高校智慧校園網絡設計與應用

崔 瑩 楊心宇 馮 輝

1.江蘇建筑職業技術學院信息與網絡中心；2.江蘇建筑職業技術學院信電工程學院；3.徐州市大數據分析及數據安全工程研究中心

0 引言

隨著社會的進步和人類文明的發展，信息化已經融入了各行各業。計算機網絡作為信息化平臺的重要載體，已經經歷了4個階段，發展為國際互聯高速計算機網絡時代。

在高速計算機網絡階段，傳統的組網拓撲結構已無法滿足當代高校的網絡使用需求。傳統組網模式下，計算機通過基本的交換路由設備連接在一起，無線應用尚未普及，網絡安全方面也缺乏完整的部署。校園網的計算機共用一個帶寬，若接入過多的計算機，則會導致網絡帶寬不足，容易經常發生網絡崩潰。所以，需要改變原有組網布局，轉變為星型拓撲或者混合拓撲，才能使之進入高速計算機網絡階段，以便更好地適應現代高校的用網需求，并轉變為智慧校園網絡布局。因此，普遍高校開始采用星型結構拓撲，樓宇之間采用光纖通信，大致為百兆帶寬。普通小面積的校園網絡中心大致配有十幾臺交換機、幾臺路由器跟網關，并在網關或者路由器上布置防火墻，不再是單獨擁有一套安全設備；面積稍大的校園網絡中心則擁有幾十臺交換機、幾十臺路由器、網關以及一整套完善的防火墻設備。校園面積越大，可容納的學生數量以及老師數量就越多，以至于用網需求更大，涉及的數據信息也就越多，更需要對入網用戶的安全采取保護措施。

現在，高校的網絡中心除了有交換機、路由器、網關、防火墻等，還擁有幾臺或者十幾臺屬于學校的服務器，部署著學校官網、學校教務系統、學校管理系統等數據信息，存儲著學校所有的核心信息，因此，更加需要加強對組網布局安全的維護。

各高校正在走向搭建智慧校園的道路，搭建一個移動網絡無縫互通、海量數據智能支撐的網絡體系構架，讓校園處處有網，從而打造無處不在的網絡學習、透明高效的校務治理、方便周到的校園生活。簡而言之，“要做一個安全、穩定、方便、融洽的校園”，由此可知，設計構思智慧校園網，是對網絡骨干和網絡安全方面作出合理的、有延展性的規劃。

1 高校智慧校園網絡特點

智慧校園的網絡特色可分為：移動網絡無縫互通，海量數據智能支撐。這體現了不同于以往的傳統網絡體系，而是從根本上改變了傳統的組網布局，順應時代的發展，使得高校網絡布局變得越來越具有可擴展性以及科學合理性。

1.1 智慧移動網絡無縫銜接

智慧校園的構建少不了網絡技術的支持。校園內設置成千上萬個無線訪問接入點（AP），有利于師生隨時隨地互動與交流，不再受限于空間距離；在無縫互通上，利用無線接入控制器（AC）具有的多個端口，連接多個AP，將每個移動熱點（WiFi）圈重疊1/8，使之從一個AP下移動到另一個AP下范圍內時可以無縫銜接，并自動連接到新區域的WiFi。而不必再像以往一樣每更換一個區域就必須重新連接WiFi，或在中間某段距離中幾乎沒有網絡連接。由此，徹底打破了常規校園的局限性，提高了數據信息的及時通信性，做到移動網絡的無縫互通。

1.2 海量數據智能支撐

智慧校園網穩定、可靠地支持海量數據的流通。可靠性強的網絡既要有很強的網絡彈性來保證故障的快速復原，也要有很高的吞吐量以保證出入流量的負載均衡。其中，虛擬路由冗余協議（VRRP）是打造網絡可靠性的強勁引擎，功能包括：（1）容錯。當幾臺設備聯合成為一個虛擬路由設備，一臺出現故障則會有其他設備接替業務，從而保證通信的連續性與可靠性。（2）網關冗余。一個虛擬網關指代兩個物理網關，從而提高網絡的可靠性。此外，堆疊技術也可為增強網絡可靠性提供助力，將多臺設備做堆疊，使其只控制一臺主設備來進行配置操作，從而提高整體的穩定性，促使網絡更加穩定、可靠，從而更好地對高校未來的整體規劃做出科學、合理的決策。

