謝澤浩

（華北科技學(xué)院計算機學(xué)院，廊坊 065201）

0 引言

近年來，網(wǎng)絡(luò)安全問題引起了社會各界的廣泛關(guān)注，并成為眾多學(xué)者探討的焦點［1-3］。其中，安全內(nèi)參網(wǎng)發(fā)布的2022網(wǎng)絡(luò)攻擊情況顯示，全球重大網(wǎng)絡(luò)安全事件頻發(fā)，供應(yīng)鏈攻擊、勒索軟件攻擊、業(yè)務(wù)欺詐等網(wǎng)絡(luò)犯罪威脅持續(xù)上升，為此提高校園網(wǎng)的網(wǎng)絡(luò)可靠性和冗余性已經(jīng)顯得刻不容緩。

越來越多的學(xué)者開始圍繞校園網(wǎng)設(shè)計方案問題展開研究，并涉及到了方方面面。 網(wǎng)絡(luò)發(fā)展不是一個國家的趨勢，而是一個世界的趨勢，國外的網(wǎng)絡(luò)發(fā)展速度更迅速，校園網(wǎng)搭建的相關(guān)研究和案例也有了很長的歷史，尤其在歐美國家，在互聯(lián)網(wǎng)發(fā)展上取得了關(guān)鍵性突破，積累了無數(shù)的案例經(jīng)驗［4］。從1994 年起，就已經(jīng)有發(fā)達國家通過互聯(lián)網(wǎng)進行教育，開發(fā)網(wǎng)上教育平臺，從事網(wǎng)絡(luò)教育等事業(yè)。在教育方面，國外積累了豐富的經(jīng)驗，對校園網(wǎng)的研究更加具有前瞻性，更加成熟［5］。2021 年相關(guān)研究表明，國外學(xué)者對于校外人士通過外網(wǎng)訪問校內(nèi)資源有相應(yīng)的研究［6］。國內(nèi)網(wǎng)絡(luò)發(fā)展較遲，受我國傳統(tǒng)教育觀念的影響，網(wǎng)絡(luò)教育的發(fā)展緩慢。而在2021 年，國內(nèi)經(jīng)濟發(fā)展受到影響，網(wǎng)絡(luò)教育走進了人們的視線，學(xué)生們開始通過網(wǎng)絡(luò)直播上課，上班族開始通過網(wǎng)絡(luò)辦公來處理工作［7］。網(wǎng)絡(luò)教育平臺的出現(xiàn)為校園網(wǎng)構(gòu)架提供了線索和方向。

本文旨在為應(yīng)急管理大學(xué)模擬校園網(wǎng)絡(luò)架構(gòu)，從數(shù)據(jù)通信、網(wǎng)絡(luò)安全等方面實現(xiàn)校園網(wǎng)絡(luò)的搭建。新建校園網(wǎng)需要用光纜連接樓宇，需要覆蓋全部教學(xué)樓、宿舍樓以及圖書館和體育館，必須實現(xiàn)無線網(wǎng)絡(luò)技術(shù)對校園的全覆蓋，并且高校校園網(wǎng)將根據(jù)未來發(fā)展需求同步進行計劃，需要在滿足當(dāng)前和未來需求的情況下具備一定的前瞻性。

1 現(xiàn)有網(wǎng)絡(luò)存在的問題

應(yīng)急管理大學(xué)是2023 年誕生的一所高校，由兩所高校合并而來。合并初期就在建設(shè)一所國際一流的應(yīng)急管理中心。舊校區(qū)華北科技學(xué)院隨著校園建設(shè)的推進和校園信息化水平的提高，校園網(wǎng)性能方面的問題逐漸暴露出來，主要問題有：

（1）部分線路老化、破損，嚴(yán)重影響了校園網(wǎng)的穩(wěn)定性和可靠性。使得內(nèi)網(wǎng)速度下降，影響上網(wǎng)體驗。

（2）宿舍區(qū)域網(wǎng)絡(luò)線纜復(fù)雜。宿舍區(qū)域網(wǎng)絡(luò)由三家運營商協(xié)作建設(shè)，同一宿舍樓存在多個運營商線路，管理復(fù)雜。

