域配置，對兩個實例進行優(yōu)先級分配，一個為primary，另一個為secondary；匯聚層兩條交換機里的兩個實例的優(yōu)先級是相對的。

最后，在兩個交換機里配置VRRP協(xié)議，在進入交換機的vlan10接口創(chuàng)建VRRP備份組，備份組號為1，虛擬IP為xxx.xx.1.254，分配優(yōu)先級為120，接口全局啟用DHCP；再進入vlan20接口創(chuàng)建VRRP備份組，備份組號為2，虛擬IP為xxx.xx.2.254，接口全局啟用DHCP；對VRRP虛擬組1配置接口認證，認證方式為MD5，密碼為huawei，以增強安全性。

2.1.3 接入層設計

接入層是控制智慧校園網(wǎng)用戶和工作組對互聯(lián)網(wǎng)絡資源進行訪問的。大多數(shù)用戶所需要的資源在本地就可以得到，分配層設備處理遠程服務的數(shù)據(jù)流。接入層的功能：連續(xù)的訪問控制和策略（對分配層的延續(xù)）；創(chuàng)建分隔的沖突域，即創(chuàng)建不同的VLAN區(qū)域，把用戶與用戶、服務器與服務器各自劃分區(qū)域，避免相互干擾影響正常通信。為確保工作組到分配層的互通性，需在接入層配置一些ACCSEE口和TRANK口，允許VLAN通過。

在接入層，可以對向下的接口進行設置，綁定為ACCESS口，對向上的接口綁定為TRUNK口。此外，在AC的配置區(qū)域，可以進行如下操作：首先，進入WLAN模式，定義模板域、國家名稱、設置組，綁定定義模板以及定義認證模式。其次，等待AP上線。如果AP數(shù)量不是很多，可以采取手動上線的方法，把AP的MAC地址綁定在AC中；AP上線后，配置WiFi的安全模板、定義密碼、分配給定用戶權限，再配置SSID模板。最后，設置WLAN射頻，待全配置結束，WiFi的輻射圈就形成了，就到處都有WiFi信號。在WiFi范圍內，只要每天輸入一次賬號和密碼，即可連通互聯(lián)網(wǎng)，并且當從一個AP范圍移動到另一個AP范圍，將會自動切換登錄，難以察覺到網(wǎng)絡轉換，沒有網(wǎng)絡遲鈍。為安全起見，此賬號僅限高校師生使用。

在智慧校園網(wǎng)的網(wǎng)絡拓撲規(guī)劃下，校園里每隔一定距離就放置一臺AP，使移動網(wǎng)絡無縫互聯(lián)。此外，骨干網(wǎng)絡已設計出雛形，還需要確保網(wǎng)絡安全來加固整體結構，防護師生在校用網(wǎng)安全。

2.2 智慧校園網(wǎng)絡安全設計

高校智慧校園網(wǎng)的周邊安全，需要用防火墻來對內部骨干網(wǎng)絡進行保護。本文設計的高校智慧校園網(wǎng)可以采用雙臺防火墻，一個為主防火墻，一個為輔助防火墻。主防火墻與輔助防火墻里都相互備份對方的配置，當主防火墻出現(xiàn)問題，輔助防火墻及時啟用主防火墻里的規(guī)則；當輔助防火墻出現(xiàn)問題，主防火墻立即啟用輔助防火墻里的規(guī)則，以立即處理防火墻的防護問題。

關于高校智慧校園網(wǎng)的安全方面，設計如下：先在防火墻里置入安全策略視圖，然后創(chuàng)建安全策略規(guī)則，再進入到安全策略規(guī)則視圖，配置安全策略的源安全區(qū)域和目的安全區(qū)域，再配置安全策略規(guī)則的用戶、協(xié)議類型、服務、引用的安全配置文件以及安全區(qū)域時間段。由此，實現(xiàn)對整個智慧校園網(wǎng)組網(wǎng)的保護，并營造較高安全性的保護環(huán)境，以保證用戶安全，對服務器的服務以及服務器內的數(shù)據(jù)起到防護作用。

3 智慧校園網(wǎng)絡實現(xiàn)

智慧校園網(wǎng)絡設計實施過程中，要嚴格依照校園網(wǎng)絡設計圖。首先，搭建智慧校園網(wǎng)絡的骨干網(wǎng)絡，包括核心層、匯聚層和接入層的設備配置；其次，在校園內各處內外部署AP設備，再在樓宇間放置AC和接入、匯聚交換機設備；最后，在部署校園網(wǎng)絡安全方面，安置并配置防火墻設備。

本文使用華為設備來配置其骨干網(wǎng)絡、無線網(wǎng)絡和安全策略等，以實現(xiàn)高校智慧校園網(wǎng)絡的規(guī)劃與設計。

3.1 骨干網(wǎng)絡的實現(xiàn)