2 智慧校園網絡設計

智慧校園整體網絡設計如圖1所示，其包括核心層、匯聚層、接入層、用戶群區域、防火墻區域和服務器群區域。其中，骨干網絡部分包括核心層、匯聚層、接入層、用戶群區域，網絡安全部分是防火墻區域。本文將對這兩部分進行規劃設計。

圖1 整體網絡設計

2.1 智慧校園網絡總體設計

2.1.1 核心層設計

核心層位于整個網絡拓撲的最上層次，主要負責運行和管理，可靠、快捷地向大規模網絡中傳輸信息數據。用戶的請求信息都是在匯聚層，并對數據進行處理，如果有需要，匯聚層就把請求發送到核心層。如果該層出現故障，將會影響到每個用戶，因此，容錯性比較重要，在核心層應避免任何影響通信流量的事情，建議做一些收斂時間短的路由協議幫助通信。

針對本文設計的如圖1所示的高校智慧校園網，推薦使用OSPF路由協議，支持CIDR、VLSW和不連續的網絡，其適用范圍廣，對管理員的配置管理也方便快捷。若拓撲分布區域多，使用該路由協議可方便標識分區。當某局部網絡出現問題，便可按照劃分的區域找到故障，并快速解決。在核心層路由器，首先，規劃是配置進程號，若不標記進程號，一般默認為0，在此給其配置為進程10，即在配置命令行輸入“ospf 10”；其次，進行區域ID設置，區域默認從0開始，即第一個區域設置為區域0，若網絡拓撲有多塊區域，則ID值依次遞增，以便區分不同區域，方便日后排除故障；最后，宣告該區域所在網斷的反子網掩碼，以建立路由表。每臺路由器里不同的區域都需宣告，從而建立完整的路由表，以便數據流通。

2.1.2 匯聚層設計

匯聚層也稱工作組層，是上下兩層之間的通信，需要啟到防環以及對多個設備進行統一管理。因此，在匯聚層，一般是虛擬路由冗余協議（Virtual Router Redundancy Protocol，VRRP）跟多生成樹協議（Multi Spanning Tree，MSTP）交錯使用，或是使用堆疊技術、鏈路聚合技術，從而在智慧校園網的構架上，改變原本擁塞的網絡環境，實現網絡拓撲的快速收斂，進而提升網絡數據的吞吐量，實現海量數據的智能支撐。

在匯聚層的網絡構建中，應把接入層的設備進行VLAN劃分、DHCP的啟動配置，再在交換機中使用VRRP協議、MSTP協議以及鏈路聚合技術進行搭建。

首先，進行鏈路聚合，創建聚合組，將其聚合模式改為手工模式，再將接口成員加入到聚合組之中，并綁定TRUNK口，允許VLAN通過。

其次，在交換機中進行MSTP協議的配置。進入MST域視圖，修訂級別為1，再指定兩條實例允許不同的VLAN通過，例如“instance 1 vlan 10”即實例1允許vlan10通過；激活MST域配置，對兩個實例進行優先級分配，一個為primary，另一個為secondary；匯聚層兩條交換機里的兩個實例的優先級是相對的。

最后，在兩個交換機里配置VRRP協議，在進入交換機的vlan10接口創建VRRP備份組，備份組號為1，虛擬IP為xxx.xx.1.254，分配優先級為120，接口全局啟用DHCP；再進入vlan20接口創建VRRP備份組，備份組號為2，虛擬IP為xxx.xx.2.254，接口全局啟用DHCP；對VRRP虛擬組1配置接口認證，認證方式為MD5，密碼為huawei，以增強安全性。

