淺談校園網的規劃與建設

鄭燕玲

（汕頭職業技術學院，廣東 汕頭 515041）

淺談校園網的規劃與建設

鄭燕玲

（汕頭職業技術學院，廣東 汕頭 515041）

伴隨現代網絡技術的飛速發展，我國的校園網建設已相當普及。尤其在高校中，校園網作為教研辦公不可或缺的基礎設施，覆蓋率幾乎達到了100%。論文主要從校園網的總體規劃、方案設計、資源建設和網絡管理這四方面來探討它的建設問題，其中對方案設計進行了重點闡述。

校園網；網絡建設；資源建設；網絡管理

一、總體規劃

校園網建設要先總體規劃，再分步實施。其中，總體規劃極為重要。高校應當從自身的實際情況出發，結合學校的經濟實力和長遠發展規劃，以滿足教學科研和辦公管理需要為核心，經過嚴密推敲和科學論證，最終形成一套完善可行的建設方案。

1.確立目標

總體規劃的第一步是確立目標。只有在方案設計之初便定好明確的設計目標，才能最大限度地避免網絡建成之后出現的應用需求無法滿足或功能不實用等嚴重問題，確保校園網建設最終能順利投入使用。

一個完整的校園網應至少滿足以下兩大應用目標：（一）能夠為學校的教學、科研、日常辦公、行政管理和圖書資源管理等提供高效服務。這也是校園網的基本功能要求。（二）實現與廣域網的互聯。通過連接到廣闊的Internet，從中獲取更豐富的教育資源，更好地促進校內外的交流和合作。

總而言之，校園網建設的最終目標是建成一個對內能滿足教學、科研、管理、辦公等需要，對外能與Internet互聯、共享因特網資源，集技術先進、結構合理、擴展性強等特點于一體，覆蓋整個校園范圍的計算機網絡系統。

2.規劃原則

校園網建設是一項浩大的工程，其總體方案設計應具有高度科學性。具體要遵循如下設計原則：

（1）實用性和先進性

網絡既要滿足應用需求，又必須具有較強生命力，在技術選型、設備選型和軟件配置等方面，都應選擇目前市場上成熟穩定、通用性強且具有良好發展前景的主流產品。

（2）開放性和可擴充性

采用的技術和產品要有充分的可擴充能力和升級能力，以方便以后能順利向更先進的網絡技術過渡，保持網絡系統的先進性。

（3）安全可靠性

網絡系統的各環節都要具備良好的防災難、抗攻擊等特性，還要有充分的冗余和容錯能力，以使網絡系統在受到黑客入侵或出現局部故障時，系統整體仍能保持良好運轉，并提供不間斷服務。

（4）可管理性和可維護性

從整體方案設計到個別的技術選型、設備選型，都應從方便管理和維護的角度出發；先進的網絡管理系統的采用，也能進一步提高管理的便捷性。

（5）經濟性

在充分考慮學校經濟能力的基礎上，進行詳細的市場調查和研究，選擇性價比最高、最適合的方案和產品，不要盲目追求最好最貴。

二、方案設計

校園網建設的方案設計主要從網絡技術、網絡結構、網絡設備、布線系統和操作系統等方面來進行闡述，以確定最合適的方案。

1.網絡體系結構的選擇

網絡體系結構定義了計算機網絡系統的層次結構和層間協議，它為網絡的通訊協議、數據存取控制、拓撲結構和軟硬件等提供標準。網絡體系結構的選擇是校園網技術設計的核心，它直接影響著接下來的布線、接口等工作以及網絡的整體性能。該方案采用TCP/IP模型這一事實上的國際標準來搭建校園網的體系結構。

2.網絡技術的選擇

目前市場上可以提供的組網技術主要有FDDI、ATM、以太網等。其中，FDDI雖在100Mbps傳輸技術上發展比較成熟，但造價高、升級難，也無法支持大量多媒體通訊同時進行；ATM能提供較高的網絡帶寬和服務質量，是多媒體應用系統的理想平臺，但其尚無統一標準，且帶寬實際利用率低、工程造價和維護費用高；相比之下，以太網明顯具有更高的優勢。