（1）核心路由器OSPF的實現(xiàn)，在AR1、AR2、AR3的路由器中配置如下命令：

ospf 10 //進程號 無備注則默認為進程1

area 0 //區(qū)域ID，配置為區(qū)域0

network 1.1.1.0 0.0.0.255 //所宣告的網(wǎng)段 反子網(wǎng)掩碼

3臺路由器屬于同一個區(qū)域0中，不同的路由器宣告不同接口所在的網(wǎng)段，因每段網(wǎng)段不同，每臺路由器中的路由表鄰居也不同，使用“display ospf peer”即可查看OSPF的鄰居狀態(tài)。

（2） 匯聚層中實現(xiàn)VLAN的劃分、DHCP服務、鏈路聚合、MSTP和VRRP協(xié)議。

第一，交換機中VLAN的劃分，分為3種區(qū)域，標記為10，20，30。

Vlan batch 10 20 30 //劃分三個vlan ：vlan10 、vlan 20、 vlan 30

第二，DHCP服務的實現(xiàn)。主要是針對廣大師生用戶和AP設備，其租期設置較短，可提高地址的利用率，不過有些固定的辦公室有線用戶若有特殊需求，則需延長IP地址的租用期；一些無線AP接入點需要有永久的IP地址，所以要設置的時間為無期。

dhcp enable //開啟DHCP功能 （配置基于全局地址池的DHCP）

ip pool huawei1 //創(chuàng)建一個全局地址池,地址池名稱為huawei1

network 192.168.4.0 //動態(tài)分配的地址范圍192.168.4.0, 如果不指定掩碼,則默認使用自然掩碼

lease day 2 //全局地址池下的地址租期

gateway-list 192.168.4.254 //配置DHCP客戶端的網(wǎng)關地址

dns-list 8.8.8.8 //配置DNS服務器

interface GigabitEthernet 0/0/0 //進入接口

dhcp select global //開啟接口DHCP功能,指定接口采用全局地址池為客戶端分配IP地址

第三，鏈路聚合的實現(xiàn)。智慧校園匯聚層的兩臺交換機進行鏈路聚合，分擔出/入流量吞吐量在各成員端口的負荷。

interface Eth-Trunk 1 //配置鏈路聚合,創(chuàng)建Eth-Trunk 1

mode manual load-balance //指定為手工負載分擔模式

interface GigabitEthernet 0/0/1 //進入兩個交換機相連接的接口

eth-trunk 1 // 加入到Eth-Trunk 1接口

interface GigabitEthernet 0/0/2 //進入兩個交換機相連接的接口

eth-trunk 1 // 加入到Eth-Trunk 1接口

第四，MSTP的實現(xiàn)。匯聚層的兩臺交換機與接入層的交換機一同配置MSTP協(xié)議，把不同的VLAN分配到不同的實例里，統(tǒng)一規(guī)范，嚴格控制流量的流通。