（3）無線網(wǎng)絡(luò)覆蓋不全。原有校園網(wǎng)只有宿舍區(qū)域存在網(wǎng)絡(luò)覆蓋，在食堂、教學(xué)樓、辦公區(qū)等區(qū)域并無無線網(wǎng)絡(luò)。隨著學(xué)校發(fā)展，網(wǎng)上選課、課堂查詢、在線辦公、一卡通消費等網(wǎng)絡(luò)教學(xué)需求需要隨時隨地接入校園網(wǎng)。

為了滿足應(yīng)急管理大學(xué)校園網(wǎng)的基本設(shè)施需要，必須對校園網(wǎng)進行升級維護，提高校園網(wǎng)帶寬、擴展校園網(wǎng)的覆蓋面，為學(xué)生提供一個良好的基礎(chǔ)網(wǎng)絡(luò)環(huán)境。

2 網(wǎng)絡(luò)需求分析

通過調(diào)研分析，明確了華北科技學(xué)院和防災(zāi)科技學(xué)院的校園網(wǎng)拓撲結(jié)構(gòu)圖，確定了高校校園網(wǎng)的基本設(shè)定，同時也對本校園網(wǎng)的基本服務(wù)對象進行研究分析，服務(wù)對象部分是在校師生，部分是已經(jīng)畢業(yè)的應(yīng)急管理人才，還有一部分是校外的應(yīng)急培訓(xùn)人士。

2.1 數(shù)據(jù)中心需求

應(yīng)急管理大學(xué)校園網(wǎng)應(yīng)該實現(xiàn)的基本功能包括：師生校務(wù)中心、圖書館相關(guān)功能、FTP服務(wù)器功能、校內(nèi)培訓(xùn)服務(wù)器，等等。師生教務(wù)處是負責(zé)處理師生校務(wù)的網(wǎng)絡(luò)辦公地方，例如學(xué)生查詢自己的成績，老師錄入學(xué)生的成績，等等。圖書館需要接入校園網(wǎng)，方便校內(nèi)外人士查看。FTP服務(wù)器常用于學(xué)生提交作業(yè)。

2.2 網(wǎng)絡(luò)建設(shè)任務(wù)與性能需求

華北科技學(xué)院第六屆教職工代表大會審議了學(xué)校行政工作報告，通報了高校建設(shè)總體方案要點，順利完成各項議程，實現(xiàn)了預(yù)期目標(biāo)。兩所高校合并后，為了提高校園網(wǎng)的安全性和覆蓋性，需要將防災(zāi)科技學(xué)院和華北科技學(xué)院的校園網(wǎng)進行重新規(guī)劃，利用原來建筑大樓中存在的大量舊布線，采用無線覆蓋的方法來接入校園網(wǎng)。

經(jīng)過調(diào)研發(fā)現(xiàn)，應(yīng)急管理大學(xué)總體區(qū)域分為七個區(qū)域：學(xué)生公寓、北區(qū)、中區(qū)、圖書館、信息樓、崇實樓和南區(qū)；七大區(qū)域中又有下屬樓棟。學(xué)生公寓包括桃李園1 號～4 號樓，學(xué)子苑1 號～5 號樓的AB 區(qū)。北區(qū)包括中燕公寓、宜居苑1號～4號樓、覆居苑1號～2號樓、公寓科辦公和大學(xué)生生活服務(wù)中心。中區(qū)包括青年公寓、會議中心、求是樓、致遠樓、博冠樓、安科樓、安居苑1 號～7 號樓，等等。圖書館包括六個電子閱覽室。信息樓包括軟件工程實驗室、網(wǎng)絡(luò)工程實驗室、計算機組成原理實驗室、基礎(chǔ)實驗室1號～6號等。