以太網一直是局域網技術的主流，目前已發展至千兆以太網。千兆以太網是傳統以太網（10M）和快速以太網（100M）的成功擴展，具有如下優點：帶寬資源豐富，能充分滿足校園網對高帶寬的需求；兼容性好，能方便快捷地實現從以太網和快速以太網升級，最大限度保護用戶現有投資；經濟實用，性價比高，便于管理。綜上所述，本方案采用以太網技術來組網。

3.網絡拓撲結構和網絡設備的選擇

從校園網的功能需求出發，網絡系統具體劃分為如下模塊：辦公子網、教學子網、圖書館子網、宿舍子網、IC卡管理系統、因特網接入、遠程訪問接入以及WWW服務、E-mail服務、FTP服務、DNS服務系統等。為滿足校園網高可靠性和易擴充性的要求，采用星型拓撲結構來組網。

在星型結構下，整個網絡具有一個總節點，這節點構成了網絡中心，各功能模塊以子網的形式匯接到網絡中心，子網中心構成二級節點。這樣，網絡系統實際上形成了三層的拓撲結構。具體組織方式如下：以主干網為交換核心，連接各子網；每個子網向下劃分成多個工作組網；每個工作組網向下再劃分成多個基層網段；桌面機直接連接到基層網段，服務器、工作站則根據功能和級別連接到相應的高層網絡；整個網絡系統由網絡中心集中控制。網絡系統的各環節具體設計如下：

（1）主干網

主干網負責整個網絡信息流動的總調度，需要很大帶寬和很強的中心交換能力。它必須提供如下功能：為子網之間的互聯提供高速路由，實現核心高速交換；連接校園網共享的高性能服務器；實現廣域網連接和遠程訪問；實現全網的系統管理和安全管理。

主干網采用核心交換、劃分子網的設計方案，通過千兆光纜和千兆以太網技術來組網。

在中心機房，采用一臺高性能千兆交換機（三層交換機）作為交換中心。這臺中心交換機通過無屏蔽雙絞線電纜將中心機房內的服務器群、路由器、機架MODEM等網絡設備以星型方式連接起來，構成網絡中心。中心交換機的選型，應選擇交換容量大、配置冗余、容錯性強、支持路由功能的多層交換機，它還要能支持多種不同規則的VLAN劃分，具有防火墻和用戶驗證功能，并符合千兆以太網標準，有多個千兆接口，集先進性、高可靠性、可擴展性、易維護性和高性價比等特點于一體。

（2）廣域網接入

校園網一般具有兩個對外的連接接口：一個用于接入廣域網，一個作為遠程訪問的入口。

校園網接入廣域網的方式有DDN接入、光纖接入等。為滿足高帶寬和高速率的要求，該方案采用了千兆光纖接入，主干網通過兩條1000M光纖，分別接入中國教育和科研計算機網（CERNET）以及電信運營商提供的CHINANET。

校園網與廣域網的連接通過路由器來實現。在路由器的選型上，要選擇具有兩個廣域網接口和一個備份口，并能支持PPP、幀中繼、HDLC等多種協議的路由器。兩個廣域網接口分別連接到CERNET和CHINANET；備份口則作為備份線路，以在專線出現故障時，通過ISDN/MODEM撥號連接到廣域網。出于安全性考慮，網絡出口必須安裝防火墻，并且最好使用代理服務器。

綜上所述，校園網接入廣域網的具體連接方式如下：路由器的局域網接口通過防火墻，由代理服務器連接到主干網的中心交換機；路由器的兩個廣域網接口分別通過千兆光纖接入CERNET和CHINANET，從而實現校園網與Internet的連接。

（3）遠程訪問

遠程訪問是校園網的另一個對外接口。校園網必須提供遠程訪問功能，以便學校師生在校外隨時隨地訪問校園網資源。該方案采用SSLVPN技術來實現。

SSL是建立在可靠傳輸協議之上的數據安全協議，為數據傳輸提供安全支持。SSLVPN通過瀏覽器內嵌的SSL協議，利用公用網絡在瀏覽器與服務器之間建立起一條通信鏈路，實現端到端的身份認證和加密數據傳輸。相比IPSec VPN和其他遠程技術，SSL VPN提供更高的安全性，并且在部署、管理和使用上都十分方便，還具有用戶權限管理功能。

