伊健

摘要：該文從校園網(wǎng)的建設(shè)中涉及的網(wǎng)絡(luò)技術(shù)以及網(wǎng)絡(luò)設(shè)備入手，詳細(xì)討論校園網(wǎng)建設(shè)的目標(biāo)、設(shè)計(jì)的原則和網(wǎng)絡(luò)的結(jié)構(gòu)，最終設(shè)計(jì)出一套安全性較好、可靠性較高的網(wǎng)絡(luò)環(huán)境。文章運(yùn)用云計(jì)算管理平臺來管理分配云計(jì)算資源同時(shí)使用管理系統(tǒng)來管理網(wǎng)絡(luò)設(shè)備資源情況，使得校園網(wǎng)的使用和管理更加便捷、智能。

關(guān)鍵詞：網(wǎng)絡(luò)結(jié)構(gòu)；IRF；冗余備份；云計(jì)算；網(wǎng)絡(luò)安全

中圖分類號：TP393? ? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2023）13-0091-03

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）

0 引言

隨著數(shù)字時(shí)代的到來，學(xué)校的教育、管理將會面臨著全新的挑戰(zhàn)，校園網(wǎng)信息化建設(shè)已經(jīng)是校園基礎(chǔ)設(shè)施建設(shè)的一個(gè)重要組成部分，如何將現(xiàn)代通信技術(shù)和手段引入校園管理之中，如何組建技術(shù)先進(jìn)、可靠性高、安全性高和實(shí)用性強(qiáng)的校園網(wǎng)是一個(gè)亟待解決的課題[1]。只有將現(xiàn)代技術(shù)與傳統(tǒng)技術(shù)有效結(jié)合，才能更好地達(dá)到信息化校園的需求，更好、更方便地管理校園。

1 需求

某師范學(xué)院擁有學(xué)生、教職工近3000人，網(wǎng)絡(luò)建設(shè)最基本的要求是需要滿足全校師生的網(wǎng)絡(luò)連接。學(xué)校使用接入、匯聚、核心的三層網(wǎng)絡(luò)架構(gòu)來滿足全體成員的網(wǎng)絡(luò)需求。其中，接入層使用千兆網(wǎng)線，接入層交換機(jī)與匯聚層交換機(jī)之間使用千兆光纖連接，匯聚層交換機(jī)與核心層交換機(jī)之間使用萬兆光纖連接。為了使網(wǎng)絡(luò)具備冗余備份功能，核心層兩臺交換機(jī)使用IRF堆疊技術(shù)，下聯(lián)設(shè)備和上聯(lián)設(shè)備與核心交換機(jī)之間采用鏈路聚合，使得在交換機(jī)故障或鏈路故障時(shí)能保證網(wǎng)絡(luò)不中斷。同時(shí)，校內(nèi)的接入點(diǎn)也需要進(jìn)行一定的控制，防止不法分子使用接入點(diǎn)對校內(nèi)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊。校園網(wǎng)的網(wǎng)絡(luò)建設(shè)大致如下：

1） 建立內(nèi)外網(wǎng)互通的網(wǎng)絡(luò)環(huán)境，以實(shí)現(xiàn)信息資源共享、網(wǎng)絡(luò)資源共享等，達(dá)到校內(nèi)師生可以輕松訪問互聯(lián)網(wǎng)的目的，從而提高辦公、學(xué)習(xí)的效率。

2） 做好相應(yīng)的安全策略，保證攻擊者不能從互聯(lián)網(wǎng)和校園內(nèi)網(wǎng)對網(wǎng)絡(luò)進(jìn)行惡意攻擊，實(shí)現(xiàn)安全穩(wěn)定的校園網(wǎng)絡(luò)環(huán)境。

3） 做好校內(nèi)網(wǎng)絡(luò)的冗余備份，避免單故障點(diǎn)對校園網(wǎng)絡(luò)造成的不良影響。

此次校園網(wǎng)的規(guī)劃設(shè)計(jì)的目標(biāo)功能為：

標(biāo)準(zhǔn)性：在經(jīng)濟(jì)全球化的今天，每一個(gè)產(chǎn)品都不僅僅是一家就能完善所有系統(tǒng)的，網(wǎng)絡(luò)設(shè)備也是一樣，在網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)時(shí)，網(wǎng)絡(luò)協(xié)議、接口等使用國際標(biāo)準(zhǔn)，從而確保不同品牌的設(shè)備之間可以實(shí)現(xiàn)兼容，達(dá)到整個(gè)校園網(wǎng)的互通互聯(lián)，同時(shí)也方便校園網(wǎng)在以后的擴(kuò)展中不受產(chǎn)品的制約[2]。