采用三層網(wǎng)絡(luò)結(jié)構(gòu)，接入層由各個樓棟的三層交換機負責(zé)，每個樓棟作為一個建筑群子系統(tǒng)功能，每個樓層都有一個適配間，作為水平布線子系統(tǒng)與樓棟總交換機對接。高校是新興的大學(xué)，如果僅僅使用一個交換機（或者路由器），可能會因為核心層三臺交換機設(shè)備的性能問題和可靠性問題，導(dǎo)致整個網(wǎng)絡(luò)癱瘓，甚至校園網(wǎng)崩潰。所以最好的處理辦法是采用多路由器冗余，將三個路由器的性能進行整合，采用VRRP和STP技術(shù)，將三個路由器冗余成一個大的整體路由器，有效提高核心層三臺交換機的處理性能和應(yīng)急性能，最重要的是提高校園網(wǎng)的安全性和可靠性。當(dāng)核心層其中的一個路由器宕機時，STP協(xié)議會將宕機的路由器的身份自動切換到另一個備份路由器，從而使校園網(wǎng)可以繼續(xù)安全穩(wěn)定地運行，保證了高校校園網(wǎng)的可靠性。匯聚層的各個匯聚設(shè)備通過OSPF 協(xié)議進行互通。需要實現(xiàn)內(nèi)外網(wǎng)訪問，也就是需要在出口設(shè)備上配置好ACL 和Nat，高校需要為校外人士服務(wù)，所以校外人士也需要成功訪問內(nèi)網(wǎng)服務(wù)器，需要在出口設(shè)備上配置Nat server，在校師生絕大部分是手機連接校園網(wǎng)，所以我們需要配置WLAN、AC和AP，可以使學(xué)生無線設(shè)備接入校園網(wǎng)。

2.3 可擴展性需求

隨著高校的完善，會有更多的應(yīng)急管理設(shè)施的修建，將會引進越來越多先進的國際應(yīng)急設(shè)備，校園網(wǎng)絡(luò)的高擴展性，是高校必須解決的一個重大難題。

校園網(wǎng)絡(luò)的可擴展性需求決定了高校校園網(wǎng)適應(yīng)未來發(fā)展的能力［8］。校園網(wǎng)的可擴展性并沒有一個固定的指標(biāo)，我們需要著重考慮高校校園網(wǎng)規(guī)模的發(fā)展速度，也需要適應(yīng)國家推動政策。校園網(wǎng)的可擴展性需求最終體現(xiàn)在網(wǎng)絡(luò)拓撲結(jié)構(gòu)，網(wǎng)絡(luò)設(shè)備的選擇和接入。

2.4 子功能需求

設(shè)計方案需要實現(xiàn)三個主要模塊：電子信息教學(xué)、師生遠程辦公的內(nèi)外網(wǎng)互聯(lián)以及無線網(wǎng)絡(luò)全覆蓋。電子信息教學(xué)模塊要求學(xué)生連入網(wǎng)絡(luò)實驗室、應(yīng)急管理中心、高校圖書館等校園基礎(chǔ)設(shè)施，方便校內(nèi)外學(xué)員在線學(xué)習(xí)；師生遠程辦公的內(nèi)外網(wǎng)互聯(lián)就是為了滿足高校師生的日常辦公行為，例如成績錄入、個人信息檢索、空教室查詢等；無線網(wǎng)絡(luò)全覆蓋子功能滿足師生網(wǎng)絡(luò)訪問需求，需要實現(xiàn)師生認證和審計等功能。

3 方案總體設(shè)計

3.1 拓撲結(jié)構(gòu)設(shè)計

高校的校園網(wǎng)拓撲結(jié)構(gòu)采用的是星型結(jié)構(gòu)，優(yōu)點是結(jié)構(gòu)簡單、建網(wǎng)容易、控制相對簡單、可擴展性強、容易重新配置［9］。星型結(jié)構(gòu)中所有的數(shù)據(jù)轉(zhuǎn)發(fā)都需要通過核心層的三臺交換機，所以導(dǎo)致核心層三臺交換機的負載過高，核心層的可靠性需要得到保證［10］。缺點是中心設(shè)備負載過重，需要高冗余，高備份。