SSL VPN的部署非常簡單，只需將一臺合適的SSL VPN網關服務器部署在網絡內部的某個節點，再對中心網關進行簡單配置之后即可使用。由于SSL VPN網關穿透力強，能以透明模式在NAT代理裝置上工作，因此，它可根據需要隨意調整在網絡中的位置而不影響網絡原有結構。通常它還具有防火墻功能，能夠很好地監控網絡進出數據。

當校外用戶需要訪問校園網時，只需在瀏覽器中鍵入SSL VPN地址，輸入賬號和密碼，就能得到SSL VPN網關分配的一個虛擬IP地址，實現對內網資源的遠程訪問。管理人員也可以在校外通過遠程連接，對SSL VPN網關進行實時配置和管理。這種遠程連接方式的數據吞吐能力很強，一般可支持至少數千個并發用戶。

（4）子網

子網主要根據應用職能和地理分布進行劃分。這里采用VLAN作為解決方案，將校園網按功能劃分為辦公樓、教學區、電教樓、圖書館、宿舍區等部門，每個部門通過VLAN形成邊界，構成一個相對獨立的子網。

子網內部也采用交換結構。交換中心是一臺子網交換機，這臺交換機構成了網絡的二級節點。子網與主干網的連接，通過千兆光纖將子網交換機與中心交換機相連來實現；在子網內部，則通過子網交換機將下級交換設備（三級交換機或集線器）、子網服務器和子網工作站連接起來；子網內可設置共享的服務器。各子網采用與主干網一致的通信協議，子網之間的通信通過路由功能來實現。

在子網交換機的選型上，要求交換速度快、交換容量大，符合千兆以太網標準，具備第二層、第三層信息傳輸和溫度警告等功能。選擇高可靠性的100M交換機，實現與中心交換機1000M的連接速率。

（5）工作組網

工作組網是子網的下一級劃分，可以是一間辦公室、一個專業教研組或其他。工作組網也采用交換式以太網來組網。方案的技術要點如下：

工作組網通過三級交換機或集線器接入子網交換機，桌面電腦直接采用100MUTP連接到三級交換機的10/100MUTP端口；工作組內可設置共享的服務器；各工作組網采用與主干網一致的通信協議。當組內需要接入較多計算機時，可將交換機或集線器用堆疊方式通過擴展的千兆上聯口與上一級交換機相連。如果某個工作組距離子網中心較遠，還需選擇帶光纖模塊的交換機，使它能通過光纜連接到子網交換機。

在這樣三級星型結構的組織下，該方案組建起了千兆交換為主干、百兆交換到桌面的校園網絡系統。

4.布線系統的選擇

布線系統是建筑物或建筑群內的傳輸網絡，它的質量直接影響著網絡系統的整體質量和服務性能。在綜合考慮成本預算、應用需求及未來擴展等因素之后，選擇結構化綜合布線系統作為解決方案。

綜合布線系統是一種預布線系統，它采用開放式體系和模塊化結構，通過建立一套國際標準化的布線系統，連接同一幢建筑物內的所有網絡設備以及建筑物外部的通信網絡，實現語音、數據、視像等信號的統一傳輸。它具有標準化、系統化、靈活化的優點，可根據實際需要靈活地變更或重組線路，具有良好的擴展能力，便于使用和管理，可靠性高。

綜合布線系統分為工作區子系統、水平布線子系統、干線子系統、設備間子系統、管理間子系統、建筑群子系統等六個子系統。它一般采用三級星型的拓撲結構：以主機房為系統樞紐，一級為主機房連接至各層管理間的建筑主干及通路，二級為主設備間向各層管理間輻射的數據主干、話音主干等，三級為各層管理間到工作區的全部水平配線系統。建筑群子系統采用千兆光纜相連；垂直子系統則采用多模光纜或大對數雙絞線，將管理間子系統并入設備間子系統；水平布線子系統采用超五類雙絞線來鋪設。對于覆蓋多幢樓宇的局域網，采用多設備間的方式來連接，由中心設備間的交換機通過光纜與樓棟設備間的交換機相連，中心設備間的作用是連接樓內來自各層的主干線纜，以及來自網絡中心的光纜。