安全性：在網(wǎng)絡(luò)安全特別重要的今天，只有保證網(wǎng)絡(luò)的安全性，才能保證數(shù)據(jù)的安全，避免不必要的攻擊對任何一個(gè)公民造成不必要的損失。通過配置安全策略，限制流量，提高網(wǎng)絡(luò)管理水平。

可擴(kuò)展性：在高等院校不斷擴(kuò)招的今天，以后的網(wǎng)絡(luò)擴(kuò)展、升級會變得越來越普遍化，終端設(shè)備的爆發(fā)式增長，人數(shù)的增加都需要對網(wǎng)絡(luò)系統(tǒng)架構(gòu)進(jìn)行擴(kuò)充，所以，在設(shè)備選型時(shí)需要考慮擴(kuò)展性。

可靠性：現(xiàn)在的網(wǎng)絡(luò)建成后，一般都是不間斷運(yùn)行，所以軟件、硬件的可靠性也是一個(gè)非常重要的參考項(xiàng)。軟件可靠性包括故障記錄、預(yù)警能力、錯(cuò)誤恢復(fù)能力。硬件可靠性包括文件傳輸?shù)娜哂鄠浞?、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、UPS等[3]。

管理性：網(wǎng)絡(luò)系統(tǒng)完成之后，需要有專業(yè)的網(wǎng)絡(luò)維護(hù)人員對設(shè)備進(jìn)行監(jiān)控和維護(hù)，網(wǎng)絡(luò)管理員可以通過網(wǎng)絡(luò)管理協(xié)議和網(wǎng)絡(luò)管理軟件對整個(gè)網(wǎng)絡(luò)情況進(jìn)行監(jiān)控，包括網(wǎng)絡(luò)數(shù)據(jù)流量大小的監(jiān)控、網(wǎng)絡(luò)設(shè)備硬件的監(jiān)控等，從而確保網(wǎng)絡(luò)穩(wěn)定地運(yùn)行。

2 整體網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

為了防止網(wǎng)絡(luò)的單點(diǎn)故障，整個(gè)拓?fù)洳捎萌龑蛹軜?gòu)，核心層使用IRF堆疊技術(shù)[4]，匯聚層交換機(jī)與核心層交換機(jī)之間使用鏈路聚合，使得鏈路互相成為主備，接入層交換機(jī)連接到匯聚層交換機(jī)，對下層主機(jī)設(shè)備上傳的數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)。學(xué)院校園網(wǎng)的拓?fù)淙鐖D1所示：

為了保證網(wǎng)絡(luò)可靠性，核心采用雙設(shè)備，兩臺核心設(shè)備之間使用IRF堆疊技術(shù)。使用堆疊技術(shù)之后，在管理上，兩臺核心設(shè)備可以作為一臺設(shè)備進(jìn)行管理，在業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)上，提升了設(shè)備的性能，保證了業(yè)務(wù)不會中斷，實(shí)現(xiàn)了冗余備份的條件。在核心層交換機(jī)和匯聚層交換機(jī)之間使用了OSPF協(xié)議，實(shí)現(xiàn)了動態(tài)學(xué)習(xí)路由條目。當(dāng)一臺核心設(shè)備出現(xiàn)故障時(shí)，所有的數(shù)據(jù)流量會自動切換到另一臺核心設(shè)備進(jìn)行數(shù)據(jù)的轉(zhuǎn)發(fā)，鏈路也會相應(yīng)進(jìn)行切換。校外出差的老師和不在校的學(xué)生若是訪問校內(nèi)資源時(shí)，使用SSL VPN技術(shù)來訪問校內(nèi)資源，不同用戶組的用戶設(shè)置不同的權(quán)限，達(dá)到不同用戶登錄VPN后訪問的資源權(quán)限有所區(qū)別。

3 IP地址規(guī)劃

根據(jù)校園的網(wǎng)絡(luò)使用要求以及校園地理位置的分布情況，對不同樓棟使用不同網(wǎng)段的IP地址。具體IP地址規(guī)劃如表1所示：