2.1.3 接入層設計

接入層是控制智慧校園網用戶和工作組對互聯網絡資源進行訪問的。大多數用戶所需要的資源在本地就可以得到，分配層設備處理遠程服務的數據流。接入層的功能：連續的訪問控制和策略（對分配層的延續）；創建分隔的沖突域，即創建不同的VLAN區域，把用戶與用戶、服務器與服務器各自劃分區域，避免相互干擾影響正常通信。為確保工作組到分配層的互通性，需在接入層配置一些ACCSEE口和TRANK口，允許VLAN通過。

在接入層，可以對向下的接口進行設置，綁定為ACCESS口，對向上的接口綁定為TRUNK口。此外，在AC的配置區域，可以進行如下操作：首先，進入WLAN模式，定義模板域、國家名稱、設置組，綁定定義模板以及定義認證模式。其次，等待AP上線。如果AP數量不是很多，可以采取手動上線的方法，把AP的MAC地址綁定在AC中；AP上線后，配置WiFi的安全模板、定義密碼、分配給定用戶權限，再配置SSID模板。最后，設置WLAN射頻，待全配置結束，WiFi的輻射圈就形成了，就到處都有WiFi信號。在WiFi范圍內，只要每天輸入一次賬號和密碼，即可連通互聯網，并且當從一個AP范圍移動到另一個AP范圍，將會自動切換登錄，難以察覺到網絡轉換，沒有網絡遲鈍。為安全起見，此賬號僅限高校師生使用。

在智慧校園網的網絡拓撲規劃下，校園里每隔一定距離就放置一臺AP，使移動網絡無縫互聯。此外，骨干網絡已設計出雛形，還需要確保網絡安全來加固整體結構，防護師生在校用網安全。

2.2 智慧校園網絡安全設計

高校智慧校園網的周邊安全，需要用防火墻來對內部骨干網絡進行保護。本文設計的高校智慧校園網可以采用雙臺防火墻，一個為主防火墻，一個為輔助防火墻。主防火墻與輔助防火墻里都相互備份對方的配置，當主防火墻出現問題，輔助防火墻及時啟用主防火墻里的規則；當輔助防火墻出現問題，主防火墻立即啟用輔助防火墻里的規則，以立即處理防火墻的防護問題。

關于高校智慧校園網的安全方面，設計如下：先在防火墻里置入安全策略視圖，然后創建安全策略規則，再進入到安全策略規則視圖，配置安全策略的源安全區域和目的安全區域，再配置安全策略規則的用戶、協議類型、服務、引用的安全配置文件以及安全區域時間段。由此，實現對整個智慧校園網組網的保護，并營造較高安全性的保護環境，以保證用戶安全，對服務器的服務以及服務器內的數據起到防護作用。

3 智慧校園網絡實現

智慧校園網絡設計實施過程中，要嚴格依照校園網絡設計圖。首先，搭建智慧校園網絡的骨干網絡，包括核心層、匯聚層和接入層的設備配置；其次，在校園內各處內外部署AP設備，再在樓宇間放置AC和接入、匯聚交換機設備；最后，在部署校園網絡安全方面，安置并配置防火墻設備。

本文使用華為設備來配置其骨干網絡、無線網絡和安全策略等，以實現高校智慧校園網絡的規劃與設計。

3.1 骨干網絡的實現

（1）核心路由器OSPF的實現，在AR1、AR2、AR3的路由器中配置如下命令：

ospf 10 //進程號 無備注則默認為進程1

area 0 //區域ID，配置為區域0

network 1.1.1.0 0.0.0.255 //所宣告的網段 反子網掩碼

3臺路由器屬于同一個區域0中，不同的路由器宣告不同接口所在的網段，因每段網段不同，每臺路由器中的路由表鄰居也不同，使用“display ospf peer”即可查看OSPF的鄰居狀態。