5.操作系統的選擇

網絡操作系統是網絡系統與用戶之間的接口，它的功能和性能將決定網絡系統的整體應用水平。它主要為網絡計算機提供各種網絡服務，并進行網絡資源管理。網絡操作系統的選擇要針對不同網絡的特定需求，結合系統管理能力、應用軟件支持、多媒體處理能力、圖形用戶界面以及與Internet的連接性等多方面進行綜合考慮。目前網絡操作系統主要有Windows NT、Unix、Net-Ware、OS/2等幾大類。其中比較適合作為校園網操作系統的是Windows NT。

Windows NT提供了32位的客戶/服務器平臺，采用搶占式、多任務、多線程機制，繼承了Windows家族的友好界面，對服務器的硬件配置要求比較低，在應用、管理、通信、Internet/Intranet服務以及網絡集成服務等方面都具有極大優勢。由于它采用了多種協議，因此能與基于UNIX、NetWare和OS/2等操作系統的局域網兼容，并支持在這些系統之上開發出來的各種應用軟件。

綜上所述，對于校園網來說，采用Windows NT為主要操作系統是合適的選擇。

三、信息資源建設

網絡硬件系統的搭建只是提供了一個信息傳輸的平臺，真正使校園網發揮作用的，是在此基礎上進行的信息資源建設。只有建立適合的軟件環境，開發相應的信息庫和應用系統，才能為學校各類人員提供切實的網絡信息服務，滿足教學、科研、辦公、管理等工作的需要。校園網的信息資源，對內主要指E-mail服務、DNS服務、FTP服務、WWW服務（學校主頁、數字圖書館、多媒體教學等）、教務管理系統、辦公管理系統、IC卡管理系統、科研開發平臺等，對外則指Internet接入、遠程訪問接入、信息發布平臺、全文數據庫系統等。各項服務均應通過建立相應的網絡應用平臺來實現。

信息資源是校園網的靈魂和活力所在，信息資源的建設是校園網建設中至關重要的一步，它也遵循從規劃、設計、開發、應用到管理維護的過程。在此不做詳述。

四、網絡管理與安全

校園網的建設不是朝夕可成，網絡的管理與安全工作更是任重道遠。要做好網絡管理工作，維護校園網的物理安全和信息安全，必須從以下幾方面著手：

（1）建立網絡管理機構，制定網絡管理規范，正確實施網絡管理。建立自上而下的多級網絡管理機構，使管理工作從宏觀協調到具體實施都有對應的機構或人員負責；制定健全的網絡管理制度，使網絡運行和開發應用有章可循、有法可依；管理人員規范、正確地實施設備管理、技術管理和信息管理等，使網絡維持正常運轉。

（2）進行相關人員培訓。分層次做好各類人員的培訓（包括普通用戶、網絡管理人員、技術人員等），培養一支優秀的軟件開發隊伍，使各用戶群體能各司其職，從而使校園網的功能得到充分發揮。

（3）采取各類網絡信息安全措施。網絡信息安全要有保障，必須多種安全措施并用。校園網內部應部署防病毒系統、內網訪問控制策略等，與外網之間還必須部署千兆防火墻、千兆入侵檢測系統和安全控制系統等。

[1]Andrew S.Tanenbaum.計算機網絡（第 4 版）[M].北京：清華大學出版社，2008.

[2]廖常武，汪剛.校園網組建[M].北京：清華大學出版社，2005.

[3]徐光，杜建彬.實例探討大學校園網絡建設[J].山東輕工業學院學報，2009，（4）.

[4]汪軍，豐洪才.校園網建設方案的研究與實施[J].網絡安全技術與應用，2008，（3）.

TP

A

1673-0046（2012）3-0162-03