4 測試

4.1 NAT地址轉(zhuǎn)換測試

NAT地址轉(zhuǎn)換如果出現(xiàn)錯(cuò)誤，那么就會導(dǎo)致內(nèi)網(wǎng)用戶不能訪問互聯(lián)網(wǎng)，所以，NAT地址轉(zhuǎn)換測試的重要性不言而喻。此次測試NAT地址轉(zhuǎn)換從地址池、地址轉(zhuǎn)換的配置情況和地址轉(zhuǎn)換的記錄兩個(gè)方面進(jìn)行一個(gè)小的測試，從而檢測NAT配置正確與否。地址池配置等測試結(jié)果如圖2所示：

從圖3可以看出，私網(wǎng)地址為192.168.2.1轉(zhuǎn)換為公網(wǎng)地址200.1.1.4，再從圖2中可以看出，地址池的范圍中包含200.1.1.4的地址。同時(shí)可以看出私網(wǎng)地址的端口為154，轉(zhuǎn)換后的公網(wǎng)地址的端口為0，因此得出此NAT為動態(tài)NAT的結(jié)論。

4.2 SSL VPN測試

SSL VPN測試通過外網(wǎng)電腦使用瀏覽器進(jìn)行SSL VPN訪問iMC進(jìn)行測試。測試結(jié)果如圖4和圖5所示：

4.3 連通性測試

連通性測試通過校內(nèi)主機(jī)ping公網(wǎng)路由器ISP的接口地址進(jìn)行測試。測試結(jié)果如圖6所示：

5 結(jié)束語

本次網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)是以某師范學(xué)院為基礎(chǔ)，結(jié)合項(xiàng)目中網(wǎng)絡(luò)建設(shè)需求的規(guī)劃，從網(wǎng)絡(luò)整體規(guī)劃到實(shí)施測試以及最終的網(wǎng)絡(luò)安全平臺、網(wǎng)絡(luò)管理平臺、云計(jì)算管理平臺的搭建等方面進(jìn)行描述。由于校園網(wǎng)的用戶數(shù)目較多，且分布在教學(xué)區(qū)、生活區(qū)等不同區(qū)域，為了方便管理并順應(yīng)現(xiàn)代網(wǎng)絡(luò)架構(gòu)發(fā)展的趨勢，最終確定網(wǎng)絡(luò)為由核心層、匯聚層、接入層組成的三層架構(gòu)。采用了多種冗余備份技術(shù)，達(dá)到了網(wǎng)絡(luò)穩(wěn)定性高和可靠性高的需求。

整個(gè)學(xué)院的網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)與實(shí)現(xiàn)過程中使用了VLAN、ACL、防火墻等技術(shù)保證了校園網(wǎng)的安全訪問，使用SSL VPN保障了校園成員在外出時(shí)可以合法地訪問校內(nèi)的資源，使用了IRF堆疊技術(shù)和鏈路聚合技術(shù)保證了網(wǎng)絡(luò)的冗余備份，使用了云計(jì)算保證了資源了高效利用，使用了SNMP和iMC保障了網(wǎng)絡(luò)的實(shí)時(shí)告警。最終綜合使用這些技術(shù)，使得學(xué)院的校園網(wǎng)擁有了合理、安全的使用環(huán)境，成為一個(gè)合格的校園網(wǎng)絡(luò)。

通過使用VLAN、ACL、IRF、鏈路聚合等技術(shù)，學(xué)院校園網(wǎng)實(shí)現(xiàn)了資源合理化運(yùn)用，核心設(shè)備具有可靠性高，網(wǎng)絡(luò)結(jié)構(gòu)標(biāo)準(zhǔn)化，網(wǎng)絡(luò)設(shè)備可管理化等優(yōu)點(diǎn)?？蛻舯硎敬舜螌?shí)施方案以及實(shí)施結(jié)果達(dá)到了他們的預(yù)期，對本次實(shí)施給予了很大的肯定。

參考文獻(xiàn)：

[1] 陳斌.校園網(wǎng)信息化建設(shè)與安全問題的處置方式探尋[J].科技資訊，2017，15（5）：31-31，33.

[2] 潘銀松，顏燁，高瑜.計(jì)算機(jī)導(dǎo)論[M].重慶：重慶大學(xué)出版社，2020.

[3] 顏光.某高職院校校園網(wǎng)改造方案的設(shè)計(jì)與實(shí)施[D].南京：南京郵電大學(xué)，2019.

[4] 廖文建.IRF技術(shù)初探與實(shí)際應(yīng)用[J].網(wǎng)絡(luò)安全和信息化，2018（6）：64-66.

【通聯(lián)編輯：代影】