（2） 匯聚層中實現VLAN的劃分、DHCP服務、鏈路聚合、MSTP和VRRP協議。

第一，交換機中VLAN的劃分，分為3種區域，標記為10，20，30。

Vlan batch 10 20 30 //劃分三個vlan ：vlan10 、vlan 20、 vlan 30

第二，DHCP服務的實現。主要是針對廣大師生用戶和AP設備，其租期設置較短，可提高地址的利用率，不過有些固定的辦公室有線用戶若有特殊需求，則需延長IP地址的租用期；一些無線AP接入點需要有永久的IP地址，所以要設置的時間為無期。

dhcp enable //開啟DHCP功能 （配置基于全局地址池的DHCP）

ip pool huawei1 //創建一個全局地址池,地址池名稱為huawei1

network 192.168.4.0 //動態分配的地址范圍192.168.4.0, 如果不指定掩碼,則默認使用自然掩碼

lease day 2 //全局地址池下的地址租期

gateway-list 192.168.4.254 //配置DHCP客戶端的網關地址

dns-list 8.8.8.8 //配置DNS服務器

interface GigabitEthernet 0/0/0 //進入接口

dhcp select global //開啟接口DHCP功能,指定接口采用全局地址池為客戶端分配IP地址

第三，鏈路聚合的實現。智慧校園匯聚層的兩臺交換機進行鏈路聚合，分擔出/入流量吞吐量在各成員端口的負荷。

interface Eth-Trunk 1 //配置鏈路聚合,創建Eth-Trunk 1

mode manual load-balance //指定為手工負載分擔模式

interface GigabitEthernet 0/0/1 //進入兩個交換機相連接的接口

eth-trunk 1 // 加入到Eth-Trunk 1接口

interface GigabitEthernet 0/0/2 //進入兩個交換機相連接的接口

eth-trunk 1 // 加入到Eth-Trunk 1接口

第四，MSTP的實現。匯聚層的兩臺交換機與接入層的交換機一同配置MSTP協議，把不同的VLAN分配到不同的實例里，統一規范，嚴格控制流量的流通。

stp region-configuration //配置MSTP,進入MST域視圖

region-name huawei //配置MST域名

revision-level 1 //配置MSTP的修訂級別為1

instance 1 vlan 10 //指定VLAN 10映射到實例1

instance 2 vlan 20 30 //指定VLAN 20 30映射到實例2

active region-configuration //激活MST域配置

在交換機里都配置如上命令，再在兩個匯聚層的交換機內給實例分配優先級。

[S1]stp instance 1 root primary //給實例1賦予優先級為主要的

stp instance 2 root secondary //給實例2賦予優先級為次要的

[S2]stp instance 2 root primary //給實例2賦予優先級為主要的

stp instance 1 root secondary //給實例1賦予優先級為次要的

第五，VRRP的實現。需要在匯聚層的兩臺交換機中配置選擇容錯協議，作為一個虛擬網關，實現路由備份。

interface Ethernet 1/0/1 //進入上行接口

vrrp vrid 1 virtual-ip xxx.xx.1.254 //創建VRRP備份組,備份組號為1,虛擬IP為xxx.xx.1.254

vrrp vrid 1 priority 120 //配置優先級為120

vrrp vrid 1 authentication-mode md5 huawei //對VRRP虛擬組1配置接口認證,認證方式為MD5,密碼為huawei

interface Ethernet 1/0/2 //進入上行接口

vrrp vrid 2 virtual-ip xxx.xx.2.254 //創建VRRP備份組,備份組號為2,虛擬IP為xxx.xx.2.254

vrrp vrid 2 preempt-mode disable //配置虛擬組2中的搶占模式為非搶占方式，默認為搶占模式

（3）接入層中實現接口配置以及AC、AP的配置。

第一，二層交換機與三層交換機相連以及二層交換機與PC端相連的接口配置：

與PC端相連，配置access口

int GigabitEthernet0/0/1 //進入接口

port link-type access //設置端口模式為access模式

port default vlan 10 //設置端口允許通過vlan 10