3.2 端口類型選擇

（1）一般來說，在網(wǎng)絡(luò)中的服務(wù)器，出口設(shè)備路由器，匯聚層交換機網(wǎng)絡(luò)帶寬較高，所以，在拓撲圖配置中常常使用G、E 口來配置。在本示例中核心層三臺交換機承受的工作負荷是最重的，所以交換機之間采用千兆口（G口）進行互連。

（2）千兆口的耗資大，如果所有的口都采用千兆口，這對學(xué)校來說是不現(xiàn)實的，是一種資源浪費，并且接入層和匯聚層的數(shù)據(jù)流通量達不到千兆，所以采用百兆口（E口）綽綽有余。

3.3 網(wǎng)絡(luò)擴展端口

交換機的網(wǎng)絡(luò)擴展主要體現(xiàn)在兩個方面：一個是在匯聚層和PC 機的連接端口，匯聚層可能需要加入大量的PC 機，需要預(yù)留足夠的匯聚層端口，防止端口不夠。另一個是核心層加入另外的網(wǎng)絡(luò)設(shè)備，例如新建中心以后需要重新向核心層中加交換機等設(shè)備，所以核心層的三臺交換機上也需要預(yù)留一部分的端口。這一部分的端口也不要完全空留，可以先用端口綁定給其他設(shè)備使用，當(dāng)后期加入新設(shè)備時，再將這個端口釋放出來即可。

4 防火墻安全區(qū)域設(shè)計

DMZ 區(qū)域，英文翻譯為“隔離區(qū)”，也稱“非軍事化區(qū)”。它的目的就是解決外網(wǎng)用戶不能正常訪問內(nèi)網(wǎng)服務(wù)器的問題，專門設(shè)立的一個非信任區(qū)域與信任區(qū)域之間的區(qū)域［11］。DMZ區(qū)域位于內(nèi)網(wǎng)和外網(wǎng)之間的局域網(wǎng)內(nèi)。DMZ 區(qū)域用來放置公開的服務(wù)器設(shè)施，如Web 服務(wù)器、FTP 服務(wù)器等用來向外部提供教學(xué)服務(wù)的設(shè)備。另一方面，通過這樣一個DMZ 區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡(luò)。高校的服務(wù)器不僅僅為師生提供，還為社會培訓(xùn)人士服務(wù)，所以將服務(wù)器放在DMZ區(qū)域合理。

Trust 區(qū)域，中文名為“安全區(qū)域”，Trust區(qū)域的安全等級是最高的，為85，一般用于內(nèi)網(wǎng)口，所以設(shè)計中我們將所有的內(nèi)網(wǎng)接口都放入Trust區(qū)域中。

UnTrust 區(qū)域，中文名為“危險區(qū)域”，安全等級最低，為5，一般都是外網(wǎng)接口，比如接入的是電信或者移動通信商等，UnTrust 區(qū)域不能訪問Trust 區(qū)域，這說明外網(wǎng)不能訪問內(nèi)網(wǎng)，大大提高了內(nèi)網(wǎng)的安全性。

需要注意的是，如果不做安全策略，區(qū)域之間默認deny，也就是說，只要沒有安全策略，不同區(qū)域的任何數(shù)據(jù)都是不互通的。防火墻安全區(qū)域設(shè)計如圖1所示。

圖1 防火墻安全區(qū)域設(shè)計

5 冗余性設(shè)計

5.1 核心層

核心層交換機有三個，SW1、SW2 和SW3。我們采用的STP+VRRP 技術(shù)，將SW1 與SW3 實現(xiàn)主備備份，將SW2 與SW3 實現(xiàn)主備備份，其中SW1 和SW2 為主，SW3 為兩者的備份。如圖2所示。