stp region-configuration //配置MSTP,進入MST域視圖

region-name huawei //配置MST域名

revision-level 1 //配置MSTP的修訂級別為1

instance 1 vlan 10 //指定VLAN 10映射到實例1

instance 2 vlan 20 30 //指定VLAN 20 30映射到實例2

active region-configuration //激活MST域配置

在交換機里都配置如上命令，再在兩個匯聚層的交換機內給實例分配優(yōu)先級。

[S1]stp instance 1 root primary //給實例1賦予優(yōu)先級為主要的

stp instance 2 root secondary //給實例2賦予優(yōu)先級為次要的

[S2]stp instance 2 root primary //給實例2賦予優(yōu)先級為主要的

stp instance 1 root secondary //給實例1賦予優(yōu)先級為次要的

第五，VRRP的實現(xiàn)。需要在匯聚層的兩臺交換機中配置選擇容錯協(xié)議，作為一個虛擬網(wǎng)關，實現(xiàn)路由備份。

interface Ethernet 1/0/1 //進入上行接口

vrrp vrid 1 virtual-ip xxx.xx.1.254 //創(chuàng)建VRRP備份組,備份組號為1,虛擬IP為xxx.xx.1.254

vrrp vrid 1 priority 120 //配置優(yōu)先級為120

vrrp vrid 1 authentication-mode md5 huawei //對VRRP虛擬組1配置接口認證,認證方式為MD5,密碼為huawei

interface Ethernet 1/0/2 //進入上行接口

vrrp vrid 2 virtual-ip xxx.xx.2.254 //創(chuàng)建VRRP備份組,備份組號為2,虛擬IP為xxx.xx.2.254

vrrp vrid 2 preempt-mode disable //配置虛擬組2中的搶占模式為非搶占方式，默認為搶占模式

（3）接入層中實現(xiàn)接口配置以及AC、AP的配置。

第一，二層交換機與三層交換機相連以及二層交換機與PC端相連的接口配置：

與PC端相連，配置access口

int GigabitEthernet0/0/1 //進入接口

port link-type access //設置端口模式為access模式

port default vlan 10 //設置端口允許通過vlan 10

與三次交換機相連，配置trunk 口

int GigabitEthernet0/0/1 //進入接口

port link-type trunk //設置端口模式為trunk模式

port trunk allow-pass vlan all //配置端口組的端口允許通過的vlan為所有vlan

第二，無線網(wǎng)絡核心策略，包括AC的WLAN配置、SSID模板的配置以及AP的射頻。

①WLAN的配置：

Wlan //進入WLAN視圖下

regulatory-domain-profile name default //定義模板域，國家名稱

country-code CN //國家名稱為中國

ap-group name xxregulatory-domain-profile default //設組，綁定定義模板

ap auth-mode mac-auth //定義認證模式

mac 模式類型 //認證模式

ap-name xxx //給ap-id 0起名字

ap-group xx //綁定組

dis ap all //查看AP上線的情況

定義兩種發(fā)出的WiFi類型，輸入密碼型與免密型。

security-profile name xx-internal //定義線上的WiFi名稱

security wpa-wpa2 psk pass-phrase 12345678 aes //定義密碼

security-profile name s1-guest //定義WiFi的名稱為普通用戶

security open //免密碼豈可登錄

②設置SSID模板：

ssid-profile name xx //上面定義的WiFi名稱

ssid xx //配置SSID名稱為xx

vap-profile name xx //定義虛擬模式

security-profile xx //引用為xx的安全模板

ssid-profile xx //配置VAP模板引用SSID模板

service-vlan vlan-id 101 (一個業(yè)務VLAN） //配置業(yè)務VLAN為VLAN101

③設置WLAN射頻：

ap-group name s1 //創(chuàng)建AP組名為s1,并進入AP組視圖

vap-profile s1-internal wlan 1 radio 0 //給s1-internal的2.4G引用VAP模板

vap-profile s1-internal wlan 1 radio 1 //給s1-internal的5G引用VAP模板

vap-profile s1-guest wlan 2 radio 0 //給s1-guest的2.4G引用VAP模板

3.2 網(wǎng)絡安全的實現(xiàn)

為了提高智慧校園網(wǎng)絡的安全，對圖1中的兩臺防火墻進行如下配置安全策略配置，并在兩臺防火墻里互相備份。

security_ploicy //進入安全策略視圖

rule name rule-name //創(chuàng)建安全策略規(guī)則，并進入安全策略規(guī)則視圖

source-zone 1 //

配置安全策略的源安全區(qū)域

destination-zone 2 //配置安全策略的目的安全區(qū)域

source-address 192.168.2.1 192.168.2.10 //配置安全策略規(guī)則的源地址

destination-address 1.1.1.1 24 //配置安全策略規(guī)則的目的地址

user user01 //配置安全策略規(guī)則的用戶

service protocol 6 tcp //指定安全策略規(guī)則的協(xié)議類型

service dns //配置安全策略規(guī)則的服務

profile data-filter //配置安全策略規(guī)則引用的內容過濾配置文件

time-range time-range-name //創(chuàng)建時間段，并進入時間段視圖

period-range start-time to end-time week-days 1//設置周期時間段

4 結束語

綜上所述，建設高校智慧校園網(wǎng)絡是社會進步、信息化發(fā)展的產(chǎn)物，因此，科學合理地設計擴展網(wǎng)絡組網(wǎng)布局、搭配相關網(wǎng)絡安全防火墻策略是必不可少的。每逢高校發(fā)起選課或者PU活動搶取名額時，校園網(wǎng)絡便會卡頓擁擠，出現(xiàn)網(wǎng)絡堵塞，對此，應改變網(wǎng)絡流通量的最大值，使數(shù)據(jù)冗余加大。同時，有不法分子在校園網(wǎng)絡投放apk病毒軟件，短時間內便能傳播到校園各處，帶來許多不良影響，因此，需加強校園網(wǎng)絡安全。

本文豐富了對智慧校園網(wǎng)絡的認識與了解，改變了傳統(tǒng)的網(wǎng)絡布局，使之“智在其設計，慧在其技術”，未來可能會有更高的需求。未來可研究為高鐵站、火車站、汽車站設計智慧移動網(wǎng)絡，挑戰(zhàn)小區(qū)域低密度人口的場所。更多的研究探討必將會為智慧網(wǎng)絡的發(fā)展提供更多助力，所以不能只局限于校園，也可再為其他場所設計，擴大智慧網(wǎng)絡技術的應用范圍。