與三次交換機相連，配置trunk 口

int GigabitEthernet0/0/1 //進入接口

port link-type trunk //設置端口模式為trunk模式

port trunk allow-pass vlan all //配置端口組的端口允許通過的vlan為所有vlan

第二，無線網絡核心策略，包括AC的WLAN配置、SSID模板的配置以及AP的射頻。

①WLAN的配置：

Wlan //進入WLAN視圖下

regulatory-domain-profile name default //定義模板域，國家名稱

country-code CN //國家名稱為中國

ap-group name xxregulatory-domain-profile default //設組，綁定定義模板

ap auth-mode mac-auth //定義認證模式

mac 模式類型 //認證模式

ap-name xxx //給ap-id 0起名字

ap-group xx //綁定組

dis ap all //查看AP上線的情況

定義兩種發出的WiFi類型，輸入密碼型與免密型。

security-profile name xx-internal //定義線上的WiFi名稱

security wpa-wpa2 psk pass-phrase 12345678 aes //定義密碼

security-profile name s1-guest //定義WiFi的名稱為普通用戶

security open //免密碼豈可登錄

②設置SSID模板：

ssid-profile name xx //上面定義的WiFi名稱

ssid xx //配置SSID名稱為xx

vap-profile name xx //定義虛擬模式

security-profile xx //引用為xx的安全模板

ssid-profile xx //配置VAP模板引用SSID模板

service-vlan vlan-id 101 (一個業務VLAN） //配置業務VLAN為VLAN101

③設置WLAN射頻：

ap-group name s1 //創建AP組名為s1,并進入AP組視圖

vap-profile s1-internal wlan 1 radio 0 //給s1-internal的2.4G引用VAP模板

vap-profile s1-internal wlan 1 radio 1 //給s1-internal的5G引用VAP模板

vap-profile s1-guest wlan 2 radio 0 //給s1-guest的2.4G引用VAP模板

3.2 網絡安全的實現

為了提高智慧校園網絡的安全，對圖1中的兩臺防火墻進行如下配置安全策略配置，并在兩臺防火墻里互相備份。

security_ploicy //進入安全策略視圖

rule name rule-name //創建安全策略規則，并進入安全策略規則視圖

source-zone 1 //

配置安全策略的源安全區域

destination-zone 2 //配置安全策略的目的安全區域

source-address 192.168.2.1 192.168.2.10 //配置安全策略規則的源地址

destination-address 1.1.1.1 24 //配置安全策略規則的目的地址

user user01 //配置安全策略規則的用戶

service protocol 6 tcp //指定安全策略規則的協議類型

service dns //配置安全策略規則的服務

profile data-filter //配置安全策略規則引用的內容過濾配置文件

time-range time-range-name //創建時間段，并進入時間段視圖

period-range start-time to end-time week-days 1//設置周期時間段

4 結束語

綜上所述，建設高校智慧校園網絡是社會進步、信息化發展的產物，因此，科學合理地設計擴展網絡組網布局、搭配相關網絡安全防火墻策略是必不可少的。每逢高校發起選課或者PU活動搶取名額時，校園網絡便會卡頓擁擠，出現網絡堵塞，對此，應改變網絡流通量的最大值，使數據冗余加大。同時，有不法分子在校園網絡投放apk病毒軟件，短時間內便能傳播到校園各處，帶來許多不良影響，因此，需加強校園網絡安全。

本文豐富了對智慧校園網絡的認識與了解，改變了傳統的網絡布局，使之“智在其設計，慧在其技術”，未來可能會有更高的需求。未來可研究為高鐵站、火車站、汽車站設計智慧移動網絡，挑戰小區域低密度人口的場所。更多的研究探討必將會為智慧網絡的發展提供更多助力，所以不能只局限于校園，也可再為其他場所設計，擴大智慧網絡技術的應用范圍。