圖2 主備備份

圖2 中北區(qū)匯聚層和中區(qū)匯聚層相互接入核心層的兩個設(shè)備，核心層的兩個設(shè)備使用VRRP技術(shù)冗余成一個設(shè)備，極大地提高了核心層的可靠性。

圖3 核心層主備備份中SW2 和SW3 互為主備備份，其中SW2 為主，SW3 為備份，兩臺設(shè)備都開啟STP 生成樹技術(shù)，然后使用VRRP 技術(shù)，將圖書館、信息樓、崇實樓和南區(qū)的網(wǎng)關(guān)進行匯聚。這樣，當(dāng)核心層兩個設(shè)備中任意一個設(shè)備發(fā)生故障時，不會引起校園網(wǎng)的癱瘓。

圖3 核心層主備備份

5.2 無線局域網(wǎng)

在所有的無線覆蓋網(wǎng)絡(luò)中，不可能只有一個AP，如圖4 所示，想要保證校園網(wǎng)全覆蓋，至少要使用10 個左右的AP 才可以，這些AP 之間就是互相冗余備份的。在接下來的仿真性實驗中需要注意到，我們配置的業(yè)務(wù)VLAN 并不是配置到AP 上的，而是配置到匯聚AP 的交換機上的，我們給AC配置好管理VLAN140，用這個管理VLAN 來管理我們的AP設(shè)備，在匯聚AP的交換機上配置好業(yè)務(wù)VLAN，這個VLAN 是由配置好所有的AP 共同維護的，也就是說所有的AP 都發(fā)射的是同一個WLAN，在校園不同地方都可以連接到這個WLAN 上。每一個Wi-Fi又有兩個頻段，一個是2.4 G 頻段，一個是5G 頻段，這些AP共同保證了校園網(wǎng)的冗余性。

圖4 無線冗余

6 結(jié)語

本文對應(yīng)急管理大學(xué)校園網(wǎng)設(shè)計方案進行了詳細的描述。先后分析了校園網(wǎng)搭建歷程，國內(nèi)外的進展，然后進行了詳細的需求分析。并對校園網(wǎng)設(shè)計的總體設(shè)計，包括方案圖、邏輯網(wǎng)絡(luò)設(shè)計、物理網(wǎng)絡(luò)設(shè)計進行介紹。此外，詳細介紹了高校網(wǎng)絡(luò)拓撲設(shè)計的結(jié)構(gòu)圖，包括網(wǎng)絡(luò)要求、設(shè)計思路、設(shè)計圖和防火墻安全區(qū)域設(shè)計。

通過對華北科技學(xué)院和防災(zāi)科技學(xué)院的校園網(wǎng)進行考察，對高校的需求進行分析，對所需要的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)性能進行分析，合理地處理兩所學(xué)校的校園網(wǎng)關(guān)系，對較先進的校園網(wǎng)的主干進行保留，將另一所學(xué)校的接入層和匯聚層作為枝干保留，充分考慮兩所學(xué)校的實際情況，使用華為路由技術(shù)、數(shù)據(jù)通信技術(shù)、計算機網(wǎng)絡(luò)原理技術(shù)、網(wǎng)絡(luò)安全技術(shù)，按照設(shè)計好的總體拓撲圖架構(gòu)進行配置。最終在模擬器上實現(xiàn)高校的校園網(wǎng)配置。配置好的校園網(wǎng)應(yīng)該包括基本的應(yīng)急管理中心，應(yīng)該有基本的網(wǎng)絡(luò)教學(xué)服務(wù)，應(yīng)該保障校園網(wǎng)與公網(wǎng)進行互聯(lián)，應(yīng)該保障校外人士可以正常使用高校對外提供的基本服務(wù)，應(yīng)該保障學(xué)校師生可以正常通過學(xué)校機房，或者學(xué)校圖書館進行校園網(wǎng)訪問。